《可信计算规范第4部分可信连接架构》

合集下载

可信计算技术

应用领域：信息加密保护应用领域：操作系统安全应用领域：网络保护应用领域：安全管理
服务计算技术与系统教育部重点实验室集群与网格计算湖北省重点实验室
应用领域：信息加密保护
IBM嵌入式安全子系统内嵌在计算机中的安全芯片
不获得安全子系统口令的情况下是无法获取系统中任何信息的应用于登录密码、加密密钥和数字证书的保护对文件系统（利用IBM的文件和文件夹加密功能）和网络传输进行加密安全芯片内部的信息存储和传送也经过了高强度的加密，采用了特殊的芯片封装方法，使得安全芯片的破解极其困难
服务计算技术与系统教育部重点实验室集群与网格计算湖北省重点实验室
可信计算定义
可信计算组织TCG
如果一个实体的行为是以预期的方式，符合预期的目标，则该实体是可信的
ISO/IEC 15408标准
参与计算的组件、操作或过程在任意的条件下是可预测的，并能够抵御病毒和物理干扰
沈昌祥院士可信定义
服务计算技术与系统教育部重点实验室集群与网格计算湖北省重点实验室
应用领域：操作系统安全
微软加密文件系统（EFS）
Windows 2000及之后出现的Windows XP等系统都支持该特性
微软操作系统Vista支持基于硬件的安全启动
硬件设备将对每个Windows系统开机时需要用到的文件进行标记一旦在开机的过程中检验出标记状态的不吻合将很可能意味着系统受到了非授权的篡改或破坏
一流的人才做标准二流的人才做设计三流的人才做产品
中国标准化组织
标准和专利的区别？
电信标准
服务计算技术与系统教育部重点实验室
集群与网格计算湖北省重点实验室
可信计算规范

TCG&可信计算(ypf)

要摆脱这种不合理的现状，需要改变思维方式，从终端开始防范攻击。如果信息系统中每个使用者都经过认证和授权，其操作都符合规定，就不会产生攻击性事故。从终端入手研究可信平台模块(Trusted Platform Module) 、可信平台、可信网络到可信Internet，是从根本上解决当前信息安全问题的途径。
可信计算的沿革
1999年10月由国际几大IT巨头Compaq、HP、 IBM、Intel和Microsoft牵头组织了可信计算平台联盟TCPA (Trusted Computing Platform Alliance)，成员达190家，遍布全球各大洲主力厂商。主要是为了解决PC架构上的不安全，从基础上提高其可信性。
TPM 非易失性储存 I/O 执行引擎操作系统程序代码可选状态配置易失性储存 SHA-1 协处理器随机数生成器 AIK
平台配置寄存器
RSA 协处理器
RSA 密钥生成
4.1 可信计算平台的体系结构
整个体系主要可以分为三层：TPM、TSS[1]和应用软件。TSS处在TPM之上，应用软件之下，称作可信软件栈，它提供了应用程序访问TPM的接口，同时进行对 TPM的管理。 TSS分为四层：工作在用户态的TSP[2]、TCS[3]、 TDDL[4]和内核态的TDD[5]。
4、软件栈规范(TSS Specifications)
TSS Specification设计了支持TPM的软件服务层的结构，定义了各层之间的接口，规范了各个角色对于TSS的操作权限。该规范定义了TCG软件开发接口，中间的服务接口。
5、可信网络连接规范（Trusted Network Connect Specifications）
可信计算的沿革

信息安全国家标准清单

38.
GB/T 20519-2006
《信息安全技术公钥基础设施特定权限管理中心技术规范》
39.
GB/T 20520-2006
《信息安全技术公钥基础设施时间戳规范》
40.
GB/T 20987-2007
《信息安全技术网上证券交易系统信息安全保障评估准则》
41.
GB/T 18018-2007
《信息安全技术路由器安全技术要求》
《信息技术安全技术实体鉴别第3部分: 采用数字签名技术的机制》
57.
GB/T 15843.4-2008
《信息技术安全技术实体鉴别第4部分: 采用密码校验函数的机制》
58.
GB/T 15852.1-2008
《信息技术安全技术消息鉴别码第1部分：采用分组密码的机制》
59.
GB/T 17710-2008
《信息技术安全技术IT网络安全第4部分：远程接入的安全保护》
93.
GB/T 25068.5-2010
《信息技术安全技术IT网络安全第5部分：使用虚拟专用网的跨网通信安全保护》
94.
GB/T 25069-2010
《信息安全技术术语》
95.
GB/T 25070-2010
《信息安全技术信息系统等级保护安全设计技术要求》
34.
GB/T 20281-2006
《信息安全技术防火墙技术要求和测试评价方法》
35.
GB/T 20282-2006
《信息安全技术信息系统安全工程管理要求》
36.
GB/Z 20283-2006
《信息安全技术保护轮廓和安全目标的产生指南》
37.
GB/T 20518-2006
《信息安全技术公钥基础设施数字证书格式》

