基于密码的“无人值守”安全应用

2022年8月18日，得安公司参加了“中国油气田与长输管道无人值守站建设技术交流会”，大会上得安公司演讲了主题为“基于密码的无人值守安全应用”，给参会嘉宾分享了得安公司25年来在密码应用方面的思考和实践。以下是分享内容的文字版。

基于密码的无人值守安全应用指的是采用密码从根本上解决无人值守站可能存在的接入安全、数据安全问题，接入安全涉及人员身份的可信、设备的可信，数据安全包含了数据传输安全和数据存储安全。

这里说的密码不是大家常说的口令，口令的英文是password，我们的银行卡密码、网站的登录密码就是这类密码。

我们这里的密码指的是密码学，是一种用于加密的算法，英文是cryptography。我们常在谍战片中看到我方破解了敌方的密码，就是这里讲的密码。密码学最早起源于军方。

二战期间，英国的计算机科学家图灵破解了德国的恩尼格玛密码，美军也破解了日本最厉害的密码机（紫色），密码的成功破译使得第二次世界大战提前两年结束。

二战最著名的一场战役非中途岛战役莫属。中途岛是美国非常重要的军事要塞。孤注一掷的日军，准备在此地彻底击垮美国海军太平洋舰队，为此，他们制定了详细周密的攻击计划。但这一切计划，都被美军提前破译。由于信息的不对等，日军错误地估计了美军的参战航母数量，低估了对手的实力，导致了中途岛战役的完败。这次战役，使得日本在太平洋战场丧失了军事优势，也逐步走向战争的最终失败。有美国高级军官评价，这是日本海军350年来，第一次决定性的失败。

恩尼格玛密码最大的问题是不能让别人知道加密的规则。不同于恩尼格玛密码。在得安的解决方案里我们使用的是国产密码算法——SM2系列算法。国产密码算法的技术细节是公开的，但破解国产密码算法却是无法完成的难题。

打个比方，国产密码算法就类似于一个非常安全的锁，钥匙只有我自己有。任何人给我发送信息都可以用这把锁进行加密。锁有无数把，但钥匙只有我有，而且我可以保证不管别人怎么研究我的锁，也根本配不出开锁的钥匙。

原理搞明白了，这里面的关键问题是要怎么做才可以保证别人无法配出我的钥匙。这里面核心的原理就是大质因数分解。SM系列国产密码算法之所以安全是因为它基于两个超大质数的乘积。所谓质因数，就是可以被自己和1整除的数字，比如13*23=299，这个过程很容易计算，但如果我们想知道299是哪两个数字的乘积，这个计算就比较麻烦，如果数字足够大，破解就会指数级上升，变得无法实现。

把大数字相乘，这个运算对计算机很容易，但是有了乘积让你把它分解成那两个大质数，对现有的“经典”计算机非常困难 —— 加密容易解密难，靠的就是这一点。

讲到这里，懂行的朋友肯定会问，量子是不是可以破解国密算法，这里我可以非常肯定的告诉大家——做不到。一方面是量子目前的应用只限于量子通讯，另一方面抗量子算法的出现也使得量子即使理论上可以进行加解密但实际上也毫无价值。

对密码有了初步的了解之后，下面我们看看密码到底有啥用？在安全事件层出不穷的情况下，我们怎样使用密码从根本上解决网络安全问题。

2015年2月海康威视在江苏遭遇“黑天鹅”事件。这份由江苏省公安厅科技信息化处签发的文件称的海康威视监控设备存在严重安全隐患（初始密码未改所致），部分设备已被境外IP地址控制”。

2016年9月-10月“Mirai”横扫全球，安防视频监控设备再遭毒手。

“Mirai（僵尸网络，DDos）利用物联网设备的默认用户名密码发起网络攻击，使得目标服务器系统资源耗尽，导致用户无法正常访问。

由于物联网设备众多，导致安防视频监控系统正在成为网络攻击的“重灾区”。这其中暴露的问题是传统的网络边界已经受到严峻的挑战，由于无所不在的物联网设备，导致专网、内网也难逃黑客的攻击。虽然相对于互联网，专网、内网业务系统的用户比较明确或可控，但专网、内网不代表安全。

2010年卡巴斯基发布的震网病毒（Stuxnet），它不像一般的病毒，干扰电脑正常运行或盗窃用户财产和隐私，其最终目的是入侵工业控制系统，专门攻击敌方有重要价值的基础设施，也标志着网络军备竞赛的开始。震网利用西门子公司控制系统的漏洞破坏了伊朗的核设施，卡巴斯基实验室 认为“除非有国家和政府的支持和协助，否则很难发动如此规模的攻击”。

俄乌冲突之下，现代战争已经从传统的军事战转向了网络战。

3月10日，“匿名者”声称入侵了俄罗斯石油公司的德国子公司，并窃取了 20 TB 的数据。

3月17日，俄罗斯国家控制的石油管道巨头Transneft遭受黑客攻击，导致79GB数据泄露。

5月9日，在美国最大燃油管道遭遇勒索软件攻击后，多州进入紧急状态，美国政府启动紧急法。

英国智库发布的《网络能力与国家实力：净评估》报告指出：

中国网络空间能力迅速提升，数字经济工业基础高速发展，已建立世界上范围最广的网络空间国内监控和审查系统，但中国更关注网络空间内容安全而非物理网络传输安全，与美国相比，中国的核心网络空间防御薄弱，在国家关键基础设施网络空间保护政策方面尚处于早期发展阶段。

为了应对海康威视类似的黑天鹅事件，我们就必须转变传统思路。纳西姆·塔勒布在他的《黑天鹅》系列丛书中给出了解决方案，应对黑天鹅事件就必须建立反脆弱机制。所谓的反脆弱就是尼采说的“杀不死我的，使我更强大”，从网络安全角度来看，就是使用密码建立一种主动防御系统。

利用漏洞进行攻击是网络安全永远的命题，以密码为核心的安全可信才能应对恶意攻击，才能建立安全的反脆弱机制。使用国产密码算法按照国密规范进行身份认证、权限防篡改、信息加密、数字签名就是建立一种主动防御安全防护系统，使得攻击者进不去，获取机密信息也看不懂，类似Stuxnet（震网）、“Mirai（僵尸网络，DDos）”这些病毒就会不查、不杀、不挡而自灭。

如果用一句话来总结我上面的发言，那就是密码是保障网络安全的根本性技术。有了上面的铺垫，下面我结合石油行业谈谈得安对无人值守站安全应用的思考。

在数字化和工业化深度融合的背景下，近10年来油气行业在自动化、智能化，坚定不移的实施了“无人化”或者说是“少人化”建设。无人值守站是突破固有模式寻求提质增效的积极探索，对加强油气站库运行管理、降低员工劳动强度和安全风险、提高工作效率和生产效能等方面起到了积极作用。但由于存在大量物联网设备（探测管道气压的传感器，摄像头等物联网设备），设备安全和数据安全同样值得重视。

2021年颁布的《关键信息基础设施安全保护条例》第二条对关键基础设施给出了明确的定义，石油行业已被列为国家关键基础设施需要重点保护。

 为了加强油气田战的安全防范能力，且满足等保2.0的安全要求，结合油气田的实际情况，我们提出了“全面兼顾、精准防控、全网认证、密文处置“四步一体的思路，构建无人值守站的身份可信、数据加密、数据完整和行为的不可抵赖。

全面兼顾指的是严格遵循国家标准和行业规范，提供视频安全和物联网组件，全面兼容海康、大华等厂商的产品，降低密码在无人值守站方面的应用门槛。

精准防控指的是内置监控平台，对视频终端、传输网络和视频系统进行全面监控，辅助管理人员及时发现风险，便于管理人员及时进行安全加固。

全网认证指的是对接入网络的设备和人采用国密算法进行身份认证，密文处置指的是基于国密算法对数据传输和数据存储进行加密，使得视频等数据无法解密，控制信令无法篡改。

通过对视频和物联网设备进行安全加固，建立一种主动防御安全防护系统，使得攻击者进不去，获取机密信息也看不懂，全面杜绝安全风险的发生。

得安的无人值守安全应用解决方案，主要包含了视频安全、物联安全和密码模块。视频安全管理主要有视频安全播放器、身份认证、权限管理、安全审计等功能，物联安全主要有终端接入安全、安全网关、平台安全等，密码模块主要有认证、加密、签名等服务。设计上整个产品采用了微服务架构，使得各个功能可独立提供，也可以根据业务需要组合。

在网络部署上，基于密码的视频加密和物联网安全采用旁路接入，可以降低系统实施的难度，同时解决视频信息和物联网设备接入安全、链路安全和数据安全。

最后介绍一下得安公司的一些案例。

得安创立了中国商用密码领域历史上的10 个第一

l 获得中国商用密码领域第⼀个产品批号

l 获得中国商用密码行业第⼀个国家科技进步奖

l 成功研发中国第⼀代商用密码卡和密码机

l 牵头制定中国第⼀批密码行业标准规范

l 成功研制中国第⼀批支持国产算法的密码卡和密码机

l 承建中国证券⾦融第⼀套SMS100-1网络安全平台

l 建设了中国人民银行第⼀个CA系统

l 建设了第一个金融云密码应用系统项目——建设银行新一代核心系统金融云密码服务平台

l 承建了第⼀个通过专家验收的国家⾦融及重要领域试点项目——济南政务云平台密码应用试点

l 承建了第一个通过密码评测的信创政务云密码应用项目---福州政务云密码支撑专项

主持7项密码标准，其中国标3项，行标4项

l GT 33560-2017    信息安全技术密码应用标识规范

l GB/T 38629-2020    信息安全技术签名验签服务器技术规范

l GB/T 38636-2020    信息安全技术传输层密码协议(TLCP)

l GM/T 0006-2012 密码应用标识规范

l GM/T 0029-2014签名验签服务器技术规范

l GM/T 0030-2014服务器密码机技术规范

l GM/T 0060-2018 签名验签服务器检测规范

与此同时，得安还承担了陕西省、福建省、江西省、广东省、国家部委等省市密码服务系统建设。

以上就是本次汇报全部内容，期待我们在密码产业群策群力，集思广益，革故鼎新！