“安全即时通信软件的设计与实现-客户端设计”文献综述

“安全即时通信软件的设计与实现-客户端设计”文献综述

摘要

本文首先综述了即时通信的发展状况，列举了一些研究成果的应用，介绍即时通信系统的工作原理；其次分析了即时通信系统的各功能模块和软件层次结构，同时分析了即时通信软件面临的一些安全威胁；最后就目前的发展状况预测未来即时通信软件的发展趋势。

前言

即时通信是一种基于局域网或者Internet网应用的实时交互方式，IM的迅速发展正在急剧地改变人们通信、协作和娱乐的方式。网络上的用户可以利用IM软件实现文字、音频和视频等信息的即时传送，以及点对点的数据交换，它的研究涉及到网络安全、P2P、C/S、Web Service等诸多技术领域。在技术和应用取得巨大成就的同时，即时通信要确立未来的主流信息应用和技术的地位，还必须解决自身所存在的一系列安全问题。例如，蠕虫等病毒会利用P2P通信网络进行传播，因认证机制欠严密造成用户账号和密码被盗；所以，我们需要进行安全性分析和设计以提高即时通信软件的安全。

正文

即时通信系统一般由客户端软件和服务器软件两部分组成。客户端为用户提供使用各种功能服务的界面，服务器为客户端提供登陆、即时信息交流和管理等服务。双方在首次进行即时通信前必须先在计算机中安装即时通信客户端软件，然后登陆到提供即时通信服务的服务器，经注册后获得由服务器统一分配的唯一标识符后方可开始通信。通信时，由客户端发起连接请求，服务器担任中转者的角色，将网络包从发送方转交给接受方，这采用了C/S 模式[7]；由于客户之间使用音频、视频及传输文件等服务，通信数据量较大，此时由服务器转发会出现响应不及时、服务器负载过重等问题，因此，当提供这些服务时，通常由服务器进行协商，在两个客户端建立P2P连接，进行直接传送。系统总体构架图如图2-1所示。

图2-1系统总体构架图

3.即时通信系统的模块分析与设计

3.1 即时通信系统的功能模块

目前即时通信技术发展很快，即时通信系统已由传统的文本信息传输工具发展成为集文本消息传输、文件传输、语音视频通信、网络会议、电子邮件等多种功能干一体的综合信息处理系统[1]。但一般的即时通信系统只具有一些基本功能，网络会议比较适用于企业级即时通信系统。

·即时信息收发模块。它是即时通信系统的基本功能，用于在联系人间完成文本信息的收发。用户可以实时查看其它用户的在线状态，若在线则与之进行实时交流。

·文件传输模块。它通过在联系人间建立传输链路来收发文件，几十兆的文件瞬间即可到达接收方。

·语音视频交流模块。它完成联系人间语音和视频文件的传送，使交流者虽身处异地也如同面对面交流一样。

·网络会议模块。它为多个用户提供视频会议功能，会议由主持人发起，并通过即时信息收发模块向与会人员发出会议邀请。与会者使用屏幕共享展示会议中所需的资料，使用电子白板[8]表达自己的观点，优秀的音频视频效果使网络会议与真正的会议无异。

·电子邮件模块集成了邮件到达提醒，离线消息转邮件功能，用户可使用此模块直接进行电子邮件的收发。

3.2 客户端软件层次结构

客户端软件层次结构如图3-1所示。

图3-1 客户端软件层次结构

客户端主界面框架是软件的总框架，管理其它所有模块。登录和状态管理模块，文字通信模块和好友管理模块均是软件界面的组成部分。网络通信模块提供网络接口，包括UDP 通信和TCP通信，同时提供网络包的封装和解包的函数调用接口。本地数据管理提供对本地数据结构和本地文件的访问，维护和管理的函数接口，同时提供对注册表维护管理的函数接口。

4.即时通信安全威胁与分析

与即时通信的广泛应用所不同的是，其安全防护非常薄弱。因即时通信系统设计安全级别低、用户缺乏安全防护意识与知识、应用广泛等原因，存在大量的安全威胁。

·窃听威胁。大部分即时通信系统不加密消息网络流量，第三方窃听者可借助报文嗅探器(sniffer)[10]窃听两个用户的会话。

·账号假冒和口令破解。许多即时通信系统对于账号假冒和欺骗是脆弱的，攻击者可以假冒一个用户的账号和另一个用户即时通信，许多Web站点为攻击者提供这种工具。在许多即时通信系统中，口令保护也很有限。

·利用即时通信系统漏洞攻击用户的主机。黑客借助即时通信系统，进一步控制用户的计算机。如QQ尾巴病毒就是通过用户的QQ给对方发消息，而且这种消息发送是自动进行的，

其中带有一个程序或一个恶意网站的网址，对方收到消息后，由于是好友发过来的，往往会毫不犹豫地点击那个网址或程序，就会被除恶意代码、病毒攻击，导致系统被破坏。

·利用即时通信系统传播网络蠕虫病毒和植入木马。每个即时通信用户都维持着一个好友列表，恶意攻击者可以利用这些有利条件结合即时通信软件提供的可编程能力和即时通信软件自身的脆弱性达到传播网络蠕虫病毒和植入木马的目的。

·垃圾信息和DoS攻击。如“飘叶千夫指”、QQSend等攻击工具专门向QQ客户端发送大量垃圾消息，阻塞带宽，使客户端不能正常使用。

·恶意脚本病毒。利用即时通信脚本执行引擎的漏洞搜集用户信息，并复制传播。

为了有效地抵御即时通信软件所面临的安全威胁，需要从身份认证、消息认证、传输加密等方面进行安全性设计。

5.即时通信的发展及应用

目前市面上流行的即时通讯软件主要有：ICQ、“腾讯QQ”、MSN、Y AHOO！MESSENGER、UC，以及“网易泡泡”等软件。

ICQ原是以色列的几名学生开发出来的一款即时通讯工具软件。它利用点对点的方式通讯，任何登录ICQ服务器的用户，尽管国籍、肤色、文化背景、宗教信仰不同，都能够在网上即时沟通。任何人只要拥有ICQ号码，就可以与世界各地的人做朋友，它的互动性是Web网页、虚拟社区和电子邮件所无法媲美的。在办公室中，同事之间透过ICQ联络事宜，就算近在咫尺，也无须起身交谈；与远方的亲朋好友交谈，也只是轻轻敲几下键盘就可以解决问题，这种交流在过去几乎是无法想象的。但ICQ对中文的支持比较差，不适于中国企业中使用。

“腾讯QQ”是国内最时髦的即时通讯工具，其用户的年龄层次从刚开始的中小学生族，发展到现在的几乎所有上网者。每当看到连到网上的一台台电脑上。屏幕上跳跃着一个个各式各样“小人头儿”，就知道QQ上的好友来信了。目前“腾讯QQ”开展了大量的网络增值服务，如为其用户提供网上寻呼、视频聊天、语音聊天、网络硬盘、动态新闻等信息，开通手机上的移动QQ服务，同时为每一个QQ账号送一个5M的免费邮箱。

Yahoo! Messenger（雅虎通）是由美国著名搜索网站Yahoo推出聊天工具。Yahoo! Messenger的功能侧重点似乎并不在它的聊天功能上，它更像一个免费信息提供器。Yahoo! Messenger支持多种操作系统，并支持其它便携式无线设备，具有与其它即时通讯软件所不