《即时消息技术剖析与实战》学习笔记6——IM系统如何保证消息的安全性

在消息产生、流转的各个环节中，需要保证消息传输安全性、消息存储安全性、消息内容安全性。

一、消息传输安全性

消息传输的重要防范点有两个，一是访问入口安全，二是传输链路安全。
1.HttpDNS保证访问入口安全
访问入口指的是即时消息服务中提供的一个公网的接入服务，作为用户收发消息的出入口，它通过域名的方式提供给客户端。常见的问题有DNS劫持。
DNS劫持的原因
1）路由器的DNS设置被非法侵入篡改；
2）运营商的LocalDNS可能会导致接入域名的解析被劫持。
这里先解释一下：LocalDNS是部分运营商为了降低跨网流量，缓存部分域名的指向内容，把域名强行指向自己的内容缓存服务器的IP地址。

• 运营商可能会修改DNS的TTL（time-to-live，DNS缓存时间），导致DNS的变更生效延迟，影响服务可用性。
• 运营商可能为了减轻自身的资源压力，把DNS请求转发给其他运营商解析，这样分配的IP地址可能存在跨运营商访问的问题，导致请求变慢甚至不可用。

防止DNS劫持的方法
1）如果是路由器的DNS被篡改，可以重置路由器的配置，修改路由管理登录密码。
2）如果是运营商LocalDNS的域名劫持和调度错误，可以使用HttpDNS。

• HttpDNS绕开了运营商的LocalDNS，通过HTTP协议来直接和DNS服务器交互，有效防止域名被运营商劫持。
• HttpDNS服务器能够获取到真实的用户出口IP，因而能选择离用户更近的节点进行接入，或者一次返回多个接入IP，使客户端通过测速等方式选择速度更快的接入IP，使接入调度更精准。

2.TLS传输层加密协议保证传输链路安全
消息传输链路出现问题主要有以下几个原因：
1）中断：攻击者破坏或切断网络，破坏服务可用性，属于主动攻击；
2）截获：攻击者非法窃取传输的消息内容，属于被动攻击；
3）篡改：攻击者非法篡改传输的消息内容，破坏消息的完整性和真实语义；
4）伪造：攻击者伪造正常的通讯消息模拟正常用户或者模拟IM服务端。

针对第一种原因，可以采取多通道方式提升链路可用性，从而解决消息链路中断；
针对后三种原因，可以利用私有协议和TLS（消息内容加密）进行防控。

TLS巧妙地把“对称加密算法”、“非对称加密算法”、“密钥交换算法”、“消息认证码算法”、“数字签名证书”、“CA认证”进行结合，有效地解决了消息传输过程中的截获、篡改、伪造问题。

二、消息存储安全性

如果消息存储在服务端，不管消息内容是明文还是密文，都会存在泄露的风险。保证消息内容存储安全性的最好方式是：
1.消息内容不在服务端存储（这个没啥好说的，估计大部分场景都需要存储在服务端）；
2.消息内容采用“端到端加密”（E2EE），中间任何链路环节都不对消息进行解密，这样除了收发双方，其它任何中间环节都无法获取消息原文内容。

“端到端加密”之所以更加安全，是因为和服务端TLS加密不一样。
它是由通信双方各自生成密钥对并进行公钥的交换，私钥各自保存在本地不给到IM服务端。
发送方的消息使用接收方的公钥来进行加密，因此即使IM服务端拿到了加密消息，也会因为没有接收方的私钥无法解密。

三、消息内容安全性

内容安全性主要指的是内容的识别和传播的控制，一般依托于第三方的内容识别服务来进行防范。常见的方案有：
1.建立敏感词库，针对文字内容进行安全识别。
2.依托图片识别技术来对色情图片/视频/广告、涉政图片等进行识别、处理。
3.使用“语音转文字”和OCR（图片文本识别）辅助图片、语音的进一步挖掘识别。
4.通过爬虫技术对链接进行分析，识别“风险外链”。

对于IM服务端来说，要做的是建立与“识别”配套的惩罚处置机制，比如识别到群里有人发色情图片，就对该用户进行“禁言”处理，或者进行“解散群”的操作，具体业务具体分析。