基于身份的公钥密码学.ppt

《基于身份的公钥密码学.ppt》由会员分享，可在线阅读，更多相关《基于身份的公钥密码学.ppt（50页珍藏版）》请在三一办公上搜索。

1、16:48,1,基于身份的公钥密码学,2011/11/24,16:48,2,基于身份的公钥密码学,在通常意义下的公钥密码学中，公钥(public-key)是借助某个有效单向函数作用于私钥(private-key)而产生的。也就是说，对事先选定好的一个有效单向函数，有public-key(private-key).（7.1）这种公钥看起来有一定的随机性。即从公钥本身，看不出该公钥与公钥所有者之间有任何的联系。当有一条机密信息要用某一公钥加密后发送给指定的接受者时，发送者必须确定这个看起来有点随机性的公,16:48,3,钥是否的确属于指定的接受者。同样，在利用数字签名系统来确定信息的原始性时，签名

2、验证者必须确信用来验证签名的公钥的确属于声明的签名者。一般来说，为了在现实世界中应用密码术，我们需要有一种机制能够随时验证某公钥与某主体身份之间的联系。有两种方法可实现此目的：一种称作公钥证书机制(public key certification infrastruction)；另一种称作基于身份的公钥密码学(identity-based public key cryptography 或ID-based cryptography)。由于公钥证书机制是一种树状结构的公,16:48,4,钥认证体系（如X.509），实际应用时较复杂，且有一定的耗资。而采用基于身份的公钥体系，则可克服这些缺点。举一

3、个例子。如果Alice想给Bob发送一份秘密消息，那么她需要获取Bob的真实公钥。在一般公钥密码系统中，Alice需要一个使Bob的身份同他的公开密钥相关的签名的（公钥）证书。而在基于身份的公钥密码系统中，Bob的公钥就是他的身份，即Bob的公钥是基于其身份的。Alice可以利用Bob的这个基于身份的公钥将秘密消息加密后在公共信道上发送给Bob，而不用通过验证一个可信的第三方（认证中,16:48,5,心，CA）对Bob证书的签名来获取Bob的真实公钥。Alice只需像（电子）邮政系统一样，通过Bob的（电子）邮件地址，将秘密消息发送给Bob。一个基于身份的密码系统应满足下列基本条件：用户之间既

4、不用交换私钥也不用交换公钥；不需要保持一个公共的证书服务器；只在系统建立阶段需要一个可信的机构为系统中每个用户生成密钥，且用户绝对无条件信任该可信机构。本课题我们主要介绍Shamir提出的基于身份,16:48,6,(ID)的签名体制、利用超奇异椭圆曲线上Weil对产生的基于身份的公钥密码体制、以及Boneh与Franklin的基于身份的加密体制。7.1 基于身份的签名在1984年的国际密码学会议（Crypto84）上，Shamir提出了本质上类似于邮政系统的一种新颖的公钥密码系统。在他的公钥密码系统中，用户A的公钥public-keyA可以是任何一个与主体的身份有关的比特串，而他的私钥是通过一

5、个可信的权威机构（a trusted authority,TA）来生成,16:48,7,的，即由下列步骤生成：private-keyA(master-key,public-keyA).(7.2）其中master-key（主密钥）是TA独有的、并事先由其秘密选好的秘密钥。TA就用这个主密钥来生成系统中所有用户的私钥。步骤(7.1)与(7.2)可看出，基于身份的公钥密码系统与一般公钥密码系统的公私密钥的生成过程刚好相反：在基于身份的公钥密码系统中，私钥是由公钥来生成的，公钥可以是输入的任何比特串；而一般公钥密码,16:48,8,系统中，公钥是经由私钥来生成的，私钥是事先精心挑选好的。在Shamir

6、的基于身份的公钥密码系统.TA由(7.2)生成用户私钥的计算一般不公开。在TA为用户生成私钥前，TA需要彻底检验用户的身份信息，用户提供的身份信息必须能使TA确信它能唯一准确地识别出用户。这类似于在一般公钥密码系统中，CA在签发公钥证书给用户之前需要对用户作身份检验。,16:48,9,由于用户的私钥由TA生成，所以用户必须绝对无条件地信任TA，也就是说，用户不用担心TA读取了用户之间所有的秘密通信，或伪造他们的签名。因此，基于身份的密码系统只适用在用户接受对TA无条件信任的环境。比如在雇主可完全知道他的所有雇员的来往信息的环境中，雇主就可担当TA的角色。7.1.1 Shamir的基于身份的数字

7、签名体制的构成,16:48,10,Shamir提出的基于身份（ID）的数字签名体制由下列四个步骤组成：参数建立(Setup):TA完成：产生整个系统的参数及主密钥(master-key)。用户私钥生成(User-key-generation):TA完成：利用master-key及用户传输的任意比特串id，产生相对于id的用户的私(private-key)。签名(Sign):签名者完成：对输入的信息m，用签名者的私钥对信息m进行签名sig。验证(Verify):用户完成：对输入的信息m及相应的签名sig，利用id验证签名的 真伪性。,16:48,11,7.1.2 Shamir的基于身份的数字签名

8、体制的算法描述1)系统参数的建立(Setup):i).:秘密选择两个大素数，计算其积;ii).:选择正整数 满足;(*这里（,）为系统中用户使用的公开参数*)iii).：计算出满足 条件的正整数；(*为TA的主密钥*)iv).:（*是一个密码意义上的单向Hash函数*）TA保存作 为系统的私钥，即主密钥，而公开系统参数(,)。,16:48,12,2)用户私钥生成（User-key-generate）：设ID表示用户Alice的唯一可识别的身份。在对Alice完成了物体意义上的身份识并确定了ID的唯一性后，TA计算将计算结果 值作为Alice的私钥发给Alice3)签名生成（Signature

9、Generation）:设Alice要对信息 进行签名。Alice随机选择一个数，并计算数对 就是Alice生成的签名。,16:48,13,4)签名验证（Signature Verification）:设有信息 及其签名。Bob利用Alic的身份ID验证她的签名：如果,则的签名为真。从Shamir的基于身份的签名算法中可看出，在Bob验证Alice的签名时，只需她的经TA核实的ID。而在一般的公钥签名算法中，Bob在验证Alice的签名前，必须先获得她的公钥，并验证她的公钥证书。也就是说，Bob首先必须确信往来于Alice的密钥通道已安全建立。,16:48,14,而在Shamir的基于身份的签

10、名算法中，Bob验证Alice的签名为真时就同时向Bob表明了两点：第一，Alice的确是用她的基于ID的私钥产生她的签名；第二，Alice的ID是经过TA证实的，也正是由于她的ID经TA证实后才使得Alice能产生她的签名。这一优点使得在基于身份的数字签名体制中，签名者不需要将公钥证书传输给验证者，这样可节省通讯带宽。,16:48,15,7.1.3 Shamir的基于身份的数字签名体制安全性分析 当Bob验证Alice的签名为真时，表明Alice拥有 及模 的唯一的 次根，也就是。这个唯一性是由 保证的。任何人要构造 并不困难。例如，他可以选一个随机数，计算，再计算，最后乘以ID即可。但是，

11、他要求出模 的唯一的 次根是很困难的：,16:48,16,首先已知 求同余方程 的解等价于大整数因子分解问题；其次，随意构造出的 是可识别的，也就是说，因为 是一个密码意义上的单向Hash函数，要碰巧找出两个不同的 与 使，即使 是困难的。当然，这种说明并不是严格意义上的Shamir的基于身份的数字签名体制的安全性证明。这里我们也不打算给出其安全性的严格证明。,16:48,17,最后必须重声及记住的是：TA可以伪造任何一个用户的签名！因此，Shamir的基于身份的数字签名体制不适合在一个公开的系统环境中应用。换句话说，该签名体制较适合在一个封闭的、TA对整个系统中的信息具有法律上的所有权的系统

12、中使用。很不幸，这是一个非常苛刻的应用环境。因此，如何设计一个可脱离这样苛刻应用环境的基于身份的数字签名体制是一个很有挑战性的尚未解决的问题。当用户私钥的安全性受到威胁时，需要与TA进行交互式密钥撤销，这样就增加了系统的成本，降低了时效。所以，设计出一种不需要进行交互式密钥撤销,16:48,18,操作的基于身份的数字签名体制是另一个尚未解决的问题。7.2 利用椭圆曲线的Weil对的基于身份的公钥密码体制 1984年Shamir提出的基于身份的公钥密码体制是一种数字签名体制。此后，人们提出了若干新的基于身份的密码体制。2000年1月R.Sakai，K.Ohgishi 与M.Kasahara在日本

