張 平，栗亞敏

河南科技大學(xué) 數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，河南 洛陽(yáng)471000

1 引言

在互聯(lián)網(wǎng)高速發(fā)展的今天，越來(lái)越多的密碼系統(tǒng)被應(yīng)用于安全性較差的場(chǎng)合，密鑰保護(hù)勢(shì)在必行。在公鑰密碼體制中，密鑰泄露會(huì)給用戶帶來(lái)極大的損失。為了減小密鑰泄露的可能，早期的辦法包括：秘密分享系統(tǒng)、門(mén)限密碼系統(tǒng)和前攝密碼系統(tǒng)。但是這些系統(tǒng)的開(kāi)銷很大，因此有很大的局限性。密鑰泄露是無(wú)法避免的，但是前向安全技術(shù)可以減少密鑰泄露帶來(lái)的損失。這個(gè)技術(shù)的核心就是系統(tǒng)時(shí)間劃分方法，它的具體思想是將簽名系統(tǒng)的有效期劃分為若干個(gè)時(shí)間段，私鑰隨著時(shí)間段的變化而變化，公鑰保持不變，即使某一時(shí)間段的私鑰泄露，也不會(huì)影響到以前各時(shí)間段簽名方案的安全性。

橢圓曲線密碼體制是基于橢圓曲線的一種公鑰體制，橢圓曲線理論是包含代數(shù)幾何、代數(shù)數(shù)論和解析數(shù)論這三門(mén)學(xué)科的綜合性學(xué)科。由于早期的基于有限乘法群的密碼體系不安全，研究人員提出了能否用其他有限群來(lái)代替有限乘法群的問(wèn)題。鑒于此，Koblitz[1]和Miller[2]提出了橢圓曲線密碼體制（ECC），該體制是目前安全性最高的公鑰加密算法。1997 年，Anderson[3]在CCCS’97 上首次提出了前向安全的思想，但是只給出了簡(jiǎn)單的概念性描述，并沒(méi)有給出具體的使用方案。隨后，Bellare 和Miner[4]在Crypto’99 上給出了前向安全的詳細(xì)定義，并且構(gòu)造出首個(gè)有效的具有前向安全的簽名體制。2003年，Hu[5]等人提出了第一個(gè)基于雙線性配對(duì)的前向安全簽名方案。2004年，徐丹等人[6]提出了一種基于離散對(duì)數(shù)問(wèn)題的強(qiáng)健的密鑰演化簽名體制。2006 年，符茂勝等人[7]利用關(guān)聯(lián)因子構(gòu)造了一種基于ECC的前向安全數(shù)字簽名方案。2013年，徐光寶等人[8]在Guillou-Quisquater 簽名體制和Rabin 密碼體制的基礎(chǔ)上提出了一個(gè)強(qiáng)前向安全的數(shù)字簽名方案。2015年，陳輝焱等人[9]提出了一種基于橢圓曲線的前向安全簽名；同年，甄平等人[10]利用Chebyshev 公鑰算法，提出一種基于身份的前向安全數(shù)字簽名算法。2016 年，周克元[11]設(shè)計(jì)了一種具有消息恢復(fù)功能的橢圓曲線數(shù)字簽名方案，該方案不僅能抗偽造簽名攻擊，還具有前向安全性；同年，李亞榮等人[12]提出一個(gè)前向安全代理簽名方案，該方案滿足前向安全代理簽名的所有安全性要求；李順波等人[13]借助單向散列鏈技術(shù)構(gòu)造了一種基于ElGamal 體制的數(shù)字簽名方案。2017 年，李靳元等人[14]針對(duì)基于橢圓曲線的前向安全數(shù)字簽名方案所存在的安全性漏洞問(wèn)題，給出偽造簽名的方法，并對(duì)方案進(jìn)行了改進(jìn)。隨后，一些前向安全的特殊數(shù)字簽名方案[15-19]被相繼提出。

