信息安全技術(shù)芻議

王浩　楊波

所謂信息安全，主要是保證信息的可用性、完整性、鑒別性、機(jī)密性和非抵賴性，所涉及的領(lǐng)域已從主機(jī)的安全發(fā)展到網(wǎng)絡(luò)結(jié)構(gòu)體系的安全，從單一層次的安全發(fā)展到多層次的立體安全。

1.信息加密技術(shù)

信息加密技術(shù)是實(shí)施信息保護(hù)的主要手段。通過(guò)數(shù)據(jù)加密，可有效保證信息在傳輸過(guò)程中不被泄露和破壞。

信息加密技術(shù)分為基于數(shù)學(xué)的密碼技術(shù)和非數(shù)學(xué)的密碼技術(shù)兩種?；跀?shù)學(xué)的密碼技術(shù)包括公鑰密碼、分組密碼、流密碼、數(shù)字簽名、密鑰管理、身份鑒別、消息認(rèn)證、密鑰共享和PKI技術(shù)等。非數(shù)學(xué)的密碼技術(shù)包括量子密碼、DNA密碼等，其中量子密碼、DNA密碼具有廣闊的發(fā)展前景。

量子密碼是以海森堡“測(cè)不準(zhǔn)理論”為物理基礎(chǔ)，運(yùn)用量子光學(xué)方法通過(guò)公開(kāi)信道（通信光纖）異地產(chǎn)生物理噪聲來(lái)加密的，可以真正實(shí)現(xiàn)一報(bào)一密，構(gòu)成理論上不可破譯的密碼體制。運(yùn)用量子加密法時(shí)，兩個(gè)用戶之間會(huì)各自產(chǎn)生一個(gè)私有的隨機(jī)數(shù)字符串，除了發(fā)件人和收件人之外，任何人都無(wú)法掌握量子的狀態(tài)，也無(wú)法復(fù)制量子。若攻擊者企圖接收并檢測(cè)發(fā)件人的信息（偏振），就會(huì)造成量子狀態(tài)的改變，而這種改變對(duì)攻擊者而言是不可恢復(fù)的。但是，收發(fā)雙方卻能很容易檢測(cè)出信息是否受到攻擊，并設(shè)法將其消除。目前，國(guó)際學(xué)術(shù)界正圍繞如何克服對(duì)量子相干性的干擾破壞、有效的量子受控門(mén)和量子邏輯網(wǎng)絡(luò)設(shè)計(jì)、量子信息理論體系和量子密碼的實(shí)用技術(shù)等問(wèn)題展開(kāi)研究。

近年來(lái)，DNA技術(shù)為信息加密技術(shù)發(fā)展帶來(lái)了新的機(jī)遇。DNA分子在酶的作用下，可以通過(guò)生物化學(xué)反應(yīng)，從某種基因代碼轉(zhuǎn)變成另一種基因代碼。把轉(zhuǎn)換前的基因代碼作為輸入數(shù)據(jù)，轉(zhuǎn)換后的基因代碼作為運(yùn)算結(jié)果，能夠進(jìn)行很多高級(jí)邏輯運(yùn)算和數(shù)學(xué)運(yùn)算，而利用生物化學(xué)反應(yīng)過(guò)程可以研制新型生物計(jì)算機(jī)，也可以為密碼運(yùn)算和密碼分析提供理論依托。

DNA生物化學(xué)反應(yīng)的優(yōu)勢(shì)，是能夠并行工作。利用這種特性，可以并行處理解決問(wèn)題的所有可能方法。以DNA分子鏈取代硅片存儲(chǔ)和處理信息，具有計(jì)算速度快、存儲(chǔ)量大、體積小等特點(diǎn)，可逐步模擬人腦的功能。有人預(yù)言，倘若DNA計(jì)算機(jī)研制成功，其幾十個(gè)小時(shí)的運(yùn)算量，就相當(dāng)于目前全球所有計(jì)算機(jī)問(wèn)世以來(lái)運(yùn)算量的總和。

