基于身份的加密研究進(jìn)展

(北京科技大學(xué) 信息工程學(xué)院， 北京 100083)



摘 要：首先敘述了基于身份的加密定義和安全模型；然后總結(jié)了基于身份的加密的研究現(xiàn)狀，并分析了幾個(gè)典型的基于身份的加密方案；最后指出了基于身份的加密存在的問(wèn)題和進(jìn)一步的研究方向。

 關(guān)鍵詞：基于身份的加密； 雙線性映射； 隨機(jī)預(yù)言模型； 安全模型

 中圖分類(lèi)號(hào)：TP309 文獻(xiàn)標(biāo)志碼： A

文章編號(hào)：10013695(2008)12354105



Survey of research on identitybased encryption

LI Mingxiang， ZHENG Xuefeng， YAN Peng



(School of Information Engineering， University of Science Technology Beijing， Beijing 100083， China)



Abstract:

First of all，this paper described the definition and the security model of the identitybased encryption. Secondly， summarized current research achievements on the identitybased encryption， and analyzed several typical identitybased encryption schemes. Finally， pointed out the existing problems and the future research directions of the identitybased encryption.

 Key words：identitybased encryption; bilinear mapping; random oracle model; security model



0 引言

1984年Shamir^[1]提出了基于身份的密碼系統(tǒng)的思想。在這種密碼系統(tǒng)中，用戶(hù)的公鑰是用戶(hù)的身份信息，如email地址、IP地址和電話(huà)號(hào)碼等；用戶(hù)的私鑰是由私鑰生成中心(private key generators，PKG)產(chǎn)生的。因?yàn)榛谏矸莸拿艽a系統(tǒng)不需要數(shù)字證書(shū)，所以它避免了傳統(tǒng)公鑰密碼系統(tǒng)建立和管理公鑰基礎(chǔ)設(shè)施(public key infrastructure，PKI)的困難。雖然Shamir構(gòu)造了一個(gè)基于身份的簽名(identitybased signature，IBS)方案，但是他沒(méi)有提出基于身份的加密(identitybased encryption，IBE)方案。2001年，Boneh等人^[2]利用雙線性映射構(gòu)造了一個(gè)IBE方案；Cocks^[3]利用二次剩余也構(gòu)造了一個(gè)IBE方案，不過(guò)它的效率比BonehFranklin方案的效率低得多。2001年以后，人們利用雙線性映射構(gòu)造了大量的IBE方案。

在IBE系統(tǒng)中，PKG不但要生成用戶(hù)的私鑰，而且要驗(yàn)證用戶(hù)的身份以及建立傳輸用戶(hù)私鑰的安全通道。雖然一個(gè)PKG可以完成這些工作，但是這樣，PKG的負(fù)擔(dān)比較重，特別在用戶(hù)數(shù)量較大時(shí)更是如此。2002年，Horwitz等人^[4]提出了分層的IBE系統(tǒng)的概念；Gentry等人^[5]設(shè)計(jì)了一個(gè)分層的基于身份的加密(hierarchical identitybased encryption，HIBE)方案。在分層的系統(tǒng)中，PKG以樹(shù)狀結(jié)構(gòu)分布，根PKG只為它下一層的PKG或用戶(hù)產(chǎn)生私鑰，下層的PKG又為它下一層的PKG或用戶(hù)產(chǎn)生私鑰，并且身份的驗(yàn)證和私鑰的傳輸也可以在局部完成。這樣分層的系統(tǒng)就解決了一個(gè)PKG工作負(fù)擔(dān)過(guò)重的問(wèn)題。另外，在分層的系統(tǒng)中，低層PKG私鑰的泄露不會(huì)影響高層PKG私鑰的安全。

目前，基于身份的密碼系統(tǒng)已經(jīng)成為信息安全領(lǐng)域的研究熱點(diǎn)，本文綜述了基于身份的加密研究現(xiàn)狀，并指出了基于身份的加密有待解決的問(wèn)題。

1 預(yù)備知識(shí)

