国家标准 GB/T29827一2013 信息安全技术可信计算规范可信平台主板功能接口 nformatonseeurityteehnology一Irustedeomputingspeifieationr Motherboardfunetionandinterfaceotrustedplatform 2013-11-12发布 2014-02-01实施国家质量监督检监检疫总局发布国家标准花管理委员会国家标准
GB/T29827一2013 目次前言范围规范性引用文件术语和定义缩略语组成结构信任链传递完整性度量初始度量传统BIOS完整性度量 l0 UEFIBIOS完整性度量 11可信平台主板功能接口
GB/T29827一2013 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准主要起草单位:北京工业大学、长城计算机深圳股份有限公司南京百敖软件股份有限公司、航天科工集团二院七0六所、武汉大学、电子科技集团公司信息化工程总体研究中心、北京龙芯中科技术服务中心有限公司、江南计算技术研究所,、瑞达信息安全产业股份有限公司、中安科技集团有限公司、中船重工策团07所,北京中科院软件研究中心-北京华大但泰科技有限赏任公司.北京超毅" 世纪网络技术股份有限公司、华为技术有限公司桂林长海科技有限责任公司、电子技术标准化研究所本标准主要起草人;沈昌祥、韩永飞、张兴,王冠林诗达、徐明迪、王正鹏、蒋志翔、赵丽娜、周艺华、石明、张斌、孔雷,张焕国、汪文杰,胡明昌,吴新军、陈林、李大东,王然,张向阳、艾方、童广胜,徐庶框、李晨、贾兵、杜中平,杜晖,谢乾、赵波、张超、吴勇,石良军,马银生、郭景川.魏靖、宋洋,高瞻、曲新春余发江、陈小春、蔡哗,袁爱东、庄碌、曾颖明、孙永泉、段丽娟、宋靖、朱贺新、郭灵儿、刘智君、膝志刚、靳渎、郭毅、肖讳、孙圣超、刘军,陈莹,邹娜

