抗連續(xù)輔助輸入泄漏的屬性基加密方案

馬海英　曾國(guó)蓀　包志華　陳建平　王金華　王占君

1(南通大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院　江蘇南通　226019)2(同濟(jì)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系　上?！?01804)3(南通大學(xué)電子信息學(xué)院　江蘇南通　226019)4　　　(南通大學(xué)理學(xué)院　江蘇南通　226019)

?

抗連續(xù)輔助輸入泄漏的屬性基加密方案

馬海英1曾國(guó)蓀2包志華3陳建平1王金華4王占君4

1(南通大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院江蘇南通226019)2(同濟(jì)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)系上海201804)3(南通大學(xué)電子信息學(xué)院江蘇南通226019)4(南通大學(xué)理學(xué)院江蘇南通226019)

(m_hying@163.com)

針對(duì)屬性基加密(attribute-basedencryption,ABE)機(jī)制中邊信道攻擊下的密鑰泄漏問題，現(xiàn)有的解決方案僅允許密鑰的有界泄漏. 將連續(xù)輔助輸入泄漏模型和雙系統(tǒng)加密相結(jié)合，通過合理設(shè)計(jì)主密鑰和用戶私鑰的生成過程，提出了一種抗連續(xù)輔助輸入泄漏的ABE方案. 基于合數(shù)階群的子群判定假設(shè)和域GF(q)上Goldreich-Levin定理，在標(biāo)準(zhǔn)模型下，證明該方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應(yīng)安全性. 該方案實(shí)現(xiàn)了主密鑰和用戶私鑰的連續(xù)無界泄漏，在密鑰更新詢問時(shí)無需假定舊密鑰必須從內(nèi)存中徹底清除，且具有較好的合成性質(zhì). 與相關(guān)的解決方案相比，該方案不僅具有最好的抗泄漏容忍性，而且具有較短的密鑰長(zhǎng)度.

屬性基加密；連續(xù)輔助輸入泄漏；雙系統(tǒng)加密；Goldreich-Levin定理；可證明安全性

現(xiàn)代密碼學(xué)假定所有攻擊者均不能獲知保密密鑰的任何信息，但在實(shí)際應(yīng)用中，攻擊者可以通過邊信道攻擊[1-3]，利用密碼算法運(yùn)行時(shí)的物理特征信息(例如時(shí)間、能耗、音頻等)和內(nèi)存泄漏[4]，獲知關(guān)于密鑰和系統(tǒng)內(nèi)部秘密狀態(tài)的部分信息.針對(duì)邊信道攻擊下的密鑰泄漏問題，抗泄漏密碼機(jī)制[5-11]在允許攻擊者獲知密鑰和系統(tǒng)保密狀態(tài)泄漏信息的前提下，仍然能夠保障密碼系統(tǒng)的安全性.為了模擬密鑰泄漏的程度，該機(jī)制定義了作用在密鑰和系統(tǒng)內(nèi)部秘密狀態(tài)上的可計(jì)算泄漏函數(shù)，并將該泄漏函數(shù)的輸出結(jié)果作為密鑰泄漏信息，顯然，必要的限制是泄漏函數(shù)不能完全暴露密鑰.2010年，Dodis等人[7]提出了抗泄漏密碼機(jī)制中的一個(gè)重要公開難題“允許密鑰的連續(xù)(和整體無界)泄漏，且不限制密鑰泄漏的類型”.

近年來，學(xué)者們提出了許多抗密鑰泄漏模型[6-11]，逐步減少對(duì)泄漏函數(shù)的限制.2009年Akavia等人[6]在密碼學(xué)理論會(huì)議(theoryofcryptographyconference,TCC)上首先提出了相對(duì)泄漏模型，要求泄漏函數(shù)輸出信息的總長(zhǎng)度不能超過預(yù)定上界值，該上界值必須小于密鑰長(zhǎng)度.2010年，Alwen等人[8]提出了有界檢索泄漏模型，減少了對(duì)泄漏函數(shù)限制，允許攻擊者獲知更多的泄漏信息.Dodis等人[9]在TCC會(huì)議上提出了輔助輸入泄漏模型，該模型對(duì)泄漏函數(shù)的唯一限制是，任意攻擊者利用泄漏信息計(jì)算出保密密鑰的概率都是可以忽略的.因此，輔助輸入泄漏模型能夠考慮泄漏能力更強(qiáng)的泄漏函數(shù)，進(jìn)一步減少了對(duì)泄漏函數(shù)的限制.上述研究方案[5-9]僅考慮了密鑰在其整個(gè)生命周期中的泄漏問題.Brakerski等人[10]提出連續(xù)泄漏模型，允許密鑰進(jìn)行更新，并限制在相鄰兩次更新之間密鑰泄漏信息不能超過預(yù)定上界值，但在系統(tǒng)的整個(gè)生命周期中密鑰泄漏的總量是整體無界的，解決了上述公開難題的第1部分.Yuen等人[11]將連續(xù)泄漏模型和輔助輸入泄漏模型相結(jié)合，提出了抗連續(xù)輔助泄漏的身份基加密機(jī)制，有效解決了身份基加密中抗密鑰泄漏的公開難題，但極大地增加了主密鑰和用戶私鑰的長(zhǎng)度及相應(yīng)的計(jì)算開銷.

在2005年歐洲密碼學(xué)會(huì)議上，Sahai和Waters[12]提出了屬性基加密機(jī)制(attribute-basedencryption,ABE)的概念.在該ABE方案[12]中，可信授權(quán)機(jī)構(gòu)根據(jù)用戶的屬性集合為其頒發(fā)私鑰，密文和屬性集合相關(guān)，當(dāng)私鑰屬性集合與密文屬性集合的匹配度滿足系統(tǒng)的門限策略時(shí)，用戶才能正確解密密文.為了在密文中表達(dá)更靈活的訪問控制策略，2007年Bethencourt等人[13]提出了“密文策略”的ABE機(jī)制(ciphertextpolicyABE,CP-ABE)，將訪問控制策略嵌入在密文中，密鑰與屬性集合相關(guān)聯(lián)，只有密鑰的屬性滿足密文的訪問策略時(shí)，才能正確恢復(fù)明文.然而，該CP-ABE方案僅滿足選擇安全性.Lewko等人[14]采用雙系統(tǒng)加密技術(shù)[15]實(shí)現(xiàn)了自適應(yīng)安全的CP-ABE機(jī)制.由于ABE以屬性為公鑰，能夠表示靈活的訪問控制策略，顯著減少加密節(jié)點(diǎn)的處理開銷和傳輸共享數(shù)據(jù)的網(wǎng)絡(luò)帶寬，從而使它在細(xì)粒度訪問控制[16-18]、單向廣播[16]、群密鑰管理[19-20]、隱私保護(hù)[17,21-22]等領(lǐng)域具有廣泛的應(yīng)用前景.此外，針對(duì)ABE機(jī)制中存在的密鑰撤銷開銷大、密鑰濫用、密鑰托管和密鑰盜版進(jìn)化等問題[23]，學(xué)者們提出了不少好的研究成果[24-29].然而，目前解決ABE中邊信道攻擊下的密鑰泄漏問題的研究還不多見.

