鄭建武，劉明生

(1.石家莊鐵道大學(xué)交通運(yùn)輸學(xué)院 河北省交通安全與控制重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050000；2.石家莊鐵路職業(yè)技術(shù)學(xué)院，河北 石家莊 050000)

1 區(qū)塊鏈發(fā)展概述

區(qū)塊鏈就是利用分布式計(jì)算、共識(shí)機(jī)制、密碼技術(shù)、以及數(shù)據(jù)存儲(chǔ)技術(shù)等實(shí)現(xiàn)的去中心化的不可篡改交易賬本，而區(qū)塊鏈技術(shù)則是泛指這些相關(guān)技術(shù)的總和。由對(duì)等實(shí)體構(gòu)成并管理的分布式網(wǎng)絡(luò)是區(qū)塊鏈的硬件平臺(tái)；基于該平臺(tái)各對(duì)等實(shí)體分別擁有并管理一份自有的賬本實(shí)例，各賬本實(shí)例記錄發(fā)生于各實(shí)體間業(yè)務(wù)交互的歷史痕跡；所有賬本實(shí)例的一致性依賴于網(wǎng)絡(luò)中一些特殊的節(jié)點(diǎn)所執(zhí)行的共識(shí)機(jī)制，發(fā)生于網(wǎng)絡(luò)上的業(yè)務(wù)或交易由這些節(jié)點(diǎn)進(jìn)行分組和打包以構(gòu)成區(qū)塊；區(qū)塊間利用散列(或哈希)密碼服務(wù)以形成鏈?zhǔn)絽^(qū)塊，所有的追蹤區(qū)塊皆綁定于其直接前驅(qū)區(qū)塊，構(gòu)成逆向鏈表即賬本，對(duì)任何歷史區(qū)塊的人為修改將破壞區(qū)塊間的鏈?zhǔn)疥P(guān)系，依此分布式交易賬本的不可篡改得以保證。

區(qū)塊鏈技術(shù)的提出源于比特幣(Bitcoin)[1]，這是首個(gè)也是最受廣泛關(guān)注的區(qū)塊鏈應(yīng)用。由于比特幣應(yīng)用局限(僅限于密幣交易)，需要引入新的技術(shù)以推動(dòng)區(qū)塊鏈發(fā)展。以太坊(Ethereum)[2]區(qū)塊鏈技術(shù)融合比特幣的所有特性和智能合約技術(shù)以拓展區(qū)塊鏈應(yīng)用疆域，可適用于開發(fā)以“以太幣”(以太坊的密幣名稱)為標(biāo)的的分布式應(yīng)用。不論是比特幣、以太坊以及諸多的變體密幣(及應(yīng)用)，都是開放網(wǎng)絡(luò)技術(shù)，即對(duì)所有人開放，實(shí)體間的交互是匿名的，此類區(qū)塊鏈技術(shù)被稱為開放無許可區(qū)塊鏈(Open Permissionless Blockchain)。

隨著比特幣、以太坊等的流行和推廣，如何將區(qū)塊鏈技術(shù)(特別是不可篡改分布式賬本、分布共識(shí)機(jī)制等)應(yīng)用于業(yè)務(wù)場(chǎng)景更豐富、業(yè)務(wù)交互更復(fù)雜的企業(yè)應(yīng)用，引起學(xué)術(shù)界及產(chǎn)業(yè)界的極大興趣。由于企業(yè)應(yīng)用對(duì)業(yè)務(wù)執(zhí)行等有特殊的要求，如業(yè)務(wù)時(shí)效性、多實(shí)體交互等，以上比特幣、以太坊等的開放無許可區(qū)塊鏈技術(shù)難以支持；其次，對(duì)于企業(yè)應(yīng)用通常業(yè)務(wù)交互禁止匿名，業(yè)務(wù)交互不允許公開(包括交易的執(zhí)行、交易的存儲(chǔ)等)、業(yè)務(wù)交互強(qiáng)調(diào)公平交易環(huán)境等，所有這些也是開放無許可區(qū)塊鏈技術(shù)所不具備的。由此，新一類的區(qū)塊鏈技術(shù)，即許可區(qū)塊鏈技術(shù)(Permissioned Blockchain)出現(xiàn)[3]。

2 許可鏈應(yīng)用的安全需求與服務(wù)

在許可鏈應(yīng)用中，由于業(yè)務(wù)執(zhí)行對(duì)實(shí)體身份合法性和業(yè)務(wù)安全等有特殊的規(guī)定和要求，本節(jié)簡述許可鏈應(yīng)用實(shí)施中的安全需求和有關(guān)許可鏈平臺(tái)能夠被提供的安全服務(wù)。

2.1 許可鏈應(yīng)用的安全需求

許可鏈應(yīng)用與傳統(tǒng)的分布式應(yīng)用等在安全需求上沒有太多的不同，只是因?yàn)閷?shí)現(xiàn)去中心化(去信任)、不可篡改等特性，涉及本地賬本、本地狀態(tài)數(shù)據(jù)庫，以及交易要求的共識(shí)、排序等，有更多因基于區(qū)塊鏈平臺(tái)而提出的控制與交互安全要求，以實(shí)現(xiàn)應(yīng)用的可信和私密。許可鏈應(yīng)用安全涉及以下內(nèi)容。

(1)實(shí)體可信：業(yè)務(wù)實(shí)體身份合法、成員(包括應(yīng)用)身份確認(rèn)等。身份合法需要引入根信任機(jī)制，而身份確認(rèn)則需要建立可信鏈以確認(rèn)身份合法。在許可鏈應(yīng)用中，業(yè)務(wù)實(shí)體的身份合法(權(quán)限)通常是通過不同的安全策略來限定，如共識(shí)策略、鏈碼配置策略、通道配置策略等等。

(2)交互可信：業(yè)務(wù)交互隱私保證，要求交易的細(xì)節(jié)不能被公開，通常指交易的標(biāo)的等的數(shù)值不能被公開；更高一級(jí)的要求則是參與交易的實(shí)體身份不能被公開，即匿名要求，其次是同一用戶發(fā)起或參與的多次交易不能被關(guān)聯(lián)，即不可關(guān)聯(lián)性。許可鏈應(yīng)用中，交易是基于共識(shí)基礎(chǔ)上(以及交易次序)的多點(diǎn)執(zhí)行(以實(shí)現(xiàn)不可篡改)，交易執(zhí)行過程需要在多個(gè)實(shí)體流轉(zhuǎn)、執(zhí)行和驗(yàn)證，保證交互可信較為復(fù)雜，不僅要求許可鏈應(yīng)用執(zhí)行流程的模式支持，也要求應(yīng)用安全執(zhí)行的密碼服務(wù)支持。

