機(jī)構(gòu)可驗(yàn)證的密文策略屬性基加密方案

于金霞，何 旭，閆璽璽

(河南理工大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454003)

屬性基加密(Attribute-Based Encryption，ABE)[1]可以根據(jù)接收方群體的屬性指定訪問控制策略，而不必預(yù)先明確對方的用戶身份，從而帶來了靈活的加密機(jī)制。屬性基加密方案分成兩種類型：訪問策略與密鑰相關(guān)聯(lián)，稱為密鑰策略屬性基加密(Key-Policy Attribute-Based Encryption，KP-ABE)；訪問策略與密文相關(guān)聯(lián)，稱為密文策略屬性基加密(Ciphertext-Policy Attribute-Based Encryption，CP-ABE)。屬性基加密方案支持“一對多”的數(shù)據(jù)加密和“細(xì)粒度”的訪問控制，在付費(fèi)電視系統(tǒng)、電子醫(yī)療系統(tǒng)、云端存儲和霧計算[2-3]等領(lǐng)域具有廣闊的應(yīng)用前景。

綜上，從地區(qū)上看，各地區(qū)基層農(nóng)技人員“職業(yè)倦怠值”存在差異，部分地區(qū)離散程度較大，個體之間倦怠值差別較大；從性別上看，基層農(nóng)技隊(duì)伍中男性偏多，職業(yè)倦怠感也更顯著；從從事專業(yè)看，各專業(yè)存在一定差異；從年齡及從業(yè)年限看，基層農(nóng)技隊(duì)伍呈現(xiàn)“老齡化”趨勢，年長、從業(yè)年限久的人員占比較高，處于36-40歲間（大致對應(yīng)從業(yè)年限11-15年）人員群體職業(yè)倦怠均值相對較大，個體差異也最大，是值得引起關(guān)注的人群；從學(xué)歷上看，大學(xué)本科學(xué)歷占比最大，職業(yè)倦怠值相比也最大，而“碩博士研究生”學(xué)歷的人員占比小，倦怠值也相對較低；從職稱上看，職稱與“職業(yè)倦怠值”間，存在一定正相關(guān)，“初級”職稱人員，職業(yè)倦怠值最高。

循證護(hù)理教學(xué)作為一種新興的護(hù)理教學(xué)理念，廣大教師需要積極轉(zhuǎn)變傳統(tǒng)護(hù)理教學(xué)的模式，才能使循證護(hù)理在護(hù)理教學(xué)中取得良好的應(yīng)用效果。一方面，教師要加強(qiáng)自身對于循證護(hù)理的認(rèn)知程度，教師作為知識的指引者、引領(lǐng)者，自身對于循證護(hù)理知識的理解與掌握，會直接影響課堂教學(xué)中的成效。另一方面，教師在深入透徹的了解到循證護(hù)理的相關(guān)知識架構(gòu)后，要合理、科學(xué)的將循證護(hù)理知識融入到課堂教學(xué)過程中去。在課堂中引入循證護(hù)理教學(xué)，不僅能夠轉(zhuǎn)變學(xué)生以往的由被動學(xué)習(xí)轉(zhuǎn)變?yōu)橹鲃訉W(xué)習(xí)的模式，提升學(xué)生學(xué)習(xí)興趣，還能有助于培養(yǎng)學(xué)生及時發(fā)現(xiàn)問題，解決問題的能力。

然而，屬性基加密機(jī)制在實(shí)際應(yīng)用中也面臨著挑戰(zhàn)，有時候?qū)傩曰用芟到y(tǒng)不僅需要考慮用戶的合法性，還需要考慮用戶私鑰生成機(jī)構(gòu)的合法性?，F(xiàn)實(shí)中存在這樣的場景：一個大型的付費(fèi)電視節(jié)目服務(wù)提供商C，應(yīng)用屬性基加密機(jī)制加密電視節(jié)目，使得只有用合法機(jī)構(gòu)分發(fā)的用戶私鑰才能解密收看。C授權(quán)一些網(wǎng)絡(luò)平臺作為其合法的代理商，全體的合法代理商平臺構(gòu)成集合?，F(xiàn)在，Alice希望購買C的付費(fèi)電視節(jié)目，于是她通過一個自稱是代理商的平臺P申請購買用戶私鑰。如果P不是C的合法代理商，那么Alice可能遭受經(jīng)濟(jì)上的損失。理論上通過測試Alice獲取的私鑰可以間接驗(yàn)證P的合法性，但如果不是來自合法的機(jī)構(gòu)，即使Alice獲取的私鑰當(dāng)前可以正常使用，而后續(xù)的服務(wù)無法得到保障，如私鑰的升級或更新。現(xiàn)實(shí)生活中人們可以要求去檢查機(jī)構(gòu)的營業(yè)執(zhí)照等證明材料，但是互聯(lián)網(wǎng)中無法進(jìn)行現(xiàn)場的查驗(yàn)，而在線的驗(yàn)證方式還需要獨(dú)立于屬性基加密機(jī)制的額外的技術(shù)支持。因此，希望僅僅利用現(xiàn)有的或者改進(jìn)的屬性基加密方案就可以實(shí)現(xiàn)用戶對機(jī)構(gòu)合法性的驗(yàn)證。

