• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全命令参考

目录

25-可信计算命令

本章节下载 25-可信计算命令  (297.27 KB)

25-可信计算命令


1 可信计算基础

1.1  可信计算基础配置命令

1.1.1  certificate destroy

certificate destroy命令用来删除TCSM证书。

【命令】

(独立运行模式)

certificate destroy name certificate-name slot slot-number

(IRF模式)

certificate destroy name certificate-name chassis chassis-number slot slot-number

【视图】

TCSM视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

name certificate-name:TCSM证书名称,为1~31个字符的字符串,不区分大小写。

slot slot-number:删除指定单板上的TCSM证书。slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:删除指定单板上的TCSM证书。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

TCSM证书只能被管理员和创建该证书的用户删除。系统预置的TCSM证书不能被删除。

【举例】

# 删除指定slot上名为cert-abc的TCSM证书。(独立运行模式)

<Sysname> system

[Sysname] tcsm

[Sysname-tcsm] certificate destroy name cert-abc slot 1

【相关命令】

·     display tcsm certificate list

·     display tcsm certificate name

1.1.2  certificate subject

certificate subject命令用来创建TCSM证书主题,并进入TCSM证书主题视图。如果指定的TCSM证书主题已存在,则直接进入该TCSM证书主题的视图。

undo certificate subject命令用来删除TCSM证书主题。

【命令】

certificate subject subject-name

undo certificate subject subject-name

【缺省情况】

不存在TCSM证书主题。

【视图】

TCSM视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

subject-name:TCSM证书主题名称,为1~31个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

仅缺省MDC支持本命令。

目前仅支持配置一个TCSM证书主题。如果要修改TCSM证书主题名称,请先删除已配置的TCSM证书主题。

【举例】

# 创建TCSM证书主题entry1,并进入TCSM证书主题视图。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1]

1.1.3  common-name

common-name命令用来配置TCSM证书主题的通用名。

undo common-name命令用来恢复缺省情况。

【命令】

common-name string

undo common-name

【缺省情况】

未配置TCSM证书主题的通用名。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:TCSM证书主题的通用名,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

仅缺省MDC支持本命令。

TCSM证书主题必须配置通用名,才能用于证书的签发。

【举例】

# 配置TCSM证书主题entry1的通用名为device。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] common-name device

1.1.4  country

country命令用来配置TCSM证书主题所属的国家代码。

undo country命令用来恢复缺省情况。

【命令】

country string

undo country

【缺省情况】

未配置TCSM证书主题所属的国家代码。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:TCSM证书主题所属的国家代码,区分大小写。

【使用指导】

国家代码用标准的两字符代码表示。例如,“CN”是中国的合法国家代码,“US”是美国的合法国家代码。

仅缺省MDC支持本命令。

【举例】

# 配置TCSM证书主题entry1所属的国家代码为CN。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] country CN

1.1.5  devid-additional-information

devid-additional-information命令用来配置DevID证书主题的附加信息。

undo devid-additional-information命令用来恢复缺省情况。

【命令】

devid-additional-information string

undo devid-additional-information

【缺省情况】

未配置DevID证书主题的附加信息。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:DevID证书主题的附加信息,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

通过本命令可以为DevID证书主题添加用户自定义的附加信息。

仅缺省MDC支持本命令。

【举例】

# 配置DevID证书主题entry1所属的附加信息为x00。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] devid-additional-information x00

1.1.6  display tcsm certificate list

display tcsm certificate list命令用来显示TCSM证书列表。

【命令】

(独立运行模式)

display tcsm certificate list [ slot slot-number ]

(IRF模式)

display tcsm certificate list [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

slot slot-number:显示指定单板上的TCSM证书列表,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM证书列表。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的TCSM证书列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM证书列表。(IRF模式)

【使用指导】

通过本命令可以查看设备上存在的所有TCSM系统预置证书和用户证书的名称和用途。

仅缺省MDC支持本命令。

【举例】

# 显示所有slot上的TCSM证书列表。(独立运行模式)

<Sysname> display tcsm certificate list

Slot 1:

  System-defined certificates:

    default-rsa-akcert: For attestation key

    default-ecc-akcert: For attestation key

    rsa-idevid-cert: For DevID

    ecc-idevid-cert: For DevID

    default_rsa_ekcert: For endorsement key

    default_ecc_ekcert: For endorsement key

  User-defined certificates:

    test_ak_cert: For attestation key

表1-1 display tcsm certificate list命令显示信息描述表

字段

描述

System-defined certificates

系统预置证书

User-defined certificates

用户证书

cert-name: For usage

显示证书列表时,以“证书名: For 用途”的格式显示,用途可以为一到多种密钥类型,包括:

·     attestation key:认证密钥

·     DevID:设备ID密钥

·     endorsement key:背书密钥

 

1.1.7  display tcsm certificate name

display tcsm certificate name命令用来显示TCSM证书的详细信息。

【命令】

(独立运行模式)

display tcsm certificate name certificate-name slot slot-number

(IRF模式)

display tcsm certificate name certificate-name chassis chassis-number slot slot-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

certificate-name:设备上存在的TCSM证书名称,不区分大小写。

slot slot-number:显示指定单板上的指定TCSM证书的详细信息,slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的指定TCSM证书的详细信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

