本发明专利技术涉及一种电子邮件的反钓鱼系统及方法。该系统包括邮件地址注册认证子系统、邮件签名登记子系统和邮件签名查询子系统。邮件发送用户将其使用的电子邮件地址在邮件地址注册认证子系统进行注册;邮件发送用户使用签名生成器对要发送的电子邮件信息生成签名,并使用安全的方式把生成的签名在邮件签名登记子系统进行登记,登记成功后向邮件接收者发送电子邮件,并在该电子邮件的邮件头中增加字段表示是否已登记;邮件接收者收到电子邮件后,使用签名生成器生成签名,并通过邮件签名查询子系统查询该邮件是否已登记,进而判别该邮件是否为非法的钓鱼邮件。本发明专利技术能够识别钓鱼邮件,确保电子邮件内容没有被进行任何更改。
【技术实现步骤摘要】
本专利技术属于信息安全
,具体涉及。
技术介绍
电子邮件已经诞生四十多年,已经成为日常生活和工作的主要交流工具之一。每天有数亿封的电子邮件在网络上发送。电子邮件给工作和生活带来方便的同时,也给不乏分子利用电子邮件进行钓鱼提供了机会。域名秘钥识别技术标准(DKM)试图解决电子邮件的冒用问题。DKM让企业可以把加密签名插入到发送的电子邮件中,然后把该签名与域名关联起来。签名随电子邮件一起传送,电子邮件收件人则可以使用签名来证实邮件确实来自该域名。由于冒充电子邮件发件服务器通常不会在邮件里用上任何DKIM信息,因此收件服务器并不知道,发件方是否使用了 DKIM技术。DKIM只是针对每个域名发放公钥,无法针对基于这个域名的千千万万个的单个用户发放公钥,因此无法针对单独个人用户进行认证。DKIM技术已经部署8年多,但是互联网的欺诈钓鱼邮件依然盛行,DKIM技术没有从本质上解决电子邮件的来源身份可信冋题。具体来说,目前邮件发送中存在如下问题:I)由于电子邮件技术协议RFC2821的安全缺陷,邮件的信息可以被发送邮件服务器以及任何中间服务器或者收件服务器进行修改,导致匿名邮件或者冒名顶替的钓鱼邮件盛行;2)开放式的域名系统DNS目前本身比较脆弱,容易受到域名劫持,从而使攻击者有机会替换存在DNS里DKM的公钥,从而使DKM系统失效;3) DKM是基于域名的认证而不是整个电子邮件地址的认证。签名是由域名的管理者控制而不是单独的邮件用户。无法针对个人用户进行个性化服务;4)目前已经有的DKM技术必须在邮件服务器端进行部署,部署成本高。
技术实现思路
本专利技术为了解决电子邮件的内容可信和地址可信问题,提供。使用该技术后,能确保发件人的电子邮件地址就是其宣称的真实的发件人电子邮件地址;能确保发件人的电子邮件内容就是其表达的邮件内容,并没有被中间人进行任何更改。比如,淘宝的邮件确实来自淘宝,工商银行的邮件确实来自工商银行。为实现上述目的,本专利技术采用的技术方案如下:一种反钓鱼邮件系统,其包括:邮件地址注册认证子系统,用于注册用户的电子邮件地址;邮件签名登记子系统,用于登记用户对要发送的电子邮件信息生成的签名;邮件签名查询子系统,用于在邮件接收者收到电子邮件后,供邮件接收者查询该邮件是否已登记,以判别该邮件是否为非法的钓鱼邮件。一种采用上述系统的电子邮件的反钓鱼方法,其步骤包括:I)邮件发送用户将其使用的电子邮件地址在邮件地址注册认证子系统进行注ΠΠ.册;2)邮件发送用户使用签名生成器对要发送的电子邮件信息生成签名,并使用安全的方式把生成的签名在邮件签名登记子系统进行登记,登记成功后向邮件接收者发送电子邮件,并在该电子邮件的邮件头中增加字段表示是否已登记;3)邮件接收者收到电子邮件后,使用签名生成器生成签名,并通过邮件签名查询子系统查询该邮件是否已登记,然后与该邮件的邮件头中表示是否已登记的信息进行比对,以判别该邮件是否为非法的钓鱼邮件。进一步地,步骤2)所述邮件头中含有如下字段信息:X-registered,是新增加的字段,其默认值是No,表示该信息未登记,如果登记成功则其值为Yes ;X-confirmat1n-No,是给登记成功后的邮件信息赋予的确认码,包括表示年的字段、表示月日的字段、表示时的字段、表示邮件地址的字段、表示随机数的字段。进一步地,所述签名生成器的输入包括:邮件发件人,为不超过256为的UNICODE字符表示的邮件地址;邮件收件人,为不超过256为的UNICODE字符表示的邮件地址;邮件发送日期,为8位数字字符表示的年月日;邮件内容,用不定长的UNICODE字符表示;所述签名生成器的输出为用128位ASCII字符表示的邮件签名。与现有技术相比,本专利技术的有益效果如下:I)本专利技术中的反钓鱼邮件系统针对电子邮件技术协议RFC2821的安全缺陷,对邮件核心信息的篡改能够及时发现,并能够及时识别冒充真实发信人的钓鱼邮件。2)本专利技术不使用DNS来存储秘钥签名信息,使用集中可控的系统存储秘钥签名。存储管理可以针对每个邮件发送用户的每个信息进行登记认证查询。3)本专利技术针对每个单独的邮件发送用户,可以进行个性化的安全服务,并使邮件地址可以关联更多的邮件发送用户可信信息。4)本专利技术不需要在邮件服务器进行部署。邮件客户端做简单的升级后就可以使用本专利技术中的技术,非常大的减少了部署成本。【附图说明】图1是本专利技术的反钓鱼邮件系统的组成示意图。图2是实施例中确认码的格式示意图。图3是实施例中签名生成器的输入输出示意图。【具体实施方式】为使本专利技术的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本专利技术做进一步说明。本专利技术提供了一种基于挂号的电子邮件的反钓鱼机制及其系统。如图1所示,反钓鱼邮件系统主要有三部分组成,分别是邮件地址注册认证子系统、邮件签名登记子系统以及邮件签名查询子系统。本专利技术中,挂号指每次发送电子邮件的时候,邮件发送方把邮件信息在反钓鱼邮件系统进行登记,登记成功后再进行发送,收件方收到邮件后再进行查询认证的过程。步骤一:电子邮件地址的注册和认证邮件发送用户首先使用用户终端把自己使用的电子邮件在邮件地址注册认证子系统进行登记和认证。邮件地址的注册和认证可以通过如下方式:1、邮件发送用户向反钓鱼邮件系统注册成为用户,并向地址注册认证子系统提交电子邮件地址;2、邮件地址注册认证子系统向该电子邮件地址发送注册确认码及其链接;3、邮件发送用户通过电子邮件信箱收到的注册确认码及其链接,在邮件地址注册认证子系统进行电子邮件信息注册;4、邮件地址注册认证子系统确认电子邮件地址的注册信息,并向邮件发送用户发送该电子邮件注册成功的信息。5、邮件地址注册认证子系统会定期向注册的电子邮件地址发送电子邮件地址注册的用户信息,提示用户,如果信息有误,请及时进行更改或解除与该用户绑定。步骤二:电子邮件的挂号及发送邮件发送用户使用签名生成器把要发送的电子邮件信息生成电子邮件签名。邮件发送用户可以使用安全的方式把该信息的签名在邮件签名登记子系统进行登记。邮件签名的登记可以利用登记在反钓鱼邮件系统的秘钥对信息中的私钥对签名进行加密(可以在反钓鱼邮件系统中设置单独的存储模块,用于存储秘钥对信息),把加密的信息通过如下方式进行传送:1、邮件发送用户利用签名中的电子邮件地址向反钓鱼邮件系统发送加密的签名以及发件人、收件人、发送日期信息,也可以通过登录系统,直接添加签名以及发件人、收件人、发送日期信息。2、反钓鱼邮件系统的邮件签名登记子系统收到加密的签名后,利用邮件发送用户在系统里存储的公钥进行解密,并把该签名信息存放在反钓鱼邮件系统里。3、如果某封邮件的发件人、收件人、发送日期信息和签名信息储存成功且签名信息核对无误,证明挂号成功。反钓鱼邮件系统向邮件发送用户确认该邮件签名挂号成功,并向其发送确认码。确认码可以加密,也可以不加密,为了安全,一般都建议加密。4、邮件发送用户收到确认码和信息挂号成功信息之后,利用发件终端向邮件接收者发送该封电子邮件。邮件发送用户也可以登录系统,直接查看签名。该封电子邮件头的信息中将含有如下字段信息:X-registered:YesX-confirmat1n-No:2015042286400ABC本文档来自技高网...
【技术保护点】
一种反钓鱼邮件系统,其特征在于,包括:邮件地址注册认证子系统,用于注册用户的电子邮件地址;邮件签名登记子系统,用于登记用户对要发送的电子邮件信息生成的签名;邮件签名查询子系统,用于在邮件接收者收到电子邮件后,供邮件接收者查询该邮件是否已登记,以判别该邮件是否为非法的钓鱼邮件。
【技术特征摘要】
【专利技术属性】
技术研发人员:姚健康,孔宁,李晓东,
申请(专利权)人:中国互联网络信息中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。