CN116527275A

CN116527275A - 一种远程医疗代理签名验证方法及***

Info

Publication number: CN116527275A
Application number: CN202310550117.6A
Authority: CN
Inventors: 周豫苹; 胡玉; 郑清竹
Original assignee: Minnan Normal University
Current assignee: Minnan Normal University
Priority date: 2023-05-16
Filing date: 2023-05-16
Publication date: 2023-08-01

Abstract

本发明涉及一种远程医疗代理签名验证方法及***，包括：私钥生成器根据用户的属性信息生成用户公私钥对和属性公私钥对，并发送给对应用户；原始签名者根据原始签名者的私钥和委托令牌，生成授权令牌，并发送至代理签名者；代理签名者根据代理签名者的私钥、授权令牌、指定验证者的属性公钥以及消息，生成代理签名，并发送至指定验证者；指定验证者根据指定验证者的属性私钥、授权令牌、代理签名、原始签名者的公钥、代理签名者的公钥，进行验证，如果验证通过，恢复消息。本发明能够让代理签名者获得与原始签名者相同的签名能力，实现了签名的不可伪造性。

Description

一种远程医疗代理签名验证方法及***

技术领域

本发明涉及云医疗领域，尤其涉及一种远程医疗代理签名验证方法及***。

背景技术

随着云医疗诊断应用的推广，远程医疗***日益成熟，给人们的生活带来了诸多便利的同时，诊断时间也大大缩短。由于远程医疗***通常涉及用户的敏感信息，隐私问题亟待解决。

发明内容

为了解决上述问题，本发明提出了一种远程医疗代理签名验证方法及***。

具体方案如下：

一种远程医疗代理签名验证方法，包括以下步骤：

S1：属性机构根据用户的个人信息生成用户的属性信息，并发送至私钥生成器；

S2：私钥生成器根据用户的属性信息生成原始签名者的公私钥对(pk_a,sk_a)和代理签名者的公私钥对(pk_b,sk_b)，同时根据指定验证者的属性集ω生成指定验证者的属性公私钥对(pk_c,sk_c)；并将原始签名者的私钥sk_a发送至原始签名者、将代理签名者的私钥sk_b和指定验证者的属性公钥pk_c发送至代理签名者，将原始签名者的公钥pk_a、代理签名者的公钥pk_b和指定验证者的属性公私钥对(pk_c,sk_c)发送至指定验证者；

S3：原始签名者根据原始签名者的私钥sk_a和委托令牌w，生成授权令牌δ，并发送至代理签名者；

S4：代理签名者根据代理签名者的私钥sk_b、授权令牌δ、指定验证者的属性公钥pk_c以及消息m，生成代理签名σ，并发送至指定验证者；

S5：指定验证者根据指定验证者的属性私钥sk_c、授权令牌δ、代理签名σ、原始签名者的公钥pk_a、代理签名者的公钥pk_b，进行验证，如果验证通过，恢复消息m。

进一步的，私钥生成器生成原始签名者的公私钥对(pk_a,sk_a)和代理签名者的公私钥对(pk_b,sk_b)的方法为：在模P剩余类域中随机选择两个元素x_a,x_b，基于选取的两个元素生成原始签名者的公私钥对/>代理签名者的公私钥对/>其中，sk_a表示原始签名者的私钥，pk_a表示原始签名者的公钥，sk_b表示代理签名者的私钥，pk_b表示代理签名者的公钥，g表示预设的第一生成元。

