0 引言

    工業(yè)控制系統(tǒng)安全是國(guó)家網(wǎng)絡(luò)安全的重要組成部分,，等保2.0將工業(yè)控制系統(tǒng)安全納入標(biāo)準(zhǔn)體現(xiàn)了國(guó)家保護(hù)工業(yè)控制系統(tǒng)安全的政策要求。工業(yè)控制系統(tǒng)也是關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ),，探索工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的新方法,，對(duì)于提高關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力和網(wǎng)絡(luò)安全，應(yīng)對(duì)網(wǎng)絡(luò)安全威脅有積極意義,。

1 工業(yè)控制系統(tǒng)安全防護(hù)新方法

    業(yè)界流行的工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)和方案主要在外圍(過(guò)程監(jiān)控層以上)進(jìn)行,，工業(yè)控制系統(tǒng)核心區(qū)(圖1中粗黑框部分:現(xiàn)場(chǎng)控制層+過(guò)程監(jiān)控層)的防護(hù)仍然十分薄弱,，甚至一片空白。通過(guò)在工業(yè)控制系統(tǒng)核心區(qū)交換機(jī)上強(qiáng)化安全功能,，建立工業(yè)控制系統(tǒng)核心區(qū)的邊界準(zhǔn)入系統(tǒng),，是工控系統(tǒng)安全防護(hù)的新方法，該方法基于標(biāo)準(zhǔn)工業(yè)交換機(jī),，在不影響其基本通信功能的前提下,，對(duì)接入交換機(jī)的計(jì)算機(jī)設(shè)備進(jìn)行認(rèn)證。結(jié)合交換機(jī)技術(shù),，保證通過(guò)認(rèn)證的合法計(jì)算機(jī)數(shù)據(jù)包可以通過(guò)交換機(jī)轉(zhuǎn)發(fā),，未通過(guò)認(rèn)證的計(jì)算機(jī)交換機(jī)拒絕轉(zhuǎn)發(fā)，在工業(yè)控制系統(tǒng)核心區(qū)建立最后防線(xiàn)以保護(hù)核心區(qū)安全,?；诮粨Q機(jī)的訪(fǎng)問(wèn)控制能力，依據(jù)核心區(qū)業(yè)務(wù)和設(shè)備的通信關(guān)系建立核心區(qū)訪(fǎng)問(wèn)控制策略,，禁止正常業(yè)務(wù)以外數(shù)據(jù)通信,。

    圖1摘自最新發(fā)布的GB/T 22239-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》^[1]附錄G，其中的現(xiàn)場(chǎng)控制層和過(guò)程監(jiān)控層是工業(yè)控制系統(tǒng)中與生產(chǎn)過(guò)程控制直接相關(guān)的區(qū)域,，該區(qū)域功能正常仍能夠保證基本的生產(chǎn)能力,，即使外圍區(qū)域遭遇網(wǎng)絡(luò)攻擊而失能，核心區(qū)域仍能維持業(yè)已設(shè)定的生產(chǎn)控制邏輯正常執(zhí)行,，因此工業(yè)控制系統(tǒng)核心區(qū)的安全才是工業(yè)控制系統(tǒng)安全的核心,，只有核心區(qū)得到了有效的保護(hù)，才能保證工業(yè)控制系統(tǒng)的安全,。

2 內(nèi)嵌認(rèn)證技術(shù)和安全交換機(jī)

    內(nèi)嵌認(rèn)證(Embedded Authenitication,，EA)是建構(gòu)在網(wǎng)絡(luò)接入層的新型認(rèn)證體系，內(nèi)嵌在每一個(gè)接入交換機(jī)內(nèi)部的內(nèi)嵌認(rèn)證服務(wù)(Embedded Authenitication Server,，EAS)通過(guò)認(rèn)證數(shù)據(jù)同步協(xié)議(Authenitication Data Synchronization Protocol,，ADSP)協(xié)同工作，每個(gè)接入交換機(jī)與接入終端通過(guò)接入認(rèn)證協(xié)議AAP完成接入認(rèn)證過(guò)程,，實(shí)現(xiàn)網(wǎng)絡(luò)邊界的準(zhǔn)入控制,。這兩個(gè)協(xié)議不是本文重點(diǎn)，詳情略過(guò),。內(nèi)嵌認(rèn)證是安全交換機(jī)的重要功能,，是實(shí)現(xiàn)工控系統(tǒng)核心區(qū)安全認(rèn)證和準(zhǔn)入的基礎(chǔ)，也是安全交換機(jī)區(qū)別于普通交換機(jī)的主要特征,。

    內(nèi)嵌認(rèn)證包括嵌入認(rèn)證和網(wǎng)絡(luò)準(zhǔn)入控制兩個(gè)相關(guān)聯(lián)的子功能,，嵌入認(rèn)證EA是指內(nèi)嵌在接入交換機(jī)的身份認(rèn)證服務(wù)，網(wǎng)絡(luò)準(zhǔn)入控制(Network Access Service,，NAS)是對(duì)接入網(wǎng)絡(luò)對(duì)象的入網(wǎng)控制,。內(nèi)嵌認(rèn)證是將認(rèn)證服務(wù)內(nèi)嵌在交換機(jī)中實(shí)現(xiàn)的,，通過(guò)內(nèi)嵌認(rèn)證將單純執(zhí)行通信任務(wù)的網(wǎng)絡(luò)交換機(jī)轉(zhuǎn)變?yōu)橥ㄐ虐踩δ芤惑w化設(shè)備，并在網(wǎng)絡(luò)邊緣分布認(rèn)證服務(wù),。

    內(nèi)嵌認(rèn)證系統(tǒng)和傳統(tǒng)認(rèn)證系統(tǒng)有很大的區(qū)別,，如圖2所示，左邊是傳統(tǒng)認(rèn)證系統(tǒng)架構(gòu),，右邊是嵌入認(rèn)證系統(tǒng)架構(gòu),。首先，傳統(tǒng)的認(rèn)證系統(tǒng)是縱向的架構(gòu),，由中心化的認(rèn)證服務(wù)端Radius Server和認(rèn)證客戶(hù)端組成,，在傳統(tǒng)認(rèn)證系統(tǒng)中，網(wǎng)絡(luò)僅僅是通道,，并不是認(rèn)證系統(tǒng)的功能要素,；內(nèi)嵌認(rèn)證系統(tǒng)是基于網(wǎng)絡(luò)邊界的橫向架構(gòu)，由多個(gè)平行部署的認(rèn)證服務(wù)端EAS和認(rèn)證客戶(hù)端組成,，并且每個(gè)EAS是內(nèi)嵌在接入交換機(jī)內(nèi)部的,，使網(wǎng)絡(luò)接入設(shè)備成為認(rèn)證系統(tǒng)的不可或缺要素。其次,，認(rèn)證過(guò)程不同,，傳統(tǒng)認(rèn)證系統(tǒng)可以認(rèn)為是一種網(wǎng)絡(luò)服務(wù)，是否認(rèn)證是由應(yīng)用決定的,，接入設(shè)備在特定應(yīng)用之前,，不經(jīng)認(rèn)證可以先行接入網(wǎng)絡(luò)，在應(yīng)用需要時(shí),，才由客戶(hù)端發(fā)起認(rèn)證,，認(rèn)證終結(jié)在網(wǎng)絡(luò)內(nèi)部的認(rèn)證服務(wù)器，即認(rèn)證與網(wǎng)絡(luò)無(wú)關(guān)（除802.1x）,；嵌入認(rèn)證系統(tǒng)是和網(wǎng)絡(luò)接入相關(guān)的認(rèn)證,，不是可選的網(wǎng)絡(luò)應(yīng)用服務(wù),，其認(rèn)證是強(qiáng)制性的,，在終端接入網(wǎng)絡(luò)時(shí)即認(rèn)證，先認(rèn)證后入網(wǎng)是內(nèi)嵌認(rèn)證的主要特征之一,；認(rèn)證是由網(wǎng)絡(luò)接入交換機(jī)發(fā)起的,，終結(jié)在交換機(jī)內(nèi)部的EAS上；第三,，傳統(tǒng)認(rèn)證技術(shù)采用的認(rèn)證標(biāo)識(shí),、認(rèn)證協(xié)議和算法都是國(guó)外標(biāo)準(zhǔn)，嵌入認(rèn)證技術(shù)采用獨(dú)立設(shè)計(jì)的認(rèn)證標(biāo)識(shí)和認(rèn)證協(xié)議,，基于非對(duì)稱(chēng)算法,，特別是可以基于國(guó)密算法SM2實(shí)現(xiàn),；第四，傳統(tǒng)認(rèn)證技術(shù)主要是基于PKI體系,，使用X.509標(biāo)準(zhǔn)的數(shù)字證書(shū)和SM2/RSA算法,，嵌入認(rèn)證技術(shù)主要采用密鑰對(duì)，不依賴(lài)證書(shū),，不僅可以支持PKI公鑰體制,，使用X.509格式數(shù)字證書(shū)，還可以支持無(wú)證書(shū)的IPK體制,。

    從形式上來(lái)看,，內(nèi)嵌認(rèn)證和802.1x認(rèn)證技術(shù)有類(lèi)似的地方，主要是都在接入交換機(jī)上控制終端的入網(wǎng),，但又有很大的不同,，前者在架構(gòu)上仍屬傳統(tǒng)架構(gòu)，使用中心化的Radius Server,，后者使用分布化的EAS;前者在Radius Server與客戶(hù)端之間通過(guò)EAP協(xié)議完成認(rèn)證過(guò)程,，后者使用AAP協(xié)議。

3 基于國(guó)密算法SM2的內(nèi)嵌認(rèn)證技術(shù)實(shí)現(xiàn)

    內(nèi)嵌認(rèn)證技術(shù)可以基于多種非對(duì)稱(chēng)算法實(shí)現(xiàn),，為了便于描述內(nèi)嵌認(rèn)證技術(shù)的主要流程和關(guān)鍵,，僅以國(guó)密SM2算法和標(biāo)識(shí)秘鑰（Identity-Key，IPK）秘鑰體系實(shí)現(xiàn)為例具體敘述內(nèi)嵌認(rèn)證的實(shí)現(xiàn),。

3.1 內(nèi)嵌認(rèn)證總體流程

    基于非對(duì)稱(chēng)算法的內(nèi)嵌認(rèn)證技術(shù),，實(shí)現(xiàn)了工控系統(tǒng)核心區(qū)的終端認(rèn)證接入。終端（即認(rèn)證客戶(hù)端）和內(nèi)嵌認(rèn)證交換機(jī)通過(guò)接入認(rèn)證協(xié)議AAP,，利用國(guó)密SM2算法,，進(jìn)行認(rèn)證報(bào)文加解密交互實(shí)現(xiàn)終端認(rèn)證準(zhǔn)入，具體見(jiàn)圖3,。

    終端在交換機(jī)上認(rèn)證總體過(guò)程如下：

    (1)交換機(jī)端EAS保存了合法用戶(hù)公鑰(Public Key,，PBK)，當(dāng)終端接入邊界交換機(jī)時(shí),，其mac地址被交換機(jī)發(fā)現(xiàn),，交換機(jī)端EAS即發(fā)起認(rèn)證挑戰(zhàn)，根據(jù)mac地址在本地公鑰庫(kù)中查詢(xún)到對(duì)應(yīng)的PBK,；

    (2)交換機(jī)端EAS未找到mac對(duì)應(yīng)的PBK,不進(jìn)行認(rèn)證直接進(jìn)入等待Hold超時(shí)狀態(tài),；找到mac對(duì)應(yīng)的PBK，進(jìn)入下一步認(rèn)證工作,；

    (3)交換機(jī)端EAS與認(rèn)證客戶(hù)端進(jìn)行報(bào)文交互認(rèn)證(包括EAS的認(rèn)證挑戰(zhàn)報(bào)文,、客戶(hù)端的挑戰(zhàn)響應(yīng)報(bào)文等)；

    (4)交換機(jī)端EAS對(duì)終端認(rèn)證不成功,，進(jìn)入等待Hold超時(shí)狀態(tài),；認(rèn)證成功則打開(kāi)通路,，允許終端接入網(wǎng)絡(luò)進(jìn)行通信；

    (5)首次認(rèn)證通過(guò)后,，ESA設(shè)置周期認(rèn)證定時(shí),，按設(shè)定周期向客戶(hù)端發(fā)起認(rèn)證挑戰(zhàn)(認(rèn)證過(guò)程和首次認(rèn)證相同)，如果認(rèn)證成功,，則EAS保持通路打開(kāi)狀態(tài),，如果認(rèn)證失敗，則關(guān)閉通路,，進(jìn)入Hold超時(shí)狀態(tài),。

3.2 交換機(jī)端內(nèi)嵌認(rèn)證服務(wù)實(shí)現(xiàn)

    接入認(rèn)證協(xié)議(Access Authenitication Protocol，AAP)是內(nèi)嵌認(rèn)證中實(shí)現(xiàn)接入對(duì)象到交換機(jī)認(rèn)證準(zhǔn)入的數(shù)據(jù)和通信規(guī)程,。公鑰體制PKI/IPK和國(guó)密算法SM2是實(shí)現(xiàn)AAP協(xié)議的關(guān)鍵,，圖4展示了EAS實(shí)現(xiàn)的主要認(rèn)證過(guò)程，描述了SM2算法在其中的使用方法和作用,。EA技術(shù)在密鑰分發(fā)完成的前提下,，EAS端保存了合法客戶(hù)端的公鑰PBK，私鑰(Private Key,，PRK)在客戶(hù)端保存,。

    交換機(jī)端認(rèn)證過(guò)程：交換機(jī)端EAS使用根據(jù)mac地址檢索到的PBK對(duì)一個(gè)1 024 bit的隨機(jī)數(shù)進(jìn)行SM2加密，后將生成密文發(fā)送給mac地址對(duì)應(yīng)的客戶(hù)端主機(jī),，該隨機(jī)數(shù)的MD5值與mac對(duì)應(yīng)保存在指紋緩存中,，等待客戶(hù)端主機(jī)的回應(yīng)。

    一旦接收到主機(jī)的挑戰(zhàn)響應(yīng),，EAS取出數(shù)據(jù)包載荷數(shù)據(jù),，將其MD5值與指紋緩存中mac對(duì)應(yīng)的指紋比對(duì)，如果相同,，則認(rèn)證成功,，隨即打開(kāi)交換通路，交換機(jī)開(kāi)始轉(zhuǎn)發(fā)該主機(jī)數(shù)據(jù)包,，完成網(wǎng)絡(luò)接入,，如果不同或者接收不到回應(yīng)，交換通路一直處于關(guān)閉狀態(tài),，交換機(jī)丟棄該主機(jī)所有數(shù)據(jù)包,，拒絕接入網(wǎng)絡(luò)。

    首次認(rèn)證通過(guò)后,，EAS進(jìn)入對(duì)客戶(hù)端的周期認(rèn)證，認(rèn)證流程和首次認(rèn)證過(guò)程類(lèi)似,，不再贅述,。所不同的是,，在周期認(rèn)證失敗或客戶(hù)端離線(xiàn)后，EAS會(huì)關(guān)閉該接入主機(jī)的交換通道,，并進(jìn)入下一次認(rèn)證的準(zhǔn)備狀態(tài),。

3.3 客戶(hù)端認(rèn)證實(shí)現(xiàn)

    客戶(hù)端認(rèn)證過(guò)程是：主機(jī)客戶(hù)端監(jiān)聽(tīng)網(wǎng)絡(luò)二層數(shù)據(jù)包，當(dāng)收到發(fā)給本機(jī)的認(rèn)證挑戰(zhàn)數(shù)據(jù)包后,，取出數(shù)據(jù)包載荷并用本機(jī)私鑰PRK調(diào)用SM2解密函數(shù)解密數(shù)據(jù),，然后把數(shù)據(jù)用二層數(shù)據(jù)包發(fā)回EAS。圖5展示了客戶(hù)端軟件的主要認(rèn)證流程,。

