网络电子信息安全系统的研究与探讨

摘要：信息隐藏技术的网络信息安全系统不仅能够被人的感觉和仪器检测,而且还能抵抗各种人为的蓄意攻击,具有很强的安全性、保密性和实用性。但还有很多技术性问题需要解决,信息隐藏技术还没有形成完整的理论体系,需要进行系统的研究与探讨。

关键词：电子信息 信息隐藏 原理与特点 保密性 安全系统设计

1 电子信息隐藏技术的原理与特点

1.1 基本原理

信息隐藏不同于传统的密码学技术。密码技术主要是研究如何将机密信息进行特殊的编码，以形成不可识别的密码形式进行传递；信息隐藏则主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过公开信息的传输来传递机密信息。

对加密通信而言，可能的监测者或非法拦截者可通过截取密文，并对其进行破译，或将密文进行破坏后再发送,从而影响机密信息的安全；但对信息隐藏而言，可能的监测者或非法拦截者因难以从公开信息中判断机密信息是否存在而无法截获机密信息，从而能保证机密信息的安全。信息隐藏技术主要由信息嵌入算法和隐蔽信息提取算法组成。

1.2 隐藏的特点

信息隐藏不同于传统的加密,其目的不在于限制正常的资料存取,而在于保证隐藏数据不被侵犯和发现。

另外由于信息隐藏必须考虑隐藏的信息在经历各种环境、操作之后,仍需具有免遭破坏的能力,因此信息隐藏技术必须考虑正常的信息操作所造成的威胁,其关键是要使隐藏信息部分不易被正常的数据操作(如通常的信号变换或数据压缩)所破坏。所以信息隐藏必须具有下列特性:

1.2.1 隐蔽性

这是对信息隐藏的基本要求,它是指嵌入信息后在不引起原始信息质量下降的前提下,不显著改变遮掩信息的外部特征,即不引起人们视觉上对载体信息的变化的觉察,亦即指隐蔽载体与原始载体具有一致的特性。如具有一致的统计噪声分布等,以便使非法拦截者无法判断是否有隐蔽信息的存在。

1.2.2 鲁棒性

即要求嵌入待隐信息的方法具有一定的稳定性,其稳定性是指被隐藏的信息不会因图象文件的某种改动(如传输过程中的信道噪音、滤波操作、重采样、有损编码压缩、DA、AD转换等)而导致隐藏信息的丢失。

1.2.3 安全性

指隐藏算法具有较强的抗攻击能力, 即它必须能够承受一定程度的人为攻击, 而使隐藏信息不会被破坏。

1.2.4 自恢复性

由于经过一些操作或变换后, 可能会使原图产生较大的破坏,如果只留下的片段数据,仍能恢复隐藏信号,而且恢复过程不需要宿主信号,这就是所谓的自恢复性。

1.3 信息隐藏的分类

信息隐藏可以分为:隐蔽信道、隐写术、匿名通信和版权标记。隐蔽信道即是用那些不打算传递信息的信道来传输信息。例如:在某个多级安全的操作系统中,较高安全级别的进程A通过选择合适的文件名和文件大小来向较低安全级别的进程B发送信息。

隐写术就是将秘密信息隐蔽到另一个看似普通的信息中,从而隐蔽真实信息的存在以达到安全通信目的。匿名通信就是通过隐蔽通信源和目的的信息来达到信息隐蔽的目的。例如:匿名邮件转发器和网络。

版权标记则是在数字化的产品中嵌入标记信息以达到保护版权的目的。健壮性的版权标记包括数字指纹和数字水印。数字水印还可以根据应用领域不同而划分为许多具体的分类,例如用于版权保护的鲁棒水印,用于保护数据完整性的易损水印等。

2 网络信息安全系统设计探讨

网络信息安全是实现信息与信息系统安全的基础和信息安全保障体系的核心。如果没有一个科学合理和配置完整的高水平网络信息安全系统,实现网络信息安全就无从谈起。研究设计基于信息隐藏技术的网络信息安全系统,可以充分利用信息隐藏技术的许多优良特性，使系统具有很强的安全性和保密性。

2.1 系统设计原理

网络信息安全系统以普通信息为载体，利用信息的冗余特性在其中嵌入秘密信息，然后利用现有的传输网络将隐藏含有秘密信息的伪装信息传输到目的地，接收端从中提取出秘密信息。系统工作框图如图1所示。

首先对网络信息载体进行变换处理，然后利用密钥和一定的嵌入算法在处理过的网络信息中嵌入秘密信息，最后将伪装的网络信息进行包装，送到网络信道进行传输。接收方接收到信息后,先通过密钥检测以确定信息嵌入位置，然后利用相应的提取算法提取出秘密信息。

2.2 系统主要模块及功能

基于以上系统设计原理和网络自身的特点,系统主要由以下模块构成(图1)。

2.2.1 信息加密模块

信息加密是政府、军事、安全等部门必须考虑的问题。密码技术是传统保密通信的主要手段。但单独采用此技术还存在一些问题，一是密码算法的原理是计算不可行的数学问题，但随着数学科学的发展和计算机技术的进步，这些问题变得容易求解了。因此，以前提出的一些算法现在可以被破解了。

