TZTCIA 001-2023 可信計算產(chǎn)品規(guī)范

shICS35.040L80中關村可信計算產(chǎn)業(yè)聯(lián)盟團體標準T/ZTCIA001—2023可信計算產(chǎn)品規(guī)范Trustedcomputingproductspecification2023-12-10發(fā)布 2023-12-12實施中關村可信計算產(chǎn)業(yè)聯(lián)盟 發(fā)布II目??次前??言 1范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 3概述 3可信計算產(chǎn)品邏輯框架 3等級劃分 5可信根構(gòu)建要求 5可信計算功能要求 5測試評價方法 6技術要求 6基本級 6可信根構(gòu)建要求 6可信計算功能要求 6增強級 7可信根構(gòu)建要求 7可信計算功能要求 7測評方法 8基本級 8可信根構(gòu)建方式 8可信計算功能 9增強級 11可信根構(gòu)建方式 11可信計算功能要求 13附錄A 17前??言本文件按照GB/T1.1-2020給出的規(guī)則起草。本文件由中關村可信計算產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：（北京（北京（深圳（長風PAGEPAGE10范圍規(guī)范性引用文件（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T25069-2010信息安全技術術語GB/T25070-2019信息安全技術網(wǎng)絡安全等級保護安全設計技術要求GB/T28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求GB/T29827-2013信息安全技術可信計算規(guī)范可信平臺主板功能接口GB/T29829-2013信息安全技術可信計算密碼支撐平臺功能與接口規(guī)范GB/T37935-2019信息安全技術可信計算規(guī)范可信軟件基GB/T38638-2020信息安全技術可信計算可信計算體系結(jié)構(gòu)GM/T0011-2012可信計算可信密碼支撐平臺功能與接口規(guī)范GM/T0012-2020可信計算可信密碼模塊接口規(guī)范GM/T0013-2012可信計算可信密碼模塊符合性檢測規(guī)范GA/TXX-XXXX信息安全技術信息安全產(chǎn)品安全可信要求（報批稿）術語和定義GB/T25069-2010、GB/T29827-2013、GB/T29829-2013和GB/T37935-2019界定的以及下列術語和定義適用于本文件。3.1可信計算產(chǎn)品Trustedcomputingproducts具備可信計算功能的各類計算機設備，包括但不限于通用PC機、通用服務器、筆記本電腦、移動終端設備、網(wǎng)絡安全設備、網(wǎng)絡通信設備、工控設備、物聯(lián)網(wǎng)設備等。3.2可信計算平臺trustcomputingplatform構(gòu)建在計算系統(tǒng)中，用于實現(xiàn)可信計算功能的支撐系統(tǒng)[GM/T0013-2012，定義3.1]3.3可信根rootoftrust可信根是可信計算平臺的信任源點，由TPCM、TCM和TSB構(gòu)成。TPCM是可信平臺控（非密碼相關TCM是可信密碼模塊，為可信驗證操作提供密碼服務3.4可信平臺控制模塊trustedplatformcontrolmodule[GB/T29827-2013，定義3.20]3.5可信密碼模塊 trustedcryptographymodule可信計算平臺的硬件模塊，為可信計算平臺提供密碼運算功能，具有受保護的存儲空間。[GM/T0012-2020，定義3.7]3.6可信基準值trustedbaselinevalue表示對象可信特性的數(shù)據(jù)，作為判斷對象是否可信的參照。[GB/T37935-2019，定義3.5]3.7靜態(tài)度量staticmeasurement在系統(tǒng)啟動過程中，對系統(tǒng)完整性進行測量和評估的可信度量方法。3.8動態(tài)度量dynamicmeasurement在系統(tǒng)運行過程中，對系統(tǒng)完整性和行為安全性進行測量和評估的可信度量方法。[GB/T37935-2019，定義3.9]3.9可信軟件基trustedsoftwarebase為可信計算平臺的可信性提供支持的軟件元素的集合。[GB/T37935-2019，定義3.3]3.10可信報告trustedreport縮略語下列縮略語適用于本文件。