一、概述 電子郵件已經成爲現代人最重要和最不可缺少的個人生活和工作的通信工具之一, 但是,您也許不知道,所有電子郵件系統都是明文傳輸,也就是說:您的每一個重要郵件都是在以“明信片”方式在互聯網上傳送。請參考:
《計算機世界》報文章《阻止郵件內容“裸奔”》(2006年第4期,2006年1月23日出版)目前,人們對電子郵件安全的認識不足。Google一下“電子郵件安全”,一般都是講如何防範垃圾郵件、病毒郵件和釣魚郵件等等。而實際上,電子郵件安全問題最重要的主要包括兩個方面:一是電子郵件服務器的安全,包括網絡安全以及如何從服務器端防範和杜絕垃圾郵件、病毒郵件和釣魚郵件等,這些是電子郵件服務的基本要求;而另一個更重要的問題但還沒有引起人們高度重視是如何確保電子郵件用戶的電子郵件內容不會被非法竊取、非法篡改和如何防止非法用戶登錄合法用戶的電子郵件帳號。我們認爲後者更重要。正是由於電子郵件內容中有非常重要的個人機密信息和機密的商業信息才使得有人採取非法手段竊取郵件內容、篡改郵件內容和僞造合法身份發送電子郵件,而由於電子郵件同其他互聯網應用一樣都是明文傳輸的,使得竊取郵件內容、篡改郵件內容非常容易實現,而常用的電子郵件Web方式登錄也是採用簡單的用戶名/密碼方式認證,使得非常容易被非法獲得而僞造合法身份登錄電子郵件帳號來查閱電子郵件和發送電子郵件。以上嚴重問題並沒有得到電子郵件服務提供商和企業用戶的足夠的重視和採取相應的技術措施,其實,現有的成熟的PKI技術(數字證書)就可以解決以上問題,也就是爲電子郵件服務器部署SSL數字證書(SSL證書)和每個電子郵件用戶使用單位數字證書來加密收發電子郵件,同時使用單位數字證書來簽名每個發出的郵件,讓收件人能確信此電子郵件確實是來自聲稱的發件人。目前,成熟的端到端的全程的安全電子郵件技術標準主要有:
PGP 和 S/MIME 。 PGP 是 Pretty Good Privacy 的簡稱,是一種長期一直在學術圈和技術圈內得到廣泛使用的安全郵件標準,其特點是通過單向散列算法對郵件內容進行簽名,以保證信件內容無法修改,使用公鑰和私鑰技術保證郵件內容保密且不可否認。而更加應用廣泛的得到所有電子郵件客戶端軟件如 OUTLOOK 支持的是 S/MIME( Secure Multipurpose Internet Mail Extensions ) ,它是從 PEM(Privacy Enhanced Mail) 和
MIME(Internet 郵件的附件標準 ) 發展而來的。 S/MIME 也利用單向散列算法和公鑰與私鑰的加密體系。與 PGP 不同的主要有兩點:首先,它的認證機制依賴於層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織 ( 根證書 ) 之間相互認證,整個信任關係基本是樹狀的。其次, S/MIME 將信件內容加密簽名後作爲特殊的附件傳送。 S/MIME 的證書格式也採用 PKI 技術的 X.509 ,但與一般瀏覽器使用的服務器端SSL證書有些不同,屬於客戶端數字證書,也稱爲
S/MIME 電子郵件加密證書、安全電子郵件加密證書或安全 Email 證書。 WoSign 提供的客戶端數字證書支持 S/MIME ,不僅可以用於安全電子郵件通信,還可以用於各種網上應用的客戶端身份認證。
二、解決方案 我們提供的安全電子郵件系統解決方案是採用 WoSign 全球通用的服務器 SSL證書和客戶端數字證書相結合的全程端到端的安全電子郵件解決方案。 首先,電子郵件的郵件內容在互聯網上是明文傳輸的,其發送過程爲:發件人把要發送給收件人的電子郵件提交給自己的電子郵件服務器即可,由自己的電子郵件服務器負責發送到收件人的電子郵件服務器中,收件人只要到自己的電子郵件服務器收取電子郵件即可。 我們推薦採用 PKI 技術的服務器端SSL證書和客戶端數字證書來確保電子郵件的全程端到端安全。