T-ZISIA 02-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求

1 i前言 I 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14符號(hào)和縮略語(yǔ) 25安全可信啟動(dòng)設(shè)計(jì)原則 26安全可信啟動(dòng)保護(hù)對(duì)象 27硬件設(shè)計(jì)要求 27.1硬件資源隔離 27.2安全啟動(dòng)芯片 37.3安全存儲(chǔ) 37.4安全通訊機(jī)制 38軟件設(shè)計(jì)要求 38.1軟件啟動(dòng)流程設(shè)計(jì)要求 38.2安全可信啟動(dòng)驗(yàn)簽要求 48.3安全固件更新設(shè)計(jì)要求 48.4安全啟動(dòng)配置 48.5安全日志記錄 48.6安全更新機(jī)制 48.7安全權(quán)限控制 4 I本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：飛騰信息技術(shù)有限公司、奇安信科技集團(tuán)股份有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、中電（海南）聯(lián)合創(chuàng)新研究院有限公司、北京源堡科技有限公司、麒麟軟件有限公司、昆侖太科（北京）技術(shù)股份有限公司、杭州吉利汽車數(shù)字科技有限公司、東莞理工學(xué)院、武漢大學(xué)、北京樂(lè)達(dá)智聯(lián)科技有限公司。本文件主要起草人：陳才、羅洪毅、楊有桂、毛慶梅、任燕、王震、陳華平、袁華強(qiáng)、陳晶、杜君、張大朋、陳曉峰、常凱翔、楊偉萍、王長(zhǎng)帥、王海洋、魏寧、于晴、鄒冬、陳小春、肖志坤、戴慶、章正柱、喬思遠(yuǎn)、汪列軍、白敏。 隨著數(shù)字化時(shí)代的深入發(fā)展，信息安全與信任成為了企業(yè)發(fā)展中至關(guān)重要的因素。安全可信啟動(dòng)標(biāo)準(zhǔn)旨在為組織提供一套系統(tǒng)化的指導(dǎo)原則，為服務(wù)器、終端、嵌入式產(chǎn)品等整機(jī)廠商提供了實(shí)踐性、可操作性的指導(dǎo)，幫助其建立和維護(hù)安全可信的業(yè)務(wù)環(huán)境，從而滿足當(dāng)前數(shù)字化環(huán)境下的安全可信需求。本標(biāo)準(zhǔn)是對(duì)T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》標(biāo)準(zhǔn)中關(guān)于安全可信啟動(dòng)相關(guān)要求的細(xì)化；本標(biāo)準(zhǔn)對(duì)T/ZISIA03-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求》和T/ZISIA04-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求》相關(guān)內(nèi)容提供支撐，從而構(gòu)成自主創(chuàng)新型網(wǎng)絡(luò)可信計(jì)算體系。我們期待本標(biāo)準(zhǔn)能夠成為組織在構(gòu)建安全可信業(yè)務(wù)環(huán)境中的重要參考，為推動(dòng)產(chǎn)業(yè)發(fā)展和數(shù)字化進(jìn)程做出積極貢獻(xiàn)。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動(dòng)設(shè)計(jì)要求本文件給出了安全可信啟動(dòng)設(shè)計(jì)原則、安全可信啟動(dòng)保護(hù)對(duì)象、硬件設(shè)計(jì)要求、軟件設(shè)計(jì)要求。本文件適用于指導(dǎo)整機(jī)廠商進(jìn)行計(jì)算機(jī)系統(tǒng)（包括服務(wù)器、終端、嵌入式產(chǎn)品等）的安全可信啟動(dòng)的設(shè)計(jì)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，凡是注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。GM/T0008-2012安全芯片密碼檢測(cè)標(biāo)準(zhǔn)GB/T40650-2021信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GM/T0002SM4分組密碼算法GM/T0003SM2橢圓曲線公鑰密碼算法GM/T0004SM3密碼雜湊算法GM/T0005隨機(jī)性檢測(cè)規(guī)范T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架T/ZISIA03-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求T/ZISIA04-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計(jì)算技術(shù)要求3術(shù)語(yǔ)和定義GB/T25069界定的術(shù)語(yǔ)和定義以及下列術(shù)語(yǔ)和定義適用于本文件：3.1固件firmware固化到計(jì)算機(jī)中的非易失性存儲(chǔ)器中的一組程序或軟件,為計(jì)算機(jī)提供最基本的硬件初始化,還可能向上層軟件提供底層硬件的訪問(wèn)接口或服務(wù)。3.2信任鏈trustchain數(shù)字證書鏈，指從根證書開(kāi)始，通過(guò)層層信任，使持有終端實(shí)體證書的人可以獲得委托信任，以證明身份。3.3基本輸入輸出系統(tǒng)basicinput/outputsystem是計(jì)算機(jī)中的一種固件,是操作系統(tǒng)和計(jì)算機(jī)平臺(tái)硬件之間連接的一個(gè)橋梁,負(fù)責(zé)計(jì)算機(jī)開(kāi)機(jī)時(shí)的硬件檢測(cè)、設(shè)備初始化、操作系統(tǒng)引導(dǎo)并向操作系統(tǒng)提供服務(wù)接口。3.4安全可信啟動(dòng)secureandtrustedbooting計(jì)算機(jī)啟動(dòng)時(shí)，啟動(dòng)過(guò)程中的每個(gè)組件都必須通過(guò)數(shù)字簽名進(jìn)行驗(yàn)證，以確保它們是由受信任的發(fā)行方發(fā)布的，并且沒(méi)有被篡改或替換。3.5緩存cache緩存是一種臨時(shí)存儲(chǔ)設(shè)備或存儲(chǔ)器，用于存儲(chǔ)臨時(shí)性數(shù)據(jù)，以便加快數(shù)據(jù)訪問(wèn)速度。緩存通常位于CPU和主存之間，用于存儲(chǔ)頻繁訪問(wèn)的數(shù)據(jù)或指令，以便提高數(shù)據(jù)的訪問(wèn)速度和系統(tǒng)性能。 24符號(hào)和縮略語(yǔ)下列符號(hào)和縮略語(yǔ)適用于本文件。CPU：中央處理器（CentralProcessingUnit）OTP：一次性可編程存儲(chǔ)類型（OneTimeProgrammable）ROM：只讀存儲(chǔ)器（Read-OnlyMemory）EFUSE：電子熔斷器（ElectronicFuse）I/O：輸入/輸出（Input/Output）TOS：可信的操作系統(tǒng)（TrustedOperatingSystem）UEFI：統(tǒng)一可擴(kuò)展固件接口（UnifiedExtensibleFirmwareInterface）TLB：地址變換高速緩沖（Translation-LookasideBuffer）TEEOS：具有可信執(zhí)行環(huán)境的操作系統(tǒng)（TrustedExecutionEnvironmentOperatingSystem）5安全可信啟動(dòng)設(shè)計(jì)原則根據(jù)T/ZISIA01-2024要求，處理器在啟動(dòng)過(guò)程中，所有被執(zhí)行的代碼都必須通過(guò)驗(yàn)簽認(rèn)證，應(yīng)從可信根開(kāi)始，一級(jí)驗(yàn)簽一級(jí)，構(gòu)建信任鏈，保證系統(tǒng)啟動(dòng)過(guò)程中的加載程序的完整性和可信度。