一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置的制造方法
【專利說明】一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置
[0001]一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置
本發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置屬于模擬計(jì)算機(jī)領(lǐng)域����。
[0002]當(dāng)要從一個(gè)網(wǎng)絡(luò)向其他網(wǎng)絡(luò)內(nèi)的主機(jī)發(fā)送數(shù)據(jù)包時(shí),先將數(shù)據(jù)段交給IP層實(shí)現(xiàn)IP封裝以確定IP尋址�����,然后將封裝后的數(shù)據(jù)交給網(wǎng)關(guān)因?yàn)榫钟蚓W(wǎng)中的連接方法和網(wǎng)關(guān)與網(wǎng)關(guān)之間的連接方法或者傳輸?shù)膸愋汀?br>[0003]有可能不一樣�,所以網(wǎng)關(guān)對(duì)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)進(jìn)行(網(wǎng)關(guān)與網(wǎng)關(guān)傳輸方式的)封裝(如PPP���,也是一種幀格式)之后就實(shí)現(xiàn)了在不同網(wǎng)絡(luò)上的傳輸?shù)竭_(dá)目標(biāo)網(wǎng)絡(luò)后數(shù)據(jù)包被目標(biāo)網(wǎng)關(guān)解開所傳送的數(shù)據(jù)最終能夠被目標(biāo)主機(jī)識(shí)別���,因?yàn)榫W(wǎng)絡(luò)層對(duì)所有設(shè)備都是一樣的,其地址對(duì)所有的設(shè)備也都是統(tǒng)一的所以網(wǎng)絡(luò)層的數(shù)據(jù)包格式每一個(gè)主機(jī)都能夠識(shí)別���。
[0004]生存時(shí)間(TTL)字段設(shè)置了數(shù)據(jù)報(bào)經(jīng)過的最多路由器數(shù)����。它指定了數(shù)據(jù)報(bào)的生存時(shí)間。
[0005]TTL的初始值由源主機(jī)設(shè)置����,經(jīng)過一個(gè)處理它的路由器,它的值就減1���,當(dāng)該字段為O時(shí)�,數(shù)據(jù)報(bào)就被丟棄�����。
[0006]設(shè)置該字段主要是為了防止無法到達(dá)的數(shù)據(jù)報(bào)永久停留在網(wǎng)絡(luò)中阻塞網(wǎng)絡(luò)�����。該字段成為隱
蔽位置的原因是:
①由于網(wǎng)絡(luò)情況和路徑變化頻繁�,該TTL值改變不會(huì)被認(rèn)為是異常。
[0007]②對(duì)這個(gè)值的操作也可以被認(rèn)為是合法的��,因?yàn)閷?duì)該字段的操作可以認(rèn)為是用于另外一種用途:
在一組擁有相同功能的服務(wù)器中找到距離源主機(jī)最近的服務(wù)器����。
[0008]源主機(jī)在開始尋找時(shí)��,首先會(huì)發(fā)送TTL=I的請(qǐng)求包到這個(gè)地址�。請(qǐng)求包在被丟棄前將到達(dá)一些路由器��。
[0009]如果沒有回復(fù)信息���,那么源主機(jī)就在TTL值上加1�,繼續(xù)搜索��。由于有原因①和②的存在�����,所以TTL在網(wǎng)絡(luò)中的取值是變化的�,滿足了成為隱蔽信息字段的條件���。
[0010]本發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置提出的隱藏算法的主要思想就是將要隱藏的秘密消息編碼替換到原IP報(bào)文的TTL值��。
[0011]本發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置并提出編碼方法抵抗由于網(wǎng)絡(luò)中正常TTL變化引起的噪聲���,并使調(diào)制后的TTL值接近自然的TTL值。
[0012]在發(fā)送端將秘密消息c經(jīng)過變換得到m�,將m放入TTL中,TTL在數(shù)據(jù)包中占一個(gè)字節(jié),利用該方法進(jìn)行隱蔽通信需要考慮通信連路上路由器的數(shù)量N���,接收方必須知道該數(shù)據(jù)包在網(wǎng)絡(luò)中共經(jīng)過多少路由器����,從而可以將收到的信息m’加上N得到發(fā)送方發(fā)送的數(shù)據(jù)m���。
[0013]在局域網(wǎng)中��,由于路由路徑一般固定�,所以N —般不會(huì)發(fā)生變化�,這使得這種簡單的信息隱藏方法可行。
[0014]為了讓接收方得知IP數(shù)據(jù)包在網(wǎng)絡(luò)上經(jīng)過的路由數(shù)N���,本文設(shè)計(jì)了訓(xùn)練序列��,接收方可以由已知的訓(xùn)練序列規(guī)律求出N值�。
[0015]以下是該隱藏方法的流程���。
[0016]本發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置發(fā)送端:
(I)將待隱藏的信息C預(yù)加密達(dá)到m�����,增加隱秘性���。
[0017](2)構(gòu)造雙方預(yù)知的一段序列如長度為I的全I(xiàn)串嵌入到TTL字段中�����,即將TTL值設(shè)為255作為訓(xùn)練序列和開始標(biāo)志���。
[0018](3)將待發(fā)送的秘密信息m按字節(jié)嵌入到TTL字段中發(fā)送。
[0019]接收端:
(I)接收數(shù)據(jù)包����,將TTL字段的取值存儲(chǔ)得到m’。
[0020](2)在TTL值序列中尋找訓(xùn)練序列特征���,將序列中TTL取值M與255相減�,得到數(shù)據(jù)包在網(wǎng)絡(luò)上經(jīng)過的路由器數(shù)N�,即255-M = N。
[0021](3)將接收到的TTL值m’加上N得到發(fā)送的秘密消息���,即m = N+m’。
[0022](4)將m按照預(yù)共享的密鑰解密得到原始的隱藏信息C�����。
[0023]在局域網(wǎng)中,該方法可以正確的傳輸隱藏信息���。但在復(fù)雜的互聯(lián)網(wǎng)中��,由于路由的路徑不同����,數(shù)據(jù)包所經(jīng)過的路由等設(shè)備的數(shù)目N是動(dòng)態(tài)變化的�����,這種方法有極高的誤碼率��,這極大的限制了該方法的適用范圍���,并且由于m直接嵌入TTL中�����,使隱藏?cái)?shù)據(jù)包TTL值的統(tǒng)計(jì)特性與自然的統(tǒng)計(jì)特征相差巨大�����,容易被檢測和消除��。對(duì)于這個(gè)問題���,發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置
(I)采用兩個(gè)不同的TTL值�,這兩個(gè)值之間的差要比較大�,它們分別代表二進(jìn)制數(shù)O和I。
[0024]這樣的話�����,即使經(jīng)過的路由器數(shù)量對(duì)方不道�,對(duì)方也可以根據(jù)接收到的數(shù)值的大小來判斷,這樣就提高了系統(tǒng)的穩(wěn)定性和隱蔽性���。
[0025](2)采用兩個(gè)不同的TTL值���,這兩個(gè)值之間的差比較小,分別代表二進(jìn)制數(shù)O和
1
[0026]定義一個(gè)計(jì)數(shù)器L�����,發(fā)送O或I是都連續(xù)發(fā)送L次���,接收方收到序列后可以根據(jù)收到的重復(fù)數(shù)值來確定原信息����,這樣的TTL值變化較小����,更符合一般的TTL變化規(guī)律。
[0027]為進(jìn)一步加強(qiáng)隱蔽性�����,L可以由一個(gè)帶密鑰的函數(shù)決定�����,使之動(dòng)態(tài)變化��,這樣即使攻擊者發(fā)現(xiàn)了隱蔽信道的存在�,由于沒有密鑰也很難恢復(fù)秘密信息。
