T-ZISIA 04-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求

i前言 I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14符號(hào)和縮略語(yǔ) 25可信計(jì)算邏輯框架 26總體說(shuō)明 26.1可信根構(gòu)建及能力要求說(shuō)明 36.2可信計(jì)算功能說(shuō)明 37技術(shù)要求 37.1可信根構(gòu)建及能力技術(shù)要求 37.1.1可信根構(gòu)建方式技術(shù)要求 37.1.2可信根隔離機(jī)制技術(shù)要求 37.1.3可信根啟動(dòng)時(shí)序技術(shù)要求 47.1.4可信根主動(dòng)度量技術(shù)要求 47.1.5虛擬可信根構(gòu)建技術(shù)要求 47.2可信計(jì)算功能技術(shù)要求 47.2.1靜態(tài)度量 47.2.2動(dòng)態(tài)度量 47.2.3可信控制 47.2.4可信接入 47.2.5可信審計(jì) 47.2.6可信報(bào)告 47.2.7可信存儲(chǔ) 47.2.8虛擬可信根可信能力 4附錄A（資料性附錄）可信根結(jié)構(gòu)及構(gòu)建方式 5I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：奇安信科技集團(tuán)股份有限公司、北京可信華泰信息技術(shù)有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、北京樂(lè)達(dá)智聯(lián)科技有限公司、軟極網(wǎng)絡(luò)技術(shù)（北京）有限公司、北京源堡科技有限公司、華中科技大學(xué)、西安電子科技大學(xué)、工業(yè)和信息化部電子第五研究所、長(zhǎng)沙市軌道交通運(yùn)營(yíng)有限公司、國(guó)家工業(yè)信息安全發(fā)展研究中心、中航材利頓（北京）航空科技有限公司。本文件主要起草人：杜君、王炎玲、段古納、靳佑鼎、王舒、徐鵬、李興華、胡璇、劉立、周華濤、葛健佳、陳曉峰、常凱翔、王偉、成國(guó)強(qiáng)、吳月梅、于晴、鄒冬、鄭旻、曾磊、張海彬、王穎、隋嘉楠。為了支撐落地網(wǎng)絡(luò)安全等級(jí)保護(hù)制度對(duì)于可信計(jì)算的技術(shù)要求，同時(shí)規(guī)范基于可信計(jì)算技術(shù)研制的可信整機(jī)產(chǎn)品的可信能力及功能，需要從可信計(jì)算的角度編制專門的技術(shù)標(biāo)準(zhǔn)。針對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中第一級(jí)到第四級(jí)關(guān)于可信計(jì)算技術(shù)的相關(guān)要求，提出了可信根構(gòu)建及可信功能相關(guān)的詳細(xì)的技術(shù)指標(biāo)。本標(biāo)準(zhǔn)是自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)相關(guān)系列標(biāo)準(zhǔn)之一，對(duì)T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》關(guān)于可信計(jì)算相關(guān)內(nèi)容進(jìn)行了細(xì)化，并與T/ZISIA02-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求》和T/ZISIA03-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求》相關(guān)內(nèi)容互相支撐。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求本文件規(guī)定了可信整機(jī)產(chǎn)品算邏輯框架、總體說(shuō)明和技術(shù)要求，包括可信根構(gòu)建及能力技術(shù)要求、可信計(jì)算功能技術(shù)要求。本文件可用于指導(dǎo)基于可信計(jì)算技術(shù)的產(chǎn)品研制、測(cè)評(píng)工作，可供基于可信計(jì)算技術(shù)的產(chǎn)品研制單位、測(cè)評(píng)單位、管理機(jī)構(gòu)等相關(guān)方參考使用。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T29827-2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T40650-2021信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊GM/T0011-2012可信計(jì)算可信密碼支撐平臺(tái)功能與接口規(guī)范GM/T0012-2020可信計(jì)算可信密碼模塊接口規(guī)范T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架3術(shù)語(yǔ)和定義GB/T25069-2010、GB/T29827-2013、GB/T37935-2019和T/ZISIA01-2024界定的術(shù)語(yǔ)和定義適用于本文件。