基于身份的无对强密钥隔离签名方案

沙特国王大学学报高效安全的基于身份的无对强密钥隔离签名方案P. Vasudeva Reddya，A.Ramesh Babub，N.B.加亚特里a部。印度安德拉大学工程数学系b部Anil Neerukonda Institute of Technology and Sciences，Visakhapatnam，A.P，India阿提奇莱因福奥文章历史记录：接收日期：2018年2018年7月30日修订2018年8月24日接受2018年9月4日在线发布保留字：基于身份的签名方案密钥隔离机制ROM安全模型ECDLPA B S T R A C T公钥密码系统（PKC）完全依赖于用户私钥是绝对安全的假设.私钥的泄露可能导致通信网络中的灾难性情况。为了减少公钥密码体制中私钥泄露的危害，引入了密钥隔离机制。在密钥隔离密码系统中，用户可以不时地在物理安全设备的帮助下更新他的私钥基于身份的密码体制解决了传统公钥密码体制中证书管理繁琐的问题。近年来，文献中提出了许多基于身份的密钥绝缘签名方案，但大多数基于身份的方案都是基于椭圆曲线上的双线性对运算由于配对的计算成本很高，基于配对的方案在实践中效率较低。为了提高基于身份的签名方案的计算和通信效率，以及抵抗私钥暴露问题，提出了一种基于身份的无配对密钥隔离签名方案。证明了该方案在椭圆曲线离散对数问题（ECDLP）的困难下是不可伪造的，并具有强的密钥隔离性和安全的密钥更新。性能分析表明，我们的计划是更有效的比现有的计划。©2018作者制作和主办：Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍数字签名是在数字通信中提供数据完整性、认证性和不可否认性的密码学原语。在由Diffe和Hellman（1976）提出的传统公钥密码学（PKC）中，每个用户都有一个公钥和一个私钥。需要证书颁发机构（CA）来验证用户的公钥在多用户环境中，公钥的认证、为了避免公钥密码体制中的这些困难，Shamir（1984）提出了基于身份的公钥密码体制（ID-PKC）的思想。*通讯作者。电 子 邮 件 地 址 ： vasucrypto@andhrauniversity.edu.in （ P. Vasudeva Reddy ） ，rameshamarapu. anits.edu.in（A.R.Babu）。沙特国王大学负责同行审查身份信息和私钥由称为私钥生成器（PKG）的第三方生成任何加密方案的安全性都依赖于系统或用户的私钥私有密钥的丢失/被盗/暴露导致密码方案的失败这可能是非常灾难性的，任何对手都可以轻松地从用户的设备中窃取私钥，为了最大限度地减少密钥暴露的损害，Dodis等人（2002 a，b）提出了一种称为密钥绝缘机制的方法。在这种机制中，用户可以在称为Helper的物理安全设备的帮助下定期更新其私钥在密钥隔离签名（KIS）方案中，临时签名密钥的生存期被划分为离散时间序列。用户在助手的帮助下更新临时签名密钥。用户使用先前的签名密钥和他的助手密钥生成当前时间周期的签名密钥因此，用户定期更新其私钥，并且与签名相关联的公钥在整个生命周期内保持不变这种更新秘密密钥的机制将不允许对手在不同的时间段内从设备导出秘密密钥，即使秘密密钥在给定的时间段被暴露因此，如果主密钥存储在辅助设备中，则KIS方案是安全的但据https://doi.org/10.1016/j.jksuci.2018.08.0111319-1578/©2018作者。制作和主办：Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com1212P. Vasudeva Reddy等人/沙特国王大学学报323¼●2重要的是要考虑基于身份的KIS中的帮助密钥暴露，即，对手可以代表其助手不可信的用户伪造签名。Dodis等人（2002a，b）提出了一种强密钥隔离方法，以防止签名密钥或主密钥的泄漏。因此，强KIS比KIS方案更安全1.1. 相关工作在Dodis等人的KIS方案（2002 a）的开创性工作之后，在文献中提出了KIS方案的许多变体（Yum和Lee（2003）; Gonzalez-Deleito等人的KIS方案（2004））。