T/ZTCIA 009-2026 可信计算AI一体机产品技术规范

　　ICS 35.040 L80

中 关 村 可 信 计 算 产业 联 盟 团 体 标 准

T/Z-TCIA 009—2026

可信计算AI一体机产品技术规范

Trusted Computing -Technical Specifications for AI All-in-One Products

2026 - 04 - 14 发布 2026 - 07 - 14 实施

中关村可信计算产业联盟 发布

前 言

本文件按照GB/T 1. 1-2020给出的规则起草。

本文件由中关村可信计算产业联盟提出。

本文件由中关村可信计算产业联盟归口。

本文件起草单位： 北京可信华泰信息技术有限公司、北京工业大学、华为技术有限公司、珠海奔图电子有限公司、安徽问天量子科技股份有限公司、海光信息技术股份有限公司、南京捷安信息科技有限公司、宁波和利时信息安全研究院有限公司、深圳市博通智能技术有限公司、中科可控信息产业有限公司、浙江卓蚁网络科技有限公司、天津国芯科技有限公司、上海兆芯集成电路股份有限公司、公安部第三研究所、福建云声可信安全科技有限公司。

本文件主要起草人：田健生、段古纳、刘丹、张建标、赵子航、张瑞、王正鹏、王恒博、金添、樊迪、郑臣明、武希耀、张克、郭晨宇、李季、马少帅、林挺、林鲁冰、于新俊、栗志强、陈政霖、洪志炜、梅山春、焦春岩、梁华君、黄振华、薛刚汝、杨元原、任帅、方渝钦、吴千惠。

1 范围

本文件规定了可信计算AI一体机产品技术规范要求和测评方法。

本文件适用于可信计算AI一体机产品的可信功能设计、产品设计和测评。

本文件旨在规范基于可信计算技术构建AI一体机主动免疫能力和可信数据空间管理能力时需具备的功能技术要求， 以可信计算推动和辅助AI相关产品健康发展，促进技术应用与产业协同。

本文件规范可信密码管理体系、可信平台控制模块、可信代理、可信管理中心(可信配置管理模块)在AI一体机中的功能实现、业务流程和接口协议(以上模块和应用的通用功能引用已有标准，本文件仅提出了在AI环境下的特定要求) ，为模型提供方、知识库提供方和AI应用模块(如智能体等)提供运行环境的可信免疫防护和数据可用不可见、程序可用不可见的防护功能。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T 29827-2013 信息安全技术 可信计算规范 可信平台主板功能接口

T/ZTCIA 001-2023 可信计算产品规范

3 术语和定义

GM/T 0012-2020、GB/T 40650-2021和GB/T 37935-2019界定的以及下列术语和定义适用于本文件。

3.1

AI一体机 AI All-in-One Product

AI一体机通常是一个集成了硬件(如专用芯片、加速卡、服务器单元、工作站、边缘计算设备等)、软件(如算法框架、模型、优化工具)乃至特定行业应用功能的整体设备。它旨在为用户提供“开箱即用 ”或“一站式 ”的AI解决方案，降低部署和使用的复杂性。

3.2

可信执行环境 trusted execution environment

基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据和代码的机密性、完整性、真实性和不可否认性目标构建的一种软件运行环境。

注：硬件级隔离是指基于硬件安全扩展机制，通过对计算资源的固定划分或动态共享，保证隔离资源不被富执行环境访问的一种安全机制。

[来源：GB/T 41388-2022 ，定义3.3] 3.3

可信根 root of trust

可信根是可信计算平台的信任源点， 由TPCM 、TCM和TSB组成。TPCM是可信平台控制模块，负责发起可信验证、获取可信验证数据、执行可信验证中运算(非密码相关)、存储相关策略信息、执行可信控制等。TCM是可信密码模块，为可信验证操作提供密码服务支撑。可信根是用于支撑可信计算平台信任链建立和传递的可对外提供完整性度量、安全存储、密码运算等服务的功能模块。

[来源：T/ZTCIA 001-2023 ，定义3.3] 3.4

可信密码模块 trusted cryptography module

可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。 [来源：GM/T 0012-2020 ，定义3.7]

3.5

可信平台控制模块 trusted platform control module

集成在可信计算节点中的防护部件组件，有硬件、软件及固件组成，与计算部件的硬件、软件及固件并行连接，是用于建立和保障信任源点的一种基础核心模块，为可信计算节点提供主动度量、主动控制、可信验证、加密保护、可信报告、密码调用等功能。