GB/T29827一2013 信息安全技术可信计算规范可信平台主板功能接口范围本标准规定了可信平台主板的组成结构、信任链构建流程,功能接口本标准适用于基于可信平台控制模块的可信平台主板的设计、生产和使用规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T29829一2013信息安全技术可信计算密吗支撑平台功能与接口规范 nwareInterlaceSpecification UEFIV2.1统一可扩展固件接口规范(UnifiedExtensibleFirm 术语和定义下列术语和定义适用于本文件 3.1 可信根rootoftrust 对应TPCM模块 3.2 可信度量根rootoftrustformeasurement 个能够可靠进行完整性度量的计算引擎,是信任传递链的起始点 3.3 可信存储根rootoftrustforstorage 个能够可靠进行安全存储的计算引擎 3 可信报告根rootoftrustforreporting 一个能够可靠报告可信存储根所保存信息的计算引擎 3.5 通用设备generaldeviee 在原有PC主板上兼容的硬件设备,包括中央处理器(CPU),外部存储器、随机存储器、视频控制器等 3.6 初始只读存储器bootRoM 在计算机启动过程中提供最底层硬件设置的固件注:初始只读存储器在组成结构上分为BootBlock和MainBock两部分,按照类型分为传统BIOs和UEFIBIOS
GB/T29827一2013 初始引导模块bootbloek 存储在BootROM中,最先被CPU执行的一段平台初始引导模块,负责初始化最基本的平台部件注:被初始化的平台部件如内存等 3.8 主引导模块mainbloek 存储在BootROM中,在BootBloek之后被执行的代码,负责初始化除在BootBBlock中已经被配置的平台启动部件 3.9 板卡固件optionRoM 存储平台启动部件的启动和配置代码的只读存储器 3.10 扩展度量模块extendedmeasuremenmodle 计算机启动过程中的代码度量执行部件组,实现对后续执行代码的完整性度量和信任链扩展根据其在系统中的启动顺序,分为EMM1,EMM2,EMM3三个执行部件 3.1 11 扩展度量模块1EMM1 嵌人于BootROM中的BootBloek内的代码,负责对MainBlock中的EMM2进行度量 3. 12 扩展度量模块2EM2 嵌人于BootROM中的MainBlock内的代码,负责对平台启动部件和EMM3进行度量 3. 13 扩展度量模块3EMM13 嵌人于OSL.oader中的代码,负责对操作系统内核和EMM4进行度量的代码 3.14 扩展度量模块4EMIN14 嵌人于OS内核中的代码,负责对内核文件进行度量 15 度量代理点 measurementagentpoint 代码度量部件子模块,负责度量系统的部分装载和执行代码,实现EMM之间信任传递 3.16 操作系统装载器operatingsystemloader 负责加载操作系统内核的代码或部件 3.17 度量事件 meaSurementeent 对代码进行完整性度量和存储的全过程 3.18 日志存储区logstoragarea 不可篡改区域,用于存储完整性度量日志信任链trustchainm 在计算系统启动和运行过程中,使用完整性度量方法在部件之间所建立的信任传递关系
GB/T29827一2013 3.20 可信平台控制模块trusted dplato ormcontrolmodule 一种集成在可信计算平台中,用于建立和保障信任源点的硬件核心模块,为可信计算提供完整性度量,安全存储,可信报告以及密码服务等功能" 3.21 platformcontrolmoduledevicedriver;TDD 可信平台控制模块设备驱动 truustedP TPCM为上层应用提供的服务驱动接口 3.22 unifiiedextensiblefirmwareinterface;UEFI 统一扩展固件接口提供一组在OS加载、启动前,在所有平台上一致的、正确指定的启动服务 3.23 引导连接向量bootcomneetonveetor;BCV 指向OptionROM中某一段代码的指针,所指向的代码负责执行部件的初始化、检测硬件或者在必要时加载Int13h的服务 3.24 vector;BEV 引导项向量bootentry OptionRoM中负责载人系统的代码的指针,并在必要时加载Int18h或Imt19h的服务指向注:通常在网卡的远端启动中使用缩略语下列缩略语适用于本文件 ACP1 高级配置和电源管理接口AdvancedConfigurationandPowerManagementInter face BIOs 基本输人输出系统(BasiclnputOutputSystem) CMOS 互补金属氧化物半导体(ComplementaryMetalOxideSemiconductor) ESCD 扩展系统配置数据(ExtendedSystemConfigurationData) FwH 固件中心(FirmwareHub) cuD Identifier 全局唯一标识符(GlobalyUnique 输人/输出(nput/Otpun) 初始程序加载器(InitialPrograL.oader Ie 少针脚型接口(L.owPinCount) S8 日志存储区(LogStorage Area NVRAM 非易失性随机访问存储器(Non-VolatileRandomAccess Memory) OS 操作系统(OperatingSystem) PARTIEs保护区域运行态接口扩展服务(ProtectedAreaRunTimelInterlaceExtensionServ ices PC 个人计算机(PersonalComputer) PCR 平台配置寄存器(PlatormComfgursationRegister) PE 可移植执行体(PortableExecutable' PO0ST 开机自检(PowerOnSelfTest) RAM 随机存取存储器(Random Memory) -Access ROM 只读存储器(ReadOnlyMemory
GB/T29827一2013 SMBIO)S Basicln 系统管理基本输人输出系统(SystemManagement InputOutputSystem stemMa Mode) SMM 系统管理模式(Sys lanagemment sPl 串行外设接口(SerialPeripheralInterlad ce 可信平台控制模块设备驱动(TrustedPlaulormControlModuleDevieeDriver) TDD TPCM ControlModule 可信半台控制模块(TedPlatorm 统一扩展固件接口(UnifiedExtensibeFirewareInterface) UEFI 组成结构可信平台主板是由可信平台控制模块和其他通用部件组成.实现从开机到操作系统内核加载前的平台可信引导功能通用部件主要包括:中央处理器、随机存取存储器(RAM)、输人输出接口,Boot ROM固件等可信平台主板组成结构见图1 可信平台主板中央处理器 BooRONM EMM2 EMM1 随机存取存储器 RAM CM 绑定 (RTM、RIs、RIR 控制器时序控制电路 EMM3 输入输出接口图1可信平台主板组成结构图1中各部件的关系如下 -可信平台控制模块(TPCM) TPCM由物理硬件、嵌人式系统、对外的接口等实体组成 TPCM是可信平台的唯一可信根,其包括;可信度量根(RTM),可信存储根(RTs)和可信报告根(RTR). TPCM通过系统总线连接到可信平台主板的控制器可信平台主板嵌人TPCM,支持TPCM功能,实现信任链传递的计算机主板包括中央处理器、控制器、随机存取存储器、TPCM硬件设备,BootROM固件层支撑模块及其设备驱动程序和TPCM嵌人式系统等实体支持TPCM对输人输出接口的控制,TPCM最少但不限于控制以下输人输出接口的开启或关闭:USB,PS/2,PCIE,PCISATA、串口并口、网络接口
GB/T29827一2013 必须确保可信平台主板和TPCM一对一的绑定关系 TPCM与可信平台主板其他部件的协作关系应满足如下要求在CPU执行IBooROM代码前,TPCM先启动 TPMI通过电路连接,可靠地读取平台BootRoM!的初始引导模块(BootBlock). TPCM中的RTM对BootRoM中的BootBlock进行完整性度量和度量结果的存储扩展度量模块(EMM): EMIM作为RTM度量根的扩展度量模块,实现对执行部件的完整性度量,实现信任链传递 EMM1:存储于BootROM的初始引导模块(BootBlock)中,被RTM度量;EMM1对 BootROM的版本信息和EMM2进行完整性度量 EMM2:存储于BootROM的主引导模块(MainBlock)中,被EMM1度量;EMM2对平台启动部件,以及OSlLoader进行完整性度量 EMM3:存储于外部存储器中的OsSL Ioader r中,被EMM2度量;EMM3对操作系统内核进行度量本标准对OSL.oader存储的位置不作规定,图中OSLd 存储于外部存储 oader 器只是示例扩展度量模块EMM通过TPCM提供的接口,访问TPCM,存储度量结果和日志信任链传递信任链建立流程信任链从开机到操作系统内核装载之前的建立过程应满足如下要求;TPCM作为信任链的信任根,EMM作为度量代理节点,通过完整性度量,实现信任传递与扩展主板引导过程部件信任传递关系网络和信任链建立流程见图2 a)TPCM先于BootROM被执行前启动,由TPCM中的RTM度量BootRO)M中的初始引导模块(IBootBock),生成度量结果和日志,并存储于TPCM中; TPCM发送控制信号,使CPU、控制器和动态存储器等复位;平台加载并执行BootROM中的BootBlock代码 BootBlock中的EMM1获得系统执行控制权,信任从RTM传递到EMM1; d)EMM1度量BootROM版本信息和MainBlock中的EMM2代码;EMM1存储度量结果到 TPCM中的PCR并存储度量日志; 平台加载并执行Mainloek中EMM2的代码; e 获得系统执行控制权信任从EMM1传递到EMM2: f MainBlock中的EMM2 EMM2将在a)步骤中存储在TPCM中的日志存储到L.sA中;EMM2将在d)步骤中存储在 g BootBlock中的日志存储到LsA中;EMM2度量平台启动部件,包括显示卡,硬盘、网卡等外部设备;在完成对平台启动部件度量后,EMM2度量存储在外存中的操作系统装载器(Os l.oader);EMM2生成对平台启动部件和OsL.oader的度量结果和日志,度量结果存储到 TPCM的PCR中,度量事件日志保存到ISA中; h)平台加载并执行0sL.oader的代码; OSLoader中的EMM3获得系统执行控制权,信任从EMM2传递到EMM3 EMM3度量操作系统内核,生成度量结果和日志,度量结果存储到TPCM的PCR中,度量事件日志保存到LSA中; k 平台加载并执行OsKernel的代码;
GB/T29827一2013 D OSKernel中的EMM4获得系统执行控制权,信任从EMM3传递到EMM4 信任链传递执行流程 EMM4 OSKemel Pre-OS 阶段 EMM3 0SLoader EMM2 MainBock EMMI BootBhek RTM TPCM 完整性度量 >信任传递 >执行流程 --o存储于图2主板引导过程部件信任传递关系网络和信任链建立流程 6.2信任链建立要求信任链建立要求 a)信任链的建立过程必须以可信度量根RTM为起点 b 当需要装载并运行一个部件前,应由RTM或者EMM对该部件进行完整性度量,然后再将其加载和运行; TPCM中PCR存储的杂凑值应与系统引导过程中的度量事件和度量顺序相对应; c) d)TPCM中PCR存储的杂凑值应与系统引导过程中生成的度量日志相对应在每次开机时应重新生成LSA中的度量日志和TPCM中PCR存储的杂凑值 e 完整性度量完整性度量方法信任链基于可信度量根RTM建立,通过扩展度量模块EMM实现信任传递 RTM和EMM采用杂凑算法对部件代码进行完整性计算,并存储度量结果,实现完整性度量一次完整的度量流程见图3
GB/T29827一2013 a完整性度量 RTMEM 部件 b产生结果 TPCM 度事件益达 c.扩展PCR ld存储日志 CR 度量值i ##+# 厦鼠事两上下文 LSA 图3完整性度量流程图完整性度量流程 RTM或者EMM使用杂凑算法对“部件”的二进制代码进行计算; a b)RTM或者EMM生成在第a)步中对“部件”的计算结果“度量事件i描述”;该描述包括杂凑算法的结果,“度量值”,以及本次度量事件的上下文信息“度量事件i上下文” RTM或者EMM通过接口调用TPCM,将“度量值i”扩展存储到预先定义与部件i相关的 PR[]中扩展(Extend)存储方式详细规则见GBy/T29829-2013的5.7.4 d)RTM或者EMM将“度量事件i描述”存储于LSA中完成上述4个步骤的整个过程为一次完整性度量事件 7.2完整性度量存储完整性度量事件日志应存放于系统的I.sA中,ILsA存储结构见图4 LSA Measuremcnmtlog LogEntry1 Lo8Entry2 LogEntr3 LogEntry4 LogEntr LogEntryN 图4LSA存储结构对于支持ACPI规范的系统而言,完整性度量事件日志应存放于系统的ACPI表中,定义了度量事件日志在ACP表中的存放位置,并定义了事件日志的起始位置见图5
GB/T29827一2013 RSDP TPCM Header TCPAHHeader RSDTPTR RSDT Mesurement LogPointer (LASA ACPI Header No-reclaim1ableArea MeasurementLog FACP TPCM LogEnty1 ACp LogEnty2 LogEntry3 LogEntry4 Header LogEnty LogEntryN 图5ACP表的事件日志结构对于不支持ACPI规范的系统而言,完整性度量结果采用图6描述的存储结构、事件日志存储方法,起始位置,这个表结构所在的内存区域是设定为受保护的内存区域 TKCM TPCMHeder MCrmem LogPointer LASA Non-reclaimableArea MeasrementLog LogEntr LogEnt2 LogEnt3 LogEnt4 LogEntry. LogEnryN 图6NACPI事件日志存储结构事件日志通用定义名称见表1 表1事件日志通用定义名称区域值描述长度 32h 表的大小版本 02h 专指C机的版木平台类型 PC机 00h 可信计算C硬件接口描述见表2
GB/T29827一2013 表2可信计算C硬件接口描述区域长度(字节偏移描述特征码 00h 包含TCPA的4个字符串长度从特征码到LAsA之间的总长度,针对PC,该值为32h 04h 默认值为02h;该值随版本更新变化;该值随LASA更版本 08h 新而变化校验值用于对整个表进行校验 09h 1h OEMID 厂商名称 6h 0Ah 商表名称,根据厂商名称来确定 OEMTaleD 8h 10h 商版本,该值随版本更新变化 OEMRevisionm 4h 18h 表的创建者名称 reatorD 1Ch 20 表的创建者版本号 CreatorRevision 4h 平台类型默认值为 2h 24h 0000h 该区域表明了系统进人操作系统前,事件日志的最小长事件日志的最小长度度;针对PC而言,事件日志长度的最小值应为64KB 4h 26h LAML 注意，事件日志的大小范围应该从LAsA到LAsA+ LAML一1 事件日志的人口指针 8h 2Ah 64位的事件人口物理地址,用8个字节来表示 7.3可信平台主板功能接口(Driver结构) 可信平台主板功能接口见图7 可信平台主板功能接口包括与底层TPCMI的接口和与上层应用之间的接口在TPCM上建立设备驱动层(TPCMDeviceDriver;TDD)实现主板可信应用功能对底层TPCM的调用在TDD之上,可建立服务提供层(TPCMServiceeProvider)对TDD进行再封装,为上层应用提供更高层次的接口,简化上层编程实现本文余下的内容是在传统BIOS和UEFIBOS中实现TDD的具体数据结构和设计 Applcaton(Pre-Osy TPCMSerie Pouidern TPCMDeviceDmer TnustcdPlartfomComoModule(TPCM 图7可信平台主板功能接口图初始度量时序控制电路要求实现对TPCM和计算机主板及其他部件之间的加电开机启动时序控制;实现启动PC后,在
