《信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊》

GB/TXXXXX—XXXX

信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊

1范圍

本標(biāo)準(zhǔn)描述了可信平臺(tái)控制模塊支撐的可信計(jì)算平臺(tái)框架、可信平臺(tái)功能流程以及可信平臺(tái)控制模

塊的功能組成、功能接口、安全防護(hù)和運(yùn)行維護(hù)要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)可信平臺(tái)控制模塊的設(shè)計(jì)、生產(chǎn)和測(cè)評(píng)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T29827—2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口

GB/T29828—2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)

GB/T29829—2013信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范

GM/T0012—2012可信計(jì)算可信密碼模塊接口規(guī)范

3術(shù)語(yǔ)與定義

GB/T29827-2013、GB/T29828-2013、GB/T29829-2013界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

可信密碼模塊（TCM）trustedcryptographymodule

可信計(jì)算平臺(tái)的硬件模塊，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，具有受保護(hù)的存儲(chǔ)空間。

[GB/T29829—2013，定義3.1.7]

3.2

可信平臺(tái)控制模塊（TPCM）trustedplatformcontrolmodule

一種可集成在可信計(jì)算平臺(tái)中，用于建立和保障信任源點(diǎn)的基礎(chǔ)核心模塊，為可信計(jì)算平臺(tái)提供主

動(dòng)度量、主動(dòng)控制、可信認(rèn)證、加密保護(hù)、可信報(bào)告等功能。

3.3

可信根rootoftrust

對(duì)應(yīng)TPCM模塊。

[GB/T29827—2013，定義3.1]

3.4

可信計(jì)算平臺(tái)(TCP)trustedcomputingplatform

通過(guò)TPCM在計(jì)算系統(tǒng)中建立的支撐系統(tǒng)，用于實(shí)現(xiàn)可信計(jì)算功能的，對(duì)計(jì)算系統(tǒng)實(shí)施保護(hù)和管理。

[GB/T29828—2013，定義3.11]

3.5

啟用狀態(tài)enabledstate

可信平臺(tái)控制模塊處于可以接收、執(zhí)行所有指令的工作狀態(tài)。

3.6

禁用狀態(tài)disablestate

2

GB/TXXXXX—XXXX

可信平臺(tái)控制模塊處于只能執(zhí)行啟用指令的特殊工作狀態(tài)。

3.7

主動(dòng)自檢activeself-checking

TPCM上電后主動(dòng)對(duì)模塊內(nèi)部指定內(nèi)容進(jìn)行的檢測(cè)操作。

3.8

被動(dòng)自檢passiveself-checking

TPCM接收到自檢指令后，對(duì)模塊內(nèi)部指定內(nèi)容進(jìn)行的檢測(cè)操作。

3.9

可信軟件基trustedsoftwarebase

為可信計(jì)算平臺(tái)提供可信支撐的軟件元素集合。

3.10

可信管理中心trustedmanagementcenter

對(duì)可信計(jì)算平臺(tái)的策略和基準(zhǔn)值進(jìn)行制定、下發(fā)、維護(hù)、存儲(chǔ)等操作的集中管理中心。

3.11

可信驗(yàn)證trustedverification

依據(jù)度量策略和基準(zhǔn)值對(duì)被驗(yàn)證對(duì)像進(jìn)行主動(dòng)的度量和度量結(jié)果驗(yàn)證的過(guò)程。

3.12

主動(dòng)度量activemeasuring

可信計(jì)算部件依據(jù)度量策略發(fā)起對(duì)度量對(duì)象進(jìn)行度量的行為。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)

IP：知識(shí)產(chǎn)權(quán)(IntellectualProperty)

IO:輸入輸出（Input/Output）

PCIe：外設(shè)組件高速互連標(biāo)準(zhǔn)（PeripheralComponentInterconnectExpress）

TCM：可信密碼模塊(TrustedCryptographyModule)

TPCM：可信平臺(tái)控制模塊(TrustedPlatformControlModule)

TSB：可信軟件基(TrustedSoftwareBase)

USB:通用串行總線(UniversalSerialBus)

5TPCM支撐的可信計(jì)算平臺(tái)雙體系框架

TPCM支撐的可信計(jì)算平臺(tái)雙體系框架由計(jì)算部件和防護(hù)部件構(gòu)成，如圖1所示。

3

GB/TXXXXX—XXXX

圖1TPCM支撐的可信計(jì)算平臺(tái)雙體系框架

計(jì)算部件由用于執(zhí)行運(yùn)算任務(wù)各個(gè)部件構(gòu)成；防護(hù)部件由可信密碼模塊、TPCM和可信軟件基等構(gòu)成。

防護(hù)部件獨(dú)立于計(jì)算部件執(zhí)行，為可信計(jì)算平臺(tái)提供具有主動(dòng)度量和主動(dòng)控制特征的可信計(jì)算防護(hù)

功能，實(shí)現(xiàn)運(yùn)算的同時(shí)進(jìn)行安全防護(hù)，使計(jì)算結(jié)果總是與預(yù)期一致，計(jì)算全程可控可測(cè)，不被干擾的目

標(biāo)。

本標(biāo)準(zhǔn)定義的可信計(jì)算平臺(tái)具有以下幾個(gè)特征：

a)TPCM使用可信密碼模塊提供的密碼計(jì)算、身份認(rèn)證和加密存儲(chǔ)功能，遵循GM/T0012及相關(guān)

密碼國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，并在設(shè)計(jì)上應(yīng)保證該可信密碼模塊僅供TPCM訪問(wèn)；

b)TPCM支撐可信軟件基的策略管理、密碼服務(wù)、系統(tǒng)管理、度量控制功能，可為可信軟件基提

供運(yùn)行環(huán)境；

c)基于TPCM支撐，可信軟件基實(shí)現(xiàn)對(duì)宿主系統(tǒng)軟件和應(yīng)用軟件主動(dòng)度量；

d)不同可信計(jì)算平臺(tái)之間的可信網(wǎng)絡(luò)連接需在TPCM和可信軟件基的支撐下進(jìn)行，相關(guān)接口遵循

GB/T29828—2013標(biāo)準(zhǔn)中的要求。

TPCM可以采用多種形態(tài)實(shí)現(xiàn)，如板卡、芯片、IP核等。

6可信平臺(tái)功能流程

6.1TPCM工作模式

TPCM支撐的可信計(jì)算平臺(tái)中，TPCM應(yīng)是平臺(tái)中第一個(gè)上電運(yùn)行的部件，在平臺(tái)從引導(dǎo)到正常工作的

整個(gè)過(guò)程中，TPCM應(yīng)并行于宿主計(jì)算組件獨(dú)立工作并不受其影響，是可信計(jì)算功能支撐的基礎(chǔ)部件，是

可信計(jì)算平臺(tái)的信任源點(diǎn)。

6.2可信驗(yàn)證功能流程

6.2.1可信平臺(tái)啟動(dòng)驗(yàn)證

在安全啟動(dòng)TPCM的基礎(chǔ)上，應(yīng)基于可信根對(duì)TPCM支撐的計(jì)算部件的系統(tǒng)固件、引導(dǎo)程序、操作系

統(tǒng)內(nèi)核等環(huán)節(jié)進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警控制處理，驗(yàn)證無(wú)誤計(jì)算節(jié)點(diǎn)可

啟動(dòng)工作。

4

GB/TXXXXX—XXXX

6.2.2應(yīng)用程序可信驗(yàn)證

在TPCM所在可信計(jì)算平臺(tái)啟動(dòng)驗(yàn)證基礎(chǔ)上，應(yīng)對(duì)其應(yīng)用程序的裝載和啟動(dòng)過(guò)程基于可信根進(jìn)行可

信驗(yàn)證，通過(guò)驗(yàn)證方能啟動(dòng)執(zhí)行，否則進(jìn)行報(bào)警，并采取恢復(fù)措施。

6.2.3執(zhí)行環(huán)節(jié)動(dòng)態(tài)驗(yàn)證

在TPCM所在可信計(jì)算平臺(tái)啟動(dòng)和應(yīng)用程序驗(yàn)證基礎(chǔ)上，可基于可信根對(duì)應(yīng)用程序執(zhí)行中關(guān)鍵環(huán)節(jié)

的環(huán)境狀態(tài)進(jìn)行可信驗(yàn)證，主動(dòng)抵御入侵行為，并將驗(yàn)證結(jié)果報(bào)送安全管理中心。

6.2.4實(shí)時(shí)驗(yàn)證關(guān)聯(lián)感知

在TPCM所在可信計(jì)算平臺(tái)啟動(dòng)、應(yīng)用程序和執(zhí)行環(huán)境驗(yàn)證基礎(chǔ)上，可基于可信根對(duì)應(yīng)用程序執(zhí)行

