模冪運算安全外包算法的新設計

收稿日期：2021-11-16；修回日期：2022-01-05" 基金項目：國家自然科學基金資助項目（61872192）

作者簡介：趙錚宇（1998-），男，碩士研究生，主要研究方向為信息安全；王少輝（1977-），男，副教授，碩導，主要研究方向為密碼學和信息安全（412062864@qq.com）．

摘 要：由于模冪運算的計算成本較高，資源有限的本地客戶端可以將模冪運算外包給計算能力強大的云服務器。該算法主要研究形如ua（mod N）的模冪運算的外包算法，其中N是兩個大素數的乘積。其利用歐拉定理設計了一個基于雙服務器模型的模冪運算安全外包方案。在運算外包過程中，保證底數u、指數a，以及運算結果對兩個服務器的隱私保護。通過安全、效率分析和實驗仿真表明，相較于現有方案，新方案具有更好的執行效率和可驗證性，在用戶端的效率更高，且新方案的可驗證概率為1。

關鍵詞：云計算；安全外包算法；模冪運算；歐拉定理；數據隱私

中圖分類號：TP309"" 文獻標志碼：A

文章編號：1001-3695（2022）06-043-1852-04

doi：10.19734/j.issn.1001-3695.2021.11.0613

New design of secure outsourcing algorithm of modular exponentiation

Zhao Zhengyu1，2，Wang Shaohui1，2

（1.School of Computer Science，Nanjing University of Posts amp; Telecommunications，Nanjing 210003，China；2.Jiangsu High Technology Research Key Laboratory for Wireless Sensor Networks，Nanjing 210003，China）

Abstract：On account of the high computational cost of modular exponentiation，the local clients with limited resources can delegate the modular exponentiation to the cloud servers with strong computing capacity.This paper mainly studied the outsourcing algorithm of the modular exponentiation like ua（mod N），where N is the product of two large prime numbers.The method used Euler theorem to design a new modular exponentiation outsourcing scheme based on two servers model.In the process of computing and outsourcing，it guaranteed the privacy protection of base u，exponent a and calculation results for the two severs.The safety and efficiency analysis and experimental simulation show that compared with the existing schemes，the proposed new scheme has better execution efficiency and verifiability，the efficiency is higher on the client side，and the probability of verifiability of the new scheme is 1.

Key words：cloud computing；secure outsourcing algorithm；modular exponentiation；Euler theorem；data privacy

0 引言

隨著信息技術行業的日益發展，產生了云計算的概念。云計算中的“云”指存在于互聯網上的資源，它包括硬件資源和軟件資源兩方面，而云計算本身是一種服務，本地計算機只需要用互聯網發送需求信息，那么“云”會為本地計算機提供所需要的資源并將結果返回到本地計算機。因此，云計算可以很迅速地把資源提供給有需求的企業或個人，它可以憑借其強大的計算能力幫助人們處理繁重的計算任務。隨著云計算的發展，基于云計算的復雜計算外包服務逐漸發展了起來。針對密碼應用，一些運算（如模冪運算、雙線性對運算等）計算成本過高，此時資源有限的本地用戶可以將繁重的計算任務外包給計算能力強大的云服務器，個人或企業可以享受到自己想要的計算資源，而無須花費額外的資金購買軟件和硬件。盡管外包計算有許多優勢，但是也暴露出許多的安全問題。首先，針對具體的應用場景，客戶的計算任務可能會包含一些隱私數據，所以需要保證輸入、輸出的機密性。其次，對于云服務器來說，為了節省自身資源，它可能會向客戶返回一個隨機值，而不是回傳其真實計算后所得到的正確結果，從而應當存在一定的機制使用戶能有效地驗證云服務器返回結果的有效性。研究如何對不同的復雜運算設計實現安全高效的外包方案具有重要的理論與實踐意義。近年來，在外包計算這一領域中，已經存在許多關于雙線性映射高效的外包算法，其他的安全外包計算工作還包括對線性代數的安全外包計算［1］、基于屬性的加密與可驗證外包解密［2］、可委托同態加密技術［3］、非交互式可驗證計算［4］等。在密碼學領域當中，模冪運算是最為常用的運算之一，相較于對稱密碼體制，模冪運算的運算效率較低，用戶需要付出更多的計算成本。早在1993年，Chaum等人［5］就首次提出了觀察者錢包的概念，觀察者錢包是一種安全硬件，安裝在用戶的計算機上，其作用是用來執行一些繁重的計算工作。隨著云計算的興起，如何安全地將模冪運算任務外包給云服務器，以減輕本地用戶的計算負擔，已經引起了計算機科學界的廣泛關注，這一直是運算外包領域研究的熱點問題。一般而言，模冪運算安全外包方案的設計通常考慮單服務器模型和雙服務器模型兩種。在單服務器模型中，假設云服務器是惡意服務器；而在雙服務器模型中，由兩個云服務器為用戶提供外包服務，要求至少有一個服務器是誠實可信的，會完全按照協議的要求誠實地執行相應的操作。在單服務器模型下，2006年，Dijk等人［6］提出的模冪運算外包方案要求運算底數對服務器公開，因此不能保證輸入的隱私性。2014年，Wang等人［7］的外包方案算法效率不高，并且可驗證概率僅為1/2。隨后一些研究人員試圖在保證輸入和輸出機密性的前提下，提高模冪運算外包方案的效率和可驗證性。2016年，Kiraz等人［8］提出了幾個單服務器模冪運算外包算法，改進了可驗證性，但是外包用戶仍有可能被服務器欺騙。2017年，Cai等人［9］提出模冪運算外包算法，雖然該算法的可驗證概率幾乎可以達到1，但外包方需要對服務器進行大量質詢，方案效率不高。

