專利名稱:基于數字證書的郵件服務器訪問方法和系統的制作方法
技術領域:
本發明涉及電子信息技術領域,尤其涉及一種基于數字證書的郵件服務器訪問方法和系統。
背景技術:
隨著網絡技術的不斷發展,用戶越希望可以通過網絡進行交流,于是基于網絡的, 能提供實時、快捷信息交流功能的電子郵件系統和解決方案得到了廣泛的使用。但是由于電子郵件的高度敏感性和網絡的高度開放型,使得在使用移動設備訪問電子郵箱時,如何保證安全是個非常重要的問題。目前的郵件服務器系統,該系統內可能含有多個郵件服務器,一個郵件服務器可能同時接受多個用戶的訪問,而這些用戶是完全獨立的,且郵件服務器和用戶終端的地理位置上是分布各處的。這種情況下,對于用戶終端和郵件服務器的管理是非常困難,對于整個電子郵件系統的安全問題尤為突出。其安全問題有以下幾點1、在用戶訪問郵件服務器前,“用戶名+密碼”的身份驗證方式容易泄露;2、在用戶終端收發郵件的過程中,為了保證郵件數據的安全性,郵件數據須在加密通道中傳輸,即使有人員非法竊取數據,也沒辦法使用和篡改;3、對于一個大型郵件服務器系統,存在多個郵件服務器和大量的用戶使用群體, 必須解決各個郵件服務器和用戶終端的相互驗證對方的合法有效的問題。
發明內容
本發明實施例提出一種基于數字證書的郵件服務器訪問方法和系統,解決了對于目前郵件服務器系統的訪問過程中,用戶終端與郵件服務器的相互、雙向的身份驗證,用戶收發郵件的數據保密等問題。本發明實施例提供一種基于數字證書的郵件服務器訪問方法,包括步驟A、持有身份驗證服務器證書和身份驗證服務器私鑰的身份驗證服務器分別向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰;B、用戶終端接入到提供郵件訪問服務的郵件服務器,基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證,使用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;C、完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件的保密傳輸。另外,本發明實施例還對應提供一種基于數字證書的郵件服務器訪問系統,該系統包括利用網絡連接進行相互通信的身份驗證服務器、提供郵件訪問服務的郵件服務器和用戶終端;其中,所述身份驗證服務器持有身份驗證服務器證書和身份驗證服務器私鑰,并向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰;所述用戶終端接入到郵件服務器時,基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證,使用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;而完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件的保密傳輸。實施本發明實施例,具有如下有益效果1、通過建立一個統一的郵件服務器系統,使得用戶可以以同一個身份訪問不同郵件服務器,用戶不需要進行多余的注冊等操作即可訪問該系統中不同的郵件服務器。2、用戶和郵件服務器通過身份驗證服務器驗證雙方的身份后,郵件服務器向用戶分發數據密鑰,用于進行郵件的保密傳輸,避免了網絡非法入侵者截獲數據并使用。3、本發明賦予郵件服務器以獨立的身份,基于郵件服務器身份的可區分性,方便監管,同時用戶終端、郵件服務器、以及身份驗證服務器之間在接入過程中的通信無需經過額外的安全信道,節約了使用成本。
圖1是本發明所提供的基于數字證書的郵件服務器訪問系統的結構框圖。圖2是本發明所提供的基于數字證書的郵件服務器訪問方法的流程圖。圖3是圖2所示郵件服務器訪問方法中用戶終端接入郵件服務器的具體流程圖。
具體實施例方式下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。 請參照圖1,本發明的基于數字證書的郵件服務器訪問系統包括利用網絡連接進行相互通信的身份驗證服務器10、提供郵件訪問服務的郵件服務器20和用戶終端30。其中,所述身份驗證服務器10持有身份驗證服務器證書和身份驗證服務器私鑰,并向郵件服務器20頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端30頒發用戶終端證書和用戶終端私鑰;所述用戶終端30接入到郵件服務器20時,基于用戶終端30、郵件服務器20和身份驗證服務器10持有的證書和對應的私鑰進行身份信息驗證,使用戶終端30和郵件服務器20完成相互、雙向的身份驗證,以及完成用戶終端30和郵件服務器20間用于郵件傳送時保密的數據密鑰的同步;而完成相互、雙向身份驗證的用戶終端30和郵件服務器20利用所述數據密鑰進行郵件收發的保密傳輸。較佳地,所述用戶終端30通過有線或無線網絡訪問郵件服務器20,郵件服務器20 通過專用網絡或者互聯網連接到管理機構的身份驗證服務器10。所述身份驗證服務器10負責對郵件服務器20和用戶終端30的證書頒發和狀態維護、證書驗證等的管理,具體地,所述身份驗證服務器10包括身份驗證模塊11、第一存儲模塊12和注冊模塊13,其中
第一存儲模塊12存儲身份驗證服務器的證書和私鑰、郵件服務器和用戶終端的
注冊信息等;注冊模塊13負責對用戶終端和郵件服務器進行注冊,發放證書和私鑰;身份驗證模塊11接收郵件服務器20發送的身份驗證請求消息,驗證用戶終端30 和郵件服務器20的身份有效性,并構建身份驗證響應消息發送給郵件服務器20。所述郵件服務器20包括第一接入處理模塊21、第二存儲模塊22及第一數據傳輸模塊23,其中第二存儲模塊22存儲身份驗證服務器的證書、郵件服務器的證書和私鑰、接入用戶終端的證書、身份驗證密鑰、數據密鑰、隨機數、郵件數據等;第一接入處理模塊21接收并解析用戶終端30的接入請求消息,構建身份驗證請求消息發送給身份驗證服務器10,接收并解析身份驗證服務器10的身份驗證響應消息,構建接入響應消息,接收并解析接入確認消息,使用身份驗證密鑰推導出數據密鑰;第一數據傳輸模塊23負責從第二存儲模塊22中讀取數據密鑰,將郵件數據進行加密后向用戶終端30發送,并且可以解密第二數據傳輸模塊發來的郵件數據密文。所述用戶終端30包括第二接入處理模塊31、第三存儲模塊32以及第二數據傳輸模塊33。其中,第三存儲模塊32存儲身份驗證服務器的證書、用戶終端的證書和私鑰、郵件服務器的證書、身份驗證密鑰、數據密鑰、隨機數、郵件數據等;第二接入處理模塊31在用戶終端30接入系統時,向郵件服務器20發起接入請求消息,接收并解析郵件服務器20的接入響應消息,構建接入確認消息發送給郵件服務器 20,使用身份驗證密鑰推導出數據密鑰;第二數據傳輸模塊33負責接收郵件服務器第一數據傳輸模塊23發送的郵件數據密文,進行解密后供用戶終端使用,并且可以加密發送給第一數據傳輸模塊23的郵件數據密文。下面,結合圖2和圖3,對本發明提供的基于數字證書的郵件服務器訪問方法進行詳細的描述。本發明所提供的基于數字證書的郵件服務器訪問方法,適用于基于數字證書的郵件服務器訪問系統中,其中該郵件服務器系統包括利用網絡連接進行相互通信的身份驗證服務器10、提供郵件訪問服務的郵件服務器20和用戶終端30,本發明的基于數字證書的郵件服務器訪問方法包括步驟S101、持有身份驗證服務器證書和身份驗證服務器私鑰的身份驗證服務器10分別向郵件服務器20頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端30頒發用戶終端證書和用戶終端私鑰;S102、用戶終端30接入到提供郵件訪問服務的郵件服務器20,基于用戶終端30、 郵件服務器20和身份驗證服務器10持有的證書和對應的私鑰進行身份信息驗證,使用戶終端30和郵件服務器20完成相互、雙向的身份驗證,以及完成用戶終端30和郵件服務器 20間用于郵件傳送時保密的數據密鑰的同步;S103、完成相互、雙向身份驗證的用戶終端30和郵件服務器20利用所述數據密鑰進行郵件收發的保密傳輸。其中,在步驟SlOl中,實現的是由身份驗證服務器10對用戶終端30和郵件服務器20進行注冊和頒發數字證書的過程。身份驗證服務器10本地持有一個身份驗證服務器證書,身份驗證服務器證書的私鑰用于對頒發郵件服務器20、用戶終端30的證書進行簽名,并維護證書的有效性等相關信息。當一個郵件服務器20接入到系統中時,需要向身份驗證服務器10申請頒發一個郵件服務器證書和對應的私鑰,并且在本地緩存身份驗證服務器證書。用戶終端30接入到郵件服務器系統中時,同樣需要身份驗證服務器10頒發一個用戶終端證書和對應的私鑰,并在本地緩存身份驗證服務器證書。郵件服務器20和用戶終端30使用證書代表各自的身份。而身份驗證服務器10的注冊模塊13負責對用戶終端 30和郵件服務器20進行注冊,發放證書和私鑰。身份驗證服務器的證書和私鑰、郵件服務器和用戶終端的注冊信息等存儲在第一存儲模塊12中。在步驟S102中,主要是完成用戶終端接入到提供郵件訪問服務的郵件服務器的過程,以實現用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;在用戶終端30與郵件服務器20進行郵件收發前,用戶終端需要接入到郵件服務器,具體包括S1021 用戶終端30向郵件服務器20發送主要由所述用戶終端證書構建的并經過用戶終端私鑰簽名的接入請求消息;在該步驟中,用戶終端30開始接入到郵件服務器系統時,由第二接入處理模塊31 產生一個用戶終端隨機數,將用戶終端信息,用戶終端證書和用戶終端隨機數等字段組成接入請求消息,并使用用戶終端私鑰對消息進行簽名后發送接入請求消息給需要提供郵件訪問服務的郵件服務器20。S1022 郵件服務器20接收所述接入請求消息并對所述接入請求消息進行解析和驗證;驗證通過后,向所述身份驗證服務器10發送主要由所述用戶終端證書、郵件服務器證書構建的并經過郵件服務器私鑰簽名的身份驗證請求消息;在該步驟中,具體地,當郵件服務器20的第一接入處理模塊21接收到第二接入處理模塊31發送接入請求消息后,進行如下處理a)郵件服務器接收所述接入請求消息并對所述接入請求消息進行解析和驗證,具體包括使用用戶終端證書公鑰驗證消息簽名的有效性;從第二存儲模塊22中讀取身份驗證服務器證書,使用身份驗證服務器的證書公鑰驗證用戶終端證書簽名的有效性,若驗證失敗,則接入過程失敗,否則執行b);b)若驗證通過,并確定用戶終端信息有效,則在第二存儲模塊22中保存用戶終端隨機數和產生的郵件服務器隨機數;然后向所述身份驗證服務器10發送主要由所述用戶終端證書、郵件服務器證書、用戶終端隨機數和郵件服務器隨機數構建的并經過郵件服務器私鑰簽名的身份驗證請求消息。S1023 身份驗證服務器10接收所述身份驗證請求消息并對所述身份驗證請求消息進行解析和驗證;驗證通過后獲得證書驗證結果,并向所述郵件服務器20發送主要由所述證書驗證結果、用戶終端證書和郵件服務器證書中提取出的身份信息構建的并經過身份驗證服務器私鑰簽名的身份驗證響應消息;在該步驟中,具體地,身份驗證服務器10的身份驗證模塊11收到郵件服務器20 發來的身份驗證請求消息后,進行如下處理a)身份驗證服務器接收所述身份驗證請求消息并對所述身份驗證請求消息進行解析和驗證,具體包括使用郵件服務器證書公鑰驗證消息簽名的有效性;從第一存儲模塊12中讀取身份驗證服務器私鑰,使用身份驗證服務器私鑰驗證郵件服務器證書和用戶終端證書簽名的有效性;以及通過驗證郵件服務器和用戶終端證書的有效期、吊銷信息、使用用途和策略信息以判斷郵件服務器和用戶終端證書的有效性;b)若驗證通過,則構造郵件服務器和用戶終端的證書驗證結果,并向所述郵件服務器發送主要由所述證書驗證結果、用戶終端和郵件服務器身份從證書中提取出的證書持有者,證書頒發者,證書序列號等的組合信息)、用戶終端隨機數和郵件服務器隨機數構建的并經過身份驗證服務器私鑰簽名的身份驗證響應消息。