T-ZISIA 03-2024 自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計算基礎(chǔ)環(huán)境安全要求

1i前言 I 12規(guī)范性引用文件 13術(shù)語和定義 14符號和縮略語 15計算基礎(chǔ)環(huán)境概述 26處理器技術(shù)要求 27內(nèi)存安全技術(shù)要求 38固件技術(shù)要求 3 38.2統(tǒng)一可擴展固件接口 38.3安全固件引導(dǎo)啟動 39操作系統(tǒng)技術(shù)要求 49.1安全中心 49.2Linux安全模塊 410可信執(zhí)行環(huán)境技術(shù)要求 510.1可信應(yīng)用 510.2密碼服務(wù) 510.3存儲 510.4管理模式 511安全API技術(shù)要求 5附錄A（資料性）UEFI固件度量內(nèi)容項及其要求 7附錄B（資料性）安全中心功能列表 8參考文獻 9I本文件按照GB/T1.1-2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟提出并歸口。本文件起草單位：奇安信科技集團股份有限公司、中電（海南）聯(lián)合創(chuàng)新研究院有限公司、中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟、飛騰信息技術(shù)有限公司、麒麟軟件有限公司、北京源堡科技有限公司、中國長城科技集團股份有限公司、北方工業(yè)大學、深圳云安寶科技有限公司、南京信風網(wǎng)絡(luò)有限公司、云南電網(wǎng)有限責任公司信息中心、海南金墾賽博信息科技有限公司。本文件主要起草人：黃明、張珂?zhèn)?、程永靈、王長帥、楊偉萍、楊洪鵬、劉浩、魏淑華、邱浩、戰(zhàn)茅、姚磊、羅洪毅、張大朋、李建、肖鵬、楊有桂、于晴、鄒冬、林俊、王國華、王海洋、陳曉峰、常凱翔、張沁園、王喆、曹金。計算基礎(chǔ)環(huán)境作為增強計算系統(tǒng)的基礎(chǔ)元素集合，正面臨著體系結(jié)構(gòu)缺乏免疫力、產(chǎn)品應(yīng)用補修漏洞不及時、常規(guī)安全防護機制降低CPU功效等問題。為了提升其在操作過程中的安全性和可控性，需要建立一套完善的技術(shù)要求標準，以保障整體系統(tǒng)在各個層面上達到最高的安全性水平。結(jié)合國內(nèi)行業(yè)發(fā)展以及自主創(chuàng)新計算技術(shù)現(xiàn)狀，著眼于T/ZISIA01-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架》中自身安全防御層的基礎(chǔ)共性安全部分，本文件綜合應(yīng)用同系列標準T/ZISIA02-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動設(shè)計要求》以及T/ZISIA04-2024《自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計算技術(shù)要求》中可信計算內(nèi)容，規(guī)范了一種以安全芯片為基礎(chǔ)，具有主動度量功能以及安全可信引導(dǎo)等技術(shù)的計算基礎(chǔ)環(huán)境機制，包括計算基礎(chǔ)環(huán)境的概述以及處理器技術(shù)、可信引導(dǎo)、內(nèi)核安全和系統(tǒng)安全等關(guān)鍵技術(shù)要求。通過這些要求，提高自主創(chuàng)新基礎(chǔ)環(huán)境在工作過程中的安全性、可控性和穩(wěn)定性，提高整體系統(tǒng)在不同環(huán)境下的適應(yīng)性和可靠性，為整機生產(chǎn)商、應(yīng)用軟件開發(fā)商、外設(shè)產(chǎn)品開發(fā)商等廠商的研發(fā)適配提供參考。1自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)計算基礎(chǔ)環(huán)境安全要求本文件提出了自主創(chuàng)新型計算基礎(chǔ)環(huán)境的安全要求，規(guī)定了可信引導(dǎo)、內(nèi)核安全和系統(tǒng)安全等安全技術(shù)要求。本文件適用于自主創(chuàng)新型信息技術(shù)產(chǎn)品的安全功能設(shè)計、開發(fā)與測試，也為整機生產(chǎn)商、應(yīng)用軟件開發(fā)商、外設(shè)產(chǎn)品開發(fā)商等廠商的研發(fā)適配提供參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20272-2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信軟件基GB/T36630.1-2018信息安全技術(shù)信息技術(shù)產(chǎn)品安全可控評價指標第1部分：總則GB/T25069-2022信息安全技術(shù)術(shù)語GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求T/ZISIA01-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)框架T/ZISIA02-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)安全可信啟動設(shè)計要求T/ZISIA04-2024自主創(chuàng)新型網(wǎng)絡(luò)安全技術(shù)可信計算技術(shù)要求3術(shù)語和定義GB/T25069界定的術(shù)語和定義以及下列術(shù)語和定義適用于本文件：3.1自主創(chuàng)新型autonomousandinnovative信息技術(shù)產(chǎn)品的核心技術(shù)由國內(nèi)生產(chǎn)廠商自主掌握，供應(yīng)鏈不受其他國家實體的控制，且符合信息技術(shù)產(chǎn)品安全可控評價標準的屬性。[來源：T/ZISIA01-2024，3.1]3.2計算基礎(chǔ)環(huán)境computinginfrastructureenvironment用于支撐和增強計算系統(tǒng)的基礎(chǔ)元素集合，包括計算芯片、固件、操作系統(tǒng)、存儲等。3.3可信軟件基trustedsoftwarebase為可信計算平臺的可信性提供支持的軟件元素的集合。[來源：GB/T37935—2019，3.3]3.4固件firmware固化到計算機中的非易失性存儲器中的一組程序或軟件，為計算機提供最基本的硬件初始化，還可能向上層軟件提供底層硬件的訪問接口或服務(wù)。3.5工作網(wǎng)絡(luò)worknetwork是一種基于節(jié)點之間的相互連接形成的，有秩序和邊界的通信網(wǎng)絡(luò)。4符號和縮略語下列符號和縮略語適用于本文件。ACPI：高級配置和電源接口（AdvancedConfigurationandPowerInterface）CPU：中央處理器（CentralProcessingUnit）2DAC：自主訪問控制(DiscretionaryAccessControl)LSM：Linux安全模塊（LinuxSecurityModule）MM：管理模式（ManagementMode）MMU：內(nèi)存管理單元（MemoryManagementUnit）OS：操作系統(tǒng)（OperatingSystem）PBF：處理器基礎(chǔ)固件（ProcessorBaseFirmware）RAS：可靠性，可用性，可服務(wù)性（Reliability,Availability,andServiceability）REE：通用執(zhí)行環(huán)境（RichExecutionEnvironment）ROM：只讀存儲器（Read-OnlyMemory）SMBIOS：系統(tǒng)管理BIOS（SystemManagementBIOS）SMC：安全監(jiān)控呼叫（SecureMonitorCall）SPI：串行外設(shè)接口（SerialPeripheralInterface）TA：可信應(yīng)用（TrustedApplication）TCM：可信加密模塊（TrustedCryptographyModule）TEE：可信執(zhí)行環(huán)境（TrustedExecutionEnvironment）TOS：可信的操作系統(tǒng)（TrustedOperatingSystem）TPCM：可信平臺控制模塊（trustedplatformcontrolmodule）TSB：可信軟件基（TrustedSoftwareBase）UEFI：統(tǒng)一可擴展固件接口（UnifiedExtensibleFirmwareInterface）I2C：一種總線結(jié)構(gòu)，簡稱集成電路總線，它是一種串行通信總線（Inter-InteggratedCircuit）5計算基礎(chǔ)環(huán)境概述根據(jù)T/ZISIA01-2024自身安全防御部分要求，計算基礎(chǔ)環(huán)境安全要求重點關(guān)注基礎(chǔ)共性安全問題。其架構(gòu)見下圖，分為可信引導(dǎo)層、內(nèi)核安全層、系統(tǒng)安全層3層。同時，系統(tǒng)用戶權(quán)限應(yīng)按“系統(tǒng)授權(quán)”原則分別設(shè)立安全管理員、系統(tǒng)管理員、審計管理員，實現(xiàn)管理員“三權(quán)分立”功能。其中，安全管理員主要對系統(tǒng)中的安全策略進行配置；系統(tǒng)管理員負責系統(tǒng)資源管理和運行進行配置、控制和管理；審計管理員負責對審計記錄進行分析，并根據(jù)分析結(jié)果進行處理。6處理器技術(shù)要求處理器的內(nèi)生可信計算應(yīng)根據(jù)T/ZISIA04-2024要求，將處理器核隔離為可信核和計算核，具備主動度量特性，滿足可信計算3.0的雙體系計算架構(gòu)，實現(xiàn)對整個平臺的主動控制。3具體要求如下：a)CPU核動態(tài)隔離應(yīng)支持以下三種模式：1)同步模式：每個CPU核都可以進入安全態(tài)，執(zhí)行SMC服務(wù)調(diào)用；2)異步模式：有特定核被限制在安全態(tài)運行，其他核不再提供安全態(tài)服務(wù)能力，OS通過異步調(diào)用模式使用其服務(wù)；3)混合模式：有特定核被限制在安全態(tài)運行提供異步服務(wù)，其他核可以進行同步服務(wù)調(diào)用，同時支持同步和異步服務(wù)調(diào)用，該模式為缺省模式。b)CPU可信核及其專用硬件資源應(yīng)能和可信固件（包含實現(xiàn)TOS、TCM、TSB功能的軟件）組成可信環(huán)境。c)CPU雙體系機制的可信根應(yīng)為PBF，由PBF分別對TEE和UEFI進行度量，度量成功后，將控制權(quán)限給UEFI。d)PBF應(yīng)可劃分可信資源，并負責可信執(zhí)行環(huán)境與通用執(zhí)行環(huán)境的管理和切換等運行服務(wù)。7內(nèi)存安全技術(shù)要求安全內(nèi)存主要由安全密鑰、安全規(guī)則以及安全日志等安全功能組成。安全規(guī)則主要用于定義一組安全內(nèi)存區(qū)域，安全日志用于記錄被非法訪問的地址信息。內(nèi)存條安全區(qū)應(yīng)支持以下功能：a)安全內(nèi)存驅(qū)動在初始化時應(yīng)獲取到相應(yīng)的I2C總線信息，包括安全密鑰的獲取/匹配、安全規(guī)則的設(shè)置/刪除以及安全日志的獲取等；b)應(yīng)提供對內(nèi)存安全區(qū)段的讀寫保護，可實現(xiàn)有只讀、只寫、讀寫、不可訪問等狀態(tài)；c)安全規(guī)則應(yīng)根據(jù)規(guī)則記錄的保護屬性決定操作是否為非法。如果為非法操作，安全內(nèi)存模組應(yīng)能阻止該操作，并且在安全日志中生成一個標記非法訪問的地址記錄。8固件技術(shù)要求雙體系架構(gòu)軟件涉及引導(dǎo)ROM、處理器基礎(chǔ)固件、通用執(zhí)行環(huán)境和可信執(zhí)行環(huán)境等各個執(zhí)行階段?？尚艈恿鞒特灤┮龑?dǎo)ROM、PBF、通用固件、操作系統(tǒng)等整個執(zhí)行流程。8.1固件PBF與TOS存儲在一塊區(qū)域，UEFI單獨存儲在一塊區(qū)域。更新時PBF與TOS一起更新，UEFI的更新需要通過調(diào)用TOS安全SPI接口進行操作。8.2統(tǒng)一可擴展固件接口UEFI應(yīng)基于前述處理器及其PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動及加載操作系統(tǒng)時間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。固件架構(gòu)提供核心虛擬機，防止固件攻擊，并可掛載SMBIOS、ACPI、PSCI等驅(qū)動。UEFI固件度量范圍及UEFI度量項目詳見附錄A，ARM系列芯片主要遵循以下國際標準：a)UEFI2.7b)ACPI6.1c)SMBIOS3.2d)ArmBaseBootRequirementse)ArmSystemReadyRequirementsSpecificationf)ArmServerBaseSystemArchitecture通用可信安全部分遵循TCM/TPM/UEFI安全啟動標準。8.3安全固件引導(dǎo)啟動根據(jù)T/ZISIA02-2024安全可信啟動設(shè)計原則等要求，UEFI基于芯片及PBF隔離能力，以及TOS提供的度量接口，構(gòu)建起UEFI啟動至加載操作系統(tǒng)時間段內(nèi)的可信信任鏈，并將信任鏈傳遞給操作系統(tǒng)加載器。如此，與PBF、TOS、操作系統(tǒng)一起，構(gòu)成完整的信任鏈。在固件啟動引導(dǎo)階段，應(yīng)支持以下啟動功能：4a)安全固件引導(dǎo)程序應(yīng)支持完整性度量校驗；b)對內(nèi)核等所有關(guān)鍵文件的度量校驗均通過后，加載并引導(dǎo)操作系統(tǒng)啟動；c)存在一個或多個關(guān)鍵文件度量校驗不通過時，終止操作系統(tǒng)的引導(dǎo)啟動。9操作系統(tǒng)技術(shù)要求TOS和CPU應(yīng)主導(dǎo)基于國際GP標準制定的同步度量SMC調(diào)用接口，并通過UEFI調(diào)用同步SMC接口完成度量工作。操作系統(tǒng)安全能力應(yīng)滿足以下通用要求：a)支持基于證書的軟件包簽名和驗證的軟件安裝控制，軟件包驗證通過并安裝后，該軟件包對應(yīng)的應(yīng)用程序?qū)⒕邆淇蓤?zhí)行權(quán)限；b)應(yīng)至少提供安全管理命令行工具，支持對操作系統(tǒng)安全功能的配置和策略定制；c)應(yīng)支持對應(yīng)用程序執(zhí)行控制、應(yīng)用程序聯(lián)網(wǎng)控制、防火墻等安全功能的配置設(shè)置功d)應(yīng)通過系統(tǒng)安全接口支持病毒防護功能，包括具備能夠掃描和查殺病毒功能、至少包括快速掃描和全面掃描等多種掃描策略、具備更新病毒庫軟件更新功能；e)應(yīng)通過系統(tǒng)安全接口支持公共網(wǎng)絡(luò)和工作網(wǎng)絡(luò)等多種模式、可自定義設(shè)置和手動添加服務(wù)等防火墻功能；f)應(yīng)支持操作系統(tǒng)內(nèi)核模塊、操作系統(tǒng)關(guān)鍵配置文件等完整性驗證功能。9.1安全中心安全中心實現(xiàn)了內(nèi)核安全框架、增強型身份認證、系統(tǒng)訪問控制、數(shù)據(jù)安全保護，提高系統(tǒng)運行環(huán)境的安全性和穩(wěn)定性，可提供病毒防護、指令流安全檢測、安全內(nèi)存等豐富的多樣化安全配置功能。安全中心功能列表詳細描述見附錄B。9.1.1可信度量與管控功能OS應(yīng)支持以下應(yīng)用程序執(zhí)行控制功能：a)對應(yīng)用程序的白名單配置管理，包含添加、刪除、更新等；b)對應(yīng)用程序的完整性檢查，禁止執(zhí)行被篡改的應(yīng)用程序；c)對應(yīng)用程序來源進行標記檢查，只有合法安裝的應(yīng)用程序才可以執(zhí)行，禁止包括網(wǎng)絡(luò)下載、移動存儲復(fù)制等非合法安裝的軟件執(zhí)行；d)對內(nèi)核模塊的加載控制，確保通過安全管理工具授權(quán)的內(nèi)核模塊才允許加載；e)提供內(nèi)核模塊防卸載保護，禁止卸載在防卸載保護列表中的內(nèi)核模塊。9.1.2進程保護OS應(yīng)支持以下進程保護功能：a)對進程保護列表進行配置管理，包含添加、刪除等；b)對被保護進程提供防殺死等功能；在被保護進程意外退出時，觸發(fā)登錄用戶注銷、操作系統(tǒng)重啟或關(guān)機等特定功能。9.2Linux安全模塊安全模塊通過模塊注冊函數(shù)加載進入Linux安全模塊(LSM)，對內(nèi)核關(guān)鍵資源設(shè)置安全信息，并將自己的安全策略函數(shù)與LSM的hook函數(shù)進行關(guān)聯(lián)。用戶進程提出系統(tǒng)資源訪問請求，轉(zhuǎn)入內(nèi)核空間，并做傳統(tǒng)的Linux系統(tǒng)DAC判斷。之后，LSM調(diào)用hook函數(shù)，該hook函數(shù)以指針的形式與特定安全模塊的安全策略函數(shù)關(guān)聯(lián)，用以判斷對該對象的訪問是否符合安全策略，從而進行訪問控制。a)可在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域；b)可在內(nèi)核源代碼中不同的關(guān)鍵點插入對安全鉤子函數(shù)的調(diào)用；c)可加入一個通用的安全系統(tǒng)調(diào)用；d)提供允許內(nèi)核模塊注冊為安全模塊或注銷的函數(shù)。510可信執(zhí)行環(huán)境技術(shù)要求可信執(zhí)行環(huán)境應(yīng)支持的通用功能如下：a)支持可信執(zhí)行環(huán)境資源的調(diào)整，比如，內(nèi)存容量、外設(shè)等；b)支持內(nèi)存數(shù)據(jù)的密文讀、寫、存儲；c)支持資源的安全屬性修改，比如，根據(jù)用戶需求，配置某個外設(shè)的安全屬性；d)支持與通用執(zhí)行環(huán)境之間的通信機制，比如SMC服務(wù)、中斷、共享內(nèi)存等。10.1可信應(yīng)用可信應(yīng)用(TA)一般包含二進制程序、shell腳本、動態(tài)鏈接庫、內(nèi)核模塊等，每個TA應(yīng)用都有自己的虛擬地址空間，并運行在用戶態(tài)。TA應(yīng)用應(yīng)滿足如下要求：a)宜通過TEE中的MMU將虛擬地址轉(zhuǎn)化為安全態(tài)的物理地址，實現(xiàn)TA應(yīng)用的隔離；b)應(yīng)支持用戶自定義聯(lián)網(wǎng)控制列表；c)應(yīng)具備可信通信驅(qū)動，支持與通用操作系統(tǒng)、TPCM的通信；d)支持用戶私有數(shù)據(jù)隔離保護，禁止其他用戶包括管理員非法訪問；e)支持用戶為自己的私有數(shù)據(jù)進行自定義加密密碼加密。10.2密碼服務(wù)加密密鑰包括用于系統(tǒng)安全引導(dǎo)的非對稱密鑰，用于驗證固件的安全更新、系統(tǒng)和軟件包可信更新的非對稱密鑰，用于保護用戶數(shù)據(jù)的平臺可信非對稱加密密鑰，以及特權(quán)用戶口令、普通用戶安全存儲對稱密鑰、特權(quán)用戶安全存儲對稱密鑰等。密碼服務(wù)應(yīng)支持以下安全功能：a)應(yīng)支持SM2、SM3、SM4等國產(chǎn)商用密碼算法，應(yīng)提供基于國產(chǎn)硬件國產(chǎn)商用密碼算法庫或軟算法庫；b)應(yīng)通過系統(tǒng)安全接口支持可獨立提供數(shù)據(jù)訪問控制、密鑰管理、數(shù)據(jù)安全加解密、數(shù)據(jù)安全審計等方面安全能力的組件，可通過監(jiān)控中央處理器的指令執(zhí)行序列，防止終端未知漏洞威脅。10.3存儲安全加密存儲，僅僅管理員能使用接口操作數(shù)據(jù)對系統(tǒng)指定的安全存儲空間數(shù)據(jù)進行操作。存儲安全數(shù)據(jù)，將采用TCM_Key和特權(quán)用戶密鑰共同保護數(shù)據(jù)加密密鑰，并存儲到安全存儲空間主要用于管理員所擁有的平臺管理相關(guān)數(shù)據(jù)的存儲。片上安全加密存儲，對指定的片上存儲空間區(qū)域的數(shù)據(jù)(主要是密鑰)進行訪問修改等操作。僅管理員能使用此接口操作數(shù)據(jù)。CPU將直接應(yīng)用片上存儲的密鑰在片內(nèi)進行密碼操作。由于Flash存儲空間有限，所以只設(shè)計用來存儲一些關(guān)鍵數(shù)據(jù)，如TOS配置、證書等數(shù)據(jù)。故可按照兩類數(shù)據(jù)類型存儲，一類是配置、度量值這類小數(shù)據(jù)的存儲，一類是證書密鑰等其他關(guān)鍵數(shù)據(jù)的存儲。10.4管理模式管理模式(MM)是用于提供與平臺管理固件及操作系統(tǒng)無關(guān)的一種管理接口。MM的啟動采用UEFI主動請求加載的方式，MM軟件架構(gòu)應(yīng)包括基本功能層和事件處理層，其中事件處理層可分為VariableFunction、BiosUpdate、RasFunction等功能模塊，可以實現(xiàn)不同功能的軟件隔離，具體要求如下：a)支持安全態(tài)Variable操作；b)支持安全態(tài)固件升級功能；c)支持RAS。11安全API技術(shù)要求安全API應(yīng)提供內(nèi)核級安全接口、系統(tǒng)級安全接口和安全可信組件狀態(tài)接口，應(yīng)支持：a)內(nèi)核級安全接口1)提供核外模塊對LSM鉤子的注冊和注銷；62)支持核外模塊對LSM鉤子函數(shù)的實現(xiàn)。b)系統(tǒng)級安全接口1)安全狀態(tài)獲取、設(shè)置接口；2)應(yīng)用程序執(zhí)行權(quán)限查詢、設(shè)置接口；3)應(yīng)用程序聯(lián)網(wǎng)狀態(tài)查詢、設(shè)置接口；4)軟件包及應(yīng)用程序簽名驗簽接口；5)支持TSB插件，實現(xiàn)TSB與可信管理中心、TPCM聯(lián)動，實現(xiàn)對可執(zhí)行程序的完整性度量校驗。c)安全組件接口1)安全組件狀態(tài)展示接口，應(yīng)包含中央處理器、內(nèi)存、固件、操作系統(tǒng)等安全組件；2)支持第三方軟件聯(lián)動展示配置接口，可支持殺毒軟件、防火墻等安全軟件的狀態(tài)和聯(lián)動配置接口。7（資料性）UEFI固件度量內(nèi)容項及其要求UEFI無差別將應(yīng)度量項發(fā)送給TOS，由TOS判斷其是否可信，并將結(jié)果反饋給UEFI。UEFI依據(jù)TOS度量接口確定是否需要執(zhí)行。考慮到安全性和用戶體驗，每一項是否要跳過或者是否要度量，由TOS決策（管理中心下發(fā)配置到TOSUEFI不