廉文娟，趙朵朵，4，范修斌，2，3，4

（1.山東科技大學(xué) 計算機科學(xué)與工程學(xué)院，山東 青島 266590；2.中國科學(xué)院軟件研究所青島分部，山東 青島 266114；3.青島博文廣成信息安全技術(shù)有限公司，山東 青島 266235；4.山東文斌信息安全技術(shù)有限公司，山東 泰安 271200）

0 概述

隨著工業(yè)控制、智能制造、工業(yè)互聯(lián)網(wǎng)以及工業(yè)物聯(lián)網(wǎng)等新興信息產(chǎn)業(yè)的不斷涌現(xiàn)，網(wǎng)絡(luò)空間已經(jīng)由傳統(tǒng)網(wǎng)絡(luò)空間逐漸發(fā)展為當(dāng)今網(wǎng)絡(luò)空間。傳統(tǒng)網(wǎng)絡(luò)空間一般是指互聯(lián)網(wǎng)+電子政務(wù)和電子商務(wù)，當(dāng)今網(wǎng)絡(luò)空間是指傳統(tǒng)網(wǎng)絡(luò)空間+各種新興信息產(chǎn)業(yè)。在當(dāng)今網(wǎng)絡(luò)空間下，所有工業(yè)和制造業(yè)領(lǐng)域基本都包含工業(yè)控制系統(tǒng)（Industrial Control System，ICS），且許多關(guān)鍵基礎(chǔ)設(shè)施高度依賴ICS 的安全運行［1］，因此ICS 通信安全問題至關(guān)重要。

通信的可用性、可控性、可認證性以及數(shù)據(jù)傳輸過程中數(shù)據(jù)的完整性、機密性和不可否認性等都屬于通信安全問題。通信安全離不開身份認證技術(shù)，而認證技術(shù)是信息安全的第一技術(shù)?，F(xiàn)有的認證技術(shù)可分為參數(shù)認證技術(shù)和函數(shù)認證技術(shù)兩類。參數(shù)認證技術(shù)包括指紋、聲紋、虹膜和刷臉等，函數(shù)認證技術(shù)主要包括公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）和基于標(biāo)識的密碼體制（Identity-Based Cryptosystem，IBC）。PKI 和IBC 雖然具有信息安全認證功能，但是在應(yīng)用過程中都需依賴第三方支持，并且產(chǎn)生了額外通信量，增大了雙方通信延遲，達不到毫秒級安全級別。

在當(dāng)今網(wǎng)絡(luò)空間中，工業(yè)控制系統(tǒng)的信息安全目標(biāo)已由傳統(tǒng)的CIA（機密性、完整性、可用性），變成了AIC（可用性、完整性、機密性）［2］，將可用性放在首位，可見工控系統(tǒng)對響應(yīng)時間的迫切需求。陳華平等人［3］提出了當(dāng)今網(wǎng)絡(luò)空間信息安全八大原則，其中原則7 是指令級安全原則，毫秒級安全可確保指令級安全。傳統(tǒng)的SSL/TLS 協(xié)議、VPN 和HTTPS等網(wǎng)絡(luò)通信技術(shù)均采用了PKI 和IBC 認證機制，仍然無法保障毫秒級安全，本文明確提出毫秒級信息安全為當(dāng)今網(wǎng)絡(luò)空間的重要特征。CFL 是由陳華平等人［3］于2011 年提出且獲得國家認可的認證體制，是PKI 和IBC 的繼承和發(fā)展，同時規(guī)避了兩者的不足。本文分析了CFL 認證體制的安全屬性，并在CFL_BLP 模型的基礎(chǔ)上給出CFL SSL 協(xié)議及安全性質(zhì)，將其推廣到各新興信息產(chǎn)業(yè)，實現(xiàn)新興信息產(chǎn)業(yè)的毫秒級信息安全通信。

1 傳統(tǒng)認證與傳輸技術(shù)

1.1 PKI 技術(shù)

1978 年，KOHNFELDER L［4］提出了 證書的 概念。1988 年，國際電聯(lián)電信委員會為單點登錄（Single Sign On，SSO）和授權(quán)管理基礎(chǔ)設(shè)施（Privilege Management Infrastructure，PMI）制定了PKI 標(biāo)準(zhǔn)，即X.509 v1［5］。1995 年，PKIX 工作組將該標(biāo)準(zhǔn)指定為適用于Internet［6］。

PKI 建立在公鑰密碼學(xué)算法基礎(chǔ)上，由可信第三方證書認證中心（Certification Authority，CA）、RA注冊中心、KMC 密鑰管理中心、證書撤銷列表（Certificate Revocation List，CRL）、輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）和在線證書狀態(tài)協(xié)議（Online Certificate Status Protocol，OCSP）等功能模塊構(gòu)成［7-8］。經(jīng)過多年的發(fā)展，PKI 證書認證體制已得到廣泛應(yīng)用。

PKI 組成如圖1 所示。其中，CA 為PKI 的主要組成部分之一，主要功能是簽發(fā)數(shù)字證書、驗證證書有效性和維 護證書列表［7，9］。RA 主要功能是向CA 提交終端實體的簽發(fā)、撤銷和更新證書請求。KMC 主要功能是為CA 系統(tǒng)提供密鑰的生成、保存等密鑰服務(wù)。此外，OCSP 作為PKI 的核心組件，可為應(yīng)用系統(tǒng)提供在線證書狀態(tài)查詢功能［8］。LDAP主要用來存放證書和提供證書撤銷列表，供用戶查詢［7］。

