一种确定mitm攻击的方法、装置及系统的制作方法

文档序号:7865137阅读:199来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种确定mitm攻击的方法、装置及系统的制作方法
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种确定中间人(MITM, Man-in-themiddle-attacks)攻击的方法,装置及系统。
背景技术
远程桌面协议(RDP,Romote Desktop Protocol)是普遍应用于微软操作系统中的一种远程桌面协议,远程桌面功能允许网络中的用户连接到远程的计算机上对远程计算机
进行管理。如图I所示的系统架构,包括客户端101、位于客户端侧的数据交换设备(如图I所 示的交换机102)、路由转发设备103、位于服务端侧的交换机104以及服务端。基于该系统架构,设备管理员通过远程桌面对目标设备进行运行维护管理操作。设备管理员通过远程桌面登陆到目标设备(如图I所示的位于服务端侧的服务器105),然后对目标设备进行管理。但是在这个过程中,如图2所示,就可能受到中间人攻击的威胁,受到中间人攻击的远程登陆会话的会话信息会完全暴露,比如按键信息,回显信息等等,中间人也可以获得设备管理员权限,从而非法登陆到目标设备,非法操控目标设备。比如设备管理员A在远程登陆到目标设备的过程中,黑客成功发动中间人攻击,将这个远程桌面会话完全解密,获得这个设备管理员的登陆账号和密码,当设备管理员A退出目标设备,黑客马上就能获悉设备管理员已经退出,然后黑客就能使用通过中间人攻击获取的账号密码以设备管理员的身份非法登陆到目标设备,查看目标设备中存储的敏感信息。现有技术中,一般采用服务器认证方式来防止中间人攻击,服务器认证的原理是指在会话过程中,在非对称密钥交换的环节中加入服务器认证环节,在非对称协商过程中,客户端除接收服务端的公钥和随机数之外,还会接收到服务端发来的服务器验证信息,该服务器验证信息可以服务端身份信息,当服务器认证不成功时,客户端将整个会话断开,从而避免网络受到中间人攻击。采用服务器认证方式仅能够事前防范,即对中间人攻击起到防范作用,而无法事中发现,当网络中存在中间人攻击时,该方式无法检测已存在的中间人攻击,另外,由于设备自身原因,如版本低等因素会导致误检的发生,从而降低了 MITM检测的准确性。综上所述,现有技术中提出的技术方案,仅能够对中间人攻击起到防范作用,不能够主动的确定出网络中是否存在中间人攻击,使得网络的安全性较差。

发明内容
本发明实施例提供了一种确定MITM攻击的方法,装置及系统,能够对MITM攻击进行主动检测,并且较好地提高了确定MITM攻击的准确性,从而提高网络安全性。一种确定MITM攻击的方法,包括在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;并获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥;将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。一种确定MITM攻击的装置,包括转发模块,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;获得模块,用于获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥;发送模块,用于将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。一种确定中间MITM攻击的系统,包括至少一个客户端服务器、至少一个检测代理 服务器和至少一个服务端服务器,包括所述客户端,用于发送远程桌面协议RDP连接请求;以及接收检测代理服务器发来的第二 RDP连接响应请求,根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击;所述检测代理服务器,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;并获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥;将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端;所述服务端服务器,用于接收检测代理服务器转发的RDP连接请求,并对所述第一 RDP连接响应请求进行处理,生成包含非对称加密公钥的第一 RDP连接响应请求并发送。采用上述技术方案,将服务端发来的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,后续客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定网络中是否存在MITM攻击。将服务端发来的第二 RDP连接响应请求中包含的非对称加密公钥主动替换为预设的第一身份识别公钥之后,再发送给客户端,客户端可以根据解析出来非对称加密公钥和预设的第一身份识别公钥,确定网络中是否存在MITM攻击,相对于现有技术中提出的服务器认证防范MITM攻击的方式,本发明实施例这里提出的技术方案,能够对MITM攻击进行主动检测,准确确定出当前网络环境是否存在中间人攻击,并且确定网络中是否存在MITM攻击时,不需要断开网络的会话传输链路,客户端和服务端能够进行正常会话,从而提高网络安全性,保证机密信息不被泄露。


