智能家居系统的通信安全性与基于SM9算法的两方协作签名方案的研究和应用

沙特国王大学学报适用于智能家居的刘双根，刘茹，饶思远Xi邮电大学网络空间安全学院阿提奇莱因福奥文章历史记录：2021年12月21日收到2022年4月24日修订2022年5月11日接受2022年5月18日网上发售保留字：智能家居SM9算法两方协作签名随机预言模型可证明安全A B S T R A C T智能家居由于采用嵌入式处理器，受体积和功耗的限制，安全性差，易受攻击。为了提高智能家居系统的通信安全性，基于身份的签名方案被广泛应用于无线网络通信中。然而，用户为了降低签名私钥泄露的风险，提出了一种基于SM9算法的用户在签名过程中，两个设备协同签名，以防止完整的私钥泄露。在随机预言模型下证明了方案的安全性。理论分析和实验结果表明，与现有的两方SM9签名方案相比，该方案具有更高的安全性和更低的计算代价和通信代价©2022作者（S）。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍物联网（IoT）技术可以通过网络连接家庭照明、空调、监控等常见家用设备，为用户提供对智能设备的统一管理和控制用户可以通过智能手机、平板电脑等移动终端设备本地或远程控制智能家居设备，极大地方便了人们但从安全性的角度来看，攻击者可能会伪装成合法用户进行通信并获得对智能家居系统的控制权，这对智能家居系统的安全性构成了威胁（Wang et al.为了确保智能家居系统的通信安全，可以使用数字签名算法来验证用户的身份和消息。用户签名私钥的安全性是保证密码系统安全的关键。然而，用户的私钥通常存储在单个设备中。一旦设备遭到恶意攻击，攻击者就可以获取私钥伪造用户签名，进而控制智能家居设备，对用户的隐私和安全构成威胁（Wang et al. （2018））。*通讯作者。电子邮件地址：liushuanggen201@xupt.edu.cn（S.G. Liu）.近年来，国内外学者提出了许多提高智能家居通信安全性的方案。2013年，Tang et al. （2013）针对智能家居远程代理控制中存在的问题，提出了一种可证明安全的远程代理控制协议。2016年，Luo等人（2016）提出了一种基于身份的智能家居不可否认方案，以解决参与者的操作拒绝问题。2017年，Matsui（2017）提出了一种基于物联网技术的智能家居实时认证系统，该系统利用物联网技术收集实时传感数据，为居民提供有用的信息，以保持室内舒适度。2021年，Islam et al. （2021）提出了一种可以实现短距离和远距离的家庭自动化系统架构，用户可以通过一个完整的家庭自动化平台控制所有的家电。然而，上述研究都没有涉及用户私钥安全性的提高。智能家居系统中用户私钥的安全性在无线通信环境下，当用户注册到网络时，智能家居中央控制平台需要验证用户身份认证通常采用的方法是证明他拥有签名私钥。同样，用户的消息也需要验证。因此，保护用户私钥的安全性非常重要https://doi.org/10.1016/j.jksuci.2022.05.0081319-1578/©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.com刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4023×！ð þÞ ð þÞ ð·Þ为了提高签名私钥的安全性，可以采用（t，n）门限密码的思想（Shamir，1979）。通过将私钥分成n份，然后将这n份秘密存储在不同的物理设备中，只有当不少于t个参与者协作时，私钥才能被恢复门限密码学自提出以来就吸引了众多学者的关注，更多的门限秘密共享方案被提出（Pang and Wang，2005; Huang et al.，2006; Fu和Luo，2008）。然而，门限秘密共享方案存在密钥限制问题。持有恢复的私有密钥的参与者可以签署消息，即使其他参与者不参与。此外，恢复的私钥通常存储在单个移动终端中，因此存在泄露的风险 。 2001 年 ， Mackenzie 和 Reiter （ 2001 ） 在 数 字 签 名 算 法（DSA）的基础上提出了一个双方签名协议，并严格证明了该协议的安全性。2014年，Lin等人（2014）提出了一种基于SM2的双向签名协议，该协议具有较高的效率。