基于SM2 的無證書加密算法

程朝輝

深圳奧聯(lián)信息安全技術(shù)有限公司, 深圳518000

1 介紹

無證書公鑰密碼體制的代表有1991 年Girault 提出的自認(rèn)證公鑰密碼(也稱“隱式證書” 密碼:Implicit-Certificate-Based Cryptography[1], 后文統(tǒng)一使用此稱謂) 和Al-Riyami 與Paterson 在2003年提出的無證書公鑰密碼(Certificateless-Public Key Cryptography, AP-CL-PKC)[2]. 這種密碼體制介于傳統(tǒng)證書公鑰體制和標(biāo)識密碼體制[3]之間. 在這種密碼體制中, 用戶私鑰由兩個秘密因素決定: 一個是由用戶自己生成的密鑰, 另外一個是從密鑰生成中心(Key Generation Center, KGC) 獲取的與用戶身份(以及可能的用戶密鑰信息) 相關(guān)的密鑰. 從一個秘密因素不能計算另一個, 即密鑰生成中心不能計算出用戶生成的部分密鑰, 用戶也計算不出密鑰生成中心生成的部分密鑰. 因此無證書密碼系統(tǒng)沒有密鑰托管的功能. 無證書密碼保證即使攻擊者成功地使用自己選擇的公鑰替換了被攻擊者的公鑰, 攻擊者仍然無法偽造被攻擊者的一個有效簽名, 或者解密一段試圖加密給被攻擊者的密文信息.

茂名港屬不正規(guī)半日潮港，平均海面為1.9米。平均潮差1.75米，受熱帶風(fēng)暴、強熱帶風(fēng)暴和臺風(fēng)影響時港內(nèi)水位一般可增高1.2米；該港的潮流屬往復(fù)流，漲落潮流方向基本依水道方向。漲潮流向在280°-360°之間，流速0.5-1.8節(jié)；落潮流向在128°-180°之間，流速為1.1-2.8節(jié)。

采用隱式證書的密碼機制一直沒有嚴(yán)格的安全模型, 構(gòu)造的算法均采用啟發(fā)式方法進行分析, 沒有嚴(yán)格的安全性分析. 因此出現(xiàn)采用隱式證書的密碼系統(tǒng)被發(fā)現(xiàn)存在攻擊的現(xiàn)象[4]. Al-Riyami 和Paterson在2003 年提出無證書的密碼體制[2]后引起廣泛的關(guān)注. 學(xué)術(shù)界進行了大量的安全模型理論研究并構(gòu)造了一系列包括無證書加密算法、簽名算法和密鑰交換協(xié)議等的安全機制, 如文獻[2,5–7] 等(更多的相關(guān)文獻可見文獻[8] 中的回顧). AP-CL-PKC 中密鑰生成函數(shù)定義的特性使得這類模型無法覆蓋采用隱式證書的密碼機制. 按照AP-CL-PKC 模型生成的密鑰對難以結(jié)合標(biāo)準(zhǔn)密碼算法使用. 文獻[8] 成功地將這兩個原來不相容的無證書密碼體制統(tǒng)一起來, 并同時獲得兩種機制的優(yōu)點, 從而能夠基于標(biāo)準(zhǔn)算法構(gòu)建安全性可嚴(yán)格證明的無證書簽名機制. 文獻[8] 的全文給出了無證書簽名機制和無證書加密機制的算法模型和安全定義, 并給出了基于標(biāo)準(zhǔn)算包括ECDSA、Schnorr、SM2 等構(gòu)造的無證書簽名機制. 進一步地, 文獻[9] 中給出了基于標(biāo)準(zhǔn)協(xié)議的無證書密鑰交換協(xié)議和基于ElGamal 算法的無證書加密機制的構(gòu)造, 但未給出這些機制的安全分析.

