（系统分析与集成专业论文）即时通信安全机制研究.pdf

山东大学硕士学位论文 摘要 即时通信作为一种互联网通信服务，在个人和企业通信中都得到了广泛的应 用，但是即时通信的安全问题一直没有得到足够的重视。 论文综述了即时通信安全方面的研究文献，分析了当前主流的即时通信系统 在安全方面的缺陷和面临的威胁，列出了即时通信系统需要实现的安全目标。在 此基础上，论文提出了基于身份的即时通信加密协议( i d e n t i t y b a s e di n s t a n t m e s s a g i n ge n c r y p t i o np r o t o c o l ，i b i m e p ) ，并对协议的安全性和实现时相关的问 题进行了分析。 基于身份的密码学( i d e n t i t y - b a s e dc r y p t o g r a p h y ，i b c ) 是- - f - j 较新的理论， 相对传统的公钥密码体制具有很多优势。目前已经有了基于i b c 的安全电子邮 件解决方案，但是总的来说它的应用还很少，还没有论文详细探讨过如何将i b c 应用n l l p 时通信中来。本论文研究了即时通信系统的特点，论证了i b c 在即时 通信中的适用性，并且为i b c 应用时面临的关键问题一身份认证和私钥分发， 提供了解决方案。 i b i m e p 为即时通信系统提供的安全保护包括：用户和服务器的双向认证， 用户和服务器之间的通信数据的安全性，用户和用户之间的通信数据的安全性， 完善前向保密和可否认性，以及抵抗重放攻击的能力。 i b i m e p 是针对即时通信的安全而设计的，可以很方便的将它嵌入到主流的 即时通信系统中，为系统提供安全保护。 i b i m e p 不会给用户增加任何负担，也不会影响用户原本的使用习惯，它对 用户是完全透明的。 关键词：即时通信；基于身份密码学：网络安全 5 山东大学硕士学位论文 a b s t r a c t a sa l li n s t a n tw a yo fc o m m u n i c a t i o n so v e rt h ei n t e r n e t ，i n s t a n tm e s s a g i n g ( i m ) s e r v i c e sa r ev e r yp o p u l a ri np e r s o n a la n dc o r p o r a t ec o m m u n i c a t i o n s h o w e v e r , t h e s e c u r i t yi s s u e so fi mh a v er e c e i v e dl i t t l ec o n s i d e r a t i o nf r o mt h es e c u r i t yr e s e a r c h c o m m u n i t y w ep r o v i d eas u r v e yo ni n s t a n tm e s s a g i n gs e c u r i t y , d i s c u s ss e c u r i t yd e f e c t sa n d t h r e a t st oe x i s t i n gi mn e t w o r k sa n dl i s tt h es e c u r i t yg o a l sf o ri n s t a n tm e s s a g i n g s y s t e m i na d d i t i o n ，t h e t h e s i sp r e s e n t st h ei d e n t i t y - b a s e di n s t a n tm e s s a g i n g e n c r y p t i o np r o t o c o l ( i b i m e p ) a sas o l u t i o n f o ri ms e c u r i t y f i n a l l y , t h et h e s i s p r o v i d e ss e c u r i t ya n a l y s i so fi b i m e pa n d d i s c u s s e st h ei m p l e m e n t a t i o no fl b i m e e i d e n t i t y - b a s e dc r y p t o g r a p h y ( i b c ) i sar e l a t i v e l yy o u n ga r e ao fc r y p t o g r a p h ya n d h a sm a n ya d v a n t a g e so v e rt r a d i t i o n a lp u b l i c k e yc r y p t o s y s t e m s n o wi b ch a sn o t b e e nu s e dv e r yf r e q u e n t l ya l t h o u g hp r o d