國家標準報批資料工作簡況任務來源根據國家標準化管理委員會下達的國家標準制訂計劃，由華大半導體有限公司牽頭編制《信息安全技術可信平臺控制模塊規范》（國標計劃號：2018xxxx-T-xxx）標準編制的主要成員單位項目成員單位主要包括：華大半導體有限公司、北京工業大學、全球能源互聯網研究院有限公司、同濟大學、北京可信華泰信息技術有限公司、中船重工集團709研究所、武漢大學、上海兆芯集成電路有限公司、北京新云東方系統科技有限責任公司、浪潮（北京）電子信息產業有限公司、中安科技集團有限公司、玖章信息科技有限公司、藍瑪卓信科技（上海）有限公司、阿里巴巴集團公司等主要工作過程2018年10月9日，《信息安全技術可信計算規范可信平臺控制模塊》由牽頭單位華大半導體有限公司在上海主持召開TPCM草案首次全體成員會議，召集了可信計算業內的主要企業與研究所等單位約50名專家進行現場封閉會議研討。會上就TCM與TPCM關系、TPCM主動度量技術、雙體系結構等焦點問題進行了討論。會議完成了標準的主體章節構建。2018年10月15日，《信息安全技術可信計算規范可信平臺控制模塊》國家標準研討會在北京聘請了沈昌祥院士對標準草案框架內容進行指導。會議主要對標準描述的細化程度進行了咨詢，特別是關于TPCM模塊的工程實現問題。沈昌祥院士指出，TPCM工程實現不限定方式，既可以通過多核CPU方式實現，也可通過外部獨立芯片實現，TPCM國家標準制定應從頂層框架角度考慮。2018年10月17日，《信息安全技術可信計算規范可信平臺控制模塊》國家標準草案在北京進行了組內專家的評審。專家意見集中在TPCM在系統的位置，明確它與主機、TSB、TCM的關系，以及與上下層接口關系；信任相關的建立過程；標準中對策略的描述；可信驗證的流程等。專家建議盡快根據意見修改后提交會議周進行工作組討論。2018年10月26日，《信息安全技術可信計算規范可信平臺控制模塊》國家標準草案在青島進行了WG3組成員單位專家的上會討論。會議主要對草案進行專家及成員單位的審議，專家問題主要集中在標準的原理性描述過多，缺少功能要求描述內容。會議上，編制組對產業應用問題進行了回復，并詳細記錄了專家的修改意見。2018年11月-2019年3月，《信息安全技術可信計算規范可信平臺控制模塊》工作組多次召開組內研討會，針對前階段會議建議及分歧點進行了整理、綜合分析，經過仔細辯論，編制組通過封閉會議對標準結構進行了比較大幅度調整，并成立章節小組進行了內容的細化編制。2019年3月28日，項目組聯合相關產業單位召開研討會。此次會議主要的目的是對《信息安全技術可信計算規范可信平臺控制模塊》草案的修改及更新內容向成員單位進行匯報和意見收集，為專家審查及寧波會議周上會討論做最后準備。此次會議對TPCM支撐的可信計算平臺雙體系框架框圖及可信驗證功能流程等細節部分進行了描述的規范性調整。2019年4月11日，《信息安全技術可信計算規范可信平臺控制模塊》工作組召開了工作組專家評審會，項目組根據專家意見對標準和編制說明進行了訂正。將封面、標題、正文格式進一步進行規范化；統一對名詞、接口的描述；特別是對第9章進行了詳細描述修改。2019年4月21日，《信息安全技術可信計算規范可信平臺控制模塊》國家標準草案在寧波信安標委工作組會議周進行了研討。會上WG3專家及成員單位在框架、標準名稱、標準內容給予了寶貴的意見，并建議該標準為與其它可信計算系列標準統一，將標準名稱《信息安全技術可信平臺控制模塊規范》更改為《信息安全技術可信計算規范可信平臺控制模塊》。按照建議，細化TPCM硬件包含內容和接口、添加了可信計算平臺和可信管理中心的定義、刪減了與TPCM沒有直接關系的模塊并增加了模塊說明。標準編制原則和確定主要內容的論據及解決的主要問題標準編制原則標準編制原則為：自主性原則：建立符合我國國情的具有自主知識產權的可信計算技術體系，從源頭上保證信息安全，保護國家安全。系統性原則：建立可信平臺控制模塊標準要從系統的角度出發。可信計算體系覆蓋范圍廣，而可信平臺控制模塊是整個可信計算體系的基礎，要充分考慮可信計算體系中各部分與可信平臺控制模塊間的關系。