开放式数控系统安全可信体系结构标准规范征求意见稿

1本标准规定了开放式数控系统本体的安全可信双体系结构及开放式数控系统间的互联互通的安全可信，目的在于为开放式数控系统安全可信双体系架构的设计、开发和应用提供参考框架，确保开放式数控系统满足安全开放和可信共融的要求。本标准适用于开放式数控系统安全可信双体系结构的设计、开发和应用。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T37955-2019信息安全技术数控网络安全技术要求T/CMTBA1008.6数控装备工业互联通讯协议第6部分：安全性GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T37935-2019信息安全技术可信计算规范可信软件基GB/T38638-2020信息安全技术可信计算可信计算体系结构GB/T29828-2013信息安全技术可信计算规范可信连接架构GB/T29827-2013信息安全技术可信计算规范可信平台主板功能接口GB/T40650-2021信息安全技术可信计算规范可信平台控制模块GB/T29829-2013信息安全技术可信计算密码支撑平台功能与接口规范GB/T18759.1-2002机械电气设备开放式数控系统第1部分：总则GB/T18759.4-2014机械电气设备开放式数控系统第4部分：硬件平台GB/T18759.5-2016机械电气设备开放式数控系统第6部分：软件平台3术语和定义下列术语和定义适用于本文件。3.1开放式数控系统opennumericalcontrolsystem应用软件构筑于遵循公开性、可扩展性、兼容性原则的系统平台之上的数控系统，使应用软件具有可移植性、互操作性、人机界面的一致性。[GB/T18759.1-2002,3.1]3.2开放式数控系统可信计算双体系结构opennumericalcontrolsystemtrustedcomputingdualarchitecture硬件上计算部件和可信部件并接，软件上可信部件对开放式数控系统进行度量，构成计算与防护并行的开放式数控系统双体系结构。3.3计算部件computingcomponents2开放式数控系统双体系结构中用于执行计算功能的硬件集合。3.4可信部件trustedcomponents开放式数控系统双体系结构中用于执行可信功能的硬件集合。3.5硬件平台hardwareplatform开放式数控系统中软件平台和应用软件运行的基础部件，处于基本体系结构的最底层。[GB/T18759.1—2002,3.4]3.6软件平台softwareplatform应用软件运行的基础部件，处于基本体系结构的硬件平台和应用软件之间。[GB/T18759.1—2002,3.5]3.7应用软件applicationsoftware为解决专门领域内的，非计算机本身问题的软件。[GB/T18759.1—2002,3.6]3.8中间件middleware一种独立的系统软件或服务程序，实现数控系统基本功能并提供一组应用编程接口给上层应用软件调用。[GB/T18759.4—2016,3.1.17]3.9实时操作系统real-timeoperatingsystem保证在一定时间限制内完成特定功能的操作系统。[GB/T18759.4—2016,3.1.18]3.10应用编程接口applicationprograminterface预先定义的一些函数接口，应用可以通过调用该接口实现对系统平台功能与资源的调用。[GB/T18759.4—2016,3.1.19]3.11可信密码模块trustedcryptographymodule可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。[GB/T29829—2013,3.1.7]3.12可信平台控制模块trustedplatformcontrolmodule用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。[GB/T29827—2013,3.20]3.13可信连接trustedconnection通过验证开放式数控系统之间的可信身份使开放式数控系统之间建立可信关系的通信连接。3.143可信软件基trustedsoftwarebase为可信计算平台的可信性提供支持的软件元素的集合。