網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究

郝志宇

?

網(wǎng)絡(luò)數(shù)據(jù)通信中的隱蔽通道技術(shù)研究

郝志宇

中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司新疆分公司，新疆 烏魯木齊 830011

隨著網(wǎng)絡(luò)數(shù)據(jù)傳輸數(shù)量的不斷增加，對(duì)數(shù)據(jù)傳輸過(guò)程中的保密性能提出了更高的要求。隱蔽通道能通過(guò)技術(shù)手段對(duì)信息進(jìn)行保密處理，在此就其隱蔽通道技術(shù)進(jìn)行闡述。

網(wǎng)絡(luò)數(shù)據(jù)；數(shù)據(jù)傳輸；隱蔽通道技術(shù)

在當(dāng)前網(wǎng)絡(luò)信息傳遞的過(guò)程，需要我們采取相關(guān)的安全措施來(lái)保證信心傳遞的安全。

1 隱通道構(gòu)建

1.1 隱通道構(gòu)建方法分類

隱通道的分類可以從不同角度進(jìn)行，一般分為存儲(chǔ)隱通道和時(shí)間隱通道、無(wú)噪聲隱通道和有噪聲隱通道、單一隱通道和聚合隱通道。其中將隱通道分為存儲(chǔ)隱通道和時(shí)間隱通道具有較強(qiáng)的代表性。當(dāng)系統(tǒng)中的某個(gè)進(jìn)程以一定的方式向一個(gè)存儲(chǔ)單元進(jìn)行了寫(xiě)操作，而另外的進(jìn)程則直接或間接地從這個(gè)存儲(chǔ)單元中讀取數(shù)據(jù)，則這種隱藏信息傳輸?shù)姆绞奖环Q為存儲(chǔ)隱通道圖；而當(dāng)系統(tǒng)中某一個(gè)進(jìn)程通過(guò)調(diào)整系統(tǒng)資源的使用時(shí)間從而影響另外進(jìn)程的實(shí)際響應(yīng)時(shí)間，從而實(shí)現(xiàn)由一個(gè)進(jìn)程向另外一個(gè)進(jìn)程的信息傳輸，則這種隱藏信息傳輸?shù)姆绞奖环Q為時(shí)間隱通道圖。由此可以看出，存儲(chǔ)隱通道利用的是通信雙方共享的全局存儲(chǔ)變量或數(shù)據(jù)結(jié)構(gòu)，而時(shí)間隱通道利用的則是時(shí)間參量的變化。但歸結(jié)起來(lái)，兩類隱通道的建立都利用了通信雙方處于一定相同空間和時(shí)間維度內(nèi)的事實(shí)[1]。

從現(xiàn)有的隱通道構(gòu)建方法來(lái)看，兩類隱通道的構(gòu)建方法都存在一些問(wèn)題。存儲(chǔ)型隱通道中向通信雙力-共享的存儲(chǔ)單元讀寫(xiě)要傳輸?shù)碾[匿信息容易被越來(lái)越發(fā)達(dá)的安全審計(jì)設(shè)備識(shí)別，如利用冗余存儲(chǔ)空間進(jìn)行隱匿信息傳遞，審計(jì)設(shè)備就會(huì)依據(jù)當(dāng)前的通信上下文對(duì)非正常的讀寫(xiě)操作進(jìn)行強(qiáng)制審計(jì)，從而發(fā)現(xiàn)有讀寫(xiě)無(wú)關(guān)區(qū)域的行為；而時(shí)間型的隱通道則對(duì)通信雙方的時(shí)間同步要求特別嚴(yán)格，而放寬的時(shí)間閩值又會(huì)不斷降低隱通道的信道容量。

1.2 利用網(wǎng)絡(luò)協(xié)議構(gòu)建隱通道

利用網(wǎng)絡(luò)協(xié)議進(jìn)行隱通道的構(gòu)建實(shí)現(xiàn)的基本都是存儲(chǔ)式的隱通道，如利用TCP數(shù)據(jù)包序號(hào)域構(gòu)建隱通道Cal、利用ICMP選項(xiàng)域構(gòu)建隱通道網(wǎng)、利用DNS協(xié)議的數(shù)據(jù)包構(gòu)建隱通道等，這些方法都是利用填允網(wǎng)絡(luò)協(xié)議中特定字段域的方式來(lái)實(shí)現(xiàn)通信雙力隱匿信息傳輸?shù)模瑯哟嬖谝妆痪W(wǎng)絡(luò)安全審計(jì)設(shè)備（如DPI設(shè)備）識(shí)別的風(fēng)險(xiǎn)。把這種通過(guò)網(wǎng)絡(luò)協(xié)議語(yǔ)法字段元素的填允、修改等方式實(shí)現(xiàn)信息隱匿傳輸，且會(huì)在一定程度上影響正常網(wǎng)絡(luò)協(xié)議語(yǔ)義內(nèi)容傳遞的隱通道稱為影響語(yǔ)義類隱通道。因此還需研究和實(shí)現(xiàn)如何在構(gòu)建隱通道的同時(shí)，不影響網(wǎng)絡(luò)協(xié)議語(yǔ)義正常傳達(dá)的隱通道構(gòu)建方法，此類隱通道稱之為語(yǔ)義透明類隱通道。

2 囚犯問(wèn)題

囚犯問(wèn)題是目前應(yīng)用較為廣泛的實(shí)現(xiàn)信息隱蔽傳輸?shù)哪Ｊ健Ｇ舴竼?wèn)題中，Alice 和 Bob 被分別關(guān)在兩個(gè)監(jiān)獄中，他們?cè)噲D進(jìn)行越獄，但他們之間的信息溝通都要經(jīng)過(guò)看守人Wendy 的監(jiān)管，如果Wendy發(fā)現(xiàn)他們秘密協(xié)商越獄，那么他們將會(huì)被單獨(dú)監(jiān)禁起來(lái)而無(wú)法進(jìn)行溝通，所以 Alice和 Bob 進(jìn)行秘密協(xié)商時(shí)，需要把秘密信息隱藏到傳遞的合法信息之中，防止被 Wendy發(fā)現(xiàn)。1996 年 Handel 等人將囚犯問(wèn)題的應(yīng)用模式引入到計(jì)算機(jī)網(wǎng)絡(luò)的安全傳輸當(dāng)中。Alice 和 Bob 分別是可通信的兩臺(tái)計(jì)算機(jī)，Alice 和 Bob 之間可建立公開(kāi)信道通信，進(jìn)行合法信息的通信，同時(shí)他們之間也可以建立秘密信道，進(jìn)行秘密信息的傳遞。為 Alice 和 Bob 之間的秘密信道模型僅是由Alice 端到 Bob 端的隱蔽信道。早期的隱蔽傳輸信道的定義和使用僅限于操作系統(tǒng)內(nèi)部，主要是針對(duì)操作系統(tǒng)的安全問(wèn)題。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，隱蔽傳輸信道被廣泛應(yīng)用于網(wǎng)絡(luò)信息的隱蔽傳輸中，進(jìn)而形成網(wǎng)絡(luò)隱蔽傳輸信道。網(wǎng)絡(luò)協(xié)議在早期的設(shè)計(jì)過(guò)程中存在一些缺陷，如網(wǎng)絡(luò)協(xié)議首部的冗余字段以及一些不常用到的字段，網(wǎng)絡(luò)檢測(cè)設(shè)備對(duì)這些字段的檢測(cè)和限制比較寬松，可以利用這些字段構(gòu)造網(wǎng)絡(luò)隱蔽信道。因此，網(wǎng)絡(luò)隱蔽信道就可以在正常通信中隱藏利用非法手段添加的非正常信息。

存儲(chǔ)型網(wǎng)絡(luò)隱蔽信道的建立方法一般都是利用網(wǎng)絡(luò)協(xié)議設(shè)計(jì)過(guò)程中存在的不足之處進(jìn)行信息的隱藏。由于防火墻等防護(hù)設(shè)備在對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)時(shí)只注重對(duì)數(shù)據(jù)部分的檢測(cè)，而忽略對(duì)協(xié)議首部的檢測(cè)，因此利用此方法設(shè)計(jì)網(wǎng)絡(luò)隱蔽信道能繞過(guò)防火墻和入侵檢測(cè)系統(tǒng)，達(dá)到對(duì)信息隱蔽傳輸?shù)哪康摹＝⒕W(wǎng)絡(luò)隱蔽信道常用的方法有以下幾種：（1）利用 TCP/IP 協(xié)議首部中一些不用或者很少使用的字段來(lái)隱藏信息；（2）利用數(shù)據(jù)傳輸時(shí)協(xié)議頭中一些必須填充的位（如TCP 數(shù)據(jù)包協(xié)議頭的源端口、序列號(hào)（ISN）以及 IP 協(xié)議數(shù)據(jù)包協(xié)議頭中的源 IP 地址等）來(lái)隱藏信息；（3）通過(guò)第三方合法的主機(jī)或者服務(wù)器進(jìn)行中轉(zhuǎn)來(lái)建立隱蔽信道，利用 ICMP 的回顯請(qǐng)求（ICMP_ECHO）和回顯應(yīng)答（ICMP_ECHOREPLY）建立隱蔽信道[2]。

3 網(wǎng)絡(luò)隱蔽信道存在的條件

很多情況下并不存在網(wǎng)絡(luò)隱蔽信道，因此構(gòu)造網(wǎng)絡(luò)隱蔽信道需要滿足下面的條件：（1）接收者和發(fā)送者必須能夠共同分享信息資源；（2）接收者和發(fā)送者都能夠訪問(wèn)共同分享的信息資源；（3）發(fā)送者必須能修改共同分享的資源的相關(guān)屬性；（4）接收者能夠注意到共享資源的屬性修改的變化；（5）接收者和發(fā)送者必須具備一定的同步機(jī)制。

其中，條件1和2在大部分網(wǎng)絡(luò)環(huán)境中都是存在的。由于網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺陷，網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包能夠作為隱蔽信道的載體，這些數(shù)據(jù)包就是共享資源，而接收方和發(fā)送方一般都有對(duì)這些數(shù)據(jù)包的訪問(wèn)權(quán)限。因此，絕大部分網(wǎng)絡(luò)環(huán)境都為隱蔽信道提供了存在的可能性。至于條件3、條件4和條件5就是如何構(gòu)造網(wǎng)絡(luò)隱蔽信道所需要關(guān)心的問(wèn)題了。

4 結(jié)語(yǔ)

綜上所述，在當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)通信的過(guò)程中，我們要構(gòu)建網(wǎng)絡(luò)隱蔽通道，保證網(wǎng)絡(luò)信息傳遞的安全。

[1]杜源.超寬帶通信技術(shù)在隱蔽通信中的應(yīng)用前景分析[J].電子科學(xué)技術(shù)，2014（5）：14-15.

[2]張令通，羅森林.基于Tch協(xié)議首部的網(wǎng)絡(luò)隱蔽通道技術(shù)研究[J].計(jì)算機(jī)工程與科學(xué)，2014（6）：1072-1076.

TP393.08

A

1009-6434（2016）03-0006-01