北京賽迪軟件測評工程技術(shù)中心有限公司 羅文兵 張玲寧 徐海波

論文介紹了水泥企業(yè)智慧礦山系統(tǒng)信息化及網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀，分析其存在的各類網(wǎng)絡(luò)安全風(fēng)險，明確了在智慧礦山系統(tǒng)中應(yīng)用商用密碼對原有信息系統(tǒng)進行改造的應(yīng)用需求，提出在水泥企業(yè)智慧礦山系統(tǒng)應(yīng)用商用密碼實施關(guān)鍵數(shù)據(jù)保護的合理方案，是對原材料等傳統(tǒng)制造業(yè)推廣應(yīng)用商用密碼的積極探索。

0 引言

水泥作為國民經(jīng)濟建設(shè)中重要的基礎(chǔ)性原材料，廣泛應(yīng)用于土木建筑、水利、國防等工程，具有長期不可替代性，是關(guān)乎國民經(jīng)濟的基礎(chǔ)產(chǎn)業(yè)。在國家頒布的《水泥工業(yè)“十三五” 發(fā)展規(guī)劃》中明確指出，要“深化工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)在水泥工業(yè)中的系統(tǒng)應(yīng)用，推進水泥工業(yè)生產(chǎn)過程數(shù)字化、智能化、柔性化發(fā)展。”

針對水泥行業(yè)數(shù)字化發(fā)展過程中面臨的風(fēng)險和挑戰(zhàn)，將商用密碼技術(shù)應(yīng)用于水泥生產(chǎn)業(yè)務(wù)環(huán)節(jié)成為必要條件。密碼技術(shù)是解決網(wǎng)絡(luò)和信息安全問題最有效、最可靠、最經(jīng)濟的手段，是保障網(wǎng)絡(luò)安全的根本性核心技術(shù)，將密碼技術(shù)與生產(chǎn)業(yè)務(wù)相結(jié)合，能夠從根本上提升水泥行業(yè)網(wǎng)絡(luò)風(fēng)險應(yīng)對能力和安全防御能力。

本文從水泥行業(yè)信息化建設(shè)和商用密碼應(yīng)用推進實際情況出發(fā)，深入分析了水泥行業(yè)智慧礦山系統(tǒng)應(yīng)用商用密碼的業(yè)務(wù)需求，給出水泥企業(yè)智慧礦山系統(tǒng)實施商用密碼應(yīng)用改造的典型方案設(shè)計。

1 智慧礦山系統(tǒng)簡介

智慧礦山系統(tǒng)一般包括數(shù)字礦山系統(tǒng)、卡調(diào)系統(tǒng)以及礦車無人駕駛系統(tǒng)幾個部分。

其中，數(shù)字礦山系統(tǒng)包括數(shù)字采礦軟件、智能管控軟件及三維可視化管理軟件，主要實現(xiàn)礦山三維數(shù)字化模型展示、精細(xì)化配礦及中長期采礦計劃管理、設(shè)備調(diào)度及監(jiān)控、礦山生產(chǎn)管理、露天爆破設(shè)計等[1]。

卡調(diào)系統(tǒng)包括智能識別系統(tǒng)、智能調(diào)度系統(tǒng)和數(shù)據(jù)查詢系統(tǒng)。其中智能識別系統(tǒng)根據(jù)GPS軌跡，導(dǎo)入系統(tǒng)后生成采場道路，設(shè)定位置識別區(qū)域，實現(xiàn)路網(wǎng)自動采集、路段的刪除、道路關(guān)閉與開放等；智能調(diào)度系統(tǒng)實現(xiàn)智能調(diào)度控制、行車路徑優(yōu)化、車流規(guī)劃；數(shù)據(jù)查詢系統(tǒng)能夠?qū)崟r自動生成各種生產(chǎn)數(shù)據(jù)統(tǒng)計報表，并能通過瀏覽器方式進行查看。