顯然，該場景可以考慮依靠多機(jī)構(gòu)屬性基加密方案來解決。文獻(xiàn)[4]提出了多機(jī)構(gòu)的屬性基加密方案。該方案有一個中心機(jī)構(gòu)及多個屬性機(jī)構(gòu)，允許屬性機(jī)構(gòu)獨(dú)立管理屬性和分發(fā)密鑰，但該方案要求中心機(jī)構(gòu)完全可信，一旦中心機(jī)構(gòu)被破壞，則整個系統(tǒng)都會崩潰。文獻(xiàn)[5]提出了一個無中心機(jī)構(gòu)的多機(jī)構(gòu)屬性基加密方案，并且允許屬性機(jī)構(gòu)加入或者退出系統(tǒng)。針對可驗(yàn)證外包解密、匿名認(rèn)證、抗量子攻擊、策略隱藏和惡意用戶追蹤等實(shí)際應(yīng)用需求，學(xué)者們又相繼提出了多種多機(jī)構(gòu)屬性基加密方案[6-10]。通過觀察不難發(fā)現(xiàn)，大多數(shù)多機(jī)構(gòu)屬性基加密方案主要是引入多個機(jī)構(gòu)解決屬性管理和單機(jī)構(gòu)信任依賴問題。

文獻(xiàn)[11]提出了一個機(jī)構(gòu)可追責(zé)的屬性基加密方案。該方案中機(jī)構(gòu)需要利用注冊用戶的秘密參數(shù)生成用戶私鑰，如果一個合法的用戶私鑰中包含的秘密參數(shù)沒有對應(yīng)的注冊用戶，則說明這是由機(jī)構(gòu)的非法行為所產(chǎn)生的，于是可以實(shí)現(xiàn)對機(jī)構(gòu)的追責(zé)。文獻(xiàn)[12]采用同文獻(xiàn)[11]類似的方法，提出了一個針對屬性基加密系統(tǒng)中半信任機(jī)構(gòu)密鑰委托濫用問題的應(yīng)對方案。文獻(xiàn)[13]提出了支持大屬性域的機(jī)構(gòu)可追責(zé)方案，使得在方案初始化階段不用指定屬性全集的大小，增強(qiáng)了方案的可擴(kuò)展性。文獻(xiàn)[14]對文獻(xiàn)[13]方案做了進(jìn)一步改進(jìn)，使其能夠更好地適應(yīng)智能健康系統(tǒng)的具體應(yīng)用。文獻(xiàn)[15]則為實(shí)現(xiàn)機(jī)構(gòu)可追責(zé)能力提供了一個一般性的方案。文獻(xiàn)[16]的擴(kuò)展方案和文獻(xiàn)[17]將單個機(jī)構(gòu)分成3個部分，每個部分機(jī)構(gòu)負(fù)責(zé)生成用戶私鑰中的不同的組件，而3個部分機(jī)構(gòu)中的任意一個都不能獨(dú)立生成完整的用戶私鑰，以此來減輕對單個機(jī)構(gòu)信任的依賴。文獻(xiàn)[18]關(guān)于分層屬性基加密方案的研究工作使機(jī)構(gòu)之間組織成分層的樹形結(jié)構(gòu)，可以避免全體用戶都向樹根結(jié)點(diǎn)機(jī)構(gòu)申請私鑰，有效降低了機(jī)構(gòu)的工作載荷。

綜上，筆者發(fā)現(xiàn)現(xiàn)有的屬性基加密方案對機(jī)構(gòu)的研究工作主要關(guān)注機(jī)構(gòu)的屬性管理、信任依賴和工作載荷等方面，并不能很好地解決機(jī)構(gòu)合法性的可驗(yàn)證問題。重新觀察前面給出的場景，發(fā)現(xiàn)Alice實(shí)際上只需驗(yàn)證代理商P來自C的合法代理商群體就能滿足要求，因?yàn)锳lice只對P是否具有C的合法授權(quán)感興趣，而并不關(guān)心P自身的更多信息。環(huán)簽名密碼原語正好可以滿足這樣的要求。文獻(xiàn)[19]提出了環(huán)簽名的概念，其中驗(yàn)證者可以驗(yàn)證簽名是否來自某個組織或團(tuán)體中的成員，而具體生成簽名的成員對驗(yàn)證者來說是匿名的。之后，文獻(xiàn)[20]為了應(yīng)對電子投票系統(tǒng)的重復(fù)投票問題，提出了可鏈接環(huán)簽名方案。該方案中同一個簽名者生成的簽名可以被“鏈接”起來，從而避免了重復(fù)計票。

