1　概述

工業(yè)控制系統（Industrial Control System，以下簡(jiǎn)稱(chēng)“工控系統”）涉及到電力、能源、交通、石化等國家關(guān)鍵基礎設施的各個(gè)領(lǐng)域。工控系統所處的網(wǎng)絡(luò )安全環(huán)境日趨嚴峻，密碼體制作為保障網(wǎng)絡(luò )安全的基石，在工控系統的安全防護中應繼續扮演核心角色。如何將我國自主可控的密碼體制安全、高效、合理地應用到工控系統當中，業(yè)已成為維護我國工控系統安全的基礎性重大課題。

工控系統的安全防護較之傳統信息安全難度大大提升。一是工控系統的發(fā)展與信息技術(shù)深度融合，這種融合表現在集成和使用大量資源受限設備，例如傳感器、可編程邏輯控制器、智能儀表等，使得對安全的關(guān)注主要集中在資源受限設備或系統上；二是安全技術(shù)在工控系統實(shí)現的有效性和適配性使得安全防護難度加大，因為安全技術(shù)的實(shí)現除考慮技術(shù)本身的可行和有效外，還需考慮目標系統的可靠性、性能等重要指標受到安全技術(shù)影響的程度。因而我們將密碼技術(shù)在工控系統中的應用需考慮的問(wèn)題劃分為兩個(gè)方面：

（１）密碼側：密碼技術(shù)在工控系統中實(shí)現的有效性和適配性問(wèn)題；

（２）系統側：密碼技術(shù)的實(shí)現對工控系統可靠性和性能指標的影響問(wèn)題。

針對資源受限設備的密碼應用，國際和國內目前主要聚焦在輕量級密碼技術(shù)的密碼側，以及少量系統側指標，如吞吐率等的分析。本文將主要探討輕量級密碼在技術(shù)研究、標準化研究等方面的進(jìn)展情況。

2　聚焦輕量級密碼

2.1　范圍

輕量級密碼是密碼學(xué)的一個(gè)分領(lǐng)域，其目標是針對資源受限設備，經(jīng)過(guò)定制或裁剪產(chǎn)生的密碼解決方案。資源受限設備的應用領(lǐng)域包括：汽車(chē)系統、傳感器網(wǎng)絡(luò )、醫療設備、分布式控制系統、物聯(lián)網(wǎng)、信息物理系統以及智能電網(wǎng)等。當前的傳統加密算法雖然可以通過(guò)工程化技術(shù)方法在資源受限設備中實(shí)現，但其性能也許是無(wú)法接受的。傳統加密算法針對的是PC、服務(wù)器、平板以及智能手機等，而輕量級密碼則主要針對嵌入式系統、RFID、傳感器網(wǎng)絡(luò )等。輕量級密碼研究發(fā)展時(shí)間簡(jiǎn)表如圖1所示。

圖1 輕量級密碼研究發(fā)展時(shí)間簡(jiǎn)表

2.2　性能度量

對于輕量級密碼算法，其性能度量主要從硬件度量和軟件度量考慮，分為能量消耗、延時(shí)、吞吐率三個(gè)維度。硬件平臺的性能需求通常用（電路設計）等效門(mén)（Gate Equivalent）來(lái)表示，比如已知的緊湊型AES-128算法實(shí)現需要2090-2400個(gè)等效門(mén)；而軟件應用的性能需求則從寄存器數目、RAM和ROM的字節數等來(lái)表示。

3　實(shí)現的基本組件（Primitives）

實(shí)現輕量級密碼的基本組件包括分組密碼、散列函數、消息認證碼，以及流密碼。

（1）輕量級分組密碼：目前，一部分輕量級分組密碼是基于原有加密算法，經(jīng)過(guò)設計簡(jiǎn)化形成的，如DESL是DES的變體；另一部分是重新開(kāi)始密碼的新型設計，如PRESENT、SIMON和SPECK等算法。相較于傳統分組密碼，輕量級分組密碼具有如下優(yōu)點(diǎn)：更小的分組規模、更小的密鑰規模操作回合更簡(jiǎn)單、更簡(jiǎn)單的密鑰、簡(jiǎn)化的密鑰調度、最小化的實(shí)現方式。

（2）輕量級哈希函數：更小的內部狀態(tài)和輸出規模；更小的消息尺寸；主要的輕量級算法包括PHOTON、QUARK、SPONGENT和Lesamnta-LW等。

（3）輕量級消息認證碼：針對消息的認證和完整性特點(diǎn)，Chaskey、TuLP、LightMAC等算法。

（4）輕量級流密碼：主要包括Grain、Trivium和Mickey等。

4　技術(shù)和標準研究現狀

美國NIST從2013年開(kāi)始啟動(dòng)輕量級密碼研究項目，但這并不代表該領(lǐng)域的研究以此為開(kāi)端。事實(shí)上，對輕量級密碼的研究可分為技術(shù)研究、標準化研究這兩大部分。

技術(shù)研究是根據密碼算法在具體應用領(lǐng)域的具體需求而進(jìn)行，以目前所了解的范圍來(lái)看，最早可追溯到1994年Needham等人的Tiny Encryption Algorithm（TEA）研究，它是一種描述簡(jiǎn)潔、實(shí)現簡(jiǎn)單的分組加密算法，因而在不同應用領(lǐng)域和場(chǎng)景上，尤其在嵌入式系統領(lǐng)域，輕量級密碼算法一直是各種應用的重要需求之一。輕量級密碼在硬件和軟件實(shí)現上分別使用GE等效門(mén)和RAM/ROM字節數作為評估指標。較為全面的對比可參考Manifavas等人在2014年所做的分析研究，其對包括AES、SPECK、DESL在內的37種密碼算法的輕量級硬件實(shí)現和包括PRESENT、IDEA、DESX等在內的26種軟件實(shí)現進(jìn)行了詳細對比分析。

最新輕量級密碼技術(shù)研究成果可參考歐盟ECRYPT項目的四個(gè)Workshop，包括LightSec,RFIDsec，Lightweight Crypto Day，以及美國NIST在2015年和2016年舉辦的兩次LightweightCryptography Workshop。

標準化研究是對輕量級密碼算法進(jìn)行標準立項，根據算法的功能、實(shí)現、應用環(huán)境等進(jìn)行標準研制，這方面在NIST之前，主要有IEC和日本“密碼研究和評估委員會(huì )”（Cryptography Research andEvaluation Committees，CRYPTREC）在進(jìn)行相關(guān)工作。具體為：

（1）IEC/ISO 29192《輕量級密碼》標準系列：首次發(fā)布為2012年，包含6個(gè)部分，算法目標覆蓋機密性、認證、鑒別、抗抵賴(lài)性以及密鑰交換；

（2）IEC/ISO 29167《自動(dòng)識別與數據采集技術(shù)》標準系列：首次發(fā)布為2012年，目前為止該標準共包含19個(gè)部分，其中第1部分描述了RFID設備的安全架構需求，并在其余各部分中，分別具體定義了包括AES、PRESENT、ECC-DH在內的無(wú)線(xiàn)/射頻空中接口通信密碼技術(shù)；

（3）日本CRYPTREC于2013年成立輕量級密碼工作組，致力于研究和支持其電子政務(wù)及任何需要輕量級密碼的應用，該工作組于2015年發(fā)布了關(guān)于輕量級密碼的調查報告，其中對AES、Camellia、CLEFIA、PRESENT等算法及其應用進(jìn)行了詳細分析，同時(shí)對這些算法進(jìn)行了實(shí)現評估。

4.1　NIST輕量級密碼項目

2013年美國NIST對輕量級密碼的標準化研究立項，意在征集輕量級密碼算法和輕量級密碼評估制標。項目目的體現在以下方面：

（1）了解真實(shí)世界的應用需求和特征；

（2）了解NIST已批準的算法究竟在哪些地方、應用上出現不足；

（3）政產(chǎn)學(xué)三者結合；

（4）規劃輕量級密碼部件的未來(lái)標準。

項目在輕量級密碼的設計上提出如下7點(diǎn)考慮：安全強度、靈活性、多重功能下的低開(kāi)銷(xiāo)、密文擴展、側信道、明文-密文對的數量限制、相關(guān)密鑰攻擊。

NIST對項目征集的輕量級密碼算法進(jìn)行評估和推薦。評估的考察框架針對目標設備和應用的類(lèi)別，框架的主要特征點(diǎn)如表1所示。

表1 輕量級密碼算法評估框架

關(guān)于密鑰大小的問(wèn)題，NIST提出：使用更短的密鑰長(cháng)度以降低芯片、電路容積需求；根據NIST SP 800-57，低于112bit的密鑰將不允許（不計劃）使用。如表2所示。

表2 NIST密碼算法密鑰長(cháng)度使用情況

4.2　輕量級密碼在資源受限設備安全中的應用角色

工控系統網(wǎng)絡(luò )可分為四個(gè)層次，即企業(yè)網(wǎng)絡(luò )、監控網(wǎng)絡(luò )、過(guò)程控制網(wǎng)絡(luò )、生產(chǎn)現場(chǎng)網(wǎng)絡(luò )，其中過(guò)程控制和生產(chǎn)現場(chǎng)網(wǎng)絡(luò )的資源受限設備最為集中。輕量級密碼將主要針對這兩個(gè)層次的應用，其角色可分為四類(lèi)：

（1）身份認證：資源的訪(fǎng)問(wèn)和操作需要對執行主體的身份進(jìn)行認證，以確定操作權限；凡涉及企業(yè)或其他人員介入的業(yè)務(wù)操作流程，必須進(jìn)行身份驗證；此外還包括各層次中和層次之間，子系統和設備交互時(shí)也需要進(jìn)行端到端身份驗證，以確保系統信息流的保密性、完整性和可用性。

（2）消息認證：過(guò)程控制和生產(chǎn)現場(chǎng)層次中和層次之間存在大量的通信需求，包括各資源受限子系統和設備間的各種信息流向；身份認證用于確保信息流雙方身份的合法性，而消息認證則確保雙方通信的完整性，即通信過(guò)程中不會(huì )發(fā)生消息內容修改、順序修改和計時(shí)修改。輕量級密碼在資源受限設備安全中的應用進(jìn)展情況。

（3）傳輸加密：資源受限各子系統和設備之間的此外，文章也分析了輕量級密碼在資源受限設備安全通信可能涉及到系統運行的關(guān)鍵參數、狀態(tài)數據、企中的四類(lèi)應用角色。業(yè)涉密信息的傳輸，因而需要采用可靠的加密方式進(jìn)行通信；基于輕量級密碼的傳輸加密措施必須滿(mǎn)足控制系統設備的帶寬、計算性能等約束性條件。

（4）安全事件追溯：工業(yè)控制系統在安全事件發(fā)生時(shí)和發(fā)生后，為了使系統管理員能準確、及時(shí)的查找事件發(fā)生相關(guān)責任者和相關(guān)資源，因此需要對各子系統和設備部署增加安全事件追溯功能；事件追溯一般通過(guò)對系統安全日志的審計和查詢(xún)，并利用操作主體的數字簽名和時(shí)間戳進(jìn)行分析和查找。

5　總結
工控系統集成和使用了大量資源受限設備，工控安全密碼應用需要考慮系統側和密碼側兩方面問(wèn)題。
本文以輕量級密碼在資源受限設備安全中的應用為主要探討對象，從技術(shù)研究、標準化研究等方面分析了輕量級密碼在資源受限設備安全中的應用進(jìn)展情況。此外，文章也分析了輕量級密碼在資源受限設備安全中的四類(lèi)應用角色。

