基於密碼技術的數控係（xì）統和工業（yè）機器人控製係（xì）統安（ān）全解決方案-機器人-數（shù）控機床市場網

您現在的位置（zhì）：機器人> 技術前沿>基於密碼技術的數控係統和工業機器人控製係統（tǒng）安全解決方（fāng）案

基於密碼技術的數控係統和工業機器人控製係統安（ān）全解決方案（àn）

2021-2-10 來源（yuán）：天津（jīn）大學機械工程學院 .廣州數控設備（bèi）作者：何英（yīng）武梅江平黃紹生陳劍飛

摘要： 通過對數控（kòng）係統和工業機器人係統接入網絡後的安全分析（xī），並提煉兩類控製係統（tǒng）的共性，提出一種基於國產密碼技（jì）術的安全解（jiě）決（jué）方案，方案引入商用密碼技術，並從係（xì）統端的密碼增強設計、係統（tǒng）密碼安全模塊、係統密碼安全配套服務器、係統集成密碼安全防護總體方案等（děng）幾個方麵進（jìn）行闡述，形成一套完整的數控設備信息安全解決方案（àn）。

關鍵詞： 係統；數控係統（tǒng）；機器人；安全；密碼技術

0 引言

近幾年來，“兩化融合”、“製造業升級（jí）轉型”、“工業（yè）互聯網”等戰略全麵推進（jìn），黨和國家對工業互聯網發展極為重視，相關政策頻繁出台，2017 年國務院（yuàn）出台《關於深化“互聯網+先進製造業 ” 發展工業互聯網的指導意見》[1]提出要加快構築工業互聯網，將其成為“製造新基礎（chǔ）”。2018年 12 月（yuè）召開的中（zhōng）央經濟（jì）工作會議重新定義了基礎設施（shī）建設，把 5G、人工智能、工業互（hù）聯網、物聯網定義為（wéi）“新型基礎（chǔ）設施建設”（簡稱“新基（jī）建”）[2]，2020 年（nián） 3 月，中央政（zhèng）治局常委會提出（chū）“加快新型基礎設施的建設”，工業互聯網作為“新基建”的重要組成（chéng）部分，其建設和發展上升到了國家戰（zhàn）略（luè）高度。數控（kòng）係統是數控機床的“大腦”，數控係統存在不可控的漏洞、後門等安全隱患[3]。

機器人係統控製著機器人本體，兩者均是（shì）工業互聯網的重要組成部（bù）分。隨著兩化（huà）融合的深入發展，數控係統和工業機器人係統聯（lián）網已（yǐ）經（jīng）勢在必行，不解決數（shù）控網絡所麵臨的安（ān）全問題，將嚴重製約數（shù）控行業的（de）發展，阻礙我國智能（néng）製造的進程。

1 、數（shù）控係統和工業機（jī）器人係統信息安全現狀

我國數控設備等基礎（chǔ）製造領域的（de）安全形勢不容樂觀（guān）。早期數控設（shè）備沒有從（cóng）產品設計階段引入良好的信息安全機製，硬件、操作係統、數控（kòng）軟件、通訊協議（yì）等模塊缺乏安（ān）全保護措施，特別是數控協議多采（cǎi）用明文方式進行傳輸和 DNC 管理加工代碼。與傳統的信息係統相比，數控係統及其網絡具有的高可靠性、高時敏（mǐn）性、高精確性、高防危性等（děng）特（tè）征，使得數控係統的安全保障麵臨諸多的挑戰。數控係統（tǒng）集成度高、開放性差（chà）、信息安全措施嚴重（chóng）缺失，存在（zài）大量的安全漏洞。

在終（zhōng）端側，傳（chuán）統的數控係統一般采用嵌入式係統（tǒng），各供應商一般都有（yǒu）自己專用或（huò）定製化開發的係統，缺乏統一性，無法安裝（zhuāng）終端防病毒等安全防護（hù）措施，雖然部分新的數控（kòng）係統采（cǎi）用了通用的操作係統，但一般沒有部署終端防病毒和密碼應用等信息安全組件。

在（zài）網絡側，數控設備間通（tōng）信協議一（yī）般采用 Modbus 等通用控製協議或廠（chǎng）商定製化通信協議，這些（xiē）通信協議一般（bān）缺乏數據加密和（hé）身份認證等基本的（de）安（ān）全防護措施。在與（yǔ）服務器（qì）和車間管理係統等進行通信時通常使用 TCP/IP協議，由（yóu）於（yú）網絡中同時存在各種不同操（cāo）作係統平台的設備，也一般沒有對通信協議進行加密。在通信（xìn）數據明文傳輸且缺乏網（wǎng）絡側安全防護（hù）措施的情況下，很容易受（shòu）到各種網絡攻擊的（de）影響。著（zhe）名（míng）的震網病毒[4]使伊朗核設施遭受嚴重破（pò）壞就是（shì）典型的例子。