2017年，Lindell（2017）提出了一种具有高签名效率和安全性的两方椭圆曲线数字签名算法（ECDSA）方案，为后续研究提供了很好的思路2018年，He等人（2018）首次针对IEEE P1363标准中的基于身份的签名方案提出了一种双方分布式签名协议。基 于 身 份 的 密 码 学 （ Identity-Based Cryptography ， IBC ）（Shamir，1985）由Shamir于1984年首次提出在基于身份的密码体制中，用户与公钥基础设施（PKI）相比，IBC避免了复杂的证书颁发和管理问题。此外，它不需要证书颁发机构（CA）的参与。2001年，Boneh和Franklin（2001）提出了基于Weil配对的身份加密算法从那时起，已经提出了越来越多的在椭圆曲线上使用双线性映射的IBC方案（Li等人，2006; Tsai等人，2013年）的报告。SM 9是一类基于双线性对的基于身份的密码算法，由中国国家密码管理局于2016年发布（ GM/T0044-2016 ） ， 并 于 2018 年 纳 入 国 际 标 准 （ Yuan 和Cheng，2016）。SM9算法以其安全性高、占用存储资源少等优点逐渐被应用于各个领域基于SM9算法设计的双方协议近年来逐渐成为 研 究 热 点 （ Mu et al. ， 2020; Heand Zhang ， 2017; He andZhang，2018）。然而，目前公开的双方SM9签名方案只有少数专利和论文，缺乏适用于智能家居系统的高效且可证明安全的双方SM9签名方案。为了提高用户签名私钥的安全性针对智能家居系统，基于SM9数字签名算法，提出了一种适用于智能家居系统的安全高效的两方协作SM9签名方案。最后，我们的主要贡献如下1. 对SM9数字签名算法中的用户密钥生成算法进行了改进。通过采用协同密钥生成算法生成用户的签名私钥，避免了单个KGC功能过于集中的问题2. 提出了一种两方协作的SM9签名方案，该方案将与用户签名私钥相关的整数秘密的一部分两个参与者合作签署用户3. 对方案的正确性、安全性和性能进行了证明和分析。分析结果表明，该方案能够保证签名的安全性，并能抵抗恶意攻击。与现有的两方协作SM9签名方案相比，该方案具有更高的签名效率。本文的其余部分组织如下。在第二节中，我们介绍了初步的知识。在第三节中，描述了该算法的安全模型。第四节提出了一个两方合作的SM9签名方案。第五节证明了方案的正确性和安全性。性能分析见第6节。最后对本文进行了总结2. 预赛在本节中，表1定义了一些符号。接下来，我们简要回顾了双线性对，零知识证明，Paillier同态加密算法及其相应的性质。最后介绍了SM9数字签名算法。2.1. 符号表1列出了本文中使用的一些符号2.2. 双线性对设G1;G2;是两个加法循环群，GT;是乘法循环群，三个群的阶都是素数N.这两个可加循环群的生成元分别是P1和P2双线性映射e：G1G2GT应该满足以下属性（Boneh和Franklin，2001）.1. 双线性：对任意P2G1;Q2G2，和a;b2ZωN，有eaP;bQeP;Qab.2. 非简并：那里存在P2G1;Q2G2，使得eP;Q-13. 可计算的：对于任何P2G1;Q2G2，存在一个有效的算法来计算eP;Q.接下来，我们描述三个数学问题：表1符号及其意义。符号含义FN有限域G1;G2两个可加循环群GT一个乘法循环群e是双线性对群中的NG1的P1G2的P2Zωn{1，2，. . . ，n-1}，0除外我是一个信息A用户ID用户一个概率多项式时间对手另一个概率多项式时间对手Hi哈希函数d用户sSM9中的签名主私钥P在SM9KGC密钥生成器中心在SM9KGCi我们方案% s% s KGC% 1sc KGC2t随机数d1;d2两个秘密共享参数D1用户的移动终端设备智能家居D2控制终端刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4024ðþÞðþÞ¼ðÞ2½- ]¼ðjjÞ¼ ð-Þ¼[001 pdf1st-31files]ðÞA;pn×！22n定义1.离散对数（DL）问题：设Gi表示素数阶N的可加循环群.对于任意给定的元素P; xP 2 G，没有概率多项式时间（P. P. T）算法能以不可忽略的概率计算x2ZωN.定义2.计算Diffie-Hellman（CDH）问题：设G ;G;G表示素数阶的可加循环群。对于任意a;b2ZωN，给定P;aP;bP2G，不存在P. P. T算法，它能以不可忽略的概率计算abP 2 G.定义3.带k个叛徒的合谋攻击算法（k-CAA）问题：设G;表示素数阶加法循环群N.为任何整数K 和一发生器P 的组G，给定fP; Q 1/4xP;x;h1;h2;. ;h k2Z q;xh1-1P;... ;Pg.对于h R fh1; h2;. ; hkg，则没有P. P. T算法，其可以以不可忽略的概率来计算P_x_h_p-1P。2.3. 零知识证明Lindell和Nof（2018）将理想的零知识功能形式化为：Fzk：x;w;k！ 其中k表示空字符串，R用于声明x和证据w; R =x;w=1当且仅当R =x;w= 2 R。理想的零知识功能性Fzk具体定义为：当Fzk从D b b 2 f 1 ; 2 gk接收到一个消息prove;sid;x;w，如果该sid已被使用或x; w R，则该消息被忽略。否则，将“配置文件”发送给D3-b.2.4. Paillier同态加密该方案采用Paillier同态加密算法（Paillier，1999）进行相关的加密和解密操作。Paillier公钥加密是一种加同态加密，在密文空间cal-1中有较好的应用。文化Paillier加密系统由以下部分组成P2分别。 H1和H2是SM9中定义的两个散列函数，其中H1：f0;1gω！ Zωn;H2：f0;1gω！ Zωn。1. 用户(b) KGC选择由一个字节表示的签名私钥生成函数标识符hid。(c) KGC计算有限域FN上的t1<$H1IDAjjhid;Ns。如果t10，则重新选择签名主私钥，计算签名主公钥.否则，它计算t21/4s·t-11modN，然后计算dA1/4/2t2]P1作为用户2. SM9数字签名一代算法将用户需要签名的消息表示为比特串m，签名者执行以下操作生成消息m的签名h;Sh：（a）计算GT中的g/epub1;Ppub2。（b）随机选择一个数r2½1;N-1]，在GT中计算w^gr。(c) 计算hH2m w;N和l r h mod N，如果l0，然后返回到（b），否则继续。(d) 计算G1中的SldA，则h;S是消息m的签名.3. SM9数字签名验证算法当验证者接收到消息m0和相应的签名h0;S0时，执行以下步骤进行验证：(a) 检查h01;N 1是真的如果没有，验证-操作失败。(b) 检查S2G1是否为真，否则验证失败.（c）计算t¼gh0 在GT中，其中，g1/4e≠P1;Ppu b≠。（d）计算h111/4H1的平均值Ajjhid;Nn。（e）计算G 2中的P1/2h1]P2Ppub。（f）如果h = 0，则计算h<$H<$m0jjw0;N<$m1/4h0，则验证三种算法：1. 密钥生成：选择两个长度相同的大素数p和q，计算n <$pq，然后g<$n<$1;/n<$p-1 <$<$q-1 <$; l <$p/n<$p - 1 <$q-1 <$。加密算法的公钥是pk<$n;g，私钥是sk<$n/g <$n;l。2. 加密：对于消息m2Zn，随机数r2Zωn 是通过，否则验证失败。3. 安全模型在这一节中，我们给出了数字签名方案P和两方协作数字签名方案P的安全模型（Goldwasser等人， 1988年）。定义4. A表示P. P. T对手，p¼ fGen;Sign;Verifyg被选择以计算密文c/Encpkmm/gm rnmodn2，其中Enc表示同态加密的加密函数。3.解密：对于密文c，恢复的明文是m/4Decskclckmodn2·lmodn，其中LxcLl=n，并且表示数字签名方案。实验定义如下。1. A通过运行密钥生成算法Gen1n输出一个随机密钥对。Dec表示同态加密的解密函数。ðÞ2. 一个符号sk·1n;pkmω;rω设c1 11/4Encpkm1;c21/4Encpkm2，贝利尔加密系统的同态主要表示为：1. c1c2¼Enc pkm1m 2m。2. M1 m2¼Encpkm2m1.3. DecskEncpkm1m2¼m1·m2.4. DecskEncpkm1·Encpkm2m1m2.2.5. 数字签名算法，A通过运行签名算法Sign·输出签名对。3.由A向随机预言机查询的所有消息m的集合是表示为M，当且仅当mω2M且Verifypk1，实验输出1。定义5. A表示P. P. T对手，p^fGen;Sign;Verifyg表示数字签名方案，并且协议P表示两方协作数字签名方案。实验SM9（Yuan和Cheng，2016）涉及一个双线性映射：DistSignb定义如下：G2GT，其中G1和G2是两个加法循环群，GT是乘法循环群，三个群的阶都是素数N。这两个可加循环群的生成元是P11. <$mω;rω<$A Pb <$·;·<$$> 1n<$$>;A通过运行签名算法Sign <$·<$输出签名对<$mω;rω <$。刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4025nA;pnFRDL01A;¼ð··Þ11r3r42. 由A向随机预言机查询的所有消息m的集合表示为M，A可以使用m_sid;m_n 来 查 询 随 机 预 言 机 ， 当 且 仅 当 mω2M 并 且Verifypk<$mω;rω<$1，实验输出为1。定义6.对于任何P.P.T对手A，如果存在可忽略的函数l，使得P r½Signp<$1<$$>]6l <$n对每个n成立，则中心通过基于产品的秘密共享共享签名主私钥，然后协作生成用户的签名私钥。具体协同密钥生成流程如下：1. KGC1选择随机数l12½1;N-1]，计算c11/4将s·t·l取mod N; Q 1/4 l·P1，并将Q 1发送到KGC2。数字签名方案P是存在不可伪造的选择消息攻击。定义7.对于任何P. P. T对手A和每个b2 f1;2 g，如果存在可忽略的函数l，使得Pr ½DistSig nb对每一个n成立，则协议P是一个安全的两方协作签名方案。4. 两方协作SM9签名方案在本节中，我们提出了一个适合智能家居系统的两方协作SM9我们主要描述以下两个主要阶段。4.1. 协作密钥生成如图1所示，智能家居系统主要包括智能家居设备、用户SM9密钥生成中心集成到平台服务器中，智能家居平台的两台服务器协同为用户生成签名私钥我们首先将用于计算将用户h1<$H1IDAjjhid;N，公式的推导过程为2. 自收到消息Q1;KGC2生成一对钥匙Paillier同态加密算法的加密算法，计算s1/4Encpk，s1/4EncmodN，并将s1发送到KGC1。3. 在接收到消息s1之后，KGC1计算s21/4h1En cp k11 1nnnts1n;c21/4nc1-tnmodN，并将s2和c2发送到KGC2。4. 后接收消息S2和c2;KGC2计算s3¼Dec sks2 mod N;c3¼Dec sks3s c·c2mod N，并检查c3是否为0。如果c3为0，则中止后续操作。否则，KG C2计算dA¼P1-c-31·h1·Q1。4.2. 协同签名为了提高用户签名私钥的安全性，在初始化阶段，KGC 2选择两个随机数d 1 ; d 2 2 1/2 1 ;N - 1 ]，并将整数秘密d 1保存在用户的移动终端设备D1中。整数秘密d2嵌入专用硬件存储芯片，保存在智能家居的控制终端D2KGC2计算PA/d1·d2/modN/d1 - 1dA，并在计算后销毁dA以避免损失。 此时，设备D1和D2分别持有与用户的签名私钥相关的秘密份额（参见图1B）。 3）。在协作签名阶段，两个设备协作来对用户下图：DA[1/4/2t2]P11. D1 ！D2(a) D1向D2发送签名请求.1/4½ 1-1s·t-11]P11/4P1-1/21-s·t-11]P11/4P1- 1/2Pt1-s P ·t-11]P12.D2！D1(a) 在接收到来自D1的请求之后，D2选择两个随机数[r1;r22½1;N-1]，并计算w11/4gr1r2。(b) D2发送数据包prove;1;w1; r1r2数据包到RDL.1/4P1-1/2h1·t-1 1h]P1ZK3.D1！D21/4P1-1/2h1·1s如图2所示，协同密钥生成阶段包括KGC1和KGC2两个密钥生成中心，其中KGC1部署在智能家居云服务平台中，(a) D1从Fzk接收到W1prove;2;w1;如果没有或w1½g，则它中止。(b) D1选择两个随机数r3;r42½1;N-1]，并计算w<$w·g;h<$H2<$mjjw;Nmod;h0<$r4-h<$mod N。KGC2部署在智能家居业务平台中。KGC1保存整数秘密ss2½1;N-1]，并选择随机数t2½1;N-1]。 KG C2持有整数秘密SC2½1;N-1]。在不暴露由每个人持有的秘密份额的情况下，s s st s cmod N被用作签名主私钥。也就是两个密钥生成(c) D1将h发送给D2.4.D2！D1(a) 在接收到消息h0;D2之后，计算s1¼r2·d2modN;s21/4h0·r-11·d21/4mod N;s31/4r1·PA。Fig. 1. 智能家居系统的通信模型。刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4026ΣΣ1¼ð ··-RRrrh d¼H1C31/4秒3秒c·c2秒modN四分之三秒三分之一秒1/4l1·h1sc·tsc·tsss·t·l1-tl1·DA¼P1-c-31·h1·Q1¼P1-½c-31·h1·l1] ·P11/4P1-1/2l-1·h1·sc·ss·t-1·h1·l] ·P11 11/4P1-1/2h1h1sc·ss·t-1] ·P1¼P1-½h1h1s-1] ·P1图二. 协作密钥生成。图三. 合作签名。(b) D2发送fs1;s2;s3g给D1.5.D1输出签名(a) 后接收消息，D1计算S¼1·r3·s2·s3·d1.(b) D1通过用户的身份验证签名H;SH否则，它将中止。5. 方案正确性和安全性证明5.1. 正确性证明S2 2019年12月1日星期一¼Encpkðl1ÞEn cp kscS312月1日星期二四分之一升1·小时1升的c·t·modN从而证明了协同密钥生成方案的正确性。W¼wr3·gr4¼gr1r2r3·gr41/4gr1r 2r 3r 4S1/4秒1·r3秒2秒3·d11/4r2·d2·r3·h0·r-11·d2·r1·PA·d11/4r1·r2·r3·h0·d2·PA·d1四分之一r1·r2·r3·r4-hβ·d2·PA·d1123 4A从而证明了该协同签名方案的正确性5.2. 担保证明5.2.1. 协作密钥生成方案的安全性在协同密钥生成方案中，两个密钥生成中心通过基于乘积的秘密共享来共享签名主私钥，任何参与者都不能单独生成签名主私钥，以保证SM9签名主私钥的安全性在两个密钥生成中心的交互过程中，利用Paillier同态加密算法增强了方案的安全性无论攻击者得到任何参与者的秘密份额，签名主私钥都无法恢复，从而无法获得用户该方案的具体安全性证明如下。1. KGC1接收来自KGC2的消息s1，其中s1是由Paillier同态加密算法加密的秘密份额。由于只有KGC2拥有相应Paillier同态加密算法的私钥，因此KGC1无法获得KGC2持有的秘密份额。2. KGC2在接收到消息s2和c2后，使用Paillier同态加密算法的私钥进行解密，得到s3。Paillier同态加密算法保证只有KGC2才能解密消息s2得到s3。3. 在获得s3之后;KGC2检查c30是否。由于KGC1通过引入随机数t来保护其秘密份额，因此即使c3 1/40，KGC2也无法猜测KGC1所持有的整数秘密。因此，防止在生成用户私钥的过程中暴露s5.2.2. 协作签名方案的安全性在协作签名方案中，通过将用户的签名私钥与两个设备分别保存的秘密份额相关联，保证了两个参与者必须协作生成用户消息的数字签名，任何一方都不能通过其秘密份额生成有效签名。因此，无论攻击者获取了哪个参与者不刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4027nA;PnA;PA;P 2001年，我们建造了另一个A;PnðÞðÞA;P1nð Þ ðÞFGðÞðÞ2一S;P定理1. 如果SM9数字签名算法满足在选择消息攻击下绝对不可伪造，则两方协作签名方案是安全的。证据1. 当攻击者A攻击我们提出的方案时，我们构造另一个攻击者S（模拟器）。在实验SignS;p1中，S伪造符号的概率接近于在上述情况1中，S使用随机数fr1; r2g和秘密份额d2生成fs 1 ; s 2 ; s 3 g。对于真实输出和模拟输出，A的输出在计算上是不可区分的。也就是说，A在模拟中生成一对<$mω; rω <$的概率与真实DistSign中的概率相同。 当S 收到来自D2 ，它计算Sω<$r-31·r3·S<$r1·r2·r3r4-hβ 1·d2·PA·d1。如果签名是有效的，S想要计算实验中A伪造签名的概率DistSignb2001年。因此，对于任何P.P.T对手A和每个b2 f1;2g，存在P. P. T对手S和可忽略函数l，使得对于每个n，满足以下等式d2的概率不可忽略，它必须以不可忽略的概率解决DL问题，这与DL问题的难度相矛盾。因此，即使A破坏了D1并且知道了正确的签名，它也不能获得由D2.n b njPr½SignS;p11] -Pr½DistSignA;P11]j6ln1其中P表示本文提出的两方协作签名方案，p表示SM9签名算法。从SM9签名算法的安全性来看，可忽略的功能 l0为每 个n，的满足在上述情况2中，由于A不知道KGC的秘密份额d2和签名主私钥s;A随机选择一个整数dω2到生成一签名Sω1·dω2·d1·PA，存在：Pr½签名S;P6l 0 l 1 l2l 1l 结合上述等式，我们可以wω<$eSω;½h1]P2Ppub·gh获取P r½DistSig nb6升，0升。我们分别证明了1/2ex-h·dω2·d1·PA;1 /2h1]P2Ppub·gh的两方合作签名方案的安全性设备D1或D2损坏的不同情况。 H1/4ex-h·dω·d1·P;1/2h1]sP2·gh当D1被对手破坏时，假设A是P。实验中的P.T对手DistSignb n实验中的P.P.T对手S符号1 n如下：1. 在实验中，Sign;S获得了ID，ID是用户如果A要选择正确的dω2，并以不可忽略的概率计算w ω，A必须以不可忽略的概率解出CDH问题，这与CDH问题的难度相矛盾。因此，A在不知道d2和S的情况下无法生成有效的签名.当D2被对手破坏时，模拟器它可以用来计算公钥。2. S在实验DistSignb模拟了OracleP对A的询问答复第1章S计算签名并响应A。因此，如果S所持有的秘密份额是未知的，则对手A不能伪造有效的签名。自从第二被告最后一次向第一被告发送(a) 当协作密钥生成阶段尚未结束时，S响应于？对于A的所有查询，（b）当接收到查询h_sid; m_n时，如果之前没有查询过sid，则S使用m来查询Sign中的签名oracle，并获得返回的签名h; S。通过SM9签名验证算法，S可以计算w。然后，S从A接收到的具有sid的查询被如下处理。案例一：i.的第一消息双氢 吡喃解析如S发送给F zk的prove; 1;w1;r1r2。如果w11/4gr1r2;A计算fw;h0g，并向S提交响应prove;2;w;r3。ii.S收到消息后，如果证明有效，则S设置s1¼r-31·S和提交响应1;3;s1;r-31个碱基对A.案例二：i对于D1的指令，如果A不执行。A设置w/g x;h/h/H2/mjjw;N/m，和提交响应[001 pdf 1st-31files]将1;w;x转换为S。iiS收到消息后，如果证明是有效的，S随机生成s1;s2;s3并回复A。3. 当A中止并输出mω;rω;S也输出mω;rω时并中止。在协同签名阶段，A的仿真视图和协议P的实际执行没有区别。在协议P中，设备D1使用从设备D2接收的消息计算w，而在模拟实验中，A通过所选择的随机数x生成w并计算g x。因此，可以认为S在所有消息中完全表现为D2由于x;r1;r2;r3;r4是随机选择的，因此可以确定在w^gx和w^wr3·gr4之间没有区别。可能被A篡改，D1无法判断接收到的消息是否与D2发送的消息对应。 当A接收到由S计算的签名时，如果A可以伪造签名，则A可以破坏D1，即使它不知道D 1持有的秘密份额。为了解决这个问题 ， 我 们 让 S 模 拟 D1 在 某 些 点 退 出 . S 随 机 选 择 一 个 整 数i2f1;. ;tn 1 g，其中tn表示A可以查询oracle P的总次数。 当且仅当S选择正确时，模拟才是成功的.1. 在实验中，Sign;S得到1 n;ID，该ID是用户的身份，可以用来计算公钥。2. S在实验DistSignb 1中模拟预言机P，并对A的询问：(a) 当协作密钥生成阶段没有结束了，S回答？对于A的所有查询，（b）当接收到查询_S使用m查询Sign中的签名oracle，得到返回的签名h; S。通过SM9签名验证算法，S可以计算w。然后，S从A接收到的具有sid的查询被如下处理。i.的第一消息双氢 吡喃解析如S发送给F zk的prove;1;w1;r1r2 。 如 果 w1 1/4gr1r2 ， 则S 设 置w<$gr1r2r3;h<$H2mjjw;N ，并将响 应prove;2;h 提交给 对手A。否则，S中止模拟。ii.的二消息m2/m2/m2是解析作为第三节;第一节;第二节;第三节;第二节。如果这是A对协议P的第i次查询，则S中止模拟。否则收益。3. 