文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.191208
中文引用格式: 劉建兵. 基于非對(duì)稱算法的工控核心區(qū)內(nèi)嵌認(rèn)證技術(shù)[J].電子技術(shù)應(yīng)用,2019,45(12):10-15.
英文引用格式: Liu Jianbing. Embedded authentication technology for industrial control core area based on asymmetric algorithm[J]. Application of Electronic Technique,2019,45(12):10-15.
0 引言
工業(yè)控制系統(tǒng)安全是國(guó)家網(wǎng)絡(luò)安全的重要組成部分,等保2.0將工業(yè)控制系統(tǒng)安全納入標(biāo)準(zhǔn)體現(xiàn)了國(guó)家保護(hù)工業(yè)控制系統(tǒng)安全的政策要求。工業(yè)控制系統(tǒng)也是關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ),探索工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的新方法,對(duì)于提高關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力和網(wǎng)絡(luò)安全,應(yīng)對(duì)網(wǎng)絡(luò)安全威脅有積極意義。
1 工業(yè)控制系統(tǒng)安全防護(hù)新方法
業(yè)界流行的工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)和方案主要在外圍(過(guò)程監(jiān)控層以上)進(jìn)行,工業(yè)控制系統(tǒng)核心區(qū)(圖1中粗黑框部分:現(xiàn)場(chǎng)控制層+過(guò)程監(jiān)控層)的防護(hù)仍然十分薄弱,甚至一片空白。通過(guò)在工業(yè)控制系統(tǒng)核心區(qū)交換機(jī)上強(qiáng)化安全功能,建立工業(yè)控制系統(tǒng)核心區(qū)的邊界準(zhǔn)入系統(tǒng),是工控系統(tǒng)安全防護(hù)的新方法,該方法基于標(biāo)準(zhǔn)工業(yè)交換機(jī),在不影響其基本通信功能的前提下,對(duì)接入交換機(jī)的計(jì)算機(jī)設(shè)備進(jìn)行認(rèn)證。結(jié)合交換機(jī)技術(shù),保證通過(guò)認(rèn)證的合法計(jì)算機(jī)數(shù)據(jù)包可以通過(guò)交換機(jī)轉(zhuǎn)發(fā),未通過(guò)認(rèn)證的計(jì)算機(jī)交換機(jī)拒絕轉(zhuǎn)發(fā),在工業(yè)控制系統(tǒng)核心區(qū)建立最后防線以保護(hù)核心區(qū)安全?;诮粨Q機(jī)的訪問(wèn)控制能力,依據(jù)核心區(qū)業(yè)務(wù)和設(shè)備的通信關(guān)系建立核心區(qū)訪問(wèn)控制策略,禁止正常業(yè)務(wù)以外數(shù)據(jù)通信。
圖1摘自最新發(fā)布的GB/T 22239-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》[1]附錄G,其中的現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層是工業(yè)控制系統(tǒng)中與生產(chǎn)過(guò)程控制直接相關(guān)的區(qū)域,該區(qū)域功能正常仍能夠保證基本的生產(chǎn)能力,即使外圍區(qū)域遭遇網(wǎng)絡(luò)攻擊而失能,核心區(qū)域仍能維持業(yè)已設(shè)定的生產(chǎn)控制邏輯正常執(zhí)行,因此工業(yè)控制系統(tǒng)核心區(qū)的安全才是工業(yè)控制系統(tǒng)安全的核心,只有核心區(qū)得到了有效的保護(hù),才能保證工業(yè)控制系統(tǒng)的安全。
