網絡數據通信的隱蔽通道技術
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了網絡數據通信的隱蔽通道技術范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:本文介紹了隱蔽通道的定義,并對隱蔽通道的工作原理及類型進行的闡述,最后解釋了隱蔽通道實現的方法,以期能夠為更好的了解和利用這一技術提供有益借鑒。
1隱蔽通道的定義
隱蔽通道這一概念最早是由Lampson于1973年提出來的,并將其定義為:并非專門設計或者原本并非是用作信息傳輸的通信信道。最開始的時候Lampson研究的重點是操作系統中程序的限制,他所給出的這一定位并未將隱蔽通道的本質全面客觀的反映出來。隨后,Tsai與Gligor等人又提出了一個新的定義,該定義如下:給定一個強制安全策略模型M,與其在同一操作系統中的解釋I(M),I(M)內的兩個主體I(Si)以及I(Sj)之間所有的潛在通道皆為隱蔽的,只有且僅有模型M內的相應主體Si與Sj之間所有的通信于M內皆為非法。在部署有強制訪問控制機制的安全操作系統、安全數據庫以及完全網絡中,隱蔽通道技術被廣泛應用。當前,關于隱蔽通道這一概念的定義,比較有代表性的定義如下:其是指一個把信息隱藏于公開通訊媒介之內的通訊信道,在這一信道中,其對外公開的信息僅僅是作為秘密信息的載體而存在的,主要通過隱蔽通道傳輸那些秘密信息。
2網絡隱蔽通道的分類與工作原理
2.1網絡隱蔽通道分類
從網絡安全等級方面來看,網絡隱蔽通道可以分為多級安全網絡隱蔽通道與普通網絡隱蔽通道。前者指的是不同安全等級的主機分布在安全等級不同的安全域中,通常情況下入侵者會從高安全級別的主機竊取信息,然后傳至低安全級別的主機;后者指的是在普通網絡中不存在安全級別的劃分,信道兩端的主機被準許通信,需要在公開被允許的通信鏈路上構建隱蔽通道完成隱秘通信,該信道與我們日常生活中使用的網絡最為接近[1]。根據傳統操作系統中隱蔽通道的劃分,其又可以被分為存儲隱蔽通道與時間隱蔽通道。前者主要是各類協議數據包內加載信息,通常情況下,為了完成隱蔽傳輸,把信息附加于不經常使用的數據字段內,主要包括未使用的IP頭字段、IP頭擴展與填充段、IP標識與碎片偏移等。后者則是通過運用網絡中數據包的時間特性來表達信息,該類時間特性主要有數據包的發送時間、到達時間、時間間隔等。
2.2網絡隱蔽通道工作原理
在網絡隱蔽通道中,主要包括兩個重要的因素,信息發送者與信息接受者,信息發送者把消息根據提前商定的某種編碼規則予以變換,把需要隱蔽傳輸的信息轉化為網絡對象的某種特性,以完成信息的隱藏,也即是信息的嵌入,進而利用公開信道把這些隱蔽信息傳至被保護網絡以外的接受者。網絡對象可以包括TCP/IP封包、應用層請求等內容,對象的屬性則可以包括部分字段、包間隔時間、數據包序列等內容。接受者通過公開信道獲得需要的信息,按照提前商定的解碼方式分析數據包,對隱藏的信息進行抽取,以完成隱秘通信這一過程。
3隱蔽通道的實現方法
由于使用的編碼對象存在差異,隱蔽信息可以選擇不同的編碼方式,比較常用的方法包括以下幾種[2]:(1)LSB位調制方式。在IP包頭內的IPID抑或TOS字段內的最低有效位,所有其他宿主協議的非關鍵傳輸位皆可用作隱蔽信息的編碼。該種編碼方式的主要缺點在于其二進制類型的字段調制會使得隱蔽通道帶寬是單位,在具體的實踐中效率太低。(2)直接構造方式。精心構造協議包頭內不常用或能夠擴展的字段,必要的時候直接添加新字段,實現隱蔽信息的傳輸。比如,IPID在諸多系統中皆為隨機生成,因此用其構造隱蔽信息編碼是非常合適的,除此之外,還可以通過在HTTP包頭內添加新字段的方式實現。(3)重新排序方式。例如發送者可以將HTTP頭包內的Host與Connection這兩個字段的位置進行調整,根據提前商定的順序,Host在前時用數字1表示,在后時用數字0表示。(4)變換大小寫方式。由于HTTP協議關于大小寫并不十分敏感,因此可以對屬性名稱進行大小寫變換,將大寫用數字0來表示,將小寫用數字1來表示。(5)對象映射方式。該種方法直接把網絡包頭內的屬性對象映射成二進制數位。比如將域名當作數位標識,發送者同攻擊者提前商定八個未曾使用的域名,發送者根據需要編碼的內容發送請求查詢,比如要發送的信息是10010010,就對應查詢相應的域名,這些域名具有一定的特殊性,內網本地DNS服務器必然不存在緩存,所以就會通過公網DNS服務器進行查詢,這就使得公網DNS服務器內將這些域名的解析結果緩存起來。接受者向公網發送上述八個域名的查詢請求,如果某一域名存在解析結果,則其對應的位數是1,這樣就完成了信息的隱蔽傳輸。
4結語
綜上所述,本文關于隱蔽通道技術的討論僅僅是基于網絡層、傳輸層以及應用層建構起來的隱蔽通信,在信息技術不斷發展的歷史背景下,將會誕生更加先進的隱蔽通道技術,這些新技術的誕生將會給網絡數據通信的發展創造更加良好的環境。
參考文獻
[1]王釗.網絡數據通信中的隱蔽通道技術[J].信息通信,2016(08):228-229.
[2]王傳林,符易陽.網絡隱蔽通道及其識別技術研究[J].現代電子技術,2009(15):41-44.
作者:劉正 單位:中國電信股份有限公司貴州分公司政企客戶事業部
