CN116346431A - 基于浏览器插件的电子邮件加解密方法 - Google Patents

基于浏览器插件的电子邮件加解密方法 Download PDF

Info

Publication number
CN116346431A
CN116346431A CN202310202155.2A CN202310202155A CN116346431A CN 116346431 A CN116346431 A CN 116346431A CN 202310202155 A CN202310202155 A CN 202310202155A CN 116346431 A CN116346431 A CN 116346431A
Authority
CN
China
Prior art keywords
user
verification code
mail
key
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310202155.2A
Other languages
English (en)
Inventor
李金库
李恒杰
邢靖域
任韩荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN202310202155.2A priority Critical patent/CN116346431A/zh
Publication of CN116346431A publication Critical patent/CN116346431A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明是一种基于浏览器插件的电子邮件加解密方法,主要解决现有技术对电子邮件防护能力差的问题。其方案是:在插件端生成验证码对称密钥,将插件登录请求发给业务服务器;业务服务器为用户生成验证码,使用对称密钥对其加密得到验证码密文C1发给验证码邮件服务器;加密插件获取C1,使用对称密钥对其解密得到验证码V2发给业务服务器;业务服务器对有效期内的验证码,返回登录成功响应;用户选择加密方式,获取证书和密钥链;用户编写邮件内容,插件获取邮件内容并加密发送;用户接收加密邮件,插件通过用户私钥解密邮件内容,使用对称密钥解密内容密文,得到邮件内容和签名。本发明安全性高,易用性好,可用于对WEB端电子邮件的防护。