本文采用文獻[8] 中的密鑰生成方法結(jié)合SM2 加密算法[10]來構(gòu)造無證書加密算法并分析其安全性. 文獻[8] 中的密鑰生成算法為基于Schnorr 簽名算法的變形[11]并結(jié)合SM2 簽名算法中的標(biāo)識信息預(yù)計算后形成的(后文稱之為增強的PH 密鑰生成方法). 標(biāo)識信息預(yù)計算包括了KGC 的公鑰信息作為Schnorr 簽名中消息的密鑰前綴. PH 密鑰生成方法構(gòu)造的無證書密碼算法的公鑰計算和私鑰正確性驗證過程都具有高效率. 特別是在可預(yù)計算系統(tǒng)主公鑰的情況下(系統(tǒng)初始化后系統(tǒng)主公鑰就確定了, 因此在大多數(shù)情況下都可進行系統(tǒng)主公鑰預(yù)計算), PH 密鑰生成方法中的用戶公鑰計算和用戶私鑰正確性驗證過程比ECQV[12]方法相對應(yīng)的過程都更高效(工程實現(xiàn)證實可快6 倍以上). 因此這樣構(gòu)造的無證書加密算法整體可有更高效率的實現(xiàn). 但是, 即使經(jīng)過密鑰前綴化增強的PH 密鑰生成方法也不能保證其具有通用組合性: 和任一安全的離散對數(shù)公鑰算法進行組合構(gòu)成安全的無證書機制. 文獻[8] 顯示該方法不能直接和ECDSA 組合來構(gòu)造安全的無證書簽名機制. 就我們所知, 目前這一類密鑰生成機制和公鑰加密算法組合的安全性也沒有相關(guān)形式化的分析. 比如ECQV 標(biāo)準(zhǔn)[12]中就提出: ECQV 和ECIES 組合形成的公鑰加密機制的安全性沒有相關(guān)的形式化分析. 因此這類算法的安全性是一個值得研究的重要問題. 本文的主要貢獻是證明PH 密鑰生成方法+SM2 這種簡潔的組合形成的加密算法的安全性, 從而得到一個安全、高效、基于SM2 的無證書加密算法. 另外, 文中的安全模型和方法也可以用于分析ECQV+ECIES算法組合的安全性.

在合理安全模型下就公鑰算法的安全性進行形式化分析對公鑰算法的安全性評估非常重要. 一些重要的標(biāo)準(zhǔn)化組織如ISO 等要求一個算法在被考慮納入標(biāo)準(zhǔn)前必須有公開發(fā)表的形式化安全分析. 就我們所知, 本文是第一篇對這類基于標(biāo)準(zhǔn)算法構(gòu)造的無證書加密算法進行形式化安全分析的文章. 我們希望本文可為這類算法的安全性評估和標(biāo)準(zhǔn)化工作提供有益的參考.

2 無證書加密算法模型

2.1 無證書加密算法定義

根據(jù)文獻[8], 無證書加密算法由以下一系列函數(shù)構(gòu)成:

? CL.Setup(1k): 給定安全參數(shù)k, 該函數(shù)初始化無證書密碼系統(tǒng), 生成系統(tǒng)主公鑰和主私鑰(Mpk,Msk). 該函數(shù)由KGC 執(zhí)行.

行政主管部門產(chǎn)業(yè)監(jiān)管角色的轉(zhuǎn)變雖奠定了有效監(jiān)管的基礎(chǔ)，但要想真正實現(xiàn)在公共運輸上的安全便捷、價格合理、服務(wù)規(guī)范，面對每天數(shù)以億計的交易，行政主管部門尚缺乏充分的信息獲得渠道、快捷的監(jiān)督和反應(yīng)機制，而借助行業(yè)自律實施的監(jiān)管則是政府監(jiān)管的有益補充，這也是諸多學(xué)者提出的政府管平臺、平臺管車輛的通俗化監(jiān)管模式。[25]

? CL.Set-User-Key(Mpk): 該函數(shù)生成用戶部分公鑰和部分私鑰(UA,xA).

? CL.Decrypt(Mpk, IDA, PA, sA, C): 該函數(shù)解密密文C, 輸出m 或終止符⊥.

安慶女孩不知什么時候撲到蘇菲身邊，摸黑給了蘇菲一巴掌，打到哪兒是哪兒。蘇菲并沒有被打痛，卻幾乎要謝謝安慶女孩的襲擊，現(xiàn)在要讓出氣筒全面發(fā)揮效應(yīng)，拳頭、指甲、腳，全身一塊出氣。安慶女孩哭起來，蘇菲馬上哭得比她還要委屈，似乎她揍別人把自己揍傷了，上來拉架的女孩們拉著拉著也哭了。

? CL.Set-Private-Key(Mpk, IDA, UA, xA, WA, dA): 該函數(shù)生成用戶的完整私鑰sA.

