第七章 隱蔽通信

信息隱藏原理及應(yīng)用第7章隱蔽通信本章目標(biāo)在讀完本章之后，你應(yīng)該能夠：理解隱蔽通信技術(shù)；了解隱蔽信道；理解TCP/IP的隱蔽通信；理解其他協(xié)議如何實(shí)現(xiàn)隱蔽通信。7.1隱蔽通信概述隨著Internet的廣泛使用，人們對(duì)安全的要求越來越高，安全已經(jīng)成為每個(gè)人的需求，直接或間接地同網(wǎng)絡(luò)環(huán)境相關(guān)。除了軟件方面的解決方案之外，信息隱藏、密碼術(shù)和網(wǎng)絡(luò)安全的結(jié)合提供了具體的基礎(chǔ)，目前這是一個(gè)活躍的研究領(lǐng)域。信息隱藏，除了和Internet上的數(shù)字媒體相關(guān)，很顯然還與通信息息相關(guān)。所以必須將傳統(tǒng)的安全解決方案與網(wǎng)絡(luò)結(jié)合起來，這就是網(wǎng)絡(luò)與信息隱藏的結(jié)合，這就是信息隱藏研究的一個(gè)重要領(lǐng)域-隱蔽通信。在信息隱藏的預(yù)處理，經(jīng)過嵌入算法形成偽裝載體之后，偽裝載體需要通過開放的環(huán)境進(jìn)行直接或間接的傳輸，如果為了實(shí)現(xiàn)安全模型中最后一層的安全，就必須使用隱蔽通信，在所有研究信息隱藏的文獻(xiàn)中，都必不可少地提到隱藏通信，但有關(guān)隱蔽通信的論文很少，文獻(xiàn)少的原因也可能出于保密的原因沒有公開。隱藏通信可以引用的例子包括閾下信道、隱蔽通道等。閾下信道的概念首先是由數(shù)學(xué)博士SimmonsG.J.于1978年在美國圣地亞國家實(shí)驗(yàn)室（SandiaNationalLabs）提出的，當(dāng)時(shí)閾下信道提出的目的在于證明美國用于第二階段限制戰(zhàn)略武器談判條約SALT-II核查系統(tǒng)中的安全協(xié)議的基本缺陷，Simmons給出了一個(gè)描述性的定義：閾下信道存在于諸如密碼系統(tǒng)、認(rèn)證系統(tǒng)和數(shù)字簽名方案等加密協(xié)議中，該信道在發(fā)送者和隱藏的接受者之間傳送秘密的信息，該信息不能被公眾和信道管理者所發(fā)現(xiàn)。另外，在網(wǎng)絡(luò)通信中，去跟蹤敵手的數(shù)據(jù)包，進(jìn)行通信量分析，以及判斷通信雙方的身份，是收集諜報(bào)信息的一個(gè)重要來源，而采用隱蔽通信的技術(shù)的主要目標(biāo)就是保護(hù)通信信道不被別人竊聽和進(jìn)行通信量分析，這種技術(shù)提供一種基于TCP/IP協(xié)議的匿名連接，從數(shù)據(jù)流中除去

用戶的標(biāo)識(shí)信息，用該技術(shù)建立連接時(shí)，并不是直接連到目的主機(jī)相應(yīng)的數(shù)據(jù)庫，而是通過多層代理服務(wù)器，層層傳遞后到達(dá)目的地址，每層路由器只能識(shí)別最臨近的一層路由器，第一層路由器對(duì)本次連接進(jìn)行多層加密，以后每經(jīng)過一層路由器，除去一層加密，最后到達(dá)的是明文，這樣每層路由器處理的數(shù)據(jù)都不同，使敵手無法跟蹤，連接終止后，各層路由器清除信息。這種技術(shù)可用于有線電話網(wǎng)、衛(wèi)星電話網(wǎng)等?？蓮V泛使用于E-mail、Web瀏覽以及遠(yuǎn)程注冊(cè)等。