本发明专利技术涉及一种电子邮件IBE加密实现方法,本方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端、IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端;桥数字证书生成模块生成作为邮件专用客户端进行IBE加密和解密桥梁的桥数字证书,桥证书的公钥和私钥分别与一个IBE公钥和私钥相对应;IBE密钥服务客户端从IBE私钥生成器获取IBE私钥;IBE加载项在邮件发送和接收或读取时自动生成进行IBE加密和解密所需的桥证书;IBE密码模块将使用桥证书公钥或私钥的密码运算转化为使用对应的IBE公钥或私钥的相应IBE密码运算。本方法使得支持证书加密和加载项机制的邮件专用客户端能在不修改的情况下实现邮件IBE加密。
【技术实现步骤摘要】
本专利技术属于数据加密
,是一种针对电子邮件专用客户端的电子邮件IBE(Identity Based Encryption)加密实现方法,特别是一种使得不支持IBE加密的电子邮件客户端在不做修改的情况下实现邮件IBE加密的方法。
技术介绍
目前的绝大多数专用邮件客户端(非基于浏览器的邮件客户端),如Outlook、Outlook Express、Thunderbird、Foxmail 等,都支持基于 PKI (Public KeyInfrastructure)数字证书(digital certificate)的邮件加密。PKI数字证书是基于公开密钥加密算法的加密技术(或体系、体制),常用的公开密钥加密算法有RSA、ECC (椭圆曲线加密)、DSA算法等。在公开密钥加密算法中,涉及一对密钥,其中一个公开,称为公钥(public key)用于数据的加密和数字签名的验证,另一个不公开,称为私钥(private key)用于数据的解密和数字签名。由于数据加密、解密所使用的密钥不同(这不同于对称密钥加密算法,数据加密和解密所使用的密钥相同),因此,公开密钥加密算法(技术、体系、体制)又称为非对称密钥加密算法(技术、体系、体制)。在PKI体系中,数字证书是一个采用X509格式、由一个称为CA认证中心(Certification Authority)的系统(或机构)的私钥(CA私钥)数字签名、载有证书持有者公钥的电子信息,而数字证书的有效性由CA私钥对应的公钥(CA公钥)验证。签发数字证书的CA私钥对应的CA公钥本身又通过一个数字证书发布,称为CA证书。CA证书或者是自签名的(称为根CA证书),或者由另一个CA私钥签发,称为上级CA私钥,并由对应的上级CA公钥验证;该上级CA私钥对应的CA公钥又通过一个CA证书发布(称为上级CA证书);重复此过程,直到一个自签名的根CA证书。签发证书(最终用户或实体证书、CA证书)的CA私钥所对应的CA证书通常又称为签发CA证书。这样从最终用户数字证书出发,到其签发CA证书,到其签发CA证书的上级CA证书,直至根CA证书,形成一个证书链,称为证书信任链或路径。在PKI体系中,对数字证书可信性的验证就是不断用一个证书(包括CA证书)的上级签发CA证书的公钥验证证书的数字签名的有效性,直到验证到受信的某个签发CA证书或根CA证书。另外,数字证书就其用途而言,有的可同时用于数字签名和数据加密;有的仅用于数字签名,称为签名数字证书(因其可通过数字签名鉴别用户的身份,因此,也称为身份证书);有的仅用于数据加密,称为加密数字证书。数字证书的用途通过证书的密钥用途字段(KeyUsage)规定。虽然能够用于电子邮件的加密,但是,采用PKI数字证书进行电子邮件加密有一个突出的缺点:加密电子邮件的发送方需事先获得电子邮件接收方(解密方、收件方)的(力口密)数字证书,这给基于数字证书的电子邮件加密的应用带来了极大不便和障碍,也使得基于数字证书的邮件加密到目前为止并未获得广泛应用。基于身份标识的加密(Identity Based Encryption, IBE)也是一种公开密钥加密算法(技术、体系、体制)。但是,使用IBE进行传输数据加密时,发送方无需事先获得接收方的数字证书,只需事先知道可唯一标识对方身份的一个标识(如身份证号、电子邮件地址、手机号码等),然后基于这个身份标识结合一组IBE公开参数(也称为系统参数)就可以进行数据加密。这里,身份标识和一组公开参数就构成了 IBE公钥,(但在实际应用中人人常常把身份标识简称为公钥)。接收方收到加密的数据后,使用自己身份标识对应的私钥(IBE私钥)即可解密数据(严格说来,IBE私钥是由一组IBE公开参数和身份标识所对应的私密数据所构成)。接收方身份标识对应的私钥是由一个IBE私钥生成器(Private KeyGenerator, PKG)产生(IBE私钥生成器有时也称为IBE密钥服务器)。如果将IBE用于电子邮件加密,那么加密方(加密电子邮件的发送方)无需事先获得接收方(加密电子邮件的解密方)的数字证书,而只需使用接收方的电子邮件地址(帐号)并配合一组公开参数即可进行邮件加密;而解密方(收件方)只需使用自己电子邮箱对应的IBE私钥即可解密加密后的邮件。这给电子邮件加密的应用带来极大的方便性。但是,将IBE用于电子邮件的加密目前也存在一个突出的问题:目前的各种常用的专用电子邮件客户端都不支持IBE加密(如Outlook, Foxmail> Thunderbird等)。为了解决这一问题,有人提出了基于电子邮件客户端的加载项技术(如Outlook、Thunderbird的Add-On或Add-1n)进行IBE邮件加密的方案:在邮件发送时,由定制开发的电子邮件客户端加载项对邮件进行加密;读取邮件时,由定制开发的电子邮件客户端加载项对邮件进行解密。但这种方也存在如下问题:采用这种方案加密的电子邮件的数据格式与加密邮件的标准数据格式S/MIME (Secure/Multipurpose Internet Mail Extensions)不兼容,这样加密邮件的发送端和接收端都必须使用相同的电子邮件客户端和加载项,以及自定义的加密数据格式(不便于互操作)。本专利技术的目的就是要解决IBE在电子邮件专用客户端中应用所面临的问题,并避免出现以上所述问题。
