收稿日期:
2009205207;修回日期:
2009206212 基金项目:四川省科技厅资助项目(2008J Y010522);四川省教育厅资助项目
(07ZA091);实验室专项基金资助项目(2006ZD022)
作者简介:黄萍(19852),女,四川攀枝花人,硕士,主要研究方向为信息安全(182371387@qq.co m );谭良(19722),男,四川泸县人,博士,主要研究方向为信息安全、分布式计算.
具有隐私保护的W eb 邮件客户端
*
黄 萍1
,谭 良
1,2
(1.四川师范大学计算机学院,成都610066;2.中国科学院计算技术研究所,北京100080)
摘 要:通过分析邮件中隐私信息泄露给用户带来额外损失的问题,基于Str uts 框架和Ja va mail 技术,设计并实现了具有隐私保护功能的Web mail 系统PP 2Web mail 。PP 2W e bmail 在原邮箱管理的基础上增加了隐私邮箱,并通
过一次性口令技术实现对隐私邮件的保护。与普通Web ma il 相比,PP 2W e bmail 不仅具有邮件客户端的通用功能,而且能在一定程度上防止用户隐私的泄露。关键词:邮件;隐私;安全W e bmai;l 一次性口令
中图分类号:TP311 文献标志码:A 文章编号:100123695(2010)022*******do:i 10.3969/.j i ssn .100123695.2010.02.094
Pri vacy protectedW eb e 2mail cli ent
HUANG P i ng 1,TAN L i ang 1,2
(1.Colle g e of Compu ter ,S ic huan N orma l University ,Ch e ngd u 610066,Ch ina;2.In stit u te of Co m pu ti ng T ec h nology,Ch i n es eAcade m y of Scie n ces ,Beiji ng 100080,Ch i na )
Ab stract :By analyzed t he proble m as the result fro m t he pri vacy was leaked and it brought an add i tio nal loss f or user ,based on Struts and Java mai,l desi gned and m i p le mented a pri vacy p rotectedW eb mai,l call ed PP 2W eb mai.l PP 2W eb mail added a pri 2vacymailbox wh i ch was protected by one tm i e pass word .Co mpared with the generalW eb mai ,l PP 2W eb mail not only supports the general operati ons ,bu t also prevents pri vacy fro m leak i ng to so me degree .K ey words :mai;l pri vacy ;secureW eb mai;l one tm i e pass word 电子邮件作为In ternet 上应用最广泛和使用最频繁的服务,以其方便、快捷、容易存储和管理的特点,已经成为人们联系沟通、信息交流的重要手段。电子邮件系统主要由MUA(ma il user agent ,邮件用户代理)、MTA (m ail transporta 2ti on agent ,邮件传输代理)和MD A (m a il deli ve r agent ,邮件分发代理)三个主要模块组成。其中MUA 直接与最终的邮件用户交流,主要负责提供邮件撰写、收发界面和邮件封装、分解。目前,用户通过MUA 收发方式,一种是通过Ou tloo k Ex 2press 、Fox m ail 等客户端软件;另一种是W eb m a il 。不管是发邮件有两客户端软件还是W eb m ai,l 一般都通过POP 3/I MAP 协议从m ail serve r 中获取用户的邮件并在客户端进行管理。随着网络的普及,W ebm ail 的使用越来越频繁。值得注意的是,电子邮件与普通的书信一样,含有大量的隐私信息。然而,绝大多数W eb m ail 并没有提供相应的安全机制,将隐私邮件和普通邮件分开并加以保护。不管是隐私邮件还是普通邮件,均按照统一的方式存储于W eb m a il 收件箱的已发邮件箱、待发邮件箱和垃圾箱中。这种处理方式会带来两个问题:a)大部分W eb m ail 的密码保护能力较弱,一旦账号被盗,那么邮件中的隐私就会泄露。
b)在日常生活中,难免会遇到用户不能收取邮件的情况,如不能上网、时间冲突等,需要请求第三方代理人(非邮件所有者)代收邮件的情况,而此时邮件所有者并不希望第三方代理人看到邮箱中的隐私邮件。
目前,人们对电子邮件系统研究较多的安全问题包括安全
邮件协议和垃圾邮件过滤。安全协议主要是防止信息泄密、内
容窜改、身份假冒等。例如MOSS [1]
(M I ME object security serv 2
ices)、PE M [2]
(pr i vacy enhanced m a il)、PGP [3](pretty good pr i va 2cy)、M I ME (m ulti purpose Internet m ail extensio n protocol)、PGP /M I M E [4](M I M E security w it h prett y go od pr i vacy)、S /M I M E [5](secure /m ulti purpose Internet m a il extensio ns)等,以及利用这些协议设计的安全W eb m a il [6~10]。垃圾邮件过滤主要是防止一些无关的邮件妨碍用户使用邮件服务。例如,基于概率统计的过滤方法和基于规则的过滤方法[11],基于贝叶斯与人工免疫的混合垃圾邮件过滤算法[12]。但所有这些研究却未涉及前面提到的两个问题。