11 雙線性映射

b)非退化性(nondegeneracy)，e(g，g)≠1 G1，即如果g是 G的生成元，則e(g，g)是 G1的生成元；

c)可計(jì)算性(computability)，對(duì)于所有的u，v∈ G，存在有效的算法計(jì)算e(u，v)。

雙線性映射可以由有限域上的超橢圓曲線或超奇異橢圓曲線上的Weil配對(duì)^[2]或Tate配對(duì)^[6，7]構(gòu)造出來(lái)。

12 一些困難問(wèn)題

1)計(jì)算DiffieHellman(computational DiffieHellman，CDH)問(wèn)題

已知〈g，ga，gb〉，其中，a，b∈ Z*p，計(jì)算gab。該問(wèn)題就是在 G中的CDH問(wèn)題。在 G中的CDH問(wèn)題是難解的，該假設(shè)就是CDH假設(shè)。

2) 決策DiffieHellman(decisional DiffieHellman，DDH)問(wèn)題 

已知〈g，ga，gb，gc〉，其中，a，b，c∈ Z*p，判斷c=ab mod p是否成立。該問(wèn)題就是在 G中的DDH問(wèn)題。

因?yàn)橥ㄟ^(guò)驗(yàn)證e(ga，gb)=e(g，gc)可以在多項(xiàng)式時(shí)間內(nèi)解決在 G中的DDH問(wèn)題，所以在 G中的DDH問(wèn)題是易解的。在 G1中的DDH問(wèn)題是難解的，該假設(shè)就是DDH假設(shè)。

對(duì)于 G來(lái)說(shuō)，如果存在能夠解決在 G中的DDH問(wèn)題的多項(xiàng)式時(shí)間算法，但是不存在以不可忽略的成功概率解決在 G中的CDH問(wèn)題的多項(xiàng)式時(shí)間算法，則 G是間隙DiffieHellman(gap DiffieHellman，GDH)群。在雙線性映射領(lǐng)域可以找到GDH群的例子。

3)雙線性DiffieHellman(bilinear DiffieHellman，BDH)問(wèn)題

對(duì)于( G， G1，e)來(lái)說(shuō)，已知〈g，ga，gb，gc〉，其中，a，b，c∈ Z*p，計(jì)算e(g，g)abc。該問(wèn)題就是在( G， G1，e)上的BDH問(wèn)題。在( G， G1，e)中的BDH問(wèn)題是難解的，該假設(shè)就是BDH假設(shè)。

4)決策雙線性DiffieHellman(decisional bilinear DiffieHellman，DBDH)問(wèn)題

對(duì)于( G， G1，e)來(lái)說(shuō)，已知〈g，ga，gb，gc，r〉，其中，a，b，c∈ Z*p，r∈ G1，判斷r=e(g，g)abc是否成立。該問(wèn)題就是在( G， G1，e)上的DBDH問(wèn)題。在( G， G1，e)中的DBDH問(wèn)題是難解的，該假設(shè)就是DBDH假設(shè)。

另外，還有其他一些困難問(wèn)題，具體可參閱文獻(xiàn)[8]。

2 基于身份的加密的基本概念

21 定義

一個(gè)基于身份的加密方案由四個(gè)隨機(jī)算法組成：

a）系統(tǒng)初始化算法setup。該算法的輸入是安全參數(shù)k，輸出是系統(tǒng)參數(shù)params和主密鑰msk。系統(tǒng)參數(shù)包括PKG的公開(kāi)參數(shù)、消息空間的描述 和密文空間的描述 ，并且系統(tǒng)參數(shù)是公開(kāi)的，而主密鑰只有PKG知道。該算法由PKG執(zhí)行。

b）私鑰生成算法keyGen。該算法的輸入是params、主密鑰msk和身份ID，輸出是ID對(duì)應(yīng)的私鑰d。該算法由PKG執(zhí)行。

c)加密算法encrypt。該算法的輸入是params、身份ID和消息M∈ ，輸出是密文C∈ 。該算法由加密者執(zhí)行。

d)解密算法decrypt。該算法的輸入是params、密文C∈ 和私鑰d，輸出是消息M∈ 。該算法由解密者執(zhí)行。

這些算法必須滿(mǎn)足標(biāo)準(zhǔn)的一致性要求，即在d是由算法keyGen產(chǎn)生的公鑰ID的私鑰時(shí)，有M∈ :decrypt(params，C，d)=M。其中，C=encrypt(params，ID，M)。