? CL.Set-Public-Key(Mpk, IDA, UA, WA): 該函數(shù)生成用戶“聲明” 的公鑰PA(在隱式證書密碼系統(tǒng)中也稱為公鑰還原數(shù)據(jù)).

? CL.Encrypt(Mpk, IDA, PA, m): 該函數(shù)對消息m 進行加密, 生成密文C.

? CL.Extract-Partial-Key(Mpk, Msk, IDA, UA): 該函數(shù)由KGC 執(zhí)行, 為用戶生成KGC 部分公鑰和部分私鑰(WA,dA).

定義1 若游戲1 和游戲2 中的兩類多項式時間攻擊者AI和AII的優(yōu)勢都可忽略的小, 則無證書加密算法是安全的.

2.2 無證書加密算法安全模型

文獻[8] 中給出了無證書加密算法定義對應(yīng)的安全模型. 模型由兩個游戲構(gòu)成, 分別對應(yīng)兩類不同的攻擊者: 類型-I 攻擊者是普通的攻擊者, 他試圖冒充被攻擊者獲得其私鑰或者獲取明文相關(guān)信息. 類型-II攻擊者是好奇的KGC. 這類KGC 試圖在不留痕跡的情況下冒充某個被攻擊者獲得其私鑰或者獲取明文相關(guān)信息. 下面給出具體的安全定義.

首先從網(wǎng)絡(luò)社區(qū)問答網(wǎng)站(如百度知道)上獲取大量的問句答案對數(shù)據(jù)，結(jié)合GenQA 發(fā)布的問答對和知識庫，致力于獲取更高質(zhì)量的學(xué)習(xí)數(shù)據(jù)。對齊問題答案與知識庫中的事實，一個最基本的想法就是，三元組的頭部實體出現(xiàn)在問句中(一般不會加上屬性的匹配，因為一方面屬性的描述更加多種多樣，另一方面是因為很多屬性是隱含表示的)，并且該三元組的尾部實體出現(xiàn)在答案中，該三元組就可以作為回答該問句的候選三元組。但是，有效的監(jiān)督數(shù)據(jù)還需要精確的、能幫助回答問句的事實三元組。事實上，如圖2所示，可能會有多個三元組匹配問句與答案，這是因為實體與問句和答案的匹配過程中、事實三元組與問答對的匹配過程中都可能存在歧義。

圖1是無證書加密算法安全性定義的兩個游戲(選擇密文攻擊下的不可區(qū)分性,IND-CCA).其中ρ 為攻擊者的狀態(tài). 游戲中攻擊者向諭示OCL 請求如下的詢問:

? CL.Extract-Partial-Key(Mpk, Msk, IDA, UA): 諭示執(zhí)行CL.Set-Public-Key(Mpk, IDA,UA, WA) 獲得PA, 將(IDA,PA) 加入集合Q 后返回(WA,dA).

? CL.Get-Public-Key(Mpk,IDA,bNewKey): 如果bNewKey 是true,則諭示順序執(zhí)行CL.Set-User-Key, CL.Extract-Partial-Key, CL.Set-Private-Key 和CL.Set-Public-Key, 將(IDA, PA, xA, sA) 加入集合L 中, 將PA加入集合P 中, 返回PA. 如果bNewKey 是false, 則查詢集合L 中對應(yīng)IDA的最新元素, 返回其中的PA.

? CL.Get-Private-Key(Mpk, IDA,PA): 諭示在集合 L 中查詢 (IDA,PA) 對應(yīng)的元素, 將(IDA,PA) 放入集合S1后返回sA.

? CL.Get-User-Key(Mpk, IDA,PA): 諭示在集合L 中查詢(IDA,PA) 對應(yīng)的元素, 將(IDA,PA)放入集合S2后返回xA.

? CL.Setup(1k): 按照算法規(guī)定正常生成(PKGC=[s]G,Msk=s), 并將輸出提供給攻擊者.

