基于身份標識的密碼體制 及其在安全電子郵件的應用

劉鏹+++王勝男

【摘要】近年來，基于身份標識的密碼體制成為密碼研究領域的一個熱點。本文介紹了基于身份標識的密碼學原理及其優缺點，并描述了其在安全電子郵件中的應用。

【關鍵詞】基于身份的密碼體制；IBE；電子郵件

1引言

1976年，美國密碼學家Diffie和Hellman提出了公鑰密碼體制的思想，這是密碼學上一個重要的里程碑。公鑰密碼體制不僅具有加密的功能，同時還有認證的功能。在公鑰體制架構下，加密和解密分別使用不同的密鑰，其中加密密鑰（即公鑰）是可以公開的，而解密密鑰（即私鑰）只有解密人自己知道，非法使用者是無法根據公開的加密密鑰來推算出解密密鑰的。加密密鑰的公開使用，使得密鑰的分配和管理比對稱密碼體制更簡單。

在傳統的公鑰密碼學中，公鑰是與身份無關的隨機字符串，存在如何確認公鑰真實性的問題。這需要一個可信賴的第三方CA（Certificate Authority），又稱證書機構，向系統中的各個用戶發行公鑰證書。公鑰證書上CA的簽名可把用戶的身份和其公鑰緊密地聯系起來。在這種架構下，CA機構是一個重要部門，負責用戶公鑰證書生命周期的每一個環節：生成、簽發、存儲、維護、更新、撤銷等。這種需要證書的密碼體制被稱為基于證書的公鑰密碼體制（PKI）。然而，PKI證書管理復雜，需要建造復雜的CA系統，且證書發布、吊銷、驗證和保存需要占用較多資源，這就限制了PKI在實時和低帶寬環境中的廣泛應用。

2基于身份標識的密碼體制

為了簡化傳統的PKI公鑰體系架構中CA對用戶證書的管理，Shamir于1984年提出了基于身份標識的密碼學（IBC）的思想。其基本思想是把用戶的身份和其公鑰用最自然的方式綁定起來，也就是用戶的身份信息就是其公鑰。在基于身份標識的密碼體制架構下，只要知道某個用戶的身份就可以知道他的公鑰，而無需再去獲取并驗證用戶的公鑰證書。因為公鑰不需要分發，傳統公鑰密碼體制的大部分設施都會變得多余了。例如，如果一個用戶的身份是其電子郵件地址，那么任意一個信息發送者，只需要知道這個用戶的郵件地址，就可以給該用戶發送加密信息，而不需要其他機制來分發密鑰。

在提出IBC概念的同時，Shamir提出了一個采用RSA算法的基于身份的簽名算法（IBS）。但是基于身份的加密算法（IBE）長時間內都沒有找到有效地解決方案。直到2001年，才由Boneh和Franklin提出了一個實用的IBE方案[3]，該方案采用橢圓曲線上的Weil對來實現，效率較好，并且給出了嚴格的安全性證明，所以在學術界引起了巨大的反響。

在基于身份標識的公鑰密碼體制中，用戶公鑰可以是任意的比特串，一般采用用戶的姓名、地址、電子信箱地址等能標識其身份的信息作為用戶公鑰，并且為了撤銷密鑰，在實際應用時往往將日期（或其他時間標識）作為用戶身份的一部分，這樣用戶私鑰到期后自然不能使用。用戶私鑰需要由一個可信第三方生成，這個可信第三方就是私鑰生成中心PKG。PKG的基本操作就是密鑰系統建立和產生私鑰。具體地講，用戶的公私鑰對是（PPKG， SPKG），標識用戶公鑰的字符串是ID，那么PKG通過一個函數來生成用戶的私鑰SID，即SID=F（SPKG，ID）。一個基于身份的加密算法包括四個算法。

