2023年6月27日发(作者：)

公钥认证⽅法1976年，Diffie和Hellman提出了公钥密码体制，解决了对称密码体制中最难解决的两个问题：密钥分配和数字签名。在公钥密码体制中，每个⽤户拥有两个密钥：公钥和私钥，其中只有私钥由⽤户秘密保存，公钥可以由⼀个证书权威（certificate authority，CA）保存在⼀个公钥⽬录中。然⽽，公钥密码体制容易公钥替换攻击，即攻击者⽤⾃⼰选定的假公钥替换公钥⽬录中真实的公钥。当⼀个⽤户⽤这个假公钥加密⼀个消息时，这个攻击者就可以截获消息并正确解密。为了抵抗公钥替换攻击，需要让⽤户的公钥以⼀种可验证和可信任的⽅式与⽤户的⾝份信息关联起来。⽬前，认证⽤户的公钥有三种⽅法：基于公钥基础设施（public key infrastructure，PKI）的⽅法、基于⾝份的⽅法和基于⾃证明的⽅法。事实上，可以根据公钥认证⽅法的不同，把公钥密码体制分为基于PKI的公钥密码体制、基于⾝份的公钥密码体制和基于⾃证明的公钥密码体制。下⾯解释这三种密码体制的特点。1.基于PKI的公钥密码体制每个⽤户的公钥都伴随⼀个公钥证书，这个公钥证书由CA签发。公钥证书是⼀个结构化的数据记录，它包括了⽤户的⾝份信息、公钥参数和CA的签名等。任何⼈都可以通过验证证书的合法性（CA的签名）来认证公钥。如果⼀个⽤户信任CA，那么在他（她）验证了另⼀个⽤户证书的有效性后，他（她）就应该相信公钥的真实性。这就是公钥基础设施。但是这种⽅法有两个缺点：（1）使⽤任何公钥前都需要先验证公钥证书的合法性，增加了⽤户的计算量。（2）CA需要管理⼤量的证书，包括证书的颁发、存储和撤销等。2.基于⾝份的公钥密码体制为了简化密钥管理，Shamir于1984年⾸次提出了基于⾝份的密码体制（identity-based cryptography，IBC）的概念。在基于⾝份的密码体制中，⽤户的公钥可以根据⽤户的⾝份信息（如姓名、⾝份证号码、电话号码、Email地址等）直接计算出来，⽤户的私钥则是由⼀个称为私钥⽣成中⼼（private key genarator，PKG）的可信⽅⽣成。基于⾝份的密码体制取消了公钥证书，减少了公钥证书的存储和合法性验证。但是，基于⾝份的密码体制有⼀个致命的缺点，即所有⽤户的私钥都由PKG⽣成。PKG知道所有⽤户的私钥会不可避免地引起密钥托管问题。因此，PKG可以容易地冒充任何⽤户且不被发现。在⼀个基于⾝份的加密（identity-based encryption，IBE）体制中，PKG可以解密任何⼀个密⽂；在⼀个基于⾝份的签名（identity-based signature，IBS）体制中，PKG可以伪造任何⼀个消息的签名。⾃1984年以来，相继提出了许多实⽤的基于⾝份的签名体制，但⼀个满意的基于⾝份的加密体制直到2001年才被找到。这个体制是由Boneh和Franklin利⽤超奇异椭圆曲线上的双线性配对（Weil配对或Tate配对）设计的。3.基于⾃证明的公钥密码体制1991年，Girault提出了⾃证明公钥（self-certified public key）的概念。在基于⾃证明的公钥密码体制中，⽤户的公钥是从CA对该⽤户的私钥与⾝份的签名中推导出来。也就是说，CA与⽤户合作产⽣公钥，但CA并不知道⽤户的私钥。⽤户的公钥不必有单独认证的证书，公钥的认证同接下来的⼀些密码协议（如密钥交换协议、签名、加密等）⼀起完成。例如，认证签名者的公钥与验证此⼈的签名在⼀个验证等式中完成。如果验证等式成⽴，那么公钥和签名将被同时验证。在计算量和通信成本⽅⾯，⾃证明公钥具有以下优点：（1）由于不需要证书，降低了存储空间和通信成本。（2）不需要公钥验证，减少了计算量。与基于PKI的公钥密码体制相⽐，由于不需要维护公钥证书⽬录，基于⾃证明的公钥密码体制更加⾼效。与基于⾝份的公钥密码体制相⽐，由于CA并不知道⽤户的私钥，因此基于⾃证明的公钥密码体制更加安全。⾃Girault提出⾃证明公钥的概念以来，相继提出了许多实⽤的基于⾃证明公钥的签名。2003年，AI-Riyami和Paterson提出了⽆证书公钥密码体制（certificateless public key cryptography），在本质上与基于⾃证明的公钥密码体制是相同的。基于配对的密码体制可以根据公钥认证⽅法分成基于PKI的密码体制、基于⾝份的密码体制和⽆证书密码体制。