開放式數(shù)控系統(tǒng)安全可信體系結(jié)構(gòu)標準規(guī)范征求意見稿

1本標準規(guī)定了開放式數(shù)控系統(tǒng)本體的安全可信雙體系結(jié)構(gòu)及開放式數(shù)控系統(tǒng)間的互聯(lián)互通的安全可信，目的在于為開放式數(shù)控系統(tǒng)安全可信雙體系架構(gòu)的設(shè)計、開發(fā)和應(yīng)用提供參考框架，確保開放式數(shù)控系統(tǒng)滿足安全開放和可信共融的要求。本標準適用于開放式數(shù)控系統(tǒng)安全可信雙體系結(jié)構(gòu)的設(shè)計、開發(fā)和應(yīng)用。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T37955-2019信息安全技術(shù)數(shù)控網(wǎng)絡(luò)安全技術(shù)要求T/CMTBA1008.6數(shù)控裝備工業(yè)互聯(lián)通訊協(xié)議第6部分：安全性GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T37935-2019信息安全技術(shù)可信計算規(guī)范可信軟件基GB/T38638-2020信息安全技術(shù)可信計算可信計算體系結(jié)構(gòu)GB/T29828-2013信息安全技術(shù)可信計算規(guī)范可信連接架構(gòu)GB/T29827-2013信息安全技術(shù)可信計算規(guī)范可信平臺主板功能接口GB/T40650-2021信息安全技術(shù)可信計算規(guī)范可信平臺控制模塊GB/T29829-2013信息安全技術(shù)可信計算密碼支撐平臺功能與接口規(guī)范GB/T18759.1-2002機械電氣設(shè)備開放式數(shù)控系統(tǒng)第1部分：總則GB/T18759.4-2014機械電氣設(shè)備開放式數(shù)控系統(tǒng)第4部分：硬件平臺GB/T18759.5-2016機械電氣設(shè)備開放式數(shù)控系統(tǒng)第6部分：軟件平臺3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1開放式數(shù)控系統(tǒng)opennumericalcontrolsystem應(yīng)用軟件構(gòu)筑于遵循公開性、可擴展性、兼容性原則的系統(tǒng)平臺之上的數(shù)控系統(tǒng)，使應(yīng)用軟件具有可移植性、互操作性、人機界面的一致性。[GB/T18759.1-2002,3.1]3.2開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)opennumericalcontrolsystemtrustedcomputingdualarchitecture硬件上計算部件和可信部件并接，軟件上可信部件對開放式數(shù)控系統(tǒng)進行度量，構(gòu)成計算與防護并行的開放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)。3.3計算部件computingcomponents2開放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)中用于執(zhí)行計算功能的硬件集合。3.4可信部件trustedcomponents開放式數(shù)控系統(tǒng)雙體系結(jié)構(gòu)中用于執(zhí)行可信功能的硬件集合。3.5硬件平臺hardwareplatform開放式數(shù)控系統(tǒng)中軟件平臺和應(yīng)用軟件運行的基礎(chǔ)部件，處于基本體系結(jié)構(gòu)的最底層。[GB/T18759.1—2002,3.4]3.6軟件平臺softwareplatform應(yīng)用軟件運行的基礎(chǔ)部件，處于基本體系結(jié)構(gòu)的硬件平臺和應(yīng)用軟件之間。