基于NDIS中間層驅動和SSL協議的安全通信

趙春平 劉文麗

江南計算技術研究所 江蘇 214083

0 前言

在SSLVPN中，通過虛擬網卡和SSL協議可以實現安全通信，保護IP和鏈路層數據安全。Openvpn是這種技術的開源實現，它通過實現一個虛擬網卡將IP或鏈路層數據傳輸到應用層，在應用層通過SSL隧道通信，以達到安全目的。

通過虛擬網卡技術實現IP和鏈路層層的安全有一些缺點：

（1）對于建立SSL隧道的兩臺機器，只有通過對方的虛擬地址訪問時，數據才被保護。從根本上說(在不采用其他安全措施，比如防火墻)，兩臺機器之間仍然存在明文通信；

（2）虛擬網卡技術依賴虛擬IP地址，可能會影響上層應用的訪問方式。

本文提出了一種基于Window NDIS協議和SSL協議來進行安全通信的方法，并在原型通信的基礎上給出了多種安全通信方式。本方法可以實現下面的安全通信方式：

（1）構建遠程訪問模式SSLVPN；

（2）構建局域網訪問模式SSLVPN；

（3）任意兩臺計算機的安全通信；

（4）構建加密網絡。

本方法的安全通信僅需要物理IP地址，并且安全通信不影響非安全通信，安全通信和非安全通信使用相同的IP地址。

本方法借鑒了虛擬網卡方式SSLVPN的思想：實現一個SSLVPN，開發人員需要通過各種不同的手段來截獲通信數據，然后將通信數據在SSL隧道中傳輸。虛擬網卡工作方式的SSLVPN從根本上講是將windows內核態協議棧中的數據通過IO控制傳遞到用戶態的SSL隧道中進行傳輸，它的實現手段是虛擬網卡。本文介紹的方法通過IO控制將windows的NDIS層數據傳遞到用戶態進行安全傳輸。

1 NDIS介紹

NDIS(Network Driver Interface Specification)是微軟實現的網絡驅動接口規范。它包括NDIS協議驅動，NDIS小端口驅動和NDIS中間層驅動，各種驅動遵循規范進行交互。

通過NDIS中間層可以進行網絡數據的截獲，NDIS中間層截獲的數據為數據鏈路層數據。

微軟的WDK中提供了passThru實現范例，它是一個透明的NDIS中間層驅動。開發人員可以修改passThru范例來達到自己的目的。

2 SSL協議介紹

SSL(Security Socket Layer)協議是廣泛使用的安全通信協議。SSL客戶端和SSL服務端在socket層協商秘密信息，并在此基礎上進行安全通信。

3 實現原理

本方法通過NDIS中間層驅動來截獲網絡數據，通過操作系統 IO控制，將數據傳遞到操作系統應用層來進行安全通信。安全通信的方式可以是SSL協議或其他自定義通信協議。大致的通信示意圖如圖1所示。

圖1 通信示意圖

應用數據發送過程如下：

（1）發送方發送數據時，網絡數據被NDIS中間層截獲，存入緩沖區；

（2）用戶態進程讀取NDIS中間層截獲的網絡數據；

（3）用戶態進程采用SSL通道發送給目標；

（4）目標機器應用層進程從SSL通道接收數據；

（5）目標機器應用層進程將收到的數據寫入NDIS中間層驅動；

（6）目標機器NDIS中間層驅動將數據提交給上層協議。

為了避免出現環路通信，使 SSL通道能夠正常工作，NDIS中間層必須放過SSL通道的網絡通信，有目的的截獲。NDIS截獲時，可以根據需求進行截獲。

NDIS截獲的數據是鏈路層數據，因此，此種方法能保證鏈路層之上的所有安全通信。

4 原型及其模式演化

4.1 通信原型

基于NDIS中間層驅動和SSL協議的原型如圖2所示。

圖2 NDIS安全通信原型

在原型中，發起方的網絡數據通過NDIS中間層驅動傳遞到SSL模塊，然后通過SSL模塊發送；接收方通過SSL模塊接收，再通過NDIS中間層驅動傳遞到上層。

4.2 遠程訪問模式

在上述原型中，將接收方的SSL模塊與NDIS中間驅動層剝離，那么，它將演化為遠程SSLVPN訪問。如圖3所示。

圖3 遠程SSLVPN訪問模式

此種工作方式下，遠程訪問者的機器需要安裝NDIS中間層驅動和 SSL模塊。受保護網絡需要有一臺前置的 SSL轉發服務器，目標機器上需要安裝 NDIS中間層驅動。SSL轉發服務器與目標機器間采用socket進行明文通信。

4.3 局域網訪問模式

在遠程訪問模式下，將遠程訪問者一端進行剝離，那么將轉化為局域網訪問模式。如下圖所示：

圖4 SSLVPN 局域網工作模式

4.4 通過中轉的加密網絡

在局域網模式下，如果將兩臺SSL轉發服務器合二為一，那么將組成一個通過中間服務轉發的加密網絡，如下圖所示：

圖5 通過中轉的加密網絡

4.5 點對點安全通信

如果不通過SSL轉發，可以實現任意兩臺機器間的安全通信，相當于構造了一個加密網絡。如下圖所示：

圖6 點對點安全通信

5 實現方法

下面給出了主要模塊的大致實現方法：

（1）NDIS驅動

NDIS驅動以微軟WDK中提供的Passthru范例為基礎，增加讀寫文件操作。在讀文件操作中，需要NDIS驅動緩存MPSendPackets中的發送數據，如何緩存以及如何讀取，可以參考openvpn的實現方式。在寫文件操作中，我們需要構造一個數據包提交給上層協議，調用 NdisMEthIndicateReceive函數。

（2）SSL協議

SSL協議可以使用openssl來實現。

按照上述方式實現的NDIS驅動，完全可以替換openvpn中的虛擬網卡驅動來實現安全通信。

6 總結

通過NDIS中間層驅動和SSL協議來實現安全通信時，所使用的均為實際的物理地址，即一個物理地址即能做到明文通信同時也在進行明文通信。并且，NDIS的截獲可以只針對特定目標，完全不影響其他的正常通信。

[1]rfc2246,The TLS Protocol Version.1.0.

[2]WDKDocs_12112009.chm.windows wdk.幫助文檔.