一种电子邮件的反钓鱼系统及方法
【技术领域】
[0001]本发明属于信息安全技术领域,具体涉及一种电子邮件的反钓鱼系统及方法。
【背景技术】
[0002]电子邮件已经诞生四十多年,已经成为日常生活和工作的主要交流工具之一。每天有数亿封的电子邮件在网络上发送。电子邮件给工作和生活带来方便的同时,也给不乏分子利用电子邮件进行钓鱼提供了机会。
[0003]域名秘钥识别技术标准(DKM)试图解决电子邮件的冒用问题。DKM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,电子邮件收件人则可以使用签名来证实邮件确实来自该域名。由于冒充电子邮件发件服务器通常不会在邮件里用上任何DKIM信息,因此收件服务器并不知道,发件方是否使用了 DKIM技术。DKIM只是针对每个域名发放公钥,无法针对基于这个域名的千千万万个的单个用户发放公钥,因此无法针对单独个人用户进行认证。DKIM技术已经部署8年多,但是互联网的欺诈钓鱼邮件依然盛行,DKIM技术没有从本质上解决电子邮件的来源身份可信冋题。
[0004]具体来说,目前邮件发送中存在如下问题:
[0005]I)由于电子邮件技术协议RFC2821的安全缺陷,邮件的信息可以被发送邮件服务器以及任何中间服务器或者收件服务器进行修改,导致匿名邮件或者冒名顶替的钓鱼邮件盛行;
[0006]2)开放式的域名系统DNS目前本身比较脆弱,容易受到域名劫持,从而使攻击者有机会替换存在DNS里DKM的公钥,从而使DKM系统失效;
[0007]3) DKM是基于域名的认证而不是整个电子邮件地址的认证。签名是由域名的管理者控制而不是单独的邮件用户。无法针对个人用户进行个性化服务;
[0008]4)目前已经有的DKM技术必须在邮件服务器端进行部署,部署成本高。
【发明内容】
[0009]本发明为了解决电子邮件的内容可信和地址可信问题,提供一种电子邮件的反钓鱼系统及方法。使用该技术后,能确保发件人的电子邮件地址就是其宣称的真实的发件人电子邮件地址;能确保发件人的电子邮件内容就是其表达的邮件内容,并没有被中间人进行任何更改。比如,淘宝的邮件确实来自淘宝,工商银行的邮件确实来自工商银行。
[0010]为实现上述目的,本发明采用的技术方案如下:
[0011]一种反钓鱼邮件系统,其包括:
[0012]邮件地址注册认证子系统,用于注册用户的电子邮件地址;
[0013]邮件签名登记子系统,用于登记用户对要发送的电子邮件信息生成的签名;
[0014]邮件签名查询子系统,用于在邮件接收者收到电子邮件后,供邮件接收者查询该邮件是否已登记,以判别该邮件是否为非法的钓鱼邮件。
[0015]一种采用上述系统的电子邮件的反钓鱼方法,其步骤包括:
[0016]I)邮件发送用户将其使用的电子邮件地址在邮件地址注册认证子系统进行注
ΠΠ.册;
[0017]2)邮件发送用户使用签名生成器对要发送的电子邮件信息生成签名,并使用安全的方式把生成的签名在邮件签名登记子系统进行登记,登记成功后向邮件接收者发送电子邮件,并在该电子邮件的邮件头中增加字段表示是否已登记;
[0018]3)邮件接收者收到电子邮件后,使用签名生成器生成签名,并通过邮件签名查询子系统查询该邮件是否已登记,然后与该邮件的邮件头中表示是否已登记的信息进行比对,以判别该邮件是否为非法的钓鱼邮件。
[0019]进一步地,步骤2)所述邮件头中含有如下字段信息:
[0020]X-registered,是新增加的字段,其默认值是No,表示该信息未登记,如果登记成功则其值为Yes ;
[0021]X-confirmat1n-No,是给登记成功后的邮件信息赋予的确认码,包括表示年的字段、表示月日的字段、表示时的字段、表示邮件地址的字段、表示随机数的字段。
[0022]进一步地,所述签名生成器的输入包括:邮件发件人,为不超过256为的UNICODE字符表示的邮件地址;邮件收件人,为不超过256为的UNICODE字符表示的邮件地址;邮件发送日期,为8位数字字符表示的年月日;邮件内容,用不定长的UNICODE字符表示;所述签名生成器的输出为用128位ASCII字符表示的邮件签名。
[0023]与现有技术相比,本发明的有益效果如下:
[0024]I)本发明中的反钓鱼邮件系统针对电子邮件技术协议RFC2821的安全缺陷,对邮件核心信息的篡改能够及时发现,并能够及时识别冒充真实发信人的钓鱼邮件。
[0025]2)本发明不使用DNS来存储秘钥签名信息,使用集中可控的系统存储秘钥签名。存储管理可以针对每个邮件发送用户的每个信息进行登记认证查询。
[0026]3)本发明针对每个单独的邮件发送用户,可以进行个性化的安全服务,并使邮件地址可以关联更多的邮件发送用户可信信息。
[0027]4)本发明不需要在邮件服务器进行部署。邮件客户端做简单的升级后就可以使用本发明中的技术,非常大的减少了部署成本。
【附图说明】
[0028]图1是本发明的反钓鱼邮件系统的组成示意图。
[0029]图2是实施例中确认码的格式示意图。
[0030]图3是实施例中签名生成器的输入输出示意图。
【具体实施方式】
[0031]为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
[0032]本发明提供了一种基于挂号的电子邮件的反钓鱼机制及其系统。如图1所示,反钓鱼邮件系统主要有三部分组成,分别是邮件地址注册认证子系统、邮件签名登记子系统以及邮件签名查询子系统。本发明中,挂号指每次发送电子邮件的时候,邮件发送方把邮件信息在反钓鱼邮件系统进行登记,登记成功后再进行发送,收件方收到邮件后再进行查询认证的过程。
[0033]步骤一:电子邮件地址的注册和认证
[0034]邮件发送用户首先使用用户终端把自己使用的电子邮件在邮件地址注册认证子系统进行登记和认证。邮件地址的注册和认证可以通过如下方式:
[0035]1、邮件发送用户向反钓鱼邮件系统注册成为用户,并向地址注册认证子系统提交电子邮件地址;
[0036]2、邮件地址注册认证子系统向该电子邮件地址发送注册确认码及其链接;
[0037]3、邮件发送用户通过电子邮件信箱收到的注册确认码及其链接,在邮件地址注册认证子系统进行电子邮件信息注册;
[0038]4、邮件地址注册认证子系统确认电子邮件地址的注册信息,并向邮件发送用户发送该电子邮件注册成功的信息。
[0039]5、邮件地址注册认证子系统会定期向注册的电子邮件地址发送电子邮件地址注册的用户信息,提示用户,如果信息有误,请及时进行更改或解除与该用户绑定。
[0040]步骤二:电子邮件的挂号及发送
[0041]邮件发送用户使用签名生成器把要发送的电子邮件信息生成电子邮件签名。邮件发送用户可以使用安全的方式把该信息的签名在邮件签名登记子系统进行登记。邮件签名的登记可以利用登记在反钓鱼邮件系统的秘钥对信息中的私钥对签名进行加密(可以在反钓鱼邮件系统中设置单独的存储模块,用于存储秘钥对信息),把加密的信息通过如下方式进行传送:
[0042]1、邮件发送用户利用签名中的电子邮件地址向反钓鱼邮件系统发送加密的签名以及发件人、收件人、发送日期信息,也可以通过登录系统,直接添加签名以及发件人、收件人、发送日期信息。
[0043]2、反钓鱼邮件系统的邮件签名登记子系统收到加密的签名后,利用邮件发送用户在系统里存储的公钥进行解密,并把该签名信息存放在反钓鱼邮件系统里。
[0044]3、如果某封邮件的发件人、收件人、发送日期信息和签名信息储存成功且签名信息核对无误,证明挂号成功。反钓鱼邮件系统向邮件发送用户确认该邮件签名挂号成功,并向其发送确认码。确认码可以加密,也可以不加密,为了安全,一般都建议加密。
[0045]4、邮件发送用户收到确认码和信息挂号成功信息之后,利用发件终端向邮件接收者发送该封电子邮件。邮件发送用户也可以登录系统,直接查看签名。该封电子邮件头的信息中将含有如下字段信息:
[0046]X-registered:Yes
[0047]X-confirmat1n-No:2015042286400ABCiexample.comffetResZx
[0048]上述X-registered是需要在邮件头中新增加的字段。默认值是No,表示该信息未挂号。如果挂号成功,值显示是Yes。新增的X-confirmat1n-No是反钓鱼邮件系统给挂号成功后的邮件信息赋予的确认码。X-registered和X_conf irmat1n-No字段也可以采用其他的名字命名。
[0049]图2为确认码的格式组成,包括表示年的字段、表示月日的字段、表示时的字段、表示邮件地址的字段、表示随机数的字段。
[0050]步骤三:电子邮件的接收及验证
[0051]邮件接收者收到该封电子邮件后,通过收件终端查看电子邮件头信息,发现该收到的邮件是挂号邮件。邮件接收者使用收到的邮件的信息,由签名生成器利用发件人、收件人、发送日期和邮件内容生成签名。邮件接收者的用户向邮件签名查询子系统,提交发件人、收件人、发送日期、确认码和签名信息后,由邮件签名查询子系统向用户显示该邮件是否挂号(即是否已登记),如已经挂号,邮件核心信息是否被篡改。如果确认该邮件已经挂号,但是系统提示挂号信息有误,将提示邮件接收者,该邮件可能是非法钓鱼邮件,从而避免造成不必要的损失。
[0052]邮件发送者用户也可以通过短信或者电话等其他方式告诉邮件接收者,某封邮件是挂号邮件,可以向特定的反钓鱼邮件系统进行查询。如果邮件接收者用户查询出现错误,表明所收到的邮件是非法的钓鱼邮件。
[0053]本发明中的签名生成器,主要对特定的邮件信息生成签名,具体的输入和输出信息如图3所示。其中,输入包括:邮件发件人,为不超过256为的UNICODE字符表示的邮件地址;邮件收件人,为不超过256为的UNICODE字符表示的邮件地址;邮件发送日期,为8位数字字符表示的年月日;邮件内容,用不定长的UNICODE字符表示。签名生成器的输出为用128位ASCII字符表示的邮件签名。
[0054]下面提供一个具体应用实例,具体包括如下步骤:
[0055]I)张三通过用户终端向邮件地址注册认证子系统,先注册用户名为zhangsan,密码是:examplepass,然后在该用户名下注册ABCiexample.电子邮件地址,系统向该地址发送确认码及其链接:https://mm.emailregistercenter.0rg.cn/mailman/conf irm/ua-1nternat1nal/eebl5el270c0ca233e60073250c8ad2531a07dfa石角认码是 eeb15el270c0ca233e60073250c8ad2531a07dfa
[0056]张三用户通过