具有隱私保護(hù)的Web郵件客戶端

摘 要:通過(guò)分析郵件中隱私信息泄露給用戶帶來(lái)額外損失的問(wèn)題，基于Struts框架和Javamail技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了具有隱私保護(hù)功能的Webmail系統(tǒng)PP-Webmail。PP-Webmail在原郵箱管理的基礎(chǔ)上增加了隱私郵箱，并通過(guò)一次性口令技術(shù)實(shí)現(xiàn)對(duì)隱私郵件的保護(hù)。與普通Webmail相比，PP-Webmail不僅具有郵件客戶端的通用功能，而且能在一定程度上防止用戶隱私的泄露。

關(guān)鍵詞:郵件; 隱私; 安全Webmail; 一次性口令

中圖分類號(hào):TP311

文獻(xiàn)標(biāo)志碼:A

文章編號(hào):1001-3695(2010)02-0742-03

doi:10.3969/j.issn.1001-3695.2010.02.094

Privacy protected Web e-mail client

HUANG Ping1， TAN Liang1，2

(1.College of Computer， Sichuan Normal University， Chengdu 610066， China; 2.Institute of Computing Technology， Chinese Academy of Sciences， Beijing 100080， China)

Abstract:By analyzed the problem as the result from the privacy was leaked and it brought an additional loss for user， based on Struts and Javamail，designed and implemented a privacy protected Webmail， called PP-Webmail.PP-Webmail added a privacy mailbox which was protected by one time password. Compared with the general Webmail， PP-Webmail not only supports the general operations， but also prevents privacy from leaking to some degree.

Key words:mail; privacy; secure Webmail; one time password

電子郵件作為Internet上應(yīng)用最廣泛和使用最頻繁的服務(wù)，以其方便、快捷、容易存儲(chǔ)和管理的特點(diǎn)，已經(jīng)成為人們聯(lián)系溝通、信息交流的重要手段。電子郵件系統(tǒng)主要由MUA(mail user agent，郵件用戶代理)、MTA(mail transportation agent，郵件傳輸代理)和MDA(mail deliver agent，郵件分發(fā)代理)三個(gè)主要模塊組成。其中MUA直接與最終的郵件用戶交流，主要負(fù)責(zé)提供郵件撰寫、收發(fā)界面和郵件封裝、分解。目前，用戶通過(guò)MUA收發(fā)方式，一種是通過(guò)Outlook Express、Foxmail等客戶端軟件;另一種是Webmail。不管是發(fā)郵件有兩客戶端軟件還是Webmail，一般都通過(guò)POP3/IMAP協(xié)議從mail server中獲取用戶的郵件并在客戶端進(jìn)行管理。

隨著網(wǎng)絡(luò)的普及，Webmail的使用越來(lái)越頻繁。值得注意的是，電子郵件與普通的書(shū)信一樣，含有大量的隱私信息。然而，絕大多數(shù)Webmail并沒(méi)有提供相應(yīng)的安全機(jī)制，將隱私郵件和普通郵件分開(kāi)并加以保護(hù)。不管是隱私郵件還是普通郵件，均按照統(tǒng)一的方式存儲(chǔ)于Webmail收件箱的已發(fā)郵件箱、待發(fā)郵件箱和垃圾箱中。這種處理方式會(huì)帶來(lái)兩個(gè)問(wèn)題:

a)大部分Webmail的密碼保護(hù)能力較弱，一旦賬號(hào)被盜，那么郵件中的隱私就會(huì)泄露。

b)在日常生活中，難免會(huì)遇到用戶不能收取郵件的情況，如不能上網(wǎng)、時(shí)間沖突等，需要請(qǐng)求第三方代理人(非郵件所有者)代收郵件的情況，而此時(shí)郵件所有者并不希望第三方代理人看到郵箱中的隱私郵件。

