基于NDIS过滤驱动的网络数据单向传输控制方法技术

本发明专利技术提出一种基于NDIS过滤驱动的网络数据单向传输控制方法，包括以下步骤：建立两台不同密级计算机的网络连接，密级较高计算机作为服务端，密级较低计算机作为客户端；在服务端和客户端分别安装网络过滤驱动；在服务端安装监测服务和检测程序，防止过滤驱动被破坏后单向传输控制失效；在服务端运行单向传输接收程序；在客户端运行单向传输发送程序；客户端过滤驱动将TCP数据包加密后发送给服务端,服务端过滤驱动接收解密TCP数据包，查验发送出去的数据包，保证发送的TCP数据包不包括数据内容，实现数据单向传输控制。本发明专利技术通过软件手段实现网络数据单向传输控制，不需要特殊硬件，安装部署方便，并且传输安全可靠。

Network data one-way transmission control method based on NDIS filter driver

The invention provides a one-way transmission control method of network data based on NDIS filter driver, which includes the following steps: establishing network connection between two different classified computers, using higher classified computers as servers and lower classified computers as clients; installing network filter drivers at servers and clients respectively; serving as servers; and serving as servers. The server installs monitoring service and detection program to prevent the failure of one-way transmission control after the filter driver is destroyed; runs one-way transmission receiving program on the server side; runs one-way transmission sending program on the client side; the client filter driver encrypts the TCP data packet and sends it to the server side, and the server filter driver receives decrypted TCP data packet. Check the data packets sent out, ensure that the TCP data packets sent do not include data content, and realize one-way data transmission control. The invention realizes one-way transmission control of network data by means of software, does not need special hardware, is convenient to install and deploy, and is safe and reliable in transmission.

