第5章(1)__信息安全与对抗原理

王 越 中国科学院院士、中国工程院院士 北京理工大学,第五章 信息安全与对抗原理方法概论,2,内容提要,引言 信息系统之性能指标 信息安全对抗性之占位分析 系统层次之信息安全对抗方法概论 信息隐藏 个性信息及个性关系之保持利用与防止攻击方法 一些原理综合利用之例子,3,引言,按测度我们将信息系统之安全问题考虑分为三类： 第一类为信息安全性能放在优先考虑位置，优前采取措施保证系统之安全性能满足要求，这是少数情况； 第二类即安全性能与其它性须综合考虑，安全性能重要但其它性能也不能不考虑使其它功能削弱至不能接收程度，这是一种重要类别，占相当大的比例，也是具有很大难度的问题； 第三类是应用环境中其它功能占主要地位，安全功能只是附带考虑 关于原理性之对抗方法，可分为二部分即系统层次之方法及一些类型问题之具体原理性方法，系统性方法与类型方法两者结合互相支持才能加强实际信秘系统之安全能力，系统性方法用来总体思维和构建安全体系，而具体方法则用以具体实现，,4,信息系统之性能指标,信息系统是一大类系统之统称，其内部可再划分为多种类型之专门系统，在发展中不断融合产生新功能系统，因此，性能指标不断产生，旧指标随旧系统消亡而消亡，同时不同型之信息系统有不同具体指标，因此在本节中只能给出为了研讨安全对抗问题之参考框架指标体系。 构成指标体系之基本观念 信息系统指标确定中应就传统常规性能或称理想安全环境性能、安全性能，使用性能三因素并列综合运畴，这是构造信息系统指标体系之基本观念。,5,可裁减之指标框架-常规性能指标维,常规性能指标维（或称理想安全环境性能维）,6,可裁减之指标框架-常规性能指标维,7,可裁减之指标框架-常规性能指标维,8,可裁减之指标框架-系统安全性能维,9,可裁减之指标框架-系统安全性能维,10,可裁减之指标框架-系统安全性能维,11,可裁减之指标框架-系统使用性能维,12,系统指标之测度概念及安全对抗性能之占位分析,测度的概念,13,系统指标之测度概念及安全对抗性能之占位分析,14,系统指标之测度概念及安全对抗性能之占位分析,以上即安全对抗性能占位问题之三个类型划分 第一类 安全对抗性能是信息系统性能指标体系中极重要组成部份，则应优先着重实现相应安全措施，以保证系统总体性能合乎要求 第二类 安全对抗性能重要但并不占“压倒地位，则应就重要性能指标类内综合运筹（包括安全对抗性能），使得系统整体性能达到可接受程度（求系统可行解） 第三类 安全对抗性能不占重要部分则不着重考虑其实现措施附带说明本小节内容是第四章4.3原理之具体应用的延伸，由实际应用情况分析；高安全性能要求并将安全对抗措施置于系统组构之优先位置之信息系统占少数，较高安全性能要求但需结合其它功能综合考虑进行组构之系统所占比例越来越大，同时其性能要求也日益提高，而较少考虑系统安全或不考虑者所占比例将日益减少,15,系统层次之信息安全对抗方法概论,16,“关系”集合形成信息系统自组织功能结构,关系所涉及之指标对象（即关系对象）： 概括地说关系对象是事物即指人、物（包括生命体）事、也包括它们之特征、性质、行为、存在状态。 关系之内涵及其表现形式： 关系之内涵非常广泛，各种各样事物间互相影响作用形成之状态都包括在关系中，因此关系之表现形式也非常广泛，（广泛是各种存在形式，抽象概括为关系这概念，体现了高度概括精练性），,17,事物状态之向量简化表示及几种功能性关系 某事物之状态可用多维向量表，而维代表空间之不同层次和不同剖面，时间也可是一维度，以表明状态在不同时间状态值，时间维坐标值增加表示时间增加，其它坐标维，如其维之性质看对立方向则某方向为正，反方向为负，变化趋势可在时间维表示出，如无对立方向则坐标值只有正值。,18,基于功能之关系划分 直接作用关系、约束关系 、支持关系 、联接关系 关系与时间关系 延时关系、持续关系 、时间后效关系 关系多层次漫延作用形成复杂运动,19,以移动通信近期发展为例说明关系自组织宏观有序之形成 正向驱动主要因素：社会发展、经济发展驱动通信系统在任何人、任何地点、任何时间、任何状态、通信前进一步，即众多携带小型无线收发移动交换功能机器构成覆盖广域之通信网络即移动通信系统。 