路径: 主页 > GB/T > 第210页 > GB/T 29828-2013 | 标准编号 | GB/T 29828-2013 (GB/T29828-2013) | | 中文名称 | 信息安全技术 可信计算规范 可信连接架构 | | 英文名称 | Information security technology -- Trusted computing specification -- Trusted connect architecture | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 146,182 | | 引用标准 | GB 15629.11-2003; GB 15629.14-2003; GB/T 28455-2012; ISO/IEC 9798-3-1998; ISO/IEC 18028-5-2006; IETF RFC 2138; IETF RFC 2216; IETF RFC 2547; IETF RFC 2675; IETF RFC 2865; IETF RFC 2866; IETF RFC 3280; IETF RFC 3539; IETF RFC 3588; IETF RFC 3589; IETF RFC | | 标准依据 | 国家标准公告2013年第22号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了可信连接架构的层次、实体、组件、接口、实现流程、评估、隔离和修补以及各个接口的具体实现, 解决终端连接到网络的双向户身份鉴别和平台鉴别问题, 实现终端连接到网络的可信网络连接。本标准适用于具有可信平台控制模块的终端与网络的可信网络连接。 | GB/T 29828-2013
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 可信计算规范
可信连接架构
2013-11-12发布
2014-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 3
5 总体描述 5
5.1 概述 5
5.2 实体 6
5.3 层次 6
5.4 组件 6
5.5 接口 7
5.6 实现过程 8
5.7 评估、隔离和修补 9
6 网络访问控制层 11
6.1 概述 11
6.2 网络传输机制 11
6.3 访问控制机制 51
7 可信平台评估层 52
7.1 概述 52
7.2 平台鉴别基础设施 53
8 完整性度量层 115
8.1 概述 115
8.2 IF-IM消息协议 115
9 IF-IMC和IF-IMV 120
9.1 概述 120
9.2 IF-IMC 120
9.3 IF-IMV 129
附录A(资料性附录) 完整性管理框架 134
附录B(资料性附录) 安全策略管理框架 136
附录C(资料性附录) 数字信封 138
图1 可信连接架构(TCA) 5
图2 TCA的实现过程 8
图3 具有隔离修补层的可信连接架构 10
图4 TCA的序列TAEP鉴别实现一的层次模型 12
图5 序列TAEP鉴别实现一的TAEP交互过程 14
图6 TCA的序列TAEP鉴别实现二的层次模型 15
图7 序列TAEP鉴别实现二的TAEP交互过程一 18
图8 序列TAEP鉴别实现二的TAEP交互过程二 19
图9 FLAG 21
图10 EWAI协议的证书鉴别过程 21
图11 消息1的数据字段格式 22
图12 消息2的数据字段格式 22
图13 消息3的数据字段格式 23
图14 消息4的数据字段格式 24
图15 消息5的数据字段格式 27
图16 消息6的数据字段格式 30
图17 消息7的数据字段格式 33
图18 消息8的数据字段格式 36
图19 消息9的数据字段格式 36
图20 TCA的隧道TAEP鉴别方式层次模型 38
图21 隧道TAEP鉴别实现的TAEP交互过程一 41
图22 隧道TAEP鉴别实现的TAEP交互过程二 42
图23 ETLS协议的握手协议分组格式 43
图24 ETLS协议的握手过程 44
图25 消息1的数据字段格式 44
图26 FLAG 45
