幾種常見的授權(quán)和鑒權(quán)技術(shù)（二）

3 密碼鑒權(quán)
3.1 概述
        密碼鑒權(quán)技術(shù)基于對請求訪問工業(yè)自動化控制系統(tǒng)（IACS）的某個設(shè)備或控制操作員應(yīng)該知道的內(nèi)容（比如，一個秘密）進(jìn)行測試，決定真實性，諸如個人識別碼（PIN）或密碼。密碼鑒權(quán)方案是最簡單和最常用的。
        有三種常見的密碼：
        ? 數(shù)字密碼或PIN－用一組數(shù)字作為秘密（比如，數(shù)字1234）；
        ? 字符密碼－用一條短字符串作為秘密（比如，“hat34slow”）；
        ? 短語密碼－用一條長字符串來生成秘密（比如，短語“downtown 23 boats hit cars and blew smoke into cabbage”可生成以64為基數(shù)的秘密值 X34B3-By88e-P345s-56df0）。
        每種密碼類型遵循相同的理念，但對用戶給出了不同的復(fù)雜性，對系統(tǒng)提供了不同等級的信息安全。
        ? 數(shù)字密碼是最簡單的，甚至最小的嵌入式設(shè)備都能管理。它經(jīng)常表現(xiàn)為一個從0到9999的數(shù)字，并且可以存儲為一個16位整數(shù)。它也是最不安全方法。兩個最常見的例子是把PIN當(dāng)作自動取款機(jī)信用卡的密碼或門訪問設(shè)備的鍵板輸入密碼。
        ? 字符密碼比較長，經(jīng)常從6到14個字符。它要用更多的存儲器和處理來管理，因此提供了多一點(diǎn)的信息安全。
        ? 短語密碼更加長，在密碼系統(tǒng)中可用來創(chuàng)建數(shù)碼鑰。雖然記憶像“downtown 23 boats hit cars and blew smoke into cabbage,”這樣的短語要花費(fèi)一些力氣，但對多數(shù)人來說，比起記憶編碼“X34B3-By88e-P345s-56df0.”要容易的多。這種方法也提供了更多的信息安全，因為對于黑客猜測是最難的，用密碼破解程序來破解的可能性也較小。

[DividePage:NextPage]

3.5在工業(yè)自動化和控制系統(tǒng)環(huán)境中使用的評估
        在IACS環(huán)境中使用唯一密碼的一個問題是用戶回憶和登錄密碼的能力可能被瞬間的壓力所影響。在重要危機(jī)關(guān)頭，人員干涉為必須時，一個操作員可能驚惶失措，很難記住密碼，被完全鎖在外面或延遲響應(yīng)事件。如果登錄的密碼是錯誤的，系統(tǒng)具有錯誤密碼登錄次數(shù)限制，操作員可能永遠(yuǎn)被鎖在外面，直到一個授權(quán)人員復(fù)位這個賬號。
        在IACS環(huán)境中，當(dāng)使用基于注冊密碼鑒權(quán)的IT策略時，要給予特別考慮。沒有一個基于機(jī)器識別（ID）的排除列表，非操作員登錄可能產(chǎn)生諸如超時自動退出和管理員密碼替換的策略執(zhí)行結(jié)果，這對系統(tǒng)的運(yùn)行是有害的。有些控制器的操作系統(tǒng)設(shè)置安全密碼比較困難，因為密碼尺寸非常小，所以系統(tǒng)通常僅允許組密碼，在某個級別訪問，不是各人的密碼。
        有些工業(yè)（和因特網(wǎng)）協(xié)議的傳送密碼使用明文，容易被偵聽。萬一不能避免這種情況，使用有加密和非加密系統(tǒng)，用戶使用不同的（無關(guān)的）密碼是重要的。

3.6 未來方向
        工業(yè)自動化和控制系統(tǒng)裝置比較復(fù)雜，應(yīng)有高水平的密碼信息安全。IACS裝置需要具有用安全方式（比如，不是明文）傳送密碼的協(xié)議。將來使用密碼的一個方法可能是一種稱為RBA的公共方法，或基于角色鑒權(quán)。在某些情況下，幾個操作員具有相同的密碼，因此有相同授權(quán)，因為他們有同等授權(quán)，一旦他們進(jìn)入控制系統(tǒng)通過授權(quán)，他們能夠做和不能做的都一樣。這種基于角色的方法與他或她的工作角色相關(guān)，而不是與他或她的個人相關(guān)，這對管理員在一個比公共IT 企業(yè)工作角色變化更頻繁的環(huán)境中是有用的。
        未來IACS密碼裝置和協(xié)議應(yīng)在不同緊急情況下給操作員提供靈活性。例如，在緊急情況下，驚惶失措的操作員可能多次登錄不成功。而在緊急情況下不允許操作員訪問系統(tǒng)可能產(chǎn)生嚴(yán)重的問題，慘重的后果。因此，應(yīng)該有密碼算法預(yù)案，通過對不成功嘗試與成功的相似性，對不成功嘗試的人進(jìn)行識別。算法應(yīng)允許操作員使用簡單緊急密碼用于登錄目的。
3.7 推薦與指南
        下面是使用密碼的一般性推薦和考慮。詳細(xì)的推薦將在IEC 62443-2-1中給出。
        ? 密碼應(yīng)有適當(dāng)?shù)拈L度且使用隨機(jī)字符，滿足信息安全要求。特別的，它們不能在字典中發(fā)現(xiàn)或是能預(yù)測的數(shù)字或字母序列。
        ? 原始密碼和重新設(shè)制的密碼應(yīng)能安全傳送至目標(biāo)接收器。用戶鑒權(quán)不需使用社會工程方法。這些方法包括面對面ID鑒權(quán)和發(fā)送語音郵件。
        ?在操作員接口設(shè)備上應(yīng)小心使用密碼，諸如關(guān)鍵流程的控制操作臺。如果操作員在關(guān)鍵事件期間在這些控制臺上使用密碼被鎖住時，可能帶來潛在的安全問題。
        ? 主密碼的保管人應(yīng)是可信賴的員工，在緊急時刻使用。對信賴員工有限授權(quán)，可以更改高級密碼。密碼登錄，特別是主密碼，應(yīng)該與控制系統(tǒng)分開維護(hù)，可能鎖在一臺筆記本的保險箱或安全箱中。
        ?在可能偵聽或入侵（諸如設(shè)施中的遠(yuǎn)程操作員接口，缺乏本地物理信息安全訪問控制）的高風(fēng)險環(huán)境中，用戶應(yīng)該考慮增加其他形式的密碼鑒權(quán)，諸如挑戰(zhàn)/響應(yīng)或生物測量或物理令牌兩因素鑒權(quán)。
        ? 為了達(dá)到用戶鑒權(quán)目的，使用密碼直接登錄到本地設(shè)備或計算機(jī)是通常做法，可以接受。密碼不應(yīng)通過網(wǎng)絡(luò)發(fā)送，除非有很強(qiáng)加密形式保護(hù)或有針對重發(fā)攻擊而設(shè)計的加密。假設(shè)使用密碼進(jìn)入的設(shè)備都連接到安全形式的網(wǎng)絡(luò)。
        ? 為了達(dá)到網(wǎng)絡(luò)服務(wù)鑒權(quán)目的，如果可能應(yīng)該避免使用密碼。有多種安全方法可供選擇，諸如挑戰(zhàn)/響應(yīng)或公共密鑰鑒權(quán)。