信息安全新技术

1信息安全新技术及应用回顾•入侵检测的概念•网络常用攻击手段（了解）•三类入侵检测系统•入侵检测技术及其发展2020/7/144基于网络的入侵检测系统结构2020/7/145基于主机的入侵检测系统的结构63、混合入侵检测二、入侵检测产品分析基于网络的和基于主机的IDS对攻击的反应方式有：告警、存贮和主动响应。单纯使用一类产品的防御体系是不完整的，两类产品结合起来部署，可以优势互补。既可发现网络中的攻击信息，也可从系统日志中发现异常情况。7常用检测方法三、入侵检测技术分析1）特征检测：对攻击方式作出确定性的描述事件模式。当被审计的事件与已知的入侵事件模式相匹配时报警。目前常用的是数据包特征模式匹配。准确率高，对付已知攻击。2）统计检测：常用于异常检测。测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有：8入侵检测技术发展方向三、入侵检测技术分析分布式入侵检测：两层含义1）针对分布式网络攻击的检测方法2）使用分布式的方法来检测分布式的攻击，智能化入侵检测：神经网络、遗传算法、模糊技术、免疫原理等方法，用于入侵特征的辨识。本讲内容10Contents•信息隐藏与数字水印技术•电子投票•无线传感器网络安全技术信息隐藏与数字水印技术12信息隐藏与数字水印技术•信息隐藏•数字水印13信息隐藏•信息隐藏与信息加密都是对信息进行保护的手段，信息隐藏技术继承了传统加密技术的一些基本思想，但两者采用的对信息进行保护的手段不同。•信息加密是把有实际意义的明文信息加密为随机的可能没有任何意义的密文，窃听者可能得到密文但无法解密。•信息隐藏是把一个有意义的信息隐藏在另一个称为载体（Cover）的信息（如图片）中得到隐秘载体（StegoCover）。14结合加密术和信息隐藏技术•先对消息message加密得到密文message’,再把message’隐藏到载体cover中。•这样攻击者要想获得消息，首先要检测到信息的存在，并知道如何从隐秘载体stegocover中提取message’以及如何解密message’。15结合加密术和信息隐藏技术message加密message’隐藏隐秘载体Stegocover载体cover16数字水印•多媒体产品属于数字产品，由于数字信息具有的可复制性，发布到网上的多媒体产品的版权问题令人担忧。传统密码技术无法达到版权保护的要求。数字水印技术的出现使多媒体产品的版权保护成为可能。•数字水印（digitalwatermark）技术，是指在数字化的多媒体信息中嵌入不易察觉的信号，在需要的时候可通过特定的算法，将此隐藏的信号提出以用来确认身份的技术。它的核心是信息隐藏技术。17数字水印的应用(1)版权确认：将作者的版权信息作为水印加入到公开发布的作品中，当出现版权纠纷时根据水印来确认作品的所有权。这类水印要求能够经受各种常规处理。(2)身份确认：不同用户的多媒体作品中加入不同的水印信号，这类水印要求可以经受诸如伪造、去除水印的企图。(3)完整性确认：用来鉴别多媒体信息是否被修改(4)内容保护：加入可见水印的作品为购买者提供了作品的展示，使作品失去商业价值。(5)标记与注释：这类水印不起到对信息的保密作用。它只是把作品的信息隐藏到作品当中，起到标记与注释的作用。18数字水印的分类•按水印的载体不同分类：可分为文本水印、图像水印、音频水印和视频水印。•按水印的用途分类：可分为版权保护可见水印、隐藏标识水印等。•按健壮性分类：可分为鲁棒水印和易损水印。•按嵌入位置分类：可分为空域/时域水印和变换域水印。19数字水印系统模型•数字水印的嵌入模型•数字水印的提取模型20数字水印的嵌入模型水印原始信息密钥水印嵌入算法嵌入水印后的信息21数字水印的提取模型原始信息或原始水印待测信息密钥水印检测算法检测结果22几种具体的水印系统•在变换域中嵌入的水印信号能量可以分布到空域的所有像素上，有利于保证水印的不可见性。