劉鏹+++王勝男

【摘要】近年來，基于身份標(biāo)識的密碼體制成為密碼研究領(lǐng)域的一個(gè)熱點(diǎn)。本文介紹了基于身份標(biāo)識的密碼學(xué)原理及其優(yōu)缺點(diǎn)，并描述了其在安全電子郵件中的應(yīng)用。

【關(guān)鍵詞】基于身份的密碼體制；IBE；電子郵件

1引言

1976年，美國密碼學(xué)家Diffie和Hellman提出了公鑰密碼體制的思想，這是密碼學(xué)上一個(gè)重要的里程碑。公鑰密碼體制不僅具有加密的功能，同時(shí)還有認(rèn)證的功能。在公鑰體制架構(gòu)下，加密和解密分別使用不同的密鑰，其中加密密鑰（即公鑰）是可以公開的，而解密密鑰（即私鑰）只有解密人自己知道，非法使用者是無法根據(jù)公開的加密密鑰來推算出解密密鑰的。加密密鑰的公開使用，使得密鑰的分配和管理比對稱密碼體制更簡單。

在傳統(tǒng)的公鑰密碼學(xué)中，公鑰是與身份無關(guān)的隨機(jī)字符串，存在如何確認(rèn)公鑰真實(shí)性的問題。這需要一個(gè)可信賴的第三方CA（Certificate Authority），又稱證書機(jī)構(gòu)，向系統(tǒng)中的各個(gè)用戶發(fā)行公鑰證書。公鑰證書上CA的簽名可把用戶的身份和其公鑰緊密地聯(lián)系起來。在這種架構(gòu)下，CA機(jī)構(gòu)是一個(gè)重要部門，負(fù)責(zé)用戶公鑰證書生命周期的每一個(gè)環(huán)節(jié)：生成、簽發(fā)、存儲(chǔ)、維護(hù)、更新、撤銷等。這種需要證書的密碼體制被稱為基于證書的公鑰密碼體制（PKI）。然而，PKI證書管理復(fù)雜，需要建造復(fù)雜的CA系統(tǒng)，且證書發(fā)布、吊銷、驗(yàn)證和保存需要占用較多資源，這就限制了PKI在實(shí)時(shí)和低帶寬環(huán)境中的廣泛應(yīng)用。

2基于身份標(biāo)識的密碼體制

為了簡化傳統(tǒng)的PKI公鑰體系架構(gòu)中CA對用戶證書的管理，Shamir于1984年提出了基于身份標(biāo)識的密碼學(xué)（IBC）的思想。其基本思想是把用戶的身份和其公鑰用最自然的方式綁定起來，也就是用戶的身份信息就是其公鑰。在基于身份標(biāo)識的密碼體制架構(gòu)下，只要知道某個(gè)用戶的身份就可以知道他的公鑰，而無需再去獲取并驗(yàn)證用戶的公鑰證書。因?yàn)楣€不需要分發(fā)，傳統(tǒng)公鑰密碼體制的大部分設(shè)施都會(huì)變得多余了。例如，如果一個(gè)用戶的身份是其電子郵件地址，那么任意一個(gè)信息發(fā)送者，只需要知道這個(gè)用戶的郵件地址，就可以給該用戶發(fā)送加密信息，而不需要其他機(jī)制來分發(fā)密鑰。

在提出IBC概念的同時(shí)，Shamir提出了一個(gè)采用RSA算法的基于身份的簽名算法（IBS）。但是基于身份的加密算法（IBE）長時(shí)間內(nèi)都沒有找到有效地解決方案。直到2001年，才由Boneh和Franklin提出了一個(gè)實(shí)用的IBE方案[3]，該方案采用橢圓曲線上的Weil對來實(shí)現(xiàn)，效率較好，并且給出了嚴(yán)格的安全性證明，所以在學(xué)術(shù)界引起了巨大的反響。

