于金霞，何 旭，闫玺玺

(河南理工大学 计算机科学与技术学院，河南 焦作 454003)

属性基加密(Attribute-Based Encryption，ABE)[1]可以根据接收方群体的属性指定访问控制策略，而不必预先明确对方的用户身份，从而带来了灵活的加密机制。属性基加密方案分成两种类型：访问策略与密钥相关联，称为密钥策略属性基加密(Key-Policy Attribute-Based Encryption，KP-ABE)；访问策略与密文相关联，称为密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption，CP-ABE)。属性基加密方案支持“一对多”的数据加密和“细粒度”的访问控制，在付费电视系统、电子医疗系统、云端存储和雾计算[2-3]等领域具有广阔的应用前景。

综上，从地区上看，各地区基层农技人员“职业倦怠值”存在差异，部分地区离散程度较大，个体之间倦怠值差别较大；从性别上看，基层农技队伍中男性偏多，职业倦怠感也更显著；从从事专业看，各专业存在一定差异；从年龄及从业年限看，基层农技队伍呈现“老龄化”趋势，年长、从业年限久的人员占比较高，处于36-40岁间（大致对应从业年限11-15年）人员群体职业倦怠均值相对较大，个体差异也最大，是值得引起关注的人群；从学历上看，大学本科学历占比最大，职业倦怠值相比也最大，而“硕博士研究生”学历的人员占比小，倦怠值也相对较低；从职称上看，职称与“职业倦怠值”间，存在一定正相关，“初级”职称人员，职业倦怠值最高。

循证护理教学作为一种新兴的护理教学理念，广大教师需要积极转变传统护理教学的模式，才能使循证护理在护理教学中取得良好的应用效果。一方面，教师要加强自身对于循证护理的认知程度，教师作为知识的指引者、引领者，自身对于循证护理知识的理解与掌握，会直接影响课堂教学中的成效。另一方面，教师在深入透彻的了解到循证护理的相关知识架构后，要合理、科学的将循证护理知识融入到课堂教学过程中去。在课堂中引入循证护理教学，不仅能够转变学生以往的由被动学习转变为主动学习的模式，提升学生学习兴趣，还能有助于培养学生及时发现问题，解决问题的能力。

然而，属性基加密机制在实际应用中也面临着挑战，有时候属性基加密系统不仅需要考虑用户的合法性，还需要考虑用户私钥生成机构的合法性。现实中存在这样的场景：一个大型的付费电视节目服务提供商C，应用属性基加密机制加密电视节目，使得只有用合法机构分发的用户私钥才能解密收看。C授权一些网络平台作为其合法的代理商，全体的合法代理商平台构成集合。现在，Alice希望购买C的付费电视节目，于是她通过一个自称是代理商的平台P申请购买用户私钥。如果P不是C的合法代理商，那么Alice可能遭受经济上的损失。理论上通过测试Alice获取的私钥可以间接验证P的合法性，但如果不是来自合法的机构，即使Alice获取的私钥当前可以正常使用，而后续的服务无法得到保障，如私钥的升级或更新。现实生活中人们可以要求去检查机构的营业执照等证明材料，但是互联网中无法进行现场的查验，而在线的验证方式还需要独立于属性基加密机制的额外的技术支持。因此，希望仅仅利用现有的或者改进的属性基加密方案就可以实现用户对机构合法性的验证。

显然，该场景可以考虑依靠多机构属性基加密方案来解决。文献[4]提出了多机构的属性基加密方案。该方案有一个中心机构及多个属性机构，允许属性机构独立管理属性和分发密钥，但该方案要求中心机构完全可信，一旦中心机构被破坏，则整个系统都会崩溃。文献[5]提出了一个无中心机构的多机构属性基加密方案，并且允许属性机构加入或者退出系统。针对可验证外包解密、匿名认证、抗量子攻击、策略隐藏和恶意用户追踪等实际应用需求，学者们又相继提出了多种多机构属性基加密方案[6-10]。通过观察不难发现，大多数多机构属性基加密方案主要是引入多个机构解决属性管理和单机构信任依赖问题。

文献[11]提出了一个机构可追责的属性基加密方案。该方案中机构需要利用注册用户的秘密参数生成用户私钥，如果一个合法的用户私钥中包含的秘密参数没有对应的注册用户，则说明这是由机构的非法行为所产生的，于是可以实现对机构的追责。文献[12]采用同文献[11]类似的方法，提出了一个针对属性基加密系统中半信任机构密钥委托滥用问题的应对方案。文献[13]提出了支持大属性域的机构可追责方案，使得在方案初始化阶段不用指定属性全集的大小，增强了方案的可扩展性。文献[14]对文献[13]方案做了进一步改进，使其能够更好地适应智能健康系统的具体应用。文献[15]则为实现机构可追责能力提供了一个一般性的方案。文献[16]的扩展方案和文献[17]将单个机构分成3个部分，每个部分机构负责生成用户私钥中的不同的组件，而3个部分机构中的任意一个都不能独立生成完整的用户私钥，以此来减轻对单个机构信任的依赖。文献[18]关于分层属性基加密方案的研究工作使机构之间组织成分层的树形结构，可以避免全体用户都向树根结点机构申请私钥，有效降低了机构的工作载荷。