可信计算概念、标准与技术

一. 可信计算概述
可信计算的机遇
得到产业界支持的、基于标准化
• 提供一个更安全的计算环境 • 保护终端用户数据 • 提供可信的电子商务交易 • 基于硬件的信任
更多的信任
• 增加用户及管理员使用因特网的信心 • 降低商业，特别是关键行业（金融、保险、政府、医疗）的风险 • 在硬件的保护下增加交易量和交易额
可信计算概念、标准与技术
沈晴霓教授北京大学
软件与微电子学院
一．可信计算概述二．TCG组织介绍三．TCG现有标准规范介绍四．TPM的核心功能介绍
一. 可信计算概述
可信计算概念与需求可信计算涵义与属性可信计算平台架构
可信计算的机遇
一. 可信计算概述
可信计算概念与需求
安全是指采取技术和管理的安全保护手段，保护软硬件与数据不因偶然的或恶意的原因而遭受到破坏、更改、暴露。
TPM主规范
• 给出TPM的基本概念及与TPM功能相关的一般信息。 • 对于与特定平台相关的功能在特定平台规范中定义。 • 包括4个部分：“设计理念”、“TPM结构”、“TPM命令”、“Compliance”（CC保护轮廓） • 规范通过具体技术细节的描述，为用户展现TPM的功能。
TSS规范
• 定义了应用程序层次TCG软件栈的分层结构及关键数据结构，然后分TPM驱动程序接口、TSS核心服务接口、 TCG服务提供者接口定义了不同层次软件之间的标准接口。
远景目标
二. TCG组织介绍
解决方案
TCG的解决方案
• 将平台转变为可信计算环境 • 使平台能够证明给定的网络环境是一个受保护的环境 • 在正确的平台环境下，秘密才会被释放出来 • 将TPM作为产品中的可信构造块
当前应用

可信计算技术及其应用

7
• 我国于2006年成立了中国可信计算工作组，2007年 12月国家密码管理局发布了“可信计算密码支撑平台（TCM）功能与接口规范”。 • 2008年国内一些厂商就相继推出了符合TCM规范的密码芯片模块和配置TCM的PC机。 • 2009年9月瑞达公司发布了支持TCM规范的32位安全芯片SSX0903并量产。 • 2009年8月，国家密码管理局在北京展览馆举办的 “全国商用密码成果展”上，以“可信计算-安享无忧生活”为主题向公众集中介绍了中国可信计算的研究成果，多家国内企业展示了自己的可信计算产品及相关应用案例。
非易失存储器
平台配置寄存器 PCR
身份证明证明密钥
程序代码
AIK
通信
I/O
随机数
SHA-1 引擎
密钥生成器
RSA 引擎
选择部件
执行引擎
生成器
可信平台模块（TPM）
12
（2） TCG 体系结构
13
（3）可信任链传递
从可信根开始，系统控制权顺序由可信的BIOS传递到可信的操作系统装载器，从可信的操作系统装载器传递到可信的操作系统，再从可信的操作系统传递到可信的应用。 14
1
北京交通大学计算机与信息技术学院
《计算机安全》网络课程组韩臻 zhan@
2010年7月27日下午
《计算机安全》网络精品课程建设

பைடு நூலகம்
可信计算技术及其应用信息安全心理学
2
一、可信计算技术及其应用
1、可信计算技术进展
2、可信计算技术框架
3、我国的TCM标准
4、可信计算技术的应用
（4）TPM 基本功能
数据保护：通过数据存储密钥和数字签名密钥及证书建立平台屏蔽保护区域，实现敏感数据的访问授权，从而控制外部实体对这些敏感数据的访问，提供安全可信的认证基础以及对资源的安全共享和保护。

基于可信计算的电网网络安全自适应防护关键技术及应用

可信计算 3.0
主动免疫
在计算、运算的同时进行安全防护，全程可测可控，一边计算一边防护。建立以主动免疫为标志的可信计算体系，相当于为网络信息系统培育了免疫能力。
ቤተ መጻሕፍቲ ባይዱ
排异反应
识别病毒
密码保护
以密码为基因，对包括身份认证在内的一系列安全措施，实现运算和防护并存的主动免疫体系结构相当于人体免疫系统，免疫系统的免疫基因有三大功能：
密码机制
采用对称（ SM2 算法）与公钥密码（ SM2算法）相结合体制，提高了安全性和效率，其中，还应用SM3算法进行完整性校验
证书结构
采用双证书结构，简化了证书管理，提高了可用性和可管理性
创建主动免疫体系结构
主动免疫是中国可信计算革命性创新的集中体现
我国自主创建的主动免疫体系结构，在双系统体系框架下，采用自主创新的对称/非对称相结合的密码体制作为免疫基因
可重构面向具体的应用场景和安全要求，对核心技术要素进行重构，形成定制化的新的体系结构
可信通过可信计算技术增强自主系统免疫性，防范漏洞影响系统安全性，使国产化真正落地
有知识产权要对最终的系统拥有自主知识产权，保护好自主创新的知识产权及其安全。坚持核心技术创新专利化，专利标准化，标准推进市场化。要走出国门，成为世界品牌
抢占网络空间安全核心技术战略制高点
采用可信计算，可避免如微软停止服务所引起的安全风险，有力支撑了习总书记提出的：“引进必须安全可控”的重要指示
如何摆脱受制于人的尴尬局面？
构筑主动防御、安全可信的保障体系
识别（确定可信主、客体）；控制（制定可信主、客体间访问规则）；报警（审计主客体访问行为，监控主客体运行时状态）
03
云计算是可信计算当前最重要的应用方向之一

可信计算平台原理与实践：第三章 TCG可信计算体系

第三章TCG 可信计算体系
可信计算平台原理与应用可信计算平台原理与应用：：
xuzhen@
提纲
1、TCG及其规范
TCG规范
2、TCG可信计算体系结构
（1）整体架构
可信平台模块
硬件平台
信任的传递
基本特性
特性1－受保护的能力
的特权。