TPCM 可信平臺控制模塊（trustedplatformcontrolmodule）TSB 可信軟件基（trustedsoftwarebase）TCM 可信密碼模塊（trustedcryptographymodule）概述可信計算產(chǎn)品邏輯框架（按照GB/T38638-2020圖2可信計算節(jié)點的構(gòu)成的描述典型可信計算產(chǎn)品組成框架如下圖所示：圖1典型可信計算產(chǎn)品邏輯組成框架圖TCMTPCM和TSB以通過在CPU內(nèi)部硬件實現(xiàn)，也可以通過板載、插卡等CPU外置的硬件方式實現(xiàn)。無論是CPU內(nèi)置構(gòu)建的可信根還是CPU信根I/O備啟動時有優(yōu)先的啟動控制實現(xiàn)，可信根中的可信密碼模塊（TCM）能夠提供符合國家商業(yè)密碼要求的密碼運算和密碼服務?？尚殴芾碇行氖菍SB和TPCM進行策略、基準值、日志統(tǒng)一管理的平臺，為可信接入BIOS固件、操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、重要配置參等級劃分22239-2019二級的可信驗證相關要求，可適用于二級（包括二級）以下系統(tǒng)產(chǎn)品；增強級的可信計算功能要求對應GB/T22239-2019四級的可信驗證相關要求，可適用于一、二、三、四級系統(tǒng)產(chǎn)品?？尚鸥鶚?gòu)建要求可信根是等級保護2.0一級到四級都必需的安全部件，必須以硬件為載體，可信驗證也是等級保護2.0一級到四級都必要的檢測項?？尚鸥强尚庞嬎闫脚_的信任源點，由可信平TPCM為可信驗證操作提供密碼服務支撐，需要符合我國密碼管理局相關要求采用我國TCM產(chǎn)品。在基本級中TCMTCM模塊和TPCM模塊都必須通過硬件實現(xiàn)。（包括了信任鏈構(gòu)建順序和啟動鏈中信任根的起始位置）以及可信根是否具有主動度量和主動控制接口?？尚庞嬎愎δ芤鬁y試評價方法（或測試兩種測試方法，可能用到其中一種或兩種。測評實施的內(nèi)容主要針對GB/T22239-2019及GB/T25070-2019確定的所有關于可信相關的要求，約定其要求項的測評要求，使用時應當按照這些測評要求開發(fā)測評工具并設計測試用例，以開展對可信計算產(chǎn)品功能的測評活動。技術要求基本級可信根構(gòu)建要求可信計算功能要求靜態(tài)度量產(chǎn)品應能夠基于可信根對操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、應用程序、動態(tài)鏈接庫、可信控制可信審計可信報告可信管理接口身份驗證可信根應能夠提供可信管理接口，對可信管理中心下發(fā)的策略數(shù)據(jù)來源進行身份驗證，通信保護產(chǎn)品可信管理接口應具備對接口傳輸數(shù)據(jù)完整性和保密性的安全保護功能。管理數(shù)據(jù)傳輸產(chǎn)品應能夠通過可信管理接口向可信管理中心發(fā)送可信基準值、審計記錄和可信報告；同時可以從可信管理接口接收來自可信管理中心的可信策略、可信基準值等信息。增強級可信根構(gòu)建要求可信根中的TPCM模塊和TCMTCM模塊應使用國家密碼管理局認證核準的密碼技術進行實現(xiàn)，可信驗證的密碼模塊功能設計應符合密碼相關國家標準或行業(yè)標準要求?？尚鸥蠺PCM模塊應具備主動訪問計算資源接口并能夠先于CPU計算核進行驗證工作，即設備的信任鏈起點應為可信根，可信根是設備第一個執(zhí)行部件?？尚庞嬎愎δ芤箪o態(tài)度量產(chǎn)品應能夠基于可信根對系統(tǒng)BIOS、操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、應用程序、動態(tài)度量可信接入可信控制可信審計可信報告可信存儲產(chǎn)品可信根應能提供安全隔離的內(nèi)部存儲空間，基于可信根對關鍵數(shù)據(jù)進行密封保護，密封保護機制應支持基于口令、設備可信狀態(tài)、進程身份等要素的訪問策略制定?？尚殴芾斫涌谏矸蒡炞C通信保護產(chǎn)品可信管理接口應具備對接口傳輸數(shù)據(jù)完整性和保密性的安全保護功能。管理數(shù)據(jù)傳輸產(chǎn)品應能夠通過可信管理接口向可信管理中心發(fā)送可信基準值、審計記錄和可信報告；同時可以從可信管理接口接收來自可信管理中心的可信策略、可信基準值等信息。測評方法基本級可信根構(gòu)建方式可信根物理形態(tài)測評單元測評指標：可信根產(chǎn)品應使用國家密碼管理局認證核準的密碼技術進行實現(xiàn)，可信驗證的密碼模塊功能設計應符合密碼相關國家標準或行業(yè)標準要求，可信根中的密碼模塊需以硬件形態(tài)實現(xiàn)。