基于身份标识的密码体制 及其在安全电子邮件的应用

基于身份标识的密码体制及其在安全电子邮件的应用

作者：刘镪王胜男

来源：《信息安全与技术》2014年第06期

【摘要】近年来，基于身份标识的密码体制成为密码研究领域的一个热点。本文介绍了基于身份标识的密码学原理及其优缺点，并描述了其在安全电子邮件中的应用。

【关键词】基于身份的密码体制；IBE；电子邮件

1引言

1976年，美国密码学家Diffie和Hellman提出了公钥密码体制的思想，这是密码学上一个重要的里程碑。公钥密码体制不仅具有加密的功能，同时还有认证的功能。在公钥体制架构下，加密和解密分别使用不同的密钥，其中加密密钥（即公钥）是可以公开的，而解密密钥（即私钥）只有解密人自己知道，非法使用者是无法根据公开的加密密钥来推算出解密密钥的。加密密钥的公开使用，使得密钥的分配和管理比对称密码体制更简单。

在传统的公钥密码学中，公钥是与身份无关的随机字符串，存在如何确认公钥真实性的问题。这需要一个可信赖的第三方CA（Certificate Authority），又称证书机构，向系统中的各个用户发行公钥证书。公钥证书上CA的签名可把用户的身份和其公钥紧密地联系起来。在这种架构下，CA机构是一个重要部门，负责用户公钥证书生命周期的每一个环节：生成、签发、存储、维护、更新、撤销等。这种需要证书的密码体制被称为基于证书的公钥密码体制（PKI）。然而，PKI证书管理复杂，需要建造复杂的CA系统，且证书发布、吊销、验证和保存需要占用较多资源，这就限制了PKI在实时和低带宽环境中的广泛应用。

2基于身份标识的密码体制

为了简化传统的PKI公钥体系架构中CA对用户证书的管理，Shamir于1984年提出了基于身份标识的密码学（IBC）的思想。其基本思想是把用户的身份和其公钥用最自然的方式绑定起来，也就是用户的身份信息就是其公钥。在基于身份标识的密码体制架构下，只要知道某个用户的身份就可以知道他的公钥，而无需再去获取并验证用户的公钥证书。因为公钥不需要分发，传统公钥密码体制的大部分设施都会变得多余了。例如，如果一个用户的身份是其电子邮件地址，那么任意一个信息发送者，只需要知道这个用户的邮件地址，就可以给该用户发送加密信息，而不需要其他机制来分发密钥。

在提出IBC概念的同时，Shamir提出了一个采用RSA算法的基于身份的签名算法（IBS）。但是基于身份的加密算法（IBE）长时间内都没有找到有效地解决方案。直到2001

年，才由Boneh和Franklin提出了一个实用的IBE方案[3]，该方案采用椭圆曲线上的Weil对来实现，效率较好，并且给出了严格的安全性证明，所以在学术界引起了巨大的反响。

在基于身份标识的公钥密码体制中，用户公钥可以是任意的比特串，一般采用用户的姓名、地址、电子信箱地址等能标识其身份的信息作为用户公钥，并且为了撤销密钥，在实际应用时往往将日期（或其他时间标识）作为用户身份的一部分，这样用户私钥到期后自然不能使用。用户私钥需要由一个可信第三方生成，这个可信第三方就是私钥生成中心PKG。PKG的基本操作就是密钥系统建立和产生私钥。具体地讲，用户的公私钥对是（PPKG， SPKG），标识用户公钥的字符串是ID，那么PKG通过一个函数来生成用户的私钥SID，即SID=F （SPKG，ID）。一个基于身份的加密算法包括四个算法。

（1）系统建立算法：PKG创建系统参数和一个主密钥。

（2）用户私钥提取：用户将他们身份标识ID发送给PKG，PKG验证用户身份并返回给对应的用户私钥SID。

（3）加密算法：发送方利用接收方身份信息ID加密一个消息。

（4）解密算法：接收方利用自己的ID和对应的私钥SID解密密文。

3基于身份标识的密码体制的优缺点

基于身份标识的密码体制具有几个优点。

（1）不需要公钥证书，用户的公钥就是可以唯一识别其身份的信息。这样，加密者或签名验证者可以预先不需要知道接收者其他额外的信息。

（2）不需要证书机构，只需要一个向各用户服务的私钥生成中心（PKG）。用户提交自己的身份公钥给PKG，PKG计算并颁发用户的私钥。

（3）基于身份的公钥系统是一个天然的密钥托管中心，必要时中心可以恢复用户的私钥，以监听用户的通信内容（然而，从用户的隐私性这个角度讲，这个优点也是基于身份的密码体制的一个缺点）。

（4）因为PKG并不需要处理第三方的请求，IBE降低了支持加密的花费和设施。

（5）密钥撤销简单。PKG可以在用户ID内嵌入时间区间，以保证在时间过期后用户私钥失效，同时再生成一个新的私钥发送给用户。

（6）可以提供前向安全性。用一个基于身份的密码系统去构造非交互式前向安全密码系统的一般方法是：用户自己扮演PKG的角色，不过他的主密钥和对应的公钥要从CA那里得

到认可；每一阶段的公钥就类似于基于身份的体制中的用户身份信息，所对应的私钥就是从密钥提取中得到的。

相对于PKI，基于身份的密码系统也有一些缺点。

（1）密钥托管问题。PKG可以有能力来解密任何一个用户的信息或伪造任何一个用户的签名，但遗憾的是，从基于身份的密码体制的基本前提来看，这个缺点是无法避免的。尽管有一些方法可以把托管的弊端的风险最小化，例如使用门限密码让多个实体来共同参与私钥的生成。从隐私的角度来看，托管这一观点是很不安全的。

（2）当用户多的时候，私钥的生成就会变成PKG昂贵的计算。如果当前的日期加入到客户的公钥ID里面，那么PKG每天都要为每一个客户生成一个私钥。而CA每天只需要发布一个证书撤销列表（CRT）更新，并且CRT更新可能只需要较少的计算，因为它里面仅需要包括当天吊销证书的用户。

4基于IBE的安全电子邮件应用

基于身份标识的密码体制可应用于电子邮件、电子政务等领域。本文仅介绍基于IBE的安全电子邮件应用。

基于IBE的电子邮件收发系统如图1所示。PKG是私钥生成中心，作为可信第三方为用户生成私钥。LAR是注册中心，用户向LAR提交注册信息。用户通过向PKG申请私钥后获得私钥，可进行加密/签名邮件的收发。

具体过程分几步。

（1）系统建立。由PKG执行初始化算法，产生系统的公开参数和系统主密钥，准备接收用户私钥申请；

（2）发送方获取自己私钥。用户A以离线的方式向LAR注册，LRA审核A身份后，A 向LRA注册一个一次性口令。注册完毕后，LRA将用户身份和口令（ID，pwd）组安全地递交给PKG。用户A凭借信息（ID，pwd）在非安全信道上向PKG申请私钥，PKG验证A的信息，如果通过验证就在非安垒信遁上把私钥发放给用户A。用户A和PKG之间的交互遵循协议SAKI-NEW。

（3）签名/加密。用户A想发送一封邮件给B，他首先用自己的私钥给邮件签名，然后用B的公钥（邮箱地址）加密邮件。这时，整个签名加密过程全部完成。

（4）发送邮件。A将签名/加密后的电子邮件发送给邮件服务器。

（5）接收邮件。B从邮件服务器接收签名/加密后的电子邮件。