信息安全技術(shù) 可信計(jì)算規(guī)范 可信平臺(tái)控制模塊-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批資料工作簡(jiǎn)況任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的國(guó)家標(biāo)準(zhǔn)制訂計(jì)劃，由華大半導(dǎo)體有限公司牽頭編制《信息安全技術(shù)可信平臺(tái)控制模塊規(guī)范》（國(guó)標(biāo)計(jì)劃號(hào)：2018xxxx-T-xxx）標(biāo)準(zhǔn)編制的主要成員單位項(xiàng)目成員單位主要包括：華大半導(dǎo)體有限公司、北京工業(yè)大學(xué)、全球能源互聯(lián)網(wǎng)研究院有限公司、同濟(jì)大學(xué)、北京可信華泰信息技術(shù)有限公司、中船重工集團(tuán)709研究所、武漢大學(xué)、上海兆芯集成電路有限公司、北京新云東方系統(tǒng)科技有限責(zé)任公司、浪潮（北京）電子信息產(chǎn)業(yè)有限公司、中安科技集團(tuán)有限公司、玖章信息科技有限公司、藍(lán)瑪卓信科技（上海）有限公司、阿里巴巴集團(tuán)公司等主要工作過(guò)程2018年10月9日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》由牽頭單位華大半導(dǎo)體有限公司在上海主持召開(kāi)TPCM草案首次全體成員會(huì)議，召集了可信計(jì)算業(yè)內(nèi)的主要企業(yè)與研究所等單位約50名專(zhuān)家進(jìn)行現(xiàn)場(chǎng)封閉會(huì)議研討。會(huì)上就TCM與TPCM關(guān)系、TPCM主動(dòng)度量技術(shù)、雙體系結(jié)構(gòu)等焦點(diǎn)問(wèn)題進(jìn)行了討論。會(huì)議完成了標(biāo)準(zhǔn)的主體章節(jié)構(gòu)建。2018年10月15日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》國(guó)家標(biāo)準(zhǔn)研討會(huì)在北京聘請(qǐng)了沈昌祥院士對(duì)標(biāo)準(zhǔn)草案框架內(nèi)容進(jìn)行指導(dǎo)。會(huì)議主要對(duì)標(biāo)準(zhǔn)描述的細(xì)化程度進(jìn)行了咨詢(xún)，特別是關(guān)于TPCM模塊的工程實(shí)現(xiàn)問(wèn)題。沈昌祥院士指出，TPCM工程實(shí)現(xiàn)不限定方式，既可以通過(guò)多核CPU方式實(shí)現(xiàn)，也可通過(guò)外部獨(dú)立芯片實(shí)現(xiàn)，TPCM國(guó)家標(biāo)準(zhǔn)制定應(yīng)從頂層框架角度考慮。2018年10月17日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》國(guó)家標(biāo)準(zhǔn)草案在北京進(jìn)行了組內(nèi)專(zhuān)家的評(píng)審。專(zhuān)家意見(jiàn)集中在TPCM在系統(tǒng)的位置，明確它與主機(jī)、TSB、TCM的關(guān)系，以及與上下層接口關(guān)系；信任相關(guān)的建立過(guò)程；標(biāo)準(zhǔn)中對(duì)策略的描述；可信驗(yàn)證的流程等。專(zhuān)家建議盡快根據(jù)意見(jiàn)修改后提交會(huì)議周進(jìn)行工作組討論。2018年10月26日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》國(guó)家標(biāo)準(zhǔn)草案在青島進(jìn)行了WG3組成員單位專(zhuān)家的上會(huì)討論。會(huì)議主要對(duì)草案進(jìn)行專(zhuān)家及成員單位的審議，專(zhuān)家問(wèn)題主要集中在標(biāo)準(zhǔn)的原理性描述過(guò)多，缺少功能要求描述內(nèi)容。會(huì)議上，編制組對(duì)產(chǎn)業(yè)應(yīng)用問(wèn)題進(jìn)行了回復(fù)，并詳細(xì)記錄了專(zhuān)家的修改意見(jiàn)。2018年11月-2019年3月，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》工作組多次召開(kāi)組內(nèi)研討會(huì)，針對(duì)前階段會(huì)議建議及分歧點(diǎn)進(jìn)行了整理、綜合分析，經(jīng)過(guò)仔細(xì)辯論，編制組通過(guò)封閉會(huì)議對(duì)標(biāo)準(zhǔn)結(jié)構(gòu)進(jìn)行了比較大幅度調(diào)整，并成立章節(jié)小組進(jìn)行了內(nèi)容的細(xì)化編制。2019年3月28日，項(xiàng)目組聯(lián)合相關(guān)產(chǎn)業(yè)單位召開(kāi)研討會(huì)。此次會(huì)議主要的目的是對(duì)《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》草案的修改及更新內(nèi)容向成員單位進(jìn)行匯報(bào)和意見(jiàn)收集，為專(zhuān)家審查及寧波會(huì)議周上會(huì)討論做最后準(zhǔn)備。此次會(huì)議對(duì)TPCM支撐的可信計(jì)算平臺(tái)雙體系框架框圖及可信驗(yàn)證功能流程等細(xì)節(jié)部分進(jìn)行了描述的規(guī)范性調(diào)整。2019年4月11日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》工作組召開(kāi)了工作組專(zhuān)家評(píng)審會(huì)，項(xiàng)目組根據(jù)專(zhuān)家意見(jiàn)對(duì)標(biāo)準(zhǔn)和編制說(shuō)明進(jìn)行了訂正。將封面、標(biāo)題、正文格式進(jìn)一步進(jìn)行規(guī)范化；統(tǒng)一對(duì)名詞、接口的描述；特別是對(duì)第9章進(jìn)行了詳細(xì)描述修改。2019年4月21日，《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》國(guó)家標(biāo)準(zhǔn)草案在寧波信安標(biāo)委工作組會(huì)議周進(jìn)行了研討。會(huì)上WG3專(zhuān)家及成員單位在框架、標(biāo)準(zhǔn)名稱(chēng)、標(biāo)準(zhǔn)內(nèi)容給予了寶貴的意見(jiàn)，并建議該標(biāo)準(zhǔn)為與其它可信計(jì)算系列標(biāo)準(zhǔn)統(tǒng)一，將標(biāo)準(zhǔn)名稱(chēng)《信息安全技術(shù)可信平臺(tái)控制模塊規(guī)范》更改為《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》。按照建議，細(xì)化TPCM硬件包含內(nèi)容和接口、添加了可信計(jì)算平臺(tái)和可信管理中心的定義、刪減了與TPCM沒(méi)有直接關(guān)系的模塊并增加了模塊說(shuō)明。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題標(biāo)準(zhǔn)編制原則標(biāo)準(zhǔn)編制原則為：自主性原則：建立符合我國(guó)國(guó)情的具有自主知識(shí)產(chǎn)權(quán)的可信計(jì)算技術(shù)體系，從源頭上保證信息安全，保護(hù)國(guó)家安全。系統(tǒng)性原則：建立可信平臺(tái)控制模塊標(biāo)準(zhǔn)要從系統(tǒng)的角度出發(fā)。可信計(jì)算體系覆蓋范圍廣，而可信平臺(tái)控制模塊是整個(gè)可信計(jì)算體系的基礎(chǔ)，要充分考慮可信計(jì)算體系中各部分與可信平臺(tái)控制模塊間的關(guān)系。協(xié)調(diào)性原則：確?，F(xiàn)有，正在制定和將要制定的涉及不同行業(yè)的國(guó)家標(biāo)準(zhǔn)以及與行業(yè)標(biāo)準(zhǔn)，特別是等級(jí)保護(hù)標(biāo)準(zhǔn)之間的協(xié)調(diào)性，還要考慮與相關(guān)標(biāo)準(zhǔn)體系的協(xié)調(diào)性。銜接性原則：可信計(jì)算是一個(gè)復(fù)雜的體系，要確?？尚牌脚_(tái)控制模塊與可信體系中的其它標(biāo)準(zhǔn)間的銜接性以保證標(biāo)準(zhǔn)體系的配套性，從而發(fā)揮標(biāo)準(zhǔn)體系的綜合作用。相關(guān)性原則：按照相關(guān)程度，選擇和可信平臺(tái)控制模塊直接相關(guān)的，相互影響，相互銜接的標(biāo)準(zhǔn)納入到本安全標(biāo)準(zhǔn)體系中。兼容性原則：可信平臺(tái)控制模塊標(biāo)準(zhǔn)應(yīng)與國(guó)內(nèi)的相關(guān)安全標(biāo)準(zhǔn)如加密標(biāo)準(zhǔn)等保持兼容，以保證能互連互通。開(kāi)放性原則：制定的可信平臺(tái)控制模塊標(biāo)準(zhǔn)應(yīng)是一個(gè)開(kāi)放的體系，允許通過(guò)動(dòng)態(tài)擴(kuò)展來(lái)滿(mǎn)足增強(qiáng)的安全性要求，保持先進(jìn)性。確定主要內(nèi)容的依據(jù)標(biāo)準(zhǔn)制定的依據(jù)為：依據(jù)《商用密碼管理?xiàng)l例》（國(guó)務(wù)院273號(hào)令）、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)），旨在推動(dòng)我國(guó)可信計(jì)算應(yīng)用的可持續(xù)發(fā)展。解決的主要問(wèn)題可信平臺(tái)控制模塊(TPCM)是承載我國(guó)可信計(jì)算標(biāo)準(zhǔn)體系的底層平臺(tái)，是獨(dú)立于主機(jī)實(shí)施安全控制的關(guān)鍵部件，以可信雙系統(tǒng)架構(gòu)方式搭建防護(hù)系統(tǒng)時(shí)，擔(dān)負(fù)著在硬件層面實(shí)現(xiàn)對(duì)主機(jī)監(jiān)控、管理TCM等可信密碼資源的任務(wù)，同時(shí)也支撐著可信計(jì)算機(jī)系統(tǒng)初始化過(guò)程中靜態(tài)度量的任務(wù)。它是我國(guó)可信計(jì)算體系的重要環(huán)節(jié)，也是支撐國(guó)內(nèi)等級(jí)保護(hù)2.0要求中建可信鏈、動(dòng)態(tài)度量和實(shí)時(shí)控制等功能的基礎(chǔ)部件。因此，本標(biāo)準(zhǔn)制定時(shí)，首先考慮TPCM在雙系統(tǒng)體系架構(gòu)下，如何發(fā)揮作用，特別是如何獨(dú)立于CPU、先于CPU對(duì)系統(tǒng)進(jìn)行監(jiān)控，以確保基于TPCM構(gòu)建的可信平臺(tái)，其底層安全控制權(quán)可以從TPCM出發(fā)。同時(shí)，也考慮到開(kāi)發(fā)商在非高安全級(jí)別環(huán)境中，期望依托TPCM來(lái)構(gòu)建系統(tǒng)信任鏈，為應(yīng)用提供可信服務(wù)功能的需求，確認(rèn)TPCM可以為這一需求提供支持。本標(biāo)準(zhǔn)主要規(guī)定TPCM為完成上述任務(wù)，所應(yīng)實(shí)現(xiàn)的功能流程，應(yīng)具備的功能模塊，與主機(jī)、TSB、TPCM管理和TCM之間的接口，以及其自身的安全防護(hù)和運(yùn)行維護(hù)要求，以明確如下幾個(gè)問(wèn)題：TPCM在可信計(jì)算體系中的位置。因?yàn)楸緲?biāo)準(zhǔn)主要考慮的是TPCM支撐雙體系架構(gòu)的應(yīng)用場(chǎng)景，所以在標(biāo)準(zhǔn)第5章描述了TPCM支撐的可信計(jì)算功能框架，如標(biāo)準(zhǔn)圖1所示。圖中明確TPCM是系統(tǒng)的底層硬件，其向下調(diào)用可信密碼模塊獲取密碼支撐，向上接收可信軟件基下發(fā)的策略，在硬件層面直接與計(jì)算組件交互以實(shí)現(xiàn)對(duì)計(jì)算部件的主動(dòng)監(jiān)控。應(yīng)用TPCM的系統(tǒng)一般對(duì)安全有較高要求，可類(lèi)比等級(jí)保護(hù)標(biāo)準(zhǔn)中三級(jí)及以上信息系統(tǒng)。在這些信息系統(tǒng)中，一般需要建設(shè)由安全管理中心集中管理安全保障體體系。此時(shí)，TPCM的使用模式可如圖1所示：圖1：TPCM在集中管理的安裝保障體系中的應(yīng)用方式圖中，安全管理中心的基本信任基策略（包括初始策略和初始度量基準(zhǔn)值等）通過(guò)安全信道（如專(zhuān)用設(shè)備接口，安全的網(wǎng)絡(luò)通信）由TPCM管理程序部署到TPCM中。在可信平臺(tái)運(yùn)行過(guò)程中，安全管理中心下發(fā)的安全策略則可以通過(guò)可信網(wǎng)絡(luò)連接傳到可信平臺(tái)的可信軟件基中，其中系統(tǒng)底層控制策略由可信軟件基下發(fā)到TPCM中，由TPCM與系統(tǒng)的固件/硬件控制點(diǎn)對(duì)接以實(shí)施底層安全控制。此外，TPCM在資源充足的情況下，還可以為T(mén)SB提供一個(gè)受保護(hù)的、獨(dú)立于計(jì)算部件的運(yùn)行環(huán)境（圖一中虛線所示），以增強(qiáng)可信部件的保障能力。在一些對(duì)動(dòng)態(tài)度量要求不高或不需要雙系統(tǒng)體系架構(gòu)的場(chǎng)合，也可以取消可信軟件基，由TPCM管理程序管理TPCM，向上層提供靜態(tài)的可信度量與控制功能支持。TPCM主要為主機(jī)做什么標(biāo)準(zhǔn)第6章規(guī)定了TPCM的驗(yàn)證流程，說(shuō)明TPCM可在主機(jī)啟動(dòng)階段進(jìn)行可信平臺(tái)啟動(dòng)驗(yàn)證，在程序加載階段進(jìn)行應(yīng)用程序可信驗(yàn)證，在程序執(zhí)行階段進(jìn)行執(zhí)行環(huán)節(jié)動(dòng)態(tài)驗(yàn)證，在系統(tǒng)運(yùn)行期間執(zhí)行實(shí)時(shí)驗(yàn)證關(guān)聯(lián)感知，并可以為網(wǎng)絡(luò)連接提供認(rèn)證。TPCM組成結(jié)構(gòu)標(biāo)準(zhǔn)第7章從邏輯上劃分了TPCM的結(jié)構(gòu)，規(guī)定TPCM硬件上應(yīng)是一個(gè)包含處理器、易失存儲(chǔ)器和非易失存儲(chǔ)器、總線和I/O接口組成的具有獨(dú)立性的系統(tǒng)，軟件上則包含操作系統(tǒng)、基本輸入輸出系統(tǒng)和功能模塊，并為主機(jī)、TSB、TPCM管理和TCM提供接口。TPCM與周邊的交互方式標(biāo)準(zhǔn)第8章規(guī)定了TPCM與計(jì)算部件、TSB、TPCM管理以及TCM的功能接口方式、類(lèi)型、和輸入、輸出要求。其中對(duì)計(jì)算部件的接口包括訪問(wèn)內(nèi)存、IO、系統(tǒng)固件等系統(tǒng)資源，并對(duì)IO總線、電源等。對(duì)TSB則主要是提供可信認(rèn)證、主動(dòng)度量、加密保護(hù)、主動(dòng)控制和可信報(bào)告等接口。對(duì)TPCM管理則是提供TPCM自身管理、TCM管理、基本信任基（對(duì)應(yīng)TPCM中可信啟動(dòng)驗(yàn)證部分）以及管理日志的接口，考慮到現(xiàn)代信息系統(tǒng)遠(yuǎn)程可信管理的普遍需求，管理接口應(yīng)支撐網(wǎng)絡(luò)接口方式。對(duì)TCM則應(yīng)提供符合TCM要求的I/O接口，并可以讓對(duì)計(jì)算部件對(duì)接到TCM功能服務(wù)接口上。因?yàn)榻涌诘募?xì)節(jié)涉及到多個(gè)模塊及其具體功能的確定，和平臺(tái)與使用場(chǎng)景也有關(guān)系，以后需要為不同接口定制專(zhuān)門(mén)的接口標(biāo)準(zhǔn)，當(dāng)前的標(biāo)準(zhǔn)只用來(lái)確定接口的分類(lèi)和主要用途。而TPCM作為一個(gè)內(nèi)部包含核心軟件的平臺(tái)，應(yīng)有能力實(shí)現(xiàn)接口的升級(jí)以適應(yīng)未來(lái)接口標(biāo)準(zhǔn)的要求。TPCM安全防護(hù)。標(biāo)準(zhǔn)第9章規(guī)定了TPCM安全防護(hù)要求。在安全防護(hù)上，要求TPCM具備身份鑒別功能以鑒別合法與非法用戶(hù)，要求TPCM具備資源訪問(wèn)控制功能以防范非授權(quán)的信息竊取與篡改，要求TPCM具備審計(jì)功能以記錄對(duì)TPCM的操作以備追查，對(duì)TPCM的存儲(chǔ)空間提出不開(kāi)放地址、清除臨時(shí)數(shù)據(jù)等要求以保護(hù)存儲(chǔ)空間安全，對(duì)TPCM的數(shù)據(jù)保護(hù)提出封裝、安全數(shù)據(jù)遷移及備份等要求，以保護(hù)TPCM的數(shù)據(jù)，對(duì)TPCM的物理防護(hù)提出要求，以保護(hù)整個(gè)TPCM的計(jì)算環(huán)境。TPCM運(yùn)行維護(hù)要求標(biāo)準(zhǔn)第10章規(guī)定了TPCM運(yùn)行維護(hù)的要求，包括TPCM啟動(dòng)時(shí)的主動(dòng)自檢、收到自檢命令后的被動(dòng)自檢、自檢的異常處理以及狀態(tài)維護(hù)的要求。本標(biāo)準(zhǔn)主要規(guī)范了可信平臺(tái)控制模塊（TPCM）的功能定義；提出了TPCM的系統(tǒng)組成框架、TPCM操作系統(tǒng)功能規(guī)范；明晰了TPCM的防護(hù)機(jī)制和信任體系建立過(guò)程；明確了可信平臺(tái)控制模塊與其它組成部分（計(jì)算部件、TSB、管理程序、TCM）之間的接口；定義了TPCM的安全防護(hù)要求以及運(yùn)行維護(hù)要求。標(biāo)準(zhǔn)主要內(nèi)容：第5章TPCM支撐的可信計(jì)算平臺(tái)雙體系框架定義了基于TPCM的計(jì)算部件與防護(hù)部件并行的雙體系可信計(jì)算功能框架第6章可信平臺(tái)功能流程規(guī)定了TPCM主要的可信驗(yàn)證功能流程第7章TPCM功能架構(gòu)從邏輯上劃分了TPCM的結(jié)構(gòu)，規(guī)定了TPCM的基礎(chǔ)硬件資源、基礎(chǔ)軟件、功能服務(wù)，給出了功能接口的分類(lèi)。第8章TPCM接口規(guī)定了TPCM對(duì)主機(jī)、TSB、TPCM管理和TCM的四類(lèi)接口的類(lèi)型、功能和輸入/輸出要求。第9章安全防護(hù)規(guī)定了TPCM實(shí)現(xiàn)安全防護(hù)所需的身份鑒別、資源訪問(wèn)控制、審計(jì)、存儲(chǔ)空間安全、數(shù)據(jù)保護(hù)、物理防護(hù)等安全要求第10章運(yùn)行維護(hù)規(guī)定了TPCM運(yùn)行時(shí)所需的自檢、狀態(tài)維護(hù)等功能要求主要試驗(yàn)[或驗(yàn)證]情況分析華大半導(dǎo)體有限公司、國(guó)民技術(shù)、國(guó)網(wǎng)、阿里巴巴等芯片和應(yīng)用單位對(duì)標(biāo)準(zhǔn)內(nèi)容在服務(wù)器、嵌入式系統(tǒng)、數(shù)據(jù)傳輸單元（DTU）、工業(yè)PLC等領(lǐng)域進(jìn)行了試用驗(yàn)證，達(dá)到預(yù)期防御效果。知識(shí)產(chǎn)權(quán)情況說(shuō)明無(wú)。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況無(wú)。與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性與標(biāo)準(zhǔn)體系中的其他標(biāo)準(zhǔn)：GB/T29827—2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口GB/T29828—2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T29829—2013信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范GB/TAAAAA—AAAA信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T36639—2018信息安全技術(shù)可信計(jì)算規(guī)范服務(wù)器可信支撐平臺(tái)協(xié)調(diào)無(wú)沖突。重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)在本標(biāo)準(zhǔn)編制過(guò)程當(dāng)中，有單位提出本標(biāo)準(zhǔn)應(yīng)當(dāng)清晰定義TPCM的功能，并說(shuō)明與可信密碼模塊TCM之間的關(guān)系。本標(biāo)準(zhǔn)采納了該意見(jiàn)，給出了TPCM的功能定義，并對(duì)于TPCM與TCM之間的關(guān)系進(jìn)行了說(shuō)明。有單位提出了期望TPCM提供兼容TCG標(biāo)準(zhǔn)規(guī)范的使用方式的需求。本標(biāo)準(zhǔn)主要討論雙系統(tǒng)體系架構(gòu)TPCM應(yīng)用模式，因此在正文中未提及相關(guān)說(shuō)明。標(biāo)準(zhǔn)制定方討論了現(xiàn)有TPCM標(biāo)準(zhǔn)支持該應(yīng)用方式的可行性，結(jié)論是現(xiàn)有TPCM標(biāo)準(zhǔn)所規(guī)定的TPCM架構(gòu)并不會(huì)限制此種應(yīng)