0 引言

    工業(yè)控制系統(tǒng)安全是國家網(wǎng)絡(luò)安全的重要組成部分，等保2.0將工業(yè)控制系統(tǒng)安全納入標準體現(xiàn)了國家保護工業(yè)控制系統(tǒng)安全的政策要求。工業(yè)控制系統(tǒng)也是關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)，探索工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的新方法，對于提高關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力和網(wǎng)絡(luò)安全，應(yīng)對網(wǎng)絡(luò)安全威脅有積極意義。

1 工業(yè)控制系統(tǒng)安全防護新方法

    業(yè)界流行的工業(yè)控制系統(tǒng)安全防護技術(shù)和方案主要在外圍(過程監(jiān)控層以上)進行，工業(yè)控制系統(tǒng)核心區(qū)(圖1中粗黑框部分:現(xiàn)場控制層+過程監(jiān)控層)的防護仍然十分薄弱，甚至一片空白。通過在工業(yè)控制系統(tǒng)核心區(qū)交換機上強化安全功能，建立工業(yè)控制系統(tǒng)核心區(qū)的邊界準入系統(tǒng)，是工控系統(tǒng)安全防護的新方法，該方法基于標準工業(yè)交換機，在不影響其基本通信功能的前提下，對接入交換機的計算機設(shè)備進行認證。結(jié)合交換機技術(shù)，保證通過認證的合法計算機數(shù)據(jù)包可以通過交換機轉(zhuǎn)發(fā)，未通過認證的計算機交換機拒絕轉(zhuǎn)發(fā)，在工業(yè)控制系統(tǒng)核心區(qū)建立最后防線以保護核心區(qū)安全?；诮粨Q機的訪問控制能力，依據(jù)核心區(qū)業(yè)務(wù)和設(shè)備的通信關(guān)系建立核心區(qū)訪問控制策略，禁止正常業(yè)務(wù)以外數(shù)據(jù)通信。

    圖1摘自最新發(fā)布的GB/T 22239-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》^[1]附錄G，其中的現(xiàn)場控制層和過程監(jiān)控層是工業(yè)控制系統(tǒng)中與生產(chǎn)過程控制直接相關(guān)的區(qū)域，該區(qū)域功能正常仍能夠保證基本的生產(chǎn)能力，即使外圍區(qū)域遭遇網(wǎng)絡(luò)攻擊而失能，核心區(qū)域仍能維持業(yè)已設(shè)定的生產(chǎn)控制邏輯正常執(zhí)行，因此工業(yè)控制系統(tǒng)核心區(qū)的安全才是工業(yè)控制系統(tǒng)安全的核心，只有核心區(qū)得到了有效的保護，才能保證工業(yè)控制系統(tǒng)的安全。

2 內(nèi)嵌認證技術(shù)和安全交換機

    內(nèi)嵌認證(Embedded Authenitication，EA)是建構(gòu)在網(wǎng)絡(luò)接入層的新型認證體系，內(nèi)嵌在每一個接入交換機內(nèi)部的內(nèi)嵌認證服務(wù)(Embedded Authenitication Server，EAS)通過認證數(shù)據(jù)同步協(xié)議(Authenitication Data Synchronization Protocol，ADSP)協(xié)同工作，每個接入交換機與接入終端通過接入認證協(xié)議AAP完成接入認證過程，實現(xiàn)網(wǎng)絡(luò)邊界的準入控制。這兩個協(xié)議不是本文重點，詳情略過。內(nèi)嵌認證是安全交換機的重要功能，是實現(xiàn)工控系統(tǒng)核心區(qū)安全認證和準入的基礎(chǔ)，也是安全交換機區(qū)別于普通交換機的主要特征。

