1.2 需要解決的與電子郵件相關(guān)的安全問(wèn)題

       （１）竊聽： 因?yàn)殡娮余]件需要在網(wǎng)絡(luò)上傳播，所以很容易成為竊聽的目標(biāo)。根據(jù)電子郵件的傳輸機(jī)制，進(jìn)行竊聽是很容易的，竊聽不僅可以出現(xiàn)在局域網(wǎng)，在客戶機(jī)和服務(wù)器之間的所有點(diǎn)上都有可能存在。郵件的內(nèi)容和信封的內(nèi)容都可以被竊聽。
       （２）假冒：簡(jiǎn)單郵件傳輸協(xié)議(SMTP)不提供任何驗(yàn)證機(jī)制，所以偽造和篡改電子郵件是很容易的。偽造者只要給SMTP服務(wù)器提供合適的信封信息(如發(fā)送方或接收方電子郵件地址)，并使用想要的數(shù)據(jù)產(chǎn)生有關(guān)的信件即可。與假冒相關(guān)的另一個(gè)安全問(wèn)題是否認(rèn)性問(wèn)題，因?yàn)樾偶梢詡卧?，發(fā)送方可以否認(rèn)他曾經(jīng)發(fā)送過(guò)某個(gè)信件。
       （３）拒絕服務(wù)攻擊：這種攻擊通過(guò)破壞機(jī)器之間的網(wǎng)絡(luò)通信，或者是通過(guò)耗用機(jī)器上的資源，如磁盤空伺、內(nèi)存等來(lái)實(shí)現(xiàn).
       （４）惡意郵件:例如郵件附件中附帶有病毒程序，接收方運(yùn)行后給接收方計(jì)算機(jī)系統(tǒng)帶來(lái)嚴(yán)重破壞。

       ２、安全電子郵件安全性問(wèn)題的現(xiàn)狀及發(fā)展趨勢(shì)

       由于電子郵件的發(fā)送經(jīng)常要通過(guò)不同的路由器進(jìn)行轉(zhuǎn)發(fā)，直到到達(dá)電子郵件最終接收主機(jī)，攻擊者可以在電子郵件數(shù)據(jù)包經(jīng)過(guò)這些路由器的時(shí)候把它們截取下來(lái)，這些都是我們所不能發(fā)現(xiàn)的。發(fā)送完電子郵件后，我們就不知道它會(huì)通過(guò)那些路由器最終到達(dá)主機(jī)，也無(wú)法確定在經(jīng)過(guò)這些路由器的時(shí)候，是否有人把它截獲下來(lái)，就像去郵局寄信，人們從無(wú)知道寄出去的信會(huì)經(jīng)過(guò)那些郵局轉(zhuǎn)發(fā)，那些人會(huì)接觸到這封信。使用電子郵件就像在郵局發(fā)送一封沒(méi)有粘封的信一樣不安全。

       從技術(shù)上看，沒(méi)有任何方法能夠阻止攻擊者截取電子郵件數(shù)據(jù)包，你不可能確定你的郵件將會(huì)經(jīng)過(guò)哪些路由器，也不能確定經(jīng)過(guò)這些路由器會(huì)發(fā)生什么，也無(wú)從知道電子郵件發(fā)送出去后在傳輸過(guò)程中會(huì)發(fā)生什么。也就是說(shuō)，沒(méi)有任何辦法可以阻止攻擊者截獲需要在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包。所以電子郵件雖然是一個(gè)很方便的信息交換工具，但易受攻擊、無(wú)法鑒別身份、無(wú)法辨別信息的真?zhèn)蔚劝踩匀秉c(diǎn)阻礙了電子郵件在電子政務(wù)和電子商務(wù)等領(lǐng)域中的應(yīng)用。

       目前全國(guó)各地政府正在大力發(fā)展電子政務(wù)，開展政府上網(wǎng)工程。網(wǎng)上政府同樣體現(xiàn)出權(quán)威性，網(wǎng)上政令的發(fā)布、公文的流轉(zhuǎn)都需要高安全的電子郵件系統(tǒng)來(lái)保證。此外正在開展的如火如茶的電子商務(wù)活動(dòng)，同樣需要高安全的電子郵件系統(tǒng)來(lái)保證商業(yè)機(jī)密和雙方的信任關(guān)系。因此迫切需要安全的電子郵件系統(tǒng)來(lái)保證政府、軍隊(duì)和企業(yè)等部門重要敏感信息傳輸?shù)母甙踩?、高可靠性?/p>

       那么，唯一一種辦法是讓攻擊者截獲了數(shù)據(jù)包但無(wú)法閱讀它，這就像以前的軍事無(wú)線電報(bào)一樣，在發(fā)送無(wú)線電波傳輸電報(bào)時(shí)，人們不知道它們是否會(huì)被敵方截獲，于是人們對(duì)電報(bào)的內(nèi)容先進(jìn)行加密處理，這樣即使敵方截取到了電報(bào)，得到的也只是一大串毫無(wú)意義無(wú)序排列的字符，而只有正確密碼對(duì)發(fā)送電報(bào)內(nèi)容進(jìn)行解密處理，才能閱讀到原本的內(nèi)容。和發(fā)送電報(bào)一樣，在發(fā)送電子郵件前對(duì)其進(jìn)行數(shù)字加密處理，在接收方接到電子郵件后對(duì)其進(jìn)行解密處理，這樣，即使攻擊者截獲了電子郵件，在沒(méi)有正確密碼解密的情況下，截獲的信息只是一堆沒(méi)有任何意義的亂碼數(shù)據(jù)。

       因此，對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)碾娮余]件進(jìn)行相應(yīng)的安全處理，在保持工nternet電子郵件服務(wù)的便利性、經(jīng)濟(jì)性、時(shí)效性和通用性的同時(shí)，有效解決使用電子郵件傳輸時(shí)所遇到的安全性問(wèn)題具有重要的意義，在電子政務(wù)、電子商務(wù)等信息網(wǎng)絡(luò)中有著廣闊的應(yīng)用前景，將產(chǎn)生良好的社會(huì)和經(jīng)濟(jì)效益。

       隨著電子郵件用戶及電子郵件使用的范圍的迅速膨脹，電子郵件的安全性問(wèn)題越來(lái)越成為使用者和開發(fā)者關(guān)心的問(wèn)題，并且也成為Internet標(biāo)準(zhǔn)委員會(huì)的重點(diǎn)問(wèn)題之一，出現(xiàn)了許多針對(duì)其協(xié)議和解決方案，包含服務(wù)器和客戶端的解決方案。例如可以在服務(wù)器端的提供驗(yàn)證和過(guò)濾機(jī)制、郵件病毒掃描等功能。也可以在服務(wù)器端提供加密的功能以保證進(jìn)行郵件傳遞的數(shù)據(jù)鏈路的安全。在服務(wù)器端提供加密雖然能提供一定的安全性能，但是郵件的內(nèi)容仍然要以明文的形式存放在傳輸鏈路中間的服務(wù)器中，還是不能防止所有人(如網(wǎng)絡(luò)管理員)的非法訪問(wèn)，因此對(duì)于郵件的保密性而言，端到端的加密要比加密鏈路更有效.所以當(dāng)前應(yīng)用最廣泛的還是在客戶端提供郵件的安全性，其中最重要的有PGP協(xié)議和S/MIME協(xié)議。

       PGP和S/MIME兩個(gè)協(xié)議都采用了現(xiàn)代密碼學(xué)技術(shù)，并且在不用改變現(xiàn)有的電子郵件協(xié)議的條件下為用戶提供安全電子郵件服務(wù)。

       PGP和S/MIME兩個(gè)協(xié)議的最大的不同在于證書的管理和信任建立的模型。PGP協(xié)議使用的是分布式的密鑰證書管理，網(wǎng)狀信任模型，而S/MIME協(xié)議則使用的是集中的證書管理，和嚴(yán)格的層次信任模型.在S/MIME協(xié)議的使用中，需要一個(gè)稱為以(認(rèn)證中心)的機(jī)構(gòu)負(fù)責(zé)證書的簽發(fā)、吊銷、證書有效性的驗(yàn)證等事務(wù)，它被所有使用它的用戶所信任，而在PGP中每個(gè)用戶都可以被看成是一個(gè)"CA"，每個(gè)PGP協(xié)議的使用者對(duì)這個(gè)"CA"信任與否由用戶決定。

       目前，S/MIME被微軟等一些大公司所承認(rèn)，并基于它開發(fā)了相應(yīng)的應(yīng)用程序，但附加在其上的限制很多。一方面由于受出口的限制，在我國(guó)只能使用40位以下的加密強(qiáng)度:另一方面，其源程序是不公開的，不能得到更多的安全性驗(yàn)證。

       PGP由于其分散管理的特性，使用戶在使用它是需要具有一定的相關(guān)知識(shí)，這在一定程度上限制了它的使用范圍，但是目前PGP還是具有很多的使用者。另外，PGP的源程序是公開的且開發(fā)上不受出口限制。此外，用戶也可以在集中密鑰證書管理的體制下工作。

       目前在我國(guó)，也出現(xiàn)了一些專門針對(duì)電子郵件安全性的解決方案。但是由于起步較晚，應(yīng)用范圍非常有限，影響也較小，這與我國(guó)電子郵件的使用范圍極其廣泛的現(xiàn)實(shí)及不相稱。因此，研究開發(fā)安全電子郵件的解決方案是非常有意義的。

       3．安全電子郵件系統(tǒng)結(jié)構(gòu)與組成

       目前，互聯(lián)網(wǎng)上所提供的電子郵件服務(wù)的拓?fù)浣Y(jié)構(gòu)如下圖所示:

       設(shè)用戶M通過(guò)ISP的郵件服務(wù)器A向用戶N發(fā)送E-mail，郵件服務(wù)器A將M的郵件通過(guò)公網(wǎng)轉(zhuǎn)發(fā)給另一ISP的郵件服務(wù)器B， B在收到所傳來(lái)的E-mail后，按照郵件處理的有關(guān)協(xié)議及對(duì)用戶所提供的服務(wù)來(lái)處理此郵件。N在登錄郵件服務(wù)器B后，就可以接收到用戶郵箱中的電子郵件了。但郵件服務(wù)器A和B都不是安全郵件服務(wù)器，而是公網(wǎng)的一部分或臨時(shí)租用的，并且郵件是以明文的形式存放在用戶郵箱中的，用戶M、N對(duì)郵件服務(wù)器的信任也只局限于其可用性，也就是說(shuō)，ISP的郵件服務(wù)器并不為用戶提供安全電子郵件所必需具備的機(jī)密性、完整性、驗(yàn)證、簽名、防抵賴等服務(wù)，只起到簡(jiǎn)單的郵件處理和轉(zhuǎn)發(fā)功能，在這種情況下，攻擊者終端就可以通過(guò)網(wǎng)絡(luò)攻擊和竊聽等手段破壞和獲得合法用戶終端的數(shù)據(jù)。為此，從實(shí)際應(yīng)用和經(jīng)濟(jì)性角度考慮，將郵件安全性的防線建立在用戶終端，由用戶終端負(fù)責(zé)其自身郵件的安全性。

       基于以上的需求分析，對(duì)于電子郵件客戶端的選擇，我準(zhǔn)備采用Outlook Express。雖然Outlook Express己經(jīng)提供了郵件加密、解密、簽名、驗(yàn)證的功能，但是由于出口的限制，它只支持40位的低強(qiáng)度的加密算法，不能滿足系統(tǒng)的需要，所以要使用上面PGP提供的安全服務(wù)來(lái)替換它。

       安全郵件客戶端應(yīng)包括以下幾個(gè)主要模塊：對(duì)Outlook Express訪問(wèn)控制模塊，用戶操作接口模塊，加密、解密、簽名和驗(yàn)證等安全服務(wù)實(shí)現(xiàn)模塊，安全服務(wù)嵌入模塊，密鑰和信任管理模塊、以及系統(tǒng)配置模塊。其主要實(shí)現(xiàn)功能如下:

       （１）訪問(wèn)控制模塊，完成對(duì)Outlook Express的訪問(wèn)控制.
       （２）用戶接口模塊用戶提供各種操作接口。
       （３）服務(wù)嵌入模塊用于將實(shí)現(xiàn)的PGP安全服務(wù)嵌入Outlook Express中。
       （４）安全服務(wù)提供各種安全服務(wù).
       （５）密鑰和信任管理模塊完成密鑰證書的管理和信任設(shè)定。
       （６）系統(tǒng)配置模塊實(shí)現(xiàn)對(duì)系統(tǒng)的功能進(jìn)行配置。

       4、主要特點(diǎn)

       （１）對(duì)電子郵件的正文及附件提供PGP的加密、解密、簽名、驗(yàn)證功能以及壓縮的功能;
       （２）開放性，支持其它基于PGP協(xié)議的電子郵件產(chǎn)品加密的郵件解密、和驗(yàn)證功能;
       （３）可擴(kuò)展性，系統(tǒng)可以方便的添加新的密碼學(xué)算法

       5、需求條件及支持平臺(tái)

       根據(jù)前面系統(tǒng)方案的選擇及系統(tǒng)設(shè)計(jì)，系統(tǒng)實(shí)現(xiàn)的平臺(tái)為Windows操作系統(tǒng)，客戶端繼續(xù)使用Outlook Express，為此程序?qū)崿F(xiàn)需要使用到多方面的Windows系統(tǒng)編程技術(shù)，而對(duì)于Windows程序設(shè)計(jì)而言，徽軟提供的Visual C++無(wú)疑是最佳的開發(fā)工具。同時(shí)，PGP SDK的函數(shù)庫(kù)也采用了C語(yǔ)言來(lái)實(shí)現(xiàn)，所以使用Visual C++對(duì)PGP SDK函數(shù)庫(kù)的調(diào)用也最為方便。因此開發(fā)平臺(tái)采用了Visual C++。

yajing