CN103078743A - 一种电子邮件ibe加密实现方法 - Google Patents
一种电子邮件ibe加密实现方法 Download PDFInfo
- Publication number
- CN103078743A CN103078743A CN2013100136562A CN201310013656A CN103078743A CN 103078743 A CN103078743 A CN 103078743A CN 2013100136562 A CN2013100136562 A CN 2013100136562A CN 201310013656 A CN201310013656 A CN 201310013656A CN 103078743 A CN103078743 A CN 103078743A
- Authority
- CN
- China
- Prior art keywords
- ibe
- digital certificate
- certificate
- bridge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000007246 mechanism Effects 0.000 claims abstract description 7
- 230000000875 corresponding effect Effects 0.000 claims description 83
- 230000008859 change Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 2
- 230000002596 correlated effect Effects 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 239000012467 final product Substances 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013499 data model Methods 0.000 description 2
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
Images
Abstract
本发明涉及一种电子邮件IBE加密实现方法,本方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端、IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端;桥数字证书生成模块生成作为邮件专用客户端进行IBE加密和解密桥梁的桥数字证书,桥证书的公钥和私钥分别与一个IBE公钥和私钥相对应;IBE密钥服务客户端从IBE私钥生成器获取IBE私钥;IBE加载项在邮件发送和接收或读取时自动生成进行IBE加密和解密所需的桥证书;IBE密码模块将使用桥证书公钥或私钥的密码运算转化为使用对应的IBE公钥或私钥的相应IBE密码运算。本方法使得支持证书加密和加载项机制的邮件专用客户端能在不修改的情况下实现邮件IBE加密。
Description
技术领域
本发明属于数据加密技术领域,是一种针对电子邮件专用客户端的电子邮件IBE (Identity Based Encryption)加密实现方法,特别是一种使得不支持IBE加密的电子邮件客户端在不做修改的情况下实现邮件IBE加密的方法。
背景技术
目前的绝大多数专用邮件客户端(非基于浏览器的邮件客户端),如Outlook、Outlook Express、Thunderbird、Foxmail等,都支持基于PKI(Public Key Infrastructure)数字证书(digital certificate)的邮件加密。PKI数字证书是基于公开密钥加密算法的加密技术(或体系、体制),常用的公开密钥加密算法有RSA、ECC(椭圆曲线加密)、DSA算法等。在公开密钥加密算法中,涉及一对密钥,其中一个公开,称为公钥(public key)用于数据的加密和数字签名的验证,另一个不公开,称为私钥(private key)用于数据的解密和数字签名。由于数据加密、解密所使用的密钥不同(这不同于对称密钥加密算法,数据加密和解密所使用的密钥相同),因此,公开密钥加密算法(技术、体系、体制)又称为非对称密钥加密算法(技术、体系、体制)。
