HTTP协议上几种新的应用层隐蔽通道HTTP协议上几种新的应用层隐蔽通道摘要：网络隐蔽通道是利用网络协议中的保留、町选或未定义等字段在网络不同的主机之间建立隐蔽通信的信道。针对利用低层协议构建隐蔽通道的不足，研究了应用层中的隐蔽通道，经过试验发现了HTTP协议中的语义冗余，提出了利用这些冗余在HTTP协议上构建隐蔽通道的新方法。实验结果表明，这些方法有效地提高了信道通信过程中的隐蔽性和抗屏蔽性，为隐蔽通信躲避隐写分析提供了新的方法。关键词：网络协议；隐蔽通道；HTTP协议中图分类号：TP393.08隐蔽通道是一种以违背系统安全策略的方式传输信息的通信信道，人们研究隐蔽通道已接近三十年，在这期间，提出了多种以网络协议数据包为载体的网络隐蔽通道。这些网络隐蔽通道可分为存储通道、时间通道、流量通道和计数通道，其中存储通道因有着较实用的应用背景而被众多研究团队关注。总体而言，利用应用层协议构造的隐蔽通道综合性能不高，部分通道透明性弱，KrtiT使用预留、填充、可选字段，容易受主动攻击破坏，隐蔽通道有向上层协议发展的趋势。现有的防火墙和路市器一般不检查应用层协议,这使得应用层隐蔽通道更容易实施。TCP/IP协议族中的应用层协议十分丰富，而且每个应用层协议都具有复杂的通信和控制机制，十分适合隐藏信息。HTTP协议是Internet网络中应用最广泛的应用层协议之一，其产生的流量仅次于P2P位列第二。同时，该协议具有复杂的包头，是穿透防火墙等网络访问控制系统(NACS)的理想协议。因此，在HTTP协议中进行信息隐藏的研究对军事隐蔽通信和信息网络安全有着重耍的现实意义。1HTTP概述HTTP即超文本传输协议(HypertextTransferProtocol),它是一个面向事务的客户服务器协议，是万维网上能够可靠地交换文件(包括文本、声音、图像等各种多媒体文件)的重要基础。HTTP是一个无状态的协议，使用TCP作为底层运输协议。HTTP客户机发起一个与服务器的TCP连接，一旦连接建立，浏览器和服务器进程就可以通过套接字访问TCP。HTTP的报文有两种，请求报文和响应报文。HTTP请求报文的一般格式如图1所示。图1HTTP请求报文的一般格式HTTP协议仍在不断发展，现在的较新版本是1999年在RFC2616屮公布的IITTP/1.1,它已经成为因特网草案标准。有关HTTP的其他技术细节可参阅有关文献，在此不再赘述。2隐蔽通道的实现2.1实现原理IITTP是一种应用层协议，由于面向用户，协议的制订者基于友好性的考虑，为HTTP设计了自容错、强纠错的特性。协议由两部分程序实现：一个客户机程序和一个服务器程序，它们运行在不同的端系统中，通过交换HTTP报文进行会话。因为客户机程序和服务器程序的千差万别，程序开发者在实现HTTP吋各有不同，同一功能的HTTP报文，表述形式可能差别很大，这种协议语义兀余正是信息隐藏所需要的。下面考察MicrosoftWindows2000SP4下InternetExplorer5.0的GET请求头数据，下文的所有隐蔽通道将全部以此为例。以口编嗅探器截获到TCP三次握手成功后报文中的数据段如图2所示：图2TCP连接成功后的数据段截图经过进一步试验，发现包括上述首部行在内的所有首部行（不同操作系统下Opera>Firefox、Netscape等浏览器的多个版本会产生不同的首部行）中，存在如标识符号不敏感、大小写无关等诸多冗余，这为隐蔽通道的实现创造了条件。2.2实现方法2.2.1对象排序隐藏排序隐藏最早由KamranAhsan提出，它是在IPSec中的认证头（All）和安全封装负载（ESP）中通过将带有不同序列号的分组进行排序来编码隐藏信息，这种隐蔽通道实际上是通过排序对某些原了对象进行映射实现密写编码。该方法的优点是只通过原有的多个参数的不同排序來隐藏信息，不会插入额外的字符，在不能改变比特流值的吋候非常有用，也可以达到避免怀疑的目的。在HTTP报头中，每一个首部行本身就是原子对象，都可以进行排序隐藏。HTTP首部行的二进制排序通道原理如图3所示：图3HTTP报头首部行的二进制排序通道2.2.2空口隐写术所谓空白隐写术就是在文本文件一行的末尾附上space和tab等不可显示字符，由于space和tab出现在行尾吋是不可见的，这就使得信息可以隐藏在文本文件中，并冃不会影响整个文本的显示。有研...