3.4 PKI/IPK下的密鑰管理差異

    從上述實(shí)現(xiàn)過(guò)程中可以發(fā)現(xiàn),，嵌入認(rèn)證對(duì)SM2算法的使用與一般的加密過(guò)程不同，一般的加密過(guò)程是使用非對(duì)稱(chēng)密鑰協(xié)商并加密對(duì)稱(chēng)密鑰,，再使用對(duì)稱(chēng)密鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加密傳輸和解密,；內(nèi)嵌認(rèn)證直接使用非對(duì)稱(chēng)密鑰對(duì)數(shù)據(jù)內(nèi)容進(jìn)行加解密，即公鑰加密,，私鑰解密,，簡(jiǎn)化了加解密過(guò)程，一次交互即可完成認(rèn)證數(shù)據(jù)傳輸,，降低交換機(jī)端計(jì)算資源消耗,，提高通信和認(rèn)證效率。該方式采用256 bit密鑰長(zhǎng)度,，認(rèn)證數(shù)據(jù)長(zhǎng)度設(shè)計(jì)為1 024 bit,，十分適合SM2算法對(duì)分組數(shù)據(jù)的處理。認(rèn)證數(shù)據(jù)采用隨機(jī)數(shù),，每次認(rèn)證過(guò)程的內(nèi)容均不同,，認(rèn)證數(shù)據(jù)有效時(shí)間僅為一個(gè)認(rèn)證周期(認(rèn)證周期設(shè)定為10 s)，從效果上看就是一次一密,，攻擊窗口時(shí)間很短,，提高了抗攻擊強(qiáng)度。

    PKI密碼體制下,，數(shù)字證書(shū)是公鑰的載體,，EAS端需要導(dǎo)入和管理接入端的數(shù)字證書(shū)，認(rèn)證過(guò)程中EAS直接使用公鑰完成認(rèn)證數(shù)據(jù)的加密,。

    IPK密鑰體制下,，公私鑰對(duì)不依賴(lài)于數(shù)字證書(shū)，公鑰是依據(jù)組合標(biāo)識(shí)(Combinnation Identification,，CID)和公鑰種子(Public Key Seed,，PKS)計(jì)算得出的，因此EAS端管理的不是公鑰，而是客戶(hù)端的組合標(biāo)識(shí)CID,。

4 工控核心區(qū)內(nèi)嵌認(rèn)證準(zhǔn)入的仿真驗(yàn)證

4.1 仿真驗(yàn)證環(huán)境建立

    典型工控系統(tǒng)核心區(qū)由工業(yè)交換機(jī),、上位機(jī)、下位機(jī),、服務(wù)器,、打印機(jī)等組成，其中上位機(jī),、下位機(jī)和服務(wù)器屬于通用計(jì)算機(jī),，運(yùn)行通用操作系統(tǒng)，主要是Windows和Linux,。仿真驗(yàn)證環(huán)境針對(duì)工控系統(tǒng)核心區(qū)網(wǎng)絡(luò)環(huán)境構(gòu)建,，以安全交換機(jī)模擬標(biāo)準(zhǔn)網(wǎng)絡(luò)交換機(jī)，以PC模擬工程師站,、操作站和服務(wù)器等通用主機(jī),。

    仿真驗(yàn)證環(huán)境由3臺(tái)安全交換機(jī)和3臺(tái)PC組成，采用3臺(tái)VRV 6211安全交換機(jī)組成核心區(qū)網(wǎng)絡(luò)仿真環(huán)境,，3臺(tái)PC安裝Windows操作系統(tǒng)和內(nèi)嵌認(rèn)證客戶(hù)端軟件,，驗(yàn)證終端在內(nèi)嵌認(rèn)證交換機(jī)上的認(rèn)證準(zhǔn)入實(shí)現(xiàn)，具體仿真驗(yàn)證環(huán)境見(jiàn)圖6,。

4.2 認(rèn)證功能驗(yàn)證

    驗(yàn)證步驟如下：

    (1)按圖6連接設(shè)備,，PC1、PC2,、PC3未安裝認(rèn)證客戶(hù)端軟件,，使用ping命令驗(yàn)證連通性；

    (2)PC1,、PC2,、PC3安裝認(rèn)證客戶(hù)端軟件，使用ping命令驗(yàn)證連通性,；

    (3)在PC1的認(rèn)證客戶(hù)端上導(dǎo)入私鑰,，使用ping命令驗(yàn)證連通性；

    (4)在PC2的認(rèn)證客戶(hù)端上導(dǎo)入私鑰,，使用ping命令驗(yàn)證連通性,；

    (5)在PC3的認(rèn)證客戶(hù)端上導(dǎo)入私鑰，使用ping命令驗(yàn)證連通性,；

    (6)在SW1上逐個(gè)刪除PC1,、PC2、PC3的公鑰(CID),，使用ping命令驗(yàn)證連通性,。

    驗(yàn)證結(jié)果如下：

    (1)按步驟(1)測(cè)試,，PC1、PC2和PC3相互之間不能ping通,，三臺(tái)PC都不能ping通三臺(tái)交換機(jī)設(shè)備的IP地址,；

    (2)按步驟(2)測(cè)試,，PC1,、PC2和PC3相互之間不能ping通，三臺(tái)PC都不能ping通三臺(tái)交換機(jī)設(shè)備的IP地址,；

    (3)按步驟(3)測(cè)試,，PC1在導(dǎo)入匹配的私鑰后，能夠ping通三臺(tái)交換機(jī)的IP地址,；

    (4)按步驟(4)測(cè)試,，PC2在導(dǎo)入匹配的私鑰后，能夠ping通三臺(tái)交換機(jī)的IP地址,，并能ping通PC1,；

    (5)按步驟(5)測(cè)試，PC3在導(dǎo)入匹配的私鑰后,，能夠ping通三臺(tái)交換機(jī)的IP地址,，并能ping通PC1和PC2；

    (6)按步驟(6)測(cè)試,，在SW1上刪除PC1的CID大約10 s后,，PC1到其他兩臺(tái)PC和所有交換機(jī)的ping命令全部超時(shí)，繼續(xù)刪除PC2和PC3的CID,結(jié)果與PC1相同,。

4.3 認(rèn)證速度測(cè)試

    驗(yàn)證步驟如下：

    (1)按照驗(yàn)證環(huán)境連接設(shè)備,，所有PC安裝認(rèn)證客戶(hù)端并導(dǎo)入各自匹配的私鑰，SW1上導(dǎo)入三臺(tái)PC的CID,；

    (2)配置SW2,，將PC2連接的端口流量鏡像至PC3與SW3連接的端口，保證抓包工具wireshark(V 3.0.0)抓獲PC3的流量,；

    (3)斷開(kāi)PC2與SW2的連接后,，至少30 s后再恢復(fù)連接，重復(fù)進(jìn)行10次,，每次嘗試PC2登錄SW2,，看是否登錄成功；

    (4)保持PC2與SW2的連接,，用抓包工具wireshark(V3.0.0)持續(xù)抓包200 s,。

    驗(yàn)證結(jié)果如下：

    (1)按步驟(1)準(zhǔn)備環(huán)境，PC2能ping通所有交換機(jī)和PC3,；

    (2)按步驟(2)配置交換機(jī)端口鏡像,，并在PC3的wireshark上能抓到來(lái)自PC2的數(shù)據(jù)流量,；

    (3)按步驟(3)測(cè)試，在PC2登錄SW2后拔下PC2的網(wǎng)線(xiàn),，至少30 s以后再插上網(wǎng)線(xiàn),，用wireshark抓取首次認(rèn)證數(shù)據(jù)包，包特征為eth.type=0x876d,，如此重復(fù)至少10次,，每次抓獲的數(shù)據(jù)包記錄在表1中；

