T/ZTCIA 004-2023 可信计算办公设备产品技术规范

ICS 35.030
CCS L80
中关村可信计算产业联盟团体标准
T/ZTCIA 004—2023
可信计算办公设备产品技术规范
Trusted computing-Technical specification for office device products
2023 - 12 - 10 发布2023 - 12 - 12 实施
中关村可信计算产业联盟 发布

目次
前言................................................................................ III
1 范围................................................................................. 1
2 规范性引用文件....................................................................... 1
3 术语和定义........................................................................... 1
4 缩略语............................................................................... 2
5 概述................................................................................. 2
6 等级划分............................................................................. 3
7 基本级技术要求....................................................................... 4
7.1 可信根技术要求................................................................... 4
7.2 可信功能技术要求................................................................. 4
7.2.1 静态度量..................................................................... 4
7.2.2 可信升级..................................................................... 4
7.2.3 可信控制..................................................................... 4
7.2.4 可信审计..................................................................... 4
7.2.5 可信报告..................................................................... 4
8 增强级技术要求....................................................................... 4
8.1 可信根技术要求................................................................... 5
8.2 可信功能技术要求................................................................. 5
8.2.1 静态度量..................................................................... 5
8.2.2 动态度量..................................................................... 5
8.2.3 可信外接..................................................................... 5
8.2.4 可信防护..................................................................... 5
8.2.5 可信升级..................................................................... 5
8.2.6 可信存储..................................................................... 5
8.2.7 可信控制..................................................................... 6
8.2.8 可信审计..................................................................... 6
8.2.9 可信报告..................................................................... 6
9 基本级测评方法....................................................................... 6
9.1 可信根测评方法................................................................... 6
9.2 可信功能测评方法................................................................. 7
9.2.1 静态度量..................................................................... 7
9.2.2 可信升级..................................................................... 8
