T-ZISIA 02-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動設(shè)計要求

1 i前言 I 12規(guī)范性引用文件 13術(shù)語和定義 14符號和縮略語 25安全可信啟動設(shè)計原則 26安全可信啟動保護(hù)對象 27硬件設(shè)計要求 27.1硬件資源隔離 27.2安全啟動芯片 37.3安全存儲 37.4安全通訊機制 38軟件設(shè)計要求 38.1軟件啟動流程設(shè)計要求 38.2安全可信啟動驗簽要求 48.3安全固件更新設(shè)計要求 48.4安全啟動配置 48.5安全日志記錄 48.6安全更新機制 48.7安全權(quán)限控制 4 I本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：飛騰信息技術(shù)有限公司、奇安信科技集團(tuán)股份有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、中電（海南）聯(lián)合創(chuàng)新研究院有限公司、北京源堡科技有限公司、麒麟軟件有限公司、昆侖太科（北京）技術(shù)股份有限公司、杭州吉利汽車數(shù)字科技有限公司、東莞理工學(xué)院、武漢大學(xué)、北京樂達(dá)智聯(lián)科技有限公司。本文件主要起草人：陳才、羅洪毅、楊有桂、毛慶梅、任燕、王震、陳華平、袁華強、陳晶、杜君、張大朋、陳曉峰、常凱翔、楊偉萍、王長帥、王海洋、魏寧、于晴、鄒冬、陳小春、肖志坤、戴慶、章正柱、喬思遠(yuǎn)、汪列軍、白敏。 隨著數(shù)字化時代的深入發(fā)展，信息安全與信任成為了企業(yè)發(fā)展中至關(guān)重要的因素。安全可信啟動標(biāo)準(zhǔn)旨在為組織提供一套系統(tǒng)化的指導(dǎo)原則，為服務(wù)器、終端、嵌入式產(chǎn)品等整機廠商提供了實踐性、可操作性的指導(dǎo)，幫助其建立和維護(hù)安全可信的業(yè)務(wù)環(huán)境，從而滿足當(dāng)前數(shù)字化環(huán)境下的安全可信需求。本標(biāo)準(zhǔn)是對T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》標(biāo)準(zhǔn)中關(guān)于安全可信啟動相關(guān)要求的細(xì)化；本標(biāo)準(zhǔn)對T/ZISIA03-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計算基礎(chǔ)環(huán)境安全要求》和T/ZISIA04-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計算技術(shù)要求》相關(guān)內(nèi)容提供支撐，從而構(gòu)成自主創(chuàng)新型網(wǎng)絡(luò)可信計算體系。我們期待本標(biāo)準(zhǔn)能夠成為組織在構(gòu)建安全可信業(yè)務(wù)環(huán)境中的重要參考，為推動產(chǎn)業(yè)發(fā)展和數(shù)字化進(jìn)程做出積極貢獻(xiàn)。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動設(shè)計要求本文件給出了安全可信啟動設(shè)計原則、安全可信啟動保護(hù)對象、硬件設(shè)計要求、軟件設(shè)計要求。本文件適用于指導(dǎo)整機廠商進(jìn)行計算機系統(tǒng)（包括服務(wù)器、終端、嵌入式產(chǎn)品等）的安全可信啟動的設(shè)計。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，凡是注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。GM/T0008-2012安全芯片密碼檢測標(biāo)準(zhǔn)GB/T40650-2021信息安全技術(shù)可信計算規(guī)范可信平臺控制模塊GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信軟件基GB/T25069-2022信息安全技術(shù)術(shù)語GM/T0002SM4分組密碼算法GM/T0003SM2橢圓曲線公鑰密碼算法GM/T0004SM3密碼雜湊算法GM/T0005隨機性檢測規(guī)范T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架T/ZISIA03-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計算基礎(chǔ)環(huán)境安全要求T/ZISIA04-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計算技術(shù)要求3術(shù)語和定義GB/T25069界定的術(shù)語和定義以及下列術(shù)語和定義適用于本文件：3.1固件firmware固化到計算機中的非易失性存儲器中的一組程序或軟件,為計算機提供最基本的硬件初始化,還可能向上層軟件提供底層硬件的訪問接口或服務(wù)。