利用签名与加密技术保护邮件信息.doc

在保护邮件有多种方式，除了前面提到的使用RMS进行保护外，还可以利用签名和加密等技术来实现。RMS是Microsoft专有的技术，默认情况下，只有Office的文档，如WORD、Excel、PowerPoint等可以使用RMS，其它应用程序需要专门进行开发才能够用到RMS。而签名和加密是行业标准，大多数邮件系统都提供了这两个技术。 ? RMS是通过权限管理模板，根据用户的帐号信息来规定访问权限。而签名和加密则是使用用户证书来实现的。也就是说，要实现签名和加密，用户需要首先获取个人证书，然后在邮件客户端中使用该证书来实现。这张个人证书需要有相应的用途及正确的配置，才能用于邮件的签名和加密。 ? 在Windows中，运行MMC，然后点击文件=添加/删除管理单元（File=Add/Remove Snap-In），在列表中选择证书=我的用户帐号（Certificates=My user account）来添加证书管理控制台。然后从个人=证书（Personal=Certificates）中，就可以看到当前用户在当前系统上的个人证书情况。然后双击证书，检查常规（General）页面中的信息。 这里有两个重要信息，在图中用红色标记的部分：保护电子邮件信息（Protects e-mail message）和您有一个与该证书对应的私钥（You have a private key that corresponds to this certificate）。保护电子邮件信息表示该证书能够用于邮件的签名和加密；拥有私钥表示当前用户是该证书的所有者。 ? 邮件的签名和加密都是利用证书，也都是用于保护邮件信息的安全，但是侧重点有所区别。 保护的对象对邮件进行签名，被保护的是收件人的权益。收件人可以通过对该签名的检查，来确认邮件确实来自其声称的发件人，而不是由其他人冒名发送的。对邮件进行加密，保护的是发件人权益。发件人通过邮件加密，可以保证该邮件只能被指定的收件人看到。 使用的证书邮件签名，使用的是发件人的个人证书；而邮件加密，使用的则是收件人的个人证书。 为什么加密会使用到收件人的个人证书呢？每个证书都包含两个密钥，一个是私钥；另一个是公钥。顾名思义，公钥是其他人能够获取的；而私钥只有证书的所有者才能够使用。利用证书对邮件进行加密，其实就是利用收件人的公钥进行加密；邮件的收件人再利用私钥进行解密。这就要求了，在发送加密邮件时，发件人必须有收件人的证书才能够进行加密。 ? 如果没有收件人的证书，在试图发送加密邮件时，就会出现下图所示的错误： ? 那么，发件人如何获取收件人的个人证书呢？收件人需要主动将个人证书导出并发送出来，然后在发件人的客户端进行导入。例如A要发送加密邮件给B，对于使用Outlook的用户，那么需要做的步骤是： B将自己的个人证书导出为CER文件。导出时需要注意，不要导出私钥。 B将这个证书文件发送给A。CER后缀的文件作为附件发送时，在大多数邮件系统上会被屏蔽，因此需要先压缩然后在发送 A收到证书后，在自己的Outlook里创建一个联系人 点击证书Certificates，在点击Import将B发送来的证书导入 导入成功后，就可以从联系人的属性中看到这个证书了。此时，用户A就可以利用这张证书来向用户B发送加密邮件。 ? 而对于使用同一个Exchange组织的用户，还有另一种方式来获取彼此的证书，就是用户将个人证书发布到Exchange的GAL里。这样整个Exchange组织内的用户就都能够获取到这张证书。 ? 首先要确保在运行Outlook的操作系统上，已经正确安装了当前用户的个人证书，并且证书的目的中包含有“保护电子邮件信息（Protects e-mail message）”一项。在Outlook中，打开文件=选项=信任中心=信任中心设置=电子邮件安全（File=Options=Trust Center=Trust Center Settings=E-mail Security）。 先点击设置（Settings），启用安全设定。主要完成的操作就是选择合适的证书。 然后，点击“发布到GAL（Publish to GAL）” Publish to GAL的操作，实质就是将设定的个人证书导入到活动目录的用户对象中。从活动目录的用户帐号属性里，可以看到已经发布的证书，Exchange在生成GAL，就会包含这个证书。而Exchange组织中的其他用户，也可以通过GAL获取这张已经发布的证书信息。 ? 完成了这些操作，用户就可以在发送邮件时，选择签名和加密方式，来保障邮件的安全性。下面的例子，可以反过来证明加密邮件时所使用的证书。用户Test UM1发送了一封加密并签名的邮件，收件人有两个，分别是Test UM2和George Wu