滕海波 ，薛井俊 ，張明希 ，侯 煜 ，高 興

（1. 南水北調(diào)東線總公司，北京 100070；2. 江蘇省江都水利工程管理處，江蘇 揚(yáng)州 225200）

0 引言

工程調(diào)度運(yùn)行管理信息系統(tǒng)對南水北調(diào)東線工程的安全運(yùn)行、可靠監(jiān)控、科學(xué)調(diào)度、優(yōu)化調(diào)水和安全管理發(fā)揮著至關(guān)重要的作用。調(diào)水控制系統(tǒng)即工程調(diào)度運(yùn)行管理信息系統(tǒng)中的泵（閘）站控制和水量調(diào)度系統(tǒng)是實(shí)現(xiàn)安全調(diào)水的“神經(jīng)中樞”，也是工業(yè)控制領(lǐng)域重要信息系統(tǒng)。

水利可持續(xù)發(fā)展是國民經(jīng)濟(jì)和社會(huì)可持續(xù)發(fā)展的基礎(chǔ)和保障[1]，水利工程和人們?nèi)粘５纳a(chǎn)生活有著密切的聯(lián)系，同時(shí)也關(guān)系到國計(jì)民生[2]。隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全事件呈現(xiàn)快速增長趨勢，密碼技術(shù)作為保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是保護(hù)我國信息和工業(yè)控制系統(tǒng)的重要技術(shù)手段，調(diào)水控制系統(tǒng)的安全運(yùn)行離不開密碼技術(shù)。本研究從調(diào)水控制系統(tǒng)承載業(yè)務(wù)應(yīng)用安全問題與安全風(fēng)險(xiǎn)分析入手，推導(dǎo)密碼應(yīng)用需求，并給出密碼應(yīng)用技術(shù)路線和實(shí)現(xiàn)途徑，對保障南水北調(diào)東線工程的安全、可靠、穩(wěn)定、高效運(yùn)行具有重大的現(xiàn)實(shí)意義。

1 調(diào)水控制業(yè)務(wù)現(xiàn)狀及安全問題

1.1 業(yè)務(wù)現(xiàn)狀

南水北調(diào)東線一期工程包括山東、江蘇、蘇魯省際工程三段，根據(jù)所承載業(yè)務(wù)應(yīng)用的重要程度和網(wǎng)絡(luò)安全要求，東線工程信息化網(wǎng)絡(luò)分為工程監(jiān)控網(wǎng)（控制專網(wǎng)）、水量調(diào)度管理網(wǎng)（業(yè)務(wù)內(nèi)網(wǎng)）和業(yè)務(wù)外網(wǎng) 3 張網(wǎng)。南水北調(diào)東線工程調(diào)水控制系統(tǒng)主要業(yè)務(wù)在控制專網(wǎng)內(nèi)，包括遠(yuǎn)程泵站和水閘監(jiān)控信息承載服務(wù)，傳送各個(gè)現(xiàn)地泵站的開停及閘門啟閉等相關(guān)信息。系統(tǒng)業(yè)務(wù)承載主要由調(diào)度中心和被控端 2 個(gè)部分系統(tǒng)組成，調(diào)度中心系統(tǒng)包括調(diào)度控制中心和分中心，被控端系統(tǒng)包括現(xiàn)地泵站樞紐集成端和站閘執(zhí)行端。主要業(yè)務(wù)包括：

1）水情、工情的實(shí)時(shí)采集。主要包括采集閘門開度、各梯級泵站啟停、上下游水位和實(shí)時(shí)流量，以及電流、電壓、溫度、壓力等參數(shù)，設(shè)備電源、供配電等狀態(tài)。上傳采集監(jiān)測數(shù)據(jù)，為現(xiàn)場操作、監(jiān)測、管理和記錄提供實(shí)時(shí)信息。

2）遠(yuǎn)程控制。包括閘門全開度和任意開度啟/降，各梯級管轄泵站現(xiàn)地啟/停控制等，及時(shí)掌握運(yùn)行實(shí)況。此外還包括輔助控制，如供排水系統(tǒng)、油泵、撈草機(jī)開停，變焦攝像機(jī)云臺(tái)及變焦鏡控制，通航紅綠燈、警示燈、警鈴控制，室外照明、航道燈及室外設(shè)備電源控制等。

