專利名稱：基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域：
本發(fā)明屬于加密電子郵件安全技術(shù)領(lǐng)域，具體涉及一種加密體制中對稱密鑰和非對稱密鑰相結(jié)合的技術(shù)完成對電子郵件的驗(yàn)證和加解密，同時(shí)采用公共安全設(shè)施管理平臺現(xiàn)有的PKI認(rèn)證機(jī)制和電子郵件系統(tǒng)，以較低的成本完成電子郵件安全傳輸?shù)幕诠舶踩O(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法。
背景技術(shù)：
隨著信息化的迅速發(fā)展，電子郵件作為互聯(lián)網(wǎng)最基本的應(yīng)用服務(wù)之一，其便捷、高效、低廉的通信方式為廣大網(wǎng)民用戶進(jìn)行信息溝通和交流提供了便利的條件，為企業(yè)的發(fā)展帶來商機(jī)。但由于網(wǎng)絡(luò)的開放性，電子郵件受到竊聽、篡改等安全威脅，因此，不得不考慮電子郵件在網(wǎng)絡(luò)中的安全問題。目前，安全電子郵件的實(shí)現(xiàn)采用的加密技術(shù)通常分為兩大類，即對稱密鑰加密體制和非對稱密鑰加密體制。對稱密鑰加解密使用的是同一個(gè)密鑰，或者能從加密密鑰很容易推出解密密鑰。非對稱密鑰加密方法有兩個(gè)密鑰，其中的公鑰是公開的，收件人只要用自己的私鑰就可以解密。對稱密鑰算法的優(yōu)點(diǎn)在于:計(jì)算量小，算法簡單，加密速度快，是目前用于信息加密的主要算法，但它也存在著明顯的缺陷，包括:1)在多數(shù)情況下很難實(shí)現(xiàn)密鑰的安全傳輸和交換；2)對稱加密系統(tǒng)僅能用于對數(shù)據(jù)進(jìn)行加解密處理，不能用于數(shù)字簽名。非對稱密鑰可實(shí)現(xiàn)數(shù)字簽名，保證數(shù)據(jù)的保密性和完整性，但加解密速度慢，一般只用于對簡單的、少量的數(shù)據(jù)進(jìn)行加解密。如果能將二者結(jié)合，取長補(bǔ)短，發(fā)揮各自的優(yōu)勢，將對安全電子郵件的安全傳輸起著重要作用。為了解決網(wǎng)絡(luò)空間中的信任和安全問題，出現(xiàn)了 PKI認(rèn)證技術(shù)。PKI認(rèn)證機(jī)制為非對稱密鑰技術(shù)，其中PKI ( Public Key Infrastructure )即公鑰基礎(chǔ)設(shè)施,是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺，它能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必須的密鑰和證書管理體系，保證網(wǎng)絡(luò)空間各行為主體身份的唯一性和真實(shí)性。而目前有較多的基于PKI的公共安全設(shè)施管理平臺，如社會保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門的PKI身份證管理系統(tǒng)等能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名等密碼服務(wù)平臺未被充分利用。現(xiàn)有的安全電子郵件系統(tǒng)還存在一些明顯不足:I)大部分加密郵件系統(tǒng)都需要專用電子郵件系統(tǒng)的支持，適應(yīng)性差，而用戶的郵箱種類繁多，加密郵件在各種郵箱之間傳輸不具有通用性，需要用戶花費(fèi)較大的精力和成本來購置和管理電子郵件系統(tǒng)，很不方便。2)PKI認(rèn)證技術(shù)發(fā)展相當(dāng)成熟，但建立PKI認(rèn)證系統(tǒng)需要投入較大的成本，真正應(yīng)用于電子郵件中的卻很少。因此，怎樣使加密電子郵件具有通用性，充分利用現(xiàn)有的PKI安全基礎(chǔ)設(shè)施平臺，以較低的成本完成電子郵件的安全加密傳輸是本發(fā)明要解決的重點(diǎn)問題。

發(fā)明內(nèi)容
本發(fā)明的目的是將對稱密鑰加密機(jī)制和非對稱密鑰加密機(jī)制有效的結(jié)合，發(fā)揮兩種加解密算法的優(yōu)勢，保證電子郵件的保密性和安全性；同時(shí)利用現(xiàn)有公共安全設(shè)施管理平臺中具有的PKI認(rèn)證機(jī)制、電子郵件系統(tǒng)服務(wù)設(shè)施構(gòu)建一個(gè)可信的安全的電子郵件傳輸系統(tǒng)，使得用戶能夠以較低的成本，完成電子郵件安全傳輸?shù)幕诠舶踩O(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法。本發(fā)明的目的是這樣實(shí)現(xiàn)的:
一種基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，其特征在于:包括以下步驟:
步驟1，發(fā)送方獲得接收方的數(shù)字證書，并通過公共安全設(shè)施管理平臺的PKI認(rèn)證機(jī)制對證書的身份、合法性和安全性進(jìn)行驗(yàn)證；
步驟2，發(fā)送方隨機(jī)產(chǎn)生一個(gè)會話密鑰，并選取一種加解密算法，用接收方的數(shù)字證書對會話密鑰和加解密算法進(jìn)行加密，形成密文；
步驟3，發(fā)送方將形成的密文通過電子郵件系統(tǒng)發(fā)送給接收方，雙方完成會話密鑰和加解密算法的協(xié)商，實(shí)現(xiàn)加密安全通訊；
步驟4，發(fā)送方用協(xié)商好的會話密鑰和加解密算法對需要發(fā)送的郵件進(jìn)行加密，通過電子郵件系統(tǒng)發(fā)送給接收方；
步驟5，接收方對收到的加密郵件進(jìn)行解密，完成電子郵件的安全傳輸。所述步驟I中的數(shù)字證書的獲得由接收方直接發(fā)送給發(fā)送方，或者由發(fā)送方通過公共安全設(shè)施管理平臺下載；所述步驟I中的公共安全設(shè)施管理平臺能夠提供對用戶數(shù)字證書的驗(yàn)證功能，通過該平臺可知數(shù)字證書是否真實(shí)、合法。所述公共安全設(shè)施管理平臺為具有PKI認(rèn)證機(jī)制，能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名密碼服務(wù)的公共安全管理系統(tǒng)，具體為社會保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門的PKI身份證管理系統(tǒng)以及居民健康卡管理系統(tǒng)之一。所述電子郵件系統(tǒng)為現(xiàn)有免費(fèi)郵箱、公司內(nèi)部郵件系統(tǒng)。本發(fā)明的特點(diǎn)在于發(fā)明中所有的電子郵件都是以密文的形式存在，即使被非法竊取也不會造成信息泄露。第一封電子郵件用于協(xié)商會話密鑰和加密算法，會話密鑰和加解密算法數(shù)據(jù)量小，通過數(shù)字證書密鑰對其進(jìn)行加密速度更快；會話密鑰和加解密算法協(xié)商完成后，采用對稱密鑰的加密機(jī)制對郵件進(jìn)行加密，速度更快、更安全。本發(fā)明的積極效果如下:1、充分利用現(xiàn)有的公共安全設(shè)施管理平臺和電子郵件系統(tǒng)，不需要專門的第三方認(rèn)證系統(tǒng)和專門的電子郵件服務(wù)器即可完成電子郵件的安全傳輸，能節(jié)約大量的成本投入；2、本發(fā)明方法中的PKI認(rèn)證機(jī)制屬于非對稱密鑰加密的一種，而會話密鑰加密機(jī)制屬于對稱密鑰加密，將二者結(jié)合起來，取長補(bǔ)短，能夠有效保證密鑰協(xié)商以及電子郵件的傳輸?shù)谋Ｃ苄院桶踩浴?br>

圖1為基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對本發(fā)明做進(jìn)一步描述:
如圖1所示，一種基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，包括以下步驟:
步驟1，發(fā)送方獲得接收方的數(shù)字證書，并通過公共安全設(shè)施管理平臺的PKI認(rèn)證機(jī)制對證書的身份、合法性和安全性進(jìn)行驗(yàn)證；
步驟2，發(fā)送方隨機(jī)產(chǎn)生一個(gè)會話密鑰，并選取一種加解密算法，用接收方的數(shù)字證書對會話密鑰和加解密算法進(jìn)行加密，形成密文；
步驟3，發(fā)送方將形成的密文通過電子郵件系統(tǒng)發(fā)送給接收方，雙方完成會話密鑰和加解密算法的協(xié)商，即可實(shí)現(xiàn)加密安全通訊；
步驟4，發(fā)送方用協(xié)商好的會話密鑰和加解密算法對需要發(fā)送的郵件進(jìn)行加密，通過電子郵件系統(tǒng)發(fā)送給接收方；
步驟5，接收方對收到的加密郵件進(jìn)行解密，完成電子郵件的安全傳輸。所述步驟I中的數(shù)字證書的獲得可以由接收方直接發(fā)送給發(fā)送方，也可以由發(fā)送方通過公共安全設(shè)施管理平臺下載。所述步驟I中的公共安全設(shè)施管理平臺能夠提供對用戶數(shù)字證書的驗(yàn)證功能，通過該平臺可知數(shù)字證書是否真實(shí)、合法。所述的公共安全設(shè)施管理平臺為具有PKI認(rèn)證機(jī)制，能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名等密碼服務(wù)的公共安全管理系統(tǒng)，如社會保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門的PKI身份證管理系統(tǒng)以及未來出現(xiàn)的居民健康卡管理系統(tǒng)等；
所述的電子郵件系統(tǒng)為免費(fèi)郵箱、公司內(nèi)部郵件系統(tǒng)等現(xiàn)有的電子郵件系統(tǒng)。綜上所述，本發(fā)明方法借助于公共信息服務(wù)管理平臺具有的PKI認(rèn)證機(jī)制，完成對會話密鑰的安全交換，解決了會話密鑰無法進(jìn)行安全傳輸和交換的問題，同時(shí)，基于現(xiàn)有的公共信息服務(wù)管理平臺和電子郵件系統(tǒng)，能夠以較低的成本完成加密電子郵件的安全傳輸；最后，利用電子郵件進(jìn)行會話密鑰的協(xié)商，使得PKI認(rèn)證機(jī)制在電子郵件系統(tǒng)中得到應(yīng)用，具有廣闊的發(fā)展前景。
權(quán)利要求
1.一種基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，其特征在于:包括以下步驟: 步驟1，發(fā)送方獲得接收方的數(shù)字證書，并通過公共安全設(shè)施管理平臺的PKI認(rèn)證機(jī)制對證書的身份、合法性和安全性進(jìn)行驗(yàn)證； 步驟2，發(fā)送方隨機(jī)產(chǎn)生一個(gè)會話密鑰，并選取一種加解密算法，用接收方的數(shù)字證書對會話密鑰和加解密算法進(jìn)行加密，形成密文； 步驟3，發(fā)送方將形成的密文通過電子郵件系統(tǒng)發(fā)送給接收方，雙方完成會話密鑰和加解密算法的協(xié)商，實(shí)現(xiàn)加密安全通訊； 步驟4，發(fā)送方用協(xié)商好的會話密鑰和加解密算法對需要發(fā)送的郵件進(jìn)行加密，通過電子郵件系統(tǒng)發(fā)送給接收方； 步驟5，接收方對收到的加密郵件進(jìn)行解密，完成電子郵件的安全傳輸。
2.根據(jù)權(quán)利要求1所述的基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，其特征在于: 所述步驟I中的數(shù)字證書的獲得由接收方直接發(fā)送給發(fā)送方，或者由發(fā)送方通過公共安全設(shè)施管理平臺下載；所述步驟I中的公共安全設(shè)施管理平臺能夠提供對用戶數(shù)字證書的驗(yàn)證功能，通過該平臺可知數(shù)字證書是否真實(shí)、合法。
3.根據(jù)權(quán)利要求1所述的基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，其特征在于:所述公共安全設(shè)施管理平臺為具有PKI認(rèn)證機(jī)制，能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名密碼服務(wù)的公共安全管理系統(tǒng)，具體為社會保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門的PKI身份證管理系統(tǒng)以及居民健康卡管理系統(tǒng)之一。
4.根據(jù)權(quán)利要求1所述的基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，其特征在于:所述電子郵件系統(tǒng)為現(xiàn)有免費(fèi)郵箱、公司內(nèi)部郵件系統(tǒng)。
全文摘要
本發(fā)明涉及一種基于公共安全設(shè)施管理平臺的安全電子郵件的實(shí)現(xiàn)方法，發(fā)送方獲得接收方數(shù)字證書通過公共安全設(shè)施管理平臺PKI認(rèn)證機(jī)制對證書身份、合法性和安全性驗(yàn)證；發(fā)送方產(chǎn)生會話密鑰并選取加解密算法，用接收方數(shù)字證書對會話密鑰和加解密算法進(jìn)行加密形成密文；發(fā)送方將密文通過電子郵件發(fā)送給接收方，完成會話密鑰和加解密算法協(xié)商實(shí)現(xiàn)加密安全通訊；發(fā)送方用協(xié)商好的會話密鑰和加解密算法對需發(fā)送郵件加密，通過電子郵件系統(tǒng)發(fā)送給接收方；接收方對收到加密郵件進(jìn)行解密完成電子郵件的安全傳輸，將對稱密鑰加密機(jī)制和非對稱密鑰加密有效結(jié)合，完成電子郵件驗(yàn)證和加解密；構(gòu)建可信安全電子郵件傳輸系統(tǒng)，用戶以較低成本完成電子郵件安全傳輸。
文檔編號H04L9/32GK103107939SQ20131005334
公開日2013年5月15日 申請日期2013年2月19日 優(yōu)先權(quán)日2013年2月19日
發(fā)明者梁松濤, 董建強(qiáng), 劉熙胖, 王科峰, 張重磊, 楊偉紅 申請人:鄭州信大捷安信息技術(shù)股份有限公司