核電工控系統(tǒng)信息安全的密碼應(yīng)用研究

趙爽 馬陟

摘要：為實(shí)現(xiàn)核電工控系統(tǒng)信息安全防護(hù)，提出了一種使用密碼應(yīng)用的研究方法。論文首先介紹了國(guó)家工控系統(tǒng)信息安全密碼應(yīng)用前景和常用密碼技術(shù)，然后闡述了核電工控系統(tǒng)密碼應(yīng)用框架與思路，最后結(jié)合本研究的特點(diǎn)做了總結(jié)。

關(guān)鍵詞：核電；工控系統(tǒng)；密碼應(yīng)用

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）04-0035-02

1 概述

2015年3月，中共中央辦公廳、國(guó)務(wù)院辦公廳聯(lián)合發(fā)布《關(guān)于加強(qiáng)重要領(lǐng)域密碼應(yīng)用的指導(dǎo)建議》，強(qiáng)調(diào)充分認(rèn)識(shí)加強(qiáng)重要領(lǐng)域密碼應(yīng)用的重要性和緊迫性，其中重要領(lǐng)域就包括了重要工業(yè)控制系統(tǒng)。要求電力系統(tǒng)、水利樞紐等重要工業(yè)控制系統(tǒng)將國(guó)產(chǎn)密碼應(yīng)用納入信息化建設(shè)整體規(guī)劃；實(shí)現(xiàn)國(guó)產(chǎn)密碼在數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、過(guò)程控制系統(tǒng)、可編程邏輯控制器等工業(yè)控制系統(tǒng)中的深度應(yīng)用。

目前，我國(guó)工業(yè)控制系統(tǒng)商用密碼應(yīng)用在智能電網(wǎng)領(lǐng)域得到快速發(fā)展，而在同屬電力行業(yè)的核電發(fā)電領(lǐng)域還有待進(jìn)一步推進(jìn)。

核電集團(tuán)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施企業(yè)，其工業(yè)控制系統(tǒng)的面臨的信息安全威脅不容忽視。為落實(shí)國(guó)家對(duì)工業(yè)控制系統(tǒng)的相關(guān)要求，加強(qiáng)核電行業(yè)工業(yè)控制系統(tǒng)信息安全工作，采用密碼技術(shù)解決核電工控系統(tǒng)信息安全問(wèn)題是大勢(shì)所趨。

然而，我國(guó)核電工控系統(tǒng)在設(shè)計(jì)之初較少考慮信息安全，更沒(méi)有應(yīng)用很多密碼技術(shù)。如果想要將密碼技術(shù)應(yīng)用到核電工控系統(tǒng)中，一種方法是在工控網(wǎng)絡(luò)中串接密碼機(jī)為通信的消息進(jìn)行加密、解密操作，但是會(huì)嚴(yán)重影響工控系統(tǒng)的實(shí)時(shí)性，這往往是不可接受的；另一種方式是通過(guò)在核電控制器和儀器、儀表等設(shè)備中嵌入密碼芯片，通過(guò)硬件機(jī)制高效完成密碼應(yīng)用。

現(xiàn)有的核電工控系統(tǒng)較少使用密碼技術(shù)，只普遍采用CRC算法校驗(yàn)數(shù)據(jù)和文件的完整性，使用MD5校驗(yàn)超大文件的完整性。但對(duì)于敏感文件和數(shù)據(jù)流的保密性保障不足，所以根據(jù)資產(chǎn)的安全級(jí)別，需要分別采用合適的國(guó)產(chǎn)密碼算法代替。例如，現(xiàn)場(chǎng)控制與過(guò)程監(jiān)控層以及過(guò)程監(jiān)控層向上傳輸?shù)臄?shù)據(jù)流，操作員站以及工程師站上的敏感文件等。

2 密碼應(yīng)用技術(shù)體系

密碼是按特定法則編成，用以對(duì)通信雙方的信息進(jìn)行明密變換的符號(hào)。換而言之，密碼是隱蔽了真實(shí)內(nèi)容的黑客密碼符號(hào)序列。就是把用公開(kāi)的、標(biāo)準(zhǔn)的信息編碼表示的信息通過(guò)一種變換手段，將其變?yōu)槌ㄐ烹p方以外其他人所不能讀懂的信息編碼，這種獨(dú)特的信息編碼就是密碼。密碼算法提供安全性服務(wù)包括：保密性服務(wù)、完整性服務(wù)、驗(yàn)證服務(wù)、非否認(rèn)服務(wù)。常用的密碼算法有對(duì)稱密鑰加解密算法、非對(duì)稱密鑰加解密算法、單向散列算法等。

