寧黃江 郭翔宇 劉芮汐 白利芳

（中國(guó)軟件評(píng)測(cè)中心（工業(yè)和信息化部軟件與集成電路促進(jìn)中心），北京 100048）

0.引言

工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)與工業(yè)經(jīng)濟(jì)領(lǐng)域深度融合形成的新興業(yè)態(tài)，它將工業(yè)系統(tǒng)與高級(jí)計(jì)算、分析、傳感技術(shù)及互聯(lián)網(wǎng)高度融合，是一種能夠?qū)崿F(xiàn)將人、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施[1]。隨著工業(yè)互聯(lián)網(wǎng)成為新基建的組成部分，工業(yè)互聯(lián)網(wǎng)已成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化，黨的十八大以來(lái)，以習(xí)近平同志為核心的黨中央重視互聯(lián)網(wǎng)、發(fā)展互聯(lián)網(wǎng)、治理互聯(lián)網(wǎng)。工業(yè)互聯(lián)網(wǎng)的安全可控是確保其在各生產(chǎn)領(lǐng)域能夠落地實(shí)施的前提，更是產(chǎn)業(yè)安全和國(guó)家安全的重要基礎(chǔ)和保障。密碼技術(shù)作為保障工業(yè)信息安全的基礎(chǔ)性技術(shù)，在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系、平臺(tái)體系、應(yīng)用體系建設(shè)和網(wǎng)絡(luò)安全防護(hù)體系中占據(jù)著舉足輕重的地位。我國(guó)高度重視國(guó)產(chǎn)密碼算法尤其是輕量級(jí)密碼算法的研究及其在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用。國(guó)產(chǎn)商用密碼算法已經(jīng)形成了一套完整體系[2]，并且由我國(guó)自主設(shè)計(jì)的ZUC法已經(jīng)成為第三代合作伙伴計(jì)劃（3GPP）中的4G國(guó)際標(biāo)準(zhǔn)，SM2/SM9數(shù)字簽名算法、SM3密碼雜湊算法、SM4分組密碼算法，SM9標(biāo)識(shí)加密算法也已達(dá)到國(guó)際先進(jìn)水平，并且通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）的認(rèn)證，現(xiàn)已成為國(guó)際標(biāo)準(zhǔn)。

本文首先闡述密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)施建設(shè)、數(shù)據(jù)全生命周期保護(hù)、訪(fǎng)問(wèn)控制等方面的應(yīng)用情況；其次，分析了目前密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)應(yīng)用中所存在的問(wèn)題；再次，針對(duì)工業(yè)互聯(lián)網(wǎng)終端的身份識(shí)別問(wèn)題，設(shè)計(jì)了一種基于國(guó)密算法的安全身份認(rèn)證協(xié)議；最后，分析該協(xié)議的雙向認(rèn)證、用戶(hù)匿名性，并能抵抗假冒攻擊等安全特性。

1.密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用

在工業(yè)互聯(lián)網(wǎng)平臺(tái)基礎(chǔ)設(shè)施建設(shè)中，需要用到密碼服務(wù)、密碼管理和密碼應(yīng)用。在IaaS層，密碼應(yīng)用在租戶(hù)數(shù)據(jù)和虛擬機(jī)鏡像的數(shù)據(jù)加密保護(hù)方面；在PaaS層，密碼應(yīng)用在數(shù)據(jù)加解密、安全認(rèn)證、授權(quán)管理和協(xié)同簽名等方面；在SaaS層，密碼應(yīng)用在為工業(yè)互聯(lián)網(wǎng)用戶(hù)提供安全接入、數(shù)據(jù)加密、數(shù)據(jù)防篡改、工業(yè)敏感數(shù)據(jù)保護(hù)等方面，例如采用SM2算法和SM3算法進(jìn)行數(shù)字簽名和完整性校驗(yàn)，并提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)抗抵賴(lài)保護(hù)。

在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)全生命周期安全保護(hù)中，國(guó)產(chǎn)密碼算法在保障系統(tǒng)和數(shù)據(jù)的機(jī)密性、完整性、可用性時(shí)發(fā)揮著重要作用，包括在IaaS層的基礎(chǔ)資源池和設(shè)施建設(shè)、PaaS層的數(shù)據(jù)挖掘和海量數(shù)據(jù)匯聚分析、SaaS層的工業(yè)軟件和微服務(wù)開(kāi)發(fā)應(yīng)用中都需要應(yīng)用密碼算法進(jìn)行數(shù)據(jù)的存儲(chǔ)加密、通信加密、完整性校驗(yàn)。使用SM1、SM2、SM3、SM4、SM7、SM9、ZUC等國(guó)產(chǎn)密碼算法是保證我國(guó)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全的重要途徑。

在工業(yè)互聯(lián)網(wǎng)身份鑒別與訪(fǎng)問(wèn)控制中，網(wǎng)絡(luò)平臺(tái)的邊緣層、IaaS層、PaaS層和SaaS層中的身份鑒別與訪(fǎng)問(wèn)控制都需要應(yīng)用密碼算法來(lái)保障網(wǎng)絡(luò)安全。工業(yè)互聯(lián)網(wǎng)的邊緣接入層存在海量的設(shè)備接入平臺(tái)，采用白名單機(jī)制、強(qiáng)制訪(fǎng)問(wèn)控制等安全機(jī)制可以對(duì)接入的主體和客體進(jìn)行細(xì)粒度的訪(fǎng)問(wèn)控制；在IaaS層、PaaS層和SaaS層，可以應(yīng)用基于私鑰簽名的SM2算法對(duì)服務(wù)器用戶(hù)、登錄用戶(hù)進(jìn)行身份認(rèn)證和鑒別[3]。應(yīng)用SM2算法和強(qiáng)訪(fǎng)問(wèn)控制等安全機(jī)制能夠更好地實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)中的身份認(rèn)證和鑒別，同時(shí)基于主體身份和客體屬性的細(xì)粒度訪(fǎng)問(wèn)控制，進(jìn)而提升工業(yè)互聯(lián)網(wǎng)設(shè)備接入安全性。

2.密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)中的安全性分析

2.1 大多數(shù)協(xié)議缺乏安全機(jī)制

工業(yè)互聯(lián)網(wǎng)中存在海量的工業(yè)控制協(xié)議，種類(lèi)多達(dá)千余種，但是大多都缺少安全機(jī)制，不能夠很好地適應(yīng)工業(yè)互聯(lián)網(wǎng)系統(tǒng)中各參與組件之間的泛在連接[4]。工控通信協(xié)議或規(guī)約在其設(shè)計(jì)時(shí)通常只強(qiáng)調(diào)通信的實(shí)時(shí)性和可用性，普遍缺乏對(duì)安全性的考慮，如欠缺足夠強(qiáng)度的授權(quán)、認(rèn)證、加密等安全保護(hù)手段。特別地，對(duì)于工控系統(tǒng)中的無(wú)線(xiàn)通信協(xié)議而言，其在缺少安全機(jī)制的情況下會(huì)極其容易遭到第三者的竊聽(tīng)，同時(shí)也大大增加了欺騙性攻擊發(fā)生的可能性[5]。

2.2 密碼應(yīng)用服務(wù)缺乏安全性

現(xiàn)有工控系統(tǒng)在使用有風(fēng)險(xiǎn)的密碼算法，以及有風(fēng)險(xiǎn)的密碼算法提供的不安全密碼服務(wù)，比如容易被破解的MD4、MD5、SHA-0、SHA-1、RSA-512、RSA-1024、DES、SKIPJACK、RC2等密碼算法，這些算法均己被警示過(guò)存在不同程度的安全風(fēng)險(xiǎn)。一些系統(tǒng)運(yùn)營(yíng)者和開(kāi)發(fā)者為節(jié)省資源或節(jié)約成本，在開(kāi)發(fā)工作中存在有意忽視密碼技術(shù)，或者規(guī)避使用密碼產(chǎn)品的情況，那么此類(lèi)系統(tǒng)中信息的機(jī)密性、真實(shí)性、完整性和不可否認(rèn)性等安全特性必然會(huì)缺乏相應(yīng)密碼算法、協(xié)議的支撐，從而致使整個(gè)信息系統(tǒng)缺乏安全保障[6]。

2.3 密碼技術(shù)缺乏自主可控性

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全自主可控的核心和關(guān)鍵在于具備先進(jìn)的密碼算法和技術(shù)產(chǎn)品，然而我國(guó)互聯(lián)網(wǎng)信息技術(shù)在發(fā)展過(guò)程中，在某些領(lǐng)域（芯片、操作系統(tǒng)等）長(zhǎng)期依賴(lài)西方發(fā)達(dá)國(guó)家技術(shù)體系，直至當(dāng)前，我國(guó)工業(yè)信息化建設(shè)中的“信息孤島”問(wèn)題也未能得到妥善解決。我國(guó)研究密碼算法的基礎(chǔ)薄弱，研究密碼技術(shù)起步較晚，與發(fā)達(dá)國(guó)家在密碼行業(yè)的發(fā)展相比還存在一定差距，類(lèi)似于密碼芯片等關(guān)鍵硬件產(chǎn)品和技術(shù)長(zhǎng)期受制于西方國(guó)家的壟斷[7]。

3.安全身份認(rèn)證協(xié)議設(shè)計(jì)

為有效解決密碼技術(shù)在我國(guó)工業(yè)互聯(lián)網(wǎng)中存在的問(wèn)題，在研制自主創(chuàng)新技術(shù)的激勵(lì)下，本文應(yīng)用國(guó)產(chǎn)密碼算法設(shè)計(jì)了一種工業(yè)互聯(lián)網(wǎng)安全身份認(rèn)證協(xié)議，并且該協(xié)議只需2次握手即可完成雙方的身份認(rèn)證。認(rèn)證過(guò)程應(yīng)用SM3、SM4算法確保數(shù)據(jù)的完整性和保密性。設(shè)計(jì)過(guò)程共分為3個(gè)階段，分別為初始化階段、注冊(cè)階段、認(rèn)證階段，所涉及符號(hào)如表1所示。

表1 符號(hào)說(shuō)明

3.1 初始化階段

在該階段，服務(wù)器RS選擇私鑰s，選擇一大素?cái)?shù)q和p，定義在有限域Fp上的橢圓曲線(xiàn)函數(shù)為E/Fp，選擇E/Fp上的一個(gè)階為q的點(diǎn)P，生成橢圓曲線(xiàn)循環(huán)加法群G，雜湊算法SM3和SM4對(duì)稱(chēng)加密算法。服務(wù)器公開(kāi)系統(tǒng)參數(shù){q,P,E/Fp,SM3(m),ESM4(l,m)/DSM4(l,m)}。

3.2 注冊(cè)階段

在這一階段，用戶(hù)將自己的身份信息通過(guò)安全信道發(fā)送給服務(wù)器進(jìn)行注冊(cè)。具體執(zhí)行過(guò)程如下：

步驟1：用戶(hù)選擇他的身份IDu，并從有限域Fp中選擇一個(gè)隨機(jī)數(shù)xu，然后通過(guò)一條安全信道將消息{IDu,Nu}發(fā)送給服務(wù)器，其中Nu=SM3(m1)，其中m1={IDu,xu}。

步驟2：服務(wù)器收到消息后，計(jì)算Lu=SM3(IDu⊕s)，Su=SM3(s)，并且將消息{Su,Lu}通過(guò)安全信道發(fā)給用戶(hù)存儲(chǔ)。

3.3 認(rèn)證階段

當(dāng)一個(gè)合法的用戶(hù)加入網(wǎng)絡(luò)時(shí)，需要先通過(guò)服務(wù)器的認(rèn)證才會(huì)建立起會(huì)話(huà)密鑰，認(rèn)證過(guò)程如圖1所示，詳細(xì)的步驟如下：

圖1 認(rèn)證階段

步驟1：用戶(hù)U選擇一個(gè)隨機(jī)數(shù)au，并且計(jì)算Au=auP，使用密鑰Su，通過(guò)SM4算法對(duì)消息{IDu||Au}進(jìn)行加密AIDu=ESM4(Su,IDu||Au)和Xu=SM3(m2)，其中m2={IDu,Au,Lu}。然后在公共信道上發(fā)送請(qǐng)求消息{AIDu,Xu}給RS。

步驟2：當(dāng)RS收到請(qǐng)求消息{AIDu,Xu}后，RS計(jì)算Su=H(s)，并使用Su，通過(guò)SM4算法對(duì)消息{AIDu}進(jìn)行解密DSM4(su,AIDu)=(IDu||Au)，然后RS計(jì)算Lu=SM3(IDu⊕s)和X'u=SM3(m'2)，其中m'2={IDu,Au,Lu}，驗(yàn)證計(jì)算所得的X'u是否與Xu相等。如果不相等，RS馬上終止此階段。否則，RS選擇一個(gè)隨機(jī)數(shù)br，并且計(jì)算Br=brP，Kur=brAu=aubrP，和Xr=SM3(m3)，其中m3={Kur,Br,Lu}。最后RS發(fā)送消息{Xr,Br}給U。

步驟3：當(dāng)收到消息{Xr,Br}后，U計(jì)算Kur=auBr和X'r=SM3(m'3)，其中m'3={Kur,Br,Lu}。U通過(guò)判斷X'r和Xr是否相等來(lái)驗(yàn)證消息的正確性，如果正確，則U和RS完成認(rèn)證過(guò)程。U和RS生成會(huì)話(huà)密鑰SKur=SM3(m4)，其中m4={IDu,Au,Br,Kur,Lu}。

4.協(xié)議安全性分析

4.1 雙向認(rèn)證

服務(wù)器通過(guò)用戶(hù)的身份IDu、密鑰參數(shù)Su以及密鑰、身份參數(shù)Lu，驗(yàn)證用戶(hù)的合法性；用戶(hù)利用公鑰PK以及密鑰、身份參數(shù)Lu驗(yàn)證服務(wù)器的合法性。因此，本方案認(rèn)證過(guò)程實(shí)現(xiàn)了雙向認(rèn)證。

4.2 用戶(hù)匿名性

隨著用戶(hù)對(duì)自己的隱私信息的重視，在身份認(rèn)證方案中實(shí)現(xiàn)身份匿名越來(lái)越重要。因?yàn)楣粽呖梢垣@取用戶(hù)和服務(wù)器之間的消息，如果知道用戶(hù)身份就可以順藤摸瓜找到該用戶(hù)更多重要的信息。本方案確保了攻擊者不會(huì)從任何竊取的認(rèn)證消息中發(fā)現(xiàn)用戶(hù)的身份。因?yàn)閁從來(lái)沒(méi)有在公共信道上發(fā)送他的身份IDu給RS，用戶(hù)U使用隨機(jī)數(shù)對(duì)身份進(jìn)行保護(hù)生成AIDu=ESM4(Su,IDu||Au)，并且發(fā)送{AIDu,Xu}給RS。由于攻擊者不知道密鑰Su的值，所以不能得知U的身份。綜上所述該方案可以實(shí)現(xiàn)用戶(hù)匿名性。

4.3 假冒攻擊

在該攻擊中，攻擊者試圖冒充用戶(hù)或者服務(wù)器與另一方進(jìn)行通信。顯然，在本方案中攻擊者不能冒充U或者RS中的任何一方，因?yàn)楣粽卟荒軅卧煜AIDu,Xu}和{Xr,Br}。具體來(lái)說(shuō)，如果攻擊者想要冒充U，他首先選擇一個(gè)隨機(jī)數(shù)去生成請(qǐng)求消息{AIDu,Xu}。需要攻擊者計(jì)算AIDu=ESM4(Su,IDu||Au)和Xu=SM3(IDu,Au,Lu)，也就是說(shuō)，攻擊者需要知道Lu=SM3(IDu⊕s)值才可以冒充U發(fā)送一條有效的請(qǐng)求消息。攻擊者是不可能知道RS的私鑰s和U的身份IDu，攻擊者不能通過(guò)RS對(duì)他的認(rèn)證。同樣的，攻擊者也不能偽造消息{Xr,Br}使得U信服。綜上所述本方案可以有效地抵抗用戶(hù)/服務(wù)器假冒攻擊。

5.結(jié)論

本文介紹了密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用情況，分析了密碼技術(shù)在工業(yè)互聯(lián)網(wǎng)應(yīng)用中目前所存在的問(wèn)題，針對(duì)工業(yè)互聯(lián)網(wǎng)終端的身份識(shí)別問(wèn)題，設(shè)計(jì)了一種基于國(guó)密算法的安全身份認(rèn)證協(xié)議，該協(xié)議認(rèn)證過(guò)程應(yīng)用國(guó)密算法SM3、SM4確保數(shù)據(jù)的完整性和保密性。最后，分析表明該協(xié)議具備雙向認(rèn)證、用戶(hù)匿名性，并能抵抗假冒攻擊等安全特性，可進(jìn)一步加強(qiáng)工業(yè)互聯(lián)網(wǎng)終端身份識(shí)別安全。