幾種常見的授權和鑒權技術（五）

羅克韋爾自動化（中國）有限公司 華镕

10 密碼分配與管理技術

10.1 概述

用一致方式的政策驅動對密碼更新和變更，用戶識別與可重用密碼相聯系，這是對控制系統操作員和用戶進行系統識別和授權最常見的形式。密碼是用特征對個人鑒權的保護過程。鑒權要素基于用戶知道的內容（比如，密碼），具有的東西（比如，智能卡），或特征（比如，生物測定）。密碼是用戶知道的某事。

密碼是今天對控制系統訪問最常部署的鑒權機制之一，因此，需要高度地保護。密碼是否強壯與適當管理是非常重要的，因此分配的方式要安全，而且還要保證更新和變更消除錯誤暴露，避免長期一直使用。

10.2 這項技術針對的信息安全漏洞

如果密碼適當地生成、更新和保持秘密，那它們就是有效安全的。密碼基于用戶知道的內容鑒權，不是控制系統用戶具有的東西或特征。

10.3 典型部署

密碼在登錄過程期間使用，可以在中控室、工業組織內部或外部的遠程位置，通過無線或有線或混合模式轉移。

10.4 已知問題和弱點

密碼是最常用的鑒權機制，也被認為是最糟的信息安全機制之一。它們的弱點主要來自用戶通常選擇的密碼很容易被猜出，把密碼告訴他人，和多次把密碼寫在注釋貼上，放在控制室的計算機或HMI附近，有時也不隱藏。對多數控制系統用戶，信息安全通常不是他們使用計算機和HMI最重要或最有趣的部分，直到黑客進入了他們的計算機，偷走信息或更糟，中斷了關鍵控制系統資產的自動運行。

為了保證系統安全，密碼需要秘密保存，日常的變化，甚至是更新，都會帶來攻擊者（包括內部人員）試圖跟隨技術獲得密碼并最終俘獲信息安全的可能性。

? 電子監視：攻擊者可以偵聽網絡數據捕捉信息，特別在用戶對鑒權服務器發送密碼時，攻擊者可以拷貝密碼并在另一個時間重用。重用密碼被稱為“重放攻擊”。

? 訪問密碼文件：密碼文件通常位于鑒權服務器。密碼文件包含很多用戶密碼，如果被俘獲，可能是很多損失的源頭。密碼文件應用訪問控制機制和加密進行保護。

? 暴力攻擊：攻擊者可以用工具循環通過有可能的字符、數字和符號組合揭開密碼。

? 字典攻擊：攻擊者使用文件中的字詞比較用戶密碼，直到找到適配字詞。

? 社會工程：具有必要授權訪問特殊資源的攻擊者不實地說服個人。

10.5 在工業自動化和控制系統環境中使用的評估

密碼是訪問工業自動化流程或控制器系統鏈條中最強或最弱的地方。靜態密碼（密碼在一段周期內不變）用在動態密碼不易實施的很多場合。周期，諸如每星期改變靜態密碼是個聰明的想法。動態密碼（每次登錄是新密碼）提供更好的信息安全，應在可實施時所采用。更多關于動態密碼的信息，請看下一節。

10.6 未來方向

信息安全在未來更加重要，因為所知漏洞和黑客能力都在增加。比如，黑客通過使用更新更復雜的工具提高能力，諸如通過病毒在企業網絡中嵌入的鍵擊登錄程序，然后進入控制局域網。

一種提高信息安全的策略是使用一次性密碼。一次性密碼也稱為動態密碼。動態密碼用于鑒權目的，僅用一次。用完之后，就不再有效，因此，如果黑客獲得這個密碼，它不能再用。這種類型鑒權機制用在比靜態密碼級別更高的信息安全環境。

有兩種常見的一次性密碼生成：同步和異步，下面分別描述。令牌設備為用戶生成的一次性密碼發送到鑒權服務器。

令牌設備，或密碼生成器，通常是個手持設備，具有液晶屏和鍵板。這個硬件與用戶試圖訪問的計算機是分開的。令牌設備和鑒權服務需要以某種同步方式對用戶進行鑒權。令牌設備使用一張用戶特性列表，作為密碼登錄計算機。只有令牌設備和鑒權服務知道這些特性的意義。因為兩者是同步的，令牌設備把準確的密碼呈現給鑒權服務期待。這是一種一次性密碼，也稱為令牌，使用之后就無效了。

同步令牌設備使用時間或計數器與鑒權服務同步作為鑒權過程的核心部分。如果同步是基于時間的，令牌設備和鑒權服務使他們的內部時鐘保持相同時間。使用令牌設備的時間值和密鑰生成一次性密碼，顯示給用戶。用戶輸入這個值和用戶ID進入計算機，然后計算機把他們傳送到服務器運行鑒權服務。鑒權服務解密這個值并且與期望的值比較。如果兩者匹配，用戶的鑒權操作完成，允許使用這臺計算機和資源。

如果令牌設備和鑒權服務使用計數器同步，用戶需要在計算機上初始化登錄程序，并且按下令牌設備上的按鈕。因為令牌設備在鑒權服務中提前得到下一個鑒權值，這個值和一個基本秘密運算會顯示給用戶。用戶輸入這個值與用戶ID，完成鑒權操作。

