IP時(shí)間隱通道的信息隱藏算法及其性能分析

王昌達(dá)　黃　磊　劉志鋒

(江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院　江蘇鎮(zhèn)江　212013)(changda@ujs.edu.cn)

IP時(shí)間隱通道的信息隱藏算法及其性能分析

王昌達(dá)黃磊劉志鋒

(江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院江蘇鎮(zhèn)江212013)(changda@ujs.edu.cn)

摘要隱通道(亦稱隱蔽信道)是高等級(jí)可信系統(tǒng)評(píng)估的重要指標(biāo)，而以時(shí)間作為信息傳輸載體的工作方式?jīng)Q定了IP時(shí)間隱通道在包交換網(wǎng)絡(luò)中幾乎不能被根除.目前，利用IP時(shí)間隱通道在網(wǎng)絡(luò)中實(shí)施信息的隱蔽傳輸沒有統(tǒng)一的數(shù)學(xué)模型，對(duì)其研究主要還是依靠實(shí)驗(yàn)方式.首先根據(jù)時(shí)間的物理定義，將IP時(shí)間隱通道按工作方式的差異分成不同類別；然后以隨機(jī)過程為工具，建立了基于定長(zhǎng)時(shí)隙與包間延遲2種IP時(shí)間隱通道的信息隱藏算法模型；最后在此基礎(chǔ)上，推導(dǎo)出了其帶寬和誤碼率與相關(guān)網(wǎng)絡(luò)環(huán)境參數(shù)的函數(shù)關(guān)系，并對(duì)可獲取的有效隱蔽通信帶寬與網(wǎng)絡(luò)噪聲的影響進(jìn)行了一般性的討論.實(shí)驗(yàn)結(jié)果印證了提出的數(shù)學(xué)模型及其理論分析結(jié)果的正確性,由此IP時(shí)間隱通道的研究可以從主要依靠實(shí)驗(yàn)轉(zhuǎn)化為形式化分析與實(shí)驗(yàn)驗(yàn)證相結(jié)合.

關(guān)鍵詞IP時(shí)間隱通道；信息隱藏算法；帶寬；誤碼率；魯棒性

在包交換網(wǎng)絡(luò)中，IP隱通道利用數(shù)據(jù)包中原本不是用于數(shù)據(jù)傳送的資源來傳送數(shù)據(jù)，所以這種通信方式一般不能被系統(tǒng)的固有安全機(jī)制所檢測(cè)和控制.IP隱通道有2種類型：IP存儲(chǔ)隱通道和IP時(shí)間隱通道.IP存儲(chǔ)隱通道一般利用數(shù)據(jù)包報(bào)頭暫未被通信協(xié)議使用的冗余位隱藏信息[1]，初期吸引了大批研究者，對(duì)IP報(bào)頭冗余位利用幾乎達(dá)到極致[2].此后網(wǎng)絡(luò)防火墻使用了流量正規(guī)化技術(shù)(traffic nor-malization)，即將進(jìn)出IP數(shù)據(jù)包的冗余位強(qiáng)制使用相同的格式改寫，該方法有效地打擊了IP存儲(chǔ)隱通道[3].隨后人們將目光轉(zhuǎn)向更為隱蔽的IP時(shí)間隱通道，即接收方通過觀察數(shù)據(jù)包到達(dá)的時(shí)間變化來解釋、獲取被傳遞的隱藏信息.世界上第1個(gè)公開報(bào)道的IP時(shí)間隱通道是美國(guó)普渡大學(xué)于2004年在校內(nèi)的2個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間實(shí)現(xiàn)的，當(dāng)時(shí)觀測(cè)到的帶寬為16.67 bps，誤碼率在2%～14%之間[4].因?yàn)閹挼汀Ⅳ敯粜圆?，所以IP時(shí)間隱通道最初并未引起廣泛的關(guān)注.但2年后，美國(guó)賓夕法尼亞大學(xué)的Shah等人[5]實(shí)現(xiàn)了一個(gè)能截取用戶從鍵盤輸入的密碼并通過IP時(shí)間隱通道向外發(fā)送的軟件，而2010年Zi等人[6]又實(shí)現(xiàn)了以網(wǎng)絡(luò)中間節(jié)點(diǎn)作為發(fā)送方的被動(dòng)式IP時(shí)間隱通道，且Zander等人[7]經(jīng)過統(tǒng)計(jì)認(rèn)為，即使IP時(shí)間隱通道每個(gè)數(shù)據(jù)包只攜帶1 b的信息，那么1個(gè)大型網(wǎng)站1年將隱蔽流失約26 GB的數(shù)據(jù)量.這些工作重新引燃了人們對(duì)IP時(shí)間隱通道的重視.

隱通道是實(shí)現(xiàn)網(wǎng)絡(luò)匿名通信的有效方法[8]，美國(guó)的TCSEC,ISO的CC和我國(guó)的GB17859—1999等標(biāo)準(zhǔn)中均有相關(guān)要求.因?yàn)闀r(shí)間作為發(fā)送方和接收方的共享資源是不可割斷的，所以IP時(shí)間隱通道在網(wǎng)絡(luò)系統(tǒng)中幾乎不能被根除[9].目前已經(jīng)認(rèn)識(shí)到IP時(shí)間隱通道的應(yīng)用可以分為2類：1)利用IP時(shí)間隱通道抵抗監(jiān)聽.若保密節(jié)點(diǎn)之間的通信不可避免地處于敵方的監(jiān)控之下，那么兩者之間的任何異動(dòng)，如頻繁交換信息或更換高強(qiáng)度密碼都將引起敵方的警覺.而借助IP時(shí)間隱通道的方式，將秘密信息的發(fā)送隱藏于日常非機(jī)密的事物性信息流中，可以有效規(guī)避敵方的監(jiān)控和警覺.2)利用IP時(shí)間隱通道制作數(shù)據(jù)流水印.在匿名通信系統(tǒng)中，將一段用IP時(shí)間隱通道表示的信息嵌入到數(shù)據(jù)包流中作為水印，用以監(jiān)視敏感數(shù)據(jù)的真實(shí)走向或用以追查和取證匿名網(wǎng)絡(luò)攻擊.

目前IP時(shí)間隱通道沒有統(tǒng)一的數(shù)學(xué)模型，因此其關(guān)鍵性能指標(biāo)如帶寬和誤碼率等，主要依靠實(shí)驗(yàn)測(cè)定，無法進(jìn)行理論估算.而建立IP時(shí)間隱通道的數(shù)學(xué)模型必須首先解決時(shí)間信號(hào)的消息嵌入與提取算法問題.時(shí)間變量作為一種非常規(guī)信息載體信號(hào)缺乏系統(tǒng)的理論研究.本文的主要貢獻(xiàn)在于：

1) 給出了時(shí)間信號(hào)調(diào)制與解調(diào)的基本方式；

2) 建立了IP時(shí)間隱通道的隨機(jī)過程數(shù)學(xué)模型；

3) 對(duì)IP時(shí)間隱通道的性能進(jìn)行了形式化分析，并給出了具有一般性的結(jié)論，實(shí)驗(yàn)結(jié)果印證了理論分析的正確性.

