密碼技術在工業互聯網中的應用研究

陳意 王新霞 孔群 胡謙 王萌

當前，工業互聯網作為“新基建”主要內容之一，已進入快速發展階段，工業互聯網與新一代信息技術的融合應用，使其面臨著更為嚴峻的安全挑戰，如何保障工業互聯網的安全可靠運行，是亟需解決的關鍵問題。本文通過研究密碼技術在工業互聯網中應用現狀，分析工業互聯網安全需求，探索密碼技術在工業互聯網中的應用，設計了密碼技術與工業互聯網的融合應用模型，為提升密碼技術在工業互聯網中的基礎支撐能力作出了有益嘗試。

一、概述

工業互聯網作為“新基建”的關鍵組成部分，是工業向網絡化、智能化轉型的新型基礎設施，能夠有效促進實體經濟高質量發展，是實現我國向制造強國和網絡強國邁進的重要途徑。

密碼技術的加密和認證功能，為保障網絡空間安全提供了有效手段。依托密碼技術，探索其在工業互聯網中的應用，實現工業數據、工藝流程等重要信息的機密性和完整性保護，設備和人員身份安全認證、重要操作行為不可否認，保障工業互聯網的安全健康發展。

二、問題與挑戰

工業互聯網打破傳統網絡安全界限，IT（Information Technology.信息技術）和OT（OperationTechnology，操作技術）進一步深度融合，工業網絡與互聯網相互連接，導致大量工業互聯網資產暴露在公網上，威脅從外網向工業內網延伸滲透，面臨較大的安全挑戰。密碼技術在工業互聯網的應用中，已開展相關理論研究并取得一定成果，但在實際應用中仍存在以下問題

（一）密碼在工業互聯網應用中被棄用

大部分企業對密碼技術應用的重要性認識不足，存在“重工業生產、輕安全保護”的現象。另外，部署密碼產品應與信息系統深度結合，需系統開發商積極參與，實際應用中，存在部署難、專業性強等問題，導致密碼技術在工業互聯網中的應用較少。

（二）密碼在工業互聯網應用中被亂用

工業互聯網應用開發過程中，雖然使用了密碼技術，但未嚴格執行密碼標準、規范調用密碼技術，導致密碼使用不系統、不規范、不正確，甚至使用已警示有風險的密碼，如MD5. RSA-1024. SHA-1等國外的密碼算法和產品。

（三）適合工業互聯網底層應用的密碼產品較少

工業互聯網底層設備種類多、運行環境復雜、計算能力有限、實時性要求高、對供電能耗成本要求高，大部分底層設備沒有身份認證和數據加密等安全措施，缺少適用于底層設備的輕量級密碼技術和產品。

三、安全需求及密碼技術應用模型

通過分析工業互聯網安全現狀，當前工業互聯網面臨著四大安全需求：設備和人員身份認證、安全傳輸、重要數據的安全存儲、關鍵操作行為的不可否認。身份認證需求：實現“設備設備”、“設備應用系統”、 ”用戶設備”、“用戶應用系統”之間的雙向身份認證，防止身份認證信息被非法獲取和使用，保證”用戶 設備應用”之間身份的真實性。安全傳輸需求：需要建立設備采集信息和控制信息的安全傳輸通道，防止相關信息在傳輸過程中被泄露和篡改，保證設備控制信息的防重放，實現“設備設備”、 ”設備應用系統”、“應用系統應用系統”之間的通信安全。重要數據的安全存儲需求：保證工藝流程、業務數據、用戶信息等重要數據存儲的機密性和完整性。關鍵操作行為的不可否認需求：保證在重要的工藝流程和關鍵環節中操作人員的操作行為不可否認，實現關鍵操作行為的可溯源。

針對工業互聯網中的四大安全需求，結合工業互聯網典型架構層次，提出密碼技術與工業互聯網的融合應用模型，模型見圖1。

設備層：工業互聯網底層接人大量傳感器、電機、泵、閥等設備，其特點為設備種類多、運行環境復雜、計算能力有限、實時性要求高等，密碼技術在設備安全的實現應考慮適配性和有效性問題，同時要兼顧密碼技術實現對底層設備可靠性和性能指標的影響。針對底層資源受限設備的密碼應用，應聚焦在輕量級密碼技術的研究和應用。其部署方式如下：一是對存量設備加掛外設密碼模塊，二是對新型數字化設備嵌入密碼模塊。實現設備的身份認證、訪問控制、關鍵操作的不可否認性、數據機密性、完整性和真實性保護等功能。

網絡層：工業互聯網網絡是構建工業環境下全面互聯的關鍵基礎設施，工業控制系統通過網絡連接，實現數據在設備層和平臺層之間流動，進行數據分析、運營決策、智能控制等，最終實現生產優化。使用密碼技術保證通信前身份認證，建立安全的傳輸通道，保證通信過程中數據機密性和完整性。可通過部署IPSec/SSL VPN、安全網關等密碼設備，使用SM2算法實現身份認證、HMAC-SM3算法實現完整性保護。

平臺層：工業互聯網平臺將設備管控、研發生產、質量檢測、供應鏈協同緊密融合，優化生產運行流程，從而提高生產效率。針對工業互聯網平臺對密碼技術的需求，可使用國產SM系列算法及輕量級密碼技術，部署服務器密碼機、密鑰管理系統、數字證書認證系統等密碼設備，實現接入設備、用戶的身份認證、訪問控制，保證關鍵業務數據不被非授權人員訪問和篡改，保證關鍵操作的不可否認性。

統一密鑰管理體系：密鑰管理體系面向業務系統，提供對稱密鑰和公鑰密鑰管理，實現對密鑰生成、存儲、導入和導出、分發、使用、備份和恢復、歸檔、銷毀等全生命周期的管理。同時，為確保密碼技術使用的正確性、合規性、有效性，應建立相關的安全管理體系，包括制度、人員、實施、應急等方面。

PKI公鑰基礎設施：PKI是基于公鑰密碼技術實施的基礎設施，可提供證書注冊、申請、簽名、驗證等安全服務。針對設備層低時延、低功耗的密碼應用需求，應支持輕量級密碼算法的簽名和認證。針對平臺層數據量大、用戶數量多等特點，應支持高性能密碼運算的簽名和認證。

四、總結

本文針對密碼技術在工業互聯網中應用存在的安全問題，分析工業互聯網安全需求，設計了密碼技術與工業互聯網的融合應用模型，從設備層、網絡層、平臺層三個層面，統一密鑰管理體系、PKI公鑰基礎設施兩個基礎保障提出了針對性的解決方案，為密碼技術服務于工業互聯網提供了思路，保障工業互聯網的安全穩定發展。

作者單位：陳意、王新霞、孔群、胡謙

山東省電子信息產品檢驗院（中國賽寶（山東）實驗室）

王萌青島積成電子股份有限公司