劉易+彭長(zhǎng)根

【 摘 要 】 密鑰隔離方案能夠在一定程度上解決基于身份的密碼系統(tǒng)中密鑰分發(fā)中心權(quán)限過(guò)于集中的問(wèn)題。基于支持多外圍設(shè)備的身份密鑰隔離簽名方案和Hess簽名方案，提出了一種新的基于身份密鑰隔離數(shù)字簽名方案；進(jìn)一步針對(duì)密鑰隔離、強(qiáng)密鑰隔離和密鑰更新的安全性進(jìn)行了分析；最后，通過(guò)與支持多外圍設(shè)備的身份密鑰隔離簽名方案和Hess簽名方案進(jìn)行效率分析與比較，該方案驗(yàn)算次數(shù)少、簽名長(zhǎng)度短、速度快，更適用于資源受限的智能手機(jī)中。

【 關(guān)鍵詞 】 密鑰隔離；數(shù)字簽名；密鑰隔離安全性；效率分析

A New Identity- Based Key-Insulated Signature Scheme

Liu Yi 1，2，3 Peng Chang-geng 2，3

[1. College of Computer Science &Technology， Guizhou University GuizhouGuiyang 550025；

2. Guizhou Provincial Key Laboratory of Public Big Data （GuiZhou University）， GuizhouGuiyang 550025；

3. Institute of Cryptography & Data Security， Guizhou University GuizhouGuiyang 550025]

【 Abstract 】 Key-Insulated scheme can solve key distribution center permissions concentration problems based on identity cryptographic system in a way.This paper propose a new Identity-Based Key-Insulated digital signature scheme on the basis of supporting more peripheral Identity-Based Key-Insulated signature scheme and Hess signature scheme； and Key-Insulated，strong Key-Insulated and the key update security were analyzed； Finally， the scheme compared efficiency with supporting more peripheral Identity-Based Key-Insulated signature scheme and Hess signature scheme，the scheme is checking fewer，shorter length of signature，faster，more applicable in resource constrained smart phones.

【 Keywords 】 key-Insulated； digital signature； key-Insulated security； efficiency analysis

1 引言

Diffie和Hellman[1]最早在《New Direction in Cryptography》中提出了數(shù)字簽名的概念。1978年，Rivest、Shamir和Adleman[2] 第一個(gè)提出了基于大整數(shù)分解困難性的RSA數(shù)字簽名方案。次年，Shamir又提出了秘密共享方案[3]?；谏矸菝艽a體系的概念和模型于1984年由Shamir首次提出[4]，此時(shí)數(shù)字簽名被正式分為三類：帶印章的數(shù)字簽名、帶影子的數(shù)字簽名及使用Hash函數(shù)的數(shù)字簽名。密鑰隔離機(jī)制的思想最早是在Eurocrypt02上由Dodis等 [5]提出的，隨后Dodis等在PKC03上給出了一個(gè)構(gòu)造密鑰隔離數(shù)字簽名方案的通用方法，而且提出了一個(gè)具體的密鑰隔離數(shù)字簽名方案[6]。Hess提出一種高效可證明安全的基于身份數(shù)字簽名方案[7]。2014年杜瑞穎等[8]提出了一個(gè)無(wú)證書(shū)密鑰隔離簽名方案，這種方案解決了基于身份密鑰隔離簽名方案中存在的密鑰托管問(wèn)題。2015年，學(xué)者秦志光等[9]對(duì)國(guó)內(nèi)外密鑰隔離密碼系統(tǒng)的研究進(jìn)展進(jìn)行了綜述，并從方案性能、安全模型及安全性等方面進(jìn)行了對(duì)比分析。2016年尋甜甜[10]提出了一種密鑰隔離的無(wú)證書(shū)聚合的概念與模型，實(shí)現(xiàn)對(duì)簽名者密鑰的定時(shí)更新。相比于傳統(tǒng)基于證書(shū)的密碼體制，基于身份的密碼體制近年來(lái)在密碼學(xué)中更受關(guān)注。在該體制中，任何一對(duì)用戶都可以進(jìn)行安全的通訊，簽名公鑰其實(shí)就是用戶的身份信息，如身份、郵件地址等?；谏矸莸暮灻w制是一種特殊的數(shù)字簽名體制，其避免了繁雜的證書(shū)管理，因此有著廣泛的應(yīng)用前景。

