聊天信息安全管理系統設計與實現

朱嘉晨，姜來為，陳 正，何一鶴，楊佳曼，王新斌，王卓君，郭英豪，吳燁琦

（中國民航大學，天津 300300）

近年來，隨著互聯網技術的不斷發展，我國已經成為世界第一大互聯網用戶國家[1]。聊天軟件如QQ、微信、釘釘等應用功能齊全，利用各種聊天軟件進行溝通是現在人們進行信息交流的主要方式。然而，聊天軟件在給人們提供方便快捷溝通方式的同時，也引發了諸多安全問題，比如聊天軟件所包含的即時對話、文檔傳輸等功能極易造成信息泄密。如何保障互聯網聊天軟件的信息安全是近年來研究者關注的重點[2-3]。在上述背景下，為了能夠對網絡上用戶傳播的信息進行管理，限制用戶聊天行為，阻止不法信息傳播，本文以過濾規則管理為核心設計并實現聊天信息安全管理系統，使管理員能夠對用戶狀態、用戶操作及用戶間的聊天行為進行管理和限制，并依據國家標準加入一定的安全設計從而進一步提高系統的安全性。

1 聊天信息安全管理系統總體設計

1.1 系統工作流程

聊天信息安全管理系統工作流程如圖1所示。

圖1 聊天信息安全管理系統工作流程圖

首先啟動用戶服務管理器和用戶信息數據庫，然后用戶客戶端才能通過注冊或登錄的方式連接用戶服務管理器。注冊的賬號口令需要密碼規則檢測，只有檢測通過方能將新用戶的信息插入表中。用戶登錄時若密碼校驗通過，用戶還需通過賬號有效性檢測和封號檢測才能成功登錄；若密碼校驗失敗，則需要進行登錄失敗記錄，并根據實際情況進行處置。成功登錄系統后，用戶之間可以發送聊天消息及聊天文件，這些文件將根據管理員設定的規則進行敏感詞過濾，只有通過過濾的信息才能予以轉發，從而實現對聊天信息的安全管理。

1.2 系統總體架構

本文設計并實現的聊天信息安全管理系統總體架構包括用戶客戶端、管理員、信息安全管理模塊三大部分。

用戶客戶端負責實現用戶注冊、用戶登錄并生成聊天信息。用戶客戶端需要能夠產生以下數據：（1）用戶注冊時，生成唯一用戶名及符合密碼校驗要求的密碼；（2）用戶登錄時，提供已注冊用戶及其對應密碼；（3）用戶間聊天時，產生相應的聊天信息和傳輸文件。此外，用戶客戶端還要實現對數據安全性的檢測：（1）登錄或注冊時涉及新建密碼或密碼更改操作，都需對密碼進行格式校驗；（2）用戶登錄時，不僅要對登錄密碼進行校驗，還需對用戶的有效性進行校驗；（3）對于用戶登錄失敗設計相關處置方法；（4）用戶服務管理器在為用戶轉發聊天消息或者文件之前，需要根據所設定的規則及時發現不允許傳輸信息并予以丟棄處理，還要將處理結果告知用戶，記錄到用戶管理日志中。

管理員可以選擇要查看的用戶聊天往來信息，決定對哪些用戶或數據進行管理操作。具體管理內容包括：（1）查看已有用戶有效期，并能根據實際需要及時清除過期用戶；（2）查閱用戶操作和聊天的往來過程，對敏感用戶進行封鎖，也可以對用戶賬戶進行解封；（3）選擇合適的算法設置相關過濾規則，對用戶的聊天行為和文件傳輸行為進行限制。

信息安全管理模塊中包括用戶操作日志、用戶管理、封號管理和過濾規則設置。其中用戶操作日志負責記錄所有用戶的往來聊天記錄和操作記錄；用戶管理提供對已有用戶狀態查看和對過期用戶處理的功能；封號管理提供對用戶封號處理功能；過濾規則設置可以設置不同的過濾規則，當用戶服務管理器為用戶轉發數據時若數據能通過所設的過濾規則，則為該用戶轉發數據，否則將丟棄并告知檢測結果。

1.3 系統具備功能

本文設計并實現的聊天信息安全管理系統具備以下主要功能：

（1）用戶客戶端可以產生注冊、登錄、聊天等可供管理員管理的數據。

（2）管理員可以根據用戶有效期和封號記錄對用戶賬號進行管理。

（3）系統提供過濾規則管理模塊，可供管理員選擇過濾算法并設置過濾敏感詞條。

（4）添加了密碼格式規則校驗、用戶登錄失敗處置功能。

2 信息安全管理模塊設計

信息安全管理模塊是本系統的核心，主要包括用戶信息數據庫和用戶服務管理器。

2.1 用戶信息數據庫

根據系統運行和管理員操作的不同要求，聊天信息安全管理系統中相關數據分別存儲于用戶信息數據庫中3個不同的表格里：（1）USERTABLE表（用戶表），記錄用戶名、密碼、用戶注冊時間、賬號有效期等信息；（2）DISABLEDLOGIN表（封號表），記錄封號用戶名及封號到期時間；（3）LOGINMANAGEMENT表（登錄失敗管理表），記錄用戶名、首次登錄失敗時間和登錄失敗次數。

2.2 用戶服務管理器

用戶服務管理器是信息安全管理模塊的核心，使用Java語言進行開發并使用工具WindowBuilder Editor協助進行頁面設計而成的圖形化工具。管理員通過用戶服務管理器可以對用戶賬號狀態、用戶聊天日志和聊天規則等進行管理。用戶服務管理器中主要包括系統啟動及日志管理、規則管理兩大部分。

2.2.1 系統啟動及日志管理

系統啟動及日志管理提供系統啟動功能和用戶操作日志記錄功能，管理員可通過該部分啟動聊天服務器并審計用戶的聊天行為，以便及時對用戶及其聊天行為進行操作限制。

2.2.2 規則管理

規則管理包括用戶管理、封號管理和消息過濾規則管理。

（1）用戶管理

用戶管理模塊主要管理用戶的基本信息，具有操作USERTABLE表、DISABLEDLOGIN表和LOGINMANAGEMENT表的權限。管理員可以通過該模塊利用select語句查詢存儲在用戶信息數據庫用戶表中已有賬戶的注冊時間和到期時間，并將查詢到的信息顯示到頁面上；還可以利用該模塊使用delete語句刪除用戶表中相應的過期用戶信息。

（2）封號管理

封號管理模塊具有USERTABLE表和DISABLEDLOGIN表的管理權限。管理員通過用戶信息數據庫中USERTABLE表和DISABLEDLOGIN表看到新增封號下拉列表中的相應數據。當管理員確定對某賬號進行封號操作后，相關數據從用戶服務管理器傳輸到用戶信息數據庫進行數據存儲。當管理員對用戶賬號進行批量管理或恢復賬號操作時，刪除DISABLEDLOGIN表中的相關數據即可。

（3）消息過濾規則管理

當用戶客戶端A向用戶客戶端B發送文件或消息時，管理員在消息過濾規則管理模塊中選擇過濾算法，設置過濾規則。當用戶服務管理器為用戶A轉發數據時，若數據能通過設定好的過濾規則，則轉發數據給用戶B；否則丟棄該數據，并告知用戶A和用戶B消息或文件未通過安全檢測不能轉發。本系統中提供三種最常用的模式匹配算法[2，4]，分別是BF（Brute Force）算法、KMP（Knuth-Morris-Pratt）算法和BM（Boyer-Moore）算法。當待匹配主串長度較短的情況下，通常選擇BF算法或者KMP算法；若是匹配長文本，BM算法則更合適。過濾模塊工作流程圖如圖2所示。