[GB/T18759.1—2002,3.5]3.7應(yīng)用軟件applicationsoftware為解決專門領(lǐng)域內(nèi)的，非計算機本身問題的軟件。[GB/T18759.1—2002,3.6]3.8中間件middleware一種獨立的系統(tǒng)軟件或服務(wù)程序，實現(xiàn)數(shù)控系統(tǒng)基本功能并提供一組應(yīng)用編程接口給上層應(yīng)用軟件調(diào)用。[GB/T18759.4—2016,3.1.17]3.9實時操作系統(tǒng)real-timeoperatingsystem保證在一定時間限制內(nèi)完成特定功能的操作系統(tǒng)。[GB/T18759.4—2016,3.1.18]3.10應(yīng)用編程接口applicationprograminterface預(yù)先定義的一些函數(shù)接口，應(yīng)用可以通過調(diào)用該接口實現(xiàn)對系統(tǒng)平臺功能與資源的調(diào)用。[GB/T18759.4—2016,3.1.19]3.11可信密碼模塊trustedcryptographymodule可信計算平臺的硬件模塊,為可信計算平臺提供密碼運算功能,具有受保護的存儲空間。[GB/T29829—2013,3.1.7]3.12可信平臺控制模塊trustedplatformcontrolmodule用于建立和保障信任源點的硬件核心模塊，為可信計算提供完整性度量、安全存儲、可信報告以及密碼服務(wù)等功能。[GB/T29827—2013,3.20]3.13可信連接trustedconnection通過驗證開放式數(shù)控系統(tǒng)之間的可信身份使開放式數(shù)控系統(tǒng)之間建立可信關(guān)系的通信連接。3.143可信軟件基trustedsoftwarebase為可信計算平臺的可信性提供支持的軟件元素的集合。[GB/T37935—2019，3.3]3.15啟動信任鏈trustchainofbooting在系統(tǒng)啟動過程中，使用靜態(tài)度量方法從系統(tǒng)上電到系統(tǒng)運行建立的信任鏈傳遞關(guān)系。3.14遠程可信驗證remotetrustedauthentication用于驗證發(fā)送方開放式數(shù)控系統(tǒng)上運行環(huán)境可信性、運行軟件可信性及所提供數(shù)據(jù)可信性的技術(shù)。3.15初態(tài)可信trustedinitialstate開放式數(shù)控系統(tǒng)成功建立啟動信任鏈后最初的可信運行狀態(tài)。3.16數(shù)據(jù)需方datarequester向建立可信連接的開放式數(shù)控系統(tǒng)發(fā)出數(shù)據(jù)請求的開放式數(shù)控系統(tǒng)。3.17數(shù)據(jù)供方dataprovider向建立可信連接的開放式數(shù)控系統(tǒng)提供請求數(shù)據(jù)的開放式數(shù)控系統(tǒng)。4開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)圖1給出了開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)。圖1開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)4如圖1所示，開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)是指在硬件層面，計算部件與可信部件相互連接；在軟件層面，可信部件對開放式數(shù)控系統(tǒng)進行度量，從而構(gòu)成計算與防護并行的雙體系結(jié)構(gòu)。開放式數(shù)控系統(tǒng)的可信計算雙體系結(jié)構(gòu)中，計算部件和可信部件在邏輯上相互獨立，形成具備計算功能和防護功能并存的雙體系結(jié)構(gòu)。