ICS 35.240
L70/84
团
体 标 准
T/ZISIA 02-2024
自主创新型网络安全技术
安全可信启动设计要求
Autonomous and innovative cybersecurity technology ——
Design requirements for secure and trusted booting
2024-06-05 发布
2024-06-05 实施
中关村网络安全与信息化产业联盟 发布
1
T/ZISIA 2-2024
目 次
前言 ......................................................................... I
引言 ........................................................................ II
1 范围 ....................................................................... 1
2 规范性引用文件 ............................................................. 1
3 术语和定义 ................................................................. 1
4 符号和缩略语 ............................................................... 2
5 安全可信启动设计原则 ....................................................... 2
6 安全可信启动保护对象 ....................................................... 2
7 硬件设计要求 ............................................................... 2
7.1 硬件资源隔离 ........................................................ 2
7.2 安全启动芯片 ........................................................ 3
7.3 安全存储 ............................................................ 3
7.4 安全通讯机制 ........................................................ 3
8 软件设计要求 ............................................................... 3
8.1 软件启动流程设计要求 ................................................ 3
8.2 安全可信启动验签要求 ................................................ 4
8.3 安全固件更新设计要求 ................................................ 4
8.4 安全启动配置 ........................................................ 4
8.5 安全日志记录 ........................................................ 4
8.6 安全更新机制 ........................................................ 4
8.7 安全权限控制 ........................................................ 4
i
T/ZISIA 2-2024
前 言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规
则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中关村网络安全与信息化产业联盟提出并归口。
本文件起草单位：飞腾信息技术有限公司、奇安信科技集团股份有限公司、中关村网络
安全与信息化产业联盟、中电（海南）联合创新研究院有限公司、北京源堡科技有限公司、
麒麟软件有限公司、昆仑太科（北京）技术股份有限公司、杭州吉利汽车数字科技有限公司、
东莞理工学院、武汉大学、北京乐达智联科技有限公司。
本文件主要起草人：陈才、罗洪毅、杨有桂、毛庆梅、任燕、王震、陈华平、袁华强、
陈晶、杜君、张大朋、陈晓峰、常凯翔、杨伟萍、王长帅、王海洋、魏宁、于晴、邹冬、陈
小春、肖志坤、戴庆、章正柱、乔思远、汪列军、白敏。
I
T/ZISIA 2-2024
引 言
随着数字化时代的深入发展，信息安全与信任成为了企业发展中至关重要的因素。安全
可信启动标准旨在为组织提供一套系统化的指导原则，为服务器、终端、嵌入式产品等整机
厂商提供了实践性、可操作性的指导，帮助其建立和维护安全可信的业务环境，从而满足当
前数字化环境下的安全可信需求。
本标准是对T/ZISIA 01-2024《自主创新型网络安全技术 框架》标准中关于安全可信启
动相关要求的细化；本标准对T/ZISIA 03-2024《自主创新型网络安全技术 计算基础环境安
全要求》和T/ZISIA 04-2024《自主创新型网络安全技术 可信计算技术要求》相关内容提供
支撑，从而构成自主创新型网络可信计算体系。
我们期待本标准能够成为组织在构建安全可信业务环境中的重要参考，为推动产业发展
和数字化进程做出积极贡献。
II
T/ZISIA 2-2024
自主创新型网络安全技术 安全可信启动设计要求
1 范围
本文件给出了安全可信启动设计原则、安全可信启动保护对象、硬件设计要求、软件设
计要求。
本文件适用于指导整机厂商进行计算机系统（包括服务器、终端、嵌入式产品等）的安
全可信启动的设计。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，凡是注
日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包
括所有的修改版）适用于本文件。
GM/T 0008 -2012 安全芯片密码检测标准
GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块
GB/T 37935-2019 信息安全技术 可信计算规范 可信软件基
GB/T 25069-2022 信息安全技术 术语
GM/T 0002 SM4 分组密码算法
GM/T 0003 SM2 椭圆曲线公钥密码算法
GM/T 0004 SM3 密码杂凑算法
GM/T 0005 随机性检测规范
T/ZISIA 01-2024 自主创新型网络安全技术 框架
T/ZISIA 03-2024 自主创新型网络安全技术 计算基础环境安全要求
T/ZISIA 04-2024 自主创新型网络安全技术 可信计算技术要求
3 术语和定义
GB/T 25069 界定的术语和定义以及下列术语和定义适用于本文件：
3.1
固件 firmware
固化到计算机中的非易失性存储器中的一组程序或软件,为计算机提供最基本的硬件初
始化,还可能向上层软件提供底层硬件的访问接口或服务。
3.2
信任链 trust chain
数字证书链，指从根证书开始，通过层层信任，使持有终端实体证书的人可以获得委托
信任，以证明身份。
3.3
基本输入输出系统 basic input/output system
是计算机中的一种固件,是操作系统和计算机平台硬件之间连接的一个桥梁,负责计算
机开机时的硬件检测、设备初始化、操作系统引导并向操作系统提供服务接口。
3.4
安全可信启动 secure and trusted booting
计算机启动时，启动过程中的每个组件都必须通过数字签名进行验证，以确保它们是由
受信任的发行方发布的，并且没有被篡改或替换。
3.5
缓存 cache
缓存是一种临时存储设备或存储器，用于存储临时性数据，以便加快数据访问速度。缓
存通常位于 CPU 和主存之间，用于存储频繁访问的数据或指令，以便提高数据的访问速度和
系统性能。
1
T/ZISIA 2-2024
4 符号和缩略语
下列符号和缩略语适用于本文件。
CPU：中央处理器（Central Processing Unit）
OTP：一次性可编程存储类型（One Time Programmable）
ROM：只读存储器（Read-Only Memory）
EFUSE：电子熔断器（Electronic Fuse）
I/O：输入/输出（Input/Output）
TOS：可信的操作系统（Trusted Operating System）
UEFI：统一可扩展固件接口（Unified Extensible Firmware Interface）
TLB：地址变换高速缓冲（Translation-Lookaside Buffer）
TEEOS：具有可信执行环境的操作系统（Trusted Execution Environment Operating
System）
5 安全可信启动设计原则
根据T/ZISIA 01-2024要求，处理器在启动过程中，所有被执行的代码都必须通过验签
认证，应从可信根开始，一级验签一级，构建信任链，保证系统启动过程中的加载程序的完
整性和可信度。
安全可信启动设计原则应遵循：
a) 最小特权原则：系统启动过程中应最小化权限，从各级固件到系统到应用程序等都
只分配其所需的最低权限，以减少潜在的攻击面和安全风险；
b) 防篡改原则：采用数字签名，哈希校验等技术来验证引导加载的软件代码，以防止
篡改和恶意修改；
c) 信任链原则：建立信任链，从硬件到引导加载程序再到系统，逐级验证和建立信任，
确保每个环节的可信度和安全性。
6 安全可信启动保护对象
安全可信启动保护对象应包含但不限于：
a) 固件：保障硬件设备初始化正常进行，保障系统和底层硬件交互的通道；
b) 引导加载程序：保护引导加载程序的完整性和真实性，防止恶意软件篡改或替换引
导加载程序；
c) 操作系统内核和驱动程序：宜验证操作系统内核和驱动程序的完整性，确保它们没
有被篡改或被恶意软件修改，保证系统启动后的环境是可信的。操作系统内核和
驱动程序是系统的核心组件，需要受到保护；
d) 启动配置文件和参数：启动配置文件和参数包括引导加载程序的配置信息和启动参
数，确保其安全性，防止恶意软件通过修改配置文件来绕过安全机制，同时确保
只有受信任的配置可以被加载；
e)
安全更新和补丁：应确保系统可以及时接收安全更新和补丁，及时修复已知的漏洞
和安全问题，提高系统的整体安全性和可靠性。安全更新和补丁是保护系统免受
已知攻击的重要措施。
7 硬件设计要求
7.1 硬件资源隔离
应支持安全扩展，支持将硬件资源隔离成安全资源和普通资源，并在隔离架构上构建安
全可信架构，软硬相结合共同构建一个安全执行环境，硬件资源隔离包括但不限于：
a) 处理器核的安全扩展：处理器核应支持安全性扩展，处理器核可虚拟成两个核，一
2
T/ZISIA 2-2024
个为安全核，一个为计算核，安全核可以获得所有资源的访问权限，计算核无法获
取安全资源的访问权限，两者之间通过安全监控软件进行切换；
b) 系统总线安全扩展：应控制处理器在不同运行状态下对硬件资源的访问权限，在总
线上增加安全控制信号，表示读写事物操作的安全标志。从设备能解析安全标志，
不响应普通事物的请求，并在系统总线上返回错误操作信号，报给主设备；
c) 存储资源的安全扩展：
1) 应支持私有缓存，TLB具有安全标识位，避免普通应用对私有缓存，TLB内安全
内容的访问；
2) 应支持CPU片内ROM的控制逻辑包含安全控制位，拒绝普通应用对片内ROM的访
问；
3) 应在内存控制器总线上实现内存隔离模块，用于对内存的地址空间进行划分并
配置相应安全属性，内存隔离模块应对访问内存的请求进行检查，只有符合访
问地址所在域的安全属性才可以访问内存，否则将被拒绝访问内存，并返回错
误，应符合T/ZISIA 03-2024规定的内存区段读写保护要求。
7.2 安全启动芯片
a) 安全可信启动的可信根应固化在片内 ROM，应符合 T/ZISIA 04-2024 规定的可信根
构建和能力要求，可信根提供硬件可信的基础，支持在 BIOS 等固件启动前对其进
行完整性检测；
b) 宜使用 EFUSE/OTP 等存储介质存储固件验签的根公钥；
c) 应具备硬件密码模块，包括但不限于支持 GM/T 0002、GM/T 0003 和 GM/T 0004 中
规定的密码算法，应支持随机数生成，随机数应符合 GM/T 0005 中的要求。
7.3 安全存储
a) 应支持安全存储环境，对存储器中的敏感数据，密钥等信息加密存储；
b) 应支持存储设备的安全区域划分，非安全侧请求无法访问安全存储设备；
c) 应验证数据在存储过程中的完整性。
7.4 安全通讯机制
应支持安全通信机制，普通环境不能直接访问安全资源，只能通过安全通道发起请求由
安全环境收到后进行处理，确保普通环境只有最小权限。
8 软件设计要求
8.1 软件启动流程设计要求
应最先执行存储在片内的可信根的代码，再由可信根验签片外的基础固件，验签成功后
跳转到基础固件执行，再由基础固件验签 TOS 和 UEFI ,验签通过后 UEFI 再将外设固件，再
由 TOS 或者 UEFI 验签操作系统加载程序，磁盘分区表等，验签通过后加载通用操作系统。
整个启动过程如下图所示，对引入的代码和数据进行了逐级的完整性度量和验签，逐级信任，
使得系统上执行的所有代码和数据都是可信任的。
信任链构成组件：可信根，CPU 基础固件，UEFI 通用固件，TOS，通用操作系统，各级
镜像的密钥和证书。
安全可信启动流程图
3
T/ZISIA 2-2024
8.2 安全可信启动验签要求
验签方式应使用数字签名的方式，验证信任链构成部件的完整性以及数字签名的有效性。
CPU 基础固件的证书由厂商提供，UEFI 通用固件证书由整机厂商提供，各级证书和镜像存储
在本地存储器当中，供上一级镜像验签使用。
8.3 安全固件更新设计要求
a) 更新前应校验固件的完整性和合法性，确保被更新固件没有被篡改或损坏，防止恶
意软件通过固件更新渠道对系统进行攻击和篡改；
b) 应检测固件更新前后版本是否一致；
c) 应控制固件更新版本应大于或等于更新前版本，小于更新前版本则被阻止，版本回
退可能导致系统不稳定；
d) 应测试更新固件后是否与硬件环境兼容，确保更新后不会影响系统运行，性能也不
会下降。
8.4 安全启动配置
应实现安全的启动配置管理，防止恶意软件通过修改启动配置文件或参数来绕过安全机
制，确保系统的启动过程受到保护。
8.5 安全日志记录
应确保系统可以及时接收安全更新和补丁，及时修复已知的漏洞和安全问题，提高系统
的整体安全性和可靠性。
8.6 安全更新机制
应确保系统可以及时接收安全更新和补丁，及时修复已知的漏洞和安全问题，提高系统
的整体安全性和可靠性。
8.7 安全权限控制
应对加载的第三方应用进行签名验证并对其权限进行控制，对第三方应用访问敏感信息
的行为进行管控。
_________________________________
4