进一步的，私钥生成器生成指定验证者的属性公私钥对(pk_c,sk_c)的方法为：

S101：随机选取一个(d-1)阶的拉格朗日插值多项式q(.)，使得q(0)＝α，其中，α表示预设的主密钥；

S102：构建第一属性集满足/>其中，Ω＝{Ω₁,Ω₂,…Ω_d-1}表示模P剩余类域/>中的哑变量属性集，d表示哑变量属性集Ω中的元素个数加1；

S103：于任意属性随机选择第一群元素/>通过下式计算属性公钥pk_c和属性私钥sk_c：

其中，g表示预设的第一生成元，表示加法循环群，g₂表示预设的第二生成元，/>H₁(.)表示预设的第一抗碰撞哈希函数。

进一步的，原始签名者生成授权令牌δ的计算公式为：

其中，H₁(.)表示预设的第一抗碰撞哈希函数，x_a表示在模P剩余类域中选择的用于生成原始签名者公私钥对的元素，w表示委托令牌。

进一步的，代理签名的构造过程包括以下步骤：

S401：建立一个包含k个属性的属性子集ω′，且满足其中，/>表示全域属性集/>中任意n个属性的集合，/>表示预设的全域属性集；

S402：从哑变量属性集Ω中提取一个哑变量属性子集Ω′，且满足|Ω′|＝d-k，其中，|Ω′|表示Ω′中的元素个数，d表示哑变量属性集Ω中的元素个数加1，k表示属性子集ω′中的元素个数；

S403：于任意属性i∈ω^*∪Ω′，随机选择由n+d-k个成分组成的第二群元素r_i′；

S404：通过下式对消息进行盲化处理：

其中，f表示消息盲化处理结果，F₁、F₂分别表示预设的第三和第四抗碰撞哈希函数，||表示或运算，表示异或运算；

S405：通过下式实现对消息的加密：

M＝H₂(E)+f

E＝e(g^α,g₂)

其中，M表示消息的加密结果，H₂表示预设的第二抗碰撞哈希函数，E表示双线性映射结果，e表示双线性映射，g表示预设的第一生成元，表示加法循环群，g₂表示预设的第二生成元，/>α表示预设的主密钥；

S406：将代理签名σ构造为σ＝(M,σ₁,σ₂)，且：

σ₂＝σ_i(i∈ω^*∪Ω′)

其中：σ₁表示第一参数，σ₂表示第二参数，σ_i表示中间参数，H₁(.)表示预设的第一抗碰撞哈希函数，_Δi,s(.)表示拉格朗日基本多项式。

进一步的，步骤S5中验证通过的条件为：同时满足和

其中，/>表示谓词公式，μ表示属性私钥sk_c的累加结果。

进一步的，消息m的恢复方法为从消息盲化处理结果f中恢复：

其中，F₁、F₂分别表示预设的第三和第四抗碰撞哈希函数，l₁,l₂表示消息的长度，F₁将消息从长度l₂转换为长度l₁，F₂将消息从长度l₁转换为长度l₂，表示异或运算。

一种远程医疗代理签名验证***，包括属性机构、私钥生成器、原始签名者、代理签名者和指定验证者，所述***实现本发明实施例上述的方法的步骤。

本发明采用如上技术方案，能够让代理签名者获得与原始签名者相同的签名能力，实现了签名的不可伪造性，可以抵抗随机Oracle模型中的选择消息攻击。

附图说明

图1所示为本发明实施例一中各实体之间关系示意图。

图2所示为本发明实施例一方法的流程图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。

现结合附图和具体实施方式对本发明进一步说明。

实施例一：

本发明实施例提供了一种远程医疗代理签名验证方法，如图1所示，基于以下六个实体实现：

(1)属性机构：对参与***的所有用户负责，根据他们的个人信息生成属性信息，并将这些属性分发给不同的用户。用户包括患者和医疗专家。

(2)私钥生成器：负责根据用户的属性，生成对应的公私钥对和属性公私钥对。

(3)部署机构(原始签名者)：作为网络开发者，在具体的案例中，比如医院的网络管理员。他们开发远程无线传感器网络，并有权负责所有无线传感网络中的相关问题。

(4)传感器(代理签名者)：部署在患者身体上来监测相关的信息，并通过无线桥路发送检测数据给医疗服务器。传感器是能源受限的存储设备，只能发送短的信息。

(5)医疗服务器：是一个拥有大型储备和计算能力的主机。它从所有连接的无线网关中收集信息，并发送给相关的医疗专家。

(6)医疗专家(指定验证者)：是受到专业技术训练的人，他们收到相关分析后数据，并将提供进一步的医疗诊断。

如图2所示，基于上述的实体，本实施例方法包括以下步骤：

S1：属性机构根据用户的个人信息生成用户的属性信息，并发送至私钥生成器。

S2：私钥生成器根据用户的属性信息生成原始签名者的公私钥对(pk_a,sk_a)和代理签名者的公私钥对(pk_b,sk_b)，同时根据指定验证者的属性集ω生成指定验证者的属性公私钥对(pk_c,sk_c)；并将原始签名者的私钥sk_a发送至原始签名者、将代理签名者的私钥sk_b和指定验证者的属性公钥pk_c发送至代理签名者，将原始签名者的公钥pk_a、代理签名者的公钥pk_b和指定验证者的属性公私钥对(pk_c,sk_c)发送至指定验证者。

