邢蕾

摘要：NDIS，是Network Driver Interface Spe-

cification的簡稱，即網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范。在大數(shù)據(jù)背景下的NDIS在個(gè)人信息保護(hù)方面具有的顯著優(yōu)勢使，所以目前被廣泛應(yīng)用在個(gè)人信息安全領(lǐng)域之中。本文在分析NDIS驅(qū)動(dòng)技術(shù)的原理的基礎(chǔ)上，提出NDIS驅(qū)動(dòng)技術(shù)在個(gè)人信息安全方面的具體應(yīng)用方案，旨在探究在Windows平臺上開發(fā)網(wǎng)絡(luò)安全產(chǎn)品所采用的技術(shù)手段。

關(guān)鍵詞：網(wǎng)絡(luò)驅(qū)動(dòng)器接口規(guī)范（NDIS）;個(gè)人信息安全;應(yīng)用

上網(wǎng)沖浪已經(jīng)成為目前人們生活中必不可少的一個(gè)重要組成部分，只要在地址欄中輸入地址就可以瀏覽到所需要的一系列相關(guān)信息，可以在幾分鐘之內(nèi)相互發(fā)送和接收到電子郵件等等，都給人們的日常生活帶來了極大的便利。但是，在使得人們的生產(chǎn)生活更加方便快捷的同時(shí)，也給人們帶來了諸多的風(fēng)險(xiǎn)。如：在瀏覽網(wǎng)頁時(shí)瀏覽器會(huì)解釋頁面文件，目的是在顯示器上以正確的格式顯示它們，但事實(shí)上這些文件里面除了包含有我們所需要的信息外，還可能包含有一些執(zhí)行程序，這些執(zhí)行程序可能會(huì)執(zhí)行任何計(jì)算機(jī)操作，包括竊取私人信息和格式化硬盤等。所以互聯(lián)網(wǎng)在帶給我們豐富信息資源的同時(shí)，也將我們的個(gè)人信息暴露在互聯(lián)網(wǎng)上，因此，如何保證用戶安全地使用互聯(lián)網(wǎng)已經(jīng)成為了一個(gè)無法忽視的社會(huì)課題。

一、NDIS驅(qū)動(dòng)技術(shù)

NDIS庫借助于網(wǎng)絡(luò)驅(qū)動(dòng)程序來進(jìn)行網(wǎng)絡(luò)硬件的管理工作。它為分層的網(wǎng)絡(luò)驅(qū)動(dòng)程序間指定標(biāo)準(zhǔn)接口，來抽象出底層的硬件來供上層驅(qū)動(dòng)。它也維護(hù)用于網(wǎng)絡(luò)驅(qū)動(dòng)器的狀態(tài)信息和參數(shù)，其中包括函數(shù)的指針、句柄以及其他的一系列系統(tǒng)變量等。

NDIS支持小端口、中間層以及協(xié)議驅(qū)動(dòng)程序三種網(wǎng)絡(luò)驅(qū)動(dòng)程序，具體分析如下：

（一）小端口驅(qū)動(dòng)程序

NDIS小端口驅(qū)動(dòng)程序通過NDIS庫和它管理的網(wǎng)絡(luò)接口卡（NIC）以及上層驅(qū)動(dòng)程序?qū)崿F(xiàn)通信。它的主要功能由以下兩個(gè)主要方面：其一，管理一個(gè)NIC，包括借助NIC發(fā)送和接收數(shù)據(jù);其二，和上層的驅(qū)動(dòng)器，如：中間層驅(qū)動(dòng)器和協(xié)議驅(qū)動(dòng)器實(shí)現(xiàn)相互連接。

NDIS支持無連接和面向連接兩種類型的小端口驅(qū)動(dòng)。無連接小端口為無連接的網(wǎng)絡(luò)介質(zhì)管理NIC，比如：FDDI、Ethernet等。它們能夠進(jìn)一步被分為串行驅(qū)動(dòng)程序和并行驅(qū)動(dòng)程序兩種。分別地，串行驅(qū)動(dòng)程序依托NDIS來持續(xù)地調(diào)用它們的MiniportXxx函數(shù)和管理它們的發(fā)送隊(duì)列;并行驅(qū)動(dòng)程序串行操作它自己的MiniportXxx函數(shù)，在其內(nèi)部將所有到達(dá)的發(fā)送包進(jìn)行順序排隊(duì)，面向連接的小端口驅(qū)動(dòng)為面向連接的網(wǎng)絡(luò)介質(zhì)控制NIC，面向連接的小端口一般而言是并行的。

此外，NDIS還支持小端口的廣域網(wǎng)擴(kuò)展來管理WANNIC。一個(gè)廣域網(wǎng)小端口驅(qū)動(dòng)程序調(diào)用的大部分的函數(shù)以及它提供的句柄和其他的小端口驅(qū)動(dòng)所做的都是一樣的。但是，當(dāng)發(fā)送和指示上層協(xié)議接收數(shù)據(jù)包時(shí)，廣域網(wǎng)小端口驅(qū)動(dòng)調(diào)用廣域網(wǎng)特定的NDIS函數(shù)。

