CNTXJ.NET | 通信界-中国通信门户 | 通信圈 | 通信家 | 下载吧 | 说吧 | 人物 | 前瞻 | 智慧(区块链 | AI
 国际新闻 | 国内新闻 | 运营动态 | 市场动态 | 信息安全 | 通信电源 | 网络融合 | 通信测试 | 通信终端 | 通信政策
 专网通信 | 交换技术 | 视频通信 | 接入技术 | 无线通信 | 通信线缆 | 互联网络 | 数据通信 | 通信视界 | 通信前沿
 智能电网 | 虚拟现实 | 人工智能 | 自动化 | 光通信 | IT | 6G | 烽火 | FTTH | IPTV | NGN | 知本院 | 通信会展
您现在的位置: 通信界 >> IT >> 技术正文
 
国产商用密码与工业网络深度融合技术研究
[ 通信界 | 谷 鹏 刘 波 幸享宏 邹大均 | www.cntxj.net | 2023/10/22 22:09:41 ]
 

谷 鹏,刘 波,幸享宏,邹大均

(中国电子科技集团公司第三十研究所,四川 成都 610041)

0 引言

在网络空间对抗加剧的背景下,关系国计民生的工业控制系统成为重要攻击目标。近年来,针对各国关键信息基础设施,特别是重要工业控制系统的攻击频发,如美国输油管道关闭、乌克兰配电系统被网络攻击、以色列供水设施运行系统口令被破解等。这些安全事件表明,攻击重点越来越指向工业系统的实体信任、数据域信令安全方面,其根源在于实体可信机制缺乏、管控粒度不细、纵深保障能力不足[1],因此,需要研究一种以国产商用密码为突破口,构建国产密码在工业控制系统中深度融合的安全体系结构,开展自主可控的国产密码防护框架研究,攻关工业控制系统中关键防护技术,保障工控系统资源和通信安全。

密码技术作为重要的安全手段,在信息安全、身份认证等技术领域发挥了重要作用,保障了信息系统的私密性和完整性。但是,基于工业控制系统的现状,密码技术在工业控制网络的应用仍显不足。因此,开展针对工业协议的密码算法、密码模块,自主可控的工业设备上的深度融合等方面的研究与应用,显得尤为紧迫和重要。

1 工业网络风险分析

通过调查研究我国工业网络现状发现,我国工业控制系统主要存在以下问题。

(1)系统与设备存在漏洞:工控系统设计之初缺乏安全性考虑,存在诸多漏洞与风险。随着操作技术(Operation Technology,OT)与信息技术(Information Technology,IT)的深度融合,工控设备广泛接入互联网或组网进入大型企业内网,极易遭受攻击。

(2)缺乏系统化国产密码支撑保障:工控系统普遍缺乏基于国产密码的自主安全防护手段。

(3)工控设备自主程度不高:工控设备与系统严重依赖进口,自主可控能力不足,安全性差[2]。

2 国产商用密码概述

为确保密码算法的自主可控,降低敏感信息泄露和信息系统遭受攻击的风险,国家密码管理局制定并发布了具有自主知识产权和高安全强度的国产密码算法、密码算法使用等相关标准,基本建成了国产密码应用基础设施并提供服务。目前,国产密码产业链已经成熟[3]。我国自主研发的密码算法分别有SM1 算法、SM2 算法、SM3 算法、SM4 算法、SM7 算法、SM9 算法和祖冲之算法等[4]。SM1、SM4、SM7 和祖冲之密码是对称算法,SM2、SM9是非对称算法,SM3 是杂凑算法。

考虑到工控领域密码应用的复杂性,需要确保密码应用的安全性、合规性和有效性,需要研究商用密码在身份认证、通信加密、协议保护等各应用领域的深度融合,发挥密码在工控系统安全的核心关键支撑作用。

