张猛 尹其其

摘 要：为了保证身份认证过程中用户身份不被冒用，身份认证数据必须经过加密后才可存储、传输。当前，非对称密码技术应用已占据数据加密主流，特别是基于PKI技术的二代身份认证技术。此外，为应对未来愈发强大的算力攻击，量子密码技术在身份认证方面的研究应用也日益深入。论文重点梳理分析PKI技术的最新分支体系——IBC密码体系和量子密码技术在身份认证技术中的应用，以期为相关身份认证系统设计提供参考。

关键词：IBC密码体系；量子密码技术；身份认证；PKI技术

中图分类号： TP302 文献标识码：A

Abstract： In order to ensure that the user's identity is not fraudulently used in the authentication process， the authentication data must be encrypted before it can be stored and transmitted. At present， asymmetric cryptography technology has occupied the mainstream of data encryption， especially the second generation identity authentication technology based on PKI technology. In addition， in order to cope with the more powerful computational attacks in the future， the research and application of quantum cryptography in the field of identity authentication has become increasingly in-depth. This paper focuses on the analysis of the latest branch of PKI technology - IBC cryptosystem and quantum cryptography technology in the application of identity authentication technology， in order to provide a reference for the design of related identity authentication system.

Key words： IBC cryptosystem； quantum cryptography； identity authentication；PKI

1 引言

密码技术的安全性决定了身份认证技术的安全性，本文主要介绍IBC（Identity Based Cryptograph）基于标识的密码体系和量子密码技术等加密技术在身份认证中的研究应用进展。哈希算法本质上是对的信息完整性进行校验，不在本研究范围内。

2 IBC标识密码体系

IBC体系是在传统的PKI体系基础上发展而來，于1984年由以色列密码学家Shamir提出，2006年我国将IBC体系标准化为中国国家算法标准并颁发算法型号SM9，2017年11月3日，我国SM2与SM9数字签名算法成为ISO/IEC国际标准.在IBC体系中，可以使用用户唯一标识（比如电子邮箱地址）+主密钥+公共参数代替发放给用户的证书。通过每个人的电子邮箱地址结合主密钥和公共参数就可以为每个用户创建唯一的私钥，管理员只需要管理主密钥+公共参数即可，这样就极大地简化了密钥的管理，IBC体系中的密钥管理只包括密钥产生和密钥更新[1]。因此，IBC体系除了保有PKI体系的技术优点外，主要解决了在具体安全应用中PKI体系需要大量交换数字证书的问题，使安全应用更加易于部署和使用。

Yu等人[2]基于IBC体系和数字指纹特征，设计了一种中心化的身份认证识别系统，实验证明IBC体系较传统PKI体系系统复杂度显著降低，系统带宽消耗降低约30%，FAR（0.11%）和FRR（1.83%）也在可接受范围内；Faraj等人[3]对在云计算系统中建立基于IBC体系的身份识别系统进行研究，认为IBC体系虽然解决了PKI体系中复杂的证书管理问题，但也面临着私钥管理等问题的挑战，传统PKI体系用户私钥是在终端本地安全生成并存储的，无需传输到后台，不存在私钥在网络中传送的问题。而在IBC体系中，私钥在中央的密钥服务器生成，私钥要通过网络传送给终端侧，在传输过程中的私钥安全如何保证成了 IBC 体系相对于 PKI 体系新衍生的问题；Yong等人[4]针对内容中心网络（Content Center Network）中面临的用户身份认证问题进行研究，认为IBC体系虽然无需再管理数字证书，但是其归根结底是属于非对称密码算法的，系统的安全性仍然由私钥的安全性来决定，用户私钥虽然是在中央的密钥服务器生成的，但是从用户可控角度来讲，其私钥仍然要下发给用户本人保存。如果用户本人没有安全的密钥存储介质，整个安全体系的安全性还是无从谈起，这与PKI体系遇到私钥存储介质问题是完全一样的。

3 量子密码技术

量子密码身份认证技术是以量子力学和密码学为基础发展的新型身份认证技术，其将使用者身份信息量子化，通过量子传输通道传递使用者身份密钥.基于测不准原理，量子密码在传输过程中难以被复制，即使强行复制所得到的复制结果也与使用者身份信息完全不契合。此外，量子密码身份认证的信息即使被拦截，拦截者也无法准确破译密码内容获知使用者身份信息。近5年来，相关量子密码技术在身份认证中的研究进展主要集中在应对与中间人攻击、截取/重放攻击等攻击手段的量子密钥分发协议方面：Lim等人[5]针对量子身份认证系统中DIQKD（Device Independent Quantum Key Distribution，与设备无关的量子密钥分配）易被利用贝尔试验（Bell Test）检测漏洞进行攻击的问题，提出了一种新型密钥分配方法。该方法中贝尔试验可以在两个完全随机的独立设备上进行，避免了量子信道损耗引起的检测漏洞攻击。

Lin等人[6]提出了一种基于星型网络的量子密钥分发协议，根据该协议，两个任意用户可以在信任中心的帮助下执行密钥分发，该协议使用键控散列函数来确保各方身份的可信性；Khalid等人[7]根据云服务面临的身份认证问题，提出一种基于连续高斯调制的量子安全通信协议。该协议通过对连续变量载波进行高斯调制实现密钥分发，能显著提高密钥分发效率；Lin等人[8]基于GHZ（Greenberger-Horne-Zeilinger）纠缠提出了一种多用户量子密钥分配认证协议，用户可以在信任中心的帮助下提高密钥分发效率并抵抗常见的安全攻击。

Ma等人[9]提出一种基于连续变量的量子身份认证协议，该协议采用双模压缩真空态和相干态方法进行量子传输，实验分析表明该协议可以有效进行用户身份认证并一定程度抵抗高斯克隆攻击；Jiang等人[10]基于Bell态的纠缠特性，提出了一种具有双向身份认证功能的密钥分配协议.该协议与传统量子密钥分配协议相比，只需进行一次量子序列传输就可以同时完成身份认证和密鑰分配，实验结果表明该协议可以抵御重放攻击和中间人攻击等常规攻击手段.。

4 存在问题和发展方向

密码算法决定了身份认证的强度和可信程度。从应用角度来看，未来密码算法发展将朝着两个方向发展，一是针对移动智能设备应用，轻量级加密算法将会成为一种研究热点。现有的传统公钥算法在移动智能设备上存在加解密周期较长、效率低下、能耗较高的问题.随着可穿戴设备的广泛应用，各类密码算法将会针对有限的硬件资源进行优化，实现轻量化。二是针对传统PC端、云服务端应用，现有的经典密码体系不断遭到强大运算能力的挑战，量子加密算法和抗量子攻击算法（如基于格密码体制）的研究或将成为研究热点[11，12]。

5 结束语

随着网络空间安全形势的愈加严峻，网络可信身份认证技术作为安全防护的第一道关卡逐渐引起人们的重视。密码算法技术作为身份认证技术的基石，越来越受到研究人员关注。本文重点分析了基于IBC标识密码体系和量子密码技术在身份认证领域的应用现状、问题和未来发展方向，可为相关身份认证系统设计提供参考。

参考文献

[1] Cao C， Zhang R， Zhang M， et al. IBC-Based Entity Authentication Protocols for Federated Cloud Systems[J]. Ksii Transactions on Internet & Information Systems. 2013， 7（5）： 1291-1312.

[2] Yu C， Lliu G. Authentication Methods Based on Digital Fingerprint Random Encryption IBC[J]. Journal of Software. 2014， 9（6）.

[3] Faraj S T， Al-Heeti S， Kifayat K. Mediated IBC-Based Management System of Identity and Access in Cloud Computing[J]. Tikrit Journal of Engineering Science. 2014， 20（3）.

[4] Yong M A. Security authentication scheme based on IBC for content center network[J]. Electronic Design Engineering. 2016.

[5] Lim C C W， Portmann C， Tomamichel M， et al. Device-Independent Quantum Key Distribution with Local Bell Test[J]. 2013， 3（31006）.

[6] Lin S， Huang C， Liu X F. Multi-user quantum key distribution based on Bell states with mutual authentication[J]. Physica Scripta. 2013， 87（87）： 35008.

[7] Khalid R， Zukarnain Z A， Hanapi Z M， et al. Authentication mechanism for cloud network and its fitness with quantum key distribution protocol： A survey[J]， 2015，81（1）：51-64.

[8] Lin S， Wang N， Guo G D， et al. Multi-user quantum key distribution with mutual authentication[J]. Scientia Sinica， 2015， 45（4）： 40302.

[9] Ma H， Huang P， Bao W， et al. Continuous-variable quantum identity authentication based on quantum teleportation[J]. Quantum Information Processing， 2016， 15（6）： 1-16.

[10] Jiang Y， Zhang S， Chang Y， et al. Quantum key distribution protocol with two-way identity authentication[J]. Chinese Journal of Quantum Electronics， 2018，3（1）：18-28.

[11] 宋宪荣，张猛.国外网络可信身份认证技术发展现状、趋势及对我国的启示[J].网络空间安全， 2018（2）：6-11.

[12] 宋宪荣， 张猛.网络可信身份认证技术问题研究[J].网络空间安全， 2018（3）：69-77.