[来源：GB/T 40650-2021 ，定义3.3]

3.6

可信软件基 trusted software base

为可信计算平台的可信性提供支持的软件元素的集合。

[来源：GB/T 37935-2019 ，定义3.3] 3.7

主动度量 active measuring

防护部件依据防护策略发起对防护对象进行状态度量的行为。

[来源：GB/T 40650-2021 ，定义 3. 10]

3.8

可信验证 trusted verification

依据防护策略和基准值对防护对象进行主动度量和对度量结果判定的过程。

[来源：GB/T 40650-2021 ，定义3. 11] 3.9

动态度量 dynamic measurement

在系统运行过程中，对系统完整性和行为安全性进行测量和评估的可信度量方法。

[GB/T 37935-2019 ，定义3.9]

3.10

静态度量 static measurement

在系统启动过程中，对系统完整性进行测量和评估的可信度量方法。

[来源：T/ZTCIA 001-2023 ，定义3.7]

3.11

可信报告 trusted report

可信计算平台对外提供的状态凭据，内容包括静态度量、动态度量等验证数据，状态凭据应由可信密码模块进行密码保护。

[来源：T/ZTCIA 001-2023 ，定义3. 10]

3.12

大模型 large-scale model

大规模深度学习模型 large-scale deep learning model基于大量数据训练得到,具有复杂计算架构,能处理复杂任务,且具备一定泛化性的深度学习模型。

[来源：GB/T 45288. 1-2025 ，定义3. 1]

3.13

知识库 knowledge base

在RAG架构中，知识库是一个经过系统化处理(如分块、向量化)并存储在向量数据库中的外部知识集合，其核心作用是为模型提供实时、精准的语义检索支持，以生成有据可依、准确可靠的回答。

4 缩略语

下列缩略语适用于本文件。

TPCM: 可信平台控制模块 (trusted platform control module)

TSB : 可信软件基(trusted software base)

TCM: 可信密码模块(trusted cryptography module)

5 概述

可信计算 AI 一体机依据主动免疫可信计算双体系架构进行设计实现，由计算部件和防护部件组成，可信计算 AI 一体机将可信的“ 防护部件 ”与 AI 的“计算部件 ”深度融合，保障 AI 模型及数据的全生命周期安全。

可信计算 AI 一体机的可信 3.0 防护体系以可信根为基础，为系统与硬件、数据、模型、智能体和应用提供可信、可控、可管的安全执行环境，为模型提供启动阶段和运行阶段防护，为模型文件和数据提供保护。为模型提供方、知识库提供方和 AI 应用模块(如智能体等)提供运行环境的可信免疫防护和数据可用不可见、程序可用不可见的防护功能。

可信计算 AI 一体机可信 3.0 防护体系架构如图 1 所示：

图 1 可信计算 AI 一体机可信 3.0 防护体系架构

可信计算 AI 一体机的可信 3.0 防护体系架构由以下部件组成：

可信平台控制模块：集成在可信计算节点中的防护部件组件，由硬件、软件及固件组成，与计算部件的硬件、软件及固件并行连接，是用于建立和保障信任源点的一种基础核心模块，为可信计算节点提供主动度量、主动控制、可信验证、加密保护、可信报告、密码调用等功能。

可信密码模块：可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。

可信软件基：为可信计算平台的可信性提供支持的软件元素的集合。可信引导：集成在计算部件中的引导程序中，协助 TPCM 完成引导阶段各主体(如引导程序、OS Kernel )度量的相关组件的集合。

可信代理：集成在计算部件操作系统中，协助 TPCM 完成对操作系统及应用环境度量和控制的组件。

可信管理中心：是对 TSB 和 TPCM 进行策略、基准值、 日志统一管理的平台，为可信接入提供仲裁服务，实现信任管理。可信管理中心通过可信计算产品实现的可信管理接口完成管理工作，可以由本地管理工具实现，也可以通过网络由单独的硬件平台实现。

可信配置管理模块：可以是可信管理中心的子模块，也可以工具形式单独部署。其功能是对用户指定的文件进行加密，如模型文件、知识库文件等。

本文件将可信计算AI一体机的技术要求划分为基础级和增强级。其中，对模型及模型应用的可信防护能力是等级划分的重要依据。增强级实现需额外增加可信配置管理模块进行配套，并遵循可信密码管理相关技术要求。

