今日頭條
官方微信
官方抖音
資訊頻道★南京訊石數(shù)據(jù)科技有限公司牛毅
★國(guó)家電網(wǎng)信產(chǎn)集團(tuán)北京中電飛華通信有限公司周游
摘要:本文分析了當(dāng)前工控生產(chǎn)網(wǎng)絡(luò)的安全現(xiàn)狀和需求,指出了在工業(yè)制造、能源生產(chǎn)過(guò)程中,其生產(chǎn)現(xiàn)場(chǎng)的復(fù)雜性和特殊性對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)所面臨的問(wèn)題;通過(guò)對(duì)傳統(tǒng)的安全認(rèn)證技術(shù)進(jìn)行分析,提出了與PKICA認(rèn)證技術(shù)密碼同源的無(wú)證書(shū)IPK標(biāo)識(shí)公鑰技術(shù);通過(guò)兩種技術(shù)對(duì)比,基于IPK技術(shù)對(duì)工控網(wǎng)縱向防御實(shí)現(xiàn)即插即用,在滿足工控應(yīng)用效能的基礎(chǔ)上,對(duì)現(xiàn)有網(wǎng)絡(luò)部署無(wú)須進(jìn)行更改,無(wú)須增加IP,也無(wú)須對(duì)接入設(shè)備和系統(tǒng)實(shí)施改造,完全滿足復(fù)雜的工業(yè)生產(chǎn)場(chǎng)景。通過(guò)IPK即插即用安全終端快速實(shí)現(xiàn)工控網(wǎng)絡(luò)的縱向安全防御,保證生產(chǎn)數(shù)據(jù)的加密傳輸、業(yè)務(wù)指令的安全加固、源數(shù)據(jù)的安全可信;進(jìn)一步的,用戶方可以靈活便捷地自主生產(chǎn)、簽發(fā)、管理密鑰,安全不再依賴設(shè)備廠家,真正實(shí)現(xiàn)工業(yè)生產(chǎn)數(shù)據(jù)安全的自主可控。
關(guān)鍵詞:即插即用;縱向防御;標(biāo)識(shí)公鑰;效能評(píng)估
1 引言
隨著物聯(lián)網(wǎng)技術(shù)在工業(yè)生產(chǎn)中的應(yīng)用和推廣,安全隱患問(wèn)題也變得日益突出。近年來(lái),國(guó)家相繼出臺(tái)了各類(lèi)安全法律、法規(guī)和技術(shù)標(biāo)準(zhǔn),工業(yè)生產(chǎn)基礎(chǔ)設(shè)施安全已上升至國(guó)家安全戰(zhàn)略的高度。工業(yè)生產(chǎn)的過(guò)程中會(huì)形成各種數(shù)據(jù),幾乎涵蓋了工業(yè)生產(chǎn)、制造過(guò)程的所有核心資料,這些數(shù)據(jù)不僅是企業(yè)生產(chǎn)制造的核心數(shù)據(jù),同時(shí)也是我國(guó)工業(yè)生產(chǎn)行業(yè)的關(guān)鍵數(shù)據(jù)。這些數(shù)據(jù)一旦被非法采集或截取,將會(huì)完全脫離企業(yè)用戶的自身控制,給企業(yè)乃至國(guó)家埋下安全隱患。因此,必須保證工業(yè)制造、能源生產(chǎn)行業(yè)關(guān)鍵數(shù)據(jù)的安全,為數(shù)據(jù)建立安全防御。
目前,我國(guó)工業(yè)生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)大多是在網(wǎng)絡(luò)邊界及安全域出口設(shè)置防火墻、網(wǎng)閘等安全防護(hù)設(shè)備,可以基本實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)絡(luò)的橫向防護(hù),但對(duì)于接入生產(chǎn)網(wǎng)絡(luò)的各類(lèi)監(jiān)控設(shè)備、業(yè)務(wù)系統(tǒng)來(lái)講,工控網(wǎng)絡(luò)的縱向防護(hù)嚴(yán)重缺失。