一种基于国密TLS的VNC远程安全通信方法技术

本发明专利技术公开了一种基于国密TLS的VNC远程安全通信方法，其包括对TLS协议进行过国密算法适配；对VNC进行国密算法适配；进入握手请求阶段，判断服务端支持的版本号与客户端发送的版本号是否兼容；进入协商阶段，确定服务端与客户端连接的安全类型；进入TLS密钥认证阶段，判断服务端发送给客户端的随机数与服务端通过SM2算法解密获得的随机数是否一致；进入初始化阶段，客户端发送ClientInit初始化信息给服务端，服务端返回ServerInit初始化信息；进入交互阶段，客户端的操作指令发送给服务端。本发明专利技术通过在VNC远程控制的基础上使用基于国密的TLS加密，提高安全传输服务和远程访问服务，确保远程控制过程中鼠标键盘等操作指令传输和结果显示的安全性。输和结果显示的安全性。输和结果显示的安全性。

【技术实现步骤摘要】
一种基于国密TLS的VNC远程安全通信方法


[0001]本专利技术涉及网络安全
，尤其是涉及一种基于国密TLS的VNC远程安全通信方法。

技术介绍

[0002]在计算机和网络技术日新月异的新年代，网络技术的不断创新使人们的办公地点不再局限于公司大楼的办公桌。远程桌面的兴起使企业办公可以实现异地化，下班在家或出差在外是随时远程登录公司个人电脑进行一系列操作，特别多的使用在于IT运维人员通过远程桌面来管理服务器。
[0003]目前常用的远程桌面协议有SPICE、RDP、VNC中的RFB三种。其中，VNC中的RFB协议适用于windows系统和Linux图形桌面系统，消耗网络流量较小，常用100K左右。VNC是由AT&T实验室所开发的，其采用GPL(General Public License)授权条款，任何人都可免费取得该软件。VNC软件要由两个部分组成：VNC server及VNC viewer。用户需先将VNC server安装在被远程操控的计算机上后，才能在主控端执行VNC viewer进行远程操控。VNC采用RFB通信协议，RFB(remote帧缓存)是一个远程图形用户的简单协议，因为它工作在帧缓存级别上，所以它可以应用于所有的窗口系统，用途非常广泛。
[0004]RFB协议有个漏洞就是允许客户端和服务端协商认证方法，中间人可以绕过认证选择无口令的方式远程访问服务端。例如VNC支持的安全类型有None认证(无需密码)，协议使用明文发送；VNC认证，协议数据采用明文，服务端发送16为DES加密的随机数；TLS认证，使用TLS协议认证加密后传输协议数据。假如服务端发送所支持的全部安全类型，中间人强制客户端从中选择安全类型为None认证发送给服务端，这样便可以轻松伪造客户端访问服务端，进而降低了安全传输服务及远程访问服务的安全性能。
[0005]另外，传统的TLS认证采用国际通用的RSA算法进行加密，随着计算机运行速度的提高，RSA算法的安全性受到了严重威胁，VNC支持的TLS认证更易被解密。