9.2.3 可信控制..................................................................... 8
9.2.4 可信审计..................................................................... 9
9.2.5 可信报告..................................................................... 9
10 增强级测评方法..................................................................... 10
10.1 可信根测评方法................................................................. 10
T/ZTCIA 004—2023
II
10.2 可信功能测评方法............................................................... 11
10.2.1 静态度量................................................................... 11
10.2.2 动态度量................................................................... 12
10.2.3 可信外接................................................................... 12
10.2.4 可信防护................................................................... 13
10.2.5 可信升级................................................................... 14
10.2.6 可信存储................................................................... 14
10.2.7 可信控制................................................................... 15
10.2.8 可信审计................................................................... 15
10.2.9 可信报告................................................................... 16
T/ZTCIA 004—2023
III
前言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由中关村可信计算产业联盟外设专委会提出。
本文件由中关村可信计算产业联盟归口。
本文件起草单位：中关村可信计算产业联盟、珠海奔图电子有限公司、北京可信华泰信息技术有限
公司、宁波和利时信息安全研究院有限公司、北京工业大学、北京北信源软件股份有限公司、北京江南
天安科技有限公司、中国长城科技集团股份有限公司、北京嘉华龙马科技有限公司、紫光股份有限公司、
上海绘丫科技有限公司、北京高德品创科技有限公司、北京辰光融信技术有限公司、沈阳东软系统集成
工程有限公司。
本文件主要起草人：彭继兵、余成柱、孙瑜、洪宇、刘盈、王昱波、何悦、樊迪、韩瑛华、潘泽、
陈婷婷、许小青、高军辉、杨香玉、路娜。
T/ZTCIA 004—2023
1
可信计算办公设备产品技术规范
1 范围
本标准规定了办公设备产品应用可信计算技术的概述、技术要求和测评方法。
本标准适用于办公设备产品中可信计算技术的设计、应用和测评。本标准是办公设备产品应用可信
计算技术的要求和测评依据。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 22239-2019 信息安全技术网络安全等级保护基本要求
GB/T 25069-2010 信息安全技术术语
GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求
GB/T 28448-2019 信息安全技术网络安全等级保护测评要求
GB/T 29244-2012 信息安全技术办公设备基本安全要求
GB/T 29827-2013 信息安全技术可信计算规范可信平台主板功能接口
GB/T 29829-2013 信息安全技术接口规范
GB/T 37935-2019 信息安全技术可信计算规范可信软件基
GB/T 38638-2020 信息安全技术可信计算可信计算体系结构
GB/T 40650-2021 信息安全技术可信计算规范可信平台控制模块
GM/T 0011-2012 可信计算可信密码支撑平台功能与接口规范
GM/T 0012-2020 可信计算可信密码模块接口规范
T/ZTCIA 001-2021 可信计算产品技术规范
3 术语和定义
GB/T 25069-2010 、GB/T 29827-2013 、GB/T 29829-2013 和GB/T 37935-2019 界定的以及下列
术语和定义适用于本文件。
3.1
办公设备office devices
用于产生或处理电子或其他媒体文件的设备。
注：主要是指具有打印、扫描、传真、复印中的一项或多项功能的设备产品。
[来源：GB/T 29244-2012，3.1]
3.2
主控板main control board
用于控制硬件资源和实现主要功能的电路板。
注：是指办公设备中集成主控芯片的电路板，主要负责数据解析、任务管理、图像处理、影像数据获取或输出。
3.3
子控板sub-board
用于协助主控板实现特定功能的电路板。
注：主要是指办公设备中负责面板控制、耗材控制、引擎控制等一个或多个功能的电路板。
3.4
主控芯片master SoC
用于实现数据压缩和解压缩、图像处理、扫描头控制、打印头控制、数据通讯等功能的系统级芯片。
注：扫描头是办公设备的图像采集单元，主要有CIS、CCD等类型。打印头是办公设备的图像输出单元，主要有LSU、
T/ZTCIA 004—2023
2
LPH、喷头、针头等类型。
3.5
外接模块external modules
由外部接入，用于实现特定功能的独立模块。
注：主要是指从外部接入办公设备的U盘、指纹识别器、读卡器等设备。
