第六章 隐蔽通道
6.1 基于“隧道”的隐蔽通道
最常见的隐蔽通道是基于“隧道”技术的隐蔽通道即协议隧道。隧道技术将一种协议附加在另一种协议之上,理论上任何通信协议都能用来传输另一种协议。如SSH(Secure Shell)协议提供可承载TCP协议的“隧道”,当用户访问服务器时提供了附加的认证、加密和压缩功能,可为ftp,pop,PPP甚至x—window会话提供一个安全的“通道”。这些服务的信息先被写在ssh信息内,然后通过具有认证和加密功能的ssh通道进行传输。攻击者为了不让管理员查觉其与后门程序的通信,也经常使用各种协议来建立控制目标系统的隐蔽通道。
6.1.1 直接隧道
直接隧道是指通信双方直接建立的协议隧道,如使用ICMP协议建立隐蔽通道。ICMP报文是网络通信中最常见的报文之一,测试网络连通性的工具PING就发送ICMP回显请求报文并等待返回ICMP回显应答报文,来判断主机可达性。ICMP的正式规范可参见RFC 792。由于PING作为诊断工具在网络中应用广泛,因此使用ICMP回显请求报文和ICMP回显应答报文来建立隐蔽通道就成了自然的选择。规范约定ICMP报文中的标识符和序列号字段由发送端任意选择,这些值在应答中应该回显,这样发送端就可把应答和请求匹配起来。另外客户发送的选项数据必须回显。根据以上约定可见在ICMP包中标识符、序列号和选项数据等部分都可用来秘密携带信息。由于防火墙、人侵检测等网络设备通常只检查ICMP报文的首部,因此使用ICMP建立隐蔽通道时往往直接把数据放到选项数据中。类似的做法还有使用IGMP(InternetCroup Management Protoc01),HTTP(Hyper TextTransfering Protoc01),DNS(Domain Name System)等协议来建立隐蔽通道。这类隐蔽通道可以实现直接的客户机和服务器通信,具有准实时的特点。
6.1.2 间接隧道
间接隧道是指通信双方通过第三方中转建立的协议隧道,如使用SMTP协议建立隐蔽通道。针对SMTP协议,发送者须先把信件传送到Mail服务器上,接收者再从服务器取得信件。如果攻击者在信件中写人希望在目标系统上执行的命令,目标系统收取Mail,执行命令,将结果发送到信箱,攻击者再去收信就可以得到命令执行的结果,这样就形成了隐蔽通道。这种隐蔽通道中,攻击者和目标系统通过第三方服务器建立
16
联系,这种通信间接性使得信道的时延加大,不再是实时的。不过,由于目标系统不再需要知道攻击者,这使得攻击者更加安全。类似地,也可以基于FTP(FileTransfer Protoc01),LDAP(Lightweight Directory Ac—cess Protoc01),AD(Active Directory)等协议建立隐蔽通道,可以根据目标系统的特点灵活选用。
6.2 使用报文伪装技术建立隐蔽通道
上述通过“隧道”建立的隐蔽通道,效率很高,但只简单地将数据放到另一种不容易引起注意的报文中,实际使用时往往要结合数据加密来提高传送的安全性。
另一种构造隐蔽通道的方法是将数据插入到协议报文的一些无用的段内。比TCP和IP的包头的段内有许多空间可供利用,就特别适合建立这种隐蔽通道。
在包头中诸如IP Identification,Sequence Number,TCPAcknowledge Number,TCP Window,Op—tions,Padding字段或者包头中的保留字段等均可以被用来建立隐蔽通道。如果使用IP Identification来携带数据,只要简单地将数据的编码放入客户IP包的Iden—tifieation内,在服务器端再将其取出即可。类似也可以将数据隐藏到Options,Padding等字段中。这样,每个IP包可以隐蔽地携带一个字符。如果使用序列号(Sequence Number)来携带数据就稍微复杂一些,要修改建立连接的三次握手过程。客户端将第一次握手的SYN包内携带的序列号,用要传送的文件的第一个字符来代替。发送这个SYN请求包只是为了传送数据,而不是真正为了建立连接,服务器只需返回一个RE—SET使连接不能建立即可。客户端此时可再送出另一个TCP连接请求数据包,其实在TCP序列号段又携带了另一个字符。同样,服务器端又返回了一个RESET数据包使TCP连接的3次握手过程仍可完成。于是,客户机和服务器可以通过这种方式继续通信下去。这样每个IP包也可以携带一个字符的秘密信息[4]。基于报文伪装技术的隐蔽通道以效率的损失换取了更高的安全性。
6.3 使用数字水印技术建立隐蔽通道
数字水印是一种数字版权保护技术,可以有效地隐藏被保护的版权信息。近年来国内外研究者提出了大量数字水印方案。概括说来,这些方案可以分为两类:基于时空域的水印方案、基于变换域的水印方案。如果将数字水印嵌入的版权信息改为嵌入要传送的秘密信息,就可以形成隐蔽通道[5]。在实际运用中可以采用文本、静态图像、视频流和音频流作为信息载体,这种隐蔽通道继承了数字水印的优点,具有很强的隐蔽性和稳健性。
