摘要：智能制造将主流新兴技术的融合达到前所未有的程度，新兴技术的应用也使制造业迸发出前所未有的活力。然而智能制造在带来更灵活的生产、更高效地运转和更强的竞争力的同时，其网络安全问题也面临着巨大挑战。文章结合智能制造体系中产品配方、设备互联、生产调度、物流管理等流程环节，探索了国产密码技术在智能制造系统环境中身份认证、指令信道加密、调度决策数据完整性、数据安全存储等方面的应用需求，最后基于密码技术，从智能传感和控制装备内生信息安全、智能装备外接式信息安全加固管理、生产制造管理系统中用户管理/身份认证/信道加密/完整性校验、生产制造数据安全存储等方面构建了基于国产密码技术的智能制造安全保障体系，对于提升我国智能制造网络的整体安全防护水平具有重要的实际意义和参考价值。

关键词：密码技术；智能制造；工控安全；内生信息安全；外接式信息安全加固管理

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2024）24-0010-04

开放科学（资源服务）标识码（OSID）

0 引言

智能制造系统广泛应用于军工、电力、能源、交通运输、医疗及大型制造等各行业[1-5]，其中超过80%的涉及国计民生的关键基础设施依靠智能制造系统来实现自动化作业，智能制造系统已经成为国家关键基础设施的重要组成部分。新的工业应用模式下，智能制造系统由原来封闭式的生产环境逐步转向开放式环境，并且通用化、软硬结合、互联互通成为智能制造体系最大的特征，同时考虑到工业控制系统自身的结构特点、功能特性、应用环境以及在信息安全方面的先天缺陷[6]，使得智能制造系统从“内部隔离”状态走向“前台”时面临着严峻挑战，智能制造网络安全问题将严重制约智能制造推广的深度和广度，成为我国制造业高质量发展中的关键问题。

本文结合智能制造体系中产品配方、设备互联、生产调度、物流管理等流程环节，探索了国产密码技术在智能制造系统环境中身份认证、指令信道加密、调度决策数据完整性、数据安全存储等方面的应用需求，构建了基于国产密码技术的智能制造安全保障体系，对于提升我国智能制造网络的整体安全防护水平，为中国制造业高质量发展保驾护航具有重要的实际意义和参考价值。

1 密码技术在智能制造体系中的集成应用模型

密码技术在智能制造体系中的集成应用主要包括密码基础支撑、密码服务平台、统一认证平台、工控设备终端密码应用、网络传输密码应用、智能制造业务系统密码应用和工业数据安全存储密码应用几方面[7-11]，如图1所示。

1）密码支撑体系。密码基础支撑由CA系统、时间戳服务器、签名验签服务器、服务器密码机、智能密码钥匙、IPSec VPN加密网关、SSL VPN加密网关等组成，为密码服务平台、统一认证平台提供基础的密码运算资源和数字证书。

2）密码应用体系。密码应用体系位于密码服务中间件以上，包括工控设备终端密码应用、网络传输密码应用、智能制造业务系统密码应用和工业数据安全存储密码应用4个方面。密码应用体系通过调用密码服务中间件接口，为签发证书、身份认证、多因子认证、数字签名、时间戳、传输加密、访问控制、授权管理、数据安全等信息安全功能提供基础和统一的密码支撑[12]。

密码技术在智能制造体系中的集成应用主要涉及3个层次：现场设备互联系统中的集成应用主要包括设备接入互联认证鉴别和信道加密保护；密码技术生产监控系统中的集成应用主要包括用户管理、身份认证、数据安全存储、通信保护；密码技术在生产管理系统中的集成应用主要包括用户管理、身份认证、数据安全存储、数据完整性保护等。