技术实现思路
本专利技术的目的是提供一种使得支持PKI数字证书进行电子邮件加密的电子邮件专用客户端能够在不做修改的情况下实现基于IBE的邮件加密,且加密电子邮件的数据格式与S/MIME相符合的邮件加密实现方法。为了实现上述目的,本专利技术所采用的技术方案是:一种电子邮件IBE加密实现方法,所述方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端,其中:桥数字证书:一种作为邮件专用客户端使用IBE加密算法进行邮件加密和解密桥梁的X509格式的具有加密用途的数字证书;所述桥数字证书保存在IBE密码模块所对应的数字证书库中;桥数字证书的公钥与一个IBE公钥相对应,桥数字证书的密钥对(包括公钥和私钥)与IBE密码模块中的一个IBE密钥对相对应;桥数字证书生成模块:生成桥加密数字证书的软件组件,通过调用相关的密码模块,生成与用户身份标识(如电子邮件地址)相对应的带私钥或者不带私钥的桥数字证书,并将所生成的桥数字证书放入到IBE密码模块所对应的证书库中;IBE密钥服务客户端:连接IBE私钥生成器获取IBE公开参数或者获取用户身份标识所对应的IBE私钥的软件组件;在生成桥数字证书的过程中,所述IBE密钥服务客户端或者被IBE密码模块直接调用,或者被桥数字证书生成模块直接调用;IBE密码模块:保存IBE私钥以及使用IBE密钥公钥和私钥进行数据加密和解密的软件和硬件组件;对于不带私钥的桥数字证书,所述IBE密码模块将证书公钥与对应的IBE公钥相关联;对于带私钥的桥数字证书,所述IBE密码模块将证书密钥对与对应的IBE密钥对相关联;对于使用桥数字证书的公钥进行密码运算和操作(如数据加密、导出公钥)的接口调用,所述IBE密码模块使用对应的IBE公钥进行相应的本文档来自技高网...
【技术保护点】
一种电子邮件IBE加密实现方法,所述方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端,其中:桥数字证书:一种作为邮件专用客户端使用IBE加密算法进行邮件加密和解密桥梁的X509格式的具有加密用途的数字证书;所述桥数字证书保存在IBE密码模块所对应的数字证书库中;桥数字证书的公钥与一个IBE公钥相对应,桥数字证书的密钥对与IBE密码模块中的一个IBE密钥对相对应;桥数字证书生成模块:通过调用相关的密码模块,生成与用户身份标识相对应的带私钥或者不带私钥的桥数字证书,并将所生成的桥数字证书放入到IBE密码模块所对应的证书库中;IBE密钥服务客户端:连接IBE私钥生成器获取IBE公开参数或者获取用户身份标识所对应的IBE私钥;在生成桥数字证书的过程中,所述IBE密钥服务客户端被IBE密码模块直接调用,或者被桥数字证书生成模块直接调用;IBE密码模块:保存IBE私钥以及使用IBE密钥公钥和私钥进行数据加密和解密;对于不带私钥的桥数字证书,所述IBE密码模块将证书公钥与对应的IBE公钥相关联;对于带私钥的桥数字证书,所述IBE密码模块将证书密钥对与对应的IBE密钥对相关联;对于使用桥数字证书的公钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE公钥进行相应的IBE密码运算和操作;对于使用桥数字证书的私钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE私钥进行相应的IBE密码运算和操作;所述IBE密码模 块被配置或设置成所述邮件专用客户端使用数字证书进行邮件加密和解密的相应密码模块;IBE私钥生成器:发布IBE公开参数;当IBE密钥服务客户端向其申请获取用户的IBE私钥时,对IBE密钥服务客户端的用户进行身份鉴别和标识归属性确认,身份鉴别和标识归属性确认通过后通过安全通道返回用户的IBE私钥;IBE加载项:加入到邮件专用客户端的邮件发送和接收或读取处理过程中,当邮件专用客户端发送和接收或读取邮件时被触发调用,并对涉及加密邮件的发送和接收或读取操作进行相关的处理:当电子邮件专用客户端发送加密邮件时,检查邮件专用客户端的联系人通信薄或地址薄或IBE密码模块所对应的证书库中是否有进行邮件加密所需的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件加密所需的桥数字证书;当电子邮件专用客户端接收或读取加密邮件时,检查IBE密码模块所对应的证书库中是否有进行邮件解密所需的带私钥的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件解密所需的带私钥的桥数字证书;邮件专用客户端:支持PKI数字证书进行邮件加密和解密并通过加载项扩展机制加载有所述IBE加载项的电子邮件专用客户端;所述IBE公钥由一组IBE公开参数和用户身份标识所构成;所述IBE私钥由一组IBE公开参数和用户身份标识所对应的私密数据所构成;所述IBE密钥对包含所述IBE公钥和IBE私钥;所述IBE私钥生成器对IBE密钥服务客户端用户所进行的身份鉴别是确认客户端用户就是其声称的人;所述IBE私钥生成器所进行的标识归属性确认,即确定某个身份标识确实归某个人所有。...
【技术特征摘要】
1.一种电子邮件IBE加密实现方法,所述方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端,其中: 桥数字证书:一种作为邮件专用客户端使用IBE加密算法进行邮件加密和解密桥梁的X509格式的具有加密用途的数字证书;所述桥数字证书保存在IBE密码模块所对应的数字证书库中;桥数字证书的公钥与一个IBE公钥相对应,桥数字证书的密钥对与IBE密码模块中的一个IBE密钥对相对应; 桥数字证书生成模块:通过调用相关的密码模块,生成与用户身份标识相对应的带私钥或者不带私钥的桥数字证书,并将所生成的桥数字证书放入到IBE密码模块所对应的证书库中; IBE密钥服务客户端:连接IBE私钥生成器获取IBE公开参数或者获取用户身份标识所对应的IBE私钥;在生成桥数字证书的过程中,所述IBE密钥服务客户端被IBE密码模块直接调用,或者被桥数字证书生成模块直接调用; IBE密码模块:保存IBE私钥以及使用IBE密钥公钥和私钥进行数据加密和解密;对于不带私钥的桥数字证书,所述IBE密码模块将证书公钥与对应的IBE公钥相关联;对于带私钥的桥数字证书,所述IBE密码模块将证书密钥对与对应的IBE密钥对相关联;对于使用桥数字证书的公钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE公钥进行相应的IBE密码运算和操作;对于使用桥数字证书的私钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE私钥进行相应的IBE密码运算和操作;所述IBE密码模块被配置或设置成所述邮件专用客户端使用数字证书进行邮件加密和解密的相应密码模块; IBE私钥生成器:发布IBE公开参数;当IBE密钥服务客户端向其申请获取用户的IBE私钥时,对IBE密钥服务客户端 的用户进行身份鉴别和标识归属性确认,身份鉴别和标识归属性确认通过后通过安全通道返回用户的IBE私钥; IBE加载项:加入到邮件专用客户端的邮件发送和接收或读取处理过程中,当邮件专用客户端发送和接收或读取邮件时被触发调用,并对涉及加密邮件的发送和接收或读取操作进行相关的处理:当电子邮件专用客户端发送加密邮件时,检查邮件专用客户端的联系人通信薄或地址薄或IBE密码模块所对应的证书库中是否有进行邮件加密所需的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件加密所需的桥数字证书;当电子邮件专用客户端接收或读取加密邮件时,检查IBE密码模块所对应的证书库中是否有进行邮件解密所需的带私钥的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件解密所需的带私钥的桥数字证书; 邮件专用客户端:支持PKI数字证书进行邮件加密和解密并通过加载项扩展机制加载有所述IBE加载项的电子邮件专用客户端; 所述IBE公钥由一组IBE公开参数和用户身份标识所构成;所述IBE私钥由一组IBE公开参数和用户身份标识所对应的私密数据所构成;所述IBE密钥对包含所述IBE公钥和IBE私钥;所述IBE私钥生成器对IBE密钥服务客户端用户所进行的身份鉴别是确认客户端用户就是其声称的人;所述IBE私钥生成器所进行的标识归属性确认,即确定某个身份标识确实归某个人所有。2.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于: 所述桥数字证书及所述桥数字证书的签发CA证书和上级CA证书包括根CA证书是由桥数字证书生成模块在用户本地计算设备上生成,且所生成的根CA证书由桥数字证书生成模块放入到IBE密码模块所对应的证书库中的受信任的...
【专利技术属性】
技术研发人员:龙毅宏,黄强,唐志红,刘旭,
申请(专利权)人:武汉理工大学,北京天威诚信电子商务服务有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。