电子商务安全课件冯晓玲07.ppt

第7章 电子邮件系统 主要内容 邮件系统工作原理 邮件协议 安全邮件系统原理及其协议 安全电子邮件的发送与接收 电子邮件系统的组成与模式 用户代理（UA） 报文传送代理（MTA） 电子邮件系统相关协议 SMTP协议 SMTP协议 POP3协议 POP3协议 IMAP4协议 IMAP4协议 MIME协议 电子邮件的安全性 对于电子邮件而言，一般来说其安全性取决于邮件服务器的安全、邮件传输网络的安全以及邮件收发系统的安全。前两者不能从根本上解决电子邮件本身的安全问题，故采用在邮件收发系统中对邮件内容加以保护的方式 Mail安全目标:安全的电子邮件主要是解决身份鉴别和必威体育官网网址性的安全问题 安全电子邮件相关协议与标准 PGP PGP - Pretty Good Privacy 作者:Phil Zimmermann 提供可用于电子邮件和文件存储应用的必威体育官网网址与鉴别服务。 PGP PGP广泛应用的原因 免费、可用于多平台。 选用算法的生命力和安全性公众认可。 具有广泛的可用性。 不由政府或标准化组织控制。 PGP 密码功能概要 加秘密钥和钥匙环 PGP使用四种类型的密钥:一次性会话传统密钥、公钥、私钥、基于过度阶段的传统密钥 需求： 1 需要一种生成不可预知的会话密钥的手段 2 需要某种手段来标识具体的密钥 一个用户拥有多个公钥/私钥对（更换、分组） 3 每个PGP实体需要维护一个文件保存其公钥私钥对，和一个文件保存通信对方的公钥 公钥的作废 ? 密钥暴露或定时更新，导致需要公钥报废功能 ? 通常的报废方法是由主人签发一个密钥报废证书。这个证书具有与通常签名证书相同的形式但包含一个指示符，表明这个证书是要作废该公钥的使用。注意到所对应的私钥必须用来签名一个密钥报废证书，其主人应尽可能越广越快散布这个证书，以使得潜在的有关人员更新他们的公钥环。 ? 注意：对手也可以发出这个证书，然而这将导致他自己也被否决。因此，这样比起恶意使用偷来的私钥来看似乎会减少漏洞。 S/MIME 与PGP主要有两点不同 它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织（根证书）之间相互认证，整个信任关系基本是树状的，这就是所谓的Tree of Trust。还有，S/MIME将信件内容加密签名后作为特殊的附件传送，它的证书格式采用X.509，但与一般浏览器网上使用的SSL证书有一定差异。 安全电子邮件的生成 安全电子邮件的解析 实验操作 “网证通”试用型个人数字证书签发安全电子邮件 试用网站：/ 地址：北京市朝阳区惠新东街10号 邮编：100029 电话：010 E-mail: uibep@126.com * Bussiness College of Shanxi University * * 在终端上的用户 在终端上的用户 用户代理 用户代理 要发送的邮件队列 用户邮箱 报文传送代理 报文传送代理 发送方 接收方 TCP连接 客户 服务器 用户代理（UA，User Agent），用户与之打交道。它接受用户输入的指令，将用户给出的信件报文传送至报文传输代理。 报文传送代理（MTA，Message Transfer Agent），其主要工作是监视用户代理的请求，根据电子邮件的目标地址找出对应的邮件服务器，将信件在服务器之间传输并且将接收到的邮件进行缓冲或者提交给最终投递程序。 SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）（RFC821） POP3（Post Office Protocol – Version 3，邮局协议－版本3）（RFC1939） IMAP4（Internet Message Access Protocol – Version 4，Internet消息访问协议－版本4）（RFC2060） RFC822（Format of Electronic Mail Messages） MIME（Multipurpose Internet Mail Extensions，多用途Internet邮件扩展协议）(RFC 2045) HTTP（Hypertext Transfer Protocol，超文本传输协议）（RFC2616） HTML（Hypertext Markup Language超文本标识语言）（RFC1866） SMTP协议是最早出现的，被普遍使用的最基本的Internet邮件服务协议。协议规定了客户与服务器MTA之间双向通信的规则和信封信息的传递。 SMTP工作在两种情况下：一是电子邮件从客户机传输到服务器；二是从某一个服务器传输到另一个服务器。 起初，使用SM