2 內(nèi)嵌認(rèn)證技術(shù)和安全交換機(jī)
內(nèi)嵌認(rèn)證(Embedded Authenitication,EA)是建構(gòu)在網(wǎng)絡(luò)接入層的新型認(rèn)證體系,內(nèi)嵌在每一個(gè)接入交換機(jī)內(nèi)部的內(nèi)嵌認(rèn)證服務(wù)(Embedded Authenitication Server,EAS)通過(guò)認(rèn)證數(shù)據(jù)同步協(xié)議(Authenitication Data Synchronization Protocol,ADSP)協(xié)同工作,每個(gè)接入交換機(jī)與接入終端通過(guò)接入認(rèn)證協(xié)議AAP完成接入認(rèn)證過(guò)程,實(shí)現(xiàn)網(wǎng)絡(luò)邊界的準(zhǔn)入控制。這兩個(gè)協(xié)議不是本文重點(diǎn),詳情略過(guò)。內(nèi)嵌認(rèn)證是安全交換機(jī)的重要功能,是實(shí)現(xiàn)工控系統(tǒng)核心區(qū)安全認(rèn)證和準(zhǔn)入的基礎(chǔ),也是安全交換機(jī)區(qū)別于普通交換機(jī)的主要特征。
內(nèi)嵌認(rèn)證包括嵌入認(rèn)證和網(wǎng)絡(luò)準(zhǔn)入控制兩個(gè)相關(guān)聯(lián)的子功能,嵌入認(rèn)證EA是指內(nèi)嵌在接入交換機(jī)的身份認(rèn)證服務(wù),網(wǎng)絡(luò)準(zhǔn)入控制(Network Access Service,NAS)是對(duì)接入網(wǎng)絡(luò)對(duì)象的入網(wǎng)控制。內(nèi)嵌認(rèn)證是將認(rèn)證服務(wù)內(nèi)嵌在交換機(jī)中實(shí)現(xiàn)的,通過(guò)內(nèi)嵌認(rèn)證將單純執(zhí)行通信任務(wù)的網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)橥ㄐ虐踩δ芤惑w化設(shè)備,并在網(wǎng)絡(luò)邊緣分布認(rèn)證服務(wù)。
內(nèi)嵌認(rèn)證系統(tǒng)和傳統(tǒng)認(rèn)證系統(tǒng)有很大的區(qū)別,如圖2所示,左邊是傳統(tǒng)認(rèn)證系統(tǒng)架構(gòu),右邊是嵌入認(rèn)證系統(tǒng)架構(gòu)。首先,傳統(tǒng)的認(rèn)證系統(tǒng)是縱向的架構(gòu),由中心化的認(rèn)證服務(wù)端Radius Server和認(rèn)證客戶端組成,在傳統(tǒng)認(rèn)證系統(tǒng)中,網(wǎng)絡(luò)僅僅是通道,并不是認(rèn)證系統(tǒng)的功能要素;內(nèi)嵌認(rèn)證系統(tǒng)是基于網(wǎng)絡(luò)邊界的橫向架構(gòu),由多個(gè)平行部署的認(rèn)證服務(wù)端EAS和認(rèn)證客戶端組成,并且每個(gè)EAS是內(nèi)嵌在接入交換機(jī)內(nèi)部的,使網(wǎng)絡(luò)接入設(shè)備成為認(rèn)證系統(tǒng)的不可或缺要素。其次,認(rèn)證過(guò)程不同,傳統(tǒng)認(rèn)證系統(tǒng)可以認(rèn)為是一種網(wǎng)絡(luò)服務(wù),是否認(rèn)證是由應(yīng)用決定的,接入設(shè)備在特定應(yīng)用之前,不經(jīng)認(rèn)證可以先行接入網(wǎng)絡(luò),在應(yīng)用需要時(shí),才由客戶端發(fā)起認(rèn)證,認(rèn)證終結(jié)在網(wǎng)絡(luò)內(nèi)部的認(rèn)證服務(wù)器,即認(rèn)證與網(wǎng)絡(luò)無(wú)關(guān)(除802.1x);嵌入認(rèn)證系統(tǒng)是和網(wǎng)絡(luò)接入相關(guān)的認(rèn)證,不是可選的網(wǎng)絡(luò)應(yīng)用服務(wù),其認(rèn)證是強(qiáng)制性的,在終端接入網(wǎng)絡(luò)時(shí)即認(rèn)證,先認(rèn)證后入網(wǎng)是內(nèi)嵌認(rèn)證