您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
國產(chǎn)商用密碼與工業(yè)網(wǎng)絡(luò)深度融合技術(shù)研究
摘? 要
當前工業(yè)控制系統(tǒng)面臨的安全威脅正在急劇增加,關(guān)系國計民生的工業(yè)控制系統(tǒng)已成為黑客團體攻擊的重點目標。密碼技術(shù)作為重要的安全手段,在通信加密、身份認證、訪問控制等方面起著不可替代的重要作用。通過分析我國工業(yè)網(wǎng)絡(luò)現(xiàn)狀,提出了一種國產(chǎn)商用密碼與工業(yè)網(wǎng)絡(luò)融合的體系架構(gòu),給出了國產(chǎn)自主可控商用密碼在邊界防護、終端防護、安全隧道和一體化工業(yè)控制器等方面與工業(yè)控制網(wǎng)絡(luò)深度融合的技術(shù)方案。
內(nèi)容目錄:
1 工業(yè)網(wǎng)絡(luò)風險分析
2 國產(chǎn)商用密碼概述
3 商用密碼與工業(yè)網(wǎng)絡(luò)融合架構(gòu)設(shè)計
4 商用密碼與工業(yè)網(wǎng)絡(luò)融合關(guān)鍵技術(shù)及方案
4.1 基于商用密碼的邊界防護
4.2 基于商用密碼的終端防護
4.3 基于商用密碼的安全隧道
4.4 基于商用密碼的一體化工業(yè)控制系統(tǒng)
5 結(jié)? 語
在網(wǎng)絡(luò)空間對抗加劇的背景下,關(guān)系國計民生的工業(yè)控制系統(tǒng)成為重要攻擊目標。近年來,針對各國關(guān)鍵信息基礎(chǔ)設(shè)施,特別是重要工業(yè)控制系統(tǒng)的攻擊頻發(fā),如美國輸油管道關(guān)閉、烏克蘭配電系統(tǒng)被網(wǎng)絡(luò)攻擊、以色列供水設(shè)施運行系統(tǒng)口令被破解等。這些安全事件表明,攻擊重點越來越指向工業(yè)系統(tǒng)的實體信任、數(shù)據(jù)域信令安全方面,其根源在于實體可信機制缺乏、管控粒度不細、縱深保障能力不足,因此,需要研究一種以國產(chǎn)商用密碼為突破口,構(gòu)建國產(chǎn)密碼在工業(yè)控制系統(tǒng)中深度融合的安全體系結(jié)構(gòu),開展自主可控的國產(chǎn)密碼防護框架研究,攻關(guān)工業(yè)控制系統(tǒng)中關(guān)鍵防護技術(shù),保障工控系統(tǒng)資源和通信安全。
密碼技術(shù)作為重要的安全手段,在信息安全、身份認證等技術(shù)領(lǐng)域發(fā)揮了重要作用,保障了信息系統(tǒng)的私密性和完整性。但是,基于工業(yè)控制系統(tǒng)的現(xiàn)狀,密碼技術(shù)在工業(yè)控制網(wǎng)絡(luò)的應(yīng)用仍顯不足。因此,開展針對工業(yè)協(xié)議的密碼算法、密碼模塊,自主可控的工業(yè)設(shè)備上的深度融合等方面的研究與應(yīng)用,顯得尤為緊迫和重要。
1、工業(yè)網(wǎng)絡(luò)風險分析
通過調(diào)查研究我國工業(yè)網(wǎng)絡(luò)現(xiàn)狀發(fā)現(xiàn),我國工業(yè)控制系統(tǒng)主要存在以下問題。
(1)系統(tǒng)與設(shè)備存在漏洞:工控系統(tǒng)設(shè)計之初缺乏安全性考慮,存在諸多漏洞與風險。隨著操作技術(shù)(Operation Technology,OT)與信息技術(shù)(Information Technology,IT)的深度融合,工控設(shè)備廣泛接入互聯(lián)網(wǎng)或組網(wǎng)進入大型企業(yè)內(nèi)網(wǎng),極易遭受攻擊。
