1、基于IBC的安全电子邮件,2014年5月18日,目 录,2,IBC安全电子邮件解决方案,邮件安全分析,1,3,案例介绍,电子邮件安全形式十分严峻,斯诺登爆料: “棱镜”监控入侵中国电信运营商,利用强大的电缆网络资源监控中国SMS短信、电子邮件等内容。,棱镜门 PRISM,部分泄密事件,2009年联合国气候大会前IPCC邮件泄密 2010年Stratfor邮箱泄密 2011年新闻集团邮箱泄密 2011年HBGary Federal企业邮箱泄密 2012年叙利亚总统邮箱泄密等等事件 2011年10月,某省某重要部门的博士工作电脑被境外情治机关控制,通过控制机器的邮件系统将我省重要的地理信息数据泄漏
2、 2012年8月,某省某高校教授邮件被某境外情治机关控制,通过通讯录群发大量的钓鱼邮件,获取了大量科研成果和论文 2013年8月,某省某重要部门工作人员邮箱被某境外情治机关控制,向境外转发了包括文电处、会议处、秘书处、督查室、纪检监察室等部门的工作总结汇编 2014年,华为邮箱被爆监控、泄密,电子邮件泄密的主要原因,明文存储和传输 在服务器存储明文 传输过程明文 弱口令认证 系统漏洞 应用系统脆弱 监管乏力 保密、公安、通管、安全目前都缺乏关于电子邮件的安全监管 安全短板,易于突破 极易分析出用户真实的社会身份和社会关系,并以此为跳板进行攻击,国家政策,正在制定安全电子邮件标准2013年发改委
3、信息安全专项指定要开始加密邮件试点,普通解决方案,方案之一:口令保护 极易被猜测、字典攻击; 无密码技术保护或密钥产生、分发不符安规; 如每次变化口令,也需要每次用其他方式通知对方,普通解决方案,方案之二:SSL 协议(https、smtps、pop3s) 解决部分安全 可解决部分通道安全 弱身份认证 多为单向认证,不能防止中间人攻击 邮件服务器明文存放不安全 到其他服务器传输也是明文方式,同样可被拦截,普通解决方案,方案之三:PKI/CA证书方式 常见应用方式PGP 解决安全问题,但不易使用 通讯双方都必须申请证书 发送邮件之前必须有对方证书并验证 外发给没有证书的收件人则不可加密 私钥在客
4、户端,难以实现云端加密、解密 不能很好的支持智能终端,基于PKI/CA的邮件加密过程,,CA,,,Alice to Job,目 录,2,IBC安全电子邮件解决方案,邮件安全分析,1,3,案例介绍,IBC简介,为了降低公开密钥系统中密钥和证书管理的复杂性,以色列科学家、RSA算法发明人之一Adi Shamir 在1984年提出了IBC(Identity-Based Cryptography)的设计理念:将用户的唯一标识(如邮件地址、手机号等)作为公钥,省略了传统PKI体系中需要频繁交换/验证数字证书过程,使得安全系统的升级变得易于部署和管理。 2001找到数学证明方法并逐级开始标准制定。 二进制
5、bit大数密钥对比IBC密钥。,30 81 89 92 e1 f0 9b s2 00 11 n8 86 t1 66 12 66 06 r4 45 cc t3 80 76 d1 e7 61 z8 51 09 22 b0 30 81 f0 9b t3 80 22 87 d2 4u 79 41 g2 9i 71 2d b4 9v 11 0e 30 81 f0 9b,或,,13600419278,IBC的邮件加密过程,,密码中心,,Alice to Job,IBC的加密过程,,,密码中心,IBC简介:国内情况,我国政府也非常重视标识密码技术的推广应用 2007年12月国家IBC标准正式通过了评审 20
6、08年IBC算法正式获得国家密码管理局颁发的商密算法型号:SM9(商密九号算法),IBC简介:国外情况,Voltage IBE邮件保护:已经分发50M标识私钥(2008年) Wells Fargo ING Canada Boston Medical Center IBE+FPE信用卡记录端到端的保护: 约50% Heartland 大量的OEM Microsoft、McAfee、Proofpoint、Sendmail 趋势科技 IBE邮件保护 SecureCloud(安全云) 传感器网络(物联网) 非交互的标识密钥协议保护数据,ATmegal,TelosB-Tmote,Imote2 阿尔卡特朗
7、讯 & CESG 3G多媒体层安全保护(cakulev-mikey-ibake-06/),5款系统(硬件、云),3大类中间件,2款客户端软件,1款控件,邮件系统,密码生成与管理(IBC平台与KGC密码机),WEB收发加密(邮件加密机),安全中间件,POP/SMTP/IMAP进出邮件加密(邮件网关),边界防护(防病毒、反垃圾、IDS等),异常数据、行为监测(邮件探针网关),零客户端解密,普通客户端,插件,专用客户端、USBKEY,各厂家APP端,客户端安全中间件,浏览器,身份认证安全控件,IBC安全电子邮件解决方案,部署网络拓扑图,效果演示1: Web收发,基于浏览器收发 不改变原来使用习惯 阅
8、读时点解密邮件即可 支持各种浏览器 支持各种智能终端,效果演示2:客户端加密,特色 本地存储加密 端对端加密,第三方接收人也可使用 Outlook使用插件方式 支持Windows 支持Android,效果演示3:加密邮件网关,特色 支持设定策略 支持端对端部署 策略:外网发送来自动加密 策略:发到外网则自动解密发送,效果演示4:云端解密功能,发送到他网邮箱 ZDM功能:收件人零客户端解密。无需安装任何插件,浏览器解密查看。,方案特色,目 录,2,IBC安全电子邮件解决方案,邮件安全分析,1,3,案例介绍,成功案例,国家电子政务外网(云部署),成功案例,国家发改委互联网邮箱系统 物理机+云部署
9、支持原CA、支持数据导入,成功案例,山东重汽,中国最大的重型汽车生产基地 接近10000用户 使用WEBmail收发加密、解密 OMAIL客户端 Outlook(插件),平均每日收发(在加密邮件网关统计):SMTP:1137 POP:1910; IMAP:1925 邮件流量约10-15Mbps 垃圾邮件为正常邮件的5倍(在防垃圾邮件网关统计),成功案例,上海征信中心,中国人民银行征信中心上海生产中心互联网安全邮件系统 用户数:约7000人 配置:IBC平台、密码机、加密机、亿邮系统、防垃圾邮件网关,优势一:安全易用,基于云端方式,无需申请、查询、验证对方公钥证书,提供SDK易于升级 不改变用户
10、使用习惯 自主可控系统,全过程保护邮件安全 邮件在存储和传递过程都可以保持加密状态 采用中国国家密码管理局标准算法,获得国密鉴定 符合已拟定的信息安全技术-电子邮件系统安全技术要求标准,优势二:全面/完整,提供云端解密方案 提供全系统、完整解决方案 支持各类邮件终端(B/S、C/S) 支持移动终端 支持外域零客户端解密,优势三:先进/经济,先进性 使用采用国际、国内邮件安全最新研究成果,能够适应未来的技术发展 趋势标识密码安全邮件应用已是国际趋势,微软、趋势、迈克菲、Proofpoint、Sendmail、Voltage等公司均采用标识密码技术 经济性,节约总体拥有成本 显性成本:部署、使用、维护、培训、中心管理. 隐性成本:申请、审核、时间等待.,Thank You! 谢谢!,
