★中广核数字科技有限公司张智柏，褚瑞，姚红云，张宏亮

关键词：国密算法；核安保；网络安全；等级保护；核电厂

核能作为国家能源体系的战略支柱，其安全运行直接关系国家安全与社会稳定。根据国际原子能机构（International Atomic Energy Agency，IAEA）统计，全球核电站年均遭受网络攻击事件超过5000次^[1]。我国《核安全法》第35条明确要求核设施运营单位建立全生命周期网络安全保障体系，其中商用密码技术是构建可信基座的核心支撑^[2,3]。核电站实物保护系统承载着访问控制策略、人员权限等多项高度敏感数据，这些数据一旦泄露或遭篡改，可能直接导致物理屏障失效、控制指令被劫持等严重后果，威胁核设施的安全稳定运行^[4]。因此，如何保护核电站实物保护系统中的敏感数据，是当前亟待解决的问题之一。

现代密码学发展于上世纪70年代，公钥密码学思想的提出解决了密钥分发难题^[5]；基于大数分解难题的RSA（Rivest，Shamir，Adleman，RSA）算法的提出^[6]，首次实现了非对称加密算法。随着高级加密标准（Advanced Encryption Standard，AES）、椭圆曲线密码等的提出，密码学逐渐被广泛应用于数字安全通信领域^[7]。密码技术现已成为网络信息安全的核心技术之一，其通过加密、认证和完整性校验三重机制，为敏感数据提供了“防窃取、防篡改、防抵赖”的立体防护。国家商用密码算法（国密算法）作为我国在密码核心领域自主研发的技术成果，其安全性和可靠性已得到国际公认^[8]。

1　国密算法及核安保系统

1.1　国密算法

2011年，我国发布了近百项国密标准，覆盖算法、芯片、协议等。随着技术标准化的推动，国密算法作为我国自主研发的密码技术体系，已构建了包含对称密码、非对称密码、杂凑算法在内的完整技术矩阵，在保障信息安全领域发挥着关键作用^[7]。

对称密码技术的密钥机制是使用同一数字密钥进行加密和解密，如图1所示。其中SM1、SM4、SM7等国密算法均为对称密码技术。对称密码技术加密速度快，计算效率高，适合大数据场景下进行加解密。其局限在于密钥分发需依赖安全通道，易受中间人攻击威胁。

图1对称密码技术

非对称密码技术构建公私钥体系，公钥用于加密或验证签名，私钥负责解密或生成签名，公钥和私钥分离，且基于数学难题构建单向安全函数，避免了依赖安全通道的难题，如图2所示。因此非对称密码技术破解难度高，多应用于身份认证、安全密钥协商等场景。SM2、SM9等算法为非对称密码技术^[9]。

图2非对称密码技术

目前，国密算法已被应用在移动支付、电子证件、物联网、区块链等多个领域，保障了关键信息基础设施安全及经济建设^[10]。

1.2　核安保系统

按照纵深防御的原则，核电站安全区域划分为控制区、保护区和要害区。控制区包括所有核电厂相关设施的建筑物，采用单层铁丝网围栏作为周界。保护区位于控制区内，包括所有影响核电厂运行的设施。沿保护区周界上设置了周界探测及报警复核手段，进出保护区需通过保护区主出入口（UD），由出入口设施控制通行。要害区位于保护区内，该区域内的设施均与核安全有关，其设备及材料均应严防破坏和盗窃，否则将严重危及核安全。进出要害区的人员和车辆应严格限制^[11]。

对于整个核电站，核电站实物保护（核安保）系统是保障其安全运行、防范恶意破坏和意外风险的核心防线。核安保系统不仅保护核材料和设施本身，更是在保护周边居民的生命安全、环境稳定以及核电行业的可持续发展。

核安保系统通过监控、边界划分及探测报警等手段，监管并预防核电站的非法入侵及攻击行为。其主要包括四个子系统，分别为门禁控制系统、周界入侵探测系统、视频监控系统、集成安保管理控制系统。门禁控制系统实现对厂区人员以及车辆的出入管控，周界入侵探测系统完成对各类入侵行为的监测，视频监控系统完成对各类入侵行为的视频复核与录像，集成管理平台完成对其余三个系统的集成管理。

2　核安保系统密码应用框架

核安保系统中密码应用框架如图3所示，主要分为用户层、应用层、密码服务层和基础设施层。

图3密码框架示意图

基础设施层主要包括服务器密码机、签名验签服务器、智能密码钥匙、VPN安全网关、动态口令服务器、数字证书认证系统、密钥管理等密码设备，向密码服务层提供基础密码服务。其中：

