工联网消息(IItime) 近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。

工业互联网安全需求

工业互联网平台是面向企业数字化、网络化、智能化转型需求，构建基于海量数据采集、汇聚、分析的服务体系，支撑工业企业万物互联、信息共享、高效运转的云平台。工业互联网平台的信息安全至关重要，如果平台安全无法得到保障，企业用户对于平台的信任就会缺失，最基础的数据上云就会阻碍重重，没有数据的支撑，工业互联网所带来的知识建模、大数据分析、微服务组件开发等优势就无法显现，工业互联网平台也就成了一个没有灵魂的空壳。

“震网病毒”就是工业互联网领域的一个典型攻击案例，它通过USB接入工厂内部网络，绕过了防火墙、网闸等传统设施，通过修改程序命令，取得关键设备的控制权并进行伪装，让生产浓缩铀的离心机异常加速，超越设计极限，致使离心机报废。

由此可见，在我国大力发展工业互联网的同时，如何保障连接工业互联网的工业设施安全也是一个不容忽视的问题。密码技术作为保障工业信息安全的基础性技术，有助于加强账户管理、身份认证、数据传输与保护等安全服务，在工业互联网平台安全防护中有着不可或缺的地位，而这其中国密算法的推广应用则任重道远。

何谓国密算法？都有哪些？

国密算法是我国自主研发创新的一套数据加密处理系列算法，主要区别于目前数据安全领域常用的AES、RSA、MD5、ECC等国际密码算法。目前国产商用密码算法已经形成一套完整体系，既有SM1、SSF33、SM4、SM7等对称密码算法，也有SM2、SM9等非对称密码算法，同时还有SM3杂凑密码算法。这一系列密码算法各具特点，适用于不同的应用场景，涵盖了数据加密、签名、完整性校验等全方位的安全功能需求，并且国密算法的安全性、加密速度等性能也比国外常用的密码算法有所提高。

为什么要用国密算法？

国际密码算法标准发展早、普及广，在国内外互联网行业应用极为广泛，相比而言国密算法可能还鲜为人知，但是其在工业互联网的应用却有重要意义。由于工业互联网是互联网和工业的深度融合，打破了传统工业领域相对封闭可信的环境，互联网的种种安全威胁将直接渗透延伸至工业领域，网络攻击可直达生产一线。

工业互联网涉及面广泛，包括能源、化工、电力、水利、高端装备、智能制造等众多工业领域，平台汇集的数据经过挖掘、建模、分析后，会形成工业知识组件、原理模型组件等重要数据的微服务组件，一旦相关数据发生泄漏，不仅工业企业的利益遭受侵害，甚至国家经济都会被限制。此外，工业互联网一旦遭受网络攻击，不仅会造成系统或服务中断、数据泄露等传统互联网安全问题，还可能会引发生产安全问题，导致类似污染性物质泄露、爆炸性破坏、大面积断水断电等安全事件，对企业、社会和国家安全都会造成极大危害。

在这些重要领域如果使用国外密码算法，其潜在风险是极其巨大的。一方面，国外密码算法本身就存在脆弱性，并不是绝对安全的，例如MD5算法的可碰撞性攻击、RSA算法的共模攻击都暴漏了其安全缺陷。另一方面，不可控的国外算法中有可能会被恶意嵌入远程木马等危险程序，具有未知的安全隐患，例如RSA就曾在其软件Bsafe中嵌入了NSA开发的被植入后门的伪随机数生成算法Dual_EC——DRBG。

因此，工业互联网所用的密码技术必须走自主可控之路，国产密码的应用价值和优势由此凸显。安全的平台离不开安全的密码技术，国密算法凭借着安全性高、自主可控等优势自然成为保障工业互联网安全的首要选择。结合其加密速度快、开销和成本低、易于实现等特点，国密算法特别适合应用于嵌入式物联网等领域，实现身份认证和数据加解密等功能。

国密算法助力工业互联网

密码技术作为一种基础的安全防护手段，贯穿工业互联网平台边缘接入层、IaaS层、PaaS层和SaaS层的加密、认证、完整性校验等过程，在工业互联网平台的应用前景十分广泛。

1）账户加密

业互联网平台中存在着各式各样的设备和用户账户管理，只要需要进行登录和授权，就必然存在账户管理。账号和口令的安全关系到用户对于平台的信任度，一旦账户信息发生泄漏，对于用户数据安全和平台业务推广都具有极大的负面影响。国密算法中的SM1、SM7、祖冲之加密算法即可在此场景进行推广应用，通过安全的国产加密算法对账户和口令实行加密存储，即便账户信息被盗取，也能保证数据信息无法解密，为用户账户安全添上一道安全防线。

2）安全认证

认证与鉴别贯穿工业互联网平台的各个层次。在平台边缘接入层有海量的设备接入，需要对接入的设备和用户进行身份认证与鉴别，只有通过认证的实体才能允许接入并开始传输数据；在IaaS层，需要对服务器用户进行身份鉴别；在PaaS层及SaaS层，需要对登录用户进行身份认证和鉴别。国密算法中的SM2密码算法秘钥生成速度快、安全性高，相比RSA可以更好地实现身份认证和鉴别功能，应用SM2对边缘设备进行身份认证和鉴别，还能够本质提高设备接入安全。

3）通信保护

工业互联网平台应确保通信的保密性、完整性、不可否认和篡改性，比如在PaaS层进行数据挖掘和分析时，要保证原始数据不被篡改、完整可用，且需要确保重要隐私数据不被泄露，这就需要对通信数据实施加密保护。在平台通信过程中应用SM1、SM2、SM3等国产密码算法，能够确保工业互联网平台通信过程安全、可靠、可控，切实保护用户数据安全，维护企业利益不受侵害。

近年来随着5G、区块链、人工智能等新兴技术的飞速发展，密码技术作为数据治理和信息保护的重要手段，也已进入发展快车道。不断完善的国密算法体系，对于构建我国安全、自主、可控的工业互联网平台意义重大，将会成为工业互联网安全一道坚实的“防火墙”，有助于国内快速发展的工业互联网行业进一步腾飞。“DAO技术实验室”是航天大道公司联合国内多家知名大学工控安全领域专家，成立的工业互联网安全技术研究实验室。实验室专注工业互联网关键软硬件产品的自主可控和工业物联网攻防相关技术，支撑工业互联网安全健康发展。未来“DAO技术实验室”将秉承“以科技创新手段使工业互联网更安全”的宗旨，跟踪国际工业互联网攻防先进技术，以可控、可信、可靠为落脚点，为行业客户和区域客户提供端到端的产品与系统解决方案，携手“长征云工业互联网安全技术生态合作伙伴”共同推进工控安全事业发展。