3.2信任鏈trustchain數(shù)字證書鏈，指從根證書開始，通過層層信任，使持有終端實體證書的人可以獲得委托信任，以證明身份。3.3基本輸入輸出系統(tǒng)basicinput/outputsystem是計算機中的一種固件,是操作系統(tǒng)和計算機平臺硬件之間連接的一個橋梁,負(fù)責(zé)計算機開機時的硬件檢測、設(shè)備初始化、操作系統(tǒng)引導(dǎo)并向操作系統(tǒng)提供服務(wù)接口。3.4安全可信啟動secureandtrustedbooting計算機啟動時，啟動過程中的每個組件都必須通過數(shù)字簽名進(jìn)行驗證，以確保它們是由受信任的發(fā)行方發(fā)布的，并且沒有被篡改或替換。3.5緩存cache緩存是一種臨時存儲設(shè)備或存儲器，用于存儲臨時性數(shù)據(jù)，以便加快數(shù)據(jù)訪問速度。緩存通常位于CPU和主存之間，用于存儲頻繁訪問的數(shù)據(jù)或指令，以便提高數(shù)據(jù)的訪問速度和系統(tǒng)性能。 24符號和縮略語下列符號和縮略語適用于本文件。CPU：中央處理器（CentralProcessingUnit）OTP：一次性可編程存儲類型（OneTimeProgrammable）ROM：只讀存儲器（Read-OnlyMemory）EFUSE：電子熔斷器（ElectronicFuse）I/O：輸入/輸出（Input/Output）TOS：可信的操作系統(tǒng)（TrustedOperatingSystem）UEFI：統(tǒng)一可擴展固件接口（UnifiedExtensibleFirmwareInterface）TLB：地址變換高速緩沖（Translation-LookasideBuffer）TEEOS：具有可信執(zhí)行環(huán)境的操作系統(tǒng)（TrustedExecutionEnvironmentOperatingSystem）5安全可信啟動設(shè)計原則根據(jù)T/ZISIA01-2024要求，處理器在啟動過程中，所有被執(zhí)行的代碼都必須通過驗簽認(rèn)證，應(yīng)從可信根開始，一級驗簽一級，構(gòu)建信任鏈，保證系統(tǒng)啟動過程中的加載程序的完整性和可信度。安全可信啟動設(shè)計原則應(yīng)遵循：a)最小特權(quán)原則：系統(tǒng)啟動過程中應(yīng)最小化權(quán)限，從各級固件到系統(tǒng)到應(yīng)用程序等都只分配其所需的最低權(quán)限，以減少潛在的攻擊面和安全風(fēng)險；b)防篡改原則：采用數(shù)字簽名，哈希校驗等技術(shù)來驗證引導(dǎo)加載的軟件代碼，以防止篡改和惡意修改；c)信任鏈原則：建立信任鏈，從硬件到引導(dǎo)加載程序再到系統(tǒng)，逐級驗證和建立信任，確保每個環(huán)節(jié)的可信度和安全性。6安全可信啟動保護(hù)對象安全可信啟動保護(hù)對象應(yīng)包含但不限于：a)固件：保障硬件設(shè)備初始化正常進(jìn)行，保障系統(tǒng)和底層硬件交互的通道；b)引導(dǎo)加載程序：保護(hù)引導(dǎo)加載程序的完整性和真實性，防止惡意軟件篡改或替換引導(dǎo)加載程序；c)操作系統(tǒng)內(nèi)核和驅(qū)動程序：宜驗證操作系統(tǒng)內(nèi)核和驅(qū)動程序的完整性，確保它們沒有被篡改或被惡意軟件修改，保證系統(tǒng)啟動后的環(huán)境是可信的。操作系統(tǒng)內(nèi)核和驅(qū)動程序是系統(tǒng)的核心組件，需要受到保護(hù)；d)啟動配置文件和參數(shù)：啟動配置文件和參數(shù)包括引導(dǎo)加載程序的配置信息和啟動參數(shù)，確保其安全性，防止惡意軟件通過修改配置文件來繞過安全機制，同時確保只有受信任的配置可以被加載；e)安全更新和補?。簯?yīng)確保系統(tǒng)可以及時接收安全更新和補丁，及時修復(fù)已知的漏洞和安全問題，提高系統(tǒng)的整體安全性和可靠性。安全更新和補丁是保護(hù)系統(tǒng)免受已知攻擊的重要措施。