GB/T29827一2013 CPU执行BootROM代码前,由TPCM先对BootROM的初始启动代码(BootBlock)实现完整性度量 TPCM中的RTM度量完BootBock后,TPCM发出控制信号启动CPU,芯片组和动态存储器等通用设备 TPCM与主板其他通用设备复位时序关系见图8 a.PC启动 e初始化 b.初始化时序挫作制电路 d.信号 CPU BootROM TPCM c度量 f执行芯片组可信平台主板控制时序图8TPCM与主板其他通用设备复位时序关系主板复位时序为 a)PC加电启动; b 时序控制电路先初始化TPCM; TPCM执行RTM;RTM可靠地读取BootROM中初始引导模块(BootBlock)的代码;RTM 度量BootBlock代码的完整性; 度量完毕后,TPCM发出控制信号给时序控制电路 d 时序控制电路初始化CPU和芯片组 CPU执行BootROM进行平台初始化 8.2RTM度量BootBlock BootBloek的存储结构见图9 B0otROM MainBlock B0otBlock (EMM1 图9BootBoek存储示意图 RTM度量Bootlock的过程 TPCM执行RTMI程序代码 a bTPCM通过与BootROM连接的总线,可靠地读取BootROM中的BootBlock代码; 10
GB/I29827一2013 RTM对BootBlock执行杂凑计算,并将度量结果和日志寄存在TPCM中 d EMM1嵌人在BootBlock中,被RTM度量传统BIos完整性度量 9 度量流程传统BIOS完整性度量过程: 被TPCM度量过的EMM1获得控制权后,对BIOS的版本信息和扩展度量模块EMM2进行 a 度量,并将度量结果进行存储并传递控制权 EMM2获得控制权后对平台启动部件和操作系统装载器进行度量; MM2度量的部件主要包括平台启动部件,操作系统装载器和EMM3. b EMM2产生事件日志的方法及其对R青存器的修改方法参见7.1.7.2 EMM3度量操作系统内核 EMM1度量Mainolk EMM的度量内容如下 MainBHoek的版本信息 a b)扩展度量模块EMM2:; EMM1度量过程如下 a)EMM1对Mainlock版本标识符和EMM2进行完整性度量 EMIM1存储度量结果和日志: b EMM1检测主机系统内存当前可用状态;当内存可用时,将度量结果扩展到PCR[o],并 1 记录度量日志到ACP表中 2 若内存处于缺失状态,EMM1调用TPCM,将度量结果扩展到PCR[o],并记录度量日志到BootBlock中 9.3EIM12度量平台启动部件和操作系统加载器 9.3.1度量平台启动部件内容平台启动部件包含了能够使平台硬件环境正常运行的基本部件,包括BOsPOsST代码、板载固件代码 PCR[1]平台部件代码度量对象见表3 表3平台部件代码度量对象度量代理度量对象必须/可选 POsTBos代码 EMM2 必须度量 EMM2 sMM系统管理模式)代码和建立系统管理模式的程序必须度量 EMM2 NCPFlash数据必须度量可选度量 EMM2 硬盘特征信息(包括硬盘生产商和序列号 EMM2 光驱特征信息包括光驱生产商、型号等信息可选度量 11
GB/T29827一2013 表3(续度量代理度量对象必须/可选 EMM2 网卡特征信息(包括生产商,型号,MAC地址等信息可选度量 EMM2 显卡特征信息可选度量 EMM2 声卡特征信息可选度量其他与输出和启动相关的硬件信息可选度量 EMM2 PCR[2]平台部件数据配置信息对象见表4 表4平台部件数据配置信息度量对象度量代理度量目标必须/可选 EMM2 任何对CPU进行升级的微码必须度量 EMM2 主机平台配置事件必须度量可选度量 EMM2 EsCD,CMOS和其他NVRAM数据 EMM2 SMBos结构可选度量 PCR[3]OptionROM代码度量对象见表5 表5optiomRoM代码度量对象度量代理度量目标必须/可选 EMM2 被BIOS调用的OptionROMCode 必须度量针对BOs不可见的OptionROMCode部分必须度量 EMM2 固化在主机平台的主板上,但由非设备制造商控制的optionm 必须度量 EMM2 ROMCode PCR[4]OptionROM配置信息度量对象见表6 表6optionROM配置信息度量对象度量代理度量目标必须/可选 EMM2 OptionR(OM所使用的配置信息必须度量 EMM2 OptionROM所使用的数据必须度量 PCR[5]状态迁移度量对象见表7 表7状态迁移度量对象必须/可选度量代理度量目标系统从3/S4(休眠)和S5(关机)状态返回到S0(全速运行)状态的 EMM2 必须度量状态转换事件 12
GB/T29827一2013 9.3.2度量操作系统装载器操作系统装载器被调用前,必须被BootROM中的EMM2度量 EMM2度量操作系统装载器具体流程见图10. 操作系统装载器外部存储器度量 EMM2 BootRoM 调用 TPCM 图10EMM2度量操作系统装载器流程图10所示的度量流程中,EMM2通过调用TPCM中的杂凑算法,对位于外部存储器中的操作系统装载器进行完整性度量 EMM2通过TPCM厂商提供的驱动程序访问TPCM的密码运算功能,该驱动程序应由TPCM制造厂商提供位于外部存储器内部的操作系统装载器是操作系统启动前的代码,负责装载、校验和启动操作系统内核操作系统装载器包含了磁盘启动扇区和必要启动文件磁盘启动扇区又包含了主引导扇区和其他辅助扇区,必要启动文件包含了操作系统装载器运行所需要的辅助文件,对磁盘主引导记录的度量为必须,对必要启动文件的度量为可选操作系统装载器度量对象见表8 表8操作系统装载器度量对象度量对象必须/可选占用PCR寄存器主引导扇区必须 PCR[8] 辅助扇区必须 PCR[9 辅助文件可选 PCR[10 9.4EMIM3度量操作系统内核位于操作系统装载器中的EMM3负责对操作系统内核进行度量,保证操作系统内核程序的完整性 -操作系统内核代码: 包括操作系统内核程序和运行时监控程序; 度量值扩展到PCR[14] -操作系统核心配置信息和数据: 包括操作系统内核程序和运行时监控程序使用的配置信息和数据; 度量值扩展到PCR[15] 13
GB/T29827一2013 对以上所有度量事件不要求将其记录于事件日志表中 10 UEFIBIOS完整性度量 10.1 度量流程度量流程如下信任链建立流程见6.l; RTM度量BootBlock部分见8.2; EMM3度量OS内核部分见9.4 -针对UEF1,本章包括EMM1度量MainBoelk和MM2度量操作系统装载器 10.2UEFI平台EMM1度量MainBloek 本标准以表格的形式描述了与UEFIBI0s平台有关的各个部件度量所必需的内容包括度量主体,度量对象、度量时采用的事件类型以及该部分是杏为必需度量其中各个度部件以PE22格式 Image)或者表(Table)的形式出现与UEFI平台相关的各个部分度量值存储在TPCM的PCR[o]到 PCR[3] PCR[o]相关度量内容见表9 表9PCR[0]相关度量内容事件类型度量代理点度量对象必须/可选系统平台固件固件ID EV_S_CRTM_VERsION 必须度量系统平台固件(运行时服务和引嵌人在系统RoM中EV_UEF_Bo0T_sSERVIcEs_DRIV 可选度量导服务,UEFI平台中这些代码的UEF驱动程序 ER EMM或者已经被度量到CR 静态ACPI表 EVUEFHANDOFFTABLES 必须度量 [o]中的代码 PCR[1]相关部件的度量内容见表10 表10CR[1]相关度量内容度量代理点度量对象事件类型必须/可选 EMMl或者已经被度量到CR 其他数据表 EVUEFLHANO)FF_TALBE 可选度量 [[o]中的代码 EMM或者已经被度量到CR影响系统配置的 EV_UEFLVARIABLE_CONFIG 可选度量 [o叮]中的代副 UEF1变量 PCR[2]相关部件的度量内容见表11 14
