開(kāi)放式數(shù)控系統(tǒng)安全可信體系結(jié)構(gòu)標(biāo)準(zhǔn)規(guī)范征求意見(jiàn)稿

1本標(biāo)準(zhǔn)規(guī)定了開(kāi)放式數(shù)控系統(tǒng)本體的安全可信雙體系結(jié)構(gòu)及開(kāi)放式數(shù)控系統(tǒng)間的互聯(lián)互通的安全可信，目的在于為開(kāi)放式數(shù)控系統(tǒng)安全可信雙體系架構(gòu)的設(shè)計(jì)、開(kāi)發(fā)和應(yīng)用提供參考框架，確保開(kāi)放式數(shù)控系統(tǒng)滿足安全開(kāi)放和可信共融的要求。本標(biāo)準(zhǔn)適用于開(kāi)放式數(shù)控系統(tǒng)安全可信雙體系結(jié)構(gòu)的設(shè)計(jì)、開(kāi)發(fā)和應(yīng)用。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T37955-2019信息安全技術(shù)數(shù)控網(wǎng)絡(luò)安全技術(shù)要求T/CMTBA1008.6數(shù)控裝備工業(yè)互聯(lián)通訊協(xié)議第6部分：安全性GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T37935-2019信息安全技術(shù)可信計(jì)算規(guī)范可信軟件基GB/T38638-2020信息安全技術(shù)可信計(jì)算可信計(jì)算體系結(jié)構(gòu)GB/T29828-2013信息安全技術(shù)可信計(jì)算規(guī)范可信連接架構(gòu)GB/T29827-2013信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)主板功能接口GB/T40650-2021信息安全技術(shù)可信計(jì)算規(guī)范可信平臺(tái)控制模塊GB/T29829-2013信息安全技術(shù)可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范GB/T18759.1-2002機(jī)械電氣設(shè)備開(kāi)放式數(shù)控系統(tǒng)第1部分：總則GB/T18759.4-2014機(jī)械電氣設(shè)備開(kāi)放式數(shù)控系統(tǒng)第4部分：硬件平臺(tái)GB/T18759.5-2016機(jī)械電氣設(shè)備開(kāi)放式數(shù)控系統(tǒng)第6部分：軟件平臺(tái)3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1開(kāi)放式數(shù)控系統(tǒng)opennumericalcontrolsystem應(yīng)用軟件構(gòu)筑于遵循公開(kāi)性、可擴(kuò)展性、兼容性原則的系統(tǒng)平臺(tái)之上的數(shù)控系統(tǒng)，使應(yīng)用軟件具有可移植性、互操作性、人機(jī)界面的一致性。[GB/T18759.1-2002,3.1]3.2開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)opennumericalcontrolsystemtrustedcomputingdualarchitecture硬件上計(jì)算部件和可信部件并接，軟件上可信部件對(duì)開(kāi)放式數(shù)控系統(tǒng)進(jìn)行度量，構(gòu)成計(jì)算與防護(hù)并行的開(kāi)放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)。3.3計(jì)算部件computingcomponents2開(kāi)放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)中用于執(zhí)行計(jì)算功能的硬件集合。3.4可信部件trustedcomponents開(kāi)放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)中用于執(zhí)行可信功能的硬件集合。3.5硬件平臺(tái)hardwareplatform開(kāi)放式數(shù)控系統(tǒng)中軟件平臺(tái)和應(yīng)用軟件運(yùn)行的基礎(chǔ)部件，處于基本體系結(jié)構(gòu)的最底層。[GB/T18759.1—2002,3.4]3.6軟件平臺(tái)softwareplatform應(yīng)用軟件運(yùn)行的基礎(chǔ)部件，處于基本體系結(jié)構(gòu)的硬件平臺(tái)和應(yīng)用軟件之間。[GB/T18759.1—2002,3.5]3.7應(yīng)用軟件applicationsoftware為解決專門(mén)領(lǐng)域內(nèi)的，非計(jì)算機(jī)本身問(wèn)題的軟件。[GB/T18759.1—2002,3.6]3.8中間件middleware一種獨(dú)立的系統(tǒng)軟件或服務(wù)程序，實(shí)現(xiàn)數(shù)控系統(tǒng)基本功能并提供一組應(yīng)用編程接口給上層應(yīng)用軟件調(diào)用。[GB/T18759.4—2016,3.1.17]3.9實(shí)時(shí)操作系統(tǒng)real-timeoperatingsystem保證在一定時(shí)間限制內(nèi)完成特定功能的操作系統(tǒng)。[GB/T18759.4—2016,3.1.18]3.10應(yīng)用編程接口applicationprograminterface預(yù)先定義的一些函數(shù)接口，應(yīng)用可以通過(guò)調(diào)用該接口實(shí)現(xiàn)對(duì)系統(tǒng)平臺(tái)功能與資源的調(diào)用。[GB/T18759.4—2016,3.1.19]3.11可信密碼模塊trustedcryptographymodule可信計(jì)算平臺(tái)的硬件模塊,為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能,具有受保護(hù)的存儲(chǔ)空間。[GB/T29829—2013,3.1.7]3.12可信平臺(tái)控制模塊trustedplatformcontrolmodule用于建立和保障信任源點(diǎn)的硬件核心模塊，為可信計(jì)算提供完整性度量、安全存儲(chǔ)、可信報(bào)告以及密碼服務(wù)等功能。[GB/T29827—2013,3.20]3.13可信連接trustedconnection通過(guò)驗(yàn)證開(kāi)放式數(shù)控系統(tǒng)之間的可信身份使開(kāi)放式數(shù)控系統(tǒng)之間建立可信關(guān)系的通信連接。3.143可信軟件基trustedsoftwarebase為可信計(jì)算平臺(tái)的可信性提供支持的軟件元素的集合。[GB/T37935—2019，3.3]3.15啟動(dòng)信任鏈trustchainofbooting在系統(tǒng)啟動(dòng)過(guò)程中，使用靜態(tài)度量方法從系統(tǒng)上電到系統(tǒng)運(yùn)行建立的信任鏈傳遞關(guān)系。3.14遠(yuǎn)程可信驗(yàn)證remotetrustedauthentication用于驗(yàn)證發(fā)送方開(kāi)放式數(shù)控系統(tǒng)上運(yùn)行環(huán)境可信性、運(yùn)行軟件可信性及所提供數(shù)據(jù)可信性的技術(shù)。3.15初態(tài)可信trustedinitialstate開(kāi)放式數(shù)控系統(tǒng)成功建立啟動(dòng)信任鏈后最初的可信運(yùn)行狀態(tài)。3.16數(shù)據(jù)需方datarequester向建立可信連接的開(kāi)放式數(shù)控系統(tǒng)發(fā)出數(shù)據(jù)請(qǐng)求的開(kāi)放式數(shù)控系統(tǒng)。3.17數(shù)據(jù)供方dataprovider向建立可信連接的開(kāi)放式數(shù)控系統(tǒng)提供請(qǐng)求數(shù)據(jù)的開(kāi)放式數(shù)控系統(tǒng)。4開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)圖1給出了開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)。圖1開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)4如圖1所示，開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)是指在硬件層面，計(jì)算部件與可信部件相互連接；在軟件層面，可信部件對(duì)開(kāi)放式數(shù)控系統(tǒng)進(jìn)行度量，從而構(gòu)成計(jì)算與防護(hù)并行的雙體系結(jié)構(gòu)。開(kāi)放式數(shù)控系統(tǒng)的可信計(jì)算雙體系結(jié)構(gòu)中，計(jì)算部件和可信部件在邏輯上相互獨(dú)立，形成具備計(jì)算功能和防護(hù)功能并存的雙體系結(jié)構(gòu)。計(jì)算部件負(fù)責(zé)執(zhí)行計(jì)算功能，而可信部件則主動(dòng)對(duì)整個(gè)開(kāi)放式數(shù)控系統(tǒng)進(jìn)行度量，以保障系統(tǒng)運(yùn)行環(huán)境的安全，并確保計(jì)算部件的運(yùn)行結(jié)果始終與預(yù)期一致。該雙體系結(jié)構(gòu)從底層硬件芯片、主板及底層軟件、操作系統(tǒng)，到應(yīng)用服務(wù)和網(wǎng)絡(luò)服務(wù)等上層軟件，綜合采取多種措施，有效保障開(kāi)放式數(shù)控系統(tǒng)的本體安全與可信性。計(jì)算部件主要包括：硬件平臺(tái)、軟件平臺(tái)和應(yīng)用軟件。硬件平臺(tái)應(yīng)包含系統(tǒng)硬件和系統(tǒng)固件。軟件平臺(tái)應(yīng)包含操作系統(tǒng)、中間件及API。