淺談電子郵件的信息安全技術

蘇曉剛

?

淺談電子郵件的信息安全技術

蘇曉剛

公安部第三研究所，上海201204

網絡可以滿足方方面面的需求，但網絡信息安全也受到越來越大的威脅。可以說，信息安全對國家主權完整、社會和諧穩定，以及個人生命財產安全起著舉足輕重的作用。前幾年的棱鏡門事件，也充分證明了信息在現代社會的重要意義。信息化戰爭這個名詞的出現不是聳人聽聞。電子郵件的興起，極大地提高了溝通效率，并且具有正式性，在當今人們工作生活中扮演著越來越重要的角色。電子郵件的安全保密技術也成為了專家學者研究的對象。垃圾郵件、郵箱盜號、釣魚郵件和帶毒郵件等各種形式的攻擊方式讓人們防不勝防。基于此，從電子郵件的信息安全的角度觸犯，闡述了當前電子郵件存在的安全隱患及應對策略。

信息加密；網絡安全；電子郵件；機密技術

2016年世界政壇被兩個女人長期霸占頭條，一個是韓國總統樸槿惠；另一個是敗選的美國總統候選人希拉里·克林頓。希拉里的敗選原因有多個方面，但是她整個競選過程中都因為曾利用私人郵件服務器處理公務而被競爭對手詬病。對于美國這種監聽監管各國政要私人電話和郵箱的國家來說[1]，政府高層的信息安全存在隱患是不被原諒的。因此，希拉里的敗選有部分原因就是“郵件門”事件[2]。

1 電子郵件存在的安全隱患

1.1 網絡層面

Internet技術的開放性是它最為顯著的一個特點，但正是因為這個特點，從安全性的角度來看，反而成了最易受到攻擊的弱點。眾所周知，Internet依賴于TCP/IP協議，但這種協議自身的安全性本身就不高，因此運行該協議的網絡系統必定就存在著欺騙攻擊、拒絕服務、數據截取和數據篡改等威脅[3]。

目前，連接Internet的子網大部分都是采用防火墻來確保網絡的安全，這是由于以下幾點原因：防火墻能強化安全策略；作為訪問的唯一點，防火墻能在被保護的網絡和外部網絡之間進行記錄；防火墻限制暴露用戶點，能夠防止影響一個網段的問題通過整個網絡傳播；防火墻是一個安全策略的檢查站，使可疑的訪問被拒絕于門外。但同樣的，防火墻也有著很多缺點：防火墻能夠阻斷攻擊，但不能消滅這些攻擊源；防火墻不能抵御最新的攻擊漏洞；防火墻對待內部自動發動連接的攻擊一般沒有辦法阻止；防火墻本身會出現問題和受到攻擊，依然有漏洞；防火墻不能處理病毒。

通常電子郵件采用的傳輸協議是SMTP協議，這種郵件傳輸協議比較簡單，屬于網絡應用服務的一種。而從之前的電子郵件來看，它的主要格式是文本，文本格式的數據在傳輸的過程中容易被截取，原因在于發送電子郵件時要在很多其他的路由器下進行轉發，再將信息傳送給接收電子郵件的服務器，而在這個過程中電子郵件的信息就很容易被不法分子截獲。[4]

1.2 軟件層面

信息技術的更新速度越來越快，越來越先進，但是完美的軟件還不存在，任何軟件在設計和實現之初都會存在著或多或少的缺陷，只是這些缺陷的危害程度不同，提供郵件服務的郵件服務器以及接收郵件的客戶端軟件，包括支持各類手機操作系統的郵件客戶端軟件都存在一定程度的缺陷。

1.2.1 郵件軟件自身存在安全缺陷

迄今為止，市面上提供的幾乎所有的郵件服務器軟件、郵件客戶端以及Web Mail服務器都存在過安全漏洞。

郵件服務端存在漏洞，入侵者在控制了存在這些漏洞的計算機之后，就可以非常輕松地獲取服務器上海量的用戶信息以及登陸賬號和口令，并通過用戶郵箱通信錄獲取外部聯系人的郵件地址等信息。

郵件客戶端存在漏洞，入侵者就可以對郵件進行偽裝并在該郵件中植入木馬病毒，只要沒有及時更新對應補丁，用戶一旦打開郵件，這些木馬就會被自動執行，甚至有些木馬會長期潛伏在系統后臺竊取用戶數據，且不易被察覺。對郵件服務器的攻擊在很久之前就曾發生過，歷史上第一個通過Internet進行傳播的病毒就是利用了電子郵件服務器sendmail早期版本上的一個安全漏洞。

1.2.2 郵件服務器端軟件和客戶端軟件配置問題

郵件服務器端軟件和客戶端軟件也會出現因為配置不當而造成較高安全風險。這個主要是由于大部分系統管理員缺乏安全意識，加上不熟悉如何配置郵件服務器，在搭建郵件服務器的時候，僅僅實現了能夠用的標準，并沒有更深層次地考慮到安全問題，這就為以后的安全使用埋下了隱患。

