即時通信系統(tǒng)的安全目標(biāo)

摘 要:即時通信系統(tǒng)(IMS，Instant Messaging System)，也叫做在場與即時通信系統(tǒng)(presence and Instant Messaging System)，它有兩個基本的特征，一是用戶之間可以訂閱彼此的在場信息(presence information)，這樣當(dāng)其狀態(tài)發(fā)生變化(如由“在線”變?yōu)椤半x開”)時系統(tǒng)會通知對方;二是用戶之間可以實時地交換消息。本文分析即時通信系統(tǒng)在互聯(lián)網(wǎng)中所面臨的安全威脅，最后，給出即時通信系統(tǒng)所應(yīng)該具備的安全目標(biāo)。

關(guān)鍵詞:即時通信系統(tǒng)安全威脅安全目標(biāo)

中圖分類號:TP393.08文獻(xiàn)標(biāo)識碼:A文章編號:1674-098X(2011)05(c)-0248-01

1 即時通信系統(tǒng)的安全威脅

為了設(shè)計出適用于即時通信系統(tǒng)的安全機(jī)制，我們首先需要弄清楚，在當(dāng)前的互聯(lián)網(wǎng)環(huán)境中，即時通信系統(tǒng)所面臨的風(fēng)險是什么。通過對以往攻擊形式的總結(jié)，以及對現(xiàn)有系統(tǒng)缺陷的分析，本文中將列出針對即時通信系統(tǒng)的最主要的安全威脅。(1)不安全的連接。大部分的即時通信系統(tǒng)使用客戶機(jī)一服務(wù)器模型來進(jìn)行通信，使用PZP連接來進(jìn)行輔助。由于因特網(wǎng)的開放性和當(dāng)前網(wǎng)絡(luò)協(xié)議的不安全特性，從客戶機(jī)到服務(wù)器，以及客戶機(jī)到客戶機(jī)之間的連接是非常脆弱的，攻擊者完全有可能切斷、假冒這些連接或竊聽連接中傳輸?shù)臄?shù)據(jù)。目前大多數(shù)的即時通信系統(tǒng)除了在登陸時需要口令外，在其他時候的連接都缺乏認(rèn)證以及機(jī)密性和完整性保護(hù)，這個缺陷還可能引起假冒，拒絕服務(wù)攻擊，中間人攻擊和重放攻擊等。比如，攻擊者通過截獲并接管用戶同其聯(lián)系人的連接，就可以任意向其發(fā)送消息，不管攻擊者是否在該用戶的聯(lián)系人列表中。(2)服務(wù)器假冒。使用類似QH0sts一1的木馬可以修改受害者系統(tǒng)中的網(wǎng)絡(luò)設(shè)置，使其指向錯誤的DNs服務(wù)器。攻擊者利用這一點可以使用戶連接到假冒的IM服務(wù)器。由于即時通信系統(tǒng)在用戶登陸時只有服務(wù)器對用戶的認(rèn)證，而沒有用戶對服務(wù)器的認(rèn)證機(jī)制，攻擊者可以利用假冒的服務(wù)器來發(fā)動中間人攻擊，進(jìn)而收集用戶的帳戶信息，竊聽用戶的通信，或冒充用戶等。(3)身份假冒。攻擊者至少有兩種方式來假冒系統(tǒng)中的合法用戶。一種是竊取用戶的登陸口令，另一種是當(dāng)用戶登陸到服務(wù)器后，攻擊者捕獲并接管用戶到服務(wù)器的連接。另外，如果連接沒有加密的話，通過中間人攻擊很容易假冒連接的雙方。(4)蠕蟲傳播。蠕蟲是指可以在網(wǎng)絡(luò)上擴(kuò)散傳播的惡意代碼，其傳播有可能需要借助人類的輔助，也可能不需要。即時通信系統(tǒng)的文件傳送功能非常容易幫助蠕蟲的傳播。通常，當(dāng)一個用戶收到自己的好友發(fā)送的文件時，不會產(chǎn)生懷疑。很多蠕蟲都利用這一點，通過假冒發(fā)送者而達(dá)到了擴(kuò)散的目的。同電子郵件中的地址簿類似，蠕蟲可以通過受感染者的在線好友列表來感染更多的用戶，而且，由于即時通信的實時特性，使得蠕蟲傳播的速度遠(yuǎn)遠(yuǎn)快于它在電子郵件中的傳播速度。(5)注冊表和消息存檔。在即時通信客戶端軟件中有很多關(guān)于安全的選項，用戶可以根據(jù)需要來進(jìn)行設(shè)置。很多客戶端軟件將這些設(shè)置保存在Windows的注冊表中，保存在注冊表中的設(shè)置有可能包括:加密的口令，用戶名，收到文件后是否進(jìn)行病毒掃描以及防病毒軟件的路徑，被其他用戶加為好友時是否需要允許，是否任何人都可以向其發(fā)送消息，是否與其他人共享文件以及共享文件的路徑，當(dāng)修改安全相關(guān)的設(shè)置時是否需要輸入口令。任何對Windows比較熟悉的用戶都可以閱讀注冊表中的信息，有管理員權(quán)限的用戶還能夠?qū)ψ员磉M(jìn)行修改。因此，一個攻擊者通過木馬就可以獲取或修改受害者主機(jī)中的這些信息。通過修改某些安全設(shè)置，可以使其對該用戶的攻擊變的容易。獲取到用戶加密的口令之后，也可以使用某些網(wǎng)絡(luò)上的工具(如AIMPR)來得到明文的口令。(6)惡意鏈接。指向惡意網(wǎng)頁的鏈接可以包含在普通的文本消息中進(jìn)行傳送，在ICQ中有一個選項，可以設(shè)置是否接收含有超級鏈接的消息。在AIM中，用戶可以在消息中創(chuàng)建的超級鏈接，它的文字所顯示的地址和它實際指向的地址是完全不同的，這很容易使得收到消息的用戶在不知情的情況下訪問某些惡意網(wǎng)址。

2 即時通信系統(tǒng)的安全目標(biāo)

在設(shè)計即時通信的安全機(jī)制時，需要達(dá)到的安全目標(biāo)。同時，我們還要討論所設(shè)計的安全機(jī)制和IM系統(tǒng)的銜接，以及它對系統(tǒng)用戶所產(chǎn)生的影響。這些都是非常重要的，如果一種安全機(jī)制需要IM系統(tǒng)修改大量的代碼才能夠?qū)崿F(xiàn)，或是給用戶的使用帶來很多的不方便，那么這種安全機(jī)制很難會得到接納和采用，更不用說用它來保證系統(tǒng)的安全了。即時通信系統(tǒng)在安全方面應(yīng)該達(dá)到的目標(biāo)有如下這些:(1)用戶和服務(wù)器之間的雙向認(rèn)證。在即時通信系統(tǒng)中，一個用戶的ID和他的口令一起，標(biāo)識了這個用戶的身份。用戶登陸時使用自己的ID和口令，向服務(wù)器認(rèn)證自己的身份，但是絕大多數(shù)的即時通信系統(tǒng)中，都不存在用戶對服務(wù)器的認(rèn)證機(jī)制。由于這個缺陷可能給系統(tǒng)帶來的風(fēng)險，在設(shè)計即時通信的安全機(jī)制時，必須考慮用戶和服務(wù)器對彼此身份的認(rèn)證。(2)用戶和服務(wù)器之間所傳送的信息的安全性。在因特網(wǎng)中的連接由于其開放性，使得攻擊者可以對連接中傳送的信息進(jìn)行竊聽和修改，為了保證信息的安全性，必須使用密碼算法來提供機(jī)密性和完整性保護(hù)。(3)用戶和用戶之間所傳送的信息的安全性。用戶和用戶之間的連接有兩種情況，一是直接連接，這時同樣需要保證連接中信息的機(jī)密性和完整性。第二種情況是間接連接，也就是說消息由服務(wù)器轉(zhuǎn)發(fā)。在用戶和服務(wù)器之間的連接的安全性得到保證的情況下，不采取額外措施也可以保證信息對系統(tǒng)外的攻擊者的保密性，但是卻不能保證信息對服務(wù)器的保密性，因此這兩種情況下都應(yīng)該采取措施來保證用戶之間所傳送信息的安全。(4)完善前向保密和可否認(rèn)性。完善前向保密是指，即使在密鑰協(xié)商協(xié)議中所使用的長期私鑰在某個時間點泄露了，在該時間點以前所建立的會話密鑰的安全性也不會受到影響。(5)抵抗重放攻擊。抵抗重放攻擊也就是要能夠保證信息的新鮮性，在用戶和服務(wù)器通信，或是用戶和用戶通信時，他們都應(yīng)該能夠確定對方發(fā)給自己的消息確實是新生成的真實的消息，而不是攻擊者發(fā)來的以前截獲的消息。(6)限制蠕蟲的傳播。即時通信的實時性使它非常有利于蠕蟲的傳播，設(shè)計者需要采取多方面的措施，來盡可能地限制蠕蟲的傳播。(7)對用戶使用的影響。如果為了做到安全，IM系統(tǒng)給用戶增加很大的負(fù)擔(dān)，或者影響到他們的使用習(xí)慣，比如，需要用戶親自處理數(shù)字證書的申請，分發(fā)，撤消等操作，或是限制用戶只能在某一臺電腦上使用系統(tǒng)的服務(wù)，那么這種系統(tǒng)恐怕很難會獲得用戶的支持。在設(shè)計安全機(jī)制時必須考慮到這一點，才能最終達(dá)到想要的安全目標(biāo)。(8)對客戶端軟件和服務(wù)器代碼的影響。設(shè)計安全機(jī)制時要考慮的另一個問題，就是這個安全機(jī)制和IM系統(tǒng)之間的銜接。有些第三方軟件是完全獨立的，不需要對用戶所使用的IM系統(tǒng)做任何改動，那么它的使用就比較方便。但是有些協(xié)議需要嵌入到原來的IM系統(tǒng)的代碼之中，它可能需要IM服務(wù)器和客戶端的代碼都做一些修改。這種情況下當(dāng)然是對原有系統(tǒng)的改動越少越好，最好是只牽涉到接口的部分，如果是需要IM系統(tǒng)的內(nèi)部做很大改動，那么這種安全機(jī)制的代價就太大了，有可能會影響到它的使用。