[GB/T37935—2019，3.3]3.15启动信任链trustchainofbooting在系统启动过程中，使用静态度量方法从系统上电到系统运行建立的信任链传递关系。3.14远程可信验证remotetrustedauthentication用于验证发送方开放式数控系统上运行环境可信性、运行软件可信性及所提供数据可信性的技术。3.15初态可信trustedinitialstate开放式数控系统成功建立启动信任链后最初的可信运行状态。3.16数据需方datarequester向建立可信连接的开放式数控系统发出数据请求的开放式数控系统。3.17数据供方dataprovider向建立可信连接的开放式数控系统提供请求数据的开放式数控系统。4开放式数控系统可信计算双体系结构图1给出了开放式数控系统可信计算双体系结构。图1开放式数控系统可信计算双体系结构4如图1所示，开放式数控系统可信计算双体系结构是指在硬件层面，计算部件与可信部件相互连接；在软件层面，可信部件对开放式数控系统进行度量，从而构成计算与防护并行的双体系结构。开放式数控系统的可信计算双体系结构中，计算部件和可信部件在逻辑上相互独立，形成具备计算功能和防护功能并存的双体系结构。计算部件负责执行计算功能，而可信部件则主动对整个开放式数控系统进行度量，以保障系统运行环境的安全，并确保计算部件的运行结果始终与预期一致。该双体系结构从底层硬件芯片、主板及底层软件、操作系统，到应用服务和网络服务等上层软件，综合采取多种措施，有效保障开放式数控系统的本体安全与可信性。计算部件主要包括：硬件平台、软件平台和应用软件。硬件平台应包含系统硬件和系统固件。软件平台应包含操作系统、中间件及API。硬件平台与进给驱动和主轴驱动等驱动装置连接，提供了控制机床运动的物理支持；操作系统管理和控制硬件平台的资源，中间件则提供高层次的接口和功能；应用程序实现具体的功能和应用。可信部件主要包括：可信密码模块TCM、可信平台控制模块TPCM和可信软件基TSB。可信部件的主要功能是对计算部件进行度量和监控，同时提供密码算法、平台身份可信、平台数据安全保护等可信计算功能调用的支撑。单个开放式数控系统可信计算双体系结构在建立可信身份后，构成一个独立的可信计算节点，该节点由开放式数控系统计算部件和可信部件组成。可信计算节点保证自身的安全可信，可信连接保证节点间建立连接的可信，将信任链扩展到开放式数控系统与开放式数控系统之间。远程可信验证确保开放式数控系统之间数据交互过程的安全可信。不同可信节点之间通过可信连接及远程验证保障互联互通的可信。5开放式数控系统可信计算双体系结构部件及其交互5.1开放式数控系统可信计算双体系结构中的计算部件5.1.1概述计算部件主要功能是为开放式数控系统提供计算、存储和网络资源，包括通用硬件平台、软件平台及应用软件三部分构成。5.1.2硬件平台开放式数控系统的硬件平台由计算平台、功能模块及与各类驱动装置连接的接口组成。计算平台负责控制和管理系统资源，实现各种数控功能，并对输入到开放式数控系统的数据进行计算，依据计算结果向其他功能模块发出控制指令。计算平台通过多种接口与不同功能模块进行连接与组合，构成开放式数控系统的硬件平台。该硬件平台通过现场总线、终端接口和网络通信接口分别与驱动装置、人机界面和网络应用服务进行连接和交互。硬件平台技术要求遵循GB/T18759.4—2014的要求。55.1.3软件平台5.1.3.1操作系统内核操作系统位于软件平台的底层，由通用内核和实时内核组成。其设计应满足开放式数控系统应用软件对系统实时时钟、存储器、网络接口和总线接口等硬件平台资源的调用与管理需求。具体要求应遵循GB/T18759.5—2016的要求。5.1.3.2中间件中间件位于应用软件之下和实时操作系统之上，充当承上启下的应用支撑平台，为应用软件共享资源提供支持，并提供其运行与开发环境。具体功能包括：为运行在一个或多个开放式数控系统上的应用进程提供通信、计算、实时资源调度、设备驱动等服务。中间件提供的应用编程接口定义了一个相对稳定的高层应用环境。不管底层的计算机硬件和系统软件怎样更新换代，只要将中间件升级更新，并保持中间件对外的接口定义不变可以实现应用软件在不同系统平台间的移植。具体要求参考应遵循GB/T18759.5—2016的要求。