作者簡(jiǎn)介

向宏（1964-），四川成都人，重慶大學(xué)教授、信息物理社會(huì )可信服務(wù)計算教育部重點(diǎn)實(shí)驗室主任，擔任國家密碼行業(yè)標準化技術(shù)委員會(huì )委員、國家商用密碼總體專(zhuān)家組成員等。近年來(lái)發(fā)表SCI/EI等學(xué)術(shù)論文40余篇，出版學(xué)術(shù)專(zhuān)著(zhù)5部；主持國家863計劃項目、國家重點(diǎn)研發(fā)計劃課題、國家自然科學(xué)基金等項目50余項。

夏曉峰（1980-），四川夾江人，重慶大學(xué)副教授、中國自動(dòng)化學(xué)會(huì )工業(yè)控制系統信息安全專(zhuān)委會(huì )委員、工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟理事等。發(fā)表SCI/EI等學(xué)術(shù)論文20余篇，出版科學(xué)出版社編著(zhù)1部；獲得2016年中共中央辦公廳“黨政密碼科技進(jìn)步獎”；主持國家重點(diǎn)研發(fā)計劃網(wǎng)絡(luò )空間安全重點(diǎn)專(zhuān)項子課題、若干省部級科研項目及國家電網(wǎng)科研項目。

參考文獻：

[1] 夏曉峰, 向宏, 等. 工業(yè)控制系統密碼應用研究課題指南[R]. 北京：國家密碼管理局，2016.

[2] 夏曉峰, 向宏, 等. 工業(yè)控制系統信息安全需求分析[R]. 北京：國家密碼管理局，2016.

[3] 夏曉峰, 向宏, 等. 工業(yè)控制系統密碼應用安全需求及關(guān)聯(lián)性分析[R]. 北京：國家密碼管理局，2016.

[4] Charalampos Manifavas1, George Hatzivasilis, Konstantinos Fysarakis, 等. Lightweight Cryptography for Embedded Systems – A Comparative Analysis[C]. The 6th International Workshop on Autonomous and Spontaneous Security. Lecture Notes in Computer Science, vol 8247. Heidelberg : Springer，2014 (8247) : 333 -349.

[5] Kerry A. McKay, Larry Bassham, Meltem S.nmez Turan, 等. NISTIR 8114：Report on Lightweight Cryptography[R]. USA: NIST. 2017.

[6] Caitlin Durkovich. Critical manufacturing sector cybersecurity framework implementation guidance[R]. USA: DHS, 2015.

[7] National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[Z].

[8] Keith Stouffer, Jim McCarthy. Capabilities assessment for securing manufacturing industrial control systems[R]. USA: NIST, 2017.

[9] Keith Stouffer, Timothy Zimmerman, CheeYee Tang, 等. NISTIR 8183: Cybersecurity Framework Manufacturing Profile[R]. USA : NIST, 2017.

[10] Okamura Toshihiko. Lightweight Cryptography Applicable to Various IoT Devices[R], Japan: NEC, 2015.

[11] Keith Stouffer, Victoria Pillitteri, Suzanne Lightman, 等. NIST SP800-82r2: Guide to Industrial Control Systems (ICS) Security[R]. USA :  NIST, 2015.

[12] Protecting Industrial Control Systems[R]: European Network and Information Security Agency, ENISA, 2011.

[13] National Institute of Standards and Technology. Security and Privacy Controls for Federal Information Systems and Organizations[Z].

[14] NIST FIPS PUB 140-2-2001, Security Requirements for Cryptographic Modules[S].

[15] ANSI/ISA-TR99-2007, Security Technologies for Industrial Automation and Control Systems[S].

[16] ISA/IEC-62443-1-1-2013, Security for industrial automation and control systems – terminology, concepts, and models[S].

[17] Elaine Barker. Recommendation for Key Management[R]. NIST SP800-57 Part 1, 2016.

[18] 馬一林, 夏曉峰, 向宏, 等. 淺析工業(yè)控制網(wǎng)絡(luò )中的批量安全認證問(wèn)題[C]. 第5屆全國電子認證技術(shù)交流大會(huì )論文集，2018.

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》