本發(fā)明專利技術(shù)涉及一種電子郵件IBE加密實(shí)現(xiàn)方法,本方法涉及的實(shí)體包括橋數(shù)字證書、橋數(shù)字證書生成模塊、IBE密鑰服務(wù)客戶端、IBE密碼模塊、IBE私鑰生成器、IBE加載項(xiàng)以及郵件專用客戶端;橋數(shù)字證書生成模塊生成作為郵件專用客戶端進(jìn)行IBE加密和解密橋梁的橋數(shù)字證書,橋證書的公鑰和私鑰分別與一個(gè)IBE公鑰和私鑰相對(duì)應(yīng);IBE密鑰服務(wù)客戶端從IBE私鑰生成器獲取IBE私鑰;IBE加載項(xiàng)在郵件發(fā)送和接收或讀取時(shí)自動(dòng)生成進(jìn)行IBE加密和解密所需的橋證書;IBE密碼模塊將使用橋證書公鑰或私鑰的密碼運(yùn)算轉(zhuǎn)化為使用對(duì)應(yīng)的IBE公鑰或私鑰的相應(yīng)IBE密碼運(yùn)算。本方法使得支持證書加密和加載項(xiàng)機(jī)制的郵件專用客戶端能在不修改的情況下實(shí)現(xiàn)郵件IBE加密。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)屬于數(shù)據(jù)加密
,是一種針對(duì)電子郵件專用客戶端的電子郵件IBE(Identity Based Encryption)加密實(shí)現(xiàn)方法,特別是一種使得不支持IBE加密的電子郵件客戶端在不做修改的情況下實(shí)現(xiàn)郵件IBE加密的方法。
技術(shù)介紹
目前的絕大多數(shù)專用郵件客戶端(非基于瀏覽器的郵件客戶端),如Outlook、Outlook Express、Thunderbird、Foxmail 等,都支持基于 PKI (Public KeyInfrastructure)數(shù)字證書(digital certificate)的郵件加密。PKI數(shù)字證書是基于公開密鑰加密算法的加密技術(shù)(或體系、體制),常用的公開密鑰加密算法有RSA、ECC (橢圓曲線加密)、DSA算法等。在公開密鑰加密算法中,涉及一對(duì)密鑰,其中一個(gè)公開,稱為公鑰(public key)用于數(shù)據(jù)的加密和數(shù)字簽名的驗(yàn)證,另一個(gè)不公開,稱為私鑰(private key)用于數(shù)據(jù)的解密和數(shù)字簽名。由于數(shù)據(jù)加密、解密所使用的密鑰不同(這不同于對(duì)稱密鑰加密算法,數(shù)據(jù)加密和解密所使用的密鑰相同),因此,公開密鑰加密算法(技術(shù)、體系、體制)又稱為非對(duì)稱密鑰加密算法(技術(shù)、體系、體制)。在PKI體系中,數(shù)字證書是一個(gè)采用X509格式、由一個(gè)稱為CA認(rèn)證中心(Certification Authority)的系統(tǒng)(或機(jī)構(gòu))的私鑰(CA私鑰)數(shù)字簽名、載有證書持有者公鑰的電子信息,而數(shù)字證書的有效性由CA私鑰對(duì)應(yīng)的公鑰(CA公鑰)驗(yàn)證。簽發(fā)數(shù)字證書的CA私鑰對(duì)應(yīng)的CA公鑰本身又通過一個(gè)數(shù)字證書發(fā)布,稱為CA證書。CA證書或者是自簽名的(稱為根CA證書),或者由另一個(gè)CA私鑰簽發(fā),稱為上級(jí)CA私鑰,并由對(duì)應(yīng)的上級(jí)CA公鑰驗(yàn)證;該上級(jí)CA私鑰對(duì)應(yīng)的CA公鑰又通過一個(gè)CA證書發(fā)布(稱為上級(jí)CA證書);重復(fù)此過程,直到一個(gè)自簽名的根CA證書。簽發(fā)證書(最終用戶或?qū)嶓w證書、CA證書)的CA私鑰所對(duì)應(yīng)的CA證書通常又稱為簽發(fā)CA證書。