7硬件設(shè)計要求7.1硬件資源隔離應(yīng)支持安全擴展，支持將硬件資源隔離成安全資源和普通資源，并在隔離架構(gòu)上構(gòu)建安全可信架構(gòu)，軟硬相結(jié)合共同構(gòu)建一個安全執(zhí)行環(huán)境，硬件資源隔離包括但不限于：a)處理器核的安全擴展：處理器核應(yīng)支持安全性擴展，處理器核可虛擬成兩個核，一3個為安全核，一個為計算核，安全核可以獲得所有資源的訪問權(quán)限，計算核無法獲取安全資源的訪問權(quán)限，兩者之間通過安全監(jiān)控軟件進(jìn)行切換；b)系統(tǒng)總線安全擴展：應(yīng)控制處理器在不同運行狀態(tài)下對硬件資源的訪問權(quán)限，在總線上增加安全控制信號，表示讀寫事物操作的安全標(biāo)志。從設(shè)備能解析安全標(biāo)志，不響應(yīng)普通事物的請求，并在系統(tǒng)總線上返回錯誤操作信號，報給主設(shè)備；c)存儲資源的安全擴展：1)應(yīng)支持私有緩存，TLB具有安全標(biāo)識位，避免普通應(yīng)用對私有緩存，TLB內(nèi)安全內(nèi)容的訪問；2)應(yīng)支持CPU片內(nèi)ROM的控制邏輯包含安全控制位，拒絕普通應(yīng)用對片內(nèi)ROM的訪3)應(yīng)在內(nèi)存控制器總線上實現(xiàn)內(nèi)存隔離模塊，用于對內(nèi)存的地址空間進(jìn)行劃分并配置相應(yīng)安全屬性，內(nèi)存隔離模塊應(yīng)對訪問內(nèi)存的請求進(jìn)行檢查，只有符合訪問地址所在域的安全屬性才可以訪問內(nèi)存，否則將被拒絕訪問內(nèi)存，并返回錯誤，應(yīng)符合T/ZISIA03-2024規(guī)定的內(nèi)存區(qū)段讀寫保護(hù)要求。7.2安全啟動芯片a)安全可信啟動的可信根應(yīng)固化在片內(nèi)ROM，應(yīng)符合T/ZISIA04-2024規(guī)定的可信根構(gòu)建和能力要求，可信根提供硬件可信的基礎(chǔ)，支持在BIOS等固件啟動前對其進(jìn)行完整性檢測；b)宜使用EFUSE/OTP等存儲介質(zhì)存儲固件驗簽的根公鑰；c)應(yīng)具備硬件密碼模塊，包括但不限于支持GM/T0002、GM/T0003和GM/T0004中規(guī)定的密碼算法，應(yīng)支持隨機數(shù)生成，隨機數(shù)應(yīng)符合GM/T0005中的要求。7.3安全存儲a)應(yīng)支持安全存儲環(huán)境，對存儲器中的敏感數(shù)據(jù)，密鑰等信息加密存儲；b)應(yīng)支持存儲設(shè)備的安全區(qū)域劃分，非安全側(cè)請求無法訪問安全存儲設(shè)備；c)應(yīng)驗證數(shù)據(jù)在存儲過程中的完整性。7.4安全通訊機制應(yīng)支持安全通信機制，普通環(huán)境不能直接訪問安全資源，只能通過安全通道發(fā)起請求由安全環(huán)境收到后進(jìn)行處理，確保普通環(huán)境只有最小權(quán)限。8軟件設(shè)計要求8.1軟件啟動流程設(shè)計要求應(yīng)最先執(zhí)行存儲在片內(nèi)的可信根的代碼，再由可信根驗簽片外的基礎(chǔ)固件，驗簽成功后跳轉(zhuǎn)到基礎(chǔ)固件執(zhí)行，再由基礎(chǔ)固件驗簽TOS和UEFI,驗簽通過后UEFI再將外設(shè)固件，再由TOS或者UEFI驗簽操作系統(tǒng)加載程序，磁盤分區(qū)表等，驗簽通過后加載通用操作系統(tǒng)。整個啟動過程如下圖所示，對引入的代碼和數(shù)據(jù)進(jìn)行了逐級的完整性度量和驗簽，逐級信任，使得系統(tǒng)上執(zhí)行的所有代碼和數(shù)據(jù)都是可信任的。信任鏈構(gòu)成組件：可信根，CPU基礎(chǔ)固件，UEFI通用固件，TOS，通用操作系統(tǒng)，各級鏡像的密鑰和證書。安全可信啟動流程圖 48.2安全可信啟動驗簽要求驗簽方式應(yīng)使用數(shù)字簽名的方式，驗證信任鏈構(gòu)成部件的完整性以及數(shù)字簽名的有效性。CPU基礎(chǔ)固件的證書由廠商提供，UEFI通用固件證書由整機廠商提供，各級證書和鏡像存儲在本地存儲器當(dāng)中，供上一級鏡像驗簽使用。8.3安全固件更新設(shè)計要求a)更新前應(yīng)校驗固件的完整性和合法性，確保被更新固件沒有被篡改或損壞，防止惡意軟件通過固件更新渠道對系統(tǒng)進(jìn)行攻擊和篡改；b)應(yīng)檢測固件更新前后版本是否一致；c)應(yīng)控制固件更新版本應(yīng)大于或等于更新前版本，小于更新前版本則被阻止，版本回退可能導(dǎo)致系統(tǒng)不穩(wěn)定；d)應(yīng)測試更新固件后是否與硬件環(huán)境兼容，確保更新后不會影響系統(tǒng)運行，性能也不會下降。8.4安全啟動配置應(yīng)實現(xiàn)安全的啟動配置管理，防止惡意軟件通過