基于身份加密_IBE_技术研究

曾 兵，杨 宇，曹云飞

(保密通信重点实验室，四川 成都610041)

[摘 要] 随着信息安全中的信任和认证技术的发展，无线应用的广泛使用，传统密码认证和密钥分发技术在无线信道资源受限的情况下，使用和管理复杂，基于身份加密(IBE)技术能够很好地解决这些新问题。介绍了IBE 技术的发展背景和现状，分析了对称加密、PKI 和IBE 的密钥管理方式，提出了IBE 技术在实际应用中需要解决的问题，给出了相应的解决思路。并针对密钥托管与用户私钥安全分发问题，分析和比较了典型解决方案及其适用环境。[关键词] 基于身份加密；密钥管理；私钥分发

[中图分类号] TN918 [文献标识码] A [文章编号] 1009-8054 (2011)04-0064-03

Study on Identity-Based Encryption Technology

ZENG Bing，YANG Yu，CAO Yun-fei

(State Key Lab. Of Science and Technology on Communication Security，Chengdu Sichuan 610041，China)[Abstract] With the development of confidence and authentication technologies in information security and the wide application of wireless technology，the application of traditional key authentication and distribution technology is complex and limited，IBE could effectively solve these problems. The development background and present situation of IBE technology is described，the key management technology for symmetric encryption，PKI and IBE is analyzed，the problems of IBE technology in application are presented，and the solutions to those problems are also given. Finally，aiming at the key escrow and the distribution of users' private key，the typical solutions and applications are analyzed and compared. [Keywords] IBE；key management；private key distribution

基于身份加密(IBE)技术研究

收稿日期：2011-01-04

作者简介：曾兵，1971年生，男，高工，研究方向：信息安全；杨宇，1978年生，男，高工，研究方向：密钥管理；曹云飞，1968年生，男，高工，研究方向：信息安全基础理论。

0 引言

在现代公钥密码体制中，加密和解密分别使用不同的密钥：其中加密密钥(即公钥)是可以公开的，而解密密钥(即私钥)只有解密人自己知道，非法使用者是无法根据公开的加密密钥来推算出解密密钥的。加密密钥的公开使用，使得密钥的分配和管理比对称密码体制更简单。

在传统的公钥密码学中，公钥是与身份无关的随机字符串，存在如何确认公钥真实性的问题。为此，公钥基础设施(Public Key Infrastructure，PKI)通过使用可信任第三方——认证中心(Certification Authority，CA)颁发公钥证书的形式来绑定公钥和身份信息。然而，PKI 证书管理复杂，需要建造复杂的CA 系统，证书发布、吊销、验证和保存需要占用较多资源，这就限制了PKI 在实时和低带宽环境中的广泛应用。

1 基于身份加密(IBE)技术简介

为了简化公钥证书的管理，Shamir 创造性地提出了基于身份加密的概念。在这种公钥加密机制中，用户的身份信息(如身份证号码、电话号码和邮件地址等)直接作为用户的公钥。用户的身份与用户之间有着直接而天然的联系，因此无需通过数字证书进行绑定，从而避免了传统公钥密码体制中因管理大量用户证书而带来的种种弊端。但是，直到2001年，Boneh 和Franklin 才提出了第一个实用的IBE 方案

[1]

。该方案的构造

使用了双线性映射，并基于随机预言机模型(Random Oracles Model，ROM)证明了该方案是选择密文安全的。

随后，围绕IBE 的方案设计和应用研究广泛开展。在方案设计上，绝大多数IBE 方案基于双线性映射构造。2007年，Boyen 将基于双线性映射构造的IBE 分为三大类：全域Hash(Full-Domain Hash)、可交换的盲化(Commutative Blinding)和

指数逆(Exponent Inversion)。在应用研究上，由于在采用对称密钥加密的情况下，要么是所有的用户共享一个工作密钥，要么是每对用户使用一个相同的工作密钥，这样可能导致密钥管理的复杂性或通信安全性降低，并且不易解决安全组播等问题。

而采用IBE，不仅可以解决对称密钥加密存在的密钥管理复杂性问题，同时也可以解决PKI证书管理复杂问题。因此，IBE 已被广泛应用在安全组播通信、电子印章、安全电子邮件、无线网络路由安全与信息加密，以及Ad Hoc网络密钥管理等方面。

2 对称加密、PKI和IBE密钥管理方式比较

基于IBE技术构建各种安全应用，必须先解决IBE的密钥管理问题。通常，密钥管理问题涉及密钥管理机构建设，以及密钥生命周期内的产生、存储、分发、更新、撤销和归档等技术环节。以下仅对对称加密、PKI和IBE方式下密钥管理部分关键环节进行比较。

(1) 密钥管理机构

密钥管理机构是系统默认的可信机构，对称加密方式的密钥管理机构是密钥管理中心(Key Management Center，KMC)；PKI方式的密钥管理机构是认证中心(Certification Authority，CA)；IBE的密钥管理机构是私钥生成器(Private Key Generator，PKG)。在实际应用中，KMC、CA和PKG在面临大用户量系统需求时，为避免“单点失效”和提高管理效率，都采用分层树型结构的管理机构建设方式。然而，由于PKI跨域交叉认证时需要通过根CA，因此根CA较易成为系统瓶颈，并且PKI信任模型存在信任淡化问题，因此国际标准组织建议CA建设层次最好不要超过3层。KMC的管理机构分层建设通常不存在这种限制，5层结构也有应用，然而跨域密码互通管理也需要通过根KMC，因此根KMC也易成为系统瓶颈。

在IBE中，为解决大规模系统应用中单个PKG在线分发私钥的瓶颈问题，Gentry 和Sliverberg提出了基于身份分层结构的HIBE(Hierarchical Identity Based Encryption)公钥机制[2]。HIBE是IBE的扩展，其最大特点是根PKG的私钥构造和身份验证工作可由子孙PKG承担，且某个PKG的密钥泄露不会影响其祖先PKG安全，也不会影响该域用户私钥安全，从这点来说，IBE更适合大规模、分布式环境中的强安全应用。

(2) 密钥产生

对称加密的密钥通常由制密系统离线生产，采用光盘等载体通过人工安全信道交付用户使用。在某些实时性要求较高或具有“一次一密”通信要求的场合，则采用密钥管理中心或密钥分发设备进行集中式在线生产。

PKI的公钥需要可信CA中心进行身份绑定，并签名证明，而私钥可由用户自己产生和保存，也可由证书管理中心统一产生公/私钥对，加密通信过程不需要传递私钥，不依赖安全信道，但通信双方必须通过CA利用证书进行身份认证。

IBE的公钥就是用户的身份标识，而私钥通常由密钥管理机构PKG产生，用户在需要私钥时，由PKG根据用户标识计算后产生，并通过安全信道发给用户。

(3) 密钥存储

对称加密方式下，通常是将所有用户的密钥存储在专用载体上，通过光盘或注入器一次性通过人工安全信道发给各用户；或将各用户的密钥存放在密钥分发设备中集中保存，通过在线安全信道发给各用户。前者在大用户量时面临存储容量需求大、密钥分发效率低等问题；后者则必须保障密钥分发设备的存储安全和传输安全。PKI方式下，通常将各用户的公钥存放在公用的、在线运行的LDAP目录库中集中保存，各用户均可访问和下载，因此特殊应用下的公钥证书安全存储和访问控制是极其必要的；而私钥则采用IC卡或USB-Key等载体存放，要求用户自己安全保存。这种方式不需要在终端用户本地存储大量证书，但当系统规模越来越大时，庞大的证书库较难维护，对系统根CA的处理能力要求较高。IBE方式下，公钥就是用户自己的唯一性标识，私钥则由用户向PKG申请，PKG计算出用户私钥后，通常不保存私钥，因此IBE不存在密钥存储问题。但是，当PKG的系统主密钥S泄露，或PKG产生用户私钥后私自保存，则将面临用户私钥泄露的问题，即IBE的密钥托管问题。

(4) 密钥分发、更换与撤销

对称加密方式下，用于业务加密的用户工作密钥可采用离线、在线分发或更换方式；而用于工作密钥分发保护的用户管理密钥则必须采用经由人工安全信道的离线分发或更换方式，否则在线安全信道无法建立。当一个通信群组中，某个用户的密钥泄露后，要及时更换所有用户密钥，保证安全组通信是较为困难的，特别是当系统规模较大时。