這樣從最終用戶數(shù)字證書出發(fā),到其簽發(fā)CA證書,到其簽發(fā)CA證書的上級(jí)CA證書,直至根CA證書,形成一個(gè)證書鏈,稱為證書信任鏈或路徑。在PKI體系中,對(duì)數(shù)字證書可信性的驗(yàn)證就是不斷用一個(gè)證書(包括CA證書)的上級(jí)簽發(fā)CA證書的公鑰驗(yàn)證證書的數(shù)字簽名的有效性,直到驗(yàn)證到受信的某個(gè)簽發(fā)CA證書或根CA證書。另外,數(shù)字證書就其用途而言,有的可同時(shí)用于數(shù)字簽名和數(shù)據(jù)加密;有的僅用于數(shù)字簽名,稱為簽名數(shù)字證書(因其可通過數(shù)字簽名鑒別用戶的身份,因此,也稱為身份證書);有的僅用于數(shù)據(jù)加密,稱為加密數(shù)字證書。數(shù)字證書的用途通過證書的密鑰用途字段(KeyUsage)規(guī)定。雖然能夠用于電子郵件的加密,但是,采用PKI數(shù)字證書進(jìn)行電子郵件加密有一個(gè)突出的缺點(diǎn):加密電子郵件的發(fā)送方需事先獲得電子郵件接收方(解密方、收件方)的(力口密)數(shù)字證書,這給基于數(shù)字證書的電子郵件加密的應(yīng)用帶來(lái)了極大不便和障礙,也使得基于數(shù)字證書的郵件加密到目前為止并未獲得廣泛應(yīng)用。基于身份標(biāo)識(shí)的加密(Identity Based Encryption, IBE)也是一種公開密鑰加密算法(技術(shù)、體系、體制)。但是,使用IBE進(jìn)行傳輸數(shù)據(jù)加密時(shí),發(fā)送方無(wú)需事先獲得接收方的數(shù)字證書,只需事先知道可唯一標(biāo)識(shí)對(duì)方身份的一個(gè)標(biāo)識(shí)(如身份證號(hào)、電子郵件地址、手機(jī)號(hào)碼等),然后基于這個(gè)身份標(biāo)識(shí)結(jié)合一組IBE公開參數(shù)(也稱為系統(tǒng)參數(shù))就可以進(jìn)行數(shù)據(jù)加密。這里,身份標(biāo)識(shí)和一組公開參數(shù)就構(gòu)成了 IBE公鑰,(但在實(shí)際應(yīng)用中人人常常把身份標(biāo)識(shí)簡(jiǎn)稱為公鑰)。接收方收到加密的數(shù)據(jù)后,使用自己身份標(biāo)識(shí)對(duì)應(yīng)的私鑰(IBE私鑰)即可解密數(shù)據(jù)(嚴(yán)格說(shuō)來(lái),IBE私鑰是由一組IBE公開參數(shù)和身份標(biāo)識(shí)所對(duì)應(yīng)的私密數(shù)據(jù)所構(gòu)成)。接收方身份標(biāo)識(shí)對(duì)應(yīng)的私鑰是由一個(gè)IBE私鑰生成器(Private KeyGenerator, PKG)產(chǎn)生(IBE私鑰生成器有時(shí)也稱為IBE密鑰服務(wù)器)。如果將IBE用于電子郵件加密,那么加密方(加密電子郵件的發(fā)送方)無(wú)需事先獲得接收方(加密電子郵件的解密方)的數(shù)字證書,而只需使用接收方的電子郵件地址(帳號(hào))并配合一組公開參數(shù)即可進(jìn)行郵件加密;而解密方(收件方)只需使用自己電子郵箱對(duì)應(yīng)的IBE私鑰即可解密加密后的郵件。這給電子郵件加密的應(yīng)用帶來(lái)極大的方便性。但是,將IBE用于電子郵件的加密目前也存在一個(gè)突出的問題:目前的各種常用的專用電子郵件客戶端都不支持IBE加密(如Outlook, Foxmail> Thunderbird等)。為了解決這一問題,有人提出了基于電子郵件客戶端的加載項(xiàng)技術(shù)(如Outlook、Thunderbird的Add-On或Add-1n)進(jìn)行IBE郵件加密的方案:在郵件發(fā)送時(shí),由定制開發(fā)的電子郵件客戶端加載項(xiàng)對(duì)郵件進(jìn)行加密;讀取郵件時(shí),由定制開發(fā)的電子郵件客戶端加載項(xiàng)對(duì)郵件進(jìn)行解密。