技术摘要：
本发明公布了一种基于IPv6隧道技术的远程设备控制方法及系统，被控端为多个远程设备；主控端处理网络连接、收发数据、数据解密解压缩及功能运行，被控端处理网络连接、收发数据、数据加密压缩及功能运行。建立C/S正向连接型网络模型和反弹连接型网络模型并行的全双工模  全部
背景技术：
目前在IPv4的环境下IP网络地址资源非常有限，已经严重制约了互联网的应用和 发展，由于IPv4地址的枯竭以及路由表对IPv4地址处理缓慢等问题，导致IPv4的网络承载 量越来越大，在用网高峰时传输速率明显下降，所以IPv4过渡到IPv6势在必行。而IPv6与 IPv4之间的不兼容性，也需要对原有的IPv4设备进行替换。然而IPv4设备大量替换所需成 本会非常巨大，且现网运行的业务也会中断，显然并不可行。 现阶段网络拓扑环境复杂，IPv4与IPv6的网络架构共存，并且普遍使用动态IP及 NAT(Network  Address  Translation，网络地址转换)等技术实现公网IP复用，都对远程控 制管理带来诸多了挑战。对于传统的正向连接Client/Server模型，服务端监听端口，等待 客户端的连接请求，客户端主动连接服务端，建立连接再进行控制操作。而传统的正向连接 模式无法穿透NAT节点，根本无法找到服务端，更谈不上远程控制。这也正是当前众多远程 控制软件不能满足需求的原因所在。反弹连接是近年才出现的网络连接模式，属于反传统 Client/Server模型。它相对于正向连接而存在，由客户端监听端口，服务端主动连接客户 端实现网络通信，进而实现远程控制管理，该方法主要用于穿透防火墙。但是在目前的远程 控制软件中不普遍使用，而且也无法满足在实际网络拓扑环境下的连接需求。
技术实现要素：
为了克服上述现有技术的不足，本发明提供一种基于IPv6隧道技术及TLSv2远程 设备控制方法及系统，在复杂多变的网络环境中将主控端(服务器)与多个远程设备(被控 端)有效建立连接，并对网络中的关键数据进行加密传输，还可采用数据压缩算法进行数据 压缩，从而有效地提高远程控制的传输效率，对远程设备实现有效控制；能够实现在IPv4与 IPv6网络共存以及处在内网环境下的远程控制，且在不降低执行效率的情况下实现端到端 的网络信道安全防护。 本发明的原理是：对现IPv6的过渡阶段，通过6to4(6to4是一种IPv6转换传输机 制)自动隧道技术，使得IPv6报文在途径IPv4网络节点时保持传输。6to4自动隧道利用IPv6 单播地址中的6to4地址。6to4地址是一类特殊的IPv6全局单播地址，它通过公网IPv4地址 映射而来。本发明中，系统包括主控端及相应程序和被控端及相应程序。系统工作时，主控 端的程序向被控端的程序发出请求控制信号，利用现有的IPv4网络主干道，以及网络中零 散的支持IPv6过度协议的孤岛结点，建立起一条IPv6的网络隧道，通过这条隧道，在网络报 文传输或转发的过程中，如果转发的路由节点支持IPv6就自动转化为IPv6，如果不支持就 自动退化为IPv6，通过使用各种远程控制功能发送远程控制命令，控制被控端各种应用程 5 CN 111614596 A 说　明　书 2/7 页 序运行，操纵被控端完成指定工作，从而达到远程控制的目的。 本发明通过对正向连接、反弹连接与端口映射进行分析，设计出了符合实际需求 的网络远程控制的模型，建立C/S网络模型(正向连接型)和反弹连接型(反向连接型)网络 模型并行的全双工模型。该模型既能够实现在IPv4与IPv6网络共存以及处在内网环境下的 远程控制，又可在不降低执行效率的情况下尽可能实现端到端的网络信道安全防护。因此， 主控端与被控端都分别采用两种模式:监听等待连接和主动连接。被控端采用这两种模式 属于互斥式，即当采用其一模式时，另一种模式失效；主控端的两种模式并发执行，监听的 端口可以直接与被控端建立连接，也可以接收从主控端主动连接模式中的端口发送过来的 数据。 本发明提供的技术方案是： 一种基于IPv6隧道技术的远程设备控制方法，主控端为服务器，被控端为多个远 程设备；建立C/S网络模型(正向连接型)和反弹连接型(反向连接型)网络模型并行的全双 工模型；主控端和被控端通过采用IPv6  6to4自动隧道技术以及TCP协议，并基于底层的 Socket及TCP/IP协议栈进行网络通信；其中对网络中的关键数据进行加密传输，在涉及到 大量的网络数据传输时，可进行数据压缩(可采用GZIP数据压缩算法)。其中主控端负责处 理网络连接、收发数据、数据解密解压缩以及功能运行，被控端负责处理网络连接、收发数 据、数据加密压缩、以及功能运行；具体包括如下步骤： A.在系统中配置好主控端和被控端设备并获得系统级别权限后，双方开始建立连 接，执行如下操作： A1 .主控端开启IPv6协议，检查本机IPv6地址，确认为开启6to4自动隧道协议的 IPv6地址，同时监听端口，等待被控端设备建立连接，与此同时，若有建立连接过的已上线 的被控端设备，主控端也可以向该被控端主动发送连接请求，建立连接； A2.