（计算机应用技术专业论文）基于多层协议的网络隐通道研究.pdf

硕士论文基于多层协议的网络隐通道研究 摘要 随着计算机网络在各个领域的广泛应用，由互联网与生俱来的开放性、交互性、 资源共享等特点带来的网络安全问题也日益严重。隐通道作为混合攻击的一种手段对 网络安全产生了巨大威胁。通过对隐通道机制的分析和研究，有助于更好的了解网络 攻击方式的内在机制，从而在技术上实现预防网络的入侵攻击，减少网络威胁带来的 危害；此外，网络隐通道也是评估入侵检测系统和防火墙系统安全性能的重要手段。 根据美国国防部t c s e c 标准，开发b 2 级以上的安全系统时需要进行隐通道分析。基 于多层协议的隐通道研究就是在这样的背景下展开的。 本文在介绍隐通道技术及目前发展状况的基础上，详细分析了t c p i p 体系结构 各层协议设计中存在的缺陷，并给出了多个基于单层协议隐通道的实现方法。通过对 基于单层协议隐通道的信道带宽、可靠性、隐蔽性的分析，发现基于单层协议的隐通 道存在带宽较小的缺点，从而提出基于多层协议的隐通道。其基本思想是利用单层协 议中构建隐通道的方法，在t c p i p 的应用层、传输层和网络层各层实现信息隐藏，从 而实现在一个数据包的不同位置同时隐藏多个隐蔽信息。最后，详细介绍了基于t c p 的多层协议隐通道和基于u d p 的多层协议隐通道的设计思想与实现方法。 关键词：隐通道，隐密术，t c p i p ，基于多层协议的隐通道 硕士论文 a b s t r a c t w i t ht h ec o m p u t e rn e t w o r ke x t e n s i v ea p p l i c a t i o ni nm a n yf i e l d s ，n e t w o r ks e c u r i t y b e c o m e sm o r ea n dm o r es e r i o u sb e c a u s eo fo p e n n e s s ，i n t e r a c t i o na n dr e s o u r c es h a r i n go f t h ei n t e r n e t c o v e nc h a n n e l 鹤am e a n so fm i x e da t t a c kb r i n g sg r e a tt h r e a t st on e t w o r k s e c u r i t y i th e l p su st ob e t t e ru n d e r s t a n dt h ei n n e rm e c h a n i s mo fn e t w o r ka t t a c km o d eb y s t u d y i n ga n da n a l y z i n gt h em e c h a n i s mo fc o v e r tc h a n n e l ，s o 勰t or e d u c et h eh a r mt h a tt h e n e t w o r ki n t r u s i o nw i l lb r i n g i na d d i t i o n , n e t w o r kc o v e r tc h a n n e li sa l s ot h ei m p o r t a n t m e a n st oe v a l u a t et h ei n t r u s i o nd e t e c t i o ns y s t e ma n dt h es a f e t yp e r f o r m a n c eo ff i r e w a l l s y s t e m a c c o r d i n gt ot c s e cs t a n d a r do ft h eu s d e f e n s ed e p a r t m e n t ，a n a l y z et oc o v e n c h a n n e li sn e e d e dw h e nd e v e l o p p i n gs e c u r i t ys y s t e ma b o v eo fb 2 n er e s e a r c hb a s e do n m u l t i l a y e rp r o t o c o li s 嬲f o l l o w s b a s e do nt h ei n t r o d u c t i o no ft e c h n o l o g ya n dc u r r e n td e v e l o p m e n to fc o v e nc h a n n e l ， v a r i o u sd e f e c t so ft h et c p i pp r o t o c o la r c h i t e c t u r ea r ea n a l y s i s e di nd e t a i l f i n a l l y , p u t f o r w a r ds e v e r a lm e t h o