系統(tǒng)核心功能是對泵（閘）站的控制和數(shù)據(jù)采集，中心根據(jù)調(diào)度任務(wù)的信息，通過 Modbus TCP等工業(yè)協(xié)議，實(shí)施對端系統(tǒng)的遠(yuǎn)程控制；控制指令通過與現(xiàn)場 PLC，RTU 等設(shè)備實(shí)時(shí)數(shù)據(jù)交換，實(shí)現(xiàn)對閘門開度、泵站的啟?？刂疲约皩λ?、流量等監(jiān)測數(shù)據(jù)的監(jiān)測和定時(shí)上傳等。

本研究聚焦系統(tǒng)所承載調(diào)水控制業(yè)務(wù)。

1.2 安全問題

系統(tǒng)調(diào)水控制業(yè)務(wù)主要有組態(tài)軟件之間和組態(tài)軟件與被控設(shè)備之間 2 類協(xié)議類型交互。

1）組態(tài)軟件之間的協(xié)議是調(diào)度控制中心與分中心、泵站集成端系統(tǒng)之間交互的協(xié)議，類似 DCS分布式控制系統(tǒng)，以電力 104 規(guī)約為主進(jìn)行報(bào)文交互。電力 104 規(guī)約是一種基于 TCP/IP 協(xié)議的網(wǎng)絡(luò)通信規(guī)約，采用一問一答的工作方式，此規(guī)約 APCI為應(yīng)用規(guī)約控制信息，控制域約定了報(bào)文重傳、傳輸啟動(dòng)停止及連接測試等控制信息，ASDU 為應(yīng)用規(guī)約服務(wù)數(shù)據(jù)，屬于應(yīng)用層面的數(shù)據(jù)，根據(jù)具體應(yīng)用而有差異。

2）組態(tài)軟件與被控設(shè)備之間的協(xié)議是調(diào)度控制中心與閘站 PLC 之間交互的協(xié)議，以 Modbus TCP等主流通用工控協(xié)議為主進(jìn)行報(bào)文交互。Modbus TCP 約定了命令格式，命令內(nèi)容由組態(tài)軟件廠商與被控設(shè)備具體自行約定。

此外，OPC 作為基于 Windows OLE，DCOM的通信接口技術(shù)，包括一套接口、屬性和方法的標(biāo)準(zhǔn)集合，用于過程控制等工業(yè)自動(dòng)化系統(tǒng)，提供實(shí)時(shí)數(shù)據(jù)、狀態(tài)參數(shù)、控制參數(shù)、事件報(bào)警等信息的控制和采集。

隨著近些年水利信息化技術(shù)的高速發(fā)展，水利專網(wǎng)的服務(wù)器已多次受到網(wǎng)絡(luò)攻擊，造成多臺(tái)服務(wù)器系統(tǒng)損壞和數(shù)據(jù)丟失，相關(guān)省部級安全部門也對相應(yīng)漏洞進(jìn)行修復(fù)，但仍存在一定的威脅性。目前調(diào)水控制業(yè)務(wù)協(xié)議并沒有考慮內(nèi)建安全性，存在以下幾類典型安全問題：

1）不能對抗假冒身份攻擊。缺乏信源身份鑒別認(rèn)證機(jī)制，無法確認(rèn)調(diào)水控制指令來源的身份合法性，也無法確認(rèn)信息采集端的身份合法性，在廣域網(wǎng)的遠(yuǎn)程環(huán)境下，極易引起假冒身份的網(wǎng)絡(luò)攻擊。

2）不能抵御信息偽造和數(shù)據(jù)篡改攻擊。缺少加密和完整性保護(hù)，協(xié)議地址和命令采用明文傳輸，敏感信息易被捕獲和解析，關(guān)鍵控制指令易被篡改，從而引起控制系統(tǒng)下行指令失控和上行數(shù)據(jù)的偽造，對調(diào)水控制過程造成安全威脅。

3）不能抵御網(wǎng)絡(luò)防重放攻擊。調(diào)水控制指令被重放時(shí)，缺乏有效的識別機(jī)制，導(dǎo)致指令被惡意使用，帶來潛在的系統(tǒng)風(fēng)險(xiǎn)。

在這樣嚴(yán)峻的環(huán)境下，研究數(shù)據(jù)加密技術(shù)并將其應(yīng)用于保護(hù)網(wǎng)絡(luò)信息安全工作中，可以不斷提高調(diào)水控制系統(tǒng)運(yùn)行的安全性[3]，保障南水北調(diào)東線工程的安全、可靠和穩(wěn)定運(yùn)行。