但這種方也存在如下問題:采用這種方案加密的電子郵件的數(shù)據(jù)格式與加密郵件的標(biāo)準(zhǔn)數(shù)據(jù)格式S/MIME (Secure/Multipurpose Internet Mail Extensions)不兼容,這樣加密郵件的發(fā)送端和接收端都必須使用相同的電子郵件客戶端和加載項(xiàng),以及自定義的加密數(shù)據(jù)格式(不便于互操作)。本專利技術(shù)的目的就是要解決IBE在電子郵件專用客戶端中應(yīng)用所面臨的問題,并避免出現(xiàn)以上所述問題。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的目的是提供一種使得支持PKI數(shù)字證書進(jìn)行電子郵件加密的電子郵件專用客戶端能夠在不做修改的情況下實(shí)現(xiàn)基于IBE的郵件加密,且加密電子郵件的數(shù)據(jù)格式與S/MIME相符合的郵件加密實(shí)現(xiàn)方法。為了實(shí)現(xiàn)上述目的,本專利技術(shù)所采用的技術(shù)方案是:一種電子郵件IBE加密實(shí)現(xiàn)方法,所述方法涉及的實(shí)體包括橋數(shù)字證書、橋數(shù)字證書生成模塊、IBE密鑰服務(wù)客戶端,IBE密碼模塊、IBE私鑰生成器、IBE加載項(xiàng)以及郵件專用客戶端,其中:橋數(shù)字證書:一種作為郵件專用客戶端使用IBE加密算法進(jìn)行郵件加密和解密橋梁的X509格式的具有加密用途的數(shù)字證書;所述橋數(shù)字證書保存在IBE密碼模塊所對(duì)應(yīng)的數(shù)字證書庫(kù)中;橋數(shù)字證書的公鑰與一個(gè)IBE公鑰相對(duì)應(yīng),橋數(shù)字證書的密鑰對(duì)(包括公鑰和私鑰)與IBE密碼模塊中的一個(gè)IBE密鑰對(duì)相對(duì)應(yīng);橋數(shù)字證書生成模塊:生成橋加密數(shù)字證書的軟件組件,通過調(diào)用相關(guān)的密碼模塊,生成與用戶身份標(biāo)識(shí)(如電子郵件地址)相對(duì)應(yīng)的帶私鑰或者不帶私鑰的橋數(shù)字證書,并將所生成的橋數(shù)字證書放入到IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中;IBE密鑰服務(wù)客戶端:連接IBE私鑰生成器獲取IBE公開參數(shù)或者獲取用戶身份標(biāo)識(shí)所對(duì)應(yīng)的IBE私鑰的軟件組件;在生成橋數(shù)字證書的過程中,所述IBE密鑰服務(wù)客戶端或者被IBE密碼模塊直接調(diào)用,或者被橋數(shù)字證書生成模塊直接調(diào)用;IBE密碼模塊:保存IBE私鑰以及使用IBE密鑰公鑰和私鑰進(jìn)行數(shù)據(jù)加密和解密的軟件和硬件組件;對(duì)于不帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書公鑰與對(duì)應(yīng)的IBE公鑰相關(guān)聯(lián);對(duì)于帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書密鑰對(duì)與對(duì)應(yīng)的IBE密鑰對(duì)相關(guān)聯(lián);對(duì)于使用橋數(shù)字證書的公鑰進(jìn)行密碼運(yùn)算和操作(如數(shù)據(jù)加密、導(dǎo)出公鑰)的接口調(diào)用,所述IBE密碼模塊使用對(duì)應(yīng)的IBE公鑰進(jìn)行相應(yīng)的本文檔來(lái)自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種電子郵件IBE加密實(shí)現(xiàn)方法,所述方法涉及的實(shí)體包括橋數(shù)字證書、橋數(shù)字證書生成模塊、IBE密鑰服務(wù)客戶端,IBE密碼模塊、IBE私鑰生成器、IBE加載項(xiàng)以及郵件專用客戶端,其中:橋數(shù)字證書:一種作為郵件專用客戶端使用IBE加密算法進(jìn)行郵件加密和解密橋梁的X509格式的具有加密用途的數(shù)字證書;所述橋數(shù)字證書保存在IBE密碼模塊所對(duì)應(yīng)的數(shù)字證書庫(kù)中;橋數(shù)字證書的公鑰與一個(gè)IBE公鑰相對(duì)應(yīng),橋數(shù)字證書的密鑰對(duì)與IBE密碼模塊中的一個(gè)IBE密鑰對(duì)相對(duì)應(yīng);橋數(shù)字證書生成模塊:通過調(diào)用相關(guān)的密碼模塊,生成與用戶身份標(biāo)識(shí)相對(duì)應(yīng)的帶私鑰或者不帶私鑰的橋數(shù)字證書,并將所生成的橋數(shù)字證書放入到IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中;IBE密鑰服務(wù)客戶端:連接IBE私鑰生成器獲取IBE公開參數(shù)或者獲取用戶身份標(biāo)識(shí)所對(duì)應(yīng)的IBE私鑰;在生成橋數(shù)字證書的過程中,所述IBE密鑰服務(wù)客戶端被IBE密碼模塊直接調(diào)用,或者被橋數(shù)字證書生成模塊直接調(diào)用;IBE密碼模塊:保存IBE私鑰以及使用IBE密鑰公鑰和私鑰進(jìn)行數(shù)據(jù)加密和解密;對(duì)于不帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書公鑰與對(duì)應(yīng)的IBE公鑰相關(guān)聯(lián);對(duì)于帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書密鑰對(duì)與對(duì)應(yīng)的IBE密鑰對(duì)相關(guān)聯(lián);對(duì)于使用橋數(shù)字證書的公鑰進(jìn)行密碼運(yùn)算和操作的接口調(diào)用,所述IBE密碼模塊使用對(duì)應(yīng)的IBE公鑰進(jìn)行相應(yīng)的IBE密碼運(yùn)算和操作;對(duì)于使用橋數(shù)字證書的私鑰進(jìn)行密碼運(yùn)算和操作的接口調(diào)用,所述IBE密碼模塊使用對(duì)應(yīng)的IBE私鑰進(jìn)行相應(yīng)的IBE密碼運(yùn)算和操作;所述IBE密碼模 塊被配置或設(shè)置成所述郵件專用客戶端使用數(shù)字證書進(jìn)行郵件加密和解密的相應(yīng)密碼模塊;IBE私鑰生成器:發(fā)布IBE公開參數(shù);當(dāng)IBE密鑰服務(wù)客戶端向其申請(qǐng)獲取用戶的IBE私鑰時(shí),對(duì)IBE密鑰服務(wù)客戶端的用戶進(jìn)行身份鑒別和標(biāo)識(shí)歸屬性確認(rèn),身份鑒別和標(biāo)識(shí)歸屬性確認(rèn)通過后通過安全通道返回用戶的IBE私鑰;IBE加載項(xiàng):加入到郵件專用客戶端的郵件發(fā)送和接收或讀取處理過程中,當(dāng)郵件專用客戶端發(fā)送和接收或讀取郵件時(shí)被觸發(fā)調(diào)用,并對(duì)涉及加密郵件的發(fā)送和接收或讀取操作進(jìn)行相關(guān)的處理:當(dāng)電子郵件專用客戶端發(fā)送加密郵件時(shí),檢查郵件專用客戶端的聯(lián)系人通信薄或地址薄或IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中是否有進(jìn)行郵件加密所需的橋數(shù)字證書,若沒有,則調(diào)用橋數(shù)字證書生成模塊生成郵件加密所需的橋數(shù)字證書;當(dāng)電子郵件專用客戶端接收或讀取加密郵件時(shí),檢查IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中是否有進(jìn)行郵件解密所需的帶私鑰的橋數(shù)字證書,若沒有,則調(diào)用橋數(shù)字證書生成模塊生成郵件解密所需的帶私鑰的橋數(shù)字證書;郵件專用客戶端:支持PKI數(shù)字證書進(jìn)行郵件加密和解密并通過加載項(xiàng)擴(kuò)展機(jī)制加載有所述IBE加載項(xiàng)的電子郵件專用客戶端;所述IBE公鑰由一組IBE公開參數(shù)和用戶身份標(biāo)識(shí)所構(gòu)成;所述IBE私鑰由一組IBE公開參數(shù)和用戶身份標(biāo)識(shí)所對(duì)應(yīng)的私密數(shù)據(jù)所構(gòu)成;所述IBE密鑰對(duì)包含所述IBE公鑰和IBE私鑰;所述IBE私鑰生成器對(duì)IBE密鑰服務(wù)客戶端用戶所進(jìn)行的身份鑒別是確認(rèn)客戶端用戶就是其聲稱的人;所述IBE私鑰生成器所進(jìn)行的標(biāo)識(shí)歸屬性確認(rèn),即確定某個(gè)身份標(biāo)識(shí)確實(shí)歸某個(gè)人所有。...
【技術(shù)特征摘要】
1.一種電子郵件IBE加密實(shí)現(xiàn)方法,所述方法涉及的實(shí)體包括橋數(shù)字證書、橋數(shù)字證書生成模塊、IBE密鑰服務(wù)客戶端,IBE密碼模塊、IBE私鑰生成器、IBE加載項(xiàng)以及郵件專用客戶端,其中: 橋數(shù)字證書:一種作為郵件專用客戶端使用IBE加密算法進(jìn)行郵件加密和解密橋梁的X509格式的具有加密用途的數(shù)字證書;所述橋數(shù)字證書保存在IBE密碼模塊所對(duì)應(yīng)的數(shù)字證書庫(kù)中;橋數(shù)字證書的公鑰與一個(gè)IBE公鑰相對(duì)應(yīng),橋數(shù)字證書的密鑰對(duì)與IBE密碼模塊中的一個(gè)IBE密鑰對(duì)相對(duì)應(yīng); 橋數(shù)字證書生成模塊:通過調(diào)用相關(guān)的密碼模塊,生成與用戶身份標(biāo)識(shí)相對(duì)應(yīng)的帶私鑰或者不帶私鑰的橋數(shù)字證書,并將所生成的橋數(shù)字證書放入到IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中; IBE密鑰服務(wù)客戶端:連接IBE私鑰生成器獲取IBE公開參數(shù)或者獲取用戶身份標(biāo)識(shí)所對(duì)應(yīng)的IBE私鑰;在生成橋數(shù)字證書的過程中,所述IBE密鑰服務(wù)客戶端被IBE密碼模塊直接調(diào)用,或者被橋數(shù)字證書生成模塊直接調(diào)用; IBE密碼模塊:保存IBE私鑰以及使用IBE密鑰公鑰和私鑰進(jìn)行數(shù)據(jù)加密和解密;對(duì)于不帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書公鑰與對(duì)應(yīng)的IBE公鑰相關(guān)聯(lián);對(duì)于帶私鑰的橋數(shù)字證書,所述IBE密碼模塊將證書密鑰對(duì)與對(duì)應(yīng)的IBE密鑰對(duì)相關(guān)聯(lián);對(duì)于使用橋數(shù)字證書的公鑰進(jìn)行密碼運(yùn)算和操作的接口調(diào)用,所述IBE密碼模塊使用對(duì)應(yīng)的IBE公鑰進(jìn)行相應(yīng)