基于過濾網(wǎng)關(guān)技術(shù)的電子郵件安全應(yīng)用研究.pdf

1、電子郵件的是互聯(lián)網(wǎng)的重要應(yīng)用之一，企業(yè)可以利用電子郵件進(jìn)行電子商務(wù)活動。電子郵件的安全性必須得到保證。郵件的安全性包括郵件的保密性、完整性、合理性和消息來源的正確性。郵件的安全性問題主要來自于兩個方面：郵件系統(tǒng)設(shè)計的缺陷和郵件協(xié)議本身的缺陷。電子郵件系統(tǒng)的安全性問題，主要指針對企業(yè)電子郵件系統(tǒng)缺陷發(fā)起的直接攻擊，如outlook在設(shè)計時的安全缺陷可以直接被黑客利用來進(jìn)行攻擊：傳統(tǒng)郵件協(xié)議的安全缺陷，主要指傳統(tǒng)電子郵件的傳輸協(xié)議本身所固有

2、的安全缺陷，因為郵件協(xié)議在制定之時就根本沒有考慮到安全問題?；卩]件的傳輸是由電子郵件系統(tǒng)來完成且改進(jìn)郵件協(xié)議是困難的，那么改進(jìn)電子郵件系統(tǒng)以增強郵件的安全性就是一個必然的選擇。 現(xiàn)有的電子郵件系統(tǒng)可以滿足一般的郵件收發(fā)要求，滿足郵件的保密性、完整性、消息來源的正確性的要求。但是對郵件合理性的要求注重的不夠(郵件的合理性是指郵件內(nèi)容不含有非法或泄密內(nèi)容，不是無關(guān)的垃圾郵件)。所以可以從電子郵件系統(tǒng)的設(shè)計入手加強郵件的安全性。如果

3、能在用戶代理和傳輸代理之間或分發(fā)代理和傳輸代理之間加入一個郵件過濾網(wǎng)關(guān)即在傳統(tǒng)的電子郵件系統(tǒng)和Internet的入口處加入一個郵件過濾網(wǎng)關(guān)來保證對郵件的安全操作那么郵件的安全性將大大提高。該郵件過濾網(wǎng)關(guān)一方面加強郵件在傳輸中的安全性，如對郵件加入加密算法，數(shù)字簽名，保證郵件在傳輸途中不被非法篡改；另一方面加強對郵件內(nèi)容的安全技術(shù)操作，通過對往來郵件的過濾、監(jiān)控，以保證郵件內(nèi)容和來源符合要求，從而保證電子郵件保密性、完整性、合理性和郵件消

4、息來源方面證明的需要。目前隨著企業(yè)安全信息平臺的發(fā)展，帶有安全防護(hù)功能的電子郵件網(wǎng)關(guān)作為企業(yè)電子郵件系統(tǒng)的重要組成部分，已經(jīng)受到越來越多的重視。通過在企業(yè)的Internet入口處放置帶有安全防護(hù)功能的電子郵件過濾網(wǎng)關(guān)可以很好的起到保護(hù)企業(yè)郵件安全的目的，對于它的研究是十分必要的。 本文在分析傳統(tǒng)郵件協(xié)議安全缺陷的基礎(chǔ)之上，對安全電子郵件系統(tǒng)的發(fā)展進(jìn)行了綜述。分析了當(dāng)前企業(yè)環(huán)境下電子郵件系統(tǒng)，特別是電子郵件掃描過濾技術(shù)所存在的不足

5、，并就此提出了本文的研究目標(biāo)，對往來的企業(yè)電子郵件實施內(nèi)容安全過濾。本文詳細(xì)分析了現(xiàn)有的郵件網(wǎng)關(guān)過濾機制，并在此基礎(chǔ)上提出了一個郵件過濾網(wǎng)關(guān)的方案。該方案利用郵件傳輸網(wǎng)絡(luò)協(xié)議(SMTP協(xié)議、POP3協(xié)議)和分布式思想，采用了Servlet技術(shù)以求得軟件模塊在部署上的靈活性和實際中的可擴展性。在本文中論述了對郵件內(nèi)容提取、過濾機制，闡明了它們的工作原理和體系結(jié)構(gòu)。本文把該郵件網(wǎng)關(guān)體系結(jié)構(gòu)分為四層(郵件接收層、郵件數(shù)據(jù)傳輸層、郵件解析層、郵

6、件存儲層)，提出了每層的工作機制，并在此基礎(chǔ)上給出了系統(tǒng)各層的通信機制和對于文本郵件的具體實現(xiàn)和改進(jìn)算法。郵件接收層是郵件過濾網(wǎng)關(guān)的最低層，它從網(wǎng)絡(luò)數(shù)據(jù)流中提取往來的電子郵件數(shù)據(jù)。網(wǎng)絡(luò)中的電子郵件數(shù)據(jù)主要從25號端口和110號端口提取。其中25號端口的數(shù)據(jù)主要是以SMTP協(xié)議傳輸?shù)臄?shù)據(jù)； 110號端口的數(shù)據(jù)主要是以POP3協(xié)議傳輸?shù)臄?shù)據(jù)。郵件接收層主要運行2個線程，主線程負(fù)責(zé)主程序的建立、初始化；監(jiān)聽線程負(fù)責(zé)利用網(wǎng)絡(luò)監(jiān)聽技術(shù)實現(xiàn)郵件數(shù)據(jù)

7、流的截收。接收層根據(jù)郵件的格式規(guī)定把郵件數(shù)據(jù)相應(yīng)的分解為題頭數(shù)據(jù)和正文數(shù)據(jù)，并通過通信機制傳遞給郵件解析層使用。兩層之間的通信技術(shù)主要利用servlet技術(shù)的http隧道處理方法來完成。通過把有關(guān)請求包裹在http請求中，實現(xiàn)了兩個層次的分離。另外在接收層在接收郵件數(shù)據(jù)時還注意了安全問題，通過程序的定時連接處理和防緩沖區(qū)溢出處理保證了接收郵件安全。 郵件的數(shù)據(jù)傳輸層是郵件網(wǎng)關(guān)的第二層，它主要有以下幾個模塊。第一個模塊的作用是根

8、據(jù)MIME的編碼方式解碼郵件接收層所截收的郵件數(shù)據(jù)(題頭，發(fā)信人，收信人)；把這些解碼后的郵件數(shù)據(jù)和接收該郵件消息中得到的關(guān)于郵件長度，發(fā)送標(biāo)志、數(shù)字簽名等信息一起傳遞到郵件解析層使用并回傳控制信息。另一個模塊的作用是如果郵件是加密的，提供算法根據(jù)郵件題頭信息解碼郵件內(nèi)容。 郵件解析層主要是和郵件的數(shù)據(jù)傳輸層配合，對郵件按照規(guī)則庫里的要求進(jìn)行各種過濾，主要是針對文本過濾。對文檔的過濾主要是通過題頭過濾和內(nèi)容過濾，過濾實現(xiàn)主要通過

9、關(guān)鍵字匹配技術(shù)。對題頭過濾用完整匹配算法，對內(nèi)容過濾使用多模式關(guān)鍵字匹配算法。該郵件解析層所依賴的規(guī)則庫主要是由規(guī)則表和郵件信息表組成。規(guī)則表是管理員制定的一系列的“黑名單”，用以作為過濾郵件的關(guān)鍵字。郵件信息表是針對每個用戶所制定的關(guān)于郵件信息數(shù)據(jù)的一系列的表，主要是方便用戶、管理員的關(guān)于郵件信息數(shù)據(jù)的查詢和備案。郵件解析層按照過濾的結(jié)果分別啟動不同的動作控制信號通過郵件傳輸層回傳，如刪除郵件接收層的臨時郵件的信號；轉(zhuǎn)發(fā)內(nèi)部向外發(fā)送的