（1）系統建立算法：PKG創建系統參數和一個主密鑰。

（2）用戶私鑰提取：用戶將他們身份標識ID發送給PKG，PKG驗證用戶身份并返回給對應的用戶私鑰SID。

（3）加密算法：發送方利用接收方身份信息ID加密一個消息。

（4）解密算法：接收方利用自己的ID和對應的私鑰SID解密密文。

3基于身份標識的密碼體制的優缺點

基于身份標識的密碼體制具有幾個優點。

（1）不需要公鑰證書，用戶的公鑰就是可以唯一識別其身份的信息。這樣，加密者或簽名驗證者可以預先不需要知道接收者其他額外的信息。

（2）不需要證書機構，只需要一個向各用戶服務的私鑰生成中心（PKG）。用戶提交自己的身份公鑰給PKG，PKG計算并頒發用戶的私鑰。

（3）基于身份的公鑰系統是一個天然的密鑰托管中心，必要時中心可以恢復用戶的私鑰，以監聽用戶的通信內容（然而，從用戶的隱私性這個角度講，這個優點也是基于身份的密碼體制的一個缺點）。

（4）因為PKG并不需要處理第三方的請求，IBE降低了支持加密的花費和設施。

（5）密鑰撤銷簡單。PKG可以在用戶ID內嵌入時間區間，以保證在時間過期后用戶私鑰失效，同時再生成一個新的私鑰發送給用戶。

（6）可以提供前向安全性。用一個基于身份的密碼系統去構造非交互式前向安全密碼系統的一般方法是：用戶自己扮演PKG的角色，不過他的主密鑰和對應的公鑰要從CA那里得到認可；每一階段的公鑰就類似于基于身份的體制中的用戶身份信息，所對應的私鑰就是從密鑰提取中得到的。

相對于PKI，基于身份的密碼系統也有一些缺點。

（1）密鑰托管問題。PKG可以有能力來解密任何一個用戶的信息或偽造任何一個用戶的簽名，但遺憾的是，從基于身份的密碼體制的基本前提來看，這個缺點是無法避免的。盡管有一些方法可以把托管的弊端的風險最小化，例如使用門限密碼讓多個實體來共同參與私鑰的生成。從隱私的角度來看，托管這一觀點是很不安全的。

（2）當用戶多的時候，私鑰的生成就會變成PKG昂貴的計算。如果當前的日期加入到客戶的公鑰ID里面，那么PKG每天都要為每一個客戶生成一個私鑰。而CA每天只需要發布一個證書撤銷列表（CRT）更新，并且CRT更新可能只需要較少的計算，因為它里面僅需要包括當天吊銷證書的用戶。

4基于IBE的安全電子郵件應用

基于身份標識的密碼體制可應用于電子郵件、電子政務等領域。本文僅介紹基于IBE的安全電子郵件應用。endprint

基于IBE的電子郵件收發系統如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進行加密/簽名郵件的收發。

具體過程分幾步。

（1）系統建立。由PKG執行初始化算法，產生系統的公開參數和系統主密鑰，準備接收用戶私鑰申請；

（2）發送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗證A的信息，如果通過驗證就在非安壘信遁上把私鑰發放給用戶A。用戶A和PKG之間的交互遵循協議SAKI-NEW。

（3）簽名/加密。用戶A想發送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時，整個簽名加密過程全部完成。

（4）發送郵件。A將簽名/加密后的電子郵件發送給郵件服務器。

（5）接收郵件。B從郵件服務器接收簽名/加密后的電子郵件。

當B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實是A發送的電子郵件。

5結束語

基于身份標識的密碼體制以其特有的優點引起廣泛的關注，在最近的幾年中得到快速發展。隨著研究的深入，基于身份標識密碼體制的新應用被不斷提出，如今已經能夠實現更多的功能，除了基本的數字簽名、密鑰協商、公鑰加密外，還能應用于廣播加密、環簽名、代理簽名、關鍵字搜索加密等領域。

基于身份的密碼體制在理論研究和應用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應用也值得探索，對目前實現基于身份的密碼體制的關鍵工具雙線性對的研究與實現也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構造仍然值得繼續探討。

參考文獻

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業于中國科學院成都計算機應用研究所，碩士學位，現任副總經理，工程師；主要研究方向和關注領域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業于東南大學獲碩士學位；主要研究方向和關注領域：信息安全。endprint

基于IBE的電子郵件收發系統如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進行加密/簽名郵件的收發。

具體過程分幾步。

（1）系統建立。由PKG執行初始化算法，產生系統的公開參數和系統主密鑰，準備接收用戶私鑰申請；

（2）發送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗證A的信息，如果通過驗證就在非安壘信遁上把私鑰發放給用戶A。用戶A和PKG之間的交互遵循協議SAKI-NEW。

（3）簽名/加密。用戶A想發送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時，整個簽名加密過程全部完成。