礦車無人駕駛系統(tǒng)則由單車智能子系統(tǒng)、云控平臺、關(guān)聯(lián)設(shè)備子系統(tǒng)組成。其中單車智能子系統(tǒng)包含車輛線控底盤，傳感器，無人駕駛軟件，通信模塊（T-BOX）等，用于實現(xiàn)礦車的在礦區(qū)道路與作業(yè)區(qū)域的自動駕駛功能，行駛過程要求車輛具有自主導(dǎo)航、路徑跟隨、避障、繞障能力、泊車能力；云控平臺可以根據(jù)數(shù)字礦山系統(tǒng)下達(dá)的配礦指令，有序調(diào)度無人礦車，給各臺車輛分配任務(wù)、任務(wù)點位置信息，與有人駕駛挖機、裝載機信息溝通，監(jiān)控各臺礦車的故障診斷信息，必要時進行人工干預(yù)。關(guān)聯(lián)設(shè)備子系統(tǒng)主要負(fù)責(zé)在無人礦車作業(yè)流程中，管理與礦車協(xié)同作業(yè)的相關(guān)設(shè)備，包括:挖機、裝載機、卸料站、加油機等。

典型的智慧礦山系統(tǒng)整體架構(gòu)一般如圖1所示:

圖1 智慧礦山系統(tǒng)架構(gòu)示意圖Fig.1 Schematic diagram of smart mining system architecture

2 網(wǎng)絡(luò)安全及商用密碼應(yīng)用現(xiàn)狀

智慧礦山的數(shù)字礦山系統(tǒng)和卡調(diào)系統(tǒng)一般部署在控制中心機房，是整個智慧礦山系統(tǒng)的核心和服務(wù)平臺，同時，服務(wù)平臺需要通過4G/5G網(wǎng)絡(luò)與無人礦車進行互聯(lián)互通，以實現(xiàn)車端狀態(tài)數(shù)據(jù)的上報和服務(wù)平臺調(diào)度控制指令或業(yè)務(wù)數(shù)據(jù)的下傳等。另外，車端設(shè)備也需要通過4G/5G網(wǎng)絡(luò)與路側(cè)設(shè)備互通信息，實現(xiàn)自動駕駛功能[2]。

基于目前水泥行業(yè)信息安全管理現(xiàn)狀，上述系統(tǒng)中服務(wù)平臺并未實施有效的安全防護，其首先面臨各種惡意威脅，包括黑客對數(shù)據(jù)的惡意竊取和篡改、敏感數(shù)據(jù)被非法訪問等。另外，系統(tǒng)之間的通信基本都屬于明文通信狀態(tài)，未實施任何有效傳輸加密和網(wǎng)絡(luò)安全防護，整體來說當(dāng)前智慧礦山系統(tǒng)中存在的典型安全風(fēng)險包括:

（1）業(yè)務(wù)數(shù)據(jù)明文傳輸，容易遭到竊聽攻擊，導(dǎo)致業(yè)務(wù)數(shù)據(jù)或車輛信息數(shù)據(jù)泄密。（2）關(guān)鍵數(shù)據(jù)信息容易遭到偽造、篡改、重放等攻擊，導(dǎo)致車輛控制失控，誘發(fā)重大安全事故。（3）服務(wù)平臺與車端身份容易被冒充，進而使車輛遭受惡意控制。（4）礦車與礦車、礦車與路側(cè)設(shè)備通信過程中未對雙方身份進行驗證，無法鑒別對方身份，路側(cè)設(shè)備或礦車身份容易被冒充，進而使車輛遭受惡意控制。（5）無線通信網(wǎng)絡(luò)采用公用數(shù)據(jù)網(wǎng)絡(luò)進行數(shù)據(jù)交互，容易遭到外部的入侵和惡意攻擊。

另外，車載設(shè)備作為車內(nèi)網(wǎng)和車外網(wǎng)進行數(shù)據(jù)交互的關(guān)鍵設(shè)備，承載著車外通信和車內(nèi)網(wǎng)數(shù)據(jù)采集、控制的功能，其安全性是智能網(wǎng)聯(lián)礦車及其系統(tǒng)安全的關(guān)鍵，其面臨著嚴(yán)峻的安全風(fēng)險。從現(xiàn)有普遍的車載設(shè)備架構(gòu)來看，基本上是通信模塊加上MCU模式的架構(gòu)，如圖2所示:

圖2 車載設(shè)備通信示意圖Fig.2 Schematic diagram of vehicle-mounted equipment communication

通信模塊負(fù)責(zé)無線移動網(wǎng)絡(luò)通信，帶有協(xié)議棧及操作系統(tǒng)，MCU內(nèi)運行嵌入式程序或?qū)崟r操作系統(tǒng)，負(fù)責(zé)與車內(nèi)的CAN總線通信。通信模塊一般通過串口AT指令、SPI口等方式與MCU直接相連。因此，車載設(shè)備最大的安全風(fēng)險在于這類設(shè)備的結(jié)構(gòu)設(shè)計本身:車外網(wǎng)器件與車內(nèi)網(wǎng)器件直接連通，器件之間無硬件隔離或認(rèn)證單元。同時，車載設(shè)備由于與外界移動互聯(lián)網(wǎng)相連，互聯(lián)網(wǎng)絡(luò)端的風(fēng)險可能會直接引入到汽車內(nèi)部[3]。

通過以上分析可以總結(jié)出，車載設(shè)備的主要安全風(fēng)險有以下幾類:

軟件功能被入侵劫持的風(fēng)險:通信模塊內(nèi)的協(xié)議棧和操作系統(tǒng)一旦被漏洞、木馬或病毒入侵后，就會受到非法控制，控制者可直接通過與MCU相連的串口/SPI鏈路向MCU發(fā)送協(xié)議數(shù)據(jù)，進而由MCU向汽車總線發(fā)送數(shù)據(jù)，這類數(shù)據(jù)只要是車內(nèi)網(wǎng)關(guān)允許通過的數(shù)據(jù)（比如業(yè)務(wù)數(shù)據(jù)），即可通過網(wǎng)關(guān)進入總線，實現(xiàn)對車輛的非法控制。

無線通信業(yè)務(wù)風(fēng)險:車載設(shè)備的無線通信業(yè)務(wù)包括定位數(shù)據(jù)采集、遠(yuǎn)程控車、遠(yuǎn)程故障診斷及狀態(tài)查詢、升級或參數(shù)配置等，這類無線傳輸過程中如果沒有對所傳輸?shù)男畔⒑弦?guī)應(yīng)用密碼算法、密碼協(xié)議進行保護，缺少合規(guī)密鑰管理，則使得車載設(shè)備存在比較大的安全隱患。

升級風(fēng)險:車載設(shè)備自身可以通過服務(wù)平臺進行遠(yuǎn)程升級。在升級過程中，如果沒有對服務(wù)平臺下發(fā)的升級指令進行防護，則可能會造成下發(fā)指令信息泄露、受到重放攻擊、以及由于通信鏈路不可靠造成的惡意固件刷寫等安全問題。

綜合來說，智慧礦山系統(tǒng)當(dāng)前存在以下商用密碼應(yīng)用需求:

（1）后端運行的服務(wù)平臺應(yīng)該實行網(wǎng)絡(luò)隔離安全保護，PC業(yè)務(wù)終端、移動業(yè)務(wù)終端訪問服務(wù)平臺時應(yīng)采用商用密碼進行用戶身份鑒別和訪問控制；服務(wù)平臺需對礦區(qū)所有車輛（車載終端）、基礎(chǔ)設(shè)施進行認(rèn)證；服務(wù)平臺系統(tǒng)與跨網(wǎng)外部系統(tǒng)進行數(shù)據(jù)交互時應(yīng)采用商用密碼進行雙端身份鑒別以及端到端的數(shù)據(jù)傳輸安全保護；服務(wù)平臺中的數(shù)據(jù)服務(wù)器應(yīng)使用商用密碼對關(guān)鍵數(shù)據(jù)進行加密保護，保證數(shù)據(jù)安全性。（2）車輛端的車載設(shè)備、路側(cè)設(shè)備等關(guān)鍵通信設(shè)備應(yīng)采用基于商用密碼的安全防護措施，車-車、車-路間通過LTE-V2X直連通信技術(shù)、5G網(wǎng)絡(luò)實現(xiàn)信息交互時應(yīng)進行雙端身份鑒別以及數(shù)據(jù)的完整性保護。（3）車載終端本地存儲及上傳數(shù)據(jù)應(yīng)采用商用密碼進行安全性保護。（4）開放網(wǎng)絡(luò)的各網(wǎng)絡(luò)通信通道，應(yīng)采用商用密碼進行鏈路保護，以建立安全通道。服務(wù)平臺下發(fā)控制指令及數(shù)據(jù)時應(yīng)進行加密傳輸，并對完整性進行校驗?；?G網(wǎng)絡(luò)下的高清視頻監(jiān)控數(shù)據(jù)上傳應(yīng)進行加密傳輸。

3 商用密碼應(yīng)用方案設(shè)計

基于上面的應(yīng)用分析，智慧礦山系統(tǒng)可實現(xiàn)的解決方案如下:在服務(wù)平臺建設(shè)一套V2X CA，為智能網(wǎng)聯(lián)礦車頒發(fā)符合要求的V2X證書，用于實現(xiàn)車輛端的身份認(rèn)證；在服務(wù)平臺建設(shè)一套互信互認(rèn)平臺，實現(xiàn)V2X CA與通用X509 CA之間的互信互認(rèn)；在服務(wù)平臺建設(shè)一套密鑰管理系統(tǒng)，對車-車、車-路、車-平臺之間的通信密鑰進行管理；在服務(wù)平臺建設(shè)一套統(tǒng)一密碼服務(wù)系統(tǒng)，配置相應(yīng)高性能密碼機，為服務(wù)平臺提供密碼計算能力；在服務(wù)平臺部署綜合安全網(wǎng)關(guān)，在外部系統(tǒng)部署IPSEC VPN安全網(wǎng)關(guān)，實現(xiàn)業(yè)務(wù)終端的接入認(rèn)證以及外部系統(tǒng)與云平臺之間數(shù)據(jù)傳輸通道保護；在智能礦車、路側(cè)設(shè)施以及業(yè)務(wù)終端等設(shè)備上部署密碼模塊，實現(xiàn)密碼應(yīng)用能力[4]。

系統(tǒng)總體部署示意圖如圖3所示:

圖3 智慧礦山商用密碼改造設(shè)計方案示意圖Fig.3 Schematic diagram of the design plan for the commercial password transformation of the smart mine

其中，各部分具體實現(xiàn)功能如下:

（1）車載設(shè)備和路側(cè)設(shè)備單元（RSU）集成部署密碼模塊、證書，當(dāng)?shù)V車與礦車、礦車與路側(cè)進行信息通信時實現(xiàn)雙端身份鑒別，對上傳的核心采集數(shù)據(jù)的機密性、完整性實施保護，實現(xiàn)車載終端本地數(shù)據(jù)安全存儲保護。（2）云端建設(shè)礦山跨信任域的V2X可信認(rèn)證平臺，基于V2X協(xié)議，實現(xiàn)自動駕駛場景下車載設(shè)備、路側(cè)設(shè)備證書頒發(fā)、證書撤銷、終端安全信息收集、數(shù)據(jù)管理、異常分析等一系列與安全相關(guān)的功能，且支持SM2/3/4算法。（3）部署密鑰管理系統(tǒng)，實現(xiàn)車載設(shè)備之間，以及車載設(shè)備與路側(cè)設(shè)備單元（RSU）之間地理位置信息加密密鑰的分發(fā)及管理。（4）部署統(tǒng)一密碼服務(wù)系統(tǒng)，實現(xiàn)對礦區(qū)車輛、路側(cè)等基礎(chǔ)設(shè)施的身份認(rèn)證，對下發(fā)調(diào)度指令的機密性、完整性實施保護。（5）PC業(yè)務(wù)終端部署USBKEY、證書及安全接入終端，移動終端App部署軟密碼模塊、證書及安全接入終端，中心端部署綜合安全網(wǎng)關(guān)，管理員通過PC業(yè)務(wù)終端或移動終端訪問云平臺數(shù)字礦山系統(tǒng)和卡調(diào)系統(tǒng)時，實現(xiàn)用戶身份鑒別、數(shù)據(jù)傳輸機密性、完整性保護。（6）跨網(wǎng)外部系統(tǒng)側(cè)部署IPSec VPN安全網(wǎng)關(guān)，當(dāng)跨網(wǎng)外部系統(tǒng)與云平臺系統(tǒng)進行數(shù)據(jù)交互時，實現(xiàn)端到端數(shù)據(jù)傳輸安全[5]。

4 后續(xù)工作及展望

水泥企業(yè)智慧礦山商用密碼解決方案可有效解決水泥企業(yè)智慧礦山系統(tǒng)中有關(guān)敏感數(shù)據(jù)存儲、傳輸加密問題，實現(xiàn)了系統(tǒng)設(shè)備和用戶的有效身份認(rèn)證，對促進系統(tǒng)網(wǎng)絡(luò)安全和信息安全具有現(xiàn)實示范意義。在后續(xù)應(yīng)用推進中，我們將進一步關(guān)注系統(tǒng)改造后的應(yīng)用效果評估，并重點關(guān)注其在原材料行業(yè)企業(yè)應(yīng)用中的可復(fù)制性和可推廣性，力爭形成對原材料行業(yè)具有典型示范價值的應(yīng)用方案，促進我國原材料行業(yè)商用密碼應(yīng)用向更深層次發(fā)展。