基础级及增强级的可信计算功能要求可满足GB/T 22239-2019中对一、二、三、四级系统产品提出的可信验证相关要求。

6 技术要求

6.1 基础级

6. 1. 1 可信根构建要求

对于可信根构建的相关要求，应遵循 T/ZTCIA 001-2023 中6.2. 1的规定。

6. 1.2 可信计算功能要求

6. 1.2. 1 静态度量

a) 对于产品基础环境的静态度量的相关要求，应遵循 T/ZTCIA 001-2023 中 6.1.2. 1的规定。

b) 产品应能够基于可信根，对模型运行框架的相关程序、配置和权重文件进行可信验证。

6. 1.2.2 动态度量

a) 对于产品基础环境的动态度量的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.2的规定。

b) 产品应能够基于可信根，在模型运行时，对支持模型运行的相关应用的进程代码及进程行为进行可信验证。

6. 1.2.3 可信控制

a) 对于可信控制的相关要求，应遵循 T/ZTCIA 001-2023 中 6. 1.2.2 的规定。

b) 产品应能够对模型运行框架提供可信控制相关能力。

6. 1.2.4 可信审计

a) 对于可信审计的相关要求，应遵循 T/ZTCIA 001-2023 中 6. 1.2.3 的规定。

b) 可信审计记录应至少包含模型及模型应用相关的防护记录。

6. 1.2.5 可信存储

a) 对于可信存储的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.7 的规定。

b) 产品应能够对模型运行框架提供可信存储相关能力。

6. 1.2.6 可信自保护

产品应能够具备自保护能力，可防止安全机制被旁路，导致安全功能失效。

6.2 增强级

6.2. 1 可信根构建要求

a) 对于可信根构建的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2. 1 的规定。

b) 应具备证书的安全替换能力，可在验证后将证书替换为外部第三方 CA 提供的证书。

c) 宜具备更高级别的安全能力，比如，融合随机数功能、融合安全级别更高的随机数算法。

6.2.2 可信计算功能要求

6.2.2. 1 硬件度量

产品应能够基于可信根对中央处理器CPU 、网络接口控制器NIC 、神经网络处理单元NPU硬件设备进行可信验证。

6.2.2.2 静态度量

a) 对于产品基础环境的静态度量的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2. 1的规定。

b) 产品应能够基于可信根，对模型运行框架的相关程序、配置和权重文件进行可信验证。

6.2.2.3 动态度量

a) 对于产品基础环境的动态度量的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.2的规定。

b) 产品应能够基于可信根，在模型运行时，对支持模型运行的相关应用的进程代码及进程行为进行可信验证。

6.2.2.4 可信接入

对于可信接入的相关要求，应遵循 T/ZTCIA 001-2023 中6.2.2.3的规定。

6.2.2.5 可信控制

a) 对于可信控制的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.4 的规定。

b) 产品应能够对模型运行框架提供可信控制相关能力。

c) 产品应能够依据可信度量的结果，按照预定义策略采取控制措施，如在模型加载前，对系统整体运行环境进行可信验证，仅在验证通过的情况下进行模型加载。

6.2.2.6 可信审计

a) 对于可信审计的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.5 的规定。

b) 可信审计记录应至少包含模型及模型应用相关的防护记录。

6.2.2.7 可信报告

产品应能够依据硬件度量、静态度量、动态度量结果生成可信报告和可信状态，可信报告包含设备当前的可信状态，并使用可信根中的平台身份密钥对可信报告进行签名保护。

6.2.2.8 可信存储

a) 对于可信存储的相关要求，应遵循 T/ZTCIA 001-2023 中 6.2.2.7 的规定。

b) 产品应能够对模型运行框架提供可信存储相关能力。

6.2.2.9 可信管理接口

a) 对于身份验证、通信保护、管理数据传输的相关要求，应遵循 T/ZTCIA 001-2023 中

6.2.2.8 的规定。

b) 产品应能够提供可信管理接口，接收可信配置管理模块下发的策略，并基于可信根对其来源和完整性进行验证。

c) 产品应能够基于可信根，执行接收到的模型及模型应用的可信策略。

d) 产品应能够基于可信根，执行接收到的模型解密相关的可信策略。

6.2.2.10 可信自保护

产品应能够具备自保护能力，可防止安全机制被旁路，导致安全功能失效。

6.2.2. 11 可信运维

产品应能够提供安全可信的运维管理入口，仅允许符合可信策略的更新操作。

6.2.2. 12 访问控制

