本發明涉及信息技術領域，特別是指一種基于群組密碼體制的電子郵件加密方法與系統，用于安全數據交換。所述電子郵件加密系統基于群組密碼系統管理一個群組公鑰，并為每個用戶生成不同私鑰，通過所述群組公鑰實現對一個或多個指定授權用戶的加密機制，用戶密鑰由服務器端頒發與管理，因此系統能夠對加密郵件內容進行監管；郵件加密只需獲得接收者所在郵件系統的群組公鑰證書，該證書由郵件系統統一管理，與個人公鑰證書相比存儲與維護都較為簡單；且對相同郵件系統內多名接收者，群組公鑰證書只需獲取一次，且具有證書驗證簡單、加密效率高的優點。

技術領域

本發明涉及信息技術領域，特別是指一種基于群組密碼體制的電子郵件加密方法與系統，用于安全數據交換。

背景技術

電子郵件是目前互聯網中使用最廣的交流工具和服務，通過電子郵件，用戶可以以非常低廉的價格快速與世界上任何一個角落的網絡用戶聯系。目前互聯網中使用的電子郵件協議包括：簡單郵件傳輸協議(SMTP)、郵局協議(POP3)和因特網郵件訪問協議(IMAP)，但基于這些協議的郵件系統并不安全，有可能導致郵件泄密而危害國家安全和個人隱私；另一方面，從監管角度而言，涉及國家安全的文檔需要備份、存檔，以備監督，這都需要在電子郵件中引入具有監管性的加密機制，保證郵件信息的安全。

采用密碼機制保證電子郵件安全已經不是新的想法，已有電子郵件系統采用了公鑰加密及認證機制，然而，這些系統通常被建立在傳統公鑰密碼系統TPKC(如RSA、ElGamal、DSA等)基礎上，其密鑰結構是1:1結構，即1個用戶公鑰對應1個私鑰，這種密碼屬于個人密碼體制，即，郵件系統用戶自行管理自身的密鑰，并在客戶端進行郵件加密，郵件服務器不參與此過程，這被稱為“客戶端電子郵件加密方法及系統”。這種密碼體制所帶來的問題包括：

1)郵件監管困難：由于服務器不負責管理用戶密鑰，客戶端加密導致無法對用戶郵件內容進行監管；

2)證書獲取困難：用戶必須獲得每名接收者的公鑰證書，公鑰證書沒有指定的存儲地點，獲取較為困難；

3)證書驗證繁瑣：用戶需對獲取到的接收者公鑰證書的合法性進行驗證，PKI或PGP驗證過程需要客戶端額外開銷；

4)加密效率低：對于多接收者，需進行多次加密；

5)密鑰管理復雜：用戶需自己完成密鑰的生成、存儲、簽注、分發及注銷等功能，維護開銷大。

6)用戶成本高：PKI簽注目前仍需實名認證與繳費。

群組加密系統與上述傳統公鑰加密系統TPKC有本質的不同，它的密鑰結構是1:n，也就是1個公鑰對應于n個不同的私鑰。當群組密碼被應用于加密郵件系統時，整個系統只需維持一個公鑰(被稱為群組公鑰)，通過使用這個公鑰可對任何一個或一組用戶進行郵件加密；而系統內所有用戶分別具有不同的私鑰，保證只有發送給該用戶的郵件才能被所持有私鑰解密。

發明內容

針對上述技術問題，本發明提供一種基于群組密碼體制的電子郵件加密方法及系統，簡化密鑰管理，提升電子郵件及其系統的安全性。能夠適用于國家、軍隊、政府、企事業等機構和單位提供郵件的傳輸和存儲安全，可有效保障互聯網中用戶郵件信息的隱私，在防范郵件欺騙、保證電子政務安全等方面具有重要現實意義。

本發明是通過以下技術方案實現的：

一種基于群組密碼體制的電子郵件加密系統，所述電子郵件加密系統基于群組密碼系統，所述群組密碼系統管理一個群組公鑰，并為每個用戶生成不同私鑰，通過所述群組公鑰實現對一個或多個指定授權用戶的加密機制；

所述電子郵件加密系統包括：

協議與接口模塊PIM：用于實現所述電子郵件加密系統與外界實體之間的連接與數據交換；所述外界實體包括終端用戶、其它郵件系統、公鑰證書交換與認證機構中的任意一種或任意兩種或兩種及兩種以上；