技術分享|工業控制系統身份認證技術分析

?

一、介紹

?

工業控制系統作為國家關鍵基礎設施的重要組成部分,其安全性已經成為涉及國家安全穩定的重要戰略問題。近年來,針對工控系統的病毒和攻擊不斷涌現,引起了各國的高度重視,紛紛在政策、標準、技術等方面開展了積極應對, 身份認證是降低工控系統安全風險的有效手段之一。鑒于當前我國工控系統面臨著安全形勢非常嚴峻，設備和系統主要依賴進口，且沒有形成規避安全風險制度和規范，本文在介紹傳統IT系統身份認證的基礎上提出工控設備和系統身份認證方法。

二、身份認證技術

無論是確保個人信息的隱私性，還是企業保護核心數據的安全性，工控企業采用合適的身份驗證方式已經是勢在必行。我們盤點了目前可以用的大部分身份驗證方式，除了用戶名和密碼之外，今天可以采用的身份驗證方式還有如下幾種：智能卡認證、USB Key認證、生物特征認證、動態口令認證等。

1. 靜態密碼

靜態密碼是由用戶自己設定的一串靜態數據，靜態密碼一旦設定之后，除非用戶更改，否則將保持不變，這也就導致了靜態密碼的安全性缺點，比如容易被偷看、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊、木馬攻擊等。為了從一定程度上提高靜態密碼的安全性，用戶可以定期對密碼進行更改，但是這又導致了靜態密碼在使用和管理上的困難，特別是當一個用戶有幾個甚至幾十個密碼需要處理時，非常容易造成密碼記錯和密碼遺忘等問題，而且也很難要求所有的用戶都能夠嚴格執行定期修改密碼的操作，即使用戶定期修改，密碼也會有相當一段時間是固定的。從總體上來說，靜態密碼的缺點和不足主要表現在以下幾個方面：

1)靜態密碼的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的密碼安全性弱，復雜的靜態密碼安全性高但是不易記憶和維護;

2)靜態密碼的風險成本高，一旦泄密將可能造成最大程度的損失，而且在發生損失以前，通常不知道靜態密碼已經泄密;

3)靜態密碼的使用和維護不便，特別一個用戶有幾個甚至十幾個靜態密碼需要使用和維護時，靜態密碼遺忘及遺忘以后所進行的掛失、重置等操作通常需要花費不少的時間和精力，非常影響正常的使用感受。

因此，靜態密碼機制雖然使用和部署非常簡單，但從安全性上講，靜態密碼屬于單因素的身份認證方式，在很多情況下已無法滿足工控系統對于身份認證安全性的需求。

2.智能卡

智能卡是指內嵌有微芯片的塑料卡(通常是一張信用卡的大小)的通稱。智能卡可以有效防止硬件克隆，而且能使解密者對軟件端代碼的跟蹤、調試、偵聽數據的手段失效，從而在極大程度上保證了整個軟件系統的安全性。

? ? 智能卡芯片具有很高的集成度，與普通低檔的單片機不同，只有已通過國際安全機構檢測和認證（EAL 4+）的專業安全芯片制造商才能提供智能卡芯片。而且必須具有如下優點：

1)私鑰不可讀：智能卡的軟硬件設計嚴格控制用戶私鑰的使用權限，只能在滿足條件時方可使用，保護私鑰的安全性。

2)卡內簽名、驗證：私鑰的簽名、驗證功能一律在卡內實現，不存在傳輸中私鑰泄漏的可能性。

3)卡內生成RSA密鑰對：RSA密鑰對能直接在卡內產生，從而從源頭上杜絕私鑰泄露的可能性。

4)使用方便：智能卡小巧易攜，使用上不受地域限制。用戶只要在安裝有相應驅動程序的計算機上就能激活使用載有私鑰數字證書的智能卡，方便安全地在網絡上實現電子交易。

總之，將用戶密鑰對、CA公鑰、數字證書等存儲在智能卡上能為用戶提供更高級別的安全保障。智能卡使用多種加密算法技術，用更安全的方式存儲私鑰，而不是存儲在易于受到攻擊的計算機中。另外，智能卡的PIN碼可以確保智能卡抵御非授權訪問和暴力攻擊。具有非對稱密鑰算法的智能卡可以滿足人們對私鑰的安全要求、移動式存儲要求和防偽要求等，是目前最理想的PKI 私鑰的安全載體。

3.USB Key

3.1介紹

智能卡就是一個完整的電腦架構，這種卡因為自己能夠進行計算，所以使用上很靈活，安全性也很高，國內主要用在中石化加油卡、高速公路一卡通等。但是智能卡的使用必須要配合讀卡器才行，這樣就給一些個人用戶造成了使用上的不便，隨著USB協議的普及，一種將智能卡和讀卡器結合的東西產生了，就是USBKey。

