利用證書服務(wù)實現(xiàn)安全收發(fā)郵件

【摘要】隨著在內(nèi)部使用郵件辦公的企業(yè)公司的增加，與此同時對企業(yè)網(wǎng)內(nèi)部的攻擊愈加頻繁增多。企業(yè)內(nèi)部的郵件系統(tǒng)正面對著更多的安全威脅問題。鑒于此，本文介紹如何利用證書服務(wù)實現(xiàn)安全地收發(fā)郵件。

【關(guān)鍵詞】證書服務(wù)；PKI；郵件；安全

伴隨著計算機技術(shù)以及通信技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)的應(yīng)用越來越廣泛，電郵的使用頻率也越來越高。然而互聯(lián)網(wǎng)的安全性極低，如果是重要的信息如合同、商業(yè)機密、設(shè)計文件等在郵件中如果被人攔截，造成的損失不可估量。這就要求電郵能夠機密、完整，且認(rèn)證和不可否認(rèn)，而它們都可以通過PKI技術(shù)來實現(xiàn)。

1.什么是PKI？

1.1 PKI技術(shù)

PKI技術(shù)是英文Pubic Key Infrastructure的縮寫，翻譯過來是公鑰基礎(chǔ)設(shè)施。這種技術(shù)核心在于“非對稱加密技術(shù)”。而非對稱加密技術(shù)又分為公鑰和私鑰兩種。而公鑰和私鑰的使用順序和使用者不同，則完成了加密和解密的過程。

1.2 公鑰加密私鑰解密

1.2.1 原理

常見的公鑰密碼技術(shù)是RSA以及橢圓算法ECC。即使用兩個足夠大的質(zhì)數(shù)與需要加密的文字相乘生產(chǎn)的積來實現(xiàn)加解密。這兩個質(zhì)數(shù)不管是哪個與被加密的文字相乘實現(xiàn)加密，都能夠用另一個質(zhì)數(shù)再相乘而實現(xiàn)解密。如果不是持有者，破解的時間復(fù)雜度達到n的二次根的平方，從而達到郵件的不可抵賴性和傳遞過程的完整性。

1.2.2 舉例說明加密解密和數(shù)字簽名的過程

舉例來說，A和B皆具有第三方CA所簽發(fā)的證書，A使用公鑰對郵件進行加密，郵件以密文方式傳送給B后，B以私鑰可以解開密文，轉(zhuǎn)換成原文。私鑰具有私密性，唯一性，對于B來說，只有自己掌握才是最安全的。而對郵件使用私鑰加密，因為其唯一性，則有起到簽名的作用，保證了郵件的真實性。當(dāng)A以自己的私鑰對郵件加密時，所有的與其相對應(yīng)的公鑰都可以解開其郵件，而在傳輸過程中則仍是密文方式，即使被攔截也無法明文閱讀，從而實現(xiàn)了郵件的安全性收發(fā)。以上描述可以用圖1來表示。

通過以上圖解和文字說明，PKI技術(shù)的基本過程已經(jīng)一目了然。另外要加以補充的是，因為密鑰有一個加密轉(zhuǎn)換的過程，還可以通過分析密文了解是否有攔截或者受到過攻擊。

1.2.3 對HASA函數(shù)的要求以及驗證的步驟

1.2.3.1 對HASA函數(shù)的要求

①其接受的輸入報文數(shù)據(jù)不存在長度限制；

②對任何輸入報文數(shù)據(jù)皆生成固定長度的摘要（即數(shù)字指紋）輸出；

③從報文算出摘要非常簡便；

④無法對指定的摘要生成一個報文，但是由該報文則可算出該指定的摘要；

⑤無法生成兩個不同的報文具有同樣的摘要。

1.2.3.2 驗證的步驟

①利用自己的私鑰將信息轉(zhuǎn)換為明文；

②利用發(fā)信方的公鑰通過數(shù)字簽名部分得到原文摘要；

③收件方對發(fā)件方所發(fā)送的源信息再進行hash運算，又產(chǎn)生一個摘要；

④收件方對兩個摘要進行比較，如果二者相同，便可以證明信息簽名者是真實身份。

2.證書的申請過程

2.1 認(rèn)識機構(gòu)CA（Certificate AUthority）

CA即Certificate AUthority，中文意思是電子商務(wù)認(rèn)證授權(quán)機構(gòu)。她作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中，公鑰的合法性檢驗職責(zé)。CA是PKI的核心，通過公私鑰核對的簽名和驗簽，實現(xiàn)PKI提供的不可否定性服務(wù)。

2.2 證書的申請

①將活動目錄證書服務(wù)角色添加到計算機中，并在計算機的域控制器里進行企業(yè)根CA或者是獨立根CA安裝。

②注冊為域的用戶，填寫表格，設(shè)置專有郵箱，因為一對公私鑰只對應(yīng)一個郵箱。

③將MMC打開，并將“證書”管理單元添加到“可用管理單元”中。

④在瀏覽器中輸入testca.netca.net回車，點擊證書申請，將證書安裝到計算機上。

在進行證書申請的同時，公鑰和私鑰也已創(chuàng)建完成，并會自動在客戶端的計算機的注冊表中進行私鑰的儲存。私鑰存儲完成后，會把與證書申請有關(guān)的數(shù)據(jù)資料和公鑰一起發(fā)送到計算機的域控制器里的CA中。

2.3 查看申請是否成功

雖然申請完成，但是是否安裝需要檢查一下。在瀏覽器工具選項里“internet選項”切換至“內(nèi)容”查找“證書”即可。

2.4 綁定證書

在打開的證書里綁定唯一的郵箱。

①在windows中，Outlook Express上方打開工具選擇賬戶，在郵件中選擇對應(yīng)賬戶，點擊屬性切換至安全，即可選擇簽名或者加密之一。

②如果是Foxmail，在相應(yīng)賬戶右擊打開屬性，找到“安全”依次選擇。

3.利用證書服務(wù)安全收發(fā)郵件的內(nèi)部傳輸機制

①通過TCP把客戶端與服務(wù)器端建立起一種關(guān)系；

②客戶端會通過服務(wù)器對發(fā)件人的身份進行確認(rèn)；

③對客戶端進行MALL命令的發(fā)送；

④服務(wù)器對命令作出響應(yīng)，并對客戶端進行指示；

⑤客戶端在發(fā)出RCPT的命令，通知服務(wù)器進行接收郵件的準(zhǔn)備。

⑥完成傳輸過程。

4.總結(jié)

互聯(lián)網(wǎng)的發(fā)展在給企業(yè)帶來機遇的同時也帶來技術(shù)上的挑戰(zhàn)，通過郵件發(fā)送合同或者機密資料等變得越來越頻繁，而安全性比較低。希望通過本文可以了解到數(shù)字安全證書的基本原理，從而為企業(yè)的郵件收發(fā)安全性提供幫助。

參考文獻

[1]趙爾丹.利用數(shù)字證書實現(xiàn)電子郵件的數(shù)字簽名和加密[J].河北軟件職業(yè)技術(shù)學(xué)院學(xué)報，2006，8（4）：51-54.

[2]董清譚.淺談使用數(shù)字證書保護電子郵件安全[J].中國信息界，2011（5）：36-38.

[3]陳前軍.帶認(rèn)證功能的電子郵件發(fā)送過程分析與實現(xiàn)[J].電腦編程技巧與維護，2012（24）：112-114.

[4]馮理明.通過證書實現(xiàn)郵件收發(fā)的安全性[J].計算機光盤軟件與應(yīng)用，2011（12）：159-161.

[5]本文有參考百度百科詞目“CA認(rèn)證”.