1.3 外部攻擊

目前針對郵件服務器的攻擊主要來源于網絡入侵和服務破壞兩種[5]。

網絡入侵是直接對郵件服務器的攻擊，如垃圾郵件。這種情況十分常見，它是指郵件服務器或某用戶在相當短的時間內收到大量且沒有用的郵件，而且這些郵件通常是從某一虛設的地址發來的，這種狂轟亂炸似的攻擊大量地占用了系統可用資源，使郵件服務器暫時無法正常運行或因郵件無法及時處理而造成郵件堵塞，直至郵件服務器癱瘓。

服務破壞是指黑客通過郵件的模式發送木馬、病毒或者一段帶有攻擊特征的特定HTML代碼。如利用一段特定規格的HTML代碼可以在接收者打開這封郵件時把該機器記錄發送給黑客，并且如果利用IE漏洞，甚至能夠對文件系統進行更加復雜的操作。計算機病毒是威脅網絡安全的最大禍首之一，通過郵件群發的蠕蟲成為惡意程序首選的犯罪工具，如：尼姆達、紅色代碼等均在不到一天的時間內即在全球范圍內傳播，造成了數十億美金的損失。

2 電子郵件信息安全應對策略

2.1 信息安全加密技術

2.1.1 利用加密算法加密郵件

一般來說，常見的應用于計算機網絡安全保護的信息加密技術包括對稱加密技術與非對稱加密技術。對稱加密算法的原理是數據發送方將明文也就是原始數據和加密密鑰一起經過一系列特殊的加密算法處理之后，將其轉換成復雜的密文給發送出去[6]。對稱加密算法有很多種，其中用的最多、最經典的是DES算法。

DES算法的機制是一種分組加密，就是把明文分成N個組，然后對每個組進行加密，形成自己的密文，最終把所有的分組密文進行合并，形成最后的密文。詳細流程見圖1。

圖1 DES流程圖

非對稱加密算法，最有名的是AES算法，隨著對稱加密技術的發展，DES加密標準算法由于密鑰長度較小（56位），已經不適應當今分布式開放網絡對數據加密安全的需求，所以在1997年，NIST公開征求新的數據加密規范，這就是AES。最終的篩選結果是比利時Joan Daeman和Vincent Rijmen提交的Rijndael算法被提議為AES的最終算法。該算法將成為美國新的數據加密規范，在各個領域應用。雖然人們對AES的看法還有很多不同意見，但是從總體上來講，AES作為新一代的數據加密標準匯聚了強安全性、高性能、高效率、易用和靈活等優點。AES設計有三個密鑰長度：128、192、256位，理論上說，AES的128密鑰比DES的56密鑰強1021倍。

圖2 AES加解密的流程圖

2.1.2 利用PKI/CA認證加密郵件

PKI/CA 的原理是通過發放和維護數字證書來建立一套信任網絡，在同一信任網絡中的用戶通過申請到的數字證書來完成身份認證和安全處理。

以數字證書為核心的PKI/CA 技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，從而保證：信息除發送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；接收方能夠通過數字證書來確認發送方的身份；發送方對于自己的信息不能抵賴。PKI/CA體系是采用非對稱密鑰體系，通過一個證書簽發中心（CA）為每個用戶和服務器頒發證書之后，用戶和服務器、用戶和用戶之間通過證書相互驗證對方的合法性。這個過程對用戶是透明的，與具體應用無關，滿足了用戶管理和具體應用分離的需求[7]。

PKI/CA認證技術是保障通信網絡安全的重要防護手段，PKI/CA作為一種建立在密碼技術基礎上的信息安全技術和安全體系架構，是目前唯一能夠同時解決身份認證、訪問控制、信息保密和抗抵賴的安全的關鍵技術[8]。

2.1.3 利用基于身份的密碼技術進行電子郵件加密

為簡化傳統公鑰密碼系統的密鑰管理問題，1984年，以色列科學家、著名的RSA體制的發明者之一A.Shamir提出基于身份密碼的思想：將用戶公開的身份信息（如郵件地址，IP地址，名字……，等等）作為用戶公鑰，用戶私鑰由一個稱為私鑰生成者的可信中心生成。在隨后的二十幾年中，基于身份密碼體制的設計成為密碼學界的一個熱門的研究領域。但是由于在此機制下，用戶的密鑰都是由服務器端托管，用戶信息的安全性還要依賴于服務器安全及服務提供商的承諾[9]。

圖3 基于身份加密技術工作原理

2.2 采用TLS協議

在日常生活中，人們寫信給自己的朋友都會在信的外面包一個信封，以免一些重要的隱私內容在傳遞的過程中被人看到，傳輸層安全協議（TLS）就類似于這個信封。TLS的前身是SSL，現在TLS一直在完善，已經發展到了TLS1.3（草案）。