(2)缺乏系統(tǒng)化國產(chǎn)密碼支撐保障:工控系統(tǒng)普遍缺乏基于國產(chǎn)密碼的自主安全防護手段。
(3)工控設(shè)備自主程度不高:工控設(shè)備與系統(tǒng)嚴重依賴進口,自主可控能力不足,安全性差。
2、國產(chǎn)商用密碼概述
為確保密碼算法的自主可控,降低敏感信息泄露和信息系統(tǒng)遭受攻擊的風險,國家密碼管理局制定并發(fā)布了具有自主知識產(chǎn)權(quán)和高安全強度的國產(chǎn)密碼算法、密碼算法使用等相關(guān)標準,基本建成了國產(chǎn)密碼應(yīng)用基礎(chǔ)設(shè)施并提供服務(wù)。目前,國產(chǎn)密碼產(chǎn)業(yè)鏈已經(jīng)成熟 。我國自主研發(fā)的密碼算法分別有 SM1 算法、SM2 算法、SM3 算法、SM4 算法、SM7 算 法、SM9 算 法 和 祖 沖 之 算 法 等。SM1、SM4、SM7 和祖沖之密碼是對稱算法,SM2、SM9是非對稱算法,SM3 是雜湊算法。
考慮到工控領(lǐng)域密碼應(yīng)用的復(fù)雜性,需要確保密碼應(yīng)用的安全性、合規(guī)性和有效性,需要研究商用密碼在身份認證、通信加密、協(xié)議保護等各應(yīng)用領(lǐng)域的深度融合,發(fā)揮密碼在工控系統(tǒng)安全的核心關(guān)鍵支撐作用。
3、商用密碼與工業(yè)網(wǎng)絡(luò)融合架構(gòu)設(shè)計
根據(jù) GB/T 25070—2019《網(wǎng)絡(luò)安全等級保護設(shè)計要求》中對工業(yè)網(wǎng)絡(luò)的安全要求,需要對工業(yè)網(wǎng)絡(luò)進行多層次的安全設(shè)計,包括根據(jù)工業(yè)網(wǎng)絡(luò)被保護對象的業(yè)務(wù)性質(zhì)進行分區(qū),以及針對功能層次技術(shù)特點實施網(wǎng)絡(luò)安全等級保護設(shè)計。工業(yè)網(wǎng)絡(luò)等級保護設(shè)計應(yīng)結(jié)合工業(yè)控制系統(tǒng)協(xié)議復(fù)雜多樣、實時性要求強、節(jié)點計算資源有限、設(shè)備可靠性要求高、故障恢復(fù)時間短、安全機制不能影響實時性等特點。綜合參考工業(yè)網(wǎng)絡(luò)等級保護安全系統(tǒng)框架,本文設(shè)計的網(wǎng)絡(luò)安全等級保護系統(tǒng)架構(gòu)如圖 1 所示。
圖 1 網(wǎng)絡(luò)安全等級保護系統(tǒng)架構(gòu)
商用密碼可以完整實現(xiàn)網(wǎng)絡(luò)空間信息防泄露、內(nèi)容防篡改、身份防假冒、行為抗抵賴等功能,滿足網(wǎng)絡(luò)與信息系統(tǒng)對機密性、完整性、真實性和不可否認性等安全需求。為了提升核心工業(yè)網(wǎng)絡(luò)的安全防護水平,結(jié)合《網(wǎng)絡(luò)安全等級保護基本要求》,以中國工控業(yè)務(wù)特點為導(dǎo)向,并針對目前工業(yè)網(wǎng)絡(luò)安全領(lǐng)域在密碼應(yīng)用中存在的短板,加強商用密碼的應(yīng)用,形成基于商用密碼的工業(yè)網(wǎng)絡(luò)安全的解決方案。
