1 范圍

      本文件規(guī)定了安全處理器的安全功能要求和安全保障要求。

      本文件適用于安全處理器設(shè)計(jì)、生產(chǎn)和應(yīng)用。

2 規(guī)范性引用文件

      下列文件中的內(nèi)容通過(guò)文中規(guī)范性引用而構(gòu)成本文件中必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336（所有部分）信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則

      GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 32915-2016 信息安全技術(shù) 二元序列隨機(jī)性檢測(cè)方法

3 術(shù)語(yǔ)和定義

      GB/T 25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      安全處理器 security processor

      由固件和硬件實(shí)體組成，具備物理防護(hù)、邏輯防護(hù)、應(yīng)用防護(hù)能力，能夠達(dá)到一定安全強(qiáng)度和安全等級(jí)的處理器。

      注：安全處理器實(shí)現(xiàn)技術(shù)包括密碼技術(shù)、物理防護(hù)技術(shù)、數(shù)據(jù)編碼技術(shù)、可重組邏輯技術(shù)等。

3.2

      物理防護(hù) physical protection

      采用攻擊防護(hù)的設(shè)計(jì)、攻擊檢測(cè)的方法、利用檢測(cè)與處理功能，監(jiān)測(cè)處理器工作環(huán)境，并能支持異常行為應(yīng)答審計(jì)處理，阻止物理威脅的安全能力。

      注：攻擊防護(hù)包括掩膜、封裝、物理接口的安全保護(hù)設(shè)計(jì)等；攻擊檢測(cè)包括光，電磁，邏輯斷路、短路、旁路檢測(cè)等；工作環(huán)境包括溫度、頻率、電壓測(cè)試等；應(yīng)答審計(jì)處理包括通知、標(biāo)記、應(yīng)答處理、審計(jì)處理等措施。

3.3

      應(yīng)用防護(hù) application protection

      鏈接物理防護(hù)的功能，具有對(duì)程序和數(shù)據(jù)的保護(hù)能力、運(yùn)行態(tài)檢測(cè)和監(jiān)控能力、資源調(diào)度和配置控制能力、安全通信能力，并能支持異常行為應(yīng)答審計(jì)處理，阻止應(yīng)用威脅的安全能力。

注：保護(hù)能力包括利用同態(tài)計(jì)算、密碼技術(shù)應(yīng)用對(duì)程序和數(shù)據(jù)處理能力，資源調(diào)度和配置控制包括安全存儲(chǔ)、控制管理、安全配置等措施，安全通信包括加密傳輸、可信根傳遞的運(yùn)用、身份認(rèn)證等措施。

3.4

      邏輯防護(hù) logic protection

      依據(jù)物理防護(hù)和應(yīng)用防護(hù)的安全功能，通過(guò)資源配置、操作配置、運(yùn)行態(tài)控制等方式，調(diào)整安全策略，使邏輯結(jié)構(gòu)和控制具備對(duì)未知攻擊更強(qiáng)的安全強(qiáng)度和彈性，阻止邏輯威脅的安全能力。

3.5

      運(yùn)行態(tài) running state

      安全處理器運(yùn)行狀態(tài)。

3.6

      安全管理 security management

      實(shí)施安全處理器在原始態(tài)和運(yùn)行態(tài)下的控制管理。

      注：安全管理包括原始注入、加載、檢測(cè)、程序列表和數(shù)據(jù)列表管理、資源度量、資源配置和資源調(diào)度等。

3.7

      安全監(jiān)控 security monitoring

      在安全處理器運(yùn)行態(tài)中，實(shí)施對(duì)硬件實(shí)體的物理檢測(cè)、應(yīng)用檢測(cè)和邏輯檢測(cè)，并完成檢測(cè)后的應(yīng)答審計(jì)處理。

      注：物理檢測(cè)、邏輯檢測(cè)、應(yīng)用檢測(cè)見(jiàn)附錄A的描述。

3.8

      安全配置 security configuration

      安全處理器在原始態(tài)和初始態(tài)下，依據(jù)安全需求進(jìn)行功能配置的方法。

      注：配置包括冗余配置、重組配置、操作配置和安全策略配置。

3.9

      邏輯接口 logic interface

      在安全處理器內(nèi)，通過(guò)安全策略表、應(yīng)答審計(jì)處理表、資源配置表、程序列表和數(shù)據(jù)列表的結(jié)構(gòu)體，實(shí)現(xiàn)數(shù)據(jù)交換功能的邏輯和控制。

3.10

      安全域 security domain

      在安全處理器內(nèi)，由硬件邏輯和固件共同管理控制下，供應(yīng)用程序使用的安全存儲(chǔ)實(shí)體。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      CM：配置管理（Configuration Management）