針對(duì)ABE中存在邊信道攻擊下的密鑰泄漏問題，2011年Lewko等人[30]在TCC年會(huì)上將雙系統(tǒng)加密和有界泄漏模型相結(jié)合，提出一種自適應(yīng)安全的抗連續(xù)內(nèi)存泄漏的ABE方案，同時(shí)支持主密鑰和用戶屬性私鑰的泄漏，但僅允許密鑰的有界泄漏，且要求在密鑰更新時(shí)舊密鑰必須從內(nèi)存中安全刪除.到目前為止，屬性基加密機(jī)制中的抗密鑰泄漏的公開難題尚未完全解決.

為了探索解決ABE中抗密鑰泄漏的公開問題，本文將CP-ABE[14]方案和連續(xù)輔助輸入泄漏模型[11]相結(jié)合，提出抗連續(xù)輔助輸入泄漏的ABE模型.1)該模型具有較好的合成性質(zhì)，即可以將ABE的屬性私鑰應(yīng)用到簽名、認(rèn)證等密碼方案中，只要這些方案在無泄漏情況下是可證明安全的，則它們的合成方案在該泄漏模型下依然是安全的.由于ABE的密鑰構(gòu)造方法種類繁多，使得ABE較容易與其他密碼系統(tǒng)結(jié)合使用.2)該模型允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏，不限制密鑰泄漏的位數(shù)，且無需標(biāo)識(shí)密鑰的版本號(hào).3)每次密鑰更新時(shí)不需要將舊版本密鑰從內(nèi)存中完全清除，即允許泄漏舊密鑰的信息.因此，本文試圖解決了ABE中的抗密鑰泄漏的公開難題，即允許密鑰的連續(xù)和整體無界泄漏，且不限制泄漏類型.

借鑒BHHO方案[9]中主密鑰和用戶私鑰的構(gòu)造思想，本文通過修改CP-ABE[14]方案，將系統(tǒng)主密鑰擴(kuò)展成一個(gè)m維向量，構(gòu)造出m個(gè)CP-ABE子系統(tǒng)，并在保證安全性的前提下，通過共用m個(gè)子系統(tǒng)主密鑰中的關(guān)鍵盲化因子和m個(gè)子系統(tǒng)的屬性公鑰，大大縮減了主密鑰和系統(tǒng)公鑰的長(zhǎng)度.為了證明文中方案的安全性，需要將方案中的正常密文和正常密鑰轉(zhuǎn)化成半功能密文和半功能密鑰，正常密鑰可以解密正常密文和半功能密文，但半功能密鑰只能解密正常密文.在證明過程中采用混合證明方法，首先將正常密文轉(zhuǎn)化成半功能的；然后，將用戶私鑰逐個(gè)轉(zhuǎn)變成半功能的，為了使攻擊者可以詢問主密鑰和解密私鑰的泄漏信息，需要使用修改的Goldreich-Levin定理[9]將半功能密鑰的盲化因子限制為λ位(λ為方案的安全參數(shù))，基于合數(shù)階群上的靜態(tài)假設(shè)，可以確保攻擊者不能感知這些轉(zhuǎn)變過程，從而證明該方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應(yīng)安全性.該方案允許主密鑰和屬性私鑰的連續(xù)無界泄漏，每次密鑰更新時(shí)無需將舊密鑰從內(nèi)存中完全清除，且具有較好的合成性質(zhì).

1　預(yù)備知識(shí)

1.1符號(hào)說明

本文中，符號(hào)x←ZN表示在ZN中隨機(jī)選取元素x；x,y,z←ZN表示在ZN中獨(dú)立且均勻地隨機(jī)選取元素x,y,z.令negl(n):→表示一個(gè)對(duì)n可忽略的函數(shù)，即對(duì)任意c>0,有negl(n)≤n-c.令|x|表示項(xiàng)x二進(jìn)位的個(gè)數(shù)，N和m是正整數(shù)，G是N階循環(huán)群，·表示向量的內(nèi)積或群元素的乘積，*表示向量之間對(duì)應(yīng)分量的乘積.對(duì)任意向量v=〈v1,v2,…,vm〉∈Gm,u∈G,b∈ZN,a=a1,a2,…,am,定義ua〈ua1,ua2,…,uam〉,vb〉.

1.2合數(shù)階雙線性群和困難性假設(shè)

一個(gè)合數(shù)階雙線性群可以用一個(gè)四元組(N=p1p2p3,G,GT,e)來描述，其中p1,p2,p3是3個(gè)互不相等素?cái)?shù)， G和GT均是N階循環(huán)群，映射e:G×G→GT滿足：1)雙線性.?g,h∈G;a,b∈ZN;e(ga,hb)=e(g,h)a b.2)非退化性.?u∈G，使得e(u,u)在GT中的階為N.3)可計(jì)算性.群G和GT上的運(yùn)算和雙線性映射e在多項(xiàng)式時(shí)間內(nèi)可以完成計(jì)算.

為了證明文中方案的安全性，下面給出合數(shù)階群上子群判定假設(shè)，該假設(shè)在文獻(xiàn)[14]中已進(jìn)行詳細(xì)介紹.在這些假設(shè)中，令λ是系統(tǒng)的安全參數(shù)， Pr是概率函數(shù)，PPT算法表示一個(gè)概率多項(xiàng)式時(shí)間算法.