安全可信啟動(dòng)設(shè)計(jì)原則應(yīng)遵循：a)最小特權(quán)原則：系統(tǒng)啟動(dòng)過(guò)程中應(yīng)最小化權(quán)限，從各級(jí)固件到系統(tǒng)到應(yīng)用程序等都只分配其所需的最低權(quán)限，以減少潛在的攻擊面和安全風(fēng)險(xiǎn)；b)防篡改原則：采用數(shù)字簽名，哈希校驗(yàn)等技術(shù)來(lái)驗(yàn)證引導(dǎo)加載的軟件代碼，以防止篡改和惡意修改；c)信任鏈原則：建立信任鏈，從硬件到引導(dǎo)加載程序再到系統(tǒng)，逐級(jí)驗(yàn)證和建立信任，確保每個(gè)環(huán)節(jié)的可信度和安全性。6安全可信啟動(dòng)保護(hù)對(duì)象安全可信啟動(dòng)保護(hù)對(duì)象應(yīng)包含但不限于：a)固件：保障硬件設(shè)備初始化正常進(jìn)行，保障系統(tǒng)和底層硬件交互的通道；b)引導(dǎo)加載程序：保護(hù)引導(dǎo)加載程序的完整性和真實(shí)性，防止惡意軟件篡改或替換引導(dǎo)加載程序；c)操作系統(tǒng)內(nèi)核和驅(qū)動(dòng)程序：宜驗(yàn)證操作系統(tǒng)內(nèi)核和驅(qū)動(dòng)程序的完整性，確保它們沒(méi)有被篡改或被惡意軟件修改，保證系統(tǒng)啟動(dòng)后的環(huán)境是可信的。操作系統(tǒng)內(nèi)核和驅(qū)動(dòng)程序是系統(tǒng)的核心組件，需要受到保護(hù)；d)啟動(dòng)配置文件和參數(shù)：?jiǎn)?dòng)配置文件和參數(shù)包括引導(dǎo)加載程序的配置信息和啟動(dòng)參數(shù)，確保其安全性，防止惡意軟件通過(guò)修改配置文件來(lái)繞過(guò)安全機(jī)制，同時(shí)確保只有受信任的配置可以被加載；e)安全更新和補(bǔ)丁：應(yīng)確保系統(tǒng)可以及時(shí)接收安全更新和補(bǔ)丁，及時(shí)修復(fù)已知的漏洞和安全問(wèn)題，提高系統(tǒng)的整體安全性和可靠性。安全更新和補(bǔ)丁是保護(hù)系統(tǒng)免受已知攻擊的重要措施。7硬件設(shè)計(jì)要求7.1硬件資源隔離應(yīng)支持安全擴(kuò)展，支持將硬件資源隔離成安全資源和普通資源，并在隔離架構(gòu)上構(gòu)建安全可信架構(gòu)，軟硬相結(jié)合共同構(gòu)建一個(gè)安全執(zhí)行環(huán)境，硬件資源隔離包括但不限于：a)處理器核的安全擴(kuò)展：處理器核應(yīng)支持安全性擴(kuò)展，處理器核可虛擬成兩個(gè)核，一3個(gè)為安全核，一個(gè)為計(jì)算核，安全核可以獲得所有資源的訪問(wèn)權(quán)限，計(jì)算核無(wú)法獲取安全資源的訪問(wèn)權(quán)限，兩者之間通過(guò)安全監(jiān)控軟件進(jìn)行切換；b)系統(tǒng)總線安全擴(kuò)展：應(yīng)控制處理器在不同運(yùn)行狀態(tài)下對(duì)硬件資源的訪問(wèn)權(quán)限，在總線上增加安全控制信號(hào)，表示讀寫事物操作的安全標(biāo)志。從設(shè)備能解析安全標(biāo)志，不響應(yīng)普通事物的請(qǐng)求，并在系統(tǒng)總線上返回錯(cuò)誤操作信號(hào)，報(bào)給主設(shè)備；c)存儲(chǔ)資源的安全擴(kuò)展：1)應(yīng)支持私有緩存，TLB具有安全標(biāo)識(shí)位，避免普通應(yīng)用對(duì)私有緩存，TLB內(nèi)安全內(nèi)容的訪問(wèn)；2)應(yīng)支持CPU片內(nèi)ROM的控制邏輯包含安全控制位，拒絕普通應(yīng)用對(duì)片內(nèi)ROM的訪3)應(yīng)在內(nèi)存控制器總線上實(shí)現(xiàn)內(nèi)存隔離模塊，用于對(duì)內(nèi)存的地址空間進(jìn)行劃分并配置相應(yīng)安全屬性，內(nèi)存隔離模塊應(yīng)對(duì)訪問(wèn)內(nèi)存的請(qǐng)求進(jìn)行檢查，只有符合訪問(wèn)地址所在域的安全屬性才可以訪問(wèn)內(nèi)存，否則將被拒絕訪問(wèn)內(nèi)存，并返回錯(cuò)誤，應(yīng)符合T/ZISIA03-2024規(guī)定的內(nèi)存區(qū)段讀寫保護(hù)要求。7.2安全啟動(dòng)芯片a)安全可信啟動(dòng)的可信根應(yīng)固化在片內(nèi)ROM，應(yīng)符合T/ZISIA04-2024規(guī)定的可信根構(gòu)建和能力要求，可信根提供硬件可信的基礎(chǔ)，支持在BIOS等固件啟動(dòng)前對(duì)其進(jìn)行完整性檢測(cè)；b)宜使用EFUSE/OTP等存儲(chǔ)介質(zhì)存儲(chǔ)固件驗(yàn)簽的根公鑰；c)應(yīng)具備硬件密碼模塊，包括但不限于支持GM/T0002、GM/T0003和GM/T0004中規(guī)定的密碼算法，應(yīng)支持隨機(jī)數(shù)生成，隨機(jī)數(shù)應(yīng)符合GM/T0005中的要求。7.3安全存儲(chǔ)a)應(yīng)支持安全存儲(chǔ)環(huán)境，對(duì)存儲(chǔ)器中的敏感數(shù)據(jù)，密鑰等信息加密存儲(chǔ)；b)應(yīng)支持存儲(chǔ)設(shè)備的安全區(qū)域劃分，非安全側(cè)請(qǐng)求無(wú)法訪問(wèn)安全存儲(chǔ)設(shè)備；c)應(yīng)驗(yàn)證數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性。7.4安全通訊機(jī)制應(yīng)支持安全通信機(jī)制，普通環(huán)境不能直接訪問(wèn)安全資源，只能通過(guò)安全通道發(fā)起請(qǐng)求由安全環(huán)境收到后進(jìn)行處理，確保普通環(huán)境只有最小權(quán)限。8軟件設(shè)計(jì)要求8.1軟件啟動(dòng)流程設(shè)計(jì)要求應(yīng)最先執(zhí)行存儲(chǔ)在片內(nèi)的可信根的代碼，再由可信根驗(yàn)簽片外的基礎(chǔ)固件，驗(yàn)簽成功后跳轉(zhuǎn)到基礎(chǔ)固件執(zhí)行，再由基礎(chǔ)固件驗(yàn)簽TOS和UEFI,驗(yàn)簽通過(guò)后UEFI再將外設(shè)固件，再由TOS或者UEFI驗(yàn)簽操作系統(tǒng)加載程序，磁盤分區(qū)表等，驗(yàn)簽通過(guò)后加載通用操作系統(tǒng)。整個(gè)啟動(dòng)過(guò)程如下圖所示，對(duì)引入的代碼和數(shù)據(jù)進(jìn)行了逐級(jí)的完整性度量和驗(yàn)簽，逐級(jí)信任，使得系統(tǒng)上執(zhí)行的所有代碼和數(shù)據(jù)都是可信任的。信任鏈構(gòu)成組件：可信根，CPU基礎(chǔ)固件，UEFI通用固件，TOS，通用操作系統(tǒng)，各級(jí)鏡像的密鑰和證書。安全可信啟動(dòng)流程圖 48.2安全可信啟動(dòng)驗(yàn)簽要求驗(yàn)簽方式應(yīng)使用數(shù)字簽名的方式，驗(yàn)證信任鏈構(gòu)成部件的完整性以及數(shù)字簽名的有效性。CPU基礎(chǔ)固件的證書由廠商提供，UEFI通用固件證書由整機(jī)廠商提供，各級(jí)證書和鏡像存儲(chǔ)在本地存儲(chǔ)器當(dāng)中，供上一級(jí)鏡像驗(yàn)簽使用。8.3安全固件更新設(shè)計(jì)要求a)更新前應(yīng)校驗(yàn)固件的完整性和合法性，確保被更新固件沒(méi)有被篡改或損壞，防止惡意軟件通過(guò)固件更新渠道對(duì)系統(tǒng)進(jìn)行攻擊和篡改；b)應(yīng)檢測(cè)固件更新前后版本是否一致；c)應(yīng)控制固件更新版本應(yīng)大于或等于更新前版本，小于更新前版本則被阻止，版本回退可能導(dǎo)致系統(tǒng)不穩(wěn)定；d)應(yīng)測(cè)試更新固件后是否與硬件環(huán)境兼容，確保更新后不會(huì)影響系統(tǒng)運(yùn)行，性能也不會(huì)下降。8.4安全啟動(dòng)配置應(yīng)實(shí)現(xiàn)安全的啟動(dòng)配置管理，防止惡意軟件通過(guò)