近期,国家工业信息安全发展研究中心公布“信息技术应用创新安全优秀解决方案评选结果公示”,奥联《基于信创技术通信安全解决方案》凭借轻量级密码技术创新优势获信创安全优秀解决方案 。
本次方案征集由国家工业信息安全发展研究中心组织落实,信创工委会安全中心技术委员会提供技术支持及组织专家评审 。 经过材料征集、形式审查、专家评审、结果审议等环节,评选出34个信创安全优秀解决方案 。 本次评选旨在全面提升信创产业安全保障能力和服务水平,推进安全技术及解决方案的完善和升级,促进信创产业高质量发展 。
文章图片
基于信创技术通信安全解决方案
应用案例——工控系统通信安全
工控系统通信安全现状
随着工业信息化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时,也带来了工控系统的安全问题 。 近年来,工控安全事件频发,包括工控协议安全问题、国外设备隐藏的后门和未知漏洞、TCP/IP自身的安全问题、设备接入控制、用户权限控制的接入、网络安全边界防护等问题都亟待解决 。 密码技术作为信息安全的最关键防线,可以快速、经济的解决工控系统中身份认证及数据安全问题 。
身份认证存在弊端
在传统的身份认证方式中,普通的用户名和密码认证方式,无法避免弱口令、撞库攻击、字典攻击等问题 。
数据安全问题
工控系统数据本身存在机密性、完整性不够、不支持抗抵赖问题,由于数据本身未加密,传输及存储的数据易被窃取及篡改 。
其他安全风险
包括工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、用户权限控制的接入、网络安全边界防护以及内部非法人员 。
解决方案
基于轻量级密码算法的工业控制系统通信安全解决方案,采用轻量级密码算法SM9和基于国密优化的安全传输协议TLS,综合使用SM2/SM3/SM4算法,实现操作人员、设备、云端服务器彼此之间的身份认证,实现工业终端数据、云端服务器数据的加密传输及加密存储,并建设相应的工业信息安全密码支撑系统,从而全面为工控系统提供安全可靠的网络环境和数据加密服务的整体解决方案,满足工控系统的双向身份鉴别、精准权限控制、数据传输安全、控制指令防篡改和数据存储安全保护等安全需求 。
SM9标识密码算法以终端设备ID、用户手机号等一切唯一的标识作为公钥,无需数字证书,安全分发专属私钥 。 SM9标识密码算法与CHAP挑战应答机制结合,可以实现强的身份认证;基于国密优化的安全传输协议TLS实现传输通道加密;使用轻量级密码算法提供数据加解密、签名验签服务 。 真正做到以密码技术为核心,从根本上解决工业控制系统的通信安全问题 。
文章图片
方案拓扑图
方案主要构成
密钥基础设施
包括标识密码机和管理平台,提供SM3/SM4/SM9算法运算与密钥生成的功能 。 密码机为具备国密型号的专用硬件设备,管理平台为具备国密型号的专用密码管理软件系统 。 为安全接入平台、PLC控制器分发专属私钥 。
安全接入平台
基于国密优化的安全传输协议TLS和SM9算法开发的安全接入设备,提供强身份认证和安全接入服务 。 安全接入客户端与平台之间可以建立安全传输通道,之间传输的数据均经过加密保护,防止监听 。
安全接入平台支持旁路部署,无需改变现有的网络结构,操作人员没有任何附加操作,即可安全得管理PLC控制器 。
安全接入平台可实时查询在线的PLC控制器,监控设备状态、查看运行信息 。
安全接入客户端程序
集成在PLC控制器中,调取本地私钥,与安全接入平台进行SM9认证后,建立安全传输通道 。
安全功能
强身份认证
采用国密SM9算法,基于挑战/应答方式完成双向身份认证,有效应用在操作人员认证和设备之间身份认证中
加密传输
采用基于国密优化的安全传输协议TLS,该协议传输效率高、支持海量并发;并且因为使用了SM9算法实现双向认证,并且加密了密钥协商过程中的交换密钥,杜绝了中间人攻击等安全风险 。
精准权限控制与数据防篡改
支持工业互联网系统中通过IP、端口、服务、时间、标识等信息,基于角色对象对组、用户进行精准权限控制,实现控制指令和数据防篡改以及用户和设备操作的不可抵赖性
访问控制与授权
由于SM9算法中,标识即是公钥,即代表了用户、设备的身份,因此基于标识可以方便的实现访问控制,实现控制指令和数据防篡改以及用户和设备操作的不可抵赖性 。
数据安全保护
密钥基础设施提供SM3、SM4、SM9算法运算,调用即可实现数据本身的加密、签名,从根本上实现数据安全防护 。 即使数据被监听、窃取,因为数据加密,也不会导致泄密 。
方案优势
安全性:身份认证、数据传输、数据存储全方位安全保护,综合使用过密SM系列算法;
兼容性:SM9算法标识即是公钥,无需数字证书,硬件性能要求低,支持各类架构的芯片,如 MIPS、ARM、X86;
【系统|奥联“工控系统通讯安全”荣获信创安全优秀解决方案】高性能:标识密码算法相对于传统非对称算法在加解密、签名验签速率方面有明显提升;
扩展性:支持冗余、扩展、备份等功能,可实现无限扩展升级运营级的管理架构, 易于构建运营服务模式 。
方案拓展应用
由于标识密码技术轻管理、易加密等特点,再加上技术成熟、接口丰富,方案支持标识解析、闸控系统、智能家居、工业控制、车联网、智能电表、智能摄像头等多种工业互联网/物联网场景的拓展,助力新兴产业蓬勃发展 。
推荐阅读
- 快报|“他,是能成就导师的学生”
- 技术|“2”类医械有重大进展:神经介入产品井喷、基因测序弯道超车
- bug|这款小工具让你的Win10用上“Win11亚克力半透明菜单”
- 重大进展|“2”类医械有重大进展:神经介入产品井喷、基因测序弯道超车
- 历史|科普:詹姆斯·韦布空间望远镜——探索宇宙历史的“深空巨镜”
- 空间|(科技)科普:詹姆斯·韦布空间望远镜——探索宇宙历史的“深空巨镜”
- 精度|将建模速率提升10倍,消费级3D扫描仪Magic Swift在2021高交会大显“身手”
- 四平|智慧城市“奥斯卡”揭晓!祝贺柯桥客户荣获2021世界智慧城市治理大奖
- |南安市司法局“加减乘除” 打造最优法治营商环境
- ASUS|华硕预热ROG Flow Z13:称其是“全球最强悍的游戏平板”