一種電子郵件的反釣魚系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全技術(shù)領(lǐng)域,具體涉及一種電子郵件的反釣魚系統(tǒng)及方法��。
【背景技術(shù)】
[0002]電子郵件已經(jīng)誕生四十多年���,已經(jīng)成為日常生活和工作的主要交流工具之一�����。每天有數(shù)億封的電子郵件在網(wǎng)絡(luò)上發(fā)送���。電子郵件給工作和生活帶來方便的同時,也給不乏分子利用電子郵件進行釣魚提供了機會�����。
[0003]域名秘鑰識別技術(shù)標(biāo)準(zhǔn)(DKM)試圖解決電子郵件的冒用問題�。DKM讓企業(yè)可以把加密簽名插入到發(fā)送的電子郵件中����,然后把該簽名與域名關(guān)聯(lián)起來�。簽名隨電子郵件一起傳送,電子郵件收件人則可以使用簽名來證實郵件確實來自該域名��。由于冒充電子郵件發(fā)件服務(wù)器通常不會在郵件里用上任何DKIM信息����,因此收件服務(wù)器并不知道����,發(fā)件方是否使用了 DKIM技術(shù)。DKIM只是針對每個域名發(fā)放公鑰����,無法針對基于這個域名的千千萬萬個的單個用戶發(fā)放公鑰,因此無法針對單獨個人用戶進行認證�����。DKIM技術(shù)已經(jīng)部署8年多����,但是互聯(lián)網(wǎng)的欺詐釣魚郵件依然盛行��,DKIM技術(shù)沒有從本質(zhì)上解決電子郵件的來源身份可信冋題���。
[0004]具體來說,目前郵件發(fā)送中存在如下問題:
[0005]I)由于電子郵件技術(shù)協(xié)議RFC2821的安全缺陷�,郵件的信息可以被發(fā)送郵件服務(wù)器以及任何中間服務(wù)器或者收件服務(wù)器進行修改,導(dǎo)致匿名郵件或者冒名頂替的釣魚郵件盛行����;
[0006]2)開放式的域名系統(tǒng)DNS目前本身比較脆弱,容易受到域名劫持���,從而使攻擊者有機會替換存在DNS里DKM的公鑰�,從而使DKM系統(tǒng)失效�����;
[0007]3) DKM是基于域名的認證而不是整個電子郵件地址的認證����。簽名是由域名的管理者控制而不是單獨的郵件用戶。無法針對個人用戶進行個性化服務(wù)��;
[0008]4)目前已經(jīng)有的DKM技術(shù)必須在郵件服務(wù)器端進行部署�����,部署成本高。
【發(fā)明內(nèi)容】
[0009]本發(fā)明為了解決電子郵件的內(nèi)容可信和地址可信問題����,提供一種電子郵件的反釣魚系統(tǒng)及方法。使用該技術(shù)后�����,能確保發(fā)件人的電子郵件地址就是其宣稱的真實的發(fā)件人電子郵件地址�;能確保發(fā)件人的電子郵件內(nèi)容就是其表達的郵件內(nèi)容���,并沒有被中間人進行任何更改�����。比如����,淘寶的郵件確實來自淘寶�,工商銀行的郵件確實來自工商銀行。
[0010]為實現(xiàn)上述目的��,本發(fā)明采用的技術(shù)方案如下:
[0011]一種反釣魚郵件系統(tǒng),其包括:
[0012]郵件地址注冊認證子系統(tǒng)�,用于注冊用戶的電子郵件地址;
[0013]郵件簽名登記子系統(tǒng)����,用于登記用戶對要發(fā)送的電子郵件信息生成的簽名;
[0014]郵件簽名查詢子系統(tǒng)���,用于在郵件接收者收到電子郵件后����,供郵件接收者查詢該郵件是否已登記�����,以判別該郵件是否為非法的釣魚郵件�����。
[0015]一種采用上述系統(tǒng)的電子郵件的反釣魚方法��,其步驟包括:
[0016]I)郵件發(fā)送用戶將其使用的電子郵件地址在郵件地址注冊認證子系統(tǒng)進行注
ΠΠ.冊�����;
[0017]2)郵件發(fā)送用戶使用簽名生成器對要發(fā)送的電子郵件信息生成簽名,并使用安全的方式把生成的簽名在郵件簽名登記子系統(tǒng)進行登記�����,登記成功后向郵件接收者發(fā)送電子郵件�,并在該電子郵件的郵件頭中增加字段表示是否已登記;
[0018]3)郵件接收者收到電子郵件后�,使用簽名生成器生成簽名,并通過郵件簽名查詢子系統(tǒng)查詢該郵件是否已登記�����,然后與該郵件的郵件頭中表示是否已登記的信息進行比對�����,以判別該郵件是否為非法的釣魚郵件�����。
[0019]進一步地��,步驟2)所述郵件頭中含有如下字段信息:
[0020]X-registered�����,是新增加的字段����,其默認值是No,表示該信息未登記�����,如果登記成功則其值為Yes �����;
[0021]X-confirmat1n-No,是給登記成功后的郵件信息賦予的確認碼�,包括表示年的字段、表示月日的字段��、表示時的字段�、表示郵件地址的字段、表示隨機數(shù)的字段�����。
[0022]進一步地����,所述簽名生成器的輸入包括:郵件發(fā)件人��,為不超過256為的UNICODE字符表示的郵件地址���;郵件收件人,為不超過256為的UNICODE字符表示的郵件地址�����;郵件發(fā)送日期�,為8位數(shù)字字符表示的年月日;郵件內(nèi)容�����,用不定長的UNICODE字符表示�����;所述簽名生成器的輸出為用128位ASCII字符表示的郵件簽名���。
[0023]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果如下:
[0024]I)本發(fā)明中的反釣魚郵件系統(tǒng)針對電子郵件技術(shù)協(xié)議RFC2821的安全缺陷���,對郵件核心信息的篡改能夠及時發(fā)現(xiàn)���,并能夠及時識別冒充真實發(fā)信人的釣魚郵件���。
[0025]2)本發(fā)明不使用DNS來存儲秘鑰簽名信息,使用集中可控的系統(tǒng)存儲秘鑰簽名���。存儲管理可以針對每個郵件發(fā)送用戶的每個信息進行登記認證查詢�����。
[0026]3)本發(fā)明針對每個單獨的郵件發(fā)送用戶���,可以進行個性化的安全服務(wù),并使郵件地址可以關(guān)聯(lián)更多的郵件發(fā)送用戶可信信息�����。
[0027]4)本發(fā)明不需要在郵件服務(wù)器進行部署��。郵件客戶端做簡單的升級后就可以使用本發(fā)明中的技術(shù)��,非常大的減少了部署成本����。
【附圖說明】
[0028]圖1是本發(fā)明的反釣魚郵件系統(tǒng)的組成示意圖��。
[0029]圖2是實施例中確認碼的格式示意圖����。
[0030]圖3是實施例中簽名生成器的輸入輸出示意圖����。
【具體實施方式】
[0031]為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂��,下面通過具體實施例和附圖���,對本發(fā)明做進一步說明����。
[0032]本發(fā)明提供了一種基于掛號的電子郵件的反釣魚機制及其系統(tǒng)���。如圖1所示�,反釣魚郵件系統(tǒng)主要有三部分組成���,分別是郵件地址注冊認證子系統(tǒng)��、郵件簽名登記子系統(tǒng)以及郵件簽名查詢子系統(tǒng)�����。本發(fā)明中��,掛號指每次發(fā)送電子郵件的時候���,郵件發(fā)送方把郵件信息在反釣魚郵件系統(tǒng)進行登記,登記成功后再進行發(fā)送��,收件方收到郵件后再進行查詢認證的過程���。
[0033]步驟一:電子郵件地址的注冊和認證
[0034]郵件發(fā)送用戶首先使用用戶終端把自己使用的電子郵件在郵件地址注冊認證子系統(tǒng)進行登記和認證�����。郵件地址的注冊和認證可以通過如下方式:
[0035]1���、郵件發(fā)送用戶向反釣魚郵件系統(tǒng)注冊成為用戶,并向地址注冊認證子系統(tǒng)提交電子郵件地址�;
[0036]2、郵件地址注冊認證子系統(tǒng)向該電子郵件地址發(fā)送注冊確認碼及其鏈接�;
[0037]3�、郵件發(fā)送用戶通過電子郵件信箱收到的注冊確認碼及其鏈接�,在郵件地址注冊認證子系統(tǒng)進行電子郵件信息注冊;
[0038]4�����、郵件地址注冊認證子系統(tǒng)確認電子郵件地址的注冊信息��,并向郵件發(fā)送用戶發(fā)送該電子郵件注冊成功的信息��。
[0039]5��、郵件地址注冊認證子系統(tǒng)會定期向注冊的電子郵件地址發(fā)送電子郵件地址注冊的用戶信息�,提示用戶,如果信息有誤����,請及時進行更改或解除與該用戶綁定。
[0040]步驟二:電子郵件的掛號及發(fā)送
[0041]郵件發(fā)送用戶使用簽名生成器把要發(fā)送的電子郵件信息生成電子郵件簽名����。郵件發(fā)送用戶可以使用安全的方式把該信息的簽名在郵件簽名登記子系統(tǒng)進行登記。郵件簽名的登記可以利用登記在反釣魚郵件系統(tǒng)的秘鑰對信息中的私鑰對簽名進行加密(可以在反釣魚郵件系統(tǒng)中設(shè)置單獨的存儲模塊����,用于存儲秘鑰對信息)�,把加密的信息通過如下方式進行傳送:
[0042]1�����、郵件發(fā)送用戶利用簽名中的電子郵件地址向反釣魚郵件系統(tǒng)發(fā)送加密的簽名以及發(fā)件人��、收件人�、發(fā)送日期信息��,也可以通過登錄系統(tǒng)��,直接添加簽名以及發(fā)件人��、收件人���、發(fā)送日期信息�����。
[0043]2��、反釣魚郵件系統(tǒng)的郵件簽名登記子系統(tǒng)收到加密的簽名后�����,利用郵件發(fā)送用戶在系統(tǒng)里存儲的公鑰進行解密�,并把該簽名信息存放在反釣魚郵件系統(tǒng)里。
[0044]3���、如果某封郵件的發(fā)件人�、收件人�、發(fā)送日期信息和簽名信息儲存成功且簽名信息核對無誤,證明掛號成功���。反釣魚郵件系統(tǒng)向郵件發(fā)送用戶確認該郵件簽名掛號成功���,并向其發(fā)送確認碼。確認碼可以加密�����,也可以不加密����,為了安全,一般都建議加密����。
[0045]4����、郵件發(fā)送用戶收到確認碼和信息掛號成功信息之后�,利用發(fā)件終端向郵件接收者發(fā)送該封電子郵件。郵件發(fā)送用戶也可以登錄系統(tǒng)�����,直接查看簽名��。該封電子郵件頭的信息中將含有如下字段信息:
[0046]X-registered:Yes
[0047]X-confirmat1n-No:2015042286400ABCiexample.comffetResZx
[0048]上述X-registered是需要在郵件頭中新增加的字段��。默認值是No��,表示該信息未掛號��。如果掛號成功���,值顯示是Yes。新增的X-confirmat1n-No是反釣魚郵件系統(tǒng)給掛號成功后的郵件信息賦予的確認碼�����。X-registered和X_conf irmat1n-No字段也可以采用其他的名字命名。
[0049]圖2為確認碼的格式組成��,包括表示年的字段���、表示月日的字段����、表示時的字段�、表示郵件地址的字段、表示隨機數(shù)的字段�。
[0050]步驟三:電子郵件的接收及驗證
[0051]郵件接收者收到該封電子郵件后,通過收件終端查看電子郵件頭信息�����,發(fā)現(xiàn)該收到的郵件是掛號郵件����。郵件接收者使用收到的郵件的信息,由簽名生成器利用發(fā)件人�����、收件人���、發(fā)送日期和郵件內(nèi)容生成簽名���。郵件接收者的用戶向郵件簽名查詢子系統(tǒng)�����,提交發(fā)件人�、收件人����、發(fā)送日期����、確認碼和簽名信息后,由郵件簽名查詢子系統(tǒng)向用戶顯示該郵件是否掛號(即是否已登記)�,如已經(jīng)掛號,郵件核心信息是否被篡改�。如果確認該郵件已經(jīng)掛號,但是系統(tǒng)提示掛號信息有誤�����,將提示郵件接收者����,該郵件可能是非法釣魚郵件�����,從而避免造成不必要的損失����。
[0052]郵件發(fā)送者用戶也可以通過短信或者電話等其他方式告訴郵件接收者�,某封郵件是掛號郵件,可以向特定的反釣魚郵件系統(tǒng)進行查詢�����。如果郵件接收者用戶查詢出現(xiàn)錯誤���,表明所收到的郵件是非法的釣魚郵件�。
[0053]本發(fā)明中的簽名生成器�,主要對特定的郵件信息生成簽名,具體的輸入和輸出信息如圖3所示��。其中�����,輸入包括:郵件發(fā)件人,為不超過256為的UNICODE字符表示的郵件地址���;郵件收件人��,為不超過256為的UNICODE字符表示的郵件地址��;郵件發(fā)送日期���,為8位數(shù)字字符表示的年月日;郵件內(nèi)容�,用不定長的UNICODE字符表示。簽名生成器的輸出為用128位ASCII字符表示的郵件簽名����。
[0054]下面提供一個具體應(yīng)用實例�����,具體包括如下步驟:
[0055]I)張三通過用戶終端向郵件地址注冊認證子系統(tǒng)����,先注冊用戶名為zhangsan,密碼是:examplepass��,然后在該用戶名下注冊ABCiexample.電子郵件地址,系統(tǒng)向該地址發(fā)送確認碼及其鏈接:https://mm.emailregistercenter.0rg.cn/mailman/conf irm/ua-1nternat1nal/eebl5el270c0ca233e60073250c8ad2531a07dfa石角認碼是 eeb15el270c0ca233e60073250c8ad2531a07dfa
[0056]張三用戶通過