您好,欢迎访问三七文档
当前位置:首页 > 电子/通信 > 综合/其它 > 电子邮件系统安全技术
安全集成工程师电子邮件系统安全主讲人:许春中国信息安全认证中心四川省计算机信息系统集成行业协会主要内容常见电子邮件系统安全问题PGP和S/MIME垃圾邮件及过滤技术反垃圾邮件系统及产品的选择反垃圾邮件立法和服务中国信息安全认证中心四川省计算机信息系统集成行业协会电子邮件发送过程邮件用户代理(MUA):邮件传输代理(MTA):邮件投递代理(MDA):MUAMTAMUAMDA......发件人收件人中国信息安全认证中心四川省计算机信息系统集成行业协会电子邮件系统的安全缺陷模拟SMTP发邮件的过程收到的邮件原始信息中国信息安全认证中心四川省计算机信息系统集成行业协会常见安全问题恶意攻击垃圾邮件政治邮件邮件病毒邮件泄密中国信息安全认证中心四川省计算机信息系统集成行业协会案例使用BASE64编码解码器获取邮件内容中国信息安全认证中心四川省计算机信息系统集成行业协会电子邮件安全目标邮件分发安全邮件传输安全邮件用户安全邮件系统主机安全中国信息安全认证中心四川省计算机信息系统集成行业协会主要内容常见电子邮件系统安全问题PGP和S/MIME垃圾邮件及过滤技术反垃圾邮件系统及产品的选择反垃圾邮件立法和服务中国信息安全认证中心四川省计算机信息系统集成行业协会PGP和S/MIMEPGPPrettyGoodPrivacy,良好的隐私主要为个人email提供安全性提供对电子邮件的机密性和身份认证服务S/MIMESecure/MultipurposeInternetMailExtension安全/多用途Internet邮件扩展商业和机构使用的工业标准提供对电子邮件的机密性和身份认证服务中国信息安全认证中心四川省计算机信息系统集成行业协会PGPPhilipR.Zimmerman是PGP的创造者基于被认可的算法(加密算法)提供机密性和身份鉴别服务,可用于电子邮件和文件存储应用中不由政府和标准化组织控制和开发可获得不同平台的免费版本与公司(NetworkAssociates)约定,提供PGP商业版本中国信息安全认证中心四川省计算机信息系统集成行业协会PGP密钥管理PGP使用四种类型的密钥:一次性会话传统密钥公钥私钥基于口令短语的传统密钥PGP对密钥的需求会话密钥:公钥和私钥私钥如何保存中国信息安全认证中心四川省计算机信息系统集成行业协会PGP信任机制PGP没有包括建立认证权威机构或建立信任的任何规范,但提供了便捷的方式来使用信任、使用密钥来关联信任度、采用可信的信息等公钥环的每个实体是一个公钥证书,相应的是密钥合法性(KeyLegit)字段——表示PGP信任这个用户的该密钥的程度签名信任(SigTrust)字段——PGP用户信任公钥证书签名者的程度所有者信任(OwnerTrust)字段——每个实体将公钥与一特定拥有者相联系,这个字段指出该公钥签名其他公钥证书的信任程度中国信息安全认证中心四川省计算机信息系统集成行业协会PGP软件PGP下载:中国信息安全认证中心四川省计算机信息系统集成行业协会签名消息的例子加密消息的例子PGP软件中国信息安全认证中心四川省计算机信息系统集成行业协会PGP证书管理软件——服务器软件:集中管理PGP公钥证书提供LDAP、HTTP服务本地Keyring可以实时地连接到服务器,适合于企业使用PGP证书管理软件中国信息安全认证中心四川省计算机信息系统集成行业协会密钥管理PGP用法(一)中国信息安全认证中心四川省计算机信息系统集成行业协会撰写邮件时,发送之前指定加密和签名PGP用法(二)中国信息安全认证中心四川省计算机信息系统集成行业协会PGP用法(三)其他辅助功能有关网络的功能文件加解密、签名认证当前窗口内容加解密、签名认证剪贴板内容加解密、签名认证中国信息安全认证中心四川省计算机信息系统集成行业协会PGP采用了RSA和传统加密的杂合算法可以用来加密文件PGP创造性地把RSA公钥体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。