通过本命令可以查看指定TCSM证书的内容,确认该证书的有效性。

仅缺省MDC支持本命令。

【举例】

# 显示指定slot上的指定TCSM证书的详细信息。(独立运行模式)

<Sysname> display tcsm certificate name default_rsa_ekcert slot 1

Status: Enabled

Key name: default_rsa_ek

User name:

Usage: EK

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            89:0e:cf:1f:e2:78:10:5d:31:80:4f:e2:b8:c2:b1:33:e9:6b:01:9f

        Signature Algorithm: ecdsa-with-SHA256

        Issuer: C=CN, O=Nationz Technologies Inc, OU=Nationz TPM Device, CN=Nationz TPM Manufacturing CA 001

        Validity

            Not Before: Jul 25 00:00:00 2018 GMT

            Not After : Jul 25 00:00:00 2033 GMT

        Subject:

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

                Public-Key: (2048 bit)

                Modulus:

                    00:c0:22:ff:61:e0:e2:e4:fe:cf:df:c0:23:32:4b:

                    58:7b:25:b5:b3:da:0c:cf:bc:ae:81:0c:8f:98:32:

                    67:43:4a:6b:93:68:a5:1d:59:36:65:50:c0:d7:61:

                    55:dc:22:6f:17:da:f0:9a:97:6a:7b:a9:b0:e3:1a:

                    58:15:18:37:1b:c5:49:7a:30:f2:bc:84:1b:fb:67:

                    77:ed:a4:66:cc:df:24:3a:83:a7:d6:b5:c7:66:61:

                    aa:f6:41:94:99:92:cf:a7:2d:85:57:88:63:13:bf:

                    b4:b1:74:23:a6:77:40:f7:ed:a8:12:92:d0:d9:9d:

                    3d:b2:33:f3:55:91:7f:89:7c:93:ce:0c:19:23:47:

                    59:ec:08:7b:74:27:26:4f:43:24:3b:1f:51:9d:9f:

                    0e:4f:49:18:48:f6:d2:0a:e9:02:b9:35:93:9a:32:

                    af:6a:e3:47:d6:95:aa:b6:5d:56:01:c0:13:db:23:

                    c4:60:2a:4b:9a:c6:f3:b8:ae:a0:6b:49:59:c5:bd:

                    d8:9a:61:8d:67:c7:58:cd:95:ca:6e:ea:e6:36:8c:

                    e4:29:25:86:d3:21:c0:fb:14:ba:35:47:3e:3f:bd:

                    c7:94:3f:37:7d:83:4f:d3:62:2b:6a:db:9a:27:11:

                    bd:56:0e:97:bb:bc:11:09:e8:0f:f6:df:c0:8a:2d:

                    39:ad

                Exponent: 65537 (0x10001)

        X509v3 extensions:

            Authority Information Access:

                CA Issuers - URI:http://pki.nationz.com.cn/EkMfrCA001/EkMfrCA001.crt

 

            X509v3 CRL Distribution Points:

 

                Full Name:

                  URI:http://pki.nationz.com.cn/EkMfrCA001/EkMfrCA001.crl

              

            X509v3 Authority Key Identifier:

                keyid:02:2C:BE:ED:5D:77:06:0F:28:33:E9:D5:37:6B:A8:BC:30:8C:D9:BA

 

            X509v3 Certificate Policies:

                Policy: 1.2.156.100001.1.5.1

 

            X509v3 Extended Key Usage:

                2.23.133.8.1

            X509v3 Subject Directory Attributes:

0...2.0.....t   0.0...g....1

            X509v3 Key Usage: critical

                Key Encipherment

            X509v3 Subject Alternative Name: critical

                DirName:/2.23.133.2.1=id:4E545A00/2.23.133.2.2=Z32H330TC/2.23.133.2.3=id:0726

            X509v3 Basic Constraints: critical

                CA:FALSE

表1-2 display tcsm certificate name命令显示信息描述表

字段

描述

Status

TCSM证书状态,取值为Enabled,表示证书处于激活状态

Key name

TCSM密钥名称

User name

H3C可信计算管理系统上,添加设备时填写的用户名

Certificate

证书信息

Data

证书数据

Usage

证书用途,取值包括:

·     AK

·     DevID

·     EK

Version

证书版本号

Serial number

证书序列号

Signature algorithm

签名算法

Issuer

证书颁发者

Validity

证书有效期

Subject

证书所属的实体信息

Subject public key info

证书所属的实体的公钥信息

Public key algorithm

证书主题公钥算法

X509v3 extensions

X.509版本3格式的证书扩展属性

 

1.1.8  display tcsm key list

display tcsm key list命令用来显示TCSM密钥列表。

【命令】

(独立运行模式)

display tcsm key list [ endorsement | storage ] [ loaded ] [ ak | devid ] [ slot slot-number ]

(IRF模式)

display tcsm key list [ endorsement | storage ] [ loaded ] [ ak | devid ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

endorsement:显示背书域的TCSM密钥列表。

storage:显示存储域的TCSM密钥列表。

loaded:显示已加载的TCSM密钥列表。不指定本参数时,同时显示未加载和已加载的TCSM密钥列表。

ak:显示用途为AK的TCSM密钥列表。

devid:显示用途为DevID的TCSM密钥列表。

slot slot-number:显示指定单板上的TCSM密钥列表,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM密钥列表。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的TCSM密钥列表,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的TCSM密钥列表。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

