可信计算规范运行维护

声明

本文是学习信息安全技术 可信计算规范 可信平台控制模块. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

可信计算规范 运行维护

自检

主动自检

TPCM上电启动时，应进行主动自检。主动自检对象应包括TCM、设计者自定义状态标识及TPCM内部代码完整性。

被动自检

TPCM应支持被动自检，被动自检对象包括可信密码模块、设计者自定义状态标识、当前用户身份标识和当前用户身份。

自检异常处理

自检异常处理流程为：

1. 当发生自检异常时，TPCM应立即发出自检失败信号，将自检信息记录到日志中，然后发出节点启动信号。
2. 当节点启动程序代码执行启动后，应报告自检失败信息，管理员可以选择重新启动可信计算节点、禁用 TPCM以非可信方式启动或采取其它措施。

状态维护

TPCM应具有使能和禁用状态。具体要求如下：

1. 出厂默认处于禁用状态；
2. 应由管理员执行使能和禁用状态切换操作；
3. TPCM处于使能状态时，又分为两种工作状态：有效和无效状态。有效状态即是TPCM正常工作时的状态，无效状态即是TPCM不能正常对外提供服务时的状态；
4. TPCM每次加电启动时，都要对使用状态进行判断。如果为禁用状态，则只能进行TPCM的状态查询和使能操作。

可信计算规范 证实方法

可信计算节点的可信平台控制模块

检查可信计算节点设计，应确认TPCM先于主机计算部件上电启动，并全程并行于计算部件运行,实现从计算部件第一条指令开始的可信建立。不但在系统启动过程中能防止使用经篡改的部件来构建运行环境、抵御恶意代码攻击，并且在系统运行中能动态地保护运行环境及应用程序的可信安全，最终实现对计算系统全生命周期的可信度量和可信控制，如图3所示。

图3 TPCM主动防御系统

可信平台控制模块功能组成

基础硬件

检查TPCM的模块电路/芯片版图等设计资料，应确认其包括中央处理器、存储器、总线及I/O接口等组成部分。

基础软件

检查TPCM内部基础软件的设计资料，应确认其包含TPCM内部的资源调度、任务管理提供I/O接口驱动及控制的功能软件。

功能服务

功能服务检测应包括设计资料的检查和运行测试，要求如下：

1. 检查TPCM内部基础软件的设计资料，应确认其包含主动度量、主动控制、可信验证、加密保护、可信报告、用户管理、基本信任基管理和密码调用功能。
2. 启动TPCM，构造可激活上述功能服务的输入序列，对上述功能进行测试，应确认其具备文档所设计的功能。

接口

接口的证实方法见10.3节。

可信平台控制模块的接口

计算部件接口

在TPCM软件中添加计算部件接口测试程序，通过TPCM计算部件接口访问内存、I/O、系统固件等系统资源，应确认其可以实时获取系统资源中的信息，并测试对I/O 总线、电源等系统资源的控制功能，确认其具备对I/O总线、电源的控制能力。

可信软件基接口

在可信软件基执行向TPCM下达可信验证、状态度量、加密保护和可信控制等策略的程序，读取TPCM内部的审计信息，应确认这些信息中记录了对TPCM的访问行为。

管理接口

通过管理接口输入配置信息、管理命令、TPCM基本信任基的策略及TPCM日志策略，从管理接口读取TPCM当前状态、可信密码模块状态、基本信任基状态及TPCM日志信息，应确认读出信息符合预期。

可信密码模块接口

在可信密码模块接口上根据可信密码模块标准对接可信密码模块，在TPCM中编写访问可信密码模块接口的测试软件，应确认访问结果符合预期。

安全防护

身份鉴别

身份鉴别的检查包括存在性检查与有效性检查，内容如下：

1. 检查TPCM用户的身份，应确认其登录时需执行身份鉴别操作。
2. 应确认身份鉴别的有效性，使用非法用户身份，或使用合法用户身份与错误口令进行身份鉴别，鉴别过程会失败，使用合法用户身份、合法口令进行身份鉴别，鉴别过程成功。

资源访问控制

在TPCM内部设置对TPCM可控制资源的访问控制，在计算部件中尝试访问可控制资源，应确认访问控制起到了作用。

审计

审计功能需检查下列内容:

1. 对已生成审计日志的TPCM进行断电重启等操作，再读取审计日志，应确认所生成的审计日志未丢失。
2. 应确认分别使用授权用户和非授权用户访问审计日志，授权用户能访问审计日志，非授权用户不能访问审计日志。应确认尝试以授权用户修改审计日志，审计日志不能被修改或被修改后无法消除修改痕迹。
3. 应确认TPCM有日志记录安全转移及安全迁移命令，执行这些命令，可以完成日志记录安全转移及安全迁移功能。

存储空间安全要求

存储空间安全要求需检查下列内容：

1. 确认检查确认TPCM的所有访问接口，不存在直接访问地址空间的命令。
2. 在TPCM内部编写临时数据检查程序，运行TPCM时同时启动临时数据检查程序，应确认临时数据失效后能够被及时清除。

数据保护

数据保护需检查下列内容：

1. TPCM的数据保护通过TCM实现，监控TPCM的可信密码模块接口，应确认该接口在数据保护过程中调用了TCM的对应功能对数据进行保护处理。
2. 在TPCM进行安全数据迁移、备份和恢复操作时，尝试进行数据迁移备份过程的监听、篡改等操作，应确认监听操作不能获取安全数据的明文信息，篡改操作在恢复时会被发现。

物理防护

应遵循GM/T 0008规定检测准则对TPCM的物理防护手段进行测试。

运行维护

自检

自检过程需检查下列内容：

1. 在TPCM上电启动前，分别尝试断开TCM、更改设计者自定义状态标识和修改TPCM内部代码，应确认TPCM上电启动时可通过主动自检发现异常。
2. TPCM启动后，尝试断开TCM、更改设计者自定义状态标识、修改当前用户身份，再启动被动自检，应确认被动自检可发现异常。
3. 当上述过程发现异常后，应检查到自检失败信号，读取TPCM日志，将发现自检失败信息。

状态维护

状态维护需检查下列内容：

1. 应确认在证实管理员身份情况下可执行TPCM的使能和禁用状态切换，未证实管理员身份情况下不可成功执行切换操作。
2. 应确认分别在使能状态和禁用状态加电启动TPCM，并尝试进行TPCM操作，使能状态TPCM可正常操作，禁用状态TPCM只能执行查询和使能操作。

参考文献

[1] 国家密码管理局．GM/T 0008. 安全芯片密码检测准则[S].

[2] 全国信息安全标准化技术委员会．GB/T 29829. 信息安全技术 可信计算密码支撑平台功能与接口规范[S].

[3] 全国信息安全标准化技术委员会．GB/T 37935. 信息安全技术 可信计算规范 可信软件基[S].

_________________________________

延伸阅读

更多内容 可以 信息安全技术 可信计算规范 可信平台控制模块. 进一步学习

联系我们

T-CSRME 015—2021 管幕预筑结构设计规范.pdf