[發明專利]基于NDIS過濾驅動的網絡數據單向傳輸控制方法在審
| 申請號: | 201810526010.7 | 申請日: | 2018-05-29 |
| 公開(公告)號: | CN108777681A | 公開(公告)日: | 2018-11-09 |
| 發明(設計)人: | 崔振利 | 申請(專利權)人: | 中國人民解放軍91977部隊 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 中國人民解放軍海軍專利服務中心 11044 | 代理人: | 宋濤;劉書巖 |
| 地址: | 102249 北*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 服務端 過濾驅動 單向傳輸控制 客戶端 網絡數據 密級 單向傳輸 計算機 數據單向傳輸 網絡過濾驅動 發送 傳輸安全 發送程序 接收程序 軟件手段 數據內容 網絡連接 數據包 解密 加密 查驗 監測 檢測 部署 保證 服務 | ||
1.基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,包括以下步驟:
(1)建立兩臺不同密級計算機的網絡連接,密級較高計算機作為服務端,密級較低計算機作為客戶端;
(2)在服務端和客戶端分別安裝網絡過濾驅動;
(3)在服務端安裝網絡探測程序和系統檢測程序,采用雙進程保護,防止網絡過濾驅動被破壞后單向傳輸控制失效;
(4)在服務端運行單向傳輸接收程序,設定服務端監聽端口,監聽并接收客戶端發送的數據;
(5)在客戶端運行單向傳輸發送程序,指定要接收數據的服務端計算機IP地址和端口,按照文件單向傳輸協議,以文件形式發送數據;
(6)客戶端網絡過濾驅動將發送到服務端TCP數據包自動加密;服務端網絡過濾驅動接收解密TCP數據包,查驗發送出去的數據包,保證發送出去的TCP數據包不包括數據內容,實現數據單向傳輸控制。
2.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,步驟(2)中在服務端安裝網絡過濾驅動,設定網絡傳輸時TCP端口異或數值;在客戶端安裝網絡過濾驅動,設定可與本機采用加密通訊的計算機的IP地址及TCP端口異或數值,該異或數值與服務端設置的數值相同。
3.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,服務端網絡過濾驅動的過濾程序為:(1)對接收到的網絡數據包進行查驗,若不是TCP包,則直接放行,若是TCP包,則進行第2步,對TCP包進行解密處理;(2)對接收到的TCP包,將端口號與設定數值進行異或處理,同時解密數據內容,解密后提交給上層驅動或應用;(3)對要發送出去的數據包進行查驗,若是ARP包,則放行,若不是ARP包,則進行第4步,再次進行查驗;(4)對要發送出去的數據包進行查驗,若不是TCP包,則丟棄,若是TCP包,進行第5步,再次進行查驗;(5)對發送出去的TCP包進行查驗,若包含數據內容或標志位為SYN,則丟棄;(6)保證發送出去的TCP包不包含數據內容且不為SYN包;(7)當經查驗滿足(6)要求則將端口號與設定數值異或,并將TCP內容部分進行加密,加密后提交網卡發送出去。
4.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,客戶端網絡過濾驅動的過濾程序為:(1)對要發送的數據包進行查驗,若不是TCP包,直接放行,若是TCP包,進行第2步,再次查驗;(2)對要發送的TCP數據包查驗是否是服務端IP地址,若不是,直接放行,若是進行第3步對TCP包進行加密處理;(3)對發送給服務端IP地址的TCP包,將端口號與設定數值進行異或處理,同時將TCP內容部分進行加密,加密后提交給網卡發送出去;(4)對接收到服務端IP地址的TCP包,將端口號與設定數值進行異或處理,同時對TCP內容部分進行解密,解密后提交給上層驅動或應用。
5.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,步驟(3)中在服務端安裝網絡探測程序和系統檢測程序,采用雙進程保護,如失敗則關閉計算機系統。
6.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,步驟(3)中網絡探測程序以系統服務方式運行,采用循環方式嘗試與低密級端建立TCP連接,一旦建立TCP連接(過濾驅動被破壞或未安裝)則強制關閉計算機系統;系統檢測程序開機后自動啟動,檢測網絡探測服務和網絡過濾驅動是否正常加載,如沒有正常加載,則彈出警示窗口報警。
7.如權利要求3所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,服務端發送出去的TCP數據包通常格式為14字節以太網首部,20字節IP首部,20字節TCP首部,后邊為TCP數據,TCP數據中如三次握手信息,不包含用戶實際發送的數據。
8.如權利要求1所述的基于NDIS過濾驅動的網絡數據單向傳輸控制方法,其特征在于,步驟(5)中文件單向傳輸協議定義為:4字節文件名長度、4字節文件長度、文件名、文件內容。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國人民解放軍91977部隊,未經中國人民解放軍91977部隊許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810526010.7/1.html,轉載請聲明來源鉆瓜專利網。
