摘 要：基于公鑰體系結構（PKI）原理，設計了結合CA安全證書的Web Mail" title="Mail">Mail安全系統，并將PKI技術融入到系統各組成部分。一方面，利用智能卡安全身份認證" title="身份認證">身份認證技術，提供了一種安全便捷的身份認證模式；另一方面，應用了動態頁面關鍵信息提取技術，使得用戶數據在客戶端完成加解密操作，解決了公務郵件傳輸中的安全性和完整性問題。經過實驗環境的原型驗證，系統運轉良好。
　　關鍵詞：電子郵件；PKI；安全身份認證；關鍵信息加密

 　　電子郵件作為互聯網應用最廣泛的信息交流工具，已深入普及到人們的日常生活和工作當中。于是電子郵件的安全性日益成為互聯網行業和整個社會關注的問題，如何實現安全且易用的電子郵件系統，成為安全電子郵件應用的明確需求。
　　傳統電子郵件技術是一種安全性較差的信息傳輸技術。目前，因特網用戶所使用的絕大多數電子郵件系統中，基本沒有采取任何措施來保證電子郵件在網絡中安全傳送。電子郵件的內容以明文的形式在網絡中傳遞，使其面臨著被截獲、篡改、破壞的危險。
　　我國安全電子郵件應用的自主研究也在迅猛發展。服務提供商、產品廠商通過自己的努力，對安全電子郵件系統做出探索性的研制和推廣，并配合相關法規和制度不斷反饋和修訂，但都尚未形成公開的或權威的標準。為了解決應用層郵件的安全問題，需要設計易用的企業級安全郵件系統，具有集中管理用戶證書并進行后臺自動數據安全處理的機制，同時做到靈活和易集成。
　　經過廣泛的市場調研，基于非對稱密鑰加密理論，在傳統電子郵件系統中引入公共密鑰體系（PKI），通過CA安全認證、數字簽名和信息加密技術（對稱加密和非對稱加密）可以為電子郵件用戶提供以下安全服務：郵件發送方身份認證、郵件內容保密、郵件內容完整、郵件內容不可否認，從而實現安全易用的電子郵件系統[1]。
1 安全Web Mail系統總體設計
　　安全Web Mail系統總體分為4層，由基礎層、平臺層、應用層和客戶層組成，提供統一的整體服務，如圖1所示。底層是基礎層，提供整體系統的后臺基礎服務，包括標準電子郵件服務系統及其管理用戶信息的附屬目錄服務系統、CA證書服務系統。平臺層位于基礎層之上，包括Web服務器、應用服務器和數據庫服務器，符合Internet3層應用部署架構，為上層應用提供運行環境和數據存儲空間，為客戶端提供訪問接入響應。應用層位于平臺層之上，包含安全身份認證系統、網上證書受理系統、Web Mail系統以及企業用戶地址樹、系統后臺管理、單點登錄接口等應用服務，實現證書受理、身份認證、信息加解密、用戶管理和系統接口等各項安全Web Mail郵件功能。最上層是客戶層，包括客戶端瀏覽器及插件、用于安全認證的USB接口智能密鑰棒。

2 安全身份認證技術
2.1  身份認證安全設計
　　安全Web Mail郵件系統認證包括4個部分，即私鑰簽名、證書驗證、證書檢測、身份確認，主要完成對擁有證書的用戶進行身份認證的功能。
　　每個用戶擁有唯一一個密鑰棒，其中存儲代表用戶身份的數字證書和私鑰，用戶登錄系統時，在客戶端USB口插入智能密鑰棒，與遠程身份認證服務器通訊，由認證服務器驗證用戶的數字簽名完成對用戶身份的認證，并得到用戶的身份以及系統的授權信息[2-3]。采用智能密鑰棒進行身份認證，很好地結合了PKI體系和智能卡設備，使PKI體系具有了“移動”特征[4]。
　　設計中采用RSA＋SHA1作為安全Web Mail系統中身份認證的簽名算法，采用RSA作為數字信封的非對稱加密算法，采用國密標準的SDBI作為HASH算法[5]。
2.2  智能卡協調管理器
　　智能卡作為數字證書存儲介質，遵循國際標準協議(PKCS11)。為了屏蔽各類智能卡的差異，簡化應用系統的開發并增強系統的通用性，在原有各類智能卡接口函數的基礎上，推出CA系統智能卡協調管理器，統一了各個類型智能卡的接口。
　　智能卡協調管理器主要分為3部分：上層應用調用的組件、Windows智能卡資源管理接口和智能卡驅動程序。智能卡協調管理器就是中間調節作用的抽象層。智能卡協調管理器模型將智能卡廠商提供的應用接口與智能卡應用程序使用的接口隔離開。智能卡廠商提供的驅動程序發生變化或更新，對上層的智能卡應用程序沒有影響。
3  動態頁面關鍵信息提取技術
3.1  HTTP數據的獲取技術
　　IE就是一個包含許多其他COM組件的較大COM組件，可以訪問已經運行的IE實例，并從應用程序中獲得對IE的控制。
　　對一個與其客戶通信的COM對象來說，該對象必須支持一個或多個發出接口，支持發出接口的COM對象稱作可連接對象。要想有資格成為可連接對象，就必須實現Iconnection Point Container接口。發出接口實際上由客戶端來執行，并通過連接點插入COM對象。每次啟動新實例時，IE都會加載瀏覽器幫助者對象（BHO）所指定的一個動態鏈接庫（DLL），而此DLL能有效地與IE進行連接，獲知IE正在激發的事件。對于BHO下的每個CLSID，IE在與瀏覽器相同的進程空間調用CoCreateInstance，啟動BHO實例。如果BHO注冊了它的CLSID并執行了IobjectWithSit接口，那么IE就啟動BHO并傳遞指向IE的IwebBrowser接口指針，通過該接口指針，就能控制和接收來自IE的事件。
3.2  Web頁面關鍵信息提取技術
　　關鍵信息標記語言是對HTML的擴充。HTML腳本語言可以分為表現式語言和內容式語言。表現式語言主要完成顯示功能，如表格的標記