a) 产品应能够依据策略，实现对模型文件、知识库文件等关键文件或关键目录、网络端口的访问控制。

b) 产品应能够基于策略，对已配置关键文件策略的文本文件进行度量和保护，在文件被修改后将触发不可逆的访问控制机制，禁止任何进一步的读取、写入或删除操作。

6.2.2.13 模型保护

a) 产品应能够对模型、知识库、文档等重要文件进行加密。

b) 模型软件部署配置时，应保持模型的知识库和模型文件为加密状态。

c) 模型服务运行时，应基于可信根，对加载到内存/显存/计算卡的数据进行度量和保护，防止攻击者直接访问内存窃取数据。

d) 经加密的模型及知识库文件，对于授权后的模型应用应实现透明解密(无需感知解密过程)，且无需对模型应用本身进行任何额外改造。

e) 由同一密钥加密的模型及知识库文件，应能部署于多台不同的可信计算 AI 一体机产品上并正常运行。

f) 经不同密钥分别加密的多个模型及知识库文件，应能部署于同一台可信计算 AI 一体机产品上并正常运行。

6.2.2. 14 关键文件防篡改

产品应提供关键文件防篡改配置列表，对于添加到相应配置列表的数据文件或可执行文件，应基于可信根向相应文件提供防篡改保护能力。

6.2.3 可信配置管理模块

6.2.3. 1 模型保护能力

a) 产品应能够基于预置证书及用户密钥对模型文件进行加密操作。

b) 产品应能够产生模型应用及模型文件的访问控制策略。

6.2.3.2 可信证书替换

a) 产品应能够提供默认密钥证书，支撑与可信管理中心之间的密钥建立、可信报告的远程证明、可信配置管理模块实现模型加解密等应用。

b) 产品应能够提供用户自有 CA 证书的替换功能。

7 测评方法

7. 1 基础级

7. 1. 1 可信根构建方式

对于可信根构建的相关测评方法，应遵循 T/ZTCIA 001-2023 中7. 1. 1的相关内容。

7. 1.2 可信计算功能要求

7. 1.2. 1 静态度量

7. 1.2. 1. 1 测评单元

对于静态度量的相关测评方法，应遵循 T/ZTCIA 001-2023 中7. 1.2. 1的相关内容。

7. 1.2. 1.2 测评单元

a) 测评指标：产品应能够基于可信根，对模型运行框架的相关程序、配置和权重文件进行可信验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;

2) 应核查可信度量是否能够度量模型运行框架的相关程序 、配置和权重文件;

3) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;

4) 应核查度量失败后是否能够进行日志记录或结果输出。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7. 1.2.2 动态度量

7. 1.2.2. 1 测评单元

对于产品基础环境的动态度量的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.2的相关内容。

7. 1.2.2.2 测评单元

a) 测评指标：产品应能够基于可信根，在模型运行时，对支持模型运行的相关应用的进程代码及进程行为进行可信验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查动态度量机制是否可以通过策略配置在模型运行环节进行可信度量，运行环节度量是否包括应用的进程代码及进程行为;

2) 应核查动态度量是否能够对模型运行的相关应用的进程代码及进程行为进行可信度量;

3) 应核查动态度量是否能够生成度量结果和日志记录 ，并是否使用可信根密码模块对度量结果进行签名和完整性保护 。度量失败后是否能够进行日志记录或结果输出。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7. 1.2.3 可信控制

7. 1.2.3. 1 测评单元

对于可信控制的相关测评方法，应遵循 T/ZTCIA 001-2023 中7. 1.2.2的相关内容。

7. 1.2.3.2 测评单元

a) 测评指标：产品应能够对模型运行框架提供可信控制相关能力。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果和策略 ，对模型运行框架执行阻断调用;

2) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果策略实现日志记录或打印输出等。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7. 1.2.4 可信审计

7. 1.2.4. 1 测评单元

对于可信审计的相关测评方法，应遵循 T/ZTCIA 001-2023 中7. 1.2.3的相关内容。

7. 1.2.4.2 测评单元

a) 测评指标：可信审计记录应至少包含模型及模型应用相关的防护记录。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信审计记录对象包含模型及模型应用等;

