JP6391823B2 - Rdpデータ収集装置及び方法 - Google Patents
Rdpデータ収集装置及び方法 Download PDFInfo
- Publication number
- JP6391823B2 JP6391823B2 JP2017523331A JP2017523331A JP6391823B2 JP 6391823 B2 JP6391823 B2 JP 6391823B2 JP 2017523331 A JP2017523331 A JP 2017523331A JP 2017523331 A JP2017523331 A JP 2017523331A JP 6391823 B2 JP6391823 B2 JP 6391823B2
- Authority
- JP
- Japan
- Prior art keywords
- rdp
- data
- server
- client
- processing module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013480 data collection Methods 0.000 title claims description 40
- 238000000034 method Methods 0.000 title claims description 15
- 238000012545 processing Methods 0.000 claims description 59
- 238000012546 transfer Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 8
- 230000009471 action Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 3
- 238000012550 audit Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000006854 communication Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000008521 reorganization Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000005204 segregation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明はネットワーク通信分野に関して、特にRDPデータ収集装置及び方法に関する。
RDP(Remote Desktop Protocol、リモートデスクトッププロトコル)はマイクロソフト社により提案された通信プロトコルであり、主にWindowsオペレーティングシステムでのマルチユーザーモードを実現し、Windows端末サーバーで作動しているアプリケーションプログラムにリモートアクセスして、アプリケーションのロジック実行をユーザーインターフェースから分離して行う。
サーバー側は、ビデオドライバー説明(description)を使用することによって出力を表示し、説明情報を、RDPプロトコルを使用するネットワークデータパケットに載せて、ネットワーク経由でクライアントに送信する。クライアントでは、ビデオドライバーは、説明情報を受信し、処理して表示する。入力プロセスにおいては、クライアントのマウス及びキーボードメッセージをクライアントから直接にサーバー側に送信し、サーバー側では、RDPは自分のバーチャルマウス及びキーボードドライバーを使用してこれらのマウス及びキーボードイベントを受信する。
現在のネットワーク情報セキュリティ業界において次第に一般に認識されつつある1つの事実として、セキュリティイベントによる損失の原因のうち、75%以上は内部職員の不正アクセス、乱用、及び誤操作等内部からのものである。これらの内部からのセキュリティ脅威が効果的に制御されない原因を分析すると、例えば監査システムが効果的に働かないか全く働かないこと、完全なアクセス認可メカニズムを有していないこと、完全な職務分掌メカニズムを備えていないこと、職員セキュリティの意識及び技能が不足していること等が主な原因であることが分かる。そして、信頼性のある完全な監査システムがないことが、現在に広く存在する、最も深刻かつ重要な根本的原因であり、真剣に検討して対処する必要がある。
監査システムは、重要な情報システムに発生する様々なセッション及びイベントを記録するのに役立ち、この重要な情報システムとしては、ネットワークにおけるもの、ホストコンピューターオペレーティングシステムにおけるもの及び、アプリケーションシステムにおけるものも含む。これらの監査情報は情報システムの動作の基本的な軌跡を反映するので、管理者及び監査者にとって、情報システムの運用が法律や法規の規定及び組織のセキュリティ方針に適合するか否かをチェックすることが容易になる。また、情報システムに故障及びセキュリティ事故が発生した際に、調査官はこれらの重要な監査情報を航空機の「ブラックボックス」のように用いて、イベントの後の情報を深く探り、イベント過程を再構成して、イベントの原因を分析して完全に特定し、さらなる措置を実施して損失の再度の発生を防ぐことができる。