PGP协议已经成为公钥加密技术和全球范围内消息安全性的事实标准。总结:PGP中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIMES/MIME(Secure/MIME)是由RSA公司于1995年提出的电子邮件安全协议,不仅能发送文本,还可以携带各种附加文档S/MIME同PGP一样,利用单向散列算法和公钥与单钥的加密体系但是S/MIME也有两方面与PGP不同S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证S/MIME将信件内容加密签名后作为特殊的附件传送中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIME是对MIME电子邮件格式的安全扩展基于密码学的诸多成果与PKI的结合,使用X.509证书,以及PKCS标准算法协商不可能在线进行,只能用一组规则保证尽可能地达到安全性不严格的信任模型,由客户实现和用户来决定S/MIME更象商用或组织使用的工业标准,PGP更面向个体用户选用中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIMES/MIME提供签名和数据的加密服务封装的数据:签名的数据:透明的签名数据:签名和封装的数据:中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIMES/MIME使用的算法消息摘要:SHA-1和MD5数字签名:DSS,应当支持RSA公钥算法:ELGamal(Diffie-Hellman),应当支持RSA加密消息:3DES和RC2/40中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIME的证书处理使用符合X.509标准的公开密钥证书密钥管理方法是严格的X.509证明层次和PGP信任网络的混合S/MIME可完成如下密钥管理功能(1)密钥的生成:768~1024位之间的密钥对(2)注册(3)证书的存储和查询有许多提供CA的公司,VeriSign的CA服务使用最广泛中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIME邮件用法公钥管理中国信息安全认证中心四川省计算机信息系统集成行业协会S/MIME邮件用法私钥管理中国信息安全认证中心四川省计算机信息系统集成行业协会把帐号与私钥关联起来S/MIME邮件用法中国信息安全认证中心四川省计算机信息系统集成行业协会撰写邮件S/MIME邮件用法中国信息安全认证中心四川省计算机信息系统集成行业协会主要内容常见电子邮件系统安全问题PGP和S/MIME垃圾邮件及过滤技术反垃圾邮件系统及产品的选择反垃圾邮件立法和服务中国信息安全认证中心四川省计算机信息系统集成行业协会什么是垃圾邮件?根据2003年2月26日颁布的《中国互联网协会反垃圾邮件规范》和网民中的一些约定俗成的规定,所谓的“垃圾邮件”主要指的是具有下述属性的电子邮件:收件人无法拒收的电子邮件;收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等具有宣传性质的电子邮件;含有病毒、色情、反动等不良信息或有害信息的邮件;隐藏发件人身份、地址、标题等信息的电子邮件;含有虚假的信息源、发件人、路由等信息的电子邮件。中国信息安全认证中心四川省计算机信息系统集成行业协会垃圾邮件种类中国信息安全认证中心四川省计算机信息系统集成行业协会垃圾邮件的危害耗费网络资源侵犯他人利益严重影响ISP的服务形象对现实社会造成危害中国信息安全认证中心四川省计算机信息系统集成行业协会反垃圾邮件技术(1)传统的反垃圾邮件技术(2)反-反垃圾邮件技术(3)新型反垃圾邮件技术中国信息安全认证中心四川省计算机信息系统集成行业协会(1)传统的反垃圾邮件技术黑名单白名单关键字过滤DNS反向查询技术实时黑名单(RBL)基于规则的过滤技术贝叶斯过滤分布协作的内容指纹分析其它辅助技术中国信息安全认证中心四川省计算机信息系统集成行业协会黑名单(BlackList)什么是“黑名单”?黑名单的建立存在的问题中国信息安全认证中心四川省计算机信息系统集成行业协会白名单(WhiteList)什么是“白名单”?白名单的两种使用方式存在的问题中国信息安全认证中心四川省计算机信息系统集成行业协会关键字过滤什么是“关键字过滤”?存在的问题中国信息安全认证中心四川省计算机信息系统集成行业协会DNS查询技术DNS查询技术收到电子邮件时对发送者的互联网域名进行查询,依此来验证发送者信息的真实性反向DNS查询技术收到电子邮件时对发送者的IP地址进行DNS反向查询,检验其对应的域名是否是其声称的域名我国许多企业邮件系统缺少DNS反向记录,导致被列入国外知名RBL中202.15.16.3INPTRyourdomain中国信息安全认证中心四川省计算机信息系统集成行业协会实时黑名单(RBL)什么是“实时黑名单”?局限性改进方案DNSBL(DNSBlockList,DNS黑名单列表)中国信息安全认证中心四川省计算机信息系统集成行业协会贝叶斯过滤什么是“贝叶斯过滤技术”?由PaulGraham于2002年8月提出,它和基于规则的过滤技术比较相似,但是贝叶斯过滤器不必预先设定规则。理论基础在已知的垃圾邮件中,一些单词出现的频率较高,而在非垃圾邮件中,另一些单词出现的频率较高。通过特定算法对大量垃圾邮件和非垃圾邮件进行分析计算,得到垃圾邮件和非垃圾邮件单词的贝叶斯概率模型。可以由此概率模型推算目标邮件是垃圾邮件的概率。中国信息安全认证中心四川省计算机信息系统集成行业协会贝叶斯过滤优点克服了传统内容分析技术准确性第、误报率高的曲线不需要预先搜集和编制关键词表结合其它垃圾邮件分析技术,可以实现对样本的自动采集和学习局限性是一种基于内容的分析方法,对内容进行特殊处理后,可逃避贝叶斯技术的检查。如将关键的内容改成图片等中国信息安全认证中心四川省计算机信息系统集成行业协会分布协作的内容指纹分析指纹分析从邮件中提取出可以代表内容的指纹数据(一般利用哈希函数算法或检查和的算法来产生指纹特征)模糊指纹不同的内容会产生不同的指纹。为防止垃圾邮件发送者利用小的变化,如大小写等,来躲避反垃圾邮件系统,使用模糊指纹,使相似内容的邮件产生相同的指纹全球协作的内容指纹分析用“指纹”代表邮件,全球的兼容用户提交邮件指纹,从服务器得到响应,以知道有多少封邮件在全球传播,以识别邮件是否是垃圾邮件中国信息安全认证中心四川省计算机信息系统集成行业协会优缺点在对付由蠕虫或病毒爆发造成的垃圾邮件时有非常好的效果垃圾邮件流传的规模比较有限,或内容根据不同的发件人动态变化,这个技术也就无能为例了要求邮件服务器的管理员和用户能够自觉提交垃圾邮件样本以进行分析,而国内用户往往没有这方面的习惯和意识,这个技术在国内作用有限分布协作的内容指纹分析中国信息安全认证中心四川省计算机信息系统集成行业协会(3)新型反垃圾邮件技术归根结底,只有溯源,才能从根本上打击垃圾邮件SenderID技术DKIM技术FairUCE技术中国信息安全认证中心四川省计算机信息系统集成行业协会SenderID技术SenderID2004年微软提出。最初得到了Cisco、Comcast、IBM、Cisco、Port25、Sendmail、Symantec、VeriSign的支持,但最终未能成为标准判断电子邮件的确切来源,降低垃圾邮件以及域名欺骗等行为发生的可能。SenderID技术必须得到发送邮件方和接收邮件方的共同支持。需要在邮件所在域名的DNS系统中添加SPF记录需要授权许可中国信息安全认证中心四川省计算机信息系统集成行业协会123DNS服务器SPF查询
本文标题:电子邮件系统安全技术
链接地址:https://www.777doc.com/doc-4600142 .html