技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種基于RDP改進協議的防止和檢測中間人攻擊的方法。

背景技術

遠程桌面是Windows操作系統的一個標準組建，它允許用戶使用任何基于Windows操作系統的客戶端從任何位置，通過任何連接訪問另一臺基于Windows的操作系統；遠程桌面可讓用戶可靠地使用遠程計算機上的所有應用程序，文件和網絡資源，就如同用戶本人坐在遠程計算機的面前一樣。不僅如此，本地運行的任何應用程序在用戶使用遠程合作面后任然可以正常運行。

遠程桌面的這些功能是通過微軟公司的遠程桌面協議，即RDP（Remote?Desktop?Protocol）協議提供的，RDP實現Windows終端或其他任何基于Windows的客戶端與Windows服務器進行通信，從而為運行在Windows上的應用程序提供遠程顯示和輸入的能力，RDP能在任何TCP/IP的連接上運行，默認在端口3389上監聽。

RDP數據通信階段的所有通信數據均采用RC4加密算法，其密鑰構建的安全性由認證階段的操作來保證，服務器和客戶端通過認證階段的操作相互交換了隨機數（N_s服務器隨機數，N_c客戶端隨機數)，并同時按照約定的算法，各自獨立生成一個RC4密鑰，由于數據輸入和算法相同，雙方的RC4密鑰是等同的。而RDP在前面認證階段的協商密鑰時使用的非對稱加密算法RSA，由公鑰部分E_s，M_s和私鑰部分D_s組成，服務器發布公鑰E_s，M_s和服務器隨機數N_s到客戶端，客戶端使用公鑰加密自身隨機數N_c發送到服務器，服務器使用私鑰D_s解密得到N_c，從而完成兩個隨機數的交換。

從RDP協議的密鑰協商過程和RDP協議的安全性分析可以看出，RDP協議存在中間人攻擊漏洞，在協議的設計中客戶端僅僅通過計算以服務器公鑰為參數的MAC值來驗證服務器公鑰的正確性，由此可見，當攻擊者獲取MAC算法，即可通過計算已知私鑰對應的公鑰的MAC值，來篡改數據包，實現中間人攻擊，因此，RDP協議存在中間人攻擊漏洞的根源是其單向認證特性，即客戶端不對服務器身份進行認證。

中間人攻擊者在通過ARP欺騙等方法獲得RDP客戶端和服務器間的通信控制權后，可以生成自己的公鑰私鑰對，在連接認證階段替換服務器的公鑰，并用自己的私鑰解密，即可獲取會話密鑰，達到中間人攻擊的目的。

中間人攻擊步驟如圖1所示：

1,客戶端向服務器提交連接請求

2,服務器接收到請求后,記錄并提交請求的客戶端IP,并產生N_s

3,服務器將RSA加密所需要的E_s，M_s和N_s發送給客戶端

4,中間人截獲服務器反饋信息，提取出N_s，將服務器的公鑰E_s，M_s替換為自身的公鑰E_m，M_m后偽裝成服務器繼續發送給客戶端

5,客戶端收到中間人所偽裝的服務器發回的反饋信息并產生N_c

6,使用接收到的E_m，M_m對N_c進行加密，產生密文M，并發送給服務器

7,中間人截獲客戶端發出的數據，使用自身的私鑰D_m進行解密，獲得客戶端隨機數N_c，然后再用服務器的公鑰E_s，M_s對N_c進行加密，然后偽裝成客戶端，發送給服務器，這樣中間人就獲得了生成RC4密鑰所需要的客戶端和服務器的隨機數

8,服務器使用D_s對接收到的密文進行解密，獲得客戶端隨機數N_c

9,客戶端和服務器都獲得了各自和對方的隨機數，開始使用RC4加密算法對通信加密，握手過程結束，這之后所有的通信數據都為RC4加密，由于中間人已經提前獲得了RC4加密的密鑰，所以對之后的通信數據的截取都能進行解密，從而達到監控或者篡改數據的目的。