過(guò)程中所有重要環(huán)節(jié)的環(huán)境狀態(tài)進(jìn)行可信驗(yàn)證，并將驗(yàn)證結(jié)果進(jìn)行動(dòng)態(tài)實(shí)時(shí)關(guān)聯(lián)感知，形成態(tài)勢(shì)預(yù)警。

6.2.5網(wǎng)絡(luò)連接可信驗(yàn)證

在TPCM所在可信計(jì)算平臺(tái)啟動(dòng)、應(yīng)用程序和執(zhí)行環(huán)境驗(yàn)證基礎(chǔ)上，應(yīng)基于可信根對(duì)網(wǎng)絡(luò)連接請(qǐng)求

方和連接方進(jìn)行身份、網(wǎng)絡(luò)執(zhí)行環(huán)境以及網(wǎng)絡(luò)協(xié)議等進(jìn)行可信驗(yàn)證。見GB/T29828—2013。

7TPCM功能組成

7.1功能組成框架

TPCM應(yīng)具有可信認(rèn)證、狀態(tài)度量、安全存儲(chǔ)、可信報(bào)告以及密碼接口等功能，是可信計(jì)算平臺(tái)的

信任源點(diǎn)。

TPCM在邏輯上可以分為基礎(chǔ)硬件、基礎(chǔ)軟件、功能服務(wù)、接口四部分，如圖2所示。

圖2TPCM功能組成框架

7.2基礎(chǔ)硬件

基礎(chǔ)硬件由處理器、存儲(chǔ)器、總線及IO接口等組成，是TPCM進(jìn)行數(shù)據(jù)處理、存儲(chǔ)、總線訪問(wèn)、IO

5

GB/TXXXXX—XXXX

接口控制及計(jì)算部件訪問(wèn)和控制的基本資源。

7.3基礎(chǔ)軟件

基礎(chǔ)軟件實(shí)現(xiàn)對(duì)TPCM內(nèi)部的資源調(diào)度和任務(wù)管理以及提供IO接口驅(qū)動(dòng)及控制。

7.4功能服務(wù)

功能服務(wù)包括主動(dòng)度量、主動(dòng)控制、可信認(rèn)證、加密保護(hù)、可信報(bào)告、用戶管理和基本信任基管理。

TPCM主動(dòng)度量是依據(jù)TPCM的度量策略和基準(zhǔn)值，獲取計(jì)算部件的內(nèi)存、IO、固件中的度量對(duì)象

信息，并進(jìn)行度量和驗(yàn)證。TPCM的度量策略和基準(zhǔn)值一部分是內(nèi)置的，一部分是由可信軟件基解析后

給TPCM執(zhí)行的。度量策略和基準(zhǔn)值都可由可信管理中心進(jìn)行更新。

TPCM主動(dòng)控制是指依據(jù)TPCM的控制策略和主動(dòng)度量結(jié)果，TPCM進(jìn)行總線、電源信號(hào)等方式執(zhí)行

控制。

TPCM可信認(rèn)證和加密保護(hù)是以可信密碼模塊的密碼機(jī)制為支撐，對(duì)系統(tǒng)中的對(duì)象主體進(jìn)行可信認(rèn)

證，對(duì)系統(tǒng)中的數(shù)據(jù)實(shí)施加密保護(hù)。

TPCM的可信報(bào)告是將TPCM的度量結(jié)果存儲(chǔ)，一些關(guān)鍵度量結(jié)果寫入到可信密碼模塊中，通過(guò)可

信密碼模塊提供的可信報(bào)告功能，向外界提供TPCM度量結(jié)果的可信報(bào)告。

TPCM的用戶管理是在TPCM中維持用戶及其認(rèn)證信息、授權(quán)信息的列表，對(duì)TPCM的訪問(wèn)通過(guò)身

份認(rèn)證和會(huì)話建立確認(rèn)其來(lái)源，并根據(jù)授權(quán)信息執(zhí)行訪問(wèn)控制。

TPCM的基本信任基管理是對(duì)系統(tǒng)啟動(dòng)過(guò)程中的可信度量、可信控制策略進(jìn)行管理。

7.5接口

TPCM通過(guò)外部接口實(shí)現(xiàn)訪問(wèn)計(jì)算部件資源、連接可信密碼模塊和提供面向外部的功能訪問(wèn)，包括

計(jì)算部件接口、可信軟件基接口、管理接口、可信密碼模塊接口。

具體接口要求見第8章。

8TPCM接口

8.1計(jì)算部件接口

8.1.1接口類型

計(jì)算部件接口主要為總線接口，與系統(tǒng)中不同類型的總線相連接，TPCM通過(guò)該接口訪問(wèn)內(nèi)存、IO、

系統(tǒng)固件等系統(tǒng)資源，并對(duì)IO總線、電源等系統(tǒng)資源進(jìn)行控制。

計(jì)算部件接口可包含設(shè)備接口。

8.1.2接口功能

TPCM可通過(guò)計(jì)算部件總線接口復(fù)制總線數(shù)據(jù)、截獲總線數(shù)據(jù)并進(jìn)行處理或下發(fā)總線控制命令。TPCM

通過(guò)這些功能在總線層面實(shí)現(xiàn)對(duì)可信計(jì)算平臺(tái)的主動(dòng)度量、主動(dòng)控制、可信認(rèn)證和加密保護(hù)等主動(dòng)監(jiān)控

功能。

計(jì)算部件接口可提供兼容已有設(shè)備物理接口的設(shè)備接口，以提供兼容已有設(shè)備且具備可信功能的設(shè)

備接口功能。

8.1.3接口輸入/輸出

計(jì)算部件接口中總線接口的輸入/輸出為符合不同總線標(biāo)準(zhǔn)的數(shù)據(jù)或控制命令。

6

GB/TXXXXX—XXXX

計(jì)算部件接口中設(shè)備接口的輸入/輸出為符合設(shè)備接口規(guī)范的數(shù)據(jù)和控制命令。

8.2可信軟件基接口

8.2.1接口類型

可信軟件基接口物理層面可以是獨(dú)立的接口或復(fù)用計(jì)算部件接口，由可信軟件基通過(guò)明確定義的

API接口訪問(wèn)。

可信軟件基訪問(wèn)可信軟件基接口時(shí)，需首先通過(guò)API與TPCM間進(jìn)行相互認(rèn)證，并建立可信的數(shù)據(jù)

通道。

8.2.2接口功能

可信軟件基接口主要實(shí)現(xiàn)可信軟件基與TPCM的互動(dòng)，可信軟件基向TPCM下達(dá)可信驗(yàn)證、狀態(tài)度量、

加密保護(hù)和可信控制等策略，并從TPCM獲取可信狀態(tài)報(bào)告信息和可信密碼服務(wù)等功能。

8.2.3接口輸入/輸出

可信軟件基接口的輸入為可信軟件基通過(guò)API生成的控制命令或策略數(shù)據(jù)。輸出為TPCM返回的

狀態(tài)信息或運(yùn)算數(shù)據(jù)。

8.3管理接口

8.3.1接口類型

管理接口為獨(dú)立的物理接口，可以為網(wǎng)絡(luò)或總線接口模式，由TPCM管理程序訪問(wèn)，其訪問(wèn)數(shù)據(jù)

格式需通過(guò)規(guī)范文檔明確定義，并考慮安全要求。

8.3.2接口功能

TPCM的管理接口包括TPCM自身管理、可信密碼模塊管理、基本信任基管理以及日志管理等。

TPCM自身管理接口包括TPCM配置管理和安全管理。

可信密碼模塊管理接口提供TPCM所使用的可信密碼模塊的授權(quán)管理、密鑰管理。

基本信任基管理接口提供基本信任基的度量值管理與度量策略管理。

日志管理接口提供TPCM管理行為日志的導(dǎo)出機(jī)制。

8.3.3接口輸入/輸出

管理接口的輸入為TPCM管理程序輸入的配置信息、管理命令、TPCM基本信任基的策略以及TPCM

日志策略。

管理接口的輸出為TPCM自身的狀態(tài)、可信密碼模塊的狀態(tài)、基本信任基狀態(tài)以及TPCM日志信息。

8.4可信密碼模塊接口

可信密碼模塊接口提供TPCM對(duì)可信密碼模塊訪問(wèn)的IO通道，接口規(guī)范應(yīng)遵循可信密碼模塊相關(guān)接

口規(guī)范。

7

GB/TXXXXX—XXXX

9安全防護(hù)