的主要特征之一;認(rèn)證是由網(wǎng)絡(luò)接入交換機(jī)發(fā)起的,終結(jié)在交換機(jī)內(nèi)部的EAS上;第三,傳統(tǒng)認(rèn)證技術(shù)采用的認(rèn)證標(biāo)識(shí)、認(rèn)證協(xié)議和算法都是國(guó)外標(biāo)準(zhǔn),嵌入認(rèn)證技術(shù)采用獨(dú)立設(shè)計(jì)的認(rèn)證標(biāo)識(shí)和認(rèn)證協(xié)議,基于非對(duì)稱算法,特別是可以基于國(guó)密算法SM2實(shí)現(xiàn);第四,傳統(tǒng)認(rèn)證技術(shù)主要是基于PKI體系,使用X.509標(biāo)準(zhǔn)的數(shù)字證書和SM2/RSA算法,嵌入認(rèn)證技術(shù)主要采用密鑰對(duì),不依賴證書,不僅可以支持PKI公鑰體制,使用X.509格式數(shù)字證書,還可以支持無(wú)證書的IPK體制。
從形式上來(lái)看,內(nèi)嵌認(rèn)證和802.1x認(rèn)證技術(shù)有類似的地方,主要是都在接入交換機(jī)上控制終端的入網(wǎng),但又有很大的不同,前者在架構(gòu)上仍屬傳統(tǒng)架構(gòu),使用中心化的Radius Server,后者使用分布化的EAS;前者在Radius Server與客戶端之間通過(guò)EAP協(xié)議完成認(rèn)證過(guò)程,后者使用AAP協(xié)議。
3 基于國(guó)密算法SM2的內(nèi)嵌認(rèn)證技術(shù)實(shí)現(xiàn)
內(nèi)嵌認(rèn)證技術(shù)可以基于多種非對(duì)稱算法實(shí)現(xiàn),為了便于描述內(nèi)嵌認(rèn)證技術(shù)的主要流程和關(guān)鍵,僅以國(guó)密SM2算法和標(biāo)識(shí)秘鑰(Identity-Key,IPK)秘鑰體系實(shí)現(xiàn)為例具體敘述內(nèi)嵌認(rèn)證的實(shí)現(xiàn)。
3.1 內(nèi)嵌認(rèn)證總體流程
基于非對(duì)稱算法的內(nèi)嵌認(rèn)證技術(shù),實(shí)現(xiàn)了工控系統(tǒng)核心區(qū)的終端認(rèn)證接入。終端(即認(rèn)證客戶端)和內(nèi)嵌認(rèn)證交換機(jī)通過(guò)接入認(rèn)證協(xié)議AAP,利用國(guó)密SM2算法,進(jìn)行認(rèn)證報(bào)文加解密交互實(shí)現(xiàn)終端認(rèn)證準(zhǔn)入,具體見圖3。
終端在交換機(jī)上認(rèn)證總體過(guò)程如下:
(1)交換機(jī)端EAS保存了合法用戶公鑰(Public Key,PBK),當(dāng)終端接入邊界交換機(jī)時(shí),其mac地址被交換機(jī)發(fā)現(xiàn),交換機(jī)端EAS即發(fā)起認(rèn)證挑戰(zhàn),根據(jù)mac地址在本地公鑰庫(kù)中查詢到對(duì)應(yīng)的PBK;
(2)交換機(jī)端EAS未找到mac對(duì)應(yīng)的PBK,不進(jìn)行認(rèn)證直接進(jìn)入等待Hold超時(shí)狀態(tài);找到mac對(duì)應(yīng)的PBK,進(jìn)入下一步認(rèn)證工作;
(3)交換機(jī)端EAS與認(rèn)證客戶端進(jìn)行報(bào)文交互認(rèn)證(包括EAS的認(rèn)證挑戰(zhàn)報(bào)文、客戶端的挑戰(zhàn)響應(yīng)報(bào)文等);
(4)交換機(jī)端EAS對(duì)終端認(rèn)證不成功,進(jìn)入等待Hold超時(shí)狀態(tài);認(rèn)證成功則打開通路,允許終端接入網(wǎng)絡(luò)進(jìn)行通信;
(5)首次認(rèn)證通過(guò)后,ESA設(shè)置周期認(rèn)證定時(shí),按設(shè)定周期向客戶端發(fā)起認(rèn)證挑戰(zhàn)(認(rèn)證過(guò)程和首次認(rèn)證相同),如果認(rèn)證成功,則EAS保持通路打開狀態(tài),如果認(rèn)證失敗,則關(guān)閉通路,進(jìn)入Hold超時(shí)狀態(tài)。
3.2 交換機(jī)端內(nèi)嵌認(rèn)證服務(wù)實(shí)現(xiàn)
接入認(rèn)證協(xié)議(Access Authenitication Protocol,AAP)是內(nèi)嵌認(rèn)證中實(shí)現(xiàn)接入對(duì)象到交換機(jī)認(rèn)證準(zhǔn)入的數(shù)據(jù)和通信規(guī)程。公鑰體制PKI/IPK和國(guó)密算法SM2是實(shí)現(xiàn)AAP協(xié)議的關(guān)鍵,圖4展示了EAS實(shí)現(xiàn)的主要認(rèn)證過(guò)程,描述了SM2算法在其中的使用方法和作用。EA技術(shù)在密鑰分發(fā)完成的前提下,EAS端保存了合法客戶端的公鑰PBK,私鑰(Private Key,PRK)在客戶端保存。
交換機(jī)端認(rèn)證過(guò)程:交換機(jī)端EAS使用根據(jù)mac地址檢索到的PBK對(duì)一個(gè)1 024 bit的隨機(jī)數(shù)進(jìn)行SM2加密,后將生成密文發(fā)送給mac地址對(duì)應(yīng)的客戶端主機(jī),該隨機(jī)數(shù)的MD5值與mac對(duì)應(yīng)保存在指紋緩存中,等待客戶端主機(jī)的回應(yīng)。
一旦接收到主機(jī)的挑戰(zhàn)響應(yīng),EAS取出數(shù)據(jù)包載荷數(shù)據(jù),將其MD5值與指紋緩存中mac對(duì)應(yīng)的指紋比對(duì),如果相同,則認(rèn)證成功,隨即打開交換通路,交換機(jī)開始轉(zhuǎn)發(fā)該主機(jī)數(shù)據(jù)包,完成網(wǎng)絡(luò)接入,如果不同或者接收不到回應(yīng),交換通路一直處于關(guān)閉狀態(tài),交換機(jī)丟棄該主機(jī)所有數(shù)據(jù)包,拒絕接入網(wǎng)絡(luò)。
首次認(rèn)證通過(guò)后,EAS進(jìn)入對(duì)客戶端的周期認(rèn)證,認(rèn)證流程和首次認(rèn)證過(guò)程類似,不再贅述。所不同的是,在周期認(rèn)證失敗或客戶端離線后,EAS會(huì)關(guān)閉該接入主機(jī)的交換通道,并進(jìn)入下一次認(rèn)證的準(zhǔn)備狀態(tài)。
3.3 客戶端認(rèn)證實(shí)現(xiàn)
客戶端認(rèn)證過(guò)程是:主機(jī)客戶端監(jiān)聽網(wǎng)絡(luò)二層數(shù)據(jù)包,當(dāng)收到發(fā)給本機(jī)的認(rèn)證挑戰(zhàn)數(shù)據(jù)包后,取出數(shù)據(jù)包載荷并用本機(jī)私鑰PRK調(diào)用SM2解密函數(shù)解密數(shù)據(jù),然后把數(shù)據(jù)用二層數(shù)據(jù)包發(fā)回EAS。圖5展示了客戶端軟件的主要認(rèn)證流程。
3.4 PKI/IPK下的密鑰管理差異
從上述實(shí)現(xiàn)過(guò)程中可以發(fā)現(xiàn),嵌入認(rèn)證對(duì)SM2算法的使用與一般的加密過(guò)程不同,一般的加密過(guò)程是使用非對(duì)稱密鑰協(xié)商并加密對(duì)稱密鑰,再使用對(duì)稱密鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密傳輸和解密;內(nèi)嵌認(rèn)證直接使用非對(duì)稱密鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加解密,即公鑰加密,私鑰解密,簡(jiǎn)化了加解密過(guò)程,一次交互即可完成認(rèn)證數(shù)據(jù)傳輸,降低交換機(jī)端計(jì)算資源消耗,提高通信和認(rèn)證效率。該方式采用256 bit密鑰長(zhǎng)度,認(rèn)證數(shù)據(jù)長(zhǎng)度設(shè)計(jì)為1 024 bit,十分適合SM2算法對(duì)分組數(shù)據(jù)的處理。認(rèn)證數(shù)據(jù)采用隨機(jī)數(shù),每次認(rèn)證過(guò)程的內(nèi)容均不同,認(rèn)證數(shù)據(jù)有效時(shí)間僅為一個(gè)認(rèn)證周期(認(rèn)證周期設(shè)定為10 s),從效果上看就是一次一密,攻擊窗口時(shí)間很短,提高了抗攻擊強(qiáng)度。
PKI密碼體制下,數(shù)字證書是公鑰的載體,EAS端需要導(dǎo)入和管理接入端的數(shù)字證書,認(rèn)證過(guò)程中EAS直接使用公鑰完成認(rèn)證數(shù)據(jù)的加密。
IPK密鑰體制下,公私鑰對(duì)不依賴于數(shù)字證書,公鑰是依據(jù)組合標(biāo)識(shí)(Combinnation Identification,CID)和公鑰種子(Public Key Seed,PKS)計(jì)算得出的,因此EAS端管理的不是公鑰,而是客戶端的組合標(biāo)識(shí)CID。
4 工控核心區(qū)內(nèi)嵌認(rèn)證準(zhǔn)入的仿真驗(yàn)證
4.1 仿真驗(yàn)證環(huán)境建立
典型工控系統(tǒng)核心區(qū)由工業(yè)交換機(jī)、上位機(jī)、下位機(jī)、服務(wù)器、打印機(jī)等組成,其中上位機(jī)、下位機(jī)和服務(wù)器屬于通用計(jì)算機(jī),運(yùn)行通用操作系統(tǒng),主要是Windows和Linux。仿真驗(yàn)證環(huán)境針對(duì)工控系統(tǒng)核心區(qū)網(wǎng)絡(luò)環(huán)境構(gòu)建,以安全交換機(jī)模擬標(biāo)準(zhǔn)網(wǎng)絡(luò)交換機(jī),以PC模擬工程師站、操作站和服務(wù)器等通用主機(jī)。
仿真驗(yàn)證環(huán)境由3臺(tái)安全交換機(jī)和3臺(tái)PC組成,采用3臺(tái)VRV 6211安全交換機(jī)組成核心區(qū)網(wǎng)絡(luò)仿真環(huán)境,3臺(tái)PC安裝Windows操作系統(tǒng)和內(nèi)嵌認(rèn)證客戶端軟件,驗(yàn)證終端在內(nèi)嵌認(rèn)證交換機(jī)上的認(rèn)證準(zhǔn)入實(shí)現(xiàn),具體仿真驗(yàn)證環(huán)境見圖6。
4.2 認(rèn)證功能驗(yàn)證
驗(yàn)證步驟如下:
(1)按圖6連接設(shè)備,PC1、PC2、PC3未安裝認(rèn)證客戶端軟件,使用ping命令驗(yàn)證連通性;
(2)PC1、PC2、PC3安裝認(rèn)證客戶端軟件,使用ping命令驗(yàn)證連通性;
(3)在PC1的認(rèn)證客戶端上導(dǎo)入私鑰,使用ping命令驗(yàn)證連通性;
(4)在PC2的認(rèn)證客戶端上導(dǎo)入私鑰,使用ping命令驗(yàn)證連通性;
(5)在PC3的認(rèn)證客戶端上導(dǎo)入私鑰,使用ping命令驗(yàn)證連通性;
(6)在SW1上逐個(gè)刪除PC1、PC2、PC3的公鑰(CID),使用ping命令驗(yàn)證連通性。
驗(yàn)證結(jié)果如下:
(1)按步驟(1)測(cè)試,PC1、PC2和PC3相互之間不能ping通,三臺(tái)PC都不能ping通三臺(tái)交換機(jī)設(shè)備的IP地址;
(2)按步驟(2)測(cè)試,PC1、PC2和PC3相互之間不能ping通,三臺(tái)PC都不能ping通三臺(tái)交換機(jī)設(shè)備的IP地址;
(3)按步驟(3)測(cè)試,PC1在導(dǎo)入匹配的私鑰后,能夠ping通三臺(tái)交換機(jī)的IP地址;
(4)按步驟(4)測(cè)試,PC2在導(dǎo)入匹配的私鑰后,能夠ping通三臺(tái)交換機(jī)的IP地址,并能ping通PC1;
(5)按步驟(5)測(cè)試,PC3在導(dǎo)入匹配的私鑰后,能夠ping通三臺(tái)交換機(jī)的IP地址,并能ping通PC1和PC2;
(6)按步驟(6)測(cè)試,在SW1上刪除PC1的CID大約10 s后,PC1到其他兩臺(tái)PC和所有交換機(jī)的ping命令全部超時(shí),繼續(xù)刪除PC2和PC3的CID,結(jié)果與PC1相同。
4.3 認(rèn)證速度測(cè)試
驗(yàn)證步驟如下:
(1)按照驗(yàn)證環(huán)境連接設(shè)備,所有PC安裝認(rèn)證客戶端并導(dǎo)入各自匹配的私鑰,SW1上導(dǎo)入三臺(tái)PC的CID;
(2)配置SW2,將PC2連接的端口流量鏡像至PC3與SW3連接的端口,保證抓包工具wireshark(V 3.0.0)抓獲PC3的流量;
(3)斷開PC2與SW2的連接后,至少30 s后再恢復(fù)連接,重復(fù)進(jìn)行10次,每次嘗試PC2登錄SW2,看是否登錄成功;
(4)保持PC2與SW2的連接,用抓包工具wireshark(V3.0.0)持續(xù)抓包200 s。
驗(yàn)證結(jié)果如下:
(1)按步驟(1)準(zhǔn)備環(huán)境,PC2能ping通所有交換機(jī)和PC3;
(2)按步驟(2)配置交換機(jī)端口鏡像,并在PC3的wireshark上能抓到來(lái)自PC2的數(shù)據(jù)流量;
(3)按步驟(3)測(cè)試,在PC2登錄SW2后拔下PC2的網(wǎng)線,至少30 s以后再插上網(wǎng)線,用wireshark抓取首次認(rèn)證數(shù)據(jù)包,包特征為eth.type=0x876d,如此重復(fù)至少10次,每次抓獲的數(shù)據(jù)包記錄在表1中;
(4)按步驟(4)測(cè)試,在PC2首次認(rèn)證成功、網(wǎng)絡(luò)連通的情況下,用wireshark連續(xù)抓取數(shù)據(jù)包,持續(xù)200 s左右,包特征為eth.type=0x876d,抓包數(shù)據(jù)的時(shí)間數(shù)據(jù)記錄在表1;
(5)數(shù)據(jù)處理,首次認(rèn)證耗時(shí)為交換機(jī)SW2發(fā)出首個(gè)在線查詢包時(shí)間與收到認(rèn)證挑戰(zhàn)回應(yīng)時(shí)間的差值,T=Q-R,單位s,保留6位有效數(shù)字;周期認(rèn)證耗時(shí)為交換機(jī)SW2發(fā)出認(rèn)證挑戰(zhàn)時(shí)間與收到挑戰(zhàn)回應(yīng)時(shí)間的差值,T=C-R,單位s,保留6位有效數(shù)字。
4.4 認(rèn)證抗仿冒驗(yàn)證
驗(yàn)證步驟如下:
(1)按照驗(yàn)證環(huán)境連接設(shè)備;
(2)確認(rèn)PC1、PC2、PC3已經(jīng)通過(guò)認(rèn)證,網(wǎng)絡(luò)連通正常;
(3)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址,測(cè)試PC3網(wǎng)絡(luò)連通性;
(4)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址,PC3的客戶端導(dǎo)入PC2的私鑰替代PC3的私鑰,測(cè)試PC3的網(wǎng)絡(luò)連通性;
(5)將PC2的硬盤克隆到PC3本地,并在PC3上通過(guò)工具修改網(wǎng)卡地址為PC2的網(wǎng)卡地址,查看PC3網(wǎng)絡(luò)連通性。
驗(yàn)證結(jié)果如下:
(1)驗(yàn)證步驟(2)中,每臺(tái)PC分別ping其他兩臺(tái)PC和三臺(tái)交換機(jī),確認(rèn)三臺(tái)PC已通過(guò)認(rèn)證,網(wǎng)絡(luò)通信正常;
(2)驗(yàn)證步驟(3)中,在PC3上修改操作系統(tǒng)mac地址,PC3對(duì)其他網(wǎng)元的ping測(cè)試全部超時(shí),不能ping通直連的交換機(jī)SW3,PC3的接入認(rèn)證失?。?/p>
(3)驗(yàn)證步驟(4)中,繼步驟(3)后,在PC3上導(dǎo)入PC2的私鑰,PC3對(duì)其他網(wǎng)元的ping測(cè)試仍然超時(shí),對(duì)直連交換機(jī)SW3的ping測(cè)試依然超時(shí),認(rèn)證不能通過(guò),PC2除了對(duì)PC3的ping測(cè)試超時(shí)外,對(duì)其他網(wǎng)元的ping響應(yīng)正常,PC2認(rèn)證未受影響;重啟PC3后重復(fù)上述測(cè)試,結(jié)果相同;
