T-ZTCIA 003-2022 嵌入式可信計算技術(shù)要求及測評方法（征求意見稿）

ICS35.040

L80T

中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟團體標準

T/ZTCIA003—2022

嵌入式可信計算技術(shù)要求及測評方法

（征求意見稿）

Generaltechnicalrequirementsandtestingapproachesforembeddedtrusted

computing

2022-XX-XX發(fā)布2022-XX-XX實施

中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟發(fā)布

前??言

本文件按照GB/T1.1-2020給出的規(guī)則起草。

本文件由中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟提出并歸口。

本文件起草單位：寧波和利時信息安全研究院有限公司、中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟、

北京工業(yè)大學、國網(wǎng)智能電網(wǎng)研究院有限公司、中國電子技術(shù)標準化研究院、龍芯中科技術(shù)

股份有限公司、江蘇云涌電子科技股份有限公司、螞蟻科技集團股份有限公司、北京旋極安

辰計算科技有限公司、中誠華隆計算機技術(shù)有限公司。

本文件主要起草人：

樂翔、楚兵、黃曉波、沈汀、劉盈、張建標、王昱波、趙勇、王振宇、趙保華、王樹才、李

鈺嘉、何中旭、杜安利、高淵、胡磊、姚堯、李文華、王嘉誠。

1范圍

本文件規(guī)定了嵌入式系統(tǒng)可信計算技術(shù)的技術(shù)架構(gòu)要求、功能要求、性能要求和安全保

障要求以及測試要求。

本文件適用于規(guī)范可信計算技術(shù)在嵌入式領(lǐng)域的設(shè)計、開發(fā)和測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期

的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改單）適用于本文件。

GB/T29827信息安全技術(shù)可信計算規(guī)范可信平臺主板功能接口

GB/T29828信息安全技術(shù)可信計算規(guī)范可信連接架構(gòu)

GB/T29829信息安全技術(shù)可信計算密碼支撐平臺功能與接口規(guī)范

GB/T37935信息安全技術(shù)可信計算規(guī)范可信軟件基

GB/T38638信息安全技術(shù)可信計算可信計算體系結(jié)構(gòu)

GB/T40650信息安全技術(shù)可信計算規(guī)范可信平臺控制模塊

3術(shù)語和定義

《GB/T25069—2010信息安全技術(shù)術(shù)語》和《GB/T18336.1-2015信息技術(shù)安全技

術(shù)信息技術(shù)安全評估準則第1部分：簡介和一般模型》界定的以及下列術(shù)語和定義適用于

本文件。

3.1

1

輕量化環(huán)境度量LightweightEnvironmentalMeasuring

依據(jù)防護策略和基準值，周期性的對操作系統(tǒng)、業(yè)務運行環(huán)境進行主動度量的方法。

3.2

系統(tǒng)行為度量SystemBehaviorMeasuring

依據(jù)防護策略和基準值，對操作系統(tǒng)行為進行主動度量的方法。

3.3

業(yè)務行為度量BusinessBehaviorMeasuring

依據(jù)防護策略和基準值，在特定的業(yè)務場景下，對關(guān)鍵業(yè)務行為軌跡進行主動度量的方

法。

3.4

可信存儲TrustedStorage

可信存儲是利用可信計算技術(shù)對數(shù)據(jù)、文件等存儲進行保護的行為。

3.5

可信通信TrustedCommunication

可信通信是網(wǎng)絡(luò)節(jié)點加入到可信網(wǎng)絡(luò)環(huán)境中，需進行身份鑒別、完整性評估及加密通信

的過程。

4縮略語

下列縮略語適用于本文件。

CPU：中央處理器（CentralProcessingUnit）

I/O：輸入/輸出（Input/Output）

TCM：可信密碼模塊（TrustedCryptographyModule）

TPCM：可信平臺控制模塊（TrustedPlatformControlModule）

TSB：可信軟件基（TrustedSoftwareBase）

5嵌入式系統(tǒng)可信計算架構(gòu)要求

5.1總體架構(gòu)

