近年來(lái)國(guó)家有關(guān)機(jī)關(guān)和監(jiān)管機(jī)構(gòu)站在國(guó)家安全和長(zhǎng)遠(yuǎn)戰(zhàn)略的高度提出了推動(dòng)國(guó)密算法應(yīng)用實(shí)施、加強(qiáng)行業(yè)安全可控的要求。擺脫對(duì)國(guó)外技術(shù)和產(chǎn)品的過(guò)度依賴，建設(shè)行業(yè)網(wǎng)絡(luò)安全環(huán)境，增強(qiáng)我國(guó)行業(yè)信息系統(tǒng)的“安全可控”能力顯得尤為必要和迫切。

工業(yè)互聯(lián)網(wǎng)安全需求

工業(yè)互聯(lián)網(wǎng)平臺(tái)是面向企業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型需求，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系，支撐工業(yè)企業(yè)萬(wàn)物互聯(lián)、信息共享、高效運(yùn)轉(zhuǎn)的云平臺(tái)。工業(yè)互聯(lián)網(wǎng)平臺(tái)的信息安全至關(guān)重要，如果平臺(tái)安全無(wú)法得到保障，企業(yè)用戶對(duì)于平臺(tái)的信任就會(huì)缺失，最基礎(chǔ)的數(shù)據(jù)上云就會(huì)阻礙重重，沒(méi)有數(shù)據(jù)的支撐，工業(yè)互聯(lián)網(wǎng)所帶來(lái)的知識(shí)建模、大數(shù)據(jù)分析、微服務(wù)組件開發(fā)等優(yōu)勢(shì)就無(wú)法顯現(xiàn)，工業(yè)互聯(lián)網(wǎng)平臺(tái)也就成了一個(gè)沒(méi)有靈魂的空殼。

“震網(wǎng)病毒”就是工業(yè)互聯(lián)網(wǎng)領(lǐng)域的一個(gè)典型攻擊案例，它通過(guò)USB接入工廠內(nèi)部網(wǎng)絡(luò)，繞過(guò)了防火墻、網(wǎng)閘等傳統(tǒng)設(shè)施，通過(guò)修改程序命令，取得關(guān)鍵設(shè)備的控制權(quán)并進(jìn)行偽裝，讓生產(chǎn)濃縮鈾的離心機(jī)異常加速，超越設(shè)計(jì)極限，致使離心機(jī)報(bào)廢。

由此可見(jiàn)，在我國(guó)大力發(fā)展工業(yè)互聯(lián)網(wǎng)的同時(shí)，如何保障連接工業(yè)互聯(lián)網(wǎng)的工業(yè)設(shè)施安全也是一個(gè)不容忽視的問(wèn)題。密碼技術(shù)作為保障工業(yè)信息安全的基礎(chǔ)性技術(shù)，有助于加強(qiáng)賬戶管理、身份認(rèn)證、數(shù)據(jù)傳輸與保護(hù)等安全服務(wù)，在工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)中有著不可或缺的地位，而這其中國(guó)密算法的推廣應(yīng)用則任重道遠(yuǎn)。

何謂國(guó)密算法？都有哪些？

國(guó)密算法是我國(guó)自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列算法，主要區(qū)別于目前數(shù)據(jù)安全領(lǐng)域常用的AES、RSA、MD5、ECC等國(guó)際密碼算法。目前國(guó)產(chǎn)商用密碼算法已經(jīng)形成一套完整體系，既有SM1、SSF33、SM4、SM7等對(duì)稱密碼算法，也有SM2、SM9等非對(duì)稱密碼算法，同時(shí)還有SM3雜湊密碼算法。這一系列密碼算法各具特點(diǎn)，適用于不同的應(yīng)用場(chǎng)景，涵蓋了數(shù)據(jù)加密、簽名、完整性校驗(yàn)等全方位的安全功能需求，并且國(guó)密算法的安全性、加密速度等性能也比國(guó)外常用的密碼算法有所提高。

