信息安全技术 可信计算规范 可信连接架构 |
 |
| 标准编号:GB/T 29828-2013 |
标准状态:现行 |
|
| 标准价格:128.0 元 |
客户评分:  |
|
|
立即购买工即可享受本标准状态变更提醒服务! |
|
|
|
|
|
本标准规定了可信连接架构的层次、实体、组件、接口、实现流程、评估、隔离和修补以及各个接口的具体实现,解决终端连接到网络的双向用户身份鉴别和平台鉴别问题,实现终端连接到网络的可信网络连接。
本标准适用于具有可信平台控制模块的终端与网络的可信网络连接。 |
|
|
|
| 英文名称: |
Information security technology—Trusted computing specification—Trusted connect architecture |
 中标分类: |
电子元器件与信息技术>>信息处理技术>>L80数据加密 |
| ICS分类: |
信息技术、办公机械设备>>35.040字符集和信息编码 |
| 发布部门: |
中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 |
| 发布日期: |
2013-11-12 |
| 实施日期: |
2014-02-01
|
| 提出单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 归口单位: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 主管部门: |
全国信息安全标准化技术委员会(SAC/TC 260) |
| 起草单位: |
北京工业大学、西安西电捷通无线网络通信股份有限公司、瑞达信息安全产业股份有限公司等 |
| 起草人: |
沈昌祥、肖跃雷、曹军、张立强、张兴、韩永飞等 |
| 页数: |
148页【胶订-大印张】 |
| 出版社: |
中国标准出版社 |
| 出版日期: |
2014-02-01 |
|
|
|
本标准按照GB/T1.1—2009的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准主要起草单位:北京工业大学、西安西电捷通无线网络通信股份有限公司、瑞达信息安全产业股份有限公司、西安电子科技大学、北京理工大学、武汉大学、北京天融信科技有限公司、北京电子科技学院、北京金奥博数码信息技术有限责任公司、中国电子科技集团公司第三十研究所、国家无线电监测中心、北京网贝合创科技有限公司、中国航天科工集团二院七O 六所、郑州信大捷安信息技术有限公司、上海格尔软件股份有限公司、西安邮电大学、江南计算机技术研究所、国家广播电影电视总局广播科学研究院、中国电子技术标准化研究院、华为技术有限公司、深圳长城电脑有限公司、中安科技集团有限公司、长春吉大正元信息技术股份有限公司、北京鼎普科技股份有限公司、成都卫士通信息产业股份有限公司、北京密安网络技术股份有限公司、中国电力科学研究院、无线网络安全技术国家工程实验室。
本标准主要起草人:沈昌祥、肖跃雷、曹军、张立强、张兴、韩永飞、方娟、李海鹏、黄振海、陈曦、祝烈煌、李兆斌、刘彤、冷冰、宋起柱、陈志浩、张焕国、秦志强、段丽娟、李晖、张龙、铁满霞、赖晓龙、常超稳、谭武征、韩勇桥、刘智君、姚琦、裴庆祺、张子剑、葛莉、鞠磊、赵桂芳、朱林、朱志祥、蒋炎河、王磊、邹冰玉、赖英旭、马卓、张变玲、杜志强、胡亚楠、刘卫国、池亚平、吴素研、苑克龙、王晓程、于昇、李兴华、王轲、张国强、李琴、刘贤刚、位继伟、尹瀚、秦晰、魏占祯、李瑛、刘了、梁晋春、公备、邵存金、李大东、何长龙、万俊、贾科、张世雄、王明坤、高昆仑、许胜伟、姚金利、王勇、侯亚荣、任兴田、杨宇光、赵国磊、韩培胜、曹慧渊、郭沛宇、郎风华。 |
|
|
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 2
4 缩略语 3
5 总体描述 5
5.1 概述 5
5.2 实体 6
5.3 层次 6
5.4 组件 6
5.5 接口 7
5.6 实现过程 8
5.7 评估、隔离和修补 9
6 网络访问控制层 11
6.1 概述 11
6.2 网络传输机制 11
6.3 访问控制机制 51
7 可信平台评估层 52
7.1 概述 52
7.2 平台鉴别基础设施 53
8 完整性度量层 115
8.1 概述 115
8.2 IF-IM 消息协议 115
9 IF-IMC和IF-IMV 120