技术实现思路

[0006]基于此，本专利技术的目的在于提供一种基于国密TLS的VNC远程安全通信方法，提高安全传输服务和远程访问服务，确保远程控制过程中鼠标键盘等操作命令传输和结果显示的安全性。
[0007]为解决上述技术问题，本专利技术采用以下技术方案：
[0008]本专利技术提供了一种基于国密TLS的VNC远程安全通信方法，其包括如下步骤：
[0009]步骤S110、对TLS协议进行过国密算法适配，将国密算法融入TLS协议中进行安全通信；
[0010]步骤S120、对VNC进行国密算法适配，将国密算法融入到VNC中进行安全通信；
[0011]步骤S130、进入握手请求阶段，判断服务端支持的版本号与客户端发送的版本号是否兼容，若否，则断开服务端与客户端的连接；若是，则执行步骤S140；
[0012]步骤S140、进入协商阶段，确定服务端与客户端连接的安全类型；
[0013]步骤S150、进入TLS密钥认证阶段，判断服务端发送给客户端的随机数与服务端通过SM2算法解密获得的随机数是否一致；若否，则关闭服务端与客户端的连接；若是，则执行步骤S160；
[0014]步骤S160、进入初始化阶段，客户端发送ClientInit初始化信息给服务端，服务端返回ServerInit初始化信息；
[0015]步骤S170、进入交互阶段，客户端的操作指令发送给服务端，控制服务端进行相应的操作和结果显示。
[0016]在其中一个实施例中，所述步骤S130的方法，包括：
[0017]服务端向客户端发送版本协议信息；
[0018]客户端接收版本协议信息后，随机发送客户端的其中一个版本号与服务端进行协商；
[0019]判断服务端支持的版本号与客户端发送的版本号是否兼容，若否，则断开服务端与客户端的连接；若是，则执行步骤S140；其中，所述版本号为加入GM前缀的版本号。
[0020]在其中一个实施例中，所述步骤S140中的安全类型为TLS认证，所述TLS认证为国密算法融入TLS协议中后的国密TLS认证。
[0021]在其中一个实施例中，所述步骤S140的方法，具体操作包括：
[0022]服务端发送指定TLS认证信息给客户端，通知客户端用TLS加密的方式进行认证；
[0023]客户端接收指定TLS认证信息后，发送安全类型为TLS认证的返回信息给服务端，实现协商阶段操作。
[0024]在其中一个实施例中，所述TLS加密的方式是基于国产密码套件SM2
‑
SM3
‑
SM4实现的TLS加密。
[0025]在其中一个实施例中，所述步骤S150的方法，具体操作包括：
[0026]进入TLS密钥认证阶段，服务端发送随机数信息发送给客户端；
[0027]客户端通过TLS加密随机数并使用VNC连接密码作为密钥经加密处理生成返回消息发送给服务端；
[0028]服务端通过SM2算法对返回消息进行解密得到另一随机数；
[0029]判断服务端发送给客户端的随机数与服务端通过SM2算法解密获得的随机数是否一致；若否，则关闭服务端与客户端的连接；若是，则执行步骤S160。
[0030]在其中一个实施例中，所述VNC连接密码为访问服务端时客户端被要求输入的密码。
[0031]在其中一个实施例中，所述步骤S150中进入TLS密钥认证阶段的方法，具体操作包括：
[0032]申请认证；
[0033]审核信息；
[0034]签发证书；
[0035]TLS握手；
[0036]服务端发送证书；
[0037]服务端证书校验；
[0038]密钥协商；客户端发送随机数字并用证书公钥加密发送给服务端，并得到协商密钥，其中，协商密钥的生成通过SM2签名算法计算获得，协商密钥通过SM2签名算法计算时使用的参数包括哈希的随机数加上加密证书和证书的长度。
[0039]在其中一个实施例中，所述步骤TLS握手的方法，具体操作包括：
[0040]客户端向服务端发送Client Hello信息，其中，Client Hello信息包含产生的随机数random_c以及客户端支持的加密算法，加密算法包括国产密码套件SM2
‑
SM3
‑
SM4；服务端接收Client Hello信息后，通过服务端支持的SM2
‑
SM3
‑
SM4算法得到随机数ramdom_s，并返回Server Hello信息给客户端，完成TLS握手操作。
[0041]在其中一个实施例中，所述服务端证书校验的方法，具体操作包括：
[0042]客户端读取服务端发送的证书中的明文信息，采用SM3散列函数计算得到证书的信息摘要，然后利用客户端信任的CA机构的SM2公钥解本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国密TLS的VNC远程安全通信方法，其特征在于，包括如下步骤：步骤S110、对TLS协议进行过国密算法适配，将国密算法融入TLS协议中进行安全通信；步骤S120、对VNC进行国密算法适配，将国密算法融入到VNC中进行安全通信；步骤S130、进入握手请求阶段，判断服务端支持的版本号与客户端发送的版本号是否兼容，若否，则断开服务端与客户端的连接；若是，则执行步骤S140；步骤S140、进入协商阶段，确定服务端与客户端连接的安全类型；步骤S150、进入TLS密钥认证阶段，判断服务端发送给客户端的随机数与服务端通过SM2算法解密获得的随机数是否一致；若否，则关闭服务端与客户端的连接；若是，则执行步骤S160；步骤S160、进入初始化阶段，客户端发送ClientInit初始化信息给服务端，服务端返回ServerInit初始化信息；步骤S170、进入交互阶段，客户端的操作指令发送给服务端，控制服务端进行相应的操作和结果显示。2.根据权利要求1所述的一种基于国密TLS的VNC远程安全通信方法，其特征在于，所述步骤S130的方法，包括：服务端向客户端发送版本协议信息；客户端接收版本协议信息后，随机发送客户端的其中一个版本号与服务端进行协商；判断服务端支持的版本号与客户端发送的版本号是否兼容，若否，则断开服务端与客户端的连接；若是，则执行步骤S140；其中，所述版本号为加入GM前缀的版本号。3.根据权利要求1述的一种基于国密TLS的VNC远程安全通信方法，其特征在于：所述步骤S140中的安全类型为TLS认证，所述TLS认证为国密算法融入TLS协议中后的国密TLS认证。4.根据权利要求1或3所述的一种基于国密TLS的VNC远程安全通信方法，其特征在于，所述步骤S140的方法，具体操作包括：服务端发送指定TLS认证信息给客户端，通知客户端用TLS加密的方式进行认证；客户端接收指定TLS认证信息后，发送安全类型为TLS认证的返回信息给服务端，实现协商阶段操作。5.根据权利要求4所述的一种基于国密TLS的VNC远程安全通信方法，其特征在于：所述TLS加密的方式是基于国产密码套件SM2
‑
SM3
‑
SM4实现的TLS加密。6.根据权利要求1述的一种基于国密TLS的VNC远程安全通信方法，...

【专利技术属性】
技术研发人员：陈都，唐卓，马兴旺，
申请(专利权)人：深圳市证通电子股份有限公司，
类型：发明
国别省市：