整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
前言:电子邮件(Email)是因特网上被广泛使用的一种网络应用,即使在互联网高度发达的今天,人们有了大量的诸如微信、QQ等社交软件来交换信息,但它仍然是个人和商务活动中一种重要的信息交换工具。本章介绍电子邮件安全,主要包括电子邮件安全问题分析、安全电子邮件标准PGP、WebMail安全威胁及防范,最后介绍垃圾邮件的防范。
目录 3. WebMail安全威胁及防范 4. 垃圾邮件防范 5. PGP实验 1. 电子邮件安全问题
安全需求:
基于SMTP、POP3/IMAP等协议的电子邮件系统没有采取必要的安全防护措施,导致:
安全措施:
2. 安全电子邮件标准PGP
端到端的安全电子邮件标准和协议主要有三种
2.1 PEM
由美国RSA实验室基于RSA和DES算法开发的安全电子邮件方案。它在电子邮件标准格式上增加了 加密、认证、消息完整性保护和密钥管理功能 。
由于PEM在MIME之前提出的,因此它并不支持MIME, 只支持文本信息 。PEM 依赖于PKI并遵循X.509认证协议
,而当时要建立一个可用的PKI并不是一件容易的事
2.2 S/MIME
S/MIME基于PEM,使用RSA提出的PKCS和MIME来增强Email的安全(对邮件主体进行 消息完整性保护、签名和加密 后作为附件发送)
S/MIME v1是1995年完成的(MIME是1992年推出的),v2在IETF的RFC2311和RFC2312中定义,v3在RFC 3850和RFC
3851中定义(这些RFC是信息文件,而不是标准或建议的标准)
S/MIME不仅用于实现安全电子邮件传输,任何支持MIME格式的数据传输机制或协议(如HTTP)均可用
2.3 PGP
PGP既是一个特定的安全电子邮件应用软件,也是一个安全电子邮件标准。
PGP最常用于安全电子邮件传输,但它也可以用于任何需要保证传输 机密性、完整性和认证 (不可否认性)的应用中。
功能:
功能服务采用的算法说明
数字签名(包括身份鉴别)
散列算法:SHA1, SHA24, SHA256, SHA384, SHA512, MD5,
等;签名算法:DSS或RSA
先用散列函数,如SHA-1产生消息的散列码,然后用DSS或RSA算法对散列码进行签名
消息加密
对称密码算法:CAST-18, IDEA, 3DES, AES;公开密码算法 RSA, Diffie-Hellman
消息用一次性会话密钥(对称密钥)加密, 会话密钥用接收方的公钥加密
压缩
ZIP, ZLIB, BZIP2
消息用ZIP / ZLIB / BZIP2 算法压缩后存储或传送
邮件兼容性
Radix 64
邮件应用安全透明,加密后的消息用 Radix 64 转换(也就是MME的Base64编码)
数据分段
为了满足邮件的大小限制,支持分段和重组
单选题:如果要在网络层保护电子邮件的安全,则应采用的协议是()
A. IP B.TLS C. PGP D. IPSec
答案:D
2.3.1 PGP发送和接收邮件的过程
PGP——加解密过程、数字签名、压缩等流程
☆ Q:签名、加密、压缩的顺序问题?
A:在PGP中,是对未压缩的邮件正文进行散列计算后,再对散列值进行签名。然后将邮件正文和签名拼接后进行压缩后加密。在压缩之前进行签名的主要原因有两点:一是对没压缩的消息进行签名,可便于对签名的验证,如果在压缩后再签名,则需要保存压缩后的消息或在验证时重新压缩消息,增加了处理的工作量;二是由于压缩算法ZIP在不同的实现中会在运算速度和压缩率之间寻求平衡,因而可能会产生不同的压缩结果(当然,直接解压结果是相同的),因此压缩后再进行签名就可能导致无法实现鉴别(接收方在验证签名时可能会因压缩的原因而出现验证失败)。PGP
对加密前的明文(含签名)进行压缩,而不是在加密后再压缩的主要原因也有两点:一方面因为先压缩再加密方案缩短了报文大小,从而减少了网络传输时间和存储空间;另一方面经过压缩实际上是经过了一次变换,变换后减少了明文中上下文的关系,比原始消息的冗余信息更少,再加密的安全性更高,而如果先加密,再压缩,效果会差一些。
Q:兼容性考虑(Base64编码):为什么要进行Base64编码?对性能的影响如何?
