曾品善

摘 要 身份認證技術在信息安全中處于非常重要的地位，是其他安全機制的基礎。本文研究了基于PKI和基于IBC的身份認證技術，并對其進行了比較。

關鍵詞 身份認證 PKI IBC

中圖分類號：TP393.08 文獻標識碼：A

身份認證是一個系統安全最為重要的問題。只有在通過安全的身份認證基礎上，才可能進行安全可靠地傳遞信息和共享網絡資源。用戶和系統一般是通過三種方法來證明他們的身份，即用戶所知道的、用戶所擁有的和用戶的特征。身份認證根據其實現方式的不同可以分為三類，即單向認證（One-Way Authentication）、雙向認證（Two-Way Authentication）和信任的第三方認證（Trusted Third-Party Authentication）。每一種實現方式又根據所基于的密碼體制不同采用對稱密碼或非對稱密碼來實現。下面重點分析和討論非對稱密碼體制下基于PKI（Public Key Infrastructure，公鑰基礎設施）和基于IBC（Identity-Based Cryptography，基于身份的密碼技術）的身份認證技術。

1 基于PKI的認證技術

PKI是指用公鑰的概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。在PKI中，通過CA認證中心將用戶的身份標識信息（用戶名稱、身份證號等）與其公鑰綁定到一起，從而可以實現網絡環(huán)境中身份認證的功能。PKI提供一系列支持公鑰密碼的應用（加密、解密、簽名與驗證等）。其所能支持的安全服務功能主要有：身份認證、數據完整性驗證、數據機密性以及不可抵賴性等。PKI的目標就是通過借助公鑰密碼學的理論基礎，管理密鑰的生成、存儲以及公鑰證書的安全性等，為各種網絡應用提供全面的安全服務，從而能夠有效地實現用戶身份的認證性和數據的機密性、完整性、有效性等。一個完整的PKI系統，其邏輯結構如圖1所示。

2 基于IBC的認證技術

基于身份的公鑰密碼技術IBC（Identity-Based Cryptography）是Shamir首次提出的，與基于PKI和數字證書等認證方案不同，IBC認證技術的核心思想是系統中不再使用證書，而是通過三種密鑰，即系統主密鑰、用戶公鑰和私鑰，即可完成認證。用戶的公鑰是通過提取用戶的身份信息，如姓名、IP地址、郵箱地址等生成的，私鑰可由稱為私鑰生成器PKG（Private Key Generator）的可信第三方計算得到并通過安全信道傳送給用戶。這種身份認證思想實現了公鑰與認證實體身份進行綁定，使得認證雙方在不需交換公鑰的情況下即可完成認證，簡化了傳統公鑰密碼系統中密鑰管理及其帶來的成本開銷問題。IBC密碼技術可以廣泛的應用在云計算、物聯網、電子商務、電子政務等領域。在國外，IBC技術被廣泛用于世界五百強企業(yè)的加密電子郵件。IBC在美國的電子商務領域已經成為銷售終端POS（Point of Sale）和清算中心間保護信用卡信息的主流技術之一。一個簡單的IBC系統結構如圖2所示。

3 基于PKI與基于IBC認證的比較

基于PKI和基于IBC的認證雖然都是基于公鑰密碼體制下的認證技術，但是兩者在很多方面具有很大的差異?；贗BC的認證方案和基于PKI的認證方案相比有幾個顯著的特點：無證書、基于身份的密碼機制、密鑰使用和管理的便捷性。兩者在很多方面還存在很大的差異，具體差異對比如表1所示。

參考文獻

[1] 李發(fā)根，胡予濮.一個高效的基于身份的簽密方案[J].計算機學報，2006，26（9）：1641-1647.

[2] 徐雯麗.云計算環(huán)境下的身份認證研究[D].江蘇：南京郵電大學，2013.