技術(shù)領(lǐng)域

?本發(fā)明屬于加密電子郵件安全技術(shù)領(lǐng)域，具體涉及一種加密體制中對(duì)稱(chēng)密鑰和非對(duì)稱(chēng)密鑰相結(jié)合的技術(shù)完成對(duì)電子郵件的驗(yàn)證和加解密，同時(shí)采用公共安全設(shè)施管理平臺(tái)現(xiàn)有的PKI認(rèn)證機(jī)制和電子郵件系統(tǒng)，以較低的成本完成電子郵件安全傳輸?shù)幕诠舶踩O(shè)施管理平臺(tái)的安全電子郵件的實(shí)現(xiàn)方法。

背景技術(shù)

隨著信息化的迅速發(fā)展，電子郵件作為互聯(lián)網(wǎng)最基本的應(yīng)用服務(wù)之一，其便捷、高效、低廉的通信方式為廣大網(wǎng)民用戶進(jìn)行信息溝通和交流提供了便利的條件，為企業(yè)的發(fā)展帶來(lái)商機(jī)。但由于網(wǎng)絡(luò)的開(kāi)放性，電子郵件受到竊聽(tīng)、篡改等安全威脅，因此，不得不考慮電子郵件在網(wǎng)絡(luò)中的安全問(wèn)題。

目前，安全電子郵件的實(shí)現(xiàn)采用的加密技術(shù)通常分為兩大類(lèi)，即對(duì)稱(chēng)密鑰加密體制和非對(duì)稱(chēng)密鑰加密體制。對(duì)稱(chēng)密鑰加解密使用的是同一個(gè)密鑰，或者能從加密密鑰很容易推出解密密鑰。非對(duì)稱(chēng)密鑰加密方法有兩個(gè)密鑰，其中的公鑰是公開(kāi)的，收件人只要用自己的私鑰就可以解密。對(duì)稱(chēng)密鑰算法的優(yōu)點(diǎn)在于：計(jì)算量小，算法簡(jiǎn)單，加密速度快，是目前用于信息加密的主要算法，但它也存在著明顯的缺陷，包括：1）在多數(shù)情況下很難實(shí)現(xiàn)密鑰的安全傳輸和交換；2）對(duì)稱(chēng)加密系統(tǒng)僅能用于對(duì)數(shù)據(jù)進(jìn)行加解密處理，不能用于數(shù)字簽名。非對(duì)稱(chēng)密鑰可實(shí)現(xiàn)數(shù)字簽名，保證數(shù)據(jù)的保密性和完整性，但加解密速度慢，一般只用于對(duì)簡(jiǎn)單的、少量的數(shù)據(jù)進(jìn)行加解密。如果能將二者結(jié)合，取長(zhǎng)補(bǔ)短，發(fā)揮各自的優(yōu)勢(shì)，將對(duì)安全電子郵件的安全傳輸起著重要作用。

為了解決網(wǎng)絡(luò)空間中的信任和安全問(wèn)題，出現(xiàn)了PKI認(rèn)證技術(shù)。PKI認(rèn)證機(jī)制為非對(duì)稱(chēng)密鑰技術(shù)，其中PKI?（?Public?Key?Infrastructure?）即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)榫W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必須的密鑰和證書(shū)管理體系，保證網(wǎng)絡(luò)空間各行為主體身份的唯一性和真實(shí)性。而目前有較多的基于PKI的公共安全設(shè)施管理平臺(tái)，如社會(huì)保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門(mén)的PKI身份證管理系統(tǒng)等能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名等密碼服務(wù)平臺(tái)未被充分利用。

現(xiàn)有的安全電子郵件系統(tǒng)還存在一些明顯不足:1）大部分加密郵件系統(tǒng)都需要專(zhuān)用電子郵件系統(tǒng)的支持，適應(yīng)性差，而用戶的郵箱種類(lèi)繁多，加密郵件在各種郵箱之間傳輸不具有通用性，需要用戶花費(fèi)較大的精力和成本來(lái)購(gòu)置和管理電子郵件系統(tǒng)，很不方便。2）PKI認(rèn)證技術(shù)發(fā)展相當(dāng)成熟，但建立PKI認(rèn)證系統(tǒng)需要投入較大的成本，真正應(yīng)用于電子郵件中的卻很少。因此，怎樣使加密電子郵件具有通用性，充分利用現(xiàn)有的PKI安全基礎(chǔ)設(shè)施平臺(tái)，以較低的成本完成電子郵件的安全加密傳輸是本發(fā)明要解決的重點(diǎn)問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的是將對(duì)稱(chēng)密鑰加密機(jī)制和非對(duì)稱(chēng)密鑰加密機(jī)制有效的結(jié)合，發(fā)揮兩種加解密算法的優(yōu)勢(shì)，保證電子郵件的保密性和安全性；同時(shí)利用現(xiàn)有公共安全設(shè)施管理平臺(tái)中具有的PKI認(rèn)證機(jī)制、電子郵件系統(tǒng)服務(wù)設(shè)施構(gòu)建一個(gè)可信的安全的電子郵件傳輸系統(tǒng)，使得用戶能夠以較低的成本，完成電子郵件安全傳輸?shù)幕诠舶踩O(shè)施管理平臺(tái)的安全電子郵件的實(shí)現(xiàn)方法。

本發(fā)明的目的是這樣實(shí)現(xiàn)的：

一種基于公共安全設(shè)施管理平臺(tái)的安全電子郵件的實(shí)現(xiàn)方法，其特征在于：包括以下步驟：

步驟1，發(fā)送方獲得接收方的數(shù)字證書(shū)，并通過(guò)公共安全設(shè)施管理平臺(tái)的PKI認(rèn)證機(jī)制對(duì)證書(shū)的身份、合法性和安全性進(jìn)行驗(yàn)證；

步驟2，發(fā)送方隨機(jī)產(chǎn)生一個(gè)會(huì)話密鑰，并選取一種加解密算法，用接收方的數(shù)字證書(shū)對(duì)會(huì)話密鑰和加解密算法進(jìn)行加密，形成密文；

步驟3，發(fā)送方將形成的密文通過(guò)電子郵件系統(tǒng)發(fā)送給接收方，雙方完成會(huì)話密鑰和加解密算法的協(xié)商，實(shí)現(xiàn)加密安全通訊；

步驟4，發(fā)送方用協(xié)商好的會(huì)話密鑰和加解密算法對(duì)需要發(fā)送的郵件進(jìn)行加密，通過(guò)電子郵件系統(tǒng)發(fā)送給接收方；

步驟5，接收方對(duì)收到的加密郵件進(jìn)行解密，完成電子郵件的安全傳輸。

所述步驟1中的數(shù)字證書(shū)的獲得由接收方直接發(fā)送給發(fā)送方，或者由發(fā)送方通過(guò)公共安全設(shè)施管理平臺(tái)下載；所述步驟1中的公共安全設(shè)施管理平臺(tái)能夠提供對(duì)用戶數(shù)字證書(shū)的驗(yàn)證功能，通過(guò)該平臺(tái)可知數(shù)字證書(shū)是否真實(shí)、合法。

所述公共安全設(shè)施管理平臺(tái)為具有PKI認(rèn)證機(jī)制，能夠?yàn)橛脩敉该魈峁┘用芎蛿?shù)字簽名密碼服務(wù)的公共安全管理系統(tǒng)，具體為社會(huì)保障卡管理系統(tǒng)、帶芯片的銀行卡管理系統(tǒng)、公安部門(mén)的PKI身份證管理系統(tǒng)以及居民健康卡管理系統(tǒng)之一。

所述電子郵件系統(tǒng)為現(xiàn)有免費(fèi)郵箱、公司內(nèi)部郵件系統(tǒng)。