一種針對(duì)owa的電子郵件ibe加密系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種應(yīng)用偽RSA數(shù)字證書的OWA電子郵件IBE加密系統(tǒng)�����,所述系統(tǒng)包括OWA客戶端�����、偽RSA數(shù)字證書��、IBE密碼模塊��、偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)����、Exchange服務(wù)器、AD服務(wù)器��、IBE公鑰獲取代理以及IBE密鑰服務(wù)器���,其中IBE公鑰獲取代理是一個(gè)部署或插入到OWA客戶端和Exchange服務(wù)器之間的HTTP傳輸通道中的HTTP代理或插件����,所述HTTP代理或插件攔截OWA客戶端通過(guò)Exchange從AD服務(wù)器獲取加密郵件發(fā)送者和接收者加密數(shù)字證書公鑰的請(qǐng)求�,生成或返回郵件發(fā)送者和接收者的偽RSA數(shù)字證書或偽RSA公鑰,從而實(shí)現(xiàn)基于OWA的電子郵件IBE加密����,并減少、簡(jiǎn)化了偽RSA數(shù)字證書在OWA中應(yīng)用所涉及的手工操作����。
【專利說(shuō)明】—種針對(duì)OWA的電子郵件IBE加密系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】,特別是一種針對(duì)OWA (Outlook Web Access)的電子郵件IBE (Identity Based Encryption)加密系統(tǒng),該系統(tǒng)使得不支持IBE加密的OWA系統(tǒng)能在不做修改的情況下實(shí)現(xiàn)郵件IBE加密的郵件加密系統(tǒng)。
【背景技術(shù)】
[0002]目前的加密算法可分為兩大體系:對(duì)稱密鑰加密(Symmetric key Cryptography)和非對(duì)稱密鑰加密(Asymmetric Key Cryptography);相應(yīng)地,加密技術(shù)分為對(duì)稱密鑰加密技術(shù)和非對(duì)稱密鑰加密技術(shù)�。在對(duì)稱密鑰加密算法(技術(shù))中��,數(shù)據(jù)加密、解密使用同一個(gè)密鑰���;在非對(duì)稱密鑰加密算法(技術(shù))中�,數(shù)據(jù)加密���、解密使用兩個(gè)不同但相互關(guān)聯(lián)的密鑰(一對(duì)密鑰)����,其中一個(gè)可公開���,稱為公鑰(Public Key)���,可用于數(shù)據(jù)加密,另一不公開�����,稱為私鑰(Private Key)��,可用于數(shù)據(jù)解密���。非對(duì)稱密鑰加密算法中的這一對(duì)密鑰稱為公開密鑰對(duì)��,因此非對(duì)稱密鑰加密算法又稱為公開密鑰加密算法(Public Key Cryptography);非對(duì)稱密鑰加密算法中的私鑰必須由密鑰對(duì)的擁有者安全保管�。目前獲得廣泛應(yīng)用的公開密鑰加密算法包括以三個(gè)發(fā)明人,Rivest, Shamir和Adleman���,命名的RSA算法���,以及DSA(Digital Signature Algorithm)算法等;而 ECC (Elliptic Curve Cryptography)捕圓曲線加密算法也是最近幾年獲得重視并逐步獲得應(yīng)用的公開密鑰加密算法����。
[0003]對(duì)稱密鑰加密算法具有實(shí)現(xiàn)簡(jiǎn)單、運(yùn)算速度快的特點(diǎn)�����,但其也存在密鑰分發(fā)管理困難的缺點(diǎn)(數(shù)據(jù)加密方如何將對(duì)稱密鑰安全地傳遞給數(shù)據(jù)解密方)�;而公開密鑰加密算法具有密鑰分發(fā)容易(公鑰可公開發(fā)布)的優(yōu)點(diǎn),但其存在算法實(shí)現(xiàn)復(fù)雜��、運(yùn)算速度慢的缺點(diǎn)�。可以看到�,對(duì)稱密鑰加密算法和公開密鑰加密算法優(yōu)�����、缺點(diǎn)互補(bǔ)�����,故此,在實(shí)際應(yīng)用中通常將二者結(jié)合起來(lái)使用:使用隨機(jī)生成的對(duì)稱密鑰并應(yīng)用對(duì)稱密鑰加密算法對(duì)數(shù)據(jù)加密���,然后使用數(shù)據(jù)解密方的公鑰���、應(yīng)用公開密鑰加密算法對(duì)隨機(jī)產(chǎn)生的對(duì)稱密鑰加密,之后將加密的數(shù)據(jù)和對(duì)稱密鑰一起傳遞給數(shù)據(jù)解密方�����;數(shù)據(jù)解密方接收到加密后的數(shù)據(jù)和對(duì)稱密鑰后�,先用自己的私鑰解密加密的對(duì)稱密鑰,然后用解密后的對(duì)稱密鑰解密數(shù)據(jù)����。除了用于數(shù)據(jù)加密、解密外�����,公開密鑰加密算法通常還可以用于數(shù)據(jù)的數(shù)字簽名和簽名驗(yàn)證:私鑰擁有者使用私鑰對(duì)數(shù)據(jù)加密(簽名),數(shù)據(jù)接收者使用對(duì)應(yīng)的公鑰對(duì)數(shù)據(jù)解密(簽名驗(yàn)證)��。
[0004]在公開密鑰體系中一方要向另一方發(fā)送加密數(shù)據(jù)���,必須先獲得對(duì)方的公鑰�,因此�,公鑰的擁有者(即加密數(shù)據(jù)的接收者)需通過(guò)一定的安全途徑發(fā)布其公鑰(防止攻擊者假冒他人發(fā)布公鑰),以使得其他人(或?qū)嶓w)能夠使用其公鑰向其發(fā)送加密數(shù)據(jù)����。為了解決這一問(wèn)題,人們提出了公開密鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)安全技術(shù)體系�。在PKI體系中,由一個(gè)數(shù)字證書認(rèn)證中心(Certification Authority,CA)作為可信的第三方簽發(fā)數(shù)字證書(Digital Certificate)來(lái)進(jìn)行用戶(實(shí)體)公鑰的發(fā)布(如通過(guò)LDAP目錄服務(wù)��,Lightweight Directory Access Protocol)�。CA簽發(fā)的數(shù)字證書除了包含證書持有人的公鑰外,還包含有證書持有人的其他身份信息��,如姓名���、所屬組織��、電子郵件地址等��。證書由CA使用其私鑰數(shù)字簽名�,以保證證書中信息的可信性、安全性�����。數(shù)字證書根據(jù)其密鑰用途有時(shí)又可分為加密證書和身份證書��,前者用于數(shù)據(jù)的加密����、解密���,后者用于身份的鑒另Ij��、數(shù)字簽名及簽名驗(yàn)證�����。這樣�,在PKI體系中,一方要向另一方發(fā)送加密數(shù)據(jù)�����,發(fā)送者需先通過(guò)一定的途徑����,如從CA的公開證書目錄服務(wù)(LDAP),獲取接收者的(加密)數(shù)字證書����,然后從數(shù)字證書中提取接收者的公鑰。目前數(shù)字證書最常用的公開密鑰算法是RSA和DSA算法��,以及最新獲得廣泛重視的ECC算法����,其中,RSA����、ECC數(shù)字證書既可用于數(shù)據(jù)加密和解密,又可以用于數(shù)字簽名和簽名驗(yàn)����,而DSA數(shù)字證書只用于數(shù)字簽名和簽名驗(yàn)證。
