第7章电子邮件安全

网络安全与管理第7章电子邮件安全2学习目标电子邮件系统存在哪些安全问题发送安全电子邮件常用的安全协议PGP的密钥管理及使用37.1电子邮件系统原理电子邮件E-mail是Internet上应用最广、最受欢迎、最基本的服务。E-mail中字母“E”不仅仅代表electronic还代表efficient和excellent电子邮件地址的格式：用户名@邮件服务器地址4电子邮件系统的组成E-mail服务是一种客户机/服务器模式的应用（1）客户端软件：用来处理邮件，如邮件的编写、阅读、发送、接收和管理（删除、排序等）；（2）服务器软件：用来传递、保存邮件5电子邮件的工作原理电子邮件采用“存储转发”（storeandforwad）服务电子邮件从发送端计算机发出，在网络传输的过程中，经过多台计算机的中转，最后到达收信人的电子邮件服务器，送到收信人的电子邮箱。收信人可以在方便的时候上网查看，或者利用客户端软件把邮件下载到自己的计算机上慢慢阅读。6Web方式和客户端处理电子邮件的区别使用Web方式处理电子邮件：完全在网页里进行操作，如果断开网络连接将无法查看和发送邮件。电子邮件客户端可以将邮件服务器上的邮件下载到本地电脑上，断开网络连接的话还可以查看已经下载过的邮件，但不能收发新邮件。如：OutlookExpress、Foxmail等。7邮件网关邮件网关指在两个不同邮件系统之间传递邮件的服务器邮件网关还应该具有以下主要功能（1）预防功能：将带敏感关键字的邮件隐秘传递，防止泄密。（2）监控功能：防止用户不恰当的使用电子邮件。（3）跟踪功能（4）邮件备份8邮件网关的应用普通邮件网关：实现内外邮件的无缝传输。邮件过滤网关：集中监测病毒邮件的独立硬件系统。具有物理旁路性，不同于邮件服务器上安装防病毒软件的方式，该方式更高效。反垃圾邮件网关：基于服务器的邮件过滤和传输系统。对带有广泛传播病毒、木马的邮件进行有效过滤。97.1.3SMTP和POP3协议用户文件系统发送SMTP接收SMTP文件系统发送SMTP接收SMTP1、SMTP发送SMTP和接受SMTP之间建立双向传送通道，接受SMTP可以是中间传送者也可以是最终接受者。102、POP3协议它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议，是因特网电子邮件的第一个离线协议标准POP3协议只包含12个命令，每个POP3命令由一个命令和一些参数组成。这些命令被客户端计算机用来发送给远程服务器。117.2电子邮件系统安全问题（自学）匿名转发：没有发件人的的信息电子邮件欺骗：改变邮件的发出者的名字。E-mail炸弹：向邮箱中发送大量的垃圾邮件，充满邮箱，加剧网络负载，使系统崩溃，正常用户访问速度变慢。垃圾邮件12电子邮件安全技术从网络安全角度看，目前电子邮件也是造成网络安全威胁的一个主要渠道。所以，研究和开发电子邮件安全技术具有很大的实用价值。目前的电子邮件安全技术还是局限于完整地、秘密地传递电子邮件。目前常用的安全传递电子邮件的技术包括完美保密(PGP)技术和安全多用途因特网邮件扩展(S/MIME)技术。137.3完美保密(PGP)技术PGP产生背景Philip.Zimmermann菲利普.齐默尔曼，1991完成，未申请RSA算法专利的使用权。因在当时PGP系统是一个非法软件。PGP的第一个合法版本，于1994年5月在美国发行。PGP具有良好的可移植性。14PGP技术PGP技术实际上就是报文身份验证技术和报文加密技术在电子邮件和文件存储方面具体的应用。将传统对称加密技术和公钥加密方法结合起来。可支持1024位公开密钥，与128位传统加密。PGP技术目前已经在所有常用的计算机操作系统上实现，并且既有PGP实现的自由软件，又有PGP实现的商业软件。15PGP的主要功能（1）使用强大的IDEA加密算法对存储在计算机上的文件加密。经加密的文件只能由知道密钥的人解密阅读。（2）使用公开密钥加密技术对电子邮件进行加密。经加密的电子邮件只有收件人本人才能解密阅读。（3）使用公开密钥加密技术对文件或电子邮件作数字签名，鉴定人可以用起草人的公开密钥鉴别真伪。16PGP的报文身份验证PGP采用SHA-1报文摘要算法与RSA公钥加密算法结合，实现对报文的身份验证，过程如下：M1:AB:M||SKA{H(M)}接收方B收到报文M之后，利用发送方A的公钥解密报文验证码，获得发送过来的报文摘要H(M)。B同时利用SHA-1算法重新计算收到的报文M的摘要H’(M)，如果H’(M)=H(M)，则B可以验证报文M是真实的。17PGP的报文加密PGP的报文加密方法不采用安全IP技术和SSL安全技术中的密钥协商方法，而是利用公钥加密方法传递传统加密算法使用的对称密钥(称为会话密钥)，利用传统加密算法加密报文。每个会话密钥只用于加密一个报文。所以，PGP是采用“一次一密钥”的方法加密报文，这是最为安全的报文加密方法。18PGP的报文加密(续)PGP对报文的加密过程如下：（1）对于某个等待发送的报文M，发送方A随机产生一个对称密钥KA,B：M1:AB:KA,B{M}||PKB{KA,B}（2）接收方B收到报文M1之后，首先用自己的私钥解密PKB{KA,B}，得到本次加密报文的对称密钥KA,B，然后，再利用KA,B解密KA,B{M}，得到报文M。19PGP的密钥管理PGP使用了4种类型的密钥：一次性会话对称密钥、公钥、私钥和基于口令短语的对称密钥。每个会话密钥都与单个的消息关联，并且只用于加密和解密这条消息。PGP为每个公钥分配一个密钥ID，ID包含该公钥的低64位，即PK的密钥ID是（PKmod264）。ID的作用是告诉接受者自己所使用的公钥（密钥可能有多对）。20PGP的消息PGP的消息由三个部分组成：消息、签名和会话密钥接收者的公钥ID会话密钥（Ks）会时间戳发送者的公钥ID消息摘要的头两个八位字节消息摘要文件名时间戳数据消息签名会话密钥部分防止重放接受者通过其来检查使用的公钥正确与否21密钥环在每个节点上提供了一对数据结构：私钥环和公钥环。私钥环：用于存储该节点所拥有的公钥/私钥对；公钥环：用于存储所知道的另一个节点上的其它用户的公钥。22私钥环为了安全，PGP不把私钥保存在密钥环中，而是保存变换过的私钥。如:系统产生公私密钥对—请求用户口令短语—从口令短语产生hash值，之后丢弃口令短语—用该hash值加密私钥，之后丢弃hash值—解密时通过口令短语解密。时间戳密钥ID公钥加密后的私钥用户ID...............TiKUimod264KUiEH(Pi)[KRi]Useri...............23公钥环公钥环用于保存该用户所知道的其它用户的公钥时间戳密钥ID公钥所有者信任用户ID密钥合法性签名签名信任TiKUimod264KUitrust_flagiUseritrust_flagi24密钥环的使用（1）签名消息：PGP使用发送者的用户ID（一般指邮件地址）从私钥环中检索私钥；PGP向用户请求口令短语以恢复被加密的私钥；用私钥进行签名。（2）加密消息：PGP产生会话密钥并加密消息；PGP使用接收者ID从公钥环中检索接收者的公钥；创建消息的会话密钥部分。25（3）解密消息：接收者使用接收到的消息中的会话密钥部分中的密钥ID字段在私钥环来检索私钥；PGP提示接收者输入口令短语以恢复私钥；PGP用私钥来恢复会话密钥并解密消息；（4）认证消息：PGP在消息的签名部分中获得发送者的密钥ID，并用该ID在公钥环中检索发送者的公钥；PGP恢复所传输的消息摘要；PGP对接收到的消息计算消息摘要，并与接收到的消息摘要进行比较以实现认证。26邮件PMD5算法采用MD算法产生“邮件摘要”RSA采用SKA签名邮件摘要采用密钥K加密报文P1MD5(P)HIDEARSA采用PKB加密密钥K发送至网络上P1加密后的密钥K和加密后的报文P1拼接在一起密钥kPGP的工作原理图27PGP的工作原理图邮件PMD5算法采用MD算法产生“邮件摘要”加密后的密钥K和加密后的报文P1.Z拼接在一起RSA采用SKA签名邮件摘要采用密钥K加密报文P1.ZMD5(P)HIDEARSA采用PKB加密密钥KZIP压缩BASE64编码ASCII码文本发送至网络上P1P1.Z287.4S/MIMEMIME（multipurposeinternetmailextensions,多用途因特网邮件扩展）允许以标准化的格式在电子邮件中包含音频、视频图形等多种信息，但没有提供安全考虑。安全MIME(多用途因特网邮件扩展)是IETF指定的有关电子邮件的安全规范。虽然因特网上许多安全电子邮件软件采用PGP技术，但是，工业界倾向于采用S/MIME作为安全电子邮件产品的标准。29安全MINE(续1)S/MIME提供的服务包括：安全封装服务，数字签名服务、数字签名和安全封装服务。安全封装服务可以为一个或者多个电子邮件的接收方加密任何类型的邮件内容，以及加密加密邮件内容的密钥。但是，安全封装服务并不提供身份验证服务。数字签名服务就是生成电子邮件内容的报文摘要，然后，利用签名者的私钥对报文摘要进行加密，将加密后的报文验证码(即数字签名)附在电子邮件后面，发送给接收方。30安全MINE(续2)S/MIME3.1将RSA公钥加密算法作为必须实现的算法，将Diffie-Hellman密钥生成算法作为应该实现的算法。S/MIME3.1将AES对称密钥加密算法作为应该实现的算法，将SHA-1作为建议应该实现的报文摘要算法。317.5PGP应用1．创建密钥对及使用公钥打开PGPKeys，创建密钥对，上载公钥32获取他人公钥33加密和签名邮件34加密文件357.6OutlookExpress的安全功能3637垃圾邮件过滤38