監査システムは、監査する前に、監査用の基本データを提供するデータ収集装置を必要とする。図1に示すように、既存技術におけるRDPデータ収集装置は、作動する際に、サーバー及びクライアントのそれぞれに1つのTCP接続を確立する必要があり、その後にデータ収集、RDP暗号解読、RDP平文ログを生成する等の操作を行う。該装置は、作動する際に長時間に渡ってTCP接続の情報を維持する必要があり、システムリソースのオーバーヘッド(負荷)が大きい。
本発明は、既存技術におけるRDPデータ収集装置が長時間に渡ってTCP接続の情報を維持する必要がありシステムリソースのオーバーヘッドが大きいという欠陥を克服するために、時間オーバーヘッド及びシステムリソースのオーバーヘッドの両方が小さいなRDPデータ収集装置を提供することを目的とする。
上記の目的を実現するために、本発明はRDPデータ収集装置を提供する。このRDPデータ収集装置は、IPデータ転送モジュールと、RDP処理モジュールと、RDPログ生成モジュールとを備え、前記IPデータ転送モジュールは、ネットワークにおけるデータパケットを受信し、該データパケットを処理して転送する機能を有し、前記RDP処理モジュールは、RDPセッションデータのトランスポート処理における暗号化キー情報を取得して、暗号文データを暗号解読する機能を有し、前記RDPログ生成モジュールは、特定のルール及びデータフォーマットに従ってRDPセッションのログを生成する。
上記の技術的解決手段において、前記IPデータ転送モジュールは、ネットワークにおけるデータメッセージを受信した後に、IPパケットを再編成して、TCPパケットを再編成し、データパケットが再送パケットである場合に、TCP再送処理を行い、パケットのカテゴリを判断し、RDPデータパケットである場合には、RDPデータパケットをRDP処理モジュールに渡し、RDP処理モジュールによる処理が完了した後に、RDP処理モジュールからRDPデータパケットを受け取って、再びネットワークに転送し、一方、RDPデータパケットではない場合には、直接ネットワークに転送する。
上記の技術的解決手段において、前記RDP処理モジュールがRDPデータパケットに対して行う処理は、RDP接続認証段階とRDPデータトランスポート段階とを含み、
前記RDP接続認証段階において、前記RDP処理モジュールは、サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、且つクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得し、前記RDP処理モジュールは更にアイデンティティ認証処理を実施し、
前記RDPデータトランスポート段階において、前記RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読し、次に、暗号解読後のデータをRDPログモジュールに渡してRDPログを生成する。
前記RDP接続認証段階において、前記RDP処理モジュールは、サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、且つクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得し、前記RDP処理モジュールは更にアイデンティティ認証処理を実施し、
前記RDPデータトランスポート段階において、前記RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読し、次に、暗号解読後のデータをRDPログモジュールに渡してRDPログを生成する。
上記の技術的解決手段において、前記RDP処理モジュールがサーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替えることは、
RDPサーバーがクライアントに送信したサーバーRSA公開鍵を抽出して、該サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、取り替えられたサーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定の1つのフォーマットに記憶し、前記サーバーRSA公開鍵の情報が前記X.509証明書に記憶されると、ルート証明書を取り替える。
RDPサーバーがクライアントに送信したサーバーRSA公開鍵を抽出して、該サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、取り替えられたサーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定の1つのフォーマットに記憶し、前記サーバーRSA公開鍵の情報が前記X.509証明書に記憶されると、ルート証明書を取り替える。
上記の技術的解決手段において、前記RDP処理モジュールがクライアントランダムな文字列及びサーバーランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することは、
RDPサーバーがクライアントに送信した暗号化キーネゴシエーションのサーバーランダムな文字列情報を抽出して、クライアントに送信することと、
RDPクライアントがサーバーに送信した暗号化キーネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出し、そしてサーバーのRSA公開鍵により暗号化して、暗号化したクライアントのランダムな文字列情報をサーバーに送信することと、
前記クライアントのランダムな文字列及びサーバーのランダムな文字列によりネゴシエーションを行って、データトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することとを含む。
