TCICC 02002-2019 船舶电子信息系统可信网络连接要求

ICS L70/84中国指挥与控制学会团体标准T/CICC02002-2019船舶电子信息系统可信网络连接要求RequirementsforTrustedNetworkConnectionofShipborneElectronicInformationSystem2020-1-19发布 2020-1-30实施中国指挥与控制学会 发布T/CICC02002-2019T/CICC02002-2019II目 次前言 II范围 1规范性用文件 1术语 1缩略语 1一般要求 2详细要求 5T/CICC02002-2019T/CICC02002-2019鏈鏈鏈鏈前 言本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》的规则起草。本标准由中国指挥与控制学会提出并归口。II船舶电子信息系统可信网络连接要求范围本标准适用于船舶电子信息系统的可信网络连接设计。（）GB/T29828-2013 术语GB/T29828-2013相关术语适用于本标准。3.1可信平台控制模块trustedplatformcontrolmodule3.2可信计算平台trustedcomputingplatform用于实现可信计算功能，对计算系统实施保护和管理的支撑系统。3.3可信网络连接trustednetworkconnection终端连接到受保护网络的过程，包括用户身份鉴别、平台身份鉴别和平台完整性评估过程。缩略语下列缩略语适用于本标准，缩略语说明见表1。表1缩略语说明表序号缩略语说明1AC访问控制器(AccessController)2APS鉴别策略服务者(AuthenticationPolicyServer)3AS鉴别服务器(AuthenticationServer)4ASG鉴别服务器群组(AuthenticationServerGroup)5AR访问请求者(AccessRequestor)6BIOS基本输入输出系统(BasicInputOutputSystem)7EPS评估策略服务者(EvaluationPolicyServer)1表1（续）序号缩略语说明8IF-APS鉴别策略服务接口(AuthenticationPolicyServiceInterface)9IF-EPS评估策略服务接口(EvaluationPolicyServerInterface)10IF-TNT可信网络传输接口(TrustedNetworkTransportInterface)11IMC完整性度量收集者(IntegrityMeasurementCollector)12IMV完整性度量校验者(IntegrityMeasurementVerifier)13NAC网络访问控制者(NetworkAccessController)14NAR网络访问请求者(NetworkAccessRequestor)15PCR平台配置寄存器(PlatformConfigurationRegister)16PIK平台身份密钥(PlatformIdentityKey)17SML度量存储日志(StorageMeasurementLog)18TCA可信连接架构(TrustedConnectAuthentication)19TPA可信平台鉴别模块(TrustedPlatformAuthentication)一般要求访问请求者(AR)访问控制器(AC)鉴别服务器群组(ASG)鉴别服务器鉴别服务器层可信平台评估层……网络访问控制层完整性度量信息校验组件（IMV）完整性度量信息校验组件（IMV）集组件（IMC）完整性度量信息采集组件（IMC访问请求者(AR)访问控制器(AC)鉴别服务器群组(ASG)鉴别服务器鉴别服务器层可信平台评估层……网络访问控制层完整性度量信息校验组件（IMV）完整性度量信息校验组件（IMV）集组件（IMC）完整性度量信息采集组件（IMC）鉴别策略服务组件（APS）鉴别策略服务组件（APS）网络访问控制组件（NAC）网络访问请求组件（NAR）可信评估策略服务组件（EPS）可信评估策略服务组件（EPS）可信平台鉴别组件（TPA）可信平台鉴别组件（TPA）图1 可信网络接架构实体（NAR）2网络访问请求组件一般具有如下功能：ACNACAPSACTPATPANARTPA（NAC）网络访问控制组件一般具有如下功能：NARAPSAR别；TPATPANACTPA（APS）鉴别策略服务组件一般具有如下功能：NARNACARAC（TPA）可信平台鉴别组件一般具有如下功能：IMC，TPAEPSAR和AC之间的双向平台鉴别；（EPS）可信评估策略服务组件一般具有如下功能：IMVARACARACTPAARAC（IMC）（IMV）3完整性度量校验组件一般具有如下功能：ARARACASGARACAS17476网络访问控制(NAC)217476网络访问控制(NAC)233网络访问控制层4可信评估策略服务(EPS)可信平台鉴别(TPA)可信平台鉴别(TPA)44可信平台评估层5141完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)网络访问请求(NAR)完整性度量信息校验(IMV)完整性度量信息采集(IMC)完整性度量信息采集(IMC)鉴别策略服务(APS)IMCIMCIMV图2 