基于CoAP協(xié)議參數(shù)序列的隱蔽信道研究

郭 蕊 杜彥輝 蘆天亮 蔡滿春

(中國(guó)人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院 北京 100076)

0 引 言

隨著全球經(jīng)濟(jì)的迅猛發(fā)展，5G網(wǎng)絡(luò)、人工智能、大數(shù)據(jù)等技術(shù)發(fā)展成熟，物聯(lián)網(wǎng)已然成為未來(lái)生活的新形態(tài)。同時(shí)，物聯(lián)網(wǎng)在石油、煤礦、電網(wǎng)等國(guó)家基礎(chǔ)設(shè)施領(lǐng)域，以及醫(yī)療、交通、監(jiān)管等生產(chǎn)生活領(lǐng)域的廣泛應(yīng)用，使得物聯(lián)網(wǎng)通信安全越來(lái)越受到重視。

在保障通信的安全性和隱蔽性方面，傳統(tǒng)的加密技術(shù)由于計(jì)算能力和計(jì)算架構(gòu)的發(fā)展以及針對(duì)加密算法的攻擊手段研究，開(kāi)始面臨巨大挑戰(zhàn)。隱寫(xiě)術(shù)也由于過(guò)分依賴載體而受到應(yīng)用限制。而隱蔽信道技術(shù)作為新的通信策略，采用通常不用于通信的方式進(jìn)行隱藏且應(yīng)用廣泛，因此對(duì)隱蔽信道進(jìn)行研究非常有必要。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，隱蔽信道已經(jīng)逐漸應(yīng)用到網(wǎng)絡(luò)通信安全領(lǐng)域并愈加成熟，但由于物聯(lián)網(wǎng)中低功耗受限制設(shè)備的計(jì)算能力和數(shù)據(jù)存儲(chǔ)容量嚴(yán)格受限,導(dǎo)致傳統(tǒng)網(wǎng)絡(luò)中成熟的隱蔽信道技術(shù)難以完成，亟需實(shí)現(xiàn)隱蔽信道向物聯(lián)網(wǎng)環(huán)境遷移。為了彌補(bǔ)物聯(lián)網(wǎng)環(huán)境下隱蔽信道研究的不足，本文通過(guò)對(duì)CoAP協(xié)議進(jìn)行分析，提出并實(shí)現(xiàn)一種基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建方法，為實(shí)現(xiàn)隱蔽信道向物聯(lián)網(wǎng)遷移提供了一定的理論支持和技術(shù)支撐。

1 相關(guān)工作

隱蔽信道被定義為“一種通過(guò)改變資源分配策略和資源管理實(shí)現(xiàn)而產(chǎn)生的信道”[1]，它允許進(jìn)程以危害系統(tǒng)安全策略的方式傳輸信息[2]。網(wǎng)絡(luò)隱蔽信道則是網(wǎng)絡(luò)環(huán)境下違背通信限制規(guī)則進(jìn)行隱藏信息傳輸?shù)耐ㄐ判诺繹3]，已經(jīng)逐漸應(yīng)用到通信安全領(lǐng)域并愈加成熟,主要分為存儲(chǔ)型隱蔽信道和時(shí)間型隱蔽信道。存儲(chǔ)型隱蔽信道使用協(xié)議數(shù)據(jù)單元內(nèi)部的信息進(jìn)行隱蔽通信；而時(shí)間型隱蔽信道則利用協(xié)議數(shù)據(jù)單元的時(shí)間特性實(shí)現(xiàn)隱蔽傳輸。本文對(duì)幾種典型的網(wǎng)絡(luò)隱蔽信道構(gòu)建方法進(jìn)行分析，如表1所示。