在基于身份標(biāo)識的公鑰密碼體制中，用戶公鑰可以是任意的比特串，一般采用用戶的姓名、地址、電子信箱地址等能標(biāo)識其身份的信息作為用戶公鑰，并且為了撤銷密鑰，在實(shí)際應(yīng)用時(shí)往往將日期（或其他時(shí)間標(biāo)識）作為用戶身份的一部分，這樣用戶私鑰到期后自然不能使用。用戶私鑰需要由一個(gè)可信第三方生成，這個(gè)可信第三方就是私鑰生成中心PKG。PKG的基本操作就是密鑰系統(tǒng)建立和產(chǎn)生私鑰。具體地講，用戶的公私鑰對是（PPKG， SPKG），標(biāo)識用戶公鑰的字符串是ID，那么PKG通過一個(gè)函數(shù)來生成用戶的私鑰SID，即SID=F（SPKG，ID）。一個(gè)基于身份的加密算法包括四個(gè)算法。

（1）系統(tǒng)建立算法：PKG創(chuàng)建系統(tǒng)參數(shù)和一個(gè)主密鑰。

（2）用戶私鑰提?。河脩魧⑺麄兩矸輼?biāo)識ID發(fā)送給PKG，PKG驗(yàn)證用戶身份并返回給對應(yīng)的用戶私鑰SID。

（3）加密算法：發(fā)送方利用接收方身份信息ID加密一個(gè)消息。

（4）解密算法：接收方利用自己的ID和對應(yīng)的私鑰SID解密密文。

3基于身份標(biāo)識的密碼體制的優(yōu)缺點(diǎn)

基于身份標(biāo)識的密碼體制具有幾個(gè)優(yōu)點(diǎn)。

（1）不需要公鑰證書，用戶的公鑰就是可以唯一識別其身份的信息。這樣，加密者或簽名驗(yàn)證者可以預(yù)先不需要知道接收者其他額外的信息。

（2）不需要證書機(jī)構(gòu)，只需要一個(gè)向各用戶服務(wù)的私鑰生成中心（PKG）。用戶提交自己的身份公鑰給PKG，PKG計(jì)算并頒發(fā)用戶的私鑰。

（3）基于身份的公鑰系統(tǒng)是一個(gè)天然的密鑰托管中心，必要時(shí)中心可以恢復(fù)用戶的私鑰，以監(jiān)聽用戶的通信內(nèi)容（然而，從用戶的隱私性這個(gè)角度講，這個(gè)優(yōu)點(diǎn)也是基于身份的密碼體制的一個(gè)缺點(diǎn)）。

（4）因?yàn)镻KG并不需要處理第三方的請求，IBE降低了支持加密的花費(fèi)和設(shè)施。

（5）密鑰撤銷簡單。PKG可以在用戶ID內(nèi)嵌入時(shí)間區(qū)間，以保證在時(shí)間過期后用戶私鑰失效，同時(shí)再生成一個(gè)新的私鑰發(fā)送給用戶。

（6）可以提供前向安全性。用一個(gè)基于身份的密碼系統(tǒng)去構(gòu)造非交互式前向安全密碼系統(tǒng)的一般方法是：用戶自己扮演PKG的角色，不過他的主密鑰和對應(yīng)的公鑰要從CA那里得到認(rèn)可；每一階段的公鑰就類似于基于身份的體制中的用戶身份信息，所對應(yīng)的私鑰就是從密鑰提取中得到的。

相對于PKI，基于身份的密碼系統(tǒng)也有一些缺點(diǎn)。

（1）密鑰托管問題。PKG可以有能力來解密任何一個(gè)用戶的信息或偽造任何一個(gè)用戶的簽名，但遺憾的是，從基于身份的密碼體制的基本前提來看，這個(gè)缺點(diǎn)是無法避免的。盡管有一些方法可以把托管的弊端的風(fēng)險(xiǎn)最小化，例如使用門限密碼讓多個(gè)實(shí)體來共同參與私鑰的生成。從隱私的角度來看，托管這一觀點(diǎn)是很不安全的。

（2）當(dāng)用戶多的時(shí)候，私鑰的生成就會(huì)變成PKG昂貴的計(jì)算。如果當(dāng)前的日期加入到客戶的公鑰ID里面，那么PKG每天都要為每一個(gè)客戶生成一個(gè)私鑰。而CA每天只需要發(fā)布一個(gè)證書撤銷列表（CRT）更新，并且CRT更新可能只需要較少的計(jì)算，因?yàn)樗锩鎯H需要包括當(dāng)天吊銷證書的用戶。

4基于IBE的安全電子郵件應(yīng)用

基于身份標(biāo)識的密碼體制可應(yīng)用于電子郵件、電子政務(wù)等領(lǐng)域。本文僅介紹基于IBE的安全電子郵件應(yīng)用。endprint

基于IBE的電子郵件收發(fā)系統(tǒng)如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進(jìn)行加密/簽名郵件的收發(fā)。

具體過程分幾步。

（1）系統(tǒng)建立。由PKG執(zhí)行初始化算法，產(chǎn)生系統(tǒng)的公開參數(shù)和系統(tǒng)主密鑰，準(zhǔn)備接收用戶私鑰申請；

（2）發(fā)送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個(gè)一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗(yàn)證A的信息，如果通過驗(yàn)證就在非安壘信遁上把私鑰發(fā)放給用戶A。用戶A和PKG之間的交互遵循協(xié)議SAKI-NEW。

（3）簽名/加密。用戶A想發(fā)送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時(shí)，整個(gè)簽名加密過程全部完成。

（4）發(fā)送郵件。A將簽名/加密后的電子郵件發(fā)送給郵件服務(wù)器。

（5）接收郵件。B從郵件服務(wù)器接收簽名/加密后的電子郵件。

當(dāng)B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗(yàn)證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實(shí)是A發(fā)送的電子郵件。

5結(jié)束語

基于身份標(biāo)識的密碼體制以其特有的優(yōu)點(diǎn)引起廣泛的關(guān)注，在最近的幾年中得到快速發(fā)展。隨著研究的深入，基于身份標(biāo)識密碼體制的新應(yīng)用被不斷提出，如今已經(jīng)能夠?qū)崿F(xiàn)更多的功能，除了基本的數(shù)字簽名、密鑰協(xié)商、公鑰加密外，還能應(yīng)用于廣播加密、環(huán)簽名、代理簽名、關(guān)鍵字搜索加密等領(lǐng)域。

基于身份的密碼體制在理論研究和應(yīng)用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應(yīng)用也值得探索，對目前實(shí)現(xiàn)基于身份的密碼體制的關(guān)鍵工具雙線性對的研究與實(shí)現(xiàn)也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構(gòu)造仍然值得繼續(xù)探討。

參考文獻(xiàn)

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業(yè)于中國科學(xué)院成都計(jì)算機(jī)應(yīng)用研究所，碩士學(xué)位，現(xiàn)任副總經(jīng)理，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業(yè)于東南大學(xué)獲碩士學(xué)位；主要研究方向和關(guān)注領(lǐng)域：信息安全。endprint

基于IBE的電子郵件收發(fā)系統(tǒng)如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進(jìn)行加密/簽名郵件的收發(fā)。

具體過程分幾步。

（1）系統(tǒng)建立。由PKG執(zhí)行初始化算法，產(chǎn)生系統(tǒng)的公開參數(shù)和系統(tǒng)主密鑰，準(zhǔn)備接收用戶私鑰申請；

（2）發(fā)送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個(gè)一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗(yàn)證A的信息，如果通過驗(yàn)證就在非安壘信遁上把私鑰發(fā)放給用戶A。用戶A和PKG之間的交互遵循協(xié)議SAKI-NEW。

（3）簽名/加密。用戶A想發(fā)送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時(shí)，整個(gè)簽名加密過程全部完成。

（4）發(fā)送郵件。A將簽名/加密后的電子郵件發(fā)送給郵件服務(wù)器。

（5）接收郵件。B從郵件服務(wù)器接收簽名/加密后的電子郵件。

當(dāng)B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗(yàn)證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實(shí)是A發(fā)送的電子郵件。

5結(jié)束語

基于身份標(biāo)識的密碼體制以其特有的優(yōu)點(diǎn)引起廣泛的關(guān)注，在最近的幾年中得到快速發(fā)展。隨著研究的深入，基于身份標(biāo)識密碼體制的新應(yīng)用被不斷提出，如今已經(jīng)能夠?qū)崿F(xiàn)更多的功能，除了基本的數(shù)字簽名、密鑰協(xié)商、公鑰加密外，還能應(yīng)用于廣播加密、環(huán)簽名、代理簽名、關(guān)鍵字搜索加密等領(lǐng)域。

基于身份的密碼體制在理論研究和應(yīng)用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應(yīng)用也值得探索，對目前實(shí)現(xiàn)基于身份的密碼體制的關(guān)鍵工具雙線性對的研究與實(shí)現(xiàn)也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構(gòu)造仍然值得繼續(xù)探討。

參考文獻(xiàn)

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業(yè)于中國科學(xué)院成都計(jì)算機(jī)應(yīng)用研究所，碩士學(xué)位，現(xiàn)任副總經(jīng)理，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業(yè)于東南大學(xué)獲碩士學(xué)位；主要研究方向和關(guān)注領(lǐng)域：信息安全。endprint

基于IBE的電子郵件收發(fā)系統(tǒng)如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進(jìn)行加密/簽名郵件的收發(fā)。

具體過程分幾步。

（1）系統(tǒng)建立。由PKG執(zhí)行初始化算法，產(chǎn)生系統(tǒng)的公開參數(shù)和系統(tǒng)主密鑰，準(zhǔn)備接收用戶私鑰申請；

（2）發(fā)送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個(gè)一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗(yàn)證A的信息，如果通過驗(yàn)證就在非安壘信遁上把私鑰發(fā)放給用戶A。用戶A和PKG之間的交互遵循協(xié)議SAKI-NEW。

（3）簽名/加密。用戶A想發(fā)送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時(shí)，整個(gè)簽名加密過程全部完成。

（4）發(fā)送郵件。A將簽名/加密后的電子郵件發(fā)送給郵件服務(wù)器。

（5）接收郵件。B從郵件服務(wù)器接收簽名/加密后的電子郵件。

當(dāng)B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗(yàn)證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實(shí)是A發(fā)送的電子郵件。

5結(jié)束語

基于身份標(biāo)識的密碼體制以其特有的優(yōu)點(diǎn)引起廣泛的關(guān)注，在最近的幾年中得到快速發(fā)展。隨著研究的深入，基于身份標(biāo)識密碼體制的新應(yīng)用被不斷提出，如今已經(jīng)能夠?qū)崿F(xiàn)更多的功能，除了基本的數(shù)字簽名、密鑰協(xié)商、公鑰加密外，還能應(yīng)用于廣播加密、環(huán)簽名、代理簽名、關(guān)鍵字搜索加密等領(lǐng)域。

基于身份的密碼體制在理論研究和應(yīng)用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應(yīng)用也值得探索，對目前實(shí)現(xiàn)基于身份的密碼體制的關(guān)鍵工具雙線性對的研究與實(shí)現(xiàn)也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構(gòu)造仍然值得繼續(xù)探討。

參考文獻(xiàn)

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業(yè)于中國科學(xué)院成都計(jì)算機(jī)應(yīng)用研究所，碩士學(xué)位，現(xiàn)任副總經(jīng)理，工程師；主要研究方向和關(guān)注領(lǐng)域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業(yè)于東南大學(xué)獲碩士學(xué)位；主要研究方向和關(guān)注領(lǐng)域：信息安全。endprint