針對(duì)密鑰泄露的問(wèn)題，本文結(jié)合了支持多外圍設(shè)備的基于身份的密鑰隔離簽名方案與Hess簽名方案，提出了一種適用于智能手機(jī)的基于身份的密鑰隔離數(shù)字簽名具體方案，通過(guò)其他智能手機(jī)的協(xié)助來(lái)完成用戶的密鑰更新，這在一定程度上提高了系統(tǒng)的密鑰泄露容忍度，且保證了系統(tǒng)的前向與后向安全，同時(shí)方案的簽名長(zhǎng)度短，由此提高了簽名效率。

2 相關(guān)知識(shí)

在這里將介紹基于身份的密鑰隔離簽名方案[11]與標(biāo)準(zhǔn)模型下基于身份的強(qiáng)密鑰隔離簽名方案[12]的定義、困難性假設(shè)、非交互的離散對(duì)數(shù)等式知識(shí)證明協(xié)議等概念。

定義1：P為強(qiáng)素?cái)?shù)，t是正整數(shù)，c0，c1，...，ct-1，a1，...，at為常數(shù)，假設(shè)一個(gè)線性反饋移位寄存器序列（Ni），定義為一個(gè)t階齊次線性遞歸方程（HLFSR）：

N0 =c0 ，N1 =c1 ，...，Nt-1 =ct-1

Ni+t +a1 Ni+t-1 +...+aiNi =0 其中 i?0（1）

對(duì)t階齊次線性遞歸方程（HLFSR），定義一個(gè)輔助函數(shù)和特征方程，它們分別為：

xt + a1xt-1 +......+at =0，f（x）=xt + a1xt-1 +......+at

定理：假設(shè)HLFSR方程（Ni）用（1）定義，輔助函數(shù)的根為a1 ，...，al，根的重?cái)?shù)分別為m1 ，m2 ，...，ml，m1 +m2 +...+ml =t。Ni =P1（i）α1i +P2（i）α2i +...+Pl（i）αli ，Pi（i）是一個(gè)最大次數(shù)為ml -1的多項(xiàng)式，當(dāng)輔助等式只有一個(gè)重?cái)?shù)是t的根α?xí)r，及（x-α）t =0，那么Ni =N（i）αi，N（i）表示為A0+A1i+...+At-1 it-1（2），其中N（i）是一個(gè)次數(shù)最多為t-1的多項(xiàng)式。

2.1 基于身份的密鑰隔離簽名方案的定義

在基于身份的密鑰隔離簽名方案當(dāng)中，是由六個(gè)算法構(gòu)成，這六個(gè)算法描述如下：IBKIS=（Setup，Extract，HelperUpt，UserUpt，Sign，Verify）：

（1）系統(tǒng)建立算法Setup（k，N）： 當(dāng)安全參數(shù)和時(shí)間片段總數(shù)的輸入分別為k和N，則算法輸出系統(tǒng)公開(kāi)參數(shù)param和相應(yīng)的系統(tǒng)主密鑰msk。

（2） 私鑰提取算法Extract（msk，param，ID）：當(dāng)輸入用戶身份信息ID、系統(tǒng)主密鑰msk及系統(tǒng)公開(kāi)參數(shù)param時(shí)，則算法為用戶ID生成初始私鑰TKID，0和協(xié)助器密鑰HKID。

（3） 協(xié)助器密鑰更新算法HelperUpt（param，t，t'，ID，HKID）：當(dāng)輸入系統(tǒng)公開(kāi)參數(shù)param、用戶身份信息ID、協(xié)助器密鑰HKID及時(shí)間片段參數(shù)t和t'，則算法生成UIID，t，t'，UIID，t，t'將作為用戶ID的臨時(shí)私鑰時(shí)間片段t更新到t'所需的更新信息。

（4） 私鑰更新算法UserUpt（param，t，t'，ID，UIID，t，t'，TKID，t）： 當(dāng)輸入系統(tǒng)公開(kāi)參數(shù)param、時(shí)間片段參數(shù)t和t'、用戶身份信息ID、臨時(shí)私鑰TKID，t、以及更新信息UIID，t，t'，則算法輸出時(shí)間片段t'的臨時(shí)私鑰TKID，t'，并將TKID，t和UIID，t，t'刪除。

（5） 簽名算法Sign（param，t，M，TKID，t）：當(dāng)輸入系統(tǒng)公開(kāi)參數(shù)param、消息M、用戶身份信息ID、時(shí)間片段參數(shù)t和對(duì)應(yīng)的臨時(shí)私鑰TKID，t，則算法輸出簽名（t，σ）。

（6） 簽名驗(yàn)證算法Verify（param，（t，σ），M，ID）：當(dāng)輸入系統(tǒng)公開(kāi)參數(shù)param、簽名（t，σ）、消息M和身份信息ID，則算法輸出為1（當(dāng)簽名有效時(shí)）或?yàn)?（簽名無(wú)效時(shí)）。

2.2 基于身份的強(qiáng)密鑰隔離簽名方案在標(biāo)準(zhǔn)模型下的定義

（1）Setup：給定一個(gè)安全參數(shù)k，PKG首先選擇α∈Zq*，g2∈G1且令g1 =gα ，然后選擇u'和m'生成兩個(gè)向量、，L1與L2表示為兩個(gè)函數(shù)，主密鑰msk=g2α ，則公開(kāi)參數(shù)param=（G1，G2，e，q，g，g1，g2，u'，m'，，，H1，H2，L1，L2）。

（2）Extract：給定身份信息ID，PKG隨機(jī)選取一個(gè)協(xié)助器密鑰HKID∈{0，1}k，其中kID，0 =FHK（0 || ID）。如果輸入F的長(zhǎng)度小于k，在最前面進(jìn)行添加0以滿足長(zhǎng)度要求；PKG隨機(jī)選擇r∈Zq*和初始密鑰TSKID，0。

（3） UpdH：給定身份信息ID、兩個(gè)時(shí)間片段t1和t2、協(xié)助器生成kID，t和kID，t、則通過(guò)返回協(xié)助器更新私鑰UKID，t，t。

（4）UpdS ：給定時(shí)間片段t1、協(xié)助器更新私鑰UKID，t，t、這兩個(gè)時(shí)間片段內(nèi)的臨時(shí)私鑰TSKID，t和TSKID，t，得到時(shí)間片段t內(nèi)的臨時(shí)私鑰TSKID，t。

（5）Sign ：在時(shí)間片段t內(nèi)，通過(guò)簽名者ID對(duì)應(yīng)的臨時(shí)簽名私鑰TSKID，t，為消息m生成簽名σ。

（6）Verify ：簽名σ、身份信息ID與消息m，驗(yàn)證者是否接受此簽名取決于σ=（t，g2α ·L1（U'ID）r ·L1（U'ID，t ） ·L2（Mm ），g，g，g）是否成立。

2.3 困難性假設(shè)