2) 应核查可信审计记录度量结果中是否包括度量时间、度量对象 、度量结果;

3) 应核查每一条审计记录是否包括事件发生的 日期 、 时间 、对象 、事件描述和结果等;

4) 应核查是否基于可信根对可信审计记录进行加密保护。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7. 1.2.5 可信存储

7. 1.2.5. 1 测评单元

对于可信存储的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.7的规定。

7. 1.2.5.2 测评单元

a) 测评指标：产品应能够对模型运行框架提供可信存储相关能力。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品为模型运行框架提供模型文件、模型参数 、配置文件的可信存储能力;

2) 应核查产品为模型运行框架提供密钥保护、校验机制。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7. 1.2.6 可信自保护

7. 1.2.6. 1 测评单元

a) 测评指标：产品应能够具备自保护能力，可防止安全机制被旁路，导致安全功能失效。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品可以通过策略配置具备自保护能力;

2) 应核查产品可防止安全机制被旁路，导致安全功能失效。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2 增强级

7.2. 1 可信根构建方式

7.2. 1. 1 测评单元

对于可信根构建的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2. 1的相关内容。

7.2. 1.2 测评单元

a) 测评指标：应具备证书的安全替换能力，可在验证后将证书替换为外部第三方 CA提供的证书。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信根证书替换接口的安全性;

2) 应核查可信根替换为外部第三方 CA 提供的证书后的功能性。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2. 1.3 测评单元

a) 测评指标：宜具备更高级别的安全能力，比如，融合随机数功能、融合安全级别更高的随机数算法。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 核查可信根具备融合随机数功能;

2) 核查可信根具备融合安全级别更高的随机数算法。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2 可信计算功能要求

7.2.2. 1 硬件度量

7.2.2. 1. 1 测评单元

a) 测评指标：产品应能够基于可信根对中央处理器 CPU 、网络接口控制器 NIC 、神经网络处理单元 NPU 硬件设备进行可信验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;

2) 应核查可信度量是否能够度量中央处理器 CPU 、 网络接口控制器 NIC、神经网络处理单元 NPU 硬件设备。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.2 静态度量

7.2.2.2. 1 测评单元

对于产品基础环境的静态度量的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2. 1的规定。

7.2.2.2.2 测评单元

a) 测评指标：产品应能够基于可信根，对模型运行框架的相关程序、配置和权重文件进行可信验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信度量过程中是否是基于可信根密码模块进行度量;

2) 应核查可信度量是否能够度量模型运行框架的相关程序 、配置和权重文件;

3) 应核查篡改度量对象内容后静态度量是否能够检查出度量对象被破坏;

4) 应核查度量失败后是否能够进行日志记录或结果输出。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.3 动态度量

7.2.2.3. 1 测评单元

对于产品基础环境的静态度量的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.2的规定。

7.2.2.3.2 测评单元

a) 测评指标：产品应能够基于可信根，在模型运行时，对支持模型运行的相关应用的进程代码及进程行为进行可信验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查动态度量机制是否可以通过策略配置在模型运行环节进行可信度量;

2) 应核查动态度量是否能够对模型运行的相关应用的进程代码及进程行为进行可信度量;

3) 应核查动态度量是否能够生成度量结果和日志记录 ，并是否使用可信根密码模块对度量结果进行签名和完整性保护。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.4 可信接入

对于可信接入的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.3的相关内容。

7.2.2.5 可信控制

7.2.2.5. 1 测评单元

对于可信控制的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.4的相关内容。

7.2.2.5.2 测评单元

a) 测评指标：产品应能够对模型运行框架提供可信控制相关能力。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果和策略 ，对模型运行框架执行阻断调用;

2) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果策略实现日志记录或打印输出等。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.5.3 测评单元

a) 测评指标：产品应能够依据可信度量的结果，按照预定义策略采取控制措施，如在模型加载前，对系统整体运行环境进行可信验证，仅在验证通过的情况下进行模型加载。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果和策略 ，对度量对象执行阻断调用;

2) 应核查可信机制(包括可信根和可信软件基) 是否能够依据度量结果策略实现日志记录或打印输出等;