1相關(guān)工作

已知最早的IP時(shí)間隱通道實(shí)驗(yàn)在美國(guó)普渡大學(xué)完成[4].他們采用固定長(zhǎng)度的時(shí)間窗口隱藏信息，即接收方以時(shí)間間隔Δt為單位將時(shí)間線劃分成若干個(gè)相鄰的窗口，從第1個(gè)窗口開始，若有發(fā)送方傳來的數(shù)據(jù)包到達(dá)則接收二進(jìn)制信息“1”，否則接收二進(jìn)制信息“0”，然后逐次轉(zhuǎn)向其后的窗口接收信息.這種方法存在著明顯的技術(shù)缺陷，即要求發(fā)送方與接收方時(shí)鐘同步.若被傳送的二進(jìn)制信息中0和1以等概率出現(xiàn)，則平均一個(gè)數(shù)據(jù)包可以承載2 b的信息.其后Berk等人[10]提出通過傳輸連續(xù)2個(gè)數(shù)據(jù)包之間的時(shí)間差值變化隱藏信息.這樣連續(xù)傳輸?shù)膎+1個(gè)數(shù)據(jù)包共可承載n個(gè)時(shí)間差變量.若將這些參數(shù)作為一個(gè)n維向量對(duì)待且每個(gè)參數(shù)有m種不同的取值，則平均每個(gè)數(shù)據(jù)包可以攜帶的信息量是mn(n+1)(單位為b).又因?yàn)椴捎孟鄬?duì)的時(shí)間差值，所以這種方法不需要收發(fā)雙方的時(shí)鐘同步.

時(shí)間隱通道的分析可以概括為檢測(cè)、審計(jì)和消除3個(gè)部分[11].對(duì)其工作模式的刻畫決定了隱通道的檢測(cè)方法[12].現(xiàn)有的檢測(cè)方法可以分為2類：形狀參數(shù)檢驗(yàn)和規(guī)律性檢驗(yàn).形狀參數(shù)檢驗(yàn)主要是分析數(shù)據(jù)的1階統(tǒng)計(jì)參數(shù)，包括平均值、方差以及概率分布；而規(guī)律性檢驗(yàn)則是分析數(shù)據(jù)間的相關(guān)性，采用2階或高階統(tǒng)計(jì)量，度量數(shù)據(jù)的概率分布規(guī)律性[13].目前采用的檢測(cè)指標(biāo)主要有3種：Cabuk等人的數(shù)據(jù)包間隔方差指標(biāo)[9]、Berk 等人的數(shù)據(jù)包間隔概率分布相似度指標(biāo)[10]和Gianvecchio等人的數(shù)據(jù)包間隔熵率指標(biāo)[14].這些檢測(cè)方法的指導(dǎo)思想是：IP時(shí)間隱通道使用數(shù)據(jù)包的達(dá)到時(shí)間變化隱藏信息，故其時(shí)間分布特性必然區(qū)別于正常的網(wǎng)絡(luò)數(shù)據(jù)包.所以若IP時(shí)間隱通道中的數(shù)據(jù)包與網(wǎng)絡(luò)中正常數(shù)據(jù)包的傳輸時(shí)間滿足相同的分布函數(shù)，這些檢測(cè)技術(shù)將失效[15]，因此出現(xiàn)了IP時(shí)間隱通道的隱藏方法[15-16].

Fig. 1　The communication model of IP covert timing channels.圖1　IP時(shí)間隱通道的通信模型

早期隱藏技術(shù)的不足之處在于需要計(jì)算待偽裝分布函數(shù)的反函數(shù)，但分布函數(shù)是積分變上限函數(shù)或下限函數(shù)，所以這樣的反函數(shù)可能沒有解析解[17].網(wǎng)絡(luò)中IP數(shù)據(jù)包傳輸時(shí)間的分布函數(shù)具有多樣性[18]，故應(yīng)用這類抗檢測(cè)方法具有較大的局限性.我們課題組提出的基于蒙特卡羅方法的IP時(shí)間隱通道隱藏方法(見文獻(xiàn)[19])較好地解決了這一問題.

目前IP時(shí)間隱通道的消除方法主要有：流量控制法[20]、泵協(xié)議法[21]和混沌時(shí)間法[22]等，這些方法大多來源于多安全級(jí)可信系統(tǒng)中時(shí)間隱通道消除方法的改進(jìn).其本質(zhì)均是通過增加信道中的噪聲使接收方無法以較低的誤碼率還原出被傳送的信息而致癱.與傳統(tǒng)的隱通道審計(jì)方式一致，IP時(shí)間隱通道也使用帶寬作為審計(jì)指標(biāo)[11].

相對(duì)于其他的網(wǎng)絡(luò)安全問題，IP時(shí)間隱通道的研究起步較晚.目前多是以樸素的信息傳遞思想實(shí)現(xiàn)了IP時(shí)間隱通道的基本通信功能，并進(jìn)一步在實(shí)驗(yàn)的基礎(chǔ)上，借助前人在多安全級(jí)可信操作系統(tǒng)中關(guān)于時(shí)間隱通道的研究成果，提出了IP時(shí)間隱通道的檢測(cè)和消除方法，見文獻(xiàn)[9，15，23].但I(xiàn)P時(shí)間隱通道和多安全級(jí)操作系統(tǒng)中的時(shí)間隱通道存在著顯著的差別：首先，IP時(shí)間隱通道通過數(shù)據(jù)包到達(dá)的時(shí)間變化傳遞信息，而多安全級(jí)操作系統(tǒng)中的時(shí)間隱通道則是通過對(duì)操作系統(tǒng)中的共享資源競(jìng)爭(zhēng)所獲得的服務(wù)時(shí)間差異傳遞信息[1]；其次，在IP時(shí)間隱通道中，數(shù)據(jù)包一旦進(jìn)入網(wǎng)絡(luò)，其傳輸將完全不受發(fā)送方和接收方的控制，只取決于網(wǎng)絡(luò)當(dāng)前的擁塞狀態(tài)，其傳輸過程是典型的隨機(jī)事件，而在多安全級(jí)操作系統(tǒng)中，具有不同安全級(jí)的主體擁有不同的權(quán)限可以控制對(duì)共享資源的使用時(shí)間，因此其傳輸過程在發(fā)送方與接收方的合作下是可控且確定的.

IP時(shí)間隱通道沒有統(tǒng)一的數(shù)學(xué)模型，無法預(yù)先求得其在給定網(wǎng)絡(luò)環(huán)境下可證明的極限帶寬和通信誤碼率，亦無法建立它們與網(wǎng)絡(luò)環(huán)境參數(shù)之間的函數(shù)關(guān)系.因此不管是在Cabuk等人[4]還是在Sellke等人[15]的工作中，在這些已知最為成功的關(guān)于IP時(shí)間隱通道的實(shí)驗(yàn)中，其功能參數(shù)均是通過實(shí)驗(yàn)測(cè)出的近似值，而不是通過形式化推導(dǎo)求出的最優(yōu)解.

2時(shí)間信號(hào)的調(diào)制解調(diào)

IP時(shí)間隱通道是包交換網(wǎng)絡(luò)之上的一種非常規(guī)寄生式信道，它利用數(shù)據(jù)包攜帶的時(shí)間信號(hào)變化實(shí)施通信，但時(shí)間信號(hào)在網(wǎng)絡(luò)傳輸中會(huì)受到多種隨機(jī)噪聲的干擾，被干擾的時(shí)間信號(hào)會(huì)發(fā)生畸變.

