“安全即时通信软件的设计跟实现-客户端设计”文献综述.docVIP

数学与信息工程学院毕业设计文献综述 PAGE PAGE 6 “安全即时通信软件的设计与实现-客户端设计”文献综述 摘要 本文首先综述了即时通信的发展状况，列举了一些研究成果的应用，介绍即时通信系统的工作原理；其次分析了即时通信系统的各功能模块和软件层次结构，同时分析了即时通信软件面临的一些安全威胁；最后就目前的发展状况预测未来即时通信软件的发展趋势。 前言 即时通信是一种基于局域网或者Internet网应用的实时交互方式，IM的迅速发展正在急剧地改变人们通信、协作和娱乐的方式。网络上的用户可以利用IM软件实现文字、音频和视频等信息的即时传送，以及点对点的数据交换，它的研究涉及到网络安全、P2P、C/S、Web Service等诸多技术领域。在技术和应用取得巨大成就的同时，即时通信要确立未来的主流信息应用和技术的地位，还必须解决自身所存在的一系列安全问题。例如，蠕虫等病毒会利用P2P通信网络进行传播，因认证机制欠严密造成用户账号和密码被盗；所以，我们需要进行安全性分析和设计以提高即时通信软件的安全。 正文 即时通信系统一般由客户端软件和服务器软件两部分组成。客户端为用户提供使用各种功能服务的界面，服务器为客户端提供登陆、即时信息交流和管理等服务。双方在首次进行即时通信前必须先在计算机中安装即时通信客户端软件，然后登陆到提供即时通信服务的服务器，经注册后获得由服务器统一分配的唯一标识符后方可开始通信。通信时，由客户端发起连接请求，服务器担任中转者的角色，将网络包从发送方转交给接受方，这采用了C/S模式[7]；由于客户之间使用音频、视频及传输文件等服务，通信数据量较大，此时由服务器转发会出现响应不及时、服务器负载过重等问题，因此，当提供这些服务时，通常由服务器进行协商，在两个客户端建立P2P连接，进行直接传送。系统总体构架图如图2-1所示。 图2-1系统总体构架图 3.即时通信系统的模块分析与设计 3.1 即时通信系统的功能模块 目前即时通信技术发展很快，即时通信系统已由传统的文本信息传输工具发展成为集文本消息传输、文件传输、语音视频通信、网络会议、电子邮件等多种功能干一体的综合信息处理系统[1]。但一般的即时通信系统只具有一些基本功能，网络会议比较适用于企业级即时通信系统。 ·即时信息收发模块。它是即时通信系统的基本功能，用于在联系人间完成文本信息的收发。用户可以实时查看其它用户的在线状态，若在线则与之进行实时交流。 ·文件传输模块。它通过在联系人间建立传输链路来收发文件，几十兆的文件瞬间即可到达接收方。 ·语音视频交流模块。它完成联系人间语音和视频文件的传送，使交流者虽身处异地也如同面对面交流一样。 ·网络会议模块。它为多个用户提供视频会议功能，会议由主持人发起，并通过即时信息收发模块向与会人员发出会议邀请。与会者使用屏幕共享展示会议中所需的资料，使用电子白板[8]表达自己的观点，优秀的音频视频效果使网络会议与真正的会议无异。 ·电子邮件模块集成了邮件到达提醒，离线消息转邮件功能，用户可使用此模块直接进行电子邮件的收发。 3.2 客户端软件层次结构 客户端软件层次结构如图3-1所示。 图3-1 客户端软件层次结构 客户端主界面框架是软件的总框架，管理其它所有模块。登录和状态管理模块，文字通信模块和好友管理模块均是软件界面的组成部分。网络通信模块提供网络接口，包括UDP通信和TCP通信，同时提供网络包的封装和解包的函数调用接口。本地数据管理提供对本地数据结构和本地文件的访问，维护和管理的函数接口，同时提供对注册表维护管理的函数接口。 4.即时通信安全威胁与分析 与即时通信的广泛应用所不同的是，其安全防护非常薄弱。因即时通信系统设计安全级别低、用户缺乏安全防护意识与知识、应用广泛等原因，存在大量的安全威胁。 ·窃听威胁。大部分即时通信系统不加密消息网络流量，第三方窃听者可借助报文嗅探器(sniffer)[10]窃听两个用户的会话。 ·账号假冒和口令破解。许多即时通信系统对于账号假冒和欺骗是脆弱的，攻击者可以假冒一个用户的账号和另一个用户即时通信，许多Web站点为攻击者提供这种工具。在许多即时通信系统中，口令保护也很有限。 ·利用即时通信系统漏洞攻击用户的主机。黑客借助即时通信系统，进一步控制用户的计算机。如QQ尾巴病毒就是通过用户的QQ给对方发消息，而且这种消息发送是自动进行的，其中带有一个程序或一个恶意网站的网址，对方收到消息后，由于是好友发过来的，往往会毫不犹豫地点击那个网址或程序，就会被除恶意代码、病毒攻击，导致系统被破坏。 ·利用即时通信系统传播网络蠕虫病毒和植入木马。每个即时通信用户都维持着一个好友列表，恶意攻击者可以利用这些有利条件结合即时通信软件提供的可编程能力和即时通信软件自身的脆弱性达到传播网络蠕虫病