《網(wǎng)絡(luò)安全等級保護基本要求》專門針對工業(yè)網(wǎng)絡(luò)推出了擴展要求,同時要求高等級工業(yè)網(wǎng)絡(luò)應(yīng)使用符合國家標準的密碼技術(shù)保證安全,推動商用密碼技術(shù)在工業(yè)網(wǎng)絡(luò)領(lǐng)域的應(yīng)用。在管理要求、安全通信網(wǎng)絡(luò)、安全計算環(huán)境等“等保 2.0”三級系統(tǒng)要求中都對密碼技術(shù)的應(yīng)用進行了嚴格要求。
以密碼為基礎(chǔ),針對典型工業(yè)現(xiàn)場控制設(shè)備、網(wǎng)絡(luò)平臺,本文建立工業(yè)控制系統(tǒng)密碼應(yīng)用需求框架,并提出密碼應(yīng)用模式;以工業(yè)網(wǎng)絡(luò)、智能設(shè)備、數(shù)據(jù)服務(wù)等關(guān)鍵基礎(chǔ)設(shè)施為安全防護對象,將主機身份鑒別、網(wǎng)絡(luò)設(shè)備安全接入、用戶認證、傳輸加密、密鑰管理和數(shù)字認證等技術(shù)作為支撐,配合密鑰管理、密碼服務(wù)等實現(xiàn)區(qū)域隔離、邊界防護、實時監(jiān)控和漏洞檢測,最終形成滿足要求的基于商用密碼的工業(yè)網(wǎng)絡(luò)安全防護系統(tǒng),具體如圖 2 所示。
圖 2 基于商用密碼的工業(yè)安全防護系統(tǒng)
如圖 2 所示,工業(yè)企業(yè)總部與全國各地的工業(yè)網(wǎng)絡(luò)作業(yè)單元間網(wǎng)絡(luò)數(shù)據(jù)是通過基于商用密碼的數(shù)字證書認證系統(tǒng)及 VPN 安全網(wǎng)關(guān)來保障傳輸安全的?;谏逃妹艽a的數(shù)字證書認證系統(tǒng)進行接入認證,實現(xiàn)了探針等安全設(shè)備接入時的可信性,保障了數(shù)據(jù)通信傳輸?shù)耐暾院蜋C密性。邊界安全防護設(shè)備根據(jù)不同網(wǎng)絡(luò)區(qū)域、作業(yè)層級進行網(wǎng)絡(luò)安全域劃分實現(xiàn)區(qū)域訪問控制,基于商用密碼技術(shù)的網(wǎng)絡(luò)用戶身份認證實現(xiàn)安全域內(nèi)、安全域之間的權(quán)限管理及訪問控制,同時可實現(xiàn)上位機安全域與下位機可編程邏輯控制器(Programmable Logic Controller,PLC)安全域之間的區(qū)域訪問控制和權(quán)限管理。終端安全防護系統(tǒng)(身份鑒別系統(tǒng))主要負責操作員站、工程師站等上位機終端訪問用戶的身份鑒別與機上行為安全審計,將 USBKey 中的商用密碼證書與主機用戶身份進行綁定來實現(xiàn)終端安全防護。
4、商用密碼與工業(yè)網(wǎng)絡(luò)融合關(guān)鍵技術(shù)及方案
4.1 基于商用密碼的邊界防護
采用商用密碼算法對接入的關(guān)鍵設(shè)備(工程師站、操作員站、PLC 等)進行身份認證,防止設(shè)備非法接入與訪問。網(wǎng)絡(luò)接入時需要向網(wǎng)絡(luò)安全防護設(shè)備進行身份認證,身份認證時采用 USBKey+ 用戶名的雙因子認證,USBKey 采用 SM2 證書及相關(guān)商用密碼算法實現(xiàn)身份確認,使得用戶身份認證更加安全。SM2 密碼算法主要用于證書頒發(fā),SM2WithSM3 密碼算法用于網(wǎng)絡(luò)設(shè)備接入認證,基于 SM2 密碼算法的證書授權(quán)機構(gòu)(Certificate Authority,CA)頒發(fā) SM2 證書,存放于 USBKey 中,USBKey 支持 SM2/SM3 算法,算法可以由 USBKey 中的芯片硬件實現(xiàn)。
