基于國密算法的航油工業(yè)控制系統(tǒng)安全解決方案

０引言在兩化深度集成和工業(yè)轉(zhuǎn)型升級的同時，工業(yè)控制生產(chǎn)環(huán)境已從封閉轉(zhuǎn)向開放，生產(chǎn)過程從自動化轉(zhuǎn)向智能化。此外，工業(yè)控制系統(tǒng)安全漏洞數(shù)量在逐年遞增，各類工控信息安全事件層出不窮，安全威脅加速滲透，攻擊手段復(fù)雜多樣。2019年7月，紐約曼哈頓發(fā)生大規(guī)模停電，約4.2萬名居民斷電，還有多人被困電梯。2019年9月，印度Kudankulam核電站遭受了攻擊，惡意軟件感染了核電站的管理網(wǎng)絡(luò)，導(dǎo)致一個反應(yīng)堆中止運(yùn)行。2020年4月，葡萄牙跨國能源公司EDP遭到勒索軟件攻擊。電力、石油天然氣和水利等工業(yè)控制系統(tǒng)，作為國家能源生產(chǎn)基礎(chǔ)和國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，面臨高科技網(wǎng)絡(luò)攻擊的威脅。我國高度重視工業(yè)控制系統(tǒng)安全并采取了各種舉措。根據(jù)《網(wǎng)絡(luò)安全法》，主管機(jī)構(gòu)發(fā)布了一系列法規(guī)、政策、戰(zhàn)略規(guī)劃和指南，強(qiáng)調(diào)加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)以及使用國產(chǎn)密碼手段來增強(qiáng)安全保障能力的必要性。比如，國家互聯(lián)網(wǎng)信息辦公室起草公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，兩辦2018年36號文《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022年）的通知》，中辦、國辦中辦發(fā)[2015]4號文《關(guān)于加強(qiáng)重要領(lǐng)域密碼應(yīng)用的指導(dǎo)意見》，均強(qiáng)調(diào)促進(jìn)重要工業(yè)控制系統(tǒng)密碼應(yīng)用。航空燃油供應(yīng)是機(jī)場正常運(yùn)行的物資保障，在維護(hù)國家安全和經(jīng)濟(jì)發(fā)展中發(fā)揮著重要作用。航油工業(yè)控制系統(tǒng)的自動化和集成度不斷提高，促使工業(yè)控制系統(tǒng)被越來越多地應(yīng)用于各個領(lǐng)域，如油庫、輸油管線以及航空加油站等。航油工業(yè)控制系統(tǒng)的安全和穩(wěn)定運(yùn)行直接關(guān)系到人們的生命財產(chǎn)安全和強(qiáng)國建設(shè)。作為航油系統(tǒng)穩(wěn)定運(yùn)行的重要組成部分，工業(yè)控制系統(tǒng)是航油關(guān)鍵信息基礎(chǔ)設(shè)施的寶貴資產(chǎn)，而系統(tǒng)中運(yùn)行的數(shù)據(jù)更是具有重要價值的重點(diǎn)保護(hù)對象，一旦出現(xiàn)安全問題，將影響航油供應(yīng)的穩(wěn)定性，并給國民經(jīng)濟(jì)和生產(chǎn)帶來嚴(yán)重后果。國內(nèi)外諸多機(jī)構(gòu)和學(xué)者已經(jīng)開始工控系統(tǒng)安全應(yīng)用研究。美國桑迪亞國家實(shí)驗(yàn)室（SandiaNationalLabs，SNL）成立數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)（SupervisoryControlAndDataAcquisition，SCADA）安全研究中心來研究工控系統(tǒng)安全。2015年，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NationalInstituteofStandardsandTechnology，NIST）發(fā)布NISTSP800-82《工業(yè)控制系統(tǒng)安全指南》。