在PKI体系中,数字证书是一个采用X509格式、由一个称为CA认证中心(Certification Authority)的系统(或机构)的私钥(CA私钥)数字签名、载有证书持有者公钥的电子信息,而数字证书的有效性由CA私钥对应的公钥(CA公钥)验证。签发数字证书的CA私钥对应的CA公钥本身又通过一个数字证书发布,称为CA证书。CA证书或者是自签名的(称为根CA证书),或者由另一个CA私钥签发,称为上级CA私钥,并由对应的上级CA公钥验证;该上级CA私钥对应的CA公钥又通过一个CA证书发布(称为上级CA证书);重复此过程,直到一个自签名的根CA证书。签发证书(最终用户或实体证书、CA证书)的CA私钥所对应的CA证书通常又称为签发CA证书。这样从最终用户数字证书出发,到其签发CA证书,到其签发CA证书的上级CA证书,直至根CA证书,形成一个证书链,称为证书信任链或路径。在PKI体系中,对数字证书可信性的验证就是不断用一个证书(包括CA证书)的上级签发CA证书的公钥验证证书的数字签名的有效性,直到验证到受信的某个签发CA证书或根CA证书。另外,数字证书就其用途而言,有的可同时用于数字签名和数据加密;有的仅用于数字签名,称为签名数字证书(因其可通过数字签名鉴别用户的身份,因此,也称为身份证书);有的仅用于数据加密,称为加密数字证书。数字证书的用途通过证书的密钥用途字段(KeyUsage)规定。
虽然能够用于电子邮件的加密,但是,采用PKI数字证书进行电子邮件加密有一个突出的缺点:加密电子邮件的发送方需事先获得电子邮件接收方(解密方、收件方)的(加密)数字证书,这给基于数字证书的电子邮件加密的应用带来了极大不便和障碍,也使得基于数字证书的邮件加密到目前为止并未获得广泛应用。
基于身份标识的加密(Identity Based Encryption,IBE)也是一种公开密钥加密算法(技术、体系、体制)。但是,使用IBE进行传输数据加密时,发送方无需事先获得接收方的数字证书,只需事先知道可唯一标识对方身份的一个标识(如身份证号、电子邮件地址、手机号码等),然后基于这个身份标识结合一组IBE公开参数(也称为系统参数)就可以进行数据加密。这里,身份标识和一组公开参数就构成了IBE公钥,(但在实际应用中人人常常把身份标识简称为公钥)。接收方收到加密的数据后,使用自己身份标识对应的私钥(IBE私钥)即可解密数据(严格说来,IBE私钥是由一组IBE公开参数和身份标识所对应的私密数据所构成)。接收方身份标识对应的私钥是由一个IBE私钥生成器(Private Key Generator,PKG)产生(IBE私钥生成器有时也称为IBE密钥服务器)。
如果将IBE用于电子邮件加密,那么加密方(加密电子邮件的发送方)无需事先获得接收方(加密电子邮件的解密方)的数字证书,而只需使用接收方的电子邮件地址(帐号)并配合一组公开参数即可进行邮件加密;而解密方(收件方)只需使用自己电子邮箱对应的IBE私钥即可解密加密后的邮件。这给电子邮件加密的应用带来极大的方便性。但是,将IBE用于电子邮件的加密目前也存在一个突出的问题:目前的各种常用的专用电子邮件客户端都不支持IBE加密(如Outlook,Foxmail、Thunderbird等)。为了解决这一问题,有人提出了基于电子邮件客户端的加载项技术(如Outlook、Thunderbird的Add-On或Add-In)进行IBE邮件加密的方案:在邮件发送时,由定制开发的电子邮件客户端加载项对邮件进行加密;读取邮件时,由定制开发的电子邮件客户端加载项对邮件进行解密。但这种方也存在如下问题:采用这种方案加密的电子邮件的数据格式与加密邮件的标准数据格式S/MIME(Secure/Multipurpose Internet Mail Extensions)不兼容,这样加密邮件的发送端和接收端都必须使用相同的电子邮件客户端和加载项,以及自定义的加密数据格式(不便于互操作)。本发明的目的就是要解决IBE在电子邮件专用客户端中应用所面临的问题,并避免出现以上所述问题。
发明内容
本发明的目的是提供一种使得支持PKI数字证书进行电子邮件加密的电子邮件专用客户端能够在不做修改的情况下实现基于IBE的邮件加密,且加密电子邮件的数据格式与S/MIME相符合的邮件加密实现方法。
为了实现上述目的,本发明所采用的技术方案是:
一种电子邮件IBE加密实现方法,所述方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端,其中:
桥数字证书:一种作为邮件专用客户端使用IBE加密算法进行邮件加密和解密桥梁的X509格式的具有加密用途的数字证书;所述桥数字证书保存在IBE密码模块所对应的数字证书库中;桥数字证书的公钥与一个IBE公钥相对应,桥数字证书的密钥对(包括公钥和私钥)与IBE密码模块中的一个IBE密钥对相对应;
桥数字证书生成模块:生成桥加密数字证书的软件组件,通过调用相关的密码模块,生成与用户身份标识(如电子邮件地址)相对应的带私钥或者不带私钥的桥数字证书,并将所生成的桥数字证书放入到IBE密码模块所对应的证书库中;
IBE密钥服务客户端:连接IBE私钥生成器获取IBE公开参数或者获取用户身份标识所对应的IBE私钥的软件组件;在生成桥数字证书的过程中,所述IBE密钥服务客户端或者被IBE密码模块直接调用,或者被桥数字证书生成模块直接调用;
IBE密码模块:保存IBE私钥以及使用IBE密钥公钥和私钥进行数据加密和解密的软件和硬件组件;对于不带私钥的桥数字证书,所述IBE密码模块将证书公钥与对应的IBE公钥相关联;对于带私钥的桥数字证书,所述IBE密码模块将证书密钥对与对应的IBE密钥对相关联;对于使用桥数字证书的公钥进行密码运算和操作(如数据加密、导出公钥)的接口调用,所述IBE密码模块使用对应的IBE公钥进行相应的IBE密码运算和操作;对于使用桥数字证书的私钥进行密码运算和操作(如数据解密、导出私钥)的接口调用,所述IBE密码模块使用对应的IBE私钥进行相应的IBE密码运算和操作;所述IBE密码模块被配置或设置成所述邮件专用客户端使用数字证书进行邮件加密和解密的相应密码模块;