2

圖1嵌入式系統(tǒng)可信計算架構(gòu)圖

5.2架構(gòu)設(shè)計要求

5.2.1架構(gòu)設(shè)計要求

嵌入式系統(tǒng)可信計算技術(shù)架構(gòu)應具備雙體系設(shè)計，具體技術(shù)要求如下：

a）應支持計算部件和防護部件的雙體系并行機制；

b）應具備統(tǒng)一管控的策略配置功能。

5.2.2架構(gòu)組件要求

嵌入式系統(tǒng)可信計算技術(shù)可基于應用場景對功能組件進行裁剪，具體要求如下：

a）應保留對防護部件進行可信驗證的相關(guān)功能組件；

b）可對標準架構(gòu)中的功能組件進行裁剪，必要時可對操作系統(tǒng)進行整體裁剪；

c）在保證TPCM功能的基礎(chǔ)上，可對TPCM的操作系統(tǒng)、管理功能模塊等進行裁剪。

6嵌入式系統(tǒng)可信計算功能要求

6.1可信根功能要求

a）應具備密碼服務的功能；

b）應具備對被保護系統(tǒng)啟動過程的度量能力，包括系統(tǒng)基本硬件配置的度量、系統(tǒng)固

件的度量以及系統(tǒng)引導程序的度量等；

3

c）應具備對系統(tǒng)啟動過程的控制能力，當系統(tǒng)處于不可信狀態(tài)時，可通過攔截和報警

等方式實現(xiàn)控制動作；

d）可優(yōu)先于其他計算機關(guān)鍵部件啟動；

e）應由自身物理特性提供可信保障。

6.2主動度量要求

a）可信鏈傳遞應在系統(tǒng)啟動階段進行，同時應滿足隨可信鏈傳遞對系統(tǒng)控制權(quán)進行同

步傳遞；

b）應具備輕量化環(huán)境度量功能；

c）應具備系統(tǒng)行為度量功能；

d）可具備業(yè)務行為度量功能；

e）應具備度量策略的可配置性，支持集中配置管控或預置于系統(tǒng)中。

6.3安全審計要求

a）應提供對啟動階段、運行階段可信驗證的結(jié)果生成審計日志的功能；

b）應能夠根據(jù)安全可信策略，對違反規(guī)則的事件進行記錄，形成審計日志，通過加密

數(shù)據(jù)通道傳送到管理中心；

c）應能夠?qū)χ匾挠脩粜袨楹桶踩录M行審計；

d）應對審計日志進行保護；

e）可對審計日志進行定期備份。

6.4可信存儲要求

a）應保證存儲根密鑰存放在可信根內(nèi)部，外部無法獲??；

b）應保證對關(guān)鍵業(yè)務數(shù)據(jù)、密鑰等信息采用TPCM組件提供的密碼服務進行加密處理。

6.5可信恢復要求

a）可提供對被保護系統(tǒng)可信恢復的功能；

b）可提供在主動度量發(fā)現(xiàn)固件被篡改時，對固件進行恢復的功能；

c）可提供在固件對操作系統(tǒng)進行度量時，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時，對操作系統(tǒng)核

心進行恢復的功能。

6.6可信通信要求

a）應實現(xiàn)通信雙方的雙向身份鑒別功能；

b）應實現(xiàn)基于身份鑒別基礎(chǔ)上的會話密鑰協(xié)商功能。

6.7可信更新要求

a）應提供對固件更新環(huán)境的可信驗證功能；

b）應提供對更新固件本身的可信驗證功能。

6.8集中管控要求

a）應在可信連接的基礎(chǔ)上，建立一個加密的數(shù)據(jù)通道，用于設(shè)備與安全組件的遠程管

理；

4

b）應能夠通過加密通道，進行安全可信策略的下發(fā)、更新等操作；

c）應能夠根據(jù)安全可信策略，將審計數(shù)據(jù)、報警信息、日志數(shù)據(jù)通過加密通道傳輸?shù)?/p>

遠程控制端；

d）集中管控平臺涉及到跨系統(tǒng)之間通信時，應部署訪問控制設(shè)備、設(shè)置訪問控制策略，

并提供對非法訪問的實時報警功能。

7嵌入式系統(tǒng)可信計算性能要求

7.1主動度量性能要求

a）應滿足業(yè)務場景使用需求，增加的系統(tǒng)啟動時間，對系統(tǒng)正常工作不造成影響；

b）針對實時性要求高的場景，應在啟動階段完成主動度量，可在運行過程中不觸發(fā)主

動度量功能或加大主動度量周期以減少對系統(tǒng)資源的占用（例如：主動度量周期可

設(shè)置為最小周期任務的5~10倍）。

7.2可信通信性能要求

a）可信通信會話建立時間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時等關(guān)鍵參數(shù)，應滿足業(yè)務通信實時性要