邸麗清等人研究國外工業(yè)控制系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)、指南及行業(yè)規(guī)范，分析其體系框架和安全技術(shù)要求。提出基于可信平臺模塊TPM來解決使用ModbusTCP、DNP3以及S7等協(xié)議引起的安全性問題。以SCADA無線通信加密為切入點(diǎn)分析比較基于SCADA與AGA12的各種可用安全標(biāo)準(zhǔn)。研究表明，計算資源有限的可編程邏輯控制器（ProgrammableLogicController，PLC）也可開發(fā)基于密碼算法（如AES、SHA1、HMAC-SHA1、Speck以及Simon等）的應(yīng)用程序，以保障應(yīng)用數(shù)據(jù)安全。蘭昆等研究如何應(yīng)用密碼技術(shù)在控制站和受控設(shè)備間建立可靠可信的控制信道。本文整理航油供應(yīng)業(yè)務(wù)流程，分析航油工業(yè)控制系統(tǒng)的功能與部署，梳理航油工業(yè)控制系統(tǒng)在安全方面存在的風(fēng)險隱患，提出基于國產(chǎn)密碼算法的航油工業(yè)控制系統(tǒng)安全增強(qiáng)方案，以提升系統(tǒng)的綜合安全保障能力。本文組織如下：第1章介紹航油工業(yè)控制系統(tǒng)的背景現(xiàn)狀和航油工業(yè)控制系統(tǒng)的業(yè)務(wù)流程；第2章分析航油工業(yè)控制系統(tǒng)存在的安全性風(fēng)險以及相關(guān)安全需求；第3章介紹國產(chǎn)密碼技術(shù)，并結(jié)合國產(chǎn)密碼技術(shù)提出航油工業(yè)控制系統(tǒng)的安全性增強(qiáng)方案；最后，總結(jié)全文。１航油業(yè)務(wù)現(xiàn)狀分析航油供油系統(tǒng)實(shí)現(xiàn)對油品的接卸、輸送、儲存以及加注等過程的自動控制，以及相關(guān)設(shè)備和測量儀表的運(yùn)行狀態(tài)監(jiān)測和報警控制等功能。航空燃料的供應(yīng)是進(jìn)行航空運(yùn)輸?shù)南葲Q條件，而機(jī)場是航空燃料供應(yīng)的基礎(chǔ)。航油由煉油廠使用直餾、加氫裂化以及加氫精制等工藝生產(chǎn)，或從中轉(zhuǎn)油庫中轉(zhuǎn)，然后通過鐵路、公路、水上運(yùn)輸或油料管道輸送到建設(shè)在機(jī)場附近的航空油料機(jī)場油庫。在對燃料進(jìn)行技術(shù)處理后，將其通過飛機(jī)的專用加油車運(yùn)輸?shù)斤w機(jī)。航油工業(yè)控制系統(tǒng)包括長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化控制系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)等，如圖1所示。供應(yīng)地通過鐵路、公路、水路或油料管道將供應(yīng)的航空油料輸送到中轉(zhuǎn)油庫，然后輸入機(jī)場附近的機(jī)場油庫，最后對油料進(jìn)行技術(shù)處理，通過航空加油站、專用的飛機(jī)加油車等輸送到飛機(jī)上。圖1航油輸送示意大多自產(chǎn)航油直接從煉油廠運(yùn)輸?shù)綑C(jī)場；進(jìn)口航油則經(jīng)海運(yùn)至我國沿海碼頭，然后通過中轉(zhuǎn)運(yùn)輸至各個機(jī)場。鐵路運(yùn)輸運(yùn)量大且適合長途運(yùn)輸，運(yùn)輸成本低，因此是國內(nèi)眾多機(jī)場采用的主要運(yùn)輸方式。公路運(yùn)輸投資小，運(yùn)輸靈活，適合短途運(yùn)輸，因此公路運(yùn)輸與鐵路運(yùn)輸相結(jié)合成為小型機(jī)場的主要選擇。油輪運(yùn)輸一次性容量大、成本低，但受地理限制較多，主要保障國內(nèi)沿海機(jī)場的用油。管道運(yùn)輸受到天氣影響小，成本低廉，安全可靠，還可以消除重復(fù)裝卸，但初期投資大、成本高，因此管道運(yùn)輸多用于國內(nèi)大中型機(jī)場的短途運(yùn)輸。航空油料的儲存油庫是供油系統(tǒng)的必要設(shè)備，包括中轉(zhuǎn)油庫和機(jī)場油庫，具有接收、儲存、沉降、加注及油品質(zhì)量檢查等功能。中轉(zhuǎn)油庫從鐵路、水路、公路或輸油管道接收來油，是為機(jī)場油庫轉(zhuǎn)輸油的場所。機(jī)場油庫為機(jī)坪管線加油系統(tǒng)供油和罐式加油車裝油。例如，上海虹橋機(jī)場和浦東機(jī)場的航油供應(yīng)模式為綜合采用油輪、鐵路、公路以及管道等運(yùn)輸方式，從五號溝碼頭、高橋石化碼頭、徐匯濱江云峰碼頭以及本地?zé)捰蛷S等處來的油源進(jìn)中轉(zhuǎn)油庫儲罐，然后經(jīng)輸油管道輸送至機(jī)場使用油庫，最后經(jīng)站坪輸油管道系統(tǒng)為機(jī)位加油或通過航空加油站的加油罐車給機(jī)位加油。航油工業(yè)控制系統(tǒng)涉及輸送管道輸油的工業(yè)控制系統(tǒng)、油庫供油的工業(yè)控制系統(tǒng)以及航空加油站加油工業(yè)控制系統(tǒng)等。與油庫相關(guān)的業(yè)務(wù)包括使用油庫、中轉(zhuǎn)油庫、卸油站油庫、供應(yīng)站油庫以及中心油庫等。從實(shí)際業(yè)務(wù)的角度來看，上述各種類型的油庫可以歸類為與油庫相關(guān)的業(yè)務(wù)。管道相關(guān)的業(yè)務(wù)主要包括首站站控、末站站控和中間站站控。從實(shí)際的業(yè)務(wù)角度來看，此類站控制系統(tǒng)被歸類為與管道相關(guān)的服務(wù)。其他典型網(wǎng)絡(luò)拓?fù)渲饕▎我坏纳衔粰C(jī)通過交換機(jī)連接PLC的網(wǎng)絡(luò)，但是在這類拓?fù)渲杏锌赡艽嬖趦煞N情況，即交換機(jī)上連接多個PLC或一個PLC。另外，該類拓?fù)溆锌赡艽嬖谏下?lián)的辦公網(wǎng)，也可以是獨(dú)立的生產(chǎn)網(wǎng)絡(luò)。２航油工業(yè)控制系統(tǒng)安全需求分析目前，在航油工業(yè)控制系統(tǒng)中，很多地方存在安全性不足的隱患。系統(tǒng)中使用的協(xié)議包括工業(yè)控制協(xié)議和常見的TCP/IP網(wǎng)絡(luò)協(xié)議?，F(xiàn)場總線協(xié)議在設(shè)計之初幾乎不考慮安全保護(hù)功能，且許多協(xié)議都缺少身份認(rèn)證、授權(quán)以及數(shù)據(jù)加密機(jī)制，如應(yīng)用數(shù)據(jù)和控制信息以明文方式在網(wǎng)絡(luò)中傳遞。一旦攻擊者成功入侵現(xiàn)場控制層，整個現(xiàn)場設(shè)備將處于沒有防護(hù)措施的危險狀態(tài)。專用通信協(xié)議本身的安全性較脆弱，缺乏可靠的認(rèn)證和加密機(jī)制，且忽略了消息完整性驗(yàn)證機(jī)制。例如，Modbus協(xié)議沒有身份驗(yàn)證機(jī)制，只需要合法的Modbus地址和功能代碼就能建立Modbus協(xié)議會話。網(wǎng)絡(luò)協(xié)議一般選擇EtherNet/IP協(xié)議和Modbus/TCP協(xié)議。由于航油工業(yè)控制系統(tǒng)的以太網(wǎng)采用了諸如TCP/IP之類的開放協(xié)議，因此協(xié)議本身的漏洞進(jìn)一步加劇了航油工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的風(fēng)險，使得攻擊者可以更加容易地從外部網(wǎng)絡(luò)訪問過程控制層，為攻擊者發(fā)動多種攻擊（如DDoS攻擊）并收集系統(tǒng)信息提供了可乘之機(jī)。航油工業(yè)控制系統(tǒng)的各層間存在過程控制、監(jiān)視、測量等設(shè)備和計算機(jī)服務(wù)之間的基于專用通信協(xié)議（如Modbus、ProfiBus等）的通信，但缺乏相應(yīng)的保護(hù)機(jī)制，因此有必要分析航空石油工業(yè)控制系統(tǒng)中工業(yè)控制協(xié)議的數(shù)據(jù)包，如MODBUS、S7、FINS以及EGD等，以便及時發(fā)現(xiàn)異常的通信行為。同時，在進(jìn)行控制指令或交換相關(guān)數(shù)據(jù)時，采用加密、認(rèn)證等手段實(shí)現(xiàn)身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸，從而保證通信數(shù)據(jù)的完整性、真實(shí)性和機(jī)密性。在航油工業(yè)控制系統(tǒng)層次結(jié)構(gòu)中，頂層的航油企業(yè)網(wǎng)絡(luò)使得其他3個相連的層次面臨企業(yè)網(wǎng)絡(luò)帶來的安全風(fēng)險，因此必須限制在企業(yè)網(wǎng)絡(luò)SCADA客戶端使用等，以加強(qiáng)該類資源的身份認(rèn)證和訪問控制。在航油工業(yè)控制系統(tǒng)的4個層次間缺乏必要的網(wǎng)絡(luò)劃分和域控制機(jī)制，因此需要合理的網(wǎng)絡(luò)劃分和隔離策略。長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)，與企業(yè)其他系統(tǒng)（如企業(yè)管理信息系統(tǒng)）之間應(yīng)該劃分為不同的區(qū)域。區(qū)域之間應(yīng)有清晰的網(wǎng)絡(luò)邊界并應(yīng)進(jìn)行網(wǎng)絡(luò)邊界隔離，同時部署具有訪問控制功能的網(wǎng)絡(luò)安全設(shè)備、安全可靠的工業(yè)防火墻或具有等效功能的設(shè)施。系統(tǒng)內(nèi)部劃分為不同的安全域，各域之間采用技術(shù)隔離，在重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)該考慮采取可靠的技術(shù)隔離手段。在系統(tǒng)與WAN之間的垂直交界處應(yīng)考慮控制設(shè)備，實(shí)現(xiàn)雙向身份認(rèn)證、訪問控制和數(shù)據(jù)加密傳輸。航油工業(yè)控制系統(tǒng)網(wǎng)絡(luò)在人員管理、權(quán)限管理等地方也存在缺陷。缺乏專業(yè)操作技能的人員、外部人員以及內(nèi)部惡意人員等在訪問系統(tǒng)時，可能會進(jìn)行錯誤的配置或?qū)嵤阂夤舻?。所有這些將導(dǎo)致系統(tǒng)被攻擊并可能引發(fā)一系列嚴(yán)重后果，因此有必要實(shí)現(xiàn)基于密碼技術(shù)的安全保護(hù)功能，如身份驗(yàn)證、權(quán)限控制等。航油工業(yè)控制系統(tǒng)使用的操作系統(tǒng)和應(yīng)用程序正在逐步與IT系統(tǒng)融合，采用開放和統(tǒng)一的IT系統(tǒng)標(biāo)準(zhǔn)，使得IT系統(tǒng)的漏洞被移植到航油工業(yè)控制系統(tǒng)。但是，IT系統(tǒng)的解決方案可能不適用于航油工業(yè)控制系統(tǒng)，在實(shí)時性要求高的工業(yè)控制系統(tǒng)中使用傳統(tǒng)防護(hù)措施，導(dǎo)致的通信延時將會對工控系統(tǒng)服務(wù)連續(xù)性產(chǎn)生較大影響。３基于密碼技術(shù)的應(yīng)用解決方案3.1國密算法簡介近年來我國發(fā)布了多款商用密碼算法，包括祖沖之序列密碼算法ZUC、分組密碼算法SM4、雜湊密碼算法SM3以及公鑰密碼算法SM2和SM9。祖沖之密碼算法的密鑰長度為128bits，由128bits種子密鑰和128bits初始向量共同作用生成32bits寬的密鑰流。ZUC可用于數(shù)據(jù)保密性和完整性保護(hù)。在2011年9月的3GPP會議上，我國的ZUC算法與AES、SNOW3G共同成為4G移動通信密碼算法的國際標(biāo)準(zhǔn)。SM4算法的分組長度為128bits，密鑰長度為128bits，加密與密鑰擴(kuò)展算法都采用32輪非線性迭代結(jié)構(gòu)。加密和解密使用完全相同的結(jié)構(gòu)，解密時只需倒置密鑰的順序。因此，相比AES算法，SM4算法更易于實(shí)現(xiàn)。SM4算法于2012年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，并于2016年轉(zhuǎn)化為國家標(biāo)準(zhǔn)。SM3算法通過M-D模型處理輸入消息，生成256bits的雜湊值。與SHA256算法相比，SM3算法使用了多種新的設(shè)計技術(shù)，在安全性和效率上更具優(yōu)勢。SM3算法于2012年作為密碼行業(yè)標(biāo)準(zhǔn)發(fā)布，于2016年轉(zhuǎn)變?yōu)閲覙?biāo)準(zhǔn)，并于2018年正式成為國際標(biāo)準(zhǔn)。SM2算法基于橢圓曲線離散對數(shù)問題，提供數(shù)據(jù)加密解密、簽名驗(yàn)簽和密鑰協(xié)商功能。SM2算法推薦使用256bits素域上的參數(shù)集。與RSA算法相比，SM2算法具有安全性高、密鑰短、私鑰產(chǎn)生簡單以及簽名速度快等優(yōu)點(diǎn)。該算法已于2016年成為國家標(biāo)準(zhǔn)，并于2017年被ISO采納成為國際標(biāo)準(zhǔn)。SM9算法是一種標(biāo)識密碼，是在傳統(tǒng)公鑰基礎(chǔ)設(shè)施PKI基礎(chǔ)上發(fā)展而來的，可以解決安全應(yīng)用場景中PKI需要大量交換數(shù)字證書的問題，使應(yīng)用更易部署和使用。SM9算法提供密鑰封裝、數(shù)據(jù)加密解密、簽名驗(yàn)簽和密鑰協(xié)商功能。2017年，ISO將SM9數(shù)字簽名算法采納為國際標(biāo)準(zhǔn)的一部分。3.2密碼算法提供的常見安全功能密碼算法提供的4個主要功能為數(shù)據(jù)的機(jī)密性、信息來源的真實(shí)性、數(shù)據(jù)的完整性和行為的不可否認(rèn)性。3.2.1機(jī)密性對稱密碼算法SM4和非對稱密碼算法SM2、SM9均可以實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性保護(hù)。相比之下，SM2和SM9的加密和解密方式更靈活，但計算成本很高，主要用于少量數(shù)據(jù)保護(hù)和采用復(fù)雜共享方法的數(shù)據(jù)保護(hù)；SM4則可應(yīng)用在大量信息的傳輸或存儲的保護(hù)中。SM2和SM9可以為SM4算法提供密鑰協(xié)商或密鑰的安全傳輸。在SM4保護(hù)數(shù)據(jù)時需注意，CBC模式的初始向量一般需要隨機(jī)產(chǎn)生，可以通過調(diào)用品質(zhì)優(yōu)良的隨機(jī)數(shù)發(fā)生器來生成。隨機(jī)數(shù)發(fā)生器產(chǎn)生的隨機(jī)數(shù)應(yīng)進(jìn)行必要的隨機(jī)性檢測，如單比特頻數(shù)檢測、塊內(nèi)頻數(shù)檢測、撲克檢測以及Maurer通用統(tǒng)計檢測等。3.2.2完整性數(shù)據(jù)完整性保護(hù)的實(shí)現(xiàn)方式一般為SM2、SM9的數(shù)字簽名機(jī)制或消息鑒別碼MAC機(jī)制。消息鑒別碼可以是基于SM4算法的CMAC-SM4、CCM-SM4以及GMAC-SM4等，也可以是基于SM3的HMAC-SM3。SM3的快速實(shí)現(xiàn)可提升HMAC-SM3的性能。利用MAC實(shí)現(xiàn)完整性保護(hù)的機(jī)制：消息發(fā)送者發(fā)送消息，并通過共享密鑰計算MAC值（如HMAC-SM3）；消息接收者通過共享密鑰和收到的消息重新計算MAC值，如果二者一致，則確認(rèn)消息的完整性。利用數(shù)字簽名實(shí)現(xiàn)完整性保護(hù)的機(jī)制：消息發(fā)送方發(fā)送消息，并使用自己的私鑰調(diào)用SM2/SM9簽名功能計算得到的簽名值；接收者用發(fā)送方公鑰對簽名調(diào)用SM2/SM9簽名驗(yàn)證功能，驗(yàn)證收到消息的完整性。3.2.3真實(shí)性實(shí)現(xiàn)真實(shí)性的核心是基于身份鑒別技術(shù)，如使用基于密碼技術(shù)的身份鑒別。在基于SM4的身份驗(yàn)證中，雙方共享對稱密鑰以執(zhí)行加密和解密，并使用挑戰(zhàn)&應(yīng)答機(jī)制來抵抗重放攻擊，如果驗(yàn)證者成功解密該消息，則相信消息來自聲稱者?；赟M2/SM9的鑒別機(jī)制類似，聲稱者使用私鑰對消息簽名，驗(yàn)證者使用公鑰驗(yàn)證簽名有效性，如果驗(yàn)證通過，則相信聲稱者是本人。3.2.4不可否認(rèn)性不可否認(rèn)能夠在產(chǎn)生糾紛時提供可靠的證據(jù)以幫助解決糾紛，主要采用數(shù)字簽名技術(shù)來實(shí)現(xiàn)。例如，消息發(fā)送方用自己的私鑰對要進(jìn)行不可否認(rèn)性保護(hù)的數(shù)據(jù)進(jìn)行簽名并將其發(fā)給接收者，簽名就是不可否認(rèn)的證據(jù)。數(shù)據(jù)接收方存儲此消息和數(shù)字簽名，以用作將來解決爭議的證據(jù)。3.3基于電子門禁系統(tǒng)的物理訪問控制解決方案電子門禁系統(tǒng)是實(shí)現(xiàn)物理訪問控制安全最常見最有效的手段之一。密碼行業(yè)標(biāo)準(zhǔn)GM/T0036針對采用密碼技術(shù)的非接觸式卡門禁系統(tǒng)，規(guī)定了系統(tǒng)中使用的密碼設(shè)備、密碼算法、密碼協(xié)議和密鑰管理的相關(guān)要求。電子門禁系統(tǒng)通常由后臺管理系統(tǒng)、門禁讀卡器以及門禁卡等構(gòu)成。該系統(tǒng)的內(nèi)部安全保護(hù)由每個組件內(nèi)的密碼模塊提供，如圖2所示。圖2電子門禁系統(tǒng)組成電子門禁系統(tǒng)的門禁卡和讀卡器/后臺管理系統(tǒng)中具有內(nèi)置的安全模塊，用于讀卡器和后臺管理系統(tǒng)對門禁卡進(jìn)行身份驗(yàn)證。讀卡器射頻接口模塊負(fù)責(zé)與門禁卡的射頻通信。微控制單元MCU負(fù)責(zé)內(nèi)部數(shù)據(jù)交換，并與后臺管理系統(tǒng)進(jìn)行通信。密鑰管理及發(fā)卡系統(tǒng)提供密鑰管理及發(fā)卡系統(tǒng)中的密碼設(shè)備，提供諸如密鑰生成、密鑰分散及身份鑒別之類的密碼服務(wù)。電子門禁系統(tǒng)身份鑒別的過程有多種，以下是認(rèn)證門禁卡的一種執(zhí)行流程。第1步：讀卡器讀取門禁卡信息。門禁卡將卡片唯一標(biāo)識和用于卡片密鑰分散的發(fā)行信息發(fā)送給讀卡器。第2步：讀卡器發(fā)送內(nèi)部認(rèn)證命令和隨機(jī)數(shù)給門禁卡。第3步：門禁卡內(nèi)部用存在卡片中的卡密鑰對該隨機(jī)數(shù)用SM4算法做加密運(yùn)算，并將計算得到的結(jié)果并回發(fā)給讀卡器。第4步：讀卡器傳送、、和到后臺管理系統(tǒng)。第5步：后臺管理系統(tǒng)認(rèn)證門禁卡。（1）后臺管理系統(tǒng)鑒別卡片唯一標(biāo)識是否在黑名單內(nèi)，若是，則反饋認(rèn)證失敗與原因。（2）計算門禁卡的卡密鑰，即對和等分散因子以及保存在安全模塊中的系統(tǒng)根密鑰，使用基于SM4的密鑰導(dǎo)出函數(shù)SM4-KDF算法分散得到門禁卡的卡密鑰：（3）用此卡密鑰計算鑒別信息，即計算：（4）比較鑒別值。如果，則對門禁卡的身份鑒別正確，否則鑒別不通過。若以上鑒別通過，則發(fā)出開門信息到門禁執(zhí)行機(jī)構(gòu)開門，同時產(chǎn)生下一次門禁讀卡器用于身份鑒別的隨機(jī)數(shù)，并同地篡改、刪除、替換，電子門禁系統(tǒng)進(jìn)出記錄可以使用消息鑒別碼或數(shù)字簽名技術(shù)進(jìn)行保護(hù)（參見3.2節(jié)）。3.4基于視頻監(jiān)控系統(tǒng)的環(huán)境安全增強(qiáng)解決方案工業(yè)控制站點(diǎn)現(xiàn)場、計算機(jī)室等可以使用視頻監(jiān)控系統(tǒng)來進(jìn)一步增強(qiáng)物理環(huán)境安全。國家標(biāo)準(zhǔn)GB35114對公共安全視頻監(jiān)控聯(lián)的基本功能、性能以及安全等做了詳細(xì)規(guī)定，并根據(jù)安全保護(hù)力度的強(qiáng)弱，將具有安全功能的前端設(shè)備的安全能力分為3個等級，由弱到強(qiáng)分別是A級、B級和C級。A級基于數(shù)字證書與管理平臺之間的雙向身份認(rèn)證能力，達(dá)到身份真實(shí)的目標(biāo)；B級具備基于數(shù)字證書與管理平臺之間的雙向身份認(rèn)證的能力和對視頻數(shù)據(jù)簽名的能力，達(dá)到身份真實(shí)和視頻來源于真實(shí)設(shè)備的能力，能夠校驗(yàn)視頻內(nèi)容是否遭到篡改的目標(biāo)；C級具備基于數(shù)字證書與管理平臺之間的雙向身份認(rèn)證的能力、視頻數(shù)據(jù)簽名能力和視頻數(shù)據(jù)加密能力，確保身份真實(shí)和視頻來源于真實(shí)設(shè)備，能夠校驗(yàn)視頻內(nèi)容是否遭到篡改，達(dá)到對視頻內(nèi)容加密保護(hù)的目的。因此，選擇具有安全功能B級或C級的具有安全功能的前端設(shè)備，并且將視頻監(jiān)控系統(tǒng)所使用的密碼算法配置為符合相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的密碼算法，如SM系列算法，以確保視頻監(jiān)控音像記錄數(shù)據(jù)完整性。此外，有必要進(jìn)一步驗(yàn)證視頻監(jiān)控音像記錄數(shù)據(jù)的正確性和密碼保護(hù)功能的有效性。3.5基于工業(yè)防火墻的通信網(wǎng)絡(luò)安全解決方案為了使航油工業(yè)控制系統(tǒng)的長輸管道輸油自動化控制系統(tǒng)、油庫供油自動化系統(tǒng)以及航空加油站加油自動化控制系統(tǒng)達(dá)到通信網(wǎng)絡(luò)安全的邊界隔離、邊界防護(hù)、通信傳輸安全等需求，中國航油工業(yè)防火墻以TCP/IP和相關(guān)的應(yīng)用協(xié)議為基礎(chǔ)，在應(yīng)用層、傳輸層、網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層對內(nèi)外通信進(jìn)行監(jiān)控，阻止異常數(shù)據(jù)流入航油工控系統(tǒng)，并阻斷針對工控系統(tǒng)進(jìn)行的網(wǎng)絡(luò)攻擊和非法數(shù)據(jù)竊取行為，保證航油工控系統(tǒng)正常運(yùn)轉(zhuǎn)。該工業(yè)防火墻將網(wǎng)絡(luò)信息劃分為不同的安全通道，并根據(jù)每個安全通道定義不同的安全策略，結(jié)構(gòu)如圖3所示。圖3工業(yè)防火墻部署結(jié)構(gòu)工業(yè)防火墻以用戶為核心進(jìn)行用戶身份認(rèn)證和訪問控制。用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)了用戶的認(rèn)證、授權(quán)、記帳功能。認(rèn)證控制服務(wù)器支持多種認(rèn)證方式，并可以根據(jù)用戶需求擴(kuò)展其他認(rèn)證方式。工業(yè)防火墻支持SM系列國產(chǎn)商用密碼算法。商用密碼算法的應(yīng)用主要分為設(shè)備端和接入端。設(shè)備端主要是指防火墻本身，而接入端主要是指需要通過防火墻訪問系統(tǒng)網(wǎng)絡(luò)的接入設(shè)備，如操作員站等。商用密碼算法主要應(yīng)用于兩個方面，即基于商用密碼算法的身份認(rèn)證和基于商用密碼算法的數(shù)據(jù)加密。