★南京訊石數據科技有限公司牛毅

★國家電網(wǎng)信產(chǎn)集團北京中電飛華通信有限公司周游

摘要：本文分析了當前工控生產(chǎn)網(wǎng)絡(luò )的安全現狀和需求，指出了在工業(yè)制造、能源生產(chǎn)過(guò)程中，其生產(chǎn)現場(chǎng)的復雜性和特殊性對數據進(jìn)行安全防護所面臨的問(wèn)題；通過(guò)對傳統的安全認證技術(shù)進(jìn)行分析，提出了與PKICA認證技術(shù)密碼同源的無(wú)證書(shū)IPK標識公鑰技術(shù)；通過(guò)兩種技術(shù)對比，基于IPK技術(shù)對工控網(wǎng)縱向防御實(shí)現即插即用，在滿(mǎn)足工控應用效能的基礎上，對現有網(wǎng)絡(luò )部署無(wú)須進(jìn)行更改，無(wú)須增加IP，也無(wú)須對接入設備和系統實(shí)施改造，完全滿(mǎn)足復雜的工業(yè)生產(chǎn)場(chǎng)景。通過(guò)IPK即插即用安全終端快速實(shí)現工控網(wǎng)絡(luò )的縱向安全防御，保證生產(chǎn)數據的加密傳輸、業(yè)務(wù)指令的安全加固、源數據的安全可信；進(jìn)一步的，用戶(hù)方可以靈活便捷地自主生產(chǎn)、簽發(fā)、管理密鑰，安全不再依賴(lài)設備廠(chǎng)家，真正實(shí)現工業(yè)生產(chǎn)數據安全的自主可控。

關(guān)鍵詞：即插即用；縱向防御；標識公鑰；效能評估

1 引言

隨著(zhù)物聯(lián)網(wǎng)技術(shù)在工業(yè)生產(chǎn)中的應用和推廣，安全隱患問(wèn)題也變得日益突出。近年來(lái)，國家相繼出臺了各類(lèi)安全法律、法規和技術(shù)標準，工業(yè)生產(chǎn)基礎設施安全已上升至國家安全戰略的高度。工業(yè)生產(chǎn)的過(guò)程中會(huì )形成各種數據，幾乎涵蓋了工業(yè)生產(chǎn)、制造過(guò)程的所有核心資料，這些數據不僅是企業(yè)生產(chǎn)制造的核心數據，同時(shí)也是我國工業(yè)生產(chǎn)行業(yè)的關(guān)鍵數據。這些數據一旦被非法采集或截取，將會(huì )完全脫離企業(yè)用戶(hù)的自身控制，給企業(yè)乃至國家埋下安全隱患。因此，必須保證工業(yè)制造、能源生產(chǎn)行業(yè)關(guān)鍵數據的安全，為數據建立安全防御。

目前，我國工業(yè)生產(chǎn)網(wǎng)絡(luò )的安全防護大多是在網(wǎng)絡(luò )邊界及安全域出口設置防火墻、網(wǎng)閘等安全防護設備，可以基本實(shí)現對生產(chǎn)網(wǎng)絡(luò )的橫向防護，但對于接入生產(chǎn)網(wǎng)絡(luò )的各類(lèi)監控設備、業(yè)務(wù)系統來(lái)講，工控網(wǎng)絡(luò )的縱向防護嚴重缺失。工業(yè)生產(chǎn)數據通常通過(guò)工控系統實(shí)現監控采集，一方面，通過(guò)監控設備采集的數據大部分都是明文發(fā)送，另一方面，SCADA系統發(fā)送監控設備的指令和參數也缺少安全防護，一旦遭遇黑客攻擊發(fā)生泄露，通過(guò)這些數據可以對企業(yè)的工業(yè)生產(chǎn)過(guò)程做出統計分析，甚至可以通過(guò)對監控系統數據的分析，對相關(guān)操作指令和參數進(jìn)行修改，產(chǎn)生不可估量的嚴重后果。尤其對于我國能源生產(chǎn)安全來(lái)講，數據泄露將可能造成不可估量的損失。

2 工控網(wǎng)絡(luò )安全現狀與需求

由于歷史原因，工業(yè)生產(chǎn)用戶(hù)的網(wǎng)絡(luò )安全防護意識較弱，同時(shí)生產(chǎn)設備和系統中還會(huì )使用國外的產(chǎn)品或技術(shù)，本身就存在一定的安全隱患。另外，在已形成規模的工控生產(chǎn)網(wǎng)絡(luò )中，對已經(jīng)上線(xiàn)的工控設備或系統進(jìn)行安全改造很難實(shí)現。所以，安全防護需要采用對現有應用不產(chǎn)生影響、部署靈活、簡(jiǎn)單快速、運維成本低的方式進(jìn)行。

對于新建的工控網(wǎng)絡(luò )應用，設備廠(chǎng)家提供的產(chǎn)品雖然都已經(jīng)增加了安全功能，但產(chǎn)品應用的核心密鑰大多都是由產(chǎn)品提供商完成設置，作為安全核心的密鑰掌握在第三方手中，偏離了安全需要自主可控的核心，這也使得生產(chǎn)企業(yè)無(wú)法真正實(shí)現對自身數據的安全自主可控。

在工業(yè)制造、能源生產(chǎn)過(guò)程中，生產(chǎn)現場(chǎng)具有一定的復雜性和特殊性，要對生產(chǎn)數據實(shí)現安全防護還會(huì )面臨如下問(wèn)題：

（1）工業(yè)生產(chǎn)具有數據傳輸的實(shí)時(shí)性，且具有應用時(shí)延要求，安全的加入不能影響到現有應用效率，須實(shí)現安全運算的低時(shí)延、低功耗。

（2）工業(yè)生產(chǎn)環(huán)境復雜，安全改造盡量不對原有系統和網(wǎng)絡(luò )進(jìn)行改變，同時(shí)，不能造成后續過(guò)高的維護成本。須實(shí)現安全改造成本低且易維護。

（3）數據是企業(yè)的核心數字資產(chǎn)，數據安全的核心必須掌控在企業(yè)自己手中，企業(yè)不能依靠第三方，必須實(shí)現對數據安全的自主可控。

（4）工業(yè)生產(chǎn)現場(chǎng)應用與傳統的互聯(lián)網(wǎng)應用不同，密鑰的安全非常重要，還須防止由于密鑰中心被入侵或泄露導致整個(gè)安全防護體系失效帶來(lái)的巨大風(fēng)險。

要實(shí)現工業(yè)生產(chǎn)數據的安全防護，一方面不能依托國外的產(chǎn)品技術(shù)，必須采用我國自主的算法與產(chǎn)品技術(shù)。另一方面，還需要從根本上徹底擺脫傳統的，由產(chǎn)品提供商提供核心密鑰的方式改為：設備廠(chǎng)商只提供產(chǎn)品安全功能，而產(chǎn)品的核心密鑰必須由企業(yè)自己生產(chǎn)、簽發(fā)和管控。只有這樣，才可以真正實(shí)現工業(yè)生產(chǎn)數據的安全、自主、可控。

3 工控網(wǎng)縱向安全防御技術(shù)實(shí)現

3.1 傳統安全防御技術(shù)的不足

傳統的安全防御技術(shù)體系一般都采用PKI證書(shū)方式，安全認證基于中心化實(shí)現。而面對工控生產(chǎn)的縱向防護要求與特征，在滿(mǎn)足工控系統運行效率要求的條件下，PKI證書(shū)的中心化認證方式可能會(huì )存在不足，尤其在窄帶通信、海量設備接入以及終端運算資源比較緊張的情況下，可能會(huì )導致認證效率低下、運算量大、中心密鑰管理復雜，無(wú)法滿(mǎn)足安全應用需求等問(wèn)題。另外，從成本投入的角度，證書(shū)密鑰中心的建設成本也比較高，不能很好地滿(mǎn)足對工控網(wǎng)絡(luò )的縱深安全防護要求。

另外，從實(shí)際的生產(chǎn)環(huán)境考慮，工控網(wǎng)絡(luò )中接入了大量的終端設備，所有終端的密鑰都部署于密鑰中心，接入的設備越多，管理的復雜度也會(huì )越大，而且，所有密鑰集中于中心，一旦出現泄露，將導致整個(gè)安全防護體系的崩塌。所以，中心認證方式對于工控生產(chǎn)網(wǎng)絡(luò )來(lái)講，存在一定的安全隱患與不足。一方面要避免中心化密鑰存儲帶來(lái)的管理復雜度與安全風(fēng)險，另一方面，由于終端部署于遠程，需要保證終端密鑰使用的一次一密，即使終端密鑰被破解也只能是獲取一次傳輸數據，對整個(gè)生產(chǎn)數據不會(huì )形成任何影響。只有這樣，才可以更好地實(shí)現工控生產(chǎn)網(wǎng)絡(luò )的縱深防御。

3.2 IPK標識公鑰技術(shù)介紹

IPK（IdentityPublicKey）標識公鑰技術(shù)是一種無(wú)證書(shū)公鑰密碼體制，可實(shí)現海量密鑰的管理，與傳統的證書(shū)體系相比，IPK具有低功耗、高效率、點(diǎn)對點(diǎn)認證的特性，是一種輕量級密鑰實(shí)現技術(shù)或密鑰管理協(xié)議。

3.2.1 終端標識密鑰生成

針對接入工控網(wǎng)絡(luò )的終端，IPK可基于終端標識實(shí)現密鑰的快速生產(chǎn)管理。如圖1所示，終端最終使用私鑰生成流程大致為：使用終端標識本地生成終端隨機公鑰UPK，并與密鑰中心隨機公鑰HPK一起通過(guò)密鑰中心私鑰矩陣計算生成標識私鑰，并簽發(fā)終端；終端通過(guò)終端隨機私鑰usk、密鑰中心隨機私鑰hsk以及標識私鑰進(jìn)行三方復合運算，生成終端最終使用私鑰isk。終端最終使用公鑰生成流程大致為：使用終端標識本地生成終端隨機公鑰UPK，并與密鑰中心隨機公鑰HPK，通過(guò)密鑰中心的公鑰種矩陣計算生成標識公鑰，并簽發(fā)終端，該標識公鑰與終端隨機公鑰UPK、密鑰中心隨機公鑰HPK共同計算生成終端最終使用公鑰。終端標識密鑰生成過(guò)程如圖1所示。

圖1 終端標識密鑰生成過(guò)程

3.2.2 IPK技術(shù)與PKICA技術(shù)對比

與傳統的PKICA認證相比，IPK認證效率更高、運算時(shí)間短、簽名包長(cháng)度更短，同時(shí)，IPK實(shí)現了點(diǎn)對點(diǎn)安全認證，密鑰管理簡(jiǎn)單高效，相比PKI技術(shù)，IPK更加適合實(shí)現術(shù)對工控生產(chǎn)網(wǎng)絡(luò )實(shí)現縱深防御，效率更高，且幾乎不會(huì )對工控應用造成任何影響，完全滿(mǎn)足工控生產(chǎn)的安防效能要求。

IPK標識認證與PKICA證書(shū)認證的比較如表1所示。

表1 IPK與PKI技術(shù)性能比較

3.2.3 IPK實(shí)現工控網(wǎng)縱向防御的特點(diǎn)

通過(guò)終端標識密鑰生成過(guò)程可以看出：IPK標識密鑰的生成全部在終端本地生成，不需要依賴(lài)第三方，可實(shí)現點(diǎn)對點(diǎn)快速認證。同時(shí)，終端最終使用密鑰是由三方參與生成，密鑰中心只是參與因子，終端密鑰更安全?？梢?jiàn)，針對工控網(wǎng)絡(luò )縱向安全防護，采用IPK無(wú)證書(shū)公鑰密碼技術(shù)具有更明顯的優(yōu)勢：

（1）IPK認證無(wú)須證書(shū)，而是使用終端設備的標識直接作為公鑰來(lái)實(shí)現對設備的身份授權和認證，運算低功耗、高效率，滿(mǎn)足工控網(wǎng)絡(luò )5G超高帶寬、超可靠低時(shí)延以及超大規模連接的特性，滿(mǎn)足工控設備窄帶通信與邊緣計算的要求，完全符合工控網(wǎng)絡(luò )縱向安全防護的安全要求。

（2）IPK可實(shí)現海量密鑰的簽發(fā)管理，滿(mǎn)足工控網(wǎng)絡(luò )所有接入設備、系統、應用的密鑰簽發(fā)和安全應用，還可通過(guò)IPK的技術(shù)特性，滿(mǎn)足工控網(wǎng)絡(luò )的安全隔離和互聯(lián)要求。

（3）IPK密鑰中心簽發(fā)密鑰給終端后將不再參與安全應用，終端對密鑰進(jìn)行二次復核生成最終使用密鑰，密鑰中心無(wú)法獲知，且無(wú)法推算出終端的最終使用密鑰，密鑰簽發(fā)與使用更安全，杜絕中心被攻擊或密鑰泄露造成安全防御整體崩潰的重大安全事故。

（4）IPK與傳統的PKICA技術(shù)具有相同的密碼基礎與協(xié)議，全部基于國密SM2算法實(shí)現安全應用，IPK與PKI可輕松實(shí)現技術(shù)互通，可滿(mǎn)足工控網(wǎng)絡(luò )云端與感知端安全體系相互融合的需求。

4 即插即用工控網(wǎng)縱向安全防御

4.1 工控網(wǎng)縱向應用的安全風(fēng)險

傳統的工控縱向網(wǎng)絡(luò )一般包括了三部分：遠程采集端、監控中心、信息中心。遠程采集端的數據發(fā)送至工控SCADA系統，經(jīng)SCADA實(shí)時(shí)監控，形成最終的生產(chǎn)數據，一般通過(guò)生產(chǎn)內網(wǎng)發(fā)送至信息中心數據庫進(jìn)行存儲。在生產(chǎn)數據被遠程采集、傳輸、存儲的整個(gè)執行路徑中，主要存在以下安全風(fēng)險：

（1）遠程終端接入設備的身份合法問(wèn)題；

（2）遠程終端上線(xiàn)發(fā)送數據的安全傳輸問(wèn)題；

（3）遠程終端發(fā)送源數據的安全可信問(wèn)題；

（4）SCADA下行指令及核心參數的安全可靠問(wèn)題。

4.2 即插即用工控網(wǎng)絡(luò )縱向安全防御護架構

即插即用工控網(wǎng)縱向安全防御的整體架構示意如圖2所示。

圖2 即插即用工控網(wǎng)縱向安全防御實(shí)現框架

即插即用工控網(wǎng)縱向安全防御實(shí)現基于IPK標識公鑰密碼技術(shù)。在遠程采集端的終端傳感設備上串聯(lián)了SEU（即插即用安全終端），SEU可以通過(guò)RJ45或RS485接口與已有的終端傳感設備（圖像、視頻監控；RTU、PLC、網(wǎng)關(guān)；數據集中器；傳感設備等）實(shí)現鏈接，設備綁定無(wú)須增加新的IP。在監控中心SCADA系統前端連接縱向認證加密設備E-SCE（邊緣安全網(wǎng)關(guān)），生產(chǎn)數據上傳及監控指令、關(guān)鍵參數的下發(fā)時(shí)，數據經(jīng)過(guò)SEU、E-SCE即可實(shí)現數據加密、指令加固以及數據源可信。

加入原系統的SEU、E-SCE不會(huì )影響原有應用，不會(huì )增加原有系統的IP管理，通過(guò)TUCP（即：終端鑒權及統一安全管理）對所有設備進(jìn)行白名單管理，同時(shí)實(shí)現設備密鑰的在線(xiàn)簽發(fā)和管理，保證接入終端的鑒權及相互間的認證。整個(gè)系統的數據安全實(shí)現簡(jiǎn)單、快捷，且后續維護成本低，完全滿(mǎn)足工業(yè)生產(chǎn)的應用場(chǎng)景和應用時(shí)效要求。

5 總結

工控生產(chǎn)網(wǎng)絡(luò )的縱向安全防御是工業(yè)生產(chǎn)數據安全的核心。隨著(zhù)我國《數據安全法》的實(shí)施，對于關(guān)系到我國經(jīng)濟與工業(yè)發(fā)展的生產(chǎn)數據安全防護更為重要。工業(yè)生產(chǎn)網(wǎng)絡(luò )的安全防護不僅僅是傳統的橫向防御，更需要加強工控網(wǎng)絡(luò )安全的縱深防御。

本文提供了一種全國產(chǎn)化的IPK標識公鑰技術(shù)，基于國密算法，在滿(mǎn)足工控應用的安全效能評估、不改變原有工控應用網(wǎng)絡(luò )部署、不增加IP、不改造原有設備和系統的條件下，加入即插即用安全終端，快速建立工控網(wǎng)絡(luò )的縱向安全防護，同時(shí)實(shí)現了用戶(hù)自主生產(chǎn)簽發(fā)密鑰，讓用戶(hù)牢牢把控安全核心，真正實(shí)現生產(chǎn)數據安全的自主可控。

作者介紹：

牛毅 （1973-），男，山西太原人，高級工程師，學(xué)士，現就職于南京訊石數據科技有限公司，長(cháng)期從事輕量級密鑰技術(shù)的研究與應用，主要研究方向為工控網(wǎng)絡(luò )安全、網(wǎng)域安全隔離與互通、衛星通信安全、物聯(lián)網(wǎng)安全、終端設備安全。

周游 （1978-），男，北京人，高級工程師，學(xué)士，現就職于國家電網(wǎng)信產(chǎn)集團北京中電飛華通信有限公司，主要研究方向為電力通信技術(shù)、信息通信安全等相關(guān)技術(shù)研究。

摘自《自動(dòng)化博覽》2022年10月刊