何英武， 梅江平， 黄绍生， 陈剑飞

（1.天津大学 机械工程学院， 天津 300354； 2.广州数控设备有限公司， 广东 广州 510535）

0 引言

近几年来，“两化融合”、“制造业升级转型”、“工业互联网”等战略全面推进，党和国家对工业互联网发展极为重视，相关政策频繁出台，2017 年国务院出台《关于深化“互联网+先进制造业” 发展工业互联网的指导意见》[1]提出要加快构筑工业互联网，将其成为“制造新基础”。2018年12 月召开的中央经济工作会议重新定义了基础设施建设，把5G、人工智能、工业互联网、物联网定义为“新型基础设施建设”（简称“新基建”）[2]，2020 年3 月，中央政治局常委会提出“加快新型基础设施的建设”，工业互联网作为“新基建”的重要组成部分，其建设和发展上升到了国家战略高度。数控系统是数控机床的“大脑”，数控系统存在不可控的漏洞、后门等安全隐患[3]。 机器人系统控制着机器人本体，两者均是工业互联网的重要组成部分。随着两化融合的深入发展， 数控系统和工业机器人系统联网已经势在必行，不解决数控网络所面临的安全问题，将严重制约数控行业的发展，阻碍我国智能制造的进程。

1 数控系统和工业机器人系统信息安全现状

我国数控设备等基础制造领域的安全形势不容乐观。 早期数控设备没有从产品设计阶段引入良好的信息安全机制，硬件、操作系统、数控软件、通讯协议等模块缺乏安全保护措施， 特别是数控协议多采用明文方式进行传输和DNC 管理加工代码。 与传统的信息系统相比，数控系统及其网络具有的高可靠性、高时敏性、高精确性、高防危性等特征， 使得数控系统的安全保障面临诸多的挑战。 数控系统集成度高、开放性差、信息安全措施严重缺失，存在大量的安全漏洞。

在终端侧，传统的数控系统一般采用嵌入式系统，各供应商一般都有自己专用或定制化开发的系统， 缺乏统一性，无法安装终端防病毒等安全防护措施，虽然部分新的数控系统采用了通用的操作系统， 但一般没有部署终端防病毒和密码应用等信息安全组件。

在网络侧，数控设备间通信协议一般采用Modbus 等通用控制协议或厂商定制化通信协议， 这些通信协议一般缺乏数据加密和身份认证等基本的安全防护措施。 在与服务器和车间管理系统等进行通信时通常使用TCP/IP协议， 由于网络中同时存在各种不同操作系统平台的设备，也一般没有对通信协议进行加密。在通信数据明文传输且缺乏网络侧安全防护措施的情况下， 很容易受到各种网络攻击的影响。著名的震网病毒[4]使伊朗核设施遭受严重破坏就是典型的例子。

2 数控系统和工业机器人系统平台一致性分析

数控系统和工业机器人系统都是由控制器单元、伺服单元及人机交互等外部单元组成。 数控系统与工业机器人主机控制单元同样采用ARM+DSP+FPGA[5]的多CPU结构，软件功能都包括非实时控制和实时控制。非实时控制由示教盒HMI 人机交互模块、信息管理模块、文件管理模块、通信模块、译码处理组成，实时控制模块由运动控制、PLC 控制、逻辑控制、现场总线模块、扩展通信接口模块、工艺集成模块和辅助控制任务等组成，如图1 所示。

图1 数控系统和工业机器人系统示意图

从系统硬件结构上分析， 数控系统和工业机器人系统都具备用于实现内存管理、运动控制、逻辑处理及外部硬件接口等功能的硬件模块。从信息交互方式分析，数控系统与工业机器人系统都是基于标准或者非标准的现场总线通讯协议把外部设备连接起来， 控制单元形成的插补数据及伺服单元的反馈信息都是通过现场总线模块实现传输与交互。

随着工业4.0[6]的发展，控制系统也由封闭的系统逐步地往智能化的方向发展。 在现代机器人控制系统体系中，工业机器人系统与数控系统在系统软硬件的设计和应用上都已经趋于相同，其仅表现为工艺方法的不一样。 伴随着数控系统与工业机器人系统在软硬件设计上的模块化及接口融合， 软件各功能模块、 通讯解耦也逐步实现统一融合。 同时工业机器人系统与数控系统需要接入网络并与多种设备互通互联，两者的通讯接口、总线控制等逐渐趋于统一，如图2 所示。

3 密码技术

密码已被证明是维护网络安全的有效、可靠、经济的技术手段，能够在网络空间安全防护中发挥重要的基础支撑作用。密码技术的核心是按一定的规则对信息进行重新编码来保证其机密性[7]，我国商用密码局也自主研发了一些密码算法，包括SM1、SM2、SM3、SM4、SM7、SM9[8]等。