USBKey是集智能卡與讀卡器于一體的USB設備，支持熱插熱拔和即插即用、符合安全標準、體積小、重量輕、便于攜帶。USBKey本身作為密鑰存儲器，自身硬件結構決定了用戶只能通過廠商編程接口訪問數據，這就保證了保存在USBKey中的數字證書無法被復制，并且每一個USBKey都帶有PIN碼保護，這樣USBKey的硬件與PIN碼就構成了使用USBKey進行身份認證的雙因子。如果用戶USBKey丟失，獲得者由于不知道該硬件的PIN碼，就無法冒充合法用戶身份；如果用戶PIN碼泄露，只要保存好USBKey硬件就可以保證自己的身份不被冒充。

3.2 原理

1)基于挑戰-應答的雙因子認證方式, 在這種方式中要求用戶與服務器端共享一個密鑰值，用戶端存儲在key中，服務器端存儲在安全的數據庫中。

a)在網絡上驗證用戶身份時，客戶端向服務器發送一個身份驗證請求。

b)服務器端在收到身份驗證請求之后，產生一個隨機數并通過網絡發送給客戶端，這個隨機數即稱為挑戰值。

c)客戶端收到挑戰值之后，將挑戰值通過USB口傳送給key，key使用該挑戰值和key中的密鑰生成HMAC值，并將該值發送給服務器，這個值即為應答。

d)服務器在收到應答值后，同樣使用挑戰值和服務器端存儲的用戶密鑰計算HMAC值，若本地計算的值與傳回的響應值一致，則身份認證通過。

2)基于數字證書的認證方式,數字證書是由權威公正的第三方機構即CA中心簽發的，以數字證書為核心的加密技術，可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。每個用戶擁有一個僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一個公開密鑰（公鑰）用于文件發送者加密和接收者驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密。這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。　用戶也可以采用自己的私鑰對信息進行加密，接收者用發送者的公鑰解密，由于私鑰僅為用戶本人所有，所以就能夠確認該信息確實是由該用戶發送的。USB Key作為數字證書的存儲介質，可以保證數字證書不被復制，并可以實現所有數字證書的功能。

4.生物特征識別

4.1介紹

生物特征認證是指通過自動化技術利用人體的生理特征和（或）行為特征進行身份鑒定。目前利用生理特征進行生物識別的主要方法有：指紋識別、虹膜識別、手掌識別、視網膜識別和臉相識別；利用行為特征進行識別的主要方法有：聲音識別、筆跡識別和擊鍵識別等。除了這 些比較成熟的生物識別技術之外，還有許多新興的技術，如耳朵識別、人體氣味識別、血管識別、步態識別等。

4.2原理

一個典型的生物特征識別系統包括生物特征識別傳感器、特征提取、匹配其和系統數據庫四個模塊，以及采集生物特征樣本、預處理、特征提取和特征匹配四個處理過程。

1)采集樣本是通過某種技術和方法測量生物特征，并將其轉換為計算機可以處理的數字信號，這就是生物特征傳感器的主要任務，也是生物特征識別的第一步。大部分的生物特征，如人臉、指紋、虹膜、掌紋、手形、靜脈等。都是通過光學傳感器，例如電荷耦合器件圖像傳感器CCD或CMOS，形成圖像信號。

2)預處理的目的主要是去除無用信息，加強有用的信息，并對測量儀器或其他因素所造成的退化現象進行復原。在一些生物特征識別技術中，一般從生物特征獲取裝置采集得到的原始信號不僅包括生物特征本身，還包括背景信息等，所以必須從原始信號中分割出感興趣內容。定位和分割算法一般都是基于生物特征在圖像結構和信號分布方面的先驗知識。例如人臉檢測就是要從圖像中找到并定位人臉區域，這一直是計算機視覺領域研究的熱點問題。

3)所謂特征提取過程，就是機器通過學習獲取生物特征信號中能夠凸顯個性化差異的本質特征，從而實現身份的識別。特征提取是生物特征識別領域最基本的、原理性的問題，是生物識別領域最活躍的一個研究方向。生物特征技術的進展過程也 就是不斷尋找能夠凸顯個性化差異本質特征的過程，由于生物特征的多樣性和復雜性，目前這個問題只在個別的生物特征識別領域 得到了共識，例如指紋識別，大家都公認細節點（如末梢點和分叉點）是描述指紋特征的最佳表達方式，但是在其他生物特征識別領域，例如人臉、虹膜、掌紋等領域，研究人員還在不斷探索最佳的特征表達模型。

4)特征匹配是計算兩個生物特征樣本的特征模板之間的相似度，實際上就是將采集到的生物特征模板與機器中已經登錄的特征模板進行比對，并找出最佳的匹配對象。在特征匹配方面，除了傳統的基于距離的匹配方法外，基于神經網絡和基于支持向量機的方法也得到了廣泛的應用。而圖匹配的算法在指紋細節點模式、人臉模式、虹膜模式的相似性度量中得到了廣泛的應用。

5.動態口令

動態口令也稱一次性口令。動態口令是變動的口令，其變動來源于產生口令的運算因子是變化的。動態口令的產生因子一般都采用雙運算因子：其一，為用戶的私有密鑰。它是代表用戶身份的識別碼，是固定不變的。其二，為變動因子。正是變動因子的不斷變化，才產生了不斷變動的動態口令。采用不同的變動因子，形成了不同的動態口令認證技術：基于時間同步認證技術、基于事件同步認證技術和挑戰/應答方式的認證技術。具體使用過程中，它主要有這幾種形態：硬件令牌、軟件令牌、手機令牌、短信令牌等，最常用的是短信令牌或短信口令。

5.1思想

動態口令認證就是在登錄過程中加入不確定因素，使每次登錄時傳送的認證信息都不相同，以提高登錄過程安全性。動態口令認證技術消除了靜態口令認證技術的大部分安全缺陷，能有效抵抗靜態口令認證技術所面臨的主要安全威脅和攻擊，為網絡應用系統提供了更加安全可靠的用戶身份認證保障。該技術主要思想是為每個用戶分配一個帳號，每個帳號配有種子、迭代值和通行短語，種子（時間）及變化的迭代值（隨機數）就能夠產生一系列口令，每個口令用戶只能使用一次，由于用戶的秘密通行短語（時間對密鑰加密結果）從來不在網上傳送，因此，系統不易受到重放攻擊。

5.2原理

用戶通過客戶機訪問服務器時，首先向服務器傳送自己的帳號，服務器響應一個由與該帳號對應的種子和迭代值組成的挑戰，客戶機使用該挑戰和秘密通行短語產生一個一次性口令，并以該一次性口令登錄，作為對挑戰的答復，服務器隨即產生一次性口令與之對比，從而完成服務器對登錄用戶的鑒別，每次登錄成功后，迭代值遞減，當該值為0或秘密通行短語泄密后，必須重新初始化。

6.對比分析

?

?

三、工控控制系統特殊性

工業控制系統和IT系統有很多與生俱來的差異，兩個系統的側重也不相同，工業控制系統控制一個物理存在的實體而IT系統更多是以管理數據為目的。由于工作對象的不同系統安全設計是追求的優先級也是不同的，工業控制系統的安全目標優先級則是可用性>數據完整性>保密性。并且通信和支撐系統上的要求也是完全不同的。下面就一些重要描述影響身份認證技術應用的特性。?

1.可用性要求

很多工業控制系統生產過程自身是連續工作方式，要求一年365天不間斷工作，因此系統自動化生產過程非預期的斷電是不可接受的。

2.生命周期

傳統的IT部件的生命周期大概在3~5年，主要是由于技術發展以及更新太快的原因。對于工業控制系統，由于技術開發在很多情況下主要是用于特定的應用和實現，因此這類系統的生命周期大概在15年~20年，甚至更長時間。許多工業控制系統使用老版本的操作系統，甚至目前的供應商已經不再支持。

3.資源限制

工業控制和實時操作系統通常是資源受限系統，因而不包括典型的IT網絡安全能力。工業控制系統組件上可能沒有可用的資源來加裝提供網絡安全能力的系統。

4.技術支持

傳統的IT系統支持風格多元化，我們能夠在企業中經常看到IT服務外包的情況。而對于工業控制系統，這是不可能的，工業控制系統技術服務多由單獨的供應商提供，因此很難支持其他供應商提供的與此不同的技術解決方案。

5.通信方式

IT系統采用的通信協議標準化程度相當高，物理傳輸比較多地應用公共數據網絡，本地連接常常具備無線接入的能力。而工業控制系統一般工控系統是封閉的環境，無法和互聯網通訊。

四、總結

由于工業控制系統的這種特殊性，工控系統老舊、系統性能低、無法與互聯網通訊、無有效的安全維護人員和體系等情況導致在IT領域使用的身份認證技術措施無法直接應用到工業控制領域。

從各個身份認證的原理來看，生物特征認證、智能卡、USBKey、動態口令均能解決靜態密碼的易用性問題。但是生物特征識別和動態口令沒有簽名來保障業務不可抵賴行為，無法追溯安全事件，同時生物特征識別需要單獨的生物特征采集設備，成本較高，維護比較困難，不大適合在工控控制系統中大范圍應用；而動態口令適合客戶，由于網絡和成本問題，常見的短信密碼、硬件令牌和手機令牌均無法使用；

智能卡設備能夠解決生物特征和動態口令的一些缺陷，但是其需要額外的讀卡設備，已經完全可以被USB Key替代。

因此，綜合各種認證方式的優缺點和適應性，建議以業務風險管理為導向，分級分類的思想，靈活使用身份認證機制。

1)低安全性要求的系統在做好密碼規范的前提下可以采用用戶名和密碼的認證方式；

2)而對于較高安全性的設備可以采用USBKey的方式進行認證；

3)而對于安全性極高的系統可以采用雙因素認證，既可以把用戶名密碼認證機制和USBKey認證機制結合起來使用。

?

?