張猛 尹其其

摘 要：為了保證身份認證過程中用戶身份不被冒用，身份認證數(shù)據(jù)必須經過加密后才可存儲、傳輸。當前，非對稱密碼技術應用已占據(jù)數(shù)據(jù)加密主流，特別是基于PKI技術的二代身份認證技術。此外，為應對未來愈發(fā)強大的算力攻擊，量子密碼技術在身份認證方面的研究應用也日益深入。論文重點梳理分析PKI技術的最新分支體系——IBC密碼體系和量子密碼技術在身份認證技術中的應用，以期為相關身份認證系統(tǒng)設計提供參考。

關鍵詞：IBC密碼體系；量子密碼技術；身份認證；PKI技術

中圖分類號： TP302 文獻標識碼：A

Abstract： In order to ensure that the user's identity is not fraudulently used in the authentication process， the authentication data must be encrypted before it can be stored and transmitted. At present， asymmetric cryptography technology has occupied the mainstream of data encryption， especially the second generation identity authentication technology based on PKI technology. In addition， in order to cope with the more powerful computational attacks in the future， the research and application of quantum cryptography in the field of identity authentication has become increasingly in-depth. This paper focuses on the analysis of the latest branch of PKI technology - IBC cryptosystem and quantum cryptography technology in the application of identity authentication technology， in order to provide a reference for the design of related identity authentication system.

Key words： IBC cryptosystem； quantum cryptography； identity authentication；PKI

1 引言

密碼技術的安全性決定了身份認證技術的安全性，本文主要介紹IBC（Identity Based Cryptograph）基于標識的密碼體系和量子密碼技術等加密技術在身份認證中的研究應用進展。哈希算法本質上是對的信息完整性進行校驗，不在本研究范圍內。

2 IBC標識密碼體系

IBC體系是在傳統(tǒng)的PKI體系基礎上發(fā)展而來，于1984年由以色列密碼學家Shamir提出，2006年我國將IBC體系標準化為中國國家算法標準并頒發(fā)算法型號SM9，2017年11月3日，我國SM2與SM9數(shù)字簽名算法成為ISO/IEC國際標準.在IBC體系中，可以使用用戶唯一標識（比如電子郵箱地址）+主密鑰+公共參數(shù)代替發(fā)放給用戶的證書。通過每個人的電子郵箱地址結合主密鑰和公共參數(shù)就可以為每個用戶創(chuàng)建唯一的私鑰，管理員只需要管理主密鑰+公共參數(shù)即可，這樣就極大地簡化了密鑰的管理，IBC體系中的密鑰管理只包括密鑰產生和密鑰更新[1]。因此，IBC體系除了保有PKI體系的技術優(yōu)點外，主要解決了在具體安全應用中PKI體系需要大量交換數(shù)字證書的問題，使安全應用更加易于部署和使用。

Yu等人[2]基于IBC體系和數(shù)字指紋特征，設計了一種中心化的身份認證識別系統(tǒng)，實驗證明IBC體系較傳統(tǒng)PKI體系系統(tǒng)復雜度顯著降低，系統(tǒng)帶寬消耗降低約30%，F(xiàn)AR（0.11%）和FRR（1.83%）也在可接受范圍內；Faraj等人[3]對在云計算系統(tǒng)中建立基于IBC體系的身份識別系統(tǒng)進行研究，認為IBC體系雖然解決了PKI體系中復雜的證書管理問題，但也面臨著私鑰管理等問題的挑戰(zhàn)，傳統(tǒng)PKI體系用戶私鑰是在終端本地安全生成并存儲的，無需傳輸?shù)胶笈_，不存在私鑰在網(wǎng)絡中傳送的問題。而在IBC體系中，私鑰在中央的密鑰服務器生成，私鑰要通過網(wǎng)絡傳送給終端側，在傳輸過程中的私鑰安全如何保證成了 IBC 體系相對于 PKI 體系新衍生的問題；Yong等人[4]針對內容中心網(wǎng)絡（Content Center Network）中面臨的用戶身份認證問題進行研究，認為IBC體系雖然無需再管理數(shù)字證書，但是其歸根結底是屬于非對稱密碼算法的，系統(tǒng)的安全性仍然由私鑰的安全性來決定，用戶私鑰雖然是在中央的密鑰服務器生成的，但是從用戶可控角度來講，其私鑰仍然要下發(fā)給用戶本人保存。如果用戶本人沒有安全的密鑰存儲介質，整個安全體系的安全性還是無從談起，這與PKI體系遇到私鑰存儲介質問題是完全一樣的。

3 量子密碼技術

量子密碼身份認證技術是以量子力學和密碼學為基礎發(fā)展的新型身份認證技術，其將使用者身份信息量子化，通過量子傳輸通道傳遞使用者身份密鑰.基于測不準原理，量子密碼在傳輸過程中難以被復制，即使強行復制所得到的復制結果也與使用者身份信息完全不契合。此外，量子密碼身份認證的信息即使被攔截，攔截者也無法準確破譯密碼內容獲知使用者身份信息。近5年來，相關量子密碼技術在身份認證中的研究進展主要集中在應對與中間人攻擊、截取/重放攻擊等攻擊手段的量子密鑰分發(fā)協(xié)議方面：Lim等人[5]針對量子身份認證系統(tǒng)中DIQKD（Device Independent Quantum Key Distribution，與設備無關的量子密鑰分配）易被利用貝爾試驗（Bell Test）檢測漏洞進行攻擊的問題，提出了一種新型密鑰分配方法。該方法中貝爾試驗可以在兩個完全隨機的獨立設備上進行，避免了量子信道損耗引起的檢測漏洞攻擊。

Lin等人[6]提出了一種基于星型網(wǎng)絡的量子密鑰分發(fā)協(xié)議，根據(jù)該協(xié)議，兩個任意用戶可以在信任中心的幫助下執(zhí)行密鑰分發(fā)，該協(xié)議使用鍵控散列函數(shù)來確保各方身份的可信性；Khalid等人[7]根據(jù)云服務面臨的身份認證問題，提出一種基于連續(xù)高斯調制的量子安全通信協(xié)議。該協(xié)議通過對連續(xù)變量載波進行高斯調制實現(xiàn)密鑰分發(fā)，能顯著提高密鑰分發(fā)效率；Lin等人[8]基于GHZ（Greenberger-Horne-Zeilinger）糾纏提出了一種多用戶量子密鑰分配認證協(xié)議，用戶可以在信任中心的幫助下提高密鑰分發(fā)效率并抵抗常見的安全攻擊。

Ma等人[9]提出一種基于連續(xù)變量的量子身份認證協(xié)議，該協(xié)議采用雙模壓縮真空態(tài)和相干態(tài)方法進行量子傳輸，實驗分析表明該協(xié)議可以有效進行用戶身份認證并一定程度抵抗高斯克隆攻擊；Jiang等人[10]基于Bell態(tài)的糾纏特性，提出了一種具有雙向身份認證功能的密鑰分配協(xié)議.該協(xié)議與傳統(tǒng)量子密鑰分配協(xié)議相比，只需進行一次量子序列傳輸就可以同時完成身份認證和密鑰分配，實驗結果表明該協(xié)議可以抵御重放攻擊和中間人攻擊等常規(guī)攻擊手段.。

4 存在問題和發(fā)展方向

密碼算法決定了身份認證的強度和可信程度。從應用角度來看，未來密碼算法發(fā)展將朝著兩個方向發(fā)展，一是針對移動智能設備應用，輕量級加密算法將會成為一種研究熱點?，F(xiàn)有的傳統(tǒng)公鑰算法在移動智能設備上存在加解密周期較長、效率低下、能耗較高的問題.隨著可穿戴設備的廣泛應用，各類密碼算法將會針對有限的硬件資源進行優(yōu)化，實現(xiàn)輕量化。二是針對傳統(tǒng)PC端、云服務端應用，現(xiàn)有的經典密碼體系不斷遭到強大運算能力的挑戰(zhàn)，量子加密算法和抗量子攻擊算法（如基于格密碼體制）的研究或將成為研究熱點[11，12]。

5 結束語

隨著網(wǎng)絡空間安全形勢的愈加嚴峻，網(wǎng)絡可信身份認證技術作為安全防護的第一道關卡逐漸引起人們的重視。密碼算法技術作為身份認證技術的基石，越來越受到研究人員關注。本文重點分析了基于IBC標識密碼體系和量子密碼技術在身份認證領域的應用現(xiàn)狀、問題和未來發(fā)展方向，可為相關身份認證系統(tǒng)設計提供參考。

參考文獻

[1] Cao C， Zhang R， Zhang M， et al. IBC-Based Entity Authentication Protocols for Federated Cloud Systems[J]. Ksii Transactions on Internet & Information Systems. 2013， 7（5）： 1291-1312.

[2] Yu C， Lliu G. Authentication Methods Based on Digital Fingerprint Random Encryption IBC[J]. Journal of Software. 2014， 9（6）.

[3] Faraj S T， Al-Heeti S， Kifayat K. Mediated IBC-Based Management System of Identity and Access in Cloud Computing[J]. Tikrit Journal of Engineering Science. 2014， 20（3）.

[4] Yong M A. Security authentication scheme based on IBC for content center network[J]. Electronic Design Engineering. 2016.

[5] Lim C C W， Portmann C， Tomamichel M， et al. Device-Independent Quantum Key Distribution with Local Bell Test[J]. 2013， 3（31006）.

[6] Lin S， Huang C， Liu X F. Multi-user quantum key distribution based on Bell states with mutual authentication[J]. Physica Scripta. 2013， 87（87）： 35008.

[7] Khalid R， Zukarnain Z A， Hanapi Z M， et al. Authentication mechanism for cloud network and its fitness with quantum key distribution protocol： A survey[J]， 2015，81（1）：51-64.

[8] Lin S， Wang N， Guo G D， et al. Multi-user quantum key distribution with mutual authentication[J]. Scientia Sinica， 2015， 45（4）： 40302.

[9] Ma H， Huang P， Bao W， et al. Continuous-variable quantum identity authentication based on quantum teleportation[J]. Quantum Information Processing， 2016， 15（6）： 1-16.

[10] Jiang Y， Zhang S， Chang Y， et al. Quantum key distribution protocol with two-way identity authentication[J]. Chinese Journal of Quantum Electronics， 2018，3（1）：18-28.

[11] 宋憲榮，張猛.國外網(wǎng)絡可信身份認證技術發(fā)展現(xiàn)狀、趨勢及對我國的啟示[J].網(wǎng)絡空間安全， 2018（2）：6-11.

[12] 宋憲榮， 張猛.網(wǎng)絡可信身份認證技術問題研究[J].網(wǎng)絡空間安全， 2018（3）：69-77.