（2004）; Le等人，（2004）; Lee等人（2006）; Zhou等人（2006）; Weng等人（2006）;Chen等人（2007）; Weng等人（2007）; Ohtake等人（2008）;Weng等人（2008年a，b）; Wan等人（2009年）; Wang和Zhang（2011年）;Chen 等人（ 2012 年） ; Wu 等人（ 2012 年） ; Wan 等人（ 2013年 ） ;Gopal 和 Vasudeva Reddy （ 2015 ） ; Zhu 等 人 （ 2015 ） ;VasudevaReddy 和 Gopal （ 2017 ） ;Amarapu 和 Reddy（2018））。继Dodis（2002a）的开创性工作之后，Zhou等人（2006）提出了基于身份密码系统中的第一个KIS方案。同年，Weng等人（2006）证明了Zhou等人（2006）的方案不是强KIS，并形式化了基于身份的KIS方案的安全概念此外，他们提出了一个基于ID的强KIS方案在标准模型。Ohtake等人（2008）在ROM模型中提出了一种基于离散对数假设的Wu et al.（2012）在支持批量验证的B-Hellman假设下构建了一种新的基于身份的后来，Gopal和Vasudeva Reddy（2015）提出了一种基于身份的KIS方案，使用椭圆曲线上的双线性对 Zhu等人（2015）在随机预言模型中提出了一种无配对的KIS方案。虽然它是第一个基于身份的KIS方案在配对自由的环境中，总的计算成本是不有效的，相对于以前的KIS方案。为了提高签名生成和验证过程的计算效率，椭圆曲线密码体制中基于身份的无配对KIS方案的设计更为理想。1.2. 动机我们的方案实现了强密钥隔离性，并确保密钥更新。这个属性保证了即使助手是恶意的，对手也无法该方案在ECDLP的硬度下是不可伪造的。由于双线性对的限制，我们的方案实现了高效率，更舒适的敌对和资源受限的应用程序。我们提出了我们的计划与现有的基于身份的KIS计划的比较分析，它表明，建议PF-IDBKIS计划是有效的计算和通信的角度来看。1.4. 组织本文的组织结构如下。在第2节中，我们提出了一些问题。我们的PF-IDBKIS方案的框架和安全模型在第3节中给出。在第4节中提出了PF-IDBKIS方案及其安全性分析。效率分析和我们的PF-IDBKIS计划的一些潜在的应用在第5节。论文的结论见第6。2. 预赛本节介绍一些与椭圆曲线相关的问题和一些计算问题。2.1. 椭圆曲线群椭圆曲线密码体制由于其计算、通信和安全等方面的优势，在现代密码学中扮演着非常重要的角色。这里我们定义椭圆曲线群。设Eq∈a;b∈a是素域上的椭圆曲线点集由非奇异椭圆曲线方程定义：y2mod q1/4带a;b2Fq和4a27bmod q- 0的xaxbmodq集合Gq <$f <$x;y<$：x;y2Fqg和<$x;y<$2Eq<$a;b< $ [fO g]是加法循环群，其中点O称为"无穷远点“. 的Fq上椭圆曲线的阶为O满足关系式在任何公钥密码体制中，为了提供高安全性，1-2个p≤O<$E<$Fq<$$> ≤q<$1：Gq中的标量乘法是尺寸必须足够大。密码体制中密钥越大，计算效率越低，需要的带宽越大。因此，需要具有较小密钥大小的密码方案为了满足这一要求，Neal Koblitz和Victor Miller分别提出了基于椭圆曲线的椭圆曲线密码体制（ECC）。ECC与PKC相比有许多优点，特别是ECC具有密钥小、安全性高的优点.例如，具有512位密钥的ECC提供与具有256位密钥的AES（对称算法）和具有15，360位密钥的RSA相同的安全级别虽然ECC提供了短密钥的安全性，但椭圆曲线群上的双线性对的计算成本是昂贵的操作，并且比椭圆曲线标量乘法操作昂贵得多。由于双线性对和点散列函数等运算量大，大多数密码体制在实现时效率较低。鉴于此，基于椭圆曲线密码体制的方案在一般的哈希函数下不需要配对操作将更具吸引力。1.3.我们的贡献提出了一种椭圆曲线上的无配对的基于身份的密钥隔离签名（PF-IDBKIS）方案。该方案解决了配对自由IBS方案中的密钥暴露问题。与其他机制相比，临时密钥的泄漏不会影响剩余时间段的安全性。定义为kP <$P P：Pk乘以：这里P 2 G q是n阶生成元。椭圆曲线离散对数问题：给定一个元组P;Q2G;，在概率多项式时间内求出a2Zωq的值使得QaP具有不可忽略的概率是计算上不可行的.我们在本文中使用的符号及其含义见下表1。3. PF-IDBKIS方案3.1. 框架PF-IDBKIS方案由以下六个多项式时间算法组成。设置：PKG将安全参数kZ;时间段的总数N作为输入，并运行算法以生成公共系统参数params，ID和主秘密密钥（Msk）s和辅助秘密密钥（Hsk）vPKG公开params，t并秘密地保持s，v这里v存储在helper设备中。● 提取：PKG使用输入参数、Msk、Hsk运行此算法并生成初始私钥d_ID;0：● 助手密钥更新：该算法由助手运行，输入身份ID、Hsk、时间段索引t;t-1;并生成更新的助手密钥UHKID;t;t-1：P. Vasudeva Reddy等人/沙特国王大学学报1213●ðÞ表1符号及其含义。符号含义k;s;vPKG生成的系统安全参数、主密钥和辅助密钥参数系统参数。主密钥：s2ZωqHsk助手密钥：v2Zωq系统的主公钥（Mpk素数阶可加循环群H1;H2;H3加密单向哈希函数dID;0;dID;t分别为初始私钥/签名密钥和临时签名香港大学ID;t;t-1更新助手密钥t;t-1时间段索引PKG私钥生成器PF-IDBKIS方案的Adv1完全密钥隔离敌手PF-IDBKIS方案的Adv2n挑战者消息上的XECDLP椭圆曲线离散对数问题● 用户密钥更新：用户通过获取时间段t-1的初始私有密钥dID;t-1、时间段索引t;t-1的更新的辅助密钥UHKID;t-1来运行该算法;并且生成时间段t的用户私有密钥dID;t。● 签名生成：签名者通过在时间段t内获取用户私钥dID;t和消息m2 f0;1gω作为输入来运行此算法，并在时间段t内对消息m2 f0; 1gω生成签名XID：签名验证：对于给定的元组m;t;XID，ID，params，验证器运行此算法。如果XID是有效的，则该算法接受签名。否则，请原谅图1描述了上述基于密钥隔离机制的签名方案的形式化模型。1.一、3.2. PF-IDBKIS方案与Dodis等人（2002 a，b）和Weng等人（2008 a，b）类似，我们通过以下游戏1和游戏2形式化了PF-IDBKIS方案的安全概念。游戏1描述了标准的密钥隔离安全性，在挑战者和对手之间进行A dv 1：游戏2描述了强密钥绝缘安全性，并在挑战者和对手A dv 2之间进行。 在游戏1中，对手Adv 1在某个时间段内泄露任何用户的临时签名密钥，但不泄露用户的辅助密钥。 在博弈2中，我们考虑帮助者是恶意的情况;即对手Adv 2可以访问任何用户在这里，我们定义了我们的PF-IDBKIS方案的密钥隔离安全的游戏1和游戏2。游戏1：（对于AdversaryAdv 1）设置：在此阶段，设置算法由chal-changern运行以产生参数Msk、Hsk，并将参数提供给Adv 1. 该Msk将由挑战者自己秘密保存。- 搜索阶段：在这个阶段，n将回答A d v 1提出的自适应查询，如下所示。初始密钥提取Oraclee：当Adv 1在ID，n执行初始密钥提取算法并生成初始私钥，然后返回Adv 1：临时签名密钥提取Oraclee：WhenAdv 1asks这个对ID以及时间段t，n的查询执行临时签名密钥提取算法，生成时间段t的更新私钥，并返回Adv 1：符号Oracle：当Adv 1在ID;m;t;n上询问此查询通过执行签名算法，返回消息m上的有效签名XID（按ID）-伪造阶段：最后，Adv1输出IDω;mω;XωIDω，使得以下限制保持不变。(i) XωID是一个有效的签名。(ii) dv 1永远不能对IDω进行初始密钥提取查询;对ID ω进行临时签名密钥提取查询;对IDω;tω进行签名查询;对IDω;mω进行签名查询：预防措施1.一个PF-IDBKIS方案是完全密钥绝缘的，存在不可伪造的，如果没有多项式有界的对手可以赢得游戏1不可忽略的概率。我们定义Adv01的概率等于赢得这个博弈的概率1. 优势（Adv 1）=Pr[Adv 1赢得PF-IDBKIS_Game1]。Fig. 1.按键绝缘机构原理。1214P. Vasudeva Reddy等人/沙特国王大学学报2¼;ðÞ;游戏2：（对于AdversaryAdv 2）- 设置阶段：挑战者n运行设置算法。它为Adv 2提供参数：- 询问阶段：在该阶段中，挑战者将回答Ad v 2发出的以下自适应查询，如下所示。InitialKeyExtraction（初始密钥提取）Oracle：当Adv 2在ID上询问此查询时，n执行初始密钥提取算法并生成初始私钥并返回给Adv 2：HelperKeyExtractionOraclee：当Adv2在ID上询问此查询时，对ID运行密钥提取算法并将此值返回给Adv 2：SignOracle：Adv 2提供一个数字t，ID，一个消息m来签名查询，并要求n执行签名算法，n向Adv 2返回一个有效的签名XID：- 伪造阶段：最后，Adv 2输出伪造的IDω;mω;XωID在时间段tω内，如果(i) XωID是一个有效的签名。(ii) Adv 2 不允许对IDω进行初始密钥提取查询;以及对IDω;mω进行签名查询：预防措施2. 如果没有多项式有界对手以不可忽略的概率赢得博弈2，则PF-IDBKIS方案是强密钥绝缘的，存在不可伪造的正如Dodis et al. （2002a，b），我们提出了KIS方案中安全密钥更新的安全概念的定义3。预防措施3.PF-IDBKIS方案具有安全的密钥更新，如果在t;t-1处进行密钥更新暴露的任何对手Adv的视图可以由对手Adv 0在时间段t - 1和t处进行游戏1的密钥提取Oracle查询来完美地模拟。4. 建议的无配对所提出的PF-IDBKIS方案由以下六个算法组成。我们的PF-IDBKIS的这些算法的功能流程在图中描述。 二、设置：给定安全参数kZ是时间段的总数N，PKG运行该算法以生成系统参数。1. PKG选择一个群G，其元素是椭圆曲线上的点。这里jGjq和P是G 的生成元。 PKG 还 选 择 散 列 函数 H1 ： f0;1gω×G×G！Zωq;Hi：f0;1gω×G×f0;1gω！Zωq（i1/2;3）：2. PKG随机选择s2Zωq作为Msk和v2Zωq作为Hsk，并计算P pub¼sP作为Mpk，还计算V¼ vP。3. PKG将系统参数发布为Params<$fq;G;P;图二、拟议的PF-IDBKIS计划示意图助手密钥更新：助手（物理安全设备）为具有ID和时间段索引t ;t-1的用户生成更新的助手密钥UHKID;t;t-1，如下所示：1. 计算VvP：2. 计算UHKID;t;t-1½v ½H2ID;V;t-1½H2ID;V;t-1½]modq：设备向用户返回更新的辅助密钥UHKID;t;t-1。用户密钥更新：给定更新的助手密钥UHKID;t;t-1;以及ID的临时签名密钥持续时间段t-1，即：e：dID;t-1;用户构造新的ID的临时签名密钥持续时间，iod t作为dID;t 香港大学ID;t;t-1 dID;t-1：注意：在时间段dID;t 1/2 ID;t：签名生成：为了在时间段t内为身份ID在消息m上生成签名，用户执行以下操作。1. 选择uID2Zωq 并计算UID1/4 UIDP;和h3ID1/4H3ID;P清吧;V;H1;H2 ;H3g并秘密保存Msk和Hsk。如果gcd为1/2U ID= 1/3 ID= 1/1;则继续。否则选择另一个uID2Zωq。提取：给定用户1. PKG选择rID2Zωq 并计算RID^rI DP：2. PKG 将 初 始 私 钥 计 算 为 dID;0<$rID<$s h1ID<$vh2IDmod q; 其 中h1ID<$H1<$ID;RID;Ppub;h2ID<$H2<$ID;V;0n：2. 计算ID不 1/4U ID1/3 ID1/1D IDt mod q3. 签 名者 在时间段t 内输 出消息m上的 签名 ， 作 为XID1/2R ID;UID;rID1/2，即签名者输出m;t;XID1/2作为签名。验证：给定一用户身份身份证，系统参数params和签名元组m;t;XID;任何验证者都可以如下检查签名的有效性。PKG安全地将用户的私钥D_ID_ID ; 0 ; R_ID_ID发送用户秘密地保存dID;0，作为公众。（将Hsk（v）存储在物理安全设备中）。1. 计算h1ID<$H1ID;h3ID<$H3IDm;ID;UIDm：RID; Ppub;h2 ID ¼ H2-羟色胺和P. Vasudeva Reddy等人/沙特国王大学学报1215酒3我1我我我我我我3我我1我2我我我3我我1我2我11我我可以使用上述三个线性独立的jωj ωjωj2. 验证以下等式是否成立计算Ri<$riP;ri 1/4dih-1/4aih-1，Ui/4a-1h3i½h1iP出版社h 3 IDP/RID 2016年1 IDPpub 2012年2月IDV：h2 iV [Ri-ai P]3i3i i如果等式有效，验证者接受签名。否则签名将被拒绝。4.1. 我们的PF-ID-KISS定理1：在随机预言机模型下，在ECDLP是困难的假设下，PF-IDBKIS方案对Adv 1是完全密钥隔离和不可伪造的.证明：假设Adv1是一个能够以不可忽略的概率伪造有效签名的对手。我们将展示如何支持-给出了另一个算法n，它可以在敌手A d v 1的帮助下求解ECDLP。我们假设挑战者n被给予ECDLP的随机实例元组QRP;QRP。挑战者n回答Adv 1提出的查询：n的任务是计算es2Zωq：对于模拟过程，n将I Dω作为消息m上的Adv 1的目标标识。设置阶段：挑战者n集P发布 ¼Q ¼sP并执行设置算法以产生系统的必要参数，并将包括P的参数发送到Adv。签名XIDi;t 签名IDi;UIDi;rIDi是消息m i上 的有效签名，持续时间段ti。n输出mi;ti;XI Di作为有效元组。2. 如果IDi<$IDω;n选择ri2Zωq并设置Ri<$riP，h1 i;h2 i;h3 i来自L1;L2&L3列表，ri 1/4ri h-1并计算Ui 1/2小时1iP出版社2iV]h3ir-i1签名XIDi;t i;Ui;r i; i;i是消息m i上的有效签名，持续时间段t i。n个输出m i; t i; Xi是有效的元组。伪造/输出：伪造有效签名Xωi后 ¼ðRωi；Uωi；rωiÞ 在消息mωi 在恒等式I Dωi下，对于时间段ti，byAdv 1，n从L1、L2和L3列表中恢复对应的IDi;Ri;Ppub;l1ii;IDi;V;ti;l2ii; ID i;Ui;l3ii。如果IDi否则，如果ID为 1/4IDω;n计算s的值如下：低点。根据Forking引理，如果我们用相同的随机数重放n值，但不同的选择功能H1;H2H3;Adv 1将输出-把另外两个签名。令XωjRω;Uω;rωj，对于j1;2;3：这些签名满足查询阶段：Adv1以自适应的方式执行以下预言，算法n将回答这些预言。到避免模拟冲突，n需要保持初始空列表L1;L2;L3;LKExt;LTSKExt：这些列表用于跟踪验证方程，我们得到对于j<$1;2;3，rωjuωhωj]P<$rωPhωjPpubhωjV：）rω½uωh[ rωm]shvforj¼1;2;3以下问题的答案。甲骨文H：H-100ID;R;P广告：当广告v其中rω ∈j∈ j和v是已知值，ui、ri和s是未知值，H1对元组IDi;Ri;Ppub;n的查询将搜索元组IDi;Ri;Ppub;l1i是否在列表L1：n中，如果列表中存在这样的元组，则返回l1i如果在L1;n中不存在这样的元组，则随机地选择l1i并插入列表L1：最后，n将返回l1i作为对手Adv 1的答案：神谕H2：H2IDi;V;ti：当Adv 1询问H2时查询对I;V;t ii;n将检查是否元组在L2中是否存在IDi;V;ti;l2ii？。如果这样的元组存在于列表L2;n中，则返回l2i：否则，n随机选取l2i2Zωq并返回l2i：n向L2中添加IDi;V;ti;l2iω q：在OracleH3：H3mi;IDi;Ui上执行查询：当Adv1在H3mi;IDi;Ui;n上执行查询时，将检查元组是否L3中是否存在mi;IDi;Ui;l3ii i如果这样的元组存在于列表L3中，则n给出l3i：否则，n随机选取l3i2Zωq并返回l3i：最后，n将l3i;IDi;Ui;l3i添加到L3：Oracle中的初始密钥提取（KExt（IDi））：给定身份IDi;n在列表LKExt中搜索元组IDi;di;Ri;ti：如果这样的元组存在于列表LKExt中，则n给出di：否则，如果IDi方程现在我们分析算法n使用以下事件来求解ECDLP的优势。E1：n在响应Adv01的任何初始密钥提取查询时不终止。E2：n在响应任何A dv01的临时签名密钥提取查询时不终止。E3：dv1输出一个有效的伪造签名.E4：dv01s伪造签名对于IDi^IDω满足：Adv01s初始密钥提取查询的响应（临时签名密钥提取查询、签名查询响应）是有效的，除非事件E1（E1;E2;E3res.）发生了如果Adv1成功伪造了一个有效的签名，而E4没有发生，那么n可以成功地解决ECDLP，概率为PE1\E2\E3\E41/4最大化为d¼qKEqTSKEqS ：n0s的优点是e0满足e0≥1e;aωqKE<$qTSKE<$qS<$1qKEi;b i 2Zq 并设置d i¼ai;Ri¼bi P出版物ai P-h2iV和h1i¼ -bi：It很清楚，以这种方式生成的密钥现在，n向列表LKExt添加元组IDi;di;Ri;0i，并返回di：此外，n向列表L1添加元组IDi;Ri;Ppub;h1i，并向列表L2添加元组IDi ; V ; ti ; l 2 i，并向列表L2添加元组IDi;V;ti;l2i，并返回di：如果IDi;v; t i;l2i，则n中止。临时签名密钥提取Oracle（TSK Ext（IDi））：给定身份IDi以及时间段t，n搜索列表LTSKExt中的形式为IDi;di;Ri;t的元组：如果这样的元组存在于列表LTSKExt中，则n给出di：否则，如果IDi 并且设置di;ai; R i; i;-h1 iP Pub_i P_i-h2 iV：现在，n为了一致性而向列表L_TSKExt添加了ID_i;di;R i;t_i。如果IDi/IDω;n中止。签名Oraclee：当Adv1使用时间段ti;n如下：1. 如果IDi从L1、L2、&L3分别列出。也n选择ri2Zωq 和其中e是自然对数的底，e是成功概率的Adv 1;qKE;qTSKE;qS 分别是Ad v 1对密钥提取、临时签名密钥提取、签名预言机的最大查询次数：定理2：在随机预言机模型下，PF-IDBKIS方案对Adv 2是强密钥隔离的，并且在ECDLP是困难的假设下是不可伪造的。证明：证明与定理1几乎相同 Oracle H1; H2; H3和初始密钥提取查询与Theo-rem1中的查询相同。唯一的区别是对手Adv 2不能任何临时签名密钥提取查询，但可以自适应地询问助手密钥查询。HelperKeyQuery：当Adv2查询IDi的Helperkey时;对于时间段ti，n将帮助密钥v2Zωq返回到A dv 2。签名oracle：对于任何身份IDi;n，恢复帮助密钥v2Zωq 从Helper键查询中选择ui2Zωq，ai2Zωq 并计算U¼u i P并设置V¼vP和di¼ a i：酒11216P. Vasudeva Reddy等人/沙特国王大学学报þþþe≥e;þþ×¼使用这些值n对H1;H2;H3进行查询并输出h1i;h2i;h3i和集Ri¼a i P-h1 iP pub-h2 iVandriuih3i-1ai：签名Xi^i^i;Ui;ri^i是有效签名。类似于定理1，n使用该签名来求解ECDLP成功概率为01，其中e是自然数qKE对数定理3：我们的PF-IDBKIS方案具有安全的密钥更新。该定理由以下事实得出：对于任何时间段索引t-1;t和任何身份ID，更新的帮助密钥UHKID;t;t-1可以从dID;t和dID;t-1导出：5. 性能比较为了评估我们的PF-IDBKIS方案的性能，我们考虑了表2中提到的一些密码操作及其转换。我们考虑了文献中的实验结果（Barreto和Kim（2002）; Cao等人（2010）;Tan等人（2010）; MIRACL图书馆）。我们用模乘的方法提到了所有的密码学运算.我们在表3中给出了我们的方案与相关方案在签名和验证过程中的计算成本以及安全性方面的比较。我们现在分析并比较我们的PF-IBKIS方案与现有的基于ID的KIS方案（Weng et al.（2006）; Zhouet al.（2006）; Ohtake etal. （ 2008 ） ; Wu et al. （ 2012 ） ; Gopal 和 Vasudeva Reddy（2015）; Zhu et al. （2015）计算成本。5.1. 计算成本在Weng等人（2006）的方案中，为了生成签名，签名者需要执行两个标量乘法，一个映射到点散列函数和一个点加法，即2 T SM1吨MH1TPA：因此，生成签名的运行时间为20.2554 ms。为了验证签名者生成的签名，Weng等人的方案（2006）中的验证者需要执行四个双线性对和三个映射到点散列函数4TBP 3TMH：因此，验证签名的运行时间为101.137 ms，Weng等人的总运行时间为表2各种加密操作的转换。符号描述等人'类似地，在Zhou等人的方案（2006）中，生成签名的运行时间为118.34 ms，验证的运行时间为101.13 ms。在Ohtake等人的方案（2006）中，生成签名的运行时间为56.03 ms，验证的运行时间为114.297 ms。因此，Ohtake等人的方案（2008）的总运行时间为170.327 ms因此，Wu等人的方案（2012）的总运行时间为122.1183 ms。在Gopal等人的方案（2015）中，生成签名的运行时间为23.715 ms，验证的运行时间为88.1175 ms。因此，Gopal等人的方案（2015）的总运行时间在Zhu等人的方案（2015）中，生成的运行时间为111.89 ms。的签名是0.2325毫秒和为验证因此，Zhu等人的方案（2015）的总运行时间我们的PF-IDBKIS方案的计算成本是36： 5ms，是69.93%，比翁等。方案（2006），比Zhou et al.方案（2006），比Ohtake等人的低78.57%方案（2008），比Wu等方案（2012）减少70.11%，比Gopal等方案（2012）减少67.4%。方案（2015），比Zhu等人的方案减少83.66%Scheme（2015）.5.2. 通信成本所提出的方案的通信开销通过与方案（Weng等人（2006）;Zhou等人（2006 ）; Ohtake等人（2008 ）; Wu等人（2012 ）;Gopal和Vasudeva Reddy（2015）; Zhu等人（2015））进行比较来呈现。（2015））。为了实现80位的安全级别，在双线性对以及ECC中，我们考虑下表4。在方案中（Weng等人（2006）; Zhou等人（2006）; Wu等人（2006）），Gopal和Vasudeva Reddy（2015）方案的通信成本是jGj jG1j <$1024 <$320 <$1344比特; Ohtake方案的通信成本是etal.方案（二零零八年）是jG1j2jZωqj10241344比特;对于Zhu等人的方案（2015），TMM模乘运算1TMM 0： 2325毫秒3jG1jjZωqj3×10243232位s：但通信我们提出的方案的成本是2jGjωj 2× 320TSM椭圆曲线上的标量乘法：TSM<$29TMM 6： 38ms TBP双线性配对：TBP<$87TMM 20： 01msTPEXTMXModular exponentiation operation：TMX¼240TMM 55： 20msTPA椭圆曲线点添加：TPA¼0： 12TMM时间0： 0279msQ800比特：因此，我们的计划需要更少的通信成本比现有的KIS计划在基于ID的设置。下表5给出了所有方案在发送消息方面的通信开销从表3和表5可以清楚地看出，大多数签名方案（Weng et al.（ 2006）; Zhou等（2006）; Wu等（2006）;表3PF-IDBKIS方案的比较方案签署费用审核费用总费用安全密钥更新强按键绝缘Weng等人（2006）2 T SM 1 T MH 1 T PA4 T BP 3 T MH522：12 T MM121：39 msYesYesZhou et al. （2006）2 T ME1 T MH4 T BP 3 T MH944 T MM219：48 ms否否Ohtake等人（2008）1 T MX1 T MM1 T INV 2 T MX732：6 T MM170：33 ms是是Wu等人（2012）3 T SM 2 T MH3 T BP 2 TSM100TPA 100TMH525： 24TMM 122：12ms是是Gopal和Vasudeva Reddy（2015）1 T PEX2 T SM1 T PA3 T BP2 T SM2 T MH481：62 T MM112 msYesYesZhu et al. （2015）1 T MM4 T MX961 T MM223 ： 43 ms是是我们的方案1 T SM1 T INV4 T SM 3 T PA156：96 T MM36：5 ms是是P. Vasudeva Reddy等人/沙特国王大学学报1217表4双线性对和ECC中的群长度。曲线对循环群的系统类型长度jpcj;jpj数组的长度双线性对E^：y2¼x3xmodp^e：G1×G1！ GT G1带发电机P512位（64字节）q1024位ECCE：y2¼x3axbmod p其中a;b2Zωq：Wb不对G与生成元Pbjpcj160位（20字节）qb160位jGj320位表5所提出的PF-IDBKIS方案与相关方案的比较Zhou等人（2006）jGj2 jGj3 jGj120bytes Ohtakeetal. （2008）2jZωqjjZωqjjG1j2jZωqj168bytesWu et al. （2012）jGjjGj 3 jGj120 bytes Gopal and Vasudeva Reddy（2015）jGjjGj jG1j168 bytes Zhuetal. （2015）jG1j jZωqj2jG1j jZωqj3jG1jjZωqj404bytesOurSchemejGj jZωqjjZωqj 2jGjjZωqj100bytes图三. 图示。（2012）; Gopal和Vasudeva Reddy（2015））基于双线性对，并且只有两个方案没有配对，其中Ohtake等人（2008）和Zhu等人（2015）由于其在签名和验证算法中的模幂运算因此，在文献中的所有方案中，我们的方案是基于身份的框架下高效安全的无配对强密钥绝缘签名方案。此外，我们提出的方案与相关方案的运行时间的比较如图所示。3.第三章。该图清楚地表明，我们的计划是更有效的比现有的计划。6. 潜在应用由于PF-IDBKIS方案具有无需认证机构、无需计算开销、无需密钥保护等优点，因此可以应用于一系列受私钥暴露问题困扰的实际环境中。秘密握手（Secret handshakes）：秘密握手方案是一种基本的密码学原语，它使某个组的成员能够以私密的方式相互认证。该系统允许同一组中的两个成员秘密地相互认证，并共享一个密钥以进行进一步的通信。秘密握手可以用于多种应用，例如ad-hoc网络中的匿名路由协议、高带宽数字内容保护（HDCP）、军事秘密服务、无线认证、传感器网络和射频识别（RFID）使能的护照隐私。秘密握手也可以用于在线应用，如电子商务，电子商务和社交网络，通过提供隐私保护认证。在秘密握手方案中，组中的任何两个成员通过一个秘密的安全信道相互认证。用户的密钥将由一个可信的组权威机构通过一个安全的通道发送。虽然该信道是安全的，但在认证过程中该密钥的泄漏或暴露可能会导致灾难性的后果。因此，所提出的不含双线性对的PF-IDBKIS方案可用于构造不存在密钥暴露问题的秘密握手方案。无线传感器网络（Vehicular Ad hoc Networks）：无线通信技术的不断进步通过车辆自组织网络（VANETS）提供智能和高效的交通系统，以减轻交通堵塞和道路死亡。这种智能交通系统提高了乘客和交通流量的安全性。这些车辆的认证可以基于密钥保持完全安全的假设来实现。由信任机构（TA）生成的秘密密钥将在车辆与车辆之间或车辆与路边单元（RSU）之间的认证过程中通过安全信道发送到车辆。然而，由于VANET环境的开放性，该密钥的密钥暴露是不可避免的。为了解决这个问题，我们可以采用建议的PF-IDBKIS计划。7. 结论本文提出了一种新的PF-IDBKIS方案，该方案将密钥隔离机制与基于配对自由身份的签名方案相结合，以解决私钥暴露问题。该方案不使用任何复杂的双线性对运算，大大提高了计算效率. 在我们的PF-IDBKIS方案中，用户在助手的帮助下定期更新他的签名密钥该方案具有不可伪造性、强密钥隔离性，在ECDLP困难的情况下，可以在随机预言模型性能分析表明，与现有的基于身份的KIS方案相比，所提出的PF-IDBKIS方案在计算和通信方面都具有更高的此外，由于高效率，我们的方案可以用于实际应用中的计算资源是有限的，例如，无线通信设备，智能卡，车载自组织网络。方案初始密钥长度更新密钥长度签名长度发送消息Weng等人（2006年）2jGj2jGj3jGj120字节1218P. Vasudeva Reddy等人/沙特国王大学学报引用Amarapu，R.B.，雷迪，P.V.，2018.椭圆曲线上基于身份的并行密钥隔离签名方案。《科学杂志》英达斯特Res. 77，24- 28.Barreto，P.，Kim，H.Y.，（金），林恩，2002年。基于配对的密码系统的有效算法。Adv. Cryptol.美国专利商标局2002 2442，354-368。曹，X.，Kou，W.，杜，X.，2010.一种基于配对自由身份的最少消息交换的认证密钥协商协议.信息科学180（15），2895- 2903。陈杰，陈凯，王玉，Li，X.，朗，Y.，万，Z.，2012.基于身份的密钥隔离签密。Informatica23（1），27-45.Chen，L.，中国地质大学，郑志，聪明，NP，2007.基于身份的配对密钥协商协议。Int. J.Inf . Security 6（4），213-241.Diffe，W.