可信计算学习笔记 - 服务器可信支撑平台【GB/T 36639-2018】

• 服务器可信支撑平台主要由物理可信根、 可信基础组件和虚拟可信组件等部分组成
  
  • 根据服务器软硬件组成的不同， 服务器可信支撑平台包含的部分也不同
    
    • 服务器硬件系统： 应包含物理可信根
      
    • 非虚拟化环境（由服务器硬件系统和操作系统组成） ： 应包含物理可信根和可信基础组件
      
    • 虚拟化环境（由服务器硬件系统、 操作系统和VMM组成） ： 应包含物理可信根、 可信基础组件和虚拟可信组件
      
    • OMM： 带外管理模块；带外管理是新一代网络管理技术的简称。网络管理又分为带内管理（In-Band）和带外管理(Out-Of-Band)
      
      • 带内管理：管理控制信息与数据信息使用统一物理通道进行传送
        
      • 带外管理：核心理念在于通过不同的物理通道传送管理控制信息和数据信息，两者完全独立，互不影响。
        
      • 带外管理系统（网络综合管理系统）
        
        • SLC控制台服务器(网络设备管理维护系统）
          
          • 把机房内部网络设备的Console端口集中起来联网建立一套独立于数据网络之外的专用管理网络
            
        • SLK远程KVM（计算机设备管理维护系统）
          
          • 管理员通过SLK远程KVM像操作本地计算机一样操作和管理远端机房内的计算机设备
            
        • SLP电源管理器（机房电源管理系统）
          
          • 包括：电源智能分配、负载测量、监控、管理以及远程控制
            
        • SLM网络集中管理器（网络集中综合管理系统）四部分组成
          
          • 多种网络设备（如计算机、服务器、路由器、交换机、防火墙等）通过SLM内置的https或SNMP图形化管理界面统一监控、管理
            
    • IPL：初始程序的装入程序（Initial Program Loader），主要功能是负责主板、电源、硬件初始化程序、并把SPL装入RAM；SPL（Second Program Loader）再次系统安装程序，其主要功能是装载操作系统到RAM
      
    • VMM： 虚拟机监控器
      
  • 物理可信根
    
    • 是服务器完整性度量的起点
      
    • 符合相关技术规范的要求， 包含但不限于 可信计算密码支撑平台功能与接口规范【GB/T 29829-2013】 中第 4. 1. 3 节、 可信计算规范 可信平台主板功能接口【GB/T 29827-2013】中第 5 章的要求
      
    • 其硬件载体应通过国家相关部门的许可
      
  • 虚拟可信根
    
    • 是虚拟机完整性度量的起点
      
    • 实现物理可信根相匹配的可信功能及接口
      
    • 其实例仅能为一个固定的虚拟机提供可信服务
      
  • 可信基础组件
    
    • 物理可信根为 TCM， 则可信基础组件为 TSM
      
    • 物理可信根为 TPM， 则可信基础组件为 TSS
      
  • 完整性度量、 存储及报告
    
    • 符合 可信计算密码支撑平台功能与接口规范【GB/T 29829-2013】 中 4. 3. 1. 2 的要求；
      
    • 服务器中相关部件的完整性度量值应存储于物理可信根中
      
    • 虚拟机中相关部件的完整性度量值应存储于虚拟可信根中