17
第七章 隐写分析技术
隐写分析与隐写术同为信息隐藏技术的重要学术分支,但目前隐写分析技术的发展总体上滞后于隐写术。一方面,隐写技术不断更新发展, 隐藏方式与所采用的数据类型多样化, 隐藏算法隐蔽性与安全性越来越高, 在技术与理论不断发展的背景下, 在网络中已出现了大量实用的隐写软件, 软件种类达近三百种, 其中相当一部分已达到商业级的应用要求, 如Steganos Secur ity Suite、Inv isible Secrets、C loak 8. 0、JPH S、Steganography 等, 这些软件都采用了高加密强度的密码技术与高安全性的隐藏技术; 另一方面, 作为隐写技术的逆向分析技术, 隐写分析技术伴随着隐写术的发展, 所扮演的是攻击者与评估者的角色, 发展至今, 已经出现了一批极具有代表性的检测算法, 如PoVs算法、RS算法、SPA 算法、DIH 算法与IQM( Im ageQualityM etr ics)算法等。随着隐写技术的更新与改进, 隐藏方式的改进加入了诸多的统计补偿机制,使已有的检测算法面对着新的隐藏算法显得无能为力。
7.1 隐写分析分类
从攻击的角度,我们用阐述隐写术的“囚犯”问题来对隐写分析进行分类。 7.1.1 被动攻击
被动攻击:进行秘密通信的囚犯的来往信件都要经过看守的检查,看守检查信件后判断是否存在秘密消息并作不同的处理,称为被动攻击。
LSB隐写算法由于简单、性能好而被广泛使用;JPEG和GIF格式的图像因为易于传输经常被作为隐写的载体。因此,针对这些隐写算法和载体的隐写分析技术具有重要的实际意义和应用价值。
7.1.2 主动攻击
主动攻击:主动攻击又叫做积极攻击,如果看守不经过判断就对消息进行修改的攻击称为主动攻击。
所谓主动攻击,就是分析者直接在数字媒体中广泛引入干扰使得载体数据中可能存在的秘密信息无法提取而并不分析某一数字媒体中是否含有秘密信息。这类攻击要满足两个条件:
①即引入的干扰不能影响媒体的正常使用,同时不应该暴露积极攻击行为本身; ②要用尽可能弱的干扰对秘密信息造成尽可能强的损伤。
18
7.2 隐写分析原理与应用框架
隐写分析技术可表述为一个统计假设检验模型, 对检测对象s利用检验函数f:(s)(TRUE,FALSE) 进行判决:
f(s) =TRUE,s中存在隐蔽信息或者FALSE,s中不存在隐蔽信息(1)
在假设检验过程中可能将不含隐蔽信息的检测对象误判为载密对象, 也可能将真实含有隐蔽信息的检测对象判为非载密对象, 因此隐写检测中存在虚警与漏警, 隐写分析的目标在于尽可能降低虚警率与漏警率条件下提高检测率, 在二者不能同时减少情况下, 一般注重降低漏警率。
隐写术与隐写分析的一般框架可用图1 的囚犯问题描述。秘密信息E的通信双方Alice与Bob应用隐写术将E经过密钥K的加密后嵌入到公开的载体中, 利用公开信道传输载密体, 公用信道的看守者Eve 可获得Alice与Bob之间的通信。如果只检查通信中是否含有隐蔽通信, 则称Eve是一个被动看守者, 如果主动去修改获得的通信, 甚至假冒通信的一方伪造秘密信息并传给通另一方,则称Eve是一个主动看守者。根据这样的通信框架, 隐写分析可分为检测、提取、混淆、还原等层次, 从公开发表的文献看, 目前国内外的研究重点在于检测, 关于隐蔽信息的提取也开始受到人们的关注。本文将对隐写分析技术的研究现状进行概述, 主要介绍目前典型的检测算法, 对面临的一些问题进行探讨, 并对隐写分析技术的进一步发展方向做出展望。
安全通道密钥发生器安全通道E信息嵌入Alice公共通道信息提取Bob检测Eve图7 隐写术与隐写分析的一般框架
19
第八章 总结
通过数字水印技术这门课程的学习,使我逐渐明白了它起源于,古希腊的斯巴达人曾将军事情报刻在普通的木板上,用石蜡填平,收信的一方只要用火烤热木板,融化石蜡后,就可以看到密信。也知道了数字水印(Digital Watermark)技术是指用信号处理的方法在数字化的多媒体数据中嵌入隐蔽的标记,这种标记通常是不可见的,只有通过专用的检测器或阅读器才能提取。数字水印也是信息隐藏技术的一个十分重要研究方向。
还了解一些现状,目前关于多播体系下嵌入水印的方案有人已经提出。但是,在此方案下的水印需要满足的具体特性,还没有详细的考察。传统的多播基于Internet首先要研究多播体系下的水印算法需要满足的特性,然后,针对特性设计相应的水印算法。
在电子阅读业务的应用中,数字水印技术主要着重于发生侵权后的鉴定,还不能预防和杜绝侵权的发生。而且数字水印算法的鲁棒性还不能完全满足需求。但随着水印算法的不断进步,再与CA技术以及加密技术配合使用,数字水印技术在电子阅读领域必将有更加广泛的应用。
随着网络时代的发展,数字水印技术在数字版权保护、多媒体数据保护方面将起到越来越大的作用,并能产生可观的经济效益。也可以在经济发展方面起到一定的作用。
20