本發(fā)明公開一種TLS通道加密的RDP協(xié)議明文數(shù)據(jù)采集系統(tǒng)，所述系統(tǒng)包括：RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊，RDP數(shù)據(jù)包解析模塊，RDP數(shù)據(jù)加解密模塊和TLS加解密模塊；所述RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊將重組后的數(shù)據(jù)包提交給RDP數(shù)據(jù)包解析模塊；并用于重加密后的明文數(shù)據(jù)轉(zhuǎn)發(fā)出去；所述RDP數(shù)據(jù)包解析模塊用于獲取RDP協(xié)議協(xié)商的數(shù)據(jù)加密方式；如果加密方式為標準的RDP安全加密方式，則將RDP數(shù)據(jù)包提交給所述RDP解密模塊；如果加密方式為增強的RDP安全加密方式，則將數(shù)據(jù)提交給TLS解密模塊；所述RDP加解密模塊用于解密RDP數(shù)據(jù)獲取明文，將明文數(shù)據(jù)重加密后提交給RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊；所述TLS加解密模塊，用于對加密數(shù)據(jù)解密獲取明文，將明文重加密后提交給RDP數(shù)據(jù)接收及轉(zhuǎn)發(fā)模塊。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)采集安全審計領(lǐng)域，特別涉及一種TLS通道加密的RDP協(xié)議明文數(shù)據(jù)采集系統(tǒng)及方法。

背景技術(shù)

RDP(Remote Desktop Protocol，遠程桌面協(xié)議)是由微軟公司提出的一種通訊協(xié)議，主要用于實現(xiàn)Windows操作系統(tǒng)下的多用戶模式，用于遠程訪問運行在Windows終端服務(wù)器上的應(yīng)用程序，將應(yīng)用的邏輯執(zhí)行和用戶界面分離開來。服務(wù)器端通過使用視頻驅(qū)動程序描述顯示輸出，構(gòu)造描述信息到使用RDP協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)包，通過網(wǎng)絡(luò)發(fā)送到客戶端；在客戶端，視頻驅(qū)動程序接收到描述信息，經(jīng)過處理并顯示出來。

RDP協(xié)議在5.2版本后即加入了SSL通道加密功能，SSL協(xié)議及其繼任者TLS協(xié)議，是為網(wǎng)絡(luò)安全提供安全性及數(shù)據(jù)完整性的一種安全協(xié)議。SSL/TLS協(xié)議位于TCP/IP協(xié)議和應(yīng)用層協(xié)議之間，可為各種應(yīng)用層協(xié)議提供安全性保證，例如FTP、TELNET協(xié)議等，由于SSL/TLS協(xié)議保護的高層協(xié)議在客戶端與服務(wù)器之間傳輸?shù)臑槊芪臄?shù)據(jù)，并沒有明文出現(xiàn)，這為數(shù)據(jù)審計帶來了困難，以往的RDP采集審計都避開SSL，只采用RC4加密，但這樣降低了系統(tǒng)的安全性，易受到外部攻擊。

發(fā)明內(nèi)容

本發(fā)明的目的在于應(yīng)對目前RDP協(xié)議在5.2版本后加入了TLS通道加密功能的問題，提出了一種TLS通道加密的RDP協(xié)議明文數(shù)據(jù)采集系統(tǒng)，能夠在對RDP登陸操作進行審計的情況下，不降低采集系統(tǒng)的安全性。

為實現(xiàn)上述目的，本發(fā)明提供了一種TLS通道加密的RDP協(xié)議明文數(shù)據(jù)采集方法，所述系統(tǒng)包括：RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊，RDP數(shù)據(jù)包解析模塊，RDP數(shù)據(jù)加解密模塊和TLS加解密模塊；

所述RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊，用于接收網(wǎng)絡(luò)上的數(shù)據(jù)包并進行重組，將重組后的數(shù)據(jù)包提交給RDP數(shù)據(jù)包解析模塊；用于接收TLS加解密模塊提交的明文數(shù)據(jù)包；并用于將OUTPUT結(jié)構(gòu)體的重加密后的明文數(shù)據(jù)轉(zhuǎn)發(fā)出去；

所述RDP數(shù)據(jù)包解析模塊，用于對提取出來的RDP數(shù)據(jù)包進行解析，獲取RDP協(xié)議協(xié)商的數(shù)據(jù)加密方式；如果加密方式為標準的RDP安全加密方式，則將RDP數(shù)據(jù)包提交給所述RDP解密模塊；如果加密方式為增強的RDP安全加密方式，則將數(shù)據(jù)提交給TLS解密模塊；

所述RDP加解密模塊，用于接收數(shù)據(jù)后替換服務(wù)端證書，并計算RC4會話密鑰，解密RDP數(shù)據(jù)獲取明文，拷貝一份明文數(shù)據(jù)提交給RDP日志生成模塊，將明文數(shù)據(jù)重加密后提交給RDP數(shù)據(jù)包接收及轉(zhuǎn)發(fā)模塊；

所述TLS加解密模塊，用于接收數(shù)據(jù)后修改握手階段的秘鑰信息，獲得TLS會話密鑰，對加密數(shù)據(jù)解密獲取明文，拷貝一份明文數(shù)據(jù)以O(shè)OB結(jié)構(gòu)體提交給RDP數(shù)據(jù)接收及轉(zhuǎn)發(fā)模塊，將明文重加密后以O(shè)UTPUT結(jié)構(gòu)體提交給RDP數(shù)據(jù)接收及轉(zhuǎn)發(fā)模塊；

作為上述系統(tǒng)的一種改進，所述系統(tǒng)還包括：RDP日志生成模塊；用于接收所述RDP加解密模塊發(fā)送的明文數(shù)據(jù)，接收TLS加解密模塊通過RDP數(shù)據(jù)包接收及處理模塊提交的明文數(shù)據(jù)；根據(jù)RDP協(xié)議棧對明文數(shù)據(jù)進行解析，提取相關(guān)信息生成RDP日志及相關(guān)明文數(shù)據(jù)。

一種基于上述的系統(tǒng)實現(xiàn)的TLS通道加密的RDP協(xié)議明文數(shù)據(jù)采集方法，所述方法包括：