一种基于IBE身份认证技术的邮件系统

技术领域

本发明涉及信息安全认证技术领域，尤其涉及一种基于IBE身份认证技术的邮件系统。

背景技术

目前，社会互联网通信的方式非常丰富，大多都采用类似于腾讯公司旗下的QQ、微信等等即时通讯软件，这些软件较为简洁、方便，比较适合关系相对比较近或者说有一定社会关系的人群进行交流。但是正是因为这类软件简洁的特点，文字编辑字数较少，附件发送保存时间较少而且大小有一定的限制，不太适合一些比较正式的通知性消息，比如某公司向我们发出的录用通知、某高校发出的录取通知等官方邮件，这是就能够体现电子邮件的重要。

然而，目前市面上的一些主流邮件系统绝大多数没有加密功能或者说加密功能的实用性较差，无法满足用户对于信息安全性的需求。造成近年来发生许多基于邮件安全性的威胁事件。

IBE技术是一种将用户公开的字符串信息(如用户ID、邮箱地址等)用作公钥的非对称密钥加密方式，它使得任意一对通信双方能够进行安全通信，并且在验证每一个人的签名是不用事先交换私钥和公钥，同时也省去保存密钥目录和第三方管理的开销。

因此，有必要提供一种基于IBE身份认证技术的邮件系统解决上述技术问题。

发明内容

本发明提供一种基于IBE身份认证技术的邮件系统，解决了邮件系统存在的身份劫持、欺诈以及部分安全邮件系统的效率低的问题。

为解决上述技术问题，本发明提供的基于IBE身份认证技术的邮件系统包括如下步骤：

S1用户A向密钥生成中心查询用户B是否登记注册，如果没有注册邮件正文自动填写填写邀请信息；

S2用户A使用IBE技术根据用户B的邮件地址，将AES密钥加密，然后利用AES密钥对邮件内容进行加密，将密文发送给邮件服务器；

S3用户B从邮件服务器中接收邮件信息；

S4用户B借助私钥解密AES密钥，最后用AES密钥解密被加密的信息。

优选的，所述步骤S1中密钥生成中心根据用户的身份信息生成私钥。

优选的，所述密钥生成中心主要分成密钥管理和用户管理两个模块。

优选的，所述密钥管理包括生成系统参数功能、生成主密钥功能及生成私钥功能；所述用户管理包括用户的注册、认证以及用户信息修订的功能。

优选的，所述步骤S2中用户的邮箱地址应符合现如今邮箱标准格式，并且不限制于某一个具体邮件服务提供商。

优选的，所述步骤S2中用户在发送邮件之前需要和用户B事先约定好双方的AES加密密钥k，随后用户A根据AES256算法利用密钥k将发送的邮件内容加密，生成密文。

优选的，所述步骤S3中邮件服务器包括当前大多邮件服务提供商的服务器，该安全邮件系统通过调用相关的接口实现不同服务器的兼容。

优选的，所述步骤S4中用户的私钥需要独立保存，并且有一定的生存期，如果超过生存期，用户的私钥失效，需要重新向密钥生成中心申请。

优选的，包括：密钥生成中心和邮件用户端，所述密钥生成中心由密钥管理模块、用户管理模块和邮件用户端组成，所述邮件用户端由信息的加密模块和邮件收发功能模块组成。

优选的，所述信息的加解密能够细化为申请私钥功能、信息加密功能以及信息解密功能。

与相关技术相比较，本发明提供的基于IBE身份认证技术的邮件系统具有如下有益效果：

本发明提供一种基于IBE身份认证技术的邮件系统，基于IBE身份认证技术的安全邮件系统可以降低用户和企业的身份认证以及系统运维成本，不需要在线存储大量用户的公私钥，即通过接收用户的身份信息自动生成，可以防止出现假冒邮箱地址、以及用户身份劫持问题。

附图说明

图1为本发明一种基于IBE身份认证技术的安全邮件系统的步骤流程图；

图2为本发明一种基于IBE身份认证技术的安全邮件系统的系统架构图；

图3为本发明具体实施例中基于IBE身份认证技术的安全邮件系统的过程示意图；

图4为本发明提供的基于IBE身份认证技术的安全邮件系统的服务器的安装结构示意图；

图5为图4所示的整体的剖视图。

图中标号：

1、外防护架，11、安装腔，12、活动槽，13、通风孔；

2、限位滑杆；

3、固定板，31、风机；

4、滑动架，41、滑动孔，42、连接孔；

5、翻转架；

6、限位架；

7、弹簧伸缩件，71、压板。

具体实施方式

下面结合附图和实施方式对本发明作进一步说明。

请结合参阅图1、图2、图3、图4和图5，其中，图1为本发明一种基于IBE身份认证技术的安全邮件系统的步骤流程图；图2为本发明一种基于IBE身份认证技术的安全邮件系统的系统架构图；图3为本发明具体实施例中基于IBE身份认证技术的安全邮件系统的过程示意图；图4为本发明提供的基于IBE身份认证技术的安全邮件系统的服务器的安装结构示意图；图5为图4所示的整体的剖视图。

如图1所示，一种基于IBE身份认证技术的邮件系统，包括以下步骤：

S1用户A在与用户B发送邮件之前，需要先向密钥生成中心查询用户B是否登记注册，如果没有注册邮件正文自动填写邀请信息，待用户B完成注册工作后，密钥生成中心向用户A发送反馈信息。

其中用户B注册的过程为用户B向密钥生成中心发送注册请求，附加自己的相关身份信息，密钥生成中心核实完身份后根据双线性椭圆曲线映射算法借助用户的邮箱地址生成该用户的私钥，随后将该用户私钥及生命周期一并发送给用户B。

其中，密钥生成中心主要分成两个模块：

密钥管理：包括生成系统参数功能、生成主密钥功能及生成私钥功能；

用户管理：包括用户的注册、认证以及用户信息修订的功能。

S2用户A向用户B发送加密邮件。

用户A使用IBE技术根据用户B的邮件地址，将AES密钥加密，然后利用AES密钥对邮件内容进行加密，将密文发送给邮件服务器；

其中，用户B的邮箱地址应符合现如今邮箱标准格式，并且不限制于某一个具体邮件服务提供商；

用户A在发送邮件之前，需要和用户B事先约定好双方的AES加密密钥k，随后用户A根据AES256算法利用密钥k将发送的邮件内容加密，生成密文；

最终发送到邮件服务器的内容是加密后的AES密钥和加密正文。

S3用户B从邮件服务器中接收邮件信息。

该步骤提到的邮件服务器包括当前大多邮件服务提供商的服务器，该安全邮件系统通过调用相关的接口实现不同服务器的兼容。

S4，用户B借助私钥解密AES密钥，最后用AES密钥解密被加密的信息。

其中，用户的私钥需要独立保存，并且有一定的生存期，如果超过生存期，用户的私钥失效，需要重新向密钥生成中心申请。

这样既解决了邮件系统保存公私钥的冗余工作问题，又可以保证用户密钥的安全性。

如图2所示，一种基于IBE身份认证技术的安全邮件系统的系统架构包括：密钥生成中心和邮件用户端，所述密钥生成中心由密钥管理模块、用户管理模块和邮件用户端组成，所述邮件用户端由信息的加密模块和邮件收发功能模块组成。

密钥管理模块：包括生成系统参数功能、生成主密钥功能以及生成私钥功能。

密钥生成中心的任务就是验证请求用户的身份以及生成其私钥，密钥管理部分需要完成初始化和密钥提取两个主要工作：

1)初始化：输入一个安全参数k，然后生成一个参数(系统参数)以及一个主密钥s.该系统参数包括对有限明文空间大小M和对有限密文空间大小C的描述。简单地说，系统参数由公共用户所共有，而主密钥则只能由密钥生成中心拥有；