2 密碼應(yīng)用需求及安全加固要求

2.1 密碼應(yīng)用需求

針對調(diào)水控制系統(tǒng)業(yè)務(wù)應(yīng)用安全問題，國際上一般采用加密算法，目前常用密碼算法符合高級加密標(biāo)準(zhǔn)，可以提高信息的安全性效果[4]，應(yīng)采用密碼技術(shù)滿足以下安全需求：

1）針對通用工控協(xié)議和專用 104 協(xié)議進(jìn)行適用南水北調(diào)東線工程調(diào)水控制系統(tǒng)業(yè)務(wù)應(yīng)用密碼加固。密碼加固能夠適配調(diào)水控制業(yè)務(wù)功能，統(tǒng)一解決調(diào)水控制應(yīng)用安全問題。

2）協(xié)議收發(fā)兩端的身份可信需求，實(shí)現(xiàn)調(diào)水控制系統(tǒng)雙向身份鑒別認(rèn)證，確保調(diào)度控制中心、分中心與泵（閘）站的交互身份可信。

3）控制指令和采集數(shù)據(jù)的不可篡改需求，實(shí)現(xiàn)基于密碼技術(shù)的調(diào)水指令防偽和水情、工情數(shù)據(jù)完整性要求。

4）密碼協(xié)議的輕量型設(shè)計(jì)需求，滿足調(diào)水控制系統(tǒng)對快速響應(yīng)能力的要求。

5）密碼協(xié)議的易實(shí)施性需求，便于調(diào)水控制系統(tǒng)組態(tài)軟件和 PLC 終端設(shè)備的集成。

2.2 密碼加固要求

基于應(yīng)用需求，應(yīng)考慮對調(diào)水控制系統(tǒng)業(yè)務(wù)所涉及工控協(xié)議采用密碼加固的方法，滿足協(xié)議可實(shí)施性及密碼安全要求：

1）滿足協(xié)議可實(shí)施性要求應(yīng)適配多種工控協(xié)議通用密碼應(yīng)用協(xié)議，通過應(yīng)用層統(tǒng)一封裝工控協(xié)議，形成適配調(diào)水控制系統(tǒng)中現(xiàn)有組態(tài)軟件之間、組態(tài)軟件與被控設(shè)備之間 2 類協(xié)議的通用安全加固技術(shù)措施，包括 Modbus TCP，OPC，IEC60870-5-101/104 等多種工控協(xié)議，避免多種工控協(xié)議的應(yīng)用復(fù)雜性。

2）滿足密碼安全要求應(yīng)適配非對稱密碼和對稱密碼混合的動(dòng)態(tài)認(rèn)證、協(xié)商和加密機(jī)制，采用符合國家密碼技術(shù)規(guī)范的數(shù)字證書及信封機(jī)制，構(gòu)建調(diào)水系統(tǒng)業(yè)務(wù)安全協(xié)議的動(dòng)態(tài)認(rèn)證、協(xié)商和加密機(jī)制。由此滿足以下調(diào)水控制業(yè)務(wù)應(yīng)用的具體要求：

a. 身份認(rèn)證。應(yīng)采用基于密碼的身份認(rèn)證機(jī)制，實(shí)現(xiàn)現(xiàn)地站遠(yuǎn)程終端與調(diào)度中心的雙向認(rèn)證，確保指令發(fā)送和接收方身份唯一、不可偽造性。

b. 機(jī)密性。傳輸過程中應(yīng)防止下行指令控制和上行數(shù)據(jù)采集信息明文泄露，確保傳輸機(jī)密性。

c. 完整性。傳輸過程中應(yīng)防止下行指令控制和上行數(shù)據(jù)采集信息被篡改，確保指令及信息不被偽造。

d. 防重放性。傳輸過程中應(yīng)防止下行指令控制和上行數(shù)據(jù)采集信息被原有信息替代，確保指令信息的新鮮性。

3 密碼應(yīng)用技術(shù)路線

3.1 信息設(shè)備自身安全

對于調(diào)水控制信息設(shè)備自身安全，需構(gòu)建從芯片、操作系統(tǒng)到上層應(yīng)用軟件的密碼應(yīng)用生態(tài)環(huán)境，實(shí)現(xiàn)信息設(shè)備自下而上的安全加固和增強(qiáng)。鑒于現(xiàn)有調(diào)水控制系統(tǒng)中使用的 PLC 等控制設(shè)備多采用國外設(shè)備，因此，密碼應(yīng)用改造難度較大，可考慮與這些設(shè)備國產(chǎn)化進(jìn)程同步規(guī)劃密碼應(yīng)用，現(xiàn)階段考慮改造的密碼應(yīng)用協(xié)議安全加固在 PLC 外部實(shí)現(xiàn)。

