计算机网络教研室王宏日PPT课件.ppt

网络安全与电子商务 计算机网络教研室王宏2006年03月18日 本章包括以下6节 2 1Internet的安全2 2网络通信安全2 3WEB安全2 4WEB服务器安全2 5WEB浏览器安全2 6E MAIL与OUTLOOKEXPRESS安全2 7FTP安全 第2章 二 电子邮件安全 目的和要求 1 了解INTERNET上的安全隐患 2 了解网络通信安全及相关协议 3 了解WEB安全和邮件安全的漏洞和原理 4 能熟练配置WEB安全和邮件安全难点 了解WEB安全和邮件安全的漏洞和原理要点 WEB服务器和客户端安全措施以及邮件安全措施 2 6邮件服务器的安全 常用的邮件服务器 1 WindowsNT4 0Server Exchange5 5ServerWindows2000Server Exchange2000ServeWindowsServer2003邮件服务器2 MDaemon3 CMailServer邮件服务器4 FoxmailServer邮件服务器5 Sendmail邮件服务器6 Postfix邮件服务器7 imail8 lotusnotes9 WinmailServer 一 传统电子邮件 系统组成与工作模式 终端用户发送方 用户代理UA 要发送的邮件队列 报文传诵客户代理MTA 用户代理UA 用户邮箱 报文传送服务器代理MTA 终端用户接收方 TCP连接 一 传统电子邮件 相关协议 SMTP POP3IMAP4RFC822MIMEHTTPHTML 一 传统电子邮件 SMTP 默认端口TCP25 是最早出现和使用最普遍的最基本的INTERNET邮件服务协议 它规定了客户与服务器MTA之间双向通信的规则和信封信息的传递 SMTP的两种工作情况 邮件从客户机传输到服务器 邮件从某个服务器传输到另一个服务器 起初SMTP不需要额外的身份验证 导致垃圾邮件增多 现在也可以设置需要身份验证 一 传统电子邮件 SMTP协议格式 一 传统电子邮件 SMTP命令 每个简单命令后接参数HELLOMAILFROMRCPTTODATAQUIT服务器对客户的应答 由3个数字组成 后接字符串 如 220WELCOMETOCOREMAILSYSTEM221CLOSINGCONNETIONGOODBYE 一 传统电子邮件 POP3 TCP端口号110 是目前最常使用的电子邮件服务协议之一 它是一种允许用户从邮件服务器接收邮件的协议 具有简单邮件存储转发的功能 属于离线式工作协议 与SMTP相结合可以完成收发邮件的工作 一 传统电子邮件 POP3的状态 鉴别 AUTHORIZATION 客户对服务器标识自己 如果服务器鉴别成功 服务器就打开客户的邮箱 会话进入处理阶段 处理 TRANSACTION 客户请求服务器提供信息 如邮件列表 或完成动作更新 UPDATE 更新服务器上的客户信息 中断会话连接 一 传统电子邮件 POP3命令 USERname 给出用户信箱名PASSpassword 给出用户信箱口令STAT 请求服务器返回消息数和大小RETRmsgnum 请求服务器发送指定的报文DELEmsgnum 请求服务器删除指定的报文QUIT 结束会话POP3的回答有单行和多行 成功 OK 失败 ERR 多行应答 附加信息行 终止是一行中包含一个点字符后跟CR和LF 一 传统电子邮件 IMAP4 INTERNETMESSAGEACCESSPROTOCOL VERSION4 提供了访问和操作服务器上的邮件信息的方法 它允许用户象操作本地邮箱一样访问服务器上的远程文件夹 同时也允许用户下载邮件以提供离线浏览 IMAP4提供了 建立 删除和重命名邮箱 检查新邮件消息 永久删除邮件消息 设置清楚标志 RFC822和MIME格式解析 搜索以及有选择接收邮件的功能等 一 传统电子邮件 IMAP4与POP3相比 POP3提供了快捷的邮件下载服务 用户可以利用POP3把邮箱里的信下载到PC上进行离线阅读 一旦邮件进入PC的本地硬盘 就可以选择把邮件从服务器上删除 然后脱离与Internet的链接并可在任何时候阅读已经下载的邮件 IMAP同样提供了方便的邮件下载服务 让用户能进行离线阅读 但IMAP能完成的却远远不止这些 首先 IMAP提供的摘要浏览功能可以让你在阅读完所有的邮件到达时间 主题 发件人 大小等信息后才做出是否下载的决定 如果根据摘要信息就可以决定某些邮件对你毫无用处 你可以直接在服务器上把这些邮件删除掉 如果你的IMAP客户端软件完整支持IMAP4rev1 如Netscape4 5 那么你还可以享受选择性下载附件的服务 假如一封邮件里含有5个附件 而其中只有两个附件是你需要的 你就可以只下载那两个附件 节省了下载其余3个的时间 其实IMAP与POP3不同的地方关键是在支持离线阅读的同时也鼓励用户把邮件存储和组织在服务器上 一 传统电子邮件 IMAP4与WEBMAIL相比 也有很多用户喜欢通过Web来联机收发邮件 其中一个很重要的原因是这些用户希望把他的邮件都留在服务器上 并且通过WebMail服务建立多个文件夹 然后分类归档地管理自己的邮件 这样 WebMail的用户就可以不分时间地点 只要有一个浏览器就可以马上从服务器上获得自己的邮件 IMAP同样满足了WebMail用户的需要 和WebMail一样 通过IMAP 允许用户在服务器上建立任意层次结构的文件夹 并且可以灵活地在文件夹之间移动邮件 只要你的邮件存储在服务器上 任何时候通过一个IMAP的客户端软件都可以立即联机获得你的邮件 但是 IMAP的以下优点足以把WebMail用户吸引过来 凡是WebMail的用户都必须无奈地阅读页面上的广告 都必须花费宝贵的时间和带宽来下载页面上的图片 修饰字符等 IMAP则忠实地只为你的E mail服务 支持IMAP的客户端软件 OE和NetscapeMessenger这两个软件各有特点 Netscape功能多 但OE显得更简单和快捷 而且有中文版本 很遗憾 国内用户喜爱的FoxMail目前还不支持IMAP 其他的E mail客户端软件 目前版本对IMAP4的支持都不完整 