随着信息安全建设的不断加强以及外部信息安全威胁的日趋严峻，我国正在加快推进信息安全领域相关法律法规的制定工作，并在关键领域积极推动国产技术与标准的替代，以实现信息安全的自主可控和高效防护。我国于 2020 年 1 月实施的《中华人民共和国密码法》对密码的应用和管理进行了规范，明确规定对国民经济发展和社会生活的关键信息应采用国密商用密码进行保护，部分工业网络通信也包含其中。2024 年 1 月 19 日，《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》（工信部网安〔2024〕14 号）提出，在工业控制系统中使用加密协议和算法时应符合相关法律法规的要求，鼓励优先采用商用密码，以实现加密网络通信、设备身份认证和数据安全传输。本文将重点介绍商用密码、认证协议、硬件加密、工控融合等方面。

IPSec VPN 技术是一种基于密码学的网络安全技术，它通过 IPSec 协议在公共网络上构建安全的专用网络连接。国密 IPSec VPN 主要采用国家密码管理局发布的国密 SM1、SM2、SM3、SM4 算法来进行数据加密和保护。与传统的 IPSec VPN 相比，国密 IPSec VPN 在网络通信的机密性、完整性和真实性方面都有明显的提升，能确保数据在传输过程中不会被窃取或篡改。硬件芯片加密技术则是利用专用硬件的加密方法，将加密算法直接集成到芯片中，从而实现了更高效、更安全的加密功能。与传统的软件加密相比，硬件芯片加密技术具有更快的加密速度、更低的能耗以及更高的安全性。

博智安全将国密算法与芯片加密技术深度融合，紧密遵循国家商用密码技术的要求，推出了基于芯片加密技术的国密 IPSec VPN 工业安全网关产品。这款产品为工业互联网提供了更为先进、安全的网络安全解决方案。

国密加密算法

国密加密算法是由我国自主研发设计，经过国家密码管理局认定的国产密码算法，也就是商用密码。国密算法包括SM1、SM2、SM3、SM4等。其中，SM1是对称加密算法，算法不公开，用于对敏感信息进行加密和解密；SM2是基于椭圆曲线密码学的公钥密码算法，可用于数字签名和身份认证等；SM3是密码散列函数算法，主要用于数字签名及验证、消息认证码生成及验证等场景；SM4是分组密码算法，主要用于对大量数据进行加密和解密，具有加密速度快，资源消耗低等优点。国密算法在安全性、自主可控性和适应我国国情等方面具有明显优势，是我国信息安全领域的重要支撑。国密算法优势如下：

安全性高：采用独特的数学原理和设计思路，经过严格的安全性评估和密码学专家的审查，能够有效抵抗各种密码攻击，保护数据安全性和完整性。

自主可控：由中国自主研发，不依赖于国外的算法标准和技术，有助于保护国家信息安全和数据主权。

高效性：在硬件和软件实现上进行了优化，具有较高的加密和解密速度，适用于大规模数据和高性能计算场景。

适应性广：涵盖对称加密、非对称加密、散列函数和数字签名等多个密码学领域，可以满足各种安全需求。

国密IPSec VPN

国密IPSec VPN协议与标准的IPSec VPN协议之间存在着显著的区别。为了增强IPSec VPN协议的安全防护能力和国内自主创新能力，我国制定了国标GM-T 0022《IPSec VPN 技术规范》和GM-T 0023《IPSec VPN 网关产品规范》。这两份规范在遵循RFC标准的基础上，进行了深入的重新定义、细致修改和全面优化。

国密规范中，特别引入了签名证书与加密证书的国密双证书认证模式，这一模式不仅提升了认证过程的复杂性和安全性，也增强了VPN通信的可靠性。同时，对IPSec协议的报文封装、协商过程以及加密流程进行了实质性的改进，确保数据传输过程中的每一个流程都更加安全可控。

在算法层面，国标规范对加密算法进行了精心设计，并融入了我国自主研发的国密算法。这些算法不仅具有更高的安全性能，而且更符合国内的安全需求，进一步提升了产品的安全性能。特别是在IPSec密钥协商的第一阶段，国密IPSec VPN协议摒弃了国际RFC标准的明文交换方式，采用了更为严格密文交换和复杂的密钥生成机制。这一机制融合了多种国密算法，对协商报文进行深度加密，使得通信内容在传输过程中更难被窃取或篡改。接下来，简要分析一下国密IPSec VPN协议的具体流程，以更好地理解其工作原理和安全特性。

