★中国科学院沈阳自动化研究所机器人学国家重点实验室，中国科学院沈阳自动化研究所王天宇

★国家石油天然气管网集团有限公司东北分公司沈阳输油气分公司陈速

★大庆油田有限责任公司王刚

★国家机器人创新中心王铭浩

★中国科学院沈阳自动化研究所张博文

★国家石油天然气管网集团有限公司油气调控中心孙铁良，黄河，吕峰

油气管网作为国家能源输送的“大动脉”，其安全稳定运行直接关乎国民经济命脉与战略安全。随着工业互联网、5G、智能传感等技术的深度应用，管网系统正加速向开放化、智能化转型。但海量设备的泛在接入与数据的高频交互也暴露出严峻的安全短板——工控协议固有漏洞、无线通信链路劫持、跨域数据泄露等风险持续加剧。近年来，全球范围内针对油气管道的网络攻击事件频发，从控制系统恶意篡改到卫星通信数据窃取，威胁手段不断升级，传统以边界隔离、静态加密为核心的防护体系已难以应对动态化、协同化的新型攻击模式。

在此背景下，构建适应复杂网络环境的数据安全技术体系成为行业刚需。本文聚焦“通信链路-数据实体-网络边界”三大核心维度，结合轻量化加密、零信任架构、智能流量分析等前沿技术，系统探索油气管网从被动防御到主动免疫的升级路径。通过身份验证与动态密钥协商筑牢准入防线，依托协议深度解析与加密流量管控实现传输加固，并创新融合区块链溯源、抗量子算法等机制应对未来威胁。这些技术不仅为《关键信息基础设施安全保护条例》等政策落地提供了实践支撑，更将助力油气行业在数字化转型中平衡安全与效率，为全球能源基础设施的韧性化发展提供了参考范式。

1　油气管网数据安全保障技术

油气管网作为国家关键信息基础设施的核心组成部分，其通信系统在开放互联场景下面临网络攻击、数据泄露、非法接入等严峻的安全威胁。为应对通信链路暴露面广、数据敏感性高、网络边界模糊等挑战，本章以“准入控制-传输防护-边界隔离-溯源防御”为安全逻辑主线，构建了多层次纵深防御体系：通过身份验证技术实现设备与用户的合法准入鉴权，依托数据信息加密技术保障传输内容抗窃听与抗篡改能力；结合防火墙技术建立网络流量过滤与异常行为阻断机制，并通过IP地址保护技术防范地址伪造与网络追踪攻击。上述技术协同联动，既满足《工业控制系统信息安全防护指南》对管道通信系统的访问控制、数据保密性等要求，又形成覆盖“身份-数据-网络-地址”的四维防护闭环，为油气能源动脉的稳定运行提供了可靠安全保障。

1.1　身份验证技术

在工业互联网快速发展的背景下，身份验证技术已成为油气管网安全防护的核心环节。作为国家关键基础设施，油气管网涵盖远程监控系统（SCADA）、泵站控制终端、智能传感器等关键节点，其操作权限的严格管控直接关系能源输送安全。传统的工控网络多采用静态密码认证，例如通过预设账号密码登录阀门控制器或压力监测设备，但静态密码易被暴力破解或泄露，难以满足开放互联场景下的安全需求。随着油气管网智能化升级，动态密码技术（如基于硬件令牌或手机APP的一次性密码OTP）逐渐普及，通过与设备绑定手机号、邮箱实时生成动态验证码，有效防范了密码截获重放攻击，尤其适用于跨区域管道运维人员的远程安全接入。

生物识别技术进一步提升了油气管网身份验证的可靠性与便捷性。例如，在高压泵站等关键区域，操作人员需通过指纹识别或活体人脸验证完成身份核验后方可进入控制室。指纹识别依托其唯一性和不可复制性，可杜绝传统门禁卡丢失导致的非法入侵风险；而具备3D结构光与红外活体检测功能的人脸识别系统，能够有效防御照片、视频等伪造攻击，已在国内某天然气主干线中试点应用，并成功拦截多起冒用身份进入控制系统的安全事件。此外，针对管道巡检无人机、移动终端的身份管理，多模态融合认证（如“声纹+动态密码”“人脸+工控U盾”）正成为新趋势。其既满足《工业控制系统信息安全防护指南》对“双因素认证”的合规要求，又适应了野外作业环境对低延迟、高鲁棒性的特殊需求。

