石典佑

（國防科技大學(xué) 計算機(jī)學(xué)院，長沙 410073）

隨著信息技術(shù)的蓬勃發(fā)展，人們對信息安全愈發(fā)關(guān)注，而密碼學(xué)則為信息的安全可靠提供了強(qiáng)有力的保障。根據(jù)通信雙方是否使用相同的密鑰，現(xiàn)代密碼學(xué)可以大致分為對稱密碼學(xué)和非對稱密碼學(xué)2 大類。在對稱密碼學(xué)中，通信雙方使用相同的密鑰對消息進(jìn)行加解密，運(yùn)行效率高，且安全性不依賴于任何假設(shè)，因此具有統(tǒng)計學(xué)上的安全性。但是由于通信雙方需要共享同一密鑰，故其不可避免地需要解決對稱密鑰的分發(fā)問題。非對稱密碼通過設(shè)計2 種完全不同的密鑰：私鑰和公鑰，避免了密鑰分發(fā)帶來的安全隱患。在加密方案中，加密方利用公鑰對消息進(jìn)行加密，而只有擁有對應(yīng)私鑰的解密方才能正確解密；而在簽名方案中，簽名方利用私鑰進(jìn)行簽名，其他所有實體都可以利用公鑰對簽名的正確性進(jìn)行驗證。

然而在傳統(tǒng)的公鑰密碼體制中，公鑰的可靠性需要由可信的證書認(rèn)證中心（Certificate Authority，CA）頒發(fā)數(shù)字證書作為安全憑證進(jìn)行驗證[1]。在大規(guī)模系統(tǒng)進(jìn)行部署時，需要對海量的證書進(jìn)行管理，頻繁的證書交換與認(rèn)證會降低系統(tǒng)的運(yùn)行效率[2]。為避免數(shù)字證書頒發(fā)和驗證引起的效率問題，Shamir[3]于1984 年首次提出了標(biāo)識密碼學(xué)（Identity-Based Cryptography，IBC）理念，將用戶的郵箱、地址等身份標(biāo)識直接作為用戶公鑰，無須數(shù)字證書即可確保公鑰的可靠性，讓密碼方案更加輕便高效。

隨著我國自主設(shè)計的商用標(biāo)識密碼SM9 成為行業(yè)標(biāo)準(zhǔn)，標(biāo)識密碼得到了更為廣泛的應(yīng)用，許多研究者更是進(jìn)一步為標(biāo)識密碼引入更為豐富的功能與安全屬性[4-6]。本文主要圍繞標(biāo)識密碼學(xué)領(lǐng)域，結(jié)合當(dāng)下的研究熱點，對標(biāo)識密碼學(xué)的相關(guān)基礎(chǔ)和研究現(xiàn)狀進(jìn)行梳理，最后對發(fā)展前景進(jìn)行歸納總結(jié)。

1 預(yù)備知識

本章主要對標(biāo)識密碼學(xué)領(lǐng)域涉及的基本知識進(jìn)行簡要回顧，主要包括橢圓曲線、雙線性對及其困難問題。

1.1 橢圓曲線

橢圓曲線（elliptic curve）在標(biāo)識密碼領(lǐng)域具有重要意義，橢圓曲線上的點群（the group of points of an elliptic curve）構(gòu)成了標(biāo)識密碼基本的計算空間，其基本形式如圖1 所示。

圖1 橢圓曲線

式中：-R 為R 的逆元，2 者關(guān)于x 軸對稱；R 為P，Q 連線與的交點。

1.2 雙線性對

雙線性對（paring）是實現(xiàn)標(biāo)識密碼的重要工具，基于雙線性對的困難問題是標(biāo)識密碼學(xué)安全性的基石。記G1，G2是q 階加法群，Gr為q 階乘法群，雙線性對為滿足如下條件的映射。

（1）雙線性性（bilinearity）：對于所有P∈G1，Q∈G2和成立。

1.3 雙線性對上的困難問題

標(biāo)識密碼的安全性依賴于底層的困難問題假設(shè)，這些問題的困難性體現(xiàn)在不存在多項式時間算法能夠?qū)ζ溥M(jìn)行求解。以下為常見的雙線性對上的困難問題，其中，分別為q 階循環(huán)群的生成元。

2 標(biāo)識密碼的算法定義

標(biāo)識加密（Identity-Based Encryption，IBE）和標(biāo)識簽名（Identity-Based Signature，IBS）方案是標(biāo)識密碼學(xué)的2 個基本研究領(lǐng)域，其他諸如標(biāo)識簽密算法[5]、層次式標(biāo)識密碼[12]等密碼原語則為其引入新的功能需求與安全定義。

2.1 標(biāo)識加密方案

在傳統(tǒng)公鑰加密環(huán)境下，發(fā)送方需要從公開渠道獲取接收方的公鑰及數(shù)字證書對其進(jìn)行驗證。經(jīng)過多次數(shù)據(jù)傳輸和計算驗證后，發(fā)送方才能正式用該公鑰向接收方發(fā)送第一條加密消息。在標(biāo)識加密算法中，這一繁雜的過程將不復(fù)存在，發(fā)送方可以直接將接收方的標(biāo)識（例如地址、郵箱等）作為公鑰信息對數(shù)據(jù)進(jìn)行加密發(fā)送給接收方。在標(biāo)識加密算法中，存在一個可信任的密鑰生成機(jī)構(gòu)（Private Key Generator,PKG），接收方的私鑰由PKG 進(jìn)行計算。

標(biāo)識加密方案IBE 包含以下4 個概率多項式時間算法：系統(tǒng)構(gòu)建算法S，密鑰生成算法G，加密算法E和解密算法D。

系統(tǒng)構(gòu)建算法S（λ）由PKG 運(yùn)行，輸入安全參數(shù)λ，輸出系統(tǒng)主公私鑰對（mak，msk）。

密鑰生成算法G（msk，id）由PKG 運(yùn)行，輸入主公鑰mpk 和用戶身份標(biāo)識id，輸出用戶私鑰skid。

加密算法E（mpk，id，m）由加密方運(yùn)行，輸入主公鑰mpk、接收方身份標(biāo)識id 和明文m，輸出密文c。

解密算法D（skid，c）由解密方運(yùn)行，輸入用戶私鑰skid和密文c，輸出明文m（若密文不正確，則返回一個特殊值⊥）。

對于標(biāo)識加密算法而言，其正確性表現(xiàn)為對于同一個主公私鑰對，正確加密的密文總能被對應(yīng)的接收方正確解密，即

式中：ID 為有限標(biāo)識空間；M 為有限消息空間；C 為有限密文空間。

2.2 標(biāo)識簽名方案

標(biāo)識加密算法保護(hù)數(shù)據(jù)的機(jī)密性，標(biāo)識簽名算法關(guān)注的是數(shù)據(jù)的完整性。標(biāo)識簽名算法利用私鑰對消息進(jìn)行簽名，數(shù)據(jù)的接收方可以利用發(fā)送方的標(biāo)識對簽名和消息的一致性進(jìn)行驗證，一旦消息遭到篡改，接收方可以通過簽名及時發(fā)現(xiàn)。同時，由于只有擁有私鑰的一方才可以生成可以利用標(biāo)識進(jìn)行驗證的合法簽名，因此也實現(xiàn)了消息發(fā)送方的不可抵賴性。