圖1 PKI 組成Fig.1 PKI composition

我國的PKI 體系采用非對稱密碼算法SM2 進行數(shù)字簽名驗證。SM2 是256 bit 域上的橢圓曲線上的加法群運算，由于256 bit 的域尺度較小，因此運算速度快。目前基于SM2 算法的硬件實現(xiàn)可達到毫秒級，例如三未信安的產(chǎn)品SJJ1012 RE10000，簽名達到4 400 次/s，驗證速度達到2 800 次/s［10］。雖然SM2算法的硬件實現(xiàn)可達到毫秒級，但是PKI 認證技術(shù)的證書驗證需要CA 回證是非毫秒級的，因此PKI 面向當(dāng)今網(wǎng)絡(luò)空間時遇到了嚴(yán)峻的挑戰(zhàn)。

1.2 IBC 技術(shù)

1.2.1 IBC 結(jié)構(gòu)

1984 年，SHAMIR A［11］提出了IBC 的概念，簡化了傳統(tǒng)公鑰系統(tǒng)中的證書管理。IBC 是一種不對稱公鑰密碼系統(tǒng)，公鑰為用戶的身份信息（例如電子郵件地址、手機號碼等），私鑰由受信任的權(quán)威機構(gòu)密鑰生成中心（Key Generation Center，KGC）中的私鑰生成器（Private Key Generator，PKG）生成，該機構(gòu)在用戶身份驗證后，根據(jù)系統(tǒng)主密鑰和用戶的身份信息得出用戶的私鑰［12］。

IBC 加密簽名流程如圖2 所示。

圖2 IBC 加密簽名流程Fig.2 Procedure of IBC encryption signature

1.2.2 IBC 簽名算法

根據(jù)SM9 標(biāo)識密碼算法標(biāo)準(zhǔn)，IBC 的簽名算法包括系統(tǒng)建立、私鑰生成、簽名和簽名驗證這4 個階段。為了說明IBC 的運算局限性，本文給出了簽名過程。假設(shè)待簽名的消息為比特串M，為了獲取消息M的數(shù)字簽名(h,S)，用戶A應(yīng)實現(xiàn)以下運算步驟：

步驟1計算乘法循環(huán)群GT中的元素g=e(P1,Ppub-s)，P1為加法循環(huán)群G1的 生成元、Ppub-s為簽名主公鑰。

步驟2產(chǎn)生隨機數(shù)r?[1,N-1]，N為循環(huán)群G1、GT的階。

步驟3計算群GT中的元素w=gr。

步驟4計算出整數(shù)h=H2(M||w,N)。

步驟5計算整數(shù)l=(r-h)modN，若l=0 則返回步驟2。

步驟6計算G1中的元素S=[l]dsA，dsA為A的簽名私鑰。

步驟7(h,S)為消息M的簽名，發(fā)送給簽名驗證者B。

H1和H2是SM3 密碼雜湊函數(shù)派生的密碼函數(shù)。

SM9 的數(shù)字簽名過程是采用BN 曲線上Rate 雙線性對來實現(xiàn)的，該過程涉及到Miller 算法、橢圓曲線多倍點運算等［13］。在簽名運算過程步驟1 中，元素g為3 072 bit 的上6 次擴域后的元素，因此IBC簽名驗證算法是3 072 bit 的大數(shù)運算，雙線性對計算的高復(fù)雜性，限制了SM9 在資源有限情況下的進一步擴展［14］。目前基于SM9 算法的硬件實現(xiàn)，簽名速度為5.7 次/s，驗證速度為3.6 次/s，IBC 采用SM9算法在各新興信息產(chǎn)業(yè)中的應(yīng)用也將面臨著挑戰(zhàn)。

1.3 SSL/TLS 協(xié)議

SSL/TLS 協(xié) 議［15］是目前最常用的安全通信協(xié)議，該協(xié)議位于傳輸層和應(yīng)用層之間，通過建立服務(wù)器與客戶端的安全通道對數(shù)據(jù)進行保護。SSL/TLS協(xié)議由握手協(xié)議和記錄協(xié)議組成，握手協(xié)議負責(zé)雙方身份認證、交換密鑰等，記錄協(xié)議負責(zé)消息的壓縮、加密及數(shù)據(jù)的認證。根據(jù)文獻［16］，如圖3 所示，SSL/TLS 握手協(xié)議流程如下：

圖3 SSL/TLS 握手協(xié)議流程Fig.3 Procedure of SSL/TLS handshake protocol

1）算法協(xié)商?？蛻舳伺c服務(wù)器協(xié)商會話中使用的協(xié)議版本號、會話標(biāo)識以及所支持的算法等信息。

2）證書交換。服務(wù)器將CA 證書發(fā)送給客戶端，CA 證書的基本證書域包含版本號、序列號以及簽名算法等內(nèi)容［17］，客戶端接收到服務(wù)端的證書后對證書驗證［18］及有效性進行判定。服務(wù)器若請求客戶端證書，客戶端將CA 證書發(fā)送給服務(wù)器，服務(wù)器對客戶端證書進行驗證及有效性判定。在雙方身份確定后進行下一步密鑰交換。

3）密鑰交換?？蛻舳撕头?wù)器分別構(gòu)建主密鑰，然后再分別構(gòu)建會話密鑰后進行密鑰交換，則握手協(xié)議結(jié)束。

在握手協(xié)議完成后，記錄協(xié)議使用會話密鑰對數(shù)據(jù)進行加密傳輸。雖然SSL/TLS 應(yīng)用廣泛，但仍然存在及時性安全問題挑戰(zhàn)，本文將在下一節(jié)中詳細分析。

2 新興信息產(chǎn)業(yè)通信安全的共性瓶頸問題

2.1 傳統(tǒng)認證傳輸技術(shù)

2.1.1 PKI 面臨的挑戰(zhàn)

PKI 認證技術(shù)雖然得到了廣泛應(yīng)用，但是PKI 的傳統(tǒng)體系結(jié)構(gòu)依賴可信第三方CA，由于CA 的集中結(jié)構(gòu)不可避免地存在單點故障問題［9，19］，導(dǎo)致嚴(yán)重的可用性和安全性缺陷。同時基于PKI/CA 的電子簽名復(fù)雜，使得建設(shè)成本較高［20］，因此需要復(fù)雜的證書管理過程［21］。除此之外，PKI 技術(shù)在應(yīng)用時進行CA證書的有效性驗證，存在嚴(yán)重的效率問題。

在PKI 認證體制中常用的證書查詢包括CRL 查詢和OCSP 兩種方式：

1）CRL 證書狀態(tài)查詢方式。在PKI 系統(tǒng)中，用戶通過RA 申請簽發(fā)/撤銷/更新證書，再由CA 頒發(fā)/撤銷/更新數(shù)字證書，CA 將新簽發(fā)的證書或證書撤銷/更新列表儲存到LDAP 目錄服務(wù)器，供用戶下載查詢［22］。

2）OCSP 證書狀態(tài)查詢方式。在實際應(yīng)用中，應(yīng)用系統(tǒng)作為OCSP 客戶端向OCSP 服務(wù)端發(fā)送證書驗證請求，OCSP 服務(wù)端將會給出相應(yīng)的響應(yīng)信息，包括證書標(biāo)識符、證書狀態(tài)等返回給客戶端。

CRL、OCSP 兩種查詢方式都需要遠程第三方CA支持，從而增加了額外通信延遲。為了說明證書查詢等遠程通信帶來的影響，本文使用ping 和tracert 命令進行上百次隨機的遠程訪問測試，并記錄每次訪問的時延、經(jīng)過的中間節(jié)點數(shù)、連接成功或失敗等數(shù)據(jù)。

實驗環(huán)境采用的是Windows 操作系統(tǒng)，處理器為Intel?CoreTMi5-8250U CPU@ 1.60 GHz 1.80 GHz，實驗統(tǒng)計結(jié)果如表1 所示，統(tǒng)計分析如表2 所示。表1 中的時延是指數(shù)據(jù)（一個報文或分組，甚至比特）從網(wǎng)絡(luò)（或鏈路）的一端傳送到另一端所需的時間。數(shù)據(jù)在網(wǎng)絡(luò)中經(jīng)歷的總時延包括發(fā)送時延、傳播時延、處理時延和排隊時延這四個部分［23］，數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)目倳r延中，耗時最多的是處理時延和排隊時延。

表1 遠程訪問時間統(tǒng)計結(jié)果Table 1 Remote access time statistics

表2 遠程訪問結(jié)果分析Table 2 Remote access result analysis

從表2 可以看出，在一般的網(wǎng)絡(luò)遠程訪問中，連接成功的遠程訪問平均時延達到了48.64 ms，連接失敗的比例約占實驗總數(shù)的15%，且連接失敗的時間均為秒級。

假定網(wǎng)絡(luò)訪問平均時延符合正態(tài)分布，根據(jù)表2數(shù)據(jù)，本文得到10 ms 以內(nèi)訪問成功的概率為：

其中，x=0.01、μ=48.64、σ=70.57。

結(jié)論1在平均時延符合正態(tài)分布的網(wǎng)絡(luò)訪問中，遠程訪問時間是非毫秒級的。

結(jié)論2PKI 認證技術(shù)為非毫秒級的認證技術(shù)。

證明PKI 證書認證體制需要CA 支持，即證書認證需要遠程回證。通信雙方證書認證時間為countt=2t1+2t2+2t3或countt=2t1+2t2+2t4，其 中t1為單次證書發(fā)送時間、t2為單次提交證書狀態(tài)查詢時間、t3、t4分別為圖1 的①、②過程所用時間。t2、t3、t4為增加的額外時延。從理論上而言，PKI 認證機制不能滿足各種新興信息產(chǎn)業(yè)的安全需求，特別是毫秒級的認證需求，因此該結(jié)論成立。

2.1.2 IBC 與SSL/TLS 面臨的挑戰(zhàn)

由1.2 節(jié)分析可知IBC 不需要數(shù)字證書，解決了PKI 的證書管理問題，但是IBC 由于密鑰托管問題而無法提供真正的不可否認性［21］。IBC 認證技術(shù)依靠可信第三方PKG 支持，并且是基于對構(gòu)造的，計算速度較慢且計算效率較低。

結(jié)論3IBC 認證技術(shù)為非毫秒級的認證技術(shù)。

證明與PKI 相似，IBC 在應(yīng)用過程中依靠遠程第三方PKG 支持，增加了額外的通信延遲，計算速度較慢且可用性差，因此該結(jié)論成立。

此外，IBC 應(yīng)用時若第三方PKG 受到惡意攻擊，系統(tǒng)主密鑰被竊取，用戶的私鑰將會泄露。若第三方PKG 假冒合法用戶與其他用戶通信，用戶隱私信息將會泄露。

由1.3 節(jié)SSL/TLS 協(xié)議 分析可知，SSL/TLS 協(xié)議在進行身份認證時，通過第三方CA 驗證證書的有效性，數(shù)據(jù)在網(wǎng)絡(luò)中傳輸需經(jīng)過大量的網(wǎng)絡(luò)節(jié)點，造成網(wǎng)絡(luò)延遲，從而無法保障高效的網(wǎng)絡(luò)傳輸。因此，本文給出以下結(jié)論：

結(jié)論4SSL/TLS、VPN、HTTPS 為非毫秒級的通信協(xié)議。

證明因為SSL/TLS、VPN、HTTPS 需要使用PKI證書，所以需要利用CA 驗證證書的有效性，從而產(chǎn)生額外的網(wǎng)絡(luò)延遲，由結(jié)論2 可知，該結(jié)論成立。

此外，STONE 等人［24］研究了SSL/TLS 協(xié)議證書驗證模塊的安全性，得出其存在漏洞，這可能是因為中間人（MITM）攻擊而破壞通信安全。ACER 等人［25］研究chrome-https 證書無效警告的原因，從另一方面展示了SSL/TLS 協(xié)議在使用過程中存在有安全隱患問題。