被屏蔽
屏蔽位置的特权。

被屏蔽命令具有访问被屏蔽位置
命令具有访问被
特性2-证明(Attestation)
特性3－、完整性度量完整性度量、存储和报告
TCG可信计算平台的信任根
可信计算平台的信任根（（Cont.）TCG可信计算平台的信任根
可信构建块
可信构建块可信构建块（（Cont.）
信任边界（The Trust Boundary）
完整性度量（Integrity Measurement）
完整性报告（Integrity Reporting）
（2）TPM
结构图
输入/输出（I/O）
密码协处理
RSA引擎
随机数生成器
SHA
SHA--1引擎（SHA
SHA--1 Engine）
电源检测（Power Detection）
Opt--In Opt
执行引擎（Execution Engine）
持久性存储（Non
Non--Volatile Memory）
平台配置寄存器（PCR）
1. 2.
（3）TSS
TSS设计目标
TSS体系结构
TSS体系结构-TDDL
TSS体系结构-TPM Driver。

TCG规范

可信计算规范概述2007-05-08 22:41:15分类：可信计算组织（Ttrusted Computing Group,TCG）是一个非盈利的工业标准组织，它的宗旨是加强在相异计算机平台上的计算环境的安全性。

TCG于2003年春成立，并采纳了由可信计算平台联盟（the Trusted Computing Platform Alliance,TCPA）所开发的规范。

现在的规范都不是最终稿，都还在不断的更新中，比如：TPM的规范就从原来的v1.0更新到v1.2，现在还在不断的修订。

TCG的规范包括了从硬件TPM芯片，到软件TSS，从安全PC Client，服务器，到可信网络连接TNC，从总体的体系结构，到具体的操作接口，整个TCG规范成为一个统一的整体。

1. TCG规范体系结构TCG规范的整体架构参照下图：目前TCG主要的已经制定的规范有以下几个方面：1. TCG体系结构总体规范（Architecture Overview）2. 基础框架规范(Infrastructure Specifications)3. 可信平台模块规范(Trusted Platform Module Specifications)4. TPM软件栈规范(TSS Specifications)5. 可信网络连接规范（Trusted Network Connect Specifications）6. 个人计算机客户端规范（PC Client Specifications）7. 服务器规范(Server Specific Specifications)最近还在制定TCG的移动平台的规范，TCG的可信存储规范等都正在制定中。

2. 可信计算的主要规范1. TCG体系结构总体规范（Architecture Overview）Architecture Overview规范中定义了TPM平台的使用场景，TCG规范的总体体系结构，任何人查阅TCG规范，就意味着必须首先了解Architecture规范。

信息安全学第8章可信计算平台[精]

3. 安全管理
示范者：Intel主动管理技术。 Intel主动管理技术（AMT）技术是为远程计算机管理而设计的，这项技术对于安全管理来说具有非常独特的意义和重要的作用，而且AMT的运作方式与 TPM规范所提到的方式非常吻合。
在支持AMT的计算机系统当中, 即使在软件系统崩溃、BIOS损坏甚至是没有开机的状态下管理员仍然能在远程对计算机完成很多操作。
2. 网络保护
示范者：3Com嵌入式防火墙。 3Com公司提供集成了嵌入式防火墙（EFW）的网卡产品，用以向安装了该产品的计算机提供可定制的防火墙保护，另外还提供硬件VPN功能。
由于支持基于TPM规范的认证，所以用户能够利用这类网卡执行更好的计算机管理，使得只有合法的网卡才能用于访问企业网络。
这一特性能防止攻击者在远程计算机上控制合法用户的计算机执行恶意程序。
8.1.4 可信计算应用
可信计算的实际应用，主要是针对安全要求较高的场合，可信计算平台能够为用户提供更加有效的安全防护。下面以PC平台为主线了解目前主要的可信计算应用。
1. 操作系统安全
示范者：微软Windows。微软在Windows操作系统当中应用较多的一项技术是微软加密文件系统（EFS），这是微软向操作系统中集成可信计算技术的最早尝试之一，Windows 2000及之后出现的Windows XP等系统都支持该特性。
所以，最低层的故障，引起数据输出的差错，导致系统最后的失效。
1. 按失效的范围划分
●内容失效当系统服务所传递的内容与系统规
定所要求实现的内容不同时 ●定时失效
主体的可信性可以定义为其行为的预期性，软件的行为可信性可以划分级别，可以传递，而且在传递过程中会有损失。

可信计算技术标准与应用

Page 10
隐私控制
密码模块证书
平台身份证书
由TCM建立“数据密封”保护形式
TCM
SMK(存储主密钥) 存储密钥(SK) PCR
数据本地存储器密封的数据 • 把数据和存储密钥的授权信息发送给TCM • 同时包含启封过程要使用的PCR值 • TCM 对数据加密并密封成一数据块
包含要求的PCR值选择
安全应用
可信计算平台密码应用接口
CryptoAPI
CNG -API
PKCS-API
TSPI TSM CSP CNG PKCS11
TCM
Page 21
终端计算机等保技术要求使用TCM
基于自主可信计算技术，构建
了终端计算机系统的安全功能
体系 GA/T671-2006 要求三级及以上PC系统必须嵌入和使用可信硬件模块(TCM)
安全芯片与CRTM 1-1连接
CRTM
CRTM与主板 1-1连接
由用户控制 Platform Reset CPU
Supporting H/W BIOS/EFI
Main Memory
硬盘
键盘/鼠标
Graphics / output Page 8
以TCM为核心建立平台信任链
TCM
Page 9
由TCM构建身份标识表征平台身份
平台
TCM
密码模块密钥EK
Endorsement Key
每一个TCM的密码模块密钥EK是唯一的
– 可由…创建: • TCM 厂商 • 平台厂商 • 最终用户 – 方法: • 事先产生 • EK绝不能暴露在TCM外
平台身份密钥
Platform ID Key
其它密钥
PCRs

