安全即时通信软件的设计和实现客户端设计文献综述.doc

“安全即时通信软件设计和实现-用户端设计”文件综述 摘要 本文首先综述了即时通信发展情况，列举了部分研究结果应用，介绍即时通信系统工作原理；其次分析了即时通信系统各功效模块和软件层次结构，同时分析了即时通信软件面临部分安全威胁；最终就现在发展情况估计未来即时通信软件发展趋势。 序言 即时通信是一个基于局域网或Internet网应用实时交互方法，IM快速发展正在急剧地改变大家通信、协作和娱乐方法。网络上用户能够利用IM软件实现文字、音频和视频等信息即时传送，和点对点数据交换，它研究包含到网络安全、P2P、C/S、Web Service等很多技术领域。在技术和应用取得巨大成就同时，即时通信要确立未来主流信息应用和技术地位，还必需处理本身所存在一系列安全问题。比如，蠕虫等病毒会利用P2P通信网络进行传输，因认证机制欠严密造成用户账号和密码被盗；所以，我们需要进行安全性分析和设计以提升即时通信软件安全。 正文 即时通信系统通常由用户端软件和服务器软件两部分组成。用户端为用户提供使用多种功效服务界面，服务器为用户端提供登陆、即时信息交流和管理等服务。双方在首次进行即时通信前必需先在计算机中安装即时通信用户端软件，然后登陆到提供即时通信服务服务器，经注册后取得由服务器统一分配唯一标识符后方可开始通信。通信时，由用户端提议连接请求，服务器担任中转者角色，将网络包从发送方转交给接收方，这采取了C/S模式[7]；因为用户之间使用音频、视频及传输文件等服务，通信数据量较大，此时由服务器转发会出现响应不立即、服务器负载过重等问题，所以，当提供这些服务时，通常由服务器进行协商，在两个用户端建立P2P连接，进行直接传送。系统总体构架图图2-1所表示。 图2-1系统总体构架图 3.即时通信系统模块分析和设计 3.1 即时通信系统功效模块 现在即时通信技术发展很快，即时通信系统已由传统文本信息传输工具发展成为集文本消息传输、文件传输、语音视频通信、网络会议、电子邮件等多个功效干一体综合信息处理系统[1]。但通常即时通信系统只含有部分基础功效，网络会议比较适适用于企业级即时通信系统。 ·即时信息收发模块。它是即时通信系统基础功效，用于在联络人间完成文本信息收发。用户能够实时查看其它用户在线状态，若在线则和之进行实时交流。 ·文件传输模块。它经过在联络人间建立传输链路来收发文件，几十兆文件瞬间即可抵达接收方。 ·语音视频交流模块。它完成联络人间语音和视频文件传送，使交流者虽身处异地也如同面对面交流一样。 ·网络会议模块。它为多个用户提供视频会议功效，会议由主持人提议，并经过即时信息收发模块向和会人员发出会议邀请。和会者使用屏幕共享展示会议中所需资料，使用电子白板[8]表示自己见解，优异音频视频效果使网络会议和真正会议无异。 ·电子邮件模块集成了邮件抵达提醒，离线消息转邮件功效，用户可使用此模块直接进行电子邮件收发。 3.2 用户端软件层次结构 用户端软件层次结构图3-1所表示。 图3-1 用户端软件层次结构 用户端主界面框架是软件总框架，管理其它全部模块。登录和状态管理模块，文字通信模块和好友管理模块均是软件界面组成部分。网络通信模块提供网络接口，包含UDP通信和TCP通信，同时提供网络包封装和解包函数调用接口。当地数据管理提供对当地数据结构和当地文件访问，维护和管理函数接口，同时提供对注册表维护管理函数接口。 4.即时通信安全威胁和分析 和即时通信广泛应用所不一样是，其安全防护很微弱。因即时通信系统设计安全等级低、用户缺乏安全防护意识和知识、应用广泛等原因，存在大量安全威胁。 ·窃听威胁。大部分即时通信系统不加密消息网络流量，第三方窃听者可借助报文嗅探器(sniffer)[10]窃听两个用户会话。 ·账号假冒和口令破解。很多即时通信系统对于账号假冒和欺骗是脆弱，攻击者能够假冒一个用户账号和另一个用户即时通信，很多Web站点为攻击者提供这种工具。在很多即时通信系统中，口令保护也很有限。 ·利用即时通信系统漏洞攻击用户主机。黑客借助即时通信系统，深入控制用户计算机。如QQ尾巴病毒就是经过用户QQ给对方发消息，而且这种消息发送是自动进行，其中带有一个程序或一个恶意网站网址，对方收到消息后，因为是好友发过来，往往会毫不犹豫地点击那个网址或程序，就会被除恶意代码、病毒攻击，造成系统被破坏。 ·利用即时通信系统传输网络蠕虫病毒和植入木马。每个即时通信用户全部维持着一个好友列表，恶意攻击者能够利用这些有利条件结合即时通信软件提供可编程能力和即时通信软件本身脆弱性达成传输网络蠕虫病毒和植入木马目标。 ·垃圾信息和DoS攻击。如“飘叶千夫指”、QQSend等攻击工具专门向QQ用户端发送大量垃圾消息，阻塞带宽，使用户端不能正常使用。 ·恶意脚本病毒。利用即时通信脚本实施