失存储器、计算部件接口、管理接口、可信密码接口，为 TPCM的功能实现提供基础运行环境。硬件组件之间通过内部总线实现相互连接。根据连接对象的 不同，计算部件接口可分为控制器和1/O接口

基础软件层应包括固件、操作系统核心，实现对TPCM内部的资源调度、任务管理，以及提供I 1驱动及控制

功能组件层包括可信控制、可信度量、判定服务、支撑机制服务及策略库管理建材标准，以及可信软件基 各部分功能如下：

方式的控制； D 可信度量是依据防护策略，获取预设的计算部件中防护对象有关内存、I/O、固件中的关键数 据信息，并进行密码运算； 判定服务为可信软件基判定机制的实现提供支持 d）支撑机制服务为可信软件基提供有关系统处理的运算； ）策略库管理对节点的可信度量、可信控制等规则进行管理； 可信软件基接口为可信软件基提供功能访问

乙可信平台控制模块的接口

[7.1.1 接口类型

计算部件接口主要为总线 相连接，用于访回内存、1/ 固件等系统资源，并通过控制器对系统

TPCM可通过计算部件总线接口连接计算部件硬件层的控制器，实现对可信计算节点的主 ，监控对象可包括内存、硬盘、USB、并口、串口和网络等

7.1.3接口输入/输出

TPCM在提供接口服务前 与调用者进行相互认证并建立可信的数据通道

7.2.3接口输入/输出

可信软件基接口的输入为功能相应的输入参数，输出为功能执行的返回结果。

为物理接口，应为网络或总线接口模式，由可信管

GB/T 406502021

TPCM的管理接口应包括TPCM自身管理、可信密码模块管理、基本信任基管理及日志管理等 各接口功能要求如下： a）TPCM自身管理接口应包括TPCM配置管理和安全管理； b）可信密码模块管理接口应提供TPCM所使用的可信密码模块的授权管理、密钥管理； c）基本信任基管理接口应提供基本信任基的度量值管理与度量策略管理； d）日志管理接口应提供TPCM管理行为目志的导出机制

7.3.3接口输入/输出

7.4可信密码模块接口

可信密码模块接口提供TPCM对可信密码模块访问的I/O通道，接口应遵循GB/T 规定。

用户分类要求如下： TPCM只允许管理员执行TPCM配置，管理员应具备设置防护策略及TPCM的状态权限； TPCM可依据内部的验证策略对计算部件的用户进行身份鉴别，并根据鉴别结果绑定对应 权限。

8.1.2用户鉴别要求

当TPCM提供服务时，应对访问的身份进行鉴别，鉴别要求如下： a）可通过身份识别设备获取当前使用者的身份信息； b 可通过通信通道获取当前使用者的身份信息； c）用户可根据安全防护需求选择其他的鉴别方式

TPCM应支持对资源访问的控制.控制的资源可包括内存、硬盘、USB、总线、并口、串口和网络等。

TPCM应对所执行的指令记录日志，日志应包括时标、指令类型、执行是否成功。审计日志应满足 如下要求： a）日志存储在非易失性数据存储单元中； b） 应对日志的访问进行权限控制，并应保证日志的完整性； c）可提供日志记录安全转移及安全迁移功能

8.4存储空间安全要求

TPCM的存储空间应有如下限制： a）TPCM不对外开放地址空间，对TPCM的访问应通过TPCM的功能接口实现； b）TPCM运行过程中产生的临时数据在失效后应及时清除

数据保护要求如下。 a）TPCM应能够将重要数据与度量值捆绑，实现数据封装保护。受保护的数据只能在绑定 TPCM的平台及特定完整性状态下才能被解封。 TPCM应具有安全数据迁移、备份与恢复的功能，迁移、备份与恢复操作在保证数据的机密性 和完整性前提下进行。

TPCM上电启动时，应进行主动自检。主动自检对象应包括TCM、设计者自定义状态标识及 TPCM内部代码完整性。

TPCM应支持被动自检，被动自检对象包括可信密码模块、设计者自定义状态标识、当前用户身份 标识和当前用户身份

9.1.3自检异常处理

自检异常处理流程为： a）当发生自检异常时，TPCM应立即发出自检失败信号，将自检信息记录到日志中，然后发出节 点启动信号： b）当节点启动程序代码执行启动后，应报告自检失败信息，管理员可以选择重新启动可信计算节 点、禁用TPCM以非可信方式启动或采取其他措施

TPCM应具有使能和禁用状态。具体要求如下。 a）出厂默认处于禁用状态。 b）应由管理员执行使能和禁用状态切换操作。 ）TPCM处于使能状态时，文分为两种工作状态：有效和无效状态。有效状态即是TPCM正常 工作时的状态，无效状态即是TPCM不能正常对外提供服务时的状态。 TPCM每次加电启动时，都要对使用状态进行判断。如果为禁用状态，则只能进行TPCM的 状态查询和使能操作

GB/T 406502021

10.1可信计算节点的可信平台控制模块

检查可信计算节点设计，应确认 并行于计算部件运行，： 实现从计算部件第一条指令开始的可信建立 能防止使用经套改的部件来构建 运行环境、抵御恶意代码攻击，并且在系统运行！ 态地保护运行环境及应用程序的可信安全，最终 实现对计算系统全生盒周期的可信度

10.2可信平台控制模块功能组成

图3TPCM主动防御系统

检查TPCM内部基础软件的设计资料，应确认其包含TPCM内部的资源调度、任务管理提供I 驱动及控制的功能软件

功能服务检测应包括设计资料的检查和运行测试，要求如下： a 检查TPCM内部基础软件的设计资料，应确认其包含主动度量、主动控制、可信验证、加密保 护、可信报告、用户管理、基本信任基管理和密码调用功能； b 启动TPCM，构造可激活上述功能服务的输入序列，对上述功能进行测试，应确认其具备文档 所设计的功能，

接口的证实方法见10.3。

10.3可信平台控制模块的接口

在TPCM软件中添加计算部件接口测试程序，通过TPCM计算部件接口访问内存、I/O、系统固件

能，确认其具备对I/O总线、电源的控制能力

10.3.2可信软件基接口

在可信软件基执行向TPCM下达可信验证、状态度量、加密保护和可信控制等策略的程序，读取 TPCM内部的审计信息，应确认这些信息中记录了对TPCM的访问行为

通过管理接口输人配置信息、管理命令、TPCM基本信任基的策略及TPCM目志策略，从管理接口 卖取TPCM当前状态、可信密码模块状态、基本信任基状态及TPCM日志信息，应确认读出信息符合 预期

10.3.4可信密码模块接口

在可信密码模块接口上根据可信密码模块标准对接可信密码模块，在TPCM中编写访问可信 块接口的测试软件，应确认访问结果符合预期

10.4.1 身份鉴别

身份鉴别的检查包括存在性检查与有效性检查，内容如下： a）检查TPCM用户的身份，应确认其登录时需执行身份鉴别操作； b）应确认身份鉴别的有效性，使用非法用户身份，或使用合法用户身份与错误口令进行身份鉴 别，鉴别过程会失败，使用合法用户身份、合法口令进行身份鉴别，鉴别过程成功。

10.4.2资源访问控制

在TPCM内部设置对TPCM可控制资源的访问控制，在计算部件中尝试访问可控制资源，应确认 访问控制起到了作用

审计功能需检查下列内容， a）对已生成审计日志的TPCM进行断电重启等操作，再读取审计志，应确认所生成的审计日 志未丢失。 b） 应确认分别便用授权用户和非授权用户访向审计日志，授权用户能访同审计目志，非授权用户 不能访问审计日志。应确认尝试以授权用户修改审计日志，审计日志不能被修改或被修改后 无法消除修改痕迹。 C 应确认TPCM有日志记录安全转移及安全迁移命令，执行这些命令，可以完成日志记录安全 转移及安全迁移功能

水利常用表格10.4.4存储空间安全要求

存储空间安全要求需检查下列内容： a）确认检查确认TPCM的所有访问接口，不存在直接访问地址空间的命令； b）在TPCM内部编写临时数据检查程序，运行TPCM时同时启动临时数据检查程序，应确讨 时数据失效后能够被及时清除

GB/T 406502021

数据保护需检查下列内容： TPCM的数据保护通过TCM实现，监控TPCM的可信密码模块接口，应确认该接口在数据 保护过程中调用了TCM的对应功能对数据进行保护处理； b 在TPCM进行安全数据迁移、备份和恢复操作时，尝试进行数据迁移备份过程的监听、篡改等 操作，应确认监听操作不能获取安全数据的明文信息，篡改操作在恢复时会被发现

/T0008规定检测准则对TPCM的物理防护手

自检过程需检查下列内容： a）在TPCM上电启动前，分别尝试断开TCM、更改设计者自定义状态标识和修改TPCM内部 代码，应确认TPCM上电启动时可通过主动自检发现异常； b TPCM启动后，尝试断开TCM、更改设计者自定义状态标识、修改当前用户身份，再启动被动 自检，应确认被动自检可发现异常； c）当上述过程发现异常后，应检查到自检失败信号，读取TPCM日志，将发现自检失败信息

状态维护需检查下列内容： ）应确认在证实管理员身份情况下可执行TPCM的使能和禁用状态切换，未证实管理员身份 况下不可成功执行切换操作； 应确认分别在使能状态和禁用状态加电启动TPCM，并尝试进行TPCM操作，使能状 TPCM可正常操作，禁用状态TPCM只能执行查询和使能操作

状态维护需检查下列内容： 应确认在证实管理员身份情况下可执行TPCM的使能和禁用状态切换，未证实管理员身份情 况下不可成功执行切换操作； 应确认分别在使能状态和禁用状态加电启动TPCM，并尝试进行TPCM操作，使能状态 TPCM可正常操作设备设计图纸，禁用状态TPCM只能执行查询和使能操作