(高清版)GBT 40650-2021 信息安全技術(shù) 可信計(jì)算規(guī)范 可信平臺(tái)控制模塊

信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊GB/T40650—2021 I 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 25概述 5.1可信平臺(tái)控制模塊定位 25.2可信平臺(tái)控制模塊與周邊的交互 35.3其他 6可信平臺(tái)控制模塊功能組成 46.1功能組成框架 46.2硬件層 46.3基礎(chǔ)軟件層 46.4功能組件層 46.5互聯(lián)接口 57可信平臺(tái)控制模塊的接口 57.1計(jì)算部件接口 57.2可信軟件基接口 7.3管理接口 7.4可信密碼模塊接口 68安全防護(hù) 68.1身份鑒別 68.2資源訪問(wèn)控制 6 68.4存儲(chǔ)空間安全要求 8.5數(shù)據(jù)保護(hù) 8.6物理防護(hù) 79運(yùn)行維護(hù) 7 9.2狀態(tài)維護(hù) 710證實(shí)方法 810.1可信計(jì)算節(jié)點(diǎn)的可信平臺(tái)控制模塊 810.2可信平臺(tái)控制模塊功能組成 810.3可信平臺(tái)控制模塊的接口 810.4安全防護(hù) 10.5運(yùn)行維護(hù) I本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本文件起草單位：華大半導(dǎo)體有限公司、北京工業(yè)大學(xué)、北京可信華泰信息技術(shù)有限公司、全球能源互聯(lián)網(wǎng)研究院有限公司、上海算石科技有限公司、同濟(jì)大學(xué)、阿里巴巴(中國(guó))有限公司、浪潮(北京)電子信息產(chǎn)業(yè)有限公司、中國(guó)船舶重工集團(tuán)公司第七〇九研究所、武漢大學(xué)、上海兆芯集成電路有限公司、廣東玖章信息科技有限公司、上海工業(yè)控制安全創(chuàng)新科技有限公司、藍(lán)瑪卓信科技(上海)有限公司、中安科技集團(tuán)有限公司、北京新云東方系統(tǒng)科技有限責(zé)任公司。1信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊1范圍本文件描述了可信平臺(tái)控制模塊在可信計(jì)算節(jié)點(diǎn)中的位置和作用，規(guī)定了可信平臺(tái)控制模塊的功能組成、功能接口、安全防護(hù)、運(yùn)行維護(hù)要求和證實(shí)方法。本文件適用于可信平臺(tái)控制模塊的設(shè)計(jì)、生產(chǎn)、運(yùn)行維護(hù)和測(cè)評(píng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T29829信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范GB/T37935信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GM/T0008安全芯片密碼檢測(cè)準(zhǔn)則3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件?？尚琶艽a模塊trustedcryptographymodule具有可信計(jì)算所需要的密碼運(yùn)算等功能，并可提供受保護(hù)的存儲(chǔ)空間的一種模塊。可信計(jì)算節(jié)點(diǎn)trustedcomputingnode由可信防護(hù)部件和計(jì)算部件共同構(gòu)成、具備計(jì)算和防護(hù)并行運(yùn)行功能的計(jì)算節(jié)點(diǎn)。可信平臺(tái)控制模塊trustedplatformcontrolmodule集成在可信計(jì)算節(jié)點(diǎn)中的防護(hù)部件組件，由硬件、軟件及固件組成，與計(jì)算部件的硬件、軟件及固件并行連接，是用于建立和保障信任源點(diǎn)的一種基礎(chǔ)核心模塊，為可信計(jì)算節(jié)點(diǎn)提供主動(dòng)度量、主動(dòng)控制、可信驗(yàn)證、加密保護(hù)、可信報(bào)告、密碼調(diào)用等功能。