第6章应用层安全协议new

1.1第五部分应用层安全通信协议1.2内容提要电子邮件安全协议电子商务安全协议网络管理安全体系Web服务安全协议1.3郑州轻工业学院计算机与通信第六章电子邮件安全——威胁与协议电子邮件的威胁邮件炸弹邮件欺骗邮件服务器控制权电子邮件安全协议PEM（PrivacyEnhancedEmail，RFC1421through1424）S/MIMEPGP（PrettyGoodPrivacy）1.4电子邮件系统主要涉及的协议如下：SMTP（SimpleMailTransferProtocol，简单邮件传输协议）（RFC821）POP3（PostOfficeProtocol–Version3，邮局协议－版本3）（RFC1939）IMAP4（InternetMessageAccessProtocol–Version4，Internet消息访问协议－版本4）（RFC2060）RFC822（FormatofElectronicMailMessages）MIME（MultipurposeInternetMailExtensions，多用途Internet邮件扩展协议）(RFC2045)HTTP（HypertextTransferProtocol，超文本传输协议）（RFC2616）HTML（HypertextMarkupLanguage超文本标识语言）（RFC1866）1.5电子邮件安全——安全需求郑州轻工业学院计算机与通信机密性：只有接收者才能阅读报文的加密：关键是密钥的分发收发双方如何共享密钥？认证：发送者的身份认证基于公钥技术，发送者私钥对报文摘要进行加密，即数字签名基于共享密钥：事先发送者与接收者共享一个密钥，采用消息认证码（MAC）对报文进行认证完整性：报文未被修改报文的完整性与身份认证的方法类似，通常可在一起进行抗否认性：发信者的不可抵赖性，可供第三方鉴别基于公钥技术，采用发送者的私钥签名多个接收者时该怎么办？发送者生成一个密钥，采用对称密码算法加密报文，即S{M}再用接收方的公钥加密密钥S，并与加密的报文同时发送。假设接收者有A、B、C三人，就分别生成三个加密密钥KA{S}，KB{S}，KC{S}。1.6郑州轻工业学院计算机与通信电子邮件安全——PEM概述PEM（PrivacyEnhancedMail）协议是80年代末90年代初发展起来的，它的功能主要包括加密、源认证和完整性，RFC1421-1424与此同时，出台了传输多种媒体格式的EMAIL标准：MIME，S/MIME（RFC2633）采用了PEM的许多设计原理在MIME的基础上进行了扩展PEM是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。1.7郑州轻工业学院计算机与通信电子邮件安全——PEM构成PEM将邮件报文分成几部分，有的需要加密，有的则需要认证，这些需要特殊处理的报文通过语句标记。例如在需要加密的报文段前插入BEGINPRIVACY-ENHANCEDMESSAGE在需要加密的报文后插入ENDPRIVACY-ENHANCEDMESSAGE报文加密采用DES算法认证采用MD-5密钥的分发基于公钥技术，用接收者的公钥加密会话密钥，并在RFC1422中定义了证书体系。基于对称密码时，采用事先共享的密钥加密会话密钥。1.8郑州轻工业学院计算机与通信电子邮件安全——PEM过程1.9电子邮件基本原理电子邮件的传输机制基本协议及其标准MINE1.10传输机制1982年制定了简单电子邮件传输协议SMTP,成为事实上的标准，1984年，CCITT制定了报文处理系统MHS标准及其MOTIF标准，1988年，X.400定义了一个功能强大的电子邮件标准，但是过于复杂，没有推广使用。SMPT只能传输可打印的ASCII码邮件，1992年制定了新的电子邮件标准---MIME.1.111.12邮政系统读信拆封封装写信投入信箱宿邮局接收源邮局发送投入邮筒发信者收信者中转用户邮政传递系统messageenvelope(address)addressingroutingcollectingdelivering1.13阅读拆封封装编辑投入邮箱宿主机接收源主机发送邮件缓存发送方接收方中转用户邮件传输系统电子邮件系统Mailprogrammessageenvelope(address)collectingaddressingroutingdelivering1.14用户接口（用户代理useragent）：在本地运行，具有友好的界面来发送和接收电子邮件，具有撰写、显示、处理邮件的功能。邮件传输程序在后台运行，完成将邮件发送和接收功能，邮件传输程序也成为报文传输代理（messagetransferagent）----MAT.电子邮件传输过程中经过多个结点，每个结点都要安装MTA，进行邮件的存储转发。MAT的集合构成了报文传输系统（MTS）1.15基本协议及其标准(一)--SNMPSMTP协议是最早出现的，也是被普遍使用的最基本的Internet邮件服务协议。协议规定了客户与服务器MTA之间双向通信的规则和信封信息的传递。是两个MTA之间的通信协议。SMTP工作在两种情况下：一是电子邮件从客户机传输到服务器；二是从某一个服务器传输到另一个服务器。最初，使用SMTP服务不需要额外的身份验证。但随着垃圾邮件越来越多，现在的SMTP服务向接收邮件的POP服务看齐了，同样需要身份验证，这在一定程度上避免了垃圾邮件。SMTP使用众所周知的TCP端口25，是个请求/响应协议，命令和响应都是基于ASCII文本，并以CR和LF（回车换行）结束。规定了14条命令和21中应答信息。每个命令有4个字母组成。1.16SMTP通信的三个阶段建立连接：发送方将要发送的电子邮件送到邮件缓冲区，SMTP客户每隔一定时间岁缓冲区进行扫描，如果发现有邮件，通过25号端口与目的主机的SMTP服务器建立TCP连接，SMTP服务器发出“220serviceready”消息，客户机法搜刮“hello”响应，并附上主机名。如果准备好，SMTP回答“250ok”。邮件传输：执行mail命令，发送方发出RCPT命令，接受方对于每个命令都要发送“250ok”确认。最后通过DATA命令发送内容。连接释放：发送完毕，SMTP客户发送quit命令，接受方回应221，关闭连接。1.17基本协议及其标准(二)--文本电子邮件标准电子邮件由三部分组成：信封（envelope）是MTA用来交付的信息，如：MAILFROM:lyz@dlut.edu.cnRCPTTO:van@dl.cn信头（首部）由用户代理使用。如：Received、Message-Id、From、Data、Reply-To、X-Mailer、To、Subject等等。每个首部字段都包含一个名称，紧跟一个冒号，接着是字段值。RFC822指明了首部字段的解释，其中以X-开始的首部字段是用户定义的字段。长首部字段，如Received，被折在几行中，以空格开头。信体是用户想要传送的报文和数据。1.18POP3与SMTP协议相同，POP3也是个请求/响应协议。其命令由短关键字构成，后面接着可选的参数，以CR和LF符结束，作为单行文本发送。例如：USERname——给出用户信箱名称。PASSpassword——给出用户信箱口令。STAT——请求服务器返回消息数和大小。RETRmsgnum——请求服务器发送指定的报文。DELEmsgnum——请求服务器删除指定的报文。QUIT——结束会话。1.19IMAP4协议IMAP（InternetMessageAccessProtocol）是一种强有力的邮箱访问方式，它为用户提供了有选择地从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能。•与POP3的比较：•POP3提供了快捷的邮件下载服务，用户可以把邮箱里的信下载到PC上进行离线阅读，并可以选择将邮件从服务器上删除。用户在任何时候都可阅读已经下载的邮件。•IMAP同样提供了方便的邮件下载服务，让用户能进行离线阅读，但远远不只这些。IMAP提供的摘要浏览功能可以让用户在阅读完所有的邮件到达时间、主题、发件人、大小等信息后作出是否下载邮件的决定。配合IMAP客户端软件的支持，用户还可以有选择的下载附件。举例来说，假如一封邮件里含有大大小小共5个附件，而其中只有2个附件是你需要的，你就可以只下载那两个附件，节省了下载其余3个的时间。1.20电子邮件的传输机制发送者UA创建一个电子邮件，---------经过本地的MTA发送，------------再经过MTS传输至接受者的MTA进行接收，-----------并使用接受者的UA显示报文。1.21郑州轻工业学院计算机与通信PEM密钥管理与存在问题1.22MIMEMIME的英文全称是“MultipurposeInternetMailExtensions”多功能Internet邮件扩充服务，它是一种多用途网际邮件扩充协议，在1992年最早应用于电子邮件系统，但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉浏览器，而通知手段就是说明该多媒体数据的MIME类型，从而让浏览器知道接收到的信息哪些是MP3文件，哪些是Shockwave文件等等。服务器将MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。1.23SMTP的缺点不能传输可执行文件或者二进制文件。限于传输7位的SACII码，其他语言文字无法传输。服务器拒绝超过一定长度的邮件。没有完全按照RFC821的SMTP标准，存在一些问题：回车、换行的删除和增加；后面多余空格的删除；超过76个字符时的处理：截断或自动换行。以上的缺点促使MIME出现。MIME没有改动和取代SMTP，增加了新体的结构。1.24MIME的内容定义了5个新的信头字段MIME-ver：版本号，现在是1.0.Content-description：可读字符串，描述邮件内容，相当于文件的主题。Content-ID：邮件的唯一标识符Content-transfer-encoding：邮件主体的编码格式Content-type：说明邮件的性质定义了很多邮件内容的格式，对多媒体电子邮件的表示方法进行了标准化。定义了传输编码，可以对任何内容格式进行转换。1.25MIME内容的类型Content-type必须包含两个标识符：内容类型、子类型标准定义了7种基本类型和15种子类型。Text：1.plain:未格式化的文本。2.richtext：有少量格式命令的文本。Image：1.gif：gif格式的静止图像。2.jpeg：格式静止图像Audio：basic声音Video：mpeg影片Application：1.octet-stream二进制数据。2.postscript可打印邮件Message：rfc822；partial分割；external邮件从其他位置获取Multipart：mixed；alternative；parallel；digest1.26MIME传送编码Mime传送的主要编码有：7位、8位、二进制、基数64、quoted-printable等Internet上使用的标准是7位的ASCII、对于8位和二进制的多媒体邮件是直接传送多媒体邮件的内容，没有对其进行转码。quoted-printable和基数64编码对多媒体邮件内容进行一次转码，转变为7位的ASCII进行传送。1.2