目前，人們對(duì)電子郵件系統(tǒng)研究較多的安全問(wèn)題包括安全郵件協(xié)議和垃圾郵件過(guò)濾。安全協(xié)議主要是防止信息泄密、內(nèi)容竄改、身份假冒等。例如MOSS[1] (MIME object security services)、PEM[2] (privacy enhanced mail)、PGP[3] (pretty good privacy)、MIME (multipurpose Internet mail extension protocol)、PGP/MIME[4] (MIME security with pretty good privacy)、S/MIME[5](secure/multipurpose Internet mail extensions)等，以及利用這些協(xié)議設(shè)計(jì)的安全Webmail[6~10]。垃圾郵件過(guò)濾主要是防止一些無(wú)關(guān)的郵件妨礙用戶使用郵件服務(wù)。例如，基于概率統(tǒng)計(jì)的過(guò)濾方法和基于規(guī)則的過(guò)濾方法[11]，基于貝葉斯與人工免疫的混合垃圾郵件過(guò)濾算法[12]。但所有這些研究卻未涉及前面提到的兩個(gè)問(wèn)題。

為了防止當(dāng)用戶的登錄賬號(hào)被竊取或需要委托第三方收取郵件時(shí)郵件中的隱私泄露的問(wèn)題，本文基于Struts框架和Javamail技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)具有隱私保護(hù)功能的Webmail系統(tǒng)PP-Webmail。PP-Webmail在原郵箱管理的基礎(chǔ)上增加了隱私郵箱，用戶只需將自己認(rèn)為含有隱私信息的郵件轉(zhuǎn)入隱私郵箱中，即使其他人能獲得用戶的登錄賬號(hào)，也不能進(jìn)入隱私郵箱查看，因?yàn)楫?dāng)用戶試圖進(jìn)入隱私郵箱時(shí)，PP-Webmail會(huì)彈出新的頁(yè)面要求他輸入隱私郵箱的一次性口令。與普通Webmail相比，PP-Webmail不僅具有郵件客戶端的通用功能，而且能在一定程度上防止用戶隱私的泄露，具有更好的安全性。

1 PP-Webmail系統(tǒng)架構(gòu)設(shè)計(jì)

PP-Webmail系統(tǒng)的設(shè)計(jì)力求與后臺(tái)郵件服務(wù)器軟件的功能相配合，為用戶提供一個(gè)簡(jiǎn)潔使用的郵件管理接口。系統(tǒng)質(zhì)量屬性目標(biāo)主要追求高安全性和易用性，系統(tǒng)基于Struts架構(gòu)，每個(gè)功能模塊均按頁(yè)面代碼→表示層→業(yè)務(wù)邏輯層→數(shù)據(jù)存儲(chǔ)層的架構(gòu)思想來(lái)實(shí)現(xiàn)，并采用組件技術(shù)，使整個(gè)系統(tǒng)結(jié)合更緊密、性能更高。

主要模塊的功能如下:

a)賬戶管理。用樹(shù)型目錄實(shí)現(xiàn)多賬戶管理，對(duì)每個(gè)賬戶實(shí)現(xiàn)新建、刪除、改名、保護(hù)口令設(shè)置和賬戶屬性設(shè)置等功能。

b)地址簿管理，如新建、查看、修改聯(lián)系人信息、導(dǎo)入導(dǎo)出地址簿。

c)郵箱管理。郵箱存放賬戶的郵件，每個(gè)賬戶默認(rèn)有4個(gè)郵箱，即收件箱、已發(fā)郵件箱、待發(fā)郵件箱和垃圾箱，分別存放收取、已發(fā)送、未發(fā)送和刪除的郵件。

d)隱私郵箱管理。隱私郵箱的口令注冊(cè)、登錄隱私郵箱的認(rèn)證、修改秘密口令和對(duì)隱私郵件的管理。

e)郵件管理。管理郵件的解析、郵件的本地存儲(chǔ)及相關(guān)操作。郵件可以被刪除或者在郵箱之間轉(zhuǎn)移，可進(jìn)行BIG和GB2312之間的編碼轉(zhuǎn)換;可提供郵件的編輯、導(dǎo)入導(dǎo)出及郵件打印等功能。

