基于智能卡技术的企业安全邮件系统设计

引言

随着计算机和网络技术的发展，电子商务、企业’(、电子邮件等网络服务在各行各业都得到了积极的推广，其中企业邮件服务是使用最为广泛、也最为用户所熟悉的。邮件服务具有比较长的历史，由于当时使用环境的限制，在最初设计体系结构时没有过多地考虑安全问题，导致现在大部分的企业邮件系统结构比较简单，存在比较多的安全隐患。目前邮件在存储和传输过程中都是基于明文的，仅有的安全机制就是对用户访问权限的管理，网络入侵者可以非常容易地通过网络监听或者侵入邮件服务器来窃取重要的邮件信息。

为了解决邮件在存储和传输过程中的安全问题，数据加密、数字签名)%，!*等安全技术已经应用到了企业邮件系统中。这些技术虽然保证了邮件在传输和存储的过程中是基于密文的，但是用来对邮件加密和数字签名密钥的安全问题并没有解决。目前这些密钥基本上存储在邮件的收发终端或者中央服务器上，随着网络攻击技术的发展，如此保存用户密钥的方法将会对邮件系统的安全产生严重的威胁。智能卡不仅可以存储密钥、证书、用户数据等敏感信息，保证机密信息的硬件级别防止篡改，而且可以在卡内对数据进行加密、解密以及签名、验证签名运算。文章提出了基于智能卡技术的企业安全邮件系统，该系统在邮件收发终端引入智能卡技术，保证了密钥等机密信息的安全，有效地解决了现有邮件系统在加密、解密以及签名、验证过程中的安全问题。

相关技术

邮件服务系统

目前企业的很大一部分信息都是通过办公自动化系统的邮件服务来传递，而这些邮件服务通常是基于( 协议的标准互联网邮件服务)，或者是基于数据库技术的企业内部网络邮件服务。

对于基于( 协议的标准互联网邮件服务，邮件是采用存储转发机制进行传输，但在传输的整个过程中，邮件的标题和内容都是基于明文的，这样带来的安全问题是：一方面攻击者可以通过网络侦听，获取到敏感信息；另一个方面，暂时存储在邮件服务器上的邮件也很可能被攻击者窃取。基于( 协议的标准互联网邮件服务中邮件传输的路径如图所示，用户, 通过用户代理程序书写邮件，然后代理程序将邮件发送到本地邮件传输服务器，本地邮件服务器再通过一定的路由传输到达对方用户2 的服务器；用户2 可以通过代理程序从服务器上取回发给他的邮件，这样用户2 便可以阅读邮件了。从中可以看出开放的网络环境对邮件的传输和存储产生严重的安全威胁。

对于基于数据库技术的企业内部网络邮件服务，邮件的发送和接收过程如图所示，这种体系结构对于大数据量的企业级邮件服务是非常适合的，具有速度快、稳定性高的优点。但是，邮件除了在传输过程中存在网络监听安全威胁之外，安全隐患还存在于邮件服务器的操作系统或者数据库系统本身的漏洞以及配置方面的疏忽。邮件的标题和内容以明文的形式存储在数据库中，一旦攻击者侵入数据库系统，这些内容将完全处在攻击者的控制之下。

现有邮件系统的安全解决方案

以明文形式存在的邮件在传输和存储的过程中都是不安全的，这样的安全问题可以通过对邮件进行加密来解决。如果采用对称密钥加密，假设企业邮件系统用户数为 n，那么整个企业要维护个密钥，这在用户数小的情况下是适合的，但在企业环境下，用户数目非常大，使得密钥的日常维护、更新和发布的工作量非常大。

非对称密钥加密技术虽然保证了邮件在传输和存储的过程中是基于密文的，但是用来对邮件加密和数字签名密钥的安全问题并没有解决。目前这些密钥基本上存储在邮件的收发终端或者中央的+, 服务器上，随着网络攻击技术的发展，如此保存用户密钥的方法将会对邮件系统的安全产生严重的威胁。

智能卡技术

智能卡是一种为特定应用而开发的硬件和软件相结合的设备，可以安全地存储密钥、证书、用户数据等敏感信息，实现机密信息的硬件级别防止篡改。智能卡芯片在很多的应用中可以独立完成加密、解密、身份认证、数字签名等对安全敏感的计算任务，从而能够提高应用系统抵抗病毒攻击以及防止敏感信息的泄露。

智能卡的核心是一块微型芯片，包括处理器、存储器、操作系统和固化的应用程序，实际上可以理解为一个没有专门的输入和输出设备的计算机系统。根据其内部不同的软硬件体系结构，可以细分为如下四种类型：

