【摘要】隨著在內(nèi)部使用郵件辦公的企業(yè)公司的增加，與此同時(shí)對(duì)企業(yè)網(wǎng)內(nèi)部的攻擊愈加頻繁增多。企業(yè)內(nèi)部的郵件系統(tǒng)正面對(duì)著更多的安全威脅問(wèn)題。鑒于此，本文介紹如何利用證書(shū)服務(wù)實(shí)現(xiàn)安全地收發(fā)郵件。

【關(guān)鍵詞】證書(shū)服務(wù)；PKI；郵件；安全

伴隨著計(jì)算機(jī)技術(shù)以及通信技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)的應(yīng)用越來(lái)越廣泛，電郵的使用頻率也越來(lái)越高。然而互聯(lián)網(wǎng)的安全性極低，如果是重要的信息如合同、商業(yè)機(jī)密、設(shè)計(jì)文件等在郵件中如果被人攔截，造成的損失不可估量。這就要求電郵能夠機(jī)密、完整，且認(rèn)證和不可否認(rèn)，而它們都可以通過(guò)PKI技術(shù)來(lái)實(shí)現(xiàn)。

1.什么是PKI？

1.1 PKI技術(shù)

PKI技術(shù)是英文Pubic Key Infrastructure的縮寫(xiě)，翻譯過(guò)來(lái)是公鑰基礎(chǔ)設(shè)施。這種技術(shù)核心在于“非對(duì)稱(chēng)加密技術(shù)”。而非對(duì)稱(chēng)加密技術(shù)又分為公鑰和私鑰兩種。而公鑰和私鑰的使用順序和使用者不同，則完成了加密和解密的過(guò)程。

1.2 公鑰加密私鑰解密

1.2.1 原理

常見(jiàn)的公鑰密碼技術(shù)是RSA以及橢圓算法ECC。即使用兩個(gè)足夠大的質(zhì)數(shù)與需要加密的文字相乘生產(chǎn)的積來(lái)實(shí)現(xiàn)加解密。這兩個(gè)質(zhì)數(shù)不管是哪個(gè)與被加密的文字相乘實(shí)現(xiàn)加密，都能夠用另一個(gè)質(zhì)數(shù)再相乘而實(shí)現(xiàn)解密。如果不是持有者，破解的時(shí)間復(fù)雜度達(dá)到n的二次根的平方，從而達(dá)到郵件的不可抵賴(lài)性和傳遞過(guò)程的完整性。

1.2.2 舉例說(shuō)明加密解密和數(shù)字簽名的過(guò)程

舉例來(lái)說(shuō)，A和B皆具有第三方CA所簽發(fā)的證書(shū)，A使用公鑰對(duì)郵件進(jìn)行加密，郵件以密文方式傳送給B后，B以私鑰可以解開(kāi)密文，轉(zhuǎn)換成原文。私鑰具有私密性，唯一性，對(duì)于B來(lái)說(shuō)，只有自己掌握才是最安全的。而對(duì)郵件使用私鑰加密，因?yàn)槠湮ㄒ恍?，則有起到簽名的作用，保證了郵件的真實(shí)性。當(dāng)A以自己的私鑰對(duì)郵件加密時(shí)，所有的與其相對(duì)應(yīng)的公鑰都可以解開(kāi)其郵件，而在傳輸過(guò)程中則仍是密文方式，即使被攔截也無(wú)法明文閱讀，從而實(shí)現(xiàn)了郵件的安全性收發(fā)。以上描述可以用圖1來(lái)表示。

通過(guò)以上圖解和文字說(shuō)明，PKI技術(shù)的基本過(guò)程已經(jīng)一目了然。另外要加以補(bǔ)充的是，因?yàn)槊荑€有一個(gè)加密轉(zhuǎn)換的過(guò)程，還可以通過(guò)分析密文了解是否有攔截或者受到過(guò)攻擊。

1.2.3 對(duì)HASA函數(shù)的要求以及驗(yàn)證的步驟

1.2.3.1 對(duì)HASA函數(shù)的要求

①其接受的輸入報(bào)文數(shù)據(jù)不存在長(zhǎng)度限制；

②對(duì)任何輸入報(bào)文數(shù)據(jù)皆生成固定長(zhǎng)度的摘要（即數(shù)字指紋）輸出；

③從報(bào)文算出摘要非常簡(jiǎn)便；

④無(wú)法對(duì)指定的摘要生成一個(gè)報(bào)文，但是由該報(bào)文則可算出該指定的摘要；

⑤無(wú)法生成兩個(gè)不同的報(bào)文具有同樣的摘要。

1.2.3.2 驗(yàn)證的步驟

①利用自己的私鑰將信息轉(zhuǎn)換為明文；

②利用發(fā)信方的公鑰通過(guò)數(shù)字簽名部分得到原文摘要；

③收件方對(duì)發(fā)件方所發(fā)送的源信息再進(jìn)行hash運(yùn)算，又產(chǎn)生一個(gè)摘要；

④收件方對(duì)兩個(gè)摘要進(jìn)行比較，如果二者相同，便可以證明信息簽名者是真實(shí)身份。

2.證書(shū)的申請(qǐng)過(guò)程

2.1 認(rèn)識(shí)機(jī)構(gòu)CA（Certificate AUthority）

CA即Certificate AUthority，中文意思是電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)。她作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中，公鑰的合法性檢驗(yàn)職責(zé)。CA是PKI的核心，通過(guò)公私鑰核對(duì)的簽名和驗(yàn)簽，實(shí)現(xiàn)PKI提供的不可否定性服務(wù)。