f)遠(yuǎn)程郵箱管理。通過(guò)簡(jiǎn)潔清晰的界面使用戶能夠在不收取郵件的情況下遠(yuǎn)程管理自己在郵件服務(wù)器上的郵件，可以進(jìn)行刪除而不收取、收取而不刪除、收取且刪除等操作。

g)發(fā)送郵件。實(shí)現(xiàn)標(biāo)準(zhǔn)的SMTP、MIME格式化、MOSS協(xié)議等。

h)接收郵件。實(shí)現(xiàn)標(biāo)準(zhǔn)的POP3協(xié)議、MIME格式化解析、MOSS協(xié)議等。

i)郵件編輯器。提供編輯郵件功能，實(shí)現(xiàn)完善的文本編輯功能(如復(fù)制、粘貼、撤銷、查找、替換)。

限于篇幅，本文簡(jiǎn)要介紹隱私郵箱管理的關(guān)鍵技術(shù)，其他模塊可參見(jiàn)相關(guān)文獻(xiàn)。系統(tǒng)架構(gòu)如圖1 所示。

1.1 隱私郵箱管理模塊的功能結(jié)構(gòu)

隱私郵箱管理采用一種新型的一次性口令方案[13，14]實(shí)現(xiàn)其隱私保護(hù)。隱私郵箱管理模塊包括隱私郵箱的口令注冊(cè)、登錄隱私郵箱的認(rèn)證、修改秘密口令和對(duì)隱私郵件的管理。其中，對(duì)隱私郵件的管理與普通郵箱中的郵件管理基本相同(包括對(duì)隱私郵件進(jìn)行查看、刪除、轉(zhuǎn)存和發(fā)送等)，這里不再累述。值得注意的是，隱私郵箱的保護(hù)基于一次性口令，需要在PP-Webmail中保存用戶的秘密口令。考慮到隱私郵箱秘密口令的安全性和完整性，將這些秘密口令和PP-Webmail產(chǎn)生的驗(yàn)證碼保存在數(shù)據(jù)庫(kù)中，通過(guò)JDBC對(duì)數(shù)據(jù)進(jìn)行查詢和更新。其功能結(jié)構(gòu)如圖2所示。

1)隱私郵箱的口令注冊(cè) 它是在用戶第一次使用隱私郵箱時(shí)，系統(tǒng)返回驗(yàn)證碼，用戶在系統(tǒng)彈出的單獨(dú)頁(yè)面中輸入兩次相同的秘密口令和驗(yàn)證碼，注冊(cè)口令完成。

2)登錄隱私郵箱 它是用戶進(jìn)入隱私郵箱時(shí)，系統(tǒng)會(huì)彈出頁(yè)面要求用戶輸入只有自己知道的秘密口令和系統(tǒng)提供的驗(yàn)證碼。

3)修改秘密口令 此時(shí)用戶輸入原秘密口令，新秘密口令和驗(yàn)證碼。原秘密口令通過(guò)認(rèn)證，修改新秘密口令成功。

1.2 隱私郵箱DB的設(shè)計(jì)

隱私郵箱DB存儲(chǔ)的是用戶注冊(cè)、認(rèn)證和修改密令時(shí)的敏感數(shù)據(jù)，設(shè)計(jì)如表1所示。各個(gè)字段的作用如下:

a)Username。用戶的用戶名，在用戶注冊(cè)時(shí)寫入隱私郵箱DB。

b)Spwd。存儲(chǔ)用戶秘密口令的MD5值，長(zhǎng)度為128 bit，spwd=md5(pwd)，用戶輸入秘密口令后，經(jīng)過(guò)MD5算法得到spwd，再與 username經(jīng)過(guò)對(duì)稱加密傳送到服務(wù)器端的隱私郵箱DB中存儲(chǔ)。

c)Verify code。驗(yàn)證碼長(zhǎng)度為5，用戶每次提出請(qǐng)求時(shí)(注冊(cè)請(qǐng)求、認(rèn)證請(qǐng)求和修改密令請(qǐng)求)，服務(wù)器每次產(chǎn)生不同的驗(yàn)證碼返回給客戶端。需在隱私郵箱DB中存儲(chǔ)該驗(yàn)證碼，用于對(duì)密文解密和認(rèn)證一次性口令。

