1.1 引言/導讀
中國信息通信研究院作為工業和信息化部直屬科研事業單位,致力于工業互聯網領域技術研究工作,為我國工業互聯網發展提供技術保障。同時,我院于2020年正式成立密碼應用推進中心,推進我國商用密碼基礎科研能力建設。我國目前在加快構建工業和信息化領域完備的商用密碼應用標準體系的同時,堅持創新驅動,圍繞制造強國、網絡強國戰略重點領域,積極推動新興技術與密碼技術深度融合和協同創新。
工業互聯網標識解析體系作為關鍵信息基礎設施,遵循我國《關鍵信息基礎設施安全保護條例》。隨著條例的正式發布,國家對密碼類安全產品的“安全可控”能力顯得尤為必要,國產密碼算法的驗證研究迫在眉睫。中國信息通信研究院將國產密碼算法融入到工業互聯網標識解析體系中,形成對應用、推廣、迭代的研究方案,并積極開展基礎理論、創新模式、關鍵技術與標準、應用試驗驗證等技術研究,提升標識解析體系整體安全防護能力,切實保護工業互聯網信息數據安全,為我國工業互聯網發展保駕護航。
1.2 關鍵詞
商用/國產密碼算法、標識解析服務、遞歸解析服務
1.3 測試床項目承接主體
1.3.1 發起公司和主要聯系人聯系方式
發起公司:中國信息通信研究院
聯系人:劉紅炎,13810863339,liuhongyan@caict.ac.cn
1.3.2 合作公司
北京泰爾英福科技有限公司
北京市熱力集團有限公司
江蘇中天科技集團
1.4 測試床項目目標
國家高度重視工業互聯網安全工作,《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》(以下簡稱《指導意見》)中從設備安全、控制安全、網絡安全、平臺安全和數據安全五個維度開展安全體系建設,其中,“自主可控,安全可靠”成為工業互聯網發展的方向。目前,商用國產密碼算法行業仍處于起步階段,尚未形成密碼企業集群發展之勢,相對于國外商用密碼市場軟硬件產品分布較均衡,我國商用密碼市場較為分散。工業互聯網標識解析作為我國工業互聯網關鍵信息基礎設施,將會面對越來越嚴峻的安全風險。因此,亟需通過探索研究并制定技術方案,來驗證國產密碼算法在工業互聯網標識解析體系中的可行性。
基于工業互聯網標識解析體系的密碼應用測試床目標是將國產密碼算法應用在標識解析體系中,驗證國產密碼算法在標識注冊、標識解析等應用場景中的方案是否可行。通過對國產密碼算法在工業互聯網標識解析體系中的驗證研究,保證了標識數據的安全可信和標識服務身份合法可信,從而促成我國工業互聯網的安全平穩發展。
1.5 測試床方案架構
1.5.1 測試床應用場景
本測試床基于國家工業互聯網標識解析體系,使用國產密碼在標識注冊、標識解析和標識數據同步的場景中進行驗證。國家工業互聯網標識解析體系由三層架構組成,分別為國家頂級、二級和企業。另外,還提供公共遞歸服務,為用戶訪問提供統一入口。目前網絡標識數據傳輸中,由于數據敏感度較高,為保障數據隱私性,所有在數據傳輸中使用了密碼機制,但是目前使用的是國際上通用的密碼體系,如RSA、DSA等公開密碼算法,其在效率和安全性方面存在問題,而且是非自主獨立可控的算法體系,因此需要能既保證數據安全可靠,又保證自主可控的解決方案。基于國產密碼算法的應用能在保障數據可信使用的前提下,有效提高傳輸速率,提供用戶體驗,為保證我國工業互聯網標識解析體系自主可控,安全可靠的建設奠定基石。
1.5.2 測試床架構
本測試床是為了驗證國產密碼算法與標識解析體系結合,以保證標識解析數據可信且可靠。在AII總體架構中屬于安全功能視圖中的保密性、完整性、隱私和數據保護部分內容,即標識數據在數據提供方安全自主可控制的范圍內傳遞給使用方,并知曉數據安全情況,安全體系框架如下圖所示。
工業互聯網功能視圖安全體系框架
1.5.3 測試床方案
工業互聯網標識解析體系由三層架構組成,分別為國家頂級、二級和企業,其中標識公共遞歸解析應用在標識解析體系的全流程中。國家頂級包括國家級標識的注冊和解析節點,數據同步節點,實現國家二級前綴的注冊、解析和數據同步功能。二級包括企業標識前綴的注冊和解析節點,為企業提供標識前綴的注冊和解析功能。企業包括企業節點的注冊和解析,為企業具體標識提供注冊和解析功能,以上三層架構和功能通過公共標識遞歸節點提供公共查詢入口,對外提供工業互聯網標識解析功能。
(1)標識注冊解析系統
標識注冊解析系統包括注冊系統和解析系統,注冊系統負責標識數據寫入,解析系統輸出標識數據查詢結果,標識注冊系統主動向標識解析系統做數據同步。注冊系統和解析系統共同協作,實現對機器、物品等進行唯一性的定位和信息查詢,是實現全球供應鏈系統和企業生產系統精準對接、產品全生命周期管理和智能化服務的前提和基礎。
標識注冊解析系統
如上圖所示,在標識注冊解析系統中,工業互聯網標識解析體系由國家頂級節點、二級節點和企業節點組成三層體系架構組成。其中,國家頂級節點完成所有二級節點的標識前綴分配和注冊,二級節點完成其下的所有企業節點接入功能。企業節點可以實現企業內部標識產品的注冊和解析,完成企業的實際需求。
國產密碼算法在標識注冊解析系統的測試驗證,具體描述如下:
? 標識國家頂級節點制作自簽名證書,在啟用可信解析的情況下,頂級節點給二級節點頒發證書,二級節點對企業節點進行簽名。在各級標識節點之間,使用國產密碼算法SM2、 SM3算法,采用數字證書可信驗證機制核驗節點身份,實現節點身份可信。
? 標識權威注冊系統和解析系統之間,使用全信道來同步數據,安全信道使用SM2、SM3、SM4國產密碼算法進行加密傳輸。
(2)遞歸標識解析系統
公共遞歸節點是標識解析體系中客戶端請求的第一環節,提供標識解析的統一入口,通過分別向國家頂級節點、二級節點、企業節點進行相應解析請求,最終獲取標識的詳細信息反饋給客戶端。
標識遞歸解析系統
如上圖標識遞歸解析系統所示:客戶端向遞歸發起請求,遞歸節點第一跳指向國家頂級節點,國家頂級節點接收到標識請求后,根據前綴信息返回遞歸節點二級節點HS_SITE信息,遞歸節點繼續向二級節點HS_SITE站點發起標識查詢,二級節點根據請求前綴返回企業節點的HS_SITE信息,遞歸節點繼續向企業節點HS_SITE站點發起標識查詢,獲取到標識解析最終結果,并將該結果返回至請求客戶端。在該環節中,為了保證數據可信,可靠的傳遞到客戶端。在整個解析過程中,驗證了國產密碼算法在全流程中實施的可行性,具體如下:
? 在遞歸節點向頂級、二級和企業查詢時,使用了SM2、SM3國產密碼算法來進行簽名和驗證簽名,保證了消息的來源可信和內容可信。
? 在遞歸解析的過程中,為了保證國家頂級、二級和企業節點身份可信,需要對其身份進行驗證,并將驗證后的結果返回給客戶端。此環節使用了國產密碼SM2和SM3算法。
1.5.4 方案重點技術
目前,在工業互聯網標識數據交互中,為了保證數據在網絡上安全可靠的傳輸,廣泛采用了比較成熟的國際標準密碼體系進行安全防護,如DSA、RSA加解密算法。本測試床在現有的標識解析技術基礎之上,使用國產密碼算法在標識解析各個環節中進行安全加固。國產密碼算法在安全性、簽名速度和存貯資源占用上,都明顯優于國際標準算法。
? 安全性:基于ECC的SM2證書普遍采用256位密鑰長度,加密強度等同于3072位RSA證書,安全性遠高于業界普遍采用的2048位RSA證書。
? 簽名速度:SM2在私鑰運算上,速度遠比RSA快得多。
? 存貯空間:SM2算法的密碼一般使用192-256位,RSA算法密碼一般需要使用2048-4096位。這意味著SM2算法的證書字節數更少,在高并發的情況下消耗資源更少,速度更快。
技術驗證如下表所示:
技術驗證項 | 描述 |
安全信道 | 安全信道是信息以加密的形式經過網絡傳播,網絡破壞者雖然可以截獲網絡上傳輸的所有數據,但他無法得到數據中包含的真正信息.安全信道的建立主要有兩項任務:一是通過驗證身份確立相互的信任關系;二是協商確定安全信道中所使用的加密密鑰。 使用國產密碼算法構建安全信道,應用在標識注冊、數據同步等環節。 |
消息憑據 | 消息憑據是為了保證標識解析數據不被篡改,通過密碼算法對解析數據進行簽名,將簽名結果附加在解析內容尾部。用戶在收到該數據時,可以通過簽名結果對收到的數據進行驗證。 消息憑據應用在標識解析環節中。 |
可信解析 | 可信解析是應用在分布式標識解析架構下對各個標識解析層級進行身份驗證的一種機制。用戶在進行迭代查詢時,自上而下,逐級對每個解析節點進行身份驗證。國家頂級節點作為工業互聯網標識解析體系中的信任錨點,向二級節點頒發數字證書,確定其合法身份;二級節點向企業節點授權,確定企業合法身份。 可信解析應用在標識遞歸解析環節中。數字證書頒發及授權應用在標識注冊環節。 |
1.5.5 方案自主研發性、創新性及先進性
本測試床方案是中國信息通信研究院基于工業互聯網標識解析技術體系,將國產密碼算法應用到工業互聯網標識解析的研究驗證。測試床的實施方案經過需求分析、關鍵技術驗證和可行性分析后得出。相關軟件系統由中國信息通信研究院自主研發,以上工作均體現了本測試床方案的自主研發性。
基于工業互聯網標識解析體系,采用國產密碼算法加固了該體系安全性。同時,拓展到標識解析應用環節,安全指標得到較大提升,完成了標識網絡技術探索實踐,因此本測試床方案具有創新性和技術運用的先進性。
1.5.6 方案安全風險控制
本測試床是基于國產密碼算法在工業互聯網標識解析體系中的一個測試驗證,在測試方案中使用了國產密碼算法來加固標識數據的安全性。這樣,雖然比起國際通用算法DSA、RSA性能有所提高,但是加固安全確實影響服務器解析性能。為了防止DDOS攻擊,在傳輸層開啟了最大連接數,超過該數值,則鏈接關閉。而且還應用LVS技術,實現負載均衡,提升高可靠,高可用性。在態勢網絡感知方面,使用了自主研發的標識監測系統,通過主動探測、被動探測等技術,實時對工業互聯網標識解析體系的相關服務進行監控。對異常服務情況做到了實時監控,報警并推送負責人,以便及時處理。
1.6 測試床實施部署
1.6.1 測試床實施規劃
序號 | 階段名稱 | 進度計劃 | 主要工作內容 |
1 | 需求調研、可行性研究和需求分析階段 | 5個月 | 調研密碼測試床的需求,并產出相關需求說明書和可行性分析報告。 |
2 | 設計開發階段 | 6個月 | 針對測試需求,對其進行設計和開發。 |
3 | 調試并上線試運行 | 2個月 | 施工部署并調測 |
4 | 正式上線運行并驗收 | 2個月 | 根據需求,完成所有功能并正式上線運行。 |
5 | 宣傳推廣 | 3個月 | 宣傳推廣,并發展整個生態。 |
1.6.2 測試床實施的技術支撐及保障措施
本測試床實施所需要的支撐保障,主要是由目標主機提供適用于測試床部署的軟硬件環境及網絡通信環境,具體細節要求如下:
硬件環境:5臺服務器( 32核 CPU, 128G 內存,1T 硬盤);
系統環境:CentOS 7.5及以上;
網卡:千兆網卡;
編譯環境:GCC4.8.5或以上,Eclipse 等。
1.6.3 測試床實施的自主可控性
基于國產密碼算法的工業互聯網標識解析體系,從整個技術架構到代碼實現,核心系統使用C/C++編程,G++編譯,完成研發并上線運行。
綜上所述,基于工業互聯網標識解析體系的密碼應用測試床驗證方案從源碼、編譯、調試、測試,到實施部署試運行,再到調整上線正式運行的全生命周期都具備自主可控性。
1.7 測試床預期成果
1.7.1 測試床的預期可量化實施結果
輸出國產密碼算法在工業互聯網標識解析體系中的標識權威解析服務、標識注冊服務和標識遞歸解析查詢服務等相關系統及軟件著作權。
1.7.2 測試床的商業價值、經濟效益
本測試床構建完成后,既驗證了國產密碼算法在保障工業互聯網標識解析體系全流程安全方面的可行性,降低了工業互聯網標識產業經濟損失風險,又帶動我國商業密碼產業規模發展,進一步促進國產密碼算法的推廣。
1.7.3 測試床的社會價值
密碼直接關系到國家政治安全、經濟安全、國防安全和網絡安全,同時也關系到社會組織和公民個人的合法權益。將國產密碼算法應用到工業互聯網標識解析體系中進行測試驗證,對保障我國工業互聯網關鍵信息基礎設施的自主可控、安全可靠具有里程碑的意義。
1.7.4 測試床初步推廣應用案例
本測試床項目在北京市熱力集團有限公司和江蘇中天科技股份有限公司兩家企業間進行探索應用。兩家企業在工業互聯網標識解析國產密碼應用方面有較強的需求,這也是測試床驗證的主要應用案例。
北京熱力集團嵌入式終端在標識注冊及終端發起的標識解析中使用國產加密算法;江蘇中天科技股份有限公司,在標識解析應該過程中使用國產加密算法,保障標識注冊和解析數據可以安全可靠的傳輸。
1.8 測試床成果驗證
1.8.1 測試床成果驗證計劃
擬根據測試床在工業互聯網標識解析體系適用的生產環境內,基于國產密碼算法的技術要點,通過對安全信道、可信解析和消息憑據,三個維度來驗證本測試床實際使用效果。
1.8.2 測試床成果驗證方案
在開發滿足本測試床的相關需求后,搭建一套完整的OTE環境,并測試標識的注冊、解析流程,以便驗證國產密碼算法在該測試床中的應用。
在標識注冊系統中驗證國產密碼算法TLS、證書的頒發,用于評價數據的可信可靠傳輸,二級節點和企業節點的身份的授權認證。
在標識解析系統中來驗證基于國產密碼算法加固數據的完整性和不可篡改性,用于評價標識數據的傳輸安全效果。
在標識遞歸解析流程中,使用遞歸系統來驗證整改解析流程數據的真實可信,用于評價標識 數據內容可信,身份可信。
通過以上的整個流程的驗證測試,可以完全實現標識注冊、標識解析、標識數據同步的各個環節自主可控,并驗證了工業互聯網標識解析體系全流程自主可控。
1.9 與已存在AII測試床的關系
本測試床屬于工業互聯網安全領域,具有較高的研究、應用和推廣價值。
1.10 測試床成果交付
1.10.1 測試床成果交付件
本測試床最后提供的交付件為一套基于國產密碼算法的工業互聯網標識解析系統試驗證平臺,驗證的成功標準是可以把該平臺應用到工業互聯相關的產業中,如北京熱力集團嵌入式終端在標識注冊及終端發起的標識解析中應用,預計要完成30萬熱計量表、室內溫控設備終端上線應用。可以實現對計量表、室內溫控設備終端數據的全程監控。
1.10.2 測試床可復制性
本測試床用可應用在工業互聯網的基礎設施建設中,如船舶、集裝箱、石化、食品、醫療器械等多個領域,未來更多的行業會逐步加入。其主要測試應用場景為工業互聯網數據的安全加固,實現標識數據的可信可靠流轉。
1.10.3 測試床開放性
本測試床是對國產密碼算法在工業互聯網標識解析體系中的一種測試驗證。與現有的企業內部系統,如ERP、MES等完全獨立,沒有耦合性。可以在各企業部署并完成測試驗證,因此具有很高的開放性。
1.11 其他信息
1.11.1 測試床使用者
中國信息通信研究院負責具體代碼編寫、解決方案部署、后續運營技術支持等工作。只有通過申請,且申請成功的二級節點和企業節點方可接入工業互聯網體系中,這些接入工業互聯網體系的企業方可進行多場景的可信測試。
1.11.2 測試床知識產權說明
中國信息通信研究院對測試床的建設、運營以及使用擁有軟件自主產權。
1.11.3 測試床運營及訪問使用
本測試床將部署于工業互聯網產業聯盟,由中國信息通信研究院運營,并提供相關技術支持。對測試床的訪問使用需經過申請同意,并通過付費、知識產權共享等方式有條件使用。
1.11.4 測試床資金
測試床建設資金來源于發起方中國信息通信研究院。
1.11.5 測試床時間軸
任務描述 | 時間進度 | 詳情 | |
溝通交流,行業調研 | 2022.03.31 | 調研當前的密碼算法體系,包括國際通用算法和國密算法,并產出文檔國密算法調研文檔。 | |
需求分析、可行性分析,積極探索示范試點場景討論 | 2022.05.31 | 根據調研結果,分析當前的使用環境,進行可行性分析,并產出可行性分析報告。 | |
產品 開發 | 安全信道功能 |
2022.11.31 | 完成在標識權威系統中使用基于國密算法TLS通信,實現標識解析各環節在網絡中使用國產密碼進行數據加密傳輸。 |
消息憑據功能 | 完成在標識權威系統中使用基于國密算法的消息憑據,實現標識解析數據在傳輸過程中不被防篡改。 | ||
可信解析功能 | 完成在標識遞歸系統中使用基于國密算法證書可信驗證鏈,實現標識數據內容可信及身份可信。 | ||
系統聯調測試,并試運行 | 2023.01.31 | 系統聯調測試 | |
正式上線運行和驗收 | 2023.03.31 | 上線并驗收 | |
宣傳推廣 | 2023.06.30 | 宣傳推廣,擴大應用范圍 | |
1.11.6 附加信息
該測試床的建設面向對象工業互聯網的多個行業,可逐步應用到船舶、集裝箱、石化、食品、醫療器械等領域,為各行業數據流通共享提供全新的解決方案,充分促進數據價值釋放。
1.12 測試床進展
基于測試床的規劃,測試床項目分為前期調研,需求和可行性分析階段、產品設計和開發階段、聯調試運行階段、正式上線驗收階段和宣傳推廣階段。目前已經完成了需求、調研和可行性分析,產出了相關文檔。組織了多次產品的設計和研討,最終方案通過評審。現在進入產品設計、開發和調試階段,2022年08月31日完成在標識權威系統中使用基于國密算法TLS通信,實現標識解析各環節在網絡中使用國產密碼進行數據加密傳輸,后續按計劃進行其他功能的開發。
1.12.1 需求調研和可行性分析
調研了國產密碼的發展歷程,對國際通用密碼算法與國產密碼算法進行了對比,總結并分析了它們之間的優缺點。并對國產密碼算法進行了總結,結合工業互聯網標識解析體系,找到適合當前解析體系的算法,并分析其適合場景以及效率。
1.12.2 設計、開發和測試
由于密碼算法是一個基礎框架,需要依賴于某個具體的體系,才能發揮其作用。把國產密碼算法應用到工業互聯網標識解析體系中,是對該體系創新應用。國產密碼體系的在標識解析中的應用,具體如下:
(1)基于國產密碼算法的安全加密傳輸功能框架
使用SM2、SM3和SM4算法,完成底層的TLS通信,通信信道建立后,雙方可以進行加密通信,完成數據的加密傳輸,安全通道框圖如下:
安全通道功能框圖
如上圖所示,在標識客戶端與標識權威系統之間,進行數據安全加密傳輸,使用國密TLS協議。保證客戶端與服務器之間數據,在傳輸過程中,使用了國密算法進行加密,保證數據不被篡改。
目前基于國產密碼算法的TLS通信已經在標識權威和注冊解析系統中設計完畢,功能已經調試完畢,可以完成標識數據的安全加密通信傳輸。
(2)基于國產密碼算法的安全加密傳輸功能程序流程圖
基于國密算法TLS功能流程圖
如上圖所示,在基于國產密碼算法安全加密通信的標識權威系統中,通過開關來配置是否開啟國密算法,同時也支持國際通用標準的算法。在設計時,考慮到兼容國密算法和國際標準算法。另外,基于國密算法的TLS通信時,使用了簽名證書和加密證書,只有正確的配置了雙證書才能完成通信。
(3)測試結果
基于國密算法TLS通信測試結果圖
如上圖所示,基于國密算法TLS在標識解析系統中的測試結果,從圖中可以看出,通信過程中使用了國密SM2證書,以完成底層通信協議的建立,之后通過協商的密碼進行加密通信。