PKI方式下，公钥证书采用离线分发，经由LDAP目录库在线管理和更换方式；而用户私钥也通常采用离线分发，当用户丢失私钥需要更换时，必须连同公钥证书一起更换，而被撤销的证书必须放入在线运行的证书撤销列表系统中供其他用户查询、获知。当系统规模较大时，证书撤销列表维护成本较高。

IBE方式下，用户的公钥无需分发，而用户的私钥由PKG 根据用户选择的公钥来产生，因为私钥滞后于公钥产生，所以通常采用在线分发私钥的方式。在IBE中，用户公钥(即身份)无需更换，用户私钥更换相对PKI简单，如只要用户在选择公钥的时候加上时间段字符串作为公钥的一部分，则可让私钥根据需要更换，即超过有效期的私钥就不再使用。

3 需要考虑和解决的问题

自2001年BF-IBE[1]被提出以来，针对IBE的加密、签名、密钥协商和分层构架等研究方案陆续出现并不断完善，但IBE 真正成为像PKI一样的、被广泛应用的公钥体系还有不少问题需要考虑、解决和实用化。

(1) 密钥托管与用户私钥安全分发问题

在BF-IBE中，用户私钥由PKG产生和集中管理，由于存

在PKG 用户私钥泄露问题，因而IBE 的用户私钥天然是密钥托管的。为安全进行IBE 签名应用，避免PKG“欺诈”和“泄露”，必须解决用户私钥的密钥托管问题。

另一方面，当用户向PKG 申请私钥时，存在用户的身份可信认证和私钥安全分发问题。在小规模BF-IBE 应用中，可以通过安全人工信道实现用户私钥安全分发，但对于大规模应用，在线的用户私钥安全分发是必须要解决的重要问题。

(2) 用户黑名单管理和密钥吊销问题

在IBE 密码系统中，由于密码设备失控或丢失、私钥泄漏或损坏等等原因，同样存在黑名单用户管理和密钥吊销问题。黑名单用户管理和密钥吊销问题不解决，IBE 系统无法实际应用。当然，IBE 黑名单用户管理和私钥吊销可采用PKI 方式的传统基于证书吊销机制，或者采用KMC 方式的传统人工吊销来实现，但是，这不是有效的实现方式，特别在强调实时性、动态性和分布式移动应用环境中，还没有真正实用的IBE 用户黑名单管理和密钥吊销方案。

(3) IBE 密钥管理系统构建与跨域互操作问题

现有的大多数IBE 密码系统方案中，都没有考虑IBE 用户的安全等级、信任度量和访问控制等问题，没有系统地考虑IBE 密钥管理系统各方面的安全构建机制，导致IBE 在安全性要求较高、规模较大的电子政务和军事通信中实际应用困难。特别地，多数方案都没有考虑大规模应用下跨不同PKG 管理域的域间互操作问题，如跨域授权与认证、用户漫游接入服务等。

4 常见的解决思路

针对问题，目前的解决思路主要有基于秘密共享门限密码机制的多可信管理机构方案[3-4]

、基于用户选择密文的私钥自

产生方案

[5]

和基于分层结构的HIBE 方案[2]

等。针对IBE 用户

黑名单管理和密钥吊销问题，目前的解决思路主要有基于传统PKI 框架的在线身份证书撤销方案、基于传统KMC 框架的人工吊销方案、基于时间周期的在线交互式吊销方案，以及基于密钥绝缘和辅助密钥的非交互私钥吊销方案等。针对IBE 密钥管理系统构建与跨域互操作问题，目前的解决思路主要有基于信任服务的IBE 系统架构方案和基于密钥托管可控的跨域IBE 架构方案等。这里重点对IBE 的密钥托管与用户私钥安全分发方案进行分析和比较，并说明其适用环境。

基于秘密共享门限密码机制的多可信管理机构方案采用秘密共享门限密码机制，将单个PKG 系统主密钥S 进行“分片”，改由n 个PKG 分享系统主密钥S，每个PKG 都有自己的子密钥分量S i ，对于任何大于等于t 个(t 为门限阀值)PKG 合作均能恢复系统主密钥S，任何小于t 个PKG 均不能恢复系统主密钥S。当产生或更新私钥时，用户p 要与至少t 个PKG 进行通信，并由它们所生成的t 个用户私钥分量S i ·ID p 得到用户私钥S·ID p 。

