JP6391823B2 - Rdpデータ収集装置及び方法 - Google Patents
Rdpデータ収集装置及び方法 Download PDFInfo
- Publication number
- JP6391823B2 JP6391823B2 JP2017523331A JP2017523331A JP6391823B2 JP 6391823 B2 JP6391823 B2 JP 6391823B2 JP 2017523331 A JP2017523331 A JP 2017523331A JP 2017523331 A JP2017523331 A JP 2017523331A JP 6391823 B2 JP6391823 B2 JP 6391823B2
- Authority
- JP
- Japan
- Prior art keywords
- rdp
- data
- server
- client
- processing module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013480 data collection Methods 0.000 title claims description 40
- 238000000034 method Methods 0.000 title claims description 15
- 238000012545 processing Methods 0.000 claims description 59
- 238000012546 transfer Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 8
- 230000009471 action Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000006854 communication Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008521 reorganization Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
前記RDP接続認証段階において、前記RDP処理モジュールは、サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、且つクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得し、前記RDP処理モジュールは更にアイデンティティ認証処理を実施し、
前記RDPデータトランスポート段階において、前記RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読し、次に、暗号解読後のデータをRDPログモジュールに渡してRDPログを生成する。
RDPサーバーがクライアントに送信したサーバーRSA公開鍵を抽出して、該サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、取り替えられたサーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定の1つのフォーマットに記憶し、前記サーバーRSA公開鍵の情報が前記X.509証明書に記憶されると、ルート証明書を取り替える。
RDPサーバーがクライアントに送信した暗号化キーネゴシエーションのサーバーランダムな文字列情報を抽出して、クライアントに送信することと、
RDPクライアントがサーバーに送信した暗号化キーネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出し、そしてサーバーのRSA公開鍵により暗号化して、暗号化したクライアントのランダムな文字列情報をサーバーに送信することと、
前記クライアントのランダムな文字列及びサーバーのランダムな文字列によりネゴシエーションを行って、データトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することとを含む。
前記nバイトのデータの内容は、「タイプ-長さ-数値」のフォーマットを使用し、その中の1バイトはタイプを示し、4バイトは数値長さを示し、mバイトは数値を示し、前記タイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータとを含む。
まず、本発明のRDPデータ収集装置は、データを収集する時にTCP/IPプロトコルスタックの全ての機能を使用するのではなく、TCP/IPプロトコルスタックにおける一部の機能、すなわち、IP再編成、TCP再編成及びTCP再送の機能のみを使用し、大幅にデータパケット受信転送処理を簡単化して、処理時間オーバーヘッドを低減することができる。
Claims (7)
- IPデータ転送モジュールと、RDP処理モジュールと、RDPログ生成モジュールとを備えるRDPデータ収集装置であって、
前記IPデータ転送モジュールは、ネットワークにおけるデータパケットを受信し、該データパケットを処理して転送する機能を有し、
前記RDP処理モジュールは、RDPセッションデータのトランスポート処理における暗号化キー情報を取得して、暗号文データを暗号解読する機能を有し、
前記RDPログ生成モジュールは、特定のルール及びデータフォーマットに従ってRDPセッションのログを生成し、
前記RDP処理モジュールがRDPデータパケットに対して行う処理は、RDP接続認証段階とRDPデータトランスポート段階とを含み、
前記RDP接続認証段階において、前記RDP処理モジュールは、サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、且つクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得し、前記RDP処理モジュールは更にアイデンティティ認証処理を実施し、
前記RDPデータトランスポート段階において、前記RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読し、次に、暗号解読後のデータを前記RDPログ生成モジュールに渡してRDPログを生成する、ことを特徴とするRDPデータ収集装置。 - 前記IPデータ転送モジュールは、
ネットワークにおけるデータメッセージを受信した後に、IPパケットを再編成して、TCPパケットを再編成し、データパケットが再送パケットである場合には、TCP再送処理を行い、
パケットのカテゴリを判断し、RDPデータパケットである場合には、該RDPデータパケットを前記RDP処理モジュールに渡し、前記RDP処理モジュールによる処理が完了した後に、前記RDP処理モジュールから前記RDPデータパケットを受け取って、再びネットワークに転送し、一方、RDPデータパケットではない場合には、直接ネットワークに転送することを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDP処理モジュールがサーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替えることは、
RDPサーバーがクライアントに送信したサーバーRSA公開鍵を抽出して、該サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、取り替えられた前記サーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定の1つのフォーマットに記憶し、前記サーバーRSA公開鍵の情報が前記X.509証明書に記憶されると、ルート証明書を取り替えることを含むことを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDP処理モジュールがクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することは、
RDPサーバーがクライアントに送信した暗号化キーネゴシエーションのためのサーバーのランダムな文字列情報を抽出して、前記クライアントに送信することと、
RDPクライアントがサーバーに送信した暗号化キーネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出し、そして前記サーバーのRSA公開鍵により暗号化して、暗号化した前記クライアントのランダムな文字列情報を前記サーバーに送信することと、
前記クライアントのランダムな文字列及び前記サーバーのランダムな文字列によりネゴシエーションを行って、データトランスポート段階に用いられる前記クライアント及び前記サーバーのRC4暗号化キーを取得することと、
を含むことを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記アイデンティティ認証処理は、
RDPクライアントがサーバーに送信したアイデンティティ認証情報フィールドを抽出して、RDPデータ収集装置の秘密鍵により暗号解読を行い、そして前記サーバーのRSA公開鍵により暗号化した後に前記サーバーに送信することを含む操作により実施されることを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDPログ生成モジュールは、前記RDP処理モジュールから受け取ったデータに基づき、クライアント操作-サーバー応答モードに従って、ユーザの1回の完全な行為を特定のデータフォーマットで1本のログに記録することを特徴とする請求項1に記載のRDPデータ収集装置。
- 前記ログのデータフォーマットは、1バイトのログマーク開始ビットと、4バイトのログ長さ情報と、nバイトのデータと、1バイトのログマーク終了ビットとを含み、
前記nバイトのデータの内容は、「タイプ-長さ-数値」のフォーマットを使用し、その中の1バイトはタイプを示し、4バイトは数値長さを示し、mバイトは数値を示し、前記タイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータとを含む、ことを特徴とする請求項6に記載のRDPデータ収集装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410601734.5 | 2014-10-31 | ||
CN201410601734.5A CN105592121B (zh) | 2014-10-31 | 2014-10-31 | 一种rdp数据采集装置及方法 |
PCT/CN2015/074083 WO2016065787A1 (zh) | 2014-10-31 | 2015-03-12 | 一种rdp数据采集装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017532916A JP2017532916A (ja) | 2017-11-02 |
JP6391823B2 true JP6391823B2 (ja) | 2018-09-19 |
Family
ID=55856494
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017523331A Active JP6391823B2 (ja) | 2014-10-31 | 2015-03-12 | Rdpデータ収集装置及び方法 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP3203700A4 (ja) |
JP (1) | JP6391823B2 (ja) |
CN (1) | CN105592121B (ja) |
WO (1) | WO2016065787A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102326296B1 (ko) * | 2020-11-06 | 2021-11-15 | (주)시스코프 | Rdp 활용시 접근제어 방법, 접근제어 서버 및 접근제어 시스템 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107786609A (zh) * | 2016-08-30 | 2018-03-09 | 中国科学院声学研究所 | 一种远程桌面协议的采集回放系统及方法 |
CN109286598B (zh) * | 2017-07-20 | 2020-12-01 | 中国科学院声学研究所 | 一种tls通道加密的rdp协议明文数据采集系统及方法 |
CN110650014B (zh) * | 2019-08-16 | 2022-08-05 | 威富通科技有限公司 | 一种基于hessian协议的签名认证方法、系统、设备及存储介质 |
CN112491602B (zh) * | 2020-11-17 | 2023-09-26 | 中国平安财产保险股份有限公司 | 行为数据的监控方法、装置、计算机设备及介质 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006279938A (ja) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | 暗号通信復号装置 |
JP4649253B2 (ja) * | 2005-03-30 | 2011-03-09 | 株式会社野村総合研究所 | ログ取得プログラムおよび方法 |
US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
US9009219B2 (en) * | 2010-01-27 | 2015-04-14 | Vmware, Inc. | Native viewer use for service results from a remote desktop |
CN101848214B (zh) * | 2010-04-30 | 2012-10-03 | 德讯科技股份有限公司 | 基于rdp审计数据的任意定位回放方法及系统 |
