20 元
下载资源

电子邮件安全S-MIME

上传人:bei****lei 文档编号:252668737 上传时间:2024-11-19 格式:PPT 页数:33 大小:1.29MB
返回 下载 相关 举报
电子邮件安全S-MIME_第1页
第1页 / 共33页
电子邮件安全S-MIME_第2页
第2页 / 共33页
电子邮件安全S-MIME_第3页
第3页 / 共33页
点击查看更多>>
资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,电子邮件,安全,(2,),S/MIME,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,RFC 5322,,,Internet Message Format,,定义了一种用于电子邮件的文本消息格式,基于,RFC 822,RFC 5322,与,RFC 821,(,Simple Mail Transfer Protocol,,,SMTP,)共同完成电子邮件应用,称为,SMTP/5322,方案,message = envelop + content,注,:为统一,后面提到,的“消息”均,指由,RFC,5322,定义的,content,部分,RFC 5322,负责定义,content,部分的格式,它由,消息,头(,the header,)和消息体(,the body,)组成,消息头,:,若干关键字行(,keyword line,),说明消息的属性,常用关键字有,Date,、,From,、,Subject,、,To,、,Cc,以及,Message-ID,消息体:邮件文本内容,1.,传统电子邮件格式,RFC 5322,1.2,举例:一条,RFC 5322,消息,1.,传统电子邮件格式,RFC 5322,1.3 SMTP/5322,方案的缺陷,SMTP,无法传输可执行文件或其他类型的二进制文件,SMTP,只能传输,7-bit,ASCII,数据,无法传输其它编码方式的数据,SMTP,无法传输超过一定长度的消息,SMTP,在进行,ASCII,和,EBCDIC,的转换时存在不一致问题,SMTP,无法处理包含在,X.400,消息中的非文本数据,某些,SMTP,实现方式未严格遵循,RFC 821,,如:,删除、增加及重排序回车符和换行符,分段及组合大于,76,字符的行,移除消息尾部的无用空格符和制表符,填充消息中某些行,使各行达到相同长度,将制表符转换为多个空格符,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,Multiple Internet Mail Extension,,多用途网际邮件扩展,MIME,是,对,RFC,5322,框架的扩展,,在,RFC 1426,(,SMTP 8-bit MIME,传输服务扩展)的支持下,解决了,SMTP/5322,方案的缺陷,MIME,的新特性,增加了,5,个新的消息头域(,header field,),MIME-VersionMIME,版本,Content-Type,邮件容纳物的类型,Content-Transfer-Encoding,邮件,容纳,物的传输编码方式,Content-ID,邮件容纳物的编号,Content-Description,邮件容纳物的描述,定义,了多种邮件容纳物数据类型,对多媒体电子邮件进行支持,7,种类型,,15,种子类型,在,Content-Type,小节展开,定义了多种传输编码方式,6,种传输编码,在,Content-Transfer-Encoding,小节展开,2.,多用途网际邮件扩展,MIME,2.2 MIME,增加的,5,种消息头域,2.2.1 MIME,版本(,MIME-Version,),参数一般为,1.0,,表示消息符合,RFC 2045,和,RFC 2046,的规定,2.2.2,邮件容纳物标识(,Content-ID,),用来标识不同的邮件容纳物,可选,2.2.3,邮件容纳物描述(,Content-Description,),对消息体中被传输的数据对象进行描述的自由文本,可选,2.,多用途网际邮件扩展,MIME,2.2 MIME,增加的,5,种消息头域,2.2.4,邮件容纳物类型(,Content-Type,),向接收方指明消息体的中数据的类型,7,种类型,,15,种子类型(课本),Text,、,Multipart,、,Message,、,Image,、,Video,、,Audio,、,Application,需要说明的是,随着互联网的发展,会出现很多新的子类型。