二是加密只是使秘密信息不可读，掩盖的是秘密信息本身,并未隐藏通信存在的事实。密码通信照样容易招来敌方的注意并引起攻击。有时,敌方虽然暂时破译不了，但仍然可以对它进行破坏甚至摧毁。

在信息隐藏通信中，除了传统的加密变换外，还提供了另外的两层保护：数据隐藏技术的伪装作用和隐藏数据检测与提取的困难性。由于隐藏信息的不可感知性，敌方要在信道传输的大量信息中判断是否有秘密信息是非常困难的。即使感觉到这种存在，如果隐藏算法不知道，进一步提取隐藏数据也是十分困难的。

2.2.2 数字签名模块

数字签名技术是实现网络交易安全的核心技术之一，它的实现基础是加密技术。以往的书信或文件是根据亲笔签名或印章来证明其真实性。同理，在网络中传输信息也要进行“盖章”，这就是数字签名要解决的问题。

即将发送者的身份隐藏到所传输的信息中，其他人无法对其进行仿造或破坏，接收方通过提前预知的算法对其进行提取，从而识别发送方的真实身份。在许多场合下，数据的真实性比数据的保密性更加重要。比如在战场环境下下达作战命令时，该命令的有效性将取决于这份命令中是否有数字签名以及这种签名是否容易被伪造。

2.2.3 用户识别和安全认证模块

利用网络对信息进行处理和传输，仅仅加密是不够的，全面的保护还要求能认证和识别。它确保参与保密通信的接受者是其本人。这就需要采用安全卡和身份鉴别。前一个安全保护能确保只有经过授权的用户才能通过计算机进行因特网上的交互式交易；后者则提供一种方法把它生成某种形式的口令或数字签名，交易的另一方据此来认证他的交易伙伴。

2.2.4 信息检测模块

应用信息隐藏技术的检测功能，监听传输信道上的数据包，监测信息资源的使用情况，记录信息状态及操作行为，对非法用户进行跟踪、报警，防止来自外部的安全攻击及内部的泄密行为。安全检测是采用隐写分析技术检测信道中是否有采用信息隐藏技术进行非法传输的信息。目的是发现含有隐藏信息的数据并将其过滤掉，阻止不法者的破坏。

2.3 系统运用的信息隐藏方法

随着信息隐藏技术的成熟，信息隐藏方法也逐渐增多，在使用时可以根据使用者要求和目的不同对隐藏方法进行选择。在设计网络信息安全系统时主要可以采用以下信息隐藏方法。

2.3.1 利用网络协议数据隐藏信息

基于开放系统互连模型(Open System Interconnect Reference Model，OSI)的网络协议可以用来隐藏信息。传输控制协议/网间协议(Transmission Control Protocol/Internet Protocol，TCP/IP)包在因特网中传输信息时，包头结构中有一些未用的位：在TCP/IP 头中有6个保留位，在IP头中有二个保留位。

在每一个传输通道中有成千上万的包，可以用这些保留位来传输隐藏信息，起到秘密通信的目的。这种利用网络协议隐藏和传递信息的方法具有很强的鲁棒性和安全性。

2.3.2 利用多媒体传递信息

系统使用的多媒体主要包括文本文件、视频、图像及声音载体等,在利用多媒体传递秘密信息时,发送方将秘密信息经过加密嵌入到所选定的多媒体的噪声成份中，通过传输路线将伪装对象传递给接收方。

接收方利用相应的密钥把秘密信息提取出来,从而实现隐蔽通信。此外,为了控制秘密信息在系统中的访问权限和意外失泄密,必须对密钥的使用进行严格的控制。对于不同密级的信息在嵌入伪装载体时采用不同的密钥,同时对于不同的用户根据其访问权限赋予不同的密钥。

2.3.3 利用基于异常检测技术进行安全检测

基于异常的隐藏信息检测系统记录用户通信的活动,并且根据这些记录创建活动的统计报告。如果报告表它与正常用户的使用有明显不同,那么检测系统会将这样的活动视为通信过程含有隐藏信息。

基于异常的检测系统试图建立一个对应“正常的活动”的特征原型，然后把所建立的特征原型中差别“很大”的行为标志为异常。这种隐藏信息检测方法的一种典型的运用是：基于用户通信行为概率统计模型的隐藏信息检测。

它基于对用户历史行为建模以及在早期的证据或模型的基础上，审计系统实时地检测用户通信数据和过程，根据系统内部保存的用户行为概率统计模型检测用户的行为。系统根据每个用户以前的历史行为，生成历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出来。

3 结论

随着信息隐藏技术的不断提高,对理论指导的期待已经越来越迫切。信息隐藏技术特别是在迫切需要解决的版权保护问题上将会发挥无法替代的重要作用,相信在不久的将来信息隐藏技术会更加完善,将会在信息安全体系中发挥它巨大的作用。

参考文献

[1]柳景超,周立兵,宋胜锋.网络战中信息隐藏技术的研究[J].网络安全技术与应用,2007,7(2):66-68.