硬件平臺(tái)與進(jìn)給驅(qū)動(dòng)和主軸驅(qū)動(dòng)等驅(qū)動(dòng)裝置連接，提供了控制機(jī)床運(yùn)動(dòng)的物理支持；操作系統(tǒng)管理和控制硬件平臺(tái)的資源，中間件則提供高層次的接口和功能；應(yīng)用程序?qū)崿F(xiàn)具體的功能和應(yīng)用?？尚挪考饕ǎ嚎尚琶艽a模塊TCM、可信平臺(tái)控制模塊TPCM和可信軟件基TSB?？尚挪考闹饕δ苁菍?duì)計(jì)算部件進(jìn)行度量和監(jiān)控，同時(shí)提供密碼算法、平臺(tái)身份可信、平臺(tái)數(shù)據(jù)安全保護(hù)等可信計(jì)算功能調(diào)用的支撐。單個(gè)開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)在建立可信身份后，構(gòu)成一個(gè)獨(dú)立的可信計(jì)算節(jié)點(diǎn)，該節(jié)點(diǎn)由開(kāi)放式數(shù)控系統(tǒng)計(jì)算部件和可信部件組成?？尚庞?jì)算節(jié)點(diǎn)保證自身的安全可信，可信連接保證節(jié)點(diǎn)間建立連接的可信，將信任鏈擴(kuò)展到開(kāi)放式數(shù)控系統(tǒng)與開(kāi)放式數(shù)控系統(tǒng)之間。遠(yuǎn)程可信驗(yàn)證確保開(kāi)放式數(shù)控系統(tǒng)之間數(shù)據(jù)交互過(guò)程的安全可信。不同可信節(jié)點(diǎn)之間通過(guò)可信連接及遠(yuǎn)程驗(yàn)證保障互聯(lián)互通的可信。5開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)部件及其交互5.1開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)中的計(jì)算部件5.1.1概述計(jì)算部件主要功能是為開(kāi)放式數(shù)控系統(tǒng)提供計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源，包括通用硬件平臺(tái)、軟件平臺(tái)及應(yīng)用軟件三部分構(gòu)成。5.1.2硬件平臺(tái)開(kāi)放式數(shù)控系統(tǒng)的硬件平臺(tái)由計(jì)算平臺(tái)、功能模塊及與各類驅(qū)動(dòng)裝置連接的接口組成。計(jì)算平臺(tái)負(fù)責(zé)控制和管理系統(tǒng)資源，實(shí)現(xiàn)各種數(shù)控功能，并對(duì)輸入到開(kāi)放式數(shù)控系統(tǒng)的數(shù)據(jù)進(jìn)行計(jì)算，依據(jù)計(jì)算結(jié)果向其他功能模塊發(fā)出控制指令。計(jì)算平臺(tái)通過(guò)多種接口與不同功能模塊進(jìn)行連接與組合，構(gòu)成開(kāi)放式數(shù)控系統(tǒng)的硬件平臺(tái)。該硬件平臺(tái)通過(guò)現(xiàn)場(chǎng)總線、終端接口和網(wǎng)絡(luò)通信接口分別與驅(qū)動(dòng)裝置、人機(jī)界面和網(wǎng)絡(luò)應(yīng)用服務(wù)進(jìn)行連接和交互。硬件平臺(tái)技術(shù)要求遵循GB/T18759.4—2014的要求。55.1.3軟件平臺(tái)5.1.3.1操作系統(tǒng)內(nèi)核操作系統(tǒng)位于軟件平臺(tái)的底層，由通用內(nèi)核和實(shí)時(shí)內(nèi)核組成。其設(shè)計(jì)應(yīng)滿足開(kāi)放式數(shù)控系統(tǒng)應(yīng)用軟件對(duì)系統(tǒng)實(shí)時(shí)時(shí)鐘、存儲(chǔ)器、網(wǎng)絡(luò)接口和總線接口等硬件平臺(tái)資源的調(diào)用與管理需求。具體要求應(yīng)遵循GB/T18759.5—2016的要求。5.1.3.2中間件中間件位于應(yīng)用軟件之下和實(shí)時(shí)操作系統(tǒng)之上，充當(dāng)承上啟下的應(yīng)用支撐平臺(tái)，為應(yīng)用軟件共享資源提供支持，并提供其運(yùn)行與開(kāi)發(fā)環(huán)境。具體功能包括：為運(yùn)行在一個(gè)或多個(gè)開(kāi)放式數(shù)控系統(tǒng)上的應(yīng)用進(jìn)程提供通信、計(jì)算、實(shí)時(shí)資源調(diào)度、設(shè)備驅(qū)動(dòng)等服務(wù)。中間件提供的應(yīng)用編程接口定義了一個(gè)相對(duì)穩(wěn)定的高層應(yīng)用環(huán)境。不管底層的計(jì)算機(jī)硬件和系統(tǒng)軟件怎樣更新?lián)Q代，只要將中間件升級(jí)更新，并保持中間件對(duì)外的接口定義不變可以實(shí)現(xiàn)應(yīng)用軟件在不同系統(tǒng)平臺(tái)間的移植。具體要求參考應(yīng)遵循GB/T18759.5—2016的要求。