8.8 其他安全技术
8.8.1 IC卡技术
8.8.2数字水印技术
8.8.3 网络欺骗技术
第 8章 网络安全
8.8.1 IC卡技术
1,IC卡的分类
IC是英文 Integrated Circuit的缩写,即集成电路,IC卡也通常翻译
为智能卡、聪明卡。
? 根据 IC卡集成电路类型
IC卡分为 存储器卡、逻辑加密卡、智能卡。 存储卡 内封装的集成电
路一般为可擦除的可编程只读存储器 EEPROM。存储卡主要用于安全性
要求不高的场合,如电话卡等。 逻辑加密卡 除了封装了上述 EEPROM存
储器外,还专设有逻辑加密电路,提供了硬件加密手段。 智能卡 是真
正的卡上单片机系统,IC卡片内集成了中央处理器 CPU、程序存储器
ROM、数据存储器 EEPROM和 RAM。智能卡主要用于证件和信用卡。
第 8章 网络安全
8.8.1 IC卡技术
? 根据与外界传送数据的形式
IC卡分为 接触式和非接触式。 接触型 IC卡 的表面共有八个或六个镀
金触点,用于与读写器接触,通过电流信号完成读写。 非接触型 IC卡
上设有射频信号接收器或红外线收发器,在一定距离内即可收发读写
器的信号。这种 IC卡常用于身份验证等场合。
? 按 IC卡的应用领域
IC卡分为 金融卡和非金融卡两大类。 金融卡又分为 信用卡和现金卡
两种。 信用卡 由银行发行和管理。持卡人可以用信用卡作为消费时的
支付工具,可以使用存款,必要时也允许透支限额内的资金。而 现金
卡 是持卡人以现金购买的电子货币。可以多次使用,自动计费,使用
方便,但不允许透支。 非金融卡 主要用作电子证件,用来记录持卡人
的各方面信息,作为身份识别等。
第 8章 网络安全
8.8.1 IC卡技术
2,IC卡的作用
? 存储证书 。数字证书存放在 IC卡里,方便携带且不易丢失,
但需要与读卡器配合使用。
? 信息认证 。目的是防止信息被篡改、伪造或信息接收方事后
否认。信息认证主要有信息验证和数字签名。
? 信息传输加密 。将保护大量的明文信息问题转化为保护少量
密钥信息的问题,使得信息保护问题易于解决。
? 身份认证 。目前在身份识别技术中,区分合法和非法用户的
主要手段是用户密码确认。
3,IC卡的优点
IC卡具有 存储量大、数据保密性好、抗干扰能力强等优点。另外,
IC卡还具有,3S”特点,即 Standard,Smart,Security。
第 8章 网络安全
8.8.2 数字水印技术
1,数字水印技术的分类
? 按水印的嵌人结果分为可见水印和不可见水印。
? 按水印所依附的媒体分为图像水印、视频水印、音频水印、
文本水印和网格水印。
? 按水印使用目的不同分为易碎水印和韧性水印。
? 按水印的内容分为有意义水印和无意义水印。
? 按水印的隐藏位置分为时空城水印和变换域水印。
? 按水印用途分为票据防伪、版权保护、篡改提示和隐蔽标识
水印。
? 按水印检测过程分为明水印和盲水印。
第 8章 网络安全
8.8.2 数字水印技术
2.数字水印技术的特点
数字水印技术应用在 防伪与版权保护方面 具有防伪成本低、技术升
级快、隐蔽性和稳健性强、技术兼容性好,能实现供应链认证、分级
分权管理和产品增值。
但目前 数字水印技术也存在问题,主要表现 在它难以抵抗多个用户
之间的串谋攻击和媒体的几何攻击。串谋攻击指多个用户从各自的媒
体中构造一个不含有任何水印,且保证感觉质量的媒体。几何攻击指