密码是信息安全的底层核心技术， 是信息安全的基因，是支撑构建数控系统安全防护体系的基石。 基于密码技术的身份鉴别、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施，可以实现数控系统安全防护架构的“真实性、机密性、完整性、不可否认性、限定性”等基本安全目标，有效解决数控系统的信息安全问题。 数控系统应用密码技术，构成的密码应用技术体系由基础密码技术、密码产品、密码基础设施、密码服务、密码安全防护有机组成，构成了完整的密码保障应用技术体系。

3.1 数控系统与机器人系统一致化安全增强设计

在数控系统和机器人系统中增加密码安全模块 （后简称密码模块）实现安全增强，密码模块是由基于商用密码安全模块所提供的密码功能为基础设计的， 是整个系统的密码功能引擎， 支撑系统的密码增强功能应用和设计，是实现商用密码在身份认证、权限控制、数据存储、网络通信等环节深度应用的基础。

依托于密码模块， 基于数控系统与机器人系统的系统调用与信息交互接口的一致性， 工业机器人系统商用密码安全增强方式与数控系统安全防护的方式完全一致，控制系统的更新升级、关键控制指令安全、安全数据传输、 加工文件完整性保护， 以及操作人员身份认证鉴别、权限控制等安全功能均可以统一实现，可统一形成集成一致的密码模块，形成相同的安全防护总体方案，如图3 所示。

3.2 系统密码安全模块

图2 机器人系统和数控系统融合软件平台设计

图3 数控系统与工业机器人系统密码服务统一调度模型

密码模块内置安全芯片，可支持SM2、SM3、SM4、SM9等国密算法及其安全协议，提供安全分区、安全通道、密钥保护、加解密、签名验签等功能。硬件方面， 在数控系统设备中集成密码模块， 粘合业务逻辑和密码模块提供的密码服务，完成业务流程的密码安全防护。 前端控制设备中，安全模块以插卡或板载焊接的形态安装到数控系统的板子上， 在数控设备环境中需要整合密码模块配套的代理程序， 业务应用软件只需要通过访问代理的接口完成与密码模块的交互，实现安全功能。

软件方面，将密码模块软件（后简称软密码模块）封装成库形式，基于白盒和协同计算保护机制，可有效抵抗攻击。 软密码模块包括密码算法核、密码计算、密码安全功能部分， 对外提供密码功能服务接口和密码安全管理接口。软密码模块集成SM2/3/4/9 密码算法，提供加密、解密、签名、验证、MAC 码等基本密码计算功能。 同时模块提供安全分区控制，内部集成隔离防火墙，提供多种安全通道机制，提供密钥配置管理功能。

3.3 系统密码安全配套服务器

（1）安全管理服务器。 安全管理服务器通过和设备、应用中的安全模块， 实现对设备和应用密码安全的预配置、密钥等敏感数据个人化，设备和应用的安全生命周期管理，设备和应用安全状态监测。

（2）密码计算服务器。密码计算服务器部署在数控系统后台， 为数控系统后台服务器提供托管的密码计算功能，包括加密、解密、签名、验证、MAC 校验码等。

（3）用户安全管理服务器。用户安全管理服务器实现用户认证信息录入、用户身份凭证证书生成，用户身份信息和U 盾关联、用户身份凭证写入，U 盾设备注册、发放、回收管理。

3.4 系统集成密码安全防护总体方案

基于数控系统与机器人系统一致化处理及密码模块的功能特性， 在数控系统中集成密码安全防护是一种内生密码应用方案，需要在数控系统设计阶段，同步设计由密码安全应用服务器、 多种密码产品构成的密码安全子系统及其安全功能流程。 数控系统密码应用技术方案的整体框架如图4 所示。

图4 数控系统密码应用技术方案整体框架

遵循统一的密码设备管理、统一的密码服务接口、统一的密钥管理规范、统一的密钥全生命周期管理的原则，数控系统集成密码安全防护的总体方案确立数控系统的被加密对象为NC 文件、系统及设备属性信息、系统及设备状态信息三大类，分别从人机交互、数据存储、信息传输等操作层面完成数控系统的身份认证，用户权限、信息加解密等密码应用。 总体的安全防护网络如图5 所示。

图5 增加了密码技术的自动化产线网络拓扑图

4 结语

本文结合密码技术， 提炼数控系统和工业机器人系统的共性， 适时提出了一种运用商用密码技术进行数控系统和工业机器人系统的密码增强方案， 用于实现数控设备接入网络后的信息安全防护， 用以解决当前数控设备特别是国产数控设备缺加密、无防护、少认证、弱授权的安全现状，为当前工业4.0 网络化、数控设备互联互通等信息安全提供支撑。