技術(shù)分享|工業(yè)控制系統(tǒng)身份認(rèn)證技術(shù)分析

?

一、介紹

?

工業(yè)控制系統(tǒng)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分,其安全性已經(jīng)成為涉及國(guó)家安全穩(wěn)定的重要戰(zhàn)略問(wèn)題。近年來(lái),針對(duì)工控系統(tǒng)的病毒和攻擊不斷涌現(xiàn),引起了各國(guó)的高度重視,紛紛在政策、標(biāo)準(zhǔn)、技術(shù)等方面開(kāi)展了積極應(yīng)對(duì), 身份認(rèn)證是降低工控系統(tǒng)安全風(fēng)險(xiǎn)的有效手段之一。鑒于當(dāng)前我國(guó)工控系統(tǒng)面臨著安全形勢(shì)非常嚴(yán)峻，設(shè)備和系統(tǒng)主要依賴進(jìn)口，且沒(méi)有形成規(guī)避安全風(fēng)險(xiǎn)制度和規(guī)范，本文在介紹傳統(tǒng)IT系統(tǒng)身份認(rèn)證的基礎(chǔ)上提出工控設(shè)備和系統(tǒng)身份認(rèn)證方法。

二、身份認(rèn)證技術(shù)

無(wú)論是確保個(gè)人信息的隱私性，還是企業(yè)保護(hù)核心數(shù)據(jù)的安全性，工控企業(yè)采用合適的身份驗(yàn)證方式已經(jīng)是勢(shì)在必行。我們盤點(diǎn)了目前可以用的大部分身份驗(yàn)證方式，除了用戶名和密碼之外，今天可以采用的身份驗(yàn)證方式還有如下幾種：智能卡認(rèn)證、USB Key認(rèn)證、生物特征認(rèn)證、動(dòng)態(tài)口令認(rèn)證等。

1. 靜態(tài)密碼

靜態(tài)密碼是由用戶自己設(shè)定的一串靜態(tài)數(shù)據(jù)，靜態(tài)密碼一旦設(shè)定之后，除非用戶更改，否則將保持不變，這也就導(dǎo)致了靜態(tài)密碼的安全性缺點(diǎn)，比如容易被偷看、猜測(cè)、字典攻擊、暴力破解、竊取、監(jiān)聽(tīng)、重放攻擊、木馬攻擊等。為了從一定程度上提高靜態(tài)密碼的安全性，用戶可以定期對(duì)密碼進(jìn)行更改，但是這又導(dǎo)致了靜態(tài)密碼在使用和管理上的困難，特別是當(dāng)一個(gè)用戶有幾個(gè)甚至幾十個(gè)密碼需要處理時(shí)，非常容易造成密碼記錯(cuò)和密碼遺忘等問(wèn)題，而且也很難要求所有的用戶都能夠嚴(yán)格執(zhí)行定期修改密碼的操作，即使用戶定期修改，密碼也會(huì)有相當(dāng)一段時(shí)間是固定的。從總體上來(lái)說(shuō)，靜態(tài)密碼的缺點(diǎn)和不足主要表現(xiàn)在以下幾個(gè)方面：

1)靜態(tài)密碼的易用性和安全性互相排斥，兩者不能兼顧，簡(jiǎn)單容易記憶的密碼安全性弱，復(fù)雜的靜態(tài)密碼安全性高但是不易記憶和維護(hù);

2)靜態(tài)密碼的風(fēng)險(xiǎn)成本高，一旦泄密將可能造成最大程度的損失，而且在發(fā)生損失以前，通常不知道靜態(tài)密碼已經(jīng)泄密;

3)靜態(tài)密碼的使用和維護(hù)不便，特別一個(gè)用戶有幾個(gè)甚至十幾個(gè)靜態(tài)密碼需要使用和維護(hù)時(shí)，靜態(tài)密碼遺忘及遺忘以后所進(jìn)行的掛失、重置等操作通常需要花費(fèi)不少的時(shí)間和精力，非常影響正常的使用感受。

