什么是邮件加密.docVIP

加密系统：端到端的加密是从源设备到接收设备的完全加密。这种方法通过禁止插入点而提供最高级的安全，因为在这些插入点上纯文本数据就可以被任何人读取。其缺点是这种模式实施和管理方面也是最为复杂的。这种复杂性主要来源于这样一个事实：加密软件必须要安装在端点上并进行维护，端点必须与客户端的电子邮件阅读软件相集成。网关到端点的加密是一种简化的加密，它提供了从发送方网络内的网关系统到接受端点的完全加密。在这种方案中，消息以纯文本的形式从发送方的桌面发出，并在相对邻近于电子邮件服务器的网关上进行加密。这种模式取消了对任何加密软件的需要，或者取消了发送方的干预。网关到网关的加密这种方法就像网关到端点的加密，不过它在收受方一端增加一个加密网关，从而也就无需桌面软件和管理成本。网关到Web的加密可以通过一个Web服务器提供对敏感数据的访问。数据通常是通过传输层加密来加以保护的，如使用加密套接字协议层(Secure Sockets Layer (SSL))。这就保证了与任何接收方的通信安全，而不管其架构或复杂水平。一个标准的消息被发往接受端，并通知： 有一个安全消息正在网关处等待。接收方通过一个安全连接找到这个消息，这需要通过由out-of-band机制提供的机密信息进行身份验证。 利用对称加密算法加密邮件对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。利用对称密码算法对电子邮件进行加密，需要解决密码的传递，保存、交换。这种方式的邮件加密系统目前很少使用。 利用PKI/CA认证加密加密邮件电子邮件加密系统目前大部分产品都是基于这种加密方式。PKI(Public Key Infrastructure)指的是公钥基础设施， CA(Certificate Authority)指的是认证中心。PKI从技术上解决了网络通信安全的种种障碍;CA从运营、管理、规范、法律、人员等多个角度来解决了网络信任问题。由此，人们统称为“PKI/CA”。从总体构架来看，PKI/CA主要由最终用户、认证中心和注册机构来组成。 PKI/CA的工作原理就是通过发放和维护数字证书来建立一套信任网络，在同一信任网络中的用户通过申请到的数字证书来完成身份认证和安全处理。注册中心负责审核证书申请者的真实身份，在审核通过后，负责将用户信息通过网络上传到认证中心，由认证中心负责最后的制证处理。证书的吊销、更新也需要由注册机构来提交给认证中心做处理。总的来说，认证中心是面向各注册中心的，而注册中心是面向最终用户的，注册机构是用户与认证中心的中间渠道。公钥证书的管理是个复杂的系统。一个典型、完整、有效的CA系统至少应具有以下部分：公钥密码证书管理;黑名单的发布和管理;密钥的备份和恢复;自动更新密钥;历史密钥管理;支持交叉认证，等等。PKI/CA认证体系相对成熟但应用于电子邮件加密系统时也存在着密匙管理复杂，需要先交换密匙才能进行加解密操作等，著名的电子邮件加密系统PGP就是采用这套加密流程进行加密。这种加密方法只适用于企业、单位和一些高端用户，由于CA证书获得麻烦，交换繁琐，因此这种电子邮件加密模式一直很难普及。 利用基于身份的密码技术进行电子邮件加密为简化传统公钥密码系统的密钥管理问题，1984年，以色列科学家、著名的RSA体制的发明者之一A. Shamir提出基于身份密码的思想：将用户公开的身份信息(如e-mail地址，IP地址，名字……，等等)作为用户公钥，用户私钥由一个称为私钥生成者的可信中心生成。在随后的二十几年中，基于身份密码体制的设计成为密码学界的一个热门的研究领域。目前这种方式是最有希望实现电子邮件加密规模应用的方式。