现在,关于Skype对企业网络以及个人用户有危害方面的那些正确的、不正确的信息正广泛地流传着。它究竟有多不安全呢?我将在本文中告诉你关于Skype漏洞的真相。 了解Skype的基本结构
Skype是点对点(P2P)应用程序,也就是说,用户与用户之间是直接连接的,不通过任何中间通信服务器。当用户登录, Skype最初使用基于网络的服务器来验证用户并且追踪他们的状态,但是一旦用户发起了“聊天”或者发送即时消息,“语音对话”或者“文件传输”,通信双 方就是通过p2p直接连接在一起来实现这些的。如果进行连接的用户中有不少于一个用户使用了典型的企业网络网址传输(NAT)防火墙,那么由于NAT不允 许建立直接的P2P连接,他们之间的通信将通过超节点来中转。在传输文件的时候,你会收到一则消息提示说你们的传输将被中转。
安全专家们最关心的Skype的一个特点就是Skype用户可以非常容易地绕过企业防火墙的配置。Skype使用的是80和 443端口,为了允许浏览网络,大部分防火墙都会开放这些端口的。另外,如果Skype安装的时候分配的端口不可用,Skype就会变更传输路线。于是, Skype使用的端口就可以按照需求来改变,这就使得用防火墙拦截Skype变得难上加难。
Skype还用唯一的AES 256位密钥为每次通信加密,也就是说你每次通信都使用不同的密钥,这样几乎不可能进行通信监听。
关于Skype的安全性还有一点值得注意,那就是为Skype传输定线的超节点。超节点实际上是一台带有特殊配置的电脑,它必须直 接连接到互联网,并且没有使用NAT防火墙。另外,该电脑必须有“真正的”公网路由IP地址。除了这些限制,任何满足最基本硬件和配置要求的Skype用 户的计算机都能成为超节点。
关于Skype的安全结构你还需要了解很多。更多详情,请访问Skype安全资源中心。
对Skype的恐惧心理
现在你已经了解了Skype怎样工作,我们来看看它是否不安全。现在有很多人都误解了Skype。以下是5个最常见的误解:
Skype占用网络上大量的带宽。
任何计算机都能成为超节点。
Skype跟其他IM应用程序一样,并且容易受到IM蠕虫和病毒的感染。
在我的网络中很难阻止Skype。
Skype加密了,因此我很难将IM信息归档储存。
现在我们来看看正确理解:
谬论1:Skype占用网络上大量的带宽
Skype实际上占用很少的带宽,每个语音对话占用的带宽差不多是30kb/s。如果用户电脑是超节点,那么当然超节点会占用大量 带宽。但是,你的电脑必须是直接连接到互联网上的,这样才能成为超节点,而在大多数企业环境中,PC都不是直接连接到互联网上的,因此通常超节点不是问题 所在。
谬论2:任何计算机都能成为超节点
我们已经知道只有那些有可路由的IP地址并且直接连接到互联网上的系统才能成为超节点。如果一台计算机处于特定的提供NAT的防火 墙,并且使用192.168.x.x或者10.x.x.x内网IP地址段的公司网络,那么它就不可能成为超节点。NAT防火墙或者甚至是家庭路由器都能使 很多系统无法成为超节点。
谬论3:容易受到IM蠕虫和病毒的感染
根据Akonix System公司的报告,去年12月份早些时候,一共有1355种病毒或者蠕虫感染了IM客户端,而其中没有一 种是感染了Skype的。尽管2006年有两起Skype漏洞报告,2005年4起,2004年1起,但并没有恶意程序利用这些漏洞。
IM应用程序的主要弱点就在于它们的文件传输特性,利用它任何人都可以发送带有恶意软件的文件。为了防止发生此类事件, Skype允许任何及时更新并处在自动防护模式的防毒应用程序扫描它的文件传输。另外,很多防毒软件都有特定的IM扫描选项。因此如果你有及时更新的防毒 软件,并使之处在自动防护的模式,你就没什么可担心的。你还可以禁用Skype的文件传输功能。
谬论4:在我的网络中很难阻止Skype
只有在你不知道你网络上有什么或者你没有设置管理好你的客户端的情况下,你才会觉得很难拦截Skype。人们可以用很多方法拦截Skype,从用脚本到用网络管理软件,还有在网络层拦截Skype等等。
谬论5:Skype加密了,因此我很难将IM信息归档储存
这个并不完全算是个谬论。Skype对话确实加密了,因此你确实无法捕捉到Skype通信或者将其归档存储。很多IM应用都不能,因此它不会比其他用加密技术的IM程序更不安全。
结论
到目前为止,Skype并没有受到那些折磨着大多数IM应用程序的蠕虫或者病毒的困扰。但是,早晚黑客们会发现它的漏洞并利用之。任何允许文件传输、IM或者语音对话的应用程序,如果无法被监控,归档或者记录,那么它就存在某种程度的风险。
但是,Skype的结构比其他对网络开放的IM应用程序更难破解,因此它是这些IM应用中最安全的一个。然而对内网即时通信来说, 像Jabber这样的非联网的应用程序更安全点儿。然而到目前为止,Skype确实是比MSN Messenger, Yahoo Messenger, AIM或者ICQ更安全。
标签 'skype' 的存档
无论传统电信运营商愿意看到与否,以Skype为代表的VoIP软件已经在全球拥有越来越多的拥趸。Skype的工作原理究竟是什么?为什么会掀起如此巨大的波澜?从技术角度看它究竟有哪些优势?电信运营商在VoIP领域下一步该如何发展?
Skype与 P2P
所谓P2P(Peer to Peer),其最本质的含义即“对等”,该技术最早是用于网络中对等节点之间的资源和信息共享的技术,通常人们所知道的是将P2P技术用在文件下载过程中,即网络上的对等终端在下载共享文件的同时又作为一个“种子”为其他对等终端提供资源和信息。后来, Skype在网络通话业务系统中灵活应用了该技术。由于冲击了传统通信领域,Skype在引起很多争议的同时也使人耳目一新,可以说,Skype是发展和演进了的P2P应用。目前对于P2P技术还没有规范的定义,结合其已有的应用,就更广泛的意义而言, P2P技术是指网络中的所有节点都动态参与到路由、信息处理和带宽增强等工作中,而不是单纯依靠服务器来完成这些工作。
Skype是P2P技术演进到混合模式后的典型应用,它结合了集中式和分布式的特点,在网络的边缘节点采用集中式的网络结构,而在超级节点之间采用分布式的网络结构,混合模式的P2P网络模型
这种混合模式的P2P是经过多年的发展和演进而来的,严格讲,这已经不是纯粹的对等网络结构了,只能称做发展了的P2P。下面就介绍一下采用混合模式P2P网络模型的Skype的通信原理。
Skype的通信原理
1. Skype网络结构
与常规的电信业务网络不同的是,Skype的网络中除了注册服务器,没有其他任何集中的服务器,只是将用户节点分为普通节点和超级节点。
注册服务器是Skype惟一需要维护的设备,它负责完成客户端的注册,存储并管理用户名和密码信息,当用户登录系统时,对用户进行身份认证。注册服务器还需要检验并保证用户名的全球惟一性。
普通节点即普通主机终端,只需要下载了Skype的应用,就具有提供语音呼叫和文本消息传送的能力。
超级节点实际上是满足某些要求的普通节点,这些要求包括:具有公网地址、具有足够的CPU、存储空间足够大、具有足够的网络带宽。也就是说,任何符合条件的主机终端都可以成为超级节点,当然前提是加载了Skype应用。
2. 通信流程
Skype的通信流程分为:启动、注册(认证)、查找用户、呼叫和释放的过程。其中注册流程只是在用户初次安装了Skype的客户端软件后进行注册,后期使用的过程中该步骤就变成认证过程。
(1)启动流程
Skype的用户终端启动时,采用HTTP协议连接到注册服务器,用户初次安装的启动流程中携带“installed”的参数,使用时启动流程则在消息中携带“getlatestversion”参数。
(2)注册(认证)流程
注册(认证)流程可能是Skype所有流程中最复杂的一个,用户启动Skype后,首先需要连接到超级节点,通过超级节点向注册服务器发送身份认证信息,注册服务器验证用户名和密码的合法性,然后向其他对等节点及其好友发送在线信息,同时还需要判断该终端所在私网的NAT和防火墙类型。如果该终端先前默认的超级节点已不可用,则还要查找具有公网地址的Skype节点来作为该终端的超级节点,从而维持该终端与Skype网络的连接。
一旦超级节点都不可用,Skype的客户端采用了尽力而为的方式进行注册,即先用UDP包试注册,不成功超时则用TCP(80端口),再不成功则用TCP(443端口)。通常为防止其超级节点不可用,客户端必须建立一个可选连接节点列表,并定期维护该列表。
对于该流程通常会产生下面几点疑问:
● 初次登录时如何连接到超级节点?
我们发现,用户初次安装了Skype客户端软件后,该客户端的主机缓存中就已经初始化了一个包含至少7个IP地址和端口组的列表,这些地址和端口组所代表的便是初始的超级节点。
● 如何向好友发送在线信息?
由于Skype采用路由缓存机制,即用户查找其好友的过程中会在中间的超级节点缓存其路由信息(缓存72小时),因此用户登录后,其状态信息可以通过其超级节点通知到好友终端,并将好友的状态返回给用户。一旦缓存超时,需要通过其他超级节点查找用户路由,这充分体现了Skype的用户路由信息动态分布式存储的特点。
● 如何判断NAT和防火墙类型?
客户端软件采用各种STUN协议与超级节点之间交换信息,从而判断终端所处私网的NAT和防火墙类型,客户端软件还采用定期刷新机制来保证任何时候都能穿越NAT和防火墙。
(3)查找用户
Skype采用了一种称做全球索引(Global Index)的技术来查找用户,该技术结合前面所述的分层网络,超级节点之间采用全分布式的连接,每个超级节点具有最小时延前提下所有可用的用户和资源的全部信息。具体来说,Skype采用了下面两种机制来保证顺利完成用户的查找。
● 启动后向所有列表中的用户发送其上线信息,其他用户响应各自的信息;
● 在中间节点缓存查找到的用户信息
对于有公网地址的客户端,其查找用户的过程如下:点击发送要查找的用户信息->通过SN获取四个节点地址->不成功->报告SN->获取八个节点地址->……->成功(或失败返回)。
对于那些位于私网内的受限客户端,其查找用户的过程则是首先客户端将需要查找的用户信息发送给其SN,然后由SN完成查找后返回给私网内的客户端。
(4)呼叫建立和释放
查找到希望连接的用户后,可以将其加入好友列表,Skype用户可以随时与在线的好友进行呼叫。经过了稍微复杂的认证过程和用户查找过程,呼叫建立和释放的过程就变得简单了。用户位于公网和位于私网内部的情况会有所不同。
Skype的呼叫信令都采用TCP封装,而媒体流则使用UDP封装,当有任何一方用户位于限制UDP包的防火墙内时,媒体流就会采用TCP封装。另外当Skype用户至少有一方位于私网内时,所有的信令和媒体消息都经过一个或多个中间节点转发。此时无需担心用户通话的媒体流因为经过中间节点转发而被窃听,因为Skype采用了对消息进行端到端加密的机制。
Skype的技术优势
Skype之所以引起了不小的轰动,是因为它的互联网特性,即免费、开放和较好的业务质量。事实上,Skype最大的意义在于,它开创了将P2P技术引入到话音通信的先河。也就是说,采用了网络中的所有节点都动态参与到路由、信息处理和带宽增强等工作中的机制,而不是单纯依靠服务器来完成这些工作,因此其管理成本大大降低,同时又保证了语音质量。
从具体技术的角度来看,Skype的优势有下面几点:
(1) 较强的NAT和防火墙穿越能力。首先识别NAT和防火墙类型,然后通过动态的选择信令和媒体代理,从而轻松实现NAT和防火墙的穿越。
(2) 快速路由机制,Skype采用了全球索引(Global Index)技术提供快速路由,其用户路由信息分布式存储于网络节点中。
(3) 结合互联网特点的语音编解码算法。Skype通过与Global IP Sound公司合作,引入语音质量增强软件,专门针对互联网的特点,从而降低了业务对带宽的要求。
(4) 很低的运行成本。很显然,Skype将很多工作下放给网络节点去完成,大大地降低了中心服务器的负担,进而减少了维护和管理的成本。
(5) 开放性。Skype采取开放的机制,鼓励互联网用户自己开发插件,目前此类开发如雨后春笋,在互联网上遍地开花。
其中第1条保证了通信无障碍,无论终端处于何种网络条件,都不会影响用户使用Skype提供的业务。第2条和第3条则保证了Skype 较好的业务服务质量。第4条使得Skype可以轻松面对挑战。而第5条则给了Skype更强大的生命力,使其更加灵活,具有更高的可扩展性。
Skype给电信运营带来的思考
Skype的出现无疑给传统电信业带来一股强烈的冲击波,它从2003年下半年出现以来便广为流传,截至目前,Skype全球注册用户数已达2.5亿,每天增加的会员有15.5万人,而到2005年3月14日为止,Skype在全球的通话量累计已经达到60亿分钟。Skype仍在迅速向各个国家渗透,最新的统计表明:使用Skype技术呼叫的分钟数已经占到美国VoIP分钟数的46.2%,这部分用户基本是“免费”享用电话业务的。
Skype毕竟是一种互联网服务,而不是真正的电信服务,它也存在一些问题,比如网络的无管理性使得它只能通过这种免费的方式走向市场,企业用户也会因为担心它的安全隐患而不采用等。但是无论如何,Skype的理念很可能给传统的电信市场带来突破性的变革,也引起业界对于VoIP的新的思考,传统电信运营商决不可忽视其挑战。
首先,对于VoIP的态度问题,该积极应对还是消极回避?答案已经非常明显——微软公司的总裁曾说过这样的话:即使没有Skype,也会有另一个提供互联网电话的企业出现。我国在上个世纪90年代末成功地开展了VoIP的电信运营,到现在市场基本稳定,普通用户对IP电话已经不再陌生,然而几年来VoIP的电信运营却没有继续发展,几乎有点停滞不前了。事实上,VoIP应该具有更广阔的空间和更灵活的表现形式。
技术的进步往往是不可阻挡的,尤其是互联网带来的开放时代,给了新技术更广阔的发展空间,你不发展,别人会发展,因此国内电信运营商应该积极地迈出这一步。
VoIP的发展可以采取开放的思路,Skype的成功也有一些可借鉴之处。首先,积极研究P2P技术的利弊:一旦将P2P技术引入可运营的VoIP系统,在降低运营成本、具有更高的网络可靠性(不依赖于集中的服务器)的同时,是否会带来不可预知的坏影响?另外,VoIP并不代表人们通常所理解的“低收费就一定提供低质量服务”,电信运营商可以结合IP网络的特点,引入相应的技术,来保证可靠的服务质量。最后,VoIP完全可以开发并向用户提供更丰富的业务形式。
英国斯盖普(Skype)公司一年半前推出免费网络电话(voip),至今已有6,500万人次下载了 Skype提供的免费软件。而且,现在每天新增用户14万人,新增注册用户6万人。这免费网络电话对于消费者的吸引力,以及网络电话(voip)市场的潜 力由此可见一斑。日前有报道说,网络搜索巨擘Google也准备进军电信业。如果Google将电话服务和搜索引擎绑在一起,凭其广泛的用户基础,似乎可 以轻而易举地站到网络电话(voip)的顶端。基本特点与优势所在
简单地讲,网络电话(voip)(或称IP电话。也称VoIP,为VoiceoverIP的缩写)即先对语音信号进行编码数字化,压缩 处理后在IP网络上传输,从而完成语音通话的业务。最早的网络电话源自IT业,通话双方通过电脑进行连接。随着宽带接入的发展,让电脑与电话、电话与电话 之间的连接有了可能,使得网络电话(voip)有了更大的生命力。为此,有人又将网络电话(voip)称作宽带电话(VOB)。
与传统电话相比,网络电话(voip)主要有两大优势。一是价格低廉。如使用FreeWorldDailup和Skype软件的免费服务,任何人都可以使用宽带上网的计算机与使用相似设备的其它人交谈。
网络电话(voip)之所以便宜,在于普通电话要求用户使用一个专用电路,网络电话(voip)则是利用所有用户共享的互联网空间。由 此引伸出网络电话的第二大优势是,网络电话不仅能进行语音通话,还能实现可视对话、收发电子邮件、视讯会议、网上购物、医疗诊断等多媒体功能。
经营模式与制肘因素
从全球网络电话(voip)业务的经营方式看,主要有以下几种经营模式。
1.基于网络(Web)的PC-PC电话。最典型的是美国 Puler公司提供的FreeWorldDailup业务和即时通信提供商,如Microsoft的MSN,中国网易提供的popo软件等。这类业务不存 在业务提供商,用户下载软件后安装在PC上,使用耳麦进行通话,它基本上是免费的,部分软件增加了其它功能,用户可能需要支付很少的费用来下载软件。
2.独立VoIP提供商提供的网络电话(voip)。如美国的Vonage公司和日本的YahooBB公司就是这类经营方式的典型。 上述VoIP业务提供商没有自己的网络基础,必须基于传统电信运营商的宽带网络为用户提供服务,其经营方式一是通过发卡方式发展用户,用户可以通过宽带接 入Internet服务器进行拨号,被叫方一般是传统电话网(PSTN)用户。二是为用户提供IP电话终端(也称网络电话(voip)机、IP电话机), 采用包月制的方式为用户提供业务。目前这类业务在国外发展很快,是市场关注的重点。
3.基于有线电视网的网络电话。如美国时代华纳有线电视公司与美国两大通讯公司斯普林特公司和MCI公司联手,推出的网络电话业务。用户只需要支付固定的月租费,就可以用一个网络电话服务器免费接听和拨打市话以及国内长途电话。
此外,通过互联网平台延伸至PC-Phone或Phone-Phone业务。因为是以“电脑宽带网络为主,传统电话网络为辅”方式运 营,其发展将受制于各国电信管制机构的政策和态度。如Skype设计的软件,虽然广受欢迎并普遍看好,至今没有大的电信公司愿意“恰当”地加以利用。如 Google进军电信行业,传说要另辟蹊径,利用“黑暗”光纤网络,打造一个全球性光纤网络。“黑暗”光纤是指那些铺设完成而未启用的光缆,据说仅美国境 内就有数千公里。
发展现状和未来趋势
尽管“互联网要担当起通讯大任”的声音不绝于耳,尽管存在已达百年的传统电话服务,在网络电话来势汹汹的挑战面前,已经显露出陈旧、乏 味和呆板的疲态。然而,网络电话(voip)何时可以取代传统电话?尚不得而知。可以肯定的是,在宽带接入日益增加的今天,将有越来越多公司推出网络电话 (voip)服务,而VOIP技术与传统电话的竞争,也将在2005年达到白热化。
2004年底美国的家庭网络电话(voip)用户为100万户,预计今年网络电话(voip)用户可能增至三倍。日本现有490万户 家庭安装了网络电话,韩国用户在电话号码前加拨070即可拨打网络电话(voip)。此外,美国有线网络电话(voip)用户大增,在2004年从少于5 万用户增加至将近50万用户,大幅增长900%。预计这一增长趋势在2007年将达15%。
可以预见,未来的电信业务将呈现多元化格局。同样是话音业务,可能是PSTN网络(传统电话网)提供的,可能是Internet提供 的,还可能是有线电视网络,甚至电力网、煤气管道网提供的。而用户的选择也将包括电脑与电脑、电脑与电话、电话与电话、电话与(智能)手机等通话方式。这 一切,都是以IP为基础的通讯网络,而非传统通讯模式的电信服务。
近日,Skype中文官方网TOM在线发布了TOM-Skype3.0中文正式版。经过不断地尝试,新版本除了风格越来越人性化,也更贴近中国IM用户的使用习惯。
随着用户量雪崩般的增长,“网络语音”的基本功能已经深入人心,如何满足不同用户的需求,已成为IM工具不可回避的话题。对国内使用者来说,IM工具可变换背景早就习以为常,但Skype以及其他外国IM工具都很少提供类似功能。在新版本中,为了贴合中国用户习惯,新版Skype 添加了此项功能,它不仅允许用户在Skype自带的背景图库进行选择,而且还允许用户选择自己在电脑中存储的图片,但图片的格式必须是jpg、jpeg、 bmp、png或Skype。此外,在新版Skype中,用户好友可直接点击某人“个人签名”中的链接进行访问,这意味着通过Skype的全球平台,不仅将帮助用户实现信息全球分享,更能让用户通过Skype实现个人博客的全球推广。
针对此前电话会议仅限5人的局限,Skype 3.0版做了大幅提升,电话会议上限人数已经提高到10人。对学生来讲,从5人语音聚会到10人语音聚会,语音聊天将更加热闹。而对于一些商务人士来讲,从5人小组会议到10人的部门会议甚至是管理层会议,将使商务运作效率更高。为了方便沟通,用户还可以按照自己的兴趣和爱好建立全球公共聊天室,除可自由设置聊天室主题、图片、规则和主持人人数,还可以通过链接推广自己的公共聊天室。如果当前聊天室中只有一个主持人,则该主持人在退出之前必须指定一个主持人,这让身在聊天室里的参与者能保持较高的活跃度。
在专注网络语音技术开发、提高同时在线语音人数以及网络语音质量的同时,Skype还在功能上保持继续开发的态度,与世界各地第三方插件功能提供商广泛结盟,为用户提供多样而有趣的增值服务和功能,其新版中的插件功能主要有协作类、表情类、功能类、企业类、游戏类等。
Skype是一个小软件,能让您和世界上任何其它使用Skype的人免费通话。虽然通话是免费的,但通话质量却是地地道道的一流水平。如果您和您的至亲好友或生意上的关系户都用网络摄像头,您还可以进行免费视频通话。您甚至可以按确实便宜的每分钟费率拨打普通和移动电话(免收开通费或月费)。不仅只是用来通话
和即时消息软件一样,您还可以用Skype聊天,而且不但能够单人对聊,也可以利用团体聊天功能同时和多达100人聊天。如果大家聊得确实不错,您可以把这次聊天加标签收藏起来供以后查看,这对时常不断地和家人或生意上关系户聊天非常方便。
找人交谈
只需找到并添加联系人,把他们列入您的联系人列表,而一旦被收录到您的列表上,您就可以看到他们现在的状态是否为联机、脱机、繁忙或者没有守在计算机旁。
导入联系人可帮助您从自己的通讯录中找到已经在使用Skype的联系人。只要是Microsoft Outlook®内收藏的联系人,即便没有使用Skype,您也可以通过Skype直接和他们通话。
共享团体尤其是在您的联系人列表里列满了亲朋好友的时候用起来非常方便。您可以轻而易举地通过创建和管理各种联系人团体把他们加以整理。建立好共享团体以后,您所有的朋友或者您的最新项目团体成员就都能够相互保持联系,而且在有新人加入该团体的时候会自动予以更新。
好用无烦恼
Skype能和大多数操作系统兼容——Windows、Mac OS X、Linux及Pocket PC。通话、聊天和文件传输可在所有类型的计算机之间进行。
在通过互联网发送之前,Skype自动给通话、聊天和文件传输内容加密,因此没有人能够截听或截取您的通话、文字内容或所传输的文件。而且完全不含广告,所以您不会受到烦人的弹出式或横幅式广告的骚扰。
一些便宜而实用的东西
您可以在Skype上通过互联网和任何人免费通话,而且能够永远这样做。您在Skype上可以做一些其它事情,它们不是免费的(但其实很便宜)。
SkypeOut是用Skype和普通电话及移动电话通话的省钱方式。您还可以用SkypeOut把打到Skype上的来电,转到您家里的电话或手机上。
SkypeIn是您的朋友们可以从任何电话向您呼叫、而您在Skype上接听来电的一个号码。您可以在一处或多处提供此项服务的地方申请到号码,然后就可以在Skype上接收来自世界任何地方的电话。
Skype语音邮件在您繁忙或脱机时替您接收来电。
Skype SMS可让您从Skype给朋友们的手机发SMS短信。
