基于國產(chǎn)密碼算法的數(shù)控系統(tǒng)安全解決方案*

鄒大均，黃 沾

0 引 言

自“震網(wǎng)”病毒事件爆發(fā)和美國發(fā)布“國家網(wǎng)絡(luò)空間安全戰(zhàn)略”政策后，工業(yè)控制系統(tǒng)安全引起了我國的高度重視，并把工業(yè)控制系統(tǒng)的安全提到了國家安全戰(zhàn)略的高度。工業(yè)和信息化部發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)〔2011〕451號），強調(diào)加強工業(yè)信息安全的重要性、緊迫性，并明確了重點領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。2015年5月8日，國務(wù)院正式發(fā)布《中國制造2025》強國戰(zhàn)略綱領(lǐng)?！爸袊圃?025”[1]是在新的國際國內(nèi)環(huán)境下，我國立足于國際產(chǎn)業(yè)變革大勢，做出的全面提升中國制造業(yè)發(fā)展質(zhì)量和水平的重大戰(zhàn)略部署。它的主攻方向是智能制造，而智能制造的核心是數(shù)控系統(tǒng)。數(shù)控系統(tǒng)信息化主要表現(xiàn)在研制生產(chǎn)系統(tǒng)集成化，產(chǎn)品開發(fā)數(shù)字化、并行化，產(chǎn)品研制生產(chǎn)敏捷化，企業(yè)管理集成信息化四個方面。數(shù)控系統(tǒng)信息化對于各領(lǐng)域制造業(yè)提高勞動生產(chǎn)率、降低成本、縮短研制周期、快速響應(yīng)市場變化、提高產(chǎn)品質(zhì)量和客戶滿意程度、全面提升競爭能力具有重要作用。但是，數(shù)控系統(tǒng)固有安全漏洞和聯(lián)網(wǎng)后的開放性，使其面臨的信息安全威脅持續(xù)擴大[2]。數(shù)控系統(tǒng)一旦遭到破壞，將導致數(shù)控機床乃至整個生產(chǎn)線停機，給企業(yè)造成重大損失。

目前，國內(nèi)多數(shù)控系統(tǒng)特別是中高端數(shù)控系統(tǒng)均采用國外產(chǎn)品和技術(shù)。然而，國外產(chǎn)品和技術(shù)對國內(nèi)用戶采用封閉措施，導致關(guān)鍵基礎(chǔ)設(shè)施安全問題受制于人。此外，以“震網(wǎng)”為代表的工業(yè)網(wǎng)絡(luò)攻擊和入侵屢見不鮮，帶來巨大的損失，也給智能制造敲響了警鐘?？梢?，實現(xiàn)自主可控的數(shù)控系統(tǒng)，智能制造才能持續(xù)發(fā)展。因此，基于國產(chǎn)密碼算法的數(shù)控系統(tǒng)安全解決方案研究尤為迫切和重要。

1 數(shù)控系統(tǒng)的現(xiàn)狀分析

數(shù)控系統(tǒng)的核心硬件設(shè)備包括數(shù)控機床、DNC服務(wù)器、操作員站、可編程邏輯控制器（PLC）和交換設(shè)備等。除數(shù)控機床和PLC，其他硬件設(shè)備與通用信息系統(tǒng)中的硬件設(shè)備并無太大差異。數(shù)控系統(tǒng)的核心軟件包括數(shù)控機床系統(tǒng)及控制程序、主機操作系統(tǒng)（如Linux、Windows操作系統(tǒng)等）和應(yīng)用軟件等。

數(shù)控加工制造企業(yè)的科研辦公網(wǎng)與生產(chǎn)工控網(wǎng)大多互聯(lián)，網(wǎng)絡(luò)內(nèi)部根據(jù)業(yè)務(wù)需求劃分了多個安全域，安全域通過交換機直接接入公司的科研辦公網(wǎng)，中間未實施安全防護隔離措施。安全域內(nèi)部、安全域之間可直接互訪，無網(wǎng)絡(luò)訪問審計記錄。典型的網(wǎng)絡(luò)拓撲如圖1所示。