当A中止查询并输出<$mω;rω<$;S输出<$mω;rω<$并中止时，则A获得t <$n<$n个正确签名，因此，我们可以得到以下等式：刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报40283wω eSω;P·gh[1/4eβ1r2r3-hβ2d1PA;[1/2h1] β2g ][1] [1][2][3][1][3][4][5][6][7][7][8][9][10][11][11][12][11][12][13][14][15][16][17][18][19][19][10][19][19][10][19][10][19][19][10][19][10][19][19][10][19][10][19]1/4e/1r/2r/3-h/P1;s·P2·g[dw]1r2r3-hP1;Ppub·g1/4gr1r 2r 3在模拟过程中，假设A持有的随机数保持不变，S在每次查询中随机生成不同的随机数。因此，对于t个不正确的签名，A可以获得gr1r2ri;i2 f1. 1 g.如果A想要计算正确的r3，从而以不可忽略的概率计算wω，那么A必须以不可忽略的概率解决k-CAA问题。这与k-CAA问题的困难性相因此，当设备D2损坏时，A无法知道关于设备D1的任何信息。6. 绩效评价本节将从理论分析和实验模拟两个方面将本文提出的两方协作SM9签名方案与当前几个两方SM9签名方案进行比较，以衡量我们提出的方案的效率通过统计方案实现中所使用的主要操作和网络传输元素的数量，对Muet al.（2020），He and Zhang（2017），Heand Zhang（2018），Wangand Long（2020），Long and Xiong（2020）以及本文方案的计算和通信开销进行了理论分析，并通过实验仿真对我们提出的方案的性能进行了根据通过使用相同的椭圆曲线参数“BN-256”（其椭圆曲线方程为y 2 1/4 x 3 1/6）并使用其推荐参数j G 1 j 1/4 256、j G 2 j 1/4256、j G T j 1/4 256和j Z ω n j 1/4 256来评估性能。此外，为了进一步提高安全性，密钥长度为2048位的Paillier公钥密码体制，选定.6.1. 计算成本分析为了表示各种基本操作的时间成本，符号约定如下。设Enc和Dec分别表示Paillier算法的加密和解密操作，TM表示椭圆曲线点乘，TB表示双线性对操作，TE表示指数操作，TH表示哈希函数操作。由于该方案中椭圆曲线的点加运算使用频率较低，且运算时间与上述高复杂度的运算相比可以忽略不计，因此该运算并不复杂。算详细计算量比较见表2。根据表2，本文中提出的方案与参考文献（Mu等人，2020; He和Zhang，2017;He和Zhang，2018）在密钥生成阶段的计算量。这是因为考虑到SM9签名主私钥中单个密钥可能丢失的情况，我们引入了两方KGC来协同生成用户因此，必然会增加一定的计算量。然而，在协同签名阶段，我们的方案没有使用Paillier同态加密和解密操作，这具有很高的操作成本，并减少了一个指数运算。因此，我们的方案在安全性和效率方面具有优势。与文献（Wang and Long，2020）相比，在两方协作密钥生成阶段计算量相同的情况下，考虑到用户签名私钥的安全性，我们引入了一种两方协作签名，通过分别存储与用户签名私钥相关的整数秘密，该方案没有引入太多复杂的运算，保证了方案在提高安全性的同时具有较高的协同签名与参考文献（Longand Xiong，2020）相比，在协同签名生成阶段，我们没有使用运行成本高的Paillier同态加密和因此，本文提出的方案具有较低的计算代价.6.2. 通信成本分析为方便起见，我们用jG ij表示加法循环群Gi;i21/2 1 ;2]中元素的位长;jGTj表示乘法曲线群G T中元素的位长; k表示帕利尔公钥的位长，N表示 域 Zωn 上元素的 位长。 在 通 信 代 价 方 面 ， 根 据 NIST 密 钥 长 度 建 议（Barker，2020），对于相同安全级别的协议，基于大整数因子分解的协议的密钥长度约为椭圆曲线密钥长度的8倍或更多，即k> 8N。从表3可以看出，在协作密钥生成阶段，我们提出的方案的通信成本与 Long 和 Xiong （ 2020 ）的方案相当，略高于 Wang 和 Long（2020）的方案。但在实际应用过程中，密钥生成阶段只需执行一次，而签名需要执行多次，因此本文重点研究了协同签名阶段的通信开销.由表4可知，本文方案在协同签名阶段没有高开销的Paillier操作，交互次数少。因此，在协作签名阶段，我们方案的通信成本远低于Mu et al.