基于時間或基于計數器的同步，令牌設備和鑒權服務共享相同的密鑰，用于加密和解密。

用異步令牌生成方法的令牌設備采用挑戰/響應機制完成用戶的鑒權操作。在這種情況下，鑒權服務器對用戶發送一個挑戰，它是一個隨機值，也被稱為現時。用戶輸入這個隨機值到令牌設備，設備解密并且返回一個值，用戶把它當作一個一次性密碼。用戶把這個值與用戶名一起，發送到鑒權服務器。如果鑒權服務器能夠對這個值解密，并且與早先的挑戰值相同，用戶鑒權操作完成。

如果用戶共享他的識別信息，并且令牌設備被共享和被偷，同步和異步令牌系統能夠跌入偽裝的陷阱，令牌設備也會有電池失效或其他障礙。然而，使用令牌設備的系統沒有電子竊取，偵聽，或猜出密碼的漏洞。

10.7 推薦與指南

信息安全等級需要與信息和流程的價值相一致，特別對于具有需要保護的關鍵工業資產和裝備的控制系統。小型、獨立的控制系統，不包含有價值的信息或連接無關緊要的優良資產，不控制有價值的流程，不連接因特網，可用簡單的密碼保護。相反，系統相互連接，包含有價值的信息，控制有價值的流程，或控制有價值和危險流程和裝備，需要有更復雜的密碼信息安全。這時，有知識的密碼和一次性密碼是合適的，并且可長期使用，性價比高。相反，黑客入侵會造成幾百萬美元的收入損失，嚴重損害系統和產品，秘密信息丟失，和對人員與環境的傷害。

11 設備到設備鑒權

11.1 概述

設備到設備的鑒權確保能夠識別在兩個設備之間對傳送數據的惡意改變。真正的數據是那些被原設備驗證和被接受設備確認的數據。設備到設備鑒權不阻止惡意篡改數據，但當數據改變時它能指出來。鑒權能夠應用到兩個設備之間的數據傳送，對發送和接收數據用戶的同一性，對應用發送的數據類型，對設備之間的會話，及以上的組合。

強壯的鑒權典型由結合下面的兩種方法定義，“你有一些東西”，“你知道一些東西”，和“你是一些東西”。這些被認為是最安全的鑒權形式。

通信層可以包括多種類型的物理層和協議，包括有線和無線，基于串行和基于IP。

NIST定義了四層鑒權使用令牌，僅限于數據鑒權范圍，對數據和同等鑒權用軟加密或者循環令牌，對數據和等同鑒權用硬加密令牌。注意沒有一種類型的鑒權需要數據加密發送，僅最后兩種類型除了非加密的數據以外需要令牌加密。

11.2 這項技術針對的信息安全漏洞

設備到設備鑒權減輕了與數據完整性相關的漏洞。

這個技術不是針對數據的機密性。多數情況下，如果僅應用鑒權和一致性保護，數據可用性會很高，因為這個技術不依靠數據的加密。報頭相關的鑒權和一致性保護典型比那些需要機密性保護的方法可用性低。

鑒權技術將阻止任何沒有適當令牌的實體發送數據，而不在乎所發的是什么數據內容（比如，數據可能是遙感測量、固件、文件、SCADA命令，或者其他）。因此，這個技術能夠減輕中間人攻擊。

如果數據鑒權出現在一個設備的應用層，那么鑒權技術將阻止針對破壞數據類型的攻擊。如果鑒權能夠確認用戶的身份（諸如生物設備），那么這個技術將有更多收益。

11.3 典型應用

設備到設備的鑒權經常與密碼結合部署。然而，很多控制系統用戶，諸如那些電力行業，不需要機密性，已經使用密碼，但需要數據的一致性和使用白文的診斷能力。為了這種類型的用戶，數據鑒權（和可能的用戶）提供了一種非常好的解決方案。對于沒有用戶的設備，應用鑒權可以替代用戶執行。

11.4 已知的問題和弱點

設備到設備鑒權不能減輕拒絕服務的攻擊。

先進的中間人攻擊，暗中的黑客無聲地觀察網絡負載，獲得訪問碼和地址，然后注入一個惡意攻擊，是對這個鑒權技術的僅有阻礙。

鑒權不能同授權（由一個實體獲得訪問特權）相混淆，也不包括基于角色的訪問控制（比如，組員）。

11.5 在工業自動化和控制系統環境中使用的評估

鑒權技術已經在基于傳輸控制協議/因特網協議（TCP/IP）的網絡中獲得廣泛的使用。然而，在IACS環境中的很多協議不是基于IP，需要特殊執行鑒權。諸如天然氣和電力行業現在正在尋找對他們的通信實施信息安全解決方案，這其中就包括了鑒權。

11.6 未來方向

一些組織正在對控制系統的信息安全解決方案做工作。IEC TC57已經賦予了對IEC 60870-5協議和DNP3協議增加信息安全的任務，這兩種協議在電力工業的應用很普遍。美國燃氣協會正在完成它的規范——AGA-12，需要密碼和鑒權技術。

很明顯，制造業和電力公司的通信需要集成信息安全。

對于很多控制應用，不需要機密性，因此鑒權是一種很好的信息安全解決方案。當集成了鑒權解決方案時，圍繞鑰匙（或者令牌）管理技術的問題將成為普遍問題。

11.7 推薦與指南

用戶應該遵循供應商的最佳實踐，正確部署合適的設備到設備鑒權。