手机邮箱技术白皮书.docx
《手机邮箱技术白皮书.docx》由会员分享,可在线阅读,更多相关《手机邮箱技术白皮书.docx(21页珍藏版)》请在冰豆网上搜索。
手机邮箱技术白皮书
中国移动手机邮箱
技术白皮书
无限立通通讯技术有限责任公司
2007年1月
目录
1前言1
2手机邮箱业务简介2
3经济性分析4
3.1业务使用/功能费4
3.2邮件转发服务器软、硬件费用4
3.3手机终端费用4
3.4企业内部综合成本举例4
3.5中国移动手机邮箱与Blackberry成本比较8
4系统方案9
4.1手机邮箱系统结构9
4.2邮件代理网关(CEF)9
4.3手机邮箱业务界面示例——简便的操作性11
5安全方案13
5.1SSL通道加密方案13
5.2邮件代理网关CEF的系统安全策略13
5.3手机终端的安全策略14
5.4邮件服务器的安全策略14
5.5中国信息安全产品评测认证中心颁发的国家信息安全认证证书15
6业务流程16
6.1收邮件16
6.2发邮件17
6.3下载附件17
6.4回复邮件18
6.5转发不带附件的邮件18
6.6转发带附件的邮件18
7标准和规范20
8手机终端软件22
8.1客户端软件功能22
8.2客户端软件对附件的转换及支持方式22
8.3客户端软件界面实例23
8.4支持终端列表24
9系统负载压力26
9.1引言26
9.2带宽计算26
9.3测试概要26
9.4评价27
1前言
随着国内企业信息化的发展,对邮件的及时处理已经成为影响企业办公效率的重要环节。
PushEmail可以将急待处理的邮件推送到用户手机,进行阅读、回复、转发等操作。
同时,高科技企业员工、传统企业核心运营人员等所处理的邮件往往涉及商业秘密,这部分客户对PushEmail还有内容加密的需求。
本技术建议书对在四个方面对中国移动手机邮箱业务进行了详细介绍,包括:
技术方案、安全方案、经济分析和一系列技术说明等方面内容。
其中技术方案包括了业务特征、系统结构、业务流程、移动终端类型以及今后业务操作上的事项进行详细说明。
安全方案详细阐述了从企业代理服务器到手机终端,从邮件服务器到通道加密等方面的内容。
经济方案包括了业务收费模式和模块,基于不同用户数可能发生费用的分析。
技术说明包括标准和规范、系统负载压力测试结果等。
手机邮箱业务简介
中国移动手机邮箱业务,是将用户邮件主动推送到用户手机终端的全新移动数据业务。
它通过国家信息安全认证,是目前市场上唯一完全符合中国移动的移动邮件推送标准的PushEmail产品。
企业邮箱的用户通过推送邮件服务,可以随时随地使用自己的手机终端设备接收电子邮件。
一旦用户的邮箱有新邮件到达,用户可以立即使用其终端设备来阅读这封邮件及其附件相关内容。
图3-1手机邮箱网络结构图
本方案在中国移动安装邮件推送网关,在企业端安装邮件代理网关。
邮件代理网关通过POP3/WebDAV/MAPI协议或Lotus邮件同步查询注册用户企业邮件服务器的邮箱,当有新邮件到达时,邮件代理网关通过邮件推送网关发送EMN短信到手机终端,触发手机邮箱客户端,手机终端通过GPRS网络与邮件代理网关建立端到端的SSL加密连接,取得邮件。
当从手机终端发送邮件时,手机终端与邮件代理网关建立SSL加密连接,邮件代理网关通过SMTP协议将邮件传送给企业邮件服务器。
在邮件推送与发送的过程中,邮件代理网关只会将EMN短信发送到指定合法用户的手机终端;在加密连接建立过程中,邮件代理网关会检查用户手机终端密码,只有手机号与用户账户匹配、用户名与密码均合法的用户才能接收和发送邮件;其他任何用户都无法通过手机邮箱系统接收和发送邮件。
具体业务特征如下:
●手机用户通过加密方式接受邮件,邮件信息在从邮件代理网关到手机终端的传递过程中是端到端加密的。
●手机用户终端不需用户干预,自动建立与邮件代理网关的安全连接,并下载邮件,避免了用户下载邮件的等待时间。
●邮件下载完毕后,手机终端通知用户阅读新邮件。
●用户可以根据自身的需要,并根据终端设备的能力,设置相应的参数,控制接收和传递指定大小的电子邮件。
同时,用户可以控制是否接收邮件中附件的内容。
●手机用户可以回复、转发企业电子邮件,也可以撰写发送新的企业电子邮件。
回复、转发、撰写的企业电子邮件也是通过手机与企业之间的安全通道完成的。
详细技术内容请参见第5章系统方案。
2
系统方案
2.1手机邮箱系统结构
图3-1手机邮箱网络结构图
在企业端安装一台邮件代理网关服务器,与中国移动的邮件推送网关相连。
采用SSL通道加密的方式,将用户的邮件通过中国移动的GSM/GPRS网络,主动推送到安装有手机邮箱客户端的手机终端上。
从邮件代理网关至手机终端整个传输全程加密,数据不在任何第三方缓存,移动运营商也无法解密数据。
2.2
邮件代理网关
(1)概述
邮件代理网关部署在企业局域网内,与企业邮件服务器相连,随时获取邮件到达信息,并将邮件到达的消息传给邮件推送网关,从而将邮件主动推送至手机终端。
邮件代理网关加密缓存用户邮件,管理员可修改邮件缓存时间,默认为1个月。
(2)软件结构
邮件代理网关的软件包采用模块设计,每个模块单独运行,最大化的利用系统的资源。
并根据系统配置,模块间通过多种方式进行通信。
邮件代理网关软件模块图如下所示:
(3)邮件代理网关与企业邮件服务器的配合
邮件代理网关不需要企业邮件服务器作任何其他额外设置和改造,可以通过现有的邮件通信协议访问企业邮件服务器,接收和发送邮件。
邮件代理网关支持以下的协议访问企业邮件服务器:
●POP3/SMTP
●Lotus邮件同步
●MicrosoftExchangeMailAPI(MAPI)
●WebDAV
●企业邮件服务器自动前转新邮件到邮件代理网关(Forward方式)
支持的企业邮件服务器类型及版本号为有:
●LotusNotes/DominoServer6.0/6.5
●MicrosoftExchangeServer2000/2003
●NetscapeEnterpriseMailServer
●Sendmail、qmail、postfix
(4)邮件代理网关对外网的访问
邮件代理网关放置在企业内网中,对外的访问有两种方式:
1)通过企业防火墙443端口对外访问
此时企业防火墙无需打开对内的端口,仅仅对内网的邮件代理网关提供向外的端口,因此不存在安全隐患。
2)使用代理服务器
邮件代理网关可以通过代理服务器对外访问,例如:
Socket5,MSISA,Linuxsquid等。
2.3手机邮箱业务界面示例——简便的操作性
手机邮箱业务具有使用方便,拥有良好的操作界面,表现在以下方面。
●满足用户希望能在无线终端有和在计算机上相似的用户感觉
●使用起来方便(界面简单、方便携带)
●在任何时间,任何地点安全的获取信息
●能够和现有的电子邮件系统无缝结合
●能够提高效率
从功能界面上来说,在所有支持的手机上的界面和在电脑上outlook的界面十分相似。
因此节省了最终用户对功能界面的熟悉过程。
以下以Nokia手机界面为例
图一级菜单功能界面截图
图Nokia6600进入收件箱后界面截图
图Nokia6600收入邮件的正文截图
从以上的截图可以看得出,手机邮箱业务的界面和大家熟识的Outlook界面是十分相似的。
用户可以十分容易地接受并使用手机邮箱业务。
业务界面的友好也使得公司业务人员可以尽快使用手机邮箱这种工具开展日常工作,尽早地提高公司工作效率。
3
安全方案
中国移动手机邮箱的邮件加密是基于SSL的通道加密的安全方案。
邮件代理网关的系统安全由多重机制保护。
3.1SSL通道加密方案
(1)SSL加密方案
SSL通道加密方案是指手机终端利用通道加密技术,建立与邮件代理网关基于SSL的直接通信。
手机终端与邮件代理网关之间的通信是端到端的SSL通信,手机终端与邮件代理网关之间SSL的密钥协商和密钥交换是也是端到端的,邮件推送网关负责TCP/IP数据包转发,无法获得和破译通信的内容。
性能指标:
●支持标准SSL/TLS加密和认证
●密钥交换的加密算法为RSA,密钥长度为1024比特
●Hash算法为SHA1,密钥长度为160比特
●数据加密算法为RC4,密钥长度为128比特
(2)方案特点
采用中国移动手机邮箱的安全和加密方案,具有以下的特点:
●企业不需要更改防火墙设定,邮件代理网关与邮件推送网关的通讯是通过标准443端口进行传输。
●邮件代理网关不需要申请公网IP地址。
这样的话,企业邮件服务器不需要暴露在互联网上被黑客攻击,外界无法接触企业邮件服务器。
3.2邮件代理网关的系统安全策略
邮件代理网关的安全由多重机制保护:
●邮件代理网关安装在企业内网,受防火墙保护;
●只对特定IP地址特定的手机邮箱应用端口开放,通过制定的IP地址和端口与邮件推送网关连接,其它所有地址均不能访问;
●外部无法主动访问邮件代理网关;
●用户可自定义垃圾邮件过滤策略;
●邮件代理网关上缓存邮件全部采用加密方式保存,即便管理员也无法看到邮件内容;
●只有企业内部开通了手机邮箱的合法用户才能通过发送邮件,任何XX的用户不能发送邮件。
3.3手机终端的安全策略
中国移动手机邮箱的用户通过手机终端来接收/发送企业内部的邮件,其内容很可能是非常敏感的。
当用户手机丢失或被其他人冒用时,很可能会造成通过手机邮箱客户端软件接收/发送企业内部的邮件。
对于这些情况,我们也充分考虑了用户的需要,设计出完整的手机终端的安全策略。
●手机邮箱终端软件可设置密码保护
●如果用户的手机丢失,用户可以通过邮件代理网关的系统管理员或者通过1860/800客户服务部门,给手机发送一条炸弹短消息,以清除手机终端上所有邮件信息和设置信息。
●当用户邮箱的密码修改后,用户必须在手机终端上修改密码才可以继续使用手机邮箱服务。
3.4邮件服务器的安全策略
●企业邮件服务器设定仅对邮件代理网关的IP开放端口;其他任何IP无访问权限。
●企业邮件服务器设定发送验证,只有通过验证的合法用户才能发送邮件,外部非法用户则无法通过企业服务器发送垃圾邮件。
中国移动手机邮箱系统具有多种策略确保企业邮件服务器和邮件代理网关的安全,完全能够为企业提供全面周到的保护。
中国移动手机邮箱通过了国家信息安全认证,完全符合中国移动的移动邮件推送标准,我公司在国内其它省市已开展很多的试点和商用企业用户,越来越多的企业用户正在使用着这项业务。
大量的实践证明,中国移动手机邮箱对企业邮件服务器端口的使用是安全的。
3.5中国信息安全产品评测认证中心颁发的国家信息安全认证证书
图6-1国家信息安全认证证书
4
业务流程
中国移动手机邮箱业务流程描述如下:
4.1收邮件
图终端收邮件流程
4.2发邮件
图终端发邮件流程
4.3下载附件
图终端收取附件流程
4.4回复邮件
回复邮件在网元之间的操作与发邮件流程相同。
区别是在手机终端编写邮件时,手机终端软件会按照下列规则进行处理:
●新邮件收件人为原始邮件发件人;
●新邮件标题引用原始邮件标题,并在原始标题前增加“Re:
”;
●原始邮件内容附加在邮件正文的后面。
4.5转发不带附件的邮件
转发不带附件的邮件在网元之间的操作与发邮件流程相同。
区别是在手机终端编写邮件时,手机终端软件会按照下列规则进行处理:
●新邮件标题引用原始邮件标题,并在原始标题前增加“Fw:
”;
●原始邮件内容附加在邮件正文的后面。
4.6转发带附件的邮件
用户转发带附件的邮件,手机终端软件会首先按照下列规则生成新邮件:
●新邮件标题引用原始邮件标题,并在原始标题前增加“Fw:
”;
●原始邮件内容附加在新邮件正文的后面。
图终端转发带附件的流程
5
标准和规范
中国移动手机邮箱系统符合中国移动以下业务规范:
●中国移动PushEmail业务接口规范-Version1.0(CMPOP/CMSMTP)
●中国移动加密PushEmail业务规范
●PushEmail设备规范
●PushEmail设备要求
●E-MailNotificationVersion1.0Version30-August-2002
OpenMobileAllianceOMA-Push-EMN-v1_0-20020830-C
●WAPPushOTAProtocol
WirelessApplicationProtocol,WAP-235-PushOTA-20010425-a
Leadtone邮件代理服务器支持以下协议:
●POP3
●SMTP
●MicrosoftExchangeMailAPI(MAPI)
LeadtonePushEmail手机终端的邮件访问接口符合以下的协议:
●中国移动PushEmail业务接口规范-Version1.0(CMPOP/CMSMTP)
●POP3
●SMTP
●MultipurposeInternetMailExtensions(MIME)
●TheSSL/TLSProtocol(Version1.0)
邮件代理网关与企业邮件服务器的接口
邮件代理网关不需要企业邮件服务器作任何其他额外设置和改造,可以通过现有的邮件通信协议访问企业邮件服务器,接收和发送邮件。
邮件代理网关支持以下的协议访问企业邮件服务器:
●POP3
●SMTP
●Lotus邮件同步
●MicrosoftExchangeMailAPI(MAPI)
●WebDAV
●企业邮件服务器自动前转新邮件到邮件代理网关(Forward方式)
支持的企业邮件服务器类型有:
●LotusNotes/DominoServer6.0/6.5
●MicrosoftExchangeServer2000/2003
●NetscapeEnterpriseMailServer
●Sendmail、qmail、postfix
邮件代理网关与邮件推送网关的接口
邮件代理网关与邮件推送网关是基于OpenVPN协议的,采用这种方案的好处在于企业不需要更改防火墙设定,邮件代理网关不需要申请公网Internet的IP地址,保护了企业内部系统的安全性。
邮件代理网关与邮件推送网关通信使用的协议包括:
●WebService/SOAP
●XMLRPC
●HTTPGet/Post
邮件代理网关与邮件推送网关之间的通信接口主要完成下列功能:
●发送EMNWAPPush/参数设置OTA/炸弹OTA短消息
●邮件代理网关系统运行状态
6系统配置及计算
移动代理服务器最大支持的用户数应为4000,立通所设计的移动代理服务器软件本身不对企业用户数作限制,以下为采用不同配置的硬件服务器系统配置计算。
6.1硬件配置
CPU主频
CPU数量
硬盘
内存
用户
P42.8G
1
80G
2G
200
Xeon3.0G
2
400G
2G
1000
Xeon3.16G
2
740G
4G
4000
7手机终端软件
7.1客户端软件功能
用户的手机终端必须安装了手机邮箱客户端软件之后,才能接收邮件推送网关的EMN,激活手机的GPRS功能,与邮件代理网关建立SSL加密通道,接收系统推送的邮件。
安装手机邮箱客户端软件的手机可实现以下功能:
1.可接收系统推送的Email以及处理Email,包括阅读、回复、发送及转发Email。
2.邮件内容包括邮件大小、收件人、发件人、标题、正文、附件名称和附件大小等相关信息。
3.邮件的附件可有选择性的下载到手机上,支持任意格式的附件下载以及附件转换后下载与显示。
4.可以根据手机终端支持的字符集,自动转换邮件内容编码。
5.可以保存任意大小和数量的邮件,仅受手机本身存储空间的限制。
6.支持SSL通信和3DES/AES加密,安全连接并支持二级证书管理。
7.用户可以从手机地址簿中选取收件人地址,邮件地址栏的地址存入手机地址簿。
7.2客户端软件对附件的转换及支持方式
中国移动手机邮箱客户端软件对附件的转换方式:
文件类型
转换方式
WORD/PDF/HTML
文本文件
EXCEL/PPT
多幅图片
PNG/GIF/JPEG/BMP
压缩图片
ZIP/RAR
文件嵌套下载
中国移动手机邮箱客户端软件对附件的支持方式:
文件类型
文件格式
支持方式
文本文件
TXT/HTML/WML
本机支持
图像文件
PNG/GIF/JPEG/BMP
本机支持
Office文件
WORD/EXCEL
本机支持
PPT
本机支持
PDF
本机支持
多媒体文件
WAV
本机支持
RM/WMV
RealOnePlayer
MP3
RealOnePlayer
7.3客户端软件界面实例
中国移动手机邮箱l客户端软件在手机终端的界面可见下图实例:
WINCE平台:
Symbian平台:
7.4支持终端列表
Nokia:
6600、6260、6670、7610、3230、6681、9300、6708、N70
Dopod:
838、828、818、565、575、585、566、586、696
SonyEricsson:
P910
Moto:
A780、E680i、A1200
HP:
6515
联想:
ET960、ET980
夏新:
E850
海尔:
N90
OKWAP:
i519
8
系统负载压力
企业安装邮件代理网关后,会从企业邮件服务器取邮件并推送到用户手机终端上,因此会对企业的邮件服务器造成一定的压力。
中国移动对此进行了专门的测试,发现手机邮箱业务对企业Email服务器负载压力非常小,在0-7%之间。
完全适合企业使用。
测试具体方案和内下文的系统压力测试报告。
8.1引言
编写目的:
对手机邮箱系统对邮箱的压力进行测试,将测试结果提交给项目经理和相关人员。
背景说明:
a.被测产品名称手机邮箱系统
b.主要测试手机邮箱收取邮件的过程中对邮箱造成的压力
8.2带宽计算
按照同时有1200用户注册使用邮件代理网关;按照最大并发用户数与最大用户数的比例为1:
10计,最大并发120用户;假设每用户每天发送、接收20封加密PushEmail,忙时业务量占全天业务量的1/3,则1200*20/3=8000封信/小时,即系统忙时需要处理的邮件为8000封邮件/小时。
假设每封邮件的平均尺寸为20K,在这种情况下对网络带宽需求:
系统忙时邮件代理网关手机邮箱通道的带宽要求为:
8000×20K×8/(60×60)=355.6kb/S
8.3测试概要
(1)用例设计方案
测试目的主要是为了测试服务器工作时对企业的邮件服务器的压力,根据服务器的工作原理,我们需要在不同的用户数量和不同的邮件数量下分别记录服务器对邮件服务器的压力。
为了更好的进行分析,需要按照相关的要求,控制服务器开始工作的时间。
(2)测试用例
编号
测试内容
测试要求
备注
1
100个注册用户的邮箱中,收取50封邮件后,服务器开始工作
100个用户注册时,邮箱中没有邮件
2
100个注册用户的邮箱中,收取200封邮件后,服务器开始工作
100个注册用户的邮箱中含有50封邮件
3
100个注册用户的邮箱中,收取500封邮件后,服务器开始工作
100个注册用户的邮箱中含有250封邮件
4
100个注册用户的邮箱中,收取800封邮件后,服务器开始工作
100个注册用户的邮箱中的邮件全部被删除
5
500个注册用户的邮箱中,收取50封邮件后,服务器开始工作
500个用户注册时,邮箱中没有邮件
6
500个注册用户的邮箱中,收取200封邮件后,服务器开始工作
500个注册用户的邮箱中含有50封邮件
7
500个注册用户的邮箱中,收取500封邮件后,服务器开始工作
500个注册用户的邮箱中含有250封邮件
8
500个注册用户的邮箱中,收取800封邮件后,服务器开始工作
500个注册用户的邮箱中的邮件全部被删除
(3)测试结果
编号
CPU使用率
内存
服务器未工作
服务器已工作
差值
服务器未工作
服务器工作
差值
1
2%
2%
0
297.144K
298.612K
1.468K
2
4%
6%
2%
298.000K
299.380K
1.380K
3
8%
10%
2%
301.884K
302.920K
1.036K
4
10%
15%
5%
304.796K
307.248K
2.452K
5
8%
9%
1%
283.808K
290.236K
6.428K
6
9%
12%
3%
294.104K
307.328K
13.224K
7
11%
14%
3%
308.458K
322.900K
14.442K
8
14%
20%
6%
324.000K
340.859K
16.859K
8.4评价
经过对手机邮箱系统进行的对邮件服务器的压力测试,从测试结果中可以看到手机邮箱系统对服务器的压力根据注册的用户数、用户的邮件服务器中的邮件数量,以及邮件服务器中邮件的变化有关。
从最终的变化数值来看,手机邮箱系统在工作过程中对邮件服务器的压力非常小,在0-7%之间,完全适合企业使用。
升级会员 