（2020），He and Zhang（2017），He andZhang（2018），Long and Xiong（2020）。表2不同方案的计算成本比较方案密钥生成阶段签名阶段Mu等人（2020）2 T M1 T H3 Enc 1 Dec 1 T M 2 T B 4 T E 2 T HHe and Zhang（2017）1TM 1TH2Enc 1Dec 1TM 2TB 4TE 2TH何和张（2018）1TM 1TB 1TE 1TH2TM 2TB 4TE 1TH王和龙（2020）2TM 2Enc 1Dec 1TH1TM 1TB 1TE 1TH龙和雄（2020）2TM 2Enc 1Dec 1TH2Enc 1Dec 2TM 2TB 2TE 1TH我们的方案2TM2Enc1Dec1TH2TM2TB3TE 1THHHH刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4029¼þ表3协同密钥生成阶段的通信开销比较。传输数据的大小通信成本（王和龙，2020）（Long andXiong，2020）N2k544jG1jN2k576我们的方案jG1jN2k5766.3. 实验模拟表4协同签名阶段通信开销的比较。数据大小发送通信费用（千美元）图五.整体运行时间比较。Mu等人（2020）2 jG TjjG1j 2 k 608 Heand Zhang（2017）2 jG Tj 2 k576He and Zhang（2018）2jGTj 3N160Long and Xiong（2020）jGTj2N 2k608方案jGTj jG1j3N160接 下 来 ， 我 们 实 现 （ Mu et al. ， 2020; He and Zhang ，2017;Heand Zhang ， 2018; Wang and Long ， 2020; Long andXiong，2020）和我们的方案，并测试每个方案的时间成本。基于MIRACL函数库，利用Visual Studio 2019编程实现了椭圆曲线上的群运算和双线性对。我们在一台设备上部署方案（第11代英特尔（R）酷睿（TM）i5- 1135 g7 2.40 GHz处理器、16 GB内存和Windows 10 （ 64 位）操作系统）。选用密钥长度为 2048 位的Paillier公钥密码体制，是y2x36在考虑网络传输延迟的情况下，我们对这六种方案分别进行了20次实验。图4显示了每个方案在四个阶段的平均运行时间，图5显示了Long和Xiong（2020）的方案和我们的方案的总体运行时间。根据图4，与Wang和Long（2020）、Long和Xiong（2020）的两种协作密钥生成方案相比，所提出的方案在协作密钥生成阶段的耗时 与 这 两 种 方 案 相 当 与 Mu et al. （ 2020 ） ， He and Zhang（2017），He and Zhang（2018），Long and Xiong（2020）的四个协作签名生成方案相比，我们的方案在协作签名阶段的耗时实验结果与理论分析一致本文提出的方案和Long，见图4。 比较各阶段的平均运行时间。刘双根（ShuangGen Liu，R.刘和思源饶沙特国王大学学报4030Xiong（2020）对SM9签名算法的密钥生成和签名过程进行了协同方案设计。 根据图 5、我们方案的整体运行效率高于Long andXiong（2020）。7. 结论在智能家居系统中，用户的签名私钥通常存储在单个设备中。一旦设备遭到恶意攻击，智能家居系统的通信安全将受到威胁。为了降低用户签名私钥泄露的风险，提出了一种两方协作的SM9签名方案，该方案通过两方KGC为用户生成签名私钥，并将与用户签名私钥相关的整数秘密分别存储在两台该方案保证了在不恢复用户完整私钥的情况下通过分析该方案的安全性和性能，证明了该方案是一个安全的两方协作签名方案，并且比现有方案具有更高的计算效率然而，由于我们的方案的协作密钥生成阶段使用的同态加密算法，计算复杂度略高。在未来的工作中，我们将进一步优化该方案，设计出更高效的两方和多方协作SM9签名方案。竞争利益作者声明，他们没有已知的竞争性财务利益或个人关系，可能会影响本文报告的工作。引用Barker，E.，2020.密钥管理建议第1部分（修订版）。特别出版物，800-857。Boneh ，D. ， 富兰 克 林， M. ， 2001. 基 于weil 配 对的 身份 加密 。 I