即时通信服务提供商帐户信息安全和通信内容安全解决方案
一、即时通信服务提供商如何改善服务质量和提升竞争力?
即时通信服务在中国已经非常普及,可能比电子邮件还要普及,所以即时通信服务的竞争也是非常激烈的。而目前中国的即时通信服务提供商 ( 如: QQ 、 PoPo) 中遇到的一个最大的问题是用户密码被盗,不仅使得用户遭到各种损失,而且给服务提供商增加了许多找回密码的客户服务成本。相信各大即时通信服务提供商也在思考如何解决用户密码被盗问题、如何改善客户服务质量和如何提升竞争力等问题,否则就要面临用户流失和不断增加的客服投入。
为什么用户密码会被盗?因为有利益存在 ( 如: Q 币、游戏币等 ) 。那么,该如何防止密码被盗呢?还是让我们先来看看即时通信的鼻祖 ICQ 和其他全球领先的即时通信服务提供商是如何处理的用户登录环节的安全的,相信对各位即时通信服务提供商一定有所启发。
如下图 1 所示为即时通信鼻祖 ICQ 的登录页面,这里的 https 就是表明部署了 SSL 证书,从而保证了用户输入的密码不会在传输过程中被非法窃取:
如下图 2 所示为 Yahoo Messenger 的登录页面,请注意在“ Sign In ”下面有“ Why this is secure (为何是安全的) ”的链接,点击此链接后可以看到 Yahoo 是如何解释为何是安全的:“ Yahoo 现在通过 SSL 加密使得您可以安全地提交您的 ID 和口令,这意味着您的个人帐户信息在每次登录时是安全的。过去, Yahoo 使用 MD5 来加密口令,但保护您的隐私和在线信息安全对 Yahoo 来讲是特别重要的事,所以,我们在不断地评估各种安全技术来保护您的个人信息,现在, Yahoo 部署了 SSL 证书来保护您的 ID 和口令的安全, Yahoo 非常重视您的个人信息安全!”这段话值得所有即时通信服务提供商和所有电子商务服务提供商学习!同时,值得一提的是: Yahoo 为了防止网络钓鱼者使用假冒 Yahoo 网站来获得用户的登录密码而允许用户自己定制一个登录标志来识别是否正在登录真正的 Yahoo 网站。
如下图 3 所示,我们再看看 MSN Messenger也一样部署了 SSL 证书来确保用户的即时通信帐号的安全:
如下图 4 所示,我们再看看 AOL Messenger(美国在线)也一样部署了 SSL 证书来确保用户的即时通信帐号的安全:
值得注意的是: AIM Messenger 还有一个非常好的安全特性就是支持使用个人证书来证明即时通信用户的真实身份以及使用此个人证书来实现即时消息的加密传输,从而确保即时通信的机密信息不会被非法窃取。如下图 5 所示,用户有两种选择,一是直接从 AIM 申请一个个人证书 (Add Certificate) ,二是导入现有的全球通用的支持浏览器的个人证书 (Advanced Settings - Import) 。
如下图 6 所示,如果AIM双方都有个人证书就可以实现即时消息的签名和加密了,在对话框的下面会显示“安全锁”,并显示此消息是使用某人的证书签名和加密的。而对于没有使用个人证书的即时通信系统,通信双方的信息是明文传输的,服务提供商只能提醒用户“请勿发送机密信息”了。
如下图7所示, 点击“安全锁”,就会此消息已经签名,证明此消息没有在传输过程中被篡改;接着显示此消息已经加密,再下面就是显示签名和加密的证书详细信息,包括证书公用名称(证书所有人的姓名)、Email、证书所有人的单位名称以及证书有效期等等。
二、即时通信服务提供商如何部署 SSL 证书?
部署 SSL 证书其实非常简单,您无需更改您现有系统的任何部分,直接在即时通信服务系统的登录管理 Web 服务器上安装 SSL 证书即可。请注意:一台服务器需要一个 SSL 证书,如果您有多台服务器,就需要购买多个 SSL 证书或多台服务器许可证。
为了降低 SSL 证书的投资,您也可以设立一个独立的用户登录认证系统来集中处理用户登录身份认证,这样,您只需要在用户登录认证系统的服务器部署 SSL 证书即可,一旦通过安全身份认证,则转到各个即时通信服务系统中处理。此方式的优点是不需要每台服务器都购买 SSL 证书,节省投资,但缺点是只保护了用户登录信息,而没有保护用户登录后的用户管理系统中的机密信息。
三、 即时通信服务提供商如何在信息安全方式有所超越?
在用户登录系统中部署 SSL 证书只是保护了用户的用户名 / 密码不会在网络传输过程中被非法窃取,您还可以在以下几个方面来增强电子邮件系统的信息安全功能:
1. 为所有服务器部署 SSL 证书,确保用户 Web 方式登录后管理其帐户的所有信息安全;
2. 提供使用客户端个人证书来实现登录系统的强身份认证来取代已经不安全的用户名 / 密码方式,同时此个人证书还可以用于即时通信用户之间的对话内容数字签名和加密传输,满足部分用户对即时通信服务更高的安全要求。当然,客户端个人证书是要收费的,这不仅保护了用户的即时通信服务帐户安全和机密信息安全,还为即时通信服务提供商带来了新的收入来源。 WoTrust 可以提供一个 API 给即时通信服务提供商,使得用户可以在线申请全球通用的客户端个人证书,此证书不仅可以用于 Web 方式登录即时通信服务系统的强身份认证,还可以用于即时通信时对话双方的真实身份认证、对话内容的加密传输。
想了解更加详细的合作方案,欢迎 联系我们 ,我们有更加详细的资料给您,千万不要错过!既然全球领先的即时通信服务提供商都已经行动起来了,部署 SSL 证书一定是迟早要做的事情,何不起个早,早起早收益!我们的解决方案不仅大大提升您的即时通信服务提供商的安全性能,增强您的竞争力,同时还给您带来了新的收入来源!
以上解决方案涉及到的产品有:服务器 SSL 证书和客户端数字证书,请浏览以下页面了解产品详情,我们不仅提供产品,而且免费提供开发和应用指导:
服务器 SSL 证书: http://www.wosign.com/Products/ssl/
客户端数字证书:http://www.wosign.com/Products/clientcert.htm
使用客户端数字证书实现强身份认证登录演示:https://www.wosign.com/LoginDemo/