表1 網(wǎng)絡(luò)隱蔽信道構(gòu)建方法分析

可以看出，存儲(chǔ)型隱蔽信道具有良好的魯棒性和傳輸效率，但由于修改協(xié)議數(shù)據(jù)原有內(nèi)容，極易被基于內(nèi)容的檢測(cè)方法察覺(jué)到；而時(shí)間型隱蔽信道較難以檢測(cè)，但信道容量小且雙方需要保持同步，極易受到網(wǎng)絡(luò)環(huán)境的影響。同時(shí)存儲(chǔ)型隱蔽信道和時(shí)間型隱蔽信道均無(wú)法適用于低功耗受限制設(shè)備。為此，國(guó)內(nèi)外對(duì)隱蔽信道的研究開(kāi)始向物聯(lián)網(wǎng)方向遷移。Tan等[14]提出了一種在4G/5G網(wǎng)絡(luò)中應(yīng)用數(shù)據(jù)包間延遲編碼隱藏信息的系統(tǒng)模型，并通過(guò)對(duì)基于分組重排序、速率切換、分組丟失、重傳輸和調(diào)度的時(shí)間型隱蔽信道進(jìn)行分析，證實(shí)了構(gòu)建物聯(lián)網(wǎng)隱蔽時(shí)序信道的可行性，但仍無(wú)法擺脫時(shí)序信道極易受網(wǎng)絡(luò)環(huán)境影響的弊端；Nain等[15]根據(jù)IEEE 802.15.4協(xié)議提出了一種基于秘密幀識(shí)別和錯(cuò)誤檢測(cè)機(jī)制的存儲(chǔ)型隱蔽信道構(gòu)建方法，但該隱蔽信道要求芯片序列的修改盡可能少，因此具有較低的傳輸效率；鄧雨欣等[16]融合數(shù)量和序列兩個(gè)維度提出了一種基于MQTT協(xié)議命令分組編碼方法，由于與正常交互行為存在差異，易被基于行為模式的檢測(cè)模型察覺(jué)。

針對(duì)傳統(tǒng)的網(wǎng)絡(luò)隱蔽信道無(wú)法適用于低功耗受限制設(shè)備的不足以及已有的物聯(lián)網(wǎng)隱蔽信道技術(shù)無(wú)法擺脫存儲(chǔ)型和時(shí)間型隱蔽信道固有弊端的問(wèn)題，本文通過(guò)對(duì)物聯(lián)網(wǎng)應(yīng)用協(xié)議CoAP進(jìn)行分析，在不需要修改協(xié)議數(shù)據(jù)單元和控制雙方同步的情況下，結(jié)合CoAP的應(yīng)用場(chǎng)景，僅利用Accept關(guān)鍵字的可選參數(shù)進(jìn)行序列編碼，提出并實(shí)現(xiàn)了一種基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建方法，性能分析表明該方法具有良好的隱蔽性、魯棒性和傳輸效率。

2 CoAP協(xié)議分析

2.1 CoAP協(xié)議的報(bào)文結(jié)構(gòu)

受限應(yīng)用協(xié)議CoAP(Constrained Application Protocol)是一種面向低功耗受限制設(shè)備的基于REST架構(gòu)的物聯(lián)網(wǎng)應(yīng)用層協(xié)議，是一種應(yīng)用于受限網(wǎng)絡(luò)和節(jié)點(diǎn)的特殊Web傳輸協(xié)議，在應(yīng)用終端間提供方法/響應(yīng)的交互模式，支持內(nèi)置的資源發(fā)現(xiàn)[17]。目前，CoAP協(xié)議已經(jīng)在Contiki和OpenWSN平臺(tái)上實(shí)現(xiàn)。

CoAP協(xié)議的報(bào)文結(jié)構(gòu)如圖1所示。頭部主要由版本編號(hào)Ver、報(bào)文類型T、標(biāo)識(shí)符長(zhǎng)度TKL、狀態(tài)碼Code和Message ID組成。標(biāo)簽Token由TKL指定。Options為報(bào)文選項(xiàng)，用于設(shè)定CoAP主機(jī)、CoAP URL、CoAP請(qǐng)求參數(shù)和負(fù)載媒體類型等。0xFF作為分隔符區(qū)分首部和負(fù)載，負(fù)載內(nèi)容與具體應(yīng)用相關(guān)，支持多種媒體類型。