面向未来，油气管网身份验证技术应向自适应安全方向演进：基于设备行为指纹（如PLC指令周期、传感器数据特征）构建零信任模型，实时分析登录设备的操作模式异常，动态调整认证等级；同时，结合轻量化国密算法与抗量子密码技术，提升密钥协商过程的安全性，确保在卫星通信、5G专网等复杂传输环境下的身份可信。通过“生物特征-动态密码-行为分析”的多层防护，油气管网身份验证体系将实现从“被动防御”到“主动免疫”的跨越，筑牢能源动脉的第一道安全防线。

1.2　数据信息加密技术

在油气管网这一关键信息基础设施的数字化进程中，数据安全是保障能源输送稳定性和国家安全的核心要素。针对通信链路动态性高、数据交互场景复杂、隐私保护需求严格等特点，现代加密技术通过多层次、多维度的防护机制构建起立体化安全屏障。从传输通道的动态加密到数据终端的二次加固，从云端数据的隐私计算到区块链的防篡改验证，各类加密技术通过互补融合，实现了数据从生成、传输、存储到处理的全生命周期保护。以下六类关键技术共同支撑了油气管网通信系统的抗攻击能力，确保了敏感信息在开放网络环境中的机密性、完整性与可用性。

1.2.1　网络通信动态加密技术

针对油气管网SCADA系统与RTU（远程终端单元）间的无线通信（如卫星、5G专网），采用国密SM9算法与量子密钥分发（QKD）结合的动态加密机制：

（1）在长输管道阀室控制指令传输中，每15分钟动态更新一次会话密钥，防止中间人攻击（MitM）对阀门开度指令的篡改；

（2）对无人机巡检视频流，通过轻量化TLS1.3协议实现低时延加密，确保1080P高清画面传输延迟低于50ms，同时抵御流量嗅探。

1.2.2　数据端国密二次加固技术

面向智能传感器-边缘计算节点的数据采集链路，实施“端-边”双级加密：

（1）第一层：传感器端采用SM4-ECB模式对压力、温度数据进行加密，适配低功耗芯片（如ARMCortex-M系列）的算力限制；

（2）第二层：边缘网关通过SM2算法对聚合数据二次加密，并与控制中心完成双向证书认证，防范PLC侧恶意节点注入伪造数据。

1.2.3　同态加密技术

为支撑跨国油气调度数据联合分析（如中亚管道压力协同预测），在云端部署半同态加密（Paillier算法）：

各国运营方上传加密后的管道流量数据至共享平台，云端直接对密文进行求和、均值计算，输出统计结果而不泄露原始数据；

结合SGX可信执行环境，确保解密密钥仅在硬件enclave内使用，满足欧盟GDPR跨境数据隐私要求。

1.2.4　区块链加密技术

基于非对称加密与智能合约，构建管道阀门操作日志的防篡改审计链：

（1）每一条阀门控制指令（如开启/关闭）经SM2私钥签名后上链，公钥向监管方开放查验；

（2）部署Fabric联盟链，实现国家管网集团、地方调度中心、第三方运维商的跨组织协同存证，篡改任一节点记录需控制共识机制中多数节点/多数权重。

1.2.5　技术合规与行业适配

（1）国密合规：全体系优先采用SM2/SM3/SM4/SM9算法，满足《信息安全技术工业控制系统安全控制应用指南》（GB/T32919）要求；

（2）性能平衡：通过硬件加速（如国密芯片）解决加密算力消耗，实测表明加密导致的SCADA指令延迟增加≤7%；

（3）场景覆盖：已在国内某天然气主干网试点，成功阻断3起针对压缩机组控制信号的伪造攻击，跨境数据共享合规性提升90%。

1.3　防火墙技术

在油气管网的复杂网络环境中，工业防火墙不仅是“看门人”，更是控制指令的“质检员”。以长输管道SCADA系统为例，站控中心与沿线阀室间存在大量OPC、Modbus等工业协议通信，传统IT防火墙的深度包检测（DPI）机制难以识别如“阀门开度值异常写入”“压力传感器数据突变”等工控专属风险^[2]。为此，新一代工业防火墙深度融合协议语义解析与业务逻辑建模-当某泵站PLC突然向相邻管段发送“紧急关阀”指令时，防火墙会同步调取管线压力、流量实时数据，若发现当前运行状态与指令逻辑矛盾（如压力值处于安全阈值内），立即触发告警并阻断指令，同时将异常IP地址标记为高危对象。这种“协议合规性+业务合理性”的双重验证机制，在西北某天然气主干网中已成功拦截多起伪装成合法协议的中间人攻击事件。