2.2 證書(shū)的申請(qǐng)

①將活動(dòng)目錄證書(shū)服務(wù)角色添加到計(jì)算機(jī)中，并在計(jì)算機(jī)的域控制器里進(jìn)行企業(yè)根CA或者是獨(dú)立根CA安裝。

②注冊(cè)為域的用戶(hù)，填寫(xiě)表格，設(shè)置專(zhuān)有郵箱，因?yàn)橐粚?duì)公私鑰只對(duì)應(yīng)一個(gè)郵箱。

③將MMC打開(kāi)，并將“證書(shū)”管理單元添加到“可用管理單元”中。

④在瀏覽器中輸入testca.netca.net回車(chē)，點(diǎn)擊證書(shū)申請(qǐng)，將證書(shū)安裝到計(jì)算機(jī)上。

在進(jìn)行證書(shū)申請(qǐng)的同時(shí)，公鑰和私鑰也已創(chuàng)建完成，并會(huì)自動(dòng)在客戶(hù)端的計(jì)算機(jī)的注冊(cè)表中進(jìn)行私鑰的儲(chǔ)存。私鑰存儲(chǔ)完成后，會(huì)把與證書(shū)申請(qǐng)有關(guān)的數(shù)據(jù)資料和公鑰一起發(fā)送到計(jì)算機(jī)的域控制器里的CA中。

2.3 查看申請(qǐng)是否成功

雖然申請(qǐng)完成，但是是否安裝需要檢查一下。在瀏覽器工具選項(xiàng)里“internet選項(xiàng)”切換至“內(nèi)容”查找“證書(shū)”即可。

2.4 綁定證書(shū)

在打開(kāi)的證書(shū)里綁定唯一的郵箱。

①在windows中，Outlook Express上方打開(kāi)工具選擇賬戶(hù)，在郵件中選擇對(duì)應(yīng)賬戶(hù)，點(diǎn)擊屬性切換至安全，即可選擇簽名或者加密之一。

②如果是Foxmail，在相應(yīng)賬戶(hù)右擊打開(kāi)屬性，找到“安全”依次選擇。

3.利用證書(shū)服務(wù)安全收發(fā)郵件的內(nèi)部傳輸機(jī)制

①通過(guò)TCP把客戶(hù)端與服務(wù)器端建立起一種關(guān)系；

②客戶(hù)端會(huì)通過(guò)服務(wù)器對(duì)發(fā)件人的身份進(jìn)行確認(rèn)；

③對(duì)客戶(hù)端進(jìn)行MALL命令的發(fā)送；

④服務(wù)器對(duì)命令作出響應(yīng)，并對(duì)客戶(hù)端進(jìn)行指示；

⑤客戶(hù)端在發(fā)出RCPT的命令，通知服務(wù)器進(jìn)行接收郵件的準(zhǔn)備。

⑥完成傳輸過(guò)程。

4.總結(jié)

互聯(lián)網(wǎng)的發(fā)展在給企業(yè)帶來(lái)機(jī)遇的同時(shí)也帶來(lái)技術(shù)上的挑戰(zhàn)，通過(guò)郵件發(fā)送合同或者機(jī)密資料等變得越來(lái)越頻繁，而安全性比較低。希望通過(guò)本文可以了解到數(shù)字安全證書(shū)的基本原理，從而為企業(yè)的郵件收發(fā)安全性提供幫助。

參考文獻(xiàn)

[1]趙爾丹.利用數(shù)字證書(shū)實(shí)現(xiàn)電子郵件的數(shù)字簽名和加密[J].河北軟件職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2006，8（4）：51-54.

[2]董清譚.淺談使用數(shù)字證書(shū)保護(hù)電子郵件安全[J].中國(guó)信息界，2011（5）：36-38.

[3]陳前軍.帶認(rèn)證功能的電子郵件發(fā)送過(guò)程分析與實(shí)現(xiàn)[J].電腦編程技巧與維護(hù)，2012（24）：112-114.

[4]馮理明.通過(guò)證書(shū)實(shí)現(xiàn)郵件收發(fā)的安全性[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2011（12）：159-161.

[5]本文有參考百度百科詞目“CA認(rèn)證”.