u c t ss u c ha ss e c u r ee m a i ls y s t e mb a s e do n i b ch a sa p p e a r e d i np a r t i c u l a r , t h ea p p l i c a t i o no fi b ci ni ma p p e a r sl a r g e l y u n e x p l o r e d t h i st h e s i ss e t so u tt oe x a m i n eh o wi d e n t i t y - b a s e dc r y p t o g r a p h ym i g h t b e u s e dt os e c u r ei ms y s t e m s w ep r e s e n td e t a i l e ds c h e m e sf o ri d e n t i t ya u t h e n t i c a t i o n a n d p r i v a t ek e yd i s t r i b u t i o n ，w h i c ha r et w om a i np r o b l e m si nu s i n gi b c i b i m e pp r o v i d e st h ef o l l o w i n gs e c u r i t yp r o p o a i e sf o ri ms y s t e m ：a u t h e n t i c a t i o n b e t w e e nac l i e n ta n dt h ei ms e r v e r ；s e c u r ec o m m u n i c a t i o n sb e t w e e nac l i e n ta n dt h e i ms e r v e r ；s e o u r ec o m m u n i c a t i o n sb e t w e e nt w oc l i e n t s ；p e r f e c tf o r w a r ds e c r e c ya n d r e p u d i a b i l i t y ；r e s i s t a n c ea g a i n s tr e p l a ya t t a c k s i b i m e pi sd e s i g n e dt op r o v i d es e c u r i t yf o rt h ep r e s e n ti ms y s t e m s i ti s c o n v e n i e n tt oi m p l e m e n ti b i m e pi np o p u l a ri mp r o t o c o l s i b i m e pp u t sn ob u r d e no ne n d - u s e r so rb r i n g sa n yc h a n g e si nt h ew a yt h e yu s e i ms y s t e m s i m i m e pi sc o m p l e t e l yt r a n s p a r e n tf o re n d u s e r s k e y w o r d s ：i n s t a n tm e s s a g i n g ( i m ) ；i d e n t i t y - b a s e dc r y p t o g r a p h y ( i b c ) ；n e t w o r k s e c u r i t y 6 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：亟垒堇圭 日 期：幽：兰：堕 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件 和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 鳌垒垃导师签名：! 垫趔百期：翌全! ：苎：堕 山东大学硕士学位论文 第1 章绪论 在本章中，首先对即时通信及其发展历程进行了简单的介绍，接着介绍了即 时通信的安全及其研究的现状，说明了本论文研究的起因和目的，以及研究的范 围。最后，对于论文剩余部分的组织结构进行了说明。 1 1 研究的背景和现状 1 1 1 即时通信及其发展历程 即时通信( i n s t a n tm e s s a g i n g ，i m ) 是一种通信服务，系统中的用户可以实 时地交换消息，并查看其他用户是否在线。 即时通信的出现可追溯到上世纪6 0 年代的多用户操作系统，在这样的系统 中，多个用户可通过终端同时登陆到服务器系统。操作系统提供了一种方式，使 得登陆了的用户之间可以进行实时的交谈，系统管理员也可通过这种途径给用户 发送一些实时的通知。u n i x 中的t a l k 和w r i t e 就是这样的例子。 随着计算机网络的出现和发展，也出现了一些用于网络的即时通信协议，其 中的一个代表是i r c ( i n t e r n e tr e l a yc h a t ) 【i i 。到了9 0 年代中期，出现了图形 用户界面的基于因特网的即时通信软件，尤其是i c q 2 i 的出现和流行，使得即 时通信作为一种通信方式，开始被大多数的普通网民所接受。 9 0 年代后期在i c q 流行之后，其他公司也陆续推出了自己的即时通信软件， 这其中用户较多的有a i m ( a o li n s t a n tm e s s e n g e r ) 【3 】、m s nm e s s e n g e r ( 8 0 以后的版本称为w i n d o w sl i v em e s s e n g e r ) 【4 】，y a h o o ! i n s t a n tm e s s e n g e r ( y i m ) 5 1 ，以及腾讯q q 6 等。这些公司的软件所使用的协议和客户端都不兼容， 而且，为了保护自己的用户群，各个公司对自己的协议都是保密的。如果一个用 户使用的是m s n 的客户端，那么他就不能和使用q q 客户端的朋友进行通信。 这对用户来说实际上是非常不方便的。 因此，人们开始考虑即时通信协议的标准化工作，2 0 0 0 年2 月，互联网工 作组出版了r f c 2 7 7 8 ：am o d e lf o rp r e s e n c ea n di n s t a n tm e s s a g i n g 7 和r f c 2 7 7 9 ： i n s t a n tm e s s a g i n g p r e s e n c ep r o t o c o lr e q u i r e m e n t s 8 。在这两个文件中，定义了一 山东大学硕士学位论文 个抽象的即时通信系统模型，并规定了即时通信协议应该满足的标准需求。 2 0 0 0 年以后，陆续出现了一些即时通信协议的标准，包括s i p ( s e s s i o n i n i t i a t i o n p r o t o c 0 1 ) 9 】和s i m p l e ( s i pf o r i n s t a n t m e s s a g i n g a n dp r e s e n c e l e v e r a g i n ge x t e n s i o n s ) 10 】，x m p p ( e x t e n s i b l em e s s a g i n g a n dp r e s e n c e p r o t o c 0 1 ) 1 l 】【1 2 】等。其中x m p p 是一个开放式的标准，推出之后得到了很多人 的拥护，g o o g l e 推出的g t a l k 1 3 也遵循此标准，产生了较大的影响。 与此同时，传统的产品商之间也开始寻求合作，比如微软和雅虎合作，进行 了m s n 和y i m 互通的尝试。2 0 0 8 年3 月，a o l 公布了o s c a r ( o p e ns y s t e m f o rc o m m u n i c a t i o ni nr e a l t i m e ) 【1 4 1 协议的文档，其旗下的产品a i m 和i c q 都 使用此协议。之后，g t a l k 也集成了相应的功能，使得其用户可以访问使用a i m 的用户。 另外，也出现了一些第三方的i m 软件，可以兼容多个主流的i m 客户端软 件。如美国c e r u l e a ns t u d i o s 公司推出的t r i l l i a n 1 5 ，可以兼容i c q 、a i m 、m s n m e s s e n g e r 、y i m 、g t a l k 等，使用它就可以和这些即时通信系统的用户进行联系。 总的来说，即时通信的厂商正在逐步地走向融合，未来的统一应该是一个趋 势。但是有一些厂商好象还没有任何与其他产品合作的迹象，因此短期内还做不 到完全的统一。 1 1 2 即时通信的安全及其研究现状 在学术界，关于即时通信的研究工作取得了很多进展，但是在安全方面的研 究却不是很多，由此也可以看出，安全问题还没有得到足够的重视。 在i m 的安全方面，h k i k u c h i 和m t a d a 等人针对用户对i m 服务器的保密 进行了研究，并设计了一个改进的d i f f i e - h e l l m a n 协议 1 6 1 ，该协议允许两个用 户或多个用户之间可以协商一个会话密钥，从而对传送的消息进行加密。但是， 由于协议中没有包含认证机制，所以它不能够抵挡i m 服务器发起的中间入攻击。 h i n d o e h a 在发表于2 0 0 3 年的白皮书中，讨论了主流的i m 协议以及相关的蠕虫 和风险，有一个网络资源针对c e r u l e a ns t u d i o s 的t r i l l i a n 应用进行了安全性分析， 关于公共即时通信在企业环境下使用时的安全问题在网络上也有非正式的讨论 【1 7 1 。 m a n n a n 和o o r s c h o t 研究了即时通信所面l 临的安全威胁 1 7 1 ，并提出了即时 3 山东大学硕士学位论文 蔓量曼皇曼鼍舅曼鼍曼鼍曼曼曼曼曼量曼曼皇曼量曼毫曼曼皇曼皇曼! 曼曼曼曼曼曼曼皇皇舅舅i i i 一。鼍曼曼鲁置鼍喜皇量曼曼皇皇皇皇皇曼甍曼蔓 通信密钥交换( i n s t a n tm e s s a g i n gk e ye x c h a n g e ，i m k e ) 协议【1 8 】，据称i m k e 可以提供用户和服务器的双向认证，协商会话密钥，并且可以实现用户的消息对 服务器的保密。在该协议中，用户每次登陆时产生一个临时的公私钥对，在登 陆成功以后将公钥传给服务器保存。当两个用户需要通信时，首先需要由服务器 将他们的公钥发送给对方，然后他们协商一个会话密钥，用于本次通信的加密。 用户必须相信服务器传给自己的公钥确实是真实的，因为他们没有其他的方式来 进行鉴别。如果服务器自己产生一个密钥对，然后将自己的公钥传给通信的两个 用户，那么他可以成功的发动中间人攻击，从而知道两个人通信的内容。 2 0 0 4 年，n b o r i s o v 和i g o l d b e r g 等人提出安全的即时通信应该做到“完善 前向保密”( p e r f e c tf o r w a r ds e c r e c y ) 和“可否认性”( r e p u d i a b i l i t y ) ，并提出了实 现这种安全性的o t r 协议( o f f - t h e r e c o r dm e s s a g i n g ) 【1 9 。在现实世界中，当 两个朋友面对面或通过电话进行私人谈话时，正常情况下都不能使用窃听设备或 录音设备记录下他们的谈话，除非征得他们的同意，否则就侵犯了他们的隐私。 当这两个朋友在因特网上通过即时通讯软件聊天时，对他们的隐私的最高级别的 保护应该是做到同两个人面对面聊天时一样。为了做到这一点，即时通信的安全 性应该做到“完善前向保密一和“可否认性n o2 0 0 5 年，m r a i m o n d o 等人在文 章中对o t r 协议进行了分析，指出了协议中存在的缺陷，并提出了他们的改进 措施 2 0 l 。 在i e t f 社区中，关于i m 协议的标准化工作，主要有三个工作组：i m p p ( i n s t a n tm e s s a g i n ga n dp r e s e n c ep r o t o c 0 1 ) ，s i m p l e ( s i pf o ri n s t a n tm e s s a g i n ga n d p r e s e n c el e v e r a g i n ge x t e n s i o n s ) 和x m p p ( e x t e n s i b l em e s s a g i n ga n dp r e s e n c e p r o t o c o l ，基于j a b b e r 协议) 。这些工作组已经出版了一些r f c 文档，在r f c 2 7 7 9 中，列出了i m p p 协议对于安全问题的考虑。m d e b b a b i 和m r a h m a n 对i m 协 议进行了比较【2 l 】，其中包括s i m p l e 和x m p p 协议。 x m p p 使用一种方法来保护x m l 流不被窃听和篡改。它使用t l s 协议为数 据流加密，并配合使用“s t a r t t l s 扩展来提供完整性保护。在x m p p 中，推 荐使用s a s l 协议来提供认证支持。 针对于s i p 的安全协议和机制已得到了充分的标准化，然而，还没有开发出 针对s i m p l e 协议的安全协议。在s i m p l e 中，用于认证、端到端保护、防止 9 山东大学硕士学位论文 重放和拒绝服务攻击的安全机制，主要由t l s 和s m i m e ( s e c u r e m u l t i p u r p o s e i n t e m e tm a i le x t e n s i o n s ) 协议来提供。这些安全机制的细节可以参考r f c 3 4 2 8 ， i 江c 3 2 6 l 和r f c 3 2 6 5 。 1 1 3 论文的研究范围 在本论文中，将不会讨论用于移动设备的即时通信系统，另外，对于s m s 、 i r c 、聊天室的讨论也不会涉及到。现在很多公司都推出了针对企业应用的即时 通信软件，但是由于这些软件的安全特性并没有完全公开，很难获得关于这方面 的文档，因此，企业级的即时通信系统也不是论文讨论的重点。 论文将主要针对通过互联网进行连接的公共即时通信系统展开讨论，如果没 有特别说明，那么讨论的客户端软件将是基于w i n d o w s 操作系统的。 即时通信的安全问题可以分为技术性问题和社会性问题两大类，技术性问题 是指即时通信系统在设计和实现上的缺陷所引起的问题；而社会性问题则是指诸 如通过即时通信进行聊天时不小心将敏感信息告诉给对方或是由于社会工程学 原因而泄露口令给别人等等。论文将只针对技术性问题进行讨论。 1 2 论文所做的主要工作 论文主要围绕即时通信的安全机制和基于身份密码学在即时通信中的应用 展开研究，具体来说，论文所做的工作主要有以下这几个方面： 论文描述了即时通信系统的基础知识，并对即时通信安全方面的研究进行了 综述。论文总结了现有的主流即时通信系统的安全机制，分析了即时通信在当前 的因特网环境中所面临的安全威胁，在此基础了列出了即时通信系统的安全目 标。 论文介绍了基于身份密码学( i b c ) 的基础知识，并针对基于身份密码学在 即时通信中的应用进行了研究。基于身份密码学相比于传统的公钥密码体制有很 多优势，但是到目前为止它还没有得到广泛的应用，关于其应用的研究只限于少 数的几个方面。论文论述了将基于身份密码学应用到即时通信系统中的原因和优 势，针对即时通信系统，提出了基于身份密码体制中身份认证和私钥分发问题的 解决方案，在此基础上提出了基于身份的即时通信加密协议( i b i m e p ) 。 i b i m e p 提供用户和i m 服务器之问的双向认证，保证用户与服务器之间、 用户与用户之间传输信息的机密性和完整性，保证用户对以往所发消息的可否认 1 0 山东大学硕士学位论文 性。使用基于身份的密码体制，避免了传统公钥体制中的证书管理问题，i b i m e p 不会给用户带来任何负担，也不会对用户使用时的方便性和移动性有任何影响， 它对用户来说是完全透明的。 最后，论文对i b i m e p 的安全性进行了分析，对其实现时需要解决的关键问 题进行了研究和说明。 1 3 论文的结构安排 在第l 章对论文的情况做了简单介绍之后，论文在第2 章对现在主流的即时 通信系统的安全机制做了详细的研究，分析了在因特网中存在的安全威胁，提出 了即时通信系统的安全目标。在第3 章，论文提出了基于身份的即时通信加密协 议( i b i 陋p ) ，并对其安全性进行了分析。在第4 章，论文讨论了i b i m e p 在实 现时需要解决的关键问题，着重介绍了相关的密码算法的实现，以及在i m 系统 中嵌入i b i m e p 安全机制时对系统的影响。最后，在第5 章中对论文的工作进行 了总结。 山东大学硕士学位论文 皇量曼鼍皇量曼曼曼鼍暑曼曼鲁量皇曼量鲁量曼量量曼曼量曼曼曼曼曼曼曼曼曼! 曼曼曼曼曼曼皇曼曼皇皇皇鼍曼曼曼皇皇曼i l li 量皇皇曹量喜皇皇量量曼曼曼曼曼曼皇蔓 第2 章即时通信系统的安全目标 在本章中，首先介绍即时通信系统的一些定义和特性，以方便以后的讨论。 接下来将列出当前主流的即时通信系统的安全机制，然后分析即时通信系统在互 联网中所面临的安全威胁。最后，给出即时通信系统所应该具备的安全特性。 2 1 即时通信系统基础 即时通信系统( i m s ，i n s t a n tm e s s a g i n gs y s t e m ) ，也叫做在场与即时通信系 统( p r e s e n c ea n di n s t a n tm e s s a g i n gs y s t e m ) 【7 】，它有两个基本的特征，一是用 户之间可以订阅彼此的在场信息( p r e s e n c ei n f o r m a t i o n ) ，这样当其状态发生变化 ( 如由“在线变为“离开”) 时系统会通知对方；二是用户之间可以实时地交 换消息。 因此，在即时通信模型中，包含两种基本的服务，在场服务( p r e s e n c e s e r v i c e ) 和即时消息服务( i n s t a n tm e s s a g es e r v i c e ) 。在场服务为用户 提供联系人的列表，识别联系人的状态，以及将自己的状态分发到各个联系人； 即时消息服务用于处理联系双方的通信过程，负责把消息在通信双方之间进行传 送，同时提供一定的消息存储能力。 为方便以后的讨论，在表2 1 中，给出了即时通信相关的一些定义。 在线用户 一个成功登陆到i m 服务器的用户。 在场在场信息揭示了一个用户是否已登陆到i m 服务器。 可达性用户模式可达性信息表示用户在当时是否想要收发消息，也通 过状态来表示，如“忙碌 ，“离开 等。 联系人好友列表 一个用户i d 的列表，这些用户的在场信息和可达性 信息已被当前用户订阅。 阻塞列表一个用户i d 的列表，列表中的用户将无法得到当前用 户的在场信息和可达性信息，也无法给当前用户发送 消息。 表2 1 即时通信相关定义 1 2 山东大学硕士学位论文 许可列表 一对一会话 群组会话 聊天室 i m 用户 i m 客户端 i m 服务器 一个用户l d 的列表，列表中的用户可以发送消息给当 前用户，也可以追踪该用户的在场和可达性信息。 一个用户和另一个用户之间互相发送接收消息。 同时在多个用户之间进行信息的交换，这些用户形成 了一个虚拟的“群 ，通常该群只是暂时性的。 一个虚拟的房间，在其中有多个用户，可以就特定的 话题进行交流。 一个通过i m 客户端软件使用i m 服务的个体。 一个软件( 程序) ，用户可通过它使用即时通信服务。 一个软件( 程序) ，可以供i m 客户端访问，并提供相 应的即时通信服务。 表2 1 ( 续)即时通信相关定义 主要的即时通信网络所使用的协议，在因特网上都可以找到其描述。有些是 软件商已将协议公开，有些是被人通过逆向工程获得，然后在网上发布。在本节 的剩余部分，将简单介绍流行的i m 系统的结构。关于a i m 、y i m 和m s n 的协 议的细节在很多网站上都可以找到 1 4 2 2 1 1 2 3 1 1 2 4 1 。 在i m 客户端中，通用的特性有：联系人列表，黑名单( 阻塞人列表) ，在 场信息，可达性状态信息( 如“离开一，“忙碌 等) ，发送和接收消息( 一对一， 多用户) ，发送和接收文件，电子邮件，音频和视频聊天，在线游戏，为不同类 型的用户设置不同的许可权限( 如好友列表，陌生人等) ，消息存档。 大多数的i m 系统中，都是采用客户机服务器模式。用户通过客户端向服务 器注册，得到一个唯一的用户i d ，在注册时用户设置一个私密的1 ：3 令，用于每 次登陆时认证自己的身份。登陆时从客户端传送到服务器的一般是口令的哈希 值。 通常，通信双方发送消息需要经过i m 服务器，但是也有一些系统采用另外 一种方式，它在通信双方之间建立通信连接，形成p 2 p ( 点对点) 通信方式，这 样他们之间的消息传递就可以直接进行而不需要服务器的转发。也有一些系统集 合了这两种方式，它们利用直接连接传递视频、语音或数据文件，通过转发来传 递文本消息。 山东大学硕士学位论文 ! + l l i i i 鼍皇量曼量舅置舅罾曼皇曼量量曼皇量鲁量置皇曼皇曼皇皇曼曼篡皇曼曼曼鼍曼皇曼曼曼皇曼曼曼皇曼皇皇皇曼曼曼曼曼曼量量曼曼曼曼曹 在大多数情况下，网络通信通过t c p 来进行，但是，有时候在使用p 2 p 连 接时，会采用u d p 协议。另外，在一些企业即时通信系统中采用了s s l ，它同 样也用在了m s n 协议的认证阶段。 对于用户来说，i m 服务器是唯一的，但是这个服务器实际上可能是由一组 服务器组成的，由一个或多个i m 服务提供者来控制，只不过这对用户来说是透 明的。如果用户a 想要和用户b 通信，他们必须登陆到同样的i m 服务器上， 根据特定的设置，a 发送给b 的消息可能需要服务器转发。在a 和b 之间需要 直接通信的情况下，服务器需要给双方提供一些必要的信息( 如网络地址) 。下 图显示了一个标准的i m 通信模型( i mc o m m u n i c a t i o n sm o d e i ) 。 或间接连接 图2 1i m 的通信模型 2 2 当前系统所用的安全机制 在本节中，我们列出了主流的i m 客户端软件中的安全机制，并总结了主要 的第三方i m 软件中的安全特性。对一些解决方案的安全缺陷也进行了简单的讨 论。 i m 客户端软件的安全机制 几乎所有i m 客户端软件中都有一个选项，使得在接收到文件之后马上启动 防病毒软件进行杀毒。另外，用户a 可以启动一个授权选项，当用户b 想要加 a 为好友时，必须征得a 的同意。用户a 还可以设置一个选项，设定其他用户 是否能看到他的在线状态，或是给他发送消息或文件。然而，在大多数的i m 软 件中，添加为好友的请求和回应都没有加密，这使得他们很容易被欺骗。在i c q 中，用户可以选择一些特定的好友，使得当自己隐身登陆时，这些好友还是可以 1 4 山东大学硕士学位论文 看到自己的在线状态。i c q 和y i m 中都有一种字过滤机制，用以过滤掉包含有 特定字眼的消息。 在i c q 中，当用户设置为最高安全级别时，每次用户想要修改用户资料， 安全和隐私设置或优先选项时，都必须输入用户口令。但是这个选项并不是缺省 设置，需要用户在安装完成后显式设置。为了防止收到大量的垃圾信息，在i c q 中，可以设置为自动拒绝接收发给多个目的的消息。还可以拒收含有u r l 地址 的消息，这在一定程度上可以避免不小心打开有恶意网页的链接。在最新版本的 i c q 中，可以设置为只能和特定的用户进行p 2 p 连接，因为当进行p 2 p 连接时， 对方可以知道你的i p 地址，这个选项可以避免把i p 泄露给自己不信任的人。 当i m 客户端软件中增加了新的特性，或是修补了一个漏洞时，通常会发布 新的版本。现在大多数的软件提供商都会在登陆时提醒用户，升级到新的版本。 尤其是当有很重要的改进时，还强制用户必须升级后才能继续使用。另外一个有 用的特性是，大多数的i m 软件都有防止自动注册帐户的机制。这可以防止攻击 者通过大量注册的用户向目标发送垃圾信息。 第三方软件的安全机制 有些产品商推出了“安全 的i m 解决方案，由于没有正式的文档对其安全 机制进行说明，因此，下面的讨论只基于能获得的网络资源，用户使用指导和帮 助文件。 a i m 为用户提供了一种安全机制，使用个人数字证书来完成认证以及对消 息的完整性和私密性保护，但是，用户首先需要从v e r i s i g n 公司购买数字证书， 才能使用这种功能。对于普通的i m 用户来说，这种代价太过昂贵。不仅如此， 由于证书的发布，验证，到期，更新，撤销等操作对用户都不是透明的，这加重 了他们的负担。与此类似，基于p g p 加密的g a i m - e 用于为g a i m 软件提供安全 保护，但是它也需要用户来维护p g p 密钥 1 7 1 。 i m s e c u r e 和i m s e c u r ep r o 为流行的i m 客户端软件( a o li n s t a n tm e s s e n g e r , i c q ，m s nm e s s e n g e r , y a h o o ! m e s s e n g e r ) 提供加密服务。