計算部件負責(zé)執(zhí)行計算功能，而可信部件則主動對整個開放式數(shù)控系統(tǒng)進行度量，以保障系統(tǒng)運行環(huán)境的安全，并確保計算部件的運行結(jié)果始終與預(yù)期一致。該雙體系結(jié)構(gòu)從底層硬件芯片、主板及底層軟件、操作系統(tǒng)，到應(yīng)用服務(wù)和網(wǎng)絡(luò)服務(wù)等上層軟件，綜合采取多種措施，有效保障開放式數(shù)控系統(tǒng)的本體安全與可信性。計算部件主要包括：硬件平臺、軟件平臺和應(yīng)用軟件。硬件平臺應(yīng)包含系統(tǒng)硬件和系統(tǒng)固件。軟件平臺應(yīng)包含操作系統(tǒng)、中間件及API。硬件平臺與進給驅(qū)動和主軸驅(qū)動等驅(qū)動裝置連接，提供了控制機床運動的物理支持；操作系統(tǒng)管理和控制硬件平臺的資源，中間件則提供高層次的接口和功能；應(yīng)用程序?qū)崿F(xiàn)具體的功能和應(yīng)用?？尚挪考饕ǎ嚎尚琶艽a模塊TCM、可信平臺控制模塊TPCM和可信軟件基TSB?？尚挪考闹饕δ苁菍τ嬎悴考M行度量和監(jiān)控，同時提供密碼算法、平臺身份可信、平臺數(shù)據(jù)安全保護等可信計算功能調(diào)用的支撐。單個開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)在建立可信身份后，構(gòu)成一個獨立的可信計算節(jié)點，該節(jié)點由開放式數(shù)控系統(tǒng)計算部件和可信部件組成?？尚庞嬎愎?jié)點保證自身的安全可信，可信連接保證節(jié)點間建立連接的可信，將信任鏈擴展到開放式數(shù)控系統(tǒng)與開放式數(shù)控系統(tǒng)之間。遠程可信驗證確保開放式數(shù)控系統(tǒng)之間數(shù)據(jù)交互過程的安全可信。不同可信節(jié)點之間通過可信連接及遠程驗證保障互聯(lián)互通的可信。5開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)部件及其交互5.1開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)中的計算部件5.1.1概述計算部件主要功能是為開放式數(shù)控系統(tǒng)提供計算、存儲和網(wǎng)絡(luò)資源，包括通用硬件平臺、軟件平臺及應(yīng)用軟件三部分構(gòu)成。5.1.2硬件平臺開放式數(shù)控系統(tǒng)的硬件平臺由計算平臺、功能模塊及與各類驅(qū)動裝置連接的接口組成。計算平臺負責(zé)控制和管理系統(tǒng)資源，實現(xiàn)各種數(shù)控功能，并對輸入到開放式數(shù)控系統(tǒng)的數(shù)據(jù)進行計算，依據(jù)計算結(jié)果向其他功能模塊發(fā)出控制指令。計算平臺通過多種接口與不同功能模塊進行連接與組合，構(gòu)成開放式數(shù)控系統(tǒng)的硬件平臺。該硬件平臺通過現(xiàn)場總線、終端接口和網(wǎng)絡(luò)通信接口分別與驅(qū)動裝置、人機界面和網(wǎng)絡(luò)應(yīng)用服務(wù)進行連接和交互。硬件平臺技術(shù)要求遵循GB/T18759.4—2014的要求。55.1.3軟件平臺5.1.3.1操作系統(tǒng)內(nèi)核操作系統(tǒng)位于軟件平臺的底層，由通用內(nèi)核和實時內(nèi)核組成。其設(shè)計應(yīng)滿足開放式數(shù)控系統(tǒng)應(yīng)用軟件對系統(tǒng)實時時鐘、存儲器、網(wǎng)絡(luò)接口和總線接口等硬件平臺資源的調(diào)用與管理需求。具體要求應(yīng)遵循GB/T18759.5—2016的要求。5.1.3.2中間件中間件位于應(yīng)用軟件之下和實時操作系統(tǒng)之上，充當承上啟下的應(yīng)用支撐平臺，為應(yīng)用軟件共享資源提供支持，并提供其運行與開發(fā)環(huán)境。