3.1可信根rootoftrust可信根是可信計(jì)算平臺(tái)的信任源點(diǎn)，由TPCM和TCM構(gòu)成，用于支撐可信計(jì)算平臺(tái)信任鏈建立和傳遞的可對(duì)外提供完整性度量、安全存儲(chǔ)、密碼計(jì)算等服務(wù)的功能模塊。3.2可信平臺(tái)控制模塊trustedplatformcontrolmodule一種集成在可信計(jì)算平臺(tái)中，用于建立和保障信任源點(diǎn)的硬件核心模塊，為可信計(jì)算平臺(tái)提供完整性度量、安全存儲(chǔ)、可信報(bào)告以及密碼服務(wù)等功能。[來(lái)源：GB/T29827-2013，3.20]3.3可信密碼模塊trustedcryptographymodule可信計(jì)算平臺(tái)的硬件模塊，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，具有受保護(hù)的存儲(chǔ)空間。[來(lái)源：GM/T0012-2020，3.7]3.4靜態(tài)度量staticmeasurement在系統(tǒng)啟動(dòng)過(guò)程中，對(duì)系統(tǒng)完整性進(jìn)行測(cè)量和評(píng)估的可信度量方法。3.5動(dòng)態(tài)度量dynamicmeasurement在系統(tǒng)運(yùn)行過(guò)程中，對(duì)系統(tǒng)完整性和行為安全性進(jìn)行測(cè)量和評(píng)估的可信度量方法。[來(lái)源：GB/T37935-2019，3.9]3.6可信軟件基trustedsoftwarebase為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。[來(lái)源：GB/T37935-2019，3.3]24符號(hào)和縮略語(yǔ)下列符號(hào)和縮略語(yǔ)適用于本文件。BIOS：基本輸入/輸出系統(tǒng)（BasicInput/OutputSystem）IP：知識(shí)產(chǎn)權(quán)（IntellectualProperty）TPCM：可信平臺(tái)控制模塊（TrustedPlatformControlModule）TSB：可信軟件基（TrustedSoftwareBase）TCM：可信密碼模塊（TrustedCryptographyModule）TPM：可信平臺(tái)模塊（TrustedPlatformModule）5可信整機(jī)產(chǎn)品邏輯框架根據(jù)T/ZISIA01-2024，可信計(jì)算節(jié)點(diǎn)應(yīng)建立計(jì)算部件和防護(hù)部件并存的雙體系架構(gòu)；作為可信計(jì)算節(jié)點(diǎn)的可信整機(jī)產(chǎn)品的可信計(jì)算功能由可信根、可信驗(yàn)證代理和可信連接模塊共同實(shí)現(xiàn)，可信整機(jī)產(chǎn)品邏輯框架如圖1所示。在基于可信計(jì)算技術(shù)的可信整機(jī)產(chǎn)品中，可信根硬件可采用CPU內(nèi)置（IP核、CPU內(nèi)置芯片）或CPU外置（主板板載芯片或主板插卡）等多種方式構(gòu)建（參考附錄A如上圖所示“可信整機(jī)產(chǎn)品1”通過(guò)CPU內(nèi)部IP核或CPU內(nèi)置芯片等內(nèi)置方式構(gòu)建可信根，“可信整機(jī)產(chǎn)品2”采用板載或主板插卡等外置方式構(gòu)建可信根，兩種方式構(gòu)建的可信根的組成結(jié)構(gòu)和邏輯一樣，可信根主要由可信密碼模塊（TCM）、可信平臺(tái)控制模塊（TPCM）和可信軟件基（TSB）構(gòu)成?？尚鸥怯?jì)算機(jī)的信任源點(diǎn)，具有獨(dú)立、隔離的安全運(yùn)行環(huán)境，能夠并行獲取計(jì)算節(jié)點(diǎn)中的度量對(duì)象信息，在設(shè)備啟動(dòng)上有優(yōu)先的啟動(dòng)控制能力。通常在實(shí)現(xiàn)中，TPCM作為物理可信根集成TCM，提供符合國(guó)密要求的密碼計(jì)算和密碼服務(wù)?？尚跑浖沁\(yùn)行于可信根之中的可信驗(yàn)證業(yè)務(wù)軟件，主要實(shí)現(xiàn)與BIOS和操作系統(tǒng)層的可信驗(yàn)證代理的通信?？尚膨?yàn)證代理在啟動(dòng)固件加載操作系統(tǒng)過(guò)程中和操作系統(tǒng)加載可執(zhí)行代碼過(guò)程中，截獲加載行為并采集加載數(shù)據(jù)信息，將信息發(fā)送給可信根并等待驗(yàn)證結(jié)果，依據(jù)結(jié)果進(jìn)行加載控制處理?？尚胚B接模塊在網(wǎng)絡(luò)連接和通信過(guò)程中，截獲網(wǎng)絡(luò)連接和通信請(qǐng)求，實(shí)現(xiàn)對(duì)通信雙方的身份認(rèn)證和可信驗(yàn)證。