6 月 26 日晚,大量使用者回報 QQ 号碼被盜,被盜賬号會自動給好友和群發不雅圖檔及賭博性内容。6 月 27 日中午,騰訊 QQ 官方微網誌聲明,該事件主要原因“系使用者掃描過不法分子僞造的遊戲登入二維碼并授權登入,該登入行為被出黑産團夥劫持并記錄,随後被不法分子利用發送不良圖檔廣告。”關注【融雲 RongCloud】,了解協同辦公平台更多幹貨。
QQ 被盜事件再次引發了大家對即時通訊産品安全的關注,融雲政企研發總監大池和 PMO 蘇東升由此事件展開,對不同組織在特殊環境下的企業通訊安全防護進行了一系列讨論。
融雲政企研發總監大池表示,QQ 被盜算是比較嚴重的惡性事件。因為 ToC 場景下的即時通訊産品,本身使用者基數非常大,是以它在安全上出現一點點小的漏洞,都會波及全網。而 ToB 場景下的即時通訊産品,雖然使用者基本都是企業,使用者基數相對較小,但是它們傳輸的東西更機密,更關乎于企業的生存,是以資料重要性安全級别更高。
事實上,不同組織内部網絡架構各有不同,網絡安全防護需求不同,所需要的安全通訊保障也不同。
如何滿足組織在特定網絡要求中的産品部署?
有一些使用者要求産品實作内外網隔離與互通。如圖 1,在辦公網環境中,PC 端使用者可接入内網服務,但移動端使用者接入内網有難度。而随着智能手機的普及和 5G、大資料等技術的發展,加上即時通訊産品可多端登入的特點,移動端使用者可直接接入網際網路,實作移動辦公,提升辦公效率。
圖 1 - 内外網環境
比如,針對内部機要檔案或資訊,使用者隻能在内網環境通過 PC 端查閱及處理,因為移動端使用者通過網際網路檢視或處理檔案有潛在風險。但移動端使用者可通過即時通訊産品的推送功能獲悉該檔案或資訊的存在,然後登入内網 PC 端進行查閱或處理。
這樣可以確定使用者該看到的檔案可以看到,但在不滿足特定網絡環境的情況下,不該看到的檔案就不會看到。
另一些使用者要求在專網部署産品,如軍隊和公安。
圖 2 - 帶網閘網絡互動圖
為滿足此類使用者對高安全性的需求,融雲即時通訊産品選擇通過網閘進行資料傳導,提供特定的安全防護和敏感資訊的過濾,可實作不同安全級别網絡之間的安全距離,并提供适度可控的資料較短的軟硬體系統。
但網閘的存在,直接影響即時通訊産品在即時性上的使用者體驗。标準的即時通訊産品,如傳統的網際網路或者 B/S 結構,基于 HTTPS 協定保證即時性。HTTPS 協定是一種短連接配接,每一次請求都會建立一個連接配接,而收到應答以後就會銷毀掉連接配接。
如 OA 或者新聞類網站,使用者收到想要的資料以後,在本地進行浏覽,這麼做雖然減輕了服務端的資源消耗,但同時也會影響即時性,因為當連接配接斷開以後,用戶端和伺服器之間就不存在任何關系了。
是以為滿足即時性需求,目前市面上基本所有即時通訊産品底層都采用 TCP 長連接配接。所謂長連接配接就是當連接配接建立以後不再斷開,和伺服器一直保持聯系。當消息需要傳遞給使用者時,長連接配接就會在第一時間發送到使用者用戶端上。
但網閘的存在,對于 TCP 長連接配接是一個非常大的挑戰,因為網閘會導緻 TCP 連接配接受限。融雲即時通訊産品會在網閘上部署相關安全子產品,通過“反向代理服務”進來的需求,到網閘就會從 TCP 轉化成 HTTPS 請求,再投遞到内網伺服器上。是以,通過優化協定轉換子產品,可以在保證安全性的基礎上,兼顧 TCP 長連接配接的即時性。
還有一些使用者,針對防火牆、VPN、加密機等有特殊需求。針對 VPN,融雲一般提供兩種解決方案。一種方案是在系統或手機上安裝 VPN 軟體撥号,建立和打通安全隧道以後,再啟動應用進行安全通訊。
但這種方式有兩個問題,第一是操作比較繁瑣,第二是使用者等待時間相對較長。對于即時通訊産品而言,使用者體驗稍差。
另一種方案是把 VPN 的 SDK 嵌入到即時通訊應用裡,使用者收到通知可直接點開應用軟體檢視消息。當軟體啟動時,VPN 隧道會自動建立。即便 VPN 建立會消耗一定的時間,但它是一個無縫銜接的過程,使用者體驗較好,一般來說我們建議使用者把 VPN 的SDK 內建進來。融雲的即時通訊産品為這些 VPN 的 SDK內建預留了相關接口,可通過簡單的替換進行不同廠商的 VPN SDK封裝。
即時通訊産品傳輸鍊路安全性如何保證?
即時通訊産品通過基于 TLS 的 HTTPS 協定來保證 HTTP 鍊路層面的安全性,TLS 是國際通用的算法标準。
圖 3 - TLS-over-TCP
在 TCP 長連接配接層面,融雲産品內建了标準的 TLS,確定鍊路傳輸的安全性。但是在混合使用者場景下,比如除了内部使用者,即時通訊産品也用于外部網際網路客戶時,因為要保證網際網路使用者資料回傳到私有部署的資料中心鍊路安全,就無法使用 VPN 方案。
在這種情況下,在資料或标準應用層面,通過 HTTPS 確定安全性,而在 TCP 層面則通過 TLS-over-TCP 協定確定達到同一安全标準。
在信創環境下,如何確定即時通訊産品安全性?
信創整體訴求主要集中于系統安全、網絡安全和業務安全,甚至還有國家安全。是以為了滿足上述安全需求,融雲即時通訊産品結合了信創工委會相關标準,并支援國密算法。另外,在整體架構和在網絡層面,融雲有國密代理或者密碼機。密碼機基于國密,對鍊路層面進行加解密。
具體到業務層面,以視訊會議場景為例。
圖 4 - 視訊會議場景概念圖
在加密層面,融雲視訊會議系統有一個加密機的角色,同時通過密管和身份認證系統的背景,去管理業務過程中産生的密鑰,并使用密管生成的密鑰搭建支援國密的加密通道。因為融雲視訊會議基于 WEB RTC的基礎實作,是以流傳輸采用 UDP(無連接配接的傳輸協定)。在 UDP 層面,視訊會議采用自定義加密對流進行國密的加密。而密鑰交換在融雲視訊會議系統内部進行,以確定發起方對流的加密在接收方能夠進行正常解密,確定還原畫面聲音等一整套視訊會議業務場景正常進行。
音視訊信令控制主要采用 TCP,當然也支援國密。也就是說融雲視訊會議整套系統,在 HTTPS、TCP 和UDP 層面都達到了國密的要求。與此同時,經過不斷的優化,融雲視訊會議系統将音視訊的延遲和卡頓影響降到最低。
可以分享一些融雲經典案例嗎?
先看一個政府項目案例。它主要展現在國産化私有部署的信創環境。在整體實施過程中,對桌面端桌上型電腦、筆記本和服務端進行了相關适配,在服務層面、鍊路層面進行了安全優化,以符合信創需求。
圖 5 - 私有化部署示例圖
另一個案例是公安執法監督管理平台。受疫情影響,不光是日常辦公日趨線上化,在公安執法法院審訊等場景中,部分業務也被遷移到了線上。這對音視訊産品提出了很高的安全要求。尤其是像公安有網閘的網絡環境中,我們對其執法監督管理平台進行了相應适配,或者說對進行了一些優化調整。確定在有網閘的網絡環境下,使用者體驗與标準産品無異。
圖 6 - 公安執法監督管理平台示例圖
第三個案例是證券行業客戶,存在内部使用者和外部使用者進行溝通交流的場景。為此,融雲部署了鍊路傳輸安全相關子產品,以確定内外部員工通訊安全。