几种常见的授权和鉴权技术（五）

罗克韦尔自动化（中国）有限公司 华镕

10 密码分配与管理技术

10.1 概述

用一致方式的政策驱动对密码更新和变更，用户识别与可重用密码相联系，这是对控制系统操作员和用户进行系统识别和授权最常见的形式。密码是用特征对个人鉴权的保护过程。鉴权要素基于用户知道的内容（比如，密码），具有的东西（比如，智能卡），或特征（比如，生物测定）。密码是用户知道的某事。

密码是今天对控制系统访问最常部署的鉴权机制之一，因此，需要高度地保护。密码是否强壮与适当管理是非常重要的，因此分配的方式要安全，而且还要保证更新和变更消除错误暴露，避免长期一直使用。

10.2 这项技术针对的信息安全漏洞

如果密码适当地生成、更新和保持秘密，那它们就是有效安全的。密码基于用户知道的内容鉴权，不是控制系统用户具有的东西或特征。

10.3 典型部署

密码在登录过程期间使用，可以在中控室、工业组织内部或外部的远程位置，通过无线或有线或混合模式转移。

10.4 已知问题和弱点

密码是最常用的鉴权机制，也被认为是最糟的信息安全机制之一。它们的弱点主要来自用户通常选择的密码很容易被猜出，把密码告诉他人，和多次把密码写在注释贴上，放在控制室的计算机或HMI附近，有时也不隐藏。对多数控制系统用户，信息安全通常不是他们使用计算机和HMI最重要或最有趣的部分，直到黑客进入了他们的计算机，偷走信息或更糟，中断了关键控制系统资产的自动运行。

为了保证系统安全，密码需要秘密保存，日常的变化，甚至是更新，都会带来攻击者（包括内部人员）试图跟随技术获得密码并最终俘获信息安全的可能性。

• 电子监视：攻击者可以侦听网络数据捕捉信息，特别在用户对鉴权服务器发送密码时，攻击者可以拷贝密码并在另一个时间重用。重用密码被称为“重放攻击”。

• 访问密码文件：密码文件通常位于鉴权服务器。密码文件包含很多用户密码，如果被俘获，可能是很多损失的源头。密码文件应用访问控制机制和加密进行保护。

• 暴力攻击：攻击者可以用工具循环通过有可能的字符、数字和符号组合揭开密码。

• 字典攻击：攻击者使用文件中的字词比较用户密码，直到找到适配字词。

• 社会工程：具有必要授权访问特殊资源的攻击者不实地说服个人。

10.5 在工业自动化和控制系统环境中使用的评估

密码是访问工业自动化流程或控制器系统链条中最强或最弱的地方。静态密码（密码在一段周期内不变）用在动态密码不易实施的很多场合。周期，诸如每星期改变静态密码是个聪明的想法。动态密码（每次登录是新密码）提供更好的信息安全，应在可实施时所采用。更多关于动态密码的信息，请看下一节。

10.6 未来方向

信息安全在未来更加重要，因为所知漏洞和黑客能力都在增加。比如，黑客通过使用更新更复杂的工具提高能力，诸如通过病毒在企业网络中嵌入的键击登录程序，然后进入控制局域网。

一种提高信息安全的策略是使用一次性密码。一次性密码也称为动态密码。动态密码用于鉴权目的，仅用一次。用完之后，就不再有效，因此，如果黑客获得这个密码，它不能再用。这种类型鉴权机制用在比静态密码级别更高的信息安全环境。

有两种常见的一次性密码生成：同步和异步，下面分别描述。令牌设备为用户生成的一次性密码发送到鉴权服务器。

令牌设备，或密码生成器，通常是个手持设备，具有液晶屏和键板。这个硬件与用户试图访问的计算机是分开的。令牌设备和鉴权服务需要以某种同步方式对用户进行鉴权。令牌设备使用一张用户特性列表，作为密码登录计算机。只有令牌设备和鉴权服务知道这些特性的意义。因为两者是同步的，令牌设备把准确的密码呈现给鉴权服务期待。这是一种一次性密码，也称为令牌，使用之后就无效了。

同步令牌设备使用时间或计数器与鉴权服务同步作为鉴权过程的核心部分。如果同步是基于时间的，令牌设备和鉴权服务使他们的内部时钟保持相同时间。使用令牌设备的时间值和密钥生成一次性密码，显示给用户。用户输入这个值和用户ID进入计算机，然后计算机把他们传送到服务器运行鉴权服务。鉴权服务解密这个值并且与期望的值比较。如果两者匹配，用户的鉴权操作完成，允许使用这台计算机和资源。

如果令牌设备和鉴权服务使用计数器同步，用户需要在计算机上初始化登录程序，并且按下令牌设备上的按钮。因为令牌设备在鉴权服务中提前得到下一个鉴权值，这个值和一个基本秘密运算会显示给用户。用户输入这个值与用户ID，完成鉴权操作。