不推荐使用 一 传统电子邮件 RFC822RFC822定义了用于电子邮件报文的格式 即RFC822定义了SMTP POP3 IMAP以及其它电子邮件传输协议所提交 传输的内容 RFC822定义的邮件由两部分组成 信封和邮件内容 即报头和正文字段 正文由多行ASCII文本组成 包括标题和正文 报头包括传输 投递邮件有关的信息 必须出现在正文之前 通常由一些关键字组成 如RECEIVED DATE等 RFC报头 信头字段目的From邮件作者Sender发信人Reply To回邮地址To收信人地址CC另一个收信人地址BCC收信人地址 但这个收信人看不到其它收信人的地址 Subject主题Comments备注Keywords关键字 用来进一步搜索邮件In Reply To被当前邮件回复的邮件的IDReferences几乎同In Reply To一样Encrypted加密邮件的加密类型Date发信日期Message ID 消息ID RFC822的缺点 只对文本消息的格式作了规范 而对非文本的多媒体消息 如声音图象等消息并没有涉及 而且即使对于文本 也只能支持US ASCII字符集 不能支持多种语言字符集 着使得用户发送非文本的消息时需要对消息采取某种转换 对于使用RFC822的网关来说 非文本消息难以处理 一 传统电子邮件 MIME 全称为 MultipurposeInternetMailExtensions 比较确切的中文名称为 多用途互联网邮件扩展 它是当前广泛应用的一种电子邮件技术规范 基本内容定义于RFC2045 2049 MIME消息报头字段 MIME Version 说明消息符合MIME规范的版本Content Type 定义消息正文中的各种每体类型及自类型 并详细描述了正文所包含的数据 Content Transfer Encoding 定义报头和正文中使用的编码转换方式 Content ID 用来在多个上下文环境中唯一表示MIME实体 与RFC中的MESSAGE ID相同 Content Description 用来对给出的正文对象进行描述 当正文是非文本消息时 能指明该消息的作用 符合RFC822所定义的报头字段的语法规则 它们都可以正常出现在RFC822中 并且除了Content Description 它们都可以包括RFC822的注释 在实现的时候 前3个字段是必须的 后两个字段则是可选的 MIME内容类型格式 离散型 MIME内容类型格式 组合型 MIME编码转换方法 Content Transfer Encoding共有Base64 Quoted printable 7bit 8bit Binary等几种 其中7bit是缺省的编码方式 电子邮件源码最初设计为全部是可打印的ASCII码的形式 非ASCII码的文本或数据要编码成要求的格式 如上面的三个例子 Base64 Quoted Printable是在非英语国家使用最广使的编码方式 Binary方式只具有象征意义 而没有任何实用价值 Base64将输入的字符串或一段数据编码成只含有 A Z a z 0 9 这64个字符 用于填充 Based64编码 MIME示例 MIME Version 1 0From whqianweiwh To d xyd xy Date Fri 07Oct200516 15 05 700 GMT Subject 关于论文Content Type multipart mixed boundary footext1 dfdfdfdfdfdf foo text2 dfdfdfkdl fsdffdf fooContent Type text plain charset US ASCIIjkfjdofjdoasijfdoasf fooContent Type multipart parallel boundary foo1 foo1Content Type audio basicContent Transfer Encoding base64 audiodata foo1 Content Type image jpegContent Transfer Encoding base64 imagedata foo1 fooContent Type message rfc822From To foo 二 安全电子邮件 这份邮件是谁发给我的 这份邮件没有被别人偷看篡改吧 电子邮件系统是一个开放的系统 假地址 垃圾邮件 以及内容的不保密令人烦恼不堪 服务器也不堪重负电子邮件采用MIME格式编码 安全电子邮件采用SMIME只要有PKI系统所提供的数字证书就可以解决以上烦恼核心技术就是用公私密钥对完成邮件内容的签名和加密数字签名技术确定发信人的身份杜绝邮件内容被篡改数据加密技术保证邮件内容不会被泄漏安全电子邮件是典型的PKI应用 安全电子邮件工作模式 二 安全电子邮件 相关协议PEMPGPMIMES MIMEMOSS PGP在电子邮件中的应用 加密邮件签名邮件加密和签名提供base64bia编码转换 PGP在电子邮件中的应用 PGP加密数据 先对要加密的数据以MIME标准来规范化 PGP加密数据以multipart encrypted类型来表示 该类型有一个protocol参数 其值为 application pgp encrypted multipart encrypted必须严格包括两个部分 application pgp encrypted 其中必须包含 version 1 等必要的控制信息 由于PGP本身已经包含了用于解密的控制信息 就不再需要其他的信息了 application octet stream 必须包含实际加密的数据 PGP在电子邮件中的应用 PGP加密数据举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart encrypted boundary foo protocol application pgp encrypted fooContent Type application pgp encryptedVersion 1 foo PGP在电子邮件中的应用 Content Type application octet stream BEGINPGPMESSAGE 已经过BASE64编码Version 2 6 2fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfasFfdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjjdjfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE foo PGP在电子邮件中的应用 PGP签名 数据签名以multipart signed类型来表示 该类型有protocol和micalg两个参数 其中protocol的值为application pgp signature micalg的值为pgp 的形式 表示PGP采用的摘要算法 multipart signed必须严格包括两个部分 第一部分 包含符合MIME规范格式的被签名的数据 包括一些描述数据特性的适当的类型字段 application pgp signature 必须包含实际加密的数据 PGP在电子邮件中的应用 PGP签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart signed boundary foo protocol application pgp signature micalg pgp md5 dkf 用于签名的数据 一般为采用计算 fjdofjdofjdofjdfdfdf 得到的HASH码 PGP在电子邮件中的应用 fooContent Type application signature BEGINPGPMESSAGE 已经过BASE64编码Version 2 6 2fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfasFfdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjjdjfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE foo PGP在电子邮件中的应用 PGP加密和签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart encrypted boundary foo protocol application pgp encrypted fooContent Type application pgp encryptedVersion 1 fooContent Type application octet stream BEGINPGPMESSAGE 已经过BASE64编码dkf 用于签名的数据 一般为采用计算 fjdofjdofjdofjdfdfdf 得到的HASH码 fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfas Ffdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjj djfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE ENDPGPMESSAGE foo S MIME在电子邮件中的应用 S MIME加密数据步骤 1 根据MIME规范准备要加密的MIME实体2 用MIME实体和其他必须信息产生类型envelopedData的CMS对象 另外 为每个接收方产生加密的会话密钥副本 并一起放入该 CMS对象中 3 将此CMS对象封装在类型为application pkcs7 mime的MIME实体中 该类型中的smime type参数的值为enveloped data 消息文件的扩展名为 7p7m S MIME在电子邮件中的应用 S MIME加密数据举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type application pkcs7 mime smime type enveloped data name smime p7mContent Transfer Encoding base64Deisposition attachment filename smime p7mfdfdfdsfsffffffffdszadasgafgasdfgafgfdg CMS对象Sdfasdfasdfadsfasddfasdfasfadsfasdfasdffsdgfsdgsdfgsdfgsdfgsdfgsdfggdf S MIME在电子邮件中的应用 S MIME签名S MIME签名有两种格式 application pkcs7 mime的signedData如果接收方不支持S MIME 那么就不能查看原始消息 multipart signed不论接收方是否支持S MIME 都可以查看原始消息 S MIME采用signedData签名1 根据MIME规范准备要加密的MIME实体2 用MIME实体和其他必须信息产生类型signedData的CMS对象 3 将此CMS对象封装在类型为application pkcs7 mime的MIME实体中 该类型中的smime type参数的值为signed Data 消息文件的扩展名为 p7m S MIME在电子邮件中的应用 signedData签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart signed boundary foo protocol application pgp signature micalg pgp md5 dkf 用于签名的数据 一般为采用计算 fjdofjdofjdofjdfdfdf 得到的HASH码 S