標(biāo)識(shí)密碼學(xué)研究綜述

石典佑

（國(guó)防科技大學(xué) 計(jì)算機(jī)學(xué)院，長(zhǎng)沙 410073）

隨著信息技術(shù)的蓬勃發(fā)展，人們對(duì)信息安全愈發(fā)關(guān)注，而密碼學(xué)則為信息的安全可靠提供了強(qiáng)有力的保障。根據(jù)通信雙方是否使用相同的密鑰，現(xiàn)代密碼學(xué)可以大致分為對(duì)稱密碼學(xué)和非對(duì)稱密碼學(xué)2 大類。在對(duì)稱密碼學(xué)中，通信雙方使用相同的密鑰對(duì)消息進(jìn)行加解密，運(yùn)行效率高，且安全性不依賴于任何假設(shè)，因此具有統(tǒng)計(jì)學(xué)上的安全性。但是由于通信雙方需要共享同一密鑰，故其不可避免地需要解決對(duì)稱密鑰的分發(fā)問題。非對(duì)稱密碼通過設(shè)計(jì)2 種完全不同的密鑰：私鑰和公鑰，避免了密鑰分發(fā)帶來的安全隱患。在加密方案中，加密方利用公鑰對(duì)消息進(jìn)行加密，而只有擁有對(duì)應(yīng)私鑰的解密方才能正確解密；而在簽名方案中，簽名方利用私鑰進(jìn)行簽名，其他所有實(shí)體都可以利用公鑰對(duì)簽名的正確性進(jìn)行驗(yàn)證。

然而在傳統(tǒng)的公鑰密碼體制中，公鑰的可靠性需要由可信的證書認(rèn)證中心（Certificate Authority，CA）頒發(fā)數(shù)字證書作為安全憑證進(jìn)行驗(yàn)證[1]。在大規(guī)模系統(tǒng)進(jìn)行部署時(shí)，需要對(duì)海量的證書進(jìn)行管理，頻繁的證書交換與認(rèn)證會(huì)降低系統(tǒng)的運(yùn)行效率[2]。為避免數(shù)字證書頒發(fā)和驗(yàn)證引起的效率問題，Shamir[3]于1984 年首次提出了標(biāo)識(shí)密碼學(xué)（Identity-Based Cryptography，IBC）理念，將用戶的郵箱、地址等身份標(biāo)識(shí)直接作為用戶公鑰，無須數(shù)字證書即可確保公鑰的可靠性，讓密碼方案更加輕便高效。

隨著我國(guó)自主設(shè)計(jì)的商用標(biāo)識(shí)密碼SM9 成為行業(yè)標(biāo)準(zhǔn)，標(biāo)識(shí)密碼得到了更為廣泛的應(yīng)用，許多研究者更是進(jìn)一步為標(biāo)識(shí)密碼引入更為豐富的功能與安全屬性[4-6]。本文主要圍繞標(biāo)識(shí)密碼學(xué)領(lǐng)域，結(jié)合當(dāng)下的研究熱點(diǎn)，對(duì)標(biāo)識(shí)密碼學(xué)的相關(guān)基礎(chǔ)和研究現(xiàn)狀進(jìn)行梳理，最后對(duì)發(fā)展前景進(jìn)行歸納總結(jié)。

1 預(yù)備知識(shí)

本章主要對(duì)標(biāo)識(shí)密碼學(xué)領(lǐng)域涉及的基本知識(shí)進(jìn)行簡(jiǎn)要回顧，主要包括橢圓曲線、雙線性對(duì)及其困難問題。

1.1 橢圓曲線

橢圓曲線（elliptic curve）在標(biāo)識(shí)密碼領(lǐng)域具有重要意義，橢圓曲線上的點(diǎn)群（the group of points of an elliptic curve）構(gòu)成了標(biāo)識(shí)密碼基本的計(jì)算空間，其基本形式如圖1 所示。

圖1 橢圓曲線

式中：-R 為R 的逆元，2 者關(guān)于x 軸對(duì)稱；R 為P，Q 連線與的交點(diǎn)。

1.2 雙線性對(duì)

雙線性對(duì)（paring）是實(shí)現(xiàn)標(biāo)識(shí)密碼的重要工具，基于雙線性對(duì)的困難問題是標(biāo)識(shí)密碼學(xué)安全性的基石。記G1，G2是q 階加法群，Gr為q 階乘法群，雙線性對(duì)為滿足如下條件的映射。

（1）雙線性性（bilinearity）：對(duì)于所有P∈G1，Q∈G2和成立。

1.3 雙線性對(duì)上的困難問題

標(biāo)識(shí)密碼的安全性依賴于底層的困難問題假設(shè)，這些問題的困難性體現(xiàn)在不存在多項(xiàng)式時(shí)間算法能夠?qū)ζ溥M(jìn)行求解。以下為常見的雙線性對(duì)上的困難問題，其中，分別為q 階循環(huán)群的生成元。

2 標(biāo)識(shí)密碼的算法定義

標(biāo)識(shí)加密（Identity-Based Encryption，IBE）和標(biāo)識(shí)簽名（Identity-Based Signature，IBS）方案是標(biāo)識(shí)密碼學(xué)的2 個(gè)基本研究領(lǐng)域，其他諸如標(biāo)識(shí)簽密算法[5]、層次式標(biāo)識(shí)密碼[12]等密碼原語則為其引入新的功能需求與安全定義。

2.1 標(biāo)識(shí)加密方案

在傳統(tǒng)公鑰加密環(huán)境下，發(fā)送方需要從公開渠道獲取接收方的公鑰及數(shù)字證書對(duì)其進(jìn)行驗(yàn)證。經(jīng)過多次數(shù)據(jù)傳輸和計(jì)算驗(yàn)證后，發(fā)送方才能正式用該公鑰向接收方發(fā)送第一條加密消息。在標(biāo)識(shí)加密算法中，這一繁雜的過程將不復(fù)存在，發(fā)送方可以直接將接收方的標(biāo)識(shí)（例如地址、郵箱等）作為公鑰信息對(duì)數(shù)據(jù)進(jìn)行加密發(fā)送給接收方。在標(biāo)識(shí)加密算法中，存在一個(gè)可信任的密鑰生成機(jī)構(gòu)（Private Key Generator,PKG），接收方的私鑰由PKG 進(jìn)行計(jì)算。

標(biāo)識(shí)加密方案IBE 包含以下4 個(gè)概率多項(xiàng)式時(shí)間算法：系統(tǒng)構(gòu)建算法S，密鑰生成算法G，加密算法E和解密算法D。

系統(tǒng)構(gòu)建算法S（λ）由PKG 運(yùn)行，輸入安全參數(shù)λ，輸出系統(tǒng)主公私鑰對(duì)（mak，msk）。

密鑰生成算法G（msk，id）由PKG 運(yùn)行，輸入主公鑰mpk 和用戶身份標(biāo)識(shí)id，輸出用戶私鑰skid。

加密算法E（mpk，id，m）由加密方運(yùn)行，輸入主公鑰mpk、接收方身份標(biāo)識(shí)id 和明文m，輸出密文c。

解密算法D（skid，c）由解密方運(yùn)行，輸入用戶私鑰skid和密文c，輸出明文m（若密文不正確，則返回一個(gè)特殊值⊥）。

對(duì)于標(biāo)識(shí)加密算法而言，其正確性表現(xiàn)為對(duì)于同一個(gè)主公私鑰對(duì)，正確加密的密文總能被對(duì)應(yīng)的接收方正確解密，即

式中：ID 為有限標(biāo)識(shí)空間；M 為有限消息空間；C 為有限密文空間。

2.2 標(biāo)識(shí)簽名方案

標(biāo)識(shí)加密算法保護(hù)數(shù)據(jù)的機(jī)密性，標(biāo)識(shí)簽名算法關(guān)注的是數(shù)據(jù)的完整性。標(biāo)識(shí)簽名算法利用私鑰對(duì)消息進(jìn)行簽名，數(shù)據(jù)的接收方可以利用發(fā)送方的標(biāo)識(shí)對(duì)簽名和消息的一致性進(jìn)行驗(yàn)證，一旦消息遭到篡改，接收方可以通過簽名及時(shí)發(fā)現(xiàn)。同時(shí)，由于只有擁有私鑰的一方才可以生成可以利用標(biāo)識(shí)進(jìn)行驗(yàn)證的合法簽名，因此也實(shí)現(xiàn)了消息發(fā)送方的不可抵賴性。

標(biāo)識(shí)簽名方案IBS 由以下4 個(gè)概率多項(xiàng)式時(shí)間算法構(gòu)成：系統(tǒng)構(gòu)建算法S，密鑰生成算法G，簽名算法I和驗(yàn)簽算法V。

系統(tǒng)構(gòu)建算法S（λ）為PKG 運(yùn)行的概率性算法，輸入安全參數(shù)λ，輸出系統(tǒng)主公私鑰對(duì)（mak，msk）。

密鑰生成算法G（msk，id）為PKG 運(yùn)行的概率性算法，輸入主公鑰mpk 和用戶身份標(biāo)識(shí)id，輸出用戶私鑰skid。

簽名算法I（skid，m）為簽名方運(yùn)行的概率性算法，輸入私鑰skid和消息m，輸出簽名σ。

驗(yàn)簽算法V（mpk，id，m，σ）為驗(yàn)簽方運(yùn)行的確定性算法，輸入主公鑰mpk、簽名方的標(biāo)識(shí)id 和簽名σ，輸出accept 或reject。

標(biāo)識(shí)簽名算法的正確性表現(xiàn)為在相同的主公私鑰對(duì)（mak，msk）下，簽名方運(yùn)行算法I 得到的簽名σ 總能被以其標(biāo)識(shí)id 為輸入的算法V 所接受，即

式中：ID 為有限標(biāo)識(shí)空間；M 為限消息空間；Σ 為有限簽名空間。

3 標(biāo)識(shí)密碼學(xué)的研究現(xiàn)狀

自Shamir[3]于1984 年首次提出標(biāo)識(shí)密碼學(xué)以來，標(biāo)識(shí)密碼學(xué)領(lǐng)域的相關(guān)研究工作已經(jīng)愈發(fā)完善。標(biāo)識(shí)密碼學(xué)的研究范圍在不斷擴(kuò)展，標(biāo)識(shí)簽密、層次式標(biāo)識(shí)密碼等不同概念的相繼提出，滿足了不同的應(yīng)用場(chǎng)景與安全需求。就在2020 年，我國(guó)自主設(shè)計(jì)的SM9 標(biāo)識(shí)系列密碼成為了我國(guó)國(guó)家標(biāo)準(zhǔn)，圍繞SM9 的應(yīng)用拓展和安全分析進(jìn)一步成為了當(dāng)前學(xué)術(shù)界的研究熱點(diǎn)。本章分別從標(biāo)識(shí)密碼的相關(guān)研究和國(guó)密SM9 的相關(guān)研究2 個(gè)方面來闡述標(biāo)識(shí)密碼學(xué)的研究現(xiàn)狀。

3.1 標(biāo)識(shí)密碼的相關(guān)研究

1984 年，Shamir[3]首次提出了標(biāo)識(shí)密碼的概念，用戶可以直接利用郵箱、地址等字符串作為用戶標(biāo)識(shí)，用于加密和簽名的操作，消除了傳統(tǒng)公鑰密碼體系對(duì)數(shù)字證書的依賴，標(biāo)識(shí)密碼自此受到學(xué)術(shù)界的廣泛關(guān)注。但是，直到2000 年，盡管許多學(xué)者針對(duì)標(biāo)識(shí)密碼的理念提出了不同的方案構(gòu)造，卻均缺乏實(shí)用性。直到2001年，Dan 等[7]利用雙線性對(duì)，成功構(gòu)造出了第一個(gè)具有實(shí)用價(jià)值的標(biāo)識(shí)加密方案。于是，雙線性對(duì)被廣泛應(yīng)用于標(biāo)識(shí)密碼的構(gòu)造中，許多高效的方案被相繼提出。

標(biāo)識(shí)密碼算法需要一個(gè)密鑰生成機(jī)構(gòu)（Private Key Generator，PKG）負(fù)責(zé)所有節(jié)點(diǎn)的私鑰生成，在大規(guī)模的系統(tǒng)部署中，PKG 需要承擔(dān)高額的計(jì)算和通信開銷。為緩解單一PKG 的壓力，Jeremy 等[13]提出了層次式標(biāo)識(shí)加密（Hierarchical Identity-Based Encryption，HIBE）的概念，將系統(tǒng)節(jié)點(diǎn)部署為樹形結(jié)構(gòu)，各級(jí)PKG均有為其子節(jié)點(diǎn)生成密鑰的能力，從而緩解了單一PKG 進(jìn)行密鑰分發(fā)的負(fù)擔(dān)。同年，Craig 等[14]設(shè)計(jì)了首個(gè)層次式標(biāo)識(shí)簽名算法（Hierarchical Identity-Based Encryption，HIBS），但是沒有給出具體的安全分析。在2005 年，Sherman 等[15]在隨機(jī)預(yù)言機(jī)模型下提出了第一個(gè)可證明安全的HIBS 方案。Li 等[16]在2006 年提出了標(biāo)準(zhǔn)模型可證明安全的HIBE 方案，同時(shí)文章也給出了一個(gè)HIBS 的新構(gòu)造，具有比Sherman 等[15]的方案更高的運(yùn)行效率。在上述的HIBE 和HIBS 方案中，節(jié)點(diǎn)的密鑰長(zhǎng)度和簽名長(zhǎng)度隨著節(jié)點(diǎn)的深度而不斷增長(zhǎng)，在大規(guī)模的系統(tǒng)部署時(shí)，位于底層的節(jié)點(diǎn)運(yùn)行時(shí)需要使用更多的計(jì)算資源與傳輸帶寬。

為解決層次式標(biāo)識(shí)密碼計(jì)算通信開銷隨節(jié)點(diǎn)深度增長(zhǎng)而增加的問題，DAN 等[17]提出了密文定長(zhǎng)的HIBE算法。同年，Yu 等[18]在密鑰生成階段，增加了各層參數(shù)的運(yùn)算過程，從而避免了公鑰參數(shù)隨節(jié)點(diǎn)層級(jí)增加的問題。2013 年，Wu 等[19]進(jìn)一步對(duì)算法進(jìn)行了改進(jìn)，提出了具有更短密鑰的HIBS 方案。

在安全性方面，標(biāo)識(shí)密碼的前向安全屬性也是學(xué)者廣泛研究的一個(gè)熱點(diǎn)問題。傳統(tǒng)的加密和簽名方案中，一旦私鑰遭到泄露，那么敵手可以解密過去任意時(shí)間點(diǎn)的密文，偽造過去任意時(shí)間點(diǎn)的簽名。滿足前向安全性的方案可以保證即使某一時(shí)刻的密鑰遭到泄露，過去時(shí)間產(chǎn)生的密文和簽名依然能夠保證安全。2008年，Liu 等[20]基于雙線性對(duì)，提出了首個(gè)前向安全的標(biāo)識(shí)簽名算法（Forward-Secure IBS，F(xiàn)SIBS）。不過遺憾的是，文章僅對(duì)方案的安全性進(jìn)行簡(jiǎn)要的分析，未給出形式化的安全證明。Yu 等[21]在給出了FSIBS 正式的算法定義和安全模型后，給出了第一個(gè)具有可證明安全的FSIBS 方案。Hyunok 等[22]和Hankyung 等[23]分別提出了主密鑰泄露情況下的FSIBS 方案。Wei 等[24]進(jìn)一步考慮到標(biāo)識(shí)密碼算法中可撤銷的安全屬性，利用二叉樹對(duì)所有節(jié)點(diǎn)進(jìn)行管理，實(shí)現(xiàn)了可撤銷的FSIBS 方案。

3.2 國(guó)密SM9 的相關(guān)研究

SM9 是我國(guó)自主研發(fā)的標(biāo)識(shí)密碼算法，具體包括數(shù)字簽名算法、密鑰交換算法、密鑰封裝機(jī)制和公鑰加密算法，具有可證明的安全性[25]。如今不但成為了我國(guó)國(guó)家標(biāo)準(zhǔn)，而且也納入了國(guó)際標(biāo)準(zhǔn)之中[1]，在物聯(lián)網(wǎng)安全[26]、智能變電站安全防護(hù)[27]、區(qū)塊鏈隱私保護(hù)[28]和移動(dòng)互聯(lián)網(wǎng)身份認(rèn)證[29]等領(lǐng)域均取得了廣泛的應(yīng)用。

甘植旺等[30]考慮到SM9 密碼體制運(yùn)行效率問題，通過對(duì)SM9 中重要的R-ate 雙線性對(duì)進(jìn)行分析，提出了一種快速計(jì)算的算法，顯著提升了算法的運(yùn)行效率。王明東等[31]進(jìn)一步針對(duì)R-ate 雙線性對(duì)中模冪運(yùn)算進(jìn)行優(yōu)化，與傳統(tǒng)實(shí)現(xiàn)方式相比，性能提高近3 倍。王松等[32]通過參數(shù)預(yù)計(jì)算的方式，提高了SM9 簽名和驗(yàn)簽的速度，同時(shí)對(duì)指數(shù)和乘法運(yùn)算進(jìn)行優(yōu)化，提高了SM9簽名驗(yàn)簽算法的運(yùn)算性能。楊國(guó)強(qiáng)等[33]將基于固定基的快速模冪算法應(yīng)用于SM9 的FPGA 實(shí)現(xiàn)中，將SM9簽名算法提升2.3 倍。

基于SM9 標(biāo)識(shí)系列密碼，學(xué)者們提出了各種擴(kuò)展方案。張超等[4]利用SM9 標(biāo)識(shí)加密算法，設(shè)計(jì)了具有可證明安全的可搜索加密方案，將安全性歸約到DBDH問題的困難性假設(shè)上。賴建昌等[5]對(duì)SM9 標(biāo)識(shí)加密算法進(jìn)行改進(jìn)，提出了加密與簽名相結(jié)合的標(biāo)識(shí)簽名算法，并通過嚴(yán)格的安全證明，將方案的安全性歸約到了底層q-SDH 和q-BDHI 問題的困難性假設(shè)上。盲簽名是數(shù)字簽名領(lǐng)域的一種重要技術(shù)，其允許簽名者在對(duì)消息未知的情況下進(jìn)行簽名，張雪鋒等[34]基于SM9 標(biāo)識(shí)簽名算法提出了具有比傳統(tǒng)RSA 機(jī)制下更高效率的盲簽名方案。另外，張雪鋒等[35]進(jìn)一步設(shè)計(jì)了基于SM9 的環(huán)簽名方案。但是他們的方案僅給出了簡(jiǎn)單的安全說明，并未給出嚴(yán)格的安全分析。彭聰?shù)萚36]在隨機(jī)預(yù)言機(jī)模型下，給出了可證明安全的基于SM9 的環(huán)簽名方案，與相關(guān)工作相比，方案在簽名和驗(yàn)簽效率上均有提升。安濤等[37]基于SM9 標(biāo)識(shí)密碼算法提出了聚合簽名方案，大大提升了認(rèn)證效率。

4 標(biāo)識(shí)密碼學(xué)的發(fā)展前景

綜合考慮學(xué)術(shù)界標(biāo)識(shí)密碼學(xué)的現(xiàn)有研究成果，未來對(duì)標(biāo)識(shí)密碼學(xué)的研究可以主要集中于以下3 個(gè)方面。

4.1 效率

現(xiàn)有的標(biāo)識(shí)密碼算法廣泛使用橢圓曲線上的雙線性對(duì)進(jìn)行構(gòu)造，因此如何加速雙線性對(duì)的運(yùn)算速度是提升算法整體運(yùn)行效率的關(guān)鍵。此外，根據(jù)所選擇的橢圓曲線不同，對(duì)算法的實(shí)現(xiàn)也有不同程度的影響。因此，未來可以考慮從底層算法優(yōu)化的角度出發(fā)，考慮尋找、選取更合適的配對(duì)友好橢圓曲線，優(yōu)化橢圓曲線點(diǎn)群中加法的運(yùn)算效率，結(jié)合雙線性對(duì)的結(jié)構(gòu)特點(diǎn)，降低其計(jì)算開銷。此外，可以進(jìn)一步結(jié)合硬件實(shí)現(xiàn)，設(shè)計(jì)雙線性對(duì)的硬件電路，從底層實(shí)現(xiàn)雙線性對(duì)運(yùn)算的加速優(yōu)化。在另一方面，可以進(jìn)一步尋找合適的數(shù)據(jù)結(jié)構(gòu)，在標(biāo)識(shí)密碼算法的設(shè)計(jì)中，降低橢圓曲線點(diǎn)群和雙線性對(duì)的運(yùn)算次數(shù)，減少生成與傳輸?shù)膮?shù)規(guī)模，從而提高標(biāo)識(shí)密碼算法的計(jì)算和通信效率。此外，可以進(jìn)一步結(jié)合云計(jì)算，將橢圓曲線點(diǎn)群和雙線對(duì)的運(yùn)算，以及其他諸如大整數(shù)模冪等需要占用大量計(jì)算和存儲(chǔ)資源的操作外包給云服務(wù)器，從而降低單個(gè)節(jié)點(diǎn)的運(yùn)算負(fù)擔(dān)。

4.2 安全性

層次式標(biāo)識(shí)密碼算法的提出，將傳統(tǒng)標(biāo)識(shí)密碼中單個(gè)PKG 的負(fù)載逐級(jí)下放，減輕單個(gè)PKG 的密鑰分發(fā)負(fù)擔(dān)。但是各級(jí)PKG 為下層節(jié)點(diǎn)分發(fā)的私鑰使用的是其自主產(chǎn)生的隨機(jī)數(shù)，此隨機(jī)數(shù)的來源無法認(rèn)證，子節(jié)點(diǎn)無法對(duì)得到的私鑰進(jìn)行驗(yàn)證，可能存在中間人攻擊的風(fēng)險(xiǎn)。因此，可以為私鑰的產(chǎn)生提供進(jìn)一步的驗(yàn)證機(jī)制，將私鑰和PKG 的標(biāo)識(shí)進(jìn)行綁定，使子節(jié)點(diǎn)可以通過公開參數(shù)對(duì)私鑰來源進(jìn)行驗(yàn)證。在標(biāo)識(shí)密碼學(xué)的前向安全性上，目前學(xué)術(shù)界廣泛采用的實(shí)現(xiàn)方式是基于二叉樹或基于強(qiáng)RSA 難題假設(shè)[38-39]。基于二叉樹的方案節(jié)點(diǎn)需要保存大量的私鑰用于實(shí)現(xiàn)節(jié)點(diǎn)的密鑰自更新，而基于強(qiáng)RSA 難題假設(shè)的方案涉及大量的模冪運(yùn)算。因此，可以考慮尋找新的工具對(duì)標(biāo)識(shí)密碼學(xué)的前向安全性進(jìn)行實(shí)現(xiàn)，提升其運(yùn)行效率。此外，當(dāng)量子計(jì)算機(jī)來臨時(shí)，公鑰密碼學(xué)的基本難題假設(shè)大整數(shù)分解和離散對(duì)數(shù)問題將不再困難，對(duì)標(biāo)識(shí)密碼學(xué)的經(jīng)典算法會(huì)造成嚴(yán)重威脅。因此，設(shè)計(jì)后量子安全的標(biāo)識(shí)密碼算法也是當(dāng)前的一個(gè)研究熱點(diǎn)。

4.3 應(yīng)用

標(biāo)識(shí)密碼學(xué)在電子郵箱等網(wǎng)絡(luò)通信領(lǐng)域可以降低通信輪次，提升通信效率；在物聯(lián)網(wǎng)系統(tǒng)中，可以避免數(shù)字證書的引入，減小物聯(lián)網(wǎng)節(jié)點(diǎn)的資源占用。未來在隱私保護(hù)領(lǐng)域，可以考慮進(jìn)一步實(shí)現(xiàn)標(biāo)識(shí)的匿名化，即考慮加密方和簽名方在通信過程中保持標(biāo)識(shí)的隱蔽性，防止敵手通過密文或簽名對(duì)消息的來源進(jìn)行溯源。在同態(tài)加密領(lǐng)域，可以考慮具有同態(tài)操作的標(biāo)識(shí)加密算法或標(biāo)識(shí)簽名算法，使得加密方或簽名方直接在密文或簽名上進(jìn)行數(shù)據(jù)的添加，減少頻繁加密和簽名帶來的開銷。對(duì)于其他密碼原語，諸如盲簽名、環(huán)簽名和閾值簽名，可以進(jìn)一步考慮使用國(guó)密SM9 標(biāo)識(shí)密碼算法進(jìn)行實(shí)現(xiàn)，進(jìn)一步豐富國(guó)產(chǎn)密鑰的應(yīng)用場(chǎng)景，設(shè)計(jì)更多自主可控的密碼方案。

5 結(jié)束語

本文圍繞標(biāo)識(shí)密碼的相關(guān)背景、算法定義和研究現(xiàn)狀對(duì)標(biāo)識(shí)密碼的研究進(jìn)展進(jìn)行了較為詳細(xì)的總結(jié)與回顧。標(biāo)識(shí)密碼學(xué)經(jīng)過將近40 年的不斷豐富完善，成為了備受關(guān)注的研究熱點(diǎn)。標(biāo)識(shí)密碼不但可以消除對(duì)傳統(tǒng)數(shù)字證書的依賴，而且還可以進(jìn)一步構(gòu)造更具實(shí)用性和安全性的算法協(xié)議。未來在針對(duì)新的應(yīng)用場(chǎng)景和后量子領(lǐng)域，可以通過引入新的功能需求和安全屬性，從而進(jìn)一步完善標(biāo)識(shí)密碼的相關(guān)研究。國(guó)密SM9 作為我國(guó)自主研發(fā)的標(biāo)識(shí)密碼算法，具有安全、靈活和易拓展等特點(diǎn)，對(duì)SM9 標(biāo)識(shí)密碼算法展開研究，既可以提出安全高效的算法協(xié)議，還可以加強(qiáng)國(guó)家安全領(lǐng)域的自主可控，無論是在理論方面還是實(shí)踐方面均有重大意義。