2025可信网络安全通信设备.docx

可信网络安全通信设备

目录

TOC\o1-3\h\u7777I 3

11921可信网络安全通信设备 1

51621范围 1

213302引用文件 1

283373术语与定义 1

225223.1可信度量根 1

225593.2可信计算模块 1

64353.3完整性度量值 1

290363.4信任链 1

142144缩略语 1

218965可信网络安全通信设备可信启动功能原理 2

212515.1组成结构 2

68445.2可信计算模块 2

284195.3可信启动原理 2

276585.3.1概述 2

212025.3.2主控板卡可信启动 3

252395.3.3交换板卡控制平面与数据平面分离 4

35535.3.4业务板卡可信网络启动 4

182785.3.5数据平面通信端口动态控制 4

182005.4业务板卡可信认证流程 4

266085.5业务板卡操作系统映像下载流程 5

306125.6交换板卡端口控制接口协议 5

I

PAGE

PAGE1

可信网络安全通信设备

范围

本标准规范规定了可信网络安全通信设备的可信启动所需遵从的启动流程和所需满足的基本条件。

本标准规范适用于可信网络安全通信设备相关产品的研制、生成与应用开发。

引用文件

下列文件中的条款通过本标准的引用而成为本标准规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准规范。但鼓励根据本标准规范达成协议的各方研究是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准规范。

GB/T29829-2013可信计算密码支撑平台功能与接口规范。

GB/T1.1-2000标准化工作导则第1部分：标准化的结构和编写规则。

GB/T1.2-2000标准化工作条例，第2部分：标准中规范性技术要素内容的确定方

法。

GB/T15497-2003企业标准体系技术标准体系。

术语与定义

可信度量根

一个可信的完整性度量单元，是可信网络安全通信设备内进行可信度量的基础。

可信计算模块

硬件模块，为可信网络安全通信设备提供可信计算功能，具有受保护的存储空间。

完整性度量值

部件被度量后得到的杂凑值。

信任链

在可信网络安全通信设备可信启动过程中，使用完整性度量方法在部件之间所建立的信任传递关系。

缩略语

无。

可信网络安全通信设备可信启动功能原理

组成结构

具备可信启动能力的可信网络安全通信设备包括三种类型的板卡：主控板卡、业务板卡和交换板卡。

主控板卡集成可信计算模块，基于可信计算模块实现主控板卡的可信启动和信任链传递，保证板卡级的可信，进而为设备提供设备级的可信能力。

业务板卡具备可信网络启动能力，板卡本地零操作系统，通过可信网络启动技术实时从主控板卡下载操作系统和应用启动，其操作系统和业务应用软件均经过可信验证。交换板卡为设备内部板卡之间通信和设备与外部的通信提供交换通道，其网络通信

端口接受主控板卡的动态控制，只有当业务板卡通过可信度量，验证合法后，交换板卡才为其打开网络通信端口，允许其以接入网络。

可信计算模块

可信计算模块是设备可信启动必备的关键基础部件，提供独立的可信计算能力支撑，提供符合国家密码管理局管理要求的密码算法。可信计算模块集成于主控板卡内部。

可信启动原理

概述

可信网络安全通信设备利用可信计算模块提供的计算能力，实现主控板卡基于信任链传递的可信启动和业务板卡的可信网络启动，并在可信度量的基础上实现对设备网络通信端口的动态控制，从而实现设备的可信启动和可信组网，如图1所示。

图1可信启动总体框架

主控板卡可信启动

主控板卡将可信计算模块作为可信度量根，以可信度量根为起点建立板卡的信任链。首先对BIOS的其他部件进行完整性度量，判断BIOS的完整性，若其完整性未被破坏，则运行BIOS；BIOS对主引导分区（MasterBootRecord--MBR）进行完整性度量，若MBR的完整性未被破坏，则运行MBR；MBR度量Grub的完整性，若Grub的完整性未被破坏，则运行Grub；Grub度量操作系统内核的完整性，若操作系统内核的完整性未被破坏，则运行操作系统。通过信任关系的传递，可以保证主控板卡的启动过程是可信的。

主控板卡的操作系统启动后，对上层应用进行完整性度量，确保业务应用程序的完整性。

在主控板卡的可信启动过程中，若发现某一部分的完整性受到破坏，则报告问题并按照预先制定的策略执行相关操作。

交换板卡控制平面与数据平面分离

交换板卡为设备