當(dāng)前，DNA密碼編碼和密碼分析的理論研究主要集中在以下幾個(gè)領(lǐng)域：DNA的篩選、合成與純化，繁殖與修飾；DNA有序排列點(diǎn)陣的形成；DNA密碼編碼變換的實(shí)施，編碼信息的獲?。籇NA密碼分析的實(shí)施，破譯信息的獲??；DNA芯片與DNA診斷薄膜原型器件的研制，等等。

2.信息偽裝技術(shù)

信息加密技術(shù)可以保證“黑客”無(wú)法破譯機(jī)密信息，卻不能防止“黑客”阻礙合法接收者讀取機(jī)密信息，因?yàn)椤昂诳汀笨梢苑€(wěn)、準(zhǔn)、狠地破壞被加密的信息。信息偽裝技術(shù)則可以在很大程度上彌補(bǔ)這一缺點(diǎn)，使“黑客”感覺(jué)不到機(jī)密信息的存在，從而達(dá)到保護(hù)信息安全的目的。有潛在應(yīng)用價(jià)值的信息偽裝技術(shù)主要有信息隱藏、數(shù)字水印、疊像術(shù)和潛信道等。

2.1信息隱藏

信息隱藏是信息偽裝的主體，以至于人們經(jīng)常將其與信息偽裝當(dāng)成一回事。形象地說(shuō)，信息隱藏就是將機(jī)密信息隱藏在普通信息之中，且不露任何破綻。信息隱藏的基本原理，是利用人類(lèi)感官系統(tǒng)對(duì)某些細(xì)節(jié)的不敏感性，對(duì)載體作某些微小變動(dòng)，卻不引起觀察者的懷疑。

2.2數(shù)字水印

數(shù)字水印是信息偽裝的一個(gè)重要分支，也是目前國(guó)際學(xué)術(shù)界研究的熱門(mén)課題。數(shù)字水印是永久鑲嵌在宿主數(shù)據(jù)中的具有可鑒別性的數(shù)字信息，且不影響宿主數(shù)據(jù)的可用性。

2.3疊像術(shù)

疊像術(shù)是由可視化密碼技術(shù)發(fā)展而來(lái)的一種新的信息偽裝技術(shù)。其思想是把要隱藏的機(jī)密信息，通過(guò)算法隱藏到兩個(gè)或多個(gè)子密鑰圖片中。這些圖片可以存放在磁盤(pán)上，也可以印刷到透明膠片上，而每一張圖片上都有隨機(jī)分布的黑點(diǎn)和白點(diǎn)。由于黑、白點(diǎn)是隨機(jī)分布的，故持有單張圖片的人不論用什么方法，都無(wú)法得出任何有用的信息。而如果把所有圖片疊加在一起，就可以恢復(fù)原有的機(jī)密信息。

2.4潛信道

潛信道又名隱信道。顧名思義，就是普通人感覺(jué)不到此信道的存在，而系統(tǒng)卻可以利用這些感覺(jué)不到但真實(shí)存在的信道傳送（存儲(chǔ)）機(jī)密信息。

3.認(rèn)證技術(shù)

所謂認(rèn)證，就是確認(rèn)接收到的數(shù)據(jù)確實(shí)來(lái)自所希望的源端。與認(rèn)證相關(guān)的是非抵賴（non-repudiation）問(wèn)題，即防止信息的發(fā)送者抵賴其發(fā)送的信息，或者確認(rèn)接收者確實(shí)收到了發(fā)送者所發(fā)送的信息。認(rèn)證與下面提到的訪問(wèn)控制都必須注意的一個(gè)問(wèn)題，就是對(duì)以前截獲信息流的重放。重放技術(shù)容易被非授權(quán)的主機(jī)使用以欺騙目的主機(jī)，而利用時(shí)間戳技術(shù)可有效防止這種問(wèn)題的發(fā)生。

4.訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)是通過(guò)不同手段和策略實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息系統(tǒng)訪問(wèn)控制的，其目的是保護(hù)網(wǎng)絡(luò)信息資源不被非法使用和訪問(wèn)。訪問(wèn)控制規(guī)定了主體對(duì)客體訪問(wèn)的限制，并在身份識(shí)別的基礎(chǔ)上，對(duì)提出資源訪問(wèn)的請(qǐng)求加以控制。根據(jù)控制策略的不同，訪問(wèn)控制技術(shù)可分為自主訪問(wèn)控制、強(qiáng)制訪問(wèn)控制和角色訪問(wèn)控制三種形式。