为了防止当用户的登录账号被窃取或需要委托第三方收取邮件时邮件中的隐私泄露的问题,本文基于Struts 框架和Java 2m ail 技术,设计并实现了一个具有隐私保护功能的W eb ma il 系统PP 2W eb m a il 。PP 2W eb m a il 在原邮箱管理的基础上增加了隐私邮箱,用户只需将自己认为含有隐私信息的邮件转入隐私邮箱中,即使其他人能获得用户的登录账号,也不能进入隐私邮箱查看,因为当用户试图进入隐私邮箱时,PP 2W eb m a il 会弹出新的页面要求他输入隐私邮箱的一次性口令。与普通Web ma il 相比,PP 2W eb m a il 不仅具有邮件客户端的通用功能,而且能在一定程度上防止用户隐私的泄露,具有更好的安全性。
1 PP 2W ebm a il 系统架构设计
PP 2W eb m a il 系统的设计力求与后台邮件服务器软件的功
第27卷第2期2010年2月 计算机应用研究Application R esearc h ofCo mputers V o.l 27N o .2
Feb .2010
能相配合,为用户提供一个简洁使用的邮件管理接口。系统质
量属性目标主要追求高安全性和易用性,系统基于Struts 架构,每个功能模块均按页面代码y 表示层y 业务逻辑层y 数据存储层的架构思想来实现,并采用组件技术,使整个系统结合更紧密、性能更高。
主要模块的功能如下:
a)账户管理。用树型目录实现多账户管理,对每个账户实现新建、删除、改名、保护口令设置和账户属性设置等功能。
b)地址簿管理,如新建、查看、修改联系人信息、导入导出地址簿。
c)邮箱管理。邮箱存放账户的邮件,每个账户默认有4个邮箱,即收件箱、已发邮件箱、待发邮件箱和垃圾箱,分别存放收取、已发送、未发送和删除的邮件。
d)隐私邮箱管理。隐私邮箱的口令注册、登录隐私邮箱的认证、修改秘密口令和对隐私邮件的管理。
e)邮件管理。管理邮件的解析、邮件的本地存储及相关操作。邮件可以被删除或者在邮箱之间转移,可进行BI G 和GB2312之间的编码转换;可提供邮件的编辑、导入导出及邮件打印等功能。
f)远程邮箱管理。通过简洁清晰的界面使用户能够在不收取邮件的情况下远程管理自己在邮件服务器上的邮件,可以进行删除而不收取、收取而不删除、收取且删除等操作。
g)发送邮件。实现标准的S MTP 、M I M E 格式化、MOSS 协议等。
h)接收邮件。实现标准的POP3协议、M I M E 格式化解析、MOSS 协议等。
i)邮件编辑器。提供编辑邮件功能,实现完善的文本编辑功能(如复制、粘贴、撤销、查找、替换)。
限于篇幅,本文简要介绍隐私邮箱管理的关键技术,其他模块可参见相关文献。系统架构如图1所示。111 隐私邮箱管理模块的功能结构
隐私邮箱管理采用一种新型的一次性口令方案[13,
14]
实现
其隐私保护。隐私邮箱管理模块包括隐私邮箱的口令注册、登
录隐私邮箱的认证、修改秘密口令和对隐私邮件的管理。其中,对隐私邮件的管理与普通邮箱中的邮件管理基本相同(包括对隐私邮件进行查看、删除、转存和发送等),这里不再累述。值得注意的是,隐私邮箱的保护基于一次性口令,需要在PP 2W eb m a il 中保存用户的秘密口令。考虑到隐私邮箱秘密口令的安全性和完整性,将这些秘密口令和PP 2W eb m a il 产生的验证码保存在数据库中,通过J DBC 对数据进行查询和更新。其功能结构如图2
所示。
1)隐私邮箱的口令注册 它是在用户第一次使用隐私邮箱时,系统返回验证码,用户在系统弹出的单独页面中输入两次相同的秘密口令和验证码,注册口令完成。
2)登录隐私邮箱 它是用户进入隐私邮箱时,系统会弹出页
面要求用户输入只有自己知道的秘密口令和系统提供的验证码。
3)修改秘密口令 此时用户输入原秘密口令,新秘密口令和验证码。原秘密口令通过认证,修改新秘密口令成功。112 隐私邮箱DB 的设计
隐私邮箱DB 存储的是用户注册、认证和修改密令时的敏感数据,设计如表1所示。各个字段的作用如下:
a)Userna me 。用户的用户名,在用户注册时写入隐私邮箱DB 。b)Sp wd 。存储用户秘密口令的MD5值,长度为128b it ,sp wd=m d5(pwd),用户输入秘密口令后,经过MD5算法得到sp wd ,再与usernam e 经过对称加密传送到服务器端的隐私邮箱DB 中存储。
c)Verify code 。验证码长度为5,用户每次提出请求时(注册请求、认证请求和修改密令请求),服务器每次产生不同的验证码返回给客户端。需在隐私邮箱DB 中存储该验证码,用于对密文解密和认证一次性口令。113 隐私邮箱管理模块的工作原理
整个隐私邮箱管理模块的注册口令、登录邮箱和修改口令的一系列功能从用户角度来看,与普通的认证系统没有任何差别。采用MD5算法与对称加密算法结合生成一次性口令。
1)一次性口令注册 用户首次使用隐私邮箱注册秘密口令的过程如图3所示。在实际设计中,把PP 2W eb m a il 作为一次性口令的认证服务器。
1一次性口令注册时,用户提交注册请求,其PP 2W eb m ail 就会提供给用户一个注册表格。这是一个带有随机生成值(验证码V)的表格。其中的随机生成值(验证码)由服务器端
脚本从一个数亿计的取值空间中随机选取生成。
o客户端接收到验证码,输入自己设定的秘密口令p wd 和验证码V 。在客户端提取用户登录该邮件客户端的用户名use rna m e ,并利用MD5算法得到对称密钥K 1,K 1=m d5(V )。利用K 1对用户的userna m e ,p wd 的MD5值加密得到密文A ,并传送到服务器。K 1不能由usernam e 、p wd 和V 经过MD5算法得到,因为此时服务器上还未保存该用户的usernam e 、p wd ,服务器上将无法得到与K 1相同的对称密钥。
?服务器为了得到与客户端相同的对称密钥K 2=K 1,也采用K 2=md5(V),使用对称加密算法对密文A 解密得到明文B ,从B 中取出userna me 、sp w 并保存,完成一次性口令的注册。2)登录隐私邮箱 使用一次性口令登录隐私邮箱的认证过程如图4所示。