（1）服务器密码机

用于为应用系统保护和管理加密密钥，可执行对称加解密、摘要计算等高强度密码运算服务。服务器密码机所有密钥的生成、存储和使用均使用硬件完成，防止软件层面的窃取，同时通过物理防护手段防止篡改。服务器密码机的固件和操作系统经过数字签名验证，可保障应用系统敏感数据存储的机密性、完整性。

（2）签名验签服务器

用于执行数字签名生成与验证，用以保障数据的完整性、真实性和不可否认性。在数字签名生成阶段，用户使用私钥对数据进行加密运算，生成数字签名；在签名验证阶段，接收方使用签名者的公钥对数据进行解密，并进行验证哈希值是否与原始数据一致，若结果一致，则证明数据未被篡改。签名验签服务如图4所示。签名验签服务器一般与公钥基础设施集成，通过颁发数字证书绑定公钥与身份，确保签名者身份合法。其可为目标系统提供数字签名、验签、MAC、杂凑、数字信封、数字证书管理等多项功能，支持SM1/SM2/SM3/SM4国密算法，可解决敏感信息机密性、完整性、有效性和不可否认性等安全性问题。智能密码钥匙配发给授权访问用户，用于存储个人证书及公私钥，实现登录用户的身份鉴别。

图4签名验签服务示意图

（3）数字证书认证系统

采用非对称加密技术，用于管理数字证书的生成、分发、验证和吊销等操作，确保应用系统中用户、设备、服务等实体身份的真实性、数据的机密性和完整性。数字证书认证系统对系统中的实体生成一对密钥，公钥公开，私钥进行保密，通过根证书、中间证书逐级签名，搭建证书信任链，可实现身份认证、数据加密、数字签名、权限控制等功能。

（4）VPN安全网关

为用户内部网络数据传输建立加密通信隧道，实现设备与用户、设备与设备之间的安全连接，并通过数据加密和严格的身份认证，提供机密性、完整性保护以及数据源鉴别等安全保障，可满足用户数据传输的安全性需求。

（5）动态口令服务器

通过生成和验证一次性密码，使用动态变化的认证凭证提升身份验证的安全性，确保每次认证时的密码唯一且有效，用于核心服务器登录身份鉴别。

密码服务层由数据加解密、数字签名、证书、密钥管理、加密传输等服务组成，为应用系统提供对应的密码服务。密码服务需要依赖密码基础设施实现。密码服务层提供国密SDF接口以及用于第三方应用集成的SDK开发包等接口服务，用于实现第三方应用系统对密码服务的集成和调用。

应用层主要面向第三方应用系统，实现数据的机密性、完整性保护。

用户层主要面向系统管理人员及运维人员，根据业务系统用户权限分配角色，实现用户真实身份鉴别。

3　国密算法解决方案应用与分析

核安保系统涉及核电厂全生命周期保护，在安全等级保护的基础上，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面构建安全可靠的密码防护基线^[12]。

（1）物理和环境安全方面

需要进行物理访问控制，要对人员进行身份认证和权限管理，严格控制不同授权人员进入不同安全等级的区域，避免非授权人员进入物理环境；要对电子门禁记录数据、视频监控记录数据等敏感数据进行数据保护，防止遭到非授权篡改。

核安保系统机房存放计算、存储、网络、安全等设备，机房出入人员采用国密算法的智能IC卡和口令的方式进行身份鉴别。对于配套安保管理平台数据库，采用数字签名系统构建数据的完整性保护。对于机房、关键区域门禁等重点区域的视频监控，选择加密摄像机，通过视频数据加密和认证功能、数字证书管理等，实现数据防篡改及信源可信，保证监控数据的保密性、真实性和完整性。

（2）网络和通信安全方面

需要防止非法通信实体从外部接入内部网络的情况发生，防止网络边界被破坏；对于网络通信链路要进行数据保护，防止数据被非授权截取、篡改。

核安保系统为局域网，不涉及与其他系统联通，且系统核心服务器、安全设备、数据库均采用本地维护的方式，不涉及远程运维通道。系统主要涉及摄像机等前端监控设备与核心系统之间的通信信道、操作员站等系统用户与核心系统之间的通信信道。核电厂中已应用的集成安保管理平台难以二次开发，选择基于国密算法的VPN安全网关构建安全传输通道，建立SSL安全协议来实现通信数据加密和完整性保护，为业务人员访问业务系统提供传输加密服务。SSL安全协议工作于传输层与应用层之间，基于会话对特定数据进行保护，对设备性能要求较低。同时为实现边界安全传输通道建立，采用数字签名密码技术对网络边界访问控制信息进行完整性保护。

