即時(shí)通信系統(tǒng)的安全目標(biāo)

摘 要:即時(shí)通信系統(tǒng)(IMS，Instant Messaging System)，也叫做在場(chǎng)與即時(shí)通信系統(tǒng)(presence and Instant Messaging System)，它有兩個(gè)基本的特征，一是用戶之間可以訂閱彼此的在場(chǎng)信息(presence information)，這樣當(dāng)其狀態(tài)發(fā)生變化(如由“在線”變?yōu)椤半x開”)時(shí)系統(tǒng)會(huì)通知對(duì)方;二是用戶之間可以實(shí)時(shí)地交換消息。本文分析即時(shí)通信系統(tǒng)在互聯(lián)網(wǎng)中所面臨的安全威脅，最后，給出即時(shí)通信系統(tǒng)所應(yīng)該具備的安全目標(biāo)。

關(guān)鍵詞:即時(shí)通信系統(tǒng)安全威脅安全目標(biāo)

中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2011)05(c)-0248-01

1 即時(shí)通信系統(tǒng)的安全威脅

為了設(shè)計(jì)出適用于即時(shí)通信系統(tǒng)的安全機(jī)制，我們首先需要弄清楚，在當(dāng)前的互聯(lián)網(wǎng)環(huán)境中，即時(shí)通信系統(tǒng)所面臨的風(fēng)險(xiǎn)是什么。通過對(duì)以往攻擊形式的總結(jié)，以及對(duì)現(xiàn)有系統(tǒng)缺陷的分析，本文中將列出針對(duì)即時(shí)通信系統(tǒng)的最主要的安全威脅。(1)不安全的連接。大部分的即時(shí)通信系統(tǒng)使用客戶機(jī)一服務(wù)器模型來進(jìn)行通信，使用PZP連接來進(jìn)行輔助。由于因特網(wǎng)的開放性和當(dāng)前網(wǎng)絡(luò)協(xié)議的不安全特性，從客戶機(jī)到服務(wù)器，以及客戶機(jī)到客戶機(jī)之間的連接是非常脆弱的，攻擊者完全有可能切斷、假冒這些連接或竊聽連接中傳輸?shù)臄?shù)據(jù)。目前大多數(shù)的即時(shí)通信系統(tǒng)除了在登陸時(shí)需要口令外，在其他時(shí)候的連接都缺乏認(rèn)證以及機(jī)密性和完整性保護(hù)，這個(gè)缺陷還可能引起假冒，拒絕服務(wù)攻擊，中間人攻擊和重放攻擊等。比如，攻擊者通過截獲并接管用戶同其聯(lián)系人的連接，就可以任意向其發(fā)送消息，不管攻擊者是否在該用戶的聯(lián)系人列表中。……