2 智能制造体系中密码应用关键技术

2.1 密码服务平台及数字证书认证体系

密码服务平台及数字证书认证体系由数字证书认证系统、密码资源池、密码服务平台和统一认证平台组成。数字证书认证系统和密码资源池为密码服务平台、统一认证平台提供基础的密码运算资源和数字证书。密码资源包含密码设备池和密码设备管理工具，基于密码基础支撑提供的服务器密码机、时间戳服务器、签名验签服务器，为密码服务平台提供密码支撑，为用户提供密码服务。密码服务由密码服务平台、统一认证平台、密码服务中间件组成，基于云计算密码资源、密码基础支撑，以中间件的形式，为上层应用提供统一的密码服务和认证服务[13]。

2.2 智能传感和控制装备内生信息安全技术

智能传感和控制装备内生信息安全技术[14]主要从本质安全的角度解决智能传感或控制装备的信息安全难题，通过采用国产密码SM2算法，在国产控制器中集成应用国产密码芯片，实现控制器的数字签名认证和通信加密功能，完成国产控制器的内生信息安全升级。

<E：＼2022知网文件＼24期＼01xs202424＼Image＼3.png>

图2 基于密码技术的内生信息安全型控制器终端

内生信息安全型控制终端通过内部嵌入高性能自主可信密码模块，密码模块和控制器之间通过USB接口进行通信，控制器向监控中心计算机（以下简称中心端）发送数据前，先将明文数据发给密码模块，密码模块对数据进行加密，控制器再将密码模块返回的密文数据发送到网络上；类似地，控制器从中心端接收的密文数据，先发给密码模块进行解密；中心端的加解密操作由高性能智能密码钥匙或者加密机完成。

每个密码模块生成一对 SM2公私钥对，SM2私钥保存在每个密码模块内部中，SM2公钥导入中心端的密码服务平台中，也即中心端的密码服务平台内部保存了所有控制器密码模块的公钥。通信时先用SM2公私钥在监控中心密码服务平台和密码模块之间协商出加密密钥，后续所有的通信均使用此加密密钥对数据进行加解密。

2.3 智能装备外接式安全加固管理外壳技术

智能装备外接式安全加固管理外壳技术主要面向计算资源和存储空间有限或封闭专用型工控设备的安全防护需求，这类设备无法在控制设备内容集成应用密码模块，或安装部署安全防护措施，需要独立于智能装备本身，采用外接式的安全加固措施，在智能装备与外围通信服务之间部署安全加固管理外壳装置，实现对智能装备的认证鉴别、通信加密、合法性分析检测、日志审计等安全功能。

智能装备外接式安全加固防护模型如图4所示，通过对智能装备的对外通信RS232串口、RJ45网口等端口进行全面接管和监控，同时综合运用身份鉴别、签名验签、访问控制、协议识别、内容解析、信道加密等技术手段，实现对工控设备与外围服务器之间通信信息流的监管控制；通过对工控设备USB接口的管控，实现对USB储存设备的合法性检查和数据传输方向控制；通过维修模式切换，可实现工控设备维修过程中与维修设备之间通信信息流的全程完整记录和行为审计。同时工控设备安全加固管理外壳提供完备的防护日志记录，实现对防护设备的集中管理、运行状态监控、安全策略管理、日志审计等功能。

2.4 工业数据粒子化安全存储技术

智能制造系统中的产品配方、工艺参数、生产数据等资料属于企业核心机密，生产制造业务系统（如MES[15]等）及其文档管理设备极其薄弱.为了弥补系统及其文档管理的PC设备在数据存储方面的缺陷，本文设计了工业数据离子化安全存储模型，即结合智能制造系统特性和国家密码算法标准，通过数据加密、数据粒子化、安全虚拟分区和访问控制等环节实现工业数据的安全存储。

该模型将文档管理设备及业务系统中的产品配方、工艺参数、生产数据等敏感资料先使用密码算法SM4进行加密，得到密文M，然后将密文M进行粒子化处理得到密文碎片M1、M2，最后将得到的产品配方等信息的密文碎片存储于系统服务设备及其文档管理设备硬盘的不用逻辑分区中，使其任何一个分区中都不存在完整的产品配方密文信息，从而将智能制造中的产品配方、工艺参数、生产数据的安全属性从平面提升到立体维度，这样即使黑客攻克了系统或者将存储介质拆走都不会造成生产配方类的敏感数据的泄露。工业数据粒子化安全存储模型如图5所示。

2.5 多链路智能制造网络安全传输技术

现行的智能制造网络安全防护体系大多采用外加防火墙等的隔离式安全防护模式，整个网络中，多种产品叠加组合结构比较多，结构相对复杂并且叠加了不少国外产品和技术保障，这种结构对智能制造系统中的产品配方等关键信息的传输造成了很多不确定性。鉴于智能制造安全现状，本文提出了多链路智能制造网络安全传输模型，通过搭建高性能、高安全性的简化网络传输链路保障智能制造网络的安全传输。该模型以密码技术为基础，包括策略管理、加密/解密、破碎/重组、路由计算、封包/拆包等软件模块，利用数据加密、密文随机破碎、碎片多径并行传输等技术实现数据的传输安全，可降低业务数据在传输过程中被截获、篡改、破解的风险，抵御各类网络攻击对生产制造业务系统的渗透。该模型中的核心部件均为国产化可控技术实现，产品配方等敏感数据的保密性均使用国产化算法标准处理，该方案主要建设内容包括：

数据加密及粒子化：生产管理层与车间生产监控层之间传输的敏感数据使用标准商密算法SM4进行加密后进行密文数据的粒子化处理，并采用多链路并行传输技术使生产配方等数据的传输更安全。

身份合法性验证：设备采用预制SM2证书的形式进行设备的合法性认证，确保接入该网络体系的设备均为合法的设备。

碎片多链路并行传输：产品配方等密文数据碎片通过多条通信链路并行传输，增加截获全部碎片的难度，随机的碎片在随机的链路上传输使得有针对性的网络监听失效，针对生产制造业务系统的网络攻击因为碎片重组而被阻断，可提高网络传输过程的安全。多链路智能制造网络安全传输模型如图6所示。

2.6 安全型生产制造业务系统构建技术

安全型生产制造业务系统是通过采用符合国家要求并具备产业适配性的密码技术实现生产制造业务系统的内生型安全特性。系统的构建将自身的信息安全防护技术与密码技术进行深度融合，形成一套包含网络安全、数据安全、系统安全和用户安全的安全保障体系方案。安全型生产制造业务系统的构建主要包含以下3个层面：

1）通过密码技术基于数字证书的UKEY对用户身份进行识别认证。终端用户通过RA终端提交证书签发申请，证书服务器验证通过后将签名证书和加密证书返回到UKEY，并进行存储。用户在访问业务系统时，须在终端设备插入UKEY并输入口令，并经过统一平台认证。

2）通过密码技术多链路数据粒子传输技术，实现业务系统数据信息在网络上的数据安全。业务系统通过集成网络安全传输平台软硬件设备，自动实现业务数据在网络上的安全传输，在保证数据实时性、可用性、完整性、保密性、抗抵赖性的同时，对数据的身份合法性进行验证，防止数据欺骗行为发生。

3）通过密码技术粒子化数据安全存储技术，实现业务系统内文件管理的安全存储和知悉管控，防止文件在传输、存储过程中被非法获取、读取的安全风险。主要包括安全存储、访问控制等功能，并满足文件被非法获取后在文件有效保护期内无法破解。

2.7 智能制造网络安全保障体系架构

智能制造网络安全保障体系的构建是通过对上述密码服务平台及数字证书认证体系、智能传感和控制装备内生信息安全技术、智能装备外接式安全加固管理外壳技术、工业数据粒子化安全存储技术、多链路智能制造网络安全传输技术、安全型生产制造业务系统构建技术等的综合集成应用。智能制造网络安全保障体系架构如图7所示.

本文研究的智能制造网络安全保障体系架构分为3层：现场设备层，主要包括分布式数控网络包括数控机床、机器人、测量设备等设备，智能物流网络包括立体仓库、AGV、机器人等设备，集散控制网络包括PLC、RTU、传感器等控制单元；生产监控层，主要包括DNC、SCADA、WCS系统等，主要实现对数控机床、机器人、AGV、PLC等设备的联网通信管理和集中监控；生产管理层，主要包括MES、WMS系统等，主要实现对智能车间生产资源管理和生产执行调度管理等。

基于密码技术，本文构建的智能制造安全保障体系架构主要应用范围涉及设备安全互联、产品配方安全保护、生产安全调度管理和物流安全调度管理等方面。对于现场设备层，主要通过在智能传感设备和控制装备中集成应用密码服务模块以及对智能装备外接安全加固管理外壳装置，实现现场设备接入互联时的认证鉴别和通信保护等；对于生产监控层，主要对DNC、WCS、SCADA系统进行密码技术集成应用改造，构建安全型的生产监控系统，实现用户管理、身份认证、数据安全存储和通信保护等；对于生产管理层，主要对MES、WMS系统进行密码集成应用改造，构建安全型的生产管理系统，实现用户管理、身份认证、数据安全存储、通信保护等。

3 结束语

本文通过结合智能制造运营体系中涉及的产品配方、设备互联、生产调度、物流管理等各环节，围绕信息的产生、传输、计算和存储安全需求，开展了基于国产密码算法的身份认证、指令信道加密、调度决策数据完整性、数据安全存储等技术研究，实现了内生安全型智能传感和控制装备原型设计开发、智能装备外接式信息安全加固管理外壳装置原型设计开发、安全型MES系统构建。基于本文研究成果，构建了基于国产密码技术的智能制造安全保障体系，并通过选取典型的智能制造生产环境，对智能制造安全保障体系的可行性和有效性进行了综合验证。本文研究成果有助于加快智能制造系统及网络中国产密码技术的应用标准化进程，提升我国智能制造网络的整体安全防护水平，为中国制造业高质量发展保驾护航具有重要的实际意义和参考价值。

参考文献：

[1] 张振山，陶耀东.浅析军工武器装备智能制造网络安全防护体系[J].保密科学技术，2018（3）：13-17.

[2] 朱恺真.以高水平智能制造系统规划设计引领企业高质量发展[J].智能制造，2022（1）：28-30.

[3] 张霖，刘永奎，王霄汉.商产融合的云边协同智能制造系统[J].新型工业化，2023，13（4）：37-49.

[4] 沈洪才.航空制造业智能制造特点及推进思路[J].金属加工（冷加工），2022（10）：19-22.

[5] 刘昱鑫，甄珍，付敬涛，等.基于智能制造系统的医疗器械EO灭菌参数放行探究[J].信息技术与标准化，2023（6）：101-109.

[6] 赵甫，王琦魁，李昕，等.军工工业控制系统信息安全保密风险与防护方法研究[J].保密科学技术，2016（9）：30-33.

[7] 刘波，肖远军，陈琳.装备制造生产控制系统密码应用的研究[J].通信技术，2019，52（2）：466-470.

[8] 兰昆，唐林，张晓.密码技术在工业控制系统中的应用研究[J].自动化仪表，2015，36（10）：72-76.

[9] 梁冬晗，曹亚芳.智能生产时代下的网络安全策略研究[J].科技和产业，2018，18（1）：139-142.

[10] 李仕奇，韩庆敏，杜军钊，等.智能工厂信息安全防护方案[J].电子技术应用，2019，45（12）：16-19.

[11] 李刚，郑美红.智能制造工控网络安全防护体系发展概述[J].信息技术与网络安全，2019，38（6）：6-10.

[12] 王欢欢，荣文晶，李帅，等.密码应用技术在工业控制系统中的应用[J].电子产品可靠性与环境试验，2022，40（S2）：87-90.

[13] 肖锟.密码技术在网络安全中的应用[J].无线互联科技，2021，18（23）：18-19.

[14] 周文，董贵山，张汝云，等.一种基于国产密码与拟态防御融合的一体化内生安全防护架构[J].信息安全与通信保密，2023，21（1）：50-59.

[15] 曹路圆，余永波，张松，等.MES系统中的工艺管理开发实践[J].制造业自动化，2023，45（2）：203-207.

【通联编辑：代影】