图I为现有技术中,提出的基于RDP进行数据传输的系统结构示意图;图2为现有技术中,提出的存在基于RDP进行数据传输的系统存在MITM攻击时的系统结构不意图;图3为本发明实施例一中,提出的确定MITM攻击的系统结构组成示意图;图4为本发明实施例二中,提出的确定MITM攻击的方法流程图;图5为本发明实施例二中,提出的确定MITM攻击的装置结构示意图6为本发明实施例三中,提出的确定MITM攻击的方法流程图。
具体实施例方式针对现有技术中存在的防范MITM攻击的方法,仅能够对中间人攻击起到防范作用,不能够主动的确定出网络中是否存在中间人攻击,使得网络的安全性较差的问题,本发明实施例这里提出的技术方案,通过将服务端发来的第一 RDP连接响应请求中包含的非对称加密公钥主动替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,后续客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定网络中是否存在MITM攻击。能够对MITM攻击进行主动检测,准确确定出当前网络环境是否存在中间人攻击,并且确定网络中是否存在MITM攻击时,不需要断开网络的会话传输链路,客户端和服务端能够进行正常会话,从而提高网络安全性,保证机密信息不被泄露。下面将结合各个附图对本发明实施例技术方案的主要实现原理具体实施方式
及 其对应能够达到的有益效果进行详细地阐述。实施例一 本发明实施例一这里提出一种确定MITM攻击的系统,其中,基于RDP传输数据的网络中,MITM的攻击原理为在基于RDP传输数据的网络中,RDP会话通讯过程中,数据传输是经过加密处理的,但是在会话初始,即RDP协议一开始协商过程中,需要基于一次非对称加密解密算法,来交换用于加密会话的对称加密密钥。具体地,协商过程为首先是客户端向服务端发送远程登陆请求,服务端收到请求之后会发送响应信息给客户端,所述响应信息中携带一个公钥响应数据包,在公钥响应数据包中包含非对称加密算法中使用的公钥和一个对称加密密钥因子1(为便于阐述和区分,将对称加密密钥因子赋予标识信息),网络入侵者通过MITM技术,是通过捕获响应信息中携带的公钥响应数据包,获得公钥响应数据包中包含的公钥和对称加密密钥因子1,然后把公钥响应数据包中包含的公钥和对称加密密钥因子I存储,在存储完成之后,网络入侵者基于MITM技术,使用一个伪装的并且事先知道私钥的公钥替换掉公钥响应数据包中包含的公钥,形成伪造的公钥响应数据包,将伪造的公钥响应数据包发送到客户端,客户端收到伪造的公钥响应数据包之后,客户端生成对称加密密钥因子2,然后使用接收到的伪造的公钥对对称加密密钥因子2进行加密,加密之后发送到服务端,此时,网络入侵人员基于MITM技术,再次捕获客户端发送给服务端的数据,由于已经存储了伪造公钥的私钥,使用私钥对加密后的对称加密密钥因子2进行解密就能得到明文的对称加密密钥因子2,然后结合之前获得的对称加密密钥因子I就能计算出RDP会话密钥,得到RDP会话密钥之后就可以解密整个RDP会话、或者键盘输入、用户名账号密码等信息。基于上述MITM攻击的原理,如图3所示,本发明实施例一这里提出的确定MITM攻击的系统中,包括至少一个客户端服务器101、位于客户端侧的用于传输数据的交换机102、用于转发数据的路由设备103、位于服务端的用于传输数据的交换机104,以及至少一个服务端服务器105、检测代理服务器106,还有假设已经存在的MITM105。其中客户端,用于发送远程桌面协议RDP连接请求;以及接收检测代理服务器发来的第二 RDP连接响应请求,根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。具体地,所述客户端,具体用于对接收到的第二 RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的非对称加密公钥;判断解析得到的非对称加密公钥是否和预设的第一身份识别公钥匹配;如果是,确定网络中不存在MITM攻击;如果否,确定网络中存在MITM攻击。检测代理服务器,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;并获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥;将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端。其中,检测代理服务器还用于在接收客户端发来的RDP连接请求之前,建立监听RDP应用端口的第一套接字。具体地,RDP应用端口是RDP的默认端口,例如3389端口。以 及在将RDP连接请求转发给服务端之前,建立连接服务端的第二套接字。进一步地,为保证数据传输的安全性,检测代理服务器在获得服务端发来的第一RDP连接响应请求之后,断开和服务端的RDP连接。