一种数据包封装控制用户设备接入的方法及装置的制造方法

一种数据包封装控制用户设备接入的方法及装置的制造方法
【专利说明】一种数据包封装控制用户设备接入的方法及装置
[0001]一种数据包封装控制用户设备接入的方法及装置
本发明一种数据包封装控制用户设备接入的方法及装置属于模拟计算机领域。
[0002]当要从一个网络向其他网络内的主机发送数据包时，先将数据段交给IP层实现IP封装以确定IP寻址，然后将封装后的数据交给网关因为局域网中的连接方法和网关与网关之间的连接方法或者传输的帧类型。
[0003]有可能不一样，所以网关对网络内的数据进行(网关与网关传输方式的)封装(如PPP，也是一种帧格式)之后就实现了在不同网络上的传输到达目标网络后数据包被目标网关解开所传送的数据最终能够被目标主机识别，因为网络层对所有设备都是一样的，其地址对所有的设备也都是统一的所以网络层的数据包格式每一个主机都能够识别。
[0004]生存时间(TTL)字段设置了数据报经过的最多路由器数。它指定了数据报的生存时间。
[0005]TTL的初始值由源主机设置，经过一个处理它的路由器，它的值就减1，当该字段为O时，数据报就被丢弃。
[0006]设置该字段主要是为了防止无法到达的数据报永久停留在网络中阻塞网络。该字段成为隐
蔽位置的原因是:
①由于网络情况和路径变化频繁，该TTL值改变不会被认为是异常。
[0007]②对这个值的操作也可以被认为是合法的，因为对该字段的操作可以认为是用于另外一种用途:
在一组拥有相同功能的服务器中找到距离源主机最近的服务器。
[0008]源主机在开始寻找时，首先会发送TTL=I的请求包到这个地址。请求包在被丢弃前将到达一些路由器。
[0009]如果没有回复信息，那么源主机就在TTL值上加1，继续搜索。由于有原因①和②的存在，所以TTL在网络中的取值是变化的，满足了成为隐蔽信息字段的条件。
[0010]本发明一种数据包封装控制用户设备接入的方法及装置提出的隐藏算法的主要思想就是将要隐藏的秘密消息编码替换到原IP报文的TTL值。
[0011]本发明一种数据包封装控制用户设备接入的方法及装置并提出编码方法抵抗由于网络中正常TTL变化引起的噪声，并使调制后的TTL值接近自然的TTL值。
[0012]在发送端将秘密消息c经过变换得到m，将m放入TTL中，TTL在数据包中占一个字节，利用该方法进行隐蔽通信需要考虑通信连路上路由器的数量N，接收方必须知道该数据包在网络中共经过多少路由器，从而可以将收到的信息m’加上N得到发送方发送的数据m。
[0013]在局域网中，由于路由路径一般固定，所以N —般不会发生变化，这使得这种简单的信息隐藏方法可行。
[0014]为了让接收方得知IP数据包在网络上经过的路由数N，本文设计了训练序列，接收方可以由已知的训练序列规律求出N值。
[0015]以下是该隐藏方法的流程。
[0016]本发明一种数据包封装控制用户设备接入的方法及装置发送端:
(I)将待隐藏的信息C预加密达到m，增加隐秘性。
[0017](2)构造双方预知的一段序列如长度为I的全I串嵌入到TTL字段中，即将TTL值设为255作为训练序列和开始标志。
[0018](3)将待发送的秘密信息m按字节嵌入到TTL字段中发送。
[0019]接收端:
(I)接收数据包，将TTL字段的取值存储得到m’。
[0020](2)在TTL值序列中寻找训练序列特征，将序列中TTL取值M与255相减，得到数据包在网络上经过的路由器数N，即255-M = N。
[0021](3)将接收到的TTL值m’加上N得到发送的秘密消息，即m = N+m’。
[0022](4)将m按照预共享的密钥解密得到原始的隐藏信息C。