3.2 密碼應(yīng)用機(jī)制

調(diào)水控制系統(tǒng)承載業(yè)務(wù)密碼應(yīng)用，以應(yīng)用層密碼加固協(xié)議方式，用于確保調(diào)水控制系統(tǒng)下行控制指令的防偽，以及上行監(jiān)測數(shù)據(jù)的報(bào)文完整性。

1）協(xié)議安全加固采用對稱密碼加密與非對稱密碼混合技術(shù)機(jī)制，實(shí)現(xiàn)調(diào)水控制系統(tǒng)調(diào)度控制中心、分中心與泵（閘）站雙向身份鑒別認(rèn)證和動(dòng)態(tài)密鑰協(xié)商，并以符合國家密碼技術(shù)規(guī)范數(shù)字信封機(jī)制進(jìn)行數(shù)據(jù)加密傳輸，從而實(shí)現(xiàn)閘門安全啟/降、泵站啟/?；虮O(jiān)測數(shù)據(jù)安全上傳。

2）考慮協(xié)議安全加固可擴(kuò)展性，當(dāng)終端 PLC等現(xiàn)場設(shè)備具備支持密碼模塊或邏輯的條件時(shí)，可以根據(jù)設(shè)備資源情況，評估并采用預(yù)置初始對稱密鑰的技術(shù)措施，以預(yù)置密鑰作為傳輸保護(hù)密鑰，對下行控制指令和上行監(jiān)測數(shù)據(jù)進(jìn)行安全保護(hù)。

3.3 密碼應(yīng)用層次

調(diào)水控制密碼應(yīng)用協(xié)議安全加固位于 TCP/IP網(wǎng)絡(luò)層及傳輸層之上，獨(dú)立于 IPsec 及 SSL 通道安全層協(xié)議。針對調(diào)水控制業(yè)務(wù)指令安全層，后兩者用于構(gòu)建傳輸通道的安全，對通道中的所有業(yè)務(wù)透明。協(xié)議與系統(tǒng)其它協(xié)議的關(guān)系如圖 1 所示。

密碼應(yīng)用協(xié)議安全加固對象包括 2 類：

1）各類工控?cái)?shù)據(jù)原始報(bào)文。主要包括 Modbus，OPC，電力 101/104 等各類工控?cái)?shù)據(jù)原始報(bào)文。應(yīng)用層協(xié)議不區(qū)分這些工控協(xié)議的具體內(nèi)容，僅將其作為原始數(shù)據(jù)單元封裝在調(diào)水控制密碼應(yīng)用安全協(xié)議中，作為統(tǒng)一加固對象，由應(yīng)用層實(shí)現(xiàn)密碼加固。

圖 1 協(xié)議與系統(tǒng)其它協(xié)議的關(guān)系

2）管理指令報(bào)文。為了實(shí)現(xiàn)密碼應(yīng)用安全加固并確保協(xié)議可靠性，應(yīng)用層協(xié)議定義了管理指令報(bào)文，包括身份認(rèn)證和密鑰協(xié)商、告警等指令。管理指令報(bào)文將作為應(yīng)用加固的第 2 類對象，與第 1 類對象采用相同的密碼機(jī)制和封裝格式，統(tǒng)一實(shí)現(xiàn)密碼加固。

4 密碼應(yīng)用技術(shù)實(shí)現(xiàn)

4.1 協(xié)議加固設(shè)計(jì)

針對調(diào)水控制業(yè)務(wù)組態(tài)軟件之間、組態(tài)軟件與被控設(shè)備之間存在多種協(xié)議，采用統(tǒng)一標(biāo)準(zhǔn)封裝方式，將現(xiàn)場協(xié)議原始數(shù)據(jù)報(bào)文作為定制數(shù)據(jù)包封裝容器協(xié)議中，適應(yīng)于調(diào)水控制系統(tǒng)多種工控協(xié)議并存的現(xiàn)狀，不對原始協(xié)議指令進(jìn)行差異化處理，從而滿足密碼應(yīng)用改造的可實(shí)施性和調(diào)水控制系統(tǒng)密碼安全等要求。

