[发明专利]一种计算机远程安全控制方法

说明书

技术领域

本发明属于计算机网络的管理和控制方法，具体涉及一种计算机远 程安全控制方法。

背景技术

计算机远程安全控制作为信息处理系统一体化的关键环节，访问并 控制信息处理系统的核心资源，包括各种数据和应用；虽然有效的控制 和降低信息处理系统管理成本是显而易见的目标，但是更不能忽视不完 备的部署和实现所带来的安全隐患。

在由计算机节点构成的网络信息处理系统中，大部分应用软件具有 很强的专业性，它们往往需要不同的运行环境，处于不同的地理位置， 管理人员分散地管理和控制它们会带来很大的不便，造成人力资源的浪 费。计算机远程安全控制通过网络实现对远程计算机节点的管理和控制， 从而满足信息处理系统的一体化。计算机远程安全控制的实现由服务器 端以及客户端构成，一台(或者多台)客户端计算机节点通过网络远距 离去控制一台(或者多台)服务器，在此过程中客户端实时获取服务器 端发送的桌面图像及其变化信息，而服务器端则实时的接受客户端发送 的各种控制信息(主要包括鼠标动作、键盘动作)。这里的客户端与服务 器可以是PC机，也可以是大型的服务器，其上运行的操作系统包括当前 主流的三种系统：Linux、Unix以及Windows。客户端可以通过任何一款 主流浏览器对远端服务器进行控制，从而使得用户可以更加方便的利用 远程安全控制对网络信息系统进行管理。

总体上来说，计算机远程安全控制包括硬件方式以及软件方式。由 于硬件方式存在需要额外的硬件支持、控制距离有限等缺陷，使得软件 远程安全控制方法得到了广泛的应用，成为互联网环境下用户远程安全 控制采用的主要方法。软件模式远程安全控制方法的实现基于客户机和 服务器之间的应用层网络协议。

当前应用层网络协议在系统安全方面一般采用简单的登录用户身份 认证，以使用最为广泛的基于虚拟网络计算协议的几种远程安全控制方 法实现为例：当有用户与远端服务器建立链接之后，服务器会要求用户 输入一个密码，如果密码正确则允许该用户对服务器的控制，否则就拒 绝。在此协议中没有区分具体用户的概念，任何人都可以通过记录有密 码的计算机节点登录到受控服务器，并且具有完全相同的控制权限，服 务器无法分辨到底是那个用户登录，从而无法有效记录、控制用户的行 为。另外，客户端也无法确定自己正在操控的服务器是合法服务器还是 网络中的恶意破坏者，网络中的其他节点完全可以伪装合法服务器身份， 取得远程客户端的信任。更严重的问题在于开放互联网上传输的所有控 制数据以及图像响应数据等信息都是明文发送传输的，很容易造成信息 泄露、信息被篡改或者替换等安全事故。

另外，有的远程安全控制方法规定远程控制链接必须由受控端服务 器发起。受控端服务器请求特定用户对本地系统进行远程控制，如果远 程客户端接受，则建立起一个链接，否则链接假设失败。这种方法建立 在受控端服务器与客户端相互熟悉信任的前提之下，需要人为的干预。 即便如此，该方法也无法防止网络上的入侵节点的干扰，无法有效验证 对方身份的合法性，更无法保护数据不被泄露、篡改、替换等。

综上所述，现有的远程安全控制方法在安全性方面存在重大的隐患：

首先，在远程控制节点组成的网络中，现有方法中，服务器缺乏对 参与节点的身份认证，从而使得非法节点很容易进入网络，冒充合法服 务器，从而很容易骗取合法客户端的用户名、密码等信息。最终造成整 个远程控制网络信息的泄露；

其次，当前被广泛应用的应用层网络协议如虚拟网络计算协议等缺 乏用户远程控制安全的概念，对于受控端服务器来说任何掌握了密码的 节点或者用户都可以成功登录，并进行完全相同的远程控制操作。这增 加了服务器的安全隐患，一旦信息泄露或者个别节点被突破就会造成系 统整体被突破。而且服务器也无法限制用户的控制行为，造成部分用户 的操作失误或者越权操作，从而造成整个系统的安全破坏；

最后，在现有的远程安全控制方法中，用户对服务器的命令信息、 服务器返回的响应图像信息等数据都是明文发送。在基于开放互联网络 中，这些数据很容易被网络中的入侵者窃取、篡改、替换，从而造成敏 感数据被泄露、破坏等安全问题。

发明内容

本发明提出一种计算机远程安全控制方法，解决现有控制方法缺乏 对参与节点的身份认证、权限控制以及信息传输过程缺乏安全控制的问 题，为互联网环境下的远程控制提供一套完善的安全机制。