安全即时通讯系统之技术研发与建置-国立政治大学.ppt

個人簡介 現任：國立高雄師範大學資訊教育研究所教授兼所長 學歷：美國路易斯安那大學電腦工程博士 (1990) 主要經歷： 國立高雄第一科技大學資訊管理系系主任 (1998-2000) 中華電信研究所「資訊安全與密碼技術」計畫主持人 (1996-1997) 工研院電通所 工程師 (1993-1994) 日本電信電話公司 (NTT), Postdoctoral Fellow (1991-1993) 美國RSA Data Security, Inc., Software RD Engineer (1991) 大綱 即時通訊特色 即時通訊安全 即時通訊標準 安全即時通訊協定 安全即時通訊系統的實現 前言 即時通訊(Instant Messaging, IM)為熱門的網路服務 即時通訊系統在設計時多以實用性為考量，並未考慮安全性問題 大部份即時通訊系統僅著重登入階段的安全性 即時通訊系統可能被側錄監控 使用明文傳遞訊息 缺乏機密性、完整性、與不可否認性的安全機制 我們以開放原始碼軟體為基礎，建構安全的即時通訊系統 即時通訊 具有即時性與互動性 Presence (線上狀態) awareness: 顯示聯絡人名單，在線狀態 表情符號、狀態顯示、離線訊息、語音溝通、視訊溝通、群組聊天、檔案傳輸 例如MSN Messenger、SKYPE、Yahoo! Messenger、騰訊QQ 即時通訊的優點 Instant Communications Comprehensive Features Elimination of Phone Tag Enhanced Customer Service Improved Employee Productivity Ease of Multitasking Greater Accountability for Off-site Employees Cost Savings on Long Distance and Travel More Responsive Conversations and Collaboration 即時通訊的訊息傳遞 資訊安全服務 保密性(Confidentiality) 確認性（Authentication） 完整性(Data Integrity) 不可否認性(Non-repudiation) 存取控制(Access Control) 可用性(Availability) 網路安全系統原則 暴力攻擊法尋找金鑰平均的時間 MSN Messenger 安全性 安全功能僅著重登入時驗證帳號與通行碼 成功登入系統之後以明文傳遞訊息 存在商用軟體側錄通訊內容 可採自由軟體保護通訊內容 MSN Messenger Sniffer 側錄軟體 例如/msn-sniffer/, US$79 Wireshark封包分析軟體 / open source軟體，Gnu Public License (GPL)授權 適用於UNIX / Linux 和Windows等作業系統 能交互式地瀏覽抓取到的封包，查看每一個封包的摘要和詳細訊息 支援多數的網路協定、豐富的過濾語言 MSN Messenger Encryption 例如 http://www.secway.fr/us/products/simplite_msn/ Skype 安全性 採用SHA-1/RSA簽章及數位憑證 採用256-bit AES加解密 提供保密與認證 被評估具有安全的共通金鑰(Key Agreement) 協定 64-bit 亂數抵擋重送攻擊(replay attack) 考量中間人攻擊(man-in-the middle attack)、通行碼猜測攻擊(password guessing attack) 詳見T. Berson, Skype (1.3) Security Evaluation, Oct. 2005, /security/files/2005-031%20security%20evaluation.pdf 即時通訊的保密解決方案 第一種：使用SSL/TLS建構加密通道 可以確保Client-Server通訊安全 增加Server的成本和負擔 訊息傳遞過程中會以明文形式暫存於Server 無法確保暫存於Server的訊息安全 第二種：Client安裝外掛加解密軟體 如(MSN) SimpLite, IMsecure 第三種：使用支援加解密功能的替代軟體 如Pidgin/Pidgin-Encryption Pidgin http://www.pidgin.im/ 開放原始碼即時通訊用戶端軟體 跨平台多語系：Linux, MacOS, Windows等 整合多種即時傳訊協定：AIM, ICQ, MSN