不指定[ endorsement | storage ]参数时,显示所有域的TCSM密钥列表。

不指定[ ak | devid ]参数时,显示所有用途的TCSM密钥列表(包括EK密钥和普通密钥)。

【举例】

# 显示所有slot上的TCSM密钥列表。(独立运行模式)

<System> display tcsm key list

Slot 1:

  Endorsement hierarchy:

    default_rsa_ek: Primary key

    default_ecc_ek: Primary key

    default-rsa-sk: Primary key

    default-ecc-sk: Primary key

    rsa-idevid-key: Primary key

    ecc-idevid-key: Primary key

    default-rsa-ak: Primary key

    default-ecc-ak: Primary key

    test_ak: Primary key

  Storage  hierarchy:

    test_ak10: Primary key

表1-3 display tcsm key list命令显示信息描述表

字段

描述

Endorsement hierarchy

背书域

Storage  hierarchy

存储域

keyname: Primary key

表示keyname为主密钥

keyname2: Parent key name keyname1

表示keyname2为子密钥,其父密钥为keyname1

 

1.1.9  display tcsm key name

display tcsm key name命令用来显示TCSM密钥的详细信息。

【命令】

(独立运行模式)

display tcsm key name key-name slot slot-number

(IRF模式)

display tcsm key name key-name chassis chassis-number slot slot-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

key-name:已创建的TCSM密钥名称,不区分大小写。

slot slot-number:显示指定单板上的指定TCSM密钥的详细信息,slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的指定TCSM密钥的详细信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

通过本命令可以查看指定TCSM密钥的属性以及是否有对应的证书。

仅缺省MDC支持本命令。

【举例】

# 显示指定slot上的密钥default-rsa-ak的详细信息。(独立运行模式)

<System> display tcsm key name default-rsa-ak slot 1

Key name: default-rsa-ak

Certificate name: default-rsa-akcert

Usage: AK

Parent key name: N/A

Hierarchy: endorsement

User name: xcf

Status: Loaded/Enabled

Type: RSA

Name algorithm: SHA256

Key attribute: fixedTPM, fixedParent, restricted, sign

RSA parameters:

  Scheme: RSASSA

  Digest algorithm: SHA256

  KeyBits: 2048

  Exponent: 65537

  Modulus: b0 5b 80 78 29 1c 2c 18 2c e0 5e 81 e5 d4 dc 94

           27 b0 d6 24 ea 55 87 55 5e f1 e0 dc ce c1 64 7a

           69 a6 58 11 ef 8d ac 1f 21 d1 b5 cd a8 34 9f a7

           67 5a c9 df 57 b0 08 43 49 d3 c3 88 46 a9 31 e6

           35 15 bf 43 4e c2 f3 ca c5 24 6b 32 c3 cf 0f 40

           f3 ab c7 10 cd 27 f6 7b ac d7 93 c6 b7 36 22 64

           c0 fb 5f a0 ed a4 76 ed 53 d0 55 87 fa 0e e3 c0

           7a 09 e0 39 49 32 7d 46 89 84 e4 00 67 c0 1e b9

           72 7c 10 bb cd f5 5b bc 45 fd 0f ae 3c cb 23 50

           e0 14 0f bf 5e b2 09 19 92 23 00 9c 3d fb 13 ad

           a5 f7 e3 3b f2 3d 6c 48 63 f2 0e f9 77 10 5a 34

           70 f8 27 52 17 83 18 b7 96 a9 70 5f b7 99 48 f7

           c0 69 e1 cd 8b 6d 4d d2 34 9d a7 a7 f8 94 33 c3

           23 0c ea 3a 40 82 d8 52 53 fc 42 57 c4 3c 1d e6

           35 f3 ee bf 19 2d 7d d8 2e 1a e3 aa de 9c a3 99

           5c 89 fb b7 90 39 78 28 50 e3 15 10 e1 80 89 57

表1-4 display tcsm key name命令显示信息描述表

字段

描述

Key name

TCSM密钥名称

Certificate name

密钥对应的证书名称

N/A表示该密钥没有证书

Usage

密钥用途,取值包括:

·     AK

·     DevID

·     EK

·     General(普通密钥)

Parent key name

父密钥名称

N/A表示没有父密钥

Hierarchy

密钥所在域,取值包括:

·     storage:存储域

·     endorsement:背书域

User name

H3C可信计算管理系统上,添加设备时填写的用户名

Status

密钥的状态,取值包括:

·     Loaded:已加载

·     Unloaded:未加载

·     Enabled:使能

·     Disabled:禁用

Type

密钥类型

Name algorithm

密钥名称摘要算法

Key attribute

密钥属性

RSA parameters

RSA密钥参数

RSA parameters

RSA密钥参数

Scheme

密钥的加密或签名模式

NULL表示该密钥未指定加密或签名模式

Digest algorithm

密钥在签名时使用的摘要算法

KeyBits

RSA密钥的长度,单位为比特

Exponent

RSA密钥Exponet值

Modulus

RSA密钥公钥值

ECC parameters

ECC密钥参数

Symmetric algorithm

对称加密算法

Symmetric bits

对称密钥长度,单位为比特

Symmetric mode

对称加密模式

CurveID

ECC密钥的曲线ID

Xpoint

ECC密钥的公钥(x点值)