采用商用密碼算法對關(guān)鍵數(shù)據(jù)鏈路(工業(yè)企業(yè)總部與分公司、不同作業(yè)流程之間、現(xiàn)場工作單元與辦公網(wǎng)絡(luò)等)的通信數(shù)據(jù)加密。采用商用密碼算法 VPN 隧道對通信數(shù)據(jù)進行加密,用戶登錄到系統(tǒng)時建立一個安全加密通道,之后所有的通信數(shù)據(jù)都經(jīng)過加密保護,保證數(shù)據(jù)的機密性與安全性。采用 SM2 作為非對稱密碼算法,SM3 作為密碼雜湊算法,SM4 作為對稱密碼算法。通過使用 SM2 證書驗證加密通信兩端的身份是否可信,并對密鑰協(xié)商中的報文進行加密,然后使用 SM3 密碼算法對摘要內(nèi)容進行簽名,密鑰協(xié)商完成后通過使用 SM4 密碼算法對報文進行對稱加解密。
4.2 基于商用密碼的終端防護
以商用密碼相關(guān)技術(shù)為基礎(chǔ),綜合利用終端操作系統(tǒng)訪問控制、外設(shè)控制、進程控制、文件管控等技術(shù),面向工控系統(tǒng)對終端進行多方面安全防護和審計,主要實現(xiàn)步驟如下文所述。
(1)通過替換操作系統(tǒng)現(xiàn)有的口令登錄驗證模式,增加 USBKey+PIN 碼雙因子登錄方式實現(xiàn)增強型的操作系統(tǒng)登錄。通過使用 SM2WithSM3 算法和 SM2 數(shù)字證書進行簽名和驗簽實現(xiàn)身份鑒別,以支持商用密碼算法的 USBKey 作為用戶的唯一標識,使系統(tǒng)登錄與 USBKey 緊密捆綁。用戶登錄操作系統(tǒng)時,必須同時通過 USBKey 的 PIN 碼及相關(guān)證書驗證和 Windows 用戶身份驗證,才能進入系統(tǒng)。
(2)通過在工控現(xiàn)場終端快速掃描終端本地磁盤,創(chuàng)建 PE 文件(.exe,.dll,.ocx,…)、腳本白名單庫。文件特征采用高強度商密安全散列算法,形成白名單庫。白名單庫加密存儲且無法被篡改,即使被篡改后也無法執(zhí)行且會產(chǎn)生報警。支持基于國密 SM3 哈希算法對程序校驗,被篡改的程序進程無法運行。
(3)實時采集工控終端狀態(tài)信息,包括主機IP、MAC、操作系統(tǒng)版本、硬件信息、安裝軟件信息、操作系統(tǒng)日志、開關(guān)機時間等,根據(jù)終端主機狀態(tài)監(jiān)視策略,對非正常行為記錄審計日志并告警,對違反控制策略的行為進行阻斷。
(4)對未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備接入行為進行阻斷,并記錄審計日志和告警;監(jiān)視主機的打印行為,并記錄審計日志;監(jiān)視主機的文件操作行為,并記錄審計日志;根據(jù)文件 Hash 值對重要文件進行監(jiān)視,發(fā)現(xiàn)其內(nèi)容變化時記錄審計日志;對主機有連接外網(wǎng)的行為時對其進行阻斷,并記錄審計日志和告警。對終端中的文件、注冊表進行實時監(jiān)控,根據(jù)文件、注冊表名稱或路徑進行管控,根據(jù)策略配置對非法讀取、修改、刪除文件或注冊表鍵值的行為進行管控審計并日志告警。
4.3 基于商用密碼的安全隧道
工控系統(tǒng)需要實現(xiàn)安全的網(wǎng)絡(luò)數(shù)據(jù)傳輸,但是工業(yè)網(wǎng)絡(luò)同時具有網(wǎng)絡(luò)環(huán)境復(fù)雜、網(wǎng)絡(luò)質(zhì)量不可控的特點。結(jié)合工控系統(tǒng)的可靠性和穩(wěn)定性要求,將商用密碼與 VPN 技術(shù)相融合,建立傳輸高效、數(shù)據(jù)可信的安全通道,以滿足工控系統(tǒng)數(shù)據(jù)傳輸?shù)膶崟r性、安全性、可靠性等需求。