1.3訪問結(jié)構(gòu)和線性秘密共享方案(LSSS)

定義1. 訪問結(jié)構(gòu)[24].設(shè)P={P1,P2,…,Pn}是n個(gè)屬性的集合，由P的某些非空子集構(gòu)成的集族?2P?稱為訪問結(jié)構(gòu).如果對(duì)任意屬性集合B,C，滿足：若B∈且B?C，則C∈，那么稱訪問結(jié)構(gòu)是單調(diào)的.中的所有屬性集合稱為授權(quán)集，不在中的屬性集合稱為非授權(quán)集.

定義2.LSSS[24].稱屬性集合P={P1,P2,…,Pn}上的一個(gè)秘密共享方案Π是線性的，如果滿足：1)將屬性的秘密分享值構(gòu)造成Zp上的一個(gè)向量；2) 對(duì)于方案Π，存在一個(gè)秘密份額生成矩陣An1×n2和行標(biāo)號(hào)函數(shù)ρ:{1,2,…,n1}→P，令s∈Zp是待共享的秘密值，隨機(jī)選擇r2,r3,…,rn2∈Zp，構(gòu)成向量v=〈s,r2,…,rn2〉，令vT為v的轉(zhuǎn)置，則AvT是n1個(gè)秘密份額構(gòu)成的向量，利用標(biāo)號(hào)函數(shù)，將秘密份額λi=(AvT)i(1≤i≤n1)分配給屬性ρ(i).

LSSS的可重構(gòu)性質(zhì)：假定Π是訪問結(jié)構(gòu)的線性秘密共享方案，令S∈是授權(quán)集，定義I={i:ρ(i)∈S}?{1,2,…,n1}，則存在多項(xiàng)式時(shí)間算法計(jì)算{ci∈Zp}i∈I，使得對(duì)于秘密共享值s的任意有效份額{λi}i∈{1,2,…,n1}，滿足Σi∈Iciλi=s.

1.4域GF(q)上Goldreich-Levin定理

定理1. 域GF(q)上的Goldreich-Levin定理[9].令q是一個(gè)大素?cái)?shù)，H是GF(q)的任意子集，n是一個(gè)正整數(shù)，任意函數(shù)f：Hn→{0,1}*.令s←Hn,ξ←f(s),r←GF(q)n，如果存在區(qū)分器D在時(shí)間t內(nèi)使得|Pr[D(ξ,r,(r·s))=1]-Pr[ζ←GF(q):D(ξ,r,ζ)=1]|=ε,則存在一個(gè)可逆器A,在t′=t ·poly(n,|H|,1ε)時(shí)間內(nèi)求得s的概率為

2　抗連續(xù)輔助輸入泄漏ABE及其安全模型

2.1抗連續(xù)輔助輸入泄漏ABE的定義

一個(gè)抗連續(xù)輔助輸入泄漏的ABE方案由以下6個(gè)算法構(gòu)成：初始化(Setup)、加密(Enc)、私鑰生成(Keygen)、解密(Dec)、主密鑰更新(MskUpdate)、用戶私鑰更新(UskUpdate).

1)Setup(λ,U)→(PK,MSK).該概率多項(xiàng)式時(shí)間(PPT)初始化算法輸入系統(tǒng)安全參數(shù)λ和系統(tǒng)的屬性全集U，輸出系統(tǒng)主密鑰MSK和公鑰PK.

2)Enc(M,,PK)→C.該P(yáng)PT加密算法輸入一個(gè)待加密消息M、一個(gè)訪問結(jié)構(gòu)(A,ρ)和系統(tǒng)公鑰PK，輸出密文C.

3)KeyGen(ω,MSK)→SKω.該P(yáng)PT私鑰生成算法輸入用戶的屬性集合ω、主密鑰MSK，輸出用戶私鑰SKω.

4)Dec(SKω,C)→M.解密算法輸入用戶私鑰SKω和在(A,ρ)下加密的密文C，僅當(dāng)ω滿足訪問結(jié)構(gòu)(A,ρ)時(shí)，用戶才能解密密文，否則，解密失敗.

5)MskUpdate(MSK)→MSK′.主密鑰更新算法輸入當(dāng)前主密鑰MSK，輸出更新后的主密鑰MSK′.

除了在成品中添加Nisin抑制微生物生長(zhǎng)外，也可在發(fā)酵過程中加入，這優(yōu)于化學(xué)防腐劑的特性。如在白酒發(fā)酵過程中加入Nisin，可有效降低白酒總酸，抑制白酒發(fā)酵中乳酸菌的生長(zhǎng)繁殖，控制白酒醪液中乳酸、乳酸乙酯的生成，提高白酒品質(zhì)[12]；而醬油等調(diào)味品由多菌種天然釀造而成，發(fā)酵過程中添加Nisin也可抑制特定菌種或雜菌對(duì)品質(zhì)的影響。

2.2安全性模型

定義3. 本文方案的安全模型可以通過攻擊者A和挑戰(zhàn)者C之間的交互游戲進(jìn)行定義如下:

1) 初始化階段.挑戰(zhàn)者C運(yùn)行方案中的Setup算法，生成系統(tǒng)當(dāng)前主密鑰MSK和公鑰PK，將PK發(fā)送給攻擊者A，創(chuàng)建列表LMSK，用于保存主密鑰MSK的所有版本，包括每個(gè)時(shí)間段更新前的MSK和當(dāng)前最新MSK.挑戰(zhàn)者C創(chuàng)建列表LUSK，并將其置為空集?.

2) 詢問階段1.A可以向C多次詢問下面3類預(yù)言機(jī)：①私鑰生成預(yù)言機(jī)KGO(·).A提交一個(gè)屬性集合ω?U給C，C運(yùn)行KeyGen(MSK,ω)算法，輸出私鑰SKω，并將其保存到列表LUSK.然后，C將SKω發(fā)送給A.②泄漏預(yù)言機(jī)MLO(·).給定一個(gè)概率多項(xiàng)式時(shí)間可計(jì)算的函數(shù)族F，A輸入一個(gè)多項(xiàng)式時(shí)間可計(jì)算函數(shù)f∈F，計(jì)算f(LMSK,?,MSK,?,PK,?)，獲知關(guān)于主密鑰MSK的泄漏信息.③主密鑰更新預(yù)言機(jī)UMO(·).C運(yùn)行UpdateMSK(MSK)，輸出更新后的主密鑰MSK′，并設(shè)置MSK←MSK′.