S3：原始签名者根据原始签名者的私钥sk_a和委托令牌w，生成授权令牌δ，并发送至代理签名者。

S4：代理签名者根据代理签名者的私钥sk_b、授权令牌δ、指定验证者的属性公钥pk_c以及消息m，生成代理签名σ，并发送至指定验证者。

上述方法的实现主要由六个算法构成，分别为Setup(参数初始化)、KeyGen(密钥生成)、AttrKeyGen(属性密钥生成)、DeleGen(授权代理)、DVProxySign(签名)、DVProxyVerify(验证)。算法构成如下：

(1)Setup(参数初始化)：输入安全参数1^λ，输出主密钥mk和***参数params。

(2)KeyGen(密钥生成)：输入***参数params，输出原始签名者的公私钥对(pk_a,sk_a)和代理签名者的公私钥对(pk_b,sk_b)。

(3)AttrKeyGen(属性密钥生成)：输入指定验证者的属性集ω，输出属性公私钥对(pk_c,sk_c)。

(4)DeleGen(授权代理)：输入原始签名者的私钥sk_a、委托令牌w(由原始签名者指定)，输出授权令牌δ。

(5)DVProxySign(签名)：输入代理签名者的私钥sk_b、授权令牌δ、指定验证者的属性公钥pk_c以及消息m，输出代理签名σ。

(6)DVProxyVerify(验证)：输入指定验证者的属性私钥sk_c、授权令牌δ、代理签名σ、原始签名者的公钥pk_a、代理签名者的公钥pk_b以及谓词Υ，如果谓词Υ＝1，表明验证通过，输出“接受”，恢复消息m；否则,输出“拒绝”。

1.安全性模型

本实施例中，假定属性机构和私钥生成器是诚实可靠的，存储在属性机构的私人信息不会泄露，并且私钥生成器通过安全的信道分发用户的密钥。部署机构和医疗服务器是诚实但好奇的，即他们只能利用现有的算法和协议运行，但他们同时也想尝试通过已知数据推测用户的私人信息。根据方案的特点，考虑以下三种类型的敌手：

(1)A₁(类型1)：敌手只获取到原始签名者的公钥pk_a，代理签名者的公钥pk_b以及指定验证者的属性公钥pk_c，然后尝试得到一个伪造的签名

(2)A₂(类型2)：敌手获取到原始签名者的公私钥对(pk_a,sk_a)，代理签名者的公钥pk_b以及指定验证者的属性公钥pk_c，然后尝试得到一个伪造的签名

(3)A₃(类型3)：敌手获取到代理签名者的公私钥对(pk_b,sk_b)，原始签名者的公钥pk_a以及指定验证者的属性公钥pk_c，然后尝试得到一个伪造的签名

显然地，如果方案可以抵抗A₂或A₃的攻击，也能抵抗A₁的攻击。在以下的分析中，只关注A₂和A₃两种类型的敌手。在给出具体的敌手模型之前，首先定义敌手A和挑战者C的预言机询问：

(1)属性询问：对于属性i∈ω，挑战者C返回哈希值给敌手A。

(2)授权令牌询问：对于委托令牌w∈{0,1}^*，挑战者C返回哈希值给敌手A。

(3)公钥询问：对于指定验证者属性集挑战者C返回公钥pk_c给敌手A。

(4)代理签名询问：对于指定验证者和消息m∈{0,1}^*，挑战者C返回正确的签名σ给敌手A。

2.方案构造

(1)Setup(参数初始化)：首先，定义一个模P剩余类域上的全域属性集/>(包含所有可能的属性集)、一个/>上的哑变量属性集Ω＝{Ω₁,Ω₂,…Ω_d-1}(与全域属性集/>没有交集)和一个含有n个元素的属性集合/>从加法循环群/>中随机选择一个元素作为第一生成元/>一个随机元素/>并计算g₁＝g^α。从加法循环群/>中随机选择一个元素作为第二生成元/>令/>计算E＝e(g₁,g₂)，其中，E表示双线性映射结果，e表示双线性映射。构造第一、第二、第三、第四抗碰撞哈希函数：其中，l₁,l₂均表示长度，为正整数，且l₁+l₂＝p(p为素数)。H₁将消息从随机长度转换为/>H₁将消息从随机长度转换为/>F₁将消息从长度l₂转换为长度l₁，F₂将消息从长度l₁转换为长度l₂。***公共参数为params＝(g,g₁,g₂,g₃,d,E,H₁,H₂,F₁,F₂)，主密钥为mk＝α。

(2)KeyGen(密钥生成)：用户在中随机选择两个元素x_a,x_b，然后生成原始签名者的公私钥对/>代理签名者的公私钥对/>

(3)AttrKeyGen(属性密钥生成)：为了生成指定验证者的属性公私钥对，利用指定验证者的属性集ω，属性公私钥对由以下几个步骤来生成：

①随机选取一个(d-1)阶的拉格朗日插值多项式q(.)，使得q(0)＝α。

②构建第一属性集满足/>

③于任意属性随机选择第一群元素/>通过下式计算属性公钥pk_c和属性私钥sk_c：

④输出属性公私钥对(pk_c,sk_c)。

(4)DeleGen(授权代理)：为了将原始签名者的签名权授权给代理签名者，原始签名者首先为代理签名者生成一个委托令牌w。原始签名者生成的授权令牌为然后将(w,δ)发送给代理签名者。

(5)DVProxySign(签名)：给定授权令牌δ、指定验证者的属性公私钥对(pk_c,sk_c)、代理签名者的私钥sk_b。现在要对长度为k₂的消息m签名，代理签名构造方式如下：

①建立一个包含k个属性的属性子集ω′，且满足

②从哑变量属性集Ω中提取一个哑变量属性子集Ω′，且满足|Ω′|＝d-k。

③于任意属性i∈ω^*∪Ω′，随机选择由n+d-k个成分组成的第二群元素r_i′。

④计算f表示消息盲化处理结果。

⑤计算M＝H₂(E)+f。M表示消息的加密结果。

⑥代理签名被构造为σ＝(M,σ₁,σ₂)，其中

σ₂＝σ_i(i∈ω^*∪Ω′)

其中：σ₁表示第一参数，σ₂表示第二参数，σ_i表示中间参数，Δ_i,s(.)表示拉格朗日基本多项式。

(6)DVProxyVerify(验证)：给定代理签名σ，授权令牌δ，指定验证者的属性私钥sk_c以及谓词令/>(μ表示属性私钥sk_c的累加结果)，一个指定验证者签名是正确的前提是/>且满足下列等式：

消息m可以从f中恢复：

3.安全性分析

(a)正确性

方案满足以下等式：

(b)存在性不可伪造

定理一：方案在随机预言机模型选择明文攻击下是存在性不可伪造的，即不存在敌手A₂可以在概率多项式时间内伪造正确的代理签名。

证明：由于敌手A₂知道原始签名者的公私钥(pk_a,sk_a)、代理签名者的公钥pk_b、指定验证者的属性公钥pk_c。为了证明敌手A₂不能得到正确的代理签名，构造挑战者C和敌手A₂的游戏如下：

(1)Setup(参数初始化)：给定属性集Ω＝{Ω₁,Ω₂,…Ω_d-1}作为哑属性集合。挑战者C选择g₁＝g^α和g₂＝g^β，计算E＝e(g₁,g₂)，将***公共参数params＝(g,g₁,g₂,d,E,H₁,H₂,F₁,F₂)发送给敌手A₂。

