论文摘要
公钥基础设施PKI和基于身份的密码技术IBC是当前两种主要的公钥密码技术。本文从比较两者的原理、基本结构、密钥管理和使用方案入手,根据其互补性,提出了一种组合应用基本模型,形成了一种新型的公钥应用模式。基本模型中用户被划分到不同的IBC域中,只使用基于身份的密码服务,每个IBC域都是一个小型的封闭式环境。PKI只颁发域一级证书。IBC域使用证书保证不同IBC域间的跨域操作。这样,用户使用简单易用的IBC服务,摆脱了证书相关的复杂操作;PKI只需颁发少量并且状态较稳定的证书,简化了证书管理;IBC借助PKI实现跨域操作,能够支持较大范围的应用。为此,本文深入分析了一种可分离匿名的私钥分发方案SAKI,修正了方案中的缺陷,提出了一种改进方案SAKI-Ⅱ,并在SAKI-Ⅱ的基础上设计了一种私钥更新方案SAKI-Ⅱ-KU,得到了适用于IBC域的私钥安全分发和更新方案。接着,将SAKI-Ⅱ和SAKI-Ⅱ-KU应用到S/MIMIE建议的IBC体系结构中,形成了IBC域体系结构,并对其中的公共参数服务器进行改造,使之成为同时拥有基于身份公私钥和基于证书公私钥的域参数服务器DPS。DPS在域内使用基于身份的认证,在域间使用证书认证,以组合认证的方式保证了IBC系统公开参数在不同IBC域间传递时的真实性和完整性,从而实现了安全的跨域操作。本文最后设计实现了一IBC域原型系统,实现了组合应用方案的基本功能,测试了本文所提出方案的可行性。