Description

基于浏览器插件的电子邮件加解密方法
技术领域
本发明属于网络空间安全技术领域,具体是一种电子邮件加解密方法,可用于保护用户电子邮件安全。
背景技术
目前,现有的WEB端电子邮件系统大都采用基于HTTPS或口令的邮件保护方式,具有比较明显的缺陷。首先,使用HTTPS只能够保障电子邮件在传输过程中的安全,然而,邮件在客户端和服务器端中存储时,仍然是以明文的形式存在,存在泄露的风险。其次,用于邮件保护的口令复杂度并不高,容易被暴力破解,并且口令在传递过程中也存在泄露的风险,因此口令所提供的安全保障十分有限。
已有的邮件加密插件技术方案过于独立,需要用户将邮件内容复制到特定的加密页面进行加密,加密完成后再将密文复制到写信页面,插件使用起来非常复杂。且这些加密插件都不提供对于用户证书和密钥的管理,需要用户手动申请或导入相关证书,这无疑为用户的使用增加了难度。同时,当用户重新申请了新的证书时,由于现有的加密插件都没有提供对用户的多证书管理,因此,用户将无法查看那些由旧证书所加密的邮件内容。
申请号为CN202110300068.1的专利文献,公开了一种邮件用户身份认证和密钥分发方法、系统、设备及介质,其包括对用户身份进行验证,该方法通过数字信封的形式为密钥的传递提供了安全保障,但是,该发明只是针对移动端电子邮件提供安全服务,不能对WEB端电子邮件提供支持。
申请号为CN201911385870.4的专利文献,公开了一种电子邮件收发方法及装置,该发明主要是通过浏览器插件调用USBKEY中的私钥对电子邮件原文和时间进行签名,使用电子邮件客户端生成的公钥和私钥完成对电子邮件内容的加密,再将签名和邮件内容密文发给收端,以此来确保邮件内容的加密传输,但是,该方法仍然需要用户手动完成对邮件内容的加解密操作,使用起来非常复杂,且没有提供对用户多密钥的保存,不支持用户查看那些由旧证书所加密的邮件内容。
发明内容
本发明的目的在于针对上述现有技术的不足,提出一种基于浏览器插件的电子邮件加解密方法,以对WEB端电子邮件在传输过程及在邮件服务器存储时的安全风险和用户多密钥进行管理,降低用户使用的复杂度,减小用户申请证书和管理证书的成本,增加加密插件的易用性,并降低服务器端和客户端对用户多证书的管理成本。
实现本发明目的的技术思路是:通过定制的浏览器插件与WEB端电子邮件系统进行交互,实现对邮件内容的自动提取、加解密、发送操作;通过将对用户透明的所有操作与现有的WEB电子邮件系统无缝衔接,降低用户使用的复杂度;通过建立PKI体系,降低用户申请证书和管理证书的成本,增加加密插件的易用性;通过引入基于时间戳和密钥链的多证书管理方案,以支持用户对旧加密数据的查看,降低服务器端和客户端对用户多证书的管理成本。
根据上述技术思路,本发明实现步骤包括如下:
(1)在加密插件端生成验证码对称密钥Key1,并构造含有验证码对称密钥Key1的加密插件登录请求;
(2)在加密插件端与业务服务器之间建立安全通道,并将加密插件登录请求发送给业务服务器;
(3)业务服务器为用户随机生成六位验证码V1,并使用加密插件登录请求中的验证码对称密钥Key1对该验证码V1进行加密处理,得到验证码密文C1;
(4)业务服务器将验证码密文C1和用户邮箱地址一同发送给验证码邮件服务器,验证码邮件服务器向用户发送验证码邮件;
(5)用户点击验证码邮件,加密插件自动获取验证码密文C1;
(6)加密插件使用验证码对称密钥Key1对验证码密文C1进行解密处理,得到验证码V2,并将该验证码V2发送给业务服务器;
(7)业务服务器接收到用户验证码后,判断该验证码是否在有效期内:
如果验证码失效,则返回验证码验证失败响应,
如果验证码在有效期内,则将接收到的验证码V2与服务器保存的用户验证码V1进行比较:
若V1==V2,则返回登陆成功响应,执行(8);
否则,返回验证失败响应;
(8)获取用户选择加密算法所对应的用户证书和密钥链,并对证书和密钥链的有效性进行验证:
若有效,则完成加密插件的登录,执行(9);
反之,提醒用户证书获取失败;
(9)用户编写邮件内容,点击加密发送按钮,加密插件获取邮件内容进行加密发送;
(10)用户点击接收到的加密邮件,加密插件获取邮件的ID值并下载邮件内容;
(11)加密插件使用用户私钥对邮件内容中的密钥密文进行解密,获得对称密钥Key1;
(12)加密插件使用对称密钥Key1对内容密文进行解密,得到邮件内容C1和签名S1;
(13)获取发送者证书,使用发送者证书和签名S1对邮件内容C1的有效性进行验证:
若有效,则展示邮件内容;
反之,提醒用户解密失败。
本发明与现有技术相比具有如下优点:
第一,本发明通过简化现有的证书申请流程,制定了从插件登录到证书自动获取和管理的策略,相较于现有技术本发明极大地简化了用户获取证书和管理证书的操作,增加了浏览器加密插件的易用性。
第二,本发明能够与WEB端电子邮件系统进行交互,在不改变用户使用习惯的前提下,为用户提供安全透明的邮件防护功能。相对于现有技术实现了更为简便的邮件加解密操作,避免了现有技术中需要用户将邮件内容粘贴到特定加密页面的复杂操作。
第三,本发明通过引入基于时间戳和密钥链的用户多密钥管理方法,实现了用户对存在安全风险的邮件进行加密备份的功能,避免了因用户密钥泄露而产生的邮件安全风险。相对于现有技术本发明实现了对存在安全风险邮件的保护功能,弥补了现有技术对存在安全风险的邮件进行处理时所存在的缺陷。
附图说明
图1为本发明的实现总流程图;
图2为本发明中加密插件登录和身份验证子流程图;
图3为本发明中获取用户证书和密钥链流子程图;
图4为本发明中电子邮件加密子流程图;
图5为本发明中电子邮件解密子流程图。
具体实施方式
以下结合附图对本发明的实施例作进一步的详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。本实例通过定制的浏览器插件与WEB端电子邮件系统进行交互,实现对邮件内容的自动提取、加解密、发送操作,并将对用户透明的所有操作与现有的WEB电子邮件系统无缝衔接。
参照图1,本实例的实现步骤如下:
步骤1,完成对预设加密插件系统的安全登录和用户的身份验证。
参照图2,本步骤的具体实现如下:
1.1)加密插件端与业务服务器建立安全通道;
1.1.1)加密插件端创建业务服务器证书查询请求,将生成的请求发送给CA服务器;
1.1.2)CA服务器下发业务服务器证书;
1.1.3)加密插件端验证接收到的业务服务器证书的有效性操作:
1.1.3a),加密插件提取业务服务器证书中的相关信息,例如用户密钥、颁发时间和签名;
1.1.3b),使用加密插件端中内置的CA服务器公钥解密业务服务器证书中的签名,得到业务服务器证书的摘要值;
1.1.3c),计算业务服务器证书的摘要值,并将加密插件端计算的摘要值和使用CA服务器公钥解密所得的摘要值进行比较:如果两个值相等,则说明接收到的业务服务器证书是有效的,执行步骤1.1.4),反之,则提醒用户接收到的业务服务器证书不可信;
1.1.4)加密插件端生成用于建立安全通道的会话密钥,并使用业务服务器的公钥将会话密钥进行加密处理,获得会话密钥密文;
1.1.5)加密插件端将步骤1.1.4)中生成的会话密钥密文和建立安全通道请求发送给业务服务器;
1.1.6)业务服务器使用私钥将会话密钥密文进行解密,获得会话密钥,并且将会话密钥和用户信息保存到安全数据库中;
1.1.7)业务服务器给加密插件端返回成功建立安全通道响应。
1.2)加密插件端生成验证码密钥Key1,并构造出含有验证码密钥Key1的加密插件登录请求,将加密插件登录请求发送给业务服务器;
1.3)业务服务器使用安全随机数生成器为用户生成六位验证码V1,并在已生成验证码列表中查询验证码V1是否存在:如果已经存在,则重新为用户生成验证码,反之,则将验证码V1分配给用户;
1.4)用加密插件登录请求中的验证码密钥Key1对随机验证码V1进行加密处理,得到验证码密文C1,并启动该验证码的失效计时器;业务服务器将验证码密文C1和用户信息发送给验证码邮件服务器,验证码邮件服务器构造出用于加密插件登陆的验证码邮件,并发送给用户;
1.5)用户点击进入验证码邮件读取页面后,加密插件会自动从验证码邮件中获取到验证码密文C2,即加密插件获取该邮件的ID信息,通过构建邮件下载请求从邮件服务器下载邮件内容,并通过匹配验证码邮件将标识信息定位到验证码密文所在行,从验证码密文所在行的内容中提取验证码密文C2;
1.6)使用本地保存的验证码密钥Key1对验证码密文C2进行解密处理,得到验证码V2;加密插件通过步骤1.1)构建的安全通道将该验证码V2发送给业务服务器;
1.7)业务服务器将收到的验证码V2与服务器端保存的验证码V1进行比较:如果验证码V1没有失效,且当V1==V2时,返回验证成功响应,反之,则返回验证失败响应;
1.8)加密插件接收到业务服务器的响应后,如果验证成功,则让用户选择加密算法,反之,则弹窗提醒用户加密插件登录失败。
步骤2,根据用户选择的算法类型,从服务器端获取用户证书和密钥链。
参照图3,本步骤的具体实现如下:
2.1)根据用户选择的算法类型,加密插件生成证书申请请求CSR,并将证书申请请求CSR发送给CA服务器;
2.2)CA服务器判断该用户是否为第一次申请证书:
如果是首次申请证书,则执行步骤2.3);
反之,则说明用户当前的证书已经被撤销或者已经过期,CA服务器会使用用户的当前私钥对密钥链的各结点中保存的密钥密文进行解密,并将当前私钥的撤销时间戳和私钥信息加入到密钥链中;
2.3)从KMC服务器中为用户申请一对加密密钥对:
2.3.1)CA服务器根据用户的身份信息构造密钥申请请求,并将密钥申请请求发送给KMC服务器;
2.3.2)KMC服务器对接收到的密钥申请请求进行解析,从中获得用户的身份信息和用户的签名公钥;
2.3.3)KMC服务器从备用密钥库中选择一对密钥对P1,使用根密钥将密钥对P1进行解密处理获得密钥对P2,再使用用户的签名公钥将密钥对P2进行加密处理获得密钥对P3;
2.3.4)KMC服务器构造密钥申请响应,并将密钥申请响应返回给CA服务器;
2.3.5)CA服务器将接收到的密钥申请响应进行解析,获得为用户申请的密钥对P3,完成对用户证书的签发,并将签发的证书返回给用户,执行步骤2.4);
2.4)加密插件在接收到从CA服务器返回的证书和密钥链后,使用内置CA服务器的根证书对获取到的证书和密钥链进行有效性验证:如果证书和密钥链验证有效,则将证书和密钥链保存到存储设备中,反之,则提醒用户获取证书和密钥链失败。
步骤3,加密插件从邮件编写页面获取用户编写的邮件内容,在加密插件对邮件内容进行加密处理后,发送加密电子邮件。
参照图4,本步骤的具体实现如下:
3.1)用户在进入写信页面之后,加密插件会根据用户所选择的加密算法来生成对应的加密密钥Key2,当用户在写信页面切换加密算法时,会根据重新选择的加密算法来重新生成对应的加密密钥;
3.2)用户点击加密发送按钮后,加密插件从写信页面中获取到用户编写的邮件内容M1,该邮件内容M1是由邮件正文内容和附件信息按照设定的形式进行组合而成;
3.3)使用加密密钥Key2对邮件内容M1进行加密处理,得到内容密文C1;
3.4)从写信页面中获取到接收者的信息,在本地存储中查看是否存有接收者的证书:如果存在接收者的证书,加密插件将自动对接收者的证书进行有效性检查,反之,则会从CA服务器中获取接收者的证书;
3.5)得到接收者的证书之后,加密插件从接收者的证书中提取出接收者的公钥Key3;
3.6)使用接收者的公钥Key3将用于加密邮件内容的加密密钥Key2进行加密处理,得到密钥密文C2;
3.7)将内容密文C1、密钥密文C2和使用到的加密算法这些信息按照设定的形式进行组合,得到邮件密文内容M2;
3.8)从本地存储中获取用户的私钥Key4,使用用户的私钥Key4对邮件密文内容M2进行签名处理,得到签名S1;
3.9)将签名S1、邮件密文内容M2按照设定的形式进行组合,作为附件A1;
3.10)将附件A1上传到电子邮件发送服务器:
3.10a)从WEB端电子邮件系统页面获得用户的SID值、UID值和UPXCID值,其中,SID值和UID值用于标识用户的身份信息,UPXCID是WEB端电子邮件系统为当前待发送邮件分配的标识信息;
3.10b)将获得的SID值、UID值、UPXCID值和待上传的内容构建成附件上传请求,将构造的附件上传请求发送给邮件服务器;
3.11)加密插件将邮件正文内容修改为加密插件安装的提醒信息和下载地址,并发送加密电子邮件。
步骤4,对用户选择的加密邮件进行解密查看。
参照图5,本步骤的具体实现如下:
4.1)用户进入单个邮件的读取页面;
4.2)从读信页面中获取该加密邮件的id信息,发送电子邮件请求信息,从电子邮件服务器中下载该加密邮件的邮件内容;
4.3)从下载的邮件内容中提取出内容签名S2和密文内容M3;
4.4)获取该加密邮件的发送时间T1,判断本地存储中是否存在发送者的证书:
如果存在发送者的证书,则判断发送者证书的颁发时间T2是否小于等于邮件发送时间T1:
若T2<=T1,则从该发送者证书中提取发送者的公钥Key5,执行步骤4.8);
若T2>T1,则说明该发送者证书并不是发送该邮件时使用的证书,执行步骤4.5);
如果本地存储中不存在发送者的证书,执行步骤4.5);
4.5)获取发送者的信息和邮件的发送时间T3,并将T3发送给证书管理服务器;
4.6)证书管理服务器根据发送者的信息来获取发送者的证书和证书链操作,即将邮件的发送时间T3与发送者证书的颁发时间T4进行比较:
当T4<=T3时,将该证书返回给用户,
当T4>T3时,再将邮件的发送时间T3与证书链中每个结点保存的证书的颁发时间Tn进行比较,当Tn<=T3时,将该结点中的证书返回给用户;
4.7)用户接收到证书后,使用CA的根证书对证书的有效性进行验证,如果证书有效,则从证书中提取发送者的公钥Key5;
4.8)使用发送者的公钥Key5和内容签名S2对密文内容M3进行验证签名:
4.8.1)从发送者证书中提取发送者的公钥信息;
4.8.2)使用发送者公钥将签名S1进行解密,获得由发送者对邮件内容计算的摘要Z1;
4.8.3)使用摘要算法对密文内容M3计算摘要,获得由接收者对密文内容M3计算的摘要Z2;
4.8.4)比较两个摘要Z1和Z2:
如果,Z1==Z2,则说明密文内容M3有效,进行步骤4.9),
反之,则说明说明该加密电子邮件的内容已经被篡改,其邮件内容不可信。
4.9)从密文内容M3中提取密钥密文C3和内容密文C4:
4.9.1)根据特征词匹配,从密文内容M3中获取到所有的密钥密文;
4.9.2)通过对比密钥密文中保存的用户信息,获取到用户所对应的密钥密文C3;
4.10)从本地存储中获取用户的私钥Key6,使用用户的私钥Key6对密钥密文C3进行解密处理,得到内容加密密钥Key7;
4.11)使用内容加密密钥Key7对内容密文C4进行解密处理,得到邮件的明文内容M4;
4.12)从邮件的明文内容M4中获取邮件的正文内容和附件信息,将正文内容和附件信息展示到当前的读信页面,完成电子邮件加解密。
以上描述仅是本发明的一个具体实例,并未构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

