[发明专利]一种确定MITM攻击的方法、装置及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种确定中间人（MITM，Man-in-the middle-attacks）攻击的方法，装置及系统。

背景技术

远程桌面协议（RDP，Romote Desktop Protocol）是普遍应用于微软操作系统中的一种远程桌面协议，远程桌面功能允许网络中的用户连接到远程的计算机上对远程计算机进行管理。

如图1所示的系统架构，包括客户端101、位于客户端侧的数据交换设备（如图1所示的交换机102）、路由转发设备103、位于服务端侧的交换机104以及服务端。基于该系统架构，设备管理员通过远程桌面对目标设备进行运行维护管理操作。设备管理员通过远程桌面登陆到目标设备（如图1所示的位于服务端侧的服务器105），然后对目标设备进行管理。但是在这个过程中，如图2所示，就可能受到中间人攻击的威胁，受到中间人攻击的远程登陆会话的会话信息会完全暴露，比如按键信息，回显信息等等，中间人也可以获得设备管理员权限，从而非法登陆到目标设备，非法操控目标设备。比如设备管理员A在远程登陆到目标设备的过程中，黑客成功发动中间人攻击，将这个远程桌面会话完全解密，获得这个设备管理员的登陆账号和密码，当设备管理员A退出目标设备，黑客马上就能获悉设备管理员已经退出，然后黑客就能使用通过中间人攻击获取的账号密码以设备管理员的身份非法登陆到目标设备，查看目标设备中存储的敏感信息。

现有技术中，一般采用服务器认证方式来防止中间人攻击，服务器认证的原理是指在会话过程中，在非对称密钥交换的环节中加入服务器认证环节，在非对称协商过程中，客户端除接收服务端的公钥和随机数之外，还会接收到服务端发来的服务器验证信息，该服务器验证信息可以服务端身份信息，当服务器认证不成功时，客户端将整个会话断开，从而避免网络受到中间人攻击。

采用服务器认证方式仅能够事前防范，即对中间人攻击起到防范作用，而无法事中发现，当网络中存在中间人攻击时，该方式无法检测已存在的中间人攻击，另外，由于设备自身原因，如版本低等因素会导致误检的发生，从而降低了MITM检测的准确性。

综上所述，现有技术中提出的技术方案，仅能够对中间人攻击起到防范作用，不能够主动的确定出网络中是否存在中间人攻击，使得网络的安全性较差。

发明内容

本发明实施例提供了一种确定MITM攻击的方法，装置及系统，能够对MITM攻击进行主动检测，并且较好地提高了确定MITM攻击的准确性，从而提高网络安全性。

一种确定MITM攻击的方法，包括：在接收到客户端发来的远程桌面协议RDP连接请求时，将所述RDP连接请求转发给服务端；并获得服务端发来的第一RDP连接响应请求，其中，所述第一RDP连接响应请求中包含服务端生成的非对称加密公钥；将所述获得的第一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发送给客户端，其中客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。

一种确定MITM攻击的装置，包括：转发模块，用于在接收到客户端发来的远程桌面协议RDP连接请求时，将所述RDP连接请求转发给服务端；获得模块，用于获得服务端发来的第一RDP连接响应请求，其中，所述第一RDP连接响应请求中包含服务端生成的非对称加密公钥；发送模块，用于将所述获得的第一RDP连接响应请求中包含的非对称加密公钥替换为预设的第一身份识别公钥，形成第二RDP连接响应请求并发送给客户端，其中客户端根据接收到的第二RDP连接响应请求中包含的非对称加密公钥和预设的第一身份识别公钥，确定是否存在MITM攻击。