（3）设备和计算安全方面

主要确保服务器、密码设备、数据库管理系统等设备固件安全、密钥等计算资源得到保护，包括登录设备用户身份的真实性、系统资源访问控制信息和日志的完整性等。

采用ukey、口令及动态口令的方式登录主、备服务器，ukey采用满足国密算法的智能钥匙进行登录，结合数字证书时间进行身份鉴别，保证用户身份标识唯一性，防止非授权人员登录、用户远程登录身份鉴别信息被非授权窃取。密码设备使用国密芯片，密钥不离开安全区。对于工作站等通用设备，建立完善的管理制度，由指定的授权人员进行系统资源、日志和程序的访问及管理。

（4）应用和数据安全方面

应进行访问控制，防止非授权人员登录系统；应对身份鉴别数据、门禁数据、视频监控数据等重要数据进行传输和存储的机密性保护和完整性保护。

核安保系统通过应用服务器密码机保护访问控制权限列表不被篡改，同时使用SM4算法对视频监控中的重要数据进行加密运算，实现数据的加密存储，调用数据时可进行数据还原。在重点区域使用加密摄像机，实现监控数据传输过程的加密。通过VPN安全网关建立安全通信链路，实现对集成安保管理平台数据库的存储机密性、完整性保护。

目前，多个核电厂核安保系统已成功应用国产商用密码的解决方案。在实际应用中，加密摄像机清晰度较高，具有良好的实时性，且对于非授权用户无法查看监控录像。VPN加密通道、动态口令登录等运行状态良好，有效提高了网络安全保障能力，完成了对核心数据的完整性、机密性和真实性保护。

4　结论与展望

本文研究了核安保系统国密算法技术的应用框架，分析了当前商用密码设备在核安保系统中发挥的关键作用，阐明了商用密码技术在四个安全方面发挥的保护作用，证明了其实际部署应用的效果良好。随着国密算法技术在核安保系统中的实践验证，未来其应用场景有望向核电站全场景覆盖，构建全方位、全周期立体防护体系。

当前密码应用方案在复杂的工控环境下仍面临多重挑战，如传统算法对实时性要求极高的核电控制系统适配性不足，存在加密延迟影响；对视频流等大数据加解密时，对设备性能要求较高；密码系统跨平台兼容性有待提升，部分老旧设备难以支持新型密码协议。对此，应推动密码协议与工控协议的深度融合，加强密码设备与高精工控系统设备的技术优化，解决设备兼容性问题，逐步加强网络安全防护能力。

作者简介：

张智柏（1996-），男，河北承德人，工程师，硕士，现就职于中广核数字科技有限公司，主要从事核电站网络安全设计工作。

褚　瑞（1984-），男，工程师，学士，现就职于中广核数字科技有限公司，主要从事核电站网络安全总体设计工作。

姚红云（1997-），女，工程师，学士，现就职于中广核数字科技有限公司，主要从事核电站网络安全设计工作。

张宏亮（1984-）男，高级工程师，学士，现就职于中广核数字科技有限公司，主要从事核电站仪控、网络安全和核安保设计工作。

参考文献：

[1] IAEA. Nuclear Security Report 2023[R]. Vienna: IAEA Publications, 2023.

[2] 中华人民共和国核安全法[Z]. 2017.

[3] GB/T 35275 - 2017, SM2密码算法使用规范[S].

[4] 李爽, 李卓佳. 核电站实物保护系统的设计过程与技术方案要素[C]. 中国核电仪控技术大会, 2011.

[5] Diffie W, Hellman M. "New directions in cryptography," in IEEE Transactions on Information Theory, 1976, 22 (6) : 644 - 654.

[6] Rivest RL, Shamir A, Adleman L. A method for obtaining digital signatures and public - key cryptosystems[J]. Communications of the ACM, 1978, 21 (2) : 120 - 126.

[7] 张峰, 李祥军, 于乐, 等. 国产密码的研究与应用[J]. 电信工程技术与标准化, 2020, (12) : 19 - 24.

[8] 李明, 等. 基于SM9的物联网跨域认证方案[J]. 密码学报, 2022, 9 (3) : 45 - 56.

[9] 包伟. 对称密码体制与非对称密码体制比较与分析[J]. 硅谷, 2014, (10) : 1671 - 7597.

[10] 陈思煊, 张爱娈, 沈雷. 数字认证与隐私计算在网络安全中的应用价值[J]. 网络空间安全, 2024, 15 (2) : 1674 - 9456.

[11] 姚红云, 褚瑞, 李红霞, 等. 基于国产商用密码的核安保系统解决方案研究[J]. 自动化仪表, 2023, 44 (S01) : 268 - 271.

[12] GM/T 0115 - 2021, 信息系统密码应用测评要求[S].

[13] GB 35114 - 2017, 公共安全视频监控联网信息安全技术要求[S].

[14] GB/T 39786 - 2021, 信息安全技术 信息系统密码应用基本要求[S].

摘自《自动化博览》2025年10月刊