WO2016065787A1 - 一种rdp数据采集装置及方法 - Google Patents

Abstract

本发明涉及一种RDP数据采集装置，包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块；其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。

Description

一种RDP数据采集装置及方法 技术领域

本发明涉及网络通信领域，特别涉及一种RDP数据采集装置及方法。

背景技术

RDP(Remote Desktop Protocol，远程桌面协议)是由微软公司提出的一种通讯协议，主要用于实现Windows操作***下的多用户模式，用于远程访问运行在Windows终端服务器上的应用程序，将应用的逻辑执行和用户界面分离开来。

服务器端通过使用视频驱动程序描述显示输出，构造描述信息到使用RDP协议的网络数据包，通过网络发送到客户端；在客户端，视频驱动程序接收到描述信息，经过处理并显示出来。在输入过程中，客户端鼠标和键盘消息从客户端直接传送到服务器端；在服务器端，RDP使用自己的虚拟鼠标和键盘驱动程序去接收这些鼠标和键盘事件。

作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。分析这些内部安全威胁没有得到有效控制的根源，可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计***是目前普遍存在、首当其冲的最重要的根源因素，必须严肃研究对待。

审计***帮助记录发生在重要信息***中各种各样的会话和事件，包括网络中的、主机操作***中，也包括应用***中的。这些审计信息反映了信息***运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息***的运行是否符合法律法规的要求和组织的安全策略；另一方面，这些宝贵的审计信息在信息***出现故障和安全事故时，就像航空器“黑盒子”一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。

审计***在做审计前，需要有数据采集装置为其提供审计用的基础数据。如图1所示，现有技术中的RDP数据采集装置在工作时，需要与服务端和客户端分别建立一个TCP连接，然后再进行数据采集、RDP解密、生成RDP明文日志等操作。该装置在工作时需要长时间地维护TCP连接的信息，***资源的开销很大。

发明内容

本发明的目的在于克服现有技术中的RDP数据采集装置需要长时间维护TCP连接的信息、***资源开销大的缺陷，从而提供一种时间开销与***资源开销都较小的RDP 数据采集装置。

为了实现上述目的，本发明提供了一种RDP数据采集装置，包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块；其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。

上述技术方案中，所述IP数据转发模块接收到网络上的数据报文后，对IP包进行重组，对TCP包进行重组，若数据包为重传包则还要进行TCP重传处理；然后判断报文的类别，若为RDP数据包，将RDP数据包提交给RDP处理模块，等待RDP处理模块处理完成后，接收RDP处理模块提交过来的RDP数据包，再转发到网络上，若不是RDP数据包，则直接转发到网络上。

上述技术方案中，所述RDP处理模块对RDP数据包的处理分为：RDP连接认证阶段和RDP数据传输阶段；

在RDP连接认证阶段，所述RDP处理模块将服务端RSA公钥替换为RDP数据采集装置的RSA公钥，并利用客户端随机字符串和服务端随机字符串协商得到用于数据传输阶段的客户端和服务端的RC4加密密钥；所述RDP处理模块还实现了身份认证处理；

在RDP数据传输阶段，RDP处理模块对所接收的RDP数据包拷贝一份数据，然后将原始数据直接提交给IP数据转发模块转发出去，不做任何改动；将拷贝数据通过RC4密钥进行解密，然后将解密后的数据提交给RDP日志模块以生成RDP日志。

上述技术方案中，所述RDP处理模块将服务端RSA公钥替换为RDP数据采集装置的RSA公钥包括：

提取RDP服务端发送给客户端的服务端RSA公钥，将所述服务端RSA公钥替换为RDP数据采集装置的RSA公钥，被替换的服务端RSA公钥信息会存放在X.509证书中，或存放在RDP给定的一个格式中；若所述服务端RSA公钥信息存放在X.509证书中，则还需要对根证书进行替换。

上述技术方案中，所述RDP处理模块利用客户端随机字符串和服务端随机字符串协商得到用于数据传输阶段的客户端和服务端的RC4加密密钥包括：

提取RDP服务端发送给客户端密钥协商的服务端随机字符串信息，然后发送给客户端；

提取RDP客户端发送给服务端密钥协商的加密随机字符串信息，用RDP数据采集装置的私钥进行解密提取出客户端随机字符串，再用服务端的RSA公钥进行加密，将加密后的客户端随机字符串信息发送给服务端；

由所述客户端随机字符串和服务端随机字符串协商，得到用于数据传输阶段的客户端和服务端的RC4加密密钥。

上述技术方案中，所述身份认证处理通过以下操作实现：提取RDP客户端发送给服务端的身份认证信息字段，用RDP数据采集装置的私钥进行解密，再用服务端的RSA公钥进行加密后发送给服务端。