面对OT与IT网络融合趋势，油气管网防火墙正从“单向隔离”向“智能感知”升级。例如，在跨境数据网关部署的零信任防火墙，不再依赖固定IP白名单，而是通过持续身份认证（如动态令牌+设备指纹）评估访问者可信度。即使攻击者窃取运维账号，若登录设备型号、地理位置与历史记录不符，仍会被强制下线。此外，针对压缩机振动监测数据、无人机巡检影像等非结构化数据流，防火墙内置轻量化AI模型，可识别加密流量中的异常传输模式（如夜间低负荷时段突发大文件上传），并自动关联数字孪生系统进行攻击模拟推演。实测表明，该方案在华南某LNG接收站的应用使误报率降低67%，勒索软件横向移动阻断时间缩短至800毫秒，为“全国一张网”战略提供了“动态边界+内生免疫”的防护范式。

1.4　IP地址保护技术

在油气管网的数字化架构中，IP地址一旦暴露便可能成为黑客定向攻击的入口。以某东部原油管道的SCADA系统为例，其沿线数百个RTU曾采用固定IP地址与主站通信。攻击者通过卫星通信链路扫描锁定IP后，伪造虚假压力数据包注入系统，险些触发阀门误关断。为此，该管道升级部署动态IP伪装技术-控制中心与阀室间通信时，IP地址按预设算法每10分钟动态轮换一次，并叠加地理围栏验证，使得攻击者即便截获IP也难以持续定位有效目标，最终将此类攻击事件发生率降低82%。

面对日益复杂的网络环境，油气管网的IP防护正从“静态防守”转向“智能博弈”。例如，某跨境天然气管道的跨境数据网关引入IP蜜罐诱捕系统：在真实运维网络旁侧构建虚拟IP地址池，伪装成压缩机控制接口、压力传感器等关键节点。当境外IP尝试扫描渗透时，98%的探针攻击会被诱导向蜜罐，触发伪装成“阀门开启日志”的虚假数据回传，攻击者溯源IP时仅能定位至境外云服务器。同时，核心路由器的微隔离策略将SCADA网络划分为数十个IP安全域，即便某压力变送器IP被攻破，攻击者也无法跨域访问相邻管段的流量计IP。这套“动态隐匿-主动诱骗-区域封锁”的技术框架，在西南某成品油管道实测中，成功将横向渗透尝试的平均阻断时间压缩至1.2秒，为能源动脉构筑起坚实防线。

2　油气管网通信数据全流程防护体系

油气管网工控系统作为能源输送的神经中枢，其通信链路面临物理暴露、协议脆弱性、密钥泄露等多重安全威胁。为应对工控设备资源受限、通信实时性要求高、攻击面复杂等挑战，本章从“风险识别-传输加固信任建立-数据保护”的递进式安全逻辑出发，系统性构建了覆盖通信全流程的防护体系：首先剖析工控协议、网络架构及设备终端的固有脆弱性，在此基础上提出基于TLS协议的安全通信信道构建方法，通过优化密钥协商机制实现动态环境下的可信密钥交换；进一步结合轻量化身份认证技术与分层数据加密策略，形成“链路可信、身份可验、数据可控”的三重防护闭环。上述技术紧密耦合，共同满足《信息安全技术工业控制系统安全控制应用指南》（GB/T32919）对油气管道通信系统的机密性、抗重放攻击及抗中间人劫持等核心安全要求。

