信息技术--赵泽茂--第三章.pptVIP

图 3-4-3 LSB法嵌入水印图像示例 (a) 未嵌入水印; (b) 嵌入水印后; (c) 被隐藏的水印 　　2) 变换(频)域算法　　同信息隐藏算法类似，空间域算法存在鲁棒性差、抗攻击能力差等缺点，采用变换域算法嵌入水印，可大大提高健壮性。常用的频域水印算法有DFT、DCT和DWT等。该类水印算法同信息隐藏的变换域算法相似，隐藏和提取信息操作复杂，隐藏信息量不能很大，但抗攻击能力强。　　图3-4-4给出了一幅图像用DCT域变换法嵌入水印的示例。 图 3-4-4 DCT域变换隐藏水印图像对比图 (a) 未嵌入水印; (b) 嵌入水印后; (c) 被隐藏的水印 　　由于隐通道问题在信息安全方面特别是机密性信息的泄露方面的重要性，美国国防部可信计算机系统评估准则(TCSEC)中规定，在B2及以上安全级别的安全系统设计和开发过程中，必须进行隐通道分析。系统中存在的隐通道能够使得攻击者绕过所有的安全保护机制而妨害系统的机密性。 3.5 隐 通 道 技 术 3.5.1 隐通道的概念　　隐通道的概念最初是由Lampson于1973年提出的，从那以后，有不同定义试图从不同角度来描述隐通道的本质和特性。TCSEC中一个比较通泛的定义是“能让一个进程以违反系统安全策略的方式传递消息的信息通道”。 也就是说，隐通道是指在系统中利用那些本来不是用于通信的系统资源、绕过强制存取控制进行非法通信的信息信道，并且这种通信方式往往不被系统的存取控制机制所检测和控制。 　　定义: 隐通道是指系统用户用违反系统安全策略的方式传送信息给另一用户的机制，在一个系统中，给定一个安全策略模型(如强制安全模型)M及其解释I(M)，I(M)中的任何两个主体I(Sh)和I(SI)之间的任何潜在的通信是隐蔽的，当且仅当两个相应主体Sh和SI的任何通信在安全模型M中是非法的。 　　从本质上来说，隐通道的存在反映了安全系统在设计时所遵循的安全模型的信息安全要求与该系统实现时所表现的安全状况之间的差异是客观存在的。由于现实系统的复杂性以及该系统设计时在性能和兼容性方面的考虑因素，使得严格遵守某安全策略模型是不现实的。这就是目前所有的安全系统所实现的安全机制都是某个安全模型在一定程度上的近似。事实说明，没有绝对安全的系统，隐通道问题的提出与解决是为了缓解和限制这种隐患。 3.5.2 隐通道的分类　　隐通道的分类主要有3种方法。根据隐通道的形成，隐通道可分为存储隐通道 (Storage Covert Channels)和时间隐通道(Timing Covert Channels); 根据隐通道是否存在噪音，隐通道可分为噪音隐通道(Noisy Covert Channels)和无噪音隐通道(Noiseless Covert Channels); 根据隐通道所涉及的同步变量或信息的个数，隐通道可分为聚集隐通道(Aggregated Covert Channels)和非聚集隐通道(Noaggregated Covert Channels)。　　下面对这几种分类方法分别进行介绍。 　　1. 存储隐通道和时间隐通道　　如果一个隐通道涉及对一些系统资源或资源属性的操作(如是否使用了一个文件)，接收方通过观察该资源及其属性的变化来接收信息所形成的隐通道，则称为存储隐通道。接收方通过感知时间变化来接收信息所形成的隐通道，则称为时间隐通道。它们最突出的区别是: 时间隐通道需要一个计时基准，而存储隐通道不需要。在具有高安全级别的发送进程与具有低安全级别的接收进程之间，存储隐通道和时间隐通道的存在均要求系统满足一定的条件。 　　形成存储隐通道的基本条件如下: 　　(1) 发送者和接收者必须能存取一个共享资源的相同属性。　　(2) 发送者必须能够通过某种途径使共享资源的共享属性改变状态。　　(3) 接收者必须能够通过某种途径感知共享资源的共享属性的改变。　　(4) 必须有一个初始化发送者与接收者通信及顺序化发送与接收事件的机制。　　下面以利用文件读写进行信息传输的存储隐通道为例进行简单介绍。 　　如图3-5-1所示，在一个安全操作系统中，用户A的安全级别为H(高级别)，用户B的安全级别为L(低级别)，File A的安全级别为H，File B的安全级别为L，系统采用强制访问控制机制，主体不可读安全级别高于它的数据，主体不可写安全级别低于它的数据，也就是“下读上写”的安全策略模型。按如下步骤，就可以完成信息的交换。 图 3-5-1 基于“下读上写”安全策略的隐通道 　　第一步: 用户B在File A中写入“Start”字符串，表明信息传输开始。　　第二步: 用户A监控File A，当它发现File A中出现“Sta