李彩秋，周亞建，魏更宇

LICaiqiu,ZHOU Yajian,WEIGengyu

北京郵電大學(xué) 計算機學(xué)院，北京 100876

School of Computer Science,Beijing University of Posts and Telecommunications,Beijing 100876,China

1 引言

傳統(tǒng)的信息隱藏一般采用文本[1]、圖像[2]、視頻[3]、音頻[4]等數(shù)字媒體作為載體，在載體中嵌入信息。網(wǎng)絡(luò)協(xié)議信息隱藏技術(shù)用網(wǎng)絡(luò)協(xié)議作為載體，利用協(xié)議的語法和語義的冗余進行信息隱藏。與傳統(tǒng)的信息隱藏方法相比，網(wǎng)絡(luò)協(xié)議信息隱藏技術(shù)具有顯著的優(yōu)勢：隨著數(shù)字多媒體壓縮技術(shù)的不斷提高，多媒體的冗余度越來越低，可嵌入的信息也就越來越少。而網(wǎng)絡(luò)中存在大量的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包，網(wǎng)絡(luò)協(xié)議眾多，這就為網(wǎng)絡(luò)協(xié)議信息隱藏提供了豐富的載體[5]。

目前對于網(wǎng)絡(luò)協(xié)議信息隱藏的研究，大多集中于利用IP/TCP/UDP/ICMP協(xié)議中的預(yù)留、填充或可選字段進行隱藏[6-9]。現(xiàn)今的路由器和防火墻能夠過濾使用這些方法進行隱藏的數(shù)據(jù)包。而對應(yīng)用層協(xié)議的限制較少。因此，應(yīng)用層協(xié)議的信息隱藏技術(shù)開始受到人們關(guān)注[10]。本文通過研究FTP協(xié)議命令，提出了兩種基于FTP協(xié)議的信息隱藏方法，并對基于FTP協(xié)議的分級序列長度隱蔽信道進行了改進。

2 協(xié)議信息隱藏的性能指標(biāo)

對協(xié)議信息隱藏算法性能的評價，主要是從不可感知性、魯棒性、隱藏容量等幾個方面進行研究的[5，11]。

（1）隱藏容量：隱藏容量反映了通信效率。它是指在隱藏秘密數(shù)據(jù)后仍滿足不可感知性的前提下，數(shù)字載體中可以隱藏秘密信息的最大比特數(shù)。

（2）不可感知性：即隱蔽性，是指將秘密信息嵌入到網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包中后，而不會引起數(shù)據(jù)包的語法語義發(fā)生重大改變，不會引起觀察者的懷疑。

（3）魯棒性：魯棒性反映了協(xié)議信息隱藏方法的抵抗攻擊的能力。

3 基于FTP協(xié)議的信息隱藏方法

在FTP的命令集合中，存在著一類特殊的命令，在特定的條件下，服務(wù)器收到這些命令時可以不做任何操作。這類特殊命令包括NOOP、ALLO、ABOR。NOOP命令用于客戶端防止FTP控制連接因長時間空閑而斷開，服務(wù)器不針對收到的NOOP命令作任何處理。ALLO命令是客戶端請求服務(wù)器分配空間來接收文件。對于一些不允許上傳文件的服務(wù)器來說，ALLO命令的效果與NOOP命令一樣。ABOR命令讓服務(wù)器終止上一個沒有執(zhí)行完成的命令，如果上一個命令已經(jīng)執(zhí)行完成，那么服務(wù)器也不做任何操作，此時ABOR命令的效果也是與NOOP一樣。這3個命令在特定情況下，產(chǎn)生的效果都是服務(wù)器系統(tǒng)不進行任何處理[12-13]。

