國密算法在工業互聯網安全中的應用

摘 要 隨著工業化與信息化的不斷深入融合 工業互聯網已成為網絡空間的重要部分 因此提升互聯網安全顯得尤為重要 而密碼技術的應用可以很好地保障工業信息安全 在工業互聯網平臺的身份認證 賬戶管理 數據傳輸與保護等方面發揮著重要作用 深入研究國密算法在工業互聯網中的應用 有助于提高我國網絡空間安全防護能力 文章首先闡述了國密算法在工業互聯網中的應用與挑戰 而后具體分析了國產密碼技術在工業互聯網平臺中的應用 并結合密碼技術在工業互聯網中的安全性問題 最后設計了一種建立在國密算法基礎上的安全身份認證協議 并分析了該協議的安全特性 旨在進一步發揮國密算法的優勢 提高工業互聯網的安全性

關鍵詞 工業互聯網 國密算法 互聯網安全 應用 認證協議

中圖法分類號tn918? ?文獻標識碼a

１ 引言

現代社會經濟飛速發展，促使工業經濟與信息技術深度融合，形成工業互聯網新興業態，進而促使人、物、機等全面互聯。目前，在工業互聯網不斷發展下，作為工業信息安全的重要保障，密碼技術發揮其優勢，可以進一步推進工業互聯網網絡體系、平臺體系、網絡安全防護體系建設。目前，我國的國產商用密碼算法基本已形成一套較為完整的體系，其中ＺＵＣ 法的自主設計得到了廣泛應用。此外，還有ＳＭ４ 分組密碼算法、ＳＭ３ 密碼雜湊算法、ＳＭ２／ ＳＭ９ 數字簽名算法、ＳＭ９ 標識加密算法等也通過國際認證，成為國際標準。２ 國密算法在工業互聯網安全中的應用與挑戰

２．１ 應用現狀

國密算法在工業互聯網安全領域中的應用主要體現在賬戶管理、身份認證、數據安全、訪問控制等方面，其涵蓋認證協議、電子簽名、通信協議等技術。通過使用ＳＭ３ 雜湊算法計算消息摘要，能夠提高各類數據完整性；使用對稱密碼算法和解密數據可以提高相關數據保密性，如ＳＭ１，ＳＭ４，ＳＭ７，ＺＵＣ 序列等［１］ ；可以借助非對稱密碼算法（如ＳＭ２，ＳＭ９）獲取相應的消息簽名，以確保數據的不可否認性。除此之外，我國很多企業也自行研發了數據加密類產品，如國密加密芯片、云服務器密碼機、ＶＰＮ 設備、加密硬盤、服務器密碼機等。

２．２ 面臨的挑戰

隨著工業互聯網不斷發展，國產密碼的應用也面臨諸多挑戰，主要體現在以下幾個方面。（１）由于我國針對密碼技術的研究起步較晚，導致集成國密算法相關產品非常少，再加上商用密碼檢測機構數量有限，造成產品認證周期、成本增加，最終導致集成國產密碼相關產品落后于其他國家，這在很大程度上直接降低了國內企業研發產品集成國密算法的自主積極性，進而制約了國產密碼技術的進一步發展。（２）目前的產品結構主要以雙芯片結構為主，實際應用效率較低［２］ 。在雙芯片結構中，由于待處理數據經過兩個芯片的傳輸，不僅降低了產品計算與運行效率，同時也容易產生數據泄露風險。（３）當前的工業信息系統，是以Ｂ／ Ｓ 架構為主，并且數據傳輸安全性是依靠國際ＳＳＬ／ ＴＬＳ 協議來實現。雖然目前市場上已經出現了一些支持國密算法的瀏覽器，如密信等，但絕大部分企業前期建設的信息系統并不具備此支持功能，若對其改造，則存在很大難度，會造成信息無法依托國產ＳＳＬ／ ＴＬＳ 協議完成傳輸。