有效狀態(tài)enabledstate可信平臺(tái)控制模塊處于可以接收、執(zhí)行所有指令的工作狀態(tài)?？尚牌脚_(tái)控制模塊處于只能執(zhí)行查詢及啟用指令的特殊工作狀態(tài)。主動(dòng)自檢activeself-checking可信平臺(tái)控制模塊上電后主動(dòng)對(duì)模塊內(nèi)部指定內(nèi)容進(jìn)行的檢測(cè)操作。2被動(dòng)自檢passiveself-checking可信平臺(tái)控制模塊接收到自檢指令后，對(duì)模塊內(nèi)部指定內(nèi)容進(jìn)行的檢測(cè)操作。為可信計(jì)算節(jié)點(diǎn)提供可信支撐的軟件元素集合?？尚殴芾碇行膖rustedmanagementcenter對(duì)可信計(jì)算節(jié)點(diǎn)的防護(hù)策略和基準(zhǔn)值進(jìn)行制定、下發(fā)、維護(hù)、存儲(chǔ)等操作的集中管理平臺(tái)。主動(dòng)度量activemeasuring防護(hù)部件依據(jù)防護(hù)策略發(fā)起對(duì)防護(hù)對(duì)象進(jìn)行狀態(tài)度量的行為?？尚膨?yàn)證trustedverification依據(jù)防護(hù)策略和基準(zhǔn)值對(duì)防護(hù)對(duì)象進(jìn)行主動(dòng)度量和對(duì)度量結(jié)果判定的過(guò)程。主動(dòng)控制activecontrolling防護(hù)部件依據(jù)防護(hù)策略對(duì)防護(hù)對(duì)象的行為進(jìn)行控制的過(guò)程。4縮略語(yǔ)I/O:輸入輸出(Input/Output)IP:知識(shí)產(chǎn)權(quán)(IntellectualProperty)TCM:可信密碼模塊(TrustedCryptographyModule)TPCM:可信平臺(tái)控制模塊(TrustedPlatformControlModule)TSB:可信軟件基(TrustedSoftwareBase)USB:通用串行總線(UniversalSerialBus)5.1可信平臺(tái)控制模塊定位可信計(jì)算節(jié)點(diǎn)由計(jì)算部件和防護(hù)部件構(gòu)成，TPCM是可信計(jì)算節(jié)點(diǎn)中實(shí)現(xiàn)可信防護(hù)功能的關(guān)鍵部件，可以采用多種技術(shù)途徑實(shí)現(xiàn)，如板卡、芯片、IP核等，其內(nèi)部包含中央處理器、存儲(chǔ)器等硬件、固件，以及操作系統(tǒng)與可信功能組件等軟件，支撐其作為一個(gè)獨(dú)立于計(jì)算部件的防護(hù)部件組件，并行于計(jì)算部件按內(nèi)置防護(hù)策略工作，對(duì)計(jì)算部件的硬件、固件及軟件等需防護(hù)的資源進(jìn)行可信監(jiān)控，是可信計(jì)算節(jié)點(diǎn)中的可信根。TPCM在可信計(jì)算節(jié)點(diǎn)中的位置及其與可信計(jì)算節(jié)點(diǎn)其他部件互動(dòng)關(guān)系的示意圖如圖1所示。3可信管理中心可信管理中心可信計(jì)算節(jié)點(diǎn)架構(gòu)計(jì)算部件應(yīng)用層可信軟件基(TSB)操作系統(tǒng)獲取可信驗(yàn)證要素TPCM操作系統(tǒng)固件連接總線硬件硬件組件圖1可信計(jì)算節(jié)點(diǎn)中的TPCM5.2可信平臺(tái)控制模塊與周邊的交互TPCM需與TSB、TCM、可信管理中心和可信計(jì)算節(jié)點(diǎn)的計(jì)算部件交互，交互方式如下：a)TPCM的硬件、固件與軟件為T(mén)SB提供運(yùn)行環(huán)境，設(shè)置的可信功能組件為T(mén)SB按策略庫(kù)解釋要求實(shí)現(xiàn)度量、控制、支撐與決策等功能提供支持；b)TPCM通過(guò)訪問(wèn)TCM獲取可信密碼功能，完成對(duì)防護(hù)對(duì)象可信驗(yàn)證、度量和保密存儲(chǔ)等計(jì)算任務(wù)，并提供TCM服務(wù)部件以支持對(duì)TCM的訪問(wèn)；c)TPCM通過(guò)管理接口連接可信管理中心，實(shí)現(xiàn)防護(hù)策略管理、可信報(bào)告處理等功能；d)TPCM通過(guò)內(nèi)置的控制器和I/O端口，經(jīng)由總線與計(jì)算部件的控制器交互，實(shí)現(xiàn)對(duì)計(jì)算部件的主動(dòng)監(jiān)控；e)計(jì)算部件操作系統(tǒng)中內(nèi)置的防護(hù)代理獲取預(yù)設(shè)的防護(hù)對(duì)象有關(guān)代碼和數(shù)據(jù)提供給TPCM,TPCM將監(jiān)控信息轉(zhuǎn)發(fā)給TSB,由TSB依據(jù)策略庫(kù)進(jìn)行分析處理。TPCM在可信計(jì)算節(jié)點(diǎn)中應(yīng)滿足下面幾項(xiàng)要求：b)TPCM應(yīng)是整個(gè)可信計(jì)算節(jié)點(diǎn)中第一個(gè)獲得執(zhí)行權(quán)的部件；所使用的TCM應(yīng)遵循GB/T29829及相關(guān)密碼國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的規(guī)定；所使用的TSB應(yīng)遵循GB/T37935的規(guī)定。46可信平臺(tái)控制模塊功能組成6.1功能組成框架TPCM的功能及接口框架見(jiàn)圖2,其功能邏輯上劃分為3個(gè)層次，即硬件、基礎(chǔ)軟件和功能組件。與TPCM相關(guān)的實(shí)體包括計(jì)算部件、可信軟件基、可信管理中心和可信密碼模塊，TPCM通過(guò)相應(yīng)的接口與各個(gè)實(shí)體進(jìn)行連接和交互?？尚跑浖尚跑浖?jì)算部件應(yīng)用層支撐機(jī)制服務(wù)策略庫(kù)管理操作系統(tǒng)(可信代理)固件存儲(chǔ)器控制器硬盤(pán)固存I/O外設(shè)可信密碼模塊功能組件基礎(chǔ)軟件硬件可信控制可信度量判定服務(wù)非易失存儲(chǔ)器易失存儲(chǔ)器可信密碼接口(4)操作系統(tǒng)核心層中央處理器可信管理中心內(nèi)部總線串接總線圖2TPCM功能及接口框架6.2硬件層TPCM的功能實(shí)現(xiàn)提供基礎(chǔ)運(yùn)行環(huán)境。硬件組件之間通過(guò)內(nèi)部總線實(shí)現(xiàn)相互連接。根據(jù)連接對(duì)象的不同，計(jì)算部件接口可分為控制器和I/O接口。6.3基礎(chǔ)軟件層基礎(chǔ)軟件層應(yīng)包括固件、操作系統(tǒng)核心，實(shí)現(xiàn)對(duì)TPCM內(nèi)部的資源調(diào)度、任務(wù)管理，以及提供I/O接口驅(qū)動(dòng)及控制。6.4功能組件層功能組件層包括可信控制、可信度量、判定服務(wù)、支撐機(jī)制服務(wù)及策略庫(kù)管理，以及可信軟件基接口。各部分功能如下：5a)可信控制是指TPCM依據(jù)防護(hù)策略和度量結(jié)果，進(jìn)行基于節(jié)點(diǎn)控制部件的總線、電源信號(hào)等方式的控制；b)可信度量是依據(jù)防護(hù)策略，獲取預(yù)設(shè)的計(jì)算部件中防護(hù)對(duì)象有關(guān)內(nèi)存、I/O、固件中的關(guān)鍵數(shù)據(jù)信息，并進(jìn)行密碼運(yùn)算；c)判定服務(wù)為可信軟件基判定機(jī)制的實(shí)現(xiàn)提供支持；d)支撐機(jī)制服務(wù)為可信軟件基提供有關(guān)系統(tǒng)處理的運(yùn)算；e)策略庫(kù)管理對(duì)節(jié)點(diǎn)的可信度量、可信控制等規(guī)則進(jìn)行管理；f)可信軟件基接口為可信軟件基提供功能訪問(wèn)。6.5互聯(lián)接口TPCM通過(guò)互聯(lián)接口實(shí)現(xiàn)訪問(wèn)計(jì)算部件資源、連接可信密碼模塊和提供面向外部的功能訪問(wèn)，接口應(yīng)包括計(jì)算部件接口、可信密碼模塊接口、可信軟件基接口和管理接口。