图27 消息2的数据字段格式 46
图28 消息3的数据字段格式 48
图29 消息4的数据字段格式 49
图30 全端口控制实现方式下的端口控制系统结构 52
图31 PAI协议基本流程 54
图32 PAI协议分组格式 56
图33 标识FLAG格式 57
图34 组件类型级平台完整性度量请求参数 58
图35 组件属性级平台完整性度量请求参数条目 58
图36 组件类型级平台完整性评估策略条目 59
图37 组件产品级平台完整性评估策略条目 59
图38 组件属性级平台完整性评估策略条目 60
图39 组件类型级平台完整性度量值条目 60
图40 IF-IM级平台完整性度量值条目 61
图41 组件类型级Quote数据值条目 61
图42 IF-IM级Quote数据值条目 61
图43 组件类型级平台配置保护策略条目 62
图44 组件产品级平台配置保护策略条目 62
图45 组件属性级平台配置保护策略条目 63
图46 组件类型级平台修补信息条目 63
图47 IF-IM级平台修补信息条目 63
图48 组件类型级错误原因信息条目 64
图49 组件产品级错误原因信息条目 64
图50 组件属性级错误原因信息条目 65
图51 类型-长度-值(TLV)的格式 65
图52 签名属性 66
图53 平台完整性度量请求参数 67
图54 平台完整性评估策略 67
图55 平台完整性度量值 68
图56 Quote数据值 68
图57 平台配置保护策略 69
图58 PIK证书验证和平台完整性评估结果 69
图59 平台修补信息 71
图60 错误原因信息 71
图61 汇聚平台完整性评估策略 71
图62 消息1的数据字段格式 72
图63 消息2的数据字段格式 76
图64 消息3的数据字段格式 79
图65 PAI-1协议中IMV生成组件产品级平台完整性评估结果及其他参数的具体过程 82
图66 PAI-1协议中EPS生成组件类型级平台完整性评估结果及其他参数的具体过程 84
图67 PAI-1协议中EPS生成AR的平台完整性评估结果及其他参数的具体过程 85
图68 消息4的数据字段格式 86
图69 消息5的数据字段格式 90
图70 消息6的数据字段格式 93
图71 消息1的数据字段格式 94
图72 消息2的数据字段格式 98
图73 消息3的数据字段格式 101
图74 PAI-2协议中IMV生成组件产品级平台完整性评估结果及其他参数的具体过程 104
图75 PAI-2协议中EPS生成组件类型级平台完整性评估结果及其他参数的具体过程 106
图76 PAI-2协议中EPS生成AR的平台完整性评估结果及其他参数的具体过程 107
图77 消息4的数据字段格式 108
图78 消息5的数据字段格式 111
图79 消息6的数据字段格式 114
图80 IF-IM消息的格式 116
图81 IF-IM属性的格式 116
图82 产品信息的IF-IM属性值 117
图83 数字版本的IF-IM属性值 118
图84 字符串版本的IF-IM属性值 118
图85 操作状态的IF-IM属性值 118
图86 平台修补信息的IF-IM属性值 119
图87 基于URI的修补指示 119
图88 IF-IM错误信息 120
图89 AR中的IF-IMC交互示意图 125
图90 AC中的IF-IMC交互示意图 129
图91 IF-IMV交互示意图 133
图A.1 完整性管理框架 134
图B.1 安全策略管理框架 136
图C.1 数字信封的生成和解开 138
表1 平台完整性评估结果的或运算规则 86
表2 平台完整性评估结果的与运算规则 86
表3 本标准定义的组件类型 115
表4 本标准定义的IF-IM属性类型 117
表5 IF-IMC的功能函数结果状态码 120
表6 网络连接状态值 121
表7 执行下一个平台鉴别过程的原因值 121
表8 IF-IMV的功能函数结果状态码 130
前言
本标准按照GB/T 1.1-2009的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:北京工业大学、西安西电捷通无线网络通信股份有限公司、瑞达信息安全产
