Exchange 2000让电子邮件系统更加安全(3)-S/MIME协议的实现
来源:互联网
作者:west263.com
时间:2008-02-23
西部数码-全国虚拟主机10强!40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!
---- 安全MIME(S/MIME)是Internet上信息安全方面事实上的标准。许多组织以S/MIME作为他们内部的公共密钥结构(PKI)的基础。前面部分介绍了S/MIME在信息安全方面的特点和能力,连同微软Exchange 2000密钥管理服务器(KMS)上的S/MIME的一些新特性。现在我们转到客户端来,深入研究S/MIME和客户端有关的部分,连同怎样在X.509和MIME的基础之上构建S/MIME系统。
MIME和S/MIME
---- Internet电子邮件由一个邮件头部和一个可选的邮件主体组成,其中邮件头部含有邮件的发送方和接收方的有关信息。对于邮件主体来说,特别重要的是,IETF在RFC 2045~RFC 2049中定义的MIME规定,邮件主体除了ASCII字符类型之外,还能够包含各种数据类型。用户能够使用MIME增加非文本对象,比如把图像、音频、格式化的文本或微软的Word文档加到邮件主体中去。MIME中的数据类型一般是复合型的,也称为复合数据。由于允许复合数据,用户能够把不同类型的数据嵌入到同一个邮件主体中。在包含复合数据的邮件主体中,设有边界标志,他标明每种类型数据的开始和结束。
---- S/MIME在安全方面的功能又进行了扩展,他能够把MIME实体(比如数字签名和加密信息等)封装成安全对象。RFC 2634定义了增强的安全服务,例如具备接收方确认签收的功能,这样就能够确保接收者不能否认已收到过的邮件。微软将在未来的Office 2000新版本中包含这些服务。S/MIME增加了新的MIME数据类型,用于提供数据保密、完整性保护、认证和鉴定服务等功能,这些数据类型包括“应用/pkcs7-MIME”(application/pkcs7-MIME)、“复合/已签名”(multipart/signed)和“应用/pkcs7-签名”(application/pkcs7-signature)等。假如邮件包含了上述MIME复合数据,邮件中将带有有关的MIME附件。在邮件的客户端,接收者在阅读邮件之前,S/MIME应用处理这些附件。如表1所示,附件的扩展名因复合数据类型所提供的S/MIME服务的不同而异。在MIME的头部,标识了MIME附件的名字。一些邮件客户端,假如没有安装具备S/MIME能力的系统,或安装的是早期S/MIME的版本,也需要通过这些附件来识别邮件中和S/MIME有关的内容。其他邮件客户端则更是完全依靠复合数据信息识别MIME实体。
---- S/MIME只保护邮件的邮件主体,对头部信息则不进行加密,以便让邮件成功地在发送者和接收者的网关之间传递。
透明和不透明的签名
---- 如表1所示,用户能够使用application/pkcs7-MIME数据类型或multipart/signed和 application/pkcs7- signature等复合数据类型标记邮件的邮件主体。每个应用执行不同的签名类型:透明的(clear)和不透明的(opaque)。这两种签名类型能够在S/MIME和非S/MIME邮件客户端之间交换已签名的邮件。透明签名的邮件把数字签名同已签名的数据区分开来,不透明的签名邮件将签名和信息绑定在同一个二进制文档中。图1显示了透明签名的邮件格式,图2显示了不透明签名的邮件格式。
| 表1 S/MIME和MISE的内容类型扩展 | ||||
| MISE内容类型 | MISE子类型 | S/MIME类型 | S/MIME服务 | 附件扩展名 |
| 应用 | Pkcs7-MIMS | 签名数据 | 确保数据的完整性、认证和无法否认接收; 使用不透明签名 | .p7m |
| 封装数据 | 确保数据的真实性 | .p7m | ||
| 复合 | signed | NA | 确保数据的完整性、认证和无法否认接收; 使用透明签名 | NA |
| 应用 | Pkcs7- signature | NA | 确保数据的完整性、认证和无法否认接收; 使用透明签名 | .p7s |
---- 通过Outlook 2000或Outlook Web Access(OWA),系统管理员能够看出透明和不透明签名邮件的区别。浏览透明签名邮件的明文无需S/MIME处理。Outlook 2000的预览窗口如图3所示,透明签名邮件的内容能够直接显示出来。但对于不透明签名邮件,系统管理员必须双击他,以便让S/MIME对邮件进行处理,才能看到内容。OWA不支持S/MIME,所以只能通过OWA的接口阅读透明签名的邮件;不透明签名的和加密的邮件则显示一个smime.p7m附件。
---- 因为邮件的信息交换隐含了一个一步完成的协议,即在邮件传输完成之前,邮件的发送方和接收方之间没有交互,发送方可能不知道接收方的S/MIME能力。不管邮件客户端是否具备S/MIME能力,都能够阅读透明签名的邮件。然而,不透明签名邮件和透明签名邮件比较起来,有一个重要的长处,因为发送方和接收方之间的网关不能改变不透明签名邮件中MIME数据的隐藏明文部分。当用户从一个邮件API(MAPI)邮件客户,比如团体/工作组(Corparate/Workgroup)方式的Outlook 2000发送一条透明签名邮件给一个SMTP-MIME邮件客户(例如Outlook Express 5.0),发送客户使用MAPI规则格式化邮件。SMTP网关将把邮件转换成MIME格式。在转换过程中,同时也改变了邮件的明文部分,这将造成接收方的签名检查返回无效的结果,似乎出现了非法入侵。这种无效错误在Exchange 2000中不像在Exchange Server 5.5中出现得那么频繁。Exchange 2000的流数据库(Streaming Database)存储本地的MIME邮件,这样Exchange 2000只有在绝对必须时才把MIME邮件转换成MAPI邮件,例如,当MAPI客户想要阅读MIME格式的邮件时。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
