GB/T 29828-2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T29828—2013

信息安全技術(shù)可信計(jì)算規(guī)范

可信連接架構(gòu)

Informationsecuritytechnology—Trustedcomputingspecification—

Trustedconnectarchitecture

2013-11-12發(fā)布2014-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T29828—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………2

縮略語

4……………………3

總體描述

5…………………5

概述

5.1…………………5

實(shí)體

5.2…………………6

層次

5.3…………………6

組件

5.4…………………6

接口

5.5…………………7

實(shí)現(xiàn)過程

5.6……………8

評估隔離和修補(bǔ)

5.7、……………………9

網(wǎng)絡(luò)訪問控制層

6…………………………11

概述

6.1…………………11

網(wǎng)絡(luò)傳輸機(jī)制

6.2………………………11

訪問控制機(jī)制

6.3………………………51

可信平臺評估層

7…………………………52

概述

7.1…………………52

平臺鑒別基礎(chǔ)設(shè)施

7.2…………………53

完整性度量層

8…………………………115

概述

8.1………………115

消息協(xié)議

8.2IF-IM…………………115

和

9IF-IMCIF-IMV……………………120

概述

9.1………………120

9.2IF-IMC……………120

9.3IF-IMV……………129

附錄資料性附錄完整性管理框架

A()………………134

附錄資料性附錄安全策略管理框架

B()……………136

附錄資料性附錄數(shù)字信封

C()………………………138

圖可信連接架構(gòu)

1(TCA)…………………5

圖的實(shí)現(xiàn)過程

2TCA……………………8

圖具有隔離修補(bǔ)層的可信連接架構(gòu)

3…………………10

Ⅰ

GB/T29828—2013

圖的序列鑒別實(shí)現(xiàn)一的層次模型

4TCATAEP………12

圖序列鑒別實(shí)現(xiàn)一的交互過程

5TAEPTAEP………14

圖的序列鑒別實(shí)現(xiàn)二的層次模型

6TCATAEP………15

圖序列鑒別實(shí)現(xiàn)二的交互過程一

7TAEPTAEP……………………18

圖序列鑒別實(shí)現(xiàn)二的交互過程二

8TAEPTAEP……………………19

圖

9FLAG………………21

圖協(xié)議的證書鑒別過程

10EWAI………………………21

圖消息的數(shù)據(jù)字段格式

111……………22

圖消息的數(shù)據(jù)字段格式

122……………22

圖消息的數(shù)據(jù)字段格式

133……………23

圖消息的數(shù)據(jù)字段格式

144……………24

圖消息的數(shù)據(jù)字段格式

155……………27

圖消息的數(shù)據(jù)字段格式

166……………30

圖消息的數(shù)據(jù)字段格式

177……………33

圖消息的數(shù)據(jù)字段格式

188……………36

圖消息的數(shù)據(jù)字段格式

199……………36

圖的隧道鑒別方式層次模型

20TCATAEP…………38

圖隧道鑒別實(shí)現(xiàn)的交互過程一

21TAEPTAEP……………………41

圖隧道鑒別實(shí)現(xiàn)的交互過程二

22TAEPTAEP……………………42

圖協(xié)議的握手協(xié)議分組格式

23ETLS…………………43

圖協(xié)議的握手過程

24ETLS……………44

圖消息的數(shù)據(jù)字段格式

251……………44

圖

26FLAG………………45

圖消息的數(shù)據(jù)字段格式

272……………46

圖消息的數(shù)據(jù)字段格式

283……………48

圖消息的數(shù)據(jù)字段格式

294……………49

圖全端口控制實(shí)現(xiàn)方式下的端口控制系統(tǒng)結(jié)構(gòu)

30……………………52

圖協(xié)議基本流程

31PAI…………………54

圖協(xié)議分組格式

32PAI…………………56

圖標(biāo)識格式

33FLAG…………………57

圖組件類型級平臺完整性度量請求參數(shù)

34……………58

圖組件屬性級平臺完整性度量請求參數(shù)條目

35………58

圖組件類型級平臺完整性評估策略條目

36……………59

圖組件產(chǎn)品級平臺完整性評估策略條目

37……………59

圖組件屬性級平臺完整性評估策略條目

38……………60

圖組件類型級平臺完整性度量值條目

39………………60

圖級平臺完整性度量值條目

40IF-IM…………………61

圖組件類型級數(shù)據(jù)值條目

41Quote……………………61

圖級數(shù)據(jù)值條目

42IF-IMQuote………………………61

圖組件類型級平臺配置保護(hù)策略條目

43………………62

圖組件產(chǎn)品級平臺配置保護(hù)策略條目

44………………62

圖組件屬性級平臺配置保護(hù)策略條目

45………………63

圖組件類型級平臺修補(bǔ)信息條目

46……………………63

Ⅱ

GB/T29828—2013

圖級平臺修補(bǔ)信息條目

47IF-IM………………………63

圖組件類型級錯誤原因信息條目

48……………………64

圖組件產(chǎn)品級錯誤原因信息條目

49……………………64

圖組件屬性級錯誤原因信息條目

50……………………65

圖類型長度值的格式

51--(TLV)………………………65

圖簽名屬性

52……………66

圖平臺完整性度量請求參數(shù)