【技术实现步骤摘要】
基于NDIS过滤驱动的网络数据单向传输控制方法
本专利技术涉及单向网络传输控制方法，具体涉及一种基于NDIS过滤驱动的网络数据单向传输控制方法。
技术介绍
网络数据单向传输控制属于网络安全
，主要应用在对网络安全有较高需求的单位中，实现密级较高网络中的数据不能流向密级较低网络，但密级较低网络中的数据可以流向密级较高网络的单向传输网络数据。目前常见的网络数据单向传输控制技术称为网闸或隔离网闸，是通过硬件的方式在两个不连通的网络间进行数据传递或者交换。隔离网闸的硬件通常由外网处理单元、内网处理单元及隔离与交换控制单元组成，交换控制单元类似于数据交换中的摆渡船，采用摆渡开关或通道控制方式，让数据交换区与内外网在任意时刻不同时连接或在内外网之间改变通讯模式中断内外网的直接连接，从而实现内外网的物理隔离。内外网之间数据安全传递的基本原理是通过切断网络，切断网络之间的TCP/IP连接，分解TCP/IP数据包，运用自由协议进行数据包转发，重组TCP/IP数据包，进行安全性检查，将数据交换传输出去。其中数据包的转发不采用面向连接的TCP协议来进行传输，只存在数据信息流而不存在控制信息流，因此还需要采用一定的数据容错、纠错技术来提高信息传递的可靠性。隔离网闸技术的复杂性决定了目前硬件网闸设备实现网络数据单向传输控制成本较高，安装部署不方便，不方便大范围推广使用。
技术实现思路
本专利技术利用纯软件手段，实现网络数据单向传输控制并保证其安全可靠。为了达到上述目的，本专利技术提供一种基于NDIS过滤驱动的网络数据单向传输控制方法，包括以下步骤：（1）建立两台不同密级计算机的网络连接，设定密级较高计算机作为服务端，设定密级较低计算机作为客户端；（2）在服务端和客户端分别安装网络过滤驱动；（3）在服务端安装网络探测程序和系统检测程序，采用双进程保护，防止过滤驱动被破坏后单向传输控制失效；（4）在服务端运行单向传输接收程序，设定服务端监听端口，监听并接收客户端发送的数据；（5）在客户端运行单向传输发送程序，指定要接收数据的服务端计算机IP地址和端口，按照文件单向传输协议，以文件形式发送数据；（6）客户端过滤驱动将发送到服务端的TCP数据包自动加密；服务端过滤驱动接收解密TCP数据包，查验发送出去的数据包，保证发送出去的TCP数据包不包括数据内容，实现数据单向传输控制。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，安装服务端网络过滤驱动，设定网络传输时TCP端口异或数值；安装客户端网络过滤驱动，设定可与本机采用加密通讯的计算机的IP地址及TCP端口异或数值，该异或数值与服务端设置的数值相同。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，服务端网络过滤驱动的过滤程序为：（1）第一步：对接收到的网络数据包进行查验，若不是TCP包，则直接放行，若是TCP包，则进行第二步，对TCP包进行解密处理；（2）第二步：对接收到的TCP包，将端口号与设定数值进行异或处理，同时解密数据内容，解密后提交给上层驱动或应用；（3）第三步：对要发送出去的数据包进行查验，若是ARP包，则放行，若不是ARP包，则进行第四步，再次进行查验；（4）第四步：对要发送出去的数据包进行查验，若也不是TCP包，则丢弃，若是TCP包，进行第五步，再次进行查验；（5）第五步：对发送出去的TCP包进行查验，若包含数据内容或标志位为SYN，则丢弃；（6）保证发送出去的TCP包不包含数据内容且不为SYN包；（7）当经查验满足（6）要求则将端口号与设定数值异或，并将TCP内容部分进行加密，加密后提交网卡发送出去。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，客户端网络过滤驱动的过滤程序为：（1）第一步：对要发送的数据包进行查验，若不是TCP包，直接放行，若是TCP包，进行第二步，再次查验；（2）第二步：对要发送的TCP数据包查验是否是服务端IP地址，若不是，直接放行，若是进行第三步对TCP包进行加密处理；（3）第三步：对发送给服务端IP地址的TCP包，将端口号与设定数值进行异或处理，同时将TCP内容部分进行加密，加密后提交给网卡发送出去；（4）第四步：对接收到服务端IP地址的TCP包，将端口号与设定数值进行异或处理，同时对TCP内容部分进行解密，解密后提交给上层驱动或应用。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，在服务端安装网络探测程序和系统检测程序，采用双进程保护，如失败则关闭计算机系统。网络探测程序以系统服务方式运行，采用循环方式尝试与低密级端建立TCP连接，一旦建立TCP连接(过滤驱动被破坏或未安装)则强制关闭计算机系统；系统检测程序开机后自动启动，检测网络探测服务和网络过滤驱动是否正常加载，如没有正常加载，则弹出警示窗口报警。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，服务端发送出去的TCP数据包通常格式为14字节以太网首部，20字节IP首部，20字节TCP首部，后边为TCP数据，TCP数据中如三次握手信息，不包含用户实际发送的数据。上述基于NDIS过滤驱动的网络数据单向传输控制方法，其中，客户端文件单向传输协议定义为：4字节文件名长度、4字节文件长度、文件名、文件内容。本专利技术与现有技术相比具有如下技术效果：（1）本方法采用软件方式，数据传输不需要专用的隔离交换控制设备，安装部署方便、简捷、成本低；（2）本方法中数据传输采用面向连接的TCP协议，保证了数据的可靠传输；（3）本方法中对传输端口号和数据内容动态加解密，保证了服务端只能与安装客户端过滤驱动的计算机建立TCP连接以及传输数据的安全性。附图说明本专利技术的基于NDIS过滤驱动的网络数据单向传输控制方法由以下实施例及附图给出。图1是本专利技术实施例中网络探测程序及系统监测程序安装界面图。图2是本专利技术实施例中服务端过滤驱动安装界面图。图3是本专利技术实施例中服务端过滤驱动的端口异或数值设置界面图。图4是本专利技术实施例中客户端过滤驱动安装界面图。图5是本专利技术实施例中客户端过滤驱动IP和端口异或数值设置界面图。图6是本专利技术实施例中服务端过滤驱动的过滤程序流程图。图7是本专利技术实施例中客户端过滤驱动的过滤程序流程图。具体实施方式以下将结合图1～图7对本专利技术的基于NDIS过滤驱动的网络数据单向传输控制方法作进一步的详细描述。本专利技术一较佳实施例的基于NDIS过滤驱动的网络数据单向传输控制方法包括以下步骤：1、建立两台不同密级计算机的网络连接，密级较高计算机作为服务端，密级较低计算机作为客户端；本实施例中建立一台双网卡计算机和一台普通计算机的连接，该双网卡计算机，一块网卡连接外网，另一网卡连接内网，并将该计算机作为单向网络控制服务端，为便于部署，可在普通计算机上外接一块USB网卡，普通计算机作为客户端，连接外网。2、在服务端安装网络探测程序和系统检测程序，在双网卡计算机上安装网络探测程序和系统检测程序。网络探测服务能自动重启检测程序，如失败则关闭计算机系统。网络探测程序循环尝试与设定外网端口建立网络连接，一旦连接成功，则强制关闭计算机。系统检测程序开机自动运行，检测过滤驱动和监测服务是否运行正常,发现异常则报警关机。图1所示为本实施例中网络探测程序及系统检测程序安装界面，如图1所示本文档来自技高网...

【技术保护点】
1.基于NDIS过滤驱动的网络数据单向传输控制方法，其特征在于，包括以下步骤：（1）建立两台不同密级计算机的网络连接，密级较高计算机作为服务端，密级较低计算机作为客户端；（2）在服务端和客户端分别安装网络过滤驱动；（3）在服务端安装网络探测程序和系统检测程序，采用双进程保护，防止网络过滤驱动被破坏后单向传输控制失效；（4）在服务端运行单向传输接收程序，设定服务端监听端口，监听并接收客户端发送的数据；（5）在客户端运行单向传输发送程序，指定要接收数据的服务端计算机IP地址和端口，按照文件单向传输协议，以文件形式发送数据；（6）客户端网络过滤驱动将发送到服务端TCP数据包自动加密；服务端网络过滤驱动接收解密TCP数据包，查验发送出去的数据包，保证发送出去的TCP数据包不包括数据内容，实现数据单向传输控制。

【技术特征摘要】
1.基于NDIS过滤驱动的网络数据单向传输控制方法，其特征在于，包括以下步骤：（1）建立两台不同密级计算机的网络连接，密级较高计算机作为服务端，密级较低计算机作为客户端；（2）在服务端和客户端分别安装网络过滤驱动；（3）在服务端安装网络探测程序和系统检测程序，采用双进程保护，防止网络过滤驱动被破坏后单向传输控制失效；（4）在服务端运行单向传输接收程序，设定服务端监听端口，监听并接收客户端发送的数据；（5）在客户端运行单向传输发送程序，指定要接收数据的服务端计算机IP地址和端口，按照文件单向传输协议，以文件形式发送数据；（6）客户端网络过滤驱动将发送到服务端TCP数据包自动加密；服务端网络过滤驱动接收解密TCP数据包，查验发送出去的数据包，保证发送出去的TCP数据包不包括数据内容，实现数据单向传输控制。2.如权利要求1所述的基于NDIS过滤驱动的网络数据单向传输控制方法，其特征在于，步骤（2）中在服务端安装网络过滤驱动，设定网络传输时TCP端口异或数值；在客户端安装网络过滤驱动，设定可与本机采用加密通讯的计算机的IP地址及TCP端口异或数值，该异或数值与服务端设置的数值相同。3.如权利要求1所述的基于NDIS过滤驱动的网络数据单向传输控制方法，其特征在于，服务端网络过滤驱动的过滤程序为：（1）对接收到的网络数据包进行查验，若不是TCP包，则直接放行，若是TCP包，则进行第2步，对TCP包进行解密处理；（2）对接收到的TCP包，将端口号与设定数值进行异或处理，同时解密数据内容，解密后提交给上层驱动或应用；（3）对要发送出去的数据包进行查验，若是ARP包，则放行，若不是ARP包，则进行第4步，再次进行查验；（4）对要发送出去的数据包进行查验，若不是TCP包，则丢弃，若是TCP包，进行第5步，再次进行查验；（5）对发送出去的TCP包进行查验，若包含数据内容或标志位为SYN，则丢弃；（6）保证发送出去的TCP包不包含数据...

【专利技术属性】
技术研发人员：崔振利，
申请(专利权)人：中国人民解放军九一九七七部队，
类型：发明
国别省市：北京,11