基于格的变色龙签名方案

第1篇测试说明：您好！本测试旨在帮助您了解自己的性格特点，以便更好地认识自我、提升自我。

本测试基于PDP性格测试模型，将根据您的回答将您归为五大性格类型之一：老虎型、孔雀型、考拉型、猫头鹰型和变色龙型。

请您根据自己的真实感受选择最符合您的选项。

请注意，以下问题均为单选题，每题只有一个最佳答案。

第一部分：自我本我1. 当面对一个重要决策时，您通常：A. 首先考虑个人的喜好和兴趣B. 优先考虑团队意见和目标C. 关注长远利益，寻求最有效的解决方案D. 追求完美，对细节要求极高2. 您在团队中通常：A. 激发团队成员的积极性，成为团队的领导者B. 热情开朗，善于与人沟通，是团队的粘合剂C. 安静稳重，专注于自己的工作，对团队贡献巨大D. 适应性强，能根据不同情境调整自己的行为3. 当您遇到困难时，您更倾向于：A. 寻求他人的帮助，共同解决问题B. 依靠自己的力量，独自克服困难C. 分析问题，寻找最佳解决方案D. 保持冷静，调整心态，以平和的心态面对困难4. 您在以下哪种情况下会感到最有成就感？A. 完成一项具有挑战性的任务B. 获得他人的认可和赞扬C. 为团队做出贡献，实现团队目标D. 不断学习和成长，提升自己的能力5. 您在以下哪种情况下会感到最有压力？A. 面对不确定性和风险B. 需要承担责任和压力C. 面对复杂的决策和问题D. 需要满足他人的期望和要求第二部分：角色的我6. 在工作状态中，您认为自己的主要职责是：A. 领导和激励团队，推动项目进展B. 与他人沟通，建立良好的人际关系C. 专注于自己的工作，确保任务完成D. 适应不同环境，灵活应对各种情况7. 您在以下哪种情况下会感到最满意？A. 实现个人目标，获得成功B. 获得他人的尊重和认可C. 为团队做出贡献，实现团队目标D. 保持稳定，避免冲突和压力8. 您在以下哪种情况下会感到最不满意？A. 面对失败和挫折B. 遭遇他人的误解和批评C. 工作环境不稳定，任务繁重D. 无法实现个人目标，感到无助9. 您在以下哪种情况下会感到最焦虑？A. 面对压力和挑战B. 需要承担责任和压力C. 面对复杂的问题和决策D. 遭遇他人的误解和批评10. 您在以下哪种情况下会感到最快乐？A. 实现个人目标，获得成功B. 获得他人的尊重和认可C. 为团队做出贡献，实现团队目标D. 保持稳定，避免冲突和压力第三部分：他人眼中的我11. 您认为他人如何看待您的领导能力？A. 强大、果断、有魄力B. 开放、热情、善于沟通C. 稳重、可靠、值得信赖D. 适应性强、灵活多变12. 您认为他人如何看待您的团队合作能力？A. 具有团队精神，乐于助人B. 热情开朗，善于与人沟通C. 专注于自己的工作，对团队贡献巨大D. 适应性强，能根据不同情境调整自己的行为13. 您认为他人如何看待您的抗压能力？A. 坚韧不拔，善于应对压力B. 稳重、冷静，能够保持冷静C. 乐观积极，善于调整心态D. 适应性强，能根据不同情境调整自己的行为14. 您认为他人如何看待您的学习能力？A. 勤奋好学，善于总结和归纳B. 乐于接受新事物，勇于尝试C. 专注于自己的工作，对知识需求不高D. 适应性强，能根据不同情境调整自己的行为15. 您认为他人如何看待您的沟通能力？A. 热情开朗，善于与人沟通B. 善于倾听，善于理解他人C. 逻辑清晰，表达能力强D. 适应性强，能根据不同情境调整自己的行为结果分析：请将以上15题的答案分别对应到以下五种性格类型，并计算每种类型的总分：- 老虎型：A、B、D、C、D、A、B、A、C、A- 孔雀型：A、A、B、B、B、B、C、B、B、C- 考拉型：C、C、A、C、C、C、A、C、A、C- 猫头鹰型：B、C、D、D、D、C、A、D、A、B- 变色龙型：D、D、D、D、D、D、D、D、D、D根据每种类型的总分，您就可以判断自己属于哪种性格类型了。

理想格上基于身份的环签名方案孙意如;梁向前;商玉芳【期刊名称】《计算机应用》【年(卷),期】2016(036)007【摘要】现有的签名方案大多是基于双线性对,但在量子计算环境下此类方案被证明是不安全的.格具有运算简单、困难问题难以破解等特点,为了抵抗量子攻击,基于格中标准的小整数解(SIS)困难假设,利用Ducas等提出的理想格技术(DUCAS L,MICCIANCIO D.Improved short lattice signatures in the standard model.Proceedings of the 34th Annual Cryptology Conference on Advances in Cryptology.Berlin:Springer,2014:335-352),构造了一种能够在标准模型下给出安全性证明的基于身份的环签名方案.该方案主要分为4个步骤:主密钥生成算法、签名私钥生成算法、签名算法和验证算法.输出的签名为单个向量.相比同类型格上的签名方案,在一定程度上缩减了公钥、签名私钥及签名的长度,提高了运算效率,适用于轻量级认证,算法的安全性也间接保证了电子商务和云计算等领域的安全性.【总页数】6页(P1861-1865,1880)【作者】孙意如;梁向前;商玉芳【作者单位】山东科技大学数学与系统科学学院,山东青岛266590;山东科技大学数学与系统科学学院,山东青岛266590;山东科技大学数学与系统科学学院,山东青岛266590【正文语种】中文【中图分类】TP301.6;TP309.2【相关文献】1.格上基于身份的前向安全环签名方案 [J], 商玉芳;傅泽源2.格上基于身份的代理环签名方案 [J], 张利利;马艳琴3.理想格上基于身份的代理重签名方案 [J], 商玉芳;梁向前;孙意如4.一种理想格上的身份类广播加密方案 [J], 项文;杨晓元;吴立强5.格上基于身份的可链接环签名 [J], 汤永利;夏菲菲;叶青;王永军;张晓航因版权原因，仅展示原文概要，查看原文内容请购买。

基于大概念的群文阅读教学研究——以《我的叔叔于勒》《变色龙》为例徐洁蔺芳华大概念是学科知识的核心，以大概念做统帅，是有效破解群文阅读中寻找组文依据难题的重要方法。

本文以《我的叔叔于勒》《变色龙》为群文阅读研究对象，以“情节运行推动故事发展”大概念为基点设计群文阅讀学习内容，达成深度学习目标，培养学生的学科核心素养。

一、定位情节大概念，确立学习目标· 镜头一·老师:课前预习的时候，学生提出了很多问题，大致可以分为两类:剧情类和人物类。

屏幕显示《我的叔叔于勒》一文提出的问题：为什么于勒要写两封信？（23人）为什么菲利普夫妇在遇见于勒时那么恨于勒？（9人）《变色龙》一文提出的问题：为什么写奥楚蔑洛夫反复“变色”？（18人）可以看出什么样的人性和社会？（10人）师生共同确定学习目标为：1.掌握字词，流利朗读课文;2.概括小说情节，至少举出三处情节运行之美的案例进行品析;3.说一说自己感悟最深的人物，辩一辩“生活中谁可能成为‘变色龙”。

（一）大概念的教学价值大概念是“一组跨领域的高层概念和模型，它们能够对相当范围内的有关现象做出解释”。

[1]2018年1月，在教育部发布的高中各学科课程标准中，首次使用大概念统整各学科课程内容，引领课程与教学改革，明确要以学科大概念为核心促进学科核心素养落实。

传统的小说教学，往往专注于单篇解读，知识点零散、孤立，学生学习肤浅的碎片化知识。

以大概念为基点的群文阅读教学，能让教师找到整合教学内容的依据，通过大概念这个核心使知识融合、贯通，整合学习内容，有利于知识学习的组织化、网络化、结构化，有利于开展从低阶思维迈向高阶思维的进阶式学习。

（二）厘定群文阅读大概念寻找大概念的路径，一方面要基于单元教学分析。

《我的叔叔于勒》是统编语文教材九年级上册第四单元的文章，教学要求为：学会梳理小说情节，试着从不同角度分析人物形象，并结合自己的生活体验，理解小说主题。

《变色龙》是统编语文教材九年级下册第二单元的文章，教学要求为：学习本单元，要在梳理情节、分析人物形象的基础上，对作品的内容、主题有自己的看法，理解小说的社会意义，欣赏学习小说语言，了解小说多样的风格。

软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@ Journal of Software,2015,26(1):129-144 [doi: 10.13328/ki.jos.004553] ©中国科学院软件研究所版权所有. Tel: +86-10-62562563*一种用于流交换的代理重签名方案孙奕1,2,3, 陈性元2, 杜学绘2,3, 陈亮2, 徐建21(北京交通大学计算机与信息技术学院,北京 100044)2(解放军信息工程大学,河南郑州 450000)3(数学工程与先进计算国家重点实验室,河南郑州 450000)通讯作者: 孙奕, E-mail: 11112072@摘要: 为了解决大规模复杂网络环境下流交换的安全问题,首次将代理重签名技术应用到安全流交换中,提出一种用于流交换的基于陷门Hash函数的代理重签名方案.首先,针对陷门Hash函数在流交换应用中存在的密钥泄露问题,提出一种新的基于椭圆曲线的无密钥泄露的陷门Hash函数(EDL-MTH),并对其安全性加以证明;然后,基于EDL-MTH构造了一个在随机预言模型下可证明适应性选择消息攻击安全的代理重签名方案;最后,通过一个示例分析了该方案在安全流交换中的应用和性能.关键词: 流交换;陷门Hash函数;代理重签名;适应性选择消息攻击中图法分类号: TP309 文献标识码: A中文引用格式: 孙奕,陈性元,杜学绘,陈亮,徐建.一种用于流交换的代理重签名方案.软件学报,2015,26(1):129-144.http:// /1000-9825/4553.htm英文引用格式: Sun Y, Chen XY, Du XH, Chen L, Xu J. Proxy re-signature scheme for stream exchange. Ruan Jian Xue Bao/ Journal of Software, 2015,26(1):129-144 (in Chinese)./1000-9825/4553.htmProxy Re-Signature Scheme for Stream ExchangeSUN Yi1,2,3, CHEN Xing-Yuan2, DU Xue-Hui2,3, CHEN Liang2, XU Jian21(School of Computer & Information Technology, Beijing Jiaotong University, Beijing 100044, China)2(PLA Information Engineering University, Zhengzhou 450000, China)3(State Key Laboratory of Mathematical Engineering and Advanced Computing, Zhengzhou 450000, China)Abstract: To tackle the problems of security stream exchange in the large-scale complicated network, this paper applies proxy re-signature technology for the first time to solve the flow exchange security issues, and proposes a proxy re-signature scheme based on trapdoor Hash function for stream exchange. Firstly, aiming at the key exposure problem of trapdoor Hash function for stream exchange, a new trapdoor Hash functions without key exposure (EDL-MTH) is put forward and its security is analyzed. Then, a new proxy re-signature scheme based on EDL-MTH is constructed and is proved against the chosen-message attack in the random oracle model. Furthermore, the performance of the scheme is analyzed contrast to the existing proven security proxy signature scheme, and the result shows the efficiency becomes more prominent while the scale of stream exchange is increased. Finally, a case study is provided to demonstrate its availability and performance in security stream exchange.Key words: stream exchange; trapdoor Hash functions; proxy re-signature; chosen adaptively message attack1 引言计算机网络的出现,使得一个个孤立的信息通过数据交换构成了一个广阔的信息共享与交换平台,因此在网络中处处渗透着信息交换的思想.然而人们在享受信息共享与交换带来巨大优越性的同时,随之而产生的病*基金项目: 国家高技术研究发展计划(863)(2012AA012704); 河南省科技创新人才计划(114200510001)收稿时间:2013-03-19; 修改时间: 2013-08-21; 定稿时间: 2013-12-09130 Journal of Software软件学报V ol.26, No.1, January 2015毒传播、恶意攻击、非授权访问、信息泄露等问题也对网络的健康发展构成了重大的威胁.为此,人们采取了许多安全措施,如网络隔离、通过网闸摆渡要交换的数据、划分不同的安全域、在每个区域边界上部署防火墙对交换的数据进行安全检测等,这些技术解决了一部分数据安全交换的问题.但是,随着云计算、传感器网络、P2P网络等大规模复杂网络的快速发展,对数据安全交换技术提出了新的挑战.交换的数据不仅仅是静态的、固定大小的已知数据,而是一种连续的、无限的、快速的、随时间变化的流(如电视会议、实时监控、在线视频、股票交易等数据).所谓安全流交换,就是指将这种流从一个网络域安全的流转到另一个安全级别更高的网络域.传统的方法是在区域边界上设置防火墙来保证流入数据的安全性,但是现在网络上很多攻击都能穿透防火墙,因此需要在应用层缓存整个流再对数据进行复杂的信息过滤和检测等.这种方式不能满足时延低、实时性高、计算复杂度小、所需存储空间少的要求,而且针对流的特点缓存整个流再进行验证和检测也是不现实的.针对流的特点,实现流交换的安全性关键有3点:(1)流的可信性由流源头来负责,即,从流的发源地确定流的身份及其可信性;(2)由于流的实时性和连续性,要能够即来即验证,实现对流片段完整性的实时检测;(3)流经路径的可信性,即,存在一条可验证安全性的虚拟的流交换路径.基于以上分析,代理重签名技术凭借其独特的签名转换功能[1,2],可以实现很多适合于跨域流交换所需要的功能,如跨域透明认证、提供遍历的路径证明、分散代理的签名权利、简化证书管理等.但是现有的可证明安全性的代理重签名算法通常需要进行幂运算,效率较低,延时较长,不能满足实时性较高的动态流交换要求.因此,本文将陷门Hash函数的概念引入到代理重签名算法中,构造了一个可证明安全的适用于流交换的代理重签名方案.1.1 相关工作1.1.1 陷门Hash函数陷门Hash函数的概念最早来源于Brassard等人[3]提出的陷门承诺的思想,Krawczyk和Rabin[4]首次构造了一种陷门Hash函数,并基于该陷门Hash函数构造了一种变色龙签名方案.陷门Hash函数也称为变色龙Hash 函数,是一种单向陷门函数,可以防止除陷门信息拥有者以外的任何人,能够对每次给定的输入计算出碰撞.陷门Hash函数最初被用来设计变色龙签名和不可否认签名[5],能够实现签名信息的不可抵赖性和不可传递性. 1990年,Even等人[6]首次提出了在线/离线签名方案.后来,Shamir和Tauman[7]应用陷门Hash函数开发了一种新的机制,称为“Hash-sign-switch”,它能够将任何一种签名方案转化为一种在线/离线签名方案.基于陷门Hash函数构造的在线/离线签名方案与变色龙签名方案所不同的是:变色龙签名方案中是接收者拥有陷门信息,而在线/离线签名方案中是签名者拥有陷门信息.Ateniese和deMedeiros[8]在2004金融密码年会上第一次提出了陷门Hash函数密钥泄露的问题,并首次提出基于身份的变色龙Hash函数来解决密钥泄露的问题.所谓陷门Hash函数密钥泄露问题,是指当有多个用户对不同消息使用相同的陷门Hash值时,将会导致陷门密钥的泄露,详细说明见第2.3节.文献[8]的主要思想是,基于身份和一次交易信息构成一次性密钥信息来解决密钥泄露的问题.本方案中,签名伪造只能导致签名者恢复与一个交易相关的陷门信息,因此签名者不能拒绝其他交易消息的签名,同时又没有泄露密钥.但是这种思想只能解决密钥泄露的部分问题,因为每次交易都需要改变接收者的公钥.同年,Chen等人[9]第一次使用双线性对构造了基于GDH无密钥泄露的变色龙Hash函数.后来,Ateniese和deMedeiros又在文献[10]中对文献[8]进行改进,提出了3种无密钥泄露的变色龙Hash函数:一种基于双线对,另两种基于RSA假设.2009年,Gaoetal[11]提出一种基于Schnorr签名的无密钥泄露的变色龙Hash函数,然而该方案在签名者和接收者之间有一个交互式的协议,违背了最初定义变色龙Hash函数和签名方案的本意.不同的无密钥泄露的陷门Hash函数方案构造的签名方案主要分为两大类:·一类用于构造变色龙签名方案,该类方案通常采用一种短签名来构造一次性密钥来解决密钥泄露问题,如文献[8-12];·另一类用于构造在线/离线签名方案,该方案通常是通过构造不同的陷门元素来解决密钥泄露问题.例孙奕等:一种用于流交换的代理重签名方案131如:文献[13,14]提出一种特殊双陷门Hash函数族,将密钥分为两部分——长久密钥和一次性密钥;文献[15]分别基于DL和因式分解构造了多碰撞陷门Hash函数族;文献[16]在文献[14]的基础上加以改进,引入对称密钥的概念,构造了一种3陷门Hash函数.但是,以上这些陷门Hash函数不适合实时的、存储空间有限的、连续的流交换方案.最近,Chandrasekhar[17]提出了一种新颖的对陷门Hash函数的应用,将陷门Hash函数应用到签名分期偿还机制中,构造了一种基于陷门Hash函数的流认证方案.该方案大大提高了对流认证的效率,本文正是由此得到启发,将其扩展到代理重签名方案中,首次提出一种新颖的、高效的代理重签名方案.与文献[17]中的方案不同: 文献[17]中所提方案的陷门密钥由发送方掌握;而本文的方案陷门密钥由代理掌握,并且将一个由两方参与的流认证方案扩展为可由第三方控制的安全流交换方案.此外,基于本文所提出的陷门Hash函数构造的流交换方案消除了文献[17]所提方案中的幂运算和逆运算,极大地提高了计算效率,缩短了交换时延.1.1.2 代理重签名代理重签名是现代密码学的一个新兴研究领域.在1998年的EUROCRYPT上,Blaze,Bleumer和Strauss (BBS)[18]首次提出了代理重签名(proxy re-signature)的概念.代理重签名体制中存在一个半可信的代理,可以把受托者的签名转换为委托者关于同一个消息的签名,而这个代理人不能得到受托者或委托者的签名密钥,也不能任意生成他们的签名.代理重签名的概念虽然很早就被提出,但是由于Blaze等人未给出代理重签名的形式化定义,人们很容易把它与其他签名类型(如代理签名、传递签名、群签名、多签名、聚合签名等)相混淆,而且Blaze等人提出的第一个代理重签名方案在受理人签名的产生过程和签名转换的过程中,用户需要进行k个幂指数计算,计算效率低,不适合在实际应用中使用.为了改变这种情况,Ateniese等人[19]给出了代理重签名形式化的定义,特别是与上述几种签名类型加以区别,并提出两个方案S bi和S uni,其中,S bi是双向的、多用的,S uni是单向的、单用的.但是,他们对安全属性的描述不够简练,所给出的用公式表示的安全模型存在很多冗余.第一个可证明安全的代理重签名方案S mb是由Shao等人[20]提出来的,同时还提出了第一个基于身份的方案S id-mb.这两个方案最主要的问题是需要大量的公开参数和耗时的计算,而且他们定义的安全模型有很多限制,影响了方案在实际应用中的推广.近年来,代理重签名成为密码学研究的一个热点,除了这些基本的代理重签名方案[19-22]以外,还有一些特殊用途的代理重签名方案.如:研究从一种签名机制转换为另一种签名机制的代理重签名方案[23,24];研究解决代理重签名密钥泄漏问题的门限代理重签名方案[25-28];研究解决隐私保护问题的盲代理重签名[29];无证书代理重签名[30];简单、通用、可组合代理重签名方案[31]等.但这些方案都没有考虑对实时性、海量的动态流数据进行认证和签名转换的效率问题,成为代理重签名方案在大规模海量流数据中应用的瓶颈.本文将无密钥泄露的陷门Hash函数引入到代理重签名算法中,不仅可以大大提高代理重签名的实时性和安全性,还可以使代理重签名方案以一种高效的方式处理流数据.1.2 论文的组织本文第1节介绍一些预备知识.第2节描述本文提出的一种新的无密钥泄露的陷门Hash函数,并对其安全性进行分析.第3节给出基于该陷门Hash函数的代理重签名方案的形式化定义.第4节基于椭圆曲线离散对数给出具体的用于流交换的基于陷门Hash函数的代理重签名方案.第5节对方案的安全性及效率进行分析,并在随机预言模型下证明该方案在适应性选择消息攻击下是不可伪造的.同时,将方案的效率与现有的几种典型的可证明安全性的代理重签名方案进行对比分析.第6节举例说明本文提出的代理重签名方案在流交换中的应用,并分析本方案在安全性方面和性能方面与传统的流交换方案相比的优势.第7节给出论文的结论.2 预备知识2.1 椭圆曲线离散对数假设令l为一个素数的幂,E(F l)是有限域F l上的椭圆曲线.令#E(F l)为E(F l)的阶,E(F l)中元素P的阶为素数q且132 Journal of Software软件学报V ol.26, No.1, January 2015q|#E(F l).记G是P生成的一个q阶循环群.椭圆曲线离散对数问题(ECDLP):给定(P,Q)ÎE(F l),寻找一个整数aÎZ q,使得在G中有Q=aP.定义1(椭圆曲线离散对数假设). 如果没有一种概率多项式时间(PPT)算法在时间T内以至少e的概率解决群G上的椭圆曲线离散对数问题,则称群G上的(T,e)-ECDLP假设成立.2.2 陷门Hash函数定义2(陷门Hash族). 一个陷门Hash族由一对二元组(I,H)所组成:·I是一种概率多项式时间的密钥生成算法,输入1k,输出Hash/陷门密钥对(HK,TK),使得HK,TK的长度是k的多项式;·H是一个随机的Hash函数族,H中的每一个函数关联一个Hash密钥HK,其作用于消息空间M中的一个消息和有限空间R中一个随机数.Hash函数H HK的输出与TK无关.一个陷门Hash函数族(I,H)满足如下性质:·有效计算:给定Hash密钥HK和一对(m,r)ÎM´R,H HK(m,r)在多项式时间内可计算;·抗碰撞:不存在多项式时间的算法A,在只输入HK的情况下,以不可忽略的概率得到两对(m1,r1), (m2,r2)ÎM´R满足m1¹m2且H HK(m1,r1)=H HK(m2,r2)(其概率与HK有关,在这里(HK,TK)¬I(1k),且与算法A投掷的随机硬币有关);·陷门碰撞:存在一种概率多项式时间的算法.输入(HK,TK)¬I(1k),一对(m1,r1)ÎM´R和消息m2ÎM,输出r2ÎR满足:H HK(m1,r1)=H HK(m2,r2).如果r1在R上服从均匀分布,则r2在R上服从的分布与均匀分布在计算上是不可区分的.2.3 代理重签名的标准模型定义3[19]. 代理重签名方案是一个多项式时间内的元组PRS=(KeyGen,ReKey,Sign,ReSign,Verify),满足:(1)(KeyGen,Sign,Verify)是标准的密钥生成、签名、验证算法;(2)输入(pk A,sk A,pk B,sk B)后,重签名密钥生成算法Rekey为代理产生一个密钥rk A®B,rk A®B,能将Alice的签名转换为Bob的签名(Bob是委托者,Alice是受托者),pk A和sk A是Alice的公钥和私钥,pk B和sk B是Bob的公钥和私钥,sk A在这个式子中不是必需的;(3)输入Alice的公钥pk A、消息m、Alice在m上的签名s A(m),重签名函数ReSign后,若Verify(pk A,m,s A(m))=1,则输出s B(m);否则,输出^.正确性:正确性要满足两个条件.对于消息空间中的任何消息m和公钥密钥对(pk,sk),(pk¢,sk¢¬KeyGen(1k)),假定s=Sign(sk,m)和rk¬ReKeyGen(pk,sk,pk¢,sk¢),则必须满足以下两个条件:·Verify(pk,m,s)=1;且·Verify(pk¢,m, ReSign(rk,s))=1.即,所有由签名算法和重签名算法合法产生的签名均能通过签名验证.3 一种新的无密钥泄露的陷门Hash函数本节在文献[13,14]定义的无密钥泄露陷门Hash函数的基础上进行改进,构造了一个新的基于椭圆曲线离散对数假设的无密钥泄露陷门Hash函数方案,并对其安全性进行了分析.3.1 形式化定义定义4(双陷门Hash函数族). 一个双陷门Hash函数族由一个三元组(I,I¢,H)所组成:·I是一种概率多项式时间的密钥生成算法,输入1k,输出一对长久Hash/陷门密钥对(HK,TK),使得HK,TK 的长度是k的多项式有关;·I¢是一种概率多项式时间的密钥生成算法,输入1k,输出一对一次性Hash/陷门密钥对(HK¢,TK¢),使得HK,TK的长度是k的多项式有关;孙奕 等:一种用于流交换的代理重签名方案133· H 是一个随机的Hash 函数族.输入1k ,一对Hash/陷门密钥对(HK ,TK ),一对(m ,r )ÎM ´R 和一个消息m ¢¹m ,输出一个碰撞参数r ¢和HK ¢,使得H HK (m ,r )=H HK ¢(m ¢,r ¢).当HK ¹HK ¢时,HK ¢与其关联的陷门密钥TK ¢称为一次性密钥对.定义5. 一个双陷门Hash 函数族(I ,I ¢,H )应满足如下性质:性质1(有效计算). 给定Hash 密钥HK 和一对(m ,r )ÎM ´R ,H HK (m ,r )在多项式时间内可计算.性质2(陷门碰撞). 存在一种概率多项式时间的算法.输入(HK ,TK )¬I (1k ),一对(m ,r )ÎM ´R 和消息m ¢ÎM ,输出r ¢ÎR 满足:H HK (m ,r )=H HK ¢(m ¢,r ¢).如果r 在R 上服从均匀分布,则r ¢在R 上服从的分布与均匀分布在计算上是不可区分的.性质3(抗碰撞). 不存在多项式时间算法A ,在只输入HK 的情况下,以不可忽略的概率得到两对(m ,r ), (m ¢,r ¢)ÎM ´R 满足:[m ¹m ¢]Ù[TH HK (m ,r )=H HK ¢(m ¢,r ¢)].当HK =HK ¢时称为简单碰撞,当HK ¹HK ¢时称为一次性碰撞.性质4(抗密钥泄露). 不存在多项式时间的算法A ,在输入一个长久Hash 密钥HK ,两个一次性Hash 密钥HK ¢和HK ²,两对(m ,r ),(m ¢,r ¢)ÎM ´R 并且满足[m ¹m ¢]Ù[TH HK (m ,r )=H HK ¢(m ¢,r ¢)]情况下,能够以不可忽略的概率得到长久陷门密钥TK .性质5(语义安全). 在给定消息m 的陷门Hash 值C 的情况下,m 的条件熵H [m |C ]等于m 的熵H [m ].换句话说,消息m 的陷门Hash 值C 没有泄露任何关于m 的信息.3.2 一种基于椭圆曲线的无密钥泄露的陷门Hash 函数方案本节基于椭圆曲线离散对数构造一种新的无密钥泄露的双陷门Hash 函数方案.定义6(一种基于椭圆曲线离散对数的无密钥泄露的陷门Hash 方案EDL -MTH ). EDL-MTH 是一个四 元组:TH =(SysParGen ,KeyGen ,THGen ,TrapColGen ).· SysParGen :令l 为一个素数的幂,E (F l )是有限域F l 上的椭圆曲线.令#E (F l )为E (F l )的阶,E (F l )中元素的P阶为素数q 且q |#E (F l ).记G 为由元素P 生成的子群.定义一个安全Hash 函数f :Z q ´G ®Z q ,则系统参数为params ={G ,q ,P ,f };· KeyGen :使用系统参数params 生成陷门/Hash 密钥对,(TK ,HK )=(a ,Y ),这里随机选择*R qZ a Î,计算 Y =a P .· THGen :实体选择元素r ÎZ q ,使用Hash 密钥Y 生成消息m ÎZ q 的陷门Hash 函数,陷门Hash 函数定义为TH Y (m ,r )=f (m ,Y )Y +rP .· TrapColGen :给定陷门/Hash 密钥对,(TK ,HK )=(a ,Y ),**()q qm r Z Z ´Î´及*q m Z ¢Î,计算碰撞*R q r Z ¢Î.步骤 如下:(1) 选择一次性陷门*R q Z b Î,计算K =b P ;(2) 使用陷门密钥a 和b 计算r ¢,使得TH Y (m ,r )=TH K (m ¢,r ¢),计算r ¢=a f (m ,Y )-b f (m ¢,K )+r .3.3 EDL -MTH 方案安全性分析证明EDL-MTH 方案的安全性,即证明在群G 上的离散对数问题假设下,EDL-MTH 满足定义5的5种性质. 定理1. EDL-MTH 方案在(T ,e )-ECDLP 假设下,群G 上的椭圆曲线离散对数问题是难解的.证明:(1) 有效性给定Hash 密钥HK 和一对(m ,r )ÎM ´R ,可以在多项式时间内计算出H HK (m ,r ).(2) 碰撞性假设给定Hash 密钥(HK ,HK ¢)、陷门密钥(TK ,TK ¢)、一对(m ,r )ÎM ´R 和消息m ¢ÎM ,找到r ¢,使得:f (m ,Y )Y +rP =f (m ¢,K )K +r ¢P .r ¢值可通过下式计算得出:134Journal of Software 软件学报 V ol.26, No.1, January 2015r ¢=a f (m ,Y )-b f (m ¢,K )+r .如果r 在R 上服从均匀分布,则r ¢在R 上服从的分布与均匀分布在计算上是不可区分的.(3) 抗碰撞性基于定义5,我们需要考虑两种情况:(a) HK =HK ¢(针对抵抗简单碰撞伪造);(b) HK ¹HK ¢(针对抵抗一次性碰撞伪造).· 情况(a):当HK =HK ¢时.抗碰撞伪造意味着假设输入系统参数params 和Hash 密钥HK ,不存在一个PPT 碰撞伪造者F ,能够以不可忽略的概率e 成功输出,满足[m ¹m ¢]Ù[TH HK (m ,r )=H HK (m ¢,r ¢)].反证法.假设存在一个PPT 碰撞伪造者F ,能够以不可忽略的概率e 成功输出,满足[m ¹m ¢]Ù[TH HK (m ,r )= H HK (m ¢,r ¢)].给定一个离散对数难题的实例áG ,q ,P ,Y ñ,其中,陷门/Hash 密钥为(y ,Y =yP ).由于TH HK (m ,r )=H HK (m ¢,r ¢),可以得到等式:yf (m ,Y )+r =yf (m ¢,Y )+r ¢mod q ,从而推出y =((f (m ,Y )-f (m ¢,Y ))-1+r ¢-r )mod q .因此可以求出y ,违背(T ,e )-ECDLP.得证.事实上,情况(a)中描述的简单碰撞问题,就是引言中提到的著名的密钥泄露问题.通过以上分析可知:如果给定两对消息满足(m ,r ),(m ¢,r ¢)ÎM ´R ,则第三方就可以通过TK =((f (m ,HK )-f (m ¢,HK ))-1+r ¢-r )mod q 成功地计算出陷门密钥TK ,从而产生密钥泄露的问题.· 情况(b):当HK ¹HK ¢时.假设这里存在一个PPT 碰撞伪造者F ,能够以不可忽略的概率e 抵抗定义6中提出的陷门Hash 方案.给定Hash 密钥HK ,HK ¢¹HK 和系统参数params ,在多项式时间运行F 并输出ám ,r ,m ¢,r ¢ñ,这里,m ¹m ¢,r ¹r ¢,TH HK (m ,r )= TH HK ¢(m ¢,r ¢)具有不可忽略的概率.假设F 可以构造一个PPT 算法h ,能够破解离散对数难题.给定一个离散对数难题的实例áG ,q ,P ,X ñ,h 需要找到*q x Z Î满足X =xP ,h 选择*R q y Z Î计算Y =yP ,独立平行运行伪造者F 的两个实例,F 的每个实例输入áG ,q ,P ,X ñ是随机选择的.直到F 的每个实例分别产生一个碰撞伪造1111,,,m r m r ¢¢áñ和22,,m r á 22,m r ¢¢ñ,如果m 1=m 2或者r 1=r 2或者12m m ¢¢=或者12r r ¢¢=,F 重复执行. 给定1111(,),(,)HK HK TH m r TH m r ¢¢¢并且2222(,)(,)HK HK TH m r TH m r ¢¢¢=,我们获得下面两个线性等式: 11112222(,)(,)mod ,(,)(,)mod .xf m X r yf m Y r q xf m X r yf m Y r q ¢¢+=+¢¢+=+ 显然,以上两个线性等式是可解的,因此可以求出x 和y ,违背(T ,e )-ECDLP 假设.得证.(4) 抗密钥泄露性根据EDL-MTH 方案,所谓抗密钥泄露意味着给定两个元组ám ,r ,HK ñ,ám ¢,r ¢,HK ¢ñ,这里,m ¹m ¢,r ¹r ¢并且TH HK (m ,r )=TH HK ¢(m ¢,r ¢),能够输出TK 的一种PPT 算法的概率是可以忽略的.反证法.假设这里存在一种PPT 算法,能够在多项式时间以不可忽略的概率输出TK ,则可以通过下式计算出Hash 密钥HK ¢的离散对数TK ¢:TK ¢=(f (m ¢,HK ¢)-1(f (m ,HK )TK +r -r ¢)mod q .显然违背(T ,e )-ECDLP 假设.得证.因此,提出的陷门Hash 方案是抗密钥泄露的.(5) 语义安全性由于m ,r 是独立的变量.因此条件概率m (m |C )=m (m |r )成立,那么我们就能证明条件熵H [m |C ]=H [m ]:[|](,)log((|))(,)log(())()log(())[].m cm c mH m C m c m c m c m m m H m m m m m m m =-=-=-=ååååå综上所述,基于(T ,e )-ECDLP 假设,EDL-MTH 方案满足可计算性、碰撞性、抗碰撞性、抗密钥泄露性和语孙奕 等:一种用于流交换的代理重签名方案135 义安全性. □ 4 基于陷门Hash 函数的代理重签名方案的形式化定义定义7(基于陷门Hash 函数的代理重签名). 一个基于陷门Hash 函数的代理重签名方案是一个六元组:MTH -PRS =(ParGen ,KeyGen ,ReKeyGen ,ReSign ini ,ReSign sub ,Verify ).· ParGen :输入一个安全参数,输出系统参数par ;· KeyGen :输入系统参数par 生成系统私/公钥对(sk ,pk ),陷门/Hash 密钥对(TK ,HK )=(x ,Y );· ReKeyGen :输入一个受托者的公私钥对(pk A ,sk A )和一个委托者的公私钥对(pk B ,sk B ),输出一个重签名密钥rk A ®B .代理者使用rk A ®B 可将受托者的签名转换为委托者的签名;· ReSign ini :初始化签名算法(与在线/离线算法不同的是,陷门密钥由代理掌握):(1) 设初始化消息为m ¢,选择一个随机数r ¢,计算并存储0(,),Y h TH m r ¢¢=这里,Y 0为长久Hash 密钥,则其相应的长久陷门密钥为x 0;(2) 受托者运行PRS 的签名算法Sign 生成对h 的原始签名s A (h ),但代理者不知道受托者的私钥sk A的任何信息;(3) 代理使用pk A ,m ¢,r ¢验证s A (h )的有效性,若无效,则终止;(4) 否则,运行PRS 的重签名算法ReSign ,输入s A (h ),rk A ®B ,m ¢,r ¢,生成重签名s B (h );· ReSign sub :后续信息重签名算法:(1) 输入待签名消息m i ,一个私钥sk A ,运行PRS 的签名算法Sign 生成消息m i 的签名q A (m i );(2) 使用公钥pk A 验证q A (m i )的有效性,若Verify (pk A ,m i ,q A )=1,随机选择Y i 并计算r i 满足0(,)Y TH m r ¢¢=(,)i Y i i TH m r ,输出q B (m i )=(r i ,Y i );否则,输出^;· Ver :验证算法:(1) 初始信息验证.输入消息m ¢,r ¢,计算0(,),Y h TH m r ¢¢=并保存在缓存中.若验证0(,(,B Y Verify pk TH m ¢r ¢),s B )=1,则s B (h )是对应于公钥pk B 的消息m ¢的合法重签名;否则,输出^;(2) 输入消息m i ,若验证(,(,),)1i B Y i i B Verify pk TH m r q =,则q B 是对应于公钥pk B 的消息m i 的合法重签名;否则,输出^.5 基于EDL -MTH 的代理重签名方案本节基于第3节提出的EDL-MTH 方案构造一个新的代理重签名方案MTH-PRS,该方案可以将已有的任意一个代理重签名方案转换为一个用于流交换的代理重签名方案.本方案主要由五方实体参与:委托者、受托者(发送方)、代理、接收方和密钥管理中心.密钥管理中心负责密钥及重签名密钥的管理,由于篇幅所限,具体细节不在本文中讨论.这里,受托者相当于流的发送方,代理相当于一个具有认证和密钥转换功能的安全流交换服务器,委托者相当于流的被授权访问者,接收方通过验证委托者的签名判断交换的流的安全性.接收方不能直接验证发送方的签名,只能验证经过安全流交换服务器认证后转换的委托者的签名,从而实现由安全流交换服务器控制的跨域流交换.定义8(流). 用S ={b 0,b 1,…,b n }表示一个逻辑上有序的流,其中,b i =(m i ,s )(0≤i ≤n )表示流中的一个片段,m i 表示片段b i 的信息,s 表示片段b i 的签名.根据实现签名的层次不同,片段代表的含义有所不同.如:在网络层实现签名,则一个片段可以表示为一个数据包.一个基于陷门Hash 函数的代理重签名方案MTH -PRS =(ParGen ,KeyGen ,ReKeyGen ,ReSign ini ,ReSign sub ,Ver )由以下有效算法组成:1. 系统参数生成ParGen :令l 为一个素数的幂,E (F l )是有限域F l 上的椭圆曲线.令#E (F l )为E (F l )的阶,E (F l )中元素的aP 阶为素数q ,且q |#E (F l ).记G 为由元素P 生成的子群.定义一个安全Hash 函数f :Z q ´G ®Z q .给定陷门密钥/Hash 密钥对:(TK ,136 Journal of Software 软件学报 V ol.26, No.1, January 2015 HK )=(a ,Y ),这里随机选择*R q Z a Î,计算Y =a P .陷门Hash 函数定义为TH HK (m ,r )=f (m ,Y )Y +rP .令PRS =(KeyGen ,ReKey ,Sign ,ReSign ,Verify )为任何一个可证明安全的代理重签名方,则系统参数为par ={E (F l ),G ,q ,P ,f ,TH HK ,PRS }.2. 密钥生成KeyGen :· 输入1k ,运行原始签名方案的密钥生成算法KeyGen ,输出一个受托者的公私钥对(pk A ,sk A )和一个委托者的公私钥对(pk B ,sk B );· 输入1k ,运行陷门Hash 函数的密钥生成算法,输出长期Hash/陷门密钥对(HK =Y =xP ,TK =x ).3. 重密钥生成ReKeyGen :运行PRS 的重密钥生成算法ReKey ,输入一个受托者的公私钥对(pk A ,sk A )和一个委托者的公私钥对(pk B , sk B ),输出一个重签名密钥rk A ®B .代理使用rk A ®B 可将受托者的签名转换为委托者的签名.4. 初始块重签名ReSign ini :· 受托者生成初始块的原始签名,具体操作如下:(1) 受托者A 输入流片段的初始块消息m 0、Hash 密钥Y 、一个随机数r 0,计算00000(,),Y TH f m Y Y r P =+ 这里,Y 0为长久Hash 密钥,则其相应的长久陷门密钥为x 0;(2) 受托者A 计算000(,)Y h TH m r =,并运行PRS 的签名算法Sign ,在公钥pk A 下生成对h 的原始签名s A =Sign (h ),但交换代理不知道受托者的私钥sk A 的任何信息;(3) 发送(m 0,r 0,s A )给代理; · 代理接收到信息后进行认证,认证通过后生成重签名,具体操作如下:(1) 输入(m 0,r 0)和长期密钥Y 0,计算0000000(,)(,)Y TH m r f m Y Y r P =+并保存在缓存中;(2) 运行验证算法,若000(,(,),)1A Y A Verify pk TH m r s =,则签名有效;否则,输出^;(3) 运行PRS 的重签名算法ReSign ,生成重签名s B :ReSign (s A ,rk A ®B ,h )=s B ;(4) 将ám 0,r 0,s B ñ转发给接收者.5. 后续块重签名ReSign sub :· 受托者输入后续待签名消息m i ,运行PRS 的签名算法Sign ,生成消息m i 的签名();i A i m q· 代理验证签名的有效性,若(,,)1i A i A Verify pk m q =,则消息合法;否则,输出^;· 代理将合法消息的签名转换为委托者的签名.对于合法的消息m i ,代理随机选择x i ÎR Z q ,计算Y i =x i P ,则(x i ,Y i )为一次性陷门/Hash 密钥对;计算r i =f (m 0,Y 0)x 0-f (m i ,Y i )x i +r 0,则对消息m i 的重签名为q B (m i )= (r i ,Y i ),并将ám i ,q B (m i )ñ转发给接收者.6. 验证Ver :接收方对接收到的信息进行验证.· 初始块验证:(1) 计算00000(,)Y TH f m Y Y r P =+,并保存在缓存中;(2) 运行PRS 的验证算法Verify ,若000(,(,),)1,B Y B Verify pk TH m r s =签名有效;否则,输出^;· 后续块验证:(1) 从缓存中恢复00000(,);Y TH f m Y Y r P =+(2) 计算(,);i Y i i i i TH f m Y Y r P =+(3) 检测等式000(,)(,)i Y i i Y TH m r TH m r =是否成立:如果相等则重签名q B (m i )=(r i ,Y i )有效,否则无效.验证的有效性分析:由于r i =f (m 0,Y 0)x 0-f (m i ,Y i )x i +r 0,于是可以得到下式:。

《变色龙》中的人物性格变化与社会影响《＜变色龙>中的人物性格变化与社会影响》在文学的长河中，有许多经典作品以其深刻的人物刻画和对社会现象的犀利洞察而经久不衰，俄国作家契诃夫的《变色龙》便是其中的佳作。

这篇短篇小说以其紧凑的情节、生动的人物形象，为我们展现了一幅极具讽刺意味的社会画卷。

小说的主人公奥楚蔑洛夫，是一个性格复杂多变的人物。

他最显著的特点便是“善变”，这种善变并非基于内心的真正转变，而是为了迎合权势和自身利益而做出的表面姿态。

故事始于一个看似平常的街头纠纷，首饰匠赫留金被一只小狗咬伤了手指。

奥楚蔑洛夫最初登场时，摆出了一副威风凛凛、公正严肃的姿态，扬言要严惩这只狗的主人。

然而，当他听说这只狗可能是将军家的，他的态度瞬间发生了一百八十度的大转弯。

他开始指责赫留金，说他自己把手伸到狗嘴跟前，是他自己的过错。

这种毫无原则的改口，充分暴露了他的趋炎附势和见风使舵。

奥楚蔑洛夫的性格变化之快令人咋舌。

他不断根据所获取的关于狗主人的信息来调整自己的态度和言辞。

一会儿说狗是“野畜生”“疯狗”，要把它弄死；一会儿又说狗是“名贵的狗”“伶俐的狗”。

他对狗的评价完全取决于他所认为的狗主人的身份地位。

这种因权势而改变立场的行为，反映出他内心的怯懦和自私。

他害怕得罪权贵，担心自己的地位受到威胁，所以不惜一次次地自打嘴巴，以求得自保和讨好有权势的人。

这种人物性格的形成，并非偶然，而是当时社会环境的产物。

19 世纪末期的俄国，社会等级森严，官场黑暗腐败。

奥楚蔑洛夫作为一名警察，身处这样的社会环境中，逐渐养成了这种见风使舵、阿谀奉承的性格。

他深知在这个社会中，只有攀附权贵，才能保住自己的职位和利益。

从社会影响的角度来看，奥楚蔑洛夫这个人物形象具有深刻的警示意义。

他的存在揭示了当时社会的病态和不公。

人们在这样的社会中，失去了真正的公平和正义，权力和金钱成为了衡量一切的标准。

普通人的权益得不到保障，而像奥楚蔑洛夫这样的官员却能够凭借着谄媚和巴结上位，这种现象无疑是对社会公平正义的极大讽刺。