李艷

（遼寧交通高等專科學(xué)校 信息工程系，遼寧 沈陽 110122）

ND IS技術(shù)在個(gè)人信息安全方面的應(yīng)用

李艷

（遼寧交通高等?？茖W(xué)校 信息工程系，遼寧 沈陽 110122）

NDIS是Network Driver Interface Specification的簡稱，即網(wǎng)絡(luò)驅(qū)動器接口規(guī)范?；ヂ?lián)網(wǎng)時(shí)代大背景下NDIS在個(gè)人信息保護(hù)方面具有的顯著優(yōu)勢，使它目前被廣泛應(yīng)用在個(gè)人信息安全領(lǐng)域之中。文章在分析NDIS驅(qū)動技術(shù)原理的基礎(chǔ)上，提出NDIS驅(qū)動技術(shù)在個(gè)人信息安全方面的具體應(yīng)用方案，旨在探究在Windows平臺上開發(fā)網(wǎng)絡(luò)安全產(chǎn)品所采用的技術(shù)手段。

網(wǎng)絡(luò)驅(qū)動器接口規(guī)范（NDIS）；個(gè)人信息安全；應(yīng)用

1 NDIS驅(qū)動技術(shù)

NDIS庫借助于網(wǎng)絡(luò)驅(qū)動程序來進(jìn)行網(wǎng)絡(luò)硬件的管理工作。它為分層的網(wǎng)絡(luò)驅(qū)動程序間指定標(biāo)準(zhǔn)接口，來抽象出底層的硬件來供上層驅(qū)動。它也維護(hù)用于網(wǎng)絡(luò)驅(qū)動器的狀態(tài)信息和參數(shù)，其中包括函數(shù)的指針、句柄以及其他的一系列系統(tǒng)變量等。NDIS支持小端口、中間層以及協(xié)議驅(qū)動程序三種網(wǎng)絡(luò)驅(qū)動程序，具體分析如下：

（1）小端口驅(qū)動程序。NDIS小端口驅(qū)動程序通過NDIS庫和它管理的網(wǎng)絡(luò)接口卡（NIC）以及上層驅(qū)動程序?qū)崿F(xiàn)通信。它的主要功能有以下兩個(gè)主要方面：其一，管理一個(gè)NIC，包括借助NIC發(fā)送和接收數(shù)據(jù)；其二，和上層的驅(qū)動器，如：中間層驅(qū)動器和協(xié)議驅(qū)動器實(shí)現(xiàn)相互連接。

NDIS支持無連接和面向連接兩種類型的小端口驅(qū)動。無連接小端口為無連接的網(wǎng)絡(luò)介質(zhì)管理NIC，比如：FDDI、Ethernet等。它們能夠進(jìn)一步被分為串行驅(qū)動程序和并行驅(qū)動程序兩種。串行驅(qū)動程序依托NDIS來持續(xù)地調(diào)用它們的MiniportXxx函數(shù)和管理它們的發(fā)送隊(duì)列；并行驅(qū)動程序串行操作它自己的MiniportXxx函數(shù)，在其內(nèi)部將所有到達(dá)的發(fā)送包進(jìn)行順序排隊(duì)，面向連接的小端口驅(qū)動為面向連接的網(wǎng)絡(luò)介質(zhì)控制NIC，面向連接的小端口一般而言是并行的。此外，NDIS還支持小端口的廣域網(wǎng)擴(kuò)展來管理WANNIC。一個(gè)廣域網(wǎng)小端口驅(qū)動程序調(diào)用的大部分函數(shù)以及它提供的句柄和其他的小端口驅(qū)動所做的都是一樣的。但是，當(dāng)發(fā)送和指示上層協(xié)議接收數(shù)據(jù)包時(shí)，廣域網(wǎng)小端口驅(qū)動調(diào)用廣域網(wǎng)特定的NDIS函數(shù)。

（2）中間層驅(qū)動程序。中間層驅(qū)動程位于小端口驅(qū)動程序和傳輸驅(qū)動程序之間。因?yàn)橹虚g層驅(qū)動程序位于整個(gè)驅(qū)動程序體系的中間地帶，所以它和上層的協(xié)議驅(qū)動以及下層的小端口驅(qū)動都有著相互的連接。在它的下端，中間層驅(qū)動程序?qū)С鰠f(xié)議實(shí)體指針，讓NDIS調(diào)用來傳遞底層小端口的請求，對于下層的小端口驅(qū)動而言中間層驅(qū)動模擬了上層協(xié)議驅(qū)動程序。在它的上端，中間層驅(qū)動程序?qū)С鲂《丝趯?shí)體指針讓NDIS調(diào)用，來傳輸一個(gè)或多個(gè)上層協(xié)議驅(qū)動程序的請求。對于上層驅(qū)動程序而言，中間層驅(qū)動程序就是小端口驅(qū)動程序。

實(shí)際上，中間層驅(qū)動程序并不是真正管理物理NIC的，它僅僅是被用來給上層驅(qū)動程序供應(yīng)一個(gè)或多個(gè)虛擬適配器接口。對于協(xié)議驅(qū)動而言，中間層驅(qū)動所提供的虛擬式配鏡就是物理NIC。當(dāng)協(xié)議驅(qū)動程序給虛擬式配鏡傳送數(shù)據(jù)包或一些請求的時(shí)候，中間層驅(qū)動負(fù)責(zé)將這些數(shù)據(jù)包和請求傳遞給下層的小端口。同樣地，當(dāng)下層的小端口向上發(fā)出接收數(shù)據(jù)包的指示、相應(yīng)提出的請求時(shí)，中間驅(qū)動程序負(fù)責(zé)將以上的這些數(shù)據(jù)包和請求向上傳遞給已經(jīng)綁定在虛擬適配器上的協(xié)議驅(qū)動程序。

（3）協(xié)議驅(qū)動程序。協(xié)議驅(qū)動程序位于小端口驅(qū)動程序和中間層驅(qū)動程序之上，即處于NDIS驅(qū)動程序分層體系的最高位置，一般被用來實(shí)現(xiàn)傳輸層協(xié)議底層的驅(qū)動程序。傳輸協(xié)議驅(qū)動程序?qū)?shù)據(jù)包進(jìn)行分配，從應(yīng)用程序中下載或復(fù)制相對應(yīng)的數(shù)據(jù)并組包，然后調(diào)用NDIS函數(shù)之后發(fā)送給下層設(shè)備。與此同時(shí)，協(xié)議驅(qū)動程序還提供協(xié)議接口，主要目的是接收下層設(shè)備上傳來的數(shù)據(jù)包。而協(xié)議驅(qū)動作為中轉(zhuǎn)再將接收到的數(shù)據(jù)轉(zhuǎn)送給相應(yīng)的客戶端應(yīng)用程序。

在它的下端，協(xié)議驅(qū)動程序和小端驅(qū)動程序?qū)崿F(xiàn)相互連接。它調(diào)用NdisXxx函數(shù)來發(fā)送數(shù)據(jù)包，閱讀并設(shè)置由低級驅(qū)動程序維護(hù)的信息，并使用系統(tǒng)服務(wù)。與此同時(shí)，協(xié)議驅(qū)動提供一套實(shí)體指針，讓NDIS調(diào)用低層驅(qū)動程序標(biāo)記接收到的數(shù)據(jù)包，指示低層驅(qū)動程序的狀態(tài)，并和其它協(xié)議驅(qū)動程序相互通訊。在它的上端，傳輸協(xié)議驅(qū)動程序給在協(xié)議棧中比它更高層的驅(qū)動程序提供一個(gè)專門的私有接口供其使用。

2 NDIS在個(gè)人信息安全方面的應(yīng)用

維護(hù)個(gè)人信息安全的產(chǎn)品的主要特點(diǎn)就是最大程度地保證個(gè)人或企業(yè)用戶的電腦主機(jī)和互聯(lián)網(wǎng)之間信息交流與傳遞的保密性。目前絕大多數(shù)的用戶使用的是個(gè)人防火墻來維護(hù)個(gè)人的信息安全。諾頓網(wǎng)絡(luò)安全特警2001、天王防火墻個(gè)人版等，都是目前市場上著名的網(wǎng)絡(luò)安全技術(shù)廠商推出的個(gè)人防火墻產(chǎn)品中具有代表性的，它的廠商在研發(fā)過程中將這些產(chǎn)品和防病毒產(chǎn)品結(jié)合起來，為個(gè)人用戶提供最大程度地個(gè)人信息安全防護(hù)。具體的講，這些產(chǎn)品在個(gè)人電腦和互聯(lián)網(wǎng)之間架構(gòu)了一個(gè)安全屏障，它所發(fā)揮的功能如同過濾器一般，監(jiān)測和掃描個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)之間的所有連接和數(shù)據(jù)包，然后根據(jù)用戶對其提前設(shè)定的規(guī)則或防火墻自動生成的規(guī)則來判斷是否應(yīng)該允許這些連接和數(shù)據(jù)包通過防火墻。這些產(chǎn)品還具有日志功能，實(shí)時(shí)地瀏覽和記錄連接和流量等信息，用戶借助它來確定可疑的連接，進(jìn)行掌握電腦系統(tǒng)可能被攻破的層面。

采用NDIS驅(qū)動技術(shù)能夠在Windows平臺上打造一道堅(jiān)固的信息傳輸安全屏障，進(jìn)而保護(hù)個(gè)人電腦在和外界通信時(shí)的安全。采用NDIS可以開發(fā)多種驅(qū)動程序來實(shí)現(xiàn)各種不同的作用，如：網(wǎng)絡(luò)監(jiān)控程序和個(gè)人防火墻等等。

對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控是維護(hù)網(wǎng)絡(luò)安全的一個(gè)至關(guān)重要的技術(shù)，它會檢查網(wǎng)上流通的所有數(shù)據(jù)，可以開發(fā)一種協(xié)議驅(qū)動程序，和底層網(wǎng)絡(luò)接口進(jìn)行綁定，并將網(wǎng)卡設(shè)置成混雜模式以至于可以接收所有的流過網(wǎng)卡的幀，然后向上傳遞給此協(xié)議驅(qū)動程序。這樣就可以截獲流經(jīng)本機(jī)網(wǎng)卡的所有數(shù)據(jù)包，然后再根據(jù)用戶個(gè)人的需要來分析數(shù)據(jù)包中的內(nèi)容。但是網(wǎng)絡(luò)中流動的是很龐大的數(shù)據(jù)量，所以在流動過程中出現(xiàn)丟包的現(xiàn)象是不可避免的，因此開發(fā)者可以通過在多個(gè)機(jī)器上同時(shí)進(jìn)行監(jiān)控或采用緩沖區(qū)管理辦法將接受和處理過程同時(shí)進(jìn)行等方法來盡可能地減少丟包的概率。此外，NDIS驅(qū)動技術(shù)建立個(gè)人防火墻也有利于有效保護(hù)個(gè)人信息安全，其中，協(xié)議驅(qū)動和中間層驅(qū)動都可以檢查數(shù)據(jù)傳輸，但建議采用中間層驅(qū)動，因?yàn)橹虚g層驅(qū)動設(shè)備位于上層協(xié)議和下層網(wǎng)絡(luò)設(shè)備之間，可以對任何通過本機(jī)傳輸?shù)臄?shù)據(jù)包進(jìn)行操作。

3 結(jié)語

綜上所述，將NDIS驅(qū)動技術(shù)應(yīng)用于個(gè)人信息安全方面可以有效地解決個(gè)人信息安全問題，為用戶提供更多的安全防護(hù)軟件，但想要進(jìn)一步開發(fā)出一個(gè)安全系數(shù)更高，性能更顯著的個(gè)人安全產(chǎn)品還有很長的路要走，這就要求開發(fā)者堅(jiān)持以人為本，致力于開發(fā)用戶友好性的產(chǎn)品，為用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

［1］石磊，常桂然，曹斌.NDIS技術(shù)在個(gè)人信息安全方面的應(yīng)用［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2002，（5）：21-24.

［2］王西武，閻梅.個(gè)人信息安全保護(hù)技術(shù)的發(fā)展與策略［J］.現(xiàn)代電子技術(shù)，2003，（19）：21-22.

App lication of NDIS Technology in Personal Information Security

LI Yan
（Department of Information Engineering，Liaoning Communication College，Shenyang，Liaoning 110122，China）

NDIS is the abbreviation of Network Driver Interface Specification，that is，network driver interface specification. The significant advantage of NDIS in the protection of personal information in the background of the Internet makes it widely used in the field of personal information security.Based on the analysis of the principle of NDIS driving technology，this paper puts forward the specific application scheme of NDIS driving technology in personal information security，and aims to explore the technical means of developing network security products on Windows platform.

network drive interface specification（NDIS）；personal information security；application

TP316

A

2095-980X（2017）06-0049-01

2017-06-03

李艷（1979-），女，遼寧沈陽人，碩士，教師，主要研究方向：信息安全。