    內(nèi)嵌認證包括嵌入認證和網(wǎng)絡(luò)準入控制兩個相關(guān)聯(lián)的子功能，嵌入認證EA是指內(nèi)嵌在接入交換機的身份認證服務(wù)，網(wǎng)絡(luò)準入控制(Network Access Service，NAS)是對接入網(wǎng)絡(luò)對象的入網(wǎng)控制。內(nèi)嵌認證是將認證服務(wù)內(nèi)嵌在交換機中實現(xiàn)的，通過內(nèi)嵌認證將單純執(zhí)行通信任務(wù)的網(wǎng)絡(luò)交換機轉(zhuǎn)變?yōu)橥ㄐ虐踩δ芤惑w化設(shè)備，并在網(wǎng)絡(luò)邊緣分布認證服務(wù)。

    內(nèi)嵌認證系統(tǒng)和傳統(tǒng)認證系統(tǒng)有很大的區(qū)別，如圖2所示，左邊是傳統(tǒng)認證系統(tǒng)架構(gòu)，右邊是嵌入認證系統(tǒng)架構(gòu)。首先，傳統(tǒng)的認證系統(tǒng)是縱向的架構(gòu)，由中心化的認證服務(wù)端Radius Server和認證客戶端組成，在傳統(tǒng)認證系統(tǒng)中，網(wǎng)絡(luò)僅僅是通道，并不是認證系統(tǒng)的功能要素；內(nèi)嵌認證系統(tǒng)是基于網(wǎng)絡(luò)邊界的橫向架構(gòu)，由多個平行部署的認證服務(wù)端EAS和認證客戶端組成，并且每個EAS是內(nèi)嵌在接入交換機內(nèi)部的，使網(wǎng)絡(luò)接入設(shè)備成為認證系統(tǒng)的不可或缺要素。其次，認證過程不同，傳統(tǒng)認證系統(tǒng)可以認為是一種網(wǎng)絡(luò)服務(wù)，是否認證是由應(yīng)用決定的，接入設(shè)備在特定應(yīng)用之前，不經(jīng)認證可以先行接入網(wǎng)絡(luò)，在應(yīng)用需要時，才由客戶端發(fā)起認證，認證終結(jié)在網(wǎng)絡(luò)內(nèi)部的認證服務(wù)器，即認證與網(wǎng)絡(luò)無關(guān)（除802.1x）；嵌入認證系統(tǒng)是和網(wǎng)絡(luò)接入相關(guān)的認證，不是可選的網(wǎng)絡(luò)應(yīng)用服務(wù)，其認證是強制性的，在終端接入網(wǎng)絡(luò)時即認證，先認證后入網(wǎng)是內(nèi)嵌認證的主要特征之一；認證是由網(wǎng)絡(luò)接入交換機發(fā)起的，終結(jié)在交換機內(nèi)部的EAS上；第三，傳統(tǒng)認證技術(shù)采用的認證標識、認證協(xié)議和算法都是國外標準，嵌入認證技術(shù)采用獨立設(shè)計的認證標識和認證協(xié)議，基于非對稱算法，特別是可以基于國密算法SM2實現(xiàn)；第四，傳統(tǒng)認證技術(shù)主要是基于PKI體系，使用X.509標準的數(shù)字證書和SM2/RSA算法，嵌入認證技術(shù)主要采用密鑰對，不依賴證書，不僅可以支持PKI公鑰體制，使用X.509格式數(shù)字證書，還可以支持無證書的IPK體制。

    從形式上來看，內(nèi)嵌認證和802.1x認證技術(shù)有類似的地方，主要是都在接入交換機上控制終端的入網(wǎng)，但又有很大的不同，前者在架構(gòu)上仍屬傳統(tǒng)架構(gòu)，使用中心化的Radius Server，后者使用分布化的EAS;前者在Radius Server與客戶端之間通過EAP協(xié)議完成認證過程，后者使用AAP協(xié)議。

3 基于國密算法SM2的內(nèi)嵌認證技術(shù)實現(xiàn)

    內(nèi)嵌認證技術(shù)可以基于多種非對稱算法實現(xiàn)，為了便于描述內(nèi)嵌認證技術(shù)的主要流程和關(guān)鍵，僅以國密SM2算法和標識秘鑰（Identity-Key，IPK）秘鑰體系實現(xiàn)為例具體敘述內(nèi)嵌認證的實現(xiàn)。

