利用證書服務實現安全收發郵件

【摘要】隨著在內部使用郵件辦公的企業公司的增加，與此同時對企業網內部的攻擊愈加頻繁增多。企業內部的郵件系統正面對著更多的安全威脅問題。鑒于此，本文介紹如何利用證書服務實現安全地收發郵件。

【關鍵詞】證書服務；PKI；郵件；安全

伴隨著計算機技術以及通信技術的快速發展，互聯網的應用越來越廣泛，電郵的使用頻率也越來越高。然而互聯網的安全性極低，如果是重要的信息如合同、商業機密、設計文件等在郵件中如果被人攔截，造成的損失不可估量。這就要求電郵能夠機密、完整，且認證和不可否認，而它們都可以通過PKI技術來實現。

1.什么是PKI？

1.1 PKI技術

PKI技術是英文Pubic Key Infrastructure的縮寫，翻譯過來是公鑰基礎設施。這種技術核心在于“非對稱加密技術”。而非對稱加密技術又分為公鑰和私鑰兩種。而公鑰和私鑰的使用順序和使用者不同，則完成了加密和解密的過程。

1.2 公鑰加密私鑰解密

1.2.1 原理

常見的公鑰密碼技術是RSA以及橢圓算法ECC。即使用兩個足夠大的質數與需要加密的文字相乘生產的積來實現加解密。這兩個質數不管是哪個與被加密的文字相乘實現加密，都能夠用另一個質數再相乘而實現解密。如果不是持有者，破解的時間復雜度達到n的二次根的平方，從而達到郵件的不可抵賴性和傳遞過程的完整性。

1.2.2 舉例說明加密解密和數字簽名的過程

舉例來說，A和B皆具有第三方CA所簽發的證書，A使用公鑰對郵件進行加密，郵件以密文方式傳送給B后，B以私鑰可以解開密文，轉換成原文。私鑰具有私密性，唯一性，對于B來說，只有自己掌握才是最安全的。而對郵件使用私鑰加密，因為其唯一性，則有起到簽名的作用，保證了郵件的真實性。當A以自己的私鑰對郵件加密時，所有的與其相對應的公鑰都可以解開其郵件，而在傳輸過程中則仍是密文方式，即使被攔截也無法明文閱讀，從而實現了郵件的安全性收發。以上描述可以用圖1來表示。

通過以上圖解和文字說明，PKI技術的基本過程已經一目了然。另外要加以補充的是，因為密鑰有一個加密轉換的過程，還可以通過分析密文了解是否有攔截或者受到過攻擊。

1.2.3 對HASA函數的要求以及驗證的步驟

1.2.3.1 對HASA函數的要求

①其接受的輸入報文數據不存在長度限制；

②對任何輸入報文數據皆生成固定長度的摘要（即數字指紋）輸出；

③從報文算出摘要非常簡便；

④無法對指定的摘要生成一個報文，但是由該報文則可算出該指定的摘要；

⑤無法生成兩個不同的報文具有同樣的摘要。

1.2.3.2 驗證的步驟

①利用自己的私鑰將信息轉換為明文；

②利用發信方的公鑰通過數字簽名部分得到原文摘要；

③收件方對發件方所發送的源信息再進行hash運算，又產生一個摘要；

④收件方對兩個摘要進行比較，如果二者相同，便可以證明信息簽名者是真實身份。

2.證書的申請過程

2.1 認識機構CA（Certificate AUthority）

CA即Certificate AUthority，中文意思是電子商務認證授權機構。她作為電子商務交易中受信任的第三方，承擔公鑰體系中，公鑰的合法性檢驗職責。CA是PKI的核心，通過公私鑰核對的簽名和驗簽，實現PKI提供的不可否定性服務。

2.2 證書的申請

①將活動目錄證書服務角色添加到計算機中，并在計算機的域控制器里進行企業根CA或者是獨立根CA安裝。

②注冊為域的用戶，填寫表格，設置專有郵箱，因為一對公私鑰只對應一個郵箱。

③將MMC打開，并將“證書”管理單元添加到“可用管理單元”中。

④在瀏覽器中輸入testca.netca.net回車，點擊證書申請，將證書安裝到計算機上。

在進行證書申請的同時，公鑰和私鑰也已創建完成，并會自動在客戶端的計算機的注冊表中進行私鑰的儲存。私鑰存儲完成后，會把與證書申請有關的數據資料和公鑰一起發送到計算機的域控制器里的CA中。

2.3 查看申請是否成功

雖然申請完成，但是是否安裝需要檢查一下。在瀏覽器工具選項里“internet選項”切換至“內容”查找“證書”即可。

2.4 綁定證書

在打開的證書里綁定唯一的郵箱。

①在windows中，Outlook Express上方打開工具選擇賬戶，在郵件中選擇對應賬戶，點擊屬性切換至安全，即可選擇簽名或者加密之一。

②如果是Foxmail，在相應賬戶右擊打開屬性，找到“安全”依次選擇。

3.利用證書服務安全收發郵件的內部傳輸機制

①通過TCP把客戶端與服務器端建立起一種關系；

②客戶端會通過服務器對發件人的身份進行確認；

③對客戶端進行MALL命令的發送；

④服務器對命令作出響應，并對客戶端進行指示；

⑤客戶端在發出RCPT的命令，通知服務器進行接收郵件的準備。

⑥完成傳輸過程。

4.總結

互聯網的發展在給企業帶來機遇的同時也帶來技術上的挑戰，通過郵件發送合同或者機密資料等變得越來越頻繁，而安全性比較低。希望通過本文可以了解到數字安全證書的基本原理，從而為企業的郵件收發安全性提供幫助。

參考文獻

[1]趙爾丹.利用數字證書實現電子郵件的數字簽名和加密[J].河北軟件職業技術學院學報，2006，8（4）：51-54.

[2]董清譚.淺談使用數字證書保護電子郵件安全[J].中國信息界，2011（5）：36-38.

[3]陳前軍.帶認證功能的電子郵件發送過程分析與實現[J].電腦編程技巧與維護，2012（24）：112-114.

[4]馮理明.通過證書實現郵件收發的安全性[J].計算機光盤軟件與應用，2011（12）：159-161.

[5]本文有參考百度百科詞目“CA認證”.