搜索
网络安全电子邮件安全回顾SSL由哪些协议组成?它们的层次关系?什么是SSL连接?什么是SSL会话?SSL记录协议执行过程涉及到哪些步骤?SSL握手协议执行过程涉及到哪些步骤?电子邮件概述电子邮件(E-mail)是Internet上应用最广同时也是最基本的服务之一。电子邮件将邮件发送到收信人的邮箱中,收信人可随时进行读取。不仅可传送文字信息,而且还可附上声音和图像等多媒体信息文件。电子邮件不是一种“终端到终端”的服务,而是被称为“存储转发式”服务。电子邮件系统一个完整的电子邮件系统具有三个主要的组成部分客户端用户代理MUA(MailUserAgent)邮件传输代理MTA(MailTransferAgent)邮件投递代理MDA(MailDeliveryAgent)首先,客户端利用客户端软件使用SMTP协议将要发送邮件发送到本地的邮件服务器,然后本地服务器再查看接收来邮件的目标地址,如果目标地址在远端则本地邮件服务器就将该邮件发往下一个邮件服务器或直接发往目标邮件服务器里。如果客户端想要查看其邮件内容,则必须使用POP3协议来接收才可以看到。SMTPMUAMUAMTAMDAMTAMDAPOP3SMTP发送方接收方SMTPMUAMUAMUAMTAMDAMTAMDAPOP3SMTP发送方接收方MUAMTAMDAMTAMDAPOP3SMTP发送方接收方MUA实现方式WebMail方式WebMail是一个基于Web的电子邮件收发系统,扮演邮件用户代理角色,一般而言,WebMail系统提供邮件收发、用户在线服务和系统服务管理等功能。客户端软件方式Foxmail、Outlook等需要进行手工配置电子邮件相关协议SMTPSMTP的全称是“SimpleMailTransferProtocol”,即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。POP3POP邮局协议负责从邮件服务器中检索电子邮件。IMAP互联网信息访问协议(IMAP)是一种优于POP的新协议。IMAP克服了POP的一些缺点。它可以请求邮件服务器只下载所选中的邮件而不是全部邮件。客户机可先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。MIME多功能Internet邮件扩充服务,可使电子邮件除包含一般纯文本以外,还可加上彩色图片、视频、声音或二进位格式的文件。电子邮件系统安全问题-1匿名转发发件人刻意隐瞒自己的电子邮箱地址和其他信息,或者通过某些方法给你一些错误的发件人信息发送者首先将邮件发送给匿名转发系统,匿名转发邮件系统再把邮件转发给真正的收件者,并将自己的地址作为发信人地址显示在邮件的信息表头中。对安全要求高的用户必须使用邮件加密和数字签名技术。电子邮件欺骗假冒某一个用户的身份给其他用户发送邮件。SMTP本身并不提供任何验证,所以很容易伪造电子邮件。通过身份认证避免邮件欺骗。电子邮件系统安全问题-2邮件炸弹和垃圾邮件邮件炸弹是指发送大量的垃圾邮件,从而充满邮箱,大量的占用了系统的可用空间和资源,使机器暂时无法正常工作。垃圾邮件是未经用户请求强行发送到用户信息中的电子邮件。安装过滤器,预先检查发件人资料。邮件病毒通过电子邮件进行计算机病毒传播,通常以附件形式传播,通过预杀毒防止病毒的传播。从三个方面解决上述问题1)端到端的安全电子邮件技术,保证邮件从被发出到被接收的整个过程中,内容保密、无法修改、并且不可否认。目前由两套安全电子邮件标准:S/MIME和PGP。它一般只对信体进行加密和签名,而信头必须保证原封不动。2)在一些应用环境下,可能会要求信头在传输过程中也保密,这就需要传输层的技术作为后盾。两种方式实现电子邮件传输过程的安全。a.一种是利用SSLSMTP和SSLPOP,这种模式要求客户端的电子邮件软件和服务器端的邮件服务器都支持,而且都必须安装SSL证书。b.另一种是利用VPN或者其他的IP通道技术,将所有的TCP/IP传输封装起来,也包括邮件。3)邮件服务器本身还必须安全可靠。目前对邮件服务器的攻击主要分为a.对于网络入侵的防范,主要依赖于软件编程时的严谨程度,在选择时很难从外部衡量。b.对于拒绝服务的防范,主要包括防止来自外部网络的攻击,防止来自内部网络的攻击,防止中继攻击等。安全方案PEMPGPS/MIMEPEM(略)PEM(PrivacyEnhancedMail,私密性增强邮件),基于PKI公钥基础结构并遵循X.509认证协议,PEM提供了数据加密、鉴别、消息完整性及秘钥管理等功能。PEM是增强Internet电子邮件隐秘性的标准草案,在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和对称密钥的加密方式,并能够支持多种加密工具。PEM的设计定义为基于文本的邮件格式,只能够保密文本信息,不适合处理当前多种形式的邮件内容实体。PEM实施过程P181使用PEM之前先要经过规范形式的处理。使用MD5得出报文摘要。与报文拼接在一起后填充加密算法规定长度,用DES加密。加密后的报文可再用base64编码(BASE64编码是一种常用的将二进制数据转换为可打印字符的编码。与HEX显示相比,它占用的空间较小)。然后发送给收信人。PGP——安全电子邮件系统(PrettyGoodPrivacy)PGP由个人发展起来——PhilZimmermann(齐默尔曼)PGP为电子邮件和文件存储应用提供了认证和保密性服务PGP特点软件免费;版本众多,支持各种系统平台采用一系列安全算法和机制,安全性已经得到了充分的论证广泛的安全性邮件和文件存储自由发放,包括文档、源代码等不是由政府或者标准化组织所控制PGP功能列表为了适应邮件的大小限制,PGP支持分段和重组数据分段邮件应用完全透明,加密后的消息用Radix64转换Radix64邮件兼容性消息用ZIP算法压缩ZIP压缩消息用一次性会话密钥加密,会话密钥用接收方的公钥加密CAST或IDEA或3DES、AES及RSA或D-F消息加密用SHA-1创建散列码,用发送者的私钥和DSS或RSA加密消息摘要DSS/SHA或RSA/SHA数字签名(包含鉴别)说明采用算法服务PGP所使用的符号Ks:常规加密中的会话密钥KRa:公开密钥系统中用户A的私有密钥KUa:公开密钥系统中用户A的公开密钥EP:公开密钥加密DP:公开密钥解密EC:常规加密DC:常规解密H:散列函数||:串接操作(并置)Z:使用ZIP算法进行压缩R64:基数为64的ASCII格式转换PGP操作描述数字签名与认证发送者创建报文使用SHA-1生成报文的160位散列码使用发送者的私有密钥,用RSA算法对散列码加密(签名),并置在报文前面接收者使用发送者的公开密钥,用RSA解密和恢复散列码接收者计算报文的散列码,与解密得到的进行比较,如果两者匹配,则报文通过鉴别功能:身份认证发送方产生消息M用SHA-1对M生成一个160位的散列码H用发送者的私钥对H加密,并与M连接接收方用发送者的公钥解密并恢复散列码H对消息M生成一个新的散列码,与H比较。如果一致,则消息M被认证。身份认证说明说明1.RSA的强度保证了发送方的身份2.SHA-1的强度保证了签名的有效性3.DSS/SHA-1可选替代方案。签名与消息可以分离对消息进行单独的日志记录可执行程序的签名记录,检查病毒文档多方签名,可以避免嵌套签名PGP操作描述保密性发送者生成报文和128位会话密钥随机数采用CAST-128(或IDEA或3DES)对报文加密采用RSA,使用接收者的公开密钥加密会话密钥,并置到报文前面接收者采用RSA,解密和恢复会话密钥接收者使用会话密钥解密报文可以使用Diffie-Hellman算法生成会话密钥保密性与认证同时实现保密和认证保密性发送方生成消息M并为该消息生成一个随机数作为会话密钥用会话密钥加密M用接收者的公钥加密会话密钥并与消息M结合接收方用自己的私钥解密恢复会话密钥用会话密钥解密恢复消息M保密性说明对称加密算法和公钥加密算法的结合可以缩短加密时间用公钥算法解决了会话密钥的单向分发问题不需要专门的会话密钥交换协议由于邮件系统的存储-转发的特性,用握手方式交换密钥不太可能每个消息都有自己的一次性密钥,进一步增强了保密强度。保密与认证的结合两种服务都需要时,发送者先用自己的私钥签名,然后用会话密钥加密消息,再用接收者的公钥加密会话密钥。PGP是RSA和对称加密的杂合算法:1)发送方不用RSA来加密消息本身,而采用IDEA。2)发送方用一个随机生成的密钥(不用和接收方事先协商)及IDEA对明文加密,再用RSA对该密钥加密。这种链式加密方式(数字信封)既有RSA体系的保密性,又有IDEA算法的快捷性。Questions在PGP中,哪几个算法实际上都起到对明文P的“混淆”作用?MD5、ZIP、IDEA、RSA、radix-64在PGP中,为什么要先压缩后加密?1)压缩后明文变短,加密速度变快,传输时节省时间。2)经过压缩的明文,实际上相当于多经过了一次变换。PGP操作描述压缩压缩有利于在电子邮件传输和存储时节省空间压缩在签名之后进行对没有压缩过的报文进行签名,验证时只需要存储没有压缩过的报文和签名便于采用不同的压缩算法加密压缩过的报文可以加强加密的强度,因为冗余减少,密码分析更加困难PGP采用ZIP算法进行压缩PGP操作描述电子邮件的兼容性PGP提供把原始8位二进制流转换成可打印ASCII字符的服务采用Radix-64转换,每三个字节的二进制数据为一组映射成四个ASCII字符,附加CRC校验使用Radix-64,报文长度增加了33%Radix-64PGP操作描述分段与重组电子邮件工具通常限制消息的最大长度,一般在50,000字节任何大于该长度的消息必须分成若干小段,单独发送PGP自动将长消息分段使之可以通过电子邮件发送,分段在所有操作之后进行,包括基数64转换接收方剥去所有电子邮件头,按步骤重新组装PGP消息发送与接收小结电子邮件系统的三个组成部分,以及传送过程电子邮件相关协议:SMTP,POP3,IMAP,MIMEPEM概述PGP功能PGP消息发送与接收过程