3.6
固件firmware
存储在办公设备内非易失性存储器中的二进制文件。
注：主要是指实现办公设备接口通信、数据解析、打印语言解析、图像处理等操作的程序。
3.7
可信根root of trust
可信根是可信计算平台的信任源点，由TPCM和TCM组成。TPCM是可信平台控制模块，负责发起可信
验证、获取可信验证数据、执行可信验证中运算（非密码相关）、存储相关策略信息、执行可信控制等。
TCM是可信密码模块，为可信验证操作提供密码服务支撑。可信根是用于支撑可信计算平台信任链建立
和传递的可对外提供完整性度量、安全存储、密码运算等服务的功能模块。
[来源：T/ZTCIA 001-2021，3.3]
3.8
可信密码模块trusted cryptography module
可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。
[来源：GM/T 0012-2020，3.7]
3.9
可信平台控制模块trusted platform control module
一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算平台提供完整
性度量、安全存储、可信报告以及密码服务等功能。
[来源：GB/T 29827-2013，3.20]
3.10
可信软件基trusted software base
为可信计算平台的可信性提供支持的软件元素的集合。
[来源：GB/T 37935-2019，3.3]
3.11
用户数据user data
由用户创建或为用户而创建，且不影响办公设备安全功能运行的数据。用户数据包括用户文档数据
和用户功能数据。
[来源：GB/T 29244-2012，3.10]
4 缩略语
下列缩略语适用于本文件。
TPCM：可信平台控制模块（Trusted Platform Control Module）
TSB：可信软件基（Trusted Software Base）
TCM：可信密码模块（Trusted Cryptography Module）
EWS：嵌入式网络服务（Embedded Web Server）
CIS：接触式图像传感器（Contact Image Sensor）
CCD：电荷耦合元件（Charge Coupled Device）
LSU：激光扫描单元（Laser Scanning Unit）
LPH：LED(发光二极管)打印头（LED Print Head）
5 概述
典型办公设备产品可信计算逻辑组成框架如图1所示：
T/ZTCIA 004—2023
3
图1 典型办公设备产品可信计算逻辑组成框架
办公设备产品可信根是可信计算技术框架的核心，可信根应具有独立、隔离的安全运行环境。
可信根由TCM、TPCM两部分组成，TCM为可信验证操作提供密码服务支撑，TPCM负责发起和执行可信
验证操作。
办公设备产品可信软件基提供接口供可信日志管理模块查询办公设备的可信日志。可信软件基在办
公设备产品接入主机时进行可信验证。
可信日志管理模块支持查看可信日志，并输出可信报告。
典型办公设备产品业务可信控制框架如图2 所示：
图2 典型办公设备产品业务可信控制框架
办公设备产品应由可信软件基收集外接模块和子控板的信息，并发送至可信根进行验证。
办公设备产品进行新版本固件更新时，应由可信软件基收集固件信息并发送给可信根进行验证。
6 等级划分
可信计算办公设备产品分为基本级和增强级。
可信计算办公设备产品基本级技术要求遵守GB/T 22239-2019 中6.1.4.5 和7.1.4.6 规定的要
求，并参照T/ZTCIA 001-2021 中6.1 的要求制定，基本级测评方法遵守GB/T 28448-2019 中6.1.4.5
和7.1.4.6 规定的要求，并参照T/ZTCIA 001-2021 中7.1 规定的要求制定。
T/ZTCIA 004—2023
4
可信计算办公设备产品增强级技术要求遵守GB/T 22239-2019 中8.1.4.6 和9.1.4.6 规定的要
求，并参照T/ZTCIA 001-2021 中6.2 的要求制定，增强级测评方法遵守GB/T 28448-2019 中
8.1.4.6 和9.1.4.6 规定的要求，并参照T/ZTCIA 001-2021 中7.2 规定的要求制定。
7 基本级技术要求
可信计算办公设备产品的基本级技术要求包括可信根技术要求和可信功能技术要求。
7.1 可信根技术要求
办公设备产品的可信根应：
a) 集成在主控板或主控芯片内，且办公设备产品在脱离可信根时无法运行；
b) 先于主控芯片启动，并运行独立的安全防护子系统，且能直接访问存储办公设备产品固件的
存储器。
办公设备产品的可信密码模块应：
a) 使用国家密码管理局认证核准的密码技术进行实现，并提供芯片资质相关的符合性证明材料；
b) 以硬件形态实现，保证其密码资源的隔离保障要求。
7.2 可信功能技术要求
可信功能技术要求包含静态度量、可信升级、可信控制、可信审计、可信报告。
7.2.1 静态度量
办公设备产品应：
a) 能够在启动阶段基于可信根对引导程序、操作系统内核、应用程序及重要配置参数进行可信
验证；
b) 能够在应用程序的初始化阶段基于可信根对应用程序的脚本、可执行程序进行白名单验证。
7.2.2 可信升级
办公设备产品固件不应包含已公开的中、高风险漏洞。
办公设备产品应能够在固件升级时使用数字证书对升级文件进行验签，并且验签所使用的数字证书
应存储在可信根中。
7.2.3 可信控制
办公设备产品应能够依据静态度量、可信升级的验证结果，当检测到可信性受到破坏时进行操作阻
断或报警。
7.2.4 可信审计
办公设备产品应能够对度量动作和结果生成可信审计记录，可信审计记录应包括时间、度量方式、
度量对象、度量值、验证结果等，并能够对可信审计记录进行完整性保护。
[来源：T/ZTCIA 001-2021，6.1.2.3]
7.2.5 可信报告
办公设备产品应：
a) 能够生成可信报告，可信报告包含设备当前的可信状态，可信状态依据静态度量的结果生成；
b) 能够通过USB 或网络连接的数据传输通道提供可信报告；
c) 能够对所存储的可信报告进行完整性保护；
d) 能够保存不少于10,000 条的可信报告，且超过报告条数上限时采用覆盖旧报告方式滚动存储。
办公设备产品如具备网络功能，应能够通过EWS 访问方式显示可信报告。
8 增强级技术要求
可信计算办公设备产品的增强级技术要求包括可信根技术要求和可信功能技术要求。
T/ZTCIA 004—2023
5
8.1 可信根技术要求
办公设备产品的可信根应：
a) 以硬件形态实现；
