手机邮箱系统安全机制的设计与实现

   摘要　

　　本文通过分析目前电子邮件存在的安全问题，引出了云南联通手机邮箱的安全机制创新方案。该方案通过邮件安全加密和数据恢复等专利技术的实现，为广大移动通信用户提供了一种安全便利的手机邮件工具。其创新而全面的安全技术保证，在国内电子邮件领域内居领先水平，对提高用户对电子邮件的安全信任度具有极好的作用。实践证明，只要具备足够的安全保证和稳定、便利的特点，手机邮箱业务将有巨大的市场空间，必然带来可观的经济效益和良好的社会效益。

　　近年来随着信息化的快速推进，中国互联网用户发展迅猛。截至2006年6月底，中国互联网用户数已达1.23亿，增势强劲。作为互联网服务的重要组成部分，邮件服务已成为其用户分布最广、用量高速增长的基本应用之一。与此同时，中国移动通信发展迅速，目前拥有的手机用户数已达4.4亿。在此背景下，对邮箱移动性的需求也越来越迫切，邮件服务和移动通信的结合必将给人们带来一个灿烂的应用前景。但当手机邮箱（mobile E-mail system，MES）进入真正应用时，邮件安全、系统稳定性等问题却成为了其发展的瓶颈，国内外黑客攻击和邮件内容失密的事件时有发生，影响了用户对电子邮件的信任程度，阻碍了手机邮箱的良性发展。

　　为了更好地满足用户需求，促进收费电子邮箱和移动增值业务的发展，应该设计和创新出更安全的手机邮箱系统。

　　1、目前电子邮件面临的安全威胁

　　随着互联网的持续发展，更多互联网用户开始使用电子邮件交换一些秘密的或有商业价值的信息，但由于邮件系统的安全技术缺陷，引出了一系列安全问题，包括：

　　●系统安全性问题：目前最为普遍的问题是邮件系统遭遇恶意攻击和垃圾邮件入侵，很容易造成系统崩溃。

　　●邮件的安全问题：如邮箱被窃取密码，截取邮件内容，邮件正文和附件可能在不为通信双方所知的情况下被读取或篡改；邮箱被利用来发送邮件炸弹病毒）、垃圾邮件等。现有的电子邮件系统的数据安全往往依赖于固定的程序代码，若不法分子获得程序代码非常容易破解加密算法，从而非法获得邮件信息。

　　●系统稳定性问题：现有系统遭受攻击容易造成数据的丢失，不能实时恢复将使得系统被迫关闭。

　　这些安全问题所导致的现实案例，使得很多政府、司法机构等不敢使用电子邮件传输、交换关键的政务和法律信息。不少企业也有类似的担忧。因此在设计新的手机邮箱系统时。一定要从技术和规划上全面考虑并拿出创新思路和办法来解决这些问题。对于移动运营商而言，如果解决了手机邮箱的安全瓶颈，手机邮箱业务将带来可观的经济效益，对保持、吸引移动手机用户群也有很大的作用。

　　2、如意邮箱系统关键安全技术的实现

　　云南联通的手机邮箱业务命名为如意邮箱，是在对国内外电子邮件研究和应用充分调研的基础上，通过周密的设计开发的，在安全方面具有国内领先技术。邮件安全加密技术、系统数据恢复技术和邮件CDMA移动侧的安全方案是其系统安全的3个关键模块，其中前两项是其技术创新亮点。

　　2.1　邮件安全加密技术

　　目前，电子邮件在传输过程中使用的是SMTP（简单邮件传输协议），它不提供加密功能，攻击者可以很容易地在邮件传输过程中截获数据，从而造成信息泄密。

　　为此，现有的邮件系统通常采用PGP（pretty good privacy）和S/MIME（secure multi-part intermail mail extension）两种安全邮件标准来保证邮件的安全。PGP通过单向散列算法对邮件进行签名，以保证信件内容不易被篡改，使用公钥和私钥技术来保证邮件内容的保密性。收发信人的公钥发布在公开的地方，如FTP站点。S/MIME和PGP一样，也利用单向散列算法和公私钥的加密体系。但它与PGP相比有两点不同：它的认证机制依赖于层次结构性的证书认证机构，所有的下一级组织和个人的证书由上一级组织负责认证，而最上面一级组织之间相互认证，整个信任关系基本是树状结构：另一点是S/MIME将邮件内容加密签名后作为特殊的附件传输，证书格式采用X.509，比如Foxmail就是利用数字证书进行加密的。

　　通过以上协议，基本保证了邮件在传输过程中的安全性。但是，对于邮件系统数据的保护，目前业界主要采用系统密钥对数据进行加密，而系统密钥多采用明文，或将明文直接保存，或将明文加密后保存，这两种方式都存在以下难以解决的缺陷：

　　●若采用明文直接保存的方式，一旦攻击者进入邮件系统获得用户密码，就将对系统数据安全造成无法挽回的损失。

　　●若采用用户密码加密后保存，现有技术通常采用双向加密方式，这种加密算法的设计者非常容易解密邮件及相关信息，因此也无法真正保证邮件的私密性。

    也就是说，现有邮件系统在系统用户数据的安全设计上依赖程序代码，若不法分子获得了程序代码就很容易破解加密算法，从而非法获得邮件信息。因此这些缺陷客观上阻碍了电子邮箱系统的商用进程。

　　针对以上系统安全缺陷，云南联通针对性地开发了一种全新的邮件安全加密方案，解决了现有邮件系统加密算法依赖程序代码却不能从根本上保证程序代码安全性的问题。

　　云南联通开发的邮件安全加密算法的原理如下：k代表用户的明文密码，k＇是k经过单向加密得到的临时密钥，k″是k＇经过单向加密得到的最终密钥，将其存储在系统中；x是k＇经过单向散列得到的密钥，x和k″之间不能相互推导。密钥x用于用户私钥的加密，使用的加密算法为对称加密算法。

　　A代表一种公钥算法，由A产生私钥d和公钥e，每个用户的d和e由系统自动产生，并且每个用户的d和e都绝不相同，用x将私钥d用对称加密算法加密后得到d＇，将d＇存储在系统中：z是系统动态随机产生的密钥，用于加密需要保密的数据，z本身用e加密得到系统常量z＇，z＇存储在系统中。

　　具体来讲，当邮件服务器收到用户的邮件时。因为每一个用户名与邮箱地址都是对应的，所以邮件服务器可以根据邮件的接收地址确定用户名。邮件服务器每接收一份邮件，动态产生系统密钥z，利用z将接收到的邮件进行加密。同时z用公钥e进行加密得到系统常量z＇，并将z＇进行保存。上述加密采用单向加密算法，比如RSA非对称加密算法、ECC（椭圆曲线加密算法）等。

　　当用户需要进入邮箱进行相应操作时，首先要对其进行身份认证。若用户输入的明文k是用户密码，则将接收到的明文k经过单向加密算法进行二次单向加密，获得最终密钥，所得最终密钥与系统保存的最终密钥k″进行对比。若相同，则用户通过认证，否则拒绝用户进入邮箱。

　　当用户通过认证后，若需对某一接收到的邮件进行操作（比如读取），首先需要对邮件进行解密：先根据用户输入的明文k进行一次单向加密获得临时密钥k＇，再利用k＇计算出散列密钥x，然后用x对保存的对称数据d＇进行解密得到私钥d，随后用d解密预先保存的需要解密邮件的系统常量z＇，得到系统密钥z，最后利用密钥z解密所述邮件。

　　由上面创新的加解密算法中可以看出，信息的安全完全不依赖开发者的程序代码，由于处理用户明文所用的私钥、系统产生的系统密钥等都是作为中间密钥，不进行存储，即使不法分子获得程序代码，也不能对邮件进行解密，从而大大提高了整个邮件系统的安全性，是一种独创性的专利技术。

　　2.2　系统不停机自动数据恢复技术

　　该技术提供了一种可靠的数据恢复方式，以解决现有技术中不能满足不中断系统业务的情况下进行数据恢复的技术难点。

　　为了实现在不停止业务前提下完成数据恢复，系统中需要设置主计算机和至少一台备份计算机，系统结构如图1所示，包括主计算机11和若干备份计算机12。主计算机11可以通过专线连接备份计算机12，也可以通过网络（如互联网）连接备份计算机12。主计算机11和备份计算机12可以位于同一地方，也可以位于异地。由于网速和网络质量会直接影响数据恢复的质量，因此主备计算机最佳的连接方式是通过专线连接。

　　

　　

图1　系统的主备结构

　　该数据恢复技术还有以下特点：

　　●预先业务区分块；

　　●增量备份；

　　●主机上某数据区损坏时，采用备用数据块恢复；

　　●主机彻底瘫痪时，直接选用已做相应全数据块备份的备机完成系统切换；

　　●执行所有操作时可以保证业务不停顿；

　　●数据恢复时间最短。

    2.3　邮箱系统在CDMA移动网络侧的安全方案

　　2.3.1　如意邮箱在CDMA手机上的工作流程

　　如意邮箱用户除使用电脑上网处理邮件外，还可利用CDMA手机的WAP上网功能处理邮件，其工作流程如图2所示。手机用户处理邮件要经过CDMA无线网络段的鉴权认证，进入cdma2000 1x无线分组网，再到达WAP门户，这时用户手机WAP界面将显示云南联通WAP门户“彩云之南”页面，其中一个栏目就是“如意邮箱”。用户点击该栏目后，系统通过简化的HTTP（WML规范）经过公网寻址到如意邮箱系统，其后过程基本与PC用户上网进入邮箱相同，用户由此实现了对自身手机邮箱的操作。

　　2.3.2　在手机上处理邮件的安全考虑和方案

　　（1）CDMA无线网络段

　　在手机用户接入网络时，CDMA网络首先通过设置相关参数，对用户进行严格鉴权以防止非法用户接入网络，保证用户的安全和惟一性。

　　（2）cdma 2000 1x数据分组网段

　　如意邮箱系统针对CDMA上网用户提供的手机邮件处理功能，主要是基于cdma2000 1x数据分组网，为使系统安全可靠，有必要先对cdma2000 1x数据分组网的网络安全进行分析。

　　当前中国联通cdma2000 1x数据分组网存在以下特点：

　　●系统网络与用户网络并存；

　　●系统网络中存在运营商内部网络和对互联网的接口；

　　●专网与公网用户并存；

　　●无线网络与有线网络并存；

　　●私有地址空间与公用地址空间并存；

　　●同一网络上承载多种业务，同一网络连接到多个接入网。

　　从以上特点可以看出，分组网的组网比普通数据网络的组网更复杂。同时，cdma2000 1x网还可能受到来自各方面的众多安全威胁，包括：基于物理层的线路侦听、噪音引入、虚假MAC地址的攻击等。

　　基于以上安全问题。目前cdma2000 1x分组网的安全机制主要通过以下手段实现：

　　●内外网隔离；

　　●限制用户对设备的访问；

　　●对非法访问的侦测；

　　●对异常网络流量做到及时反应；

　　●制定有效的安全管理方案。

　　具体安全保证手段可分为系统的可靠性和抗攻击能力两方面：

　　●可靠性。分组网中通过RADIUS服务器对用户接入时使用的用户名、密码进行验证，必要时还可以结合用户的IMSI（international mobile subscriber identification number）。为保证PDSN的可靠性，PDSN设备采用主备方式进行负荷分担、备份。

　　●抗攻击能力。现分组网主要采取了以下抗攻击措施：通过在系统内网中构建MPLS VPN来加强内部网络的安全；在网络内部使用私有地址空间，做到内外网隔离；使用硬件防火墙、NAT方式及ACL控制策略，保证内网和公网的进一步隔离；通过三层交换的VLAN隔离和VLAN间路由技术，对不同子网间的路由访问进行有效的控制；通过NetFlow技术监控网络流量，对异常网络流量做到及时反应等，保障网络的安全。

　　通过以上的安全设计，中国联通的cdma2000 1x网络成为目前安全程度很高的移动数据网络。

　　（3）WAP门户段

　　由于在前两个网络段已有较严格的安全保障，在省级WAP门户的内网区域段，网络是比较安全的。但即使如此，WAP系统在公网和中国联通内网侧都配备了双宿主主机防火墙，保证该子系统设备的网络安全。

　　2.4　其他安全技术措施

　　如意邮箱在安全方面还有一系列反垃圾邮件技术措施（如SMTP首级邮件地址过滤、陷阱技术、人工反垃圾设置等），并与杀毒软件公司MaCfee合作解决病毒邮件查杀和快速升级难题。

　　3、如意邮箱系统实施使用情况

　　目前具有领先安全技术的如意邮箱系统已在云南联通用户中推广使用，取得了较好的市场响应，目前用户数已超过全网用户的7%，并有继续增长的良好趋势。如意邮箱系统雄厚的安全保证实力使我们相信，它不光可以在中国联通广大普通用户中推广使用，更值得向一些关键行业，如司法、政府、商业、教育等推荐，也值得在集团体系中推广运用，其前景充满光明。

　　另外，该系统还有不断完善和升华的空间，比如可基于公钥基础设施（PKI）进行安全电子邮件升级设计。目前中国已经建立了多家基于PKI的认证机构（CA），可以很好地解决邮件的安全传输和信任问题。云南联通现已进行了CA认证试点的探讨，只要有合适的第三方机构提供认证服务，下一版基于PKI的安全邮件系统就可以开始设计。