因此，靜態(tài)密碼機(jī)制雖然使用和部署非常簡(jiǎn)單，但從安全性上講，靜態(tài)密碼屬于單因素的身份認(rèn)證方式，在很多情況下已無(wú)法滿足工控系統(tǒng)對(duì)于身份認(rèn)證安全性的需求。

2.智能卡

智能卡是指內(nèi)嵌有微芯片的塑料卡(通常是一張信用卡的大小)的通稱。智能卡可以有效防止硬件克隆，而且能使解密者對(duì)軟件端代碼的跟蹤、調(diào)試、偵聽(tīng)數(shù)據(jù)的手段失效，從而在極大程度上保證了整個(gè)軟件系統(tǒng)的安全性。

? ? 智能卡芯片具有很高的集成度，與普通低檔的單片機(jī)不同，只有已通過(guò)國(guó)際安全機(jī)構(gòu)檢測(cè)和認(rèn)證（EAL 4+）的專業(yè)安全芯片制造商才能提供智能卡芯片。而且必須具有如下優(yōu)點(diǎn)：

1)私鑰不可讀：智能卡的軟硬件設(shè)計(jì)嚴(yán)格控制用戶私鑰的使用權(quán)限，只能在滿足條件時(shí)方可使用，保護(hù)私鑰的安全性。

2)卡內(nèi)簽名、驗(yàn)證：私鑰的簽名、驗(yàn)證功能一律在卡內(nèi)實(shí)現(xiàn)，不存在傳輸中私鑰泄漏的可能性。

3)卡內(nèi)生成RSA密鑰對(duì)：RSA密鑰對(duì)能直接在卡內(nèi)產(chǎn)生，從而從源頭上杜絕私鑰泄露的可能性。

4)使用方便：智能卡小巧易攜，使用上不受地域限制。用戶只要在安裝有相應(yīng)驅(qū)動(dòng)程序的計(jì)算機(jī)上就能激活使用載有私鑰數(shù)字證書的智能卡，方便安全地在網(wǎng)絡(luò)上實(shí)現(xiàn)電子交易。

總之，將用戶密鑰對(duì)、CA公鑰、數(shù)字證書等存儲(chǔ)在智能卡上能為用戶提供更高級(jí)別的安全保障。智能卡使用多種加密算法技術(shù)，用更安全的方式存儲(chǔ)私鑰，而不是存儲(chǔ)在易于受到攻擊的計(jì)算機(jī)中。另外，智能卡的PIN碼可以確保智能卡抵御非授權(quán)訪問(wèn)和暴力攻擊。具有非對(duì)稱密鑰算法的智能卡可以滿足人們對(duì)私鑰的安全要求、移動(dòng)式存儲(chǔ)要求和防偽要求等，是目前最理想的PKI 私鑰的安全載體。

3.USB Key

3.1介紹

智能卡就是一個(gè)完整的電腦架構(gòu)，這種卡因?yàn)樽约耗軌蜻M(jìn)行計(jì)算，所以使用上很靈活，安全性也很高，國(guó)內(nèi)主要用在中石化加油卡、高速公路一卡通等。但是智能卡的使用必須要配合讀卡器才行，這樣就給一些個(gè)人用戶造成了使用上的不便，隨著USB協(xié)議的普及，一種將智能卡和讀卡器結(jié)合的東西產(chǎn)生了，就是USBKey。

USBKey是集智能卡與讀卡器于一體的USB設(shè)備，支持熱插熱拔和即插即用、符合安全標(biāo)準(zhǔn)、體積小、重量輕、便于攜帶。USBKey本身作為密鑰存儲(chǔ)器，自身硬件結(jié)構(gòu)決定了用戶只能通過(guò)廠商編程接口訪問(wèn)數(shù)據(jù)，這就保證了保存在USBKey中的數(shù)字證書無(wú)法被復(fù)制，并且每一個(gè)USBKey都帶有PIN碼保護(hù)，這樣USBKey的硬件與PIN碼就構(gòu)成了使用USBKey進(jìn)行身份認(rèn)證的雙因子。如果用戶USBKey丟失，獲得者由于不知道該硬件的PIN碼，就無(wú)法冒充合法用戶身份；如果用戶PIN碼泄露，只要保存好USBKey硬件就可以保證自己的身份不被冒充。