b) 集成在主控板或主控芯片内，且办公设备产品在脱离可信根时无法运行；
c) 先于主控芯片启动，并运行独立的安全防护子系统，且能直接访问存储办公设备产品固件的
存储器。
办公设备产品的可信密码模块应：
a) 使用国家密码管理局认证核准的密码技术进行实现，并提供芯片资质相关的符合性证明材料；
b) 以硬件形态实现，保证其密码资源的隔离保障要求。
8.2 可信功能技术要求
可信功能技术要求包含静态度量、动态度量、可信外接、可信防护、可信升级、可信存储、可信控
制、可信审计、可信报告。
8.2.1 静态度量
办公设备产品应：
a) 能够在启动阶段基于可信根对引导程序、操作系统内核、应用程序及重要配置参数进行可信
验证；
b) 能够在应用程序的初始化阶段基于可信根对应用程序的脚本、可执行程序进行白名单验证。
8.2.2 动态度量
办公设备产品应能够在应用程序执行自身业务功能的关键执行环节，依据策略主动截获应用程序的
系统行为，包括行为相关的主体、客体、操作、环境等信息，对其进行可信验证。
[来源：T/ZTCIA 001-2021，6.2.2.2]
8.2.3 可信外接
办公设备产品应：
a) 能够基于可信根对接入的外接模块和子控板进行可信验证，当检测到可信性受到破坏时，对
接入行为进行阻止或报警，并生成审计记录；
b) 能够基于可信根对联到互联网的行为进行检查、限制和告警；
c) 能够基于可信根在通信前采用密码技术对通信的驱动程序进行可信验证。
办公设备产品：
a) 如果支持AP 热点连接，应基于可信根阻止直接访问办公设备的AP 热点；
b) 如果支持远程访问，应基于可信根阻止通过远程控制协议访问设备；
c) 如果支持共享协议，应基于可信策略，由可信根阻止共享协议访问设备。
8.2.4 可信防护
办公设备产品应能够基于预定义的可信策略阻止：
a) 关键进程被杀死；
b) 可信关键模块被卸载；
c) 重要文件被篡改。
8.2.5 可信升级
办公设备产品固件不应包含已公开的中、高风险漏洞。
办公设备产品应能够在固件升级时使用数字证书对升级文件进行验签，并且验签所使用的数字证书
应存储在可信根中。
8.2.6 可信存储
办公设备产品可信根应能够提供安全隔离的内部存储空间用于对关键数据进行密封保护，密封保护
机制应支持基于口令、设备可信状态、进程身份等要素的访问策略制定。
T/ZTCIA 004—2023
6
[来源：T/ZTCIA 001-2021，6.2.2.7]
办公设备产品应能够基于可信根对预定义的策略配置中指定路径的文件进行加密存储和实时监控，
当检测到非法进程、软件访问被监控文件时，应能够阻止其访问并生成可信审计记录。
8.2.7 可信控制
办公设备产品应能够依据静态度量、动态度量、可信外接、可信升级、可信存储的验证结果，当检
测到可信性受到破坏时，按照预定义策略采取控制措施，如操作阻断或状态恢复等。
8.2.8 可信审计
办公设备产品应：
a) 能够对度量动作和结果生成可信审计记录，可信审计记录应包括时间、度量方式、度量对象、
度量值、验证结果等，并能够对可信审计记录进行完整性保护；
[来源：T/ZTCIA 001-2021，6.2.2.5]
b) 能够对产品所具有的打印、复印、扫描、传真、安全功能设置等功能进行可信审计并生成审
计记录，审计记录应包括事件的时间、操作类型、操作结果、信息来源、作业份数、作业页
数、作业拥有者、作业状态等信息；
c) 能够保证系统范围内可信审计的时间由唯一确定的硬件时钟产生，以保证各种数据的管理和
分析在时间上的一致性。
8.2.9 可信报告
办公设备产品应：
a) 能够生成可信报告，可信报告包含设备当前的可信状态，可信状态依据静态度量、动态度量
的结果生成；
b) 能够通过USB 或网络连接的数据传输通道提供可信报告；
c) 能够对所存储的可信报告进行完整性保护；
d) 能够保存不少于10,000 条的可信报告，且超过报告条数上限时采用覆盖旧报告方式滚动存储。
办公设备产品如具备网络功能，应能够通过EWS 访问方式显示可信报告。
办公设备产品的可信报告应至少包含应用程序的进程、模块、执行代码等信息的度量结果。
9 基本级测评方法
基本级测评方法中所使用的测评环境由被测设备与测试主机通过物理连接的方式组成。测试主机应
安装与被测设备匹配的最新版本驱动程序。
基本级测评方法中所使用的测试工具是指由办公设备生产厂商提供可实现登录到办公设备产品主
控板操作系统控制台的硬件工具和配套软件等。
可信计算办公设备产品的基本级测评方法包括可信根测评方法和可信功能测评方法。
9.1 可信根测评方法
可信计算办公设备产品的基本级可信根测评方法的相关信息见表1。
表1 可信根测评方法表
测评项测评指标测评实施内容单元判定
可信根技术要求
（可信平台控制模块）
办公设备产品的可信根应集
成在主控板或主控芯片内，且
办公设备产品在脱离可信根
时无法运行。
1）拆开产品外盖，核查主控
板上是否有可信根；
2）核查办公设备产品可信根
模块的设计文档，确认产品在
设计上是否能够确保无法在
脱离可信根时运行；
3）去掉可信根中的硬件模块，
核查办公设备产品是否无法
正常启动。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
T/ZTCIA 004—2023
7
测评项测评指标测评实施内容单元判定
办公设备产品的可信根应先
于主控芯片启动，并运行独立
的安全防护子系统，且能直接
访问存储办公设备产品固件
的存储器。
1）在办公设备产品启动阶段，
通过示波器连接主控芯片和
TCM芯片的电源与复位信号，
核查示波器波形时序是否是
TCM 芯片优先于主控芯片启
动；
2）通过测试工具连接办公设
备产品控制终端，核查TCM芯
片的日志是否先于主控芯片
日志输出；
3）通过示波器连接TCM芯片和
固件存储器的通讯总线，核查
示波器的波形是否有访问存
储器的时序。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
可信根技术要求
（可信密码模块）
办公设备产品的可信密码模
块应使用国家密码管理局认
证核准的密码技术进行实现，
并提供芯片资质相关的符合
性证明材料。
核查可信根中的可信密码模
块是否具备国家密码管理局
颁发的商用密码产品认证证
书，可信验证的密码模块功能
设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058
等可信计算相关标准要求，或
核查商用密码产品认证证书
中产品名称/ 型号是否包含
“可信计算密码模块”。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品的可信密码模
块应以硬件形态实现，保证其
密码资源的隔离保障要求。