5.1.3.3應(yīng)用編程接口應(yīng)用編程接口是預(yù)先定義的一系列函數(shù)接口，旨在便捷地實(shí)現(xiàn)數(shù)控加工程序。應(yīng)用軟件可以通過(guò)調(diào)用這些接口，充分利用開(kāi)放式數(shù)控系統(tǒng)平臺(tái)的功能與資源，而無(wú)需直接訪問(wèn)源代碼或深入理解系統(tǒng)內(nèi)部工作機(jī)制的細(xì)節(jié)。具體要求應(yīng)遵循GB/T18759.5—2016的要求。5.1.4應(yīng)用軟件應(yīng)用軟件包含控制系統(tǒng)的特定功能，這些功能由多個(gè)功能模塊通過(guò)標(biāo)準(zhǔn)接口實(shí)現(xiàn)連接。各功能模塊能夠在符合開(kāi)放式體系結(jié)構(gòu)要求的不同系統(tǒng)平臺(tái)上獨(dú)立運(yùn)行。應(yīng)用軟件在操作系統(tǒng)上運(yùn)行，能夠通過(guò)應(yīng)用編程接口調(diào)用中間件，從而實(shí)現(xiàn)具體功能。對(duì)用戶應(yīng)用軟件的設(shè)計(jì)不應(yīng)施加具體限制，需滿足現(xiàn)有國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)以及開(kāi)放式數(shù)控系統(tǒng)的開(kāi)放性設(shè)計(jì)要求。具體要求參考應(yīng)遵循GB/T18759.5—2016的要求。5.2開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)中的可信部件5.2.1概述開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)中的可信部件，主要通過(guò)對(duì)計(jì)算部件進(jìn)行度量和監(jiān)控，以實(shí)現(xiàn)開(kāi)放式數(shù)控系統(tǒng)的可信。同時(shí)，可信部件還提供密碼算法、平臺(tái)身份可信性驗(yàn)證、平臺(tái)數(shù)據(jù)安全保護(hù)等可信計(jì)算功能的支持。5.2.2可信密碼模塊可信密碼模塊為開(kāi)放式數(shù)控系統(tǒng)提供密碼支撐服務(wù)，該模塊嵌入在可信平臺(tái)控制模塊中。基于我國(guó)自主研發(fā)的密碼算法，可信密碼模塊包括對(duì)稱加密、非對(duì)稱加密和哈希算法等一系列密碼算法，為可信計(jì)算平臺(tái)提供密碼運(yùn)算功能，并具備受保護(hù)的存儲(chǔ)空間?？尚琶艽a模塊功能及接口應(yīng)符合GB/T29829—2022的要求。65.2.3可信平臺(tái)控制模塊可信平臺(tái)控制模塊在網(wǎng)絡(luò)通信中負(fù)責(zé)生成可信狀態(tài)報(bào)告、進(jìn)行身份校驗(yàn)和密碼協(xié)商等工作。通過(guò)內(nèi)置的可信密碼模塊，該模塊能夠標(biāo)識(shí)終端身份，確保交互過(guò)程中的數(shù)據(jù)保密性和安全性。作為自主可控的可信根，可信平臺(tái)控制模塊植入可信源根，并結(jié)合內(nèi)嵌的可信密碼模塊實(shí)現(xiàn)信任根控制功能，從而將密碼與控制相結(jié)合?？尚鸥强尚庞?jì)算中的信任源，是公認(rèn)的不需要再次證明的可信起點(diǎn)，也是信任關(guān)系建立的基礎(chǔ)和核心?？尚牌脚_(tái)控制模塊功能及接口應(yīng)符合GB/T40650—2021的要求。5.2.4可信平臺(tái)主板可信平臺(tái)主板是集成了可信平臺(tái)控制模塊的計(jì)算機(jī)主板，能夠?qū)⒖尚牌脚_(tái)控制模塊作為信任根建立啟動(dòng)信任鏈，并提供可信平臺(tái)控制模塊與其他硬件的連接?？尚牌脚_(tái)主板組成結(jié)構(gòu)及功能接口應(yīng)符合GB/T29827—2013的要求。5.2.5可信連接可信連接實(shí)現(xiàn)可信計(jì)算節(jié)點(diǎn)接入網(wǎng)絡(luò)時(shí)的身份鑒別和平臺(tái)鑒別，包括用戶身份鑒別、平臺(tái)身份鑒別和平臺(tái)完整性評(píng)估，確保只有可信計(jì)算節(jié)點(diǎn)才能進(jìn)行互聯(lián)互通?？尚胚B接具體構(gòu)成及功能接口應(yīng)符合GB/T29828—2013的要求。5.2.6可信軟件基在可信平臺(tái)控制模塊的支撐下，可信軟件基能夠?qū)﹂_(kāi)放式數(shù)控系統(tǒng)計(jì)算部件中的應(yīng)用程序進(jìn)行主動(dòng)監(jiān)控和度量?？尚跑浖ㄟ^(guò)身份認(rèn)證機(jī)制來(lái)度量開(kāi)放式數(shù)控系統(tǒng)中主客體身份的合法性，通過(guò)靜態(tài)度量機(jī)制來(lái)評(píng)估系統(tǒng)啟動(dòng)環(huán)境的可信性，通過(guò)動(dòng)態(tài)度量機(jī)制來(lái)監(jiān)測(cè)系統(tǒng)運(yùn)行環(huán)境和應(yīng)用的可信性，并通過(guò)保密存儲(chǔ)機(jī)制對(duì)系統(tǒng)和用戶的關(guān)鍵數(shù)據(jù)進(jìn)行私密保護(hù)?？