基于國產標識密碼算法的身份認證技術在油田工業控制系統的應用

李偉

摘要：依據油田工業控制系統的實際情況，采用基于標識密碼技術進行身份認證，能夠較好的兼顧系統的安全性和易用性。本方案基于標識管理系統，結合標識密碼機進行整體系統的密鑰生成、分發以及統一的密鑰管理設計，并搭建一套原型系統，對基于標識密碼技術的身份認證方案進行了驗證，實現油田工業控制系統對終端的身份認證。

關鍵詞：工業控制系統;標識密碼;身份認證

1???? 引言

根據目前的油田工業控制系統的實際應用情況，使用口令密碼、生物身份識別技術、傳統PKI體系部署管理等方式會造成系統安全性較低、大部分終端不滿足條件以及架構形式過于復雜等缺陷。采用基于標識密碼技術進行身份認證，可以很好的兼顧系統易用性和安全性，而入網過程是進行身份認證的合適時機，故本方案基于標識管理系統，結合符合國家標準的標識密碼機進行整體系統的密鑰生成、分發以及統一的密鑰管理設計，并基于該過程建立安全傳輸通道，進行訪問控制，完成油田工業控制系統中基于標識密碼技術的身份認證方案。同時，部署搭建一套原型系統進行軟件開發，以驗證身份認證系統的效果和性能，試驗結果表明可以滿足油田工業控制系統實際需要，保證了對終端的身份認證安全。

2???? 身份認證技術介紹

身份認證技術是能夠對信息的收發方進行真實身份鑒別的技術，其基本思想是同構驗證被認證對象的屬性來達到被認證對象是否真實有效的目的。用以識別、驗證網絡信息系統中用戶身份的合法性和真實性和抗抵賴性[1]。常見的身份認證方法有：基于口令識別身份方法;基于智能卡、令牌的鑒別方法;基于PKI數字證書的鑒別方法;基于生物特征的鑒別方法等。其中，口令認證是最常用的方式，具有靜態口令和動態口令兩種方式;令牌、智能卡是一種內置集成電路芯片，用來保存與用戶身份相關的資料數據;數字證書是利用可信第三方來證明用戶的身份;生物特征認證則以人體生物特征為依據，采用計算機的強大功能和網絡技術進行圖像處理、分類和模式識別，其具有唯一性、可靠性和穩定性。

2.1? 新型生物身份認證技術

生物身份認證技術，主要是人體特征。新型身份認證技術不同于傳統的生物身份認證，其以使用者大量日常行為為基礎來判定使用者身份的一種認證技術。身份認證安全系統就對使用者的行為習慣進行跟蹤記錄，建立起使用者行為身份模型，當使用者的行為與系統模型不匹配時，安全系統能及時發現，并發出警報甚至終止當前使用者的權限。

2.2? IBE身份認證技術

IBE身份認證技術是將使用者現有公開的一些數字資源作為公鑰加密的方式。IBE不需要使用者獲取第三方的公鑰證書，能夠直接使用對方的數字標識已完成身份信息加密，這種方式降低了身份認證的步驟，為使用者提供了極大的便利。IBE加密基于橢圓曲線離散對數，使用橢圓曲線加密算法，使獲得的密鑰更安全且長度更短。減少了對公鑰證書的依賴，簡化了身份認證的步驟，不只方便了使用者，也減輕了服務器為密碼運算的壓力[2]。

2.4國產標識密碼技術的身份認證

SM9是我國最新發布的標識密碼算法，即IBC體系算法。IBC體系是在傳統的PKI體系基礎上發展而來，由以色列密碼學家沙米爾在1984年提出，2006年我國頒發算法型號SM9，2017年，我國SM2與SM9數字簽名算法成為ISO/IEC國際標準[3]。在IBC體系中，通過每個人的唯一標識結合主密鑰和公共參數就可以為每個用戶創建唯一的私鑰，管理員只需要管理主密鑰、公共參數即可，極大地簡化了密鑰的管理，IBC體系中的密鑰管理只包括密鑰產生和密鑰更新。因此，IBC體系除了PKI體系的技術優點外，主要解決了在具體安全應用中PKI體系需要大量交換數字證書的問題，使安全應用更加易于使用和部署[4]。

