亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于NDIS中間層驅(qū)動和SSL協(xié)議的安全通信

        2011-03-14 06:44:56趙春平劉文麗
        網(wǎng)絡安全技術與應用 2011年3期
        關鍵詞:鏈路層中間層網(wǎng)卡

        趙春平 劉文麗

        江南計算技術研究所 江蘇 214083

        0 前言

        在SSLVPN中,通過虛擬網(wǎng)卡和SSL協(xié)議可以實現(xiàn)安全通信,保護IP和鏈路層數(shù)據(jù)安全。Openvpn是這種技術的開源實現(xiàn),它通過實現(xiàn)一個虛擬網(wǎng)卡將IP或鏈路層數(shù)據(jù)傳輸?shù)綉脤樱趹脤油ㄟ^SSL隧道通信,以達到安全目的。

        通過虛擬網(wǎng)卡技術實現(xiàn)IP和鏈路層層的安全有一些缺點:

        (1)對于建立SSL隧道的兩臺機器,只有通過對方的虛擬地址訪問時,數(shù)據(jù)才被保護。從根本上說(在不采用其他安全措施,比如防火墻),兩臺機器之間仍然存在明文通信;

        (2)虛擬網(wǎng)卡技術依賴虛擬IP地址,可能會影響上層應用的訪問方式。

        本文提出了一種基于Window NDIS協(xié)議和SSL協(xié)議來進行安全通信的方法,并在原型通信的基礎上給出了多種安全通信方式。本方法可以實現(xiàn)下面的安全通信方式:

        (1)構建遠程訪問模式SSLVPN;

        (2)構建局域網(wǎng)訪問模式SSLVPN;

        (3)任意兩臺計算機的安全通信;

        (4)構建加密網(wǎng)絡。

        本方法的安全通信僅需要物理IP地址,并且安全通信不影響非安全通信,安全通信和非安全通信使用相同的IP地址。

        本方法借鑒了虛擬網(wǎng)卡方式SSLVPN的思想:實現(xiàn)一個SSLVPN,開發(fā)人員需要通過各種不同的手段來截獲通信數(shù)據(jù),然后將通信數(shù)據(jù)在SSL隧道中傳輸。虛擬網(wǎng)卡工作方式的SSLVPN從根本上講是將windows內(nèi)核態(tài)協(xié)議棧中的數(shù)據(jù)通過IO控制傳遞到用戶態(tài)的SSL隧道中進行傳輸,它的實現(xiàn)手段是虛擬網(wǎng)卡。本文介紹的方法通過IO控制將windows的NDIS層數(shù)據(jù)傳遞到用戶態(tài)進行安全傳輸。

        1 NDIS介紹

        NDIS(Network Driver Interface Specification)是微軟實現(xiàn)的網(wǎng)絡驅(qū)動接口規(guī)范。它包括NDIS協(xié)議驅(qū)動,NDIS小端口驅(qū)動和NDIS中間層驅(qū)動,各種驅(qū)動遵循規(guī)范進行交互。

        通過NDIS中間層可以進行網(wǎng)絡數(shù)據(jù)的截獲,NDIS中間層截獲的數(shù)據(jù)為數(shù)據(jù)鏈路層數(shù)據(jù)。

        微軟的WDK中提供了passThru實現(xiàn)范例,它是一個透明的NDIS中間層驅(qū)動。開發(fā)人員可以修改passThru范例來達到自己的目的。

        2 SSL協(xié)議介紹

        SSL(Security Socket Layer)協(xié)議是廣泛使用的安全通信協(xié)議。SSL客戶端和SSL服務端在socket層協(xié)商秘密信息,并在此基礎上進行安全通信。

        3 實現(xiàn)原理

        本方法通過NDIS中間層驅(qū)動來截獲網(wǎng)絡數(shù)據(jù),通過操作系統(tǒng) IO控制,將數(shù)據(jù)傳遞到操作系統(tǒng)應用層來進行安全通信。安全通信的方式可以是SSL協(xié)議或其他自定義通信協(xié)議。大致的通信示意圖如圖1所示。

        圖1 通信示意圖

        應用數(shù)據(jù)發(fā)送過程如下:

        (1)發(fā)送方發(fā)送數(shù)據(jù)時,網(wǎng)絡數(shù)據(jù)被NDIS中間層截獲,存入緩沖區(qū);

        (2)用戶態(tài)進程讀取NDIS中間層截獲的網(wǎng)絡數(shù)據(jù);

        (3)用戶態(tài)進程采用SSL通道發(fā)送給目標;

        (4)目標機器應用層進程從SSL通道接收數(shù)據(jù);

        (5)目標機器應用層進程將收到的數(shù)據(jù)寫入NDIS中間層驅(qū)動;

        (6)目標機器NDIS中間層驅(qū)動將數(shù)據(jù)提交給上層協(xié)議。

        為了避免出現(xiàn)環(huán)路通信,使 SSL通道能夠正常工作,NDIS中間層必須放過SSL通道的網(wǎng)絡通信,有目的的截獲。NDIS截獲時,可以根據(jù)需求進行截獲。

        NDIS截獲的數(shù)據(jù)是鏈路層數(shù)據(jù),因此,此種方法能保證鏈路層之上的所有安全通信。

        4 原型及其模式演化

        4.1 通信原型

        基于NDIS中間層驅(qū)動和SSL協(xié)議的原型如圖2所示。

        圖2 NDIS安全通信原型

        在原型中,發(fā)起方的網(wǎng)絡數(shù)據(jù)通過NDIS中間層驅(qū)動傳遞到SSL模塊,然后通過SSL模塊發(fā)送;接收方通過SSL模塊接收,再通過NDIS中間層驅(qū)動傳遞到上層。

        4.2 遠程訪問模式

        在上述原型中,將接收方的SSL模塊與NDIS中間驅(qū)動層剝離,那么,它將演化為遠程SSLVPN訪問。如圖3所示。

        圖3 遠程SSLVPN訪問模式

        此種工作方式下,遠程訪問者的機器需要安裝NDIS中間層驅(qū)動和 SSL模塊。受保護網(wǎng)絡需要有一臺前置的 SSL轉(zhuǎn)發(fā)服務器,目標機器上需要安裝 NDIS中間層驅(qū)動。SSL轉(zhuǎn)發(fā)服務器與目標機器間采用socket進行明文通信。

        4.3 局域網(wǎng)訪問模式

        在遠程訪問模式下,將遠程訪問者一端進行剝離,那么將轉(zhuǎn)化為局域網(wǎng)訪問模式。如下圖所示:

        圖4 SSLVPN 局域網(wǎng)工作模式

        4.4 通過中轉(zhuǎn)的加密網(wǎng)絡

        在局域網(wǎng)模式下,如果將兩臺SSL轉(zhuǎn)發(fā)服務器合二為一,那么將組成一個通過中間服務轉(zhuǎn)發(fā)的加密網(wǎng)絡,如下圖所示:

        圖5 通過中轉(zhuǎn)的加密網(wǎng)絡

        4.5 點對點安全通信

        如果不通過SSL轉(zhuǎn)發(fā),可以實現(xiàn)任意兩臺機器間的安全通信,相當于構造了一個加密網(wǎng)絡。如下圖所示:

        圖6 點對點安全通信

        5 實現(xiàn)方法

        下面給出了主要模塊的大致實現(xiàn)方法:

        (1)NDIS驅(qū)動

        NDIS驅(qū)動以微軟WDK中提供的Passthru范例為基礎,增加讀寫文件操作。在讀文件操作中,需要NDIS驅(qū)動緩存MPSendPackets中的發(fā)送數(shù)據(jù),如何緩存以及如何讀取,可以參考openvpn的實現(xiàn)方式。在寫文件操作中,我們需要構造一個數(shù)據(jù)包提交給上層協(xié)議,調(diào)用 NdisMEthIndicateReceive函數(shù)。

        (2)SSL協(xié)議

        SSL協(xié)議可以使用openssl來實現(xiàn)。

        按照上述方式實現(xiàn)的NDIS驅(qū)動,完全可以替換openvpn中的虛擬網(wǎng)卡驅(qū)動來實現(xiàn)安全通信。

        6 總結

        通過NDIS中間層驅(qū)動和SSL協(xié)議來實現(xiàn)安全通信時,所使用的均為實際的物理地址,即一個物理地址即能做到明文通信同時也在進行明文通信。并且,NDIS的截獲可以只針對特定目標,完全不影響其他的正常通信。

        [1]rfc2246,The TLS Protocol Version.1.0.

        [2]WDKDocs_12112009.chm.windows wdk.幫助文檔.

        猜你喜歡
        鏈路層中間層網(wǎng)卡
        網(wǎng)絡傳輸融合及網(wǎng)絡安全防控技術研究
        在DDS 中間件上實現(xiàn)雙冗余網(wǎng)卡切換的方法
        基于多空間內(nèi)存共享的數(shù)據(jù)鏈路層網(wǎng)絡包捕獲方法
        Server 2016網(wǎng)卡組合模式
        鎳基高溫合金TLP擴散焊中間層材料研究進展
        焊接(2016年8期)2016-02-27 13:05:10
        B含量對IC10合金TLP焊接用中間層材料及接頭組織的影響
        焊接(2016年6期)2016-02-27 13:04:55
        挑戰(zhàn)Killer網(wǎng)卡Realtek網(wǎng)游專用Dragon網(wǎng)卡
        數(shù)據(jù)鏈路層的選擇重傳協(xié)議的優(yōu)化改進
        IEEE 1394事務層接口的設計與實現(xiàn)
        社會中間層建設與活動機制網(wǎng)研究
        亚洲精品国产成人无码区a片| 91九色最新国产在线观看 | 又大又长粗又爽又黄少妇视频| 牲欲强的熟妇农村老妇女| 国产乱人伦偷精品视频免| 日本免费a一区二区三区| 亚洲女优中文字幕在线观看 | 亚洲人成人网站在线观看| 99国产超薄丝袜足j在线观看| 亚洲国产精一区二区三区性色| 97精品人妻一区二区三区在线| 人妻夜夜爽天天爽三区| 97se在线观看| 少妇特殊按摩高潮不断| 丝袜美腿亚洲第一免费| 亚洲国色天香卡2卡3卡4| 四虎精品成人免费观看| 国产大全一区二区三区| 免费国产自拍在线观看| 日本不卡一区二区三区在线 | 久久99国产综合精品女同| av色欲无码人妻中文字幕| 国产一起色一起爱| 国产av91在线播放| 亚洲男人av天堂久久资源| 少妇饥渴偷公乱a级无码| аⅴ天堂国产最新版在线中文| 男女性生活视频免费网站| 国产69久久精品成人看| 国产亚洲视频在线观看网址| 国产一区二区三区视频免费在线| 国产性虐视频在线观看| 久久综合九色综合97欧美| 96精品在线| 人妻露脸国语对白字幕| 成年美女黄的视频网站| 中文字幕无码不卡免费视频| 亚洲美女性生活一级片| 亚洲一区二区三区,日本| 精品国产sm捆绑最大网免费站| 亚洲中文字幕巨乳人妻|