隨著信息安全建設(shè)的不斷加強(qiáng)以及外部信息安全威脅的日趨嚴(yán)峻，我國正在加快推進(jìn)信息安全領(lǐng)域相關(guān)法律法規(guī)的制定工作，并在關(guān)鍵領(lǐng)域積極推動國產(chǎn)技術(shù)與標(biāo)準(zhǔn)的替代，以實(shí)現(xiàn)信息安全的自主可控和高效防護(hù)。我國于 2020 年 1 月實(shí)施的《中華人民共和國密碼法》對密碼的應(yīng)用和管理進(jìn)行了規(guī)范，明確規(guī)定對國民經(jīng)濟(jì)發(fā)展和社會生活的關(guān)鍵信息應(yīng)采用國密商用密碼進(jìn)行保護(hù)，部分工業(yè)網(wǎng)絡(luò)通信也包含其中。2024 年 1 月 19 日，《工業(yè)和信息化部關(guān)于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南的通知》（工信部網(wǎng)安〔2024〕14 號）提出，在工業(yè)控制系統(tǒng)中使用加密協(xié)議和算法時應(yīng)符合相關(guān)法律法規(guī)的要求，鼓勵優(yōu)先采用商用密碼，以實(shí)現(xiàn)加密網(wǎng)絡(luò)通信、設(shè)備身份認(rèn)證和數(shù)據(jù)安全傳輸。本文將重點(diǎn)介紹商用密碼、認(rèn)證協(xié)議、硬件加密、工控融合等方面。

IPSec VPN 技術(shù)是一種基于密碼學(xué)的網(wǎng)絡(luò)安全技術(shù)，它通過 IPSec 協(xié)議在公共網(wǎng)絡(luò)上構(gòu)建安全的專用網(wǎng)絡(luò)連接。國密 IPSec VPN 主要采用國家密碼管理局發(fā)布的國密 SM1、SM2、SM3、SM4 算法來進(jìn)行數(shù)據(jù)加密和保護(hù)。與傳統(tǒng)的 IPSec VPN 相比，國密 IPSec VPN 在網(wǎng)絡(luò)通信的機(jī)密性、完整性和真實(shí)性方面都有明顯的提升，能確保數(shù)據(jù)在傳輸過程中不會被竊取或篡改。硬件芯片加密技術(shù)則是利用專用硬件的加密方法，將加密算法直接集成到芯片中，從而實(shí)現(xiàn)了更高效、更安全的加密功能。與傳統(tǒng)的軟件加密相比，硬件芯片加密技術(shù)具有更快的加密速度、更低的能耗以及更高的安全性。

博智安全將國密算法與芯片加密技術(shù)深度融合，緊密遵循國家商用密碼技術(shù)的要求，推出了基于芯片加密技術(shù)的國密 IPSec VPN 工業(yè)安全網(wǎng)關(guān)產(chǎn)品。這款產(chǎn)品為工業(yè)互聯(lián)網(wǎng)提供了更為先進(jìn)、安全的網(wǎng)絡(luò)安全解決方案。

國密加密算法

國密加密算法是由我國自主研發(fā)設(shè)計，經(jīng)過國家密碼管理局認(rèn)定的國產(chǎn)密碼算法，也就是商用密碼。國密算法包括SM1、SM2、SM3、SM4等。其中，SM1是對稱加密算法，算法不公開，用于對敏感信息進(jìn)行加密和解密；SM2是基于橢圓曲線密碼學(xué)的公鑰密碼算法，可用于數(shù)字簽名和身份認(rèn)證等；SM3是密碼散列函數(shù)算法，主要用于數(shù)字簽名及驗(yàn)證、消息認(rèn)證碼生成及驗(yàn)證等場景；SM4是分組密碼算法，主要用于對大量數(shù)據(jù)進(jìn)行加密和解密，具有加密速度快，資源消耗低等優(yōu)點(diǎn)。國密算法在安全性、自主可控性和適應(yīng)我國國情等方面具有明顯優(yōu)勢，是我國信息安全領(lǐng)域的重要支撐。國密算法優(yōu)勢如下：

安全性高：采用獨(dú)特的數(shù)學(xué)原理和設(shè)計思路，經(jīng)過嚴(yán)格的安全性評估和密碼學(xué)專家的審查，能夠有效抵抗各種密碼攻擊，保護(hù)數(shù)據(jù)安全性和完整性。

