知識(shí)點(diǎn)56遠(yuǎn)程顯示協(xié)議-RDP

遠(yuǎn)程顯示協(xié)議——RDP目錄RDP協(xié)議棧協(xié)議功能RDP的連接過程2一、RDP協(xié)議棧3

（1）RDP協(xié)議終端服務(wù)網(wǎng)絡(luò)通信協(xié)議，RDP協(xié)議采用了客戶端/服務(wù)器（Client/Server，C/S）架構(gòu)，即運(yùn)行在本地設(shè)備上的客戶端和運(yùn)行在遠(yuǎn)程設(shè)備上的終端服務(wù)器。客戶端將鼠標(biāo)和鍵盤信息經(jīng)過加密后傳輸?shù)椒?wù)器端，服務(wù)器端使用本身虛擬鼠標(biāo)和鍵盤驅(qū)動(dòng)程序接收相應(yīng)事件。服務(wù)器端處理事件后，以加密形式通過網(wǎng)絡(luò)回傳給客戶端，客戶端通過視頻驅(qū)動(dòng)程序接收到描述信息經(jīng)過處理后顯示。一、RDP協(xié)議棧4

（2）TCP層是最底層，RDP協(xié)議建立在TCP/IP協(xié)議之上。由于傳輸?shù)臄?shù)據(jù)量比較大，因此在協(xié)議的底層首先定義一個(gè)網(wǎng)絡(luò)連接層。它定義了一個(gè)完整的RDP數(shù)據(jù)邏輯包，以避免由于網(wǎng)絡(luò)包長(zhǎng)度過長(zhǎng)而被分割使數(shù)據(jù)丟失。終端服務(wù)默認(rèn)在3389端口上監(jiān)聽來自客戶端的數(shù)據(jù)，通過套接字發(fā)送和接收數(shù)據(jù)流等。一、RDP協(xié)議棧5