存储卡：仅是一种简单的存储设备，不能进行相应的卡内计算，其在有安全需求的应用环境下不能适用。

加密存储卡：在存储信息的基础上增加了加密处理逻辑，可以对卡内信息加密。

CPU卡：具有处理器和存储器，不但能存储信息，还能对数据进行复杂的加密、解密运算。卡片的自主计算能力使得卡内信息的安全性有了显著提高。

射频卡：在CPU卡的基础上增加了射频收发电路，用以实现非接触式读写操作。

基于智能卡技术的企业安全邮件系统

邮件的安全性

现有的安全邮件系统虽然实现了邮件加密和解密以及签名和验证的过程，解决了邮件在存储和传输过程中的安全问题，但是随着网络攻击技术的发展，用户持有私钥是绝对安全的假定已不再满足：目前很多企业中计算机资源是共用的，如果用户将私钥存储在客户端上，这将使得共享该计算机的其他用户非常容易访问到该私钥；如果将用户私钥存储在中央的服务器上，由于服务器的系统漏洞或者配置上的疏忽，也有可能导致用户私钥的泄漏，这样使得现有的安全邮件系统面临严重的安全威胁。要解决这个问题，最主要的就是保证用户私钥的绝对安全，为此笔者在系统的终端中引入了具有自主计算功能的智能卡，实现用户私钥的硬件级别防止篡改。智能卡由统一的发卡机构结合用户的身份信息进行管理，使得原有的安全邮件系统模型在不改变体系结构的前提下，有了非常坚实的安全保证。

在图6 的邮件发送处理流程中，灰色框中的处理步骤是邮件发送方以私钥加密邮件内容摘要处理结果。这个步骤是在智能卡内处理，加密之后再将结果返回给外部邮件代理程序。这样外部的程序就不能直接访问用户的私钥，从而可以在最大的程度上保证私钥的安全性。而在之前进行的加密过程是由外部邮件代理程序完成的，其先从% 服务器上获取邮件接收者的公钥，之后对密钥加密。由于用户的公钥是公开的，在智能卡外部加密可以充分利用外部客户端的资源，提高了加密速度，而且安全性也不会降低。

在图7的邮件接收处理流程中，灰色框中表示以邮件接收方私钥. 对解密的过程。外部邮件代理程序将发送给智能卡，经过卡内解密得到密钥，返回给外部邮件代理程序，邮件的解密过程在外部客户端实现，同样避免邮件代理程序直接访问到用户的私钥，最大限度地提高系统整体效率和安全性。

密钥管理

密钥管理主要包括对公钥、私钥和证书的管理与维护。用户的私钥保存在该用户持有的智能卡中，在发卡的时候由发卡程序生成，同时也生成了用户的公钥数据，并将其存储在企业的% 服务器上，当用户需要的时候，可以从服务器上面获得.服务器上面的公钥数据是用来被所有的企业用户访问的，而且对安全性的要求较低，所以可以依靠操作系统和数据库系统的安全性来解决。另外，如果某个用户的智能卡丢失，当用户挂失智能卡的时候要将用户的证书吊销，这样需要在服务器上维护一个证书吊销列表来控制证书的回收。企业同时负责智能卡的发放和管理，私钥在生成之后直接写入用户所持智能卡中，在发卡机构不保存副本，这样在最大程度上保证了邮件系统的安全。

模型实现

该模型的设计功能已经编程实现，嵌入到了一套办公自动化系统中。这充分地解决了原有系统在信息安全方面的不足，并且在易用性方面也得到了认可。处理一封日常工作邮件，系统的响应时间可以参看表。

通过对比，可以看出在邮件系统中采用文中介绍的模型处理邮件，不但安全性得到了保证，而且损失的性能也是可以接受的。这证明了所提出的模型算法相结合，大量邮件数据解密，少量的敏感信息用2) 算法在智能卡内加解密的思想是非常有效的。

结论

企业办公自动化平台中邮件系统的重要性已被大家所认同，而实现邮件服务的传输、存储技术在安全性方面还是很脆弱的，要在企业中实现安全的邮件服务，对邮件加密和签名处理是必不可少的。该文提出了基于智能卡技术的企业安全邮件系统，该系统在邮件收发终端引入智能卡技术，保证了密钥等机密信息的安全，最大限度的降低系统的安全隐患，通过对邮件进行加密、解密和签名、验证签名，在不改变原有邮件系统体系结构的前提下有效地解决了邮件在存储和传输过程中的安全问题。