第七章 隱蔽通信

信息隱藏原理及應用第7章隱蔽通信本章目標在讀完本章之后，你應該能夠：理解隱蔽通信技術；了解隱蔽信道；理解TCP/IP的隱蔽通信；理解其他協(xié)議如何實現(xiàn)隱蔽通信。7.1隱蔽通信概述隨著Internet的廣泛使用，人們對安全的要求越來越高，安全已經(jīng)成為每個人的需求，直接或間接地同網(wǎng)絡環(huán)境相關。除了軟件方面的解決方案之外，信息隱藏、密碼術和網(wǎng)絡安全的結合提供了具體的基礎，目前這是一個活躍的研究領域。信息隱藏，除了和Internet上的數(shù)字媒體相關，很顯然還與通信息息相關。所以必須將傳統(tǒng)的安全解決方案與網(wǎng)絡結合起來，這就是網(wǎng)絡與信息隱藏的結合，這就是信息隱藏研究的一個重要領域-隱蔽通信。在信息隱藏的預處理，經(jīng)過嵌入算法形成偽裝載體之后，偽裝載體需要通過開放的環(huán)境進行直接或間接的傳輸，如果為了實現(xiàn)安全模型中最后一層的安全，就必須使用隱蔽通信，在所有研究信息隱藏的文獻中，都必不可少地提到隱藏通信，但有關隱蔽通信的論文很少，文獻少的原因也可能出于保密的原因沒有公開。隱藏通信可以引用的例子包括閾下信道、隱蔽通道等。閾下信道的概念首先是由數(shù)學博士SimmonsG.J.于1978年在美國圣地亞國家實驗室（SandiaNationalLabs）提出的，當時閾下信道提出的目的在于證明美國用于第二階段限制戰(zhàn)略武器談判條約SALT-II核查系統(tǒng)中的安全協(xié)議的基本缺陷，Simmons給出了一個描述性的定義：閾下信道存在于諸如密碼系統(tǒng)、認證系統(tǒng)和數(shù)字簽名方案等加密協(xié)議中，該信道在發(fā)送者和隱藏的接受者之間傳送秘密的信息，該信息不能被公眾和信道管理者所發(fā)現(xiàn)。另外，在網(wǎng)絡通信中，去跟蹤敵手的數(shù)據(jù)包，進行通信量分析，以及判斷通信雙方的身份，是收集諜報信息的一個重要來源，而采用隱蔽通信的技術的主要目標就是保護通信信道不被別人竊聽和進行通信量分析，這種技術提供一種基于TCP/IP協(xié)議的匿名連接，從數(shù)據(jù)流中除去

用戶的標識信息，用該技術建立連接時，并不是直接連到目的主機相應的數(shù)據(jù)庫，而是通過多層代理服務器，層層傳遞后到達目的地址，每層路由器只能識別最臨近的一層路由器，第一層路由器對本次連接進行多層加密，以后每經(jīng)過一層路由器，除去一層加密，最后到達的是明文，這樣每層路由器處理的數(shù)據(jù)都不同，使敵手無法跟蹤，連接終止后，各層路由器清除信息。這種技術可用于有線電話網(wǎng)、衛(wèi)星電話網(wǎng)等?？蓮V泛使用于E-mail、Web瀏覽以及遠程注冊等。研究隱蔽通信中實現(xiàn)信息隱蔽的蔥頭路由器（OnionRouter），研究開發(fā)路由器接收、處理數(shù)據(jù)所采用的多層加密及分層解密技術，研究如何從數(shù)據(jù)包中分解通信的參與者的身份及地址信息，并隱匿通信的通信量。軍事級別的依賴于公共的通信基礎設施，所以在網(wǎng)絡通信領域有著不可估量的應用前景。這里所研究的隱蔽通信是指在公開的信道中所建立的一種實現(xiàn)隱蔽通信的信道。利用系統(tǒng)接入控制機制中的漏洞建立起來，并實現(xiàn)隱蔽通信的技術，隱存儲信道、隱定時信道和閾下信道。前兩種并稱為隱蔽信道，通過采用特殊的編譯碼方式使不合法的信息流逃避常規(guī)的安全控制機構的檢測來實現(xiàn)。隱信道可以采用不同的文件名，或多個身份等信息來編碼秘密消息，隱蔽性很強。隱定時信道可以利用時間軸上的事件序列來進行編碼，隱信道的存在條件大致如下：網(wǎng)絡設計實現(xiàn)中的漏洞，如文件命名的規(guī)定，用戶編碼等接入控制機構實現(xiàn)或運行的不正確所造成的漏洞；接收雙方之間存在共享資源。