标识密码技术

身份标识密码技术
1标识密码技术的发展
基于身份标识的密码系统（Identity-Based Cryptograph, 简称IBC），是一种非对称的公钥密码体系。

标识密码的概念由Shamir于1984年提出[1]，其最主要观点是系统中不需要证书，使用用户的标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥。

用户的私钥由密钥生成中心(Key Generate Center,简称KGC)根据系统主密钥和用户标识计算得出。

用户的公钥由用户标识唯一确定，从而用户不需要第三方来保证公钥的真实性。

但那时，标识密码的思想停留在理论阶段，并未出现具体的实施方案。

直到2000年以后，D. Boneh和M. Franklin[2], 以及R. Sakai、K. Ohgishi和M. Kasahara[3]两个团队独立提出用椭圆曲线配对（parings）构造标识公钥密码，引发了标识密码的新发展。

利用椭圆曲线对的双线性性质，在椭圆曲线的循环子群与扩域的乘法循环子群之间建立联系，构成了双线性DH、双线性逆DH、判决双线性逆DH、q-双线性逆DH和q-Gap-双线性逆DH等难题。

当椭圆曲线离散对数问题和扩域离散对数问题的求解难度相当时，可用椭圆曲线对构造出安全性和实现效率最优化的标识密码。

Boneh等人[1]利用椭圆曲线的双线性对得到Shamir意义上的基于身份标识的加密体制。

在此之前，一个基于身份的更加传统的加密方案曾被Cocks提出，但效率极低。

目前，基于身份的方案包括基于身份的加密体制[4-5]、可鉴别身份的
加密和签密体制[6]、签名体制[7-9]、密钥协商体制[10-11]、鉴别体制[12]、门限密码体制[13]、层次密码体制[14]等。

基于身份的标识密码是传统的PKI证书体系的最新发展，国家密码局于2006年组织了国家标识密码体系IBC标准规范的编写和评审工作。

2007年12月16日国家IBC标准正式通过评审，给予SM9商密算法型号。

2标识密码的技术原理
标识密码系统与传统公钥密码一样，每个用户有一对相关联的公钥和私钥。

标识密码系统中，将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥，通过数学方式生成与之对应的用户私钥。

用户标识就是该用户的公钥，不需要额外生成和存储，只需通过某种方式公开发布，私钥则由用户秘密保存。

IBC密码体系标准[15]主要表现为IBE加解密算法组、IBS签名算法组、IBKA 身份认证协议，下面分别介绍。

2.1标识密码加解密体制
标识密码的加解密方案由四部分组成, 即包括系统参数生成(Setup)算法、密钥生成(Extract)算法、加密(Encrypt)算法和解密(Decrypt)算法。

步骤描述如下: Setup：给出一个安全参数k，输出系统参数params和主密钥MasterKey。

其中，系统参数params是公开的，而主密钥MasterKey只有密钥生成中心知道。

Extract：利用params, MasterKey和任意的,ID∈{0, 1}*, 返回私钥PrivateKeyID。

ID是任意长度的字符串，并作为加密公钥，PrivateKeyID是解密用的私钥。

Encrypt ：利用params 和公钥ID 对明文M 进行加密，得出密文C ， C=Encrypt(params, M, ID)。

Decrypt ：利用params 和私钥PrivateKeyID 对密文C 进行解密，得出明文Decrpyt(params, C, PrivateKeyID)=M 。

2.2 标识密码签名验证体制
标识密码的签名验证方案有很多, 但概括起来基本上由四个算法组成, 即系统参数生成(Setup)算法、密钥生成(Extract)算法、签名(Significant)算法和验证(Verify)算法．其算法描述如下：
Setup 和Extract 同上一小节标识密码加解密机制中的Setup 和Extract 。

Significant ：输入待签的报文M 、系统公开参数和用户私钥PrivateKeyID ，生成签名(R, S)，其中R r P =⋅，2ID 13(()(P ri )vateK )ey S r H M P H R -=⋅+⋅，r 为随机数。

Verify ：输入签名(R, S)、系统公开参数和用户身份(ID)，输出验证结果。

即验证32()()1(,)(,())=(,)H R H M e P P e Q H ID e R S ⋅是否成立，其中Q 为系统公钥。

2.3 标识密码的认证协议
标识密码算法的身份认证协议步骤如下，以A 、B 之间的认证为例：
Step1：A 通过计算单元生成一个随机数 R, 通过时钟单元产生一个当前时间戳T, 发送给B ；
Step2：B 通过计算单元生成一个随机数r ，并计算u=rP ，c=H(u, R, T)，S=(r+c)·PrivateKeyID ，把u, S 发送给A ；
Step3：A 通过计算单元验证如下公式是否成立
(,,)1(,())(,)H u R T e S H ID P Q e u P v +=；如果成立则A 认证通过，否则A 认证未通过。

3 标识密码的主要应用
标识密码是一种基于双线性配对和椭圆曲线的新型公钥密码技术，从传统的PKI 基础上发展而来，主要解决的问题集中在身份认证、抗否认、完整性、保密性等方面，为实现应用安全提供了一个新的解决思路。

标识密码可以应用于以下几个方向：
安全电子邮件服务目前典型的安全电子邮件解决方案主要基于对称密码或基于传统的PKI 技术，如PGP ，PEM 和S/MIME 等。

由于对称密码密钥分发困难，PKI 系统实现成本高、效率低下、运维管理难等缺点，标识密码技术更加适用于安全电子邮件服务。

基于标识密码的安全电子邮件可涉及多个方面的服务，如安全电子邮件客户端软件，WEB Mail 插件，手机版安全电子邮件、云安全邮件服务等。

这些服务仅需要依靠轻量级的标识密码密钥管理平台即可实现密钥对的生成和管理，而不需要PKI 体系中庞大的证书注册、管理和发布系统。

安全电子政务应用电子政务主要由党政系统内部的数字化办公、部门之间通过计算机网络而进行的信息共享和实时通信、党政部门通过网络与公众进行的双向信息交流三部分组成。

以标识密码技术为核心，集成标识密码公钥基础设施的新型网络安全解决方案，遵循国家相关标准和密码政策，利用身份证号作为用户公钥，可有力支持电子政务实名制。

电子政务信息交换中确认身份、控制权限、保证信息源真实性、完整性和信息发送不可抵赖性的重要手段，对网络防泄密、抗侵入、拒黑客、识真伪、保安全有着不可替代的重要作用，具有高度的权威性
和公正性。

典型的应用包括电子公文流转的安全应用、电子司法档案系统、电子财政管理系统、电子办公系统、业绩评价系统、税务申报系统的安全应用、电子采购与招标、社会保险网络服务等等。

企业安全应用企业的安全技术应用包括但不限于安全接入、身份认证、文档加密、百密柜、数字签名等。

安全接入：利用标识密码技术进行身份认证，数据传输加密，可实现远程安全接入。

身份认证：替代用户名和密码认证，可通过身份标识密码技术实现电子身份与真实身份的对应和确认；通过服务端与客户端的签名及验证可实现安全性更高的强身份认证。

文档安全：实现磁盘空间或文件的加密，并可实现指定身份（标识）的解密或组（域）加密。

百密柜：基于标识密码技术的加密存储，可实现文档加密和磁盘加密。

云存储安全：支持网络海量用户数据离线加解密、并可实现附加属性或特征的加解密。

数字签名：用标识签名验签，杜绝身份仿冒和数据篡改。

等等企业应用，不一而足。

安全中间件基于标识密码技术的安全中间件是采用公钥标识密码技术实现的安全开发组件，遵循SM9相关标准，利用公钥加密技术为上层应用开展提供一套安全基础平台的技术和规范。

标识密码安全中间件本身不是一种应用，而是一个基础架构，它为数字签名、加密和身份验证这样的服务提供了一个平台以支持任何需要信息安全的应用。

安全中间件是IBC体系的重要组成部分，向用户提供安全的API 应用接口，使得合作伙伴能够更加简单的应用IBC体系，结合标识公私钥对的应用，提升现有应用系统的安全性能，实现安全登录、安全表单签名、数字时间戳服务、安全邮件等一系列的安全策略，保证数据传输的机密性和完整性以及身份认证的确认性和不可抵赖性。

服务端设备国家商用密码管理局已审批发布了SM系列的商用密码算法标准，
以保障各个应用领域的信息安全。

基于公钥密码的服务端设备包括基于国家商用密码管理局（简称囯密局）颁布的SM9密码算法标准的IBC服务器密码机、IBC 签名验签服务器等。

IBC密码机是专业为基于标识密码的安全应用系统提供加密解密支持的密码机，实现系统主密钥的生成与安全管理、用户私钥的生成与安全传输、对称密钥的加密解密、信息抗抵赖性与完整性鉴别等。

IBC签名验签服务器一种利用标识公钥密码技术实现签名和验签服务的硬件设备，实现业务系统中用户身份认证的确认性和不可抵赖性。

安全终端设备安全终端设备包括基于标识密码技术的USB智能密码钥匙（IBCKey）、SD智能密码钥匙、SIM智能卡、金融IC卡等。

对于基于标识密码体系的应用，这些安全终端设备只需要在其中存储公钥标识和对应的私钥即可。

SD/SIM卡结合IBCKey可实现通话加密、短信加密、公交刷手机卡、移动证券和移动银行等安全应用。

4标识密码的应用优势
传统的PKI体系与IBC体系都是以公钥密码技术为基础，保证数据的真实性、机密性、完整性和不可抵赖性为安全目的而构成的认证、授权、加密等硬件、软件的综合设施。

由于IBC体系将用户唯一性的身份标识作为用户的公钥这一天然优势，使得IBC体系比PKI庞大的证书管理和发布系统更易于应用。

下文比较了PKI体系与IBC体系的应用，如表1所示。

表1 PKI体系与IBC体系的应用区别
由上表的分析可见，相比PKI体系，IBC体系的应用优势主要表现在以下几个方面：
✧无需PKI体系中的数字证书，无需证书颁发机构CA中心，无需证书的
发布与查询，使用简单，部署方便，尤其适用于海量用户的安全系统；
✧无需PKI中证书验证等计算过程，具备较低的计算代价，适用于手机终
端；
✧无需PKI的在线连接CA服务器查询与验证证书状态，具备较低的通信
代价；
✧丰富的策略控制机制，将身份认证与访问控制合二为一。