圖2 過濾模塊工作流程圖

聊天信息安全管理系統中文件安全檢測原理如圖3所示，圖中給出用戶之間文件傳輸及開展文件過濾檢測的具體運行流程。文件發送者首先詢問文件接收者是否愿意接受文件，若得到拒絕的消息則放棄傳輸，反之準備進行文件傳輸。服務器在接收到文件接收者同意接收文件的消息時，首先將自己的7777端口打開，再將同意消息轉發給文件發送者。然后，文件發送者接收到同意消息后連接服務器的7777端口，將文件發送給服務器。接下來服務器依據設定好的過濾算法和過濾規則對接收到文件的內容進行篩查。最后，將篩查結果通知文件發送者和文件接收者：如果文件通過篩查，服務器打開8888端口后告知文件接收者前來連接，并將文件發送給文件接收者；如果文件被查出存在過濾信息，則通知雙方用戶檢測結果，不再做其他操作。

圖3 文件安全檢測原理圖

3 聊天信息安全管理系統運行演示

3.1 開啟用戶服務管理器

本系統代碼運行環境為eclipse-java-oxygen-Rwin32-x86_64，利用JAVA，使用WindowBuilder工具輔助頁面設計，并選擇derby數據庫存儲用戶信息和相關操作信息。

開啟用戶服務管理器前，除“啟動”按鈕外的所有按鈕無法使用。如圖4所示為服務器啟動前按鈕狀態，其中（a）為日志頁面，（b）為用戶管理頁面，（c）為封號管理頁面，（d）為過濾規則管理頁面。服務器開啟后，封號管理頁面自動加載封號管理記錄。

圖4 服務器啟動前按鈕狀態

3.2 用戶登陸密碼校驗

用戶客戶端在登錄或注冊時涉及新建密碼或密碼更改操作，都需對密碼進行格式校驗。如圖5所示的用戶注冊密碼校驗結果示意圖，其中（a）顯示使用用戶名ccc、密碼123@ccc注冊失敗；（b）顯示使用用戶名ccc、密碼123@aaaa注冊成功。

圖5 用戶注冊密碼校驗結果示意圖

3.3 聊天信息和傳輸文件過濾

如圖6所示的聊天信息過濾例子：管理員設置過濾規則“aaa”并選擇BF過濾算法后，用戶aaa向用戶bbb發送聊天信息“aaabbb”后顯示消息中含有敏感信息，無法發送。

圖6 聊天信息過濾例子

如圖7所示的傳輸文件過濾例子，用戶aaa向用戶bbb傳送文件1.txt（含“aaa”），bbb選擇接收文件后，文件經過篩查，aaa被服務器告知文件中包含敏感信息，不予轉發；與此同時，bbb也收到了有待接受文件不符合規定的通知。

圖7 傳輸文件過濾例子

3.4 其他功能

聊天信息安全管理系統還包括聊天信息字體字號選擇、發送表情包、選擇好友創建群聊等功能，如圖8所示，其中（a）為聊天信息字體字號選擇，（b）為發送表情包，（c）為加群操作，（d）為加群成功截圖。

圖8 其他功能展示

4 結束語

隨著網絡技術的發展，聊天軟件的出現與普及在滿足了人們不受時間和空間限制、隨時隨地進行交流的需求的同時，也為不法分子利用網絡傳播非法言論帶來可乘之機。為了能夠對網絡上用戶傳播的信息進行管理，限制用戶的聊天行為，阻止不法信息的傳播，本文設計并實現了聊天信息安全管理系統，從用戶管理、過濾規則管理和安全設計等方面，利用數據庫存儲相關信息，提供圖形化頁面，方便管理員對用戶操作信息進行管理。通過聊天信息安全管理系統，管理員對用戶賬號進行刪除或者封號管理，對用戶的聊天內容及文件傳輸內容過濾后進行發送或限制，對網絡環境實現一定程度的凈化。