《安全生产_应用层安全通信协议》由会员分享,可在线阅读,更多相关《安全生产_应用层安全通信协议(64页珍藏版)》请在金锄头文库上搜索。
1、第五部分 应用层安全通信协议,内 容 提 要,电子邮件安全协议 电子商务安全协议 网络管理安全体系 Web服务安全协议,郑州轻工业学院计算机与通信,第六章电子邮件安全威胁与协议,电子邮件的威胁 邮件炸弹 邮件欺骗 邮件服务器控制权 电子邮件安全协议 PEM (Privacy Enhanced Email,RFC 1421 through 1424) S/MIME PGP(Pretty Good Privacy),电子邮件系统主要涉及的协议如下: SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)(RFC821) POP3(Post Office Proto
2、col Version 3,邮局协议版本3)(RFC1939) IMAP4(Internet Message Access Protocol Version 4,Internet消息访问协议版本4)(RFC2060) RFC822(Format of Electronic Mail Messages) MIME(Multipurpose Internet Mail Extensions,多用途Internet邮件扩展协议)(RFC 2045) HTTP(Hypertext Transfer Protocol,超文本传输协议)(RFC2616) HTML(Hypertext Markup Lan
3、guage超文本标识语言)(RFC1866),电子邮件安全安全需求,郑州轻工业学院计算机与通信,机密性:只有接收者才能阅读 报文的加密:关键是密钥的分发 收发双方如何共享密钥? 认证:发送者的身份认证 基于公钥技术,发送者私钥对报文摘要进行加密,即数字签名 基于共享密钥:事先发送者与接收者共享一个密钥,采用消息认证码(MAC)对报文进行认证 完整性:报文未被修改 报文的完整性与身份认证的方法类似,通常可在一起进行 抗否认性:发信者的不可抵赖性,可供第三方鉴别 基于公钥技术,采用发送者的私钥签名,发送者生成一个密钥,采用对称密码算法加密报文,即SM 再用接收方的公钥加密密钥S,并与加密的报文同时
4、发送。 假设接收者有A、B、C三人,就分别生成三个加密密钥KAS,KBS,KCS。,郑州轻工业学院计算机与通信,电子邮件安全PEM概述,PEM(Privacy Enhanced Mail)协议是80年代末90年代初发展起来的,它的功能主要包括加密、源认证和完整性,RFC1421-1424 与此同时,出台了传输多种媒体格式的EMAIL标准:MIME,S/MIME(RFC2633)采用了PEM的许多设计原理在MIME的基础上进行了扩展 PEM是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能,允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。 对于每个电子邮件报文可以在报文
5、头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。,郑州轻工业学院计算机与通信,电子邮件安全PEM构成,PEM将邮件报文分成几部分,有的需要加密,有的则需要认证,这些需要特殊处理的报文通过语句标记。 例如在需要加密的报文段前插入 BEGIN PRIVACY-ENHANCED MESSAGE 在需要加密的报文后插入 END PRIVACY-ENHANCED MESSAGE 报文加密采用DES算法 认证采用MD-5 密钥的分发 基于公钥技术,用接收者的公钥加密会话密钥,并在RFC 1422中定义了证书体系。 基于对称密码时,采用事先共享的密钥加密会话密钥。,郑州轻工业学院计算机与通信,电子
6、邮件安全PEM过程,电子邮件基本原理,电子邮件的传输机制 基本协议及其标准 MINE,传输机制,1982年制定了简单电子邮件传输协议SMTP,成为事实上的标准,1984年,CCITT制定了报文处理系统MHS标准及其MOTIF标准,1988年,X.400定义了一个功能强大的电子邮件标准,但是过于复杂,没有推广使用。 SMPT只能传输可打印的ASCII码邮件,1992年制定了新的电子邮件标准-MIME.,邮政系统,读信,拆封,封装,写信,投入信箱,宿邮局接收,源邮局发送,投入邮筒,发信者,收信者,中转,用户,邮政传递系统,message,envelope (address),addressing
7、routing,collecting,delivering,阅读,拆封,封装,编辑,投入邮箱,宿主机接收,源主机发送,邮件缓存,发送方,接收方,中转,用户,邮件传输系统,电子邮件系统,Mail program,message,envelope (address),collecting,addressing routing,delivering,用户接口(用户代理user agent):在本地运行,具有友好的界面来发送和接收电子邮件,具有撰写、显示、处理邮件的功能。 邮件传输程序在后台运行,完成将邮件发送和接收功能,邮件传输程序也成为报文传输代理(message transfer agent)-
8、MAT. 电子邮件传输过程中经过多个结点,每个结点都要安装MTA,进行邮件的存储转发。 MAT的集合构成了报文传输系统(MTS),基本协议及其标准(一) -SNMP,SMTP协议是最早出现的,也是被普遍使用的最基本的Internet邮件服务协议。协议规定了客户与服务器MTA之间双向通信的规则和信封信息的传递。是两个MTA之间的通信协议。 SMTP工作在两种情况下:一是电子邮件从客户机传输到服务器;二是从某一个服务器传输到另一个服务器。 最初,使用SMTP服务不需要额外的身份验证。但随着垃圾邮件越来越多,现在的SMTP服务向接收邮件的POP服务看齐了,同样需要身份验证,这在一定程度上避免了垃圾邮
9、件。 SMTP使用众所周知的TCP端口25,是个请求/响应协议,命令和响应都是基于ASCII文本,并以CR和LF(回车换行)结束。 规定了14条命令和21中应答信息。每个命令有4个字母组成。,SMTP通信的三个阶段,建立连接:发送方将要发送的电子邮件送到邮件缓冲区,SMTP客户每隔一定时间岁缓冲区进行扫描,如果发现有邮件,通过25号端口与目的主机的SMTP服务器建立TCP连接,SMTP服务器发出“220 service ready”消息,客户机法搜刮“hello”响应,并附上主机名。如果准备好,SMTP回答“250 ok”。 邮件传输:执行mail命令,发送方发出RCPT命令,接受方对于每个命
10、令都要发送“250ok”确认。最后通过DATA命令发送内容。 连接释放:发送完毕,SMTP客户发送quit命令,接受方回应221,关闭连接。,基本协议及其标准(二) -文本电子邮件标准,电子邮件由三部分组成: 信封(envelope)是MTA用来交付的信息,如: MAIL FROM: RCPT TO: 信头(首部)由用户代理使用。如: Received、Message-Id、From、Data、Reply-To、X-Mailer、To、Subject等等。每个首部字段都包含一个名称,紧跟一个冒号,接着是字段值。RFC822指明了首部字段的解释,其中以X-开始的首部字段是用户定义的字段。长首部字
11、段,如Received,被折在几行中,以空格开头。 信体 是用户想要传送的报文和数据。,POP3,与SMTP协议相同,POP3也是个请求/响应协议。其命令由短关键字构成,后面接着可选的参数,以CR和LF符结束,作为单行文本发送。例如: USER name 给出用户信箱名称。 PASS password 给出用户信箱口令。 STAT 请求服务器返回消息数和大小。 RETR msgnum 请求服务器发送指定的报文。 DELE msgnum 请求服务器删除指定的报文。 QUIT 结束会话。,IMAP4协议,IMAP(Internet Message Access Protocol)是一种强有力的邮箱
12、访问方式,它为用户提供了有选择地从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能。,与POP3的比较: POP3提供了快捷的邮件下载服务,用户可以把邮箱里的信下载到PC上进行离线阅读,并可以选择将邮件从服务器上删除。用户在任何时候都可阅读已经下载的邮件。 IMAP同样提供了方便的邮件下载服务,让用户能进行离线阅读,但远远不只这些。IMAP提供的摘要浏览功能可以让用户在阅读完所有的邮件到达时间、主题、发件人、大小等信息后作出是否下载邮件的决定。配合IMAP客户端软件的支持,用户还可以有选择的下载附件。举例来说,假如一封邮件里含有大大小小共5个附件,而其中只有2个附件是你需要的,
13、你就可以只下载那两个附件,节省了下载其余3个的时间。,电子邮件的传输机制,发送者UA创建一个电子邮件,-经过本地的MTA发送,-再经过MTS传输至接受者的MTA进行接收,-并使用接受者的UA显示报文。,郑州轻工业学院计算机与通信,PEM密钥管理与存在问题,MIME,MIME的英文全称是“Multipurpose Internet Mail Extensions” 多功能Internet 邮件扩充服务,它是一种多用途网际邮件扩充协议,在1992年最早应用于电子邮件系统,但后来也应用到浏览器。服务器会将它们发送的多媒体数据的类型告诉浏览器,而通知手段就是说明该多媒体数据的MIME类型,从而让浏览器
14、知道接收到的信息哪些是MP3文件,哪些是Shockwave文件等等。服务器将MIME标志符放入传送的数据中来告诉浏览器使用哪种插件读取相关文件。 MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。,SMTP的缺点,不能传输可执行文件或者二进制文件。 限于传输7位的SACII码,其他语言文字无法传输。 服务器拒绝超过一定长度的邮件。 没有完全按照RFC821的SMTP标准,存在一些问题:回车、换行的删除和增加;后面多余空格的删除;超过76个字符时的处理:
15、截断或自动换行。 以上的缺点促使MIME出现。MIME没有改动和取代SMTP,增加了新体的结构。,MIME的内容,定义了5个新的信头字段 MIME-ver:版本号,现在是1.0. Content-description:可读字符串,描述邮件内容,相当于文件的主题。 Content-ID:邮件的唯一标识符 Content-transfer-encoding:邮件主体的编码格式 Content-type:说明邮件的性质 定义了很多邮件内容的格式,对多媒体电子邮件的表示方法进行了标准化。 定义了传输编码,可以对任何内容格式进行转换。,MIME内容的类型,Content-type必须包含两个标识符:内
16、容类型、子类型 标准定义了7种基本类型和15种子类型。 Text:1.plain:未格式化的文本。2.richtext:有少量格式命令的文本。 Image:1.gif:gif格式的静止图像。2.jpeg:格式静止图像 Audio:basic 声音 Video:mpeg 影片 Application:1.octet-stream二进制数据。2.postscript可打印邮件 Message:rfc822;partial分割;external邮件从其他位置获取 Multipart:mixed;alternative;parallel;digest,MIME传送编码,Mime传送的主要编码有:7位、8位、二进制、基数64、quoted-printable等 Internet上使用的标准是7位的ASCII、对于8位和二进制的多媒体邮件是直接传送多媒体邮件的内容,没有对其进行转码。 quo
