8.8 其他安全技术

8.8 其他安全技术

8.8.1 IC卡技术

8.8.2数字水印技术

8.8.3 网络欺骗技术

第 8章 网络安全

8.8.1 IC 卡技术

1. IC 卡的分类IC 是英文 Integrated Circuit 的缩写，即集成电路， IC 卡也通常翻

译为智能卡、聪明卡。

根据 IC卡集成电路类型 IC 卡分为存储器卡、逻辑加密卡、智能卡。存储卡内封装的集成

电路一般为可擦除的可编程只读存储器 EEPROM 。存储卡主要用于安全性要求不高的场合，如电话卡等。逻辑加密卡除了封装了上述 EEPROM 存储器外，还专设有逻辑加密电路，提供了硬件加密手段。智能卡是真正的卡上单片机系统， IC 卡片内集成了中央处理器 CPU 、程序存储器 ROM 、数据存储器 EEPROM 和 RAM 。智能卡主要用于证件和信用卡。

第 8章 网络安全

8.8.1 IC 卡技术根据与外界传送数据的形式

IC 卡分为接触式和非接触式。接触型 IC 卡的表面共有八个或六个镀金触点，用于与读写器接触，通过电流信号完成读写。非接触型 IC

卡上设有射频信号接收器或红外线收发器，在一定距离内即可收发读写器的信号。这种 IC 卡常用于身份验证等场合。

按 IC卡的应用领域 IC 卡分为金融卡和非金融卡两大类。金融卡又分为信用卡和现金

卡两种。信用卡由银行发行和管理。持卡人可以用信用卡作为消费时的支付工具，可以使用存款，必要时也允许透支限额内的资金。而现金卡是持卡人以现金购买的电子货币。可以多次使用，自动计费，使用方便，但不允许透支。非金融卡主要用作电子证件，用来记录持卡人的各方面信息，作为身份识别等。

第 8章 网络安全

8.8.1 IC 卡技术

2. IC 卡的作用 存储证书。数字证书存放在 IC卡里，方便携带且不易丢失，

但需要与读卡器配合使用。 信息认证。目的是防止信息被篡改、伪造或信息接收方事

后否认。信息认证主要有信息验证和数字签名。信息传输加密。将保护大量的明文信息问题转化为保护少

量密钥信息的问题，使得信息保护问题易于解决。 身份认证。目前在身份识别技术中，区分合法和非法用户

的主要手段是用户密码确认。

3. IC 卡的优点IC 卡具有存储量大、数据保密性好、抗干扰能力强等优点。另外，

IC 卡还具有“ 3S” 特点，即 Standard 、 Smart 、 Security 。

第 8章 网络安全

8.8.2 　数字水印技术

1. 数字水印技术的分类按水印的嵌人结果分为可见水印和不可见水印。按水印所依附的媒体分为图像水印、视频水印、音频水印、

文本水印和网格水印。按水印使用目的不同分为易碎水印和韧性水印。 按水印的内容分为有意义水印和无意义水印。 按水印的隐藏位置分为时空城水印和变换域水印。 按水印用途分为票据防伪、版权保护、篡改提示和隐蔽标

识水印。 按水印检测过程分为明水印和盲水印。

第 8章 网络安全

8.8.2 　数字水印技术

2. 数字水印技术的特点数字水印技术应用在防伪与版权保护方面具有防伪成本低、技术升

级快、隐蔽性和稳健性强、技术兼容性好，能实现供应链认证、分级分权管理和产品增值。

但目前数字水印技术也存在问题，主要表现在它难以抵抗多个用户之间的串谋攻击和媒体的几何攻击。串谋攻击指多个用户从各自的媒体中构造一个不含有任何水印，且保证感觉质量的媒体。几何攻击指对数字媒体进行诸如旋转、缩放、微小的几何变形等处理。

第 8章 网络安全

8.8.2 　数字水印技术

3. 数字水印系统模型数字水印的制作过程可以看作是将产权等信息作为附加的噪声融合

在原数字产品中；每个数字水印系统至少包含两个组成部分：水印嵌入单元、水印检测与提取单元。数字水印系统包括水印的嵌入、恢复、检测、攻击技术以及数字水印的评估。图 8.23 、图 8.24 和图 8.24 分别为数字水印嵌入、恢复和检测模型。水印嵌入模型的功能是将数字水印信息嵌入原始数据中；水印恢复模型用来提取出数字水印信息；水印检测模型用来判断某一数据中是否含有指定的水印信息。这三个模型分别使用了嵌入、提取和检测算法。

第 8章 网络安全

8.8.2 　数字水印技术

图 8.23 　数字水印嵌入模型图　　　　　 8.24 　数字水印恢复模型

　　　　　　　　　　　　　图 8.25　数字水印检测模型

原始图像

水印

密钥

嵌入算法

密钥流发生器

水印图像

原始图像

提取算法

水印图像

密钥

水印信息

水印或原始图像

检测图像

密钥

检测算法 水印提取存在与否的判定

第 8章 网络安全

8.8.2 　数字水印技术

4. 　数字水印技术的应用版权保护核证保护使用控制发布标识 广播监听 媒体标记与信息隐藏

第 8章 网络安全

8.8.3 网络欺骗技术

网络欺骗就是使入侵者相信系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源，并将入侵者引向这些错误的资源。它能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功，而且它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。

网络欺骗一般通过隐藏和伪装等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。

第 8章 网络安全

8.8.3 网络欺骗技术

1. 蜜罐技术 蜜罐（ Honey Pot）技术模拟存在漏洞的系统，为攻击者提供攻

击目标。蜜罐是一种被用来侦探、攻击或者缓冲的安全资源，用来引诱人们去攻击或入侵它，其主要目的在于分散攻击者的注意力、收集与攻击和攻击者有关的信息。其目标是寻找一种有效的方法来影响入侵者，使得入侵者将技术、精力集中到蜜罐而不是其他真正有价值的正常系统和资源中。蜜罐技术还能做到一旦入侵企图被检测到时，迅速地将其切换。

分布式蜜罐技术是将蜜罐散布在网络的正常系统和资源中，利用闲置的服务端口充当欺骗，增大了入侵者遭遇欺骗的可能性。它将欺骗分布到更广范围的 IP地址和端口空间中，增大了欺骗在整个网络中的百分比，使得欺骗比安全弱点被入侵者扫描器发现的可能性增大。

第 8章 网络安全

8.8.3 网络欺骗技术蜜罐的类型

根据攻击者同蜜罐所在的操作系统的交互程度，即连累等级，把蜜罐分为低连累蜜罐 、中连累蜜罐和高连累蜜罐 。

从商业运作的角度，蜜罐又分为商品型和研究型。商品型蜜罐通过黑客攻击蜜罐以减轻网络的危险。研究型蜜罐通过蜜罐获得攻击者的信息，加以研究，实现知己知彼，更好地加以防范风险。

蜜罐的布置 根据需要，蜜罐可以放置在互联网中，也可以放置在内联网中。通

常情况下，蜜罐可以放在防火墙外面和防火墙后面等。 当蜜罐放在防火墙外面，消除了在防火墙后面出现一台主机失陷的可能，但蜜罐可能产生大量不可预期的通信量。当蜜罐放在防火墙后面，有可能给内部网引入新的安全威胁。

第 8章 网络安全

8.8.3 网络欺骗技术

2. 蜜空间技术蜜空间（ Honey Space）技术是通过增加搜索空间来显著地增加

入侵者的工作量，从而达到安全防护的目的。利用计算机系统的多宿主能力即在只有一块以太网卡的计算机上，使它拥有众多 IP地址，而且每个 IP地址有它们自己的 MAC地址。通常看起来存在许多不同的欺骗，但实际上这些在一台计算机上就可实现。

当入侵者的扫描器访问到网络系统的外部路由器并探测到一个欺骗服务时，可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。但是采用这种欺骗时网络流量和服务的切换即重定向必须严格保密。

第 8章 网络安全

8.8.3 网络欺骗技术

3. 蜜网技术蜜网（ honey Net）是一个用来学习黑客如何入侵系统的工具，包

含了设计好的网路系统。一个典型的蜜网包含多台蜜罐和防火墙来限制和记录网络通信流，通常还会包括入侵检测系统，用来察看潜在的攻击。

密网是一个网络系统，而并非某台单一主机。该网络系统隐藏在防火墙后面，对所有进出的资料进行监控、捕获及控制。这些被捕获的资料用于分析黑客团体使用的工具、方法及动机。

蜜网是一个真实运行网的拷贝，是完全模拟的仿真，不易被黑客发现。通过跟踪及时准确地记录黑客的攻击信息，获得黑客的犯罪证据。蜜网的引入解决了网络安全中的两大难题。首先，使我们及时认识到网络安全中的隐患。其次，解决了证据收集难的问题。