【摘要】隨著在內(nèi)部使用郵件辦公的企業(yè)公司的增加,與此同時對企業(yè)網(wǎng)內(nèi)部的攻擊愈加頻繁增多。企業(yè)內(nèi)部的郵件系統(tǒng)正面對著更多的安全威脅問題。鑒于此,本文介紹如何利用證書服務(wù)實現(xiàn)安全地收發(fā)郵件。
【關(guān)鍵詞】證書服務(wù);PKI;郵件;安全
伴隨著計算機技術(shù)以及通信技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)的應(yīng)用越來越廣泛,電郵的使用頻率也越來越高。然而互聯(lián)網(wǎng)的安全性極低,如果是重要的信息如合同、商業(yè)機密、設(shè)計文件等在郵件中如果被人攔截,造成的損失不可估量。這就要求電郵能夠機密、完整,且認(rèn)證和不可否認(rèn),而它們都可以通過PKI技術(shù)來實現(xiàn)。
1.什么是PKI?
1.1 PKI技術(shù)
PKI技術(shù)是英文Pubic Key Infrastructure的縮寫,翻譯過來是公鑰基礎(chǔ)設(shè)施。這種技術(shù)核心在于“非對稱加密技術(shù)”。而非對稱加密技術(shù)又分為公鑰和私鑰兩種。而公鑰和私鑰的使用順序和使用者不同,則完成了加密和解密的過程。
1.2 公鑰加密私鑰解密
1.2.1 原理
常見的公鑰密碼技術(shù)是RSA以及橢圓算法ECC。即使用兩個足夠大的質(zhì)數(shù)與需要加密的文字相乘生產(chǎn)的積來實現(xiàn)加解密。這兩個質(zhì)數(shù)不管是哪個與被加密的文字相乘實現(xiàn)加密,都能夠用另一個質(zhì)數(shù)再相乘而實現(xiàn)解密。如果不是持有者,破解的時間復(fù)雜度達到n的二次根的平方,從而達到郵件的不可抵賴性和傳遞過程的完整性。
1.2.2 舉例說明加密解密和數(shù)字簽名的過程
舉例來說,A和B皆具有第三方CA所簽發(fā)的證書,A使用公鑰對郵件進行加密,郵件以密文方式傳送給B后,B以私鑰可以解開密文,轉(zhuǎn)換成原文。私鑰具有私密性,唯一性,對于B來說,只有自己掌握才是最安全的。而對郵件使用私鑰加密,因為其唯一性,則有起到簽名的作用,保證了郵件的真實性。當(dāng)A以自己的私鑰對郵件加密時,所有的與其相對應(yīng)的公鑰都可以解開其郵件,而在傳輸過程中則仍是密文方式,即使被攔截也無法明文閱讀,從而實現(xiàn)了郵件的安全性收發(fā)。以上描述可以用圖1來表示。
通過以上圖解和文字說明,PKI技術(shù)的基本過程已經(jīng)一目了然。另外要加以補充的是,因為密鑰有一個加密轉(zhuǎn)換的過程,還可以通過分析密文了解是否有攔截或者受到過攻擊。
1.2.3 對HASA函數(shù)的要求以及驗證的步驟
1.2.3.1 對HASA函數(shù)的要求
①其接受的輸入報文數(shù)據(jù)不存在長度限制;
②對任何輸入報文數(shù)據(jù)皆生成固定長度的摘要(即數(shù)字指紋)輸出;
③從報文算出摘要非常簡便;
④無法對指定的摘要生成一個報文,但是由該報文則可算出該指定的摘要;
⑤無法生成兩個不同的報文具有同樣的摘要。
1.2.3.2 驗證的步驟
①利用自己的私鑰將信息轉(zhuǎn)換為明文;
②利用發(fā)信方的公鑰通過數(shù)字簽名部分得到原文摘要;
③收件方對發(fā)件方所發(fā)送的源信息再進行hash運算,又產(chǎn)生一個摘要;
④收件方對兩個摘要進行比較,如果二者相同,便可以證明信息簽名者是真實身份。
2.證書的申請過程
2.1 認(rèn)識機構(gòu)CA(Certificate AUthority)
CA即Certificate AUthority,中文意思是電子商務(wù)認(rèn)證授權(quán)機構(gòu)。她作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中,公鑰的合法性檢驗職責(zé)。CA是PKI的核心,通過公私鑰核對的簽名和驗簽,實現(xiàn)PKI提供的不可否定性服務(wù)。
2.2 證書的申請
①將活動目錄證書服務(wù)角色添加到計算機中,并在計算機的域控制器里進行企業(yè)根CA或者是獨立根CA安裝。
②注冊為域的用戶,填寫表格,設(shè)置專有郵箱,因為一對公私鑰只對應(yīng)一個郵箱。
③將MMC打開,并將“證書”管理單元添加到“可用管理單元”中。
④在瀏覽器中輸入testca.netca.net回車,點擊證書申請,將證書安裝到計算機上。
在進行證書申請的同時,公鑰和私鑰也已創(chuàng)建完成,并會自動在客戶端的計算機的注冊表中進行私鑰的儲存。私鑰存儲完成后,會把與證書申請有關(guān)的數(shù)據(jù)資料和公鑰一起發(fā)送到計算機的域控制器里的CA中。
2.3 查看申請是否成功
雖然申請完成,但是是否安裝需要檢查一下。在瀏覽器工具選項里“internet選項”切換至“內(nèi)容”查找“證書”即可。
2.4 綁定證書
在打開的證書里綁定唯一的郵箱。
①在windows中,Outlook Express上方打開工具選擇賬戶,在郵件中選擇對應(yīng)賬戶,點擊屬性切換至安全,即可選擇簽名或者加密之一。
②如果是Foxmail,在相應(yīng)賬戶右擊打開屬性,找到“安全”依次選擇。
3.利用證書服務(wù)安全收發(fā)郵件的內(nèi)部傳輸機制
①通過TCP把客戶端與服務(wù)器端建立起一種關(guān)系;
②客戶端會通過服務(wù)器對發(fā)件人的身份進行確認(rèn);
③對客戶端進行MALL命令的發(fā)送;
④服務(wù)器對命令作出響應(yīng),并對客戶端進行指示;
⑤客戶端在發(fā)出RCPT的命令,通知服務(wù)器進行接收郵件的準(zhǔn)備。
⑥完成傳輸過程。
4.總結(jié)
互聯(lián)網(wǎng)的發(fā)展在給企業(yè)帶來機遇的同時也帶來技術(shù)上的挑戰(zhàn),通過郵件發(fā)送合同或者機密資料等變得越來越頻繁,而安全性比較低。希望通過本文可以了解到數(shù)字安全證書的基本原理,從而為企業(yè)的郵件收發(fā)安全性提供幫助。
參考文獻
[1]趙爾丹.利用數(shù)字證書實現(xiàn)電子郵件的數(shù)字簽名和加密[J].河北軟件職業(yè)技術(shù)學(xué)院學(xué)報,2006,8(4):51-54.
[2]董清譚.淺談使用數(shù)字證書保護電子郵件安全[J].中國信息界,2011(5):36-38.
[3]陳前軍.帶認(rèn)證功能的電子郵件發(fā)送過程分析與實現(xiàn)[J].電腦編程技巧與維護,2012(24):112-114.
[4]馮理明.通過證書實現(xiàn)郵件收發(fā)的安全性[J].計算機光盤軟件與應(yīng)用,2011(12):159-161.
[5]本文有參考百度百科詞目“CA認(rèn)證”.