形式化模型

在基于身份的加密体制中，发送者可以在接收者还没有私钥的情况下加密一个消息给接收者，接收者可以在收到密文之后，才向 PKG 申请私钥进行解密。这种特征特别适合电子邮件应用。

攻击者希望从密文 c 中恢复出明文信息 m 或者是获得接收者的私钥 $S_U$ 。

IND-IBE-CPA 与 IND-IBE-CCA2 的比较：

相同点：攻击者在阶段2 都可以像阶段1 那样执行多项式有界的适应性询问。

不同点：在询问阶段 IND-IBE-CPA 只进行密钥提取询问，IND-IBE-CCA2 进行密钥提取询问和解密询问。

BF体制

即，由 Boneh 和 Franklin 提出的基于身份的加密体制。

这个体制不能抵抗适应性选择密文攻击。P51

第一步：证明针对 BasicIdent 体制的选择明文和身份攻击可以转换成 BasicPub 体制的选择明文攻击。

第二步：证明在 BDH 假设下，BasicPub 体制是 IND-CPA 安全的。

这个体制适应性选择密文安全。P57

不依赖随机预言模型的基于身份的加密体制。P58

弱点：

不能取得适应性选择密文安全性。（虽然可以利用 Fujisaki-Okamoto 转换将一个选择明文安全的 BasicIdent 体制转换成适应性选择密文安全的 FullIdent 体制，但不能将 Waters 体制转换成适应性选择密文安全的基于身份的加密体制。Fujisaki-Okamoto 转换在随机预言模型下成立，但在标准模型下不成立。）
公共参数较大。
在安全证明中，规约较松。