Ypoint

ECC密钥的公钥(y点值)

 

1.1.10  display tcsm key-template

display tcsm key-template命令用来显示TCSM密钥模板信息。

【命令】

display tcsm key-template [ { preset | user } template-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

preset:显示系统预置密钥模板的详细信息。

user:显示用户密钥模板的详细信息。用户密钥模板即通过管理端给设备下发的全局密钥模板。

template-name:设备上存在的TCSM密钥模板名称,不区分大小写。

【使用指导】

仅缺省MDC支持本命令。

不指定任何参数时,显示所有TCSM密钥模板的概要信息。

【举例】

# 显示所有TCSM密钥模板的概要信息。

<System> display tcsm key-template

System-defined key template files:

    default-rsa-sk: rsa storage key

    default-rsa-devid: rsa signature key

    default-rsa-ak: rsa attestation key

    default-ecc-sk: ecc storage key

    default-ecc-devid: ecc signature key

    default-ecc-ak: ecc attestation key

User-defined  key template files:

  Directory: /mnt/flash:/safeinfo/template/

    template22: this key template may be used to create aka storage key

# 显示系统预置密钥模板default-rsa-ak的详细信息。

<System> display tcsm key-template preset default-rsa-ak

Version: 1.0.0

Description: rsa attestation key

Type: RSA

Name algorithm: SHA256

Key attribute: fixedTPM, fixedParent, restricted, sign

RSA parameters:

  Scheme: RSASSA

  Digest algorithm: SHA256

  Exponent: 65537

  KeyBits: 2048

表1-5 display tcsm key-template命令显示信息描述表

字段

描述

System-defined key template files

系统预置密钥模板文件,以“文件名: 描述信息”的格式显示

文件名的格式为default-alg-type

·     alg表示密钥使用的算法,例如ecc(Elliptic Curve Cryptosystem)

·     type表示密钥类型,例如sk(Storage Key,存储密钥)

User-defined  key template files

用户密钥模板文件

None

表示不存在密钥模板文件

Directory

密钥模板文件所在目录和文件列表

显示文件列表时,以“文件名: 描述信息”的格式显示

Version

密钥模板文件的版本

Description

密钥模板文件的描述信息

Type

密钥类型

Name algorithm

计算密钥名称使用的摘要算法

Key attribute

密钥属性,取值包括:

·     fixedParent、fixedTPM:为密钥的复制属性,根据不同组合有不同含义:

¡     这两个字段都存在时,表示该密钥被当前的父密钥保护且只能在当前的TPM芯片中,该密钥不能被复制

¡     这两个字段都不存在时,表示该密钥以及其子密钥可以被复制

¡     仅存在fixedParent字段时,表示该密钥可以随其父密钥一起被复制,但不能直接复制该密钥本身

·     decrypt:表示密钥可用于加密和解密。存储密钥必须含有该属性

·     sign:表示密钥可用于签名和验证签名。AK密钥和DevID密钥必须含有该属性

·     restricted:表示密钥功能受限,例如只能使用TPM芯片生成的数据进行签名。AK密钥和存储密钥必须含有该属性

RSA parameters

RSA密钥参数

Scheme

密钥的加密或签名模式

Digest algorithm

密钥在签名时使用的摘要算法

Exponent

RSA密钥的Exponet值

Key bits

RSA密钥的长度,单位为比特

ECC parameters

ECC密钥参数

Symmetric algorithm

用来加密子密钥或其他隐秘信息所使用的对称加密算法

Symmetric bits

对称密钥长度,单位为比特

Symmetric mode

对称加密模式,取值包括:

·     CFB:Cipher Feedback mode

·     CBC:Cipher Block Chaining mode

·     CTR:Counter mode

·     OFB:Output Feedback mode

·     ECB:Electronic Codebook mode

Curve ID

ECC密钥的曲线ID

 

1.1.11  display tcsm pcr

display tcsm pcr命令用来显示可信计算芯片的PCR值。

【命令】

(独立运行模式)

display tcsm pcr [ algorithm algorithm ] [ index index ] [ slot slot-number ]

(IRF模式)

display tcsm pcr [ algorithm algorithm ] [ index index ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

algorithm algorithm:显示指定Hash算法的PCR值。取值为display tcsm trusted-computing-chip命令显示的Active PCR bank字段值,不区分大小写。如果不指定该参数,将显示所有Hash算法的PCR值。

index index:显示指定PCR索引的PCR值,取值范围为0~23。如果不指定该参数,将显示所有PCR索引的PCR值。

slot slot-number:显示指定单板上的PCR值,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的PCR值。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的PCR值,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的PCR值。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

不指定任何参数时,将显示设备上所有Hash算法和所有PCR索引的PCR值。

【举例】

# 显示指定slot上的PCR值。(独立运行模式)

<Sysname> display tcsm pcr slot 1

  PCR information:

    SHA1 (index  0): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    SHA1 (index  1): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    SHA1 (index  2): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

...

    SHA1 (index 23): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    SHA256 (index  0): a8 c0 ee a2 32 27 73 bb 92 7d f2 b2 95 c0 7c de 8a 0c 9d 9a 11 cf 56 1d 07 68 98 ac ea a0 ff 28

    SHA256 (index  1): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    SHA256 (index  2): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

...