(4)驗(yàn)證步驟(5)中,克隆硬盤安裝到PC3啟動(dòng)后,修改操作系統(tǒng)為PC2的mac地址,PC3對(duì)其他網(wǎng)元的ping測(cè)試全部超時(shí),包括直連的交換機(jī)SW3,認(rèn)證失敗。
4.5 驗(yàn)證結(jié)論
通過(guò)對(duì)工控系統(tǒng)核心區(qū)典型網(wǎng)絡(luò)環(huán)境下通用計(jì)算機(jī)認(rèn)證功能的驗(yàn)證,得出如下結(jié)論:
(1)內(nèi)嵌認(rèn)證功能對(duì)符合內(nèi)嵌認(rèn)證條件的合規(guī)交換機(jī)接入網(wǎng)絡(luò)實(shí)現(xiàn)了認(rèn)證和準(zhǔn)入,認(rèn)證功能確定,準(zhǔn)入功能有效;
(2)認(rèn)證速度:計(jì)算機(jī)首次接入網(wǎng)絡(luò)的認(rèn)證時(shí)間為2.79 s、周期認(rèn)證時(shí)間為0.52 s(精確到1% s);
(3)可以抵抗常見的仿冒手段,mac地址仿冒、私鑰盜用、硬盤克隆不能突破內(nèi)嵌認(rèn)證的認(rèn)證和準(zhǔn)入。
5 結(jié)論
內(nèi)嵌認(rèn)證作為采用非對(duì)稱算法的新型認(rèn)證準(zhǔn)入技術(shù),對(duì)提高網(wǎng)絡(luò)安全能力具有現(xiàn)實(shí)意義。作為一項(xiàng)新技術(shù)還有待進(jìn)一步發(fā)展和完善,目前的內(nèi)嵌認(rèn)證系統(tǒng)主要是對(duì)計(jì)算機(jī)類接入設(shè)備實(shí)現(xiàn)了強(qiáng)認(rèn)證,非計(jì)算機(jī)類設(shè)備采用的依然是mac認(rèn)證、mac/ip端口綁定等認(rèn)證方式。后者采用的技術(shù)從認(rèn)證的角度來(lái)看,可以說(shuō)都是非可靠認(rèn)證技術(shù),有明顯的可仿冒漏洞,mac/ip的假冒可以輕易騙過(guò)認(rèn)證系統(tǒng),這是需要繼續(xù)解決的問(wèn)題。筆者認(rèn)為,嵌入認(rèn)證技術(shù)未來(lái)的方向,是將認(rèn)證客戶端植入非計(jì)算機(jī)接入設(shè)備內(nèi)部,使非計(jì)算機(jī)設(shè)備也能夠采用和計(jì)算機(jī)設(shè)備同類的基于非對(duì)稱算法的強(qiáng)認(rèn)證。
嵌入式系統(tǒng)設(shè)備尚無(wú)非對(duì)稱算法支撐,是阻礙其實(shí)現(xiàn)嵌入認(rèn)證的主要障礙,如能將非對(duì)稱算法植入嵌入系統(tǒng)作為基礎(chǔ)功能,將為嵌入認(rèn)證在嵌入式設(shè)備上的實(shí)現(xiàn)鋪平道路,可喜的是國(guó)內(nèi)已經(jīng)有先鋒廠商將密碼芯片植入嵌入系統(tǒng),這將極大地提高嵌入系統(tǒng)實(shí)現(xiàn)內(nèi)嵌認(rèn)證的能力。嵌入認(rèn)證目前已經(jīng)實(shí)現(xiàn)了Linux系統(tǒng)下的嵌入認(rèn)證客戶端,其對(duì)于采用Linux的嵌入系統(tǒng)設(shè)備有很好的可移植性,并已經(jīng)與主要國(guó)產(chǎn)PLC和打印機(jī)廠商做了初步的探索,取得初步進(jìn)展,突破可期;未來(lái)一旦實(shí)現(xiàn)了PLC和打印機(jī)的嵌入認(rèn)證,工控系統(tǒng)核心區(qū)的全部系統(tǒng)組件即可基于內(nèi)嵌認(rèn)證技術(shù)建立工業(yè)控制系統(tǒng)核心區(qū)自主可控認(rèn)的證準(zhǔn)入系統(tǒng),并可期望取得技術(shù)上的優(yōu)勢(shì),這對(duì)于建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全第二道防線,有效抵御網(wǎng)絡(luò)攻擊和威脅具有重要意義。
參考文獻(xiàn)
[1] GB/T 22239-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].2018.
作者信息:
劉建兵
(北京北信源軟件股份有限公司,北京100044)