面向工業互聯網的傳輸網絡安全研究

◆陳禮波 宋明澤

面向工業互聯網的傳輸網絡安全研究

◆陳禮波 宋明澤

（中訊郵電咨詢設計院有限公司 北京 100000）

工業領域互聯網實際傳輸期間，需對所有傳輸節點、端至端、鏈路等實施有效控制及加密處理，以更好地維護網絡安全。鑒于此，本文主要圍繞著工業領域互聯網傳輸的網絡安全開展深入的研究和探討，期望可以為后續更多技術專家和學者對此類課題的實踐研究提供有價值的指導或者參考。

互聯網；工業；網絡安全；傳輸

工業領域互聯網信息數據，若想確?；ヂ摶ネǖ靡詫崿F，便需依靠著網絡傳輸才可具體實現，這對于工業領域互聯網實施網絡傳輸整個過程安全要求相對較高，需制定相應安全傳輸機制，注重身份鑒別及有效認證，做好數據傳輸的有效加密處理等。因而，綜合分析工業領域互聯網傳輸的網絡安全，有著一定的現實意義和價值。

1 身份鑒別及認證

1.1 在傳輸兩端的主體和傳輸節點層面

工業領域互聯網中，RTU、IED、智能化攝像頭等屬于不可信的終端節點，增加工控網絡風險系數。身份認證層面管理之下，工業領域應用場景內含服務資源、工控主機登錄服務裝置、PaaS云平臺訪問等，而訪問工業裝置、云平臺、業務系統均選定多因素的認證。在一定程度上，身份認證需通信各方互相鑒別好各自的身份之后才可通信，確保各方數字身份、物理身份處于一致性狀態。工業應用專項系統內，身份認證需和企業內部業務流程配合好，避免通信遭到非法攻擊。分類設置好賬戶權限，依照著最小特權基本原則，分配好賬戶權限。針對工業通信專用裝置、工控裝置、PLC的控制軟件、CS軟件、SCADA軟件等這些登錄賬戶、密碼等，均選定強口令，默認口令及弱口令均不可取，務必定期更新口令，且需防止不同網絡系統共享身份認證相關證書。工業場景內，身份驗證常用因素類型以固有特征、擁有物、知識等為主。知識，即用戶可證明自己所知曉信息資料，如訪問的ID號、裝置登錄密碼、口令、業務流程具體細節各個層面；擁有物，即用戶自身擁有著可證明身份物理裝置，如手機短信的驗證碼、數字簽名的證書、身份驗證的APP、RFID的閱讀器、主機啟動的U盾等；所謂固有特征，即生物特征，內含控制指令相應語音、門禁系統內視網膜、HMI上機位啟動指紋等；口令認證，屬于工業場景下較為常用手段[1]。請求的認證方需有ID，且認證者所在用戶信息數據庫內該ID務必有唯一性特點。為務必口令安全，傳輸期間切勿截獲或者篡改操作。系統管理者應熟悉用戶口令，向認證者發出口令認證相關信息請求前期，務必對認證方實際真實性予以有效確認，以雙向認證手段實施；數字簽名，也屬于工業場景認證常用手段，以公鑰加密計算方法為基礎，通信各方并不需要借助網絡實施口令及身份秘密相關信息傳輸，向認證者請求嚴重數字的簽名即可實現。

1.2 在多因素層面

工業實際應用場景當中，單因素式認證作用薄弱，多因素的認證極具安全特性，用戶可提供多項身份的確認證據，用戶所提供驗證因素若較為精準，網絡系統方便可授予訪問權限，實現雙因素有效認證。工業應用期間，需注重多因素的身份驗證潛在不足及風險問題。一是，可能會有驗證因素丟失層面問題。工業領域中，主機啟動期間U盾丟失這一問題相對較為常見，需以手機短信的驗證碼實現有效驗證，通常會有移動網聯絡不暢、手機沒電等問題產生。若某因素被多賬戶所認證，丟失因素，則賬戶務必重新恢復；二是，因素丟失，恢復選項便捷性和多因素的認證沖突現象突出。多因素實際驗證期間若丟失因素，恢復期間用戶及攻擊者會陷入困境之中。但若多因素的認證未提供相應恢復項，則其很可能永遠無法實現正常登錄；三是，多因素的驗證，其為攻擊者對正常用戶實施登錄操作起到供給作用，重新配置或者反過來合理設置多因素的身份認證，則用戶登錄難度系數必然增加。

傳輸鏈路所在節點，需將獨立私鑰、公鑰、數字證書等部署好，鑒別及認證身份。重要裝置層面，需借助安全芯片完成認證操作。如質詢和應答層面安全認證，被認證一方務必有密鑰。同時，對稱加密式密鑰，屬于通信各方的共享密鑰、公鑰加密的密鑰，為被認證方所私有的密鑰。若泄露了密鑰，認證方式必然失效。對稱，可以安全芯片來實施密碼及密鑰的高強度保護。以安全認證的芯片，實現共享密鑰有效性安全認證。應當積極引入SHA認證形式、RSA公鑰的加密計算分析方法，并配置好EEPROM存儲裝置、認證證書、密鑰等，構成PKI認證專項體系基本要素[2]。

