工业控制系统密码应用解决方案
一、概述
安软天地依托于多年的密码算法科研能力,拥有系列适用于工业控制系统密码产品,并且在工业控制系统密码应用、工业互联网安全领域拥有落地案例,下面以某单位工业控制系统信息安全防护项目为例对工业控制系统的密码应用方案进行说明。
某单位工业控制网络安全项目建设目标以安全可控的全国产化技术平台为依托,基于国产商用密码技术为基础,构建了XX工业控制系统密码支撑保障体系,并形成CA认证体系、密码资源管理体系两大密码应用体系,满足设备接入认证、通讯认证、静态数据保护、动态通讯数据加密等环节的信息安全保护需求,形成了一套完整的XX工业控制业务安全信任支撑体系。
二、技术方案
工业控制网络项目密码支撑在整个信息安全保障体系中的定位主要是基础支撑、基础设施、安全保护三个部分,如下图所示:
图 工业控制系统安全保障体系功能说明图
方案组成中的设备分为身份认证、密码资源管理两部分。
身份认证体系包括:
- CA证书认证服务器:负责用户、设备数字证书签发功能,部署在本部。
- 二级本地证书管理服务器:提供工控站本地设备证书目录存储及查询服务,以及设备证书安全分发、证书恢复等。内置PCIE加密卡。
- 证书认证代理软件:运行在环网设备终端本地,负责本地私钥保护存储、以及本地可信证书列表的更新管理。
密钥管理体系包括:
- 1) 密码资源管理服务器:对非对称、对称算法密钥进行管理。提供这对二级密管的密钥离线分发功能。内置PCIE加密卡。部署在本部。
- 2) 二级密钥管理服务器:对核电站本地密码资源进行管理,提供设备密码资源分发、密码恢复功能。内置PCIE加密卡。
- 3) 终端密码代理软件:运行在环网设备终端本地,提供非对称签名、验签算法、对称加解密算法服务。
三、方案特点
- 1) 去中心化的认证机制
- 2) 协议轻量化
- 3) 密码服务的紧耦合设计
- 4) 密码算法实现适用于多种系统环境
传统PKI信任体系是中心化的,通常由集中的认证设备提供身份认证信任服务,在工业互联网环境(例如工业环网),网络以及业务架构多采用分布式多冗余架构设计,集中的认证网关无法适用工业控制系统高可用性要求,因此要求采用去中心化认证的架构,认证过程不依赖于集中的认证中心。
计算终端的计算能力有限,算法宜轻量化,认证协议可采用公钥算法,通信加密协议采用轻量化算法。
在工业互联网环境,传统认证网关和货架式产品无法直接应用,工业控制系统需要在数据处理和通讯环节在代码层面对密码算法进行集成改造,保证密码算法使用的最优效率。
物联网、工业互联网的设备形态多样,通信协议多样化,环境多样化,需适应多种场景的创新性的、专用的密码技术、密码设备应对,对于方案供应商的底层密码研究及创新能力有较高要求。