基于智能卡技術(shù)的企業(yè)安全郵件系統設計

引言

隨著(zhù)計算機和網(wǎng)絡(luò )技術(shù)的發(fā)展，電子商務(wù)、企業(yè)’(、電子郵件等網(wǎng)絡(luò )服務(wù)在各行各業(yè)都得到了積極的推廣，其中企業(yè)郵件服務(wù)是使用最為廣泛、也最為用戶(hù)所熟悉的。郵件服務(wù)具有比較長(cháng)的歷史，由于當時(shí)使用環(huán)境的限制，在最初設計體系結構時(shí)沒(méi)有過(guò)多地考慮安全問(wèn)題，導致現在大部分的企業(yè)郵件系統結構比較簡(jiǎn)單，存在比較多的安全隱患。目前郵件在存儲和傳輸過(guò)程中都是基于明文的，僅有的安全機制就是對用戶(hù)訪(fǎng)問(wèn)權限的管理，網(wǎng)絡(luò )入侵者可以非常容易地通過(guò)網(wǎng)絡(luò )監聽(tīng)或者侵入郵件服務(wù)器來(lái)竊取重要的郵件信息。

為了解決郵件在存儲和傳輸過(guò)程中的安全問(wèn)題，數據加密、數字簽名)%，!*等安全技術(shù)已經(jīng)應用到了企業(yè)郵件系統中。這些技術(shù)雖然保證了郵件在傳輸和存儲的過(guò)程中是基于密文的，但是用來(lái)對郵件加密和數字簽名密鑰的安全問(wèn)題并沒(méi)有解決。目前這些密鑰基本上存儲在郵件的收發(fā)終端或者中央服務(wù)器上，隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的發(fā)展，如此保存用戶(hù)密鑰的方法將會(huì )對郵件系統的安全產(chǎn)生嚴重的威脅。智能卡不僅可以存儲密鑰、證書(shū)、用戶(hù)數據等敏感信息，保證機密信息的硬件級別防止篡改，而且可以在卡內對數據進(jìn)行加密、解密以及簽名、驗證簽名運算。文章提出了基于智能卡技術(shù)的企業(yè)安全郵件系統，該系統在郵件收發(fā)終端引入智能卡技術(shù)，保證了密鑰等機密信息的安全，有效地解決了現有郵件系統在加密、解密以及簽名、驗證過(guò)程中的安全問(wèn)題。

相關(guān)技術(shù)

郵件服務(wù)系統

目前企業(yè)的很大一部分信息都是通過(guò)辦公自動(dòng)化系統的郵件服務(wù)來(lái)傳遞，而這些郵件服務(wù)通常是基于( 協(xié)議的標準互聯(lián)網(wǎng)郵件服務(wù))，或者是基于數據庫技術(shù)的企業(yè)內部網(wǎng)絡(luò )郵件服務(wù)。

對于基于( 協(xié)議的標準互聯(lián)網(wǎng)郵件服務(wù)，郵件是采用存儲轉發(fā)機制進(jìn)行傳輸，但在傳輸的整個(gè)過(guò)程中，郵件的標題和內容都是基于明文的，這樣帶來(lái)的安全問(wèn)題是：一方面攻擊者可以通過(guò)網(wǎng)絡(luò )偵聽(tīng)，獲取到敏感信息；另一個(gè)方面，暫時(shí)存儲在郵件服務(wù)器上的郵件也很可能被攻擊者竊取?；? 協(xié)議的標準互聯(lián)網(wǎng)郵件服務(wù)中郵件傳輸的路徑如圖所示，用戶(hù), 通過(guò)用戶(hù)代理程序書(shū)寫(xiě)郵件，然后代理程序將郵件發(fā)送到本地郵件傳輸服務(wù)器，本地郵件服務(wù)器再通過(guò)一定的路由傳輸到達對方用戶(hù)2 的服務(wù)器；用戶(hù)2 可以通過(guò)代理程序從服務(wù)器上取回發(fā)給他的郵件，這樣用戶(hù)2 便可以閱讀郵件了。從中可以看出開(kāi)放的網(wǎng)絡(luò )環(huán)境對郵件的傳輸和存儲產(chǎn)生嚴重的安全威脅。

對于基于數據庫技術(shù)的企業(yè)內部網(wǎng)絡(luò )郵件服務(wù)，郵件的發(fā)送和接收過(guò)程如圖所示，這種體系結構對于大數據量的企業(yè)級郵件服務(wù)是非常適合的，具有速度快、穩定性高的優(yōu)點(diǎn)。但是，郵件除了在傳輸過(guò)程中存在網(wǎng)絡(luò )監聽(tīng)安全威脅之外，安全隱患還存在于郵件服務(wù)器的操作系統或者數據庫系統本身的漏洞以及配置方面的疏忽。郵件的標題和內容以明文的形式存儲在數據庫中，一旦攻擊者侵入數據庫系統，這些內容將完全處在攻擊者的控制之下。

現有郵件系統的安全解決方案

以明文形式存在的郵件在傳輸和存儲的過(guò)程中都是不安全的，這樣的安全問(wèn)題可以通過(guò)對郵件進(jìn)行加密來(lái)解決。如果采用對稱(chēng)密鑰加密，假設企業(yè)郵件系統用戶(hù)數為 n，那么整個(gè)企業(yè)要維護個(gè)密鑰，這在用戶(hù)數小的情況下是適合的，但在企業(yè)環(huán)境下，用戶(hù)數目非常大，使得密鑰的日常維護、更新和發(fā)布的工作量非常大。

非對稱(chēng)密鑰加密技術(shù)雖然保證了郵件在傳輸和存儲的過(guò)程中是基于密文的，但是用來(lái)對郵件加密和數字簽名密鑰的安全問(wèn)題并沒(méi)有解決。目前這些密鑰基本上存儲在郵件的收發(fā)終端或者中央的+, 服務(wù)器上，隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的發(fā)展，如此保存用戶(hù)密鑰的方法將會(huì )對郵件系統的安全產(chǎn)生嚴重的威脅。

智能卡技術(shù)

智能卡是一種為特定應用而開(kāi)發(fā)的硬件和軟件相結合的設備，可以安全地存儲密鑰、證書(shū)、用戶(hù)數據等敏感信息，實(shí)現機密信息的硬件級別防止篡改。智能卡芯片在很多的應用中可以獨立完成加密、解密、身份認證、數字簽名等對安全敏感的計算任務(wù)，從而能夠提高應用系統抵抗病毒攻擊以及防止敏感信息的泄露。

智能卡的核心是一塊微型芯片，包括處理器、存儲器、操作系統和固化的應用程序，實(shí)際上可以理解為一個(gè)沒(méi)有專(zhuān)門(mén)的輸入和輸出設備的計算機系統。根據其內部不同的軟硬件體系結構，可以細分為如下四種類(lèi)型：

存儲卡：僅是一種簡(jiǎn)單的存儲設備，不能進(jìn)行相應的卡內計算，其在有安全需求的應用環(huán)境下不能適用。

加密存儲卡：在存儲信息的基礎上增加了加密處理邏輯，可以對卡內信息加密。

CPU卡：具有處理器和存儲器，不但能存儲信息，還能對數據進(jìn)行復雜的加密、解密運算?？ㄆ淖灾饔嬎隳芰κ沟每▋刃畔⒌陌踩杂辛孙@著(zhù)提高。

射頻卡：在CPU卡的基礎上增加了射頻收發(fā)電路，用以實(shí)現非接觸式讀寫(xiě)操作。

基于智能卡技術(shù)的企業(yè)安全郵件系統

郵件的安全性

現有的安全郵件系統雖然實(shí)現了郵件加密和解密以及簽名和驗證的過(guò)程，解決了郵件在存儲和傳輸過(guò)程中的安全問(wèn)題，但是隨著(zhù)網(wǎng)絡(luò )攻擊技術(shù)的發(fā)展，用戶(hù)持有私鑰是絕對安全的假定已不再滿(mǎn)足：目前很多企業(yè)中計算機資源是共用的，如果用戶(hù)將私鑰存儲在客戶(hù)端上，這將使得共享該計算機的其他用戶(hù)非常容易訪(fǎng)問(wèn)到該私鑰；如果將用戶(hù)私鑰存儲在中央的服務(wù)器上，由于服務(wù)器的系統漏洞或者配置上的疏忽，也有可能導致用戶(hù)私鑰的泄漏，這樣使得現有的安全郵件系統面臨嚴重的安全威脅。要解決這個(gè)問(wèn)題，最主要的就是保證用戶(hù)私鑰的絕對安全，為此筆者在系統的終端中引入了具有自主計算功能的智能卡，實(shí)現用戶(hù)私鑰的硬件級別防止篡改。智能卡由統一的發(fā)卡機構結合用戶(hù)的身份信息進(jìn)行管理，使得原有的安全郵件系統模型在不改變體系結構的前提下，有了非常堅實(shí)的安全保證。

在圖6 的郵件發(fā)送處理流程中，灰色框中的處理步驟是郵件發(fā)送方以私鑰加密郵件內容摘要處理結果。這個(gè)步驟是在智能卡內處理，加密之后再將結果返回給外部郵件代理程序。這樣外部的程序就不能直接訪(fǎng)問(wèn)用戶(hù)的私鑰，從而可以在最大的程度上保證私鑰的安全性。而在之前進(jìn)行的加密過(guò)程是由外部郵件代理程序完成的，其先從% 服務(wù)器上獲取郵件接收者的公鑰，之后對密鑰加密。由于用戶(hù)的公鑰是公開(kāi)的，在智能卡外部加密可以充分利用外部客戶(hù)端的資源，提高了加密速度，而且安全性也不會(huì )降低。

在圖7的郵件接收處理流程中，灰色框中表示以郵件接收方私鑰. 對解密的過(guò)程。外部郵件代理程序將發(fā)送給智能卡，經(jīng)過(guò)卡內解密得到密鑰，返回給外部郵件代理程序，郵件的解密過(guò)程在外部客戶(hù)端實(shí)現，同樣避免郵件代理程序直接訪(fǎng)問(wèn)到用戶(hù)的私鑰，最大限度地提高系統整體效率和安全性。

密鑰管理

密鑰管理主要包括對公鑰、私鑰和證書(shū)的管理與維護。用戶(hù)的私鑰保存在該用戶(hù)持有的智能卡中，在發(fā)卡的時(shí)候由發(fā)卡程序生成，同時(shí)也生成了用戶(hù)的公鑰數據，并將其存儲在企業(yè)的% 服務(wù)器上，當用戶(hù)需要的時(shí)候，可以從服務(wù)器上面獲得.服務(wù)器上面的公鑰數據是用來(lái)被所有的企業(yè)用戶(hù)訪(fǎng)問(wèn)的，而且對安全性的要求較低，所以可以依靠操作系統和數據庫系統的安全性來(lái)解決。另外，如果某個(gè)用戶(hù)的智能卡丟失，當用戶(hù)掛失智能卡的時(shí)候要將用戶(hù)的證書(shū)吊銷(xiāo)，這樣需要在服務(wù)器上維護一個(gè)證書(shū)吊銷(xiāo)列表來(lái)控制證書(shū)的回收。企業(yè)同時(shí)負責智能卡的發(fā)放和管理，私鑰在生成之后直接寫(xiě)入用戶(hù)所持智能卡中，在發(fā)卡機構不保存副本，這樣在最大程度上保證了郵件系統的安全。

模型實(shí)現

該模型的設計功能已經(jīng)編程實(shí)現，嵌入到了一套辦公自動(dòng)化系統中。這充分地解決了原有系統在信息安全方面的不足，并且在易用性方面也得到了認可。處理一封日常工作郵件，系統的響應時(shí)間可以參看表。

通過(guò)對比，可以看出在郵件系統中采用文中介紹的模型處理郵件，不但安全性得到了保證，而且損失的性能也是可以接受的。這證明了所提出的模型算法相結合，大量郵件數據解密，少量的敏感信息用2) 算法在智能卡內加解密的思想是非常有效的。

結論

企業(yè)辦公自動(dòng)化平臺中郵件系統的重要性已被大家所認同，而實(shí)現郵件服務(wù)的傳輸、存儲技術(shù)在安全性方面還是很脆弱的，要在企業(yè)中實(shí)現安全的郵件服務(wù)，對郵件加密和簽名處理是必不可少的。該文提出了基于智能卡技術(shù)的企業(yè)安全郵件系統，該系統在郵件收發(fā)終端引入智能卡技術(shù)，保證了密鑰等機密信息的安全，最大限度的降低系統的安全隱患，通過(guò)對郵件進(jìn)行加密、解密和簽名、驗證簽名，在不改變原有郵件系統體系結構的前提下有效地解決了郵件在存儲和傳輸過(guò)程中的安全問(wèn)題。