隨著信息安全建設的不斷加強以及外部信息安全威脅的日趨嚴峻，我國正在加快推進信息安全領域相關法律法規的制定工作，并在關鍵領域積極推動國產技術與標準的替代，以實現信息安全的自主可控和高效防護。我國于 2020 年 1 月實施的《中華人民共和國密碼法》對密碼的應用和管理進行了規范，明確規定對國民經濟發展和社會生活的關鍵信息應采用國密商用密碼進行保護，部分工業網絡通信也包含其中。2024 年 1 月 19 日，《工業和信息化部關于印發工業控制系統網絡安全防護指南的通知》（工信部網安〔2024〕14 號）提出，在工業控制系統中使用加密協議和算法時應符合相關法律法規的要求，鼓勵優先采用商用密碼，以實現加密網絡通信、設備身份認證和數據安全傳輸。本文將重點介紹商用密碼、認證協議、硬件加密、工控融合等方面。

IPSec VPN 技術是一種基于密碼學的網絡安全技術，它通過 IPSec 協議在公共網絡上構建安全的專用網絡連接。國密 IPSec VPN 主要采用國家密碼管理局發布的國密 SM1、SM2、SM3、SM4 算法來進行數據加密和保護。與傳統的 IPSec VPN 相比，國密 IPSec VPN 在網絡通信的機密性、完整性和真實性方面都有明顯的提升，能確保數據在傳輸過程中不會被竊取或篡改。硬件芯片加密技術則是利用專用硬件的加密方法，將加密算法直接集成到芯片中，從而實現了更高效、更安全的加密功能。與傳統的軟件加密相比，硬件芯片加密技術具有更快的加密速度、更低的能耗以及更高的安全性。

博智安全將國密算法與芯片加密技術深度融合，緊密遵循國家商用密碼技術的要求，推出了基于芯片加密技術的國密 IPSec VPN 工業安全網關產品。這款產品為工業互聯網提供了更為先進、安全的網絡安全解決方案。

國密加密算法

國密加密算法是由我國自主研發設計，經過國家密碼管理局認定的國產密碼算法，也就是商用密碼。國密算法包括SM1、SM2、SM3、SM4等。其中，SM1是對稱加密算法，算法不公開，用于對敏感信息進行加密和解密；SM2是基于橢圓曲線密碼學的公鑰密碼算法，可用于數字簽名和身份認證等；SM3是密碼散列函數算法，主要用于數字簽名及驗證、消息認證碼生成及驗證等場景；SM4是分組密碼算法，主要用于對大量數據進行加密和解密，具有加密速度快，資源消耗低等優點。國密算法在安全性、自主可控性和適應我國國情等方面具有明顯優勢，是我國信息安全領域的重要支撐。國密算法優勢如下：

安全性高：采用獨特的數學原理和設計思路，經過嚴格的安全性評估和密碼學專家的審查，能夠有效抵抗各種密碼攻擊，保護數據安全性和完整性。

自主可控：由中國自主研發，不依賴于國外的算法標準和技術，有助于保護國家信息安全和數據主權。

高效性：在硬件和軟件實現上進行了優化，具有較高的加密和解密速度，適用于大規模數據和高性能計算場景。

適應性廣：涵蓋對稱加密、非對稱加密、散列函數和數字簽名等多個密碼學領域，可以滿足各種安全需求。

國密IPSec VPN

國密IPSec VPN協議與標準的IPSec VPN協議之間存在著顯著的區別。為了增強IPSec VPN協議的安全防護能力和國內自主創新能力，我國制定了國標GM-T 0022《IPSec VPN 技術規范》和GM-T 0023《IPSec VPN 網關產品規范》。這兩份規范在遵循RFC標準的基礎上，進行了深入的重新定義、細致修改和全面優化。

國密規范中，特別引入了簽名證書與加密證書的國密雙證書認證模式，這一模式不僅提升了認證過程的復雜性和安全性，也增強了VPN通信的可靠性。同時，對IPSec協議的報文封裝、協商過程以及加密流程進行了實質性的改進，確保數據傳輸過程中的每一個流程都更加安全可控。

在算法層面，國標規范對加密算法進行了精心設計，并融入了我國自主研發的國密算法。這些算法不僅具有更高的安全性能，而且更符合國內的安全需求，進一步提升了產品的安全性能。特別是在IPSec密鑰協商的第一階段，國密IPSec VPN協議摒棄了國際RFC標準的明文交換方式，采用了更為嚴格密文交換和復雜的密鑰生成機制。這一機制融合了多種國密算法，對協商報文進行深度加密，使得通信內容在傳輸過程中更難被竊取或篡改。接下來，簡要分析一下國密IPSec VPN協議的具體流程，以更好地理解其工作原理和安全特性。

國密IPSec VPN第一階段主模式：ISAKMP協商階段

在第一階段交換中,通信雙方建立了一個 ISAKMP SA。該 SA 是協商雙方為保護它們之間的通信而使用的共享策略和密鑰。用這個 SA 來保護 IPSec SA 的協商過程。一個 ISAKMP SA 可以用于建立多個 IPSec SA。

國密IPSec VPN第二階段快速模式：IPSec SA協商階段

在第二階段交換中,通信雙方使用第一階段 ISAKMP SA 協商建立 IPSec SA,IPSec SA 是為保護它們之間的數據通信而使用的共亨策略和密鑰。

軟件加密：軟加密是通過服務器或路由器的CPU來執行加密和解密操作。由于軟加密是依賴于CPU進行加密操作，當網絡流量較大時，可能會對CPU負載產生較大壓力，導致性能下降。安全性方面，軟加密的保護機制依賴于操作系統和軟件本身。若操作系統或軟件存在安全漏洞，可能會給攻擊者利用的機會。

芯片加密：硬件加密卡是一種專用的硬件設備，集成了專門的ASIC加密芯片，通過獨立的硬件加速實現加密算法。由于硬件加密卡專門為加密操作而設計，它在性能上通常比軟加密更強大和高效。在安全性方面，硬件加密卡通常還具備Ukey等物理安全措施來保護關鍵的加密密鑰和保護數據。特別適用于對性能要求較高以及對數據安全性要求較嚴格的場景。

“數據加密”+“深度解析”

博智工業互聯網安全網關巧妙地將數據加密技術與深度解析技術完美融合，成功實現了對 IPSec VPN 隧道中加密的 Modbus、S7、IEC104、OPC 等多種工控協議內部指令、寄存器和控制字等信息的深度檢查。這有效防止了工控協議數據被篡改、漏洞被攻擊以及非法操作的發生。此技術真正實現了工控數據加密遠傳與工控數據深度解析的完整閉環解決方案，具有重要的意義。

防止數據篡改：IPSec VPN隧道加密確保工控數據的完整性，防止數據在傳輸過程中被篡改或偽造，保證工業生產過程的可靠和準確。

防止漏洞攻擊：深度協議解析可以防范工控系統可能存在安全漏洞，避免攻擊者利用漏洞獲取敏感信息或對PLC，SCADA系統進行惡意操作。

防止非法操作：深度協議解析可以檢測到工控協議中的非法操作或異常行為，可對未經授權的設備接入、異常的控制指令等采取阻止操作，防止潛在的威脅。

安全網關功能

多場景適應性：不僅支持 Site-to-Site 和 Edge-to-Edge 組網方式，還適配點到點和點到多點的應用場景。此外，還能應對靜態 IP 地址、DHCP 動態地址、PPPOE 撥號等多種鏈路接入方式，從而可以滿足各種網絡架構的需求。

強大的認證加密：同時支持硬件加密、軟件加密、國密算法和標密算法等多種認證方式和加密算法，確保網絡通信的安全性。

靈活的配置選項：可以根據實際需求進行保護子網劃分、反向路由注入、IKE 和 IPSec 協議的多種模式協商等靈活配置功能，滿足用戶的差異化設備對接需求。

完善的功能特性：具備工控協議深度解析、NAT-T穿越、PFS前向安全認證、防報文重放攻擊、DPD對端鏈路狀態檢測、VPN 隧道狀態監控等功能，全面提升網絡的可靠性和穩定性。

結束語

在數字化融合與轉型的時代，工業控制系統網絡安全面臨著嚴峻挑戰。我們深刻認識到工業網絡安全對企業生產運營的至關重要性。博智工業互聯網安全網關，作為一款基于芯片加密技術的國密工業安全網關產品，不僅嚴格遵循國家密碼管理局發布的國密規范，有力支撐了《工業和信息化部關于印發工業控制系統網絡安全防護指南的通知》的要求，更為等保建設防護提供了堅實的數據安全保障，為工業控制系統網絡安全保駕護航，助力企業順利實現數字化轉型目標！