圖1 CoAP協(xié)議的報(bào)文結(jié)構(gòu)

Options由許多部分組成，其中Uri類型選項(xiàng)通過(guò)使用URL語(yǔ)法定位服務(wù)器資源。Accept和Content-Format兩者相互配合,分別指示CoAP請(qǐng)求和響應(yīng)中的負(fù)載媒體類型。Etag跟隨資源發(fā)生改變而改變并常常與If-Match和If-None-Match配合，用于PUT請(qǐng)求或POST請(qǐng)求中。

2.2 CoAP協(xié)議的工作模式

CoAP協(xié)議采取類似于HTTP的請(qǐng)求/響應(yīng)工作方式。CoAP客戶端節(jié)點(diǎn)向服務(wù)器發(fā)送請(qǐng)求信息，服務(wù)器端對(duì)請(qǐng)求作出響應(yīng)。由于CoAP使用UDP作為傳輸層協(xié)議，所以不需要事先建立連接。

為了彌補(bǔ)UDP的不可靠性，CoAP協(xié)議增加了消息層，如圖2所示。消息層負(fù)責(zé)控制端到端的報(bào)文交互，而請(qǐng)求/應(yīng)答層則負(fù)責(zé)傳輸資源操作的請(qǐng)求和響應(yīng)。同時(shí)，CoAP重傳機(jī)制在一定程度上也提高了CoAP的可靠性。

圖2 CoAP協(xié)議架構(gòu)

2.3 隱蔽信道構(gòu)建的可行性分析

基于CoAP協(xié)議的特點(diǎn)，將其作為物聯(lián)網(wǎng)環(huán)境下隱蔽信道的新型載體具有以下可行性：

(1) CoAP的廣泛應(yīng)用為隱蔽信息的傳輸提供了充分的載體和良好的掩護(hù)。

(2) 消息層和重傳機(jī)制的存在彌補(bǔ)了UDP傳輸?shù)牟蛔?，為CoAP協(xié)議增強(qiáng)了隱蔽信息傳輸?shù)目煽啃院汪敯粜浴?/p>

(3) CoAP協(xié)議首部存在較多的可選部分，為隱蔽信道的構(gòu)建提供了可被利用的空間。

(4) 作為輕量級(jí)的物聯(lián)網(wǎng)應(yīng)用層協(xié)議之一，CoAP適用于各種低功耗受限制設(shè)備，為新型隱蔽信道向物聯(lián)網(wǎng)轉(zhuǎn)移提供了可能。

3 基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建

基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建是將某個(gè)特殊關(guān)鍵字的可選參數(shù)構(gòu)造成一個(gè)序列，要求每個(gè)可選參數(shù)唯一對(duì)應(yīng)于一個(gè)變量，通過(guò)控制可選參數(shù)的發(fā)送實(shí)現(xiàn)隱蔽信息的傳輸。

3.1 隱蔽信息的嵌入位置

在CoAP協(xié)議報(bào)文的關(guān)鍵字中，Accept選項(xiàng)表示CoAP客戶端期望接收到的媒體類型格式，常存在于CoAP客戶端向服務(wù)器端發(fā)送的GET請(qǐng)求報(bào)文中，而且Accept選項(xiàng)具有超過(guò)30種定義的媒體類型參數(shù)。因此，Accept關(guān)鍵詞是最適合這類算法的隱蔽信息嵌入點(diǎn)。

通常情況下資源可以采用不同的媒體類型進(jìn)行描述，如果將每種媒體類型看成一個(gè)元素，那么所有的媒體類型就可以構(gòu)成一個(gè)序列的集合，每一個(gè)傳感器資源所支持的媒體類型就是序列的子集。

