专利名称:基于公共安全设施管理平台的安全电子邮件的实现方法
技术领域:
本发明属于加密电子邮件安全技术领域,具体涉及一种加密体制中对称密钥和非对称密钥相结合的技术完成对电子邮件的验证和加解密,同时采用公共安全设施管理平台现有的PKI认证机制和电子邮件系统,以较低的成本完成电子邮件安全传输的基于公共安全设施管理平台的安全电子邮件的实现方法。
背景技术:
随着信息化的迅速发展,电子邮件作为互联网最基本的应用服务之一,其便捷、高效、低廉的通信方式为广大网民用户进行信息沟通和交流提供了便利的条件,为企业的发展带来商机。但由于网络的开放性,电子邮件受到窃听、篡改等安全威胁,因此,不得不考虑电子邮件在网络中的安全问题。目前,安全电子邮件的实现采用的加密技术通常分为两大类,即对称密钥加密体制和非对称密钥加密体制。对称密钥加解密使用的是同一个密钥,或者能从加密密钥很容易推出解密密钥。非对称密钥加密方法有两个密钥,其中的公钥是公开的,收件人只要用自己的私钥就可以解密。对称密钥算法的优点在于:计算量小,算法简单,加密速度快,是目前用于信息加密的主要算法,但它也存在着明显的缺陷,包括:1)在多数情况下很难实现密钥的安全传输和交换;2)对称加密系统仅能用于对数据进行加解密处理,不能用于数字签名。非对称密钥可实现数字签名,保证数据的保密性和完整性,但加解密速度慢,一般只用于对简单的、少量的数据进行加解密。如果能将二者结合,取长补短,发挥各自的优势,将对安全电子邮件的安全传输起着重要作用。为了解决网络空间中的信任和安全问题,出现了 PKI认证技术。PKI认证机制为非对称密钥技术,其中PKI ( Public Key Infrastructure )即公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,保证网络空间各行为主体身份的唯一性和真实性。而目前有较多的基于PKI的公共安全设施管理平台,如社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统等能够为用户透明提供加密和数字签名等密码服务平台未被充分利用。现有的安全电子邮件系统还存在一些明显不足:I)大部分加密邮件系统都需要专用电子邮件系统的支持,适应性差,而用户的邮箱种类繁多,加密邮件在各种邮箱之间传输不具有通用性,需要用户花费较大的精力和成本来购置和管理电子邮件系统,很不方便。2)PKI认证技术发展相当成熟,但建立PKI认证系统需要投入较大的成本,真正应用于电子邮件中的却很少。因此,怎样使加密电子邮件具有通用性,充分利用现有的PKI安全基础设施平台,以较低的成本完成电子邮件的安全加密传输是本发明要解决的重点问题。
发明内容
本发明的目的是将对称密钥加密机制和非对称密钥加密机制有效的结合,发挥两种加解密算法的优势,保证电子邮件的保密性和安全性;同时利用现有公共安全设施管理平台中具有的PKI认证机制、电子邮件系统服务设施构建一个可信的安全的电子邮件传输系统,使得用户能够以较低的成本,完成电子邮件安全传输的基于公共安全设施管理平台的安全电子邮件的实现方法。本发明的目的是这样实现的:
一种基于公共安全设施管理平台的安全电子邮件的实现方法,其特征在于:包括以下步骤:
步骤1,发送方获得接收方的数字证书,并通过公共安全设施管理平台的PKI认证机制对证书的身份、合法性和安全性进行验证;
步骤2,发送方随机产生一个会话密钥,并选取一种加解密算法,用接收方的数字证书对会话密钥和加解密算法进行加密,形成密文;
步骤3,发送方将形成的密文通过电子邮件系统发送给接收方,双方完成会话密钥和加解密算法的协商,实现加密安全通讯;
步骤4,发送方用协商好的会话密钥和加解密算法对需要发送的邮件进行加密,通过电子邮件系统发送给接收方;
步骤5,接收方对收到的加密邮件进行解密,完成电子邮件的安全传输。所述步骤I中的数字证书的获得由接收方直接发送给发送方,或者由发送方通过公共安全设施管理平台下载;所述步骤I中的公共安全设施管理平台能够提供对用户数字证书的验证功能,通过该平台可知数字证书是否真实、合法。所述公共安全设施管理平台为具有PKI认证机制,能够为用户透明提供加密和数字签名密码服务的公共安全管理系统,具体为社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统以及居民健康卡管理系统之一。所述电子邮件系统为现有免费邮箱、公司内部邮件系统。本发明的特点在于发明中所有的电子邮件都是以密文的形式存在,即使被非法窃取也不会造成信息泄露。第一封电子邮件用于协商会话密钥和加密算法,会话密钥和加解密算法数据量小,通过数字证书密钥对其进行加密速度更快;会话密钥和加解密算法协商完成后,采用对称密钥的加密机制对邮件进行加密,速度更快、更安全。本发明的积极效果如下:1、充分利用现有的公共安全设施管理平台和电子邮件系统,不需要专门的第三方认证系统和专门的电子邮件服务器即可完成电子邮件的安全传输,能节约大量的成本投入;2、本发明方法中的PKI认证机制属于非对称密钥加密的一种,而会话密钥加密机制属于对称密钥加密,将二者结合起来,取长补短,能够有效保证密钥协商以及电子邮件的传输的保密性和安全性。
图1为基于公共安全设施管理平台的安全电子邮件的实现方法流程图。
具体实施例方式下面结合附图和实施例对本发明做进一步描述:
如图1所示,一种基于公共安全设施管理平台的安全电子邮件的实现方法,包括以下步骤:
步骤1,发送方获得接收方的数字证书,并通过公共安全设施管理平台的PKI认证机制对证书的身份、合法性和安全性进行验证;
步骤2,发送方随机产生一个会话密钥,并选取一种加解密算法,用接收方的数字证书对会话密钥和加解密算法进行加密,形成密文;
步骤3,发送方将形成的密文通过电子邮件系统发送给接收方,双方完成会话密钥和加解密算法的协商,即可实现加密安全通讯;
步骤4,发送方用协商好的会话密钥和加解密算法对需要发送的邮件进行加密,通过电子邮件系统发送给接收方;
步骤5,接收方对收到的加密邮件进行解密,完成电子邮件的安全传输。所述步骤I中的数字证书的获得可以由接收方直接发送给发送方,也可以由发送方通过公共安全设施管理平台下载。所述步骤I中的公共安全设施管理平台能够提供对用户数字证书的验证功能,通过该平台可知数字证书是否真实、合法。所述的公共安全设施管理平台为具有PKI认证机制,能够为用户透明提供加密和数字签名等密码服务的公共安全管理系统,如社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统以及未来出现的居民健康卡管理系统等;
所述的电子邮件系统为免费邮箱、公司内部邮件系统等现有的电子邮件系统。综上所述,本发明方法借助于公共信息服务管理平台具有的PKI认证机制,完成对会话密钥的安全交换,解决了会话密钥无法进行安全传输和交换的问题,同时,基于现有的公共信息服务管理平台和电子邮件系统,能够以较低的成本完成加密电子邮件的安全传输;最后,利用电子邮件进行会话密钥的协商,使得PKI认证机制在电子邮件系统中得到应用,具有广阔的发展前景。
权利要求
1.一种基于公共安全设施管理平台的安全电子邮件的实现方法,其特征在于:包括以下步骤: 步骤1,发送方获得接收方的数字证书,并通过公共安全设施管理平台的PKI认证机制对证书的身份、合法性和安全性进行验证; 步骤2,发送方随机产生一个会话密钥,并选取一种加解密算法,用接收方的数字证书对会话密钥和加解密算法进行加密,形成密文; 步骤3,发送方将形成的密文通过电子邮件系统发送给接收方,双方完成会话密钥和加解密算法的协商,实现加密安全通讯; 步骤4,发送方用协商好的会话密钥和加解密算法对需要发送的邮件进行加密,通过电子邮件系统发送给接收方; 步骤5,接收方对收到的加密邮件进行解密,完成电子邮件的安全传输。
2.根据权利要求1所述的基于公共安全设施管理平台的安全电子邮件的实现方法,其特征在于: 所述步骤I中的数字证书的获得由接收方直接发送给发送方,或者由发送方通过公共安全设施管理平台下载;所述步骤I中的公共安全设施管理平台能够提供对用户数字证书的验证功能,通过该平台可知数字证书是否真实、合法。
3.根据权利要求1所述的基于公共安全设施管理平台的安全电子邮件的实现方法,其特征在于:所述公共安全设施管理平台为具有PKI认证机制,能够为用户透明提供加密和数字签名密码服务的公共安全管理系统,具体为社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统以及居民健康卡管理系统之一。
4.根据权利要求1所述的基于公共安全设施管理平台的安全电子邮件的实现方法,其特征在于:所述电子邮件系统为现有免费邮箱、公司内部邮件系统。
全文摘要
本发明涉及一种基于公共安全设施管理平台的安全电子邮件的实现方法,发送方获得接收方数字证书通过公共安全设施管理平台PKI认证机制对证书身份、合法性和安全性验证;发送方产生会话密钥并选取加解密算法,用接收方数字证书对会话密钥和加解密算法进行加密形成密文;发送方将密文通过电子邮件发送给接收方,完成会话密钥和加解密算法协商实现加密安全通讯;发送方用协商好的会话密钥和加解密算法对需发送邮件加密,通过电子邮件系统发送给接收方;接收方对收到加密邮件进行解密完成电子邮件的安全传输,将对称密钥加密机制和非对称密钥加密有效结合,完成电子邮件验证和加解密;构建可信安全电子邮件传输系统,用户以较低成本完成电子邮件安全传输。
文档编号H04L9/32GK103107939SQ20131005334
公开日2013年5月15日 申请日期2013年2月19日 优先权日2013年2月19日
发明者梁松涛, 董建强, 刘熙胖, 王科峰, 张重磊, 杨伟红 申请人:郑州信大捷安信息技术股份有限公司