声明

本文是学习信息安全技术 可信计算规范 可信平台控制模块.而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

可信计算规范 证实方法

可信计算节点的可信平台控制模块

检查可信计算节点设计,应确认TPCM先于主机计算部件上电启动,并全程并行于计算部件运行,实现从计算部件第一条指令开始的可信建立。不但在系统启动过程中能防止使用经篡改的部件来构建运行环境、抵御恶意代码攻击,并且在系统运行中能动态地保护运行环境及应用程序的可信安全,最终实现对计算系统全生命周期的可信度量和可信控制,如图3所示。

可信平台控制模块的接口_控制模块

github5.com 专注免费分享高质量文档

图3 TPCM主动防御系统

可信平台控制模块功能组成

基础硬件

检查TPCM的模块电路/芯片版图等设计资料,应确认其包括中央处理器、存储器、总线及I/O接口等组成部分。

基础软件

检查TPCM内部基础软件的设计资料,应确认其包含TPCM内部的资源调度、任务管理提供I/O接口驱动及控制的功能软件。

功能服务

功能服务检测应包括设计资料的检查和运行测试,要求如下:

  1. 1. 检查TPCM内部基础软件的设计资料,应确认其包含主动度量、主动控制、可信验证、加密保护、可信报告、用户管理、基本信任基管理和密码调用功能。
  2. 2. 启动TPCM,构造可激活上述功能服务的输入序列,对上述功能进行测试,应确认其具备文档所设计的功能。

接口

接口的证实方法见10.3节。

可信平台控制模块的接口

计算部件接口

在TPCM软件中添加计算部件接口测试程序,通过TPCM计算部件接口访问内存、I/O、系统固件等系统资源,应确认其可以实时获取系统资源中的信息,并测试对I/O 总线、电源等系统资源的控制功能,确认其具备对I/O总线、电源的控制能力。

可信软件基接口

在可信软件基执行向TPCM下达可信验证、状态度量、加密保护和可信控制等策略的程序,读取TPCM内部的审计信息,应确认这些信息中记录了对TPCM的访问行为。

管理接口

通过管理接口输入配置信息、管理命令、TPCM基本信任基的策略及TPCM日志策略,从管理接口读取TPCM当前状态、可信密码模块状态、基本信任基状态及TPCM日志信息,应确认读出信息符合预期。

可信密码模块接口

在可信密码模块接口上根据可信密码模块标准对接可信密码模块,在TPCM中编写访问可信密码模块接口的测试软件,应确认访问结果符合预期。

安全防护

身份鉴别

身份鉴别的检查包括存在性检查与有效性检查,内容如下:

  1. 1. 检查TPCM用户的身份,应确认其登录时需执行身份鉴别操作。
  2. 2. 应确认身份鉴别的有效性,使用非法用户身份,或使用合法用户身份与错误口令进行身份鉴别,鉴别过程会失败,使用合法用户身份、合法口令进行身份鉴别,鉴别过程成功。

资源访问控制

在TPCM内部设置对TPCM可控制资源的访问控制,在计算部件中尝试访问可控制资源,应确认访问控制起到了作用。

审计

审计功能需检查下列内容:

  1. 1. 对已生成审计日志的TPCM进行断电重启等操作,再读取审计日志,应确认所生成的审计日志未丢失。
  2. 2. 应确认分别使用授权用户和非授权用户访问审计日志,授权用户能访问审计日志,非授权用户不能访问审计日志。应确认尝试以授权用户修改审计日志,审计日志不能被修改或被修改后无法消除修改痕迹。
  3. 3. 应确认TPCM有日志记录安全转移及安全迁移命令,执行这些命令,可以完成日志记录安全转移及安全迁移功能。

存储空间安全要求

存储空间安全要求需检查下列内容:

  1. 1. 确认检查确认TPCM的所有访问接口,不存在直接访问地址空间的命令。
  2. 2. 在TPCM内部编写临时数据检查程序,运行TPCM时同时启动临时数据检查程序,应确认临时数据失效后能够被及时清除。

数据保护

数据保护需检查下列内容:

  1. 1. TPCM的数据保护通过TCM实现,监控TPCM的可信密码模块接口,应确认该接口在数据保护过程中调用了TCM的对应功能对数据进行保护处理。
  2. 2. 在TPCM进行安全数据迁移、备份和恢复操作时,尝试进行数据迁移备份过程的监听、篡改等操作,应确认监听操作不能获取安全数据的明文信息,篡改操作在恢复时会被发现。

物理防护

应遵循GM/T 0008规定检测准则对TPCM的物理防护手段进行测试。

运行维护

自检

自检过程需检查下列内容:

  1. 1. 在TPCM上电启动前,分别尝试断开TCM、更改设计者自定义状态标识和修改TPCM内部代码,应确认TPCM上电启动时可通过主动自检发现异常。
  2. 2. TPCM启动后,尝试断开TCM、更改设计者自定义状态标识、修改当前用户身份,再启动被动自检,应确认被动自检可发现异常。
  3. 3. 当上述过程发现异常后,应检查到自检失败信号,读取TPCM日志,将发现自检失败信息。

状态维护

状态维护需检查下列内容:

  1. 1. 应确认在证实管理员身份情况下可执行TPCM的使能和禁用状态切换,未证实管理员身份情况下不可成功执行切换操作。
  2. 2. 应确认分别在使能状态和禁用状态加电启动TPCM,并尝试进行TPCM操作,使能状态TPCM可正常操作,禁用状态TPCM只能执行查询和使能操作。

参考文献

[1] 国家密码管理局.GM/T 0008. 安全芯片密码检测准则[S].

[2] 全国信息安全标准化技术委员会.GB/T 29829. 信息安全技术 可信计算密码支撑平台功能与接口规范[S].

[3] 全国信息安全标准化技术委员会.GB/T 37935. 信息安全技术 可信计算规范 可信软件基[S].

_________________________________

延伸阅读

更多内容 可以点击下载 信息安全技术 可信计算规范 可信平台控制模块进一步学习

联系我们

T-LYFFMA ZHYH02—2022 烟花爆竹 组合烟花褙皮包装机械设备安全技术要求.pdf