[发明专利]基于公共安全设施管理平台的安全电子邮件的实现方法

说明书

技术领域

 本发明属于加密电子邮件安全技术领域，具体涉及一种加密体制中对称密钥和非对称密钥相结合的技术完成对电子邮件的验证和加解密，同时采用公共安全设施管理平台现有的PKI认证机制和电子邮件系统，以较低的成本完成电子邮件安全传输的基于公共安全设施管理平台的安全电子邮件的实现方法。

背景技术

随着信息化的迅速发展，电子邮件作为互联网最基本的应用服务之一，其便捷、高效、低廉的通信方式为广大网民用户进行信息沟通和交流提供了便利的条件，为企业的发展带来商机。但由于网络的开放性，电子邮件受到窃听、篡改等安全威胁，因此，不得不考虑电子邮件在网络中的安全问题。

目前，安全电子邮件的实现采用的加密技术通常分为两大类，即对称密钥加密体制和非对称密钥加密体制。对称密钥加解密使用的是同一个密钥，或者能从加密密钥很容易推出解密密钥。非对称密钥加密方法有两个密钥，其中的公钥是公开的，收件人只要用自己的私钥就可以解密。对称密钥算法的优点在于：计算量小，算法简单，加密速度快，是目前用于信息加密的主要算法，但它也存在着明显的缺陷，包括：1）在多数情况下很难实现密钥的安全传输和交换；2）对称加密系统仅能用于对数据进行加解密处理，不能用于数字签名。非对称密钥可实现数字签名，保证数据的保密性和完整性，但加解密速度慢，一般只用于对简单的、少量的数据进行加解密。如果能将二者结合，取长补短，发挥各自的优势，将对安全电子邮件的安全传输起着重要作用。

为了解决网络空间中的信任和安全问题，出现了PKI认证技术。PKI认证机制为非对称密钥技术，其中PKI （ Public Key Infrastructure ）即公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系，保证网络空间各行为主体身份的唯一性和真实性。而目前有较多的基于PKI的公共安全设施管理平台，如社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统等能够为用户透明提供加密和数字签名等密码服务平台未被充分利用。

现有的安全电子邮件系统还存在一些明显不足:1）大部分加密邮件系统都需要专用电子邮件系统的支持，适应性差，而用户的邮箱种类繁多，加密邮件在各种邮箱之间传输不具有通用性，需要用户花费较大的精力和成本来购置和管理电子邮件系统，很不方便。2）PKI认证技术发展相当成熟，但建立PKI认证系统需要投入较大的成本，真正应用于电子邮件中的却很少。因此，怎样使加密电子邮件具有通用性，充分利用现有的PKI安全基础设施平台，以较低的成本完成电子邮件的安全加密传输是本发明要解决的重点问题。

发明内容

本发明的目的是将对称密钥加密机制和非对称密钥加密机制有效的结合，发挥两种加解密算法的优势，保证电子邮件的保密性和安全性；同时利用现有公共安全设施管理平台中具有的PKI认证机制、电子邮件系统服务设施构建一个可信的安全的电子邮件传输系统，使得用户能够以较低的成本，完成电子邮件安全传输的基于公共安全设施管理平台的安全电子邮件的实现方法。

本发明的目的是这样实现的：

一种基于公共安全设施管理平台的安全电子邮件的实现方法，其特征在于：包括以下步骤：

步骤1，发送方获得接收方的数字证书，并通过公共安全设施管理平台的PKI认证机制对证书的身份、合法性和安全性进行验证；

步骤2，发送方随机产生一个会话密钥，并选取一种加解密算法，用接收方的数字证书对会话密钥和加解密算法进行加密，形成密文；

步骤3，发送方将形成的密文通过电子邮件系统发送给接收方，双方完成会话密钥和加解密算法的协商，实现加密安全通讯；

步骤4，发送方用协商好的会话密钥和加解密算法对需要发送的邮件进行加密，通过电子邮件系统发送给接收方；

步骤5，接收方对收到的加密邮件进行解密，完成电子邮件的安全传输。

所述步骤1中的数字证书的获得由接收方直接发送给发送方，或者由发送方通过公共安全设施管理平台下载；所述步骤1中的公共安全设施管理平台能够提供对用户数字证书的验证功能，通过该平台可知数字证书是否真实、合法。

所述公共安全设施管理平台为具有PKI认证机制，能够为用户透明提供加密和数字签名密码服务的公共安全管理系统，具体为社会保障卡管理系统、带芯片的银行卡管理系统、公安部门的PKI身份证管理系统以及居民健康卡管理系统之一。

所述电子邮件系统为现有免费邮箱、公司内部邮件系统。