业股份有限公司、西安电子科技大学、北京理工大学、武汉大学、北京天融信科技有限公司、北京电子科
技学院、北京金奥博数码信息技术有限责任公司、中国电子科技集团公司第三十研究所、国家无线电监
测中心、北京网贝合创科技有限公司、中国航天科工集团二院七O六所、郑州信大捷安信息技术有限公
司、上海格尔软件股份有限公司、西安邮电大学、江南计算机技术研究所、国家广播电影电视总局广播科
学研究院、中国电子技术标准化研究院、华为技术有限公司、深圳长城电脑有限公司、中安科技集团有限
公司、长春吉大正元信息技术股份有限公司、北京鼎普科技股份有限公司、成都卫士通信息产业股份有
限公司、北京密安网络技术股份有限公司、中国电力科学研究院、无线网络安全技术国家工程实验室。
本标准主要起草人:沈昌祥、肖跃雷、曹军、张立强、张兴、韩永飞、方娟、李海鹏、黄振海、陈曦、
祝烈煌、李兆斌、刘彤、冷冰、宋起柱、陈志浩、张焕国、秦志强、段丽娟、李晖、张龙、铁满霞、赖晓龙、
常超稳、谭武征、韩勇桥、刘智君、姚琦、裴庆祺、张子剑、葛莉、鞠磊、赵桂芳、朱林、朱志祥、蒋炎河、王磊、
邹冰玉、赖英旭、马卓、张变玲、杜志强、胡亚楠、刘卫国、池亚平、吴素研、苑克龙、王晓程、于昇、李兴华、
王轲、张国强、李琴、刘贤刚、位继伟、尹瀚、秦晰、魏占祯、李瑛、刘了、梁晋春、公备、邵存金、李大东、
何长龙、万俊、贾科、张世雄、王明坤、高昆仑、许胜伟、姚金利、王勇、侯亚荣、任兴田、杨宇光、赵国磊、
韩培胜、曹慧渊、郭沛宇、郎风华。
引 言
随着信息化的逐渐发展,网络安全面临严峻的考验,各种计算机网络遭受的攻击和破坏80%是来
自于内部。目前业内的安全解决方案往往侧重于先防外后防内,先防服务设施后防终端设施。而可信
计算技术则逆其道而行之,首先保证所有终端的可信赖性,通过可信赖的组件来组建更大的可信系统。
可信计算平台在底层进行防护,通过可信硬件对上层进行保护,为用户提供更强的安全防护。可信网络
连接本质上包含两个方面的内容:第一方面需要创建一套在网络内部系统运行状况的策略;第二方面,
只有遵守网络设定的策略的终端才能访问网络,网络将隔离和定位那些不遵守策略的设备。
本标准的主要目标是提出一个实现终端连接到网络的双向用户身份鉴别和平台鉴别,进而实现可
信网络连接的可信连接架构,并定义其层次、实体、组件、接口、实现流程、评估、隔离和修补以及各个接
口的具体实现。
本标准主要内容是:
---可信连接架构,实现终端连接到网络的双向用户身份鉴别和平台鉴别。
---定义可信连接架构中各个接口的具体实现。
本标准的使用者是可信计算的生产企业、检测机构和科研机构。
本标准的发布机构提请注意,声明符合本标准时,可能涉及第5章与 “一种基于三元对等鉴别的可
信网络连接方法”、“一种基于三元对等鉴别的可信网络连接系统”等相关的专利的使用。
本标准的发布机构对于该专利的真实性、有效性和范围无任何立场。
该专利持有人已向本标准的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,
就专利授权许可进行谈判。该专利持有人的声明已在本标准发布机构备案。相关信息可通过以下联系
方式获得:
专利权人:西安西电捷通无线网络通信股份有限公司
地址:西安市高新区科技二路68号 西安软件园秦风阁A201
联系人:刘长春
邮政编码:710075
电子邮件:ipri@iwncomm.com
电 话:029-87607836
传 真:029-87607829
请注意除了上述专利外,本标准的某些内容仍可能涉及专利。本标准的发布机构不承担识别这些
专利的责任。
信息安全技术 可信计算规范
可信连接架构
1 范围
本标准规定了可信连接架构的层次、实体、组件、接口、实现流程、评估、隔离和修补以及各个接口的
具体实现,解决终端连接到网络的双向用户身份鉴别和平台鉴别问题,实现终端连接到网络的可信网络
连接。
本标准适用于具有可信平台控制模块的终端与网络的可信网络连接。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 15629.11-2003 信息技术 系统间远程通信和信息交换......
|