合理評估國家或地區(qū)的工業(yè)化發(fā)展水平，準(zhǔn)確判斷其所處工業(yè)化發(fā)展階段，對把握產(chǎn)業(yè)發(fā)展趨勢和制定更好的產(chǎn)業(yè)發(fā)展政策具有現(xiàn)實意義。青島市作為國家設(shè)立的中心城市之一，同時作為山東省經(jīng)濟實力最強的城市，有責(zé)任與能力帶動山東半島的經(jīng)濟走向更強。因此，為進一步推動青島市經(jīng)濟發(fā)展，發(fā)揮其應(yīng)有的作用，有必要對青島市的工業(yè)化發(fā)展水平進行測度與分析。

在上述查詢集合L 的過程中, 如果未查到相關(guān)元素, 則返回錯誤.

圖1 無證書加密算法安全性定義Figure 1 Security definition of CL-PKE

文獻[2] 中的模型支持CL.Replace-Public-Key(IDA,PA) 這樣的請求來模擬攻擊者替換公鑰的攻擊行為. 文獻[8] 中的簽名算法安全模型未顯式地支持替換公鑰請求, 而是允許攻擊者生成對其選擇的ID?和公鑰P?有效的簽名來贏得游戲. 采用這樣的定義方式是因為無證書公鑰簽名算法可以工作在標(biāo)識簽名算法模式, 即簽名用戶不發(fā)布聲明的公鑰, 而是將其公鑰PA作為簽名值的一部分進行傳遞. 在這樣的系統(tǒng)中沒有公鑰發(fā)布的部件, 因此文獻[8] 中的安全模型在保持模型有效性的同時, 具有更好的場景適應(yīng)性. 為了保持模型的一致性, 加密算法安全模型也未顯式地支持公鑰替換請求, 而是在第3 步中CL.Enc(Mpk,ID?,P?,mb)允許攻擊者指定P?,第2 步和第4 步中CL.Decrypt-Message(IDA,PA,C)請求允許攻擊者指定PA. 游戲規(guī)則允許攻擊者替換ID?的公鑰為任意的P?來請求挑戰(zhàn)密文C?, 只要攻擊者未通過請求獲取(ID?,P?) 對應(yīng)的私鑰且b=b′就算贏得游戲.

? H2(xW∥yW∥Z): 按照標(biāo)準(zhǔn)隨機諭示返回.

文獻中還有兩種理論意義上更強的解密請求. 解密請求類型1[2]: 諭示OCL 需要在沒有私鑰的情況下, 成功解密任意解密請求中的密文, 包括替換公鑰后產(chǎn)生的密文. 這種安全要求具有理論上的意義, 與現(xiàn)實環(huán)境中的用戶解密的行為不同. 本文安全模型不考慮該請求(實際上, 在隨機諭示模型下基于Gap類型的安全性假設(shè), 這類解密請求也可實現(xiàn)). 解密請求類型2[5,13]: 攻擊者提供替換公鑰對應(yīng)的部分私鑰, 諭示OCL 使用攻擊者提供的部分私鑰和另外一部分私鑰進行解密. 本文中的算法中用戶只存儲一個私鑰值, 因此這類攻擊不適用于本文中的算法(本文模型對類型II 攻擊者支持CL.Get-User-Key 請求只是為了兼容文獻[2] 中模型的請求. 對于本文中的算法, 惡意KGC 通過記錄CL.Extract-Partial-Key 的過程并通過CL.Get-Private-Key 獲得完整用戶私鑰就可自行計算諭示對CL.Get-User-Key的響應(yīng)). 文獻[14] 中定義了一個針對類型II 攻擊者的模型來模擬KGC 在執(zhí)行CL.Setup 過程中設(shè)置門限的情況. 如文獻[5] 中所述, 我們可以簡單地使用可驗證密鑰生成方法擊敗系統(tǒng)初始化過程的門限攻擊. 因此, 為了分析的簡潔性, 本文不考慮這種類型的攻擊. 設(shè)上述兩個游戲中攻擊者的優(yōu)勢為Adv=|2(Pr[成功]?1/2)|.