基于时间或基于计数器的同步，令牌设备和鉴权服务共享相同的密钥，用于加密和解密。

用异步令牌生成方法的令牌设备采用挑战/响应机制完成用户的鉴权操作。在这种情况下，鉴权服务器对用户发送一个挑战，它是一个随机值，也被称为现时。用户输入这个随机值到令牌设备，设备解密并且返回一个值，用户把它当作一个一次性密码。用户把这个值与用户名一起，发送到鉴权服务器。如果鉴权服务器能够对这个值解密，并且与早先的挑战值相同，用户鉴权操作完成。

如果用户共享他的识别信息，并且令牌设备被共享和被偷，同步和异步令牌系统能够跌入伪装的陷阱，令牌设备也会有电池失效或其他障碍。然而，使用令牌设备的系统没有电子窃取，侦听，或猜出密码的漏洞。

10.7 推荐与指南

信息安全等级需要与信息和流程的价值相一致，特别对于具有需要保护的关键工业资产和装备的控制系统。小型、独立的控制系统，不包含有价值的信息或连接无关紧要的优良资产，不控制有价值的流程，不连接因特网，可用简单的密码保护。相反，系统相互连接，包含有价值的信息，控制有价值的流程，或控制有价值和危险流程和装备，需要有更复杂的密码信息安全。这时，有知识的密码和一次性密码是合适的，并且可长期使用，性价比高。相反，黑客入侵会造成几百万美元的收入损失，严重损害系统和产品，秘密信息丢失，和对人员与环境的伤害。

11 设备到设备鉴权

11.1 概述

设备到设备的鉴权确保能够识别在两个设备之间对传送数据的恶意改变。真正的数据是那些被原设备验证和被接受设备确认的数据。设备到设备鉴权不阻止恶意篡改数据，但当数据改变时它能指出来。鉴权能够应用到两个设备之间的数据传送，对发送和接收数据用户的同一性，对应用发送的数据类型，对设备之间的会话，及以上的组合。

强壮的鉴权典型由结合下面的两种方法定义，“你有一些东西”，“你知道一些东西”，和“你是一些东西”。这些被认为是最安全的鉴权形式。

通信层可以包括多种类型的物理层和协议，包括有线和无线，基于串行和基于IP。

NIST定义了四层鉴权使用令牌，仅限于数据鉴权范围，对数据和同等鉴权用软加密或者循环令牌，对数据和等同鉴权用硬加密令牌。注意没有一种类型的鉴权需要数据加密发送，仅最后两种类型除了非加密的数据以外需要令牌加密。

11.2 这项技术针对的信息安全漏洞

设备到设备鉴权减轻了与数据完整性相关的漏洞。

这个技术不是针对数据的机密性。多数情况下，如果仅应用鉴权和一致性保护，数据可用性会很高，因为这个技术不依靠数据的加密。报头相关的鉴权和一致性保护典型比那些需要机密性保护的方法可用性低。

鉴权技术将阻止任何没有适当令牌的实体发送数据，而不在乎所发的是什么数据内容（比如，数据可能是遥感测量、固件、文件、SCADA命令，或者其他）。因此，这个技术能够减轻中间人攻击。

如果数据鉴权出现在一个设备的应用层，那么鉴权技术将阻止针对破坏数据类型的攻击。如果鉴权能够确认用户的身份（诸如生物设备），那么这个技术将有更多收益。

11.3 典型应用

设备到设备的鉴权经常与密码结合部署。然而，很多控制系统用户，诸如那些电力行业，不需要机密性，已经使用密码，但需要数据的一致性和使用白文的诊断能力。为了这种类型的用户，数据鉴权（和可能的用户）提供了一种非常好的解决方案。对于没有用户的设备，应用鉴权可以替代用户执行。

11.4 已知的问题和弱点

设备到设备鉴权不能减轻拒绝服务的攻击。

先进的中间人攻击，暗中的黑客无声地观察网络负载，获得访问码和地址，然后注入一个恶意攻击，是对这个鉴权技术的仅有阻碍。

鉴权不能同授权（由一个实体获得访问特权）相混淆，也不包括基于角色的访问控制（比如，组员）。

11.5 在工业自动化和控制系统环境中使用的评估

鉴权技术已经在基于传输控制协议/因特网协议（TCP/IP）的网络中获得广泛的使用。然而，在IACS环境中的很多协议不是基于IP，需要特殊执行鉴权。诸如天然气和电力行业现在正在寻找对他们的通信实施信息安全解决方案，这其中就包括了鉴权。

11.6 未来方向

一些组织正在对控制系统的信息安全解决方案做工作。IEC TC57已经赋予了对IEC 60870-5协议和DNP3协议增加信息安全的任务，这两种协议在电力工业的应用很普遍。美国燃气协会正在完成它的规范——AGA-12，需要密码和鉴权技术。

很明显，制造业和电力公司的通信需要集成信息安全。

对于很多控制应用，不需要机密性，因此鉴权是一种很好的信息安全解决方案。当集成了鉴权解决方案时，围绕钥匙（或者令牌）管理技术的问题将成为普遍问题。

11.7 推荐与指南

用户应该遵循供应商的最佳实践，正确部署合适的设备到设备鉴权。