2.1 國(guó)產(chǎn)密碼算法概述

為了保障商用密碼安全，國(guó)家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)。包括SSF33、SM1、SCB2、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法那等等。其中SSF33、SM1、SM4、SM7、祖沖之密碼是對(duì)稱算法，SM2、SM9是非對(duì)稱算法，SM3是哈希算法。目前已經(jīng)公布算法文本的包括祖沖之序列密碼算法、SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法、SM4分組密碼算法等。

2.2 密鑰管理流程概述

密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個(gè)方面。主要表現(xiàn)于管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更換和注入等。對(duì)于軍用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，由于用戶機(jī)動(dòng)性強(qiáng)，隸屬關(guān)系和協(xié)同作戰(zhàn)指揮等方式復(fù)雜，因此，對(duì)密鑰管理提出了更高的要求。

2.3 核電工控系統(tǒng)密碼應(yīng)用概述

密碼可以為核電工控系統(tǒng)提供或增強(qiáng)身份認(rèn)證、消息認(rèn)證、存儲(chǔ)加密以及安全事件追溯的能力。

密碼應(yīng)用中需要注意的一些問(wèn)題：

（1） 加解密過(guò)程以及加密使消息變大對(duì)工控系統(tǒng)實(shí)時(shí)性有影響，一般鏈路密碼機(jī)方式帶來(lái)的延時(shí)為數(shù)十毫秒級(jí)，嵌入式方式帶來(lái)的延時(shí)為毫秒級(jí)。

（2） 不能對(duì)消息和地址都進(jìn)行加密，使得消息不可能路由在多點(diǎn)網(wǎng)絡(luò)。

（3） 密碼技術(shù)引入密鑰管理問(wèn)題，也需要周期性的密鑰更換。一個(gè)比較有效的防護(hù)是引入一套完整、成熟的密鑰管理系統(tǒng)。

核電工控密鑰管理系統(tǒng)，需要符合核電工控系統(tǒng)實(shí)時(shí)性要求，可視化管理以及方便管理，要支持多種國(guó)產(chǎn)密碼算法。負(fù)責(zé)對(duì)工控系統(tǒng)密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲(chǔ)、密鑰更新、密鑰銷毀、密鑰使用等過(guò)程的管理，密鑰管理系統(tǒng)具有對(duì)稱密鑰、非對(duì)稱密鑰的管理功能，同時(shí)能實(shí)現(xiàn)證書(shū)的生產(chǎn)、發(fā)放等功能。

對(duì)稱密碼算法需要管理有效的密鑰發(fā)布機(jī)制和有效的密鑰管理辦法；非對(duì)稱加密算法的管理則依賴于公鑰基礎(chǔ)設(shè)施PKI和密鑰管理基礎(chǔ)設(shè)施KMI；散列函數(shù)一般不需要特定的管理。

3 核電工控系統(tǒng)密碼應(yīng)用框架與思路

下文針對(duì)典型核電項(xiàng)目非安全級(jí)數(shù)字化DCS控制系統(tǒng)架構(gòu)，描述了密碼在核電工控系統(tǒng)中的應(yīng)用框架。圖1為非安全級(jí)數(shù)字化DCS控制系統(tǒng)架構(gòu)圖。

非安全級(jí)數(shù)字化DCS控制系統(tǒng)設(shè)計(jì)上遵循可靠性、可維護(hù)性、完整性與安全性等基本原則。核電應(yīng)用系統(tǒng)架構(gòu)為傳統(tǒng)的四層結(jié)構(gòu)。DCS 范圍在1 層和2 層之中，并包括與0 層，3 層，第三方儀控系統(tǒng)的接口設(shè)備。

l 0 層：工藝系統(tǒng)接口層，包括測(cè)量設(shè)備（如傳感器、變送器、限位開(kāi)關(guān)等）和執(zhí)行器接口設(shè)備（先導(dǎo)閥及附屬接口繼電器、電動(dòng)-氣動(dòng)轉(zhuǎn)換器，執(zhí)行裝置，開(kāi)關(guān)柜等）。

l 1 層：自動(dòng)控制和保護(hù)層，包括信號(hào)采集，調(diào)制和處理設(shè)備，負(fù)責(zé)不同電廠系統(tǒng)的監(jiān)控。

l 2 層：操縱和信息管理層。包括可以使人員能夠操縱電廠（手動(dòng)控制和信息手段），監(jiān)督電廠狀態(tài)，并對(duì)I&C 實(shí)施運(yùn)行服務(wù)的常規(guī)設(shè)備和計(jì)算機(jī)設(shè)備。

l 3 層：全廠技術(shù)管理層，包括支持現(xiàn)場(chǎng)管理應(yīng)用以及場(chǎng)外設(shè)施通訊的計(jì)算機(jī)設(shè)備。

