互联网的大爆发与应用让整个社会、商业变得既便捷又脆弱,当每一个人都高度依赖于互联网化、数字化的工具时,安全就成了一个异常严峻的话题。对QQ这样的国民级应用来说更是如此。数据显示,腾讯QQ已经诞生了17年,目前拥有8.99亿活跃用户,智能终端活跃用户也突破了6.67亿。庞大的用户量也带来了每日数以亿计的用户登录,以及更为庞大的十亿、百亿级的信息量的传送。
不可否认,在长达17年的时间里,随着人们将物理世界的社交关系迁移到QQ等数字世界中后,帐号体系就像身份证一样,附着上了越来越多的与日常生活、商业紧密捆绑的应用,更与支付及资金安全息息相关。一旦QQ帐号被盗或聊天信息被窃取,恐怕要比银行卡、身份证件丢失更让人恐慌。所以,17年间,腾讯QQ围绕着帐号登录、信息传输安全打了一场旷日持久的攻防战。那么,在不断的攻防当中,QQ这个互联网社交的“老司机”是如何做到巨大的数据流中安全行驶17年的?
小小的一串数字背后的安全“大学问”
实际上,用户每次登录QQ,似乎感觉不到加密技术在工作,但实际上整个登录过程是全程加密的,涉及到登录密钥的加密、解密,通过客户端与服务端来来回回12个交互步骤,最终才能完成一次“安全”的登录过程。
看似小小的一串登录数字背后,实际上“浓缩”了诸多的加密技术,主要涵盖了流程安全、主机安全、存储安全、安全旁路四大维度,比如流程上会涉及到身份、请求、权限验证的加密,使用了SSL/TLS的可信安全协议、数字签名、IP白名单等技术。用户登录时,服务器端设置了登录保护、权限控制、安全扫描等措施,对IP来源进行了限制,实时进行高危端口及漏洞扫描,能够抵御较为常见的暴力破解行为,真正让每一次用户登录都有多样化的安全技术保驾护航。
这些加密技术的“堆栈”充分保证了QQ登录和聊天信息的安全。当用户完成QQ登录动作,在收发消息、拉取用户资料等所有过程中,都离不开客户端与服务端的一次次加解密环节的验证。同样,在用户个人资料、聊天信息等数据的存储安全方面,QQ也使用了数据加密、密钥管理、数据水印等措施,既符合加密强度要求,让密钥管理更可信,避免了会话信息遭劫持、篡改的可能。
QQ安全体系继续升级换代
目前来看,QQ已经形成了成熟、系统化的安全防护和保障体系,仅在密码保护和找回能力上,就涵盖了密码保护问题验证、设备锁、密保手机等多样化手段。而且在整个QQ产品体验上,更强调所有流程、步骤在QQ内部形成闭环,这在一定程度上都进一步提升了帐号体系的安全性。
不过,就未来QQ安全体系的发展趋势来看,有几点值得关注:
第一个趋势,是安全向设备端迁移。密保问题属于静态保护手段,用户遗忘率较高,所以单纯依靠密保手段并不完全牢靠。因此,QQ帐号安全将逐步利用设备锁等措施,向设备端迁移。比如用户绑定手机、开通设备锁之后,就能从输入密码、密保防护等风险更大的登录方式中解脱出来,大量减少密码输入的场景。这也是帐号体系安全的大势所趋。
第二个趋势是,QQ帐号安全体系将指纹识别、声纹识别、人脸识别等比较“炫酷”的登录方式正在逐步纳入进来,甚至是一些安全防护级别更高的活体识别验证技术,也会进行探索和尝试。这也会成为设备管控外的有效补充。
开放共享,腾讯构建安全新生态
随着互联网应用深度的延展,以及QQ帐号体系开放、共享战略的推进,“连接一切”已经成为腾讯最重要的战略,越来越多的第三方网站、APP会采取QQ帐号进行登录,这确实给用户带来了巨大的便利,但也让QQ帐号体系的安全保障变得更加重要。
目前来看,QQ以开放为起点,构建了纵向、横向的深度全连接生态,随着QQ“连接一切”的互通互联战略在应用层的展开,建立共享数据与技术、重大安全联动的开放安全生态已迫在眉睫。作为互联网安全开放生态的呼吁者与推动者,QQ将围绕着反诈骗、帐号安全、隐私保护、支付安全等领域,从开放合作、技术创新和产业融合三方面发力,推动智慧、开放的安全新生态体系的建立。
可以说,这些措施对QQ帐号安全、信息安全来说至关重要,表面上看不到摸不着,实际上是QQ在与盗号、信息窃取行为进行十余年斗争中不断优化而形成的安全体系。在“黑白较量”的攻防战中,时刻处于紧绷状态,也永远没有停顿的一天。俗话说,魔高一尺,道高一丈。未来,QQ的安全防护技术、体系也将跟随着接入应用、场景的深入而持续优化,这也是一场没有终点的“战争”。