22 安全模型

不可區(qū)分適應(yīng)性選擇密文攻擊(INDCCA2)安全是公鑰加密方案標(biāo)準(zhǔn)的安全概念。Boneh等人^[2]定義了IBE方案的不可區(qū)分適應(yīng)性選擇密文攻擊(INDIDCCA2)安全，這個(gè)安全概念允許敵手適應(yīng)性地選擇生成挑戰(zhàn)密文的身份。具體地，它是由下面的游戲

a)私鑰詢(xún)問(wèn)〈IDi〉。挑戰(zhàn)者通過(guò)運(yùn)行keyGen算法生成身份IDi對(duì)應(yīng)的私鑰di-1的結(jié)果。

2)挑戰(zhàn) 敵手結(jié)束階段1的詢(xún)問(wèn)，輸出長(zhǎng)度相等的明文M0，M1∈ 和身份ID*。要求在階段1中敵手沒(méi)有詢(xún)問(wèn)過(guò)ID*的私鑰。挑戰(zhàn)者隨機(jī)選擇b∈{0，1}，計(jì)算C*=encrypt(params，ID*，Mb)，并把C*作為挑戰(zhàn)發(fā)送給敵手。

階段2敵手提出更多的詢(xún)問(wèn)qm+1，qm+2，…，qn。其中，qi是下面兩種情形之一:

這些詢(xún)問(wèn)也是適應(yīng)性地進(jìn)行的。

3)猜測(cè) 敵手輸出猜測(cè)b′∈{0，1}。如果b′=b，則敵手贏得游戲。

本文把上面游戲中的敵手 稱(chēng)為INDIDCCA2敵手，并且敵手 攻擊IBE方案ε的優(yōu)勢(shì)定義為

這是在挑戰(zhàn)者和敵手使用的隨機(jī)位下的概率。

應(yīng)當(dāng)注意在上述定義中，敵手可以提出私鑰詢(xún)問(wèn)，并且生成挑戰(zhàn)的公鑰也是敵手選擇的。除此之外上述定義與標(biāo)準(zhǔn)的INDCCA2安全定義是一樣的。這也可以看出，INDIDCCA2安全的強(qiáng)度比標(biāo)準(zhǔn)的INDCCA2的稍微強(qiáng)一點(diǎn)。

Canetti等人^[9]定義了一個(gè)弱的安全概念，即選擇身份不可區(qū)分適應(yīng)性選擇密文攻擊(INDsIDCCA2)安全。定義這個(gè)安全概念的游戲與上面的游戲幾乎是一樣的，只是敵手在系統(tǒng)參數(shù)生成階段開(kāi)始前就將目標(biāo)身份ID*透露給挑戰(zhàn)者。

定義1如果所有的運(yùn)行時(shí)間為t的INDIDCCA2(或INDsIDCCA2)敵手 在上面的游戲中獲勝的優(yōu)勢(shì)為advε， (k)<ε，并且敵手提出最多qID次私鑰詢(xún)問(wèn)和最多qC次解密詢(xún)問(wèn)，則這個(gè)IBE方案ε是(t，qI(xiàn)D，qC，ε)INDIDCCA2(或INDsIDCCA2)安全的。

IBE方案的不可區(qū)分適應(yīng)性選擇明文攻擊(INDIDCPA)安全和選擇身份不可區(qū)分適應(yīng)性選擇明文攻擊(INDsIDCPA)安全也可以作類(lèi)似定義。

定義2如果一個(gè)IBE方案ε是(t，qI(xiàn)D，0，ε)INDIDCCA2(或INDsIDCCA2)安全的，則ε是(t，qI(xiàn)D，ε)INDIDCPA(或INDsIDCPA)安全的。

3 幾種基于身份的加密方案

31 Waters IBE方案^[10]

2001年Boneh和Franklin提出了一個(gè)在隨機(jī)預(yù)言模型^[11]下INDIDCCA2安全的IBE方案；2004年Boneh等人^[12]提出了一個(gè)在標(biāo)準(zhǔn)模型（不使用隨機(jī)預(yù)言的模型）下INDsIDCPA安全的IBE方案。雖然通過(guò)人為地限制身份的范圍可以將selectiveID安全的IBE轉(zhuǎn)換為adaptiveID安全的IBE，但是這個(gè)轉(zhuǎn)換過(guò)程的安全歸約不是多項(xiàng)式時(shí)間的。2004年Boneh等人^[13]設(shè)計(jì)了一個(gè)在標(biāo)準(zhǔn)模型下INDIDCPA安全的IBE方案，并且它的安全歸約是多項(xiàng)式時(shí)間的，不過(guò)這個(gè)方案的效率非常低。根據(jù)BonehBoyen IBE方案^[13]，2005年Waters^[10]提出了一個(gè)高效的在標(biāo)準(zhǔn)模型下INDIDCPA安全的IBE方案，但是這個(gè)方案的公開(kāi)參數(shù)非常長(zhǎng)。根據(jù)Waters IBE方案^[10]，2005年Naccache^[14]提出了 一個(gè)安全實(shí)用的IBE方案；Chatterjee等人^[15]也獨(dú)立地提出了一個(gè)IBE方案，這兩個(gè)方案是一樣的。下面介紹一下Waters IBE方案。

1)方案描述

2)安全性

Waters在DBDH假設(shè)下沒(méi)有使用隨機(jī)預(yù)言證明本方案是INDIDCPA安全的。

3)性能評(píng)價(jià)

在encrypt階段，如果將e(g1，g2)的值預(yù)先計(jì)算出來(lái)，則加密過(guò)程需要平均n/2次（最多n次） G的乘法運(yùn)算、2次 G的指數(shù)運(yùn)算、1次 G1的乘法運(yùn)算和1次 G1的指數(shù)運(yùn)算。在decrypt階段，解密過(guò)程需要2次雙線性映射運(yùn)算、1次 G1的乘法運(yùn)算和1次 G1的逆運(yùn)算。因此Waters方案的效率比較高。

2004年Canetti等人^[16]提出了一個(gè)從CPA安全的基于身份的加密方案構(gòu)造CCA2安全的公鑰加密(public key encryption，PKE)方案的方法。雖然這個(gè)方法在概念上是簡(jiǎn)單的，但是通過(guò)這個(gè)方法構(gòu)造的方案的效率比原方案的效率低得多。2005年Boneh等人^[17]又提出了一個(gè)高效的從CPA安全的IBE方案構(gòu)造CCA2安全的PKE方案的方法，通過(guò)這個(gè)方法構(gòu)造的方案的效率比較接近于原方案的效率。另外，這兩個(gè)方法都可以推廣到分層的情況，即可以從CPA安全的l+1層的HIBE方案構(gòu)造CCA2安全的l層的HIBE方案；特別地，可以從CPA安全的2HIBE方案構(gòu)造CCA2安全的IBE方案。如果將文獻(xiàn)[10，12~15]的CPA安全的IBE方案擴(kuò)展為2HIBE方案，則應(yīng)用這兩個(gè)轉(zhuǎn)換方法^[16，17]可以構(gòu)造CCA2安全的IBE方案。因此在設(shè)計(jì)CCA2安全的IBE方案時(shí)，可以先設(shè)計(jì)一個(gè)CPA安全的方案，再用通用的轉(zhuǎn)換方法^[16，17]將其轉(zhuǎn)換為CCA2安全的方案。這在設(shè)計(jì)上比較容易實(shí)現(xiàn)，但是這樣構(gòu)造的CCA2安全方案的效率往往比較低。2005年Boyen等人^[18]基于Waters方案直接構(gòu)造了一個(gè)INDCCA2安全的PKE方案。2006年Kiltz等人^[19]基于Waters方案直接構(gòu)造了一個(gè)在標(biāo)準(zhǔn)模型下IBKEMCCA2安全的基于身份的密鑰封裝機(jī)制(identitybased key encapsulation mechanism，IBKEM)。從理論的觀點(diǎn)來(lái)看，IBKEM與IBE是等價(jià)的，即它們可以互相轉(zhuǎn)換。2006年Kiltz^[20]基于Waters方案直接構(gòu)造了一個(gè)在標(biāo)準(zhǔn)模型下INDIDCCA2安全的IBE方案。因?yàn)檫@幾個(gè)方案^[18~20]都利用了方案的具體特性，其性能比通用的轉(zhuǎn)換方法構(gòu)造的方案優(yōu)越。另外，2006年Gentry^[21]設(shè)計(jì)了一個(gè)在標(biāo)準(zhǔn)模型下INDIDCCA2安全的IBE方案，并且這個(gè)方案還有幾個(gè)優(yōu)越的性能，如效率高、公開(kāi)參數(shù)短、安全歸約緊和接收者匿名性等，不過(guò)它的困難假設(shè)不是標(biāo)準(zhǔn)的假設(shè)。

32 BonehBoyenGoh分層的IBE方案^[22]

在分層的系統(tǒng)中，用戶(hù)不再以單一的身份標(biāo)志，而是以身份的元組標(biāo)志，身份的元組包括用戶(hù)的所有祖先的身份。2002年Gentry和Silverberg設(shè)計(jì)了一個(gè)在隨機(jī)預(yù)言模型下INDIDCCA2安全的HIBE方案^[6]，它是BonehFranklin IBE方案^[2]的擴(kuò)展。2004年Boneh和Boyen^[12]提出了一個(gè)在標(biāo)準(zhǔn)模型下INDsIDCCA2安全的HIBE方案，并且BonehBoyen HIBE方案的構(gòu)造方法與GentrySilverberg HIBE方案的構(gòu)造方法相似。2005年Boneh等人^[22]提出了一個(gè)在標(biāo)準(zhǔn)模型下INDsIDCPA安全的HIBE方案，并且這個(gè)方案有一個(gè)非常好的性質(zhì)，即密文的長(zhǎng)度是恒定的，它不隨分層深度的增加而增大。2006年Boyen等人^[23]提出了一個(gè)匿名的HIBE方案，并在標(biāo)準(zhǔn)模型下證明它是INDsIDCPA安全的和ANONsIDCPA匿名的。2006年Chatterjee等人^[24]設(shè)計(jì)了一個(gè)在標(biāo)準(zhǔn)模型下INDIDCPA安全的HIBE方案，它是Naccache IBE方案^[14]或ChatterjeeSarkar IBE方案^[15]的擴(kuò)展。下面介紹一下BonehBoyenGoh HIBE方案。

1)方案描述

G和 G1是階為素?cái)?shù)p的群，e :  G× G→ G1是雙線性映射，深度為k

在雙線性DiffieHellman指數(shù)假設(shè)，即BDHE假設(shè)下，Boneh等人沒(méi)有使用隨機(jī)預(yù)言證明本方案是INDsIDCPA安全的。 

3)性能評(píng)價(jià)

在encrypt階段，如果將e(g1，g2)的值預(yù)先計(jì)算出來(lái)，則加密過(guò)程不需要雙線性映射運(yùn)算。在decrypt階段，解密過(guò)程需要2次雙線性映射運(yùn)算。BonehBoyenGoh方案的效率是比較高的。不論分層深度是多少，BonehBoyenGoh方案的密文都僅包括三個(gè)元素，也就是說(shuō)密文的長(zhǎng)度是恒定的。

顯然，根據(jù)文獻(xiàn)[16，17]的方法可以將文獻(xiàn)[12，22~24]的CPA安全的HIBE方案轉(zhuǎn)換為CCA2安全的HIBE方案。

33 其他的IBE方案

2005年Sahai等人^[25]提出了基于模糊身份的加密(fuzzy identitybased encryption，fuzzyIBE)的概念。在fuzzyIBE方案中，身份是用戶(hù)的一些屬性集合。2006年Abdalla等人^[26]提出了帶通配符的基于身份的加密(identitybased encryption with wildcards，WIBE)的概念。WIBE可以同時(shí)為匹配某個(gè)模式的所有用戶(hù)加密消息，模式可以通過(guò)一系列固定的串和通配符來(lái)定義，在匹配的身份中任何串都可以代替通配符。2007年Abdalla等人^[27]將帶通配符的基于身份的加密概念推廣到分層的情況。

4 有待解決的問(wèn)題

41 密鑰托管問(wèn)題

在基于身份的加密方案中，PKG使用主密鑰生成用戶(hù)的私鑰，因此PKG能夠解密任何消息，即基于身份的加密方案存在密碼托管問(wèn)題，這是基于身份的加密方案固有的特點(diǎn)。在有些應(yīng)用場(chǎng)合這個(gè)性質(zhì)是有益的，如對(duì)于一個(gè)公司來(lái)說(shuō)，總經(jīng)理為所有的員工分發(fā)私鑰并監(jiān)控員工的業(yè)務(wù)聯(lián)系，但是在大部分應(yīng)用場(chǎng)合這個(gè)性質(zhì)是不需要的。如何解決密鑰托管問(wèn)題呢？Boneh等人^[2]提出了一個(gè)基于門(mén)限秘密共享的方案，該方法沒(méi)有從根本上解決密鑰托管問(wèn)題，并且它的通信量和計(jì)算量都是比較大的。2003年Gentry^[28]提出了一個(gè)基于證書(shū)的加密(certificatebased encryption，CBE)方案。在這個(gè)方案中，用戶(hù)的私鑰由兩部分組成，即用戶(hù)選擇的和證書(shū)授權(quán)機(jī)構(gòu)(certification authority，CA)產(chǎn)生的。這樣CA并不知道用戶(hù)完整的私鑰，因此該方案有效地解決了密鑰托管問(wèn)題，但是CBE方案需要CA頒發(fā)的證書(shū)，這樣它不具備IBE方案不需要證書(shū)的優(yōu)點(diǎn)。2003年ALRiyami等人^[29]提出了無(wú)證書(shū)公鑰密碼學(xué)(certificateless public key cryptography，CLPKC)的概念。在無(wú)證書(shū)公鑰密碼方案中，用戶(hù)的私鑰也由兩部分組成，即用戶(hù)選擇的和密鑰生成中心(key generating centre，KGC)產(chǎn)生的。這樣KGC并不知道用戶(hù)完整的私鑰，因此無(wú)證書(shū)密碼方案有效地解決了密鑰托管問(wèn)題。可以看出，無(wú)證書(shū)密碼方案既避免了密鑰托管問(wèn)題又不需要證書(shū)，因此它既有傳統(tǒng)公鑰密碼方案和基于身份的密碼方案的優(yōu)點(diǎn)又克服了兩者的不足之處。無(wú)證書(shū)密碼方案是一個(gè)相當(dāng)有吸引力的研究方向。

42 公鑰撤銷(xiāo)問(wèn)題

在基于身份的加密方案中，如果攻擊者竊取了一個(gè)用戶(hù)的私鑰，則PKG如何撤銷(xiāo)該用戶(hù)的公鑰呢？Boneh等人^[2]提出了一個(gè)基于附加信息的撤銷(xiāo)方案。在該方案中，用戶(hù)的公鑰由用戶(hù)的身份信息和生命周期兩部分組成，如Bob的公鑰可表示為Bob@cryptworld.com‖March，2008。但是這個(gè)方法沒(méi)有完全解決公鑰撤銷(xiāo)問(wèn)題。如果敵手在2008年3月份竊取了Bob的私鑰，此時(shí)Bob的公鑰又不能撤銷(xiāo)，則敵手可以用Bob的私鑰成功地進(jìn)行解密。這個(gè)方法要求PKG周期性地更新用戶(hù)的私鑰，并把私鑰發(fā)送給用戶(hù)，因此它的計(jì)算負(fù)擔(dān)和通信負(fù)擔(dān)是比較重的。2002年Dodis等人^[30]提出了一個(gè)私鑰隔離方案。在這個(gè)方案中，將生命周期劃分為N個(gè)時(shí)間段，公鑰在生命周期內(nèi)固定不變，而私鑰隨時(shí)間段變化。這樣，即使第k個(gè)時(shí)間段的私鑰泄露了，其他時(shí)間段的私鑰也是安全的，因此這個(gè)方案的安全性是比較強(qiáng)的。在一些重要的場(chǎng)合，如政府、軍隊(duì)等，要求能夠?qū)崿F(xiàn)即時(shí)撤銷(xiāo)。 2003年Libert等人^[31]提出了一個(gè)基于仲裁的撤銷(xiāo)方案；2004年Baek等人^[32]也提出了一個(gè)基于仲裁的撤銷(xiāo)方案。這兩個(gè)方案都能夠提供即時(shí)撤銷(xiāo)功能。目前，設(shè)計(jì)簡(jiǎn)單有效的公鑰撤銷(xiāo)方案仍然是基于身份的加密的重要研究?jī)?nèi)容。 