9.1 概述 120
9.2 IF-IMC 120
9.3 IF-IMV 129
附录A (资料性附录) 完整性管理框架 134
附录B(资料性附录) 安全策略管理框架 136
附录C (资料性附录) 数字信封 138
图1 可信连接架构(TCA) 5
图2 TCA 的实现过程 8
图3 具有隔离修补层的可信连接架构 10
图4 TCA 的序列TAEP鉴别实现一的层次模型 12
图5 序列TAEP鉴别实现一的TAEP交互过程 14
图6 TCA 的序列TAEP鉴别实现二的层次模型 15
图7 序列TAEP鉴别实现二的TAEP交互过程一 18
图8 序列TAEP鉴别实现二的TAEP交互过程二 19
图9 FLAG 21
图10 EWAI协议的证书鉴别过程 21
图11 消息1的数据字段格式 22
图12 消息2的数据字段格式 22
图13 消息3的数据字段格式 23
图14 消息4的数据字段格式 24
图15 消息5的数据字段格式 27
图16 消息6的数据字段格式 30
图17 消息7的数据字段格式 33
图18 消息8的数据字段格式 36
图19 消息9的数据字段格式 36
图20 TCA 的隧道TAEP鉴别方式层次模型 38
图21 隧道TAEP鉴别实现的TAEP交互过程一 41
图22 隧道TAEP鉴别实现的TAEP交互过程二 42
图23 ETLS协议的握手协议分组格式 43
图24 ETLS协议的握手过程 44
图25 消息1的数据字段格式 44
图26 FLAG 45
图27 消息2的数据字段格式 46
图28 消息3的数据字段格式 48
图29 消息4的数据字段格式 49
图30 全端口控制实现方式下的端口控制系统结构 52
图31 PAI协议基本流程 54
图32 PAI协议分组格式 56
图33 标识FLAG格式 57
图34 组件类型级平台完整性度量请求参数 58
图35 组件属性级平台完整性度量请求参数条目 58
图36 组件类型级平台完整性评估策略条目 59
图37 组件产品级平台完整性评估策略条目 59
图38 组件属性级平台完整性评估策略条目 60
图39 组件类型级平台完整性度量值条目 60
图40 IF-IM 级平台完整性度量值条目 61
图41 组件类型级Quote数据值条目 61
图42 IF-IM 级Quote数据值条目 61
图43 组件类型级平台配置保护策略条目 62
图44 组件产品级平台配置保护策略条目 62
图45 组件属性级平台配置保护策略条目 63
图46 组件类型级平台修补信息条目 63
图47 IF-IM 级平台修补信息条目 63
图48 组件类型级错误原因信息条目 64
图49 组件产品级错误原因信息条目 64
图50 组件属性级错误原因信息条目 65
图51 类型-长度-值(TLV)的格式 65
图52 签名属性 66
图53 平台完整性度量请求参数 67
图54 平台完整性评估策略 67
图55 平台完整性度量值 68
图56 Quote数据值 68
图57 平台配置保护策略 69
图58 PIK证书验证和平台完整性评估结果 69
图59 平台修补信息 71
图60 错误原因信息 71
图61 汇聚平台完整性评估策略 71
图62 消息1的数据字段格式 72
图63 消息2的数据字段格式 76
图64 消息3的数据字段格式 79
图65 PAI-1协议中IMV 生成组件产品级平台完整性评估结果及其他参数的具体过程 82
图66 PAI-1协议中EPS生成组件类型级平台完整性评估结果及其他参数的具体过程 84
图67 PAI-1协议中EPS生成AR的平台完整性评估结果及其他参数的具体过程 85
图68 消息4的数据字段格式 86
图69 消息5的数据字段格式 90
图70 消息6的数据字段格式 93
图71 消息1的数据字段格式 94
图72 消息2的数据字段格式 98
图73 消息3的数据字段格式 101
图74 PAI-2协议中IMV 生成组件产品级平台完整性评估结果及其他参数的具体过程 104
图75 PAI-2协议中EPS生成组件类型级平台完整性评估结果及其他参数的具体过程 106
图76 PAI-2协议中EPS生成AR的平台完整性评估结果及其他参数的具体过程 107
图77 消息4的数据字段格式 108
图78 消息5的数据字段格式 111
图79 消息6的数据字段格式 114
图80 IF-IM 消息的格式 116
图81 IF-IM 属性的格式 116