      EAL：評(píng)估保障級(jí)（Evaluation Assurance Level）

      EEPROM：電可擦除可編程只讀存儲(chǔ)器（Electrically-Erasable Programmable Read-only Memory）

      I/O：輸入/輸出（Input/Output）

      IP：知識(shí)產(chǎn)權(quán)（Intellectual Property）

      IT：信息技術(shù)（Information Technology）

      PIN：個(gè)人識(shí)別碼（Personal Identification Number）

      PP：保護(hù)輪廓（Protection Profile）

      RAM：隨機(jī)存取存儲(chǔ)器（Random-access Memory）

      ROM：只讀存儲(chǔ)器（Read-only Memory）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirement）

      ST：安全目標(biāo)（Security Target）

      TOE：評(píng)估對(duì)象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF 接口（TSF Interface）

5 安全處理器一般結(jié)構(gòu)

5.1 概述

      安全處理器在處理器功能和結(jié)構(gòu)中實(shí)現(xiàn)了物理防護(hù)、邏輯防護(hù)和應(yīng)用防護(hù)設(shè)計(jì)，提供了安全的事務(wù)處理能力，保障了處理器的自身安全和服務(wù)安全，由固件和硬件實(shí)體組成。

      固件的安全功能通過(guò)控制、管理、調(diào)度硬件實(shí)體的資源和數(shù)據(jù)，有效防止敏感信息泄漏，實(shí)現(xiàn)攻擊檢測(cè)、數(shù)據(jù)加密、運(yùn)行態(tài)監(jiān)控等物理防護(hù)功能；通過(guò)對(duì)硬件實(shí)體資源的安全配置和安全策略設(shè)計(jì)，增強(qiáng)邏輯防護(hù)能力；通過(guò)自身安全管理和實(shí)施安全監(jiān)控，實(shí)現(xiàn)原始態(tài)和運(yùn)行態(tài)下的數(shù)據(jù)安全、存儲(chǔ)安全、接口安全等應(yīng)用防護(hù)安全。

      硬件實(shí)體包括支撐固件實(shí)施數(shù)據(jù)與接口保護(hù)的功能（如密碼算法的電路邏輯）、檢測(cè)與處理的功能（如工作環(huán)境和狀態(tài)檢測(cè)，應(yīng)答審計(jì)處理），以及提供安全支撐與服務(wù)的功能（如導(dǎo)引加載、物理隨機(jī)源、安全配置、安全策略服務(wù)）。硬件實(shí)體還包括自身安全防護(hù)設(shè)計(jì)（如版圖屏蔽保護(hù)、金屬網(wǎng)防護(hù)），防止信息泄漏和克隆，實(shí)現(xiàn)物理防護(hù)的能力。其中，邏輯防護(hù)功能是通過(guò)硬件的冗余配置、重組配置、操作配置的定義，提高安全強(qiáng)度和容錯(cuò)設(shè)計(jì)能力，達(dá)到邏輯防護(hù)的目的。

      注：安全功能的實(shí)現(xiàn)可能包含多種方式，主要包括通過(guò)硬件實(shí)體實(shí)現(xiàn)，如功能部件群組；通過(guò)固件實(shí)現(xiàn)，如應(yīng)用協(xié)議的控制：通過(guò)硬件實(shí)體和固件共同實(shí)現(xiàn)，如配置操作；部分應(yīng)用功能轉(zhuǎn)換成硬件實(shí)體功能實(shí)現(xiàn)，如應(yīng)用流程的安全控制等。

5.2 安全處理器結(jié)構(gòu)

      安全處理器結(jié)構(gòu)特征主要表現(xiàn)在TOE中，其固件通過(guò)I/O接口支持應(yīng)用與系統(tǒng)集成的加載和運(yùn)行，硬件實(shí)體通過(guò)I/O接口支持物理設(shè)備集成的設(shè)計(jì)。管理者通過(guò)I/O接口使用固件鏈接硬件實(shí)體的控制，實(shí)現(xiàn)TOE的功能（如原始注入、安全配置、安全策略），同時(shí)用戶(hù)也可通過(guò)I/O接口在TOE的基礎(chǔ)上依據(jù)安全需求實(shí)現(xiàn)安全設(shè)計(jì)和應(yīng)用鏈接。TOE結(jié)構(gòu)及運(yùn)行環(huán)境見(jiàn)圖1。

圖1 安全處理器結(jié)構(gòu)示意圖及運(yùn)行環(huán)境

      固件功能模塊結(jié)構(gòu)包含內(nèi)容如下。

      a) 主控單元模塊：實(shí)現(xiàn)加載和初始化配置，調(diào)度其他模塊實(shí)現(xiàn)固件安全功能，以及工作狀態(tài)應(yīng)答審計(jì)處理。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。