3 商用密码与工业网络融合架构设计

根据GB/T 25070—2019《网络安全等级保护设计要求》中对工业网络的安全要求,需要对工业网络进行多层次的安全设计,包括根据工业网络被保护对象的业务性质进行分区,以及针对功能层次技术特点实施网络安全等级保护设计。工业网络等级保护设计应结合工业控制系统协议复杂多样、实时性要求强、节点计算资源有限、设备可靠性要求高、故障恢复时间短、安全机制不能影响实时性等特点。综合参考工业网络等级保护安全系统框架,本文设计的网络安全等级保护系统架构如图1 所示。

图1 网络安全等级保护系统架构

商用密码可以完整实现网络空间信息防泄露、内容防篡改、身份防假冒、行为抗抵赖等功能,满足网络与信息系统对机密性、完整性、真实性和不可否认性等安全需求。为了提升核心工业网络的安全防护水平,结合《网络安全等级保护基本要求》,以中国工控业务特点为导向,并针对目前工业网络安全领域在密码应用中存在的短板,加强商用密码的应用,形成基于商用密码的工业网络安全的解决方案。

网络安全等级保护基本要求》专门针对工业网络推出了扩展要求,同时要求高等级工业网络应使用符合国家标准的密码技术保证安全,推动商用密码技术在工业网络领域的应用。在管理要求、安全通信网络、安全计算环境等“等保2.0”三级系统要求中都对密码技术的应用进行了严格要求[5]。

以密码为基础,针对典型工业现场控制设备、网络平台,本文建立工业控制系统密码应用需求框架,并提出密码应用模式;以工业网络、智能设备、数据服务等关键基础设施为安全防护对象,将主机身份鉴别、网络设备安全接入、用户认证、传输加密、密钥管理和数字认证等技术作为支撑,配合密钥管理、密码服务等实现区域隔离、边界防护、实时监控和漏洞检测,最终形成满足要求的基于商用密码的工业网络安全防护系统,具体如图2 所示。

图2 基于商用密码的工业安全防护系统

如图2 所示,工业企业总部与全国各地的工业网络作业单元间网络数据是通过基于商用密码的数字证书认证系统及VPN 安全网关来保障传输安全的。基于商用密码的数字证书认证系统进行接入认证,实现了探针等安全设备接入时的可信性,保障了数据通信传输的完整性和机密性。边界安全防护设备根据不同网络区域、作业层级进行网络安全域划分实现区域访问控制,基于商用密码技术的网络用户身份认证实现安全域内、安全域之间的权限管理及访问控制,同时可实现上位机安全域与下位机可编程逻辑控制器(Programmable Logic Controller,PLC)安全域之间的区域访问控制和权限管理。终端安全防护系统(身份鉴别系统)主要负责操作员站、工程师站等上位机终端访问用户的身份鉴别与机上行为安全审计,将USBKey 中的商用密码证书与主机用户身份进行绑定来实现终端安全防护。

4 商用密码与工业网络融合关键技术及方案

4.1 基于商用密码的边界防护

采用商用密码算法对接入的关键设备(工程师站、操作员站、PLC 等)进行身份认证,防止设备非法接入与访问。网络接入时需要向网络安全防护设备进行身份认证,身份认证时采用USBKey+用户名的双因子认证,USBKey 采用SM2 证书及相关商用密码算法实现身份确认,使得用户身份认证更加安全。SM2 密码算法主要用于证书颁发,SM2WithSM3 密码算法用于网络设备接入认证,基于SM2 密码算法的证书授权机构(Certificate Authority,CA)颁发SM2 证书,存放于USBKey 中,USBKey 支持SM2/SM3 算法,算法可以由USBKey 中的芯片硬件实现。

