标准规范下载简介
GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块.pdf简介:
GB/T 40650-2021是中国国家标准,全称是《信息安全技术 可信计算规范 可信平台控制模块》,它是信息安全领域的一项重要标准,主要针对可信计算技术进行规范。可信计算是一种新兴的信息安全技术,它旨在确保计算环境的完整性,防止恶意软件或未经授权的活动。
"可信平台控制模块"(Trusted Platform Module, TPM)是该标准中的关键部分。TPM是一种嵌入在计算机硬件中的安全模块,用于实现设备的固件级安全功能,包括密钥存储、数据保护、系统完整性检查等。它的主要目的是提供一个安全、可信的环境,用于存储和验证平台状态,以确保系统的安全性和完整性。
该标准规定了TPM的功能要求、接口、安全属性和测试方法,旨在推动我国在可信计算领域的技术研发和应用,提升信息系统的安全性,防范潜在的攻击和安全威胁。对于开发和维护安全系统的企业和个人,理解和遵守这一标准是非常重要的。
GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块.pdf部分内容预览:
组成、功能接口、安全防护、运行维护要求和证实方法 本文件适用于可信平台控制模块的设计、生产、运行维护和测评
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T29829 信息安全技术可信计算密码支撑平台功能与接口规范 GB/T37935 信息安全技术可信计算规范可信软件基 GM/T0008安全芯片密码检测准则
GB/T40650—2021
下列缩略语适用于本文件。 I/O:输人输出(Input/Output) IP:知识产权(IntellectualProperty) TCM:可信密码模块(TrustedCryptographyModule) TPCM:可信平台控制模块(TrustedPlatformControlModule) TSB:可信软件基(TrustedSoftwareBase) USB:通用串行总线(UniversalSerialBus)
新12J11-1 内隔墙构造(轻质空心条板)5.1可信平合控制模块定位
可信计算节点由计算部件和防护部件构成,TPCM是可信计算节点中实现可信防护功能的关键部 件,可以采用多种技术途径实现,如板卡、芯片、IP核等,其内部包含中央处理器、存储器等硬件、固件, 以及操作系统与可信功能组件等软件,支撑其作为一个独立于计算部件的防护部件组件,并行于计算部 牛按内置防护策略工作,对计算部件的硬件、固件及软件等需防护的资源进行可信监控,是可信计算节 点中的可信根。 TPCM在可信计算节点中的位置及其与可信计算节点其他部件互动关系的示意图如图1所示
5.2可信平台控制模块与周边的交互
图1可信计算节点中的TPCM
TPCM需与TSB、TCM、可信管理中心和可信计算节点的计算部件交互,交互方式如下: a TPCM的硬件、固件与软件为TSB提供运行环境,设置的可信功能组件为TSB按策略库解释 要求实现度量、控制、支撑与决策等功能提供支持: b TPCM通过访问TCM获取可信密码功能,完成对防护对象可信验证、度量和保密存储等计算 任务,并提供TCM服务部件以支持对TCM的访问; C TPCM通过管理接口连接可信管理中心,实现防护策略管理、可信报告处理等功能; d)TPCM通过内置的控制器和I/O端口,经由总线与计算部件的控制器交互,实现对计算部件 的主动监控: 计算部件操作系统中内置的防护代理获取预设的防护对象有关代码和数据提供给TPCM TPCM将监控信息转发给TSB.由TSB依据策略库进行分析处理
TPCM在可信计算节点中应满足下面几项要求: a)TPCM应是整个可信计算节点中第一个获得执行权的部件; b)TPCM所使用的TCM应遵循GB/T29829及相关密码国家标准和行业标准的规定; )TPCM所使用的TSB应遵循GB/T37935的规定
GB/T 406502021
6可信平台控制模块功能组成
TPCM的功能及接口框架见图2,其功能逻辑上划分为3个层次,即硬件、基础软件和功能组件。 与TPCM相关的实体包括计算部件、可信软件基、可信管理中心和可信密码模块,TPCM通过相 口与各个实体进行连接和交互
图2TPCM功能及接口框架
失存储器、计算部件接口、管理接口、可信密码接口,为 TPCM的功能实现提供基础运行环境。硬件组件之间通过内部总线实现相互连接。根据连接对象的 不同,计算部件接口可分为控制器和1/O接口
基础软件层应包括固件、操作系统核心,实现对TPCM内部的资源调度、任务管理,以及提供I 1驱动及控制
功能组件层包括可信控制、可信度量、判定服务、支撑机制服务及策略库管理,以及可信软件基 各部分功能如下:
方式的控制; D 可信度量是依据防护策略,获取预设的计算部件中防护对象有关内存、I/O、固件中的关键数 据信息,并进行密码运算; 判定服务为可信软件基判定机制的实现提供支持 d)支撑机制服务为可信软件基提供有关系统处理的运算; )策略库管理对节点的可信度量、可信控制等规则进行管理; 可信软件基接口为可信软件基提供功能访问
乙可信平台控制模块的接口
[7.1.1 接口类型
计算部件接口主要为总线 相连接,用于访回内存、1/ 固件等系统资源,并通过控制器对系统
TPCM可通过计算部件总线接口连接计算部件硬件层的控制器,实现对可信计算节点的主 ,监控对象可包括内存、硬盘、USB、并口、串口和网络等
7.1.3接口输入/输出
TPCM在提供接口服务前 与调用者进行相互认证并建立可信的数据通道
7.2.3接口输入/输出
可信软件基接口的输入为功能相应的输入参数,输出为功能执行的返回结果。
为物理接口,应为网络或总线接口模式,由可信管
GB/T 406502021
TPCM的管理接口应包括TPCM自身管理、可信密码模块管理、基本信任基管理及日志管理等 各接口功能要求如下: a)TPCM自身管理接口应包括TPCM配置管理和安全管理; b)可信密码模块管理接口应提供TPCM所使用的可信密码模块的授权管理、密钥管理; c)基本信任基管理接口应提供基本信任基的度量值管理与度量策略管理; d)日志管理接口应提供TPCM管理行为目志的导出机制
7.3.3接口输入/输出
7.4可信密码模块接口
可信密码模块接口提供TPCM对可信密码模块访问的I/O通道,接口应遵循GB/T 规定。
用户分类要求如下: TPCM只允许管理员执行TPCM配置,管理员应具备设置防护策略及TPCM的状态权限; TPCM可依据内部的验证策略对计算部件的用户进行身份鉴别,并根据鉴别结果绑定对应 权限。
8.1.2用户鉴别要求
当TPCM提供服务时,应对访问的身份进行鉴别,鉴别要求如下: a)可通过身份识别设备获取当前使用者的身份信息; b 可通过通信通道获取当前使用者的身份信息; c)用户可根据安全防护需求选择其他的鉴别方式
TPCM应支持对资源访问的控制.控制的资源可包括内存、硬盘、USB、总线、并口、串口和网络等。
TPCM应对所执行的指令记录日志,日志应包括时标、指令类型、执行是否成功。审计日志应满足 如下要求: a)日志存储在非易失性数据存储单元中; b) 应对日志的访问进行权限控制,并应保证日志的完整性; c)可提供日志记录安全转移及安全迁移功能
8.4存储空间安全要求
TPCM的存储空间应有如下限制: a)TPCM不对外开放地址空间,对TPCM的访问应通过TPCM的功能接口实现; b)TPCM运行过程中产生的临时数据在失效后应及时清除
数据保护要求如下。 a)TPCM应能够将重要数据与度量值捆绑,实现数据封装保护。受保护的数据只能在绑定 TPCM的平台及特定完整性状态下才能被解封。 TPCM应具有安全数据迁移、备份与恢复的功能,迁移、备份与恢复操作在保证数据的机密性 和完整性前提下进行。
TPCM上电启动时,应进行主动自检。主动自检对象应包括TCM、设计者自定义状态标识及 TPCM内部代码完整性。
TPCM应支持被动自检,被动自检对象包括可信密码模块、设计者自定义状态标识、当前用户身份 标识和当前用户身份
9.1.3自检异常处理
自检异常处理流程为: a)当发生自检异常时,TPCM应立即发出自检失败信号,将自检信息记录到日志中,然后发出节 点启动信号: b)当节点启动程序代码执行启动后,应报告自检失败信息,管理员可以选择重新启动可信计算节 点、禁用TPCM以非可信方式启动或采取其他措施
TPCM应具有使能和禁用状态。具体要求如下。 a)出厂默认处于禁用状态。 b)应由管理员执行使能和禁用状态切换操作。 )TPCM处于使能状态时,文分为两种工作状态:有效和无效状态。有效状态即是TPCM正常 工作时的状态,无效状态即是TPCM不能正常对外提供服务时的状态。 TPCM每次加电启动时,都要对使用状态进行判断。如果为禁用状态,则只能进行TPCM的 状态查询和使能操作
GB/T 406502021
10.1可信计算节点的可信平台控制模块
检查可信计算节点设计,应确认 并行于计算部件运行,: 实现从计算部件第一条指令开始的可信建立 能防止使用经套改的部件来构建 运行环境、抵御恶意代码攻击,并且在系统运行! 态地保护运行环境及应用程序的可信安全,最终 实现对计算系统全生盒周期的可信度
10.2可信平台控制模块功能组成
图3TPCM主动防御系统
检查TPCM内部基础软件的设计资料GB/T 39962-2021 压铸机 能效限定值及能效等级.pdf,应确认其包含TPCM内部的资源调度、任务管理提供I 驱动及控制的功能软件
功能服务检测应包括设计资料的检查和运行测试,要求如下: a 检查TPCM内部基础软件的设计资料,应确认其包含主动度量、主动控制、可信验证、加密保 护、可信报告、用户管理、基本信任基管理和密码调用功能; b 启动TPCM,构造可激活上述功能服务的输入序列,对上述功能进行测试,应确认其具备文档 所设计的功能,
接口的证实方法见10.3。
10.3可信平台控制模块的接口
在TPCM软件中添加计算部件接口测试程序,通过TPCM计算部件接口访问内存、I/O、系统固件
能CJJ 105-2005:城镇供热管网结构设计规范(无水印 带书签),确认其具备对I/O总线、电源的控制能力
10.3.2可信软件基接口
在可信软件基执行向TPCM下达可信验证、状态度量、加密保护和可信控制等策略的程序,读取 TPCM内部的审计信息,应确认这些信息中记录了对TPCM的访问行为