(3)存儲(chǔ)可信：私密狀態(tài)數(shù)值的私密存儲(chǔ)和不可被非授權(quán)訪問。許可鏈應(yīng)用中，要求所有參與應(yīng)用的實(shí)體都需要本地維護(hù)正確、完整的賬本，但應(yīng)用目標(biāo)達(dá)成通常是多項(xiàng)關(guān)聯(lián)業(yè)務(wù)的執(zhí)行來共同實(shí)現(xiàn)的，而不同的業(yè)務(wù)涉及的實(shí)體并不相同，對(duì)于各自獨(dú)立的業(yè)務(wù)在有私密狀態(tài)參與的情況下，排除非業(yè)務(wù)參與實(shí)體了解或獲取私密狀態(tài)數(shù)據(jù)是必要的，存在的挑戰(zhàn)是這些非業(yè)務(wù)參與實(shí)體卻需要記錄交易執(zhí)行的細(xì)節(jié)以維持本地賬本的可信。

2.2 業(yè)務(wù)可信的結(jié)構(gòu)與節(jié)點(diǎn)支持

許可鏈應(yīng)用涉及的業(yè)務(wù)依賴于區(qū)塊鏈網(wǎng)絡(luò)上的各機(jī)構(gòu)以及隸屬各機(jī)構(gòu)且發(fā)揮不同作用的多類節(jié)點(diǎn)。下面從圍繞許可鏈的應(yīng)用開展，論述實(shí)現(xiàn)業(yè)務(wù)可信的基礎(chǔ)，即支持業(yè)務(wù)開展的組織結(jié)構(gòu)和執(zhí)行業(yè)務(wù)交互的實(shí)體節(jié)點(diǎn)。論述的內(nèi)容以Hyperledger Fabric為示例。

2.2.1 支持業(yè)務(wù)的組織結(jié)構(gòu)

(1)聯(lián)盟(consortium)：這是許可鏈成形的基礎(chǔ)，具有一致業(yè)務(wù)內(nèi)容且需要完成適當(dāng)?shù)臉I(yè)務(wù)交互才可實(shí)現(xiàn)業(yè)務(wù)目標(biāo)的多個(gè)組織(Organization)共同構(gòu)成聯(lián)盟。聯(lián)盟內(nèi)的各組織因業(yè)務(wù)交互需求而建立聯(lián)系，但組織間的信任、業(yè)務(wù)私密等并沒有因結(jié)盟而自動(dòng)提供，只能通過額外的服務(wù)、外加的措施來保證。

(2)組織(Organization)：這是具有獨(dú)立業(yè)務(wù)能力和獨(dú)立業(yè)務(wù)目標(biāo)的機(jī)構(gòu)，是構(gòu)成以上聯(lián)盟的前提，聯(lián)盟可獨(dú)立劃分為多個(gè)組織，各組織間因業(yè)務(wù)交互而建立聯(lián)系，組織間的業(yè)務(wù)聯(lián)系反映聯(lián)盟的結(jié)構(gòu)，聯(lián)盟的結(jié)構(gòu)可以是星型全連通、鏈?zhǔn)疥P(guān)系等。

(3)應(yīng)用(或客戶應(yīng)用，Client Application)：這是組織業(yè)務(wù)的有機(jī)組合，是實(shí)現(xiàn)特定組織目標(biāo)的業(yè)務(wù)總和。一個(gè)組織可以有多個(gè)獨(dú)立的應(yīng)用，各應(yīng)用可由多項(xiàng)業(yè)務(wù)捆綁構(gòu)成，若各業(yè)務(wù)間無關(guān)聯(lián)關(guān)系，則可獨(dú)立為組織應(yīng)用。

(4)通道(Channel)：這是組織業(yè)務(wù)交互關(guān)系的組合，參與的組織基于通道完成業(yè)務(wù)交互。通道為分離組織間的業(yè)務(wù)交互提供明確的邊界，為利于區(qū)塊鏈應(yīng)用更好地實(shí)現(xiàn)原子性和健壯性等。

(5)集合(或族，Collection)：主要指服務(wù)私有交易的邏輯域(Private Data Collection)，是基于通道之上的、由相關(guān)組織內(nèi)的有關(guān)節(jié)點(diǎn)構(gòu)建的一種業(yè)務(wù)關(guān)系。值得指出的是在同一個(gè)(交易)通道之上可以定義多個(gè)私有數(shù)據(jù)集合，簡單的示例如競(jìng)標(biāo)業(yè)務(wù)，多方組織兩兩間的業(yè)務(wù)有相應(yīng)的隱私要求，這樣的隱私要求即可由各自的獨(dú)立的私有數(shù)據(jù)集合來滿足。由上面的業(yè)務(wù)組織結(jié)構(gòu)可以看出，組織間的業(yè)務(wù)交互發(fā)生在通道之上，組織間的信任需要基于通道確立，業(yè)務(wù)的隱私需要實(shí)現(xiàn)通道基礎(chǔ)上的細(xì)化控制，即由私有數(shù)據(jù)集合(族)以構(gòu)建業(yè)務(wù)交互的隔離運(yùn)行環(huán)境。

2.2.2 業(yè)務(wù)執(zhí)行的交互節(jié)點(diǎn)

(1)背書節(jié)點(diǎn)(Endorsing Nodes)：共識(shí)機(jī)制實(shí)現(xiàn)的核心執(zhí)行機(jī)構(gòu)，組織間業(yè)務(wù)交互經(jīng)鏈碼實(shí)現(xiàn)，應(yīng)用請(qǐng)求鏈碼執(zhí)行(交易提案，transaction proposal)需經(jīng)背書節(jié)點(diǎn)批準(zhǔn)。背書節(jié)點(diǎn)(的組成)由鏈碼配置指定，即背書策略由鏈碼配置明示。由于背書節(jié)點(diǎn)需要執(zhí)行交易，所以在私密業(yè)務(wù)的背書過程，背書節(jié)點(diǎn)將掌握私密數(shù)據(jù)。所以私密交易的背書策略需要充分考慮背書節(jié)點(diǎn)集合的合理性。

(2)錨節(jié)點(diǎn)(Anchor Nodes)：這是為解決聯(lián)盟內(nèi)不同組織間節(jié)點(diǎn)的識(shí)別問題而設(shè)置的節(jié)點(diǎn)，不同組織內(nèi)節(jié)點(diǎn)信息經(jīng)錨節(jié)點(diǎn)的轉(zhuǎn)接而共享，隨后并能脫離錨節(jié)點(diǎn)而直接建立聯(lián)系與交互。因錨節(jié)點(diǎn)(若不身兼帶隊(duì)節(jié)點(diǎn))不涉及具體的業(yè)務(wù)應(yīng)用，故不會(huì)涉及私密交易，無安全需求。

(3)帶隊(duì)節(jié)點(diǎn)(Leading Nodes)：為服務(wù)交易執(zhí)行效率和優(yōu)化許可鏈應(yīng)用流程，為各組織設(shè)置帶隊(duì)節(jié)點(diǎn)(通過靜態(tài)配置或動(dòng)態(tài)選舉的方式)。對(duì)于私密交易，背書節(jié)點(diǎn)是將私密業(yè)務(wù)的私有數(shù)據(jù)發(fā)送給各授權(quán)組織(參與私有業(yè)務(wù)的各組織)的帶隊(duì)節(jié)點(diǎn)，并由帶隊(duì)節(jié)點(diǎn)在組織內(nèi)廣播給其他授權(quán)節(jié)點(diǎn)(或主動(dòng)請(qǐng)求)。獨(dú)立出帶隊(duì)節(jié)點(diǎn)有利于層次化業(yè)務(wù)交互，且在背書節(jié)點(diǎn)不可用時(shí)，維持組織內(nèi)狀態(tài)數(shù)據(jù)庫正確以及賬本一致性。

(4)被授權(quán)節(jié)點(diǎn)(Authorized Nodes)：執(zhí)行私密交易的節(jié)點(diǎn)，節(jié)點(diǎn)不僅本地記賬私有狀態(tài)屬性值的異動(dòng)歷史，同時(shí)維護(hù)對(duì)應(yīng)私有狀態(tài)的私密值。

(5)普通節(jié)點(diǎn)(Normal Nodes)：不直接參與私密交易的節(jié)點(diǎn)即為普通節(jié)點(diǎn)，會(huì)參與私密交易演進(jìn)歷史的記賬但不維持私密屬性值。普通節(jié)點(diǎn)因不直接操作私密屬性值，業(yè)務(wù)安全實(shí)現(xiàn)獨(dú)立于此類節(jié)點(diǎn)。

2.3 業(yè)務(wù)可信的安全服務(wù)

為了解決以上多組織機(jī)構(gòu)、多業(yè)務(wù)節(jié)點(diǎn)間的安全邊界、可信交互、數(shù)據(jù)隱私等要求，Hyperledger Fabric利用證書基公鑰密碼學(xué)(Certificate-Based Public Cryptography)以提供必要的密碼服務(wù)。

(1)建立信任鏈：基于PKI(Public Key Infrastructure)引入X.509證書提供證書鏈，分別創(chuàng)建根CA(Certificate Authority)、中間CA(Intermediate CA)，使得基于證書的身份校驗(yàn)、簽名驗(yàn)證等可歸結(jié)于根信任(Root of Trust)。

(2)安全傳輸：基于TLS(Transfer Layer Security，安全傳出協(xié)議)解決業(yè)務(wù)交互的可信與私密，通過自簽名證書建立私密會(huì)話傳輸途徑。TLS證書通常獨(dú)立于實(shí)體的身份證書。

(3)基于授權(quán)的操作：交易共識(shí)、交易執(zhí)行等都基于策略執(zhí)行，策略內(nèi)容由相應(yīng)的通道配置、鏈碼配置等限定。另外通過定義私密數(shù)據(jù)集合(Private Data Collection)限定參與私密交易的被授權(quán)集合，非被授權(quán)集合中的節(jié)點(diǎn)在不了解私密狀態(tài)值的前提下依狀態(tài)值的版本號(hào)驗(yàn)證交易并記賬交易。

(4)組織內(nèi)私密信息共享：私密交易執(zhí)行時(shí)被授權(quán)節(jié)點(diǎn)可向組織內(nèi)(亦可跨組織，但要求不同組織節(jié)點(diǎn)是基于統(tǒng)一的CA派生身份)擁有私密信息的其他節(jié)點(diǎn)(也是被授權(quán)節(jié)點(diǎn))請(qǐng)求通過gossip協(xié)議共享。在有數(shù)據(jù)的同步需求時(shí)，在權(quán)限管理下組織內(nèi)的節(jié)點(diǎn)可共享業(yè)務(wù)狀態(tài)和業(yè)務(wù)記錄。

基于以上證書基密碼服務(wù)并通過業(yè)務(wù)策略配置以及私有數(shù)據(jù)集合(Private Data Collection)，F(xiàn)abric可解決業(yè)務(wù)節(jié)點(diǎn)的身份合法性、簽名有效性、交易私密性等安全需求。但存在第3.1節(jié)提到的基于證書的公鑰密碼(簡稱證書基密碼)實(shí)施面臨的問題。

2.4 屬性基的密碼服務(wù)

基于許可鏈的應(yīng)用，因產(chǎn)業(yè)領(lǐng)域或?qū)嶋H業(yè)務(wù)內(nèi)容差異，呈現(xiàn)不同的安全需求和預(yù)期多樣的安全目標(biāo)。為了滿足多樣的安全需求相應(yīng)需要有適用的密碼措施。Fabric中為實(shí)現(xiàn)對(duì)于交易的隱私保護(hù)，包括業(yè)務(wù)節(jié)點(diǎn)的身份匿名、業(yè)務(wù)節(jié)點(diǎn)發(fā)起交易的不可關(guān)聯(lián)性等安全需求，F(xiàn)abric并沒有提供或?qū)崿F(xiàn)證書基(即基于公鑰證書)的解決方案，而是通過引入Idemix服務(wù)來解決[4]。

Idemix密碼服務(wù)涉及憑證的簽發(fā)、使用和校驗(yàn)，分別對(duì)應(yīng)簽發(fā)者、用戶和校驗(yàn)者。Idemix服務(wù)與證書基公鑰服務(wù)相似，X.509證書因CA的簽名而確認(rèn)擁有與證書相應(yīng)私鑰的實(shí)體為合法用戶，Idemix的憑證也是因簽發(fā)者的簽名而確認(rèn)用戶屬性值的合法與可信。兩者的主要區(qū)別在于驗(yàn)證證書和憑證的簽名方案具有很大的不同。Idemix的優(yōu)勢(shì)在于用戶能夠向驗(yàn)證者證明自己擁有來自簽發(fā)者的對(duì)特定屬性(屬性值，如某個(gè)身份或某項(xiàng)本領(lǐng))的簽名[5]，同時(shí)驗(yàn)證簽名的交互過程并不泄露被校驗(yàn)的屬性值以及簽名本身。用戶因擁有憑證密鑰(私鑰)可以生成憑證及其對(duì)應(yīng)的屬性的證明。Idemix服務(wù)對(duì)于憑證驗(yàn)證可實(shí)現(xiàn)上述簽名和屬性隱藏，但是該零知識(shí)證明也對(duì)Fabric CA(充當(dāng)憑證簽發(fā)者)透明，即用戶對(duì)Fabric CA也是匿名和不可關(guān)聯(lián)的；這其實(shí)對(duì)于許可鏈應(yīng)用或業(yè)務(wù)執(zhí)行并不是有益的，特別是當(dāng)出現(xiàn)交易爭(zhēng)端或在需要揭示真實(shí)的業(yè)務(wù)執(zhí)行者身份場(chǎng)合時(shí)。

