一种抗逆向工程的电子邮件安全转发系统及方法

摘要

本发明公开了一种抗逆向工程的电子邮件安全转发系统及方法，系统包括秘密邮件重加密模块以及重加密邮件恢复模块。其中，秘密邮件重加密模块包括预处理参数生成单元、重加密元组生成单元、混淆过的重加密处理单元、重加密输出单元；重加密邮件恢复模块包括重加密邮件接收单元、重加密邮件解密单元、原始邮件搜索单元；方法包括电子邮件重加密方法和电子邮件重加密后恢复方法；本发明具有实现复杂度低、安全性高、易恢复等特点，适用于在不泄漏邮件原始接收者和邮件代理接收者私钥、并且不泄漏邮件本身任何信息的情况下通过第三方邮件服务商对邮件进行重加密转发。

说明书

技术领域

本发明属于数据安全技术领域，涉及一种电子邮件安全转发系统及方法，特 别涉及一种第三方的邮件服务器，将电子邮件作为对象，将密码学技术与云计算 相结合，防止电子邮件和私钥的泄漏的安全的重加密转发系统及方法。

背景技术

随着因特网的迅速发展和普及，电子邮件已经成为网络中应用最为广泛、最 受欢迎的服务之一。电子邮件的用户已经从商业、科学、教育行业发展到了普通 家庭，保证邮件本身的安全以及电子邮件对系统的影响也显得越来越重要。当前 出于保密需要，越来越多的邮件会被加密之后发送给收件人，但是当收件人不能 及时处理这些邮件，需要其他人来处理时，必须先将邮件解密之后再使用代理收 件人的公钥加密邮件并转发给代理收件人。这些步骤繁琐，而且此过程如果交给 一个不可信任的邮件服务器去做，极容易导致收件人的私钥泄漏、邮件明文全部 泄漏。因此，一种抗逆向工程的基于身份的电子邮件混淆重加密转发方案是非常 有意义的。

加密机制是保护邮件在服务器中存储与传输的重要手段，安全储存方案被广 泛应用，然而由于加密邮件经常需要邮件服务器转发给其他人处理，又不希望代 理收件人获取到原始收件人的私钥，因此需要考虑代理重加密方案。另外，由于 有些第三方邮件服务器并不完全可信，可能存在逆向工程将原始邮件计算出来， 因此，代理重加密方案需要抵抗这种逆向工程运算确保邮件的安全性。

当前邮件服务器所使用的代理重加密技术方案常用的两种技术：邮件解密、 邮件加密。邮件解密使用原始收件人的私钥解密出邮件明文，而邮件加密则是用 代理收件人的公钥对邮件进行加密。然后，当前的方案存在较多的问题：

(1)在服务器中对邮件进行解密，则泄漏了邮件的明文，也泄漏的原始收件 人的私钥信息；

(2)使用简单的重加密密钥来对邮件进行重加密，非常容易被逆向工程运算 将邮件的明文和原始收件人的私钥都计算出来。

发明内容

本发明的目的在于提高电子邮件在第三方服务器上进行重加密、转发时的安 全性、完整性以及抗逆向工程性，本发明通过对重加密算法的安全混淆，极大程 度上的保护了重加密程序，使得用户的密钥、邮件内容都得到了极大的保护。