工業(yè)生產(chǎn)數(shù)據(jù)通常通過(guò)工控系統(tǒng)實(shí)現(xiàn)監(jiān)控采集,一方面,通過(guò)監(jiān)控設(shè)備采集的數(shù)據(jù)大部分都是明文發(fā)送,另一方面,SCADA系統(tǒng)發(fā)送監(jiān)控設(shè)備的指令和參數(shù)也缺少安全防護(hù),一旦遭遇黑客攻擊發(fā)生泄露,通過(guò)這些數(shù)據(jù)可以對(duì)企業(yè)的工業(yè)生產(chǎn)過(guò)程做出統(tǒng)計(jì)分析,甚至可以通過(guò)對(duì)監(jiān)控系統(tǒng)數(shù)據(jù)的分析,對(duì)相關(guān)操作指令和參數(shù)進(jìn)行修改,產(chǎn)生不可估量的嚴(yán)重后果。尤其對(duì)于我國(guó)能源生產(chǎn)安全來(lái)講,數(shù)據(jù)泄露將可能造成不可估量的損失。
2 工控網(wǎng)絡(luò)安全現(xiàn)狀與需求
由于歷史原因,工業(yè)生產(chǎn)用戶的網(wǎng)絡(luò)安全防護(hù)意識(shí)較弱,同時(shí)生產(chǎn)設(shè)備和系統(tǒng)中還會(huì)使用國(guó)外的產(chǎn)品或技術(shù),本身就存在一定的安全隱患。另外,在已形成規(guī)模的工控生產(chǎn)網(wǎng)絡(luò)中,對(duì)已經(jīng)上線的工控設(shè)備或系統(tǒng)進(jìn)行安全改造很難實(shí)現(xiàn)。所以,安全防護(hù)需要采用對(duì)現(xiàn)有應(yīng)用不產(chǎn)生影響、部署靈活、簡(jiǎn)單快速、運(yùn)維成本低的方式進(jìn)行。
對(duì)于新建的工控網(wǎng)絡(luò)應(yīng)用,設(shè)備廠家提供的產(chǎn)品雖然都已經(jīng)增加了安全功能,但產(chǎn)品應(yīng)用的核心密鑰大多都是由產(chǎn)品提供商完成設(shè)置,作為安全核心的密鑰掌握在第三方手中,偏離了安全需要自主可控的核心,這也使得生產(chǎn)企業(yè)無(wú)法真正實(shí)現(xiàn)對(duì)自身數(shù)據(jù)的安全自主可控。
在工業(yè)制造、能源生產(chǎn)過(guò)程中,生產(chǎn)現(xiàn)場(chǎng)具有一定的復(fù)雜性和特殊性,要對(duì)生產(chǎn)數(shù)據(jù)實(shí)現(xiàn)安全防護(hù)還會(huì)面臨如下問(wèn)題:
(1)工業(yè)生產(chǎn)具有數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性,且具有應(yīng)用時(shí)延要求,安全的加入不能影響到現(xiàn)有應(yīng)用效率,須實(shí)現(xiàn)安全運(yùn)算的低時(shí)延、低功耗。
(2)工業(yè)生產(chǎn)環(huán)境復(fù)雜,安全改造盡量不對(duì)原有系統(tǒng)和網(wǎng)絡(luò)進(jìn)行改變,同時(shí),不能造成后續(xù)過(guò)高的維護(hù)成本。須實(shí)現(xiàn)安全改造成本低且易維護(hù)。
(3)數(shù)據(jù)是企業(yè)的核心數(shù)字資產(chǎn),數(shù)據(jù)安全的核心必須掌控在企業(yè)自己手中,企業(yè)不能依靠第三方,必須實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的自主可控。
(4)工業(yè)生產(chǎn)現(xiàn)場(chǎng)應(yīng)用與傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用不同,密鑰的安全非常重要,還須防止由于密鑰中心被入侵或泄露導(dǎo)致整個(gè)安全防護(hù)體系失效帶來(lái)的巨大風(fēng)險(xiǎn)。
要實(shí)現(xiàn)工業(yè)生產(chǎn)數(shù)據(jù)的安全防護(hù),一方面不能依托國(guó)外的產(chǎn)品技術(shù),必須采用我國(guó)自主的算法與產(chǎn)品技術(shù)。另一方面,還需要從根本上徹底擺脫傳統(tǒng)的,由產(chǎn)品提供商提供核心密鑰的方式改為:設(shè)備廠商只提供產(chǎn)品安全功能,而產(chǎn)品的核心密鑰必須由企業(yè)自己生產(chǎn)、簽發(fā)和管控。只有這樣,才可以真正實(shí)現(xiàn)工業(yè)生產(chǎn)數(shù)據(jù)的安全、自主、可控。
3 工控網(wǎng)縱向安全防御技術(shù)實(shí)現(xiàn)
3.1 傳統(tǒng)安全防御技術(shù)的不足
傳統(tǒng)的安全防御技術(shù)體系一般都采用PKI證書(shū)方式,安全認(rèn)證基于中心化實(shí)現(xiàn)。而面對(duì)工控生產(chǎn)的縱向防護(hù)要求與特征,在滿足工控系統(tǒng)運(yùn)行效率要求的條件下,PKI證書(shū)的中心化認(rèn)證方式可能會(huì)存在不足,尤其在窄帶通信、海量設(shè)備接入以及終端運(yùn)算資源比較緊張的情況下,可能會(huì)導(dǎo)致認(rèn)證效率低下、運(yùn)算量大、中心密鑰管理復(fù)雜,無(wú)法滿足安全應(yīng)用需求等問(wèn)題。另外,從成本投入的角度,證書(shū)密鑰中心的建設(shè)成本也比較高,不能很好地滿足對(duì)工控網(wǎng)絡(luò)的縱深安全防護(hù)要求。
另外,從實(shí)際的生產(chǎn)環(huán)境考慮,工控網(wǎng)絡(luò)中接入了大量的終端設(shè)備,所有終端的密鑰都部署于密鑰中心,接入的設(shè)備越多,管理的復(fù)雜度也會(huì)越大,而且,所有密鑰集中于中心,一旦出現(xiàn)泄露,將導(dǎo)致整個(gè)安全防護(hù)體系的崩塌。所以,中心認(rèn)證方式對(duì)于工控生產(chǎn)網(wǎng)絡(luò)來(lái)講,存在一定的安全隱患與不足。一方面要避免中心化密鑰存儲(chǔ)帶來(lái)的管理復(fù)雜度與安全風(fēng)險(xiǎn),另一方面,由于終端部署于遠(yuǎn)程,需要保證終端密鑰使用的一次一密,即使終端密鑰被破解也只能是獲取一次傳輸數(shù)據(jù),對(duì)整個(gè)生產(chǎn)數(shù)據(jù)不會(huì)形成任何影響。只有這樣,才可以更好地實(shí)現(xiàn)工控生產(chǎn)網(wǎng)絡(luò)的縱深防御。
3.2 IPK標(biāo)識(shí)公鑰技術(shù)介紹
IPK(IdentityPublicKey)標(biāo)識(shí)公鑰技術(shù)是一種無(wú)證書(shū)公鑰密碼體制,可實(shí)現(xiàn)海量密鑰的管理,與傳統(tǒng)的證書(shū)體系相比,IPK具有低功耗、高效率、點(diǎn)對(duì)點(diǎn)認(rèn)證的特性,是一種輕量級(jí)密鑰實(shí)現(xiàn)技術(shù)或密鑰管理協(xié)議。
3.2.1 終端標(biāo)識(shí)密鑰生成
針對(duì)接入工控網(wǎng)絡(luò)的終端,IPK可基于終端標(biāo)識(shí)實(shí)現(xiàn)密鑰的快速生產(chǎn)管理。如圖1所示,終端最終使用私鑰生成流程大致為:使用終端標(biāo)識(shí)本地生成終端隨機(jī)公鑰UPK,并與密鑰中心隨機(jī)公鑰HPK一起通過(guò)密鑰中心私鑰矩陣計(jì)算生成標(biāo)識(shí)私鑰,并簽發(fā)終端;終端通過(guò)終端隨機(jī)私鑰usk、密鑰中心隨機(jī)私鑰hsk以及標(biāo)識(shí)私鑰進(jìn)行三方復(fù)合運(yùn)算,生成終端最終使用私鑰isk。終端最終使用公鑰生成流程大致為:使用終端標(biāo)識(shí)本地生成終端隨機(jī)公鑰UPK,并與密鑰中心隨機(jī)公鑰HPK,通過(guò)密鑰中心的公鑰種矩陣計(jì)算生成標(biāo)識(shí)公鑰,并簽發(fā)終端,該標(biāo)識(shí)公鑰與終端隨機(jī)公鑰UPK、密鑰中心隨機(jī)公鑰HPK共同計(jì)算生成終端最終使用公鑰。終端標(biāo)識(shí)密鑰生成過(guò)程如圖1所示。
圖1 終端標(biāo)識(shí)密鑰生成過(guò)程
3.2.2 IPK技術(shù)與PKICA技術(shù)對(duì)比
與傳統(tǒng)的PKICA認(rèn)證相比,IPK認(rèn)證效率更高、運(yùn)算時(shí)間短、簽名包長(zhǎng)度更短,同時(shí),IPK實(shí)現(xiàn)了點(diǎn)對(duì)點(diǎn)安全認(rèn)證,密鑰管理簡(jiǎn)單高效,相比PKI技術(shù),IPK更加適合實(shí)現(xiàn)術(shù)對(duì)工控生產(chǎn)網(wǎng)絡(luò)實(shí)現(xiàn)縱深防御,效率更高,且?guī)缀醪粫?huì)對(duì)工控應(yīng)用造成任何影響,完全滿足工控生產(chǎn)的安防效能要求。
IPK標(biāo)識(shí)認(rèn)證與PKICA證書(shū)認(rèn)證的比較如表1所示。
表1 IPK與PKI技術(shù)性能比較
3.2.3 IPK實(shí)現(xiàn)工控網(wǎng)縱向防御的特點(diǎn)
通過(guò)終端標(biāo)識(shí)密鑰生成過(guò)程可以看出:IPK標(biāo)識(shí)密鑰的生成全部在終端本地生成,不需要依賴第三方,可實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)快速認(rèn)證。同時(shí),終端最終使用密鑰是由三方參與生成,密鑰中心只是參與因子,終端密鑰更安全。可見(jiàn),針對(duì)工控網(wǎng)絡(luò)縱向安全防護(hù),采用IPK無(wú)證書(shū)公鑰密碼技術(shù)具有更明顯的優(yōu)勢(shì):
(1)IPK認(rèn)證無(wú)須證書(shū),而是使用終端設(shè)備的標(biāo)識(shí)直接作為公鑰來(lái)實(shí)現(xiàn)對(duì)設(shè)備的身份授權(quán)和認(rèn)證,運(yùn)算低功耗、高效率,滿足工控網(wǎng)絡(luò)5G超高帶寬、超可靠低時(shí)延以及超大規(guī)模連接的特性,滿足工控設(shè)備窄帶通信與邊緣計(jì)算的要求,完全符合工控網(wǎng)絡(luò)縱向安全防護(hù)的安全要求。
(2)IPK可實(shí)現(xiàn)海量密鑰的簽發(fā)管理,滿足工控網(wǎng)絡(luò)所有接入設(shè)備、系統(tǒng)、應(yīng)用的密鑰簽發(fā)和安全應(yīng)用,還可通過(guò)IPK的技術(shù)特性,滿足工控網(wǎng)絡(luò)的安全隔離和互聯(lián)要求。
(3)IPK密鑰中心簽發(fā)密鑰給終端后將不再參與安全應(yīng)用,終端對(duì)密鑰進(jìn)行二次復(fù)核生成最終使用密鑰,密鑰中心無(wú)法獲知,且無(wú)法推算出終端的最終使用密鑰,密鑰簽發(fā)與使用更安全,杜絕中心被攻擊或密鑰泄露造成安全防御整體崩潰的重大安全事故。
(4)IPK與傳統(tǒng)的PKICA技術(shù)具有相同的密碼基礎(chǔ)與協(xié)議,全部基于國(guó)密SM2算法實(shí)現(xiàn)安全應(yīng)用,IPK與PKI可輕松實(shí)現(xiàn)技術(shù)互通,可滿足工控網(wǎng)絡(luò)云端與感知端安全體系相互融合的需求。
4 即插即用工控網(wǎng)縱向安全防御
4.1 工控網(wǎng)縱向應(yīng)用的安全風(fēng)險(xiǎn)
傳統(tǒng)的工控縱向網(wǎng)絡(luò)一般包括了三部分:遠(yuǎn)程采集端、監(jiān)控中心、信息中心。遠(yuǎn)程采集端的數(shù)據(jù)發(fā)送至工控SCADA系統(tǒng),經(jīng)SCADA實(shí)時(shí)監(jiān)控,形成最終的生產(chǎn)數(shù)據(jù),一般通過(guò)生產(chǎn)內(nèi)網(wǎng)發(fā)送至信息中心數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)。在生產(chǎn)數(shù)據(jù)被遠(yuǎn)程采集、傳輸、存儲(chǔ)的整個(gè)執(zhí)行路徑中,主要存在以下安全風(fēng)險(xiǎn):
(1)遠(yuǎn)程終端接入設(shè)備的身份合法問(wèn)題;
(2)遠(yuǎn)程終端上線發(fā)送數(shù)據(jù)的安全傳輸問(wèn)題;
(3)遠(yuǎn)程終端發(fā)送源數(shù)據(jù)的安全可信問(wèn)題;
(4)SCADA下行指令及核心參數(shù)的安全可靠問(wèn)題。
4.2 即插即用工控網(wǎng)絡(luò)縱向安全防御護(hù)架構(gòu)
即插即用工控網(wǎng)縱向安全防御的整體架構(gòu)示意如圖2所示。
圖2 即插即用工控網(wǎng)縱向安全防御實(shí)現(xiàn)框架
即插即用工控網(wǎng)縱向安全防御實(shí)現(xiàn)基于IPK標(biāo)識(shí)公鑰密碼技術(shù)。在遠(yuǎn)程采集端的終端傳感設(shè)備上串聯(lián)了SEU(即插即用安全終端),SEU可以通過(guò)RJ45或RS485接口與已有的終端傳感設(shè)備(圖像、視頻監(jiān)控;RTU、PLC、網(wǎng)關(guān);數(shù)據(jù)集中器;傳感設(shè)備等)實(shí)現(xiàn)鏈接,設(shè)備綁定無(wú)須增加新的IP。在監(jiān)控中心SCADA系統(tǒng)前端連接縱向認(rèn)證加密設(shè)備E-SCE(邊緣安全網(wǎng)關(guān)),生產(chǎn)數(shù)據(jù)上傳及監(jiān)控指令、關(guān)鍵參數(shù)的下發(fā)時(shí),數(shù)據(jù)經(jīng)過(guò)SEU、E-SCE即可實(shí)現(xiàn)數(shù)據(jù)加密、指令加固以及數(shù)據(jù)源可信。
加入原系統(tǒng)的SEU、E-SCE不會(huì)影響原有應(yīng)用,不會(huì)增加原有系統(tǒng)的IP管理,通過(guò)TUCP(即:終端鑒權(quán)及統(tǒng)一安全管理)對(duì)所有設(shè)備進(jìn)行白名單管理,同時(shí)實(shí)現(xiàn)設(shè)備密鑰的在線簽發(fā)和管理,保證接入終端的鑒權(quán)及相互間的認(rèn)證。整個(gè)系統(tǒng)的數(shù)據(jù)安全實(shí)現(xiàn)簡(jiǎn)單、快捷,且后續(xù)維護(hù)成本低,完全滿足工業(yè)生產(chǎn)的應(yīng)用場(chǎng)景和應(yīng)用時(shí)效要求。
5 總結(jié)
工控生產(chǎn)網(wǎng)絡(luò)的縱向安全防御是工業(yè)生產(chǎn)數(shù)據(jù)安全的核心。隨著我國(guó)《數(shù)據(jù)安全法》的實(shí)施,對(duì)于關(guān)系到我國(guó)經(jīng)濟(jì)與工業(yè)發(fā)展的生產(chǎn)數(shù)據(jù)安全防護(hù)更為重要。工業(yè)生產(chǎn)網(wǎng)絡(luò)的安全防護(hù)不僅僅是傳統(tǒng)的橫向防御,更需要加強(qiáng)工控網(wǎng)絡(luò)安全的縱深防御。
本文提供了一種全國(guó)產(chǎn)化的IPK標(biāo)識(shí)公鑰技術(shù),基于國(guó)密算法,在滿足工控應(yīng)用的安全效能評(píng)估、不改變?cè)泄た貞?yīng)用網(wǎng)絡(luò)部署、不增加IP、不改造原有設(shè)備和系統(tǒng)的條件下,加入即插即用安全終端,快速建立工控網(wǎng)絡(luò)的縱向安全防護(hù),同時(shí)實(shí)現(xiàn)了用戶自主生產(chǎn)簽發(fā)密鑰,讓用戶牢牢把控安全核心,真正實(shí)現(xiàn)生產(chǎn)數(shù)據(jù)安全的自主可控。
作者介紹:
牛毅 (1973-),男,山西太原人,高級(jí)工程師,學(xué)士,現(xiàn)就職于南京訊石數(shù)據(jù)科技有限公司,長(zhǎng)期從事輕量級(jí)密鑰技術(shù)的研究與應(yīng)用,主要研究方向?yàn)楣た鼐W(wǎng)絡(luò)安全、網(wǎng)域安全隔離與互通、衛(wèi)星通信安全、物聯(lián)網(wǎng)安全、終端設(shè)備安全。
周游 (1978-),男,北京人,高級(jí)工程師,學(xué)士,現(xiàn)就職于國(guó)家電網(wǎng)信產(chǎn)集團(tuán)北京中電飛華通信有限公司,主要研究方向?yàn)殡娏νㄐ偶夹g(shù)、信息通信安全等相關(guān)技術(shù)研究。
摘自《自動(dòng)化博覽》2022年10月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)