自主訪問(wèn)控制是針對(duì)訪問(wèn)資源的用戶或應(yīng)用來(lái)設(shè)置訪問(wèn)控制權(quán)限的，安全性最低，但靈活性比較高。

強(qiáng)制訪問(wèn)控制在自主訪問(wèn)控制的基礎(chǔ)上，增加了對(duì)網(wǎng)絡(luò)資源的屬性劃分，規(guī)定了不同屬性下的訪問(wèn)權(quán)限，可防止用戶無(wú)意或有意使用自主訪問(wèn)的權(quán)利。其安全性比自主訪問(wèn)控制有所提高，但靈活性要差一些。

角色訪問(wèn)控制是通過(guò)驗(yàn)證合法訪問(wèn)者的身份，來(lái)確定訪問(wèn)者在系統(tǒng)中對(duì)哪類(lèi)信息有什么樣的訪問(wèn)權(quán)限的，具有便于授權(quán)管理、便于賦予最小特權(quán)、便于根據(jù)工作需要分級(jí)、便于任務(wù)分擔(dān)、便于文件分級(jí)管理、便于大規(guī)模實(shí)現(xiàn)等優(yōu)點(diǎn)，是一種有效而靈活的安全措施。目前已有的防火墻、代理服務(wù)器、路由器和專(zhuān)用訪問(wèn)控制服務(wù)器，都可以視為實(shí)現(xiàn)訪問(wèn)控制的產(chǎn)品。

5.病毒防護(hù)技術(shù)

互聯(lián)網(wǎng)的迅速普及為計(jì)算機(jī)病毒的廣泛傳播營(yíng)造了有利環(huán)境，而其本身的安全漏洞也為培育新一代病毒——網(wǎng)絡(luò)病毒，提供了絕佳的條件。

根據(jù)傳播屬性不同，計(jì)算機(jī)病毒可劃分為網(wǎng)絡(luò)病毒和主機(jī)病毒。主機(jī)病毒的攻擊對(duì)象是主機(jī)中的各種資源，即通過(guò)對(duì)主機(jī)內(nèi)存、硬盤(pán)、主板及各種文件等資源的破壞，導(dǎo)致主機(jī)的不可用；網(wǎng)絡(luò)病毒不僅具有主機(jī)病毒的破壞屬性，而且具有更粗的破壞粒度，可通過(guò)消耗網(wǎng)絡(luò)中的各種通信資源，如耗盡路由器、交換機(jī)和重要服務(wù)器等網(wǎng)絡(luò)資源的處理能力，導(dǎo)致網(wǎng)絡(luò)的不可用。對(duì)于主機(jī)病毒，現(xiàn)在已有很多有效的反病毒程序，而對(duì)于網(wǎng)絡(luò)病毒的研究就不那么多了。

在病毒與反病毒的對(duì)抗中，反病毒技術(shù)將會(huì)在應(yīng)用防毒和未知?dú)⒍緝蓚€(gè)方面尋求突破。

應(yīng)用防毒是對(duì)已知應(yīng)用程序進(jìn)行病毒防護(hù)的技術(shù)。它以典型的應(yīng)用程序?yàn)橹饕獙?duì)象，分析研究應(yīng)用程序的相關(guān)行為，然后對(duì)這些程序進(jìn)行專(zhuān)門(mén)保護(hù)，禁止未經(jīng)驗(yàn)證的惡意程序?qū)ζ溥M(jìn)行非法修改和破壞。傳統(tǒng)的防毒理論以病毒為主要分析對(duì)象，通過(guò)截獲病毒→分析病毒→查殺病毒的流程來(lái)防毒。這種理論有一個(gè)缺陷，即病毒的查殺總是落后于病毒的產(chǎn)生。應(yīng)用防毒則很好地克服了這一缺陷。