43 執(zhí)行效率問(wèn)題

迄今為止，基于身份的加密方案可以分為兩種情況：利用雙線性映射設(shè)計(jì)的；利用二次剩余設(shè)計(jì)的。第二種情況主要是指Cocks IBE方案^[3]，因?yàn)镃ocks方案的效率非常低，所以人們普遍使用雙線性映射設(shè)計(jì)IBE方案。根據(jù)橢圓曲線上的Weil配對(duì)或Tate配對(duì)可以構(gòu)造雙線性映射，由于Tate對(duì)的計(jì)算速度比Weil對(duì)的計(jì)算速度快一些，通常選擇Tate對(duì)來(lái)實(shí)現(xiàn)雙線性映射。與有限域中的指數(shù)運(yùn)算相比，這樣構(gòu)造的雙線性映射的運(yùn)算效率仍然是很低的。因此設(shè)計(jì)不使用雙線性映射而又比Cocks方案高效的IBE方案是一個(gè)有待研究的課題。

44 實(shí)際應(yīng)用問(wèn)題

基于身份的加密具有廣闊的應(yīng)用前景，它在自組織網(wǎng)絡(luò)^[33]和傳感器網(wǎng)絡(luò)^[44]等場(chǎng)合能發(fā)揮巨大的作用。因此如何應(yīng)用基于身份的加密方案是下一步必須研究的重要內(nèi)容。

5 結(jié)束語(yǔ)

為了克服PKI證書(shū)管理的困難，Shamir提出了基于身份密碼系統(tǒng)的思想。最近，基于身份密碼系統(tǒng)的發(fā)展十分迅速，但是它也面臨一些亟待解決的問(wèn)題，如密鑰托管、公鑰不能及時(shí)撤銷(xiāo)以及效率不高等。本文對(duì)基于身份加密的研究進(jìn)行了階段性的總結(jié)，重點(diǎn)分析了幾個(gè)有代表性的IBE方案。可以看出，設(shè)計(jì)安全、高效、實(shí)用的IBE方案是IBE下一步的研究方向。 

參考文獻(xiàn)：

[1]SHAMIR A. Identitybased cryptosystems and signature schemes[C]//Proc of CRYPTO on Advances in Cryptology. Berlin: SpringerVerlag， 1984:4753.

[2]BONEH D， FRANKLIN M. Identitybased encryption from the Weil pairing[C]//Proc of the 21st Annual International Cryptology Conference on Advances in Cryptology. Berlin:SpringerVerlag，2001:213229.

[3] COCKS C. An identitybased encryption scheme based on quadratic residues[C]//Proc of the 8th IMA International Conference on Cryptography and Coding. Berlin:SpringerVerlag， 2001:360363.

[4] HORWITZ J，LYNN B. Towards hierarchical identitybased encryption [C]//Proc of International Conference on Theory and Applications of Cryptographic Techniques. Berlin:SpringerVerlag，2002:466481.

[5] GENTRY C，SILVERBERG A. Hierarchical IDbased cryptography[C]//Proc of the 8th International Conference on Theory and Application of Cryptology and Information Security. Berlin:SpringerVerlag，2002:548566.

[6] BARRETO P S L M，KIM H Y，LYNN B，et al. Efficient algorithms for pairingbased cryptosystems[C]//Proc of the 22nd Annual International Cryptology Conference on Advances in Cryptology. Berlin:SpringerVerlag，2002:354368.

[7] GALBRAITH S D，HARRISON K，SOLDERA D. Implementing the Tate pairing[C]//Proc of the 5th International Symposium on Algorithmic Number Theory. London:SpringerVerlag，2002:324337.

[8] DUTTA R，BARUA R，SARKAR P. Pairingbased cryptographic protocols:a survey[R/OL].(20040624)[20080312].http://eprint.iacr.org/2004/064.

[9] CANETTI R，HALEVI S，KATZ J. A forwardsecure publickey encryption scheme[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag， 2003:255271.

[10] WATERS B. Efficient identitybased encryption without random oracles[C]//Proc of International Conference on Theory and Applications of Cryptographic Techniques. Berlin:SpringerVerlag，2005:114127.

[11] BELLARE M，ROGAWAY P. Random oracles are practical:a paradigm for designing efficient protocols[C]//Proc of the 1st ACM Conference on Computer and Communications Security. New York:ACMPress， 1993:6273.

[12] BONEH D，BOYEN X. Efficient selectiveID secure identitybased encryption without random oracles[C]//Proc of International Conference on Theory and Applications of Cryptographic of Techniques. Berlin:SpringerVerlag，2004:223238.