的IBE密碼運(yùn)算和操作;對(duì)于使用橋數(shù)字證書的私鑰進(jìn)行密碼運(yùn)算和操作的接口調(diào)用,所述IBE密碼模塊使用對(duì)應(yīng)的IBE私鑰進(jìn)行相應(yīng)的IBE密碼運(yùn)算和操作;所述IBE密碼模塊被配置或設(shè)置成所述郵件專用客戶端使用數(shù)字證書進(jìn)行郵件加密和解密的相應(yīng)密碼模塊; IBE私鑰生成器:發(fā)布IBE公開參數(shù);當(dāng)IBE密鑰服務(wù)客戶端向其申請(qǐng)獲取用戶的IBE私鑰時(shí),對(duì)IBE密鑰服務(wù)客戶端 的用戶進(jìn)行身份鑒別和標(biāo)識(shí)歸屬性確認(rèn),身份鑒別和標(biāo)識(shí)歸屬性確認(rèn)通過后通過安全通道返回用戶的IBE私鑰; IBE加載項(xiàng):加入到郵件專用客戶端的郵件發(fā)送和接收或讀取處理過程中,當(dāng)郵件專用客戶端發(fā)送和接收或讀取郵件時(shí)被觸發(fā)調(diào)用,并對(duì)涉及加密郵件的發(fā)送和接收或讀取操作進(jìn)行相關(guān)的處理:當(dāng)電子郵件專用客戶端發(fā)送加密郵件時(shí),檢查郵件專用客戶端的聯(lián)系人通信薄或地址薄或IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中是否有進(jìn)行郵件加密所需的橋數(shù)字證書,若沒有,則調(diào)用橋數(shù)字證書生成模塊生成郵件加密所需的橋數(shù)字證書;當(dāng)電子郵件專用客戶端接收或讀取加密郵件時(shí),檢查IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中是否有進(jìn)行郵件解密所需的帶私鑰的橋數(shù)字證書,若沒有,則調(diào)用橋數(shù)字證書生成模塊生成郵件解密所需的帶私鑰的橋數(shù)字證書; 郵件專用客戶端:支持PKI數(shù)字證書進(jìn)行郵件加密和解密并通過加載項(xiàng)擴(kuò)展機(jī)制加載有所述IBE加載項(xiàng)的電子郵件專用客戶端; 所述IBE公鑰由一組IBE公開參數(shù)和用戶身份標(biāo)識(shí)所構(gòu)成;所述IBE私鑰由一組IBE公開參數(shù)和用戶身份標(biāo)識(shí)所對(duì)應(yīng)的私密數(shù)據(jù)所構(gòu)成;所述IBE密鑰對(duì)包含所述IBE公鑰和IBE私鑰;所述IBE私鑰生成器對(duì)IBE密鑰服務(wù)客戶端用戶所進(jìn)行的身份鑒別是確認(rèn)客戶端用戶就是其聲稱的人;所述IBE私鑰生成器所進(jìn)行的標(biāo)識(shí)歸屬性確認(rèn),即確定某個(gè)身份標(biāo)識(shí)確實(shí)歸某個(gè)人所有。2.根據(jù)權(quán)利要求1所述的電子郵件IBE加密實(shí)現(xiàn)方法,其特征在于: 所述橋數(shù)字證書及所述橋數(shù)字證書的簽發(fā)CA證書和上級(jí)CA證書包括根CA證書是由橋數(shù)字證書生成模塊在用戶本地計(jì)算設(shè)備上生成,且所生成的根CA證書由橋數(shù)字證書生成模塊放入到IBE密碼模塊所對(duì)應(yīng)的證書庫(kù)中的受信任的...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:龍毅宏,黃強(qiáng),唐志紅,劉旭,
申請(qǐng)(專利權(quán))人:武漢理工大學(xué),北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司,
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。