[0023]在局域网中，该方法可以正确的传输隐藏信息。但在复杂的互联网中，由于路由的路径不同，数据包所经过的路由等设备的数目N是动态变化的，这种方法有极高的误码率，这极大的限制了该方法的适用范围，并且由于m直接嵌入TTL中，使隐藏数据包TTL值的统计特性与自然的统计特征相差巨大，容易被检测和消除。对于这个问题，发明一种数据包封装控制用户设备接入的方法及装置
(I)采用两个不同的TTL值，这两个值之间的差要比较大，它们分别代表二进制数O和I。
[0024]这样的话，即使经过的路由器数量对方不道，对方也可以根据接收到的数值的大小来判断，这样就提高了系统的稳定性和隐蔽性。
[0025](2)采用两个不同的TTL值，这两个值之间的差比较小，分别代表二进制数O和
1
[0026]定义一个计数器L，发送O或I是都连续发送L次，接收方收到序列后可以根据收到的重复数值来确定原信息，这样的TTL值变化较小，更符合一般的TTL变化规律。
[0027]为进一步加强隐蔽性，L可以由一个带密钥的函数决定，使之动态变化，这样即使攻击者发现了隐蔽信道的存在，由于没有密钥也很难恢复秘密信息。
[0028](3)采用扩频编码。
[0029]将待发送信息m用扩频编码调制，如长度为L的Walsh-Hadamard码，使每一比特都调制成一个值为±1的码序列C=(C1，C2，……，CL)，用预设的TTL值T与C相加得到一个t序列t=(T+Cl，T+C2,……，T+CL)，再将t序列嵌入到TTL中发送给接收方。
[0030]由于W-H码的均值为0，接收方只要分段计算收到的TTL值的均值就可以得到估计的路由数N’，把接收到的t’序列减去N’，就可以得到序列C’，由于扩频编码的特性，用相应的W-H码即可解扩出原有的信息m。
[0031]如果攻击者如果没有相应的码字，根本无法察觉隐藏信息的存在。
[0032]这种方法也适用于当网络发生较大改变时的情形，由于N’是分段计算的，当网络拓扑突然发生较大改变时，该方法可以自适应的计算出当前网络环境下的N值。
[0033]采用这三种编码方法的流程与前面提到的简单的基于TTL的信息隐藏方法大致相同，增加了编码的步骤以对抗网络上的噪声提高隐蔽性，但不需要训练序列的帮助来获得N值了。
[0034]由于层架式协议转换器与DTU互连的有线网口，IP地址设在同一网段，而DTU无线网口另设一段IP地址，因此可以使用笔记本电脑通过cdma2000 lx+VPDN方式远程登录各客户端的层架式协议转换器进行管理。
[0035]本发明一种数据包封装控制用户设备接入的方法及装置具有以下特点:
(1)不占用有线传输网的El资源，投资成本小，组网快捷；
(2)对外部条件要求低，只需有稳定的CDMA网络信号即可；
(3)采用cdma2000lx+VPDN方式传送网管信息，保密性高，可使用笔记本电脑设置多个移动网管中心。
[0036]无线DTU设备的工作方式
(I)DTU获取用户名和密码。用户名和密码由RADIUSServer分配，接入服务器的域名由AAA服务器分配。
[0037](2) DTU向I3DSN发送PPP认证请求，PDSN收到认证请求后，将用户名送到AAA服务器，AAA服务器根据用户名的后缀域名判断此域名的合法性。
[0038]如果合法，将向I3DSN返回此域名对应的LNS的IP地址以及建立L2TP隧道所需的密钥等信息。
[0039](3) PDSN根据LNS的地址以及密钥同LNS建立L2TP隧道。
[0040](4) DTU和接入服务器做进一步的PPP协商。
[0041](5)接入服务器将从隧道发过来的用户名和密码发往RADIUSServer进行二次认证。
[0042](6)认证成功后，DTU发送DHCP请求包请求分配IP地址,接入服务器收到该请求后转发给DHCPServer，DHCPServer根据相应的信息(如用户名)为DTU分配IP地址，此时分配的IP地址是内网IP地址。
[0043](7) DTU获得分配的IP地址后，整个VPDN的PPP过程结束