    (4)按步驟(4)測(cè)試,，在PC2首次認(rèn)證成功,、網(wǎng)絡(luò)連通的情況下，用wireshark連續(xù)抓取數(shù)據(jù)包,，持續(xù)200 s左右,，包特征為eth.type=0x876d,抓包數(shù)據(jù)的時(shí)間數(shù)據(jù)記錄在表1；

    (5)數(shù)據(jù)處理,，首次認(rèn)證耗時(shí)為交換機(jī)SW2發(fā)出首個(gè)在線(xiàn)查詢(xún)包時(shí)間與收到認(rèn)證挑戰(zhàn)回應(yīng)時(shí)間的差值,，T=Q-R，單位s,，保留6位有效數(shù)字,；周期認(rèn)證耗時(shí)為交換機(jī)SW2發(fā)出認(rèn)證挑戰(zhàn)時(shí)間與收到挑戰(zhàn)回應(yīng)時(shí)間的差值，T=C-R,，單位s,，保留6位有效數(shù)字。

4.4 認(rèn)證抗仿冒驗(yàn)證

    驗(yàn)證步驟如下：

    (1)按照驗(yàn)證環(huán)境連接設(shè)備,；

    (2)確認(rèn)PC1,、PC2、PC3已經(jīng)通過(guò)認(rèn)證,，網(wǎng)絡(luò)連通正常,；

    (3)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址，測(cè)試PC3網(wǎng)絡(luò)連通性,；

    (4)在PC3上修改網(wǎng)卡地址為PC2的網(wǎng)卡地址,，PC3的客戶(hù)端導(dǎo)入PC2的私鑰替代PC3的私鑰，測(cè)試PC3的網(wǎng)絡(luò)連通性,；

    (5)將PC2的硬盤(pán)克隆到PC3本地,，并在PC3上通過(guò)工具修改網(wǎng)卡地址為PC2的網(wǎng)卡地址，查看PC3網(wǎng)絡(luò)連通性,。

    驗(yàn)證結(jié)果如下：

    (1)驗(yàn)證步驟(2)中,，每臺(tái)PC分別ping其他兩臺(tái)PC和三臺(tái)交換機(jī)，確認(rèn)三臺(tái)PC已通過(guò)認(rèn)證,，網(wǎng)絡(luò)通信正常,；

    (2)驗(yàn)證步驟(3)中,，在PC3上修改操作系統(tǒng)mac地址，PC3對(duì)其他網(wǎng)元的ping測(cè)試全部超時(shí),，不能ping通直連的交換機(jī)SW3,，PC3的接入認(rèn)證失敗,；

    (3)驗(yàn)證步驟(4)中,，繼步驟(3)后，在PC3上導(dǎo)入PC2的私鑰,，PC3對(duì)其他網(wǎng)元的ping測(cè)試仍然超時(shí),，對(duì)直連交換機(jī)SW3的ping測(cè)試依然超時(shí),，認(rèn)證不能通過(guò),，PC2除了對(duì)PC3的ping測(cè)試超時(shí)外，對(duì)其他網(wǎng)元的ping響應(yīng)正常,，PC2認(rèn)證未受影響,；重啟PC3后重復(fù)上述測(cè)試，結(jié)果相同,；

    (4)驗(yàn)證步驟(5)中,，克隆硬盤(pán)安裝到PC3啟動(dòng)后，修改操作系統(tǒng)為PC2的mac地址,，PC3對(duì)其他網(wǎng)元的ping測(cè)試全部超時(shí),，包括直連的交換機(jī)SW3，認(rèn)證失敗,。

4.5 驗(yàn)證結(jié)論

    通過(guò)對(duì)工控系統(tǒng)核心區(qū)典型網(wǎng)絡(luò)環(huán)境下通用計(jì)算機(jī)認(rèn)證功能的驗(yàn)證,，得出如下結(jié)論：

    (1)內(nèi)嵌認(rèn)證功能對(duì)符合內(nèi)嵌認(rèn)證條件的合規(guī)交換機(jī)接入網(wǎng)絡(luò)實(shí)現(xiàn)了認(rèn)證和準(zhǔn)入，認(rèn)證功能確定,，準(zhǔn)入功能有效,；