13、召开的2000年密码学与信息安全论坛上提出了基于椭圆曲线有理点群上的配对映射（pairing-mapping）的一种新颖的基于身份的密码体制。同年，A.Joux则独自提出了利用同一技巧的一种基于身份的三方Diffie-Hellman协议，即三方密钥共享协议。他们开创性的工作不仅证实了存在Shamir曾猜想的基于身份的公钥加密体制，而且重新激起了人们研究基于身份的密码学的兴趣。,16:48,19,Sakai 等人以及Joux提出的基于身份的公钥加密体制就是利用了这样一个特性：在超奇异椭圆曲线有理点群上的确定性Diffie-Hellman问题（Decisional Diffie-Hellman p

14、roblem,DDH问题）是容易的，而计算上的Diffie-Hellman问题（Computational Diffie-Hellman problem,CDH问题）仍能是困难的。这主要是因为存在计算超奇异椭圆曲线有理点群上的一种配对映射的有效算法.本节我们首先介绍超奇异椭圆曲线及Weil配对（Weil-Pairing），然后是DDH问题与CDH问题，最后是Sakai 等人以及Joux提出的基于身份的公钥加密体制。,16:48,20,7.2.1 超奇异椭圆曲线与Weil配对1983年Menezes,Okamoto 与Vanstone指出对一类定义在有限域上的特殊椭圆曲线，存在一种有效的算法，将

15、曲线上的任意两点映射到基域中的一个元素。这类特殊的椭圆曲线就是超奇异椭圆曲线。对这类曲线，Hasse定理中的 可被基域的特征整除。设 是一个素数幂，是域 上的一条超奇异椭圆曲线。设 是 的一个大素数因子(与 是互素的)，则由有限群论 知识,16:48,21,，含有阶为素数 的点，且对某些正整数，的扩域 上的椭圆曲线有理点群 是非循环的，并且含有不相交的有阶点的子群。也就是说，群中存在两个阶为 的点，满足 及。这也等价于对任意的整数，均有 及。这样的两个点也称为线性独立的点。可以证明，任意两个阶 为的线性独立的点可生成 中所有阶为 的点。对于上述素数，扩域 的所有非零元,16:48,22,组成的

16、乘群 含有一个唯一的阶为 的子群。由有限群论知识可知，存在一个保持运算的、并可有效计算的从 上的所有阶为的点对到 的 阶子群的满射（即映上的射）。Menezes,Okamoto 与Vanstone曾证明当 是一条超奇异椭圆曲线时，那么可在小扩域（）的情形下构造出这样的满射。事实上，很容易对 的情形构造出这样的映射。,16:48,23,Weil配对(Weil Pairing)的定义：设 是一个素数，是域 上的一条超奇异椭圆曲线，是正整数。上的Weil配对，记为，定义为 上的所有阶为 的点对到 的 阶子群的满射，即对 中任意两个阶为 的点、，是 中阶为 的点。且满足下列性质：1).恒等性：对所有阶

17、为 的点：,16:48,24,2).双线性性：对所有阶为 的点、：3).非退化性：对任意两个线性独立的阶为 的点、（即属于不同的 阶子群）4).实效性（可计算性）：对所有阶为 的点、，可实际有效地计算出。显然，由双线性性，对任意阶为 的点、及正整数，有,16:48,25,7.2.2 DDH问题与CDH问题DDH问题：设 是一个Abelian群(运算表为加法“”)，是 的一个生成元。对任意给定的三个元，确定 是否成立。CDH问题：设 是一个Abelian群(运算表为加法“”)，是 的一个生成元。对任意给定的两个元，计算。显然，DDH问题不比CDH问题更难。,16:48,26,也就是说，如果存在一

18、个CDH问题的解算者（机）（该解算者（机）通常可称为一个问答机或预言机），那么对给定的三个元（其中 是 的一个生成元），这个预言机一定能确定是否成立。即，这个预言机可解DDH问题。然而，对这两个问题目前我们仅知道这些关系，且对一般的有限Abelian群，我们也没有一个有效的解DDH问题的解,16:48,27,法。所以解DDH问题的困难性已经被广泛接受为一个难于破解的标准性问题的假设，并成为许多密码系统的安全性基础。但是对于超奇异椭圆曲线，2001年Joux与Nguyen证明了DDH问题是容易解决的。注意到Weil 配对 的恒等性，对任意的阶为 的元 有。于是当 与 为线性相关的两点时，即存在整

19、数 使，则E.R.Verheul在2001年的欧洲密码学会上提出了曲线上点坐标的一种变形映射,16:48,28,即对 中任一点,仍是 中点。且当的阶大于3时，具有与 相同的阶。具体做法是：当 时，为将 的两坐标修改为 中元后的 中点；而当时，则。这样对于，与 是线性独立的。利用变形映射，将Weil配对映射修改为：,16:48,29,于是对任意，由 与 是线性独立知。且当 与 为同一个 阶群中点时(对某整数，)，有：即有 这一特性称为 的对称性。,16:48,30,设 是 的一个 阶子群。事实上，为简单化，一般可限制。设是的一个阶子群。现在我们来考虑 上的DDH问题。设 是的一个生成元。对任意给

20、定的三个元。计算Weil配对 及：由于，故即 当且仅当,16:48,31,即 当且仅当。由于，亦即 的实效性，与 均可实际有效地计算出，因此可实际有效地确定 是否成立。Joux与Nguyen的关于Weil配对的重要工作已产生了超奇异椭圆曲线在密码学方面的许多有趣的新应用。基于身份的密码学是其中显著的一例。这些新的应用都是基于下列事实及假定：,16:48,32,事实（DDH问题是容易的）：利用Weil配对，超奇异椭圆曲线有理点群上的DDH问题可有效地解答。假定（CDH问题是困难的）：通过适当选取基域的大小，超奇异椭圆曲线有理点群上的CDH问题是困难的。对于超奇异椭圆曲线，困难度为亚指数级，即，。

21、显然，当假定CDH问题是困难的时，相应的DH问题（即离散对数问题）也是困难的。,16:48,33,7.2.3 利用Weil配对的基于身份密钥共享体制 2000年Sakai、Ohgishi及Kasahara提出的基于身份的密钥共享体制（简称为SOK密钥共享体制），象Shamir的基于身份的数字签名一样，也需要一个可信的权威机构1.（TA）来建立系统参数。SOK密钥共享体制描述SOK密钥共享体制由下列三部分组成：系统参数建立:TA完成：产生整个系统的参数及主密钥(master-key)。用户密钥生成:TA完成：利用master-key及用户传输的任意比特串id，产生相对于id的用户的私钥(priv

22、ate-key).。密钥共享体制:用户完成：这一步骤由两个终端用户以非交互式方式完成。对每个终端用户，用他自己的私钥及预定的另一通讯用户的公钥（id），产生这两个终端用户的的共享密钥。下面具体描述这三个部分的实现步骤。,16:48,34,1）系统参数建立建立两个阶为 的群 与，以及改进的Weil 配对。任选 的一个生成元；ii)随机选取，并置；（*为主密钥*）iii)选择一个密码意义上的单向Hash函数：TA将系统参数 公开，而保持主密钥 为系统私钥。,16:48,35,2）密钥生成设IDA表示用户Alice的唯一的可识别的身份。且我们假定IDA包含足够多的信息使得本系统中任何其他用户均不可能

23、也以IDA作为其身份。（1）计算.作为Alice的基于身份IDA的公钥；（*其实，用 或IDA作Alice的公钥没有本质的区别*）（2）计算 并置Alice的私钥为,16:48,36,3）共享密钥生成 对用户Alice与Bob，IDA与IDB分别表示他们的互相已知的身份信息。因而 与 就是分别表示他们的互相已知的公钥。(1)Alice通过计算 得到一个共享密钥；Bob通过计算 得到一个共享密钥；与 是相等的：这是因为及 的对称性可知。从该体制可看出，Alice与Bob没有进行交互通讯就获得了一个共享密钥。,16:48,37,2.SOK密钥共享体制的安全性分析系统主密钥的安全性由解群 上的离散对

24、数问题的困难性保证。这是因为非TA者要想知道，他就必须解群 上的离散对数问题，已知 与，求：。Alice 的私钥 的安全性是由群 上的CDH问题的困难性假定保证的。这是因为：由 知 可由 生成，于是存在正整数 使，从而。这表明已知 及，要找，即计算。这显然是一个CDH问题。如果除Alice、Bob及TA外的任何攻击者想要通过公开信息 获取，则他必须解一个双线性问题，而这本质上仍是一个CDH问题。所以SOK密钥共享体制在CDH问题困难性的假定下的安全性是亚指数级的。,16:48,38,7.2.4 利用Weil配对的三方Diffie-Hellman密钥协议 2000年A.Joux利用配对技术设计出

25、了一种方式非常简单的三方密钥协议。Joux称他的协议为“三方Diffie-Hellman”协议。Joux最初的协议是利用未经坐标变形映射 修改的Weil配对，不利于实际应用（因为用户需要去构造线性独立的点）。2003年英国的密码学家Wenbo Mao（毛文博）在他的书“Modern Cryptography:Theory and Practice”中利用经修改的Weil配对 简化了Joux的协议。我们称简化后的协议为“Joux-Mao 三方Diffie-Hellman”协议。,16:48,39,Joux-Mao 三方Diffie-Hellman”协议描述 设Alice、Bob及Charlie要

26、建立他们之间的一个共享密钥。1.公开参数建立：某有限域 上的一条超奇异椭圆曲线；是一个素数，；是正整数；是 上的经变形映射修改的Weil配对；是 中阶为 的点，是由 生成的 阶子群。2.各方密钥建立：Alice、Bob及Charlie分别秘密选择大于1小于 的整数 作为他们的私钥，并各自计算他们的公钥 及。然后三方互相交换他们的公钥，即在公共信道上公布他们各自的公钥。,16:48,40,3.计算共享密钥：Alice、Bob及Charlie各自计算 及.因为所以Alice、Bob及Charlie建立了他们的共享密钥.由于该三方Diffie-Hellman”协议与原两方Diffie-Hellman

27、 密钥交换协议一样，不具备身份认证的性质，所以易受到中间人的攻击。那么，能否设计出一种利用Weil配对的基于身份的三方Diffie-Hellman协议是一个值得我们今后考虑的问题。,16:48,41,7.3 Boneh与Franklin的基于身份的公钥加密体制2001年D.Boneh 与M.Franklin在国际密码会议(Crypto01)上利用Weil配对提出了第一个实用的基于身份的公钥加密体制(identity-based encryption,IBE)，从而肯定地回答了Shamir在1984年发表的存在基于身份的公钥加密算法的预言。下面我们具体介绍Boneh 与M.Franklin的基于

28、身份的公钥加密体制。7.3.1 Boneh与Franklin的公钥加密体制的构成Boneh与Franklin的基于身份的公钥加密体制分为四个部分：参数建立部分(System Parameters Setup，简称Setup)，用户私钥生成部分(User Key Generation，简称Extract)，加密算法部分(Encryption，简称Encrypt)以及解密算法部分(Decryption，简Decrypt)。系统参数建立(Setup):TA完成：产生整个系统的参数及主密钥(master-key)；用户私钥生成(Extract):TA完成：利用master-key及用户传输的任意比特串

29、id，产生相对于id的用户的私钥(private-key)。加密算法(Encrypt):消息传送者完成：对消息m，消息传送者用消息接收者的身份信息，即消息接收的id，加密消息m。解密算法(Decrypt):消息接收者完成：消息接收者对收到的消息密文 c，用他的私钥解密密文 c。,16:48,42,7.3.2 Boneh与Franklin的公钥加密体制的算法描述(1)系统参数建立:i)建立两个阶为 的群 与，以及改进的Weil 配对。任选 的一个生成元；ii)随机选取，并置；（*为主密钥*）iii)选择一个密码意义上的单向Hash函数：（*该Hash函数用于将用户的id映射成 中 的元*）iv)

30、选择另一个密码意义上的单向Hash函数：（*该Hash函数表明明文空间是0,1n*）TA将系统参数 公开，而保持主密钥 为系统私钥。,16:48,43,(2)用户私钥生成：设ID表示用户Alice的唯一可识别的身份。在对Alice完成了物体意义上的身份识别并确定了ID的唯一性后，TA执行i)计算；（*作为Alice的基于她的身份ID的公钥。*）ii)计算。（*作为Alice的基于她的身份ID的私钥，并秘密发送给Alice。*）(3)加密算法：设Bob要将信息 发送给Alice。Bob首先获得系统的公开参数。利用这些参数，Bob执行i)计算；Bob随机选取一个数，计算（其中 表示比特异或运算）就

31、是信息 经加密后得到的密文。密文由 中的一个点及一个 比特串组成，即密文空间为。,16:48,44,(4)解密算法:设 是利用Alice的身份ID（也可称为Alice的公钥）加密后得到的密文。为了解密出明文，Alice利用她的私钥 计算现在我们来证明上述算法的确是一个密码加密系统。因为所以这说明解密运算的确返回原信息。,16:48,45,Boneh与Franklin的公钥加密体制的安全性是基于椭圆曲线点群上的CDH问题的困难性假定。在CDH问题困难性的假定下，Boneh与Franklin给出他们的基于身份的公钥加密体制的安全性的一个正式的证明，即对抗适应性选择密文攻击（adaptive cho

32、sen-ciphertext attack）的安全性证明。他们的证明是基于所谓的“随机谕示模型（random oracle model）”。由于该证明较复杂，这里就不做介绍，有兴趣的读者可参考Boneh与Franklin的相关文献（见书后参考文献）。基于身份的加密体制的最初动机是为了帮助公钥基础设施的运作，但这种加密体制也还有其它一些应用，如应用在公钥的撤销上。我们对此作简单的介绍。公钥证书都有预定的有效期。当Alice应用IBE体制来撤销并更新Bob的公钥时，Alice 给Bob发送一个利用Bob的公钥“|current-year”加密的e-mail，这就使得只可在当年利用他的私钥来阅读Al

33、ice,16:48,46,发给他的电邮。Bob需要每年一次从TA获取他的新私钥。也就是说，Bob的私钥有效期为一年。Alice不必象在一般的PKI中那样，每当Bob更新他的公钥的时候，就需要获取他的公钥证书。当然，Alice也可更频繁地迫使Bob更换他的私钥。当Alice用“|current-date”作为Bob的公钥加密一个e-mail发送给Bob时，这就迫使Bob需要每天获得新的密钥。这种情况可发生在一家具有法人地位的PKI机构(或提供PKI服务的公司)中，机构有自己的一个TA。当职员Bob要离开本机构的时候，他的密钥就必须撤销。机构的TA就会为Bob的电邮地址停止发放私钥。在这种现象中，

34、有趣的特性就是Alice 不必与任何第三方通信来获得Bob的每日的公钥。它使Alice 能够随时将加密电邮发给Bob，而Bob只有在Alice指定的日期里解读该电邮。我们必须注意到的是：在Boneh与Franklin的IBE体制中，TA可解密每一个发送到系统中用户的密文信息。因此Boneh与Franklin的基本体制不适合应用在公开的系统环境中。但是可将它扩展到在公开的系统环境中使用。下面我们对此做一个介绍。,16:48,47,7.3.3 公开系统环境中的Boneh与Franklin的公钥加密体制 扩展的Boneh与Franklin的公钥加密体制的基本思路是使用多个TA。我们只考虑有两个TA的

35、情况，当然，这很容易扩展到更多个TA的环境。1.系统参数建立:设参数 如 7.3.2中所建立的参数。与 分别为TA1与TA2的主密钥。计算 与 分别作为TA1与TA2的公开钥。那么 就是本系统的公开参数。2.用户私钥生成：设ID表示用户Alice的唯一可识别的身份。在对Alice完成了物体意义上的身份识别并确定了ID的唯一性后，TAi(i=1,2)执行i)计算；（*作为Alice的基于她的身份ID的公钥。*）ii)计算,及（*分别由TAi 计算出并秘密发送给Alice后，Alice计算出 作为她的基于她的身份ID的私钥。*）,16:48,48,(3)加密算法：设Bob要将信息 发送给Alice

36、。Bob首先获得系统的公开参数 利用这些参数，Bob执行i)计算；Bob随机选取一个数，计算（其中 表示比特异或运算）就是信息 经加密后得到的密文。,16:48,49,(4)解密算法:设 是利用Alice的身份ID（也可称为Alice的公钥）加密后得到的密文。为了解密出明文，Alice利用她的私钥 计算现在我们来证明上述算法的确是一个密码加密系统。因为所以这说明解密运算的确返回原信息。,16:48,50,扩展的Boneh与Franklin的IBE体制有以下几点值得关注的特性：1)与只有单一的TA的IBE相比，有两个TA的IBE的加解密的计算量增加了一倍，但用户Alice的ID的数量、以及密文的大小均没有增加。当TA的数量增加时，用户Alice的ID的数量以及密文的大小均保持不变，但加解密的计算量与TA的个数成线性比例增加。2)当系统中的所有TA共谋时也可破解密文，但其中任何一个TA则不能破解密文。3)当使用多个TA时，破解一个终端用户的密文需要所有TA的完全合谋。如果我们能确信其中至少一个TA是诚实可信的，那么就可防止用户的密文被破解。所以，扩展的Boneh与Franklin的IBE体制可应用在公开的系统环境中。,