基于國密算法的航油工業(yè)控制系統(tǒng)安全解決方案*

成 龍，董貴山，羅 影，鄒大均，劉 波

（1.中國航空油料集團(tuán)有限公司，北京 100088；2.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041；3.工業(yè)信息安全（四川）創(chuàng)新中心有限公司，四川 成都 610041）

0 引言

在兩化深度集成和工業(yè)轉(zhuǎn)型升級的同時(shí)，工業(yè)控制生產(chǎn)環(huán)境已從封閉轉(zhuǎn)向開放，生產(chǎn)過程從自動(dòng)化轉(zhuǎn)向智能化。此外，工業(yè)控制系統(tǒng)安全漏洞數(shù)量在逐年遞增，各類工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復(fù)雜多樣。2019 年7 月，紐約曼哈頓發(fā)生大規(guī)模停電，約4.2 萬名居民斷電，還有多人被困電梯。2019 年9 月，印度Kudankulam 核電站遭受了攻擊，惡意軟件感染了核電站的管理網(wǎng)絡(luò)，導(dǎo)致一個(gè)反應(yīng)堆中止運(yùn)行。2020年4 月，葡萄牙跨國能源公司EDP 遭到勒索軟件攻擊。

電力、石油天然氣和水利等工業(yè)控制系統(tǒng)，作為國家能源生產(chǎn)基礎(chǔ)和國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，面臨高科技網(wǎng)絡(luò)攻擊的威脅。我國高度重視工業(yè)控制系統(tǒng)安全并采取了各種舉措。根據(jù)《網(wǎng)絡(luò)安全法》，主管機(jī)構(gòu)發(fā)布了一系列法規(guī)、政策、戰(zhàn)略規(guī)劃和指南，強(qiáng)調(diào)加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)以及使用國產(chǎn)密碼手段來增強(qiáng)安全保障能力的必要性。比如，國家互聯(lián)網(wǎng)信息辦公室起草公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，兩辦2018 年36 號文《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022 年）的通知》，中辦、國辦發(fā)[2015]4 號文《關(guān)于加強(qiáng)重要領(lǐng)域密碼應(yīng)用的指導(dǎo)意見》，均強(qiáng)調(diào)促進(jìn)重要工業(yè)控制系統(tǒng)密碼應(yīng)用。

航空燃油供應(yīng)是機(jī)場正常運(yùn)行的物資保障，在維護(hù)國家安全和經(jīng)濟(jì)發(fā)展中發(fā)揮著重要作用。航油工業(yè)控制系統(tǒng)的自動(dòng)化和集成度不斷提高，促使工業(yè)控制系統(tǒng)被越來越多地應(yīng)用于各個(gè)領(lǐng)域，如油庫、輸油管線以及航空加油站等。航油工業(yè)控制系統(tǒng)的安全和穩(wěn)定運(yùn)行直接關(guān)系到人們的生命財(cái)產(chǎn)安全和強(qiáng)國建設(shè)。作為航油系統(tǒng)穩(wěn)定運(yùn)行的重要組成部分，工業(yè)控制系統(tǒng)是航油關(guān)鍵信息基礎(chǔ)設(shè)施的寶貴資產(chǎn)，而系統(tǒng)中運(yùn)行的數(shù)據(jù)更是具有重要價(jià)值的重點(diǎn)保護(hù)對象，一旦出現(xiàn)安全問題，將影響航油供應(yīng)的穩(wěn)定性，并給國民經(jīng)濟(jì)和生產(chǎn)帶來嚴(yán)重后果。

國內(nèi)外諸多機(jī)構(gòu)和學(xué)者已經(jīng)開始工控系統(tǒng)安全應(yīng)用研究。美國桑迪亞國家實(shí)驗(yàn)室（Sandia National Labs，SNL）成立數(shù)據(jù)采集和監(jiān)視控制系 統(tǒng)（Supervisory Control And Data Acquisition，SCADA）安全研究中心來研究工控系統(tǒng)安全。2015 年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST） 發(fā)布NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》[1]。邸麗清等人[2]研究國外工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)、指南及行業(yè)規(guī)范，分析其體系框架和安全技術(shù)要求。Tidrea 等人[3]提出基于可信平臺(tái)模塊TPM來解決使用Modbus TCP、DNP3 以及S7 等協(xié)議引起的安全性問題。Parvez 等人[4]以SCADA 無線通信加密為切入點(diǎn)分析比較基于SCADA 與AGA12的各種可用安全標(biāo)準(zhǔn)。Duka 等人[5]的研究表明，計(jì)算資源有限的可編程邏輯控制器（Programmable Logic Controller，PLC）也可開發(fā)基于密碼算法（如AES、SHA1、HMAC-SHA1、Speck 以及Simon 等）的應(yīng)用程序，以保障應(yīng)用數(shù)據(jù)安全。蘭昆等[6]研究如何應(yīng)用密碼技術(shù)在控制站和受控設(shè)備間建立可靠可信的控制信道。

