摘要: 　　在本文中，我们在基于身份加密(IBE)的一般性框架下来考虑几个特定的密码学问题。这里所说的IBE，乃是一种特殊的公钥系统，其中，任何用户的公钥都能从其唯一标识符比如用户名(例如"Alice"或"Bob")直接推导出。IBE的概念系由Shamir在1984年首次提出，这可视为是一种努力，以在公开密钥基础设施(PKI)中减少所需的操作。IBE简化了系统管理的原因是它将用户的身份映射成了他的公钥，因此，传统PKI中所牵扯的证书就变成隐式的了。换句话说，消息发送者不再需要检查其意定接收者是否是经过认证的；取而代之的情况是，在能够解密之前，接收者需要先向一个可信中心证实自己的身份以获得一个相应于其身份的专用私钥，这样他就可以使用该私钥解密任何发送给他的消息了。在Shamir的开创性工作之后，基于身份的密码学收到了越来越多的研究关注，但目前仍然存在着一些富有挑战性的问题。例如，文献中已经提出了很多IBE方案，但一个值得注意的问题在于，它们均不能就用户身份的撤消提供有效的解决方案。
 
　　我们把这篇文章的焦点设定在一种特殊的公钥密码系统，它叫做代理转加密(PRE)。PRE方案启用一个特殊的、半可信的实体，称之为代理，来将用委托人(例如Alice)的公钥加密过的消息，转换为新的密文，而该密文看上去就像是用被委托人(例如Bob)的公钥加密过的一样，因而用Bob的私钥就可以从密文恢复出同样的明文消息。在此过程中，代理可能访问不到相应的明文，因而这实际上是“对密文的转加密”。一个PRE系统可以是双向的，也可以是单向的。在实际当中，后者(单向)情形更为可取，这样Alice就明确地扮演委托人的角色，而Bob则只能扮演被委托人的角色，两者不可互换。这也是本文所关注的情形。因此，当后文中我们在IBE框架下来研究PRE时，我们将基于身份的单向代理转加密简单地称为IBPRE，其中单向这个限定就变成隐式的了。
 
　　我们在此文中的技术贡献是两方面的。首先，在基于身份的密码体制下，我们研究所谓仲裁加密(mE)和上述单向PRE的关系。mE方案涉及一个半可信的仲裁者，以其来实现对用户公钥的实时撤消。我们提供一个通用框架来将任何安全的IBPRE方案转换为安全的基于身份的仲裁加密(IBmE)方案，并能完成相反的转换。这样该框架就包含两种特定转换，IBPRE转IBmE以及IBmE转IBPRE，从而在似乎关联并不紧密的两个密码学领域中建立起一一对应关系。这个相互转换框架自身工作于标准模型下并且是可证安全的。这样的效果之一就是，只要有了一个安全的IBmE方案，我们就能利用此通用转换框架来构造一个相应的安全IBPRE方案。然而正如我们稍后要解释的是，这种转换出来的方案并不能完全达到所期望的安全。
 
　　其次，就单向PRE方案的安全，Ateniese等曾提议了一项重要的属性称为主秘密安全(MSS)，这要求即便代理和Bob勾结起来Alice的私钥也不会被暴露。在实际应用中，这种勾结是可能会有损意定安全策略的，这就解释了MSS属性的重要性。在本文中，我们将MSS的概念扩展到基于身份的体制下。不幸的是，所有现存的IBPRE方案，加上利用我们前述通用转换框架从IBmE方案构造出来的那些，都不具备该MSS属性。与此同时，我们付出的研究努力还可归因于基于身份体制之外的那些已有PRE研究的促使。例如，有些方案是单向的但只对选择明文攻击(CPA)是安全的，而另一些对选择密文攻击(CCA)是安全的但却是双向的。我们顾及了这种种情况，提出了一个具体的IBPRE方案，它不但在标准模型下是抗CCA可证安全的，而且还一并具备了MSS属性。
 
我们所做的研究付出，对所涉足密码学领域之间的关系进行了探索，并对安全的各种方面(例如，CPA安全、CCA安全、主秘密安全等属性)进行了一次深刻的理解。我们对涉及到的算法提供形式化的描述和安全性证明，并为今后的研究做一个方向性的展望。