采用商用密码算法对关键数据链路(工业企业总部与分公司、不同作业流程之间、现场工作单元与办公网络等)的通信数据加密。采用商用密码算法VPN 隧道对通信数据进行加密,用户登录到系统时建立一个安全加密通道,之后所有的通信数据都经过加密保护,保证数据的机密性与安全性。采用SM2 作为非对称密码算法,SM3 作为密码杂凑算法,SM4 作为对称密码算法。通过使用SM2 证书验证加密通信两端的身份是否可信,并对密钥协商中的报文进行加密,然后使用SM3 密码算法对摘要内容进行签名,密钥协商完成后通过使用SM4 密码算法对报文进行对称加解密。

4.2 基于商用密码的终端防护

以商用密码相关技术为基础,综合利用终端操作系统访问控制、外设控制、进程控制、文件管控等技术,面向工控系统对终端进行多方面安全防护和审计,主要实现步骤如下文所述。

(1)通过替换操作系统现有的口令登录验证模式,增加USBKey+PIN 码双因子登录方式实现增强型的操作系统登录。通过使用SM2WithSM3 算法和SM2 数字证书进行签名和验签实现身份鉴别,以支持商用密码算法的USBKey 作为用户的唯一标识,使系统登录与USBKey 紧密捆绑。用户登录操作系统时,必须同时通过USBKey 的PIN 码及相关证书验证和Windows 用户身份验证,才能进入系统。

(2)通过在工控现场终端快速扫描终端本地磁盘,创建PE 文件(.exe,.dll,.ocx,…)、脚本白名单库。文件特征采用高强度商密安全散列算法,形成白名单库。白名单库加密存储且无法被篡改,即使被篡改后也无法执行且会产生报警。支持基于国密SM3 哈希算法对程序校验,被篡改的程序进程无法运行。

(3)实时采集工控终端状态信息,包括主机IP、MAC、操作系统版本、硬件信息、安装软件信息、操作系统日志、开关机时间等,根据终端主机状态监视策略,对非正常行为记录审计日志并告警,对违反控制策略的行为进行阻断。

(4)对未经授权的网络设备接入行为进行阻断,并记录审计日志和告警;监视主机的打印行为,并记录审计日志;监视主机的文件操作行为,并记录审计日志;根据文件Hash 值对重要文件进行监视,发现其内容变化时记录审计日志;对主机有连接外网的行为时对其进行阻断,并记录审计日志和告警。对终端中的文件、注册表进行实时监控,根据文件、注册表名称或路径进行管控,根据策略配置对非法读取、修改、删除文件或注册表键值的行为进行管控审计并日志告警。

4.3 基于商用密码的安全隧道

工控系统需要实现安全的网络数据传输,但是工业网络同时具有网络环境复杂、网络质量不可控的特点。结合工控系统的可靠性和稳定性要求,将商用密码与VPN 技术相融合,建立传输高效、数据可信的安全通道,以满足工控系统数据传输的实时性、安全性、可靠性等需求。

如图3 所示,遵循国家密码管理局GM/T 0022—2014《IPSec VPN 技术规范》的要求,根据工业网络下的数据传输安全的特点,采用虚拟私有网络技术、网络密钥交换协议(Internet Key Exchange,IKE)密钥协商技术,实现通信隧道的建立、通信双方身份认证、保障数据的机密性和完整性等功能。采用SM2 作为非对称密码算法,SM3作为密码杂凑算法,SM4 作为对称密码算法。通过SM2 证书验证加密通信两端的身份是否可信,并对密钥协商中的报文进行加密;然后使用SM3 密码算法对摘要内容进行签名,密钥协商完成后使用SM4密码算法对报文进行对称加解密[6]。

图3 网络数据加密隧道

通过硬件密码模块实现商密运算,可实现对称加密速率不低于20 Mbit/s,按工业协议数据包平均长度500 字节估算,完成该数据包的商密加解密运算所需时间约为0.2 ms。而工控系统Modbus/TCP数据交互时间间隔通常为10 ms,商密运算时间远小于工业协议数据交互时间间隔,商密运算对系统延迟的影响微乎其微,对系统实时性不会产生实质性的影响。

