如今,无论是个人用户还是行业用户,许多金融业务都通过互联网进行办理。然而窃密者与恶意程序总是无处不在,机密文档、帐号、密码完全有可能在用户毫不知情的情况下被截取和破译。这对于用户而言意味着通过互联网办理业务将存在着巨大的风险。而保证交易安全的关键技术之一就是可信认证技术。目前主要的认证系统有两种：一种是基于PKI (Public Key Infrastructure)实现的认证技术,一种是基于IBE (Identity-based Encryption)实现的认证技术。PKI作为一个成熟的认证系统,已广泛应用于各个行业。其是一种以公钥密码学为理论技术基础、以第三方CA认证机构为中心的且具有一套完整的网络信息安全技术设施与服务。而基于身份的加密认证系统IBE (Identity-based Encryption)是一种将用户公开的字符串作为公钥的加密方式,它取消了PKI认证系统中的第三方CA认证机构,以更加简洁地实现交互数据的加密以及身份认证的优点而受到越来越多学者的关注,其发展前景广阔,尤其是在电子政务、电子军务等重要领域下能发挥非常重要的作用。然而IBE技术目前仍处于一个研究阶段,尽管已有许多关于IBE技术的改进方法,但仍没有一个可大范围使用的IBE系统,因此如何设计一个实用的IBE系统是目前的研究重点。本文根据目前IBE的发展现状,结合IBE系统原型以及具有层次结构的身份加密系统给出一种改进的IBE系统：基于信任服务的IBE系统,并在文中给出了相关介绍；随后在此基础上设计系统中具有统一身份的标识管理机制,因此在文中还给出了目前常用的身份鉴别技术以及相关的应用技术,之后给出具有统一身份的标识管理机制的设计及实现以及应用。统一身份管理可以为各种应用系统提供一个统一的安全认证服务,具有安全、可靠、高效等特点。具体优势体现在：(1)用户资料的统一存储以及统一管理；(2)用户身份的集中验证；(3)采用单点登录方式的身份认证,方便用户使用,降低用户使用难度,提高用户使用效率。因此,将统一身份管理应用于目前流行的认证系统中可以有效地提高IBE系统对用户的管理。在给出具有统一身份的标识管理机制实现之前,首先必须完成基于信任服务的IBE系统中的密钥管理模块的初始化配置,因此,在文中首先给出了系统的初始化过程,随后在此基础上实现标识管理机制。IBE下的标识管理主要完成以下几个功能实现：(1)用户身份注册机制：负责处理用户提交的注册请求。(2)用户登录验证机制：负责用户身份的验证过程,即通过验证来鉴别用户,确保他们是所声称的用户。(3)用户个人信息维护机制：主要负责用户身份数据的维护、服务注册数据的管理、服务所需的全线数据管理以及用户个人信息的更换、实时更新。(4)用户身份注销机制：负责处理用户公钥的撤销。在文中,我们将标识管理模块结构分为：统一身份认证管理模块、统一身份认证服务器以及身份信息储存服务器。其中：统一身份认证管理模块负责用户管理、用户组的管理；为用户提供界面服务,读取用户提交的数据并连接后台服务器认证；统一身份认证服务器用于验证用户身份以及每个用户在不同域中的权限,这是标识管理模块的核心。身份信息储存服务器用于存储用户身份信息以及用户权限等数据信息。随后,结合上述实现的标识管理模块给出了具体的IBE系统架构图,其分为如下三层结构：主体表示层、业务处理层以及数据处理层。其中主体表示层的主体包括：用户及服务,是为用户及服务提供认证服务界面；业务处理层是用于处理用户请求的服务传递过程,以及主体表示层与后台数据处理层间的衔接过程；数据处理层即身份服务器,采用LDAP实现,包含身份信息、角色权限以及服务信息。最后,给出了具有统一身份的标识管理机制实现中的两个关键实现部分的说明,即目录服务器的实现以及各个模块间的数据交换信息与数据流传输格式。随后概要地介绍了两个基于具有统一身份的标识管理机制的IBE系统的应用：跨域访问及HIBE上的应用。由于IBE系统的密钥托管、密钥撤销等问题的存在,使得其难以得到广泛应用,因此如何设计一个实用的IBE系统仍是当前研究的重点。本文给出的IBE系统的改进方案使得现有的IBE系统在认证方面更具有实用性,但其仍有许多需要优化改进的地方。