3.2 原理

1)基于挑戰(zhàn)-應(yīng)答的雙因子認(rèn)證方式, 在這種方式中要求用戶與服務(wù)器端共享一個(gè)密鑰值，用戶端存儲(chǔ)在key中，服務(wù)器端存儲(chǔ)在安全的數(shù)據(jù)庫(kù)中。

a)在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí)，客戶端向服務(wù)器發(fā)送一個(gè)身份驗(yàn)證請(qǐng)求。

b)服務(wù)器端在收到身份驗(yàn)證請(qǐng)求之后，產(chǎn)生一個(gè)隨機(jī)數(shù)并通過(guò)網(wǎng)絡(luò)發(fā)送給客戶端，這個(gè)隨機(jī)數(shù)即稱為挑戰(zhàn)值。

c)客戶端收到挑戰(zhàn)值之后，將挑戰(zhàn)值通過(guò)USB口傳送給key，key使用該挑戰(zhàn)值和key中的密鑰生成HMAC值，并將該值發(fā)送給服務(wù)器，這個(gè)值即為應(yīng)答。

d)服務(wù)器在收到應(yīng)答值后，同樣使用挑戰(zhàn)值和服務(wù)器端存儲(chǔ)的用戶密鑰計(jì)算HMAC值，若本地計(jì)算的值與傳回的響應(yīng)值一致，則身份認(rèn)證通過(guò)。

2)基于數(shù)字證書的認(rèn)證方式,數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)，可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。每個(gè)用戶擁有一個(gè)僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一個(gè)公開(kāi)密鑰（公鑰）用于文件發(fā)送者加密和接收者驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密。這樣，信息就可以安全無(wú)誤地到達(dá)目的地了，即使被第三方截獲，由于沒(méi)有相應(yīng)的私鑰，也無(wú)法進(jìn)行解密?！∮脩粢部梢圆捎米约旱乃借€對(duì)信息進(jìn)行加密，接收者用發(fā)送者的公鑰解密，由于私鑰僅為用戶本人所有，所以就能夠確認(rèn)該信息確實(shí)是由該用戶發(fā)送的。USB Key作為數(shù)字證書的存儲(chǔ)介質(zhì)，可以保證數(shù)字證書不被復(fù)制，并可以實(shí)現(xiàn)所有數(shù)字證書的功能。

4.生物特征識(shí)別

4.1介紹

生物特征認(rèn)證是指通過(guò)自動(dòng)化技術(shù)利用人體的生理特征和（或）行為特征進(jìn)行身份鑒定。目前利用生理特征進(jìn)行生物識(shí)別的主要方法有：指紋識(shí)別、虹膜識(shí)別、手掌識(shí)別、視網(wǎng)膜識(shí)別和臉相識(shí)別；利用行為特征進(jìn)行識(shí)別的主要方法有：聲音識(shí)別、筆跡識(shí)別和擊鍵識(shí)別等。除了這 些比較成熟的生物識(shí)別技術(shù)之外，還有許多新興的技術(shù)，如耳朵識(shí)別、人體氣味識(shí)別、血管識(shí)別、步態(tài)識(shí)別等。

4.2原理

一個(gè)典型的生物特征識(shí)別系統(tǒng)包括生物特征識(shí)別傳感器、特征提取、匹配其和系統(tǒng)數(shù)據(jù)庫(kù)四個(gè)模塊，以及采集生物特征樣本、預(yù)處理、特征提取和特征匹配四個(gè)處理過(guò)程。

1)采集樣本是通過(guò)某種技術(shù)和方法測(cè)量生物特征，并將其轉(zhuǎn)換為計(jì)算機(jī)可以處理的數(shù)字信號(hào)，這就是生物特征傳感器的主要任務(wù)，也是生物特征識(shí)別的第一步。大部分的生物特征，如人臉、指紋、虹膜、掌紋、手形、靜脈等。都是通過(guò)光學(xué)傳感器，例如電荷耦合器件圖像傳感器CCD或CMOS，形成圖像信號(hào)。

2)預(yù)處理的目的主要是去除無(wú)用信息，加強(qiáng)有用的信息，并對(duì)測(cè)量?jī)x器或其他因素所造成的退化現(xiàn)象進(jìn)行復(fù)原。在一些生物特征識(shí)別技術(shù)中，一般從生物特征獲取裝置采集得到的原始信號(hào)不僅包括生物特征本身，還包括背景信息等，所以必須從原始信號(hào)中分割出感興趣內(nèi)容。定位和分割算法一般都是基于生物特征在圖像結(jié)構(gòu)和信號(hào)分布方面的先驗(yàn)知識(shí)。例如人臉檢測(cè)就是要從圖像中找到并定位人臉區(qū)域，這一直是計(jì)算機(jī)視覺(jué)領(lǐng)域研究的熱點(diǎn)問(wèn)題。

3)所謂特征提取過(guò)程，就是機(jī)器通過(guò)學(xué)習(xí)獲取生物特征信號(hào)中能夠凸顯個(gè)性化差異的本質(zhì)特征，從而實(shí)現(xiàn)身份的識(shí)別。特征提取是生物特征識(shí)別領(lǐng)域最基本的、原理性的問(wèn)題，是生物識(shí)別領(lǐng)域最活躍的一個(gè)研究方向。生物特征技術(shù)的進(jìn)展過(guò)程也 就是不斷尋找能夠凸顯個(gè)性化差異本質(zhì)特征的過(guò)程，由于生物特征的多樣性和復(fù)雜性，目前這個(gè)問(wèn)題只在個(gè)別的生物特征識(shí)別領(lǐng)域 得到了共識(shí)，例如指紋識(shí)別，大家都公認(rèn)細(xì)節(jié)點(diǎn)（如末梢點(diǎn)和分叉點(diǎn)）是描述指紋特征的最佳表達(dá)方式，但是在其他生物特征識(shí)別領(lǐng)域，例如人臉、虹膜、掌紋等領(lǐng)域，研究人員還在不斷探索最佳的特征表達(dá)模型。

4)特征匹配是計(jì)算兩個(gè)生物特征樣本的特征模板之間的相似度，實(shí)際上就是將采集到的生物特征模板與機(jī)器中已經(jīng)登錄的特征模板進(jìn)行比對(duì)，并找出最佳的匹配對(duì)象。在特征匹配方面，除了傳統(tǒng)的基于距離的匹配方法外，基于神經(jīng)網(wǎng)絡(luò)和基于支持向量機(jī)的方法也得到了廣泛的應(yīng)用。而圖匹配的算法在指紋細(xì)節(jié)點(diǎn)模式、人臉模式、虹膜模式的相似性度量中得到了廣泛的應(yīng)用。

5.動(dòng)態(tài)口令

動(dòng)態(tài)口令也稱一次性口令。動(dòng)態(tài)口令是變動(dòng)的口令，其變動(dòng)來(lái)源于產(chǎn)生口令的運(yùn)算因子是變化的。動(dòng)態(tài)口令的產(chǎn)生因子一般都采用雙運(yùn)算因子：其一，為用戶的私有密鑰。它是代表用戶身份的識(shí)別碼，是固定不變的。其二，為變動(dòng)因子。正是變動(dòng)因子的不斷變化，才產(chǎn)生了不斷變動(dòng)的動(dòng)態(tài)口令。采用不同的變動(dòng)因子，形成了不同的動(dòng)態(tài)口令認(rèn)證技術(shù)：基于時(shí)間同步認(rèn)證技術(shù)、基于事件同步認(rèn)證技術(shù)和挑戰(zhàn)/應(yīng)答方式的認(rèn)證技術(shù)。具體使用過(guò)程中，它主要有這幾種形態(tài)：硬件令牌、軟件令牌、手機(jī)令牌、短信令牌等，最常用的是短信令牌或短信口令。