求。

7.3安全審計性能要求

a）本地存儲審計日志的能力應大于6個月；

b）遠程服務器存儲審計日志的能力應大于6個月。

7.4可信存儲性能要求

a）可信存儲過程中加解密對系統(tǒng)性能影響，應滿足業(yè)務場景使用需求；

b）可信存儲的數(shù)據(jù)加解密速率應大于500KB/s。

8嵌入式系統(tǒng)可信計算安全保障要求

8.1配置管理

在配置管理部分應滿足以下要求：

a)開發(fā)者應為產(chǎn)品的不同版本提供唯一的標識；

b)開發(fā)者應使用配置管理系統(tǒng)并提供配置管理文檔；

c)配置管理文檔應包括一個配置清單；

d)配置清單應唯一標識組成產(chǎn)品的所有配置項；

e)應對配置項進行描述，且描述對配置項給出唯一標識的方法；

f)應提供所有的配置項得到有效維護的證據(jù)。

8.2交付與運行

5

在交付與運行方面應滿足以下要求：

a)開發(fā)者應使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化；

b)交付文檔應描述在給用戶方交付產(chǎn)品的各版本時，為維護安全所必需的所有程序；

c)開發(fā)者應提供文檔說明產(chǎn)品的安裝、生成和啟動的過程；

d)開發(fā)者應對固件升級的安全要求提供說明文檔。

8.3開發(fā)功能規(guī)范

開發(fā)者應提供一個功能規(guī)范，功能規(guī)范應滿足以下要求：

a)功能設(shè)計使用非形式化風格來描述產(chǎn)品安全功能及其外部接口；

b)功能設(shè)計是內(nèi)在一致的；

c)描述所有外部接口的用途與使用方法，適當時應提供效果、例外情況和錯誤消息的

細節(jié)；

d)功能設(shè)計應完備地表示產(chǎn)品功能。

e)功能設(shè)計應按子系統(tǒng)描述安全功能的結(jié)構(gòu)。

f)描述每個安全功能子系統(tǒng)所提供的安全功能性。

g)標識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或

軟件中實現(xiàn)的支持性保護機制所提供功能的一個表示。

h)標識安全功能子系統(tǒng)的所有接口。

i)標識安全功能子系統(tǒng)的哪些接口是外部可見的。

8.4指導性文檔

開發(fā)者應提供管理員指南和用戶指南，應說明以下內(nèi)容：

a)管理員指南中管理員可使用的管理功能和接口；

b)管理員指南中怎樣安全地管理產(chǎn)品；

c)管理員指南中在安全處理環(huán)境中應被控制的功能和權(quán)限；

d)管理員指南中所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；

e)管理員指南中所有受管理員控制的安全參數(shù)，如果可能，應指明安全值；

f)管理員指南中每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實體

的安全特性進行的改變；

g)管理員指南中所有與管理員有關(guān)的IT環(huán)境安全要求。

h)用戶指南中產(chǎn)品的非管理員用戶可使用的安全功能和接口；

i)用戶指南中產(chǎn)品提供給用戶的安全功能和接口的使用方法；

j)用戶指南中用戶可獲取到安全處理環(huán)境所控制的所有功能和權(quán)限；

k)用戶指南中產(chǎn)品安全操作中用戶所應承擔的職責；

l)用戶指南中與用戶有關(guān)的IT環(huán)境的所有安全要求。

8.5測試

開發(fā)者應測試安全功能，測試應滿足以下要求：

a)應提供測試覆蓋的證據(jù)。

b)在測試覆蓋證據(jù)中，應表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的

安全功能是對應的。

c)功能測試中，測試計劃應標識要測試的安全功能，并描述測試的目標。

6

d)功能測試中，測試過程應標識要執(zhí)行的測試，并描述每個安全功能的測試概況，這

些概況應包括對于其他測試結(jié)果的順序依賴性。

e)功能測試中，預期的測試結(jié)果應表明測試成功后的預期輸出。

f)功能測試中，實際測試結(jié)果應表明每個被測試的安全功能能按照規(guī)定進行運作。

g)應提供適合測試的產(chǎn)品，提供的測試集合應與其自測產(chǎn)品功能時使用的測試集合相

一致。

h)應提供一組相當?shù)馁Y源，用于安全功能的抽樣測試。

8.6脆弱性評定

開發(fā)者應對脆弱性進行評定，應滿足以下要求：

a)應對指導性文檔中所標識的每個具有安全功能強度聲明的安全機制進行安全功能

強度分析，并說明安全機制達到或超過定義的最低強度級別或特定功能強度度量。

b)應執(zhí)行脆弱性分析，并提供脆弱性分析文檔。

c)應從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進行分析并提供文

檔。對被確定的脆弱性，開發(fā)者應明確記錄采取的措施。

d)對每一條脆弱性，應有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利用。

9嵌入式系統(tǒng)可信計算測試要求

9.1嵌入式系統(tǒng)可信計算功能測試要求

9.1.1可信根功能測試要求

依據(jù)可信根功能要求對其進行功能測試：

a)現(xiàn)場核查可信根是否具備密碼服務功能；

b)現(xiàn)場核查可信根是否具備對被保護系統(tǒng)啟動過程的度量能力，包括系統(tǒng)基本硬件配

置的度量、系統(tǒng)固件的度量以及系統(tǒng)引導程序的度量等；

c)現(xiàn)場核查可信根是否具備對系統(tǒng)啟動過程的控制能力，當系統(tǒng)處于不可信狀態(tài)時，

是否可通過攔截和和報警等方式實現(xiàn)控制動作；

d)現(xiàn)場核查可信根是否能夠優(yōu)先于其他計算機關(guān)鍵部件啟動；

e)現(xiàn)場核查可信根是否能夠由自身物理特性提供可信保障。

9.1.2主動度量功能測試要求

依據(jù)主動度量功能要求對其進行功能測試：

a)現(xiàn)場核查可信鏈傳遞是否能夠在系統(tǒng)啟動階段進行，同時應滿足隨可信鏈傳遞對系

統(tǒng)控制權(quán)進行同步傳遞；

b)現(xiàn)場核查是否具備輕量化環(huán)境度量功能；

c)現(xiàn)場核查是否具備系統(tǒng)行為度量功能；

d)現(xiàn)場核查是否具備業(yè)務行為度量功能；

e)現(xiàn)場核查是否具備度量策略的可配置性，支持集中配置管控或預置于系統(tǒng)中。

9.1.3安全審計功能測試要求

7

依據(jù)安全審計功能要求對其進行功能測試：

a)現(xiàn)場核查是否能夠提供對啟動、運行階段可信驗證的結(jié)果生成審計日志的功能；

b)現(xiàn)場核查是否能夠根據(jù)安全可信策略，對違反規(guī)則的事件進行記錄，形成審計日志，

通過加密數(shù)據(jù)通道傳送到管理中心；

c)現(xiàn)場核查是否能夠?qū)χ匾挠脩粜袨楹桶踩录M行審計；

d)現(xiàn)場核查是否對審計日志進行保護；

e)現(xiàn)場核查是否能夠進行定期備份。

9.1.4可信存儲功能測試要求

依據(jù)可信儲存功能要求對其進行功能測試：

a)現(xiàn)場核查可信儲存是否能夠保證存儲根密鑰存放在可信根內(nèi)部，外部無法獲??；

b)現(xiàn)場核查可信儲存是否能夠保證對關(guān)鍵業(yè)務數(shù)據(jù)、密鑰等信息采用TPCM組件提供

的密碼服務進行加密處理。

9.1.5可信恢復功能測試要求

依據(jù)可信恢復功能要求對其進行功能測試：

a)現(xiàn)場核查是否能夠提供對被保護系統(tǒng)可信恢復的功能；

b)現(xiàn)場核查在主動度量發(fā)現(xiàn)固件被篡改時，是否能夠提供對固件進行恢復的功能；

c)現(xiàn)場核查在固件對操作系統(tǒng)進行度量時，發(fā)現(xiàn)操作系統(tǒng)核心被篡改時，是否能夠提

供對操作系統(tǒng)核心進行恢復的功能。

9.1.6可信通信功能測試要求

依據(jù)可信通信功能要求對其進行功能測試：

a)現(xiàn)場核查可信通信是否能夠?qū)崿F(xiàn)通信雙方的雙向身份鑒別功能；

b)現(xiàn)場核查可信通信是否能夠?qū)崿F(xiàn)基于身份鑒別基礎(chǔ)上的會話密鑰協(xié)商功能。

9.1.7可信更新功能測試要求

依據(jù)可信更新功能要求對其進行功能測試：

a)現(xiàn)場核查可信更新是否能夠提供對固件更新環(huán)境的可信驗證功能；

b)現(xiàn)場核查可信更新是否能夠提供對更新固件本身的可信驗證功能。

9.1.8集中管控功能測試要求

依據(jù)集中管控功能要求對其進行功能測試：

a)現(xiàn)場核查在可信連接的基礎(chǔ)上，是否能夠建立一個加密的數(shù)據(jù)通道，用于設(shè)備與安

全組件的遠程管理；

b)現(xiàn)場核查是否能夠通過加密通道，進行遠程的安全可信策略的下發(fā)、更新等操作；

c)現(xiàn)場核查是否能夠根據(jù)安全可信策略，將審計數(shù)據(jù)、報警信息、日志數(shù)據(jù)通過加密

通道，傳輸?shù)竭h程控制端；

d)現(xiàn)場核查是否能夠在集中管控平臺涉及到跨系統(tǒng)之間通信時，部署訪問控制設(shè)備、

設(shè)置訪問控制策略，并提供對非法訪問的實時報警功能。

9.2嵌入式系統(tǒng)可信計算性能測試要求

8

9.2.1主動度量性能測試要求

依據(jù)主動度量性能要求對其進行性能測試，嵌入式系統(tǒng)加入了主動度量功能后：

a)應核查增加的系統(tǒng)啟動時間是否滿足業(yè)務場景使用需求，是否對系統(tǒng)正常工作不造

成影響；

b)在針對實時性要求高的場景下，應核查主動度量是否在啟動階段完成，是否在運行過程

中不觸發(fā)主動度量功能；

c)在針對實時性要求高的場景下，應核查其是否能夠通過加大主動度量周期以減少對系統(tǒng)

資源的占用。

9.2.2可信通信性能測試要求

依據(jù)可信通信性能要求對其進行性能測試，嵌入式系統(tǒng)加入了可信通信功能后：

a)應核查可信通信會話建立時間、網(wǎng)絡(luò)數(shù)據(jù)傳輸延時等關(guān)鍵參數(shù)是否滿足業(yè)務通信實

時性要求。

9.2.3安全審計性能測試要求

依據(jù)安全審計性能要求對其進行性能測試：

a)應核查本地存儲審計日志的能力是否大于6個月；

b)應核查遠程服務器存儲審計日志的能力是否大于6個月。

9.2.4可信存儲性能測試要求

依據(jù)可信存儲性能要求對其進行性能測試：

a)應核查可信存儲過程中加解密對系統(tǒng)性能影響，是否滿足業(yè)務場景的使用需求；

b)應核查可信存儲的數(shù)據(jù)加解密速率是否大于500KB/s。

9.3嵌入式系統(tǒng)可信計算安全管理測試要求

9.3.1配置管理

a)應核查產(chǎn)品的不同版本是否存在唯一的標識；

b)通過人員訪談和文檔查閱，核查開發(fā)者是否使用配置管理系統(tǒng)并提供配置管理文

檔；

c)應檢查該配置管理文檔是否包括配置清單；

d)應核查配置清單是否唯一標識組成產(chǎn)品的所有配置項并對配置項進行描述、是否對

配置項給出唯一標識的方法；

e)應核查配置管理文檔是否提供所有配置項得到有效維護的證據(jù)。

9.3.2交付與運行

a)通過人員訪談和文檔查閱，核查開發(fā)者是否使用一定的交付程序交付產(chǎn)品，并將交

付過程文檔化；

b)應檢查該交付文檔是否描述在給用戶方交付產(chǎn)品的各版本時，為維護安全所必需的

所有程序；

c)通過人員訪談和文檔查閱，核查開發(fā)者是否提供文檔說明產(chǎn)品的安裝、生成和啟動

的過程；

9

d)通過人員訪談和文檔查閱，核查開發(fā)者是否對固件升級的安全要求提供說明文檔。

9.3.3開發(fā)