經(jīng)過觀察發(fā)現(xiàn)，文獻(xiàn)[16]的密文策略屬性基加密方案具有支持任意的單調(diào)訪問結(jié)構(gòu)、高效和標(biāo)準(zhǔn)模型下完全安全的優(yōu)點(diǎn)，文獻(xiàn)[20]的可鏈接環(huán)簽名方案具有簽名算法簡單、簽名尺寸相對較短的優(yōu)點(diǎn)，并且重要的是兩個方案之間存在結(jié)合的“楔子”。因此，筆者針對機(jī)構(gòu)合法性的可驗(yàn)證問題，在文獻(xiàn)[16]密文策略屬性基加密方案基礎(chǔ)上，引入文獻(xiàn)[20]可鏈接環(huán)簽名方案，提出一個支持用戶驗(yàn)證機(jī)構(gòu)合法性的密文策略屬性基加密方案，同時保持了原來兩個方案的優(yōu)點(diǎn)。方案中將所有合法機(jī)構(gòu)組織成一個環(huán)形結(jié)構(gòu)，每個合法機(jī)構(gòu)可以代表整個環(huán)生成環(huán)簽名，并將環(huán)簽名合理地嵌入到用戶私鑰中，使得用戶僅需要驗(yàn)證自己私鑰中的環(huán)簽名組件，就可以實(shí)現(xiàn)對機(jī)構(gòu)合法性的驗(yàn)證。

1 預(yù)備知識

1.1 線性秘密分享方案

在我國的高校中，不良的網(wǎng)絡(luò)信息已經(jīng)嚴(yán)重影響到學(xué)生的意識形態(tài)，但高校對于這一問題的管理顯然不足。首先，管理難度較大，學(xué)生的意識形態(tài)通常是隱性存在，學(xué)校難以對其作出具體的判斷；其次，高校的管理權(quán)限中對于學(xué)生意識形態(tài)的管理要求并不明確，在具體實(shí)施的過程中，學(xué)校往往以教育說服的方式對學(xué)生進(jìn)行勸告，但這樣的方法往往只能解決表面問題，因此效果不佳，最后，高校之間對于不良信息的界定存在較大差異，這一標(biāo)準(zhǔn)的混亂，使得在監(jiān)管的過程中難以落實(shí)相關(guān)的政策。

1.2 合數(shù)階雙線性群

設(shè)W為群生成算法，輸入安全參數(shù)κ，輸出雙線性群的描述(p1,p2,p3,G,GT,e)，其中,p1,p2,p3是不同的素數(shù)，G和GT是階為N=p1p2p3的循環(huán)群，e:G×G→GT是一個映射，使得：

(2)?g∈G，使得e(g,g)在GT中的階是N。

1.2.2 策略1組 除了對照組的健康教育及治療方法外，還加有氧呼吸訓(xùn)練，每次20 min，每日1次，共治療20周。

其中，(1)稱為雙線性，(2)稱為非退化性。G和GT上的運(yùn)算以及雙線性映射e關(guān)于κ的多項(xiàng)式時間內(nèi)可計算。Gp1、Gp2和Gp3分別表示G的階為p1、p2和p3的子群。當(dāng)hi∈Gpi，hj∈Gpj且i≠j時，e(hi,hj)是群GT的單位元。這一性質(zhì)稱為Gpi和Gpj是正交的。

下面給出合數(shù)階群上的3個困難假設(shè)，并通俗地說明假設(shè)成立的條件，正式的定義參考文獻(xiàn)[16, 21]。

假設(shè)13個素數(shù)的子群判定問題。給定一個群生成算法W，定義如下分布：

Ω=(N=p1p2p3,G,GT,e)←W；g←RGp1，X3←RGp3；

D=(Ω,g,X3)，T1←RGp1p2，T2←RGp1。

從圖2中可以看出，未經(jīng)預(yù)處理的樹脂脫附液的初始膜通量為18 L/(m2·h)左右,而預(yù)處理后的樹脂脫附液的初始膜通量約為43 L/(m2·h)，是未經(jīng)預(yù)處理的樹脂脫附液的初始膜通量的2倍多。隨著納濾膜處理的進(jìn)行，未經(jīng)預(yù)處理的樹脂脫附液的膜通量逐漸下降，預(yù)處理后的樹脂脫附液的膜通量隨著時間進(jìn)行，膜通量也逐漸下降，但樹脂脫附液預(yù)處理后的膜通量一直高于處理前的膜通量。在反應(yīng)進(jìn)行到9 h時，樹脂脫附液預(yù)處理后的膜通量約為19 L/(m2·h)，處理前的膜通量約為11 L/(m2·h)。