该方案通过n 个PKG 间的秘密共享，极大地优化了单个PKG 所存在的密钥托管问题。但是，每个用户至少需要与t 个PKG 间进行身份认证和用户私钥分量安全传输，当系统规模较大时，负担较重。同时，当大于t 个PKG 合作时，可恢复任一用户私钥，因此密钥托管问题未完全解决。

基于用户选择密文的私钥自产生方案是用户仅向PKG 申请公钥，而用户自己进行私钥生产。该方案通过用户自产私钥解决了密钥托管问题，用户与PKG 间无需安全信道，实现非交互式通信，减轻了PKG 私钥安全分发负担。但是，该方案失去了IBE 的特性，即用户公钥不是从用户身份ID 获取，接收方无法从用户身份获取用户公钥，而必须借助PKG 获取。

基于分层结构的HIBE 方案是BF-IBE 的扩展，该方案采用分层树型结构组织PKG，某个PKG 节点只能计算其所有子孙节点的私钥，而所有非其子孙节点的私钥是计算困难的，这不仅减少了单个PKG 为所有用户分发私钥的负担，而且分层结构使得任一PKG 的私钥泄露不影响高层PKG 及其他PKG 安全，也不影响该域用户私钥安全，因此，一定程度上可优化密钥托管问题。同时，用户仅需向它所在管理域的PKG 申请私钥，因此私钥安全分发问题与单个PKG 方式一致。然而，由于用户的初始化私钥是由它所在域PKG 节点生成的，虽然可由用户通过密钥更新算法进行本地更新，但初始化密钥仍然有效，因此密钥托管问题未完全解决。

通过分析不难看出，基于秘密共享门限密码机制的多可信管理机构方案和基于分层结构的HIBE 方案适用于具有密钥集中管理、用户授权使用特点的高安全应用环境，如政府机构和军事网络。一方面符合这些应用环境中的密钥集中统管要求和层次化指挥管理方式，而且在PKG 足够安全的情况下，可恢复用户密钥进行行为监控和事后取证。而基于用户选择密文的私钥自产生方案可应用在时效性要求较高，而安全性要求相对较低的环境中，如移动通信或无线传感器网络。针对基于秘密共享门限密码机制的多可信管理机构方案，文献[6]引入了信任转移和身份证书概念，以及引入盲化技术，能同时较好地解决用户私钥安全分发与密钥托管问题，且系统简洁性保持较好。

5 结语

作为一种新的公钥密码机制，基于身份加密技术在建设成本、管理效率和计算优化等方面较传统PKI 有很大提升，被看作是未来构建公钥信任体系的一种有效手段。基于IBE 构建各种安全应用，必须先解决IBE 的密钥管理问题。这里详细分析了对称加密、PKI 和IBE 的密钥管理方式，以及IBE 技术在实际应用中可能需要解决的问题和常见的解决思路。针对密钥托管与用户私钥安全分发问题，分析和比较了基于

(下转第73页)

建设，现在的等级保护体系已蔚然大观。

6 结语

等级保护原本是军事领域的安全保密体系，为了在计算机

世界中实现这一体系，研究人员苦心奋斗多年。随着网络时代

的到来，等级保护有了新的内涵：从保护对象上，不再局限于

军事领域的大型主机，而是所有对国计民生有重要影响的信息

系统；从实施的安全策略上，不再局限于军事安全保密规则，

而是用于各种安全保护策略；从测评角度看，不再限于个别信

息安全产品的静态测评，而是考查网络系统在实际运行中表现

出的综合保护能力，是涵盖了架构、功能、管理和配置等各方

面检查的全面、综合、动态的测评。一句话，等级保护逐步从

一种技术思想发展为今天贯穿了信息安全保障各个工作环节的

一个过程和一种制度。等级保护标准是等级保护思想进化历史

的快照。各个标准的兴衰历史表明，标准必须与时俱进，跟

得上用户的需求，才能得到有关各方(政府、用户与厂商等等)

的积极响应，而只有得到积极响应的标准才能称得上有生命

力的标准。今天，中国的等级保护标准体系从单纯的安全功

能点和安全保证技术转向检查系统运行的安全效果，抓住了

用户真正的需求，它的前途不可限量。

参考文献

[1] 严霄凤，高炽扬. 美国联邦信息安全风险管理框架及其相关

标准研究[J]. 信息安全与通信保密，2009(02)：40-44.