S1024 郵件服務器20接收所述身份驗證響應消息并對所述身份驗證響應消息進行解析和驗證;驗證通過后,將預先產生的身份驗證密鑰進行加密,并綁定到身份驗證密鑰信息中;然后向所述用戶終端30發送主要由身份驗證響應消息、郵件服務器證書、身份驗證密鑰密文和身份驗證密鑰信息構建的并經過郵件服務器私鑰簽名的接入響應消息;在該步驟中,郵件服務器20的第一接入處理模塊21收到身份驗證服務器10的身份驗證響應消息后,進行如下處理a)郵件服務器接收所述身份驗證響應消息并對所述身份驗證響應消息進行解析和驗證,具體包括從第二存儲模塊22中讀取身份驗證服務器證書,使用身份驗證服務器證書公鑰判斷身份驗證響應消息簽名的有效性;判斷身份驗證服務器和用戶終端的證書驗證結果是否有效;讀取第二存儲模塊22中的郵件服務器、用戶終端的隨機數和身份驗證響應消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;如以上任一項驗證未通過,則接入過程失敗,否則執行b);b)驗證通過后,根據郵件服務器預先產生的身份驗證密鑰,使用用戶終端證書公鑰對身份驗證密鑰進行加密,同時將密鑰綁定到身份驗證密鑰信息中,身份驗證密鑰信息包含身份驗證密鑰的索引等信息;然后向所述用戶終端發送主要由身份驗證響應消息、郵件服務器證書、身份驗證密鑰密文和身份驗證密鑰信息構建的并經過郵件服務器私鑰簽名的接入響應消息。S1025 用戶終端30接收所述接入響應消息并對所述接入響應消息進行解析和驗證;驗證通過后,利用用戶終端私鑰解密所述身份驗證密鑰密文,獲得身份驗證密鑰,并從身份驗證密鑰推導出數據密鑰;然后向所述郵件服務器20發送主要由用戶終端身份、郵件服務器身份和身份驗證密鑰信息構建的接入確認消息;在該步驟中,用戶終端30的第二接入處理模塊31收到接入響應消息后,進行如下處理a)用戶終端30接收所述接入響應消息并對所述接入響應消息進行解析和驗證, 具體包括從第三存儲模塊32中讀取身份驗證服務器證書,使用身份驗證服務器證書公鑰判斷身份驗證響應消息簽名的有效性;使用郵件服務器證書公鑰判斷接入響應消息簽名的有效性;判斷郵件服務器和用戶終端的證書驗證結果是否有效;讀取從第三存儲模塊32中的用戶終端隨機數和接入響應消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;如以上任一項驗證未通過,則接入過程失敗,否則執行b);b)驗證通過后,從第三存儲模塊32中讀取用戶終端私鑰,利用用戶終端私鑰解密所述身份驗證密鑰密文,獲得身份驗證密鑰,并從身份驗證密鑰推導出數據密鑰,且在第三存儲模塊32中存儲所述身份驗證密鑰信息和數據密鑰;然后向所述郵件服務器20發送主要由用戶終端身份、郵件服務器身份、身份驗證密鑰信息、用戶終端隨機數和郵件服務器隨機數構建的接入確認消息,并使用身份驗證密鑰計算得到消息鑒別碼附在接入確認消息后。S1026:郵件服務器接收所述接入確認消息并對所述接入確認消息進行解析和驗證;驗證通過后,利用身份驗證密鑰推導出數據密鑰。在該步驟中,郵件服務器20的第一接入處理模塊21收到用戶終端30的接入確認消息后,進行如下處理a)郵件服務器接收所述接入確認消息并對所述接入確認消息進行解析和驗證,具體包括計算接入確認消息的消息鑒別碼,比較本地計算和接收到的消息鑒別碼,判斷是否一致;讀取第二存儲模塊22存儲的用戶終端隨機數和郵件服務器隨機數,和接入確認消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;判斷身份驗證密鑰信息和接入響應消息中的身份驗證密鑰信息是否相同;如以上任一項驗證未通過, 則接入過程失敗,否則執行b);b)驗證通過后,利用身份驗證密鑰推導出數據密鑰并存儲到第二存儲模塊22中。至此,用戶終端30成功接入至郵件服務器20,完成了雙向、相互的身份驗證,同時完成用戶終端30和郵件服務器20間用于收發郵件保密的數據密鑰的同步。郵件服務器20和用戶終端30完成雙向相互的身份驗證和數據密鑰同步后,即可進行郵件的保密傳輸,即進行步驟S103,在該步驟中,具體地,例如用戶終端30如需收取郵件,則構造郵件收取請求消息,由第二數據傳輸模塊33發送該郵件收取請求消息給郵件服務器20。郵件服務器的第一數據傳輸模塊23收到用戶終端30的郵件收取請求消息后,則讀取第二存儲模塊22中的數據密鑰對請求的郵件數據進行加密,然后將郵件數據密文通過第一數據傳輸模塊23發送至用戶終端30,而用戶終端30 的第二數據傳輸模塊33收到郵件數據密文后,讀取第三存儲模塊32的數據密鑰,對郵件數據密文進行解密,得到可使用的郵件數據明文。用戶終端30如需發送郵件,則讀取第三存儲模塊32的數據密鑰,加密郵件數據, 并構造郵件發送請求消息(消息中攜帶郵件數據密文),由第二數據傳輸模塊33發送該郵件發送請求消息給郵件服務器20。郵件服務器20的第一數據傳輸模塊23收到用戶終端 30的郵件上傳請求消息后,則讀取第二存儲模塊22中的數據密鑰對郵件數據進行解密,并將解密后的郵件存儲于第二存儲模塊22中。以上所述是本發明的優選實施方式,應當指出,對于本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也視為本發明的保護范圍。
權利要求
1.一種基于數字證書的郵件服務器訪問方法,其特征在于包括步驟A、持有身份驗證服務器證書和身份驗證服務器私鑰的身份驗證服務器分別向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰;B、用戶終端接入到提供郵件訪問服務的郵件服務器,基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證,使用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;C、完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件收發的保密傳輸。
2.如權利要求1所述的郵件服務器訪問方法,其特征在于,所述步驟B具體包括 Bi、用戶終端向郵件服務器發送主要由所述用戶終端證書構建的并經過用戶終端私鑰簽名的接入請求消息;B2、郵件服務器接收所述接入請求消息并對所述接入請求消息進行解析和驗證;驗證通過后,向所述身份驗證服務器發送主要由所述用戶終端證書、郵件服務器證書構建的并經過郵件服務器私鑰簽名的身份驗證請求消息;B3、身份驗證服務器接收所述身份驗證請求消息并對所述身份驗證請求消息進行解析和驗證;驗證通過后獲得證書驗證結果,并向所述郵件服務器發送主要由所述證書驗證結果、用戶終端證書和郵件服務器證書中提取出的身份信息構建的并經過身份驗證服務器私鑰簽名的身份驗證響應消息;B4、郵件服務器接收所述身份驗證響應消息并對所述身份驗證響應消息進行解析和驗證;驗證通過后,將預先產生的身份驗證密鑰進行加密,并綁定到身份驗證密鑰信息中;然后向所述用戶終端發送主要由身份驗證響應消息、郵件服務器證書、身份驗證密鑰密文和身份驗證密鑰信息構建的并經過郵件服務器私鑰簽名的接入響應消息;B5、用戶終端接收所述接入響應消息并對所述接入響應消息進行解析和驗證;驗證通過后,利用用戶終端私鑰解密所述身份驗證密鑰密文,獲得身份驗證密鑰,并從身份驗證密鑰推導出數據密鑰;然后向所述郵件服務器發送主要由用戶終端身份、郵件服務器身份和身份驗證密鑰信息構建的接入確認消息;B6、郵件服務器接收所述接入確認消息并對所述接入確認消息進行解析和驗證;驗證通過后,利用身份驗證密鑰推導出數據密鑰。
3.如權利要求2所述的郵件服務器訪問方法,其特征在于所述接入請求消息主要由用戶終端產生的用戶終端隨機數、用戶終端信息和用戶終端證書組成;所述身份驗證請求消息主要由所述用戶終端證書、郵件服務器證書、用戶終端隨機數和郵件服務器產生的郵件服務器隨機數組成;所述身份驗證響應消息主要由所述證書驗證結果、用戶終端證書和郵件服務器證書中提取出的身份信息、用戶終端隨機數和郵件服務器隨機數組成;所述接入響應消息主要由所述身份驗證響應消息、郵件服務器證書、身份驗證密鑰密文和身份驗證密鑰信息組成;所述接入確認消息主要由用戶終端身份、郵件服務器身份和身份驗證密鑰信息、用戶終端隨機數和郵件服務器隨機數組成。
4.如權利要求3所述的郵件服務器訪問方法,其特征在于,所述用戶終端和郵件服務器在本地均緩存有身份驗證服務器證書,所述步驟B2具體包括B21、郵件服務器接收所述接入請求消息并對所述接入請求消息進行解析和驗證,具體包括使用用戶終端證書公鑰驗證消息簽名的有效性以及使用身份驗證服務器的證書公鑰驗證用戶終端證書簽名的有效性,若驗證失敗,則接入過程失敗,否則執行B22 ;B22、若驗證通過,并確定用戶終端信息有效,則保存用戶終端隨機數和產生的郵件服務器隨機數;并向所述身份驗證服務器發送主要由所述用戶終端證書、郵件服務器證書、用戶終端隨機數和郵件服務器隨機數構建的并經過郵件服務器私鑰簽名的身份驗證請求消肩、ο
5.如權利要求4所述的郵件服務器訪問方法,其特征在于,所述步驟B3具體包括 B31、身份驗證服務器接收所述身份驗證請求消息并對所述身份驗證請求消息進行解析和驗證,具體包括使用郵件服務器證書公鑰驗證消息簽名的有效性、使用身份驗證服務器私鑰驗證郵件服務器證書和用戶終端證書簽名的有效性以及通過驗證郵件服務器和用戶終端證書的有效期、吊銷信息、使用用途和策略信息以判斷郵件服務器和用戶終端證書的有效性;B32、若驗證通過,則構造郵件服務器和用戶終端的證書驗證結果,并向所述郵件服務器發送主要由所述證書驗證結果、用戶終端身份、郵件服務器身份、用戶終端隨機數和郵件服務器隨機數構建的并經過身份驗證服務器私鑰簽名的身份驗證響應消息。
6.如權利要求5所述的郵件服務器訪問方法,其特征在于,所述步驟B4具體包括 B41、郵件服務器接收所述身份驗證響應消息并對所述身份驗證響應消息進行解析和驗證,具體包括使用身份驗證服務器證書公鑰判斷身份驗證響應消息簽名的有效性;判斷身份驗證服務器和用戶終端的證書驗證結果是否有效;讀取存儲的郵件服務器、用戶終端隨機數和身份驗證響應消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;如以上任一項驗證未通過,則接入過程失敗,否則執行B42 ;B42、驗證通過后,根據郵件服務器預先產生的身份驗證密鑰,使用用戶終端證書公鑰對身份驗證密鑰進行加密,同時將密鑰綁定到身份驗證密鑰信息中,身份驗證密鑰信息包含身份驗證密鑰的索引等信息;然后向所述用戶終端發送主要由身份驗證響應消息、郵件服務器證書、身份驗證密鑰密文和身份驗證密鑰信息構建的并經過郵件服務器私鑰簽名的接入響應消息。