2.2 毫秒級信息安全認證技術(shù)

目前，關(guān)鍵基礎(chǔ)設(shè)施如公共交通系統(tǒng)、智能制造等高度依賴工業(yè)控制系統(tǒng)ICS 的安全運行，因此ICS的安全問題是信息產(chǎn)業(yè)面臨的主要問題。工業(yè)控制系統(tǒng)功能層次模型［26］如圖4 所示，ICS 從功能上可分為5 層，過程監(jiān)控層主要包括監(jiān)控服務(wù)器與人機界面（Human Machine Interface，HMI）系統(tǒng)功能單元，應(yīng)用數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）［27］對生產(chǎn)過程數(shù)據(jù)進行采集與監(jiān)控，并利用HMI 實現(xiàn)人機交互?，F(xiàn)場控制層主要包括各類控制器單元，如可編程邏輯控制器（Programmable Logic Controller，PLC）、集散控制系統(tǒng)（DCS）［28］等，用于對各種執(zhí)行設(shè)備進行控制?，F(xiàn)場設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元，可用于對生產(chǎn)過程進行感知與操作。

圖4 工業(yè)控制系統(tǒng)功能層次模型Fig.4 Functional hierarchy model of ICS

ICS 現(xiàn)場控制層對實時性要求較高，因此給出以下命題：

命題1工控迫切需要毫秒級的信息安全技術(shù)。

證明工控上下位機通信時需要控制命令的及時響應(yīng)，控制命令是由指令完成的，需要指令級安全來確?？刂泼畹陌踩@然計算機的指令至少需要毫秒級信息安全技術(shù)來支撐。

文獻［29］給出了目前工控上下位機通信機制存在的諸多安全風(fēng)險，其中一條為控制器缺乏身份認證、訪問控制機制。因此，工控上下位機通信需要身份認證機制提高通信的安全性。在工控通信時，認證體制應(yīng)該立即更新撤銷信息，規(guī)避客戶端接收到被撤銷證書而受到攻擊，因此工控上下位機通信安全機制中的信息安全算法必須是毫秒級才是安全的。由本文對已有認證技術(shù)的分析可知，參數(shù)認證以及PKI、IBC 都不能滿足工控毫秒級的信息安全認證需求。

如圖5 所示，在工控上下位機通信中使用SSL/TLS 協(xié)議進行通信，由結(jié)論2～結(jié)論4 可知，該協(xié)議無法滿足工控通信的毫秒級需求。

圖5 SSL/TLS 協(xié)議在工控上下位機通信中的應(yīng)用Fig.5 Application of SSL/TLS protocol in communication between upper and lower computer in industrial control

推論1SSL/TLS 不能滿足各種新興信息產(chǎn)業(yè)對安全通信的毫秒級可用性需求。

類似地，VPN 也不能滿足各種新興信息產(chǎn)業(yè)對安全通信的毫秒級可用性需求。

近年來，涉及工業(yè)制造、水利、交通、醫(yī)療衛(wèi)生、能源等方面［27］的全球大規(guī)模ICS 攻擊事件頻發(fā)。因為ICS 與智能制造、工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0、中國制造2025、物聯(lián)網(wǎng)等新興信息產(chǎn)業(yè)存在必然的聯(lián)系，所以本文可得出以下結(jié)論：

結(jié)論5毫秒級信息安全是工控及相關(guān)信息產(chǎn)業(yè)的共性瓶頸問題。

對工控及相關(guān)新興信息產(chǎn)業(yè)的通信安全而言，毫秒級信息安全是關(guān)鍵的安全問題。遠程訪問是很多新興信息產(chǎn)業(yè)必不可少的環(huán)節(jié)，雖然通信協(xié)議SSL/TLS 應(yīng)用較為廣泛，但是其協(xié)議無法滿足毫秒級信息安全需求，因此本文需要尋找滿足毫秒級信息安全的認證技術(shù)以及通信技術(shù)。

3 CFL 認證技術(shù)

3.1 CFL 概述

CFL 是2008 年以陳華平為核心、與范修斌和呂述望發(fā)明并取其首字母命名，擁有自主知識產(chǎn)權(quán)的基于標(biāo)識的證書認證技術(shù)。2016 年2 月17 日，CFL 認證技術(shù)獲得了國家知識產(chǎn)權(quán)局授予的發(fā)明專利。2016 年3 月21 日，《基于SM2、SM3 的CFL 認證體制》獲得了國家密碼管理局紅頭批文，通過了國家密碼管理局審查。2016 年7 月，在《信息安全研究》刊發(fā)了CFL 的理論研究?？?，5，30-35］。CFL 屬于函數(shù)認證，是PKI 和IBC 的繼承和發(fā)展，且可同時彌補兩者不足。CFL 認證體制滿足信息安全五性（機密性、完整性、可用性、可控性、可認證性）需求，可實現(xiàn)毫秒級認證。

3.2 CFL 認證體制的安全屬性及分析

CFL 認證體制的安全屬性為：

1）CFL 是基于標(biāo)識的證書認證體制［3，5］。

2）CFL 理論上可證明安全［5，33-35］。

3）CFL 應(yīng)用時滿足統(tǒng)計零知識［5，30，33-34］。

4）CFL 證書應(yīng)用過程中不依賴第三方，可直接認證、現(xiàn)場認證［3］。

5）CFL 證書滿足毫秒級、指令級安全［3］。

6）CFL 支持BLP 模型［36］，即BLP 模型的范疇權(quán)限可以作為CFL 證書中的部分標(biāo)識，即CFL 可支持基于BLP 模型的操作機密性保護。