3.1 內(nèi)嵌認證總體流程

    基于非對稱算法的內(nèi)嵌認證技術(shù)，實現(xiàn)了工控系統(tǒng)核心區(qū)的終端認證接入。終端（即認證客戶端）和內(nèi)嵌認證交換機通過接入認證協(xié)議AAP，利用國密SM2算法，進行認證報文加解密交互實現(xiàn)終端認證準入，具體見圖3。

    終端在交換機上認證總體過程如下：

    (1)交換機端EAS保存了合法用戶公鑰(Public Key，PBK)，當終端接入邊界交換機時，其mac地址被交換機發(fā)現(xiàn)，交換機端EAS即發(fā)起認證挑戰(zhàn)，根據(jù)mac地址在本地公鑰庫中查詢到對應(yīng)的PBK；

    (2)交換機端EAS未找到mac對應(yīng)的PBK,不進行認證直接進入等待Hold超時狀態(tài)；找到mac對應(yīng)的PBK，進入下一步認證工作；

    (3)交換機端EAS與認證客戶端進行報文交互認證(包括EAS的認證挑戰(zhàn)報文、客戶端的挑戰(zhàn)響應(yīng)報文等)；

    (4)交換機端EAS對終端認證不成功，進入等待Hold超時狀態(tài)；認證成功則打開通路，允許終端接入網(wǎng)絡(luò)進行通信；

    (5)首次認證通過后，ESA設(shè)置周期認證定時，按設(shè)定周期向客戶端發(fā)起認證挑戰(zhàn)(認證過程和首次認證相同)，如果認證成功，則EAS保持通路打開狀態(tài)，如果認證失敗，則關(guān)閉通路，進入Hold超時狀態(tài)。

3.2 交換機端內(nèi)嵌認證服務(wù)實現(xiàn)

    接入認證協(xié)議(Access Authenitication Protocol，AAP)是內(nèi)嵌認證中實現(xiàn)接入對象到交換機認證準入的數(shù)據(jù)和通信規(guī)程。公鑰體制PKI/IPK和國密算法SM2是實現(xiàn)AAP協(xié)議的關(guān)鍵，圖4展示了EAS實現(xiàn)的主要認證過程，描述了SM2算法在其中的使用方法和作用。EA技術(shù)在密鑰分發(fā)完成的前提下，EAS端保存了合法客戶端的公鑰PBK，私鑰(Private Key，PRK)在客戶端保存。

    交換機端認證過程：交換機端EAS使用根據(jù)mac地址檢索到的PBK對一個1 024 bit的隨機數(shù)進行SM2加密，后將生成密文發(fā)送給mac地址對應(yīng)的客戶端主機，該隨機數(shù)的MD5值與mac對應(yīng)保存在指紋緩存中，等待客戶端主機的回應(yīng)。

    一旦接收到主機的挑戰(zhàn)響應(yīng)，EAS取出數(shù)據(jù)包載荷數(shù)據(jù)，將其MD5值與指紋緩存中mac對應(yīng)的指紋比對，如果相同，則認證成功，隨即打開交換通路，交換機開始轉(zhuǎn)發(fā)該主機數(shù)據(jù)包，完成網(wǎng)絡(luò)接入，如果不同或者接收不到回應(yīng)，交換通路一直處于關(guān)閉狀態(tài)，交換機丟棄該主機所有數(shù)據(jù)包，拒絕接入網(wǎng)絡(luò)。

    首次認證通過后，EAS進入對客戶端的周期認證，認證流程和首次認證過程類似，不再贅述。所不同的是，在周期認證失敗或客戶端離線后，EAS會關(guān)閉該接入主機的交換通道，并進入下一次認證的準備狀態(tài)。

3.3 客戶端認證實現(xiàn)

    客戶端認證過程是：主機客戶端監(jiān)聽網(wǎng)絡(luò)二層數(shù)據(jù)包，當收到發(fā)給本機的認證挑戰(zhàn)數(shù)據(jù)包后，取出數(shù)據(jù)包載荷并用本機私鑰PRK調(diào)用SM2解密函數(shù)解密數(shù)據(jù)，然后把數(shù)據(jù)用二層數(shù)據(jù)包發(fā)回EAS。圖5展示了客戶端軟件的主要認證流程。

3.4 PKI/IPK下的密鑰管理差異

    從上述實現(xiàn)過程中可以發(fā)現(xiàn)，嵌入認證對SM2算法的使用與一般的加密過程不同，一般的加密過程是使用非對稱密鑰協(xié)商并加密對稱密鑰，再使用對稱密鑰對數(shù)據(jù)內(nèi)容進行加密傳輸和解密；內(nèi)嵌認證直接使用非對稱密鑰對數(shù)據(jù)內(nèi)容進行加解密，即公鑰加密，私鑰解密，簡化了加解密過程，一次交互即可完成認證數(shù)據(jù)傳輸，降低交換機端計算資源消耗，提高通信和認證效率。該方式采用256 bit密鑰長度，認證數(shù)據(jù)長度設(shè)計為1 024 bit，十分適合SM2算法對分組數(shù)據(jù)的處理。認證數(shù)據(jù)采用隨機數(shù)，每次認證過程的內(nèi)容均不同，認證數(shù)據(jù)有效時間僅為一個認證周期(認證周期設(shè)定為10 s)，從效果上看就是一次一密，攻擊窗口時間很短，提高了抗攻擊強度。

    PKI密碼體制下，數(shù)字證書是公鑰的載體，EAS端需要導(dǎo)入和管理接入端的數(shù)字證書，認證過程中EAS直接使用公鑰完成認證數(shù)據(jù)的加密。

    IPK密鑰體制下，公私鑰對不依賴于數(shù)字證書，公鑰是依據(jù)組合標識(Combinnation Identification，CID)和公鑰種子(Public Key Seed，PKS)計算得出的，因此EAS端管理的不是公鑰，而是客戶端的組合標識CID。

4 工控核心區(qū)內(nèi)嵌認證準入的仿真驗證

4.1 仿真驗證環(huán)境建立

    典型工控系統(tǒng)核心區(qū)由工業(yè)交換機、上位機、下位機、服務(wù)器、打印機等組成，其中上位機、下位機和服務(wù)器屬于通用計算機，運行通用操作系統(tǒng)，主要是Windows和Linux。仿真驗證環(huán)境針對工控系統(tǒng)核心區(qū)網(wǎng)絡(luò)環(huán)境構(gòu)建，以安全交換機模擬標準網(wǎng)絡(luò)交換機，以PC模擬工程師站、操作站和服務(wù)器等通用主機。

    仿真驗證環(huán)境由3臺安全交換機和3臺PC組成，采用3臺VRV 6211安全交換機組成核心區(qū)網(wǎng)絡(luò)仿真環(huán)境，3臺PC安裝Windows操作系統(tǒng)和內(nèi)嵌認證客戶端軟件，驗證終端在內(nèi)嵌認證交換機上的認證準入實現(xiàn)，具體仿真驗證環(huán)境見圖6。

4.2 認證功能驗證

    驗證步驟如下：

    (1)按圖6連接設(shè)備，PC1、PC2、PC3未安裝認證客戶端軟件，使用ping命令驗證連通性；

    (2)PC1、PC2、PC3安裝認證客戶端軟件，使用ping命令驗證連通性；

    (3)在PC1的認證客戶端上導(dǎo)入私鑰，使用ping命令驗證連通性；

    (4)在PC2的認證客戶端上導(dǎo)入私鑰，使用ping命令驗證連通性；

    (5)在PC3的認證客戶端上導(dǎo)入私鑰，使用ping命令驗證連通性；

    (6)在SW1上逐個刪除PC1、PC2、PC3的公鑰(CID)，使用ping命令驗證連通性。

    驗證結(jié)果如下：

    (1)按步驟(1)測試，PC1、PC2和PC3相互之間不能ping通，三臺PC都不能ping通三臺交換機設(shè)備的IP地址；

    (2)按步驟(2)測試，PC1、PC2和PC3相互之間不能ping通，三臺PC都不能ping通三臺交換機設(shè)備的IP地址；

    (3)按步驟(3)測試，PC1在導(dǎo)入匹配的私鑰后，能夠ping通三臺交換機的IP地址；

    (4)按步驟(4)測試，PC2在導(dǎo)入匹配的私鑰后，能夠ping通三臺交換機的IP地址，并能ping通PC1；

    (5)按步驟(5)測試，PC3在導(dǎo)入匹配的私鑰后，能夠ping通三臺交換機的IP地址，并能ping通PC1和PC2；

    (6)按步驟(6)測試，在SW1上刪除PC1的CID大約10 s后，PC1到其他兩臺PC和所有交換機的ping命令全部超時，繼續(xù)刪除PC2和PC3的CID,結(jié)果與PC1相同。

4.3 認證速度測試

    驗證步驟如下：

    (1)按照驗證環(huán)境連接設(shè)備，所有PC安裝認證客戶端并導(dǎo)入各自匹配的私鑰，SW1上導(dǎo)入三臺PC的CID；

    (2)配置SW2，將PC2連接的端口流量鏡像至PC3與SW3連接的端口，保證抓包工具wireshark(V 3.0.0)抓獲PC3的流量；

    (3)斷開PC2與SW2的連接后，至少30 s后再恢復(fù)連接，重復(fù)進行10次，每次嘗試PC2登錄SW2，看是否登錄成功；

    (4)保持PC2與SW2的連接，用抓包工具wireshark(V3.0.0)持續(xù)抓包200 s。

    驗證結(jié)果如下：

    (1)按步驟(1)準備環(huán)境，PC2能ping通所有交換機和PC3；

    (2)按步驟(2)配置交換機端口鏡像，并在PC3的wireshark上能抓到來自PC2的數(shù)據(jù)流量；

    (3)按步驟(3)測試，在PC2登錄SW2后拔下PC2的網(wǎng)線，至少30 s以后再插上網(wǎng)線，用wireshark抓取首次認證數(shù)據(jù)包，包特征為eth.type=0x876d，如此重復(fù)至少10次，每次抓獲的數(shù)據(jù)包記錄在表1中；

    (4)按步驟(4)測試，在PC2首次認證成功、網(wǎng)絡(luò)連通的情況下，用wireshark連續(xù)抓取數(shù)據(jù)包，持續(xù)200 s左右，包特征為eth.type=0x876d,抓包數(shù)據(jù)的時間數(shù)據(jù)記錄在表1；

    (5)數(shù)據(jù)處理，首次認證耗時為交換機SW2發(fā)出首個在線查詢包時間與收到認證挑戰(zhàn)回應(yīng)時間的差值，T=Q-R，單位s，保留6位有效數(shù)字；周期認證耗時為交換機SW2發(fā)出認證挑戰(zhàn)時間與收到挑戰(zhàn)回應(yīng)時間的差值，T=C-R，單位s，保留6位有效數(shù)字。

4.4 認證抗仿冒驗證

    驗證步驟如下：

    (1)按照驗證環(huán)境連接設(shè)備；

    (2)確認PC1、PC2、PC3已經(jīng)通過認證，網(wǎng)絡(luò)連通正常；

    (3)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址，測試PC3網(wǎng)絡(luò)連通性；

    (4)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址，PC3的客戶端導(dǎo)入PC2的私鑰替代PC3的私鑰，測試PC3的網(wǎng)絡(luò)連通性；

    (5)將PC2的硬盤克隆到PC3本地，并在PC3上通過工具修改網(wǎng)卡地址為PC2的網(wǎng)卡地址，查看PC3網(wǎng)絡(luò)連通性。

    驗證結(jié)果如下：

    (1)驗證步驟(2)中，每臺PC分別ping其他兩臺PC和三臺交換機，確認三臺PC已通過認證，網(wǎng)絡(luò)通信正常；

    (2)驗證步驟(3)中，在PC3上修改操作系統(tǒng)mac地址，PC3對其他網(wǎng)元的ping測試全部超時，不能ping通直連的交換機SW3，PC3的接入認證失??；

    (3)驗證步驟(4)中，繼步驟(3)后，在PC3上導(dǎo)入PC2的私鑰，PC3對其他網(wǎng)元的ping測試仍然超時，對直連交換機SW3的ping測試依然超時，認證不能通過，PC2除了對PC3的ping測試超時外，對其他網(wǎng)元的ping響應(yīng)正常，PC2認證未受影響；重啟PC3后重復(fù)上述測試，結(jié)果相同；

    (4)驗證步驟(5)中，克隆硬盤安裝到PC3啟動后，修改操作系統(tǒng)為PC2的mac地址，PC3對其他網(wǎng)元的ping測試全部超時，包括直連的交換機SW3，認證失敗。

4.5 驗證結(jié)論

    通過對工控系統(tǒng)核心區(qū)典型網(wǎng)絡(luò)環(huán)境下通用計算機認證功能的驗證，得出如下結(jié)論：

    (1)內(nèi)嵌認證功能對符合內(nèi)嵌認證條件的合規(guī)交換機接入網(wǎng)絡(luò)實現(xiàn)了認證和準入，認證功能確定，準入功能有效；

    (2)認證速度：計算機首次接入網(wǎng)絡(luò)的認證時間為2.79 s、周期認證時間為0.52 s(精確到1% s)；

    (3)可以抵抗常見的仿冒手段，mac地址仿冒、私鑰盜用、硬盤克隆不能突破內(nèi)嵌認證的認證和準入。

5 結(jié)論

    內(nèi)嵌認證作為采用非對稱算法的新型認證準入技術(shù)，對提高網(wǎng)絡(luò)安全能力具有現(xiàn)實意義。作為一項新技術(shù)還有待進一步發(fā)展和完善，目前的內(nèi)嵌認證系統(tǒng)主要是對計算機類接入設(shè)備實現(xiàn)了強認證，非計算機類設(shè)備采用的依然是mac認證、mac/ip端口綁定等認證方式。后者采用的技術(shù)從認證的角度來看，可以說都是非可靠認證技術(shù)，有明顯的可仿冒漏洞，mac/ip的假冒可以輕易騙過認證系統(tǒng)，這是需要繼續(xù)解決的問題。筆者認為，嵌入認證技術(shù)未來的方向，是將認證客戶端植入非計算機接入設(shè)備內(nèi)部，使非計算機設(shè)備也能夠采用和計算機設(shè)備同類的基于非對稱算法的強認證。

    嵌入式系統(tǒng)設(shè)備尚無非對稱算法支撐，是阻礙其實現(xiàn)嵌入認證的主要障礙，如能將非對稱算法植入嵌入系統(tǒng)作為基礎(chǔ)功能，將為嵌入認證在嵌入式設(shè)備上的實現(xiàn)鋪平道路，可喜的是國內(nèi)已經(jīng)有先鋒廠商將密碼芯片植入嵌入系統(tǒng)，這將極大地提高嵌入系統(tǒng)實現(xiàn)內(nèi)嵌認證的能力。嵌入認證目前已經(jīng)實現(xiàn)了Linux系統(tǒng)下的嵌入認證客戶端，其對于采用Linux的嵌入系統(tǒng)設(shè)備有很好的可移植性，并已經(jīng)與主要國產(chǎn)PLC和打印機廠商做了初步的探索，取得初步進展，突破可期；未來一旦實現(xiàn)了PLC和打印機的嵌入認證，工控系統(tǒng)核心區(qū)的全部系統(tǒng)組件即可基于內(nèi)嵌認證技術(shù)建立工業(yè)控制系統(tǒng)核心區(qū)自主可控認的證準入系統(tǒng)，并可期望取得技術(shù)上的優(yōu)勢，這對于建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全第二道防線，有效抵御網(wǎng)絡(luò)攻擊和威脅具有重要意義。

參考文獻

[1] GB/T 22239-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[S].2018.

作者信息:

劉建兵

(北京北信源軟件股份有限公司，北京100044)