2、數控係（xì）統和工業機器人係統平台一致性分析

數控係統和工業機器人係統都（dōu）是由控製器單元、伺服單元及人機（jī）交互等外部單元組成（chéng）。數控係統（tǒng）與工業機器人主機（jī）控製單元同樣采用 ARM+DSP+FPGA[5]的多 CPU結構，軟（ruǎn）件功能都包括非實時控製和實時控製。非實時控製由示教盒 HMI 人（rén）機交互模（mó）塊、信息管理模塊、文件管理模塊、通信模塊（kuài）、譯碼（mǎ）處理組成，實時控製模塊由運動控製、PLC 控製、邏輯控（kòng）製、現場總線模塊、擴展通信接口模（mó）塊、工藝（yì）集成（chéng）模塊和輔助控製任務等（děng）組成，如圖 1 所示。

圖1 數控（kòng）係統和工業機器人係（xì）統示意圖

從係統硬（yìng）件結構上分析，數控係統和工業機器人（rén）係統都具備（bèi）用於實現內存管理（lǐ）、運動（dòng）控製、邏輯處理及外部硬件接口等（děng）功能的硬件（jiàn）模塊。從信（xìn）息交互（hù）方（fāng）式分析，數控係統與工業機器人係統都是基於標準或者非標準（zhǔn）的現場總線通訊協議把外（wài）部設備連接起來，控製單元（yuán）形成的插補數據及伺服單元的反饋信息都是通過現（xiàn）場總線模塊實現傳（chuán）輸與交互。隨著工業 4.0[6]的發展，控製係統也由封閉的係統逐步地（dì）往智能化的方向（xiàng）發展。在現代機器人（rén）控製係統體係（xì）中，工業機器人係統與數控係統在係統軟硬件的設計和應用上都已經趨於相同，其僅表現為工藝方法的不一（yī）樣。伴隨著數控係統與工業機器人係統在（zài）軟硬件設計上的（de）模（mó）塊（kuài）化及接口融合，軟件各功能（néng）模塊、通訊解耦也逐步（bù）實現統一融合。同時工業機器（qì）人係統與數控係統需要接入網絡並與多（duō）種設（shè）備互通互聯，兩者的通訊接口、總（zǒng）線控製等（děng）逐漸趨於統一，如圖 2 所示。

圖 2 機器人係統和（hé）數控係統融合（hé）軟件平台設（shè）計

3 、密碼技術

密碼已被（bèi）證明是維護網絡安全的有效、可靠、經濟的（de）技術手段，能夠在網絡空間安全（quán）防護（hù）中發揮重要的（de）基礎支撐作用。密碼技術的核心是按一定的規則對（duì）信（xìn）息進行重新編碼來保證其機密性[7]，我國商用密碼局也自主研（yán）發了一些密碼算法，包括 SM1、SM2、SM3、SM4、SM7、SM9[8]等。密碼是信息安全的底（dǐ）層核心技術，是信息安全的基（jī）因，是支撐構建（jiàn）數控係統安全防護體係（xì）的基石。基於密碼技術的身份鑒（jiàn）別、訪問控製（zhì）、數據加密、可信計算、密文計算、數據脫敏等措（cuò）施，可以實現數控係統安全防護架構的“真實（shí）性、機密性、完整性（xìng）、不（bú）可否認性、限定性（xìng） ”等基本安（ān）全目標，有效解決數控係統的信息安全問題。數控係統應用密（mì）碼技術，構成（chéng）的密碼應用技術體係（xì）由基礎密碼技術、密碼產品、密碼基礎設施、密（mì）碼服務、密碼安全防護有機組成，構成（chéng）了完整的密碼保障應用技術體係。

3.1 數控係統與機器人係統一致化安全（quán）增強設計

在數控（kòng）係統和機器人係統中增加密碼安全模塊（後簡稱密（mì）碼模塊）實現安全（quán）增強，密碼模塊是由基於商用密碼安全模塊所提（tí）供（gòng）的密碼功能為基礎設計（jì）的，是整個係統的密碼功（gōng）能引擎，支撐係統的（de）密碼增強功能應用和設計，是（shì）實現商用密（mì）碼在身份認（rèn）證、權限（xiàn）控製、數據存儲、網絡通信等環（huán）節（jiē）深度（dù）應用的基礎。

依托（tuō）於密碼模塊，基（jī）於數控係（xì）統與機器人係統的係統調用與信息交互（hù）接口的一致（zhì）性，工業（yè）機（jī）器人係統商用密碼（mǎ）安（ān）全增強方式與（yǔ）數控係統安全防護的方式完（wán）全一致（zhì），控製係統的更新升級、關（guān）鍵控製指令安全、安全數據傳輸、加工文件完整性保護，以（yǐ）及（jí）操作人員身份認證鑒別、權限控製等安全功能均可以統一實現，可統一形成集成一致的密碼模（mó）塊，形成（chéng）相同的安全防護（hù）總體方案，如圖3 所示。