密碼應(yīng)用協(xié)議安全加固封裝原理如圖 2 所示，針對各類現(xiàn)有工控及容器管理協(xié)議進(jìn)行加統(tǒng)一封裝和加固，確保安全協(xié)議的可擴(kuò)展性，同樣適用于南水北調(diào)東線工程各類控制系統(tǒng)。

圖 2 基于統(tǒng)一封裝的指令密碼應(yīng)用協(xié)議安全加固示意

具體定義了消息 PDU，指令封裝如圖 3 所示。

圖 3 指令封裝

指令描述中 A 指被控終端（閘、泵站），B 指調(diào)度控制中心/分中心。結(jié)合指令封裝格式，對于上行安全通道建立申請指令、下行安全通道建立響應(yīng)指令、下行終端狀態(tài)管理指令、通道警告消息、數(shù)據(jù)傳輸指令等分別設(shè)計(jì)如下：

1）上行安全通道建立申請指令（CMD-1）。該指令由終端發(fā)送給中心，用于申請安全通道建立。CMD-1 指令如圖 4 所示。

圖 4 CMD-1 指令示意圖

圖 4 中，0×10 為指令類型，代表上行安全通道消息；0×01 為消息標(biāo)識，代表建立安全通道消息；R1 為終端密碼設(shè)備產(chǎn)生的隨機(jī)數(shù)，16 字節(jié)；SignA為消息驗(yàn)證，其等于被控終端使用 SM2 簽名私鑰對（其它頭信息 || 0×10 || 0×01||R1）的 SM3算法摘要值的簽名。

2）下行安全通道建立響應(yīng)指令（CMD-2）。該指令由調(diào)度控制中心發(fā)送給被控終端閘、泵站，用于響應(yīng)安全通道建立。CMD-2 指令如圖 5 所示。

圖 5 CMD-2 指令示意圖

圖 5 中，0×00 為指令類型，代表下行安全通道消息；PubA（TK 異或R1）為中心生成 16 字節(jié)傳輸保護(hù)密鑰（TK），與被控終端密碼設(shè)備產(chǎn)生的隨機(jī)數(shù)R1 進(jìn)行異或，使用終端加密公鑰進(jìn)行加密；SignB為消息驗(yàn)證，其等于控制中心/分中心 SM2 簽名私鑰對（其它頭信息 || 0×00 || 0×01 || TK）的 SM3 算法摘要值的簽名。閘、泵站接收后，通過密碼機(jī)用己方的解密私鑰解密消息 PDU，再用R1 進(jìn)行異或，得到 TK 明文，與其它數(shù)據(jù)組成待驗(yàn)簽數(shù)據(jù)，使用控制中心/分中心的驗(yàn)證公鑰進(jìn)行消息驗(yàn)簽。

3）下行終端狀態(tài)管理指令（CMD-3）。該指令由調(diào)度控制中心發(fā)送給被控終端泵、閘站，用于主動(dòng)重新雙向認(rèn)證和密鑰協(xié)商。CMD-3 指令如圖 6所示。

圖 6 CMD-3 指令示意圖

圖 6 中，0×02 為消息標(biāo)識地址，代表終端狀態(tài)消息，消息傳輸值為 0×01 時(shí)，代表終端狀態(tài)復(fù)位消息，為 0×02 時(shí)，代表終端狀態(tài)查詢消息；FCD 為功能碼；SignB為消息驗(yàn)證，其等于控制中心/分中心對（其它頭信息|| 0×00 || 0×02 || FCD）的SM3 算法摘要值的簽名。

4）通道警告消息（CMD-4）。該指令用于安全通道密碼驗(yàn)證不通過等錯(cuò)誤時(shí)的警告消息，可以上下行雙向發(fā)送。CMD-4 指令如圖 7 所示。

圖 7 CMD-4 指令示意圖

圖 7 中，0×03 為消息標(biāo)識地址，代表通道警告消息，警告消息傳輸值為 0×01 時(shí)，代表驗(yàn)簽錯(cuò)誤消息，為 0×02 時(shí)，代表解密錯(cuò)誤消息，為 0×03 時(shí)，代表 MAC 錯(cuò)誤消息。

消息驗(yàn)證：SignA/B= 消息發(fā)送方 SM2 簽名私鑰對（其它頭信息|| 0×00 || 0×02 || FCD）的 SM3 算法摘要值的簽名。發(fā)送方可以是控制中心與分中心，以及閘、泵站。

5）數(shù)據(jù)傳輸指令（CMD Data）。該指令可以雙向發(fā)送，當(dāng)被控終端泵、閘站發(fā)送給調(diào)度控制中心，一般用于數(shù)據(jù)采集，當(dāng)中心發(fā)送給泵、閘站，一般用于控制、管理配置等操作。CMD Data 指令如圖 8 所示。

圖 8 CMD Data 指令示意圖

圖 8 中，0×01/02 等為消息標(biāo)識地址，代表各種工控協(xié)議消息，協(xié)議消息傳輸值為 0×01 時(shí)代表Modbus TCP 消息，為 0×02 時(shí)代表 OPC 消息，為0×03 時(shí)代表電力 101，為 0×04 時(shí)代表電力 104，為 0×05 時(shí)代表 Siemens S7 等原始工控協(xié)議消息；EncryptTK是根據(jù)安全協(xié)議頭中的安全策略，使用傳輸保護(hù)密鑰對原始工控協(xié)議進(jìn)行加密；HMAC 是指整個(gè)數(shù)據(jù)包的 HMAC。采用 SM3 算法，用數(shù)據(jù)傳輸保護(hù)密鑰計(jì)算 HMAC，取前 16 字節(jié)。

4.2 密碼安全設(shè)計(jì)

按照調(diào)水控制密碼應(yīng)用安全協(xié)議加固設(shè)計(jì)可采用非對稱密碼算法進(jìn)行身份鑒別和密鑰交換，身份鑒別通過后協(xié)商出用于本次會(huì)話的加解密及完整性校驗(yàn)的工作密鑰，使用臨時(shí)工作密鑰進(jìn)行加解密和完整性校驗(yàn)。

針對控制中心簽名和加密密鑰對 SignPub-B/VeriPri-B，EncPub-B/DecPri-B，其中簽名密鑰對由相應(yīng)密碼模塊產(chǎn)生，加密密鑰對應(yīng)通過證書管理中心向 KMC 申請，用于握手服務(wù)端身份鑒別和密鑰協(xié)商。

針對被控終端簽名和加密密鑰對 SignPub-A/VeriPri-A，EncPub-A/DecPri-A，其中簽名密鑰對由相應(yīng)密碼模塊產(chǎn)生，加密密鑰對應(yīng)通過證書管理中心向 KMC 申請，用于握手客戶端身份鑒別和密鑰協(xié)商。

針對數(shù)據(jù)傳輸保護(hù)密鑰 TK，握手階段協(xié)商產(chǎn)生的臨時(shí)對稱密鑰，用于傳輸數(shù)據(jù)的加密和完整性保護(hù)。

協(xié)議加固所涉及加密、簽名、雜湊、HMAC 等算法設(shè)計(jì)考慮如下：

1）加密算法。指令中加密算法采用國家密碼管理部門公開的對稱密鑰算法 SM4，滿足 GM/T 0002—2012 SM4《分組密碼算法》要求。加密模式采用CBC 模式，初始 IV 為全零。待加密數(shù)據(jù)必須填充，填充方法可選擇第 1 個(gè)字節(jié)為 0×80，其后為若干 0×00，填充到分組長度整數(shù)倍。

2）簽名驗(yàn)簽算法。證書簽名、指令包簽名和驗(yàn)簽的算法采用國家密碼管理部門公開的公鑰密碼算法 SM2，私鑰長度 256 b，滿足 GM/T 0009—2012《SM2 密碼算法使用規(guī)范》，GM/T 0003.3—2012《SM2 橢圓曲線公鑰密碼算法》要求。

3）雜湊算法。證書摘要算法可采用國家密碼管理部門公開的 SM3 算法，應(yīng)滿足 GM/T 0004—2012《SM3 密碼雜湊算法》要求。

4）HMAC。利用 SM3 算法，使用數(shù)據(jù)傳輸保護(hù)密鑰，計(jì)算應(yīng)符合 RFC 2104《HMAC：Keyed-Hashing for Message Authentication》。

4.3 密碼設(shè)備技術(shù)實(shí)現(xiàn)