等保2.0专题分享—可信验证

中国医学科学院阜外医院韩作为☐《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》☐《GBT 25058-2019 信息安全技术网络安全等级保护实施指南》☐《GBT 22239-2019 信息安全技术网络安全等级保护基本要求》☐《GBT 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》☐《GBT 28448-2019 信息安全技术网络安全等级保护测评要求》1可信计算基础2可信与等保2.0 Contents3可信应用实例可信计算基础Classified protection of cybersecurity“封堵”：以网络隔离为代表，无法适应云计算话你就能够特性，以及云计算应用导致的边界虚拟化、动态变化；“查杀”：以杀病毒、入侵检测为代表，采用基于已知“特征”的检查技术，不能抵御新出现的未知恶意代码。

通过“计算+保护”的双计算体系，建立可信的计算环境，是其他安全防御机制的基础支撑；形成自动识别“自我”和“非我”程序的安全免疫机制，实现对未知病毒木马的安全免疫。

被动防御主动免疫杀毒、防火墙、入侵检测的传统“老三样”难以应对人为攻击且容易被攻击者利用，找漏洞、找补丁的传统思路不利于整体安全◆可信根可信根是可信计算平台可信的基点，源头，一般基于硬件来实现：TPM、TCM可信计算平台有三个可信根：可信度量根RTM、可信存储根RTS、可信报告根RTR◆可信链可信链是从可信根开始，通过信任度量把可信关系扩展到整个可信计算的平台，在每一步的过程中，上一级（可信环境）要对下一级组件（未可信环境）进行度量，若组件完整，则将控制权转移，以此类推，直至延伸到整个系统。

◆可信模块TCG的TPM中国的TCM：中国版的TPM中国的TPCM：TCM+信任根的控制功能，密码和控制双结合◆可信软件基（TSS+TSB）可信计算平台上的支撑软件。

主要是为操作系统和应用软件提供使用可信平台模块的接口Intel 、微软、IBM 等发起成立了TCPA ，标志着可信计算进入产业界1999年10月Intel 推出带有SGX 技术的CPU,主要功能是在计算平台上提供一个基于芯片级的可信执行环境2016年改组为TCG ，TCG 提出TPM1.2及相关规范2003年Windows10发布，并宣布“所有新设备和电脑，运用所有win10系统必须有TPM2.0支持”2015年Google 发布Titan 安全芯片，防止窃听硬件和插入固件植入来攻击电脑2017年Intel 正式发布了可信执行技术通过硬件内核和子系统来控制被访问的计算基资源2007年ARM 芯片采用推出了TrustZone 技术来支持可信技术发展TPM 发展2019年082018年072017年06762014年052007年042005年032000年021992年01基于ARM架构推出片内同构方式构建双体系瓶体的可信解决方案华为基于ARM TrustZone实现内置TCP功能可信计算产品在国家电网和中央电视台等重要部门使用中关村可信计算产业联盟成立，可信计算3.0旗舰产品—“白细胞”操作系统免疫平台发布，可信3.0时代到来由北京工业大学牵头完成可信计算3.0四个主体标准形成可信框架体系联想集团的TPM芯片和可信计算相继研制成功武汉瑞达和武汉大学合作，开始研制“国内第一款可信计算机”我国专家发明了微机保护卡，达到了无病毒、自我免疫的效果可信1.0（主机）主机可靠性计算机部件冗余备份故障诊查容错算法可信2.0（PC ）节点安全性PC 单机功能模块被动度量TPM+TSS可信3.0（网络）系统免疫性节点虚拟动态链宿主+可信双节点主动免疫TPCM+TSB+服务平台容错容错组织被动防御国际可信计算组织（TCG ）主动防御中国可信技术创新可信与等保2.0 Classified protection of cybersecurity坚持创新驱动发展，积极创造有利于技术创新的政策环境，统筹资源和力量，以企业为主体，产学研用相结合，协同攻关、以点带面、整体推进，尽快在核心技术上取得突破。