（3）ISO在網(wǎng)絡(luò)連接層之上為傳輸服務(wù)層，負(fù)責(zé)將連續(xù)的字節(jié)流分成多個(gè)大小不同的傳輸數(shù)據(jù)包，它表示RDP數(shù)據(jù)的正常連接通信。該層定義了4種服務(wù)類型，包括連接、連接確認(rèn)、斷開連接等3種網(wǎng)絡(luò)連接管理請(qǐng)求，第4種服務(wù)類型用于處理數(shù)據(jù)傳輸。一、RDP協(xié)議棧6（4）多點(diǎn)通信服務(wù)（MultipointCommunicationService，MCS）層位于ISO層之上，包括域管理、通道管理、數(shù)據(jù)傳輸和標(biāo)記管理服務(wù)。RDP協(xié)議定義一個(gè)虛擬通道層用于拆分標(biāo)識(shí)不同虛擬通道的數(shù)據(jù)，加快客戶端處理速度，并節(jié)省占用網(wǎng)絡(luò)接口的時(shí)間。在RDP的不同版本中使用的通道稍有不同，RDP4.0中只有一個(gè)通道用來傳遞鼠標(biāo)和鍵盤等數(shù)據(jù):在RDP5.0中有更多的通道被使用來支持剪貼板和聲音重定向等功能，多點(diǎn)通信服務(wù)層主要用來管理這些虛擬通道。一、RDP協(xié)議棧7（5）安全屏蔽（Securityscreening，SEC）層位于MCS層之上，用于對(duì)所有的功能數(shù)據(jù)進(jìn)行加密和解密處理。該層主要工作為協(xié)商加密套件生成加密密鑰和消息認(rèn)證碼、加密解密通信數(shù)據(jù)，以及計(jì)算和校驗(yàn)信息證實(shí)代碼（MessageAuthenticationCode，MAC）值，它主要通過信息摘要算法5（MessageDigestAlgorithm5，MD5）和安全散列算法（SecureHashAlgorithm，SHA）等簽名算法進(jìn)行密鑰協(xié)商交換，而會(huì)話數(shù)據(jù)傳輸則采用RC4對(duì)稱加密算法對(duì)通信數(shù)據(jù)進(jìn)行加解密。一、RDP協(xié)議棧8（6）RDP層為協(xié)議棧的最高層，為應(yīng)用程序共享層，畫面信息、本地資源轉(zhuǎn)換、聲音數(shù)據(jù)和打印數(shù)據(jù)等所有功能數(shù)據(jù)信息都在此層處理影響遠(yuǎn)端顯示的4個(gè)方面是編碼原語、屏幕的更新策略、壓縮算法和客戶端緩存狀況。RDP服務(wù)器緩存多條畫圖命令，然后融合，最后將融合后的顯示更新發(fā)送給客戶端。這樣如果更新速度無法跟上實(shí)時(shí)視頻顯示的速度而導(dǎo)致在服務(wù)器端多條融合的視頻幀被覆蓋，使得這些幀不能發(fā)送給客戶端顯示。RDP使用運(yùn)轉(zhuǎn)周期編碼（RunLengthEncoding，RLE），其基本思想可以簡(jiǎn)述為設(shè)法將原圖像區(qū)域分成多個(gè)子矩形區(qū)域，每個(gè)子區(qū)域由一個(gè)基本像素點(diǎn)和該區(qū)域的大小組成。二、RDP的連接過程9RDP的簡(jiǎn)單連接過程為首先客戶端向服務(wù)器端發(fā)送ISO層連接請(qǐng)求包，其中會(huì)包含自己的版本信息等內(nèi)容。服務(wù)器端向客戶端發(fā)送ISO層連接確認(rèn)回應(yīng)包，則確認(rèn)ISO層連接建立成功。然后由客戶端向服務(wù)器發(fā)送MCS層連接請(qǐng)求，其中包含自身的相關(guān)信息，以及自己可以使用的消息認(rèn)證碼算法和加密強(qiáng)度。服務(wù)器在成功接收到客戶端的請(qǐng)求后會(huì)給客戶端個(gè)應(yīng)答報(bào)文，包括該服務(wù)器隨機(jī)生成的隨機(jī)數(shù)、非對(duì)稱加密算法（Rivest-Shamir-AdelmanRSA）公鑰、該公鑰的簽名，以及自身的消息認(rèn)證碼算法和加密強(qiáng)度，客戶端從該包中獲取服務(wù)端公鑰?？蛻舳松暾?qǐng)建立虛擬通道，服務(wù)器發(fā)送確認(rèn)數(shù)據(jù)包確認(rèn)虛擬通道的建立客戶端用收到的RSA公鑰加密一個(gè)自己隨機(jī)生成的隨機(jī)數(shù)，并將加密后的隨機(jī)數(shù)發(fā)還給服務(wù)器。至此客戶端與服務(wù)器端的認(rèn)證連接建立完成，可以通過加密信道傳輸數(shù)據(jù)。三、協(xié)議功能10（1）多種顯示支持，包括8位、15位、16位、24位和32位色。（2）128位加密并使用RC4加密算法，此為內(nèi)定的加密方式，較早版本的客戶端可能使用較弱的加密強(qiáng)度。（3）支持傳輸層安全協(xié)議（TransportLayerSecurity，TLS，前身為SSL）。（4）支持聲音轉(zhuǎn)向（redirection），用戶可以在遠(yuǎn)程電腦中運(yùn)行有聲音的應(yīng)用程序，但是將聲音導(dǎo)引至客戶端用電腦來聽。三、協(xié)議功能11（5）支持文件系統(tǒng)轉(zhuǎn)向，用戶可在使用遠(yuǎn)程電腦的過程中訪用本地（客戶端）電腦中的文件系統(tǒng)。（6）支持打印機(jī)轉(zhuǎn)向，在使用遠(yuǎn)程電腦時(shí)可以使用本地（客戶端）電腦連接的打印機(jī)輸出，包括直