i前言 I 12規(guī)范性引用文件 13術(shù)語和定義 14符號和縮略語 25可信計算邏輯框架 26總體說明 26.1可信根構(gòu)建及能力要求說明 36.2可信計算功能說明 37技術(shù)要求 37.1可信根構(gòu)建及能力技術(shù)要求 37.1.1可信根構(gòu)建方式技術(shù)要求 37.1.2可信根隔離機制技術(shù)要求 37.1.3可信根啟動時序技術(shù)要求 47.1.4可信根主動度量技術(shù)要求 47.1.5虛擬可信根構(gòu)建技術(shù)要求 47.2可信計算功能技術(shù)要求 47.2.1靜態(tài)度量 47.2.2動態(tài)度量 47.2.3可信控制 47.2.4可信接入 47.2.5可信審計 47.2.6可信報告 47.2.7可信存儲 47.2.8虛擬可信根可信能力 4附錄A（資料性附錄）可信根結(jié)構(gòu)及構(gòu)建方式 5I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：奇安信科技集團股份有限公司、北京可信華泰信息技術(shù)有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、北京樂達智聯(lián)科技有限公司、軟極網(wǎng)絡(luò)技術(shù)（北京）有限公司、北京源堡科技有限公司、華中科技大學(xué)、西安電子科技大學(xué)、工業(yè)和信息化部電子第五研究所、長沙市軌道交通運營有限公司、國家工業(yè)信息安全發(fā)展研究中心、中航材利頓（北京）航空科技有限公司。本文件主要起草人：杜君、王炎玲、段古納、靳佑鼎、王舒、徐鵬、李興華、胡璇、劉立、周華濤、葛健佳、陳曉峰、常凱翔、王偉、成國強、吳月梅、于晴、鄒冬、鄭旻、曾磊、張海彬、王穎、隋嘉楠。為了支撐落地網(wǎng)絡(luò)安全等級保護制度對于可信計算的技術(shù)要求，同時規(guī)范基于可信計算技術(shù)研制的可信整機產(chǎn)品的可信能力及功能，需要從可信計算的角度編制專門的技術(shù)標準。針對網(wǎng)絡(luò)安全等級保護制度中第一級到第四級關(guān)于可信計算技術(shù)的相關(guān)要求，提出了可信根構(gòu)建及可信功能相關(guān)的詳細的技術(shù)指標。本標準是自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)相關(guān)系列標準之一，對T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》關(guān)于可信計算相關(guān)內(nèi)容進行了細化，并與T/ZISIA02-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動設(shè)計要求》和T/ZISIA03-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計算基礎(chǔ)環(huán)境安全要求》相關(guān)內(nèi)容互相支撐。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計算技術(shù)要求本文件規(guī)定了可信整機產(chǎn)品算邏輯框架、總體說明和技術(shù)要求，包括可信根構(gòu)建及能力技術(shù)要求、可信計算功能技術(shù)要求。本文件可用于指導(dǎo)基于可信計算技術(shù)的產(chǎn)品研制、測評工作，可供基于可信計算技術(shù)的產(chǎn)品研制單位、測評單位、管理機構(gòu)等相關(guān)方參考使用。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T29827-2013信息安全技術(shù)可信計算規(guī)范可信平臺主板功能接口GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信軟件基GB/T40650-2021信息安全技術(shù)可信計算規(guī)范可信平臺控制模塊GM/T0011-2012可信計算可信密碼支撐平臺功能與接口規(guī)范GM/T0012-2020可信計算可信密碼模塊接口規(guī)范T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架3術(shù)語和定義GB/T25069-2010、GB/T29827-2013、GB/T37935-2019和T/ZISIA01-2024界定的術(shù)語和定義適用于本文件。3.1可信根rootoftrust可信根是可信計算平臺的信任源點，由TPCM和TCM構(gòu)成，用于支撐可信計算平臺信任鏈建立和傳遞的可對外提供完整性度量、安全存儲、密碼計算等服務(wù)的功能模塊。3.2可信平臺控制模塊trustedplatformcontrolmodule一種集成在可信計算平臺中，用于建立和保障信任源點的硬件核心模塊，為可信計算平臺提供完整性度量、安全存儲、可信報告以及密碼服務(wù)等功能。[來源：GB/T29827-2013，3.20]3.3可信密碼模塊trustedcryptographymodule可信計算平臺的硬件模塊，為可信計算平臺提供密碼運算功能，具有受保護的存儲空間。[來源：GM/T0012-2020，3.7]3.4靜態(tài)度量staticmeasurement在系統(tǒng)啟動過程中，對系統(tǒng)完整性進行測量和評估的可信度量方法。3.5動態(tài)度量dynamicmeasurement在系統(tǒng)運行過程中，對系統(tǒng)完整性和行為安全性進行測量和評估的可信度量方法。[來源：GB/T37935-2019，3.9]3.6可信軟件基trustedsoftwarebase為可信計算平臺的可信性提供支持的軟件元素的集合。[來源：GB/T37935-2019，3.3]24符號和縮略語下列符號和縮略語適用于本文件。BIOS：基本輸入/輸出系統(tǒng)（BasicInput/OutputSystem）IP：知識產(chǎn)權(quán)（IntellectualProperty）TPCM：可信平臺控制模塊（TrustedPlatformControlModule）TSB：可信軟件基（TrustedSoftwareBase）TCM：可信密碼模塊（TrustedCryptographyModule）TPM：可信平臺模塊（TrustedPlatformModule）5可信整機產(chǎn)品邏輯框架根據(jù)T/ZISIA01-2024，可信計算節(jié)點應(yīng)建立計算部件和防護部件并存的雙體系架構(gòu)；作為可信計算節(jié)點的可信整機產(chǎn)品的可信計算功能由可信根、可信驗證代理和可信連接模塊共同實現(xiàn)，可信整機產(chǎn)品邏輯框架如圖1所示。在基于可信計算技術(shù)的可信整機產(chǎn)品中，可信根硬件可采用CPU內(nèi)置（IP核、CPU內(nèi)置芯片）或CPU外置（主板板載芯片或主板插卡）等多種方式構(gòu)建（參考附錄A如上圖所示“可信整機產(chǎn)品1”通過CPU內(nèi)部IP核或CPU內(nèi)置芯片等內(nèi)置方式構(gòu)建可信根，“可信整機產(chǎn)品2”采用板載或主板插卡等外置方式構(gòu)建可信根，兩種方式構(gòu)建的可信根的組成結(jié)構(gòu)和邏輯一樣，可信根主要由可信密碼模塊（TCM）、可信平臺控制模塊（TPCM）和可信軟件基（TSB）構(gòu)成?？尚鸥怯嬎銠C的信任源點，具有獨立、隔離的安全運行環(huán)境，能夠并行獲取計算節(jié)點中的度量對象信息，在設(shè)備啟動上有優(yōu)先的啟動控制能力。通常在實現(xiàn)中，TPCM作為物理可信根集成TCM，提供符合國密要求的密碼計算和密碼服務(wù)。可信軟件基是運行于可信根之中的可信驗證業(yè)務(wù)軟件，主要實現(xiàn)與BIOS和操作系統(tǒng)層的可信驗證代理的通信?？尚膨炞C代理在啟動固件加載操作系統(tǒng)過程中和操作系統(tǒng)加載可執(zhí)行代碼過程中，截獲加載行為并采集加載數(shù)據(jù)信息，將信息發(fā)送給可信根并等待驗證結(jié)果，依據(jù)結(jié)果進行加載控制處理?？尚胚B接模塊在網(wǎng)絡(luò)連接和通信過程中，截獲網(wǎng)絡(luò)連接和通信請求，實現(xiàn)對通信雙方的身份認證和可信驗證。6總體說明對應(yīng)GB/T22239網(wǎng)絡(luò)安全等級保護制度從第一級到第四級所提到的“可信驗證”相關(guān)3技術(shù)要求，隨著級別的提升，對于可信計算技術(shù)的要求也逐級增強，如在第一級和第二級系統(tǒng)中，通常應(yīng)具備靜態(tài)度量、可信控制、可信報告等可信功能，對于動態(tài)度量、可信接入、可信存儲和虛擬可信根等可信功能為可選、非必需的技術(shù)要求，具體如下表所示。求求求求√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√力√√注：表中√表示對應(yīng)級別應(yīng)具備該項技術(shù)要求。6.1可信根構(gòu)建及能力要求說明可信根是可信計算平臺的信任源點，必須以硬件為載體，在GB/T22239-2019中在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境中從第一級到第四級都提出了“可信驗證”的要求，可信根由可信密碼模塊和可信平臺控制模塊共同組成，應(yīng)采用硬件方式實現(xiàn)?？尚鸥O(shè)計可參考GB/T29827-2013和GB/T40650-2021標準的相關(guān)要求。6.2可信計算功能說明對于GB/T22239網(wǎng)絡(luò)安全等級保護制度中所涉及的第一級和第二級系統(tǒng)，可信功能主要基于可信根，實現(xiàn)啟動階段的可信度量，包括靜態(tài)度量、可信控制、可信審計、可信報告。對于GB/T22239網(wǎng)絡(luò)安全等級保護制度中所涉及的第三級和第四級系統(tǒng)，可信功能基于硬件物理可信根，實現(xiàn)啟動階段和運行階段的可信度量，包括靜態(tài)度量、動態(tài)度量、可信控制、可信接入、可信審計、可信報告、可信存儲、虛擬可信根構(gòu)建等。7技術(shù)要求7.1可信根構(gòu)建及能力技術(shù)要求7.1.1可信根構(gòu)建方式技術(shù)要求可信根應(yīng)使用國家密碼管理主管部門認證核準的密碼技術(shù)進行實現(xiàn)，可信驗證的密碼功能設(shè)計應(yīng)符合GM/T0011-2012標準的相關(guān)要求，并具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認證證書?？尚鸥鵗PCM應(yīng)采用硬件物理方式構(gòu)建，支持CPU內(nèi)置式、BMC內(nèi)置式、主板板載式、總線接入式中的任意一種方式，構(gòu)建方案可參考附錄A。7.1.2可信根隔離機制技術(shù)要求可信根應(yīng)具備獨立于計算部件的隔離資源，包括密碼存儲資源、密碼運算資源、通用計4算資源、通用存儲資源（包括內(nèi)存和非易失性存儲）?？尚鸥鶓?yīng)具備對計算部件資源的完全單向訪問，計算部件CPU不能訪問可信根內(nèi)部資源。7.1.3可信根啟動時序技術(shù)要求可信根作為設(shè)備信任鏈的起點能夠優(yōu)先啟動，支持在固件系統(tǒng)啟動前實現(xiàn)對固件度量的功能，支持對固件進行完整性檢測，并且能完成對基礎(chǔ)固件、操作系統(tǒng)引導(dǎo)程序、操作系統(tǒng)內(nèi)核、應(yīng)用程序以及啟動過程中重要配置文件的逐級度量和加載執(zhí)行。7.1.4可信根主動度量技術(shù)要求可信根應(yīng)能夠主動獲取計算部件資源，即可信根對計算部件度量過程中的數(shù)據(jù)應(yīng)由可信根主動獲取，在度量過程中應(yīng)采用可信根中的密碼模塊完成密碼運算。