2.1　油气管网工控系统脆弱性分析

油气管网工控网络是OSI模型中低两层的解决方案，其上可以使用其他的通信协议（如TCP/UDP/IP簇），也可采用工业网络自定义的实时数据传输协议^[3]。多数协议在设计之初，只针对数据传输效率和实用性，并未将安全问题考虑在内。网络本身对于信息安全是无防护的，TCP/UDP/IP协议簇也无法提供诸如身份认证、数据完整性和保密性等安全服务，导致在能源系统网络（如图1所示）应用环境下，控制信息与工业数据在整个网络中透明地传输。

图1能源工控网络示例

缺乏身份认证使非合法用户也可以与现场设备建立通信会话，扰乱控制过程；缺乏数据完整性检验，使接收方无法对接收信息的正确性进行判断，即使被篡改后的信息也可被正常接收和执行；缺乏加密使传输的指令和数据均采用明文形式，容易被攻击者截获和解析^[4]。

能源工业网络面临的信息安全问题主要有数据监听、窃取、篡改和伪造等。这些攻击的风险系数高、威胁程度大、破坏性强，能源工业网络在实际应用中需要对这些威胁加以防护。

目前的攻击方式主要针对能源工业网络传输过程中缺少完善的认证机制、数据完整性校验及数据机密性处理等安全措施。随着工业网络与Internet的集成，工业以太网的信息安全可以参考IT网络中的安全防护技术（如认证和授权技术、访问控制技术、加密和数据验证技术等）。

通常一种安全措施无法防御多种安全威胁，需要采用纵深防御（Defense-in-Depth）的策略，分层或逐步的方式对信息进行安全保护。

2.2　基于TLS协议的安全通信技术

TLS（Transport Layer Security）是广泛应用于互联网的一种基于TCP/IP的面向连接的主从（Client/Server）式安全通信协议。TLS协议为通信双方提供身份认证、数据完整性检验和数据加密服务，能够有效地防止数据窃听、篡改和伪造。将TLS协议应用于能源工业网络中，是解决能源工业信息安全问题的有效方案之一^[5]。

TLS协议由两部分组成：TLS握手协议（Handshake Protocol）和TLS记录协议（Record Protocol）^[6]。图2为基于TLS协议的能源工业网络安全通信过程。

图2基于TLS协议的能源工业网络安全通信过程

图3为经过TLS协议封装保护后的安全以太网数据报文格式。序列号能够防止重放攻击；消息验证码（MAC）保护数据完整性；对应用层数据加密保证数据机密性。TLS头中的header部分包括上层协议类型、TLS版本号和数据长度。

图3安全以太网数据报文格式（TLS记录层示意）

本文设计思路根据能源工业网络存在的信息安全问题，选择针对性的安全手段进行处理。采用数字签名技术实现能源工业网络中通信双方的身份认证和数据完整性检验；通过对称加密实现数据的保密性；使用密钥协商进行密钥的建立，保证数字签名和数据加密的安全进行。本设计只针对能源工业网络应用层数据，每个功能模块相对独立，可根据具体工业场景做针对性配置，易于实现和维护，灵活性强。

2.3　密钥协商技术

将通信安全技术应用到能源工业网络中解决工业生产过程的信息安全问题，密钥的协商是一个非常重要的过程。密钥是进行数字签名或加/解密的安全基础。如果密钥不安全，那使用该密钥的密码学算法也无安全可言^[7]。本文采用ECDH算法来进行密钥协商。该方法所需的密钥长度小，计算速度较快，易于软硬件实现。该算法的具体步骤如下，假设通信双方A、B选择共享一组曲线参数（椭圆曲线E、阶数n、基点G等）。

（1）节点A生成随机数rA，计算QA=rAG；

（2）节点B生成随机数rB，计算QB=rBG；

（3）节点A将QA发送到节点B；

（4）节点B将QB发送到节点A；

（5）节点A收到QB后计算rAQB=rArBG；

（6）节点B收到QA后计算rBQA=rBrAG=rArBG。

至此，通信方A和B有了相同的密钥KAB=rA*rBG。即使攻击者截获了在公开通道上传输的QA、QB，依赖于椭圆曲线上的离散对数难题，也无法反向推出随机数rA、rB。只需通信双方A、B各交换一条信息即可完成协商，对系统影响微小。该过程生成的密钥KAB用于后续加密分发数字签名所需的公钥和工业数据的加密处理。