1.3 隱私郵箱管理模塊的工作原理

整個(gè)隱私郵箱管理模塊的注冊(cè)口令、登錄郵箱和修改口令的一系列功能從用戶角度來(lái)看，與普通的認(rèn)證系統(tǒng)沒(méi)有任何差別。采用MD5算法與對(duì)稱加密算法結(jié)合生成一次性口令。

1)一次性口令注冊(cè) 用戶首次使用隱私郵箱注冊(cè)秘密口令的過(guò)程如圖3所示。在實(shí)際設(shè)計(jì)中，把PP-Webmail作為一次性口令的認(rèn)證服務(wù)器。

①一次性口令注冊(cè)時(shí)，用戶提交注冊(cè)請(qǐng)求，其PP-Webmail就會(huì)提供給用戶一個(gè)注冊(cè)表格。這是一個(gè)帶有隨機(jī)生成值(驗(yàn)證碼V)的表格。其中的隨機(jī)生成值(驗(yàn)證碼)由服務(wù)器端腳本從一個(gè)數(shù)億計(jì)的取值空間中隨機(jī)選取生成。

②客戶端接收到驗(yàn)證碼，輸入自己設(shè)定的秘密口令pwd和驗(yàn)證碼V。在客戶端提取用戶登錄該郵件客戶端的用戶名username，并利用MD5算法得到對(duì)稱密鑰K1，K1= md5(V)。利用K1對(duì)用戶的username，pwd的MD5值加密得到密文A，并傳送到服務(wù)器。K1不能由username、pwd和V經(jīng)過(guò)MD5算法得到，因?yàn)榇藭r(shí)服務(wù)器上還未保存該用戶的username、pwd，服務(wù)器上將無(wú)法得到與K1相同的對(duì)稱密鑰。

③服務(wù)器為了得到與客戶端相同的對(duì)稱密鑰K2=K1，也采用K2=md5(V)，使用對(duì)稱加密算法對(duì)密文A解密得到明文B，從B中取出username、spw并保存，完成一次性口令的注冊(cè)。

2)登錄隱私郵箱 使用一次性口令登錄隱私郵箱的認(rèn)證過(guò)程如圖4所示。

①用戶向服務(wù)器提出登錄請(qǐng)求，服務(wù)器隨機(jī)生成驗(yàn)證碼V，并返回給客戶端。

②用戶在登錄頁(yè)面中輸入秘密口令和驗(yàn)證碼V。客戶端利用MD5算法得到對(duì)稱密鑰K1= md5(username，spw，V)。其中spw為pwd的MD5值，利用K1對(duì)username和spw加密得到密文A(一次性口令)，將密文傳送給服務(wù)器。

③服務(wù)器利用V和其存儲(chǔ)的username、spw得到對(duì)稱密鑰K2= md5(username，spw，V)，則有K1=K2。利用K2對(duì)username和spw加密得到密文A′。 若A=A′，用戶認(rèn)證成功。

從客戶端到服務(wù)器之間的信息傳遞可以看出，每次登錄隱私郵箱的驗(yàn)證碼V不同，則產(chǎn)生的對(duì)稱密鑰K1、K2也不同，從而在網(wǎng)絡(luò)中傳輸?shù)囊淮涡钥诹钜膊煌＊?/p>

3)修改秘密口令 用戶可以隨時(shí)更換自己的秘密口令，修改秘密口令的過(guò)程如圖5所示。修改秘密口令采用與登錄隱私郵箱相同的加密機(jī)制，先利用驗(yàn)證碼V和MD5算法得到對(duì)稱密鑰，再對(duì)信息進(jìn)行加密傳輸。當(dāng)密文A傳送到服務(wù)器時(shí)利用對(duì)稱密鑰解密，對(duì)比輸入的秘密口令和存儲(chǔ)的秘密口令。若相同，則修改秘密口令成功。

2 運(yùn)行測(cè)試結(jié)果

用兩臺(tái)計(jì)算機(jī)作為郵件客戶端代理服務(wù)器，一臺(tái)位于四川師范大學(xué)軟件重點(diǎn)實(shí)驗(yàn)室的局域網(wǎng)內(nèi)，與四川師范大學(xué)的郵件服務(wù)器鏈接，另一臺(tái)位于電子科技大學(xué)軟件測(cè)試實(shí)驗(yàn)室的局域網(wǎng)內(nèi)，與電子科技大學(xué)的郵件服務(wù)器相連。局域網(wǎng)是100 Mbps以太網(wǎng)。郵件客戶端代理服務(wù)器的配置為CPU:4CPU， Intel(R) Xeon(TM) CPU 2.40 GHz;內(nèi)存:4 GB，OS:Red Hat Linux AS3.0 Kernel 2.4.21-4.ELsmp;Tomcat:Apache/2.0.46 (Red Hat) Server，PP-Webmail。主要測(cè)試隱私郵箱管理中的口令注冊(cè)、登錄隱私郵箱和修改口令三個(gè)功能模塊，因?yàn)槠渌δ芘c普通Webmail沒(méi)有差別。當(dāng)用戶登錄到隱私保護(hù)的郵件系統(tǒng)時(shí)，將直觀地查看到隱私郵箱(即圖6中的私密郵箱)的詳細(xì)信息。

用戶首次使用隱私郵箱時(shí)，需要對(duì)其設(shè)置用戶的秘密口令，如圖6左側(cè)的私密郵箱設(shè)置。進(jìn)入相應(yīng)的頁(yè)面設(shè)置隱私郵箱的秘密口令即可。修改秘密口令操作和設(shè)置操作幾乎雷同。

用戶需要對(duì)隱私郵箱進(jìn)行管理時(shí)，點(diǎn)擊如圖6左側(cè)的私密郵箱，將彈出如圖7所示的輸入用戶自己的秘密口令的界面。

進(jìn)入隱私郵箱管理隱私郵件的登錄認(rèn)證過(guò)程與普通的登錄認(rèn)證過(guò)程幾乎相同。當(dāng)用戶輸入的秘密口令和驗(yàn)證碼經(jīng)客戶端生成一次性口令傳送到服務(wù)器通過(guò)認(rèn)證后，用戶將對(duì)隱私郵件進(jìn)行管理。

3 相關(guān)問(wèn)題分析

隱私郵箱自身的安全性是必須首要考慮的問(wèn)題，下面從三個(gè)方面對(duì)該隱私郵箱的安全性進(jìn)行分析。

a)秘密口令的保護(hù)。用戶每次登錄都需要輸入秘密口令，而秘密口令是只有用戶和PP-Webmail知道的。在首次注冊(cè)時(shí)，通過(guò)服務(wù)器產(chǎn)生驗(yàn)證碼V，再將V的MD5值作為對(duì)稱密鑰K。在網(wǎng)絡(luò)中傳輸?shù)膬H僅是驗(yàn)證碼和密文(一次性口令)。驗(yàn)證碼和密文即使被非法用戶截獲也不能獲得有用的信息。同時(shí)在隱私郵箱DB中存儲(chǔ)的是秘密口令的MD5值，從而保證了秘密口令在網(wǎng)絡(luò)中傳輸?shù)陌踩浴＊?/p>

b)認(rèn)證過(guò)程的安全性。認(rèn)證過(guò)程中服務(wù)器發(fā)回驗(yàn)證碼，客戶端由此產(chǎn)生的密文(一次性口令)即使被截獲，也不能得到用戶的秘密口令pwd，故整個(gè)認(rèn)證過(guò)程是安全的。

c)重放攻擊。由于每次登錄隱私郵箱時(shí)服務(wù)器返回的驗(yàn)證碼不同，在客戶端產(chǎn)生的對(duì)稱密鑰也不同，從而在網(wǎng)絡(luò)中傳輸?shù)囊淮涡钥诹钜膊煌９粽咧胤乓呀孬@的信息是無(wú)法通過(guò)服務(wù)器驗(yàn)證的。