本文整理航油供應(yīng)業(yè)務(wù)流程，分析航油工業(yè)控制系統(tǒng)的功能與部署，梳理航油工業(yè)控制系統(tǒng)在安全方面存在的風(fēng)險(xiǎn)隱患，提出基于國產(chǎn)密碼算法的航油工業(yè)控制系統(tǒng)安全增強(qiáng)方案，以提升系統(tǒng)的綜合安全保障能力。本文組織如下：第1 章介紹航油工業(yè)控制系統(tǒng)的背景現(xiàn)狀和航油工業(yè)控制系統(tǒng)的業(yè)務(wù)流程；第2 章分析航油工業(yè)控制系統(tǒng)存在的安全性風(fēng)險(xiǎn)以及相關(guān)安全需求；第3 章介紹國產(chǎn)密碼技術(shù)，并結(jié)合國產(chǎn)密碼技術(shù)提出航油工業(yè)控制系統(tǒng)的安全性增強(qiáng)方案；最后，總結(jié)全文。

1 航油業(yè)務(wù)現(xiàn)狀分析

航油供油系統(tǒng)實(shí)現(xiàn)對油品的接卸、輸送、儲(chǔ)存以及加注等過程的自動(dòng)控制，以及相關(guān)設(shè)備和測量儀表的運(yùn)行狀態(tài)監(jiān)測和報(bào)警控制等功能[7]。航空燃料的供應(yīng)是進(jìn)行航空運(yùn)輸?shù)南葲Q條件，而機(jī)場是航空燃料供應(yīng)的基礎(chǔ)。航油由煉油廠使用直餾、加氫裂化以及加氫精制等工藝生產(chǎn)，或從中轉(zhuǎn)油庫中轉(zhuǎn)，然后通過鐵路、公路、水上運(yùn)輸或油料管道輸送到建設(shè)在機(jī)場附近的航空油料機(jī)場油庫。在對燃料進(jìn)行技術(shù)處理后，將其通過飛機(jī)的專用加油車運(yùn)輸?shù)斤w機(jī)。航油工業(yè)控制系統(tǒng)包括長輸管道輸油自動(dòng)化控制系統(tǒng)、油庫供油自動(dòng)化控制系統(tǒng)以及航空加油站加油自動(dòng)化控制系統(tǒng)等，如圖1 所示。供應(yīng)地通過鐵路、公路、水路或油料管道將供應(yīng)的航空油料輸送到中轉(zhuǎn)油庫，然后輸入機(jī)場附近的機(jī)場油庫，最后對油料進(jìn)行技術(shù)處理，通過航空加油站、專用的飛機(jī)加油車等輸送到飛機(jī)上。

大多自產(chǎn)航油直接從煉油廠運(yùn)輸?shù)綑C(jī)場；進(jìn)口航油則經(jīng)海運(yùn)至我國沿海碼頭，然后通過中轉(zhuǎn)運(yùn)輸至各個(gè)機(jī)場。鐵路運(yùn)輸運(yùn)量大且適合長途運(yùn)輸，運(yùn)輸成本低，因此是國內(nèi)眾多機(jī)場采用的主要運(yùn)輸方式。公路運(yùn)輸投資小，運(yùn)輸靈活，適合短途運(yùn)輸，因此公路運(yùn)輸與鐵路運(yùn)輸相結(jié)合成為小型機(jī)場的主要選擇。油輪運(yùn)輸一次性容量大、成本低，但受地理限制較多，主要保障國內(nèi)沿海機(jī)場的用油。管道運(yùn)輸受到天氣影響小，成本低廉，安全可靠，還可以消除重復(fù)裝卸，但初期投資大、成本高，因此管道運(yùn)輸多用于國內(nèi)大中型機(jī)場的短途運(yùn)輸。航空油料的儲(chǔ)存油庫是供油系統(tǒng)的必要設(shè)備，包括中轉(zhuǎn)油庫和機(jī)場油庫，具有接收、儲(chǔ)存、沉降、加注及油品質(zhì)量檢查等功能。中轉(zhuǎn)油庫從鐵路、水路、公路或輸油管道接收來油，是為機(jī)場油庫轉(zhuǎn)輸油的場所。機(jī)場油庫為機(jī)坪管線加油系統(tǒng)供油和罐式加油車裝油。例如，上海虹橋機(jī)場和浦東機(jī)場的航油供應(yīng)模式[8]為綜合采用油輪、鐵路、公路以及管道等運(yùn)輸方式，從五號溝碼頭、高橋石化碼頭、徐匯濱江云峰碼頭以及本地?zé)捰蛷S等處來的油源進(jìn)中轉(zhuǎn)油庫儲(chǔ)罐，然后經(jīng)輸油管道輸送至機(jī)場使用油庫，最后經(jīng)站坪輸油管道系統(tǒng)為機(jī)位加油或通過航空加油站的加油罐車給機(jī)位加油。

圖1 航油輸送示意

航油工業(yè)控制系統(tǒng)涉及輸送管道輸油的工業(yè)控制系統(tǒng)、油庫供油的工業(yè)控制系統(tǒng)以及航空加油站加油工業(yè)控制系統(tǒng)等。與油庫相關(guān)的業(yè)務(wù)包括使用油庫、中轉(zhuǎn)油庫、卸油站油庫、供應(yīng)站油庫以及中心油庫等。從實(shí)際業(yè)務(wù)的角度來看，上述各種類型的油庫可以歸類為與油庫相關(guān)的業(yè)務(wù)。管道相關(guān)的業(yè)務(wù)主要包括首站站控、末站站控和中間站站控。從實(shí)際的業(yè)務(wù)角度來看，此類站控制系統(tǒng)被歸類為與管道相關(guān)的服務(wù)。其他典型網(wǎng)絡(luò)拓?fù)渲饕▎我坏纳衔粰C(jī)通過交換機(jī)連接PLC 的網(wǎng)絡(luò)，但是在這類拓?fù)渲杏锌赡艽嬖趦煞N情況，即交換機(jī)上連接多個(gè)PLC 或一個(gè)PLC。另外，該類拓?fù)溆锌赡艽嬖谏下?lián)的辦公網(wǎng)，也可以是獨(dú)立的生產(chǎn)網(wǎng)絡(luò)。

2 航油工業(yè)控制系統(tǒng)安全需求分析

目前，在航油工業(yè)控制系統(tǒng)中，很多地方存在安全性不足的隱患。

系統(tǒng)中使用的協(xié)議包括工業(yè)控制協(xié)議和常見的TCP/IP 網(wǎng)絡(luò)協(xié)議。現(xiàn)場總線協(xié)議在設(shè)計(jì)之初幾乎不考慮安全保護(hù)功能，且許多協(xié)議都缺少身份認(rèn)證、授權(quán)以及數(shù)據(jù)加密機(jī)制，如應(yīng)用數(shù)據(jù)和控制信息以明文方式在網(wǎng)絡(luò)中傳遞。一旦攻擊者成功入侵現(xiàn)場控制層，整個(gè)現(xiàn)場設(shè)備將處于沒有防護(hù)措施的危險(xiǎn)狀態(tài)。專用通信協(xié)議本身的安全性較脆弱，缺乏可靠的認(rèn)證和加密機(jī)制，且忽略了消息完整性驗(yàn)證機(jī)制。例如，Modbus 協(xié)議沒有身份驗(yàn)證機(jī)制，只需要合法的Modbus 地址和功能代碼就能建立Modbus協(xié)議會(huì)話。

網(wǎng)絡(luò)協(xié)議一般選擇EtherNet/IP 協(xié)議和Modbus/TCP 協(xié)議。由于航油工業(yè)控制系統(tǒng)的以太網(wǎng)采用了諸如TCP/IP 之類的開放協(xié)議，因此協(xié)議本身的漏洞進(jìn)一步加劇了航油工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)，使得攻擊者可以更加容易地從外部網(wǎng)絡(luò)訪問過程控制層，為攻擊者發(fā)動(dòng)多種攻擊（如DDoS 攻擊）并收集系統(tǒng)信息提供了可乘之機(jī)。

航油工業(yè)控制系統(tǒng)的各層間存在過程控制、監(jiān)視、測量等設(shè)備和計(jì)算機(jī)服務(wù)之間的基于專用通信協(xié)議（如Modbus、ProfiBus 等）的通信，但缺乏相應(yīng)的保護(hù)機(jī)制，因此有必要分析航空石油工業(yè)控制系統(tǒng)中工業(yè)控制協(xié)議的數(shù)據(jù)包，如MODBUS、S7、FINS 以及EGD 等，以便及時(shí)發(fā)現(xiàn)異常的通信行為。同時(shí)，在進(jìn)行控制指令或交換相關(guān)數(shù)據(jù)時(shí)，采用加密、認(rèn)證等手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸，從而保證通信數(shù)據(jù)的完整性、真實(shí)性和機(jī)密性。

在航油工業(yè)控制系統(tǒng)層次結(jié)構(gòu)中，頂層的航油企業(yè)網(wǎng)絡(luò)使得其他3 個(gè)相連的層次面臨企業(yè)網(wǎng)絡(luò)帶來的安全風(fēng)險(xiǎn)，因此必須限制在企業(yè)網(wǎng)絡(luò)SCADA客戶端使用等，以加強(qiáng)該類資源的身份認(rèn)證和訪問控制。在航油工業(yè)控制系統(tǒng)的4 個(gè)層次間缺乏必要的網(wǎng)絡(luò)劃分和域控制機(jī)制，因此需要合理的網(wǎng)絡(luò)劃分和隔離策略。長輸管道輸油自動(dòng)化控制系統(tǒng)、油庫供油自動(dòng)化系統(tǒng)以及航空加油站加油自動(dòng)化控制系統(tǒng)，與企業(yè)其他系統(tǒng)（如企業(yè)管理信息系統(tǒng)）之間應(yīng)該劃分為不同的區(qū)域。區(qū)域之間應(yīng)有清晰的網(wǎng)絡(luò)邊界并應(yīng)進(jìn)行網(wǎng)絡(luò)邊界隔離，同時(shí)部署具有訪問控制功能的網(wǎng)絡(luò)安全設(shè)備、安全可靠的工業(yè)防火墻或具有等效功能的設(shè)施。系統(tǒng)內(nèi)部劃分為不同的安全域，各域之間采用技術(shù)隔離，在重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)該考慮采取可靠的技術(shù)隔離手段。在系統(tǒng)與WAN 之間的垂直交界處應(yīng)考慮控制設(shè)備，實(shí)現(xiàn)雙向身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。

航油工業(yè)控制系統(tǒng)網(wǎng)絡(luò)在人員管理、權(quán)限管理等地方也存在缺陷。缺乏專業(yè)操作技能的人員、外部人員以及內(nèi)部惡意人員等在訪問系統(tǒng)時(shí)，可能會(huì)進(jìn)行錯(cuò)誤的配置或?qū)嵤阂夤舻取Ｋ羞@些將導(dǎo)致系統(tǒng)被攻擊并可能引發(fā)一系列嚴(yán)重后果，因此有必要實(shí)現(xiàn)基于密碼技術(shù)的安全保護(hù)功能，如身份驗(yàn)證、權(quán)限控制等。

航油工業(yè)控制系統(tǒng)使用的操作系統(tǒng)和應(yīng)用程序正在逐步與IT 系統(tǒng)融合，采用開放和統(tǒng)一的IT 系統(tǒng)標(biāo)準(zhǔn)，使得IT 系統(tǒng)的漏洞被移植到航油工業(yè)控制系統(tǒng)。但是，IT 系統(tǒng)的解決方案可能不適用于航油工業(yè)控制系統(tǒng)，在實(shí)時(shí)性要求高的工業(yè)控制系統(tǒng)中使用傳統(tǒng)防護(hù)措施，導(dǎo)致的通信延時(shí)將會(huì)對工控系統(tǒng)服務(wù)連續(xù)性產(chǎn)生較大影響。

3 基于密碼技術(shù)的應(yīng)用解決方案

3.1 國密算法簡介

近年來我國發(fā)布了多款商用密碼算法，包括祖沖之序列密碼算法ZUC、分組密碼算法SM4、雜湊密碼算法SM3 以及公鑰密碼算法SM2 和SM9。

祖沖之密碼算法[9]的密鑰長度為128 bits，由128 bits 種子密鑰和128 bits 初始向量共同作用生成32 bits 寬的密鑰流。ZUC 可用于數(shù)據(jù)保密性和完整性保護(hù)。在2011 年9 月的3GPP 會(huì)議上，我國的ZUC 算法與AES、SNOW 3G 共同成為4G 移動(dòng)通信密碼算法的國際標(biāo)準(zhǔn)。

SM4 算法[10]的分組長度為128 bits，密鑰長度為128 bits，加密與密鑰擴(kuò)展算法都采用32 輪非線性迭代結(jié)構(gòu)。加密和解密使用完全相同的結(jié)構(gòu)，解密時(shí)只需倒置密鑰的順序。因此，相比AES 算法，SM4 算法更易于實(shí)現(xiàn)。SM4 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，并于2016 年轉(zhuǎn)化為國家標(biāo)準(zhǔn)。

SM3 算法[11]通過M-D 模型處理輸入消息，生成256 bits 的雜湊值。與SHA256 算法相比，SM3算法使用了多種新的設(shè)計(jì)技術(shù)，在安全性和效率上更具優(yōu)勢。SM3 算法于2012 年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，于2016 年轉(zhuǎn)變?yōu)閲覙?biāo)準(zhǔn)，并于2018 年正式成為國際標(biāo)準(zhǔn)。

SM2 算法[12]基于橢圓曲線離散對數(shù)問題，提供數(shù)據(jù)加密解密、簽名驗(yàn)簽和密鑰協(xié)商功能。SM2算法推薦使用256 bits 素域上的參數(shù)集。與RSA 算法相比，SM2 算法具有安全性高、密鑰短、私鑰產(chǎn)生簡單以及簽名速度快等優(yōu)點(diǎn)。該算法已于2016年成為國家標(biāo)準(zhǔn)，并于2017 年被ISO 采納成為國際標(biāo)準(zhǔn)。

SM9 算法[13]是一種標(biāo)識(shí)密碼，是在傳統(tǒng)公鑰基礎(chǔ)設(shè)施PKI 基礎(chǔ)上發(fā)展而來的，可以解決安全應(yīng)用場景中PKI 需要大量交換數(shù)字證書的問題，使應(yīng)用更易部署和使用。SM9 算法提供密鑰封裝、數(shù)據(jù)加密解密、簽名驗(yàn)簽和密鑰協(xié)商功能。2017 年，ISO 將SM9 數(shù)字簽名算法采納為國際標(biāo)準(zhǔn)的一部分。

3.2 密碼算法提供的常見安全功能

密碼算法提供的4 個(gè)主要功能為數(shù)據(jù)的機(jī)密性、信息來源的真實(shí)性、數(shù)據(jù)的完整性和行為的不可否認(rèn)性。