2)密钥提取：将主密钥和一个任意ID∈{0,1}*作为输入参数，然后该算法返回给用户一个私钥d。

其中ID指的是用户用来作为公钥的一个任意字符串，而d则是与之匹配的解密秘钥。

密钥生成中心将ID映射到椭圆曲线的一个点Q

用户管理模块：包括用户的注册、认证以及用户信息修订的功能；

密钥生成中心需要将申请用户的个人信息登记在册，保存在数据库中，以便完成后续的认证及私钥更换的相关工作。

认证的目的是借助第三方机构，保证系统中用户身份的真实性，防止出现冒用、盗用现象。

邮件用户端，包含信息的加密模块和邮件收发功能模块。

信息的加解密：该模块可以细化为申请私钥功能、信息加密功能以及信息解密功能；

申请私钥功能指的是如果已注册用户通过了密钥生成中心认证，而其认证身份标识是ID∈{0，1}n。

则用户私钥提取过程将根据下面步骤进行：

将身份标识映射到椭圆曲线上的点QID＝H1(ID)∈G1，从而计算出用户私钥dID＝sQID，其中

信息的加密功能指假设用户A向用户B发送消息m∈M，并且他已经获得系统参数params，此时他还需要进行如下加密过程：

将用户B的身份映射到椭圆曲线上的点QB＝H1(IDB)。

随机选择

计算U＝xP，

用户A将C＝{U，V}发送给用户B。

信息的加密功能指用户B收到信息C后，需要先向密钥生成中心认证自己的身份从而能够得到自己的私钥dB＝sQB。

然后按照下面方法解密密文C：计算明文m＝V⊕H2(ε(dB，U))，根据加密一致可以这样保证：

邮件收发功能：该模块包括邮件的接收和发送功能。

邮件服务器，包含接口对接模块以及兼容性适配模块：本系统可以很好地与当前较为常用的邮件系统实现对接和兼容。

如图3所示，该基于IBE身份认证技术的安全邮件系统的过程如下：

第一步：密钥生成中心先进行初始化工作：输入一个安全参数k，然后生成一个参数以及一个主密钥s，该系统参数包括对有限明文空间大小M和对有限密文空间大小C的描述；

第二步：用户A向密钥生成中心查询用户B是否登记注册：用户A将用户B的邮箱地址发送给密钥生成中心，随后密钥生成中心将用户B的注册情况以及系统参数，即对有限明文空间大小M和对有限密文空间大小C的描述发送给用户A，如果用户B没有注册，那么用户A在发送邮件时邮件正文自动填写邀请信息；

第三步：用户A编写好邮件正文后，先与用户B进行通信，确定双方AES加密密钥，然后用户A根据AES256算法利用该密钥将邮件正文加密生成密文C，然后再根据IBE技术利用用户B的邮箱地址将AES加密密钥加密，联通密文C一并发送到邮件服务器中，邮件服务器收到消息后返回发送结果；

第四步：用户B向密钥生成中心发送注册申请，密钥生成中心将主密钥和IDB∈{0,1}*作为输入参数，然后该算法返回给用户B一个私钥d＝sQID；

第五步：用户B向邮件服务器发送自己的用户标示，邮件服务器在验证完用户身份后将邮件发送给用户B，用户B用私钥d将邮件中的AES密钥解出，再根据AES256算法将密文C解密，获得用户A发来的邮件正文。

如图4和图5所示，在IBE身份认证技术的安全邮件系统使用的过程中，需要使用到服务器，服务器使用时需要稳定的安装在机柜的内部，提供一种服务器的安装结构，为IBE身份认证技术的安全邮件系统提供稳定的支持和保障；

安装结构包括外防护架1，所述外防护架1上开设有安装腔11，并且外防护架1的背面开设有活动槽12和通风孔13；

限位滑杆2，限位滑杆2的表面固定于所述安装腔11的内壁；

固定板3，所述固定板3的表面固定安装于所述活动槽12的内部，所述固定板3上设置有风机31；

滑动架4，所述滑动架4的表面安装于所述安装腔11的内部，所述滑动架4的一侧开设有滑动孔41，所述滑动孔41的内表面与所述限位滑杆2的表面滑动连接，所述滑动架4上开设有连接孔42，所述连接孔42的内部与所述通风孔13的内部相互连通；

翻转架5，所述翻转架5的一侧转动安装于所述滑动架4的顶部，所述翻转架5的另一侧固定安装有限位架6，所述限位架6的表面与所述安装腔11的内表面相适配；

弹簧伸缩件7，所述弹簧伸缩件7的一侧固定于所述翻转架5的底部，所述弹簧伸缩件7的底部固定连接有压板71。

弹簧伸缩件7为现有的弹簧伸缩杆，为弹性伸缩结构，为压板71的使用提供缓冲，使得压板71在对服务器的表面进行接触时形成压紧的作用。

风机31使用时连接外界的电源，风机31启动后能够增加服务器使用时的通风和散热。

使用时，优先将滑动架4水平向外拉动，翻转架5水平移动时带动限位架6同步向外移动，限位架6脱离安装腔11的内部时向上转动翻转架5，翻转架5向上转动时安装腔11的内部开启；

将服务器通过开启的安装腔11进行安装即可，安装服务器后向下转动翻转架5，翻转架5通过弹簧伸缩件7带动压板71对服务器的表面进行压紧，，保持翻转架5的表面保持水平；

将翻转架5上的限位架6水平推送至安装腔11的内部，使得限位架6的表面与安装腔11的内部卡接，形成对翻转架5安装后的限位，保持服务器安装后的稳定性。

通过设置有外防护架1，外防护架1上装配有可翻转的翻转架5，翻转架5能够带动滑动架4同步在安装腔11的内部滑动调节，翻转架5同时能够在滑动架4上进行转动调节，滑动架4能够带动限位架6同步转动调节，外防护架1的尾端设置有风机31，方便为安装后的服务器提供冷却的功能；

可收缩在安装腔11内部的限位架6能够对安装后的服务器进行限位，使得翻转架5的下方安装服务器后的稳定性，保障服务器安装后的稳定性。

本发明提供的基于IBE身份认证技术的邮件系统的工作原理如下：

该系统利用用户的邮箱地址作为非对称加密算法的公钥，借助第三方信任机构生成其对应私钥，既能够出色地完成身份认证过程，防止身份劫持、欺诈等攻击行为，又可以解决传统身份认证系统-公钥基础设施认证(PKI)对于密钥证书管理的冗余问题，本系统只需要对主密钥进行相应的保护措施，避免其泄漏便可保证系统整体密钥的安全性，并且不用耗费大量的硬件设施保存证书，提高身份认证的效率问题，同时，该系统是基于当前主流邮件服务器实现的系统，用户使用时不需要只用某一具体的邮箱服务商来发送重要文件，利用本系统，借助先前拥有的邮箱地址即可实现安全邮件功能，提高了邮件系统的有效性和兼容性。

与相关技术相比较，本发明提供的基于IBE身份认证技术的邮件系统具有如下有益效果：

利用的是实时密钥生成算法，在密钥生成中心验证完成用户身份后，根据自己的主密钥和用户的邮箱地址，通过椭圆曲线双线性映射即时得到用户的私钥并返回给用户，不用对其公钥火私钥进行保存，密钥生成中心的主要密钥管理工作是妥善保存好本系统的主密钥不被窃取；

系统是基于当前主流邮件服务器实现的系统，用户使用时不需要只用某一具体的邮箱服务商来发送重要文件，利用本系统，借助先前拥有的邮箱地址即可实现安全邮件功能，提高了邮件系统的有效性和兼容性；

系统使用双重加密机制，对于邮件正文，由于内容较多且类型复杂，采用的是当前对称加密算法中较为主流且安全性较高的AES256算法，该算法加密过程复杂，不宜破解，是该系统身份认证的第一道防火墙；对于通信双方事先约定的AES密钥类型固定且长度较短，则利用IBE算法进行加密，该算法是基于椭圆曲线双线性映射函数，该函数是单向性函数，逆运算极其复杂且不宜破解，可以很好地保障加密内容的安全性，而且加密效率较高，是该系统身份认证的第二道防火墙，本系统借助这两道防火墙极大地解决了用户的身份认证问题。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其它相关的技术领域，均同理包括在本发明的专利保护范围内。