国密IPSec VPN第一阶段主模式：ISAKMP协商阶段

在第一阶段交换中,通信双方建立了一个 ISAKMP SA。该 SA 是协商双方为保护它们之间的通信而使用的共享策略和密钥。用这个 SA 来保护 IPSec SA 的协商过程。一个 ISAKMP SA 可以用于建立多个 IPSec SA。

国密IPSec VPN第二阶段快速模式：IPSec SA协商阶段

在第二阶段交换中,通信双方使用第一阶段 ISAKMP SA 协商建立 IPSec SA,IPSec SA 是为保护它们之间的数据通信而使用的共亨策略和密钥。

软件加密：软加密是通过服务器或路由器的CPU来执行加密和解密操作。由于软加密是依赖于CPU进行加密操作，当网络流量较大时，可能会对CPU负载产生较大压力，导致性能下降。安全性方面，软加密的保护机制依赖于操作系统和软件本身。若操作系统或软件存在安全漏洞，可能会给攻击者利用的机会。

芯片加密：硬件加密卡是一种专用的硬件设备，集成了专门的ASIC加密芯片，通过独立的硬件加速实现加密算法。由于硬件加密卡专门为加密操作而设计，它在性能上通常比软加密更强大和高效。在安全性方面，硬件加密卡通常还具备Ukey等物理安全措施来保护关键的加密密钥和保护数据。特别适用于对性能要求较高以及对数据安全性要求较严格的场景。

“数据加密”+“深度解析”

博智工业互联网安全网关巧妙地将数据加密技术与深度解析技术完美融合，成功实现了对 IPSec VPN 隧道中加密的 Modbus、S7、IEC104、OPC 等多种工控协议内部指令、寄存器和控制字等信息的深度检查。这有效防止了工控协议数据被篡改、漏洞被攻击以及非法操作的发生。此技术真正实现了工控数据加密远传与工控数据深度解析的完整闭环解决方案，具有重要的意义。

防止数据篡改：IPSec VPN隧道加密确保工控数据的完整性，防止数据在传输过程中被篡改或伪造，保证工业生产过程的可靠和准确。

防止漏洞攻击：深度协议解析可以防范工控系统可能存在安全漏洞，避免攻击者利用漏洞获取敏感信息或对PLC，SCADA系统进行恶意操作。

防止非法操作：深度协议解析可以检测到工控协议中的非法操作或异常行为，可对未经授权的设备接入、异常的控制指令等采取阻止操作，防止潜在的威胁。

安全网关功能

多场景适应性：不仅支持 Site-to-Site 和 Edge-to-Edge 组网方式，还适配点到点和点到多点的应用场景。此外，还能应对静态 IP 地址、DHCP 动态地址、PPPOE 拨号等多种链路接入方式，从而可以满足各种网络架构的需求。

强大的认证加密：同时支持硬件加密、软件加密、国密算法和标密算法等多种认证方式和加密算法，确保网络通信的安全性。

灵活的配置选项：可以根据实际需求进行保护子网划分、反向路由注入、IKE 和 IPSec 协议的多种模式协商等灵活配置功能，满足用户的差异化设备对接需求。

完善的功能特性：具备工控协议深度解析、NAT-T穿越、PFS前向安全认证、防报文重放攻击、DPD对端链路状态检测、VPN 隧道状态监控等功能，全面提升网络的可靠性和稳定性。

结束语

在数字化融合与转型的时代，工业控制系统网络安全面临着严峻挑战。我们深刻认识到工业网络安全对企业生产运营的至关重要性。博智工业互联网安全网关，作为一款基于芯片加密技术的国密工业安全网关产品，不仅严格遵循国家密码管理局发布的国密规范，有力支撑了《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》的要求，更为等保建设防护提供了坚实的数据安全保障，为工业控制系统网络安全保驾护航，助力企业顺利实现数字化转型目标！