为保证总部与各重点机构、工控作业单元之间数据在网络传输中的真实性、机密性、完整性,开发基于商用密码算法的网络传输数据加密功能,将SM2、SM3、SM4 等算法应用到工业网络的网络数据加密环境中。网络数据加密重点在于建立安全的数据通道,构造这条安全通道的协议必须具备以下条件:

(1)保证数据的真实性,通信主机必须是经过授权的,要有抵抗地址冒认(IP Spoofing)的能力;

(2)保证数据的完整性,接收到的数据必须与发送时的一致,要有抵抗不法分子篡改数据的 能力;

(3)保证通道的机密性,提供强有力的加密手段,必须使偷听者不能破解拦截到的通道数据;

(4)提供动态密钥交换功能,提供密钥中心管理服务器,必须具备防止数据重播(Replay)的功能,保证通道不能被重播;

(5)提供安全防护措施和访问控制,要有抵抗黑客通过VPN 通道攻击企业网络的能力,并且可以对VPN 通道进行访问控制(Access Control)。

工业网络要求网络数据传输要求时延低,性能高,需要研究在传统VPN 的基础上,通过充分利用多核平台的优势,在算法的并行处理上和多核调度上进行调度优化,在关键的服务程序中采用多进程的处理模式,提高连接处理的并行性,充分发挥多核处理器的性能,从而满足在工控网络中对数据传输高性能和低时延的要求。

4.4 基于商用密码的一体化工业控制系统

工业控制系统网络结构主要组成设备包括PLC控制器、上位机(操作员站、服务器)等。生产单位的工艺流程主要依赖于控制系统中的PLC 设备完成,因此建设一体化安全工控系统,离不开安全的PLC 控制器。

以通用平台的成熟PLC 技术为基础,突破商用密码轻量化裁剪、资源受限条件下的算法优化等关键技术,并与控制系统具体业务进行一体化深度融合,形成商密一体化安全PLC 技术。研发商用密码一体化的通用工控系统关键设备,形成具有安全防御能力的商密一体化通用安全PLC 控制器产品,匹配工控系统实际安全需求,有效解决工控系统自主可控能力不足的潜在安全问题。

为全面提升工控系统的安全性,以内生安全为代表的安全新兴技术正在兴起;因此可以构建系统对未知威胁的主动防御能力,将商用密码与拟态防御技术结合,研究突破内生安全在工控系统中的应用技术,研发商用密码一体化拟态防御工控系统关键设备,打造具有主动防御能力的安全PLC 控制器产品,形成具有主动防御能力的整套拟态防御一体化安全工控系统解决方案,这也是将来工业网络安全领域重要的研究发展方向。

5 结语

目前,我国工业控制网络的安全保障建设尚处于起步阶段,密码应用技术方案尚不成熟。需要针对工控网络及其业务特点,打造出一批深度融合国产密码的边界防护设备、终端安全防护系统、网络安全监测系统、漏洞扫描系统、VPN 安全网关等网络安全防护产品,充分利用国产商业密码在网络安全中的基石作用,构建工业网络的安全防护能力。

 

1作者:谷 鹏 刘 波 幸享宏 邹大均 来源:通信技术 编辑:顾北

 