在变换域中，视觉系统的某些特性可以更方便的结合到水印编码过程中。•基于离散余弦变换（DCT）的数字水印系统•基于小波变换（DWT)的数字水印系统23基于DCT的水印系统•基于DCT的水印系统是将原始信息经过DCT变换，对变换后的系数嵌入水印信息，再进行逆DCT变换，得到含有水印的图像。•水印的提取也是在DCT之后的相应系数中提取。24基于小波变换的数字水印系统•小波变换是新兴的一个信号分析理论，是一种新的可达到时(空)域或频率域局部化的时(空)—频率域分析方法,具有许多其它时(空)—频率域分析理论所不具备的优良特性。•小波变换的基本思想是将图像进行多分辨率分解，分解成不同空间、不同频率的子图像，更加符合人眼的视觉机制。25•基于小波变换的水印系统是将原始图像经过小波分解后，根据一定的算法选择一些子图嵌入水印信息，再进行小波重构生成含水印的图像•水印的提取是将待侧信息经过小波分解后，在相应子图中提取。26灰度图像•灰度文件可以看作一个二维矩阵，其元素由0到1之间的数构成，0代表黑色，1代表白色，他把颜色从黑到白分成256种颜色。灰度文件中的元素值代表该像素的黑白程度。27RGB图像•RGB图像中的每个像素由红、绿、蓝三种颜色共同组成。如果说灰度图像可以看作一个二维数组，那么RGB图像可以被看作一个三维矩阵，它由三个二维矩阵构成。28索引图像•索引图像是一类特殊图像，它可以看作两个二维矩阵。其中一个矩阵与灰度图像的矩阵相似，它的元素由0到255之间的整数构成；另一个矩阵是一个255行3列的矩阵，每行代表一种颜色。29水印图像原图像加水印后的图像30声音文件的水印嵌入•声音文件可以看作一个n行1列的向量，因此可以考虑用对图像加水印的方法来处理声音文件，不同的只是要对向量进行转换将它转换为适当的矩阵。原文件嵌入水印后文件31数字水印的检测X:源图象,X1:被检测图像1.由源图像得到水印w2.对源图像和被检测图像分别进行小波分解，通过其近似分量得到准水印w13.111)1,(32水印的抗压缩检测•对图像的压缩处理会损失图象中的一些数据信息，确保水印的健壮性要求嵌入水印的图像能经得起压缩处理。10%压缩50%压缩原图像33基于帧的视频水印系统•对视频信息中的某些帧采用基于DCT的图像水印方案。MPEG2编码器MPEG2解码器原始视频流压缩码流重建视频码水印嵌入水印提取水印的不可见性•测试使用的视频信息是一个245帧的MPEG1格式的影片，该影片的视频帧每帧为240320个像素的真彩图像。采用每隔10帧选取一帧嵌入水印。（a）原始视频帧（b）嵌入水印后的视频帧。水印的检测•对含水印的各帧的水印的检测值，所有检测值的平均值为0.4071。•对不含水印的视频文件进行检测，检测值均0.1。00.20.40.60.80100200300视频帧中的序列号水印的检测值含水印的帧需抵抗攻击•gaussian噪声•Salt&pepper噪声•speckle噪声•高斯低通滤波•laplacian滤波•log滤波•Prewitt滤波•Sobel滤波电子投票38电子投票•电子投票的含义•电子投票的利与弊•电子投票的历史与现状•电子选举系统的目标与安全性要求39电子投票的含义•是整个传统投票过程的电子化，利用先进的密码学技术和计算机网络技术，使选民可以在投票站或自己家中设置的计算机终端通过互联网进行投票，由计算机负责统计选票并公布选举结果。40电子投票的利与弊•所能带来的好处：–（1）缩短投票和计票时间，防止舞弊现象出现；–（2）减少人力、物力，不须人工计票；–（3）对身分保密，确保没有人能通过电脑科技查出他们的身分；•可能带来的问题：–（1）如果设计不当，在使用上将对不熟悉电子机器的人和视障者造成不便；–（2）系统联络网涵盖面广，可能遭“黑客”破坏；–（3）若通过投票站以外的系统投票，当局较难鉴定选民的身分。41电子投票的历史与现状•最早在1884年，大发明家TomasEdison就发明了一种电子投票装置，他想在Massachusetts市的立法机关中进行电子投票，但没有成功。