技術領域

本發明屬于數據加密技術領域，是一種針對電子郵件專用客戶端的電子郵件IBE?(Identity?Based?Encryption)加密實現方法，特別是一種使得不支持IBE加密的電子郵件客戶端在不做修改的情況下實現郵件IBE加密的方法。

背景技術

目前的絕大多數專用郵件客戶端（非基于瀏覽器的郵件客戶端），如Outlook、Outlook?Express、Thunderbird、Foxmail等，都支持基于PKI（Public?Key?Infrastructure）數字證書（digital?certificate）的郵件加密。PKI數字證書是基于公開密鑰加密算法的加密技術（或體系、體制），常用的公開密鑰加密算法有RSA、ECC（橢圓曲線加密）、DSA算法等。在公開密鑰加密算法中，涉及一對密鑰，其中一個公開，稱為公鑰（public?key）用于數據的加密和數字簽名的驗證，另一個不公開，稱為私鑰（private?key）用于數據的解密和數字簽名。由于數據加密、解密所使用的密鑰不同（這不同于對稱密鑰加密算法，數據加密和解密所使用的密鑰相同），因此，公開密鑰加密算法（技術、體系、體制）又稱為非對稱密鑰加密算法（技術、體系、體制）。

在PKI體系中，數字證書是一個采用X509格式、由一個稱為CA認證中心（Certification?Authority）的系統（或機構）的私鑰（CA私鑰）數字簽名、載有證書持有者公鑰的電子信息，而數字證書的有效性由CA私鑰對應的公鑰（CA公鑰）驗證。簽發數字證書的CA私鑰對應的CA公鑰本身又通過一個數字證書發布，稱為CA證書。CA證書或者是自簽名的（稱為根CA證書），或者由另一個CA私鑰簽發，稱為上級CA私鑰，并由對應的上級CA公鑰驗證；該上級CA私鑰對應的CA公鑰又通過一個CA證書發布（稱為上級CA證書）；重復此過程，直到一個自簽名的根CA證書。簽發證書（最終用戶或實體證書、CA證書）的CA私鑰所對應的CA證書通常又稱為簽發CA證書。這樣從最終用戶數字證書出發，到其簽發CA證書，到其簽發CA證書的上級CA證書，直至根CA證書，形成一個證書鏈，稱為證書信任鏈或路徑。在PKI體系中，對數字證書可信性的驗證就是不斷用一個證書（包括CA證書）的上級簽發CA證書的公鑰驗證證書的數字簽名的有效性，直到驗證到受信的某個簽發CA證書或根CA證書。另外，數字證書就其用途而言，有的可同時用于數字簽名和數據加密；有的僅用于數字簽名，稱為簽名數字證書（因其可通過數字簽名鑒別用戶的身份，因此，也稱為身份證書）；有的僅用于數據加密，稱為加密數字證書。數字證書的用途通過證書的密鑰用途字段（KeyUsage）規定。

雖然能夠用于電子郵件的加密，但是，采用PKI數字證書進行電子郵件加密有一個突出的缺點：加密電子郵件的發送方需事先獲得電子郵件接收方（解密方、收件方）的（加密）數字證書，這給基于數字證書的電子郵件加密的應用帶來了極大不便和障礙，也使得基于數字證書的郵件加密到目前為止并未獲得廣泛應用。

基于身份標識的加密（Identity?Based?Encryption，IBE)也是一種公開密鑰加密算法（技術、體系、體制）。但是，使用IBE進行傳輸數據加密時，發送方無需事先獲得接收方的數字證書，只需事先知道可唯一標識對方身份的一個標識（如身份證號、電子郵件地址、手機號碼等），然后基于這個身份標識結合一組IBE公開參數（也稱為系統參數）就可以進行數據加密。這里，身份標識和一組公開參數就構成了IBE公鑰，（但在實際應用中人人常常把身份標識簡稱為公鑰）。接收方收到加密的數據后，使用自己身份標識對應的私鑰（IBE私鑰）即可解密數據（嚴格說來，IBE私鑰是由一組IBE公開參數和身份標識所對應的私密數據所構成）。接收方身份標識對應的私鑰是由一個IBE私鑰生成器（Private?Key?Generator，PKG）產生（IBE私鑰生成器有時也稱為IBE密鑰服務器）。