3.2.1 機(jī)密性

對稱密碼算法SM4 和非對稱密碼算法SM2、SM9 均可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性保護(hù)。相比之下，SM2 和SM9 的加密和解密方式更靈活，但計(jì)算成本很高，主要用于少量數(shù)據(jù)保護(hù)和采用復(fù)雜共享方法的數(shù)據(jù)保護(hù)；SM4 則可應(yīng)用在大量信息的傳輸或存儲(chǔ)的保護(hù)中[14]。SM2 和SM9 可以為SM4 算法提供密鑰協(xié)商或密鑰的安全傳輸。在SM4 保護(hù)數(shù)據(jù)時(shí)需注意，CBC 模式的初始向量一般需要隨機(jī)產(chǎn)生，可以通過調(diào)用品質(zhì)優(yōu)良的隨機(jī)數(shù)發(fā)生器來生成。隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)數(shù)應(yīng)進(jìn)行必要的隨機(jī)性檢測[15]，如單比特頻數(shù)檢測[16]、塊內(nèi)頻數(shù)檢測[16]、撲克檢測[17]以及Maurer 通用統(tǒng)計(jì)檢測[18]等。

3.2.2 完整性

數(shù)據(jù)完整性保護(hù)的實(shí)現(xiàn)方式一般為SM2、SM9的數(shù)字簽名機(jī)制或消息鑒別碼MAC 機(jī)制。消息鑒別碼可以是基于SM4 算法的CMAC-SM4、CCMSM4 以及GMAC-SM4 等[19]，也可以是基于SM3 的HMAC-SM3。SM3 的快速實(shí)現(xiàn)[20]可提升HMACSM3 的性能。利用MAC 實(shí)現(xiàn)完整性保護(hù)的機(jī)制：消息發(fā)送者發(fā)送消息，并通過共享密鑰計(jì)算MAC值（如HMAC-SM3）；消息接收者通過共享密鑰和收到的消息重新計(jì)算MAC 值，如果二者一致，則確認(rèn)消息的完整性。利用數(shù)字簽名實(shí)現(xiàn)完整性保護(hù)的機(jī)制：消息發(fā)送方發(fā)送消息，并使用自己的私鑰調(diào)用SM2/SM9 簽名功能計(jì)算得到的簽名值；接收者用發(fā)送方公鑰對簽名調(diào)用SM2/SM9 簽名驗(yàn)證功能，驗(yàn)證收到消息的完整性。

3.2.3 真實(shí)性

實(shí)現(xiàn)真實(shí)性的核心是基于身份鑒別技術(shù)，如使用基于密碼技術(shù)的身份鑒別。在基于SM4 的身份驗(yàn)證中，雙方共享對稱密鑰以執(zhí)行加密和解密，并使用挑戰(zhàn)&應(yīng)答機(jī)制來抵抗重放攻擊，如果驗(yàn)證者成功解密該消息，則相信消息來自聲稱者。基于SM2/SM9 的鑒別機(jī)制類似，聲稱者使用私鑰對消息簽名，驗(yàn)證者使用公鑰驗(yàn)證簽名有效性，如果驗(yàn)證通過，則相信聲稱者是本人。

3.2.4 不可否認(rèn)性

不可否認(rèn)能夠在產(chǎn)生糾紛時(shí)提供可靠的證據(jù)以幫助解決糾紛，主要采用數(shù)字簽名技術(shù)來實(shí)現(xiàn)。例如，消息發(fā)送方用自己的私鑰對要進(jìn)行不可否認(rèn)性保護(hù)的數(shù)據(jù)進(jìn)行簽名并將其發(fā)給接收者，簽名就是不可否認(rèn)的證據(jù)。數(shù)據(jù)接收方存儲(chǔ)此消息和數(shù)字簽名，以用作將來解決爭議的證據(jù)。

3.3 基于電子門禁系統(tǒng)的物理訪問控制解決方案

電子門禁系統(tǒng)是實(shí)現(xiàn)物理訪問控制安全最常見最有效的手段之一。密碼行業(yè)標(biāo)準(zhǔn)GM/T 0036 針對采用密碼技術(shù)的非接觸式卡門禁系統(tǒng)，規(guī)定了系統(tǒng)中使用的密碼設(shè)備、密碼算法、密碼協(xié)議和密鑰管理的相關(guān)要求。電子門禁系統(tǒng)通常由后臺(tái)管理系統(tǒng)、門禁讀卡器以及門禁卡等構(gòu)成。該系統(tǒng)的內(nèi)部安全保護(hù)由每個(gè)組件內(nèi)的密碼模塊提供，如圖2 所示。

電子門禁系統(tǒng)的門禁卡和讀卡器/后臺(tái)管理系統(tǒng)中具有內(nèi)置的安全模塊，用于讀卡器和后臺(tái)管理系統(tǒng)對門禁卡進(jìn)行身份驗(yàn)證。讀卡器射頻接口模塊負(fù)責(zé)與門禁卡的射頻通信。微控制單元MCU 負(fù)責(zé)內(nèi)部數(shù)據(jù)交換，并與后臺(tái)管理系統(tǒng)進(jìn)行通信。密鑰管理及發(fā)卡系統(tǒng)提供密鑰管理及發(fā)卡系統(tǒng)中的密碼設(shè)備，提供諸如密鑰生成、密鑰分散及身份鑒別之類的密碼服務(wù)。電子門禁系統(tǒng)身份鑒別的過程有多種，以下是認(rèn)證門禁卡的一種執(zhí)行流程[21]。

圖2 電子門禁系統(tǒng)組成

第1 步：讀卡器讀取門禁卡信息。門禁卡將卡片唯一標(biāo)識(shí)UID和用于卡片密鑰分散的發(fā)行信息CT發(fā)送給讀卡器。

第2 步：讀卡器發(fā)送內(nèi)部認(rèn)證命令和隨機(jī)數(shù)Ra給門禁卡。

第3 步：門禁卡內(nèi)部用存在卡片中的卡密鑰KC對該隨機(jī)數(shù)用SM4 算法做加密運(yùn)算，并將計(jì)算得到的結(jié)果Ra′并回發(fā)給讀卡器。

第4 步：讀卡器傳送Ra、Ra′、UID和CT到后臺(tái)管理系統(tǒng)。

第5 步：后臺(tái)管理系統(tǒng)認(rèn)證門禁卡。

（1）后臺(tái)管理系統(tǒng)鑒別卡片唯一標(biāo)識(shí)是否在黑名單內(nèi)，若是，則反饋認(rèn)證失敗與原因。

（2）計(jì)算門禁卡的卡密鑰，即對UID和CT等分散因子以及保存在安全模塊中的系統(tǒng)根密鑰KR，使用基于SM4 的密鑰導(dǎo)出函數(shù)SM4-KDF 算法分散得到門禁卡的卡密鑰KC：

（3）用此卡密鑰計(jì)算鑒別信息，即計(jì)算：

（4）比較鑒別值。如果Ra′=Ra′，則對門禁卡的身份鑒別正確，否則鑒別不通過。若以上鑒別通過，則發(fā)出開門信息到門禁執(zhí)行機(jī)構(gòu)開門，同時(shí)產(chǎn)生下一次門禁讀卡器用于身份鑒別的隨機(jī)數(shù)Ra+1，并同本次鑒別結(jié)果發(fā)送至讀卡器。

為確保電子門禁系統(tǒng)進(jìn)出記錄不被非授權(quán)地篡改、刪除、替換，電子門禁系統(tǒng)進(jìn)出記錄可以使用消息鑒別碼或數(shù)字簽名技術(shù)進(jìn)行保護(hù)（參見3.2 節(jié)）。

3.4 基于視頻監(jiān)控系統(tǒng)的環(huán)境安全增強(qiáng)解決方案

工業(yè)控制站點(diǎn)現(xiàn)場、計(jì)算機(jī)室等可以使用視頻監(jiān)控系統(tǒng)來進(jìn)一步增強(qiáng)物理環(huán)境安全。國家標(biāo)準(zhǔn)GB 35114 對公共安全視頻監(jiān)控聯(lián)的基本功能、性能以及安全等做了詳細(xì)規(guī)定，并根據(jù)安全保護(hù)力度的強(qiáng)弱，將具有安全功能的前端設(shè)備的安全能力分為3 個(gè)等級，由弱到強(qiáng)分別是A 級、B 級和C 級。

A 級基于數(shù)字證書與管理平臺(tái)之間的雙向身份認(rèn)證能力，達(dá)到身份真實(shí)的目標(biāo)；B 級具備基于數(shù)字證書與管理平臺(tái)之間的雙向身份認(rèn)證的能力和對視頻數(shù)據(jù)簽名的能力，達(dá)到身份真實(shí)和視頻來源于真實(shí)設(shè)備的能力，能夠校驗(yàn)視頻內(nèi)容是否遭到篡改的目標(biāo)；C 級具備基于數(shù)字證書與管理平臺(tái)之間的雙向身份認(rèn)證的能力、視頻數(shù)據(jù)簽名能力和視頻數(shù)據(jù)加密能力，確保身份真實(shí)和視頻來源于真實(shí)設(shè)備，能夠校驗(yàn)視頻內(nèi)容是否遭到篡改，達(dá)到對視頻內(nèi)容加密保護(hù)的目的。

因此，選擇具有安全功能B 級或C 級的具有安全功能的前端設(shè)備，并且將視頻監(jiān)控系統(tǒng)所使用的密碼算法配置為符合相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的密碼算法，如SM 系列算法，以確保視頻監(jiān)控音像記錄數(shù)據(jù)完整性。此外，有必要進(jìn)一步驗(yàn)證視頻監(jiān)控音像記錄數(shù)據(jù)的正確性和密碼保護(hù)功能的有效性。

3.5 基于工業(yè)防火墻的通信網(wǎng)絡(luò)安全解決方案

為了使航油工業(yè)控制系統(tǒng)的長輸管道輸油自動(dòng)化控制系統(tǒng)、油庫供油自動(dòng)化系統(tǒng)以及航空加油站加油自動(dòng)化控制系統(tǒng)達(dá)到通信網(wǎng)絡(luò)安全的邊界隔離、邊界防護(hù)、通信傳輸安全等需求，中國航油工業(yè)防火墻以TCP/IP 和相關(guān)的應(yīng)用協(xié)議為基礎(chǔ)，在應(yīng)用層、傳輸層、網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層對內(nèi)外通信進(jìn)行監(jiān)控，阻止異常數(shù)據(jù)流入航油工控系統(tǒng)，并阻斷針對工控系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊和非法數(shù)據(jù)竊取行為，保證航油工控系統(tǒng)正常運(yùn)轉(zhuǎn)。

該工業(yè)防火墻將網(wǎng)絡(luò)信息劃分為不同的安全通道，并根據(jù)每個(gè)安全通道定義不同的安全策略，結(jié)構(gòu)如圖3 所示。

圖3 工業(yè)防火墻部署結(jié)構(gòu)

工業(yè)防火墻以用戶為核心進(jìn)行用戶身份認(rèn)證和訪問控制。用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)了用戶的認(rèn)證、授權(quán)、記帳功能。認(rèn)證控制服務(wù)器支持多種認(rèn)證方式，并可以根據(jù)用戶需求擴(kuò)展其他認(rèn)證方式。工業(yè)防火墻支持SM 系列國產(chǎn)商用密碼算法。商用密碼算法的應(yīng)用主要分為設(shè)備端和接入端。設(shè)備端主要是指防火墻本身，而接入端主要是指需要通過防火墻訪問系統(tǒng)網(wǎng)絡(luò)的接入設(shè)備，如操作員站等。商用密碼算法主要應(yīng)用于兩個(gè)方面，即基于商用密碼算法的身份認(rèn)證和基于商用密碼算法的數(shù)據(jù)加密。商用密碼算法身份認(rèn)證主要是指通過使用SM2 算法和SM2數(shù)字證書進(jìn)行簽名和驗(yàn)簽來實(shí)現(xiàn)身份認(rèn)證。商用密碼算法數(shù)據(jù)加密是指通過使用SM4 加密算法實(shí)現(xiàn)數(shù)據(jù)通信時(shí)的數(shù)據(jù)加密功能（參見3.2 節(jié)）。

虛擬專用網(wǎng)采用IPSec VPN 實(shí)現(xiàn)，支持路由/網(wǎng)關(guān)兩種模式，滿足相關(guān)的國密技術(shù)標(biāo)準(zhǔn)GM/T 0022—2014《IPSec VPN 技術(shù)規(guī)范》，實(shí)現(xiàn)了ESP 安全封裝協(xié)議和AH 認(rèn)證頭協(xié)議。KE 協(xié)商支持主模式，IPsec VPN 支持隧道模式和傳輸模式，認(rèn)證算法支持國產(chǎn)密碼算法。同時(shí)，工業(yè)防火墻實(shí)現(xiàn)了支持安全策略精細(xì)化管理，支持協(xié)議和端口安全策略配置，支持對選定工業(yè)協(xié)議加密。

該工業(yè)防火墻支持多種工控協(xié)議，并對OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850 以及FINS 等協(xié)議進(jìn)行深度檢測。應(yīng)用層主要側(cè)重于檢測連接中使用的特定協(xié)議內(nèi)容，如OPC 與MODBUS 等；傳輸層和網(wǎng)絡(luò)層主要實(shí)現(xiàn)對IP、ICMP、TCP 和UDP 協(xié)議的訪問控制；數(shù)據(jù)鏈路層主要實(shí)現(xiàn)MAC 地址檢查，以防止IP 欺騙。采用這樣的體系結(jié)構(gòu)形成立體的防護(hù)系統(tǒng)，防火墻能夠提供最直接的網(wǎng)絡(luò)安全保障。

3.6 基于密碼技術(shù)的PLC 固件完整性和真實(shí)性解決方案

航油工業(yè)控制系統(tǒng)內(nèi)涉及大量的PLC。這些PLC 的固件完整性和PLC 固件來源的合法性，可以使用SM2/SM9 數(shù)字簽名技術(shù)和MAC 技術(shù)得到保障。

為確保PLC 的固件完整性，可以對PLC 固件使用SM2 數(shù)字簽名或者使用HMAC-SM3 的消息鑒別碼進(jìn)行保護(hù)。如果簽名驗(yàn)證失敗或者消息鑒別碼的結(jié)果不等于之前生成的結(jié)果，則驗(yàn)證失敗并使PLC 進(jìn)入錯(cuò)誤狀態(tài)。SM2 數(shù)字簽名可以包含單個(gè)簽名，也可以包括多個(gè)部分簽名。需要指出的是，部分簽名中的任何一個(gè)簽名驗(yàn)證失敗都應(yīng)導(dǎo)致PLC 進(jìn)入錯(cuò)誤狀態(tài)。

為了在固件升級等應(yīng)用場景中確保PLC 升級固件包來源的真實(shí)性和合法性，可對PLC 升級固件包采用SM2 數(shù)字簽名。PLC 對下載得到的升級固件包的簽名進(jìn)行驗(yàn)證，只有通過時(shí)才執(zhí)行升級，否則丟棄此固件包。

3.7 基于動(dòng)態(tài)口令的身份認(rèn)證解決方案

在執(zhí)行工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問等過程中，使用一種因子的鑒別技術(shù)或多種因子組合的鑒別技術(shù)對用戶進(jìn)行身份進(jìn)行認(rèn)證，如口令密碼、USB-key、動(dòng)態(tài)口令、安全問題、指紋以及虹膜等，且其中一種鑒別技術(shù)最好使用密碼技術(shù)來實(shí)現(xiàn)。此外，應(yīng)分析身份鑒別方案的安全強(qiáng)度，如評估單次嘗試身份鑒別方案的成功概率和1 min 之內(nèi)多次嘗試的成功概率，需滿足單次嘗試身份鑒別方案的成功概率不大于百萬分之一，1 min 之內(nèi)多次嘗試的成功概率不大于十萬分之一[22]。

動(dòng)態(tài)口令基于SM4 或SM3 算法實(shí)現(xiàn)。認(rèn)證前雙方共享密鑰，認(rèn)證時(shí)用戶與認(rèn)證服務(wù)端根據(jù)共享密鑰、相同隨機(jī)參數(shù)和密碼算法生成認(rèn)證動(dòng)態(tài)冂令并進(jìn)行比較。計(jì)算動(dòng)態(tài)口令的步驟如下[23]。

第1 步：先將時(shí)間因子T、事件因子C、挑戰(zhàn)因子Q順序組裝為至少128 bits 的參數(shù)ID。

第2 步：參數(shù)ID與種子密鑰K一起作為密碼算法輸入。如果密碼算法選用SM4，則執(zhí)行加密方案SM4-OTP 得到計(jì)算結(jié)果S。

SM4-OTP 是一種類似CBC-MAC 的算法，將CBC-MAC 中的密文異或運(yùn)算采用加法代替。如果算法選用SM3，則執(zhí)行SM3-OTP 計(jì)算S。SM3-OTP 是將K和ID依次拼接后執(zhí)行SM3 雜湊運(yùn)算：

第3 步：對計(jì)算結(jié)果S進(jìn)行截?cái)嗟玫?2 bits 數(shù)據(jù)OD。根據(jù)選用的密碼算法的不同，使用的截?cái)嗨惴═runcate 也不相同。

第4 步：將截?cái)嘟Y(jié)果取模得到動(dòng)態(tài)口令P。此動(dòng)態(tài)口令為N位的十進(jìn)制數(shù)字，N通常為6～8。

3.8 應(yīng)用數(shù)據(jù)傳輸安全

為保證重要應(yīng)用數(shù)據(jù)，如鑒別數(shù)據(jù)、航油工業(yè)控制系統(tǒng)重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、工程師站和PLC 等的重要配置數(shù)據(jù)以及重要個(gè)人信息等在傳輸過程中的安全，僅在網(wǎng)絡(luò)通信層面通過搭建安全通信鏈路的方式實(shí)現(xiàn)保密性保護(hù)，并不能完全滿足航油工業(yè)控制系統(tǒng)安全要求。比如，在擁有多個(gè)應(yīng)用的航油工業(yè)控制系統(tǒng)中實(shí)現(xiàn)通信層數(shù)據(jù)加密傳輸，但是不同應(yīng)用的傳輸數(shù)據(jù)在內(nèi)部網(wǎng)絡(luò)中以明文形態(tài)傳輸仍然存在風(fēng)險(xiǎn)，如截獲內(nèi)部傳輸數(shù)據(jù)、非授權(quán)訪問其他應(yīng)用程序數(shù)據(jù)等。

因此，應(yīng)在應(yīng)用層面對重要的應(yīng)用數(shù)據(jù)進(jìn)行加密保護(hù)，并對數(shù)據(jù)采用MAC 或數(shù)字簽名技術(shù)實(shí)現(xiàn)完整性保護(hù)，以確保應(yīng)用數(shù)據(jù)在傳輸和存儲(chǔ)時(shí)的安全性。例如，在航油工業(yè)控制設(shè)備中內(nèi)置密碼模塊對重要數(shù)據(jù)進(jìn)行加密保護(hù)和完整性保護(hù)，或者將重要數(shù)據(jù)發(fā)送到服務(wù)器密碼機(jī)和其他密碼產(chǎn)品進(jìn)行機(jī)密性和完整性保護(hù)。為了保證航油工業(yè)控制系統(tǒng)應(yīng)用數(shù)據(jù)的安全存儲(chǔ)，可以執(zhí)行上述保護(hù)后再存入數(shù)據(jù)庫或其他存儲(chǔ)介質(zhì)中，也可以選擇放置在加密存儲(chǔ)設(shè)備中進(jìn)行安全保護(hù)，如加密硬盤、存儲(chǔ)加密系統(tǒng)等。

4 結(jié)語

本文通過整理航油供應(yīng)業(yè)務(wù)流程，分析航油工業(yè)控制系統(tǒng)的功能與部署，梳理航油工業(yè)控制系統(tǒng)在安全方面存在的風(fēng)險(xiǎn)隱患，提出綜合應(yīng)用基于國產(chǎn)密碼算法電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)、工業(yè)防火墻以及動(dòng)態(tài)口令等技術(shù)和產(chǎn)品的安全解決方案，增強(qiáng)系統(tǒng)的綜合安全保障能力。除了應(yīng)用多種技術(shù)外，航油工業(yè)控制系統(tǒng)的整體安全還需要監(jiān)、評、測、防的綜合應(yīng)用，同時(shí)需要管理層面的安全性，如制定安全法規(guī)、管理制度、操作流程和使用手冊，消除因人員操作不當(dāng)帶來的安全隱患。