对数字媒体进行诸如旋转、缩放、微小的几何变形等处理。
第 8章 网络安全
8.8.2 数字水印技术
3.数字水印系统模型
数字水印的制作过程 可以看作是将产权等信息作为附加的噪声融合
在原数字产品中; 每个数字水印系统至少包含两个组成部分,水印嵌入单
元、水印检测与提取单元。数字水印系统包括水印的嵌入、恢复、检测、
攻击技术以及数字水印的评估。图 8.23、图 8.24和图 8.24分别 为数字水印
嵌入、恢复和检测模型。 水印嵌入模型的功能是将数字水印信息嵌入原始
数据中;水印恢复模型用来提取出数字水印信息;水印检测模型用来判断
某一数据中是否含有指定的水印信息。这三个模型分别使用了嵌入、提取
和检测算法。
第 8章 网络安全
8.8.2 数字水印技术
图 8.23 数字水印嵌入模型 图 8.24 数字水印恢复模型
图 8.25 数字水印检测模型
原始
图像
水印
密钥
嵌入
算法
密钥流
发生器
水印
图像
原始
图像
提取
算法
水印
图像
密钥
水印
信息
水印或原始图像
检测图像
密钥
检测算法 水印提取存在与否的判定
第 8章 网络安全
8.8.2 数字水印技术
4,数字水印技术的应用
? 版权保护
? 核证保护
? 使用控制
? 发布标识
? 广播监听
? 媒体标记与信息隐藏
第 8章 网络安全
8.8.3 网络欺骗技术
网络欺骗 就是使入侵者相信系统存在有价值的、可利用的安全弱点,
并具有一些可攻击窃取的资源,并将入侵者引向这些错误的资源。它
能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使
入侵者不知道其进攻是否奏效或成功,而且它允许防护者跟踪入侵者
的行为,在入侵者之前修补系统可能存在的安全漏洞。
网络欺骗一般通过 隐藏和伪装等技术手段实现,前者包括 隐藏服务、
多路径和维护安全状态信息机密性,后者包括 重定向路由、伪造假信
息和设置圈套等等。
第 8章 网络安全
8.8.3 网络欺骗技术
1,蜜罐技术
蜜罐 ( Honey Pot) 技术 模拟存在漏洞的系统, 为攻击者提供攻
击目标 。 蜜罐是一种被用来侦探, 攻击或者缓冲的安全资源, 用来引
诱人们去攻击或入侵它, 其主要目的 在于分散攻击者的注意力, 收集
与攻击和攻击者有关的信息 。 其目标是寻找一种有效的方法来影响入
侵者, 使得入侵者将技术, 精力集中到蜜罐而不是其他真正有价值的
正常系统和资源中 。 蜜罐技术还能做到一旦入侵企图被检测到时, 迅
速地将其切换 。
分布式蜜罐技术 是将蜜罐散布在网络的正常系统和资源中, 利用
闲置的服务端口充当欺骗, 增大了入侵者遭遇欺骗的可能性 。 它将欺
骗分布到更广范围的 IP地址和端口空间中, 增大了欺骗在整个网络中
的百分比, 使得欺骗比安全弱点被入侵者扫描器发现的可能性增大 。
第 8章 网络安全
8.8.3 网络欺骗技术
? 蜜罐的类型
根据攻击者同蜜罐所在的操作系统的交互程度,即连累等级,把蜜
罐分为 低连累蜜罐,中连累蜜罐和高连累蜜罐 。
从商业运作的角度,蜜罐又分为 商品型和研究型。商品型蜜罐通过
黑客攻击蜜罐以减轻网络的危险。研究型蜜罐通过蜜罐获得攻击者的
信息,加以研究,实现知己知彼,更好地加以防范风险。
? 蜜罐的布置
根据需要,蜜罐可以放置在互联网中,也可以放置在内联网中。通
常情况下,蜜罐可以放在防火墙外面和防火墙后面等。 当 蜜罐放在防
火墙外面,消除了在防火墙后面出现一台主机失陷的可能, 但蜜罐可
能产生大量不可预期的通信量。 当 蜜罐放在防火墙 后 面,有可能给内
部网引入新的安全威胁。
第 8章 网络安全
8.8.3 网络欺骗技术
2,蜜空间技术
蜜空间( Honey Space)技术 是通过增加搜索空间来显著地增加
入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿
主能力即在只有一块以太网卡的计算机上,使它拥有众多 IP地址,而
且每个 IP地址有它们自己的 MAC地址。通常看起来存在许多不同的欺
骗,但实际上这些在一台计算机上就可实现。
当入侵者的扫描器访问到网络系统的外部路由器并探测到一个欺
骗服务时,可将扫描器所有的网络流量重定向到欺骗上,使得接下来
的远程访问变成这个欺骗的继续。但是采用这种欺骗时网络流量和服
务的切换即重定向必须严格保密。
第 8章 网络安全
8.8.3 网络欺骗技术
3,蜜网技术
蜜网( honey Net) 是一个用来学习黑客如何入侵系统的工具,包
含了设计好的网路系统。一个典型的蜜网包含多台蜜罐和防火墙来限
制和记录网络通信流,通常还会包括入侵检测系统,用来察看潜在的
攻击。
密网 是一个网络系统,而并非某台单一主机。该网络系统隐藏在防
火墙后面,对所有进出的资料进行监控、捕获及控制。这些被捕获的
资料用于分析黑客团体使用的工具、方法及动机。
蜜网 是一个真实运行网的拷贝,是完全模拟的仿真,不易被黑客发
现。通过跟踪及时准确地记录黑客的攻击信息,获得黑客的犯罪证据。
蜜网的引入解决了网络安全中的两大难题。 首先,使我们及时认识到
网络安全中的隐患。其次,解决了证据收集难的问题。
8.8.1 IC卡技术
8.8.2数字水印技术
8.8.3 网络欺骗技术
第 8章 网络安全
8.8.1 IC卡技术
1,IC卡的分类
IC是英文 Integrated Circuit的缩写,即集成电路,IC卡也通常翻译
为智能卡、聪明卡。
? 根据 IC卡集成电路类型
IC卡分为 存储器卡、逻辑加密卡、智能卡。 存储卡 内封装的集成电
路一般为可擦除的可编程只读存储器 EEPROM。存储卡主要用于安全性
要求不高的场合,如电话卡等。 逻辑加密卡 除了封装了上述 EEPROM存
储器外,还专设有逻辑加密电路,提供了硬件加密手段。 智能卡 是真
正的卡上单片机系统,IC卡片内集成了中央处理器 CPU、程序存储器
ROM、数据存储器 EEPROM和 RAM。智能卡主要用于证件和信用卡。
第 8章 网络安全
8.8.1 IC卡技术
? 根据与外界传送数据的形式
IC卡分为 接触式和非接触式。 接触型 IC卡 的表面共有八个或六个镀
金触点,用于与读写器接触,通过电流信号完成读写。 非接触型 IC卡
上设有射频信号接收器或红外线收发器,在一定距离内即可收发读写
器的信号。这种 IC卡常用于身份验证等场合。
? 按 IC卡的应用领域
IC卡分为 金融卡和非金融卡两大类。 金融卡又分为 信用卡和现金卡
两种。 信用卡 由银行发行和管理。持卡人可以用信用卡作为消费时的
支付工具,可以使用存款,必要时也允许透支限额内的资金。而 现金
卡 是持卡人以现金购买的电子货币。可以多次使用,自动计费,使用
方便,但不允许透支。 非金融卡 主要用作电子证件,用来记录持卡人
