《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 安全Web Mail中的關(guān)鍵技術(shù)
安全Web Mail中的關(guān)鍵技術(shù)
王鑫彥,,單曉毅
摘要: 基于公鑰體系結(jié)構(gòu)(PKI)原理,,設(shè)計(jì)了結(jié)合CA安全證書(shū)的Web Mail安全系統(tǒng),并將PKI技術(shù)融入到系統(tǒng)各組成部分,。一方面,,利用智能卡安全身份認(rèn)證技術(shù),提供了一種安全便捷的身份認(rèn)證模式,;另一方面,,應(yīng)用了動(dòng)態(tài)頁(yè)面關(guān)鍵信息提取技術(shù),,使得用戶(hù)數(shù)據(jù)在客戶(hù)端完成加解密操作,解決了公務(wù)郵件傳輸中的安全性和完整性問(wèn)題,。經(jīng)過(guò)實(shí)驗(yàn)環(huán)境的原型驗(yàn)證,,系統(tǒng)運(yùn)轉(zhuǎn)良好。
關(guān)鍵詞: RFID 身份認(rèn)證 Mail
Abstract:
Key words :

  摘 要:基于公鑰體系結(jié)構(gòu)(PKI)原理,,設(shè)計(jì)了結(jié)合CA安全證書(shū)的Web Mail" title="Mail">Mail安全系統(tǒng),,并將PKI技術(shù)融入到系統(tǒng)各組成部分。一方面,,利用智能卡安全身份認(rèn)證" title="身份認(rèn)證">身份認(rèn)證技術(shù),,提供了一種安全便捷的身份認(rèn)證模式;另一方面,,應(yīng)用了動(dòng)態(tài)頁(yè)面關(guān)鍵信息提取技術(shù),,使得用戶(hù)數(shù)據(jù)在客戶(hù)端完成加解密操作,解決了公務(wù)郵件傳輸中的安全性和完整性問(wèn)題,。經(jīng)過(guò)實(shí)驗(yàn)環(huán)境的原型驗(yàn)證,,系統(tǒng)運(yùn)轉(zhuǎn)良好。
  關(guān)鍵詞:電子郵件,;PKI,;安全身份認(rèn)證;關(guān)鍵信息加密

