第6章应用层安全协议new.ppt

第五部分 应用层安全通信协议
内 容 提 要
电子邮件安全协议
电子商务安全协议
网络管理安全体系
Web服务安全协议
第六章电子邮件安全——威胁与协议
电子邮件的威胁
邮件炸弹
邮件欺骗
邮件服务器控制权
电子邮件安全协议
PEM （Privacy Enhanced Email，RFC 1421 through 1424）
S/MIME
PGP（Pretty Good Privacy）
电子邮件系统主要涉及的协议如下：
SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）（RFC821）
POP3（Post Office Protocol – Version 3，邮局协议－版本3）（RFC1939）
IMAP4（Internet Message Access Protocol – Version 4，Internet消息访问协议－版本4）（RFC2060）
RFC822（Format of Electronic Mail Messages）
MIME（Multipurpose Internet Mail Extensions，多用途Internet邮件扩展协议）(RFC 2045)
HTTP（Hypertext Transfer Protocol，超文本传输协议）（RFC2616）
HTML（Hypertext Markup Language超文本标识语言）（RFC1866）
电子邮件安全——安全需求
机密性：只有接收者才能阅读
报文的加密：关键是密钥的分发
收发双方如何共享密钥？
认证：发送者的身份认证
基于公钥技术，发送者私钥对报文摘要进行加密，即数字签名
基于共享密钥：事先发送者与接收者共享一个密钥，采用消息认证码（MAC）对报文进行认证
完整性：报文未被修改
报文的完整性与身份认证的方法类似，通常可在一起进行
抗否认性：发信者的不可抵赖性，可供第三方鉴别
基于公钥技术，采用发送者的私钥签名
多个接收者时该怎么办？
发送者生成一个密钥，采用对称密码算法加密报文，即S{M}
再用接收方的公钥加密密钥S，并与加密的报文同时发送。
假设接收者有A、B、C三人，就分别生成三个加密密钥KA{S}，KB{S}，KC{S}。
电子邮件安全——PEM概述
PEM（Privacy Enhanced Mail）协议是80年代末90年代初发展起来的，它的功能主要包括加密、源认证和完整性，RFC1421-1424
与此同时，出台了传输多种媒体格式的EMAIL标准：MIME，S/MIME（RFC2633）采用了PEM的许多设计原理在MIME的基础上进行了扩展
PEM是在因特网电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。
对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。
电子邮件安全——PEM构成
PEM将邮件报文分成几部分，有的需要加密，有的则需要认证，这些需要特殊处理的报文通过语句标记。
例如在需要加密的报文段前插入
BEGIN PRIVACY-ENHANCED MESSAGE
在需要加密的报文后插入
END PRIVACY-ENHANCED MESSAGE
报文加密采用DES算法
认证采用MD-5
密钥的分发
基于公钥技术，用接收者的公钥加密会话密钥，并在RFC 1422中定义了证书体系。
基于对称密码时，采用事先共享的密钥加密会话密钥。
电子邮件安全——PEM过程
电子邮件基本原理
电子邮件的传输机制
基本协议及其标准
MINE
传输机制
1982年制定了简单电子邮件传输协议SMTP,成为事实上的标准，1984年，CCITT制定了报文处理系统MHS标准及其MOTIF标准，1988年，，但是过于复杂，没有推广使用。
SMPT只能传输可打印的ASCII码邮件，1992年制定了新的电子邮件标准---MIME.