在公钥密码体制中,用户在发送加密消息,或验证数字签名时,均需使用对方的公钥。因此,认证公钥的合法性,即确认其使用的公钥的确是对应用户的合法公钥,在这一过程中至关重要。在传统的公钥密码体制中,公私钥的产生是符合特定规则的,其形式一般为看似随机的数字,并非任何形式的信息都可以作为公钥。为了保证公钥的合法性,需要借助公钥基础设施。在公钥基础设施中,存在一个称为证书颁发机构(CA)的可信方,负责认证用户的公钥并颁发相应的公钥证书(其本质是CA对用户的公钥进行签名)。公钥证书可以将用户的身份与其公钥进行绑定,只有当公钥证书上CA对该绑定信息的签名合法时,对应的公钥才会被认定为该用户的合法公钥。在这种体制下,CA是一个重要部门,负责用户公钥证书生命周期的每一个环节：生成、签发、存储、维护、更新、撤销等,这需要耗费大量的计算及存储资源。为了简化传统的公钥基础设施中CA对用户公钥证书的管理,Shamir在1984年提出了基于身份密码体制的概念,其基本思想是将用户的身份与其公钥以最自然的方式绑定：用户的身份信息即为用户的公钥。在基于身份的公钥体制下,当一个用户使用另一个用户的公钥时,只需要知道该用户的身份信息,而无需再去获取和验证该用户的公钥证书,因此,不再需要证书颁发机构的支持。2000年,三位日本密码学家Sakai、Ohgishi和Kasahara提出了使用椭圆曲线上的双线性对来设计基于身份加密方案的思路。2001年,Boneh和Franklin, Sakai、Ohgishi和Kasahara以及Cocks分别独立地提出了三个基于身份的加密方案,其中前两个方案的构造中均使用了双线性对。由于Boneh和Franklin提出的方案的效率较好,并且给出了选择密文攻击下严格的安全性证明,因此引起了学术界极大的反响。从此,基于身份的密码学成为了当今密码学研究的一个热门话题,椭圆曲线上的双线性对也逐渐成为设计密码学方案尤其是基于身份密码方案的必备工具。随着对基于身份密码学研究的深入,除基于身份的签名方案和基于身份的加密方案外,分等级的基于身份加密方案、基于身份的签密方案、基于身份的广播加密方案、基于身份的密钥交换协议、基于属性的密码方案以及断言加密方案等相关概念相继出现,它们可视为基于身份密码体制的分支或变形。同时,利用基于身份的密码方案解决各类密码学相关问题,也成为研究者关注的重要领域。本文对基于身份的密码体制的发展现状及热点研究问题进行了深入探讨,在基于身份加密方案的匿名性及自适应安全性、基于身份签密方案的构造方法、基于身份签密方案的完全匿名性、广播加密方案的隐私保护性以及基于属性密钥交换协议等五个方面取得了以下成果：一、抗适应性选择身份攻击的匿名分等级基于身份加密方案基于身份加密方案的匿名性是指任何第三方无法通过密文获知有关接收者身份的任何信息,该性质不仅为接收者提供了隐私保护,同时还能用于构建可搜索关键词的公钥加密方案,是一个重要的安全属性。在匿名分等级基于身份加密方案中,分等级的身份能够在提供密钥可委托性的同时保持密文的匿名性,但如何设计方案使其在满足匿名性的前提下能够抵御适应性选择身份攻击,是一个较难解决的问题。本文对该问题进行了深入研究,巧妙的利用了合数阶双线性群的正交性解决了这一难题。方案的构造中使用了具有4个子群的合数阶双线性群,利用相同子群中的元素对公共参数和密文进行盲化,从而实现方案的匿名性；利用不同子群中的元素构造用户私钥,从而达到正确解密的目的。其安全性证明使用了Lewko和Waters提出的构造双系统加密的新技术。该方案具有较短的密文,并且能够在标准模型下达到抗适应性选择身份攻击安全,而此前的匿名分等级基于身份加密方案仅能达到较弱的抗选定身份攻击安全。二、分等级的基于身份签密方案研究在很多安全应用中,往往需要同时保障消息的机密性、消息来源的认证性和不可否认性。加密方案仅能提供对消息机密性的保障,而无法保障其来源的认证性和不可否认性,而签名方案则相反。解决该问题的传统方法是先对消息签名,然后对附有签名的消息进行加密。然而,该方法存在两方面的缺陷：(1)对消息的签名和加密将带来较高的计算开销；(2)这种简单的叠加并不能完全保证安全性(加密和签名的安全性是独立证明的,不能确保叠加后的安全性)。“签密”正是为了满足以上的安全需求而提出的新技术,它将数字签名和加密在一个逻辑步骤内完成,并在整合的安全模型下证明安全性,与传统的方法相比,它有着更高的计算和通信效率,安全性也更有保障。本文对分等级基于身份签密方案的构造方法进行了研究,给出了一个构造该类方案的通用方法,使用该方法,分等级基于身份签密方案可以通过任何分等级基于身份加密方案转化得到,这对研究该类问题具有一定的指导意义。随后,我们借助Lewko等人提出的定长密文的分等级基于身份加密方案,给出了一个分等级基于身份签密方案的实例,该实例具有定长密文,并且能够在标准模型下达到抗适应性选择身份和选择密文攻击安全。三、完全匿名的基于身份的签密方案匿名性是许多密码方案中的一个重要性质,用来保护参与者的隐私。在很多实际应用中,用户既希望向对方证明自己属于某一个特定的群体,同时又不希望暴露自己的真实身份,环签名方案可以很好的满足这一安全需求。如果用户还希望同时进行信息的安全传输,则可以借助类似签密方案的环签密方案,但在这一个过程中,接收者的匿名性并未被考虑,在某些特定场合中会对接收者的利益造成损失。本文对基于身份环签密方案的构造进行了研究,并对其匿名性概念进行了延伸,提出了“完全匿名性”的概念,新概念要求同时保证签密方案的发送者和接收者均具备匿名性。随后,在新的安全性要求下,构造了一个完全匿名的基于身份的签密方案,并在标准模型下给出了安全性证明。在方案的构造中,使用了合数阶双线性群来保证接收者的匿名性,使用了构造基于身份环签名的技术来保证发送者的匿名性；在方案的安全性证明中,使用了双系统加密技术保证其达到自适应安全性。本方案能够同时满足语义安全性、不可伪造性以及完全匿名性。四、具有隐私保护性的广播加密方案目前,对广播加密方案的研究中,效率和机密性是评估一个方案的优良的标准。然而,在实际应用中,一个广播加密方案仅满足较高的效率和较强的机密性是不够的。在很多实际应用中,用户的隐私性甚至比内容的机密性更为重要,然而传统的广播加密方案往往忽略了这一点。本文对传统广播加密方案中的隐私保护问题进行了探讨,给出了公钥密码体制下具有隐私保护性的广播加密的形式化定义,随后,构造了一个具体的具有隐私保护性的广播加密方案,并在标准模型下给出安全性证明。方案的构造中,我们使用了Okamoto和Takashima提出的对偶对运算向量空间(dual pairing vector spaces, DPVS)的概念,利用子空间判定的困难性保证方案的隐私保护性,利用基向量的正交性保证方案能够正确解密。方案的安全性证明中,使用了Waters提出的双系统加密技术,从而达到抗适应性选择子集攻击安全。五、基于属性的认证密钥交换协议密钥交换协议可以用于在通信双方(或多方)之间生成保障安全通信的会话密钥,与密钥分发机制相比,密钥交换协议保证了参与通信会话的各方均可以对最终使用的会话密钥产生影响,从而保证了各参与方在安全会话中地位的对等性。认证密钥交换协议,是指协议在达到以上目标的同时,完成对双方身份的认证。然而,在很多的实际应用中,参与方无需认证对方的具体身份(也不希望向对方暴露自己的身份),仅需要认证对方满足某些指定的属性即可。基于属性的认证密钥交换协议(Attrbute-Based Authenticated Key Exchange, AB-AKE)正是为了满足这一需求提出的。本文对基于属性的认证密钥交换协议进行研究,提出了一个构造AB-AKE协议的通用方法。使用该方法,AB-AKE协议可以通过任何密文策略基于属性的密钥封装方案(CP-AB-KEM)转化得到。随后,给出了一个新的基于属性的密钥交换协议,该协议能够提供对一般关系(使用内积表示的非单调访问结构)的支持,并且能够达到会话密钥安全(具有部分弱前向安全性且能抵抗KCI攻击)。