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信根中的可信密碼模塊是否為物理形態(tài)；應核查可信根中的可信密碼模塊是否具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認證證書，可信驗證的密碼模塊功能設計是否符合GM/T0011、GM/T0012、GM/T0013或GM/T0058等可信計算相關標準要求，或核查商用密碼產(chǎn)品認證證書中產(chǎn)品名稱/型號是否包含“可信計算密碼模塊”。單元判定：若1）~2）為肯定則符合本單元指標要求，否則為不符合?？尚鸥母綦x機制測評單元測評指標：可信根中的密碼模塊需以硬件形態(tài)實現(xiàn)，并實現(xiàn)其密碼資源的隔離保障功能。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：（例如實現(xiàn)計算任務的CPU或IP核）；應核查主機CPU是否不能直接訪問可信根內(nèi)部資源。單元判定：若1）~2）為肯定則符合本單元指標要求，否則為不符合?？尚鸥鶈訒r序測評單元測評指標：可信根應先于操作系統(tǒng)內(nèi)核啟動前運行。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：1）應核查可信根是否先于操作系統(tǒng)內(nèi)核啟動前運行。單元判定：若1）為肯定則符合本單元指標要求，否則為不符合?？尚鸥攘繙y評單元測評指標：所有可信度量中的密碼運算由可信根密碼模塊完成。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是使用可信根中密碼模塊完成密碼運算；應核查可信度量的密碼運算結(jié)果是否與可信根中密碼模塊運算結(jié)果一致。單元判定：若1）~2）為肯定則符合本單元指標要求，否則為不符合?？尚庞嬎愎δ莒o態(tài)度量測評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊進行度量；應核查可信度量是否能夠度量到操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、內(nèi)核模塊、初始文件系統(tǒng)等；應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞；應核查度量失敗后是否能夠進行日志記錄或結(jié)果輸出。單元判定：若1）~4）均為肯定則符合本單元指標要求，否則為不符合。測評單元測評指標：基于可信根對新創(chuàng)建的進程進行可信驗證，應對可執(zhí)行程序、動態(tài)鏈接庫、腳本等以文件執(zhí)行方式加載的可執(zhí)行代碼在其執(zhí)行前進行可信驗證，并在檢測到可信性受到破壞后進行日志記錄。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊進行度量；ELF應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞。單元判定：若1）~4）均為肯定則符合本單元指標要求，否則為不符合?？尚趴刂茰y評單元測評指標：依據(jù)可信度量的結(jié)果，按照預定義策略，在檢測到其可信性受到破壞時采取控制措施，如操作阻斷。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：（包括可信根和可信軟件基是否能夠依據(jù)度量結(jié)果和策略，對度量對象執(zhí)行阻斷調(diào)用。單元判定：若1）為肯定則符合本單元指標要求，否則為不符合?？尚艑徲嫓y評單元測評指標：對度量動作和結(jié)果生成可信審計記錄，可信審計記錄應包括時間、度量方式、度量對象、驗證結(jié)果等，并能夠?qū)尚艑徲嬘涗涍M行完整性保護。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信審計記錄度量結(jié)果中是否包括度量時間、度量對象、度量結(jié)果；應核查每一條審計記錄是否包括事件發(fā)生的日期、時間、對象、事件描述和結(jié)果等；應檢查是否基于可信根對可信審計記錄進行加密保護。e) 單元判定：若1）~3）均為肯定則符合本單元指標要求，否則為不符合?？尚艌蟾鏈y評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查是否能夠周期或由事件觸發(fā)生成可信報告，可信報告應包括可信狀態(tài)、設備唯一標識、防重放標識號、生成時間；應核查可信報告中的可信狀態(tài)是否由可信根產(chǎn)生，且是否使用了可信根中平臺身份密鑰進行簽名保護。單元判定：若1）~2）均為肯定則符合本單元指標要求，否則為不符合?？