一种带私钥的桥数字证书的自动生成和配置方法
【技术领域】
[0001]本发明属于数据加密技术领域,是基于桥数字证书和加载项的IBE邮件加密技术中一种针对邮件专用客户端配置的邮件帐户的带私钥的桥数字证书的自动生成和配置方法。
【背景技术】
[0002]在基于标识的加密(Identity Based Encrypt1n,简称IBE)技术(算法)中用户的一个身份标识,如电子邮箱地址、手机号码,就是公钥(标识公钥或IBE公钥),可用于数据加密;同时一个身份标识对应有一个私钥(标识私钥或IBE私钥),可用于数据解密。实际上,标识公钥(IBE公钥)是由一个身份标识和一组公开参数所构成,而标识私钥(IBE私钥)是由一个标识对应的私密数据和一组公开参数所构成。
[0003]在IBE密码算法或技术中,一个身份标识(结合一组公开参数)就构成了公钥,因此,加密数据的发送方(如加密邮件发送方)在向加密数据的接收方发送加密数据前,无需事先获得接收方的公钥(如接收方的公钥数字证书),因为接收方的标识(如邮件地址)就是公钥。IBE技术的出现给公钥密码技术的应用带来了极大的方便,避免了基于数字证书的PKI (Public Key Infrastructure)技术在实际应用中存在的用户操作使用不便的问题。但是,IBE密码技术在实际应用中也存在的一个很大问题:这就是目前的各种标准应用,如电子邮件客户端(Outlook、Thunderbird等),都不支持IBE加密。
[0004]为了解决IBE密码技术在电子邮件中应用的问题,本发明人在专利申请“一种电子邮件IBE加密实现方法”(专利申请号:201310013656.2)中提出了一种电子邮件IBE加密方案,该方案利用许多已有电子邮件专用客户端支持使用RSA数字证书(采用RSA算法)进行邮件加密的特点,通过因为引入一种桥数字证书和相应的IBE密码模块,将电子邮件专用客户端调用RSA数字证书使用RSA密码算法进行邮件加密、解密的密码运算转化为使用IBE密码算法进行邮件加密、解密的密码运算;进一步地,该方案引入一个专门的IBE加载项,当用户发送、接收或读取加密电子邮件时自动为邮件专用客户端生成并配置邮件发送者、接收者的邮件帐户的带私钥和不带私钥的桥数字证书,比如,发送邮件时针对邮件接收者的电子邮箱地址所生成的桥数字证书是不带私钥的,接收或读取邮件时针对邮件接收者或读取者的电子邮箱地址所生成的桥数字证书是带私钥的。
[0005]发明申请201310013656.2中的技术方案虽然解决了使用IBE密码算法进行电子邮件加密的问题,但该技术也存在如下不足:
[0006]I)若邮件专用客户端要求用户进行邮件加密设置或者选择邮件加密按钮时邮件专用客户端所配置使用的IBE密码模块所用的证书库中已有用户邮件帐户(的电子邮箱地址)的带私钥的桥数字证书,而这时证书库中没有这个带私钥的桥数字证书,则发送方的用户在进行邮件加密设置或选择邮件加密按钮前需通过手工方式生成并在邮件专用客户端(所配置使用的IBE密码模块所用的证书库)中配置本人邮件帐户对应的带私钥的桥数字证书;(注:此时,即便发送方的用户要手工配置本人邮件帐户的桥数字证书,但专利201310013656.2仍按原有方式实施)
[0007]2)接收方的用户使用邮件专用客户端接收或读取加密邮件时,若加密邮件的目标接收者有多个,且用户正在接收或读取加密邮件的邮件专用客户端中配置有用户的多个邮件帐户,则接收方的IBE加载项需要确定邮件专用客户端接收或读取加密邮件时当前使用的邮件帐户是哪一个,而IBE加载项要确定用户使用邮件专用客户端接收或读取加密邮件时邮件专用客户端当前使用的邮件帐户是哪一个在技术实施上是比较麻烦的、比较复杂的,这就增加了该技术方案的实施难度。
【发明内容】
[0008]本发明的目的是提出一种邮件专用客户端配置的邮件帐户的带私钥的桥数字证书的自动生成和配置方法,以克服现有的基于桥数字证书和加载项的电子邮件IBE加密技术方案的不足。
[0009]为了实现上述目的,本发明所采用的技术方案是:
[0010]一种带私钥的桥数字证书的自动生成和配置方法,所述方法如下:
[0011]邮件专用客户端配置有一个或多个邮件帐户并安装有用于桥数字证书生成和配置的IBE加载项;所述IBE加载项在捕获到邮件专用客户端触发的事件后(确切地说是事件通知),依次检查邮件专用客户端中配置的每个邮件帐户在邮件专用客户端所配置使用的IBE密码模块所使用的证书库中是否有对应的带私钥的桥数字证书,S卩邮件专用客户端所配置使用的IBE密码模块所用的证书库中是否有一个带私钥的桥数字证书的主题名(Subject Name)的电子邮件字段(E字段)或主题别名(Subject Alternative Name)是配置的邮件帐户的电子邮箱地址,若没有,则调用桥数字证书生成模块生成带一个私钥的主题名(Subject Name)的电子邮件字段(E字段)或主题别名(Subject Alternative Name)是邮件专用客户端所配置的邮件帐户的电子邮箱地址的桥数字证书,即生成一个邮件帐户的电子邮箱地址所对应的带私钥的桥数字证书,并将生成的桥数字证书放置到所述IBE密码模块所用的证书库中;
[0012]所述桥数字证书是伪RSA数字证书;所述伪RSA数字证书是一种X509格式的数字证书,但证书的证书持有者(即主题名对应的用户)公钥是包含电子邮箱地址(即用户IBE身份标识)的伪RSA公钥;所述伪RSA数字证书(对应)的私钥在所述IBE密码模块中是一个由IBE密码模块维护的IBE私钥组(IBE密码模块负责获取、更新和恢复解密所需的IBE私钥);
[0013]所述IBE密码模块是用于IBE数据加密和解密操作处理以及IBE密钥管理的软件组件或软硬件相结合的组件;所述IBE密码模块将针对伪RSA公钥的数据加密运算转化为针对伪RSA公钥中的电子邮箱地址的IBE公钥加密运算,将调用伪RSA数字证书的私钥的解密运算转化为使用伪RSA数字证书对应的IBE私钥组中的IBE私钥的解密运算;
[0014]所述桥数字证书生成模块用于针对电子邮箱地址生成所述桥数字证书,包括带私钥的桥数字证书和不带私钥的桥数字证书;位于不同用户计算设备中的所述桥数字证书生成模块针对同一个电子邮箱地址所生成的伪RSA数字证书的签发者名和序列号是相