事實(shí)上也可以基于證書基實(shí)現(xiàn)上述匿名、不可關(guān)聯(lián)等密碼服務(wù)，如某點(diǎn)通過不斷申領(lǐng)新的證書，并在各業(yè)務(wù)中使用獨(dú)立的證書(類似于在不同的業(yè)務(wù)中使用不同的別名)，以滿足相應(yīng)的安全需求。但是該方法會(huì)引起證書的實(shí)時(shí)申請(qǐng)、存儲(chǔ)，以及對(duì)應(yīng)各獨(dú)立證書的私鑰安全使用等復(fù)雜問題。

Idemix服務(wù)是基于屬性的密碼(Attribute-Based Cryptography，簡稱屬性基)實(shí)現(xiàn)，屬性基密碼是下面即將討論的基于身份的密碼(Identity Based Cryptography, IBC，簡稱身份基)的推廣。Idemix服務(wù)是由基于雙線性對(duì)(Bilineal Pairing)、支持零知識(shí)證明簽名持有的盲簽名方案來實(shí)現(xiàn)和提供。

3 身份基密碼技術(shù)

基于公開身份信息的密碼——身份基密碼(Identity Based Cryptography, IBC)是公鑰密碼學(xué)中相對(duì)于證書基密碼(Certificate Based Cryptography)的另一個(gè)重要研究分支。在身份基的密碼系統(tǒng)中，存在一可信的實(shí)體(Trusted Authority)，通常稱為私鑰生成器(PKG，Private Key Generator)，PKG擁有系統(tǒng)主密鑰(Master Key)。系統(tǒng)中各用戶的公開密鑰(Public Key)就是他的公開身份信息(任意具有標(biāo)識(shí)功能的字符串，例如用戶名稱、郵箱地址、IP地址等等)，簡稱身份(Identity)，與用戶身份對(duì)應(yīng)的私鑰(Private Key)是在PKG完成對(duì)成員的身份認(rèn)證(現(xiàn)實(shí)世界)之后，由PKG基于系統(tǒng)主密鑰、用戶身份(公開密鑰)等創(chuàng)建，并通過可信的途徑分發(fā)給正確的用戶。

下面先簡述證書基密碼應(yīng)用面臨的挑戰(zhàn)，其次簡要綜述身份基密碼重要原語(身份基加密、身份基簽名、身份基群簽名等)的發(fā)展和相關(guān)研究領(lǐng)域。

3.1 基于證書的公鑰密碼面臨的挑戰(zhàn)

在涉及安全需求的應(yīng)用中，確認(rèn)參與業(yè)務(wù)交互實(shí)體的身份可信、可鑒別是一切工作的基礎(chǔ)。基于公鑰密碼服務(wù)是完成本項(xiàng)工作的關(guān)鍵，且解決公鑰密碼的密鑰可認(rèn)證是核心。比如在許可鏈應(yīng)用中，共識(shí)節(jié)點(diǎn)在返回私密交易提案響應(yīng)時(shí)，需要將私密數(shù)據(jù)返回給參與交易的組織內(nèi)的被授權(quán)節(jié)點(diǎn)，首先要求共識(shí)節(jié)點(diǎn)具備獲取請(qǐng)求私密數(shù)據(jù)節(jié)點(diǎn)的身份憑證，并能夠予以實(shí)時(shí)驗(yàn)證。

公鑰密碼應(yīng)用中，用戶在加密數(shù)據(jù)(使用公鑰的加密操作)或校驗(yàn)簽名(使用公鑰驗(yàn)證數(shù)字簽名)時(shí)，需要確信所使用的公開密鑰(簡稱公鑰, Public Key)的確屬于數(shù)據(jù)目的用戶或簽名簽發(fā)用戶，對(duì)方應(yīng)該擁有與所用公鑰相匹配的私有密鑰(簡稱私鑰, Private Key)。在傳統(tǒng)公鑰密碼系統(tǒng)中，如公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)，證書管理機(jī)構(gòu)(Certificate Authority, CA)為系統(tǒng)中的每個(gè)用戶簽發(fā)數(shù)字證書，證書承載用戶的身份、公開密鑰以及CA對(duì)以上內(nèi)容的數(shù)字簽名，以證書為憑證來證明公開密鑰的歸屬(或公鑰與身份之間的關(guān)聯(lián))。無論用戶在什么時(shí)候需要使用其他用戶的公開密鑰，需要首先得到由CA簽發(fā)給該用戶的(有效)數(shù)字證書，并驗(yàn)證證書中的有效性(需要利用公開可得的CA的公鑰，僅確認(rèn)公鑰或身份合法或有效)。

現(xiàn)實(shí)PKI實(shí)踐(證書基密碼)中面臨諸多與證書有關(guān)的難題，包括證書的廢止、證書的驗(yàn)證、證書的分發(fā)以及證書的存儲(chǔ)與管理等[6]。相反，在身份基密碼應(yīng)用中，用戶的公鑰可以直接由用戶公開身份推導(dǎo)得到，用戶身份可以是用戶的名字、郵箱地址、IP地址、車輛牌照號(hào)碼等，并不需要來自可信第三方簽發(fā)的數(shù)字證書以認(rèn)證用戶的公開密鑰。

在基于公開身份信息的密碼應(yīng)用中，并不存在傳統(tǒng)公鑰密碼系統(tǒng)中要求的公鑰證書，而公鑰證書對(duì)于基于公鑰基礎(chǔ)設(shè)施實(shí)現(xiàn)的公鑰密碼系統(tǒng)而言卻是至關(guān)重要的。身份基密碼的研究與應(yīng)用正是針對(duì)證書基密碼所面臨的問題，由于身份基密碼不要求證書，避免了證書管理和使用帶來的復(fù)雜性，使得身份基密碼應(yīng)用具有非常高的靈活性和可擴(kuò)展性。

3.2 身份基加密

身份基加密(Identity Based Encryption, IBE)系統(tǒng)[7-8]是一個(gè)公鑰加密系統(tǒng)，系統(tǒng)中實(shí)體的公鑰可以是實(shí)體的任意身份標(biāo)識(shí)符(任意公開的字符串)，而實(shí)體的私鑰則是由一個(gè)被稱為私鑰生成器(PKG)的管理機(jī)構(gòu)根據(jù)實(shí)體的身份計(jì)算得到。

自從1985年Shamir[9]提出身份基密碼概念之后，直到Boneh和Franklin[7,10]、Cocks[8]，以及Sakai等人[11]構(gòu)造的IBE方案被提出。身份基密碼的可實(shí)踐性才得以解決。Boneh和Franklin[7,10]是基于橢圓曲線[12]上的雙線性對(duì)構(gòu)造IBE方案，所構(gòu)造的IBE方案的安全性可規(guī)約于雙線性Diffie-Hellman(Bilinear Diffie-Hellman, BDH)問題的難解性。

3.3 層次身份基加密

層次身份基加密的概念由Horwitz和Lynn[13]首次提出，他們構(gòu)造的方案是首個(gè)可適用于層次身份結(jié)構(gòu)的身份基加密系統(tǒng)，但僅考慮兩層的身份層次結(jié)構(gòu)，同時(shí)依賴于隨機(jī)預(yù)言模型，而且該方案抵抗串謀攻擊能力有限。Gentry和Silverberg[14]隨后在隨機(jī)預(yù)言模型下推廣了Boneh-Franklin IBE方案[7]，構(gòu)造了一個(gè)能夠完全抵抗串謀攻擊的層次身份基加密系統(tǒng)，該方案的安全性基于BDH問題的難解假設(shè)。

Canetti等人[15]和Boneh等人[16-17]基于判定雙線性Diffie-Hellman (Decisional Bilinear Diffie-Hellman, DBDH)假設(shè)構(gòu)造出層次身份基加密系統(tǒng)，并在標(biāo)準(zhǔn)安全模型下證明所構(gòu)造HIBE系統(tǒng)的安全性。隨后，Boneh等人[18]、Gentry[19]、Waters[20]和Lewko等人[21]則構(gòu)造出完全安全(Fully Secure,即實(shí)現(xiàn)的是An adaptive identity secure，而不是A selective identity secure)的層次身份基加密系統(tǒng)，且HIBE構(gòu)造并不使用密碼哈希函數(shù)。

3.4 身份基簽名

Bellare等[22]等指出一個(gè)完整的身份基密碼體系除了身份基加密外，還應(yīng)該包括身份基的認(rèn)證，即身份基簽名(Identity Based Signature, IBS)。Kiltz和Neven[23]總結(jié)了三種身份基簽名方案的構(gòu)造方法，包括基于標(biāo)準(zhǔn)簽名方案的證書方法[24-25]，由身份認(rèn)證方案的構(gòu)造方法[22]，以及源自雙線性對(duì)的構(gòu)造方法(例如，由身份基加密方案構(gòu)造身份基簽名方案)[26]。

自Boneh和Franklin[7]以及Cocks[8]等將雙線性對(duì)引入密碼學(xué)研究與應(yīng)用領(lǐng)域，雙線對(duì)應(yīng)用不僅為構(gòu)建身份基加密方案同時(shí)也為身份基簽名方案開辟新的途徑[26-28]。

正如Naor[7]指出以及文獻(xiàn)[29]所述，可以直接利用身份基加密方案來構(gòu)造身份基簽名方案，即Naor變換。Boneh, Lynn和Shacham[30]以及Boneh和Boyen[31]分別利用由Boneh和Franklin提出的身份基加密方案[7]以及由Boneh和Boyen提出的身份基加密方案[16]構(gòu)造出結(jié)果簽名大小很短的身份基簽名方案。

層次身份基簽名(Hierarchical IBS, HIBS)是身份基簽名(IBS)[14]的自然推廣，簽名系統(tǒng)中的所有用戶依邏輯關(guān)系構(gòu)成身份層次；同樣可以通過Naor變換利用層次身份基加密方案來構(gòu)造層次身份基簽名方案。

3.5 身份基群簽名

群簽名的概念是由Chaum和Van Heyst于1991年提出的[32]，它使簽名者為了隱匿自己的身份成為可能，同時(shí)它也賦予群管理者具備追蹤簽名者真實(shí)身份的權(quán)利。因?yàn)橥瑫r(shí)具備匿名與追蹤看似矛盾的安全屬性，使得群簽名成為一類重要的密碼學(xué)原語，并在諸多的密碼構(gòu)造中應(yīng)用。自群簽名概念提出之后，有許多群簽名方案被提出[33-37]。

Boneh, Boyen和Shacham基于雙線性映射構(gòu)造“短”群簽名[33]，群簽名方案安全性則是基于同一文獻(xiàn)中提出的強(qiáng)Diffie-Hellman假設(shè)[38]。在同一時(shí)期，Camenish和Lysyanskaya也給出利用雙線性映射的群簽名方案[39]，該方案的安全性則是基于交互式的LRSW假設(shè)[40]。但是以上所有這些方案都是在隨機(jī)預(yù)言模型下被證明是安全的。

Bellare, Micciancio和Warinschi[36]第一次給出了在標(biāo)準(zhǔn)模型下可證安全的群簽名方案，而且他們也給出群簽名安全屬性的正式定義，包括完全匿名、完全可跟蹤等。但是他們使用的是非交互零知識(shí)的一般性構(gòu)造方法，構(gòu)造出來的群簽名方案因效率太低不具有實(shí)用性。

4 傳統(tǒng)身份基密碼面臨的挑戰(zhàn)

4.1 身份基密碼的密鑰托管問題

在身份基密碼系統(tǒng)中(不論是一層或多層系統(tǒng))，根PKG因擁有系統(tǒng)的主密鑰可以生成系統(tǒng)中所有實(shí)體的私鑰；并且根PKG還可以將私鑰生成和分發(fā)的任務(wù)委派給層次系統(tǒng)中的層PKGs，這些層PKGs同樣也能夠生成自己子孫實(shí)體的私鑰。帶來的結(jié)果就是具備權(quán)限生成子孫實(shí)體私鑰的層PKG就可以以它的子孫實(shí)體的私鑰來完成本應(yīng)只能由這些子孫實(shí)體自己才可以完成的密碼操作，不論這些層PKG的行為動(dòng)機(jī)是善意的或惡意的。這就是身份基密碼系統(tǒng)中的“密鑰托管問題”(Key Escrow Problem)。

我們可以相信根PKG是可信且不會(huì)執(zhí)行惡意行為，但不應(yīng)該想當(dāng)然地認(rèn)為所有的層PKG不會(huì)被惡意實(shí)體控制，或者不會(huì)執(zhí)行惡意行為。所以，我們至少需要阻止層PKG能夠無條件地利用它自身的私鑰來計(jì)算子孫實(shí)體的私鑰。

4.2 傳統(tǒng)HIBE系統(tǒng)的私鑰委派機(jī)制

分析已有的HIBE系統(tǒng)的私鑰構(gòu)造方式，能夠發(fā)現(xiàn)密鑰托管問題沒有得到有效解決的原因，源于為實(shí)現(xiàn)私鑰委派HIBE系統(tǒng)中私鑰的構(gòu)造存在問題。下面分析當(dāng)前HIBE系統(tǒng)所實(shí)現(xiàn)的兩類私鑰委派機(jī)制，這些機(jī)制難以有效管控密鑰托管問題、甚至引起密鑰托管問題惡化。

4.2.1 無限的私鑰委派

Gentry和Silverberg[14]和Boneh和Boyen[16]等構(gòu)造的經(jīng)典HIBE系統(tǒng)實(shí)現(xiàn)相同的私鑰委派機(jī)制，該委派機(jī)制使得任一層PKG都可以只利用它的私鑰推導(dǎo)得到它的所有子孫實(shí)體的私鑰，或?qū)哟谓Y(jié)構(gòu)中某節(jié)點(diǎn)的私鑰都可以由他的祖先節(jié)點(diǎn)的私鑰推導(dǎo)得到。即所實(shí)現(xiàn)的私鑰委派是“直接”和“無限制”的?！爸苯印北硎咀鳛閷覲KGs能夠利用它自身的私鑰和公開可得的信息(如系統(tǒng)參數(shù)、子孫實(shí)體的身份等)，而不需要其他的來自根PKG的私有值，即可推導(dǎo)得到它的子孫實(shí)體私鑰；“無限制”是指任一層PKG可以利用它的私鑰推導(dǎo)得到它的所有子孫實(shí)體的私鑰。這樣的私鑰委派稱之為“無限委派”(Unlimited Delegation)。

依照以上推導(dǎo)，HIBE系統(tǒng)中的任一實(shí)體的私鑰都可以由該實(shí)體的任意祖先實(shí)體通過隨機(jī)化自身的私鑰得到，隨機(jī)化只需沿著目標(biāo)實(shí)體的層次分支(Hierarchical Branch)Ii+1→ …→Ij逐層進(jìn)行即可。

4.2.2 有限的私鑰委派

不同于具有無限委派的HIBE系統(tǒng)[14,16]，可以沿身份層次繼續(xù)隨機(jī)化父實(shí)體的私鑰得到子孫實(shí)體的私鑰。Boneh,Boyen和Goh于文獻(xiàn)[18，21]中的HIBE系統(tǒng)為了完成私鑰推導(dǎo)還要求有來自根PKG提供的有關(guān)當(dāng)前私鑰構(gòu)造的一些私密值。

即HIBE系統(tǒng)[18,21]可以限定系統(tǒng)中的任意實(shí)體僅能推導(dǎo)得到它的有限深度的子孫實(shí)體的私鑰，具體地講就是，通過給實(shí)體分發(fā)一個(gè)受限私鑰，根PKG可以限制私鑰能夠被該實(shí)體推導(dǎo)出來的子孫實(shí)體的數(shù)量。這樣的私鑰委派被稱為“有限委派”(Limited Delegation)。

其中r是取值Zq的一個(gè)隨機(jī)數(shù)，l-i個(gè)私有值rhi+1,…,rhl，能夠被用于與私鑰元組中的其他單元一起完成身份IDi的所有子孫身份私鑰的推導(dǎo)。如果根PKG并沒有提供RHi+1,…,RHl這些私有值，dIDi就是有序?qū)?d0,d1)，可用于解密操作，但無法推導(dǎo)任何子孫身份的私鑰。

利用IDi的私鑰dIDi=(d0,d1,RHi+1,…,RHl)推導(dǎo)身份IDi+1=(IDi,Ii+1)的私鑰，可隨機(jī)選擇隨機(jī)數(shù)r∈Zq，并輸出私鑰dIDi+1∈Gl-i+1如下

具有“有限委派”的HIBE系統(tǒng)為了完成密鑰推導(dǎo)需要有來自根PKG提供的有關(guān)當(dāng)前私鑰構(gòu)造的一些私密值，即私鑰dIDi中的RHi+k(?k∈{1,…,l-i})這些單元。通過給身份IDi分發(fā)一個(gè)僅含有t個(gè)用于私鑰推導(dǎo)要求的私鑰值rhi+1,…,rhi+t，則可以限定IDi的子孫身份中只有層次深度為i+1和i+t之間的身份的私鑰能夠利用IDi的私鑰和這些私有計(jì)算出來。

有限委派雖然可以限制身份IDi的私鑰dIDi僅能用于計(jì)算受限層次深度內(nèi)的身份的私鑰，但是卻無法限制私鑰dIDi僅能用于推導(dǎo)得到某一特定層次ξ(i+2≤ξ≤l)子孫實(shí)體的私鑰，并且能夠滿足層次深度在i+1和ξ-1之間的身份的私鑰不能被計(jì)算出來。該隱私缺憾源于所構(gòu)造的HIBE系統(tǒng)的密鑰推導(dǎo)為了得到子輩的私鑰要求必須先得到父輩的私鑰。

5 新的層次身份基密碼及其私鑰委派

對(duì)于層次身份基密碼，直接和無限制的私鑰推導(dǎo)(即“無限委派”)是不合理且不可接受的，需要實(shí)現(xiàn)的密鑰委派必須是有條件的，而不是與生俱來的；對(duì)于具有“有限委派”的HIBE系統(tǒng)，賦予身份IDi的私鑰dIDi具有推導(dǎo)層次深度為ξ的子孫實(shí)體的私鑰，則該私鑰肯定也能被用于推導(dǎo)層次深度在i+1和ξ-1之間所有子孫實(shí)體的私鑰。

雖然源于身份基密碼系統(tǒng)中實(shí)體私鑰生成的機(jī)制，身份基密碼中密鑰托管問題是固有存在的(至少根PKG是必須具備這樣的能力)。但是，對(duì)于層次身份基密碼，需要有措施以避免或處置密鑰托管問題。我們的工作[41]從研究身份基密碼的私鑰委派入手，提出層次身份基密碼的私鑰構(gòu)造新技術(shù)，實(shí)現(xiàn)許可下的私鑰獨(dú)立委派，初步解決了層次身份基密碼中的密鑰托管問題。本節(jié)簡述我們的初步工作和被提出的HIBE構(gòu)造。

5.1 私鑰構(gòu)造的新技術(shù)-標(biāo)識(shí)符差異化

為了避免以上兩種私鑰構(gòu)造方法存在的問題，筆者[41]已經(jīng)提出了“標(biāo)識(shí)符差異化”的私鑰構(gòu)造方法(Identifier Discrimination)。“標(biāo)識(shí)符差異化”的核心在于區(qū)別對(duì)待身份IDj中的非本地標(biāo)識(shí)符I1,…,Ij-1和本地標(biāo)識(shí)符Ij；即身份IDj的私鑰由定義于層次I1→…→Ij(非本地標(biāo)識(shí)符決定)得到的全局隱私，即沿著以上層次逐層隨機(jī)化HIBE系統(tǒng)的主密鑰，和定義于本地標(biāo)識(shí)符Ij的身份專屬隱私構(gòu)成。該私鑰構(gòu)造技術(shù)被稱為“標(biāo)識(shí)符差異化”(Identifier Discrimination)。

因此，對(duì)于身份為IDj的實(shí)體的任何祖先實(shí)體(它們身份是IDj的前綴)首先因?yàn)闊o法推導(dǎo)得到構(gòu)成身份IDj私鑰所要求的身份專屬隱私而無法推導(dǎo)得到IDj身份的私鑰；其次，也無法將它們所擁有的私鑰中與自身身份相關(guān)的專屬隱私去除，所以就能夠阻止這些祖先實(shí)體利用自身的私鑰以推導(dǎo)得到其子孫實(shí)體的私鑰。

對(duì)于層次身份基密碼系統(tǒng)而言，私鑰委派通常又是必須的。在所構(gòu)造的HIBE中，私鑰作為私鑰委派憑證的功能被廢止，我們提出通過由根PKG為身份為IDj的實(shí)體分發(fā)可用于推導(dǎo)它的子孫實(shí)體私鑰的委派憑證(Delegation Credential)，即實(shí)現(xiàn)授權(quán)委派。

5.2 能夠?qū)崿F(xiàn)獨(dú)立私鑰委派的HIBE構(gòu)造

本節(jié)給出具有授權(quán)委派和專屬加密隱私的層次身份基加密系統(tǒng)[41]，該HIBE構(gòu)造于一般的非對(duì)稱雙線性對(duì)Λ=(G,,GT,q,e)。實(shí)體身份可被看作是i維矢量或是具有i個(gè)單元的元組，其中Ik表示身份IDi在第k層的身份標(biāo)識(shí)符，I1,…,Ii-1表示身份IDi的非本地標(biāo)識(shí)符，而Ii則表示本地身份標(biāo)識(shí)符。

定義5.1AD-HIBE=(Setup,Extract,Derive,Encrypt,Decrypt)為一層次身份基密碼，該HIBE構(gòu)造各元組(算法)分別定義如下。

Setup(1k,l)→Λ,params,mk.根PKG以安全參數(shù)1k和最大層次深度l為輸入，運(yùn)行算法Setup，輸出滿足要求的雙線性對(duì)Λ、HIBE系統(tǒng)公開參數(shù)params和HIBE系統(tǒng)主密鑰mk。記雙線性對(duì)為Λ=(G,,GT,q,e)，其中q是二進(jìn)制位數(shù)為k的一個(gè)素?cái)?shù)，G,,GT都是階為q的群且它們的生成元分別為和

算法Setup輸出HIBE系統(tǒng)公開參數(shù)params∈G2l+2×2l+2×GT和系統(tǒng)主密鑰mk∈如下

parmas=(g,g1,h1,…,hl,l1,…,ll,

(1)

根PKG依輸入為身份IDi抽取一個(gè)私鑰dIDi=(d0,RD1,…,RDi)∈i+1如下

(2)

ΦIDi是個(gè)身份模式的集合(見文獻(xiàn)[41]以了解關(guān)于身份模式更詳細(xì)的信息)，集合中的每一個(gè)身份模式 (μ,ν,τi+1,…,τμ-1)的構(gòu)成單元取值滿足：μ∈{0}∪{i+1,…,l},ν∈{0,1}n,τk∈{0,1}n對(duì)于k∈{i+1,μ-1}。

ΨIDi是可用于推導(dǎo)IDi子孫身份的秘值集合，集合中的每個(gè)秘值可用于推導(dǎo)ΦIDi中某個(gè)有序元組所指代的身份類中所有身份的私鑰。集合ΦIDi中有序元組(μ,ν,…)所指代的身份類EIDi,(μ,ν,…)的秘值SIDi,(μ,ν,…)被計(jì)算如下。(身份模式可被細(xì)化分類，秘值計(jì)算可相應(yīng)簡化，在此不贅述)

對(duì)每個(gè)k∈{1,…,μ},其中τk=Ik,ξk=rk對(duì)每個(gè)k∈{1,…,i}。

(3)

Derive(params,IDi,SIDi,(μ,ν,…),IDj)→dIDj。令I(lǐng)Di=(I1,…,Ii)是IDj的(身份)前綴(即IDj=(IDi,Ii+1,…,Ij))，算法Derive以系統(tǒng)參數(shù)params,身份對(duì)(IDi,IDj)和一個(gè)秘值S(IDi,(μ,ν,…)為輸入，輸出IDj的一個(gè)私鑰，秘值SIDi,(μ,ν,…)是由前綴IDi和身份模式(μ,ν,…)共同指代的身份類的秘值。

(4)

(Mvs,sg,s((I1-Ij)g1+h1),…,s((Ij-1-Ij)g1+hj-1),s(Ijg1+lj))。

(5)

在得到的結(jié)果密文元組中，最后一個(gè)單元是定義于身份IDj(密文目標(biāo)接收者)的本地標(biāo)識(shí)符Ij和層相關(guān)參數(shù)lj，這是不同于它之前的j-1個(gè)單元s((Ik-Ij)g1+hk)所使用的層相關(guān)參數(shù)hk對(duì)于k=1,…,j-1。

Decrypt(params,dIDj,CIDj)→M。算法Decrypt使用身份IDj=(I1,…,Ij)的私鑰dIDj=(d0,RD1,…,RDj)來解密基于身份IDj加密的一個(gè)密文CIDj=(c0,c1,RE1,…,REj)∈GT×Gj+1，解密結(jié)果消息計(jì)算如下

(6)

5.3 關(guān)于新HIBE構(gòu)造的幾點(diǎn)說明

5.3.1 私有值的作用被層相關(guān)參數(shù)限定

在構(gòu)造身份IDi=(I1,…,Ii)的私鑰或?yàn)槟硞€(gè)由身份前綴IDi和身份模式(μ,ν,…)指定的身份類生成秘值時(shí)，關(guān)鍵是應(yīng)避免這些私密值被用于非它們命定的用途，即私鑰只能用于指定身份IDi的加解密操作，身份類的秘值只能用于推導(dǎo)本身份類中各身份的私鑰而不能用于其他用途。

5.3.2 沿著虛身份層次的秘值推導(dǎo)

不同于傳統(tǒng)的無限委派和有限委派的私鑰委派機(jī)制，在新的HIBE構(gòu)造(定義5.1)中，任意實(shí)體無法利用它的私鑰和公開可得的信息來推導(dǎo)它的任意子孫實(shí)體的私鑰(比如通過隨機(jī)化自身的私鑰來推導(dǎo))。但是在所構(gòu)造的HIBE中的確有一條途徑，能夠?yàn)楦鵓KG授權(quán)某個(gè)實(shí)體推導(dǎo)它的任意一個(gè)子孫實(shí)體的私鑰，并且推導(dǎo)過程是沿著該子孫實(shí)體身份定義的“虛”身份層次逐層隨機(jī)化以得到目標(biāo)實(shí)體的私鑰。

IDk|Im(IDj)=(I1|Im(IDj),…,Ik|Im(IDj)),

Ik|Im(IDj)=Ik-Ij(modq),對(duì)每個(gè)k∈{1,…,j-1},

Ij|Im(IDj)=Ij。

(7)

其中Ik|Im(IDj)=Ik-Ij(modq)對(duì)每個(gè)k∈{1,…,j-1}，并且Ij|Im(IDj)=Ij。

令I(lǐng)Di=(I1,…,Ii)和IDj=(IDi,Ii+1,…,Ij)為兩個(gè)身份滿足IDi是IDj的身份前綴，根PKG通過向身份為IDi的實(shí)體Ei，分發(fā)特定于虛身份IDi|Im(IDj)的一個(gè)秘值S(IDi,IDj)，以授權(quán)Ei可以沿著“虛”身份層次I1|Im(IDj)→ …Ii|Im(IDj)→ …Ij|Im(IDj)以推導(dǎo)身份IDj的私鑰。特定于虛身份IDi|Im(IDj)的S(IDi,IDj)計(jì)算如下

(8)

其中，rk對(duì)于k∈{1,…,i} ∪ {j}是取值于Zq的隨機(jī)數(shù)。

6 未來研究工作

以上通過依賴于“標(biāo)識(shí)符差異化”的私鑰構(gòu)造技術(shù)，能夠解決身份基密碼系統(tǒng)固有的密鑰托管問題，并實(shí)現(xiàn)獨(dú)立的授權(quán)私鑰委派。但是為了把身份基密碼推廣應(yīng)用到如區(qū)塊鏈應(yīng)用中去，層次身份基密碼自身及其如何滿足許可鏈安全需求等都仍有許多需要研究的問題。

本節(jié)將簡述其中的兩個(gè)基礎(chǔ)問題，還有許許多多的相關(guān)問題值得深入研究于探討。比如Fabric中實(shí)現(xiàn)的Idemix服務(wù)，通過引入屬性基的盲簽名以解決交易參與方的身份隱私及交易的不可關(guān)聯(lián)性，但該方案也存在Fabric CA都無法揭示參與交易的節(jié)點(diǎn)身份，從許可鏈的應(yīng)用需求看這是不合理的?？尚械乃悸肥且肴汉灻粌H解決交易節(jié)點(diǎn)的身份匿名，同時(shí)也保證在有需要時(shí)可揭示交易節(jié)點(diǎn)的真實(shí)身份；在將身份基密碼引入許可鏈應(yīng)用，可以研究構(gòu)造合適的身份基群簽名以適用許可鏈應(yīng)用，已有一些相應(yīng)的身份基群簽名密碼體制被提出[42-43]，但在零知識(shí)證明方式[44-45]、動(dòng)態(tài)群結(jié)構(gòu)適應(yīng)性等等方面還需要有新的思路與實(shí)現(xiàn)。

6.1 構(gòu)造具有常數(shù)大小的層次身份基加密系統(tǒng)

隱私和效率是影響層次身份基密碼(HIBC)可用性的兩個(gè)重要因素，隱私問題關(guān)注的是源于身份基密碼系統(tǒng)所固有的密鑰托管和私鑰委派等問題；效率問題則要求被構(gòu)造的HIBE系統(tǒng)的私鑰和密文僅由數(shù)量很少的單元構(gòu)成，且私鑰和密文的大小與實(shí)體身份的層次深度無關(guān)，即實(shí)現(xiàn)系統(tǒng)中各身份對(duì)應(yīng)的私鑰、密文、執(zhí)行的密碼操作(加密、解密)等獨(dú)立于(即無關(guān))該身份的層次深度。

而且，利用身份IDj的私鑰dIDj=(d0,RD1,…,RDj)解密依身份IDj加密的密文CIDj=(C0,C1,RE1,…,REj)，可計(jì)算一明文M′如下

即解密操作所需要的時(shí)間(以需要完成的雙線性映射數(shù)量來衡量)也是與身份IDj的身份層次深度成線性關(guān)系。為了處理源于身份層次深度引起的計(jì)算、通信和存儲(chǔ)等線性相關(guān)性，就需要構(gòu)造荷載均衡的層次身份基密碼系統(tǒng)，即構(gòu)造具有常數(shù)大小的層次身份基加密系統(tǒng)。

6.2 構(gòu)造非Naor變換的層次身份基簽名系統(tǒng)

在區(qū)塊鏈應(yīng)用中，組織、節(jié)點(diǎn)間的交互，以及交易的共識(shí)等極大依賴于密碼簽名方案，所以為了應(yīng)用身份基密碼于許可鏈應(yīng)用，除了身份基加密系統(tǒng)外，還需要研究并引入身份基簽名系統(tǒng)[22]，以構(gòu)建完整的身份基密碼體系。有多種方法可用于身份基簽名方案的構(gòu)造[23]，基于雙線性對(duì)構(gòu)造身份基簽名方案相比證書方法等在效率、復(fù)雜性以及可實(shí)踐性等方面具有一定的優(yōu)勢(shì)。

Naor變換[29]為由身份基加密方案構(gòu)造身份基簽名方案提供了通用的構(gòu)造方法。例如Boneh和Boyen[31]、Paterson和Schuldt[26]等利用各IBE方案通過Naor變換在標(biāo)準(zhǔn)模型下構(gòu)造出具有短簽名的IBS方案。Naor變換可同樣應(yīng)用于HIBE方案以構(gòu)造層次身份基簽名(HIBS)方案。

Naor變換是將被簽名消息M當(dāng)作簽名者身份IDi的子實(shí)體的本地身份標(biāo)識(shí)符，即假定IDi=(I1,…,Ii)，則引入被簽名消息之后得到的構(gòu)造身份為IDM,IDi=(I1,…,Ii,M)。因?yàn)榈玫降暮灻菢?gòu)造身份(IDi,M)的有效私鑰，如果這個(gè)構(gòu)造身份是HIBE系統(tǒng)中的一個(gè)有效身份，因簽名的公開帶來具有身份(IDi,M)的實(shí)體的私鑰被公開。

另外，在具有獨(dú)立委派的HIBE系統(tǒng)中，實(shí)現(xiàn)Naor變換相當(dāng)于在HIBE密鑰抽取時(shí)，需要(為了簽名)請(qǐng)求根PKG生成一個(gè)可以推導(dǎo)得到所有子實(shí)體(直接下一層的所有實(shí)體，該實(shí)體的本地身份標(biāo)識(shí)符為所有需要被簽名的消息)私鑰的秘值。則具有身份IDi的實(shí)體不僅能夠依身份IDi對(duì)任意消息進(jìn)行簽名(這是我們所要求的)，但是該實(shí)體還因?yàn)榈玫搅藖碜愿鵓KG的委派憑證，因此能夠推導(dǎo)得到它的所有子實(shí)體的私鑰，而這是我們所不需要的，而且這也與授權(quán)委派的要求不符。

身份基密碼(及其推廣屬性基密碼)和區(qū)塊鏈技術(shù)是兩項(xiàng)新興的技術(shù)，都既有各自獨(dú)立和豐富的學(xué)術(shù)研究內(nèi)容，也都具有非常廣闊的推廣和應(yīng)用前景，且在將理論、技術(shù)推廣到產(chǎn)業(yè)應(yīng)用中需要解決諸多的現(xiàn)實(shí)挑戰(zhàn)，如性能、效率、可擴(kuò)展性、以及標(biāo)準(zhǔn)化等等問題或挑戰(zhàn)，故需著眼理論與技術(shù)攻關(guān)，也需著力產(chǎn)業(yè)實(shí)踐與推廣。