IBE私钥生成器:发布IBE公开参数;当IBE密钥服务客户端向其申请获取用户的IBE私钥时,对IBE密钥服务客户端的用户进行身份鉴别和标识归属性确认,身份鉴别和标识归属性确认通过后通过安全通道返回用户的IBE私钥;
IBE加载项:加入到邮件专用客户端的邮件发送和接收或读取处理过程中,当邮件专用客户端发送和接收或读取邮件时被触发调用,并对涉及加密邮件的发送和接收或读取操作进行相关的处理:当电子邮件专用客户端发送加密邮件时,检查邮件专用客户端的联系人通信薄或地址薄或IBE密码模块所对应的证书库中是否有进行邮件加密所需的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件加密所需的桥数字证书;当电子邮件专用客户端接收或读取加密邮件时,检查IBE密码模块所对应的证书库中是否有进行邮件解密所需的带私钥的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件解密所需的带私钥的桥数字证书;
邮件专用客户端:支持PKI数字证书进行邮件加密和解密并通过加载项扩展机制加载有所述IBE加载项的电子邮件专用客户端。
所述桥数字证书及所述桥数字证书的签发CA证书和上级CA证书,包括根CA证书,不是由一个单独运行的CA系统签发,而是由桥数字证书生成模块在用户本地计算设备(如计算机、移动终端)上生成,且所生成的根CA证书由桥数字证书生成模块放入到IBE密码模块所对应的证书库中的受信任的根CA证书区;安装在不同用户计算设备上的桥数字证书生成模块各自独立所生成的相应CA证书的(Subject Name)、签发者名(Issuer Name)和序列号(Serial Number)是相同的,但相应CA证书的公钥是不相同的;针对同一个身份标识各自独立所生成的相应桥数字证书的主题名、签发者名和序列号是相同的,但公钥或者相同,或者不相同。
所述IBE私钥生成器对IBE密钥服务客户端用户所进行的身份鉴别是确认客户端用户就是其声称的人,身份鉴别的手段包括身份数字证书或用户名/口令(但为了安全性,不建议使用用户名/口令);所述IBE私钥生成器所进行的标识归属性确认,即确定某个身份标识(在本发明中是电子邮箱地址)确实归某个人所有。
所述IBE公钥由一组IBE公开参数和用户身份标识所构成;所述IBE私钥由一组IBE公开参数和用户身份标识所对应的私密数据所构成;所述IBE密钥对包含所述IBE公钥和IBE私钥。
通常,邮件专用客户端有专门的联系人通信薄或地址薄,并将联系人的加密数字证书配置在接收加密邮件的联系人的联系信息中(如常用的Outlook,Thunderbird即如此);但是,有的邮件专用客户端会直接从其所使用的密码模块所对应的证书库中查找邮件接收人的加密数字证书。
通常情况下IBE加载项被其注册的特定事件触发并被电子邮件专用客户端所调用(但也不排除通过其他方式被触发调用)。
当电子邮件专用客户端发送加密邮件时,所述IBE加载项被触发调用并按如下方式检查和生成邮件加密所需的桥数字证书:
步骤1:针对当前正待发送的邮件的每个邮件收件人,依次检查邮件专用客户端所使用的联系人通信薄或地址薄中的相应邮件收件人的联系信息中是否有相应的桥数字证书,或者,检查IBE密码模块所对应的证书库中是否有相应邮件收件人的相应桥数字证书,若所有的邮件收件人都有相应的桥数字证书,则转入步骤3;否则,转入步骤2;
步骤2:对于每个没有相应加密数字证书的邮件接收人,依次调用所述桥数字证书生成模块,生成与收件人电子邮件地址相对应的不带私钥的桥数字证书,并将生成的桥数字证书加入到所述联系人通信薄或地址薄中的相应邮件接收人的联系信息中,或者加入到IBE密码模块所对应的证书库中的相应证书存储区中(如Windows的其他人证书存储区);然后转入步骤3;
步骤3:在IBE密码模块所对应的证书库中查看是否有当前邮件发送人的带私钥的桥数字证书,若有,则完成本次处理并返回;否则,转入步骤4;
步骤4:调用所述桥数字证书生成模块,生成与发件人电子邮件地址相对应的带私钥的桥数字证书,然后返回。
若所述邮件专用客户端进行邮件加密时是从其通信薄或地址薄的联系人的联系信息查找收件人的加密数字证书,则所述IBE加载项在所述步骤1,是在所述联系人通信薄或地址薄中的相应邮件收件人的联系信息中检查是否有邮件接收人的相应桥数字证书,且在所述步骤2将调用桥数字证书生成模块所生成的桥数字证书加入到联系人通信薄或地址薄中的相应邮件收件人(接收人)的联系信息中;若所述邮件专用客户端进行邮件加密时是从其配置或配备的密码模块中查找邮件接收人的加密数字证书,则所述邮件专用客户端在所述步骤1,是在IBE密码模块所对应的证书库中检查是否有邮件收件人的桥数字证书,且在所述步骤2将调用桥数字证书生成模块所生成的桥数字证书加入到IBE密码模块所对应的证书库中的相应证书存储区中。