4) 詢問階段2.A可以向C多次詢問下面4類預(yù)言機(jī)：①私鑰生成預(yù)言機(jī)KGO(·).與詢問階段1相同.②泄漏預(yù)言機(jī)MLO(·).A輸入一個(gè)多項(xiàng)式時(shí)間可計(jì)算函數(shù)f∈F，計(jì)算f(LMSK,L,MSK,SKω*,PK,*)，獲知關(guān)于主密鑰MSK和解密私鑰SKω*的泄漏信息.③主密鑰更新預(yù)言機(jī)UMO(·).與詢問階段1相同.④用戶私鑰更新預(yù)言機(jī)UUO(·).C運(yùn)行UpdateUSK(SKω*)算法，生成一個(gè)新的用戶私鑰，設(shè)置.

6) 詢問階段3.A僅能詢問KGO(·)，且要求這

7) 猜測(cè)階段.A依據(jù)密文C*給出一個(gè)猜測(cè)值b′.

當(dāng)b′=b，且在詢問階段1,2,3中，攻擊者A沒有詢問滿足訪問結(jié)構(gòu)*的用戶私鑰，稱A贏得這個(gè)游戲，且定義A在該游戲中的優(yōu)勢(shì)為|Pr[b′=b]-12|.

借鑒Yuen等人[11]提出的抗連續(xù)輔助輸入泄漏模型，給出在CP-ABE中連續(xù)輔助輸入函數(shù)族的定義.令LMSK為CP-ABE中系統(tǒng)主密鑰MSK的集合，S*表示所有滿足挑戰(zhàn)訪問結(jié)構(gòu)*的私鑰集合，S表示其他私鑰集合，使得S*∩S=?.假設(shè)L表示滿足挑戰(zhàn)訪問結(jié)構(gòu)*的一些私鑰集合，即L?S*，MSK和SKω*分別表示當(dāng)前主密鑰和當(dāng)前滿足挑戰(zhàn)訪問結(jié)構(gòu)的私鑰，k為私鑰SKω*的長(zhǎng)度.

定義4. 連續(xù)輔助輸入函數(shù)族F(χ(k))是一類概率多項(xiàng)式時(shí)間(PPT)可計(jì)算的函數(shù)族f:{0,1}*→{0,1}*,使得對(duì)所有的PK,*,S,f(LMSK,L,MSK,SKω*,PK,*)，任意PPT算法輸出一個(gè)SKω*∈S*的概率均不超過χ(k)，其中，困難參數(shù)χ(k)≥2-k，且MSK,PK,SKω*,S,LMSK,L和*都是隨機(jī)生成的.

定義5. 如果對(duì)于任意概率多項(xiàng)式時(shí)間的攻擊者A在上述安全模型游戲中的優(yōu)勢(shì)均是可忽略的，且安全模型中的F是連續(xù)輔助輸入函數(shù)族F(χ(k))，則稱該ABE方案在F(χ(k))下是IND-CPA安全的，記作χ(k)-CAI-CPA安全性，其中，χ(k)≥2-k.

3　抗連續(xù)輔助輸入泄漏的ABE方案

令G,GT是階為N=p1p2p3的循環(huán)群，其中，p1,p2,p3是3個(gè)互不相同的素?cái)?shù)，e:G×G→GT是雙線性映射，Gi是群G的階為pi的子群，Gi,j是群G的階為pipj的子群(i≠j).U為系統(tǒng)全體屬性的集合.

1)Setup(λ,U).令0<ε<1，m=(3×lbp2)，初始化算法選擇隨機(jī)向量和，選擇隨機(jī)生成元g1,h1,h2,…,hm∈G1,g3∈G3.對(duì)每個(gè)屬性i∈U,隨機(jī)選取si∈ZN和一個(gè)G3部分隨機(jī)數(shù).該算法隨機(jī)選取和G3部分隨機(jī)向量,計(jì)算并輸出系統(tǒng)公鑰PK和主密鑰MSK如下：

SKω=(ω,K=〈k1,k2,…,km〉,L,Ki,?i∈ω)=

3)Enc(M,(A,ρ))→C.訪問結(jié)構(gòu)(A,ρ)由一個(gè)n1×n2矩陣A和一個(gè)映射ρ:{1,2,…,n1}→U組成，加密算法隨機(jī)選取一個(gè)向量v=s,v2,…,vn2.對(duì)矩陣A的每一行Ax和j=1,2,…,m,隨機(jī)選擇rj,x∈ZN，計(jì)算密文為

恢復(fù)消息M=C0ys.

4　安全性證明和泄漏性能分析

4.1安全性證明

為了證明本文抗連續(xù)輔助輸入泄漏ABE的安全性，需要構(gòu)造半功能私鑰和半功能密文，半功能私鑰分為Ⅰ型半功能私鑰和Ⅱ型半功能私鑰.為了生成半功能私鑰和密文，對(duì)每個(gè)屬性i∈U，隨機(jī)選擇qi∈ZN，半功能密文和半功能私鑰定義如下：

定義6.KeygenSF1(MSK,ω).該Ⅰ型半功能私鑰生成算法隨機(jī)選擇θ∈ZN，隨機(jī)向量γ=〈γ1,γ2,…,γm〉∈[0,λ]m,利用正常私鑰SKω=(ω,K,L,Ki,?i∈ω)，計(jì)算Ⅰ型半功能私鑰SKω-Ⅰ如下：

定義7.KeygenSF2(MSK,ω).該Ⅱ型半功能私鑰生成算法選擇隨機(jī)向量γ=〈γ1,γ2,…,γm〉∈[0,λ]m,利用正常私鑰，計(jì)算Ⅱ型半功能私鑰SKω-Ⅱ如下：

注意：與Ⅰ型半功能私鑰不同的是，該Ⅱ型半功能私鑰中的θ=0.

定義8.EncSF(M,(A,ρ)).該半功能密文生成算法隨機(jī)選擇δ∈ZN，對(duì)訪問矩陣A的每一行Ax和j=1,2,…,m,隨機(jī)選擇δj,x∈ZN,隨機(jī)向量，利用正常密文，計(jì)算半功能密文C-SF如下：

C-SF=((A,ρ),C0=M,?).

基于合數(shù)階群上的子群判定假設(shè)，采用混合爭(zhēng)論技術(shù)，借助一系列相鄰游戲(GameReal,Game0,Game1,1,Game1,2,…,Gamek-1,2,Gamek,1,Gamek,2,…,GameQ-1,2,GameQ,1,GameQ,2,GameFinal)的不可區(qū)分性，證明本文方案的安全性，其中，Q表示在安全性游戲中詢問KGO(·)預(yù)言機(jī)的次數(shù).

1) GameReal：真實(shí)的安全性游戲，私鑰和密文都是正常的.

2) Game0：與GameReal類似，除了挑戰(zhàn)密文是半功能密文.

3) Gamek,1：挑戰(zhàn)密文是半功能密文，前k-1次詢問的私鑰是Ⅱ型半功能的，第k次詢問私鑰是Ⅰ型半功能的，剩余的私鑰是正常的.

4) Gamek,2：與Gamek,1類似，除了第k次詢問的私鑰是Ⅱ型半功能的.

5) GameFinal：在這個(gè)安全性游戲中，所有詢問私鑰都是Ⅱ型半功能的，且挑戰(zhàn)密文是對(duì)一個(gè)隨機(jī)明文加密生成的半功能密文.

引理1. 若假設(shè)1成立，對(duì)于任意PPT攻擊者A，則A區(qū)分GameReal和Game0的優(yōu)勢(shì)均是可以忽略的.

證明. 假定存在一個(gè)PPT攻擊者A以不可忽略的優(yōu)勢(shì)區(qū)分GameReal和Game0，則可以構(gòu)造一個(gè)PPT算法B，B能以不可忽略的優(yōu)勢(shì)打破假設(shè)1.B接收到假設(shè)1的條件{g1,g3,T}，能夠模擬GameReal或Game0.B執(zhí)行初始化算法，令m=(3×lbp2),選擇隨機(jī)向量,計(jì)算,?j∈[1,m].對(duì)每個(gè)屬性i∈U，隨機(jī)選擇si∈ZN.B生成系統(tǒng)公鑰?i∈U),并將其發(fā)送給A,其中，N,g1,g3由假設(shè)1給定.

1) 詢問階段1.由于已知 〈α1,α2,…,αm〉,B執(zhí)行初始化算法,生成系統(tǒng)正常主密鑰MSK，可以回答攻擊者A的所有私鑰生成詢問、主密鑰泄漏和更新詢問.

3) 詢問階段2.與詢問階段1類似，此外，B可以回答A對(duì)私鑰SKω*的所有泄漏信息和更新信息.

5) 詢問階段3.與詢問階段1相同，除了A只能進(jìn)行私鑰生成詢問.

Mb(e(h1,g1)α1e(h2,g1)α2…e(hm,g1)αm)z,

因此，如果A能以不可忽略的優(yōu)勢(shì)區(qū)分GameReal和Game0，則B可以相同的優(yōu)勢(shì)打破假設(shè)1.

證畢.

引理2. 如果假設(shè)2成立，對(duì)于任意PPT攻擊者A，則A區(qū)分Gamek-1,2和Gamek,1的優(yōu)勢(shì)均是可忽略的.

3) 詢問階段2.與詢問階段1類似，此外，B可以回答A的所有私鑰SKω*的泄漏信息.

該密文是半功能的，其中

當(dāng)挑戰(zhàn)私鑰是Ⅰ型半功能私鑰時(shí)，私鑰和挑戰(zhàn)密文中的其余半功能參數(shù)如下：

私鑰γ=θ′〈a1,a2,…,am〉,θ=θ′.

注意uj的第1個(gè)分量總是等于ajv，而攻擊者可以從γ的第j個(gè)分量和δ分別獲知aj和v模p2的值，γ中的κ可從θ獲知.若第k個(gè)私鑰的屬性滿足挑戰(zhàn)訪問結(jié)構(gòu)時(shí)，且

0modp2，

則該私鑰是名義半功能私鑰.

由安全性定義可知，A只能對(duì)該解密鑰進(jìn)行泄漏詢問，而不能進(jìn)行解密鑰生成詢問.使用下面引理3證明：當(dāng)挑戰(zhàn)私鑰的屬性集合滿足挑戰(zhàn)密文的訪問策略時(shí)，攻擊者A區(qū)分第k個(gè)挑戰(zhàn)私鑰是名義半功能的或真正半功能的優(yōu)勢(shì)是可以忽略的.

證畢.

引理3. 若域GF(p2)上的Goldreich-Levin定理成立，對(duì)任意PPT攻擊者A，則A區(qū)分第k個(gè)挑戰(zhàn)私鑰是名義半功能的或真正半功能的優(yōu)勢(shì)是可忽略的.

證明.Goldreich-Levin定理的挑戰(zhàn)者C選取?！蔥0,λ]m,ξ=f(Γ)，1=〈1,1,…,1〉∈GF(p2)m,隨機(jī)數(shù)ζ∈GF(p2).

B和A模擬Gamek,1，B設(shè)置m=(3×lbp2)，選擇隨機(jī)向量.對(duì)每個(gè)屬性i∈U，隨機(jī)選擇計(jì)算：

由于B已知系統(tǒng)主密鑰和所有子群的生成元，它既可以生成正常私鑰也能生成半功能私鑰.因此，B可以回答詢問階段1中A的所有私鑰生成詢問.

1) 挑戰(zhàn)階段1.攻擊者A提交一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)(A*,ρ*)，A*是一個(gè)n1×n2的矩陣，B選擇一個(gè)屬性集合ω*，使得ω*滿足A*.注意：由安全性定義可知，A不能得到與ω*對(duì)應(yīng)的私鑰，僅能獲得該私鑰的泄漏信息.

2) 詢問階段2.B不生成與ω*對(duì)應(yīng)挑戰(zhàn)私鑰，而是將A對(duì)挑戰(zhàn)私鑰的泄漏詢問編碼成定義域?yàn)閇0,λ]m的一元PPT函數(shù).通過固定其他私鑰的所有值和固定挑戰(zhàn)私鑰的非半功能參數(shù)可以實(shí)現(xiàn)這種泄漏，具體過程如下：B收到一個(gè)實(shí)例(f(Γ),1,ζ ),其中，1=〈1,1,…,1〉,ζ=Γ·1或是隨機(jī)值.B用f(Γ)來回答A關(guān)于挑戰(zhàn)私鑰的泄漏詢問，并隱式地定義解密私鑰.

3) 挑戰(zhàn)階段2.A提交2個(gè)等長(zhǎng)消息M0和M1給B，B用向量ui和δ=r2∈Zp2構(gòu)造挑戰(zhàn)密文，其中ui,1=τi.如果ζ=?！?，則:

此時(shí)，挑戰(zhàn)私鑰是名義半功能私鑰.如果ζ≠?！?，則挑戰(zhàn)私鑰是真正半功能的，且是均勻分布的.

4) 詢問階段3.B可以回答A的所有詢問.

5) 猜測(cè)階段.B可用A的輸出區(qū)分(f(Γ),1,?！?)和(f(Γ),1,ζ).由Goldreich-Levin定理可知，若A能以Δ的優(yōu)勢(shì)區(qū)分上述的2個(gè)元組，B能以至少

的概率輸出Γ，與泄漏函數(shù)f是不可逆函數(shù)矛盾，因此，A不能區(qū)分該挑戰(zhàn)私鑰是名義半功能或真正半功能的.

當(dāng)挑戰(zhàn)私鑰的屬性不滿足挑戰(zhàn)訪問結(jié)構(gòu)時(shí)，A可以詢問該私鑰.由于文中限制在訪問結(jié)構(gòu)中每個(gè)屬性只能使用一次，我們可以斷定uj,1= ajvmodp2在信息理論上是隱藏的.

6) 詢問階段3.與詢問階段1相同，除了A不能詢問泄漏預(yù)言機(jī).

基于假設(shè)2，B完美模擬了Gamek-1,2或者以幾乎為1的概率模擬Gamek,1.因此，如果存在一個(gè)攻擊者A能以不可忽略的優(yōu)勢(shì)區(qū)分Gamek-1,2和Gamek,1，則B能以幾乎相同的優(yōu)勢(shì)打破假設(shè)2.

證畢.

引理4. 如果假設(shè)2成立，則任意PPT攻擊者A區(qū)分Gamek,1和Gamek,2的優(yōu)勢(shì)是可以忽略的.

γ=k〈a1,a2,…,am〉+μh,θ=k,δ=v,uj=ajv·v′.

證畢.

引理5. 如果假設(shè)3成立，則任意PPT攻擊者A區(qū)分GameQ,2和GameFinal的優(yōu)勢(shì)是可以忽略的.

1) 初始化階段.B設(shè)置m=(3×lbp2)，選擇隨機(jī)向量,對(duì)每個(gè)屬性i∈U，隨機(jī)選擇,隱式設(shè)置：

計(jì)算公鑰PK并發(fā)送給A，其中，N,g1,g3是由B給定.

3) 挑戰(zhàn)階段1.攻擊者A提交一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)(A*,ρ*)，A*是一個(gè)n1×n2的矩陣，B選擇一個(gè)屬性集合ω*，使得ω*滿足A*，并使用詢問階段1相同的方法，為其生成一個(gè)Ⅱ型半功能挑戰(zhàn)私鑰.

4) 詢問階段2.與詢問階段1相同，此外，A還可以詢問解密私鑰的泄漏信息.

6) 詢問階段3.與詢問階段1相同，除了A不能詢問泄漏預(yù)言機(jī).

如果T=e(g1,g1)α z,挑戰(zhàn)密文為消息Mb的半功能密文.否則，挑戰(zhàn)密文是隨機(jī)消息的半功能密文.因此，B可以利用A的輸出攻破假設(shè)3.

證畢.

定理2. 如果假設(shè)1,2,3成立，則文中抗連續(xù)輔助輸入泄漏的屬性基加密方案是2-mε-CAI-CPA安全的.

證明. 由引理1～5可知，GameReal和GameFinal是不可區(qū)分的.在GameFinal中由于挑戰(zhàn)密文是隨機(jī)消息的密文，因此，攻擊者A在GameFinal的優(yōu)勢(shì)是0.綜上所述，A在GameReal的優(yōu)勢(shì)是可以忽略的.

證畢.

4.2泄漏性能和密鑰長(zhǎng)度對(duì)比

抗密鑰泄漏的容忍程度是衡量一種密碼機(jī)制安全性的重要指標(biāo).總的來說，抗泄漏密碼機(jī)制的主要目標(biāo)是盡可能預(yù)防和抵抗更多不同類型的邊信道攻擊，使系統(tǒng)在實(shí)際應(yīng)用中的安全性得到可靠的保障.本節(jié)對(duì)比本文方案和相關(guān)的2個(gè)知名方案在抗泄漏容忍程度、主密鑰長(zhǎng)度和用戶私鑰長(zhǎng)度等方面的性能，表明了本文方案不僅具有最好的抗泄漏容忍性，而且具有較短的主密鑰長(zhǎng)度和用戶私鑰長(zhǎng)度.

表1將本文方案和相關(guān)的2個(gè)知名方案在密鑰泄漏容忍程度、主密鑰長(zhǎng)度和用戶私鑰長(zhǎng)度方面進(jìn)行詳細(xì)比較，其中，n≥2，|U|表示系統(tǒng)全體屬性U的個(gè)數(shù)，|ω|表示用戶屬性集合ω中屬性的個(gè)數(shù)，|G|表示群G或GT中元素的長(zhǎng)度，0<ε<1，YCZY[11]方案中的m=(3λ)，p2是群G2階，本文方案令m=(3×lbp2).

Table 1　 Performance Comparison表1　性能比較

根據(jù)表1可以看出，LRW方案[30]提出了一種自適應(yīng)安全的抗密鑰連續(xù)泄漏的ABE方案，僅允許主密鑰和用戶屬性私鑰的有界泄漏，且要求舊版本的密鑰必須從內(nèi)存中完全清除.此外，該方案不能與其他密碼學(xué)方案組合使用.與該方案相比，本文方案允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏，每次密鑰更新時(shí)允許泄漏舊密鑰信息，且可以與其他密碼方案組合應(yīng)用.雖然本文方案適當(dāng)增加了主密鑰和用戶私鑰的長(zhǎng)度，但具有更強(qiáng)的抗密鑰泄漏安全性.與YCZY-IBE方案[11]相比，在具有相同抗泄漏容忍性的前提下，本文方案的主密鑰和用戶私鑰長(zhǎng)度顯著減少，且能實(shí)現(xiàn)加密數(shù)據(jù)的細(xì)粒度共享訪問控制.