5.1.3.3应用编程接口应用编程接口是预先定义的一系列函数接口，旨在便捷地实现数控加工程序。应用软件可以通过调用这些接口，充分利用开放式数控系统平台的功能与资源，而无需直接访问源代码或深入理解系统内部工作机制的细节。具体要求应遵循GB/T18759.5—2016的要求。5.1.4应用软件应用软件包含控制系统的特定功能，这些功能由多个功能模块通过标准接口实现连接。各功能模块能够在符合开放式体系结构要求的不同系统平台上独立运行。应用软件在操作系统上运行，能够通过应用编程接口调用中间件，从而实现具体功能。对用户应用软件的设计不应施加具体限制，需满足现有国际和国内标准以及开放式数控系统的开放性设计要求。具体要求参考应遵循GB/T18759.5—2016的要求。5.2开放式数控系统可信计算双体系结构中的可信部件5.2.1概述开放式数控系统可信计算双体系结构中的可信部件，主要通过对计算部件进行度量和监控，以实现开放式数控系统的可信。同时，可信部件还提供密码算法、平台身份可信性验证、平台数据安全保护等可信计算功能的支持。5.2.2可信密码模块可信密码模块为开放式数控系统提供密码支撑服务，该模块嵌入在可信平台控制模块中。基于我国自主研发的密码算法，可信密码模块包括对称加密、非对称加密和哈希算法等一系列密码算法，为可信计算平台提供密码运算功能，并具备受保护的存储空间。可信密码模块功能及接口应符合GB/T29829—2022的要求。65.2.3可信平台控制模块可信平台控制模块在网络通信中负责生成可信状态报告、进行身份校验和密码协商等工作。通过内置的可信密码模块，该模块能够标识终端身份，确保交互过程中的数据保密性和安全性。作为自主可控的可信根，可信平台控制模块植入可信源根，并结合内嵌的可信密码模块实现信任根控制功能，从而将密码与控制相结合。可信根是可信计算中的信任源，是公认的不需要再次证明的可信起点，也是信任关系建立的基础和核心。可信平台控制模块功能及接口应符合GB/T40650—2021的要求。5.2.4可信平台主板可信平台主板是集成了可信平台控制模块的计算机主板，能够将可信平台控制模块作为信任根建立启动信任链，并提供可信平台控制模块与其他硬件的连接。可信平台主板组成结构及功能接口应符合GB/T29827—2013的要求。5.2.5可信连接可信连接实现可信计算节点接入网络时的身份鉴别和平台鉴别，包括用户身份鉴别、平台身份鉴别和平台完整性评估，确保只有可信计算节点才能进行互联互通。可信连接具体构成及功能接口应符合GB/T29828—2013的要求。5.2.6可信软件基在可信平台控制模块的支撑下，可信软件基能够对开放式数控系统计算部件中的应用程序进行主动监控和度量。可信软件基通过身份认证机制来度量开放式数控系统中主客体身份的合法性，通过静态度量机制来评估系统启动环境的可信性，通过动态度量机制来监测系统运行环境和应用的可信性，并通过保密存储机制对系统和用户的关键数据进行私密保护。可信软件基组成结构及功能接口应符合GB/T37935—2019的要求。5.3计算部件的交互5.3.1硬件平台内的交互硬件平台包括计算平台、功能模块和各类接口。该硬件平台通过终端接口连接到人机界面，包括显示器、键盘、鼠标等操作设备；通过现场总线连接机床的驱动装置，包括数字I/O、模拟I/O、传感器等直接与执行机构连接；通过网络通信接口连接到网络应用服务，包括制造执行系统、企业资源计划系统、车间层管理系统等。5.3.2软件平台内的交互开放式数控系统的操作系统内核为软件平台的底层支撑，支撑应用编程接口和中间件。应用编程接口是中间件中各个模块功能的映射，通过调用应用编程接口，可以对应访问中间件中各模块的功能，而无需访问源码或理解其内部工作机制细节。这些功能运行在操作系统内核上，部分功能模块连接机床各执行机构的驱动，实现对执行机构的控制。5.3.3应用软件、软件平台与硬件平台之间的交互开放式数控系统的硬件平台为软件平台提供支撑，软件平台运行在硬件平台的计算平台之上。应用软件根据功能需求，通过调用软件平台中的应用编程接口，实现对中间件功能的调用。中间件负责实现开放式数控系统的基本功能并完成相应的处理，最终将处理结果提供7给应用软件。中间件由操作系统内核提供支撑，操作系统内核通过对现场总线的访问和控制，从而实现数控机床的相应加工动作。5.4可信部件的交互可信平台主板嵌入可信平台控制模块，可信平台控制模块连接可信平台主板上的控制器，对输入输出接口进行控制。