9.1身份鑒別

9.1.1用戶分類

TPCM應(yīng)支持多種用戶身份管理，至少應(yīng)支持以下兩種類別的用戶：

a)管理員，具備創(chuàng)建所有者、管理用戶、設(shè)置防護(hù)策略及TPCM的狀態(tài)管理權(quán)限；

b)普通用戶，有不同認(rèn)證和防護(hù)策略等設(shè)置。

9.1.2用戶鑒別要求

當(dāng)TPCM提供服務(wù)時(shí)，應(yīng)當(dāng)對(duì)訪問(wèn)的身份進(jìn)行鑒別，鑒別要求如下：

a)可通過(guò)身份識(shí)別設(shè)備獲取當(dāng)前使用者的身份信息；

b)可通過(guò)通信通道獲取得前使用者的身份信息。

9.2資源訪問(wèn)控制

TPCM應(yīng)支持對(duì)資源的訪問(wèn)控制，控制對(duì)象可包括硬盤、USB、PCIe、并口、串口和網(wǎng)口設(shè)備等。

9.3審計(jì)

TPCM應(yīng)對(duì)所執(zhí)行的指令記錄日志，并支持審計(jì)。

審計(jì)日志應(yīng)滿足如下要求：

a)日志存儲(chǔ)在非易失性數(shù)據(jù)存儲(chǔ)單元中；

b)應(yīng)對(duì)日志的訪問(wèn)進(jìn)行權(quán)限控制，并應(yīng)保證日志的完整性；

c)可提供日志記錄安全轉(zhuǎn)移及安全遷移功能。

9.4存儲(chǔ)空間安全要求

TPCM不對(duì)外開放地址空間，對(duì)TPCM的訪問(wèn)應(yīng)通過(guò)TPCM指令集解析實(shí)現(xiàn)。

TPCM運(yùn)行過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)在失效后應(yīng)及時(shí)清除。

9.5數(shù)據(jù)保護(hù)

TPCM應(yīng)能夠?qū)⒅匾獢?shù)據(jù)與度量值捆綁，實(shí)現(xiàn)數(shù)據(jù)封裝保護(hù)。受保護(hù)的數(shù)據(jù)只能在綁定TPCM的平臺(tái)

以及特定完整性狀態(tài)下才能被解封。

TPCM應(yīng)具有安全數(shù)據(jù)遷移、備份與恢復(fù)的功能，遷移、備份與恢復(fù)操作在保證數(shù)據(jù)的機(jī)密性和完

整性前提下進(jìn)行。

9.6物理防護(hù)

在TPCM內(nèi)部應(yīng)使用物理防護(hù)手段實(shí)現(xiàn)對(duì)外部攻擊的防護(hù)，包括：

a)防止因產(chǎn)生電磁波造成的TPCM信息泄漏；

b)防止因高低壓攻擊造成TPCM被破壞；

c)防止因高低頻攻擊造成TPCM被破壞；

d)應(yīng)具備防止物理篡改能力；

e)應(yīng)具備防止側(cè)信道攻擊的能力。

8

GB/TXXXXX—XXXX

10運(yùn)行維護(hù)

10.1自檢

10.1.1主動(dòng)自檢

TPCM上電啟動(dòng)時(shí)，應(yīng)進(jìn)行主動(dòng)自檢。

主動(dòng)自檢對(duì)象應(yīng)包括密碼算法模塊、設(shè)計(jì)者自定義狀態(tài)標(biāo)識(shí)及TPCM內(nèi)部代碼完整性。

10.1.2被動(dòng)自檢

TPCM應(yīng)支持被動(dòng)自檢，被動(dòng)自檢對(duì)象包括密碼算法模塊、設(shè)計(jì)者自定義TPCM狀態(tài)標(biāo)識(shí)、當(dāng)前用戶