的各方面信息,作为身份识别等。
第 8章 网络安全
8.8.1 IC卡技术
2,IC卡的作用
? 存储证书 。数字证书存放在 IC卡里,方便携带且不易丢失,
但需要与读卡器配合使用。
? 信息认证 。目的是防止信息被篡改、伪造或信息接收方事后
否认。信息认证主要有信息验证和数字签名。
? 信息传输加密 。将保护大量的明文信息问题转化为保护少量
密钥信息的问题,使得信息保护问题易于解决。
? 身份认证 。目前在身份识别技术中,区分合法和非法用户的
主要手段是用户密码确认。
3,IC卡的优点
IC卡具有 存储量大、数据保密性好、抗干扰能力强等优点。另外,
IC卡还具有,3S”特点,即 Standard,Smart,Security。
第 8章 网络安全
8.8.2 数字水印技术
1,数字水印技术的分类
? 按水印的嵌人结果分为可见水印和不可见水印。
? 按水印所依附的媒体分为图像水印、视频水印、音频水印、
文本水印和网格水印。
? 按水印使用目的不同分为易碎水印和韧性水印。
? 按水印的内容分为有意义水印和无意义水印。
? 按水印的隐藏位置分为时空城水印和变换域水印。
? 按水印用途分为票据防伪、版权保护、篡改提示和隐蔽标识
水印。
? 按水印检测过程分为明水印和盲水印。
第 8章 网络安全
8.8.2 数字水印技术
2.数字水印技术的特点
数字水印技术应用在 防伪与版权保护方面 具有防伪成本低、技术升
级快、隐蔽性和稳健性强、技术兼容性好,能实现供应链认证、分级
分权管理和产品增值。
但目前 数字水印技术也存在问题,主要表现 在它难以抵抗多个用户
之间的串谋攻击和媒体的几何攻击。串谋攻击指多个用户从各自的媒
体中构造一个不含有任何水印,且保证感觉质量的媒体。几何攻击指
对数字媒体进行诸如旋转、缩放、微小的几何变形等处理。
第 8章 网络安全
8.8.2 数字水印技术
3.数字水印系统模型
数字水印的制作过程 可以看作是将产权等信息作为附加的噪声融合
在原数字产品中; 每个数字水印系统至少包含两个组成部分,水印嵌入单
元、水印检测与提取单元。数字水印系统包括水印的嵌入、恢复、检测、
攻击技术以及数字水印的评估。图 8.23、图 8.24和图 8.24分别 为数字水印
嵌入、恢复和检测模型。 水印嵌入模型的功能是将数字水印信息嵌入原始
数据中;水印恢复模型用来提取出数字水印信息;水印检测模型用来判断
某一数据中是否含有指定的水印信息。这三个模型分别使用了嵌入、提取
和检测算法。
第 8章 网络安全
8.8.2 数字水印技术
图 8.23 数字水印嵌入模型 图 8.24 数字水印恢复模型
图 8.25 数字水印检测模型
原始
图像
水印
密钥
嵌入
算法
密钥流
发生器
水印
图像
原始
图像
提取
算法
水印
图像
密钥
水印
信息
水印或原始图像
检测图像
密钥
检测算法 水印提取存在与否的判定
第 8章 网络安全
8.8.2 数字水印技术
4,数字水印技术的应用
? 版权保护
? 核证保护
? 使用控制
? 发布标识
? 广播监听
? 媒体标记与信息隐藏
第 8章 网络安全
8.8.3 网络欺骗技术
网络欺骗 就是使入侵者相信系统存在有价值的、可利用的安全弱点,
并具有一些可攻击窃取的资源,并将入侵者引向这些错误的资源。它
能够显著地增加入侵者的工作量、入侵复杂度以及不确定性,从而使
入侵者不知道其进攻是否奏效或成功,而且它允许防护者跟踪入侵者