圖（tú） 3 數控係統與工業機器人（rén）係統（tǒng）密碼服務統一調度模型

3.2 係統密碼安全模塊

密碼模（mó）塊內置安全芯片（piàn），可支持 SM2、SM3、SM4、SM9等（děng）國密算法及其安全協議，提供安全分（fèn）區、安全（quán）通道、密鑰保護、加解密、簽（qiān）名驗（yàn）簽等功能。硬件方麵，在數控係統設備中集成密碼（mǎ）模塊，粘合業務（wù）邏輯和密碼模塊提供的密碼服務，完成業務流程的密碼（mǎ）安全防（fáng）護。前端控（kòng）製設備（bèi）中（zhōng），安全（quán）模塊以插卡（kǎ）或板載焊接的形態安裝到數控係（xì）統的（de）板子上，在（zài）數控設備環境中需要整合密（mì）碼模塊配套的代（dài）理程序，業務應（yīng）用軟件（jiàn）隻需要通過訪問（wèn）代理的（de）接口完成（chéng）與密碼模塊的交互，實現安全功能。

軟件方麵，將密碼模塊軟件（後簡（jiǎn）稱（chēng）軟（ruǎn）密碼模塊）封

裝成庫形（xíng）式，基於白盒和協同計算（suàn）保護機製，可有效抵抗攻擊。軟密碼模塊包括密碼算法核、密碼計算、密碼安全功能部分，對外提（tí）供密碼（mǎ）功能服務接口和密碼安（ān）全管理（lǐ）接口（kǒu）。軟（ruǎn）密碼模（mó）塊集成 SM2/3/4/9 密碼算法，提（tí）供加密（mì）、解密、簽名、驗證、MAC 碼（mǎ）等基本密碼計算功能。同時模塊提供安全分區控製，內部集成隔離防火牆，提供多種安（ān）全（quán）通道機製，提供密鑰配（pèi）置管理功能。

3.3 係統密碼安全（quán）配（pèi）套服務器

（1）安（ān）全管理服務器。安全管理服務器通過和設備、應用中的安全模塊，實現對設備和應用密碼安全的預配置、密鑰等敏感數據個人化，設備和應用的安全生命周期管理，設備和應用安全狀態監測。

（2）密碼計算服務器。密碼計算服務器部署在數控係後台，為數（shù）控係統後台服務器提供托管的密碼計（jì）算功能，包括加密、解密、簽名、驗證、MAC 校驗碼等。

（3）用戶（hù）安全管理服務器。用戶安全管理服務器實現（xiàn）用（yòng）戶認證信息錄入、用戶身份憑證（zhèng）證書生成，用戶身份（fèn）信息和 U 盾關聯、用戶身份憑證寫入，U 盾設備注冊、發放（fàng）、回收管理。

3.4 係統集（jí）成密碼安（ān）全防護總體（tǐ）方案

基於數控係統（tǒng）與機器人（rén）係統一致化處理及密碼模塊的功能特性，在數控係統中集成密（mì）碼安全（quán）防護是一種（zhǒng）內生（shēng）密碼應用方案，需（xū）要在數控係統設計階段，同步設計由密碼安全應用服務器、多種密碼產品構成（chéng）的密碼安全子係（xì）統及其安全功能流程。數控係統密碼應用技術方案的整體框架如圖 4 所示。

圖 4 數控係統密碼應用技（jì）術方案整體框（kuàng）架

遵循統一的（de）密碼設備管理（lǐ）、統一的密碼服務接口、統一的密鑰管理規範、統一的密鑰全生命周期管理的原則、數控係統（tǒng）集成密碼安全防護的總體方案確立數控係統的被加密對象為 NC 文件、係統及設備屬性（xìng）信息、係統及設備（bèi）狀（zhuàng）態信息（xī）三大類，分別從人機交互、數據存（cún）儲、信（xìn）息傳輸等操作層麵完成數控係統的身份認證，用戶權限、信息加解密等密碼應（yīng）用。總體（tǐ）的安全防護網絡如圖 5 所示。

圖 5 增加了（le）密碼技術的自動化產線網絡拓（tuò）撲圖

4 、結語

本文結合密（mì）碼技術，提煉數控係統（tǒng）和工業機器人係統的共性，適時提出了一種運用商用密碼技術進行數（shù）控係統和工（gōng）業機器人係統的密碼增（zēng）強方案，用於實現數控設備接（jiē）入（rù）網絡後的信息安全防護，用以解決當前數控設備特別是國產數控設備缺加密、無防護、少（shǎo）認證、弱授權的安全現狀，為（wéi）當前工業 4.0 網絡化、數控設備互聯（lián）互通等信息安全提供支撐。

投稿箱：
如果您有機床行業、企（qǐ）業相關新聞稿件發表，或進行資（zī）訊合作，歡（huān）迎聯係本網編輯部，郵箱：skjcsc@vip.sina.com

更（gèng）多相關信（xìn）息

名企推薦

業界視點（diǎn）

| 更多（duō）

行業數據

| 更多

博文選萃

| 更（gèng）多

數（shù）控機（jī）床