约束条件 ：应用层次主要条件、广大覆盖地区构成通信网络、使用方便可靠与普通电话相当、手机体积、重量（含电池重量）、耗电及电池工作时间、使用成本（不同类用户具有不同门限，但成本越低用户可能数越多,20,不同具体技术层次有不同约束条件集合： 多用户之方要技术约束条件为蜂窝状隔地区资源重用，基地站控制接力交接、远地漫游。TDMA和CDMA优于FDMA，与电信网络联合工作解决长途远距离漫游 使用成本约束，最初为电话通信之几十倍，连续降至十几倍及几倍，个人手机购置费对初期几十倍至十几倍之下降，利用用户数N大倍数增加，大批量电子集成技术生产 反向作用关系：是多层次关系集合总的根源为：与约束条件最低允许限之差距构成反向作用关系；与现有生存者之差距构成反向作用关系；与竞争者之差距构成反向作用关系。 支持关系：严格说应是支持关系（由多层次众多系统所构成，并随约束关系变化发展而变）,21,各种关系的作用示意图,22,影响信息系统安全之几种重要关系,可能影响信息系统正常工作形成安全漏洞造成损失之关系非常之多，也就是凡可能影响系统工作秩序违反运行规律之关系不论可能造成损失大小之关系都加以考虑研究，则数量很大，难以进行 算法及算法语言 系统运行管理软件 协议 形成体现事物个性之关系及个性关系之组合形成个性关系组合,23,形成体现事物个性之关系及个性关系之组合形成个性关系组合,个性（即特殊性）是一个相对之概念（在一定范围内是特殊性，在另外范围内更具体更小范围内）可能就变普遍性，如某些信息系统之协议，在关系范围是一种个性之体现，但对于它之适用领域又呈现共性、普遍性可普遍适用，个性（特殊性）与共性还可组合而形成在原共性范围内之特殊性，如信息系统所用某种协议（在其适用范围）呈现共性，但一旦加入具体对象（如信息地址、信宿地址）则在原适用范围呈现特殊性，在信息安全领域共性相对而言不如个性对安全性敏感，因此与组合形成个性情况下，组成个性之个性更应注意保持其个性之封闭，个性有多种表现形式，概括说来运动之特殊状态之表达即可被认为是特殊性之表现，因此用信息来表达特殊性，特殊性作为一种特殊之运动形式而言是不能更改的，但在实际活动中，特别是在信息系统中往往是利用特殊性之表达形式进行交往的，例如个人之代号，IP地址，个人命名用之口令，个人密码，个个之数字签名等，用这些特殊信息代表具体之个人进一步而言还有特殊性之个体间进行交往，构成特殊性过程，例如某甲与某乙进行保密通信，签定双方协议，这些过程也可认为是个性关系组合。,24,系统层之安全对抗原理性方法概论,多层次反其道而行之之原理性方法 保护系统内之重要个性以达到保证信息系统安全原理 从获得制对抗信息权入手，尽速理解攻击之内容，落实先发制人之原则 重视对抗复合式严重攻击方法 加强对抗信息斗争之优势，由对抗信息中尽量正确理解攻击，即掌握攻击目的，攻击机理等 攻击要素。 采用反其道而行这抗干扰措施如利用对方攻击次序差异（时间、空间）个个击破，如采取这对抗攻击措施不提供形成附加攻击之原理，如火控雷达利用快速反应性能先法攻击敌方载机，并不增加功率形不成敌机反幅射导弹快速瞄准火控雷达之机制。,25,信息隐藏,在信息系统工作过程中将信息进行隐藏是保证系统安全之重要方法之一，隐藏是对不遵守秩序对象非法获得之防御性方法,26,信息加密,信息内容之隐藏密码技术之应用 见专门讲授RSA、DES文档,27,序列密码体制（分组加密）,DES密码是地对明文进行分组进行密码变换以形成密文，现在另有一种密码体制为对明文之每一比特进行密码变换，这种密码体制称之为序列密码体制，例如，语音保密通信中就较多采用，其具体实现方法，可用硬件实现固定算法，而临时输入密钥与固定算法相结合实现安全之秘密通信，密钥形成也可有多种方法通常旧利用一组一较长的随机序列，可用移位寄存器产生再经各种非线性处理如删节某些位数，压缩合并等，从而形成一个安全之密钥，此密钥为对称的加密解密共用（必须安全传递）,28,信息附加意之隐藏,信息由于其宿主（运动）众多之关系（即关联特性），必然会有附加义，如语言作品有附加义一样，这也是信息不可绝对隐藏原理之延伸应用，信息之附加意有很多正面作用，也有增加了信息安全保密，隐藏难度之负面效应， 例：茅台酒集团最近开发了茅台啤酒，啤酒中之茅台。