    SHA256 (index 23): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

# 显示所有slot上索引为0的PCR值。(独立运行模式)

<Sysname> display tcsm pcr index 0

Slot 1:

  PCR information:

    SHA1 (index  0): 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

    SHA256 (index  0): a8 c0 ee a2 32 27 73 bb 92 7d f2 b2 95 c0 7c de 8a 0c 9d 9a 11 cf 56 1d 07 68 98 ac ea a0 ff 28

表1-6 display tcsm certificate list命令显示信息描述表

字段

描述

algorithm (index pcr-index): value

algorithm:PCR值对应的Hash算法

pcr-index:PCR值对应的PCR索引

value:PCR值

 

【相关命令】

·     display tcsm trusted-computing-chip

1.1.12  display tcsm trusted-computing-chip

display tcsm trusted-computing-chip命令用来显示可信计算芯片信息。

【命令】

(独立运行模式)

display tcsm trusted-computing-chip [ slot slot-number ]

(IRF模式)

display tcsm trusted-computing-chip [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

slot slot-number:显示指定单板上的可信计算芯片信息,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信计算芯片信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的可信计算芯片信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信计算芯片信息。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

仅当设备安装了可信计算芯片时,才能显示芯片信息。

【举例】

# 显示指定slot上的可信计算芯片信息。(独立运行模式)

<Sysname> display tcsm trusted-computing-chip slot 1

Chip information:

    Specifications version:     Family:2.0 Level:00 Revision:01.16

    Firmware version:           7.26

    Current mode:               TPM2.0

    Supported modes:            TPM2.0 TCM

    Supported algorithms:       RSA, SHA1, HMAC, AES, MGF1, KEYEDHASH, XOR,

                                SHA256, RSASSA, RSAES, RSAPSS, OAEP, ECDSA,

                                ECDH, ECDAA, ECSCHNORR, KDF1-SP800-56A,

                                KDF1-SP800-108, ECC, SYMCIPHER, CBC, CFB,

                                ECB

    Available PCR bank:         SHA1, SHA256

    Owner state:                No

Chip configuration:

    Chip status:                Enabled

    Active PCR bank:            SHA1, SHA256

    Measurement algorithm:      SHA256

    Endorsement hierarchy:      Enabled

    Storage hierarchy:          Enabled

    Clear operation:            Disabled

表1-7 display tcsm trusted-computing-chip命令显示信息描述表

字段

描述

Chip information

芯片信息

Specifications version

芯片支持的规格版本

Firmware version

芯片的固件版本号

Current mode

芯片当前的工作模式,取值为TPM2.0或TCM(Trusted Cryptography Module)

Supported modes

芯片支持的工作模式,包括TPM2.0和TCM

Supported algorithms

芯片支持的算法

Available PCR bank

可用的PCR组

PCR组指使用同一种Hash算法的PCR

Owner state

是否已建立芯片用户

本字段暂不支持,只能显示为No

Chip configuration

芯片的配置

Chip status

芯片的工作状态,取值包括:

·     Enabled:芯片已使能

·     Disabled:芯片被禁用

Active PCR bank

当前激活的PCR组

Measurement algorithm

当前配置的度量算法

Endorsement hierarchy

背书域的使能状态:

·     Enabled:表示使能

·     Disabled:表示禁用

Storage hierarchy

存储域的使能状态:

·     Enabled:表示使能

·     Disabled:表示禁用

Clear operation

清除操作的状态:

·     Enabled:表示可执行清除操作

·     Disabled:表示不可执行清除操作

 

1.1.13  key create

key create命令用来创建TCSM密钥。

【命令】

(独立运行模式)

key create name key-name [ authorization authorization-string ] { endorsement | storage | parent-key parent-name [ parent-authorization parent-authorization ] } { preset-template | user-template } template-name [ ak | devid ] slot slot-number

(IRF模式)

key create name key-name [ authorization authorization-string ] { endorsement | storage | parent-key parent-name [ parent-authorization parent-authorization ] } { preset-template | user-template } template-name [ ak | devid ] chassis chassis-number slot slot-number

【视图】

TCSM视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

name key-name:密钥名称,为1~31个字符的字符串,不区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + , . ( ) & { } : ; ! = ~ `”。

authorization authorization-string:密钥授权数据,为1~31个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + , . ( ) & { } : ; ! = ~ `”。如果不指定该参数,表示该密钥的授权数据为空。

endorsement:背书域的主密钥。

storage:存储域的主密钥。

parent-key parent-name:为子密钥指定的父密钥名称,不区分大小写,必须是已创建的密钥名称。

parent-authorization parent-authorization:为子密钥指定的父密钥授权数据,区分大小写。本参数值必须与父密钥配置的授权数据一致。如果父密钥未指定authorization参数,则其子密钥也不能指定parent-authorization参数。

preset-template template-name:用于创建密钥的系统预置密钥模版名称,为1~31个字符的字符串,不区分大小写。

user-template template-name:用于创建密钥的用户密钥模版名称,为1~31个字符的字符串,不区分大小写。

ak:表示密钥用途为AK。

devid:表示密钥用途为DevID。

slot slot-number:在指定单板上创建密钥。slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:在指定单板上创建密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