具体地,预设的第一身份识别公钥是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。二者可以配对使用,为便于阐述,本发明实施例这里提出的技术方案中,将二者做出区分。服务端服务器,用于接收检测代理服务器转发的RDP连接请求,并对所述第一 RDP连接响应请求进行处理,生成包含非对称加密公钥的第一 RDP连接响应请求并发送。实施例二基于上述实施例一提出的确定MITM攻击的系统架构,本发明实施例二这里提出一种确定MITM攻击的方法流程图,如图4所示,具体处理流程如下述步骤41,接收客户端发来的RDP连接请求。其中,在基于RDP传输数据的网络中,客户端需要与服务端进行连接,此时客户端发送RDP连接请求。具体地,在步骤41之前,还可以先建立监听RDP应用端口的第一套接字述RDP应用端口可以RDP的默认端口,例如3389端口。步骤42,在接收到客户端发来的RDP连接请求时,将所述RDP连接请求转发给服务端。其中,在将RDP连接请求转发给服务端之前,还可以建立连接服务端的第二套接字。步骤43,获得服务端发来的第一 RDP连接响应请求。其中,服务端对接收到的RDP连接请求进行响应的处理之后,反馈第一 RDP连接响应请求。其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥。具体地,非对称加密公钥可以是服务端的标识信息。较佳地,为保证数据传输的安全性,在步骤43之后,还可以断开和服务端的RDP连接。步骤44,将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端。步骤45,客户端根据接收到的第二 RDP连接响应请求,确定是否存在MITM攻击。其中,客户端对接收到的第二 RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的第一身份识别公钥。判断解析得到的非对称加密公钥是否和预先设置的第一身份识别公钥配对;如果是,确定网络中不存在MITM攻击;如果否,确定网络中存在MITM攻击。具体地,所述预设的第一身份识别公钥可以是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。具体实施中,需要准备一对非对称密钥,生成非对称密钥文件之后,后续对这个非对称密钥文件进行解析,可以得到公钥和私钥。 相应地,本发明实施例二这里还提出一种确定MITM攻击的装置,如图5所示,包括转发模块501,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端。获得模块502,用于获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥。发送模块503,用于将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。具体地,所述预设的第一身份识别公钥是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。具体地,上述发送模块503,具体用于将第二 RDP连接响应请求发送给客户端之后,指示客户端对接收到的第二 RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的第一身份识别公钥;判断解析得到的非对称加密公钥是否和预设的第一身份识别公钥匹配;如果是,确定网络中不存在MITM攻击;如果否,确定网络中存在MITM攻击。具体地,上述装置还包括第一建立模块,用于建立监听RDP应用端口的第一套接字。其中,所述RDP应用端口是RDP的默认端口。具体地,上述装置还包括第二建立模块,用于建立连接服务端的第二套接字。具体地,上述装置还包括断开模块,用于断开和服务端的RDP连接。实施例三进一步地,在上述实施例一和实施例二的基础之上,基于图3所示的系统架构,本发明实施例三这里以一具体实例来对本发明实施例这里提出的确定MITM攻击的方法做出详细阐述,如图6所示,其具体处理过程如下述预先设置一对非对称密钥作为检测代理服务器的身份认证信息,生成非对称密钥文件之后,客户端和检测代理服务器均使用这个非对称密钥文件,具有该身份认证信息的检测代理服务器是合法的接入设备,例如可以时服务器的标识信息、也可以是其他人为设置的编码信息等等。根据设置的非对称密钥生成非对称密钥文件之后,客户端和检测代理服务器均使用该生成的密钥文件,即客户端和检测代理服务器在正常工作时,对该生成的密钥文件进行解析,得到公钥和私钥。检测代理服务器可以建立一个具备监听功能的套接字(Socket),用于监听RDP的默认端口,例如监听3389端口。本发明实施例这里提出的确定MITM攻击的技术方案中,对MITM进行主动检测,确定网络中是否存在MITM攻击,因此在系统部署过程中,可以按照蜜罐的方式进行部署。通过RDP默认端口,客户端建立一个用于和检测代理服务器连接的套接字,套接字建立之后,客户端想检测代理服务器发送传输控制层连接请求,当客户端服务器和检测代理服务器连接成功(即具体实施过程中,客户端服务器成功Ping通检测代理服务器之后,客户端构造应用层RDP协议的连接请求数据包,即发送RDP连接请求。如图6所示,具体处理过程如下述步骤61,客户端向检测代理服务器发送RDP连接请求。·
