专利名称:一种增强安全性的远程帧缓冲区协议的制作方法
技术领域:
本发明涉及计算机网络通信,具体涉及一种较标准RFB协议更安全、更灵活的RFB协议。2、 技术背景RFB (Remote FrameBuffer)是个定义远程图形用户终端接口的简单协议。因为它是以 FrameBuffer级别的工作方式,因此它适用于所有的窗口系统,包含Xll, Windows和Macintosh。 用户所操作的远程终端(包含一个显示器加一个键盘和鼠标等)被称为RFB客户端。远程终端 所引起的FrameBuffer变化可以通知到RFB服务器。RFB是一个真正意义上的"瘦客户端"协议。在RFB协议的设计中重点强调客户端的尽少需 求。这样一来,客户端能运行在更广范围的硬件环境上,并且客户端的实现也尽可能简单。 RFB协议主要包括显不协议、输入协议和消息协议。关于网络通信方面的内容都定义于消息协 议中。消息协议RFB协议基于TCP/IP协议簇连接,可以进行可靠的传输,如字节流或基于消息的。 协议由三步完成连接。首先是握手报文,目的是对协议版本和加密方式进行协商。 第二步是初始化报文,主要用于客户和服务器的初始化消息。最后就是正常消息的交互,客户端可以按需发送消息,然后可以获得服务器的回复。标准的RFB协议支持无认证和VNC认证,其中无认证方式安全性最低;而VNC认证方式将密码以普通文本的方式存储,安全性较低,且不具有访问权限控制的能力。冈此,提出一种集成操作系统身份认证机制并能够提供访问权限控制的增强安全性的远程帧缓冲协议显得十分有必要。3、发明内容本发明的主要目的在于针对现有标准RFB协议的不足,提供一种集成操作系统身份认证机 制并能够提供访问权限控制的增强安全性的远程帧缓冲协议。本发明的增强安全性的远程帧缓冲区协议,至少包含以下模块RFB显示模块、RFB输入 模块、RFB通信模块、加密或解密模块、用户身份认证模块和访问权限设置模块;其中,RFB显 示模块负责获取server的帧缓冲信息并client端进行更新和绘制;RFB输入模块负责获取 client的输入事件并发送至server; RFB通信模块负责在client和server建立连接并发送或 接收消息报文;加密或解密模块负责加密或解密;用户身份认证模块负责进行用户身份认证;访问权限设置模块负责进行用户访问权限设置。本发明的有益效果是支持任何可逆加密或解密算法,可根据实际需要进行选择;不需要 在server端节点以普通文本的方式存储用户名和密码,增强安全性;支持更灵活的多用户访问 权限控制。4
附图l为传统的RFB协议通讯过程示意图; 附图2为增强安全性的RFB协议通讯过程示意图。
具体实施方式
本发明的方法是通过以下技术方案实现的增强安全性的远程帧缓冲区(RFB)协议,至少包含以下模块RFB显示模块、RFB输入模 块、RFB通信模块、加密或解密模块、用户身份认证模块和访问权限设置模块,其中RFB显示模 块负责获取server的帧缓冲信息并client端进行更新和绘制;RFB输入模块负责获取client 的输入事件并发送至server; RFB通信模块负责在client和server建立连接并发送或接收消 息报文;加密或解密模块负责加密或解密;用户身份认证模块负责进行用户身份认证;访问权 限设置模块负责进行用户访问权限设置。RFB通信模块的通信步骤为步骤l: socket建立过程步骤2:握手过程步骤3:初始化过程步骤4:信息交互过程RFB通信模块的握手过程步骤为步骤2. 1: server发送协议版本号信息步骤2. 2: client回复实际通信中使用的协议版本(不高于server提供的版本)步骤2.3: server发送所支持的安全类型列表(无认证VNC认证用户身份认证)步骤2.4: client回复实际采用的安全认证类型(用户身份认证)步骤2. 5: server确认选择安全认证类型OK步骤2. 6: server发送随机生成的密钥步骤2.7: client使用加密或解密模块对输入的用户名和密码加密,并将结果串回复步骤2.8: server使用加密或解密模块对从2.7接收到的串解密,得到用户名和密码步骤2.9: server使用用户身份认证模块,认证2. 8得到的用户名和密码步骤2. 10:若2.9认证成功,则执行后续初始化过程步骤;否则终止连接。 RFB通信模块的初始化过程的步骤为 步骤3. 1: client初始化,通知server步骤3.2: server初始化,将server的属性(帧缓冲的宽、高,像素等)通知client 步骤3.3: server调用访问权限设置模块,开启具有认证用户权限的子进程与client进行后续交互加密或解密模块的加密或解密过程可使用任何可逆算法。用户身份认证模块使用集成操作系统身份认证机制进行用户身份认证,通过调用操作系统相关API实现。访问权限设置模块基于特定用户的访问权限开启新进程,通过调用操作系统相关API实现。
权利要求
1、一种增强安全性的远程帧缓冲区协议,其特征在于至少包含以下模块RFB显示模块;RFB输入模块;RFB通信模块;加密或解密模块;用户身份认证模块和访问权限设置模块;其中,RFB显示模块负责获取server的帧缓冲信息并client端进行更新和绘制;RFB输入模块负责获取client的输入事件并发送至server;RFB通信模块负责在client和server建立连接并发送或接收消息报文;加密或解密模块负责加密或解密;用户身份认证模块负责进行用户身份认证;访问权限设置模块负责进行用户访问权限设置。
2、 根据权利要求1所述的远程帧缓冲区协议,其特征在于RFB通信模块的通信步骤为步骤l: socket建立过程; 步骤2:握手过程; 步骤3:初始化过程; 步骤4:信息交互过程。
3、 根据权利要求2所述的远程帧缓冲区协议,其特征在于握手过^的步骤为步骤2.1: server发送协议版本号信息;步骤2. 2: client回复实际通信中使用的协议版本;步骤2.3: server发送所支持的安全类型列表,如无认证VNC认证用户身份认证; 步骤2.4: client回复实际采用的安全认证类型,如用户身份认证; 步骤2. 5: server确认选择安全认证类型OK; 步骤2. 6: server发送随机生成的密钥;步骤2.7: client使用加密或解密模块对输入的用户名和密码加密,并将结果串回复; 步骤2.8: server使用加密或解密模块对从2.7接收到的串解密,得到用户名和密码; 步骤2.9: server使用用户身份认证模块,认证2. 8得到的用户名和密码; 步骤2.10:若2.9认证成功,则执行后续初始化过程步骤;否则终止连接。
4、 根据权利要求2所述的远程帧缓冲区协议,其特征在于加密或解密过程可使用任何可 逆算法。
5、 根据权利要求2所述的远程帧缓冲区协议,其特征在于初始化过程的步骤为-步骤3. 1: client初始化,通知server;步骤3.2: server初始化,将server的属性(帧缓冲的宽、高,像素等)通知client; 步骤3. 3: server调用访问权限设置模块,开启具有认证用户权限的子进程与client进行后续交互。
6、 根据权利要求2所述的远程帧缓冲区协议,其特征在于加密或解密过程可使用任何可 逆算法。
7、 根据权利要求l所述的用户身份认证模块,其特征在于集成操作系统身份认证机制进 行用户身份认证,通过调用操作系统相关API实现。
8、 根据权利要求l所述的访问权限设置模块,其特征在于基于特定用户的访问权限开启 新进程,通过调用操作系统相关API实现。
全文摘要
本发明提供一种增强安全性的远程帧缓冲区协议,该协议至少包含以下模块RFB显示模块、RFB输入模块、RFB通信模块、加密或解密模块、用户身份认证模块和访问权限设置模块;其中,RFB显示模块负责获取server的帧缓冲信息并client端进行更新和绘制;RFB输入模块负责获取client的输入事件并发送至server;RFB通信模块负责在client和server建立连接并发送或接收消息报文;加密或解密模块负责加密或解密;用户身份认证模块负责进行用户身份认证;访问权限设置模块负责进行用户访问权限设置。本发明的有益效果是支持任何可逆加密或解密算法,可根据实际需要进行选择;不需要在server端节点以普通文本的方式存储用户名和密码,增强安全性和支持更灵活的多用户访问权限控制。
文档编号H04L29/06GK101217544SQ20081001360
公开日2008年7月9日 申请日期2008年1月2日 优先权日2008年1月2日
发明者乔英良 申请人:浪潮电子信息产业股份有限公司