当电子邮件专用客户端接收或读取加密邮件时,所述IBE加载项被触发调用并按如下方式检查和生成邮件解密所需的带私钥的桥数字证书:
第一步:在IBE密码模块所对应的证书库中查看是否有当前邮件收件人的带私钥的桥数字证书,若有,则完成本次处理并返回;否则,转入第二步;
第二步:调用所述桥数字证书生成模块,生成与当前收件人电子邮件地址相对应的带私钥的桥数字证书,然后返回。
采用以上所述方法及系统后,加密邮件的发送者在发送加密邮件前无需获取和配置收件人的加密数字证书,只需在发送加密邮件时点击邮件专用客户端的加密按钮,或者在邮件专用客户端的联系人通信薄或地址薄中相关收件人的联系信息中设置相应的加密选项;当需要进行邮件加密时,若没有相应收件人的桥加密证书,则邮件专用客户端的IBE加载项会自动为邮件收件人生成、配置相应的桥数字证书;当邮件专用客户端接收或读取加密邮件时,若没有相应的带私钥的桥数字证书,则IBE加载项会自动调用桥数字证书生成模块为用户生成解密邮件所需的桥数字证书。
附图说明
图1 为本发明的结构框图。
具体实施方式
下面结合附图和实施举例对本发明作进一步的描述。
采用本发明的结构框图如图1所示。
本发明所述桥数字证书的具体实施有两种方式,一是采用本发明专利申请的申请人在其专利申请“一种基于媒介数字证书的IBE数据加密系统”(专利申请号:201110189108.6)中所提出的媒介数字证书;二是采用本发明专利申请的申请人在其专利申请“一种基于伪RSA密钥的新近公开密钥加密算法的应用实现方法”(专利申请号: 201110248050.8)中所提出的伪RSA数字证书。
若桥数字证书的实施采用的是所述媒介数字证书,则本发明所述桥数字证书生成模块、IBE密钥服务客户端、IBE密码模块、IBE私钥生成器的实现可采用或借鉴201110189108.6号专利申请中相应模块的实施方案。其中,本发明中的IBE私钥生成器和IBE密码模块分别对应于201110189108.6号专利申请中的IBE密钥服务器和IBE CSP(Cryptographic Services Provider)或IBE PKCS#11动态库。这时,201110189108.6号专利申请中的IBE密钥管理客户端相当于同时集成了本发明中的桥数字证书生成模块和IBE密钥服务客户端的功能,对此,只需将201110189108.6号专利申请中的IBE密钥管理客户端转化成动态库,并将通过人机界面输入用户身份标识(如电子邮箱地址)的方式改为通过接口调用参数输入的方式,即形成了本发明中所述的桥数字证书生成模块和IBE密钥服务客户端(相当于二者被集成为一体),这时IBE密钥服务客户端被桥数字证书生成模块直接调用。
若桥数字证书的实施采用的是所述伪RSA数字证书,则本发明所述桥数字证书生成模块、IBE密钥服务客户端、IBE密码模块、IBE私钥生成器的实现同样可采用或借鉴201110248050.8号专利申请中的针对IBE算法的实现方案。其中,本发明中的IBE私钥生成器对应于201110248050.8号专利申请中的IBE密钥服务器;将201110248050.8号专利申请中的伪RSA数字证书签发工具转化成动态库,即形成了本发明的桥数字证书生成模块。201110248050.8号专利申请中的IBE密码模块,相当于将本发明中IBE密码模块和IBE密钥服务客户端的功能集成于一体,因此,只需将201110248050.8号专利申请中IBE密码模块中的通过人机界面输入用户身份标识的方式,改为自动输入的方式(如通过窗口挂钩),或者对所述IBE密码模块的接口作适当修改,加入身份标识输入参数即可;这时,IBE密钥服务客户端被IBE密码模块直接调用。
无论采用哪种桥数字证书实施方案,若IBE密码模块是基于Windows CSP所实现的,则IBE密码模块所对应的证书库是所有Windows CSP共用的证书库,即Windows系统的证书库;若IBE密码模块是基于PKCS#11所实现的,则IBE密码模块所对应的证书库是其自身维护的证书库。
IBE加载项是基于邮件专用客户端的加载项(Add-On)扩展机制而实现的,因此,其具体实施与所用的邮件专用客户端有关。邮件专用客户端Outlook、Thunderbird等都提供了通过加载项扩展邮件客户端功能的机制,下面以Outlook邮件专用客户端为例,说明IBE加载项的具体实施。
基于Outlook的加载项机制实现IBE加载项,即实现Outlook的加载项COM接口,具体程序开发语言可以是VB、C/C++或C#.NET。针对加密邮件的发送,IBE加载项注册、响应Outlook的邮件发送事件,并在响应邮件发送事件时检查邮件是否要加密,如果要加密,则进一步通过相关接口,包括通过Outlook的对象数据模型(Outlook Object Mode)提供的相关接口,检查收件人是否有加密所需的桥加密数字证书,以及通过Windows的证书管理API检查发件人是否有带私钥的桥数字证书。IBE加载项检查、确定邮件是否要加密的方法是:通过Outlook的对象数据模型提供的接口检查邮件的加密属性。针对加密邮件的接收或读取,IBE加载项注册、响应Outlook的邮件接收或读取事件,并在响应Outlook的邮件接收或读取事件时,通过Windows提供的相关API检查接收或读取的邮件是否被加密,若是,进一步检查是否存在对应的带私钥的桥数字证书。关于Outlook的加载项,邮件读取API,以及证书管理API,可参见微软的开发网msdn.microsoft.com。
对于加密邮件的接收,除了采用以上所述方案外,还可以采用另一种方案:IBE加载项不对接收或读取的加密邮件进行处理;而是开发一个实现如下功能的加密邮件检测客户端:浏览保存在邮件系统或本地邮件文件中的电子邮件,当检查到某个加密邮件没有对应的解密所需的带私钥的桥数字证书的时候,自动调用桥数字证书生成模块生成一个解密加密邮件所需的带私钥的桥数字证书;当用户使用邮件专用客户端被提示邮件被加密无法打开的时候,运行所述加密邮件检查客户端并查看所述无法解密的加密邮件。
对于具有源程序的邮件专用客户端,也可以不通过加载项技术,而是直接将所述IBE加载项的有关代码加入到邮件专用客户端源程序中的相关位置。
除了以上所述模块,在本发明的具体实施中,还需要开发一个客户端安装程序,将桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE加载项安装在用户计算设备(如个人计算机、移动设备)上并进行相关的设置。
对于技术实现的其他方面,对于相关领域的技术开发者而言是不言自明的。
Claims (7)
1.一种电子邮件IBE加密实现方法,所述方法涉及的实体包括桥数字证书、桥数字证书生成模块、IBE密钥服务客户端,IBE密码模块、IBE私钥生成器、IBE加载项以及邮件专用客户端,其中:
桥数字证书:一种作为邮件专用客户端使用IBE加密算法进行邮件加密和解密桥梁的X509格式的具有加密用途的数字证书;所述桥数字证书保存在IBE密码模块所对应的数字证书库中;桥数字证书的公钥与一个IBE公钥相对应,桥数字证书的密钥对与IBE密码模块中的一个IBE密钥对相对应;
桥数字证书生成模块:通过调用相关的密码模块,生成与用户身份标识相对应的带私钥或者不带私钥的桥数字证书,并将所生成的桥数字证书放入到IBE密码模块所对应的证书库中;
IBE密钥服务客户端:连接IBE私钥生成器获取IBE公开参数或者获取用户身份标识所对应的IBE私钥;在生成桥数字证书的过程中,所述IBE密钥服务客户端被IBE密码模块直接调用,或者被桥数字证书生成模块直接调用;
IBE密码模块:保存IBE私钥以及使用IBE密钥公钥和私钥进行数据加密和解密;对于不带私钥的桥数字证书,所述IBE密码模块将证书公钥与对应的IBE公钥相关联;对于带私钥的桥数字证书,所述IBE密码模块将证书密钥对与对应的IBE密钥对相关联;对于使用桥数字证书的公钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE公钥进行相应的IBE密码运算和操作;对于使用桥数字证书的私钥进行密码运算和操作的接口调用,所述IBE密码模块使用对应的IBE私钥进行相应的IBE密码运算和操作;所述IBE密码模块被配置或设置成所述邮件专用客户端使用数字证书进行邮件加密和解密的相应密码模块;
IBE私钥生成器:发布IBE公开参数;当IBE密钥服务客户端向其申请获取用户的IBE私钥时,对IBE密钥服务客户端的用户进行身份鉴别和标识归属性确认,身份鉴别和标识归属性确认通过后通过安全通道返回用户的IBE私钥;
IBE加载项:加入到邮件专用客户端的邮件发送和接收或读取处理过程中,当邮件专用客户端发送和接收或读取邮件时被触发调用,并对涉及加密邮件的发送和接收或读取操作进行相关的处理:当电子邮件专用客户端发送加密邮件时,检查邮件专用客户端的联系人通信薄或地址薄或IBE密码模块所对应的证书库中是否有进行邮件加密所需的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件加密所需的桥数字证书;当电子邮件专用客户端接收或读取加密邮件时,检查IBE密码模块所对应的证书库中是否有进行邮件解密所需的带私钥的桥数字证书,若没有,则调用桥数字证书生成模块生成邮件解密所需的带私钥的桥数字证书;
邮件专用客户端:支持PKI数字证书进行邮件加密和解密并通过加载项扩展机制加载有所述IBE加载项的电子邮件专用客户端;
所述IBE公钥由一组IBE公开参数和用户身份标识所构成;所述IBE私钥由一组IBE公开参数和用户身份标识所对应的私密数据所构成;所述IBE密钥对包含所述IBE公钥和IBE私钥;所述IBE私钥生成器对IBE密钥服务客户端用户所进行的身份鉴别是确认客户端用户就是其声称的人;所述IBE私钥生成器所进行的标识归属性确认,即确定某个身份标识确实归某个人所有。
2.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于:
所述桥数字证书及所述桥数字证书的签发CA证书和上级CA证书包括根CA证书是由桥数字证书生成模块在用户本地计算设备上生成,且所生成的根CA证书由桥数字证书生成模块放入到IBE密码模块所对应的证书库中的受信任的根CA证书区;安装在不同用户计算设备上的桥数字证书生成模块各自独立所生成的相应CA证书的、签发者名和序列号是相同的,但相应CA证书的公钥是不相同的;针对同一个身份标识各自独立所生成的相应桥数字证书的主题名、签发者名和序列号是相同的,但公钥或者相同,或者不相同。
3.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于:当电子邮件专用客户端发送加密邮件时,所述IBE加载项被触发调用并按如下方法检查和生成邮件加密所需的桥数字证书:
步骤1:针对当前正待发送的邮件的每个邮件收件人,依次检查邮件专用客户端所使用的联系人通信薄或地址薄中的相应邮件收件人的联系信息中是否有相应的桥数字证书,或者,检查IBE密码模块所对应的证书库中是否有相应邮件收件人的相应桥数字证书,若所有的邮件收件人都有相应的桥数字证书,则转入步骤3;否则,转入步骤2;
步骤2:对于每个没有相应加密数字证书的邮件接收人,依次调用所述桥数字证书生成模块,生成与收件人电子邮件地址相对应的不带私钥的桥数字证书,并将生成的桥数字证书加入到所述联系人通信薄或地址薄中的相应邮件接收人的联系信息中,或者加入到IBE密码模块所对应的证书库中的相应证书存储区中;然后转入步骤3;
步骤3:在IBE密码模块所对应的证书库中查看是否有当前邮件发送人的带私钥的桥数字证书,若有,则完成本次处理并返回;否则,转入步骤4;
步骤4:调用所述桥数字证书生成模块,生成与发件人电子邮件地址相对应的带私钥的桥数字证书,然后返回。
4.根据权利要求1或3所述的电子邮件IBE加密实现方法,其特征在于:
若所述邮件专用客户端进行邮件加密时是从其通信薄或地址薄的联系人的联系信息查找收件人的加密数字证书,则所述IBE加载项在所述步骤1中是在所述联系人通信薄或地址薄中的相应邮件收件人的联系信息中检查是否有邮件接收人的相应桥数字证书,且在所述步骤2中将调用桥数字证书生成模块所生成的桥数字证书加入到联系人通信薄或地址薄中的相应邮件收件人的联系信息中;若所述邮件专用客户端进行邮件加密时是从其配置或配备的密码模块中查找邮件接收人的加密数字证书,则所述邮件专用客户端在所述步骤1中是在IBE密码模块所对应的证书库中检查是否有邮件收件人的桥数字证书,且在所述步骤2中将调用桥数字证书生成模块所生成的桥数字证书加入到IBE密码模块所对应的证书库中的相应证书存储区中。
5.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于:当电子邮件专用客户端接收或读取加密邮件时,所述IBE加载项被触发调用并按如下方法检查和生成邮件解密所需的带私钥的桥数字证书:
第一步:在IBE密码模块所对应的证书库中查看是否有当前邮件收件人的带私钥的桥数字证书,若有,则完成本次处理并返回;否则,转入第二步;
第二步:调用所述桥数字证书生成模块,生成与当前收件人电子邮件地址相对应的带私钥的桥数字证书,然后返回。
6.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于:若IBE加载项不对接收或读取加密邮件进行处理,则用一个加密邮件检查客户端浏览保存在邮件系统或本地邮件文件中的电子邮件,当所述加密邮件检测客户端检查到某个加密邮件没有对应的解密所需的带私钥的桥数字证书的时,自动调用桥数字证书生成模块生成一个解密邮件所需的带私钥的桥数字证书。
7.根据权利要求1所述的电子邮件IBE加密实现方法,其特征在于:所述方法针对有源程序的邮件专用客户端的一种实施方案是将所述IBE加载项的有关程序代码直接加入到邮件专用客户端源程序中的相关位置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310013656.2A CN103078743B (zh) | 2013-01-15 | 2013-01-15 | 一种电子邮件ibe加密实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310013656.2A CN103078743B (zh) | 2013-01-15 | 2013-01-15 | 一种电子邮件ibe加密实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103078743A true CN103078743A (zh) | 2013-05-01 |
CN103078743B CN103078743B (zh) | 2015-07-08 |
Family
ID=48155153
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310013656.2A Expired - Fee Related CN103078743B (zh) | 2013-01-15 | 2013-01-15 | 一种电子邮件ibe加密实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103078743B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103532704A (zh) * | 2013-10-08 | 2014-01-22 | 武汉理工大学 | 一种针对owa的电子邮件ibe加密系统 |
CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
CN104683110A (zh) * | 2015-03-16 | 2015-06-03 | 武汉理工大学 | 一种带私钥的桥数字证书的自动生成和配置方法 |
CN106027502A (zh) * | 2016-05-03 | 2016-10-12 | 无锡雅座在线科技发展有限公司 | 餐饮系统访问方法和装置 |
CN110061978A (zh) * | 2019-03-20 | 2019-07-26 | 深圳金澜汉源科技有限公司 | 二元协同安全客户端架构 |
CN110169033A (zh) * | 2017-01-09 | 2019-08-23 | 微软技术许可有限责任公司 | 增强型电子邮件服务 |
CN112738073A (zh) * | 2020-12-25 | 2021-04-30 | 北京天威诚信电子商务服务有限公司 | 一种高安全性的专用文书传送方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050084100A1 (en) * | 2003-10-17 | 2005-04-21 | Terence Spies | Identity-based-encryption system with district policy information |
CN102255729A (zh) * | 2011-07-07 | 2011-11-23 | 武汉理工大学 | 一种基于媒介数字证书的ibe数据加密系统 |
CN102307096A (zh) * | 2011-08-26 | 2012-01-04 | 武汉理工大学 | 一种基于伪rsa密钥的新近公开密钥加密算法的应用实现方法 |
-
2013
- 2013-01-15 CN CN201310013656.2A patent/CN103078743B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050084100A1 (en) * | 2003-10-17 | 2005-04-21 | Terence Spies | Identity-based-encryption system with district policy information |
CN102255729A (zh) * | 2011-07-07 | 2011-11-23 | 武汉理工大学 | 一种基于媒介数字证书的ibe数据加密系统 |
CN102307096A (zh) * | 2011-08-26 | 2012-01-04 | 武汉理工大学 | 一种基于伪rsa密钥的新近公开密钥加密算法的应用实现方法 |
Non-Patent Citations (1)
Title |
---|
龙毅宏等: "《一种加密数字证书私钥恢复方案》", 《学术研究》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104219217A (zh) * | 2013-06-05 | 2014-12-17 | 中国移动通信集团公司 | 安全关联协商方法、设备和系统 |
CN103532704A (zh) * | 2013-10-08 | 2014-01-22 | 武汉理工大学 | 一种针对owa的电子邮件ibe加密系统 |
CN103532704B (zh) * | 2013-10-08 | 2016-08-17 | 武汉理工大学 | 一种针对owa的电子邮件ibe加密系统 |
CN104683110A (zh) * | 2015-03-16 | 2015-06-03 | 武汉理工大学 | 一种带私钥的桥数字证书的自动生成和配置方法 |
CN104683110B (zh) * | 2015-03-16 | 2018-03-02 | 武汉理工大学 | 一种带私钥的桥数字证书的自动生成和配置方法 |
CN106027502A (zh) * | 2016-05-03 | 2016-10-12 | 无锡雅座在线科技发展有限公司 | 餐饮系统访问方法和装置 |
CN110169033A (zh) * | 2017-01-09 | 2019-08-23 | 微软技术许可有限责任公司 | 增强型电子邮件服务 |
US11044259B2 (en) | 2017-01-09 | 2021-06-22 | Microsoft Technology Licensing, Llc | Enhanced email service |
CN110169033B (zh) * | 2017-01-09 | 2021-11-16 | 微软技术许可有限责任公司 | 增强型电子邮件服务 |
CN110061978A (zh) * | 2019-03-20 | 2019-07-26 | 深圳金澜汉源科技有限公司 | 二元协同安全客户端架构 |
CN112738073A (zh) * | 2020-12-25 | 2021-04-30 | 北京天威诚信电子商务服务有限公司 | 一种高安全性的专用文书传送方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103078743B (zh) | 2015-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595201B2 (en) | Secure short message service (SMS) communications | |
US11799668B2 (en) | Electronic identification verification methods and systems with storage of certification records to a side chain | |
US11900368B2 (en) | Method and system for zero-knowledge and identity based key management for decentralized applications | |
CN102932149B (zh) | 一种集成ibe数据加密系统 | |
US7624269B2 (en) | Secure messaging system with derived keys | |
CN103078743B (zh) | 一种电子邮件ibe加密实现方法 | |
US20070174636A1 (en) | Methods, systems, and apparatus for encrypting e-mail | |
US8321677B2 (en) | Pre-binding and tight binding of an on-line identity to a digital signature | |
US8117438B1 (en) | Method and apparatus for providing secure messaging service certificate registration | |
CN103812871A (zh) | 一种基于移动终端应用程序安全应用的开发方法及系统 | |
CN103532704B (zh) | 一种针对owa的电子邮件ibe加密系统 | |
CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
KR20090089394A (ko) | 네트워크의 클라이언트 장치로의 보안 패스워드 분배 | |
CN111769938B (zh) | 一种区块链传感器的密钥管理系统、数据验证系统 | |
CN102055685B (zh) | 网页邮件信息加密的方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
CN110597836A (zh) | 基于区块链网络的信息查询请求响应方法及装置 | |
CN104200154A (zh) | 一种基于标识的安装包签名方法及其装置 | |
Téllez Isaac et al. | Implementation and performance evaluation of a payment protocol for vehicular ad hoc networks | |
JP2003198632A (ja) | 電子メールシステム、その処理方法及びそのプログラム | |
Orman | Why Won't Johnny Encrypt? | |
CN103780380A (zh) | 一种非对称的安全加密邮件实现方法 | |
Isaac et al. | Anonymous payment in a kiosk centric model using digital signature scheme with message recovery and low computational power devices | |
US10382211B1 (en) | Apparatus and method for automating secure email for multiple personas | |
Patel et al. | The study of digital signature authentication process |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150708 |
|
CF01 | Termination of patent right due to non-payment of annual fee |