3) 应核查可信机制(包括可信根和可信软件基) 是否能够依据对系统整体运行环境的度量结果和策略 ，对模型加载执行阻断调用 ，且实现日志记录或打印输出等。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.6 可信审计

7.2.2.6. 1 测评单元

对于可信审计的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.5的相关内容。

7.2.2.6.2 测评单元

a) 测评指标：可信审计记录应至少包含模型及模型应用相关的防护记录。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查可信审计记录对象包含启动度量对象 、动态度量对象、静态度量对象及模型及模型应用等;

2) 应核查可信审计记录度量结果中是否包括度量时间、度量对象 、度量结果;

3) 应核查每一条审计记录是否包括事件发生的 日期 、 时间 、对象 、事件描述和结果等;

4) 应核查是否基于可信根对可信审计记录进行加密保护。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.7 可信报告

7.2.2.7. 1 测评单元

a) 测评指标：产品应能够依据硬件度量、静态度量、动态度量结果生成可信报告和可信状态，可信报告包含设备当前的可信状态，并使用可信根中的平台身份密钥对可信报告进行签名保护。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查是否能够周期或由事件触发生成可信报告 ，可信报告应包括可信状态、设备唯一标识、 防重放标识号、生成时间、硬件度量、静态度量、动态度量信息;

2) 应核查可信报告中的可信状态是否由可信根产生 ，且是否使用了可信根中平台身份密钥进行签名保护。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.8 可信存储

7.2.2.8. 1 测评单元

对于可信存储的相关测评方法，应遵循 T/ZTCIA 001-2023 中7.2.2.7的相关内容。

7.2.2.8.2 测评单元

a) 测评指标：产品应能够对模型运行框架提供可信存储相关能力。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品为模型运行框架提供模型文件、模型参数 、配置文件的可信存储能力;

2) 应核查产品为模型运行框架提供密钥保护、校验机制。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.9 可信管理接口

7.2.2.9. 1 测评单元

对于身份验证、通信保护、管理数据传输的测评方法，应遵循 T/ZTCIA 001-2023 中

7.2.2.8的规定。

7.2.2.9.2 测评单元

a) 测评指标：产品应能够提供可信管理接口，接收可信配置管理模块下发的策略，并基于可信根对其来源和完整性进行验证。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查基于可信根是否能够验证由可信配置管理模块下发的策略数据来源，并且只有验证通过后才能加载该策略;

2) 应核查基于可信根是否能够验证由可信配置管理模块下发的策略数据完整性 ，并且只有验证通过后才能加载该策略。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.9.3 测评单元

a) 测评指标：产品应能够基于可信根，执行接收到的模型及模型应用的可信策略。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查基于可信根对模型及模型应用的可信策略进行保密性验证 ，并且只有验证通过后才能执行该策略。

d) 单元判定：若 1)为肯定则符合本单元指标要求，否则为不符合。

7.2.2.9.4 测评单元

a) 测评指标：产品应能够基于可信根，执行接收到的模型解密相关的可信策略。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查基于可信根对模型解密可信策略进行进程身份验证 ，并且只有验证通过后才能正常运行模型;

2) 应核查基于可信根对系统整体运行环境进行可信验证 ，并且只有验证通过后才能正常运行模型。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 10 可信自保护

7.2.2.10. 1 测评单元

a) 测评指标：产品应能够具备自保护能力，可防止安全机制被旁路，导致安全功能失效。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品可以通过策略配置具备自保护能力;

2) 应核查产品可防止安全机制被旁路，导致安全功能失效。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 11 可信运维

7.2.2. 11. 1 测评单元

a) 测评指标：产品应能够提供安全可信的运维管理入口，仅允许符合可信策略的更新操作。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查运维管理入口的双重认证机制;

2) 应核查运维管理入口的证书生命周期安全控制;

3) 应核查运维管理入口防重放认证机制;

4) 应核查运维管理入口安全更新功能。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 12 访问控制

7.2.2. 12. 1 测评单元

a) 测评指标：产品应能够依据策略，实现对模型文件、知识库文件等关键文件或关键

目录、网络端口的访问控制。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品应能够依据策略实现对模型文件 、知识库文件等关键文件或关键目录的访问控制;

2) 应核查产品应能够依据策略实现对网络端口的访问控制;

3) 应核查是否能够依据访问控制策略进行非法访问阻断控制 ，并进行日志记录或结果输出，发至可信管理中心。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 12.2 测评单元

a) 测评指标：产品应能够基于策略，对已配置关键文件策略的文本文件进行度量和保护，在文件被修改后将触发不可逆的访问控制机制，禁止任何进一步的读取、写入或删除操作。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品应能够依据策略实现对文本文件的度量和保护;

2) 应核查产品应能够实现已配置策略的文本文件被修改后禁止任何进一步的读取、写入或删除操作;

3) 应核查是否能够并进行日志记录或结果输出，并发至可信管理中心。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 13 模型保护

7.2.2.13. 1 测评单元

a) 测评指标： 产品应能够对模型、知识库、文档等重要文件进行加密。

b) 测评对象： 提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品加密实现了物理形态的身份认证机制;

2) 应核查产品加密密钥安全封装与解封装 ，杜绝密钥泄露风险;

3) 应核查产品加密策略文件元数据真实性和防篡改能力;

4) 应核查产品加密策略文件中特权进程白名单机制， 防止权限提升;

5) 应核查产品应能够对模型、知识库、文档等重要文件进行加密。

d) 单元判定： 若 1)~ 5)均为肯定则符合本单元指标要求 ，否则为不符合。

7.2.2.13.2 测评单元

a) 测评指标：模型软件部署配置时，应保持模型的知识库和模型文件为加密状态。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查已部署模型的知识库和模型文件为密文不可读。

d) 单元判定：若 1)为肯定则符合本单元指标要求，否则为不符合。

7.2.2.13.3 测评单元

a) 测评指标：模型服务运行时，应基于可信根，对加载到内存/显存/计算卡的数据进行度量和保护，防止攻击者直接访问内存窃取数据。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查基于可信根对模型整体运行环境进行度量 ，依据度量结果对访问模型数据的应用进行阻断 ，并进行日志记录或结果输出;

2) 应核查基于模型策略对访问模型数据的应用进行验证 ，依据验证结果对访问进行阻断，并进行日志记录或结果输出。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.13.4 测评单元

a) 测评指标：经加密的模型及知识库文件，对于模型应用应实现透明解密(无需感知解密过程)，且无需对模型应用本身进行任何额外改造。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查基于可信根验证模型策略的完整性和保密性;

2) 应核查模型策略验证通过正常加载模型及知识库文件;

3) 应核查模型策略验证未通过拒绝加载模型及知识库文件;

4) 应核查未配置模型策略的模型应用拒绝加载模型及知识库文件;

5) 应核查未通过策略验证是否能够进行日志记录或结果输出。

d) 单元判定：若 1)~ 5)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.13.5 测评单元

a) 测评指标：由同一密钥加密的模型及知识库文件，应能部署于多台不同的可信计算AI 一体机产品上并正常运行。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查同一密钥加密的模型及知识库文件支持在多台不同的可信计算 AI一体机部署;

2) 应核查同一密钥加密的模型及知识库文件支持在多台不同的可信计算 AI一体机解密成功并正常运行。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2.13.6 测评单元

a) 测评指标：经不同密钥分别加密的多个模型及知识库文件，应能部署于同一台可信计算 AI 一体机产品上并正常运行。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查同一台可信计算 AI 一体机是否能够加载经不同密钥分别加密的多个模型及知识库文件的模型策略;

2) 应核查经不同密钥分别加密的多个模型及知识库文件是否能够解密成功

并正常运行。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.2. 14 关键文件防篡改

7.2.2. 14. 1 测评单元

a) 测评指标：产品应提供关键文件防篡改配置列表，对于添加到相应配置列表的数据文件或可执行文件，应基于可信根向相应文件提供防篡改保护能力。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品是否提供关键文件防篡改配置列表;

2) 应核查产品防篡改配置列表对象包含数据文件或可执行文件;

3) 应核查是否基于可信根对配置对象提供防篡改保护能力 ，且有日志记录或结果输出。

d) 单元判定：若 1)~ 3)均为肯定则符合本单元指标要求，否则为不符合。

7.2.3 可信配置管理模块

7.2.3. 1 模型保护能力

7.2.3. 1. 1 测评单元

a) 测评指标：产品应能够基于预置证书及用户密钥对模型文件进行加密操作。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品加密实现了物理形态的身份认证机制;