下面描述了它们的工作 机制( 节选自i m s e c u r e 安装后的r e a d m e 文件和帮助文件) ： i m s e c u r ep r o 使用o p e n s s l 库来提供加密服务。在加密消息时采用1 6 8 位 的3 d e s 算法。但是在使用a i m 时，如果a i m 自己的加密启动之后，则不能再 山东大学硕士学位论文 同时使用i m s e c u r e 的3 d e s 加密。在使用y i m 时，i m s e c u r e 不能加密经过h t t p 代理的消息，或是经过“没有代理的防火墙”的消息。i m s e c u r e 也不支持a i m 或i c q 中的直接连接。 在用户第一次登陆时，i m s e c u r e 会自动为用户的i m 帐户创建一个自签的证 书。当用户和另一个使用i m s e c u r e 的用户通信时，i m s e c u r e 首先会和对方交换 各自的证书，并保存在计算机中。然后i m s e c u r e 会生成一个会话密钥，用来加 密本次会话，它使用对方证书中的公钥加密会话密钥，传给对方。对方用户收到 后用自己的私钥解密，得到会话密钥。这样就完成了初始化工作。之后的通信双 方将使用会话密钥加密。每一次会话的会话密钥都是不一样的。 另一个第三方软件t r i l l i a n 也可以为a i m 和i c q 用户提供消息加密功能， m d m u r p h y 对这种方法进行了分析 2 5 1 。 i m s e c u r e 和t r i l l i a n 所提供的安全方案在一定程度上可以为用户保证消息的 完整性和保密性，但是它们都没有认证机制。在这些系统中，即时消息在两个终 端用户之间传送时是保密的，但是从客户端到服务器的通信却没有加密。 i m s e c u r e 还有一个不方便之处是，需要在用户以及跟他通信的用户所使用的每 一个系统上安装该软件，否则就不能使用其提供的功能。i m s e e u r e 需要在用户 的电脑上保存私钥等信息，这也限制了用户只能使用这个主机进行通信。 ，使用s s l 的安全机制 r e u t e r sm e s s a g i n g ( r m ) 【2 6 】是一款针对金融服务业的企业用户的即时通信 软件，它使用1 2 8 位的s s l 来加密传输的消息。在因特网中使用基于s s l 的即 时通信系统有三个缺陷：( 1 ) s s l 模型假设通过因特网的一个通信连接是不安全 的；但是连接的两个终端主机本身是可以信任的。因此，如果在用户不知道的情 况下，他的主机感染了恶意软件( 这是很有可能发生的，因为在现有的因特网环 境中，在任何一个特定的时间，网络上都存在大量被感染的主机) ，那么基于s s l 的解决方案将不能够再保证通信的安全。( 2 ) s s l 加重了服务器的负担，因此这 种协议会消耗较多的资源，速度也较慢。( 3 ) 由于s s l 只是在连接的双方之间 进行加密，当消息经过服务器转发时，需要先解密再重新加密，因此不能做到端 到端的保密。但是对于需要监视并记录系统中的通信的情况下，上述的最后一点 反倒成为了一个优势，然而如果用户非常珍视自己的隐私，不想让服务提供者知 1 6 山东大学硕士学位论文 道自己通话的内容，则需要考虑这个问题。 使用o t r 协议的安全机制 o t r 协议由密码学家n i k i t ab o r i s o v 和i 觚g o l d b e r g 等人设计【1 9 】，后来由 g o l d b e r g 领导的o t r 开发小组实现。目前支持o t r 协议的i m 客户端有：a d i u m ， c l i m m ，m c a b b e r 等，针对p i d g i n ，m i r a n d a ，t r i l l i a n 等客户端的第三方插件也已 经被开发出来了，可以在o t r 协议的官方网页上下载相关的软件和库文件 2 7 】。 o t r 协议使用s m p ( s o c i a l i s tm i l l i o n a i r e s p r o t o c 0 1 ) 进行认证，使用 d i f f i e - h e l l m a n 协议进行密钥协商，使用a e s 进行加密。o t r 可以为用户提供认 证，通信数据的安全性，完善前向保密和可否认性。目前o t r 已经发展到第2 版，它最大的问题是，在o t r 协议中，用户需要维护一个长期的d s a 公钥，用 于用户之间的认证，这给用户带来了很大的负担，也损害了协议的可用性。 2 3 即时通信系统的安全威胁 为了设计出适用于即时通信系统的安全机制，我们首先需要弄清楚，在当前 的互联网环境中，即时通信系统所面临的风险是什么。通过对以往攻击形式的总 结，以及对现有系统缺陷的分析，本节中将列出针对即时通信系统的最主要的安 全威胁。 1 不安全的连接。 大部分的即时通信系统使用客户机服务器模型来进行通信，使用p 2 p 连接 来进行辅助。由于因特网的开放性和当前网络协议的不安全特性，从客户机到服 务器，以及客户机到客户机之间的连接是非常脆弱的，攻击者完全有可能切断、 假冒这些连接或窃听连接中传输的数据。目前大多数的即时通信系统除了在登陆 时需要口令外，在其他时候的连接都缺乏认证以及机密性和完整性保护，这个缺 陷还可能引起假冒，拒绝服务攻击，中间人攻击和重放攻击等。比如，攻击者通 过截获并接管用户同其联系人的连接，就可以任意向其发送消息，不管攻击者是 否在该用户的联系人列表中。 2 服务器假冒。 ， 使用类似q h o s t s 1 的木马可以修改受害者系统中的网络设置，使其指向错 误的d n s 服务器r 1 7 1 。攻击者利用这一点可以使用户连接到假冒的i m 服务器。 由于即时通信系统在用户登陆时只有服务器对用户的认证，而没有用户对服务器 1 7 山东大学硕士学位论文 詈i i i 曼曼曼置曼蔓量曼曼曼量 的认证机制，攻击者可以利用假冒的服务器来发动中间人攻击，进而收集用户的 帐户信息，窃听用户的通信，或冒充用户等。 3 身份假冒。 攻击者至少有两种方式来假冒系统中的合法用户。一种是窃取用户的登陆口 令，另一种是当用户登陆到服务器后，攻击者捕获并接管用户到服务器的连接。 另外，如果连接没有加密的话，通过中间人攻击很容易假冒连接的双方。 4 蠕虫传播。 蠕虫是指可以在网络上扩散传播的恶意代码，其传播有可能需要借助人类的 辅助，也可能不需要。即时通信系统的文件传送功能非常容易帮助蠕虫的传播。 通常，当一个用户收到自己的好友发送的文件时，不会产生怀疑。很多蠕虫都利 用这一点，通过假冒发送者而达到了扩散的目的。同电子邮件中的地址簿类似， 蠕虫可以通过受感染者的在线好友列表来感染更多的用户，而且，由于即时通信 的实时特性，使得蠕虫传播的速度远远快于它在电子邮件中的传播速度。另外， 由于即时通信针对穿越防火墙的设计和在网关级别识别即时通信流量的困难，恶 意软件借助即时通信的文件传送，比利用电子邮件附件更容易通过防火墙。 现在很多即时通信软件都可以在收到文件后自动启动防病毒软件，进行病毒 扫描，这在一定程度上有些帮助，由于能扫描的文件类型的限制，防病毒软件也 不一定能够发现隐藏在媒体文件或图片文件中的病毒。 5 注册表和消息存档。 在即时通信客户端软件中有很多关于安全的选项，用户可以根据需要来进行 设置。很多客户端软件将这些设置保存在w i n d o w s 的注册表中，保存在注册表 中的设置有可能包括：加密的口令，用户名，收到文件后是否进行病毒扫描以及 防病毒软件的路径，被其他用户加为好友时是否需要允许，是否任何人都可以向 其发送消息，是否与其他人共享文件以及共享文件的路径，当修改安全相关的设 置时是否需要输入口令。任何对w i n d o w s 比较熟悉的用户都可以阅读注册表中 的信息，有管理员权限的用户还能够对注册表进行修改。因此，一个攻击者通过 木马就可以获取或修改受害者主机中的这些信息。通过修改某些安全设置，可以 使其对该用户的攻击变的容易。获取到用户加密的口令之后，也可以使用某些网 络上的工具( 如a i m p r ) 来得到明文的口令【1 7 】。 1 8 山东大学硕士学位论文 即时通信软件都允许用户在本机上保存聊天记录。很多软件都直接以明文方 式将其保存在系统的某个目录中，通常都在该软件的安装目录，一般很容易找到。 t e n c e n tq q 中有一个选项，允许用户选择将记录加密保存，查看时需要输入1 3 令。 它的加密是使用m d 5 进行多次循环，在网络上可以找到对q q 加密记录的分析 和破解方法【2 8 】。 6 恶意链接。 指向恶意网页的链接可以包含在普通的文本消息中进行传送，在i c q 中有 一个选项，可以设置是否接收含有超级链接的消息。在a i m 中，用户可以在消 息中创建的超级链接，它的文字所显示的地址和它实际指向的地址是完全不同 的，这很容易使得收到消息的用户在不知情的情况下访问某些恶意网址。 2 4 即时通信系统的安全目标 在本节我们将讨论，在设计即时通信的安全机制时，需要达到的安全目标。 同时，我们还要讨论所设计的安全机制和i m 系统的衔接，以及它对系统用户所 产生的影响。这些都是非常重要的，如果一种安全机制需要i m 系统修改大量的 代码才能够实现，或是给用户的使用带来很多的不方便，那么这种安全机制很难 会得到接纳和采用，更不用说用它来保证系统的安全了。 即时通信系统在安全方面应该达到的目标有如下这些： 1 用户和服务器之间的双向认证。 。 在即时通信系统中，一个用户的i d 和他的口令一起，标识了这个用户的身 份。用户登陆时使用自己的m 和e l 令，向服务器认证自己的身份，但是绝大多 数的即时通信系统中，都不存在用户对服务器的认证机制。上一节已经提到了由 于这个缺陷可能给系统带来的风险，在设计即时通信的安全机制时，必须考虑用 户和服务器对彼此身份的认证。 2 用户和服务器之间所传送的信息的安全性。 在因特网中的连接由于其开放性，使得攻击者可以对连接中传送的信息进行 窃听和修改，为了保证信息的安全性，必须使用密码算法来提供机密性和完整性 保护。 3 用户和用户之间所传送的信息的安全性。 用户和用户之间的连接有两种情况，一是直接连接，