（二）中間層驅(qū)動(dòng)程序

中間層驅(qū)動(dòng)程序毋庸置疑位于小端口驅(qū)動(dòng)程序和傳輸驅(qū)動(dòng)程序之間。因?yàn)橹虚g層驅(qū)動(dòng)程序位于整個(gè)驅(qū)動(dòng)程序體系的中間地帶，所以它和上層的協(xié)議驅(qū)動(dòng)以及下層的小端口驅(qū)動(dòng)都有著相互的連接。在它的下端，中間層驅(qū)動(dòng)程序?qū)С鰠f(xié)議實(shí)體指針，讓NDIS調(diào)用來傳遞底層小端口的請求，對于下層的小端口驅(qū)動(dòng)而言中間層驅(qū)動(dòng)模擬了上層協(xié)議驅(qū)動(dòng)程序。在它的上端，中間層驅(qū)動(dòng)程序?qū)С鲂《丝趯?shí)體指針讓NDIS調(diào)用，來傳輸一個(gè)或多個(gè)上層協(xié)議驅(qū)動(dòng)程序的請求。對于上層驅(qū)動(dòng)程序而言，中間層驅(qū)動(dòng)程序就是小端口驅(qū)動(dòng)程序。

實(shí)際上，中間層驅(qū)動(dòng)程序并不是真正管理物理NIC的，它僅僅是被用來給上層驅(qū)動(dòng)程序供應(yīng)一個(gè)或多個(gè)虛擬適配器接口。對于協(xié)議驅(qū)動(dòng)而言，中間層驅(qū)動(dòng)所提供的虛擬式配鏡就是物理NIC。當(dāng)協(xié)議驅(qū)動(dòng)程序給虛擬式配鏡傳送數(shù)據(jù)包或一些請求的時(shí)候，中間層驅(qū)動(dòng)負(fù)責(zé)將這些數(shù)據(jù)包和請求傳遞給下層的小端口。同樣地，當(dāng)下層的小端口向上發(fā)出接收數(shù)據(jù)包的指示、相應(yīng)提出的請求時(shí)，中間驅(qū)動(dòng)程序負(fù)責(zé)將以上的這些數(shù)據(jù)包和請求向上傳遞給已經(jīng)綁定在虛擬適配器上的協(xié)議驅(qū)動(dòng)程序。

（三）協(xié)議驅(qū)動(dòng)程序

協(xié)議驅(qū)動(dòng)程序位于小端口驅(qū)動(dòng)程序和中間層驅(qū)動(dòng)程序之上，即處于NDIS驅(qū)動(dòng)程序分層體系的最高位置，一般被用來實(shí)現(xiàn)傳輸層協(xié)議棧底層的驅(qū)動(dòng)程序。傳輸協(xié)議驅(qū)動(dòng)程序?qū)?shù)據(jù)包進(jìn)行分配，從應(yīng)用程序中下載或復(fù)制相對應(yīng)的數(shù)據(jù)并組包，然后調(diào)用NDIS函數(shù)之后發(fā)送給下層設(shè)備。與此同時(shí)，協(xié)議驅(qū)動(dòng)程序還提供協(xié)議接口，主要目的是接收下層設(shè)備上傳上來的數(shù)據(jù)包。而協(xié)議驅(qū)動(dòng)作為中轉(zhuǎn)再將接收到的數(shù)據(jù)轉(zhuǎn)送給相應(yīng)的客戶端應(yīng)用程序。

在它的下端，協(xié)議驅(qū)動(dòng)程序和小端驅(qū)動(dòng)程序?qū)崿F(xiàn)相互連接。它調(diào)用NdisXxx函數(shù)來發(fā)送數(shù)據(jù)包，閱讀并設(shè)置由低級驅(qū)動(dòng)程序維護(hù)的信息，并使用系統(tǒng)服務(wù)。與此同時(shí)，協(xié)議驅(qū)動(dòng)提供一套實(shí)體指針，讓NDIS調(diào)用低層驅(qū)動(dòng)程序標(biāo)記接收到的數(shù)據(jù)包，指示低層驅(qū)動(dòng)程序的狀態(tài)，并和其它協(xié)議驅(qū)動(dòng)程序相互通訊。在它的上端，傳輸協(xié)議驅(qū)動(dòng)程序給在協(xié)議棧中比它更高層的驅(qū)動(dòng)程序提供一個(gè)專門的私有接口供其使用。

二、NDIS在個(gè)人信息安全方面的應(yīng)用

維護(hù)個(gè)人信息安全的產(chǎn)品的主要特點(diǎn)就是最大程度地保證個(gè)人或企業(yè)用戶的電腦主機(jī)和互聯(lián)網(wǎng)之間信息交流與傳遞的保密性。目前絕大多數(shù)的用戶使用的是個(gè)人防火墻來維護(hù)個(gè)人的信息安全，事實(shí)上，雖然個(gè)人防火墻中采用的技術(shù)和一般的的企業(yè)使用的防火墻技術(shù)總體上大致是相同的，只是在規(guī)則的設(shè)置、防火墻的管理等細(xì)節(jié)方面進(jìn)行了步驟和操作的簡化，使得非電腦專業(yè)的個(gè)人用戶也可以自行在自己的電腦上安裝和使用防火墻技術(shù)。