在雙服務器模型下，Hohenberger等人［10］在2005年對可驗證外包方案給出了形式化定義，并且提出了一個基于非同謀雙服務器模型的模冪運算外包方案，方案中模冪運算的底數和指數對云服務器提供隱私性保護，但是計算結果的驗證概率僅為1/2。2012年，Ma等人［11］提出了一個批量化模冪運算外包方案，該方案沒有對底數或指數進行隱私保護，沒有考慮對輸入實現完全的隱私性；而后Ma等人［12］又提出了一個改進的模冪運算外包計算方案，但該方案的驗證過程較為繁雜，從而影響了算法效率。2014年，Chen等人［13］提出了一個新的模冪運算外包算法，其算法提升了外包方案的可驗證性和效率，將可驗證概率提高到2/3。2015年，Ye等人［14］做了進一步改進，將可驗證概率提高至0.95，但是需要更多的模乘和模逆運算。Li等人［15］提出了多個模冪運算的安全外包方案，但方案的可驗證概率僅為0.5。2017年，Zhou等人［16］提出的模冪運算外包方案將可驗證概率提升接近于1，但是不能完全保證用戶數據的隱私性和安全性。Kuppusamy等人［17］基于中國剩余定理提出了非交互式新的模冪運算外包算法，該算法的可驗證概率為1。最近，Ren等人［18］在雙服務器模型下，給出了運算ua（mod p）的外包方案，其中u和a的信息需要保護，而p是一個公開的大素數，并且聲稱方案可驗證概率達到1。

一般來說，常見的安全外包方案系統模型有單服務器外包系統模型和雙服務器外包系統模型兩種。單服務器外包系統模型中，通常認為云服務器不可信，云服務器可以對用戶存儲的敏感數據進行竄改或刪除，也可以偽造數據來欺騙用戶。雙服務器外包系統模型中，一般假設至多有一個不可信服務器且假定兩個服務器不共謀，不可信服務器可能竄改用戶上傳的數據，也可能因為自身利益而選擇性刪除用戶不經常查看或使用的數據，而可信服務器會誠實地執行外包方案的協議。在實際應用中，用戶可以將數據上傳至多個云服務器，也可以將復雜的模冪運算外包給多個云服務器計算，享受多個云服務商提供的外包服務。而且在理論上多個不同的云服務器提供商因為商業利益而串通獲取用戶隱私的可能性幾乎為 0，所以本文采用雙服務器模型，且兩個服務器中至多有一個不可信服務器。

本文對基于雙服務器模型的模冪運算安全外包方案進行了研究，本文對文獻［18］所提方案的安全性進行了分析，分析表明方案并不能提供其所聲稱的可驗證概率；利用文獻［18］采用歐拉定理保障方案的可驗證性思想，在雙服務器模型下，給出了形如ua（mod N）運算的外包方案，其中N=p×q是僅用戶知道分解的大素數乘積。

1 預備知識

1.1 系統模型與安全目標

在雙服務器模型下，模冪運算安全外包方案主要涉及用戶T，服務器U1和服務器U2三方，其中要求兩個服務器中至少有一個保證誠實可靠，且服務器之間不存在合謀攻擊。基于雙服務器模型的模冪運算安全外包算法的系統模型如圖1所示。用戶輸入底數和指數（u，a），p、q是兩個大素數，N=p×q，計算任務是ua（mod N）。針對不同的應用，對底數和指數會有不同隱私保護的安全需求，如在RSA加密中，u相當于明文，而a是加密公鑰參數，此時需要對u的信息進行保護；而諸如盲簽名等應用，此時底數是消息，而指數是用戶私鑰，需要對兩個輸入參數都提供隱私性保護，用戶需要對運算進行安全轉換來保證其安全性。模冪運算安全外包方案若要系統地進行實施，一般按照如下過程執行：

a）安全轉換。用戶T首先對本地數據以及相關計算信息進行初始化處理，若要保護用戶的敏感隱私數據以及相關的數據信息的安全性，那么就要根據安全需求對數據信息施行安全轉換，保證所需要隱藏的用戶敏感數據信息的安全性。

b）用戶將轉換后的敏感數據信息發送給云端。利用可公布的數據信息，用戶將轉換后的計算任務{m1}和{m2}分別發送給兩個云服務器U1和U2，U1和U2接收到外包計算后，根據用戶需求進行計算，并將計算結果{output1}和{output2}返回給用戶T。

c）用戶驗證。用戶利用方案給定的驗證方式，對云服務器返回的計算結果實行計算，并驗證結果的正確性，如果驗證結果正確，則繼續執行下一步，否則，輸出錯誤信息。

d）計算結果。驗證通過，用戶T利用云服務器返回的結果，計算得到最后的模冪運算結果。

惡意的云服務器不僅可以利用特定的攻擊手段來非法獲得用戶的敏感數據信息，而且可能會惡意竄改真實的計算結果，并將錯誤的計算結果返回給用戶，甚至不進行計算，返回一個隨機值給用戶。而誠實的云服務器會按照方案步驟正確地執行，并將真實外包計算結果返回給用戶。在雙服務器模型下，通常規定用戶不能判斷哪一個服務器是惡意服務器，其僅知道兩臺服務器之中至少有一臺是誠實服務器。模冪運算安全外包方案需要達到的安全條件如下：

a）正確性。如果用戶和兩個云服務器都誠實且正確地實行外包方案的操作，用戶根據云服務器返回的計算結果{output1}和{output2}，可以正確地計算得到模冪運算的值。

b）隱私性。在用戶和服務器進行交互的過程中，除去已經公布的信息外，方案不會泄露其他用戶需要保障的敏感隱私數據，如底數u、指數a和模冪運算結果。

c）可驗證性。用戶可以對雙服務器返回的結果{output1}和{output2}進行驗證，若惡意服務器返回錯誤的計算結果，方案需要保證用戶可以以概率1進行辨別。

1.2 相關數學知識

本文方案的驗證性利用了數論中的歐拉定理，歐拉定理也是RSA算法成立的理論依據。歐拉定理的證明，這里不再贅述。

定理1 歐拉定理。設a和n是兩個互素的正整數，那么以下結論成立：aφ（n）≡1（mod n）。其中： φ（n）是歐拉函數，表示小于n且與n互素的正整數的個數。易知，如果n是素數，則φ（n）=n-1；如果n是兩個不同素數的乘積n=p×q，則φ（n）=（p-1）（q-1）。

