自主可控網(wǎng)絡(luò)安全技術(shù) 計(jì)算基礎(chǔ)環(huán)境安全要求

1自主可控網(wǎng)絡(luò)安全技術(shù)計(jì)算基礎(chǔ)環(huán)境安全要求本文件提出了自主可控計(jì)算基礎(chǔ)環(huán)境的安全要求，規(guī)定了可信引導(dǎo)、內(nèi)核安全和系統(tǒng)安全等安全技術(shù)要求。本文件適用于自主可控信息技術(shù)產(chǎn)品的安全功能設(shè)計(jì)、開(kāi)發(fā)與測(cè)試，也為整機(jī)生產(chǎn)商、應(yīng)用軟件開(kāi)發(fā)商、外設(shè)產(chǎn)品開(kāi)發(fā)商等的研發(fā)適配提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20272-2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T36630.1-2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)第1部分：總則GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)GB/T22239-2019信息安全技術(shù)：網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求T/ZISIA1-2024自主可控網(wǎng)絡(luò)安全技術(shù)框架3術(shù)語(yǔ)和定義GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件：3.1自主可控autonomousandcontrollable信息技術(shù)產(chǎn)品的核心技術(shù)、原材料和零部件、生產(chǎn)工藝等不受其它國(guó)家的控制，符合國(guó)產(chǎn)化、安全可控標(biāo)準(zhǔn)或監(jiān)管要求的要求。[來(lái)源：T/ZISIA1-2024，3.1]3.2安全可控controllabilityforsecurity信息技術(shù)產(chǎn)品具備的保證其應(yīng)用數(shù)據(jù)支配權(quán)、產(chǎn)品控制權(quán)、產(chǎn)品選擇權(quán)等不受損害的屬[來(lái)源：GB/T36630.1-2018,3.2]3.3計(jì)算基礎(chǔ)環(huán)境computinginfrastructureenvironment用于支撐和增強(qiáng)計(jì)算系統(tǒng)的基礎(chǔ)元素集合，包括計(jì)算芯片、固件、操作系統(tǒng)、存儲(chǔ)等。3.4可信軟件基trustedsoftwarebase為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。[來(lái)源：GB/T37935—2019，3.3]3.5內(nèi)生安全intrinsicsecurity自主可控系統(tǒng)利用自身架構(gòu)、功能模塊和運(yùn)行機(jī)制等而獲得的安全防護(hù)能力。[來(lái)源：T/ZISIA1-2024，3.5]3.6固件firmware固化到計(jì)算機(jī)中的非易失性存儲(chǔ)器中的一組程序或軟件,為計(jì)算機(jī)提供最基本的硬件初始化,還可能向上層軟件提供底層硬件的訪問(wèn)接口或服務(wù)。3.7基本輸入輸出系統(tǒng)BasicInput/OutputSystem2是計(jì)算機(jī)中的一種固件,是操作系統(tǒng)和計(jì)算機(jī)平臺(tái)硬件之間連接的一個(gè)橋梁,負(fù)責(zé)計(jì)算機(jī)開(kāi)機(jī)時(shí)的硬件檢測(cè)、設(shè)備初始化、操作系統(tǒng)引導(dǎo)并向操作系統(tǒng)提供服務(wù)接口。3.8工作網(wǎng)絡(luò)worknetwork是一種基于節(jié)點(diǎn)之間的相互連接形成的，有秩序和邊界的通信網(wǎng)絡(luò)。4符號(hào)和縮略語(yǔ)下列符號(hào)和縮略語(yǔ)適用于本文件。