2.4　身份认证技术

本文使用一种基于标识密码的轻量级端到端安全通信认证方法。将基于身份标识的数字签名算法融入到SSL/TLS握手协议中，并将其运用到工业控制系统中，完成了工程师站与终端设备之间基于身份标识的数字签名算法的认证过程。同时，在终端设备与工程师站首次建立连接时，可通过基于挑战/应答的方式进行身份认证，确保工程师站身份的正确性。在进行身份认证的同时，双方也实现了对称加密密钥的交换。工程师站将自己的身份标识作为自己的公钥，不再需要公钥证书的存在，极大地降低了公钥证书管理和维护的复杂性。添加了认证功能的工业控制系统可以有效地阻挡非法用户对工控系统的未授权访问，防止了终端设备遭到入侵，保护了系统的敏感资源。安全通信认证方法如图4所示。

图4安全通信认证方法

该安全通信认证方法主要包括以下步骤：

初始化阶段：密钥生成服务器首先计算签名主密钥对，之后生成工程师站的私钥，并通过安全信道把私钥发送给工程师站。工程师站本地秘密保存自己的私钥，终端设备本地保存工程师站的公钥。

建立逻辑连接：终端设备首先发送消息给工程师站请求建立连接。工程师站从发送过来的消息中确定使用的加密和摘要算法，同时还会再生成一份随机数。

认证工程师站身份：终端设备将挑战值发送给工程师站，工程师站利用自己的私钥对挑战值进行签名，生成数字签名。终端设备接收工程师站生成的数字签名，并验证数字签名的正确性。验证通过后，利用工程师站的身份ID（公钥）再生成一个随机数，再用工程师站身份ID加密这个随机数生成PreMaster Key。

密钥交换：终端设备将生成的PreMaster Key传给工程师站，工程师站使用自己的私钥解出PreMaster Key得到终端设备生成的随机数。至此，终端设备和工程师站都拥有了三个随机数，两边再根据同样的算法就可以生成一份密钥，之后传输的数据都可以使用这个密钥进行对称加密。

握手完成：工程师站与终端设备之间互相发送消息来验证密钥是否一致。验证通过后，之后需要传输的数据都可以使用这个密钥进行加密后再进行安全地传输。

2.5　数据加密技术

数据加密技术是实现能源工业系统通信安全的重要技术之一，是通过对信息进行重新编码，隐藏原始信息内容，使非法用户无法获得真实信息的一种技术手段^[8]。本文使用符合国家标准的SM4加密通信技术，使用轻量级算法，密钥硬件存储的实现方式。在不同的能源工业系统终端设备、上位机之间，设备对传输敏感数据进行加密，具体流程如图5所示。

图5安全通信加密方法

3　应用前景分析

随着油气行业加速拥抱智能化转型，数据安全技术正从“基础防护”向“主动免疫”跃迁。在数字孪生、5G专网等新场景驱动下，现有技术体系将深度融入工业互联网架构，推动安全与效率的共生。例如，基于轻量化身份认证与动态密钥协商技术，未来可实现对数千公里管道沿线智能传感器、巡检无人机的实时可信接入，同时结合AI防火墙的协议深度解析能力，可在毫秒级时间内识别并阻断伪装成合法流量的APT攻击。而区块链与同态加密的融合，不仅能确保跨国管道的压力、流量数据在跨境共享时“可用不可见”，还能为多国联合监管提供不可篡改的审计证据链^[9]。这种技术耦合不仅破解了传统方案中安全与性能的对立矛盾，更让油气管网在开放互联时代兼具“智能弹性”与“安全韧性”。

新技术的规模化落地也面临现实挑战。工业协议兼容性、量子计算威胁等问题倒逼行业构建更前瞻的防御生态。例如，TLS协议需进一步优化以适应Modbus等工控协议的实时性要求，以及避免加密导致的控制指令延迟；此外，通过持续身份验证和微隔离策略，动态管控从控制中心到泵站终端的每一段访问请求。可以预见，在“全国一张网”的管网格局下，数据安全技术将不再局限于单一功能模块，而是成为支撑油气资源智能调度、跨境合作的核心基础设施，其价值将从风险规避转向业务赋能，最终助力国家能源命脉在数字化浪潮中行稳致远。