具體功能包括：為運行在一個或多個開放式數(shù)控系統(tǒng)上的應(yīng)用進程提供通信、計算、實時資源調(diào)度、設(shè)備驅(qū)動等服務(wù)。中間件提供的應(yīng)用編程接口定義了一個相對穩(wěn)定的高層應(yīng)用環(huán)境。不管底層的計算機硬件和系統(tǒng)軟件怎樣更新?lián)Q代，只要將中間件升級更新，并保持中間件對外的接口定義不變可以實現(xiàn)應(yīng)用軟件在不同系統(tǒng)平臺間的移植。具體要求參考應(yīng)遵循GB/T18759.5—2016的要求。5.1.3.3應(yīng)用編程接口應(yīng)用編程接口是預(yù)先定義的一系列函數(shù)接口，旨在便捷地實現(xiàn)數(shù)控加工程序。應(yīng)用軟件可以通過調(diào)用這些接口，充分利用開放式數(shù)控系統(tǒng)平臺的功能與資源，而無需直接訪問源代碼或深入理解系統(tǒng)內(nèi)部工作機制的細節(jié)。具體要求應(yīng)遵循GB/T18759.5—2016的要求。5.1.4應(yīng)用軟件應(yīng)用軟件包含控制系統(tǒng)的特定功能，這些功能由多個功能模塊通過標準接口實現(xiàn)連接。各功能模塊能夠在符合開放式體系結(jié)構(gòu)要求的不同系統(tǒng)平臺上獨立運行。應(yīng)用軟件在操作系統(tǒng)上運行，能夠通過應(yīng)用編程接口調(diào)用中間件，從而實現(xiàn)具體功能。對用戶應(yīng)用軟件的設(shè)計不應(yīng)施加具體限制，需滿足現(xiàn)有國際和國內(nèi)標準以及開放式數(shù)控系統(tǒng)的開放性設(shè)計要求。具體要求參考應(yīng)遵循GB/T18759.5—2016的要求。5.2開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)中的可信部件5.2.1概述開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)中的可信部件，主要通過對計算部件進行度量和監(jiān)控，以實現(xiàn)開放式數(shù)控系統(tǒng)的可信。同時，可信部件還提供密碼算法、平臺身份可信性驗證、平臺數(shù)據(jù)安全保護等可信計算功能的支持。5.2.2可信密碼模塊可信密碼模塊為開放式數(shù)控系統(tǒng)提供密碼支撐服務(wù)，該模塊嵌入在可信平臺控制模塊中?；谖覈灾餮邪l(fā)的密碼算法，可信密碼模塊包括對稱加密、非對稱加密和哈希算法等一系列密碼算法，為可信計算平臺提供密碼運算功能，并具備受保護的存儲空間。可信密碼模塊功能及接口應(yīng)符合GB/T29829—2022的要求。65.2.3可信平臺控制模塊可信平臺控制模塊在網(wǎng)絡(luò)通信中負責(zé)生成可信狀態(tài)報告、進行身份校驗和密碼協(xié)商等工作。通過內(nèi)置的可信密碼模塊，該模塊能夠標識終端身份，確保交互過程中的數(shù)據(jù)保密性和安全性。作為自主可控的可信根，可信平臺控制模塊植入可信源根，并結(jié)合內(nèi)嵌的可信密碼模塊實現(xiàn)信任根控制功能，從而將密碼與控制相結(jié)合?？尚鸥强尚庞嬎阒械男湃卧矗枪J的不需要再次證明的可信起點，也是信任關(guān)系建立的基礎(chǔ)和核心?？尚牌脚_控制模塊功能及接口應(yīng)符合GB/T40650—2021的要求。5.2.4可信平臺主板可信平臺主板是集成了可信平臺控制模塊的計算機主板，能夠?qū)⒖尚牌脚_控制模塊作為信任根建立啟動信任鏈，并提供可信平臺控制模塊與其他硬件的連接?？尚牌脚_主板組成結(jié)構(gòu)及功能接口應(yīng)符合GB/T29827—2013的要求。5.2.5可信連接可信連接實現(xiàn)可信計算節(jié)點接入網(wǎng)絡(luò)時的身份鑒別和平臺鑒別，包括用戶身份鑒別、平臺身份鑒別和平臺完整性評估，確保只有可信計算節(jié)點才能進行互聯(lián)互通。可信連接具體構(gòu)成及功能接口應(yīng)符合GB/T29828—2013的要求。