在此系統(tǒng)架構(gòu)中，現(xiàn)場(chǎng)控制站根據(jù)功能、分區(qū)和安全等級(jí)的不同分布在不同的房間內(nèi)，所有控制站間的通訊連接均采用RJ45 或光纖跳線進(jìn)行連接。序列A 和序列B網(wǎng)絡(luò)在結(jié)構(gòu)上獨(dú)立，分別連接各自的現(xiàn)場(chǎng)控制站，并通過(guò)兩個(gè)網(wǎng)絡(luò)之間的通訊接口進(jìn)行數(shù)據(jù)交換。網(wǎng)絡(luò)機(jī)柜和網(wǎng)絡(luò)設(shè)備均達(dá)到安全設(shè)備等級(jí)要求，從而保證整個(gè)網(wǎng)絡(luò)的安全等級(jí)符合要求。一層控制網(wǎng)絡(luò)為基于HOLLiAS-N 系列平臺(tái)現(xiàn)場(chǎng)控制站提供通訊接口，二層信息網(wǎng)絡(luò)為工作站提供通訊接口。實(shí)時(shí)服務(wù)器作為一層和二層之間的數(shù)據(jù)橋梁，為二層提供顯示和相關(guān)計(jì)算的實(shí)時(shí)數(shù)據(jù)。

密碼在核電工控系統(tǒng)中的應(yīng)用主要體現(xiàn)在身份認(rèn)證、消息認(rèn)證、數(shù)據(jù)加密和安全事件追溯上。

身份認(rèn)證體現(xiàn)在現(xiàn)場(chǎng)監(jiān)控層人員對(duì)于監(jiān)控主機(jī)和服務(wù)器進(jìn)行操作時(shí)，必須進(jìn)行的身份驗(yàn)證過(guò)程，授權(quán)或禁止操作人員的行為以及保證操作的不可抵賴性。

消息認(rèn)證體現(xiàn)在現(xiàn)場(chǎng)控制層與現(xiàn)場(chǎng)設(shè)備層對(duì)于下達(dá)的控制指令的源，必須進(jìn)行合法性驗(yàn)證的過(guò)程，并且保證了消息的完整性。

數(shù)據(jù)加密體現(xiàn)在權(quán)限管理服務(wù)器上對(duì)于人員賬號(hào)信息的保密性管理，以及工程師站上總要系統(tǒng)參數(shù)、配置信息、組態(tài)程序的完整性保障。

安全事件追溯體現(xiàn)在根據(jù)操縱者的數(shù)據(jù)簽名，結(jié)合時(shí)間戳可以準(zhǔn)確查找到安全事件責(zé)任人和相關(guān)資源。

關(guān)于算法的選取，核電工控系統(tǒng)監(jiān)控網(wǎng)絡(luò)的傳輸加密應(yīng)采用國(guó)產(chǎn)輕量級(jí)對(duì)稱加密算法；可采用公鑰密碼模塊中的公鑰密碼算法完成分組密碼算法中會(huì)話密鑰的安全分發(fā)或完成對(duì)明文摘要的數(shù)字簽名和認(rèn)證。

存儲(chǔ)加密采用國(guó)產(chǎn)對(duì)稱加密算法和雜湊算法。

除此之外，核電工控系統(tǒng)用戶的身份認(rèn)證和VPN技術(shù)也應(yīng)采用國(guó)產(chǎn)加密算法。

4 結(jié)論

本文提出了在核電工控系統(tǒng)典型環(huán)境下實(shí)施密碼技術(shù)的框架及思路，為密碼技術(shù)進(jìn)一步服務(wù)于核電工控系統(tǒng)信息安全防護(hù)指明道路。電力行業(yè)其他發(fā)電企業(yè)也可借鑒此思路，在設(shè)計(jì)階段就充分考慮到結(jié)合密碼技術(shù)的信息安全防護(hù)。

參考文獻(xiàn)：

[1] IEC62443《工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全》

[2] 黃愷，彤劉曄. 國(guó)產(chǎn)密碼算法在電網(wǎng)信息安全中的應(yīng)用研究[J].信息安全與通信保密，2015（10）.