1 项目概况

1.1 项目背景

随着物联网技术的广泛应用，石油行业的信息安全隐患问题日益突出。近来年，国家出台了各类安全规范和标准，能源基础设施安全已上升至国家战略的高度。

在油田开采过程中，会产生各类生产数据，几乎涵盖了油田生产过程的所有核心数据资料，这不仅是我国能源行业的关键数据，也是企业乃至国家能源发展的核心竞争力。这些真实数据一旦被采集完成，将完全脱离用户自身控制。所以，必须要保证油田生产数据采集传输与数据库存储的安全。

实现油田生产数据传输与存储的安全防护，一方面不能依托国外的产品技术，必须采用我国自主的算法与产品技术。另一方面，还需要从根本上彻底摆脱传统的由设备供应商提供产品密钥的方式，设备厂商仅提供产品功能，而核心密钥则由油田企业自己生产、签发和管控。只有这样才可以真正实现生产数据的安全自主可控。

1.2 项目简介

由于历史原因，我厂第XX矿物联网系统采用油田自建的独立有线和无线网络传输数据，仅在网络边界及安全域出口设置防火墙，采油终端及相关设备、系统缺少安全防御措施，实时数据的传输全部明文传输，数据回到信息中心数据库也是明文存储。另外，相关操作指令和参数也全部是明文发送，数据面临很大的安全风险。采油产生的实时数据全面反映了油田开发的细节和总体趋势，一旦遭遇攻击，黑客可全面分析油田的采油情况，对油井储量、品质及相关技做出统计分析，甚至可以通过对监控系统数据的分析，修改相关操作指令和参数，造成不可估量的严重后果。

本项目采用满足物联网需求的国有自主IPK轻量级密钥技术，算法采用国家密码局SM系列算法，为油田XX厂建立自主密钥中心，将安全完全掌控在自己手里，以后无论哪种设备或应用进入油田系统，必须获得XX厂信息中心的合法密钥和授权才可以进入系统使用。

通过项目前期的沟通调研，根据油田生产环境及现场情况，本项目分两期执行：

第一期：油田生产自主密钥系统及生产数据库的授权加密存储；

第二期：基于自主密钥的油田实时生产数据的安全加密传输。

1.3 项目目标

经过数十年，油田生产已经接入了各类生产设备、数据终端、控制系统等，安全防护的加入，不能对现有系统的效能造成影响，更重要的，为了保证生产安全，安全防护需不改变现有应用，即插即用，实现与现有系统的无缝对接。面对油田生产现状，如何在不影响原有应用和设备的基础上，实现对采油数据的安全保障，真正实现生产数据的安全自主可控是本项目的关键，也是本项目面临的挑战。

本项目总体架构如图1所示。

图1 项目总体架构

生产数据由油井口的数传RTU采集并通过McWiLL无线网络传输至油田计量监控的SCADA生产系统，经过SCADA系统的数据通过油田内部生产网存入信息中心的生产数据库，并为各种应用提供数据服务。

本项目在RTU与McWiLL通讯模块之间加入数据加密SEU终端，并在SCADA生产系统前端加入安全E-SCE网关，通过SEU与E-SCE为RTU采集发送的数据建立专用安全通道，实现了生产数据的安全传输。同时，在油田信息中心部署数据库加密授权DEAS系统与轻量级密钥系统KMS，在不改变原有应用习惯的基础上，实现油田数据库授权登录及加密存储。而整个数据的核心密钥，由IPK轻量级KMS基于设备标识完成自主生产和签发，SEU实现与RTU的即插即用，当SEU上线时，系统首先检测设备密钥，未安装密钥的设备将与密钥系统MS建立安全连接，实现密钥的自动下发，同时与E-SCE安全网关基于SM2算法完成双向认证后开始工作。DEAS系统经由轻量级KMS进行密钥授权后才可登录，DEAS采用SM4对储存于生产库的数据进行加密存储，同时为各种数据应用提供实时解密应用。

2 项目实施

2.1 项目物联网应用安全需求

油田生产过程中产生的数据通过大量的RTU、DTU等数传终端实现采集和传输，RTU、DTU等设备组成了油田数据采集物联网，实现生产数据向SCADA系统的实时回传。

目前XXX厂一个SCADA系统接入监控的油井在200口左右，每天都会有大量的生产数据在实施交互，同时对实时性具有一定的要求（延时小于5ms）。

在石油行业，油田生产入网设备种类较多，分布也较广，同时还存在一定的行业特殊性要求。本项目实施必须考虑到今后对上千口油井实时监控形成的海量终端的接入需求，采用高效率、低功耗的安全运算方式实施安全防护，同时还要考虑到安全防护成本投入问题。

2.2 项目安全防护技术体系确认

在密码学公钥体制中，主要存在两大体制，一种是目前已经成熟的公钥基础设施（Public KeyInfrastructure，PKI）CA体系，即证书体系。经过10余年的发展，PKI证书认证体系为基于人类行为的网络应用起到了非常好的安全保障，而且已经被应用到各类互联网电子业务中。

但随着近几年物联网的兴起，越来越多的应用不再基于人类本身，而是集中在各种物（设备/终端）上。物与物之间的通讯有窄带通讯、低功耗等要求，同时还具有数量众多、广域分布等特点，另外物联网应用本身的多样性、特殊性要求，都与传统的以人为主体的互联网应用不同，PKI证书认证技术针对物联网应用的不足也逐步显现出来。

2.2.1 IPK轻量级密钥技术

面对海量数据采集终端组成的油田物联网，传统PKI证书认证方式存在一定不足，其中心认证方式会降低海量终端的认证效率，同时由于海量终端认证造成的海量证书的生产管理也将会大大增加安全防护成本。本项目采用可满足海量终端点对点快速认证的IPK轻量级密钥技术实现对油田生产数据的安全防护。IPK具有低功耗、高效能运算的特点，完全满足本项目油田物联网的安全需求。

IPK与PKI证书公钥密码体系采用了相同的密码学基础，都是基于椭圆曲线密码学（Elliptic CurveCryptography， ECC），其所生成的SM2密钥对是相同的，只是与公钥的绑定方法不同，但在应用中采用的密码算法都是SM2和SM3，因此，IPK技术既是一种基于标识的SM2密钥对的生成方法，也是一种非证书公钥密码的密钥生成技术。

IPK技术实现中，入网终端最终使用的密钥是由密钥中心签发的密钥在终端本地进行复核运算后生成的，密钥中心并不知道终端最终使用的密钥，这样就保证了在物联网终端应用的环境下，即使密钥中心被非法入侵出现泄露也不会造成整个安全体系的崩塌。

2.2.2 IPK标识认证与PKI证书认证过程对比

图2为IPK与PKI认证过程对比，可以看出：PKI证书认证是通过证书传递实现两终端设备之间的认证，由于证书的合法性需要通过证书中心确认，所以每次证书认证，都必须基于中心进行。而IPK标识认证则是通过标识传递实现终端设备之间的认证，由于标识是设备本身具有的，可由认证设备直接确认，所以，IPK标识认证无须中心即可快速实现设备间的点对点认证。

图2 IPK与PKI认证过程对比

2.2.3 IPK标识认证与PKI证书认证过程对比

表1是IPK与PKI的认证方式对比，可以看出：PKI与IPK都属于公钥密码技术，使用的算法和协议也都相同。但IPK的认证效率、签名长度都优于PKI，由于IPK将设备标识作为公钥使用，使得设备存储空间大大减少，这对于物联网感知层终端应用非常适合，同时满足边缘计算应用。

表1 IPK与PKI认证方式对比

2.3 项目安防技术与产品实现

2.3.1 入网设备密钥的自主生产与签发

轻量级KMS（密钥系统）是本项目安全防护的核心。传统的IT应用中，要针对进入互联网应用的人签发密钥，从而实现安全应用；在工控IoT应用中，也同样需要为每一个接入物联网的终端签发密钥，以完成安全应用。在实际应用中，业主往往强调了产品功能而忽略了设备密钥的重要性，很多时候，设备提供商都是在实现产品功能的同时，也写入产品密钥为业主实现项目的安全防护，而这也就为工控应用安全埋下隐患。

本项目为油田用户建立KMS，实现所有接入油田物联网的终端设备密钥必须由业主自主生产与签发，没有获得KMS签发的密钥设备将无法接入油田物联网。同时，考虑到接入油田物联网设备密钥签发、更新的便利，本项目KMS对外提供标准的密钥服务接口，可同时支持线上、线下密钥签发，以更好地服务于用户，同时也实现了用户对自身数据安全防护的自主可控。

2.3.2 油田生产数据安全传输的实现

图3为油田生产数据原有方式与现有安全方式对比，未加入安全防护之前，油田生产数据经由RTU设备采集后全部明文发送至SCADA系统，而SCADA系统发给RTU设备的控制指令、关键参数也是明文发送，由于RTU设备与SCADA系统之间全部是无线传输，且距离间隔较远，全部明文发送给生产数据的机密性带来风险，尤其是SCADA系统发送RTU设备的指令参数，如果遭遇劫持，后果无法想象。现有安全传输方式，通过加入即插即用的SEU终端与E-SCE网关，为油田生产数据实现安全传输保证了数据的机密性和完整性，抵御了复制、重放攻击，同时采用轻量级KMS，完全满足油田生产控制的效能要求。

图3 油田生产数据原有方式与现有安全方式对比

2.3.3 生产数据库授权及加密存储的实现

油田生产数据为各种应用提供服务，要实现对数据存储的加密，在遵循国家对能源数据的相关法律、法规的条件下，还必须解决如下问题：

（1）数据加密存储不能影响业务应用的访问

油田数据应用流程和方式已经形成了十几年，与数据已经建立并形成了各种接口，对数据实现加密存储必须保证数据加解密过程不会影响现有业务应用逻辑，对用户的业务应用实现透明无感知。同时，要采用国有自主加密算法，即使出现拖库等数据失窃事件，也不可被解密获得敏感数据，从而有效保证数据安全。

（2）对敏感数据访问实现自主密钥的控制管理

油田生产数据量大，内部数据运维人员构成复杂，账户权限管理较乱，很多还都保持着用户名+口令的方式进行数据管理，有的甚至已经被大家熟知，从来不曾更改。本项目采用油田自主签发的密钥实现数据库的自主授权管控，彻底抛弃之前用户名+口令的方式，运维人员根据自身的实际授权进行登录访问，杜绝运维过程造成的数据泄露风险。

（3）对敏感数据实现脱敏

根据用户权限实现对敏感数据的遮蔽，对没有取得权限的用户返回脱敏数据，有权限的用户才可返回明文数据。

3 案例亮点

数据采集是数据安全的第一道屏障，数据存储面临的安全风险不仅包括来自外部黑客的攻击和内部人员的信息窃取，还包括不同利益方对数据的超权限使用等。本项目通过满足物联网安全应用的IPK轻量级密钥技术，实现了油田自主密钥的生产、签发管理，降低了油田数据泄露的安全风险，加强了油田设备的安全管理，达到对油田生产数据安全的自主可控目的。

本项目的研究实施，为油田安全生产奠定坚实基础，对油田信息化建设起到保驾护航的作用，也为我国能源数据安全防护的建立与实施起到了示范作用。