5标识密码的应用前景
标识密码虽然在技术原理上与传统的PKI属于不同的体系，但在应用上却能
对传统的PKI构成补充甚至替代。

近年来，标识密码技术得到了蓬勃发展，已在某些政府行政领域和私人领域成功运用。

标识密码体系没有证书管理的负担，简化了实施应用，能够快速实现安全通信，尤其适用于安全电子邮件系统、移动通信的客户以及需要向未注册人群发送信息的用户。

目前，标识密码技术已经在国内外得到了一些重要应用。

国际电信联盟(ITU)已采用IBC技术作为下一代移动电话的认证技术手段。

美国食品药品管理局(FDA)在各大医疗机构中推广IBC应用。

在电子商务领域，IBC在美国已经成为POS终端和清算中心间保护信用卡信息的主流技术之一。

在欧洲，意法半导体的研究人员己经与智能卡厂商Incard合作，联合开发实现在智能卡上部署标识密码。

我国国内的华为、中兴、上海贝尔等公司也在NGN中采用了IBC技术。

随着囯家密码管理局对SM9算法的规范和推广，用户将会越来越熟悉标识密码。

标识密码技术已经在网络安全、信息安全、电子政务等领域的优秀表现表明，它还将更广泛地应用于安全电子邮件、加密短信、加密通话、电子证照管理、电子病历、手机电子钱包、电子图书馆、身份证与社保、医保等的多卡合一后的管理使用等诸多领域。

国家十二五规划明确了推动下一代互联网、新一代移动通信、云计算、物联网、智能网络终端、高性能计算的发展，加快网络与信息安全技术创新，保障网络与信息安全的目标。

在面向三网、两化的深度融合，新技术、新应用和新模式不断出现的大背景下，对信息安全的保障提出了更高的要求。

随着基于标识密码技术的公钥密码基础设施的建设，相关标准规范的研究与制定，标识密码技术必将为用户信息的安全性、完整性、私密性和可追踪性起到更大的保护作用，应用
前景无比广阔。

参考文献
[1] Shamir A. Identity-based cryptosystemsand signature schemes[C]. LNCS196: Advances in Cryptology:
Crypto’84. Berlin: Springer, 1984, 47-53.
[2] Boneh D, Franklin M. Identity based encryption from Weil pairing[C]. LNCS2139: Advances in Cryptology:
Crypto’2001. Berlin: Springer,2001, 213-229.
[3] R. Sakai, K. Ohgishi and M. Kasahara. Cryptosystems based on pairing [C]. In Proc. of the 2000
Symposium on Cryptography and Information Security, Okinawa, Japan, 2000.
[4] B. Lynn. Authenticated identity-based encryption. CryptologyePrint Archive, Report 2002/072.
[5] Boneh D, Franklin M. Identity-based encryption from the Weil pairing[J]. SIAMJ. of Computing, 2003,
32(3): 586-615.
[6] Boneh D, Gentry C, Lynn B, ShachamH. Aggregate and verifiably encryptedsignatures from bilinear
maps[C]. LNCS2656: Advances in Cryptology-Proceeding, Eurocrypt’03. Berlin: Springer, 2003, 416-432.
[7] Boneh D, Lynn B, Shacham H. Short signature from the Well paring[C]. LNCS 2248: Advances in
Cryptology, ASIA. ARYPT’2001.Berlin: Springer,2001, 516-532.
[8] B Lee, K Kim. Self-certified signature[C]. Progress in Cryptology: INDOCRYPT 2002. Lncs 2551,
SpringerVerlag, 2002, 199-214.
[9] Hess F. Efficient identity based signatureschemes based onparings[C]. LNCS2595: Selected Area in
Cryptography, SAC’02. Berlin: Springer, 2003, 310-324.
[10] Chen, L., Z. Cheng, and N. P. Smart. Identity-based key agreement protocols from pairings. Cryptology
ePrint Archive, Report 2006/199.
[11] Boyd, C. and K.-K. R. Choo. Security of two-party identity-based key agreement. In Proc. of MYCRYPT
2005, LNCS vol. 3715, pp. 229-243, Springer-Verlag, New York, 2005.
[12] Yuan, Q. and S. Li. A new efficient ID-based authenticated key agreement protocol. Cryptology ePrint
Archive, Report 2005/309, 2005.
[13] Mei Q. X., He D. K., Zheng Y. New threshold cryptosystem against chosen ciphertextattacks based on
pairing[J]. Journal of Southwest Jiaotong University, 2005, 40(6): 727-730.
[14] Craig Gentry, Alice Silverberg. Hierarchical ID-Based Cryptography[J]. ASIACRYPT 2002, LNCS 2501,
Springer-Verlag Berlin Heidelberg 2002, 548-566.
[15] Boyen X, Martin L. Identity-based cryptography standard (IBCS) #1: supersingular
curve implementationsof the BF and BB1 cryptosystems. RFC 5091, 2007.。