假設(shè)G是一個(gè)加法群，則有：

（1） 離散對(duì)數(shù)困難問(wèn)題：給定兩個(gè)P，Q∈G，要找出一個(gè)正整數(shù)n∈Zq*，使之滿足Q=nP是困難的。

（2）CDH問(wèn)題：對(duì)于a，b∈Zq*，P∈G，給定（P，aP，bP），計(jì)算abP是困難的。

2.4 非交互的離散對(duì)數(shù)等式知識(shí)證明協(xié)議

設(shè)G是q階乘法群，g與h是它的兩個(gè)生成元，證明者P利用α∈Zq*來(lái)滿足α=log gG =log hH，證明者P要讓驗(yàn)證者V相信他確實(shí)知道秘密信息α，但不泄露α的值。

3 一種新型基于身份的密鑰隔離數(shù)字簽名方案實(shí)現(xiàn)

本節(jié)首先通過(guò)形式化定義一些系統(tǒng)參數(shù)，然后設(shè)計(jì)一個(gè)新型基于身份密鑰隔離數(shù)字具體簽名方案。

3.1 形式化定義

參數(shù)設(shè)置：1n表示系統(tǒng)安全參數(shù)、t和t'表示任意兩個(gè)不同的時(shí)間片段、n表示智能手機(jī)的個(gè)數(shù)、簽名者的身份信息用ID表示，SPKi表示第i（i=1，2，...，n）個(gè)智能手機(jī)的密鑰、UKID，t表示身份信息為ID的簽名者在第t個(gè)時(shí)間片段內(nèi)的簽名私鑰、MID表示第i（i=1，2，...，n）個(gè)智能手機(jī)的密鑰演化信息，這n個(gè)中任意k個(gè)智能手機(jī)均由差值多項(xiàng)式計(jì)算出系統(tǒng)的密鑰演化信息MIDID，t，t'，且協(xié)助簽名者實(shí)現(xiàn)臨時(shí)簽名私鑰的更新。

一中新型基于身份的密鑰隔離數(shù)字簽名方案由六個(gè)多項(xiàng)式算法組成，這些算法分別表示為（Setup，Extract，HelperUpt，UserUpt，Sign，Verify），以下對(duì)這些算法進(jìn)行詳細(xì)描述。

（1） 系統(tǒng)初始建立算法Setup（1n）：輸入系統(tǒng)安全參數(shù)1n，輸出系統(tǒng)公開(kāi)參數(shù)param和主密鑰mask。

（2） 初始私鑰生成算法Extract（mask，param，ID）：輸入系統(tǒng)公開(kāi)參數(shù)param、主密鑰mask以及簽名者的身份信息ID，輸出簽名者的初始簽名私鑰UKID，0及智能手機(jī)的密鑰SPK。

（3） 智能手機(jī)密鑰更新算法HelperUpt（param，t，t'，ID，SPK）： 輸入系統(tǒng)公開(kāi)參數(shù)param、任意兩個(gè)時(shí)間片段t和t'、簽名者的身份信息ID及智能手機(jī)密鑰SPK，輸出密鑰演化信息MIDID，t，t'，該密鑰演化信息MIDID，t，t'協(xié)助簽名者將其臨時(shí)簽名私鑰由時(shí)間片段t更新到時(shí)間片段t'。

（4） 臨時(shí)簽名私鑰更新算法UserUpt（param，t，t'，ID，MIDID，t，t'，UKID，t）：輸入系統(tǒng)公開(kāi)參數(shù)param，任意兩個(gè)時(shí)間片段t和t'、簽名者的身份信息ID、時(shí)間片段t內(nèi)的臨時(shí)簽名私鑰UKID，t及密鑰演化信息MIDID，t，t'，輸出時(shí)間片段t'內(nèi)的臨時(shí)簽名私鑰UKID，t'，然后把UKID，t和MIDID，t，t'刪除。

（5） 簽名算法Sign（param，t，M，UKID，t）：輸入系統(tǒng)公開(kāi)參數(shù)param、時(shí)間片段t、消息M及時(shí)間片段t內(nèi)的簽名者臨時(shí)簽名私鑰UKID，t，輸出簽名者在時(shí)間片段t內(nèi)對(duì)消息M的簽名（t，ID，U，V）。

（6） 對(duì)應(yīng)簽名的驗(yàn)證算法Verify（param，（t，ID，U，V）M，ID）：輸入系統(tǒng)公開(kāi)參數(shù)param、簽名（t，ID，U，V）、消息M及簽名者的身份信息ID，如果簽名（t，ID，U，V）是簽名者在時(shí)間片段t內(nèi)對(duì)消息M的有效簽名，則算法最終輸出1，否則算法輸出0。

3.2 具體方案

3.2.1系統(tǒng)初始建立算法

算法通過(guò)執(zhí)行如下步驟生成系統(tǒng)公開(kāi)參數(shù)param以及系統(tǒng)主密鑰mask，參數(shù)param是公開(kāi)，而系統(tǒng)主密鑰mask由PKG秘密保存。

（1） 設(shè)一個(gè)加法群G和一個(gè)乘法群GT ，而且它們的階都是素?cái)?shù)p，同時(shí)設(shè)群G的兩個(gè)生成元分別為P與P'及一個(gè)雙線性映射e：G×G→GT 。

（2） 選取四個(gè)單向的哈希函數(shù)：H1：{0，1}*→G，H2：{0，1}*→G，H3：{0，1}*×GT →Zp*，H：{0，1}*→G。

（3） 隨機(jī)選取一個(gè)整數(shù)s∈Zp* ，并令系統(tǒng)公鑰Ppub=s·P，用戶公鑰Upub=s-1·UKID，t 。

（4） 算法輸出系統(tǒng)主密鑰及系統(tǒng)公開(kāi)參數(shù)：系統(tǒng)主密鑰為mask=s，而系統(tǒng)公開(kāi)參數(shù)為param=（G，GT，e，p，P，P'，Ppub ，H1，H2，H3）。

3.2.2 私鑰生成算法

輸入系統(tǒng)主密鑰mask，簽名者身份信息ID∈（0，1）*及系統(tǒng)公開(kāi)參數(shù)param，PKG為簽名者生成初始私鑰和智能手機(jī)密鑰的步驟有幾個(gè)。

（1） 隨機(jī)選取一個(gè)SPK∈Zp*，然后構(gòu)造一個(gè)齊次線性遞歸序列，選擇兩個(gè)強(qiáng)素?cái)?shù)m、n，使得N=mn，選擇一個(gè)與φ（N）互素的整數(shù)c，計(jì)算d，使得cd=1modφ（N），計(jì)算I0 =gd modN并公布（c，N）。n個(gè)參與者選擇自己的秘密Si，計(jì)算Ii =gSi modN后發(fā)送給PKG，PKG計(jì)算SPKi=IidmodN，SPKi≠SPKj，且當(dāng)i≠j時(shí)。

（2）N0 =SPK1 ，N1 =SPK2 ，...，Nt-1 =SPKt

Ni+t +a1 Ni+t-1 +...+aiNi =0mod P，其中i?0。計(jì)算Ni（t?i?n+1），計(jì)算Yi=Ii-Ni （t?i?n）和r=SPK-Nn+1，公開(kāi)（I0 ，I1 ，...，In ，r，Yt+1 ，...，Yn ）。第j個(gè)參與者對(duì)第i個(gè)參與者進(jìn)行驗(yàn)證，第i個(gè)子密鑰為SPKi =I0Si modN，假設(shè)第i個(gè)參與者提供的份額為SPKi'，則第j個(gè)參與者計(jì)算（SPKi' ）c modN=Ii'。如果Ii'=Ii，則沒(méi)有欺騙，否則有欺騙。

（3） 由LID=SPK·H（ID）·P和QID，0 =s·H1（ID）+SPK·H（ID）·H2（ID，LID，0）計(jì)算出LID和QID，t ；同時(shí)令初始私鑰UKID，0 =（QID，0 ，LID ）。