53…………67

圖平臺完整性評估策略

54………………67

圖平臺完整性度量值

55…………………68

圖數(shù)據(jù)值

56Quote………………………68

圖平臺配置保護(hù)策略

57…………………69

圖證書驗(yàn)證和平臺完整性評估結(jié)果

58PIK……………69

圖平臺修補(bǔ)信息

59………………………71

圖錯誤原因信息

60………………………71

圖匯聚平臺完整性評估策略

61…………71

圖消息的數(shù)據(jù)字段格式

621……………72

圖消息的數(shù)據(jù)字段格式

632……………76

圖消息的數(shù)據(jù)字段格式

643……………79

圖協(xié)議中生成組件產(chǎn)品級平臺完整性評估結(jié)果及其他參數(shù)的具體過程

65PAI-1IMV…………82

圖協(xié)議中生成組件類型級平臺完整性評估結(jié)果及其他參數(shù)的具體過程

66PAI-1EPS……………84

圖協(xié)議中生成的平臺完整性評估結(jié)果及其他參數(shù)的具體過程

67PAI-1EPSAR…85

圖消息的數(shù)據(jù)字段格式

684……………86

圖消息的數(shù)據(jù)字段格式

695……………90

圖消息的數(shù)據(jù)字段格式

706……………93

圖消息的數(shù)據(jù)字段格式

711……………94

圖消息的數(shù)據(jù)字段格式

722……………98

圖消息的數(shù)據(jù)字段格式

733…………101

圖協(xié)議中生成組件產(chǎn)品級平臺完整性評估結(jié)果及其他參數(shù)的具體過程

74PAI-2IMV…………104

圖協(xié)議中生成組件類型級平臺完整性評估結(jié)果及其他參數(shù)的具體過程

75PAI-2EPS…………106

圖協(xié)議中生成的平臺完整性評估結(jié)果及其他參數(shù)的具體過程

76PAI-2EPSAR………………107

圖消息的數(shù)據(jù)字段格式

774…………108

圖消息的數(shù)據(jù)字段格式

785…………111

圖消息的數(shù)據(jù)字段格式

796…………114

圖消息的格式

80IF-IM………………116

圖屬性的格式

81IF-IM………………116

圖產(chǎn)品信息的屬性值

82IF-IM………………………117

圖數(shù)字版本的屬性值

83IF-IM………………………118

圖字符串版本的屬性值

84IF-IM……………………118

圖操作狀態(tài)的屬性值

85IF-IM………………………118

圖平臺修補(bǔ)信息的屬性值

86IF-IM…………………119

圖基于的修補(bǔ)指示

87URI……………119

圖錯誤信息

88IF-IM…………………120

圖中的交互示意圖

89ARIF-IMC……………………125

Ⅲ

GB/T29828—2013

圖中的交互示意圖

90ACIF-IMC……………………129

圖交互示意圖

91IF-IMV………………133

圖完整性管理框架

A.1…………………134

圖安全策略管理框架

B.1………………136

圖數(shù)字信封的生成和解開

C.1…………138

表平臺完整性評估結(jié)果的或運(yùn)算規(guī)則

1………………86

表平臺完整性評估結(jié)果的與運(yùn)算規(guī)則

2………………86

表本標(biāo)準(zhǔn)定義的組件類型

3……………115

表本標(biāo)準(zhǔn)定義的屬性類型

4IF-IM……………………117

表的功能函數(shù)結(jié)果狀態(tài)碼

5IF-IMC…………………120

表網(wǎng)絡(luò)連接狀態(tài)值

6……………………121

表執(zhí)行下一個平臺鑒別過程的原因值

7………………121

表的功能函數(shù)結(jié)果狀態(tài)碼

8IF-IMV…………………130

Ⅳ

GB/T29828—2013

前言

本標(biāo)準(zhǔn)按照的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)主要起草單位北京工業(yè)大學(xué)西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司瑞達(dá)信息安全產(chǎn)

:、、

業(yè)股份有限公司西安電子科技大學(xué)北京理工大學(xué)武漢大學(xué)北京天融信科技有限公司北京電子科

、、、、、

技學(xué)院北京金奧博數(shù)碼信息技術(shù)有限責(zé)任公司中國電子科技集團(tuán)公司第三十研究所國家無線電監(jiān)

、、、

測中心北京網(wǎng)貝合創(chuàng)科技有限公司中國航天科工集團(tuán)二院七六所鄭州信大捷安信息技術(shù)有限公

、、O、

司上海格爾軟件股份有限公司西安郵電大學(xué)江南計(jì)算機(jī)技術(shù)研究所國家廣播電影電視總局廣播科

、、、、

學(xué)研究院中國電子技術(shù)標(biāo)準(zhǔn)化研究院華為技術(shù)有限公司深圳長城電腦有限公司中安科技集團(tuán)有限

、、、、

公司長春吉大正元信息技術(shù)股份有限公司北京鼎普科技股份有限公司成都衛(wèi)士通信息產(chǎn)業(yè)股份有

、、、

限公司北京密安網(wǎng)絡(luò)技術(shù)股份有限公司中國電力科學(xué)研究院無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)室

、、、。

本標(biāo)準(zhǔn)主要起草人沈昌祥肖躍雷曹軍張立強(qiáng)張興韓永飛方娟李海鵬黃振海陳曦

:、、、、、、、、、、

祝烈煌李兆斌劉彤冷冰宋起柱陳志浩張煥國秦志強(qiáng)段麗娟李暉張龍鐵滿霞賴曉龍

、、、、、、、、、、、、、

常超穩(wěn)譚武征韓勇橋劉智君姚琦裴慶祺張子劍葛莉鞠磊趙桂芳朱林朱志祥蔣炎河王磊

、、、、、、、、、、、、、、

鄒冰玉賴英旭馬卓張變玲杜志強(qiáng)胡亞楠劉衛(wèi)國池亞平吳素研苑克龍王曉程于昇李興華

、、、、、、、、、、、、、

王軻張國強(qiáng)李琴劉賢剛位繼偉尹瀚秦晰魏占禎李瑛劉了梁晉春公備邵存金李大東

、、、、、、、、、、、、、、

何長龍萬俊賈科張世雄王明坤高昆侖許勝偉姚金利王勇侯亞榮任興田楊宇光趙國磊

、、、、、、、、、、、、、

韓培勝曹慧淵郭沛宇郎風(fēng)華

、、、。

Ⅴ

GB/T29828—2013

引言

隨著信息化的逐漸發(fā)展網(wǎng)絡(luò)安全面臨嚴(yán)峻的考驗(yàn)各種計(jì)算機(jī)網(wǎng)絡(luò)遭受的攻擊和破壞是來

,,80%

自于內(nèi)部目前業(yè)內(nèi)的安全解決方案往往側(cè)重于先防外后防內(nèi)先防服務(wù)設(shè)施后防終端設(shè)施而可信

。,。

計(jì)算技術(shù)則逆其道而行之首先保證所有終端的可信賴性通過可信賴的組件來組建更大的可信系統(tǒng)

