CN102387162A - 基于数字证书的邮件服务器访问方法和系统 - Google Patents
基于数字证书的邮件服务器访问方法和系统 Download PDFInfo
- Publication number
- CN102387162A CN102387162A CN2011104201453A CN201110420145A CN102387162A CN 102387162 A CN102387162 A CN 102387162A CN 2011104201453 A CN2011104201453 A CN 2011104201453A CN 201110420145 A CN201110420145 A CN 201110420145A CN 102387162 A CN102387162 A CN 102387162A
- Authority
- CN
- China
- Prior art keywords
- mail server
- user terminal
- authentication
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于数字证书的邮件服务器访问方法,包括步骤:A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向邮件服务器颁发邮件服务器证书和邮件服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;B、用户终端接入到提供邮件访问服务的邮件服务器,基于用户终端、邮件服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;C、完成相互、双向身份验证的用户终端和邮件服务器利用所述数据密钥进行邮件收发的保密传输。本发明还公开了一种基于数字证书的邮件服务器访问系统。
Description
技术领域
本发明涉及电子信息技术领域,尤其涉及一种基于数字证书的邮件服务器访问方法和系统。
背景技术
随着网络技术的不断发展,用户越希望可以通过网络进行交流,于是基于网络的,能提供实时、快捷信息交流功能的电子邮件系统和解决方案得到了广泛的使用。但是由于电子邮件的高度敏感性和网络的高度开放型,使得在使用移动设备访问电子邮箱时,如何保证安全是个非常重要的问题。
目前的邮件服务器系统,该系统内可能含有多个邮件服务器,一个邮件服务器可能同时接受多个用户的访问,而这些用户是完全独立的,且邮件服务器和用户终端的地理位置上是分布各处的。这种情况下,对于用户终端和邮件服务器的管理是非常困难,对于整个电子邮件系统的安全问题尤为突出。其安全问题有以下几点:
1、在用户访问邮件服务器前,“用户名+密码”的身份验证方式容易泄露;
2、在用户终端收发邮件的过程中,为了保证邮件数据的安全性,邮件数据须在加密通道中传输,即使有人员非法窃取数据,也没办法使用和篡改;
3、对于一个大型邮件服务器系统,存在多个邮件服务器和大量的用户使用群体,必须解决各个邮件服务器和用户终端的相互验证对方的合法有效的问题。
发明内容
本发明实施例提出一种基于数字证书的邮件服务器访问方法和系统,解决了对于目前邮件服务器系统的访问过程中,用户终端与邮件服务器的相互、双向的身份验证,用户收发邮件的数据保密等问题。
本发明实施例提供一种基于数字证书的邮件服务器访问方法,包括步骤:
A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向邮件服务器颁发邮件服务器证书和邮件服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;
B、用户终端接入到提供邮件访问服务的邮件服务器,基于用户终端、邮件服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;
C、完成相互、双向身份验证的用户终端和邮件服务器利用所述数据密钥进行邮件的保密传输。
另外,本发明实施例还对应提供一种基于数字证书的邮件服务器访问系统,该系统包括利用网络连接进行相互通信的身份验证服务器、提供邮件访问服务的邮件服务器和用户终端;其中,所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥,并向邮件服务器颁发邮件服务器证书和邮件服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;所述用户终端接入到邮件服务器时,基于用户终端、邮件服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端和邮件服务器利用所述数据密钥进行邮件的保密传输。
实施本发明实施例,具有如下有益效果:
1、通过建立一个统一的邮件服务器系统,使得用户可以以同一个身份访问不同邮件服务器,用户不需要进行多余的注册等操作即可访问该系统中不同的邮件服务器。
2、用户和邮件服务器通过身份验证服务器验证双方的身份后,邮件服务器向用户分发数据密钥,用于进行邮件的保密传输,避免了网络非法入侵者截获数据并使用。
