專(zhuān)利名稱(chēng):基于usbkey的安全郵件系統(tǒng)及郵件加密、解密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)通信安全技術(shù),尤其涉及一種基于USBKEY的安全郵件系統(tǒng)及 郵件加密、解密方法。
背景技術(shù):
隨著互聯(lián)網(wǎng)規(guī)模不斷發(fā)展壯大,電子郵件也隨之發(fā)展起來(lái)并且觸及到日常生活和 工作,但是互聯(lián)網(wǎng)的開(kāi)放性、廣泛性和匿名性,也給企業(yè)內(nèi)部和外部電子郵件帶來(lái)諸多的安 全隱患。隨之而來(lái)的安全問(wèn)題也越來(lái)越受重視,電子郵件在網(wǎng)絡(luò)中猶如明信片一樣在網(wǎng)上 飛來(lái)飛去,個(gè)人隱私和公司機(jī)密隨時(shí)存在被截獲和瀏覽的風(fēng)險(xiǎn)。常用的郵件傳輸協(xié)議,如簡(jiǎn)單郵件傳輸協(xié)議(SMTP, Simple Mai 1 Transfer Protocol)是一個(gè)相對(duì)簡(jiǎn)單的基于文本的協(xié)議。在其上指定一條消息的一個(gè)或多個(gè)接收者 (在大多數(shù)情況下被確認(rèn)是存在的),然后消息文本會(huì)被傳輸。再譬如郵局協(xié)議版本3 (P0P3,Protocol Of Post version 3),其具體工作過(guò)程 是將郵件發(fā)送到服務(wù)器上,電子郵件客戶端調(diào)用郵件客戶機(jī)程序以連接服務(wù)器,并下載所 有未閱讀的電子郵件。這種離線訪問(wèn)模式是一種存儲(chǔ)/轉(zhuǎn)發(fā)服務(wù),將郵件從郵件服務(wù)器端 傳送到客戶終端上(一般是PC或MAC)。一旦郵件發(fā)送到客戶終端,則郵件服務(wù)器上的郵件 將會(huì)被刪除。但目前的P0P3郵件服務(wù)器大都可以做到“只下載郵件,服務(wù)器端并不刪除”, 即改進(jìn)的P0P3協(xié)議。又如交互由P件訪問(wèn)協(xié)議(IMAP, Internet Message Access Protocol),是一個(gè)應(yīng) 用層協(xié)議,用來(lái)從本地郵件客戶端,例如Microsoft Outlook、Outlook Express、Foxmai 1, Mozilla Thunderbird等訪問(wèn)遠(yuǎn)程服務(wù)器,從而接收服務(wù)器上的郵件。所述的IMAP和P0P3 是郵件訪問(wèn)最為普遍的^ternet標(biāo)準(zhǔn)協(xié)議。二者都允許一個(gè)郵件客戶端訪問(wèn)郵件服務(wù)器 上存儲(chǔ)的信息。使用SMTP、P0P3、IMAP協(xié)議成功地解決了郵件的發(fā)送和接收問(wèn)題。這類(lèi)普通郵件 的郵件結(jié)構(gòu),通常包括郵件頭和郵件體兩部分;其中,郵件頭包括發(fā)送人、接收人、時(shí)間等相 關(guān)信息;郵件體包括郵件內(nèi)容、附件信息等。在郵件傳輸過(guò)程中(使用SMTP協(xié)議)隨時(shí)可能 被攔截并篡改郵件信息;當(dāng)郵件到達(dá)郵件服務(wù)器時(shí),郵件以文件的形式存放,郵件結(jié)構(gòu)(郵 件頭和郵件體)的信息也可能隨時(shí)遭受攻擊而被篡改,在接收郵件時(shí)(使用P0P3或IMAP 協(xié)議)也可能被篡改,而SMTP、P0P3、IMAP協(xié)議對(duì)于篡改,依靠其自身的機(jī)制是不能識(shí)別、也 無(wú)法防范的。目前廣泛采用的郵件安全措施,例如PGP (Pretty Good I^rivacy)是一個(gè)基于 RSA公匙加密體系的郵件加密軟件??梢杂盟鼘?duì)郵件保密以防止非授權(quán)者閱讀,還能通 過(guò)對(duì)郵件增加數(shù)字簽名從而使收信人可以確認(rèn)郵件的發(fā)送者,并能確信郵件沒(méi)有被篡改, 即提供一種安全的通訊方式,而事先并不需要任何保密的渠道用來(lái)傳遞密匙。這里,所述 RSA (Rivest-Shamir-Adleman)是一種基于大數(shù)不可能質(zhì)因數(shù)分解假設(shè)的公匙體系。簡(jiǎn)單地 說(shuō)就是找兩個(gè)很大的質(zhì)數(shù),一個(gè)公開(kāi)即公鑰,另一個(gè)不告訴任何人即私鑰。而這兩個(gè)密匙是互補(bǔ)的,就是說(shuō)用公匙加密的密文可以用私匙解密,反過(guò)來(lái)也一樣。但是,由于RSA公匙加密體系自身的特點(diǎn),運(yùn)算速度慢一直是其最大的缺點(diǎn),因此 只能適用于對(duì)少量數(shù)據(jù)進(jìn)行加密的場(chǎng)合,不適用于含有大量數(shù)據(jù)的郵件通信場(chǎng)合。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種基于USBKEY的安全郵件系統(tǒng)及郵件 加密、解密方法,通過(guò)驗(yàn)證USBKEY盤(pán)中的私鑰證書(shū)、對(duì)發(fā)送的郵件使用公鑰加密和對(duì)接收 的郵件使用私鑰解密,確保郵件內(nèi)容的安全性和真實(shí)性,以解決郵件系統(tǒng)的安全問(wèn)題。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種基于USBKEY的安全郵件系統(tǒng),該安全郵件系統(tǒng)主要包括第一郵件系統(tǒng)、郵件 加密系統(tǒng)、第一郵件服務(wù)器、第二郵件服務(wù)器、郵件解密系統(tǒng)和第二郵件系統(tǒng);其中,所述第一郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私 鑰證書(shū),并在發(fā)送郵件時(shí)通過(guò)調(diào)用所述郵件加密系統(tǒng)與第一郵件服務(wù)器進(jìn)行配合對(duì)郵件加 密;郵件加密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)以及USBKEY盤(pán),位于所述第一 郵件系統(tǒng)與第一郵件服務(wù)器之間,用于在發(fā)送郵件時(shí)使用第一郵件服務(wù)器中的公鑰安全證 書(shū)并配合USBKEY盤(pán)的私鑰安全證書(shū)對(duì)郵件內(nèi)容進(jìn)行加密;第一郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)和私鑰證書(shū), 提供私鑰證書(shū)下載和對(duì)待發(fā)送郵件進(jìn)行加密的功能以及轉(zhuǎn)發(fā)郵件的服務(wù);第二郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)和私鑰證書(shū), 提供私鑰證書(shū)下載和接收郵件服務(wù),以及對(duì)所接收的郵件進(jìn)行解密的功能;郵件解密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)以及USBKEY盤(pán),位于所述第二 郵件系統(tǒng)與第二郵件服務(wù)器之間,用于在接收郵件后配合插在第二郵件系統(tǒng)的USBKEY盤(pán) 中的私鑰安全證書(shū)并配合收件人的密鑰對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解密;第二郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私 鑰安全證書(shū)的安全性,并用于接收郵件時(shí)調(diào)用所述郵件解密系統(tǒng)對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解
Γ t [ O其中,所述郵件加密系統(tǒng)的COM組件,用于在第一郵件系統(tǒng)對(duì)郵件加密時(shí)調(diào)用 USBKEY盤(pán)中的私鑰證書(shū)以生成Hash值。所述郵件解密系統(tǒng)的COM組件,用于在第二郵件系統(tǒng)接收郵件后對(duì)郵件進(jìn)行解密 時(shí)返回解密Hash值。所述加密郵件包括郵件主體,該郵件主體中包含加密信息、簽名信息。一種基于USBKEY的安全郵件系統(tǒng)的郵件加密方法,該方法包括如下步驟A、用戶在第一郵件系統(tǒng)插入U(xiǎn)SBKEY盤(pán),進(jìn)入登錄界面,并輸入用戶名、密碼以及 USBKEY盤(pán)中的私鑰密碼;若通過(guò)驗(yàn)證則執(zhí)行步驟B,否則拒絕用戶登錄郵件系統(tǒng)并返回步 驟A;B、用戶編輯好郵件后,調(diào)用USBKEY盤(pán)中的私鑰證書(shū)和第一郵件服務(wù)器中的公鑰 證書(shū)對(duì)郵件進(jìn)行加密、簽名;C、然后發(fā)送所述加密郵件。
5
其中,步驟B所述的對(duì)郵件進(jìn)行加密、簽名的過(guò)程包括Bi、由用戶所在的第一郵件系統(tǒng)向第一郵件服務(wù)器發(fā)起請(qǐng)求,在所述服務(wù)器端生 成BASE64編碼,并返回至所述郵件系統(tǒng);B2、由用戶所在第一郵件系統(tǒng)發(fā)起加密請(qǐng)求至所述服務(wù)器,在所述服務(wù)器中逐一 驗(yàn)證收件人、抄送人或/和密送人的公鑰安全證書(shū),并通過(guò)瀏覽器COM組件調(diào)用USBKEY盤(pán) 中的私鑰生成Hash值,然后使用所述BASE64編碼獲得簽名值;B3、通過(guò)所述第一郵件系統(tǒng)發(fā)起signAndSendMail請(qǐng)求,服務(wù)器收到該請(qǐng)求后,將 所述Hash值加入所述郵件主體中對(duì)該郵件進(jìn)行簽名,結(jié)合所述簽名值完成對(duì)郵件的加密。一種基于USBKEY的安全郵件系統(tǒng)的郵件解密方法,該方法包括如下步驟a、用戶在第二郵件系統(tǒng)插入U(xiǎn)SBKEY盤(pán),進(jìn)入登錄界面,并輸入用戶名、密碼以及 USBKEY盤(pán)中的私鑰密碼;若通過(guò)驗(yàn)證則執(zhí)行步驟b,否則拒絕用戶登錄郵件系統(tǒng)并返回步 驟a;b、用戶從第二郵件服務(wù)器查閱、接收郵件,如果需要對(duì)所接收的郵件解密,則調(diào)用 所述USBKEY盤(pán)中的私鑰進(jìn)行解密、驗(yàn)簽;c、顯示所述接收郵件的內(nèi)容。其中,步驟b所述調(diào)用USBKEY盤(pán)中的私鑰對(duì)接收郵件進(jìn)行解密的具體為結(jié)合所述USBKEY盤(pán)中的私鑰對(duì)包含在所述接收郵件中的Hash值進(jìn)行驗(yàn)證,并通 過(guò)使用COM組件調(diào)用USBKEY盤(pán)中的私鑰,根據(jù)當(dāng)前用戶的Email地址生成解密私鑰,將所 述解密后的密鑰傳遞至第二郵件服務(wù)器端,然后使用所述解密私鑰對(duì)郵件內(nèi)容進(jìn)行解密。本發(fā)明所提供的基于USBKEY的安全郵件系統(tǒng)及郵件加密、解密方法,具有以下優(yōu)占.