針對調(diào)水控制應(yīng)用層協(xié)議安全加固實(shí)現(xiàn)，采用應(yīng)用密碼機(jī)等設(shè)備的方式實(shí)現(xiàn)專用證書的公私鑰對設(shè)備實(shí)體鑒別[5]，采用應(yīng)用密碼機(jī)等設(shè)備的方式實(shí)現(xiàn)，以調(diào)用式工作方式，完成報(bào)文的加密封裝，同時(shí)需要加強(qiáng)和提升管理人員的管理水平，不需更換原有設(shè)備。

對于調(diào)度控制中心與分中心、泵閘站集成端系統(tǒng)之間交互的協(xié)議安全加固實(shí)現(xiàn)，以 IEC 60870-5-104（電力 104）規(guī)約為主進(jìn)行報(bào)文交互?？刂浦行?分中心部署應(yīng)用密碼機(jī)，向組態(tài)系統(tǒng)主機(jī)提供密碼接口 API 動(dòng)態(tài)庫，加密報(bào)文的傳輸由組態(tài)系統(tǒng)完成。組態(tài)系統(tǒng)調(diào)用動(dòng)態(tài)庫中的密碼接口 API，完成報(bào)文加密封裝后，經(jīng)調(diào)水控制中心系統(tǒng)與現(xiàn)地站交互，密碼接口可以參考相關(guān)密碼設(shè)備接口標(biāo)準(zhǔn)如GM/T 0018《密碼設(shè)備應(yīng)用接口規(guī)范》。

對于控制中心組態(tài)軟件與 PLC 之間交互的協(xié)議安全加固實(shí)現(xiàn)，以 Modbus TCP，OPC 等主流通用工控指令格式為主進(jìn)行報(bào)文交互，而調(diào)水控制指令內(nèi)容由組態(tài)軟件廠商與被控設(shè)備具體自行約定。對于現(xiàn)地站 PLC 等工控執(zhí)行設(shè)備也應(yīng)采用調(diào)用方式，調(diào)用終端應(yīng)用密碼設(shè)備，完成加密報(bào)文的解密驗(yàn)證?，F(xiàn)階段，在 PLC 不具備改造條件時(shí)，可采用門衛(wèi)式終端密碼機(jī)提供密碼服務(wù)，且必須具備明通功能，確保應(yīng)急條件下通道可用。

5 結(jié)語

南水北調(diào)東線工程調(diào)水控制系統(tǒng)作為工業(yè)控制領(lǐng)域重要信息系統(tǒng)，同時(shí)也是工程調(diào)度運(yùn)行管理信息系統(tǒng)安全高效運(yùn)行、可靠監(jiān)控、科學(xué)調(diào)度和安全管理的關(guān)鍵要素。密碼是信息安全技術(shù)的核心與基石，調(diào)水控制系統(tǒng)的安全運(yùn)行離不開密碼技術(shù)。本研究從調(diào)水控制系統(tǒng)應(yīng)用層安全現(xiàn)狀推導(dǎo)出密碼應(yīng)用需求，針對現(xiàn)有泵、閘站調(diào)水控制業(yè)務(wù)安全風(fēng)險(xiǎn)，采用適配多種工控協(xié)議的通用密碼加固設(shè)計(jì)，實(shí)現(xiàn)調(diào)水控制信息加密、完整性校驗(yàn)、身份鑒別安全加固，同時(shí)也給出密碼應(yīng)用技術(shù)路線和具體實(shí)現(xiàn)途徑。

隨著信息技術(shù)的發(fā)展和新興技術(shù)的應(yīng)用，安全威脅持續(xù)增強(qiáng)，網(wǎng)絡(luò)攻擊手段越來越專業(yè)，對系統(tǒng)的安全挑戰(zhàn)越來越大，保密通信系統(tǒng)的應(yīng)用對于信息傳遞有重要作用，可以切實(shí)提升信息傳遞安全性與有效性[6]，在調(diào)水控制系統(tǒng)中深入應(yīng)用安全可控的密碼等信息安全技術(shù)已成為必然趨勢。本研究在南水北調(diào)東線工程調(diào)水控制業(yè)務(wù)密碼應(yīng)用領(lǐng)域做一些初步探討，期望能拋磚引玉，也期待密碼應(yīng)用試點(diǎn)能有助于整個(gè)系統(tǒng)安全性提升，并做出有益探索。