（4）該算法最終將會(huì)輸出簽名者的初始私鑰UKID，0以及第i個(gè)智能手機(jī)的密鑰SPKi =（SPK（i）·H（ID），LID），同時(shí)算法還會(huì)向所有的智能手機(jī)廣播一個(gè)對(duì)SPKi的承諾hi =SPK（i）·H（ID）·P'以驗(yàn)證密鑰的正確性。

3.2.3 第i個(gè)智能手機(jī)的密鑰更新算法

當(dāng)智能手機(jī)在收到簽名者的私鑰更新請(qǐng)求之后，第i個(gè)智能手機(jī)就會(huì)執(zhí)行這個(gè)密鑰更新算法，得到自己持有的部分密鑰更新信息。輸入系統(tǒng)公開(kāi)參數(shù)param，時(shí)間片t和t'及第i個(gè)智能手機(jī)的密鑰SPKi ，算法最終將會(huì)輸出第i個(gè)智能手機(jī)持有的部分密鑰更新信息MID=SPKi ·H（ID）·（H2（ID，LID，t'）-H2（ID，LID，t））。

3.2.4 簽名者執(zhí)行的臨時(shí)簽名私鑰更新算法

在某個(gè)特定的時(shí)間片段內(nèi)，簽名者執(zhí)行的臨時(shí)簽名私鑰更新算法為五個(gè)步驟，執(zhí)行完畢后，簽名者的臨時(shí)簽名私鑰將會(huì)從時(shí)間片段更新到時(shí)間片段t'。

（1） 首先將時(shí)間片段t內(nèi)的臨時(shí)簽名私鑰UKID，t按照UKID，t =（QID，t ，LID ）進(jìn)行分解。

（2） 使用非交互的離散對(duì)數(shù)等式知識(shí)證明協(xié)議，第i個(gè)智能手機(jī)向簽名者驗(yàn)證自己所提供的部分密鑰更新信息MID是正確的。由3.2.2與3.2.3可以知道，第i個(gè)智能手機(jī)知道一個(gè)對(duì)SPKi的承諾hi =SPK（i）·H（ID）·P'以及部分密鑰更新信息MID=SPKi ·H（ID）·（H2（ID，LID，t'）-H2（ID，LID，t））。由離散對(duì)數(shù)的零知識(shí)證明可知，第i個(gè)智能手機(jī)在知道SPK（i）的前提下，很容易就能夠計(jì)算出下列等式成立log=log，所以也就可以驗(yàn)證第i個(gè)智能手機(jī)輸出的部分密鑰更新信息MID為正確。

（3）n個(gè)智能手機(jī)中任意k個(gè)均可插值得到完整的密鑰演化信息MID，且完整的密鑰演化信息MID=C（x）·Smod p；其中，n個(gè)智能手機(jī)中任意k個(gè)智能手機(jī)組成的一個(gè)群體用B表示，插值系數(shù)多項(xiàng)式為C（x）=mod p，Si =MID。

（4） 計(jì)算QID，t' =QID，t +MID，并將時(shí)間片段t'的簽名者臨時(shí)私鑰更新為UKID，t' =（QID，t' ，LID ）。

（5） 輸出時(shí)間片段t'的臨時(shí)私鑰UKID，t' ，并將UKID，t和MID刪除。

3.2.5 簽名算法

在時(shí)間片段t內(nèi)，簽名者利用該時(shí)間片段內(nèi)簽名者的臨時(shí)私鑰UKID，t，按如下步驟對(duì)消息M進(jìn)行簽名。

（1） 隨機(jī)選取k∈Zq*，計(jì)算r=e（P，P'）k；

（2） 計(jì)算V=H3（M，r）；

（3） 計(jì)算U=kP'+V·UKID，t，則對(duì)消息M的簽名是（t，ID，U，V），且簽名屬于GT ×Zq*。

3.2.6 對(duì)應(yīng)簽名的驗(yàn)證算法

輸入系統(tǒng)公開(kāi)參數(shù)param、簽名（t，ID，U，V）、簽名者身份信息ID及消息M，驗(yàn)證者按如下步驟驗(yàn)證簽名的有效性。

（1） 用戶的公鑰Upub =s-1·UKID，t；

（2） 計(jì)算r=e（U，P）e（Upub ，Ppub ）V，驗(yàn)證：當(dāng)且僅當(dāng)V=H3（M，r）時(shí)驗(yàn)證者認(rèn)為此簽名正確。

4 新型的基于身份的密鑰隔離簽名方案分析

本節(jié)對(duì)所設(shè)計(jì)方案的安全性和效率分別進(jìn)行分析。

4.1 安全分析

一個(gè)良好的方案滿足三個(gè)安全性。

（1）（k，N）密鑰隔離安全性：在群G上的CDH問(wèn)題是難解的，從而所有智能手機(jī)的部分密鑰都是在安全的前提下，當(dāng)攻擊者沒(méi)有截取到超過(guò)k個(gè)時(shí)間片段內(nèi)用戶的簽名私鑰，攻擊者將不能偽造用戶的簽名。在這種情形下，該方案滿足了密鑰隔離安全性。

（2） 強(qiáng)密鑰隔離安全性：在本方案中，用戶簽名私鑰是由時(shí)間片段t時(shí)的臨時(shí)簽名私鑰及其他智能手機(jī)的密鑰共同參與計(jì)算得到的，即使攻擊者是截取到其他智能手機(jī)的密鑰或者時(shí)間片段t內(nèi)的臨時(shí)簽名私鑰中的任意一個(gè)，都不能偽造用戶在時(shí)間片段t'內(nèi)的簽名私鑰。通過(guò)多重保護(hù)，該方案具有強(qiáng)密鑰隔離安全性。

（3） 安全密鑰更新：如果簽名者在將臨時(shí)私鑰從UKID，t更新到UKID，t'時(shí)，攻擊者截獲了時(shí)間片段t內(nèi)的臨時(shí)私鑰UKID，t及密鑰更新信息MID，那么除時(shí)間片段t及t'之外的時(shí)間片段系統(tǒng)還是安全的，從而系統(tǒng)密鑰更新足夠安全。

正確性：e（U，P）=e（kP'+V·UKID，t ，P）

=e（kP'，P）e（V·UKID，t ，P）

=e（P，P'）k e（UKID，t ，P）V

=r·e（sUpub ，P）V

=r·e（Upub ，Ppub ）V

則可驗(yàn)證：r=e（U，P）e（Upub ，-Ppub ）V

=r·e（Upub ，Ppub ）V·e（Upub ，-Ppub ）V=r

4.2 效率分析

在效率分析當(dāng)中，我們從強(qiáng)密鑰隔離、安全密鑰更新、時(shí)間片段數(shù)目及是否滿足前向后向安全的性能上將本方案與其他簽名方案進(jìn)行具體對(duì)比分析，結(jié)果如表1所示。

我們還從簽名、驗(yàn)證、可證明安全及簽名長(zhǎng)度這四方面將本方案與其他簽名方案進(jìn)行具體對(duì)比分析，結(jié)果如表2所示。

5 結(jié)束語(yǔ)

數(shù)字簽名作為信息安全的一項(xiàng)重要技術(shù)，已經(jīng)在許多領(lǐng)域得到運(yùn)用。而隨著越來(lái)越多的密碼算法被應(yīng)用到不安全的環(huán)境密鑰泄露在所難免。本文提出了一個(gè)基于身份的密鑰隔離簽名方案，該方案通過(guò)多個(gè)智能手機(jī)的協(xié)助，簽名者的簽名私鑰做到隨時(shí)間變化，保證了簽名的前向和向后安全性，使得攻擊者偽造簽名者簽名的機(jī)會(huì)大大減少，從而降低了應(yīng)用于安全較低的設(shè)備中基于身份密碼系統(tǒng)密鑰泄露風(fēng)險(xiǎn)，提高了系統(tǒng)對(duì)密鑰泄露所造成危害的容忍度。同時(shí)該方案采用高效的簽名算法，能夠滿足于簽名者在智能手機(jī)端的頻繁更新私鑰后進(jìn)行簽名的要求，一定程度上解決了密鑰泄露與密鑰管理的問(wèn)題，并且方案在保證前向與后向安全的前提下，只需要很少的計(jì)算資源、存儲(chǔ)資源和通信資源，因此適用于智能手機(jī)等資源受限的環(huán)境中。

參考文獻(xiàn)

[1] Diffie W and Hellman M. New Direction in Cryptography[J]. IEEE Transactions on Information Theory.1976，IT-22（6）： 644-654.

[2] Rivest R， Shamir A and Adleman L. A method for obtaining digital signatures and public key cryptosystems[J]. Communications of ACM，1978，21（2）： 120-126.

[3] SHAMIR A. How to share a secret[J]. Communications of ACM，1979，22（11）： 612-613.

[4] Shamir A. Identity-Based Cryptosystems and Signature Schemes[J]. Lecture Notes in Computer Science，1995，21（2）：47-53.

[5] Dodis Y， Katz，Xu and Yung M. key-insulated public-key cryptosystems[C].In Advances in Cryptology-Eurocrypt 02， LNCS 2332，Springer-Verlag，2002，pp. 65-82.

[6] Yevgeniy Dodis， Jonathan Katz， Shouhuai Xu. Strong Key-Insulated Signature Schemes[J]. Lecture Notes in Computer Science，2002，2567（2567）：130-144.

[7] Hess F.Efficient Identity Based Signature Schemes Based on Pairings[J].Selected Areas in Cryptography. Springer Berlin Heidelberg，2003：310-324.

[8] 杜瑞穎， 劉亞斌， 劉建東， 等. 無(wú)證書(shū)密鑰隔離簽名方案[J]. 山東大學(xué)學(xué)報(bào)，2014，49（9）： 24-28.

[9] 秦志光， 劉京京， 趙洋， 等. 密鑰隔離密碼系統(tǒng)研究現(xiàn)狀[J].計(jì)算機(jī)學(xué)報(bào)， 2015，38（4）： 759-774.

[10] 尋甜甜，于佳，楊光洋，等.密鑰隔離的無(wú)證書(shū)聚合簽名[J]. 電子學(xué)報(bào)，2016，44（5）： 1111-1116.

[11] 元振楊，陳建華，吳黎兵.具有后向安全的認(rèn)證密鑰協(xié)商協(xié)議[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2016，37（7）： 1398-1401.

[12] 翁健， 陳克非，劉勝利，等. 標(biāo)準(zhǔn)模型下基于身份的強(qiáng)密鑰隔離簽名[J]. 軟件學(xué)報(bào)，2008，19（6）： 1555-1564.

基金項(xiàng)目：

1. 國(guó)家自然科學(xué)基金（61662009，61262073，61363068）；

2. 貴州省教育廳青年科技人才成長(zhǎng)項(xiàng)目（黔教合KY字[2016]169）；

3. 貴州省科技基金計(jì)劃項(xiàng)目（黔科合基礎(chǔ)[2016]1023）。

作者簡(jiǎn)介：

劉易（1991-），女，漢族，貴州貴陽(yáng)人，畢業(yè)于貴州大學(xué)，碩士學(xué)位；主要研究方向和關(guān)注領(lǐng)域：密碼學(xué)、信息安全、大數(shù)據(jù)隱私保護(hù)。

彭長(zhǎng)根（1963-），男，漢族，貴州錦屏人，畢業(yè)于貴州大學(xué)，博士學(xué)位，教授，博士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：密碼學(xué)、信息安全、大數(shù)據(jù)隱私保護(hù)。