可信平台控制模块为可信计算部件中第一个运行的部件，作为可信计算节点的信任根,可信平台控制模块通过内置的可信密码模块支撑其主动度量和控制功能，并依据度量结果进行主动裁决和控制功能。可信平台控制模块向可信软件基提供基础资源的支撑，可信软件基通过调用可信平台控制模块的相关接口，实现对开放式数控系统的主动度量等功能。可信连接调用可信软件基和可信平台控制模块提供的完整性度量结果，以进行相应操作。5.5可信部件与计算部件的交互在开放式数控系统可信计算双体系结构中，可信部件中的可信平台控制模块直接连接开放式数控系统计算部件中的时序电路，控制开放式数控系统计算部件中的处理器、芯片组和动态存储器等通用设备的启动。开放式数控系统上电后，可信平台控制模块应先于计算部件启动，通过静态度量确保计算部件中基本输入/输出系统（BIOS）的完整性初始可信；在启动过程中，基于BIOS的可信性，通过静态度量功能确保软件平台中操作系统内核的完整性，只有在度量值与预存值一致的情况下，才允许开放式数控系统启动；启动成功后，可信平台控制模块支撑可信软件基，通过静态度量确保开放式数控系统软件平台的应用编程接口及中间件的可信性，只有确保开放式数控系统的应用编程接口及中间件可信后，才允许应用软件运行。应用软件需要获得认证后，方可运行在开放式数控系统上。可信软件基还需对开放式数控系统中的应用软件运行过程进行实时的动态度量，以确保应用软件运行的过程以及结果与预期的一致性。6开放式数控系统安全可信6.1开放式数控系统本体安全可信开放式数控系统本体安全可信的构成包括安全性和可信性两个方面。开放式数控系统本体可信主要涵盖系统层可信与软件层可信。在保障本体可信的基础上，通过可信连接与可信验证构建可信体系，使得各个可信节点能够进行可信互操作。可信性部分基于可信根，通过静态度量建立启动信任链，并通过动态度量确保开放式数控系统在运行过程中的可信性，从而保障系统本体的可信性。同时，结合安全防护措施，确保开放式数控系统中数据的保密性和数据流通的安全性，并对接入开放式数控系统的设备和用户实施安全防护。86.1.1本体可信6.1.1.1启动信任链启动信任链能够确保开放式数控系统的初态可信。开放式数控系统通过静态度量的方式构建启动信任链，其核心思想是逐级度量，目标是评估度量对象的完整性。先启动的对象需在后启动的对象之前进行度量，信任链向下一级传递的先决条件是先启动对象的完整性度量值与基准值完全一致。可信平台控制模块生成可信度量根，作为建立信任链的起点，从计算部件的BIOS开始进行度量，并将信任向上传递，最终构建完整的启动信任链。这一过程确保了开放式数控系统运行环境的可信性，并建立了开放式数控系统的可信身份。从开放式数控系统开机到操作系统成功启动的启动信任链建立过程如下：1)开放式数控系统上电后可信平台控制模块应先于计算部件启动；2)可信平台控制模块进行主动自检，确保自身完整性以及能够对计算部件的时序电路进行控制，确保可信后允许计算部件上电，否则停止启动；3)计算部件上电后可信平台控制模块应首先静态度量开放式数控系统BIOS的完整性，确保BIOS完整性度量值与基准值一致，否则停止启动；4)BIOS成功加载后，可信平台控制模块通过可信软件基接口支撑可信软件基静态度量操作系统内核，确保操作系统内核的完整性度量值与基准值一致，否则停止启动；5)确保操作系统内核可信后，可信软件基静态度量中间件、应用编程接口以及应用编程接口与中间件映射关系的完整性，确保中间件、应用编程接口以及应用编程接口与中间件映射关系的完整性度量值与基准值一致，保证开放式数控系统的初态可信。开放式数控系统可信计算双体系结构需要完全遵循上述的信任链传递过程完成启动，以确保开放式数控系统运行环境的初态可信。6.1.1.2动态度量开放式数控系统可信计算双体系结构中的动态度量功能由可信软件基完成，包含对开放式数控系统运行环境的动态度量以及对应用程序进程的动态度量两个部分。动态度量功能应优先度量实时的应用程序进程，以确保加工过程的安全性和可信性。开放式数控系统启动后，可信软件基对系统运行环境进行实时度量，评估当前开放式数控系统的可信度，当发现开放式数控系统出现安全问题时及时报警，并降低系统可信度，配合其他部件对系统的运行或加工过程进行必要的干预，如停止开放式数控系统对数控机床执行机构的控制等。