張猛 尹其其

摘 要：為了保證身份認(rèn)證過程中用戶身份不被冒用，身份認(rèn)證數(shù)據(jù)必須經(jīng)過加密后才可存儲、傳輸。當(dāng)前，非對稱密碼技術(shù)應(yīng)用已占據(jù)數(shù)據(jù)加密主流，特別是基于PKI技術(shù)的二代身份認(rèn)證技術(shù)。此外，為應(yīng)對未來愈發(fā)強(qiáng)大的算力攻擊，量子密碼技術(shù)在身份認(rèn)證方面的研究應(yīng)用也日益深入。論文重點梳理分析PKI技術(shù)的最新分支體系——IBC密碼體系和量子密碼技術(shù)在身份認(rèn)證技術(shù)中的應(yīng)用，以期為相關(guān)身份認(rèn)證系統(tǒng)設(shè)計提供參考。

關(guān)鍵詞：IBC密碼體系；量子密碼技術(shù)；身份認(rèn)證；PKI技術(shù)

中圖分類號： TP302 文獻(xiàn)標(biāo)識碼：A

Abstract： In order to ensure that the user's identity is not fraudulently used in the authentication process， the authentication data must be encrypted before it can be stored and transmitted. At present， asymmetric cryptography technology has occupied the mainstream of data encryption， especially the second generation identity authentication technology based on PKI technology. In addition， in order to cope with the more powerful computational attacks in the future， the research and application of quantum cryptography in the field of identity authentication has become increasingly in-depth. This paper focuses on the analysis of the latest branch of PKI technology - IBC cryptosystem and quantum cryptography technology in the application of identity authentication technology， in order to provide a reference for the design of related identity authentication system.

Key words： IBC cryptosystem； quantum cryptography； identity authentication；PKI

1 引言

密碼技術(shù)的安全性決定了身份認(rèn)證技術(shù)的安全性，本文主要介紹IBC（Identity Based Cryptograph）基于標(biāo)識的密碼體系和量子密碼技術(shù)等加密技術(shù)在身份認(rèn)證中的研究應(yīng)用進(jìn)展。哈希算法本質(zhì)上是對的信息完整性進(jìn)行校驗，不在本研究范圍內(nèi)。

2 IBC標(biāo)識密碼體系

IBC體系是在傳統(tǒng)的PKI體系基礎(chǔ)上發(fā)展而來，于1984年由以色列密碼學(xué)家Shamir提出，2006年我國將IBC體系標(biāo)準(zhǔn)化為中國國家算法標(biāo)準(zhǔn)并頒發(fā)算法型號SM9，2017年11月3日，我國SM2與SM9數(shù)字簽名算法成為ISO/IEC國際標(biāo)準(zhǔn).在IBC體系中，可以使用用戶唯一標(biāo)識（比如電子郵箱地址）+主密鑰+公共參數(shù)代替發(fā)放給用戶的證書。通過每個人的電子郵箱地址結(jié)合主密鑰和公共參數(shù)就可以為每個用戶創(chuàng)建唯一的私鑰，管理員只需要管理主密鑰+公共參數(shù)即可，這樣就極大地簡化了密鑰的管理，IBC體系中的密鑰管理只包括密鑰產(chǎn)生和密鑰更新[1]。因此，IBC體系除了保有PKI體系的技術(shù)優(yōu)點外，主要解決了在具體安全應(yīng)用中PKI體系需要大量交換數(shù)字證書的問題，使安全應(yīng)用更加易于部署和使用。

Yu等人[2]基于IBC體系和數(shù)字指紋特征，設(shè)計了一種中心化的身份認(rèn)證識別系統(tǒng)，實驗證明IBC體系較傳統(tǒng)PKI體系系統(tǒng)復(fù)雜度顯著降低，系統(tǒng)帶寬消耗降低約30%，F(xiàn)AR（0.11%）和FRR（1.83%）也在可接受范圍內(nèi)；Faraj等人[3]對在云計算系統(tǒng)中建立基于IBC體系的身份識別系統(tǒng)進(jìn)行研究，認(rèn)為IBC體系雖然解決了PKI體系中復(fù)雜的證書管理問題，但也面臨著私鑰管理等問題的挑戰(zhàn)，傳統(tǒng)PKI體系用戶私鑰是在終端本地安全生成并存儲的，無需傳輸?shù)胶笈_，不存在私鑰在網(wǎng)絡(luò)中傳送的問題。而在IBC體系中，私鑰在中央的密鑰服務(wù)器生成，私鑰要通過網(wǎng)絡(luò)傳送給終端側(cè)，在傳輸過程中的私鑰安全如何保證成了 IBC 體系相對于 PKI 體系新衍生的問題；Yong等人[4]針對內(nèi)容中心網(wǎng)絡(luò)（Content Center Network）中面臨的用戶身份認(rèn)證問題進(jìn)行研究，認(rèn)為IBC體系雖然無需再管理數(shù)字證書，但是其歸根結(jié)底是屬于非對稱密碼算法的，系統(tǒng)的安全性仍然由私鑰的安全性來決定，用戶私鑰雖然是在中央的密鑰服務(wù)器生成的，但是從用戶可控角度來講，其私鑰仍然要下發(fā)給用戶本人保存。如果用戶本人沒有安全的密鑰存儲介質(zhì)，整個安全體系的安全性還是無從談起，這與PKI體系遇到私鑰存儲介質(zhì)問題是完全一樣的。

3 量子密碼技術(shù)

量子密碼身份認(rèn)證技術(shù)是以量子力學(xué)和密碼學(xué)為基礎(chǔ)發(fā)展的新型身份認(rèn)證技術(shù)，其將使用者身份信息量子化，通過量子傳輸通道傳遞使用者身份密鑰.基于測不準(zhǔn)原理，量子密碼在傳輸過程中難以被復(fù)制，即使強(qiáng)行復(fù)制所得到的復(fù)制結(jié)果也與使用者身份信息完全不契合。此外，量子密碼身份認(rèn)證的信息即使被攔截，攔截者也無法準(zhǔn)確破譯密碼內(nèi)容獲知使用者身份信息。近5年來，相關(guān)量子密碼技術(shù)在身份認(rèn)證中的研究進(jìn)展主要集中在應(yīng)對與中間人攻擊、截取/重放攻擊等攻擊手段的量子密鑰分發(fā)協(xié)議方面：Lim等人[5]針對量子身份認(rèn)證系統(tǒng)中DIQKD（Device Independent Quantum Key Distribution，與設(shè)備無關(guān)的量子密鑰分配）易被利用貝爾試驗（Bell Test）檢測漏洞進(jìn)行攻擊的問題，提出了一種新型密鑰分配方法。該方法中貝爾試驗可以在兩個完全隨機(jī)的獨立設(shè)備上進(jìn)行，避免了量子信道損耗引起的檢測漏洞攻擊。

Lin等人[6]提出了一種基于星型網(wǎng)絡(luò)的量子密鑰分發(fā)協(xié)議，根據(jù)該協(xié)議，兩個任意用戶可以在信任中心的幫助下執(zhí)行密鑰分發(fā)，該協(xié)議使用鍵控散列函數(shù)來確保各方身份的可信性；Khalid等人[7]根據(jù)云服務(wù)面臨的身份認(rèn)證問題，提出一種基于連續(xù)高斯調(diào)制的量子安全通信協(xié)議。該協(xié)議通過對連續(xù)變量載波進(jìn)行高斯調(diào)制實現(xiàn)密鑰分發(fā)，能顯著提高密鑰分發(fā)效率；Lin等人[8]基于GHZ（Greenberger-Horne-Zeilinger）糾纏提出了一種多用戶量子密鑰分配認(rèn)證協(xié)議，用戶可以在信任中心的幫助下提高密鑰分發(fā)效率并抵抗常見的安全攻擊。

Ma等人[9]提出一種基于連續(xù)變量的量子身份認(rèn)證協(xié)議，該協(xié)議采用雙模壓縮真空態(tài)和相干態(tài)方法進(jìn)行量子傳輸，實驗分析表明該協(xié)議可以有效進(jìn)行用戶身份認(rèn)證并一定程度抵抗高斯克隆攻擊；Jiang等人[10]基于Bell態(tài)的糾纏特性，提出了一種具有雙向身份認(rèn)證功能的密鑰分配協(xié)議.該協(xié)議與傳統(tǒng)量子密鑰分配協(xié)議相比，只需進(jìn)行一次量子序列傳輸就可以同時完成身份認(rèn)證和密鑰分配，實驗結(jié)果表明該協(xié)議可以抵御重放攻擊和中間人攻擊等常規(guī)攻擊手段.。

4 存在問題和發(fā)展方向

密碼算法決定了身份認(rèn)證的強(qiáng)度和可信程度。從應(yīng)用角度來看，未來密碼算法發(fā)展將朝著兩個方向發(fā)展，一是針對移動智能設(shè)備應(yīng)用，輕量級加密算法將會成為一種研究熱點?，F(xiàn)有的傳統(tǒng)公鑰算法在移動智能設(shè)備上存在加解密周期較長、效率低下、能耗較高的問題.隨著可穿戴設(shè)備的廣泛應(yīng)用，各類密碼算法將會針對有限的硬件資源進(jìn)行優(yōu)化，實現(xiàn)輕量化。二是針對傳統(tǒng)PC端、云服務(wù)端應(yīng)用，現(xiàn)有的經(jīng)典密碼體系不斷遭到強(qiáng)大運算能力的挑戰(zhàn)，量子加密算法和抗量子攻擊算法（如基于格密碼體制）的研究或?qū)⒊蔀檠芯繜狳c[11，12]。

5 結(jié)束語

隨著網(wǎng)絡(luò)空間安全形勢的愈加嚴(yán)峻，網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)作為安全防護(hù)的第一道關(guān)卡逐漸引起人們的重視。密碼算法技術(shù)作為身份認(rèn)證技術(shù)的基石，越來越受到研究人員關(guān)注。本文重點分析了基于IBC標(biāo)識密碼體系和量子密碼技術(shù)在身份認(rèn)證領(lǐng)域的應(yīng)用現(xiàn)狀、問題和未來發(fā)展方向，可為相關(guān)身份認(rèn)證系統(tǒng)設(shè)計提供參考。

參考文獻(xiàn)

[1] Cao C， Zhang R， Zhang M， et al. IBC-Based Entity Authentication Protocols for Federated Cloud Systems[J]. Ksii Transactions on Internet & Information Systems. 2013， 7（5）： 1291-1312.

[2] Yu C， Lliu G. Authentication Methods Based on Digital Fingerprint Random Encryption IBC[J]. Journal of Software. 2014， 9（6）.

[3] Faraj S T， Al-Heeti S， Kifayat K. Mediated IBC-Based Management System of Identity and Access in Cloud Computing[J]. Tikrit Journal of Engineering Science. 2014， 20（3）.

[4] Yong M A. Security authentication scheme based on IBC for content center network[J]. Electronic Design Engineering. 2016.

[5] Lim C C W， Portmann C， Tomamichel M， et al. Device-Independent Quantum Key Distribution with Local Bell Test[J]. 2013， 3（31006）.

[6] Lin S， Huang C， Liu X F. Multi-user quantum key distribution based on Bell states with mutual authentication[J]. Physica Scripta. 2013， 87（87）： 35008.

[7] Khalid R， Zukarnain Z A， Hanapi Z M， et al. Authentication mechanism for cloud network and its fitness with quantum key distribution protocol： A survey[J]， 2015，81（1）：51-64.

[8] Lin S， Wang N， Guo G D， et al. Multi-user quantum key distribution with mutual authentication[J]. Scientia Sinica， 2015， 45（4）： 40302.

[9] Ma H， Huang P， Bao W， et al. Continuous-variable quantum identity authentication based on quantum teleportation[J]. Quantum Information Processing， 2016， 15（6）： 1-16.

[10] Jiang Y， Zhang S， Chang Y， et al. Quantum key distribution protocol with two-way identity authentication[J]. Chinese Journal of Quantum Electronics， 2018，3（1）：18-28.

[11] 宋憲榮，張猛.國外網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)發(fā)展現(xiàn)狀、趨勢及對我國的啟示[J].網(wǎng)絡(luò)空間安全， 2018（2）：6-11.

[12] 宋憲榮， 張猛.網(wǎng)絡(luò)可信身份認(rèn)證技術(shù)問題研究[J].網(wǎng)絡(luò)空間安全， 2018（3）：69-77.