曾品善

摘 要 身份認證技術(shù)在信息安全中處于非常重要的地位，是其他安全機制的基礎(chǔ)。本文研究了基于PKI和基于IBC的身份認證技術(shù)，并對其進行了比較。

關(guān)鍵詞 身份認證 PKI IBC

中圖分類號：TP393.08 文獻標識碼：A

身份認證是一個系統(tǒng)安全最為重要的問題。只有在通過安全的身份認證基礎(chǔ)上，才可能進行安全可靠地傳遞信息和共享網(wǎng)絡(luò)資源。用戶和系統(tǒng)一般是通過三種方法來證明他們的身份，即用戶所知道的、用戶所擁有的和用戶的特征。身份認證根據(jù)其實現(xiàn)方式的不同可以分為三類，即單向認證（One-Way Authentication）、雙向認證（Two-Way Authentication）和信任的第三方認證（Trusted Third-Party Authentication）。每一種實現(xiàn)方式又根據(jù)所基于的密碼體制不同采用對稱密碼或非對稱密碼來實現(xiàn)。下面重點分析和討論非對稱密碼體制下基于PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）和基于IBC（Identity-Based Cryptography，基于身份的密碼技術(shù)）的身份認證技術(shù)。

1 基于PKI的認證技術(shù)

PKI是指用公鑰的概念和技術(shù)來實施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。在PKI中，通過CA認證中心將用戶的身份標識信息（用戶名稱、身份證號等）與其公鑰綁定到一起，從而可以實現(xiàn)網(wǎng)絡(luò)環(huán)境中身份認證的功能。PKI提供一系列支持公鑰密碼的應(yīng)用（加密、解密、簽名與驗證等）。其所能支持的安全服務(wù)功能主要有：身份認證、數(shù)據(jù)完整性驗證、數(shù)據(jù)機密性以及不可抵賴性等。PKI的目標就是通過借助公鑰密碼學的理論基礎(chǔ)，管理密鑰的生成、存儲以及公鑰證書的安全性等，為各種網(wǎng)絡(luò)應(yīng)用提供全面的安全服務(wù)，從而能夠有效地實現(xiàn)用戶身份的認證性和數(shù)據(jù)的機密性、完整性、有效性等。一個完整的PKI系統(tǒng)，其邏輯結(jié)構(gòu)如圖1所示。

2 基于IBC的認證技術(shù)

基于身份的公鑰密碼技術(shù)IBC（Identity-Based Cryptography）是Shamir首次提出的，與基于PKI和數(shù)字證書等認證方案不同，IBC認證技術(shù)的核心思想是系統(tǒng)中不再使用證書，而是通過三種密鑰，即系統(tǒng)主密鑰、用戶公鑰和私鑰，即可完成認證。用戶的公鑰是通過提取用戶的身份信息，如姓名、IP地址、郵箱地址等生成的，私鑰可由稱為私鑰生成器PKG（Private Key Generator）的可信第三方計算得到并通過安全信道傳送給用戶。這種身份認證思想實現(xiàn)了公鑰與認證實體身份進行綁定，使得認證雙方在不需交換公鑰的情況下即可完成認證，簡化了傳統(tǒng)公鑰密碼系統(tǒng)中密鑰管理及其帶來的成本開銷問題。IBC密碼技術(shù)可以廣泛的應(yīng)用在云計算、物聯(lián)網(wǎng)、電子商務(wù)、電子政務(wù)等領(lǐng)域。在國外，IBC技術(shù)被廣泛用于世界五百強企業(yè)的加密電子郵件。IBC在美國的電子商務(wù)領(lǐng)域已經(jīng)成為銷售終端POS（Point of Sale）和清算中心間保護信用卡信息的主流技術(shù)之一。一個簡單的IBC系統(tǒng)結(jié)構(gòu)如圖2所示。

3 基于PKI與基于IBC認證的比較

基于PKI和基于IBC的認證雖然都是基于公鑰密碼體制下的認證技術(shù)，但是兩者在很多方面具有很大的差異?；贗BC的認證方案和基于PKI的認證方案相比有幾個顯著的特點：無證書、基于身份的密碼機制、密鑰使用和管理的便捷性。兩者在很多方面還存在很大的差異，具體差異對比如表1所示。

參考文獻

[1] 李發(fā)根，胡予濮.一個高效的基于身份的簽密方案[J].計算機學報，2006，26（9）：1641-1647.

[2] 徐雯麗.云計算環(huán)境下的身份認證研究[D].江蘇：南京郵電大學，2013.