2) 应核查产品加密密钥安全封装与解封装 ，杜绝密钥泄露风险;

3) 应核查产品加密策略文件元数据真实性和防篡改能力;

4) 应核查产品加密策略文件中特权进程白名单机制， 防止权限提升;

5) 应核查产品应能够对模型文件进行加密。

d) 单元判定：若 1)~ 5)均为肯定则符合本单元指标要求，否则为不符合。

7.2.3. 1.2 测评单元

a) 测评指标：产品应能够产生模型应用及模型文件的访问控制策略。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查只有已配置特权进程的模型应用允许明文访问模型文件;

2) 应核查未配置特权进程的模型应用不允许明文访问模型文件 ，且有日志记录或结果输出。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

7.2.3.2 可信证书替换

7.2.3.2. 1 测评单元

a) 测评指标：产品应能够提供默认密钥证书，支撑与可信管理中心之间的密钥建立、可信报告的远程证明、可信配置管理模块实现模型加解密等应用。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品具备 Ukey 一键灌装功能;

2) 应核查默认密钥证书支撑与可信管理中心之间的密钥建立;

3) 应核查默认密钥证书支撑可信报告的远程证明;

4) 应核查默认密钥证书支撑可信配置管理模块实现模型加解密相关应用。

d) 单元判定：若 1)~ 4)均为肯定则符合本单元指标要求，否则为不符合。

7.2.3.2.2 测评单元

a) 测评指标：产品应能够提供用户自有 CA 证书的替换功能。

b) 测评对象：提供可信验证的设备及组件。

c) 测评实施包括以下内容：

1) 应核查产品具备替换用户自有 CA 证书能力并具备安全性验证;

2) 应核查产品替换为用户自有 CA 证书后的功能性。

d) 单元判定：若 1)~ 2)均为肯定则符合本单元指标要求，否则为不符合。

附 录 Λ

(规范性)

密钥管理接口

A.1 非对称密钥生成

调用 tcf 接口：tcf_generate_key

tpcm 命令号：0x201

tpcm 接口名：tpcm_create_sm2_generate_key_command

tpcm 接口实现：根据传入 index 通过调用软算法 tcm 接口，生成一对 sm2 密钥对，公私钥存放在 key 的对应槽位。

A.2 公钥导出

调用 tcf 接口：tcf_get_index_pubkey

tpcm 命令号：0x202

tpcm 接口名：tpcm_get_public_key_command

tpcm 接口实现：根据传入 index 去对应 key 的槽位获取对应公钥传出。 A.3 证书导入

调用 tcf 接口：tcf_update_other_cert

tpcm 命令号：0x20F

tpcm 接口名：tpcm_update_other_cert_command

tpcm 接口实现：index 和证书字符串传入，根据根内已有证书链验签，验签成功后，把证书和证书对应的公钥分别保存到对应的 index 中。

A.4 证书链更新

调用 tcf 接口：tcf_update_root_cert_vir

tpcm 命令号：0x20C

tpcm 接口名：tpcm_update_root_cert_from_addr_command

tpcm 接口实现：传入证书链以及签名，先用 httc 证书对应的公钥验签，验签通过后，证明证书链是由httcCA 签名，证书链层数只有 1 层默认验证通过，层数大于 1 进行证书链验签，验签通过后，保存证书链的证书和对应公钥到对应的槽位，判断是否是 httc证书链，如果是把证书链的根证书和公钥保存到存放 httc根证书和公钥的槽位(13 槽)，并删除之前槽位的其他证书和公钥。

A.5 业务证书验证

调用 tcf 接口：tcf_verify_cert

tpcm 命令号：0x216

tpcm 接口名：tpcm_verify_cert_legal_command

tpcm 接口实现：传入待验证证书以及是否保存证书和公钥 flag，用根内已有证书链对待验证证书进行验证，验证通过后，根据 flag 决定是否保存证书和公钥，返回结果工具名：update_other_cert。

附 录 B

(规范性)

可信报告格式

表 B. 1 可信计算 AI 一体机报送的可信报告数据格式

参 考 文 献

[ 1] GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求

[2] GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求

[3] GB/T 41388-2022 信息安全技术 可信执行环境 基本安全规范

[4] GB/T 37935-2019 信息安全技术 可信计算规范 可信软件基

[5] GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块

[6] GM/T 0012-2020 可信计算 可信密码模块接口规范