1用户向服务器提出登录请求,服务器随机生成验证码V ,并返回给客户端。
o用户在登录页面中输入秘密口令和验证码V 。客户端利用MD5算法得到对称密钥K 1=md5(userna m e ,sp w ,V )。其中sp w 为p wd 的MD5值,利用K 1对usernam e 和sp w 加密得
到密文A(一次性口令),将密文传送给服务器。
?服务器利用V 和其存储的use rna m e 、sp w 得到对称密钥K 2=md5(userna m e ,sp w ,V ),则有K 1=K 2。利用K 2对use r 2na m e 和sp w 加密得到密文A c 。若A=A c ,用户认证成功。
#743#第2期黄 萍,等:具有隐私保护的W e b 邮件客户端
从客户端到服务器之间的信息传递可以看出,每次登录隐私邮箱的验证码V 不同,则产生的对称密钥K 1、K 2也不同,从而在网络中传输的一次性口令也不同。
3)修改秘密口令 用户可以随时更换自己的秘密口令,修改秘密口令的过程如图5所示。修改秘密口令采用与登录隐私邮箱相同的加密机制,先利用验证码V 和MD5算法得到对称密钥,再对信息进行加密传输。当密文A 传送到服务器时利用对称密钥解密,对比输入的秘密口令和存储的秘密口令。若相同,
则修改秘密口令成功。
2 运行测试结果
用两台计算机作为邮件客户端代理服务器,一台位于四川师范大学软件重点实验室的局域网内,与四川师范大学的邮件服务器链接,另一台位于电子科技大学软件测试实验室的局域网内,与电子科技大学的邮件服务器相连。局域网是100Mbps 以太网。邮件客户端代理服务器的配置为CP U:4CPU ,Inte l (R)Xeon(T M )CPU 2.40G H z ;内存:4GB ,OS :R ed H at Linux AS3.0Kerne l 2.4.2124.ELs mp ;To m cat :Apache /2.0.46(R ed H at)Se rver ,PP 2Web m ail 。主要测试隐私邮箱管理中的口令注册、登录隐私邮箱和修改口令三个功能模块,因为其他功能与普通W eb ma il 没有差别。当用户登录到隐私保护的邮件系统时,将直观地查看到隐私邮箱(即图6中的私密邮箱)的详细信息。用户首次使用隐私邮箱时,需要对其设置用户的秘密口令,如图6左侧的私密邮箱设置。进入相应的页面设置隐私邮箱的秘密口令即可。修改秘密口令操作和设置操作几乎雷同。用户需要对隐私邮箱进行管理时,点击如图6左侧的私密邮箱,将弹出如图7所示的输入用户自己的秘密口令的界面。
进入隐私邮箱管理隐私邮件的登录认证过程与普通的登录认证过程几乎相同。当用户输入的秘密口令和验证码经客户端生成一次性口令传送到服务器通过认证后,用户将对隐私
邮件进行管理。
3 相关问题分析
隐私邮箱自身的安全性是必须首要考虑的问题,下面从三个方面对该隐私邮箱的安全性进行分析。
a)秘密口令的保护。用户每次登录都需要输入秘密口令,而秘密口令是只有用户和PP 2W eb m a il 知道的。在首次注册时,通过服务器产生验证码V ,再将V 的MD5值作为对称密
钥K 。在网络中传输的仅仅是验证码和密文(一次性口令)。验证码和密文即使被非法用户截获也不能获得有用的信息。同时在隐私邮箱DB 中存储的是秘密口令的MD5值,从而保证了秘密口令在网络中传输的安全性。
b)认证过程的安全性。认证过程中服务器发回验证码,客户端由此产生的密文(一次性口令)即使被截获,也不能得到用户的秘密口令p wd ,故整个认证过程是安全的。
c)重放攻击。由于每次登录隐私邮箱时服务器返回的验证码不同,在客户端产生的对称密钥也不同,从而在网络中传输的一次性口令也不同。攻击者重放已截获的信息是无法通过服务器验证的。
用户在登录该隐私邮箱时,只需输入秘密口令和验证码一次,避免了一次性口令挑战/应答方案中要求多次手动输入挑战数和一次性口令的麻烦。用户使用起来方便快捷。
4 结束语
本文设计实现的PP 2W eb m a il 邮件系统,不仅支持邮件操作、邮箱管理以及邮件地址管理等通用功能,同时采用一次性口令认证方案,对需要管理隐私邮件的用户和盗得邮箱账号的非法使用者,要求再次认证才能登录到隐私邮箱,实现了对隐
私邮件的保护功能。与普通W eb m a il 相比,PP 2W eb m a il 功能更强、安全性更高,对用户更友好。参考文献:
[1]
C ROC KER S .RFC1848,M I M E ob j ect secu rit y serv i ces [S/OL ].(1995).htt p ://www .cnpa.f n et/.[2]NA W,GOU Be.i A ther mal equivalent circu it f or PEM f uel cell t e m 2perature control des i gn [C]//P roc of Internati on alSympos i u m on Cir 2
cu i ts and Syste m s .2008:282522828.[3]GEYLAN I K ,EBR U C .A s mart card m ed i ated m ob ile p latf or m f or
secure e 2m ail co m m un i cati on[C]//Proc of t he 4t h In t ernationalCon 2
ference on Infor mati on T echnology .2007:9252928.[4]
ELK I NS M.RFC2015,M I M E secu ri ty w it h pretty good pri vacy (PGP)[S /OL].(1996).h ttp ://w ww .c npa.f net/.[5]RA M S D B .RFC2632,S /M I ME vers i on 3certificate h andli ng[S/OL].(1999).htt p ://www .cnpa.f n et/.
[6]张学旺,汪林林.一种安全W eb 电子邮件客户端设计[J].计算机工程,2008,34(14):1712173.
[7]张秋余,孙晶涛,闫晓文,等.LS A 和MD5算法在垃圾邮件过滤系统的应用研究[J].电子科技大学学报,2007,36(6):122321227.
[8]陈建奇,张玉清,李学农,等.安全电子邮件的研究与实现[J].计算机工程,2002,28(6):1212122.
[9]张建伟,李鑫,张梅峰.基于MD5算法的身份鉴别技术的研究与实现[J].计算机工程,2003,29(4):1182119.
[10]曾志高,谭骏珊.PGP 邮件系统核心算法分析及安全性的改进
[J ].计算机工程与设计,2007,24(3):103821039,1060.[11]ANDROUTS OPOULOS I ,PAL I OURAS G ,KARKALETSI S V ,et a l .Learn i ng t o fil ter spa m e 2m ai:l a co m pari son of a n ai ve Bayesian and
am e m ory 2based approach[C]//Proc of t he 4t h E urop ean Conference on Pri n ci p l es and Practi ce ofKno w ledge D i scovery i n Databases .A t h 2
ens :I EEE P ress ,2000.
[12]秦志光,罗琴,张凤荔.一种混合的垃圾邮件过滤算法研究[J ].
电子科技大学学报,2007,36(3):4852488.[13]张宏,陈志刚.一种新型一次性口令身份认证方案的设计与分析[J ].计算机工程,2004,30(17):1122113.[14]C HA B ,KI M K ,NA H.Rando m pass word generation of OTP syste m u si ng changed l ocati on and ang l e of fi ngerp ri nt features [C]//Proc of
t h e 8th IEEE In ternati onal Con feren ce on Co m puter and I n for m ation Technology .2008:4202425.
#744#计算机应用研究 第27卷
电子邮件安全
电子邮件安全 近年来,作为一种通讯方式,电子邮件不断快速发展。电子邮件用户和公司所面临的安全性风险也变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。电子邮件的安全越来越受到重视。 电子邮件安全现状 垃圾邮件对电子邮件的效用造成了严重影响。垃圾邮件泛滥程度不仅广泛,而且引发的损失可谓惨重。例如美国民主党总统候选人奥巴马和希拉里也被滥用于一些垃圾邮件中,以欺骗人们泄露他们的私人信息、购买药品股份和哄抬股票价格。但是一些用户把大多数反垃圾邮件技术评定为失败这种等级。 恶意垃圾邮件汹涌 Srizbi僵尸网络作怪 Gmail验证程序遭破解 垃圾邮件汹涌 最新垃圾邮件利用Google Docs PDF垃圾邮件隐身半年 再度出现! 垃圾邮件无孔不入:奥巴马、希拉里被利用 垃圾邮件及网络钓鱼攻击手段越来越高明 垃圾邮件日趋复杂 雇员错误继续增长 用户对大多数反垃圾邮件技术都不满意 电子邮件安全保护技术和策略 针对日益泛滥的垃圾邮件,可以使用“鸡尾酒”疗法;那么针对病毒、蠕虫、网页仿冒欺诈、间谍软件等一系列更新、更复杂的攻击方法,电子邮件的安全应该如何保障呢?
垃圾邮件的“鸡尾酒”疗法 网络邮件安全:保护数据的最佳做法 内部邮件如何通过企业防火墙 如何配置具有SSL保护的FTP服务器? 网络配置:IIS SMTP邮件中继服务 电子邮件加密 除了上述的方法,加密也是保护电子邮件安全的一种手段。尤其在企业中,通过加密包含公司机密的电子邮件,就不用担心机密信息被拦截以及数据被窃取的可能了,来自竞争对手的风险也会减小。另外,在一个这样的时代,顾客们同样希望自己的私人资料受到保护,而加密通信就能确保客户的私人数据不被窃取。电子邮件加密不是万能药,然而它有能力保护关键数据的安全性。 五个步骤成功加密电子邮件 通过SSL发送的电子邮件是否需要加密? 最差做法 加密失误
电子邮件内容安全:将麻烦过滤掉 电子邮件存在风险——易受病毒,垃圾软件,间谍软件以及钓鱼技术的攻击。并且容易因内部的滥用而受攻击,这些都将导致:可用的策略被攻击;违反相关法规;或者企业机密数据泄露到外部。最近的DVLA训练行动很清楚地说明如果大多数雇员根本不把可行的使用策略当一回事会有什么后果。 最近几年已经有太多旨在解决此类漏洞而产生的电子邮件内容安全的技术了。目前各类公司主要有两种可选的解决方案:软件或者硬件工具。软件方案出现差不多十年了,而硬件工具是近五年才在市场上出现的。工具是特为电子邮件安全服务器而设的,主要是基于行业标准服务器硬件,并且运行安全强化的Unix/Linux 操作系统来提供邮件监视软件平台。 从出现开始,硬件工具就被一些人吹捧成电子邮件内容安全的完美守护者,因此赢得了很多用户的青睐。但而今,潮流变了。 即插即用? 工具的主要卖点一直是它所给人的即插即用,目的明确,电子邮件安全硬件方案的感知。就是说,一个公司可以预订配置好的电子邮件扫描系统,然后只要将其插入到自己的邮件环境中,就能够马上开始清理垃圾邮件和病毒。但实际操作起来,硬件工具的安装费时又费力。市场上卖得最好的硬件工具产品得花6个小时安装,而同等功效的软件只需要1-2小时的安装时间。某些情况下,由于安装起来太复杂,不得不请硬件工具供应商认可的技术人员来操作,这样公司为了使用该项服务还得额外多花钱。相比起来,大多数软件方案都可以由公司内部的稍微比较懂电子邮件配置,MS Exchange以及防火墙管理的IT人员来安装。 性能,可测量性以及高实用性 性能,可测量性以及高实用性是企业在选择保护重要的商业工具(比如电子邮件)的方案时,首要考虑因素。电子邮件扫描应当是个透明过程,不会对邮件造成明显的延迟,并且应当是可测量的——管理10000用户或者100个用户一个样。理想的话,它还应当在大批量环境中能够集群并且平衡负载,在吞吐扫描时保证高性能,并且还为实现高实用性而保持冗余。很多硬件工具供应商经常把它的性能作为一个强项来宣传,他们声称该硬件是为了专门任务而专门设计的。但是,还有其他一些因素能够影响性能,比如处理器速度,可用的内存,磁盘I/O,电子邮件的容量以及你的企业所发送的电子邮件的类型。那些工具普遍被标注成“适合多达1000个用户”,只是根据平均每小时每个人发送的电子邮件的数量以及服务器能处理的数量来计算的。通常情况下,这种计算中,邮件的大小都被假定为不超过10kb的。而我们大多数典型的商务邮件每封的平均容量大小是40Kb。因此,一个工具只能支持它声称的用户数的1/4。 为了能够处理商务活动需要的真正的邮件容量,公司通常都需要升级成高配置的硬件工具,或者再买一个工具。通常,用户在工具的硬件方面已经投入了很多钱后,还要被迫升级,花费额外费用再安装。 因此,很多工具的使用者醒悟到了一些此类工具固有的缺点和不利之处。 相反地,高性能的软件方案支持多线程功能,它扫描电子邮件比单线程方案更快,免除了潜在的瓶颈问题。这些高端软件方案还能通过在阵列中管理多个电子邮件节点服务器而提高吞吐性能。在这种配置中,负荷平衡工具能够智能地在不同节点间平衡电子邮件处理过程的负荷,不需要用户付出额外花费。有个工具供应商也提供多服务器控制器,它能够把两个用具连接起来,并且平衡它们以便共同分担大容量邮件的处理任务。但是,该控制器得单独购买——这是大多数用户在决定买硬件工具的时候所没有注意的另一项额外开销。 灵活性以及成本效率 跟普通的风险评估一样,公司在评估他们的信息安全方案时也应当考虑灵活性和成本效率。
五点要求 当考虑电邮安全时
由于威胁形势不断演变,所以在现代电邮安全解决方案中,发现威胁与防御变得更加密不可分。企业必须专注于内容检测、行为异常检测和高级调查分析,以了解已经存在的威胁。他们必须了解数据的所在位置、访问和共享数据的方式,以及哪些地方的哪些用户正在使用什么类型的设备来访问和共享数据。 当今组织所需的电邮安全解决方案必须: ? 在攻击前、中、后提供全程保护 ? 在不断演变的威胁形势下保持领先地位 ? 保护敏感数据,并防止其脱离组织的控制 ? 处理形形色色的垃圾邮件和病毒 ? 在新的攻击媒介出现时做出应对 挑战 根据思科2015年度安全报告,电邮是网络攻击的头号入侵载体。*通过电子邮件发送的业务敏感数据与日俱增意味着巨大的潜在泄露风险。现 在,黑客攻击已经形成一种产业,而有针对性的攻击活动更加复杂。电邮病毒攻击和鱼叉式网络钓鱼活动正在不断增多,这些攻击利用了旨在侵入高价值数据所在数据中心的恶意软件。恶意攻击者部署的高级恶意软件可以轻松逃避时间点安全解决方案,并迅速蔓延到整个网络。群发垃圾邮件广告活动和不安全的电邮附件不再是电邮安全的唯一忧虑。电邮威胁状况包括日益复杂的复合型威胁和有针对性的攻击。通过四处搜索社交媒体网站,犯罪分子现在有计划地针对受害人搜寻信息,并利用可能与全球新闻事件相联系的个人信息和社会工程技巧发起复杂且针对性很高的攻击。原本旨在增强安全性的非集成式单点解决方案和多个管理平台只会造成漏洞,网络攻击者可以利用这些漏洞发起有针对性的恶意软件攻击(这类恶意软件可以修改自身行为,并逃避检测)。 显然,扩大的攻击面为黑客提供了便利:正如思科?安全情报和研究小组(Talos) 研究人员在思科2014年度安全报告中所指出的,“安全已不再是网络会否遭到破坏的问题了。每个网络都会在某种情况下遭到破坏。”据思科 Ta los 研究人员报告,100% 的企业网络中都可以明显发现恶意流量,这意味着所有组织都应假定自己已经受到黑客攻击。** 在当今的威胁形势下,安全边界已延伸到云端,而且数据已成为攻击的主要目标,网络基本上必定会遭到威胁。这便是为什么当今的组织需要一种具备如下功能的电邮安全解决方案。 *思科2015年度安全报告,思科,2015年1月。思科年度安全报告,思科,年月。概述
安全电子邮件解决方案 随着计算机技术和通信技术的飞速发展,信息化的浪潮席卷全球。运用信息化手段,个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用,实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化,有效降低成本,提高生产效率,扩大市场,不断提高生产、经营、管理、决策的效率和水平,进而提高整个单位的经济效益和竞争力。在这之中,电子邮件起到越来越重要的作用。 然而,电子邮件作为当前和未来网络使用者的重要沟通方式,不可避免地涉及到众多的敏感数据,如财务报表、法律文件、电子订单或设计方案等等,通过传统电子邮件方式的工作方式,由于互联网的开放性、广泛性和匿名性,会给电子邮件带来很多安全隐患: 用户名和口令的弱点:传统的邮件系统是以用户名和口令的方式进行身份认证的,由于用户名和口令方式本身的不安全因素:口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。 信息的机密性:邮件内容包括很多商业或政府机密,必需保证邮件内容的机密性。然而,传统的邮件系统是以明文的方式在网络上进行流通,很容易被不怀好意的人非法窃听,造成损失;而且邮件是以明文的方式存放在邮件服务器中的,邮件管理员可以查看所有的邮件,根本没有任何对邮件机密性的保护。 信息的完整性:由于传统的邮件发送模式,使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改,使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。 信息的不可抵赖性:由于传统的邮件工作模式(用户名+口令、明文传输等),对邮件没有任何的保护措施,使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性,同时双方都可以否认对邮件的发送和接受,很难在出现事故的时候追查某一方的责任。 针对普通邮件存在的安全隐患,北京天威诚信电子商务服务有限公司(iTruschina)推出了基于PKI (Public Key Infrastructure,公钥基础设施)技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务,构架客户的CA认证系统(CA:Certification Authority,认证中心)或为客户提供邮件证书服务,为电子邮件用户发放数字证书,邮件用户使用数字证书发送加密和签名邮件,来保证用户邮
MailGateway邮件安全网关产品解决方案随着计算机技术的普遍使用,对外发送电子文档已经成为我们日常工作和生活必不可少的方式,而邮件则成为企业日常办公必需的工具,怎样有效控制邮件外发文件,防止机密数据和敏感信息二次扩散,是当今企业所面临的重大安全问题之一。 I.需求分析 1.企业应用需求 1)邮件外发附件支持自动加解密。 2)与可信任客户合作厂商邮件交流,无需审批外发附件自动解密。 3)可根据需求灵活设置外发邮件附件自动解密名单。 4)可追溯邮件外发附件自动解密记录,方便审计。 5)应用系统必须可靠易操作。 2.预期目标 对于企事业单位用户使用邮件加解密网关后,用户与可信任客户合作厂商邮件交流无需走繁琐的审批流程,提高工作效率。邮件外发自动解密名单可根据需要灵活设置,权限设置和附件外发解密记录可追溯,用户工作习惯不改变。II.解决方案 1.方案概述 针对该类需求,MailGateway邮件安全网关能够全面解决该类信息资产安全问题。 适用于任何基于TCP/IP协议的网络体系(局域网或广域网),部署方便不改变原有网络结构。以下是方案部署拓扑图:
企业内部网络企业数据中心机房 2.方案效果 运行效果如下: 1)用户在邮件外发时先经过内部邮件服务器,然后转发到MailGateway,再转发到外部邮件服务器分发最终用户;邮件接收时直接经外部邮件服务转发到企业内部邮件服务器分到接收用户无需再经过MailGateway。 2) 邮件经过MailGateway时,根据设置策略匹配决定附件是否解密。 3) 邮件白名单设置后发到该用户的所有邮件自动解密附件。 4) 邮件白名单设置由管理员设定。 以下是方案效果示意图
最近互联网安全成为了热门话题,其实大家都知道互联网安全很重要,可是该如何做呢?用户需要安全的网络空间,主要是保护自己的网上身份和避免受到黑客以及病毒的袭击,而最应该注意或者说警惕的地方就是电子邮件。 因此,用户应如何保护电子邮件的安全呢? 1.使用多个电子邮件账号 如果你和大多数人一样,那么你的电子邮件账户可能就是个人网上活动的纽带。想一想,你的社交网站通知、通讯等信息都会发送到你的电子邮件信箱,这意味你把所有的鸡蛋都放在了一个篮子里,如果篮子掉了,那么你就会失去所有的鸡蛋。 换句话说,如果你把所有的活动都集成到一个单独的电子邮件账号上,那么一旦这个电子邮件被黑客窃取,那么你所有的个人信息都会被泄露,这也就是为什么要使用多个电子邮件账号的原因。 2.设立两个或两个以上的密码 延续多个账号的理念,密码也同样如此。不过有些人或许会说密码设立多了可能会记不住,不过至少你得保证你的主邮件账户的密码是独特的。 如果说你所有的电子邮件都使用同一个密码,那绝对是犯了一个菜鸟级的错误。假如说有黑客攻入你的电子邮件账户,那你的个人信息绝对会被泄露。 3.谨防网络钓鱼诈骗 所谓网络钓鱼指的就是当你的账户遇到问题时,会有人让你通过发送用户名和密码以验证你身份的真伪来解决该问题。看起来像真的一样,但其实不然,这是窃取用户信息的一种手段。有时候向你索要信息的地方可能会让你链接到一个假网站,因此用户要高度警惕。 4.不要点击电子邮件中的链接 网络钓鱼现象也给了我们一个启示,那就是不要轻易点击电子邮件中的链接。当电子邮件中出现链接时,用户要小心,当然一些特定的电子邮件除外,就是当你在某个论坛或网站注册后,会有一个激活电子邮件的步骤。如果你收到了一个垃圾电子邮件试图卖给你一个特定的产品或服务,当你点击链接时,有时候可能是安全的,但也有可能会是危险的,带来了大量的病毒。 5.不要打开不请自来的附件 当涉及到电子邮件时,附件是一个比较棘手的问题。如果说你的好友或父母给你发送了一个电子邮件,当你打开附件时或许还是比较可靠的。但是对于那些不请自来的电子邮件,千万不要对其表面现象所迷惑,因为这些邮件的文件名可能都是伪造的,JPEG文件可能是变
电子邮件安全(一) 【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是PGP、PGP 操作描述。掌握网络安全体系结构、安全攻击方法等基本概念。 【重点】PGP、PGP操作描述 【难点】PGP、PGP操作描述 【教学方法】多媒体教学和传统教学相结合。 【课时安排】2课时 【教学过程】 【导入】E-mail 是Internet上最大的应用之一,安全电子邮件主要解决身份认证和保密性相关的安全问题。 【讲解】 安全电子邮件 涉及到的问题: 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子:PGP、S/MIME等 邮件信息格式 早期只支持ASCII文本格式 随着Email的发展需要发送各种类型数据,形成了MIME (Multipurpose Internet Mail Extensions,多用途网际邮件扩展) 5.1 PGP(Pretty Good Privacy) 1.提供了一种机密性和数字签名的安全服务,广泛用于电子邮件和文件存储的安全应 用 2.选择各种经过实际验证的安全算法作为基础构件 3.将这些算法有机整合起来,形成一个通用的独立于操作系统和硬件平台的应用程序 4.是一个自由软件包(https://www.doczj.com/doc/278256640.html,) PGP的优势 1.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 2.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、 SHA-1、MD5),选用算法的生命力和安全性得到公众认可 3.应用范围极其广泛 4.不从属于任何政府机构和标准化组织 5.已经成为互联网标准文档(RFC3156) 6.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 7.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、
反垃圾邮件网关的技术规范 一、邮件网关要求 1、基本要求 (1)采用专用的硬件平台,自身安全性高、稳定性好。保证邮件网关系统的稳定性和性能,确保邮件网关设备不会成为网络系统的性能瓶颈。 (2)优越的系统性能。每小时处理的邮件流量和对收发邮件的处理内容扫描速度在同类产品中领先,支持标准SMTP和POP3协议,适用于任何支持上述邮件协议的邮件系统。 (3)要求通过公安部防病毒网关产品认证和防垃圾邮件认证,且同时拥有这两类安全产品的认证证书,最好能有河南省公安厅在本地的经营推荐证明。 (4)可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤,蠕虫过滤,阻断后门程序、DoS/DDoS等动态攻击行为。 (5)针对通过SMTP、POP3、HTTP、FTP等协议传输的内容进行过滤处理。 