3、本发明赋予邮件服务器以独立的身份,基于邮件服务器身份的可区分性,方便监管,同时用户终端、邮件服务器、以及身份验证服务器之间在接入过程中的通信无需经过额外的安全信道,节约了使用成本。
附图说明
图1是本发明所提供的基于数字证书的邮件服务器访问系统的结构框图。
图2是本发明所提供的基于数字证书的邮件服务器访问方法的流程图。
图3是图2所示邮件服务器访问方法中用户终端接入邮件服务器的具体流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参照图1,本发明的基于数字证书的邮件服务器访问系统包括利用网络连接进行相互通信的身份验证服务器10、提供邮件访问服务的邮件服务器20和用户终端30。其中,所述身份验证服务器10持有身份验证服务器证书和身份验证服务器私钥,并向邮件服务器20颁发邮件服务器证书和邮件服务器私钥以及向用户终端30颁发用户终端证书和用户终端私钥;所述用户终端30接入到邮件服务器20时,基于用户终端30、邮件服务器20和身份验证服务器10持有的证书和对应的私钥进行身份信息验证,使用户终端30和邮件服务器20完成相互、双向的身份验证,以及完成用户终端30和邮件服务器20间用于邮件传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端30和邮件服务器20利用所述数据密钥进行邮件收发的保密传输。
较佳地,所述用户终端30通过有线或无线网络访问邮件服务器20,邮件服务器20通过专用网络或者互联网连接到管理机构的身份验证服务器10。
所述身份验证服务器10负责对邮件服务器20和用户终端30的证书颁发和状态维护、证书验证等的管理,具体地,所述身份验证服务器10包括身份验证模块11、第一存储模块12和注册模块13,其中:
第一存储模块12存储身份验证服务器的证书和私钥、邮件服务器和用户终端的注册信息等;
注册模块13负责对用户终端和邮件服务器进行注册,发放证书和私钥;
身份验证模块11接收邮件服务器20发送的身份验证请求消息,验证用户终端30和邮件服务器20的身份有效性,并构建身份验证响应消息发送给邮件服务器20。
所述邮件服务器20包括第一接入处理模块21、第二存储模块22及第一数据传输模块23,其中:
第二存储模块22存储身份验证服务器的证书、邮件服务器的证书和私钥、接入用户终端的证书、身份验证密钥、数据密钥、随机数、邮件数据等;
第一接入处理模块21接收并解析用户终端30的接入请求消息,构建身份验证请求消息发送给身份验证服务器10,接收并解析身份验证服务器10的身份验证响应消息,构建接入响应消息,接收并解析接入确认消息,使用身份验证密钥推导出数据密钥;
第一数据传输模块23负责从第二存储模块22中读取数据密钥,将邮件数据进行加密后向用户终端30发送,并且可以解密第二数据传输模块发来的邮件数据密文。
所述用户终端30包括第二接入处理模块31、第三存储模块32以及第二数据传输模块33。其中,
第三存储模块32存储身份验证服务器的证书、用户终端的证书和私钥、邮件服务器的证书、身份验证密钥、数据密钥、随机数、邮件数据等;
第二接入处理模块31在用户终端30接入系统时,向邮件服务器20发起接入请求消息,接收并解析邮件服务器20的接入响应消息,构建接入确认消息发送给邮件服务器20,使用身份验证密钥推导出数据密钥;
第二数据传输模块33负责接收邮件服务器第一数据传输模块23发送的邮件数据密文,进行解密后供用户终端使用,并且可以加密发送给第一数据传输模块23的邮件数据密文。
下面,结合图2和图3,对本发明提供的基于数字证书的邮件服务器访问方法进行详细的描述。本发明所提供的基于数字证书的邮件服务器访问方法,适用于基于数字证书的邮件服务器访问系统中,其中该邮件服务器系统包括利用网络连接进行相互通信的身份验证服务器10、提供邮件访问服务的邮件服务器20和用户终端30,本发明的基于数字证书的邮件服务器访问方法包括步骤:
S101、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器10分别向邮件服务器20颁发邮件服务器证书和邮件服务器私钥以及向用户终端30颁发用户终端证书和用户终端私钥;
S102、用户终端30接入到提供邮件访问服务的邮件服务器20,基于用户终端30、邮件服务器20和身份验证服务器10持有的证书和对应的私钥进行身份信息验证,使用户终端30和邮件服务器20完成相互、双向的身份验证,以及完成用户终端30和邮件服务器20间用于邮件传送时保密的数据密钥的同步;
S103、完成相互、双向身份验证的用户终端30和邮件服务器20利用所述数据密钥进行邮件收发的保密传输。
其中,在步骤S101中,实现的是由身份验证服务器10对用户终端30和邮件服务器20进行注册和颁发数字证书的过程。身份验证服务器10本地持有一个身份验证服务器证书,身份验证服务器证书的私钥用于对颁发邮件服务器20、用户终端30的证书进行签名,并维护证书的有效性等相关信息。当一个邮件服务器20接入到系统中时,需要向身份验证服务器10申请颁发一个邮件服务器证书和对应的私钥,并且在本地缓存身份验证服务器证书。用户终端30接入到邮件服务器系统中时,同样需要身份验证服务器10颁发一个用户终端证书和对应的私钥,并在本地缓存身份验证服务器证书。邮件服务器20和用户终端30使用证书代表各自的身份。而身份验证服务器10的注册模块13负责对用户终端30和邮件服务器20进行注册,发放证书和私钥。身份验证服务器的证书和私钥、邮件服务器和用户终端的注册信息等存储在第一存储模块12中。
在步骤S102中,主要是完成用户终端接入到提供邮件访问服务的邮件服务器的过程,以实现用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;在用户终端30与邮件服务器20进行邮件收发前,用户终端需要接入到邮件服务器,具体包括:
S1021:用户终端30向邮件服务器20发送主要由所述用户终端证书构建的并经过用户终端私钥签名的接入请求消息;
在该步骤中,用户终端30开始接入到邮件服务器系统时,由第二接入处理模块31产生一个用户终端随机数,将用户终端信息,用户终端证书和用户终端随机数等字段组成接入请求消息,并使用用户终端私钥对消息进行签名后发送接入请求消息给需要提供邮件访问服务的邮件服务器20。
S1022:邮件服务器20接收所述接入请求消息并对所述接入请求消息进行解析和验证;验证通过后,向所述身份验证服务器10发送主要由所述用户终端证书、邮件服务器证书构建的并经过邮件服务器私钥签名的身份验证请求消息;
在该步骤中,具体地,当邮件服务器20的第一接入处理模块21接收到第二接入处理模块31发送接入请求消息后,进行如下处理:
a)邮件服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证,具体包括:使用用户终端证书公钥验证消息签名的有效性;从第二存储模块22中读取身份验证服务器证书,使用身份验证服务器的证书公钥验证用户终端证书签名的有效性,若验证失败,则接入过程失败,否则执行b);
b)若验证通过,并确定用户终端信息有效,则在第二存储模块22中保存用户终端随机数和产生的邮件服务器随机数;然后向所述身份验证服务器10发送主要由所述用户终端证书、邮件服务器证书、用户终端随机数和邮件服务器随机数构建的并经过邮件服务器私钥签名的身份验证请求消息。
S1023:身份验证服务器10接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证;验证通过后获得证书验证结果,并向所述邮件服务器20发送主要由所述证书验证结果、用户终端证书和邮件服务器证书中提取出的身份信息构建的并经过身份验证服务器私钥签名的身份验证响应消息;
在该步骤中,具体地,身份验证服务器10的身份验证模块11收到邮件服务器20发来的身份验证请求消息后,进行如下处理:
a)身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证,具体包括:使用邮件服务器证书公钥验证消息签名的有效性;从第一存储模块12中读取身份验证服务器私钥,使用身份验证服务器私钥验证邮件服务器证书和用户终端证书签名的有效性;以及通过验证邮件服务器和用户终端证书的有效期、吊销信息、使用用途和策略信息以判断邮件服务器和用户终端证书的有效性;
b)若验证通过,则构造邮件服务器和用户终端的证书验证结果,并向所述邮件服务器发送主要由所述证书验证结果、用户终端和邮件服务器身份从证书中提取出的证书持有者,证书颁发者,证书序列号等的组合信息)、用户终端随机数和邮件服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。
S1024:邮件服务器20接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证;验证通过后,将预先产生的身份验证密钥进行加密,并绑定到身份验证密钥信息中;然后向所述用户终端30发送主要由身份验证响应消息、邮件服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过邮件服务器私钥签名的接入响应消息;
在该步骤中,邮件服务器20的第一接入处理模块21收到身份验证服务器10的身份验证响应消息后,进行如下处理:
a)邮件服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证,具体包括:从第二存储模块22中读取身份验证服务器证书,使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;判断身份验证服务器和用户终端的证书验证结果是否有效;读取第二存储模块22中的邮件服务器、用户终端的随机数和身份验证响应消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,根据邮件服务器预先产生的身份验证密钥,使用用户终端证书公钥对身份验证密钥进行加密,同时将密钥绑定到身份验证密钥信息中,身份验证密钥信息包含身份验证密钥的索引等信息;然后向所述用户终端发送主要由身份验证响应消息、邮件服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过邮件服务器私钥签名的接入响应消息。
S1025:用户终端30接收所述接入响应消息并对所述接入响应消息进行解析和验证;验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥;然后向所述邮件服务器20发送主要由用户终端身份、邮件服务器身份和身份验证密钥信息构建的接入确认消息;
在该步骤中,用户终端30的第二接入处理模块31收到接入响应消息后,进行如下处理:
a)用户终端30接收所述接入响应消息并对所述接入响应消息进行解析和验证,具体包括:从第三存储模块32中读取身份验证服务器证书,使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;使用邮件服务器证书公钥判断接入响应消息签名的有效性;判断邮件服务器和用户终端的证书验证结果是否有效;读取从第三存储模块32中的用户终端随机数和接入响应消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,从第三存储模块32中读取用户终端私钥,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥,且在第三存储模块32中存储所述身份验证密钥信息和数据密钥;然后向所述邮件服务器20发送主要由用户终端身份、邮件服务器身份、身份验证密钥信息、用户终端随机数和邮件服务器随机数构建的接入确认消息,并使用身份验证密钥计算得到消息鉴别码附在接入确认消息后。
S1026:邮件服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证;验证通过后,利用身份验证密钥推导出数据密钥。
在该步骤中,邮件服务器20的第一接入处理模块21收到用户终端30的接入确认消息后,进行如下处理:
a)邮件服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证,具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,判断是否一致;读取第二存储模块22存储的用户终端随机数和邮件服务器随机数,和接入确认消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如以上任一项验证未通过,则接入过程失败,否则执行b);
b)验证通过后,利用身份验证密钥推导出数据密钥并存储到第二存储模块22中。
至此,用户终端30成功接入至邮件服务器20,完成了双向、相互的身份验证,同时完成用户终端30和邮件服务器20间用于收发邮件保密的数据密钥的同步。
邮件服务器20和用户终端30完成双向相互的身份验证和数据密钥同步后,即可进行邮件的保密传输,即进行步骤S103,在该步骤中,具体地,例如:
用户终端30如需收取邮件,则构造邮件收取请求消息,由第二数据传输模块33发送该邮件收取请求消息给邮件服务器20。邮件服务器的第一数据传输模块23收到用户终端30的邮件收取请求消息后,则读取第二存储模块22中的数据密钥对请求的邮件数据进行加密,然后将邮件数据密文通过第一数据传输模块23发送至用户终端30,而用户终端30的第二数据传输模块33收到邮件数据密文后,读取第三存储模块32的数据密钥,对邮件数据密文进行解密,得到可使用的邮件数据明文。
用户终端30如需发送邮件,则读取第三存储模块32的数据密钥,加密邮件数据,并构造邮件发送请求消息(消息中携带邮件数据密文),由第二数据传输模块33发送该邮件发送请求消息给邮件服务器20。邮件服务器20的第一数据传输模块23收到用户终端30的邮件上传请求消息后,则读取第二存储模块22中的数据密钥对邮件数据进行解密,并将解密后的邮件存储于第二存储模块22中。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。
Claims (10)
1.一种基于数字证书的邮件服务器访问方法,其特征在于包括步骤:
A、持有身份验证服务器证书和身份验证服务器私钥的身份验证服务器分别向邮件服务器颁发邮件服务器证书和邮件服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;
B、用户终端接入到提供邮件访问服务的邮件服务器,基于用户终端、邮件服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;
C、完成相互、双向身份验证的用户终端和邮件服务器利用所述数据密钥进行邮件收发的保密传输。
2.如权利要求1所述的邮件服务器访问方法,其特征在于,所述步骤B具体包括:
B1、用户终端向邮件服务器发送主要由所述用户终端证书构建的并经过用户终端私钥签名的接入请求消息;
B2、邮件服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证;验证通过后,向所述身份验证服务器发送主要由所述用户终端证书、邮件服务器证书构建的并经过邮件服务器私钥签名的身份验证请求消息;
B3、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证;验证通过后获得证书验证结果,并向所述邮件服务器发送主要由所述证书验证结果、用户终端证书和邮件服务器证书中提取出的身份信息构建的并经过身份验证服务器私钥签名的身份验证响应消息;
