近年來國家有關機關和監(jiān)管機構站在國家安全和長遠戰(zhàn)略的高度提出了推動國密算法應用實施、加強行業(yè)安全可控的要求。擺脫對國外技術和產(chǎn)品的過度依賴，建設行業(yè)網(wǎng)絡安全環(huán)境，增強我國行業(yè)信息系統(tǒng)的“安全可控”能力顯得尤為必要和迫切。

工業(yè)互聯(lián)網(wǎng)安全需求

工業(yè)互聯(lián)網(wǎng)平臺是面向企業(yè)數(shù)字化、網(wǎng)絡化、智能化轉(zhuǎn)型需求，構建基于海量數(shù)據(jù)采集、匯聚、分析的服務體系，支撐工業(yè)企業(yè)萬物互聯(lián)、信息共享、高效運轉(zhuǎn)的云平臺。工業(yè)互聯(lián)網(wǎng)平臺的信息安全至關重要，如果平臺安全無法得到保障，企業(yè)用戶對于平臺的信任就會缺失，最基礎的數(shù)據(jù)上云就會阻礙重重，沒有數(shù)據(jù)的支撐，工業(yè)互聯(lián)網(wǎng)所帶來的知識建模、大數(shù)據(jù)分析、微服務組件開發(fā)等優(yōu)勢就無法顯現(xiàn)，工業(yè)互聯(lián)網(wǎng)平臺也就成了一個沒有靈魂的空殼。

“震網(wǎng)病毒”就是工業(yè)互聯(lián)網(wǎng)領域的一個典型攻擊案例，它通過USB接入工廠內(nèi)部網(wǎng)絡，繞過了防火墻、網(wǎng)閘等傳統(tǒng)設施，通過修改程序命令，取得關鍵設備的控制權并進行偽裝，讓生產(chǎn)濃縮鈾的離心機異常加速，超越設計極限，致使離心機報廢。

由此可見，在我國大力發(fā)展工業(yè)互聯(lián)網(wǎng)的同時，如何保障連接工業(yè)互聯(lián)網(wǎng)的工業(yè)設施安全也是一個不容忽視的問題。密碼技術作為保障工業(yè)信息安全的基礎性技術，有助于加強賬戶管理、身份認證、數(shù)據(jù)傳輸與保護等安全服務，在工業(yè)互聯(lián)網(wǎng)平臺安全防護中有著不可或缺的地位，而這其中國密算法的推廣應用則任重道遠。

何謂國密算法？都有哪些？

國密算法是我國自主研發(fā)創(chuàng)新的一套數(shù)據(jù)加密處理系列算法，主要區(qū)別于目前數(shù)據(jù)安全領域常用的AES、RSA、MD5、ECC等國際密碼算法。目前國產(chǎn)商用密碼算法已經(jīng)形成一套完整體系，既有SM1、SSF33、SM4、SM7等對稱密碼算法，也有SM2、SM9等非對稱密碼算法，同時還有SM3雜湊密碼算法。這一系列密碼算法各具特點，適用于不同的應用場景，涵蓋了數(shù)據(jù)加密、簽名、完整性校驗等全方位的安全功能需求，并且國密算法的安全性、加密速度等性能也比國外常用的密碼算法有所提高。

常見的國產(chǎn)商用密碼及對比如下：

為什么要用國密算法？

國際密碼算法標準發(fā)展早、普及廣，在國內(nèi)外互聯(lián)網(wǎng)行業(yè)應用極為廣泛，相比而言國密算法可能還鮮為人知，但是其在工業(yè)互聯(lián)網(wǎng)的應用卻有重要意義。由于工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和工業(yè)的深度融合，打破了傳統(tǒng)工業(yè)領域相對封閉可信的環(huán)境，互聯(lián)網(wǎng)的種種安全威脅將直接滲透延伸至工業(yè)領域，網(wǎng)絡攻擊可直達生產(chǎn)一線。

工業(yè)互聯(lián)網(wǎng)涉及面廣泛，包括能源、化工、電力、水利、高端裝備、智能制造等眾多工業(yè)領域，平臺匯集的數(shù)據(jù)經(jīng)過挖掘、建模、分析后，會形成工業(yè)知識組件、原理模型組件等重要數(shù)據(jù)的微服務組件，一旦相關數(shù)據(jù)發(fā)生泄漏，不僅工業(yè)企業(yè)的利益遭受侵害，甚至國家經(jīng)濟都會被限制。此外，工業(yè)互聯(lián)網(wǎng)一旦遭受網(wǎng)絡攻擊，不僅會造成系統(tǒng)或服務中斷、數(shù)據(jù)泄露等傳統(tǒng)互聯(lián)網(wǎng)安全問題，還可能會引發(fā)生產(chǎn)安全問題，導致類似污染性物質(zhì)泄露、爆炸性破壞、大面積斷水斷電等安全事件，對企業(yè)、社會和國家安全都會造成極大危害。

在這些重要領域如果使用國外密碼算法，其潛在風險是極其巨大的。一方面，國外密碼算法本身就存在脆弱性，并不是絕對安全的，例如MD5算法的可碰撞性攻擊、RSA算法的共模攻擊都暴漏了其安全缺陷。另一方面，不可控的國外算法中有可能會被惡意嵌入遠程木馬等危險程序，具有未知的安全隱患，例如RSA就曾在其軟件Bsafe中嵌入了NSA開發(fā)的被植入后門的偽隨機數(shù)生成算法Dual_EC——DRBG。

因此，工業(yè)互聯(lián)網(wǎng)所用的密碼技術必須走自主可控之路，國產(chǎn)密碼的應用價值和優(yōu)勢由此凸顯。安全的平臺離不開安全的密碼技術，國密算法憑借著安全性高、自主可控等優(yōu)勢自然成為保障工業(yè)互聯(lián)網(wǎng)安全的首要選擇。結合其加密速度快、開銷和成本低、易于實現(xiàn)等特點，國密算法特別適合應用于嵌入式物聯(lián)網(wǎng)等領域，實現(xiàn)身份認證和數(shù)據(jù)加解密等功能。

國密算法助力工業(yè)互聯(lián)網(wǎng)

密碼技術作為一種基礎的安全防護手段，貫穿工業(yè)互聯(lián)網(wǎng)平臺邊緣接入層、IaaS層、PaaS層和SaaS層的加密、認證、完整性校驗等過程，在工業(yè)互聯(lián)網(wǎng)平臺的應用前景十分廣泛。

工業(yè)互聯(lián)網(wǎng)平臺架構

1）賬戶加密

工業(yè)互聯(lián)網(wǎng)平臺中存在著各式各樣的設備和用戶賬戶管理，只要需要進行登錄和授權，就必然存在賬戶管理。賬號和口令的安全關系到用戶對于平臺的信任度，一旦賬戶信息發(fā)生泄漏，對于用戶數(shù)據(jù)安全和平臺業(yè)務推廣都具有極大的負面影響。國密算法中的SM1、SM7、祖沖之加密算法即可在此場景進行推廣應用，通過安全的國產(chǎn)加密算法對賬戶和口令實行加密存儲，即便賬戶信息被盜取，也能保證數(shù)據(jù)信息無法解密，為用戶賬戶安全添上一道安全防線。

2）安全認證

認證與鑒別貫穿工業(yè)互聯(lián)網(wǎng)平臺的各個層次。在平臺邊緣接入層有海量的設備接入，需要對接入的設備和用戶進行身份認證與鑒別，只有通過認證的實體才能允許接入并開始傳輸數(shù)據(jù)；在IaaS層，需要對服務器用戶進行身份鑒別；在PaaS層及SaaS層，需要對登錄用戶進行身份認證和鑒別。國密算法中的SM2密碼算法秘鑰生成速度快、安全性高，相比RSA可以更好地實現(xiàn)身份認證和鑒別功能，應用SM2對邊緣設備進行身份認證和鑒別，還能夠本質(zhì)提高設備接入安全。

3）通信保護

工業(yè)互聯(lián)網(wǎng)平臺應確保通信的保密性、完整性、不可否認和篡改性，比如在PaaS層進行數(shù)據(jù)挖掘和分析時，要保證原始數(shù)據(jù)不被篡改、完整可用，且需要確保重要隱私數(shù)據(jù)不被泄露，這就需要對通信數(shù)據(jù)實施加密保護。在平臺通信過程中應用SM1、SM2、SM3等國產(chǎn)密碼算法，能夠確保工業(yè)互聯(lián)網(wǎng)平臺通信過程安全、可靠、可控，切實保護用戶數(shù)據(jù)安全，維護企業(yè)利益不受侵害。

近年來隨著5G、區(qū)塊鏈、人工智能等新興技術的飛速發(fā)展，密碼技術作為數(shù)據(jù)治理和信息保護的重要手段，也已進入發(fā)展快車道。不斷完善的國密算法體系，對于構建我國安全、自主、可控的工業(yè)互聯(lián)網(wǎng)平臺意義重大，將會成為工業(yè)互聯(lián)網(wǎng)安全一道堅實的“防火墻”，有助于國內(nèi)快速發(fā)展的工業(yè)互聯(lián)網(wǎng)行業(yè)進一步騰飛。“DAO技術實驗室”是航天大道公司聯(lián)合國內(nèi)多家知名大學工控安全領域?qū)＜遥闪⒌墓I(yè)互聯(lián)網(wǎng)安全技術研究實驗室。實驗室專注工業(yè)互聯(lián)網(wǎng)關鍵軟硬件產(chǎn)品的自主可控和工業(yè)物聯(lián)網(wǎng)攻防相關技術，支撐工業(yè)互聯(lián)網(wǎng)安全健康發(fā)展。未來“DAO技術實驗室”將秉承“以科技創(chuàng)新手段使工業(yè)互聯(lián)網(wǎng)更安全”的宗旨，跟蹤國際工業(yè)互聯(lián)網(wǎng)攻防先進技術，以可控、可信、可靠為落腳點，為行業(yè)客戶和區(qū)域客戶提供端到端的產(chǎn)品與系統(tǒng)解決方案，攜手“長征云工業(yè)互聯(lián)網(wǎng)安全技術生態(tài)合作伙伴”共同推進工控安全事業(yè)發(fā)展。