7可信平臺(tái)控制模塊的接口7.1計(jì)算部件接口計(jì)算部件接口主要為總線接口，與節(jié)點(diǎn)計(jì)算部件中不同類(lèi)型的總線相連接，用于訪問(wèn)內(nèi)存、I/O、系統(tǒng)固件等系統(tǒng)資源，并通過(guò)控制器對(duì)系統(tǒng)資源進(jìn)行控制。TPCM可通過(guò)計(jì)算部件總線接口連接計(jì)算部件硬件層的控制器，實(shí)現(xiàn)對(duì)可信計(jì)算節(jié)點(diǎn)的主動(dòng)監(jiān)7.1.3接口輸入/輸出計(jì)算部件接口中總線接口的輸入/輸出應(yīng)符合不同總線標(biāo)準(zhǔn)的數(shù)據(jù)或控制命令。7.2可信軟件基接口可信軟件基接口為軟接口，為可信軟件基提供TPCM功能的調(diào)用。TPCM在提供接口服務(wù)前，應(yīng)先與調(diào)用者進(jìn)行相互認(rèn)證并建立可信的數(shù)據(jù)通道。可信軟件基可通過(guò)該接口調(diào)用TPCM中的度量、控制、判定和支撐等服務(wù)功能，并返回處理數(shù)據(jù)。7.2.3接口輸入/輸出可信軟件基接口的輸入為功能相應(yīng)的輸入?yún)?shù)，輸出為功能執(zhí)行的返回結(jié)果。7.3管理接口管理接口為物理接口，應(yīng)為網(wǎng)絡(luò)或總線接口模式，由可信管理中心訪問(wèn)。67.3.2接口功能TPCM的管理接口應(yīng)包括TPCM自身管理、可信密碼模塊管理、基本信任基管理及日志管理等。各接口功能要求如下：a)TPCM自身管理接口應(yīng)包括TPCM配置管理和安全管理；b)可信密碼模塊管理接口應(yīng)提供TPCM所使用的可信密碼模塊的授權(quán)管理、密鑰管理；c)基本信任基管理接口應(yīng)提供基本信任基的度量值管理與度量策略管理；d)日志管理接口應(yīng)提供TPCM管理行為日志的導(dǎo)出機(jī)制。7.3.3接口輸入/輸出管理接口的輸入應(yīng)包括配置信息、管理命令、TPCM基本信任基的策略及TPCM日志策略；輸出應(yīng)包括TPCM自身的狀態(tài)、可信密碼模塊的狀態(tài)、基本信任基狀態(tài)及TPCM日志信息。7.4可信密碼模塊接口可信密碼模塊接口提供TPCM對(duì)可信密碼模塊訪問(wèn)的I/O通道，接口應(yīng)遵循GB/T29829的規(guī)定。8安全防護(hù)8.1身份鑒別8.1.1用戶分類(lèi)用戶分類(lèi)要求如下：a)TPCM只允許管理員執(zhí)行TPCM配置，管理員應(yīng)具備設(shè)置防護(hù)策略及TPCM的狀態(tài)權(quán)限；b)TPCM可依據(jù)內(nèi)部的驗(yàn)證策略對(duì)計(jì)算部件的用戶進(jìn)行身份鑒別，并根據(jù)鑒別結(jié)果綁定對(duì)應(yīng)的權(quán)限。8.1.2用戶鑒別要求當(dāng)TPCM提供服務(wù)時(shí)，應(yīng)對(duì)訪問(wèn)的身份進(jìn)行鑒別，鑒別要求如下：a)可通過(guò)身份識(shí)別設(shè)備獲取當(dāng)前使用者的身份信息；b)可通過(guò)通信通道獲取當(dāng)前使用者的身份信息；c)用戶可根據(jù)安全防護(hù)需求選擇其他的鑒別方式。8.2資源訪問(wèn)控制TPCM應(yīng)支持對(duì)資源訪問(wèn)的控制，控制的資源可包括內(nèi)存、硬盤(pán)、USB、總線、并口、串口和網(wǎng)絡(luò)等。8.3審計(jì)TPCM應(yīng)對(duì)所執(zhí)行的指令記錄日志，日志應(yīng)包括時(shí)標(biāo)、指令類(lèi)型、執(zhí)行是否成功。審計(jì)日志應(yīng)滿足如下要求：a)日志存儲(chǔ)在非易失性數(shù)據(jù)存儲(chǔ)單元中；b)應(yīng)對(duì)日志的訪問(wèn)進(jìn)行權(quán)限控制，并應(yīng)保證日志的完整性；c)可提供日志記錄安全轉(zhuǎn)移及安全遷移功能。