那么，我們在家里要怎么做這個游戲呢？有一個早教中心親子課堂發(fā)布的名為Mirror time的游戲可以供您參考，適合0～6歲的寶貝：

1.對外經(jīng)濟交往環(huán)境風(fēng)險。由于油田企業(yè)成本構(gòu)成復(fù)雜而產(chǎn)品又相對單一，使得以項目采購、外協(xié)加工與服務(wù)、地面工程建設(shè)等對外經(jīng)濟交往變得日益頻繁。近年來，隨著越來越多的油田企業(yè)走出油田甚至走出國門承攬工程，對外經(jīng)濟交往也變得日趨復(fù)雜，潛在的和未知的法律風(fēng)險也在逐步增多。這種風(fēng)險主要來自對方資信狀況、履約能力、實際履行狀況和違約責(zé)任追究等幾個方面所帶來的爭議和糾紛。這種爭議和糾紛可能會引發(fā)仲裁或訴訟，甚至嚴(yán)重影響生產(chǎn)經(jīng)營的順利進行。

3 基于SM2 的無證書加密算法

3.1 無證書加密算法

描述算法前, 首先介紹一下標(biāo)記. ∈R表示從集合中隨機選取; ∥表示拼接; 對于一個橢圓曲線的點G,xG 和yG 分別對應(yīng)點G 的x 軸和y 軸; H 為選擇的哈希算法, 如SM3; p 與q 為素數(shù); Fp為素數(shù)域; q為選擇橢圓曲線點群的階; [a]G 表示G 的倍點運算; KDF 為基于哈希算法的密鑰派生函數(shù)[10].

? CL.Setup(1k)

1. KGC 生成隨機主私鑰Msk=s ∈RZ?q.

2. KGC 選擇系統(tǒng)參數(shù), 包括橢圓曲線E/Fp相關(guān)參數(shù)和生成元G, 并計算主公鑰PKGC=[s]G.系統(tǒng)參數(shù)為Mpk=(E/Fp:Y2=X3+aX +b,p,q,G,PKGC=[s]G).

3.2 算法安全性分析

SM2 加密算法的安全性可以規(guī)約到以下Gap-Diffie-Hellman(GDH) 復(fù)雜性假設(shè). 上述無證書加密算法的安全性也可規(guī)約到同一復(fù)雜性假設(shè).

定義2 GDH 復(fù)雜性假設(shè): 給定一個階為q 的循環(huán)群?G? 上的一組元素(G,[α]G,[β]G) 和一個DH判定諭示DDH(給定(X,[a]G,[b]G)可以判定X 是否等于[ab]G),計算[αβ]G 是困難的,其中α,β ∈RZ?q.

下面的安全性證明過程中使用到代數(shù)群模型(Algebraic Group Model, AGM)[15]. AGM 要求攻擊者在輸出群上元素時, 同時給出該元素基于目前所見群元素的表達. 例如攻擊者在獲得DH 問題(G,[α]G,[β]G) 后, 計算出T = [αβ]G, 同時給出該元素的表達ˉz = (?z,ˇz,?z) ∈Z3q, 滿足T =[?z]G + [ˇz][α]G + [?z][β]G. 相比標(biāo)準(zhǔn)模型, AGM 對攻擊者的要求更多, 但是對比一般群模型(General Group Mode, GGM)[16], 其要求則更少. 因此在AGM 中證明的結(jié)果在GGM 中直接成立. 后文中我們使用Tˉz表示具有表達ˉz 的元素T. 證明中并不要求攻擊者產(chǎn)生的所有群元素都提供表達, 無需表達的元素仍采用普通標(biāo)記.

定理1 在隨機諭示和代數(shù)群模型下, 對于基于SM2 的無證書加密算法, 如果存在一個多項式時間攻擊者以不可忽略優(yōu)勢贏得類型I 或者類型II 的游戲, 則存在一個多項式時間的算法可以求解GDH 問題.

證明: 算法中有四個哈希計算(KDF 也是基于哈希的計算), 下面分析過程將其模擬成四個不同的隨機諭示. 這四個計算中的哈希計算過程輸入取值空間不同, 可以自動區(qū)分為不同的哈希操作. 隨機諭示可采用安全的哈希算法如SM3 算法實現(xiàn). 下面分別對這兩類游戲進行分析.

? CL.Get-User-Key(Mpk, IDA,PA): 如果T 上無(IDi,Pi) 索引的表項, 則返回錯誤. 如果對應(yīng)的表項xi所在位置為?, 則終止游戲(事件2), 否則返回xi.