圖1 網(wǎng)絡(luò)拓撲

數(shù)控系統(tǒng)業(yè)務(wù)根據(jù)需求主要分為兩類，一類是加工生產(chǎn)NC代碼的數(shù)據(jù)傳遞，一類是數(shù)控機床狀態(tài)信息的收集和顯示。DNC服務(wù)器負責存儲重要的NC代碼數(shù)據(jù)和生產(chǎn)狀態(tài)數(shù)據(jù)。操作員站對DNC服務(wù)器上的數(shù)據(jù)進行操作，而數(shù)控機床從DNC服務(wù)器上獲取數(shù)據(jù)，并傳遞狀態(tài)給DNC服務(wù)器。整體生產(chǎn)業(yè)務(wù)實時性要求不高，生產(chǎn)終端設(shè)備的硬軟件資源有限。具體業(yè)務(wù)數(shù)據(jù)流如圖2所示。

2 數(shù)控系統(tǒng)的風險分析

通過數(shù)控系統(tǒng)用戶的現(xiàn)場訪談、調(diào)研問卷、實地考察和技術(shù)檢查等方式，完成了數(shù)控系統(tǒng)的安全風險分析，得出以下幾個重要的風險點。

數(shù)控終端的安全風險。主機、機床對外的通用串行總線接口（USB）、串口、網(wǎng)口等接口缺少管控；機床廠商或代理商的維修操作缺乏統(tǒng)一的認證和管控，存在加工文件、加工參數(shù)、重要日志文件外泄和被破壞的安全風險。

數(shù)控業(yè)務(wù)網(wǎng)絡(luò)的安全風險。生產(chǎn)車間的網(wǎng)絡(luò)缺少監(jiān)控手段，無法對攻擊行為實時報警；網(wǎng)絡(luò)上的業(yè)務(wù)由于缺乏訪問控制，存在誤操作、跨權(quán)限操作、易于被攻擊等情況，導致存在生產(chǎn)異常的安全風險。

數(shù)控數(shù)據(jù)的安全風險。沒有專業(yè)安全防護的DNC服務(wù)器上的重要數(shù)據(jù)未加密也未數(shù)字簽名，存在被篡改、被破壞的安全風險；數(shù)據(jù)傳輸過程中未使用加密手段，導致數(shù)據(jù)易被竊取的安全風險。

圖2 業(yè)務(wù)流

3 數(shù)控系統(tǒng)的安全解決方案

結(jié)合數(shù)控系統(tǒng)用戶的實際需求和現(xiàn)實生產(chǎn)環(huán)境的風險分析，為實現(xiàn)對數(shù)控系統(tǒng)的全方位安全防護，提出以終端防護和數(shù)據(jù)防護為核心，輔以網(wǎng)絡(luò)防護并應(yīng)用國產(chǎn)密碼技術(shù)的整體安全解決方案。

3.1 終端防護

數(shù)控系統(tǒng)現(xiàn)場的接入終端主要有數(shù)控機床、操作員站、DNC服務(wù)器等主機或設(shè)備，如圖3所示。數(shù)控機床的系統(tǒng)軟件是固化的，無法安裝第三方防護軟件，而其余主機或者服務(wù)器則需要安裝主機監(jiān)控軟件，從操作上禁用非法外來介質(zhì)，同時數(shù)控機床在內(nèi)的所有終端設(shè)備的多余外設(shè)接口都應(yīng)該被封禁，包括USB口、串口、網(wǎng)口等，應(yīng)從物理上禁止非法接入。

主機監(jiān)控軟件除了禁止非法介質(zhì)的接入，還需要記錄對主機的所有操作。有條件的用戶可以在數(shù)控系統(tǒng)網(wǎng)絡(luò)中加入專用的日志服務(wù)器存儲這些記錄，用于分析和審計。

數(shù)控機床作為數(shù)控系統(tǒng)中最特殊的終端設(shè)備，其安全防護與一般的網(wǎng)絡(luò)終端在身份認證、數(shù)字簽名等技術(shù)處理上存在較大差異。對這類終端的防護需要加入專用的防護裝置，方案后續(xù)章節(jié)將對此防護裝置進行詳細闡述。