B4、邮件服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证;验证通过后,将预先产生的身份验证密钥进行加密,并绑定到身份验证密钥信息中;然后向所述用户终端发送主要由身份验证响应消息、邮件服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过邮件服务器私钥签名的接入响应消息;
B5、用户终端接收所述接入响应消息并对所述接入响应消息进行解析和验证;验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥;然后向所述邮件服务器发送主要由用户终端身份、邮件服务器身份和身份验证密钥信息构建的接入确认消息;
B6、邮件服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证;验证通过后,利用身份验证密钥推导出数据密钥。
3.如权利要求2所述的邮件服务器访问方法,其特征在于:
所述接入请求消息主要由用户终端产生的用户终端随机数、用户终端信息和用户终端证书组成;
所述身份验证请求消息主要由所述用户终端证书、邮件服务器证书、用户终端随机数和邮件服务器产生的邮件服务器随机数组成;
所述身份验证响应消息主要由所述证书验证结果、用户终端证书和邮件服务器证书中提取出的身份信息、用户终端随机数和邮件服务器随机数组成;
所述接入响应消息主要由所述身份验证响应消息、邮件服务器证书、身份验证密钥密文和身份验证密钥信息组成;
所述接入确认消息主要由用户终端身份、邮件服务器身份和身份验证密钥信息、用户终端随机数和邮件服务器随机数组成。
4.如权利要求3所述的邮件服务器访问方法,其特征在于,所述用户终端和邮件服务器在本地均缓存有身份验证服务器证书,所述步骤B2具体包括:
B21、邮件服务器接收所述接入请求消息并对所述接入请求消息进行解析和验证,具体包括:使用用户终端证书公钥验证消息签名的有效性以及使用身份验证服务器的证书公钥验证用户终端证书签名的有效性,若验证失败,则接入过程失败,否则执行B22;
B22、若验证通过,并确定用户终端信息有效,则保存用户终端随机数和产生的邮件服务器随机数;并向所述身份验证服务器发送主要由所述用户终端证书、邮件服务器证书、用户终端随机数和邮件服务器随机数构建的并经过邮件服务器私钥签名的身份验证请求消息。
5.如权利要求4所述的邮件服务器访问方法,其特征在于,所述步骤B3具体包括:
B31、身份验证服务器接收所述身份验证请求消息并对所述身份验证请求消息进行解析和验证,具体包括:使用邮件服务器证书公钥验证消息签名的有效性、使用身份验证服务器私钥验证邮件服务器证书和用户终端证书签名的有效性以及通过验证邮件服务器和用户终端证书的有效期、吊销信息、使用用途和策略信息以判断邮件服务器和用户终端证书的有效性;
B32、若验证通过,则构造邮件服务器和用户终端的证书验证结果,并向所述邮件服务器发送主要由所述证书验证结果、用户终端身份、邮件服务器身份、用户终端随机数和邮件服务器随机数构建的并经过身份验证服务器私钥签名的身份验证响应消息。
6.如权利要求5所述的邮件服务器访问方法,其特征在于,所述步骤B4具体包括:
B41、邮件服务器接收所述身份验证响应消息并对所述身份验证响应消息进行解析和验证,具体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;判断身份验证服务器和用户终端的证书验证结果是否有效;读取存储的邮件服务器、用户终端随机数和身份验证响应消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B42;
B42、验证通过后,根据邮件服务器预先产生的身份验证密钥,使用用户终端证书公钥对身份验证密钥进行加密,同时将密钥绑定到身份验证密钥信息中,身份验证密钥信息包含身份验证密钥的索引等信息;然后向所述用户终端发送主要由身份验证响应消息、邮件服务器证书、身份验证密钥密文和身份验证密钥信息构建的并经过邮件服务器私钥签名的接入响应消息。
7.如权利要求6所述的邮件服务器访问方法,其特征在于,所述步骤B5具体包括:
B51、用户终端接收所述接入响应消息并对所述接入响应消息进行解析和验证,具体包括:使用身份验证服务器证书公钥判断身份验证响应消息签名的有效性;使用邮件服务器证书公钥判断接入响应消息签名的有效性;判断邮件服务器和用户终端的证书验证结果是否有效;读取存储的用户终端随机数和接入响应消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B52;
B52、验证通过后,利用用户终端私钥解密所述身份验证密钥密文,获得身份验证密钥,并从身份验证密钥推导出数据密钥,且存储所述身份验证密钥信息和数据密钥;然后向所述邮件服务器发送主要由用户终端身份、邮件服务器身份、身份验证密钥信息、用户终端随机数和邮件服务器随机数构建的并附有由消息身份验证密钥计算得到的消息鉴别码的接入确认消息。
8.如权利要求7所述的邮件服务器访问方法,其特征在于,所述步骤B6具体包括:
B61、邮件服务器接收所述接入确认消息并对所述接入确认消息进行解析和验证,具体包括:计算接入确认消息的消息鉴别码,比较本地计算和接收到的消息鉴别码,判断是否一致;读取存储的用户终端随机数和邮件服务器随机数,和接入确认消息中的随机数进行对比,确定一致;判断邮件服务器和用户终端身份是否相同;判断身份验证密钥信息和接入响应消息中的身份验证密钥信息是否相同;如以上任一项验证未通过,则接入过程失败,否则执行B62;
B62、验证通过后,利用身份验证密钥推导出数据密钥并存储。
9.如权利要求1所述的邮件服务器访问方法,其特征在于,所述步骤C具体包括:
C1、用户终端如需下载邮件,则向所述邮件服务器发送邮件下载请求消息;所述邮件服务器接收到所述邮件下载请求消息后,利用存储的数据密钥对请求的邮件数据进行加密,然后将邮件数据密文发送至用户终端,而用户终端接收到所述邮件数据密文后,利用存储的数据密钥对所述邮件数据密文进行解密,得到可使用的邮件数据明文;
C2、用户终端如需上传邮件,则利用存储的数据密钥加密邮件数据,并构造邮件上传请求消息发送给所述邮件服务器;所述邮件服务器接收到所述邮件上传请求消息后,则利用存储的数据密钥对邮件数据进行解密,并将解密后的邮件存储。
10.一种基于数字证书的邮件服务器访问系统,其特征在于包括利用网络连接进行相互通信的身份验证服务器、提供邮件访问服务的邮件服务器和用户终端;其中,所述身份验证服务器持有身份验证服务器证书和身份验证服务器私钥,并向邮件服务器颁发邮件服务器证书和邮件服务器私钥以及向用户终端颁发用户终端证书和用户终端私钥;所述用户终端接入到邮件服务器时,基于用户终端、邮件服务器和身份验证服务器持有的证书和对应的私钥进行身份信息验证,使用户终端和邮件服务器完成相互、双向的身份验证,以及完成用户终端和邮件服务器间用于邮件传送时保密的数据密钥的同步;而完成相互、双向身份验证的用户终端和邮件服务器利用所述数据密钥进行邮件的保密传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104201453A CN102387162A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的邮件服务器访问方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104201453A CN102387162A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的邮件服务器访问方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102387162A true CN102387162A (zh) | 2012-03-21 |
Family
ID=45826136
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104201453A Pending CN102387162A (zh) | 2011-12-14 | 2011-12-14 | 基于数字证书的邮件服务器访问方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102387162A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378334A (zh) * | 2013-08-15 | 2015-02-25 | 北京大学 | 基于移动设备的信息处理方法及设备 |
| CN105025009A (zh) * | 2015-06-10 | 2015-11-04 | 深圳奥联信息安全技术有限公司 | 一种加强邮件系统访问安全性的方法及邮件安全访问系统 |
| CN107888475A (zh) * | 2016-09-30 | 2018-04-06 | 中国石油天然气股份有限公司 | 邮件的解密方法和服务器 |
| CN113438074A (zh) * | 2021-06-24 | 2021-09-24 | 中电信量子科技有限公司 | 基于量子安全密钥的接收邮件的解密方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101546407A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的电子商务系统及其管理方法 |
| CN101547097A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的数字媒体管理系统及管理方法 |
| CN101547095A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
| CN101547096A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的网络会议系统及其管理方法 |
-
2011
- 2011-12-14 CN CN2011104201453A patent/CN102387162A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101546407A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的电子商务系统及其管理方法 |
| CN101547097A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的数字媒体管理系统及管理方法 |
| CN101547095A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
| CN101547096A (zh) * | 2009-02-11 | 2009-09-30 | 广州杰赛科技股份有限公司 | 基于数字证书的网络会议系统及其管理方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104378334A (zh) * | 2013-08-15 | 2015-02-25 | 北京大学 | 基于移动设备的信息处理方法及设备 |
| CN105025009A (zh) * | 2015-06-10 | 2015-11-04 | 深圳奥联信息安全技术有限公司 | 一种加强邮件系统访问安全性的方法及邮件安全访问系统 |
| CN105025009B (zh) * | 2015-06-10 | 2018-02-16 | 深圳奥联信息安全技术有限公司 | 一种加强邮件系统访问安全性的方法及邮件安全访问系统 |
| CN107888475A (zh) * | 2016-09-30 | 2018-04-06 | 中国石油天然气股份有限公司 | 邮件的解密方法和服务器 |
| CN107888475B (zh) * | 2016-09-30 | 2020-09-08 | 中国石油天然气股份有限公司 | 邮件的解密方法和服务器 |
| CN113438074A (zh) * | 2021-06-24 | 2021-09-24 | 中电信量子科技有限公司 | 基于量子安全密钥的接收邮件的解密方法 |
| CN113438074B (zh) * | 2021-06-24 | 2022-11-11 | 中电信量子科技有限公司 | 基于量子安全密钥的接收邮件的解密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111083131B (zh) | 一种用于电力物联网感知终端轻量级身份认证的方法 | |
| CN102497581B (zh) | 基于数字证书的视频监控数据传输方法和系统 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN101674304B (zh) | 一种网络身份认证系统及方法 | |
| CN102238191B (zh) | 一种法院电子文书送达服务器端、客户端、系统及方法 | |
| CN101393628B (zh) | 一种新型的网上安全交易系统和方法 | |
| CN106576043A (zh) | 病毒式可分配可信消息传送 | |
| CN101814991B (zh) | 基于身份的双向认证方法及系统 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN105554032A (zh) | 一种基于快递寄件的身份实名验证方法及验证系统 | |
| CN105656920A (zh) | 一种基于快递的寄件数据的加解密方法及系统 | |
| CN101715638A (zh) | 为获取解密密钥而请求密钥获取的安全电子消息系统 | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| CN101340289B (zh) | 防重放攻击方法及其系统 | |
| CN101931533A (zh) | 认证方法、装置和系统 | |
| CN101917710A (zh) | 移动互联网加密通讯的方法、系统及相关装置 | |
| CN103428077B (zh) | 一种安全收发邮件的方法和系统 | |
| CN102739687A (zh) | 基于标识的应用服务网络访问方法及系统 | |
| CN105554760A (zh) | 无线接入点认证方法、装置及系统 | |
| CN105827399A (zh) | 用于电子选举的数据处理方法 | |
| CN103580868A (zh) | 一种电子公文安全传输系统的安全传输方法 | |
| CN103973714A (zh) | 电子邮件账户生成方法及系统 | |
| CN104202170A (zh) | 一种基于标识的身份认证系统和方法 | |
| CN102447705A (zh) | 数字证书撤销方法及设备 | |
| CN111147257A (zh) | 身份认证和信息保密的方法、监控中心和远程终端单元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120321 |