29-EFT.WP.TBN.Measurement v1.0 | 第14章 安全与完整性（篡改/注入/旁路）

目录 ／ 文档-技术白皮书 ／ 29-EFT.WP.TBN.Measurement v1.0

第14章 安全与完整性（篡改/注入/旁路）

一句话目标：以证据链 + 签名链 + 回放为核心，定义 TBN 计量在篡改/注入/旁路情形下的检测→处置→验证→回滚口径；所有判定与处置与 T_arr 两口径、同窗同带宽同单位严格配套并可清单化审计。

I. 范围与对象

1. 输入
   • 量测与模型：y(t), phi(t), S_phi/S_y, sigma_y(τ), T_arr^{form1/2}, T_arr*, ΔT_obs（第2–6/9/10章）；
   • 参考条件：RefCond(hash/age/coverage)，对时 offset/skew/J，路径/环境修正 corr_env 与设备/固件/脚本 hash；
   • 证据：清单签名、时间戳、回放包 replay.core、锚（回环/对等/三角、比链/谱线）。
2. 输出
   • 异常指标与告警：Spec_anom, Timing_anom, Manifest_anom, Anchor_anom 等；
   • 处置与回滚：策略卡动作与验证；
   • 清单：manifest.tbn.sec.*（检测结果、处置轨迹、证据 URI、签名链）。
3. 边界
   本章不定义新物理估计器，专注安全/完整性的度量、契约与处置；统计/路径/仪器口径见前章。

II. 名词与变量

• 频谱异常度：D_spec = ( ∫_B |S_y,meas - S_y,ref| df ) / ∫_B S_y,ref df（unit=1）。
• 能量与一致性：E_balance = |E_meas - E_pred| / E_pred，E = ∫_{t∈W} |x(t)|^2 dt。
• 时间完整性：Timing_anom = ΔT_obs / T_sym（同窗）；旁路/禁用检测 Bypass_flag∈{0,1}。
• 签名/回放一致：Sig_ok = 1_{verify(signature)==true}, Replay_ok = 1_{replay(core)==pass}。
• 量纲：unit(D_spec)=unit(E_balance)=unit(Timing_anom)=1；check_dim(*) 对所有时间/谱字段成立。

III. 公设 P514-*

• P514-1（两口径与同窗同带宽）：任何安全/完整性判定必须与 T_arr^{form1/2} 同窗 W、同 RBW/ENBW/单位 比对；delta_form 超阈先处理再做安全判定。
• P514-2（证据先行）：所有告警都应附证据 URI：原始/降采样片段、谱/时域快照、清单/脚本/固件 hash 与锚测量。
• P514-3（Fail-Closed）：关键契约失败时默认Fail-Closed（降级/旁路/回滚）并可回放复验。
• P514-4（不变量优先）：以不变量（回环/对等/三角、比链/谱线）优先判定偏置或旁路；不可辨识分量以不确定度上界进入 u/U。
• P514-5（量纲与追溯）：所有字段 check_dim( y - f(x) ) 通过；RefCond.hash/models.hash/scripts.hash 可追溯。

IV. 最小方程 S514-*

1. 篡改/注入的频域与时域指纹

• S514-1（频域一致）：D_spec = ( ∫_B |S_y,meas - S_y,pred| df ) / ∫_B S_y,pred df，异常若 D_spec > τ_spec 或 ACLR<ACLR_min 或 OBB>OBB_max（第9章口径）。
• S514-2（时间一致）：Timing_anom = ΔT_obs / T_sym，异常若 Timing_anom > τ_T 或 |ΔT_obs| > tol_align。
• S514-3（能量守恒）：E_balance = |E_meas - (E_pred ± E_corr)| / E_pred（E_corr 为已声明的修正能量，若无取 0）。

2. 旁路/禁用检测

• S514-4：若检测 Bypass_flag==1 或 Manifest 缺关键键（如 TarrForms/RefCond.hash/signature），则 Manifest_anom = 1。

3. 锚与回放一致

• S514-5：锚一致：Anchor_anom = 1_{|τ_loop/2 - (T_arr*+ΔT_inst+ΔT_proc)| > τ_anchor} 或 |ε_R|>τ_R（比链）或 |Δ_line|>τ_line（谱线）。
• S514-6：回放一致：Replay_ok = 1_{replay(core) reproduces metrics within tol_replay}。

4. 上线门（含不确定度）

• S514-7：metric_anom = 1_{ |metric| + k·u(metric) > threshold }，用于 D_spec, Timing_anom, E_balance, resid_*。

V. 计量流程 M50-14（检测→处置→验证→回滚→落盘）

1. 检测：同窗同带宽计算 D_spec, Timing_anom, E_balance、签名/旁路与锚/回放一致性，合成告警。
2. 处置（策略卡）：
   • 频域异常→重算 RBW/ENBW/窗 或降带；
   • 时间异常→校时（offset/skew/J）或缩窗；
   • 旁路/签名异常→回滚上版、冻结发布；
   • 锚/回放失配→执行校准或切换基准。
3. 验证：窗口重算与锚/回放复验；Sig_ok/Replay_ok=1。
4. 回滚：保守回滚并记录影响面与恢复状态。
5. 落盘：
   manifest.tbn.sec = {window:{W,RBW,ENBW}, metrics:{D_spec, Timing_anom, E_balance}, states:{Bypass_flag,Sig_ok,Replay_ok}, anchors:{ε_R,Δ_line,τ_loop}, actions:{cards,rollback_to}, evidence_uri[], RefCond.hash, contracts.*, signature}。

VI. 契约与断言 C50-14x（建议阈值）

• C50-1401（两口径硬门）：delta_form_p95 ≤ tol_Tarr 未满足→拒发/降级并优先处置。
• C50-1402（频谱完整）：D_spec ≤ τ_spec，ACLR ≥ ACLR_min，OBB ≤ OBB_max。
• C50-1403（时间完整）：Timing_anom_p95 ≤ τ_T，|ΔT_obs|_p95 ≤ tol_align。
• C50-1404（能量守恒）：E_balance_p95 ≤ τ_E。
• C50-1405（签名/旁路）：Sig_ok = 1 且 Bypass_flag = 0；任一失败Fail-Closed。
• C50-1406（锚与回放）：Anchor_anom = 0 且 Replay_ok = 1；否则降级/回滚并生成回放包。
• C50-1407（量纲/追溯）：所有字段 check_dim 通过；RefCond.hash/models.hash/scripts.hash 可追溯。

VII. 实现绑定 I50-14*（接口原型、输入输出、不变量）

• I50-141 detect_spectral_anomaly(S_y, S_y_ref, B, RBW, ENBW) -> {D_spec, ACLR, OBB, pass}
• I50-142 detect_timing_anomaly(T_arr_star, t_cont, T_sym) -> {Timing_anom, ΔT_obs, pass}
• I50-143 verify_sign_manifest(manifest) -> {Sig_ok, Manifest_anom}
• I50-144 check_anchor_consistency(anchors) -> {Anchor_anom, ε_R, Δ_line, τ_loop, pass}
• I50-145 build_replay_core(pred, meas, RefCond, scripts) -> {Replay_ok?, core}
• I50-146 run_security_cards(cards, context) -> {actions[], verify}
• I50-147 emit_security_manifest(results, policy) -> {uri, status}
  不变量：同窗同带宽同单位；two_forms_present=true；证据/脚本/清单签名哈希可追溯；处置可回放。

VIII. 交叉引用

IX. 质量与风控

• SLI/SLO：D_spec_p95, Timing_anom_p95, E_balance_p95, delta_form_p95, Sig_ok_rate, Replay_ok_rate, panel_freshness。
• 回退梯度：recalc → guardband↑ → 降带/降采 → 旁路 → 回滚；与策略卡联动并落盘证据。
• 审计：异常证据 URI、锚与回放包、签名链、处置轨迹与验证结果、manifest.tbn.sec 签名与回放一致性。

小结

• 本章把篡改/注入/旁路防护落到同窗同带宽同单位 + 两口径合规 + 证据/签名/回放三要素上；
• 结合 M50-14/C50-14x/I50-14* 与 manifest.tbn.sec，TBN 计量实现可检测、可处置、可复验、可回退的安全与完整性治理。