^ \\\ ·在用戶登錄系統(tǒng)時(shí),除了驗(yàn)證用戶名和密碼外,還要驗(yàn)證USBKEY盤(pán)中私鑰證書(shū)的 安全性,從系統(tǒng)源頭保證安全性;在郵件發(fā)送時(shí),簽名此郵件,并使用收件人的公鑰加密郵 件,收件人在查閱郵件時(shí)使用自己的私鑰(存放于USBKEY盤(pán)中)解密郵件,并驗(yàn)簽,因私鑰 只有一份,存放于USBKEY盤(pán)中,擁有私鑰才能解密郵件,確保了郵件在發(fā)送過(guò)程、接收過(guò)程 中不能被篡改,使得郵件的收發(fā)雙方不可否認(rèn),從而解決郵件系統(tǒng)的安全問(wèn)題。
圖1為現(xiàn)有電子郵件系統(tǒng)的收、發(fā)郵件原理示意圖;圖2為本發(fā)明基于USBKEY的安全郵件系統(tǒng)原理示意圖;圖3為本發(fā)明基于USBKEY的安全郵件系統(tǒng)加密并發(fā)送郵件、解密并接收郵件原理 圖;圖4為本發(fā)明的安全證書(shū)分配方案示意圖。
具體實(shí)施例方式下面結(jié)合附圖及本發(fā)明的實(shí)施例對(duì)本發(fā)明的方法作進(jìn)一步詳細(xì)的說(shuō)明。本發(fā)明的基本思想是將安全措施與郵件系統(tǒng)緊密結(jié)合,在用戶登錄郵件系統(tǒng)時(shí), 除了驗(yàn)證用戶名和密碼之外,還需要驗(yàn)證USBKEY盤(pán)中私鑰的安全性;在發(fā)郵件時(shí),使用私 鑰和公鑰對(duì)郵件進(jìn)行加密、簽名;在收郵件時(shí)使用USBKEY盤(pán)中的私鑰對(duì)郵件進(jìn)行解密、驗(yàn)簽;以防止郵件在發(fā)送、接收過(guò)程中被查閱、篡改,充分保證郵件的安全性和真實(shí)性。圖1為現(xiàn)有電子郵件系統(tǒng)的收、發(fā)郵件原理示意圖,如圖1所示,郵件從第一郵件 系統(tǒng)發(fā)送到第一郵件服務(wù)器,再?gòu)牡谝秽]件服務(wù)器轉(zhuǎn)發(fā)到第二郵件服務(wù)器,再由第二郵件 系統(tǒng)從所述第二郵件服務(wù)器中收取該郵件。反之,從第二郵件系統(tǒng)發(fā)送郵件給第一郵件系 統(tǒng)的過(guò)程,也相似。其在郵件的收、發(fā)過(guò)程中,均沒(méi)有采取任何安全防范措施,因而無(wú)法保證 郵件的安全。圖2為本發(fā)明基于USBKEY的安全郵件系統(tǒng)原理示意圖,如圖2所示,該安全郵件 系統(tǒng)包括第一郵件系統(tǒng)、郵件加密系統(tǒng)、第一郵件服務(wù)器、第二郵件服務(wù)器、郵件解密系統(tǒng) 和第二郵件系統(tǒng);其中,第一郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私 鑰證書(shū),并在發(fā)送郵件時(shí)通過(guò)調(diào)用所述郵件加密系統(tǒng)與第一郵件服務(wù)器進(jìn)行配合對(duì)郵件加
Γ t [ O郵件加密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)(可簡(jiǎn)稱(chēng)私鑰)以及USBKEY 盤(pán),位于所述第一郵件系統(tǒng)與第一郵件服務(wù)器之間,用于在發(fā)送郵件時(shí)使用第一郵件服務(wù) 器中的公鑰安全證書(shū)并配合USBKEY盤(pán)的私鑰安全證書(shū)對(duì)郵件內(nèi)容進(jìn)行加密。第一郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)(可簡(jiǎn)稱(chēng)公 鑰)和私鑰證書(shū),提供私鑰證書(shū)下載和對(duì)待發(fā)送郵件進(jìn)行加密的功能以及轉(zhuǎn)發(fā)郵件的服 務(wù)。第二郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)和私鑰證書(shū), 提供私鑰證書(shū)下載和接收郵件服務(wù),以及對(duì)所接收的郵件進(jìn)行解密的功能。郵件解密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)以及USBKEY盤(pán),位于所述第二 郵件系統(tǒng)與第二郵件服務(wù)器之間,用于在接收郵件后配合插在第二郵件系統(tǒng)的USBKEY盤(pán) 中的私鑰安全證書(shū)對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解密。第二郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私 鑰安全證書(shū)的安全性,并用于接收郵件時(shí)調(diào)用所述郵件解密系統(tǒng)對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解
Γ t [ O 這里,所述的USBKEY盤(pán),類(lèi)似于U盤(pán),用于存儲(chǔ)用戶從第一或第二郵件服務(wù)器下載 的私鑰安全證書(shū)。而用戶的基本信息、安全證書(shū)信息、安全證書(shū)(包括公鑰、私鑰安全證書(shū)) 等均存放于第一、第二郵件服務(wù)器中。所述的瀏覽器COM組件,位于第一或第二郵件系統(tǒng)和USBKEY盤(pán)之間,調(diào)用COM組 件是對(duì)郵件進(jìn)行加密、解密不可缺少的一步。COM組件,用于在第一郵件系統(tǒng)對(duì)郵件加密時(shí) 調(diào)用USBKEY盤(pán)中的私鑰證書(shū)以生成Hash值,并用于在第二郵件系統(tǒng)接收郵件后對(duì)郵件進(jìn) 行解密時(shí)返回解密Hash值。所述公鑰安全證書(shū),用于郵件加密、簽名和發(fā)送郵件時(shí)調(diào)用。所述私鑰安全證書(shū),用于郵件解密、驗(yàn)簽和接收郵件時(shí)調(diào)用。所述加密信息、簽名信息,包含在經(jīng)過(guò)加密處理后的郵件主體中。這里,所述第一、第二郵件系統(tǒng)僅僅是在實(shí)施例中的作用有差別,實(shí)際中的作用并 沒(méi)有差別,二者都可以發(fā)送、接收郵件。同樣,郵件加密系統(tǒng)和郵件解密系統(tǒng),二者也兼具加 密和解密功能,在此不再贅述。
可見(jiàn),使用該安全郵件系統(tǒng),在郵件的發(fā)送過(guò)程中,通過(guò)對(duì)郵件的加密、簽名保證 郵件始終處于原始安全狀態(tài);在查閱郵件時(shí),通過(guò)對(duì)郵件的解密、驗(yàn)簽來(lái)判斷郵件的真實(shí) 性。圖3為基于USBKEY的安全郵件系統(tǒng)加密并發(fā)送郵件、解密并接收郵件原理圖,如 圖3所示,該過(guò)程包括如下步驟步驟301、用戶在第一、第二郵件系統(tǒng)插入U(xiǎn)SBKEY盤(pán),進(jìn)入登錄界面,要求用戶輸 入用戶名、密碼以及USBKEY盤(pán)中的私鑰密碼。步驟302、驗(yàn)證所述私鑰密碼是否安全,若是,則執(zhí)行步驟303 ;否則,返回步驟 301,并拒絕用戶登錄郵件系統(tǒng)。這里,所述用戶輸入的私鑰密碼與USBKEY盤(pán)中預(yù)設(shè)的密碼一致,則認(rèn)為私鑰密碼 是安全的。在用戶登錄系統(tǒng)時(shí),需先驗(yàn)證USBKEY盤(pán)中的私鑰的安全性,若驗(yàn)證通過(guò),并且用 戶名和密碼驗(yàn)證通過(guò),才能登錄系統(tǒng),允許進(jìn)行業(yè)務(wù)邏輯操作;若私鑰證書(shū)和用戶名密碼其 中任意一項(xiàng)驗(yàn)證未通過(guò),則不能登錄系統(tǒng)。步驟303、通過(guò)驗(yàn)證,允許用戶登錄郵件系統(tǒng),并執(zhí)行步驟304或步驟309。步驟304、用戶編輯郵件,并準(zhǔn)備發(fā)送郵件,執(zhí)行步驟305。所述編輯郵件,是指在郵件編輯界面中,輸入接收人、抄送人或/和密送人的 Email地址,以及編輯待發(fā)送郵件的內(nèi)容正文等過(guò)程,與現(xiàn)在發(fā)送郵件前的編輯過(guò)程相同或 類(lèi)似,在此不再贅述。步驟305、判斷是否需要對(duì)待發(fā)送的郵件進(jìn)行加密、簽名,如果需要,則執(zhí)行步驟 306 ;否則,執(zhí)行步驟307。步驟306、調(diào)用USBKEY盤(pán)中的私鑰和服務(wù)器中的公鑰對(duì)所述郵件進(jìn)行加密、簽名, 然后執(zhí)行步驟307。這里,在發(fā)送郵件時(shí),必須使用私鑰和公鑰對(duì)郵件進(jìn)行加密,所述具體加密過(guò)程如 下步驟3061、用戶編輯郵件界面已選中‘簽名’和“加密”選項(xiàng),由用戶所在的第一郵 件系統(tǒng)向服務(wù)器發(fā)起請(qǐng)求,在所述服務(wù)器端生成BASE64編碼,并返回至所述郵件系統(tǒng)。步驟3062、由用戶所在第一郵件系統(tǒng)發(fā)起加密請(qǐng)求至所述服務(wù)器,由服務(wù)器逐一 驗(yàn)證收件人、抄送人或/和密送人的公鑰安全證書(shū)是否存在,若存在,則通過(guò)瀏覽器COM組 件調(diào)用USBKEY盤(pán)中的私鑰生成Hash值,然后使用所述BASE64編碼獲得簽名值,再執(zhí)行 步驟3063 ;若是所述收件人、抄送人、密送人之中有公鑰安全證書(shū)不存在的情況,則彈出提 示,用戶即可根據(jù)提示做相應(yīng)的處理。步驟3063、通過(guò)所述第一郵件系統(tǒng)發(fā)起signAndSendMail請(qǐng)求,服務(wù)器收到該請(qǐng) 求后,將所述Hash值加入所述郵件主體中對(duì)該郵件進(jìn)行簽名,結(jié)合所述簽名值完成對(duì)郵件 的加密。步驟307、發(fā)送所述郵件,并執(zhí)行步驟308。步驟308、提示郵件發(fā)送成功,并結(jié)束發(fā)送過(guò)程。步驟309、用戶從所述服務(wù)器查閱、接收郵件,并執(zhí)行步驟310。步驟310、判斷是否需要對(duì)所述郵件解密、驗(yàn)簽,如果郵件是加密的即需要解密,則 執(zhí)行步驟311,否則,針對(duì)普通的非加密郵件,則執(zhí)行步驟312。
步驟311、調(diào)用所述USBKEY盤(pán)中的私鑰進(jìn)行解密、驗(yàn)簽,然后執(zhí)行步驟312。這里,針對(duì)加密郵件,使用USBKEY盤(pán)中的私鑰對(duì)郵件進(jìn)行解密、驗(yàn)簽,如果沒(méi)有 USBKEY盤(pán)中的私鑰,那么將不能查閱郵件,這樣即保證了郵件在任何時(shí)間、任何地點(diǎn)都不能 被查閱、篡改。所述對(duì)郵件進(jìn)行解密、驗(yàn)簽的過(guò)程,具體為步驟3111、核實(shí)須對(duì)所接收的加密郵件進(jìn)行驗(yàn)簽和解密,然后執(zhí)行步驟3112。步驟3112、結(jié)合USBKEY盤(pán)中的私鑰對(duì)郵件中的所述Hash值進(jìn)行驗(yàn)證(即驗(yàn)簽), 并通過(guò)使用COM組件調(diào)用USBKEY盤(pán)中的私鑰根據(jù)當(dāng)前用戶的Email地址生成解密私鑰, 將所述解密后的密鑰傳遞至第二郵件服務(wù)器端,然后使用所述解密私鑰對(duì)郵件內(nèi)容進(jìn)行解
