科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道Exchange 让电子邮件系统更加安全(四)

Exchange 让电子邮件系统更加安全(四)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Outlook2000和OutlookExpress 5.0均使用了微软的保护存储功能,保护存储是Windows2000系统提供的服务功能的一部分,它通过先进的软件方式保护私有密钥的存储。

作者:bitscn.com 来源:bitscn.com 2007年8月30日

关键字: Outlook 安全 邮件 Exchange

  • 评论
  • 分享微博
  • 分享邮件

  与Outlook的集成

  目录支持

   Outlook2000的“Internet惟一邮件”方式和OutlookExpress 5.0都支持LDAP。邮件客户可以连接到任何与LDAP协议兼容的目录,从而可以把账户信息(包括证书)下载到用户的个人地址薄中。如果在Outlook的界面增加LDAP目录服务,Outlook2000的“团体/工作组”方式会支持LDAP协议。然而,与Outlook2000的“Internet惟一邮件”方式和OutlookExpress 5.0的LDAP 服务不同,Outlook2000的“团体/工作组”方式不支持从Exchange目录下载证书,但支持用MAPI从Exchange目录下载证书。

   Windows2000自动为以下邮件客户发布证书,这些用户具有Windows2000的企业认证证书CA,并且把CA作为Windows2000的主动目录(Active Directory,AD)的客户账户进行登录。相比之下,WindowsNT 4.0只在Exchange目录中为在高级安全服务上登录过的客户发布证书。为使Outlook2000的“Internet惟一邮件”方式能浏览AD,需用要创建一个通过3268口(通用目录口)连接到Windows2000局部控制器的新目录服务账户。在信道拥挤时,Outlook2000的“团体/工作组”方式只能和AD连接,OutlookExpress 5.0把浏览AD作为一种默认方式。

   Windows2000自动地把已登录用户的证书添加到用户个人证书存储区,如图1所示。证书存储区中的用户详细描述部分是用户属性的一部分。在默认情况下,用户属性存放在本地用户的工作站上。如果用户所属的组织支持漫游功能,还是可以把用户属性存储到一个中心服务器上。在Windows2000平台上,所有运行CryptoAPI 2.0的应用程序都能共享证书。事实上,Outlook2000和OutlookExpress 5.0都支持CryptoAPI 2.0。

  Outlook和私人密钥保护

  Outlook2000和OutlookExpress 5.0均使用了微软的保护存储功能,保护存储是Windows2000系统提供的服务功能的一部分,它通过先进的软件方式保护私有密钥的存储。先进的软件安全保护措施有助于保护用户存放在系统硬盘上的密钥。但是,笔者认为,更好的解决方案是把密钥存放在硬件安全模块(Hardware Security Module,HSM)上或智能卡上。例如Compaq公司的Atalla Internet安全处理器的HSM是一个计算机插卡,当入侵者窜改上面的数据时,它可以自动删除所存储的数据。考虑到HSM的价格比较昂贵,较便宜的基于智能卡(大约50美元)的解决方案更受欢迎,像Gemplus公司的GemSAFE User 2.0,对于客户端的私人密钥保护,是一种更加可行的方案。

   当用户通过认证登录之后,可以使用口令保护性地访问有关的私人密钥,然后使用Windows2000提供的具有128位加密能力的Syskey工具进一步保护硬盘口令存储。要查看Syskey的配置设置情况,在命令行键入“syskey”即可。用户可以在系统启动时手工输入Syskey密钥,将它存放到软盘上,或使用一个复合的乱码算法加密后把密钥存放在硬盘上。Windows2000的默认方式是通过Syskey把密钥存放在硬盘上。

  S/MIME证书

   S/MIME在X.509和国际电信联盟电信技术部(ITU-T)的基础上建立了定义数字证书格式的开放标准。所有最新的微软产品都支持X.509版本3证书。为了兼容Outlook97和 Exchange Server 4.0/5.0,Exchange 2000也支持X.509版本1(X.509版本3的子集)证书。Windows2000证书服务器只发行X.509版本3证书,但是系统管理员可以配置Exchange 2000的KMS,使它发行X.509版本1或X.509版本3证书。

   要想查看S/MIME证书的内容和格式,用户可以加载用户账户的MMC证书插件。操作方法是:打开个人证书容器,双击S/MIME证书,在把证书输出到一个.cer文件后,在命令行状态下,使用Certutil工具便可查看证书的内容(如图2所示)。注意,只有在Windows2000中运行了Windows2000 CA之后,Certutil工具才有效。

  Outlook2000和OutlookExpress 5.0都能够从目录上下载证书或接收签名邮件的证书附件。在用户使用证书前,必须先使它生效。Outlook2000和OutlookExpress 5.0以不同的标准确定用户是否可以使用证书的公钥,并进行S/MIME的加密操作。

  S/MIME的互操作性

   有一次,笔者作为一个在Exchange 2000高级安全上登录的用户,给Netscape Messenger和OutlookExpress 5.0 用户发送签名邮件,但出现了问题。原因在于RFC 822名字的检查。使用KMS发布的证书不包含证书主题的RFC 822名字,只包含一个X.500识别名字(Distinguished Name,DN),比如CN=Jan、CN=Recipients、CN=AMTG 管理组和0=Compaq等。而且,证书不包含主题的选择名字域。要解决这个问题,Windows2000证书服务器应该发布包含主题选择名字和RFC 822名字的S/MIME证书。

   在WindowsNT 4.0平台上,如果用户针对包含一个若干连接在一起的证书服务器的证书体系创建一个S/MIME的互操作方案时,可能会遇到一些问题。微软正在对有关问题进行解决。据悉,Internet Explorer 5.0、OutlookExpress 5.0、Outlook2000和Windows2000 专业版都增强了在CA层对证书确认支持。

   从互操作性的角度来看,最重要的非微软S/MIME客户是Netscape Messenger。 Messenger是作为Netscape Communicator的一部分发布的。Messenger的强项之一就是它支持一系列的非微软平台,其中包括Unix和Linux。目前,Communicator 4.7还不支持证书撤除表的分布指针。据了解,Netscape计划在发行下一个Communicator版本时,嵌入这一重要的扩展。Netscape的最新证书服务器的证书管理系统CMS 4.1已经具有在证书管理系统发布的所有证书中嵌入分布指针的能力。Netscape还计划支持双密钥和数据恢复。CMS 4.1有一个叫做数据恢复管理器的新组件,它负责私有密钥的存档和恢复。北美版的CMS 4.1有一个Communicator 4.5双密钥测试插件,它使得Communicator能处理双密钥。另一个有关Netscape邮件客户的有趣的细节是,用户不可以选择透明或不透明签名。Netscape Messenger默认发送透明签名邮件。

   Netscape和微软电子邮件系统的客户端可以使用公共密钥加密标准交换证书和私有密钥。为了保证密钥只能以Outlook2000的“Internet惟一邮件”方式或OutlookExpress 5.0的方式输出,需要选择“Mark keys as exportable”选择框(如图3所示)。但是,需要注意的是,当密钥过期时会对邮件系统的安全造成威胁。

  

   总之,在客户端的Outlook2000和OutlookExpress 5.0与在服务器端的Exchange 2000相互结合,构成了比较成熟的S/MIME安全平台。这一平台得益于Windows2000的PKI,提供了更加强大的S/MIME安全功能,还扩充了和非微软邮件客户端在S/MIME方面的互操作功能。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章