密碼技術在油田信息系統(tǒng)安全管理中的應用研究

趙澤陽，黃 林，咸國明，李 偉

（新疆油田數(shù)據公司，新疆 克拉瑪依 834000）

0 引 言

近年來，隨著我國石油行業(yè)信息化進程不斷加快，信息化水平全面提升，信息技術與油田業(yè)務融合程度逐步加深，信息化發(fā)揮效益更加顯著，方便了職工各項工作的開展，但也面臨諸多網絡安全隱患，如2013 年曝光的“RSA 后門”事件、2017年爆發(fā)的新型勒索病毒WannaCry 等，屢次敲響網絡安全警鐘。網絡攻擊從最初的自發(fā)式、分散式攻擊轉向專業(yè)化的有組織行為，呈現(xiàn)出攻擊工具專業(yè)化、目的商業(yè)化、行為組織化等特點。一旦關鍵業(yè)務系統(tǒng)、重要業(yè)務數(shù)據遭到攻擊破壞，發(fā)生重大安全事件，將導致基礎設施癱瘓，造成災難性后果，嚴重危害國家經濟安全和公共利益。

密碼作為網絡安全防護的重要手段，在信息系統(tǒng)防護中發(fā)揮著不可替代的重要作用，根據國家對商用密碼應用推進的相關指示精神和要求，以及《金融和重要領域密碼應用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022 年）》的工作安排，結合油田信息化實際情況，建設基于國產密碼統(tǒng)一身份認證的基礎設施，為油田信息系統(tǒng)和基礎網絡提供統(tǒng)一的密碼、統(tǒng)一的用戶管理、統(tǒng)一的權限管理等服務，基于密碼技術實現(xiàn)敏感數(shù)據的加密保護［1］，為辦公網、安全認證基礎設施等提供密碼服務保障，進一步增強油田的網絡安全保障能力。

1 密碼技術應用現(xiàn)狀

1.1 國外現(xiàn)狀

目前最為人所關注的實用密碼技術是公鑰基礎設施（Public Key Infrastructure，PKI）技術，也是目前使用最廣泛的網絡安全技術。一些人使用公開密鑰技術和數(shù)字證書技術來確保認證安全，開發(fā)PKI 的進展迅速。20 世紀90 年代以來，美國、加拿大、英國、德國、日本和新加坡等國相繼開展了可信第三方認證體系的研究和建設工作。基于PKI 的RSA 加密算法是目前網絡上進行通信保密傳輸和數(shù)字簽名的有效的安全算法之一，具有成熟度高、安全性高、易于理解等特點。

1.2 國內現(xiàn)狀

密碼技術是網絡安全的核心技術，是信息保護和網絡信息體系建設的基礎，是保障網絡安全的關鍵技術。在我國目前信息安全行業(yè)所涉及的基礎設施中，大多數(shù)設備的中央處理器（Central Processing Unit，CPU）仍然是Intel 等國外公司生產的。操作系統(tǒng)中微軟、蘋果公司的系統(tǒng)占據了大部分市場，甚至一些物聯(lián)網芯片也集成了RSA/AES 等國外密碼算法。

我國信息產業(yè)起步較晚，短期內難以規(guī)模替換CPU、操作系統(tǒng)，存在大量不可控因素，易被不法分子利用攻擊，所產生的損失將不可估量，而使用國產自主的密碼算法以及自主的密碼系統(tǒng)對關鍵信息實施保護，可以快速大幅提升我國信息安全水平。近年來，我國研制了多個商用密碼算法，其中非對稱算法有SM2 和SM9，可以和摘要算法SM3、對稱加密算法SM4 組合適用于不同的應用場景［2］。SM9 算法是一種新型的基于標識的密碼算法（Identity-Based Cryptography，IBC），適用于基于互聯(lián)網、大數(shù)據、云計算技術的各種新興應用的安全保障，近年來得到迅速發(fā)展。我國從2013 年開始逐步推進國產算法，SM9算法正式成為國家標準并被納入國際標準體系，國密產品得到廣泛應用。

1.3 油田現(xiàn)狀

隨著信息技術的發(fā)展，油田信息化系統(tǒng)建設初期的規(guī)劃已無法滿足現(xiàn)階段發(fā)展需求，油田各辦公設備、運維管理系統(tǒng)的密碼使用相對獨立和分散，缺少統(tǒng)一管理。當前在用的設備包括桌面終端、打印機、攝像頭、應用服務器等存在諸多問題：一是這些設備目前數(shù)據傳輸均采用明文方式，且接入服務端系統(tǒng)的認證仍使用傳統(tǒng)方式；二是在部分工控網絡中的設備缺少統(tǒng)一認證與統(tǒng)一管理；三是現(xiàn)有統(tǒng)一身份認證系統(tǒng)已難以滿足業(yè)務發(fā)展需要。

基于國內外及油田現(xiàn)狀，現(xiàn)在急需建設一套軟硬件國產化、安全的統(tǒng)一身份認證系統(tǒng)［3］，為辦公系統(tǒng)、工業(yè)控制設備等重要應用系統(tǒng)提供“統(tǒng)一身份、集中管理、簡化應用、保障安全”的管理服務。平臺的建設在滿足統(tǒng)一認證管理要求的同時，能夠進一步提升用戶使用的安全性和便利性，同時實現(xiàn)所有接入設備的統(tǒng)一認證管理。

2 密碼技術概述

標識密碼技術（IBC）［4］是傳統(tǒng)公開密碼技術（Public Key Cryptosystem，PKC）的重要補充，它將復雜的公鑰簡化為用戶的身份標識（如手機號碼、郵件地址等），這樣在安全通訊前就不需要申請和交換證書，從而大大降低安全系統(tǒng)的復雜性，也降低了密碼系統(tǒng)的建設和運維成本，特別適合海量用戶的加密應用。標識密碼系統(tǒng)具有天然的密鑰委托功能，便于國家機關對網絡加密數(shù)據進行監(jiān)控。企業(yè)級安全應用同樣可受益于標識密碼系統(tǒng)的簡潔性和密鑰委托功能，在方便實現(xiàn)數(shù)據加密的同時，可以簡潔、安全地實現(xiàn)數(shù)據恢復功能。

國家密碼管理局高度重視標識密碼技術的應用前景，制定了SM9 基于雙線性對的標識密碼算法［5］。伴隨著我國將網絡安全確立為國家戰(zhàn)略，推動國產密碼算法在網絡安全領域廣泛應用，SM9將在保護國家、單位和個人信息安全方面發(fā)揮重要作用。

SM9 標識密碼機作為SM9 密碼應用系統(tǒng)中的基礎部件［5］，在SM9 安全應用系統(tǒng)中起到支撐作用，能夠為安全應用提供包括標識私鑰生成、基于標識的加解密、簽名驗簽等安全服務。SM9 標識密碼機可以廣泛應用于包括電子政務、金融支付、稅務票據、企業(yè)移動辦公、智能設備互聯(lián)、互聯(lián)網應用安全，如云存儲安全以及個人隱私保護等方面。

3 國產密碼技術在油田信息系統(tǒng)安全管理中的具體應用

3.1 標識密碼機建設

遵循國家密碼管理局相關管理要求，結合油田密碼應用實際需要，在油田部署密碼基礎設施平臺，建立一套標識密碼機系統(tǒng)，為業(yè)務提供相對底層的密碼運算服務支撐，涵蓋密鑰生成計算、加密、解密、摘要、密鑰管理等相關功能，支持對稱、非對稱等國際、國內密碼算法。

3.2 標識密鑰管理系統(tǒng)建設

建設一套標識密鑰管理系統(tǒng)，設計基礎密鑰管理、標識密碼屬性管理、密碼資源接口以及基礎密碼服務等功能模塊，實現(xiàn)如下功能。

3.2.1 基礎密鑰管理模塊

負責基礎密鑰生命周期管理，具有密鑰管理、密碼服務用戶管理等功能。

3.2.2 標識密碼屬性管理模塊

具有標識注冊、標識管理、私鑰分發(fā)、私鑰管理、參數(shù)管理、密鑰查詢統(tǒng)計、私鑰導出和接口服務等功能。

3.2.3 密碼資源接口模塊

密碼資源接口模塊用于提供相應的密鑰管理、密碼服務，負責處理密碼服務中每個模塊發(fā)起的密碼請求，包括密鑰訪問處理、密碼運算等。密碼資源接口可以針對密碼機進行資源的動態(tài)分配，提升密碼機的運行性能，同時保證密碼機業(yè)務的可靠性。

3.3 身份認證管理系統(tǒng)建設

在油田部署一套統(tǒng)一身份認證管理系統(tǒng)［3］，實現(xiàn)對用戶、辦公設備、物聯(lián)網設備服務的標準化、精準化、便捷化、平臺化和協(xié)同化。在已有應用體系下，構建一套統(tǒng)一、高效、安全的統(tǒng)一身份認證平臺，需要滿足現(xiàn)有業(yè)務系統(tǒng)傳統(tǒng)WEB 端及未來移動端、物聯(lián)網等多領域的需求，在實現(xiàn)業(yè)務系統(tǒng)數(shù)字化、網絡化、智能化的同時，達到服務內容規(guī)范化、服務便捷化、數(shù)據互通化，提升油田業(yè)務服務能力，為信息化發(fā)展助力、保駕護航。

3.4 安全接入網關系統(tǒng)建設

部署安全接入網關系統(tǒng)，對終端接入設備進行身份認證和細粒度的訪問控制，提高基于國密算法保障的安全接入服務能力，實現(xiàn)終端設備接入、準入與業(yè)務數(shù)據的加密安全傳輸。

3.5 終端系統(tǒng)安全建設

利用安全接入模塊、USB Key、安全芯片以及安全軟終端等，根據設備終端的應用模式提供不同的認證方式。安全接入模塊在鏈路層為終端設備提供基于傳輸控制協(xié)議/網際協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）的環(huán)境透明身份認證和數(shù)據加解密服務。對于無法采用非標準協(xié)議、不支持IP 通訊的環(huán)境中的終端設備，采用安全芯片或安全軟終端的方式提供服務，對終端設備進行開發(fā)改造。

4 結 語

在網絡安全防護體系建設中，密碼技術具有舉足輕重的地位。密碼算法和標準完全自主可控，對于企業(yè)的可持續(xù)發(fā)展有巨大的意義和價值。國家密碼管理部門經過多年的不懈努力，制定了一系列國家商用密碼標準，時至今日已經形成相對完善的、自主可控的商用密碼行業(yè)技術標準體系，該體系已經可以較好地應用在各個行業(yè)。通過國產密碼技術在油田中的具體應用，實現(xiàn)信息系統(tǒng)自主可控，對今后密碼技術在行業(yè)內的推廣起到了示范作用。