技術領域

本發明涉及電子信息技術領域，尤其涉及一種基于數字證書的郵件服務器訪問方法和系統。

背景技術

隨著網絡技術的不斷發展，用戶越希望可以通過網絡進行交流，于是基于網絡的，能提供實時、快捷信息交流功能的電子郵件系統和解決方案得到了廣泛的使用。但是由于電子郵件的高度敏感性和網絡的高度開放型，使得在使用移動設備訪問電子郵箱時，如何保證安全是個非常重要的問題。

目前的郵件服務器系統，該系統內可能含有多個郵件服務器，一個郵件服務器可能同時接受多個用戶的訪問，而這些用戶是完全獨立的，且郵件服務器和用戶終端的地理位置上是分布各處的。這種情況下，對于用戶終端和郵件服務器的管理是非常困難，對于整個電子郵件系統的安全問題尤為突出。其安全問題有以下幾點：

1、在用戶訪問郵件服務器前，“用戶名+密碼”的身份驗證方式容易泄露；

2、在用戶終端收發郵件的過程中，為了保證郵件數據的安全性，郵件數據須在加密通道中傳輸，即使有人員非法竊取數據，也沒辦法使用和篡改；

3、對于一個大型郵件服務器系統，存在多個郵件服務器和大量的用戶使用群體，必須解決各個郵件服務器和用戶終端的相互驗證對方的合法有效的問題。

發明內容

本發明實施例提出一種基于數字證書的郵件服務器訪問方法和系統，解決了對于目前郵件服務器系統的訪問過程中，用戶終端與郵件服務器的相互、雙向的身份驗證，用戶收發郵件的數據保密等問題。

本發明實施例提供一種基于數字證書的郵件服務器訪問方法，包括步驟：

A、持有身份驗證服務器證書和身份驗證服務器私鑰的身份驗證服務器分別向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰；

B、用戶終端接入到提供郵件訪問服務的郵件服務器，基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證，使用戶終端和郵件服務器完成相互、雙向的身份驗證，以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步；

C、完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件的保密傳輸。

另外，本發明實施例還對應提供一種基于數字證書的郵件服務器訪問系統，該系統包括利用網絡連接進行相互通信的身份驗證服務器、提供郵件訪問服務的郵件服務器和用戶終端；其中，所述身份驗證服務器持有身份驗證服務器證書和身份驗證服務器私鑰，并向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰；所述用戶終端接入到郵件服務器時，基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證，使用戶終端和郵件服務器完成相互、雙向的身份驗證，以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步；而完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件的保密傳輸。

實施本發明實施例，具有如下有益效果：

1、通過建立一個統一的郵件服務器系統，使得用戶可以以同一個身份訪問不同郵件服務器，用戶不需要進行多余的注冊等操作即可訪問該系統中不同的郵件服務器。

2、用戶和郵件服務器通過身份驗證服務器驗證雙方的身份后，郵件服務器向用戶分發數據密鑰，用于進行郵件的保密傳輸，避免了網絡非法入侵者截獲數據并使用。

3、本發明賦予郵件服務器以獨立的身份，基于郵件服務器身份的可區分性，方便監管，同時用戶終端、郵件服務器、以及身份驗證服務器之間在接入過程中的通信無需經過額外的安全信道，節約了使用成本。

附圖說明

圖1是本發明所提供的基于數字證書的郵件服務器訪問系統的結構框圖。

圖2是本發明所提供的基于數字證書的郵件服務器訪問方法的流程圖。

圖3是圖2所示郵件服務器訪問方法中用戶終端接入郵件服務器的具體流程圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。