標(biāo)識簽名方案IBS 由以下4 個概率多項式時間算法構(gòu)成：系統(tǒng)構(gòu)建算法S，密鑰生成算法G，簽名算法I和驗簽算法V。

系統(tǒng)構(gòu)建算法S（λ）為PKG 運(yùn)行的概率性算法，輸入安全參數(shù)λ，輸出系統(tǒng)主公私鑰對（mak，msk）。

密鑰生成算法G（msk，id）為PKG 運(yùn)行的概率性算法，輸入主公鑰mpk 和用戶身份標(biāo)識id，輸出用戶私鑰skid。

簽名算法I（skid，m）為簽名方運(yùn)行的概率性算法，輸入私鑰skid和消息m，輸出簽名σ。

驗簽算法V（mpk，id，m，σ）為驗簽方運(yùn)行的確定性算法，輸入主公鑰mpk、簽名方的標(biāo)識id 和簽名σ，輸出accept 或reject。

標(biāo)識簽名算法的正確性表現(xiàn)為在相同的主公私鑰對（mak，msk）下，簽名方運(yùn)行算法I 得到的簽名σ 總能被以其標(biāo)識id 為輸入的算法V 所接受，即

式中：ID 為有限標(biāo)識空間；M 為限消息空間；Σ 為有限簽名空間。

3 標(biāo)識密碼學(xué)的研究現(xiàn)狀

自Shamir[3]于1984 年首次提出標(biāo)識密碼學(xué)以來，標(biāo)識密碼學(xué)領(lǐng)域的相關(guān)研究工作已經(jīng)愈發(fā)完善。標(biāo)識密碼學(xué)的研究范圍在不斷擴(kuò)展，標(biāo)識簽密、層次式標(biāo)識密碼等不同概念的相繼提出，滿足了不同的應(yīng)用場景與安全需求。就在2020 年，我國自主設(shè)計的SM9 標(biāo)識系列密碼成為了我國國家標(biāo)準(zhǔn)，圍繞SM9 的應(yīng)用拓展和安全分析進(jìn)一步成為了當(dāng)前學(xué)術(shù)界的研究熱點。本章分別從標(biāo)識密碼的相關(guān)研究和國密SM9 的相關(guān)研究2 個方面來闡述標(biāo)識密碼學(xué)的研究現(xiàn)狀。

3.1 標(biāo)識密碼的相關(guān)研究

1984 年，Shamir[3]首次提出了標(biāo)識密碼的概念，用戶可以直接利用郵箱、地址等字符串作為用戶標(biāo)識，用于加密和簽名的操作，消除了傳統(tǒng)公鑰密碼體系對數(shù)字證書的依賴，標(biāo)識密碼自此受到學(xué)術(shù)界的廣泛關(guān)注。但是，直到2000 年，盡管許多學(xué)者針對標(biāo)識密碼的理念提出了不同的方案構(gòu)造，卻均缺乏實用性。直到2001年，Dan 等[7]利用雙線性對，成功構(gòu)造出了第一個具有實用價值的標(biāo)識加密方案。于是，雙線性對被廣泛應(yīng)用于標(biāo)識密碼的構(gòu)造中，許多高效的方案被相繼提出。

標(biāo)識密碼算法需要一個密鑰生成機(jī)構(gòu)（Private Key Generator，PKG）負(fù)責(zé)所有節(jié)點的私鑰生成，在大規(guī)模的系統(tǒng)部署中，PKG 需要承擔(dān)高額的計算和通信開銷。為緩解單一PKG 的壓力，Jeremy 等[13]提出了層次式標(biāo)識加密（Hierarchical Identity-Based Encryption，HIBE）的概念，將系統(tǒng)節(jié)點部署為樹形結(jié)構(gòu)，各級PKG均有為其子節(jié)點生成密鑰的能力，從而緩解了單一PKG 進(jìn)行密鑰分發(fā)的負(fù)擔(dān)。同年，Craig 等[14]設(shè)計了首個層次式標(biāo)識簽名算法（Hierarchical Identity-Based Encryption，HIBS），但是沒有給出具體的安全分析。在2005 年，Sherman 等[15]在隨機(jī)預(yù)言機(jī)模型下提出了第一個可證明安全的HIBS 方案。Li 等[16]在2006 年提出了標(biāo)準(zhǔn)模型可證明安全的HIBE 方案，同時文章也給出了一個HIBS 的新構(gòu)造，具有比Sherman 等[15]的方案更高的運(yùn)行效率。在上述的HIBE 和HIBS 方案中，節(jié)點的密鑰長度和簽名長度隨著節(jié)點的深度而不斷增長，在大規(guī)模的系統(tǒng)部署時，位于底層的節(jié)點運(yùn)行時需要使用更多的計算資源與傳輸帶寬。

為解決層次式標(biāo)識密碼計算通信開銷隨節(jié)點深度增長而增加的問題，DAN 等[17]提出了密文定長的HIBE算法。同年，Yu 等[18]在密鑰生成階段，增加了各層參數(shù)的運(yùn)算過程，從而避免了公鑰參數(shù)隨節(jié)點層級增加的問題。2013 年，Wu 等[19]進(jìn)一步對算法進(jìn)行了改進(jìn)，提出了具有更短密鑰的HIBS 方案。

在安全性方面，標(biāo)識密碼的前向安全屬性也是學(xué)者廣泛研究的一個熱點問題。傳統(tǒng)的加密和簽名方案中，一旦私鑰遭到泄露，那么敵手可以解密過去任意時間點的密文，偽造過去任意時間點的簽名。滿足前向安全性的方案可以保證即使某一時刻的密鑰遭到泄露，過去時間產(chǎn)生的密文和簽名依然能夠保證安全。2008年，Liu 等[20]基于雙線性對，提出了首個前向安全的標(biāo)識簽名算法（Forward-Secure IBS，F(xiàn)SIBS）。不過遺憾的是，文章僅對方案的安全性進(jìn)行簡要的分析，未給出形式化的安全證明。Yu 等[21]在給出了FSIBS 正式的算法定義和安全模型后，給出了第一個具有可證明安全的FSIBS 方案。Hyunok 等[22]和Hankyung 等[23]分別提出了主密鑰泄露情況下的FSIBS 方案。Wei 等[24]進(jìn)一步考慮到標(biāo)識密碼算法中可撤銷的安全屬性，利用二叉樹對所有節(jié)點進(jìn)行管理，實現(xiàn)了可撤銷的FSIBS 方案。

3.2 國密SM9 的相關(guān)研究

SM9 是我國自主研發(fā)的標(biāo)識密碼算法，具體包括數(shù)字簽名算法、密鑰交換算法、密鑰封裝機(jī)制和公鑰加密算法，具有可證明的安全性[25]。如今不但成為了我國國家標(biāo)準(zhǔn)，而且也納入了國際標(biāo)準(zhǔn)之中[1]，在物聯(lián)網(wǎng)安全[26]、智能變電站安全防護(hù)[27]、區(qū)塊鏈隱私保護(hù)[28]和移動互聯(lián)網(wǎng)身份認(rèn)證[29]等領(lǐng)域均取得了廣泛的應(yīng)用。

甘植旺等[30]考慮到SM9 密碼體制運(yùn)行效率問題，通過對SM9 中重要的R-ate 雙線性對進(jìn)行分析，提出了一種快速計算的算法，顯著提升了算法的運(yùn)行效率。王明東等[31]進(jìn)一步針對R-ate 雙線性對中模冪運(yùn)算進(jìn)行優(yōu)化，與傳統(tǒng)實現(xiàn)方式相比，性能提高近3 倍。王松等[32]通過參數(shù)預(yù)計算的方式，提高了SM9 簽名和驗簽的速度，同時對指數(shù)和乘法運(yùn)算進(jìn)行優(yōu)化，提高了SM9簽名驗簽算法的運(yùn)算性能。楊國強(qiáng)等[33]將基于固定基的快速模冪算法應(yīng)用于SM9 的FPGA 實現(xiàn)中，將SM9簽名算法提升2.3 倍。