不指定akdevid参数时,表示创建的是普通密钥。

一个主密钥下最多可以创建4个层级的子密钥。

创建子密钥时,请确保其父密钥已通过key load命令加载到可信计算芯片。

【举例】

# 在指定slot上使用系统预置密钥模版default-rsa-ak创建背书域的AK主密钥pk1,授权数据为pk1。(独立运行模式)

<Sysname> system-view

[Sysname] tcsm

[System-tcsm] key create name pk1 authorization pk1 endorsement preset-template default-rsa-ak ak slot 1

【相关命令】

·     display tcsm key list

·     display tcsm key name

·     key destroy

·     key load

1.1.14  key destroy

key destroy命令用来删除TCSM密钥。

【命令】

(独立运行模式)

key destroy name key-name slot slot-number

(IRF模式)

key destroy name key-name chassis chassis-number slot slot-number

【视图】

TCSM视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

name key-name密钥名称,不区分大小写,必须是已创建的密钥名称。

slot slot-number:删除指定单板上的密钥。slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:删除指定单板上的密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

要成功删除TCSM密钥,需要满足如下条件:

·     当前用户是管理员或创建该密钥的用户。

·     该密钥未加载到可信计算芯片,否则需要通过undo key load命令卸载该密钥。

·     该密钥没有子密钥;否则需要先删除其子密钥。

可以通过display tcsm key list命令来查看子密钥。

【举例】

# 删除指定slot上的密钥pKey。(独立运行模式)

<Sysname> system-view

[Sysname] tcsm

[System-tcsm] key destroy name pKey slot 1

【相关命令】

·     display tcsm key list

·     display tcsm key name

·     key create

·     key load

1.1.15  key load

key load命令用来将创建的TCSM密钥加载到可信计算芯片。

undo key load命令用来将TCSM密钥从可信计算芯片中卸载。

【命令】

(独立运行模式)

key load name key-name [ parent-authorization { cipher | simple } parent-authorization ] slot slot-number

undo key load name key-name slot slot-number

(IRF模式)

key load name key-name [ parent-authorization { cipher | simple } parent-authorization ] chassis chassis-number slot slot-number

undo key load name key-name chassis chassis-number slot slot-number

【缺省情况】

创建的TCSM密钥未加载到可信计算芯片。

【视图】

TCSM视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

name key-name密钥名称,不区分大小写,必须是已创建的密钥名称。

parent-authorization:指定父密钥授权数据。不指定本参数时,表示父密钥授权数据为空。加载主密钥时,不支持指定本参数。

cipher:以密文方式输入父密钥的授权数据。

simple:以明文方式输入父密钥的授权数据,该数据将以密文形式存储。

parent-authorization父密钥授权数据,区分大小写,明文为1~31个字符的字符串,密文为1~73个字符的字符串。

slot slot-number:加载/卸载指定单板上的密钥。slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:加载/卸载指定单板上的密钥。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

要成功加载TCSM密钥,需要满足如下条件:

·     该密钥已通过key create命令创建。

·     如果该密钥有父密钥,需要先加载其父密钥。

卸载TCSM密钥时,如果该密钥有子密钥,需要先卸载其所有的子密钥。

【举例】

# 将指定slot上的密钥default_rsa_ek加载到可信计算芯片。(独立运行模式)

<Sysname> system-view

[Sysname] tcsm

[System-tcsm] key load name default_rsa_ek slot 1

【相关命令】

·     display tcsm key list

·     display tcsm key name

·     key create

1.1.16  organization

organization命令用来配置TCSM证书主题所属的组织名称。

undo organization命令用来恢复缺省情况。

【命令】

organization string

undo organization

【缺省情况】

未配置TCSM证书主题所属的组织名称。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:TCSM证书主题所属的组织名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

通过配置本命令,可以区分不同组织的TCSM证书主题。

仅缺省MDC支持本命令。

【举例】

# 配置TCSM证书主题entry1所属的组织名称为abc。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] organization abc

1.1.17  organization-unit

organization-unit命令用来配置TCSM证书主题所属的组织部门名称。

undo organization-unit命令用来恢复缺省情况。

【命令】

organization-unit string

undo organization-unit

【缺省情况】

未配置TCSM证书主题所属的组织部门名称。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:TCSM证书主题所属的组织部门名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

通过配置本命令,可在同一组织内区分不同部门的TCSM证书主题。

仅缺省MDC支持本命令。

【举例】

# 配置TCSM证书主题entry1所属的组织部门名称为rd。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] organization-unit rd

1.1.18  state

state命令用来配置TCSM证书主题所属的州或省的名称。

undo state命令用来恢复缺省情况。

【命令】

state string

undo state

【缺省情况】

未配置TCSM证书主题所属的州或省的名称。

【视图】

TCSM证书主题视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

string:TCSM证书主题所属的州或省的名称,为1~63个字符的字符串,区分大小写,只能包含字母、数字和特殊字符“_ - @ # % $ + . ( ) & { } : ; ! = ~ `”。