上述技术方案中，所述RDP日志生成模块依据RDP处理模块递交过来的数据，根据客户端操作-服务端响应模式，将用户的一次完整行为以一定的数据格式记录在一条日志里。

上述技术方案中，所述日志的数据格式包括：1字节的日志标识起始位，4字节的日志长度，n字节的数据，1字节的日志标识结束位；其中，

n字节数据内容采用“类型-长度-数值”的格式，其中的1字节表示类型，4字节表示数值长度，m字节表示数值；所述类型包括：登陆时间、客户端端口号、客户端IP地址、服务端端口号、服务端IP地址、数据ID、会话ID、域名、登陆名称、登陆密码、提取的数据类型以及提取的数据。

本发明的优点在于：

首先，本发明的RDP数据采集装置在做数据采集时脱离了TCP/IP协议栈，只用到了TCP/IP协议栈里IP重组、TCP重组以及TCP重传的部分功能，极大程度地简化了数据包接收转发的处理，减少了处理时间开销；

其次，本发明的RDP数据采集装置对客户端和服务端都不建立TCP连接，不用维护TCP连接的信息，节省***资源开销；

最后，通过生成的RDP日志能够帮助管理层和审计者审核用户进行RDP登录和操作是否符合法律法规的要求和组织的安全策略；在出现故障和安全事故时，通过生成的RDP日志能够帮助调查者深入挖掘，重建事件过程，直至完整的分析和定位事件，并 部署进一步的措施来避免故障或安全事故。

附图说明

图1为现有技术中的RDP数据采集装置的通信过程示意图；

图2为本发明的RDP数据采集装置的连接位置示意图；

图3为本发明的RDP数据采集装置的功能模块图；

图4为本发明的RDP数据采集装置中的各个功能模块对数据包的处理流程图；

图5为本发明的RDP数据采集装置的通信过程示意图。

具体实施方式

现结合附图对本发明作进一步的描述。

如图2所示，本发明的RDP数据采集装置位于客户端与服务端之间，该装置能够对RDP会话消息进行数据采集，生成RDP会话日志，以供审计。本发明的RDP数据采集装置不采用TCP/IP协议栈，在数据采集过程中，直接在网络层中对传输层(TCP)和应用层(各种协议)的数据报文进行处理。

如图3所示，本发明的RDP数据采集装置包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块。其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。

下面结合图4对本发明的RDP数据采集装置中的各个模块做进一步的说明。

所述IP数据转发模块接收到网络上的数据报文后，对IP包进行重组，对TCP包进行重组，若数据包为重传包则还要进行TCP重传处理；然后判断报文的类别，若为RDP数据包，将RDP数据包提交给RDP处理模块，等待RDP处理模块处理完成后，接收RDP处理模块提交过来的RDP数据包，再转发到网络上，若不是RDP数据包，则直接转发到网络上。

所述RDP处理模块对RDP数据包的处理分为两个阶段，RDP连接认证阶段和RDP数据传输阶段。

在RDP连接认证阶段，RDP处理模块主要完成两个任务，一是获取密钥，二是身份认证处理。

RDP处理模块通过以下操作获取密钥：提取RDP服务端发送给客户端密钥协商的服务端随机字符串信息以及RSA公钥，将其中的服务端RSA公钥替换为RDP数据采集装置的RSA公钥，所述RDP数据采集装置的RSA公钥以及服务端随机字符串信息都会被转发给客户端；被替换的服务端RSA公钥信息会存放在X.509证书中，也可能会存放在RDP给定的一个特殊格式中，其中，若服务端RSA公钥信息存放在X.509证书中，则在公钥替换后，还需要对根证书进行替换，以满足客户端对服务端身份的验证；RDP处理模块提取RDP客户端发送给服务端密钥协商的加密随机字符串信息，用RDP数据采集装置的私钥进行解密提取出客户端随机字符串，再用服务端的RSA公钥进行加密，将加密后的客户端随机字符串信息发送给服务端。通过RDP处理模块的上述操作，服务端、客户端、RDP数据采集装置的RDP处理模块都具有了客户端随机字符串和服务端随机字符串，利用客户端随机字符串和服务端随机字符串可协商得到数据传输阶段的客户端和服务端的RC4加密密钥。

RDP处理模块通过以下操作实现身份认证处理：提取RDP客户端发送给服务端的身份认证信息字段，用RDP数据采集装置的私钥进行解密，再用服务端的RSA公钥进行加密后发送给服务端。

RDP处理模块将上述经过RSA公钥替换与身份认证处理的RDP数据包递交给IP数据转发模块转发出去。RDP处理模块在获取密钥与身份认证处理操作时都涉及到对报文的修改，对于修改后的报文消息认证码需要进行重新计算。

在RDP数据传输阶段，RDP处理模块对所接收的RDP数据包拷贝一份数据，然后将原始数据直接提交给IP数据转发模块转发出去，不做任何改动；将拷贝数据通过RC4密钥进行解密，然后将解密后的数据提交给RDP日志模块以生成RDP日志。

所述RDP日志生成模块依据RDP处理模块递交过来的数据，根据客户端操作-服务端响应模式，将用户的一次完整行为记录在一条日志里。在本实施例中，日志格式内容包括：1字节的日志标识起始位，4字节的日志长度，n字节的数据，1字节的日志标识结束位。n字节数据内容采用TLV(Type-Length-Value)，1字节Type，4字节数值长度，m字节数值。数据的类型包括：登陆时间、客户端端口号、客户端IP地址、服务端端口号、服务端IP地址、数据ID、会话ID、域名、登陆名称、登陆密码、提取的数据类型以及提取的数据等。所生成的RDP日志可以本地缓存(本地缓存数据在需要时可导出给审计部门审计)，也可以直接发送到专门的审计***上进行审计。

将图5与图1进行比较可以发现，本发明的RDP数据采集装置不与客户端或服务 端建立TCP连接，因此该RDP数据采集装置相当于一个智能交换机，无需维护TCP连接的信息，能够有效地节省***资源开销。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1. 一种RDP数据采集装置，其特征在于，包括：IP数据转发模块、RDP处理模块以及RDP日志生成模块；其中，所述IP数据转发模块负责接收网络中的数据包，并转发经过自身处理的数据包；所述RDP处理模块负责获取RDP会话数据传输过程中的密钥信息，并对密文数据进行解密；所述RDP日志生成模块根据一定的规则和数据格式生成RDP会话日志。
2. 根据权利要求1所述的RDP数据采集装置，其特征在于，所述IP数据转发模块接收到网络上的数据报文后，对IP包进行重组，对TCP包进行重组，若数据包为重传包则还要进行TCP重传处理；然后判断报文的类别，若为RDP数据包，将RDP数据包提交给RDP处理模块，等待RDP处理模块处理完成后，接收RDP处理模块提交过来的RDP数据包，再转发到网络上，若不是RDP数据包，则直接转发到网络上。
3. 根据权利要求1所述的RDP数据采集装置，其特征在于，所述RDP处理模块对RDP数据包的处理分为：RDP连接认证阶段和RDP数据传输阶段；

   在RDP连接认证阶段，所述RDP处理模块将服务端RSA公钥替换为RDP数据采集装置的RSA公钥，并利用客户端随机字符串和服务端随机字符串协商得到用于数据传输阶段的客户端和服务端的RC4加密密钥；所述RDP处理模块还实现了身份认证处理；

   在RDP数据传输阶段，RDP处理模块对所接收的RDP数据包拷贝一份数据，然后将原始数据直接提交给IP数据转发模块转发出去，不做任何改动；将拷贝数据通过RC4密钥进行解密，然后将解密后的数据提交给RDP日志模块以生成RDP日志。
4. 根据权利要求3所述的RDP数据采集装置，其特征在于，所述RDP处理模块将服务端RSA公钥替换为RDP数据采集装置的RSA公钥包括：

   提取RDP服务端发送给客户端的服务端RSA公钥，将所述服务端RSA公钥替换为RDP数据采集装置的RSA公钥，被替换的服务端RSA公钥信息会存放在X.509证书中，或存放在RDP给定的一个格式中；若所述服务端RSA公钥信息存放在X.509证书中，则还需要对根证书进行替换。
5. 根据权利要求3所述的RDP数据采集装置，其特征在于，所述RDP处理模块 利用客户端随机字符串和服务端随机字符串协商得到用于数据传输阶段的客户端和服务端的RC4加密密钥包括：

   提取RDP服务端发送给客户端密钥协商的服务端随机字符串信息，然后发送给客户端；

   提取RDP客户端发送给服务端密钥协商的加密随机字符串信息，用RDP数据采集装置的私钥进行解密提取出客户端随机字符串，再用服务端的RSA公钥进行加密，将加密后的客户端随机字符串信息发送给服务端；

   由所述客户端随机字符串和服务端随机字符串协商，得到用于数据传输阶段的客户端和服务端的RC4加密密钥。
6. 根据权利要求3所述的RDP数据采集装置，其特征在于，所述身份认证处理通过以下操作实现：提取RDP客户端发送给服务端的身份认证信息字段，用RDP数据采集装置的私钥进行解密，再用服务端的RSA公钥进行加密后发送给服务端。
7. 根据权利要求1所述的RDP数据采集装置，其特征在于，所述RDP日志生成模块依据RDP处理模块递交过来的数据，根据客户端操作-服务端响应模式，将用户的一次完整行为以一定的数据格式记录在一条日志里。
8. 根据权利要求7所述的RDP数据采集装置，其特征在于，所述日志的数据格式包括：1字节的日志标识起始位，4字节的日志长度，n字节的数据，1字节的日志标识结束位；其中，

   n字节数据内容采用“类型-长度-数值”的格式，其中的1字节表示类型，4字节表示数值长度，m字节表示数值；所述类型包括：登陆时间、客户端端口号、客户端IP地址、服务端端口号、服务端IP地址、数据ID、会话ID、域名、登陆名称、登陆密码、提取的数据类型以及提取的数据。

Images