基于商用密码技术的电子邮件系统研究*

汪凌锋，王中武，尹一桦

（成都卫士通信息产业股份有限公司，四川 成都 610095）

0 引言

电子邮件作为日常工作沟通的重要工具之一，已经在政府部门、大型企业以及军队中得到广泛应用。这些单位通过购买第三方电子邮件服务或者自建电子邮件系统为本单位工作人员提供电子邮件服务。由于电子邮件协议的开放性以及当前电子邮件安全机制的限制，无论是购买第三方电子邮件服务还是自建电子邮件系统，都面临两个方面的安全威胁：一是电子邮件用户身份识别的安全性不足；二是电子邮件以明文传输/存储或者以国际算法加密传输/存储所带来的电子邮件内容泄露风险。

1 传统电子邮件系统的安全风险

1.1 网络安全风险

电子邮件协议是基于TCP/IP 网络协议的应用层协议，在业务过程中会面临TCP/IP 网络协议共性的DNS 劫持、代理人攻击以及网络流量窃取分析等网络安全风险。

1.2 邮件协议用户认证风险

电子邮件系统使用SMTP 协议[1]进行电子邮件发送，使用IMAP[2]/POP3[3]协议进行电子邮件的接收。这两种协议均使用明文密码进行用户登录，虽然大部分电子邮件系统已经使用SSL 安全通道的SMTPS 协议，但通过代理攻击和DNS 劫持攻击者可获得邮件协议登录消息中的明文密码。

1.3 邮件内容泄露、篡改及仿冒风险

电子邮件协议SMTP 协议和IMAP/POP3 协议中都是使用明文传输电子邮件正文和附件，导致电子邮件正文和附件面临被窃取的风险。此外，邮件协议的开放性也带来了垃圾邮件、钓鱼邮件以及病毒邮件等非法邮件内容的传播风险。

2 电子邮件系统安全机制增强

综合来看，传统电子邮件系统需要从以下几个方面进行安全性增强，主要包括基于PKI 的密码服务基础设施、安全认证以及邮件内容的机密性、完整性和不可否认性。当前，商用密码技术已经能够支持电子邮件系统满足上述安全需求。从电子邮件系统的业务流程（邮箱登录、收发邮件等）来看，需要从通道保护、安全认证和邮件内容加密3 个方面使用商用密码技术，全方位增强传统电子邮件系统的安全性。

2.1 基于PKI 体系的商用密码服务平台

密码服务平台由密码服务平台服务端和客户端密码服务SDK 组成，可为电子邮件系统提供商密密钥及证书管理、密码运算服务。

2.1.1 商用密码服务平台组成

密码服务平台服务端包括密钥管理服务、信息签名服务、用户管理服务和接入网关。

密钥管理服务为密码服务SDK 和使用密码服务SDK 的应用用户提供密钥生成、分发、存储等管理服务。

信息签名服务为密码服务SDK 和接入网关提供身份签名功能。

用户管理服务提供用户信息，包括用户名、邮箱地址、电话号码以及用户分组等的管理能力。

接入网关为客户端密码服务SDK 提供统一接入服务。

2.1.2 密码服务SDK 主要能力

为邮件客户端提供加解密、签名验签、杂凑算法、随机数生成以及密钥管理等密码服务功能。支持公钥密码算法SM2，为邮件客户端提供签名验签和加解密服务；支持杂凑密码算法SM3，为邮件客户端提供完整性验证服务；支持分组密码算法SM4，为邮件客户端提供数据加密服务；与密码服务平台服务端共同为邮件客户端提供密钥生成、分发、存储等密钥管理服务和证书签发、验证等证书管理服务。

2.1.3 密码服务平台对证书、密钥管理的支持

邮件系统集成密码服务平台，邮件服务端集成密码服务平台服务端，邮件客户端集成密码服务SDK。邮件系统使用的密钥、证书只在密码服务平台服务端和密码服务SDK 中保存和分发，邮件服务端和邮件客户端不直接使用密钥和证书。加密、签名等密码运算由密码服务SDK 提供接口供邮件服务端和邮件客户端调用。密码运算在密码服务SDK内部完成。

邮件系统的算法、密钥以及证书配用，如表1所示。

邮件系统部署时或者新邮箱用户创建时，邮件服务端将邮箱用户同步到密码服务平台服务端。邮件客户端集成的密码服务SDK 生成密码设备公私钥对，向密码服务平台服务端申请密码设备证书。密码服务平台服务端为邮箱用户预先生成加密公私钥对，申请加密证书。

邮箱用户首次登录邮件客户端时，密码服务SDK 生成用户签名公私钥对，向密码服务平台服务端申请用户签名证书。密码服务平台服务端将用户加密证书分发到密码服务SDK。

2.2 电子邮件传输通道保护增强

传统电子邮件系统可以使用基于国际算法SSL安全通道的IMAPS、POP3S 以及SMTPS 等邮件协议进行传输通道保护。本文所述方案在SSL 中增加商密密码套件，将SSL 安全通道[4]的加密算法替换为商用密码算法。商密安全通道建立过程如图1所示。

表1 商密算法、密钥、证书配用

图1 商密安全通道建立过程

2.3 电子邮件传输通道保护增强

电子邮件涉及SMTP、POP3、IMAP 这3 种电子邮件协议，其中SMTP 用于发送电子邮件，POP3和IMAP 用于接收电子邮件。这3 种协议均定义有各自的建立邮件会话、登录认证、邮件收发命令消息。以SMTP 协议为例，SMTP 协议使用AUTH LOGIN 命令向邮件服务端发起登录认证请求，客户端将邮箱地址和密码明文BASE64 编码发送给邮件服务端进行登录认证。

本文所述方案在邮件协议登录阶段由密码服务SDK 生成临时会话密钥，邮件客户端使用临时会话密钥和邮箱用户加密私钥，对登录密码进行数字信封保护，将签名加密后的登录密码发送给邮箱服务端进行登录认证，以增强电子邮箱登录密码使用的安全性。

同时，为了规避电子邮箱登录密码由于用户管理不善或者黑客窃取所带来的风险，在用户登录邮箱的过程中增加短信验证码的双因子认证方式，以确保电子邮箱登录是用户知晓和确认的行为。

2.4 电子邮件内容商密保护

2.4.1 明文电子邮件MIME 格式

如图2 所示，明文电子邮件遵循MIME[5]规范。MIME 将邮件分为邮件头和邮件体两部分，其中第1 行到第13 行为邮件头，第13 行之后是邮件体。邮件头包含发件日期、发件人、收件人、邮件主题以及消息ID 等重要信息；邮件体包含邮件正文、附件等信息；邮件体格式类型由Content-Type 定义。

图2 明文电子邮件格式

2.4.2 电子邮件SMIME 商密签名及加密过程

SMIME[6]规范是由互联网工程任务组（Internet Engineering Task Force，IETF）定义的邮件加密规范。SMIME 规范的当前版本只定义有国际标准的RC、DES 等加密算法和MD5、SHA 等摘要算法，未涉及商密算法。本文所述方案是对SMIME规范的增强，采用商密算法SM2、SM3 和SM4 进行邮件的加密、摘要和签名运算。

《GM/T 0010—2012 SM2 密码算法加密签名消息语法规范》[7]要求，对明文电子邮件MIME 中的邮件体进行数字信封封装。具体地，使用SM3 对邮件体进行摘要运算；使用发件人签名私钥对摘要进行签名；由密码服务SDK 生成临时会话密钥；使用会话密钥和SM4 算法对签名邮件体进行加密；使用收件人加密公钥和SM4 算法对会话密钥进行加密。

加密后的邮件体以文件附件的形式替换邮件MIME 原邮件体。新的邮件体Content-Type 设置为application/pkcs7-mime。

3 安全风险防范有效性分析

电子邮件系统面临的典型安全风险有3 类——网络安全风险，邮件协议用户认证风险，内容泄露、篡改及仿冒风险。

3.1 网络安全风险

电子邮件面临与其他信息系统类似的网络安全风险，其中可以使用密码技术来防范网络安全风险，包含网络流量窃取、DNS 劫持及代理人攻击等。攻击者通过分析网络协议和明文邮件协议，可以获取邮件内容。通过DNS 劫持及代理人攻击，攻击者可以诱导用户在伪冒的邮件服务器登录，从而窃取到邮件内容。通过本文所述的商密安全通道，攻击者无法从网络数据中获取邮件协议内容。通过商密安全通道建立过程中对客户端和服务端证书的验证，攻击者即使进行了DNS 劫持，也无法诱骗邮件客户端与伪冒邮件服务端建立安全通道和邮件会话。

3.2 邮件协议用户认证风险

电子邮件协议登录时传输的邮箱密码仅仅做了BASE64 编码，如果邮件客户端与邮件服务端使用非安全通道的SMTP、IMAP、POP3 协议进行邮件收发，攻击者分析邮件协议中AUTH LOGIN 命令可以很容易获取到邮箱密码。另外，部分用户管理邮箱密码不善，也可能导致邮箱密码被窃取。使用本文所述的电子邮件协议安全认证增强方案，使用可靠的商密算法对密码进行签名加密保护，即使邮件客户端使用非安全通道的邮件协议收发电子邮件，邮箱密码也不会被攻击者窃取。再加上强制用户登录使用短信验证码的双因子认证方式，邮箱用户可以及时获知邮箱的异常登录行为。无论是非安全通道邮件协议还是密码保管不善导致的邮箱密码泄露风险，都可以被有效防范。

3.3 邮件内容泄露、篡改及仿冒风险

与邮箱密码泄露风险类似，由于传统电子邮件系统使用非安全通道的邮件协议进行邮件收发，攻击者可以分析网络数据获取到邮件内容。在使用国际规范加密邮件过程中，可能因为用户未妥善保管密钥或证书导致邮件内容被泄露、篡改或者仿冒。通过本文所述的基于商密PKI 体系的密码服务平台对密钥和证书进行全生命周期的管理，对邮件内容进行签名、加密，避免了客户端本地邮件存储、邮件投递以及服务端本地邮件存储等环节邮件内容泄露、篡改及仿冒的风险。

另外，由于邮件系统间的电子邮件收发不会进行身份验证，攻击者可能会利用这个特性发送大量垃圾邮件、钓鱼邮件或病毒邮件。密码服务平台只对合法的用户签发加密、签名证书，会对邮件内容进行商密签名和加密，因此攻击者将无法发送垃圾邮件、钓鱼邮件或病毒邮件。即使攻击者发送这类邮件，也可以通过签名信息很快确定攻击者身份。

4 结语

当前，电子邮件系统作为日常工作沟通特别是不同法人实体间重要信息和文件交换的工具，成为网络黑客和其他非法攻击者的重要窥探目标。电子邮件协议自身的开放性、安全认证机制和加密邮件密钥/证书管理机制不完善，因此其存在极大的安全风险。

电子邮件系统存在的安全风险包括邮箱密码爆破和字典攻击、DNS 劫持及代理人攻击、邮件内容泄露、篡改、仿冒、垃圾邮件及钓鱼邮件等。电子邮件系统在设计时，需要充分利用密码技术对电子邮件业务关键环节进行针对性的安全性设计。本文从安全认证、通道保护、电子邮件内容加密、密钥及证书管理等方面阐述了传统电子邮件系统所面临的威胁，提出基于商密PKI 体系的电子邮件系统安全机制和安全措施，保证了电子邮件系统的安全性。