基于PKI与基于IBC的认证技术比较

摘 要 身份认证技术在信息安全中处于非常重要的地位，是其他安全机制的基础。本文研究了基于PKI和基于IBC的身份认证技术，并对其进行了比较。

关键词 身份认证 PKI IBC

中图分类号：TP393.08 文献标识码：A

身份认证是一个系统安全最为重要的问题。只有在通过安全的身份认证基础上，才可能进行安全可靠地传递信息和共享网络资源。用户和系统一般是通过三种方法来证明他们的身份，即用户所知道的、用户所拥有的和用户的特征。身份认证根据其实现方式的不同可以分为三类，即单向认证（One-Way Authentication）、双向认证（Two-Way Authentication）和信任的第三方认证（Trusted Third-Party Authentication）。每一种实现方式又根据所基于的密码体制不同采用对称密码或非对称密码来实现。下面重点分析和讨论非对称密码体制下基于PKI（Public Key Infrastructure，公钥基础设施）和基于IBC（Identity-Based Cryptography，基于身份的密码技术）的身份认证技术。

1 基于PKI的认证技术

PKI是指用公钥的概念和技术来实施和提供安全服务的具有普适性的安全基础设施。在PKI中，通过CA认证中心将用户的身份标识信息（用户名称、身份证号等）与其公钥绑定到一起，从而可以实现网络环境中身份认证的功能。PKI提供一系列支持公钥密码的应用（加密、解密、签名与验证等）。其所能支持的安全服务功能主要有：身份认证、数据完整性验证、数据机密性以及不可抵赖性等。PKI的目标就是通过借助公钥密码学的理论基础，管理密钥的生成、存储以及公钥证书的安全性等，为各种网络应用提供全面的安全服务，从而能够有效地实现用户身份的认证性和数据的机密性、完整性、有效性等。一个完整的PKI系统，其逻辑结构如图1所示。

2 基于IBC的认证技术

基于身份的公钥密码技术IBC（Identity-Based Cryptography）是Shamir首次提出的，与基于PKI和数字证书等认证方案不同，IBC认证技术的核心思想是系统中不再使用证书，而是通过三种密钥，即系统主密钥、用户公钥和私钥，即可完成认证。用户的公钥是通过提取用户的身份信息，如姓名、IP地址、邮箱地址等生成的，私钥可由称为私钥生成器PKG（Private Key Generator）的可信第三方计算得到并通过安全信道传送给用户。这种身份认证思想实现了公钥与认证实体身份进行绑定，使得认证双方在不需交换公钥的情况下即可完成认证，简化了传统公钥密码系统中密钥管理及其带来的成本开销问题。IBC密码技术可以广泛的应用在云计算、物联网、电子商务、电子政务等领域。在国外，IBC技术被广泛用于世界五百强企业的加密电子邮件。IBC在美国的电子商务领域已经成为销售终端POS（Point of Sale）和清算中心间保护信用卡信息的主流技术之一。一个简单的IBC系统结构如图2所示。

3 基于PKI与基于IBC认证的比较

基于PKI和基于IBC的认证虽然都是基于公钥密码体制下的认证技术，但是两者在很多方面具有很大的差异。基于IBC的认证方案和基于PKI的认证方案相比有几个显著的特点：无证书、基于身份的密码机制、密钥使用和管理的便捷性。两者在很多方面还存在很大的差异，具体差异对比如表1所示。

参考文献

[1] 李发根，胡予濮.一个高效的基于身份的签密方案[J].计算机学报，2006，26（9）：1641-1647.

[2] 徐雯丽.云计算环境下的身份认证研究[D].江苏：南京邮电大学，2013.