協調性原則：確保現有，正在制定和將要制定的涉及不同行業的國家標準以及與行業標準，特別是等級保護標準之間的協調性，還要考慮與相關標準體系的協調性。銜接性原則：可信計算是一個復雜的體系，要確保可信平臺控制模塊與可信體系中的其它標準間的銜接性以保證標準體系的配套性，從而發揮標準體系的綜合作用。相關性原則：按照相關程度，選擇和可信平臺控制模塊直接相關的，相互影響，相互銜接的標準納入到本安全標準體系中。兼容性原則：可信平臺控制模塊標準應與國內的相關安全標準如加密標準等保持兼容，以保證能互連互通。開放性原則：制定的可信平臺控制模塊標準應是一個開放的體系，允許通過動態擴展來滿足增強的安全性要求，保持先進性。確定主要內容的依據標準制定的依據為：依據《商用密碼管理條例》（國務院273號令）、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號），旨在推動我國可信計算應用的可持續發展。解決的主要問題可信平臺控制模塊(TPCM)是承載我國可信計算標準體系的底層平臺，是獨立于主機實施安全控制的關鍵部件，以可信雙系統架構方式搭建防護系統時，擔負著在硬件層面實現對主機監控、管理TCM等可信密碼資源的任務，同時也支撐著可信計算機系統初始化過程中靜態度量的任務。它是我國可信計算體系的重要環節，也是支撐國內等級保護2.0要求中建可信鏈、動態度量和實時控制等功能的基礎部件。因此，本標準制定時，首先考慮TPCM在雙系統體系架構下，如何發揮作用，特別是如何獨立于CPU、先于CPU對系統進行監控，以確保基于TPCM構建的可信平臺，其底層安全控制權可以從TPCM出發。同時，也考慮到開發商在非高安全級別環境中，期望依托TPCM來構建系統信任鏈，為應用提供可信服務功能的需求，確認TPCM可以為這一需求提供支持。本標準主要規定TPCM為完成上述任務，所應實現的功能流程，應具備的功能模塊，與主機、TSB、TPCM管理和TCM之間的接口，以及其自身的安全防護和運行維護要求，以明確如下幾個問題：TPCM在可信計算體系中的位置。因為本標準主要考慮的是TPCM支撐雙體系架構的應用場景，所以在標準第5章描述了TPCM支撐的可信計算功能框架，如標準圖1所示。圖中明確TPCM是系統的底層硬件，其向下調用可信密碼模塊獲取密碼支撐，向上接收可信軟件基下發的策略，在硬件層面直接與計算組件交互以實現對計算部件的主動監控。應用TPCM的系統一般對安全有較高要求，可類比等級保護標準中三級及以上信息系統。在這些信息系統中，一般需要建設由安全管理中心集中管理安全保障體體系。此時，TPCM的使用模式可如圖1所示：圖1：TPCM在集中管理的安裝保障體系中的應用方式圖中，安全管理中心的基本信任基策略（包括初始策略和初始度量基準值等）通過安全信道（如專用設備接口，安全的網絡通信）由TPCM管理程序部署到TPCM中。在可信平臺運行過程中，安全管理中心下發的安全策略則可以通過可信網絡連接傳到可信平臺的可信軟件基中，其中系統底層控制策略由可信軟件基下發到TPCM中，由TPCM與系統的固件/硬件控制點對接以實施底層安全控制。此外，TPCM在資源充足的情況下，還可以為TSB提供一個受保護的、獨立于計算部件的運行環境（圖一中虛線所示），以增強可信部件的保障能力。在一些對動態度量要求不高或不需要雙系統體系架構的場合，也可以取消可信軟件基，由TPCM管理程序管理TPCM，向上層提供靜態的可信度量與控制功能支持。TPCM主要為主機做什么標準第6章規定了TPCM的驗證流程，說明TPCM可在主機啟動階段進行可信平臺啟動驗證，在程序加載階段進行應用程序可信驗證，在程序執行階段進行執行環節動態驗證，在系統運行期間執行實時驗證關聯感知，并可以為網絡連接提供認證。TPCM組成結構標準第7章從邏輯上劃分了TPCM的結構，規定TPCM硬件上應是一個包含處理器、易失存儲器和非易失存儲器、總線和I/O接口組成的具有獨立性的系統，軟件上則包含操作系統、基本輸入輸出系統和功能模塊，并為主機、TSB、TPCM管理和TCM提供接口。TPCM與周邊的交互方式標準第8章規定了TPCM與計算部件、TSB、TPCM管理以及TCM的功能接口方式、類型、和輸入、輸出要求。其中對計算部件的接口包括訪問內存、IO、系統固件等系統資源，并對IO總線、電源等。對TSB則主要是提供可信認證、主動度量、加密保護、主動控制和可信報告等接口。對TPCM管理則是提供TPCM自身管理、TCM管理、基本信任基（對應TPCM中可信啟動驗證部分）以及管理日志的接口，考慮到現代信息系統遠程可信管理的普遍需求，管理接口應支撐網絡接口方式。對TCM則應提供符合TCM要求的I/O接口，并可以讓對計算部件對接到TCM功能服務接口上。因為接口的細節涉及到多個模塊及其具體功能的確定，和平臺與使用場景也有關系，以后需要為不同接口定制專門的接口標準，當前的標準只用來確定接口的分類和主要用途。而TPCM作為一個內部包含核心軟件的平臺，應有能力實現接口的升級以適應未來接口標準的要求。TPCM安全防護。標準第9章規定了TPCM安全防護要求。在安全防護上，要求TPCM具備身份鑒別功能以鑒別合法與非法用戶，要求TPCM具備資源訪問控制功能以防范非授權的信息竊取與篡改，要求TPCM具備審計功能以記錄對TPCM的操作以備追查，對TPCM的存儲空間提出不開放地址、清除臨時數據等要求以保護存儲空間安全，對TPCM的數據保護提出封裝、安全數據遷移及備份等要求，以保護TPCM的數據，對TPCM的物理防護提出要求，以保護整個TPCM的計算環境。TPCM運行維護要求標準第10章規定了TPCM運行維護的要求，包括TPCM啟動時的主動自檢、收到自檢命令后的被動自檢、自檢的異常處理以及狀態維護的要求。本標準主要規范了可信平臺控制模塊（TPCM）的功能定義；提出了TPCM的系統組成框架、TPCM操作系統功能規范；明晰了TPCM的防護機制和信任體系建立過程；明確了可信平臺控制模塊與其它組成部分（計算部件、TSB、管理程序、TCM）之間的接口；定義了TPCM的安全防護要求以及運行維護要求。標準主要內容：第5章TPCM支撐的可信計算平臺雙體系框架定義了基于TPCM的計算部件與防護部件并行的雙體系可信計算功能框架第6章可信平臺功能流程規定了TPCM主要的可信驗證功能流程第7章TPCM功能架構從邏輯上劃分了TPCM的結構，規定了TPCM的基礎硬件資源、基礎軟件、功能服務，給出了功能接口的分類。第8章TPCM接口規定了TPCM對主機、TSB、TPCM管理和TCM的四類接口的類型、功能和輸入/輸出要求。第9章安全防護規定了TPCM實現安全防護所需的身份鑒別、資源訪問控制、審計、存儲空間安全、數據保護、物理防護等安全要求第10章運行維護規定了TPCM運行時所需的自檢、狀態維護等功能要求主要試驗[或驗證]情況分析華大半導體有限公司、國民技術、國網、阿里巴巴等芯片和應用單位對標準內容在服務器、嵌入式系統、數據傳輸單元（DTU）、工業PLC等領域進行了試用驗證，達到預期防御效果。知識產權情況說明無。采用國際標準和國外先進標準情況無。與現行相關法律、法規、規章及相關標準的協調性與標準體系中的其他標準：GB/T29827—2013信息安全技術可信計算規范可信平臺主板功能接口GB/T29828—2013信息安全技術可信計算規范可信連接架構GB/T29829—2013信息安全技術可信計算密碼支撐平臺功能與接口規范GB/TAAAAA—AAAA信息安全技術可信計算規范可信軟件基GB/T36639—2018信息安全技術可信計算規范服務器可信支撐平臺協調無沖突。重大分歧意見的處理經過和依據在本標準編制過程當中，有單位提出本標準應當清晰定義TPCM的功能，并說明與可信密碼模塊TCM之間的關系。本標準采納了該意見，給出了TPCM的功能定義，并對于TPCM與TCM之間的關系進行了說明。有單位提出了期望TPCM提供兼容TCG標準規范的使用方式的需求。本標準主要討論雙系統體系架構TPCM應用模式，因此在正文中未提及相關說明。標準制定方討論了現有TPCM標準支持該應用方式的可行性，結論是現有TPCM標準所規定的TPCM架構并不會限制此種應