基于這樣的認(rèn)識(shí)，我們利用隨機(jī)過程理論定義IP時(shí)間隱通道并建立對(duì)應(yīng)的數(shù)學(xué)模型.首先，我們研究IP時(shí)間隱通道的工作原理.通過歸納分析，我們給出其工作原理如圖1所示，其特征是：IP時(shí)間隱通道的輸入信號(hào){s1,s2,…,sn}是一組關(guān)于時(shí)間t的變量，通過調(diào)制器將{s1,s2,…,sn}轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)介質(zhì)中的時(shí)間信號(hào)進(jìn)行遠(yuǎn)距離傳輸；在信道的另一端通過解調(diào)器對(duì)時(shí)間信號(hào)解調(diào)，得到另外一組關(guān)于時(shí)間t的變量{r1,r2,…,rn}.因?yàn)榫W(wǎng)絡(luò)中噪聲的干擾，所以在傳輸?shù)倪^程中，時(shí)間信號(hào)si會(huì)發(fā)生畸變，因此一般地，si≠ri,i=1,2,…,n.

條件概率P(si|rj)的值刻畫了IP時(shí)間隱通道對(duì)時(shí)間信號(hào)正確傳輸?shù)男阅?在沒有噪聲干擾的情況下P(si|rj)=1，即可根據(jù)接收信號(hào)完全確定發(fā)送信號(hào)，此時(shí)信道的誤碼率為0.但受網(wǎng)絡(luò)中噪聲的干擾，0

2.1IP時(shí)間隱通道的數(shù)學(xué)定義

我們借助時(shí)間信號(hào)的概念給出IP時(shí)間隱通道的數(shù)學(xué)定義.

定義1. IP時(shí)間隱通道.在包交換網(wǎng)絡(luò)中，若通信雙方使用

(1)

作為通信中消息的載體，那么這樣的信道稱為IP時(shí)間隱通道.其中{IP_Packet}表示IP數(shù)據(jù)包的集合，si(pi)表示pi攜帶的時(shí)間信號(hào).

定義1可以從2個(gè)角度進(jìn)行理解：1)s(p)是n種關(guān)于T的不同信號(hào)的線性組合，如圖2所示.組合不同，傳遞的消息也不同;2)IP時(shí)間隱通道是通過數(shù)據(jù)包攜帶的時(shí)間信號(hào)變化通信的，但未對(duì)數(shù)據(jù)包本身的結(jié)構(gòu)實(shí)施任何改動(dòng).

Fig. 2　Communication by the amplitudes of timing signals.圖2　利用時(shí)間信號(hào)的振幅通信

在常規(guī)通信技術(shù)中，廣泛使用的信號(hào)是簡(jiǎn)諧波信號(hào)，在這種載波信號(hào)中，時(shí)間t被作為唯一的獨(dú)立變量[23]，且根據(jù)調(diào)制參數(shù)的不同，其通信方式對(duì)應(yīng)的有調(diào)幅、調(diào)頻和調(diào)相3種.而在定義1中，數(shù)據(jù)包pi是唯一的獨(dú)立變量，時(shí)間t不再是獨(dú)立的變量，而是變量pi的函數(shù)，所以t被用作調(diào)制消息的信號(hào).若將si(pi)表示的信號(hào)利用T的數(shù)值大小進(jìn)行區(qū)分，即將T解釋成一種關(guān)于時(shí)間的波形信號(hào)的振幅，那么可將這種通信方式理解成調(diào)幅通信，如圖2所示.

2.2IP時(shí)間隱通道的基本型

在調(diào)制時(shí)間信號(hào)之前，需要知道時(shí)間信號(hào)具有哪些可以被調(diào)制的特性.

物理學(xué)中關(guān)于時(shí)間的定義是：時(shí)間是一個(gè)衡量系統(tǒng)，它被用來度量事件發(fā)生的順序、事件的持續(xù)長(zhǎng)度以及事件之間的間隔，時(shí)間也被用來量化客體的改變率.基于這樣的定義，我們提出IP時(shí)間隱通道中傳輸?shù)臅r(shí)間信號(hào)至少有3種不同的調(diào)制方式.

Ⅰ型.在固定的時(shí)間間隔Δt內(nèi)，通過有或無數(shù)據(jù)包到達(dá)，傳遞可根據(jù)數(shù)據(jù)包個(gè)數(shù)差異識(shí)別的時(shí)間信號(hào)si(i=0,1)；

Ⅱ型.給定一組n個(gè)數(shù)據(jù)包，通過連續(xù)到達(dá)數(shù)據(jù)包的間隔時(shí)間Δti∈{Δt1,Δt2,…,Δtn-1}，傳遞可根據(jù)Δti差異識(shí)別的時(shí)間信號(hào)si(i=1,2,…,n-1)；

Ⅲ型.給定一組n個(gè)數(shù)據(jù)包，其到達(dá)的順序是pi∈{P}，其中{P}是該組數(shù)據(jù)包標(biāo)識(shí)的全排列，傳遞可根據(jù)數(shù)據(jù)包標(biāo)識(shí)排列差異識(shí)別的時(shí)間信號(hào)si(i=1,2,…,n!).

這3種類型分別對(duì)應(yīng)時(shí)間定義中的“量化客體的改變率”、“度量事件之間的間隔”和“度量事件發(fā)生的順序”.其中Ⅰ型可以看作是調(diào)控客體在單位時(shí)間內(nèi)的改變率；Ⅱ型可以看作是調(diào)控事件之間的間隔；Ⅲ型可以看作是控制事件發(fā)生的順序.

這3種類型構(gòu)成了IP時(shí)間隱通道的基礎(chǔ)通信模式.因此無論一個(gè)具體的IP時(shí)間隱通道采用何種時(shí)間信號(hào)，其底層必是通過“量化客體的改變率”、“度量事件之間的間隔”或“度量事件發(fā)生的順序”實(shí)現(xiàn)的.

Fig. 3　Signal modulation of IP covert timing channels.圖3　IP時(shí)間隱通道的信號(hào)調(diào)制

3算法模型及其性能分析

本節(jié)在時(shí)間信號(hào)調(diào)制解調(diào)方法的基礎(chǔ)上，利用隨機(jī)過程理論建立IP時(shí)間隱通道的算法模型，并對(duì)其性能進(jìn)行分析.

3.1Ⅰ型IP時(shí)間隱通道

在Ⅰ型中，發(fā)送方若在一個(gè)定長(zhǎng)為T的時(shí)間窗口內(nèi)發(fā)送了一個(gè)數(shù)據(jù)包，那么接收方在對(duì)應(yīng)的時(shí)間窗口內(nèi)能否觀測(cè)到該數(shù)據(jù)包就決定了Ⅰ型傳輸消息的正確性.

一般地，數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸時(shí)間受到2種噪聲的干擾：傳輸時(shí)延Td和時(shí)延抖動(dòng)j.數(shù)據(jù)包的傳輸平均時(shí)延Td是數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸平均所必須消耗的時(shí)間，它與網(wǎng)絡(luò)中設(shè)備的硬件性能和傳輸距離有關(guān).當(dāng)Td→∞時(shí)，可認(rèn)為數(shù)據(jù)包丟失.而時(shí)延抖動(dòng)j則是具體數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸所消耗的時(shí)間與平均時(shí)延的偏離值，即ji=Ti-Td.從概率的角度觀察，集合J(ji∈J,i∈+)是一組隨機(jī)變量，其密度函數(shù)為

(2)

即J作為一組隨機(jī)變量滿足均值E(ξ)=0，方差D(ξ)=σ2的正態(tài)分布.