在应用程序的所有执行环节对开放式数控系统调用的主体、客体以及操作进行可信验证，并对中断、关键内存区域等执行资源进行可信验证，并在检测到其可信性受到破坏时采取措施恢复。并将验证结果形成审计记录，进行动态关联感知。在开放式数控系统中对进程的动态度量是通过条件触发和周期触发的方式对应用程序运行的各环节进行主动度量，监控应用程序的运行状态，通过条件触发和周期的方式对软件平台中应用编程接口、中间件、操作系统内核的实时部分等关键信息进行监视和度量，并支持异常报警。本项要求包括：1)应对开放式数控系统的运行环境进行动态度量，确保开放式数控系统和运行在开放式数控系统上的应用软件进程的可信；2)应对开放式数控系统的应用程序进行动态度量，优先度量实时任务确保加工过程的安全可信；3)应实时评估系统运行环境的可信度；4)应对开放式数控系统应用程序的运行过程进行记录，形成可信报告，可进行安全审计和调查；5)应确保系统中使用的加密密钥被恰当地管理，并只被授权的实体访问。96.1.2本体安全本体安全是建立在本体可信基础上的安全，也是对可信的补充，以保障具备双体系结构开放式数控系统的安全可信。6.1.2.1数据安全采用加解密手段对开放式数控系统的数据进行安全防护，数据安全包括数据存储安全以及数据传输安全。本项要求包括：1)应对需要存储的重要数据进行加密保护，保证数据存储的完整性；2)应对需要进行传输的数据需要进行数字签名，保证数据的来源可溯；3)应对传输的数据采用加密处理，对接收的数据进行解密并校验，保证数据传输过程的完整性，数据包括但不限于NC代码、控制指令、传感器采集的信息等。6.1.2.2设备安全对于不具备可信根的设备，在连接开放式数控系统时需要对其进行一定的安全要求，开放式数控系统本身应具备相应的安全功能。本项要求包括：1)应确保每个接入开放式数控系统设备身份的唯一性及保密性；2)应采用白名单策略，过滤未经过验证授权的设备；3)应以最小权限原则对设备权限进行分配及管理；4)应确保接入开放式数控系统的设备对数控系统的访问可控；5)应记录每个设备的对开放式数控系统的操作信息及其本身的动作信息；6)应限制设备向开放式数控系统发起连接请求的次数；7)应能够对设备的时钟同步频率进行配置,根据开放式数控系统的时钟信息进行系统时钟同步；8)应确保接入开放式数控系统的设备不具备与外界网络进行通信的功能。6.1.2.3用户安全对所有能够操作系统的用户都应进行严格的安全要求，开放式数控系统也应具备相应安全功能。本项要求包括：1)应识别并验证每个接入开放式数控系统用户的身份；2)应确保每个接入开放式数控系统用户身份的唯一性及保密性；3)应以最小权限原则对用户权限进行分配及管理，并确保用户不可越级操作；4)应记录每个用户对开放式数控系统的操作信息，包括但不限于加工数据、NC代码等；5)应对登录失败的用户进行处理，限制其请求次数。6.2开放式数控系统互联互通安全可信开放式数控系统互联互通安全可信是通过可信手段和安全手段相结合，从而确保开放式数控系统之间相互连接相互操作的安全可信。通过可信连接保证开放式数控系统之间构建通信连接的可信性，并通过远程可信验证实时保障互操作过程中的可信性；并通过满足通信安全、设备安全和用户安全的要求，对开放式数控系统之间的互联互通进行安全防护。6.2.1互联互通可信6.2.1.1可信连接可信连接是开放式数控系统之间互联互通的基础，必须确保交互节点双方身份的可信，包括身份的双向鉴别以及完整性评估。在进行通信之前，双方的开放式数控系统需获取各自当前的可信状态报告，确认双方的可信身份后，方可建立通信连接。通过这种方式，信任链得以扩展到开放式数控系统之间，从而保障开放式数控系统可信互联互通的基础。本项要求包括：1)应在建立可信连接前确保单个开放式数控系统自身的身份可信，根据可信状态确定其是否具备发送可信连接请求的能力；2)应对所提供的身份信息进行签名确保开放式数控系统身份信息具有唯一性；3)应确保双方均能够在建立可信连接前提供可以验证自身可信身份的信息；4)应确保在建立可信连接时能够验证双方的可信身份。6.2.1.2远程可信验证远程可信验证机制建立在可信度量、可信报告和可信连接的基础之上，利用加密和数字签名技术，确保数据供方和数据需方的安全状态可以被验证和信任。远程可信验证包括实时验证开放式数控系统双方的运行环境可信性、运行程序可信性，以及验证双方所交互的数据可信性。双方需提供相关证据，以验证运行环境、运行程序及交互数