6 智能卡鉴权
6.1 概述
智能卡与令牌鉴权很相似,但可以提供更多的功能。智能卡可以配置多个卡上应用,用一卡可支持楼宇访问,计算机两要素或三要素鉴权,和无现金贩卖机,同时还可扮演个人在公司的照片ID。
通常,智能卡有信用卡的尺寸形式要素,可以印刷,浮饰和个性化。智能卡可以定制,个性化,和内部发行或外包给服务供应商,通常每天能发行几十万张卡。
6.2 这项技术针对的信息安全漏洞
智能卡加强了纯软件的解决方案,诸如密码鉴权,通过提供附加的鉴权因素,消除了记忆复杂秘密的人为因素。它们也:
• 隔离了信息安全关键计算包括鉴权,数字签名,与系统其他部分不需要知道的钥匙交换。
• 可在计算机系统之间携带信用和其他私有信息。
• 有阻止篡改存储器功能,保护私有钥匙和其他形式的个人信息。
6.3 典型部署
智能卡可以有多种变化,从简单的存储卡,到有卡上处理能力复杂的卡。诸如Java®卡甚至允许动态上载新应用,很像Web浏览器,能够运行下载的Java®码。
读卡器可以是USB,PC卡和RS232设备,并且内置于诸如键盘和键板这样的设备在不断增加。较新的设备,某些确认PIN不用工作站处理,而是直接输入到智能卡中。这些“安全 PIN进入设备”可以防止基于工作站用PIN的钥匙登录攻击。
智能卡可以用金属接触,类似于今天常见的信用卡,或具有接近无线通信能力,工作的范围在1米到2米。
智能卡还能把几种用途结合进单一卡。比如,可以把楼宇访问控制,计算机鉴权,应用鉴权,和非现金交易集成到一张卡上。当用户离开工作区域吃午饭时,他必须带上自己的卡购买午餐(无需现金)或返回安全区域,确保他离开时带走了卡,计算机会自动上锁。
用于计算机鉴权的智能卡应用通常保证了卡上用户的信用安全。用户输入PIN对卡开锁后,可以访问信用。应用通常在计算机和卡之间使用挑战/响应机制,仅允许在卡内保留信用,且永不转移到可能被俘获的计算机中。
6.4 已知的问题和弱点
许多智能卡提供了高质量两要素鉴权方案,这在金融行业应用已足够牢靠。多数问题来自发行卡的后勤部门,特别是补发丢失或被偷的卡。这些问题包括:
• 一张丢失或被偷的卡可能为得卡者提供某个级别的访问。
• 智能卡如果没有相配的硬件和访问控制系统,不比非智能卡好。
• 智能卡丢失或损坏时,如果没有得到备份卡,为了安全或正常运行,必须暂时阻止原卡对工业自动化和控制系统的访问。
• 如果使用工作站读取智能卡的PIN,如果这台工作站被俘获就易受攻击。安全PIN读取设备不允许工作站对PIN访问,这样可以防止这个漏洞。
• 智能卡可在控制系统外用于多种应用,诸如无现金购物,创建编码发现漏洞。
还有一些需要关心的问题,智能卡信息安全可能被差分电源分析(DPA)技术所俘获。DPA对一设备的电气行为进行监视,然后使用先进的统计方法确定这个设备中的秘密信息(诸如密钥和用户PIN)。
6.5 在工业自动化和控制系统环境中使用的评估
虽然智能卡相对便宜,且在工业控制系统中提供了有用的功能,但应在整个工厂的信息安全框架内执行。个人识别,卡的发放,怀疑俘获的撤回和对身份从授权到鉴权的分配,开始到正在一直表现为巨大的挑战。在某些场合,公司的IT或其他资源可以帮助实施智能卡和基础设施的公共钥匙。
6.6 未来方向
智能卡正在增加存储和处理能力以及灵活性。随着金融服务组织把智能卡当作信用卡使用(英国刚开始),智能卡和读卡器的成本或许会降低。随后会把智能卡集成到标准的IT产品中,智能卡像信用卡提供支付功能会成为标准。另一种将来可能的方向是集成进Web浏览器中,允许安全在线零售交易。
6.7 推荐与指南
智能卡在IACS环境下控制访问的潜在使用,应从物理远景和对计算机系统的访问进行检查。
如果在工业控制设置中实施智能卡,要防备卡的丢失或损坏,以及公司提供访问控制系统和分发和收回管理的成本。
7 生物鉴权
7.1 概述
生物鉴权技术使用请求访问人唯一的生物特征决定其真实性。常用的生物特性包括指纹,面部几何,视网膜和虹膜签名,声音模式,打字模式,手型几何。
7.2 这项技术针对的信息安全漏洞
就像物理令牌和智能卡,生物鉴权加强了纯软件解决方案,诸如密码鉴权,提供了附加鉴权因素,并消除了要记忆复杂秘密的人为因素。另外,因为生物特征对每个人而言是唯一的,生物鉴权解决了物理令牌和智能卡丢失或被偷问题。
7.3 典型部署
生物鉴权的常用形式包括:
• 指纹扫描仪;
• 手型扫描仪;
• 眼(虹膜或视网膜)扫描仪;
• 面容识别;
• 声音识别。
7.4 已知的问题和弱点
使用生物鉴权要注意的问题包括:
• 所有生物设备需要辨别对象的真假(比如,如何区分真手和硅胶假手,或真声和录音)。
• 所有生物设备都有对类型-I和类型-II错误(分别为拒绝有效生物图像的概率和接受无效生物图像的概率)的限制。在所有情况下,用户试图使用的生物鉴权设备,应该具有这两种概率的最小交叉,也称为交叉出错率。
• 某些生物设备对环境敏感。结果,温度,湿度,和其他环境因素会影响这些设备。
•据报道,生物扫描仪会随时间“漂移”,需要偶尔重新校对。人类生物特征也会随时间变化,需要周期性的扫描仪输入。
• 设备培训可能需要面对面的技术支持和确认,不像可以通过电话给出的密码或由接待员处理的访问卡。
• 传感设备确认合法用户暂时无能可以防止对控制系统必要的访问。
• 某些生物鉴权设备比其他设备更为“社会所接受”。比如,视网膜扫描可接受程度非常低,而虹膜扫描仪和拇指扫描仪接受度很高。当有多种生物鉴权技术可选择时,生物鉴权设备的用户需要考虑对象组织的社会接受度。
7.5 在工业自动化和控制系统环境中使用的评估
相对其他形式可能丢失或借用的鉴权,生物设备是有用的二级检查。使用生物鉴权结合令牌钥匙或胸牌,操作员工信息安全的时间增加了。
7.6 未来方向
生物测定将更加可靠,并且更多地集成到公共IT组件中,诸如键盘。这种趋势已经进入手持设备,诸如个人数据助理(PDA)和移动电话。
生物测定与智能卡技术也能很好结合,智能卡可存储用户的生物数据。当与PIN结合时,提供三要素鉴权:使用者具有的卡,知道的密码和本身的生物属性。
7.7 推荐与指南
生物测定提供了一种有价值的鉴权机制,因为物理和环境问题,对于工业应用需要谨慎评估,为了可靠授权鉴权,在最终的安装环境中可能需要更改结构。安装的精确物理和环境属性需要与系统供应商或制造商协作。
8 基于位置的鉴权
8.1 概述
基于位置的鉴权技术是基于请求访问设备或人员的物理位置决定其真实性。比如,系统可能包含用GPS技术以确定申请者是在他或她声称的地方,或在一个已知物理安全的区域内。可以直接做,即对一个设备物理的访问做授权鉴权,或者间接做,用ID或地址表现的位置做授权鉴权。
在当前IACS环境中,只有一小部分网络服务鉴权是基于位置的,身份以某种形式直接(或间接)连接到某个位置,用于对用户的鉴权操作。举个简单的例子是某个控制设备仅接受这样的命令,命令的源地址(诸如一个IP)与主控制室预先配置的地址相匹配。
系统信息安全基本依靠鉴权用户和控制访问的能力。地理位置,要从一个位置签名算出,加上第四个和新维度来实现用户鉴权和访问控制。可以从人员是否在认可位置来决定其登录,比如,用户的办公室或家中。如果用户使用手机,那么授权位置的设置可能是很大的地理区域(比如,城市,州,国家)。在这种情况下,需要登录位置服务识别登录地点以及鉴权操作,如果是非授权行为,要能方便指出那个行为的个人职责。
8.2 这项技术针对的信息安全漏洞
用户鉴权机制基于用户已知(比如,密码或PIN)信息,设备财产(比如,访问令牌或加密卡),或个人特性(生物测量)信息。这些方法都不安全。密码和PIN常被猜出,侦听,或暴力搜出。设备可能被偷。密码系统和一次密码机制可能失效,甚至是强壮的算法。通常,信息安全减少到PIN或密码,用于关键存储文件或硬件令牌激活的控制访问。生物测定可能被侦听和重发。对IACS用户,特别在远程位置,补充鉴权和进一步减少密码和PIN漏洞的另一个方法,是部署基于位置的鉴权。
8.3 典型部署
使用基于位置的鉴权,特定用户或网络结点的瞬间物理位置是位置签名唯一特征。这个签名由位置签名传感器(LSS)创建,由GPS的24小时卫星群通过微波信号发送。由独立设备使用这项技术,决定了LSS测量位置(在一个精确定义地理协同参考系统中的纬度,经度,和高度),精读可以达到几米或更好。这个签名和导出位置是不可能伪造的。在网络空间的一个实体不能假装在任何地方,除了LSS实际定出的位置。当试图获得对一个主机服务器的访问,远程客户端要接受提供它当前位置签名的挑战。这个主机,自己也装备有LSS,同时处理客户端签名并获取卫星信号核实这个客户端的位置,是否在可接受的限值内(几米到几厘米,如果需要)。 对于双向鉴权,可以执行反过程。可以在几秒或更长时间执行重新授权。
8.4 已知问题和弱点
使用位置签名具有跟踪移动设备用户物理位置的潜能。这项技术还需要在主机和客户端各有一个硬件设备,这会增加成本。
8.5 在工业自动化和控制系统环境中使用的评估
这项技术在鉴权用户时有很大收益,特别在厂内或远程位置,能增强无线信息安全。因为能很准确定位置,它很容易对在非常小的地理区域内的用户限制访问,并且拒绝连接或断开超出这个区域的用户。对于移动用户,基于物理位置的变化,它容易创建访问角色。根据用户的物理位置可以具有不同的角色/能力。当离开工厂时,使用膝上机的工程师权限会改变,限制在仅能察看访问。这项技术在增强控制系统的信息安全具有很大潜能。
8.6 未来方向
这个解决方案需要成本降低和更多供应商增加这项技术的魅力。技术还需嵌入到移动设备中。
8.7 推荐与指南
Web搜索没有展现这个解决方案的资源。