已发布网络安全国标-2018

已发布网络安全国家标准清单
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 年份 1995 1999 2017 2017 2016 2008 2005 2008 2012 1999 1999 2005 2005 2008 2008 2008 2008 2007 2000 2002 2002 2015 2015 2015 2005 2005 2005 2005 2005 2005 2005 2006 2006 2006 2006 2006 2006 2008 2008 2008 2013 2016 2015 2013 2015 2006 2015 2006 2006 标准号 GB 15851-1995 GB 17859-1999 GB/T 15843.1-2017 GB/T 15843.2-2017 GB/T 15843.3-2016 GB/T 15843.4-2008 GB/T 15843.5-2005 GB/T 15852.1-2008 GB/T 15852.2-2012 GB/T 17901.1-1999 GB/T 17902.1-1999 GB/T 17902.2-2005 GB/T 17902.3-2005 GB/T 17903.1-2008 GB/T 17903.2-2008 GB/T 17903.3-2008 GB/T 17964-2008 GB/T 18018-2007 GB/T 18238.1-2000 GB/T 18238.2-2002 GB/T 18238.3-2002 GB/T 18336.1-2015 GB/T 18336.2-2015 GB/T 18336.3-2015 GB/T 19713-2005 GB/T 19714-2005 GB/T 19771-2005 GB/T 20008-2005 GB/T 20009-2005 GB/T 20010-2005 GB/T 20011-2005 GB/T 20269-2006 GB/T 20270-2006 GB/T 20271-2006 GB/T 20272-2006 GB/T 20273-2006 GB/T 20274.1-2006 GB/T 20274.2-2008 GB/T 20274.3-2008 GB/T 20274.4-2008 GB/T 20275-2013 GB/T 20276-2016 GB/T 20277-2015 GB/T 20278-2013 GB/T 20279-2015 GB/T 20280-2006 GB/T 20281-2015 GB/T 20282-2006 GB/T 20518-2006

国家标准

2014-03-15
57
GB/T 17645.42-2013
工业自动化系统与集成零件库第42部分：描述方法学：构造零件族的方法学
GB/T 17645.42-2001
2014-03-15
58
GB/T 17657-2013
人造板及饰面人造板理化性能试验方法
GB/T 17657-1999
2014-04-11
GB 15699-1995
2014-04-11
52
GB/T 16448-2013
烟草种子品种命名原则
GB/T 16448-1996
2014-04-11
53
GB/T 16649.13-2013
识别卡集成电路卡第13部分：在多应用环境中的应用管理命令
2014-05-01
54
GB/T 16656.238-2013
67
GB/T 29618.302-2013
现场设备工具（FDT）接口规范第302部分：通信行规集成通用工业协议
2014-02-01
68
GB/T 29618.309-2013
现场设备工具（FDT）接口规范第309部分：通信行规集成可寻址远程传感器高速通道
2014-03-15
69
GB/T 29797-2013
64
GB/T 20784-2013
农业用硝酸钾
GB/T 20784-2006
2014-04-11
65
GB/T 27748.2-2013
固定式燃料电池发电系统第2部分：性能试验方法
2014-03-07
66
GB/T 28046.5-2013
道路车辆电气及电子设备的环境条件和试验第5部分：化学负荷

可信计算概述

可信计算概述⽬录⼀、为什么需要可信计算？⼆、什么是可信计算？三、可信计算的发展概况四、可信计算技术五、围绕可信计算的⼀些争议参考⽂献⼀、为什么需要可信计算？如今信息技术已经成为了⼈们⽣活中不可分割的⼀部分，⼈们每天都通过计算机和互联⽹获取信息、进⾏各种活动。

但计算机与⽹络空间并不总是安全的，⼀⽅⾯⿊客们会通过在⽹络中散布恶意病毒来对正常⽤户进⾏攻击，例如2017年5⽉爆发的勒索病毒；另⼀⽅⾯许多不良⼚商会在⾃⼰的软件中“开后门”，趁⽤户不注意时获取⽤户的隐私或者弹出弹窗⼴告，这些都给维护⽹络空间的信息安全带来了巨⼤的挑战。

为了使⼈们能够正常地通过计算机在互联⽹上进⾏各种活动，我们必须建⽴⼀套安全、可靠的防御体系来确保我们的计算机能够按照预期稳定地提供服务。

⽬前⼤部分⽹络安全系统主要由防⽕墙、⼊侵检测、病毒防范等组成。

这种常规的安全⼿段只能在⽹络层、边界层设防，在外围对⾮法⽤户和越权访问进⾏封堵，以达到防⽌外部攻击的⽬的。

由于这些安全⼿段缺少对访问者源端—客户机的控制，加之操作系统的不安全导致应⽤系统的各种漏洞层出不穷，其防护效果正越来越不理想。

此外，封堵的办法是捕捉⿊客攻击和病毒⼊侵的特征信息，⽽这些特征是已发⽣过的滞后信息，属于“事后防御”。

随着恶意⽤户的攻击⼿段变化多端，防护者只能把防⽕墙越砌越⾼、⼊侵检测越做越复杂、恶意代码库越做越⼤，误报率也随之增多，使得安全的投⼊不断增加，维护与管理变得更加复杂和难以实施，信息系统的使⽤效率⼤⼤降低，⽽对新的攻击毫⽆防御能⼒。

近年来，“震⽹”“⽕焰”“Mirai”“⿊暗⼒量”“WannaCry勒索病毒”等重⼤安全事件频频发⽣，显然，传统防⽕墙、⼊侵检测、病毒防范等“⽼三样”封堵查杀的被动防御已经过时，⽹络空间安全正遭遇严峻挑战。

安全防护⼿段在终端架构上缺乏控制，这是⼀个⾮常严重的安全问题，难以应对利⽤逻辑缺陷的攻击。

⽬前利⽤逻辑缺陷的漏洞频繁爆出，如“幽灵”“熔断”，都是因为CPU性能优化机制存在设计缺陷，只考虑了提⾼计算性能⽽没有考虑安全性。

信息安全技术可信计算规范服务器可信支撑平台

国家标准《信息安全技术可信计算规范服务器可信支撑平台》编制说明1、任务来源按照全国信息安全标准化技术委员会2016年信息安全标准项目立项通知（信安秘字【2016】061号），全国信息安全标准化技术委员会启动了《信息安全技术可信计算规范服务器平台》的制定工作。