類型 I 的游戲: 假定攻擊者AI成功贏得類型I 游戲的優(yōu)勢為?(k). 給定一個GDH 問題(G,[α]G,[β]G), 游戲模擬者S 維護一個格式為?IDi,Pi,Ui,xi,di,si,wi? 的列表T(T 將代替2.2 規(guī)定的集合L 的作用, 游戲中的其他集合按2.2 描述的方式管理), 采用如下方式回答攻擊者AI的詢問:

（5）砼工程中砼標(biāo)號分多種強度等級和不同的配合比，一般情況應(yīng)該把砼配合比單獨歸納到一章內(nèi)，套定額時，再根據(jù)不同標(biāo)號在本章節(jié)中查找換算。但考慮到系統(tǒng)內(nèi)填寫檢修計劃委托書的是設(shè)備點檢員，定額編制組在編制砼澆筑子目時，直接將廠內(nèi)常用的強度等級混凝土按照不同標(biāo)號編制在砼澆筑子目內(nèi)。這樣，使用者就不用選定子目后再進行查找、換算操作了。

? CL.Get-Private-Key(Mpk, IDA,PA): 如果T 上無(IDi,Pi) 索引的表項, 則返回錯誤; 否則返回對應(yīng)的si.

? CL.Get-User-Key(Mpk, IDA,PA): 如果T 上無(IDi,Pi) 索引的表項, 則返回錯誤; 否則返回對應(yīng)的xi.

? H1(IDL∥IDi∥a∥b∥xG∥yG∥xPKGC∥yPKGC): 按照標(biāo)準(zhǔn)隨機諭示返回.

容易看出, 本文中模型與文獻[2] 中的普通攻擊者模型的能力相同, 特別是隱式地支持了文獻[2] 中的公鑰替換請求. 在文獻[2] 中模型下, 公鑰替換請求不影響諭示對CL.Get-Private-Key 請求(文獻[2] 中模型不要求正確返回被替換公鑰后對應(yīng)的私鑰) 和CL.Extract-Partial-Key 請求的響應(yīng). 在標(biāo)準(zhǔn)解密請求的安全模型下, 諭示就像標(biāo)準(zhǔn)的解密方一樣, 使用其擁有的私鑰解密密文, 而不關(guān)心密文的生成過程是否使用了替換過的公鑰. 因此這種情況下, 文獻[2] 中的公鑰替換請求只對挑戰(zhàn)mb的加密過程有意義. 文中模型中要求諭示在使用攻擊者自行選擇的公鑰P?加密mb的情況下, 攻擊者仍然無法以不可忽略的優(yōu)勢贏得游戲. 顯然文中的安全模型和文獻[2] 一樣有效地體現(xiàn)了對實際攻擊的安全要求, 包括試圖通過替換公鑰來獲得密文后嘗試獲得明文相關(guān)信息的攻擊行為. 注意, 在模型中攻擊者根據(jù)類型的不同, 獲取(ID?,P?) 對應(yīng)的私鑰的方法有所不同. 類型I 攻擊者可通過CL.Extract-Partial-Key(Mpk,Msk,ID?,U?) 請求間接獲取或通過CL.Get-Private-Key(Mpk,ID?,P?) 請求直接獲取(ID?,P?) 對應(yīng)的私鑰. 類型II 攻擊者可通過CL.Get-User-Key(Mpk,ID?,P?) 請求間接獲取或通過CL.Get-Private-Key(Mpk,ID?,P?) 請求直接獲取(ID?,P?) 對應(yīng)的私鑰.

? H3(xQ∥yQ): 按照標(biāo)準(zhǔn)隨機諭示返回.

? H4(xQ∥m∥yQ): 按照標(biāo)準(zhǔn)隨機諭示返回.

類型 II 的游戲: 假定攻擊者AII成功贏得類型II 游戲的優(yōu)勢為?(k). 給定一個GDH 問題(G,[α]G,[β]G), 游戲模擬者S 選擇一個整數(shù)0 < K ≤N, 其中N 是游戲中總共生成的公鑰的個數(shù)(實際上可以進一步縮小為攻擊者未獲取完整私鑰和用戶部分私鑰的公鑰個數(shù)). 模擬者S 維護一個格式為?IDi,Pi,Ui,xi,di,si,wi? 的列表T (T 將代替2.2 規(guī)定的集合L 的作用, 游戲中的其他集合按2.2 描述的方式管理), 采用如下方式回答攻擊者A 的詢問(該安全性規(guī)約未采用代數(shù)群模型):

? CL.Decrypt-Message(Mpk, IDA,PA,C): 諭示在集合L 中查詢(IDA,PA) 對應(yīng)的元素, 使用sA對密文C 進行解密, 在將(IDA,PA,C) 放入集合D 后返回解密結(jié)果. 如果查詢集合L 的過程中未查到相關(guān)元素, 則使用屬于IDA的最新sA解密C 返回結(jié)果.