尚跑浖M成結(jié)構(gòu)及功能接口應(yīng)符合GB/T37935—2019的要求。5.3計(jì)算部件的交互5.3.1硬件平臺(tái)內(nèi)的交互硬件平臺(tái)包括計(jì)算平臺(tái)、功能模塊和各類接口。該硬件平臺(tái)通過(guò)終端接口連接到人機(jī)界面，包括顯示器、鍵盤(pán)、鼠標(biāo)等操作設(shè)備；通過(guò)現(xiàn)場(chǎng)總線連接機(jī)床的驅(qū)動(dòng)裝置，包括數(shù)字I/O、模擬I/O、傳感器等直接與執(zhí)行機(jī)構(gòu)連接；通過(guò)網(wǎng)絡(luò)通信接口連接到網(wǎng)絡(luò)應(yīng)用服務(wù)，包括制造執(zhí)行系統(tǒng)、企業(yè)資源計(jì)劃系統(tǒng)、車(chē)間層管理系統(tǒng)等。5.3.2軟件平臺(tái)內(nèi)的交互開(kāi)放式數(shù)控系統(tǒng)的操作系統(tǒng)內(nèi)核為軟件平臺(tái)的底層支撐，支撐應(yīng)用編程接口和中間件。應(yīng)用編程接口是中間件中各個(gè)模塊功能的映射，通過(guò)調(diào)用應(yīng)用編程接口，可以對(duì)應(yīng)訪問(wèn)中間件中各模塊的功能，而無(wú)需訪問(wèn)源碼或理解其內(nèi)部工作機(jī)制細(xì)節(jié)。這些功能運(yùn)行在操作系統(tǒng)內(nèi)核上，部分功能模塊連接機(jī)床各執(zhí)行機(jī)構(gòu)的驅(qū)動(dòng)，實(shí)現(xiàn)對(duì)執(zhí)行機(jī)構(gòu)的控制。5.3.3應(yīng)用軟件、軟件平臺(tái)與硬件平臺(tái)之間的交互開(kāi)放式數(shù)控系統(tǒng)的硬件平臺(tái)為軟件平臺(tái)提供支撐，軟件平臺(tái)運(yùn)行在硬件平臺(tái)的計(jì)算平臺(tái)之上。應(yīng)用軟件根據(jù)功能需求，通過(guò)調(diào)用軟件平臺(tái)中的應(yīng)用編程接口，實(shí)現(xiàn)對(duì)中間件功能的調(diào)用。中間件負(fù)責(zé)實(shí)現(xiàn)開(kāi)放式數(shù)控系統(tǒng)的基本功能并完成相應(yīng)的處理，最終將處理結(jié)果提供7給應(yīng)用軟件。中間件由操作系統(tǒng)內(nèi)核提供支撐，操作系統(tǒng)內(nèi)核通過(guò)對(duì)現(xiàn)場(chǎng)總線的訪問(wèn)和控制，從而實(shí)現(xiàn)數(shù)控機(jī)床的相應(yīng)加工動(dòng)作。5.4可信部件的交互可信平臺(tái)主板嵌入可信平臺(tái)控制模塊，可信平臺(tái)控制模塊連接可信平臺(tái)主板上的控制器，對(duì)輸入輸出接口進(jìn)行控制?？尚牌脚_(tái)控制模塊為可信計(jì)算部件中第一個(gè)運(yùn)行的部件，作為可信計(jì)算節(jié)點(diǎn)的信任根,可信平臺(tái)控制模塊通過(guò)內(nèi)置的可信密碼模塊支撐其主動(dòng)度量和控制功能，并依據(jù)度量結(jié)果進(jìn)行主動(dòng)裁決和控制功能?？尚牌脚_(tái)控制模塊向可信軟件基提供基礎(chǔ)資源的支撐，可信軟件基通過(guò)調(diào)用可信平臺(tái)控制模塊的相關(guān)接口，實(shí)現(xiàn)對(duì)開(kāi)放式數(shù)控系統(tǒng)的主動(dòng)度量等功能。可信連接調(diào)用可信軟件基和可信平臺(tái)控制模塊提供的完整性度量結(jié)果，以進(jìn)行相應(yīng)操作。5.5可信部件與計(jì)算部件的交互在開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)中，可信部件中的可信平臺(tái)控制模塊直接連接開(kāi)放式數(shù)控系統(tǒng)計(jì)算部件中的時(shí)序電路，控制開(kāi)放式數(shù)控系統(tǒng)計(jì)算部件中的處理器、芯片組和動(dòng)態(tài)存儲(chǔ)器等通用設(shè)備的啟動(dòng)。開(kāi)放式數(shù)控系統(tǒng)上電后，可信平臺(tái)控制模塊應(yīng)先于計(jì)算部件啟動(dòng)，通過(guò)靜態(tài)度量確保計(jì)算部件中基本輸入/輸出系統(tǒng)（BIOS）的完整性初始可信；在啟動(dòng)過(guò)程中，基于BIOS的可信性，通過(guò)靜態(tài)度量功能確保軟件平臺(tái)中操作系統(tǒng)內(nèi)核的完整性，只有在度量值與預(yù)存值一致的情況下，才允許開(kāi)放式數(shù)控系統(tǒng)啟動(dòng)；啟動(dòng)成功后，可信平臺(tái)控制模塊支撐可信軟件基，通過(guò)靜態(tài)度量確保開(kāi)放式數(shù)控系統(tǒng)軟件平臺(tái)的應(yīng)用編程接口及中間件的可信性，只有確保開(kāi)放式數(shù)控系統(tǒng)的應(yīng)用編程接口及中間件可信后，才允許應(yīng)用軟件運(yùn)行。應(yīng)用軟件需要獲得認(rèn)證后，方可運(yùn)行在開(kāi)放式數(shù)控系統(tǒng)上?？尚跑浖€需對(duì)開(kāi)放式數(shù)控系統(tǒng)中的應(yīng)用軟件運(yùn)行過(guò)程進(jìn)行實(shí)時(shí)的動(dòng)態(tài)度量，以確保應(yīng)用軟件運(yùn)行的過(guò)程以及結(jié)果與預(yù)期的一致性。6開(kāi)放式數(shù)控系統(tǒng)安全可信6.1開(kāi)放式數(shù)控系統(tǒng)本體安全可信開(kāi)放式數(shù)控系統(tǒng)本體安全可信的構(gòu)成包括安全性和可信性兩個(gè)方面。開(kāi)放式數(shù)控系統(tǒng)本體可信主要涵蓋系統(tǒng)層可信與軟件層可信。在保障本體可信的基礎(chǔ)上，通過(guò)可信連接與可信驗(yàn)證構(gòu)建可信體系，使得各個(gè)可信節(jié)點(diǎn)能夠進(jìn)行可信互操作。可信性部分基于可信根，通過(guò)靜態(tài)度量建立啟動(dòng)信任鏈，并通過(guò)動(dòng)態(tài)度量確保開(kāi)放式數(shù)控系統(tǒng)在運(yùn)行過(guò)程中的可信性，從而保障系統(tǒng)本體的可信性。同時(shí)，結(jié)合安全防護(hù)措施，確保開(kāi)放式數(shù)控系統(tǒng)中數(shù)據(jù)的保密性和數(shù)據(jù)流通的安全性，并對(duì)接入開(kāi)放式數(shù)控系統(tǒng)的設(shè)備和用戶實(shí)施安全防護(hù)。86.1.1本體可信6.1.1.1啟動(dòng)信任鏈啟動(dòng)信任鏈能夠確保開(kāi)放式數(shù)控系統(tǒng)的初態(tài)可信。開(kāi)放式數(shù)控系統(tǒng)通過(guò)靜態(tài)度量的方式構(gòu)建啟動(dòng)信任鏈，其核心思想是逐級(jí)度量，目標(biāo)是評(píng)估度量對(duì)象的完整性。先啟動(dòng)的對(duì)象需在后啟動(dòng)的對(duì)象之前進(jìn)行度量，信任鏈向下一級(jí)傳遞的先決條件是先啟動(dòng)對(duì)象的完整性度量值與基準(zhǔn)值完全一致?？尚牌脚_(tái)控制模塊生成可信度量根，作為建立信任鏈的起點(diǎn)，從計(jì)算部件的BIOS開(kāi)始進(jìn)行度量，并將信任向上傳遞，最終構(gòu)建完整的啟動(dòng)信任鏈。這一過(guò)程確保了開(kāi)放式數(shù)控系統(tǒng)運(yùn)行環(huán)境的可信性，并建立了開(kāi)放式數(shù)控系統(tǒng)的可信身份。從開(kāi)放式數(shù)控系統(tǒng)開(kāi)機(jī)到操作系統(tǒng)成功啟動(dòng)的啟動(dòng)信任鏈建立過(guò)程如下：1)開(kāi)放式數(shù)控系統(tǒng)上電后可信平臺(tái)控制模塊應(yīng)先于計(jì)算部件啟動(dòng)；2)可信平臺(tái)控制模塊進(jìn)行主動(dòng)自檢，確保自身完整性以及能夠?qū)τ?jì)算部件的時(shí)序電路進(jìn)行控制，確?？尚藕笤试S計(jì)算部件上電，否則停止啟動(dòng)；3)計(jì)算部件上電后可信平臺(tái)控制模塊應(yīng)首先靜態(tài)度量開(kāi)放式數(shù)控系統(tǒng)BIOS的完整性，確保BIOS完整性度量值與基準(zhǔn)值一致，否則停止啟動(dòng)；4)BIOS成功加載后，可信平臺(tái)控制模塊通過(guò)可信軟件基接口支撐可信軟件基靜態(tài)度量操作系統(tǒng)內(nèi)核，確保操作系統(tǒng)內(nèi)核的完整性度量值與基準(zhǔn)值一致，否則停止啟動(dòng)；5)確保操作系統(tǒng)內(nèi)核可信后，可信軟件基靜態(tài)度量中間件、應(yīng)用編程接口以及應(yīng)用編程接口與中間件映射關(guān)系的完整性，確保中間件、應(yīng)用編程接口以及應(yīng)用編程接口與中間件映射關(guān)系的完整性度量值與基準(zhǔn)值一致，保證開(kāi)放式數(shù)控系統(tǒng)的初態(tài)可信。開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)需要完全遵循上述的信任鏈傳遞過(guò)程完成啟動(dòng)，以確保開(kāi)放式數(shù)控系統(tǒng)運(yùn)行環(huán)境的初態(tài)可信。6.1.1.2動(dòng)態(tài)度量開(kāi)放式數(shù)控系統(tǒng)可信計(jì)算雙體系結(jié)構(gòu)中的動(dòng)態(tài)度量功能由可信軟件基完成，包含對(duì)開(kāi)放式數(shù)控系統(tǒng)運(yùn)行環(huán)境的動(dòng)態(tài)度量以及對(duì)應(yīng)用程序進(jìn)程的動(dòng)態(tài)度量?jī)蓚€(gè)部分。動(dòng)態(tài)度量功能應(yīng)優(yōu)先度量實(shí)時(shí)的應(yīng)用程序進(jìn)程，以確保加工過(guò)程的安全性和可信性。開(kāi)放式數(shù)控系統(tǒng)啟動(dòng)后，可信軟件基對(duì)系統(tǒng)運(yùn)行環(huán)境進(jìn)行實(shí)時(shí)度量，評(píng)估當(dāng)前開(kāi)放式數(shù)控系統(tǒng)的可信度，當(dāng)發(fā)現(xiàn)開(kāi)放式數(shù)控系統(tǒng)出現(xiàn)安全問(wèn)題時(shí)及時(shí)報(bào)警，并降低系統(tǒng)可信度，配合其他部件對(duì)系統(tǒng)的運(yùn)行或加工過(guò)程進(jìn)行必要的干預(yù)，如停止開(kāi)放式數(shù)控系統(tǒng)對(duì)數(shù)控機(jī)床執(zhí)行機(jī)構(gòu)的控制等。在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)對(duì)開(kāi)放式數(shù)控系統(tǒng)調(diào)用的主體、客體以及操作進(jìn)行可信驗(yàn)證，并對(duì)中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞時(shí)采取措施恢復(fù)。并將驗(yàn)證結(jié)果形成審計(jì)記錄，進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知。在開(kāi)放式數(shù)控系統(tǒng)中對(duì)進(jìn)程的動(dòng)態(tài)度量是通過(guò)條件觸發(fā)和周期觸發(fā)的方式對(duì)應(yīng)用程序運(yùn)行的各環(huán)節(jié)進(jìn)行主動(dòng)度量，監(jiān)控應(yīng)用程序的運(yùn)行狀態(tài)，通過(guò)條件觸發(fā)和周期的方式對(duì)軟件平臺(tái)中應(yīng)用編程接口、中間件、操作系統(tǒng)內(nèi)核的實(shí)時(shí)部分等關(guān)鍵信息進(jìn)行監(jiān)視和度量，并支持異常報(bào)警。本項(xiàng)要求包括：1)應(yīng)對(duì)開(kāi)放式數(shù)控系統(tǒng)的運(yùn)行環(huán)境進(jìn)行動(dòng)態(tài)度量，確保開(kāi)放式數(shù)控系統(tǒng)和運(yùn)行在開(kāi)放式數(shù)控系統(tǒng)上的應(yīng)用軟件進(jìn)程的可信；2)應(yīng)對(duì)開(kāi)放式數(shù)控系統(tǒng)的應(yīng)用程序進(jìn)行動(dòng)態(tài)度量，優(yōu)先度量實(shí)時(shí)任務(wù)確保加工過(guò)程的安全可信；3)應(yīng)實(shí)時(shí)評(píng)估系統(tǒng)運(yùn)行環(huán)境的可信度；4)應(yīng)對(duì)開(kāi)放式數(shù)控系統(tǒng)應(yīng)用程序的運(yùn)行過(guò)程進(jìn)行記錄，形成可信報(bào)告，可進(jìn)行安全審計(jì)和調(diào)查；5)應(yīng)確保系統(tǒng)中使用的加密密鑰被恰當(dāng)?shù)毓芾?，并只被授?quán)的實(shí)體訪問(wèn)。96.1.2本體安全本體安全是建立在本體可信基礎(chǔ)上的安全，也是對(duì)可信的補(bǔ)充，以保障具備雙體系結(jié)構(gòu)開(kāi)放式數(shù)控系統(tǒng)的安全可信。6.1.2.1數(shù)據(jù)安全采用加解密手段對(duì)開(kāi)放式數(shù)控系統(tǒng)的數(shù)據(jù)進(jìn)行安全防護(hù)，數(shù)據(jù)安全包括數(shù)據(jù)存儲(chǔ)安全以及數(shù)據(jù)傳輸安全。本項(xiàng)要求包括：1)應(yīng)對(duì)需要存儲(chǔ)的重要數(shù)據(jù)進(jìn)行加密保護(hù)，保證數(shù)據(jù)存儲(chǔ)的完整性；2)應(yīng)對(duì)需要進(jìn)行傳輸?shù)臄?shù)據(jù)需要進(jìn)行數(shù)字簽名，保證數(shù)據(jù)的來(lái)源可溯；3)應(yīng)對(duì)傳輸?shù)臄?shù)據(jù)采用加密處理，對(duì)接收的數(shù)據(jù)進(jìn)行解密并校驗(yàn)，保證數(shù)據(jù)傳輸過(guò)程的完整性，數(shù)據(jù)包括但不限于NC代碼、控制指令、傳感器采集的信息等。6.1.2.2設(shè)備安全對(duì)于不具備可信根的設(shè)備，在連接開(kāi)放式數(shù)控系統(tǒng)時(shí)需要對(duì)其進(jìn)行一定的安全要求，開(kāi)放式數(shù)控系統(tǒng)本身應(yīng)具備相應(yīng)的安全功能。本項(xiàng)要求包括：1)應(yīng)確保每個(gè)接入開(kāi)放式數(shù)控系統(tǒng)設(shè)備身份的唯一性及保密性；2)應(yīng)采用白名單策略，過(guò)濾未經(jīng)過(guò)驗(yàn)證授權(quán)的設(shè)備；3)應(yīng)以最小權(quán)限原則對(duì)設(shè)備權(quán)限進(jìn)行分配及管理；4)應(yīng)確保接入開(kāi)放式數(shù)控系統(tǒng)的設(shè)備對(duì)數(shù)控系統(tǒng)的訪問(wèn)可控；5)應(yīng)記錄每個(gè)設(shè)備的對(duì)開(kāi)放式數(shù)控系統(tǒng)的操作信息及其本身的動(dòng)作信息；6)應(yīng)限制設(shè)備向開(kāi)放式數(shù)控系統(tǒng)發(fā)起連接請(qǐng)求的次數(shù)；7)應(yīng)能夠?qū)υO(shè)備的時(shí)鐘同步頻率進(jìn)行配置,根據(jù)開(kāi)放式數(shù)控系統(tǒng)的時(shí)鐘信息進(jìn)行系統(tǒng)時(shí)鐘同步；8)應(yīng)確保接入開(kāi)放式數(shù)控系統(tǒng)的設(shè)備不具備與外界網(wǎng)絡(luò)進(jìn)行通信的功能。6.1.2.3用戶安全對(duì)所有能夠操作系統(tǒng)的用戶都應(yīng)進(jìn)行嚴(yán)格的安全要求，開(kāi)放式數(shù)控系統(tǒng)也應(yīng)具備相應(yīng)安全功能。本項(xiàng)要求包括：1)應(yīng)識(shí)別并驗(yàn)證每個(gè)接入開(kāi)放式數(shù)控系統(tǒng)用戶的身份；2)應(yīng)確保每個(gè)接入開(kāi)放式數(shù)控系統(tǒng)用戶身份的唯一性及保密性；3)應(yīng)以最小權(quán)限原則對(duì)用戶權(quán)限進(jìn)行分配及管理，并確保用戶不可越級(jí)操作；4)應(yīng)記錄每個(gè)用戶對(duì)開(kāi)放式數(shù)控系統(tǒng)的操作信息，包括但不限于加工數(shù)據(jù)、NC代碼等；5)應(yīng)對(duì)登錄失敗的用戶進(jìn)行處理，限制其請(qǐng)求次數(shù)。6.2開(kāi)放式數(shù)控系統(tǒng)互聯(lián)互通安全可信開(kāi)放式數(shù)控系統(tǒng)互聯(lián)互通安全可信是通過(guò)可信手段和安全手段相結(jié)合，從而確保開(kāi)放式數(shù)控系統(tǒng)之間相互連接相互操作的安全可信。通過(guò)可信連接保證開(kāi)放式數(shù)控系統(tǒng)之間構(gòu)建通信連接的可信性，并通過(guò)遠(yuǎn)程可信驗(yàn)證實(shí)時(shí)保障互操作過(guò)程中的可信性；并通過(guò)滿足通信安全、設(shè)備安全和用戶安全的要求，對(duì)開(kāi)放式數(shù)控系統(tǒng)之間的互聯(lián)互通進(jìn)行安全防護(hù)。6.2.1互聯(lián)互通可信6.2.1.1可信連接可信連接是開(kāi)放式數(shù)控系統(tǒng)之間互聯(lián)互通的基礎(chǔ)，必須確保交互節(jié)點(diǎn)雙方身份的可信，包括身份的雙向鑒別以及完整性評(píng)估。在進(jìn)行通信之前，雙方的開(kāi)放式數(shù)控系統(tǒng)需獲取各自當(dāng)前的可信狀態(tài)報(bào)告，確認(rèn)雙方的可信身份后，方可建立通信連接。通過(guò)這種方式，信任鏈得以擴(kuò)展到開(kāi)放式數(shù)控系統(tǒng)之間，從而保障開(kāi)放式數(shù)控系統(tǒng)可信互聯(lián)互通的基礎(chǔ)。本項(xiàng)要求包括：1)應(yīng)在建立可信連接前確保單個(gè)開(kāi)放式數(shù)控系統(tǒng)自身的身份可信，根據(jù)可信狀態(tài)確定其是否具備發(fā)送可信連接請(qǐng)求的能力；2)應(yīng)對(duì)所提供的身份信息進(jìn)行簽名確保開(kāi)放式數(shù)控系統(tǒng)身份信息具有唯一性；3)應(yīng)確保雙方均能夠在建立可信連接前提供可以驗(yàn)證自身可信身份的信息；4)應(yīng)確保在建立可信連接時(shí)能夠驗(yàn)證雙方的可信身份。6.2.1.2遠(yuǎn)程可信驗(yàn)證遠(yuǎn)程可信驗(yàn)證機(jī)制建立在可信度量、可信報(bào)告和可信連接的基礎(chǔ)之上，利用加密和數(shù)字簽名技術(shù)，確保數(shù)據(jù)供方和數(shù)據(jù)需方的安全狀態(tài)可以被驗(yàn)證和信任。遠(yuǎn)程可信驗(yàn)證包括實(shí)時(shí)驗(yàn)證開(kāi)放式數(shù)控系統(tǒng)雙方的運(yùn)行環(huán)境可信性、運(yùn)行程序可信性，以及驗(yàn)證雙方所交互的數(shù)據(jù)可信性。雙方需提供相關(guān)證據(jù)，以驗(yàn)證運(yùn)行環(huán)境、運(yùn)行程序及交互數(shù)