第54卷 第1期2021年1月
通信技术
Communications Technology
Vol.54 No.1
Jan. 2021
文献引用格式:成龙,董贵山,罗影,等.基于国密算法的航油工业控制系统安全解决方案[J].通信技术,2021,54(01):200-208. CHENG Long,DONG Guishan,LUO Ying,et al.Security Solution of Aviation Fuel Industry Control
System based on Domestic Cryptographic Algorithm[J].Communications Technology,2021,
54(01):200-208.
doi:10.3969/j.issn.1002-0802.2021.01.032
基于国密算法的航油工业控制系统安全解决方案*
成 龙1,董贵山2,罗 影3,邹大均2,刘 波2
(1.中国航空油料集团有限公司,北京 100088;2.中国电子科技网络信息安全有限公司,四川 成都 610041;
金环银环3.工业信息安全(四川)创新中心有限公司,四川 成都 610041)
摘 要:随着两化深度融合,航油工业控制系统的自动化运行和集成程度不断提高。航油工业控制系统的安全以及稳定运行直接关系到人们的生命财产安全和强国建设,一旦出现安全问题将影响航油供应的稳定性,甚至会给重大经济、人员、环境等涉及国计民生方面造成严重后果。为了提升航油工业控制系统安全,通过整理航油供应业务流程,分析航油工业控制系统的功能与部署,针对梳理的航油工业控制系统在安全方面存在的风险隐患,基于国产密码算法提供的安全防护功能,提出航油工业控制系统安全解决方案,以增强系统的安全综合保障能力。 拉格朗日关键词:密码算法;加密;访问控制;航空油料;工业控制系统
中图分类号:TP309 文献标识码:A 文章编号:1002-0802(2021)-01-0200-09
Security Solution of Aviation Fuel Industry Control System based on
Domestic Cryptographic Algorithm
CHENG Long1, DONG Guishan2, LUO Ying3, ZOU Dajun2, LIU Bo2
(1.China Aviation Oil Group Co., Ltd., Beijing 100088, China; 2.China Electronics Technology Cyber Security Co., Ltd., Chengdu Sichuan 610064, China; 3.Sichuan Innovation Center of Industrial Cyber Security Co., Ltd., Chengdu Sichuan 610041, China) Abstract: With the deep integration of the two industrializations, the automation and integration of the aviation fuel industry control system exhibits continuous improvement. The safety and stable operation of the aviation fuel industry control system are directly related to the safety of people’s lives and property and the building of a strong country. Once a security problem occurs, it will inevitably affect the stability of aviation fuel supply, and even cause major economic, personnel, environmental aspects related to the national economy and people’s livelihood. In order to improve the safety of the aviation fuel industry control system, by sorting out the aviation fuel supply business process, analyzing the function and deployment of the aviation fuel industry control system, and aiming at the hidden risks in the safety of the aviation fuel industry control system, based on the security protection function provided by the domestic cryptographic algorithms, a security solution for the aviation fuel industry control system is proposed to enhance the system’s comprehensive security capability.
Keywords: cryptographic algorithm; encryption; access control; aviation fuel; industry control system
* 收稿日期:2020-09-10;修回日期:2020-12-10 Received date:2020-09-10;Revised date:2020-12-10
第54卷第1期成 龙,董贵山,罗 影,邹大均,刘 波:基于国密算法的航油工业控制系统安全解决方案
0 引 言
在两化深度集成和工业转型升级的同时,工业控制生产环境已从封闭转向开放,生产过程从自动化转向智能化。此外,工业控制系统安全漏洞数量在逐年递增,各类工控信息安全事件层出不穷,安全威胁加速渗透,攻击手段复杂多样。2019年7月,纽约曼哈顿发生大规模停电,约4.2万名居民断电,还有多人被困电梯。2019年9月,印度Kudankulam核电站遭受了攻击,恶意软件感染了核电站的管理网络,导致一个反应堆中止运行。2020年4月,葡萄牙跨国能源公司EDP遭到软件攻击。
电力、石油天然气和水利等工业控制系统,作为国家能源生产基础和国家关键基础设施的重要组成部分,面临高科技网络攻击的威胁。我国高度重视工业控制系统安全并采取了各种举措。根据《网络安全法》,主管机构发布了一系列法规、政策、战略规划和指南,强调加强对关键信息基础设施的保护以及使用国产密码手段来增强安全保障能力的必要性。比如,国家互联网信息办公室起草公布《关键信息基础设施安全保护条例(征求意见稿)》,两办2018年36号文《金融和重要领域密码应用与创新发展工作规划(2018—2022年)的通知》,中办、国办发[2015]4号文《关于加强重要领域密码应用
的指导意见》,均强调促进重要工业控制系统密码应用。
航空燃油供应是机场正常运行的物资保障,在维护国家安全和经济发展中发挥着重要作用。航油工业控制系统的自动化和集成度不断提高,促使工业控制系统被越来越多地应用于各个领域,如油库、输油管线以及航空加油站等。航油工业控制系统的安全和稳定运行直接关系到人们的生命财产安全和强国建设。作为航油系统稳定运行的重要组成部分,工业控制系统是航油关键信息基础设施的宝贵资产,而系统中运行的数据更是具有重要价值的重点保护对象,一旦出现安全问题,将影响航油供应的稳定性,并给国民经济和生产带来严重后果。
国内外诸多机构和学者已经开始工控系统安全应用研究。美国桑迪亚国家实验室(Sandia National Labs,SNL)成立数据采集和监视控制系统(Supervisory Control And Data Acquisition,SCADA)安全研究中心来研究工控系统安全。2015年,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布NIST SP800-82《工业控制系统安全指南》[1]。邸丽清等人[2]研究国外工业控制系统信息安全相关标准、指南及行业规范,分析其体系框架和安全技术要求。Tidrea等人[3]提出基于可信平台模块TPM 来解决使用Modbus TCP、DNP3以及S7等协议引起的安全性问题。Parvez等人[4]以SCADA无线通信加密为切入点分析比较基于SCADA与AGA12的各种可用安全标准。Duka等人[5]的研究表明,计算资源有限的可编程逻辑控制器(Programmable Logic Controller,PLC)也可开发基于密码算法(如AES、SHA1、HMAC-SHA1、Speck以及Simon等)的
应用程序,以保障应用数据安全。兰昆等[6]研究如何应用密码技术在控制站和受控设备间建立可靠可信的控制信道。
本文整理航油供应业务流程,分析航油工业控制系统的功能与部署,梳理航油工业控制系统在安全方面存在的风险隐患,提出基于国产密码算法的航油工业控制系统安全增强方案,以提升系统的综合安全保障能力。本文组织如下:第1章介绍航油工业控制系统的背景现状和航油工业控制系统的业务流程;第2章分析航油工业控制系统存在的安全性风险以及相关安全需求;第3章介绍国产密码技术,并结合国产密码技术提出航油工业控制系统的安全性增强方案;最后,总结全文。
1 航油业务现状分析
航油供油系统实现对油品的接卸、输送、储存以及加注等过程的自动控制,以及相关设备和测量仪表的运行状态监测和报警控制等功能[7]。航空燃料的供应是进行航空运输的先决条件,而机场是航空燃料供应的基础。航油由炼油厂使用直馏、加氢裂化以及加氢精制等工艺生产,或从中转油库中转,然后通过铁路、公路、水上运输或油料管道输送到建设在机场附近的航空油料机场油库。在对燃料进行技术处理后,将其通过飞机的专用加油车运输到飞机。航油工业控制系统包括长输管道输油自动化控制系统、油库供油自动化控制系统以及航空加油站加油自动化控制系统等,如图1所示。供应地通过铁路、公路、水路或油料管道将供应的航空油料输送到中转油库,然后输入机场附近的机场油库,最后对油料进行技术处理,通过航空加油站、专用的飞机加油车等输送到飞机上。
大多自产航油直接从炼油厂运输到机场;进口航油则经海运至我国沿海码头,然后通过中转运输至各个机场。铁路运输运量大且适合长途运输,运
炼油厂
飞机
航空加油站油库供油自动化控制系统
油库供油自动化控制系统
机坪管线加油系统
第54卷第1期成 龙,董贵山,罗 影,邹大均,刘 波:基于国密算法的航油工业控制系统安全解决方案
来的安全风险,因此必须限制在企业网络SCADA 客户端使用等,以加强该类资源的身份认证和访问控制。在航油工业控制系统的4个层次间缺乏必要的网络划分和域控制机制,因此需要合理的网络划分和隔离策略。长输管道输油自动化控制系统、油库供油自动化系统以及航空加油站加油自动化控制系统,与企业其他系统(如企业管理信息系统)之间应该划分为不同的区域。区域之间应有清晰的网络边界并应进行网络边界隔离,同时部署具有访问控制功能的网络安全设备、安全可靠的工业防火墙
或具有等效功能的设施。系统内部划分为不同的安全域,各域之间采用技术隔离,在重要网络区域与其他网络区域之间应该考虑采取可靠的技术隔离手段。在系统与WAN之间的垂直交界处应考虑控制设备,实现双向身份认证、访问控制和数据加密传输。
航油工业控制系统网络在人员管理、权限管理等地方也存在缺陷。缺乏专业操作技能的人员、外部人员以及内部恶意人员等在访问系统时,可能会进行错误的配置或实施恶意攻击等。所有这些将导致系统被攻击并可能引发一系列严重后果,因此有必要实现基于密码技术的安全保护功能,如身份验证、权限控制等。
航油工业控制系统使用的操作系统和应用程序正在逐步与IT系统融合,采用开放和统一的IT系统标准,使得IT系统的漏洞被移植到航油工业控制系统。但是,IT系统的解决方案可能不适用于航油工业控制系统,在实时性要求高的工业控制系统中使用传统防护措施,导致的通信延时将会对工控系统服务连续性产生较大影响。
3 基于密码技术的应用解决方案
3.1 国密算法简介
近年来我国发布了多款商用密码算法,包括祖冲之序列密码算法ZUC、分组密码算法SM4、杂凑密码算法SM3以及公钥密码算法SM2和SM9。
祖冲之密码算法[9]的密钥长度为128 bits,由128 bits种子密钥和128 bits初始向量共同作用生成32 bits宽的密钥流。ZUC可用于数据保密性和完整性保护。在2011年9月的3GPP会议上,我国的ZUC算法与AES、SNOW 3G共同成为4G移动通信密码算法的国际标准。 SM4算法[10]的分组长度为128 bits,密钥长度为128 bits,加密与密钥扩展算法都采用32轮非线性迭代结构。加密和解密使用完全相同的结构,解密时只需倒置密钥的顺序。因此,相比AES算法,SM4算法更易于实现。SM4算法于2012年作为密码行业标准发布,并于2016年转化为国家标准。汇文系统
SM3算法[11]通过M-D模型处理输入消息,生成256 bits的杂凑值。与SHA256算法相比,SM3算法使用了多种新的设计技术,在安全性和效率上更具优势。SM3算法于2012年作为密码行业标准发布,于2016年转变为国家标准,并于2018年正式成为国际标准。
SM2算法[12]基于椭圆曲线离散对数问题,提供数据加密解密、签名验签和密钥协商功能。SM2算法推荐使用256 bits素域上的参数集。与RSA算法相比,SM2算法具有安全性高、密钥短、私钥产生简单以及签名速度快等优点。该算法已于2016年成为国家标准,并于2017年被ISO采纳成为国际标准。
SM9算法[13]是一种标识密码,是在传统公钥基础设施PKI基础上发展而来的,可以解决安全应用场景中PKI需要大量交换数字证书的问题,使应用更易部署和使用。SM9算法提供密钥封装、数据加密解密、签名验签和密钥协商功能。2017年,ISO将SM9数字签名算法采纳为国际标准的一部分。
3.2 密码算法提供的常见安全功能
密码算法提供的4个主要功能为数据的机密性、信息来源的真实性、数据的完整性和行为的不可否认性。
战地进行曲3.2.1 机密性