諾頓網(wǎng)絡(luò)安全特警2001、天王防火墻個(gè)人版等，都是目前市場上著名的網(wǎng)絡(luò)安全技術(shù)廠商推出的個(gè)人防火墻產(chǎn)品中具有代表性的幾個(gè)，它的廠商在研發(fā)過程中將這些產(chǎn)品和防病毒產(chǎn)品結(jié)合起來，為個(gè)人用戶提供最大程度地個(gè)人信息安全防護(hù)。具體的講，這些產(chǎn)品在個(gè)人電腦和互聯(lián)網(wǎng)之間架構(gòu)了一個(gè)安全屏障，它所發(fā)揮的功能如同過濾器一般，監(jiān)測和掃描個(gè)人計(jì)算機(jī)和互聯(lián)網(wǎng)之間的所有連接和數(shù)據(jù)包，然后根據(jù)用戶對其提前設(shè)定的規(guī)則或防火墻自動(dòng)生成的規(guī)則來判斷是否應(yīng)該允許這些連接和數(shù)據(jù)包通過防火墻。這些產(chǎn)品還具有日志功能，實(shí)時(shí)地瀏覽和記錄連接和流量等信息，用戶借助它來確定可疑的連接，進(jìn)行掌握電腦系統(tǒng)可能被攻破的層面。

采用NDIS驅(qū)動(dòng)技術(shù)能夠在Windows平臺上打造一道堅(jiān)固的信息傳輸安全屏障，進(jìn)而保護(hù)個(gè)人電腦在和外界通信時(shí)的安全。采用NDIS可以開發(fā)多種驅(qū)動(dòng)程序來實(shí)現(xiàn)各種不同的作用，如：網(wǎng)絡(luò)監(jiān)控程序和個(gè)人防火墻等等。

對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的監(jiān)控是維護(hù)網(wǎng)絡(luò)安全的一個(gè)至關(guān)重要的技術(shù)，它會(huì)檢查網(wǎng)上流通的所有數(shù)據(jù)，可以開發(fā)一種協(xié)議驅(qū)動(dòng)程序，和底層網(wǎng)絡(luò)接口進(jìn)行綁定，并將網(wǎng)卡設(shè)置成混雜模式以至于可以接收所有的流過網(wǎng)卡的幀，然后向上傳遞給此協(xié)議驅(qū)動(dòng)程序。這樣就可以截獲流經(jīng)本機(jī)網(wǎng)卡的所有數(shù)據(jù)包，然后再根據(jù)用戶個(gè)人的需要來分析數(shù)據(jù)包中的內(nèi)容。但是網(wǎng)絡(luò)中流動(dòng)的是很龐大的數(shù)據(jù)量，所以在流動(dòng)過程中出現(xiàn)丟包的現(xiàn)象是不可避免地，因此開發(fā)者可以通過在多個(gè)機(jī)器上同時(shí)進(jìn)行監(jiān)控或采用緩沖區(qū)管理辦法將接受和處理過程同時(shí)進(jìn)行等方法來盡可能地減少丟包的概率。

此外，NDIS驅(qū)動(dòng)技術(shù)建立個(gè)人防火墻也有利于有效保護(hù)個(gè)人信息安全，其中，協(xié)議驅(qū)動(dòng)和中間層驅(qū)動(dòng)都可以檢查數(shù)據(jù)傳輸，但建議采用中間層驅(qū)動(dòng)，因?yàn)橹虚g層驅(qū)動(dòng)設(shè)備位于上層協(xié)議和下層網(wǎng)絡(luò)設(shè)備之間，可以對任何通過本機(jī)傳輸?shù)臄?shù)據(jù)包進(jìn)行操作。

三、結(jié)束語

綜上所述，將NDIS驅(qū)動(dòng)技術(shù)應(yīng)用于個(gè)人信息安全方面可以有效地解決個(gè)人信息安全問題，為用戶提供更多的安全防護(hù)軟件，但想要進(jìn)一步開發(fā)出一個(gè)安全系數(shù)更高，性能更顯著的個(gè)人安全產(chǎn)品還有很長的路要走，這就要求開發(fā)者堅(jiān)持以人為本，致力于開發(fā)用戶友好性的產(chǎn)品，為用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]聶燕屏.流過濾和Ndis防火墻技術(shù)在文件加密保護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（7）：53-54.

[2]王西武，閻梅.個(gè)人信息安全保護(hù)技術(shù)的發(fā)展與策略[J].現(xiàn)代電子技術(shù)，2003（19）： 21-22.

[3]楊麗麗，李書琴，蔚繼承.NDIS技術(shù)在網(wǎng)絡(luò)管理中的應(yīng)用研究[J].微計(jì)算機(jī)信息，2007（36）：75-77.