MIME采用multipart signed签名1 根据MIME规范准备要加密的MIME实体2 用MIME实体和其他必须信息产生类型signedData的CMS对象 3 将此CMS对象封装在类型为application pkcs7 mime的MIME实体中 该类型中的smime type参数的值为signed Data 消息文件的扩展名为 p7m S MIME在电子邮件中的应用 multipart signed签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart signed boundary foo protocol application pgp signature micalg pgp md5 dkf 用于签名的数据 一般为采用计算 fjdofjdofjdofjdfdfdf 得到的HASH码 S MIME在电子邮件中的应用 fooContent Type application signature BEGINPGPMESSAGE 已经过BASE64编码Version 2 6 2fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfasFfdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjjdjfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE foo S MIME在电子邮件中的应用 S MIME加密和签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart encrypted boundary foo protocol application pgp encrypted fooContent Type application pgp encryptedVersion 1 fooContent Type application octet stream BEGINPGPMESSAGE 已经过BASE64编码dkf 用于签名的数据 一般为采用计算 fjdofjdofjdofjdfdfdf 得到的HASH码 fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfas Ffdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjj djfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE ENDPGPMESSAGE foo MOSS在电子邮件中的应用 MOSS加密数据步骤 1 根据MIME规范准备要加密的MIME实体2 产生控制信息 包括用于加密数据的会话密钥和其他信息 其中会话密钥使用接收方的公钥进行加密 3 包含加密会话密钥的控制信息必须被封装在application moss keys类型中4 用会话密钥加密MIME实体并封装在application octet stream中 然后再把它和封装后的application moss keys实体一起封装在multipart encrypted类型中 multipart encrypted必须严格包括两个部分 第一部分 application moss keys 第二部分 application octet stream实体 包含实际加密的数据 MOSS在电子邮件中的应用 MOSS加密数据举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart encrypted boundary foo protocol application moss keys fooContent Type application moss keysVersion 5DEK Info DES CBC DEK INFORMATIONRecipient ID INFORMATIONKey Info RSA KEY INFORMATION MOSS在电子邮件中的应用 fooContent Type application octet stream BEGINPGPMESSAGE 已经过BASE64编码加密后的数据fdfjosdafjdfdjkfpdkffdfjdlfjdlfjdlfjdlfjdlfjasldjfasFfdsfdsfasdfsdakjfhhaofjdiofjsouojdifjeojfiosjjdjfosdjfiojsioejiofjdosifjiwoeuiojfeijwfoedfasdf ENDPGPMESSAGE foo MOSS在电子邮件中的应用 MOSS签名步骤 1 根据MIME规范准备要加密的MIME实体2 产生控制信息 包括数字签名和其他信息 3 包含加密会话密钥的控制信息必须被封装在application moss signature类型中4 封装后的application moss signature实体和原始数据实体必须被封装在multipart encrypted类型中 multipart encrypted必须严格包括两个部分 第一部分 原始数据实体 第二部分 application moss signature实体 MOSS在电子邮件中的应用 MOSS签名 举例 From whqianweiwh To d xyd xy MIME Version 1 0Content Type multipart signed boundary foo protocol application moss signature micalg rsa md5 fooContent Type text plain原文 MOSS在电子邮件中的应用 fooContent Type application moss signature BEGINMOSSMESSAGE fdfjosdafjdfdjkfpdkffdfjdlfjdlfjd