NIST IR 8356 数字孪生技术的安全和信任考虑

NIST内部报告                                          NIST IR 8356

数字孪生技术的安全和信任考虑

杰弗里·沃斯

彼得·梅尔

菲利普·拉普兰特

计算机安全部门信息技术实验室

瓦尔坦·皮鲁米安

独立顾问

本出版物可从以下网站免费获取：https://doi.org/10.6028/NIST.IR.8356 

2025年2月

编译：老烦的草根安全观

2025年2月

目录

1.导言3

2.数字孪生的定义4

3.动机和愿景5

3.1. 数字孪生技术的优势6

3.2. 对标准的期望6

3.3. 支持性技术7

4. 操作数字孪生8

4.1. 数字孪生的定义和数字孪生实例的创建8

4.2. 数字孪生定义和实例的操纵和修改10

4.3. 数字孪生定义和实例的交换10

5.数字孪生的使用场景10

5.1. 查看数字孪生的静态模型11

5.2. 数字孪生动态模型的执行与查看11

5.3. 现实世界实体的实时监控13

5.4. 现实世界实体的实时指挥与控制13

6.突出显示的用例14

7.网络安全考虑因素14

7.1. 新的网络安全挑战15

7.1.1. 对象的大规模仪器15

7.1.2. 物体测量的集中化16

7.1.3. 对象操作的可视化与表示16

7.1.4. 对象的远程控制16

7.1.5. 允许通用访问和控制的数字孪生定义标准17

7.2. 传统网络安全挑战和工具17

8.信任考量18

9.结论22

参考24

附录A. 符号、缩写和首字母缩略词列表27

附录B.术语表28

1.导言

数字孪生（DT）是现实世界实体的电子表示；提供评估该实体的能力。数字孪生可以模拟物理事物（如建筑物、电子设备、生物）和非物理事物（例如过程、概念模型）。与许多新的信息技术一样，数字孪生技术采用了现有的基础技术，并可能反映了现有的能力。它涵盖了目前建模和仿真中存在的内容，但为未来的能力提供了更广阔的视野。数字孪生技术的全部好处将需要可互操作的定义、工具和标准，以及尽早考虑数字孪生网络安全和信任。对于寻求定义和构建技术的新兴标准工作来说，这种情况尤其如此。

本报告介绍了数字孪生的概念，描述了底层技术，并通过讨论关键组件、功能以及网络安全和信任考虑因素，扩展了其当前的能力。它的目的不是定义“数字孪生”——这项活动应由SDO承担。然而，“数字孪生”的任何定义都应该解决本文提供的一系列技术考虑因素。这些技术考虑也可用于测试任何SDO创建的任何定义。

本报告的结构如下：

第2节定义了数字孪生技术。

第3节描述了使用数字孪生技术的动机，包括优势和支持技术。

第4节讨论了对数字孪生进行的典型操作。

第5节描述了数字孪生的技术使用场景。

第6节提供了数字孪生技术的行业应用示例。

第7节通过识别和探索传统的网络安全需求、新的网络安全挑战以及适用于数字孪生技术的方法，探讨了现有NIST指导下的网络安全考虑因素。

第8节讨论了信任问题，这些问题可能会阻止数字孪生在现有NIST指导的背景下提供可接受的质量水平的所需操作功能。

第9节提供了结论性意见。

2.数字孪生的定义

数字孪生有几个现有的定义。有些是由研究人员、标准委员会、联盟和行业创建的。其他一些则是由商业企业暗示的，这些企业声明他们的软件应用程序如何“符合数字孪生”。尽管有这些定义，但对于数字孪生的全部潜力还没有达成一致的定义或共识[1]。

数字孪生联盟（DTC）为数字孪生提供了以下描述：

数字孪生是以指定频率和保真度同步的现实世界实体和过程的虚拟表示。

数字孪生系统通过加速整体理解、优化决策和有效行动来改变业务。

数字孪生使用实时和历史数据来表示过去和现在，并模拟预测的未来。

数字孪生以结果为动力，根据用例量身定制，以集成为动力，以数据为基础，以领域知识为指导，并在IT/OT系统中实施[1]。

数字孪生的简化定义 可以是：

数字孪生是物理或感知的现实世界实体、概念或概念的虚拟（即数字）表示。

使用“虚拟”一词是恰当的，因为数字孪生是具有特定效果但不是实际形式的东西。DT软件实现通过对象的DT向人类用户呈现对象的视觉图形表示，无论是静态的还是动态的。

一个相关的重要术语是数字孪生定义：

数字孪生定义是一种机器可读的规范，描述了可以为特定类型的现实世界实体建模的特征。

因此，数字孪生定义是指特定类型的实体，而不是特定实体本身。它定义了可以静态和动态建模的实体类型的特征，这些特征将如何进行数字编码和表示，以及它们将如何在数字计算机环境中持久存在。计算机软件应用程序将读取数字孪生定义以创建数字孪生实例（或简称为数字孪生），这些实例是对所表示对象的状态进行建模的现实世界对象的实例化。

虽然这些现实世界中的许多实体都有物理形式（例如，飞机发动机、石油井架、输油管道泵站中的阀门），但数字孪生也可以代表抽象的东西。DTC定义包含“过程”一词，这是一个抽象的概念，简化的定义讨论了可能在没有物理形式的情况下被感知或构思的实体。例如，计算机操作系统中的过程是真实的，即使它没有具体的或物理的形状。它是多种无形事物的集合，如电信号、包含电压和电流电平的寄存器状态以及存储器的电状态。无论是静态还是动态查看，计算机程序都是真实的，人们可以清楚地观察到它对其他对象的影响。

业务流程是抽象概念的另一个例子，它是真实的，但没有物质形式。事实上，一些软件将数字孪生定义为业务流程的表示。数字孪生甚至可以描述制造过程中的步骤，或模拟工厂或化工厂特定过程的动态执行方面，如炼油或核燃料生产。简而言之，数字孪生可以代表人类可以想象或感知的任何东西，无论是身体上的还是非身体上的。

3.动机和愿景

数字孪生技术的元素早已存在于表示实体和模拟动态行为的计算机和软件中。现在，许多底层技术的成熟使得以数字表示的形式广泛应用仿真和建模成为可能，并使该技术能够被更广泛的用户群所使用。物联网（IoT）导致了小型、低成本、电池供电的传感器的出现，这些传感器通过网络连接，并能够将大量传感器部署到各种各样的物体上（例如，现代建筑可能有数千个传感器）。然后，这些传感器提供信息，可以馈送和维护这些物体的复杂模型。强大但低成本的处理和存储技术的进步使我们能够维护、查看和操作这些数字副本，而无需使用专用或昂贵的硬件。虚拟现实（VR）和增强现实（AR）的最新进展使数字双胞胎的可视化变得廉价。

数字孪生技术也是对现有模拟和建模的进步，因为它允许实时监控实体，同时动态更新其数字孪生。还有一种趋势是通过操纵动态模型（即数字双胞胎）来远程控制物理实体，而不是直接操纵对象本身。这种控制更为间接，并抽象出人类可能无法管理的细节。

标准的发展可能会影响数字孪生技术是否得到广泛应用。大多数物联网系统、仿真和建模软件以及VR和AR系统目前都存在于烟囱式专有系统中，集成它们需要大量的工作。新兴数字孪生技术的大部分工作都是创建协议和标准，以实现即插即用集成。目标是能够将任何数字孪生计算机文件加载到数字孪生系统中，并使其运行，而不管建模的是什么。

3.1. 数字孪生技术的优势

支持创建现实世界对象的数字模型的平台或机制是有利的，原因有几个。例如，可以在构建真实世界版本之前通过其模型研究对象，在对象的生命周期中研究对象，并可以想象通过模型控制对象，以防止对象出现不良结果，从而降低某些类型的风险。

当对需要协同工作的多个对象进行建模时，即使这些对象由不同的组织维护，这种优势也会增加。如果合作实体可以共享数字孪生定义，那么它们就可以在实现输出产品之前更容易地对对象交互进行建模和数字模拟。然而，每个软件应用程序建模的对象的内部定义和表示往往是高度专有的。当今应用程序创建的数字工件不容易共享，因此应用程序无法互操作。

3.2. 对标准的期望

采用和遵守标准可以确保互操作性、兼容性、安全和网络安全性。此外，软件和硬件系统、工具和应用程序遵守并正确实施标准的保证会产生可信度和信任[3]。正在努力制定数字孪生特定标准，这些标准将在现有的各种信息和通信技术标准之外使用。

数字孪生技术将建立在现有的计算系统堆栈、平台架构、编程平台、系统、库、应用程序编程接口（API）和基础设施之上。例如，OpenGL是一种可能的3D图形标准，用于渲染数字孪生的视觉表示组件。虽然将利用现有的网络安全加密标准，但需要针对数字孪生技术的多种合作（或竞争）标准。单一标准可能无法充分满足所有需求，标准协调或混合可能是合适的[4]。工具供应商、软件和硬件应用程序供应商以及用户可以通过确保只使用经过审查的元素来遵守标准，这也应该导致工具和应用程序的互操作性。

建立数字孪生技术标准的一种方法是关注交换信息的标准机制，例如现实世界对象的表示。模拟对象动态行为的算法可以保留专有权以保护知识产权，但被模拟行为的对象的描述可以标准化和开放，以便在应用程序、领域、行业和垂直市场之间交换。在仿真和建模领域，有许多复杂的软件工具和应用程序支持2D和3D建模和工程分析。这些应用程序中的每一个都使用专有的内部模型来表示被建模的对象（即用户创建的对象）。他们还使用专有且经常受到严密保护的算法，这些算法代表了建模和仿真的功能能力。

潜在的标准需要涵盖每个涉及的业务领域。在特定业务领域使用数字孪生技术的每个人都需要自己独特的标准和基于标准的产品，这些产品符合一套通用的业务流程和用例，可以实现互操作性。标准仅仅在纯技术领域实现互操作性是不够的。

3.3. 支持性技术

支持最近对数字孪生技术的兴趣的两种支持技术是VR/AR和物联网。数字孪生技术的一个期望是利用VR和AR为人类创建增强的用户界面和用户体验，以理解复杂实体的建模、仿真、监控和指挥控制。人类严重依赖视觉感官输入，VR和AR有望通过一种易于人类消费和理解的媒介来呈现现实世界实体的模型。

由于传感器的最新进展及其在各种操作中的持续和急剧扩散，物联网在数字孪生讨论和文献中得到了引用。这些传感器通常是网络连接的，并推动数字孪生以直到最近才可能的方式对现实世界的物体进行建模。此外，物联网设备通常用于创建由被观察实体、观察和收集信息的传感器、连接元件、处理组件（即后端计算服务器）和使用处理后的物联网数据的组件组成的信息结构或“网络”。随着这些新传感器部署在物联网结构上，数字孪生可以表示并动态维护仪器对象实例的表示[5]。

因此，数字孪生的应用不仅仅是对一类现实世界实体进行建模。它还可以用于表示和跟踪特定对象，维护实时状态，并向用户呈现动态更新的视图。通过对物体状态的准确理解，用户还可以操纵数字孪生来控制实际物体，这意味着DT技术可以超越传统的建模和仿真软件，涵盖指挥和控制。例如，运营商可以从运营中心远程指挥地面铁路或地铁列车。

根据对象的不同，监视对象状态的系统可能需要了解状态的变化率。例如，监测速度变化率的系统可能需要检测何时超过安全操作的边界。为此，人工智能（AI）和机器学习（ML）可能会超越传统的计算方法以及监控条件和做出预测的人类。科学家和工程师可以创建现实世界条件的模型，并利用它们来训练人工智能系统识别这些条件。这种用于仿真、建模和监控的应用是推进数字孪生技术的主要动力。

4. 操作数字孪生

本节讨论了在数字孪生上执行的几个低级操作：

数字孪生定义（即对象类型的描述）和数字孪生实例的创建

操纵和修改数字孪生定义和实例

通过电子通信交换数字孪生定义和实例

可以预见，将有许多描述多种实体的数字孪生定义。本节还讨论了数字孪生的操作， 这是根据数字孪生定义创建的特定实例。

4.1. 数字孪生的定义和数字孪生实例的创建

数字孪生定义是对数字孪生所代表的现实世界实体的正式描述。就本报告而言，将正式描述视为对特定类别或级别的现实世界对象的技术定义。

所有涉及数字孪生技术的活动的起点都是创建或找到一个数字孪生定义，该定义表示要虚拟表示的现实世界对象的类型。然后，计算机软件应用程序用于创建该定义的实例，以保存和/或维护所表示对象的状态。这些数字孪生电子实例可以表示与其各自的数字孪生定义相对应的现实世界实体的静态和动态模型。

为某些对象类型创建的特定数字孪生定义将决定从定义中实例化的工件的精确组成。例如，数字孪生定义不需要包括其现实世界对应物的动态视图。相反，它可能只包括对象的静态视图。因此，并非所有数字孪生定义都必然包含某些未来标准中定义的所有可能的声明或定义构造。同样，并非所有超文本标记语言（HTML）文件都使用HTML标准定义的所有标签[6]。如果特定的数字孪生定义只支持表示实体的静态模型，则相关实例将不包含动态信息，例如如何渲染动画、视频或动态图形。例如，考虑一艘海军舰艇的VR演示。静态视图可以表示通过VR看到的船的内部元素，就像一个人在船上行走一样。VR技术比3D PDF视图更适合这种应用。后者将包括相当于建筑师蓝图的详细工程图纸。然而，很难呈现一个人在船内行走时所看到的景象。

数字孪生定义应该创建它所代表的对象的模型，而不仅仅是特定的视图。然后，该模型可用于呈现现实世界实体的所需视点。一个定义可以根据作者的需要包含尽可能多或尽可能少的关于其现实世界对应物的信息，这可能会限制可以创建的视图类型。数字孪生定义的作者决定了广度、范围、粒度和细节。

一个实际的考虑因素是数字孪生定义的创作和编码过程。虽然可以使用文本编辑器编写定义，但这种做法可能会被更高级的工具所取代。这类似于不再有多少人手动编写HTML或XML[7]。此外，数字孪生定义的复杂性可能会完全排除手工定义的能力。许多行业使用复杂的软件应用程序来创建代表他们计划构建的数字工件。其中一些软件应用程序支持以标准文件格式和编码（如3D PDF标准）“导出”其工件[8]。然而，这些应用程序中的大多数都使用自己的专有文件格式和编码来定义、捕获和持久化它们创建的模型、图形和各种工件。

与现有的商业应用程序一样，任何未来的数字孪生标准都应该包括一种描述和定义数字孪生的语言，包括形式语法、语法和语义。它必须足够全面，以支持工件的定义，以表示数字孪生可以表示的任何任意现实世界实体[5]。最有可能的是，一个标准将容纳静态和动态2D、3D、VR和AR模型的创建，以便向人类用户进行视觉呈现。它还可以适应用于机器而非人类消费的演示形式的创建、操作和持久化。

4.2. 数字孪生定义和实例的操纵和修改

数字孪生定义可能会从库中获得，以便软件应用程序重用。软件可以执行数字孪生定义，以创建与现实世界对象链接的特定实例化。软件可以读取和修改数字孪生定义及其实例化，这将允许建模、仿真、监控和其他应用程序。

行业可以开发数字孪生编辑工具和集成开发环境（IDE），以测试静态和动态操作。这些工具将能够读取数字孪生定义语言及其文件格式、编码、语法、句法和语义，以支持人类用户对其进行审查或修改。

4.3. 数字孪生定义和实例的交换

数字孪生定义和对象实例只是可用于读取、写入、执行和一般操作的计算机文件或文件集合。它们可以发送给收件人进行实例化，类似于共享3D打印机文件以使多人创建同一对象的方式。共享这些文件的力量在于它们遵循一个标准。由于当前系统使用专有格式，因此需要为数字孪生技术制定此类标准，以利用这一优势。

5.数字孪生的使用场景

数字孪生技术的安全和信任考虑本节描述了可能代表数字孪生技术在实践中的主要一般使用类别的场景。下面列出的大类代表了数字孪生的主要功能（即数字孪生与它们所代表的现实世界对象交互的方式）：

查看静态模型

执行和查看动态仿真模型

实时监控现实世界中的实体

对现实世界实体的实时指挥和控制

在上述任何一个类别中，实际上都有无限数量的应用程序。例如，监控运行中的汽车发动机的软件应用程序可以使用数字孪生来表示一个或多个子系统，这将属于上述“实时监控现实世界实体”类别。然而，该应用程序的目的是监测、检测和报告发动机运行中检测到的任何故障。

5.1. 查看数字孪生的静态模型

静态数字孪生并不能描述其对应的现实世界实体的行为[11]。这种类型的视图呈现了一个真实世界孪生的不变模型，无论真实世界实体的性质如何，也不管该实体如何随时间变化。现实世界的实体甚至可能还不存在，因为它会在对象的初始设计过程中出现。这样的模型只适用于在某个时间点检查对象的性质。例如，计算机数控（CNC）铣床使用静态3D模型来描述要铣削的物体。在航空航天工业中，设计师或建模师首先创建他们所设计的组件或实体的实体模型。这些包括部件的静态2D或3D视图，例如飞机机翼或尾翼（即尾部组件）。建筑建筑师通常使用各种二维视图（如场地平面图、楼层平面图和立面图）创建要建造的房屋的图纸。虽然建筑师可以采用创建3D视图的做法，但它们将更难阅读，对建筑承包商来说用处不大。

相应数字孪生定义的创建者将定义一个支持某些静态表示的模型，实例化将提供模型中可用表示的子集。例如，数字孪生定义可以允许3D建模信息，但实例化可能只提供2D信息，将其呈现限制为2D。

5.2. 数字孪生动态模型的执行与查看

人类用户可以执行数字孪生实例来模拟对象随时间的变化查看对象的动态变化。该对象可能存在，也可能尚未存在。动态模型呈现了现实世界实体或对象的操作或动态行为的模拟，它描述了对象如何通过一个或多个指标进行测量而变化，这些指标表示对象的一个或更多个方面或特征[12]。例如，图形的视觉更新可以显示过山车的轨迹如何随着风荷载施加的力而弯曲，地震期间建筑物的动态响应，或者飞机的机翼在飞行中不断变化的荷载下如何摆动或弯曲。想要了解铣削块在以一定速度加热时延展性、延展性或抗拉强度随时间变化的工程师需要一个包含热力学、机械工程和材料工程知识的动态模型。也就是说，动态模型显示的不仅仅是物体的静态尺寸、形状、材料或密度。

视觉呈现可以使用多种方法以人类可理解的格式生成信息。选择由模型作者自行决定。例如，飞行中机翼的视觉呈现可以包括使用各种颜色来显示施加力时沿机翼表面积的应力变化。然而，执行模拟的应用程序可能不需要视觉图形用户界面。模拟的结果可以是显示在用户控制台上的数字表，也可以写入文件。这些数字可以根据适当的度量表示对象某些方面的变化，这可能不便于用户使用，但仍然是模型的呈现。

数字孪生技术可能支持的各种类型的动态模拟演示可分为：

在仿真运行期间实时或近乎实时地呈现仿真（即执行动态仿真模型）

本地播放之前录制的模拟运行

动态模拟运行的流媒体

下载并本地播放之前录制的模拟运行

命令式和声明式编程范式对于将使用数字孪生技术的软件应用程序都很重要。想想MIT X Window System， 它代表了显示图形的命令式编程范式[15]。应用程序调用X库例程和基于古老的Xlib和Xt X Window System库构建的图形工具包例程。这些调用绘制图形，X显示服务器在图形显示器上渲染视觉图形[16]。

在声明式编程范式中，编码的信息指示要显示什么，而不是如何显示[17]。没有强制调用来执行显示图形的步骤。HTML是声明式编程范式的一个例子。HTML文件表示要显示什么的指令，而不是如何显示它。因此，没有像X Window系统库中例程的程序调用那样显示内容的命令。

表示基于数字孪生的动态模拟的流式传输或下载内容可以由预捕获的视频组成，例如MPEG编码的视频。在这种情况下，数字孪生应用软件可能会从模拟运行中创建标准视频。或者，数字孪生应用软件可以创建声明式内容，由接收内容的客户端解析、理解和操纵以供显示。从架构的角度来看，这可能看起来像HTML。内容将由声明性构造的组合组成，包括一些指向其他内容的构造，如预先录制的视频，甚至是命令式的可执行代码。今天的网页包含下载和运行代码的指令，如JavaScript程序。

5.3. 现实世界实体的实时监控

监控真实物体的状态或条件与模拟有着根本的不同。监控收集实际现实世界实体的信息，通常是实时或近乎实时的，以创建动态更新的数字副本，并使不同工具能够通过标准进行互操作，以查看和操作数字副本[19]。

通过监控，物体上的传感器将数据发送到维护该物体模型的数字孪生实例。该系统可以是本地或远程的，使用有线或无线连接，并采用任何数量的传输介质技术和协议（例如，卫星具有执行地面成像的传感器）。传感器收集的数据可以传输到向用户呈现3D图形、VR或AR体验的应用程序，或者旨在供另一个计算机程序使用的数据。然后，用户可以查看和检查模型，甚至对所表示的对象运行虚拟测试。例如，VR功能可以使航空公司的机械师在飞行过程中查看发动机的运行情况。

5.4. 现实世界实体的实时指挥与控制

与现实世界对象的实时链接允许通过数字孪生实例进行命令和控制。指挥和控制系统需要双向链路，以及必须以实例所基于的数字孪生定义编码的信息传输。该实例可以提供对象的模型，该模型用来自传感器的信息不断更新，并将该模型呈现给用户（即人类和其他计算机系统）。然后，用户可以对对象模型进行高级修改，实例将其转换为特定的详细命令，以实现所需的最终状态。可能需要人工智能和机器学习来实现这一点，例如一辆自动驾驶汽车，它从人类那里接收目的地，但处理实际的导航和转向命令。

数字孪生标准可以实现工具和格式之间的互操作性，以实现指挥和控制。例如，应用程序可能不需要使用专有方案来定义和控制对象以及表示模型、视图和其他方面，如语义、语法、文件格式和工具。

6.突出显示的用例

数字孪生技术的安全性和信任考虑以下示例应用程序来自已经在探索和使用数字孪生技术的行业。它们将为第7节讨论的数字孪生技术中的潜在网络安全漏洞提供背景。

无人机（UAV）：无人机或无人机用于环境监测。无人机有各种尺寸、形状、配置和复杂程度。更先进的无人机可以在远离无人机物理位置的指挥和控制中心自主运行或在人的控制下运行。无人机的远程操作员具有用户界面，可以提供有关无人机状态和状况的实时信息。

远洋船只：数字孪生可用于构建远洋船只的2D和3D静态视图或VR/AR视图。VR/AR视图将使建筑师、设计师、工程师和维护人员能够看到船只，就好像他们在船上行走一样。在操作过程中，数字孪生技术将使操作员和船员能够监控船只的各个方面，可能不需要进行某些物理监控和检查。

石油井架和海洋钻井平台：石油井架可能在恶劣和潜在危险的深海环境中钻探石油。围绕数字双胞胎构建的系统使设计师、工程师和操作员能够形成深海石油钻机、钻机和钻头的模型和视觉表示。

机器人手术：有执行各种手术的手术机器人。有些需要真正的人类外科医生来控制机器人，而另一些只需要人类外科医生来监控机器人自动执行手术。数字孪生技术可用于术前规划，并促进手术工具的互操作性。例如，一家公司的手术机器人可以与另一家公司专门研究人体器官表示的VR系统互操作。

7.网络安全考虑因素

已知组件的集成与行业的一定成熟度相结合，创造了新的特征和功能，其中许多都带来了独特的网络安全挑战，而这些挑战并不一定存在于每个组件中。虽然传统的网络安全对于聚合技术中的每个单独组件仍然是必要的，但更独特的挑战可能需要新的网络安全方法或传统网络安全技术的新应用。同样，数字孪生技术可能会为熟悉的组件提供一种新的强大范式。

本节将从网络安全的角度探讨数字孪生技术的新功能，这些新功能面临的挑战是什么，如何保护它们，以及传统的网络安全方法如何仍然适用于构成数字孪生技术的各个组件和机制。

7.1. 新的网络安全挑战

数字孪生技术至少有五个需要特殊网络安全考虑的新功能：

1.对象的大规模仪器（通常使用物联网技术）

2.物体测量的集中化

3.对象操作的可视化/表示

4.物体的远程控制

5.允许普遍访问和控制的数字孪生定义标准

这份清单并不详尽，随着数字孪生技术的成熟，无疑会出现其他新的网络安全挑战。

7.1.1. 对象的大规模仪器

物联网技术的进步导致了各种廉价且网络连接的传感器的发展，这些传感器可用于测量物体。然后，这种仪器可以提供数字孪生实例化，从而能够对现实世界的对象进行建模，并对许多对象进行精细的实时监控（可能还有远程控制）。这种监控可能会使用廉价的网络连接物联网传感器来完成，这些传感器可能会产生不可靠的数据，或者存在漏洞、可用性问题，或者计算能力、网络吞吐量、功耗和升级潜力有限。此类网络安全问题可能导致现实世界物体的内部运作被揭示，并可能通过数字领域进行控制。

7.1.2. 物体测量的集中化

每个传感器或控制器都是一个单独的物联网设备。它们的数量和分布可能会阻止恶意实体完全控制仪器化的物理对象或获得足够广泛的视野。然而，数字孪生技术涉及将来自对象的大量仪器的数据和控制馈送集中起来。这在仿真、建模和控制方面创造了巨大的效率，但它也集中了敏感的数据和控制接口。如果数字孪生遭到破坏，攻击者可以完全访问有关被检测对象的所有数据。

7.1.3. 对象操作的可视化与表示

控制数字孪生实例和检测对象数据的攻击者可以操纵对象如何呈现给用户。例如，攻击者可以使用VR/AR操纵呈现给人类操作员的现实，改变被监控对象的状态，并导致操作员损坏该对象或其周围的人，或者在用户的可视化隐藏任何变化的同时远程控制数字孪生。数字孪生实例甚至可以被设计为向其他消费数字系统（包括其他数字孪生实例）呈现对象表示。因此，一个实例中的漏洞可能允许黑客影响或破坏其他链接实例，从而危及更大的系统。

同样，数字孪生定义可以按照面向对象编程（OOP）模型构建在彼此之上。他们还可以使用来自另一个数字孪生定义的对象表示来对具有某种联系的对象进行建模，无论是物理的还是虚拟的。然后，对数字孪生定义表示的操纵可以欺骗或破坏相关的数字孪生定义和其他使用数字孪生定义对象表示的数字系统。

7.1.4. 对象的远程控制

被黑客攻击的数字孪生实例可以为攻击者提供对原始远程控制机制的访问，以及具有可能更高抽象控制机制的实时、更新的数字传真。这些更高级的控制将更容易理解和使用。攻击者可以在模型级别或原始远程控制信号级别操纵这些控件，同时通过提供虚假的数字传真来欺骗任何人类操作员。

7.1.5. 允许通用访问和控制的数字孪生定义标准

为了促进系统、设备和组件模型快速集成到数字孪生中，SDO必须制定广泛适用的标准。由于这些模型可能分布在托管站点上，SDO还必须制定安全可靠的访问和控制标准。

7.2. 传统网络安全挑战和工具

构成数字孪生技术的组件也面临着传统的网络安全挑战，特别是在保密性、完整性、可用性、可维护性、可靠性和安全性方面。本节回顾了其中一些需求以及通常用于解决这些需求的网络安全方法。其中许多技术也适用于解决前几节中讨论的新安全挑战。

任何保护数字孪生系统的认真努力都应该遵循更详尽的风险管理指导，如NIST风险管理框架（RMF）[20]、NIST网络安全框架[21]和NIST隐私框架[22]。此外，数字孪生及其仪器都应该实施和测试网络安全控制，以使用全面的网络安全控制目录来防止攻击，例如之前引用的NIST网络安全框架[21]或NIST特别出版物（SP）800-53，第5版，信息系统和组织的安全和隐私控制[23]。数字孪生技术依赖于物理对象和仪器的物联网网络安全，并通过NIST物联网网络安全计划提供指导[24]。应使用公共和标准化的加密算法来确保从物联网设备传输到中央数字孪生定义存储库的数据的网络安全，因为专有加密方案可能很弱，缺乏彻底的审查。其他机制，如哈希和错误检测，应用于验证通信和数据的真实性和完整性，而不管是否进行了强加密。这种额外的保护将使系统能够抵御某些攻击，如中间的对抗性攻击，并支持某些应用程序所需的不可否认性和其他服务。

数字孪生实例、其当前状态和收集的数据在不被积极使用时应进行加密，以实现静态数据网络安全。必须制定数据治理政策和机制，以确保只有正确的员工才能访问数字孪生实例中的必要数据。强大的身份验证机制必须支持这种治理，以确保访问策略不被破坏。这可以包括双因素或多因素身份验证以及硬件密钥的使用。数字孪生实例和相关支持IT系统的物理安全需要得到维护，因为物理访问通常足以绕过许多数字安全机制。这包括被监控对象的物联网仪器和维护数字孪生实例 的硬件。

用于数字孪生定义维护和仿真的软件和硬件的设计和测试应具有鲁棒性和容错性，因为故障可能会导致重大的物理世界后果。这一点尤其正确，因为标准可能使数字孪生实例能够与基于其他数字孪生定义的其他实例协同工作，所有这些实例对故障和失效的敏感性都不同。

考虑到系统的风险承受能力，整个数字孪生系统——包括仪器、控制/数据通道、数字孪生定义和可视化/表示机制——需要得到适当组织官员的适当授权，以具有足够的网络安全性。此外，如果系统包含任何隐私敏感数据（例如，使用NIST隐私框架），则应进行隐私分析，并根据全面的隐私控制目录实施隐私控制[22]。

即使是最安全的网络也有一些与外界的连接，即使它们不是持久的（例如，通过USB密钥传输或引入新硬件进行程序更新）。最好基于零信任模型来规划网络安全[25]，在这种模型中，一切都会尽最大努力保护自己免受其他一切的影响。

8.信任考量 

本节列出了一组14个信任考虑因素，以帮助确定数字孪生技术是否能够以可接受的质量水平提供所需的操作功能。信任是在给定固定的上下文、环境和时间点的情况下，预期行为和实际行为等价的概率。在这里，信任被视为一种信心水平，即数字孪生在功能上等同于物理对象，特定的数字孪生可以与另一个数字孪生组成，关于物理对象的环境和背景有足够的信息可用，数字孪生技术可以标准化到可以认证数字孪生的程度。

1.数字孪生创建顺序：创建数字孪生的时间点将影响数字孪生的正确性，例如它是在创建物理对象之前创建的，还是从它要镜像的物理实体逆向工程的。虽然这两种方法都是有效的，但如果数字孪生是在物理实体存在之后创建的，则其保真度可能会降低，因为可能存在无法发现的关于现有物理实体的内部未知因素。例如，商用现货（COTS）软件的源代码对客户或集成商不可用，因此隐藏了内部语法。这是对数字双胞胎的信任考虑。

2.时间：数字孪生技术具有隐含的时间成分，特别是因为它处理受时间约束的物理对象。硬件可靠性理论和建模表明，即使在空闲状态下，物理对象也会随着时间的推移而衰减。例如，如果一辆汽车多年未启动，电池可能会耗尽，汽车将无法启动。然而，数字孪生不会随着时间的推移而退化或疲劳。因此，在某个时候，现实世界的实体和数字孪生将在某种程度上发生冲突，两者应该同步。例如，金属部件在使用后可能会出现细小的裂纹，而这些裂纹在数字孪生模型中并未得到体现。这可能表明，数字孪生需要重新设计或维护以解决这个问题。例如，时间t+1的物理对象可能与时间t不同。但是，数字孪生在时间t和t+1应该是相同的，除非它用物理对象的提要动态更新。访问物理对象和数字孪生的准确时间戳[26]是一个信任考虑因素。

3.环境：数字孪生技术有一个不容忽视的隐含或明确的环境因素。对于物理对象，许多“功能”都需要描述环境容差或预期使用情况[27]，特别是互操作性。例如，用于建造建筑物的砖块是由各种材料制成的；有些砖在压力下比其他砖更容易破碎，有些砖更适合某些温度和气候。这些额外的预期操作使用信息应与数字孪生一起存储。没有它，就很难确定物理对象是否“适合目的”，因为目的意味着环境和背景。未知的环境影响一直困扰着安全关键系统和软件。考虑在演示文稿中运行PowerPoint。通常，演示者只需触摸向上或向下翻页键即可。有人可能会说，在演示文稿中执行PowerPoint的操作配置文件有两个方面：1）加载的演示文稿和2）演示者的按钮输入。然而，演示文稿是否顺利（例如，可靠和及时）也取决于PowerPoint从磁盘、内存和操作系统实时接收的所有输入。例如，如果演示文稿在从幻灯片x到幻灯片x+1的过程中卡住，那么可能涉及与“未知”（即幻影般的）环境影响相关的事情（例如，机器上同时运行的另一个进程窃取了资源和计算周期）。准确定义尽可能多的环境因素是信任的考虑因素。

4.制造缺陷：数字孪生可用于指导制造过程。例如，一家生产灯泡的工厂每千个灯泡都有一定的缺陷率，包装将提供灯泡在烧坏前的大致工作时间。这突显了数字孪生模型不仅可以描述普通灯泡的底层组件，还可以在表示细节（如烧坏时间）的情况下建议如何制造。确保制造过程根据数字孪生中的信息生产出具有正确预期寿命的产品是一个信任考虑因素。

5.功能等效性：数字孪生技术需要一种方法来确定数字孪生和物理对象之间的功能等效性。如果数字孪生是一个可执行的规范，那么它应该为相同的输入数据产生与物理对象相同的输出。否则，就无法实现功能等效。这可能是由于多种因素造成的，例如衰变、疲劳、制造差异或物理对象在操作过程中经历的其他环境影响，而数字孪生则没有。如果不对功能等效性水平进行一些评估，就很难为可信度辩护。 

6.可组合性和复杂性：过于复杂的数字孪生可能会在预测来自多个数字孪生的最终组合系统的可信度方面产生可组合性问题。假设一个系统有五个物理组件（即真实世界的实体），每个组件都有一个相应的数字孪生定义。物理连接五个组件可能很简单，但组成五个数字孪生可能并不简单，特别是如果数字孪生包含公差和预期操作用途等信息。标准可以通过定义域组件之间所需的互连，并使组合能够被建模和测试，来帮助修剪数字孪生中包含的无关信息。一种方法可能是将信息类别分为“需要知道”和“无关”两类。

7.仪器和监控：数字孪生技术提供了一种有益且独特的优势。虽然人们可能无法对物理对象进行仪器测量，但可以对数字孪生进行仪器测量。然而，仪器和探头并不像预期的那样简单或容易正确注入数字孪生。从安全关键软件社区可以学到很多东西。首先，确定在哪里注射探针是必要的[28]，尽管这并不容易，而且可能更像是一门艺术而非科学。其次，注射探针的数量也是一个考虑因素。如实时系统所示，探头会降低性能和时序，这可能会导致数字孪生和物理对象之间的同步问题。也就是说，有一些方法可以通过让探测器只收集原始数据而不是计算内部测试结果（如内置自检）来减少这种影响。从正在执行的数字孪生的内部状态收集“正确”的信息是一项昂贵且容易出错的工作。

8.标准的异质性：数字孪生不同格式的异质性可能会导致可组合性问题[29]。如果供应商滥用标准化格式，则可能无法从不同的组件供应商那里合成数字孪生定义[4]。这是信任组合数字双胞胎的一个考虑因素。

9.非功能需求：功能需求说明系统应做什么，负面需求说明系统不应做什么。非功能需求（即“状态” ）通常说明系统在功能和负面需求方面应表现出的质量水平。“think”既适用于“事物”，也适用于它们所构建的系统。数字孪生技术的问题在于，可以为功能和负面需求编写多少非功能需求，从而确定系统应该和不应该做什么的质量水平。编写这些非功能需求的能力将影响声明复合对象可信度的能力。

10.数字孪生准确性：数字孪生的正确程度是一个信任考虑因素，可能会从为特定物理对象创建多个独立的数字孪生中受益。在n版本编程[30]中，为软件影响的高度关键系统创建了多个独立的软件实现，因为没有一个实现可以被认为是足够值得信赖的。每个独立的实现都是并行运行的，每个实现的输出都被发送给一个投票人，然后投票人决定系统接收到的最终输出。

11.测试：数字孪生的可测试性是指测量在测试过程中检测到错误或缺陷的可能性。那些不太可能暴露缺陷存在的系统，被认为可测试性较差。使用此定义，物理对象可以在不同程度上进行测试，尽管最有可能证明数字表示正确的数字孪生测试方法尚不清楚。一种选择是忽略这种信任考虑，并决定数字孪生是不可测试的，因此是独立的“预言家”或“黄金标准”。此外，尽管测试通常涉及预期的用例，但也应考虑误用的情况。

12.认证：认证通常是通过认证用于开发的过程或来自该过程的最终工件来进行的[31]。这两种认证是不同的[3][32][33][34][36][37]。对于数字孪生技术，这意味着可以尝试证明数字孪生是如何创建的，或者证明数字孪生本身的准确性。孪生的认证将因信息过载而变得复杂。例如，大多数处方药都有关于谁可以服用的警告，关于负面副作用的免责声明，以及何时停止使用。然而，在时间t，关于药物的大量已知信息和关于药物的更多未知信息要到时间t+1才能知道，而且这些重要信息中的大部分只有医学专家才能理解。数字孪生技术的信任考虑因素是，在特定的数字孪生中可以提供多少信息，而不会给用户带来过多的无关信息，从而导致用户对如何使用孪生或孪生代表什么感到困惑。

13.传播：任何系统体系中最大的信任问题之一是错误和损坏的数据在执行过程中是如何传播的[38]。数字孪生技术也经历了这种信任考虑，特别是当代表不同物理对象的不同孪生组合在一起时。这可能表明，数字孪生应该用先决条件和后决条件来包裹，以确定一个数字孪生的输出是否可以作为另一个数字双胞胎的输入。

14.伪造：数字孪生可能被篡改或伪造，有一些方案可以防止这种情况。例如，数字孪生定义可以进行哈希运算，并将哈希值发布到公共网页上，或者数字孪生定义的用户可以对其副本进行哈希运算并将其与公共网页上的哈希值进行比较。也就是说，网页和其他类似的可公开访问的存储库可能会被黑客攻击。为了增强信任，人们可以使用区块链在不可变的数据结构中公开发布数字孪生定义哈希，即使是恶意攻击者也永远无法更改。或者，数字孪生定义和相关实例的相同副本可以存储在单独的位置（例如，在离线备份中）。

9.结论

数字孪生技术是一个新兴的研究和标准化领域，尽管其建模和仿真的核心要素已经成熟并得到广泛应用。其他重要组件，如VR，也经常被部署（即使是家庭中的低成本游戏单元），物联网传感器也变得越来越普遍。因此，人们可能不清楚数字孪生技术的新进展及其前景。

这项工作讨论了数字孪生的特征和底层技术、使用动机和愿景、常见的低级操作、使用场景和示例用例。它还通过分析传统和新的网络安全挑战，讨论了数字孪生技术的网络安全和信任的技术考虑。此外，这项工作评估了数字孪生功能和质量的14个信任考虑因素，并将这些评估与其他NIST网络安全指南进行了映射。

作者希望SDO和数字孪生实施者能够使用本文档来确保数字孪生技术的标准和架构在发展过程中得到安全可靠的发展。

参考

1.数字孪生技术的安全和信任考虑数字孪生联盟（2020）数字孪生的定义。可在https://www.digitaltwinconsortium.org/hot-topics/the-definition-of-a-digital-twin.htm 

2.韦氏词典（2021）。可在http://www.m-w.com 

3.Voas JM，Hurlburt G（2015）第三方软件的信任困境。计算机48（12）：80-87。https://doi.org/10.1109/MC.2015.372 

4.Voas JM，Laplante P（2007）标准混淆与协调。计算机40（7）：94-96

5.Piroumian V（2021）数字孪生：数字时代的通用互操作性。计算机54（1）：61-69

6.W3C（2021）HTML 5.2。W3C推荐标准，2017年12月14日，取代2021年1月28日。可在https://www.w3.org/TR/html52/   

7.W3schools.com（2021）HTML元素参考，可在https://www.w3schools.com/tags/default.asp

8.3D PDF联盟（2020）制造业PDF，第22-26页

9.Goldberg A（1983）Smalltalk-80：交互式编程环境（Addison Wesley，Reading，MA）

10.Yourdon E，Constantine L（1979）《结构化设计：计算机程序与系统设计学科基础》（新泽西州上萨德尔河普伦蒂斯·霍尔）

11.Booch G（1990）面向对象分析与设计及其应用。（本杰明·卡明斯，加利福尼亚州红木城）

12.Woods RL，Lawrence KL（1997）动态系统的建模与仿真（新泽西州恩格尔伍德悬崖普伦蒂斯·霍尔）

13.Costello S（2021）互联网流媒体：它是什么以及它是如何工作的（Lifewire），2021年7月9日。可在https://www.lifewire.com/internet-streaming-how-it-works-1999513  

14.Costello S（2021）什么是流媒体？视频流如何工作。可在https://www.cloudflare.com/learning/video/what-is-streaming/  

15.Reynolds JC（1998）《程序设计语言理论》（剑桥大学出版社，英国剑桥）

16.Scheifler R，Gettys J，Flowers J，Rosenthal D（1992）X窗口系统，Xlib完全参考，X协议，ICCCM，XLFD。（数字出版社）

17.Palamidessi C，Glaser H，Meinke K（1998）声明式编程原理。第十届PLILP'98年年度研讨会论文集。斯普林格。可在https://doi.org/10.1007/BFb0056603  

18.Minerva R，Lee GM，Crespi N（2020）物联网背景下的数字孪生：技术特征、场景和架构模型调查。《IEEE会议录》第108卷第10期，第1786、1790、1792、1775-1796、1800、1804-1805页

19.数字孪生联盟（2020）https://www.digitaltwinconsortium.org  

20.美国国家标准与技术研究所（2021）NIST风险管理框架。可在https://csrc.nist.gov/projects/risk-management  

21.美国国家标准与技术研究所（2021）NIST网络安全框架。可在https://www.nist.gov/cyberframework  

22.美国国家标准与技术研究院（2021）NIST隐私框架。可在https://www.nist.gov/privacy-framework 

23.联合工作组（2020）信息系统和组织的安全和隐私控制。（美国国家标准与技术研究所，马里兰州盖瑟斯堡），NIST特别出版物（SP）800-53，第5版。包括截至2020年12月10日的更新。https://doi.org/10.6028/NIST.SP.800-53r5 

24.NIST物联网网络安全计划。可在https://www.nist.gov/programs-projects/nist-cybersecurity-iot-program  

25.Kerman A，Borchert O，Rose S，Division E，Tan A（2020）实施零信任架构。（美国国家标准与技术研究所，马里兰州盖瑟斯堡），项目说明。可在https://www.nccoe.nist.gov/library/implementing-zero-trust-architecture 

26.Stavrou A，Voas J（2017）验证时间。Computer，50（3）：78-82

27.Voas J（2004）《软件的秘密武器：情感》。软件，21（6）：2-3

28.Voas JM，Miller KW（1994）将断言置于其位置。软件可靠性工程国际研讨会论文集（IEEE，加利福尼亚州蒙特雷），第152-157页。可在https://doi.org/10.1109/ISSRE.1994.341367

29.Voas JM（2016）“物联网”。（美国国家标准与技术研究所，马里兰州盖瑟斯堡），NIST特别出版物（SP）800-183。可在https://doi.org/10.6028/NIST.SP.800-183 

30.Chen L，Avizienis，A（1978）N版本编程：软件运行可靠性的容错方法。第八届容错计算国际研讨会论文集，第3-9页

31.Voas J（1998）软件质量认证三角。相声11（11）：12-14

32.Voas J（1998）认证现成的软件组件。计算机31（6）：53-59

33.Voas J（1999）用于高保证环境的认证软件。软件16（4）：48-54

34.Voas J，Payne J（2000）软件组件的可靠性认证。系统与软件杂志52（2）：165-172

35.Voas J（2000）迈向基于使用的软件认证过程。计算机33（8）:32-37

36.Voas J，Laplante P（2017）物联网指责游戏。计算机50（6）：69-73

37.Voas J，Laplante P（2018）物联网的认证泥潭。计算机51（4）：86-89

38.Voas J（1997）COTS系统的误差传播分析。IEEE计算与控制工程杂志，8（6）：269-272

附录A. 符号、缩写和首字母缩略词列表

本文中使用的选定首字母缩略词和缩写词定义如下。

2D         二维

3D         三维

AI         人工智能

AR         增强现实

CNC        计算机数控

COST       商用现货

DT         数字孪生

HTML       超文本标记语言

IoT        物联网

IT         信息技术

NIST       美国国家标准与技术研究院

OSI        开放系统互连

TCP/IP     传输控制协议/互联网协议

UAV        无人机

VR         虚拟现实

WYSIWYG    所见即所得

附录B.术语表

数字孪生 digital twin

物理或感知的现实世界实体、概念或可理解的虚拟（即数字）表示。

数字孪生定义 digital twin definition

一种机器可读的规范，描述了可以为特定类型的现实世界实体建模的特征。

数字孪生实例 digital twin instance

计算机软件环境中的数字数据结构、对象或实体，表示真实世界对象的特定物理实例，其类型或类别由相关的数字孪生定义给出。

数字孪生应用软件 digital twin application software

一种根据数字孪生标准理解、操纵、读取、写入或修改数字孪生定义和实例的软件应用程序。