Exchange 2000让电子邮件系统更加安全(1)-KMS结构和安装

----微软公司的Exchange Server一直提供高级安全功能，以便用户保护其邮件信息的安全。这些高级安全功能确保信息的机密性和完整性，并检查信息发送者身份的真实性，他提供端到端信息保护，从发送者签名、加密信息开始，直到接收者阅读信息，信息在传输过程中的各个环节，甚至在Exchange Server的信息存储器（Information Store，IS）和用户的个人文档夹中，都一直处于加密保护状态。Exchange围绕可选的密钥管理服务器（Key Management System，KMS）构造了高级安全体系。本文将讨论Exchange 2000 Server的KMS版本，连同KMS和以前的Exchange Server 5.5版本的主要不同之处，并讨论有关微软Outlook 2000 和Outlook Express 5.0 Secure MIME（S/MIME）的特点。

KMS基础和互操作

----Exchange的高级安全功能具备一个独特的密钥恢复特性，即能够使用户恢复丢失或删除的加密密钥。需要注意的是，不要把密钥委托保管和密钥恢复相混淆; 前者负责有关部门（如政府机构）对用户加密数据的访问，而后者负责用户访问他们自己的加密数据。

----在高级安全体系中，密钥恢复是基于服务器的。对于每一位能够使用高级安全功能的用户，KMS数据库中保存着当前和过去的加密密钥，这体现了双重密钥的工作方式，即用户有一对密钥用于加密，另一对密钥用于签名。假如高级安全体系仅仅使用一对密钥，并把这对私人密钥保存在KMS数据库中用于密钥恢复，他就不能确保可信的数字签名服务。数字签名需要用户能够访问只有他自己才能访问的私人签名密钥，否则任何人都能够模仿该用户。因此，Exchange Server只把签名密钥对保存在客户端。基于服务器的安全需要更多的管理职能，系统管理员必须在高级安全体系中对用户进行登记，定期地备份KMS数据库，以便必要时恢复用户的加密密钥。

----经过不断发展，Exchange Server KMS现在已能够发布实用的安全消息。最初，KMS只产生Ｘ.509版本1的证书。Exchange Server 5.5 Service Pack 1（SP1）在这方面做了重要改进。在SP1中，用户能够向产生X.509 版本3证书的微软认证服务器（Microsoft Certificate Server，MCS）提供证书底稿。现在，KMS已成为注册机构。按照公钥体系（PKI）的定义，除了产生和废除证书外，注册机构执行任何证书管理的任务。证书机构负责证书的产生和废除；而注册机构识别用户，产生证书需求。由于KMS的这一重大改进，高级安全功能和企业PKI开始完全集成在一起。

----开放标准对于互通性很重要。KMS高级安全功能既按照使用国际电信联盟的电信技术部（ITU-T）定义的证书格式定制X.509标准，也使用Internet 的安全信息标准S/MIME，因此具备良好的互通性。S/MIME是混合密码方案的优秀典型，他把对称及不对称密码和散列法的功能捆绑在一起。1999年７月，IETF在RFC 2632～2634中描述了S/MIME 3.0标准。在高级安全方面，互通性是很重要的，即安全系统是否支持双密钥对，现在并非任何厂商的S/MIME产品都支持双密钥对系统。

KMS结构

----基本的Exchange 2000 KMS结构和以前具备高级安全功能的密钥管理服务系统没有较大的区别。新的KMS仍然使用一个私人JET数据库（kmsdir.edb）保存由KMS管理的账户和口令，连同用户的私人密钥、签名和保密历史。Exchange 2000 KMS仍然从KMS数据库获取一个密钥，并使用这个密钥加密和解密JET数据库。系统管理员必须在每次KMS启动时手工地输入口令，用他作为启动参数；或把口令放在磁盘中，半自动地启动KMS。但是，Exchange 2000 KMS提供了一种新的选择，以便系统管理员能够改变数据库启动口令。这项特性增强了安全机制。假如需要改变口令，只需用鼠标右键点击“Key Manager”（ 密码管理）按钮，选择任何的项目，就能够改变口令。

----为了使128位KMS数据库加密功能更加强大，新的KMS仍然使用Exchange独特的加密服务提供者（Cryptographic Service Provider，CSP）。一旦发生KMS离线的情况， Exchange 2000的系统助理（System Attendant，SA）能够起到缓冲存储的作用，存储和KMS相关用户的请求。例如，当一个用户在高级安全系统上进行登记而KMS处于离线状态时，那么该用户提交的签名证书请求将一直由SA存储，直到KMS在线。

----由于微软在Exchange 2000 和Windows 2000之间实现了目录集成，现在活动目录（Active Directory，AD）能够存储更多的内容，包括证书、证书废除表（Certificate Revocation List，CRL）和加密参数等。

----为了让Exchange 2000的KMS能使用X.509 版本3证书，系统管理员能够把KMS连接到证书服务器上，他们不再需要在证书服务器上安装特别的CA策略模块expolicy.dll。Windows 2000的证书服务器所包含的策略模块已支持Exchange 2000。为了和Outlook 97及早期版本的S/MIME兼容，新的KMS仍然支持X.509版本1证书格式。

----要使KMS能够产生X.509版本1格式的证书，能够进行如下操作：双击“Key Manager”按钮，输入KMS管理口令，点击“Enrollment”（登录）选项卡，选择“I have Outlook 97 or older clients in my organization. Issue Version 1 and version 3 certificates”（在我的组织中有Outlook 97或早期客户能够发行版本1和版本3证书）复选框，如图１所显示的那样。于是，在用户登录时，KMS就能够自动检测客户端的情况。然后，KMS根据检测结果，针对不同的客户产生不同的证书。假如客户采用的是Outlook 97，那么产生一个X.509 版本 1证书; 假如客户采用的是Outlook 98或更高版本，则除了产生一个X.509版本1证书，还向证书服务器发出请求，申请产生一个X.509 版本3证书。

BBS.bitsCN.com网管论坛

高级安全服务器端的安装

----在安装Exchange 2000高级安全功能之前，需要安装Windows 2000、Exchange 2000、AD和Windows 2000 CA。利用Windows 2000 CA是Exchange 2000 KMS和以前版本的重要区别。系统管理员必须把CA和AD集成起来，这项集成也称为企业CA，同时需要加载机器登录代理（Machine Enrollment Agent）、Exchange用户（Exchange User）和Exchange用户签名（Exchange User Signature）模板。本文把随模板一起加载的CA称为KMS-CA。Windows 2000的证书模板对决定CA能够发布哪种类型的证书提供了比较灵活的方法。有了Windows 2000的发行候选者2（Release Candidate 2，RC2），就能够利用机器登录代理、Exchange用户和Exchange用户签名证书模板等。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!