本发明的系统所采用的技术方案是：一种抗逆向工程的电子邮件安全转发系 统，其特征在于：由秘密邮件重加密模块以及重加密邮件恢复模块组成；

所述的秘密邮件重加密模块包括预处理参数生成单元、重加密元组生成单元、 混淆过的重加密处理单元、重加密输出单元；

所述的重加密邮件恢复模块包括重加密邮件接收单元、重加密邮件解密单元、 原始邮件搜索单元；

所述的预处理参数生成单元负责选定参数，读取邮件原始接收者的私钥和邮 件代理接收者的公钥，为所述的重加密元组生成单元提供函数基础；所述的重加 密元组生成单元负责使用所述的预处理参数生成单元产生的参数和公私钥来生 成重加密元组(重加密元组既不会泄漏邮件原始接收者的私钥，也不会泄漏邮件 代理接收者的私钥)；所述的混淆过的重加密处理单元通过所述的重加密元组生 成单元生成的重加密元组对接收到的加密邮件进行重加密运算；所述的重加密输 出单元负责输出重加密后的结果；所述的重加密邮件接收单元负责接收所述的重 加密输出单元输出的结果；所述的重加密邮件解密单元负责使用代理接收者的私 钥来解密所述的重加密邮件接收单元接收到的邮件；所述的原始邮件搜索单元负 责使用双线性运算搜索出原始邮件的完整内容。

本发明的方法所采用的技术方案是：一种抗逆向工程的电子邮件安全转发方 法，其特征在于：包括电子邮件重加密方法和电子邮件重加密后恢复方法；

所述的电子邮件重加密方法，包括以下步骤：

步骤1.1：生成参数；首先选定所需参数，读取邮件原始接收者的私钥和邮件代 理接收者的公钥，为重加密元组生成单元提供函数基础；

步骤1.2：负责使用预处理参数生成单元产生的参数和公私钥来生成重加密 元组；

步骤1.3：通过重加密元组生成单元生成的重加密元组对接收到的加密邮件 进行重加密运算；

步骤1.4：通过给定的输入来决定输出；

所述的电子邮件重加密后恢复方法，包括以下步骤：

步骤2.1：接收重加密输出单元转发的邮件，并交给重加密邮件解密单元处 理；

步骤2.1：代理邮件收件人使用自己的私钥将重加密邮件进行解密；

步骤2.2：利用重加密邮件解密单元解密出来的值进行双线性运算，可以得 到最终邮件的明文。

作为优选，步骤1.1中，首先假设安全参数为1^k，设(q,g,G,G_T,e)←BMsetup(1^k) 为公共参数，G、G_T是一个q阶的群，q是一个k比特的素数，定义双线性运算 e:G×G→G_T，是消息空间，随机选取随机选取(是q阶的整数群)，主密钥msk＝c，得到原始收 件人A的私钥为sk₁＝(a₁,b₁,g,H₁(id₁)^c)，代理收件人B的公钥为 其中H₁是一个HASH函数：H₁:{0,1}→G，H₂:G_T→G。

作为优选，步骤1.2中，根据步骤1.1中获得的公私钥，随机选取计算出重加密元组：

$(Z_1,Z_2,Z_3)=({\left(h^{a_2}\right)}^{z/a_1},{\left(h^{b_2}\right)}^{z/b_1},h^z).$

作为优选，步骤1.3中，使用pk₁,pk₂,Z₁,Z₂,Z₃生成了一个混淆后的重加密回 路当输入一个5元组[0,W,X,Y,k^d]且W,X,Y∈G时，选取重随机值对W,X,Y进行重随机运算：$W^{\prime }\leftarrow W·{\left(g^{a_1}\right)}^r,X^{\prime }\leftarrow X·{\left(g^{b_1}\right)}^s,Y^{\prime }\leftarrow Y·g^{r+s},$分别 计算E←e(W′，Z₁)，F←e(X′，Z₂)和G←e(Y′，Z₃)，最后选取输出重随机数

作为优选，步骤1.4中，如果输入是keys，则输出和 如果输入是一个5元组[0,W,X,Y,k^d]且W,X,Y∈G，则利用步 骤1.3计算的数据输出密文如果是其他的输入则输出⊥；完成输出后将邮件 转发给相应的代理收件人。

作为优选，步骤2.1中，重加密邮件接收单元如果接收到的即不是pk₁,pk₂， 也不是⊥则交给下一个单元处理。

作为优选，步骤2.2中，代理收件人收到的加密邮件

$[k^d,E^y,F^y,G^y·e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right),Z_3^y,X·e{(k^c,H_1({\mathrm{id}}_2\left)\right)}^d]$

能被写作

$\left(\begin{array}{c}[k^d,e{(g^{a_1(r+r^{\prime })},h^{a_{2}z/a_1})}^y,e{(g^{b_1(s+s^{\prime })},h^{b_{2}z/b_1})}^y,e{(g^{(r+s+r^{\prime }+s^{\prime })}·m,h^z)}^y·\\ e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right),h^{zy},X·e{(k^c,H_1({\mathrm{id}}_2\left)\right)}^d],\end{array}\right)$

即等于：

$\left(\begin{array}{c}[k^d,{(g,h)}^{a_{2}z(r+r^{\prime })y},e{(g,h)}^{b_{2}z(s+s^{\prime })y},e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y·\\ e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right),h^{zy},X·e{(k^c,H_1({\mathrm{id}}_2\left)\right)}^d];\end{array}\right)$

首先通过代理接收者的密钥计算出计算 $e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y=\frac{e{(g^{(r+s+r^{\prime }+s^{\prime })}·m,h^z)}^y·e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right)}{e(k^d,H_2(X\left)\right)},$计算${\left(e{(g,h)}^{a_{2}z(r+r^{\prime })y}\right)}^{1/a_2}·{\left(e{\left(g,h\right)}^{b_{2}z(s+s^{\prime })y}\right)}^{1/b_2}=e{(g,h)}^{yz(r+s+r^{\prime }+s^{\prime })};$再计算 $\frac{e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y}{e{(g,h)}^{yz(r+s+r^{\prime }+s^{\prime })}}=e(m,h^{zy}).$

作为优选，步骤2.3中，原始邮件搜索单元得到了e(m,h^zy)，并根据已知的 h^zy，在消息空间中计算e(m_i,h^zy)＝e(m,h^zy)，最终得到m_i即是邮件的明文。

本发明具有实现复杂度低、安全性高、易恢复等特点，适用于在不泄漏邮件 原始接收者和邮件代理接收者私钥、并且不泄漏邮件本身任何信息的情况下通过 第三方邮件服务商对邮件进行重加密转发。它即解决了加密邮件的安全重加密转 发问题，又在传统重加密基础上进行了安全的混淆使其能抵抗不可信任第三方的 逆向工程计算。

本发明的主要特点有：

(1)高效的数据转换算法。

(2)极高的安全性。

(3)高效的恢复策略。

本发明与现有技术相比具有如下优点和有益效果：

首先，目前传统的重加密技术在第三方执行时，第三方会要求邮件原始收件 人的私钥来解密出邮件再加密为代理收件人的格式并转发给代理收件人，它可能 会泄漏原始收件人的私钥和邮件本身的信息。本发明是先生成重加密元组再发送 给第三方服务器，保证了私钥和邮件的安全性。

其次，当前所应用的重加密技术，虽然也对私钥进行了处理，但是由于方法 简单很容易被逆向工程运算得到其私钥和明文(iTunesDRM重加密技术就被成 功破解)。本发明在重加密的基础上对其进行了安全的混淆，使得其可以有效得 抵抗逆向工程来获取私钥和原始邮件的任何信息。

再次，现有技术不能对加密邮件进行判断，如果不是原始收件人的公钥加密 的邮件依然会被重加密并发送给代理收件人。本方案可以有效的对邮件进行判断， 如果输入的不是原始收件人公钥加密的邮件，系统将不再转发该邮件。

最后，本发明利用密码学工具，实现了邮件的安全存储，效率高，成本低， 安全性高，鲁棒性强、操作性强等优点，即可用于企业自身的邮件服务器系统， 又可用于大型的商业邮件服务器系统。

附图说明

图1是本发明一种抗逆向工程的电子邮件重加密转发方案框架图；

图2是本发明中电子邮件重加密流程图；

图3是本发明中重加密后的电子邮件解密流程图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对 本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解 释本发明，并不用于限定本发明。

在传统重加密方案中，重加密程序可能被第三方进行逆向运算而得到私钥， 为弥补现有方案的不足，本发明采用重加密以及混淆技术，将重加密回路进行了 安全的混淆，在服务器上进行代理重加密。当邮件服务器对邮件进行代理重加密 时，使用方案中提供的重加密方案，将加密邮件重加密为代理收件人可以解密的 形式。由于对重加密回路进行了安全的混淆，可有效抵抗不诚实的第三方对重加 密程序进行逆向工程运算。

请见图1、图2和图3，本发明提供的一种抗逆向工程的电子邮件安全转发 系统，由秘密邮件重加密模块以及重加密邮件恢复模块组成；秘密邮件重加密模 块包括预处理参数生成单元1.1、重加密元组生成单元1.2、混淆过的重加密处理 单元1.3、重加密输出单元1.4；重加密邮件恢复模块包括重加密邮件接收单元 2.1、重加密邮件解密单元2.2、原始邮件搜索单元2.3；

预处理参数生成单元1.1负责选定参数，读取邮件原始接收者的私钥和邮件 代理接收者的公钥，为重加密元组生成单元1.2提供函数基础；重加密元组生成 单元1.2负责使用预处理参数生成单元1.1产生的参数和公私钥来生成重加密元 组(重加密元组既不会泄漏邮件原始接收者的私钥，也不会泄漏邮件代理接收者 的私钥)；混淆过的重加密处理单元1.3通过重加密元组生成单元1.2生成的重加 密元组对接收到的加密邮件进行重加密运算；重加密输出单元1.4负责输出重加 密后的结果；重加密邮件接收单元2.1负责接收重加密输出单元1.4输出的结果； 重加密邮件解密单元2.2负责使用代理接收者的私钥来解密重加密邮件接收单元 2.1接收到的邮件；原始邮件搜索单元2.3负责使用双线性运算搜索出原始邮件 的完整内容。

本发明提供的一种抗逆向工程的电子邮件安全转发方法，包括电子邮件重加 密方法和电子邮件重加密后恢复方法；

如图2，电子邮件重加密过程如下：参数生成单元→重加密元组生成单元→ 混淆过的重加密处理单元→重加密输出单元。

(1)参数生成单元。负责选定方案所需参数，读取邮件原始接收者的私钥和 邮件代理接收者的公钥，为重加密元组生成单元提供函数基础。本实例中，假设 安全参数为1^k，设(q,g,G,G_T,e)←BMsetup(1^k)为公共参数，G、G_T是一个q阶的群， q是一个k比特的素数，定义双线性运算e:G×G→G_T)，是 消息空间，随机选取$h,g,k\stackrel{r}{\leftarrow }G,X\stackrel{r}{\leftarrow }{G}_T,$随机选取$a_1,a_2,b_1,b_2,c,d\stackrel{r}{\leftarrow }{Z}_q$(是q 阶的整数群)，主密钥msk＝c，得到原始收件人A的私钥为sk₁＝(a₁,b₁,g,H₁(id₁)^c)， 代理收件人B的公钥为其中H₁是一个HASH函数： H₁:{0,1}→G，H₂:G_T→G。

(2)重加密元组生成单元。负责使用预处理参数生成单元产生的参数和公私 钥来生成重加密元组。本实例中，根据(1)获得的公私钥，随机选取计算 出重加密元组$(Z_1,Z_2,Z_3)=({\left(h^{a_2}\right)}^{z/a_1},{\left(h^{b_2}\right)}^{z/b_1},h^z).$

(3)混淆过的重加密处理单元。通过重加密元组生成单元生成的重加密元组 对接收到的加密邮件进行重加密运算。本实例中，使用pk₁,pk₂,Z₁,Z₂,Z₃生成了一 个混淆后的重加密回路当输入一个5元组[0,W,X,Y,k^d]且W,X,Y∈G时， 选取重随机值$r,s\stackrel{r}{\leftarrow }{Z}_q^{*},$对W,X,Y进行重随机运算：$W^{\prime }\leftarrow W·{\left(g^{a_1}\right)}^r,X^{\prime }\leftarrow X·$${\left(g^{b_1}\right)}^s,Y^{\prime }\leftarrow Y·g^{r+s},$分别计算E←e(W′，Z₁)，F←e(X′，Z₂)和G←e(Y′，Z₃)，最 后选取输出重随机数

(4)重加密输出单元。通过给定的输入来决定输出。如果输入是keys，则输 出${\mathrm{pk}}_1=(g^{a_1},g^{b_1},g)$和${\mathrm{pk}}_2=(h^{a_2},h^{b_2},h);$如果输入是一个5元组[0,W,X,Y,k^d]且 W,X,Y∈G，则利用(3)计算的数据输出密文如果是其他的输入则输出⊥。 完成输出后将邮件转发给相应的代理收件人。

当加密邮件被重加密为对应代理收件人的格式后，邮件被转发给代理收件人， 代理收件人需要从重加密的邮件中恢复出明文，如图3，邮件恢复过程如下：重 加密邮件接收单元→重加密邮件解密单元→原始邮件搜索单元。

(5)重加密邮件接收单元。接收重加密输出单元转发的邮件，并交给重加密 邮件解密单元处理。本实例中，重加密邮件接收单元如果接收到的即不是pk₁,pk₂， 也不是⊥则交给下一个单元处理。

(6)重加密邮件解密单元。代理邮件收件人使用自己的私钥将重加密邮件进 行解密。本实例中，代理收件人收到的加密邮件可以被写作 $[k^d,e{(g^{a_1(r+r^{\prime })},h^{a_{2}z/a_1})}^y,e{(g^{b_1(s+s^{\prime })},h^{b_{2}z/b_1})}^y,e{(g^{(r+s+r^{\prime }+s^{\prime })}·m,h^z)}^y·$$e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right),h^{zy},X·e{(k^c,H_1({\mathrm{id}}_2\left)\right)}^d],$即等于 $[k^d,{(g,h)}^{a_{2}z(r+r^{\prime })y},e{(g,h)}^{b_{2}z(s+s^{\prime })y},e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y·$$e{(k^c,H_1({\mathrm{id}}_1\left)\right)}^d·e(k^d,H_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right),h^{zy},X·e{(k^c,H_1({\mathrm{id}}_2\left)\right)}^d].$首先通过代理 接收者的密钥计算出$X=\frac{X·e{\left(k^c{H}_1\right({\mathrm{id}}_2\left)\right)}^d}{e(k^d,H_1{\left({\mathrm{id}}_2\right)}^c)},$计算$e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y=$$\frac{e{(g^{(r+s+r^{\prime }+s^{\prime })}·m,h^z)}^y·e{\left(k^c{H}_1\right({\mathrm{id}}_1\left)\right)}^d·e(k^d{H}_1{\left({\mathrm{id}}_1\right)}^{-c}·H_2(X\left)\right)}{e(k^d,H_2(X\left)\right)},$计算${\left(e{(g,h)}^{a_{2}z(r+r^{\prime })y}\right)}^{1/a_2}.$${\left(e{(g,h)}^{b_{2}z(s+s^{\prime })y}\right)}^{1/b_2}=e{(g,h)}^{yz(r+s+r^{\prime }+s^{\prime })};$再计算$\frac{e{(g,h)}^{(r+s+r^{\prime }+s^{\prime })zy}e{(m,h^z)}^y}{e{(g,h)}^{yz(r+s+r^{\prime }+s^{\prime })}}=$$e(m,h^{zy}).$

(7)原始邮件搜索单元。利用重加密邮件解密单元解密出来的值进行双线性 运算，可以得到最终邮件的明文。本实例中，原始邮件搜索单元得到了e(m,h^zy)， 并根据已知的h^zy，在消息空间中计算e(m_i,h^zy)＝e(m,h^zy)，最终得到m_i即是 邮件的明文。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是 对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不 脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发 明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。