尚殴芾斫涌跍y評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：1）應測試可信根是否能夠驗證由可信接口下發(fā)的可信策略數(shù)據(jù)來源，并且只有驗證通過后才能加載該策略。單元判定：若1）為肯定則符合本單元指標要求，否則為不符合。測評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應測試可信管理接口是否支持采用密碼技術實現(xiàn)接口之間交互數(shù)據(jù)的完整性保護；應測試可信管理接口是否支持采用密碼技術實現(xiàn)接口之間交互數(shù)據(jù)的保密性保護。單元判定：若1）~2）均為肯定則符合本單元指標要求，否則為不符合。測評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應測試可信管理接口是否能夠向管理節(jié)點發(fā)送度量結(jié)果、可信報告和審計記錄等信息；單元判定：若1）~2）均為肯定則符合本單元指標要求，否則為不符合。增強級可信根構(gòu)建方式可信根物理形態(tài)測評單元測評指標：可信根中的TPCM模塊和TCM模塊應以硬件形態(tài)實現(xiàn)，可信根中TCM模塊應使用國家密碼管理局認證核準的密碼技術進行實現(xiàn)，可信驗證的密碼模塊功能設計應符合密碼相關國家標準或行業(yè)標準要求。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信根中的TPCM模塊是否為物理形態(tài)，即為CPU-IP核、CPU內(nèi)部安全芯片、主板上板載芯片、總線接入芯片中的一種；應核查可信根中的可信密碼模塊是否為物理形態(tài)；應核查可信根中的可信密碼模塊是否具備國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認證證書，可信驗證的密碼模塊功能設計是否符合GM/T0011、GM/T0012、GM/T0013或GM/T0058等可信計算相關標準要求，或核查商用密碼產(chǎn)品認證證書中產(chǎn)品名稱/型號是否包含“可信計算密碼模塊”。單元判定：若1）~3）均為肯定則符合本單元指標要求，否則為不符合?？尚鸥母綦x機制測評單元測評指標：可信根中的TPCM模塊和TCM模塊應以硬件形態(tài)實現(xiàn)，并實現(xiàn)其計算資源和密碼資源的隔離保障功能。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：源（包括內(nèi)存和非易失性存儲）是否獨立于計算部件（例如實現(xiàn)計算任務的CPU或IP核）；應核查主機CPU是否不能直接訪問可信根內(nèi)部任何資源；單元判定：若1）~3）為肯定則符合本單元指標要求，否則為不符合?？尚鸥鶈訒r序測評單元TPCM模塊應具備主動訪問計算資源接口并能夠先于CPU計算核進行驗證工作，即設備的信任鏈起點應為可信根，可信根是設備第一個執(zhí)行部件。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：（例如前執(zhí)行；應核查可信根是否能夠主動獲取計算處理器執(zhí)行的固件存儲資源；應核查可信根在檢測出不可信時是否能夠依據(jù)策略阻斷啟動。單元判定：若1）~4）均為肯定則符合本單元指標要求，否則為不符合?？尚鸥鲃佣攘繙y評單元測評指標：所有可信度量中的密碼運算由可信根密碼模塊完成，可信度量對象數(shù)據(jù)由可信根獲取。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是使用可信根中密碼模塊完成密碼運算；應核查可信度量的密碼運算結(jié)果是否與可信根中密碼模塊運算結(jié)果一致；應核查可信根是否能夠主動獲取主機資源（例如內(nèi)存資源）。單元判定：若1）~3)均為肯定則符合本單元指標要求，否則為不符合?？尚庞嬎愎δ芤箪o態(tài)度量測評單元BIOS測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊（TCM）進行度量；應核查可信度量是否能夠度量到BIOS的執(zhí)行程序程序文件；應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞；應核查度量失敗后是否能夠進行日志記錄或結(jié)果輸出。單元判定：若1）~5）均為肯定則符合本單元指標要求，否則為不符合。測評單元測評指標：基于可信根對操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核等，在其加載前進行可信驗證，并在檢測到可信性受到破壞后進行日志或打印輸出。