5　結(jié)　　論

針對(duì)屬性基加密機(jī)制中邊信道攻擊下的密鑰泄漏問題，本文將連續(xù)輔助輸入泄漏模型[11]和雙系統(tǒng)加密[15]相結(jié)合，通過合理設(shè)計(jì)主密鑰和用戶私鑰的生成過程，提出一種抗連續(xù)輔助輸入泄漏的ABE方案，一定程度上解決了ABE中的抗密鑰泄漏的公開難題.基于合理假設(shè)，證明本文方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應(yīng)安全性.本文方案的主要貢獻(xiàn)有3個(gè)方面：1)允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏；2)允許ABE的屬性私鑰應(yīng)用到其他密碼系統(tǒng)中，具有較好的合成性質(zhì)；3)每次密鑰更新時(shí)無需假定將舊版本密鑰從內(nèi)存中完全清除，允許泄漏舊版本密鑰的信息.與相關(guān)的2個(gè)知名方案相比，本文方案不僅具有最好的抗泄漏容忍性，而且具有相對(duì)較短的主密鑰長(zhǎng)度和用戶私鑰長(zhǎng)度.

盡管本文方案在一定程度上解決了ABE抵制邊信道攻擊下密鑰泄漏的難題，顯著增強(qiáng)了ABE系統(tǒng)的安全性，但與原來的CP-ABE方案[14]相比，系統(tǒng)的密文、主密鑰和用戶私鑰的長(zhǎng)度增加較大，且加解密效率較低.因此，如何減少本文方案中的系統(tǒng)主密鑰、用戶私鑰和密文長(zhǎng)度，提高加解密的計(jì)算效率，將是我們未來研究工作的重要方向.

[1]KocherPC.TimingattacksonimplementationsofDiffie-Hellman,RSA,DSS,andothersystems[G] //LNCS1109:Procofthe16thAnnualIntCryptologyConf.Berlin:Springer, 1996: 104-113

[2]BonehD,DeMilloRA,LiptonRJ.Ontheimportanceofcheckingcryptographicprotocolsforfaults[G] //LNCS1233:ProcoftheIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 1997: 37-51

[3]KocherPC,JaffeJ,JunB.Differentialpoweranalysis[G] //LNCS1666:Procofthe19thAnnualIntCryptologyConf.Berlin:Springer, 1999: 388-397

[4]HaldermanA,SchoenS,HeningerN,etal.Lestweremember:Coldbootattacksonencryptionkeys[C] //Procofthe17thUSENIXSecuritySymp.Berkeley,CA:USENIXAssociation, 2008: 45-60

[5]NaorM,SegevG.Public-keycryptosystemsresilienttokeyleakage[G] //LNCS5677:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 18-35

[6]AkaviaA,GoldwasserS,VaikuntanathanV.Simultaneoushardcorebitsandcryptographyagainstmemoryattacks[G] //LNCS5444:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 474-495

[7]DodisY,HaralambievK,L’opez-AltA,etal.Cryptographyagainstcontinuousmemoryattacks[C] //Procofthe51stAnnualSymponFoundationsofComputerScience.LosAlamitos,CA:IEEEComputerSociety, 2010: 511-520

[8]AlwenJ,DodisY,NaorM,etal.Public-Keyencryptioninthebounded-retrievalmodel[G] //LNCS6110:Procofthe29thAnnualIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 2010: 113-134

[9]DodisY,GoldwasserS,KalaiYT,etal.Public-keyencryptionschemeswithauxiliaryinputs[G] //LNCS5978:ProcoftheTheoryofCryptographyConf.Berlin:Springer, 2010: 361-381

[10]BrakerskiZ,KalaiYT,KatzJ,etal.Overcomingtheholeinthebucket:Public-keycryptographyresilienttocontinualmemoryleakage[C] //Procofthe51stAnnualSymponFoundationsofComputerScience.LosAlamitos,CA:IEEEComputerSociety, 2010: 511-520

[11]YuenTH,ChowSSM,ZhangY,etal.Identity-basedencryptionresilienttocontinualauxiliaryleakage[G] //LNCS7237:Procofthe31stAnnualIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 2012: 117-134

[12]SahaiA,WatersB.Fuzzyidentitybasedencryption[G] //LNCS3494:ProcoftheEUROCRYPT2005.Berlin:Springer, 2005: 457-473

[13]BethencourtJ,SahaiA,WatersB.Ciphertext-policyattribute-basedencryption[C] //Procofthe2007IEEESymponSecurityandPrivacy.LosAlamitos,CA:IEEEComputerSociety, 2007: 321-334

[14]LewkoA,OkamotoT,SahaiA,etal.Fullysecurefunctionalencryption:Attribute-Basedencryptionand(hierarchical)innerproductencryption[G] //LNCS6110:ProcoftheEUROCRYPT2010.Berlin:Springer, 2010: 62-91

[15]WatersB.Dualsystemencryption:Realizingfullysecureibeandhibeundersimpleassumptions[G] //LNCS5677:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 619-636

[16]GoyalV,PandeyO,SahaiA,etal.Attribute-Basedencryptionforfine-grainedaccesscontrolofencrypteddata[C] //Procofthe13thACMConfonComputerandCommunicationsSecurity.NewYork:ACM, 2006: 89-98

[17]YuSC,RenK,LouWJ.Attribute-basedcontentdistributionwithhiddenpolicy[C] //Procofthe4thWorkshoponSecureNetworkProtocols(NPSec).LosAlamitos,CA:IEEEComputerSociety, 2008: 39-44

[18]TraynorP,ButlerK,EnckW,etal.Realizingmassive-scaleconditionalaccesssystemsthroughattribute-basedcryptosystems[C] //Procofthe15thAnnualNetworkandDistributedSystemSecuritySymp.LosAlamitos,CA:IEEEComputerSociety, 2008: 1-13

[19]CheungL,NewportC.ProvablysecureciphertextpolicyABE[C] //ProcoftheACMConfonComputerandCommunicationsSecurity.NewYork,ACM, 2007: 456-465

