T-ZISIA 03-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求

1i前言 I 12規(guī)范性引用文件 13術(shù)語和定義 14符號(hào)和縮略語 15計(jì)算基礎(chǔ)環(huán)境概述 26處理器技術(shù)要求 27內(nèi)存安全技術(shù)要求 38固件技術(shù)要求 3 38.2統(tǒng)一可擴(kuò)展固件接口 38.3安全固件引導(dǎo)啟動(dòng) 39操作系統(tǒng)技術(shù)要求 49.1安全中心 49.2Linux安全模塊 410可信執(zhí)行環(huán)境技術(shù)要求 510.1可信應(yīng)用 510.2密碼服務(wù) 510.3存儲(chǔ) 510.4管理模式 511安全API技術(shù)要求 5附錄A（資料性）UEFI固件度量?jī)?nèi)容項(xiàng)及其要求 7附錄B（資料性）安全中心功能列表 8參考文獻(xiàn) 9I本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：奇安信科技集團(tuán)股份有限公司、中電（海南）聯(lián)合創(chuàng)新研究院有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、飛騰信息技術(shù)有限公司、麒麟軟件有限公司、北京源堡科技有限公司、中國長(zhǎng)城科技集團(tuán)股份有限公司、北方工業(yè)大學(xué)、深圳云安寶科技有限公司、南京信風(fēng)網(wǎng)絡(luò)有限公司、云南電網(wǎng)有限責(zé)任公司信息中心、海南金墾賽博信息科技有限公司。本文件主要起草人：黃明、張珂?zhèn)?、程永靈、王長(zhǎng)帥、楊偉萍、楊洪鵬、劉浩、魏淑華、邱浩、戰(zhàn)茅、姚磊、羅洪毅、張大朋、李建、肖鵬、楊有桂、于晴、鄒冬、林俊、王國華、王海洋、陳曉峰、常凱翔、張沁園、王喆、曹金。計(jì)算基礎(chǔ)環(huán)境作為增強(qiáng)計(jì)算系統(tǒng)的基礎(chǔ)元素集合，正面臨著體系結(jié)構(gòu)缺乏免疫力、產(chǎn)品應(yīng)用補(bǔ)修漏洞不及時(shí)、常規(guī)安全防護(hù)機(jī)制降低CPU功效等問題。為了提升其在操作過程中的安全性和可控性，需要建立一套完善的技術(shù)要求標(biāo)準(zhǔn)，以保障整體系統(tǒng)在各個(gè)層面上達(dá)到最高的安全性水平。結(jié)合國內(nèi)行業(yè)發(fā)展以及自主創(chuàng)新計(jì)算技術(shù)現(xiàn)狀，著眼于T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》中自身安全防御層的基礎(chǔ)共性安全部分，本文件綜合應(yīng)用同系列標(biāo)準(zhǔn)T/ZISIA02-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求》以及T/ZISIA04-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求》中可信計(jì)算內(nèi)容，規(guī)范了一種以安全芯片為基礎(chǔ)，具有主動(dòng)度量功能以及安全可信引導(dǎo)等技術(shù)的計(jì)算基礎(chǔ)環(huán)境機(jī)制，包括計(jì)算基礎(chǔ)環(huán)境的概述以及處理器技術(shù)、可信引導(dǎo)、內(nèi)核安全和系統(tǒng)安全等關(guān)鍵技術(shù)要求。通過這些要求，提高自主創(chuàng)新基礎(chǔ)環(huán)境在工作過程中的安全性、可控性和穩(wěn)定性，提高整體系統(tǒng)在不同環(huán)境下的適應(yīng)性和可靠性，為整機(jī)生產(chǎn)商、應(yīng)用軟件開發(fā)商、外設(shè)產(chǎn)品開發(fā)商等廠商的研發(fā)適配提供參考。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求本文件提出了自主創(chuàng)新型計(jì)算基礎(chǔ)環(huán)境的安全要求，規(guī)定了可信引導(dǎo)、內(nèi)核安全和系統(tǒng)安全等安全技術(shù)要求。本文件適用于自主創(chuàng)新型信息技術(shù)產(chǎn)品的安全功能設(shè)計(jì)、開發(fā)與測(cè)試，也為整機(jī)生產(chǎn)商、應(yīng)用軟件開發(fā)商、外設(shè)產(chǎn)品開發(fā)商等廠商的研發(fā)適配提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20272-2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T36630.1-2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)第1部分：總則GB/T25069-2022信息安全技術(shù)術(shù)語GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架T/ZISIA02-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求T/ZISIA04-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求3術(shù)語和定義GB/T25069界定的術(shù)語和定義以及下列術(shù)語和定義適用于本文件：3.1自主創(chuàng)新型autonomousandinnovative信息技術(shù)產(chǎn)品的核心技術(shù)由國內(nèi)生產(chǎn)廠商自主掌握，供應(yīng)鏈不受其他國家實(shí)體的控制，且符合信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)標(biāo)準(zhǔn)的屬性。[來源：T/ZISIA01-2024，3.1]3.2計(jì)算基礎(chǔ)環(huán)境computinginfrastructureenvironment用于支撐和增強(qiáng)計(jì)算系統(tǒng)的基礎(chǔ)元素集合，包括計(jì)算芯片、固件、操作系統(tǒng)、存儲(chǔ)等。3.3可信軟件基trustedsoftwarebase為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。[來源：GB/T37935—2019，3.3]3.4固件firmware固化到計(jì)算機(jī)中的非易失性存儲(chǔ)器中的一組程序或軟件，為計(jì)算機(jī)提供最基本的硬件初始化，還可能向上層軟件提供底層硬件的訪問接口或服務(wù)。3.5工作網(wǎng)絡(luò)worknetwork是一種基于節(jié)點(diǎn)之間的相互連接形成的，有秩序和邊界的通信網(wǎng)絡(luò)。4符號(hào)和縮略語下列符號(hào)和縮略語適用于本文件。ACPI：高級(jí)配置和電源接口（AdvancedConfigurationandPowerInterface）CPU：中央處理器（CentralProcessingUnit）2DAC：自主訪問控制(DiscretionaryAccessControl)LSM：Linux安全模塊（LinuxSecurityModule）MM：管理模式（ManagementMode）MMU：內(nèi)存管理單元（MemoryManagementUnit）OS：操作系統(tǒng)（OperatingSystem）PBF：處理器基礎(chǔ)固件（ProcessorBaseFirmware）RAS：可靠性，可用性，可服務(wù)性（Reliability,Availability,andServiceability）REE：通用執(zhí)行環(huán)境（RichExecutionEnvironment）ROM：只讀存儲(chǔ)器（Read-OnlyMemory）SMBIOS：系統(tǒng)管理BIOS（SystemManagementBIOS）SMC：安全監(jiān)控呼叫（SecureMonitorCall）SPI：串行外設(shè)接口（SerialPeripheralInterface）TA：可信應(yīng)用（TrustedApplication）TCM：可信加密模塊（TrustedCryptographyModule）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TOS：可信的操作系統(tǒng)（TrustedOperatingSystem）TPCM：可信平臺(tái)控制模塊（trustedplatformcontrolmodule）TSB：可信軟件基（TrustedSoftwareBase）UEFI：統(tǒng)一可擴(kuò)展固件接口（UnifiedExtensibleFirmwareInterface）I2C：一種總線結(jié)構(gòu)，簡(jiǎn)稱集成電路總線，它是一種串行通信總線（Inter-InteggratedCircuit）5計(jì)算基礎(chǔ)環(huán)境概述根據(jù)T/ZISIA01-2024自身安全防御部分要求，計(jì)算基礎(chǔ)環(huán)境安全要求重點(diǎn)關(guān)注基礎(chǔ)共性安全問題。其架構(gòu)見下圖，分為可信引導(dǎo)層、內(nèi)核安全層、系統(tǒng)安全層3層。同時(shí)，系統(tǒng)用戶權(quán)限應(yīng)按“系統(tǒng)授權(quán)”原則分別設(shè)立安全管理員、系統(tǒng)管理員、審計(jì)管理員，實(shí)現(xiàn)管理員“三權(quán)分立”功能。其中，安全管理員主要對(duì)系統(tǒng)中的安全策略進(jìn)行配置；系統(tǒng)管理員負(fù)責(zé)系統(tǒng)資源管理和運(yùn)行進(jìn)行配置、控制和管理；審計(jì)管理員負(fù)責(zé)對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理。6處理器技術(shù)要求處理器的內(nèi)生可信計(jì)算應(yīng)根據(jù)T/ZISIA04-2024要求，將處理器核隔離為可信核和計(jì)算核，具備主動(dòng)度量特性，滿足可信計(jì)算3.0的雙體系計(jì)算架構(gòu)，實(shí)現(xiàn)對(duì)整個(gè)平臺(tái)的主動(dòng)控制。3具體要求如下：a)CPU核動(dòng)態(tài)隔離應(yīng)支持以下三種模式：1)同步模式：每個(gè)CPU核都可以進(jìn)入安全態(tài)，執(zhí)行SMC服務(wù)調(diào)用；2)異步模式：有特定核被限制在安全態(tài)運(yùn)行，其他核不再提供安全態(tài)服務(wù)能力，OS通過異步調(diào)用模式使用其服務(wù)；3)混合模式：有特定核被限制在安全態(tài)運(yùn)行提供異步服務(wù)，其他核可以進(jìn)行同步服務(wù)調(diào)用，同時(shí)支持同步和異步服務(wù)調(diào)用，該模式為缺省模式。b)CPU可信核及其專用硬件資源應(yīng)能和可信固件（包含實(shí)現(xiàn)TOS、TCM、TSB功能的軟件）組成可信環(huán)境。c)CPU雙體系機(jī)制的可信根應(yīng)為PBF，由PBF分別對(duì)TEE和UEFI進(jìn)行度量，度量成功后，將控制權(quán)限給UEFI。d)PBF應(yīng)可劃分可信資源，并負(fù)責(zé)可信執(zhí)行環(huán)境與通用執(zhí)行環(huán)境的管理和切換等運(yùn)行服務(wù)。7內(nèi)存安全技術(shù)要求安全內(nèi)存主要由安全密鑰、安全規(guī)則以及安全日志等安全功能組成。安全規(guī)則主要用于定義一組安全內(nèi)存區(qū)域，安全日志用于記錄被非法訪問的地址信息。內(nèi)存條安全區(qū)應(yīng)支持以下功能：a)安全內(nèi)存驅(qū)動(dòng)在初始化時(shí)應(yīng)獲取到相應(yīng)的I2C總線信息，包括安全密鑰的獲取/匹配、安全規(guī)則的設(shè)置/刪除以及安全日志的獲取等；b)應(yīng)提供對(duì)內(nèi)存安全區(qū)段的讀寫保護(hù)，可實(shí)現(xiàn)有只讀、只寫、讀寫、不可訪問等狀態(tài)；c)安全規(guī)則應(yīng)根據(jù)規(guī)則記錄的保護(hù)屬性決定操作是否為非法。如果為非法操作，安全內(nèi)存模組應(yīng)能阻止該操作，并且在安全日志中生成一個(gè)標(biāo)記非法訪問的地址記錄。8固件技術(shù)要求雙體系架構(gòu)軟件涉及引導(dǎo)ROM、處理器基礎(chǔ)固件、通用執(zhí)行環(huán)境和可信執(zhí)行環(huán)境等各個(gè)執(zhí)行階段?？尚艈?dòng)流程貫穿引導(dǎo)ROM、PBF、通用固件、操作系統(tǒng)等整個(gè)執(zhí)行流程。8.1固件PBF與TOS存儲(chǔ)在一塊區(qū)域，UEFI單獨(dú)存儲(chǔ)在一塊區(qū)域。更新時(shí)PBF與TOS一起更新，UEFI的更新需要通過調(diào)用TOS安全SPI接口進(jìn)行操作。8.2統(tǒng)一可擴(kuò)展固件接口UEFI應(yīng)基于前述處理器及其PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動(dòng)及加載操作系統(tǒng)時(shí)間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。固件架構(gòu)提供核心虛擬機(jī)，防止固件攻擊，并可掛載SMBIOS、ACPI、PSCI等驅(qū)動(dòng)。UEFI固件度量范圍及UEFI度量項(xiàng)目詳見附錄A，ARM系列芯片主要遵循以下國際標(biāo)準(zhǔn)：a)UEFI2.7b)ACPI6.1c)SMBIOS3.2d)ArmBaseBootRequirementse)ArmSystemReadyRequirementsSpecificationf)ArmServerBaseSystemArchitecture通用可信安全部分遵循TCM/TPM/UEFI安全啟動(dòng)標(biāo)準(zhǔn)。8.3安全固件引導(dǎo)啟動(dòng)根據(jù)T/ZISIA02-2024安全可信啟動(dòng)設(shè)計(jì)原則等要求，UEFI基于芯片及PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動(dòng)至加載操作系統(tǒng)時(shí)間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。如此，與PBF、TOS、操作系統(tǒng)一起，構(gòu)成完整的信任鏈。在固件啟動(dòng)引導(dǎo)階段，應(yīng)支持以下啟動(dòng)功能：4a)安全固件引導(dǎo)程序應(yīng)支持完整性度量校驗(yàn)；b)對(duì)內(nèi)核等所有關(guān)鍵文件的度量校驗(yàn)均通過后，加載并引導(dǎo)操作系統(tǒng)啟動(dòng)；c)存在一個(gè)或多個(gè)關(guān)鍵文件度量校驗(yàn)不通過時(shí)，終止操作系統(tǒng)的引導(dǎo)啟動(dòng)。9操作系統(tǒng)技術(shù)要求TOS和CPU應(yīng)主導(dǎo)基于國際GP標(biāo)準(zhǔn)制定的同步度量SMC調(diào)用接口，并通過UEFI調(diào)用同步SMC接口完成度量工作。操作系統(tǒng)安全能力應(yīng)滿足以下通用要求：a)支持基于證書的軟件包簽名和驗(yàn)證的軟件安裝控制，軟件包驗(yàn)證通過并安裝后，該軟件包對(duì)應(yīng)的應(yīng)用程序?qū)⒕邆淇蓤?zhí)行權(quán)限；b)應(yīng)至少提供安全管理命令行工具，支持對(duì)操作系統(tǒng)安全功能的配置和策略定制；c)應(yīng)支持對(duì)應(yīng)用程序執(zhí)行控制、應(yīng)用程序聯(lián)網(wǎng)控制、防火墻等安全功能的配置設(shè)置功d)應(yīng)通過系統(tǒng)安全接口支持病毒防護(hù)功能，包括具備能夠掃描和查殺病毒功能、至少包括快速掃描和全面掃描等多種掃描策略、具備更新病毒庫軟件更新功能；e)應(yīng)通過系統(tǒng)安全接口支持公共網(wǎng)絡(luò)和工作網(wǎng)絡(luò)等多種模式、可自定義設(shè)置和手動(dòng)添加服務(wù)等防火墻功能；f)應(yīng)支持操作系統(tǒng)內(nèi)核模塊、操作系統(tǒng)關(guān)鍵配置文件等完整性驗(yàn)證功能。9.1安全中心安全中心實(shí)現(xiàn)了內(nèi)核安全框架、增強(qiáng)型身份認(rèn)證、系統(tǒng)訪問控制、數(shù)據(jù)安全保護(hù)，提高系統(tǒng)運(yùn)行環(huán)境的安全性和穩(wěn)定性，可提供病毒防護(hù)、指令流安全檢測(cè)、安全內(nèi)存等豐富的多樣化安全配置功能。安全中心功能列表詳細(xì)描述見附錄B。9.1.1可信度量與管控功能OS應(yīng)支持以下應(yīng)用程序執(zhí)行控制功能：a)對(duì)應(yīng)用程序的白名單配置管理，包含添加、刪除、更新等；b)對(duì)應(yīng)用程序的完整性檢查，禁止執(zhí)行被篡改的應(yīng)用程序；c)對(duì)應(yīng)用程序來源進(jìn)行標(biāo)記檢查，只有合法安裝的應(yīng)用程序才可以執(zhí)行，禁止包括網(wǎng)絡(luò)下載、移動(dòng)存儲(chǔ)復(fù)制等非合法安裝的軟件執(zhí)行；d)對(duì)內(nèi)核模塊的加載控制，確保通過安全管理工具授權(quán)的內(nèi)核模塊才允許加載；e)提供內(nèi)核模塊防卸載保護(hù)，禁止卸載在防卸載保護(hù)列表中的內(nèi)核模塊。9.1.2進(jìn)程保護(hù)OS應(yīng)支持以下進(jìn)程保護(hù)功能：a)對(duì)進(jìn)程保護(hù)列表進(jìn)行配置管理，包含添加、刪除等；b)對(duì)被保護(hù)進(jìn)程提供防殺死等功能；在被保護(hù)進(jìn)程意外退出時(shí)，觸發(fā)登錄用戶注銷、操作系統(tǒng)重啟或關(guān)機(jī)等特定功能。9.2Linux安全模塊安全模塊通過模塊注冊(cè)函數(shù)加載進(jìn)入Linux安全模塊(LSM)，對(duì)內(nèi)核關(guān)鍵資源設(shè)置安全信息，并將自己的安全策略函數(shù)與LSM的hook函數(shù)進(jìn)行關(guān)聯(lián)。用戶進(jìn)程提出系統(tǒng)資源訪問請(qǐng)求，轉(zhuǎn)入內(nèi)核空間，并做傳統(tǒng)的Linux系統(tǒng)DAC判斷。之后，LSM調(diào)用hook函數(shù)，該hook函數(shù)以指針的形式與特定安全模塊的安全策略函數(shù)關(guān)聯(lián)，用以判斷對(duì)該對(duì)象的訪問是否符合安全策略，從而進(jìn)行訪問控制。a)可在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域；b)可在內(nèi)核源代碼中不同的關(guān)鍵點(diǎn)插入對(duì)安全鉤子函數(shù)的調(diào)用；c)可加入一個(gè)通用的安全系統(tǒng)調(diào)用；d)提供允許內(nèi)核模塊注冊(cè)為安全模塊或注銷的函數(shù)。510可信執(zhí)行環(huán)境技術(shù)要求可信執(zhí)行環(huán)境應(yīng)支持的通用功能如下：a)支持可信執(zhí)行環(huán)境資源的調(diào)整，比如，內(nèi)存容量、外設(shè)等；b)支持內(nèi)存數(shù)據(jù)的密文讀、寫、存儲(chǔ)；c)支持資源的安全屬性修改，比如，根據(jù)用戶需求，配置某個(gè)外設(shè)的安全屬性；d)支持與通用執(zhí)行環(huán)境之間的通信機(jī)制，比如SMC服務(wù)、中斷、共享內(nèi)存等。10.1可信應(yīng)用可信應(yīng)用(TA)一般包含二進(jìn)制程序、shell腳本、動(dòng)態(tài)鏈接庫、內(nèi)核模塊等，每個(gè)TA應(yīng)用都有自己的虛擬地址空間，并運(yùn)行在用戶態(tài)。TA應(yīng)用應(yīng)滿足如下要求：a)宜通過TEE中的MMU將虛擬地址轉(zhuǎn)化為安全態(tài)的物理地址，實(shí)現(xiàn)TA應(yīng)用的隔離；b)應(yīng)支持用戶自定義聯(lián)網(wǎng)控制列表；c)應(yīng)具備可信通信驅(qū)動(dòng)，支持與通用操作系統(tǒng)、TPCM的通信；d)支持用戶私有數(shù)據(jù)隔離保護(hù)，禁止其他用戶包括管理員非法訪問；e)支持用戶為自己的私有數(shù)據(jù)進(jìn)行自定義加密密碼加密。10.2密碼服務(wù)加密密鑰包括用于系統(tǒng)安全引導(dǎo)的非對(duì)稱密鑰，用于驗(yàn)證固件的安全更新、系統(tǒng)和軟件包可信更新的非對(duì)稱密鑰，用于保護(hù)用戶數(shù)據(jù)的平臺(tái)可信非對(duì)稱加密密鑰，以及特權(quán)用戶口令、普通用戶安全存儲(chǔ)對(duì)稱密鑰、特權(quán)用戶安全存儲(chǔ)對(duì)稱密鑰等。密碼服務(wù)應(yīng)支持以下安全功能：a)應(yīng)支持SM2、SM3、SM4等國產(chǎn)商用密碼算法，應(yīng)提供基于國產(chǎn)硬件國產(chǎn)商用密碼算法庫或軟算法庫；b)應(yīng)通過系統(tǒng)安全接口支持可獨(dú)立提供數(shù)據(jù)訪問控制、密鑰管理、數(shù)據(jù)安全加解密、數(shù)據(jù)安全審計(jì)等方面安全能力的組件，可通過監(jiān)控中央處理器的指令執(zhí)行序列，防止終端未知漏洞威脅。10.3存儲(chǔ)安全加密存儲(chǔ)，僅僅管理員能使用接口操作數(shù)據(jù)對(duì)系統(tǒng)指定的安全存儲(chǔ)空間數(shù)據(jù)進(jìn)行操作。存儲(chǔ)安全數(shù)據(jù)，將采用TCM_Key和特權(quán)用戶密鑰共同保護(hù)數(shù)據(jù)加密密鑰，并存儲(chǔ)到安全存儲(chǔ)空間主要用于管理員所擁有的平臺(tái)管理相關(guān)數(shù)據(jù)的存儲(chǔ)。片上安全加密存儲(chǔ)，對(duì)指定的片上存儲(chǔ)空間區(qū)域的數(shù)據(jù)(主要是密鑰)進(jìn)行訪問修改等操作。僅管理員能使用此接口操作數(shù)據(jù)。CPU將直接應(yīng)用片上存儲(chǔ)的密鑰在片內(nèi)進(jìn)行密碼操作。由于Flash存儲(chǔ)空間有限，所以只設(shè)計(jì)用來存儲(chǔ)一些關(guān)鍵數(shù)據(jù)，如TOS配置、證書等數(shù)據(jù)。故可按照兩類數(shù)據(jù)類型存儲(chǔ)，一類是配置、度量值這類小數(shù)據(jù)的存儲(chǔ)，一類是證書密鑰等其他關(guān)鍵數(shù)據(jù)的存儲(chǔ)。10.4管理模式管理模式(MM)是用于提供與平臺(tái)管理固件及操作系統(tǒng)無關(guān)的一種管理接口。MM的啟動(dòng)采用UEFI主動(dòng)請(qǐng)求加載的方式，MM軟件架構(gòu)應(yīng)包括基本功能層和事件處理層，其中事件處理層可分為VariableFunction、BiosUpdate、RasFunction等功能模塊，可以實(shí)現(xiàn)不同功能的軟件隔離，具體要求如下：a)支持安全態(tài)Variable操作；b)支持安全態(tài)固件升級(jí)功能；c)支持RAS。11安全API技術(shù)要求安全API應(yīng)提供內(nèi)核級(jí)安全接口、系統(tǒng)級(jí)安全接口和安全可信組件狀態(tài)接口，應(yīng)支持：a)內(nèi)核級(jí)安全接口1)提供核外模塊對(duì)LSM鉤子的注冊(cè)和注銷；62)支持核外模塊對(duì)LSM鉤子函數(shù)的實(shí)現(xiàn)。b)系統(tǒng)級(jí)安全接口1)安全狀態(tài)獲取、設(shè)置接口；2)應(yīng)用程序執(zhí)行權(quán)限查詢、設(shè)置接口；3)應(yīng)用程序聯(lián)網(wǎng)狀態(tài)查詢、設(shè)置接口；4)軟件包及應(yīng)用程序簽名驗(yàn)簽接口；5)支持TSB插件，實(shí)現(xiàn)TSB與可信管理中心、TPCM聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)可執(zhí)行程序的完整性度量校驗(yàn)。c)安全組件接口1)安全組件狀態(tài)展示接口，應(yīng)包含中央處理器、內(nèi)存、固件、操作系統(tǒng)等安全組件；2)支持第三方軟件聯(lián)動(dòng)展示配置接口，可支持殺毒軟件、防火墻等安全軟件的狀態(tài)和聯(lián)動(dòng)配置接口。7（資料性）UEFI固件度量?jī)?nèi)容項(xiàng)及其要求UEFI無差別將應(yīng)度量項(xiàng)發(fā)送給TOS，由TOS判斷其是否可信，并將結(jié)果反饋給UEFI。UEFI依據(jù)TOS度量接口確定是否需要執(zhí)行?？紤]到安全性和用戶體驗(yàn)，每一項(xiàng)是否要跳過或者是否要度量，由TOS決策（管理中心下發(fā)配置到TOSUEFI不