对称密码算法SM4和非对称密码算法SM2、SM9均可以实现数据的机密性保护。相比之下,SM2和SM9的加密和解密方式更灵活,但计算成本很高,主要用于少量数据保护和采用复杂共享方法的数据保护;SM4则可应用在大量信息的传输或存储的保护中[14]。SM2和SM9可以为SM4算法提供密钥协商或密钥的安全传输。在SM4保护数据时需注意,CBC模式的初始向量一般需要随机产生,可以通过调用品质优良的随机数发生器来生成。随机数发生器产生的随机数应进行必要的随机性检测[15],如单比特频数检测[16]、块内频数检测[16]、扑克检测[17]以及Maurer通用统计检测[18]等。3.2.2 完整性
数据完整性保护的实现方式一般为SM2、SM9
通信技术
的数字签名机制或消息鉴别码MAC机制。消息鉴别码可以是基于SM4算法的CMAC-SM4、CCM-SM4以及GMAC-SM4等[19],也可以是基于SM3的HMAC-SM3。SM3的快速实现[20]可提升HMAC-SM3的性能。利用MAC实现完整性保护的机制:消息发送者发送消息,并通过共享密钥计算MAC 值(如HMAC-SM3);消息接收者通过共享密钥和收到的消息重新计算MAC值,如果二者一致,则确认消息的完整性。利用数字签名实现完整性保护的机制:消息发送方发送消息,并使用自己的私钥调用SM2/SM9签名功能计算得到的签名值;接收者用发送方公钥对签名调用SM2/SM9签名验证功能,验证收到消息的完整性。
3.2.3 真实性
实现真实性的核心是基于身份鉴别技术,如使用基于密码技术的身份鉴别。在基于SM4的身份验证中,双方共享对称密钥以执行加密和解密,并使用挑战&应答机制来抵抗重放攻击,如果验证者成功解密该消息,则相信消息来自声称者。基于SM2/ SM9的鉴别机制类似,声称者使用私钥对消息签名,验证者使用公钥验证签名有效性,如果验证通过,则相信声称者是本人。
3.2.4 不可否认性
不可否认能够在产生纠纷时提供可靠的证据以帮助解决纠纷,主要采用数字签名技术来实现。例如,消息发送方用自己的私钥对要进行不可否认性保护的数据进行签名并将其发给接收者,签名就是不可
否认的证据。数据接收方存储此消息和数字签名,以用作将来解决争议的证据。
3.3 基于电子门禁系统的物理访问控制解决方案
电子门禁系统是实现物理访问控制安全最常见最有效的手段之一。密码行业标准GM/T 0036针对采用密码技术的非接触式卡门禁系统,规定了系统中使用的密码设备、密码算法、密码协议和密钥管理的相关要求。电子门禁系统通常由后台管理系统、门禁读卡器以及门禁卡等构成。该系统的内部安全保护由每个组件内的密码模块提供,如图2所示。
电子门禁系统的门禁卡和读卡器/后台管理系统中具有内置的安全模块,用于读卡器和后台管理系统对门禁卡进行身份验证。读卡器射频接口模块负责与门禁卡的射频通信。微控制单元MCU负责内部数据交换,并与后台管理系统进行通信。密钥管理及发卡系统提供密钥管理及发卡系统中的密码设备,提供诸如密钥生成、密钥分散及身份鉴别之类的密码服务。电子门禁系统身份鉴别的过程有多种,以下是认证门禁卡的一种执行流程[21]。
读卡器
后台管理系统
密钥管理和发卡系统
门卡
发行设备
密码模块
发行设备
密码模块
后台管理
数据库
密码模块
数据库
密码模块
MCU
射频接口
门禁卡
内含
密码模块
门禁卡
内含
密码模块
图2 电子门禁系统组成
第1步:读卡器读取门禁卡信息。门禁卡将卡片唯一标识UID和用于卡片密钥分散的发行信息C T发送给读卡器。巴克尔
第2步:读卡器发送内部认证命令和随机数R a 给门禁卡。
第3步:门禁卡内部用存在卡片中的卡密钥K C对该随机数用SM4算法做加密运算,并将计算得到的结果R a´并回发给读卡器。
R a´=SM4-ENC(K C,R a) (1)第4步:读卡器传送R a、R a´、UID和C T到后台管理系统。
第5步:后台管理系统认证门禁卡。
(1)后台管理系统鉴别卡片唯一标识是否在黑名单内,若是,则反馈认证失败与原因。
(2)计算门禁卡的卡密钥,即对UID和C T等分散因子以及保存在安全模块中的系统根密钥K R,使用基于SM4的密钥导出函数SM4-KDF算法分散得到门禁卡的卡密钥K C:
K C=SM4-KDF(K R,UID||C T) (2)(3)用此卡密钥计算鉴别信息,即计算:
R a´´=SM4-ENC(K C,R a) (3)(4)比较鉴别值。如果R a´´=R a´,则对门禁卡
>机遇分析
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议