Claims (8)

1.一种基于浏览器插件的电子邮件加解密方法,其特征在于,包括如下步骤:
(1)在加密插件端生成验证码对称密钥Key1,并构造含有验证码对称密钥Key1的加密插件登录请求;
(2)在加密插件端与业务服务器之间建立安全通道,并将加密插件登录请求发送给业务服务器;
(3)业务服务器为用户随机生成六位验证码V1,并使用加密插件登录请求中的验证码对称密钥Key1对该验证码V1进行加密处理,得到验证码密文C1;
(4)业务服务器将验证码密文C1和用户邮箱地址一同发送给验证码邮件服务器,验证码邮件服务器向用户发送验证码邮件;
(5)用户点击验证码邮件,加密插件自动获取验证码密文C1;
(6)加密插件使用验证码对称密钥Key1对验证码密文C1进行解密处理,得到验证码V2,并将该验证码V2发送给业务服务器;
(7)业务服务器接收到用户验证码后,判断该验证码是否在有效期内:
如果验证码失效,则返回验证码验证失败响应,
如果验证码在有效期内,则比较接收到的验证码V2与服务器保存的用户验证码V1:
若V1==V2,则返回登陆成功响应,执行(8);
否则,返回验证失败响应;
(8)获取用户选择加密算法所对应的用户证书和密钥链,并对证书和密钥链的有效性进行验证:
若有效,则完成加密插件的登录,执行(9);
反之,提醒用户证书获取失败;
(9)用户编写邮件内容,点击加密发送按钮,加密插件获取邮件内容进行加密发送;
(10)用户点击接收到的加密邮件,加密插件获取邮件的ID值并下载邮件内容;
(11)加密插件使用用户私钥对邮件内容中的密钥密文进行解密,获得对称密钥Key1;
(12)加密插件使用对称密钥Key1对内容密文进行解密,得到邮件内容C1和签名S1;
(13)获取发送者证书,使用发送者证书和签名S1对邮件内容C1的有效性进行验证:
若有效,则展示邮件内容;
反之,提醒用户解密失败。
2.根据权利要求1所述的方法,其特征在于,步骤(2)中在加密插件端与业务服务器之间建立安全通道,实现如下:
(2a)加密插件端创建业务服务器证书查询请求,并且将生成的请求发送给CA服务器;
(2b)CA服务器下发业务服务器证书;
(2c)加密插件端验证接收到的业务服务器证书的有效性;
(2d)加密插件端生成会话密钥,使用业务服务器的公钥对会话密钥进行加密,并且将会话密钥密文发送给业务服务器;
(2e)业务服务器使用私钥将会话密钥密文进行解密,获得会话密钥,并且将会话密钥和用户信息保存到安全数据库;
(2f)业务服务器返回安全通道建立成功响应。
3.根据权利要求1所述的方法,其特征在于,步骤(3)中业务服务器为用户随机生成六位验证码V1,是使用安全随机数生成器为用户生成六位验证码V1,并在已生成验证码列表中查询验证码V1是否存在,如果已经存在,则重新为用户生成验证码,反之,则将验证码V1分配给用户。
4.根据权利要求1所述的方法,其特征在于,步骤(5)中用户点击验证码邮件,加密插件自动获取验证码密文C1,实现如下:
(5a)加密插件获取该邮件的ID信息,通过构建邮件下载请求从邮件服务器下载邮件内容;
(5b)通过匹配验证码邮件标识信息定位到验证码密文所在行;
(5c)从验证码密文所在行的内容中提取验证码密文。
5.根据权利要求1所述的方法,其特征在于,步骤(8)中获取用户选择加密算法所对应的用户证书和密钥链,实现如下:
(8a)加密插件根据用户选择加密算法构造证书申请请求,并将证书申请请求发送给CA服务器;
(8b)CA服务器验证用户的身份后,为用户申请加密密钥对并签发证书;
(8c)CA服务器将用户证书和密钥链返回给用户;
(8d)用户在验证用户证书和密钥链的有效性后,将接收到的用户证书和密钥链进行存储。
6.根据权利要求1所述的方法,其特征在于,步骤(9)中加密插件获取邮件内容进行加密发送,实现如下:
(9a)加密插件从邮件编写页面获取待发送的邮件内容;
(9b)使用进入邮件编写页面时生成的对称密钥对邮件内容进行加密,并使用用户私钥对邮件内容进行签名;
(9c)使用接收人的公钥将对称密钥进行加密;
(9d)将内容密文、签名、密钥密文按照邮件格式构建,并作为附件进行发送。
7.根据权利要求1所述的方法,其特征在于,步骤(11)中加密插件使用用户私钥对邮件内容中的密钥密文进行解密,实现如下:
(11a)通过解析下载的邮件内容,获得所有的密钥密文;
(11b)通过对比密钥密文中的用户信息,获得该用户所对应的密钥密文;
(11c)从浏览器的安全存储空间获得用户私钥,使用用户私钥将密钥密文进行解密,获得对称密钥。
8.根据权利要求1所述的方法,其特征在于,步骤(13)中使用发送者证书和签名S1对邮件内容C1的有效性进行验证,实现如下:
(13a)从发送者证书中提取发送者的公钥信息;
(13b)使用发送者公钥将签名S1进行解密,获得由发送者对发送者编写的邮件内容计算的摘要Z1;
(13c)使用摘要算法对邮件内容C1计算摘要,获得由接收者对邮件内容C1计算的摘要Z2;
(13d)比较两个摘要Z1和Z2:
如果,Z1==Z2,则说明邮件内容有效,
反之,则说明邮件内容不可信。
CN202310202155.2A 2023-03-06 2023-03-06 基于浏览器插件的电子邮件加解密方法 Pending CN116346431A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310202155.2A CN116346431A (zh) 2023-03-06 2023-03-06 基于浏览器插件的电子邮件加解密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310202155.2A CN116346431A (zh) 2023-03-06 2023-03-06 基于浏览器插件的电子邮件加解密方法