理想地，對(duì)任意j∈J，j=0.此時(shí)若發(fā)送方起始時(shí)間點(diǎn)為t0，時(shí)間窗口的長(zhǎng)度為T，則接收方應(yīng)選擇t0+Td為起始點(diǎn)，并以T為時(shí)間窗口長(zhǎng)度觀測(cè)數(shù)據(jù)包的到達(dá).若發(fā)送的時(shí)間點(diǎn)是窗口的中點(diǎn)t0+T2，那么數(shù)據(jù)包的到達(dá)的時(shí)間為t0+Td+T2.因必有(t0+Td+T2)∈[t0+Td,t0+Td+T]，所以發(fā)送的數(shù)據(jù)包一定落在對(duì)應(yīng)的觀察窗口之內(nèi)，故無論發(fā)送0或1，都能被正確接收，如圖4所示:

Fig. 4　Noise interferences for IP covert timing channels.圖4　IP時(shí)間隱通道的噪聲干擾

一般地，因?yàn)闀r(shí)延抖動(dòng)j≠0，所以發(fā)送方在t0+T2發(fā)送的數(shù)據(jù)包，并不能保證在t0+Td+T2時(shí)刻到達(dá)，其到達(dá)的時(shí)刻為預(yù)期到達(dá)時(shí)刻與該數(shù)據(jù)包的時(shí)延抖動(dòng)值之和：Tarrival=(t0+Td+T2)+j，其中t0+Td+T2為在接收方時(shí)間作標(biāo)軸上的數(shù)據(jù)包的期望到達(dá)時(shí)刻.顯然只有Tarrival∈[t0+Td,t0+Td+T]成立，消息才能被正確接收，如圖4所示.

因?yàn)閖作為隨機(jī)變量滿足均值為0、方差為σ2的正態(tài)分布，可以證明在時(shí)間窗口的中點(diǎn)發(fā)送能夠使得數(shù)據(jù)包落在觀測(cè)窗口之內(nèi)的概率最大，故第i個(gè)窗口的最優(yōu)發(fā)送點(diǎn)為：t0+T2+(i-1)T，i∈+.

不失一般性，我們研究圖4左側(cè)第1個(gè)時(shí)間窗口.當(dāng)采用最優(yōu)時(shí)間發(fā)送點(diǎn)時(shí)，j∈J具有式(2)所表示的概率密度函數(shù)，所以數(shù)據(jù)包在[t0+Td,t0+Td+T]區(qū)間到達(dá)的概率為

P(t0+Td≤Tarrival≤t0+Td+T)=

(3)

式(3)采用坐標(biāo)平移化簡(jiǎn)后，可得結(jié)果：

(4)

式(4)表示由式(2)表示的正態(tài)分布函數(shù)曲線與直線x=-T2和x=T2所圍成的區(qū)域的面積，如圖5所示，其幾何意義是P(1|1)，即發(fā)送1時(shí)被正確接收的概率.此時(shí)其誤碼率是：

(5)

式(5)的幾何意義是P(0|1)，即發(fā)送1時(shí)接收0的概率，其值為圖5中2塊陰影面積之和.

Fig. 5　Density function curve of packets transmission delay.圖5　時(shí)延抖動(dòng)的密度函數(shù)圖像

根據(jù)圖4，可以直觀看出Ⅰ型在發(fā)送1或者0時(shí)，兩者在接收方解碼的誤碼率并不相同.這是因?yàn)榘l(fā)送0時(shí)，在發(fā)送方的時(shí)間窗口T內(nèi)，并無數(shù)據(jù)包傳送，因此在對(duì)應(yīng)的接收方時(shí)間窗口內(nèi)若能接收到某個(gè)數(shù)據(jù)包而產(chǎn)生誤碼，該數(shù)據(jù)包只可能來自發(fā)送方當(dāng)前發(fā)送窗口的左側(cè)(因?yàn)閿?shù)據(jù)包不會(huì)在尚未發(fā)送之前就到達(dá)).這表明P(1|0)的計(jì)算依賴于其左側(cè)的若干個(gè)時(shí)間窗口，是典型的Markov鏈.

為簡(jiǎn)化問題規(guī)模，我們只計(jì)算一步Markov鏈的轉(zhuǎn)移，即認(rèn)為P(1|0)只與其左側(cè)緊鄰的時(shí)間窗口有關(guān).這個(gè)假設(shè)的合理性在于：1)正態(tài)分布的隨機(jī)變量在遠(yuǎn)離其均值的位置，事件的概率迅速下降，因此當(dāng)前時(shí)間窗口左側(cè)更遠(yuǎn)的窗口對(duì)當(dāng)前窗口接收數(shù)據(jù)造成干擾的概率很小，在[3σ,-3σ]區(qū)間以外，誤差小于3‰；2)在網(wǎng)絡(luò)中，一個(gè)數(shù)據(jù)包若在設(shè)定的時(shí)間內(nèi)沒有到達(dá)，依據(jù)網(wǎng)絡(luò)協(xié)議可能會(huì)要求重傳或者被直接丟棄，因此相鄰左側(cè)的n個(gè)時(shí)間窗口對(duì)當(dāng)前時(shí)間窗口的干擾，對(duì)n會(huì)有長(zhǎng)度限制.因此當(dāng)T?σ時(shí)，使用多步Markov鏈計(jì)算意義不大.

因此，若Ⅰ型傳送的二進(jìn)制消息中0和1以等概率出現(xiàn)，那么有：

(6)

式(6)中的定積分表示圖5右側(cè)陰影部分的面積，即當(dāng)前時(shí)間窗口中的數(shù)據(jù)包進(jìn)入下一個(gè)時(shí)間窗口的概率.其前面給出系數(shù)12，是因?yàn)槿舢?dāng)前時(shí)間窗口的左側(cè)發(fā)送的是0，即無數(shù)據(jù)包，那么對(duì)于當(dāng)前時(shí)間窗口接收0也不會(huì)形成干擾，只有當(dāng)前時(shí)間窗口的左側(cè)發(fā)送的是1才可能形成誤碼，又因?yàn)榧僭O(shè)0和1在所有被傳輸?shù)亩M(jìn)制消息中以等概率出現(xiàn)，所以Ⅰ型的誤碼率是：

Pe=P(1)P(0|1)+P(0)P(1|0)=

(7)

因?yàn)閑rfc(x)是嚴(yán)格單調(diào)遞減函數(shù)，所以式(7)表明時(shí)間窗口長(zhǎng)度T越大，時(shí)延抖動(dòng)的均方差σ越小，誤碼率越低，如表1所示:

Table 1　Error Rates with Tσ

表1　誤碼率與Tσ的關(guān)系表

Table 1　Error Rates with Tσ

T∕σPe10.38620.19830.840×10-140.280×10-150.776×10-4

盡管Ⅰ型需要收發(fā)雙方時(shí)鐘同步，難以精準(zhǔn)實(shí)現(xiàn)，但這并不意味Ⅰ型沒有實(shí)用價(jià)值.我們課題組在Ⅰ型實(shí)驗(yàn)中，將時(shí)鐘同步誤差計(jì)入數(shù)據(jù)包傳輸?shù)臅r(shí)延抖動(dòng)噪聲中.表1中的數(shù)據(jù)表明，這樣的處理方式，當(dāng)觀測(cè)窗口的長(zhǎng)度T>5σ時(shí)，誤差可控制在110 000以內(nèi).亦即較大的時(shí)鐘同步誤差需要引入較大的觀測(cè)窗口長(zhǎng)度.

因?yàn)棰裥驮诿總€(gè)定長(zhǎng)時(shí)間窗口T內(nèi)傳送1 b的信息，因此其帶寬C=1T.

