diff --git a/src/Summary.md b/src/Summary.md index 104bda71f7b4e78190e755334410abc0e2a82df3..3b71e923af0fb72afac22dfafc980cbf50aa6806 100644 --- a/src/Summary.md +++ b/src/Summary.md @@ -3,8 +3,8 @@ - [可信计算简介与现状](introduction.md) - [可信计算SIG简介](trustedcomputingSig.md) - [可信计算标准化现状](standard.md) - - [中国可信标准化体系](standard-china.md) - - [国际可信标准化体系](standard-international.md) + - [国内可信计算标准](standard-china.md) + - [国际可信计算标准](standard-international.md) - [龙蜥操作系统可信计算实践指南](anolisos.md) - [模拟可信根](anolisos-swtpm.md) - [可信软件栈](anolisos-tss.md) diff --git "a/src/images/TCG\345\267\245\344\275\234\347\273\204.png" "b/src/images/TCG\345\267\245\344\275\234\347\273\204.png" new file mode 100644 index 0000000000000000000000000000000000000000..0ece9e952b865f06d825849671c6feb83703e11b Binary files /dev/null and "b/src/images/TCG\345\267\245\344\275\234\347\273\204.png" differ diff --git a/src/images/iso_TPM_library_standard.png b/src/images/iso_TPM_library_standard.png new file mode 100644 index 0000000000000000000000000000000000000000..2bab42bc7b39583128f09b9723acf5a756e59074 Binary files /dev/null and b/src/images/iso_TPM_library_standard.png differ diff --git a/src/standard-china.md b/src/standard-china.md index a02f610c3bef9346b183e70cf3e29c48895179f3..a78eae26c21deac1b67eada611da7731480ed536 100644 --- a/src/standard-china.md +++ b/src/standard-china.md @@ -1,6 +1,5 @@ # 一、中国标准 -当前国内可信计算标准已构建了密码为基础、芯片为支柱、主板为平台,软件为核心,网络为纽带、应用成体系的可信计算标准化体系。这些标准为落实《网络安全法》、支持《网络安全等级保护条例》《关键信息基础设施条例》的实施提供了重要依据。 -国内可信计算技术体系如图所示范: +当前国内可信计算标准已构建了密码为基础、芯片为支柱、主板为平台,软件为核心,网络为纽带、应用成体系的可信计算标准化体系。为落实《网络安全法》,支持《网络安全等级保护条例》、《关键信息基础设施条例》执法,促进“网络安全等级保护”系列标准的实施提供了重要依据和支撑。 ![国内可信标准体系](images/standard-china-1.png) ## 1.1 国家标准化委员会发布 ### 1.1.1 全国信息安全标准化技术委员会 diff --git a/src/standard-ecosystem.md b/src/standard-ecosystem.md deleted file mode 100644 index 6a827df75d954a5fa73bba0bce4af2afbb1c74e3..0000000000000000000000000000000000000000 --- a/src/standard-ecosystem.md +++ /dev/null @@ -1,6 +0,0 @@ -# 一、网络安全协议引用 - -## 1.1 - -{{#template template/footer.md}} - diff --git a/src/standard-international.md b/src/standard-international.md index 47d7ecbdece01abc4c1f04e62eaddc23eb3d3cab..39242432df1f47569da671097b561cf37716b6fe 100644 --- a/src/standard-international.md +++ b/src/standard-international.md @@ -1,33 +1,33 @@ # 一、国际标准 ## 1.1 ISO发布 ### 1.1.1 ISO简介 -&embsp;&embps;ISO(国际标准化组织)和IEC(国际电工委员会)组成了专门的全球标准化体系。作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域进行合作。与ISO和IEC保持联系的其他政府和非政府国际组织也参加了这项工作。在信息技术领域,ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。国际标准是根据ISO/IEC指令第2部分中给出的规则起草的。联合技术委员会的主要任务是制定国际标准。联合技术委员会通过的国际标准草案分发给国家机构表决。作为国际标准出版需要至少75%的国家机构投票通过。 -### 1.1.2 ISO/IEC 11889系列标准概述 -ISO/IEC 11889-1是由可信计算小组(TCG)编制的,并根据PAS程序由ISO/IEC信息技术联合技术委员会JTC 1通过,同时得到ISO和IEC国家机构的核准。 -ISO/IEC 11889由以下部分组成,总标题为“信息技术-可信平台模块”: -- 第一部分:概述 -- 第二部分:设计原则 -- 第三部分:结构 -- 第4部分:命令
-![TPM标准](images/iso_TPM_standard_roadmap.png) -__说明:附图源自ISO官网__ -### 1.1.2 ISO/IEC 11889系列标准下载入口 +ISO(国际标准化组织)和IEC(国际电工委员会)组成了专门的全球标准化体系。作为ISO或IEC成员的国家机构通过各自组织建立的技术委员会参与国际标准的制定,以处理特定领域的技术活动。ISO和IEC技术委员会在共同感兴趣的领域进行合作。与ISO和IEC保持联系的其他政府和非政府国际组织也参加了这项工作。在信息技术领域,ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。国际标准是根据ISO/IEC指令第2部分中给出的规则起草的。联合技术委员会的主要任务是制定国际标准。联合技术委员会通过的国际标准草案分发给国家机构表决。作为国际标准出版需要至少75%的国家机构投票通过。 +### 1.1.2 ISO/IEC 11889系列标准概述 +TPM2.0库规范系列标准以ISO/IEC 11889:2015发布。该规范由可信计算组(TCG)提交给ISO/IEC JTC 1*,遵循JTC 1公开可用规范(PAS)转换过程。 +在最终的TPM 2.0标准化投票中,来自发达经济体和新兴经济体的支持,赞成票来自澳大利亚、比利时、加拿大、中国、捷克、丹麦、芬兰、法国、加纳、爱尔兰、意大利、日本、韩国、黎巴嫩、马来西亚、荷兰、尼日利亚、挪威、俄罗斯联邦、南非、阿拉伯联合酋长国、英国和美国。 +TPM 2.0库规范支持现代安全和隐私保护,该规范整合了基于硬件和基于软件的安全技术的优势。它在计算设备中的实现保护了加密密钥;防止私钥被导出;屏蔽用于身份验证的PIN值;并记录和匿名报告在启动过程中加载的软件,以防止恶意软件和攻击。因此,它将成为任何综合安全战略的重要组成部分。
+![TPM标准](images/iso_TPM_library_standard.png) +__说明:附图源自ISO官网__ + +**ISO/IEC 11889系列标准** + [ISO/IEC 11889-1:2015 Information technology — TPM Library — Part 1: Architecture](https://www.iso.org/standard/66510.html) [ISO/IEC 11889-2:2015 Information technology — TPM Library — Part 2: Structures](https://www.iso.org/standard/66511.html) [ISO/IEC 11889-3:2015 Information technology — TPM Library — Part 3: Commands](https://www.iso.org/standard/66512.html) -[ISO/IEC 11889-4:2015 Information technology — TPM Library — Part 4: Supporting Routines](https://www.iso.org/standard/66513.html) +[ISO/IEC 11889-4:2015 Information technology — TPM Library — Part 4: Supporting Routines](https://www.iso.org/standard/66513.html) ## 1.2 TCG发布 ### 1.2.1关于TCG -&embsp;&embsp;可信计算组(Trusted Computing Group,TCG)是一个非营利组织,旨在为可互操作的可信计算平台开发、定义和推广基于硬件信任根的供应商无关的全球行业规范和标准。TCG的核心技术包括可信平台模块(Trusted Platform Module,TPM),可信网络通信(Trusted Network Communications,TNC)以及网络安全和自加密驱动器的规范和标准。TCG还设有工作组,将信任的核心概念从企业扩展到物联网的云安全、虚拟化和其他平台以及计算服务。 +可信计算组(Trusted Computing Group,TCG)是一个非营利组织,旨在为可互操作的可信计算平台开发、定义和推广基于硬件信任根的供应商无关的全球行业规范和标准。TCG的核心技术包括可信平台模块(Trusted Platform Module,TPM),可信网络通信(Trusted Network Communications,TNC)以及网络安全和自加密驱动器的规范和标准。TCG还设有工作组,将信任的核心概念从企业扩展到物联网的云安全、虚拟化和其他平台以及计算服务。 +![TCG Work Group](images/TCG工作组.png) + ### 1.1.2 TPM2.0库标准 TPM2.0库标准是TPM2.0中基础规范,该规范描述了TPM2.0实现的所有核心功能。库标准由四部分组成: - 第一部分:架构规范,该部分描述了TPM2.0的操作规范、设计原理及工作细节(例如如何创建用于授权、审计、加密命令的会话)。 - 第二部分:数据结构规范,该部分描述了TPM2.0所使用的数据类型、结构体、联合体,该部分也包含了TPM所使用的命令码、错误码等内容。 - 第三部分:命令规范,该部分描述了TPM2.0中所使用的命令及其功能使用方法,包括了命令的输入输出参数、参考的错误码含义,并提供了命令在TPM中实现的伪代码。 - 第四部分: 支持例程,该部分描述了TPM2.0的实现细节(可以作为tpm模拟器实现的设计参考)。 -[TCGTPM库标准最新版官网入口](https://trustedcomputinggroup.org/work-groups/trusted-platform-module/) -Trusted Platform Module Library Specification, Family “2.0”, Level 00, Revision 01.59 – November 2019 +[TCG TPM库标准下载官网入口](https://trustedcomputinggroup.org/work-groups/trusted-platform-module/) - [Part 1: Architecture](https://trustedcomputinggroup.org/wp-content/uploads/TCG_TPM2_r1p59_Part1_Architecture_pub.pdf) - [Part 2: Structures](https://trustedcomputinggroup.org/wp-content/uploads/TCG_TPM2_r1p59_Part2_Structures_pub.pdf) - [Part 3: Commands](https://trustedcomputinggroup.org/wp-content/uploads/TCG_TPM2_r1p59_Part3_Commands_pub.pdf) @@ -44,13 +44,32 @@ TSS2各组成部分所需资源如下图所示: 应用程序开发人员可以参考该规范开发可互操作的客户端应用程序,以实现对可信计算能力的调用。TSS的另一个作用是将程序程序员与与TPM接口的底层细节隔离开来、降低TPM应用开发的学习成本。 - [TSS规范官网入口](https://trustedcomputinggroup.org/resource/tcg-software-stack-tss-specification/) ### 1.1.4 PC Client +PC Client系列规范主要定义了TCG技术在计算机(例如笔记本电脑、台式机或平板电脑)中的上下文中所呈现的功能和行为,包括TPM以及与TPM交互或在其平台中集成TPM的平台OEM和固件供应商所需参考的规范、技术要求和指导。主要分为PC Client TPM Platform标准及配套参考文档和PC Client Firmware标准及配套参考文档。 + PC Client TPM Platform标准及配套文档体系: ![PC Client TPM Platform](images/pcclient_spec&resources.png) __说明:附图源自TCG官网__ +**缩略语** +- PTP – Platform TPM Profile +- CRB – Command Response Buffer interface +- DDWG – Device Driver’s Writers Guide +- Certification PP – Certification Protection Profile +- TIS – TPM Interface Specification + PC Client Firmware标准及配套文档体系: ![PC Client TPM Firmware](images/pcclient_firmware_spe&resources.png) __说明:附图源自TCG官网__ + +**缩略语** +- PFP – Platform Firmware Profile +- PPI – Physical Presence Interface +- FIM – Firmware Integrity Measurement +- MOR – Reset Attack Mitigation – Memory on reset attack mitigation +- RIM – Reference Integrity Manifest +- DRTM – Dynamic Root of Trust for Measurement + + | 类型 | 标准名称/案例 | 最新版本及发布时间 | 标准概述 | |---------|--------|---------|----------------------------| |PC Client TPM Platform|TCG PC Client Platform TPM Profile (PTP) Specification for TPM2.0|v1.05 Rrvision14 2020.9.4|A TPM claiming adherence to this specification SHALL be compliant with the TPM Library Specification| @@ -61,14 +80,14 @@ PC Client Firmware标准及配套文档体系: |PC Client Firmware|TCG PC Client Platform Firmware Integrity Measurement|Version 1.0 Revision 43 2021.5.7|This document describes the requirements for a PC Client Endpoint in an enterprise computing environment complying with SP 800-155 BIOS Integrity Measurements| |PC Client Firmware|TCG PC Client Physical Presence Interface Specification|Version 1.30 Revision 0.52 2015.7.28|This specification defines an interface between an operating system and the firmware to manage the configuration of a TPM and, if required, initiate TPM related operations. The specification gives suggestions on UI wording for interactions with users of a system, if UI interaction is required.| ### 1.1.5 Storage -TNC标准的采用也从供应商和最终用户扩展到其他标准组织。Internet工程任务组(IETF)网络端点评估(NEA)工作组发布了几个基于TNC客户机-服务器协议的rfc:存储工作组以现有的TCG技术和理念为基础,重点关注专用存储系统上的安全服务标准。其中一个目标是开发标准和实践,用于跨专用存储控制器接口定义相同的安全服务,包括但不限于ATA、串行ATA、SCSI、FibreChannel、USB存储、IEEE 1394、网络附加存储(TCP/IP)、NVM Express和iSCSI。存储系统包括磁盘驱动器、可移动媒体驱动器、闪存和多个存储设备系统。 +存储工作组以现有的TCG技术和理念为基础,重点关注专用存储系统上的安全服务标准。其中一个目标是开发标准和实践,用于跨专用存储控制器接口定义相同的安全服务,包括但不限于ATA、串行ATA、SCSI、FibreChannel、USB存储、IEEE 1394、网络附加存储(TCP/IP)、NVM Express和iSCSI。存储系统包括磁盘驱动器、可移动媒体驱动器、闪存和多个存储设备系统。 存储标准体系: -![Storage Spec Category](images/storage_wg_spec.png) +![Storage Spec Category](images/iso_TPM_library_standard.png) __说明:附图源自TCG官网__ -### 1.1.6 TNC +### 1.1.6 TNC(可信网络通信) TCG的可信网络通信(TNC-Trusted Network Communications)工作组定义并发布了一个开放架构和一套不断增长的网络安全标准,在跨各种端点、网络技术和策略的多供应商环境中提供可互操作的端到端信任。TNC支持在不同的网络和安全系统之间进行端点遵从性评估、智能策略决策、动态安全实施和安全自动化。 - 标准编制 -TNC工作组已经定义并发布了一个开放架构和一套不断增长的标准,用于端点遵从性评估、网络访问控制和安全自动化。TNC体系结构使网络运营商能够在网络连接和跨不同安全和网络设备的协调信息时或之后执行有关端点完整性的策略。TNC标准确保跨各种端点、网络技术和策略的多供应商互操作性。 +TNC工作组已经定义并发布了一个开放架构和一套不断增长的标准,用于端点遵从性评估、网络访问控制和安全自动化。TNC体系结构使网络运营商能够在网络连接和跨不同安全和网络设备的协调信息时或之后执行有关端点完整性的策略。 |一级标准|子标准| |-------|-----| @@ -99,8 +118,8 @@ TNC工作组已经定义并发布了一个开放架构和一套不断增长的 |IF-PTS – Platform Trust Services Interface|Verification Result Schema| - 应用场景 -TNC不同场景下的安全需求提供了可互操作的标准: - +TNC不同场景下的安全需求提供了可互操作的标准,TNC标准确保跨各种端点、网络技术和策略的多供应商互操作性: + |需求场景|要求|解决的问题| |-------|--------|----| |合规遵从|网络和端点可见性|谁和什么都在我的网络上? @@ -111,8 +130,7 @@ TNC不同场景下的安全需求提供了可互操作的标准: |安全调度|安全系统协调|共享用户、设备、威胁等实时信息。| - 标准推广: -TNC标准的采用也从供应商和最终用户扩展到其他标准组织。互联网工程任务组(IETF)网络端点评估(NEA)工作组发布了几个基于TNC客户端-服务器协议的rfc: - +TNC标准的采用也从供应商和最终用户扩展到其他标准组织。互联网工程任务组(IETF)网络端点评估(NEA)工作组发布了几个基于TNC客户端-服务器协议的rfc: |IETF RFC|TNC Specification| |--------|-----------------| |PA-TNC: A Posture Attribute (PA) Protocol Compatible with Trusted Network Connect (TNC) - RFC 5792|TNC IF-M: TLV Binding Version 1.0| diff --git a/src/standard.md b/src/standard.md index d24364ae25c25d0453ddc6cff427bc0dee192e2a..746bea30d3e852de1bf10e3f84a6868d2623fdbb 100644 --- a/src/standard.md +++ b/src/standard.md @@ -1,8 +1,10 @@ # 一、引言 -&embsp;&embsp;经过20多年的探索发展,可信计算技术形成了成熟标准化体系,这些为推动可信计算技术广泛应用奠定了基础。国际上,可信计算标准主要由国际可信计算组织(TCG,Trusted Computing Group)维护与发布,NIST等其他国际标准化机构主要是对相关标准的引用及应用推广。国内方面,可信计算标准体系主要由参与可信计算的产学研机构撰写和维护,形成了覆盖可信根、可信平台、主板、可信软件栈、网络、测评及应用的标准化体系,促进了我国可信计算产业的高速发展与完善。 -&embsp;&embsp;本节主要介绍以TCG为代表的国际可信计算标准化体系及最新进展,及国内可信计算标准化体系及最新进展。 +标准是技术产业化应用成熟的标志、也是技术广泛应用的基础保障。经过20多年的探索发展,可信计算技术已形成成熟的标准体系。 +- 国际方面,可信计算标准主要由国际可信计算组织(TCG,Trusted Computing Group)维护与发布,NIST等其他国际标准化机构主要是对相关标准的引用及应用推广。 +- 国内方面,可信计算标准体系主要由参与可信计算的产学研机构撰写和维护,形成了覆盖可信根、可信平台、主板、可信软件栈、网络、测评及应用的标准化体系,促进了我国可信计算产业的高速发展与完善。
+本节主要介绍以TCG为代表的国际可信计算标准体系及最新进展和国内可信计算标准体系及最新进展。 # 二、标准生态 -## 2.1 [国际标准](standard-international.md) -## 2.2 [国内标准](standard-china.md) +## 2.1 [国际可信计算标准](standard-international.md) +## 2.2 [国内可信计算标准](standard-china.md) {{#template template/footer.md}}