6 月 26 日晚,大量用户反馈 QQ 号码被盗,被盗账号会自动给好友和群发不雅图片及赌博性内容。6 月 27 日中午,腾讯 QQ 官方微博声明,该事件主要原因“系用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被出黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。” 关注【融云 RongCloud】,了解协同办公平台更多干货。
QQ 被盗事件再次引发了大家对即时通讯产品安全的关注,融云政企研发总监大池和 PMO 苏东升由此事件展开,对不同组织在特殊环境下的企业通讯安全防护进行了一系列讨论。
融云政企研发总监大池表示,QQ 被盗算是比较严重的恶性事件。因为 ToC 场景下的即时通讯产品,本身用户基数非常大,所以它在安全上出现一点点小的漏洞,都会波及全网。而 ToB 场景下的即时通讯产品,虽然用户基本都是企业,用户基数相对较小,但是它们传输的东西更机密,更关乎于企业的生存,所以数据重要性安全级别更高。
事实上,不同组织内部网络架构各有不同,网络安全防护需求不同,所需要的安全通讯保障也不同。
有一些用户要求产品实现内外网隔离与互通。如图 1,在办公网环境中,PC 端用户可接入内网服务,但移动端用户接入内网有难度。而随着智能手机的普及和 5G、大数据等技术的发展,加上即时通讯产品可多端登录的特点,移动端用户可直接接入互联网,实现移动办公,提升办公效率。
图 1 - 内外网环境
比如,针对内部机要文件或信息,用户只能在内网环境通过 PC 端查阅及处理,因为移动端用户通过互联网查看或处理文件有潜在风险。但移动端用户可通过即时通讯产品的推送功能获悉该文件或信息的存在,然后登录内网 PC 端进行查阅或处理。这样可以确保用户该看到的文件可以看到,但在不满足特定网络环境的情况下,不该看到的文件就不会看到。
另一些用户要求在专网部署产品,如军队和公安。
图 2 - 带网闸网络交互图
为满足此类用户对高安全性的需求,融云即时通讯产品选择通过网闸进行数据传导,提供特定的安全防护和敏感信息的过滤,可实现不同安全级别网络之间的安全距离,并提供适度可控的数据较短的软硬件系统。但网闸的存在,直接影响即时通讯产品在即时性上的用户体验。标准的即时通讯产品,如传统的互联网或者 B/S 结构,基于 HTTPS 协议保证即时性。HTTPS 协议是一种短连接,每一次请求都会建立一个连接,而收到应答以后就会销毁掉连接。
如 OA 或者新闻类网站,用户收到想要的数据以后,在本地进行浏览,这么做虽然减轻了服务端的资源消耗,但同时也会影响即时性,因为当连接断开以后,客户端和服务器之间就不存在任何关系了。所以为满足即时性需求,当前市面上基本所有即时通讯产品底层都采用 TCP 长连接。所谓长连接就是当连接建立以后不再断开,和服务器一直保持联系。当消息需要传递给用户时,长连接就会在第一时间发送到用户客户端上。
但网闸的存在,对于 TCP 长连接是一个非常大的挑战,因为网闸会导致 TCP 连接受限。融云即时通讯产品会在网闸上部署相关安全模块,通过“反向代理服务”进来的需求,到网闸就会从 TCP 转化成 HTTPS 请求,再投递到内网服务器上。所以,通过优化协议转换模块,可以在保证安全性的基础上,兼顾 TCP 长连接的即时性。
还有一些用户,针对防火墙、VPN、加密机等有特殊需求。针对 VPN,融云一般提供两种解决方案。一种方案是在系统或手机上安装 VPN 软件拨号,建立和打通安全隧道以后,再启动应用进行安全通讯。
但这种方式有两个问题,第一是操作比较繁琐,第二是用户等待时间相对较长。对于即时通讯产品而言,用户体验稍差。
另一种方案是把 VPN 的 SDK 嵌入到即时通讯应用里,用户收到通知可直接点开应用软件查看消息。当软件启动时,VPN 隧道会自动建立。即便 VPN 建立会消耗一定的时间,但它是一个无缝衔接的过程,用户体验较好,一般来说我们建议用户把 VPN 的SDK 集成进来。融云的即时通讯产品为这些 VPN 的 SDK集成预留了相关接口,可通过简单的替换进行不同厂商的 VPN SDK封装。
即时通讯产品通过基于 TLS 的 HTTPS 协议来保证 HTTP 链路层面的安全性,TLS 是国际通用的算法标准。
图 3 - TLS-over-TCP
在 TCP 长连接层面,融云产品集成了标准的 TLS,确保链路传输的安全性。但是在混合用户场景下,比如除了内部用户,即时通讯产品也用于外部互联网客户时,因为要保证互联网用户数据回传到私有部署的数据中心链路安全,就无法使用 VPN 方案。
在这种情况下,在数据或标准应用层面,通过 HTTPS 确保安全性,而在 TCP 层面则通过 TLS-over-TCP 协议确保达到同一安全标准。
信创整体诉求主要集中于系统安全、网络安全和业务安全,甚至还有国家安全。所以为了满足上述安全需求,融云即时通讯产品结合了信创工委会相关标准,并支持国密算法。另外,在整体架构和在网络层面,融云有国密代理或者密码机。密码机基于国密,对链路层面进行加解密。
具体到业务层面,以视频会议场景为例。
图 4 - 视频会议场景概念图
在加密层面,融云视频会议系统有一个加密机的角色,同时通过密管和身份认证系统的后台,去管理业务过程中产生的密钥,并使用密管生成的密钥搭建支持国密的加密通道。因为融云视频会议基于 WEB RTC的基础实现,所以流传输采用 UDP(无连接的传输协议)。在 UDP 层面,视频会议采用自定义加密对流进行国密的加密。而密钥交换在融云视频会议系统内部进行,以确保发起方对流的加密在接收方能够进行正常解密,确保还原画面声音等一整套视频会议业务场景正常进行。
音视频信令控制主要采用 TCP,当然也支持国密。也就是说融云视频会议整套系统,在 HTTPS、TCP 和UDP 层面都达到了国密的要求。与此同时,经过不断的优化,融云视频会议系统将音视频的延迟和卡顿影响降到最低。
先看一个政府项目案例。它主要体现在国产化私有部署的信创环境。在整体实施过程中,对桌面端台式机、笔记本和服务端进行了相关适配,在服务层面、链路层面进行了安全优化,以符合信创需求。
图 5 - 私有化部署示例图
另一个案例是公安执法监督管理平台。受疫情影响,不光是日常办公日趋线上化,在公安执法法院审讯等场景中,部分业务也被迁移到了线上。这对音视频产品提出了很高的安全要求。尤其是像公安有网闸的网络环境中,我们对其执法监督管理平台进行了相应适配,或者说对进行了一些优化调整。确保在有网闸的网络环境下,用户体验与标准产品无异。
图 6 - 公安执法监督管理平台示例图
第三个案例是证券行业客户,存在内部用户和外部用户进行沟通交流的场景。为此,融云部署了链路传输安全相关模块,以确保内外部员工通讯安全。
图 7 - 内外网隔离与互通示例图
融云即时通讯产品,始终强调安全至关重要。融云有能力也有信心,满足政企组织数字化转型过程中的各种高安全性需求,守好即时通讯“安全”这道门,并将进一步强化研发实力,发挥赋能政企数字化转型“安全推手”作用,促进政企组织高质量发展。