研究隱蔽通信中實(shí)現(xiàn)信息隱蔽的蔥頭路由器（OnionRouter），研究開發(fā)路由器接收、處理數(shù)據(jù)所采用的多層加密及分層解密技術(shù)，研究如何從數(shù)據(jù)包中分解通信的參與者的身份及地址信息，并隱匿通信的通信量。軍事級(jí)別的依賴于公共的通信基礎(chǔ)設(shè)施，所以在網(wǎng)絡(luò)通信領(lǐng)域有著不可估量的應(yīng)用前景。這里所研究的隱蔽通信是指在公開的信道中所建立的一種實(shí)現(xiàn)隱蔽通信的信道。利用系統(tǒng)接入控制機(jī)制中的漏洞建立起來，并實(shí)現(xiàn)隱蔽通信的技術(shù)，隱存儲(chǔ)信道、隱定時(shí)信道和閾下信道。前兩種并稱為隱蔽信道，通過采用特殊的編譯碼方式使不合法的信息流逃避常規(guī)的安全控制機(jī)構(gòu)的檢測(cè)來實(shí)現(xiàn)。隱信道可以采用不同的文件名，或多個(gè)身份等信息來編碼秘密消息，隱蔽性很強(qiáng)。隱定時(shí)信道可以利用時(shí)間軸上的事件序列來進(jìn)行編碼，隱信道的存在條件大致如下：網(wǎng)絡(luò)設(shè)計(jì)實(shí)現(xiàn)中的漏洞，如文件命名的規(guī)定，用戶編碼等接入控制機(jī)構(gòu)實(shí)現(xiàn)或運(yùn)行的不正確所造成的漏洞；接收雙方之間存在共享資源。系統(tǒng)中被植入特洛伊馬等。只要在網(wǎng)絡(luò)中接收者和發(fā)送者之間存在共享的資源就都可以利用來建立隱蔽信道。在網(wǎng)絡(luò)通信中，信息隱藏很自然地映射成一個(gè)通信問題，發(fā)信者成為密信信源，收信者成為密信信宿，密信經(jīng)過的通道構(gòu)成了隱蔽通信信道。隱蔽通信不僅使通信成為秘密，并且不可見。7.2隱蔽通道隱蔽通道的概念首先出Lampson提出。Lampson的確定的描述隱蔽通道為用于信息傳輸，但是沒有設(shè)計(jì)也沒有用于通信。這個(gè)基本的定義被進(jìn)一步分析。這些分析詳細(xì)描述了相關(guān)的隱蔽通信的概念相關(guān)的資源分配的策略，在不同系統(tǒng)安全級(jí)別的共享資源。資源變化狀態(tài)和資源管理實(shí)現(xiàn)。這些方面都是與系統(tǒng)內(nèi)發(fā)生的通信相連接的。在系統(tǒng)中可用資源的狀態(tài)，是系統(tǒng)可用的資源都能用于隱蔽通道：即在系統(tǒng)內(nèi)部從一方到另外一方發(fā)送信號(hào)信息。變化表明文件狀態(tài)在系統(tǒng)中有一系列的點(diǎn)狀態(tài)。在，更完整的定義提供了包括隱蔽通道的訪問控制策略的可能性和它的實(shí)現(xiàn)。隱蔽通道是描述雙方之間通信連接的，它允許一方傳送信息到另一方，以不違反系統(tǒng)的安全策略的方式。隱蔽通道分為兩類：隱蔽存儲(chǔ)通道和隱蔽時(shí)分通道。在隱蔽存儲(chǔ)通道中的通信發(fā)送方必須把隱藏?cái)?shù)據(jù)寫入到存儲(chǔ)區(qū)（不是通信的存儲(chǔ)區(qū)），并且信息的恢復(fù)由接收方完成。相反，在時(shí)分隱蔽通道中，通信需要發(fā)送方通過調(diào)制自身系統(tǒng)資源發(fā)送信號(hào)信息。隱蔽通道可以利用源方和接收方的嵌入和檢測(cè)處理的結(jié)合。通過定義，隱蔽通道的存在一定是不可檢測(cè)的。隱蔽通道是信息隱藏的一個(gè)主要分支。在信息隱藏中，通信雙方允許彼此通信，基于系統(tǒng)的安全策略，當(dāng)使用隱蔽通道定義相關(guān)的特性時(shí)，即在合法的信息內(nèi)容上加上無法覺察的信息。