（4）發送郵件。A將簽名/加密后的電子郵件發送給郵件服務器。

（5）接收郵件。B從郵件服務器接收簽名/加密后的電子郵件。

當B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實是A發送的電子郵件。

5結束語

基于身份標識的密碼體制以其特有的優點引起廣泛的關注，在最近的幾年中得到快速發展。隨著研究的深入，基于身份標識密碼體制的新應用被不斷提出，如今已經能夠實現更多的功能，除了基本的數字簽名、密鑰協商、公鑰加密外，還能應用于廣播加密、環簽名、代理簽名、關鍵字搜索加密等領域。

基于身份的密碼體制在理論研究和應用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應用也值得探索，對目前實現基于身份的密碼體制的關鍵工具雙線性對的研究與實現也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構造仍然值得繼續探討。

參考文獻

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業于中國科學院成都計算機應用研究所，碩士學位，現任副總經理，工程師；主要研究方向和關注領域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業于東南大學獲碩士學位；主要研究方向和關注領域：信息安全。endprint

基于IBE的電子郵件收發系統如圖1所示。PKG是私鑰生成中心，作為可信第三方為用戶生成私鑰。LAR是注冊中心，用戶向LAR提交注冊信息。用戶通過向PKG申請私鑰后獲得私鑰，可進行加密/簽名郵件的收發。

具體過程分幾步。

（1）系統建立。由PKG執行初始化算法，產生系統的公開參數和系統主密鑰，準備接收用戶私鑰申請；

（2）發送方獲取自己私鑰。用戶A以離線的方式向LAR注冊，LRA審核A身份后，A向LRA注冊一個一次性口令。注冊完畢后，LRA將用戶身份和口令（ID，pwd）組安全地遞交給PKG。用戶A憑借信息（ID，pwd）在非安全信道上向PKG申請私鑰，PKG驗證A的信息，如果通過驗證就在非安壘信遁上把私鑰發放給用戶A。用戶A和PKG之間的交互遵循協議SAKI-NEW。

（3）簽名/加密。用戶A想發送一封郵件給B，他首先用自己的私鑰給郵件簽名，然后用B的公鑰（郵箱地址）加密郵件。這時，整個簽名加密過程全部完成。

（4）發送郵件。A將簽名/加密后的電子郵件發送給郵件服務器。

（5）接收郵件。B從郵件服務器接收簽名/加密后的電子郵件。

當B收A的郵件后，如果沒有私鑰，則他采用步驟2的方式從PKG獲取私鑰。首先B用私鑰解密郵件，之后用A的公鑰驗證郵件簽名，如果簽名正確，則B相信郵件是完整的，并且確實是A發送的電子郵件。

5結束語

基于身份標識的密碼體制以其特有的優點引起廣泛的關注，在最近的幾年中得到快速發展。隨著研究的深入，基于身份標識密碼體制的新應用被不斷提出，如今已經能夠實現更多的功能，除了基本的數字簽名、密鑰協商、公鑰加密外，還能應用于廣播加密、環簽名、代理簽名、關鍵字搜索加密等領域。

基于身份的密碼體制在理論研究和應用推廣方面都有很大的空間，還有很多的問題值得研究和需要解決。尋找基于身份的密碼體制的新應用也值得探索，對目前實現基于身份的密碼體制的關鍵工具雙線性對的研究與實現也非常有意義。另外，如何尋找不需要雙線性對的基于身份的加密方案的構造仍然值得繼續探討。

參考文獻

[1] W. Diffie， M. Hellman. New Directions in Cryptography. IEEE Transaction on Information Theory， IT-22 （6） ： 644-654， November， 1976.

[2] A. Shamir. Identity-based Cryptosystems and Signature Schemes. CRYPTO 1984， LNCS 196， pp. 47-53.

[3] D. Boneh， M. Franklin. Identity Based Encryption from the Weil Pairing. CRYPTO 2001， LNCS 2139， pp. 213-229.

作者簡介：

劉鏹（1973-），男，重慶人，畢業于中國科學院成都計算機應用研究所，碩士學位，現任副總經理，工程師；主要研究方向和關注領域：信息安全。

王勝男（1982-），女，江蘇南通人，畢業于東南大學獲碩士學位；主要研究方向和關注領域：信息安全。endprint