a)應核查功能設(shè)計是否使用非形式化風格來描述產(chǎn)品安全功能及其外部接口；

b)應核查功能設(shè)計是否是內(nèi)在一致的；

c)應核查是否描述所有外部接口的用途與使用方法，并在適當時提供效果、例外情況

和錯誤消息的細節(jié)；

d)應核查功能設(shè)計是否完備地表示產(chǎn)品安全功能；

e)應核查是否按子系統(tǒng)描述安全功能的結(jié)構(gòu)；

f)應核查是否描述了每個安全功能子系統(tǒng)所提供的安全功能性；

g)應核查是否標識安全功能所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬

件、固件或軟件中實現(xiàn)的支持性保護機制所提供功能的一個表示；

h)應核查是否標識安全功能子系統(tǒng)的所有接口；

i)應核查是否標識了該系統(tǒng)的哪些接口是外部可見的。

9.3.4指導性文檔

應核查該管理員指南是否說明以下內(nèi)容：

a)管理員可使用的管理功能和接口；

b)怎樣安全地管理產(chǎn)品；

c）在安全處理環(huán)境中應被控制的功能和權(quán)限；

d）所有對與產(chǎn)品的安全操作有關(guān)的用戶行為的假設(shè)；

e）所有受管理員控制的安全參數(shù)，如果可能，應指明安全值；

f）每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實體的安全特性進

行的改變；

g）所有與管理員有關(guān)的IT環(huán)境安全要求；

h）非管理員用戶可使用的安全功能和接口；

i）提供給用戶的安全功能和接口的使用方法；

j）用戶可獲取但應受安全處理環(huán)境所控制的所有功能和權(quán)限；

k）產(chǎn)品安全操作中用戶所應承擔的責任；

l）與用戶有關(guān)的IT環(huán)境的所有安全需求。

9.3.5測試

應檢查測試文檔是否包括以下內(nèi)容：

a）通過人員訪談和文檔查閱，核查開發(fā)者是否提供測試覆蓋的證據(jù)；

b）應核查在測試覆蓋證據(jù)中，是否表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)

品的安全功能是對應的；

c）應核查在功能測試中，測試計劃是否標識要測試的安全功能，并描述測試的目標；

d）測試過程應標識要執(zhí)行的測試，并描述每個安全功能的測試概況，這些概況應包括對于

其他測試結(jié)果的順序依賴性；

e）預期的測試結(jié)果應表明測試成功后的預期輸出；

f）實際測試結(jié)果應表明每個被測試的安全功能能按照規(guī)定進行運作；

10

g）開發(fā)者是否提供合適測試的產(chǎn)品，提供的測試集合是否與其自測產(chǎn)品功能是使用的測試

集合相一致；

h）開發(fā)者是否提供一組用于安全功能抽樣測試的資源。

9.3.6脆弱性評定

a)通過人員訪談和文檔查閱，核實開發(fā)者是否對指導性文檔中所標識的每個具有安全

功能強度聲明的安全機制進行安全功能強度分析，并核查開發(fā)者是否對安全機制達

到或超過定義的最低強度級別或特定功能強度度量進行說明；

b)應核查開發(fā)者是否執(zhí)行脆弱性分析，并提供脆弱性分析文檔；

c)應核查開發(fā)者是否從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進

行分析并提供文檔；

d)對每一條脆弱性，應核查是否有證據(jù)顯示在使用產(chǎn)品的環(huán)境中，該脆弱性不能被利

用。

11

附錄A應用框架場景參考案例

(資料性附錄)