采用TLS進行加密可使郵件在傳輸過程中免遭窺探。TLS是一種新型協議，可用于加密并安全地傳輸入站和出站郵件。它有助于防止郵件服務器之間的窺探行為，從而使郵件在電子郵件服務之間傳輸時保持私密性。不過，只有當收發郵件的雙方都使用支持TLS的電子郵件服務時，郵件才會被加密。因此，并非所有電子郵件服務都使用TLS，未使用TLS的郵件仍然有可能遭到窺探。

作為確保電子郵件安全的標準協議，TLS正被廣泛采用。雖然這并不是一個完美的解決方案，但如果人人都使用它，那么窺探電子郵件內容將要困難得多，其成本也會更高。

2.3 云計算技術的發展

垃圾郵件、病毒郵件比電腦病毒傳播更為快速，攻擊規模及影響范圍更為強大，傳統的郵件安全防御機制早已無法應對現今多變的網絡環境。云計算的高速運算特性，可以從大量數據當中擷取、分析全球郵件威脅趨勢，動態攔截已知與未知的垃圾郵件、病毒郵件及網絡釣魚。

近期，全球互聯網行業兩大巨頭，微軟和谷歌也將電子郵件大戰轉向云戰場，谷歌的Gmail郵箱也依托云計算向行業巨頭微軟的Outlook發起了挑戰。這些都毫無疑問的說明著云計算在電子郵件安全領域將起到越來越大的作用。

3 電子郵件安全技術的發展趨勢與展望

2016年1月8日，中國信息協會信息安全專業委員會主任委員杜平在“政務互聯安全技術發展趨勢研討會”會上表示：“大規模電子化數據傳輸潮流，會在未來兩年成為趨勢”。從長遠來說，云技術的發展必將在很大程度上改變電子郵件安全技術甚至整個網絡信息安全技術的發展，TLS協議將會得到更加廣泛的使用，而基于此的HTTPS也正在飛速取代HTTP，內部的加密算法也將越來越先進。

網絡信息安全的發展，特別是電子郵件安全技術的發展是一場矛和盾的對決，一方面各種加密技術在加速發展，而另一方面黑客技術也在迎頭趕上，網絡技術的發展日新月異，使得網絡安全將面臨更多新的問題和挑戰。當前的安全電子郵件系統存在實現成本高、運行效率低、相關安全保證技術缺乏有效整合等問題[10]。 網絡自身的安全隱患無法根除，各種加密措施存在漏洞，這就使得黑客進行入侵有機可乘。這就要求我們加快網絡安全技術的研究，在矛和盾的對決中取得優勢。

[1]沈昌祥，張煥國，馮登國，等.信息安全綜述[J].中國科學（E輯：信息科學），2007（2）：129-150.

[2]曹萌.淺析希拉里“郵件門”事件[J].新聞研究導刊，2015（12）：292-293.

[3]彭珺，高珺.計算機網絡信息安全及防護策略研究[J].計算機與數字工程，2011（1）：121-124.

[4]陳韻.電子郵件信息安全與防護[J].電腦編程技巧與維護，2015（24）：125-126.

[5]王亞君.網絡通信的安全隱患——電子郵件的新問題[J].中國科技信息，2005（15）：78.

[6]牟曉東.發封加密郵件吧![J].電腦知識與技術（經驗技巧），2011（8）：21.

[7]朱興榮.數字校園PKI/CA認證體系的規劃和建設[J].電腦知識與技術，2008（19）：51-53.

[8]姚洪磊，張彥，周澤巖.基于PKI/CA技術的鐵路身份認證體系[J].中南大學學報（自然科學版），2013（S1）：356-361.

[9]張瑞麗，楊坤偉，李吉亮.對電子郵件加密技術的分析與研究[J].計算機技術與發展，2014（1）：155-157.

[10]徐劍，李晶，張釗，等.基于身份密碼體制的安全電子郵件系統[J].計算機工程，2009（9）：179-181.

Talking about the Information Security Technology of E-mail

Su Xiaogang

Third Institute of Public Security, Shanghai 201204

With the development of science and technology, our daily life is closely connected with the perfection of network. The network can meet the ever-growing demands in all aspects of our lives.However, the information security problem in the network will be increasingly threatened.The information security is significant parts of the integrity of national sovereignty, the stability and harmony of social, and the life and property of the individual.The US surveillance program PRISM have been proved the importance of information security in modern society, indicating it is not sensational with the appearance of the word “information warfare”. The rise of E-mail greatly improve the efficiency of communication, playing an important role in our daily life.The key technology of E-mail security have been attracted more attentions in the scientific research.The E-mail are vulnerable to spam, hacking, phishing and viruses. Here, we investigate the potential safety problems and find coping strategy of E-mail from the perspective of the information security.

information encryption; network security; E-mail; confidential technology

TP393.08

A

1009-6434（2017）02-0045-04