這就導(dǎo)致了隱寫術(shù)學(xué)科的出現(xiàn)，隱寫術(shù)起源于希臘的隱寫，隱寫術(shù)就是隱蔽信息的存在，當(dāng)秘密信息藏入無知的偽裝信息中。最簡(jiǎn)單的例子通常是指在數(shù)字圖像中使用每個(gè)像素的低端兩個(gè)或三個(gè)比特位來隱蔽信息并進(jìn)行通信。因?yàn)樽詈蟮膬苫蛉坏男畔⒉挥绊戄d體圖像內(nèi)容，并且隱藏了秘密內(nèi)容的存在。因此這同樣適用于從接收方到發(fā)送方的隱蔽通信。因此隱寫術(shù)確保了隱蔽通道用于傳送秘密信息。從網(wǎng)絡(luò)通信的觀點(diǎn)，隱蔽通信也能使用數(shù)據(jù)包作為載體。因?yàn)樗型ㄟ^網(wǎng)絡(luò)的信息都以數(shù)據(jù)包的形式通過網(wǎng)絡(luò)，當(dāng)通過不同網(wǎng)絡(luò)拓?fù)?，在它們到達(dá)目的地之前，這些數(shù)據(jù)包由網(wǎng)絡(luò)結(jié)點(diǎn)共享。在網(wǎng)絡(luò)環(huán)境中信息隱藏的完善的方案應(yīng)該圍繞網(wǎng)絡(luò)并結(jié)合信息隱藏。隱蔽通道的定義違背了系統(tǒng)安全的策略。因此這樣的通道威脅到系統(tǒng)安全。另一方面沒有被利用的帶寬的可用性使這些隱蔽通道存在。本章的目的是研究隱蔽通道，就是要研究這些沒有被利用的帶寬以及相關(guān)的正在使用的各種網(wǎng)絡(luò)程序和機(jī)制。7.3TCP隱蔽通信

TCP/IP協(xié)議為通信提供了語法和語義規(guī)則。它們包括信息格式的詳細(xì)資料，描述了當(dāng)住處到達(dá)時(shí)計(jì)算機(jī)如何響應(yīng)，特別說明計(jì)算機(jī)如何處理差錯(cuò)或其他異常條件。更重要的是，它們推動(dòng)了計(jì)算機(jī)通信獨(dú)立于雙方網(wǎng)絡(luò)的硬件。協(xié)議對(duì)通信而言，就是計(jì)算方法。從上面的分析中我們知道，隱蔽通信與TCP/IP組以及網(wǎng)絡(luò)協(xié)議相關(guān)，如IGMP、ICMP等，對(duì)于這些協(xié)議中的每個(gè)協(xié)議，都可以實(shí)現(xiàn)隱蔽通信。深入的隱蔽通道分析重要的是對(duì)IP協(xié)議和它相關(guān)的安全機(jī)制的分析，另外還涉及IP包處理以及偽裝數(shù)據(jù)包的排序處理。7.3.1TCP協(xié)議概述

TCP/IP協(xié)議組能夠提供簡(jiǎn)單開放的通信基礎(chǔ)設(shè)施。目標(biāo)是通信的最大化、連通性和協(xié)作。組是分等級(jí)的協(xié)議，它由交互模塊組成，每個(gè)交互模塊提供具體的功能。它是基于方便的包交換技術(shù)，但是不依賴于任何特定廠家的硬件。這組協(xié)議的重要意義在于它從網(wǎng)絡(luò)技術(shù)中獨(dú)立出來和它的通用互連，只要計(jì)算機(jī)的雙方都使用TCP/IP協(xié)議，雙方就能通信。協(xié)議組提供了三種服務(wù)，面向應(yīng)用的服務(wù)、可靠的服務(wù)和無連接的服務(wù)?？煽康暮蜔o連接的信息傳送由網(wǎng)絡(luò)層服務(wù)提供。而面向應(yīng)用的機(jī)制由應(yīng)用層提供。后者的服務(wù)提供了一系列應(yīng)用程序，它使用底層網(wǎng)絡(luò)來攜帶有用的通信任務(wù)。最流行的Internet應(yīng)用服務(wù)包括：WWW，E-mail，文件傳輸和遠(yuǎn)程登錄等。