A.1物聯(lián)網(wǎng)設(shè)備應用場景

圖A.1三態(tài)門控制電路

TPCMSPIMaster和CPU都連接到BIOS，在使用的時候要進行處理：

1.在整個主板上電開始，CPU的Reset被拉住使CPU有電但未開始工作

2.在上電開始時刻，需TPCMSPIMaster與BIOS相連接，CPU和BIOS的連接是斷開

的

3.TPCM主動度量完成并與預期值一致后，需斷開TPCMSPIMaster與BIOS的連接，

此時CPU與BIOS進行連接。

4.TPCM的GPIO5釋放，與系統(tǒng)的Reset進行邏輯與運算后使CPU復位

5.TPCM的reset需要>500us

12

A.2充電設(shè)備應用場景

充電設(shè)備可信計算總體架構(gòu)示意如圖A.2所示。主要由硬件層結(jié)構(gòu)可信、系統(tǒng)層引導可

信、應用層軟件可信以及充電設(shè)備可信接入車聯(lián)網(wǎng)運營服務平臺四部分組成。硬件層結(jié)構(gòu)可

信包括可信平臺控制模塊對充電設(shè)備的處理器的通信及復位控制和主動完整性度量，作為信

任起點和基礎(chǔ)硬件支撐平臺，支持可信平臺控制模塊完成系統(tǒng)層引導程序的主動度量，支撐

可信軟件基完成應用層軟件可信度量和驗證。硬件層結(jié)構(gòu)可信、系統(tǒng)層引導可信、應用層軟

件可信確保充電設(shè)備狀態(tài)安全可信的基礎(chǔ)上實現(xiàn)充電設(shè)備向車聯(lián)網(wǎng)運營服務平臺的可信接

入。

圖A.2充電設(shè)備可信計算系統(tǒng)架構(gòu)

以帶有計費控制單元（TCU）的電動汽車充電樁為例，可信平臺控制模塊（TPCM）以

模塊嵌入的方式融入TCU主板，TCU主板通過通信、電路等硬件設(shè)計或改造，支撐可信平

臺控制模塊（TPCM）首先加電并實現(xiàn)對TCU的主控MCU進行主動控制，形成可信TCU

的基礎(chǔ)硬件，嵌入式可信軟件基直接部署于可信TCU上，基于TPCM的支撐實現(xiàn)對計費控

制單元計算環(huán)境的安全可信保護。

13

A.3可信工控防火墻應用場景

圖A.3可信防火墻雙體系架構(gòu)

可信工控防火墻在嵌入式可信框架的基礎(chǔ)上，添加防火墻的驅(qū)動和應用層設(shè)計，從而實

現(xiàn)了可信防火墻。其防護組件以及操作系統(tǒng)、硬件與可信組件的關(guān)系與嵌入式可信框架一致。

防火墻應用實現(xiàn)分為幾個組成部分：

1）DPDK：驅(qū)動層實現(xiàn)，繞開操作系統(tǒng)內(nèi)核直接從網(wǎng)卡中獲取流量數(shù)據(jù)，以提高流量的

抓取和處理速度。DPDK同時實現(xiàn)了多進程的數(shù)據(jù)分發(fā)；

2）DP子系統(tǒng)：數(shù)據(jù)面子系統(tǒng)，從控制面子系統(tǒng)接收配置，響應控制面子系統(tǒng)的查詢。

提供防火墻的各項安全功能：連接維護、路由轉(zhuǎn)發(fā)、策略設(shè)置、動態(tài)包過濾、應用防護等；

3）CP子系統(tǒng)：控制面子系統(tǒng)，提供系統(tǒng)的基本運行環(huán)境，從上層配置管理子系統(tǒng)接收

配置，響應配置管理子系統(tǒng)的配置查詢；同時，向數(shù)據(jù)面子系統(tǒng)下發(fā)配置，并接收數(shù)據(jù)面子

系統(tǒng)上傳的運行狀態(tài)和告警信息。

4）配置管理子系統(tǒng)：包括WEB服務和GUI頁面。GUI為用戶提供基于WEB的界面，

供用戶對設(shè)備進行管理?？蓪崿F(xiàn)配置、修改設(shè)備的工作模式、接口的IP地址，增加、刪除、

修改安全策略、地址轉(zhuǎn)換規(guī)則、靜態(tài)路由信息，顯示設(shè)備的連接狀態(tài)，CPU信息，版本號等。

WEB服務為頁面提供API接口，實現(xiàn)路由管理、配置管理、策略管理、日志管理等功能。

可信工控防火墻在實際場景中的應用部署圖：

14

圖A.4可信工控防火墻應用部署圖

從圖可知，工控防火墻放在工控層與管理層的網(wǎng)絡(luò)邊界處，起到對工控網(wǎng)絡(luò)的保護作用。

加上可信計算技術(shù)后，可以從根本上解決工控防火墻自身的安全問題，使得對工控網(wǎng)絡(luò)的保

護更有效。

15

A.4可信BMC應用場景

可信BMC是指在BMC的基礎(chǔ)