A:在兼容性方面,加密后的报文使用Base64编码将报文转换成ASCII字符串,主要考虑到很多文件系统只允许使用ASCII字符组成的报文。实际应用中,使用Base64编码转换后将导致消息大小增加33%(每3个字节的二进制数据映射成4个ASCIII字符)。由于加密前对消息进行了压缩,实际的性能下降幅度要小很多
Q:分段与重装:为什么要分段?如果分段,会话密钥部分和签名部分在第几个报文段?
A:PGP还需考虑电子邮件系统文件设施对最大报文长度的限制(一般为50000个字节),因此,PGP还需提供报文的分段和重组功能。分段是在所有其他的处理(包括Base64编码转换)完成后才进行的,因此,会话密钥部分和签名部分只在第一个报文段的开始位置出现一次。在接收端,PGP必须剥掉所有的电子邮件首部,才能重新装配成原来的完整分组。
2.3.2 PGP消息格式
2.3.3 PGP密钥管理
会话密钥生成与管理
公开密码算法密钥管理,用户A获取用户B的公钥主要方式包括:
公开密码算法密钥管理
2.3.4 PGP信任关系
PGP信任模型:以用户为中心的信任模型(信任网模型,Web of Trust)
用户要得到介绍人真实公钥并信任介绍人
(相对比较容易,而黑客想假冒很困难)
PGP——信任场景举例
多选题:1、用户A对用户B和C的公钥拥有者可信性字段打的都是部分信任,系统要求,两个部分信任的签名才能让公钥合法,当前A收到了G的公钥,上边的签名来自于B和C,以下说法正确的是(
A. B对G公钥的签名信任性字段为绝对信任
B. C对G公钥的签名信任性字段为部分信任
C. G的公钥合法
D. G的公钥不合法
答案:BC
2、用户A对用户B和C的公钥拥有者可信性字段打的都是部分信任,D是完全信任,系统要求,两个部分信任或者一个完全信任的签名才能让公钥合法,当前A收到了G的公钥,上边的签名来自于B,Z的公钥签名来自D,以下说法正确的是(
A. B对G公钥的签名信任性字段为部分信任
B. D对Z公钥的签名信任性字段为部分信任
C. Z的公钥合法
D. G的公钥不合法
答案:ACD
公钥合法性与所有者信任之间的关系: 公钥合法是否一定可信 ?
口令或私钥的泄密
PGP缺少PKI体系那样严格的证书撤销机制,很难确保没有人使用一个已不安全的密钥,是PGP安全体系中比较薄弱的环节
PGP使用的公开密码算法、对称密码算法、安全散列函数的安全性问题
3. WebMail安全威胁及防范
WebMail不需借助专门的邮件客户端,只要能用浏览器上网就能收发邮件,极大地方便了用户。但是,WebMail的使用也带来的新的安全威胁,前面介绍的Web应用所面临的很多安全问题同样在WebMail中存在
安全问题:
恶意HTML邮件 Cookie会话攻击 4. 垃圾邮件防范
垃圾邮件基本特征如下:
反垃圾邮件方法
5. PGP实验
Gpg4win是一款非对称加密方式软件。简单来讲,就是用公钥加密文件,用私钥解密文件。如果你需要发送加密信息,首先获取接收者的公钥,然后利用该公钥加密后传递,对方利用对应的私钥就可解密。也就是说,公钥是锁,私钥是钥匙。非对称加密方式很好地解决了传递机密信息的问题。
gpg4win官网
1、 使用Gpg4win完成自己公私钥对的生成并导出公钥,公私钥对的名字是你的名字(Alice)。发送自己的公钥给Bob,并接收Bob的公钥进行导入。
导入:
2、
在邮件正文输入文本信息,写下“hello,Alice”,复制文本到剪贴板并用Gpg4win进行加密,加密密钥为Bob的公钥,再将密文重新复制回邮件正文发送给Bob。
-----BEGIN PGP MESSAGE-----
hF4DOx6IZtNgixoSAQdA8UB6S1SPCPJJFfTVmJErPIPZjJEOiotryg8S2WKNV2Iw
bPqAS8ZzvxIHstntaxTdAoAalToTcyot9ZAKE8fQiF5K0LCo9V4VDhQVN2QLFW8l
1FIBCQIQv8R7sGOCe1IymUJIVhT826DZ+bf6LKa4ofWLPZG1I3w4tCobu3Oo3m1t
UGeTVC8l9U1F1hVOmrfiAbvxxSELscRY9YIzIvIbiU05WFQB
=TpUR
-----END PGP MESSAGE-----
3、 Bob用自己的公钥进行解密,查看明文邮件内容。
4、 新建文本文件,内容为你的名字,使用你的私钥和Bob的公钥为文件签名和加密,并将文件发送给Bob。
5、Bob接收文件,并完成解密和签名验证。
OK,以上就是本期知识点“电子邮件安全”的知识啦~~ ,感谢友友们的阅读。后续还会继续更新,欢迎持续关注哟~
如果有错误❌,欢迎批评指正呀~让我们一起相互进步
如果觉得收获满满,可以点点赞支持一下哟~
自动抓取网页关键信息的方法和技巧,轻松提升信息获取效率
随着互联网的快速发展,数据量日益庞大,如何从海量信息中获取有用的数据成为了摆在我们面前的一个重要问题。在网页文本里自动抓取关键信息,成为了一种常见的解决方案。本文将从多个方面进行分析,介绍如何实现自动抓取关键信息的方法和技巧。
一、什么是网页文本自动抓取?