6總體說(shuō)明對(duì)應(yīng)GB/T22239網(wǎng)絡(luò)安全等級(jí)保護(hù)制度從第一級(jí)到第四級(jí)所提到的“可信驗(yàn)證”相關(guān)3技術(shù)要求，隨著級(jí)別的提升，對(duì)于可信計(jì)算技術(shù)的要求也逐級(jí)增強(qiáng)，如在第一級(jí)和第二級(jí)系統(tǒng)中，通常應(yīng)具備靜態(tài)度量、可信控制、可信報(bào)告等可信功能，對(duì)于動(dòng)態(tài)度量、可信接入、可信存儲(chǔ)和虛擬可信根等可信功能為可選、非必需的技術(shù)要求，具體如下表所示。求求求求√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√力√√注：表中√表示對(duì)應(yīng)級(jí)別應(yīng)具備該項(xiàng)技術(shù)要求。6.1可信根構(gòu)建及能力要求說(shuō)明可信根是可信計(jì)算平臺(tái)的信任源點(diǎn)，必須以硬件為載體，在GB/T22239-2019中在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境中從第一級(jí)到第四級(jí)都提出了“可信驗(yàn)證”的要求，可信根由可信密碼模塊和可信平臺(tái)控制模塊共同組成，應(yīng)采用硬件方式實(shí)現(xiàn)。可信根設(shè)計(jì)可參考GB/T29827-2013和GB/T40650-2021標(biāo)準(zhǔn)的相關(guān)要求。6.2可信計(jì)算功能說(shuō)明對(duì)于GB/T22239網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中所涉及的第一級(jí)和第二級(jí)系統(tǒng)，可信功能主要基于可信根，實(shí)現(xiàn)啟動(dòng)階段的可信度量，包括靜態(tài)度量、可信控制、可信審計(jì)、可信報(bào)告。對(duì)于GB/T22239網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中所涉及的第三級(jí)和第四級(jí)系統(tǒng)，可信功能基于硬件物理可信根，實(shí)現(xiàn)啟動(dòng)階段和運(yùn)行階段的可信度量，包括靜態(tài)度量、動(dòng)態(tài)度量、可信控制、可信接入、可信審計(jì)、可信報(bào)告、可信存儲(chǔ)、虛擬可信根構(gòu)建等。7技術(shù)要求7.1可信根構(gòu)建及能力技術(shù)要求7.1.1可信根構(gòu)建方式技術(shù)要求可信根應(yīng)使用國(guó)家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)進(jìn)行實(shí)現(xiàn)，可信驗(yàn)證的密碼功能設(shè)計(jì)應(yīng)符合GM/T0011-2012標(biāo)準(zhǔn)的相關(guān)要求，并具備國(guó)家密碼管理局頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書(shū)。可信根TPCM應(yīng)采用硬件物理方式構(gòu)建，支持CPU內(nèi)置式、BMC內(nèi)置式、主板板載式、總線接入式中的任意一種方式，構(gòu)建方案可參考附錄A。7.1.2可信根隔離機(jī)制技術(shù)要求可信根應(yīng)具備獨(dú)立于計(jì)算部件的隔離資源，包括密碼存儲(chǔ)資源、密碼運(yùn)算資源、通用計(jì)4算資源、通用存儲(chǔ)資源（包括內(nèi)存和非易失性存儲(chǔ)）?？尚鸥鶓?yīng)具備對(duì)計(jì)算部件資源的完全單向訪問(wèn)，計(jì)算部件CPU不能訪問(wèn)可信根內(nèi)部資源。7.1.3可信根啟動(dòng)時(shí)序技術(shù)要求可信根作為設(shè)備信任鏈的起點(diǎn)能夠優(yōu)先啟動(dòng)，支持在固件系統(tǒng)啟動(dòng)前實(shí)現(xiàn)對(duì)固件度量的功能，支持對(duì)固件進(jìn)行完整性檢測(cè)，并且能完成對(duì)基礎(chǔ)固件、操作系統(tǒng)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序以及啟動(dòng)過(guò)程中重要配置文件的逐級(jí)度量和加載執(zhí)行。7.1.4可信根主動(dòng)度量技術(shù)要求可信根應(yīng)能夠主動(dòng)獲取計(jì)算部件資源，即可信根對(duì)計(jì)算部件度量過(guò)程中的數(shù)據(jù)應(yīng)由可信根主動(dòng)獲取，在度量過(guò)程中應(yīng)采用可信根中的密碼模塊完成密碼運(yùn)算。7.1.5虛擬可信根構(gòu)建技術(shù)要求可信根應(yīng)能夠支持創(chuàng)建虛擬可信根，能夠?yàn)樘摂M可信根分配獨(dú)立的密碼資源，虛擬可信根與物理可信根具備映射綁定關(guān)系，一個(gè)物理可信根可支撐多個(gè)虛擬可信根的創(chuàng)建。