如果對任意的多項(xiàng)式時間敵手A，給定分布D，不能正確區(qū)分T1和T2，則假設(shè)1成立。

假設(shè)2給定一個群生成算法W，定義如下分布：

系統(tǒng)中存在多個具有相同能力的機(jī)構(gòu)(比如引言部分所給場景中的多個網(wǎng)絡(luò)代理商平臺)，對全體合法機(jī)構(gòu)應(yīng)用環(huán)簽名技術(shù)，使得全體合法機(jī)構(gòu)組織成環(huán)形結(jié)構(gòu)，環(huán)成員機(jī)構(gòu)根據(jù)現(xiàn)實(shí)情況(比如地理分布)分?jǐn)傆脩羲借€生成工作，這樣做既符合現(xiàn)實(shí)需求又降低了單一機(jī)構(gòu)的工作載荷。并且當(dāng)環(huán)成員機(jī)構(gòu)為用戶生成用戶私鑰時，將自己的環(huán)簽名合理地嵌入到用戶私鑰當(dāng)中，使得用戶能夠根據(jù)機(jī)構(gòu)的環(huán)簽名對機(jī)構(gòu)合法性進(jìn)行驗(yàn)證。系統(tǒng)中還存在一個獨(dú)立可信的主機(jī)構(gòu)，主機(jī)構(gòu)只負(fù)責(zé)整個系統(tǒng)的初始化工作，并不參與用戶私鑰的生成。圖1描述的是用戶向合法的機(jī)構(gòu)群體申請用戶私鑰的過程。

Ω=(N=p1p2p3,G,GT,e)←W；(g,X1)←RGp1，(X2,Y2)←RGp2，(X3,Y3)←RGp3；

D=(Ω,g,X1X2,X3,Y2Y3)，T1←RG，T2←RGp1p3。

如果對任意的多項(xiàng)式時間敵手A，給定分布D，不能正確區(qū)分T1和T2，則假設(shè)2成立。

如果對任意的多項(xiàng)式時間敵手A，給定分布D，不能正確區(qū)分T1和T2，則假設(shè)3成立。

D=(Ω,g,gαX2,X3,gsY2,Z2)，T1=e(g,g)αs，T2←RGT。

假設(shè)3給定一個群生成算法W，定義如下分布：

2 系統(tǒng)描述、算法與安全模型定義

2.1 系統(tǒng)描述

計算機(jī)實(shí)驗(yàn)教學(xué)中心建設(shè)要考慮安全化和節(jié)約化。中心建設(shè)要牢固樹立“安全第一，預(yù)防為主”和“安全無小事”的理念，堅(jiān)決克服麻痹懈怠思想，認(rèn)真做好安全防范工作，明確安全責(zé)任人，確保安全。實(shí)驗(yàn)中心建設(shè)要做好五防：防火、防水、防雷、防盜、防病。

圖1 系統(tǒng)描述

2.2 算法定義

筆者提出的方案由4個算法組成，分別是系統(tǒng)初始化算法Setup、加密算法Encrypt、用戶私鑰生成算法KeyGen和解密算法Decrypt。具體算法定義如下：

(1)Setup(κ,U,Uθ)→(K0,K1)。初始化算法Setup以安全參數(shù)κ∈N、屬性全集U和機(jī)構(gòu)全集Uθ作為輸入，完成可鏈接環(huán)簽名初始化操作[20]，生成系統(tǒng)中各機(jī)構(gòu)的可鏈接環(huán)簽名公鑰、私鑰對，輸出公共參數(shù)K0和主密鑰K1。

(2)Encrypt(K0,A0,M)→E。加密算法Encrypt以公共參數(shù)K0、屬性全集U上的訪問策略A0和消息M作為輸入，輸出密文E使得只有當(dāng)用戶私鑰滿足訪問策略A0時，用戶才能從中提取消息M。A0包含在E中。

(3)KeyGen(K0,K1,d,S)→Y。用戶私鑰生成算法KeyGen以公共參數(shù)K0、主密鑰K1、用戶身份d和用戶的屬性集合S作為輸入，(當(dāng)前機(jī)構(gòu))完成可鏈接環(huán)簽名生成操作[20]，將生成的可鏈接環(huán)簽名嵌入到用戶私鑰Y中，并將Y輸出。

(4)Decrypt(K0,E,Y)→Mor ⊥。解密算法Decrypt以公共參數(shù)K0、密文E和用戶私鑰Y作為輸入。如果Y滿足密文的訪問策略，則算法輸出消息M；否則，輸出⊥,表示解密失敗。

用戶在得到機(jī)構(gòu)分發(fā)的用戶私鑰之后，完成可鏈接環(huán)簽名驗(yàn)證操作[20]，驗(yàn)證用戶私鑰是否來自合法的機(jī)構(gòu)。在第4節(jié)方案構(gòu)造中，筆者將這一驗(yàn)證過程寫在了解密算法之前。

2.3 方案安全模型定義

方案安全模型定義為一個挑戰(zhàn)者與攻擊者之間交互的安全游戲。具體的游戲描述如下：

(1)初始化。挑戰(zhàn)者運(yùn)行初始化算法，將公共參數(shù)K0傳遞給攻擊者。

(2)階段1。攻擊者向挑戰(zhàn)者詢問(d1,S1),…,(dq1,Sq1)關(guān)聯(lián)的用戶私鑰。

(4)階段2。攻擊者向挑戰(zhàn)者詢問(dq1+1,Sq1+1),…,(dq,Sq)關(guān)聯(lián)的用戶私鑰。

對于可行性，楊濤進(jìn)行了逐一分析：首先，非洲有超過12億人口，網(wǎng)民接近4億人，且已進(jìn)入3G、4G階段；其次，非洲智能手機(jī)占有率為30%，但功能機(jī)轉(zhuǎn)智能機(jī)的速度非?？?，并且移動支付很普及，尤其是東非地區(qū)的一些國家，移動支付滲透率超過50%。更為重要的是，彼時雖然非洲電商發(fā)展迅速，但并沒有出現(xiàn)B2C巨頭公司，電商創(chuàng)業(yè)依然有相對較長的窗口期。

(5)猜測。攻擊者輸出對b的猜測b′。

3 方案構(gòu)造

下面主要展示方案構(gòu)造的具體細(xì)節(jié)，并對相關(guān)參數(shù)進(jìn)行說明。具體方案構(gòu)造如下：

(1)初始化。Setup(κ,U,{P1,…,Pm})→(K0,K1)。假設(shè)系統(tǒng)中的機(jī)構(gòu)全集為Uθ。為敘述方便，可令|Uθ|=m，則共有m個機(jī)構(gòu)P1,…,Pm。獨(dú)立于P1,…,Pm的主機(jī)構(gòu)運(yùn)行初始化算法，完成系統(tǒng)的初始化工作(主機(jī)構(gòu)只負(fù)責(zé)系統(tǒng)的初始化，不參與用戶私鑰的生成)。

階段1(p1,p2,p3,G,GT,e)←W(κ)，初始化算法Setup運(yùn)行群生成算法W。群生成算法W以安全參數(shù)κ作為輸入，輸出雙線性循環(huán)群的描述。其中p1,p2,p3是不同的素數(shù)，G和GT是階為N=p1p2p3的循環(huán)群，e:G×G→GT是雙線性映射，記Gpi為G中階為pi的子群(i=1,2,3)。g是群Gp1的生成元；X3是群Gp3的生成元。

把握文化與旅游大融合的背景，作為江蘇重要旅游城市的無錫作出了積極的探索，以文化元素打造“泰伯廟會”、陽山田園東方、丁蜀陶瓷小鎮(zhèn)等品牌，從單一的觀光旅游轉(zhuǎn)向觀光與休閑并舉發(fā)展，力爭推動旅游轉(zhuǎn)型升級走上高質(zhì)量發(fā)展之路。2017年底，無錫各景區(qū)旅游總收入超5億元，同比增長16.7%，全年接待游客人次達(dá)686.65萬人，同比增加12%。

學(xué)案導(dǎo)學(xué)教學(xué)模式是一種新的教學(xué)模式，符合新課程標(biāo)準(zhǔn)的要求。課前，根據(jù)考試大綱，結(jié)合班級學(xué)生的綜合學(xué)習(xí)能力，制定一個實(shí)用的教學(xué)案例。在課堂上，教師提前將準(zhǔn)備好的學(xué)案作為指導(dǎo)，學(xué)生作為學(xué)習(xí)的主體，完成課堂教學(xué)任務(wù)，實(shí)現(xiàn)教學(xué)目標(biāo)。本文將采用初中歷史教學(xué)中的教學(xué)模式應(yīng)用方法，介紹傳統(tǒng)教學(xué)模式與學(xué)案導(dǎo)學(xué)教學(xué)模式的區(qū)別，突出學(xué)案導(dǎo)學(xué)模式的優(yōu)勢。

(3)用戶私鑰生成KeyGen(K0,K1,d,S)→Yd,S。以機(jī)構(gòu)Pπ(1≤π≤m)為例，說明用戶私鑰的生成過程。(不失一般性，后面的(4)解密中也默認(rèn)以機(jī)構(gòu)Pπ為例進(jìn)行說明。)

階段1機(jī)構(gòu)Pπ運(yùn)行可鏈接環(huán)簽名算法，將用戶身份d簽起來，生成一個對應(yīng)的可鏈接環(huán)簽名。簽名生成算法Sign(d,L,zπ)的步驟如下：