ACPI：高級(jí)配置和電源接口（AdvancedConfigurationandPowerInterface）CPU：中央處理器（CentralProcessingUnit）DAC：自主訪問(wèn)控制(DiscretionaryAccessControl)LSM：Linux安全模塊（linuxsecuritymodule）MM：管理模式（ManagementMode）MMU：內(nèi)存管理單元（MemoryManagementUnit）OS：操作系統(tǒng)（OperatingSystem）PBF：處理器基礎(chǔ)固件（ProcessorBaseFirmware）RAS：可靠性,可用性,可服務(wù)性（Reliability,Availability,andServiceability）REE：通用執(zhí)行環(huán)境（RichExecutionEnvironment）ROM：只讀存儲(chǔ)器（Read-OnlyMemory）SMBIOS：系統(tǒng)管理BIOS（SystemManagementBIOS）SMC：安全監(jiān)控呼叫（SecureMoniterCall）SPI：串行外設(shè)接口（SerialPeripheralInterface）TA：可信應(yīng)用（TrustedApplication）TCM：可信加密模塊（TrustedCryptographyModule）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TOS：可信的操作系統(tǒng)（TrustedOperatingSystem）TPCM：可信平臺(tái)控制模塊（trustedplatformcontrolmodule）TSB：可信軟件基（TrustedSoftwareBase）UEFI：統(tǒng)一可擴(kuò)展固件接口（UnifiedExtensibleFirmwareInterface）5計(jì)算基礎(chǔ)環(huán)境概述計(jì)算基礎(chǔ)環(huán)境安全要求著眼于自主安全防護(hù)層[來(lái)源：T/ZISIA1-2024，5.4]，重點(diǎn)關(guān)注基礎(chǔ)共性安全問(wèn)題。其架構(gòu)見(jiàn)圖1，分為可信引導(dǎo)、內(nèi)核安全、系統(tǒng)安全3層。3同時(shí)，系統(tǒng)用戶權(quán)限應(yīng)按“最小特權(quán)”原則分別設(shè)立安全管理員、系統(tǒng)管理員、審計(jì)管理員，實(shí)現(xiàn)管理員“三權(quán)分立”功能。其中，安全管理員主要對(duì)系統(tǒng)中的安全策略進(jìn)行配置；系統(tǒng)管理員負(fù)責(zé)系統(tǒng)資源管理和運(yùn)行金信配置、控制和管理；審計(jì)管理員負(fù)責(zé)對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理[來(lái)源:GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求]。6處理器技術(shù)要求處理器的內(nèi)生可信計(jì)算基應(yīng)將處理器核隔離為可信核和計(jì)算核,具備主動(dòng)度量特性,滿足可信計(jì)算3.0的雙體系計(jì)算架構(gòu)，實(shí)現(xiàn)對(duì)整個(gè)平臺(tái)的主動(dòng)控制。具體要求如下：a)CPU核動(dòng)態(tài)隔離應(yīng)支持以下三種模式：1同步模式：每個(gè)CPU核都可以進(jìn)入安全態(tài)，執(zhí)行SMC服務(wù)調(diào)用；2異步模式：有特定核被限制在安全態(tài)運(yùn)行，其它核不再提供安全態(tài)服務(wù)能力，OS通過(guò)異步調(diào)用模式使用其服務(wù)；3混合模式：有特定核被限制在安全態(tài)運(yùn)行提供異步服務(wù)，其它核可以進(jìn)行同步服務(wù)調(diào)用，同時(shí)支持同步和異步服務(wù)調(diào)用，該模式為缺省模式。b)CPU可信核及其專用硬件資源應(yīng)能和可信固件（包含實(shí)現(xiàn)TOS、TCM、TSB功能的軟件）組成可信環(huán)境。c)CPU雙體系機(jī)制的可信根應(yīng)為PBF，由PBF分別對(duì)TEE和UEFI進(jìn)行度量，度量成功后，將控制權(quán)限給UEFI。d)PBF應(yīng)可劃分可信資源，并負(fù)責(zé)可信執(zhí)行環(huán)境與通用執(zhí)行環(huán)境的管理和切換等運(yùn)行服務(wù)。