,,。

可信計(jì)算平臺在底層進(jìn)行防護(hù)通過可信硬件對上層進(jìn)行保護(hù)為用戶提供更強(qiáng)的安全防護(hù)可信網(wǎng)絡(luò)

,,。

連接本質(zhì)上包含兩個方面的內(nèi)容第一方面需要創(chuàng)建一套在網(wǎng)絡(luò)內(nèi)部系統(tǒng)運(yùn)行狀況的策略第二方面

:;,

只有遵守網(wǎng)絡(luò)設(shè)定的策略的終端才能訪問網(wǎng)絡(luò)網(wǎng)絡(luò)將隔離和定位那些不遵守策略的設(shè)備

,。

本標(biāo)準(zhǔn)的主要目標(biāo)是提出一個實(shí)現(xiàn)終端連接到網(wǎng)絡(luò)的雙向用戶身份鑒別和平臺鑒別進(jìn)而實(shí)現(xiàn)可

,

信網(wǎng)絡(luò)連接的可信連接架構(gòu)并定義其層次實(shí)體組件接口實(shí)現(xiàn)流程評估隔離和修補(bǔ)以及各個接

,、、、、、、

口的具體實(shí)現(xiàn)

。

本標(biāo)準(zhǔn)主要內(nèi)容是

:

可信連接架構(gòu)實(shí)現(xiàn)終端連接到網(wǎng)絡(luò)的雙向用戶身份鑒別和平臺鑒別

———,。

定義可信連接架構(gòu)中各個接口的具體實(shí)現(xiàn)

———。

本標(biāo)準(zhǔn)的使用者是可信計(jì)算的生產(chǎn)企業(yè)檢測機(jī)構(gòu)和科研機(jī)構(gòu)

、。

本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)提請注意聲明符合本標(biāo)準(zhǔn)時可能涉及第章與一種基于三元對等鑒別的可

,,5“

信網(wǎng)絡(luò)連接方法一種基于三元對等鑒別的可信網(wǎng)絡(luò)連接系統(tǒng)等相關(guān)的專利的使用

”、“”。

本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)對于該專利的真實(shí)性有效性和范圍無任何立場

、。

該專利持有人已向本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)保證他愿意同任何申請人在合理且無歧視的條款和條件下

,,

就專利授權(quán)許可進(jìn)行談判該專利持有人的聲明已在本標(biāo)準(zhǔn)發(fā)布機(jī)構(gòu)備案相關(guān)信息可通過以下聯(lián)系

。。

方式獲得

:

專利權(quán)人西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司

:

地址西安市高新區(qū)科技二路號西安軟件園秦風(fēng)閣

:68A201

聯(lián)系人劉長春

:

郵政編碼

:710075

電子郵件

:ipri@

電話

/p>

傳真

/p>

網(wǎng)址

:

請注意除了上述專利外本標(biāo)準(zhǔn)的某些內(nèi)容仍可能涉及專利本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些

,。

專利的責(zé)任

。

Ⅵ

GB/T29828—2013

信息安全技術(shù)可信計(jì)算規(guī)范

可信連接架構(gòu)

1范圍

本標(biāo)準(zhǔn)規(guī)定了可信連接架構(gòu)的層次實(shí)體組件接口實(shí)現(xiàn)流程評估隔離和修補(bǔ)以及各個接口的

、、、、、、

具體實(shí)現(xiàn)解決終端連接到網(wǎng)絡(luò)的雙向用戶身份鑒別和平臺鑒別問題實(shí)現(xiàn)終端連接到網(wǎng)絡(luò)的可信網(wǎng)絡(luò)

,,

連接

。

本標(biāo)準(zhǔn)適用于具有可信平臺控制模塊的終端與網(wǎng)絡(luò)的可信網(wǎng)絡(luò)連接

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第

GB15629.11—200311

部分無線局域網(wǎng)媒體訪問控制和物理層規(guī)范