7.如權利要求6所述的郵件服務器訪問方法,其特征在于,所述步驟B5具體包括 B51、用戶終端接收所述接入響應消息并對所述接入響應消息進行解析和驗證,具體包括使用身份驗證服務器證書公鑰判斷身份驗證響應消息簽名的有效性;使用郵件服務器證書公鑰判斷接入響應消息簽名的有效性;判斷郵件服務器和用戶終端的證書驗證結果是否有效;讀取存儲的用戶終端隨機數和接入響應消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;如以上任一項驗證未通過,則接入過程失敗,否則執行B52 ;B52、驗證通過后,利用用戶終端私鑰解密所述身份驗證密鑰密文,獲得身份驗證密鑰,并從身份驗證密鑰推導出數據密鑰,且存儲所述身份驗證密鑰信息和數據密鑰;然后向所述郵件服務器發送主要由用戶終端身份、郵件服務器身份、身份驗證密鑰信息、用戶終端隨機數和郵件服務器隨機數構建的并附有由消息身份驗證密鑰計算得到的消息鑒別碼的接入確認消息。
8.如權利要求7所述的郵件服務器訪問方法,其特征在于,所述步驟B6具體包括 B61、郵件服務器接收所述接入確認消息并對所述接入確認消息進行解析和驗證,具體包括計算接入確認消息的消息鑒別碼,比較本地計算和接收到的消息鑒別碼,判斷是否一致;讀取存儲的用戶終端隨機數和郵件服務器隨機數,和接入確認消息中的隨機數進行對比,確定一致;判斷郵件服務器和用戶終端身份是否相同;判斷身份驗證密鑰信息和接入響應消息中的身份驗證密鑰信息是否相同;如以上任一項驗證未通過,則接入過程失敗,否則執行B62 ;B62、驗證通過后,利用身份驗證密鑰推導出數據密鑰并存儲。
9.如權利要求1所述的郵件服務器訪問方法,其特征在于,所述步驟C具體包括 Cl、用戶終端如需下載郵件,則向所述郵件服務器發送郵件下載請求消息;所述郵件服務器接收到所述郵件下載請求消息后,利用存儲的數據密鑰對請求的郵件數據進行加密, 然后將郵件數據密文發送至用戶終端,而用戶終端接收到所述郵件數據密文后,利用存儲的數據密鑰對所述郵件數據密文進行解密,得到可使用的郵件數據明文;C2、用戶終端如需上傳郵件,則利用存儲的數據密鑰加密郵件數據,并構造郵件上傳請求消息發送給所述郵件服務器;所述郵件服務器接收到所述郵件上傳請求消息后,則利用存儲的數據密鑰對郵件數據進行解密,并將解密后的郵件存儲。
10.一種基于數字證書的郵件服務器訪問系統,其特征在于包括利用網絡連接進行相互通信的身份驗證服務器、提供郵件訪問服務的郵件服務器和用戶終端;其中,所述身份驗證服務器持有身份驗證服務器證書和身份驗證服務器私鑰,并向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰;所述用戶終端接入到郵件服務器時,基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證,使用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;而完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件的保密傳輸。
全文摘要
本發明公開了一種基于數字證書的郵件服務器訪問方法,包括步驟A、持有身份驗證服務器證書和身份驗證服務器私鑰的身份驗證服務器分別向郵件服務器頒發郵件服務器證書和郵件服務器私鑰以及向用戶終端頒發用戶終端證書和用戶終端私鑰;B、用戶終端接入到提供郵件訪問服務的郵件服務器,基于用戶終端、郵件服務器和身份驗證服務器持有的證書和對應的私鑰進行身份信息驗證,使用戶終端和郵件服務器完成相互、雙向的身份驗證,以及完成用戶終端和郵件服務器間用于郵件傳送時保密的數據密鑰的同步;C、完成相互、雙向身份驗證的用戶終端和郵件服務器利用所述數據密鑰進行郵件收發的保密傳輸。本發明還公開了一種基于數字證書的郵件服務器訪問系統。
文檔編號H04L29/06GK102387162SQ20111042014
公開日2012年3月21日 申請日期2011年12月14日 優先權日2011年12月14日
發明者林凡, 黃建青 申請人:廣州杰賽科技股份有限公司