【使用指导】

通过配置本命令,可以区分不同州或省的TCSM证书主题。

仅缺省MDC支持本命令。

【举例】

# 配置TCSM证书主题entry1所属的州或省的名称为StateA。

<Sysname> system-view

[Sysname] tcsm

[Sysname-tcsm] certificate subject entry1

[Sysname-tcsm-cert-subject-entry1] state StateA

1.1.19  tcsm

tcsm命令用来进入TCSM视图。

undo tcsm命令用来删除TCSM视图下的所有配置。

【命令】

tcsm

undo tcsm

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

进入TCSM(Trusted Computing Services Management,可信计算服务管理)视图后,可以对TCSM密钥、TCSM证书和可信计算芯片进行管理。

仅缺省MDC支持本命令。

【举例】

# 进入TCSM视图

<Sysname> system-view

[Sysname] tcsm

[System-tcsm]

 

 


2 平台可信服务

2.1  平台可信服务配置命令

2.1.1  display pts integrity measurement-log

display pts integrity measurement-log命令用来显示可信度量日志。

【命令】

(独立运行模式)

display pts integrity measurement-log [ bootware | runtime | package ] [ slot slot-number ]

(IRF模式)

display pts integrity measurement-log [ bootware | runtime | package ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

bootware:显示BootWare程序的可信度量日志。

runtime:显示设备运行时的可信度量日志。

package:显示Comware软件包的可信度量日志。

slot slot-number:显示指定单板上的可信度量日志,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信度量日志。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的可信度量日志,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信度量日志。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

仅当设备支持可信计算芯片,并且开启了PTS服务时,才能显示可信度量日志。

如果不指定[ bootware | runtime | package ]参数,则显示所有类型的可信度量日志。

【举例】

# 显示指定slot上的可信度量日志。(独立运行模式)

<Sysname> display pts integrity measurement-log slot 1

BootWare:

Total IMLs: 9

 

  Object file: !/Bootware/Basic/Version

  RM file: BOOTWARE_BASIC_2F00.rm

  Measurement time (seconds.nanoseconds): 12.32000000

  PCR index: 0

  Template hash algorithm: SHA256

  Template hash value: 927908c6a5e93d221afa93d7f936631166addcabf48f7b0719bcefde2b691695

  File hash algorithm: SHA256

  File hash value: 1e80e1e3912c9d30fb9db697be3f2fe5128fccc97672412556868cef723f8813

 

  Object file: !/Bootware/Basic/Code

  RM file: BOOTWARE_BASIC_2F00.rm

  Measurement time (seconds.nanoseconds): 12.42000000

  PCR index: 0

  Template hash algorithm: SHA256

  Template hash value: 06c89f99da10c12864ab23ecd0a8760a5a87092d969ed7ebfab8b81b3eb0db4f

  File hash algorithm: SHA256

  File hash value: 847d6e8b9ce157d7a3569b1bbd473ecdb4c52b6dcf5926d2fa94282c107c9fac

...

表2-1 display pts integrity measurement-log命令显示信息描述表

字段

描述

BootWare

BootWare程序的可信度量日志

Runtime

设备运行时的可信度量日志

Package

Comware软件包的可信度量日志

Total IMLs

IML(Integrity Measurement Log,可信度量日志)的总数

Object file

被度量的目标文件

RM file

度量参考值文件名

Measurement time (seconds.nanoseconds)

度量时间,格式为:秒.纳秒

PCR index

PCR的索引,取值为0、4、8、10、12

Template hash algorithm

模板Hash算法

Template hash value

模板Hash值,通过文件Hash值、日志度量时间、Hash算法等参数计算出来

File hash algorithm

文件Hash算法

File hash value

文件Hash值

 

【相关命令】

·     pts

2.1.2  display pts integrity selfverify

display pts integrity selfverify命令用来显示可信自检信息。

【命令】

(独立运行模式)

display pts integrity selfverify [ slot slot-number ]

(IRF模式)

display pts integrity selfverify [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

slot slot-number:显示指定单板上的可信自检信息,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信自检信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定单板上的可信自检信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将显示所有单板上的可信自检信息。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

仅当设备支持可信计算芯片,并且进行过可信自检时,才能显示可信自检信息。

当配置了周期可信自检时,只显示最后一次可信自检信息。

【举例】

# 显示可信自检信息。(独立运行模式)

<Sysname> display pts integrity selfverify

Slot 1:

  Latest self-verification: 2019-07-01 10:55:16

  Integrity self-verification passed.

表2-2 display pts integrity selfverify命令显示信息描述表

字段

描述

Latest self-verification

上一次进行自检的时间

“-”表示没有执行过自检

Self-verification is not scheduled.

未执行过自检

Integrity self-verification passed.

可信自检通过

Integrity self-verification is in progress.

可信自检正在执行

Integrity self-verification failed.

可信自检未通过

xxx failed the self-verification.

目标文件自检未通过

Object file hash value in IML is different from that in RM file.

可信度量日志中目标文件的Hash值与度量参考值不匹配

Object file hash value in RM file

度量参考值

Object file hash value in IML

可信度量日志中目标文件的Hash值

Calculated template hash value is different from that in IML

计算的模板Hash值与可信度量日志中的模板Hash值不同

Template hash value in IML

可信度量日志中的模板Hash值

Calculated template hash value

使用可信度量日志中数据计算的模板Hash值

Hash value calculated by using BootWare IML is different from that in PCR

使用BootWare可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同

Hash value calculated by using runtime IML is different from that in PCR

使用Runtime可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同

Hash value calculated by using package IML is different from that in PCR

使用Package可信度量日志计算出来的Hash值与保存在PCR中的Hash值不同

PCR index

PCR的索引

TPM PCR

TPM芯片PCR中保存的Hash值

Calculated PCR

PTS进程计算出来的Hash值

 

【相关命令】

·     integrity periodic-selfverify enable

·     integrity selfverify

2.1.3  integrity periodic-selfverify enable

integrity periodic-selfverify enable命令用来开启周期可信自检功能。

undo integrity periodic-selfverify enable命令用来关闭周期可信自检功能。

【命令】

integrity periodic-selfverify enable

undo integrity periodic-selfverify enable

【缺省情况】

周期可信自检功能处于关闭状态。

【视图】

PTS视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

仅缺省MDC支持本命令。

仅当设备支持可信计算芯片时,才支持可信自检。

开启周期可信自检功能后,系统会立即执行一次可信自检,然后按自检周期自动执行可信自检。自检周期可通过integrity periodic-selfverify interval命令配置。

【举例】

# 开启周期可信自检功能。

<Sysname> system-view

[Sysname] pts

[Sysname-pts] integrity periodic-selfverify enable

【相关命令】

·     integrity periodic-selfverify interval

2.1.4  integrity periodic-selfverify interval

integrity periodic-selfverify interval命令用来配置可信自检周期。

undo integrity periodic-selfverify interval命令用来恢复缺省情况。

【命令】

integrity periodic-selfverify interval interval

undo integrity periodic-selfverify interval

【缺省情况】

可信自检周期7天。

【视图】

PTS视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval:自检周期,取值范围为1~30,单位为天。

【使用指导】

仅缺省MDC支持本命令。

自检周期从执行integrity periodic-selfverify enable命令时开始计时。如果配置的自检周期小于等于已计时的天数,则立即执行一次可信自检。

【举例】

# 配置可信自检周期为15天。

<Sysname> system-view

[Sysname] pts

[Sysname-pts] integrity periodic-selfverify interval 15

【相关命令】

·     integrity periodic-selfverify enable

2.1.5  integrity report attestation-key

integrity report attestation-key命令用来配置可信报告使用的AK密钥。

undo integrity report attestation-key命令用来恢复缺省情况。

【命令】

(独立运行模式)

integrity report attestation-key key-name [ authorization { cipher | simple } authorization-string ] slot slot-number

(IRF模式)

integrity report attestation-key key-name [ authorization { cipher | simple } authorization-string ] chassis chassis-number slot slot-number

【缺省情况】

未配置可信报告使用的AK密钥。

【视图】

PTS视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

key-name:AK密钥名称。为1~31个字符的字符串,不区分大小写。

authorization:指定密钥授权数据。如果不指定该参数,表示授权数据为空。

cipher:以密文方式输入密钥授权数据。

simple:以明文方式输入密钥授权数据,该数据将以密文形式存储。

authorization-string:密钥授权数据,区分大小写。明文方式为131个字符的字符串,密文方式为173个字符的字符串。

slot slot-number:指定单板。slot-number表示单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定成员设备上的指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

本命令使用的密钥授权数据需要和key create命令中的密钥授权数据一致。

配置可信报告使用的AK密钥时,需要满足如下条件:

·     该密钥已创建,且密钥用途为AK(相关配置命令为key create

·     该密钥已加载到可信计算芯片(相关配置命令为key load

·     该密钥有对应的证书(相关显示命令为display tcsm key name

【举例】

# 配置指定slot上可信报告使用的密钥名称为h3c.dat,授权数据为明文123456。(独立运行模式)

<Sysname> system-view

[Sysname] pts

[Sysname-pts] integrity report attestation-key h3c.dat authorization simple 123456 slot 1

【相关命令】

·     display tcsm key name(安全命令参考/可信计算基础)

·     key create(安全命令参考/可信计算基础)

·     key load(安全命令参考/可信计算基础)

2.1.6  integrity selfverify

integrity selfverify命令用来执行一次可信自检。

【命令】

(独立运行模式)

integrity selfverify [ slot slot-number ]

(IRF模式)

integrity selfverify [ chassis chassis-number slot slot-number ]

【视图】

PTS视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

slot slot-number:对指定单板进行可信自检。slot-number表示单板所在的槽位号。如果不指定该参数,将对所有单板进行可信自检。(独立运行模式)

chassis chassis-number slot slot-number:对指定单板进行可信自检。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,将对所有单板进行可信自检。(IRF模式)

【使用指导】

仅缺省MDC支持本命令。

仅当设备支持可信计算芯片时,才支持可信自检。

【举例】

# 执行一次可信自检。

<Sysname> system-view

[Sysname] pts

[Sysname-pts] integrity selfverify

2.1.7  pts

pts命令用来开启PTS服务,并进入PTS视图。

undo pts命令用来关闭PTS服务并删除PTS视图下的配置。

【命令】

pts

undo pts

【缺省情况】

PTS服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启PTS(Platform Trust Services,平台可信服务)后,可以为管理端提供可信度量日志和度量参考值。

仅缺省MDC支持本命令。

【举例】

# 开启PTS服务,并进入PTS视图。

<Sysname> system

[Sysname] pts

[Sysname-pts]

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们