1.3 Rand程序

Rand程序［9］是用來加快外包運算算法速度的一種算法實施方法。Rand程序通常生成形如（c，c-1，gc mod n）的數對，目前，EBPV生成器［19］是生成隨機指數最安全高效的方法，也可以通過預先存儲的方法來實現。

1.4 對Ren等人方案的分析

本文對Ren等人［18］所提基于雙服務器的模冪運算外包方案進行分析。這里本文只給出方案的簡要介紹和必要說明，方案的具體細節可參考文獻［18］。

文獻［18］對形如ua（mod p）的運算設計外包方案。假定p、q是兩素數，并且滿足q|p-1，a∈Zq，u∈Z*p。用戶首先對要計算的任務進行安全轉換，得到以下公式：

ua=gβ×gr×wa=gβ×gr×wφ（n）×t+s=gβ×gr×ws×wh1×wh2

其中：h2=φ（n）×t-h1；w=u/gα；r=α×a-β；t，h1∈Zq是由用戶隨機選擇的；n是用戶選擇的與w互素的整數。用戶需要將（w，h1）和（w，h2）分別發送給云服務器U1和U2，并獲得返回的結果值wh1和wh2。文獻［18］中規定用戶根據歐拉定理驗證：wh1×wh2≡wφ（n）×t≡1（mod n）是否成立，以對結果進行驗證。顯然此時需要服務器計算的值為wh1（mod n）和wh2（mod n）；而用戶為了獲得ua（mod p）

的結果，需要接收的值是wh1（mod p）和wh2（mod p），此時用戶實際需要的數值則不具有上述的等式驗證關系，所以用戶并不能根據上述方法對云服務器返回的結果通過驗證。

下面通過一個簡單的例子來進行說明：設p=11，q=5，u=6，a=3，w=3，n=4，t=2，h1=1時，h2=3，用戶接收到

wh1（mod p）=3，wh2（mod p）=5；此時3×5≡1（mod 4）的關系并不成立，所以驗證公式并不能用來驗證服務器是否發送虛假消息。

2 雙服務器模型下安全模冪運算外包方案

本章將在雙服務器模型下考慮如下模冪運算的外包方案：設p、q是兩個大素數，N=p×q，a∈ZN，u∈Z*N，用戶需要計算ua（mod N）的值。新方案要求用戶在與云服務器U1和U2的交互過程中，提供u、a以及運算結果對兩個云服務器的機密性進行保護。詳細運算外包方案如下：

a）T首先運行子程序Rand生成兩個元組（α，α-1，gα）和（β，β-1，gβ），為了使底數u對服務器保密，本文對要計算的任務進行安全轉換后得到

ua=（v×w）a=gα×a×wa=gβ×gα×a-β×wa=gβ×gr×wa

其中：v=gα，w=u/v，r=α×a-β。

為了隱藏指數a的信息，用戶T隨機選取t∈Zq，h1∈ZN，并通過同余式a≡φ（p）×t+s（mod φ（N））計算得到S，本文用如下第二個邏輯劃分公式來隱藏指數a：

ua=gβ×gr×wa=gβ×gr×wφ（p）×t+s=gβ×gr×ws×wh1×wh2

其中：h2=φ（p）×t-h1。

b）然后T再運行子程序Rand生成元組（t1，t-11，gt1）。

c）接下來，T以隨機順序向云服務器U1發出質詢信息，其中U1（x，y）→yx（mod N）表示云服務器U1收到輸入（x，y），計算并返回結果yx（mod N）：

U1（r/t1，gt1）→gr（mod N）

U1（h1，w）→wh1（mod N），U1（s，w）→ws（mod N）

類似地，T以隨機順序向云服務器U2發出質詢信息：

U2（r/t1，gt1）→gr（mod N）

U2（h2，w）→wh2（mod N），U2（s，w）→ws（mod N）

d）最后，T以如下方式來驗證云服務器U1和U2是否生成了正確真實的輸出：

U1（r/t1，gt1）=U2（r/t1，gt1）=gr（mod N）

U1（s，w）=U2（s，w）=ws（mod N）

并驗證同余式是否成立：

（（wh1 mod N）×wh2 mod N）≡1（mod p）

如果上述三個等式有一個不成立，T輸出“結果錯誤”；否則，T利用U1和U2的返回結果，以及自身保留的結果計算得到模冪運算的值：

gβ×gr×ws×wh1×wh2≡gβ×gr×wφ（p）×t+s≡

gα×a×wa≡（v×w）a≡ua（mod N）

3 安全性和性能分析

3.1 安全性分析

1）正確性 如果兩個云服務器都誠實且正確地根據方案步驟來執行方案中的計算操作，用戶T最終必然得到模冪運算的結果，且服務器返回的消息一定可以通過用戶的驗證，即wh1×wh2≡1（mod p）成立。利用歐拉定理，此時有

（wh1 mod N）（wh2 mod N）mod p=

（wh1×wh2 mod N） mod p=（wφ（p）×t）mod p=1

2）隱私性 討論本文方案對服務器的隱私保護問題，惡意服務器通過接收到的用戶傳送的消息，以獲取其想要的隱私信息。不妨假設云服務器U1是惡意的服務器，下面本文詳細分析，新方案如何保證底數u、指數a以及計算結果的隱私性。

對于底數u的隱私性：如果攻擊者截獲了w，由于w=u/v，而v的值是隨機的并且存儲在本地客戶端，并沒有在信道中傳輸，所以攻擊者無法從w來獲取底數u的值。

對于指數a的隱私性：如果攻擊者截獲了h1，根據h2=φ（p）×t-h1以及公式a≡φ（p）×t+s（mod φ（N）），由于t的值隨機且存儲在本地客戶端，所以攻擊者并不能從h1的值獲得φ（p）×t的信息，也就無法獲知運算指數a的值。

對于計算結果的隱私性：如果攻擊者截獲了云服務器U1和U2的所有計算信息，即gr、wh1、wh2、ws，由于α、β、t存儲在本地，且v、w的值具有隨機性，所以攻擊者無法獲取gβ的值，進而不能計算以下公式：

gβ×gr×ws×wh1×wh2≡（v×w）a≡ua（mod N）

來獲取計算結果，所以攻擊者無法得知計算結果。

3）可驗證性 誠實云服務器U2需要計算三個模冪運算值：（r/t1，gt1），（h2，w），（s，w），而惡意服務器U1也需要計算運算對（r/t1，gt1）和（s，w）的值，由于兩個云服務器是不共謀的，對于這兩個運算，U1必須返回正確的運算結果。如果U1對（h1，w）的計算不誠實，為了通過同余式wh1×wh2≡1（mod p）的驗證，U1只能返回形如wh1+lp類型的值，且l不是q的倍數；但由大整數因式分解問題的困難性，能夠獲知N的分解在計算上是不可行的。所以攻擊者無法偽造一個不同于wh11 mod N的數滿足驗證公式。綜上所述，用戶可以以概率1的驗證率來判別惡意服務器是否偽造運算結果。

3.2 性能分析

如表1所示，將本文方案與文獻［13，14，16，18，20］中的方案進行性能對比。性能比較主要考慮用戶本地端所進行的運算。其中MM表示模乘運算；MInv表示模逆運算；invoke（Rand）表示調用隨機數對產生算法次數；checkability表示可驗證率，其他的運算操作如模加忽略不計。

從表1可以看出，本文方案在執行一次模冪運算外包方案中，需要8次模乘運算，1次模逆運算，對Rand調用3次。與文獻［13，16］相比，本文方案具有更好的效率，且驗證概率為1。文獻［20］的方案雖然可驗證概率為1，但是需要13次模乘運算，3次模逆運算，調用6次Rand程序。文獻［16］的方案只需要進行5+3 log b模乘運算，無須進行模逆運算以及調用隨機數對產生算法，但本文方案的可驗證率更高。與文獻［18］方案相比，在運算效率上雖然一樣，但本文方案將可驗證率提高至1。綜上所述，相較于現有方案，在性能和安全性方面來看，本文所提的模冪運算安全外包新方案均有較大提升。