無連接服務(wù)包括網(wǎng)絡(luò)數(shù)據(jù)包的盡力而為的傳送，它是最基本的互連網(wǎng)服務(wù)，TCP/IP根據(jù)信息攜帶的地址信息，使用網(wǎng)絡(luò)從一臺(tái)計(jì)算機(jī)向其他計(jì)算機(jī)發(fā)送信息，這里包傳送并不承諾必須到達(dá)目的地。IP協(xié)議位于網(wǎng)絡(luò)層提供無連接服務(wù)。可靠的傳輸層服務(wù)允許在一臺(tái)計(jì)算機(jī)上的應(yīng)用程序建立連接，同另外不同的計(jì)算機(jī)來傳送大量數(shù)據(jù)并通過表面上相聯(lián)的硬件連接。因此，可靠的傳輸層服務(wù)確保包發(fā)送到目的地，并且沒有傳輸差錯(cuò)，丟失包和中間結(jié)點(diǎn)的失敗，沿著從發(fā)送方到接收方的路徑。TCP提供了這些可靠的傳送服務(wù)并形成了傳輸層協(xié)議組。網(wǎng)絡(luò)分層結(jié)構(gòu)如表7-1所示。7.3.2TCP隱蔽通信的實(shí)現(xiàn)

Rowland采用了更明確的方法，重點(diǎn)在TCP/IP的IP和TCP頭，Rowland設(shè)計(jì)了適當(dāng)?shù)木幋a和解碼技術(shù)通過利用IP識(shí)別字段。TCP初始的順序號(hào)和確認(rèn)順序號(hào)字段。Rowlan只提供存在的要領(lǐng)的證據(jù)，同時(shí)開發(fā)在TCP/IP協(xié)議組中隱蔽通道的存在。這項(xiàng)工作被認(rèn)為是在這一研究領(lǐng)域突破性的實(shí)踐。但是，隱蔽通信技術(shù)的不可檢測(cè)性是一個(gè)問題。例如，對(duì)TCP/IP頭的順序號(hào)字段進(jìn)行處理，編碼方法采用如每一次相同字母的方法來偷偷通信。它將編碼為同樣的順序號(hào)。另外，順序號(hào)字段的使用以及確認(rèn)幀字段不能被使用ASCII碼，因?yàn)閷?duì)于具體的網(wǎng)絡(luò)數(shù)據(jù)包，這些字段都被認(rèn)為是發(fā)送和接收數(shù)據(jù)網(wǎng)絡(luò)層的包分解和重組，也可以用于隱蔽通信，Alice和Bob可以使用段偏移字段來隱藏?cái)?shù)據(jù)位。在傳輸層，也可以使用用于路由的和錯(cuò)語檢驗(yàn)的字段來隱藏信息。TCP協(xié)議中的信息隱藏，它的載體是數(shù)據(jù)包。因?yàn)樵诰W(wǎng)絡(luò)環(huán)境中隱蔽通道指的是隱蔽信道。在TCP中，我們將秘密消息根據(jù)某種嵌入算法嵌入到數(shù)據(jù)包，生成偽數(shù)據(jù)包在信道中傳輸。因?yàn)閭螖?shù)據(jù)包在網(wǎng)絡(luò)中傳輸，通過路由器等各種結(jié)點(diǎn)，數(shù)據(jù)包可能丟失或者并沒有按原順序到達(dá)目的地，這樣我們需要重排序機(jī)制與QoS機(jī)制來對(duì)網(wǎng)絡(luò)通信量進(jìn)行分類?；赥CP中，TCP協(xié)議的隱藏通道的基本思想是：利用大部分防火墻和IDS系統(tǒng)的弱點(diǎn)，只使用帶有ACK標(biāo)識(shí)的TCP包進(jìn)行通信。在每個(gè)源端，具有ACK標(biāo)識(shí)的TCP報(bào)文數(shù)據(jù)域包含要執(zhí)行的命令，遠(yuǎn)程被控制端將立即發(fā)送TCP復(fù)位報(bào)文，并向主控端傳送命令的執(zhí)行結(jié)果。