CN1905447A - 一种认证加密方法和电子邮件系统 - Google Patents

Abstract

本发明提供了一种认证加密方法和电子邮件系统，属于安全通信技术领域。针对传统的电子邮件协议存在安全性的问题，本发明融合了前向安全性、可认证性和隐私的保护(否认认证)等多种特性，提出了一种认证加密方法，所述方法依次通过预计算阶段、发送阶段、接收阶段和验证阶段，共四个阶段来实现安全通信系统的前向安全认证加密。本发明还提供了一种电子邮件系统，所述系统包括会话密钥生成模块、发送模块和接收模块。采用本发明提供的技术方案，可以更加有效地保护电子邮件的内容和用户的隐私。

Description

一种认证加密方法和电子邮件系统

技术领域

本发明涉及安全通信技术领域，特别涉及一种认证加密方法和电子邮件系统。

背景技术

随着网络的发展，传统的笔和信纸构成的交流方式已经被电子邮件(Electronic Mail)所代替。目前的电子邮件系统，不仅为人们提供文本的传输，而且还可以传输大容量的图像、音频文件。

在电子邮件系统里，一般有一个邮件发送方(发送端)B，一个接收方(接收端)A和一个服务器S。E_k(.)，D_k(.)为对应密钥k的对称密码体制中的加密和解密算法，ID_A，password为接收方A的身份信息和口令。这个协议具体过程为：

在发送阶段：发送端B对加密信件内容的密钥k，进行加密得EN_PKA(k)；然后再用密钥为k的对称密码体制去加密信件内容得到E_k(m)，将ID_A，EN_PKA(k)，E_k(m)一并发送给服务器。这时A处于离线状态。

在接收阶段：当接收方A登录服务器时输入ID_A，password，如果通过验证，服务器就将EN_PKA(k)，E_k(m)发送给接收方A，接收方A用自己的私钥解密得到

$k={\mathrm{DE}}_{{\mathrm{SK}}_A}\left({\mathrm{EN}}_{{\mathrm{PK}}_A}\left(k\right)\right),$ m＝D_k(E_k(m))。这时B处于离线状态。

具体交互过程如下：

发送阶段：

(1)B→S  (A处于离线)：ID_A，EN_PKA(k)，E_k(m)

接收阶段：

(2)A→S  (B处于离线)：ID_A，password

(3)S→A  (B处于离线)：EN_PKA(k)，E_k(m)

然后，A计算出 $k={\mathrm{DE}}_{{\mathrm{SK}}_A}\left({\mathrm{EN}}_{{\mathrm{PK}}_A}\left(k\right)\right),$ m＝D_k(E_k(m))。

这里符号“B→S：L”表示B向S发送L(L中有多项表示所有项同时发送过去)，EN_PK(.)，DE_SK(.)为对应公钥PK、私钥SK的公钥密码体制中的加密、解密算法(详见Rivest，R.，Shamir，A.，and Adleman，L.：A method for obtaining digital signatures and publickey cryptosystems，Communication of the A CM，21(2)，pp.19-24，1978.；ElGamal，T.：Apublic key cryptosystem and signature based on discrete logarithms，IEEE Trans.Inform.Theory，IT-31，(4)，pp.469-472，1985)。

但是传统的电子邮件协议，没有提供前向安全的服务，即一旦别人得到接收方的私钥，以前接收的EN_PKA(k)，E_k(m)都能被解密。而前向安全的意思是即使接收方的私钥泄漏，以前加密的信息也是安全的。

而且，传统的电子邮件协议缺乏邮件内容的认证，即没有办法确认发送用户的真实身份，任何人都可以冒充他人给接收方发送消息。

再者，对电子邮件来说，隐私的保护也是非常重要的一项内容(详见Fan，L.，Xu，C.X.，and Li，J.H.：Deniable authentication protocol based on Diffe-Hellman algorithm，Electron.Lett.，38，(4)，pp.705-706，2002；Shao，Z.A.：Efficient deniable authenticationprotocol based on generalized ElGamal signature scheme，Comput.Stand.Interfaces，26，pp.449-454，2004；[5]Shi，Y.，and Li，J.：Identity-based deniable authentication protocol，Electron.Lett.，41(5)，pp.27-28，2005)。这里隐私的保护是指，接受方可以证明邮件是发送方所发，但接受方不能向任何第三者证明这件事情。也就是说，接收方收到邮件时，发送方向接收方认证了(即证明了)邮件的内容，确为发送方要叙述的内容，并非其他敌手冒充发送方发给接收方的邮件。当接收方要将邮件内容公布时，接收方却无法向(除了发送方和接收方以外的)第三方证明(即说明)发送方对该邮件内容的认证。这样发送方则可以向第三方否认邮件内容。因此，这种方式保护了发送方的隐私。

通常的数字签名，虽然能对消息进行认证，但它是任何第三方都能验证的。所以，就产生对有消息认证的电子邮件来说隐私的保护问题。

因此有必要提出一个具有前向安全的、而且既能认证消息，又能保护发送方隐私的(即提供可否认的认证)电子邮件协议成为急需解决的一个重要问题。

最近，Sun等提出了两个前向安全的电子邮件协议(见Sun，H.M.，Hsieh，B.T.，andHwang，H.J.：Secure E-mail Protocols Providing Perfect Forward Secrecy，IEEECommunication Lett.，9(1)，pp.58-60，2005)，现在已知其中的一个是错误的(见AlexanderW.Dent：Flaws in an E-Mail Protocol of Sun，Hsieh，and Hwang，IEEE CommunicationsLetters，Vol.9，No.8，August 2005)。下面介绍他们的另一个方案。

先解释一下该方案中用到的符号：Sig_k(m)为用密钥k对消息m的签名；E_k(m)为用密钥k和对称密码算法对消息m加密所得的密文；A，B，S分别为接收方、发送方和服务器；h(.)为哈希函数；a，b，分别为A，B的私钥；x，y，p为两个随机数和一个大素数；g为乘法群Z_p ^*的生成元。

方案主要分为预计算，发送和接受这三个阶段，具体如下：

在预计算阶段：在注册邮箱时A随机选取x，在Z_p ^*中计算出g^x，A用私钥a对g^x签名Sig_a(g^x)，并向服务器S发送g^x，Sig_a(g^x)。服务器验证签名，如果签名无效，则要求A重新发送一个这样的签名，这时B处于离线状态。

在发送阶段：当B要给A发送邮件m时，同样随机选取y计算g^y，Sig_b(g^y)，将g^y，Sig_b(g^y)和收件人的身份信息ID_A一起发给服务器S。服务器S将验证签名g^y，Sig_b(g^y)，如果通过验证，将g^x，Sig_a(g^x)发给B。B验证g^x，Sig_a(g^x)并计算出加密密钥k＝g^xy，将得到的密文E_k(m)，h(g^x‖k)一起发给S，这个过程A处于离线状态。

在接收阶段：A用自己的身份信息和口令进行登录，上传新的g^x，Sig_a(g^x)。服务器S将g^y，h(g^x‖k)，E_k(m)，Sig_a(g^y)发给A，A验证后计算出密钥k＝g^xy，比对h(g^x‖k)后，解密E_k(m)得到邮件内容。

下面为具体的交互过程：

预计算：

(1)A→S(B处于离线)：      g^x，Sig_a(g^x)

发送：

(2)B→S  (A处于离线)：    ID_A，g^y，Sig_b(g^y)

(3)S→B  (A处于离线)：    g^x，Sig_a(g^x)

(4)B→S  (A处于离线)：    h(g^x‖k)，E_k(m)

接收：

(5)A→S(B处于离线)：      登录

(6)S→A(B处于离线)：      g^y，h(g^x‖k)，E_k(m)，Sig_a(g^y)

这里符号“B→S：L”表示B向S发送L(L中有多项，表示所有项同时发送过去)

上述协议虽然解决了前向安全的问题，但没有解决传统的电子邮件协议缺乏认证问题，以及隐私保护的问题。

发明内容

本发明针对传统的电子邮件协议存在的问题，融合了前向安全性、可认证性和隐私的保护(否认认证)等多种特性，提出了一种认证加密方法和电子邮件系统。

本发明所述技术方案如下：

一种认证加密方法，所述方法包括以下步骤：

步骤A：接收端和发送端分别通过服务器生成相同的会话密钥；

步骤B：发送端用所述会话密钥对要发送的消息进行加密，同时生成消息认证码，然后把加密后的消息和消息认证码通过服务器发送给接收端；

步骤C：接收端通过服务器接收到发送端的加密消息和消息认证码后，用所述会话密钥对加密后消息进行解密得到消息，同时通过验证消息认证码确定消息的有效性。

所述方法具体包括以下步骤：

步骤A′：接收端生成注册信息并发送给服务器；

步骤B′：发送端生成申请信息并发送给服务器，服务器收到后对所述申请信息进行验证，验证通过后，将所述接收端的注册信息发送给发送端；

发送端收到所述注册信息后，生成会话密钥，根据会话密钥生成加密消息和消息认证码，将所述加密消息和消息认证码作为密文发送给服务器；

步骤C′：接收端登录后，生成接收请求信息并发送给服务器，服务器收到所述接收请求信息后，验证接收端的身份，验证通过后，将所述发送端的申请信息和密文发送给接收端；

步骤D′：接收端收到所述申请信息和密文后，检查信息的有效性，有效后，根据所述申请信息生成会话密钥，用会话密钥对所述密文进行解密得到消息，同时验证消息认证码确定消息的有效性。

所述步骤A′中接收端生成注册信息具体包括：

步骤A1′：接收端随机选取固定长度的随机数，计算所述随机数、接收端的私钥和口令作为输入的哈希值；

步骤A2′：计算所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

步骤A3′：将所述随机数、指数函数值和指数函数值的签名作为接收端的注册信息。

所述步骤C′中接收端生成接收请求信息具体包括：

步骤C1′：接收端采用口令登录后，选取一个随机数，计算将所述随机数、接收端的私钥和口令作为输入的哈希值；

步骤C2′：计算将所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

步骤C3′：将所述随机数、指数函数值和指数函数值的签名作为接收请求信息。

所述验证消息认证码确定消息的有效性具体包括：

根据会话密钥对解密后的消息生成消息认证码，比较生成的消息认证码和收到的消息认证码是否一致，如果一致，则收到的消息有效，否则无效。

本发明还提供了一种电子邮件系统，所述系统包括以下模块：

会话密钥生成模块，用于接收端和发送端分别通过服务器生成相同的会话密钥；

发送模块，用于发送端用所述会话密钥对要发送的消息进行加密，同时生成消息认证码，然后把加密后的消息和消息认证码通过服务器发送给接收端；

接收模块，用于接收端通过服务器接收到发送端的加密消息和消息认证码后，用所述会话密钥对加密后消息进行解密得到消息，同时通过验证消息认证码确定消息的有效性。

所述会话密钥生成模块具体包括注册模块，用于接收端生成注册信息并发送给服务器，在服务器进行注册；

所述注册模块具体包括：

哈希单元，用于接收端随机选取固定长度的随机数，计算将所述随机数、接收端的私钥和口令作为输入的哈希值；

签名单元，用于计算将所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

注册单元，用于将所述随机数、指数函数值和指数函数值的签名作为接收端的注册信息。

所述接收模块还包括验证单元，用于根据会话密钥对解密后的消息生成消息认证码，比较生成的消息认证码和收到的消息认证码是否一致，如果一致，则收到的消息有效，否则无效。

本发明有益效果在于：

采用本发明所述方法，可以更加有效的保护了电子邮件的内容和用户的隐私，并且前向安全性比现有技术的安全性高。具体表现在：

(1)所述方法每次发送的通信内容都要用专用的认证算法进行认证，从MAC_ki(m)，E_ki(m)的产生可以知道，它的安全性同会话密钥k_i的产生有关，只有知道k_i才能进行伪造认证码和解密，而k_i的产生就等价于Diffie-Hellman协议的安全性，因此，安全性等价于Diffie-Hellman问题。

(2)当接收端收到消息后自己也能计算k_i并计算出MAC_ki(m)，E_ki(m)。所以消息究竟是发送端给出的，还是接收端自己构造的，这是无法区分的。因此，通讯的隐私得到了保护。

(3)对通信内容加密时，每次加密密钥的产生都涉及一个不同的随机数r_i，安全性更高，因此即使攻击者知道了接收通信的密钥也不能导出通信密文对应的原文。对以前加密的消息更是如此，所以本发明通过的方法和系统具有更高的前向安全性。

附图说明

图1为本发明实施例1提供的认证加密方法流程图；

图2为本发明实施例2提供的电子邮件系统示意图。

具体实施方式

本发明提供了一种认证加密方法和电子邮件系统。该认证加密方法依次通过预计算阶段、发送阶段、接收阶段和验证阶段，共四个阶段来实现通信系统的前向安全认证加密。

下文用到的符号有：Z_p ^*、Z_q、g分别为一个乘法群、一个加群和Z_p ^*的q阶生成元，这里p和q都是大素数，q整除p-1；H为将消息映到Z_q的哈希函数；h为一个Z_p到密钥空间的安全的哈希函数；Sig_k(m)为由密钥k产生的对消息m的签名；MAC_k(m)为用密钥k对消息m的认证码；pw_j为接收端在时间段j的口令；ska，skb，sks为接收端A、发送端B和服务器S的签名私钥；m_i，k_i，r_i分别表示对应于不同i而相应不同的消息、认证密钥和k₀比特的随机数；ID_A为A的身份信息；E_k(m)为用密钥k和对称密码体制加密消息m的密文。

实施例1

参见图1，本发明所述技术方案具体步骤如下：

预计算阶段，也称注册阶段：

步骤101：接收端A随机选取固定长度的随机数r_i，预先计算出H(ska‖pw_j‖r_i)，g^{H(ska‖pwj‖ri)}，以及g^{H(ska‖pwj‖ri)}的签名Sig_ska(g^{H(ska‖pwj‖ri)})，然后将r_i，g^{H(ska‖pwj‖ri)}，Sig_ska(g^{H(ska‖pwj‖ri)})作为接收端A的注册信息一起发送给服务器S，以供服务器S认证；服务器S通过接收端的公钥对注册信息进行认证，认证通过后，服务器S接受接收端A为注册用户。

在此阶段发送端B可以处于离线状态。

发送阶段：

步骤102：发送端B首先随机选取x∈Z_q，然后生成g^x，Sig_skb(g^x)，即计算g^x，以及g^x的签名Sig_skb(g^x)，然后将g^x，Sig_skb(g^x)和接收端的身份信息ID_A作为申请信息发给服务器S。该申请信息由三部分组成：首先，发送端B任选随机数x，计算该随机数作为输入的指数函数值g^x，此指数函数值作为发送申请信息的第一部分；其次，发送端B用自己的私钥对第一部分内容进行签名Sig_skb(g^x)作为发送申请信息的第二部分；最后，将接收端A的身份信息ID_A作为发送申请信息的第三部分。

步骤103：服务器S收到上述信息后，验证g^x，Sig_skb(g^x)通过后，将接收端A在预计算阶段的注册信息即g^{H(ska‖pwj‖ri)}，Sig_ska(g^{H(ska‖pwj‖ri)})发送给发送端B。

步骤104：发送端B收到上述注册信息后，验证g^{H(ska‖pwj‖ri)}，Sig_ska(g^{H(ska‖pwj‖ri)})后，计算会话密钥 $k_i=h\left({\left(g^{H\left(\mathrm{ska}\right|\left|{\mathrm{pw}}_j\right|\left|r_i\right)}\right)}^x\right),$ 然后用会话密钥k_i对消息进行加密得到密文C，所述密文包括两部分内容：第一部分是用会话密钥使用对称加密算法对消息m加密得到的结果E_ki(m)；第二部分是用会话密钥使用消息认证码对消息m认证得到的结果MAC_ki(m)。将MAC_ki(m)，E_ki(m)发送给服务器S。

在此阶段接收端A可以始终处于离线状态。

接收阶段：

步骤105：接收端A采用口令pw_j登录后，重新随机选取r_i+1，同预计算阶段一样发送一个接收请求信息，即r_i+1，g^{H(ska‖pwj‖ri+1)}，Sig_ska(g^{H(ska‖pwj‖ri+1)})给服务器S。接收请求信息包括三部分内容，即：1)接收端A重新选取的随机数r_i+1为接收请求信息的第一部分内容；2)接收端A用自己的私钥、口令和第一部分内容计算哈希函数值，然后计算该哈希函数值作为输入的指数函数值，此指数函数值作为接收请求信息的第二部分内容；3)接收端A用自己的私钥对第二部分内容进行签名作为第三部分内容。

步骤106：服务器S收到上述接收请求信息后，验证确认接收端A的合法身份后，发送随机数r_i，发送端的申请信息g^x，Sig_skb(g^x)、密文E_ki(m)，MAC_ki(m)给接收端A。

在此阶段发送端B可以始终处于离线状态。

验证阶段：

步骤107：接收端A收到上述信息后，根据发送端B向服务器S发送的申请信息中的g^x及其签名Sig_skb(g^x)判断本次接收的信息是否有效，具体为用发送端B的公钥验证B对g^x的签名Sig_skb(g^x)，如验证通过，则接收的信息有效；否则接收的信息无效。

步骤108：如果有效，则接收端A计算会话密钥 $k_i=h\left({\left(g^x\right)}^{H\left(\mathrm{ska}\right|\left|{\mathrm{pw}}_j\right|\left|r_i\right)}\right),$ 然后用会话密钥k_i恢复出消息 $m_i=D_{k_i}\left(E_{k_i}\left(m\right)\right),$ 并验证等式 ${\mathrm{MAC}}_{k_i}\left(m_i\right)={\mathrm{MAC}}_{k_i}\left(m\right)$ 是否成立，如果等式成立，则消息有效。

步骤109：如果无效退出系统。

在此阶段发送端B可以处于离线状态。

本发明所述方法的具体的交互过程可以表示如下：

预计算阶段：

(1)A→S  (B处于离线)：    r_i，g^{H(ska‖pwj‖ri)}，Sig_ska(g^{H(ska‖pwj‖ri)})

发送阶段：

(2)B→S  (A处于离线)：    ID_A，g^x，Sig_skb(g^x)

(3)S→B  (A处于离线)：    g^{H(ska‖pwj‖ri)}，Sig_ska(g^{H(ska‖pwj‖ri)})

(4)B→S  (A处于离线)：    MAC_ki(m)，E_ki(m)

接收阶段：

(5)A→S  (B处于离线)：    pw_j，r_i+1，g^{H(ska‖pwj‖ri+1)}，Sig_ska(g^{H(ska‖pwj‖ri+1)})

(6)S→A  (B处于离线)：    r_i，g^x，Sig_skb(g^x)，MAC_ki(m)，E_ki(m)

验证阶段：

(7)B处于离线：A计算 $h\left({\left(g^x\right)}^{H\left(\mathrm{ska}\right|\left|{\mathrm{pw}}_j\right|\left|r_i\right)}\right)\underset{=}{\mathrm{\Δ}}{k}_i,$ 解密E_ki(m)，比对MAC_ki(m_i)。

这里符号“B→S：L”表示B向S发送L(L中有多项，表示所有项同时发送过去)。

实施例2

参见图2，本发明还提供了一种电子邮件系统，包括以下模块：

会话密钥生成模块，用于接收端和发送端分别通过服务器生成相同的会话密钥；

发送模块，用于发送端用所述会话密钥对要发送的消息进行加密，同时生成消息认证码，然后把加密后的消息和消息认证码通过服务器发送给接收端；

接收模块，用于接收端通过服务器接收到发送端的加密消息和消息认证码后，用所述会话密钥对加密后消息进行解密得到消息，同时通过验证消息认证码确定消息的有效性。

该会话密钥生成模块具体包括注册模块，用于接收端生成注册信息并发送给服务器，在服务器进行注册。

并且，注册模块具体包括：

哈希单元，用于接收端随机选取固定长度的随机数，计算将所述随机数、接收端的私钥和口令作为输入的哈希值；

签名单元，用于计算将所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

注册单元，用于将所述随机数、指数函数值和指数函数值的签名作为接收端的注册信息。

该接收模块还包括验证单元，用于根据会话密钥对解密后的消息生成消息认证码，比较生成的消息认证码和收到的消息认证码是否一致，如果一致，则收到的消息有效，否则无效。

综上所述，本发明的优点在于：

(1)根据E-Mail的通讯特点，对通信内容进行加密达到通讯保密的效果，使得通信内容不被恶意的敌手获知。

(2)对通信的内容进行认证，使得接收的人能确认通信内容确为发送方给出的内容，使其内容具有可靠性，完整性，以便防止敌手中间对通信内容的篡改。

(3)具有前向安全性：因为本方案安全性更高，当密钥泄漏后，以前通信的内容具有保密性，使敌手无法获得以前发送的内容。同时以前的通信内容解密后，敌手也无法篡改内容，即认证是前向安全的。

(4)具有认证的可否认性，使得接收方能确信通信为发送方要发送的内容，但却无法向第三方证实该通信内容为发送方所叙述的内容。

对本技术领域的普通技术人员来说，根据上述典型实施例可以很容易的联想到其他的优点和变形。因此，本发明并不局限于上述实施例，该实施例仅是对本发明的一种形态进行详细、示范性的说明。在不背离本发明宗旨的范围内，本领域普通技术人员可以通过各种等同替换得到类似的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (9)

1.一种认证加密方法，其特征在于，所述方法包括以下步骤：

步骤A：接收端和发送端分别通过服务器生成相同的会话密钥；

步骤B：发送端用所述会话密钥对要发送的消息进行加密，同时生成消息认证码，然后把加密后的消息和消息认证码通过服务器发送给接收端；

步骤C：接收端通过服务器接收到发送端的加密消息和消息认证码后，用所述会话密钥对加密后消息进行解密得到消息，同时通过验证消息认证码确定消息的有效性。

2.如权利要求1所述的认证加密方法，其特征在于，所述方法具体包括以下步骤：

步骤A′：接收端生成注册信息并发送给服务器；

步骤B′：发送端生成申请信息并发送给服务器，服务器收到后对所述申请信息进行验证，验证通过后，将所述接收端的注册信息发送给发送端；

发送端收到所述注册信息后，生成会话密钥，根据会话密钥生成加密消息和消息认证码，将所述加密消息和消息认证码作为密文发送给服务器；

步骤C′：接收端登录后，生成接收请求信息并发送给服务器，服务器收到所述接收请求信息后，验证接收端的身份，验证通过后，将所述发送端的申请信息和密文发送给接收端；

步骤D′：接收端收到所述申请信息和密文后，检查信息的有效性，有效后，根据所述申请信息生成会话密钥，用会话密钥对所述密文进行解密得到消息，同时验证消息认证码确定消息的有效性。

3.如权利要求2所述的认证加密方法，其特征在于，所述步骤A′中接收端生成注册信息具体包括：

步骤A1′：接收端随机选取固定长度的随机数，计算所述随机数、接收端的私钥和口令作为输入的哈希值；

步骤A2′：计算所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

步骤A3′：将所述随机数、指数函数值和指数函数值的签名作为接收端的注册信息。

4.如权利要求3所述的认证加密方法，其特征在于，所述步骤C′中接收端生成接收请求信息具体包括：

步骤C1′：接收端采用口令登录后，选取一个随机数，计算将所述随机数、接收端的私钥和口令作为输入的哈希值；

步骤C2′：计算将所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

步骤C3′：将所述随机数、指数函数值和指数函数值的签名作为接收请求信息。

5.如权利要求1至4中任一权利要求所述的认证加密方法，其特征在于，所述验证消息认证码确定消息的有效性具体包括：

根据会话密钥对解密后的消息生成消息认证码，比较生成的消息认证码和收到的消息认证码是否一致，如果一致，则收到的消息有效，否则无效。

6.一种电子邮件系统，其特征在于，所述系统包括以下模块：

会话密钥生成模块，用于接收端和发送端分别通过服务器生成相同的会话密钥；

发送模块，用于发送端用所述会话密钥对要发送的消息进行加密，同时生成消息认证码，然后把加密后的消息和消息认证码通过服务器发送给接收端；

接收模块，用于接收端通过服务器接收到发送端的加密消息和消息认证码后，用所述会话密钥对加密后消息进行解密得到消息，同时通过验证消息认证码确定消息的有效性。

7.如权利要求6所述的电子邮件系统，其特征在于，所述会话密钥生成模块具体包括注册模块，用于接收端生成注册信息并发送给服务器，在服务器进行注册。

8.如权利要求7所述的电子邮件系统，其特征在于，所述注册模块具体包括：

哈希单元，用于接收端随机选取固定长度的随机数，计算将所述随机数、接收端的私钥和口令作为输入的哈希值；

签名单元，用于计算将所述哈希值作为指数的指数函数值，用接收端的私钥对指数函数值签名；

注册单元，用于将所述随机数、指数函数值和指数函数值的签名作为接收端的注册信息。

9.如权利要求6所述的电子邮件系统，其特征在于，所述接收模块还包括验证单元，用于根据会话密钥对解密后的消息生成消息认证码，比较生成的消息认证码和收到的消息认证码是否一致，如果一致，则收到的消息有效，否则无效。

Images