商用密碼算法身份認(rèn)證主要是指通過使用SM2算法和SM2數(shù)字證書進(jìn)行簽名和驗(yàn)簽來實(shí)現(xiàn)身份認(rèn)證。商用密碼算法數(shù)據(jù)加密是指通過使用SM4加密算法實(shí)現(xiàn)數(shù)據(jù)通信時的數(shù)據(jù)加密功能（參見3.2節(jié)）。虛擬專用網(wǎng)采用IPSecVPN實(shí)現(xiàn)，支持路由/網(wǎng)關(guān)兩種模式，滿足相關(guān)的國密技術(shù)標(biāo)準(zhǔn)GM/T0022—2014《IPSecVPN技術(shù)規(guī)范》，實(shí)現(xiàn)了ESP安全封裝協(xié)議和AH認(rèn)證頭協(xié)議。KE協(xié)商支持主模式，IPsecVPN支持隧道模式和傳輸模式，認(rèn)證算法支持國產(chǎn)密碼算法。同時，工業(yè)防火墻實(shí)現(xiàn)了支持安全策略精細(xì)化管理，支持協(xié)議和端口安全策略配置，支持對選定工業(yè)協(xié)議加密。該工業(yè)防火墻支持多種工控協(xié)議，并對OPC、Modbus/TCP、DNP3、S7、FF、Profinet/IO、Ethernet/IP、IEC104、IEC61850以及FINS等協(xié)議進(jìn)行深度檢測。應(yīng)用層主要側(cè)重于檢測連接中使用的特定協(xié)議內(nèi)容，如OPC與MODBUS等；傳輸層和網(wǎng)絡(luò)層主要實(shí)現(xiàn)對IP、ICMP、TCP和UDP協(xié)議的訪問控制；數(shù)據(jù)鏈路層主要實(shí)現(xiàn)MAC地址檢查，以防止IP欺騙。采用這樣的體系結(jié)構(gòu)形成立體的防護(hù)系統(tǒng)，防火墻能夠提供最直接的網(wǎng)絡(luò)安全保障。3.6基于密碼技術(shù)的PLC固件完整性和真實(shí)性解決方案航油工業(yè)控制系統(tǒng)內(nèi)涉及大量的PLC。這些PLC的固件完整性和PLC固件來源的合法性，可以使用SM2/SM9數(shù)字簽名技術(shù)和MAC技術(shù)得到保障。為確保PLC的固件完整性，可以對PLC固件使用SM2數(shù)字簽名或者使用HMAC-SM3的消息鑒別碼進(jìn)行保護(hù)。如果簽名驗(yàn)證失敗或者消息鑒別碼的結(jié)果不等于之前生成的結(jié)果，則驗(yàn)證失敗并使PLC進(jìn)入錯誤狀態(tài)。SM2數(shù)字簽名可以包含單個簽名，也可以包括多個部分簽名。需要指出的是，部分簽名中的任何一個簽名驗(yàn)證失敗都應(yīng)導(dǎo)致PLC進(jìn)入錯誤狀態(tài)。為了在固件升級等應(yīng)用場景中確保PLC升級固件包來源的真實(shí)性和合法性，可對PLC升級固件包采用SM2數(shù)字簽名。PLC對下載得到的升級固件包的簽名進(jìn)行驗(yàn)證，只有通過時才執(zhí)行升級，否則丟棄此固件包。3.7基于動態(tài)口令的身份認(rèn)證解決方案在執(zhí)行工業(yè)主機(jī)登錄、應(yīng)用服務(wù)資源訪問等過程中，使用一種因子的鑒別技術(shù)或多種因子組合的鑒別技術(shù)對用戶進(jìn)行身份進(jìn)行認(rèn)證，如口令密碼、USB-key、動態(tài)口令、安全問題、指紋以及虹膜等，且其中一種鑒別技術(shù)最好使用密碼技術(shù)來實(shí)現(xiàn)。此外，應(yīng)分析身份鑒別方案的安全強(qiáng)度，如評估單次嘗試身份鑒別方案的成功概率和1min之內(nèi)多次嘗試的成功概率，需滿足單次嘗試身份鑒別方案的成功概率不大于百萬分之一，1min之內(nèi)多次嘗試的成功概率不大于十萬分之一。動態(tài)口令基于SM4或SM3算法實(shí)現(xiàn)。認(rèn)證前雙方共享密鑰，認(rèn)證時用戶與認(rèn)證服務(wù)端根據(jù)共享密鑰、相同隨機(jī)參數(shù)和密碼算法生成認(rèn)證動態(tài)冂令并進(jìn)行比較。計算動態(tài)口令的步驟如下。第1