可信网络接流程意图可信网络连接流程如下：ACAS的评估策略服务模块分别加载它们上端的各个完整性度量信息校验模块；ARACASGARASGACARTPA组件进行交互，获取平台完整性信息后，将信息发送至ASG进行完整性度量校验和评估；ASEPSIMVARARASAC；ACASGNACAR4入网络；ARACASGACAR，ARASGNAR其中，流程2、3）为AC与AR4、5、）为AC对AR7）ACARACARAC详细要求ASASAS如下：ASPIKAS，ASPIKASASPIK签名密钥只用于对数据和信息进行签名，不可用于加密。绑定密钥只用于加密小规模数据，不可/可信设备基于可信根功能生成签名/绑定密钥，并使用存储密钥来封装所生成的签名/钥私钥；可信设备基于可信根功能生成签名/绑定密钥的可信证明，证明包含签名/PIK5可信设备完整性基准值在确保生成环境安全的范本系统上进行采集和生成，生成完成后，采用确保安全的方式将其导入到AS上进行注册和统一管理。可信设备完整性基准值生成流程如下：（可包括BIOS，）PCR（SML）中；PCRSMLASAS完整性度量基准值信息表，并将该信息表与在系统中注册的可信设备建立关联关系，完成完ASACAR3425617网络访问控制层可信评估策略服务(EPS)可信平台评估层完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)鉴别策略服务3425617网络访问控制层可信评估策略服务(EPS)可信平台评估层完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)鉴别策略服务(APS)网络访问控制(NAC)网络访问请求(NAR)完整性度量信息校验(IMV)完整性度量信息采集(IMC)完整性度量信息采集(IMC)可信平台鉴别(TPA)可信平台鉴别(TPA)IMCIMCIMV图3 AC对AR的份鉴过程示图注：“1：NAR向ACPSD。“2：NAC将ARAP。“3APSAR的平台DAR平台ID“4APS通过ARARAR平台ID6整性验证。“5APSAR“6APS向ACAR“7：NAC向ARARACIMCIMCIMVNARNACARACARAC4IMCIMCIMV会话建立会话建立54网络访问控制(NAC)12网络访问请求(NAR)36网络访问控制层可信平台评估层完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)完整性度量信息校验(IMV)完整性度量信息采集(IMC)完整性度量信息采集(IMC)鉴别策略服务(APS)可信评估策略服务(EPS)可信平台鉴别(TPA)可信平台鉴别(TPA)图4 AR对AC的份鉴过程示图注：“1：NAR向AC“2：NAC将AC的PIKNR。“3：NARASAC的PIK“4AR向NAC请求AC“5：NACARNAR。“6NARAC的PK公钥对AC证。ACARARACTPAEPSACAR，EPSACAR7T/CICC02002-2019T/CICC02002-2019PAGEPAGE1022248222485 5鉴别策略服务(APS)网络访问控制(NAC)网络访问请求(NAR)网络访问控制层631可信平台评估层7完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)可信评估策略服务(EPS)可信平台鉴别(TPA)可信平台鉴别(TPA)完整性度量信息校验(IMV)完整性度量信息采集(IMC)完整性度量信息采集(IMC)IMCIMCIMV图5 AC对AR的台完性鉴别程示意图注：“1：AC的TPA向AR的TPA“2：AR的TAICIKACTPA。“3：AC的TPA将AREP。“4：EPSAR的PIK“5EPSAR“6：EPSARAC的TP“7：AC的TPA使用ASEPS“8AC的TPA根据对ARAC执ARARACARACTPAEPSARAC，EPSARAC6IMCIMCIMVIMCIMCIMV2 22 27485 5鉴别策略服务(APS)网络访问控制(NAC)网络访问请求(NAR)网络访问控制层6612可信评估策略服务(EPS)可信平台评估层33完整性度量层鉴别服务器群组(ASG)访问控制器(AC)访问请求者(AR)可信平台鉴别(TPA)可信平台鉴别(TPA)完整性度量信息校验(IMV)完整性度量信息采集(IMC)完整性度量信息采集(IMC)图6 AR对AC的台完性鉴别程示意图注：“1：AR的TPA向AC的TPA“2：AC的TAICPKARTPA。“3：AR的TPA将ACC，ACEP“4：EPSARAC的PIK“5EPSAC“6：EPSACC，ACAR的TA。“7：AR的TPA使用ASEPS“8AR的TPA根据对ACAR执ASGASG协