网络数据通信中的隐蔽通道技术研究
2016-01-02 02:01郝志宇
移动信息 2016年3期
郝志宇
网络数据通信中的隐蔽通道技术研究
郝志宇
中国移动通信集团设计院有限公司新疆分公司,新疆 乌鲁木齐 830011
随着网络数据传输数量的不断增加,对数据传输过程中的保密性能提出了更高的要求。隐蔽通道能通过技术手段对信息进行保密处理,在此就其隐蔽通道技术进行阐述。
网络数据;数据传输;隐蔽通道技术
在当前网络信息传递的过程,需要我们采取相关的安全措施来保证信心传递的安全。
1 隐通道构建
1.1 隐通道构建方法分类
隐通道的分类可以从不同角度进行,一般分为存储隐通道和时间隐通道、无噪声隐通道和有噪声隐通道、单一隐通道和聚合隐通道。其中将隐通道分为存储隐通道和时间隐通道具有较强的代表性。当系统中的某个进程以一定的方式向一个存储单元进行了写操作,而另外的进程则直接或间接地从这个存储单元中读取数据,则这种隐藏信息传输的方式被称为存储隐通道图;而当系统中某一个进程通过调整系统资源的使用时间从而影响另外进程的实际响应时间,从而实现由一个进程向另外一个进程的信息传输,则这种隐藏信息传输的方式被称为时间隐通道图。由此可以看出,存储隐通道利用的是通信双方共享的全局存储变量或数据结构,而时间隐通道利用的则是时间参量的变化。但归结起来,两类隐通道的建立都利用了通信双方处于一定相同空间和时间维度内的事实[1]。
从现有的隐通道构建方法来看,两类隐通道的构建方法都存在一些问题。存储型隐通道中向通信双力-共享的存储单元读写要传输的隐匿信息容易被越来越发达的安全审计设备识别,如利用冗余存储空间进行隐匿信息传递,审计设备就会依据当前的通信上下文对非正常的读写操作进行强制审计,从而发现有读写无关区域的行为;而时间型的隐通道则对通信双方的时间同步要求特别严格,而放宽的时间闽值又会不断降低隐通道的信道容量。
1.2 利用网络协议构建隐通道
利用网络协议进行隐通道的构建实现的基本都是存储式的隐通道,如利用TCP数据包序号域构建隐通道Cal、利用ICMP选项域构建隐通道网、利用DNS协议的数据包构建隐通道等,这些方法都是利用填允网络协议中特定字段域的方式来实现通信双力隐匿信息传输的,同样存在易被网络安全审计设备(如DPI设备)识别的风险。把这种通过网络协议语法字段元素的填允、修改等方式实现信息隐匿传输,且会在一定程度上影响正常网络协议语义内容传递的隐通道称为影响语义类隐通道。因此还需研究和实现如何在构建隐通道的同时,不影响网络协议语义正常传达的隐通道构建方法,此类隐通道称之为语义透明类隐通道。
2 囚犯问题
囚犯问题是目前应用较为广泛的实现信息隐蔽传输的模式。囚犯问题中,Alice 和 Bob 被分别关在两个监狱中,他们试图进行越狱,但他们之间的信息沟通都要经过看守人Wendy 的监管,如果Wendy发现他们秘密协商越狱,那么他们将会被单独监禁起来而无法进行沟通,所以 Alice和 Bob 进行秘密协商时,需要把秘密信息隐藏到传递的合法信息之中,防止被 Wendy发现。1996 年 Handel 等人将囚犯问题的应用模式引入到计算机网络的安全传输当中。Alice 和 Bob 分别是可通信的两台计算机,Alice 和 Bob 之间可建立公开信道通信,进行合法信息的通信,同时他们之间也可以建立秘密信道,进行秘密信息的传递。为 Alice 和 Bob 之间的秘密信道模型仅是由Alice 端到 Bob 端的隐蔽信道。早期的隐蔽传输信道的定义和使用仅限于操作系统内部,主要是针对操作系统的安全问题。随着网络技术的快速发展,隐蔽传输信道被广泛应用于网络信息的隐蔽传输中,进而形成网络隐蔽传输信道。网络协议在早期的设计过程中存在一些缺陷,如网络协议首部的冗余字段以及一些不常用到的字段,网络检测设备对这些字段的检测和限制比较宽松,可以利用这些字段构造网络隐蔽信道。因此,网络隐蔽信道就可以在正常通信中隐藏利用非法手段添加的非正常信息。
存储型网络隐蔽信道的建立方法一般都是利用网络协议设计过程中存在的不足之处进行信息的隐藏。由于防火墙等防护设备在对数据包进行检测时只注重对数据部分的检测,而忽略对协议首部的检测,因此利用此方法设计网络隐蔽信道能绕过防火墙和入侵检测系统,达到对信息隐蔽传输的目的。建立网络隐蔽信道常用的方法有以下几种:(1)利用 TCP/IP 协议首部中一些不用或者很少使用的字段来隐藏信息;(2)利用数据传输时协议头中一些必须填充的位(如TCP 数据包协议头的源端口、序列号(ISN)以及 IP 协议数据包协议头中的源 IP 地址等)来隐藏信息;(3)通过第三方合法的主机或者服务器进行中转来建立隐蔽信道,利用 ICMP 的回显请求(ICMP_ECHO)和回显应答(ICMP_ECHOREPLY)建立隐蔽信道[2]。
3 网络隐蔽信道存在的条件
很多情况下并不存在网络隐蔽信道,因此构造网络隐蔽信道需要满足下面的条件:(1)接收者和发送者必须能够共同分享信息资源;(2)接收者和发送者都能够访问共同分享的信息资源;(3)发送者必须能修改共同分享的资源的相关属性;(4)接收者能够注意到共享资源的属性修改的变化;(5)接收者和发送者必须具备一定的同步机制。
其中,条件1和2在大部分网络环境中都是存在的。由于网络协议的设计缺陷,网络协议数据包能够作为隐蔽信道的载体,这些数据包就是共享资源,而接收方和发送方一般都有对这些数据包的访问权限。因此,绝大部分网络环境都为隐蔽信道提供了存在的可能性。至于条件3、条件4和条件5就是如何构造网络隐蔽信道所需要关心的问题了。
4 结语
综上所述,在当前网络数据通信的过程中,我们要构建网络隐蔽通道,保证网络信息传递的安全。
[1]杜源.超宽带通信技术在隐蔽通信中的应用前景分析[J].电子科学技术,2014(5):14-15.
[2]张令通,罗森林.基于Tch协议首部的网络隐蔽通道技术研究[J].计算机工程与科学,2014(6):1072-1076.
TP393.08
A
1009-6434(2016)03-0006-01
猜你喜欢
计算机与数字工程(2022年3期)2022-04-07
民用飞机设计与研究(2020年4期)2021-01-21
计算机技术与发展(2020年10期)2020-10-28
校园英语·下旬(2019年8期)2019-10-07
电脑知识与技术(2019年4期)2019-05-24
物联网技术(2018年8期)2018-12-06
电子制作(2018年17期)2018-09-28
商情(2017年29期)2017-09-14
科技创新与应用(2016年35期)2017-02-21
现代电子技术(2017年1期)2017-02-16
