網(wǎng)絡(luò )數據通信的隱蔽通道技術(shù)論文

　　摘要:本文介紹了隱蔽通道的定義,并對隱蔽通道的工作原理及類(lèi)型進(jìn)行的闡述,最后解釋了隱蔽通道實(shí)現的方法,以期能夠為更好的了解和利用這一技術(shù)提供有益借鑒。

　　關(guān)鍵詞:網(wǎng)絡(luò )；數據通信；隱蔽通道

　　1隱蔽通道的定義

　　隱蔽通道這一概念最早是由Lampson于1973年提出來(lái)的,并將其定義為:并非專(zhuān)門(mén)設計或者原本并非是用作信息傳輸的通信信道。最開(kāi)始的時(shí)候Lampson研究的重點(diǎn)是操作系統中程序的限制,他所給出的這一定位并未將隱蔽通道的本質(zhì)全面客觀(guān)的反映出來(lái)。隨后,Tsai與Gligor等人又提出了一個(gè)新的定義,該定義如下:給定一個(gè)強制安全策略模型M,與其在同一操作系統中的解釋I(M),I(M)內的兩個(gè)主體I(Si)以及I(Sj)之間所有的潛在通道皆為隱蔽的,只有且僅有模型M內的相應主體Si與Sj之間所有的通信于M內皆為非法。在部署有強制訪(fǎng)問(wèn)控制機制的安全操作系統、安全數據庫以及完全網(wǎng)絡(luò )中,隱蔽通道技術(shù)被廣泛應用。當前,關(guān)于隱蔽通道這一概念的定義,比較有代表性的定義如下:其是指一個(gè)把信息隱藏于公開(kāi)通訊媒介之內的通訊信道,在這一信道中,其對外公開(kāi)的信息僅僅是作為秘密信息的載體而存在的,主要通過(guò)隱蔽通道傳輸那些秘密信息。

　　2網(wǎng)絡(luò )隱蔽通道的分類(lèi)與工作原理

　　2.1網(wǎng)絡(luò )隱蔽通道分類(lèi)

　　從網(wǎng)絡(luò )安全等級方面來(lái)看,網(wǎng)絡(luò )隱蔽通道可以分為多級安全網(wǎng)絡(luò )隱蔽通道與普通網(wǎng)絡(luò )隱蔽通道。前者指的是不同安全等級的主機分布在安全等級不同的安全域中,通常情況下入侵者會(huì )從高安全級別的主機竊取信息,然后傳至低安全級別的主機;后者指的是在普通網(wǎng)絡(luò )中不存在安全級別的劃分,信道兩端的主機被準許通信,需要在公開(kāi)被允許的通信鏈路上構建隱蔽通道完成隱秘通信,該信道與我們日常生活中使用的網(wǎng)絡(luò )最為接近[1]。根據傳統操作系統中隱蔽通道的劃分,其又可以被分為存儲隱蔽通道與時(shí)間隱蔽通道。前者主要是各類(lèi)協(xié)議數據包內加載信息,通常情況下,為了完成隱蔽傳輸,把信息附加于不經(jīng)常使用的數據字段內,主要包括未使用的IP頭字段、IP頭擴展與填充段、IP標識與碎片偏移等。后者則是通過(guò)運用網(wǎng)絡(luò )中數據包的時(shí)間特性來(lái)表達信息,該類(lèi)時(shí)間特性主要有數據包的發(fā)送時(shí)間、到達時(shí)間、時(shí)間間隔等。

　　2.2網(wǎng)絡(luò )隱蔽通道工作原理

　　在網(wǎng)絡(luò )隱蔽通道中,主要包括兩個(gè)重要的因素,信息發(fā)送者與信息接受者,信息發(fā)送者把消息根據提前商定的某種編碼規則予以變換,把需要隱蔽傳輸的信息轉化為網(wǎng)絡(luò )對象的某種特性,以完成信息的隱藏,也即是信息的嵌入,進(jìn)而利用公開(kāi)信道把這些隱蔽信息傳至被保護網(wǎng)絡(luò )以外的接受者。網(wǎng)絡(luò )對象可以包括TCP/IP封包、應用層請求等內容,對象的屬性則可以包括部分字段、包間隔時(shí)間、數據包序列等內容。接受者通過(guò)公開(kāi)信道獲得需要的信息,按照提前商定的解碼方式分析數據包,對隱藏的信息進(jìn)行抽取,以完成隱秘通信這一過(guò)程。

