T/ZTCIA 005-2025 基于BMC的TPCM技术规范
- 文件大小:2.84 MB
- 标准类型:团体标准规范
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-06-17
- 下载次数:
- 标签:
资料介绍
以下是对《基于BMC的TPCM技术规范》(T/ZTCIA 005-2025)核心内容的详细总结:
1. 范围与目的
- 适用对象:规范面向基于BMC(基板管理控制器)的可信计算产品设计,适用于可信服务器中TPCM(可信平台控制模块)的研发与实现。
- 核心目标:确保服务器启动和运行过程中的可信验证,通过TPCM实现对计算部件(如BIOS、操作系统等)的主动度量、控制及加密保护。
2. 关键技术概念
- TPCM(可信平台控制模块):
- 集成于BMC的硬件/固件模块,作为信任链起点,提供主动度量、可信验证、加密保护等功能。
- 要求以硬件形态实现,与计算部件隔离,通过安全信道通信。
- 可信根(Root of Trust):
- 由TPCM、TCM(可信密码模块)和TSB(可信软件基)构成,支撑信任链建立与传递。
- 硬件要求:独立处理器、安全存储、TCM模块,由BMC芯片的独立核运行。
- 其他关键组件:
- TCM:提供密码运算和受保护存储(符合GM/T 0012-2020)。
- TSB:软件集合,支持计算部件的动态度量(符合GB/T 37935)。
- 可信代理:分层部署于计算部件(BIOS、引导层、操作系统层),协助TPCM完成度量。
3. 技术要求
(1)可信根要求
- 必须是服务器度量的起点,包含独立硬件资源(TPCM处理器、TCM模块)。
- TPCM需由BMC独立核实现,符合国密算法标准(如GB/T 29829-2022)。
(2)防护部件要求
- 组成:BMC芯片及其固件、TSB、TPCM/TCM模块。
- 度量流程:
- 以可信根为起点,依次度量BMC固件→引导程序→操作系统→TSB组件。
- 采用国密算法,信任链建立符合GB/T 29827-2013。
(3)计算部件要求
- 组成:硬件、BIOS、引导程序(Grub/Shim)、操作系统及可信代理。
- 度量流程:
- 在防护部件启动后执行。
- 顺序:BIOS → Grub/Shim → OS内核 → 应用层(由对应可信代理协助)。
- 动态度量:OS内核需支持运行时度量(通过TSB代理实现)。
(4)可信软件基(TSB)及代理要求
- TSB:运行于防护部件,通过代理拦截计算部件行为进行验证(符合GB/T 37935)。
- 代理分层职责:
- 固件层代理(BIOS):协助度量引导程序。
- 引导层代理(Grub/Shim):协助度量OS内核。
- 系统层代理(OS):协助度量应用层。
(5)服务器启动与复位要求
- 整机启动:严格按防护部件→计算部件的顺序度量。
- 复位场景:
- 防护部件复位:重新执行自身度量流程。
- 计算部件复位:仅重新执行计算部件度量。
4. 接口规范
(1)计算部件接口
- 访问接口:总线接口(访问内存/I/O/固件),符合GB/T 40650-2021。
- 通信接口:
- 度量命令发送接口:传输待度量数据(如固件类型、HASH值、版本)。
- 结果获取接口:从防护部件读取度量结果(成功/失败)。
- 实现方式:可基于IPMI协议(附录B提供字节级参数定义)。
(2)其他接口
- TSB接口:软件接口,供TSB调用TPCM功能(符合GB/T 37935)。
- 管理接口:供可信管理中心访问(网络/总线接口)。
- TCM接口:TPCM调用密码服务的通道(符合GB/T 29829)。
5. 附录内容
- 附录A:定义计算部件通信接口原型(数据结构、参数说明)。
- 附录B:提供基于IPMI协议的具体接口实现(字节顺序、字段映射)。
6. 核心设计原则
- 信任链传递:
从硬件可信根(TPCM)开始,逐级度量防护部件→BIOS→引导层→操作系统→应用层。 - 隔离性:
- TPCM可访问计算部件资源,反之禁止。
- TPCM与TCM硬件隔离,独立运行于BMC独立核。
- 国密合规:度量算法、密码模块均需符合国家密码管理局标准。
总结
该规范构建了以BMC为可信根载体的服务器安全架构:
- 启动阶段:通过TPCM严格验证各组件完整性(从BMC自身到操作系统)。
- 运行阶段:依托TSB和分层代理实现动态度量。
- 接口标准化:定义跨部件通信协议(如IPMI),确保可操作性。
最终目标是为高安全需求场景(如政务、金融)提供符合国标的可信服务器技术方案。