如 圖 3 所 示, 遵 循 國 家 密 碼 管 理 局 GM/T0022—2014《IPSec VPN 技 術(shù) 規(guī) 范》 的 要 求, 根據(jù)工業(yè)網(wǎng)絡(luò)下的數(shù)據(jù)傳輸安全的特點,采用虛擬私有網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)密鑰交換協(xié)議(Internet Key Exchange,IKE)密鑰協(xié)商技術(shù),實現(xiàn)通信隧道的建立、通信雙方身份認證、保障數(shù)據(jù)的機密性和完整性等功能。采用 SM2 作為非對稱密碼算法,SM3作為密碼雜湊算法,SM4 作為對稱密碼算法。通過SM2 證書驗證加密通信兩端的身份是否可信,并對密鑰協(xié)商中的報文進行加密;然后使用 SM3 密碼算法對摘要內(nèi)容進行簽名,密鑰協(xié)商完成后使用 SM4密碼算法對報文進行對稱加解密。
圖 3 網(wǎng)絡(luò)數(shù)據(jù)加密隧道
通過硬件密碼模塊實現(xiàn)商密運算,可實現(xiàn)對稱加密速率不低于 20 Mbit/s,按工業(yè)協(xié)議數(shù)據(jù)包平均長度 500 字節(jié)估算,完成該數(shù)據(jù)包的商密加解密運算所需時間約為 0.2 ms。而工控系統(tǒng) Modbus/TCP數(shù)據(jù)交互時間間隔通常為 10 ms,商密運算時間遠小于工業(yè)協(xié)議數(shù)據(jù)交互時間間隔,商密運算對系統(tǒng)延遲的影響微乎其微,對系統(tǒng)實時性不會產(chǎn)生實質(zhì)性的影響。
為保證總部與各重點機構(gòu)、工控作業(yè)單元之間數(shù)據(jù)在網(wǎng)絡(luò)傳輸中的真實性、機密性、完整性,開發(fā)基于商用密碼算法的網(wǎng)絡(luò)傳輸數(shù)據(jù)加密功能,將SM2、SM3、SM4 等算法應(yīng)用到工業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)加密環(huán)境中。網(wǎng)絡(luò)數(shù)據(jù)加密重點在于建立安全的數(shù)據(jù)通道,構(gòu)造這條安全通道的協(xié)議必須具備以下條件:
(1)保證數(shù)據(jù)的真實性,通信主機必須是經(jīng)過授權(quán)的,要有抵抗地址冒認(IP Spoofing)的能力;
(2)保證數(shù)據(jù)的完整性,接收到的數(shù)據(jù)必須與發(fā)送時的一致,要有抵抗不法分子篡改數(shù)據(jù)的能力;
(3)保證通道的機密性,提供強有力的加密手段,必須使偷聽者不能破解攔截到的通道數(shù)據(jù);
(4)提供動態(tài)密鑰交換功能,提供密鑰中心管理服務(wù)器,必須具備防止數(shù)據(jù)重播(Replay)的功能,保證通道不能被重播;
(5)提供安全防護措施和訪問控制,要有抵抗黑客通過 VPN 通道攻擊企業(yè)網(wǎng)絡(luò)的能力,并且可以對 VPN 通道進行訪問控制(Access Control)。