Publications (1)

Publication Number Publication Date
CN116346431A true CN116346431A (zh) 2023-06-27

Family

ID=86875567

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310202155.2A Pending CN116346431A (zh) 2023-03-06 2023-03-06 基于浏览器插件的电子邮件加解密方法

Country Status (1)

Country Link
CN (1) CN116346431A (zh)

Similar Documents

Publication Publication Date Title
US10313135B2 (en) Secure instant messaging system
US5774552A (en) Method and apparatus for retrieving X.509 certificates from an X.500 directory
US6256733B1 (en) Access and storage of secure group communication cryptographic keys
US7624269B2 (en) Secure messaging system with derived keys
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US20030115452A1 (en) One time password entry to access multiple network sites
US8117438B1 (en) Method and apparatus for providing secure messaging service certificate registration
CN113067699B (zh) 基于量子密钥的数据共享方法、装置和计算机设备
WO2009155813A1 (zh) 一种在客户端保存加密数据的方法及系统
US7412059B1 (en) Public-key encryption system
GB2385955A (en) Key certification using certificate chains
CN113285803B (zh) 一种基于量子安全密钥的邮件传输系统和传输方法
US20160226837A1 (en) Server for authenticating smart chip and method thereof
US20060095770A1 (en) Method of establishing a secure e-mail transmission link
CN114143082A (zh) 一种加密通信方法、系统及装置
US7360238B2 (en) Method and system for authentication of a user
KR100559958B1 (ko) 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
JP3711931B2 (ja) 電子メールシステム、その処理方法及びそのプログラム
CN115865520B (zh) 移动云服务环境中具有隐私保护的认证和访问控制方法
CN112054905B (zh) 一种移动终端的安全通信方法及系统
CN116346431A (zh) 基于浏览器插件的电子邮件加解密方法
CN108768958B (zh) 基于第三方不泄露被验信息的数据完整性和来源的验证方法
CN114584321B (zh) 一种基于puf器件的数据信息加密部署方法
CN114679311B (zh) 一种基于区块链的文档数据安全验证方法
CN114978564A (zh) 基于多重加密的数据传输方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination