防泄密邮件安全卡及其泄密邮件检测方法

摘要

一种防泄密邮件安全卡及其泄密邮件检测方法，属计算机网络信息安全技术。该安全卡包括网络主处理模块和数据协处理模块，网络主处理模块包括主处理器，第一Flash存储器

说明书

技术领域

本发明属于计算机网络与信息安全领域。特别是网络信息安全。

背景技术

目前，SMTP(Simple Mail Transfer Protocol)协议是最为流行的电子邮件传输协议，绝大部分的邮件服务器和邮件网关产品都以SMTP为主要邮件传输协议。然而，SMTP协议存在一些致命的缺陷，如SMTP进行明文传输，信件正文内容极易被监听和窃取，造成内容泄密。因此出现了ESMTP(Extended SMTP)协议，对标准SMTP协议进行了扩展。它与SMTP协议的区别是：使用SMTP发信时不需要验证用户帐户，但使用ESMTP发信时，服务器会要求用户提供用户名和密码以便验证身份。但验证之后的邮件发送过程基本与SMTP方式相同，因此还不能完全解决安全问题。S/MIME(Secure/Multipurpose Internet Mail Extensions)协议的出现，解决了邮件正文加密传输的问题，在一定程度上提高了邮件的安全性和保密性。但S/MIME协议的改进对于原有的基于SMTP/ESMTP协议的会话过程的安全性没有任何改善，发件人地址和收件人地址等重要信息仍能轻易地被监听和还原。由于电子邮件相关协议的先天不足，造成了很多电子邮件安全漏洞问题，特别是系统内部别有用心的人通过电子邮件造成的信息泄露事件已给一些军工企事业单位和国家造成了严重的损失。因此，我们采用计算机硬件技术、网络技术、信息安全和人工智能技术，提出了一种防泄密邮件安全卡及其泄密邮件检测方法，可解决电子邮件泄密问题。

发明内容

旨在解决各类涉密企事业单位、军队、政府等领域的专网中电子邮件安全保密问题，为提高专网中邮件系统的信息安全防御能力，设计并研发防泄密邮件安全卡。为实现电子邮件系统的安全保密提供一种有效的方法和技术支持。

一种防泄密邮件安全卡，其特征在于包括网络主处理模块和数据协处理模块，两者通过PCI总线相连，

所述网络主处理模块包括主处理器，第一Flash存储器₁、第一内存₁、第一串口控制器₁、第一网络控制器₁和第二网络控制器₂，其中主处理器与PCI总线双向相连，主处理器通过与PCI总线相连的局部总线分别与第一Flash存储器、第一内存₁、第一串口控制器₁双向相连，主处理器还分别与第一网络控制器₁和第二网络控制器₂双向相连；

所述数据协处理模块包括并行工作的第一协处理器₁和第二协处理器₂、第二Flash存储器₂、第二内存₂、第二串口控制器₂，第一、第二两个协处理器通过与PCI总线相连的局部总线分别与第二Flash存储器₂、第二内存₂、第二串口控制器₂双向相连，并行工作的第一、第二两个协处理器通过数据总线、总线控制仲裁双向相连，并与地址总线相互连接。

泄密邮件检测方法，其特征在于包括邮件内容保密检测和邮件路径保密检测，具体步骤是：

第一步：首先要对读入的邮件进行正文和附件的还原和解析，邮件还原首先要实现对Base64、QP编码方式邮件的解码与还原，其次是邮件附件的解析，实现对邮件附件内容的解码、还原，并提取正文；    

第二步：进行邮件信息保密等级判定，根据保密等级敏感词库对邮件进行扫描，判断邮件保密性等级，同时判断收件人和发件人是否同处于相同的安全域；

第三步：进行邮件路径安全检测，对邮件进行基于用户等级的防泄密扫描，对发件人比收件人用户部门密级高的邮件，根据路径过滤敏感词库进行是否泄密判定；

邮件内容保密检测包括第四步基于规则的防泄密检测和第五步基于算法的防泄密检测：

第四步：基于规则的防泄密检测是根据防泄密扫描规则库进行邮件正文和附件内容的防泄密检测，检测规则主要由关键字、位置和关系三部分构成，其中位置字段包括会话信息、邮件头、邮件正文和邮件附件四个部分，会话信息是指邮件会话时需要的SMTP协议的命令字段：mail from，rcpt to；邮件头是指位于邮件头部的信息，由说明邮件基本信息的若干字段的组合；邮件附件包括邮件附件名称、附件类型和附件内容三个部分。关系字段是指关键字与邮件的关系，分为包含和等于两种关系；

第五步：基于算法的防泄密检测是对规则库的扩展，通过改进Bayes和Winnow算法发现疑似泄密邮件；

第六步：对所有泄密邮件和疑似泄密邮件进行主动阻断处理并做相关记录；

第七步：对被阻截的疑似泄密邮件进行人工审计；

第八步：确认为泄密的邮件发报警信号，并自动生成两种证据：投递证据和提交证据。

附图说明

图1防泄密邮件安全卡组成原理图

图2网络主处理模块组成示意图

图3网络主处理模块流程图

图4数据协处理模块组成示意图

图5与总线控制仲裁相关的控制信号示意图

图6防泄密邮件检测步骤与相关处理流程图

具体实施方式

本发明共包含二个方面的内容：提出了一种防泄密邮件安全卡，包括网络主处理模块和数据协处理模块；提出了一种泄密邮件检测方法，并设计了相应的防泄密邮件检测处理流程。

防泄密邮件安全卡

防泄密邮件安全卡的原理如图1所示。邮件处理任务可分为两类：控制层面任务和数据层面任务。若控制层任务和数据层任务都采用主处理器来处理，将影响邮件处理效率，导致系统性能的下降。所以设计时将控制层面任务和数据层面任务分开处理。分别由网络主处理模块和数据协处理模块两部分组成。网络主处理模块处理邮件包的接收、转发、安全策略协商等控制层面任务；数据协处理模块处理邮件正文还原、附件还原和解析、防泄密邮件安全检测、泄密邮件证据生成等数据层面任务。网络主处理模块和数据协处理模块采用PCI总线连接，防泄密安全卡和宿主机也通过PCI总线相连。

防泄密邮件安全卡主处理模块的逻辑结构如图2所示。包括主处理器、内存、网络接口和PCI接口等，具体由下列器件组成：主处理器MPC8533E芯片、512M W的Flash存储器₁s29G1512n10TF101芯片、EEPROM存储器₁25AA256芯片、2G DDR2 SDRAM内存₁K4T1G164QQ芯片、2个独立的1000M WAN以太网控制器88E1111芯片等。

在图2中：a)主处理器模块用来控制系统的运行，协调系统各功能模块的工作，处理邮件控制层面的任务。b)FLASH中保存了防泄密邮件安全卡中控制层面的核心代码，控制流程如图3所示。包括处理邮件数据包的接收、重组、数据包转发等任务。c)在主处理模块中从接收到的网络数据包中提取出邮件数据包，并通过PCI接口送至协处理器进行防泄密检测。d)网络控制器模块从网络中接收数据，交给主处理器处理，并将处理完后的数据即时发送出去e)PCI总线接口模块的控制核心由2个32位的33MH z/66MHz PCI Slot组成，PCI总线实现系统功能的扩展，实现网络主处理模块和数据协处理模块之间的数据交换功能。f)EEPROM存储器用于系统自举和出错处理。

主处理器MPC8533E是系统的核心处理和控制部件。它采用双e500内核，提供一个双精度浮点运算辅助处理单元(APU)，容量256K的高速二级缓存，可集成具有TCP/IP加速和封包分类功能的三倍速以太网控制器10M/100M/1Gb，和一个DDR/DDR2 SDRAM存储控制器，可以达到高速处理网络数据的功能。满足了主干网防泄密邮件安全处理性能的需求，为系统的高速稳定运行提供了保障。根据图3网络主处理模块的邮件处理控制流程如下：a)初始化：主处理器MPC8533E在内存中开辟一片缓冲区用于存放防泄密检测待处理的邮件。b)网络数据包从RJ45接口输入，主处理器MPC8533E通过以太网控制单元(eTSEC)控制88E1111芯片将数据包接收送入网络主处理模块的SDRAM中；c)主处理器MPC8533E从网络数据包中识别并提取出所有电子邮件数据包，根据相应的协议栈还原邮件信息；其他类型的数据包不做处理直接转发。即截获所有电子邮件数据包。d)主处理器MPC8533E将缓冲区中的邮件数据包通过PCI接口送到数据协处理器模块解析和检测。e)根据数据协处理模块的检测结果，在主处理器MPC8533E的控制下，正常邮件由SDRAM传送至88E1111芯片，并通过与88E1111连接的RJ45接口发送出去；即实现了泄密邮件的主动阻断。

数据协处理模块主要用来处理邮件防泄密安全检测的数据层面任务，是防泄密邮件安全卡中邮件数据处理的核心功能模块，实现邮件正文还原、附件解析、防泄密检测以及泄密邮件证据生成等功能。结构如图4所示，数据协处理模块主要包括两块奔腾4/2.2MHz处理器芯片、一块内存₂DDR2 SDRAM K4T1G164QQ芯片、Flash存储器₂s29G1512n10TF101芯片、EEPROM₂25AA256芯片等。数据协处理模块的控制流程如图3右边所示：a)数据协处理模块通过PCI总线将需处理的邮件送至内存₂的缓冲区。b)在奔4处理器中首先进行邮件正文和附件的还原，然后进行防泄密检测。c)若判断为正常邮件，奔4处理器发正常信号给主处理模块。d)若为泄密邮件，奔4处理器将发送检测到泄密邮件的控制信号给网络主处理模块的主处理器，网络主处理模块将阻断泄密邮件的发送，并做进一步处理，同时泄密邮件的相关信息通过PCI接口存入宿主机的相关数据库。

数据协处理模块核心为两片奔腾4处理器，这两片处理器自制并行工作，任一处理器只要处于空闲状态就会到内存₂的缓冲区中读取待处理邮件，进行邮件信息的解析、防泄密检测等一系列相关处理，并将处理后的结果返回给网络主处理模块。两片奔腾处理器通过总线仲裁机制来控制内部总线的使用权，解决并行工作时的总线争用问题。每个协处理器各有一条总线请求信号线和一条总线忙信号线输出到总线控制仲裁部件，又各有一条总线可用信号线，如图5所示。由硬件物理连接决定协处理器1的优先级高于协处理器2。总线控制仲裁的控制逻辑为：

总线请求＝总线请求₁∨总线请求₂

总线可用₁＝总线忙∧总线请求₁

总线可用₂＝总线可用₁∧总线请求₂∧总线请求₁

即：任意处理器一旦使用总线，将立刻输出总线忙信号。

泄密邮件检测方法

邮件防泄密检测应同时从两个方面对邮件是否泄密进行检测：“邮件内容保密检测”和“邮件路径保密检测”。防邮件泄密检测方法如图6所示，共分为八个步骤进行：首先要对读入的邮件进行正文和附件的还原和解析，邮件还原首先要实现对Base64、QP编码方式邮件的解码与还原，其次是邮件附件的解析，实现对邮件附件内容的解码、还原，并提取正文。第二步进行邮件信息保密等级判定，根据保密等级敏感词库对邮件进行扫描，判断邮件保密性等级，同时判断收件人和发件人是否同处于相同的安全域。第三步进行邮件路径安全检测，对邮件进行基于用户等级的防泄密扫描，对发件人比收件人用户部门密级高的邮件，根据路径过滤敏感词库进行是否泄密判定。邮件内容保密检测包括第四步和第五步：基于规则的防泄密检测和基于算法的防泄密检测两个方面。基于规则的防泄密检测是根据防泄密检测规则

库进行邮件正文和附件内容过滤。检测规则主要由关键字、位置和关系三部分构成。其中位置字段包括会话信息、邮件头、邮件正文和邮件附件四个部分，会话信息是指邮件会话时需要的SMTP协议的命令字段：mail from(发件人)，rcpt to(收件人)等。邮件头是指位于邮件头部的信息，由说明邮件基本信息的若干字段的组合，如subject字段(邮件的主题)等；邮件附件包括邮件附件名称、附件类型和附件内容三个部分。关系字段是指关键字与邮件的关系，分为包含和等于两种关系。基于算法的防泄密检测是对规则库的扩展，通过改进Bayes和Winnow算法发现疑似泄密邮件。第六步对所有泄密邮件和疑似泄密邮件进行主动阻断处理并做相关记录。第七步是对被阻截的疑似泄密邮件进行人工审计。第八步是对确认为泄密的邮件发报警信号，并自动生成两种证据：投递证据和提交证据。

最佳实施方式

该防泄密邮件安全卡可布置于普通PC机或支持PCI接口的各类服务器中，即插即用。

推荐配置为：CPU P4 2.0GHz内存1G以上。

防泄密邮件安全卡可采用2种配置方式：

(1)一体式：直接将本卡插入原网关服务器PCI卡槽，并将原网关服务器网线接入本卡网络接口。在此种配置方式下，防泄密安全卡和邮件服务器位于同一台机器，配置和运行十分方便。

(2)分离式：将防泄密安全卡插入任一台PC机，并将此PC机串联接入原邮件服务器网络，将网线接入防泄密安全卡的网络控制器₁的接口，同时从网络控制器₂接出网线至原邮件服务器，修改转发地址，即可配置完毕。此种方式最大的优点为：可保留原有邮件服务器之前的网关功能，如原有的反垃圾邮件网关等。

由错误！未找到引用源。可见：与安全卡配套的管理系统和综合数据库为上两层，部署在主机中；下五层部署在防泄密邮件安全卡上。