5.1思想

動(dòng)態(tài)口令認(rèn)證就是在登錄過(guò)程中加入不確定因素，使每次登錄時(shí)傳送的認(rèn)證信息都不相同，以提高登錄過(guò)程安全性。動(dòng)態(tài)口令認(rèn)證技術(shù)消除了靜態(tài)口令認(rèn)證技術(shù)的大部分安全缺陷，能有效抵抗靜態(tài)口令認(rèn)證技術(shù)所面臨的主要安全威脅和攻擊，為網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供了更加安全可靠的用戶身份認(rèn)證保障。該技術(shù)主要思想是為每個(gè)用戶分配一個(gè)帳號(hào)，每個(gè)帳號(hào)配有種子、迭代值和通行短語(yǔ)，種子（時(shí)間）及變化的迭代值（隨機(jī)數(shù)）就能夠產(chǎn)生一系列口令，每個(gè)口令用戶只能使用一次，由于用戶的秘密通行短語(yǔ)（時(shí)間對(duì)密鑰加密結(jié)果）從來(lái)不在網(wǎng)上傳送，因此，系統(tǒng)不易受到重放攻擊。

5.2原理

用戶通過(guò)客戶機(jī)訪問(wèn)服務(wù)器時(shí)，首先向服務(wù)器傳送自己的帳號(hào)，服務(wù)器響應(yīng)一個(gè)由與該帳號(hào)對(duì)應(yīng)的種子和迭代值組成的挑戰(zhàn)，客戶機(jī)使用該挑戰(zhàn)和秘密通行短語(yǔ)產(chǎn)生一個(gè)一次性口令，并以該一次性口令登錄，作為對(duì)挑戰(zhàn)的答復(fù)，服務(wù)器隨即產(chǎn)生一次性口令與之對(duì)比，從而完成服務(wù)器對(duì)登錄用戶的鑒別，每次登錄成功后，迭代值遞減，當(dāng)該值為0或秘密通行短語(yǔ)泄密后，必須重新初始化。

6.對(duì)比分析

?

?

三、工控控制系統(tǒng)特殊性

工業(yè)控制系統(tǒng)和IT系統(tǒng)有很多與生俱來(lái)的差異，兩個(gè)系統(tǒng)的側(cè)重也不相同，工業(yè)控制系統(tǒng)控制一個(gè)物理存在的實(shí)體而IT系統(tǒng)更多是以管理數(shù)據(jù)為目的。由于工作對(duì)象的不同系統(tǒng)安全設(shè)計(jì)是追求的優(yōu)先級(jí)也是不同的，工業(yè)控制系統(tǒng)的安全目標(biāo)優(yōu)先級(jí)則是可用性>數(shù)據(jù)完整性>保密性。并且通信和支撐系統(tǒng)上的要求也是完全不同的。下面就一些重要描述影響身份認(rèn)證技術(shù)應(yīng)用的特性。?

1.可用性要求

很多工業(yè)控制系統(tǒng)生產(chǎn)過(guò)程自身是連續(xù)工作方式，要求一年365天不間斷工作，因此系統(tǒng)自動(dòng)化生產(chǎn)過(guò)程非預(yù)期的斷電是不可接受的。

2.生命周期

傳統(tǒng)的IT部件的生命周期大概在3~5年，主要是由于技術(shù)發(fā)展以及更新太快的原因。對(duì)于工業(yè)控制系統(tǒng)，由于技術(shù)開(kāi)發(fā)在很多情況下主要是用于特定的應(yīng)用和實(shí)現(xiàn)，因此這類系統(tǒng)的生命周期大概在15年~20年，甚至更長(zhǎng)時(shí)間。許多工業(yè)控制系統(tǒng)使用老版本的操作系統(tǒng)，甚至目前的供應(yīng)商已經(jīng)不再支持。