CN102215265B (zh) * | 2011-06-14 | 2013-12-18 | 杭州思福迪信息技术有限公司 | 实现远程虚拟桌面访问统一管理和监控的系统及方法 |
CN102223368B (zh) * | 2011-06-14 | 2014-05-21 | 杭州思福迪信息技术有限公司 | 在远程桌面传输协议监控时实现操作识别的系统及方法 |
JP5655191B2 (ja) * | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
CN102571773B (zh) * | 2011-12-27 | 2017-04-12 | 浙江省电力公司 | 一种信息安全综合审计系统和方法 |
US10091239B2 (en) * | 2012-01-24 | 2018-10-02 | Ssh Communications Security Oyj | Auditing and policy control at SSH endpoints |
CN103365655A (zh) * | 2013-06-20 | 2013-10-23 | 广州赛姆科技资讯有限公司 | 安全监察系统操作轨迹记录方法 |
CN103401872B (zh) * | 2013-08-05 | 2016-12-28 | 北京工业大学 | 基于rdp改进协议的防止和检测中间人攻击的方法 |
CN103973781B (zh) * | 2014-04-29 | 2018-12-28 | 上海上讯信息技术股份有限公司 | 一种基于代理服务器的屏幕监控方法及其系统 |
-
2014
- 2014-10-31 CN CN201410601734.5A patent/CN105592121B/zh active Active
-
2015
- 2015-03-12 JP JP2017523331A patent/JP6391823B2/ja active Active
- 2015-03-12 EP EP15854818.0A patent/EP3203700A4/en not_active Withdrawn
- 2015-03-12 WO PCT/CN2015/074083 patent/WO2016065787A1/zh active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102326296B1 (ko) * | 2020-11-06 | 2021-11-15 | (주)시스코프 | Rdp 활용시 접근제어 방법, 접근제어 서버 및 접근제어 시스템 |
Also Published As
Publication number | Publication date |
---|---|
EP3203700A1 (en) | 2017-08-09 |
JP2017532916A (ja) | 2017-11-02 |
WO2016065787A1 (zh) | 2016-05-06 |
EP3203700A4 (en) | 2017-10-18 |
CN105592121A (zh) | 2016-05-18 |
CN105592121B (zh) | 2018-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106713320B (zh) | 终端数据传输的方法和装置 | |
JP6391823B2 (ja) | Rdpデータ収集装置及び方法 | |
Pereira et al. | The ESP CBC-mode cipher algorithms | |
US8873746B2 (en) | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes | |
CN101321057B (zh) | 基于Web服务的电子公文安全传输方法 | |
CN105471584A (zh) | 一种基于量子密钥加密的身份认证方法 | |
CN112400299B (zh) | 一种数据交互方法及相关设备 | |
US8281122B2 (en) | Generation and/or reception, at least in part, of packet including encrypted payload | |
CN109472130A (zh) | Linux密码管理方法、中控机、可读存储介质 | |
WO2015014136A1 (zh) | 一种通用虚拟数据加密存储系统 | |
JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
CN113225352A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
US8010787B2 (en) | Communication device, communication log transmitting method suitable for communication device, and communication system | |
CN109274646A (zh) | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 | |
KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
CN112989320B (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
CN105743868A (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
CN107222473B (zh) | 在传输层对api服务数据进行加解密的方法及系统 | |
CN100596350C (zh) | 工业控制数据的加密解密方法 | |
CN109286598B (zh) | 一种tls通道加密的rdp协议明文数据采集系统及方法 | |
KR20120043364A (ko) | 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비 및 고성능 네트워크 데이터 처리방법 | |
CN114785421A (zh) | 一种基于量子加密的im离线消息处理方法 | |
CN205510107U (zh) | 一种网络安全通信装置 | |
CN102098293B (zh) | 加密邮件的预览方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170628 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180719 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180821 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6391823 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |