云化电信网设备启动过程完整性校验技术规范行业标准全文.pdf

该【云化电信网设备启动过程完整性校验技术规范行业标准全文 】是由【资料之王】上传分享，文档一共【18】页，该文档可以免费在线阅读，需要了解更多关于【云化电信网设备启动过程完整性校验技术规范行业标准全文 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。 : .
ICS
CCS
、
YD
中华人民共和国通信行业标准
YD/T XXXXX—XXXX

云化电信网设备启动过程完整性校验技术
规范
Technical specifications for Integrity check of cloud telecommunication network
device boot
(点击此处添加与国际标准一致性程度的标识)
草稿

XXXX - XX - XX发布 XXXX - XX - XX实施
中华人民共和国工业和信息化部  发布 : .
YD/T XXXXX—XXXX
目次
前言 ...........................................................................III
1 范围 .................................................................................4
2 规范性引用文件 .......................................................................4
3 术语和定义 ...........................................................................4
..................................................................................4
..................................................................................4
..................................................................................4
..................................................................................4
..................................................................................4
4 缩略语 ...............................................................................4
5 核心网设备启动概述 ...................................................................5
核心网设备启动概述 ..............................................错误!5未定义书签。
核心网底层系统安全风险分析 ......................................错误!5未定义书签。
服务器供应链安全风险 .......................................................176
云化操作系统安全风险 .......................................................176
核心网网元安全风险 .........................................................176
设备启动安全测试软硬件环境 ......................................................56
测试网络拓扑 ................................................................56
测试工具 ....................................................................67
6 ..........................................................67核心网设备启动安全功能要求
服务器启动时完整性保护要求 ......................................................67
硬件可信根完整性保护 ........................................................67
固件完整性保护 ..............................................................67
BIOS..............................................................67完整性保护
板卡完整性保护 ..............................................................67
安全告警 ....................................................................68
BMC BIOS启动完整性保护校验失败时，系统宜支持对服务器启动完整性保护校验日志记录。当
应支持输出告警到BMC ..........................68系统。云化操作系统启动时完整性保护要求
SHIM......................................................78加载模块完整性保护
GRUB......................................................78加载模块完整性保护
Kernel....................................................78内核模块完整性保护
日志记录 ....................................................................78
核心网网元启动时完整性保护要求 ..................................................78
SHIM......................................................78加载模块完整性保护
GRUB......................................................78加载模块完整性保护
Kernel....................................................78内核模块完整性保护
日志记录 ....................................................................78
安全管理要求 ....................................................................78
服务器BIOS .............................................78启动时完整性保护配置
I : .
YD/T XXXXX—XXXX
云化操作系统启动时完整性保护配置 ............................................79
服务器BIOS .........................................................79证书管理
云化操作系统证书管理 ........................................................89
服务器BIOS .........................................................89证书合规
云化操作系统证书合规 ........................................................89
7 ..........................................................89核心网设备启动安全测试方法
服务器启动时完整性保护测试方法 ..................................................89
硬件可信根完整性保护 ........................................................89
固件完整性保护 ..............................................................89
BIOS.............................................................910完整性保护
板卡完整性保护 .............................................................910
安全告警 ..................................................................1011
云化操作系统启动时完整性保护测试方法 ..........................................1011
SHIM....................................................1011加载模块完整性保护
GRUB....................................................1012加载模块完整性保护
Kernel..................................................1112内核模块完整性保护
日志记录 ..................................................................1113
核心网网元启动时完整性保护测试方法 ............................................1213
SHIM....................................................1213加载模块完整性保护
GRUB....................................................1214加载模块完整性保护
Kernel..................................................1314内核模块完整性保护
日志记录 ..................................................................1415
安全管理测试方法 ..............................................................1415
服务器BIOS ...........................................1415启动时完整性保护配置
云化操作系统启动时完整性保护配置 ..........................................1415
服务器BIOS .......................................................1416证书管理
云化操作系统证书管理 ......................................................1516
服务器BIOS .......................................................1516证书合规
云化操作系统证书合规 ......................................................1617
II : .
YD/T XXXXX—XXXX
前言
本文件按照GB/T —2020 1第《标准化工作导则部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国通信标准化协会提出并归口。
本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、华为技术有限公司、中兴通
讯股份有限公司。
本文件主要起草人：
III : .
YD/T XXXXX—XXXX
云化电信网设备启动过程完整性校验技术规范
1　范围
本文件根据云化电信网设备启动过程技术框架，规定了云化电信网设备启动过程安全功能要求及测
试方法，涵盖服务器安全、云操作系统安全、核心网网元虚拟机安全等领域启动完整性保护要求、管理
要求及测试方法。
本文件适用于云化电信网设备启动过程完整性校验建设指导。
2　规范性引用文件
本文件没有规范性引用文件。
3　术语和定义
下列术语和定义适用于本文件。
　
可信根 root of trust
可信计算能力的信任源点，可用于支撑硬件产品信任链建立和传递。
　
密钥交换密钥 key exchange key（KEK）
用来保护DB、DBX、DBT的密钥。
　
已允许数据库 allowed database（DB）
UEFI安全启动时的白名单，包含允许的CA证书和摘要值。
　
被禁止签名数据库 forbidden database（DBX）
UEFI安全启动时的黑名单，包含不允许的CA证书和摘要值。
　
时间戳签名数据库 allowed database time stamp（DBT）
安全启动时间戳签名数据库，包含时间戳签名CA证书。
4　缩略语
4 : .
YD/T XXXXX—XXXX
下列缩略语适用于本文件。
BIOS 基本输入输出系统 basic input/output system
VNF 虚拟网络功能 virtual network function
OS 操作系统 Operating system
GRUB 多操作系统启动管理器 GRand Unified Bootloader
CPU 中央处理器 Central Processing Unit
RoT 可信根 root of trust
BMC 主板管理控制器