④計算sπ=u-zπcπ(modN)。

需要指出：簽名生成算法是一個隨機(jī)化算法，每次簽名時都要重新隨機(jī)選取u,s1,…sπ-1,sπ+1,…sm，且每次計算得到的sπ也是隨機(jī)化的，所以每次簽名過程中產(chǎn)生的中間量c1,…cm也是隨機(jī)化的。實(shí)際上簽名σ中第1項(xiàng)可以從c1,…cm中任意選擇；為了算法的簡便，這里默認(rèn)選取c1作為簽名的第1項(xiàng)。

引理2如果方案Σ在文獻(xiàn)[21]的安全游戲中是安全的，那么方案Σ′在文中的安全游戲中是安全的。

(4)解密。用戶得到機(jī)構(gòu)分發(fā)的用戶私鑰之后，可以根據(jù)自己的身份，調(diào)用可鏈接環(huán)簽名驗(yàn)證算法驗(yàn)證用戶私鑰是否來自合法的機(jī)構(gòu)。同時，用戶利用下面4個格式檢查條件可以驗(yàn)證用戶私鑰中其他參數(shù)的正確性。不妨假設(shè)用戶的身份為d，屬性集合為S，用戶得到的用戶私鑰為

為幫助大家更好地理解主題學(xué)習(xí)模式，介紹一個案例——“寵物與我”[3]，關(guān)注人和動物之間的關(guān)系（主要是關(guān)于寵物的豢養(yǎng)）。學(xué)習(xí)者從不同角度觀察動物，從動物在藝術(shù)形式中是如何被表現(xiàn)的去探索，包括藝術(shù)、文學(xué)、音樂、電視和廣告，探索寵物在主人那里得到了什么，人又在它們那里中得到了什么，以及他們之間的關(guān)系；寵物又是如何生活的。這種從不同角度和不同學(xué)科領(lǐng)域考慮并整合教學(xué)資源的方法，同時激發(fā)學(xué)習(xí)者觀察、推理、解釋、創(chuàng)造、思維等不同能力的發(fā)展。具體學(xué)習(xí)內(nèi)容可以整合成三大類，如表1所示。

簽名驗(yàn)證算法Verify(d,L,σ)的步驟如下：

用戶私鑰格式檢查條件如下：

②e(g,D′)=e(ga,D)≠1。

定義2如果任意多項(xiàng)式時間的攻擊者在上述游戲中至多有可忽略的優(yōu)勢，則筆者提出的方案是完全安全的。

④ ?x∈S，使得e(DcD′,Tx)=e(Kx,g)≠1。

注意因?yàn)楣P者提出的方案采用的是可鏈接環(huán)簽名，機(jī)構(gòu)生成的環(huán)簽名具有可鏈接性[20]，所以如果機(jī)構(gòu)PA惡意替代機(jī)構(gòu)PB(PA和PB是任意兩個不同的合法機(jī)構(gòu))，用戶有能力發(fā)現(xiàn)這樣的替代行為。

具體的解密算法如下：

(1)

(2)

(3)

通過C(FI)/J，恢復(fù)消息M。

4 方案分析

4.1 安全性證明

以下給出屬性基加密方案的安全性證明，關(guān)于可鏈接環(huán)簽名的不可偽造性參見文獻(xiàn)[20]。這里采用同文獻(xiàn)[16]相同的方法，將筆者提出方案的安全性歸約到文獻(xiàn)[21]方案的安全性，從而證明筆者提出方案的安全性。記文獻(xiàn)[21]提出的方案為Σ，筆者提出的方案為Σ′。采用文獻(xiàn)[16]中給出的關(guān)于文獻(xiàn)[21]方案Σ的描述，這里僅給出方案Σ描述的一個提要：

高校畢業(yè)生是高校中比較特殊的群體，一方面他們要完成大學(xué)階段末期的學(xué)習(xí)，另一方面要忙于參加招考或找工作.近年來，隨著畢業(yè)生人數(shù)的逐年增加，全國就業(yè)形勢的日益嚴(yán)峻，考研大軍的不斷壯大，高校畢業(yè)生的學(xué)業(yè)管理也面臨新的課題、新的挑戰(zhàn).對畢業(yè)生的學(xué)業(yè)管理，我們應(yīng)從分析畢業(yè)生學(xué)業(yè)管理中面臨的矛盾和問題著手，本著以學(xué)生為本的工作理念，剛?cè)嵯酀?jì)，有效實(shí)現(xiàn)伸縮有度的彈性管理.