基于SM9 標(biāo)識系列密碼，學(xué)者們提出了各種擴(kuò)展方案。張超等[4]利用SM9 標(biāo)識加密算法，設(shè)計了具有可證明安全的可搜索加密方案，將安全性歸約到DBDH問題的困難性假設(shè)上。賴建昌等[5]對SM9 標(biāo)識加密算法進(jìn)行改進(jìn)，提出了加密與簽名相結(jié)合的標(biāo)識簽名算法，并通過嚴(yán)格的安全證明，將方案的安全性歸約到了底層q-SDH 和q-BDHI 問題的困難性假設(shè)上。盲簽名是數(shù)字簽名領(lǐng)域的一種重要技術(shù)，其允許簽名者在對消息未知的情況下進(jìn)行簽名，張雪鋒等[34]基于SM9 標(biāo)識簽名算法提出了具有比傳統(tǒng)RSA 機(jī)制下更高效率的盲簽名方案。另外，張雪鋒等[35]進(jìn)一步設(shè)計了基于SM9 的環(huán)簽名方案。但是他們的方案僅給出了簡單的安全說明，并未給出嚴(yán)格的安全分析。彭聰?shù)萚36]在隨機(jī)預(yù)言機(jī)模型下，給出了可證明安全的基于SM9 的環(huán)簽名方案，與相關(guān)工作相比，方案在簽名和驗簽效率上均有提升。安濤等[37]基于SM9 標(biāo)識密碼算法提出了聚合簽名方案，大大提升了認(rèn)證效率。

4 標(biāo)識密碼學(xué)的發(fā)展前景

綜合考慮學(xué)術(shù)界標(biāo)識密碼學(xué)的現(xiàn)有研究成果，未來對標(biāo)識密碼學(xué)的研究可以主要集中于以下3 個方面。

4.1 效率

現(xiàn)有的標(biāo)識密碼算法廣泛使用橢圓曲線上的雙線性對進(jìn)行構(gòu)造，因此如何加速雙線性對的運(yùn)算速度是提升算法整體運(yùn)行效率的關(guān)鍵。此外，根據(jù)所選擇的橢圓曲線不同，對算法的實現(xiàn)也有不同程度的影響。因此，未來可以考慮從底層算法優(yōu)化的角度出發(fā)，考慮尋找、選取更合適的配對友好橢圓曲線，優(yōu)化橢圓曲線點群中加法的運(yùn)算效率，結(jié)合雙線性對的結(jié)構(gòu)特點，降低其計算開銷。此外，可以進(jìn)一步結(jié)合硬件實現(xiàn)，設(shè)計雙線性對的硬件電路，從底層實現(xiàn)雙線性對運(yùn)算的加速優(yōu)化。在另一方面，可以進(jìn)一步尋找合適的數(shù)據(jù)結(jié)構(gòu)，在標(biāo)識密碼算法的設(shè)計中，降低橢圓曲線點群和雙線性對的運(yùn)算次數(shù)，減少生成與傳輸?shù)膮?shù)規(guī)模，從而提高標(biāo)識密碼算法的計算和通信效率。此外，可以進(jìn)一步結(jié)合云計算，將橢圓曲線點群和雙線對的運(yùn)算，以及其他諸如大整數(shù)模冪等需要占用大量計算和存儲資源的操作外包給云服務(wù)器，從而降低單個節(jié)點的運(yùn)算負(fù)擔(dān)。

