ICS35.080 L40 中华人民共和国国家标准 GB/T29827—2013 信 息安全技术 可信计算规范 可信平台主板功能接口 Informationsecuritytechnology—Trustedcomputingspecification— Motherboardfunctionandinterfaceoftrustedplatform 2013-11-12发布 2014-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 3 …………………………………………………………………………………………………… 5 组成结构 4 ………………………………………………………………………………………………… 6 信任链传递 5 ……………………………………………………………………………………………… 7 完整性度量 6 ……………………………………………………………………………………………… 8 初始度量 9 ………………………………………………………………………………………………… 9 传统BIOS完整性度量 11 ………………………………………………………………………………… 10 UEFIBIOS完整性度量 14 ……………………………………………………………………………… 11 可信平台主板功能接口 17 ………………………………………………………………………………GB/T29827—2013 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准主要起草单位:北京工业大学、中国长城计算机深圳股份有限公司、南京百敖软件股份有限 公司、航天科工集团二院七〇六所、武汉大学、中国电子科技集团公司信息化工程总体研究中心、北京龙 芯中科技术服务中心有限公司、江南计算技术研究所、瑞达信息安全产业股份有限公司、中安科技集团 有限公司、中船重工集团707所、北京中科院软件研究中心、北京华大恒泰科技有限责任公司、北京超毅 世纪网络技术股份有限公司、华为技术有限公司、桂林长海科技有限责任公司、中国电子技术标准化研 究所。 本标准主要起草人:沈昌祥、韩永飞、张兴、王冠、林诗达、徐明迪、王正鹏、蒋志翔、赵丽娜、周艺华、 石明、张斌、孔雷、张焕国、汪文杰、胡明昌、吴新军、陈林、李大东、王然、张向阳、艾方、童广胜、徐庶桓、 李晨、贾兵、杜中平、杜晖、谢乾、赵波、张超、吴勇、石良军、马银生、郭景川、魏靖、宋洋、高瞻、曲新春、 余发江、陈小春、蔡晔、袁爱东、庄琭、曾颖明、孙永泉、段丽娟、宋靖、朱贺新、郭灵儿、刘智君、滕志刚、 靳浡、郭毅、肖祎、孙圣超、刘军,陈莹,邹娜。 ⅠGB/T29827—2013 信息安全技术 可信计算规范 可信平台主板功能接口 1 范围 本标准规定了可信平台主板的组成结构、信任链构建流程、功能接口。 本标准适用于基于可信平台控制模块的可信平台主板的设计、生产和使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T29829—2013 信息安全技术 可信计算密码支撑平台功能与接口规范 UEFIV2.1 统一可扩展固件接口规范(UnifiedExtensibleFirmwareInterfaceSpecification) 3 术语和定义 下列术语和定义适用于本文件。 3.1 可信根 rootoftrust 对应TPCM模块。 3.2 可信度量根 rootoftrustformeasurement 一个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点。 3.3 可信存储根 rootoftrustforstorage 一个能够可靠进行安全存储的计算引擎。 3.4 可信报告根 rootoftrustforreporting 一个能够可靠报告可信存储根所保存信息的计算引擎。 3.5 通用设备 generaldevice 在原有PC主板上兼容的硬件设备,包括中央处理器(CPU)、外部存储器、随机存储器、视频控制 器等。 3.6 初始只读存储器 bootROM 在计算机启动过程中提供最底层硬件设置的固件。 注:初始只读存储器在组成结构上分为BootBlock和MainBlock两部分,按照类型分为传统BIOS和UEFIBIOS。 1GB/T29827—2013 3.7 初始引导模块 bootblock 存储在BootROM中,最先被CPU执行的一段平台初始引导模块,负责初始化最基本的平台 部件。 注:被初始化的平台部件如内存等。 3.8 主引导模块 mainblock 存储在BootROM中,在BootBlock之后被执行的代码,负责初始化除在BootBlock中已经被配 置的平台启动部件。 3.9 板卡固件 optionROM 存储平台启动部件的启动和配置代码的只读存储器。 3.10 扩展度量模块 extendedmeasurementmodule 计算机启动过程中的代码度量执行部件组,实现对后续执行代码的完整性度量和信任链扩展。根 据其在系统中的启动顺序,分为EMM1、EMM2、EMM3三个执行部件。 3.11 扩展度量模块1 EMM1 嵌入于BootROM中的BootBlock内的代码,负责对MainBlock中的EMM2进行度量。 3.12 扩展度量模块2 EMM2 嵌入于BootROM中的MainBlock内的代码,负责对平台启动部件和EMM3进行度量。 3.13 扩展度量模块3 EMM3 嵌入于OSLoader中的代码,负责对操作系统内核和EMM4进行度量的代码。 3.14 扩展度量模块4 EMM4 嵌入于OS内核中的代码,负责对内核文件进行度量。 3.15 度量代理点 measurementagentpoint 代码度量部件子模块,负责度量系统的部分装载和执行代码,实现EMM之间信任传递。 3.16 操作系统装载器 operatingsystemloader 负责加载操作系统内核的代码或部件。 3.17 度量事件 measurementevent 对代码进行完整性度量和存储的全过程。 3.18 日志存储区 logstoragearea 不可篡改区域,用于存储完整性度量日志。 3.19 信任链 trustchain 在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系。 2GB/T29827—2013 3.20 可信平台控制模块 trustedplatformcontrolmodule 一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度 量、安全存储、可信报告以及密码服务等功能。 3.21 可信平台控制模块设备驱动 trustedplatformcontrolmoduledevicedriver;TDD TPCM为上层应用提供的服务驱动接口。 3.22 统一扩展固件接口 unifiedextensiblefirmwareinterface;UEFI 提供一组在OS加载、启动前,在所有平台上一致的、正确指定的启动服务。 3.23 引导连接向量 bootconnectionvector;BCV 指向OptionROM中某一段代码的指针,所指向的代码负责执行部件的初始化、检测硬件或者在 必要时加载Int13h的服务。 3.24 引导项向量 bootentryvector;BEV 指向OptionROM中负责载入系统的代码的指针,并在必要时加载Int18h或Int19h的服务。 注:通常在网卡的远端启动中使用。 4 缩略语 下列缩略语适用于本文件。 ACPI 高级配置和电源管理接口(AdvancedConfigurationandPowerManagementInter- face) BIOS 基本输入输出系统(BasicInputOutputSystem) CMOS互补金属氧化物半导体(ComplementaryMetalOxideSemiconductor) ESCD 扩展系统配置数据(ExtendedSystemConfigurationData) FWH 固件中心(FirmwareHub) GUID 全局唯一标识符(GloballyUniqueIdentifier) I/O 输入/输出(Input/Output) IPL 初始程序加载器(InitialProgramLoader) LPC 少针脚型接口(LowPinCount) LSA 日志存储区(LogStorageArea) NVRAM非易失性随机访问存储器(Non-VolatileRandomAccessMemory) OS 操作系统(OperatingSystem) PARTIES保护区域运行态接口扩展服务(ProtectedAreaRunTimeInterfaceExtensionServ- ices) PC 个人计算机(Pe