工業(yè)網(wǎng)絡(luò)要求網(wǎng)絡(luò)數(shù)據(jù)傳輸要求時延低,性能高,需要研究在傳統(tǒng) VPN 的基礎(chǔ)上,通過充分利用多核平臺的優(yōu)勢,在算法的并行處理上和多核調(diào)度上進行調(diào)度優(yōu)化,在關(guān)鍵的服務(wù)程序中采用多進程的處理模式,提高連接處理的并行性,充分發(fā)揮多核處理器的性能,從而滿足在工控網(wǎng)絡(luò)中對數(shù)據(jù)傳輸高性能和低時延的要求。
4.4 基于商用密碼的一體化工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)主要組成設(shè)備包括 PLC控制器、上位機(操作員站、服務(wù)器)等。生產(chǎn)單位的工藝流程主要依賴于控制系統(tǒng)中的 PLC 設(shè)備完成,因此建設(shè)一體化安全工控系統(tǒng),離不開安全的PLC 控制器。
以通用平臺的成熟 PLC 技術(shù)為基礎(chǔ),突破商用密碼輕量化裁剪、資源受限條件下的算法優(yōu)化等關(guān)鍵技術(shù),并與控制系統(tǒng)具體業(yè)務(wù)進行一體化深度融合,形成商密一體化安全 PLC 技術(shù)。研發(fā)商用密碼一體化的通用工控系統(tǒng)關(guān)鍵設(shè)備,形成具有安全防御能力的商密一體化通用安全 PLC 控制器產(chǎn)品,匹配工控系統(tǒng)實際安全需求,有效解決工控系統(tǒng)自主可控能力不足的潛在安全問題。
為全面提升工控系統(tǒng)的安全性,以內(nèi)生安全為代表的安全新興技術(shù)正在興起;因此可以構(gòu)建系統(tǒng)對未知威脅的主動防御能力,將商用密碼與擬態(tài)防御技術(shù)結(jié)合,研究突破內(nèi)生安全在工控系統(tǒng)中的應(yīng)用技術(shù),研發(fā)商用密碼一體化擬態(tài)防御工控系統(tǒng)關(guān)鍵設(shè)備,打造具有主動防御能力的安全 PLC 控制器產(chǎn)品,形成具有主動防御能力的整套擬態(tài)防御一體化安全工控系統(tǒng)解決方案,這也是將來工業(yè)網(wǎng)絡(luò)安全領(lǐng)域重要的研究發(fā)展方向。
5、結(jié)? 語
目前,我國工業(yè)控制網(wǎng)絡(luò)的安全保障建設(shè)尚處于起步階段,密碼應(yīng)用技術(shù)方案尚不成熟。需要針對工控網(wǎng)絡(luò)及其業(yè)務(wù)特點,打造出一批深度融合國產(chǎn)密碼的邊界防護設(shè)備、終端安全防護系統(tǒng)、網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)、漏洞掃描系統(tǒng)、VPN 安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全防護產(chǎn)品,充分利用國產(chǎn)商業(yè)密碼在網(wǎng)絡(luò)安全中的基石作用,構(gòu)建工業(yè)網(wǎng)絡(luò)的安全防護能力。
引用格式:谷鵬 , 劉波 , 幸享宏 , 等 . 國產(chǎn)商用密碼與工業(yè)網(wǎng)絡(luò)深度融合技術(shù)研究 [J]. 通信技術(shù) ,2023,56(7):889-893.
作者簡介 >>>
谷? 鵬,男,學(xué)士,工程師,主要研究方向為工業(yè)控制信息安全;
劉? 波,男,碩士,高級工程師,主要研究方向為工業(yè)控制信息安全;
幸享宏,男,學(xué)士,工程師,主要研究方向為工業(yè)控制信息安全;
鄒大均,男,碩士,高級工程師,主要研究方向為工業(yè)控制信息安全。
選自《通信技術(shù)》2023年第7期(為便于排版,已省去原文參考文獻)
文章來源:信息安全與通信保密雜志社