7內(nèi)存條安全技術(shù)要求安全內(nèi)存主要由安全密鑰、安全規(guī)則以及安全日志等安全功能組成。安全規(guī)則主要用于定義一組安全內(nèi)存區(qū)域，安全日志用于記錄被非法訪問(wèn)的地址信息。內(nèi)存條安全區(qū)應(yīng)支持以下功能：a)安全內(nèi)存驅(qū)動(dòng)在初始化時(shí)應(yīng)獲取到相應(yīng)的I2C總線信息，包括安全密鑰的獲取/匹配、安全規(guī)則的設(shè)置/刪除以及安全日志的獲取等。b)應(yīng)提供對(duì)內(nèi)存安全區(qū)段的讀寫保護(hù)，可實(shí)現(xiàn)有只讀、只寫、讀寫、不可訪問(wèn)等狀態(tài)；c)安全規(guī)則應(yīng)根據(jù)規(guī)則記錄的保護(hù)屬性決定操作是否為非法。如果為非法操作，安全內(nèi)存模組應(yīng)能阻止該操作，并且在安全日志中生成一個(gè)標(biāo)記非法訪問(wèn)的地址記錄。8整機(jī)固件技術(shù)要求雙體系架構(gòu)軟件涉及引導(dǎo)ROM、處理器基礎(chǔ)固件、通用執(zhí)行環(huán)境和可信執(zhí)行環(huán)境等各個(gè)執(zhí)行階段?？尚艈?dòng)流程貫穿引導(dǎo)ROM、PBF、通用固件、操作系統(tǒng)等整個(gè)執(zhí)行流程。8.1固件PBF與TOS存儲(chǔ)在一塊區(qū)域，UEFI單獨(dú)存儲(chǔ)在一塊區(qū)域。更新時(shí)PBF與TOS一起更新，UEFI的更新需要通過(guò)調(diào)用TOS安全SPI接口進(jìn)行操作。8.2UEFIUEFI應(yīng)基于前述處理器及其PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動(dòng)及加載操作系統(tǒng)時(shí)間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。固件架構(gòu)提供核心虛擬機(jī)，防止固件攻擊，并可掛載SMBIOS、ACPI、PSCI等驅(qū)動(dòng)。UEFI固件度量范圍及UEFI度量項(xiàng)目詳見(jiàn)附錄A，通用部分主要遵循以下國(guó)際標(biāo)準(zhǔn)：a)UEFI2.7b)ACPI6.1c)SMBIOS3.2d)ArmBaseBootRequirements4e)ArmSystemReadyRequirementsSpecificationf)ArmServerBaseSystemArchitecture通用可信安全部分遵循TCM/TPM/UEFI安全啟動(dòng)標(biāo)準(zhǔn)。8.3可信固件引導(dǎo)啟動(dòng)UEFI基于芯片及PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動(dòng)至加載操作系統(tǒng)時(shí)間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。如此，與PBF、TOS、操作系統(tǒng)一起，構(gòu)成完整的信任鏈。在固件啟動(dòng)引導(dǎo)階段，應(yīng)支持以下啟動(dòng)功能：d)可信固件引導(dǎo)程序應(yīng)支持完整性度量校驗(yàn)；e)對(duì)內(nèi)核等所有關(guān)鍵文件的度量校驗(yàn)均通過(guò)后，加載并引導(dǎo)操作系統(tǒng)啟動(dòng)；f)存在一個(gè)或多個(gè)關(guān)鍵文件度量校驗(yàn)不通過(guò)時(shí)，終止操作系統(tǒng)的引導(dǎo)啟動(dòng)。9操作系統(tǒng)技術(shù)要求TOS和CPU應(yīng)主導(dǎo)基于國(guó)際GP標(biāo)準(zhǔn)制定的同步度量SMC調(diào)用接口，并通過(guò)UEFI調(diào)用同步SMC接口完成度量工作。操作系統(tǒng)安全能力應(yīng)滿足以下通用要求：a)支持基于證書(shū)的軟件包簽名和驗(yàn)證的軟件安裝控制，軟件包驗(yàn)證通過(guò)并安裝后，該軟件包對(duì)應(yīng)的應(yīng)用程序?qū)⒕邆淇蓤?zhí)行權(quán)限。b)應(yīng)至少提供安全管理命令行工具，支持對(duì)操作系統(tǒng)安全功能的配置和策略定制。