电子邮件是Internet上最广泛、最重要的应用之一,它的简便、快捷极大地方便了人与人之间的沟通与交流。由于Internet的开放性,在Internet上传送的电子邮件会受到各种各样的攻击。为了保证电子邮件的安全性,多种安全电子邮件方案已被提出并在特定领域中发挥作用。 在基于身份加密(Identity-Based Encryption,IBE)的公钥密码体制中,公钥可以是任意的一个字符串,通常为用户的公开可用的身份标识符,例如姓名、电子邮件地址、网络地址等,用户的公钥可以根据这些公开的身份信息计算出来,而不必通过公钥证书获得。 基于身份加密很适合在安全电子邮件中应用,公钥就是用户的Email地址,私钥则由一个第三方的信任机构(Trusted Authority,TA)根据用户的请求生成,再通过安全信道发送给用户。 IBE的公钥还可以是表示角色、任务等的标识符,通过信任机构对用户进行权限检查,实现IBE私钥的生成和发送与基于角色、任务的权限管理和访问控制的结合。 基于传统的公钥密码体制和证书的系统,在使用过程中需要完成一系列对证书的操作和管理,包括证书的签名、发布、获取、验证、存储、撤销等。而IBE则直接以用户的Email地址、角色、任务等标识符作为公钥,不需要证书和相关操作,简化了公钥的使用与管理,系统构成也很简单,只需设立信任机构TA完成用户身份认证、权限检查、私钥生成和安全传送,具有易于实施、使用方便等优点。 本文介绍了基于身份加密的算法原理、基于数论中的二次剩余的Cocks方案和基于椭圆曲线上的双线性映射的Boneh-Franklin方案。本文还介绍了基于角色和基于任务的访问控制的各种模型。在此基础上阐述了基于身份加密的安全电子邮件系统的工作原理和安全设计。 本文分析了Stanford大学的开放源代码的IBE程序库,与OpenSSL密码算法库、SSL安全套接层等相结合,在Linux操作系统下,利用Apache Web服务器、C语言的CGI程序,设计和实现了一个基于身份加密的安全电子邮件系统,实现了用户端的加密和解密邮件消息,服务器端的身份认证、私钥生成和安全传