3.2 隱蔽信息的編碼算法

對(duì)于一類元素的集合{Ai|0

該算法的另一個(gè)關(guān)鍵在于定義一種映射關(guān)系f,實(shí)現(xiàn)比特序列與元素的一一對(duì)應(yīng)關(guān)系。為此，本文尋找了一種映射關(guān)系f,具體定義如下：任意一個(gè)變量x，0≤x<2N,設(shè)x的二進(jìn)制表示為{bN-1,bN-2,…,b0}2，即x=b0+b1×2+…+bN-2×2N-2+bN-1×2N-1,其中bi∈{0,1}。通過(guò)Array[x]唯一對(duì)應(yīng)于Ax+1，從而實(shí)現(xiàn)消息比特與元素唯一對(duì)應(yīng)關(guān)系。

3.2.1單一資源編碼方式

通過(guò)分析CoAP協(xié)議可知，如果客戶端對(duì)資源響應(yīng)的媒體類型進(jìn)行指定時(shí)，CoAP服務(wù)器將按照指定的媒體類型進(jìn)行響應(yīng)，反之如果客戶端沒(méi)有對(duì)Accept屬性進(jìn)行規(guī)定時(shí)，CoAP服務(wù)器將采用默認(rèn)的媒體類型響應(yīng)客戶端的請(qǐng)求。即使這兩種響應(yīng)的媒體類型是相同的，但是接收到的Accept內(nèi)容是不同的。因此，CoAP服務(wù)器的某一資源可以通過(guò)至少2種Accept選項(xiàng)中的可選媒體類型進(jìn)行表示。

單一資源編碼方式是用數(shù)組結(jié)構(gòu)表示某一資源所支持的媒體類型，根據(jù)媒體類型總數(shù)計(jì)算每次可供傳輸?shù)谋忍財(cái)?shù)，并依據(jù)定義的映射關(guān)系f,建立比特序列與媒體類型的對(duì)應(yīng)關(guān)系，通過(guò)操控Accept選項(xiàng)的可選媒體類型實(shí)現(xiàn)隱蔽信息的傳輸。

假設(shè)需要傳輸?shù)碾[蔽信息為“text”,二進(jìn)制表示為01110100011001010111100001110100，選擇CoAP服務(wù)器端的time作為傳輸隱蔽信息的資源，將time資源所支持的媒體類型元素構(gòu)造成數(shù)組，time[5]={“”,“text/plain”,“application/link-format”,“application/xml”,“application/octet-stream”},根據(jù)N=└log2n┘ ，可知每次可傳輸2比特的隱蔽信息。再依據(jù)映射關(guān)系f,建立媒體類型和比特序列的一一對(duì)應(yīng)關(guān)系。同時(shí)可以規(guī)定“媒體類型為application/octet-stream”表示隱蔽信息傳輸?shù)拈_(kāi)始和結(jié)束。CoAP服務(wù)器端通過(guò)wireshark抓取請(qǐng)求數(shù)據(jù)包，如圖3所示。

圖3 單一資源傳輸隱蔽信息

根據(jù)對(duì)應(yīng)關(guān)系，CoAP服務(wù)器端既可以判斷隱蔽信息的開(kāi)始和結(jié)束，也可以還原出隱蔽信息，實(shí)現(xiàn)了隱蔽信息的傳輸。

3.2.2組合資源編碼方式

通常情況下，CoAP服務(wù)器端搭載的資源類型不止一個(gè)。因此，可以通過(guò)組合資源編碼方式進(jìn)行隱蔽信息的傳輸。組合資源編碼方式是對(duì)單一資源編碼方式的一種改進(jìn)，它將編碼范圍擴(kuò)展至資源類型-媒體類型，通過(guò)資源類型-媒體類型設(shè)計(jì)和實(shí)現(xiàn)隱蔽信息的傳輸。

同樣假設(shè)需要傳輸?shù)碾[蔽信息為“text”。CoAP服務(wù)器端搭載time、temperature、humidity和light 4個(gè)資源類型，所支持的媒體類型數(shù)分別為5、4、4、4，共17種資源類型-媒體類型組合關(guān)系。依據(jù)N=└log2n┘ 和映射關(guān)系f，可得到4比特序列與資源類型-媒體類型的一一對(duì)應(yīng)關(guān)系，如表2所示。

表2 資源類型-媒體類型與比特序列的對(duì)應(yīng)關(guān)系

續(xù)表2

CoAP服務(wù)器端通過(guò)wireshark獲取請(qǐng)求數(shù)據(jù)包，如圖4所示。根據(jù)對(duì)應(yīng)關(guān)系，隱蔽信息接收端可以識(shí)別和還原隱蔽信息。

圖4 組合資源傳輸隱蔽信息

3.3 隱蔽信道優(yōu)化

基于可選參數(shù)序列進(jìn)行隱蔽信息傳輸對(duì)主動(dòng)的重排序攻擊具有天然的弱勢(shì)。如果攻擊者惡意修改數(shù)據(jù)包的Message ID，就可能影響隱蔽信息的傳輸。為了使接收端能夠正確接收隱蔽信息，在實(shí)現(xiàn)中可以通過(guò)添加MD5完整性校驗(yàn)來(lái)提高傳輸?shù)臏?zhǔn)確性。MD5作為使用最廣泛的數(shù)據(jù)完整性校驗(yàn)算法之一，它將任意長(zhǎng)度的數(shù)據(jù)字符串轉(zhuǎn)化成固定長(zhǎng)度值，通過(guò)對(duì)接收數(shù)據(jù)執(zhí)行散列運(yùn)算來(lái)檢查數(shù)據(jù)是否準(zhǔn)確。

以規(guī)定的起始符和結(jié)束符為標(biāo)志完成一次隱蔽信息的傳輸。隱蔽信息傳輸完成后，可通過(guò)事先規(guī)定的校驗(yàn)值傳輸?shù)钠鹗挤徒Y(jié)束符傳輸隱蔽信息的單向散列值，傳輸方法與隱蔽信息的傳輸方法相同。接收端對(duì)接收到的隱蔽信息進(jìn)行MD5完整性校驗(yàn)并對(duì)比接收到的MD5值，如果相同，說(shuō)明隱蔽信息接收準(zhǔn)確；如果不同，則通過(guò)發(fā)送與結(jié)束請(qǐng)求報(bào)文相對(duì)應(yīng)的RST報(bào)文，告知發(fā)送方重新傳輸隱蔽信息。

4 實(shí)驗(yàn)與分析

4.1 實(shí)驗(yàn)設(shè)置

隱蔽通信場(chǎng)景如圖5所示，實(shí)驗(yàn)環(huán)境主要由四臺(tái)主機(jī)和一臺(tái)交換機(jī)構(gòu)成。其中：PC1和PC2作為隱蔽通信的發(fā)送端和接收端；PC3和PC4作為網(wǎng)絡(luò)環(huán)境模擬器和入侵檢測(cè)系統(tǒng)。發(fā)送端PC1通過(guò)Copper連接PC2，依據(jù)對(duì)應(yīng)規(guī)則對(duì)請(qǐng)求數(shù)據(jù)包進(jìn)行修改并發(fā)送。接收端PC2利用libCoAP開(kāi)發(fā)工具自定義構(gòu)建CoAP服務(wù)器，通過(guò)網(wǎng)絡(luò)封包分析軟件wireshark 2.6.8抓取數(shù)據(jù)包，解碼器依據(jù)對(duì)應(yīng)規(guī)則分析數(shù)據(jù)包并還原出隱蔽信息。PC3作為網(wǎng)絡(luò)環(huán)境模擬器搭載Netem,通過(guò)設(shè)置不同的丟包率來(lái)模擬實(shí)際復(fù)雜的網(wǎng)絡(luò)環(huán)境，PC4安裝Snort入侵檢測(cè)系統(tǒng)用于檢測(cè)信道的隱蔽性。

圖5 隱蔽通信場(chǎng)景

4.2 隱蔽性

隱蔽性作為實(shí)現(xiàn)隱蔽信道的根本要求，主要是指隱蔽信道不被發(fā)現(xiàn)的能力。CoAP協(xié)議作為當(dāng)前應(yīng)用廣泛的物聯(lián)網(wǎng)應(yīng)用層協(xié)議之一，在公開(kāi)信道可以傳輸大量信息，為隱蔽信道的存在提供較好的掩護(hù)。與此同時(shí)，基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建方法不需要修改協(xié)議數(shù)據(jù)原有內(nèi)容也不需要控制雙方同步，加上低功耗特點(diǎn)使得CoAP更適合數(shù)據(jù)采集的場(chǎng)合，也使得GET方法成為CoAP最常見(jiàn)的方法，進(jìn)一步增強(qiáng)了通過(guò)GET方法利用Accept關(guān)鍵字的參數(shù)序列來(lái)實(shí)現(xiàn)隱蔽信息傳輸?shù)碾[蔽性。

本文實(shí)驗(yàn)通過(guò)Snort入侵檢測(cè)系統(tǒng)對(duì)信道的隱蔽性進(jìn)行測(cè)試，在隱蔽信息的傳輸過(guò)程中，PC4未顯示異常。測(cè)試結(jié)果表明該隱蔽信道對(duì)入侵檢測(cè)系統(tǒng)具有一定的穿透性，隱蔽性較好。

4.3 魯棒性

魯棒性指隱蔽信道抗干擾和準(zhǔn)確傳輸數(shù)據(jù)的能力。一般情況下，使用誤碼率作為魯棒性評(píng)估的評(píng)測(cè)標(biāo)準(zhǔn)[18-19]。本文提出的隱蔽信道實(shí)現(xiàn)隱蔽傳輸?shù)年P(guān)鍵在于隱蔽信息的準(zhǔn)確按序到達(dá)。CoAP雖然采用UDP作為傳輸層協(xié)議，但卻通過(guò)增加消息層的方式彌補(bǔ)了UDP傳輸?shù)牟豢煽啃?，而且CoAP的重傳機(jī)制進(jìn)一步提高了隱蔽信息傳輸?shù)臏?zhǔn)確性。但是CoAP仍然對(duì)主動(dòng)的重排序攻擊無(wú)計(jì)可施，因此本文通過(guò)傳輸對(duì)比MD5值的方法緩解重排序攻擊對(duì)隱蔽信息傳輸造成的危害。

為了測(cè)試信道的魯棒性，本文實(shí)驗(yàn)通過(guò)網(wǎng)絡(luò)環(huán)境模擬器Netem來(lái)模擬正常網(wǎng)絡(luò)環(huán)境，在丟包率為1%、5%、10%的環(huán)境下，每次傳輸10 KB的隱蔽信息，每組測(cè)試10次，統(tǒng)計(jì)并計(jì)算時(shí)間型網(wǎng)絡(luò)隱蔽信道IPCTC、MBCTC、基于CoAP協(xié)議參數(shù)序列的隱蔽信道在不同丟包率下的傳輸正確率，結(jié)果如表3所示。

表3 不同丟包率下各類隱蔽信道的平均傳輸正確率 %

傳統(tǒng)時(shí)間型隱蔽信道都是利用協(xié)議數(shù)據(jù)單元的時(shí)間特性進(jìn)行傳輸，網(wǎng)絡(luò)的抖動(dòng)、丟包、重傳會(huì)對(duì)其解碼造成一定的影響，這些在表3中都有體現(xiàn)。從表3可以看出，本文提出的隱蔽信道在較差的網(wǎng)絡(luò)環(huán)境中仍然可以達(dá)到平均傳輸正確率100%。可見(jiàn)，該隱蔽信道具有良好的魯棒性。

4.4 傳輸效率

Houmansadr等[20]將傳輸效率定義為每個(gè)隱蔽數(shù)據(jù)流包傳遞隱蔽信息的比特?cái)?shù)。鄧雨欣等[16]提出的基于MQTT協(xié)議命令分組編碼隱蔽信道模型使得單個(gè)命令平均可傳輸8/3比特的隱蔽信息。而在本文實(shí)現(xiàn)隱蔽信息傳輸?shù)姆椒ㄖ校總€(gè)隱蔽數(shù)據(jù)流包傳遞的隱蔽信息比特?cái)?shù)取決于單一資源的媒體類型數(shù)或者組合資源的資源類型-媒體類型數(shù)。比較完備的CoAP服務(wù)器通常搭載多種資源，且每種資源存在多種媒體類型。通常情況下，無(wú)論是單一資源編碼方式還是組合資源編碼方式均可實(shí)現(xiàn)單次傳輸至少3比特的隱蔽信息。因此，本文提出的編碼方式比命令分組編碼方式具有更高的傳輸效率。

為了說(shuō)明兩種編碼方式的互補(bǔ)優(yōu)勢(shì)，實(shí)驗(yàn)分別用單一資源編碼方式和組合資源編碼方式傳輸不同長(zhǎng)度的隱蔽信息，其中單一資源編碼方式采用20種媒體類型數(shù)，組合資源編碼方式采用68種資源類型-媒體類型數(shù)，測(cè)試次數(shù)20次，記錄并計(jì)算隱蔽信息傳輸所用的平均時(shí)間，如圖6所示。

圖6 兩種編碼方式傳輸時(shí)間

可以看出，由于組合資源編碼方式在實(shí)現(xiàn)方面相對(duì)單一資源編碼方式復(fù)雜，數(shù)據(jù)包發(fā)送速率相對(duì)較低。所以在隱蔽信息傳輸量相對(duì)較小且兩種編碼方式所具有的媒體類型數(shù)差距不大時(shí)，采用單一資源編碼方式可以節(jié)約傳輸所需要的時(shí)間，進(jìn)一步保證了隱蔽信道的隱蔽性和魯棒性。但當(dāng)需要傳輸?shù)碾[蔽信息量比較大時(shí)，采用具有較大媒體類型總數(shù)的組合資源編碼方式能大大縮短隱蔽信息傳輸所需要的時(shí)間，占有更大的優(yōu)勢(shì)。

5 結(jié) 語(yǔ)

本文通過(guò)對(duì)輕量級(jí)物聯(lián)網(wǎng)應(yīng)用層協(xié)議CoAP進(jìn)行分析，提出并實(shí)現(xiàn)一種基于CoAP協(xié)議參數(shù)序列的隱蔽信道構(gòu)建方法。該方法不需要修改協(xié)議數(shù)據(jù)原有內(nèi)容也不需要控制雙方同步，僅僅通過(guò)控制Accept選項(xiàng)的可選參數(shù)編碼隱蔽信息，附帶GET請(qǐng)求的良好掩護(hù)，使之具有更好的隱蔽性。另一方面，CoAP的消息層設(shè)計(jì)和隱蔽信息的完整性校驗(yàn)與比對(duì)為隱蔽信道的實(shí)現(xiàn)提供了良好的魯棒性。與此同時(shí)，隱蔽信息發(fā)送端可根據(jù)接收端實(shí)際情況和隱蔽信息傳輸實(shí)際需求選擇合適的編碼方式，靈活性較強(qiáng)，也可實(shí)現(xiàn)較高的傳輸效率，為實(shí)現(xiàn)物聯(lián)網(wǎng)環(huán)境下新型隱蔽信道轉(zhuǎn)移提供了可能。