2、功能要求 (1)具备强大的反病毒功能 对所有进出站的邮件进行病毒扫描,应能够有效过滤普通病毒、邮件病毒、蠕虫病毒、木马活动,可以进行病毒邮件的隔离、删除、以及清除病毒的操作,支持病毒扫描引擎和病毒代码库的实时在线更新,及时遏制最新病毒的发作。为了保证系统的最佳性能,缓存扫描结果。 采用自主知识产权的成熟的防病毒引擎。 (2)能抵御对邮件服务器的各种攻击 全面防范针对传输层25端口攻击,防止邮件地址泄露,保障后端邮件系统的安全。提供最完善的防攻击体系,有效地防范针对邮件系统的各类攻击,包括邮件服务应用层的字典算法攻击、目录树攻击、多线程攻击、DHA攻击、DoS攻击等;邮件网关层的空文件攻击、多重病毒感染攻击、多重压缩攻击等。 (3)具有多层反垃圾邮件的防御结构 提供有力的、灵活的反垃圾邮件措施来保护邮件系统免受垃圾邮件的攻击,全面地防御垃圾邮件对邮件系统进行攻击。 所有的邮件都必须通过验证,才可以被发送至邮件系统;拒绝非法用户邮件的投递。 支持速率限制、并发连接、连接频率限制,防止拒绝服务攻击、保护网络带宽。防止邮件系统负担过重,造成正常邮件信息发送失败,
电子邮件使用安全对策 摘要::本文介绍了信息时代电子邮件往来中遇到的安全问题,通过分析研究,提出了解决这些难题所需的主要技术措施和安全实现的保障办法,以及电子邮件使用过程中注意的事项。这些问题的研究对扩大电子邮件的使用范围,加强安全系数,提高沟通效率,促进电子邮件技术进一步发展有一定帮助。 关键字:邮件安全病毒信箱使用邮件加密 前言:网络的迅速发展给现代人的生产和生活都带来了前所未有的飞跃,电子邮件的出现提高了信息交流效率,方便了人们信件的往来,但由于计算机网络技术的不太完善, 电子邮件使用的安全性和可靠性已成为用户共同关心的问题,解决好电子邮件安全问题,是保证电子邮件正常使用的前提和保障。电子邮件功能是网络的基本运用之一,安全的电子邮件系统有效地解决了信息的保密,信息的完整等问题。掌握一些基本的邮件安全方面的知识,是我们使用网络的基本要求,也有助于我们更好的使用电子邮件,保护自己的隐私,保护自己使用的网络安全。 一、电子邮件使用安全隐患 一般说来,电子邮件使用安全隐患主要存在以下几个方面: 1、电子邮件传送协议 电子邮件传送作为一会网络应用服务,采用的是SMTP(simple mail transfer protocol)协议。即简单邮件传输协议,它传输的文字没有结果任何加密,只有攻击者在其传输过程中把它截获即可重点内容。 2、电子邮件易被截获 从技术角度看,电子邮件极易被截获,没有任何办法可以阻止攻击者截获网络上传输的电子邮件数据包。 由于电子邮件的发送是要经过不同的路由器进行转发,直到到达电子邮件最终接受主机,攻击者可以在电子邮件数据包经过这些路由器的时候截获他们,这些都是我们所不怒反笑的。我们发完邮件后,我们就不知道他会通过哪些路由器的时候,是否被别人截获下来。 解决问题的唯一办法就是让攻击者截获了数据包但无法阅读它。就和发送军事无线电报一样,在发送电子邮件钱对其进行数字加密处理,在接收方,收到电子邮件对其进行数字解密处理,这样,即使攻击者截获了电子邮件,也只是一堆没有任何意义的乱吗。 3、电子邮件服务器和客户端软件漏洞 电子邮件的整个发送过程是有服务器和客户端软件协作完成的,两端系统存在漏洞,遭受黑客攻击,遭受病毒袭击都会给电子邮件带来安全问题。如微软的outlook曾存在安全隐患可以使攻击者编制一定的代码让木马或者病毒自动运行。国人使用较多的Foxmail也存在一定会的安全隐患。 4、电子邮件被黑客和木马以及病毒利用 由于电子邮件的普及,黑客,木马以及病毒都盯上了电子邮件,电子邮件成为黑客入侵系统的一种重要手段,也是当今病毒和木马最主要的扩散途径。 5、用户个人的原因 用户个人安全意识不强,保密观念淡漠,也会造成电子邮件的安全隐患 二、针对电子邮件的攻击方式 针对电子邮件的攻击大致分为两种:一种是直接对电子邮件的攻击,如窃取电子邮件密码,截获发送邮件内容,发送邮件炸弹;另一种是间接对电子邮件的攻击,如通过邮件传输密码病毒。 1.邮件泄密 一般来说,大家使用E-mail有两种选择。使用Foxmil,outlook这样的客户端软件通过
实验报告 班级软件工程16-1班学号姓名同组实验者 实验名称Web 客户端编程日期2018年10 月20 日 一、实验目的: 使用HTML 超文本标记语言制作简单页面,要求通过实验能够掌握HTML 文件的基本结构和文档的创建、编辑及保存。验证并掌握HTML 超文本标记语言的文本、图像、超链接、表格、表单等标记的使用。通过实验掌握层叠样式表CSS 的创建及应用,掌握在网页中插入层叠样式表CSS 的常用方法,掌握层叠样式表CSS 的主要基本属性的使用。通过实验了解JavaScript 的编程规范及基本语法,能够分析JavaScript 程序的功能,可以在网页制作中使用JavaScript 程序。通过实验了解Ajax 的编程方法,掌握Ajax 编程技巧。 二、实验环境: MyEclipse10+Tomcat 7.0+Java EE 6.0 三、实验内容: 1)开发一个用户注册界面,要求:用户名基于 Ajax 检测是否重复,年龄需用 JavaScript 检查格式是否正确。 1.首先New Web Project 2.新建register.html文件 HTML代码如下: