北京邮电大学-苑译丹

一种基于Web services的业务提供方案
杨鑫;陈俊亮
【期刊名称】《电信科学》
【年(卷),期】2005(21)9
【摘要】业务提供是当前融合网络环境下的重要研究问题,本文首先分析了当前业务提供技术,然后提出一种基于Web services的业务提供方案(WSSP),详细介绍了WSSP的体系结构,重点研究了WSSP体系结构中的业务生成环境与业务执行环境,对WSSP与其它业务提供技术进行了分析比较.
【总页数】5页(P47-51)
【作者】杨鑫;陈俊亮
【作者单位】北京邮电大学网络与交换技术国家重点实验室,北京,100876;北京邮电大学网络与交换技术国家重点实验室,北京,100876
【正文语种】中文
【中图分类】TN91
【相关文献】
1.一种基于Web Service技术的医学信息整合平台构建方案实现 [J], 孟建;侯琳琳;薛卫京;王海洋
2.一种基于Web Services的信息集成方案 [J], 李艳霞;巩九洲;黎玉琴
3.一种基于Web Services的数字化校园中信息整合的实现方案 [J], 杜娟;徐鲁强
4.一种基于Web Services的数字化校园中信息整合的实现方案 [J], 杜娟;徐鲁强
5.一种基于WebService的分布式排队机方案 [J], 邹春刚;
因版权原因，仅展示原文概要，查看原文内容请购买。

第３１卷第３期北京电子科技学院学报２０２３年９月Ｖｏｌ．３１Ｎｏ．３ＪｏｕｒｎａｌｏｆＢｅｉｊｉｎｇＥｌｅｃｔｒｏｎｉｃＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙＩｎｓｔｉｔｕｔｅＳｅｐ．２０２３ＩＳＲＳＡＣ上基于身份的代理环签名方案设计袁煜淇㊀刘㊀宁㊀张艳硕北京电子科技学院，密码科学与技术系，北京市㊀１０００７０摘㊀要：数字签名作为核心密码技术之一，对数据安全保护起着重要作用㊂代理环签名是一种兼具环签名和代理签名两者功能的特殊类型的数字签名，适用于对用户身份信息有较高保护需求的领域㊂ＲＳＡ作为数字签名的基础算法之一，其安全性随着量子计算的快速发展而遭受威胁㊂２０１８年，Ｍ．Ｔｈａｎｇａｖａｌ等人在ＲＳＡ的基础上提出ＩＳＲＳＡＣ算法，该算法通过增加因式分解复杂性并引入随机数实现对传统ＲＳＡ安全性的改进㊂在赵等人基于身份及ＲＳＡ的代理环签名的基础上做出了改进，结合更安全的ＩＳＲＳＡＣ算法设计并提出了一个基于身份的代理环签名方案，并对方案的正确性及安全性展开分析，同时与其他方案进行对比说明，结果表明该方案具有强不可伪造性㊁匿名性等，能够有效保护授权信息，在匿名电子投票等领域具有很好的现实意义和应用价值㊂关键词：ＩＳＲＳＡＣ；身份基签名；代理环签名；安全性中图分类号：ＴＰ３０９㊀㊀㊀文献标识码：㊀㊀Ａ文章编号：１６７２－４６４Ｘ（２０２３）３－６２－７７∗㊀基金项目：中央高校基本科研业务费专项资金资助（３２８２０２２２６）㊁ 信息安全 国家级一流本科专业建设点和国家重点研发计划基金资助项目（项目编号：２０１７ＹＦＢ０８０１８０３）∗∗㊀作者简介：袁煜淇（２０００－），女，研究生在读，网络空间安全专业㊂Ｅ⁃ｍａｉｌ：１２１０３４６８０７＠ｑｑ．ｃｏｍ刘宁（１９９９－），女，研究生在读，网络空间安全专业㊂Ｅ⁃ｍａｉｌ：１７２４９１６９２５＠ｑｑ．ｃｏｍ张艳硕（１９７９－），男，通信作者，副教授，博士，硕士生导师，从事密码数学理论研究㊂Ｅ⁃ｍａｉｌ：ｚｈａｎｇ＿ｙａｎｓｈｕｏ＠１６３．ｃｏｍ１㊀引言１ １㊀研究背景及意义数字签名技术在数据安全和隐私保护中发挥着尤为重要的作用，大部分签名算法是基于公钥密码体制的，其中经典算法ＲＳＡ是１９７７年由Ｒｉｖｅｓｔ等［１］提出的，其安全性依赖于大整数分解困难问题㊂但随着量子计算机的出现，其安全性遭受威胁㊂不断有学者提出以ＲＳＡ为基础的变种算法，以改进其安全性㊂２０１５年，Ａｒｏｒａ等［２４］通过添加额外的第三素数到公私钥的构成中以增加参数ｎ因子分解的复杂性，并提出了一种加快整个网络的数据交换过程中ＲＳＡ算法实现的改进形式，但容易受到选择密文攻击㊂２０１６年，Ｍｕｓｔａｆｉ等［２５］提出利用双变量双射函数的优化方案㊂２０１８年，Ｔｈａｎｇａｖｅｌ等［２］提出了 用于云数据机密性的改进ＲＳＡ安全密码系统（ＩＳＲ⁃ＳＡＣ） ，同时证明ＩＳＲＳＡＣ算法的安全性高于ＲＳＡ㊂同时，随着技术发展衍生出大量新型应用场景，传统数字签名技术所实现的功能无法满足实际应用需求，故学者们不断提出特殊类型的数字签名以适应使用场景，代理环签名正是其中之一㊂１９９６年，Ｍａｍｂｏ等［３］提出代理签名的概念第３１卷ＩＳＲＳＡＣ上基于身份的代理环签名方案设计㊀以满足签名权可授权委托的使用需求㊂２００１年，Ｒｉｖｅｓｔ等［４］提出环签名的概念，主要思想是可实现以匿名方式发布可靠信息㊂２００３年，Ｚｈａｎｇ等［５］提出代理环签名的概念，结合代理签名和环签名的功能，满足了原始签名人签名权的委托代理及身份匿名的隐私保护需求，能够有效解决代理签名者的隐私保护问题㊂在上述基于ＲＳＡ的改进算法及具备特殊功能的签名方案的研究背景下，讨论研究基于新型算法构造的具有特殊性质的签名方案，对密码技术应用于诸如电子现金㊁电子投票㊁匿名通信等对用户身份隐私保护具有较高要求的领域有重要的理论意义和实用价值㊂１ ２㊀国内外研究现状ＩＳＲＳＡＣ算法是在公钥密码体制下以传统ＲＳＡ算法为基础的改进安全性的新型算法，而数字签名的安全性极大程度依赖于其核心算法的安全性，故基于ＩＳＲＳＡＣ构造的数字签名相比于基于传统ＲＳＡ算法的签名方案而言，具有更高的安全性㊂２０１５年，Ｔｈａｎｇａｖｅｌ等［６］提出了ＥＳＲＫＧＳ算法，该算法将ＲＳＡ中的大整数分解由两个素数改进为四个素数，增加了破解难度㊂２０１８年，Ｔｈａｎｇａｖｅｌ等［７］再次提出了ＩＳＲＳＡＣ算法以改进了Ｌｖｙ等人指出的缺陷，进一步增强方案的安全性㊂２０２１年，Ｙａｎｇ等［８］构造了基于ＩＳＲＳＡＣ的数字签名方案，在此基础上分别设计了代理签名方案㊁广播多重签名方案和有序多重签名方案㊂２０２２年，刘等［９］在Ｙａｎｇ等人的基础上，设计了基于ＩＳＲＳＡＣ的按序代理多重签名以及广播代理多重签名方案㊂同年，张等［１０］基于ＩＳＲＳＡＣ算法构造了一个环签名方案，并证明了一系列安全性质㊂目前，不断有学者以ＩＳＲＳＡＣ为基础构造出适用于不同场景的数字签名方案，将该算法的安全性优势与数字签名技术结合，并研究讨论其在各领域上的应用㊂代理环签名的概念是Ｚｈａｎｇ等［５］人在２００３年提出的，将代理签名和环签名两者的功能特性结合，在实现签名权委托代理的同时有效保护了代理签名人的匿名性㊂２００４年，Ｃｈｅｎｇ等［１１］首次提出基于身份的代理环签名，简化了公钥证书管理㊂２００８年，Ｓｃｈｕｌｄｔ等［１２］人提出了一个基于身份的代理环签名方案㊂２００９年，陈等［１３］人提出了基于ＲＳＡ的代理环签名方案㊂２０１４年，Ａｓａａｒ［１４］给出了基于身份的代理环签名定义及其安全模型，证明了基于ＲＳＡ假设的随机预言机模型下身份基代理环签名方案是安全的㊂２０１５年，张等［１５］基于双线性对运算和离散对数的困难性问题，提出了基于身份的代理签名㊂２０１８年，赵等［１６］提出了基于身份及ＲＳＡ的简短代理环签名方法，缩短密钥及签名长度以提高计算效率㊂２０１９年，Ｌｉｕ等［１７］提出了一种高效的车载代理环签名方案㊂２０２２年，袁等［１８］通过对ＳＭ２算法进行改进，提出了一种高效的门限环签名方案㊂１ ３㊀主要工作及组织结构本文在文献［１６］的基础上做出研究，设计并提出了一个ＩＳＲＳＡＣ上基于身份的代理环签名方案㊂在随机预言模型下，基于ＩＳＲＳＡＣ的方法被证明是安全的㊂对于本文在ＩＳＲＳＡＣ算法基础上提出的基于身份的代理环签名方案设计，首先在方案构造上是基于公钥密码体制，相比于以往基于双线性对来构造身份基代理环签名的方法做出了创新；同时，方案的安全性与构成代理环的成员数量无关，实现了强不可伪造性；此外，引入安全性高于ＲＳＡ的ＩＳＲＳＡＣ算法，比现有的基于身份的代理环签名安全性更高㊂最后，对方案计算代价进行研究分析，并结合其他方案做出对比说明，进一步突出方案的计算实现的效率㊂本文主要内容安排如下：第１节，主要介绍论文研究的背景意义，概述公钥密码体制下的数字签名技术发展现状，并对ＩＳＲＳＡＣ算法和代理环签名国内外研究现状进行阐述㊂第２节，围绕设计ＩＳＲＳＡＣ及基于身份的代理环签名方案过㊃３６㊃北京电子科技学院学报２０２３年程中涉及到的密码学知识进行介绍说明㊂第３节，本节介绍了方案设计的相关知识和方案设计的具体内容㊂第４节，对方案的正确性及安全性进行进一步分析及对比说明㊂第５节，对本文主要工作和成果进行总结概述㊂２㊀基础知识㊀㊀本节将引入相关指标说明ＩＳＲＳＡＣ算法的安全性高于ＲＳＡ㊂再依次介绍基于ＩＳＲＳＡＣ的一般数字签名㊁环签名以及代理环签名方案㊂２ １㊀ＩＳＲＳＡＣ算法的安全性ＩＳＲＳＡＣ是以ＲＳＡ为基础的改进算法，通过强化大整数分解的复杂性，并引入随机数，使得时间复杂度这一指标随着算法复杂程度增加而增大㊂具体说明如下：（１）强化大整数分解难题㊂对于大整数Ｎ的生成，由ＲＳＡ中两个大素数ｐ，ｑ相乘，改进为两个大自然数ｐ－１，ｑ－１和两个大素数相乘，增加了因式分解的难度㊂因而现有的攻击方法通过因式分解求得私钥的时间复杂度指标增大㊂（２）引入随机数增大攻破难度㊂ＩＳＲＳＡＣ算法中在私钥生成过程中定义了一个新的安全函数α（ｎ），同时引入了一个随机数ｒ以生成α（ｎ）㊂因此，即使攻击者破解得到ｐ，ｑ，但由于ｒ的随机性，也使攻击者无法破解得到私钥ｄ㊂由上述两方面可以明确，ＩＳＲＳＡＣ在理论上大大提升了算法破解的时间复杂度，使得其安全性远高于传统ＲＳＡ，该结论也在Ｙａｎｇ等［８］人的文章中得到证明㊂２ ２㊀基于ＩＳＲＳＡＣ的数字签名方案该签名算法中，使用ＩＳＲＳＡＣ生成公私钥对㊂算法流程分为三个阶段：密钥生成算法㊁签名生成算法㊁签名验证算法㊂具体如下：（１）密钥生成算法：随机选取大素数ｐ，ｑ且ｐʂｑ，ｐ，ｑ＞３；计算ｎ＝ｐ㊃ｑ㊃（ｐ－１）㊃（ｑ－１），ｍ＝ｐ㊃ｑ；随机选取整数ｒ，其中ｒ满足条件ｐ＞２ｒ＜ｑ，再计算得到α（ｎ）＝（ｐ－１）（ｑ－１）（ｐ－２ｒ）（ｑ－２ｒ）２ｒ；选取公钥ｅ，其中１＜ｅ＜α（ｎ），ｇｃｄ（ｅ，α（ｎ））＝１；计算私钥ｄ，其中ｄ㊃ｅʉ１（ｂｍｏｄα（ｎ））㊂综上，确定公钥（ｅ，ｍ）和私钥（ｄ，ｎ）㊂（２）签名生成算法：假设明文为Ｍ，哈希函数为Ｈ，哈希值为Ｈ（Ｍ）㊂私钥为（ｄ，ｎ），计算ＳʉＨ（Ｍ）ｄｂｍｏｄｍ作为Ｈ（Ｍ）的签名㊂（３）签名验证算法：验证消息Ｍ上的签名Ｓ，使用同一哈希函数计算Ｈ（Ｍ），用公钥（ｅ，ｍ）验证Ｈ（Ｍ）ʉＳｅｂｍｏｄｍ是否正确㊂如果等式正确，则接受签名㊂２ ３㊀基于ＩＳＲＳＡＣ的环签名方案２０２２年，张等人提出一个基于ＩＳＲＳＡＣ的环签名方案，这一方案主要包含三个算法：密钥生成算法㊁环签名生成算法㊁环签名验证算法㊂（１）密钥生成算法与基于ＩＳＲＳＡＣ的一般数字签名方案一致，使用ＩＳＲＳＡＣ生成公私钥对㊂（２）环签名生成算法签名者通过随机ｎ－１个用户的公钥，以及自己的公钥形成一个公钥环Ｌ＝｛Ｐ１，Ｐ２， ，Ｐｎ｝，其中Ｐｉ＝（ｅｉ，ｍｉ），ｉ＝１，２， ，ｎ，签名者为其中第π（１ɤπɤｎ）个用户，再利用自身私钥（ｄπ，ｎπ）和公钥环Ｌ通过下列算法生成对消息Ｍ的环签名：计算Ｓπ＝Ｈ１（Ｍ）ｄπ㊃ᵑｎｉ＝１，ｉʂπＨ１（Ｍ）－ｅｉ２（ｂｍｏｄｍ）；Ｓｉ＝Ｈ１（Ｍ）ｅπｅｉ（ｍｏｄｍ），输出关于Ｍ的环签名（Ｓ１，Ｓ２， ，Ｓｎ）㊂（３）环签名验证算法验证者收到消息Ｍᶄ及环签名值（Ｓ１ᶄ，Ｓ２ᶄ， ，Ｓｎᶄ）后进行验证：计算Ｈ１（Ｍᶄ），ᵑｎｉ＝１Ｓᶄｉｅｉ；判断ᵑｎｉ＝１ＳᶄｉｅｉʉＨ１（Ｍᶄ）（ｂｍｏｄｍ）是否成立㊂２ ４㊀基于ＩＳＲＳＡＣ的代理环签名方案基于ＩＳＲＳＡＣ算法的代理环签名方案分为㊃４６㊃第３１卷ＩＳＲＳＡＣ上基于身份的代理环签名方案设计㊀四个阶段：系统建立㊁用户密钥生成阶段㊁签名阶段以及验签阶段㊂（１）系统建立：通过ＩＳＲＳＡＣ算法生成公私钥对分别为（ｅ，ｍ），（ｄ，ｎ）；选择两个Ｈａｓｈ函数：Ｈ１：｛０，１｝∗ңＺｍ∗，Ｈ２：｛０，１｝∗ң｛０，１｝ａ；公开系统参数（ｍ，ｅ，Ｈ１，Ｈ２），ＣＡ将私钥（ｄ，ｎ）作为主密钥㊂随机生成一些素数作为Ｈ１函数，本方案选择ＳＭ３函数作为Ｈ２函数㊂（２）用户密钥生成阶段１）独立用户密钥生成㊂ＣＡ根据每个用户的身份生成唯一编号ＩＤ：ＩＤ＝Ｈ１（身份信息）作为每个用户公钥ｐｋ，Ｓ为用户ＩＤ集合：（ＩＤ１，ＩＤ２， ，ＩＤｎ）ɪＳ；ＣＡ计算用户私钥ｓｋ＝（ＩＤ）ｄｂｍｏｄｎ并以安全方式发送给用户㊂用户收到密钥后通过ＩＤʉ（ｓｋ）ｅｂｍｏｄｍ进行验证㊂上述用户密钥生成过程可由一个ＣＡ单独完成，虽然用户信任ＣＡ，但实际应用中由于ＣＡ知道每个用户的密钥，具有过大权限则不能对它进行合理约束㊂２）联合用户密钥生成㊂为此在设计方案时由多个独立的ＣＡ联合生成密钥，通过多个分密钥联合生成用户密钥：Ｄｉｄ＝Ｄｉｄ（１）＋Ｄｉｄ（２）＋Ｄｉｄ（３）＋， ＋Ｄｉｄ（ｎ），可有效约束ＣＡ㊂具体方案如下：每个分ＣＡｉ选择整数ｅｉ，满足，ｇｃｄ（ｅｉ，α（ｎ））＝１，计算ｄｉ：ｅｉ㊃ｄｉʉｂｍｏｄα（ｎ），给定初始值：Ｃ０＝ＩＤ，ｅ＝１㊂随机选择一些ＣＡｉ，１ɤｉɤｋ（ｋ为ＣＡ个数），计算：Ｃｉʉ（Ｃｉ－１）ｄｉｂｍｏｄｎ，ｅʉｅｉ㊃ｅｂｍｏｄα（ｎ）㊂得到：ｓｋʉＣｋʉ（ＩＤ）ｄｂｍｏｄｎ，ｄ＝ᵑｉɪＣＡｄｉ（ｂｍｏｄα（ｎ）），ＩＤʉ（ｓｋ）ｅｂｍｏｄｍ，ｅʉᵑｉɪＣＡｅｉ（ｂｍｏｄα（ｎ））㊂（３）签名阶段原始签名者Ａ需要向环内成员签名时，Ａ将消息ｍｓｇＡ（Ｒ Ｍ Ｌ）发送给ＣＡ，即包括自己身份㊁期限的授权信息Ｒ，需要签名的消息集Ｍ和代理签名成员集合信息Ｌ＝｛ＩＤ１，ＩＤ２， ，ＩＤｎ｝㊂ＣＡ收到消息后，生成含有Ａ信息的密钥，并通过安全的方式发送给Ａ：ＳＡʉ（Ｈ２（Ｒ Ｍ Ｌ））ｄｂｍｏｄｎ㊂Ａ在收到来自ＣＡ的密钥后，通过ＳＡｅʉＨ２（Ｒ Ｍ Ｌ）ｂｍｏｄｍ验证㊂确认无误后，Ａ随机选择整数ｒɪｕＺ∗ｍ，计算代理信息：ｔʉｒｅｂｍｏｄｍ，ｓʉＳＡ㊃ｒ（Ｈ２（ｔ Ｍ））ｂｍｏｄｍ，并发送给环内授权成员ＩＤɪＬ㊂环内代理成员ＩＤｓɪＬ接收到Ａ发来的代理信息（ｓ，ｔ）后进行验证：ｓｅʉＨ２（Ｒ Ｍ Ｌ）㊃ｔＨ２（ｔ Ｍ）ｂｍｏｄｍ㊂确认无误后，代理Ｌ签署信息㊂首先对所有的ｉɪ｛１，２， ，ｎ｝ɡｉʂｓ，随机均匀㊁一致的选择ｒｉɪｕＺ∗ｍ，再计算：ｔｉʉｒｉｅｂｍｏｄｍ，ｈｉ＝Ｈ２（ＩＤｉ，ｔｉ，Ｍ，Ｌ）㊂随机选择一个ｒｓɪｕＺ∗ｍ，计算ｔｓʉｒｓｅᵑｉʂｓ（ＩＤｉ）－ｈｉｂｍｏｄｍ，如果有（ｔｓ＝１）ᶱ（ｔｓ＝ｔｉ，ｉʂｓ），则重新计算ｔｉ，ｈｉ，否则计算ｈｓ＝Ｈ２（ＩＤｓ，ｔｓ，Ｍ，Ｌ）㊂ＩＤＳ用Ａ的授权信息ｓ生成自己的代理密钥ｓｋᶄｓʉｓｋｓｈｓ㊃ｓｂｍｏｄｍ㊂计算σʉｓｋᶄｓᵑｎｉ＝１ｒｉｂｍｏｄｎ㊂最后生成代理环签名：Ω＝｛Ｒ，Ｍ，Ｌ，ｔ，ｔ１， ，ｔｎ，ｈ１， ，ｈｎ，σ｝（４）验签阶段对于签名的每个接收者首先选择ＩＤｉɪＬ验证：ｈｉ＝Ｈ２（ＩＤｉ，ｔｉ，Ｍ，Ｌ），ｉ＝１，２， ，ｎ，进而验证：σｅʉᵑ１ɤｉɤｎ（ｔｉＩＤｉｈｉ）㊃ｔＨ２（ｔ Ｍ）Ｈ２（Ｒ Ｍ Ｌ）ｂｍｏｄｍ㊂如果两者相等，则说明签名验证结果正确，反之错误，拒绝签名㊂３㊀ＩＳＲＳＡＣ上基于身份的代理环签名方案㊀㊀本节设计并提出了一个ＩＳＲＳＡＣ上基于身份的简短代理环签名方案，该方案包括６个算法：密钥生成（Ｇｅｎｅｒａｔｉｏｎ）㊁提取（Ｅｘｔｒａｃｔ）㊁代理委托（Ｄｅｌｅｇａｔｉｏｎ）㊁验证委托（ＶｅｒｉｆｙＤｅｌｅｇａｔｉｏｎ）㊁签名（Ｓｉｇｎ）和验证（Ｖｅｒｉｆｙ）㊂该方案能够有效缩短密钥和签名长度，提高了计算效率；在实现上不受代理密钥暴露攻击的影响，具有强不可伪㊃５６㊃北京电子科技学院学报２０２３年造性㊂３ １㊀符号说明注意：如果算法Ａ是（ｔ，ｑｇ，ｑｐ，ｑｅ，ｑｅ，ｑｐｒｓ，ｅ）有界的，即算法的运行时间最多为ｔ，使得最多在时间ｑｇ查询预言机Ｇ，在时间ｑｐ查询随机预言机Ｐ，在时间ｑｅ查询Ｅｘｔｒａｃｔ，在时间ｑｄ查询ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ和在时间ｑｓ查询Ｓｉｇｎ预言机，可以至少以ε的概率赢得游戏㊂表１㊀符号说明符号含义说明ｘƔѳＸ表示分配给ｘ的操作Ｘ是一个集合ｘ是从集合Ｘ均匀随机选择的一个元素ｘ１ ｘ２ ｘｎ表示一个编码为字符串组成的对象的有效回收ｘ１，ｘ２， ｘｎ，是对象＃空字符串｜ｘ｜表示ｘ的比特长度θѳＣ（ｘ１， ｘｎ）表示算法Ｃ输入ｘ１， 输出到θ３ ２㊀相关知识（１）ＩＳＲＳＡＣ假设ＩＳＲＳＡＣ密钥生成器ＫＧｉｓｒｓａｃ是生成四元组（ｎ，ｍ，ｅ，ｄ）的算法，其中ｎ＝ｐ㊃ｑ㊃（ｐ－１）㊃（ｑ－１），ｍ＝ｐ㊃ｑ且ｅ㊃ｄʉｂｍｏｄ（α（ｎ）），其中α（ｎ）＝（ｐ－１）（ｑ－１）（ｐ－２ｒ）（ｑ－２ｒ）２ｒ㊂算法Ｂ打破ＫＧｉｓｒｓａｃ和ＩＳＲＳＡＣ单向性的有利条件定义为：Ａｄｖｏｗ－ｉｓｒｓａｃＫＧｉｓｒｓａｃ（Ｂ）＝ｐｒ（ｎ，ｍ，ｅ，ｄ）ѳＫＧｉｓｒｓａｃ；γѳＺＮｙ＝γｅｂｍｏｄｍγѳＢ（ｎ，ｍ，ｅ，ｙ）éëêêêêùûúúúú即Ｂ打破了ＩＳＲＳＡＣ相对于ＫＧｉｓｒｓａｃ的（ｔᶄ，εᶄ）的单向性，如果Ｂ以ｔᶄ的时间运行，并且有利条件为Ａｄｖｏｗ－ｉｓｒｓａｃＫＧｉｓｒｓａｃ（Ｂ）ȡεᶄ㊂（２）基于身份的签名［１３］在签名认证的过程中，将主体公钥与之身份信息相关联是十分有意义的，基于此，Ｓｈａｍｉｒ［１９］提出了一种基于身份的公钥密码体制㊂密钥生成算法为：公钥＝Ｈ（身份信息）；私钥＝Ｆ（主密钥，公钥）㊂该密钥生成与传统公钥密码体制相反，该计算过程无法公开，只限于特定的主体，以实现对计算出的密钥的保密㊂在该公钥密码体制中，用户可以使用身份信息等作为公钥，再用公钥生成私钥，此即为基于身份的公钥密码体制㊂在Ｓｈａｍｉｒ的基于身份的签名方案中包括４步算法［２０］㊂建立：这个算法由ＴＡ（可信机构）运行来生成系统参数和主密钥；用户密钥的生成：这个算法也由ＴＡ执行，输入主密钥和一条任意的比特串ｉｄɪ｛０，１｝∗，输出与ｉｄ对应的私钥；签名：一个签名算法㊂输入一条消息和签名者的私钥，输出一个签名；验证：一个签名的验证算法㊂输入一个消息㊁签名对和ｉｄ，输出Ｔｒｕｅ或Ｆａｌｓｅ㊂（３）安全模型Ｙｕ［２１］等提出对基于身份的代理环签名方法选择身份攻击，存在Ａ１，Ａ２，Ａ３三种类型的潜在敌手㊂安全模型中需要满足代理签名者身份的不可伪造性并且对抗适应性选择消息可实现存在性不可伪造㊂若方案对２㊁３型敌手安全，则对１型敌手也是安全的㊂在挑战者Ｃ和敌手Ａ之间开始以下游戏，验证方案对Ａ１㊁Ａ２㊁Ａ３敌手的不可伪造性㊂Ｃ运行算法ＰａｒａＧｅｎ，用安全参数ｌ获得系统参数ｐａｒａ和主密钥（ｍｐｋ，ｍｓｋ），然后发送主密钥给Ａ㊂Ａ将密钥与各身份ＩＤｕ对应并运行ＫｅｙＥｘｔｒａｃｔ算法，Ｃ将私钥ｘｕ返回给敌手㊂敌手Ａ可以基于消息空间描述符ω上原始签名者的身份ＩＤ０和身份集ＩＤ请求授权，ＩＤ是ＩＤ０在ω上签名权委托代理的身份集㊂Ｃ运行ＫｅｙＥｘｔｒａｃｔ得到ｘ０并返回σ０：σ０ѳＤｅｌｅｇａｔｉｏｎＧｅｎ（Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ，ω，ｘ０）㊂Ａ可请求ｍｅｓｓａｇｅ有关于ＩＤ到Ｃ的代理环签名㊂此外，敌手Ａ为ω和ＩＤ提供了一个具有㊃６６㊃第３１卷ＩＳＲＳＡＣ上基于身份的代理环签名方案设计㊀身份ＩＤ０的原始签名者的授权σ０，该授权由ＤｅｌｅｇａｔｉｏｎＧｅｎ算法得到或由Ａ产生㊂Ｃ检查σ０是一个有效授权，在授权中具有身份ＩＤ０的原始签名者将ω的签名权授权给具有身份集ＩＤ的委托代理，满足ＩＤ⊆ＩＤ，ｍｅｓｓａｇｅɪω㊂若上述不成立，返回＃；否则，Ｃ运行ＫｅｙＥｘｔｒａｃｔ算法获得对应于身份ＩＤｊ的一个代理签名者密钥ｘｊ，ＩＤｊƔѳＩＤ，再运行ＰｒｏｘｙＲｉｎｇＳｉｇｎ算法生成代理环签名θ并返回给敌手Ａ㊂最后，输出一个关于原始签名者身份ＩＤ０和代理签名者身份集ＩＤ∗的基于身份的有效代理环签名（ｍｅｓｓａｇｅ∗，ω∗，θ∗），其中ＩＤ∗⊆ＩＤ∗，ＩＤ(是损坏的代理签名者的集合，并赢得游戏㊂对于Ａ＝Ａ１，Ｅ０：ＩＤ０∗和ＩＤ∗中所有身份未被请求给Ｅｘｔｒａｃｔ查询机，即Ａ１没有密钥对应于它们；Ｅ１：（ω∗，ＩＤ∗）对没有被要求作为身份ＩＤ０∗下的一个ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ查询；Ｅ２：ｍ∗没有被要求作为身份集ＩＤ∗下的一个Ｓｉｇｎ查询㊂敌手Ａ１定义为［１４］：如果没有有界的（ｔ，ｑｇ，ｑｅ，ｑｄ，ｑｓ，ε）敌手Ａ赢得游戏，基于身份的代理环签名（ｔ，ｑｇ，ｑｅ，ｑｄ，ｑｓ，ε）存在不可伪造性抵抗自适应性选择消息（权证）和选择身份攻击㊂对于Ａ＝Ａ２，Ｅ０：ＩＤ０∗没有被要求作为一个Ｅｘｔｒａｃｔ查询；Ｅ１：（ω∗，ＩＤ∗）对没有被要求作为身份ＩＤ０∗下的一个ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ查询㊂敌手Ａ２定义为：如果没有有界的（ｔ，ｑｇ，ｑｅ，ｑｄ，ε）敌手Ａ赢得游戏，基于身份的代理环签名（ｔ，ｑｇ，ｑｅ，ｑｄ，ε）存在不可伪造性抵抗自适应性选择消息（权证）和选择身份攻击㊂对于Ａ＝Ａ３，Ｅ０：ＩＤ∗中每个身份都没有被要求作为一个Ｅｘｔｒａｃｔ查询；Ｅ１：ｍｅｓｓａｇｅ没有被要求作为身份集ＩＤ∗⊆ＩＤ∗下的一个Ｓｉｇｎ查询㊂敌手Ａ３定义为：如果没有有界的（ｔ，ｑｇ，ｑｅ，ｑｓ，ε）敌手Ａ赢得游戏，基于身份的代理环签名（ｔ，ｑｇ，ｑｅ，ｑｓ，ε）存在不可伪造性抵抗自适应性选择消息（权证）和选择身份攻击㊂３ ３㊀方案设计根据基于ＩＳＲＳＡＣ的代理环签名以及基于身份的签名的构造方法，本节设计并提出了ＩＳＲＳＡＣ上基于身份的代理环签名方案㊂其中，ＩＤ０表示每个原始签名人身份，ＩＤ和ＩＤ表示委托代理的身份集及每个子集㊂假设：委托代理中代理签名者的身份数量为ｎ（ｎȡ２）；ＩＤ的每个子集ＩＤ大小为ｚ（ｚȡ２）㊂ＩＳＲＳＡＣ上基于身份的代理环签名方案由６个算法构成，分别为：密钥生成（Ｇｅｎｅｒａｔｉｏｎ），密钥提取（Ｅｘｔｒａｃｔ），代理委托（ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ），代理验证（ＶｅｒｉｆｙＤｅｌｅｇａｔｉｏｎ），签名（Ｓｉｇｎ）和验证（Ｖｅｒｉｆｙ），各算法的具体流程如下㊂（１）系统参数及密钥生成（Ｇｅｎｅｒａｔｉｏｎ）：输入系统参数ｌ，输出系统参数Ｐａｒａ和系统主密钥（ｍｓｋ，ｍｐｋ），即：（Ｐａｒａ，（ｍｓｋ，ｍｐｋ））ѳＰａｒａＧｅｎ（ｌ）㊂系统参数如下：假设ｌ０，ｌ１，ｌＮɪＮ，且Ｐ０：｛０，１｝∗ң｛０，１｝ｌ０，Ｐ０：｛０，１｝∗ң｛０，１｝ｌ１，Ｇ：｛０，１｝∗ңＺ∗Ｎ是随机预言机㊂设ＫＧｉｓｒｓａｃ是ＩＳＲ⁃ＳＡＣ密钥对产生器，输出四元组（ｎ，ｍ，ｅ，ｄ），使α（ｎ）＞２ｌｎ，ｅ的长度大于ｌ０和ｌ１位㊂密钥分配中心ＫＧｉｓｒｓａｃ生成ＩＳＲＳＡＣ参数（ｎ，ｍ，ｅ，ｄ）㊂发布ｍｐｋ＝（ｅ，ｍ）作为主密钥，并保持主密钥ｍｓｋ＝（ｄ，ｎ）的秘密㊂因此，公共参数是Ｐａｒａ＝（Ｐ０，Ｐ１，Ｇ）和ｍｐｋ㊂（２）密钥提取（Ｅｘｔｒａｃｔ）：输入Ｐａｒａ，ｍｐｋ主密钥ｍｓｋ＝ｄ和用户身份的ＩＤｕ；输出身份ＩＤｕ相应的密钥（密钥分配中心计算ｘｕ＝Ｇ（ＩＤｕ）ｄｂｍｏｄｍ，并将安全且经过身份验证的通道上的用户密钥ｘｕ发送给身份为ＩＤｕ的用户），即ｘｕѳＥｘｔｒａｃｔ（Ｐａｒａ，ｍｐｋ，ｍｓｋ，ＩＤｕ）㊂㊃７６㊃北京电子科技学院学报２０２３年（３）委托代理（ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ）：若身份ＩＤ０的原视签名人决定将其签名权委托给具有身份集ＩＤ的委托代理，则采用该算法㊂输入Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ的原始签名者的密钥ｘ０，信息空间描述符ωɪ｛０，１｝；输出一个授权σ０，即σ０ѳＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ（Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ，ｘ０）㊂系统参数如下：设ω是一个信息空间描述符，具有身份ＩＤ０的原始签名者愿意将他的签名权委托给具有身份集ＩＤ的代理签名组，授权σ０＝（Ｒ０，ｓ０）＝（ｒ０ｅｂｍｏｄｍ，ｒ０ｘ０ｃ０ｂｍｏｄｍ），其中ｒ０ѳＺ∗Ｎ且ｃ０＝Ｐ０（Ｒ０ ω ＩＤ）㊂然后，原始签名者发布授权σ０（ω，ＩＤ）㊂（４）代理验证（ＶｅｒｉｆｙＤｅｌｅｇａｔｉｏｎ）：输入Ｐａｒａ，ＩＤ０，ＩＤ，ω，σ０，如果σ０是一个有效的授权，输出为１，否则为０㊂即｛０，１｝ѳＶｅｒｉｆｙＤｅｌｅｇａｔｉｏｎ（Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ，ω，ｘ０）㊂系统参数如下：假设原始签名人的身份ＩＤ０，代理签名人的身份集ＩＤ，信息空间描述符ω和授权σ０，如果关系ｓ０ｅ＝Ｒ０Ｇ（ＩＤ０）ｃ０适用，验证者检查，其中ｃ０＝Ｐ０（Ｒ０ ω ＩＤ）㊂如果结果如上所述，该授权是有效的；否则，该授权无效㊂（５）签名（Ｓｉｇｎ）：输入Ｐａｒａ，ｍｐｋ至少包含两个身份的代理签名者的身份集ＩＤ，ω的一个有效授权σ０和ＩＤ满足ＩＤ⊆ＩＤ，代理签名者的密钥ｘｊ，对应身份ＩＤｊƔѳＩＤ⊆ＩＤ和消息ｍｅｓｓａｇｅɪω㊂输出是基于身份的代理环签名θ㊂即θѳＳｉｇｎ（Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ，ＩＤ，（ｍｅｓｓａｇｅ，ω，σ０），ｘｊ）㊂系统参数如下：具有身份ＩＤｊƔѳＩＤ⊆ＩＤ（ｊɪ｛０， ，ｚ－ａ｝）的代理签名者可以匿名签名消息ｍｅｓｓａｇｅɪω，代表具有如下所述的密钥ｘｊ和有效授权σ０的且身份为ＩＤ０的原始签名者㊂１）代理签名者ＩＤｊ选择ｒƔѳＺ∗Ｎ，计算Ｒ＝ｒｅｂｍｏｄｍ，ｃｊ＋１＝Ｐ１（Ｒ ＩＤ ＩＤ ＩＤｊ ω ｍｅｓｓａｇｅ）㊂２）对于ｊ－１ɤｕɤｊ＋１代理签名者ＩＤｊ选择ｒƔѳＺ∗Ｎ并且计算Ｒｕ＝ｒｅｂｍｏｄｍ和ｃｕ＋１＝Ｐ１（ＲｕＧ（ＩＤｕ）ｃｕＲ０Ｇ（ＩＤ０）ｃ０ ＩＤＩＤ ＩＤｕ ω ｍｅｓｓａｇｅ）㊂３）代理签名者ＩＤｊ计算ｒｊ＝ｒｓｕｘｊｃｊｂｍｏｄｍ㊂４）在消息ｍｅｓｓａｇｅ和消息空间描述符ω上，基于原始签名者的身份ＩＤ０和代理签名者的身份子集ＩＤ⊆ＩＤ，代理环签名是θ＝（Ｒ０，ｒ０， ，ｒｚ－１，Ｃ０）㊂（６）验证（Ｖｅｒｉｆｙ）：输入Ｐａｒａ，ＩＤ０，ＩＤ，ＩＤ，ω，ｍｅｓｓａｇｅ，θ，如果θ是一个基于身份的有效代理环签名，输出是１，否则为０，即｛０，１｝ѳＶｅｒｉｆｙ（Ｐａｒａ，ｍｐｋ，ＩＤ０，ＩＤ，ω，ｍｅｓｓａｇｅ，θ）㊂系统参数如下：鉴于原始签名者的身份ＩＤ０和代理签名者的身份集ＩＤ及ＩＤ，消息空间描述符ω，消息ｍｅｓｓａｇｅ，代理环签名θ，验证过程如下：１）如果ｍｅｓｓａｇｅɪω检查；否则，停止；２）如果ＩＤ⊆ＩＤ，检查；否则，停止；３）对于０ɤｕɤｚ－１，计算Ｒｕ＝ｒｅ和ｃｕ＋１＝Ｐ１（ＲｕＧ（ＩＤｕ）ｃｕＲ０Ｇ（ＩＤ０）ｃ０ ＩＤＩＤ ＩＤｕ ω ｍｅｓｓａｇｅ）接受签名当且仅当ｃｚ＝ｃ０，其中ｃ０＝Ｐ０（Ｒ０ ω ＩＤ）㊂４㊀ＩＳＲＳＡＣ上基于身份的代理环签名方案分析４ １㊀正确性分析下面将对上述方案进行正确性分析，方案的正确性可验证如下：㊃８６㊃第３１卷ＩＳＲＳＡＣ上基于身份的代理环签名方案设计㊀由ｒｊ＝ｒｓｕｘｊｃｊｂｍｏｄｍ，Ｒ＝ｒｅｂｍｏｄｍ，ｘｕ＝Ｇ（ＩＤｕ）ｄｂｍｏｄｍ，授权信息σ０＝（Ｒ０，ｓ０）＝（ｒ０ｅｂｍｏｄｍ，ｒ０ｘ０ｃ０ｂｍｏｄｍ），可以得到验证等式ｒｊｅＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝ｒｓ０ｘｊｃｊæèçöø÷ｅＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝ｒｅｓ０ｅｘｊｅｃｊＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝Ｒｓ０ｅｘｊｅｃｊＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝Ｒ（ｒ０ｘ０ｃ０）ｅｘｊｅｃｊＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝Ｒ（ｒ０ｅ）ｘ０ｃ０ｅｘｊｃｊｅＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝ＲＲ０Ｇ（ＩＤ０）ｄｃ０ｅＧ（ＩＤｊ）ｄｃｊｅＧ（ＩＤｊ）ｃｊＲ０Ｇ（ＩＤ０）ｃ０（ｂｍｏｄｍ）＝Ｒ（ｂｍｏｄｍ）由上述等式可验证方案的正确性㊂４ ２㊀安全性分析下面对方案的安全性进行具体分析，证明该方案中代理签名者身份隐私具有无条件匿名性并在随机预言模型下该方案具有强不可伪造性㊂在证明过程中，若ＩＳＲＳＡＣ上基于身份的代理环签名方案对２㊁３型敌手是安全的，那么它对１型敌手也能确保安全，为了证明所构造的方案具有不可伪造性，需要证明他是不可伪造的敌手Ａ２，Ａ３㊂引理４ １［２２］首先介绍安全模型证明过程中运用的分裂引理㊂假设Ａ⊂ＸˑＹ，使得Ｐｒ［（ｘ，ｙ）ɪＡ］ȡδ㊂对任何α＜δ，定义Ｂ＝｛（ｘ，ｙ）⊂ＸˑＹ｜ＰｒｙᶄɪＹ［（ｘ，ｙ）ɪＡ］ȡδ－ａ｝和Ｂ－＝（ＸˑＹ）Ｂ，有如下声明：（１）Ｐｒ［Ｂ］ȡα；（２）∀（ｘ，ｙ）ɪＢ，ＰｒｙᶄɪＹ［（ｘ，ｙ）ɪＡ］ȡδ－α；（３）Ｐｒ［Ｂ｜Ａ］ȡαδ㊂定理４ ２若ＩＳＲＳＡＣ函数与ＫＧｉｓｒｓａｃ的关联是（ｔᶄ，εᶄ）单向的，并且εᶄȡε２２（１－２－ｌ０）４（ｑＰ０＋ｑｄ），ｔᶄɤ２（ｔ＋（ｑＧ＋ｑＥ＋２ｑｄ）ｔｅ），其中ε２ȡε４ｑＥ－ｑｄ（２ｑｄ＋ｑＰ０）２－ｌＮ－２－ｌ０，在Ｚ∗Ｎ中ｔｅ是一个指数的时间，ｑＧ，ｑＰ０，ｑＥ，ｑｄ分别是查询预言机Ｇ，Ｐ０，Ｅｘｔｒａｃｔ，ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ的次数，那么该方案对敌手Ａ２是（ｔ，ｑＧ，ｑＰ０，ｑｄ，ε）安全的㊂证明：对敌手Ａ２，构造算法Ｂ，输入（ｎ，ｍ，ｅ，ｙ＝γｅ）运行Ａ２，输出是γ＝ｙ１ｅｂｍｏｄｍ㊂算法Ｂ运行Ａ２，在输入ｍｐｋ＝（ｅ，ｍ）和回答Ａ２的预言机查询时，由于Ａ２拥有所有代理签名人的密钥，可以模拟代理环签名，因此预言机访问Ｓｉｇｎ是没有必要的，消除了方案的不可伪造性㊂假设算法ＣＡ２保持最初的空关联组Ｔ［㊃］和ＴＰ０［㊃］，并回答如下Ａ２的预言机查询㊂（１）Ｐ０（Ｒ０ ω ＩＤ）查询：如果定义ＴＰ０［Ｒ０ ω ＩＤ］，Ｂ返回它的值；否则，Ｂ选择ＴＰ０［Ｒ０ ω ＩＤ］Ɣѳ｛０，１｝ｌ０，并返回ＴＰ０［Ｒ０ ω ＩＤ］给Ａ２㊂（２）Ｇ（ＩＤｕ）查询：如果Ｔ（ＩＤｕ）＝（ｂ，ｘｕ，Ｘｕ），Ｂ返回Ｘｕ㊂如果这项尚未定义，则选择ｘｕƔѳＺ∗Ｎ，并且ｂ＝０的概率是β，ｂ＝１的概念是１－β㊂如果ｂ＝０，则Ｂ设置Ｘｕ＝ｘｅｕ；如果ｂ＝１，设置Ｘｕ＝ｘｅｕｙｂｍｏｄｍ㊂它存储Ｔ［ＩＤｕ］ѳ（ｂ，ｘｕ，Ｘｕ），并返回Ｘｕ给Ａ２㊂（３）基于ＩＤｕ的Ｅｘｔｒａｃｔ查询：算法Ｂ查找Ｔ［ＩＤｕ］＝（ｂ，ｘｕ，Ｘｕ），如果这项尚未定义，它执行查询Ｇ（ＩＤｕ）㊂如果ｂ＝０，则Ｂ返回ｘｕ；否则，设置ｂａｄＰＥѳｔｒｕｅ，中止Ａ２㊃９６㊃北京电子科技学院学报２０２３年执行㊂（４）基于身份ＩＤ０的（ω，ＩＤ）ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ查询：算法Ｂ执行查询Ｇ（ＩＤ０），查找Ｔ［ＩＤｕ］＝ｂ，ｘｕ，Ｘｕ㊂如果ｂ＝０，则Ｂ执行ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ算法模拟ＩＤ０的授权，因为Ｂ知道原始签名者的密钥ｘ０㊂如果ｂ＝１，Ｂ首先选择ｃ０Ɣѳ｛０，１｝ｌ０和ｓ０ƔѳＺ∗Ｎ，并计算Ｒ０ѳｓ０ｅＸ０－Ｃ０ｂｍｏｄｍ㊂如果ＴＰ０［Ｒ０ ω ＩＤ］已经被定义，则Ｂ设置ｂａｄＤＧѳｔｒｕｅ并且中止；否则，设置ＴＰ０［Ｒ０ ω ＩＤ］ѳｃ０，返回σ０＝（Ｒ０，ｓ０，ｃ０）给Ａ２㊂最后，假设如果Ｂ不中止签名模拟，在时限ｔ内，至少以概率ε，用原始签名者身份ＩＤ０对消息ｍ和授权ω，Ａ２输出一个有效的伪造（Ｒ０，ｓ０，ｃ０）㊂首先，计算Ｂ不中止回答Ａ２的查询的概率下界，需要计算η＝Ｐｒ［ ｂａｄＰＥ］Ｐｒ［ ｂａｄＤＧ｜ ｂａｄＰＥ］，其中作为Ａ２对Ｅｘｔｒａｃｔ和ＰｒｏｘｙＤｅｌ⁃ｅｇａｔｉｏｎ分别查询的结果，事件ｂａｄＰＥ和ｂａｄＤＧ表明Ｂ中止签名模拟㊂这些概率计算如下：１）要求１：Ｐｒ［ ｂａｄＰＥ］ȡβｑＥ㊀㊀证明：Ｂ在Ａ２的Ｅｘｔｒａｃｔ查询中中止的概率为Ｐｒ［ ｂａｄＰＥ］㊂对Ｅｘｔｒａｃｔ查询，当ｂ＝１时，Ｂ以概率１－β中止且ｂａｄＰＥѳｔｒｕｅ㊂故在一个Ｅｘｔｒａｃｔ查询中Ｐｒ［ ｂａｄＰＥ］为β，且对于大部分ｑＥ的查询，该概率值至少是βｑＥ㊂２）要求２：Ｐｒ［ ｂａｄＤＧ｜ ｂａｄＰＥ］ȡ１－ｑｄ（（ｑｄ＋ｑＰ０）２－ｌＮ）－ｑ２ｄ２－ｌＮ㊀㊀证明：事件 ｂａｄＰＥ和 ｂａｄＤＧ是独立的，故Ｐｒ［ ｂａｄＤＧ｜ ｂａｄＰＥ］＝Ｐｒ［ ｂａｄＤＧ］㊂在ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ查询中，Ｂ中止的概率为Ｐｒ［ ｂａｄＤＧ］㊂当查询ｂａｄＤＧѳｔｒｕｅ时，Ｂ中止，该事件的概率包含两部分，一是以前查询Ｐ０发生的ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ模拟中（Ｒ０ ω ＩＤ）产生的概率，二是Ｂ以前在ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ模拟中使用相同随机性Ｒ０的概率㊂前者用于ｑｄＰｒｏｘｙＤｅｌ⁃ｅｇａｔｉｏｎ查询的概率至少为ｑｄ（ｑｄ＋ｑＰ０）２－ｌＮ，后者用于ｑｄＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ查询的概率至少为ｑ２ｄ２－ｌＮ㊂因此，Ｂ不中止签名仿真的概率至少是ηȡβｑＥ－ｑｄ（２ｑｄ＋ｑＰ０）２－ｌＮ㊂由于伪造是有效的，因此有ｓ０ｅ＝Ｒ０（Ｇ（ＩＤ０））ｃ０，在原始签名者身份ＩＤ０下，Ａ２没有要求ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ算法授权（ω ＩＤ），并且ＩＤ０没有要求Ｅｘｔｒａｃｔ查询㊂另外，Ｇ（ＩＤ０）＝ｘｅ０ｙ的概率是１－β㊂然后Ｂ为ＩＤ０查找Ｔ［㊃］以获取值ｘ０，并以概率ε１ȡε（１－β）ηȡε（１－β）βｑＥ－ｑｄ（２ｑｄ＋ｑＰ０）２－ｌＮ返回有用的输出（Ｒ０，ｓ０，ｃ０，ｘ０）㊂因此，Ｂ以概率ε１ȡε４ｑＥ－ｑｄ（２ｑｄ＋ｑＰ０）２－ｌＮ返回可用的输出（Ｒ０，ｓ０，ｃ０，ｘ０）㊂由于Ｐ０是随机预言机，除非在攻击期间被询问，ｃ０＝Ｐ０（Ｒ０ ω ＩＤ）事件发生的概率小于２－ｌ０㊂而很可能在成功攻击期间查询（Ｒ０ ω ＩＤ），对预言机Ｐ０查询后生成有效伪造概率的下界是ε２ȡε１－２－ｌ０㊂之后Ｂ使用预言机重放技术［２３］解决ＩＳＲＳＡＣ问题㊂Ｂ算法采用两份Ａ２，猜测固定参数１ɤｐɤ（ｑＰ０＋ｑｄ），希望ｐ是查询（Ｒ０ ω ＩＤ）到预言机Ｐ０的索引，猜测的概率是１ｑＰ０＋ｑｄ㊂算法Ｂ给出了相同的系统参数，相同的身份和相同的随机比特序列给两份Ａ２，并返回相同的直到查询预言机第ｐ次查询随机应答㊂对第ｐ次查询预言机Ｐ０，Ｂ给Ｈａｓｈ查询Ｐｐ两个随机应答ｃ０和ｃᶄ０，使得ｃ０ʂｃᶄ０㊂因此，在Ａ２从Ｐ０查询相同的（Ｒ０ ω ＩＤ）后，Ｂ获得两个有用的输出（Ｒ０，ｓ０，ｃ０，ｘ０）和（Ｒ０，ｓᶄ０，ｃᶄ０，ｘ０）㊂利用引理１计算Ｂ返回一个有用对的概率㊂假定Γ表示Ａ２成功执行的集合，Ｂ返回有用输出的成功概率是在空间（Ｘ，Ｙ）上，其中Ｘ是随机位和Ｂ占用除了与预言机Ｐ０相关的随机预言机响应的集合；Ｙ是随机预言机响应预言机㊃０７㊃第３１卷ＩＳＲＳＡＣ上基于身份的代理环签名方案设计㊀Ｐ０的集合㊂因此，Ｐｒ［（Ｘ，Ｙ）ɪΓ］＝ε２㊂用引理１，分裂了有关Ｐ０到（Ｙᶄ，ｃ０）的随机性Ｙ，除了结果为ｃ０的第ｋ次查询，Ｙ是所有到Ｐ０不同查询的随机响应的集合㊂引理１保证Ω每个子集的存在，使得Ｐｒ［Ω｜Γ］ȡγδ＝１２，并且对每个（Ｘ，Ｙ）ɪΩ，Ｐｒｃ０ᶄ［（Ｘ，Ｙᶄ，ｃᶄ０）ɪΓ］ȡδ－γ＝ε２２（ｑＰ０＋ｑｄ）㊂如果Ｂ用固定（Ｘ，Ｙᶄ）和随机选择的ｃᶄ０ɪ｛０，１｝ｌ０重放攻击，它得到另一个成功对（（Ｘ，Ｙᶄ），ｃᶄ０），使得ｃ０ʂｃᶄ０以概率ε２（１－２－ｌ０）４（ｑＰ０＋ｑｄ）㊂Ａ２成功执行两次后，Ｂ得到（（Ｘ，Ｙᶄ），ｃ０）和（（Ｘ，Ｙᶄ），ｃᶄ０），ｃ０ʂｃᶄ０，即以概率εᶄȡε２２（１－２－ｌ０）４（ｑＰ０＋ｑｄ）得到有用对（Ｒ０，ｓ０，ｃ０，ｘ０）和（Ｒ０，ｓᶄ０，ｃᶄ０，ｘ０）㊂从有用对（Ｒ０，ｓ０，ｃ０，ｘ０）和（Ｒ０，ｓᶄ０，ｃᶄ０，ｘ０），Ｂ计算ｙ的ＩＳＲＳＡＣ算法反演如下㊂由于输出是基于有效的伪造，因此ｓｅ０＝Ｒ０（ｘｅ０ｙ）ｃ０，ｓｅᶄ０＝Ｒ０（ｘｅ０ｙ）ｃᶄ０㊂此外，还得到ｘ０（ｃᶄ０－ｃ０）ｓ０ｓᶄ０æèçöø÷ｅ＝ｙ（ｃ０－ｃᶄ０）ｂｍｏｄｍ㊂由于ｃ０ʂｃᶄ０ɪ｛０，１｝ｌ０并且ｅ是一个长度严格大于ｌ０的素数，即ｅ＞ｃ０－ｃᶄ０，因此ｇｃｄ（ｅ，（ｃ０－ｃᶄ０））＝１㊂使用扩展Ｅｕｃｌｉｄｅａｎ算法，可以找到ａ，ｂɪＺ，使得ａｅ＋ｂ（ｃ０－ｃᶄ０）＝１㊂得出ｙ＝ｙａｅ＋ｂ（ｃ０－ｃᶄ０）＝ｙａｘ０（ｃᶄ０－ｃ０）ｓｓᶄæèçöø÷ｂæèçöø÷ｅｂｍｏｄｍ㊂算法Ｂ以概率εᶄ输出ｙａｘ０（ｃᶄ０－ｃ０）ｓｓᶄæèçöø÷ｂæèçöø÷作为ｙ的ＩＳＲＳＡＣ反演㊂算法Ｂ的运行时间ｔᶄ是Ａ２的２倍，加上响应Ｈａｓｈ查询所需的时间，ｑＥＥｘｔｒａｃｔ和ｑｄＰｒｏｘｙ⁃Ｄｅｌｅｇａｔｉｏｎ查询的时间㊂假设ＺＮ中ｌ（多）次模指数运算需要ｔｅ时间，当所有其他操作需要时间为零，由于每个随机预言机Ｇ或Ｅｘｔｒａｃｔ查询需要的时间最多为１次指数运算，１个授权模拟需要２次指数运算，Ｂ的运行时间为ｔᶄɤ２（ｔ＋（ｑＧ＋ｑＥ＋２ｑｄ）ｔｅ），证明完成㊂定理４ ３若与ＫＧｉｓｒｓａｃ相关的ＩＳＲＳＡＣ函数是（ｔᶄ，εᶄ）单向的，并且εᶄȡ（ε１－ｚ２－ｌ０）２（１－２－ｌ０）８（ｑＰ１＋ｑｓ）（ｑＰ１＋ｑｓ＋１），ｔᶄɤ２（ｔ＋（ｑＧ＋ｑＥ＋（２ｚ＋１）ｑｓ）ｔｅ）㊂当ε１ȡε４ｑＥ－（２ｑ２ｓ＋ｑｓｑＰ１）２－ｌＮæèçöø÷，在Ｚ∗Ｎ中ｔｅ是一个指数的时间，ｑＧ，ｑＰ０，ｑＰ１，ｑＥ，ｑ分别是预言机Ｇ，Ｐ０，Ｐ１，Ｅｘｔｒａｃｔ，Ｓｉｇｎ的查询数量，那么该方案对敌手Ａ３是（ｔ，ｑＧ，ｑＰ，ｑＥ，ｑＰｒｓ，ε）安全的㊂证明：证明对于敌手Ａ３，构造算法Ｂ，输入（（ｅ，ｍ），ｙ＝ｙｅｂｍｏｄｍ）运行Ａ３，目标是输出γ＝ｙ１ｅｂｍｏｄｍ㊂算法Ｂ运行Ａ３，在输入ｍｐｋ＝（ｅ，ｍ）和应答Ａ３的预言机查询时，打破该方法的存在不可伪造性㊂Ａ３拥有原始签名者的私钥，故可以模拟授权，预言机访问ＰｒｏｘｙＤｅｌｅｇａｔｉｏｎ是没有必要的㊂假设算法Ｂ保持初始的空关联数组Ｔ［㊃］，ＴＰ０［㊃］，ＴＰ１［㊃］，并且应答Ａ３的预言机查询如下㊂（１）Ｐ０（Ｒ０ ω ＩＤ）查询：如果定义ＴＰ０［Ｒ０ ω ＩＤ］，则Ｂ返回它的值，否则Ｂ选择ＴＰ０［Ｒ０ ω ＩＤ］Ɣѳ｛０，１｝ｌ０，返回ＴＰ０［Ｒ０ ω ＩＤ］给Ａ３㊂（２）Ｐ１（ＲｕＧ（ＩＤｕ）ｃｕＲ０Ｇ（ＩＤ０）ｃ０ ＩＤ ＩＤ ＩＤｕω ｍｅｓｓａｇｅ）查询：如果定义ＴＰ１［ＲｕＨ（ＩＤｕ）ｃｕＲ０Ｈ（ＩＤ０）ｃ０ ＩＤ ＩＤ ＩＤｕω ｍｅｓｓａｇｅ］，则Ｂ返回它的值；否则，Ｂ选择ＴＰ１［ＲｕＧ（ＩＤｕ）ｃｕＲ０Ｇ（ＩＤ０）ｃ０ ＩＤ ＩＤ ＩＤｕ ω ｍｅｓｓａｇｅ］Ɣѳ｛０，１｝ｌ１返回给Ａ３ＴＰ１［ＲｕＧ（ＩＤｕ）ｃｕＲ０Ｇ（ＩＤ０）ｃ０ ＩＤ ＩＤ ＩＤｕ ω ｍｅｓｓａｇｅ］㊂㊃１７㊃。

北京市教育委员会办公室关于公布2011年本市大学生
学科竞赛获奖名单的通知
文章属性
•【制定机关】北京市教育委员会
•【公布日期】2012.02.13
•【字号】京教办函[2012]4号
•【施行日期】2012.02.13
•【效力等级】地方规范性文件
•【时效性】现行有效
•【主题分类】高等教育
正文
北京市教育委员会办公室关于公布2011年本市大学生学科竞
赛获奖名单的通知
（京教办函〔2012〕4号）
各普通高等学校：
2011年，市教委共举办了数学建模与计算机应用竞赛等15项赛事，来自83所高校的近2万余名学生参加了市级竞赛。

目前各项竞赛评审工作已经完成，现将获奖名单予以公布。

各高校要充分认识学科竞赛对于培养大学生实践创新能力、团队精神和促进教师教学改革交流的重要作用，利用学科竞赛引导性强、受益面广的特点，积极开展校级竞赛，创新工作机制，完善配套政策，加大支持力度，进一步提高人才培养质量。

二〇一二年二月十三日附件1：
2011年北京市大学生数学建模与计算机应用竞赛获奖名单
附件2：。