GB-T 29827-2013 信息安全技术 可信计算规范 可信平台主板功能接口.pdf
《GB-T 29827-2013 信息安全技术 可信计算规范 可信平台主板功能接口.pdf》由会员分享,可在线阅读,更多相关《GB-T 29827-2013 信息安全技术 可信计算规范 可信平台主板功能接口.pdf(44页珍藏版)》请在冰点文库上搜索。
ICS35.080L40中华人民共和国国家标准GB/T298272013信息安全技术可信计算规范可信平台主板功能接口InformationsecuritytechnologyTrustedcomputingspecificationMotherboardfunctionandinterfaceoftrustedplatform2013-11-12发布2014-02-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言1范围12规范性引用文件13术语和定义14缩略语35组成结构46信任链传递57完整性度量68初始度量99传统BIOS完整性度量1110UEFIBIOS完整性度量1411可信平台主板功能接口17GB/T298272013前言本标准按照GB/T1.12009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:
北京工业大学、中国长城计算机深圳股份有限公司、南京百敖软件股份有限公司、航天科工集团二院七六所、武汉大学、中国电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、江南计算技术研究所、瑞达信息安全产业股份有限公司、中安科技集团有限公司、中船重工集团707所、北京中科院软件研究中心、北京华大恒泰科技有限责任公司、北京超毅世纪网络技术股份有限公司、华为技术有限公司、桂林长海科技有限责任公司、中国电子技术标准化研究所。
本标准主要起草人:
沈昌祥、韩永飞、张兴、王冠、林诗达、徐明迪、王正鹏、蒋志翔、赵丽娜、周艺华、石明、张斌、孔雷、张焕国、汪文杰、胡明昌、吴新军、陈林、李大东、王然、张向阳、艾方、童广胜、徐庶桓、李晨、贾兵、杜中平、杜晖、谢乾、赵波、张超、吴勇、石良军、马银生、郭景川、魏靖、宋洋、高瞻、曲新春、余发江、陈小春、蔡晔、袁爱东、庄琭、曾颖明、孙永泉、段丽娟、宋靖、朱贺新、郭灵儿、刘智君、滕志刚、靳浡、郭毅、肖祎、孙圣超、刘军,陈莹,邹娜。
GB/T298272013信息安全技术可信计算规范可信平台主板功能接口1范围本标准规定了可信平台主板的组成结构、信任链构建流程、功能接口。
本标准适用于基于可信平台控制模块的可信平台主板的设计、生产和使用。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T298292013信息安全技术可信计算密码支撑平台功能与接口规范UEFIV2.1统一可扩展固件接口规范(UnifiedExtensibleFirmwareInterfaceSpecification)3术语和定义下列术语和定义适用于本文件。
3.1可信根rootoftrust对应TPCM模块。
3.2可信度量根rootoftrustformeasurement一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点。
3.3可信存储根rootoftrustforstorage一个能够可靠进行安全存储的计算引擎。
3.4可信报告根rootoftrustforreporting一个能够可靠报告可信存储根所保存信息的计算引擎。
3.5通用设备generaldevice在原有PC主板上兼容的硬件设备,包括中央处理器(CPU)、外部存储器、随机存储器、视频控制器等。
3.6初始只读存储器bootROM在计算机启动过程中提供最底层硬件设置的固件。
注:
初始只读存储器在组成结构上分为BootBlock和MainBlock两部分,按照类型分为传统BIOS和UEFIBIOS。
1GB/T2982720133.7初始引导模块bootblock存储在BootROM中,最先被CPU执行的一段平台初始引导模块,负责初始化最基本的平台部件。
注:
被初始化的平台部件如内存等。
3.8主引导模块mainblock存储在BootROM中,在BootBlock之后被执行的代码,负责初始化除在BootBlock中已经被配置的平台启动部件。
3.9板卡固件optionROM存储平台启动部件的启动和配置代码的只读存储器。
3.10扩展度量模块extendedmeasurementmodule计算机启动过程中的代码度量执行部件组,实现对后续执行代码的完整性度量和信任链扩展。
根据其在系统中的启动顺序,分为EMM1、EMM2、EMM3三个执行部件。
3.11扩展度量模块1EMM1嵌入于BootROM中的BootBlock内的代码,负责对MainBlock中的EMM2进行度量。
3.12扩展度量模块2EMM2嵌入于BootROM中的MainBlock内的代码,负责对平台启动部件和EMM3进行度量。
3.13扩展度量模块3EMM3嵌入于OSLoader中的代码,负责对操作系统内核和EMM4进行度量的代码。
3.14扩展度量模块4EMM4嵌入于OS内核中的代码,负责对内核文件进行度量。
3.15度量代理点measurementagentpoint代码度量部件子模块,负责度量系统的部分装载和执行代码,实现EMM之间信任传递。
3.16操作系统装载器operatingsystemloader负责加载操作系统内核的代码或部件。
3.17度量事件measurementevent对代码进行完整性度量和存储的全过程。
3.18日志存储区logstoragearea不可篡改区域,用于存储完整性度量日志。
3.19信任链trustchain在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。
2GB/T2982720133.20可信平台控制模块trustedplatformcontrolmodule一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。
3.21可信平台控制模块设备驱动trustedplatformcontrolmoduledevicedriver;TDDTPCM为上层应用提供的服务驱动接口。
3.22统一扩展固件接口unifiedextensiblefirmwareinterface;UEFI提供一组在OS加载、启动前,在所有平台上一致的、正确指定的启动服务。
3.23引导连接向量bootconnectionvector;BCV指向OptionROM中某一段代码的指针,所指向的代码负责执行部件的初始化、检测硬件或者在必要时加载Int13h的服务。
3.24引导项向量bootentryvector;BEV指向OptionROM中负责载入系统的代码的指针,并在必要时加载Int18h或Int19h的服务。
注:
通常在网卡的远端启动中使用。
4缩略语下列缩略语适用于本文件。
ACPI高级配置和电源管理接口(AdvancedConfigurationandPowerManagementInter-face)BIOS基本输入输出系统(BasicInputOutputSystem)CMOS互补金属氧化物半导体(ComplementaryMetalOxideSemiconductor)ESCD扩展系统配置数据(ExtendedSystemConfigurationData)FWH固件中心(FirmwareHub)GUID全局唯一标识符(GloballyUniqueIdentifier)I/O输入/输出(Input/Output)IPL初始程序加载器(InitialProgramLoader)LPC少针脚型接口(LowPinCount)LSA日志存储区(LogStorageArea)NVRAM非易失性随机访问存储器(Non-VolatileRandomAccessMemory)OS操作系统(OperatingSystem)PARTIES保护区域运行态接口扩展服务(ProtectedAreaRunTimeInterfaceExtensionServ-ices)PC个人计算机(PersonalComputer)PCR平台配置寄存器(PlatformConfigurationRegister)PE可移植执行体(PortableExecutable)POST开机自检(PowerOnSelfTest)RAM随机存取存储器(Random-AccessMemory)ROM只读存储器(ReadOnlyMemory)3GB/T298272013SMBIOS系统管理基本输入输出系统(SystemManagementBasicInputOutputSystem)SMM系统管理模式(SystemManagementMode)SPI串行外设接口(SerialPeripheralInterface)TDD可信平台控制模块设备驱动(TrustedPlatformControlModuleDeviceDriver)TPCM可信平台控制模块(TrustedPlatformControlModule)UEFI统一扩展固件接口(UnifiedExtensibelFirewareInterface)5组成结构可信平台主板是由可信平台控制模块和其他通用部件组成,实现从开机到操作系统内核加载前的平台可信引导功能。
通用部件主要包括:
中央处理器、随机存取存储器(RAM)、输入输出接口、BootROM固件等。
可信平台主板组成结构见图1。
图1可信平台主板组成结构图1中各部件的关系如下:
可信平台控制模块(TPCM):
TPCM由物理硬件、嵌入式系统、对外的接口等实体组成。
TPCM是可信平台的唯一可信根,其包括:
可信度量根(RTM)、可信存储根(RTS)和可信报告根(RTR)。
TPCM通过系统总线连接到可信平台主板的控制器。
可信平台主板:
嵌入TPCM,支持TPCM功能,实现信任链传递的计算机主板。
包括中央处理器、控制器、随机存取存储器、TPCM硬件设备、BootROM固件层支撑模块及其设备驱动程序和TPCM嵌入式系统等实体。
支持TPCM对输入输出接口的控制,TPCM最少但不限于控制以下输入输出接口的开启或关闭:
USB、PS/2、PCIE、PCI、SATA、串口、并口、网络接口。
4GB/T298272013必须确保可信平台主板和TPCM一对一的绑定关系。
TPCM与可信平台主板其他部件的协作关系应满足如下要求:
在CPU执行BootROM代码前,TPCM先启动。
TPCM通过电路连接,可靠地读取平台BootROM的初始引导模块(BootBlock)。
TPCM中的RTM对BootROM中的BootBlock进行完整性度量和度量结果的存储。
扩展度量模块(EMM):
EMM作为RTM度量根的扩展度量模块,实现对执行部件的完整性度量,实现信任链传递。
EMM1:
存储于BootROM的初始引导模块(BootBlock)中,被RTM度量;EMM1对BootROM的版本信息和EMM2进行完整性度量。
EMM2:
存储于BootROM的主引导模块(MainBlock)中,被EMM1度量;EMM2对平台启动部件,以及OSLoader进行完整性度量。
EMM3:
存储于外部存储器中的OSLoader中,被EMM2度量;EMM3对操作系统内核进行度量。
本标准对OSLoader存储的位置不作规定,图中OSLoader存储于外部存储器只是示例。
扩展度量模块EMM通过TPCM提供的接口,访问TPCM,存储度量结果和日志。
6信任链传递6.1信任链建立流程信任链从开机到操作系统内核装载之前的建立过程应满足如下要求:
TPCM作为信任链的信任根,EMM作为度量代理节点,通过完整性度量,实现信任传递与扩展。
主板引导过程部件信任传递关系网络和信任链建立流程见图2。
a)TPCM先于BootROM被执行前启动,由TPCM中的RTM度量BootROM中的初始引导模块(BootBlock),生成度量结果和日志,并存储于TPCM中;b)TPCM发送控制信号,使CPU、控制器和动态存储器等复位;平台加载并执行BootROM中的BootBlock代码;c)BootBlock中的EMM1获得系统执行控制权,信任从RTM传递到EMM1;d)EMM1度量BootROM版本信息和MainBlock中的EMM2代码;EMM1存储度量结果到TPCM中的PCR并存储度量日志;e)平台加载并执行MainBlock中EMM2的代码;f)MainBlock中的EMM2获得系统执行控制权,信任从EMM1传递到EMM2;g)EMM2将在a)步骤中存储在TPCM中的日志存储到LSA中;EMM2将在d)步骤中存储在BootBlock中的日志存储到LSA中;EMM2度量平台启动部件,包括显示卡、硬盘、网卡等外部设备;在完成对平台启动部件度量后,EMM2度量存储在外存中的操作系统装载器(OSLoader);EMM2生成对平台启动部件和OSLoader的度量结果和日志,度量结果存储到TPCM的PCR中,度量事件日志保存到LSA中;h)平台加载并执行OSLoader的代码;i)OSLoader中的EMM3获得系统执行控制权,信任从EMM2传递到EMM3;j)EMM3度量操作系统内核,生成度量结果和日志,度量结果存储到TPCM的PCR中,度量事件日志保存到LSA中;k)平台加载并执行OSKernel的代码;5GB/T298272013l)OSKernel中的EMM4获得系统执行控制权,信任从EMM3传递到EMM4。
图2主板引导过程部件信任传递关系网络和信任链建立流程6.2信任链建立要求信任链建立要求:
a)信任链的建立过程必须以可信度量根RTM为起点;b)当需要装载并运行一个部件前,应由RTM或者EMM对该部件进行完整性度量,然后再将其加载和运行;c)TPCM中PCR存储的杂凑值应与系统引导过程中的度量事件和度量顺序相对应;d)TPCM中PCR存储的杂凑值应与系统引导过程中生成的度量日志相对应;e)在每次开机时应重新生成LSA中的度量日志和TPCM中PCR存储的杂凑值。
7完整性度量7.1完整性度量方法信任链基于可信度量根RTM建立,通过扩展度量模块EMM实现信任传递。
RTM和EMM采用杂凑算法对部件代码进行完整性计算,并存储度量结果,实现完整性度量。
一次完整的度量流程见图3。
6GB/T298272013图3完整性度量流程图完整性度量流程:
a)RTM或者EMM使用杂凑算法对“部件i”的二进制代码进行计算;b)RTM或者EMM生成在第a)步中对“部件i”的计算结果“度量事件i描述”;该描述包括杂凑算法的结果,“度量值i”,以及本次度量事件的上下文信息“度量事件i上下文”;c)RTM或者EMM通过接口调用TPCM,将“度量值i”扩展存储到预先定义与部件i相关的PCRi中。
扩展(Extend)存储方式详细规则见GB/T298292013的5.7.4;d)RTM或者EMM将“度量事件i描述”存储于LSA中。
完成上述4个步骤的整个过程为一次完整性度量事件。
7.2完整性度量存储完整性度量事件日志应存放于系统的LSA中,LSA存储结构见图4。
图4LSA存储结构对于支持ACPI规范的系统而言,完整性度量事件日志应存放于系统的ACPI表中,定义了度量事件日志在ACPI表中的存放位置,并定义了事件日志的起始位置见图5。
7GB/T298272013图5ACPI表的事件日志结构对于不支持ACPI规范的系统而言,完整性度量结果采用图6描述的存储结构、事件日志存储方法、起始位置,这个表结构所在的内存区域是设定为受保护的内存区域。
图6No-ACPI事件日志存储结构事件日志通用定义名称见表1。
表1事件日志通用定义名称区域值描述长度32h表的大小版本02h专指PC机的版本平台类型00hPC机可信计算PC硬件接口描述见表2。
8GB/T298272013表2可信计算PC硬件接口描述区域长度(字节)偏移描述特征码100h包含TCPA的4个字符串长度404h从特征码到LASA之间的总长度,针对PC,该值为32h版本108h默认值为02h;该值随版本更新变化;该值随LASA更新而变化校验值1h09h用于对整个表进行校验OEMID6h0Ah厂商名称OEMTableID8h10h厂商表名称,根据厂商名称来确定OEMRevision4h18h厂商版本,该值随版本更新变化CreatorID4h1Ch表的创建者名称CreatorRevision4h20h表的创建者版本号平台类型2h24h默认值为0000h事件日志的最小长度(LAML)4h26h该区域表明了系统进入操作系统前,事件日志的最小长度;针对PC而言,事件日志长度的最小值应为64KB。
注意:
事件日志的大小范围应该从LASA到LASA+(LAML-1)事件日志的入口指针8h2Ah64位的事件入口物理地址,用8个字节来表示7.3可信平台主板功能接口(Driver结构)可信平台主板功能接口见图7。
可信平台主板功能接口包括与底层TPCM的接口和与上层应用之间的接口。
在TPCM上建立设备驱动层(TPCMDeviceDriver:
TDD)实现主板可信应用功能对底层TPCM的调用。
在TDD之上,可建立服务提供层(TPCMServiceProvider)对TDD进行再封装,为上层应用提供更高层次的接口,简化上层编程实现。
本文余下的内容是在传统BIOS和UEFIBIOS中实现TDD的具体数据结构和设计。
图7可信平台主板功能接口图8初始度量8.1时序控制电路要求实现对TPCM和计算机主板及其他部件之间的加电开机启动时序控制;实现启动PC后,在9GB/T298272013CPU执行BootROM代码前,由TPCM先对BootROM的初始启动代码(BootBlock)实现完整性度量。
TPCM中的RTM度量完BootBlock后,TPCM发出控制信号启动CPU、芯片组和动态存储器等通用设备。
TPCM与主板其他通用设备复位时序关系见图8。
图8TPCM与主板其他通用设备复位时序关系主板复位时序为:
a)PC加电启动;b)时序控制电路先初始化TPCM;c)TPCM执行RTM;RTM可靠地读取BootROM中初始引导模块(BootBlock)的代码;RTM度量BootBlock代码的完整性;d)度量完毕后,TPCM发出控制信号给时序控制电路;e)时序控制电路初始化CPU和芯片组;f)CPU执行BootROM进行平台初始化。
8.2RTM度量BootBlockBootBlock的存储结构见图9。
图9BootBlock存储示意图RTM度量BootBlock的过程:
a)TPCM执行RTM程序代码;b)TPCM通过与BootROM连接的总线,可靠地读取BootROM中的BootBlock代码;01GB/T298272013c)RTM对BootBlock执行杂凑计算,并将度量结果和日志寄存在TPCM中;d)EMM1嵌入在BootBlock中,被RTM度量。
9传统BIOS完整性度量9.1度量流程传统BIOS完整性度量过程:
a)被TPCM度量过的EMM1获得控制权后,对BIOS的版本信息和扩展度量模块EMM2进行度量
升级会员 