身份標(biāo)識(shí)和當(dāng)前用戶身份，可信寄存器組的信息。

10.1.3自檢異常處理

TPCM如果未通過(guò)自檢，立即向可信計(jì)算平臺(tái)發(fā)出自檢失敗信號(hào)，將自檢信息記錄到日志中，然后

發(fā)出平臺(tái)啟動(dòng)信號(hào)。

當(dāng)平臺(tái)啟動(dòng)程序代碼執(zhí)行啟動(dòng)后，顯示自檢失敗信息，并請(qǐng)求管理員登錄處理。

管理員可以選擇禁用TPCM或重新啟動(dòng)可信計(jì)算平臺(tái)和TPCM。

10.2狀態(tài)維護(hù)

TPCM有使能和禁用狀態(tài)。

a)出廠默認(rèn)處于禁用狀態(tài)。

b)應(yīng)由管理員執(zhí)行使能和禁用狀態(tài)切換操作。

c)TPCM處于使能狀態(tài)時(shí)，又分為兩種工作狀態(tài)：有效和無(wú)效狀態(tài)。有效狀態(tài)即是TPCM正常工作

時(shí)的狀態(tài)，無(wú)效狀態(tài)即是TPCM鎖定時(shí)的狀態(tài)。

d)TPCM每次加電啟動(dòng)時(shí)，都要對(duì)使用狀態(tài)進(jìn)行判斷。如果禁用狀態(tài)，則只能進(jìn)行TPCM的狀態(tài)查

詢及使能操作。

_________________________________

9

ICS

L80

備案號(hào)：

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)可信計(jì)算規(guī)范

可信平臺(tái)控制模塊

Informationsecuritytechnology—Trustedcomputingspecification—

Trustedplatformcontrolmodule

（征求意見稿）

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利與支持性文件一并附上.

××××-××-××發(fā)布××××-××-××實(shí)施

GB/TXXXXX—XXXX

9安全防護(hù)

9.1身份鑒別

9.1.1用戶分類

TPCM應(yīng)支持多種用戶身份管理，至少應(yīng)支持以下兩種類別的用戶：

a)管理員，具備創(chuàng)建所有者、管理用戶、設(shè)置防護(hù)策略及TPCM的狀態(tài)管理權(quán)限；

b)普通用戶，有不同認(rèn)證和防護(hù)策略等設(shè)置。

9.1.2用戶鑒別要求

當(dāng)TPCM提供服務(wù)時(shí)，應(yīng)當(dāng)對(duì)訪問(wèn)的身份進(jìn)行鑒別，鑒別要求如下：

a)可通過(guò)身份識(shí)別設(shè)備獲取當(dāng)前使用者的身份信息；

b)可通過(guò)通信通道獲取得前使用者的身份信息。

9.2資源訪問(wèn)控制

TPCM應(yīng)支持對(duì)資源的訪問(wèn)控制，控制對(duì)象可包括硬盤、USB、PCIe、并口、串口和網(wǎng)口設(shè)備等。

9.3審計(jì)

TPCM應(yīng)對(duì)所執(zhí)行的指令記錄日志，并支持審計(jì)。

審計(jì)日志應(yīng)滿足如下要求：

a)日志存儲(chǔ)在非易失性數(shù)據(jù)存儲(chǔ)單元中；

b)應(yīng)對(duì)日志的訪問(wèn)進(jìn)行權(quán)限控制，并應(yīng)保證日志的完整性；

c)可提供日志記錄安全轉(zhuǎn)移及安全遷移功能。

9.4存儲(chǔ)空間安全要求

TPCM不對(duì)外開放地址空間，對(duì)TPCM的訪問(wèn)應(yīng)通過(guò)TPCM指令集解析實(shí)現(xiàn)。

TPCM運(yùn)行過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)在失效后應(yīng)及時(shí)清除。

9.5數(shù)據(jù)保護(hù)

TPCM應(yīng)能夠?qū)⒅匾獢?shù)據(jù)與度量值捆綁，實(shí)現(xiàn)數(shù)據(jù)封裝保護(hù)。受保護(hù)的數(shù)據(jù)只能在綁定TPCM的平臺(tái)

以及特定完整性狀態(tài)下才能被解封。

TPCM應(yīng)具有安全數(shù)據(jù)遷移、備份與恢復(fù)的功能，遷移、備份與恢復(fù)操作在保證數(shù)據(jù)的機(jī)密性和完

整性前提下進(jìn)行。

9.6物理防護(hù)

在TPCM內(nèi)部應(yīng)使用物理防護(hù)手段實(shí)現(xiàn)對(duì)外部攻擊的防護(hù)，包括：

a)防止因產(chǎn)