GB/T29827一2013 表11CR[2]相关度量内容度量代理点度量对象事件类型必须/可选平台周件(包含运行时服务和引适配器中UEF1引导EV_UEF1_lo0oT_SEAVICEs_DRIV 必须度量导服务服务驱动程序 ER 适配器或外部存储平台固件包含运行时服务和引 EVUEFIB00T_SEAVICES_APPLI 中UEF引导时服务必须度量导服务 CATION 应用程序 PCR[3]相关部件的度量内容见表12 表12CR[3]相关度量内容度量代理点度量对象事件类型必须/可选运行时服务和引导服务,其度量 UEF变量 Ev_UEFILVARIABE_cONFIG 可选度量值被存储在PCR[2] 10.3EMM2度量操作系统加载器(osLoader) 本标准以表格的形式描述了与BootOs有关的各个部件度量所必需的内容,包括度量代理,度量目标,度量时采用的事件类型以及该部分是否为必需度量其中各个度量部件以PE32格式(Image)或者表(Table)的形式出现与BootOs相关的各个部分度量值存储在TPCM的PCR[4]到PCR[5] PCR[4钉相关部件的度量内容见表13. 表13rCR[4]相关度量内容度量代理点度量对象事件类型必须/可选 UEFI运行时应用程平台厂商提供的UEF固件,其 EV_UEFL_ooT_sEAVCEs_APPLl 序UEFIOSLoad 必须度量度量值被存储在PCR[o] CATION er UEFI运行时应用程平台厂商提供的UEFI固件,其 Ev_UEFLBooT_SEAVICES_APPLL 序(HBA系统配置必须度量度量值被存储在PCR[0] CATION 工具OSloader UEF运行时应用程平台厂商提供的UEFI固件,其序 UEFIChkDsk.EV_UEFI_B00T_SEAVICES_APPLI 必须度量 UEFor 度量值被存储在CR[o] DHtkparcAToN UEFI PCR[5]相关部件的度量内容见表14 15
GB/T29827一2013 表14CR[5]相关度量内容度量代理点度量对象事件类型必须/可选导平台厂商提供的UEFI固件,其UEF 引变量 EV_UEFIVARIABLEEVENT 必须度量度量值被存储在PCR[0] BootOrder变量平台厂商提供的UEF固件,其 GPT表 EVUEFI_GPT_EVENT 必须度量度量值被存储在PCR[0] UEFI规范或私人定义的UEFI变量,这 UEFI应用程序,其度量值被存些变量不随启动顺Ev_UEFLvARIABLE.GBEvENT 可选度量储在PCR[4],例如OsLoader 序或系统配置信息改变而改变主动度量的结果存于PCR[26],见可信平台控制模块规范 UEFI事件类型列表见表15 表15UEFI事件类型列表事件类型值描述 TCML_PCR_EVENT.CRIndex=0 TPCMPCR_EVENT.digest=EMM1的杂凑结果 0x01 EV_POST_CODE UEFIPLATFO)RM TPCM_CR_EVENT.Event[1] FIRMwARE_H.oB结构 TPCM_PCR_EVENT.PCRIndex 任意PCR[0 7 EVSEPARATOR TPCMPCREVENT.d sCH杂凑0x00000000 0x04 digest= TPCM_PCR_EVENT.Event[1]=0x00000000 TPCM_PCR_EVENT.PCRIndex=0 EMM1的版本字符串的杂 TPCMPCR_EVENT.digest EV_s_CRTMVERSION0x08 凑结果 TPCM_PCR_EVENT.Event[1]=EMM1的版本字符串 TPCM_PCR_EVENT.PCRIndex=0 TCM_PCR_EVENT.digest=EMM1的版本相关内容的 EV_s_CRTM_CONT 杂凑结果 0x07 ENTsS TPCMPCR_EVENT.Event[1] UEFI_PLATFO)RM FIRMwARE_L.oB结构 EvENT UEFI EV 0x80000000 后续UEFI平台相关的事件的基准值 BASE 或者5TcM_RR TLREVENT.民Widax- l,3 EV_UEFI_VARIABLE EV UEFIEVENT EVENT.digest=变量,GUID,Unicode字符串的杂凑结果 BAsE十0xl DRvVER_coNFG TPCM_P(CR_EVENT.Event[1]=UEFLVARIABL.EDATA TPCM_PCR_EVENT.PCRIndex=5 EVUEFIVARIABLEEVUEFIEVENT TPCM_PCR_EVENT.digest=UEFI引导服务相关的变量 _B00T BASE+0x2 UEFVARIABLEDNTA TPCMCREVENT.Event[1 16
GB/T29827一2013 表15(续事件类型描述值 TPCM_PCR_EVENT.PCRIndex=2,4 UEF引导时服务的应用程 TPCM_PCR_EVENT.digest EV_UEFI_B0(T_SER-EV UEF1 EVENT 序的杂凑结果 BAsE十0x3 VCEs_APPL.IcATIoN TPCM_PCR_EVENT.Event[1]=UEFI_IMAGE_LOAD EVENT TCMCR_EVENT.CRIm Index=0,2 TPCMPCR_EVENT.digest=UEP1引导时服务的驱动程 Ev_UErLB0or_sER-Ev_UEr EvENT 序的杂凑结果 VICESDRIVER BASE十0x4 TPCM_PCR_EVENT.Event[1 UEFI_IMAGE_lOAD EVENT TPCM_PCR_EVENT.PCRIndex=0,2 TPCMPCREVENT.d UEFI运行时服务的驱动程 .digest EVUEFI_RUNTIME EVUEFIEVENT 序的杂凑结果 SERV1CESDRIVER BASE十0x5 TPCM_PCREVENT.Event[1] UEFIIMAGE_LOAD EvENT TPCM_PCR_EVENT.PCRIndex=5 Ev UEF EVENT EVUEF1_GPT_EVENT TPCM_PCR_EVENT.digest=GPT表的杂凑结果 BASE十0x6 TPCM_PCR_EVENT.Ewen[1]=UEFLGPT_DATAN TPCMPCREVENT.CRndex= 4,5， Eent[1]项中字符串的杂" TPCM_PCR_EVENT.digest UEF Ev EVENT 凑结果 EV_UEFILACTION BASE0x7 TPcM_PCR_EvENT.Event[1]=Ev_UEFL_AcTroN字符串 TPCM_PCR_EVENT.PCRIndex= TPCM_PCR_EVENT.digest=UEFIL_PLATFORM_FIRM EV_UEFI1_PLATFORMEVUEFIEVENT wARE_BL.oB的杂凑结果 FIRMwAREBL(OB BASE十0x8 UEFI_PLATFORM TPCMPCR_EVENT.Event[1] FIRMwAREBLoB 可信平台主板功能接口 11 11.1功能接口类型本标准描述了可信平台主板中所涉及的BOS接口,分为传统BOs和UEFIBOS两类 11.2传统BOs接口 11.2.1完整性度量日志每一个事件日志的结构如下: mCM_cclientPCREventstruc pcrIndex DD？ 17
GB/T29827一2013 eventType DD？ DB32dup(? Digest eventDataSize DD？ DD？ event )mPCM_PCclientPCRBventStruc 该结构体中的每个元素含义见表16. 表16事件日志的数据结构含义属性描述将该事件扩展到某个PCR寄存器,该PCR的寄存器编号 perlndex 见表" eventType 扩展到PCR寄存器的杂凑值 digest eventDataSiz4 事件日志的大小事件日志的内容 event 事件日志类型见表17 事件日志类型表17 标记值描述 EVPREBO0TCERT 00h 该事件包含证书,如验证证书 EV_POST_CODE o1h 该事件日志结构应包含对POSTBIOS代码的杂凑值 EV_UNUSED 02h 保留该事件日志结构包含敏感数据,此数据的杂凑值不应被扩展到任何CR EVNOAcTION 03h 寄存器中;结构中的perlndex和digest值为0 用于划分操作系统启动前和操作系统运行的界定事件 EV_SEPARATOR 04h 05 将事件度量作为一个字符串,该字符串的定义见表5 EV_ACTlON 该事件对应的结构中digest包含了对EMM代码的杂凑值;event部分 EV_S_CRTM_CONTENTS 07h 可以包含标示EMM1的信息,不包含EMMl代码 EVvsCRTMLVERsoN 08h 该事件对应结构中的event包含了EMM的版本号码该事件对应的结构中event包含了对CPU补丁代码的描述,digest包含 EV_CPU_MICROCODE 09h 了该补丁代码的杂凑值 EV PLATFORMcONFIG 0Ah 由厂商来定义该事件所对应结构的格式和内容 FLAGS 该事件对应的结构中event包含了厂商设备列表,厂商给出设备列表的 EV_TABLEO)F_DEVICES 0Bh 内容和格式当操作系统装载器调用TPCM_CompacetHashL.ogExtendEvent命令时 EV_COMPACT_HASH 0Ch 进人该事件该事件对应的幼树中dge包舍了摊作系统装载器第一个刷区的杂凑 EV_IPL 0Dh 值,eent不含有该扇区的实际内容值,也不含有硬盘分区的信息 oEh EV_IPPARTIIoN_DATA 操作系统装载器第一个扇区中的数据和硬盘分区信息 18
GB/T29827一2013 表17(续描述值标记非主板部件的执行代码该事件对应的结构中 event 内容由部件厂商 EV_NONHOST_cODE 0Fh 定义非主板部件的配置信息该事件对应的结构中内容由部件厂商 event EV一NONHOST_CONFG 10oh 定义该事件对应的结构中e 内容包含了非主板部件的相关信息,如厂商 1event EVNONHOSTINFO 1lh 名称,型号,类型、,版本等当事件日志的结构中的TPCM_PCClientPCREventStruc.EventType为EV_ACTION类型时 TPCM_PCClientPCREventStrue.Event见表18 表18EV_ACIIoN字符串事件索引字符串用途和注解 PCR Bos正在调用NT19h,这表明调用该丽数的软件还没 "calimne" INT19h” 有将控制权交还给BIOS 进人INT19h句柄这表明oS要么已经将控制权交给INT19h句柄,要么操作系统装载器将控制权返还 “ReturnedINT19h” 给BIOs “ReturnviaINT18h” BIOS接收到通过INT18h返回的控制权 Bos正在加载一个cV设备 “BootingBCVDevices” BEVT Bos正在加载一个BEV设备 Devices” “Booting！ “EnteringROMBasedSetup” BHos正在进人Setup界面 “BootingtoPartiesN” BIOS正在加载一个Parties分区 “User PasswordEntered” 用户输人了正确的用户密码 AdministratorPasswordEnteredi”用户输人了正确的管理员密码 "PasswordFailure 用户输人的密码不正确 10 S1或者s5引发的休眠事件 WakeEventn 用户改变了启动次序 11 “BootSequenceUserlntervention” 12 机箱被打开了 “(hassislntrusion'” 发生了非致命的POST错误如键盘失效),该错误允许 13 “NonFatalEror” 系统继续运行" 14 “StartOptionROMScan” Bos已经开始对OptionROM进行扫描 “UnhidingOptionROMCode” 未被隐藏的OptionROM代码 15 OpRom Speeifie non-IPL.OptionROM厂商为OptionROM非启动事件定义的字 16 符串 String OptionROM厂商为OptionROM启动事件定义的字 17 “(OpRomSpeeifieIP1String>” 符串 19
GB/T29827一2013 11.2.2平台启动部件度量接口要求BootROM中有MP驱动,支持EMM2调用TPCM的密码运算功能 BooROM代码负责为TPCM设备映射到一个基地址,实现与TPCM通讯 11.2.3度量操作系统装载器度量接口 EMM2对操作系统装载器完整性的度量需要在MainBlock中实现如下功能接口 -初始化TrcM该函数对TPCM设备进行初始化,使其处于正常使用状态; -关闭TPCM:该函数关闭TPCM访问者与TPCM之间的正常连接关系,使得访问者不能继续使用TPCM的功能; 获取TPCMM状态;该丽数得到TPCM当前状态杂凑计算;该函数向TPCM1发送杂凑命令以对指定的内存范围进行杂凑计算,并将杂凑结果写人指定PCR寄存器度量接口 11.2.4 在操作系统装载器中,传统BI0oS和UEFIBoS在对TPCM驱动程序支持情况上有所不同,操作系统厂商需要在操作系统装载器中增加对TPCM初始化和功能调用的相关代码,使得操作系统装载器能够正确调用TPCM杂凑算法对操作系统内核代码进行完整性检查,该代码的完整性由EMM2来保障 11.2.5MP驱动的基本定义及基本函数格式 MP驱动的基本定义及基本函数格式如下 x86系列: -MP驱动的工作模式:MP驱动的工作模式是32位保护模式代码是浮动地址代码,不得对指令指针的值做任何规定 -MP驱动段;在内存可用驱动中,数据段应该是32位保护模式地址非x86系列 -MP驱动的工作模式;MP驱动的工作模式是32位内核模式代码是浮动地址代码,不得对指令指针的值做任何规定 1.2.6TPCMIransmitEntry 该结构用于TPCMTransmit丽数传输输人输出参量 sTRucPcTransmitBntrystruct pbInBuf DD ;[IN dwInLen DD [[IN pbOutBuf DD [0UT D dwOutLen [IN/OU] TPCMTransmi tBntryStruct TPCMTransmitEn ntry数据结构见表19 20
GB/T29827一2013 表19TPCMIransmitEntry数据结构数据描述指向传送给TPCM的输人数据 pblnBuf pbOutBuf 指向由TCM传出的输出缓冲 dwlnlen 输人数据记录的长度 dwOutl.en DwORD用以存储输出数据记录的长度信息 11.2.7 MPInitTPCM MPnitTPCM函数(函数号;01h),本函数对TPCM和驱动进行初始化 MPInitTPCM函数结构见表20 表20MPIniTCM函数结构 BYTEMPInitTPCM(void); 无输人参数无输出参数 AL=返回值 TPCM_OK TPCM_INVAL.lD_ADR_REQUEST TPCM_IS_L0CKED TPCMINVALIDDEVICEID 返回值 TPcMINVALD_VEND0oR_D TPCMRESERVED_REGINVALID TPCM_FIRMwARE_ERROR TPCMUNABLE_TO_OPEN TPCMGENERALERROR 11.2.8MPCloseIPCM 函数MPCloseTPCM丽数(函数号:02h),关闭对TPCM设备的连接 MPCloseTPCM函数结构见表21 表21MPCloseTPCM函数结构 BYTEMPCloseTPCMvoid); 函数原型输人参数无输出参数无 AL 返回值 TPCMOK 返回值 TPCMINVALID_ADRRQUEST TPML_UNABL.E_To_CL.0OSE TPCM_GENERAL_ERR(OR 21
GB/T29827一2013 11.2.9MPGetTPCMStatuslnfo MPGetTPCMStatusInfo丽数Funection-Nr-AL-Register:03h),该丽数从TPCM设备读取当前错误和状态信息 MPGetTPCMStatusInfo丽数结构见表22. 表22MPGet'TPCMStatuslnfo函数结构 DwoRDMPGetTPCM 函数原型 IStatuslnfo(void); 无输人参数无输出参数 EAX=返回值返回值见参数说明 11.2.10MPTPCMIransmit MPTPCMTransmit函数(Funetion-Nr-AIRegister;04h)从输人缓冲(*pblnBuf)向TPCM传送数据,并向输出缓冲(*pbOutBuf)读取TPCM的响应 MPTPCMTransmit丽数结构见表23 表23MP'TPCMTransmit函数结构一pMm 丽数原型 BYTEMPTPCMTransmitMPTPCMTransmitEntryStruct ranslnfo) ESI=指向TPCMTransmitEntryStruct结构的地址输人参数 pbnBul;输人数据地址 dwnl.en;输人数据长度 dw(Outlenm 输人/输出参数输出数据长度 pbOutBu 输出参数输出数据 AL =返回值 TPCM_OK TPCM_IS_lOCKED TPCMNORESPONSE TPCMINVALDREsPONsE 返回值 TPCMRESPONSE_TIMEOUT TPcML_INVANLID_AcCEss_REQUEsT TPCM_FIRMwAREERROR TPCMGENERALERROR TPCM_TRANSFER_ABORT 11.2.11MPGetTPCMStatuslnfo MPGetTPCMStatusInfo返回值状态说明见表24 22