5.2.6可信軟件基在可信平臺控制模塊的支撐下，可信軟件基能夠?qū)﹂_放式數(shù)控系統(tǒng)計算部件中的應(yīng)用程序進行主動監(jiān)控和度量。可信軟件基通過身份認證機制來度量開放式數(shù)控系統(tǒng)中主客體身份的合法性，通過靜態(tài)度量機制來評估系統(tǒng)啟動環(huán)境的可信性，通過動態(tài)度量機制來監(jiān)測系統(tǒng)運行環(huán)境和應(yīng)用的可信性，并通過保密存儲機制對系統(tǒng)和用戶的關(guān)鍵數(shù)據(jù)進行私密保護?？尚跑浖M成結(jié)構(gòu)及功能接口應(yīng)符合GB/T37935—2019的要求。5.3計算部件的交互5.3.1硬件平臺內(nèi)的交互硬件平臺包括計算平臺、功能模塊和各類接口。該硬件平臺通過終端接口連接到人機界面，包括顯示器、鍵盤、鼠標等操作設(shè)備；通過現(xiàn)場總線連接機床的驅(qū)動裝置，包括數(shù)字I/O、模擬I/O、傳感器等直接與執(zhí)行機構(gòu)連接；通過網(wǎng)絡(luò)通信接口連接到網(wǎng)絡(luò)應(yīng)用服務(wù)，包括制造執(zhí)行系統(tǒng)、企業(yè)資源計劃系統(tǒng)、車間層管理系統(tǒng)等。5.3.2軟件平臺內(nèi)的交互開放式數(shù)控系統(tǒng)的操作系統(tǒng)內(nèi)核為軟件平臺的底層支撐，支撐應(yīng)用編程接口和中間件。應(yīng)用編程接口是中間件中各個模塊功能的映射，通過調(diào)用應(yīng)用編程接口，可以對應(yīng)訪問中間件中各模塊的功能，而無需訪問源碼或理解其內(nèi)部工作機制細節(jié)。這些功能運行在操作系統(tǒng)內(nèi)核上，部分功能模塊連接機床各執(zhí)行機構(gòu)的驅(qū)動，實現(xiàn)對執(zhí)行機構(gòu)的控制。5.3.3應(yīng)用軟件、軟件平臺與硬件平臺之間的交互開放式數(shù)控系統(tǒng)的硬件平臺為軟件平臺提供支撐，軟件平臺運行在硬件平臺的計算平臺之上。應(yīng)用軟件根據(jù)功能需求，通過調(diào)用軟件平臺中的應(yīng)用編程接口，實現(xiàn)對中間件功能的調(diào)用。中間件負責(zé)實現(xiàn)開放式數(shù)控系統(tǒng)的基本功能并完成相應(yīng)的處理，最終將處理結(jié)果提供7給應(yīng)用軟件。中間件由操作系統(tǒng)內(nèi)核提供支撐，操作系統(tǒng)內(nèi)核通過對現(xiàn)場總線的訪問和控制，從而實現(xiàn)數(shù)控機床的相應(yīng)加工動作。5.4可信部件的交互可信平臺主板嵌入可信平臺控制模塊，可信平臺控制模塊連接可信平臺主板上的控制器，對輸入輸出接口進行控制?？尚牌脚_控制模塊為可信計算部件中第一個運行的部件，作為可信計算節(jié)點的信任根,可信平臺控制模塊通過內(nèi)置的可信密碼模塊支撐其主動度量和控制功能，并依據(jù)度量結(jié)果進行主動裁決和控制功能?？尚牌脚_控制模塊向可信軟件基提供基礎(chǔ)資源的支撐，可信軟件基通過調(diào)用可信平臺控制模塊的相關(guān)接口，實現(xiàn)對開放式數(shù)控系統(tǒng)的主動度量等功能?？尚胚B接調(diào)用可信軟件基和可信平臺控制模塊提供的完整性度量結(jié)果，以進行相應(yīng)操作。5.5可信部件與計算部件的交互在開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)中，可信部件中的可信平臺控制模塊直接連接開放式數(shù)控系統(tǒng)計算部件中的時序電路，控制開放式數(shù)控系統(tǒng)計算部件中的處理器、芯片組和動態(tài)存儲器等通用設(shè)備的啟動。開放式數(shù)控系統(tǒng)上電后，可信平臺控制模塊應(yīng)先于計算部件啟動，通過靜態(tài)度量確保計算部件中基本輸入/輸出系統(tǒng)（BIOS）的完整性初始可信；在啟動過程中，基于BIOS的可信性，通過靜態(tài)度量功能確保軟件平臺中操作系統(tǒng)內(nèi)核的完整性，只有在度量值與預(yù)存值一致的情況下，才允許開放式數(shù)控系統(tǒng)啟動；啟動成功后，可信平臺控制模塊支撐可信軟件基，通過靜態(tài)度量確保開放式數(shù)控系統(tǒng)軟件平臺的應(yīng)用編程接口及中間件的可信性，只有確保開放式數(shù)控系統(tǒng)的應(yīng)用編程接口及中間件可信后，才允許應(yīng)用軟件運行。應(yīng)用軟件需要獲得認證后，方可運行在開放式數(shù)控系統(tǒng)上?？尚跑浖€需對開放式數(shù)控系統(tǒng)中的應(yīng)用軟件運行過程進行實時的動態(tài)度量，以確保應(yīng)用軟件運行的過程以及結(jié)果與預(yù)期的一致性。6開放式數(shù)控系統(tǒng)安全可信6.1開放式數(shù)控系統(tǒng)本體安全可信開放式數(shù)控系統(tǒng)本體安全可信的構(gòu)成包括安全性和可信性兩個方面。開放式數(shù)控系統(tǒng)本體可信主要涵蓋系統(tǒng)層可信與軟件層可信。在保障本體可信的基礎(chǔ)上，通過可信連接與可信驗證構(gòu)建可信體系，使得各個可信節(jié)點能夠進行可信互操作?？尚判圆糠只诳尚鸥?，通過靜態(tài)度量建立啟動信任鏈，并通過動態(tài)度量確保開放式數(shù)控系統(tǒng)在運行過程中的可信性，從而保障系統(tǒng)本體的可信性。同時，結(jié)合安全防護措施，確保開放式數(shù)控系統(tǒng)中數(shù)據(jù)的保密性和數(shù)據(jù)流通的安全性，并對接入開放式數(shù)控系統(tǒng)的設(shè)備和用戶實施安全防護。86.1.1本體可信6.1.1.1啟動信任鏈啟動信任鏈能夠確保開放式數(shù)控系統(tǒng)的初態(tài)可信。開放式數(shù)控系統(tǒng)通過靜態(tài)度量的方式構(gòu)建啟動信任鏈，其核心思想是逐級度量，目標是評估度量對象的完整性。先啟動的對象需在后啟動的對象之前進行度量，信任鏈向下一級傳遞的先決條件是先啟動對象的完整性度量值與基準值完全一致?？尚牌脚_控制模塊生成可信度量根，作為建立信任鏈的起點，從計算部件的BIOS開始進行度量，并將信任向上傳遞，最終構(gòu)建完整的啟動信任鏈。這一過程確保了開放式數(shù)控系統(tǒng)運行環(huán)境的可信性，并建立了開放式數(shù)控系統(tǒng)的可信身份。從開放式數(shù)控系統(tǒng)開機到操作系統(tǒng)成功啟動的啟動信任鏈建立過程如下：1)開放式數(shù)控系統(tǒng)上電后可信平臺控制模塊應(yīng)先于計算部件啟動；2)可信平臺控制模塊進行主動自檢，確保自身完整性以及能夠?qū)τ嬎悴考臅r序電路進行控制，確保可信后允許計算部件上電，否則停止啟動；3)計算部件上電后可信平臺控制模塊應(yīng)首先靜態(tài)度量開放式數(shù)控系統(tǒng)BIOS的完整性，確保BIOS完整性度量值與基準值一致，否則停止啟動；4)BIOS成功加載后，可信平臺控制模塊通過可信軟件基接口支撐可信軟件基靜態(tài)度量操作系統(tǒng)內(nèi)核，確保操作系統(tǒng)內(nèi)核的完整性度量值與基準值一致，否則停止啟動；5)確保操作系統(tǒng)內(nèi)核可信后，可信軟件基靜態(tài)度量中間件、應(yīng)用編程接口以及應(yīng)用編程接口與中間件映射關(guān)系的完整性，確保中間件、應(yīng)用編程接口以及應(yīng)用編程接口與中間件映射關(guān)系的完整性度量值與基準值一致，保證開放式數(shù)控系統(tǒng)的初態(tài)可信。開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)需要完全遵循上述的信任鏈傳遞過程完成啟動，以確保開放式數(shù)控系統(tǒng)運行環(huán)境的初態(tài)可信。6.1.1.2動態(tài)度量開放式數(shù)控系統(tǒng)可信計算雙體系結(jié)構(gòu)中的動態(tài)度量功能由可信軟件基完成，包含對開放式數(shù)控系統(tǒng)運行環(huán)境的動態(tài)度量以及對應(yīng)用程序進程的動態(tài)度量兩個部分。動態(tài)度量功能應(yīng)優(yōu)先度量實時的應(yīng)用程序進程，以確保加工過程的安全性和可信性。開放式數(shù)控系統(tǒng)啟動后，可信軟件基對系統(tǒng)運行環(huán)境進行實時度量，評估當前開放式數(shù)控系統(tǒng)的可信度，當發(fā)現(xiàn)開放式數(shù)控系統(tǒng)出現(xiàn)安全問題時及時報警，并降低系統(tǒng)可信度，配合其他部件對系統(tǒng)的運行或加工過程進行必要的干預(yù)，如停止開放式數(shù)控系統(tǒng)對數(shù)控機床執(zhí)行機構(gòu)的控制等。在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)對開放式數(shù)控系統(tǒng)調(diào)用的主體、客體以及操作進行可信驗證，并對中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進行可信驗證，并在檢測到其可信性受到破壞時采取措施恢復(fù)。并將驗證結(jié)果形成審計記錄，進行動態(tài)關(guān)聯(lián)感知。在開放式數(shù)控系統(tǒng)中對進程的動態(tài)度量是通過條件觸發(fā)和周期觸發(fā)的方式對應(yīng)用程序運行的各環(huán)節(jié)進行主動度量，監(jiān)控應(yīng)用程序的運行狀態(tài)，通過條件觸發(fā)和周期的方式對軟件平臺中應(yīng)用編程接口、中間件、操作系統(tǒng)內(nèi)核的實時部分等關(guān)鍵信息進行監(jiān)視和度量，并支持異常報警。本項要求包括：1)應(yīng)對開放式數(shù)控系統(tǒng)的運行環(huán)境進行動態(tài)度量，確保開放式數(shù)控系統(tǒng)和運行在開放式數(shù)控系統(tǒng)上的應(yīng)用軟件進程的可信；2)應(yīng)對開放式數(shù)控系統(tǒng)的應(yīng)用程序進行動態(tài)度量，優(yōu)先度量實時任務(wù)確保加工過程的安全可信；3)應(yīng)實時評估系統(tǒng)運行環(huán)境的可信度；4)應(yīng)對開放式數(shù)控系統(tǒng)應(yīng)用程序的運行過程進行記錄，形成可信報告，可進行安全審計和調(diào)查；5)應(yīng)確保系統(tǒng)中使用的加密密鑰被恰當?shù)毓芾?，并只被授?quán)的實體訪問。96.1.2本體安全本體安全是建立在本體可信基礎(chǔ)上的安全，也是對可信的補充，以保障具備雙體系結(jié)構(gòu)開放式數(shù)控系統(tǒng)的安全可信。6.1.2.1數(shù)據(jù)安全采用加解密手段對開放式數(shù)控系統(tǒng)的數(shù)據(jù)進行安全防護，數(shù)據(jù)安全包括數(shù)據(jù)存儲安全以及數(shù)據(jù)傳輸安全。本項要求包括：1)應(yīng)對需要存儲的重要數(shù)據(jù)進行加密保護，保證數(shù)據(jù)存儲的完整性；2)應(yīng)對需要進行傳輸?shù)臄?shù)據(jù)需要進行數(shù)字簽名，保證數(shù)據(jù)的來源可溯；3)應(yīng)對傳輸?shù)臄?shù)據(jù)采用加密處理，對接收的數(shù)據(jù)進行解密并校驗，保證數(shù)據(jù)傳輸過程的完整性，數(shù)據(jù)包括但不限于NC代碼、控制指令、傳感器采集的信息等。6.1.2.2設(shè)備安全對于不具備可信根的設(shè)備，在連接開放式數(shù)控系統(tǒng)時需要對其進行一定的安全要求，開放式數(shù)控系統(tǒng)本身應(yīng)具備相應(yīng)的安全功能。本項要求包括：1)應(yīng)確保每個接入開放式數(shù)控系統(tǒng)設(shè)備身份的唯一性及保密性；2)應(yīng)采用白名單策略，過濾未經(jīng)過驗證授權(quán)的設(shè)備；3)應(yīng)以最小權(quán)限原則對設(shè)備權(quán)限進行分配及管理；4)應(yīng)確保接入開放式數(shù)控系統(tǒng)的設(shè)備對數(shù)控系統(tǒng)的訪問可控；5)應(yīng)記錄每個設(shè)備的對開放式數(shù)控系統(tǒng)的操作信息及其本身的動作信息；6)應(yīng)限制設(shè)備向開放式數(shù)控系統(tǒng)發(fā)起連接請求的次數(shù)；7)應(yīng)能夠?qū)υO(shè)備的時鐘同步頻率進行配置,根據(jù)開放式數(shù)控系統(tǒng)的時鐘信息進行系統(tǒng)時鐘同步；8)應(yīng)確保接入開放式數(shù)控系統(tǒng)的設(shè)備不具備與外界網(wǎng)絡(luò)進行通信的功能。6.1.2.3用戶安全對所有能夠操作系統(tǒng)的用戶都應(yīng)進行嚴格的安全要求，開放式數(shù)控系統(tǒng)也應(yīng)具備相應(yīng)安全功能。本項要求包括：1)應(yīng)識別并驗證每個接入開放式數(shù)控系統(tǒng)用戶的身份；2)應(yīng)確保每個接入開放式數(shù)控系統(tǒng)用戶身份的唯一性及保密性；3)應(yīng)以最小權(quán)限原則對用戶權(quán)限進行分配及管理，并確保用戶不可越級操作；4)應(yīng)記錄每個用戶對開放式數(shù)控系統(tǒng)的操作信息，包括但不限于加工數(shù)據(jù)、NC代碼等；5)應(yīng)對登錄失敗的用戶進行處理，限制其請求次數(shù)。6.2開放式數(shù)控系統(tǒng)互聯(lián)互通安全可信開放式數(shù)控系統(tǒng)互聯(lián)互通安全可信是通過可信手段和安全手段相結(jié)合，從而確保開放式數(shù)控系統(tǒng)之間相互連接相互操作的安全可信。通過可信連接保證開放式數(shù)控系統(tǒng)之間構(gòu)建通信連接的可信性，并通過遠程可信驗證實時保障互操作過程中的可信性；并通過滿足通信安全、設(shè)備安全和用戶安全的要求，對開放式數(shù)控系統(tǒng)之間的互聯(lián)互通進行安全防護。6.2.1互聯(lián)互通可信6.2.1.1可信連接可信連接是開放式數(shù)控系統(tǒng)之間互聯(lián)互通的基礎(chǔ)，必須確保交互節(jié)點雙方身份的可信，包括身份的雙向鑒別以及完整性評估。在進行通信之前，雙方的開放式數(shù)控系統(tǒng)需獲取各自當前的可信狀態(tài)報告，確認雙方的可信身份后，方可建立通信連接。通過這種方式，信任鏈得以擴展到開放式數(shù)控系統(tǒng)之間，從而保障開放式數(shù)控系統(tǒng)可信互聯(lián)互通的基礎(chǔ)。本項要求包括：1)應(yīng)在建立可信連接前確保單個開放式數(shù)控系統(tǒng)自身的身份可信，根據(jù)可信狀態(tài)確定其是否具備發(fā)送可信連接請求的能力；2)應(yīng)對所提供的身份信息進行簽名確保開放式數(shù)控系統(tǒng)身份信息具有唯一性；3)應(yīng)確保雙方均能夠在建立可信連接前提供可以驗證自身可信身份的信息；4)應(yīng)確保在建立可信連接時能夠驗證雙方的可信身份。6.2.1.2遠程可信驗證遠程可信驗證機制建立在可信度量、可信報告和可信連接的基礎(chǔ)之上，利用加密和數(shù)字簽名技術(shù)，確保數(shù)據(jù)供方和數(shù)據(jù)需方的安全狀態(tài)可以被驗證和信任。遠程可信驗證包括實時驗證開放式數(shù)控系統(tǒng)雙方的運行環(huán)境可信性、運行程序可信性，以及驗證雙方所交互的數(shù)據(jù)可信性。雙方需提供相關(guān)證據(jù)，以驗證運行環(huán)境、運行程序及交互數(shù)