CFL 認證體制是應(yīng)用去中心化、可自認證、可實現(xiàn)可信認證以及可實現(xiàn)主動防御的認證技術(shù)［5］，該認證體制還具有隸屬輕量級、應(yīng)用去存儲化、一人一密、支持統(tǒng)一認證、跨域認證、支持安全進程認證和動態(tài)認證等技術(shù)優(yōu)勢［34］。CFL 作為底層信息安全技術(shù)可廣泛應(yīng)用于信息產(chǎn)業(yè)中［3］，可為各種信息產(chǎn)業(yè)提供安全保障，因此CFL 可滿足各種信息產(chǎn)業(yè)對毫秒級信息安全認證的迫切需求。CFL 與PKI、IBC 的屬性對比分析如表3 所示。

表3 CFL、PKI 和IBC 屬性對比分析Table 3 Comparative analysis of CFL，PKI and IBC attributes

4 CFL SSL 協(xié)議

文獻［36］給出了CFL_BLP 模型并提到了CFL SSL，但并未給出具體的協(xié)議描述以及工作流程，為此本文對CFL_BLP 模型進行改進，給出了CFL SSL協(xié)議的具體定義、安全性質(zhì)以及應(yīng)用分析。

4.1 CFL_BLP 模型

CFL_BLP 模型定義為t?T={0,1,…,t,…}時刻計算機系統(tǒng)SYt的一個八元組，即：

1）CFL 定 義并實 現(xiàn)CFL_BLP 模型中 的CFL 簽名驗證，CFL 數(shù)據(jù)格式為：（1）CFL 簽名文件，明文||創(chuàng)建者的CFL 證書||時間戳||簽名.文件.cfl_sign；（2）CFL 對稱加密文件，密文||創(chuàng)建者的CFL 證書||時間戳||簽名.文件.cfl_bcipher；（3）CFL 電子信封文件，密文||創(chuàng)建者的CFL 證書||接收者的CFL 證書||時間戳||簽名.文件.cfl_pcipher。CFL 證書的標(biāo)識部分含BLP 權(quán)限。

2）St：St=，即t時 刻計算 機系統(tǒng)SYt的 所有主體，包括用戶、設(shè)備和進程等。

3）Ot：Ot=，即t時刻計算機系統(tǒng)SYt的所有客體，它是一個樹型結(jié)構(gòu)，是指一系列的對象或資源，例如數(shù)據(jù)、文件、程序以及存儲器等。

主體必須通過CFL 證書認證且達到BLP 訪問權(quán)限時，才可對客體進行訪問操作，操作過程包括CFL_BLP 模型中的請求、模型給出的請求回答、允許訪問的方式等。

4）RA（Request Access）。RA={get,release,give,rescind,change,create,delete} 。它是主體向系統(tǒng)發(fā)出請求命令的集合，下面對7 種請求方式進行詳細介紹：

（1）get：①在t時刻的主體集合中添加一個主體，并且給該主體賦值BLP 一般權(quán)限；②在t時刻的主體集合中添加一個主體，并且給該主體賦值BLP當(dāng)前權(quán)限；③在t時刻的客體集合中添加一個客體，并且給該客體賦值BLP 權(quán)限。

（2）release：①從t時刻BLP 模型主體中刪除一個主體；②從t時刻BLP 模型客體中刪除一個客體。

（3）give：擴充Mt某點集合中的元素。

（4）rescind：刪減Mt某點集合的元素。

（5）change：更改BLP 模型客體安全級，或更改BLP 模型主體當(dāng)前安全級。

（6）create：創(chuàng)建一個新客體添加到當(dāng)前的客體樹型結(jié)構(gòu)，并給BLP 權(quán)限賦值以及自主訪問控制矩陣賦值。

（7）delete：從樹型結(jié)構(gòu)中刪除一個客體，從而刪除相關(guān)BLP 賦值和自主訪問控制矩陣賦值。

5）A：A=，即主體訪問客體的訪問方式的集合，且有：（1）：execute，執(zhí) 行（neither observation nor alteration），執(zhí)行訪問權(quán)限僅允許主體觸發(fā)可執(zhí)行 的對象；（2）：only read，只 讀（observation with no alteration）；（3）：append，只寫（alteration with no observation）；（4）：read and write，讀寫（both observation and alteration）；（5）：control，是指某主體用來授予或撤銷另一主體對某一客體的訪問權(quán)限的能力。

6）D：D={yes,no}，系統(tǒng)接收到主體對客體的請求訪問操作后，會對請求訪問操作進行判定，其為判定的結(jié)果集合。其中：（1）yes 表示請求被執(zhí)行；（2）no 表示請求被拒絕。

7）Mt：即t時刻自主訪問控制矩陣，該控制矩陣是某主體對某客體可操作的集合，其是一個超矩陣。

當(dāng)?mt,i,j?A,1≤i≤αt,1≤j≤γt時，Mt為：

其中，αt和γt分別是CFL_BLP 模型在t時刻的主體集合和客體集合的個數(shù)。

8）BLP 可表示為：

其中，C：C={c1,c2,…,cq}，c1>c2>…>cq即一個主體或客體的密級一般分為公開文件、內(nèi)部文件、秘密文件、機密文件和絕密文件等級。K：K={k1,k2,…,kr}，即主客體組織機構(gòu)隸屬關(guān)系，顯然其滿足偏序關(guān)系。

BLP 安全級集合定義為F=C×K，同理可知，其也滿足以下偏序關(guān)系：

（1）f(s)=(C(s),K(s))：稱其為主體s的BLP 模型一般安全級函數(shù)。

（2）f(o)=(C(o),K(o))：稱其為客體o的BLP模型安全級函數(shù)。

（3）fc(s)=(Cc(s),Kc(s))：稱其為主體s的BLP模型當(dāng)前安全級函數(shù)。

若主體沒有當(dāng)前臨時安全級賦值，則有：

注：當(dāng)前的判斷和一般的判斷結(jié)果是并集關(guān)系，當(dāng)前的判斷與Mt是交集關(guān)系，一般的判斷與Mt是交集關(guān)系，最后的結(jié)果是前兩個交集關(guān)系的并集。

CFL_BLP 模型保證了用戶的BLP 模型的權(quán)限完整性，提高了CFL SSL 協(xié)議數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

4.2 CFL SSL 協(xié)議

在通信建立時，通信雙方必須都持有CFL 證書，然后再經(jīng)過CFL SSL 握手協(xié)議和CFL SSL 傳輸協(xié)議進行加密通信。下面本文對CFL SSL 協(xié)議的證書申請、CFL SSL 握手協(xié)議和CFL SSL 傳輸協(xié)議流程進行介紹。

4.2.1 CFL SSL 證書申請

CFL 是基于SM2、SM3 進行數(shù)字簽名的，CFL 證書申請流程包括：

1）CFL 用戶方的操作。（1）用戶按格式生成自身的信息標(biāo)識ID1；（2）用戶以SM2 為工作公鑰密碼算法，并生成公私鑰密鑰對(RAPK,RASK)，私鑰RASK由用戶唯一擁有；（3）ID2=ID1||RAPK，用戶對ID2進行簽名，sign1=SIGNRASK(H(ID2))，其中H=SM3，其輸出為N=256 bit，H(ID2)=h={h0,h1,…,ht-1}，其中，hi(i=0,1,…,t-1)為sbit 的數(shù)；（4）用戶將ID3=ID2||sign1提交給CFL 證書發(fā)證機關(guān)。

2）CFL 發(fā)證機關(guān)的操作。（1）VERIFYRAPK(ID3)=VERIFYRAPK(ID2||sign1)，CFL 證書發(fā)證機關(guān)根據(jù)用戶提交的信息對ID3進行驗證；（2）CFL 證書發(fā)證機關(guān)審查用戶提交ID1的合法性；（3）記ID4=ID3||IC，其中IC包括CFL 證書發(fā)證機關(guān)的名稱、簽發(fā)證書的時間、證書的使用生命周期等信息，CFL 發(fā)證機關(guān)計算H(ID4)=h，得到控選函數(shù)輸入的控制信息h；（4）CFL證書發(fā)證機關(guān)根據(jù)h和私鑰基，計算多線性控選函數(shù)生成用戶標(biāo)識私鑰，即，其中，SKB=為私鑰生成元集，ski是由CFL 發(fā)證機關(guān)隨機選擇，滿足ski?Zm=，i=0,1,…,t2s-1且兩兩不等，Z為整數(shù)集，m為SM2 中橢圓曲線E上基點P的周期；（5）用簽名算法SIGN，以IDSK 為密鑰，對以RAPK為核心的證書內(nèi)容進行簽名，得到sign2=SIGNIDSK(H(ID4))=(r,s)（證書信息中的第二次簽名）。

3）公眾方對用戶證書的操作。（1）公眾方在獲得用戶公布的證書后，將ID4輸入H，得到多線性控選函數(shù)輸入的控制信息h；（2）根據(jù)h，經(jīng)以下多線性控選函數(shù)變換fP(H(ID),PKB)==IDPK，生成標(biāo)識公鑰 IDPK，其 中 PKB=為公鑰 生成元 集，pki=ski˙PmodE；（3）以IDPK 作為驗證算法的公鑰，對經(jīng)簽名的證書進行驗證，如驗證正確，則證書通過，否則證書不予通過；（4）CFL 證書在實際應(yīng)用中，可添加隨機數(shù)、時間戳等信息，通過再次簽名構(gòu)成CFL 動態(tài)證書。

由上述過程可知，用戶的標(biāo)識為多標(biāo)識且用戶的CFL 證書在應(yīng)用時為動態(tài)證書需再次簽名，以增強證書安全性。目前，基于SM2 算法的CFL 硬件產(chǎn)品已達到毫秒級，簽名速度為2 300 次/s，驗證速度為1 400 次/s。

4.2.2 CFL SSL 握手協(xié)議

建立通信時，通信雙方經(jīng)過CFL SSL 握手協(xié)議進行證書交換、身份鑒別、密鑰交換。CFL SSL 握手協(xié)議流程如圖6 所示。

圖6 CFL SSL 握手協(xié)議流程Fig.6 Procedure of CFL SSL handshake protocol

CFL SSL 握手協(xié)議流程如下：

1）CFL 動態(tài)證書交換。服務(wù)器端產(chǎn)生隨機數(shù)R存入到CFL 動態(tài)證書中，對CFL 動態(tài)證書進行CFL簽名后發(fā)送給CFL 客戶端，證書內(nèi)容包含協(xié)議版本號、證書序列號、標(biāo)識、公鑰、用戶私鑰簽名、有效期、時間戳、發(fā)證機關(guān)簽名、隨機數(shù)以及擴展等。CFL 客戶端接收到服務(wù)器CFL 動態(tài)證書可直接進行驗證及有效性判定，驗證通過后獲取證書中攜帶的R。CFL客戶端將R存入到自身證書中并進行CFL 簽名，然后發(fā)送給服務(wù)器，服務(wù)器驗證進行簽名驗證和隨機數(shù)驗證，規(guī)避重發(fā)證書或使用他人合法證書進行通信的情況，驗證通過后，CFL 客戶端和服務(wù)器端進行密鑰交換。

注：CFL 動態(tài)證書驗證及有效性判定，無需通過CRL 或OCSP 進行證書狀態(tài)查詢，即整個驗證過程無需第三方的介入，具有自主認證功能。

2）密鑰交換。CFL 客戶端和服務(wù)器基于國產(chǎn)密碼算法生成共享密鑰，并進行密鑰交換。將服務(wù)器端記為用戶A，CFL 客戶端記為用戶B，即當(dāng)持有CFL證書的用戶A與用戶B進行通信時，CFL SSL 握手流程分為以下3 個步驟：

（1）用戶A、B交換動態(tài)CFL 證書。

（2）用戶A、B驗證彼此的CFL 動態(tài)證書。用戶A、B分別生成自身的身份信息標(biāo)識IDA、IDB，然后使用SM2 算法分別生成工作密鑰對，（RAPKA,RASKA）、(RAPKB,RASKB)。