(2)KeyGen(密钥生成)：挑战者C随机选择元素并将/>作为原始签名者的公私钥对。

(3)Hash-Query(哈希询问)：挑战者C分别使用三个哈希表L₁,L₂,L₃作为属性询问、授权询问和消息询问的结果存储。哈希询问的过程如下：

①Attr-Query(属性询问)：假设敌手A₂进行了q_a次的属性询问，对于每次询问的属性，挑战者C的模拟过程为：对于每次询问的属性i，如果i已经在哈希表L₁中，那么挑战者C将哈希值H₁(i)返回给敌手A₂，否则：如果i不在哈希表L₁中且i∈ω^*∪Ω′，挑战者C随机选择返回哈希值/>给敌手A₂，将/>存储在哈希表L₁中。如果i不在哈希表L₁中且/>挑战者C随机选择/>返回哈希值/>给敌手A₂，将存储在哈希表L₁中。

②Dele-Query(授权询问)：假设敌手A₂进行了q_d次的授权询问，挑战者C随机选择η∈(0,q_d)，对于每一个委托令牌w_i，挑战者C的模拟过程为：对于收到的委托令牌w_i，如果w_i已经在哈希表L₂中，那么挑战者C将哈希值H₁(w_i)返回给敌手A₂，否则：如果i＝η，挑战者C随机选择返回哈希值/>给敌手A₂，将/>存储在哈希表L₂中。如果i≠η，挑战者C随机选择/>返回哈希值/>给敌手A₂，将/>存储在哈希表L₂中。

③Message-Query(消息询问)：假设敌手A₂进行了q_m次的消息询问，对于每一个消息M_i，挑战者C的模拟过程为：如果M_i已经在哈希表L₃中，那么挑战者C将哈希值H₁(M_i)返回给敌手A₂，否则：挑战者C随机选择返回哈希值/>给敌手A₂，将/>存储在哈希表L₃中。

(4)AttrKey-Query(属性密钥对询问)：假设敌手A₂对属性集ω进行询问，其中|ω^*∩ω|＜k。定义三个集合Γ,Γ′,S满足：Γ＝(ω∪ω^*)∩Ω′，其中|Γ′|＝d-1，S＝Γ′∩{0}。挑战者C生成属性公私钥对的过程为：对于i∈Γ′，挑战者C随机选择两个元素选择一个d-1阶多项式q(i)＝τ_i，计算属性公私钥对对于/>挑战者C在哈希表L₁中查找记录，得到对应的值a_i。挑战者C随机选择元素/>令/>可以利用以下的拉格朗日插值多项式来计算q(i)的值：

挑战者C可以计算(pk_c,sk_c)的值：

其中i∈ω∩Ω。

然后挑战者C将(pk_c,sk_c)的值返回给敌手A₂。

(5)DSign-Query(代理签名询问)：在这一阶段，挑战者C开始模拟代理签名。假设敌手A₂进行了q_ps次代理签名询问，对于每次询问的消息M_i，挑战者C模拟过程如下：

①计算E＝e(g₁,g₂)。

②计算

③计算M_i＝H₂(E)+f_i。

④计算

输出代理签名其中i∈ω^*∩Ω′。

根据以上结果，挑战者C可以计算：

其中

如果在多项式时间内没有敌手可以伪造一个正确的代理签名，可以认为方案在敌手A₂选择明文攻击下是存在性不可伪造的。

定理二：方案在随机预言机模型选择明文攻击下是存在性不可伪造的，即不存在敌手A₃可以在概率多项式时间内伪造正确的代理签名。

证明：由于敌手A₃知道代理签名者的公私钥(pk_b,sk_b)、原始签名者的公钥pk_a和指定验证者的属性公钥pk_c。为了证明敌手A₃不能得到正确的代理签名，构造挑战者C和敌手A₃的游戏如下：

(1)Setup(参数初始化)：挑战者C随机选择一个生成元选择一个d-1阶多项式q，其中q(0)＝x。令sk_a＝α，pk_a＝g₁＝g^α，g₂＝g^β，计算E＝e(g₁,g₂)，将***公共参数params＝(g,g₁,g₂,d,E,H₁,H₂,F₁,F₂)发送给敌手A₃。

(2)KeyGen(密钥生成)：挑战者C随机选择元素并将/>作为代理签名者的公私钥对。

(3)Hash-Query(哈希询问)：假设挑战者C分别使用三个哈希表L₁,L₂,L₃作为属性询问、授权询问和消息询问的结果存储。对属性和授权的询问与定理3.1中类似，后文不再赘述。假设敌手A₃进行了q_m次的消息询问，挑战者C的模拟过程如下：如果M_i≠M_v，则挑战者C返回哈希值并将(M_i,H₁(M_i))记录在哈希表L₃中。否则，挑战者C随机选择将/>返回给敌手A₃，挑战者C将/>记录在哈希表L₃中。

(4)DSign-Query(代理签名询问)：假设敌手A₃要对消息M∈{0,1}^*进行代理签名，挑战者C首先利用定理一中的AttrKey-Query(属性密钥对询问)生成(pk_c,sk_c)，然后挑战者C利用定理一中的Dele-Query(授权询问)生成授权令牌最后，挑战者C模拟代理签名询问过程如下：

①如果M已经在哈希表L₃中，假设挑战者C模拟出代理签名σ＝(M,σ₁,σ₂)，其中

②否则，挑战者C选择模拟代理签名/>其中

并将(M,H₁(M))记录在哈希表L₃中。

挑战者C可以计算

如果在多项式时间内没有敌手A₃可以伪造一个正确的代理签名，可以认为方案在敌手A₃选择明文攻击下是存在性不可伪造的。

通过性能对比分析表明，本实施例方案总共计算开销为17.97ms，具有较高的效率，由于指定验证者和消息可恢复的属性，也满足所有的四个安全性要求以及最短带宽。同时，其他方案的带宽效率不高且只满足部分的安全性要求。因此，本实施例方案适合于远程医疗***。

本发明实施例可以实现用户的身份匿名，使用一些用户相关的属性来代替用户的真实身份。同时，让代理签名者代表原始签名者对消息进行签名，并让指定的验证者对代理签名进行验证。另外，还证明了方案对敌手A₂和A₃是存在性不可伪造的。

实施例二：

本发明还提供一种远程医疗代理签名验证***，包括属性机构、私钥生成器、原始签名者、代理签名者和指定验证者，所述***实现本发明实施例一的上述方法实施例中的步骤。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims

1.一种远程医疗代理签名验证方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：私钥生成器生成原始签名者的公私钥对(pk_a,sk_a)和代理签名者的公私钥对(pk_b,sk_b)的方法为：在模P剩余类域中随机选择两个元素x_a,x_b，基于选取的两个元素生成原始签名者的公私钥对代理签名者的公私钥对/> 其中，sk_a表示原始签名者的私钥，pk_a表示原始签名者的公钥，sk_b表示代理签名者的私钥，pk_b表示代理签名者的公钥，g表示预设的第一生成元。

3.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：私钥生成器生成指定验证者的属性公私钥对(pk_c,sk_c)的方法为：

S102：构建第一属性集满足/>其中，Ω＝{Ω₁,Ω₂,…Ω_d-1}表示模P剩余类域中的哑变量属性集，d表示哑变量属性集Ω中的元素个数加1；

4.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：原始签名者生成授权令牌δ的计算公式为：

5.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：代理签名的构造过程包括以下步骤：

S404：通过下式对消息进行盲化处理：

S405：通过下式实现对消息的加密：

M＝H₂(E)+f

E＝e(g^α,g₂)

S406：将代理签名σ构造为σ＝(M,σ₁,σ₂)，且：

σ₂＝σ_i(i∈ω^*∪Ω′)

其中：σ₁表示第一参数，σ₂表示第二参数，σ_i表示中间参数，H₁(.)表示预设的第一抗碰撞哈希函数，Δ_i,s(.)表示拉格朗日基本多项式。

6.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：步骤S5中验证通过的条件为：同时满足和

其中，/>表示谓词公式，/>μ表示属性私钥sk_c的累加结果。

7.根据权利要求1所述的远程医疗代理签名验证方法，其特征在于：消息m的恢复方法为从消息盲化处理结果f中恢复：

8.一种远程医疗代理签名验证***，其特征在于：包括属性机构、私钥生成器、原始签名者、代理签名者和指定验证者，所述***实现如权利要求1～7中任一所述方法的步骤。