7.1.5虛擬可信根構(gòu)建技術(shù)要求可信根應(yīng)能夠支持創(chuàng)建虛擬可信根，能夠為虛擬可信根分配獨立的密碼資源，虛擬可信根與物理可信根具備映射綁定關(guān)系，一個物理可信根可支撐多個虛擬可信根的創(chuàng)建。7.2可信計算功能技術(shù)要求7.2.1靜態(tài)度量產(chǎn)品應(yīng)能夠在啟動階段基于可信根對固件、系統(tǒng)引導(dǎo)程序、操作系統(tǒng)驅(qū)動、操作系統(tǒng)內(nèi)核、應(yīng)用程序，及重要配置參數(shù)進行可信驗證。對于GB/T22239網(wǎng)絡(luò)安全等級保護制度中所涉及的第三級和第四級系統(tǒng)，產(chǎn)品還應(yīng)能夠在應(yīng)用程序的初始化階段基于可信根對應(yīng)用程序的腳本、進程、可執(zhí)行程序基于白名單進行可信驗證。7.2.2動態(tài)度量產(chǎn)品應(yīng)能夠在應(yīng)用程序執(zhí)行自身業(yè)務(wù)功能的重要環(huán)節(jié)，基于TPCM對系統(tǒng)調(diào)用表、文件系統(tǒng)重要數(shù)據(jù)結(jié)構(gòu)、網(wǎng)絡(luò)系統(tǒng)重要數(shù)據(jù)結(jié)構(gòu)、內(nèi)核代碼段、應(yīng)用代碼段進行可信度量。7.2.3可信控制產(chǎn)品應(yīng)能夠依靜態(tài)度量和動態(tài)度量的結(jié)果，在檢測到其可信性受到破壞時，按照預(yù)定義的可信安全策略進行控制，包括阻斷或報警。7.2.4可信接入產(chǎn)品應(yīng)支持可信接入功能，即能夠基于可信報告對接入網(wǎng)絡(luò)或發(fā)起網(wǎng)絡(luò)通信請求的設(shè)備進行可信驗證。7.2.5可信審計產(chǎn)品應(yīng)能夠?qū)Χ攘縿幼骱徒Y(jié)果生成可信審計記錄，可信審計記錄應(yīng)基于可信根的密碼服務(wù)進行保護。7.2.6可信報告產(chǎn)品應(yīng)能夠基于可信根生成可信報告，可信報告包含設(shè)備當(dāng)前的可信狀態(tài)、可信引導(dǎo)相關(guān)PCR信息、軟硬件相關(guān)度量信息，通過可信根的國密算法保障可信報告不被篡改。7.2.7可信存儲產(chǎn)品應(yīng)能夠基于可信根安全存儲能力進行關(guān)鍵數(shù)據(jù)存儲。7.2.8虛擬可信根可信能力對于云計算場景下的虛擬機應(yīng)具備虛擬可信根，虛擬可信根應(yīng)支持基于物理可信根的信任鏈在虛擬機層的傳遞和擴展，即能夠逐級實現(xiàn)對虛擬機引導(dǎo)程序、操作系統(tǒng)驅(qū)動、操作系統(tǒng)和應(yīng)用的完整性度量和加載。產(chǎn)品應(yīng)支持在虛擬機創(chuàng)建、遷移、銷毀等全生命周期的虛擬可信根同步和維護。5（資料性附錄）可信根結(jié)構(gòu)及構(gòu)建方式A.1可信根內(nèi)部結(jié)構(gòu)可信根的內(nèi)部結(jié)構(gòu)如附圖A.1所示，應(yīng)包括如下單元：微處理器、非易失性存儲單元、易失性存儲單元、隨機數(shù)發(fā)生器、密碼算法引擎、密鑰生成器、定時器、輸入輸出橋接單元和各種輸入輸出控制器模塊。非易失性存儲單元、易失性存儲單元、隨機數(shù)發(fā)生器、密碼引擎、密鑰生成器和定時器統(tǒng)一映射到片內(nèi)微處理器的訪問地址空間。在TPCM內(nèi)部應(yīng)包括如下單元：微處理器、非易失性存儲單元、易失性存儲單元、隨機數(shù)發(fā)生器、密碼算法引擎、密鑰生成器、定時器、輸入輸出橋接單元和各種輸入輸出控制器模塊。非易失性存儲單元、易失性存儲單元、隨機數(shù)發(fā)生器、密碼引擎、密鑰生成器和定時器統(tǒng)一映射到片內(nèi)微處理器的訪問地址空間。A.2可信根構(gòu)建方式基于可信計算技術(shù)的可信整機設(shè)備產(chǎn)品，其可信改造主要通過在硬件層植入物理可信根，同時在操作系統(tǒng)層部署可信軟件基的方式，實現(xiàn)可信功能。TPCM是可信計算3.0和核心組件，