技術領域

本發明屬于信息安全技術領域，特別是一種針對OWA（Outlook?Web?Access）的電子郵件IBE（Identity?Based?Encryption)加密系統，該系統使得不支持IBE加密的OWA系統能在不做修改的情況下實現郵件IBE加密的郵件加密系統。

背景技術

目前的加密算法可分為兩大體系：對稱密鑰加密（Symmetric?key?Cryptography）和非對稱密鑰加密（Asymmetric?Key?Cryptography）；相應地，加密技術分為對稱密鑰加密技術和非對稱密鑰加密技術。在對稱密鑰加密算法（技術）中，數據加密、解密使用同一個密鑰；在非對稱密鑰加密算法（技術）中，數據加密、解密使用兩個不同但相互關聯的密鑰（一對密鑰），其中一個可公開，稱為公鑰（Public?Key），可用于數據加密，另一不公開，稱為私鑰（Private?Key），可用于數據解密。非對稱密鑰加密算法中的這一對密鑰稱為公開密鑰對，因此非對稱密鑰加密算法又稱為公開密鑰加密算法（Public?Key?Cryptography）；非對稱密鑰加密算法中的私鑰必須由密鑰對的擁有者安全保管。目前獲得廣泛應用的公開密鑰加密算法包括以三個發明人，Rivest,Shamir和Adleman，命名的RSA算法，以及DSA（Digital?Signature?Algorithm）算法等；而ECC（Elliptic?Curve?Cryptography）橢圓曲線加密算法也是最近幾年獲得重視并逐步獲得應用的公開密鑰加密算法。

對稱密鑰加密算法具有實現簡單、運算速度快的特點，但其也存在密鑰分發管理困難的缺點（數據加密方如何將對稱密鑰安全地傳遞給數據解密方）；而公開密鑰加密算法具有密鑰分發容易（公鑰可公開發布）的優點，但其存在算法實現復雜、運算速度慢的缺點。可以看到，對稱密鑰加密算法和公開密鑰加密算法優、缺點互補，故此，在實際應用中通常將二者結合起來使用：使用隨機生成的對稱密鑰并應用對稱密鑰加密算法對數據加密，然后使用數據解密方的公鑰、應用公開密鑰加密算法對隨機產生的對稱密鑰加密，之后將加密的數據和對稱密鑰一起傳遞給數據解密方；數據解密方接收到加密后的數據和對稱密鑰后，先用自己的私鑰解密加密的對稱密鑰，然后用解密后的對稱密鑰解密數據。除了用于數據加密、解密外，公開密鑰加密算法通常還可以用于數據的數字簽名和簽名驗證：私鑰擁有者使用私鑰對數據加密（簽名），數據接收者使用對應的公鑰對數據解密（簽名驗證）。

在公開密鑰體系中一方要向另一方發送加密數據，必須先獲得對方的公鑰，因此，公鑰的擁有者（即加密數據的接收者）需通過一定的安全途徑發布其公鑰（防止攻擊者假冒他人發布公鑰），以使得其他人（或實體）能夠使用其公鑰向其發送加密數據。為了解決這一問題，人們提出了公開密鑰基礎設施（Public?Key?Infrastructure，PKI)安全技術體系。在PKI體系中，由一個數字證書認證中心（Certification?Authority，CA）作為可信的第三方簽發數字證書（Digital?Certificate）來進行用戶（實體）公鑰的發布（如通過LDAP目錄服務，Lightweight?Directory?Access?Protocol）。CA簽發的數字證書除了包含證書持有人的公鑰外，還包含有證書持有人的其他身份信息，如姓名、所屬組織、電子郵件地址等。證書由CA使用其私鑰數字簽名，以保證證書中信息的可信性、安全性。數字證書根據其密鑰用途有時又可分為加密證書和身份證書，前者用于數據的加密、解密，后者用于身份的鑒別、數字簽名及簽名驗證。這樣，在PKI體系中，一方要向另一方發送加密數據，發送者需先通過一定的途徑，如從CA的公開證書目錄服務（LDAP），獲取接收者的（加密）數字證書，然后從數字證書中提取接收者的公鑰。目前數字證書最常用的公開密鑰算法是RSA和DSA算法，以及最新獲得廣泛重視的ECC算法，其中，RSA、ECC數字證書既可用于數據加密和解密，又可以用于數字簽名和簽名驗，而DSA數字證書只用于數字簽名和簽名驗證。