其中,在RDP连接请求传输过程中,由上述实施例一中阐述的MITM攻击的原理可知,该RDP连接请求并不会被篡改。步骤62,检测代理服务器接收到客户端发来的RDP连接请求,检测代理服务器建立用于和服务端服务器连接的套接字,完成检测代理服务器和服务端服务器之间的连接。步骤63,套接字建立完成之后,检测代理服务器将客户端发来的RDP请求发送给服务端服务器。步骤64,服务端服务器接收到RDP请求之后,对接收到的RDP请求进行相应处理,并发送处理结果给客户端。即发送RDP连接响应请求。其中,RDP连接响应请求中包含服务端服务器生成的非对称加密公钥和随机数。步骤65,检测代理服务器获得服务端服务器发来的RDP连接响应请求(即本发明实施例这里提出的第一 RDP连接响应请求),为了保证服务端服务器中存储的数据的安全性,可以断开与服务端服务器的连接。具体地,检测代理服务器断开与服务端服务器的连接,具体实现方式可以但不限于采用下述两种方式第一种方式检测代理服务器向服务端服务器发送断开连接消息,服务端服务器接收到断开连接消息之后,断开和检测代理服务器之间的RDP连接。第二种方式检测代理服务器在接收到服务端服务器发来的RDP响应消息之后,断开与服务器的RDP连接。步骤66,检测代理服务器对接收到的RDP连接响应请求进行解析,获得RDP连接响应中包含的服务端生成的非对称加密公钥。步骤67,将获得的服务端生成的非对称加密公钥替换为能够识别该检测代理服务器身份的身份认证信息(即本发明实施例这里提出的第一身份认证识别公钥),将该信息作为替换后的非对称加密公钥。具体地,由于在系统初始条件下,植入了密钥文件,因此,在做非对称加密公钥替换时,较佳地,可以将服务端服务器生成的非对称加密公钥替换为能够从植入的非对称密钥文件中解析出来的密钥,并且该密钥能够识别检测代理服务器的身份信息。例如,将服务端生成的非对称加密公钥替换为由植入的非对称密钥文件中解析出的第一身份识别公钥。
步骤68,将进行密钥替换后的RDP连接响应请求发送给客户端服务器。其中,将由服务端生成的非対称加密公钥替换为第一身份识别公钥后的RDP连接响应(即本发明实施例这里提出的第二 RDP连接响应请求)发送给客户端服务器。若此时网络中存在MITM攻击,根据上述实施例一中阐述的MITM攻击原理可知,此时,MITM会捕获该进行密钥替换后的RDP连接响应请求。并在捕获后,将检测代理服务器的身份信息篡改棹,然后再发送给客户端 。例如,进行密钥替换后的RDP连接响应中包含检测代理服务器的标识信息,即密钥替换后的RDP连接响应包含的信息可以是检测代理服务器的标识信息+随机数。中间篡改以后,变为其他标识信息+随机数,然后将篡改后的RDP连接响应发送给客户端。步骤69,客户端服务器接收到第二 RDP连接响应请求后,对接收到的第二 RDP连接响应请求进行解析,判断网络中是否存在MITM。其中,客户端服务器接收到RDP连接响应请求之后,进行解析,获得RDP连接响应请求中包含的身份认证信息(即进行密钥替换后的第一身份识别公钥),将获得的身份认证信息和预先设置的身份认证信息进行比对,若比对结果一致,则确定网络中不存在MITM攻击,反之,确定客户端服务器和检测服务器的网络之间存在MITM攻击。具体地,预先设置的身份认证信息,是客户端服务器在运行时,对植入的密钥文件进行解析得到的。相对于现有技术中提出的服务器认证防范MITM攻击的方式,本发明实施例这里提出的技术方案,能够对MITM攻击进行主动检测,准确确定出当前网络环境是否存在中间人攻击,并且确定网络中是否存在MITM攻击吋,不需要断开网络的会话传输链路,客户端和服务端能够进行正常会话,较好地保证了基于RDP传输数据的网络的安全性。本领域的技术人员应明白,本发明的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明是參照根据本发明实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生ー个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图ー个流程或多个流程和/或方框图ー个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图ー个流程或多个流程和/或方框图ー个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图ー个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种确定中间人MITM攻击的方法,其特征在于,包括 在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;并 获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥; 将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。
2.如权利要求I所述的方法,其特征在于,所述预设的第一身份识别公钥是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。
3.如权利要求I所述的方法,其特征在于,所述客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击,包括 客户端对接收到的第二 RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的非对称加密公钥; 判断解析得到的非对称加密公钥是否和预设的第一身份识别公钥匹配; 如果是,确定网络中不存在MITM攻击; 如果否,确定网络中存在MITM攻击。
4.一种确定中间人MITM攻击的装置,其特征在于,包括 转发模块,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端; 获得模块,用于获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥; 发送模块,用于将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。
5.如权利要求4所述的装置,其特征在于,所述预设的第一身份识别公钥是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。
6.如权利要求4所述的装置,其特征在于,所述发送模块,具体用于将第二RDP连接响应请求发送给客户端之后,指示客户端对接收到的第二 RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的非对称加密公钥;判断解析得到非对称加密公钥是否和预设的第一身份识别公钥匹配;如果是,确定网络中不存在MITM攻击;如果否,确定网络中存在MITM攻击。
7.一种确定中间MITM攻击的系统,其特征在于,包括至少一个客户端服务器、至少一个检测代理服务器和至少一个服务端服务器,包括 所述客户端,用于发送远程桌面协议RDP连接请求;以及接收检测代理服务器发来的第二 RDP连接响应请求,根据接收到的第二 RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击; 所述检测代理服务器,用于在接收到客户端发来的远程桌面协议RDP连接请求时,将所述RDP连接请求转发给服务端;并获得服务端发来的第一 RDP连接响应请求,其中,所述第一 RDP连接响应请求中包含服务端生成的非对称加密公钥;将所述获得的第一 RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二 RDP连接响应请求并发送给客户端; 所述服务端服务器,用于接收检测代理服务器转发的RDP连接请求,并对所述第一 RDP连接响应请求进行处理,生成包含非对称加密公钥的第一 RDP连接响应请求并发送。
8.如权利要求7所述的系统,其特征在于,所述客户端,具体用于对接收到的第二RDP连接响应请求进行解析,得到所述第二 RDP连接响应请求中包含的非对称加密公钥;判断解析得到的非对称加密公钥是否和预设的第一身份识别公钥匹配;如果是,确定网络中不存在MITM攻击;如果否,确定网络中存在MITM攻击。
9.如权利要求7所述的系统,其特征在于,所述预设的第一身份识别公钥是根据非对称密钥文件解析得到的,其中,所述非对称密钥文件是根据预先设置的非对称密钥生成的。
全文摘要
本发明公开了一种确定中间人MITM攻击的方法、装置及系统,该方法包括在接收到客户端发来的RDP连接请求时,将所述RDP连接请求转发给服务端;并获得服务端发来的第一RDP连接响应请求,其中,所述第一RDP连接响应请求中包含服务端生成的非对称加密公钥;将所述获得的第一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥,形成第二RDP连接响应请求并发送给客户端,其中客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥,确定是否存在MITM攻击。从而能够对MITM攻击进行主动检测,并且较好地提高了确定MITM攻击的准确性,从而提高网络安全性。
文档编号H04L29/06GK102957704SQ20121044882
公开日2013年3月6日 申请日期2012年11月9日 优先权日2012年11月9日
发明者李镇鹏 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李镇鹏
  • 技术所有人:北京神州绿盟信息安全科技股份有限公司;北京神州绿盟科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
口袋少女亲密攻击装置相关技术
防雷装置检测点的确定相关技术
检查装置气密性的方法相关技术
装置气密性检查方法相关技术
检验装置气密性的方法相关技术
油气回收装置监测方法相关技术
湿热处理的方法和装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2