T/CIITA 114-2021 PKS体系 UEFI固件内置可信启动技术要求

ICS35.020

CCSL70

团体标准

T/CIITA114—2021

PKS体系UEFI固件内置可信启动技术要求

PKSsystem—TechnicalrequirementsofUEFIfirmwarebuiltintrustedboot

2021-12-20发布2022-02-01实施

中国信息产业商会发布

T/CIITA114-2021

目次

前言.......................................................................III

1范围.........................................................................1

2规范性引用文件...............................................................1

3术语和定义...................................................................1

4缩略语.......................................................................3

5内置可信的环境要求...........................................................3

5.1UEFI固件关联部件.........................................................3

5.2硬件的环境要求...........................................................4

5.3UEFI固件执行的环境要求...................................................4

6UEFI固件内置可信启动的要求...................................................4

6.1UEFI固件度量内容的要求...................................................4

6.2UEFI固件度量对象的命名要求...............................................4

6.3UEFI固件度量接口的要求...................................................4

7UEFI数据的存储访问...........................................................4

7.1存储要求.................................................................4

7.2存储访问接口.............................................................5

附录A（规范性）硬件的环境要求.................................................6

附录B（规范性）内置可信运行的环境要求.........................................7

附录C（规范性）内置可信环境信任链的建立要求...................................8

附录D（规范性）UEFI固件度量内容的要求........................................9

附录E（规范性）UEFI可信启动度量接口.........................................10

参考文献................................................................17

I

T/CIITA114-2021

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国信息产业商会团体标准委员会提出并归口。

本文件起草单位：中国长城科技集团股份有限公司、飞腾信息技术有限公司、北京可信华泰信息技

术有限公司、澜起科技股份有限公司、中电（海南）联合创新研究院有限公司、迈普通信技术股份有限

公司、中国电子信息产业集团有限公司。

本文件主要起草人：成联国、席文帅、刘全仲、林俊、吴翥、张思栋、贾云鹤、杜晓飞、郭小军、

黎建根、岑月宁、刘晓润、黎林、葛广肆、李信德、屈利婵、王涛、洪宇、李毅、郑世普、王昊、唐仁

圣、林茂。

III

T/CIITA114-2021

PKS体系UEFI固件内置可信启动技术要求

1范围

本文件规定了UEFI固件内置可信的环境、内置可信启动、UEFI数据的存储访问的技术要求。

本文件适用于PKS体系整机主板固件的设计、生产和使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

T/CIITA100-2021PKS体系术语

T/CIITA102-2021PKS体系中央处理器参考板

3术语和定义

T/CIITA100-2021界定的以及下列术语和定义适用于本文件。

3.1

PK体系Phytium/Kylinsystem

PKsystem

以飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS）为基础的产品、技术、管

理、服务、生态、方案和应用的集成系统。

[来源：T/CIITA100-2021，3.1.1]

3.2

PKS架构Phytium/Kylin/securityarchitecture

PKSarchitecture

基于飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS），具有双体系防护结构，

具备内生内置安全能力的自主安全体系架构。

[来源：T/CIITA100-2021，3.1.2]

3.3

PKS体系Phytium/Kylin/securitysystem

PKSsystem

基于PKS架构（3.2）的PK体系（错误！未找到引用源。）。

[来源：T/CIITA100-2021，3.1.3]

3.4

内置可信builtintrust

一种将可信平台控制模块内置于处理器的技术。

3.5

板卡固件optionROM

存储平台启动部件的启动和配置代码的只读存储器。

1

T/CIITA114-2021

3.6

信任链trustchain

在计算系统启动和运行过程中，使用完整性度量方法在部件之间所建立的信任传递关系。

3.7

操作系统加载器OSbootloader

一种加载操作系统内核的程序。

3.8

安全内存securitymemory

具有数据保护功能的内存。

3.9

通用内存generalmemory

不具有数据保护功能，且符合行业规范的内存。

3.10

度量measurement

使用加解密算法，对被度量对象做验证的一系列计算操作。

3.11

度量内容measurementcontent

被度量的一系列数据。

3.12

度量对象measurementobject

被度量的部件的统称。

3.13

度量代理点measurementagentpoint

负责度量系统的部分装载和执行代码，实现信任传递的代码度量部件子模块。

3.14

度量接口measurementprotocol

度量代理点之间传递度量信息的接口。

3.15

可信启动trustedboot

通过信任链机制实现计算机初态安全可信的开机过程。

3.16

UEFI固件UEFIfirmware

符合统一可扩展固件接口（UEFI）规范的固件。

3.17

UEFI数据UEFIdata

统一可扩展固件接口（UEFI）固件的一系列配置数据。

3.18

硬件可信根hardwarerootoftrust

2

T/CIITA114-2021

作为计算机系统里可信启动的可信根的硬件模块。

4缩略语

下列缩略语适用于本文件。

CPU中央处理器(centralprocessingunit)

GPT全局唯一标识磁盘分区表(GUIDpartitiontable)

I²C内部整合电路(inter-integratedcircuit)

MBR主引导记录(masterbootrecord)

PKS飞腾麒麟体系安全(PhytiumKylinsystemsecurity)

PBF飞腾基础固件(Phytiumbasefirmware)

RAM随机存取存储器(randomaccessmemory)

REE通用执行环境(richexecutionenvironment)

ROM只读存储器(readonlymemory)

SPI串行外设接口(serialperipheralinterface)

TPCM可信平台控制模块(trustedplatformcontrolmodule)

TSB可信软件基(trustedsoftwarebase)

TEE可信执行环境(trustedexecutionenvironment)

UEFI统一可扩展固件接口(unifiedextensiblefirmwareinterface)

UEFIAPP统一可扩展固件接口应用程序(UEFIapplication)

UEFIDRIVER统一可扩展固件接口驱动程序(UEFIdriver)

5内置可信的环境要求

5.1UEFI固件关联部件

与UEFI固件