[发明专利]一种带私钥的桥数字证书的自动生成和配置方法

说明书

技术领域

本发明属于数据加密技术领域，是基于桥数字证书和加载项的IBE邮件加密技术中一种针对邮件专用客户端配置的邮件帐户的带私钥的桥数字证书的自动生成和配置方法。

背景技术

在基于标识的加密(Identity Based Encryption，简称IBE)技术(算法)中用户的一个身份标识，如电子邮箱地址、手机号码，就是公钥(标识公钥或IBE公钥)，可用于数据加密；同时一个身份标识对应有一个私钥(标识私钥或IBE私钥)，可用于数据解密。实际上，标识公钥(IBE公钥)是由一个身份标识和一组公开参数所构成，而标识私钥(IBE私钥)是由一个标识对应的私密数据和一组公开参数所构成。

在IBE密码算法或技术中，一个身份标识(结合一组公开参数)就构成了公钥，因此，加密数据的发送方(如加密邮件发送方)在向加密数据的接收方发送加密数据前，无需事先获得接收方的公钥(如接收方的公钥数字证书)，因为接收方的标识(如邮件地址)就是公钥。IBE技术的出现给公钥密码技术的应用带来了极大的方便，避免了基于数字证书的PKI(Public Key Infrastructure)技术在实际应用中存在的用户操作使用不便的问题。但是，IBE密码技术在实际应用中也存在的一个很大问题：这就是目前的各种标准应用，如电子邮件客户端(Outlook、Thunderbird等)，都不支持IBE加密。

为了解决IBE密码技术在电子邮件中应用的问题，本发明人在专利申请“一种电子邮件IBE加密实现方法”(专利申请号：201310013656.2)中提出了一种电子邮件IBE加密方案，该方案利用许多已有电子邮件专用客户端支持使用RSA数字证书(采用RSA算法)进行邮件加密的特点，通过因为引入一种桥数字证书和相应的IBE密码模块，将电子邮件专用客户端调用RSA数字证书使用RSA密码算法进行邮件加密、解密的密码运算转化为使用IBE密码算法进行邮件加密、解密的密码运算；进一步地，该方案引入一个专门的IBE加载项，当用户发送、接收或读取加密电子邮件时自动为邮件专用客户端生成并配置邮件发送者、接收者的邮件帐户的带私钥和不带私钥的桥数字证书，比如，发送邮件时针对邮件接收者的电子邮箱地址所生成的桥数字证书是不带私钥的，接收或读取邮件时针对邮件接收者或读取者的电子邮箱地址所生成的桥数字证书是带私钥的。

发明申请201310013656.2中的技术方案虽然解决了使用IBE密码算法进行电子邮件加密的问题，但该技术也存在如下不足：

1)若邮件专用客户端要求用户进行邮件加密设置或者选择邮件加密按钮时邮件专用客户端所配置使用的IBE密码模块所用的证书库中已有用户邮件帐户(的电子邮箱地址)的带私钥的桥数字证书，而这时证书库中没有这个带私钥的桥数字证书，则发送方的用户在进行邮件加密设置或选择邮件加密按钮前需通过手工方式生成并在邮件专用客户端(所配置使用的IBE密码模块所用的证书库)中配置本人邮件帐户对应的带私钥的桥数字证书；(注：此时，即便发送方的用户要手工配置本人邮件帐户的桥数字证书，但专利201310013656.2仍按原有方式实施)

2)接收方的用户使用邮件专用客户端接收或读取加密邮件时，若加密邮件的目标接收者有多个，且用户正在接收或读取加密邮件的邮件专用客户端中配置有用户的多个邮件帐户，则接收方的IBE加载项需要确定邮件专用客户端接收或读取加密邮件时当前使用的邮件帐户是哪一个，而IBE加载项要确定用户使用邮件专用客户端接收或读取加密邮件时邮件专用客户端当前使用的邮件帐户是哪一个在技术实施上是比较麻烦的、比较复杂的，这就增加了该技术方案的实施难度。

发明内容

本发明的目的是提出一种邮件专用客户端配置的邮件帐户的带私钥的桥数字证书的自动生成和配置方法，以克服现有的基于桥数字证书和加载项的电子邮件IBE加密技术方案的不足。

为了实现上述目的，本发明所采用的技术方案是：

一种带私钥的桥数字证书的自动生成和配置方法，所述方法如下：