若被控端首次进行连接，则需要被控端主动向主控端发送连接请求，此时由于 是被控端发起连接，该连接可穿透内网NAT服务器发送至公网的主控端，双方成功建立连接 后，内网NAT服务器会保留此次回话Session，建立起关于此次连接的相关表项，使双方之间 能够正常通信，从而建立连接； A3.若被控端非首次进行连接，既可监听端口等待主控端发来的连接请求，也可以 再次主动向主控端发送连接请求， A4.需要注意的是，被控端上线后，若被控端未处在连接状态，需要每隔一分钟向 主控端发送echo心跳包，目的是为了在内网NAT服务器上建立此次连接的相关表项，以便主 控端可以随时向该被控端主动发送连接请求，建立连接； B.一旦主控端和被控端建立连接之后，双方开始利用TLSv2来确定加密协议，协商 加密密钥并进行认证工作，执行如下操作： B1.通信双方进行握手协议在初次建立SSL(Secure  Sockets  Layer，安全套接层) 连接时，主控端服务器与被控端客户机交换一系列消息。这些消息交换能够实现如下操作， 客户机认证服务器，协商客户机与服务器选择双方都支持的密码算法，使用公钥加密技术 生成共享密钥，利用密钥交换技术交换密钥，双方协商过后建立加密SSL连接。 B2.利用RSA公钥加密技术传输随机生成的加密和解密秘钥，其中RSA的公钥和私 钥已经分别硬编码在双方的设备中，之后双方对该秘钥进行SHA-1哈希混淆，取哈希结果的 6 CN 111614596 A 说　明　书 3/7 页 前16字节作为RC6分组加密技术的生成秘钥，随后利用RC6进行加密数据的传输； B3.被控端发送加密形式的客户端系统信息，同时主控端验证加密协议是否正确； B4.随后进行被控端程序的许可(license)验证，防止恶意用户篡改程序以及中间 人攻击窃听信道； C.各类控制功能依次建立连接，开始传输各类数据，所有数据都经过上一步双方 协商好的秘钥进行加密处理，执行如下操作： C1 .在图像数据的处理中，被控端将当前的屏幕截图转换为固定格式的数据后压 缩发送到服务器，服务器将处理的结果以图片形式进行显示； C2.在输入设备控制数据的处理中，主控端将键盘按键和鼠标移动位置转换为固 定格式的数据后压缩发送到被控端，被控端将处理的结果转化为键盘按键命令或鼠标移动 命令； C3.在音频数据的处理中，被控端将声音数据以wave格式映射到网络连接中，在主 控端通过声音虚拟通道正确分离声音数据后，将其直接输出到声卡，即可实现声音回放。 需要终端程序能够正确的分离并响应声音数据； 通过上述步骤，实现基于IPv6隧道技术的远程设备控制。 利用上述基于IPv6隧道技术的远程设备控制方法，本发明还提供一种基于IPv6隧 道技术的远程设备控制系统，包括主控服务端及相应程序模块和被控客户端及相应程序模 块。主控端服务器用于实现所有的计算处理工作，被控端用于处理网络连接、收发数据以及 功能运行；主控服务端与被控客户端均采用两种模式:监听等待连接和主动连接。客户端采 用的两种模式为互斥式，即当采用其一模式时，另一种模式失效；主控服务端采用两种模式 并发执行的方式，监听的端口可以直接与客户端建立连接，也可以接收服务端主动连接模 式中端口转发过来的数据。主控服务端程序模块和被控客户端程序模块均包括：IPv6自动 网络隧道建立子模块、SSL连接建立与消息交换子模块、许可信息校验子模块；主控服务端 程序模块还包括数据计算处理子模块，可包括图像类数据处理、控制类数据处理和音频数 据处理； SSL连接建立与消息交换子模块可包括：协商密码计算子模块、共享密钥生成子模 块、交换密钥子模块、双方身份认证子模块；许可信息校验子模块可包括：Token认证子模块 和Signature认证子模块。 IPv6自动网络隧道建立子模块：用于提供IPv6地址，建立6to4  Tunnel SSL连接建立与消息交换子模块：用于协商密码算法，生成共享密钥，交换密钥，双 方建立加密连接，防止他人窃听信道和中间人攻击。 许可信息校验子模块：用于校验系统本身的许可信息，防止他人伪装主机以及未 授权用户的访问。 数据计算处理子模块：用于解密解压缩图像和音频数据，以及控制类数据的处理。 系统工作时，主控端的程序向被控端的程序发出请求控制信号，利用现有的IPv4 网络主干道建立一条IPv6网络隧道，通过这条隧道，使用各种远程控制功能发送远程控制 命令，控制被控端各种应用程序运行，操纵被控端完成指定工作，从而实现对设备进行远程 控制。 与现有技术相比，本发明的有益效果是： 7 CN 111614596 A 说　明　书 4/7 页 本发明提供了一种基于IPv6隧道技术的远程控制方法及系统，通过两种正向连接 和反向连接型并行的全双功模型，穿透内网，在复杂多变的网络环境中将主控端与多个远 程设备有效建立连接；并对网络中的关键数据进行加密传输，在涉及到软件的网络数据量 较大时，采用数据压缩算法进行数据压缩，有效地提高了远程控制的传输效率。 附图说明 图1为本发明方法的流程框图。 图2是本发明实施例采用的网络模型拓扑结构框图。