引理1如果假設(shè)1，2，3成立，那么方案Σ是安全的。

本文針對狀態(tài)不可觀測的且行為具有隨機(jī)性特征的CPS，提出了運(yùn)行時安全性驗(yàn)證方法，首先，構(gòu)造了運(yùn)行時驗(yàn)證框架，通過HMM來建模系統(tǒng)，使用DFA規(guī)約系統(tǒng)安全屬性的否定，兩者的乘積自動機(jī)作為運(yùn)行時監(jiān)控器，將CPS運(yùn)行時安全性驗(yàn)證問題約簡到屬性監(jiān)控器上的概率推斷問題.然后，提出了一種增量迭代安全性驗(yàn)證算法以及反例生成算法.實(shí)例分析和實(shí)驗(yàn)結(jié)果表明本文提出的方法能正確地和快速地探測系統(tǒng)違背安全屬性的行為，并能夠產(chǎn)生有效的反例.本文沒有考慮CPS的混成系統(tǒng)特征，下一步工作是擴(kuò)展HMM使其能夠建模隨機(jī)混成系統(tǒng)并對該類CPS進(jìn)行運(yùn)行時安全性驗(yàn)證.

證明：參見文獻(xiàn)[21]。引理1證畢。

同日神、酒神在對立統(tǒng)一中產(chǎn)生悲劇相似，鬼怪的悲劇也是在對生命與愛情的執(zhí)著，渴望結(jié)束永生之痛苦的超脫中產(chǎn)生的。他一方面留戀于鬼怪新娘帶來的愛情的、美好的生之喜悅，一方面又因永生陷入無法擺脫的回憶、孤獨(dú)之痛苦。而生之痛苦便是執(zhí)著于個體、個人的喜怒哀樂所產(chǎn)生的，鬼怪渴望結(jié)束永生，即是酒神式的擺脫個體，與自然歸一，得到回歸本質(zhì)的狂喜。拔劍后的鬼怪因此回到了渺無人煙的混沌鴻蒙之界，卻因曾與恩卓的一份合同”乙方被甲方召喚時無條件的出現(xiàn)在甲方面前“又回到了人世間。然而，日神、酒神的矛盾并未因?yàn)槟信魅斯闹胤杲Y(jié)束，恩卓必死的命運(yùn)與鬼怪不老不死的詛咒依然存在，因此鬼怪依然陷在命運(yùn)悲劇之中。

證明：假設(shè)如果存在一個概率多項(xiàng)式時間敵手A，可以以優(yōu)勢VA,Σ′攻破筆者提出的方案Σ′，那么就能夠構(gòu)造一個概率多項(xiàng)式時間算法B可以以優(yōu)勢VB,Σ攻破文獻(xiàn)[21]中的方案Σ，且VA,Σ′=VB,Σ。

(4)

(5)

(6)

(7)

B將用戶私鑰Y=(K,σ,D,D′,{Kx}x∈S)傳遞給A。

(4)階段2。同階段1。

(5)猜測。A將對b的猜測b′提交給B，B將b′提交給Σ。

注意到B模擬的公共參數(shù)、用戶私鑰和挑戰(zhàn)密文與筆者提出的實(shí)際方案中的分布是相同的，所以有VA,Σ′=VB,Σ成立。引理2證畢。

定理1如果節(jié)1中的假設(shè)1，2，3成立，那么筆者提出的方案Σ′是安全的。

證明：由引理1和引理2可推得定理1成立。定理1證畢。

4.2 性能分析

將筆者提出的方案與相關(guān)屬性基加密方案進(jìn)行對比分析，具體結(jié)果如表1所示。其中，|U|表示屬性全集的大小，|Uθ|表示系統(tǒng)中機(jī)構(gòu)的數(shù)目(實(shí)際中應(yīng)有|Uθ|?|U|)，l表示訪問結(jié)構(gòu)的大小(對于LSSS訪問結(jié)構(gòu)，l表示秘密分享矩陣的行數(shù))，|S|表示用戶屬性集合的大小，|I|表示參與解密過程的屬性數(shù)目，RO表示隨機(jī)預(yù)言機(jī)(Random Oracle)，“公開參數(shù)大小”一項(xiàng)包括系統(tǒng)公共參數(shù)和系統(tǒng)中全體機(jī)構(gòu)的公鑰。

表1 相關(guān)屬性基加密方案對比

在性能方面，從表1中可以看出，筆者提出的方案在公開參數(shù)大小和密文大小上要優(yōu)于文獻(xiàn)[5]的方案，尤其是公開參數(shù)大小減少了(|U|-|Uθ|)，而實(shí)際應(yīng)用中系統(tǒng)的機(jī)構(gòu)數(shù)目|Uθ|遠(yuǎn)遠(yuǎn)小于屬性全集大小|U|，所以公開參數(shù)大小的優(yōu)化還是顯著的，并且密文大小也減少了1個訪問結(jié)構(gòu)大小l。筆者提出的方案在用戶私鑰大小和雙線性對計算量上只略微弱于文獻(xiàn)[5]中的方案，其中用戶私鑰增加了4個群元素長度、1個整數(shù)長度和1個機(jī)構(gòu)數(shù)目|Uθ|，而雙線性對計算量僅增加了2個。筆者提出的方案與文獻(xiàn)[10]中的方案相比，文獻(xiàn)[10]中方案的公開參數(shù)大小在表1所有方案中是最優(yōu)的，它的公開參數(shù)大小只與機(jī)構(gòu)數(shù)目|Uθ|有關(guān)，而其他方案的公開參數(shù)大小都與屬性全集大小|U|有關(guān)，這一點(diǎn)正體現(xiàn)了文獻(xiàn)[10]方案支持大屬性集的特點(diǎn)——不用在系統(tǒng)初始化階段指定屬性全集。然而在密文大小、用戶私鑰大小和雙線性對計算量上，筆者提出的方案都要明顯好于文獻(xiàn)[10]方案的，其中密文大小近乎縮短為文獻(xiàn)[10]方案的1/2，用戶私鑰大小長度近乎縮短為文獻(xiàn)[10]方案的1/3，并且解密效率也相對提升為文獻(xiàn)[10]方案的1.5倍。筆者提出的方案與文獻(xiàn)[16]方案相比，在表1各項(xiàng)性能指標(biāo)上基本保持相同。其中密文大小都為2l+3，這一項(xiàng)在表1所有方案中是最好的，而公開參數(shù)大小只多了1個機(jī)構(gòu)數(shù)目|Uθ|，用戶私鑰大小只多了1個機(jī)構(gòu)數(shù)目|Uθ|和1個群元素長度。不難發(fā)現(xiàn)，筆者提出方案的主要性能代價表現(xiàn)在公開參數(shù)大小和用戶私鑰大小中分別引入了1個機(jī)構(gòu)數(shù)目|Uθ|，這是因?yàn)闉榱藢?shí)現(xiàn)用戶對機(jī)構(gòu)的合法性進(jìn)行驗(yàn)證，筆者提出的方案中嵌入了可鏈接環(huán)簽名方案，|Uθ|反映的是簽名長度。然而實(shí)際應(yīng)用中系統(tǒng)的機(jī)構(gòu)數(shù)目|Uθ|的值并不會很大，所以綜合來看，犧牲性能上的一點(diǎn)點(diǎn)代價，從而獲得用戶對機(jī)構(gòu)合法性的可驗(yàn)證能力是值得的。并且機(jī)構(gòu)合法性的可驗(yàn)證能力是筆者提出方案在功能上的一大優(yōu)勢，而表1其他方案都不支持這一功能。

在訪問策略表達(dá)能力方面，筆者提出的方案和表1其他方案都是采用LSSS，可以支持任意的單調(diào)訪問結(jié)構(gòu)。在安全性方面，筆者提出的方案同文獻(xiàn)[5]方案和文獻(xiàn)[16]方案一樣，都是基于合數(shù)階群上的困難假設(shè)，采用對偶系統(tǒng)加密技術(shù)，證明了方案的完全安全性。區(qū)別在于筆者提出方案和文獻(xiàn)[16]方案的證明基于標(biāo)準(zhǔn)模型，而文獻(xiàn)[5]方案的證明基于RO模型。雖然文獻(xiàn)[10]方案構(gòu)造在素數(shù)階群上，但是它的安全證明基于RO模型。所以筆者提出的方案在可證明安全性上也有較好的表現(xiàn)。

綜上，筆者提出的方案支持用戶對機(jī)構(gòu)合法性的驗(yàn)證，性能與其他類似屬性基加密方案相比也具有較大的優(yōu)勢，同時支持任意的單調(diào)訪問結(jié)構(gòu)和標(biāo)準(zhǔn)模型下的完全安全。

5 結(jié)束語

筆者針對現(xiàn)實(shí)生活中存在的用戶對機(jī)構(gòu)合法性進(jìn)行驗(yàn)證的需求，在一個已有密文策略屬性基加密方案的基礎(chǔ)上，應(yīng)用環(huán)簽名技術(shù)，構(gòu)造了一個機(jī)構(gòu)可驗(yàn)證的密文策略屬性基加密方案。用戶可以根據(jù)機(jī)構(gòu)分發(fā)的用戶私鑰驗(yàn)證該機(jī)構(gòu)是否來自于合法的機(jī)構(gòu)群體，從而保障自身的利益。筆者提出的方案與類似的屬性基加密方案相比具有一定的性能優(yōu)勢。另一方面，筆者提出方案所基于的文獻(xiàn)[16]方案支持白盒追蹤，而筆者提出的方案又基本保持了文獻(xiàn)[16]方案的用戶私鑰結(jié)構(gòu)，因此認(rèn)為筆者提出的方案具有擴(kuò)展為可追蹤屬性基加密方案的潛能。未來將考慮實(shí)現(xiàn)筆者提出方案的可追蹤功能，并考慮將該方案所實(shí)現(xiàn)的機(jī)構(gòu)合法性可驗(yàn)證能力應(yīng)用到常規(guī)的多機(jī)構(gòu)屬性基加密方案中，豐富現(xiàn)有多機(jī)構(gòu)屬性基加密方案的功能。