PK体系UEFI固件主板硬件要求、内置可信运行环境要求、环境信任链建立要求.pdfVIP

  • 40
  • 0
  • 约2.33千字
  • 约 3页
  • 2021-11-06 发布于河南
  • 举报

PK体系UEFI固件主板硬件要求、内置可信运行环境要求、环境信任链建立要求.pdf

附 录 A (规范性) 主板硬件要求 A.1 ROM保护要求 TPCM固件独占连接ROM的SPI控制器。ROM芯片的写保护引脚应由SPI控制器控制。 A.2 ROM容量要求 服务器的ROM容量,应不小于64MiB; 便携式微型计算机、台式微型计算机、工业应用微型计算机的ROM容量,应不小于32MiB。 A.3 主板与内存关联部分的设计要求 主板的设计应兼容安全内存和通用内存。其中,I²C总线的设计,应避免安全内存模组的安全功能 配置相关的I²C地址与同一总线上的其他I²C设备的地址冲突。 10 附 录 B (规范性) 内置可信运行的环境要求 B.1 内置可信的执行环境 内置可信的执行环境分为REE和TEE。UEFI固件被PBF固件加载至REE,并被TPCM固件度量。UEFI固件 作为度量代理点,度量并加载操作系统。见图B.1。 REE TEE PBF 固件 UEFI 固件 TPCM 固件 操作系统 B.1 内置可信的执行环境 B.2 TEE设计要求 TEE设计应符合以下要求: a)PBF固件、TPCM固件和UEFI固件同存储在ROM中,连接ROM的SPI控制器应划分在TEE; b)TEE应提供安全的度量命令接口; c)TEE应提供安全访问ROM的接口; d)TEE应存储度量的杂凑值和度量的日志; e)度量代理点应提供所度量对象的详细信息给TEE。 11 附 录 C (规范性) 内置可信环境信任链的建立要求 C.1 内置可信环境信任链的建立要求 内置可信环境是以飞腾处理器作为硬件可信根,建立TEE和REE,并将处理器核、内存空间、外设空 间等资源划分至TEE和REE中。 信任链的建立流程,见图C.1。具体如下: a)飞腾处理器验证并加载PBF固件,信任从飞腾处理器传递至PBF固件; b)PBF固件初始化处理器核、内存及片内输入输出控制器; c)PBF固件验证并加载TPCM固件至TEE,信任从PBF固件传递至TPCM固件; d)TPCM固件初始化TEE,建立TPCM运行实体; e)TPCM度量并加载UEFI固件至REE; f)TPCM通知PBF使能REE,信任从TPCM固件专递至UEFI固件; g)UEFI固件初始化其他外部设备,度量并加载执行板卡固件; h)UEFI固件度量并加载执行操作系统加载器,信任从UEFI传递至操作系统加载器; i)操作系统加载器度量并加载执行操作系统内核,信任从操作系统加载器传递至操作系统内核。 内置可信信任链建立流程 加载顺序 信任链 硬件可信根 硬件可信根 PBF 固件 PBF 固件 TPCM 固件

您可能关注的文档

文档评论(0)

1亿VIP精品文档

相关文档