d so fc o v e r tc h a n n e lb a s e do ns i n g l e l a y e rp r o t o c 0 1 b ya n a l y z i n g b a n d w i d t h , r e l i a b i l i t y , c o n c e a l m e n to fc o v e r tc h a n n e lb a s e do ns i n g l e - l a y e rp r o t o c o l ，t h e r e i st h ep r o b l e mt h a ti t sb a n d w i d t hi ss m a l l t h e r e f o r e ，ac o v e r tc h a n n e lb a s e do nm u l t i - l a y e r p r o t o c o li sd e s i g n e d n ei d e ai st h a tc o n c e a l e di n f o r m a t i o ni sh i d d e ni na p p l i c a t i o nl a y e r , t h et r a n s p o r tl a y e r , n e t w o r kl a y e r i no r d e rt oh i d em u l t i p l ec o n c e a l e di n f o r m a t i o ni n d i f f e r e n tp o s “i o no fap a c k e t f i n a l l y , t w om o d e l so fc o v e r tc h a n n e lb a s e do nt e pa n du d p m u l t i 1 a y e rp r o t o c o la r ei n t r o d u c e di nd e t a i l k e yw o r d s ：c o v e nc h a n n e l ，s t e g a n o g r a p h y , t c p 毋c o v e r t c h a n n e lb a s e do n m u l t i l a y e rp r o t o c o l 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：堡鱼琴 眇7 钳胤汨 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：肄 。7 蝴加 硕士论文基于多层协议的网络隐通道研究 1 绪论 1 1 隐通道研究的意义 随着计算机技术、现代通信技术和网络技术的发展，尤其是i n t e r a c t 的广泛应用， 使人们的工作和生活与计算机网络的联系越来越密切。一方面，计算机网络提供资源 共享、提高系统的可靠性、分布式网络处理和负载均衡的功能，这些功能使得计算机 网络的应用深入到各个领域；另一方面，正是互联网与生俱来的开放性、交互性、分 散性等特点增加了网络系统的脆弱性和网络安全的复杂性。事实上，随着网络资源共 享的加强，网络安全问题也日益突出，网络安全形势不容乐观。特别是随着政府、银 行、企业的上网，有关政治、金融、商务等重要敏感信息在网上被非法窃听、截取、 篡改或毁坏，将给社会带来无法估量的损失。黑客在远程主机上注入木马病毒，通过 操作木马程序控制远程主机，窃取敏感信息。通常木马注入到被入侵的远程主机后， 往往需要和攻击者进行通信，以便将获取的信息传给攻击者，或者接受控制指令。在 受到网络访问控制系统( n a c s ) 的监视下，开辟一条新的通信信道是不现实的，这时 利用隐通道进行通信是一个理想的选择。在正常网络通信中实现隐通道，这一点正好 满足木马程序的必备要素之一：隐蔽性。隐通道也为当前的分布式拒绝服务攻击 ( d d o s ) 提供了机会和方法。没有隐通道，攻击者无法控制用于发起攻击的分布代理， 如果消除了与分布代理的通信能力，也就消除了分布式攻击的威胁。在分级安全网络 系统中，网络中运行的t c p i p 协议很有可能被木马等病毒程序用来构建隐通道，将重 要的数据由信息系统安全保护等级高的主机传送到信息系统安全保护等级低的主机。 综上所述，隐通道作为网络攻击的一种重要手段已经对网络安全产生了巨大威 胁。通过对隐通道机制的分析和研究，有助于更好的了解网络攻击的内在机制，从而 在技术上实现预防网络的入侵攻击，减少网络威胁带来的危害；此外，网络隐通道也 是评估入侵检测系统和防火墙系统安全性能的重要手段【l 】。 1 2 国内外研究现状 目前，国外对于隐通道的研究相对比较成熟。国外研究者已经开发了一些网络 隐通道实现工具及相应检测和处理措施，也提出了比较多的理论和相关模型。国内 在这方面的研究相对较少，对隐通道的研究主要集中在数据库系统和安全操作系统 方面，而对网络中存在的隐通道讨论的较少，还没有出现较好的隐通道实现工具和 成熟而实用的检测方法。 隐通道按照通信双方所使用媒介的不同可以分为两大类【2 l ：存储隐通道和时间隐 1 绪论硕士论文 通道。存储隐通道将共享的全局存储变量或共享的数据结构作为信息传输媒体，时间 隐通道则使用时间参照变量( 在系统需要同步时可将其作为同步变量) 。 目前网络中构建存储隐通道的通用作法是：分析协议的缺陷或漏洞，利用网络协 议中的冗余字段、保留字段、标识字段等构建隐通道。如文1 3 1 中提出的利用t c p i p 协议的服务类型、标识、标志等构建存储隐通道。但目前提出的网络存储型隐通道都 是基于单层协议的隐通道，这种隐通道存在的最大问题就是隐通道带宽较小，没有对 隐藏信息的检错纠错功能。时间隐通道目前常用的实现方法是：隐通道发送方通过改 变发送报文的时间间隔( 时延) ，接收方利用某种检测机制观察到这种变化，从而获 得隐藏信息。如文f 4 】中作者研究了隐蔽时间信道的发送、接收方法和一种二进制隐蔽 时间信道的自适应特性，并在此基础上设计了一个利用二进制隐蔽时间信道进行通信 的系统。 对于隐通道的搜索方法主要有共享资源矩阵法，语义信息流法，基于源代码搜索 和无干扰方法等【1 9 】。其中，共享资源矩阵法又包括普通共享资源矩阵法，改进的共享 资源矩阵法和模块化共享资源矩阵法。这些方法它们都不能完美的解决隐通道问题， 各自都有自己的优势和劣势。文【1 9 】中对隐通道的这四种搜索方法做了详细的分析和 比较。 通过搜索方法检查出的隐通道，必须采取一定的措施消除系统中隐通道构成的安 全威胁。从理论上讲，只要能破坏形成隐通道的必要条件，那么就可以消除隐通道。 目前有以下3 种处理方法：消除法、带宽限制法和审计法1 5 】。如：通过格式化协议头、 固定填充值和对扩张字段进行清除等方法可以消除部分隐通道，这在m a l a n 的文献【6 j 和h a n d l e y 的文献r 7 1 中有所描述。s o h n 等论证了在i p 的i d 或者t c p 的i s n 域用支 持向量机( s v m ) 进行高精度的检测【8 】，作者评估了不同特征的集合，达到高于9 9 的 分类正确率。 目前衡量一个隐通道的优劣主要从隐通道的隐蔽性、鲁棒性、带宽三个方面综合 考虑的。隐蔽性是指隐通道是否容易被发现，这跟构建隐通道时隐藏的信息量的大小 及信息嵌入隐通道前采用的隐写术有关。一般来说，隐藏的信息量越小，隐写算法越 复杂，隐通道的隐蔽性越好。鲁棒性是指隐通道的抗干扰性，一个健壮的隐通道即使 受到了某种入侵检测机制的干扰也能够保证隐通道信息的畅通，或在暂时阻断的情况 下采用某种方式恢复隐通道。带宽是指隐通道传输数据的速率，即在给定时间内通过 隐通道可以传送的信息量，通常以b p s ( 或b s ) 为单位。目前隐通道带宽的计算方法 很多，根据隐通道的类型以及是否考虑噪声，可以有不同的计算公式。 1 3 本文主要研究内容 隐通道( c o v e r tc h a n n e l ) 是指一个用户( 进程) 以违反系统安全策略的方式进 2 硕士论文基于多层协议的网络隐通道研究 行隐蔽的信息传输而不会被系统管理者发现f 9 j 。它通过系统原本不用于数据传送的系 统资源来传送信息，并且这种通信方式往往不被系统的存取控制机制所检测和控制。 隐通道可存在于数据库系统、操作系统、网络环境中，通常把网络环境下构建的隐通 道称为“网络隐通道 。本文研究的网络隐通道机制是基于隐通道技术和隐密术理论， 关于隐通道和隐密术都是属于信息隐藏的范畴，如图1 - 1 所示。本文研究的重点是： 分析目前现有的信息隐藏方法、详细剖析t c p i p 协议族的设计缺陷，并结合网络安全 的相关知识从而设计实现在应用层、传输层和网络层进行信息隐藏的隐通道。文中主 要对t c p i p 体系结构中存在的隐通道分为两大类分析和介绍，即：基于单层协议的 隐通道和基础多层协议的隐通道。基于多层的隐通道是指在协作完成通信的多层协议 中选择若干层来构建隐通道，在每层协议中都建立一个隐通道实现部分信息的隐藏。 当隐通道传输隐蔽信息时，利用隐密术对信息加密不仅实现了对隐藏信息的保护，而 且还增强了隐通道的隐蔽性，减少了隐通道被发现的可能。 信息隐藏 i 厂- r _ t 隐通道 隐密术 匿名 版权标记 厂- 厂- 语言隐密技术隐密 鲁棒版权标记易碎版权标记 i 厂 指纹水印 i 厂 图1 - 1 信息隐藏学科的主要分支i 习 本文通过分析应用层h t t p 、s m t p 、p o p 3 、f t p 协议，传输层t c p 、u d p 协议，网络 层i p 、i c m p 、i g m p 协议的缺陷，详细介绍了利用各协议设计中的缺陷构建基于单层协 议隐通道的方法。通过对基于单层协议隐通道的信道带宽、可靠性、隐蔽性的分析， 发现基于单层协议隐通道存在带宽较小的缺点，从而提出基于多层协议隐通道模型。 详细介绍了基于t c p 的多层协议隐通道和基于u d p 的多层协议隐通道的设计思想与实 现方法。 i 绪论 硕士论文 1 4 本文的组织结构 4 本文共分5 章： 第1 章主要对本课题研究意义、国内外研究现状、本文研究的主要内容、论文的 组织结构进行介绍。 第2 章主要介绍隐通道的定义、分类、最小存在条件、搜索和处理方法，隐写术 的基本概念及原理介绍、约瑟夫环算法。 第3 章重点分析介绍t c p 口体系结构中各层主要协议及其缺陷，详细介绍单层 协议中构建隐通道的方法。 第4 章重点介绍基于t c p i p 体系的多层协议隐通道的基本思想、通用模型、设 计方法与实现步骤。 第5 章对本文的总结和未来的展望 硕士论文基于多层协议的网络隐通道研究 2 隐通道技术概述 2 1 隐通道技术 2 1 1 隐通道的定义 1 9 7 3 年b w l a m p s o n 在发表的“关于限制问题的注解 一文中首次提出隐通道的 概念。文【l o 】中b w l a m p s o n 把隐通道定义为：按常规不会用于传送信息却被利用于泄 漏信息的信息传送渠道。例如，一个程序对系统负载的影响似乎与信息传送渠道无关， 但该程序可以通过改变其对系统负载的影响，利用对系统负载产生的影响带来的变化 情况来向另一个程序暗示某种信息，这种信息泄漏的渠道就属于隐通道【5 1 。此后也有 不同的定义从不同的角度描述隐通道的本质和特性。具体见表2 - 1 ： 表2 一i 隐通道的各种不同定义 提出者隐通道的定义( 描述) s c h a e f e r 隐通道是传输信息存储在描述资源状态的变量中的信息传送通道i l l l ； ( 1 9 7 7 年) h u s k a m p 隐通道是资源分配策略和管理执行结合的结剁1 2 1 ( 1 9 7 8 年) k e m m e r e r 隐通道是使用实体，不是通常所认为的数据对象在一个对象到另一个 ( 1 9 8 3 年) 对象之间传递信息【1 3 1 ； 假设一个特定的安全模型体系m 和在某个操作系统上的解释i ( m ) ，任 t s a i 取i ( m ) 中的两个对象i ( s - ) 和i ( s t ) 当且仅当对象s - 和s t 的任何 ( 1 9 9 0 年) 通信在模型m 中都是不合法的，那么可以称对象i ( s t ) 和i ( s 。) 之间的 通信通道为隐通道【1 4 】； 综上，本文对隐通道的定义归纳总结如下： 隐通道是指一个用户或进程违背系统设计者的意愿和初衷，以违反系统安全策略 的方式被用来传输信息的信道。该信道虽然可以传输信息，但它并非系统设计者设计 用于传送信息的通道；因此系统安全策略没有对这种通道实施控制，从而使得进程之 间可以利用这些通道以违反安全策略的方式传递信息。 从上面的定义可以看出隐通道与信息隐藏不同，信息隐藏是指通信双方利用完全 被系统安全允许的正常通信信道交换信息( 隐藏的秘密信息) 。而建立隐通道的双方 是禁止利用正常的通信信道进行通信的。因此建立隐通道的双方可以利用一个被系统 安全策略允许的通信信道( 公开信道) 作为隐藏信息的载体，从而实现把隐藏信息传 输到接收端，接收端再通过一定的检测方法获取隐藏信息，如图2 - 1 所示( 图2 - 1 2 隐通道技术概述 硕士论文 是对文【l 5 】中有关隐通道图的改进) 。从图中可以看出，这样构建的隐通道有公开信道 作“保护伞 ，所以很难被系统入侵检测机制( i d s ) 检测到。 共享资源 发接 送 l j 、 隐通道 4 j 、 收 r _ 1 广l ， 端端 公开信道 图2 - 1 隐通道的概念图 2 1 2 隐通道的分类 隐通道可以从不同的角度，按照不同的分类方式进行如下分类： 1 存储隐通道和时间隐通道1 5 】 目前隐通道最常见的一种分类方式就是区分存储隐通道和时间隐通道，从理论上 讲二者没有本质的区别。1 9 7 5 年l i p n e r 提出根据双发通信所使用媒介的不同可以将 隐蔽信道划分为隐蔽存储信道和隐蔽时间信道两大类【1 6 】。当系统中一个进程直接或间 接地写一个存储单元，另一个进程直接或间接地读该存储单元，则称这种隐蔽信道为 存储隐通道【4 1 。 例如，操作系统中进程s ( s e n d ) 与进程a ( a c c e p t ) 之间不能直接通信，但进程 s 与进程a 有一共同可访问的资源文件系统。进程s 想发送一条消息给进程a ， 用存储隐通道方式实现通信过程如下： ( 1 ) 进程s 在两进程都能读的一个目录中创建一个名为“s e n d ”的文件。 ( 2 ) 进程a 要读消息前，a 删除文件“s e n d ，从而进入同步状态。 ( 3 ) 进程s 创建一个文件，命名为0 b i t 或者1 b i t 来代表要传输的比特。 ( 4 ) 进程a 记录这个比特，并删除这个文件。 ( 5 ) ( 6 ) 最后进程s 创建一个名为“e n d 的文件，通信结束。 当系统中一个进程通过调整系统资源的使用时间从而影响另外一个进程实际的 响应时间，实现一个进程向另一个进程传递信息，则称这种隐通道为时间隐通道【4 1 。 例如，网络中通信的两终端，发送端可以通过改变发送数据包的包间延时来调n - 进 制信号从而实现对信息的隐藏，接收端通过检测包间延时规律性的变化获取隐蔽信 息，利用这种方式在两终端之间构建的就是时间隐通道。 存储隐通道将共享的全局存储变量或共享的数据结构作为信息传输媒体，时间隐 通道则使用时间参照变量( 在系统需要同步时可将其作为同步变量) 【4 】。 6 硕士论文基于多层协议的网络隐通道研究 2 无噪声隐通道与有噪声隐通道【5 】 任何通信信道都可以分为无噪声信道和有噪声信道两大类，隐通道也不例外。在 隐通道中，根据信息发送方传输的符号是否能够被接收方正确接收，它分为无噪声隐 通道和有噪声隐通道。无噪声隐通道是指：对发送进程传送的任意比特，接收进程都 能以概率1 正确地解码，则称该信道为无噪声隐通道。反之，对发送进程传送的任意 比特，接收进程能够正确解码的概率小于1 则称该隐通道为有噪声隐通道【4 】。 对于有噪声隐通道可以通过纠错码将其转变成无噪声隐通道，网络通信中常用的 纠检错码有奇偶校验码、汉明码及其改进码等。但值得注意的是通常情况下这种转变 是以降低隐通道带宽为代价的，因为纠错码本身也要占用比特位。因此在构建隐通道 时往往不采用纠错码而是采用占位较少的检错码或直接利用协议本身的校验和等对 携带隐藏信息的载体进行检错，当接收端检测到发送端发送的信息有误时，直接将包 丢弃，请求重发。 3 单一隐通道和聚合隐通道【5 】 根据隐通道所影响的数据变量是否单一，又将其分为单一隐通道和聚合隐通道。 单一隐通道仅影响单独的数据变量。但是，由于发送方与接收方使用的同步变量或信 息可能对复合数据变量进行操作，一些隐通道使用一组复合数据变量。这些变量可能 相互独立，它们共同完成信息同步等功能，这类隐通道被称为聚合隐通道f 5 】。通信双 方为获得最大带宽可以将通信信道以串行并行的方式进行聚合，或者以串行或并行 的方式聚合。 串行聚合方式是指所有的数据变量被连续的设置、重置和读取。并行聚合方式指 所有的数据变量被多个发送端和接收端并行设置、重置和读取。 4 基于通信双方在网络中的位置的分类方法【4 】 根据隐蔽信息的接收方和发送方是否是报文( 隐蔽信息的载体) 的发送者或接收 者，隐通道存在以下四种方式，见表2 2 ： 表2 - 2 根据通信双方在网络位置对隐通道分类 通信双方位置特点 隐蔽信息的发送方和报文( 隐蔽信息的载体) 的发送方在同一个 发送端 接收端 主机上，隐蔽信息的接收者和报文的接收者也在同一个主机上。 隐蔽信息的发送方和报文( 隐蔽信息的载体) 的发送方在同一个 主机上。然而，隐蔽信息的接收者和报文的接收者不在同一个 发送端 中间节点 主机上，隐蔽信息的接收者在报文所经过的路径上的某一节点 上。 隐蔽信息的发送方和报文( 隐蔽信息的载体) 的发送者不在同一 中间节点 发送端 个主机上。隐蔽信息的发送者在报文所经过的路径上的某一节 7 2 隐通道技术概述硕士论文 点上，隐蔽信息的接收者和报文的接收者也在同一个主机上。 隐蔽信息的发送方和接收方都不是报文( 隐蔽信息的载体) 的发 中间节点 中间节点送方和接收方。隐蔽信息的发送方和接收方都在报文所经过的 中间节点上。 2 1 3 隐通道的最小存在条件 l i p n e r 按照通信双方存放信息的方式把隐通道分为存储隐通道和时间隐通道。 在随后对隐通道的研究过程中，k c m m e r c r 给出了操作系统中隐通道存在的必要条件。 存储隐通道存在必须满足的最小条件【l ”： ( 1 ) 发送进程与接收进程都具有访问一个共享资源的同一属性的权限； ( 2 ) 发送进程可以修改一个共享资源的属性： ( 3 ) 接收进程可以检测该共享资源属性的改变； ( 4 ) 存在某种机制，能够启动发送进程与接收进程之间的通信，且使通信同步； k e m m e r e r 给出的时间隐通道存在必须满足的最小条件【1 7 】： ( 1 ) 发送进程与接收进程都具有访问一个共享资源的同一属性的权限； ( 2 ) 发送进程与接收进程都具有访问一个参考时钟，例如实时时钟的权限； ( 3 ) 发送进程能够调节接收进程检测共享资源属性变化所需的响应时间： ( 4 ) 存在某种机制，能够启动发送进程与接收进程之间的通信，且通信同步； 在k e m m e r e r 对操作系统中存在隐通道的最小必要条件进行分析、总结后得到隐 通道的存在二个要素：利用隐通道进行通信的双方必须对同一个资源进行访问； 信息发送方对共享资源的改变，接收端能通过某种检测方式获知共享资源的改变。由 此二要素可以推出网络中隐蔽信道存在的必要条件【4 】： 1 隐通道的发送方和接收方必须能够访问网络中的同一个客体； 2 隐通道的发送方必须能够改变客体，即实现在客体中隐藏信息； 3 隐通道的接收方能够检测到客体的变化，也就是可以将客体还原，将隐藏的信 息解读出来； 4 在发送方与接收方之间必须有同步机制； 在网络时间隐通道中，“客体 指的就是报文的时间特性。在网络存储隐通道中， 客体指的是发送的报文或具体的某些协议数据包。 2 1 4 隐通道的搜索方法 在隐通道的研究中，对隐通道分析主要按照隐通道搜索、隐通道审计和隐通道消 除的步骤进行。隐通道的搜索方法是指用于找出系统设计和实现中存在隐通道的搜索 方法。它是隐通道分析的一个关键步骤，对于隐通道的搜索国外一些专家和学者已经 提出的影响较大的方法有：信息流分析法【瑚、无干扰分析法【1 纠、共享资源矩阵法 2 0 l 、 r 硕士论文基于多层协议的网络隐通道研究 隐蔽流树法【2 1 1 、基于源代码的搜索方法瞄】。下面对这些方法的详见介绍： 1 信息流分析法i 嵋，2 习 信息流分析( s y n t a c t i ci n f o r m a t i o n - f l o wa n a l y s i s ) ，是将信息流文法同每 一条实现语言的语句相联系瞄】。检查每一条实现语句是否符合完整的程序或t c b 原语 设计中对信息流的策略，如果不符合即有可能会存在隐通道。该搜索方法的优点是： 用一种相对简单的方法自动实现；既可用于顶级形式化描述规范也可用于源代码分 析；适用于以逐步递增的方式用于单个函数和t c b 原语；在特定的规范描述( 或代码) 中，不会漏检任何可能导致隐通道的信息流向。缺点：找出错误的非法信息流( 需要 额外通过手工语义分析来消除) ；不适于非形式化说明；不能帮助确定放置隐通道处 理代码的t c b 位置。 2 基于源代码搜索瞰2 5 】 基于源代码的搜索就是根据原语间共享变量的可见性和可修改性的分析结果，来 判断系统中是否存在隐通道，从而进行搜索工作的【2 4 1 。该搜索方法的优点是：可用于 所有已经实现的系统，克服了有些系统缺少顶级形式化描述规范的问题。缺点：代码 量巨大，涉及的变量众多，程序流程复杂，即便在系统开发过程遵循良好的软件工程 规范，依然很难理解；系统实现后的分析，不便于重新设计系统或部分修改设计以消 除和限制隐通道。 3 无干扰分析法【1 踞5 j 该搜索方法的优点是：用于t c b 顶级形式化描述规范也可用于源代码；避免发现 假的非法信息流；可增量地用于单个的t c b 函数和原语。缺点：可以基于形式化的t c b 顶级描述，也可以基于源代码，但只能基于两者之一，而不能同时对这两者进行分析； 对于较大规模的t c b 来说，手工适用无干扰分析法不大可行；无干扰分析是“乐观的， 也就是说，它假定在t c b 描述或源代码中不出现干扰。 4 共享资源矩阵法【2 2 5 】 共享资源矩阵( s h a r e dr e s o u r c em a r i xm e t h o r d ，s r m ) 的实现一般按下面步骤： 首先，分析所有形式化或非形式化、源码所构成的t c b 语言，构造共享资源矩阵；接 下来对构成共享资源矩阵的条目逐条进行闭环操作；对上一步闭环操作产生的矩阵进 行分析，判断可能存在隐通道的若干情况；根据上一步发现潜在隐通道的结果，分析 隐通道可能涉及的元素。该搜索方法的优点是：可用于形式化或非形式化t c b 软硬件 规范，也可用于t c b 源代码；对时间隐通道和存储隐通道皆适用；矩阵中的内部t c b 变量不要求分配安全级别。缺点：证明个别的t c b 原语是安全的，这就导致系统中增 加分析新的t c b 功能的复杂性；共享资源矩阵方法发现的某些潜在隐通道有可能被信 息流分析法自动消除；使用共享资源矩阵法对t c b 源代码进行隐通道分析很容易出错； 以上隐通道搜索方法都有自己的优点和缺点，目前使用较广泛的是共享资源矩阵 9 2 隐通道技术概述 硕士论文 法，如果希望达到比较理想的搜索效果，往往需要多种方法相结合优势互补来达到。 2 1 5 隐通道的审计和处理 隐通道审计就是评估系统中的隐通道对系统安全的危害程度。专家们在研究中发 现，许多隐通道虽然存在，但在一定条件下，它们并不会对系统安全造成危害。所以 在搜索出系统中潜在的隐通道之后，就必须评估隐通道对系统安全所构成的威胁程 度。审计工作一般可采用两种度量标准：“带宽 和“小消息标准 ，其中以“带宽 作为度量隐通道危害程度的标准最为常用【2 6 加。下面分别加以说明： 带宽【2 6 ，2 7 1 带宽是指隐通道传输数据的速率，在给定时间通过隐通道可以传送的信息量，通 常以b p s ( 或b s ) 为单位。这个标准比较适用于较长时间内大量数据泄漏的情况。在实 际应用中，怎样处理隐通道在很大程度上取决于隐通道的带宽。带宽越高，单位时间 内泄露的信息量就越多，对系统的安全性威胁就越大。在t c s e c 标准中规定，带宽在 l b s 及其以下的隐通道无需任何处理，带宽在l o o b s 及以上的隐通道必须作消除处 理。而带宽介于两者之间的隐通道，则依据审计的结论而定。 影响隐通道带宽计算的因素很多，其中最重要的有：( 1 ) 噪音与延迟。对于任何操 作系统、硬件平台、网络系统，噪音与延迟都是影响带宽计算的两个最重要的因素。 网络隐通道带宽估算要先分析数据隐藏的花费，包括传输隐藏数据包的时间花费和数 据包首部分析的时间。( 2 ) 编码与符号分布。最大可达带宽依赖于符号编码方案的选 择。 小消息标准 2 6 2 7 由于通道容量是一个渐近的定义，适用于一段较长时间内发送一个很大文件的情 况。当待传送的信息比较短时，为了得到可以容忍的传送度量，k a n ga n dm o s k o w i t z 提出了“小消息标准 1 2 8 】。 小消息标准s m c 依赖于一个三元组( n ，t ，r ) 其中，n 表示信息的长度，t 是传送所 需的时间，r 是指信息的保真度。即：是否存在一个闭值，使得在该闭值之内这个降 级的少量信息对系统安全不构成威胁。当系统中存在隐通道时，通过s m c 可以给出一 个可以容忍的隐式泄漏的标准。在对整个系统安全进行分析时，小消息标准必须与容 量结合在一起使用。 隐通道处理就是采取一定的措施消除系统中隐通道构成的安全威胁。一般来说， 常用的隐通道处理方法有3 种，即消除法、带宽限制法和审计法。基本原则是：设法 消除一切隐通道。从理论上讲，只要能打破形成某一隐通道的必要条件，那么就可以 消除这一隐通道。对隐通道进行消除的前提是必须保证系统正确运行，且不能导致系 统性能的显著下降。下面具体介绍隐通道常用的3 种处理方法： l o 硕士论文基于多层协议的网络隐通道研究 消除法【2 8 捌 彻底消除隐通道需要改变系统的设计或实施，这些改变包括： 通过预先给所有参与者分配所需资源的最大数量，或者以每个安全级为基础分隔 资源，来消除任何潜在的隐通道参与者之间的资源共享。 消除任何潜在的会导致隐通道的接口、特征和机制。理论上该方法可以保证系统 中完全不存在隐通道的威胁，但是实际应用中，如果完全取消不同级别间的资源 共享，代价很大，会显著降低系统性能和资源利用率。 带宽限制法【勰j 9 1 带宽限制法是隐通道处理中最常用的方法，这种策略是事先设定可以接受的闺 值，将隐通道的最大带宽或平均带宽降低到阈值以下。一般采用以下两个途径限制带 宽：故意引入噪声和故意引入延迟【4 j 。 在实际应用中，采用第一种途径的技术比较多。例如，对磁盘空间、进程标识的 索引等共享资源引入外来程序从而以一种随机的模式修改隐通道变量。第二种方法是 通过故意引入延迟来限制隐通道带宽。例如，在网络中可以采用随机延迟设置机制故 意引入延迟，减小了报文的发送时间和接收时间的相关性，使发送方不能准确的估计 报文的发送时间，接收方也不能准确的测量报文的接收时间，从而降低隐通道的带宽。 审计法【2 8 j 9 1 审计法是一种威慑方法，在t c s e c 中只要求提供隐通道审计的能力，而不是隐通 道被实际审计。它假定审计机制能明确检测到系统中隐通道被使用情况，因此可以确 保检测到任何非授权使用隐通道的用户。进行隐通道审计需要在审计追踪中记录足够 的数据以便标识，该方法的困难之处在于【4 】：( 1 ) 很难区分哪些进程通信对系统无威 胁，哪些对系统有威胁；( 2 ) 很难区分隐通道中的隐蔽信息发送者和接收者，以及它 们的位置。 2 2 隐密术 2 2 1 隐密术定义 隐密术又被称之为隐写术，是信息隐藏中一个重要的子学科，不同于密码学中对 信息内容的保护。隐密术一词来源于希腊语，其对应的英文意思是“c o v e r e dw r i t i n g 。它是一门将秘密信息嵌入到看似平常的信息中进行传送，以防止第三方检测出秘密 信息的技术。隐密术着眼于隐藏信息本身的存在。隐密术和密码技术的主要区别在于： 密码技术隐藏了信息的“内容”，隐密术隐藏了信息的“存在”。隐密术中载体在隐 写前后没有很大的变化，不容易引起攻击者的注意，从而保证了信息的安全性。在实 际应用中，可以将密码技术和隐密术相结合，这样不仅可以保证信息本身的安全也可 2 隐通道技术概述硕士论文 以保证传送过程的隐蔽性。 2 2 2 隐密术的基本原理 一个通用的隐密系统可以简单地描述为：待隐藏的加密信息( 隐写对象m e s s a g e ) 在密钥( k e y ) 的控制下，通过隐藏算法将隐写对象藏于掩护媒体( c o v e r ) 中形成隐写载 体( s t e g oc o v e r ) ，隐写载体通过公开的通道进行传送，在终端利用密钥从隐写载体 中恢复出隐写对象的过程【3 0 】。如 2 - 2 所示： 图2 2 隐密术的基本原理嗍 目前对欲嵌入的隐写信息m 在嵌入前进行预处理具体包括加密、编码等操作， 掩护媒体a 可以包括文本、图像、音频和视频等多种格式的多媒体。由于新的嵌入算 法层出不穷，因此隐密术也在不断地发展变化从而为检测隐密术带来许多不确定因 素。由于掩护媒体不同，进而信息隐藏时表现出的特点也有不同。如表2 3 所示： 表2 - 3 不同掩护媒体进行信息隐藏 掩护媒体a信息隐藏的特点 信息隐藏通常利用文本的空白区域；可利用的冗余位小， 文本 只适合隐藏少量隐蔽信息。 隐藏位置通常是人类视觉对数字图像的不敏感区域；该 图像、视频 媒体的可用冗余度大，适合携带隐藏信息。 信息隐藏通常利用人耳听觉对数字信号细小改变的不敏 音频 感性；该媒体的可用冗余度大，适合携带隐藏信息。 结合本文的研究重点，本文主要讨论的掩护媒体是t c p i p 协议族的数据包。由 上述分析可见，就是要找到一个合适的隐藏算法f u n c 使得掩护媒体a 和隐写载体b 表现的特性差别不大。 目前较为成熟的隐写算法多数应用于图像隐藏方面，例如：基于a r n o l d 变换隐 写术、灰度图像l s b ( l e a s ts i g n i f i c a n tb i t ) 隐写术、基于s v m ( s u p p o r tv e c t o r m a c h i n e ) 的隐写术等，通过研究分析上述算法在嵌入隐藏信息时需要的冗余比特位较 多，在本文讨论的隐通道应用中有一定的局限性。文【5 】中介绍了一种数据结构中的编 码算法一约瑟夫环算法，此算法适合在t c p i p 协议包中隐藏信息，且本文后面将 采用该算法对隐藏信息进行编码。 1 2 硕士论文基于多层协议的网络隐通道研究 2 2 3 约瑟夫环 约瑟夫环问题( j o s e p h u sp r o b l e m ) 是在公元6 7 年罗马进占叙利亚、巴勒斯坦，设 立罗马省时期，当时战争中一位口q j o s e p h u s 的军官想出来的【3 l 】。约瑟夫( j o s e p h ) 问题的一种简单描述是【3 2 1 ：编号为1 ，2 ，n 的n 个人按顺时针方向围坐一圈，每人 持有一个密码( 正整数) 。一开始任选一个正整数作为报数上限值m ，从第一个人开始 按顺时针方向自1 开始顺序报数，报到m 时停止报数。报m 的人出列，从他在顺时针方 向上的下一个人开始重新从1 报数，如此下去，直至所有人全部出列为止。另外一种 更复杂的描述方法是【3 2 】：报m 的人出列，将他的密码作为新的m 值，从他在顺时针方向 上的下一个人起重新从1 报数。如此下去，直到所有人全部出列为止。为了降低对隐 藏信息编码和解码的复杂度，本文对约瑟夫问题的处理采用第一种描述方法，即m 为 定值。 根据约瑟夫环的简单描述，对于一个包含n 个元素的序列l ，以m ( 定值) 为报数 上限时，按顺序出环后生成的序列做如下的定义【3 3 j ： j ( n ，m ，i ) ( n 1 ，m 1 ，1 i n ) l ( n ，m ) = j ( r l ，i n ，1 ) ，j ( r l ，i i i ，2 ) ，j ( n ，1 1 1 ，1 3 ) ) l ( n ，i i i ，k ) = j ( n ，i n ，k ) ( 1 k n ) j ( n ，m ，i ) 表示第i 个元素被出环，l ( n ，m ) 表示1 3 个元素在以m 为报数上限时按顺 序出环后生成的序列。 以n = 6 ，m = 4 为例，出环过程如图2 - 3 所示。图中所示的出环序列l ( 6 ，4 ) = j ( 6 ，4 ，1 ) ，j ( 6 ，4 ，2 ) ，j ( 6 ，4 ，3 ) ，j ( 6 ，4 ，4 ) ，j ( 6 ，4 ，5 ) ，j ( 6 ， 4 ，6 ) ) = 4 ，2 ，l ，3 ，6 ，5 ) 。 i = 1 ，j ( 6 ，4 ，1 ) = 4 i = 2 ，j ( 6 ，4 ，2 ) = 2 i = 3 ，j ( 6 ，4 ，3 ) = 1 i = 4 ，j ( 6 ，4 ，4 ) 3i = 5 ，j ( 6 ，4 ，5 ) - = 6i = 6 ，j ( 6 ，4 ，6 ) = 5 图2 3 约瑟夫环出环序列n = 6 ，m = 4 1 3 2 隐通道技术概述 硕士论文 约瑟夫环的伪代码描述如下： t y p e d e f s t r u c tn o d e d a t a t y p ed a t a ； s t r u c tn o d e n e x t ； ) l n o d e ； 结点结构定义 v o i dj o s e p h r i n g ( l n o d e 幸h e a d ，i n tm ) 对带头结点单循环链表h e a d ，初始值为m 的约瑟夫环问题函数+ f l n o d e p r e ，c u r r ； i n ti ； p r e = h e a d ； c u r r = h e a d - n e x t ； w h i l e ( l n o t e m p t y ( h e a d ) 一1 ) 严链表非空 f o r ( i _ l ；i n e x t ； i f ( c u r t = = = h e a d ) p r e 2 c u r r ；c t l r r = c u r r - n e x t ； ) p r i n t f ( ”d ”，c u r r - d a t a n u m b e r ) ； m = c u r r - d a t a c i p h e r ； c u l t = c u r r - n e x t ； i f ( c u r t = = = h e a d ) c u l t = c u r r - n e x t ； l d e l e t e a f t e r ( p r e ) ； 木删除p r e 指针所指结点的下一个结点木 在进行信息隐藏时需要选择序列的数目n ，出环规则参数m ，根据值n 和m 可以生成 一随机序列l ( n ，) 。为了增强信息的隐蔽性，通信双方可以不定期的变更参数r l 和m 的值，从而得到离散的随机序列。这样无规律可循的序列，即使信息被第三方截获也 很难破解。而对于隐藏信息的接收方，只要知道参数n 和m 就可以按照下面的步骤解码 【4 l ：根据r l 和m 值，对获取的编码结果同样利用循环链表进行处理，即可得到编码前 的表示；根据编解码的事先约定，可以知道解码后的表示对应的字符完成解码过 程。 1 4 硕士论文 基于多层协议的网络隐通道研究 2 3 小结 本章首先介绍隐通道技术的一些基本理论，详细介绍了隐通道的搜索方法、隐 通道的审计和处理方法。接着对本文中涉及的隐密术理论知识进行了简单的介绍，详 细介