3.3 實驗仿真

在本節中將對本文方案進行實驗仿真，并與直接進行模冪運算、文獻［16］方案的實現效果進行比較。實驗基于Java語言，采用AMD Ryzen 5 4600H with Radeon Graphics 3.00 GHz處理器，16 GB運行內存，在Windows10 64位系統的主機環境下完成。實驗分別考慮p、q取256 bit、512 bit、1 024 bit的情況，指數和底數取相同的長度。本文僅對本地用戶端的運算進行實驗仿真，不考慮與服務器交互進行運算所消耗的時間。為了避免實驗次數少以及運行環境的不穩定而產生的誤差，本文對實驗進行1 000次采樣取其平均值。

表2給出p、q取256 bit、512 bit、1 024 bit時，直接進行模冪運算、本文方案和文獻［16］方案用戶端平均的執行時間。在256 bit長度下，直接計算平均耗時61 ms，本文方案平均耗時為864 μs，文獻［16］方案平均耗時1 252 μs，此時直接計算耗時是本文方案的70倍，文獻［16］方案的計算耗時是本文方案的1.44倍；在512 bit長度下，直接計算平均耗時278 ms，本文方案平均耗時1 687μs，文獻［16］方案平均耗時2 569 μs，此時直接計算耗時是本文方案的164倍，文獻［16］方案的計算耗時是本文方案的1.52倍；在1 024 bit長度下，直接計算平均耗時1 683 ms，本文方案平均耗時為4 348 μs，文獻［16］方案平均耗時7 649 μs，此時直接計算耗時是本文方案的387倍，文獻［16］方案的計算耗時是本文方案的1.76倍。隨著模冪運算長度取值的增加，兩種方案執行時間都呈增長趨勢，但本文方案與文獻［16］方案的耗時差也在擴大，因此從仿真實驗結果可以看出，本文方案的模冪運算執行效率要優于文獻［16］。

4 結束語

本文對形如ua（mod N）類型的模冪運算外包方案進行了研究，在對文獻［18］方案的安全性分析的基礎上，提出了一個基于雙服務器模型的模冪運算安全外包的新方案。新方案通過安全轉換需要運算的外包任務并對模冪運算中的底數和指數進行隱私保護；利用歐拉定理，保證了當其中一個云服務器有惡意行為回送虛假結果時，用戶可以以概率1的驗證率發現惡意服務器發送虛假結果的行為。通過與有代表性方案的安全性和效率分析比較可以看出，新方案可以提供正確性、隱私性保護和高效的可驗證率。理論和實驗仿真結果表明，本文方案執行效率優于現有方案。

目前在雙服務器模型下的外包方案設計，均假設至多存在一個惡意服務器，但是在實際應用中，兩個云服務器可能都是惡意的服務器，其甚至可以通過合謀以獲得用戶的有用信息。下一階段本文將放寬雙服務器模型的攻擊限制，考慮兩個服務器均是惡意服務器的條件下，如何設計模冪運算的安全外包方案。

參考文獻：

［1］Atallah M J，Frikkent K B.Securely outsourcing linear algebra computations［C］//Proc of the 5th ACM Symposium on Information，Computer and Communications Security.New York：ACM Press，2010：48-59.

［2］Lai Junzuo，Guan Chaowen，Weng Jian，et al.Attribute-based encryption with verifiable outsourced decryption［J］.IEEE Trans on Information Forensics and Security，2013，8（8）：1343-1354.

［3］Barbosa M，Farshinr P.Delegatable homomorphic encryption with applications to secure outsourcing of computation［C］//Proc of CTRSA.2012：296-312.

［4］Gennaro R，Gentry C，Parno B.Non-interactive verifiable computing：outsourcing computation to untrusted workers［C］//Proc of Annual Cryptology Conference.2010：465-482.

［5］Chaum D，Pedersen T P.Wallet databases with observers［J］.Crypto，1993（740）：89-105.

［6］Dijk M V，Clarke D，Gassend B，et al.Speeding up exponentiation using an untrusted computational resource［J］.Designs Codes and Cryptography，2006，39（2）：253-273.

［7］Wang Yujue，Wu Qianhong，Wong D S，et al.Securely outsourcing exponentiations with single untrusted program for cloud storage［C］//Proc of European Symposium on Research in Computer Security.Berlin：Springer，2014：326-343.

［8］Kiraz M S，Uzunkol O.Efficient and verifiable algorithms for secure outsourcing of cryptographic computations［J］.International Journal of Information Security，2016，15（5）：519-537.

［9］Cai Jianxing，Ren Yanli，Jiang Tiejin.Verifiable outsourcing computation of modular exponentiations with single server［J］.International Journal of Information Security，2017，19（3）：449-457.

［10］Hohenberger S，Lysyanskaya A.How to securely outsource cryptographic computations［C］//Proc of the 2nd Theory of Cryptography Conference.Berlin：Springer，2005：264-282.

［11］Ma Xu，Li Jin，Zhang Fangguo.Efficient and secure batch exponentiations outsourcing in cloud computing［C］//Proc of the 4th International Conference on Intelligent Networking and Collaborative Systems.Piscataway，NJ：IEEE Press，2012：787-796.

［12］Ma Xu，Li Jin，Zhang Fangguo.Outsourcing computation of modular exponentiations in cloud computing［J］.Cluster Computing，2013，16（4）：787-796.

［13］Chen Xiaofeng，Ma Jianfeng，Tang Qiang，et al.New algorithms for secure outsourcing of modular exponentiations［J］.IEEE Trans on Parallel and Distributed Systems：A Publication of the IEEE Computer Society，2014，25（9）：2386-2396.

［14］Ye Jun，Chen Xiaofeng，Ma Jianfeng.An improved algorithm for secure outsourcing of modular exponentiations［C］//Proc of the 29th IEEE International Conference on Advanced Information Networking and Applications Workshops.Piscataway，NJ：IEEE Press，2015：73-76.

［15］Li Jinyang，Ye Jun.Secure outsourcing of multiple modular exponen-tiations［C］//Proc of the 29th IEEE International Conference on Advanced Information Networking and Applications.Piscataway，NJ：IEEE Press，2015：808-811.

［16］Zhou Kai，Afifi M H，Jian Ren.ExpSOS：secure and verifiable outsourcing of exponentiation operations for mobile cloud computing［J］.IEEE Trans on Information Forensics amp; Security，2017，12（11）：2518-2531.

［17］Kuppusamy L，Rangasamy J.CRT-based outsourcing algorithms for modular exponentiations［C］//Proc of International Conference on Cryptology in India.Berlin：Springer，2016：81-98.

［18］Ren Yanli，Dong Min，Qian Zhenxing，et al.Efficient algorithm for secure outsourcing of modular exponentiation with single server［J］.IEEE Trans on Cloud Computing，2021，9（1）：145-154.

［19］Nguyen P Q，Shparlinski I E，Stern J.Distribution of modular sums and the security of the server aided exponentiation［J］.Progress in Computer Science amp; Applied Logic，2001，20（1）：331-342.

［20］Ren Yanli，Ding Ning，Zhang Xinpeng，et al.Verifiable outsourcing algorithms for modular exponentiations with improved checkability［C］//Proc of the 11th ACM on Asia Conference on Computer and Communications Security.New York：ACM Press，2016：293-303.

［21］Chen Xiaofeng，Susilo W，Li Jin，et al.Efficient algorithms for secure outsourcing of bilinear pairings［J］.Theoretical Computer Science，2015（562）：112-121.

［22］Ren Yanli，Ding Ning，Zhang Xinpeng，et al.Identity-based encryption with verifiable outsourced revocation［J］.Computer Journal，2016，59（11）：1659-1668.

［23］張彥軒，李承峻，王少輝，等.雙服務器模型下模冪運算外包新方案［J］.南京郵電大學學報，2019，39（5）：89-94.（Zhang Yan-xuan，Li Chengjun，Wang Shaohui，et al.New scheme for outsourcing modular exponentiation with two servers［J］.Journal of Nanjing University of Posts and Telecommunications，2019，39（5）：89-94.）

［24］An Dezhi，Yan Li，Zhang Shencai，et al.Securely outsource modular exponentiations with single untrusted cloud server［J］.IEEE Access，2020，8：200764-200773.