羅克韋爾自動化（中國）有限公司 華镕

10 密碼分配與管理技術(shù)

10.1 概述

用一致方式的政策驅(qū)動對密碼更新和變更，用戶識別與可重用密碼相聯(lián)系，這是對控制系統(tǒng)操作員和用戶進行系統(tǒng)識別和授權(quán)最常見的形式。密碼是用特征對個人鑒權(quán)的保護過程。鑒權(quán)要素基于用戶知道的內(nèi)容（比如，密碼），具有的東西（比如，智能卡），或特征（比如，生物測定）。密碼是用戶知道的某事。

密碼是今天對控制系統(tǒng)訪問最常部署的鑒權(quán)機制之一，因此，需要高度地保護。密碼是否強壯與適當管理是非常重要的，因此分配的方式要安全，而且還要保證更新和變更消除錯誤暴露，避免長期一直使用。

10.2 這項技術(shù)針對的信息安全漏洞

如果密碼適當?shù)厣?、更新和保持秘密，那它們就是有效安全的。密碼基于用戶知道的內(nèi)容鑒權(quán)，不是控制系統(tǒng)用戶具有的東西或特征。

10.3 典型部署

密碼在登錄過程期間使用，可以在中控室、工業(yè)組織內(nèi)部或外部的遠程位置，通過無線或有線或混合模式轉(zhuǎn)移。

10.4 已知問題和弱點

密碼是最常用的鑒權(quán)機制，也被認為是最糟的信息安全機制之一。它們的弱點主要來自用戶通常選擇的密碼很容易被猜出，把密碼告訴他人，和多次把密碼寫在注釋貼上，放在控制室的計算機或HMI附近，有時也不隱藏。對多數(shù)控制系統(tǒng)用戶，信息安全通常不是他們使用計算機和HMI最重要或最有趣的部分，直到黑客進入了他們的計算機，偷走信息或更糟，中斷了關(guān)鍵控制系統(tǒng)資產(chǎn)的自動運行。

為了保證系統(tǒng)安全，密碼需要秘密保存，日常的變化，甚至是更新，都會帶來攻擊者（包括內(nèi)部人員）試圖跟隨技術(shù)獲得密碼并最終俘獲信息安全的可能性。

? 電子監(jiān)視：攻擊者可以偵聽網(wǎng)絡(luò)數(shù)據(jù)捕捉信息，特別在用戶對鑒權(quán)服務(wù)器發(fā)送密碼時，攻擊者可以拷貝密碼并在另一個時間重用。重用密碼被稱為“重放攻擊”。

? 訪問密碼文件：密碼文件通常位于鑒權(quán)服務(wù)器。密碼文件包含很多用戶密碼，如果被俘獲，可能是很多損失的源頭。密碼文件應(yīng)用訪問控制機制和加密進行保護。

? 暴力攻擊：攻擊者可以用工具循環(huán)通過有可能的字符、數(shù)字和符號組合揭開密碼。

? 字典攻擊：攻擊者使用文件中的字詞比較用戶密碼，直到找到適配字詞。

? 社會工程：具有必要授權(quán)訪問特殊資源的攻擊者不實地說服個人。

10.5 在工業(yè)自動化和控制系統(tǒng)環(huán)境中使用的評估

密碼是訪問工業(yè)自動化流程或控制器系統(tǒng)鏈條中最強或最弱的地方。靜態(tài)密碼（密碼在一段周期內(nèi)不變）用在動態(tài)密碼不易實施的很多場合。周期，諸如每星期改變靜態(tài)密碼是個聰明的想法。動態(tài)密碼（每次登錄是新密碼）提供更好的信息安全，應(yīng)在可實施時所采用。更多關(guān)于動態(tài)密碼的信息，請看下一節(jié)。

10.6 未來方向

信息安全在未來更加重要，因為所知漏洞和黑客能力都在增加。比如，黑客通過使用更新更復(fù)雜的工具提高能力，諸如通過病毒在企業(yè)網(wǎng)絡(luò)中嵌入的鍵擊登錄程序，然后進入控制局域網(wǎng)。

一種提高信息安全的策略是使用一次性密碼。一次性密碼也稱為動態(tài)密碼。動態(tài)密碼用于鑒權(quán)目的，僅用一次。用完之后，就不再有效，因此，如果黑客獲得這個密碼，它不能再用。這種類型鑒權(quán)機制用在比靜態(tài)密碼級別更高的信息安全環(huán)境。

有兩種常見的一次性密碼生成：同步和異步，下面分別描述。令牌設(shè)備為用戶生成的一次性密碼發(fā)送到鑒權(quán)服務(wù)器。

令牌設(shè)備，或密碼生成器，通常是個手持設(shè)備，具有液晶屏和鍵板。這個硬件與用戶試圖訪問的計算機是分開的。令牌設(shè)備和鑒權(quán)服務(wù)需要以某種同步方式對用戶進行鑒權(quán)。令牌設(shè)備使用一張用戶特性列表，作為密碼登錄計算機。只有令牌設(shè)備和鑒權(quán)服務(wù)知道這些特性的意義。因為兩者是同步的，令牌設(shè)備把準確的密碼呈現(xiàn)給鑒權(quán)服務(wù)期待。這是一種一次性密碼，也稱為令牌，使用之后就無效了。

同步令牌設(shè)備使用時間或計數(shù)器與鑒權(quán)服務(wù)同步作為鑒權(quán)過程的核心部分。如果同步是基于時間的，令牌設(shè)備和鑒權(quán)服務(wù)使他們的內(nèi)部時鐘保持相同時間。使用令牌設(shè)備的時間值和密鑰生成一次性密碼，顯示給用戶。用戶輸入這個值和用戶ID進入計算機，然后計算機把他們傳送到服務(wù)器運行鑒權(quán)服務(wù)。鑒權(quán)服務(wù)解密這個值并且與期望的值比較。如果兩者匹配，用戶的鑒權(quán)操作完成，允許使用這臺計算機和資源。

如果令牌設(shè)備和鑒權(quán)服務(wù)使用計數(shù)器同步，用戶需要在計算機上初始化登錄程序，并且按下令牌設(shè)備上的按鈕。因為令牌設(shè)備在鑒權(quán)服務(wù)中提前得到下一個鑒權(quán)值，這個值和一個基本秘密運算會顯示給用戶。用戶輸入這個值與用戶ID，完成鑒權(quán)操作。

基于時間或基于計數(shù)器的同步，令牌設(shè)備和鑒權(quán)服務(wù)共享相同的密鑰，用于加密和解密。

用異步令牌生成方法的令牌設(shè)備采用挑戰(zhàn)/響應(yīng)機制完成用戶的鑒權(quán)操作。在這種情況下，鑒權(quán)服務(wù)器對用戶發(fā)送一個挑戰(zhàn)，它是一個隨機值，也被稱為現(xiàn)時。用戶輸入這個隨機值到令牌設(shè)備，設(shè)備解密并且返回一個值，用戶把它當作一個一次性密碼。用戶把這個值與用戶名一起，發(fā)送到鑒權(quán)服務(wù)器。如果鑒權(quán)服務(wù)器能夠?qū)@個值解密，并且與早先的挑戰(zhàn)值相同，用戶鑒權(quán)操作完成。

如果用戶共享他的識別信息，并且令牌設(shè)備被共享和被偷，同步和異步令牌系統(tǒng)能夠跌入偽裝的陷阱，令牌設(shè)備也會有電池失效或其他障礙。然而，使用令牌設(shè)備的系統(tǒng)沒有電子竊取，偵聽，或猜出密碼的漏洞。

10.7 推薦與指南

信息安全等級需要與信息和流程的價值相一致，特別對于具有需要保護的關(guān)鍵工業(yè)資產(chǎn)和裝備的控制系統(tǒng)。小型、獨立的控制系統(tǒng)，不包含有價值的信息或連接無關(guān)緊要的優(yōu)良資產(chǎn)，不控制有價值的流程，不連接因特網(wǎng)，可用簡單的密碼保護。相反，系統(tǒng)相互連接，包含有價值的信息，控制有價值的流程，或控制有價值和危險流程和裝備，需要有更復(fù)雜的密碼信息安全。這時，有知識的密碼和一次性密碼是合適的，并且可長期使用，性價比高。相反，黑客入侵會造成幾百萬美元的收入損失，嚴重損害系統(tǒng)和產(chǎn)品，秘密信息丟失，和對人員與環(huán)境的傷害。

11 設(shè)備到設(shè)備鑒權(quán)

11.1 概述

設(shè)備到設(shè)備的鑒權(quán)確保能夠識別在兩個設(shè)備之間對傳送數(shù)據(jù)的惡意改變。真正的數(shù)據(jù)是那些被原設(shè)備驗證和被接受設(shè)備確認的數(shù)據(jù)。設(shè)備到設(shè)備鑒權(quán)不阻止惡意篡改數(shù)據(jù)，但當數(shù)據(jù)改變時它能指出來。鑒權(quán)能夠應(yīng)用到兩個設(shè)備之間的數(shù)據(jù)傳送，對發(fā)送和接收數(shù)據(jù)用戶的同一性，對應(yīng)用發(fā)送的數(shù)據(jù)類型，對設(shè)備之間的會話，及以上的組合。

強壯的鑒權(quán)典型由結(jié)合下面的兩種方法定義，“你有一些東西”，“你知道一些東西”，和“你是一些東西”。這些被認為是最安全的鑒權(quán)形式。

通信層可以包括多種類型的物理層和協(xié)議，包括有線和無線，基于串行和基于IP。

NIST定義了四層鑒權(quán)使用令牌，僅限于數(shù)據(jù)鑒權(quán)范圍，對數(shù)據(jù)和同等鑒權(quán)用軟加密或者循環(huán)令牌，對數(shù)據(jù)和等同鑒權(quán)用硬加密令牌。注意沒有一種類型的鑒權(quán)需要數(shù)據(jù)加密發(fā)送，僅最后兩種類型除了非加密的數(shù)據(jù)以外需要令牌加密。

11.2 這項技術(shù)針對的信息安全漏洞

設(shè)備到設(shè)備鑒權(quán)減輕了與數(shù)據(jù)完整性相關(guān)的漏洞。

這個技術(shù)不是針對數(shù)據(jù)的機密性。多數(shù)情況下，如果僅應(yīng)用鑒權(quán)和一致性保護，數(shù)據(jù)可用性會很高，因為這個技術(shù)不依靠數(shù)據(jù)的加密。報頭相關(guān)的鑒權(quán)和一致性保護典型比那些需要機密性保護的方法可用性低。

鑒權(quán)技術(shù)將阻止任何沒有適當令牌的實體發(fā)送數(shù)據(jù)，而不在乎所發(fā)的是什么數(shù)據(jù)內(nèi)容（比如，數(shù)據(jù)可能是遙感測量、固件、文件、SCADA命令，或者其他）。因此，這個技術(shù)能夠減輕中間人攻擊。

如果數(shù)據(jù)鑒權(quán)出現(xiàn)在一個設(shè)備的應(yīng)用層，那么鑒權(quán)技術(shù)將阻止針對破壞數(shù)據(jù)類型的攻擊。如果鑒權(quán)能夠確認用戶的身份（諸如生物設(shè)備），那么這個技術(shù)將有更多收益。

11.3 典型應(yīng)用

設(shè)備到設(shè)備的鑒權(quán)經(jīng)常與密碼結(jié)合部署。然而，很多控制系統(tǒng)用戶，諸如那些電力行業(yè)，不需要機密性，已經(jīng)使用密碼，但需要數(shù)據(jù)的一致性和使用白文的診斷能力。為了這種類型的用戶，數(shù)據(jù)鑒權(quán)（和可能的用戶）提供了一種非常好的解決方案。對于沒有用戶的設(shè)備，應(yīng)用鑒權(quán)可以替代用戶執(zhí)行。

11.4 已知的問題和弱點

設(shè)備到設(shè)備鑒權(quán)不能減輕拒絕服務(wù)的攻擊。

先進的中間人攻擊，暗中的黑客無聲地觀察網(wǎng)絡(luò)負載，獲得訪問碼和地址，然后注入一個惡意攻擊，是對這個鑒權(quán)技術(shù)的僅有阻礙。

鑒權(quán)不能同授權(quán)（由一個實體獲得訪問特權(quán)）相混淆，也不包括基于角色的訪問控制（比如，組員）。

11.5 在工業(yè)自動化和控制系統(tǒng)環(huán)境中使用的評估

鑒權(quán)技術(shù)已經(jīng)在基于傳輸控制協(xié)議/因特網(wǎng)協(xié)議（TCP/IP）的網(wǎng)絡(luò)中獲得廣泛的使用。然而，在IACS環(huán)境中的很多協(xié)議不是基于IP，需要特殊執(zhí)行鑒權(quán)。諸如天然氣和電力行業(yè)現(xiàn)在正在尋找對他們的通信實施信息安全解決方案，這其中就包括了鑒權(quán)。

11.6 未來方向

一些組織正在對控制系統(tǒng)的信息安全解決方案做工作。IEC TC57已經(jīng)賦予了對IEC 60870-5協(xié)議和DNP3協(xié)議增加信息安全的任務(wù)，這兩種協(xié)議在電力工業(yè)的應(yīng)用很普遍。美國燃氣協(xié)會正在完成它的規(guī)范——AGA-12，需要密碼和鑒權(quán)技術(shù)。

很明顯，制造業(yè)和電力公司的通信需要集成信息安全。

對于很多控制應(yīng)用，不需要機密性，因此鑒權(quán)是一種很好的信息安全解決方案。當集成了鑒權(quán)解決方案時，圍繞鑰匙（或者令牌）管理技術(shù)的問題將成為普遍問題。

11.7 推薦與指南

用戶應(yīng)該遵循供應(yīng)商的最佳實踐，正確部署合適的設(shè)備到設(shè)備鑒權(quán)。