密 O這里,如果所述Hash值對(duì)應(yīng)不上,則驗(yàn)簽失敗,說(shuō)明此郵件并非發(fā)給該用戶的合 法郵件,此時(shí)不能顯示所接收的郵件內(nèi)容。步驟312、顯示所述接收郵件的內(nèi)容。 圖4為本發(fā)明的安全證書(shū)分配方案示意圖,如圖4所示,當(dāng)用戶輸入用戶的基本信 息,通過(guò)服務(wù)器端的證書(shū)生成器,生成該用戶的公鑰證書(shū)和私鑰證書(shū);其中公鑰證書(shū)存放于 服務(wù)器上,私鑰證書(shū)只有一份,用戶通過(guò)下載,保存在該用戶的USBKEY盤(pán)中即可。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種基于USBKEY的安全郵件系統(tǒng),其特征在于,該安全郵件系統(tǒng)主要包括第一郵件 系統(tǒng)、郵件加密系統(tǒng)、第一郵件服務(wù)器、第二郵件服務(wù)器、郵件解密系統(tǒng)和第二郵件系統(tǒng);其 中,所述第一郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私鑰證 書(shū),并在發(fā)送郵件時(shí)通過(guò)調(diào)用所述郵件加密系統(tǒng)與第一郵件服務(wù)器進(jìn)行配合對(duì)郵件加密;郵件加密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)以及USBKEY盤(pán),位于所述第一郵件 系統(tǒng)與第一郵件服務(wù)器之間,用于在發(fā)送郵件時(shí)使用第一郵件服務(wù)器中的公鑰安全證書(shū)并 配合USBKEY盤(pán)的私鑰安全證書(shū)對(duì)郵件內(nèi)容進(jìn)行加密;第一郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)和私鑰證書(shū),提供 私鑰證書(shū)下載和對(duì)待發(fā)送郵件進(jìn)行加密的功能以及轉(zhuǎn)發(fā)郵件的服務(wù);第二郵件服務(wù)器,用于儲(chǔ)存用戶基本信息、安全證書(shū)信息、公鑰證書(shū)和私鑰證書(shū),提供 私鑰證書(shū)下載和接收郵件服務(wù),以及對(duì)所接收的郵件進(jìn)行解密的功能;郵件解密系統(tǒng),包括瀏覽器COM組件,私鑰安全證書(shū)以及USBKEY盤(pán),位于所述第二郵件 系統(tǒng)與第二郵件服務(wù)器之間,用于在接收郵件后配合插在第二郵件系統(tǒng)的USBKEY盤(pán)中的 私鑰安全證書(shū)并配合收件人的密鑰對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解密;第二郵件系統(tǒng),用于用戶登錄以驗(yàn)證用戶名和密碼,以及驗(yàn)證USBKEY盤(pán)中用戶私鑰安 全證書(shū)的安全性,并用于接收郵件時(shí)調(diào)用所述郵件解密系統(tǒng)對(duì)郵件內(nèi)容進(jìn)行驗(yàn)簽和解密。
2.根據(jù)權(quán)利要求1所述的基于USBKEY的安全郵件系統(tǒng),其特征在于,所述郵件加密系 統(tǒng)的COM組件,用于在第一郵件系統(tǒng)對(duì)郵件加密時(shí)調(diào)用USBKEY盤(pán)中的私鑰證書(shū)以生成Hash 值。
3.根據(jù)權(quán)利要求1所述的基于USBKEY的安全郵件系統(tǒng),其特征在于,所述郵件解密系 統(tǒng)的COM組件,用于在第二郵件系統(tǒng)接收郵件后對(duì)郵件進(jìn)行解密時(shí)返回解密Hash值。
4.根據(jù)權(quán)利要求1所述的基于USBKEY的安全郵件系統(tǒng),其特征在于,所述加密郵件包 括郵件主體,該郵件主體中包含加密信息、簽名信息。
5.一種基于USBKEY的安全郵件系統(tǒng)的郵件加密方法,其特征在于,該方法包括如下步驟A、用戶在第一郵件系統(tǒng)插入U(xiǎn)SBKEY盤(pán),進(jìn)入登錄界面,并輸入用戶名、密碼以及 USBKEY盤(pán)中的私鑰密碼;若通過(guò)驗(yàn)證則執(zhí)行步驟B,否則拒絕用戶登錄郵件系統(tǒng)并返回步 驟A;B、用戶編輯好郵件后,調(diào)用USBKEY盤(pán)中的私鑰證書(shū)和第一郵件服務(wù)器中的公鑰證書(shū) 對(duì)郵件進(jìn)行加密、簽名;C、然后發(fā)送所述加密郵件。
6.根據(jù)權(quán)利要求5所述的USBKEY的安全郵件系統(tǒng)的郵件加密方法,其特征在于,步驟 B所述的對(duì)郵件進(jìn)行加密、簽名的過(guò)程包括Bi、由用戶所在的第一郵件系統(tǒng)向第一郵件服務(wù)器發(fā)起請(qǐng)求,在所述服務(wù)器端生成 BASE64編碼,并返回至所述郵件系統(tǒng);B2、由用戶所在第一郵件系統(tǒng)發(fā)起加密請(qǐng)求至所述服務(wù)器,在所述服務(wù)器中逐一驗(yàn)證 收件人、抄送人或/和密送人的公鑰安全證書(shū),并通過(guò)瀏覽器COM組件調(diào)用USBKEY盤(pán)中的 私鑰生成Hash值,然后使用所述BASE64編碼獲得簽名值;B3、通過(guò)所述第一郵件系統(tǒng)發(fā)起signAndSendMail請(qǐng)求,服務(wù)器收到該請(qǐng)求后,將所述 Hash值加入所述郵件主體中對(duì)該郵件進(jìn)行簽名,結(jié)合所述簽名值完成對(duì)郵件的加密。
7.一種基于USBKEY的安全郵件系統(tǒng)的郵件解密方法,其特征在于,該方法包括如下步驟a、用戶在第二郵件系統(tǒng)插入U(xiǎn)SBKEY盤(pán),進(jìn)入登錄界面,并輸入用戶名、密碼以及 USBKEY盤(pán)中的私鑰密碼;若通過(guò)驗(yàn)證則執(zhí)行步驟b,否則拒絕用戶登錄郵件系統(tǒng)并返回步 驟a;b、用戶從第二郵件服務(wù)器查閱、接收郵件,如果需要對(duì)所接收的郵件解密,則調(diào)用所述 USBKEY盤(pán)中的私鑰進(jìn)行解密、驗(yàn)簽;C、顯示所述接收郵件的內(nèi)容。
8.根據(jù)權(quán)利要求7所述的基于USBKEY的安全郵件系統(tǒng)的郵件解密方法,其特征在于, 步驟b所述調(diào)用USBKEY盤(pán)中的私鑰對(duì)接收郵件進(jìn)行解密的具體為結(jié)合所述USBKEY盤(pán)中的私鑰對(duì)包含在所述接收郵件中的Hash值進(jìn)行驗(yàn)證,并通過(guò)使 用COM組件調(diào)用USBKEY盤(pán)中的私鑰,根據(jù)當(dāng)前用戶的Email地址生成解密私鑰,將所述解 密后的密鑰傳遞至第二郵件服務(wù)器端,然后使用所述解密私鑰對(duì)郵件內(nèi)容進(jìn)行解密。
全文摘要
本發(fā)明公開(kāi)一種基于USBKEY的安全郵件系統(tǒng)及郵件加密、解密方法,該系統(tǒng)主要包括第一、第二郵件系統(tǒng),郵件加密、郵件解密系統(tǒng);當(dāng)用戶登錄該郵件系統(tǒng)時(shí),除要求輸入賬號(hào)密碼之外,還須插入U(xiǎn)SBKEY盤(pán)(包含私鑰證書(shū))并輸入證書(shū)密碼,如果輸入錯(cuò)誤,則拒絕登錄系統(tǒng)。在發(fā)送郵件時(shí),首先COM組件調(diào)用USBKEY盤(pán)中的私鑰生成Hash值,然后使用此Hash值對(duì)郵件進(jìn)行簽名,并調(diào)用收件人的公鑰進(jìn)行加密;在查閱郵件時(shí),獲得收件人的密鑰后,需要通過(guò)瀏覽器COM組件調(diào)用USBKEY盤(pán)中的私鑰對(duì)此密鑰進(jìn)行解密生成Hash值,再通過(guò)此Hash值對(duì)郵件進(jìn)行解密、驗(yàn)簽,使得郵件在傳送過(guò)程中更加安全,同時(shí)保證該郵件的真實(shí)性。
文檔編號(hào)H04L12/58GK102118381SQ201010287269
公開(kāi)日2011年7月6日 申請(qǐng)日期2010年9月20日 優(yōu)先權(quán)日2010年9月20日
發(fā)明者劉冬冬, 張歡, 郅帥杰 申請(qǐng)人:中科方德軟件有限公司