域密钥识别件技术综述.docVIP

域密钥识别邮件技术综述 　　摘要：介绍了DKIM的基本概念和框架结构，分析了DKIM的工作原理，并且重点讨论了DKIM面临的威胁以及发展前景。?? 中国论文网 /4/viewhtm　　关键词：域密钥识别邮件;垃圾邮件;域名;认证?? 　　中图分类号：TP393．08文献标志码：A 　　文章编号：1001－3695(2008)01－0033－04 　　 　　随着互联网的发展，电子邮件早已成为人们彼此互通信息最主要的工具之一。然而目前垃圾邮件约占据全部邮件总数的88%之多。其所引发的网络频宽负荷，以及病毒、网络钓鱼攻击等事件的严重性是非常巨大的。由于垃圾邮件多半采用隐藏真实发信来源地址的技术，不但很难找出真正的来源地址，而且垃圾邮件发信者常常冒用许多公司、银行的名义来发送内藏有网络钓鱼(phishing)或后门程序(backdoor)的垃圾邮件，造成个人重要信息被窃取，甚至沦为垃圾邮件发送僵尸以及远端遥控的跳板。在这种情况下，电子邮件验证技术就显得尤为重要。本文所介绍的DKIM技术就是其中的一种。?? 　　 　　1DKIM背景与基本概念 ?? 　　 　　一直以来，许多知名厂商均在建立电子邮件验证技术。其中最著名的包括Yahoo的 DomainKeys技术、微软的SenderID技术与思科系统的identified internet mail技术。其中，DomainKeys技术受到SBC、英国电信与Google Gmail的支持;而MSN Hotmail、AOL、美国银行及eBay皆响应SenderID技术。微软曾一度打算说服IETF工作小组通过SenderID技术成为业界标准，最后却因为各家担心全球通用的技术为一家完全垄断而使微软的愿望落空。如今，由Yahoo与思科系统合作发表的DKIM技术，既结合两家各自的技术，也不会有垄断于一家的争议。DKIM技术是现阶段在IETF内部讨论的方案，并且有望在今后成为国际标准。?? 　　域密钥识别邮件定义了一种机制，通过对邮件信息加密并签名，从而允许实施签名的域名对将该邮件引入邮件传输流负责[1]。邮件接收者可以通过直接查询签名者的域名得到相应的公共密钥，进而校验邮件的签名，以此验证邮件是否属于拥有签名域名的私有密钥的一方。DKIM允许一个机构对邮件负责。这个负责的机构是一个邮件传输过程中的处理者，可以是邮件的发起者或中介。负责的机构在邮件中添加一个数字签名，并把这个签名与机构的一个域名相关联。通常，签名会由一个服务代理在邮件发起人的行政管理域（ADMD）的授权下，由这个环境中的任何一个功能组件来执行，包括邮件客户端 (MUA)、邮件提交代理 (MSA)、网界邮件传输代理（MTA）。DKIM 也允许签名由授权第三方来进行。邮件签名后，在邮件传输途径中的任何代理均可被选择用来执行对签名的验证。通常验证会由邮件接收者的行政管理域代理完成。与签名时相同，可以由这个环境中的任何功能组件来完成。特别地，这样意味着签名可以由邮件接收者的行政管理域的过滤软件来处理，而不是要求邮件接收者的用户终端来进行判断。用来进行数字签名的域名所有者是以其信誉为基础的。接收者成功验证签名后可以利用签名者的身份信息作为限制垃圾邮件、欺骗、钓鱼网站或其他不受欢迎行为的软件的一部分。?? 　　 　　2DKIM特点?? 　　 　　基于对DKIM概念的介绍，可以发现DKIM利用以下几点定义了一个邮件认证机制：公共密钥加密、基于DNS的公共密钥发布服务、域名标志符。?? 　　DKIM所采用的途径与传统的邮件签名方法（如S/MIME[2]、OpenPGP[3]）相比，有以下一些主要特点：?? 　　a)DKIM 不修改邮件正文，而是将邮件签名参数信息放在一般不显示给接收者的邮件头部。S/MIME和OpenPGP同时要求对邮件正文进行修改，将正文部分作为MIME类型进行封装。因此签名邮件对于软件不支持DKIM的终端用户是透明的，而不像S/MIME和OpenPGP由于修改了正文会造成邮件内容在不支持协议的客户端上无法识别。?? 　　b)没有对分发公有/私有密钥对的可信证书权威的依赖。签名程序要求一定级别确保验证时采用的公共密钥是与声称的签名者相关联。许多程序通过一个可信第三方的证书授予来实现这一点。但是由于DKIM的使用范围有限，并不需要通用的、强大的、长期的由独立权威颁发的证书。DKIM通过使验证者简单地向签名者的DNS发出查询来获取公共密钥，实现了一个足够的安全级别。这样就使得它使用的成本更低。?? 　　c)没有对任何新的有关公共密钥分发撤回的互联网协议或服务部署的依赖。现在已经定义的是一种单一绑定的利用DNS TXT记录来分发密钥，其他的方式可能会在以后被定义。?? 　　d)DKIM是基于域名的，而不是整个邮件地址。