,29,潜信息之隐藏,潜信息也称阀下信道，它之基本原理是如存在一种具有特殊性质的密码，即每一种明文可能存在两种密文，这两种密文均可使用同一密钥恢复成同一明文，同时假定这些密文可由发送者和阀下接收者方便地分为两类I类和II类，再利用一种加密法（如Vernam加密法）来掩蔽阀下比特，就能建立一个安全地1bit阀下信道，在使用之该信道之前，发方和收方须共同确定一组密钥最好为一次一密。,30,信息存在形式在时空中之隐藏,信息作为运动之一种表征与描述，在时间、空间维之信息特征必定是有限的，如空间、时间维之占有位置，持续时间、及它们的变化率等，它们之存在相对于时间、空间维之全部内容都是一种特殊性， 信息之空间时间特征占位越小则由发现这些特征之可能情况越多，在同等约束条件下越难发现， 正如在海洋中搜索一条船，船越小越难发现，信息领域也是同样，如增加发现信息之维数则发现难度则比例维度数之方次，在二维角度空间加上时间维搜索某特殊信息之难度是单在时间维搜索难度之立方，因此为了隐藏信息往往在信息存在形式之表征维度上压缩其所占测度值，,31,数字水印之信息隐藏,数字水印是信息隐藏的一个重要学科分支，通过加入数字水印，可以有效保护数字信号的版权，进行文件的真伪鉴别以及进行隐含标注等。 数字水印的基本原理是将某些标识性数据（具有个性化，如随机序列、数字标识、文本以及图像等）嵌入到宿主数据中作为水印，使得水印在宿主数据中不可感知和足够安全。数字水印算法包含两个方面：水印的嵌入和水印的提取或检测。此外从鲁棒性和安全性考虑，通还是对数字水印进行随机化和加密处理。,32,数字水印之信息隐藏,如图为图像数字水印嵌入方法原理框图。,33,数字水印之信息隐藏,图像数字水印检出方法原理框图,34,数字水印之信息隐藏,方法分析 从技术角度讲，数字水印方法可以通过有效的水印提取或检测达到宿主数据的保护。但必须保证水印检测过程和算法的公开性，保证数字水印算法对数据变换（滤波、图像压缩、几何失真等）、攻击（噪声攻击、检测失效攻击、迷惑攻击、删除攻击等）的鲁棒性。 从理论上分析，数字水印方法是保证水印的特殊性和个性的信息隐藏的一种方法，且其隐藏是相对的，是一种非对称性变换，其核心问题转移至水印的鲁棒性。,35,个性信息及个性关系之保持利用与防止攻击方法,36,个性信息之保持利用与防攻击综述,个性信息之主要分类 主体物理个性之信息变换及表征类：主体物理个性是指物理特性具有之个性质，当其用信息表征（或经变换后表征）同样具有个性（特殊性）时构成了个性信息与主体物理之间一一映射时个体信息便能完全代表该物理个性。 如利用人之虹膜、指纹、DNA排列，发间、动作等。 在关系相互作用中形成主体这性之信息表征： 如比较中形成之排序、多因素与之结果、置换结果、竞争结果等之信息表征。 为某些运动中某些需要个性之信息表征： 如个人之签名、化名等。,37,个性信息之保持利用与防攻击综述,个性信息之防攻击重要类型 个性信息之冒名顶替：常发生在个性信息与原关联形成体性事物发生了分离 个性信息之非法窃取：常发生于对非法窃取者用正常行为有得不到之非常重要个性信息场合。 个性信息之伪造：为某种目的制告伪个性信息 个性信息之破坏：破坏原个性信息之作用。 个性信息之抵赖：也可能借冒名顶替、造之名义。 不可鉴定性：是防抵赖、防造、保证可利用性之重要属性。,38,个性信息之保持利用与防攻击综述,信息关系之几种重要攻击类型 有个性信息嵌入之关系，包括关系集群，称为信息关系，它们在信息系统之动行、应用中具有重要意义，它们主要具体类型有信息作品与信息系统运行秩序。 