在油田工業控制系統中，結合標識密碼技術能夠很好的解決傳統認證方案所帶來的問題，是目前工控系統信息安全方案設計中較為普遍的選擇。

3???? 基于標識密碼的油田工業控制系統身份認證方案

3.1? 方案架構

在服務端部署標識密碼機、標識管理平臺和安全接入系統的服務器端，標識密碼機采用支持國密SM9算法的高性能密碼機，標識管理平臺根據工控系統需要進行設計開發，負責完成整個系統的密鑰進行生成、分發、管理等操作。安全接入網關服務器基于標識密碼技術進行設計，對終端進行身份認證并提供安全接入服務。各終端通過集成安全中間件獲得身份認證和安全接入的能力。通過基于SM9標識密碼技術的身份認證、密鑰協商、數據加解密，保障系統的安全。

3.2? 實現功能

本方案可實現工控終端與服務端之間的身份認證、通訊加密、安全組網等。由于基于標識的密碼體系通過標識即可得出公鑰，不再依賴預存大量證書和第三方權威機構來驗證公鑰，還可以實現兩個終端設備之間離線的身份認證，提升了現場檢修時的便利性和安全性。采用基于標識密碼技術的安全傳輸協議，在工控終端與服務端采集設備之間建立專用網絡連接，利用數字簽名技術確認雙方身份正確，使用國密密鑰交換協議進行對稱算法會話密鑰協商，實現業務數據的加密安全傳輸。還可支持終端間的離線認證。

3.3? 基于標識密碼技術的身份認證系統原型設計與開發

為了驗證油田工業控制系統中基于標識密碼技術的身份認證方案，按上文所述方案進行軟件開發，部署搭建一套原型系統，以驗證身份認證系統的效果和性能是否可以滿足實際需要。

3.3.1????? 開發成果

基于linux系統研發了標識管理平臺軟件，通過與標識密碼機交互，調用標識密碼機應用接口完成標識密碼系統的初始化、標識私鑰的生成等操作;對外提供密鑰安全下載等功能;提供Web管理頁面讓管理者對系統內的密鑰進行統一管理，對終端可按照所屬片區、礦井、組織單位等進行統一管理。并對密鑰分發、終端接入、系統管理等操作進行詳細的日志記錄，提供安全審計功能。

3.3.2????? 實現效果

在服務端部署了一套原型系統并在各類終端進行了安全中間件的集成后，對系統功能進行了測試。終端可以與服務端實現基于標識密碼算法的身份認證并建立起安全傳輸通道，服務端安全接入網關每秒可完成約8000余次新建連接請求，并可進行水平擴容，性能已可以滿足當前一般工控系統的需要。

4???? 結論

采用基于安全傳輸協議的云安全接入技術來實現專用網絡加密傳輸，通過基于標識密碼算法、高效的傳輸層安全協議，利用TCP、UDP的傳輸機制，對TCP會話、鏈路協議、IP數據、UDP報文的保護后傳遞。采用多框架密鑰交換協議和基于標識的密碼技術，結合網絡封包代理、截獲技術，實現遠程訪問用戶的身份認證和遠程數據的加密傳輸。

針對油田工業控制系統終端的實際情況，開發了三種安全中間件，分別為安全模組、安全密碼中間件、安全接入設備三種類型，安全模組為硬件模組，內置安全芯片和通訊模組，實現密鑰的安全存儲、密碼運算和與服務端建立安全通道，對外提供API接口，適用于可集成硬件的終端，安全性最高。安全密碼中間件為軟件開發包，適配各類系統，內置算法庫，終端集成庫文件后，通過功能接口實現密碼功能，適用于具備軟件集成條件的終端。安全接入設備為小型設備，通過數據攔截和重定向技術，對終端實現透明傳輸，并與服務端進行身份認證建立安全傳輸通道，適用于集成能力低的終端。

參考文獻：

[1]?? 袁峰，程朝輝.SM9標識密碼算法綜述[J].信息安全研究，2016，2（11）：1008-1027.

[2]?? 胡杰.SM9密鑰管理機制研究[D].華中科技大學，2019.