c)應(yīng)支持對(duì)應(yīng)用程序執(zhí)行控制、應(yīng)用程序聯(lián)網(wǎng)控制、防火墻等安全功能的配置設(shè)置功d)應(yīng)通過(guò)系統(tǒng)安全接口支持病毒防護(hù)功能，包括具備能夠掃描和查殺病毒功能、至少包括快速掃描和全面掃描等多種掃描策略、具備更新病毒庫(kù)軟件更新功能。e)應(yīng)通過(guò)系統(tǒng)安全接口支持公共網(wǎng)絡(luò)和工作網(wǎng)絡(luò)等多種模式、可自定義設(shè)置和手動(dòng)添加服務(wù)等防火墻功能。f)應(yīng)支持操作系統(tǒng)內(nèi)核模塊、操作系統(tǒng)關(guān)鍵配置文件等完整性驗(yàn)證功能。9.1安全中心安全中心是基于內(nèi)核與應(yīng)用一體化的內(nèi)生安全體系，實(shí)現(xiàn)了內(nèi)核安全框架、增強(qiáng)型身份認(rèn)證、系統(tǒng)訪問(wèn)控制、數(shù)據(jù)安全保護(hù)，提高系統(tǒng)運(yùn)行環(huán)境的安全性和穩(wěn)定性，可提供病毒防護(hù)、指令流安全檢測(cè)、安全內(nèi)存等豐富的多樣化安全配置功能。安全中心功能列表詳細(xì)描述見(jiàn)附錄B。9.1.1可信度量與管控功能OS應(yīng)支持以下應(yīng)用程序執(zhí)行控制功能：a)對(duì)應(yīng)用程序的白名單配置管理，包含添加、刪除、更新等；b)對(duì)應(yīng)用程序的完整性檢查，禁止執(zhí)行被篡改的應(yīng)用程序；c)對(duì)應(yīng)用程序來(lái)源進(jìn)行標(biāo)記檢查，只有合法安裝的應(yīng)用程序才可以執(zhí)行，禁止包括網(wǎng)絡(luò)下載、移動(dòng)存儲(chǔ)復(fù)制等非合法安裝的軟件執(zhí)行；d)對(duì)內(nèi)核模塊的加載控制，確保通過(guò)安全管理工具授權(quán)的內(nèi)核模塊才允許加載；e)提供內(nèi)核模塊防卸載保護(hù)，禁止卸載在防卸載保護(hù)列表中的內(nèi)核模塊9.1.2進(jìn)程保護(hù)OS應(yīng)支持以下進(jìn)程保護(hù)功能：a)對(duì)進(jìn)程保護(hù)列表進(jìn)行配置管理，包含添加、刪除等；b)對(duì)被保護(hù)進(jìn)程提供防殺死等功能；在被保護(hù)進(jìn)程意外退出時(shí)，觸發(fā)登錄用戶注銷、操作系統(tǒng)重啟或關(guān)機(jī)等特定功能9.2LSM安全模塊通過(guò)模塊注冊(cè)函數(shù)加載進(jìn)入LSM，對(duì)內(nèi)核關(guān)鍵資源設(shè)置安全信息，并將自己的安全策略函數(shù)與LSM的hook函數(shù)進(jìn)行關(guān)聯(lián)。用戶進(jìn)程提出系統(tǒng)資源訪問(wèn)請(qǐng)求，轉(zhuǎn)入內(nèi)核空間，并做傳統(tǒng)的Linux系統(tǒng)DAC判斷。之后，LSM調(diào)用hook函數(shù)，該hook函數(shù)以指針的形5式與特定安全模塊的安全策略函數(shù)關(guān)聯(lián)，用以判斷對(duì)該對(duì)象的訪問(wèn)是否符合安全策略，從而進(jìn)行訪問(wèn)控制。a)可在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域；b)可在內(nèi)核源代碼中不同的關(guān)鍵點(diǎn)插入對(duì)安全鉤子函數(shù)的調(diào)用；c)可加入一個(gè)通用的安全系統(tǒng)調(diào)用；d)提供允許內(nèi)核模塊注冊(cè)為安全模塊或注銷的函數(shù)。10可信執(zhí)行環(huán)境技術(shù)要求可信執(zhí)行環(huán)境應(yīng)支持的通用功能如下：a)支持可信執(zhí)行環(huán)境資源的調(diào)整,比如,內(nèi)存容量、外設(shè)等。b)支持內(nèi)存數(shù)據(jù)的密文讀、寫、存儲(chǔ)。c)支持資源的安全屬性修改,比如,根據(jù)用戶需求,配置某個(gè)外設(shè)的安全屬性。d)支持與通用執(zhí)行環(huán)境之間的通信機(jī)制,比如SMC服務(wù)、中斷、共享內(nèi)存等。