常見(jiàn)的國(guó)產(chǎn)商用密碼及對(duì)比如下：

為什么要用國(guó)密算法？

國(guó)際密碼算法標(biāo)準(zhǔn)發(fā)展早、普及廣，在國(guó)內(nèi)外互聯(lián)網(wǎng)行業(yè)應(yīng)用極為廣泛，相比而言國(guó)密算法可能還鮮為人知，但是其在工業(yè)互聯(lián)網(wǎng)的應(yīng)用卻有重要意義。由于工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和工業(yè)的深度融合，打破了傳統(tǒng)工業(yè)領(lǐng)域相對(duì)封閉可信的環(huán)境，互聯(lián)網(wǎng)的種種安全威脅將直接滲透延伸至工業(yè)領(lǐng)域，網(wǎng)絡(luò)攻擊可直達(dá)生產(chǎn)一線。

工業(yè)互聯(lián)網(wǎng)涉及面廣泛，包括能源、化工、電力、水利、高端裝備、智能制造等眾多工業(yè)領(lǐng)域，平臺(tái)匯集的數(shù)據(jù)經(jīng)過(guò)挖掘、建模、分析后，會(huì)形成工業(yè)知識(shí)組件、原理模型組件等重要數(shù)據(jù)的微服務(wù)組件，一旦相關(guān)數(shù)據(jù)發(fā)生泄漏，不僅工業(yè)企業(yè)的利益遭受侵害，甚至國(guó)家經(jīng)濟(jì)都會(huì)被限制。此外，工業(yè)互聯(lián)網(wǎng)一旦遭受網(wǎng)絡(luò)攻擊，不僅會(huì)造成系統(tǒng)或服務(wù)中斷、數(shù)據(jù)泄露等傳統(tǒng)互聯(lián)網(wǎng)安全問(wèn)題，還可能會(huì)引發(fā)生產(chǎn)安全問(wèn)題，導(dǎo)致類似污染性物質(zhì)泄露、爆炸性破壞、大面積斷水?dāng)嚯姷劝踩录?，?duì)企業(yè)、社會(huì)和國(guó)家安全都會(huì)造成極大危害。

在這些重要領(lǐng)域如果使用國(guó)外密碼算法，其潛在風(fēng)險(xiǎn)是極其巨大的。一方面，國(guó)外密碼算法本身就存在脆弱性，并不是絕對(duì)安全的，例如MD5算法的可碰撞性攻擊、RSA算法的共模攻擊都暴漏了其安全缺陷。另一方面，不可控的國(guó)外算法中有可能會(huì)被惡意嵌入遠(yuǎn)程木馬等危險(xiǎn)程序，具有未知的安全隱患，例如RSA就曾在其軟件Bsafe中嵌入了NSA開發(fā)的被植入后門的偽隨機(jī)數(shù)生成算法Dual_EC——DRBG。

因此，工業(yè)互聯(lián)網(wǎng)所用的密碼技術(shù)必須走自主可控之路，國(guó)產(chǎn)密碼的應(yīng)用價(jià)值和優(yōu)勢(shì)由此凸顯。安全的平臺(tái)離不開安全的密碼技術(shù)，國(guó)密算法憑借著安全性高、自主可控等優(yōu)勢(shì)自然成為保障工業(yè)互聯(lián)網(wǎng)安全的首要選擇。結(jié)合其加密速度快、開銷和成本低、易于實(shí)現(xiàn)等特點(diǎn)，國(guó)密算法特別適合應(yīng)用于嵌入式物聯(lián)網(wǎng)等領(lǐng)域，實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加解密等功能。

國(guó)密算法助力工業(yè)互聯(lián)網(wǎng)

密碼技術(shù)作為一種基礎(chǔ)的安全防護(hù)手段，貫穿工業(yè)互聯(lián)網(wǎng)平臺(tái)邊緣接入層、IaaS層、PaaS層和SaaS層的加密、認(rèn)證、完整性校驗(yàn)等過(guò)程，在工業(yè)互聯(lián)網(wǎng)平臺(tái)的應(yīng)用前景十分廣泛。

工業(yè)互聯(lián)網(wǎng)平臺(tái)架構(gòu)

1）賬戶加密

工業(yè)互聯(lián)網(wǎng)平臺(tái)中存在著各式各樣的設(shè)備和用戶賬戶管理，只要需要進(jìn)行登錄和授權(quán)，就必然存在賬戶管理。賬號(hào)和口令的安全關(guān)系到用戶對(duì)于平臺(tái)的信任度，一旦賬戶信息發(fā)生泄漏，對(duì)于用戶數(shù)據(jù)安全和平臺(tái)業(yè)務(wù)推廣都具有極大的負(fù)面影響。國(guó)密算法中的SM1、SM7、祖沖之加密算法即可在此場(chǎng)景進(jìn)行推廣應(yīng)用，通過(guò)安全的國(guó)產(chǎn)加密算法對(duì)賬戶和口令實(shí)行加密存儲(chǔ)，即便賬戶信息被盜取，也能保證數(shù)據(jù)信息無(wú)法解密，為用戶賬戶安全添上一道安全防線。

2）安全認(rèn)證

認(rèn)證與鑒別貫穿工業(yè)互聯(lián)網(wǎng)平臺(tái)的各個(gè)層次。在平臺(tái)邊緣接入層有海量的設(shè)備接入，需要對(duì)接入的設(shè)備和用戶進(jìn)行身份認(rèn)證與鑒別，只有通過(guò)認(rèn)證的實(shí)體才能允許接入并開始傳輸數(shù)據(jù)；在IaaS層，需要對(duì)服務(wù)器用戶進(jìn)行身份鑒別；在PaaS層及SaaS層，需要對(duì)登錄用戶進(jìn)行身份認(rèn)證和鑒別。國(guó)密算法中的SM2密碼算法秘鑰生成速度快、安全性高，相比RSA可以更好地實(shí)現(xiàn)身份認(rèn)證和鑒別功能，應(yīng)用SM2對(duì)邊緣設(shè)備進(jìn)行身份認(rèn)證和鑒別，還能夠本質(zhì)提高設(shè)備接入安全。

3）通信保護(hù)

工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)確保通信的保密性、完整性、不可否認(rèn)和篡改性，比如在PaaS層進(jìn)行數(shù)據(jù)挖掘和分析時(shí)，要保證原始數(shù)據(jù)不被篡改、完整可用，且需要確保重要隱私數(shù)據(jù)不被泄露，這就需要對(duì)通信數(shù)據(jù)實(shí)施加密保護(hù)。在平臺(tái)通信過(guò)程中應(yīng)用SM1、SM2、SM3等國(guó)產(chǎn)密碼算法，能夠確保工業(yè)互聯(lián)網(wǎng)平臺(tái)通信過(guò)程安全、可靠、可控，切實(shí)保護(hù)用戶數(shù)據(jù)安全，維護(hù)企業(yè)利益不受侵害。

近年來(lái)隨著5G、區(qū)塊鏈、人工智能等新興技術(shù)的飛速發(fā)展，密碼技術(shù)作為數(shù)據(jù)治理和信息保護(hù)的重要手段，也已進(jìn)入發(fā)展快車道。不斷完善的國(guó)密算法體系，對(duì)于構(gòu)建我國(guó)安全、自主、可控的工業(yè)互聯(lián)網(wǎng)平臺(tái)意義重大，將會(huì)成為工業(yè)互聯(lián)網(wǎng)安全一道堅(jiān)實(shí)的“防火墻”，有助于國(guó)內(nèi)快速發(fā)展的工業(yè)互聯(lián)網(wǎng)行業(yè)進(jìn)一步騰飛。“DAO技術(shù)實(shí)驗(yàn)室”是航天大道公司聯(lián)合國(guó)內(nèi)多家知名大學(xué)工控安全領(lǐng)域?qū)＜遥闪⒌墓I(yè)互聯(lián)網(wǎng)安全技術(shù)研究實(shí)驗(yàn)室。實(shí)驗(yàn)室專注工業(yè)互聯(lián)網(wǎng)關(guān)鍵軟硬件產(chǎn)品的自主可控和工業(yè)物聯(lián)網(wǎng)攻防相關(guān)技術(shù)，支撐工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。未來(lái)“DAO技術(shù)實(shí)驗(yàn)室”將秉承“以科技創(chuàng)新手段使工業(yè)互聯(lián)網(wǎng)更安全”的宗旨，跟蹤國(guó)際工業(yè)互聯(lián)網(wǎng)攻防先進(jìn)技術(shù)，以可控、可信、可靠為落腳點(diǎn)，為行業(yè)客戶和區(qū)域客戶提供端到端的產(chǎn)品與系統(tǒng)解決方案，攜手“長(zhǎng)征云工業(yè)互聯(lián)網(wǎng)安全技術(shù)生態(tài)合作伙伴”共同推進(jìn)工控安全事業(yè)發(fā)展。