對照組接受常規(guī)產(chǎn)后護理,包括母乳喂養(yǎng)知識、乳房熱敷、護士床旁指導(dǎo)正確喂養(yǎng)方式、心理支持等。觀察組在對照組基礎(chǔ)上使用射頻電療,產(chǎn)婦取仰臥位,進行雙側(cè)乳房局部清潔,治療片置于紗布上,貼緊乳房四周,以外用固定帶加壓,再根據(jù)產(chǎn)婦耐受程度調(diào)節(jié)治療強度,從0Hz開始,逐漸增加至產(chǎn)婦可耐受強度,持續(xù)15~25min,1次/d。剖宮產(chǎn)后次日開始,直至出院當(dāng)天。

? CL.Get-Public-Key(Mpk, IDA, bNewKey): 如果bNewKey 是false, 則在列表T 查找對應(yīng)IDi的最新的表項中的Pi. 如果未找到, 則返回錯誤. 如果bNewKey 是true,

? CL.Get-Private-Key(Mpk, IDA,PA): 如果T 上無(IDi,Pi) 索引的表項, 則返回錯誤. 如果對應(yīng)的表項si所在位置為?, 則終止游戲(事件1), 否則返回si=xi+dimod q.

地基作為建筑施工工程的基礎(chǔ)環(huán)節(jié)，也是保證整個工程質(zhì)量的關(guān)鍵環(huán)節(jié)，任何形式的建筑工程，在施工階段都要做好地基建設(shè)，土方作業(yè)完工之后進入到地基施工階段。為了保證地基施工質(zhì)量，后期的底板封底、上層建筑修筑等施工過程都要時刻注重對地基工程狀況作出檢測。地基建設(shè)工程也會受到其他因素的影響，例如外部環(huán)境、地域特點、土質(zhì)狀況等，但地基施工技術(shù)水平的高低是直接影響地基工程質(zhì)量以及整個建筑工程質(zhì)量的重要因素，所以建筑施工單位在具體的市政建筑工程中必須考慮到外部影響因素，根據(jù)施工現(xiàn)場實際情況選擇合理的地基施工技術(shù)，為整個建筑工程質(zhì)量提供技術(shù)保障。

2017年，無人機、VR/AR、直播、人工智能等新媒體技術(shù)在數(shù)字報紙中運用更加廣泛。一方面，通過新技術(shù)對數(shù)字報紙內(nèi)容進行視覺化呈現(xiàn)，以更加生動有趣、簡潔易懂的方式展示和解讀新聞內(nèi)容，增強與讀者的互動交流，讀者更易理解新聞傳達的內(nèi)容。另一方面，新技術(shù)還將滲透到數(shù)字報紙內(nèi)容撰寫中，在一些突發(fā)事件的快速報道中，以機器人寫作將逐步取代記者消息編寫。另外，通過新技術(shù)可以實時監(jiān)測新聞熱點，即時獲取受眾反饋，應(yīng)用信息技術(shù)手段進行新聞內(nèi)容編輯。

? H1(IDL∥IDi∥a∥b∥xG∥yG∥xPKGC∥yPKGC): 按照標(biāo)準(zhǔn)隨機諭示返回.

? H2(xW∥yW∥Z): 按照標(biāo)準(zhǔn)隨機諭示返回.

根據(jù)國內(nèi)外對數(shù)字能力研究多集中在對不同群體的數(shù)字能力現(xiàn)狀的調(diào)查研究，來探索影響群體數(shù)字能力的因素，現(xiàn)階段對于在校研究生這一群體實證研究并不多見，如何有效地利用信息和通信技術(shù)對于研究生更為關(guān)鍵，本文針對重慶師范大學(xué)研究生進行數(shù)字能力的調(diào)查研究，根據(jù)歐盟數(shù)字能力框架和已有的《研究生數(shù)字能力評價指標(biāo)體系》制定符合本校研究生的問卷，用問卷調(diào)查的方式了解本校研究生數(shù)字能力現(xiàn)狀，并利用數(shù)據(jù)分析軟件SPSS對收集到的數(shù)據(jù)進行信度效度分析，對本校研究生進行數(shù)字能力差別分析，為學(xué)校提高研究生數(shù)字能力提供參考。

? H3(xQ∥yQ): 按照標(biāo)準(zhǔn)隨機諭示返回.

? H4(xQ||m||yQ): 按照標(biāo)準(zhǔn)隨機諭示返回.

? CL.Decrypt-Message(Mpk, IDA,PA,C): 根據(jù)(IDi,Pi) 查找T 是否有私鑰si. 如果有, 則使用si解密; 否則

– 情形1: 如果(IDi,Pi)對應(yīng)第K 個CL.Get-Public-Key 請求返回的(IDi,Pi),則使用DDH諭示檢查H3(xQ∥yQ)請求響應(yīng)列表中所有的Qx是否存在Qx=DH(C1,[α]G+[w?+λ?s]G).如果成功找到一個Qx, 則使用H3(xQx∥yQx) 計算m 并使用H4(xQx∥m∥yQx) 校驗C3, 并按照正常操作返回; 否則返回⊥;

– 情形2: 否則, 返回⊥(這里也可以進一步利用DDH 諭示檢查Qx=DH(C1,PA+[λAs]G), 并根據(jù)結(jié)果如情形1 進行解密).

? CL.Encrypt-Message(Mpk,ID?,P?,mb): 如果(ID?,P?) 不是第K 個CL.Get-Public-Key請求對應(yīng)的數(shù)據(jù), 則終止(事件3); 否則設(shè)置C1= [β]G, 利用DDH 諭示檢查H3和H4上的數(shù)據(jù)是否有Qx滿足Qx= DH([β]G,[α]G+[w?+λ?s]G), 若無, 則隨機生成C2和C3, 返回密文;否則返回(Qx?[w?+λ?s][β]G) 為GDH 的解.

? 攻擊者AII返回b′后, 使用DDH 諭示檢查H3(xQ∥yQ) 請求列表中所有的Qi是否存在Qx滿足Qx=DH([β]G,[α+w?+λ?s]G). 如果找到一個Qx滿足等式, 則返回(Qx?[w?+λ?s][β]G)為GDH 的解; 否則模擬者S 失敗(事件4).

公共服務(wù)提供憑空想象，認(rèn)為是做好事，并非當(dāng)做本職工作和責(zé)任，這難以讓民眾信服。公共服務(wù)如何得民心、惟民眾是，需要有科學(xué)、合理，以民眾為導(dǎo)向的公共服務(wù)種類，政府在擔(dān)當(dāng)公共服務(wù)提供者的同時需要全盤考慮、精心研究，需要專門的智庫，智庫提出的策略勢必起到明顯效果，因此政府組建專門公共服務(wù)創(chuàng)新智庫勢在必行，在為其提供充足經(jīng)費，使其擁有話語權(quán)的同時，時刻監(jiān)督智庫進展，此時的智庫定能為政府提供最具時效性、實用性和可行性的創(chuàng)新政策，最大限度地造福人民，同時政府也要鼓勵支持民間智庫和相關(guān)非政府組織的發(fā)展，使其也能為政府、為國家、為人民提供創(chuàng)新政策。

若事件3 不發(fā)生, 則事件1 和2 不發(fā)生. 類似于游戲1 中分析, 我們有:

4 結(jié)論

本文采用文獻[8] 中的密鑰生成方法結(jié)合SM2 加密算法構(gòu)造無證書加密算法并在適當(dāng)?shù)陌踩Ｐ拖聦λ惴ò踩赃M行了形式化分析. 我們證明了文中的無證書SM2 加密算法的安全性在隨機諭示和代數(shù)群模型下可以規(guī)約到Gap-Diffie-Hellman 復(fù)雜性假設(shè). 過程中采用的安全模型和方法也可以用于分析ECQV+ECIES 組合形成的無證書加密算法的安全性. 文中的結(jié)果可以為這類算法的安全性評估和標(biāo)準(zhǔn)化工作提供參考.