78.4存儲(chǔ)空間安全要求TPCM的存儲(chǔ)空間應(yīng)有如下限制：a)TPCM不對(duì)外開(kāi)放地址空間，對(duì)TPCM的訪問(wèn)應(yīng)通過(guò)TPCM的功能接口實(shí)現(xiàn)；b)TPCM運(yùn)行過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)在失效后應(yīng)及時(shí)清除。8.5數(shù)據(jù)保護(hù)數(shù)據(jù)保護(hù)要求如下。a)TPCM應(yīng)能夠?qū)⒅匾獢?shù)據(jù)與度量值捆綁，實(shí)現(xiàn)數(shù)據(jù)封裝保護(hù)。受保護(hù)的數(shù)據(jù)只能在綁定TPCM的平臺(tái)及特定完整性狀態(tài)下才能被解封。b)TPCM應(yīng)具有安全數(shù)據(jù)遷移、備份與恢復(fù)的功能，遷移、備份與恢復(fù)操作在保證數(shù)據(jù)的機(jī)密性和完整性前提下進(jìn)行。8.6物理防護(hù)在TPCM內(nèi)部應(yīng)使用物理防護(hù)手段實(shí)現(xiàn)對(duì)外部攻擊的防護(hù)，具體要求遵循GM/T0008的規(guī)定。9運(yùn)行維護(hù)TPCM上電啟動(dòng)時(shí)，應(yīng)進(jìn)行主動(dòng)自檢。主動(dòng)自檢對(duì)象應(yīng)包括TCM、設(shè)計(jì)者自定義狀態(tài)標(biāo)識(shí)及TPCM內(nèi)部代碼完整性。TPCM應(yīng)支持被動(dòng)自檢，被動(dòng)自檢對(duì)象包括可信密碼模塊、設(shè)計(jì)者自定義狀態(tài)標(biāo)識(shí)、當(dāng)前用戶身份標(biāo)識(shí)和當(dāng)前用戶身份。自檢異常處理流程為：a)當(dāng)發(fā)生自檢異常時(shí)，TPCM應(yīng)立即發(fā)出自檢失敗信號(hào)，將自檢信息記錄到日志中，然后發(fā)出節(jié)點(diǎn)啟動(dòng)信號(hào)；b)當(dāng)節(jié)點(diǎn)啟動(dòng)程序代碼執(zhí)行啟動(dòng)后，應(yīng)報(bào)告自檢失敗信息，管理員可以選擇重新啟動(dòng)可信計(jì)算節(jié)點(diǎn)、禁用TPCM以非可信方式啟動(dòng)或采取其他措施。9.2狀態(tài)維護(hù)TPCM應(yīng)具有使能和禁用狀態(tài)。具體要求如下。a)出廠默認(rèn)處于禁用狀態(tài)。b)應(yīng)由管理員執(zhí)行使能和禁用狀態(tài)切換操作。c)TPCM處于使能狀態(tài)時(shí)，又分為兩種工作狀態(tài)：有效和無(wú)效狀態(tài)。有效狀態(tài)即是TPCM正常工作時(shí)的狀態(tài)，無(wú)效狀態(tài)即是TPCM不能正常對(duì)外提供服務(wù)時(shí)的狀態(tài)。d)TPCM每次加電啟動(dòng)時(shí)，都要對(duì)使用狀態(tài)進(jìn)行判斷。如果為禁用狀態(tài)，則只能進(jìn)行TPCM的狀態(tài)查詢和使能操作。810證實(shí)方法10.1可信計(jì)算節(jié)點(diǎn)的可信平臺(tái)控制模塊檢查可信計(jì)算節(jié)點(diǎn)設(shè)計(jì)，應(yīng)確認(rèn)TPCM先于主機(jī)計(jì)算部件上電啟動(dòng)，并全程并行于計(jì)算部件運(yùn)行，實(shí)現(xiàn)從計(jì)算部件第一條指令開(kāi)始的可信建立。不但在系統(tǒng)啟動(dòng)過(guò)程中能防止使用經(jīng)篡改的部件來(lái)構(gòu)建運(yùn)行環(huán)境、抵御惡意代碼攻擊，并且在系統(tǒng)運(yùn)行中能動(dòng)態(tài)地保護(hù)運(yùn)行環(huán)境及應(yīng)用程序的可信安全，最終實(shí)現(xiàn)對(duì)計(jì)算系統(tǒng)全生命周期的可信度量和可信控制，如圖3所示。