[发明专利]一种应用国密算法的工业控制身份认证方法及装置

说明书

技术领域

本发明涉及工业控制安全领域，尤其是解决高速工业以太环网和自动化平台软件整合的工业控制系统与外部网络和其他系统连接的边界安全问题。 

背景技术

中华人民共和国工业和信息化部于2011年10月发布《关于加强工业控制系统信息安全管理的通知》，该《通知》指出数据采集与监控SCADA、分布式控制系统DCS、过程控制系统PCS、可编程逻辑控制器PLC和远程终端RTU等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。 

工业控制系统又称ICS，一方面，敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等对系统虎视眈眈。国家关键基础所依赖的很多重要信息系统从技术特征上讲是ICS，而不是传统上我们熟悉的TCP／IP网络，其安全是国家经济稳定运行的关键，是信息战中敌方的重点攻击目标，攻击后果极其严重。另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后，传统ICP／IP网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。 

 目前计算机病毒、各种网络攻击等新特点层出不穷，工业控制系统面临着安全新挑战，而国内大部分工业自动化系统的网络层采取了一些传统安全防护措施，诸如防火墙、防毒墙、网络入侵防御、VPN等安全设备纷纷安装在工业控制系统ICS网关的位置。然而国内成熟的安全网关产品所采用的底层算法和操作系统全部来自于国外厂商，也有的工业控制系统直接采购国外的网关设备，例如加拿大Tofino公司的安全网闸和美国Industrial Defender公司的安全防护网络就占据了国内工业控制安全网关产品的很大市场份额。 

然而2010年发生的“震网”病毒事件和2013年6月爆出的棱镜门事件告诉我们两个事实，第一个事实是国外厂商生产的软件和硬件大都留有后门或者具有向他国情报部门泄露信息的程序；第二个事实是所谓的“影响工业控制安全的病毒”并非是我们所熟悉的互联网“计算机病毒”，“影响工业控制安全的病毒”从互联网“计算机病毒”的角度分析往往不带有攻击性，没有一般“计算机病毒”所具有的病毒特征，属于正常的计算机数据，但是对于工业控制系统来说“影响工业控制安全的病毒”是正常指令被错误的场景执行了错误的执行次数，从而造成整个工业控制系统遭受巨大的不可挽回的损失。 

我国工业控制系统ICS的最大弊端在于，工业控制系统本身的核心技术是掌握在诸如ABB、西门子、施耐德等大型跨国企业手中，如果工业控制系统的安全边界网关同样使用国外进口的产品和技术，将使我国的基础工业完全暴露在外国情报部门的掌控之中，一旦爆发战争，整个国家的工业体系将受到严重摧毁。