信息作品是由代表个性之信息元关系信息媒介合成之整体，它能表征描述事物运动之状态、过程 对信息作品之破坏类型有篡改、盗窃、冒充、重要内容之泄漏等、信息运行秩序之破坏种类很多，可以概括为各种关系之破坏，和其中之特殊信息元之破坏。,39,个性信息保持利用与防破坏之某些原理性方法,利用掩盖信号与个性信息特征差别利用变换突出扩大差别以识别掩盖信号。选择变换有效扩大差别对差别微小者往往失败 利用数字签名作为个性信息（可用公开密钥加密对私有密钥解密），利用密码奖相关主体信息与数字签名紧密结合防冒充顶替，利用时间标记及密码中心之登记认定防止抵赖，及不可鉴定性。利用公开密钥制（如RSA密码制）之安全性防止伪造、破坏。 利用良好性能之算法（高分辨率低错误率及快速性结合）与基准信息对比鉴定之方法形成物理特征之个性信息之认证鉴定， 如利用指纹信息识别、虹膜信号测定行装鉴定。严格保护基准信息之不得代替冒充。,40,对信息作品之防攻击方法概述,利用数字水印对信息作品加以个性保护 利用散列函数对信息作品摘要进行变换数字签名再利用密码对两者加密后传输。 利用信息隔离技术保持信息在防泄漏范围内之封闭。 逻辑隔离 物理隔离 时间隔离,41,对个性关系之攻击方法,在时间空间维中反其道而行之仍旧是概括性方法。 防止攻击之连续扩大。 对重要之关系（序）检测其重要状态是否存在异常状态，则修正状态,包括重新设置正确状态， 对重要之动态关系（即关系间之动态整合和运动）进行隔离状态下之模拟进行检查， 在实际运行环境中实行监控，发现状态异常，中立即进行原历溯源并进行病因消除。 实际情况中往往多种方法叠套反复采用，将在下例中举例说明,42,综合举例一-安全电话,Bell-Northern实验室开发的ISDN系统实施安全电话。 假设Alice(A)主动呼叫，被叫用户Bob(B), Alice用之电话为TA，Bob用之电话为TB，密码管理中心为K。通话过程可认为事物A、B、TA、TB、K之间互相联系以及联系之传递最终形成，保密情况下形成A-TA-TB-B及反向B-TB-TA-A表示A、B经过电话机形成A、B间之保密通话，5个事物间双向联系有5X5=25种单向排列，有5种为自己连联系自己（自己的规定），在其余20种排列中应选择相关单向联系从而构成安全通话（安全通话采用密码加密方式）即形成,43,综合举例一-安全电话,安全通话之分析及符号表示,44,综合举例一-安全电话,现分析各单元之间关系,45,综合举例一-安全电话,46,综合举例二-数字签名,互联网上A和B双方的一次保密通信,47,综合举例二-数字签名,通信中为了实现对秘密信息的保护运用了信息内容的隐藏技术，即数据加密、解密技术，其中加密方法可用单密钥体制也可用双密钥体制。 通信中为了证实数据发送者和接收者的真实性采用了信息隐藏技术中的数据版权签名技术。如果发送的数据需要保护版权，还可以数据中采用数据版权水印技术。 通信中无论是数据加密、数据签名还是数据水印技术，都利用了个A方和B方所特有信息，即私有密钥、私有签名和私有版权特水印标识。如果任何一方可者第三方获得这些信息，都可以对数据、签名或水印实现获得、攻击或破坏。 通过数字签名、版权水印，以及加密技术，还可以实现发送方和接收方的防否认、防伪造、仿冒充、防篡改和防抵赖等安全问题。,48,综合举例三-物理隔离,49,综合举例三-物理隔离,从技术上讲物理隔离方法解决了信息网络物理层面（通信链路）上和信息层面（信息存储介质）的空间阻断。这种基于物理链路层的通断控制方法，断绝了内网与外网的网络物理连接，使得一切攻击行为在物理隔离面前遇到一条鸿沟，无法通过其连接和进入系统，这样的网络安全较之软件方式保证的安全；较之防范性、检测性的安全策略更可靠，更值得信赖。这样的方式以不变应万变，从物理层空间上上把攻击阻挡在外面，具有较高的安全性，较大限度地保证了内部信息网络的安全性。 从理论上讲，物理隔离方法实现了信息空间和时间的阻断，在信息安全与对抗核心链中达到了本身所具有的特殊性（个性），反其