本标准为自主制定标准，起草单位为浪潮电子信息产业股份有限公司、中电科技（北京）有限公司、华为技术有限公司、曙光信息产业（北京）有限公司、上海兆芯集成电路有限公司、中国船舶重工集团公司第七〇九研究所、联想（北京）有限公司、全球能源互联网研究院、南京百敖软件有限公司、北京可信华泰信息技术有限公司、武汉大学计算机学院、阿里云计算有限公司、大唐高鸿数据网络技术股份有限公司、华大半导体有限公司、北京工业大学等，主办单位为浪潮电子信息产业股份有限公司，归口单位为全国信息安全标准化技术委员会（SAC/TC260）。

2、编制背景云计算已成为我国重点发展的战略性产业。

服务器作为云计算基础设施的核心部分，其安全性至关重要。

利用可信计算技术解决云计算面临的安全问题已获得产业界的共识。

目前，由国际IT巨头发起成立的可信计算组织（TCG）正在推动可信计算技术的产业化应用及标准形成，其制定的TPM2.0规范已于2015年正式成为ISO/IEC国际标准。

我国信息安全标准化技术委员会正积极推进可信计算标准化工作，已发布了GB/T 29827-2013《信息安全技术可信计算规范可信平台主板功能接口》、GB/T 29828-2013《信息安全技术可信计算规范可信连接架构》、GB/T 29829-2013《信息安全技术可信计算密码支撑平台功能与接口规范》等国家标准。

同时，产业界纷纷跟进可信计算技术产业化应用，如中关村可信计算产业联盟推动我国自主可信计算技术产业化应用及标准化工作，中国可信云社区推动可信计算技术在云计算中的应用，国内主流IT企业先后推出了支持可信计算技术的服务器整机，并基于可信服务器构建可信云数据中心的解决方案。

可信连接架构的形式化验证

第３９卷第１１Ａ期２０１２年１１月
计算机科学Ｃｏｍｕｔｅｒｌ．３９Ｎｏ．１１ＡＮｏｖ２０１２
可信连接架构的形式化验证
王勇易翔李凯刘美林（）北京工业大学计算机学院北京１００１２４
）ＡｂｓｔｒａｃｔＣＡ（ｔｒｕｓｔｅｄｃｏｎｎｅｃｔｉｏｎａｒｃｈｉｔｅｃｔｕｒｅｉｓｔｈｅｓｏｌｕｔｉｏｎｏｆｔｒｕｓｔｅｄｎｅｔｗｏｒｋｏｆＣｈｉｎａ．ＴＣＡｓｅｃｉｆｉｅｓｔｈｅｅｎｔｉＴ－ｐ，ｔｉｅｓｔｈｅｉｎｔｅｒｆａｃｅｓｏｆｉｎｆｏｒｍａｔｉｏｎｅｘｃｈａｎｅａｍｏｎｔｈｅｓｅｅｎｔｉｔｉｅｓａｎｄｔｈｅｂｅｈａｖｉｏｒｓｏｆｉｎｆｏｒｍａｔｉｏｎｅｘｃｈａｎｅａｍｏｎｔｈｅｓｅｇｇｇｇ）ｅｎｔｉｔｉｅｓｗｈｅｎａｔｅｒｍｉｎａｌｗｉｔｈＴＰＣＭ（ｔｒｕｓｔｅｄｌａｔｆｏｒｍｃｏｎｔｒｏｌｍｏｄｕｌｅｃｏｎｎｅｃｔｓｔｏａｔｒｕｓｔｅｄｎｅｔｗｏｒｋ．Ｗｅｉｖｅｔｈｅｐｇ ’ ｒｏｃｅｓｓａｌｅｂｒａｄｅｓｃｒｉｔｉｏｎｏｆｅａｃｈｅｎｔｉｔｓｓｔａｔｅｔｒａｎｓｆｅｒｒｉｎｂａｓｅｄｏｎｔｈｅａｂｓｔｒａｃｔｉｏｎｏｆｔｈｅｉｎｆｏｒｍａｔｉｏｎｅｘｃｈａｎｅｂｅ－ｐｇｐｙｇｇｈａｖｉｏｒｓｏｆｅｎｔｉｔｉｅｓｉｎＴＣＡ．Ｆｏｒｍａｌｖｅｒｉｆｉｃａｔｉｏｎｏｆｔｒｕｓｔｅｄｃｏｎｎｅｃｔｉｏｎａｒｃｈｉｔｅｃｔｕｒｅｉｓｄｏｎｅｂｕｓｅｏｆａｘｉｏｍｓｏｆｒｏｃｅｓｓａｌ－ｙｐｒｅｓｕｌｔｅｘｈｉｂｉｔｓｔｈａｔＴＣＡｈａｓｄｅｓｉｒｅｄｅｘｔｅｒｎａｌｂｅｈａｖｉｏｒ．ｅｂｒａ．Ｖｅｒｉｆｉｃａｔｉｏｎｇ，，，，ＫｅｗｏｒｄｓＴｒｕｓｔｅｄｃｏｍｕｔｉｎＴｒｕｓｔｅｄｎｅｔｗｏｒｋＴＣＡＦｏｒｍａｌｖｅｒｉｆｉｃａｔｉｏｎＰｒｏｃｅｓｓａｌｅｂｒａｐｇｇｙ术点做验证，可以是理论验证或者是工程验证，以验证标准的

