安全保密邮件系统技术白皮书终稿.docx

安全保密邮件系统技术白皮书终稿.docx

《安全保密邮件系统技术白皮书终稿.docx》由会员分享，可在线阅读，更多相关《安全保密邮件系统技术白皮书终稿.docx（13页珍藏版）》请在冰豆网上搜索。

安全保密邮件系统技术白皮书终稿

提供安全保密的邮件解决方案——

时代亿信安全保密邮件系统

技术白皮书Version1.0

北京时代亿信科技有限公司

目录

1前言1

1.1产品应用背景1

1.2需求分析1

2术语和缩略语2

2.1术语2

2.2缩略语2

3产品概述3

3.1产品简介3

3.2产品技术原理4

4产品功能特点7

4.1基于PKI的强身份认证7

4.2邮件全程加密7

4.3邮件信息跟踪8

4.4邮件及附件权限控制8

4.5地址簿浏览权限控制8

4.6邮件转发控制9

4.7邮件密级控制9

4.8邮件分区存储9

4.9邮件有效期设置10

5安全保密邮件收发流程11

5.1邮件发送流程11

5.2邮件接收流程12

6系统管理13

6.1日志审计13

6.2分级管理13

7系统部署14

7.1网络部署环境14

7.2推荐配置和性能指标14

1前言

1.1产品应用背景

随着Internet技术的高速发展，电子邮件系统已经成为一个普遍的通信工具，应用非常广泛，可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。

跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性。

但随着电子邮件被广泛应用，随之而来的安全问题日渐突出，机密泄漏、信息欺骗、假冒地址等令人烦恼不堪，相应的安全保密防护需求越来越迫切。

电子邮件一般是以明文的方式来发送和存储的，很容易被盗取、篡改和冒名，同时，现有邮件系统对脱离邮件系统后的附件缺乏有效的权限控制，存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。

因此，如何建立一套安全保密邮件系统，成为政府部门及企事业单位信息化建设的一大难题。

1.2需求分析

根据时代亿信在信息安全领域长期的研究成果和用户的实际应用情况，我们认为大致需要通过如下几条途径来确保电子邮件及附件的安全、可控：

Ø能够对用户进行强身份验证，确保邮件来源的合法性以及邮件内容的完整性；

Ø能够对邮件内容及附件的传输和存储进行加密，防止邮件内容及附件被窃取、监听或篡改；

Ø能对邮件及附件进行细粒度的授权管理，并能对下载到本地的附件控制阅读、编辑、复制、打印、转发等权限；

Ø能够根据需求对用户、邮件以及终端进行密级划分，并结合用户属性设置通讯规则，严格控制邮件的知悉范围；

Ø能够对邮件及附件的流转记录操作日志，及时掌握邮件的流向及用户的操作。

2术语和缩略语

2.1术语

名词

解释

用户

是指使用IT信息系统的内部正式或临时的外部员工、来自合作伙伴或设备供应商的工作人员等。

X.509证书标准

国际电话与电报咨询委员会（CCITT）规定的一种行业标准。

在这个标准中提供了一个数字证书的标准格式，规定数字证书必须包含的一些信息：

如版本号、序列号、签名算法、有效期限等。

加密/解密

使用计算机密码技术，对数字信息进行转换保护，形成新的信息，称为加密；把加密的信息还原成原文信息，成为解密。

数字签名

采用PKI技术，先对原文信息进行摘要（Hash），然后通过私钥进行签名处理，生成签名信息，签名信息只有私钥才能产生，签名过程不可逆，以保证原文的完整性和不可否认性。

数字信封

结合加密技术和数字签名技术，把明文信息进行加密打包，生成的信息中包含被加密保护的明文信息和数字签名信息，形如一个信封，称为数字信封。

通过数字信封，可以在开放的网络环境中进行数据的安全存储，既保证数据的安全性，又保证数据的完整性和准确性。

不可否认性

是指对行为的确认，确定行为必须是某人或某机构所为，不能否认，数字签名通过非对称密码技术和PKI管理体制保证不可否认性的实现。

数据完整性

表明数据没有遭受以非授权方式所作的篡改或破坏。

2.2缩略语

缩略语

英文

中文

PKI

PublicKeyInfrastructure

公钥基础设施

SSL

SecureSocketLayer

安全套接层协议层。

它是网景（Netscape）公司提出的基于WEB应用的安全协议

3产品概述

3.1产品简介

时代亿信安全保密邮件系统从邮件本身、邮件传输、邮件存储、权限控制等多方面出发，为政府部门及企事业单位提供安全、可控、便捷的信息传输功能，满足工作资料内部安全传递、存储及对外交流的需要。

基于PKI公共密钥管理体系，给传统电子邮件系统引入数字信封、数字签名、摘要算法等信息加密技术，从而实现电子邮件的加密传输、加密存储，并能够对发件人的身份进行验证，以确保邮件内容的完整性和不可否认性。

基于驱动级透明加解密技术实现的文档安全体系，不仅能够对邮件系统内的附件进行阅读、编辑、复制、打印、转发等权限进行严格的控制，还能够对下载到本地后的附件继续进行权限控制。

通过对邮件安全保密防护的需求分析，安全保密邮件系统采用分层的系统结构，使电子邮件的使用、管理以及存储相对分离。

安全保密邮件系统的系统结构主要分为数据层、安全服务层、邮件业务层和应用层等四个层次，各层可以按照具体应用需求，进行灵活调整及扩展，分层模型如下图所示：

图：

安全保密邮件系统分层模型

3.2产品技术原理

3.2.1基于PKI的邮件加密体系

⏹PKI公钥体系

从总体上来说，安全保密邮件系统是基于PKI的技术产品，整个安全保密邮件系统的每个环节都可以看到PKI的应用，非对称加密、身份认证、数字签名、以及数字信封等等都是以PKI为基础的。

从功能上来说，安全保密邮件系统实现了PKI的四个最主要的安全功能，即保密性、完整性、身份鉴别和不可否认性。

⏹对称加密

安全保密邮件系统在对邮件正文及附件进行加解密时，应用的是高强度的对称加密算法。

由于是对称算法，加密口令也就是解密口令。

这样做的好处在于加密口令是和文件相关的，不依赖于其他的文件和口令。

因此，即使用户的用户名和登录口令泄漏了，窃取者不知道加密口令仍然无法解密该加密文件。

对称加密算法有加解密强度高、速度快、占用系统资源少等特点。

⏹非对称加密

安全保密邮件系统主要在制作数字信封和数字签名时，应用非对称加密技术。

对于既需要保密又需要发送并证明身份的用户来说，数字信封正是他的好帮手。

而对于不需要保密仅需要签名的文件，安全保密邮件系统提供制作数字签名的功能。

数字签名不只可以验证签名人的身份还可以防纂改，也可以防止抵赖，使信息拥有不可否认性。

非对称加密技术相对于对称加密技术而言，在密钥传输、保持信息完整性以及抗抵赖方面具有不可比拟的优势。

⏹数字签名

安全保密邮件系统中数字签名主要用于两部分：

制作数字签名和数字信封。

制作数字签名应用用户证书的私钥对指定文件应用签名算法进行签名运算，签名后的文件存储在用户计算机中，用户可以随时发送给其他人并可以随时验证签名。

在制作数字信封的过程中，在加密文件之后，要应用发送者的私钥对加密文件进行签名，以便让接收者确认发送者身份，防止身份伪装。

⏹数字信封

由于对称加密密钥传输的安全限制以及对非对称加密速度的要求，使得单纯使用对称加密和非对称加密对于要进行网络传输的加密文件而言都具有一定的局限性，因此，安全保密邮件系统应用对称加密和非对称加密相结合的数字信封技术进行邮件加解密。

3.2.2针对邮件附件的文档安全控制技术

⏹内核驱动

内核驱动是安全保密邮件系统对附件控制所采取的关键技术，它负责监控操作系统所有的底层I/O操作，并根据上层控制模块返回的结果，控制进程对文档资源的访问。

⏹透明加解密

监控所有调用操作系统底层API的操作，检查是否有对受保护的加密文档的访问，如果有则向上层应用发送权限认证请求，根据返回结果决定是否允许用户访问。

对于允许访问的文档，由内核驱动自动解密，用户无需手动操作，可直接访问受保护的加密文档。

⏹内存保护

安全保密邮件系统直接对内存中的进行文档数据操作，不会在硬盘中生成临时文件或中间文件，防止非法进程通过监控临时文件夹或监控文件创建来获取文档内容。

⏹权限实时控制

通过身份认证和数据加解密技术，非授权的用户已经无法获取企业和机构内部的电子邮件，但是这并不能完全杜绝邮件内容及其附件的外泄。

因为内部人员是最为容易得到机密信息，也最容易泄露机密信息。

安全保密邮件系统可以细致的划分用户对邮件的操作权限，包括：

阅读、编辑、打印、复制粘贴、截屏以及完全控制（包括只读、编辑、解密的权限），通过对单一用户或用户角色的细致授权，完全满足不同用户级别和不同工作内容对操作权限的不同要求。

⏹时间期限控制

控制邮件的使用时间是安全保密邮件系统的重要组成部分。

通常将邮件及附件分发出去后，接受方就永远拥有此文档的所有权，随时可以使用该文档中的数据信息，这样很容易造成重要数据信息的外泄。

对邮件及附件的使用期限加以控制，便可很好地解决这一问题。

4产品功能特点

安全保密邮件系统是在实现普通邮件系统功能之上，综合运用身份认证、数字签名、传输加密、加密存储、邮件信息跟踪、邮件及附件控制等安全手段进行安全保护，通过高强度的身份认证、细粒度的权限控制和日志审计，为政府部门及企事业单位提供安全、可控、便捷的信息传输服务。

安全保密邮件系统的功能特点如下图所示：

图：

安全保密邮件系统功能特点

4.1基于PKI的强身份认证

基于PKI证书管理体系，结合邮件系统用户管理与权限分配，在用户登录、管理操作及邮件的编辑、发送、接收及附件下载等过程中，进行用户强身份认证、权限控制等，保证对邮件各项操作的合法性，对用户全部操作环节进行全程跟踪，并进行日志记录。

4.2邮件全程加密

发送邮件时，发件人使用收件人公钥对邮件进行加密，并使用自己的私钥做数字签名，邮件以密文的形式发送出去；收到邮件时，拥有对应私钥的用户才能对邮件内容进行解密，查看到邮件原文，并通过验证数字签名确定发件人的身份。

加解密过程在USB智能卡中完成，私钥不出卡，保证密钥的安全。

在邮件的传输过程中，安全保密邮件系统采取数字信封、数字签名等加密技术，以确保邮件内容的保密性、完整性和不可否认性。

邮件的正文和附件在网络传输、服务器存储以及客户端存储时，都是以密文形式存在。

4.3邮件信息跟踪

安全保密邮件系统通过邮件状态跟踪随时掌握邮件已被执行了哪些操作，系统自动对用户阅读附件、编辑附件、复制附件、打印附件操作进行日志记录，对用户发送邮件、阅读邮件操作进行日志记录，还可以根据查询的条件生成各种报表。

管理员不能查看邮件内容，但是能可以查看邮件操作记录和附件操作记录。

4.4邮件及附件权限控制

安全保密邮件系统通过对邮件及附件进行授权策略配置，来控制收件人对邮件及其附件的操作权限，主要包括阅读、编辑、复制、另存、打印、下载附件、转发等。

邮件及附件只能在发件人设定的用户范围和操作权限下使用，确保附件始终处于限定范围和受控状态。

同时，对于存储在服务器和用户本地的加密文档，只有使用用户的个人密钥才能打开文档。

即使文档被非法拷贝，拷走的也都是密文，没有授权，任何人都不能解开该文档。

4.5地址簿浏览权限控制

安全保密邮件系统采用树形结构来展示地址簿上的联系人信息，用户地址簿在系统实施时根据用户属性统一进行配置。

用户只能与地址簿中显示的联系人互通邮件，不能给地址簿以外的联系人发送邮件。

用户无法擅自更改地址簿中的联系人信息，如需更改，必须履行相关审批手续。

4.6邮件转发控制

安全保密邮件系统对邮件的发送范围进行了严格的权限控制。

在邮件转发时，必须要求邮件始发人的授权才能进行。

用户在使用地址簿进行收件人选择时，地址簿列表结合当前用户的安全级别以及所属部门、职务等信息进行动态匹配，只列出其有权限的接收人或者机构。

4.7邮件密级控制

用户、