本發明提出一種基于NDIS過濾驅動的網絡數據單向傳輸控制方法，包括以下步驟：建立兩臺不同密級計算機的網絡連接，密級較高計算機作為服務端，密級較低計算機作為客戶端；在服務端和客戶端分別安裝網絡過濾驅動；在服務端安裝監測服務和檢測程序，防止過濾驅動被破壞后單向傳輸控制失效；在服務端運行單向傳輸接收程序；在客戶端運行單向傳輸發送程序；客戶端過濾驅動將TCP數據包加密后發送給服務端,服務端過濾驅動接收解密TCP數據包，查驗發送出去的數據包，保證發送的TCP數據包不包括數據內容，實現數據單向傳輸控制。本發明通過軟件手段實現網絡數據單向傳輸控制，不需要特殊硬件，安裝部署方便，并且傳輸安全可靠。

技術領域

本發明涉及單向網絡傳輸控制方法，具體涉及一種基于NDIS過濾驅動的網絡數據單向傳輸控制方法。

背景技術

網絡數據單向傳輸控制屬于網絡安全技術領域，主要應用在對網絡安全有較高需求的單位中，實現密級較高網絡中的數據不能流向密級較低網絡，但密級較低網絡中的數據可以流向密級較高網絡的單向傳輸網絡數據。目前常見的網絡數據單向傳輸控制技術稱為網閘或隔離網閘，是通過硬件的方式在兩個不連通的網絡間進行數據傳遞或者交換。隔離網閘的硬件通常由外網處理單元、內網處理單元及隔離與交換控制單元組成，交換控制單元類似于數據交換中的擺渡船，采用擺渡開關或通道控制方式，讓數據交換區與內外網在任意時刻不同時連接或在內外網之間改變通訊模式中斷內外網的直接連接，從而實現內外網的物理隔離。內外網之間數據安全傳遞的基本原理是通過切斷網絡，切斷網絡之間的TCP/IP連接，分解TCP/IP數據包，運用自由協議進行數據包轉發，重組TCP/IP數據包，進行安全性檢查，將數據交換傳輸出去。其中數據包的轉發不采用面向連接的TCP協議來進行傳輸，只存在數據信息流而不存在控制信息流，因此還需要采用一定的數據容錯、糾錯技術來提高信息傳遞的可靠性。隔離網閘技術的復雜性決定了目前硬件網閘設備實現網絡數據單向傳輸控制成本較高，安裝部署不方便，不方便大范圍推廣使用。

發明內容

本發明利用純軟件手段，實現網絡數據單向傳輸控制并保證其安全可靠。為了達到上述目的，本發明提供一種基于NDIS過濾驅動的網絡數據單向傳輸控制方法，包括以下步驟：

（1）建立兩臺不同密級計算機的網絡連接，設定密級較高計算機作為服務端，設定密級較低計算機作為客戶端；

（2）在服務端和客戶端分別安裝網絡過濾驅動；

（3）在服務端安裝網絡探測程序和系統檢測程序，采用雙進程保護，防止過濾驅動被破壞后單向傳輸控制失效；

（4）在服務端運行單向傳輸接收程序，設定服務端監聽端口，監聽并接收客戶端發送的數據；

（5）在客戶端運行單向傳輸發送程序，指定要接收數據的服務端計算機IP地址和端口，按照文件單向傳輸協議，以文件形式發送數據；

（6）客戶端過濾驅動將發送到服務端的TCP數據包自動加密；服務端過濾驅動接收解密TCP數據包，查驗發送出去的數據包，保證發送出去的TCP數據包不包括數據內容，實現數據單向傳輸控制。

上述基于NDIS過濾驅動的網絡數據單向傳輸控制方法，其中，安裝服務端網絡過濾驅動，設定網絡傳輸時TCP端口異或數值；安裝客戶端網絡過濾驅動，設定可與本機采用加密通訊的計算機的IP地址及TCP端口異或數值，該異或數值與服務端設置的數值相同。