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

《可信计算规范第4部分：可信连接架构》（报批稿）编制说明全国信息安全标准化技术委员会中国可信计算标准工作组网络组2011年10月《可信计算规范第4部分：可信连接架构》（报批稿）编制说明一、任务来源随着计算机的使用越来越广泛，研究越来越深入，可信计算逐渐被提上日程。

为了推进可信计算计算在中国快速、健康的发展，由中国电子技术标准化研究所组织国内相关可信计算研究单位与企业，共同制定《可信计算规范》。

2007年2月，全国信息安全标准委员会将“可信计算关键标准研究”课题下达给北京工业大学，课题负责人沈昌祥院士。

根据信安秘字[2007] 5号“由沈昌祥院士牵头，联合有积极性的相关企业和部门共同研究”的通知精神，沈昌祥院士组织成立了以企业为主体的“产学研用”结合的“可信计算标准工作组”，研究制定可信计算关键标准。

项目启动会于2007年4月17日在北京工业大学召开。

《可信计算规范》目前包括4个部分，第1部分：可信平台控制模块；第2部分：可信平台主板功能接口；第3部分：可信基础支撑软件；第4部分：可信连接架构。

本项目是《可信计算规范》的第4部分，由全国信息安全标准化技术委员会、中国电子技术标准化研究所、西安西电捷通无线网络通信股份有限公司、北京工业大学、瑞达信息安全产业股份有限公司、西安电子科技大学、北京理工大学、武汉大学、北京天融信科技有限公司、北京电子科技学院、北京金奥博数码信息技术有限责任公司、中国电子科技集团公司第三十研究所、国家无线电监测中心、北京网贝合创科技有限公司、中国航天科工集团二院七O六所、郑州信大捷安信息技术有限公司、上海格尔软件股份有限公司、西安邮电学院、江南计算机技术研究所、国家广播电影电视总局广播科学研究院、中国电子技术标准化研究所、华为技术有限公司、深圳长城电脑有限公司、中安科技集团有限公司、长春吉大正元信息技术股份有限公司、北京鼎普科技股份有限公司、成都卫士通信息产业股份有限公司、北京密安网络技术股份有限公司等单位负责起草。

本项目《可信计算规范第4部分：可信连接架构》是2009年国家标准立项项目（国家标准计划编号：20090337-T-469）。

二、研究目标本项目目标是提出一个易管理、高安全的可信网络连接架构，并具体实现该可信网络连接架构。

三、研究内容本项目研究内容为提出了一种基于三元对等鉴别的可信网络连接架构，简称为可信连接架构，并给出了可信连接架构的具体实现，即给出了可信连接架构中各个接口的定义。

四、编制原则本项目编写遵循的原则如下：1）积极采用国家标准和国外先进标准的技术，并贯彻国家有关政策与法规；2）标准编制要具有一定的先进性、科学性、可行性、实用性和可操作性；3）标准内容要符合中国国情，广泛征求用户、企业、专家和管理部门的意见，并做好意见的正确处理；4）面向市场，参编自愿；标准编制工作与意见处理，应坚持公平、公正，切实支持产业发展；5）合理利用国内已有标准科技成果，处理好标准与知识产权的关系；6）采用理论与实践相结合的工作方法，开展标准验证试点工作，并充分利用国内已有的各类网格重点项目、示范项目的建设经验，处理好标准的先进性和实用性之间的关系；7）尽可能吸纳成熟的技术和已有共识的框架结构，适当的提出前瞻性的规范。

引导交换体系应用向着成熟稳定和良好结构的方向发展。

8）面向实际应用需求，重点解决具有共性的交换问题，而不涉及应用面狭窄或者使用落后技术的交换应用，或者纯学术研究型交换技术和不成熟的技术。

9）标准结构和编写规则，按照GB/T1.1-2009执行。

五、主要工作过程2007年4月于北京工业大学召开第1次会议，北京工业大学、中国电子技术标准化研究所四所、西安西电捷通无线网络通信有限公司、西安电子科技大学、武汉瑞达信息安全产业股份有限公司和深圳华为技术有限公司等单位对可信网络连接的技术思路进行了首次讨论，并安排了后续工作。

2007年6月于北京工业大学召开第2次会议，北京工业大学、中国电子技术标准化研究所四所、西安西电捷通无线网络通信有限公司、西安电子科技大学、武汉瑞达信息安全产业股份有限公司和深圳华为技术有限公司等单位进一步讨论可信网络连接的技术思路，然后根据沈院士的建议组内讨论了监管问题，并最终形成了两个不同的《可信接入与监管体系结构草案》。

2007年8月于中国长城计算机深圳股份有限公司召开第3次会议，西安西电捷通无线网络通信有限公司、西安电子科技大学、武汉瑞达信息安全产业股份有限公司、北京工业大学、中国长城计算机深圳股份有限公司和深圳华为技术有限公司等单位讨论6月份提出的两个草案，最终经沈院士审核决定使用西安西电捷通无线网络通信有限公司所提出的草案，并对该草案进行了讨论和完善，最终形成了相应的方案和标准。

2007年9月和10月分别于北京工业大学和中安科技集团公司召开第4次和第5次会议，西安西电捷通无线网络通信有限公司、西安电子科技大学、武汉瑞达信息安全产业股份有限公司、北京工业大学、北京理工大学、中国长城计算机深圳股份有限公司和中安科技集团公司等单位继续修改和完善方案和标准文本。