3.2Ⅱ型IP時(shí)間隱通道

若在n+1個(gè)連續(xù)數(shù)據(jù)包所形成的n個(gè)間隔時(shí)間(T1,T2,…,Tn)中調(diào)制承載L(單位為b)的信息，且有：Ti=Δ+id，i∈[0,1,…,M-1].其中Δ>0,M∈+，即每個(gè)Ti共有M種不同的取值，其中Δ代表系統(tǒng)中可區(qū)分的數(shù)據(jù)包間最短間隔；d是間隔步長(zhǎng).那么n,M,L作為整數(shù)滿足如下的函數(shù)關(guān)系：Mn=2L，即：L=nlbM.

為獲取最大通信帶寬，最好情況下，n個(gè)間隔都使用最小值Δ；最壞情況則是n個(gè)間隔都取最大值Δ+(M-1)d，因此Ⅱ型的帶寬C滿足不等式：

(8)

不失一般性，設(shè)Ti的M種取值在通信中以等概率出現(xiàn)，那么Ti的期望值是：E(Ti)=Δ+(M-1)d2，所以Ⅱ型帶寬的均值為

(9)

式(8)(9)分別給出了Ⅱ型帶寬的上界、下界和均值.Ⅱ型的平均帶寬E(C)與M之間的函數(shù)關(guān)系如圖6所示.在n,Δ,d給定的情況下，為獲得較高帶寬，M存在最優(yōu)解，即方程?E(C)?M=0的最接近整數(shù)解.在圖6中，當(dāng)n=4,Δ=50,d=10時(shí)(Δ,d的單位為ms)，其最優(yōu)整數(shù)解是8.

Fig. 6　The curve of E(C) function.圖6　E(C)的函數(shù)圖像

下面我們研究Ⅱ型的誤碼率.若Ti=Δ+id，i∈[0,1,…,M-1]，即每個(gè)Ti共有M種不同的取值，且任意2種不同間隔的差值為d的整數(shù)倍.與Ⅰ型討論相同，噪聲nc是數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中的抖動(dòng)時(shí)間j∈J.因此當(dāng)發(fā)送間隔為Ti時(shí)，接收到的間隔是Ti+ji.根據(jù)隨機(jī)過程理論，可證明d2是接收信號(hào)判定的最優(yōu)閾值[27]，即對(duì)于接收的時(shí)間信號(hào)Tr，若|Tr-Ti|≤d2，i∈[1,2,…,n]，則判定：Tr=Ti.所以當(dāng)ji超過判決閾值d2時(shí)，在接收方對(duì)信號(hào)產(chǎn)生誤判.但有2種情況例外：1)當(dāng)Ti=Δ時(shí)，因?yàn)闆]有更小的間隔，所以即使對(duì)應(yīng)的時(shí)延抖動(dòng)ji<-d2也不會(huì)發(fā)生誤判(總是被解釋為最小間隔)；2)當(dāng)Ti=Δ+(M-1)d時(shí)，因?yàn)闆]有更大的間隔，所以即使時(shí)延抖動(dòng)ji>d2也不會(huì)發(fā)生誤判(總是被解釋為最大間隔).當(dāng)Ti的M種取值在通信中以等概率出現(xiàn)時(shí)，其平均誤碼率為

(10)

Tr=tk+1+Td+jk+1-(tk+Td+jk)=

(tk+1-tk)+(jk+1-jk)=

(11)

(12)

因?yàn)閑rfc(x)是嚴(yán)格單調(diào)遞減函數(shù)，式(12)表明，當(dāng)M給定時(shí)，步長(zhǎng)d越大，時(shí)延抖動(dòng)的均方差σ越小，誤碼率越低，如表2所示:

Table 2　Error Rates with dσ(M=4)

表2　誤碼率與dσ的關(guān)系 (M=4)

Table 2　Error Rates with dσ(M=4)

d∕σPe10.54320.36030.21740.11850.05860.025

(13)

式(13)表明，當(dāng)時(shí)延抖動(dòng)均方差σ較大時(shí)，為保證Δ能可靠地傳輸，其取值也須相應(yīng)增大.

3.3實(shí)驗(yàn)

在相關(guān)基金項(xiàng)目的支持下，課題組歷時(shí)4年多開發(fā)了IP時(shí)間隱通道的綜合實(shí)驗(yàn)平臺(tái).該系統(tǒng)支持宿主信道、時(shí)間信號(hào)編碼方式等參數(shù)的可視化設(shè)置，此外系統(tǒng)還將信道中傳輸?shù)南⒉捎梅侄畏庋b，每段消息由數(shù)量固定的K(K≥2)個(gè)數(shù)據(jù)包分組負(fù)載.采用封裝較好地解決了在傳輸過程中由于數(shù)據(jù)包合并或者拆分導(dǎo)致的時(shí)間信號(hào)誤碼散播問題.

Fig. 7　Information transmission model of IP covert timing channels.圖7　IP時(shí)間隱通道的信息傳輸模型

系統(tǒng)的工作模型如圖7所示.對(duì)于Ⅰ型IP時(shí)間隱通道，在實(shí)驗(yàn)平臺(tái)中我們?nèi)匀徊捎谜{(diào)制包間間隔的方式進(jìn)行通信，即在相同的時(shí)間軸上，通過控制包間間隔調(diào)制在固定長(zhǎng)度的時(shí)間窗口內(nèi)數(shù)據(jù)包的發(fā)送和到達(dá)進(jìn)行編碼和解碼.對(duì)于Ⅱ型IP時(shí)間隱通道，由于解碼完全依賴于觀測(cè)到的包間間隔，所以必須對(duì)接收的包間間隔進(jìn)行校正，否則直接獲取的間隔數(shù)值很可能沒有對(duì)應(yīng)的編碼信息.因此我們給出一個(gè)判決閾值v，規(guī)定當(dāng)接收間隔與某個(gè)發(fā)送間隔的差的絕對(duì)值小于閾值v，那么認(rèn)定接收間隔即是此發(fā)送間隔.若編碼表中采用了n種間隔時(shí)間T1,T2,…,Tn，且觀測(cè)到的包間間隔時(shí)間為x，那么校正函數(shù)adjust(x)為

(14)

與Ⅰ型中的討論相同，可以證明若這n種間隔之間的步長(zhǎng)為d，其最佳判決閾值v=d2.

在使用IP時(shí)間隱通道正式通信前，收發(fā)雙方需共享通信參數(shù)表，這包括：編碼方案、觀測(cè)窗口長(zhǎng)度T、包間最小間隔Δ和間隔步長(zhǎng)d.為避免每次通信前均需進(jìn)行參數(shù)的協(xié)商，我們?cè)O(shè)計(jì)了一種雙盲的策略，其基本思想是：根據(jù)網(wǎng)絡(luò)中IP數(shù)據(jù)包傳輸?shù)臓顟B(tài)動(dòng)態(tài)地選擇通信參數(shù).

根據(jù)本文中的式(7)(12)(13)，在誤碼率給定的情況下，T,Δ,d與數(shù)據(jù)包傳輸時(shí)延抖動(dòng)的均方差σ成正比關(guān)系.因此在發(fā)送方和接收方不再簡(jiǎn)單地預(yù)存編碼方案和T,Δ,d的數(shù)值，而是僅預(yù)存編碼方案和一個(gè)實(shí)數(shù)三元組(x,y,z)，并定義：

(15)

即根據(jù)σ的取值范圍動(dòng)態(tài)地選取T,Δ和d.當(dāng)編碼方案和可接受的誤碼率給定時(shí)，(x,y,z)的值可由式(7)(12)(13)確定.其中σ的測(cè)量方法是：發(fā)送方和接收方各自獨(dú)立地向?qū)Ψ交蚴蔷W(wǎng)絡(luò)中的某些節(jié)點(diǎn)發(fā)送若干個(gè)嗅探數(shù)據(jù)包，并根據(jù)嗅探數(shù)據(jù)包的發(fā)送和到達(dá)時(shí)間測(cè)量σ.

在理想的情況下，若發(fā)送方的(T,d,Δ)=(xti,yti,zti)，接收方的(T,d,Δ)=(xtj,ytj,ztj)，則有|i-j|=0.即發(fā)送方和接收方采用的通信參數(shù)完全一致.若|i-j|≠0，不妨設(shè)|i-j|=K(K≥1)，即發(fā)送方和接收方獨(dú)立測(cè)定的σ落在了鄰近不同的分段區(qū)域中，此時(shí)解碼出的明文必不正確，或無法還原出正確的明文文件格式，或解碼出的明文不具有可讀性.我們?cè)O(shè)計(jì)的實(shí)驗(yàn)平臺(tái)是異步解碼的，即先將提取出的包間間隔信息保存后再進(jìn)行解碼.因此當(dāng)|i-j|=K(K≥1)時(shí)，接收方可以通過遍歷j的鄰域找出正確的參數(shù)，例如當(dāng)K=1時(shí)，僅需遍歷j-1和j+1共2種狀態(tài)即可找出正確的解碼方案.

為了在網(wǎng)絡(luò)中能夠人為控制數(shù)據(jù)包傳輸?shù)亩秳?dòng)時(shí)間，系統(tǒng)在發(fā)送端向編碼后的數(shù)據(jù)包傳送間隔中逐次注入噪聲{t1,t2,…}，其中{t1,t2,…}是使用Matlab生成的均值為0、方差為σ的一組正態(tài)分布隨機(jī)變量，以此模擬網(wǎng)絡(luò)中數(shù)據(jù)包傳輸?shù)亩秳?dòng)時(shí)間.需要指出的是：1)若更換不同的分布函數(shù)，這種方法可以生成滿足不同分布的數(shù)據(jù)包傳輸抖動(dòng)時(shí)間；2)因?yàn)镸atlab并不能確保這樣生成的有限個(gè)隨機(jī)變量其方差恰好是σ，且在實(shí)驗(yàn)中IP數(shù)據(jù)包在局域網(wǎng)中傳輸也會(huì)引入較小的傳輸抖動(dòng)時(shí)間，所以在以下的實(shí)驗(yàn)中σ的理論值和實(shí)際觀測(cè)值之間存在誤差.

3.4實(shí)驗(yàn)結(jié)果

在Ⅰ型中，取σ=4 ms來產(chǎn)生隨機(jī)時(shí)延，通信采用的觀測(cè)窗口長(zhǎng)度分別取4 ms，8 ms，12 ms，16 ms和20 ms.對(duì)每一個(gè)不同長(zhǎng)度的觀測(cè)窗口，傳輸5 000個(gè)數(shù)據(jù)包，然后取測(cè)量的平均值，如表3所示，其中TE表示理論誤碼率，PE表示實(shí)測(cè)誤碼率，Realσ表示實(shí)測(cè)的σ值.在表4中，σ=6 ms，通信采用的觀測(cè)窗口長(zhǎng)度分別取6 ms，12 ms，18 ms，24 ms和30 ms，同樣對(duì)每一個(gè)觀測(cè)窗口傳輸5 000個(gè)數(shù)據(jù)包，然后取測(cè)量的平均值.根據(jù)式(7)，Ⅰ型的誤碼率由Tσ決定，所在表3和表4中TE的值相同.

Table 3Error Rates of Type Ⅰ, Where Observation

Windows Have Various Lengths (σ=4 ms)

表3　基于變長(zhǎng)觀測(cè)窗口的Ⅰ型誤碼率(σ=4 ms)

Table 4Error Rates of Type Ⅰ, Where Observation

Windows Have Various Lengths (σ=6 ms)

表4　基于變長(zhǎng)觀測(cè)窗口的Ⅰ型誤碼率(σ=6 ms)

Fig. 8　Error rates of type, where observation windows have various lengths.圖8　基于變長(zhǎng)觀測(cè)窗口Ⅰ型的誤碼率

在圖8中，縱坐標(biāo)表示誤碼率，橫坐標(biāo)表示Tσ的值，TE標(biāo)注的是理論估算的誤碼率，PE1標(biāo)注的是表3中的實(shí)測(cè)誤碼率，PE2標(biāo)注的是表4中的實(shí)測(cè)誤碼率.在圖9中，縱坐標(biāo)表示誤碼率，橫坐標(biāo)表示σ的取值，曲線TE標(biāo)注的是表5中理論估算的誤碼率，在各觀測(cè)點(diǎn)使用誤差棒標(biāo)注誤差范圍.由此可見，Ⅰ型的各項(xiàng)理論估算值與實(shí)驗(yàn)觀測(cè)值吻合度高.

Fig. 9　Error rates of type Ⅰ, where observation windows have fixed length.圖9　基于定長(zhǎng)觀測(cè)窗口Ⅰ型的誤碼率

同樣對(duì)Ⅰ型，將觀測(cè)窗口長(zhǎng)度固定為30 ms，σ分別取6 ms，8 ms，10 ms，12 ms，15 ms.在每個(gè)不同的σ取值下傳輸5 000個(gè)數(shù)據(jù)包，取測(cè)量的平均值，如表5所示:

Table 5Error Rates of Type Ⅰ, Where Observation

Windows Have Fixed Length (T=30 ms)

表5　基于定長(zhǎng)觀測(cè)窗口的Ⅰ型誤碼率(T=30 ms)

在Ⅱ型中，分別取σ=10 ms和σ=20 ms來產(chǎn)生隨機(jī)時(shí)延，Δ與d的具體取值分別如表6和表7所示.根據(jù)式(11)，Ⅱ型誤碼率由dσ決定，所以表6和表7中理論誤碼率的取值相同.表6和表7中每項(xiàng)實(shí)測(cè)值均為傳輸5 000個(gè)數(shù)據(jù)包的測(cè)量均值.

Table 6　Error Rates of TypeⅡ (σ=10 ms)

Table 7　Error Rates of Type Ⅱ (σ=20 ms)

在表8中，取Δ=30 ms，d=60 ms，M=4，σ分別取10，15，20，25，30和35，表8中每一項(xiàng)實(shí)測(cè)值為傳送5 000個(gè)數(shù)據(jù)包的測(cè)量平均值.

Table 8Error Rates of Type Ⅱ (Δ=30 ms,d=60 ms,M=4)

表8?、蛐驼`碼率(Δ=30 ms,d=60 ms,M=4)

Fig. 11　Error rates of type Ⅱ (Δ=30 ms,d=60 ms,M=4).圖11　Ⅱ型的誤碼率(Δ=30 ms,d=60 ms,M=4)

在圖10中，縱坐標(biāo)表示誤碼率，橫坐標(biāo)表示dσ的值，TE標(biāo)注的軌跡是理論估算的誤碼率，PE1標(biāo)注是表6中的實(shí)測(cè)誤碼率，PE2標(biāo)注是表7中的實(shí)測(cè)誤碼率.在圖11中，縱坐標(biāo)表示誤碼率，橫坐標(biāo)表示σ的取值，使用曲線TE標(biāo)注的軌跡是表8中理論估算的誤碼率，在各觀測(cè)點(diǎn)使用誤差棒標(biāo)注誤差范圍.由此可見，Ⅱ型的各項(xiàng)理論估算值與實(shí)驗(yàn)觀測(cè)值吻合度高.

Fig. 10　Error rates of type Ⅱ,PE1(σ≈10),PE2 (σ≈20).圖10　Ⅱ型的誤碼率，PE1(σ≈10)，PE2(σ≈20)

4關(guān)于帶寬的一般性討論

下面討論IP時(shí)間隱通道的帶寬與其誤碼率之間的關(guān)系.

性質(zhì)1. 在維持平均誤碼率Pe不變的情況下，IP時(shí)間隱通道的帶寬C與數(shù)據(jù)包傳輸時(shí)延抖動(dòng)的無偏標(biāo)準(zhǔn)差σ成反比.

證明. 對(duì)Ⅰ型IP時(shí)間隱通道，其平均誤碼率Pe由式(7)表達(dá)，若σ1>σ2，而Pe維持不變，那么必有T1σ1=T2σ2，故T1>T2，又因?yàn)槠淦骄鶐扖=1T，所以C1

對(duì)Ⅱ型IP時(shí)間隱通道，其平均誤碼率Pe由式(12)表達(dá)，若σ1>σ2，而Pe維持不變，那么則必有d1σ1=d2σ2，故d1>d2，又因?yàn)槠淦骄鶐捒捎墒?9)表示，所以E(C1)

證畢.

性質(zhì)2. 若數(shù)據(jù)包傳輸時(shí)延抖動(dòng)的無偏標(biāo)準(zhǔn)差σ→0，那么IP時(shí)間隱通道的帶寬C→+∞.

證明. 對(duì)于Ⅰ型IP時(shí)間隱通道，其平均誤碼率Pe由式(7)表達(dá)，當(dāng)σ→0，若維持Pe不變，即維持Tσ的比值不變，則必有T→0，而Ⅰ型的平均帶寬C=1T，故有：C→+∞.

對(duì)于Ⅱ型IP時(shí)間隱通道，其平均誤碼率Pe由式(12)表達(dá)，當(dāng)σ→0，若維持Pe不變，即維持dσ的比值不變，則必有d→0，且根據(jù)式(12)可知亦有Δ→0，故根據(jù)式(9)可知其平均帶寬C→+∞.

證畢.

性質(zhì)3. 若數(shù)據(jù)包傳輸時(shí)延抖動(dòng)的無偏標(biāo)準(zhǔn)差σ→+∞，那么IP時(shí)間隱通道的帶寬C→0.

性質(zhì)3的證明與性質(zhì)2類似，限于篇幅，在此省略.

性質(zhì)1給出了在保證誤碼率相對(duì)穩(wěn)定的狀態(tài)下，時(shí)延抖動(dòng)的均方差與帶寬之間的關(guān)系.而性質(zhì)2和性質(zhì)3則分別給出了σ→ 0和σ→+∞時(shí)帶寬的極限值.這些性質(zhì)告訴我們，當(dāng)系統(tǒng)中噪聲較高時(shí)，可以通過犧牲帶寬換得通信的可靠性.在Ⅰ型中，需要增大式(7)中T的值；在 Ⅱ 型中，則需要增大式(12)中d的值.在本文4.3節(jié)中，我們給出根據(jù)σ的取值范圍動(dòng)態(tài)地選取T，Δ，d的通信參數(shù)協(xié)商方案，即是在應(yīng)用中自動(dòng)化地尋求帶寬和誤碼率之間可接受平衡的一種解決方案.

因此我們需要知道，網(wǎng)絡(luò)中T和d的值是否能無限增大？一般地，若采用連續(xù)的數(shù)據(jù)包進(jìn)行時(shí)間間隔的調(diào)制則不能.以TCPIP協(xié)議為例，當(dāng)一個(gè)數(shù)據(jù)包的傳輸時(shí)間大于某個(gè)值時(shí)，接收方會(huì)要求該數(shù)據(jù)包重傳，這將破壞接收方對(duì)T的接收.我們給出如下的改進(jìn)方法：在網(wǎng)絡(luò)數(shù)據(jù)包流中，以整數(shù)L≥1為步長(zhǎng)選擇數(shù)據(jù)包作為時(shí)間信號(hào)的載體.若連續(xù)2個(gè)數(shù)據(jù)包之間可嵌入的最大和最小間隔分別為ΔTmax和ΔTmin，那么基于L步長(zhǎng)，可嵌入的時(shí)間范圍為[L×ΔTmin,L×ΔTmax].這樣既能按要求增大T或d的值，而又能夠不對(duì)網(wǎng)絡(luò)的性能造成顯著影響.

當(dāng)L相對(duì)較大時(shí)，即使不采用偽裝算法，如文獻(xiàn)[15-16，19]，IP時(shí)間隱通道仍然具有一定的抗檢測(cè)性.這種現(xiàn)象可以直觀地理解為：每L個(gè)數(shù)據(jù)包中只有一個(gè)屬于IP時(shí)間隱通道，而檢測(cè)方因?yàn)椴荒軠?zhǔn)確地知道這個(gè)數(shù)據(jù)包的位置，只能使用全部數(shù)據(jù)包作為檢測(cè)樣本，這樣一個(gè)數(shù)據(jù)包所攜帶的時(shí)間信息將被樣本中其他L-1個(gè)數(shù)據(jù)包分?jǐn)?，因此而降低了檢出的概率.所以即便在σ較小不需要較大T或d的情況下，通過主動(dòng)降低帶寬可以換得IP時(shí)間隱通道抗檢測(cè)性能的提高.

5結(jié)束語

本文系統(tǒng)地討論了IP時(shí)間隱通道的分類，給出了形式化的IP時(shí)間隱通道定義及其時(shí)間信息隱藏的算法模型，求解了IP時(shí)間隱通道的帶寬、誤碼率與網(wǎng)絡(luò)噪聲的函數(shù)關(guān)系.設(shè)計(jì)了一個(gè)多用途的IP時(shí)間隱通道綜合實(shí)驗(yàn)平臺(tái)，實(shí)驗(yàn)數(shù)據(jù)有效印證了理論分析結(jié)果的正確性.這些工作使得在分析IP時(shí)間隱通道時(shí)，能夠依據(jù)網(wǎng)絡(luò)中可測(cè)量的噪聲參數(shù)直接計(jì)算其帶寬和誤碼率.這為IP時(shí)間隱通道的研究從實(shí)驗(yàn)觀測(cè)轉(zhuǎn)向理論分析與實(shí)驗(yàn)驗(yàn)證相結(jié)合準(zhǔn)備了一套較為完善的框架.

參考文獻(xiàn)

[1]Trabelsi Z, El-Sayed H, Frikha L, et al. A novel covert channel based on the IP header record route option[J]. International Journal of Advanced Media and Communication, 2007, 1(4): 328-350

[2]Zander S, Armitage G, Branch P. An empirical evaluation of IP time to live covert channels[C]Proc of the 15th IEEE ICON. Piscataway, NJ: IEEE, 2007: 42-47

[3]Yao Lihong, Zi Xiaocao, Li Pan, et al. A study of onoff timing channel based on packet delay distribution[J]. Computers & Security, 2009, 28(8): 785-794

[4]Cabuk S, Brodley C, Shields C. IP covert timing channels de-sign and detection[C]Proc of the 11th Conf on Computer and Communications Security. New York: ACM, 2004: 178-187

[5]Shah G, Molina A, Blaze M. Keyboards and covert channels[C]Proc of the 15th USENIX Security Symp. Berkeley, CA: USENIX Association, 2006: 59-75

[6]Zi Xiaocao, Yao Lihong, Li Pan, et al. Implementing a passive network covert timing channel[J]. Computers & Security, 2010, 29(6): 686-696

[7]Zander S, Armitage G, Branch P. A survey of covert channels and countermeasures in computer network protocols[J]. IEEE Communications Surveys and Tutorials, 2007, 9(3): 44-57

[8]Zhou Yanwei, Yang Qiliang, Yang Bo, et al. A Tor anonymous communication system with security enhancements[J]. Journal of Computer Research and Development, 2014, 51(7): 1538-1546 (in Chinese)(周彥偉, 楊啟良, 楊波, 等. 一種安全性增強(qiáng)的Tor匿名通信系統(tǒng)[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(7): 1538-1546)

[9]Cabuk S, Brodley C, Shields C. IP covert channel detection[J].ACM Trans on Information and System Security, 2009, 12(4): 22-49

[10]Berk V, Giani A, Cybenko G, et al. Detection of covert chan- nel encoding in network packet delays, 2005536[R]. Hanover, NH: Department of Computer Science, Dartmouth College, 2005

[11]Wang Changda, Ju Shiguang, Zhou Conghua, et al. A measurement of covert channels threat[J]. Journal of Computers, 2009, 32(4): 751-762 (in Chinese)(王昌達(dá), 鞠時(shí)光, 周從華, 等. 一種隱通道威脅審計(jì)的度量方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2009, 32(4): 751-762)

[12]Wang Changda, Ju Shiguang．The dilemma of covert channels searching[G]LNCS 3935: Proc of the 8th Annual Int Conf on Information Security and Cryptology. Berlin: Springer, 2006: 169-174

[13]Wang Yongji, Wu Jingzheng, Zeng Haotao, et al. Covert channel research[J]. Journal of Software, 2010, 21(9): 2262-2288 (in Chinese)(王永吉, 吳敬征, 曾海濤, 等. 隱蔽信道研究[J]. 軟件學(xué)報(bào), 2010, 21(9): 2262-2288)

[14]Gianvecchio S, Wang H. Detecting covert timing channels: An entropy-based approach[C]Proc of the 14th ACM Conf on Computer and Communications Security. New York: ACM, 2007: 307-316

[15]Sellke S, Wang C, Bagchi S, et al. TCPIP timing channels: Theory to implementation[C]Proc of the 28th IEEE INFOCOM. Piscataway, NJ: IEEE, 2009: 2204-2212

[16]Sellke S, Wang C, Bagchi S, et al. Camouflaging timing channels in Web traffic, 47907-2035[R]. West Lafayette, IN: Purdue University, 2009

[17]Ross S. Introduction to Probability Models[M]. New York: Elsevier Press, 2007

[18]Zhang Bin, Yang Jiahai, Wu Jianping. Survey and analysis on the Internet traffic model[J]. Journal of Software, 2011, 22(1): 115-131 (in Chinese)(張賓, 楊家海, 吳建平. Internet流量模型分析與評(píng)述[J]. 軟件學(xué)報(bào), 2011, 22(1): 115-131)

[19]Wang Changda, Bo Zhaojun, Guan Xingxing, et al. Anti-detection technology of IP covert timing channels[J]. Application Research of Computers, 2012, 29(7): 2657-2664 (in Chinese)(王昌達(dá), 薄兆軍, 管星星, 等. IP時(shí)間隱通道抗檢測(cè)技術(shù)的研究[J].計(jì)算機(jī)應(yīng)用研究, 2012, 29(7): 2657-2664)

[20]Wang Yi, Chen Ping, Ge Yi, et al. Traffic controller: A practi-cal approach to block network covert timing channel[C]Proc of IEEE ARES’09. Piscataway, NJ: IEEE, 2009: 349-354

[21]Kang M, Moskowitz I. A pump for rapid, reliable, secure communication[C]Proc of the 1st ACM Conf on Computer and Communications Security. New York: ACM, 1993: 119-129

[22]Hu W. Reducing timing channels with fuzzy time[C]Proc of the Computer Society Symp on Research in Security and Privacy. Piscataway, NJ: IEEE, 1991: 8-20

[23]Stillman R. Detecting IP covert timing channels by correlating packet timing with memory content[C]Proc of the IEEE SoutheastCon. Piscataway, NJ: IEEE, 2008: 204-209

[24]Houmansadr A, Borisov N. SWIRL: A scalable watermark to detect correlated network flows[C]Proc of the 18th Annual Network & Distributed System Security Conf. San Diego, CA: NDSS, 2011: 1-15

[25]Houmansadr A, Kiyavash N, Borisov N. RAINBOW: A robust and invisible non-blind watermark for network flows[C]Proc of the 16th Annual Network & Distributed System Security Conf. San Diego, CA: NDSS, 2009: 1-15

[26]Luo X, Zhou P, Zhang J, et al. Exposing invisible timing-based traffic watermarks with BACKLIT[C]Proc of the 27th Annual Computer Security Applications Conf. New York: ACM, 2011: 197-206

[27]Proakis J, Salehi M. Fundamentals of Communication Systems[M]. Upper Saddle River, NJ: Pearson Education Press, 2007

Wang Changda, born in 1971. PhD, professor and PhD supervisor. Member of China Computer Federation. His main research interests include network communication and security, WSNs, etc.

Huang Lei, born in 1991. Master candidate. His research interest include network security (1132985083@qq.com).

Liu Zhifeng, born in 1981. PhD, associate professor. His research interests include network security and model checking, etc (liuzf@ujs.edu.cn).

Information Hiding Algorithm of IP Covert Timing Channels and Its Performance Analysis

Wang Changda, Huang Lei, and Liu Zhifeng

(SchoolofComputerScienceandCommunicationEngineering,JiangsuUniversity,Zhenjiang,Jiangsu212013)

AbstractCovert channel analysis is one of the mandatory requirements of high-level trust evaluations. That IP covert timing channels utilize “time” as media to carry messages makes the eradication of IP covert timing channels on packets-switched networks, which is almost impossible. Hitherto, lack of a general mathematical model makes IP covert timing channels to be a tough job by which implement anonymous communication or information hiding among packets flows. As a result, in the past a few years, most of related works depended on the experiments and observations only. Based on the physical definition of time, IP covert timing channels are categorized as three types according to their different working methods. Furthermore, the mathematical models of IP covert timing channels of fixed-length time slots and inter-packets delays are built through the probability theory, respectively. In addition, the bandwidth function and error rate function of the network parameters for IP covert timing channels are derived. Experimental results show the correctness of the mathematical models as well as the theoretical analysis conclusions in the paper. The models of IP covert timing channels have formed a base on which some of researches in this area can be done through the formal analysis instead of the experimental observations only.

Key wordsIP covert timing channel; information hiding algorithm; bandwidth; error rate; robustness

收稿日期：2015-01-22；修回日期：2015-04-28

基金項(xiàng)目：國(guó)家自然科學(xué)基金項(xiàng)目(61300228)；江蘇省科技支撐項(xiàng)目(BE2013103)；江蘇省科技成果轉(zhuǎn)化項(xiàng)目(BA2015161)；江蘇省“六大人才高峰”高層次人才項(xiàng)目(1631170006)；江蘇大學(xué)拔尖人才項(xiàng)目(1213000013)

中圖法分類號(hào)TP391

This work was supported by the National Nature Science Foundation of China (61300228), the Jiangsu Provincial Science and Technology Support Project (BE2013103), the Jiangsu Provincial Transformation Project for Scientific and Technological Achievements (BA2015161), the Six Industries Talent Peaks Plan of Jiangsu (1631170006), and the Talent Peak Plan of Jiangsu University (1213000013).