1　概述

工业控制系统（Industrial Control System，以下简称“工控系统”）涉及到电力、能源、交通、石化等国家关键基础设施的各个领域。工控系统所处的网络安全环境日趋严峻，密码体制作为保障网络安全的基石，在工控系统的安全防护中应继续扮演核心角色。如何将我国自主可控的密码体制安全、高效、合理地应用到工控系统当中，业已成为维护我国工控系统安全的基础性重大课题。

工控系统的安全防护较之传统信息安全难度大大提升。一是工控系统的发展与信息技术深度融合，这种融合表现在集成和使用大量资源受限设备，例如传感器、可编程逻辑控制器、智能仪表等，使得对安全的关注主要集中在资源受限设备或系统上；二是安全技术在工控系统实现的有效性和适配性使得安全防护难度加大，因为安全技术的实现除考虑技术本身的可行和有效外，还需考虑目标系统的可靠性、性能等重要指标受到安全技术影响的程度。因而我们将密码技术在工控系统中的应用需考虑的问题划分为两个方面：

（１）密码侧：密码技术在工控系统中实现的有效性和适配性问题；

（２）系统侧：密码技术的实现对工控系统可靠性和性能指标的影响问题。

针对资源受限设备的密码应用，国际和国内目前主要聚焦在轻量级密码技术的密码侧，以及少量系统侧指标，如吞吐率等的分析。本文将主要探讨轻量级密码在技术研究、标准化研究等方面的进展情况。

2　聚焦轻量级密码

2.1　范围

轻量级密码是密码学的一个分领域，其目标是针对资源受限设备，经过定制或裁剪产生的密码解决方案。资源受限设备的应用领域包括：汽车系统、传感器网络、医疗设备、分布式控制系统、物联网、信息物理系统以及智能电网等。当前的传统加密算法虽然可以通过工程化技术方法在资源受限设备中实现，但其性能也许是无法接受的。传统加密算法针对的是PC、服务器、平板以及智能手机等，而轻量级密码则主要针对嵌入式系统、RFID、传感器网络等。轻量级密码研究发展时间简表如图1所示。

图1 轻量级密码研究发展时间简表

2.2　性能度量

对于轻量级密码算法，其性能度量主要从硬件度量和软件度量考虑，分为能量消耗、延时、吞吐率三个维度。硬件平台的性能需求通常用（电路设计）等效门（Gate Equivalent）来表示，比如已知的紧凑型AES-128算法实现需要2090-2400个等效门；而软件应用的性能需求则从寄存器数目、RAM和ROM的字节数等来表示。

3　实现的基本组件（Primitives）

实现轻量级密码的基本组件包括分组密码、散列函数、消息认证码，以及流密码。

（1）轻量级分组密码：目前，一部分轻量级分组密码是基于原有加密算法，经过设计简化形成的，如DESL是DES的变体；另一部分是重新开始密码的新型设计，如PRESENT、SIMON和SPECK等算法。相较于传统分组密码，轻量级分组密码具有如下优点：更小的分组规模、更小的密钥规模操作回合更简单、更简单的密钥、简化的密钥调度、最小化的实现方式。

（2）轻量级哈希函数：更小的内部状态和输出规模；更小的消息尺寸；主要的轻量级算法包括PHOTON、QUARK、SPONGENT和Lesamnta-LW等。

（3）轻量级消息认证码：针对消息的认证和完整性特点，Chaskey、TuLP、LightMAC等算法。

（4）轻量级流密码：主要包括Grain、Trivium和Mickey等。

4　技术和标准研究现状

美国NIST从2013年开始启动轻量级密码研究项目，但这并不代表该领域的研究以此为开端。事实上，对轻量级密码的研究可分为技术研究、标准化研究这两大部分。

技术研究是根据密码算法在具体应用领域的具体需求而进行，以目前所了解的范围来看，最早可追溯到1994年Needham等人的Tiny Encryption Algorithm（TEA）研究，它是一种描述简洁、实现简单的分组加密算法，因而在不同应用领域和场景上，尤其在嵌入式系统领域，轻量级密码算法一直是各种应用的重要需求之一。轻量级密码在硬件和软件实现上分别使用GE等效门和RAM/ROM字节数作为评估指标。较为全面的对比可参考Manifavas等人在2014年所做的分析研究，其对包括AES、SPECK、DESL在内的37种密码算法的轻量级硬件实现和包括PRESENT、IDEA、DESX等在内的26种软件实现进行了详细对比分析。

最新轻量级密码技术研究成果可参考欧盟ECRYPT项目的四个Workshop，包括LightSec,RFIDsec，Lightweight Crypto Day，以及美国NIST在2015年和2016年举办的两次LightweightCryptography Workshop。

标准化研究是对轻量级密码算法进行标准立项，根据算法的功能、实现、应用环境等进行标准研制，这方面在NIST之前，主要有IEC和日本“密码研究和评估委员会”（Cryptography Research andEvaluation Committees，CRYPTREC）在进行相关工作。具体为：

（1）IEC/ISO 29192《轻量级密码》标准系列：首次发布为2012年，包含6个部分，算法目标覆盖机密性、认证、鉴别、抗抵赖性以及密钥交换；

（2）IEC/ISO 29167《自动识别与数据采集技术》标准系列：首次发布为2012年，目前为止该标准共包含19个部分，其中第1部分描述了RFID设备的安全架构需求，并在其余各部分中，分别具体定义了包括AES、PRESENT、ECC-DH在内的无线/射频空中接口通信密码技术；

（3）日本CRYPTREC于2013年成立轻量级密码工作组，致力于研究和支持其电子政务及任何需要轻量级密码的应用，该工作组于2015年发布了关于轻量级密码的调查报告，其中对AES、Camellia、CLEFIA、PRESENT等算法及其应用进行了详细分析，同时对这些算法进行了实现评估。

4.1　NIST轻量级密码项目

2013年美国NIST对轻量级密码的标准化研究立项，意在征集轻量级密码算法和轻量级密码评估制标。项目目的体现在以下方面：

（1）了解真实世界的应用需求和特征；

（2）了解NIST已批准的算法究竟在哪些地方、应用上出现不足；

（3）政产学三者结合；

（4）规划轻量级密码部件的未来标准。

项目在轻量级密码的设计上提出如下7点考虑：安全强度、灵活性、多重功能下的低开销、密文扩展、侧信道、明文-密文对的数量限制、相关密钥攻击。

NIST对项目征集的轻量级密码算法进行评估和推荐。评估的考察框架针对目标设备和应用的类别，框架的主要特征点如表1所示。

表1 轻量级密码算法评估框架

关于密钥大小的问题，NIST提出：使用更短的密钥长度以降低芯片、电路容积需求；根据NIST SP 800-57，低于112bit的密钥将不允许（不计划）使用。如表2所示。

表2 NIST密码算法密钥长度使用情况

4.2　轻量级密码在资源受限设备安全中的应用角色

工控系统网络可分为四个层次，即企业网络、监控网络、过程控制网络、生产现场网络，其中过程控制和生产现场网络的资源受限设备最为集中。轻量级密码将主要针对这两个层次的应用，其角色可分为四类：

（1）身份认证：资源的访问和操作需要对执行主体的身份进行认证，以确定操作权限；凡涉及企业或其他人员介入的业务操作流程，必须进行身份验证；此外还包括各层次中和层次之间，子系统和设备交互时也需要进行端到端身份验证，以确保系统信息流的保密性、完整性和可用性。

（2）消息认证：过程控制和生产现场层次中和层次之间存在大量的通信需求，包括各资源受限子系统和设备间的各种信息流向；身份认证用于确保信息流双方身份的合法性，而消息认证则确保双方通信的完整性，即通信过程中不会发生消息内容修改、顺序修改和计时修改。轻量级密码在资源受限设备安全中的应用进展情况。

（3）传输加密：资源受限各子系统和设备之间的此外，文章也分析了轻量级密码在资源受限设备安全通信可能涉及到系统运行的关键参数、状态数据、企中的四类应用角色。业涉密信息的传输，因而需要采用可靠的加密方式进行通信；基于轻量级密码的传输加密措施必须满足控制系统设备的带宽、计算性能等约束性条件。

（4）安全事件追溯：工业控制系统在安全事件发生时和发生后，为了使系统管理员能准确、及时的查找事件发生相关责任者和相关资源，因此需要对各子系统和设备部署增加安全事件追溯功能；事件追溯一般通过对系统安全日志的审计和查询，并利用操作主体的数字签名和时间戳进行分析和查找。

5　总结
工控系统集成和使用了大量资源受限设备，工控安全密码应用需要考虑系统侧和密码侧两方面问题。
本文以轻量级密码在资源受限设备安全中的应用为主要探讨对象，从技术研究、标准化研究等方面分析了轻量级密码在资源受限设备安全中的应用进展情况。此外，文章也分析了轻量级密码在资源受限设备安全中的四类应用角色。

作者简介

向宏（1964-），四川成都人，重庆大学教授、信息物理社会可信服务计算教育部重点实验室主任，担任国家密码行业标准化技术委员会委员、国家商用密码总体专家组成员等。近年来发表SCI/EI等学术论文40余篇，出版学术专著5部；主持国家863计划项目、国家重点研发计划课题、国家自然科学基金等项目50余项。

夏晓峰（1980-），四川夹江人，重庆大学副教授、中国自动化学会工业控制系统信息安全专委会委员、工业控制系统信息安全产业联盟理事等。发表SCI/EI等学术论文20余篇，出版科学出版社编著1部；获得2016年中共中央办公厅“党政密码科技进步奖”；主持国家重点研发计划网络空间安全重点专项子课题、若干省部级科研项目及国家电网科研项目。

参考文献：

[1] 夏晓峰, 向宏, 等. 工业控制系统密码应用研究课题指南[R]. 北京：国家密码管理局，2016.

[2] 夏晓峰, 向宏, 等. 工业控制系统信息安全需求分析[R]. 北京：国家密码管理局，2016.

[3] 夏晓峰, 向宏, 等. 工业控制系统密码应用安全需求及关联性分析[R]. 北京：国家密码管理局，2016.

[4] Charalampos Manifavas1, George Hatzivasilis, Konstantinos Fysarakis, 等. Lightweight Cryptography for Embedded Systems – A Comparative Analysis[C]. The 6th International Workshop on Autonomous and Spontaneous Security. Lecture Notes in Computer Science, vol 8247. Heidelberg : Springer，2014 (8247) : 333 -349.

[5] Kerry A. McKay, Larry Bassham, Meltem S.nmez Turan, 等. NISTIR 8114：Report on Lightweight Cryptography[R]. USA: NIST. 2017.

[6] Caitlin Durkovich. Critical manufacturing sector cybersecurity framework implementation guidance[R]. USA: DHS, 2015.

[7] National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[Z].

[8] Keith Stouffer, Jim McCarthy. Capabilities assessment for securing manufacturing industrial control systems[R]. USA: NIST, 2017.

[9] Keith Stouffer, Timothy Zimmerman, CheeYee Tang, 等. NISTIR 8183: Cybersecurity Framework Manufacturing Profile[R]. USA : NIST, 2017.

[10] Okamura Toshihiko. Lightweight Cryptography Applicable to Various IoT Devices[R], Japan: NEC, 2015.

[11] Keith Stouffer, Victoria Pillitteri, Suzanne Lightman, 等. NIST SP800-82r2: Guide to Industrial Control Systems (ICS) Security[R]. USA :  NIST, 2015.

[12] Protecting Industrial Control Systems[R]: European Network and Information Security Agency, ENISA, 2011.

[13] National Institute of Standards and Technology. Security and Privacy Controls for Federal Information Systems and Organizations[Z].

[14] NIST FIPS PUB 140-2-2001, Security Requirements for Cryptographic Modules[S].

[15] ANSI/ISA-TR99-2007, Security Technologies for Industrial Automation and Control Systems[S].

[16] ISA/IEC-62443-1-1-2013, Security for industrial automation and control systems – terminology, concepts, and models[S].

[17] Elaine Barker. Recommendation for Key Management[R]. NIST SP800-57 Part 1, 2016.

[18] 马一林, 夏晓峰, 向宏, 等. 浅析工业控制网络中的批量安全认证问题[C]. 第5届全国电子认证技术交流大会论文集，2018.

摘自《工业控制系统信息安全专刊（第五辑）》