The invention provides a one-way transmission control method of network data based on NDIS filter driver, which includes the following steps: establishing network connection between two different classified computers, using higher classified computers as servers and lower classified computers as clients; installing network filter drivers at servers and clients respectively; serving as servers; and serving as servers. The server installs monitoring service and detection program to prevent the failure of one-way transmission control after the filter driver is destroyed; runs one-way transmission receiving program on the server side; runs one-way transmission sending program on the client side; the client filter driver encrypts the TCP data packet and sends it to the server side, and the server filter driver receives decrypted TCP data packet. Check the data packets sent out, ensure that the TCP data packets sent do not include data content, and realize one-way data transmission control. The invention realizes one-way transmission control of network data by means of software, does not need special hardware, is convenient to install and deploy, and is safe and reliable in transmission.
【技术实现步骤摘要】
基于NDIS过滤驱动的网络数据单向传输控制方法
本专利技术涉及单向网络传输控制方法,具体涉及一种基于NDIS过滤驱动的网络数据单向传输控制方法。
技术介绍
网络数据单向传输控制属于网络安全
,主要应用在对网络安全有较高需求的单位中,实现密级较高网络中的数据不能流向密级较低网络,但密级较低网络中的数据可以流向密级较高网络的单向传输网络数据。目前常见的网络数据单向传输控制技术称为网闸或隔离网闸,是通过硬件的方式在两个不连通的网络间进行数据传递或者交换。隔离网闸的硬件通常由外网处理单元、内网处理单元及隔离与交换控制单元组成,交换控制单元类似于数据交换中的摆渡船,采用摆渡开关或通道控制方式,让数据交换区与内外网在任意时刻不同时连接或在内外网之间改变通讯模式中断内外网的直接连接,从而实现内外网的物理隔离。内外网之间数据安全传递的基本原理是通过切断网络,切断网络之间的TCP/IP连接,分解TCP/IP数据包,运用自由协议进行数据包转发,重组TCP/IP数据包,进行安全性检查,将数据交换传输出去。其中数据包的转发不采用面向连接的TCP协议来进行传输,只存在数据信息流而不存在控制信息流,因此还需要采用一定的数据容错、纠错技术来提高信息传递的可靠性。隔离网闸技术的复杂性决定了目前硬件网闸设备实现网络数据单向传输控制成本较高,安装部署不方便,不方便大范围推广使用。
技术实现思路
本专利技术利用纯软件手段,实现网络数据单向传输控制并保证其安全可靠。为了达到上述目的,本专利技术提供一种基于NDIS过滤驱动的网络数据单向传输控制方法,包括以下步骤:(1)建立两台不同密级计算机的网 ...
【技术保护点】
1.基于NDIS过滤驱动的网络数据单向传输控制方法,其特征在于,包括以下步骤:(1)建立两台不同密级计算机的网络连接,密级较高计算机作为服务端,密级较低计算机作为客户端;(2)在服务端和客户端分别安装网络过滤驱动;(3)在服务端安装网络探测程序和系统检测程序,采用双进程保护,防止网络过滤驱动被破坏后单向传输控制失效;(4)在服务端运行单向传输接收程序,设定服务端监听端口,监听并接收客户端发送的数据;(5)在客户端运行单向传输发送程序,指定要接收数据的服务端计算机IP地址和端口,按照文件单向传输协议,以文件形式发送数据;(6)客户端网络过滤驱动将发送到服务端TCP数据包自动加密;服务端网络过滤驱动接收解密TCP数据包,查验发送出去的数据包,保证发送出去的TCP数据包不包括数据内容,实现数据单向传输控制。
【技术特征摘要】
1.基于NDIS过滤驱动的网络数据单向传输控制方法,其特征在于,包括以下步骤:(1)建立两台不同密级计算机的网络连接,密级较高计算机作为服务端,密级较低计算机作为客户端;(2)在服务端和客户端分别安装网络过滤驱动;(3)在服务端安装网络探测程序和系统检测程序,采用双进程保护,防止网络过滤驱动被破坏后单向传输控制失效;(4)在服务端运行单向传输接收程序,设定服务端监听端口,监听并接收客户端发送的数据;(5)在客户端运行单向传输发送程序,指定要接收数据的服务端计算机IP地址和端口,按照文件单向传输协议,以文件形式发送数据;(6)客户端网络过滤驱动将发送到服务端TCP数据包自动加密;服务端网络过滤驱动接收解密TCP数据包,查验发送出去的数据包,保证发送出去的TCP数据包不包括数据内容,实现数据单向传输控制。2.如权利要求1所述的基于NDIS过滤驱动的网络数据单向传输控制方法,其特征在于,步骤(2)中在服务端安装网络过滤驱动,设定网络传输时TCP端口异或数值;在客户端安装网络过滤驱动,设定可与本机采用加密通讯的计算机的IP地址及TCP端口异或数值,该异或数值与服务端设置的数值相同。3.如权利要求1所述的基于NDIS过滤驱动的网络数据单向传输控制方法,其特征在于,服务端网络过滤驱动的过滤程序为:(1)对接收到的网络数据包进行查验,若不是TCP包,则直接放行,若是TCP包,则进行第2步,对TCP包进行解密处理;(2)对接收到的TCP包,将端口号与设定数值进行异或处理,同时解密数据内容,解密后提交给上层驱动或应用;(3)对要发送出去的数据包进行查验,若是ARP包,则放行,若不是ARP包,则进行第4步,再次进行查验;(4)对要发送出去的数据包进行查验,若不是TCP包,则丢弃,若是TCP包,进行第5步,再次进行查验;(5)对发送出去的TCP包进行查验,若包含数据内容或标志位为SYN,则丢弃;(6)保证发送出去的TCP包不包含数据...
【专利技术属性】
技术研发人员:崔振利,
申请(专利权)人:中国人民解放军九一九七七部队,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。