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊進行度量；應核查可信度量是否能夠度量操作系統(tǒng)引導程序、操作系統(tǒng)內(nèi)核、內(nèi)核模塊、初始文件系統(tǒng)等；應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞；應核查度量失敗后是否能夠進行日志記錄或結(jié)果輸出。單元判定：若1）~5）均為肯定則符合本單元指標要求，否則為不符合。測評單元測評指標：基于可信根對新創(chuàng)建的進程進行可信驗證，應對可執(zhí)行程序、動態(tài)鏈接庫、腳本等以文件執(zhí)行方式加載的可執(zhí)行代碼在其執(zhí)行前進行可信驗證，并在檢測到可信性受到破壞后進行日志記錄。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊進行度量；應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞；e)單元判定：若1）~5）均為肯定則符合本單元指標要求，否則為不符合。測評單元測評指標：基于可信根應對關鍵的數(shù)據(jù)文件在業(yè)務進程對其讀取加載前進行可信驗證，并在檢測到可信性受到破壞后拒接其加載，并將日志上傳管理中心。測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信度量過程中是否是基于可信根密碼模塊進行度量；、*.cfg等文件；應核查篡改度量對象內(nèi)容后靜態(tài)度量是否能夠檢查出度量對象被破壞并拒絕其加載；f) 單元判定：若1）~5）均為肯定則符合本單元指標要求，否則為不符合。動態(tài)度量測評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查動態(tài)度量機制是否可以通過策略配置在指定執(zhí)行環(huán)節(jié)進行可信度量，執(zhí)行環(huán)節(jié)度量是否包括系統(tǒng)調(diào)用；應核查動態(tài)度量是否能夠?qū)ο到y(tǒng)調(diào)用表，中斷描述符，內(nèi)核代碼段，進程代碼段（包括加載的動態(tài)庫）、可加載內(nèi)核模塊代碼段，文件系統(tǒng)關鍵操作函數(shù)，網(wǎng)絡地址族/協(xié)議族關鍵數(shù)據(jù)進行可信度量；應核查動態(tài)度量機制是否能夠支持定時和觸發(fā)兩種觸發(fā)機制；應核查動態(tài)度量過程中是否是使用可信根進行密碼運算；應核查動態(tài)度量過程中是否是使用可信根進行數(shù)據(jù)獲??；應核查動態(tài)度量是否能夠生成度量結(jié)果和日志記錄，并是否使用可信根密碼模塊對度量結(jié)果進行簽名和完整性保護。單元判定：若1）~6）均為肯定則符合本單元指標要求，否則為不符合?？尚沤尤霚y評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查是否能夠基于可信根驗證可信報告的完整性和來源；（包括啟動狀態(tài)和運行狀態(tài)）并將驗證結(jié)果形成審計記錄送至可信管理中心；應核查是否能夠根據(jù)請求者設備的身份和狀態(tài)依據(jù)策略進行網(wǎng)絡連接的阻斷控制，阻斷連接控制可依據(jù)策略自動執(zhí)行，并記錄日志發(fā)至可信管理中心；應核查可信管理中心是否能夠主動斷開已有的可信連接；應核查可信接入是否是基于設備的驗證，并無需應用進行修改；應核查是否能夠支持點對點的可信接入驗證或支持點對點加可信管理中心的兩重驗證機制；應核查是否支持數(shù)據(jù)報文加密，加密密鑰由動態(tài)協(xié)商生成。單元判定：若1）~9）均為肯定則符合本單元指標要求，否則為不符合?？尚趴刂茰y評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信機制（包括可信根和可信軟件基）是否能夠依據(jù)度量結(jié)果和策略，對度量對象執(zhí)行阻斷調(diào)用；（包括可信根和可信軟件基是否能夠依據(jù)度量結(jié)果策略實現(xiàn)日志記錄或打印輸出等。單元判定：若1）~2）均為肯定則符合本單元指標要求，否則為不符合?？尚艑徲嫓y評單元測評對象：提供可信驗證的設備及組件。測評實施包括以下內(nèi)容：應核查可信審計記錄度量結(jié)果中是否包括度量時間、度量對象、度量結(jié)果；應核查每一條審計記錄是否包括事件發(fā)生的日期、時間、對象、事件描述和結(jié)果等；應檢查是否基于可信根對可信審計記錄進行加密保護。單元判定：若1）~3）均為肯定則符合本單元指標要求，否則為不符合?？尚?/p>