   電子郵件作為互聯(lián)網(wǎng)應(yīng)用最廣泛的信息交流工具,,已深入普及到人們的日常生活和工作當(dāng)中,。于是電子郵件的安全性日益成為互聯(lián)網(wǎng)行業(yè)和整個(gè)社會(huì)關(guān)注的問(wèn)題,如何實(shí)現(xiàn)安全且易用的電子郵件系統(tǒng),,成為安全電子郵件應(yīng)用的明確需求,。
  傳統(tǒng)電子郵件技術(shù)是一種安全性較差的信息傳輸技術(shù)。目前,,因特網(wǎng)用戶(hù)所使用的絕大多數(shù)電子郵件系統(tǒng)中,,基本沒(méi)有采取任何措施來(lái)保證電子郵件在網(wǎng)絡(luò)中安全傳送。電子郵件的內(nèi)容以明文的形式在網(wǎng)絡(luò)中傳遞,,使其面臨著被截獲,、篡改、破壞的危險(xiǎn),。
  我國(guó)安全電子郵件應(yīng)用的自主研究也在迅猛發(fā)展,。服務(wù)提供商、產(chǎn)品廠商通過(guò)自己的努力,,對(duì)安全電子郵件系統(tǒng)做出探索性的研制和推廣,,并配合相關(guān)法規(guī)和制度不斷反饋和修訂,但都尚未形成公開(kāi)的或權(quán)威的標(biāo)準(zhǔn),。為了解決應(yīng)用層郵件的安全問(wèn)題,,需要設(shè)計(jì)易用的企業(yè)級(jí)安全郵件系統(tǒng),,具有集中管理用戶(hù)證書(shū)并進(jìn)行后臺(tái)自動(dòng)數(shù)據(jù)安全處理的機(jī)制,同時(shí)做到靈活和易集成,。
  經(jīng)過(guò)廣泛的市場(chǎng)調(diào)研,,基于非對(duì)稱(chēng)密鑰加密理論,在傳統(tǒng)電子郵件系統(tǒng)中引入公共密鑰體系(PKI),,通過(guò)CA安全認(rèn)證,、數(shù)字簽名和信息加密技術(shù)(對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密)可以為電子郵件用戶(hù)提供以下安全服務(wù):郵件發(fā)送方身份認(rèn)證、郵件內(nèi)容保密,、郵件內(nèi)容完整,、郵件內(nèi)容不可否認(rèn),從而實(shí)現(xiàn)安全易用的電子郵件系統(tǒng)[1],。
1 安全Web Mail系統(tǒng)總體設(shè)計(jì)
  安全Web Mail系統(tǒng)總體分為4層,,由基礎(chǔ)層、平臺(tái)層,、應(yīng)用層和客戶(hù)層組成,,提供統(tǒng)一的整體服務(wù),如圖1所示,。底層是基礎(chǔ)層,,提供整體系統(tǒng)的后臺(tái)基礎(chǔ)服務(wù),包括標(biāo)準(zhǔn)電子郵件服務(wù)系統(tǒng)及其管理用戶(hù)信息的附屬目錄服務(wù)系統(tǒng),、CA證書(shū)服務(wù)系統(tǒng),。平臺(tái)層位于基礎(chǔ)層之上,包括Web服務(wù)器,、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器,,符合Internet3層應(yīng)用部署架構(gòu),為上層應(yīng)用提供運(yùn)行環(huán)境和數(shù)據(jù)存儲(chǔ)空間,,為客戶(hù)端提供訪問(wèn)接入響應(yīng),。應(yīng)用層位于平臺(tái)層之上,包含安全身份認(rèn)證系統(tǒng),、網(wǎng)上證書(shū)受理系統(tǒng),、Web Mail系統(tǒng)以及企業(yè)用戶(hù)地址樹(shù)、系統(tǒng)后臺(tái)管理,、單點(diǎn)登錄接口等應(yīng)用服務(wù),,實(shí)現(xiàn)證書(shū)受理、身份認(rèn)證,、信息加解密、用戶(hù)管理和系統(tǒng)接口等各項(xiàng)安全Web Mail郵件功能,。最上層是客戶(hù)層,,包括客戶(hù)端瀏覽器及插件,、用于安全認(rèn)證的USB接口智能密鑰棒。

 

 


2 安全身份認(rèn)證技術(shù)
2.1  身份認(rèn)證安全設(shè)計(jì)
  安全Web Mail郵件系統(tǒng)認(rèn)證包括4個(gè)部分,,即私鑰簽名,、證書(shū)驗(yàn)證、證書(shū)檢測(cè),、身份確認(rèn),,主要完成對(duì)擁有證書(shū)的用戶(hù)進(jìn)行身份認(rèn)證的功能。
  每個(gè)用戶(hù)擁有唯一一個(gè)密鑰棒,,其中存儲(chǔ)代表用戶(hù)身份的數(shù)字證書(shū)和私鑰,,用戶(hù)登錄系統(tǒng)時(shí),在客戶(hù)端USB口插入智能密鑰棒,,與遠(yuǎn)程身份認(rèn)證服務(wù)器通訊,,由認(rèn)證服務(wù)器驗(yàn)證用戶(hù)的數(shù)字簽名完成對(duì)用戶(hù)身份的認(rèn)證,并得到用戶(hù)的身份以及系統(tǒng)的授權(quán)信息[2-3],。采用智能密鑰棒進(jìn)行身份認(rèn)證,,很好地結(jié)合了PKI體系和智能卡設(shè)備,使PKI體系具有了“移動(dòng)”特征[4],。
  設(shè)計(jì)中采用RSA+SHA1作為安全Web Mail系統(tǒng)中身份認(rèn)證的簽名算法,,采用RSA作為數(shù)字信封的非對(duì)稱(chēng)加密算法,采用國(guó)密標(biāo)準(zhǔn)的SDBI作為HASH算法[5],。
2.2  智能卡協(xié)調(diào)管理器
  智能卡作為數(shù)字證書(shū)存儲(chǔ)介質(zhì),,遵循國(guó)際標(biāo)準(zhǔn)協(xié)議(PKCS11)。為了屏蔽各類(lèi)智能卡的差異,,簡(jiǎn)化應(yīng)用系統(tǒng)的開(kāi)發(fā)并增強(qiáng)系統(tǒng)的通用性,,在原有各類(lèi)智能卡接口函數(shù)的基礎(chǔ)上,推出CA系統(tǒng)智能卡協(xié)調(diào)管理器,,統(tǒng)一了各個(gè)類(lèi)型智能卡的接口,。
  智能卡協(xié)調(diào)管理器主要分為3部分:上層應(yīng)用調(diào)用的組件、Windows智能卡資源管理接口和智能卡驅(qū)動(dòng)程序,。智能卡協(xié)調(diào)管理器就是中間調(diào)節(jié)作用的抽象層,。智能卡協(xié)調(diào)管理器模型將智能卡廠商提供的應(yīng)用接口與智能卡應(yīng)用程序使用的接口隔離開(kāi)。智能卡廠商提供的驅(qū)動(dòng)程序發(fā)生變化或更新,,對(duì)上層的智能卡應(yīng)用程序沒(méi)有影響,。
3  動(dòng)態(tài)頁(yè)面關(guān)鍵信息提取技術(shù)
3.1  HTTP數(shù)據(jù)的獲取技術(shù)
  IE就是一個(gè)包含許多其他COM組件的較大COM組件,可以訪問(wèn)已經(jīng)運(yùn)行的IE實(shí)例,,并從應(yīng)用程序中獲得對(duì)IE的控制,。
  對(duì)一個(gè)與其客戶(hù)通信的COM對(duì)象來(lái)說(shuō),該對(duì)象必須支持一個(gè)或多個(gè)發(fā)出接口,,支持發(fā)出接口的COM對(duì)象稱(chēng)作可連接對(duì)象,。要想有資格成為可連接對(duì)象,,就必須實(shí)現(xiàn)Iconnection Point Container接口。發(fā)出接口實(shí)際上由客戶(hù)端來(lái)執(zhí)行,,并通過(guò)連接點(diǎn)插入COM對(duì)象,。每次啟動(dòng)新實(shí)例時(shí),IE都會(huì)加載瀏覽器幫助者對(duì)象(BHO)所指定的一個(gè)動(dòng)態(tài)鏈接庫(kù)(DLL),,而此DLL能有效地與IE進(jìn)行連接,,獲知IE正在激發(fā)的事件。對(duì)于BHO下的每個(gè)CLSID,,IE在與瀏覽器相同的進(jìn)程空間調(diào)用CoCreateInstance,,啟動(dòng)BHO實(shí)例。如果BHO注冊(cè)了它的CLSID并執(zhí)行了IobjectWithSit接口,,那么IE就啟動(dòng)BHO并傳遞指向IE的IwebBrowser接口指針,,通過(guò)該接口指針,就能控制和接收來(lái)自IE的事件,。
3.2  Web頁(yè)面關(guān)鍵信息提取技術(shù)
  關(guān)鍵信息標(biāo)記語(yǔ)言是對(duì)HTML的擴(kuò)充,。HTML腳本語(yǔ)言可以分為表現(xiàn)式語(yǔ)言和內(nèi)容式語(yǔ)言。表現(xiàn)式語(yǔ)言主要完成顯示功能,,如表格的標(biāo)記

等,;而內(nèi)容式語(yǔ)言就是需要傳遞給用戶(hù)的真實(shí)數(shù)據(jù),如文本輸入標(biāo)記

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載。