系統(tǒng)中被植入特洛伊馬等。只要在網(wǎng)絡中接收者和發(fā)送者之間存在共享的資源就都可以利用來建立隱蔽信道。在網(wǎng)絡通信中，信息隱藏很自然地映射成一個通信問題，發(fā)信者成為密信信源，收信者成為密信信宿，密信經(jīng)過的通道構成了隱蔽通信信道。隱蔽通信不僅使通信成為秘密，并且不可見。7.2隱蔽通道隱蔽通道的概念首先出Lampson提出。Lampson的確定的描述隱蔽通道為用于信息傳輸，但是沒有設計也沒有用于通信。這個基本的定義被進一步分析。這些分析詳細描述了相關的隱蔽通信的概念相關的資源分配的策略，在不同系統(tǒng)安全級別的共享資源。資源變化狀態(tài)和資源管理實現(xiàn)。這些方面都是與系統(tǒng)內(nèi)發(fā)生的通信相連接的。在系統(tǒng)中可用資源的狀態(tài)，是系統(tǒng)可用的資源都能用于隱蔽通道：即在系統(tǒng)內(nèi)部從一方到另外一方發(fā)送信號信息。變化表明文件狀態(tài)在系統(tǒng)中有一系列的點狀態(tài)。在，更完整的定義提供了包括隱蔽通道的訪問控制策略的可能性和它的實現(xiàn)。隱蔽通道是描述雙方之間通信連接的，它允許一方傳送信息到另一方，以不違反系統(tǒng)的安全策略的方式。隱蔽通道分為兩類：隱蔽存儲通道和隱蔽時分通道。在隱蔽存儲通道中的通信發(fā)送方必須把隱藏數(shù)據(jù)寫入到存儲區(qū)（不是通信的存儲區(qū)），并且信息的恢復由接收方完成。相反，在時分隱蔽通道中，通信需要發(fā)送方通過調(diào)制自身系統(tǒng)資源發(fā)送信號信息。隱蔽通道可以利用源方和接收方的嵌入和檢測處理的結合。通過定義，隱蔽通道的存在一定是不可檢測的。隱蔽通道是信息隱藏的一個主要分支。在信息隱藏中，通信雙方允許彼此通信，基于系統(tǒng)的安全策略，當使用隱蔽通道定義相關的特性時，即在合法的信息內(nèi)容上加上無法覺察的信息。這就導致了隱寫術學科的出現(xiàn)，隱寫術起源于希臘的隱寫，隱寫術就是隱蔽信息的存在，當秘密信息藏入無知的偽裝信息中。最簡單的例子通常是指在數(shù)字圖像中使用每個像素的低端兩個或三個比特位來隱蔽信息并進行通信。因為最后的兩或三位的信息不影響載體圖像內(nèi)容，并且隱藏了秘密內(nèi)容的存在。因此這同樣適用于從接收方到發(fā)送方的隱蔽通信。因此隱寫術確保了隱蔽通道用于傳送秘密信息。從網(wǎng)絡通信的觀點，隱蔽通信也能使用數(shù)據(jù)包作為載體。因為所有通過網(wǎng)絡的信息都以數(shù)據(jù)包的形式通過網(wǎng)絡，當通過不同網(wǎng)絡拓撲，在它們到達目的地之前，這些數(shù)據(jù)包由網(wǎng)絡結點共享。在網(wǎng)絡環(huán)境中信息隱藏的完善的方案應該圍繞網(wǎng)絡并結合信息隱藏。隱蔽通道的定義違背了系統(tǒng)安全的策略。因此這樣的通道威脅到系統(tǒng)安全。另一方面沒有被利用的帶寬的可用性使這些隱蔽通道存在。本章的目的是研究隱蔽通道，就是要研究這些沒有被利用的帶寬以及相關的正在使用的各種網(wǎng)絡程序和機制。7.3TCP隱蔽通信

TCP/IP協(xié)議為通信提供了語法和語義規(guī)則。它們包括信息格式的詳細資料，描述了當住處到達時計算機如何響應，特別說明計算機如何處理差錯或其他異常條件。更重要的是，它們推動了計算機通信獨立于雙方網(wǎng)絡的硬件。協(xié)議對通信而言，就是計算方法。從上面的分析中我們知道，隱蔽通信與TCP/IP組以及網(wǎng)絡協(xié)議相關，如IGMP、ICMP等，對于這些協(xié)議中的每個協(xié)議，都可以實現(xiàn)隱蔽通信。深入的隱蔽通道分析重要的是對IP協(xié)議和它相關的安全機制的分析，另外還涉及IP包處理以及偽裝數(shù)據(jù)包的排序處理。7.3.1TCP協(xié)議概述

TCP/IP協(xié)議組能夠提供簡單開放的通信基礎設施。目標是通信的最大化、連通性和協(xié)作。組是分等級的協(xié)議，它由交互模塊組成，每個交互模塊提供具體的功能。它是基于方便的包交換技術，但是不依賴于任何特定廠家的硬件。這組協(xié)議的重要意義在于它從網(wǎng)絡技術中獨立出來和它的通用互連，只要計算機的雙方都使用TCP/IP協(xié)議，雙方就能通信。協(xié)議組提供了三種服務，面向應用的服務、可靠的服務和無連接的服務?？煽康暮蜔o連接的信息傳送由網(wǎng)絡層服務提供。而面向應用的機制由應用層提供。后者的服務提供了一系列應用程序，它使用底層網(wǎng)絡來攜帶有用的通信任務。最流行的Internet應用服務包括：WWW，E-mail，文件傳輸和遠程登錄等。無連接服務包括網(wǎng)絡數(shù)據(jù)包的盡力而為的傳送，它是最基本的互連網(wǎng)服務，TCP/IP根據(jù)信息攜帶的地址信息，使用網(wǎng)絡從一臺計算機向其他計算機發(fā)送信息，這里包傳送并不承諾必須到達目的地。IP協(xié)議位于網(wǎng)絡層提供無連接服務。可靠的傳輸層服務允許在一臺計算機上的應用程序建立連接，同另外不同的計算機來傳送大量數(shù)據(jù)并通過表面上相聯(lián)的硬件連接。因此，可靠的傳輸層服務確保包發(fā)送到目的地，并且沒有傳輸差錯，丟失包和中間結點的失敗，沿著從發(fā)送方到接收方的路徑。TCP提供了這些可靠的傳送服務并形成了傳輸層協(xié)議組。網(wǎng)絡分層結構如表7-1所示。7.3.2TCP隱蔽通信的實現(xiàn)

Rowland采用了更明確的方法，重點在TCP/IP的IP和TCP頭，Rowland設計了適當?shù)木幋a和解碼技術通過利用IP識別字段。TCP初始的順序號和確認順序號字段。Rowlan只提供存在的要領的證據(jù)，同時開發(fā)在TCP/IP協(xié)議組中隱蔽通道的存在。這項工作被認為是在這一研究領域突破性的實踐。但是，隱蔽通信技術的不可檢測性是一個問題。例如，對TCP/IP頭的順序號字段進行處理，編碼方法采用如每一次相同字母的方法來偷偷通信。它將編碼為同樣的順序號。另外，順序號字段的使用以及確認幀字段不能被使用ASCII碼，因為對于具體的網(wǎng)絡數(shù)據(jù)包，這些字段都被認為是發(fā)送和接收數(shù)據(jù)網(wǎng)絡層的包分解和重組，也可以用于隱蔽通信，Alice和Bob可以使用段偏移字段來隱藏數(shù)據(jù)位。在傳輸層，也可以使用用于路由的和錯語檢驗的字段來隱藏信息。TCP協(xié)議中的信息隱藏，它的載體是數(shù)據(jù)包。因為在網(wǎng)絡環(huán)境中隱蔽通道指的是隱蔽信道。在TCP中，我們將秘密消息根據(jù)某種嵌入算法嵌入到數(shù)據(jù)包，生成偽數(shù)據(jù)包在信道中傳輸。因為偽數(shù)據(jù)包在網(wǎng)絡中傳輸，通過路由器等各種結點，數(shù)據(jù)包可能丟失或者并沒有按原順序到達目的地，這樣我們需要重排序機制與QoS機制來對網(wǎng)絡通信量進行分類。基于TCP中，TCP協(xié)議的隱藏通道的基本思想是：利用大部分防火墻和IDS系統(tǒng)的弱點，只使用帶有ACK標識的TCP包進行通信。在每個源端，具有ACK標識的TCP報文數(shù)據(jù)域包含要執(zhí)行的命令，遠程被控制端將立即發(fā)送TCP復位報文，并向主控端傳送命令的執(zhí)行結果。從表面上整個通信過程就像是在已建立的TCP連接上進行的，另外主控端和被控制端的端口分別被選為80端口和私有端口，從而更加增強了通道的隱蔽性。在TCP協(xié)議的隱蔽通信實現(xiàn)的過程中，主要是針對TCP協(xié)議頭。利用適當?shù)木幋a技術和解碼技術。TCP協(xié)議具有信息隱藏的潛力。因為TCP的傳輸是透明的，這就使隱蔽通信也是透明的，并且在開放環(huán)境中的信息傳輸大部分都通過Internet數(shù)據(jù)包進行傳送。TCP協(xié)議是在報文交換計算機通信網(wǎng)絡中可靠的端對端的傳輸層協(xié)議。TCP是面向連接的協(xié)議，它提供了進程間可靠的通信。因為在TCP隱蔽通信的實現(xiàn)主要關注TCP的頭。TCP的頭格式如圖7.1所示。下面假設Alice和Bob之間進行隱蔽通信，Bob的計算機可以接收到來自于Alice發(fā)送的數(shù)據(jù)包，通過在一系列數(shù)據(jù)包中提取預先確定在特定位置的的比特位或比特位塊來獲得秘密信息。Bob可以很容易地重組來自于Alice的這些隱藏的ASCII碼信息，A和B雙方使用TCP/IP時遵循三次握手的過程。A想發(fā)送秘密信息“tonight”給B。使用SYN包來建立和開始會話。會話的具體過程如下：(1)A為SYN包編碼，A使用ISN（Internalstatementnumber，內(nèi)碼），其值用7602176，其母對應為t）來開始三次握手。B的接收端口（它正在偵聽并且“意識”到編碼方案）使用ISN加參數(shù)來進行解碼。得到相應的ASCII碼，其對應的字母值為t，也就是秘密信息的第一個字母。握手繼續(xù)。在會話繼續(xù)的過程中，可能出現(xiàn)兩種情況；一種情況是，B建立套接字來發(fā)送SYN/ACK，并從A方接收到確認幀。另一種情況是，在接收到B的SYN/ACK幀之后，A給B發(fā)送RST來放棄這次會話。(2)重復上述過程，A為tonight的其他字母依次依據(jù)內(nèi)碼來分別發(fā)送相應的SYN包，在接收方B，會依次分別地接收到相應的字母。直到A給B發(fā)送RST為止。上述是隱蔽通道使用的例子。任何網(wǎng)絡傳輸所使用的傳輸協(xié)議都是TCP/IP協(xié)議。使用在信道都是合法合理的信道。第三方可能根本意識不到隱蔽通道的存在，這樣，就達到了隱藏信息的目的。7.4IGMP中的隱蔽通信

IP多播是允許將信息傳輸給多個主機，多點傳送路由器和主機為了完成多播，必須使用IGMP協(xié)議來傳輸組成員之間的信息。這兩個階段為主機到路由器結合成一組，另外的消息隊列是路由器到主機形成一組。IGMP封裝在IP數(shù)據(jù)報中進行傳輸，IP的目的地地址是多播地址，組群管理協(xié)議(IGMP)，IGMP是通過充分利用IP堆棧來實現(xiàn)的。網(wǎng)絡堆棧由不同的層構成，每一層只和相鄰的上、下層通信。IGMP使用第2層和第3層，使用方式與通常的單播或廣播流略微不同。在網(wǎng)絡上傳輸?shù)臄?shù)據(jù)流由數(shù)據(jù)包組成，每個數(shù)據(jù)包頭均帶有該數(shù)據(jù)包的起始地址和目的地址信息。單播數(shù)據(jù)流(如文件傳輸)的起始地址十分明顯，該地址就是IP地址，位于第3層或IP數(shù)據(jù)包頭中，而起始媒體訪問控制(MAC)地址則位于第2層或數(shù)據(jù)鏈路層上。廣播數(shù)據(jù)包的格式與單播數(shù)據(jù)包的格式一樣，但在廣播數(shù)據(jù)包中，目的地址是一個廣播地址。因此，對于網(wǎng)絡地址為的IP網(wǎng)絡來說，它的目的地址是55。多播數(shù)據(jù)流也必須遵循與單播和廣播數(shù)據(jù)流相同的基本格式，它們之間的差別在于其目的地址的不同。IGMP多播數(shù)據(jù)流具有一個D類目的地址，范圍為～239.257.257.255。該目的地址并不對應于網(wǎng)絡中某臺具體的計算機或主機，而是與網(wǎng)絡中距離最近的第3層設備相匹配，通常為網(wǎng)絡中的一個路由器。當多播數(shù)據(jù)包到達路由器時，路由器必須決定是繼續(xù)傳輸該數(shù)據(jù)包還是停止傳輸。必須注意的是，作為該數(shù)據(jù)包目的地址的D類IP地址并非某一臺實際的主機，而是一個組，它們必須先與離它最近的路由器連接，然后再告知數(shù)據(jù)流傳輸主機。如果是首次到達的數(shù)據(jù)包，路由器便會開始“構建組”。如果其他主機沒有要求路由器從該組接收數(shù)據(jù)，那么這些數(shù)據(jù)包將被丟棄。多播數(shù)據(jù)流請求也使用D類地址。如果一臺主機希望尋找某個多播組，它會向保留地址發(fā)送一個“加入”信息。通過該保留地址，此信息實際上發(fā)送給了“子網(wǎng)上所有的路由器”。當主機要求加入某個特殊組時，這條路徑上的路由器便會將該請求向外發(fā)送出去。最后，當找到該組時，數(shù)據(jù)流會順著相同路徑傳回給提出請求的主機。當主機接收完畢，決定不再需要該數(shù)據(jù)流時，它也向某個特殊的多播地址發(fā)送信息，然后該數(shù)據(jù)流便會停止發(fā)送。在實際操作中，在由各個路由器和其他第3層設備組成的不同樹結構中將會“刪除”這臺接收完畢的主機，數(shù)據(jù)流也不再發(fā)送給它。IGMP協(xié)議很有用，基于該協(xié)議，主機要求加入一個組的請求不必到達離數(shù)據(jù)流傳輸主機最近的路由器。如果一臺主機申請加入數(shù)據(jù)流傳輸路由中的某個多播組，那么離數(shù)據(jù)流傳輸路由器最近的路由器便會將這些數(shù)據(jù)包進行復制，然后從這一請求多播的端口大量地向下傳輸給提出申請的主機。因此盡管每臺提出請求的主機都可以接收到數(shù)據(jù)流，但由于這些請求并沒有傳輸?shù)皆捶掌?，而?shù)據(jù)流也只在需要多播的路由器上進行復制而不是在源服務器上復制，因此可以節(jié)省整個網(wǎng)絡的帶寬。如果某一系統(tǒng)只能進行單播而不能進行多播，那么每個請求都必須返回到源服務器，然后單獨從源服務器獲得所需的數(shù)據(jù)流。盡管在某種意義上來說這樣比較方便，例如主機可在從開始到結束的整個過程中的任一時候按自己的需要加入，但這種方法效率較低，而且并不節(jié)省網(wǎng)絡資源。在IP多播中，每臺請求接收的PC都可以獲得所需的數(shù)據(jù)流，而網(wǎng)絡本身則管理這些PC和客戶組。為了實現(xiàn)IGMP多播，網(wǎng)絡必須知道數(shù)據(jù)流在何處及何時進行復制。使用IGMP多播時，發(fā)送器(源服務器)將數(shù)據(jù)流和附加信息發(fā)送到離它最近，或在同一子網(wǎng)中的路由器。接收到信息后，路由器創(chuàng)建一個符合D類IP地址定義的組目的地址(GDA)。路由器隨后查看是否有客戶機需要該多播組。如果沒有，路由器便丟棄那些從發(fā)送器傳來的數(shù)據(jù)包，不再繼續(xù)發(fā)送。但是，如果有客戶機希望接收這些數(shù)據(jù)流，即使這一客戶機位于遠程網(wǎng)絡中，路由器將執(zhí)行下列步驟：（1）接收器將一個專用多播IP地址發(fā)送到其子網(wǎng)中的所有路由器，并申明它希望加入一個多播組；（2）如果子網(wǎng)中的路由器找到了該多播組，它開始將數(shù)據(jù)包發(fā)送給提出請求的接收器。相反，如果路由器沒有找到IGMP組，它便向外發(fā)送信息并開始找尋這個組；（3）通過與其他路由器通信，最初發(fā)送請求的路由器便可找尋到這個多播組。路由器之間的通信基于各種IGMP使用的“路由”協(xié)議，如多播開放最短路徑優(yōu)先(MOSPF)和距離向量多播路由協(xié)議(DVMRP)。（4）當多播組找到后，該路徑上的路由器便作為“源”路由器，發(fā)送或復制該數(shù)據(jù)流。IGMP方案的最大好處在于節(jié)省了帶寬。網(wǎng)絡A中的遠程接收器從緊接源路由器后的第一個路由器接收一個數(shù)據(jù)流。支持IGMP第2版的源路由器僅在需要復制的地方將這一數(shù)據(jù)流進行復制，而不是在源路由器進行復制，因此節(jié)省了帶寬。目前使用的IGMP版本為第2版。IGMP第1版和第2版之間的主要差別在于如何從多播組中去除客戶機。第1版中規(guī)定，即使接收器不再需要某個數(shù)據(jù)流，路由器仍繼續(xù)向該接收器發(fā)送數(shù)據(jù)流，并持續(xù)幾分鐘。在IGMP第1版中，當客戶機希望停止接收數(shù)據(jù)流時，它無法告知路由器。第2版則規(guī)定，接收器可發(fā)送信息告知路由器，如果沒有其他接收器出現(xiàn)便可停止發(fā)送數(shù)據(jù)包。因此，與第1版相比，第2版能節(jié)省更多的帶寬。IGMP將存在兩類消息：（1）成員間的報告消息和組中主機到路由器的消息。（2）成員間路由到主機的消息隊列Handel&SandfordandWolf提出了使用協(xié)議中保留或未使用字段進行信息隱藏，這里我們提出的方法更具實踐性和魯棒性，方法是基于冗余和IP協(xié)議的多點傳送機制。選擇的頭字段是靈活的，發(fā)送隱藏的數(shù)據(jù)時，并不影響標準的網(wǎng)絡處理，如使TCP中的順序號和確認號字段等，我們通過實際的仿真實驗，證明是可行的。7.5IP中的隱蔽通信

另外，對于包排序，發(fā)送方和接收方都假定執(zhí)行IPSec協(xié)議。偽裝的數(shù)據(jù)包中間要經(jīng)過許多結點才能到達目的地。對于隱蔽通信，這些中間的網(wǎng)絡結點不必檢測到這些數(shù)據(jù)包，并且這里假定這些結點不能檢測到并且也不會丟棄這些數(shù)據(jù)包。我們關注網(wǎng)絡流量，我們可以考慮QoS機制來對網(wǎng)絡流量進行區(qū)別對待，使傳送的數(shù)據(jù)包序列優(yōu)先級較高而得到完整傳輸。這里的研究是Handel和Sandford研究的擴展，Handel和Sandford提出使包頭中不用的字段來進行信息隱藏，在此基礎上，這里加以改進，利用Internet協(xié)議的冗余和多點解釋的處理策略。這將通過網(wǎng)關如防火墻或路由器等各種安全檢測而不會被丟棄。用于信息隱藏頭字段的選擇是變化的，并且不影響數(shù)據(jù)包的正常傳輸和處理。在基于網(wǎng)絡的隱蔽通信中，人們對網(wǎng)絡數(shù)據(jù)包和協(xié)議的理解是比較含糊的，在設計的數(shù)據(jù)隱藏方案中，我們需要理解IP數(shù)據(jù)包及協(xié)議。在IP協(xié)議的分段策略中存在著冗余，在IP頭的Flages字段中包含了分段信息。第一位是保留位，第二位是DF位，代表不分段，第三位是MF位，代表更多分段。未分段的數(shù)據(jù)報的分段信息均為0，例如MF=0，則13位的段偏移=0，這就給出了冗余的條件，DF可以攜帶任意的0或1，數(shù)量只是受數(shù)據(jù)報最大尺寸的限制。考慮在同結構網(wǎng)絡中的兩個工作站Alice和Bob，這兩個用戶準備通過協(xié)議組來進行隱蔽通信。假定網(wǎng)絡的管理員已經(jīng)配置好相應的安全策略。雙方都知道網(wǎng)絡的MTU（maximumtransmissionunit），并且想使用分段策略，也就是任何低于或等于MTU的數(shù)據(jù)報都不進行分段。在實現(xiàn)上述隱