核查办公设备产品可信根模
块的设计文档，确认密码模块
是否由硬件形态实现，并确认
密码资源是否有隔离保障的
设计。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
9.2 可信功能测评方法
可信计算办公设备产品的基本级可信功能测评对象包括静态度量、可信升级、可信控制、可信审计、
可信报告。
9.2.1 静态度量
可信计算办公设备产品的基本级静态度量测评方法的相关信息见表2。
表2 静态度量测评方法表
测评项测评指标测评实施内容单元判定
静态度量办公设备产品应能够在启动
阶段基于可信根对引导程序、
操作系统内核、应用程序及重
要配置参数进行可信验证。
1）核查办公设备产品静态度
量模块的设计文档，确认是否
在启动阶段基于可信根对引
导程序、操作系统内核、应用
程序及重要配置参数进行可
信验证；
2）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过控制终端输出引导程
序、操作系统内核、应用程序
及重要配置参数的可信验证
的度量过程、度量对象、度量
时间、度量结果；
3）核查办公设备产品可信日
志是否有对引导程序、操作系
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
T/ZTCIA 004—2023
8
测评项测评指标测评实施内容单元判定
统内核、应用程序及重要配置
参数进行可信验证的记录。
办公设备产品应能够在应用
程序的初始化阶段基于可信
根对应用程序的脚本、可执行
程序进行白名单验证。
1）核查办公设备产品可信日
志是否有对主要应用程序的
脚本、可执行程序、内核模块、
动态连接库等进行白名单验
证的记录；
2）通过测试工具连接办公设
备产品控制终端，拷贝白名单
内的对象到其他目录，核查是
否可以对白名单内容进行加
载或执行；
3）通过测试工具连接办公设
备产品控制终端，在产品中预
置并执行非白名单的应用程
序，核查静态度量是否能够阻
止非白名单应用程序的执行，
并核查可信日志是否有非白
名单应用程序的阻止记录。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
9.2.2 可信升级
可信计算办公设备产品的基本级可信升级测评方法的相关信息见表3。
表3 可信升级测评方法表
测评项测评指标测评实施内容单元判定
可信升级办公设备产品固件不应包含
已公开的中、高风险漏洞。
1）将产品进行固件升级，核
查是否正常升级至待升级版
本；
2）对升级后的产品进行漏洞
扫描，核查扫描结果是否不存
在中、高风险漏洞。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
办公设备产品应能够在固件
升级时使用数字证书对升级
文件进行验签，并且验签所使
用的数字证书应存储在可信
根中。
1）通过测试工具连接办公设
备产品控制终端，使用具有数
字签名的固件对产品进行升
级，核查TCM芯片日志是否包
含基于数字证书验签的记录，
核查可信日志是否有固件文
件验签成功发生的记录；
2）使用错误签名值的固件对
产品进行升级，核查固件是否
不能成功升级，并核查可信日
志是否有固件文件验签失败
的记录；
3）核查固件升级时是否有数
字验签的提示；
4）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过控制终端输出验签结
果，且结果与第3）点提示内
容一致。
如果1）～4）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
9.2.3 可信控制
可信计算办公设备产品的基本级可信控制测评方法的相关信息见表4。
T/ZTCIA 004—2023
9
表4 可信控制测评方法表
测评项测评指标测评实施内容单元判定
可信控制办公设备产品应能够依据静
态度量、可信升级的验证结
果，当检测到可信性受到破坏
时进行操作阻断或报警。
1）通过测试工具连接办公设
备产品控制终端，通过控制终
端尝试非授权修改固件存储
器上的引导程序、操作系统内
核、应用程序及重要配置参数
数据，并重新启动产品，核查
启动过程是否被阻断或产生
报警信息；
2）使用无数字签名的固件对
产品进行升级，核查升级过程
是否被阻断或产生报警信息，
并核查可信审计记录是否有
可信升级失败信息的记录。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
9.2.4 可信审计
可信计算办公设备产品的基本级可信审计测评方法的相关信息见表5。
表5 可信审计测评方法表
测评项测评指标测评实施内容单元判定
可信审计办公设备产品应能够对度量
动作和结果生成可信审计记
录，可信审计记录应包括时
间、度量方式、度量对象、度
量值、验证结果等，并能够对
可信审计记录进行完整性保
护。
1）在办公设备产品内更换非
法固件并启动产品；
2）通过测试工具连接控制终
端，在办公设备产品中预置并
执行非白名单的应用程序；
3）通过办公设备产品驱动软
件或嵌入式网页查看可信日
志，核查可信日志是否包含时
间、度量方式、度量对象、度
量值、验证结果等；
4）核查办公设备产品的可信
审计是否采用商用密码算法
进行完整性保护。
如果3）～4）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
9.2.5 可信报告
可信计算办公设备产品的基本级可信报告测评方法的相关信息见表6。
表6 可信报告测评方法表
测评项测评指标测评实施内容单元判定
可信报告办公设备产品应能够生成可
信报告，可信报告包含设备当
前的可信状态，可信状态依据
静态度量的结果生成。
1）核查办公设备产品是否能
够通过办公设备产品驱动软
件生成可信报告；
2）核查可信报告是否和办公
设备产品的当前可信状态一
致，核查可信状态是否依据静
态度量的结果生成。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
办公设备产品应能够通过USB
或网络连接的数据传输通道
提供可信报告。
1）将办公设备产品通过USB线
或网线与PC主机连接并安装
办公设备产品驱动软件；
2）核查是否能够通过办公设
备产品驱动软件查看可信报
告。
如果2）为肯定，则符合本单
元测评指标要求，否则不符合
单元测评要求。
T/ZTCIA 004—2023
10
测评项测评指标测评实施内容单元判定
办公设备产品应能够对所存
储的可信报告进行完整性保
护。
核查办公设备产品的可信报
告是否采用商用密码算法进
行完整性保护。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品应能够保存不
少于10,000条的可信报告，且
超过报告条数上限时采用覆
盖旧报告方式滚动存储。
使办公设备生成不少于
10,000条的可信报告，核查可
信报告是否能存储不少于
10,000条，超过上限的可信报
告是否按时间顺序由旧到新
进行覆盖式写入。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品如具备网络功
能，应能够通过EWS访问方式
显示可信报告。
1）将具备网络功能的办公设
备产品通过网线与PC主机连
接；
2）在PC主机上使用浏览器登
录办公设备产品的嵌入式网
页，核查是否有可信报告内
容。
如果2）为肯定，则符合本单
元测评指标要求，否则不符合
本单元测评要求。
10 增强级测评方法
增强级测评方法中所使用的测评环境由被测设备与测试主机通过物理连接的方式组成。测试主机应
安装与被测设备匹配的最新版本驱动程序。
增强级测评方法中所使用的测试工具是指由办公设备生产厂商提供可实现登录到办公设备产品主
控板操作系统控制台的硬件工具和配套软件等。
可信计算办公设备产品的增强级测评方法包括可信根测评方法和可信功能测评方法。
10.1 可信根测评方法
可信计算办公设备产品的增强级可信根测评方法的相关信息见表7。
表7 可信根测评方法表
测评项测评指标测评实施内容单元判定
可信根
（可信平台控制模块）
办公设备产品的可信根应以
硬件形态实现。
核查办公设备产品可信根模
块的设计文档，并查看办公设
备产品主控板上的可信根模
块的形态，核查可信根是否以
硬件形态实现。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品的可信根应集
成在主控板或主控芯片内，且
办公设备产品在脱离可信根
时无法运行。
1）拆开产品外盖，核查主控
板上是否有可信根；
2）核查办公设备产品可信根
模块的设计文档，确认产品在
设计上是否能够确保无法在
脱离可信根时运行；
3）去掉可信根模块，核查办
公设备产品是否无法正常启
动。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
办公设备产品的可信根应先
于主控芯片启动，并运行独立
的安全防护子系统，且能直接
访问存储办公设备产品固件
的存储器。
1）在办公设备产品启动阶段，
通过示波器连接主控芯片和
TCM芯片的电源与复位信号，
核查示波器波形时序是否是
TCM 芯片优先于主控芯片启
动；
2）通过测试工具连接办公设
备产品控制终端，核查TCM芯
片的日志是否先于主控芯片
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
T/ZTCIA 004—2023
11
测评项测评指标测评实施内容单元判定
日志输出；
3）通过示波器连接TCM芯片和
固件存储器的通讯总线，核查
示波器的波形是否有访问存
储器的时序。
可信根
（可信密码模块）
办公设备产品的可信密码模
块应使用国家密码管理局认
证核准的密码技术进行实现，
并提供芯片资质相关的符合
性证明材料。
核查可信根中的可信密码模
块是否具备国家密码管理局
颁发的商用密码产品认证证
书，可信验证的密码模块功能
设计是否符合GM/T 0011、GM/T
0012、GM/T 0013或GM/T 0058
等可信计算相关标准要求，或
核查商用密码产品认证证书
中产品名称/ 型号是否包含
“可信计算密码模块”。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品的可信密码模
块应以硬件形态实现，保证其
密码资源的隔离保障要求。
核查办公设备产品可信根模
块的设计文档，确认密码模块
是否以硬件形态实现，并确认
密码资源是否有隔离保障的
设计。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
10.2 可信功能测评方法
可信计算办公设备产品的增强级可信功能测评对象包括静态度量、动态度量、可信外接、可信防护、
可信升级、可信存储、可信控制、可信审计、可信报告。
10.2.1 静态度量
可信计算办公设备产品的增强级静态度量测评方法的相关信息见表8。
表8 静态度量测评方法表
测评项测评指标测评实施内容单元判定
静态度量办公设备产品应能够在启动
阶段基于可信根对引导程序、
操作系统内核、应用程序及重
要配置参数进行可信验证。
1）核查办公设备产品静态度
量模块的设计文档，确认是否
在启动阶段基于可信根对引
导程序、操作系统内核、应用
程序及重要配置参数进行可
信验证；
2）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过控制终端输出引导程
序、操作系统内核、应用程序
及重要配置参数的可信验证
的度量过程、度量对象、度量
时间、度量结果；
3）核查办公设备产品可信日
志是否有对引导程序、操作系
统内核、应用程序及重要配置
参数进行可信验证的记录。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
办公设备产品应能够在应用
程序的初始化阶段基于可信
根对应用程序的脚本、可执行
程序进行白名单验证。
1）核查办公设备产品可信日
志是否有对主要应用程序的
脚本、可执行程序、内核模块、
动态连接库等进行白名单验
证的记录；
2）通过测试工具连接办公设
备产品控制终端，拷贝白名单
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
T/ZTCIA 004—2023
12
测评项测评指标测评实施内容单元判定
内的对象到其他目录，核查是
否可以对白名单内容进行加
载或执行；
3）通过测试工具连接办公设
备产品控制终端，在产品中预
置并执行非白名单的应用程
序，核查静态度量是否能够阻
止非白名单应用程序的执行，
并核查可信日志是否有非白
名单应用程序的阻止记录。
10.2.2 动态度量
可信计算办公设备产品的增强级动态度量测评方法的相关信息见表9。
表9 动态度量测评方法表
测评项测评指标测评实施内容单元判定
动态度量办公设备产品应能够在应用
程序执行自身业务功能的关
键执行环节，依据策略主动截
获应用程序的系统行为，包括
行为相关的主体、客体、操作、
环境等信息，对其进行可信验
证。
1）通过测试工具连接办公设
备产品控制终端，根据控制终
端输出的可信度量信息核查
产品是否对系统调用表、内核
代码段、进程代码段（包括加
载的动态库）、可加载内核模
块代码段、文件系统关键操作
函数、网络地址族/协议族等
关键数据进行可信度量；
2）通过控制终端输出的动态
度量信息（包括时间、过程、
结果等），核查动态度量机制
是否包含定时触发和条件触
发两种方式；
3）核查动态度量是否能够生
成重要环节的审计记录。
如果1）～3）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
10.2.3 可信外接
可信计算办公设备产品的增强级可信外接测评方法的相关信息见表10。
表10 可信外接测评方法表
测评项测评指标测评实施内容单元判定
可信外接办公设备产品应能够基于可
信根对接入的外接模块和子
控板进行可信验证，当检测到
可信性受到破坏时，对接入行
为进行阻止或报警，并生成审
计记录。
1）通过测试工具连接办公设
备产品控制终端，将办公设备
产品合法子控板和合法外接
模块分别接入产品，核查TCM
芯片的日志是否包含可信验
证记录，核查可信日志是否有
可信外接的记录；
2）将办公设备产品子控板更
换为非法子控板或将非法外
接模块接入产品；
3）启动办公设备产品，核查
启动过程是否被阻断或产生
报警信息；
4）核查可信日志是否有可信
如果1）～4）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
T/ZTCIA 004—2023
13
测评项测评指标测评实施内容单元判定
外接失败的记录。
办公设备产品应能够基于可
信根对联到互联网的行为进
行检查、限制和告警。
通过测试工具连接办公设备
产品控制终端，将办公设备产
品接入互联网，核查TCM芯片
的日志是否包含阻止接入互
联网的记录，核查是否无法连
接成功，是否存在非法接入互
联网的可信日志，是否能在面
板或指示灯提示非法接入互
联网的告警信息。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品应能够基于可
信根在通信前采用密码技术
对通信的驱动程序进行可信
验证。
1）通过测试工具连接办公设
备产品控制终端，用户在PC端
通过办公设备产品驱动下发
作业，使用抓包工具抓取数
据；
2）核查控制终端及TCM芯片日
志是否输出可信认证的信息，
核查所抓取的数据是否符合
办公设备产品的可信外接设
计文档中的要求。
如果2）为肯定，则符合本单
元测评指标要求，否则不符合
本单元测评要求。
办公设备产品如果支持AP热
点连接，应基于可信根阻止直
接访问办公设备的AP热点。
通过测试工具连接办公设备
产品控制终端，使用AP热点方
式连接办公设备产品，核查
TCM芯片的日志是否包含阻止
AP热点接入的记录，并确认是
否无法接入成功。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品如果支持远程
访问，应基于可信根阻止通过
远程控制协议访问设备。
通过测试工具连接办公设备
产品控制终端，尝试使用远程
控制协议下发通信请求，核查
TCM芯片的日志是否包含阻止
远程访问的记录，并确认是否
无法访问设备。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品如果支持共享
协议，应基于可信策略，由可
信根阻止共享协议访问设备。
通过测试工具连接办公设备
产品控制终端，尝试使用共享
协议下发通信请求，核查TCM
芯片的日志是否包含阻止共
享协议访问的记录，并确认是
否无法访问设备。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
10.2.4 可信防护
可信计算办公设备产品的增强级可信防护测评方法的相关信息见表11。
表11 可信防护测评方法表
测评项测评指标测评实施内容单元判定
可信防护办公设备产品应能够基于预
定义的可信策略阻止：
a）关键进程被杀死；
b）可信关键模块被卸载；
c）重要文件被篡改。
1）通过测试工具连接办公设
备产品控制终端，分别执行下
述操作，确认是否均无法执行
成功：
a) 对可信关键程序执行杀死
操作；
b) 对可信关键模块实行卸载
操作；
c) 对可信防护文件进行篡
改；
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
T/ZTCIA 004—2023
14
测评项测评指标测评实施内容单元判定
2）核查办公设备产品可信日
志是否有由控制终端执行非
法操作的记录。
10.2.5 可信升级
可信计算办公设备产品的增强级可信升级测评方法的相关信息见表12。
表12 可信升级测评方法表
测评项测评指标测评实施内容单元判定
可信升级办公设备产品固件不应包含
已公开的中、高风险漏洞。
1）将产品进行固件升级，核
查是否正常升级至待升级版
本；
2）对升级后的产品进行漏洞
扫描，核查扫描结果是否不存
在中、高风险漏洞。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
办公设备产品应能够在固件
升级时使用数字证书对升级
文件进行验签，并且验签所使
用的数字证书应存储在可信
根中。
1）通过测试工具连接办公设
备产品控制终端，使用具有数
字签名的固件对产品进行升
级，核查TCM芯片日志是否包
含基于数字证书验签的记录，
核查可信日志是否有固件文
件验签成功发生的记录；
2）使用错误签名值的固件对
产品进行升级，核查固件是否
不能成功升级，并核查可信日
志是否有固件文件验签失败
的记录；
3）核查固件升级时是否有数
字验签的提示；
4）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过控制终端输出验签结
果，且结果与第3）点提示内
容一致。
如果1）～4）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
10.2.6 可信存储
可信计算办公设备产品的增强级可信存储测评方法的相关信息见表13。
表13 可信存储测评方法表
测评项测评指标测评实施内容单元判定
可信存储
办公设备产品可信根应能够
提供安全隔离的内部存储空
间用于对关键数据进行密封
保护，密封保护机制应支持基
于口令、设备可信状态、进程
身份等要素的访问策略制定。
1）核查办公设备产品的可信
存储模块设计文档，确认是否
有对可信根的内部存储空间
进行基于口令、设备可信状
态、进程身份等要素的访问策
略保护；
2）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过终端申请一块可信存
储空间，该空间关联口令、设
备可信状态和进程身份。将关
键数据（例如passwd）存入该
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
T/ZTCIA 004—2023
15
测评项测评指标测评实施内容单元判定
空间，核查在可信状态下，是
否能够对该关键数据进行读
取操作；核查在不可信状态
下，是否不能对关键数据进行
读取操作。
办公设备产品应能够基于可
信根对预定义的策略配置中
指定路径的文件进行加密存
储和实时监控，当检测到非法
进程、软件访问被监控文件
时，应能够阻止其访问并生成
可信审计记录。
1）通过测试工具连接办公设
备产品控制终端，使用非授权
的合法程序对指定路径的文
件进行删除、修改等，核查是
否能够阻止相关非法操作的
行为；
2）核查办公设备产品可信日
志是否有阻止对指定路径文
件的非法操作的记录。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合单元测评要求。
10.2.7 可信控制
可信计算办公设备产品的增强级可信控制测评方法的相关信息见表14。
表14 可信控制测评方法表
测评项测评指标测评实施内容单元判定
可信控制办公设备产品应能够依据静
态度量、动态度量、可信外接、
可信升级、可信存储的验证结
果，当检测到可信性受到破坏
时，按照预定义策略采取控制
措施，如操作阻断或状态恢复
等。
1）通过测试工具连接办公设
备产品控制终端，通过控制终
端尝试非授权修改固件存储
器上的引导程序、操作系统内
核、应用程序及重要配置参数
数据，并重新启动产品，核查
启动过程是否被阻断或状态
恢复；
2）核查在检测到度量对象受
到破坏时进行报警，核查是否
按照预定义的策略进行控制，
如操作阻断或状态恢复等；
3）通过测试工具连接办公设
备产品控制终端，核查是否可
以通过控制终端输出阻断或
状态恢复信息；
4）核查可信审计记录是否有
静态度量、动态度量、可信外
接、可信升级、可信存储的失
败记录。
如果1）～4）均为肯定，则符
合本单元测评指标要求，否则
不符合本单元测评要求。
10.2.8 可信审计
可信计算办公设备产品的增强级可信审计测评方法的相关信息见表15。
表15 可信审计测评方法表
测评项测评指标测评实施内容单元判定
可信审计办公设备产品应能够对度量
动作和结果生成可信审计记
录，可信审计记录应包括时
间、度量方式、度量对象、度
量值、验证结果等，并能够对
可信审计记录进行完整性保
1）按本文件10.2.1、10.2.2、
10.2.3 、10.2.4 、10.2.5 、
10.2.6、10.2.7描述的方法执
行测评；
2）通过办公设备产品驱动软
件或嵌入式网页查看可信日
如果2）～3）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
T/ZTCIA 004—2023
16
测评项测评指标测评实施内容单元判定
护。志，核查可信日志是否包含时
间、度量方式、度量对象、度
量值、验证结果；
3）核查办公设备产品的可信
审计是否采用商用密码算法
进行完整性保护。
办公设备产品应能够对产品
所具有打印、复印、扫描、传
真、安全功能设置等功能进行
可信审计并生成审计记录，审
计记录应包括事件的时间、操
作类型、操作结果、信息来源、
作业份数、作业页数、作业拥
有者、作业状态等信息。
1）对具有打印、复印、扫描、
传真等功能的办公设备执行
打印、复印、扫描、传真等操
作，核查可信日志是否包含事
件的时间、信息来源、作业份
数、作业页数、作业拥有者、
作业状态等；
2）在办公设备产品上执行重
要网络功能配置等操作，核查
可信日志是否包含功能设置
事件的时间、操作类型、操作
结果等信息。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
办公设备产品应能够保证系
统范围内可信审计的时间由
唯一确定的硬件时钟产生，以
保证各种数据的管理和分析
在时间上的一致性。
1）拆开产品外盖，核查主控
板上是否有硬件时钟发生器
的电路装置；
2）断开打印机与主机的连接，
先打印一份信息页，关闭办公
设备电源一小时，再打印一份
信息页查看审计日志中两份
作业的时间是否间隔一小时，
确认时间的一致性。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
10.2.9 可信报告
可信计算办公设备产品的增强级可信报告测评方法的相关信息见表16。
表16 可信报告测评方法表
测评项测评指标测评实施内容单元判定
可信报告办公设备产品应能够生成可
信报告，可信报告包含设备当
前的可信状态，可信状态依据
静态度量、动态度量的结果生
成。
1）核查办公设备产品是否能
够通过产品驱动软件生成可
信报告；
2）核查可信报告是否和办公
设备产品的当前可信状态一
致，核查可信状态是否依据静
态度量、动态度量的结果生
成。
如果1）、2）为肯定，则符合
本单元测评指标要求，否则不
符合本单元测评要求。
办公设备产品应能够通过USB
或网络连接的数据传输通道
提供可信报告。
1）将办公设备产品通过USB线
或网线与PC主机连接并安装
产品驱动软件；
2）核查是否能够通过办公设
备产品驱动软件查看可信报
告。
如果2）为肯定，则符合本单
元测评指标要求，否则不符合
本单元测评要求。
办公设备产品应能够对所存
储的可信报告进行完整性保
护。
核查办公设备产品的可信报
告是否采用商用密码算法进
行完整性保护。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
办公设备产品应能够保存不
少于10,000条的可信报告，且
超过报告条数上限时采用覆
盖旧报告方式滚动存储。
使办公设备生成不少于
10,000条的可信报告，核查可
信报告是否能存储不少于
10,000条，超过上限的可信报
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。
T/ZTCIA 004—2023
17
测评项测评指标测评实施内容单元判定
告是否按时间顺序由旧到新
进行覆盖式写入。
办公设备产品如具备网络功
能，应能够通过EWS访问方式
显示可信报告。
1）将具备网络功能的办公设
备产品通过网线与PC主机连
接；
2）在PC主机上使用浏览器登
录办公设备产品的嵌入式网
页，核查是否有可信报告内
容。
如果2）为肯定，则符合本单
元测评指标要求，否则不符合
本单元测评要求。
办公设备产品的可信报告应
至少包含应用程序的进程、模
块、执行代码等信息的度量结
果。
核查可信报告是否包含应用
程序的关键进程、模块、执行
代码当前的度量结果信息。
如果测评实施结果为肯定，则
符合本单元测评指标要求，否
则不符合本单元测评要求。