7.2可信計(jì)算功能技術(shù)要求7.2.1靜態(tài)度量產(chǎn)品應(yīng)能夠在啟動(dòng)階段基于可信根對(duì)固件、系統(tǒng)引導(dǎo)程序、操作系統(tǒng)驅(qū)動(dòng)、操作系統(tǒng)內(nèi)核、應(yīng)用程序，及重要配置參數(shù)進(jìn)行可信驗(yàn)證。對(duì)于GB/T22239網(wǎng)絡(luò)安全等級(jí)保護(hù)制度中所涉及的第三級(jí)和第四級(jí)系統(tǒng)，產(chǎn)品還應(yīng)能夠在應(yīng)用程序的初始化階段基于可信根對(duì)應(yīng)用程序的腳本、進(jìn)程、可執(zhí)行程序基于白名單進(jìn)行可信驗(yàn)證。7.2.2動(dòng)態(tài)度量產(chǎn)品應(yīng)能夠在應(yīng)用程序執(zhí)行自身業(yè)務(wù)功能的重要環(huán)節(jié)，基于TPCM對(duì)系統(tǒng)調(diào)用表、文件系統(tǒng)重要數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)系統(tǒng)重要數(shù)據(jù)結(jié)構(gòu)、內(nèi)核代碼段、應(yīng)用代碼段進(jìn)行可信度量。7.2.3可信控制產(chǎn)品應(yīng)能夠依靜態(tài)度量和動(dòng)態(tài)度量的結(jié)果，在檢測(cè)到其可信性受到破壞時(shí)，按照預(yù)定義的可信安全策略進(jìn)行控制，包括阻斷或報(bào)警。7.2.4可信接入產(chǎn)品應(yīng)支持可信接入功能，即能夠基于可信報(bào)告對(duì)接入網(wǎng)絡(luò)或發(fā)起網(wǎng)絡(luò)通信請(qǐng)求的設(shè)備進(jìn)行可信驗(yàn)證。7.2.5可信審計(jì)產(chǎn)品應(yīng)能夠?qū)Χ攘縿?dòng)作和結(jié)果生成可信審計(jì)記錄，可信審計(jì)記錄應(yīng)基于可信根的密碼服務(wù)進(jìn)行保護(hù)。7.2.6可信報(bào)告產(chǎn)品應(yīng)能夠基于可信根生成可信報(bào)告，可信報(bào)告包含設(shè)備當(dāng)前的可信狀態(tài)、可信引導(dǎo)相關(guān)PCR信息、軟硬件相關(guān)度量信息，通過(guò)可信根的國(guó)密算法保障可信報(bào)告不被篡改。7.2.7可信存儲(chǔ)產(chǎn)品應(yīng)能夠基于可信根安全存儲(chǔ)能力進(jìn)行關(guān)鍵數(shù)據(jù)存儲(chǔ)。7.2.8虛擬可信根可信能力對(duì)于云計(jì)算場(chǎng)景下的虛擬機(jī)應(yīng)具備虛擬可信根，虛擬可信根應(yīng)支持基于物理可信根的信任鏈在虛擬機(jī)層的傳遞和擴(kuò)展，即能夠逐級(jí)實(shí)現(xiàn)對(duì)虛擬機(jī)引導(dǎo)程序、操作系統(tǒng)驅(qū)動(dòng)、操作系統(tǒng)和應(yīng)用的完整性度量和加載。產(chǎn)品應(yīng)支持在虛擬機(jī)創(chuàng)建、遷移、銷毀等全生命周期的虛擬可信根同步和維護(hù)。5（資料性附錄）可信根結(jié)構(gòu)及構(gòu)建方式A.1可信根內(nèi)部結(jié)構(gòu)可信根的內(nèi)部結(jié)構(gòu)如附圖A.1所示，應(yīng)包括如下單元：微處理器、非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、隨機(jī)數(shù)發(fā)生器、密碼算法引擎、密鑰生成器、定時(shí)器、輸入輸出橋接單元和各種輸入輸出控制器模塊。非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、隨機(jī)數(shù)發(fā)生器、密碼引擎、密鑰生成器和定時(shí)器統(tǒng)一映射到片內(nèi)微處理器的訪問(wèn)地址空間。在TPCM內(nèi)部應(yīng)包括如下單元：微處理器、非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、隨機(jī)數(shù)發(fā)生器、密碼算法引擎、密鑰生成器、定時(shí)器、輸入輸出橋接單元和各種輸入輸出控制器模塊。非易失性存儲(chǔ)單元、易失性存儲(chǔ)單元、隨機(jī)數(shù)發(fā)生器、密碼引擎、密鑰生成器和定時(shí)器統(tǒng)一映射到片內(nèi)微處理器的訪問(wèn)地址空間。A.2可信根構(gòu)建方式基于可信計(jì)算技術(shù)的可信整機(jī)設(shè)備產(chǎn)品，其可信改造主要通過(guò)在硬件層植入物理可信根，同時(shí)在操作系統(tǒng)層部署可信軟件基的方式，實(shí)現(xiàn)可信功能。TPCM是可信計(jì)算3.0和核心組件，