[0005]基于PKI數(shù)據(jù)證書(特別是RSA數(shù)字證書)的數(shù)據(jù)加密目前獲得了應(yīng)用的廣泛支持,比如各類郵件專用客戶端Outlook, Outlook Express, Thunderbird, Foxmail等都支持基于數(shù)字證書(RSA數(shù)字證書)的電子郵件加密���、解密���;微軟的基于通用瀏覽器客戶端(以IE瀏覽器為主)的Outlook Web Access (OWA)郵件系統(tǒng)也支持基于數(shù)字證書(RSA數(shù)字證書)的郵件加密、解密�����。用于郵件加密的數(shù)字證書的主題名(主題名的格式是X500的甄別名�,Distinguished Name,DN)的電子郵箱字段(E字段)中有證書持有者的郵箱地址,在進(jìn)行郵件加密時(shí)����,郵件客戶端是通過(guò)數(shù)字證書的主題名的電子郵箱字段找到對(duì)應(yīng)的加密數(shù)據(jù)證書(比如從本地證書庫(kù)或密碼模塊的證書密鑰對(duì)象中)����。
[0006]在PKI體系中,要發(fā)送加密數(shù)據(jù)�����,必須事先獲取接收方的(加密)數(shù)字證書�,這對(duì)于許多普通用戶來(lái)說(shuō)不是一件容易的事,這也是PKI技術(shù)體系在實(shí)際應(yīng)用中存在的一個(gè)比較突出的問(wèn)題,為了解決這一問(wèn)題��,人們提出了基于身份標(biāo)識(shí)的加密(Identity BasedEncryption, IBE)����。IBE也是一種公開密鑰加密技術(shù)。使用IBE進(jìn)行傳送數(shù)據(jù)加密時(shí)�����,發(fā)送者無(wú)需事先獲得接收者的數(shù)字證書�����,只需事先知道唯一標(biāo)識(shí)對(duì)方身份的一個(gè)標(biāo)識(shí)(如身份證號(hào)�����、電子郵件地址等)�����,然后基于這個(gè)身份識(shí)別結(jié)合一組公開參數(shù)就可以進(jìn)行數(shù)據(jù)加密(類似地�����,通常是先用隨機(jī)產(chǎn)生的對(duì)稱密鑰加密數(shù)據(jù),然后用IBE公鑰加密隨機(jī)產(chǎn)生的對(duì)稱密鑰)��。這里��,身份標(biāo)識(shí)和一組公開參數(shù)就構(gòu)成了 IBE公鑰(但在實(shí)際應(yīng)用中人人常常把身份標(biāo)識(shí)簡(jiǎn)稱為公鑰)����。接收者收到加密的數(shù)據(jù)后,使用自己身份標(biāo)識(shí)對(duì)應(yīng)的私鑰即可解密數(shù)據(jù)(嚴(yán)格說(shuō)來(lái)���,私鑰也是由一組公開參數(shù)和通過(guò)身份標(biāo)識(shí)計(jì)算得到私密信息構(gòu)成)���。接收者身份標(biāo)識(shí)對(duì)應(yīng)的私鑰是由一個(gè)IBE密鑰服務(wù)器(也稱為私鑰生成器,Private Key Generator,PKG)產(chǎn)生的。接收者要獲得自己身份標(biāo)識(shí)對(duì)應(yīng)的IBE私鑰�,需先在IBE密鑰服務(wù)器完成身份鑒別并證明其是相應(yīng)身份標(biāo)識(shí)的擁有者(身份鑒別可以通過(guò)身份數(shù)字證書來(lái)實(shí)現(xiàn),或其它強(qiáng)身份鑒別方式實(shí)現(xiàn))���,之后通過(guò)安全通道從IBE密鑰服務(wù)器獲得其IBE私鑰,并將私鑰安全保存以供日后使用����。IBE密鑰服務(wù)器會(huì)通過(guò)安全方式發(fā)布一組公開參數(shù),以便任何人用其計(jì)算某個(gè)標(biāo)識(shí)對(duì)應(yīng)的IBE公鑰(進(jìn)行數(shù)據(jù)加密)���。
[0007]I BE加密有其獨(dú)特的優(yōu)點(diǎn)�����,它為數(shù)據(jù)傳送加密帶來(lái)了方便��,但I(xiàn) BE技術(shù)在實(shí)際應(yīng)用中也存在一個(gè)突出的問(wèn)題:這就是目前的各類應(yīng)用軟件(如Outlook)幾乎都不支持IBE加密技術(shù)�����。為了解密IBE加密的應(yīng)用問(wèn)題��,本發(fā)明專利的 申請(qǐng)人:在其專利“一種基于偽RSA密鑰的新近公開密鑰加密算法的應(yīng)用實(shí)現(xiàn)方法”(專利申請(qǐng)?zhí)?201110248050.8)中提出了基于偽RSA密鑰和偽RSA數(shù)字證書的IBE數(shù)據(jù)加密方案���,確切地說(shuō)����,當(dāng)發(fā)明專利201110248050.8中提到的新近公開密鑰加密算法是IBE加密算法時(shí)����,則所對(duì)應(yīng)的實(shí)施是基于偽RSA密鑰和偽RSA數(shù)字證書的IBE數(shù)據(jù)加密方案。
[0008]當(dāng)發(fā)明專利201110248050.8中的技術(shù)方案用于IBE密碼算法的實(shí)施時(shí)��,則所述偽RSA密鑰(包括公鑰和私鑰)的密鑰數(shù)據(jù)具有RSA密鑰的數(shù)據(jù)結(jié)構(gòu)�,但實(shí)際存放的卻是IBE加密算法的密鑰數(shù)據(jù)(公鑰或私鑰);而所述偽RSA數(shù)字證書是基于X509的標(biāo)準(zhǔn)格式的數(shù)字證書��,該數(shù)字證書上的證書擁有者的RSA公鑰不是真正的RSA公鑰��,而是偽RSA公鑰�����;該數(shù)字證書對(duì)應(yīng)的證書擁有者的RSA私鑰不是真正的RSA私鑰��,而是偽RSA私鑰���。
[0009]有了對(duì)應(yīng)于IBE密鑰的偽RSA密鑰和偽RSA數(shù)字證書,還需要同時(shí)開發(fā)實(shí)施一個(gè)實(shí)現(xiàn)了支持RSA加密算法功能調(diào)用的標(biāo)準(zhǔn)密碼模塊接口的密碼模塊�����,它將使用偽RSA密鑰的密碼運(yùn)算����,如數(shù)據(jù)加密、解密���,轉(zhuǎn)化為使用對(duì)應(yīng)的IBE密鑰的對(duì)應(yīng)密碼運(yùn)算(如使用偽RSA公鑰的數(shù)據(jù)加密轉(zhuǎn)化為使用對(duì)應(yīng)的IBE公鑰的數(shù)據(jù)加密等)�����。該密碼模塊在此稱為IBE密碼模塊。所述支持RSA加密算法功能調(diào)用的標(biāo)準(zhǔn)密碼模塊接口包括Windows CSP(Cryptographic Services Provider)���、PKCS#ll 等,對(duì)應(yīng)的 IBE密碼模塊分別稱為 IBE CSP>IBE PKCS#11 等����。
[0010]有了偽RSA數(shù)字證書及相應(yīng)的IBE密碼模塊�,任何支持RSA數(shù)字證書進(jìn)行數(shù)據(jù)加密、解密的應(yīng)用都可以使用IBE進(jìn)行數(shù)據(jù)加密��、解密:加密應(yīng)用通過(guò)IBE密碼模塊的標(biāo)準(zhǔn)RSA接口使用(偽)數(shù)字證書進(jìn)行針對(duì)(偽)RSA密鑰(公鑰或私鑰)和加密算法的密碼運(yùn)算(力口密���、解密)���,而IBE密碼模塊將有關(guān)運(yùn)算轉(zhuǎn)化為針對(duì)相應(yīng)IBE密鑰(公鑰或私鑰)的密碼運(yùn)算。
[0011]基于偽RSA數(shù)字證書的IBE數(shù)據(jù)加密的具體應(yīng)用過(guò)程如下:
[0012](I)若加密數(shù)據(jù)發(fā)送方使用某個(gè)應(yīng)用(如Outlook)進(jìn)行數(shù)據(jù)加密時(shí)��,應(yīng)用系統(tǒng)提示數(shù)據(jù)接收方的數(shù)字證書�����,則加密數(shù)據(jù)發(fā)送方可使用本地的證書簽發(fā)工具或系統(tǒng)在本地生成接收方的不帶私鑰的偽RSA數(shù)字證書���,并將證書加載���、配置到數(shù)據(jù)加密應(yīng)用程序或系統(tǒng)中���;
[0013](2)若加密數(shù)據(jù)接收方在使用某個(gè)應(yīng)用對(duì)接收的加密數(shù)據(jù)進(jìn)行解密時(shí),應(yīng)用系統(tǒng)提示無(wú)對(duì)應(yīng)的數(shù)字證書及私鑰��,則加密數(shù)據(jù)接收方可使用證書簽發(fā)工具或系統(tǒng)在本地生成自己的帶私鑰的偽RSA數(shù)字證書�,且偽RSA數(shù)字證書所對(duì)應(yīng)的IBE私鑰保存在相應(yīng)的IBE密碼模塊(該IBE密碼模塊是加密應(yīng)用所使用的提供標(biāo)準(zhǔn)RSA密碼接口調(diào)用的密碼模塊)����。
[0014]這里,加密數(shù)據(jù)發(fā)送方和加密數(shù)據(jù)接收方各自獨(dú)立地使用(各自獨(dú)立的)證書簽發(fā)工具或系統(tǒng)在本地生成的偽RSA數(shù)字證書無(wú)需由同一個(gè)CA系統(tǒng)的同一個(gè)CA私鑰(簽發(fā)證書的私鑰)簽發(fā)����,可以由不同證書簽發(fā)工具或系統(tǒng)使用不同的CA私鑰簽發(fā)�����,只要他們各自獨(dú)立生成的偽RSA數(shù)字證書的簽發(fā)者���、主題名和序列號(hào)相同即可(實(shí)際上��,主題名不同也無(wú)影響)。
[0015]采用偽RSA數(shù)字證書的IBE數(shù)據(jù)加密方案雖然也使用了數(shù)字證書��,但這種數(shù)字證書方案與通常的數(shù)字證書方案有著本質(zhì)的不同����,這主要體現(xiàn)這如下幾點(diǎn):
[0016]I)偽RSA數(shù)字證書無(wú)需由一個(gè)專門運(yùn)行的公共CA系統(tǒng)簽發(fā)�����,而是由加密數(shù)據(jù)發(fā)送方����、接收方在需要的時(shí)候各自獨(dú)立地在本地使用一個(gè)證書簽發(fā)工具或系統(tǒng)簽發(fā)���;
[0017]2 )加密數(shù)據(jù)發(fā)送方����、接收方各自在本地生成的偽RSA數(shù)字證書除了需要有相同的簽發(fā)者名��、主題名和序列號(hào)外��,可以是兩個(gè)不同的RSA數(shù)字證書(實(shí)際上�,主題名都可以不同,只要簽發(fā)者名和序列號(hào)相同即可)�;
[0018]3)加密數(shù)據(jù)發(fā)送方無(wú)需從其他地方,如CA的LDAP系統(tǒng)獲得加密數(shù)據(jù)接收方的偽RSA數(shù)字證書�,加密數(shù)據(jù)發(fā)送方甚至可以在接收方獲得IBE私鑰前生成不帶私鑰的偽RSA數(shù)字證書;
[0019]4)偽RSA數(shù)字證書是否由可信CA簽發(fā)不重要����,因?yàn)樗鼈儍H是IBE加密的中介和橋梁,數(shù)據(jù)加密的安全性由IBE數(shù)據(jù)加密體系保證���,而不是由偽RSA數(shù)字證書保證����。[0020]借助于所述偽RSA數(shù)字證書以及對(duì)應(yīng)的IBE密碼模塊(如IBE CSP,IBE PKCS#11),目前大部分的支持RSA數(shù)字證書加密�、解密的應(yīng)用(如Outlook、Thunderbird)都能夠使用IBE進(jìn)行數(shù)據(jù)的加密和解密�����。但是�,前面所述的使用偽RSA數(shù)字證書(或偽RSA密鑰)進(jìn)行IBE數(shù)據(jù)加密、解密的方案仍然有一定的局限性����,這就是加密數(shù)據(jù)發(fā)送方在加密前需要使用相應(yīng)的偽RSA證書簽發(fā)工具或系統(tǒng)生成加密數(shù)據(jù)接收方的不帶私鑰的偽RSA數(shù)字證書,并將所生成的偽RSA數(shù)字證書配置到應(yīng)用程序或系統(tǒng)中(如Outlook的收件人地址簿中)����。針對(duì)郵件專用客戶使用IBE算法進(jìn)行郵件加密的問(wèn)題�,本發(fā)明專利的 申請(qǐng)人:在其專利申請(qǐng)“一種電子郵件IBE加密實(shí)現(xiàn)方法”(專利申請(qǐng)?zhí)?201310013656.2)中提出了基于郵件專用客戶端加載項(xiàng)和橋加密數(shù)字證書的電子郵件IBE加密方案。所述電子郵件IBE加密方案中的橋加密數(shù)字證書或者是前面所述偽RSA數(shù)字證書或者是本發(fā)明專利 申請(qǐng)人:在其專利“一種基于媒介數(shù)字證書的IBE數(shù)據(jù)加密系統(tǒng)”(專利號(hào):201110189108.6)中采用的媒介數(shù)字證書或(采用二種之一����,本發(fā)明只使用偽RSA數(shù)字證書,所以對(duì)媒介數(shù)字證書不作介紹)���。所述郵件客戶端的加載項(xiàng)在需要的時(shí)候��,即當(dāng)郵件發(fā)送者要發(fā)送加密郵件���,而在發(fā)送者的郵件客戶端的地址簿中對(duì)應(yīng)的郵件接收者沒(méi)有配置有相應(yīng)的加密證書時(shí),自動(dòng)生成相應(yīng)的橋加密數(shù)字證書(如偽RSA數(shù)字證書)并將它配置到地址簿中對(duì)應(yīng)的郵件接收者的地址簿信息中�;或者當(dāng)郵件接收者接收到經(jīng)IBE加密的郵件,而接收者沒(méi)有對(duì)應(yīng)的用于數(shù)據(jù)解密的橋加密證書(偽RSA數(shù)字證書)及其私鑰時(shí)�����,自動(dòng)提示接收者生成對(duì)應(yīng)的帶私鑰的橋加密證書(偽RSA數(shù)字證書)。
[0021]這種基于加載項(xiàng)和橋加密數(shù)字證書(如偽RSA數(shù)字證書)的IBE電子郵件加密方案針對(duì)的是Outlook之類專用郵件客戶端,不適合于OWA (Outlook Web Access)這種使用瀏覽器作為郵件客戶端的Web郵件系統(tǒng)��。
