今日頭條
官方微信
官方抖音
資訊頻道★南京訊石數據科技有限公司牛毅
★國家電網信產集團北京中電飛華通信有限公司周游
摘要:本文分析了當前工控生產網絡的安全現狀和需求,指出了在工業制造、能源生產過程中,其生產現場的復雜性和特殊性對數據進行安全防護所面臨的問題;通過對傳統的安全認證技術進行分析,提出了與PKICA認證技術密碼同源的無證書IPK標識公鑰技術;通過兩種技術對比,基于IPK技術對工控網縱向防御實現即插即用,在滿足工控應用效能的基礎上,對現有網絡部署無須進行更改,無須增加IP,也無須對接入設備和系統實施改造,完全滿足復雜的工業生產場景。通過IPK即插即用安全終端快速實現工控網絡的縱向安全防御,保證生產數據的加密傳輸、業務指令的安全加固、源數據的安全可信;進一步的,用戶方可以靈活便捷地自主生產、簽發、管理密鑰,安全不再依賴設備廠家,真正實現工業生產數據安全的自主可控。
關鍵詞:即插即用;縱向防御;標識公鑰;效能評估
1 引言
隨著物聯網技術在工業生產中的應用和推廣,安全隱患問題也變得日益突出。近年來,國家相繼出臺了各類安全法律、法規和技術標準,工業生產基礎設施安全已上升至國家安全戰略的高度。工業生產的過程中會形成各種數據,幾乎涵蓋了工業生產、制造過程的所有核心資料,這些數據不僅是企業生產制造的核心數據,同時也是我國工業生產行業的關鍵數據。這些數據一旦被非法采集或截取,將會完全脫離企業用戶的自身控制,給企業乃至國家埋下安全隱患。因此,必須保證工業制造、能源生產行業關鍵數據的安全,為數據建立安全防御。
目前,我國工業生產網絡的安全防護大多是在網絡邊界及安全域出口設置防火墻、網閘等安全防護設備,可以基本實現對生產網絡的橫向防護,但對于接入生產網絡的各類監控設備、業務系統來講,工控網絡的縱向防護嚴重缺失。工業生產數據通常通過工控系統實現監控采集,一方面,通過監控設備采集的數據大部分都是明文發送,另一方面,SCADA系統發送監控設備的指令和參數也缺少安全防護,一旦遭遇黑客攻擊發生泄露,通過這些數據可以對企業的工業生產過程做出統計分析,甚至可以通過對監控系統數據的分析,對相關操作指令和參數進行修改,產生不可估量的嚴重后果。尤其對于我國能源生產安全來講,數據泄露將可能造成不可估量的損失。
2 工控網絡安全現狀與需求
由于歷史原因,工業生產用戶的網絡安全防護意識較弱,同時生產設備和系統中還會使用國外的產品或技術,本身就存在一定的安全隱患。另外,在已形成規模的工控生產網絡中,對已經上線的工控設備或系統進行安全改造很難實現。所以,安全防護需要采用對現有應用不產生影響、部署靈活、簡單快速、運維成本低的方式進行。
對于新建的工控網絡應用,設備廠家提供的產品雖然都已經增加了安全功能,但產品應用的核心密鑰大多都是由產品提供商完成設置,作為安全核心的密鑰掌握在第三方手中,偏離了安全需要自主可控的核心,這也使得生產企業無法真正實現對自身數據的安全自主可控。
在工業制造、能源生產過程中,生產現場具有一定的復雜性和特殊性,要對生產數據實現安全防護還會面臨如下問題:
(1)工業生產具有數據傳輸的實時性,且具有應用時延要求,安全的加入不能影響到現有應用效率,須實現安全運算的低時延、低功耗。
(2)工業生產環境復雜,安全改造盡量不對原有系統和網絡進行改變,同時,不能造成后續過高的維護成本。須實現安全改造成本低且易維護。
(3)數據是企業的核心數字資產,數據安全的核心必須掌控在企業自己手中,企業不能依靠第三方,必須實現對數據安全的自主可控。
(4)工業生產現場應用與傳統的互聯網應用不同,密鑰的安全非常重要,還須防止由于密鑰中心被入侵或泄露導致整個安全防護體系失效帶來的巨大風險。
要實現工業生產數據的安全防護,一方面不能依托國外的產品技術,必須采用我國自主的算法與產品技術。另一方面,還需要從根本上徹底擺脫傳統的,由產品提供商提供核心密鑰的方式改為:設備廠商只提供產品安全功能,而產品的核心密鑰必須由企業自己生產、簽發和管控。只有這樣,才可以真正實現工業生產數據的安全、自主、可控。
3 工控網縱向安全防御技術實現
3.1 傳統安全防御技術的不足
傳統的安全防御技術體系一般都采用PKI證書方式,安全認證基于中心化實現。而面對工控生產的縱向防護要求與特征,在滿足工控系統運行效率要求的條件下,PKI證書的中心化認證方式可能會存在不足,尤其在窄帶通信、海量設備接入以及終端運算資源比較緊張的情況下,可能會導致認證效率低下、運算量大、中心密鑰管理復雜,無法滿足安全應用需求等問題。另外,從成本投入的角度,證書密鑰中心的建設成本也比較高,不能很好地滿足對工控網絡的縱深安全防護要求。
另外,從實際的生產環境考慮,工控網絡中接入了大量的終端設備,所有終端的密鑰都部署于密鑰中心,接入的設備越多,管理的復雜度也會越大,而且,所有密鑰集中于中心,一旦出現泄露,將導致整個安全防護體系的崩塌。所以,中心認證方式對于工控生產網絡來講,存在一定的安全隱患與不足。一方面要避免中心化密鑰存儲帶來的管理復雜度與安全風險,另一方面,由于終端部署于遠程,需要保證終端密鑰使用的一次一密,即使終端密鑰被破解也只能是獲取一次傳輸數據,對整個生產數據不會形成任何影響。只有這樣,才可以更好地實現工控生產網絡的縱深防御。
3.2 IPK標識公鑰技術介紹
IPK(IdentityPublicKey)標識公鑰技術是一種無證書公鑰密碼體制,可實現海量密鑰的管理,與傳統的證書體系相比,IPK具有低功耗、高效率、點對點認證的特性,是一種輕量級密鑰實現技術或密鑰管理協議。
3.2.1 終端標識密鑰生成
針對接入工控網絡的終端,IPK可基于終端標識實現密鑰的快速生產管理。如圖1所示,終端最終使用私鑰生成流程大致為:使用終端標識本地生成終端隨機公鑰UPK,并與密鑰中心隨機公鑰HPK一起通過密鑰中心私鑰矩陣計算生成標識私鑰,并簽發終端;終端通過終端隨機私鑰usk、密鑰中心隨機私鑰hsk以及標識私鑰進行三方復合運算,生成終端最終使用私鑰isk。終端最終使用公鑰生成流程大致為:使用終端標識本地生成終端隨機公鑰UPK,并與密鑰中心隨機公鑰HPK,通過密鑰中心的公鑰種矩陣計算生成標識公鑰,并簽發終端,該標識公鑰與終端隨機公鑰UPK、密鑰中心隨機公鑰HPK共同計算生成終端最終使用公鑰。終端標識密鑰生成過程如圖1所示。
圖1 終端標識密鑰生成過程
3.2.2 IPK技術與PKICA技術對比
與傳統的PKICA認證相比,IPK認證效率更高、運算時間短、簽名包長度更短,同時,IPK實現了點對點安全認證,密鑰管理簡單高效,相比PKI技術,IPK更加適合實現術對工控生產網絡實現縱深防御,效率更高,且幾乎不會對工控應用造成任何影響,完全滿足工控生產的安防效能要求。
IPK標識認證與PKICA證書認證的比較如表1所示。
表1 IPK與PKI技術性能比較
3.2.3 IPK實現工控網縱向防御的特點
通過終端標識密鑰生成過程可以看出:IPK標識密鑰的生成全部在終端本地生成,不需要依賴第三方,可實現點對點快速認證。同時,終端最終使用密鑰是由三方參與生成,密鑰中心只是參與因子,終端密鑰更安全。可見,針對工控網絡縱向安全防護,采用IPK無證書公鑰密碼技術具有更明顯的優勢:
(1)IPK認證無須證書,而是使用終端設備的標識直接作為公鑰來實現對設備的身份授權和認證,運算低功耗、高效率,滿足工控網絡5G超高帶寬、超可靠低時延以及超大規模連接的特性,滿足工控設備窄帶通信與邊緣計算的要求,完全符合工控網絡縱向安全防護的安全要求。
(2)IPK可實現海量密鑰的簽發管理,滿足工控網絡所有接入設備、系統、應用的密鑰簽發和安全應用,還可通過IPK的技術特性,滿足工控網絡的安全隔離和互聯要求。
(3)IPK密鑰中心簽發密鑰給終端后將不再參與安全應用,終端對密鑰進行二次復核生成最終使用密鑰,密鑰中心無法獲知,且無法推算出終端的最終使用密鑰,密鑰簽發與使用更安全,杜絕中心被攻擊或密鑰泄露造成安全防御整體崩潰的重大安全事故。
(4)IPK與傳統的PKICA技術具有相同的密碼基礎與協議,全部基于國密SM2算法實現安全應用,IPK與PKI可輕松實現技術互通,可滿足工控網絡云端與感知端安全體系相互融合的需求。
4 即插即用工控網縱向安全防御
4.1 工控網縱向應用的安全風險
傳統的工控縱向網絡一般包括了三部分:遠程采集端、監控中心、信息中心。遠程采集端的數據發送至工控SCADA系統,經SCADA實時監控,形成最終的生產數據,一般通過生產內網發送至信息中心數據庫進行存儲。在生產數據被遠程采集、傳輸、存儲的整個執行路徑中,主要存在以下安全風險:
(1)遠程終端接入設備的身份合法問題;
(2)遠程終端上線發送數據的安全傳輸問題;
(3)遠程終端發送源數據的安全可信問題;
(4)SCADA下行指令及核心參數的安全可靠問題。
4.2 即插即用工控網絡縱向安全防御護架構
即插即用工控網縱向安全防御的整體架構示意如圖2所示。
圖2 即插即用工控網縱向安全防御實現框架
即插即用工控網縱向安全防御實現基于IPK標識公鑰密碼技術。在遠程采集端的終端傳感設備上串聯了SEU(即插即用安全終端),SEU可以通過RJ45或RS485接口與已有的終端傳感設備(圖像、視頻監控;RTU、PLC、網關;數據集中器;傳感設備等)實現鏈接,設備綁定無須增加新的IP。在監控中心SCADA系統前端連接縱向認證加密設備E-SCE(邊緣安全網關),生產數據上傳及監控指令、關鍵參數的下發時,數據經過SEU、E-SCE即可實現數據加密、指令加固以及數據源可信。
加入原系統的SEU、E-SCE不會影響原有應用,不會增加原有系統的IP管理,通過TUCP(即:終端鑒權及統一安全管理)對所有設備進行白名單管理,同時實現設備密鑰的在線簽發和管理,保證接入終端的鑒權及相互間的認證。整個系統的數據安全實現簡單、快捷,且后續維護成本低,完全滿足工業生產的應用場景和應用時效要求。
5 總結
工控生產網絡的縱向安全防御是工業生產數據安全的核心。隨著我國《數據安全法》的實施,對于關系到我國經濟與工業發展的生產數據安全防護更為重要。工業生產網絡的安全防護不僅僅是傳統的橫向防御,更需要加強工控網絡安全的縱深防御。
本文提供了一種全國產化的IPK標識公鑰技術,基于國密算法,在滿足工控應用的安全效能評估、不改變原有工控應用網絡部署、不增加IP、不改造原有設備和系統的條件下,加入即插即用安全終端,快速建立工控網絡的縱向安全防護,同時實現了用戶自主生產簽發密鑰,讓用戶牢牢把控安全核心,真正實現生產數據安全的自主可控。
作者介紹:
牛毅 (1973-),男,山西太原人,高級工程師,學士,現就職于南京訊石數據科技有限公司,長期從事輕量級密鑰技術的研究與應用,主要研究方向為工控網絡安全、網域安全隔離與互通、衛星通信安全、物聯網安全、終端設備安全。
周游 (1978-),男,北京人,高級工程師,學士,現就職于國家電網信產集團北京中電飛華通信有限公司,主要研究方向為電力通信技術、信息通信安全等相關技術研究。
摘自《自動化博覽》2022年10月刊
北京市公安局海淀分局備案號:11010802023656號