CFL 客戶端通過CFL SSL 協(xié)議獲得UA驗證||signserver，并提取隨機數(shù)R。

③UB=

CFL 客戶端將帶有服務(wù)器端隨機數(shù)R和CFL 客戶端簽名的證書發(fā)送給服務(wù)器端。

服務(wù)器端驗證CFL 客戶端證書簽名、隨機數(shù)R和signCFLclient。

（3）用戶A和用戶B基于SM2 進行密鑰交換。

使用SM2 進行密鑰交換，不需要交換用戶A和用戶B的公鑰，可直接從CFL 證書中獲取，且文獻［37］給出了通信雙方密鑰交換過程。

記用戶A為發(fā)起方，用戶B為響應(yīng)方，進行如下運算步驟：

其中，a、b、G的坐標(biāo)(xG,yG)為橢圓曲線方程參數(shù)，(xA,yA)為用戶A的公鑰RAPKA的坐標(biāo)，(xB,yB)為用戶B的公鑰RAPKB的坐標(biāo)，ENTLA為的長度轉(zhuǎn)換成的兩個字節(jié)的值，ENTLB為的長度轉(zhuǎn)換成的兩個字節(jié)的值，H256()表示采用SM3 算法其輸出長度為256 bit 的雜湊值。

用戶A和用戶B在密鑰交換后，通過CFL SSL傳輸協(xié)議進行數(shù)據(jù)加密傳輸。

4.2.3 CFL SSL 傳輸協(xié)議

在CFL SSL 握手協(xié)議結(jié)束后，CFL 客戶端和服務(wù)器通過CFL SSL 傳輸協(xié)議進行數(shù)據(jù)的加密傳輸。

CFL SSL 傳輸協(xié)議主要流程如圖7 所示。

圖7 CFL SSL 傳輸協(xié)議流程Fig.7 Procedure of CFL SSL transport protocol

CFL SSL 傳輸協(xié)議流程描述如下：

1）數(shù)據(jù)加密。CFL 客戶端和服務(wù)器用共享密鑰基于國產(chǎn)密碼算法SM4［38］的硬件對數(shù)據(jù)進行加密，并生成密文。與上文類似，服務(wù)器端記為用戶A，CFL 客戶端記為用戶B，用戶A通過如下方式產(chǎn)生密文：

SM4 中假設(shè)明文輸入為(X0,X1,X2,X3)?，輪密鑰(rk0,rk1,…,rk31)?由Key 通過密鑰擴展算法生成，輪函數(shù)F為F(X0,X1,X2,X3,rk)=X0⊕T(X1⊕X2⊕X3⊕rk)，其中T由非線性變換τ和線性變換L復(fù)合而成，經(jīng)過32 次迭代運算后輸出密文，發(fā)送給用戶B。

2）密文簽名。CFL 客戶端和服務(wù)器對密文進行基于國產(chǎn)硬件的CFL 動態(tài)簽名并添加CFL 證書。

3）密文傳輸。CFL 客戶端和服務(wù)器進行帶有CFL 動態(tài)簽名和CFL 證書的密文傳輸。

4）簽名驗證。CFL 客戶端和服務(wù)器對密文的CFL 動態(tài)簽名進行驗證。

5）密文解密。CFL 客戶端和服務(wù)器對帶有CFL動態(tài)簽名和CFL 證書的密文進行解密。用戶B驗證用戶A的 CFL 動態(tài)簽名后，使用輪密鑰(rk31,rk30,…,rk0)?進行解密。

上述CFL SSL 協(xié)議的通信實現(xiàn)需要CFL 相關(guān)硬件產(chǎn)品的支持，且維護成本低。

4.3 CFL SSL 性質(zhì)

通過上述CFL SSL 協(xié)議流程的描述可知，CFL SSL 性質(zhì)包括以下7 個性質(zhì)：

性質(zhì)1CFL SSL 可滿足通信過程中對信息安全五性的需求。由CFL 安全屬性1、安全屬性4～安全屬性6 和CFL SSL 協(xié)議流程可知。

性質(zhì)2CFL SSL 可實現(xiàn)毫秒級安全認證。由CFL 安全屬性4 和CFL SSL 協(xié)議流程可知，CFL SSL協(xié)議應(yīng)用過程中不需要第三方支持，規(guī)避了額外時延的產(chǎn)生，且計算是基于SM2 實現(xiàn)的，因此CFL SSL可達到毫秒級安全。

性質(zhì)3CFL SSL 可為通信雙方提供分級分類的強制訪問控制機制，提高對通信數(shù)據(jù)的機密性保護。CFL SSL 的CFL 證書中包含了BLP 權(quán)限，通信雙方進行證書交換可確定通信雙方的權(quán)限，根據(jù)權(quán)限的設(shè)置實現(xiàn)分級分類強制訪問控制。

性質(zhì)4CFL SSL 可防止中間人攻擊，并提高對通信數(shù)據(jù)的機密性和完整性保護。CFL SSL 對傳輸?shù)臄?shù)據(jù)進行加密和CFL 動態(tài)簽名，通信雙方只有通過CFL 簽名驗證才可對密文解密。

性質(zhì)5CFL SSL 可防止重放攻擊。CFL SSL中CFL 證書中含有時間戳標(biāo)識，可對通信雙方傳輸?shù)臄?shù)據(jù)進行時間戳標(biāo)記。

性質(zhì)6CFL SSL 可以防釣魚、防欺詐。CFL SSL 在進行通信時對通信雙方進行身份認證，實現(xiàn)雙向認證。

性質(zhì)7CFL SSL 支持標(biāo)記上級等級保護安全、先天免疫安全、處處是邊界安全。CFL SSL 是數(shù)據(jù)傳輸時的CFL 數(shù)據(jù)結(jié)構(gòu)化。