[20]CheungL,CooleyJA,KhazanR,etal.Collusion-Resistantgroupkeymanagementusingattribute-basedencryption[OL].[2014-06-15].http://eprint.iacr.org//2007//161.pdf

[21]YuSC,RenK,LouWJ.Attribute-basedon-demandmulticastgroupsetupwithmembershipanonymity[J].ComputerNetworks, 2010, 54(3): 377-386

[22]BadenR,BenderA,SpringN,etal.Persona:Anonlinesocialnetworkwithuser-definedprivacy[C] //ProcoftheACMSIGCOMM2009ConfonDataCommunication.NewYork:ACM, 2009: 135-146

[23]SuJinshu,CaoDan,WangXiaofeng,etal.Attribute-basedencryptionschemes[J].JournalofSoftware, 2011, 22(6): 1299-1315 (inChinese)

(蘇金樹, 曹丹, 王小峰. 等. 屬性基加密機(jī)制[J]. 軟件學(xué)報(bào), 2011, 22(6): 1299-1315)

[24]YuSC,RenK,LouWJ,etal.DefendingagainstkeyabuseattacksinKP-ABEenabledbroadcastsystem[C] //ProcoftheSecurityandPrivacyinCommunicationNetworks.NewYork:ACM, 2009: 311-329

[25]LiJ,RenK,ZhuB,etal.Privacy-awareattribute-basedencryptionwithuseraccountability[G] //LNCS5735:ProcoftheInformationSecurityConf.Berlin:Springer, 2009: 347-362

[26]WangYT,ChenKF,ChenJH.Attribute-basedtraitortracing[J].JournalofInformationScienceandEngineering, 2011, 27(1): 181-195

[27]BoldyrevaA,GoyalV,KumarV.Identity-basedencryptionwithefficientrevocation[C] //Procofthe14thACMConfonComputerandCommunicationSecurity.NewYork:ACM, 2008: 417-426

[28]LiuZ,CaoZF,WongDCS.BlackboxtraceableCP-ABE:Howtocatchpeopleleakingtheirkeysbysellingdecryptiondevicesonebay[C] //Procofthe20thACMConfonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 475-486

[29]MaHaiying,ZengGuosun.Anattribute-basedencryptionschemefortraitortracingandrevocationtogether[J].ChineseJournalofComputers, 2012, 35(9): 1845-1855 (inChinese)

(馬海英, 曾國(guó)蓀. 可追蹤并撤銷叛徒的屬性基加密方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(9): 1845-1855)

[30]LewkoA,RouselakisY,WatersB.AchievingLeakageresiliencethroughdualsystemencryption[C] //Procofthe8thTheoryofCryptographyConf.NewYork:ACM, 2011: 70-88

MaHaiying,bornin1977.PhD,associateprofessorinNantongUniversity.MemberofChinaComputerFederation.Hermainresearchinterestsincludepublickeycryptographyandnetworksecurity.

ZengGuosun,bornin1964.ProfessorandPhDsupervisorinTongjiUniversity.Hismainresearchinterestsincludeinformationsecurityandparallelcomputing.

BaoZhihua,bornin1955.ProfessorinNantongUniversity.Hismainresearchinterestsincludemoderncommunicationtheoryandtechnology,communications-specificintegratedcircuitdesigns.

ChenJianping,bornin1960.ProfessorinNantongUniversity.Hismainresearchinterestsincludeinformationsecurityandnumericcomputation.

WangJinhua,bornin1963.PhD,professor,PhDsupervisor.Hismainresearchinterestsincludecombinatorialdesigntheory,combinedcodingtheory,cryptography,andtheirintersectionalfields.

WangZhanjun,bornin1978.ReceivedhismasterdegreefromHenanNormalUniversity.Hismaincurrentresearchinterestsincludepublickeycryptosystemandalgebra.

Attribute-BasedEncryptionSchemeResilientAgainstContinuousAuxiliary-InputsLeakage

MaHaiying1,ZengGuosun2,BaoZhihua3,ChenJianping1,WangJinhua4,andWangZhanjun4

1(School of Computer Science and Technology, Nantong University, Nantong, Jiangsu 226019)2(Department of Computer Science and Technology, Tongji University, Shanghai 201804)3(School of Electronics and Information, Nantong University, Nantong, Jiangsu 226019)4(School of Science, Nantong University, Nantong, Jiangsu 226019)

Fortheleakageofsecretkeyingmaterialunderside-channelattacksinattribute-basedencryption,theseexistingsolutionsonlyallowattackerstogetlength-boundedleakageonthesecretkey.Firstofall,wecombinethemodelofcontinuousauxiliary-inputsleakagewithdualsystemencryptiontoachievestrongleakageresilience.Secondly,wereasonablydesignthegenerationofsecretkeytoreduceitssize,andthendevisethefirstattribute-basedencryptionthatremainssecureeveniftheattackercanobtaintheleakageofcontinuousauxiliaryinputs.Intheend,ourschemeisprovedfullysecureinthestandardmodelbasedonreasonableassumptions,eveniftheattackergetstheleakageofthesecretkeyfromanauxiliary-inputfunction.Ourschemeachievesthecontinuousandunboundedleakageofboththemasterkeyandtheprivatekey,anddoesnotassumefullyerasureofoldsecretkeysduringthekey-updatequery.Inaddition,ithasadesirablecompositionfeature.Comparedwithrelevantsolutions,thisschemenotonlybenefitsthebestleakageresilience,butalsohasshorterlengthofmasterkeysandprivatekeys.

attribute-basedencryption;continuousauxiliary-inputsleakages;dualsystemencryption;Goldreich-Levintheorem;provablesecurity

2014-08-28；

2015-04-16

國(guó)家自然科學(xué)基金項(xiàng)目(61402244,61371111,11371207,61272107,61273103)；南通大學(xué)博士科研啟動(dòng)基金項(xiàng)目(15B10)；南通大學(xué)校級(jí)自然科學(xué)基金項(xiàng)目(15z06)

TP309

ThisworkwassupportedbytheNationalNaturalScienceFundationofChina(61402244, 61371111, 11371207, 61272107, 61273103),theDoctoralStart-upScientificResearchFoundationofNantongUniversity(15B10),andtheNaturalScienceFoundationofNantongUniversity(15z06).