RDPサーバーがクライアントに送信した暗号化キーネゴシエーションのサーバーランダムな文字列情報を抽出して、クライアントに送信することと、
RDPクライアントがサーバーに送信した暗号化キーネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出し、そしてサーバーのRSA公開鍵により暗号化して、暗号化したクライアントのランダムな文字列情報をサーバーに送信することと、
前記クライアントのランダムな文字列及びサーバーのランダムな文字列によりネゴシエーションを行って、データトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することとを含む。
上記の技術的解決手段において、前記アイデンティティ認証処理は、RDPクライアントがサーバーに送信したアイデンティティ認証情報フィールドを抽出して、RDPデータ収集装置の秘密鍵により暗号解読を行い、そしてサーバーのRSA公開鍵により暗号化した後にサーバーに送信することを含む操作により実施される。
上記の技術的解決手段において、前記RDPログ生成モジュールは、RDP処理モジュールから受け取ったデータに基づき、クライアント操作-サーバー応答モードに従って、ユーザの1回の完全な行為を特定のデータフォーマットで1本のログに記録する。
上記の技術的解決手段において、前記ログのデータフォーマットは、1バイトのログマーク開始ビットと、4バイトのログ長さ情報と、nバイトのデータと、1バイトのログマーク終了ビットとを含み、
前記nバイトのデータの内容は、「タイプ-長さ-数値」のフォーマットを使用し、その中の1バイトはタイプを示し、4バイトは数値長さを示し、mバイトは数値を示し、前記タイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータとを含む。
前記nバイトのデータの内容は、「タイプ-長さ-数値」のフォーマットを使用し、その中の1バイトはタイプを示し、4バイトは数値長さを示し、mバイトは数値を示し、前記タイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータとを含む。
本発明の利点は以下の通りであり、
まず、本発明のRDPデータ収集装置は、データを収集する時にTCP/IPプロトコルスタックの全ての機能を使用するのではなく、TCP/IPプロトコルスタックにおける一部の機能、すなわち、IP再編成、TCP再編成及びTCP再送の機能のみを使用し、大幅にデータパケット受信転送処理を簡単化して、処理時間オーバーヘッドを低減することができる。
まず、本発明のRDPデータ収集装置は、データを収集する時にTCP/IPプロトコルスタックの全ての機能を使用するのではなく、TCP/IPプロトコルスタックにおける一部の機能、すなわち、IP再編成、TCP再編成及びTCP再送の機能のみを使用し、大幅にデータパケット受信転送処理を簡単化して、処理時間オーバーヘッドを低減することができる。
次に、本発明のRDPデータ収集装置は、クライアント及びサーバーのいずれに対してもTCP接続を確立しないので、TCP接続の情報を維持する必要がなく、システムリソースのオーバーヘッドを節約することができる。
さらに、生成したRDPログによって、管理者及び監査者はユーザが行ったRDPログイン及び操作が法律や法規の規定及び組織のセキュリティ方針に適合するか否かをチェックすることが容易になり、故障及びセキュリティ事故が発生した際に、調査官は生成したRDPログによって、そのイベントを深く探り、イベント過程を再構成して、イベントの原因を分析して完全に特定し、さらなる措置を実施して故障及びセキュリティ事故生を避けることができる。
以下、図面を参照して本発明を更に説明する。
図2に示すように、本発明のRDPデータ収集装置は、クライアントとサーバーとの間に位置して、RDPセッションメッセージをデータ収集して、RDPセッションログを生成することができ、監査に用いられる。本発明のRDPデータ収集装置は、TCP/IPプロトコルスタックを採用せずに、データ収集過程において、直接ネットワーク層においてトランスポート層(TCP)及びアプリケーション層(各種のプロトコル)のデータメッセージを処理する。
図3に示すように、本発明のRDPデータ収集装置は、IPデータ転送モジュールと、RDP処理モジュールと、RDPログ生成モジュールとを備える。前記IPデータ転送モジュールは、ネットワークにおけるデータパケットを受信し、該データパケットを処理して転送する機能を有し、前記RDP処理モジュールは、RDPセッションデータトランスポート過程における暗号化キー情報を取得して、暗号文データを暗号解読する機能を有し、前記RDPログ生成モジュールは、特定のルール及びデータフォーマットに基づいてRDPセッションログを生成する。
以下、図4を参照して本発明のRDPデータ収集装置における各モジュールを更に詳しく説明する。
前記IPデータ転送モジュールは、ネットワークにおけるデータメッセージを受信した後に、IPパケットを再編成して、TCPパケットを再編成し、データパケットが再送パケットである場合に、TCP再送処理を行い、パケットのカテゴリを判断し、RDPデータパケットである場合には、RDPデータパケットをRDP処理モジュールに渡し、RDP処理モジュールによる処理が完了した後に、RDP処理モジュールからRDPデータパケットを受け取って、再びネットワークに転送し、一方、RDPデータパケットではない場合には、直接ネットワークに転送する。
前記RDP処理モジュールがRDPデータパケットに対して行う処理は、RDP接続認証段階及びRDPデータトランスポート段階に分けられる。
RDP接続認証段階において、RDP処理モジュールは、主に暗号化キーを取得するタスク、及びアイデンティティ認証処理の二つのタスクを実施する。
RDP処理モジュールは、以下の操作によって暗号化キーを取得する。即ち、RDPサーバーがクライアントに送信した暗号化キーのネゴシエーションのためのサーバーのランダムな文字列情報及びRSA公開鍵を抽出し、そのうちサーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、このRDPデータ収集装置のRSA公開鍵及びサーバーのランダムな文字列情報をいずれもクライアントに転送し、取り替えられたサーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定のある特別なフォーマットに記憶する。サーバーRSA公開鍵の情報がX.509証明書に記憶される場合には、公開鍵を取り替えた後に、クライアントはサーバーアイデンティティの検証を満たすように、ルート証明書を取り替える必要があり、RDP処理モジュールは、RDPクライアントがサーバーに送信した暗号化キーのネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出する。そしてサーバーのRSA公開鍵により暗号化して、暗号化したクライアントのランダムな文字列情報をサーバーに送信する。RDP処理モジュールの上記操作によって、サーバー、クライアント、RDPデータ収集装置のRDP処理モジュールは、いずれもクライアントのランダムな文字列及びサーバーのランダムな文字列を有して、クライアントのランダムな文字列とサーバーのランダムな文字列を利用してネゴシエーションを行い、データトランスポート段階のクライアント及びサーバーのRC4暗号化キーを取得することができる。
RDP処理モジュールは、以下の操作によってアイデンティティ認証処理を実施する。すなわち、RDPクライアントがサーバーに送信したアイデンティティ認証情報フィールドを抽出し、RDPデータ収集装置の秘密鍵により暗号解読を行い、そしてサーバーのRSA公開鍵により暗号化した後にサーバーに送信する。
RDP処理モジュールは、上記のRSA公開鍵への取り替え及びアイデンティティ認証処理を行ったRDPデータパケットをIPデータ転送モジュールに渡して転送する。RDP処理モジュールは、暗号化キーの取得及びアイデンティティ認証処理操作において、いずれもパケットの修正に関わることがあるため、修正後のパケットメッセージ認証コードを改めて計算する必要がある。
RDPデータトランスポート段階において、RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読して、次に、暗号解読後のデータをRDPログ生成モジュールに渡してRDPログを生成する。
前記RDPログ生成モジュールは、RDP処理モジュールから受け取ったデータに基づき、クライアント操作-サーバー応答モードに従って、ユーザの1回の完全な行為を1本のログに記録する。本実施例において、ログフォーマットの内容は、1バイトのログマーク開始ビットと、4バイトのログ長さ情報と、nバイトのデータと、1バイトのログマーク終了ビットとを含む。nバイトデータの内容はTLV(Type-Length-Value)、1バイトのType情報と、4バイトの数値長さ情報と、mバイトの数値を含む。データのタイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータ等とを含む。生成されたRDPログはローカルキャッシュ(ローカルキャッシュデータを必要とする際に監査部門に導出して監査することができる)することができ、専門の監査システムに直接的に送信して監査することもできる。
図5及び図1を比較すると、本発明のRDPデータ収集装置は、クライアント又はサーバーとTCP接続を確立しないため、該RDPデータ収集装置はスマートスイッチに相当して、TCP接続の情報を維持する必要がなく、効果的にシステムリソースのオーバーヘッドを節約することができる。
以上の実施例は本発明の技術的解決手段を説明するためのものであり、制限するためのものではない。実施例を参照して本発明を詳細的に説明したが、当業者は、本発明の技術的解決手段に対する修正や均等な取り替えは、本発明の技術的解決手段の精神及び範囲を逸脱するものではなく、本発明の請求項の範囲に含まれることを理解すべきである。
Claims (7)
- IPデータ転送モジュールと、RDP処理モジュールと、RDPログ生成モジュールとを備えるRDPデータ収集装置であって、
前記IPデータ転送モジュールは、ネットワークにおけるデータパケットを受信し、該データパケットを処理して転送する機能を有し、
前記RDP処理モジュールは、RDPセッションデータのトランスポート処理における暗号化キー情報を取得して、暗号文データを暗号解読する機能を有し、
前記RDPログ生成モジュールは、特定のルール及びデータフォーマットに従ってRDPセッションのログを生成し、
前記RDP処理モジュールがRDPデータパケットに対して行う処理は、RDP接続認証段階とRDPデータトランスポート段階とを含み、
前記RDP接続認証段階において、前記RDP処理モジュールは、サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、且つクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得し、前記RDP処理モジュールは更にアイデンティティ認証処理を実施し、
前記RDPデータトランスポート段階において、前記RDP処理モジュールは、受信したRDPデータパケットの1通のデータをコピーし、生データを変更せずに直接IPデータ転送モジュールに渡して転送し、コピーしたデータをRC4暗号化キーによって暗号解読し、次に、暗号解読後のデータを前記RDPログ生成モジュールに渡してRDPログを生成する、ことを特徴とするRDPデータ収集装置。 - 前記IPデータ転送モジュールは、
ネットワークにおけるデータメッセージを受信した後に、IPパケットを再編成して、TCPパケットを再編成し、データパケットが再送パケットである場合には、TCP再送処理を行い、
パケットのカテゴリを判断し、RDPデータパケットである場合には、該RDPデータパケットを前記RDP処理モジュールに渡し、前記RDP処理モジュールによる処理が完了した後に、前記RDP処理モジュールから前記RDPデータパケットを受け取って、再びネットワークに転送し、一方、RDPデータパケットではない場合には、直接ネットワークに転送することを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDP処理モジュールがサーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替えることは、
RDPサーバーがクライアントに送信したサーバーRSA公開鍵を抽出して、該サーバーRSA公開鍵をRDPデータ収集装置のRSA公開鍵に取り替え、取り替えられた前記サーバーRSA公開鍵の情報をX.509証明書に記憶し、或いはRDPの所定の1つのフォーマットに記憶し、前記サーバーRSA公開鍵の情報が前記X.509証明書に記憶されると、ルート証明書を取り替えることを含むことを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDP処理モジュールがクライアントのランダムな文字列及びサーバーのランダムな文字列を利用してネゴシエーションを行ってデータトランスポート段階に用いられるクライアント及びサーバーのRC4暗号化キーを取得することは、
RDPサーバーがクライアントに送信した暗号化キーネゴシエーションのためのサーバーのランダムな文字列情報を抽出して、前記クライアントに送信することと、
RDPクライアントがサーバーに送信した暗号化キーネゴシエーションのための暗号化したランダムな文字列情報を抽出して、RDPデータ収集装置の秘密鍵により暗号解読してクライアントのランダムな文字列を抽出し、そして前記サーバーのRSA公開鍵により暗号化して、暗号化した前記クライアントのランダムな文字列情報を前記サーバーに送信することと、
前記クライアントのランダムな文字列及び前記サーバーのランダムな文字列によりネゴシエーションを行って、データトランスポート段階に用いられる前記クライアント及び前記サーバーのRC4暗号化キーを取得することと、
を含むことを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記アイデンティティ認証処理は、
RDPクライアントがサーバーに送信したアイデンティティ認証情報フィールドを抽出して、RDPデータ収集装置の秘密鍵により暗号解読を行い、そして前記サーバーのRSA公開鍵により暗号化した後に前記サーバーに送信することを含む操作により実施されることを特徴とする請求項1に記載のRDPデータ収集装置。 - 前記RDPログ生成モジュールは、前記RDP処理モジュールから受け取ったデータに基づき、クライアント操作-サーバー応答モードに従って、ユーザの1回の完全な行為を特定のデータフォーマットで1本のログに記録することを特徴とする請求項1に記載のRDPデータ収集装置。
- 前記ログのデータフォーマットは、1バイトのログマーク開始ビットと、4バイトのログ長さ情報と、nバイトのデータと、1バイトのログマーク終了ビットとを含み、
前記nバイトのデータの内容は、「タイプ-長さ-数値」のフォーマットを使用し、その中の1バイトはタイプを示し、4バイトは数値長さを示し、mバイトは数値を示し、前記タイプは、ログイン時間と、クライアントポート番号と、クライアントIPアドレスと、サーバー側ポート番号と、サーバーIPアドレスと、データIDと、セッションIDと、ドメイン名と、ログイン名称と、ログインパスワードと、抽出したデータタイプと、抽出したデータとを含む、ことを特徴とする請求項6に記載のRDPデータ収集装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410601734.5 | 2014-10-31 | ||
| CN201410601734.5A CN105592121B (zh) | 2014-10-31 | 2014-10-31 | 一种rdp数据采集装置及方法 |
| PCT/CN2015/074083 WO2016065787A1 (zh) | 2014-10-31 | 2015-03-12 | 一种rdp数据采集装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017532916A JP2017532916A (ja) | 2017-11-02 |
| JP6391823B2 true JP6391823B2 (ja) | 2018-09-19 |
Family
ID=55856494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017523331A Active JP6391823B2 (ja) | 2014-10-31 | 2015-03-12 | Rdpデータ収集装置及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP3203700A4 (ja) |
| JP (1) | JP6391823B2 (ja) |
| CN (1) | CN105592121B (ja) |
| WO (1) | WO2016065787A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102326296B1 (ko) * | 2020-11-06 | 2021-11-15 | (주)시스코프 | Rdp 활용시 접근제어 방법, 접근제어 서버 및 접근제어 시스템 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786609A (zh) * | 2016-08-30 | 2018-03-09 | 中国科学院声学研究所 | 一种远程桌面协议的采集回放系统及方法 |
| CN109286598B (zh) * | 2017-07-20 | 2020-12-01 | 中国科学院声学研究所 | 一种tls通道加密的rdp协议明文数据采集系统及方法 |
| CN110650014B (zh) * | 2019-08-16 | 2022-08-05 | 威富通科技有限公司 | 一种基于hessian协议的签名认证方法、系统、设备及存储介质 |
| CN112491602B (zh) * | 2020-11-17 | 2023-09-26 | 中国平安财产保险股份有限公司 | 行为数据的监控方法、装置、计算机设备及介质 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006279938A (ja) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | 暗号通信復号装置 |
| JP4649253B2 (ja) * | 2005-03-30 | 2011-03-09 | 株式会社野村総合研究所 | ログ取得プログラムおよび方法 |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| US9009219B2 (en) * | 2010-01-27 | 2015-04-14 | Vmware, Inc. | Native viewer use for service results from a remote desktop |
| CN101848214B (zh) * | 2010-04-30 | 2012-10-03 | 德讯科技股份有限公司 | 基于rdp审计数据的任意定位回放方法及系统 |
| CN102215265B (zh) * | 2011-06-14 | 2013-12-18 | 杭州思福迪信息技术有限公司 | 实现远程虚拟桌面访问统一管理和监控的系统及方法 |
| CN102223368B (zh) * | 2011-06-14 | 2014-05-21 | 杭州思福迪信息技术有限公司 | 在远程桌面传输协议监控时实现操作识别的系统及方法 |
| JP5655191B2 (ja) * | 2011-06-28 | 2015-01-21 | 日本電信電話株式会社 | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム |
| CN102571773B (zh) * | 2011-12-27 | 2017-04-12 | 浙江省电力公司 | 一种信息安全综合审计系统和方法 |
| US10091239B2 (en) * | 2012-01-24 | 2018-10-02 | Ssh Communications Security Oyj | Auditing and policy control at SSH endpoints |
| CN103365655A (zh) * | 2013-06-20 | 2013-10-23 | 广州赛姆科技资讯有限公司 | 安全监察系统操作轨迹记录方法 |
| CN103401872B (zh) * | 2013-08-05 | 2016-12-28 | 北京工业大学 | 基于rdp改进协议的防止和检测中间人攻击的方法 |
| CN103973781B (zh) * | 2014-04-29 | 2018-12-28 | 上海上讯信息技术股份有限公司 | 一种基于代理服务器的屏幕监控方法及其系统 |
-
2014
- 2014-10-31 CN CN201410601734.5A patent/CN105592121B/zh active Active
-
2015
- 2015-03-12 JP JP2017523331A patent/JP6391823B2/ja active Active
- 2015-03-12 EP EP15854818.0A patent/EP3203700A4/en not_active Withdrawn
- 2015-03-12 WO PCT/CN2015/074083 patent/WO2016065787A1/zh active Application Filing
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102326296B1 (ko) * | 2020-11-06 | 2021-11-15 | (주)시스코프 | Rdp 활용시 접근제어 방법, 접근제어 서버 및 접근제어 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3203700A1 (en) | 2017-08-09 |
| JP2017532916A (ja) | 2017-11-02 |
| WO2016065787A1 (zh) | 2016-05-06 |
| EP3203700A4 (en) | 2017-10-18 |
| CN105592121A (zh) | 2016-05-18 |
| CN105592121B (zh) | 2018-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106713320B (zh) | 终端数据传输的方法和装置 | |
| JP6391823B2 (ja) | Rdpデータ収集装置及び方法 | |
| Pereira et al. | The ESP CBC-mode cipher algorithms | |
| US8873746B2 (en) | Establishing, at least in part, secure communication channel between nodes so as to permit inspection, at least in part, of encrypted communication carried out, at least in part, between the nodes | |
| CN101321057B (zh) | 基于Web服务的电子公文安全传输方法 | |
| CN105471584A (zh) | 一种基于量子密钥加密的身份认证方法 | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| US8281122B2 (en) | Generation and/or reception, at least in part, of packet including encrypted payload | |
| CN109472130A (zh) | Linux密码管理方法、中控机、可读存储介质 | |
| WO2015014136A1 (zh) | 一种通用虚拟数据加密存储系统 | |
| JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
| CN113225352A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| US8010787B2 (en) | Communication device, communication log transmitting method suitable for communication device, and communication system | |
| CN109274646A (zh) | 基于kmip协议的密钥管理客户端服务端方法和系统及介质 | |
| KR101448866B1 (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| CN112989320B (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
| CN105743868A (zh) | 一种支持加密和非加密协议的数据采集系统与方法 | |
| CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
| CN107222473B (zh) | 在传输层对api服务数据进行加解密的方法及系统 | |
| CN100596350C (zh) | 工业控制数据的加密解密方法 | |
| CN109286598B (zh) | 一种tls通道加密的rdp协议明文数据采集系统及方法 | |
| KR20120043364A (ko) | 에스에스엘/티엘에스 트래픽의 다중 복호화 구성에 따른 고성능 네트워크장비 및 고성능 네트워크 데이터 처리방법 | |
| CN114785421A (zh) | 一种基于量子加密的im离线消息处理方法 | |
| CN205510107U (zh) | 一种网络安全通信装置 | |
| CN102098293B (zh) | 加密邮件的预览方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170628 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180719 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180807 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180821 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6391823 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |