创建安全的企业电子邮箱

创建安全的企业电子邮箱 Technology&Application技术应用I20081o/世界电信 创建安全的企业电子邮箱 ?中国铁通集团有限公司候轶男高鑫 电子邮箱服务是互联网上出现最早的基础服务之一,随着互联网在中国的兴起,电 子邮箱作为一种新兴的网络服务,逐步显现出沟通优势.网络攻击的不断升级以及人们 对安全隐私关注度的不断加强,使得电子邮件的安全性成为用户选择运营商时重点考 虑的因素.安全性以及易扩展性电子邮件在基础加密方式上进行改良,从而适应各 种应用服务. 经过多年的发展,电子邮箱市场 整体已经进入成熟期,市场逐步被细 分为免费电子邮箱,个人收费邮箱和 企业邮箱三类市场,各类电子邮箱运 营商通过提供差异化的功能和服务构 建各自的竞争优势.邮箱的稳定性,高 性能以及对病毒和垃圾邮件的防护功 能是企业邮箱的核心竞争力体现.近 年来,随着企业知识产权意识的逐步 建立以及在商业活动方面更加关注对 商业机密的保护,企业对邮箱保密性 方面的需求越来越强烈,促使企业邮 箱产品必须在邮箱保密性方面提供更 完善的功能和服务. 市场潜力巨大 用户需求强烈 随着经济的发展,高科技企业越 来越多,同时,传统企业也在不断推进 信息化工作,企业对电子邮件服务的 需求呈上升趋势.企业实现电子邮件 服务主要通过自建邮件服务器或者购 买企业邮箱服务,前者的一次性投入 巨大且性价比较低,而后者则在性价 比以及初期投入方面具有较大优势, 公司不用投入固定资产,无须配备专 业技术人员,而且可以随时终止电子 邮件服务,灵活性非常高. 不难看出, 将来企业邮箱 产品市场潜力 巨大.目前,市 场上有多家企 业提供企业邮 箱产品服务,无 论在高端市场 还是中低端市 场,企业邮箱产 品的竞争都异 常激烈.竞争促使产品质量不断提高, 功能和服务越来越丰富,差异化竞争 的趋势越来越明显(见图1o 通过图2可见,人们已经不满足 于电子邮件系统仅仅拥有增加空间容 量,增加查毒杀毒等功能,而是需要能 确保电子邮件端到端(全程)的邮件内 容安全保密的服务,确保用户的电子 邮件内容不会被非法窃取,篡改和防 20062007?2008e2O09e20lOe 一企业自嗍i胚务提供商收入(万元)+ 图12006,2010年中国企业邮箱市场规模及预测 2侣,?峨. ?????0姗硼?帅舯.322. 8’舒jITechnology&Application援零癃雳 发送多媒体邮件 网络存储 发送超大附件 收/发信速度 保密洼 反垃圾,防病毒 096l2o463o964魄5傩60967嘶8o96 叵豆垂垂圃 图2用户较为关注的邮箱功能 止非法用户登录合法用户的邮件账号. 目前,安全电子邮件业务的服务对 象主要是有安全要求的电子商务经营 者,电子商务用户呈现几何增长态势, 相应的安全电子邮件业务可以同电子 商务相结合加以推断,市场前景乐观. 安全电子邮件的用户并不限于企 业和机卡句,还有数量可观的网络个人 用户.随着消费者安全意识的增强,新 的社会意识——保护个人隐私(数据 隐私,缴费电子账单,电子收据,身份 认证等)正在形成. 有效解决保密性问 安全电子邮件业务是在传统电子 邮件的基础七对邮件的正文以及附件 进行加密处理后再发送给接收者的业 务,接收者接收到邮件后必须使用个 人私钥进行解密才能阅读邮件,安全 电子邮件业务可以很好地解决邮箱应 用中普遍存在的保密性问题. 八种特性各显其能 安全电子邮件业务主要包括八种 特性,具体现在以下方面. 第一,普通邮件立即升级加密功 能.此功能不改变用户的使用习惯,也 不会增加使 用难度,更无 须其他专业 知识,用户只 须将USBKey 插入电脑的 USB接口即 可使用. 第二,接 收方无须需 预注册.发送 者可以先发送安全电子邮件,而邮件 接收者可之后再注册安全邮件服务, 发送安全电子邮件与接收者无关,更 加符合使用习惯. 第三,提供多种方式.安全电子邮 件业务可提供专用安全邮件客户端, Outlook插件,Express插件,Web邮件 客户端等多种方式. 第四,安全保护功能.此功能支持 高达3072位的加密安全强度,防止邮 件内容在传输过程中被窃阅;支持对 邮件内容的数字签名,防止邮件内容 被纂改. 第五,离线解密功能.邮件的解密 可在本地完成,不需要和邮件服务器 交互,更加符合用户使用习惯. 第六.加密群发功能.此功能支持 对邮件加密后群发,发送效率几乎等 同于单发邮件的效率. 第七,可控策略功能.此功能可对 邮件执行基于时间的加密策略,邮件 的接收者只能到指定的时间才能解密 阅读. 第八,数字信套功能.此功能支持 对邮件进行可视uI信封设计,在保证 邮件安全的同时,还可作为政府形象 和企业产品的推广渠道. 三种方式实现加密业务 用户可以通过以下三种方式使用 加密邮件业务. 第一,WebMail方式. 该方式不影响用户现有的邮件系 统,不改变用户现有的操作习惯,安全 电子邮件功能嵌入原有的邮件界面 中,使用方便,可以随时随地发送加密 邮件.同时,可以提供基于时间的加密 策略以及邮件签名功能,适合企业用 户的使用需求.不过,WebMail方式的 加密邮件在首次使用时通常需要安装 一 个Web控件. 第二,通用邮件客户端方式. Outlook,OutlookExpress通过安装 一 个插件即可支持安全电子邮件业 务.该方式除了不改变用户的使用习 惯外,对邮件服务器本身没有特别要 求,也.就是说所有支持POP3/SMTP的 邮件服务器都支持加密邮件功能: 第三,专用安全邮件客户端方式. 采用第j方安全产品开发的专用 邮件客户端,软件型号通过国家密码 局认证,采用国家密码局指定的加密 算法,加密强度符合商用密码要求.另 外,专用邮件客户端对邮件服务器本 身没有特别要求,所有支持POP3/ SMTP的邮件服务器都支持安全电子 邮件功能. 用户私钥与保存 用户私钥是保存在用户侧的重要 数据,由第三方的密钥中心生成和管 理,用户通过Web方式向密钥中心申 请并下载到本地用户申请私钥需要 提交用户的邮箱地址,一个邮箱地址 对应一个用户私钥,用户只有通过与 邮箱对应的私钥才能对邮件进行加密 和解密操作. Technology&Application技术应用I200810/世界电信 USBkey 图3普通邮件服务系统图4组件升级系统 用户私钥在本地的保存有两种方 式.第一种是直接保存到PC上,其优 点是不产生硬件成本,但是在PC上完 成邮件加解密也存在一定的安全隐 患,并且私钥文件容易被非法拷贝.第 二种方式是通过专用软件写入USB— Key中,由于邮件加解密的关键过程在 USBKey中完成,所以这种方式更加安 全,同时写入USBKey的用户私钥无法 反向读取,并且USBKey有体积较小, 便于携带的优点. 业务系统和实现方式 USBkey 务管理功能,包括注册,开通,激活用 户信息;私钥管理功能,包括管理,下 发用户私钥;策略管理功能,包括接受 用户策略定制并执行.其他功能还包 括提供插件下载,用户信息查询等等. 对称与非对称加密算法 对称加密算法是应用较早的加密 算法,技术也较为成熟.在对称加密算 法中,数据发信方将明文(原始数据) 和加密密钥一起经过特殊加密算法处 理后,使其变成复杂的加密密文发送 出去.收信方收到密文后,若想解读原 文,则需要使用 加密用过的密 业务框架钥及相同算法 首先,开展加密邮件业务必须先的逆算法对密 有一套普通的邮件服务系统,如图3文进行解密,才 所示.能使其恢复成 其次,需要对两部分组件进行升可读明文.对称 级(见图4).加密算法的特 升级邮件服务器的Web组件,以点是算法公开, 支持对WebMail方式的加密邮件进行计算量小,加密 相关操作;提供密码中心支持,以提供速度快,加密效 对用户私钥的管理.率高.不足之处 此外,密码中心的功能主要有:业是交易双方都 使用同样的钥匙,安全性得不到保证. 非对称加密算法需要两个密钥: 公开密钥(publickey)和私有密钥(一 vatekey).公开密钥与私有密钥是一 对,如果用公开密钥对数据进行加密, 只有用对应的私有密钥才能解密;如 果用私有密钥对数据进行加密,那么, 只有用对应的公开密钥才能解密.因 为加密和解密使用的是两个不同的密 钥,所以这种算法叫作非对称加密 算法. 两种技术实现安全电子邮件 目前,安全电子邮件的技术实现 有两种方式:基于PKI数字证书和基 于IBC私钥,两种技术的实现原理如 下所示. 基于数字证书的安全电子邮件发 送/接受过程如图5所示. 首先,邮件接收者Bob向CA中心 申请数字证书;其次,CA中心通过Bob 的申请并生成Bob的数字证书,并将 该数字证书公布在目录服务器上,Bob 通过互联网下载数字证书到本地;再 次,邮件发送者Alice通过CA中心的 目录服务器查询到Bob的数字证书, 图5基于PKI的加密过程 国 .?一囔萋ITechnology&Application撼拳髓震 并对其进行验证;随后,Alice使用Bob 数字证书中的公钥对邮件进行加密处 后发出邮件;最终,Bob接收到加密 邮件后使用自己的私钥对邮件进行解 密处理 基于数字证书的加密邮件的特点 是存发送加密邮件前必须验证接收者 的数字证书,反之亦然.其缺点是当使 用安全电子邮件的人数大量增加时, 会产生大量且频繁的数字证书交换, 从而限制了其应用规模: 基于IBC标识的安全电子邮件发 送/接收过程如罔6所示 首先,邮件发送者Alice直接使用 bob@b.(yon作为标识对邮件进行加密 处理,然后发出邮件(此时邮件接收耆 Bob不需要f申清用户私钥);其次, 邮件接收者Bob用自己的邮箱地址 bob@bc,nl作为标识向密码中心申请 注册用户私钥;再次,密码中心通过安 全的数据通道将私钥发到Bob本地; 最终,Bob使用自己的私钥对邮件进行 解密处理. 基于IBC私钥安全电子邮件实现 原理的特点是不再需要证书验证,邮 件加密的公钥直接采用对方的邮件地 址生成,整个加密过程简化很多. 业务目标市场定位五大领域 金融行业 利用安全电子邮件替代传统的纸 质对账单,可以有效节约银行投递单的 费用,对比于传统的方式更加安全便捷: 据统计,每年上海市银行在邮寄 客户对帐单上要花费8亿人民币,如 果替换为安全电子邮件的方式投递不 但可以节约银行的开支,更可以减少 纸张的使用,关系到环保和国家长远 发展,还有利于提升金融行业的社会 形象: 政府机要部门 政府机要部门传播敏感文件,通 常采用以下两种方式,一是传统的纸 质打印的方式;二是采用电子文档加 密发送,然后再逐个通知解密密码的 方式.上述两种方式不但费时又费力, 而且不能很好地控制传播人群,同时 费用高昂.采用安全电子邮件的方式传 播,端到端地加密和解密,只有邮件的 I, 图6基于标识的加密过程 接收人才能解 开邮件,并且可 以附加制定时 间加密的方式, 精确地定义允 许阅读的时间 企业用户 标书,渠道 销售价格,销售 合同等均是企 业的商业机密, 当企业通过电 子邮件向企业 以外交换这些文件时,很容易被窃取, 采用安全电子邮件的方式可以有效降 低风险.另外,企业内部提供的一些敏 感信息,如给员T查询当月:【:资的服 务,也可以采用安拿电子邮件的方式 来承载. 个人用户 当前,电子邮件是互联网上应用 最广的一项基础业务,但通过邮件导 致的私密外泄,并由此引发私人电子 邮件遭非法链接的侵权事件屡屡发 生.互联网上各类泄密事件的频繁发 生唤起了广大民众对个人隐私的高度 关注.因此,个人用户也同样存在着对 安全电子邮件的强烈需求: 数字商品零售渠道 游戏点卡,电话充值卡等商品的 共同特点是客户买到的只是一串字母 和数字,为_『安令地将游戏点卡,电话 充值卡送到最终用户手中,运营商开 辟_厂各种零售渠道,这些零售渠道自 然增加了销售的成本.利用安全电子 邮件的方式替换传统零售渠道,可以 有效减少销售环节. IBC技术作为密码学的最新突破, 具备天然的高安全性和易用性,是电 子邮件加密技术的最佳选择.使用IBC 安全电子邮件,对于行业或企业用户 而言,能够提高信息传输的安全性,在 精准控制信息的同时节约大量成本. 对于个人而言,能够加强安全保障隐 私,同时不改变原有使用习惯,使用简 便:对于运营商而言,IBC密钥体系减 少了PKI证书体系下的繁琐维护和管 理成本,IBC中心的统一平台可以方便 地对用户进行管理控制,不管是安全 电子邮件业务还是由此衍生的邮件相 关业务,都非常适于运营=匝囝