[2] 中华人民共和国国家标准：计算机信息系统安全保护等级划

分准则GB17859-1999)[S]. 中国国家质量技术监督局，1999.

[3] 马力，任卫红，李明，等. GB/T22239-2008，信息安全技术-信

息系统安全等级保护基本要求[M]. 北京，中国标准出版社，2008.

[4] 周佑源，张晓梅. 信息安全管理在等级保护实施过程中的要

点分析[J]. 信息安全与通信保密，2009(09)：66-68.

[5] 陈雪秀，任卫红，谢朝海. 信息安全等级保护中的两大基本

问题[J]. 信息安全与通信保密，2009(03)：36-39.

[6] 马力，毕马宁，任卫红. 国家信息安全等级保护政策中等级概

念之间相互关系的分析[J]. 信息网络安全，2010(11)：05-07.

测评中心承担，非涉密信息系统的风险评估由国家信息技术安

全研究中心、中国信息安全测评中心和公安部信息安全等级保

护评估中心3家专业测评机构承担。考虑到每次评估的范围和

工作量，仅靠这4家单位现有的技术力量很难承担全部国家电

子政务项目的评估工作，势必要与其他测评部门开展合作。

尽管存在这些问题，风险评估仍是目前最好的信息安全管

理辅助手段。风险评估的大规模开展，无疑将进一步提升中国

信息系统安全管理水平，全面提高安全保障能力。

参考文献

[1] GB/T 20984-2007，信息安全技术信息系统的风险评估规范[S].

中华人民共和国国家质量监督检验检疫总局，中国国家标准

化管理委员会，2007.

[2] 冯登国，张阳，张玉清. 信息安全风险评估综述[J]. 通信学报，

2004(07)：10-18.

[3] 范红. 信息安全风险评估规范国家标准理解与实施[J]. 北京：

中国标准出版社，2008.

[4] 王杰. 涉密信息系统中风险评估开展过程的研究[J]. 信息安

全与通信保密，2009(08)：103-106.

[5] 应云龙 郝威 陈元清. 融合等级保护思想的综合风险评估方法

的应用研究[J]. 数字技术与应用，2010(08)：98-99.

[6] 孙强. 信息安全风险评估模型的定性与定量对比研究[J]. 微

电子学与计算机，2010(06).

秘密共享门限密码机制的多可信管理机构方案、基于用户选

择密文的私钥自产生方案，以及基于分层结构的HIBE方案

等典型解决机制及其适用环境。随着后人针对IBE的加密、

签名、密钥协商、密钥分发与吊销、密钥管理系统构建和跨

域互操作等问题进行了不断完善。有理由相信，IBE将会在

多种环境中应用并发挥越来越大的作用。

参考文献

[1] BONEH D，FRANKLIN M. Identity-Based Encryption From the

Weil Pairing[C]//Proceedings of CRYPTO 2001. Berlin：

Springer-Verlag，2001：213-229.

[2] GENTRY C，SILIVERBERG A. Hierarchical ID-based

cryptography[C]//Advances in Cryptography-ASIACRYPT. [s.l.]：

Springer-Verlag，2002：548-566.

[3] CHEN L，HARRISON K，SOLDERA D，et al. Applications

of Multiple Trust Authorities in Pairing based Cryptosystems[C].

Berlin：Springer-Verlag，2002：260-275.

[4] 周楝淞，卿昱，谭平嶂，等. 一种改进的基于标识的认证系

统的实现[J]. 信息安全与通信保密，2009(02)：61-63.

[5] YUM D H，LEE P J. Identity-based Cryptography in Pbulic Key

Management[C]. Proc. Of EuroPKI'04. 2004：71-84.

[6] 侍伟敏. 基于AIC的IBE私钥分发协议[J]. 北京邮电大学学

报，2008，31(04)：74-76，138.

(上接第69页)

(上接第66页)