本文利用這些空命令的序列進行隱藏信息編碼。以下分別介紹。

3.1 基于命令交換的隱藏算法

發(fā)送一個ABOR命令，代表開始發(fā)送隱蔽信息。然后按照二進制序列，發(fā)送NOOP命令代表發(fā)送0，發(fā)送ALLO命令代表發(fā)送1。序列發(fā)送結(jié)束時，發(fā)送ABOR命令，代表此次發(fā)送結(jié)束。接收端通過觀察NOOP命令和ALLO命令的順序來提取隱蔽信息。因為是通過ALLO命令與NOOP命令分別代表1和0，因此稱它為基于命令交換的隱藏算法。例如，要發(fā)送的隱蔽信息的序列為：10010111，則根據(jù)算法，發(fā)送的命令序列如圖1所示。

圖1 基于命令交換的隱藏方法示意圖

3.2 基于命令控制的隱藏算法

雙方定個基準(zhǔn)為0，發(fā)送ALLO表示開始，用NOOP命令代表比特，發(fā)送ABOR命令控制比特信息的改變情況。發(fā)送ABOR命令，代表下一個NOOP命令代表的比特與前一個比特相反。不發(fā)送ABOR命令時，代表下一個NOOP命令代表的比特與前一個比特相同（第一個NOOP命令代表的比特與基準(zhǔn)0相比較）。接收端通過觀察NOOP命令和ABOR命令的順序來提取隱蔽信息。因為是通過ABOR命令控制發(fā)送的比特是0還是1，因此稱它為基于命令控制的隱藏算法。例如要發(fā)送的隱蔽信息序列為：10010111，則開始發(fā)送的隱蔽信息的第一個比特為1，與基準(zhǔn)0不同，則先發(fā)送ABOR命令，表示將要發(fā)送的比特與基準(zhǔn)0不同，然后發(fā)送NOOP命令，代表發(fā)送的比特信息是1，將基準(zhǔn)置為發(fā)送的1，接著發(fā)送第二個比特，這時第二個比特0與基準(zhǔn)1不同，則先發(fā)送ABOR命令，表示將要發(fā)送的比特與基準(zhǔn)1不同，然后發(fā)送NOOP命令，代表發(fā)送的比特信息是0，再將基準(zhǔn)置為0。然后發(fā)送第三個比特，因為第三個比特0與基準(zhǔn)0相同，則不再發(fā)送ABOR命令而直接發(fā)送NOOP命令，代表發(fā)送的隱蔽信息是0，以此類推，直接比特序列發(fā)送結(jié)束，發(fā)送ALLO命令，代表此次通信結(jié)束。如圖2所示。

3.3 性能分析

3.3.1 隱藏容量

圖2 基于命令控制的隱藏方法示意圖

對于基于命令交換的隱藏算法，發(fā)送N bit隱蔽信息，需要發(fā)送的命令數(shù)為（2+N），即帶寬為N/（2+N）bit/命令。當(dāng)N取1時，帶寬為1/3 bit/命令，當(dāng)N逐漸增大，帶寬將趨于1 bit/命令。

對于基于命令控制的隱藏算法，發(fā)送N bit隱蔽信息，最壞的情況下，需要（3+2N）個命令，即帶寬為N/（3+2N）bit/命令。當(dāng)N取1時為0.2 bit/命令，當(dāng)N逐漸增大，該帶寬接近0.5 bit/命令。最好的情況下，需要（3+N）個命令傳輸N bit的隱蔽信息，即帶寬為N/（3+N）bit/命令。當(dāng)N取1時為0.25 bit/命令，當(dāng)N逐漸增大，該帶寬接近1 bit/命令。