网页文本自动抓取是指通过程序对网页中的文本内容进行分析和提取,在不需要人工干预的情况下,自动抓取出其中的关键信息,例如商品价格、新闻标题等。
二、为什么需要网页文本自动抓取?
在互联网上,每天都会产生大量的数据。如果我们要手动从海量数据中筛选出有价值的信息,那么劳动力成本和时间成本都将非常高昂。而通过网页文本自动抓取技术,可以大大降低获取数据的成本,并且提高数据挖掘效率。
三、如何实现网页文本自动抓取?
1.使用Python语言编写爬虫程序
Python是一种简单易学、功能强大的编程语言,在网络爬虫领域应用广泛。通过Python编写的爬虫程序可以自动访问网站,获取网页源代码,并从中抽取出需要的信息。
2.使用正则表达式进行文本匹配
正则表达式是一种强大的文本匹配工具,可以在文本中查找特定模式的字符串。通过使用正则表达式,可以快速准确地从网页源代码中提取出需要的信息。
3.使用XPath语言进行文本解析
XPath是一种基于XML的查询语言,可以快速准确地从网页源代码中提取出需要的信息。与正则表达式相比,XPath更加灵活和易于维护。
4.使用第三方工具和库
除了Python语言自带的库之外,还有很多第三方工具和库可以用来实现网页文本自动抓取。例如、Scrapy等。
四、网页文本自动抓取技术的应用场景
1.电商平台商品价格监控
通过网页文本自动抓取技术,可以实现对电商平台上商品价格的实时监控。当商品价格发生变化时,系统会自动发送邮件或短信通知用户。
2.新闻舆情分析
通过对新闻网站上的文章进行自动抓取和分析,可以实现对当前社会热点话题的舆情分析。这对于政府、企业等机构具有重要的参考价值。
3.搜索引擎优化
通过网页文本自动抓取技术,可以实现对网站上的关键词和链接进行分析,从而提高搜索引擎的排名和曝光度。
4.金融市场数据分析
通过对金融网站上的数据进行自动抓取和分析,可以帮助投资者及时获取市场动态,并作出正确的决策。
五、网页文本自动抓取技术存在的问题
虽然网页文本自动抓取技术非常有用,但是在实际应用中也存在一些问题。例如:
1.网站反爬虫机制
为了保护自己的数据安全,一些网站会设置反爬虫机制,阻止爬虫程序的访问。因此,在进行网页文本自动抓取时,需要注意遵守网站的规定,避免触发反爬虫机制。
2.数据质量问题
由于网页结构和内容都是不断变化的,因此在进行网页文本自动抓取时,可能会出现数据不准确或者缺失等问题。这就需要我们对数据进行清洗和处理,从而提高数据质量。
六、总结
通过本文的介绍,我们了解了网页文本自动抓取的基本概念、实现方法、应用场景和存在问题。在今后的数据挖掘工作中,我们可以根据实际需求,选择合适的技术和工具,从海量数据中提取出有价值的信息。返回搜狐,查看更多
*请认真填写需求信息,我们会在24小时内与您取得联系。