10.1TATA應(yīng)用程序一般包含二進(jìn)制程序、shell腳本、動(dòng)態(tài)鏈接庫(kù)、內(nèi)核模塊等，每個(gè)TA應(yīng)用都有自己的虛擬地址空間，并運(yùn)行在用戶態(tài)。TA應(yīng)用程序應(yīng)滿足如下要求：a)宜通過(guò)TEE中的MMU將虛擬地址轉(zhuǎn)化為安全態(tài)的物理地址，實(shí)現(xiàn)TA應(yīng)用的隔離；b)應(yīng)支持用戶自定義聯(lián)網(wǎng)控制列表；c)應(yīng)具備可信通信驅(qū)動(dòng)，支持與通用操作系統(tǒng)、TPCM的通信；d)支持用戶私有數(shù)據(jù)隔離保護(hù)，禁止其他用戶包括管理員非法訪問(wèn)；e)支持用戶為自己的私有數(shù)據(jù)進(jìn)行自定義加密密碼加密。10.2密鑰服務(wù)系統(tǒng)密鑰包括用于系統(tǒng)安全引導(dǎo)的非對(duì)稱密鑰，用于驗(yàn)證固件的安全更新、系統(tǒng)和軟件包可信更新的非對(duì)稱密鑰，用于保護(hù)用戶數(shù)據(jù)的平臺(tái)可信非對(duì)稱加密密鑰，以及特權(quán)用戶口令、普通用戶安全存儲(chǔ)對(duì)稱密鑰、特權(quán)用戶安全存儲(chǔ)對(duì)稱密鑰等。密鑰服務(wù)應(yīng)支持以下安全功能：a)應(yīng)支持密碼口令、生物特征識(shí)別、數(shù)字證書(shū)等一種或多種結(jié)合的賬號(hào)安全鑒別方式；b)支持用戶密碼有效期配置；c)支持強(qiáng)口令管理，實(shí)現(xiàn)對(duì)賬戶密碼復(fù)雜度配置功能；d)支持口令鑒別失敗次數(shù)控制；e)應(yīng)支持SM2、SM3、SM4等國(guó)密算法，應(yīng)提供基于國(guó)產(chǎn)硬件國(guó)密算法庫(kù)或軟算法庫(kù)。f)應(yīng)通過(guò)系統(tǒng)安全接口支持可獨(dú)立提供數(shù)據(jù)訪問(wèn)控制、密鑰管理、數(shù)據(jù)安全加解密、數(shù)據(jù)安全審計(jì)等方面安全能力的組件，可通過(guò)監(jiān)控中央處理器的指令執(zhí)行序列，防止終端未知漏洞威脅。10.3存儲(chǔ)安全加密存儲(chǔ),僅僅管理員能使用接口操作數(shù)據(jù)對(duì)系統(tǒng)指定的安全存儲(chǔ)空間數(shù)據(jù)進(jìn)行操作。存儲(chǔ)安全數(shù)據(jù),將采用TCM_Key和特權(quán)用戶密鑰共同保護(hù)數(shù)據(jù)加密密鑰,并存儲(chǔ)到安全存儲(chǔ)空間主要用于管理員所擁有的平臺(tái)管理相關(guān)數(shù)據(jù)的存儲(chǔ)。片上安全加密存儲(chǔ),對(duì)指定的片上存儲(chǔ)空間區(qū)域的數(shù)據(jù)(主要是密鑰)進(jìn)行訪問(wèn)修改等操作。僅管理員能使用此接口操作數(shù)據(jù)。CPU將直接應(yīng)用片上存儲(chǔ)的密鑰在片內(nèi)進(jìn)行密碼操作。由于Flash存儲(chǔ)空間有限，所以只設(shè)計(jì)用來(lái)存儲(chǔ)一些關(guān)鍵數(shù)據(jù)，如TOS配置、證書(shū)等數(shù)據(jù)。故可按照兩類數(shù)據(jù)類型存儲(chǔ)，一類是配置、度量值這類小數(shù)據(jù)的存儲(chǔ)，一類是證書(shū)密鑰等其他關(guān)鍵數(shù)據(jù)的存儲(chǔ)。10.4MM管理模式(MM)是用于提供與平臺(tái)管理固件及操作系統(tǒng)無(wú)關(guān)的一種管理接口。MM的啟動(dòng)采用UEFI主動(dòng)請(qǐng)求加載的方式，MM軟件架構(gòu)應(yīng)包括基本功能層和事件處理層,其中事件處6理層可分為VariableFunction、BiosUpdate、RasFunction等功能模塊,可以實(shí)現(xiàn)不同功能的軟件隔離，具體要求如下：a)支持安全態(tài)Variable操作。b)支持安全態(tài)固件升級(jí)功能。c)支持RAS。11安全API技術(shù)要求安全API應(yīng)提供內(nèi)核級(jí)安全接口、系統(tǒng)級(jí)安全接口和安全可信組件狀態(tài)接口，