[0028](3)采用擴(kuò)頻編碼��。
[0029]將待發(fā)送信息m用擴(kuò)頻編碼調(diào)制���,如長度為L的Walsh-Hadamard碼�����,使每一比特都調(diào)制成一個(gè)值為±1的碼序列C=(C1��,C2����,……,CL)���,用預(yù)設(shè)的TTL值T與C相加得到一個(gè)t序列t=(T+Cl�����,T+C2,……����,T+CL)�����,再將t序列嵌入到TTL中發(fā)送給接收方���。
[0030]由于W-H碼的均值為0����,接收方只要分段計(jì)算收到的TTL值的均值就可以得到估計(jì)的路由數(shù)N’���,把接收到的t’序列減去N’���,就可以得到序列C’,由于擴(kuò)頻編碼的特性�����,用相應(yīng)的W-H碼即可解擴(kuò)出原有的信息m�。
[0031]如果攻擊者如果沒有相應(yīng)的碼字,根本無法察覺隱藏信息的存在���。
[0032]這種方法也適用于當(dāng)網(wǎng)絡(luò)發(fā)生較大改變時(shí)的情形��,由于N’是分段計(jì)算的��,當(dāng)網(wǎng)絡(luò)拓?fù)渫蝗话l(fā)生較大改變時(shí)�����,該方法可以自適應(yīng)的計(jì)算出當(dāng)前網(wǎng)絡(luò)環(huán)境下的N值����。
[0033]采用這三種編碼方法的流程與前面提到的簡單的基于TTL的信息隱藏方法大致相同,增加了編碼的步驟以對(duì)抗網(wǎng)絡(luò)上的噪聲提高隱蔽性����,但不需要訓(xùn)練序列的幫助來獲得N值了。
[0034]由于層架式協(xié)議轉(zhuǎn)換器與DTU互連的有線網(wǎng)口�����,IP地址設(shè)在同一網(wǎng)段��,而DTU無線網(wǎng)口另設(shè)一段IP地址�,因此可以使用筆記本電腦通過cdma2000 lx+VPDN方式遠(yuǎn)程登錄各客戶端的層架式協(xié)議轉(zhuǎn)換器進(jìn)行管理。
[0035]本發(fā)明一種數(shù)據(jù)包封裝控制用戶設(shè)備接入的方法及裝置具有以下特點(diǎn):
(1)不占用有線傳輸網(wǎng)的El資源��,投資成本小��,組網(wǎng)快捷�;
(2)對(duì)外部條件要求低,只需有穩(wěn)定的CDMA網(wǎng)絡(luò)信號(hào)即可��;
(3)采用cdma2000lx+VPDN方式傳送網(wǎng)管信息���,保密性高�,可使用筆記本電腦設(shè)置多個(gè)移動(dòng)網(wǎng)管中心。
[0036]無線DTU設(shè)備的工作方式
(I)DTU獲取用戶名和密碼�����。用戶名和密碼由RADIUSServer分配����,接入服務(wù)器的域名由AAA服務(wù)器分配�����。
[0037](2) DTU向I3DSN發(fā)送PPP認(rèn)證請(qǐng)求����,PDSN收到認(rèn)證請(qǐng)求后,將用戶名送到AAA服務(wù)器�,AAA服務(wù)器根據(jù)用戶名的后綴域名判斷此域名的合法性。
[0038]如果合法���,將向I3DSN返回此域名對(duì)應(yīng)的LNS的IP地址以及建立L2TP隧道所需的密鑰等信息���。
[0039](3) PDSN根據(jù)LNS的地址以及密鑰同LNS建立L2TP隧道�����。
[0040](4) DTU和接入服務(wù)器做進(jìn)一步的PPP協(xié)商���。
[0041](5)接入服務(wù)器將從隧道發(fā)過來的用戶名和密碼發(fā)往RADIUSServer進(jìn)行二次認(rèn)證。
[0042](6)認(rèn)證成功后����,DTU發(fā)送DHCP請(qǐng)求包請(qǐng)求分配IP地址,接入服務(wù)器收到該請(qǐng)求后轉(zhuǎn)發(fā)給DHCPServer,DHCPServer根據(jù)相應(yīng)的信息(如用戶名)為DTU分配IP地址�����,此時(shí)分配的IP地址是內(nèi)網(wǎng)IP地址�。
[0043](7) DTU獲得分配的IP地址后,整個(gè)VPDN的PPP過程結(jié)束