图82 产品信息的IF-IM 属性值 117
图83 数字版本的IF-IM 属性值 118
图84 字符串版本的IF-IM 属性值 118
图85 操作状态的IF-IM 属性值 118
图86 平台修补信息的IF-IM 属性值 119
图87 基于URI的修补指示 119
图88 IF-IM 错误信息 120
图89 AR中的IF-IMC交互示意图 125
图90 AC中的IF-IMC交互示意图 129
图91 IF-IMV 交互示意图 133
图A.1 完整性管理框架 134
图B.1 安全策略管理框架 136
图C.1 数字信封的生成和解开 138
表1 平台完整性评估结果的或运算规则 86
表2 平台完整性评估结果的与运算规则 86
表3 本标准定义的组件类型 115
表4 本标准定义的IF-IM 属性类型 117
表5 IF-IMC的功能函数结果状态码 120
表6 网络连接状态值 121
表7 执行下一个平台鉴别过程的原因值 121
表8 IF-IMV 的功能函数结果状态码 130 |
|
|
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB15629.11—2003 信息技术 系统间远程通信和信息交换局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范
GB15629.11—2003/XG1—2006 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第11部分:无线局域网媒体访问控制和物理层规范 第1号修改单
GB/T28455—2012 信息安全技术 引入可信第三方的实体鉴别及接入架构规范ISO/IEC9798-3:1998/Amd.1:2010 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制 第1号修改单:引入在线可信第三方的机制(Informationtechnology—Securitytechniques—
Entityauthentication—Part3:Mechanismsusingdigitalsignaturetechniques—Amendment1:Mechanismsinvolvinganon-linetrustedthirdparty)
ISO/IEC18028-5:2006 信息技术 安全技术 IT网络安全 第5部分:使用虚拟专用网的跨网通信安全保护(Informationtechnology—Securitytechniques—ITnetworksecurity—Part5:Securing communicationsacrossnetworksusingvirtualprivatenetworks)
IETFRFC2138 远程认证拨入用户服务(RemoteAuthenticationDialInUserService)
IETFRFC2246 TLS协议1.0版本(TheTLSProtocolVersion1.0)
IETFRFC2547 边界网关协议/多协议标签交换虚拟专用网(BGP/MPLSVPNs)
IETFRFC2675 Ipv6巨型包(IPv6Jumbograms)
IETFRFC2865 远程认证拨入用户服务(RemoteAuthenticationDialInUserService)
IETFRFC2866 远程认证拨入用户服务的计费(RADIUSAccounting)
IETFRFC3280 X.509公钥基础设施证书和证书撤销列表轮廓(InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationListProfile)
IETFRFC3539 认证、授权和计费传输轮廓(Authentication Authorizationand Accounting TransportProfile)
IETFRFC3588 Diameter基础协议(DiameterBaseProtocol)
IETFRFC3589 3GPP的Diameter命令代码(DiameterCommandCodesforThirdGeneration PartnershipProjectRelease5)
IETFRFC4346 TLS协议1.1版本(TheTLSProtocolVersion1.1) |
|
|
|
| |