[13] BONEH D，BOYEN X. Secure identitybased encryption without random oracles[C]//Proc of Advances in CryptologyCrypto. Berlin:SpringerVerlag，2004:443459.

[14] NACCACHE D. Secure and practical identitybased encryption[EB/OL].(20051015)[20080312].http://eprint.iacr.org/2005/369.

[15] CHATTERJEE S，SARKAR P. Trading time for space:towards an efficient IBE scheme with short(er) public parameters in the standard model[C]//Proc of the 8th Annual International Conference on Information Security and Cryptology. Berlin:SpringerVerlag，2005:424440.

[16] CANETTI R，HALEVI S，KATZ J. Chosenciphertext security from identitybased encryption[C]//Proc of International Conference on Theory and Applications of Cryptographic Techniques. Berlin:SpringerVerlag，2004:207222.

[17] BONEH D，KATZ J. Improved efficiency for CCAsecure cryptosystemsbuilt using identitybased encryption[C]//Proc of the Cryptogra phers Track at the RSA Conference. Berlin:SpringerVerlag，2005:87103.

[18] BOYEN X， MEI Qixiang， WATERS B. Direct chosen ciphertext security from identitybased techniques[C]//Proc of the 12th ACM Conference on Computer and Communications Security. New York:ACM Press，2005:320329.

[19] KILTZ E，GALINDO D. Direct chosenciphertext secure identitybased key encapsulation without random oracles[C]//Proc of the 11th Australasian Conference on Information Security and Privacy. Berlin:SpringerVerlag，2006:336347.

[20] KILTZ E. Direct chosenciphertext secure identitybased encryption in the standard model with short ciphertexts[EB/OL].(20060831) [20080312]. http://eprint.iacr.org/2006/122.

[21] GENTRY C. Practical identitybased encryption without random oracles[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag，2006:445464.

[22] BONEH D，BOYEN X，GOH E. Hierarchical identitybased encryption with constant size ciphertext[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag， 2005:440456.

[23] BOYEN X，WATERS B. Anonymous hierarchical identitybased encryption(without random oracles)[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag，2006:290307.

[24] CHATTERJEE S，SARKAR P. HIBE with short public parameters secure in the full model without random oracle[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag，2006:145160.

[25] SAHAI A，WATERS B. Fuzzy identitybased encryption[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag， 2005:457473.

[26] ABDALLA M，CATALANO D，DENT A W， et al. Identitybased encryption gone wild[C]//Proc of the 33rd International Colloquium on Automata，Languages and Programming. Berlin:SpringerVerlag， 2006:300311.

[27] ABDALLA M，KILTZ E，NEVEN G. Generalized key delegation for hierarchical identitybased encryption[C]//Proc of the 12th European Symposium on Research in Computer Security. Berlin:SpringerVerlag， 2007:139154.

[28] GENTRY C. Certificatebased encryption and the certificate revocation problem[C]//Proc of International Conference on Theory and Applications of Cryptographic Techniques. Berlin:SpringerVerlag，2003:272293.

[29] ALRIYAMI S S，PATERSON K G. Certificateless public key cryptography[C]//Proc of Advances in Cryptology. Berlin:SpringerVerlag，2003:452473.

[30] DODIS Y，KATZ J，XU Shouhuai，et al. Keyinsulated public key cryptosystems[C]//Proc of International Conference on Theory and Applications of Cryptographic Techniques. Berlin:SpringerVerlag，2002:6582.

[31] LIBERT B，QUISQUATER J. Efficient revocation and threshold pairing based cryptosystems[C]//Proc of the 22nd Annual Symposium on Principles of Distributed Computing. New York:ACM Press，2003:163171.

[32]BAEK J，ZHENG Yuliang. Identitybased threshold decryption[C] //Proc of Public Key Cryptography(PKC’04). Berlin:SpringerVerlag，2004:262276.

[33] 鄒娟，賈世杰，曾潔，等.無(wú)線Ad hoc網(wǎng)絡(luò)密鑰分發(fā)和認(rèn)證機(jī)制研究[J].大連交通大學(xué)學(xué)報(bào)，2007， 28 (1):5053.

[34] 楊庚，王江濤，程宏兵，等.基于身份加密的無(wú)線傳感器網(wǎng)絡(luò)密鑰分配方法[J].電子學(xué)報(bào)，2007， 35 (1):180184.