由于目前大多數(shù)控系統(tǒng)為國外產(chǎn)品和技術(shù)，若要全面實現(xiàn)自主可控，短時間內(nèi)沒法實現(xiàn)。這是一個漸進的過程，需要逐步實現(xiàn)。因此，接入數(shù)控終端的身份認證技術(shù)使用的密碼算法，本方案建議使用國產(chǎn)密碼算法來替代通用密碼算法，在身份認證和數(shù)據(jù)加密技術(shù)方面首先實現(xiàn)自主可控。

3.2 網(wǎng)絡(luò)防護

終端防護中提及的專用防護裝置，主要用于終端特別是數(shù)控機床的專用防護上，并不能替代工業(yè)以太網(wǎng)中的工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)的作用。因此，在重要的網(wǎng)絡(luò)節(jié)點仍需部署必要的防護網(wǎng)關(guān)，用以保護數(shù)控系統(tǒng)網(wǎng)絡(luò)。

圖3 終端防護

同時，通過網(wǎng)絡(luò)訪問數(shù)控機床或者數(shù)控機床通過網(wǎng)絡(luò)訪問DNC服務(wù)器，都需要通過在防護裝置上進行身份認證，取得授權(quán)后方可進行網(wǎng)絡(luò)交互。這里需要解決由誰在哪個位置上使用什么樣的終端對目標進行訪問的問題。

3.3 數(shù)據(jù)防護

對于存儲重要數(shù)控加工文件、設(shè)計文件的DNC服務(wù)器的保護，除了一般主機的保護外，還需要加入額外的技術(shù)，用以保護服務(wù)器上數(shù)據(jù)的存儲和傳輸。重要保護區(qū)域內(nèi)所有數(shù)據(jù)文件都需要進行加密或者數(shù)字簽名，這需要根據(jù)業(yè)務(wù)的實時性、生產(chǎn)環(huán)境的軟硬件資源、是否具備密鑰管理能力等情況而定，從而優(yōu)化安全防護手段，降低成本，易于工程部署和用戶操作。

數(shù)控機床生產(chǎn)運行的狀態(tài)數(shù)據(jù)同樣重要，需要在安全的網(wǎng)絡(luò)信道中傳輸并加以安全存儲。

若數(shù)控系統(tǒng)網(wǎng)絡(luò)需要跨公網(wǎng)，則還需要VPN技術(shù)的支持，以防數(shù)據(jù)在公網(wǎng)上被竊取和篡改。

而以上在數(shù)據(jù)存儲和傳輸過程中使用的密碼算法，同樣需要使用國產(chǎn)密碼算法。

3.4 密碼技術(shù)

隨著全球范圍內(nèi)密碼技術(shù)的發(fā)展和計算能力的提升，現(xiàn)有普遍采用的國際通用密碼算法已不滿足當前和今后應(yīng)用的安全需求。目前，各國都在進行算法升級或遷移。

信息安全是國家安全的關(guān)鍵環(huán)節(jié)。為確保密碼算法的自主可控，降低敏感信息泄露和信息系統(tǒng)遭受攻擊的風險，國家密碼管理局制定并發(fā)布了具有自主知識產(chǎn)權(quán)和高安全強度的國產(chǎn)密碼算法、密碼算法使用等相關(guān)標準，基本建成了國產(chǎn)密碼應(yīng)用基礎(chǔ)設(shè)施并提供服務(wù)。目前，國產(chǎn)密碼產(chǎn)業(yè)鏈已經(jīng)成熟[3]。

智能制造面臨著信息安全問題日益嚴重的局面，因此推進國產(chǎn)密碼算法應(yīng)用具有重要的現(xiàn)實意義。目前，我國自主研發(fā)的常用國產(chǎn)商用密碼算法有以下幾種。

SM1算法。該算法是由國家密碼管理局編制的一種商用密碼分組標準對稱算法，分組長度和密鑰長度均為128位，算法的安全保密強度和相關(guān)軟硬件實現(xiàn)性能與AES算法相當。目前，該算法尚未公開，僅以IP和的形式存在于芯片中。

SM2算法。該算法是一種基于ECC算法的非對稱密鑰算法，加密強度為256位，安全性與目前使用的RSA1024相比具有明顯優(yōu)勢。

SM3算法。該算法也叫密碼雜湊算法，屬于哈希（摘要）算法的一種，雜湊值為256位，和SM2算法一起被公布。

SM4算法。該算法為對稱加密算法，隨WAPI標準一起被發(fā)布，加密強度為128位。

除了以上4種密碼算法，國產(chǎn)商用密碼算法還包括SSF33、SM7、祖沖之密碼等對稱算法和SM9非對稱算法。

國產(chǎn)商用密碼的應(yīng)用領(lǐng)域十分廣泛，主要用于對不涉及國家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟信息等進行加密保護，如各種安全認證、網(wǎng)上銀行、數(shù)字簽名等。

4 數(shù)控機床專用安全防護裝置

4.1 需求

數(shù)控機床是數(shù)字控制機床（Computer Numerical Control Machine Tools）的簡稱，是一種裝有程序控制系統(tǒng)的自動化機床。該控制系統(tǒng)能夠邏輯地處理具有控制編碼或其他符號指令規(guī)定的程序，并將其譯碼，用代碼化的數(shù)字表示，通過信息載體輸入數(shù)控裝置。然后，經(jīng)運算處理，由數(shù)控裝置發(fā)出各種控制信號控制機床的動作，按圖紙要求的形狀和尺寸，自動加工零件。

作為數(shù)控系統(tǒng)中最特殊的終端，數(shù)控機床與其他設(shè)備（如DNC服務(wù)器、操作員站等）的安全防護存在較大差異，主要在于以下幾點：

（1）數(shù)控機床控制系統(tǒng)無法安裝主機監(jiān)控軟件或者類似的安全防護軟件，從而無法對機床操作人員的身份進行管控，也無法審計操作行為，且無法控制和審計外設(shè)接口（如USB口、串口、網(wǎng)口）操作行為和數(shù)據(jù)交互；

（2）數(shù)控機床無法進行身份認證和鑒別；

（3）數(shù)控機床無法主動識別對端DNC服務(wù)器的合法性；

（4）數(shù)控機床無法驗證數(shù)控加工文件的合法性和完整性。

基于數(shù)控機床與其他設(shè)備在安全防護上的差異分析，得出數(shù)控機床的安全防護需要加入專用的安全防護裝置，用以確保數(shù)控機床在外設(shè)接入、身份鑒別、數(shù)據(jù)交互等諸多方面得到相應(yīng)的保護和管控。數(shù)控機床必需的外設(shè)接口需要接入到這種防護裝置上，機床操作、廠家維修等人員操作數(shù)控機床必須通過在專用防護裝置上經(jīng)過嚴格的身份認證[4]（口令、指紋或者虹膜等）授權(quán)后才能正常接入，從而有權(quán)上傳或下載數(shù)據(jù)，而這些動作也都會被專用安全防護裝置記錄，用于事后審計。

4.2 關(guān)鍵技術(shù)

數(shù)控機床專用安全防護裝置作為數(shù)控機床的安全屏障，需要具備以下關(guān)鍵技術(shù)。

（1）身份認證與授權(quán)

身份認證解決“你是誰”“你是否合法”的問題，授權(quán)解決“你能干什么”的問題。

（2）行為控制與記錄

行為控制解決“你能訪問哪些地方”“你具體能做什么事”的問題，記錄解決的是“你干了些什么”的問題。

（3）數(shù)據(jù)驗證與保護

數(shù)據(jù)驗證解決數(shù)據(jù)破壞和篡改的問題，保護解決的是數(shù)據(jù)知悉范圍的問題。

除了以上技術(shù)要求外，防護裝置在數(shù)控文件（NC代碼、圖形文件等）的脫敏與檢測、數(shù)控代碼的細粒度控制、網(wǎng)絡(luò)典型攻擊防御等諸多方面，對數(shù)控機床乃至整個數(shù)控系統(tǒng)都起著至關(guān)重要的作用。

4.3 防護方案

在詳述防護方案前，借用網(wǎng)絡(luò)搜索信息簡單介紹以下幾個概念：身份認證、數(shù)字簽名、IP地址欺騙和MAC地址欺騙。

身份認證即身份驗證或身份鑒別，是指在計算機及計算機網(wǎng)絡(luò)系統(tǒng)中確認操作者身份的過程，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限，進而使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有效執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，保證系統(tǒng)和數(shù)據(jù)的安全以及授權(quán)訪問者的合法利益。

數(shù)字簽名即公約數(shù)字簽名或電子簽章，是一種類似寫在紙上的普通物理簽名，但使用了公鑰加密領(lǐng)域的技術(shù)實現(xiàn)，可用于鑒別數(shù)字信息，即只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串。這段數(shù)字串同時也是對信息發(fā)送者發(fā)送信息真實性的有效證明。

IP地址欺騙是指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。MAC地址欺騙與IP地址欺騙的原理基本一致，只是欺騙的具體過程有所差別。

數(shù)控系統(tǒng)中最核心的終端是數(shù)控機床，而最重要的數(shù)據(jù)存儲于DNC服務(wù)器。因此，數(shù)控機床與DNC服務(wù)器之間的數(shù)據(jù)交互，是整個數(shù)控系統(tǒng)安全防護最關(guān)鍵的一環(huán)。為了便于分析數(shù)控機床專用安全防護裝置在安防方面的重要作用，假設(shè)數(shù)控機床和DNC服務(wù)器上的數(shù)據(jù)受到保護而不被任何攻擊篡改和破壞，所有攻擊來源于網(wǎng)絡(luò)。簡化數(shù)控網(wǎng)絡(luò)拓撲，加入攻擊環(huán)節(jié)，如圖4所示。

圖4 簡化拓撲

（1）場景一

防護裝置尚未部署，數(shù)控機床完全暴露于網(wǎng)絡(luò)。攻擊機采用任何欺騙手段都能將數(shù)控機床向DNC服務(wù)器發(fā)起的數(shù)據(jù)交互請求轉(zhuǎn)移到攻擊機自身，造成數(shù)控機床使用非法來源的數(shù)據(jù)或者使用被篡改過的數(shù)據(jù)，致使數(shù)控機床運行異常。

（2）場景二

防護裝置部署于數(shù)控網(wǎng)絡(luò)與數(shù)控機床之間，并配置了相應(yīng)的訪問控制策略，甚至配置了IP/MAC地址綁定策略。攻擊機同時采用IP地址欺騙策略和MAC地址欺騙策略，將自身在網(wǎng)絡(luò)上完全偽造成DNC服務(wù)器，以繞開防護裝置的防御，響應(yīng)來自數(shù)控機床的數(shù)據(jù)交互請求，下發(fā)非法數(shù)據(jù)或篡改合法數(shù)據(jù)，致使數(shù)控機床運行異常。

（3）場景三

在場景二的基礎(chǔ)上，防護裝置加入身份認證策略，即只有通過身份認證的終端才能正常通過防護裝置進行數(shù)據(jù)交互。

傳統(tǒng)的身份認證是基于訪問發(fā)起者的認證，保護的是被訪問者即服務(wù)器。而數(shù)控機床專用安全防護裝置保護的是訪問的發(fā)起者——數(shù)控機床不被欺騙，發(fā)現(xiàn)其獲取的數(shù)據(jù)是否被篡改，阻止不應(yīng)知悉者知悉，同時數(shù)控機床自身無法進行身份認證和鑒別。

因此，鑒于數(shù)控系統(tǒng)的特殊性，本方案建設(shè)性地提出基于受訪者的認證，即數(shù)控機床只能訪問通過身份認證后的DNC服務(wù)器，從而確保數(shù)控機床訪問的DNC服務(wù)器是合法終端，獲取的是合法數(shù)據(jù)，狀態(tài)數(shù)據(jù)上傳的是合法服務(wù)器。

不幸的是，此種場景對于攻擊者來說仍然有機可乘。假設(shè)攻擊機無法獲取合法的身份信息，從而無法使數(shù)控機床主動向其發(fā)起數(shù)據(jù)交互請求。盡管如此，攻擊機仍然可以在合法的DNC服務(wù)器通過身份認證后采用欺騙手段，實現(xiàn)前文提及的攻擊。

（4）場景四

通過對場景三的分析發(fā)現(xiàn)，配合身份認證的訪問控制同樣不能解決所有問題。在場景三的攻擊環(huán)境下，若能在交互數(shù)據(jù)中加入數(shù)字簽名技術(shù)，通過防護裝置對數(shù)據(jù)進行簽名或驗簽，那么非法數(shù)據(jù)或被篡改數(shù)據(jù)就能被防護裝置發(fā)現(xiàn)，從而這些數(shù)據(jù)無法到達數(shù)控機床，針對數(shù)控機床的攻擊也就無從實現(xiàn)。

（5）場景五

根據(jù)場景四中的防護方案部署防護裝置，雖然能夠有效針對數(shù)控機床的網(wǎng)絡(luò)攻擊，但并不能阻止攻擊機獲取重要的數(shù)控數(shù)據(jù)和機床狀態(tài)信息。這里，數(shù)據(jù)加密技術(shù)能夠有效防止數(shù)據(jù)外泄，嚴格控制數(shù)據(jù)知悉范圍。

數(shù)控機床專用安全防護裝置可以記錄所有的網(wǎng)絡(luò)行為，發(fā)現(xiàn)攻擊立即告警，發(fā)現(xiàn)異常數(shù)據(jù)交互立即告警，并通知管理員調(diào)整防護策略，盡早發(fā)現(xiàn)攻擊源，把危害控制到最小。

機床操作人員、廠家維修人員通過USB口、串口與數(shù)控機床進行數(shù)據(jù)交互，在應(yīng)用場景上雖然與網(wǎng)絡(luò)交互不同，但兩種外設(shè)數(shù)據(jù)交互同樣需要通過防護裝置進行數(shù)據(jù)轉(zhuǎn)發(fā)。因此，以上提及的所有安全防護技術(shù)同樣適用。

數(shù)控機床專用安全防護裝置通過訪問控制與身份認證、數(shù)字簽名和數(shù)據(jù)加密等技術(shù)的有機結(jié)合，形成了一套完整的應(yīng)對局部網(wǎng)絡(luò)攻擊的安全防護方案。

身份認證、數(shù)字簽名和數(shù)據(jù)加密等技術(shù)都涉及國產(chǎn)密碼應(yīng)用，需要一套完整的國產(chǎn)密碼應(yīng)用基礎(chǔ)設(shè)施（如公共密鑰基礎(chǔ)設(shè)施PKI、密鑰管理基礎(chǔ)設(shè)施KMI等）才能實現(xiàn)，而這必然帶來安全防護的成本壓力。因此，需要根據(jù)不同數(shù)控網(wǎng)絡(luò)的實際情況，結(jié)合防護裝置的行為記錄能力，部署不同安全級別的防護網(wǎng)絡(luò)。

4.4 國產(chǎn)密碼算法應(yīng)用

4.4.1 基于國產(chǎn)密碼算法的身份認證應(yīng)用

用戶通過防護裝置訪問、接入數(shù)控機床時，需要應(yīng)用基于用戶的身份認證；DNC服務(wù)器與防護裝置間建立加密信道時，需要應(yīng)用基于設(shè)備的身份認證。認證的需求不同，采用的認證技術(shù)也不同。根據(jù)不同的安全級別，可以采用不同的身份認證技術(shù)或者多種技術(shù)的組合，如數(shù)字證書認證技術(shù)、生物信息認證技術(shù)、口令和消息反饋認證技術(shù)和智能卡認證技術(shù)等。

綜合安全性、易用性和成本等因素的考慮，防護裝置可采用口令與智能卡雙因子身份認證技術(shù)，并結(jié)合國產(chǎn)密碼算法數(shù)字證書認證技術(shù)即SM2證書技術(shù)。需要選擇支持SM2證書的智能卡，認證設(shè)備（如DNC服務(wù)器、維修用的筆記本電腦等）或防護裝置能夠通過這種智能卡完成身份認證?？诹钔ㄟ^使用SM3算法進行哈希后，將同智能卡SM2公鑰證書經(jīng)過SM1算法加密后在網(wǎng)絡(luò)中傳輸，然后在防護裝置上進行解密和驗證后完成身份認證。

4.4.2 基于國產(chǎn)密碼算法的簽名與驗簽應(yīng)用

身份認證中，SM2證書的簽名/驗簽已經(jīng)涉及到國產(chǎn)密碼算法的簽名與驗簽應(yīng)用，而本章主要討論國產(chǎn)密碼算法在數(shù)控機床與DNC服務(wù)器之間傳輸重要數(shù)控文件時的應(yīng)用。

智能卡除了存儲SM2證書用于身份認證外，還可利用它對傳輸于網(wǎng)絡(luò)中的數(shù)控文件進行簽名。DNC服務(wù)器將數(shù)控文件進行數(shù)字簽名存儲，數(shù)控機床獲取數(shù)控文件的同時也會獲取簽名信息。這些信息會經(jīng)過防護裝置的驗簽判斷文件的合法性，并確保文件沒有被惡意破壞或篡改，保證數(shù)控文件的完整性和可用性。這樣的安全加固簡單、實用、易于部署，不會對原有數(shù)控網(wǎng)絡(luò)的拓撲造成任何影響，只要文件驗證通過，則數(shù)控生產(chǎn)、企業(yè)管理都不會受到多余的阻礙。

4.4.3 基于國產(chǎn)密碼算法的信道加解密應(yīng)用

在存在跨網(wǎng)絡(luò)管理和生產(chǎn)需求的數(shù)控網(wǎng)絡(luò)或數(shù)控網(wǎng)絡(luò)易于被攻擊者接入的環(huán)境中，對有線信道傳輸?shù)闹匾獢?shù)據(jù)的加密保護成為必然。由于在網(wǎng)絡(luò)搭建、部署上得天獨厚的優(yōu)勢，無線網(wǎng)絡(luò)在數(shù)控環(huán)境的應(yīng)用也是存在的，但無線網(wǎng)絡(luò)的安全性相對于有線網(wǎng)絡(luò)更具有挑戰(zhàn)。因此，無論數(shù)控網(wǎng)絡(luò)在有線信道和無線信道上都有對數(shù)據(jù)進行加密保護的需求，此時國產(chǎn)密碼技術(shù)的應(yīng)用順理成章，如IPSecVPN、SSLVPN和應(yīng)用層加密處理等。

在存在信道加密需求的數(shù)控網(wǎng)絡(luò)中，防護裝置可以安裝支持國產(chǎn)密碼算法的智能卡或加密卡對加密數(shù)據(jù)進行解密。數(shù)據(jù)的加密則是通過DNC服務(wù)器上的智能卡或者加密卡完成的。兩者可以通過支持國產(chǎn)密碼算法的IPSecVPN或者SSLVPN建立加密信道，由防護裝置將數(shù)據(jù)解密后再以明文方式轉(zhuǎn)發(fā)給數(shù)控機床。對于數(shù)控機床來說，整個加解密過程是透明的。

4.4.4 基于國產(chǎn)密碼算法的數(shù)據(jù)加解密應(yīng)用

數(shù)控網(wǎng)絡(luò)并非惡意攻擊的唯一切入點，主機攻擊、管理漏洞造成的物理攻擊等都會造成重要數(shù)據(jù)的丟失與破壞，且網(wǎng)絡(luò)攻擊的最終目標除了破壞正常的網(wǎng)絡(luò)運行外，就是獲取重要數(shù)據(jù)，因此數(shù)據(jù)保護非常關(guān)鍵。數(shù)控環(huán)境中數(shù)據(jù)的國密技術(shù)應(yīng)用很大一部分困難在于無法與控制設(shè)備（如PLC、數(shù)控機床等）共享加密數(shù)據(jù)。若加密數(shù)據(jù)經(jīng)解密后在網(wǎng)絡(luò)中傳輸，必然存在信息泄露的可能。數(shù)控機床專用安全防護裝置的引入能很容易解決這個問題。這里提及的數(shù)據(jù)加密可采用SM1等對稱加密算法，DNC服務(wù)器上的所有明文數(shù)控文件都需要進行加密處理后再存儲，新接收的文件必須默認為密文。文件傳輸至防護裝置，由防護裝置解密后轉(zhuǎn)發(fā)給數(shù)控機床；反之，防護裝置對數(shù)控機床上傳的文件進行加密后轉(zhuǎn)發(fā)給DNC服務(wù)器進行存儲，保證數(shù)據(jù)的機密性。

4.4.5 基于國產(chǎn)密碼算法的數(shù)控設(shè)備安全升級

在國產(chǎn)數(shù)控設(shè)備（如PLC[5]、數(shù)控機床等）中，加入安全、加密功能，使得這些設(shè)備自身具有網(wǎng)絡(luò)安全和數(shù)據(jù)加解密功能。還有一種升級需要應(yīng)用到國產(chǎn)密碼算法——設(shè)備軟件升級，如數(shù)控機床專用安全防護裝置自身系統(tǒng)升級時使用的升級鏡像，需要通過國產(chǎn)密碼算法進行簽名，升級過程中需要對導入的升級包進行驗簽，以確保防護裝置所用升級鏡像未被非法篡改。

5 結(jié) 語

本文適時提出基于國產(chǎn)密碼算法的數(shù)控系統(tǒng)安全解決方案，不僅拓展了國產(chǎn)密碼算法的應(yīng)用領(lǐng)域，而且開闊了數(shù)控系統(tǒng)整體安全防護、數(shù)控機床專用安全防護的技術(shù)思路。后期還可以基于數(shù)控機床的數(shù)控程序存儲裝置、計算機控制主機、可編程邏輯控制器（PLC）等核心組件上加入安全模塊，強化數(shù)控系統(tǒng)核心組成部分的自身安全防護，進一步提升系統(tǒng)安全性。

[1] 周濟,智能制造——“中國制造2025”的主攻方向[J].中國機械工程,2015(17):2273-2284.ZHOU Ji.Intelligent Manufacturing Main Direction of "Made in China 2025"[J].China Mechanical Engineering,2015(17):2273-2284.

[2] 劉杰,汪京培,李丹等.數(shù)控機床自動化網(wǎng)絡(luò)信息安全綜合防護方案[J].組合機床與自動化加工技術(shù),2016(03):82-89..LIU Jie,WANG Jing-pei,LI Dan,et al.Comprehensive Protection Scheme for Networked Information Security of CNC Machine Tools[J].Combined Machine Tool &Automatic Manufacturing Technology,2016(03):82-89.

[3] 黃愷彤,劉曄.國產(chǎn)密碼算法在電網(wǎng)信息安全中的應(yīng)用研究[J].信息安全與通信保密,2015(10):82-83.HUANG Kai-tong,LIU Ye.Research of Grid Network Application Based China Standard Cryptographic Algorithm[J].Information Security and Communications Privacy,2015(10):82-83.

[4] 高亮,方勇.一種基于智能卡的雙向身份認證方案[J].通信技術(shù),2011,44(02):85-90.GAO Liang,FANG Yong.A Two-way User-identity Authentication Scheme based on Smart Card[J].Communications Technology,2011,44(02):85-90.

[5] 曹銘志.基于以太網(wǎng)下的PLC與上位機通訊[J].通信技術(shù),2012,45(05):92-94.CAO Ming-zhi.Ethernet-based PLC Communication with Host Computer[J].Communications Technology,2012,45(05):92-94.