現(xiàn)有的前向安全的簽名方案大多數(shù)都是建立在大素?cái)?shù)因子分解和有限域離散對(duì)數(shù)問(wèn)題上的。目前安全性，最高的公鑰加密算法是橢圓曲線密碼體制（ECC）。相對(duì)于RSA 密碼體制和DSA 密碼體制來(lái)說(shuō)，橢圓曲線具有以下優(yōu)勢(shì)：（1）有限域上的橢圓曲線資源豐富；（2）求解橢圓曲線上離散對(duì)數(shù)問(wèn)題（ECDLP）比有限域上離散對(duì)數(shù)問(wèn)題更加困難；（3）在相同的安全強(qiáng)度下，橢圓曲線密鑰長(zhǎng)度更小，更加節(jié)省計(jì)算資源和存儲(chǔ)空間。但是已有的橢圓曲線簽名方案大部分沒(méi)有前向安全性。本文將橢圓曲線密碼體制的優(yōu)勢(shì)與前向安全的概念相結(jié)合，在ECDSA方案的基礎(chǔ)上，引入系統(tǒng)時(shí)間劃分方法來(lái)減少密鑰泄露帶來(lái)的損失，從而構(gòu)造出一種基于橢圓曲線的前向安全的簽名方案，然后在隨機(jī)預(yù)言模型基于ECDLP 問(wèn)題的困難性證明該方案的前向安全性，并將該方案與同樣具有前向安全性的周克元方案進(jìn)行效率比較。

2 預(yù)備知識(shí)

2.1 橢圓曲線離散對(duì)數(shù)問(wèn)題

橢圓曲線離散對(duì)數(shù)問(wèn)題是橢圓曲線密碼體制的核心。橢圓曲線離散對(duì)數(shù)問(wèn)題就是對(duì)于橢圓曲線E(GF(q))上任意兩點(diǎn)G 和Q，有Q=dG，在已知G 和Q 的前提下求出小于q 的正整數(shù)d。己知d 和G 計(jì)算Q 比較容易，但是己知Q 和G 計(jì)算d 則很困難，這便是橢圓曲線加密體制的核心。

橢圓曲線密碼體制的安全性基于橢圓曲線離散對(duì)數(shù)問(wèn)題，也就是求解ECDLP 算法的時(shí)間復(fù)雜度。和一般的有限乘法群上的離散對(duì)數(shù)問(wèn)題所不同的是，有限域上的橢圓曲線離散對(duì)數(shù)問(wèn)題的求解難度更大，求解過(guò)程更復(fù)雜，在多項(xiàng)式時(shí)間內(nèi)無(wú)法被所有的已知算法求解。在一般的離散對(duì)數(shù)問(wèn)題中，有限域上的代數(shù)運(yùn)算包括域加法和域乘法兩種運(yùn)算，這使得一般的離散對(duì)數(shù)問(wèn)題可以在亞指數(shù)時(shí)間內(nèi)被求解。然而，在橢圓曲線離散對(duì)數(shù)中的代數(shù)運(yùn)算只包含橢圓曲線上的點(diǎn)加這一種基本運(yùn)算。這導(dǎo)致的結(jié)果是除了一些非常特殊的橢圓曲線外，在亞指數(shù)時(shí)間內(nèi)所有的離散對(duì)數(shù)求解算法都無(wú)法求解橢圓曲線離散對(duì)數(shù)問(wèn)題。

2.2 前向安全體制

前向安全體制中的密鑰更新過(guò)程如圖1所示，在前向安全的密碼系統(tǒng)中，假設(shè)密鑰演化體制中存在一個(gè)可信的第三方TD（Trusted Dealer），它擁有一些特殊的密鑰，這些特殊的密鑰用來(lái)更新簽名體制中的密鑰。這里假設(shè)整個(gè)體制的時(shí)間被劃分為N 個(gè)時(shí)間段。用戶的公鑰自始至終都保持不變，但是用戶的私鑰要在每個(gè)時(shí)間段的開(kāi)始進(jìn)行一次更新。在整個(gè)密鑰更新過(guò)程中，F(xiàn)表示單向的密鑰更新函數(shù)，第j-1 個(gè)時(shí)間段的私鑰SKj-1通過(guò)計(jì)算函數(shù)F 可以得到第j 個(gè)階段的私鑰SKj，要保證由SKj計(jì)算SKj-1是困難的。由于在某個(gè)特定的時(shí)間段j 內(nèi)，用戶在進(jìn)行簽名時(shí)用到的只是該時(shí)間段的私鑰SKj，所以該時(shí)間段的密鑰泄漏，只會(huì)損失系統(tǒng)當(dāng)前的安全性和以后的安全性，卻不會(huì)危害到系統(tǒng)之前的安全性。

圖1 前向安全的密鑰更新過(guò)程

密鑰演化體制KE=(Gen,Upd,Sign,Vrfy) 由以下四部分組成[20]。

Gen（密鑰生成算法）：(PK,SK0,S)←Gen(1λ,…)該算法是概率多項(xiàng)式時(shí)間的算法。輸入的是安全參數(shù)λ和其他系統(tǒng)參數(shù)，輸出為公鑰PK 、初始私鑰SK0。其中S 代表陷門(mén)，當(dāng)系統(tǒng)中存在可信的第三方TD時(shí)，將陷門(mén)S 給TD，如果系統(tǒng)中不存在可信的第三方TD，則丟棄陷門(mén)S。

Upd（私鑰更新算法）：SKj←Upd(j,SKj-1)該算法是確定多項(xiàng)式時(shí)間的算法。輸入的是前一時(shí)間段的私鑰SKj-1，輸出為該時(shí)間段的私鑰SKj。當(dāng)系統(tǒng)中存在可信的第三方TD時(shí)，則該過(guò)程與第三方TD共同完成。

Sign（簽名生成算法）：(j,s)←Sign(j,SKj,m)該算法是概率多項(xiàng)式時(shí)間的算法。輸入的是該時(shí)間段的私鑰SKj和消息m，輸出為該時(shí)間段消息m 的簽名(j,s)。

Vrfy（簽名驗(yàn)證算法）：{ }0,1 ←Vrfy(PK,M,(j,s))該算法是確定多項(xiàng)式時(shí)間的算法。輸入的是公鑰PK 、消息m 和消息m 所對(duì)應(yīng)的簽名(j,s)，輸出為0 或1，其中0 表示拒絕接受簽名，1 表示同意接受簽名。當(dāng)Vrfy(PK,M,(j,s))=1 時(shí)，簽名(j,s)是消息m 在j 時(shí)間段的有效簽名。

3 ECDSA簽名方案

3.1 參數(shù)選擇

GF(q)是有限域，E:y2=x3+ax+b(mod q)（a,b ∈GF(q)，且4a3+27b2≠0）是該有限域上的橢圓曲線，G是橢圓曲線上的一個(gè)基點(diǎn)，ord(G)=n，n 是一個(gè)大素?cái)?shù)，是余因子，d 是簽名私鑰，Q=dG 是簽名公鑰，是美國(guó)NIST和NSA 設(shè)計(jì)的一種安全Hash 算法，輸入信息長(zhǎng)度一般小于264bit。D={ }q,a,b,G,n,h ，Q、H 公開(kāi)，d 保密。

3.2 簽名生成

簽名者A利用公私鑰對(duì)消息m 簽名：

（2）計(jì)算kG=(x1,y1) ，r=x1mod n ；若r=0 ，跳至步驟（1）。

（3）計(jì)算e=H(m)。

（4）計(jì)算s= k-1(e+dr)mod n ；若s= 0 ，則跳至步驟（1）。

（5）簽名結(jié)果為(r,s)。

3.3 簽名驗(yàn)證

（2）計(jì)算e=H(m)。

（3）計(jì)算w=s-1mod n。

（4）計(jì)算u1=ew mod n 和u2=rw mod n。

（5）計(jì)算X=u1G+u2Q=( x2,y2)。

（6）若X=0，拒絕該簽名。

（7）計(jì)算v=x2mod n，若v=r ，則接受該簽名，否則拒絕該簽名。

3.4 安全性分析

該方案不具有前向安全性，即一旦私鑰d 泄露，之前所有的簽名都會(huì)被破壞，從而導(dǎo)致整個(gè)密碼體制崩潰。為減少密鑰泄露帶來(lái)的損失，需要設(shè)計(jì)出一個(gè)新的密碼體制，使得某一時(shí)間段私鑰的泄露不影響以前各時(shí)間段簽名體制所提供的安全保障。

4 改進(jìn)的橢圓曲線簽名方案

針對(duì)原簽名方案存在的安全問(wèn)題，進(jìn)行改進(jìn)，引用徐丹等人[6]密鑰更新方法，將系統(tǒng)的有效時(shí)間分為若干個(gè)時(shí)間段，在每個(gè)時(shí)間內(nèi)進(jìn)行密鑰演化，提出了一個(gè)新的橢圓曲線簽名方案。假設(shè)在系統(tǒng)中存在可信第三方TD，其持有一些用來(lái)更新密鑰的秘密。

4.1 參數(shù)選擇

GF(q)是有限域，E:y2=x3+ax+b(mod q)（a,b ∈GF(q)，且4a3+27b2≠0）是該有限域上的橢圓曲線，G是橢圓曲線上的一個(gè)基點(diǎn)，ord(G)=n，n 是一個(gè)大素?cái)?shù)，是余因子，是美國(guó)NIST和NSA設(shè)計(jì)的一種安全Hash算法，輸入信息長(zhǎng)度一般小于264bit。假設(shè)在系統(tǒng)中存在可信第三方TD，其持有一些用來(lái)更新密鑰的秘密。假設(shè)系統(tǒng)的有效時(shí)間被分為N 段。

4.2 密鑰生成

（1）隨機(jī)選擇z 次多項(xiàng)式f(x)=a0+a1x+a2x2+…+azxzmod n。

（2）初始私鑰SK0=f(0)=a0，公鑰為PK=(a0G,a1G,…,azG)。

（3）隨機(jī)選擇xi∈[1,n-1]，1 ≤i ≤z，將f(xi)分配給TD。

4.3 密鑰演化

該部分引用徐丹等人[6]密鑰更新方法。簽名者和TD 用分布式的方法共同計(jì)算SKj=f(j)(j ≥0) 。在密鑰更新過(guò)程中需要TD 的參與，假設(shè)有z 個(gè)TD，每個(gè)TDi有一個(gè)共享份額f(xi)(1 ≤i ≤z)，xi互不相同，且遠(yuǎn)大于時(shí)間段數(shù)N ，簽名者擁有時(shí)間段j-1 的私鑰f(j-1)。假設(shè)簽名者和TD 之間有保密信道。不妨假設(shè)簽名者是TD0，則由Langrange 插值公式可知：

（1）每個(gè)TDl(1 ≤l ≤z)，隨機(jī)選z 元變量(al,z,…,al,1)，構(gòu)建一個(gè)z 次多項(xiàng)式，通過(guò)保 密 信 道 將hl(xi) 發(fā) 送 給TDi(1 ≤i ≤z) ，設(shè)F(x)=

（2）每個(gè)TDl(1 ≤l ≤z)，計(jì)算自己的共享份額F(xl)=

（3）每個(gè)TDl(1 ≤l ≤z)，通過(guò)保密信道發(fā)送F(xl)給簽名者TD0。

（4）簽名者TD0根據(jù)F(x0),F(x1),…, F(xz) 通過(guò)Langrange插值公式計(jì)算F(x)的常數(shù)項(xiàng)系數(shù)，則計(jì)算出其在第j 時(shí)間段的私鑰

4.4 簽名生成

4.4.1 第一種簽名生成方案

簽名者A利用公私鑰對(duì)消息m 簽名：

（2）計(jì)算kG=(x1,y1)，r=x1mod n ；若r=0，跳至步驟（1）。

（3）計(jì)算e=H(m,r)。

（4）計(jì)算sj=k-1(e+SKj?r) mod n；若sj=0，則跳至步驟（1）。

（5）簽名結(jié)果為(j,(e,sj) )。

4.4.2 第二種簽名生成方案

由于第一種簽名生成方案中存在模逆運(yùn)算，效率勢(shì)必會(huì)很低，對(duì)此作出改進(jìn)。

簽名者A利用公私鑰對(duì)消息m 簽名：

（2）計(jì)算kG=( x1,y1)，r=x1mod n ；若r=0，跳至步驟（1）。

（3）計(jì)算e=H(m,r)。

（4）計(jì)算sj=k+e ?SKjmod n ；若sj=0 ，則跳至步驟（1）。

（5）簽名結(jié)果為(j,(e,sj) )。

4.5 簽名驗(yàn)證

驗(yàn)證者B 驗(yàn)證(j,(e,sj) )是否是A 對(duì)消息m 的簽名（僅對(duì)第二種簽名生成方案進(jìn)行簽名驗(yàn)證）：

（1）檢驗(yàn)e,sj∈[1,n-1] 是否成立，若不成立，返回拒絕簽名。

（3）計(jì)算r'=x2mod n。

（4）驗(yàn)證e=H(m,r')是否成立，若成立，則接受該簽名，否則拒絕該簽名。

4.6 正確性分析

5 安全性分析

（1）與ECDSA方案相比，改進(jìn)方案可以抵抗隨機(jī)數(shù)攻擊。很多人都提到不同消息使用同一簽名方案進(jìn)行簽名時(shí)，使用相同的隨機(jī)數(shù)（這種概率非常?。┦遣恍械腫21]，原因是：如果使用ECDSA方案對(duì)不同消息進(jìn)行簽名時(shí)使用了相同的隨機(jī)數(shù)，就可以用一個(gè)二階的線性方程組解k=(s'-s)-1(e'-e)mod n ，進(jìn)而解出私鑰d=r-1(sk-e)mod n。

如果運(yùn)用改進(jìn)方案分別在不同的時(shí)間段i、j，對(duì)兩個(gè)不同消息使用相同的隨機(jī)數(shù)進(jìn)行簽名，就會(huì)得到方程組，由于不同時(shí)間段的私鑰是不同的，因此無(wú)法通過(guò)方程組求得兩個(gè)私鑰f(i)和f(j)。所以，改進(jìn)方案可以抵抗隨機(jī)數(shù)攻擊。

（2）密鑰演化算法具有前向安全性。根據(jù)徐丹等人[6]密鑰更新方法可知，該方法即使是在z 個(gè)私鑰泄露的情況下，依然是選擇消息攻擊下存在性不可偽造的。敵手無(wú)法通過(guò)第j 時(shí)段的私鑰SKj求得第j-1 時(shí)段的私鑰SKj-1。

（3）簽名算法具有前向安全性。當(dāng)敵手獲得第j 時(shí)段的私鑰時(shí)，他無(wú)法通過(guò)第j 時(shí)段的私鑰去偽造第j-1時(shí)段的簽名。由sj-1=k+e ?SKj-1mod n 可知，如果敵手要偽造第j-1 時(shí)段的簽名(j-1,(e,sj-1))，需要知道SKj-1。而由密鑰演化算法的前向安全性可知，敵手無(wú)法通過(guò)第j 時(shí)段的私鑰SKj求得第j-1 時(shí)段的私鑰SKj-1，從而保證了簽名算法的前向安全性。

通過(guò)以上分析可知，本文解決了敵手在得到某時(shí)間段的簽名私鑰后，在不知道之前時(shí)間段私鑰的情況下能夠偽造任意時(shí)間段簽名的問(wèn)題。

（4）在隨機(jī)預(yù)言模型下，若存在敵手A 以不可忽略的優(yōu)勢(shì)ε 攻破改進(jìn)方案，那么存在算法B 至少以優(yōu)勢(shì)ε'=ε/N-negl(n)的優(yōu)勢(shì)解決ECDLP 問(wèn)題，這里N 是時(shí)間段總數(shù)。

證明 假設(shè)攻擊者A以優(yōu)勢(shì)ε 攻破改進(jìn)方案。算法B的輸入為G，G ∈E。B模擬A的挑戰(zhàn)者如下。

準(zhǔn)備階段：B 設(shè)定時(shí)間段總數(shù)為N ，并猜測(cè)A 偽造時(shí)間段J(0 ≤J ≤N)的簽名。B 在有限域GF(q)上選擇橢圓曲線E ，并在E 上選擇一基點(diǎn)G ，ord(G)=n。B選擇哈希函數(shù)H ，z 次多項(xiàng)式。B 將公鑰PK=(a0G,a1G,…,azG)發(fā)送給A。

查詢階段：哈希查詢：模擬哈希查詢，B包含哈希查詢列表LH和簽名列表LS。所有列表初始為空。當(dāng)A對(duì)m 進(jìn)行哈希查詢時(shí)，B 首先檢查m 是否已出現(xiàn)在列表LS中，若沒(méi)有，B進(jìn)行下面的簽名生成過(guò)程：

（3）消息m 的簽名是σ=(j,(e,sj))。

（4）分別更新列表LH和LS。

接下來(lái)，如果A 詢問(wèn)H(m,b)，B 檢查b=r 是否成立，如果成立返回e ；否則B 選擇隨機(jī)數(shù)l ∈，返回lG，并將元組(m,b,lG,l)插入到列表LH中。

密鑰泄露查詢：A 提交breakin(j+)(1 ≤j+＜N)。若j+≤J ，B報(bào)告失敗并中止；若j+＞J ，B執(zhí)行密鑰更新算法生成SKj+，即SKj+←Update(…Update(SK0))。B 將SKj+返回給A。

簽名查詢：A 提交(j,m)(0 ≤j ≤j+) 。B 任意選擇k ∈[1 ,n-1] ，計(jì)算。然后，將簽名( j,(e,sj) )返回給A。

偽造階段：如果B 在查詢階段沒(méi)有中止退出，則A將以至少為ε 的優(yōu)勢(shì)輸出時(shí)間段索引j*，消息M*和有效偽造(j*,(e*,sj*))，其中0 ≤j*＜j+。若j*≠J ，則B 報(bào)告失敗并中止；否則有，那么，從而求得ECDLP問(wèn)題。

在上述模擬過(guò)程中，若B 猜中A 偽造簽名的時(shí)間段，則在密鑰泄露查詢時(shí)有j+＞J ，即B能產(chǎn)生私鑰SKj+而不中止退出，B 猜測(cè)正確的概率為1/N ，故B 成功求解ECDLP 問(wèn)題的概率至少為ε'=ε/N-negl(n)，這里N是時(shí)間段總數(shù)。

6 效率分析

從算法運(yùn)算量角度分析，設(shè)模乘運(yùn)算的數(shù)據(jù)規(guī)模是n，1 次倍點(diǎn)運(yùn)算復(fù)雜度是，1 次模逆運(yùn)算復(fù)雜度是（相當(dāng)于9次倍點(diǎn)運(yùn)算），1次模乘運(yùn)算復(fù)雜度是。由于改進(jìn)方案引入了密鑰演化思想，和ECDSA方案相比，總體運(yùn)算效率勢(shì)必會(huì)降低，但是在簽名階段和驗(yàn)證階段的效率還是很快的。在簽名階段和驗(yàn)證階段上，將改進(jìn)方案的運(yùn)算量與ECDSA 方案的運(yùn)算量以及同樣具有前向安全的周克元方案[11]的運(yùn)算量進(jìn)行對(duì)比，結(jié)果如表1所示。

表1 ECDSA、周克元方案和本文改進(jìn)方案運(yùn)算量比較

由表1 可知，在簽名階段和驗(yàn)證階段，ECDSA 方案的總運(yùn)算量是N1=O[( 4 lb n+21) n2] ，周克元方案的總運(yùn)算量是N2=O[( 6 lb n+13 )n2] ，改進(jìn)方案的總運(yùn)算量是N3=O[( 2 lb n+2) n2] 。三種復(fù)雜度圖形表示如圖2所示。

圖2 三種方案的簽名復(fù)雜度比較

本文改進(jìn)方案在密鑰生成上雖然無(wú)法和其他兩種方案相比，但是它的簽名生成和簽名驗(yàn)證效率要比其他兩種方案高得多。影響復(fù)雜度的主要運(yùn)算是模乘運(yùn)算和模逆運(yùn)算，改進(jìn)方案在簽名生成和驗(yàn)證時(shí)比ECDSA方案少了2次模逆運(yùn)算，所以在簽名生成和驗(yàn)證階段改進(jìn)方案比ECDSA方案的效率高。改進(jìn)方案和周克元方案同樣具有前向安全性，但是與周克元方案相比，改進(jìn)方案在簽名生成和驗(yàn)證階段少了2 次倍點(diǎn)運(yùn)算、4 次模乘運(yùn)算和1次模逆運(yùn)算，所以改進(jìn)方案的簽名效率提高了很多。因此，與其他兩種方案相比，改進(jìn)方案不僅保證了前向安全性，還大大地提高了簽名效率。然而，由于改進(jìn)方案加入了密鑰演化過(guò)程，總體效率勢(shì)必會(huì)降低，因此，該方案適用于對(duì)安全性要求較高，對(duì)總體效率要求低的應(yīng)用場(chǎng)合。

7 結(jié)束語(yǔ)

本文首先對(duì)ECDSA 方案進(jìn)行分析，發(fā)現(xiàn)該方案沒(méi)有前向安全性，存在密鑰泄露的安全隱患。針對(duì)這個(gè)安全隱患，引用徐丹等人[6]的密鑰更新方法提出改進(jìn)方案，并對(duì)改進(jìn)方案進(jìn)行安全性分析。由分析可知，改進(jìn)方案可以抗隨機(jī)數(shù)攻擊，另外，根據(jù)證明可知，在隨機(jī)預(yù)言模型下基于橢圓曲線離散對(duì)數(shù)問(wèn)題困難的假設(shè)，改進(jìn)方案滿足前向安全性。最后，針對(duì)簽名過(guò)程，運(yùn)用MATLAB編程將該方案與ECDSA方案以及同樣具有前向安全性的周克元方案進(jìn)行效率比較，發(fā)現(xiàn)本文改進(jìn)方案比其他兩種方案的簽名效率高。因此，改進(jìn)方案不僅保證了安全性，簽名效率也得到了顯著提高。