—啟動(dòng)TPCM上動(dòng)防御可信根芯片運(yùn)行中的動(dòng)態(tài)度量可信環(huán)境維護(hù)啟動(dòng)環(huán)境度量建立可信起點(diǎn)待機(jī)圖3TPCM主動(dòng)防御系統(tǒng)10.2可信平臺(tái)控制模塊功能組成檢查T(mén)PCM的模塊電路/芯片版圖等設(shè)計(jì)資料，應(yīng)確認(rèn)其包括中央處理器、存儲(chǔ)器、總線及I/O接口等組成部分。檢查T(mén)PCM內(nèi)部基礎(chǔ)軟件的設(shè)計(jì)資料，應(yīng)確認(rèn)其包含TPCM內(nèi)部的資源調(diào)度、任務(wù)管理提供I/O接口驅(qū)動(dòng)及控制的功能軟件。功能服務(wù)檢測(cè)應(yīng)包括設(shè)計(jì)資料的檢查和運(yùn)行測(cè)試，要求如下：a)檢查T(mén)PCM內(nèi)部基礎(chǔ)軟件的設(shè)計(jì)資料，應(yīng)確認(rèn)其包含主動(dòng)度量、主動(dòng)控制、可信驗(yàn)證、加密保b)啟動(dòng)TPCM,構(gòu)造可激活上述功能服務(wù)的輸入序列，對(duì)上述功能進(jìn)行測(cè)試，應(yīng)確認(rèn)其具備文檔所設(shè)計(jì)的功能。接口的證實(shí)方法見(jiàn)10.3。10.3可信平臺(tái)控制模塊的接口在TPCM軟件中添加計(jì)算部件接口測(cè)試程序，通過(guò)TPCM計(jì)算部件接口訪問(wèn)內(nèi)存、I/O、系統(tǒng)固件9等系統(tǒng)資源，應(yīng)確認(rèn)其可以實(shí)時(shí)獲取系統(tǒng)資源中的信息，并測(cè)試對(duì)I/O總線、電源等系統(tǒng)資源的控制功能，確認(rèn)其具備對(duì)I/O總線、電源的控制能力。10.3.2可信軟件基接口在可信軟件基執(zhí)行向TPCM下達(dá)可信驗(yàn)證、狀態(tài)度量、加密保護(hù)和可信控制等策略的程序，讀取TPCM內(nèi)部的審計(jì)信息，應(yīng)確認(rèn)這些信息中記錄了對(duì)TPCM的訪問(wèn)行為。通過(guò)管理接口輸入配置信息、管理命令、TPCM基本信任基的策略及TPCM日志策略，從管理接口讀取TPCM當(dāng)前狀態(tài)、可信密碼模塊狀態(tài)、基本信任基狀態(tài)及TPCM日志信息，應(yīng)確認(rèn)讀出信息符合預(yù)期。10.3.4可信密碼模塊接口在可信密碼模塊接口上根據(jù)可信密碼模塊標(biāo)準(zhǔn)對(duì)接可信密碼模塊，在TPCM中編寫(xiě)訪問(wèn)可信密碼模塊接口的測(cè)試軟件，應(yīng)確認(rèn)訪問(wèn)結(jié)果符合預(yù)期。10.4安全防護(hù)10.4.1身份鑒別身份鑒別的檢查包括存在性檢查與有效性檢查，內(nèi)容如下：a)檢查T(mén)PCM用戶的身份，應(yīng)確認(rèn)其登錄時(shí)需執(zhí)行身份鑒別操作；b)應(yīng)確認(rèn)身份鑒別的有效性，使用非法用戶身份，或使用合法用戶身份與錯(cuò)誤口令進(jìn)行身份鑒別，鑒別過(guò)程會(huì)失敗，使用合法用戶身份、合法口令進(jìn)行身份鑒別，鑒別過(guò)程成功。10.4.2資源訪問(wèn)控制在TPCM內(nèi)部設(shè)置對(duì)TPCM可控制資源的訪問(wèn)控制，在計(jì)算部件中嘗試訪問(wèn)可控制資源，應(yīng)確認(rèn)訪問(wèn)控制起到了作用。審計(jì)功能需檢查下列內(nèi)容。a)對(duì)已生成審計(jì)日志的TPCM進(jìn)行斷電重啟等操作，再讀取審計(jì)日志，應(yīng)確認(rèn)所生成的審計(jì)日志未丟失。b)應(yīng)確認(rèn)分別使用授權(quán)用戶和非授權(quán)用戶訪問(wèn)審計(jì)日志，授權(quán)用戶能訪問(wèn)審計(jì)日志，非授權(quán)用戶不能訪問(wèn)審計(jì)日志。應(yīng)確認(rèn)嘗試以授權(quán)用戶修改審計(jì)日志