4.2 安全性

層次式標(biāo)識密碼算法的提出，將傳統(tǒng)標(biāo)識密碼中單個PKG 的負(fù)載逐級下放，減輕單個PKG 的密鑰分發(fā)負(fù)擔(dān)。但是各級PKG 為下層節(jié)點分發(fā)的私鑰使用的是其自主產(chǎn)生的隨機(jī)數(shù)，此隨機(jī)數(shù)的來源無法認(rèn)證，子節(jié)點無法對得到的私鑰進(jìn)行驗證，可能存在中間人攻擊的風(fēng)險。因此，可以為私鑰的產(chǎn)生提供進(jìn)一步的驗證機(jī)制，將私鑰和PKG 的標(biāo)識進(jìn)行綁定，使子節(jié)點可以通過公開參數(shù)對私鑰來源進(jìn)行驗證。在標(biāo)識密碼學(xué)的前向安全性上，目前學(xué)術(shù)界廣泛采用的實現(xiàn)方式是基于二叉樹或基于強(qiáng)RSA 難題假設(shè)[38-39]?；诙鏄涞姆桨腹?jié)點需要保存大量的私鑰用于實現(xiàn)節(jié)點的密鑰自更新，而基于強(qiáng)RSA 難題假設(shè)的方案涉及大量的模冪運(yùn)算。因此，可以考慮尋找新的工具對標(biāo)識密碼學(xué)的前向安全性進(jìn)行實現(xiàn)，提升其運(yùn)行效率。此外，當(dāng)量子計算機(jī)來臨時，公鑰密碼學(xué)的基本難題假設(shè)大整數(shù)分解和離散對數(shù)問題將不再困難，對標(biāo)識密碼學(xué)的經(jīng)典算法會造成嚴(yán)重威脅。因此，設(shè)計后量子安全的標(biāo)識密碼算法也是當(dāng)前的一個研究熱點。

4.3 應(yīng)用

標(biāo)識密碼學(xué)在電子郵箱等網(wǎng)絡(luò)通信領(lǐng)域可以降低通信輪次，提升通信效率；在物聯(lián)網(wǎng)系統(tǒng)中，可以避免數(shù)字證書的引入，減小物聯(lián)網(wǎng)節(jié)點的資源占用。未來在隱私保護(hù)領(lǐng)域，可以考慮進(jìn)一步實現(xiàn)標(biāo)識的匿名化，即考慮加密方和簽名方在通信過程中保持標(biāo)識的隱蔽性，防止敵手通過密文或簽名對消息的來源進(jìn)行溯源。在同態(tài)加密領(lǐng)域，可以考慮具有同態(tài)操作的標(biāo)識加密算法或標(biāo)識簽名算法，使得加密方或簽名方直接在密文或簽名上進(jìn)行數(shù)據(jù)的添加，減少頻繁加密和簽名帶來的開銷。對于其他密碼原語，諸如盲簽名、環(huán)簽名和閾值簽名，可以進(jìn)一步考慮使用國密SM9 標(biāo)識密碼算法進(jìn)行實現(xiàn)，進(jìn)一步豐富國產(chǎn)密鑰的應(yīng)用場景，設(shè)計更多自主可控的密碼方案。

5 結(jié)束語

本文圍繞標(biāo)識密碼的相關(guān)背景、算法定義和研究現(xiàn)狀對標(biāo)識密碼的研究進(jìn)展進(jìn)行了較為詳細(xì)的總結(jié)與回顧。標(biāo)識密碼學(xué)經(jīng)過將近40 年的不斷豐富完善，成為了備受關(guān)注的研究熱點。標(biāo)識密碼不但可以消除對傳統(tǒng)數(shù)字證書的依賴，而且還可以進(jìn)一步構(gòu)造更具實用性和安全性的算法協(xié)議。未來在針對新的應(yīng)用場景和后量子領(lǐng)域，可以通過引入新的功能需求和安全屬性，從而進(jìn)一步完善標(biāo)識密碼的相關(guān)研究。國密SM9 作為我國自主研發(fā)的標(biāo)識密碼算法，具有安全、靈活和易拓展等特點，對SM9 標(biāo)識密碼算法展開研究，既可以提出安全高效的算法協(xié)議，還可以加強(qiáng)國家安全領(lǐng)域的自主可控，無論是在理論方面還是實踐方面均有重大意義。