•第一个现代意义上的电子投票方案，是由Chaum于1981年提出的，它采用公钥密码体制，并利用数字签名花名册来隐藏投票人的身份。42•第一个实用的适合大规模投票的方案，是由Fujioka,Okamoto和Ohta在1992年提出的FOO方案，该方案的核心采用了比特承诺和盲签名技术。•根据FOO方案开发出了相应的电子投票软件系统。其中著名的有麻省理工学院(MIT)的EVOX系统、华盛顿(Washington)大学的Sensus系统。43比特承诺：(BitCommitment)•Alice使用对称密码算法对Bob比特承诺:•1、协议的承诺部分•（1）Bob产生一个随机比特串R，并把它发送给Alice。R44•（2）Alice生成一个由她想承诺的比特b组成的消息(b实际上可能是几个比特)，以及Bob的随机串。她用某个随机密钥k对它加密c=e(k,(R，b))，并将结果c送回给Bob。Bob不能解密消息，因而不知道b的内容。CC=e(k,(R，b))45•2、协议的公开阶段：（1）Alice发送密钥k给Bob；k46•（2）Bob使用密钥k对消息进行解密(R，b)=d(k，c)并检测他的随机串R以证实比特b的有效性。(R’，b)=d(k，c)R=R’?47盲签名•Bob是一个公证员，Alice要他签一个文件，但又不想让他知道他在签什么。可以这样进行：①m’=B(m)B为盲变换，m为原消息，S为签名算法，B’为盲逆变换②S’=S(B(m))③S(m)=B’(S(B(m)))48•电子投票的发展有两个方向，一个是基于同态加密技术的电子投票方案，该技术可以掩盖选票的内容。另一个是基于匿名信道技术的电子投票方案，该技术可以掩盖投票者的身份。49同态加密技术•同态加密技术是满足如下性质的公钥加密技术：设a表示明文a的加密密文，•（1）加法加密同态：如果已知a,b，任何人都能得到a+b的密文a+b；•（2）常数乘法同态：如果已知a及一常数k，任何人都能轻易得到ka的密文ka；•（3）已知明文证明：若某人知道a，他可以利用零知识证明a是a的密文；50•（4）常数乘法正确性证明：若某人已知k及a，他可以使用k,a,ka作为输入，然后零知识证明ka确实是ka的密文；•（5）门限解密：用于加密的公钥p公开，用于解密的私钥被分享在参与者中，解密a时，各参与者使用其子私钥作为输入,可以共同解密出a51匿名信道技术•能掩饰信息来源的信道，如：（1）不可跟踪电子邮件系统（2）公告牌52电子选举系统的目标与安全性要求目标：（1）投票人的利益不受侵犯，即从选票信息中不能得到投票人的信息，实现不记名投票。（2）保证选举的公正，即不能出现伪造选票及有效选票遗漏等现象。53安全性要求•完整性，即所有的选票都应当被正确统计。•正当性，即任何不诚实的投票者都无法破坏选举。•保密性，即所有的选票的内容都是秘密的,使投票人的隐私能得到保护。•一次性，即任何人不得投票一次以上。•合法性，即没有选举权的人是不能选举的。•公正性，主要是指选举的中间结果不能泄露。•可验证性，每人都可以确保自己的选票被合法统计到最后结果中。无线传感器网络安全技术55无线传感器网络安全技术•无线传感器网络概述•与现有网络的区别•无线传感器网络的研究特点•安全性目标•攻击类型•相关技术56无线传感器网络概述•定义：无线传感器网络(WirelessSensorNetworks，WSNs)是由大量的集成了传感器、数据处理单元和通信模块的微小节点构成的全分布式的自组织网络。57网络结构整个传感器网络由传感器节点群、网关（sink节点，也称为汇聚节点，是中心处理节点）、互联网及移动通信网络、远程监控中心组成。58无线传感器网络体系结构图检测区域传感器节点sink互联网及移动通讯网络远程监控中心59节点组成传感器网络的基本组成单位是节点，节点具有8位的处理器,512Byte的RAM。它一般由四个模块组成传感器模块、数据