,IANA,(,The Internet Assigned Numbers Authority,,互联网数字分配机构)负责确认新的邮件容纳物子类型,已出现但未确认的子类型前加,x,,如,application/x-gzip,等。,Multipart,类型最复杂,包含多个不同类型的独立子部分,每个子部分也有其自身的类型,各个子部分由边界标志分隔开,初始及中间分隔符,-boundary,最终分隔符,-boundary-,类型(,Type,),子类型(,Subtype,),说明(,Description,),Text,Plain,普通文本,,ASCII,或,ISO 8859,编码,Enriched,提供了更多的可选格式,Multipart,Mixed,各部分相互独立,共同发送,有顺序,Parallel,各部分相互独立,共同发送,无顺序,Alternative,同一段信息的不同版本,目的是提高接收方的用户体验,Digest,与,Mixed,子类型相同,但每个部分的缺省类型是,message/rfc822,Message,rfc 822,遵循,rfc 822,标准的封装好的消息,Partial,用于将大的,message,分解为碎片。每个碎片有,id,及顺序码;有碎片总数。,External-body,包含一个指向别处对象的指针,Image,jpeg,jpeg,格式图像,gif,gif,格式图像,Video,mpeg,mpeg,格式视频,Audio,Basic,单轨,8,比特,ISDN mu-law,编码,采样率,8kHz,Application,PostScript,Adobe PostScript,格式,octet-stream,由,8,位字节构成的二进制数据块,2.,多用途网际邮件扩展,MIME,2.2 MIME,增加的,5,种消息头域,2.2.5,邮件容纳物传输编码方式(,Content-Transfer-Encoding,),说明了对数据所执行的编码方式,接收方根据该方式对数据进行解码,编码方式,说明,7bit,7,位,ASCII,编码方式,数据大小不超过,SMTP,的传输上限,8bit,8,位,ASCII,编码方式,数据大小不超过,SMTP,的传输上限,一般不用,binary,含非,ASCII,字符,数据大小可能会超出,SMTP,的传输上限,一般不用,quoted-printable,在此方式下,数据中的,ASCII,字符是人类可读的,base64,将每,6,位二进制输入数据换为一个,8,位,ASCII,字符,使用最广泛,会增加,1/3,报文,人类不可读,x-token,与设备制造商相关的编码方式,2.,多用途网际邮件扩展,MIME,2.3,举例:一条,Multipart,类型的,MIME,消息,邮件容纳物类型,定义边界,Multipart,的前序(可省略),分隔符,1,Part 1. text/plain,类型,Part 2. text/plain,类型,分隔符,2,Part 3. multipart/parallel,类型,分隔符,3,次级分隔符,1,Part 3.1. audio/basic,类型,次级分隔符,2,Part 3.2. image/jpeg,类型,次级终了分隔符,分隔符,4,Part 4. text/enriched,类型,分隔符,5,Part 5. message/rfc822,类型,终了分隔符,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,本节内容,1.,传统电子邮件格式,RFC 5322,1.1 RFC 5322,简介,1.2,举例:一条,RFC 5322,消息,1.3 SMTP/5322,方案的缺陷,2.,多用途网际邮件扩展,MIME,2.1 MIME,概览,2.2 MIME,增加的,5,种消息头域,2.3,举例:一条,Multipart,类型的,MIME,消息,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,3.2 S/MIME,使用的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证,3.,增强安全性的,MIMES/MIME,目的:基于,RSA,密码体制,在,MIME,框架下对电子邮件安全性进行提升,功能:对,MIME,消息主体进行加密、签名,应用:,S/MIME,适合于企业级用户(,PGP,适合于个人用户),规范:,RFC 3370,、,RFC 3850,、,RFC 3851,、,RFC 3852,本小节内容:,3.1 S/MIME,的功能,3.2 S/MIME,的密码算法,3.3 S/MIME,消息,3.4 S/MIME,认证流程,3.,增强安全性的,MIMES/MIME,3.1 S/MIME,的功能,Enveloped data,对,MIME,消息进行加密,Encrypt,(数据内容),Signed data,对,MIME,消息签名,并使用,base64,对全部信息编码,Base64,(数据内容,+,经过签名的摘要),Clear-signed data,对,MIME,消息签名,但只对签名进行,base64,编码,数据内容,+ Base64,(经过签名的摘要),Signed and enveloped data,嵌套使用前两种功能,3.,增强安全性的,MIMES/MIME,3.2 S/MIME,种使用的密码算法,第一类:散列算法,SHA-1,(,Secure Hash Algorithm,),MD5,(,Message Digest Algorithm 5,),第二类:非对称密码算法,DSS,(,Digital Signature Standard,),Diffie-Hellman,(,Whitfield Diffie,、,Martin Hellman,),RSA,(,Ron Rivest,、,Adi Shamirh,、,LenAdleman,),第三类:对称密码算法,3DES,(,Triple Data Encryption Standard,),RC2/40,3.,增强安全性的,MIMES/MIME,3.2 S/MIME,种使用的密码算法,各密码步骤对发送方和接收方,Agent,的要求,功能,需求(,MUSTs and SHOULDs,),生成消息摘要,双方都,必须,支持,SHA-1,;,接收方,应该,支持,MD5,;,签名消息摘要,双方都,必须,支持,DSS,;,发送方,应该,支持,RSA,;,接收方,应该,支持密钥大小为,512-1024,位的,RSA,;,加密会话密钥,双方都,应该,支持,Diffie-Hellman,;,双方都,必须,支持密钥长度为,521-1024,位的,RSA,;,加密消息,双方都,必须,支持,3DES,;,发送方,应该,支持,AES,和,RC2/40,;,3.,增强安全性的,MIMES/MIME,3.2 S/MIME,中使用的密码算法,会话加密算法的选择,通过邮件成功交互的保证,接收方能够解密经过发送方加密的数据,S/MIME,提供了多种可选密码算法,故需要决策使用何种算法,问题,1,:,发送方需要判断,对于给定的密码算法,接收方是否有解密能力,问题,2,:,如果接收方不能使用给定的算法进行解密,发送方能否接受使用一个,较弱的密码算法,决策过程,步骤,1,:,若发送方保存了一份来自接收方的解密方式优先选择列表,则应该选,择具有最高优先级的那种算法;,步骤,2,:,若没有上述列表,但是保存了若干来自接收方的邮件,则应该选择接,收方最近使用的那种密码算法;,步骤,3,:,发送方未掌握上述信息,且能够承受接收方可能无法解密所带来的,风险,用,3DES,;,步骤,4,:,发送方未掌握上述信息,且不能承受接收方无法解密带来的风险,,用,RC2/40,;,3.,增强安全性的,MIMES/MIME,3.3 S/MIME,消息,对,MIME,消息进行安全性加强,得到,S/MIME,消息。,MIME,实体,MIME,消息中除,RFC 5322 header,之外的其它部分,当类型为,multipart,时,可以是一个或多个子部分,S/MIME,以,MIME,实体为对象进行具体的签名、加密、压缩操作,MIME,实体,加密、签名,作为新的、增强了安全性的邮件容纳物进行传输,3.,增强安全性的,MIMES/MIME,3.3 S/MIME,消息,S/MIME,中增加的邮件容纳物类型,类型,子类型,smime,参数,说明,Multipart,Signed,一个,clear-signed,消息,包含两部分:消息、消息签名,Application,pkcs7-mime,signedData,对,MIME,实体签名后产生的,S/MIME,实体,pkcs7-mime,envelopedData,对,MIME,实体加密后产生的,S/MIME,实体,pkcs7-mime,Degenerate,signedData,仅包含公钥证书的,S/MIME,实体,pkcs7-mime,CompressedData,对,MIME,实体压缩后产生的,S/MIME,实体,pkcs7-signature,signedData,Multipart/Signed,类型中消息签名部分的类型,3.,增强安全性的,MIMES/MIME,3.3 S/MIME,消息,Enveloped Data,的产生(类型:,Application/pkcs-7mime,),步骤,1.,用伪随机数算法为对称密码算法(,3DES,、,RC2/40,)生成一个会话,密钥,步骤,2.,用接收方的公钥加密会话密钥,步骤,3.,准备,RecipientInfo,(接收方信息),包含:,接收,方共要证书标识,密码,算法标识,加密后的会话密钥,步骤,4.,用会话密钥加密,MIME,实体,Enveloped Data,实体:,加密后的,MIME,实体,接收方信息,base64,3.,增强安全性的,MIMES/MIME,3.3 S/MIME,消息,S,igned,Data,的,产生,(类型:,Application/pkcs-7mime,),步骤,1.,选择,散列,算法(,SHA,或,MD5,),步骤,2,.,计算,MIME,实体的,摘要,步骤,3.,用自己的私钥签名摘要,步骤,4.,准备,SignerInfo,(签名者信息,),包含:,签名者公钥证书,散列,算法标识,签名算法标识,加密,后的摘要,Signed Data,实体,MIME,实体,签名者信息,base64,3.,增强安全性的,MIMES/MIME,3.3 S/MIME,消息,Clear-signed,Data,的,产生,(类型,:,multipart/signed,),子,部分,1,(类型:普通,MIME,类型,如,text/plain,),MIME,用户可得,子部分,2,(类型:,Application/pkcs7-signature,),产生方式同,signedData,,但其中的,MIME,实体部分空置,MIME,用户不可见,,S/MIME,用户可用于验证发送方,空置,签名者信息,base64,MIME,实体,base64,3.,增强安全性的,MIMES/MIME,3.4 S/MIME,认证,S/MIME,使用符合,X.509 v3,的公钥证书。,S/MIME,用户端须具备的功能,密钥生成:为,DSS,、,Diffie-Hellman,、,RSA,算法产生密钥,密钥注册:将密钥在认证中心(,CA,)认证,得到,X.509,公钥证书,证书存储与恢复:用来验证外来签名、加密会话密钥,CA,服务,基于组织:,Nortel,公司提供企业级,CA,解决方案、,基于互联网:,VeriSign,、,GTE,、,U.S. Postal Service,、,3.,增强安全性的,MIMES/MIME,3.4 S/MIME,认证,VeriSign,VeriSign,适合于为,S/MIME,提供认证解决方案,VeriSign,公司的,X.509,证书产品名为,VeriSign Digital ID,(,VeriSign,数字身份证),Digital ID,内容:,所有者的公钥,所有者名字或别名,该,ID,的失效日期,该,ID,的序列号,颁发该,ID,的,CA,的名称,颁发,该,ID,的,CA,的数字签名,额外的用户信息,如地址、,E-mail,、国别、邮政编码、年龄等,3. S/MIME,3.4 S/MIME,认证,VeriSign,认证服务分三个类型,PCA,= VeriSign public primary Certification,A,uthority,CA = Certification Authority,Class 1,Class 2,Class 3,身份确认方式,名字、邮箱地址确认,增加了注册信息及地址确认,个人:增加了身份证及个人现场确认;,企业:增加了商业记录确认,发行中心的私钥保护手段,PCA,: 可信硬件,CA,: 可信软件或可信硬件,PCA,: 可信硬件,CA,: 可信硬件,PCA,: 可信硬件,CA,: 可信软件,证书申请人的私钥保护手段,加解密软件(推荐),加解密软件,加解密软件,加解密硬件(推荐),应用场景,浏览网页、某些无需安全性保证的,e-mail,使用等,个人及公司,email,使用、在线订阅服务、密码重置、软件注册等,电子银行、电子商务、数据库访问、在线会员制服务等,谢谢大家!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!