其他安全技术课件

1、其他安全技术1 8.8 其他安全技术其他安全技术 8.8.1 IC卡技术卡技术 8.8.2数字水印技术数字水印技术 8.8.3 网络欺骗技术网络欺骗技术 其他安全技术2 8.8.1 IC卡技术卡技术 IC卡的分类卡的分类 IC是英文Integrated Circuit的缩写，即集成电路，IC卡也通常翻译 为智能卡、聪明卡。 根据根据ICIC卡集成电路类型卡集成电路类型 IC卡分为存储器卡、逻辑加密卡、智能卡。存储卡内封装的集成电 路一般为可擦除的可编程只读存储器EEPROM。存储卡主要用于安全性 要求不高的场合，如电话卡等。逻辑加密卡除了封装了上述EEPROM存 储器外，还专设有逻辑加密电路，

2、提供了硬件加密手段。智能卡是真 正的卡上单片机系统，IC卡片内集成了中央处理器CPU、程序存储器 ROM、数据存储器EEPROM和RAM。智能卡主要用于证件和信用卡。 其他安全技术3 8.8.1 IC卡技术卡技术 根据与外界传送数据的形式根据与外界传送数据的形式 IC卡分为接触式和非接触式。接触型IC卡的表面共有八个或六个镀 金触点，用于与读写器接触，通过电流信号完成读写。非接触型IC卡 上设有射频信号接收器或红外线收发器，在一定距离内即可收发读写 器的信号。这种IC卡常用于身份验证等场合。 按按ICIC卡的应用领域卡的应用领域 IC卡分为金融卡和非金融卡两大类。金融卡又分为信用卡和现金卡 两

3、种。信用卡由银行发行和管理。持卡人可以用信用卡作为消费时的 支付工具，可以使用存款，必要时也允许透支限额内的资金。而现金 卡是持卡人以现金购买的电子货币。可以多次使用，自动计费，使用 方便，但不允许透支。非金融卡主要用作电子证件，用来记录持卡人 的各方面信息，作为身份识别等。 其他安全技术4 8.8.1 IC卡技术卡技术 2. IC卡的作用卡的作用 存储证书存储证书。数字证书存放在。数字证书存放在ICIC卡里，方便携带且不易丢失，卡里，方便携带且不易丢失， 但需要与读卡器配合使用。但需要与读卡器配合使用。 信息认证信息认证。目的是防止信息被篡改、伪造或信息接收方事后。目的是防止信息被篡改、伪造

4、或信息接收方事后 否认。信息认证主要有信息验证和数字签名。否认。信息认证主要有信息验证和数字签名。 信息传输加密信息传输加密。将保护大量的明文信息问题转化为保护少量。将保护大量的明文信息问题转化为保护少量 密钥信息的问题，使得信息保护问题易于解决。密钥信息的问题，使得信息保护问题易于解决。 身份认证身份认证。目前在身份识别技术中，区分合法和非法用户的。目前在身份识别技术中，区分合法和非法用户的 主要手段是用户密码确认。主要手段是用户密码确认。 3. IC卡的优点卡的优点 IC卡具有存储量大、数据保密性好、抗干扰能力强等优点。另外， IC卡还具有“3S”特点，即Standard、Smart、Se

5、curity。 其他安全技术5 8.8.2数字水印技术数字水印技术 数字水印技术的分类数字水印技术的分类 按水印的嵌人结果分为可见水印和不可见水印。按水印的嵌人结果分为可见水印和不可见水印。 按水印所依附的媒体分为图像水印、视频水印、音频水印、按水印所依附的媒体分为图像水印、视频水印、音频水印、 文本水印和网格水印。文本水印和网格水印。 按水印使用目的不同分为易碎水印和韧性水印。按水印使用目的不同分为易碎水印和韧性水印。 按水印的内容分为有意义水印和无意义水印。按水印的内容分为有意义水印和无意义水印。 按水印的隐藏位置分为时空城水印和变换域水印。按水印的隐藏位置分为时空城水印和变换域水印。 按

6、水印用途分为票据防伪、版权保护、篡改提示和隐蔽标识按水印用途分为票据防伪、版权保护、篡改提示和隐蔽标识 水印。水印。 按水印检测过程分为明水印和盲水印。按水印检测过程分为明水印和盲水印。 其他安全技术6 8.8.2数字水印技术数字水印技术 2.数字水印技术的特点数字水印技术的特点 数字水印技术应用在防伪与版权保护方面具有防伪成本低、技术升 级快、隐蔽性和稳健性强、技术兼容性好，能实现供应链认证、分级 分权管理和产品增值。 但目前数字水印技术也存在问题，主要表现在它难以抵抗多个用户 之间的串谋攻击和媒体的几何攻击。串谋攻击指多个用户从各自的媒 体中构造一个不含有任何水印，且保证感觉质量的媒体。几

7、何攻击指 对数字媒体进行诸如旋转、缩放、微小的几何变形等处理。 其他安全技术7 8.8.2数字水印技术数字水印技术 3.3.数字水印系统模型数字水印系统模型 数字水印的制作过程可以看作是将产权等信息作为附加的噪声融合 在原数字产品中；每个数字水印系统至少包含两个组成部分：水印嵌入单 元、水印检测与提取单元。数字水印系统包括水印的嵌入、恢复、检测、 攻击技术以及数字水印的评估。图8.23、图8.24和图8.24分别为数字水印 嵌入、恢复和检测模型。水印嵌入模型的功能是将数字水印信息嵌入原始 数据中；水印恢复模型用来提取出数字水印信息；水印检测模型用来判断 某一数据中是否含有指定的水印信息。这三个

8、模型分别使用了嵌入、提取 和检测算法。 其他安全技术8 8.8.2数字水印技术数字水印技术 图8.23数字水印嵌入模型图8.24数字水印恢复模型 图8.25数字水印检测模型 原始 图像 水印 密钥 嵌入 算法 密钥流 发生器 水印 图像 原始 图像 提取 算法 水印 图像 密钥 水印 信息 水印或原始图像 检测图像 密钥 检测算法水印提取存在与否的判定 其他安全技术9 8.8.2数字水印技术数字水印技术 4.数字水印技术的应用数字水印技术的应用 版权保护版权保护 核证保护核证保护 使用控制使用控制 发布标识发布标识 广播监听广播监听 媒体标记与信息隐藏媒体标记与信息隐藏 其他安全技术10 8.

9、8.3 网络欺骗技术网络欺骗技术 网络欺骗就是使入侵者相信系统存在有价值的、可利用的安全弱点， 并具有一些可攻击窃取的资源，并将入侵者引向这些错误的资源。它 能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使 入侵者不知道其进攻是否奏效或成功，而且它允许防护者跟踪入侵者 的行为，在入侵者之前修补系统可能存在的安全漏洞。 网络欺骗一般通过隐藏和伪装等技术手段实现，前者包括隐藏服务、 多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信 息和设置圈套等等。 其他安全技术11 8.8.3 网络欺骗技术网络欺骗技术 1. 蜜罐技术蜜罐技术 蜜罐（Honey Pot）技术模拟存在漏洞的

10、系统，为攻击者提供攻 击目标。蜜罐是一种被用来侦探、攻击或者缓冲的安全资源，用来引 诱人们去攻击或入侵它，其主要目的在于分散攻击者的注意力、收集 与攻击和攻击者有关的信息。其目标是寻找一种有效的方法来影响入 侵者，使得入侵者将技术、精力集中到蜜罐而不是其他真正有价值的 正常系统和资源中。蜜罐技术还能做到一旦入侵企图被检测到时，迅 速地将其切换。 分布式蜜罐技术是将蜜罐散布在网络的正常系统和资源中，利用 闲置的服务端口充当欺骗，增大了入侵者遭遇欺骗的可能性。它将欺 骗分布到更广范围的IP地址和端口空间中，增大了欺骗在整个网络中 的百分比，使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。 其他安

11、全技术12 8.8.3 网络欺骗技术网络欺骗技术 蜜罐的类型蜜罐的类型 根据攻击者同蜜罐所在的操作系统的交互程度，即连累等级，把蜜 罐分为低连累蜜罐 、中连累蜜罐和高连累蜜罐 。 从商业运作的角度，蜜罐又分为商品型和研究型。商品型蜜罐通过 黑客攻击蜜罐以减轻网络的危险。研究型蜜罐通过蜜罐获得攻击者的 信息，加以研究，实现知己知彼，更好地加以防范风险。 蜜罐的布置蜜罐的布置 根据需要，蜜罐可以放置在互联网中，也可以放置在内联网中。通 常情况下，蜜罐可以放在防火墙外面和防火墙后面等。 当蜜罐放在防 火墙外面，消除了在防火墙后面出现一台主机失陷的可能，但蜜罐可 能产生大量不可预期的通信量。当蜜罐放在

12、防火墙后面，有可能给内 部网引入新的安全威胁。 其他安全技术13 8.8.3 网络欺骗技术网络欺骗技术 2. 蜜空间技术蜜空间技术 蜜空间（Honey Space）技术是通过增加搜索空间来显著地增加 入侵者的工作量，从而达到安全防护的目的。利用计算机系统的多宿 主能力即在只有一块以太网卡的计算机上，使它拥有众多IP地址，而 且每个IP地址有它们自己的MAC地址。通常看起来存在许多不同的欺 骗，但实际上这些在一台计算机上就可实现。 当入侵者的扫描器访问到网络系统的外部路由器并探测到一个欺 骗服务时，可将扫描器所有的网络流量重定向到欺骗上，使得接下来 的远程访问变成这个欺骗的继续。但是采用这种欺骗时网络流量和服 务的切换即重定向必须严格保密。 其他安全技术14 8.8.3 网络欺骗技术网络欺骗技术 3. 蜜网技术蜜网技术 蜜网（honey Net）是一个用来学习黑客如何入侵系统的工具，包 含了设计好的网路系统。一个典型的蜜网包含多台蜜罐和防火墙来限 制和记录网络通信流，通常还会包括入侵检测系统，用来察看潜在的 攻击。 密网是