的行为,在入侵者之前修补系统可能存在的安全漏洞。
网络欺骗一般通过 隐藏和伪装等技术手段实现,前者包括 隐藏服务、
多路径和维护安全状态信息机密性,后者包括 重定向路由、伪造假信
息和设置圈套等等。
第 8章 网络安全
8.8.3 网络欺骗技术
1,蜜罐技术
蜜罐 ( Honey Pot) 技术 模拟存在漏洞的系统, 为攻击者提供攻
击目标 。 蜜罐是一种被用来侦探, 攻击或者缓冲的安全资源, 用来引
诱人们去攻击或入侵它, 其主要目的 在于分散攻击者的注意力, 收集
与攻击和攻击者有关的信息 。 其目标是寻找一种有效的方法来影响入
侵者, 使得入侵者将技术, 精力集中到蜜罐而不是其他真正有价值的
正常系统和资源中 。 蜜罐技术还能做到一旦入侵企图被检测到时, 迅
速地将其切换 。
分布式蜜罐技术 是将蜜罐散布在网络的正常系统和资源中, 利用
闲置的服务端口充当欺骗, 增大了入侵者遭遇欺骗的可能性 。 它将欺
骗分布到更广范围的 IP地址和端口空间中, 增大了欺骗在整个网络中
的百分比, 使得欺骗比安全弱点被入侵者扫描器发现的可能性增大 。
第 8章 网络安全
8.8.3 网络欺骗技术
? 蜜罐的类型
根据攻击者同蜜罐所在的操作系统的交互程度,即连累等级,把蜜
罐分为 低连累蜜罐,中连累蜜罐和高连累蜜罐 。
从商业运作的角度,蜜罐又分为 商品型和研究型。商品型蜜罐通过
黑客攻击蜜罐以减轻网络的危险。研究型蜜罐通过蜜罐获得攻击者的
信息,加以研究,实现知己知彼,更好地加以防范风险。
? 蜜罐的布置
根据需要,蜜罐可以放置在互联网中,也可以放置在内联网中。通
常情况下,蜜罐可以放在防火墙外面和防火墙后面等。 当 蜜罐放在防
火墙外面,消除了在防火墙后面出现一台主机失陷的可能, 但蜜罐可
能产生大量不可预期的通信量。 当 蜜罐放在防火墙 后 面,有可能给内
部网引入新的安全威胁。
第 8章 网络安全
8.8.3 网络欺骗技术
2,蜜空间技术
蜜空间( Honey Space)技术 是通过增加搜索空间来显著地增加
入侵者的工作量,从而达到安全防护的目的。利用计算机系统的多宿
主能力即在只有一块以太网卡的计算机上,使它拥有众多 IP地址,而
且每个 IP地址有它们自己的 MAC地址。通常看起来存在许多不同的欺
骗,但实际上这些在一台计算机上就可实现。
当入侵者的扫描器访问到网络系统的外部路由器并探测到一个欺
骗服务时,可将扫描器所有的网络流量重定向到欺骗上,使得接下来
的远程访问变成这个欺骗的继续。但是采用这种欺骗时网络流量和服
务的切换即重定向必须严格保密。
第 8章 网络安全
8.8.3 网络欺骗技术
3,蜜网技术
蜜网( honey Net) 是一个用来学习黑客如何入侵系统的工具,包
含了设计好的网路系统。一个典型的蜜网包含多台蜜罐和防火墙来限
制和记录网络通信流,通常还会包括入侵检测系统,用来察看潜在的
攻击。
密网 是一个网络系统,而并非某台单一主机。该网络系统隐藏在防
火墙后面,对所有进出的资料进行监控、捕获及控制。这些被捕获的
资料用于分析黑客团体使用的工具、方法及动机。
蜜网 是一个真实运行网的拷贝,是完全模拟的仿真,不易被黑客发
现。通过跟踪及时准确地记录黑客的攻击信息,获得黑客的犯罪证据。
蜜网的引入解决了网络安全中的两大难题。 首先,使我们及时认识到
网络安全中的隐患。其次,解决了证据收集难的问题。