    (2)認(rèn)證速度：計(jì)算機(jī)首次接入網(wǎng)絡(luò)的認(rèn)證時(shí)間為2.79 s、周期認(rèn)證時(shí)間為0.52 s(精確到1% s),；

    (3)可以抵抗常見(jiàn)的仿冒手段,，mac地址仿冒、私鑰盜用,、硬盤(pán)克隆不能突破內(nèi)嵌認(rèn)證的認(rèn)證和準(zhǔn)入,。

5 結(jié)論

    內(nèi)嵌認(rèn)證作為采用非對(duì)稱(chēng)算法的新型認(rèn)證準(zhǔn)入技術(shù)，對(duì)提高網(wǎng)絡(luò)安全能力具有現(xiàn)實(shí)意義,。作為一項(xiàng)新技術(shù)還有待進(jìn)一步發(fā)展和完善,，目前的內(nèi)嵌認(rèn)證系統(tǒng)主要是對(duì)計(jì)算機(jī)類(lèi)接入設(shè)備實(shí)現(xiàn)了強(qiáng)認(rèn)證，非計(jì)算機(jī)類(lèi)設(shè)備采用的依然是mac認(rèn)證,、mac/ip端口綁定等認(rèn)證方式,。后者采用的技術(shù)從認(rèn)證的角度來(lái)看,，可以說(shuō)都是非可靠認(rèn)證技術(shù)，有明顯的可仿冒漏洞,，mac/ip的假冒可以輕易騙過(guò)認(rèn)證系統(tǒng),，這是需要繼續(xù)解決的問(wèn)題。筆者認(rèn)為,，嵌入認(rèn)證技術(shù)未來(lái)的方向,，是將認(rèn)證客戶(hù)端植入非計(jì)算機(jī)接入設(shè)備內(nèi)部，使非計(jì)算機(jī)設(shè)備也能夠采用和計(jì)算機(jī)設(shè)備同類(lèi)的基于非對(duì)稱(chēng)算法的強(qiáng)認(rèn)證,。

    嵌入式系統(tǒng)設(shè)備尚無(wú)非對(duì)稱(chēng)算法支撐,，是阻礙其實(shí)現(xiàn)嵌入認(rèn)證的主要障礙，如能將非對(duì)稱(chēng)算法植入嵌入系統(tǒng)作為基礎(chǔ)功能,，將為嵌入認(rèn)證在嵌入式設(shè)備上的實(shí)現(xiàn)鋪平道路,，可喜的是國(guó)內(nèi)已經(jīng)有先鋒廠(chǎng)商將密碼芯片植入嵌入系統(tǒng)，這將極大地提高嵌入系統(tǒng)實(shí)現(xiàn)內(nèi)嵌認(rèn)證的能力,。嵌入認(rèn)證目前已經(jīng)實(shí)現(xiàn)了Linux系統(tǒng)下的嵌入認(rèn)證客戶(hù)端,，其對(duì)于采用Linux的嵌入系統(tǒng)設(shè)備有很好的可移植性，并已經(jīng)與主要國(guó)產(chǎn)PLC和打印機(jī)廠(chǎng)商做了初步的探索,，取得初步進(jìn)展,，突破可期；未來(lái)一旦實(shí)現(xiàn)了PLC和打印機(jī)的嵌入認(rèn)證,，工控系統(tǒng)核心區(qū)的全部系統(tǒng)組件即可基于內(nèi)嵌認(rèn)證技術(shù)建立工業(yè)控制系統(tǒng)核心區(qū)自主可控認(rèn)的證準(zhǔn)入系統(tǒng),，并可期望取得技術(shù)上的優(yōu)勢(shì)，這對(duì)于建立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全第二道防線(xiàn),，有效抵御網(wǎng)絡(luò)攻擊和威脅具有重要意義,。

參考文獻(xiàn)

[1] GB/T 22239-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].2018.

作者信息:

劉建兵

(北京北信源軟件股份有限公司，北京100044)