由上述分析可知，CFL SSL 具有滿足信息安全五性需求、毫秒級安全通信、防止重放攻擊等性質(zhì)，與傳統(tǒng)SSL/TLS 相比具有以下優(yōu)勢：

1）CFL SSL 協(xié)議在進行通信時不需要進行算法協(xié)商，統(tǒng)一使用國產(chǎn)密碼算法SM2 進行密鑰協(xié)商。SM3 對消息進行摘要，SM4 進行數(shù)據(jù)加密，簡化了SSL/TLS 的握手過程。

2）證書驗證時采用的是CFL 認證機制，不需要依賴遠程CA 進行證書驗證，可直接認證、毫秒級認證，減少了證書驗證產(chǎn)生的通信延遲，提高了可用性。

3）CFL 證書為動態(tài)證書，每次會話需要重新進行認證，并且都帶有CFL 動態(tài)簽名，規(guī)避了重放攻擊，增強了抵御其他攻擊的能力，提高了安全性。

4）通過CFL 動態(tài)證書、動態(tài)簽名、BLP 權(quán)限可實現(xiàn)對數(shù)據(jù)在傳輸前、傳輸過程中以及接收后的完整性和機密性保護。

5）加密模塊基于CFL 硬件實現(xiàn)，安全強度高。

本文以信息安全五性以及毫秒級安全等屬性為標(biāo)準(zhǔn)，將所提CFL SSL 協(xié)議與傳統(tǒng)SSL/TLS 協(xié)議進行比較分析，結(jié)果如表4 所示。

表4 CFL SSL 協(xié)議與傳統(tǒng)SSL/TLS 協(xié)議對比Table 4 Comparison between CFL SSL protocol and traditional SSL/TLS protocol

4.4 CFL SSL 通信時CFL 證書的簽名及驗簽測試

為了驗證CFL SSL 通信時雙方進行證書認證的時間，采用包含CFL 密碼卡在內(nèi)的硬件設(shè)備進行實際測試，測試環(huán)境為：CFL 密碼卡服務(wù)器的CPU 為Intel?PentiumR G2030 @ 3.00GHz，內(nèi)存為4 GB，硬盤為1 TB，操作系統(tǒng)為CentOS release 6.5，密碼卡為SC26E-1RQHE；PC 機 的CPU 為Intel?CoreTMi5CPU M430@2.27GHz，內(nèi)存（RAM）為4 GB，操作系統(tǒng)為Windows 7 旗艦版32位操作系統(tǒng)，交換機為TP-LINK TL-SG2016D。

如表5 所示，證書簽名進行了792 次測試，輸出了每秒簽名次數(shù)，平均簽名速度為每秒1 772 次。

表5 CFL SSL 證書簽名實驗數(shù)據(jù)Table 5 Experimental data of CFL SSL certificate signature

如表6 所示，證書簽名驗證進行了600 次測試，輸出每秒驗簽次數(shù)，平均驗簽速度為每秒1 204 次。

表6 CFL SSL 證書驗簽實驗數(shù)據(jù)Table 6 Experimental data of CFL SSL certificate verification

由以上實驗結(jié)果可知，CFL 客戶端與服務(wù)器端通信時CFL 簽名及簽名驗證均為毫秒級的，因此CFL SSL 協(xié)議可滿足各種新興信息產(chǎn)業(yè)的毫秒級安全通信需求。隨著硬件設(shè)備計算能力的不斷提高，CFL SSL 協(xié)議的性能會進一步得到提升。

CFL SSL 認證是基于標(biāo)識和證書的，同時可實現(xiàn)分級分類的強制訪問控制，為通信雙方提供了身份認證機制和訪問控制機制。通信雙方進行身份認證時無需依賴中心，可直接認證、現(xiàn)場認證，滿足了毫秒級信息安全通信的需求。

在工控領(lǐng)域，工控上下位機進行通信時，首先進行CFL 證書交換，然后通信雙方進行證書認證及驗證證書的有效性，最后建立通信通道，并進行數(shù)據(jù)加密傳輸。CFL SSL 協(xié)議在工控上下位機通信中使用CFL 認證技術(shù)，可直接認證，從而減少了通信量，降低了通信延遲，實現(xiàn)了通信雙方的毫秒級認證。工控系統(tǒng)不僅對實時性要求高，安全性也至關(guān)重要。工控上下位機之間傳輸?shù)闹噶畋容^小，因此很容易受到黑客的短指令耦合攻擊。CFL SSL 協(xié)議應(yīng)用的分組密碼算法SM4 是128 bit 的，可規(guī)避工控上下位機通信時受到短指令的耦合攻擊。CFL SSL 自主可控，規(guī)避了惡意后門產(chǎn)生的攻擊，保障了通信及通信過程中數(shù)據(jù)的安全性。與SSL/TLS 協(xié)議相比，CFL SSL 協(xié)議對各種新興信息產(chǎn)業(yè)的通信更具有應(yīng)用價值。

5 結(jié)束語

隨著新興信息產(chǎn)業(yè)的發(fā)展，常用的PKI、IBC 認證技術(shù)以及傳統(tǒng)的SSL/TLS 通信協(xié)議已不能滿足其毫秒級信息安全需求，毫秒級信息安全已經(jīng)成為工控及相關(guān)信息產(chǎn)業(yè)的共性瓶頸問題。本文針對各產(chǎn)業(yè)毫秒級通信問題，給出基于CFL_BLP 模型的CFL SSL 協(xié)議，保證了通信的機密性和完整性，通過BLP權(quán)限確保數(shù)據(jù)被訪問時的可信性和安全性，實驗結(jié)果證明了該協(xié)議可滿足工控及其他新興信息產(chǎn)業(yè)的毫秒級信息安全需求。下一步將利用國產(chǎn)密碼算法來優(yōu)化通信協(xié)議的算法選擇部分，以增強CFL SSL協(xié)議的通用性。