Weil配對實現基于身份加密背景介紹傳統的公鑰體制中公鑰是與身份無關的隨機字串，存在如何確認公鑰真實性的問題，為此，公鑰基礎設施（PublicKeyInfrastructure，PKI）通過使用可信賴的第三方-——認證中心（CertificationAuthority，CA）頒發公鑰證書的形式來綁定公鑰和身份信息。但是，PKI證書管理復雜，需要建造復雜的CA系統，證書發布、吊銷、驗證和保存需要占用較多資源，這就限制了PKI在實時和低帶寬環境中的廣泛應用。為了簡化公鑰證書的管理，Shamir創造性地提出了基于身份加密的概念。Identity-BasedEncryption2001年，Boneh和Franklin提出第一個實用的基于身份加密(IBE:IdentityBasedEncryption)方案，該方案是利用超奇異橢圓曲線上的雙線性對運算(Weil對)設計的，并且在隨機預言機模型下是完全身份安全（fullidentity）。完全身份安全(fullidentitysecurity):攻擊者在獲取系統公開參數之后，可以適應性地選擇一個合適的身份進行攻擊。Definitions基于身份加密的方案由以下四部分組成：系統建立（Setup）,安全參數K、返回參數（系統參數(M、C公開的)）、和主密鑰（master-key只有PKG知道）。私鑰提取（Extract),以公鑰pk,主私鑰msk,以及用戶身份ID作為輸入算法輸出用戶身份ID所對應的私鑰IDsk。加密（Encrypt),以公鑰PK、ID和明文信息M作為輸入，輸出密文C。解密（Decrypt),以公鑰PK,密文C和私鑰Idsk作為輸入，輸出明文M。滿足一致性約束DefinitionsIdentity-BasedEncryptographyChoseciphertextsecurity(IND-CCA)基于身份加密的方案是一種IND-ID-CCA(Identity-BasedEncryptographyagainstanadaptiveChoseciphertextsecurity)。其形式定義由敵手A與挑戰者交互的游戲來描述：系統建立:挑戰者運行系統生成一個安全參數K,而msk是私有的。階段1（1）私鑰提取詢問（Extractionquery）挑戰者通過運行私鑰提取算法，產生相應的身份ID對應當私鑰d,將d發送給敵手A.（2）解密詢問（Decryptionquery）挑戰者通過運行私鑰提取算法，產生相應身份的ID所對應的私鑰d,然后運行解密算法用私鑰d來解密密文，挑戰者將明文發送給敵手A。Definitions挑戰（Challenge）當敵手A決定詢問階段1結束，它輸出兩個相等的明文M0和M1和一它希望被挑戰的身份ID，其中的約束ID不能出現在階段1中任何私鑰提取詢問中。挑戰者選擇一個隨機位并且設置C=Encrypt(pk,ID,Mb),將C作為挑戰來發送給敵手A階段2（1）私鑰提取詢問（Extractionquery）當ID≠IDI挑戰者回到階段1;（2）解密詢問（Decryptionquery）當<IDI，Ci>≠<ID,C>挑戰者回到階段1猜想（Guess）最后最后,攻擊者輸出一個猜測b0屬于{0，1}如果b=b0則攻擊者贏得攻擊游戲.IND-ID-CPAIND-ID-CPA(Identity-BasedEncryptographyagainstanadaptiveChoseplaintextsecurity)也是一種對稱加密，其定義如下：系統建立（setup）:挑戰者運行系統生成一個安全參數K,而msk是PKG私有的。階段1：公鑰提取詢問（privatekeyextractionquery）挑戰者通過運行密鑰提取算法，產生相應的身份ID對應當公鑰d,將d發送給敵手A.挑戰（challenge）階段2IND-ID-CPA猜想（guess）IND-ID-CCA與IND-ID-CPA的區別IND-ID-CPA除了敵手A不能做任何解密查詢，敵手A僅僅可以做公鑰提取查詢，在這兩中情況下IBE都是安全的。隨機預言模型（Randomoraclemodel）是一種理想的安全模型，在安全性規約證明的過程中，隨機預言機的輸出是攻擊者不可預測的。當攻擊者想知道對應于某個特定輸入的Hash值的時候，需要去查詢一個針對不同輸入產生隨機輸出的預言機。BilinearmapandBilinearDHassuption定義讓G1,G2為兩個q階的群,q是一個大的素數,0和1分別為G1和G2的單位元.一個合理的雙線性映射是指e:G1×G1G2,滿足:雙線性：即對于所有的P,Q∈G1,a,b∈Z有:e(aP,bQ)=e(P,Q)ab

非退化性：即存在P,Q∈G1,使得e(P,Q)≠1;可計算性：即對任意的P,Q∈G1,都有一個有效的多項式時間算法計算e(P,Q).BilinearmapandBilinearDHassuption確定Diffie-Hellman問題(DicisionDiffie-Hellmanproblem簡記為DDH):在G1中,q為G1的階.已知〈P,aP,bP,cP〉,確定等式c≡ab(modq)是否成立.雙線性Diffie-Hellman問題(BilinearDiffie-Hellmanproblem簡記為BDH):G1,G2,e定義同前.〈G1,G2,e〉上的BDH問題是指:已知〈P,aP,bP,cP〉計算e(P,P)abc∈G2.可計算Diffie-Hellman問題(ComputationalDiffie-Hellmanproblem簡記為CDH):在G1中,已知〈P,aP,bP〉,計算abP.CDH問題一直被認為是困難的.由于G1中的DDH問題是容易的,所以一般利用DDH去構建安全的密碼系統.加密方案都基于一個CDH假定的變體,即雙線性Diffie-Hellman假設Identity-basedencryption(Basicident)通過四個算法來呈現Basicident，K是系統建立算法時產生的參數，而g是BDH產生的如下：系統建立（setup）：給出任意的KStep1：在輸入k時運行g，產生一個素數b,G1與G2為q階群并且是線性映射e:G1×G1G2，選擇一個隨機數P∈G1Step2：選取一個隨機s∈Z*并且設置Ppub=sPSep3:選擇一個加密哈希函數H1:{0,1}

*

G*1和

H2：G2{0,1}n安全性取決于H1，

H2是隨機的。私鑰提?。╡xtract）加密（encrypt）解密（decrypt）PropertiesoftheWeilPairing設E是一個基域F上的橢圓曲線,G1是一個階為素數q的循環加法群，G2是階為素數q的循環乘法群。假設在G1和G2的離散對數問題是很困難的。Weil對被定義為一個雙線性映射e:G1×G1→G2，Weil對雙線性映射具有以下特性:雙線性(Bilinear):對于所有P，Q∈G1，a，b∈Z*,有e(aP，bQ)=e(P,Q)ab非退化性(Non-degenerate):如果P是G1產生的那么e(P,P)∈F*是G2產生的可計算性（computable）:任意P，Q∈G1，存在有效算法計算e(P，Q)