萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> Exchange 2000讓電子郵件系統更加安全(三)

Exchange 2000讓電子郵件系統更加安全(三)

  S/MIME協議的實現     安全MIME(S/MIME)是Internet上信息安全方面事實上的標准。許多組織以S/MIME作為他們內部的公共密鑰結構(PKI)的基礎。前面部分介紹了S/MIME在信息安全方面的特點和能力,以及微軟Exchange 2000密鑰管理服務器(KMS)上的S/MIME的一些新特性。現在我們轉到客戶端來,深入研究S/MIME和客戶端有關的部分,以及怎樣在X.509和MIME的基礎之上構建S/MIME系統。       MIME和S/MIME      Internet電子郵件由一個郵件頭部和一個可選的郵件主體組成,其中郵件頭部含有郵件的發送方和接收方的有關信息。對於郵件主體來說,特別重要的是,IETF在RFC 2045~RFC 2049中定義的MIME規定,郵件主體除了ASCII字符類型之外,還可以包含各種數據類型。用戶可以使用MIME增加非文本對象,比如把圖像、音頻、格式化的文本或微軟的Word文件加到郵件主體中去。MIME中的數據類型一般是復合型的,也稱為復合數據。由於允許復合數據,用戶可以把不同類型的數據嵌入到同一個郵件主體中。在包含復合數據的郵件主體中,設有邊界標志,它標明每種類型數據的開始和結束。      S/MIME在安全方面的功能又進行了擴展,它可以把MIME實體(比如數字簽名和加密信息等)封裝成安全對象。RFC 2634定義了增強的安全服務,例如具有接收方確認簽收的功能,這樣就可以確保接收者不能否認已經收到過的郵件。微軟將在未來的Office 2000新版本中包含這些服務。S/MIME增加了新的MIME數據類型,用於提供數據保密、完整性保護、認證和鑒定服務等功能,這些數據類型包括“應用/pkcs7-MIME”(application/pkcs7-MIME)、“復合/已簽名”(multipart/signed)和“應用/pkcs7-簽名”(application/pkcs7-signature)等。如果郵件包含了上述MIME復合數據,郵件中將帶有有關的MIME附件。在郵件的客戶端,接收者在閱讀郵件之前,S/MIME應用處理這些附件。如表1所示,附件的擴展名因復合數據類型所提供的S/MIME服務的不同而異。在MIME的頭部,標識了MIME附件的名字。一些郵件客戶端,如果沒有安裝具有S/MIME能力的系統,或安裝的是早期S/MIME的版本,也需要通過這些附件來識別郵件中和S/MIME有關的內容。其他郵件客戶端則更是完全依靠復合數據信息識別MIME實體。      S/MIME只保護郵件的郵件主體,對頭部信息則不進行加密,以便讓郵件成功地在發送者和接收者的網關之間傳遞。     透明和不透明的簽名      如表1所示,用戶可以使用application/pkcs7-MIME數據類型或multipart/signed和 application/pkcs7- signature等復合數據類型標記郵件的郵件主體。每個應用執行不同的簽名類型:透明的(clear)和不透明的(opaque)。這兩種簽名類型可以在S/MIME和非S/MIME郵件客戶端之間交換已簽名的郵件。透明簽名的郵件把數字簽名同已簽名的數據區分開來,不透明的簽名郵件將簽名和信息綁定在同一個二進制文件中。圖1顯示了透明簽名的郵件格式,圖2顯示了不透明簽名的郵件格式。     MISE內容類型 MISE子類型 S/MIME類型 S/MIME服務 附件擴展名   應用 Pkcs7-MIMS 簽名數據 保證數據的完整性、認證和無法否認接收; 使用不透明簽名 .p7m   封裝數據 保證數據的真實性 .p7m   復合 signed NA 保證數據的完整性、認證和無法否認接收; 使用透明簽名 NA   應用 Pkcs7- signature NA 保證數據的完整性、認證和無法否認接收; 使用透明簽名 .p7s             通過Outlook 2000或Outlook Web Access(OWA),系統管理員可以看出透明和不透明簽名郵件的區別。浏覽透明簽名郵件的明文不需要S/MIME處理。Outlook 2000的預覽窗口如圖3所示,透明簽名郵件的內容可以直接顯示出來。但對於不透明簽名郵件,系統管理員必須雙擊它,以便讓S/MIME對郵件進行處理,5自學網,才能看到內容。OWA不支持S/MIME,所以只能通過OWA的接口閱讀透明簽名的郵件;不透明簽名的和加密的郵件則顯示一個smime.p7m附件。     因為郵件的信息交換隱含了一個一步完成的協議,即在郵件傳輸完成之前,郵件的發送方和接收方之間沒有交互,發送方可能不知道接收方的S/MIME能力。不管郵件客戶端是否具有S/MIME能力,都可以閱讀透明簽名的郵件。然而,不透明簽名郵件和透明簽名郵件比較起來,有一個重要的優點,因為發送方和接收方之間的網關不能改變不透明簽名郵件中MIME數據的隱藏明文部分。當用戶從一個郵件API(MAPI)郵件客戶,比如團體/工作組(Corparate/Workgroup)方式的Outlook 2000發送一條透明簽名郵件給一個SMTP-MIME郵件客戶(例如Outlook Express 5.0),5自學網,發送客戶使用MAPI規則格式化郵件。SMTP網關將把郵件轉換成MIME格式。在轉換過程中,同時也改變了郵件的明文部分,這將造成接收方的簽名檢查返回無效的結果,好像出現了非法入侵。這種無效錯誤在Exchange 2000中不像在Exchange Server 5.5中出現得那麼頻繁。Exchange 2000的流數據庫(Streaming Database)存儲本地的MIME郵件,這樣Exchange 2000只有在絕對必須時才把MIME郵件轉換成MAPI郵件,例如,當MAPI客戶想要閱讀MIME格式的郵件時。      不成文的規矩是,當用戶不知道接收方是否具有S/MIME能力時,一般發送透明簽名郵件; 向具有S/MIME能力的客戶端發送不透明簽名的郵件。如果從一個本地的MAPI客戶端經過SMTP或X.400網關發送郵件,例如,在兩個通過SMTP連接的MAPI客戶端之間,或者從MAPI客戶端向SMTP客戶端發送郵件時,也發送不透明簽名的郵件。在Outlook 2000 和Outlook Express 5.0上,用戶可以選擇任何一種簽名方式。在Outlook 2000上,通過郵件選項設置簽名方式;在Outlook Express 5.0上,通過郵件客戶的“高級安全”選項設置簽名方式。     Outlook和S/MIME      Outlook 2000是微軟公司發布的、比較成熟的郵件客戶端的最新版本。微軟還提供Outlook Express 5.0,它是微軟隨Internet Explorer 5.0一起發行的基於Internet的郵件客戶系統,相對來說比較簡單。系統管理員可以通過POP3或IMAP4把Outlook Express 5.0與Exchange 2000或Exchange Server 5.5相連接。另外,也可以把一個郵件客戶端通過輕型目錄訪問協議(Lightweight Directory Access Protocol,LDAP)連接到一個目錄上。表2顯示了這些客戶端的主要S/MIME特性的概況。     表2 微軟S/MIME客戶端特性的比較        Outlook 2000 Outlook 2000 Internet Mail Outlook 2000 Express 5.0   密鑰恢復 是 否 否   支持CDP 是 是 是   密鑰存儲 保護存儲,選擇系統密鑰保護 保護存儲,選擇系統密鑰保護 保護存儲,選擇系統密鑰保護   支持透明和不透明簽名 是 是 是   S/MIME登錄 KMS,內部CA,商業CA 內部CA,商業CA 內部CA,商業CA   S/MIME登錄發起者 KMS管理員,用戶 用戶 用戶   重新認證 自動 警告(取消和過期) 警告(取消和過期)   支持LDAP 是 是 是   支持PKCS#2 是 是 是      系統管理員可以選擇以下兩種電子郵件方式安裝Outlook 2000:“團體/工作組”或“Internet惟一郵件”(Internet Mail Only)方式,或選擇“無電子郵件方式”(No E-Mail Mode)。前兩種電子郵件方式支持不同的協議:“團體/工作組”方式提供一個具備全部功能的MAPI郵件客戶端,它支持SMTP和POP協議,並有LDAP支持選項(通過LDAP目錄服務實現)。“Internet惟一郵件”方式提供一個基於ISP的郵件客戶端,它支持SMTP、IMAP、POP和LDAP等協議。系統管理員可以在Outlook 2000的郵件服務選項對話框中使用“重新配置郵件支持”按鈕選擇方式,Outlook 2000在機器級為每個在本機上注冊的用戶重新配置電子郵件方式。      從S/MIME的觀點看,這兩種方式之間存在著根本的區別。當系統管理員希望為企業的郵件客戶提供密鑰恢復功能時,應該采用“團體/工作組”方式安裝Outlook 2000客戶。因為這種方式使用戶能夠在Exchange 2000的高級安全中登錄客戶,從而在郵件客戶端可以充分利用Exchange 2000存儲在動態目錄(AD)中的S/MIME加密參數選擇的優勢。     驗證登錄和重新登錄      系統管理員負責Exchange 2000高級安全登錄的初始化,產生並分發客戶可以用來登錄S/MIME驗證和密鑰的登錄令牌。如表2所示,每個郵件客戶都可以使用一個內部的或商用的CA來進行認證登錄。對於由Exchange 2000特有的證書模板加載的KMS-CA,則可以生成可以產生高級安全證書。當系統管理員使用Windows 2000企業版CA時,企業客戶可以使用一個基於Web()的或基於GUI(即微軟管理控制台的證書接口)的界面登錄。如果一個用戶從CA收到一個證書後,仍然不能發送S/MIME簽名的郵件,那麼就要在Outlook 2000上檢查他的S/MIME設置,或通過Outlook Express 5.0檢查用戶的郵件賬號和S/MIME證書之間是如何綁定的,如圖4所示。      證書重新登錄與登錄同樣重要。本文所提到的每個微軟郵件客戶終端,都會警告用戶什麼時候其證書將過期,或者CA和KMS管理員在什麼時候將廢除證書。與Exchange Server KMS結合的Outlook 2000的“團體/工作組”方式提供最高級的自動操作:出現一個對話框提示用戶登錄新證書,當用戶接受提示後,CA立即產生證書。Outlook 2000的“Internet惟一郵件”方式或Outlook Express 5.0上的用戶則必須重做登錄,替換掉過期的或被廢除的證書。      在Outlook 2000或Outlook Express 5.0上閱讀簽名郵件時,系統管理員系統不必安裝個人的S/MIME證書,或采用高
copyright © 萬盛學電腦網 all rights reserved