從表面上整個(gè)通信過程就像是在已建立的TCP連接上進(jìn)行的，另外主控端和被控制端的端口分別被選為80端口和私有端口，從而更加增強(qiáng)了通道的隱蔽性。在TCP協(xié)議的隱蔽通信實(shí)現(xiàn)的過程中，主要是針對(duì)TCP協(xié)議頭。利用適當(dāng)?shù)木幋a技術(shù)和解碼技術(shù)。TCP協(xié)議具有信息隱藏的潛力。因?yàn)門CP的傳輸是透明的，這就使隱蔽通信也是透明的，并且在開放環(huán)境中的信息傳輸大部分都通過Internet數(shù)據(jù)包進(jìn)行傳送。TCP協(xié)議是在報(bào)文交換計(jì)算機(jī)通信網(wǎng)絡(luò)中可靠的端對(duì)端的傳輸層協(xié)議。TCP是面向連接的協(xié)議，它提供了進(jìn)程間可靠的通信。因?yàn)樵赥CP隱蔽通信的實(shí)現(xiàn)主要關(guān)注TCP的頭。TCP的頭格式如圖7.1所示。下面假設(shè)Alice和Bob之間進(jìn)行隱蔽通信，Bob的計(jì)算機(jī)可以接收到來自于Alice發(fā)送的數(shù)據(jù)包，通過在一系列數(shù)據(jù)包中提取預(yù)先確定在特定位置的的比特位或比特位塊來獲得秘密信息。Bob可以很容易地重組來自于Alice的這些隱藏的ASCII碼信息，A和B雙方使用TCP/IP時(shí)遵循三次握手的過程。A想發(fā)送秘密信息“tonight”給B。使用SYN包來建立和開始會(huì)話。會(huì)話的具體過程如下：(1)A為SYN包編碼，A使用ISN（Internalstatementnumber，內(nèi)碼），其值用7602176，其母對(duì)應(yīng)為t）來開始三次握手。B的接收端口（它正在偵聽并且“意識(shí)”到編碼方案）使用ISN加參數(shù)來進(jìn)行解碼。得到相應(yīng)的ASCII碼，其對(duì)應(yīng)的字母值為t，也就是秘密信息的第一個(gè)字母。握手繼續(xù)。在會(huì)話繼續(xù)的過程中，可能出現(xiàn)兩種情況；一種情況是，B建立套接字來發(fā)送SYN/ACK，并從A方接收到確認(rèn)幀。另一種情況是，在接收到B的SYN/ACK幀之后，A給B發(fā)送RST來放棄這次會(huì)話。(2)重復(fù)上述過程，A為tonight的其他字母依次依據(jù)內(nèi)碼來分別發(fā)送相應(yīng)的SYN包，在接收方B，會(huì)依次分別地接收到相應(yīng)的字母。直到A給B發(fā)送RST為止。上述是隱蔽通道使用的例子。任何網(wǎng)絡(luò)傳輸所使用的傳輸協(xié)議都是TCP/IP協(xié)議。使用在信道都是合法合理的信道。第三方可能根本意識(shí)不到隱蔽通道的存在，這樣，就達(dá)到了隱藏信息的目的。7.4IGMP中的隱蔽通信

IP多播是允許將信息傳輸給多個(gè)主機(jī)，多點(diǎn)傳送路由器和主機(jī)為了完成多播，必須使用IGMP協(xié)議來傳輸組成員之間的信息。這兩個(gè)階段為主機(jī)到路由器結(jié)合成一組，另外的消息隊(duì)列是路由器到主機(jī)形成一組。IGMP封裝在IP數(shù)據(jù)報(bào)中進(jìn)行傳輸，IP的目的地地址是多播地址，組群管理協(xié)議(IGMP)，IGMP是通過充分利用IP堆棧來實(shí)現(xiàn)的。網(wǎng)絡(luò)堆棧由不同的層構(gòu)成，每一層只和相鄰的上、下層通信。IGMP使用第2層和第3層，使用方式與通常的單播或廣播流略微不同。在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流由數(shù)據(jù)包組成，每個(gè)數(shù)據(jù)包頭均帶有該數(shù)據(jù)包的起始地址和目的地址信息。單播數(shù)據(jù)流(如文件傳輸)的起始地址十分明顯，該地址就是IP地址，位于第3層或IP數(shù)據(jù)包頭中，而起始媒體訪問控制(MAC)地址則位于第2層或數(shù)據(jù)鏈路層上。廣播數(shù)據(jù)包的格式與單播數(shù)據(jù)包的格式一樣，但在廣播數(shù)據(jù)包中，目的地址是一個(gè)廣播地址。因此，對(duì)于網(wǎng)絡(luò)地址為的IP網(wǎng)絡(luò)來說，它的目的地址是55。多播數(shù)據(jù)流也必須遵循與單播和廣播數(shù)據(jù)流相同的基本格式，它們之間的差別在于其目的地址的不同。IGMP多播數(shù)據(jù)流具有一個(gè)D類目的地址，范圍為～239.257.257.255。該目的地址并不對(duì)應(yīng)于網(wǎng)絡(luò)中某臺(tái)具體的計(jì)算機(jī)或主機(jī)，而是與網(wǎng)絡(luò)中距離最近的第3層設(shè)備相匹配，通常為網(wǎng)絡(luò)中的一個(gè)路由器。當(dāng)多播數(shù)據(jù)包到達(dá)路由器時(shí)，路由器必須決定是繼續(xù)傳輸該數(shù)據(jù)包還是停止傳輸。必須注意的是，作為該數(shù)據(jù)包目的地址的D類IP地址并非某一臺(tái)實(shí)際的主機(jī)，而是一個(gè)組，它們必須先與離它最近的路由器連接，然后再告知數(shù)據(jù)流傳輸主機(jī)。如果是首次到達(dá)的數(shù)據(jù)包，路由器便會(huì)開始“構(gòu)建組”。如果其他主機(jī)沒有要求路由器從該組接收數(shù)據(jù)，那么這些數(shù)據(jù)包將被丟棄。多播數(shù)據(jù)流請(qǐng)求也使用D類地址。如果一臺(tái)主機(jī)希望尋找某個(gè)多播組，它會(huì)向保留地址發(fā)送一個(gè)“加入”信息。通過該保留地址，此信息實(shí)際上發(fā)送給了“子網(wǎng)上所有的路由器”。當(dāng)主機(jī)要求加入某個(gè)特殊組時(shí)，這條路徑上的路由器便會(huì)將該請(qǐng)求向外發(fā)送出去。最后，當(dāng)找到該組時(shí)，數(shù)據(jù)流會(huì)順著相同路徑傳回給提出請(qǐng)求的主機(jī)。當(dāng)主機(jī)接收完畢，決定不再需要該數(shù)據(jù)流時(shí)，它也向某個(gè)特殊的多播地址發(fā)送信息，然后該數(shù)據(jù)流便會(huì)停止發(fā)送。在實(shí)際操作中，在由各個(gè)路由器和其他第3層設(shè)備組成的不同樹結(jié)構(gòu)中將會(huì)“刪除”這臺(tái)接收完畢的主機(jī)，數(shù)據(jù)流也不再發(fā)送給它。IGMP協(xié)議很有用，基于該協(xié)議，主機(jī)要求加入一個(gè)組的請(qǐng)求不必到達(dá)離數(shù)據(jù)流傳輸主機(jī)最近的路由器。如果一臺(tái)主機(jī)申請(qǐng)加入數(shù)據(jù)流傳輸路由中的某個(gè)多播組，那么離數(shù)據(jù)流傳輸路由器最近的路由器便會(huì)將這些數(shù)據(jù)包進(jìn)行復(fù)制，然后從這一請(qǐng)求多播的端口大量地向下傳輸給提出申請(qǐng)的主機(jī)。因此盡管每臺(tái)提出請(qǐng)求的主機(jī)都可以接收到數(shù)據(jù)流，但由于這些請(qǐng)求并沒有傳輸?shù)皆捶?wù)器，而數(shù)據(jù)流也只在需要多播的路由器上進(jìn)行復(fù)制而不是在源服務(wù)器上復(fù)制，因此可以節(jié)省整個(gè)網(wǎng)絡(luò)的帶寬。如果某一系統(tǒng)只能進(jìn)行單播而不能進(jìn)行多播，那么每個(gè)請(qǐng)求都必須返回到源服務(wù)器，然后單獨(dú)從源服務(wù)器獲得所需的數(shù)據(jù)流。盡管在某種意義上來說這樣比較方便，例如主機(jī)可在從開始到結(jié)束的整個(gè)過程中的任一時(shí)候按自己的需要加入，但這種方法效率較低，而且并不節(jié)省網(wǎng)絡(luò)資源。在IP多播中，每臺(tái)請(qǐng)求接收的PC都可以獲得所需的數(shù)據(jù)流，而網(wǎng)絡(luò)本身則管理這些PC和客戶組。為了實(shí)現(xiàn)IGMP多播，網(wǎng)絡(luò)必須知道數(shù)據(jù)流在何處及何時(shí)進(jìn)行復(fù)制。使用IGMP多播時(shí)，發(fā)送器(源服務(wù)器)將數(shù)據(jù)流和附加信息發(fā)送到離它最近，或在同一子網(wǎng)中的路由器。接收到信息后，路由器創(chuàng)建一個(gè)符合D類IP地址定義的組目的地址(GDA)。路由器隨后查看是否有客戶機(jī)需要該多播組。如果沒有，路由器便丟棄那些從發(fā)送器傳來的數(shù)據(jù)包，不再繼續(xù)發(fā)送。但是，如果有客戶機(jī)希望接收這些數(shù)據(jù)流，即使這一客戶機(jī)位于遠(yuǎn)程網(wǎng)絡(luò)中，路由器將執(zhí)行下列步驟：（1）接收器將一個(gè)專用多播IP地址發(fā)送到其子網(wǎng)中的所有路由器，并申明它希望加入一個(gè)多播組；（2）如果子網(wǎng)中的路由器找到了該多播組，它開始將數(shù)據(jù)包發(fā)送給提出請(qǐng)求的接收器。相反，如果路由器沒有找到IGMP組，它便向外發(fā)送信息并開始找尋這個(gè)組；（3）通過與其他路由器通信，最初發(fā)送請(qǐng)求的路由器便可找尋到這個(gè)多播組。路由器之間的通信基于各種IGMP使用的“路由”協(xié)議，如多播開放最短路徑優(yōu)先(MOSPF)和距離向量多播路由協(xié)議(DVMRP)。（4）當(dāng)多播組找到后，該路徑上的路由器便作為“源”路由器，發(fā)送或復(fù)制該數(shù)據(jù)流。IGMP方案的最大好處在于節(jié)省了帶寬。網(wǎng)絡(luò)A中的遠(yuǎn)程接收器從緊接源路由器后的第一個(gè)路由器接收一個(gè)數(shù)據(jù)流。支持IGMP第2版的源路由器僅在需要復(fù)制的地方將這一數(shù)據(jù)流進(jìn)行復(fù)制，而不是在源路由器進(jìn)行復(fù)制，因此節(jié)省了帶寬。目前使用的IGMP版本為第2版。IGMP第1版和第2版之間的主要差別在于如何從多播組中去除客戶機(jī)。第1版中規(guī)定，即使接收器不再需要某個(gè)數(shù)據(jù)流，路由器仍繼續(xù)向該接收器發(fā)送數(shù)據(jù)流，并持續(xù)幾分鐘。在IGMP第1版中，當(dāng)客戶機(jī)希望停止接收數(shù)據(jù)流時(shí)，它無法告知路由器。第2版則規(guī)定，接收器可發(fā)送信息告知路由器，如果沒有其他接收器出現(xiàn)便可停止發(fā)送數(shù)據(jù)包。因此，與第1版相比，第2版能節(jié)省更多的帶寬。IGMP將存在兩類消息：（1）成員間的報(bào)告消息和組中主機(jī)到路由器的消息。（2）成員間路由到主機(jī)的消息隊(duì)列Handel&SandfordandWolf提出了使用協(xié)議中保留或未使用字段進(jìn)行信息隱藏，這里我們提出的方法更具實(shí)踐性和魯棒性，方法是基于冗余和IP協(xié)議的多點(diǎn)傳送機(jī)制。選擇的頭字段是靈活的，發(fā)送隱藏的數(shù)據(jù)時(shí)，并不影響標(biāo)準(zhǔn)的網(wǎng)絡(luò)處理，如使TCP中的順序號(hào)和確認(rèn)號(hào)字段等，我們通過實(shí)際的仿真實(shí)驗(yàn)，證明是可行的。7.5IP中的隱蔽通信

另外，對(duì)于包排序，發(fā)送方和接收方都假定執(zhí)行IPSec協(xié)議。偽裝的數(shù)據(jù)包中間要經(jīng)過許多結(jié)點(diǎn)才能到達(dá)目的地。對(duì)于隱蔽通信，這些中間的網(wǎng)絡(luò)結(jié)點(diǎn)不必檢測(cè)到這些數(shù)據(jù)包，并且這里假定這些結(jié)點(diǎn)不能檢測(cè)到并且也不會(huì)丟棄這些數(shù)據(jù)包。我們關(guān)注網(wǎng)絡(luò)流量，我們可以考慮QoS機(jī)制來對(duì)網(wǎng)絡(luò)流量進(jìn)行區(qū)別對(duì)待，使傳送的數(shù)據(jù)包序列優(yōu)先級(jí)較高而得到完整傳輸。這里的研究是Handel和Sandford研究的擴(kuò)展，Handel和Sandford提出使包頭中不用的字段來進(jìn)行信息隱藏，在此基礎(chǔ)上，這里加以改進(jìn)，利用Internet協(xié)議的冗余和多點(diǎn)解釋的處理策略。這將通過網(wǎng)關(guān)如防火墻或路由器等各種安全檢測(cè)而不會(huì)被丟棄。用于信息隱藏頭字段的選擇是變化的，并且不影響數(shù)據(jù)包的正常傳輸和處理。在基于網(wǎng)絡(luò)的隱蔽通信中，人們對(duì)網(wǎng)絡(luò)數(shù)據(jù)包和協(xié)議的理解是比較含糊的，在設(shè)計(jì)的數(shù)據(jù)隱藏方案中，我們需要理解IP數(shù)據(jù)包及協(xié)議。在IP協(xié)議的分段策略中存在著冗余，在IP頭的Flages字段中包含了分段信息。第一位是保留位，第二位是DF位，代表不分段，第三位是MF位，代表更多分段。未分段的數(shù)據(jù)報(bào)的分段信息均為0，例如MF=0，則13位的段偏移=0，這就給出了冗余的條件，DF可以攜帶任意的0或1，數(shù)量只是受數(shù)據(jù)報(bào)最大尺寸的限制?？紤]在同結(jié)構(gòu)網(wǎng)絡(luò)中的兩個(gè)工作站Alice和Bob，這兩個(gè)用戶準(zhǔn)備通過協(xié)議組來進(jìn)行隱蔽通信。假定網(wǎng)絡(luò)的管理員已經(jīng)配置好相應(yīng)的安全策略。雙方都知道網(wǎng)絡(luò)的MTU（maximumtransmissionunit），并且想使用分段策略，也就是任何低于或等于MTU的數(shù)據(jù)報(bào)都不進(jìn)行分段。在實(shí)現(xiàn)上述隱