用戶在登錄該隱私郵箱時(shí)，只需輸入秘密口令和驗(yàn)證碼一次，避免了一次性口令挑戰(zhàn)/應(yīng)答方案中要求多次手動(dòng)輸入挑戰(zhàn)數(shù)和一次性口令的麻煩。用戶使用起來(lái)方便快捷。

4 結(jié)束語(yǔ)

本文設(shè)計(jì)實(shí)現(xiàn)的PP-Webmail郵件系統(tǒng)，不僅支持郵件操作、郵箱管理以及郵件地址管理等通用功能，同時(shí)采用一次性口令認(rèn)證方案，對(duì)需要管理隱私郵件的用戶和盜得郵箱賬號(hào)的非法使用者，要求再次認(rèn)證才能登錄到隱私郵箱，實(shí)現(xiàn)了對(duì)隱私郵件的保護(hù)功能。與普通Webmail相比，PP-Webmail功能更強(qiáng)、安全性更高，對(duì)用戶更友好。

參考文獻(xiàn):

[1]CROCKER S. RFC1848， MIME object security services[S/OL].(1995). http://www.cnpaf.net/.

[2]NA W，GOU Bei. A thermal equivalent circuit for PEM fuel cell temperature control design[C]//Proc of International Symposium on Circuits and Systems. 2008 :2825-2828.

[3]GEYLANI K， EBRU C.A smart card mediated mobile platform for secure e-mail communication[C]//Proc of the 4th International Conference on Information Technology. 2007:925-928.

[4]ELKINS M. RFC2015， MIME security with pretty good privacy (PGP)[S/OL].(1996). http://www.cnpaf.net/.

[5]RAMS D B.RFC2632， S/ MIME version 3 certificate handling[S/OL]. (1999). http://www.cnpaf.net/.

[6]張學(xué)旺，汪林林. 一種安全Web電子郵件客戶端設(shè)計(jì)[J].計(jì)算機(jī)工程， 2008， 34(14): 171-173.

[7]張秋余，孫晶濤，閆曉文，等.LSA和MD5算法在垃圾郵件過(guò)濾系統(tǒng)的應(yīng)用研究[J].電 子 科 技 大 學(xué) 學(xué) 報(bào)， 2007，36(6):1223-1227.

[8]陳建奇，張玉清，李學(xué)農(nóng)，等. 安全電子郵件的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程， 2002， 28(6):121-122.

[9]張建偉，李鑫，張梅峰. 基于MD5算法的身份鑒別技術(shù)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2003， 29(4):118-119.

[10]曾志高，譚駿珊.PGP 郵件系統(tǒng)核心算法分析及安全性的改進(jìn)[J]. 計(jì)算機(jī)工程與設(shè)計(jì)，2007，24(3):1038-1039，1060.

[11]ANDROUTSOPOULOS I， PALIOURAS G， KARKALETSIS V， et al. Learning to filter spam e-mail: a comparison of a naive Bayesian and a memory-based approach[C]//Proc of the 4th European Conference on Principles and Practice of Knowledge Discovery in Databases. Athens: IEEE Press，2000.

[12]秦志光，羅琴，張鳳荔.一種混合的垃圾郵件過(guò)濾算法研究[J].電子科技大學(xué)學(xué)報(bào)， 2007，36(3):485-488.

[13]張宏，陳志剛. 一種新型一次性口令身份認(rèn)證方案的設(shè)計(jì)與分析[J]. 計(jì)算機(jī)工程， 2004， 30(17):112-113.

[14]CHA B， KIM K， NA H. Random password generation of OTP system using changed location and angle of fingerprint features [C]//Proc of the 8th IEEE International Conference on Computer and Information Technology. 2008:420-425.