　　3隱蔽通道的實(shí)現方法

　　由于使用的編碼對象存在差異,隱蔽信息可以選擇不同的編碼方式,比較常用的方法包括以下幾種[2]:(1)LSB位調制方式。在IP包頭內的IPID抑或TOS字段內的最低有效位,所有其他宿主協(xié)議的非關(guān)鍵傳輸位皆可用作隱蔽信息的編碼。該種編碼方式的主要缺點(diǎn)在于其二進(jìn)制類(lèi)型的字段調制會(huì )使得隱蔽通道帶寬是單位,在具體的實(shí)踐中效率太低。(2)直接構造方式。精心構造協(xié)議包頭內不常用或能夠擴展的字段,必要的時(shí)候直接添加新字段,實(shí)現隱蔽信息的傳輸。比如,IPID在諸多系統中皆為隨機生成,因此用其構造隱蔽信息編碼是非常合適的,除此之外,還可以通過(guò)在HTTP包頭內添加新字段的方式實(shí)現。(3)重新排序方式。例如發(fā)送者可以將HTTP頭包內的Host與Connection這兩個(gè)字段的位置進(jìn)行調整,根據提前商定的順序,Host在前時(shí)用數字1表示,在后時(shí)用數字0表示。(4)變換大小寫(xiě)方式。由于HTTP協(xié)議關(guān)于大小寫(xiě)并不十分敏感,因此可以對屬性名稱(chēng)進(jìn)行大小寫(xiě)變換,將大寫(xiě)用數字0來(lái)表示,將小寫(xiě)用數字1來(lái)表示。(5)對象映射方式。該種方法直接把網(wǎng)絡(luò )包頭內的屬性對象映射成二進(jìn)制數位。比如將域名當作數位標識,發(fā)送者同攻擊者提前商定八個(gè)未曾使用的域名,發(fā)送者根據需要編碼的內容發(fā)送請求查詢(xún),比如要發(fā)送的信息是10010010,就對應查詢(xún)相應的域名,這些域名具有一定的特殊性,內網(wǎng)本地DNS服務(wù)器必然不存在緩存,所以就會(huì )通過(guò)公網(wǎng)DNS服務(wù)器進(jìn)行查詢(xún),這就使得公網(wǎng)DNS服務(wù)器內將這些域名的解析結果緩存起來(lái)。接受者向公網(wǎng)發(fā)送上述八個(gè)域名的查詢(xún)請求,如果某一域名存在解析結果,則其對應的位數是1,這樣就完成了信息的隱蔽傳輸。

　　4結語(yǔ)

　　綜上所述,本文關(guān)于隱蔽通道技術(shù)的討論僅僅是基于網(wǎng)絡(luò )層、傳輸層以及應用層建構起來(lái)的隱蔽通信,在信息技術(shù)不斷發(fā)展的歷史背景下,將會(huì )誕生更加先進(jìn)的隱蔽通道技術(shù),這些新技術(shù)的誕生將會(huì )給網(wǎng)絡(luò )數據通信的發(fā)展創(chuàng )造更加良好的環(huán)境。

　　參考文獻

　　[1]王釗.網(wǎng)絡(luò )數據通信中的隱蔽通道技術(shù)[J].信息通信,2016(08):228-229.

　　[2]王傳林,符易陽(yáng).網(wǎng)絡(luò )隱蔽通道及其識別技術(shù)研究[J].現代電子技術(shù),2009(15):41-44.

【網(wǎng)絡(luò )數據通信的隱蔽通道技術(shù)論文】相關(guān)文章：

數據通信原理與技術(shù)網(wǎng)絡(luò )版課件ASP03-08

提高數據通信網(wǎng)絡(luò )安全的對策論文02-14

對數據通信技術(shù)的研究03-19

基于策略的網(wǎng)絡(luò )管理技術(shù)論文12-04

構建鐵路數據通信論文11-09

無(wú)線(xiàn)家庭網(wǎng)絡(luò )技術(shù)論文11-28

地鐵信號系統數據通信論文11-09

網(wǎng)絡(luò )安全技術(shù)維護管理研究論文12-03

網(wǎng)絡(luò )安全威脅因素與安全技術(shù)論文11-24