3.3.2 隱蔽性

由于是控制命令，即使通過統(tǒng)計檢測的方法，也很難檢測到隱蔽信道的存在，而且該隱蔽信道不影響FTP協(xié)議的正常通信，因此具有較高的隱蔽性。

3.3.3 魯棒性

該算法的魯棒性主要是丟包或者亂序的問題。但是由于TCP協(xié)議的保護機制存在，因此魯棒性也比較強。

4 對基于FTP協(xié)議的分級序列長度隱蔽信道進行的改進——分組分級序列長度隱蔽信道

4.1 分級序列長度隱蔽信道

文獻(xiàn)[12]提出基于FTP協(xié)議的分級序列長度隱蔽信道[14]，簡述如下：利用連續(xù)NOOP的數(shù)量來編碼隱藏信息，編碼長度為8 bit。連續(xù)NOOP的個數(shù)為0～255個。每8 bit的信息傳輸完畢，接著傳輸一個ABOR命令，作為新的8 bit信息傳輸?shù)拈_始。假設(shè)隱蔽信息字節(jié)值的分布是均勻的，那么要傳輸一個N bit信息需要發(fā)送的FTP控制命令的平均個數(shù)為：

引入另一個命令A(yù)LLO，進行分級編碼。將N bit待隱藏的信息分成兩部分：前M bit和后（N－M）bit。前M bit的值用ALLO的個數(shù)進行編碼；后（N－M）bit值用NOOP的個數(shù)進行編碼。對于后（N－M）bit，按照公式（1），可知N bit信息還需要一個ABOR作為開始符。則對N bit信息進行編碼平均需要的控制命令個數(shù)為：

簡化后得：

則最優(yōu)編碼函數(shù) f(M)=(2M-1+2N-M-1)/2N-1，解得當(dāng)M=N/2時可以得到最高的編碼效率，即發(fā)送N bit隱蔽信息，需要發(fā)送的命令的個數(shù)為：

最好的情況下需要16個命令傳輸8 bit信息，所以帶寬為0.5 bit/命令[12]。隨著N逐漸增大，帶寬逐漸減小。這種隱蔽信道的隱藏容量較小，為了該隱蔽信道的隱藏容量，本文對分級序列長度隱蔽信道作了改進，簡述如下。

4.2 分組分級序列長度隱蔽信道

現(xiàn)在對N bit(N=2l)信息做分組分級，先將N bit信息分為M bit(M=2k)一組，則有N/M組信息，每組內(nèi)再做分級，則由公式（4）得到總共發(fā)送的命令數(shù)為：

因為M取值為正整數(shù)且M=2k，所以h(M)的最小值可能在M=2或M=4時取得：

明顯h(M4)=h(M2)，即 M=2或4時h(M)取得最小值。即當(dāng)M=2或4時，分組分級編碼效率最高，由公式（5）得發(fā)送N bit隱蔽信息時，平均發(fā)送的命令個數(shù)為：

所以，帶寬為1 bit/命令。

4.3 兩種方法的性能對比

4.3.1 隱藏容量

表1對分級序列長度隱蔽信道編碼效率與分組分級序列長度隱蔽信道編碼（取M=4為例）效率進行了比較。圖3更為直觀地顯示了兩種方法的性能對比。

表1 兩種信道編碼效率比較

圖3 兩種方法性能對比圖

可見，分級序列長度隱蔽信道的編碼發(fā)送命令的個數(shù)，其指數(shù)是按照指數(shù)形式增長的，而分組分級序列長度隱蔽信道平均發(fā)送命令個數(shù)的指數(shù)是按照線性增長的。當(dāng)N=2i(i＞2)時，即N＞4時，分組分級序列隱蔽信道的編碼效率明顯高于分級序列隱蔽信道的編碼效率，帶寬為1 bit/命令，而且，發(fā)送的隱蔽信息越多，分組分級序列長度隱蔽信道的編碼效率優(yōu)勢越明顯。

4.3.2 隱蔽性

分組分級序列長度隱蔽信道同分級序列長度隱蔽信道一樣，也是利用FTP協(xié)議的控制命令形成隱蔽信道，在傳輸少量秘密信息的情況下，即使是利用統(tǒng)計檢測的方法，也會很難發(fā)現(xiàn)該隱蔽信道的存在，且該隱蔽信道同樣不會影響FTP協(xié)議的正常通信，因此具有較高的隱蔽性。因此兩種方法在隱蔽性方面沒有明顯差別。

4.3.3 魯棒性

分組分級序列長度隱蔽信道的魯棒性主要也是發(fā)送的控制命令的數(shù)據(jù)包的亂序和丟失的問題，也在TCP協(xié)議的保護機制下，具有較強的魯棒性。因此兩種方法在魯棒性方面沒有明顯差別。

5 結(jié)束語

利用應(yīng)用層以下協(xié)議進行信息隱藏的算法具有明顯不足[2，4]：（1）傳輸中差錯控制不易保證，魯棒性較差；（2）隱藏容量小，傳輸效率低。針對應(yīng)用層協(xié)議的信息隱藏已經(jīng)成為人們關(guān)注的焦點。本文提出了基于網(wǎng)絡(luò)應(yīng)用層協(xié)議FTP協(xié)議的信息隱藏方法，并對基于FTP協(xié)議的分級序列長度隱蔽信道進行了改進，使得分級序列長度隱蔽信道的隱藏容量大幅度提高。為防止一個第三方提取隱蔽信息，可以在傳輸隱蔽信息之前，對隱蔽信息作一些處理，將信息隨機化，例如加密，密鑰為收發(fā)雙方共享，這樣就算沒有密鑰的第三方提取了信息，也只能看到一些毫無意義的比特。

[1]曹衛(wèi)兵，戴冠中，夏煜，等.基于文本的信息隱藏技術(shù)[J].計算機應(yīng)用研究，2003，20（10）：39-41.

[2]夏煜，郎榮玲，曹衛(wèi)兵，等.基于圖像的信息隱藏檢測算法和實現(xiàn)技術(shù)研究綜述[J].計算機研究與發(fā)展，2004，41（4）：728-736.

[3]梁惠.視頻信息隱藏關(guān)鍵技術(shù)研究[D].合肥：中國科學(xué)技術(shù)大學(xué)，2010.

[4]戴躍偉，茅耀斌，王執(zhí)銓，等.音頻信息隱藏技術(shù)及其發(fā)展方向[J].信息與控制，2001，30（5）：385-391.

[5]雷敏，楊榆，汪偉.基于SMTP協(xié)議的信息隱藏[C]//2006北京地區(qū)高校研究生學(xué)術(shù)交流會——通信與信息技術(shù)會議論文集（下），2006.

[6]眭新光，朱中梁.基于IP包的信息隱藏技術(shù)[J].計算機工程，2008，34（15）.

[7]葛金明.基于Internet網(wǎng)絡(luò)協(xié)議的信息隱藏技術(shù)[J].科技資訊，2010（5）.

[8]劉朝暉，孫星明.基于TCP/IP協(xié)議的信息隱藏新方法[J].計算技術(shù)與自動化，2004，23（3）：109-112.

[9]唐作吟，楊宗凱，譚運猛，等.互聯(lián)網(wǎng)協(xié)議中信息隱藏技術(shù)的研究[J].計算機應(yīng)用研究，2003，20（8）：14-16.

[10]楊榆，鈕心忻，楊義先.網(wǎng)絡(luò)協(xié)議信息隱藏技術(shù)綜述[C]//2007年學(xué)術(shù)交流年會論文集，2007.

[11]王勇.基于RTP/RTCP協(xié)議的信息隱藏研究與實現(xiàn)[D].北京：中國地質(zhì)大學(xué)，2010.

[12]鄒昕光.基于FTP協(xié)議的命令序列隱蔽信道[J].哈爾濱工業(yè)大學(xué)學(xué)報，2007，39（3）：424-426.

[13]翟江濤.網(wǎng)絡(luò)通信的信息隱藏技術(shù)研究[D].南京：南京理工大學(xué)，2008.

[14]Dong P，Qian H，Lu Z，et al.A network covert channel based on packet classification[J].International Journal of Network Security，2012，14（2）：109-116.

[15]Fr?czek W，Mazurczyk W，Szczypiorski K.Multilevel steganography：improving hidden communication in networks[J].Journal of Universal Computer Science，2012，18（14）：1967-1986.