1 范围

      本文件规定了安全处理器的安全功能要求和安全保障要求。

      本文件适用于安全处理器设计、生产和应用。

2 规范性引用文件

      下列文件中的内容通过文中规范性引用而构成本文件中必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 18336（所有部分）信息技术 安全技术 信息技术安全评估准则

      GB/T 25069 信息安全技术 术语

      GB/T 32915-2016 信息安全技术 二元序列随机性检测方法

3 术语和定义

      GB/T 25069界定的以及下列术语和定义适用于本文件。

3.1

      安全处理器 security processor

      由固件和硬件实体组成，具备物理防护、逻辑防护、应用防护能力，能够达到一定安全强度和安全等级的处理器。

      注：安全处理器实现技术包括密码技术、物理防护技术、数据编码技术、可重组逻辑技术等。

3.2

      物理防护 physical protection

      采用攻击防护的设计、攻击检测的方法、利用检测与处理功能，监测处理器工作环境，并能支持异常行为应答审计处理，阻止物理威胁的安全能力。

      注：攻击防护包括掩膜、封装、物理接口的安全保护设计等；攻击检测包括光，电磁，逻辑断路、短路、旁路检测等；工作环境包括温度、频率、电压测试等；应答审计处理包括通知、标记、应答处理、审计处理等措施。

3.3

      应用防护 application protection

      链接物理防护的功能，具有对程序和数据的保护能力、运行态检测和监控能力、资源调度和配置控制能力、安全通信能力，并能支持异常行为应答审计处理，阻止应用威胁的安全能力。

注：保护能力包括利用同态计算、密码技术应用对程序和数据处理能力，资源调度和配置控制包括安全存储、控制管理、安全配置等措施，安全通信包括加密传输、可信根传递的运用、身份认证等措施。

3.4

      逻辑防护 logic protection

      依据物理防护和应用防护的安全功能，通过资源配置、操作配置、运行态控制等方式，调整安全策略，使逻辑结构和控制具备对未知攻击更强的安全强度和弹性，阻止逻辑威胁的安全能力。

3.5

      运行态 running state

      安全处理器运行状态。

3.6

      安全管理 security management

      实施安全处理器在原始态和运行态下的控制管理。

      注：安全管理包括原始注入、加载、检测、程序列表和数据列表管理、资源度量、资源配置和资源调度等。

3.7

      安全监控 security monitoring

      在安全处理器运行态中，实施对硬件实体的物理检测、应用检测和逻辑检测，并完成检测后的应答审计处理。

      注：物理检测、逻辑检测、应用检测见附录A的描述。

3.8

      安全配置 security configuration

      安全处理器在原始态和初始态下，依据安全需求进行功能配置的方法。

      注：配置包括冗余配置、重组配置、操作配置和安全策略配置。

3.9

      逻辑接口 logic interface

      在安全处理器内，通过安全策略表、应答审计处理表、资源配置表、程序列表和数据列表的结构体，实现数据交换功能的逻辑和控制。

3.10

      安全域 security domain

      在安全处理器内，由硬件逻辑和固件共同管理控制下，供应用程序使用的安全存储实体。

4 缩略语

      下列缩略语适用于本文件。

      CM：配置管理（Configuration Management）

      EAL：评估保障级（Evaluation Assurance Level）

      EEPROM：电可擦除可编程只读存储器（Electrically-Erasable Programmable Read-only Memory）

      I/O：输入/输出（Input/Output）

      IP：知识产权（Intellectual Property）

      IT：信息技术（Information Technology）

      PIN：个人识别码（Personal Identification Number）

      PP：保护轮廓（Protection Profile）

      RAM：随机存取存储器（Random-access Memory）

      ROM：只读存储器（Read-only Memory）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirement）

      ST：安全目标（Security Target）

      TOE：评估对象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF 接口（TSF Interface）

5 安全处理器一般结构

5.1 概述

      安全处理器在处理器功能和结构中实现了物理防护、逻辑防护和应用防护设计，提供了安全的事务处理能力，保障了处理器的自身安全和服务安全，由固件和硬件实体组成。

      固件的安全功能通过控制、管理、调度硬件实体的资源和数据，有效防止敏感信息泄漏，实现攻击检测、数据加密、运行态监控等物理防护功能；通过对硬件实体资源的安全配置和安全策略设计，增强逻辑防护能力；通过自身安全管理和实施安全监控，实现原始态和运行态下的数据安全、存储安全、接口安全等应用防护安全。

      硬件实体包括支撑固件实施数据与接口保护的功能（如密码算法的电路逻辑）、检测与处理的功能（如工作环境和状态检测，应答审计处理），以及提供安全支撑与服务的功能（如导引加载、物理随机源、安全配置、安全策略服务）。硬件实体还包括自身安全防护设计（如版图屏蔽保护、金属网防护），防止信息泄漏和克隆，实现物理防护的能力。其中，逻辑防护功能是通过硬件的冗余配置、重组配置、操作配置的定义，提高安全强度和容错设计能力，达到逻辑防护的目的。

      注：安全功能的实现可能包含多种方式，主要包括通过硬件实体实现，如功能部件群组；通过固件实现，如应用协议的控制：通过硬件实体和固件共同实现，如配置操作；部分应用功能转换成硬件实体功能实现，如应用流程的安全控制等。

5.2 安全处理器结构

      安全处理器结构特征主要表现在TOE中，其固件通过I/O接口支持应用与系统集成的加载和运行，硬件实体通过I/O接口支持物理设备集成的设计。管理者通过I/O接口使用固件链接硬件实体的控制，实现TOE的功能（如原始注入、安全配置、安全策略），同时用户也可通过I/O接口在TOE的基础上依据安全需求实现安全设计和应用链接。TOE结构及运行环境见图1。

图1 安全处理器结构示意图及运行环境

      固件功能模块结构包含内容如下。

      a) 主控单元模块：实现加载和初始化配置，调度其他模块实现固件安全功能，以及工作状态应答审计处理。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 40653-2021 信息安全技术 安全处理器技术要求》