2008年3月于北京工业大学召开第6次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、武汉瑞达信息安全产业股份有限公司和北京理工大学等单位讨论可信连接架构的接口问题以及其他问题，最终形成了可信连接架构研究报告、可信连接架构草案稿和可信连接架构草案编制说明。

2008年6月于北京工业大学召开第7次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学和北京电子科技学院等单位进一步讨论可信连接架构中各部件之间的接口实现问题，形成各接口的研究报告。

2008年11月于北京工业大学召开第8次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学和北京电子科技学院等单位进一步讨论可信连接架构中各部件之间的接口实现问题，完善各接口的研究报告。

2009年6月于北京工业大学召开第9次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学和北京电子科技学院、武汉大学、西安邮电学院、北京金奥博、56所、广播科学研究院、北京天融信、航天706所、中国电子科技集团30所、武汉瑞达、上海格尔软件、郑州信大捷安信息技术有限公司等单位进一步讨论可信连接架构中各部件之间的接口实现问题，基本确定各部件之间的接口实现。

2009年9月于无锡56所召开第10次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学和北京电子科技学院、武汉大学、西安邮电学院、北京金奥博、56所、广播科学研究院、北京天融信、航天706所、中国电子科技集团30所、武汉瑞达、上海格尔软件、郑州信大捷安信息技术有限公司等单位进一步讨论可信连接架构中各部件之间的接口实现问题，完善各部件之间的接口实现。

2009年12月于北京工业大学召开第11次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学、武汉大学和北京天融信6家核心单位对可信连接架构（TCA，Trusted Connect Architecture）标准文本进行了集中编写。

2010年3月于北京工业大学召开第12次会议，西安西电捷通无线网络通信有限公司、北京工业大学、西安电子科技大学、北京理工大学和北京电子科技学院、武汉大学、西安邮电学院、北京金奥博、56所、广播科学研究院、北京天融信、航天706所、中国电子科技集团30所、武汉瑞达、上海格尔软件、郑州信大捷安信息技术有限公司等单位对可信计算规范第4部分：信息系统可信连接架构进行了进一步讨论与完善，着重于TCA中的接口实现。

2011年3月于北京海军计算机所召开专家审查会议，会后形成了《可信计算规范第4部分：信息系统可信连接架构（征求意见稿）》。

2011年5月，根据《可信计算规范第4部分：信息系统可信连接架构（征求意见稿）》的反馈意见形成了《可信计算规范第4部分：信息系统可信连接架构（报批稿）》初稿。

2011年7月于北京召开安标委秘书处及WG1扩大会议，对《可信计算规范第4部分：信息系统可信连接架构（征求意见稿）》的反馈意见进行协调处理，会后根据会议反馈意见进行完善，形成《可信计算规范第4部分：可信连接架构》终稿。

2011年9月，根据全国信息安全标准化技术委员会秘书处的反馈意见完善《可信计算规范第4部分：可信连接架构》标准文本，形成《可信计算规范第4部分：可信连接架构》（送审稿）。

2011年10月，根据《可信计算规范第4部分：可信连接架构》（送审稿）的反馈意见完善《可信计算规范第4部分：可信连接架构》标准文本，形成《可信计算规范第4部分：可信连接架构》（报批稿）。

六、主要内容本标准基于已经发布的国际标准ISO/IEC 9798-3:1998/Amd.1:2010《信息技术安全技术实体鉴别第3部分采用数字签名技术的机制补篇1》，引入可信第三方的实体鉴别并采用三元结构，使可信连接架构实现双向的用户身份鉴别和平台鉴别（平台身份鉴别和平台完整性评估）。

本标准规定了可信连接架构的层次、实体、部件、接口、实现流程、评估、隔离和修补以及各个接口的具体实现，解决终端连接到网络的双向用户身份鉴别和平台鉴别问题，实现终端连接到网络的可信网络连接。

标准的主要框架如下：前言1 范围2 规范性引用文件3 术语和定义4 缩略语5 总体描述5.1 概述5.2 实体5.3 层次5.4 部件5.5 接口5.6 实现过程5.7 评估、隔离和修补6 网络访问控制层6.1 概述6.2 网络传输机制6.3 访问控制机制7 可信平台评估层7.1 概述7.2 平台鉴别基础设施8 完整性度量层8.1 概述8.2 IF-IM消息协议9 IF-IMC和IF-IMV9.1 概述9.2 IF-IMC9.3 IF-IMV附录A（规范性附录）基于三元对等鉴别的访问控制方法附录B（资料性附录）完整性管理框架附录C（资料性附录）安全策略管理框架附录D（资料性附录）数字信封七、有关技术问题的说明1 可信连接架构图1 可信连接架构在图1中，存在三个实体：访问请求者（AR ）、访问控制器（AC ）和策略管理器（PM ），从上至下分为三个抽象层：完整性度量层、可信平台评估层和网络访问控制层。

在每个实体中，矩形方框表示实体中的部件。

部件之间存在相应的接口，用带名称的双向虚线箭头表示。

AR 请求访问受保护网络，AC 控制AR 对受保护网络的访问。

PM 对AR 和AC 进行集中管理。

AR 和AC 基于PM 来实现AR 和AC 之间的双向用户身份鉴别和平台鉴别，其中平台鉴别包括平台身份鉴别和平台完整性评估，PM 在用户身份鉴别和平台鉴别过程中充当可信第三方。