[0022]OffA (現(xiàn)在又稱為Outlook Web Application)是微軟為其Exchange郵件服務(wù)系統(tǒng)開發(fā)的一種Web郵件服務(wù)���,它的客戶端由普通瀏覽器加上相應(yīng)的頁(yè)面代碼���、控件構(gòu)成,因此����,通過(guò)OWA用戶可使用普通瀏覽器訪問(wèn)自己在Exchange的郵箱,收、發(fā)郵件���;0WA客戶端通過(guò)特別的Web頁(yè)面技術(shù)�,為用戶提供了類似于Outlook郵件客戶端的操作界面�����。相對(duì)于Outlook郵件專用客戶端����,使用通用瀏覽器作為客戶端的OWA具有無(wú)需安裝配置�����、操作方便的特點(diǎn)����,比如用戶可在任何一臺(tái)電腦通過(guò)瀏覽器訪問(wèn)自己的郵箱�。OWA通過(guò)控件也支持使用數(shù)字證書(RSA數(shù)字證書)進(jìn)行郵件加密、解密���。與Outlook發(fā)送加密郵件時(shí)從郵件發(fā)送者本人配置信息從查找發(fā)送者的加密數(shù)字證書和從本地收件人地址簿中查找郵件接收者的加密數(shù)字證書不同,OWA客戶端通過(guò)OWA服務(wù)器在Active Directory (AD)服務(wù)器中查找發(fā)件者和收件者的加密數(shù)字證書(實(shí)際上獲取的是發(fā)件者和收件者的加密數(shù)字證書的公鑰�、證書簽發(fā)者名和證書序列號(hào))。當(dāng)然��,OffA不支持使用IBE進(jìn)行郵件加密�����。
[0023]如果要將偽RSA密鑰和偽RSA數(shù)字證書用于OWA電子郵件的IBE加密���,加密郵件的發(fā)送者和接收者需要進(jìn)行如下操作:
[0024]I)使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)為自己生成�、簽發(fā)一張與自己電子郵箱地址相對(duì)應(yīng)的帶私鑰的偽RSA數(shù)字證書���;
[0025]2)通過(guò)Exchange將生成����、簽發(fā)的加密用途的偽RSA數(shù)字證書配置到本人AD帳戶的用戶證書屬性(UserCertificate)中。
[0026]通過(guò)這種方式實(shí)現(xiàn)OWA電子郵件的IBE加密存在如下問(wèn)題:[0027]I)需要人工操作�,較麻煩;
[0028]2)郵件發(fā)送者只有在郵件接收者完成偽RSA加密數(shù)字證書配置才能給接收者發(fā)送加密郵件(而對(duì)于IBE而言�,應(yīng)該是發(fā)送者任何時(shí)候都可以向接收者發(fā)送加密郵件,無(wú)論接收者是否已生成了帶私鑰的偽RSA數(shù)字證書以及是否將其配置到本人的AD帳戶中)����;
[0029]3)只能給AD域中的用戶發(fā)送加密郵件。
【發(fā)明內(nèi)容】
[0030]本發(fā)明的目的是針對(duì)偽RSA密鑰和偽RSA數(shù)字證書技術(shù)在OWA電子郵件IBE加密應(yīng)用中存在的需要手工配置AD帳戶中的偽RSA加密數(shù)字證書����、在接收者完成配置前不能發(fā)送加密郵件以及只能在AD域用戶之間發(fā)送加密郵件的易用性和可用性問(wèn)題,提出一種針對(duì)OWA的電子郵件IBE加密系統(tǒng)�。
[0031]為了實(shí)現(xiàn)上述目的,本發(fā)明所采用的技術(shù)方案是:
[0032]一種針對(duì)OWA的電子郵件IBE加密系統(tǒng)��,所述系統(tǒng)包括如下實(shí)體或數(shù)據(jù):
[0033]OffA客戶端:由瀏覽器加上相應(yīng)的頁(yè)面代碼��、控件而形成的微軟Exchange郵件服務(wù)器的客戶端���,所述OWA客戶端調(diào)用具有標(biāo)準(zhǔn)RSA密碼接口(如Windows CSP或PKCS#11)的IBE密碼模塊并通過(guò)使用偽RSA數(shù)字證書對(duì)電子郵件進(jìn)行加密和解密�����;
[0034]偽RSA數(shù)字證書:一種X509格式的具有加密用途��、密鑰算法標(biāo)識(shí)為RSA的數(shù)字證書����,所述偽RSA數(shù)字證書的RSA公鑰和私鑰不是真正的RSA公鑰和私鑰,而是偽RSA公鑰和私鑰����;
[0035]IBE密碼模塊:具有標(biāo)準(zhǔn)RSA密碼接口(如Windows CSP或PKCS#11)、借助偽RSA密鑰實(shí)現(xiàn)IBE數(shù)據(jù)加密和解密的密碼模塊����;所述IBE密碼模塊將偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)針對(duì)RSA密鑰(包括公鑰或私鑰或密鑰對(duì))的密鑰操作�����,包括密鑰生成��、刪除�����、導(dǎo)入、導(dǎo)出�����,轉(zhuǎn)化成針對(duì)對(duì)應(yīng)的IBE密鑰(公鑰或私鑰或密鑰對(duì))的密鑰操作�����;所述IBE密碼模塊將OffA客戶端使用偽RSA數(shù)字證書的RSA公鑰或私鑰(即偽RSA公鑰或私鑰)所進(jìn)行的數(shù)據(jù)加密或解密的密碼運(yùn)算轉(zhuǎn)化為使用對(duì)應(yīng)的IBE公鑰或私鑰進(jìn)行相應(yīng)的數(shù)據(jù)加密或解密的密碼運(yùn)算��;
[0036]偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng):加密郵件發(fā)送者和接收者用于生成本人帶私鑰的偽RSA數(shù)字證書的客戶端工具或系統(tǒng)�����;所述工具或系統(tǒng)在生成加密郵件發(fā)送者或接收者帶私鑰的偽RSA數(shù)字證書時(shí)���,從IBE密鑰服務(wù)器獲取與加密郵件發(fā)送者或接收者電子郵箱地址對(duì)應(yīng)的IBE私鑰�����;
[0037]Exchange服務(wù)器:微軟的企業(yè)郵件服務(wù)器�,除支持使用專用郵件客戶端外(如Outlook),還同時(shí)通過(guò)OWA提供基于通用瀏覽器的郵件服務(wù)�����;所述Exchange從AD (ActiveDirectory)服務(wù)器的加密郵件發(fā)送者的帳戶信息中的聯(lián)系人信息中獲取加密郵件接收者的用于電子郵件加密的數(shù)字證書;
[0038]AD (Active Directory)服務(wù)器:微軟計(jì)算機(jī)系統(tǒng)安全架構(gòu)中的域(domain)服務(wù)系統(tǒng)���,為域內(nèi)的每個(gè)用戶創(chuàng)建有帳戶����,稱為AD帳戶����,AD帳戶的用戶證書屬性(UserCertificate)保存AD帳戶用戶本人用于電子郵件加密的數(shù)字證書;
[0039]IBE公鑰獲取代理:部署或插入到OWA客戶端和Exchange服務(wù)器之間的HTTP(HyperText Transfer Protocol)傳輸通道中的HTTP代理或插件,在電子郵件發(fā)送者使用OffA客戶端發(fā)送加密郵件時(shí)����,攔截OWA客戶端提交的獲取郵件發(fā)送者和接收者加密數(shù)字證書公鑰的HTTP請(qǐng)求,生成或返回OWA客戶端加密所需的郵件發(fā)送者和接收者的偽RSA數(shù)字證書或偽RSA公鑰����;
[0040]IBE密鑰服務(wù)器:生成IBE私鑰的IBE密鑰服務(wù)系統(tǒng),在加密郵件發(fā)送者或接收者使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成本人帶私鑰的偽RSA數(shù)字證書的過(guò)程中���,負(fù)責(zé)生成加密郵件發(fā)送者或接收者本人電子郵箱地址對(duì)應(yīng)的IBE私鑰。
[0041 ] 所述IBE公鑰獲取代理攔截OWA客戶端提交到Exchange服務(wù)器的所有HTTP請(qǐng)求��,并檢查請(qǐng)求是否是要求從AD服務(wù)器獲取郵件發(fā)送者和接收者的加密數(shù)字證書的公鑰�,若不是��,則讓該請(qǐng)求通過(guò)���,不對(duì)請(qǐng)求作進(jìn)一步的處理;否則����,按如下兩種方式之一進(jìn)行處理:
[0042]方式一:生成郵件發(fā)送者和每個(gè)接收者的偽RSA數(shù)字證書的偽RSA公鑰、證書簽發(fā)者名���、證書序列號(hào)(不必生成偽RSA數(shù)字證書本身)����,并將它們作為響應(yīng)數(shù)據(jù)返回到OWA客戶端(B卩由IBE公鑰獲取代理直接返回HTTP響應(yīng)數(shù)據(jù)�����,Exchange服務(wù)器不再對(duì)該HTTP請(qǐng)求作進(jìn)一步的處理)����;
[0043]方式二:
[0044]針對(duì)郵件發(fā)送者按如下步驟處理:
[0045]步驟A:訪問(wèn)Exchange所使用的AD服務(wù)器,在郵件發(fā)送者的AD帳戶的用戶證書屬性(UserCertificate)中查看是否有郵件發(fā)送者的加密用途的偽RSA數(shù)字證書,若有��,則完成針對(duì)郵件發(fā)送者的加密數(shù)字證書公鑰獲取請(qǐng)求的處理;否則����,轉(zhuǎn)入步驟B ;
[0046]步驟B:生成一個(gè)證書主題名的電子郵箱字段(E字段)對(duì)應(yīng)于郵件發(fā)送者的電子郵箱地址但不帶私鑰的加密用途的偽RSA數(shù)字證書,并將生成的偽RSA數(shù)字證書放置到AD服務(wù)器中郵件發(fā)送者的AD帳戶的用戶證書屬性中��,完成對(duì)郵件發(fā)送者加密數(shù)字證書公鑰獲取請(qǐng)求的處理�����;
[0047]針對(duì)每個(gè)郵件接收者按如下步驟處理:
[0048]步驟1:訪問(wèn)Exchange所使用的AD服務(wù)器����,在郵件接收者的AD帳戶的用戶證書屬性(UserCertificate)中查看是否有郵件接收者的加密用途的偽RSA數(shù)字證書,若有����,則完成針對(duì)當(dāng)前正在處理的郵件接收者的加密數(shù)字證書公鑰的獲取請(qǐng)求的處理(然后針對(duì)下一個(gè)郵件接收者,重新開始步驟1����,直到所用郵件接收者處理完畢);否則����,則轉(zhuǎn)入下一步驟;
[0049]步驟2:生成一個(gè)證書主題名的電子郵箱字段(E字段)對(duì)應(yīng)于郵件接收者的電子郵箱地址但不帶私鑰的加密用途的偽RSA數(shù)字證書����,并將生成的偽RSA數(shù)字證書放置到AD服務(wù)器中郵件發(fā)送者的AD帳戶中的用戶證書屬性中;
[0050]完成所述針對(duì)郵件發(fā)送者和接收者加密數(shù)字證書公鑰獲取請(qǐng)求的處理后讓HTTP請(qǐng)求通過(guò)���;
[0051]在所述方式二的步驟A和步驟I中IBE公鑰獲取代理通過(guò)請(qǐng)求中的郵件發(fā)送者和接收者的AD帳戶名或電子郵箱地址找到郵件發(fā)送者和接收者在AD服務(wù)器中的AD帳戶����;
[0052]所述方式二中的操作處理��,或者由IBE公鑰獲取代理直接完成����,或者由IBE公鑰獲取代理通過(guò)一個(gè)偽RSA數(shù)字證書處理獨(dú)立進(jìn)程完成。
[0053]所述IBE公鑰獲取代理通過(guò)所述方式一生成的郵件發(fā)送者和接收者的偽RSA數(shù)字證書的偽RSA公鑰��、證書簽發(fā)者名以及證書序列號(hào)��,或通過(guò)所述方式二生成的不帶私鑰的偽RSA數(shù)字證書的偽RSA公鑰��、證書簽發(fā)者名以及證書序列號(hào)���,同加密郵件發(fā)送者和接收者本人使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成的本人帶私鑰的偽RSA數(shù)字證書的偽RSA公鑰����、證書簽發(fā)者名、序列號(hào)相同���。
[0054]加密郵件的發(fā)送者或者在使用OWA客戶端發(fā)送加密郵件前在還未生成本人帶私鑰的偽RSA數(shù)字證書的情況下��,或者在閱讀已發(fā)送的加密郵件時(shí)被OWA客戶端提示沒(méi)有郵件發(fā)送者用于數(shù)據(jù)解密的公鑰的情況下��,使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成一張證書主題名的電子郵箱字段(E字段)對(duì)應(yīng)于郵件發(fā)送者本人的郵箱地址的帶有私鑰的偽RSA數(shù)字證書�����。
[0055]加密郵件發(fā)送者按通常使用OWA的郵件加密功能的方式點(diǎn)擊OWA客戶端的郵件加密按鈕�����,發(fā)送加密郵件���;所述通常使用OWA的郵件加密功能的方式指未使用所述針對(duì)OWA的電子郵件IBE加密系統(tǒng)時(shí)的方式。
[0056]加密郵件的接收者或者在接收加密郵件前在還未生成本人帶私鑰的偽RSA數(shù)字證書的情況下����,或者在使用OWA客戶端閱讀加密郵件而OWA客戶端提示無(wú)法打開加密郵件的情況下,使用偽RSA數(shù)字證書簽發(fā)工具在本地生成一張證書主題名的電子郵箱字段(E字段)對(duì)應(yīng)于郵件接收者本人的郵箱地址的帶私鑰的偽RSA數(shù)字證書�。
[0057]所述IBE密碼模塊是OWA客戶端使用的具有標(biāo)準(zhǔn)RSA密碼接口的密碼模塊���,當(dāng)OWA客戶端使用的密碼模塊是Windows CSP時(shí),所述密碼模塊為IBE CSP��,當(dāng)OWA客戶端使用的密碼模塊是PKCS#11時(shí)�����,所述密碼模塊為IBE PKCS#11�。
[0058]基于以上IBE郵件加密方案����,OffA客戶端按通常使用RSA數(shù)字證書的方式使用偽RSA數(shù)字證書的公鑰或私鑰(實(shí)為偽RSA公鑰或私鑰)進(jìn)行郵件的加密或解密,而IBE CSP將針對(duì)偽RSA數(shù)字證書的公鑰或私鑰的數(shù)據(jù)加密或解密運(yùn)算,轉(zhuǎn)化為針對(duì)對(duì)應(yīng)的IBE公鑰或私鑰的數(shù)據(jù)加密或解密運(yùn)算����;而IBE公鑰獲取代理確保郵件發(fā)送者的OWA客戶端獲得郵件接收者的偽RSA數(shù)字證書(甚至在接收者生成自己的偽RSA數(shù)字證書前)對(duì)應(yīng)的偽RSA公鑰、證書簽發(fā)者名�����、證書序列號(hào)�����,整個(gè)過(guò)程無(wú)需任何人工干預(yù)。
[0059]通過(guò)本發(fā)明所提出的技術(shù)方案�,使用OWA的電子郵件用戶能在無(wú)需手工配置AD帳戶中的偽RSA加密數(shù)字證書的情況下,通過(guò)OWA客戶端發(fā)送��、接收IBE加密的電子郵件�;若實(shí)施的IBE公鑰獲取代理按所述方式一生成、返回郵件發(fā)送者和每個(gè)接收者的偽RSA數(shù)字證書的偽RSA公鑰�����、證書簽發(fā)者名����、證書序列號(hào),則還可以實(shí)現(xiàn)在非AD域用戶之間發(fā)送IBE加密電子郵件�;進(jìn)一步地,實(shí)施本發(fā)明所生成的加密電子郵件格式(格式為S/MIME)與實(shí)施發(fā)明專利申請(qǐng)201310013656.2的郵件客戶端(如Outlook)所生成的加密電子郵件格式相同:這意味著實(shí)施本發(fā)明加密的電子郵件使用發(fā)明專利申請(qǐng)201310013656.2中所述的郵件客戶端可以打開���,反之也然�����。
[0060]本發(fā)明很好地解決了在OWA中應(yīng)用偽RSA密鑰和偽RSA數(shù)字證書進(jìn)行電子郵件IBE加密的易用性���、可用性和互操作性問(wèn)題���。
【專利附圖】
【附圖說(shuō)明】
[0061]圖1為本發(fā)明的系統(tǒng)結(jié)構(gòu)框圖。
【具體實(shí)施方式】
[0062]下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述���。[0063]采用本發(fā)明的系統(tǒng)結(jié)構(gòu)框圖如圖1所示����。
[0064]本發(fā)明中的所述偽RSA數(shù)字證書的具體實(shí)現(xiàn)即是本發(fā)明專利申請(qǐng)的 申請(qǐng)人:在其專利申請(qǐng)“一種基于偽RSA密鑰的新近公開密鑰加密算法的應(yīng)用實(shí)現(xiàn)方法”(專利申請(qǐng)?zhí)?201110248050.8)中所述的偽RSA數(shù)字證書針對(duì)IBE加密算法的實(shí)現(xiàn)���。本發(fā)明中的所述偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)的功能及其實(shí)現(xiàn)即為201110248050.8中的偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)針對(duì)IBE加密算法的功能和實(shí)現(xiàn);本發(fā)明中的所述IBE密碼模塊的功能及其實(shí)現(xiàn)即為201110248050.8中的密碼模塊針對(duì)IBE加密算法的功能及實(shí)現(xiàn)��;本發(fā)明中的IBE密鑰服務(wù)器即201110248050.8中的IBE密鑰服務(wù)器��。以上所述偽RSA數(shù)字證書�、偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)、密碼模塊��、及IBE密鑰服務(wù)系統(tǒng)實(shí)體針對(duì)IBE加密算法的具體實(shí)施參見(jiàn)201110248050.8中的相應(yīng)內(nèi)容���。
[0065]IBE公鑰獲取代理的具體實(shí)施取決于采用的實(shí)施方案是用HTTP代理還是HTTP插件:
[0066]1�、IBE公鑰獲取代理的HTTP代理實(shí)施方案
[0067]若IBE公鑰獲取代理的具體實(shí)施是一個(gè)HTTP代理��,則可以選擇一個(gè)已有的HTTP反向代理服務(wù)器或系統(tǒng),比如Apache HTTP Server�,然后在其基礎(chǔ)上實(shí)現(xiàn):或者直接修改其代碼,或者利用其擴(kuò)展機(jī)制(如修改Apache的源代碼����,或利用Apache的Hook和過(guò)濾器擴(kuò)展機(jī)制),攔截HTTP請(qǐng)求,并根據(jù)HTTP請(qǐng)求的內(nèi)容按
【發(fā)明內(nèi)容】
中描述的方式進(jìn)行相應(yīng)處理����。進(jìn)一步地,涉及數(shù)字證書公鑰獲取部分的實(shí)施描述如下��。
[0068]A�����、按數(shù)字證書公鑰獲取的方式一實(shí)施
[0069]若HTTP代理(IBE公鑰獲取代理)采用所述數(shù)字證書公鑰獲取方式一處理OWA客戶端獲取郵件發(fā)送者和接收者證書公鑰的請(qǐng)求�����,則HTTP代理(IBE公鑰獲取代理)按專利申請(qǐng)201110248050.8中的偽RSA公鑰數(shù)字證書的偽RSA公鑰��、證書簽發(fā)者名�����、證書序列號(hào)的生成方式生成郵件發(fā)送者和接收者的偽RSA數(shù)字證書的相應(yīng)偽RSA公鑰、證書簽發(fā)者名��、證書序列號(hào)�,并按Exchange返回證書公鑰數(shù)據(jù)的格式直接返回產(chǎn)生的偽RSA公鑰、證書簽發(fā)者名�、證書序列號(hào)數(shù)據(jù)(Exchange不再對(duì)進(jìn)行請(qǐng)求的處理)。
[0070]B�、按數(shù)字證書公鑰獲取的方式二實(shí)施
[0071]若HTTP代理(IBE公鑰獲取代理)采用所述數(shù)字證書公鑰獲取方式二處理OWA客戶端獲取郵件發(fā)送者和接收者證書公鑰的請(qǐng)求,則實(shí)施方案如下���。
[0072]HTTP代理(IBE公鑰獲取代理)中生成郵件發(fā)送者和接收者的不帶IBE私鑰的偽RSA數(shù)字證書的代碼��,可以使用201110248050.8中偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)中的加密數(shù)據(jù)發(fā)送者生成加密數(shù)據(jù)接收者的不帶IBE私鑰的偽RSA數(shù)字證書的那部分代碼(這時(shí),把郵件發(fā)送者也當(dāng)作加密數(shù)據(jù)接收者)����,且所使用的代碼將通過(guò)人機(jī)界面輸入加密數(shù)據(jù)接收者的身份標(biāo)識(shí)的代碼部分改為通過(guò)接口函數(shù)調(diào)用由HTTP代理輸入郵件發(fā)送者和接收者的郵箱地址(即身份標(biāo)識(shí));這時(shí)����,偽RSA數(shù)字證書生成可采用OpenSSL。
[0073]IBE公鑰獲取代理(HTTP代理)訪問(wèn)AD服務(wù)器�����,查詢和放置郵件發(fā)送者和接收者的加密用途的偽RSA數(shù)字證書的功能,可通過(guò)開發(fā)一個(gè)運(yùn)行在AD服務(wù)器所在主機(jī)上的程序(偽RSA數(shù)字證書處理獨(dú)立進(jìn)程)實(shí)現(xiàn)����,即HTTP代理委托所述AD服務(wù)器上運(yùn)行的偽RSA數(shù)字證書處理獨(dú)立進(jìn)程從AD服務(wù)器查詢發(fā)送者和接收者的偽RSA數(shù)字證書,或者將生成的偽RSA數(shù)字證書加入到AD中郵件發(fā)送者AD帳戶的電子郵件服務(wù)信息中的相應(yīng)加密數(shù)字證書存放位置��。偽RSA數(shù)字證書處理獨(dú)立進(jìn)程通過(guò)LDAP或ADSI訪問(wèn)AD服務(wù)器�����。HTTP代理同偽RSA數(shù)字證書處理獨(dú)立進(jìn)程間的通信可采用TCP�,并通過(guò)相應(yīng)的消息鑒別機(jī)制(如HMAC或數(shù)字簽名)保證HTTP代理同偽RSA數(shù)字證書處理獨(dú)立進(jìn)程間信息交互的安全性(防假冒、篡改)�。另外,也可以將生成郵件發(fā)送者和接收者的偽RSA數(shù)字證書的功能也交由獨(dú)立進(jìn)程完成�����。關(guān)于AD���、ADSI更多的信息可訪問(wèn)微軟開發(fā)網(wǎng)MSDN (msdn.microsoft.com)�����。
[0074]2�、IBE公鑰獲取代理的HTTP插件實(shí)施方案
[0075]若IBE公鑰獲取代理的具體實(shí)施是一個(gè)HTTP插件,那么它是部署在Exchange服務(wù)器所在的IIS (Internet Information Server)服務(wù)器的一個(gè)HTTP插件,該插件或者是基于 ISAPI (Internet Server Application Programming Interface)開發(fā)的 WildcardApplication Mapping 擴(kuò)展(ISAPI Extension);或者是一個(gè)基于 IIS 的 Native Code API或Managed Code API開發(fā)的HTTP過(guò)濾器(僅適用于IIS7以上版本的HS)��。該HTTP插件攔截HTTP請(qǐng)求��,并根據(jù)HTTP請(qǐng)求的內(nèi)容按
【發(fā)明內(nèi)容】
中描述的方式進(jìn)行相應(yīng)處理�。進(jìn)一步地,涉及數(shù)字證書公鑰獲取部分的實(shí)施描述如下���。
[0076]A��、按數(shù)字證書公鑰獲取的方式一實(shí)施
[0077]在HTTP插件實(shí)施方式下�,若HTTP插件(IBE公鑰獲取代理)采用所述數(shù)字證書公鑰獲取方式一處理OWA客戶端獲取郵件發(fā)送者和接收者數(shù)字證書公鑰的請(qǐng)求�,則該HTTP插件(IBE公鑰獲取代理)按專利申請(qǐng)201110248050.8中的偽RSA公鑰數(shù)字證書的偽RSA公鑰、證書簽發(fā)者名���、證書序列號(hào)的生成方式生成郵件發(fā)送者和接收者的偽RSA數(shù)字證書的相應(yīng)偽RSA公鑰、證書簽發(fā)者名�����、證書序列號(hào)�,并按Exchange返回證書公鑰數(shù)據(jù)的格式直接返回產(chǎn)生的偽RSA公鑰、證書簽發(fā)者名、證書序列號(hào)數(shù)據(jù)(Exchange不再對(duì)該HTTP請(qǐng)求進(jìn)行處理)�。
[0078]B、按數(shù)字證書公鑰獲取的方式二實(shí)施
[0079]若HTTP插件(IBE公鑰獲取代理)采用所述數(shù)字證書公鑰獲取方式二處理OWA客戶端獲取郵件發(fā)送者和接收者數(shù)字證書公鑰的請(qǐng)求�,則類似地,HTTP插件中生成郵件發(fā)送者和接收者的不帶有IBE私鑰的偽RSA數(shù)字證書的代碼����,可以使用專利申請(qǐng)201110248050.8中偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)中的加密數(shù)據(jù)發(fā)送者生成加密數(shù)據(jù)接收者的不帶有IBE私鑰的偽RSA數(shù)字證書的那部分代碼(這時(shí),把郵件發(fā)送者也當(dāng)作加密數(shù)據(jù)接收者)�����,所使用的代碼將通過(guò)人機(jī)界面輸入加密數(shù)據(jù)接收者的身份標(biāo)識(shí)的代碼部分改為通過(guò)接口函數(shù)調(diào)用由HTTP插件輸入郵件發(fā)送者和接收者的郵箱地址(身份標(biāo)識(shí))�;這時(shí),偽RSA數(shù)字證書生成可采用OpenSSL或CryptoAPI�����。HTTP插件可以通過(guò)ADSI直接連接�����、訪問(wèn)AD服務(wù)器���,或者同HTTP代理中的實(shí)施數(shù)字證書公鑰獲取方式二一樣通過(guò)一個(gè)運(yùn)行在AD所在主機(jī)上的程序(偽RSA數(shù)字證書處理獨(dú)立進(jìn)程)訪問(wèn)AD服務(wù)器�。
[0080]除了以上所述模塊,在本發(fā)明的具體實(shí)施中���,還需要開發(fā)相應(yīng)的安裝程序�����,將偽RSA數(shù)字證書簽發(fā)工具��、IBE密碼模塊安裝在用戶計(jì)算設(shè)備上并進(jìn)行相關(guān)的設(shè)置����。若OWA客戶端使用的密碼模塊是Windows CSP,則IBE密碼模塊是IBE CSP,且需要將其設(shè)置為OWA客戶端使用的缺省的RSA CSP����。
[0081]對(duì)于技術(shù)實(shí)現(xiàn)的其他方面,對(duì)于相關(guān)領(lǐng)域的技術(shù)開發(fā)者而言是不言自明的����。
【權(quán)利要求】
1.一種針對(duì)OWA的電子郵件IBE加密系統(tǒng),所述系統(tǒng)包括如下實(shí)體或數(shù)據(jù): OWA客戶端:由瀏覽器加上相應(yīng)的頁(yè)面代碼以及控件而形成的微軟Exchange郵件服務(wù)器的客戶端��,所述OWA客戶端調(diào)用具有標(biāo)準(zhǔn)RSA密碼接口的IBE密碼模塊并通過(guò)使用偽RSA數(shù)字證書對(duì)電子郵件進(jìn)行加密和解密���; 偽RSA數(shù)字證書:一種X509格式的具有加密用途����、密鑰算法標(biāo)識(shí)為RSA的數(shù)字證書����,所述偽RSA數(shù)字證書的RSA公鑰和私鑰不是真正的RSA公鑰和私鑰,而是偽RSA公鑰和私鑰�����; IBE密碼模塊:具有標(biāo)準(zhǔn)RSA密碼接口�、借助偽RSA密鑰實(shí)現(xiàn)IBE數(shù)據(jù)加密和解密的密碼模塊;所述IBE密碼模塊將偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)針對(duì)RSA密鑰的密鑰操作����,所述操作包括密鑰生成、刪除����、導(dǎo)入、導(dǎo)出���,轉(zhuǎn)化成針對(duì)對(duì)應(yīng)的IBE密鑰的密鑰操作�;所述IBE密碼模塊將OWA客戶端使用偽RSA數(shù)字證書的RSA公鑰或私鑰所進(jìn)行的數(shù)據(jù)加密或解密的密碼運(yùn)算轉(zhuǎn)化為使用對(duì)應(yīng)的IBE公鑰或私鑰進(jìn)行相應(yīng)的數(shù)據(jù)加密或解密的密碼運(yùn)算�; 偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng):加密郵件發(fā)送者和接收者用于生成本人帶私鑰的偽RSA數(shù)字證書的客戶端工具或系統(tǒng)���;所述工具或系統(tǒng)在生成加密郵件發(fā)送者或接收者帶私鑰的偽RSA數(shù)字證書時(shí),從IBE密鑰服務(wù)器獲取與加密郵件發(fā)送者或接收者電子郵箱地址對(duì)應(yīng)的IBE私鑰��; Exchange服務(wù)器:微軟 的企業(yè)郵件服務(wù)器��,除支持使用專用郵件客戶端外����,還同時(shí)通過(guò)OWA提供基于通用瀏覽器的郵件服務(wù);所述Exchange從AD服務(wù)器的加密郵件發(fā)送者的帳戶信息中的聯(lián)系人信息中獲取加密郵件接收者的用于電子郵件加密的數(shù)字證書����; AD服務(wù)器:微軟計(jì)算機(jī)系統(tǒng)安全架構(gòu)中的域服務(wù)系統(tǒng),為域內(nèi)的每個(gè)用戶創(chuàng)建有帳戶�����,稱為AD帳戶�,AD帳戶的用戶證書屬性保存AD帳戶用戶本人用于電子郵件加密的數(shù)字證書; IBE公鑰獲取代理:部署或插入到OWA客戶端和Exchange服務(wù)器之間的HTTP傳輸通道中的HTTP代理或插件��,在電子郵件發(fā)送者使用OWA客戶端發(fā)送加密郵件時(shí)���,攔截OWA客戶端提交的獲取郵件發(fā)送者和接收者加密數(shù)字證書公鑰的HTTP請(qǐng)求�,生成或返回OWA客戶端加密所需的郵件發(fā)送者和接收者的偽RSA數(shù)字證書或偽RSA公鑰�����; IBE密鑰服務(wù)器:生成IBE私鑰的IBE密鑰服務(wù)系統(tǒng)��,在加密郵件發(fā)送者或接收者使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成本人帶私鑰的偽RSA數(shù)字證書的過(guò)程中�,負(fù)責(zé)生成加密郵件發(fā)送者或接收者本人電子郵箱地址對(duì)應(yīng)的IBE私鑰。
2.根據(jù)權(quán)利要求1所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)����,其特征是:所述IBE公鑰獲取代理按如下方式攔截OWA客戶端提交的獲取郵件發(fā)送者和接收者加密數(shù)字證書公鑰的HTTP請(qǐng)求,返回OWA客戶端加密所需的郵件發(fā)送者和接收者的偽RSA公鑰: 攔截OWA客戶端提交到Exchange服務(wù)器的所有HTTP請(qǐng)求�,并檢查請(qǐng)求是否是要求從AD服務(wù)器獲取郵件發(fā)送者和接收者的加密數(shù)字證書的公鑰,若不是����,則讓該請(qǐng)求通過(guò),不對(duì)請(qǐng)求作進(jìn)一步的處理��;否則�,生成郵件發(fā)送者和每個(gè)接收者的偽RSA數(shù)字證書的偽RSA公鑰、證書簽發(fā)者名以及證書序列號(hào)��,并將所述偽RSA公鑰��、證書簽發(fā)者名以及證書序列號(hào)作為OWA客戶端加密所需的郵件發(fā)送者和接收者的加密數(shù)字證書的公鑰、證書簽發(fā)者名以及證書序列號(hào)以HTTP響應(yīng)的方式直接返回到OWA客戶端��,完成對(duì)請(qǐng)求的處理�����。
3.根據(jù)權(quán)利要求1所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)���,其特征是:所述IBE公鑰獲取代理按如下方式攔截OWA客戶端提交的獲取郵件發(fā)送者和接收者加密數(shù)字證書公鑰的HTTP請(qǐng)求�����,生成郵件發(fā)送者和接收者的偽RSA數(shù)字證書: 攔截OWA客戶端提交到Exchange服務(wù)器的所有HTTP請(qǐng)求�����,并檢查請(qǐng)求是否是要求從AD服務(wù)器獲取郵件發(fā)送者和接收者的加密數(shù)字證書的公鑰����,若不是����,則讓該請(qǐng)求通過(guò),不對(duì)請(qǐng)求作進(jìn)一步的處理;否則�,分別針對(duì)郵件發(fā)送者和接收者按如下方式進(jìn)行處理: 針對(duì)郵件發(fā)送者按如下步驟處理: 步驟A:訪問(wèn)Exchange所使用的AD服務(wù)器,在郵件發(fā)送者的AD帳戶的用戶證書屬性中查看是否有郵件發(fā)送者的加密用途的偽RSA數(shù)字證書����,若有,則完成針對(duì)郵件發(fā)送者的加密數(shù)字證書公鑰獲取請(qǐng)求的處理�;否則��,轉(zhuǎn)入步驟B ����; 步驟B:生成一個(gè)證書主題名的電子郵箱字段對(duì)應(yīng)于郵件發(fā)送者的電子郵箱地址但不帶私鑰的加密用途的偽RSA數(shù)字證書,并將生成的偽RSA數(shù)字證書放置到AD服務(wù)器中郵件發(fā)送者的AD帳戶的用戶證書屬性中����,完成對(duì)郵件發(fā)送者加密數(shù)字證書公鑰獲取請(qǐng)求的處理; 針對(duì)每個(gè)郵件接收者按如下步驟處理: 步驟1:訪問(wèn)Exchange所使用的AD服務(wù)器,在郵件接收者的AD帳戶的用戶證書屬性中查看是否有郵件接收者的加密用途的偽RSA數(shù)字證書��,若有�����,則完成針對(duì)當(dāng)前正在處理的郵件接收者的加密數(shù)字證書公鑰的獲取請(qǐng)求的處理�;否則,則轉(zhuǎn)入下一步驟; 步驟2:生成一個(gè)證書主 題名的電子郵箱字段對(duì)應(yīng)于郵件接收者的電子郵箱地址但不帶私鑰的加密用途的偽RSA數(shù)字證書��,并將生成的偽RSA數(shù)字證書放置到AD服務(wù)器中郵件發(fā)送者的AD帳戶中的用戶證書屬性中����; 完成所述針對(duì)郵件發(fā)送者和接收者加密數(shù)字證書公鑰獲取請(qǐng)求的處理后讓HTTP請(qǐng)求通過(guò),完成對(duì)請(qǐng)求的處理��; 在所述步驟A和步驟I中IBE公鑰獲取代理通過(guò)請(qǐng)求中的郵件發(fā)送者和接收者的AD帳戶名或電子郵箱地址找到郵件發(fā)送者和接收者在AD服務(wù)器中的AD帳戶��; 所述步驟A和步驟B以及步驟I和步驟2的操作處理由IBE公鑰獲取代理直接完成���,或者由IBE公鑰獲取代理通過(guò)一個(gè)偽RSA數(shù)字證書處理獨(dú)立進(jìn)程完成�。
4.根據(jù)權(quán)利要求2或3所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)����,其特征是: 所述IBE公鑰獲取代理生成的郵件發(fā)送者和接收者的偽RSA數(shù)字證書的偽RSA公鑰、證書簽發(fā)者名以及證書序列號(hào)或不帶私鑰的偽RSA數(shù)字證書的偽RSA公鑰�、證書簽發(fā)者名以及序列號(hào),同加密郵件發(fā)送者和接收者本人使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成的本人帶私鑰的偽RSA數(shù)字證書的偽RSA公鑰���、證書簽發(fā)者名以及序列號(hào)相同��。
5.根據(jù)權(quán)利要求1所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)����,其特征是: 加密郵件的發(fā)送者或者在使用OWA客戶端發(fā)送加密郵件前在還未生成本人帶私鑰的偽RSA數(shù)字證書的情況下,或者在閱讀已發(fā)送的加密郵件時(shí)被OWA客戶端提示沒(méi)有郵件發(fā)送者用于數(shù)據(jù)解密的公鑰的情況下����,使用偽RSA數(shù)字證書簽發(fā)工具或系統(tǒng)生成一張證書主題名的電子郵箱字段對(duì)應(yīng)于郵件發(fā)送者本人的郵箱地址的帶有私鑰的偽RSA數(shù)字證書。
6.根據(jù)權(quán)利要求1所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)��,其特征是: 加密郵件發(fā)送者按通常使用OWA的郵件加密功能的方式點(diǎn)擊OWA客戶端的郵件加密按鈕��,發(fā)送加密郵件����;所述通常使用OWA的郵件加密功能的方式指未使用所述針對(duì)OWA的電子郵件IBE加密系統(tǒng)時(shí)的方式���。
7.根據(jù)權(quán)利要求1所述的針對(duì)OWA的電子郵件IBE加密系統(tǒng)����,其特征是: 加密郵件的接收者或者在接收加密郵件前在還未生成本人帶私鑰的偽RSA數(shù)字證書的情況下�,或者在使用OWA客戶端閱讀加密郵件而OWA客戶端提示無(wú)法打開加密郵件的情況下,使用偽RSA數(shù)字證書簽發(fā)工具在本地生成一張證書主題名的電子郵箱字段對(duì)應(yīng)于郵件接收者本人的郵箱地址的`帶私鑰的偽RSA數(shù)字證書���。
【文檔編號(hào)】H04L9/08GK103532704SQ201310460884
【公開日】2014年1月22日 申請(qǐng)日期:2013年10月8日 優(yōu)先權(quán)日:2013年10月8日
【發(fā)明者】龍毅宏, 黃強(qiáng) 申請(qǐng)人:武漢理工大學(xué)