2 安全加密和密鑰管理

2.1 在傳輸協議層面

工業領域互聯網當中，網絡傳輸的協議加密，需著重考慮工業現場裝置有著十分有限計算分析能力、較高網絡的實時特性塔器，通信加密需著重考慮加解密所致額外的延遲及計算量產生。一是，以HTTPS為基礎實施網絡傳輸。HTTP及HTTPS都屬于OSI基礎模型內傳輸層的協議。HTTP是明文傳輸，其通信雙方之間交互和網絡傳輸都并未予以認證加密處理，網絡傳輸實操過程信息極易被篡改、竊聽、劫持等。HTTP傳輸期間，攻擊者在服務器內惡意嵌入網址，并發放至用戶HTTP的數據包內，用戶操作界面便會有惡意的網址鏈接出現。TCP/IP所附加SSL/TLS、HTTP的應用層當中，加解密處理傳輸數據得以實現，對網絡傳輸提供安全保證。服務端和客戶端的信息傳輸經SSL/TLS實現加密處理，實現密文數據有效傳輸。證書當中公鑰及時傳輸至客戶端，而客戶端TLS經證書解析，實施公鑰自身有效性驗證，若有效，便可借助此密鑰加密處理所生成的隨機參數值，傳輸至服務端，由服務端予以解密處理，各方均可借助催記參數值，確保通信的加解密操作得以實現[3]。傳輸節點SSL/TLS實施協議加密，攻擊者卻還可于客戶端實施數據包截取，對傳輸協議及內容實施分析，故需加密處理好該部分傳輸數據信息內容。由于非對稱性加密會生成于大素數當中，計算、分割等操作所消耗資源相對較多，需先以DSA/DAA、RSA等這些公鑰算法，對后期對稱加密的密鑰實施加密處理，網絡后期傳輸則需引入3DES、RC4、AES相應對稱性加密計算分析方式。針對哈希算法，則應選定SHA256、SHAI，MD5并不建議選用，主要是因為風險系數高。攻擊者雖并無直接實施API調用操作，實施數據化偽造操作，但模擬裝裝置運行當中公業運用系統程序等當中偽造數據資料供給手段十分有效，務必加密處理好該部分數據內容，客戶端實施數據采集，再經網絡傳輸，保證可實現互聯網完整化網絡傳輸操作；二是，在多種協議的硬軟件加密層面。工業領域通信協議內加入VPV加密的通信形式，以SSTP、GRE、OPENVPN、IPSec等加密協議完成加密傳輸操作。加密通信期間，加密硬件及軟件均可。在一定程度上，加密軟件需以操作系統所處運行環境為基礎，計算期間所需占用的嵌入形式微控制系統及其處理裝置資源實施加解密處理，以免業務系統特性降低后出錯或者遭到攻擊；加密硬件，需以定制IC為基礎，不會有性能損失產生，圍繞IC可實施封裝物理相關攻擊防范處理。工業領域不同運用場景之下，選定加密不同算法，如借助智能化終端的配件驗證，以ECC163類型橢圓曲線的加密計算分析方法為主，現場智能化裝置許可權限管理相關驗證，均可以SHA256、ECC256等加密算法為基礎。部分IC模塊，可提供編程簡單系統功能、級別較高安全性能，如運行固件優化更新的安全保護、密鑰的安全存儲、加密通信、身份安全分組等等。以可信標準化系統平臺模塊為基礎，保證加密復雜特性得以提升，大量簽名和密鑰可實現安全存儲，物理讀取及保護所存儲數據信息。加密傳輸和阿安全存儲工藝網絡相關信息內容，確保密鑰管理專項機制得以完善化，實現應用、分發、優化更新、銷毀這一全過程化安全監管。

2.2 在密鑰管理層面

在傳統信息化系統內密碼Kerckhoffs設計適用于工業領域互聯網系統環境當中，以密鑰系統自身安全特性為基礎實現密鑰保護，并非屬于密碼保護。密鑰，其需通信各方提前約定好，結合所指定協議予以定期更換處理。故工業環境當中，密鑰保護及安全監管較為關鍵。下列為工業領域互聯網密鑰管理層面設計原則：一是，在密文存儲層面。密碼裝置除非是極具安全性，否則切勿明文實施密鑰存儲。工業控制層面，以密鑰人工分配較為常見，需注意的是密鑰嚴禁實施明文存儲、傳遞及把控[4]。可以密鑰的分量形式，若干信任關系實現實體的共同監管；二是，注重密鑰有效分離。各個通信實體相互間，切勿選定有密切關聯或者是相同密鑰，防止通信實體潛在的安全通信層面問題，對其他實體整體通信安全產生威脅。

3 結語

從總體上來說，明確要求加密傳輸及簽名驗簽、身份鑒別及驗證，安全區域相互間網絡傳輸的接口規范需制定出來。選定HTTPS協議，并以HTTP為基本的通信機制，借助SSL/TLS，加密處理所傳輸工業信息數據包，對網絡服務裝置實施身份認證，以密鑰的分量形式，若干信任關系實現實體的共同監管，并注重密鑰有效分離，便于實現數據信息完整化傳輸，更好地保護隱私。

[1]于盟，趙冉. 工業互聯網領域網絡安全服務的思考[J]. 中國信息安全，2020，30（010）：401-403.

[2]張子揚，韋素萍. 5G網絡中工業互聯網安全問題研究[J]. 中國新通信，2019，21（007）：141-142.

[3]淮文軍，王峰，陳夏裕，等. 工業互聯網環境下水務工控系統網絡安全防護研究[J]. 電腦編程技巧與維護，2019，20（001）：157-158.

[4]崔光耀. 工業互聯網日益成為網絡安全主戰場[J]. 中國信息安全，2019，14（006）：522-523.