3.資源限制

工業(yè)控制和實(shí)時(shí)操作系統(tǒng)通常是資源受限系統(tǒng)，因而不包括典型的IT網(wǎng)絡(luò)安全能力。工業(yè)控制系統(tǒng)組件上可能沒(méi)有可用的資源來(lái)加裝提供網(wǎng)絡(luò)安全能力的系統(tǒng)。

4.技術(shù)支持

傳統(tǒng)的IT系統(tǒng)支持風(fēng)格多元化，我們能夠在企業(yè)中經(jīng)?？吹絀T服務(wù)外包的情況。而對(duì)于工業(yè)控制系統(tǒng)，這是不可能的，工業(yè)控制系統(tǒng)技術(shù)服務(wù)多由單獨(dú)的供應(yīng)商提供，因此很難支持其他供應(yīng)商提供的與此不同的技術(shù)解決方案。

5.通信方式

IT系統(tǒng)采用的通信協(xié)議標(biāo)準(zhǔn)化程度相當(dāng)高，物理傳輸比較多地應(yīng)用公共數(shù)據(jù)網(wǎng)絡(luò)，本地連接常常具備無(wú)線接入的能力。而工業(yè)控制系統(tǒng)一般工控系統(tǒng)是封閉的環(huán)境，無(wú)法和互聯(lián)網(wǎng)通訊。

四、總結(jié)

由于工業(yè)控制系統(tǒng)的這種特殊性，工控系統(tǒng)老舊、系統(tǒng)性能低、無(wú)法與互聯(lián)網(wǎng)通訊、無(wú)有效的安全維護(hù)人員和體系等情況導(dǎo)致在IT領(lǐng)域使用的身份認(rèn)證技術(shù)措施無(wú)法直接應(yīng)用到工業(yè)控制領(lǐng)域。

從各個(gè)身份認(rèn)證的原理來(lái)看，生物特征認(rèn)證、智能卡、USBKey、動(dòng)態(tài)口令均能解決靜態(tài)密碼的易用性問(wèn)題。但是生物特征識(shí)別和動(dòng)態(tài)口令沒(méi)有簽名來(lái)保障業(yè)務(wù)不可抵賴行為，無(wú)法追溯安全事件，同時(shí)生物特征識(shí)別需要單獨(dú)的生物特征采集設(shè)備，成本較高，維護(hù)比較困難，不大適合在工控控制系統(tǒng)中大范圍應(yīng)用；而動(dòng)態(tài)口令適合客戶，由于網(wǎng)絡(luò)和成本問(wèn)題，常見(jiàn)的短信密碼、硬件令牌和手機(jī)令牌均無(wú)法使用；

智能卡設(shè)備能夠解決生物特征和動(dòng)態(tài)口令的一些缺陷，但是其需要額外的讀卡設(shè)備，已經(jīng)完全可以被USB Key替代。

因此，綜合各種認(rèn)證方式的優(yōu)缺點(diǎn)和適應(yīng)性，建議以業(yè)務(wù)風(fēng)險(xiǎn)管理為導(dǎo)向，分級(jí)分類的思想，靈活使用身份認(rèn)證機(jī)制。

1)低安全性要求的系統(tǒng)在做好密碼規(guī)范的前提下可以采用用戶名和密碼的認(rèn)證方式；

2)而對(duì)于較高安全性的設(shè)備可以采用USBKey的方式進(jìn)行認(rèn)證；

3)而對(duì)于安全性極高的系統(tǒng)可以采用雙因素認(rèn)證，既可以把用戶名密碼認(rèn)證機(jī)制和USBKey認(rèn)證機(jī)制結(jié)合起來(lái)使用。

?

?