自主可控：由中國自主研發(fā)，不依賴于國外的算法標(biāo)準(zhǔn)和技術(shù)，有助于保護(hù)國家信息安全和數(shù)據(jù)主權(quán)。

高效性：在硬件和軟件實(shí)現(xiàn)上進(jìn)行了優(yōu)化，具有較高的加密和解密速度，適用于大規(guī)模數(shù)據(jù)和高性能計算場景。

適應(yīng)性廣：涵蓋對稱加密、非對稱加密、散列函數(shù)和數(shù)字簽名等多個密碼學(xué)領(lǐng)域，可以滿足各種安全需求。

國密IPSec VPN

國密IPSec VPN協(xié)議與標(biāo)準(zhǔn)的IPSec VPN協(xié)議之間存在著顯著的區(qū)別。為了增強(qiáng)IPSec VPN協(xié)議的安全防護(hù)能力和國內(nèi)自主創(chuàng)新能力，我國制定了國標(biāo)GM-T 0022《IPSec VPN 技術(shù)規(guī)范》和GM-T 0023《IPSec VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》。這兩份規(guī)范在遵循RFC標(biāo)準(zhǔn)的基礎(chǔ)上，進(jìn)行了深入的重新定義、細(xì)致修改和全面優(yōu)化。

國密規(guī)范中，特別引入了簽名證書與加密證書的國密雙證書認(rèn)證模式，這一模式不僅提升了認(rèn)證過程的復(fù)雜性和安全性，也增強(qiáng)了VPN通信的可靠性。同時，對IPSec協(xié)議的報文封裝、協(xié)商過程以及加密流程進(jìn)行了實(shí)質(zhì)性的改進(jìn)，確保數(shù)據(jù)傳輸過程中的每一個流程都更加安全可控。

在算法層面，國標(biāo)規(guī)范對加密算法進(jìn)行了精心設(shè)計，并融入了我國自主研發(fā)的國密算法。這些算法不僅具有更高的安全性能，而且更符合國內(nèi)的安全需求，進(jìn)一步提升了產(chǎn)品的安全性能。特別是在IPSec密鑰協(xié)商的第一階段，國密IPSec VPN協(xié)議摒棄了國際RFC標(biāo)準(zhǔn)的明文交換方式，采用了更為嚴(yán)格密文交換和復(fù)雜的密鑰生成機(jī)制。這一機(jī)制融合了多種國密算法，對協(xié)商報文進(jìn)行深度加密，使得通信內(nèi)容在傳輸過程中更難被竊取或篡改。接下來，簡要分析一下國密IPSec VPN協(xié)議的具體流程，以更好地理解其工作原理和安全特性。

國密IPSec VPN第一階段主模式：ISAKMP協(xié)商階段

在第一階段交換中,通信雙方建立了一個 ISAKMP SA。該 SA 是協(xié)商雙方為保護(hù)它們之間的通信而使用的共享策略和密鑰。用這個 SA 來保護(hù) IPSec SA 的協(xié)商過程。一個 ISAKMP SA 可以用于建立多個 IPSec SA。

國密IPSec VPN第二階段快速模式：IPSec SA協(xié)商階段

在第二階段交換中,通信雙方使用第一階段 ISAKMP SA 協(xié)商建立 IPSec SA,IPSec SA 是為保護(hù)它們之間的數(shù)據(jù)通信而使用的共亨策略和密鑰。

軟件加密：軟加密是通過服務(wù)器或路由器的CPU來執(zhí)行加密和解密操作。由于軟加密是依賴于CPU進(jìn)行加密操作，當(dāng)網(wǎng)絡(luò)流量較大時，可能會對CPU負(fù)載產(chǎn)生較大壓力，導(dǎo)致性能下降。安全性方面，軟加密的保護(hù)機(jī)制依賴于操作系統(tǒng)和軟件本身。若操作系統(tǒng)或軟件存在安全漏洞，可能會給攻擊者利用的機(jī)會。

芯片加密：硬件加密卡是一種專用的硬件設(shè)備，集成了專門的ASIC加密芯片，通過獨(dú)立的硬件加速實(shí)現(xiàn)加密算法。由于硬件加密卡專門為加密操作而設(shè)計，它在性能上通常比軟加密更強(qiáng)大和高效。在安全性方面，硬件加密卡通常還具備Ukey等物理安全措施來保護(hù)關(guān)鍵的加密密鑰和保護(hù)數(shù)據(jù)。特別適用于對性能要求較高以及對數(shù)據(jù)安全性要求較嚴(yán)格的場景。

“數(shù)據(jù)加密”+“深度解析”

博智工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關(guān)巧妙地將數(shù)據(jù)加密技術(shù)與深度解析技術(shù)完美融合，成功實(shí)現(xiàn)了對 IPSec VPN 隧道中加密的 Modbus、S7、IEC104、OPC 等多種工控協(xié)議內(nèi)部指令、寄存器和控制字等信息的深度檢查。這有效防止了工控協(xié)議數(shù)據(jù)被篡改、漏洞被攻擊以及非法操作的發(fā)生。此技術(shù)真正實(shí)現(xiàn)了工控數(shù)據(jù)加密遠(yuǎn)傳與工控數(shù)據(jù)深度解析的完整閉環(huán)解決方案，具有重要的意義。

防止數(shù)據(jù)篡改：IPSec VPN隧道加密確保工控數(shù)據(jù)的完整性，防止數(shù)據(jù)在傳輸過程中被篡改或偽造，保證工業(yè)生產(chǎn)過程的可靠和準(zhǔn)確。

防止漏洞攻擊：深度協(xié)議解析可以防范工控系統(tǒng)可能存在安全漏洞，避免攻擊者利用漏洞獲取敏感信息或?qū)LC，SCADA系統(tǒng)進(jìn)行惡意操作。

防止非法操作：深度協(xié)議解析可以檢測到工控協(xié)議中的非法操作或異常行為，可對未經(jīng)授權(quán)的設(shè)備接入、異常的控制指令等采取阻止操作，防止?jié)撛诘耐{。

安全網(wǎng)關(guān)功能

多場景適應(yīng)性：不僅支持 Site-to-Site 和 Edge-to-Edge 組網(wǎng)方式，還適配點(diǎn)到點(diǎn)和點(diǎn)到多點(diǎn)的應(yīng)用場景。此外，還能應(yīng)對靜態(tài) IP 地址、DHCP 動態(tài)地址、PPPOE 撥號等多種鏈路接入方式，從而可以滿足各種網(wǎng)絡(luò)架構(gòu)的需求。

強(qiáng)大的認(rèn)證加密：同時支持硬件加密、軟件加密、國密算法和標(biāo)密算法等多種認(rèn)證方式和加密算法，確保網(wǎng)絡(luò)通信的安全性。

靈活的配置選項(xiàng)：可以根據(jù)實(shí)際需求進(jìn)行保護(hù)子網(wǎng)劃分、反向路由注入、IKE 和 IPSec 協(xié)議的多種模式協(xié)商等靈活配置功能，滿足用戶的差異化設(shè)備對接需求。

完善的功能特性：具備工控協(xié)議深度解析、NAT-T穿越、PFS前向安全認(rèn)證、防報文重放攻擊、DPD對端鏈路狀態(tài)檢測、VPN 隧道狀態(tài)監(jiān)控等功能，全面提升網(wǎng)絡(luò)的可靠性和穩(wěn)定性。

結(jié)束語

在數(shù)字化融合與轉(zhuǎn)型的時代，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全面臨著嚴(yán)峻挑戰(zhàn)。我們深刻認(rèn)識到工業(yè)網(wǎng)絡(luò)安全對企業(yè)生產(chǎn)運(yùn)營的至關(guān)重要性。博智工業(yè)互聯(lián)網(wǎng)安全網(wǎng)關(guān)，作為一款基于芯片加密技術(shù)的國密工業(yè)安全網(wǎng)關(guān)產(chǎn)品，不僅嚴(yán)格遵循國家密碼管理局發(fā)布的國密規(guī)范，有力支撐了《工業(yè)和信息化部關(guān)于印發(fā)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南的通知》的要求，更為等保建設(shè)防護(hù)提供了堅實(shí)的數(shù)據(jù)安全保障，為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保駕護(hù)航，助力企業(yè)順利實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型目標(biāo)！