包括: (1) 電子郵件服務器部署SSL證書確保用戶 Web 登錄郵箱時的郵件信息安全; (2) 使用客戶端證書用於 Web 方式登錄的強身份認證; (3) 郵件接收服務器(POP3) 和發送服務器(SMTP) 部署SSL證書; (4) 使用客戶端證書實現 Web 方式或 OUTLOOK 方式的電子郵件加密和數字簽名。以上技術措施 (1)(3) 保證了從發件人電腦到發件人電子郵件服務器之間的傳輸鏈路上以 Web 方式和 OUTLOOK 方式收發電子郵件時是 SSL 安全加密電子郵件內容的,是不可能被非法竊取和篡改的;而措施 (2) 則是採用客戶端證書實現身份認證,從而保證了是合法用戶在使用此電子郵件帳號;而措施 (4) 則保證了電子郵件從發件人電腦到收件人的電腦的逐個傳輸鏈路上是加密傳輸的,是不可能被非法竊取和篡改的。只有採取了以上 4 個方面的技術措施才能確保電子郵件通信的全程安全,才能變現在的 “明信片”式電子郵件服務爲把用戶的信裝進厚厚的結實的信封的“特快專遞”式電子郵件服務。
三、已經有上千家企事業單位部署了WoSign SSL證書和客戶端證書來確保其電子郵件系統安全:(1) WoSign: https://mail.wosign.com
(2) 中國銀聯: https://mail.chinaunionpay.com
(3) 中國移動139郵箱: https://mail.10086.cn
(4) 江蘇廣電: https://vip.jsbc.com
(5) 上海圖書館: https://mail.libnet.sh.cn
(6) 西南大學: https://mail.swu.edu.cn
(7) 西交利物浦大學: https://mail.xjtlu.edu.cn
二、解決方案 我們提供的安全電子郵件系統解決方案是採用 WoSign 全球通用的服務器 SSL證書和客戶端數字證書相結合的全程端到端的安全電子郵件解決方案。 首先,電子郵件的郵件內容在互聯網上是明文傳輸的,其發送過程爲:發件人把要發送給收件人的電子郵件提交給自己的電子郵件服務器即可,由自己的電子郵件服務器負責發送到收件人的電子郵件服務器中,收件人只要到自己的電子郵件服務器收取電子郵件即可。 我們推薦採用 PKI 技術的服務器端SSL證書和客戶端數字證書來確保電子郵件的全程端到端安全。包括: (1) 電子郵件服務器部署SSL證書確保用戶 Web 登錄郵箱時的郵件信息安全; (2) 使用客戶端證書用於 Web 方式登錄的強身份認證; (3) 郵件接收服務器(POP3) 和發送服務器(SMTP) 部署SSL證書; (4) 使用客戶端證書實現 Web 方式或 OUTLOOK 方式的電子郵件加密和數字簽名。以上技術措施 (1)(3) 保證了從發件人電腦到發件人電子郵件服務器之間的傳輸鏈路上以 Web 方式和 OUTLOOK 方式收發電子郵件時是 SSL 安全加密電子郵件內容的,是不可能被非法竊取和篡改的;而措施 (2) 則是採用客戶端證書實現身份認證,從而保證了是合法用戶在使用此電子郵件帳號;而措施 (4) 則保證了電子郵件從發件人電腦到收件人的電腦的逐個傳輸鏈路上是加密傳輸的,是不可能被非法竊取和篡改的。只有採取了以上 4 個方面的技術措施才能確保電子郵件通信的全程安全,才能變現在的 “明信片”式電子郵件服務爲把用戶的信裝進厚厚的結實的信封的“特快專遞”式電子郵件服務。
三、已經有上千家企事業單位部署了WoSign SSL證書和客戶端證書來確保其電子郵件系統安全:(1) WoSign: https://mail.wosign.com
(2) 中國銀聯: https://mail.chinaunionpay.com
(3) 中國移動139郵箱: https://mail.10086.cn
(4) 江蘇廣電: https://vip.jsbc.com
(5) 上海圖書館: https://mail.libnet.sh.cn
(6) 西南大學: https://mail.swu.edu.cn
(7) 西交利物浦大學: https://mail.xjtlu.edu.cn