GB/T29827一2013 表24NMPGetIPCMStatuslnfo返回值状态说明描述如果设置成1,TPCM连接的普通错误情况被启用如果设置成1,无效状态/错误请求访问如果设置成1,在TPCM启动时发生了固件错误如果设置成1,向" TPCM设备发送请求无响应通信中无响应如果设置成 TPCM 与TPCM设备的传输通信中断如果设置成保留该位处于只读状态且值为0 保留该位处于只读状态且值为0 保留该位处于只读状态且值为0 保留该位处于只读状态且值为0 10 保留该位处于只读状态且值为0 11 保留该位处于只读状态且值为0 12 保留该位处于只读状态且值为o 13 保留该位处于只读状态且值为保留该位处于只读状态且值为0 l4 15 保留该位处于只读状态且值为0 16 如果设置成l,该TPCM的普通状态信息可用 7 如果设置成1,TPCM设备不可用 18 如果设置成1,TPCM初始化中完整性度量值不一致如果设置成1,TPCM设备自检完成 19 20 如果设置成1,与TPCM设备的数据传输激活 21 保留该位处于只读状态且值为0 22 保留该位处于只读状态且值为0 保留该位处于只读状态且值为 23 保留该位处于只读状态且值为 24 25 保留该位处 26 保留该位处于只读状态且值为0 27 保留该位处于只读状态且值为0 28 保留该位处于只读状态且值为0 保留该位处于只读状态且值为0 29 30 保留该位处于只读状态且值为0 331 保留该位处于只读状态且值为0 11.3UEEFBIos接口 1.3.1UEFITPCM_PRorocoL 11.3.1.1PRor0coL成员 UEFITPCM_PROTCOL用于完成可信计算完整性度量所需操作，GUID值为;0xef899e8, 23
GB/T29827一2013 0x7a5e,0x4la6,0x92,0x45,0x71,0xe,0xa6,0xa4,0xcc,0xl6) UEFL_TPCM_PR0TOcOL应包含6个操作函数,原型如下 typedefstruct Readlog UEFI_TPCM_RBAD_L0G UEPI_TPCM_SrAUs_CHBcK StatusCheck; UEFITPCMHASHALL HashAll; UEFI_TPCM_L0G_EVEN LogEvent; UEFI_TPCMPASS_THROUGH_TO_TPCM PassThroughToTPCM; UEITPCMHASHL0GEXTENDEVENT HashLogExtendEvent; UErI_TcHPRorocou UEFITPCM_PROTOCOL成员描述见表25 表25UEF1TrCMPRoocoL成员描述数据描述读取事件日志 Readl.og 提供TPCM信息的服务,反映TPCM的当前状态 StatusCheck HashAlm 提供Hash操作的服务,生成程序或数据指纹 LogEvent 增加一个Eventlog的服务 1ssThroughToTPCM提供TPCM的服务 Pa 提供在数据缓冲器中进行Hash操作的服务、将Hash结果放人TPCMPCR中和增加一个E Hashl.ogExtendEvent ventl.og的服务当调用ExitBootServiee(详细规则见VEFIV2.1)函数后,启动服务结束所有在启动服务期间占用的内存都需要释放当调用ExitBootService()函数时,OS将必须装载自己的TPCM驱动 EventL.og是当平台程序或者数据记录PCR记录时,描述用于记录相关信息的数据结构在授权方的可信度验证过程中需要使用Eventl.og数据结构 Eventl.og的结构如下 typedefstruct PCRIndex: TPCM_CRINDEX TPCM_EVENTTYPE EventType; "TPCMDIGEST Digest; UINr32 EventSize; UINT8 Event1] mcH_RcR EVEN; 井defineSCHDIGESTSIZE32 typedefstruct UINT8Digest[SCHDIGEST_SIZE; PCM_DIG8ST; typedefumNr32PCM_BvENrPE; 该结构代表EventL.og的一个数据项,Ever ntLog是Pre-OS过程中程序指纹的记录日志,它保存 2
GB/T29827一2013 在LSA中结构体的每个数据项含义见表26. 表26TPCMPCR_EVENT成员描述数据描述 PCRIndex PCR寄存器的序号,即对第几个PCR寄存器作了程序或数据的指纹记录 BweTye 该记录的类型,详见本规范其他章节相关介绍 Digest 记录到PCR寄存器中程序或数据的指纹(Hash值 EventSize 记录内容的大小 Event[1] 所记录事件的内容 11.3.1.2UEF_TCM_READLoG UEFITPCMREADL0G用于获取事件日志,其原型定义为 typedefUEFI_STATUS(UEFIAPI UEFI_TPCM_READ_L0G) INstruct 关This， _UEFI_PCM_PROr0coL. INB00L Flag INUINT32 LogIndex， OUrPCM_PCR_EVENm 关BventLog 参数说明见表27 表27UEFIITPCM_READLoG函数参数描述数据描述指向UEFLTrPcM_PRoTocoL的指针 This Flag=0,读取RTM度量的EventLog;Flag=1,读取事件日志列表中事件日志 Flag 将要读取的日志在日志列表中的位置 Loglndex 位置的指针指示Evenlog" Eventlog 1.3.1.3UEF_TPCM1_STATUs_CHECK UEF_TPCMSTATUs_CHECK用于获取TPCM当前状况的信息以及EventLog相关内容,其原型定义为: typedeUEr工ST8ms UEEIAPI UEFITPCMSTATUSCHBCK INstruct_UEFI_TPCM_PR0TOCOL 关his， OUTPCMB00TSERVICECAPABILITY 关ProtocolCapability， 0UmUINT32 TPCFeatureFlags 0UrUEFI_PHYSICALADDRESS 关EventIogLocation OUUEEF工PHYSICALADDRESS 关BventL.ogLastEntry 参数说明见表28 25
GB/T29827一2013 表28UEFI_TCM_STATUSs_CHECK函数参数描述数据描述 This 指向UEFLTPCM_PRoToco儿的指针 Capblity该参数用于返回当前TeN的状态信息 ProtocolCa1 TPCMFeatureFlags 该指针用于指示feature 指示EventLog位置的指针 Eventl.ogl.ocation Eventl.ogLastEntry 如果Eventlog不止一个Entry,这个指针将指示内存中最后一个Entry的起始地址 UEFLTPCMSTATUs_CHECK中涉及的相关数据结构定义如下 typedefstruct urr8阳jor UINT8Minor; UIN8RevMajor; UIN8RevMinor; TPCM_VERSION typedefUINT64UEPI_PHYSICAL_ADDRESs typedefstruct UINm8 size TPCMVERSION Structureversion; TPCM_VERSION ProtocolSpecversion; UINm8 HashAlgorithmBitmap: B0OL TPCMPresentFlag; B0OL TPCMDeactivatedFlag; )TPCM_UEFI_B00r_SERvICE_CAPABILITY; 11.3.1.4UEF_TCM_HASH_ALL UEF_TPCM_HASH_ALL用于提供HASH操作,其原型定义为 typedefUErI_srATUs(UEFIAPr*UuEFI_TPcH_sHAL) INstructUEFITPCMPROT0COL关This， INUINT8关HashData， INUIN64 HashDataLen， INTPCMALGORITHMIDAlgorithmId， INOUUINT64*HashedDataLen, 工N0UUIN8 关HashedDataResult 参数说明见表29 26

可信计算规范可信平台主板功能接口GB/T29827-2013解析

信息安全技术可信计算规范是为保证计算机系统安全性和可信度而制定的标准。可信计算平台作为可信计算规范的重要组成部分之一，主板功能接口是其中的关键要素之一。

可信平台主板功能接口GB/T29827-2013简介

可信平台主板功能接口是指在计算机各个硬件、软件层次中，对可信计算平台构建过程中的主板所提供的支持。标准GB/T29827-2013定义了可信平台主板功能接口的通用要求和规范，涵盖了从硬件到软件的多个方面。

可信平台主板功能接口GB/T29827-2013规范内容

1. BIOS固件接口：定义了主板与BIOS固件的接口规范，包括启动模式、系统管理模式、固件更新等。

2. 系统管理控制器(SMC)接口：定义了主板与SMC的接口规范，包括SMC功能、通讯协议、电源管理等。

3. 总线/设备接口：定义了主板与总线及外设的接口规范，包括总线类型、设备识别、数据传输方式等。

4. TPM(可信平台模块)接口：定义了主板与TPM的接口规范，包括TPM芯片种类、安全协议、密钥存取等。

5. 可信执行环境(TEE)接口：定义了主板与TEE的接口规范，包括TEE实现、应用程序开发、信任链建立等。

可信平台主板功能接口GB/T29827-2013的意义

可信计算技术是保障信息安全的重要手段之一，在当前信息化社会中具有广泛的应用。而可信平台主板功能接口是构建可信计算平台的基础和关键要素之一，对于提高计算机系统的安全性和可信度具有重要意义。

通过遵循可信平台主板功能接口GB/T29827-2013的规范，可以建立起一套完整的、具有国际标准化水平的可信计算体系结构。这不仅为各类应用场景提供了更好的安全保障，也有助于推动可信计算技术的发展和应用。

结论

可信平台主板功能接口是信息安全技术可信计算规范中的重要组成部分之一，标准GB/T29827-2013定义了其通用要求和规范。在实际应用中，遵循这一规范对于提高计算机系统的安全性和可信度具有重要意义。