３ 國產密碼技術在工業互聯網平臺中的應用

３．１ 認證與鑒別

在工業互聯網平臺中，任何層次都涉及認證和鑒別。由于海量設備接入工業互聯網平臺邊緣，如果僅使用黑名單，只能對系統已有記憶的設備威脅進行抵御，而無法準確識別出未知設備威脅。對此，應當制定白名單機制，通過身份認證和鑒別，有效把控接入設備和用戶，以提高安全性。在白名單機制作用下，系統會自動對設備、用戶的身份進行識別，只有符合要求的才可以接入工業互聯網平臺，并完成數據傳輸。而在ＩａａＳ層，可以鑒別服務器用戶的身份，登錄用戶的身份認證與鑒別則是在ＰａａＳ 層、ＳａａＳ 層完成［３］ 。相比之下，ＳＭ２ 橢圓曲線公鑰密碼算法可以快速生成密鑰，具有極強的安全性，在身份認證、鑒別中凸顯出較大優勢。由此可見，將ＳＭ２ 算法應用到邊緣設備身份認證與鑒別中，可以很好地保證設備接入的安全性。

３．２ 賬戶管理

工業互聯網平臺的應用需要對設備和用戶賬戶進行管理。而這一過程中的賬號與口令安全程度，會直接影響到用戶對平臺的使用，若賬戶信息被泄露、竊取，則必然會降低用戶對平臺的信任，直接影響平臺業務的進一步擴大，所以工業互聯網平臺企業必須高度重視賬戶加密管理。應用國產加密算法能夠加密存儲賬戶、用戶，即便是信息被盜取，也可以保證賬戶信息無法被他人解密，有利于保障用戶賬戶的安全性。

３．３ 通信保護

為使工業互聯網平臺更好地服務制造業，實現智能化、信息化、網絡化發展，需要提高通信保密性、完整性、篡改性。例如，在ＰａａＳ 層挖掘、分析數據過程中，需要確保原始數據的完整性，同時保證隱私數據的保密性，對此，必須保證數據在通信過程的安全性［４］ 。普通數據保護主要應用ＡＥＳ，ＲＳＡ，ＭＤＳ，ＥＧＣ等國際密碼算法對工業互聯網平臺相關工業數據實施關聯規則挖掘等分析手段，以形成具有重要數據的微服務組件，此時若發生數據泄露，則必然會嚴重影響國家安全，甚至帶來不可估量的損失。若引入國外密碼算法，則會產生較大風險，主要是因為國外密碼算法較為脆弱，并且國外密碼算法容易被惡意嵌入遠程木馬等危險程序。因此，為保證通信安全，我國必須加強密碼技術的自主研發，充分發揮國產密碼技術在平臺中的應用價值。比如，將ＳＭ１，ＳＭ２，ＳＭ３ 等國產密碼算法應用到工業互聯網平臺通信中，能夠更好地保證該平臺在數據通信過程中獲得安全、可靠、可控的保護。

４ 密碼技術在工業互聯網中的安全性分析

４．１ 密碼應用服務安全性不足

目前，仍有一些工業控制系統在使用不安全的密碼算法，以及提供不安全密碼服務，如ＳＨＡ?０，ＳＨＡ?１，ＭＤ４，ＭＤ５，ＤＥＳ，ＲＣ２，ＲＳＡ?５１２，ＲＳＡ?１０２４，ＳＫＩＰＪＡＣＫ等密碼算法，這些算法極易被破解，對此，國家已經明確給予警示。但部分系統運營者、開發者，為了達到節約成本、節省資源的目的，在開發工作中并未重視密碼技術，甚至存在有意規避使用密碼產品的情況，直接降低了系統信息安全性、真實性、完整性，造成整個信息系統缺乏安全性保障。

４．２ 協議安全機制較為匱乏

工業互聯網包含大量的工業控制協議，可安全機制并不完善，不能滿足工業互聯網系統中各參與組件間的連接需求。通常情況下，在設計中，工控通信協議與規約更加注重通信的可用性、實時性，并未重視其安全性，具體表現在未設置完善的授權、認證、加密__等安全保護措施。若工控系統無線通信協議缺乏安全機制，則容易被盜取、竊聽，進而增加了欺騙性攻擊的概率。

４．３ 密碼技術自主可控性較差

若要提高工業互聯網網絡的安全自主可控性，最為重要的就是具備高質量的密碼算法與技術產品。但就目前我國互聯網信息技術實際發展情況看，由于長期依賴西方發達國家技術體系，導致我國工業信息化建設“信息孤島”問題尤為突出。我國在研究密碼算法方面，整體能力與研究基礎較為薄弱，導致密碼技術研究工作起步晚，和發達國家相比，存在很大差距。

５ 安全身份認證協議設計

通過上文分析密碼技術在工業互聯網中的安全性可知，若要進一步推動我國工業互聯網發展，則必須高度重視國內研制自主創新技術的提升，對此，本文設計了一種基于國產密碼算法的工業互聯網安全身份認證協議，該協議在對雙方進行身份認證時，只需借助ＳＭ３，ＳＭ４ 算法，便可實現數據的保密性、完整性。在實際設計時，可以細化為３ 個階段，包括初始化階段、注冊階段、認證階段，具體分析如下。

５．１ 初始化階段

在接入終端與網絡前，認證服務器（ＡｕｔｈｅｎｔｉｃａｔｉｏｎＳｅｒｖｅｒ， ＡＳ）會在安全通道作用下，將密鑰發送給系統的接入點（Ａｃｃｅｓｓ Ｐｏｉｎｔｓ， ＡＰ）和物聯網終端。

５．２ 系統初始化

在系統初始化過程中，通過輸入安全參數ｋ，認證服務器執行密鑰生成算法，為網絡終端和接入點創建密鑰對。

５．３ 認證協議

當系統處于正常運行狀態下，認證服務器會定期廣播物聯網終端Ｕｓｅｒ 的列表信息，其中包含ＩＤ、認證參數Ａ。若使用者加入網絡，則會先由ＡＰ 負責進行認證，確認無誤后，才可以與業務網建立有效通信。

６ 協議安全性分析

６．１ 雙向認證

在認證過程中，對于Ｕｓｅｒ 身份信息的驗證，主要由ＡＰ 借助Ｕｓｅｒ 身份ＩＤ、密鑰參數完成。與此同時，Ｕｓｅｒ 利用系統公開的公鑰ＰＫ，同時對ＡＰ 合法性實施有效驗證，從而使整個認證過程達到了雙向性。

６．２ 用戶撤銷

認證服務器和系統接入點均對系統終端ＩＤ 列表進行了維護，若要撤除某個終端的接入權限，則相關人員可以在認證服務器上進行撤銷操作即可，同時將更新后的列表發送給系統接入點，以快速撤銷用戶。

６．３ 前向安全性

在系統終端提出認證申請后，認證消息會加入時間節點認證，即便是同個終端在不同時間發出的認證，系統接入點每次生成的認證參數也不一樣。所以，即使系統接入點、Ｕｓｅｒ 密鑰參數發生泄露情況，同樣也無法計算出上一次使用過的會話密鑰，進而提高了系統安全性。

６．４ 抵抗攻擊

由于在認證過程配置了時間節點認證，因此雙方在每次認證過程中，會將隨機數作為認證參數，這種方式能夠很大程度上抵抗重放攻擊，進而提高安全性。

６．５ 用戶匿名性

由于越來越多的用戶注重自身隱私，因此在身份認證方案中，必須保證身份可以匿名。如果攻擊者獲取到用戶、服務器之間的溝通消息，一旦知曉用戶身份，便可搜集大量信息。而在安全身份認證協議的作用下，攻擊者不會從任何竊取的認證消息中發現用戶的身份。由于攻擊者不知道密鑰，無法得知用戶身份，因此能夠實現用戶匿名性，保證了用戶信息的安全性。

７ 結束語

本文基于國密算法設計了一種安全身份認證協議，利用該協議的雙向認證及ＳＭ３、ＳＭ４ 國密算法的優勢，提高數據的完整性、保密性。同時，通過該協議實踐發現，除了雙向認證之外，其還具有用戶匿名性等安全特性，進而有助于提高工業互聯網終端身份識別的安全性。

參考文獻：

［１］ 李露，謝映宏，李蔚凡，等．基于國密算法的配電網終端通信安全架構研究［Ｊ］．浙江電力，２０２２，４１（１２）：７９?８７．

［２］ 莊仁峰，莊嚴，蔣周良，等．國密算法技術與超級ＳＩＭ 卡融合技術的研究與應用［Ｊ］．電信工程技術與標準化，２０２２，３５（１２）：１２?１５．

［３］ 李雪偉，劉知一．基于ＳＭ２／ ＳＭ３ 國密算法的數字電影發行密鑰實現方法［Ｊ］．現代電影技術，２０２２（８）：１９?２５．

［４］ 黃丹丹，張正，劉佳欣．基于國密算法的Ｋｅｒｂｅｒｏｓ 身份認證協議改進與分析［Ｊ］．金陵科技學院學報，２０２２，３８（２）：１?８．

作者簡介：

林素標（１９７４'82`—），