4　总结与展望

油气管网的数据安全技术历经从被动加固到主动防御的演进，已初步形成覆盖“身份-链路-数据-边界”的多维防护体系，为抵御网络攻击、保障能源动脉稳定运行提供了关键支撑。当前，轻量化加密、动态身份认证、智能防火墙等技术的工程化应用，显著提升了管网通信的实时安全防护能力，而区块链、同态加密等新兴技术的引入，则为跨境数据合规流通与联合运维开辟了新路径。

然而，随着油气行业数字化转型步入深水区，安全技术仍需直面多重挑战：一方面，需破解工业场景中安全与效率的“零和博弈”，例如通过硬件加速提升TLS协议在工控环境下的性能表现，或开发兼顾轻量化与抗量子特性的新型加密算法；另一方面，须构建跨领域协同生态，推动零信任架构、数字孪生等技术与管网业务深度耦合，实现从“单点防御”到“体系免疫”的跨越。未来，在“双碳”目标与能源安全的双重驱动下，油气管网数据安全技术将向“内生安全”与“智能进化”方向持续迭代，既筑牢国家关键基础设施的防火墙，也为全球能源互联提供中国方案。

★基金项目：国家重点研发计划项目（2023YFB3107700）。

作者简介：

王天宇（1990-），男，辽宁沈阳人，副研究员，博士，现就职于中国科学院沈阳自动化研究所机器人学国家重点实验室、中国科学院网络化控制系统重点实验室，主要从事工控安全、工业物联网、复杂网络分析方面的研究。

陈　速（1992-），男，辽宁沈阳人，工程师，学士，现就职于国家石油天然气管网集团有限公司东北分公司沈阳输油气分公司，主要从事油气管道行业仪表自控、油气储运等方面的研究。

王　刚（1986-），男，黑龙江大庆人，学士，现就职于大庆油田有限责任公司，主要从事工业互联网、大数据方面的研究。

王铭浩（1994-），男，吉林长春人，工程师，学士，现就职于国家机器人创新中心，主要从事工业互联网、工业信息安全方面的研究。

张博文（1994-），男，辽宁沈阳人，工程师，硕士，现就职于中国科学院沈阳自动化研究所，主要从事工业互联网、人工智能方面的研究。

孙铁良（1967-），男，山东德州人，高级工程师，学士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制、通信和工控系统网络安全等。

黄　河（1984-），男，重庆永川人，高级工程师，硕士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制和工控系统网络安全等。

吕　峰（1969-），男，山东威海人，正高级工程师，学士，现就职于国家石油天然气管网集团有限公司油气调控中心，主要研究方向为自动化控制和工控系统网络安全等。

参考文献：

[1] 尚文利, 杨路瑶, 陈春雨, 等. 面向工业控制系统终端的轻量级组认证机制[J]. 信息与控制, 2019, 48 (3) : 10.

[2] 万明, 尚文利, 曾鹏, 等. 基于功能码深度检测的Modbus/TCP通信访问控制方法[J]. 信息与控制, 2016, 45 (2) : 9.

[3] 李欣嵘, 郭亮, 朱同, 等. 油气管道工控系统网络性能提升与隔离防护[J]. 油气田地面工程, 2022, 41 (10) : 51 - 58.

[4] 姚精明, 孔令武, 关勇. 基于"零信任"的工控系统安全关键技术探讨[J]. 工业信息安全, 2023 (6) : 17 - 22.

[5] Rescola E. SSL and TLS: Designing and Building Secure Systems[J]. Addison-Wesley Longman Publishing Co. Inc. 2000. [6] Morrissey P, Smart N P, Warinschi B. The TLS Handshake Protocol: A Modular Analysis[J]. Journal of Cryptology, 2010, 23 (2) : 187 - 223.

[7] 张明瑞, 张蕊, 张磊. 非交互密钥协商综述[J]. 计算机学报, 2024, 47 (3) : 558 - 574.

[8] 朱玉瑾, 朱焕军, 王文凤, 等. 基于国密算法的供应链数据混沌加密研究[J]. 自动化与仪器仪表, 2023 (6) : 80 - 83.

[9] 郑萌, 冯彬, 赵永恒, 等. 基于WIA-FA的无线AGV系统有序可靠重传方法[J]. 信息与控制, 2024 (4).

摘自《自动化博览》2025年7月刊