声明:①凡本网注明“来源:通信界”的内容,版权均属于通信界,未经允许禁止转载、摘编,违者必究。经授权可转载,须保持转载文章、图像、音视频的完整性,并完整标注作者信息并注明“来源:通信界”。②凡本网注明“来源:XXX(非通信界)”的内容,均转载自其它媒体,转载目的在于传递更多行业信息,仅代表作者本人观点,与本网无关。本网对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。③如因内容涉及版权和其它问题,请自发布之日起30日内与本网联系,我们将在第一时间删除内容。 
热点动态
普通新闻 第六届“绽放杯”5G应用征集大赛全国总决赛在沪圆满落幕
普通新闻 新紫光集团赋能驱动,紫光展锐5G跃进 一往无前
普通新闻 “数字赋能、智创未来”第三届中国(宁波)软件峰会暨程序员节即将
普通新闻 中国移动与中国南水北调签署战略合作框架协议
普通新闻 印度政府:允许笔记本电脑和平板电脑进口不受限制
普通新闻 中国VR产业有声有色有望助力行业走出低谷
普通新闻 主流厂商竞逐折叠屏手机赛道 关键技术不断实现突破
普通新闻 工业互联网发展成效显著 下一步需加速与重点产业链深度融合
普通新闻 一带一路高峰论坛|深耕“一带一路”共建“数字丝绸之路”
普通新闻 融智赋行,共见智能交通发展与创新——中信科智联精彩亮相第29届智
普通新闻 德国科隆无线通信展览会PMRExpo 2023—安全通信领域的盛事
普通新闻 畅享数字生活,中国联通领航全新网络互联体验
普通新闻 欧盟计划对“最强大”人工智能生成模型实施更严格规定
普通新闻 库克今天参观的立讯精密 是苹果公司与中国供应商共同发展的缩影
普通新闻 华为云、阿里云被评选为中国云计算市场的"Champions 冠军"
普通新闻 苹果据称正在开发可折叠屏iPad 最早明年发布
普通新闻 中信科移动完成IMT-2020(5G)推进组5G-A通感融合演示验证
普通新闻 非洲电信领导者探讨5G潜力,但挑战仍存
普通新闻 华为旗下“花瓣支付”来了,称“不与微信和支付宝抢份额”
普通新闻 手机头一次落地70亿AI大模型,联发科天玑9300再添新实力,三杀8G3
通信视界
邬贺铨:移动通信开启5G-A新周期,云网融合/算
普通对话 中兴通讯徐子阳:强基慧智,共建数智热带雨
普通对话 邬贺铨:移动通信开启5G-A新周期,云网融合
普通对话 华为轮值董事长胡厚崑:我们正努力将5G-A带
普通对话 高通中国区董事长孟樸:5G与AI结合,助力提
普通对话 雷军发布小米年度演讲:坚持做高端,拥抱大
普通对话 闻库:算网融合正值挑战与机遇并存的关键阶
普通对话 工信部副部长张云明:我国算力总规模已居世
普通对话 邬贺铨:我国互联网平台企业发展的新一轮机
普通对话 张志成:继续加强海外知识产权保护工作 为助
普通对话 吴春波:华为如何突破美国6次打压的逆境?
通信前瞻
亨通光电实践数字化工厂,“5G+光纤”助力新一
普通对话 亨通光电实践数字化工厂,“5G+光纤”助力新
普通对话 中科院钱德沛:计算与网络基础设施的全面部
普通对话 工信部赵志国:我国算力总规模居全球第二 保
普通对话 邬贺铨院士解读ChatGPT等数字技术热点
普通对话 我国北方海区运用北斗三号短报文通信服务开
普通对话 华为云Stack智能进化,三大举措赋能政企深度
普通对话 孟晚舟:“三大聚力”迎接数字化、智能化、
普通对话 物联网设备在智能工作场所技术中的作用
普通对话 软银研发出以无人机探测灾害被埋者手机信号
普通对话 AI材料可自我学习并形成“肌肉记忆”
普通对话 北斗三号卫星低能离子能谱仪载荷研制成功
普通对话 为什么Wi-Fi6将成为未来物联网的关键?
普通对话 马斯克出现在推特总部 收购应该没有悬念了
普通对话 台积电澄清:未强迫员工休假或有任何无薪假
普通对话 新一代载人运载火箭发动机研制获重大突破
推荐阅读
Copyright @ Cntxj.Net All Right Reserved 通信界 版权所有
未经书面许可,禁止转载、摘编、复制、镜像