综上，笔者发现现有的属性基加密方案对机构的研究工作主要关注机构的属性管理、信任依赖和工作载荷等方面，并不能很好地解决机构合法性的可验证问题。重新观察前面给出的场景，发现Alice实际上只需验证代理商P来自C的合法代理商群体就能满足要求，因为Alice只对P是否具有C的合法授权感兴趣，而并不关心P自身的更多信息。环签名密码原语正好可以满足这样的要求。文献[19]提出了环签名的概念，其中验证者可以验证签名是否来自某个组织或团体中的成员，而具体生成签名的成员对验证者来说是匿名的。之后，文献[20]为了应对电子投票系统的重复投票问题，提出了可链接环签名方案。该方案中同一个签名者生成的签名可以被“链接”起来，从而避免了重复计票。

经过观察发现，文献[16]的密文策略属性基加密方案具有支持任意的单调访问结构、高效和标准模型下完全安全的优点，文献[20]的可链接环签名方案具有签名算法简单、签名尺寸相对较短的优点，并且重要的是两个方案之间存在结合的“楔子”。因此，笔者针对机构合法性的可验证问题，在文献[16]密文策略属性基加密方案基础上，引入文献[20]可链接环签名方案，提出一个支持用户验证机构合法性的密文策略属性基加密方案，同时保持了原来两个方案的优点。方案中将所有合法机构组织成一个环形结构，每个合法机构可以代表整个环生成环签名，并将环签名合理地嵌入到用户私钥中，使得用户仅需要验证自己私钥中的环签名组件，就可以实现对机构合法性的验证。

1 预备知识

1.1 线性秘密分享方案

在我国的高校中，不良的网络信息已经严重影响到学生的意识形态，但高校对于这一问题的管理显然不足。首先，管理难度较大，学生的意识形态通常是隐性存在，学校难以对其作出具体的判断；其次，高校的管理权限中对于学生意识形态的管理要求并不明确，在具体实施的过程中，学校往往以教育说服的方式对学生进行劝告，但这样的方法往往只能解决表面问题，因此效果不佳，最后，高校之间对于不良信息的界定存在较大差异，这一标准的混乱，使得在监管的过程中难以落实相关的政策。

1.2 合数阶双线性群

设W为群生成算法，输入安全参数κ，输出双线性群的描述(p1,p2,p3,G,GT,e)，其中,p1,p2,p3是不同的素数，G和GT是阶为N=p1p2p3的循环群，e:G×G→GT是一个映射，使得：

(2)∃g∈G，使得e(g,g)在GT中的阶是N。

1.2.2 策略1组 除了对照组的健康教育及治疗方法外，还加有氧呼吸训练，每次20 min，每日1次，共治疗20周。

其中，(1)称为双线性，(2)称为非退化性。G和GT上的运算以及双线性映射e关于κ的多项式时间内可计算。Gp1、Gp2和Gp3分别表示G的阶为p1、p2和p3的子群。当hi∈Gpi，hj∈Gpj且i≠j时，e(hi,hj)是群GT的单位元。这一性质称为Gpi和Gpj是正交的。

下面给出合数阶群上的3个困难假设，并通俗地说明假设成立的条件，正式的定义参考文献[16, 21]。

假设13个素数的子群判定问题。给定一个群生成算法W，定义如下分布：

Ω=(N=p1p2p3,G,GT,e)←W；g←RGp1，X3←RGp3；

D=(Ω,g,X3)，T1←RGp1p2，T2←RGp1。

从图2中可以看出，未经预处理的树脂脱附液的初始膜通量为18 L/(m2·h)左右,而预处理后的树脂脱附液的初始膜通量约为43 L/(m2·h)，是未经预处理的树脂脱附液的初始膜通量的2倍多。随着纳滤膜处理的进行，未经预处理的树脂脱附液的膜通量逐渐下降，预处理后的树脂脱附液的膜通量随着时间进行，膜通量也逐渐下降，但树脂脱附液预处理后的膜通量一直高于处理前的膜通量。在反应进行到9 h时，树脂脱附液预处理后的膜通量约为19 L/(m2·h)，处理前的膜通量约为11 L/(m2·h)。

如果对任意的多项式时间敌手A，给定分布D，不能正确区分T1和T2，则假设1成立。

假设2给定一个群生成算法W，定义如下分布：

系统中存在多个具有相同能力的机构(比如引言部分所给场景中的多个网络代理商平台)，对全体合法机构应用环签名技术，使得全体合法机构组织成环形结构，环成员机构根据现实情况(比如地理分布)分摊用户私钥生成工作，这样做既符合现实需求又降低了单一机构的工作载荷。并且当环成员机构为用户生成用户私钥时，将自己的环签名合理地嵌入到用户私钥当中，使得用户能够根据机构的环签名对机构合法性进行验证。系统中还存在一个独立可信的主机构，主机构只负责整个系统的初始化工作，并不参与用户私钥的生成。图1描述的是用户向合法的机构群体申请用户私钥的过程。

Ω=(N=p1p2p3,G,GT,e)←W；(g,X1)←RGp1，(X2,Y2)←RGp2，(X3,Y3)←RGp3；

D=(Ω,g,X1X2,X3,Y2Y3)，T1←RG，T2←RGp1p3。

如果对任意的多项式时间敌手A，给定分布D，不能正确区分T1和T2，则假设2成立。

如果对任意的多项式时间敌手A，给定分布D，不能正确区分T1和T2，则假设3成立。

D=(Ω,g,gαX2,X3,gsY2,Z2)，T1=e(g,g)αs，T2←RGT。

假设3给定一个群生成算法W，定义如下分布：

2 系统描述、算法与安全模型定义

2.1 系统描述

计算机实验教学中心建设要考虑安全化和节约化。中心建设要牢固树立“安全第一，预防为主”和“安全无小事”的理念，坚决克服麻痹懈怠思想，认真做好安全防范工作，明确安全责任人，确保安全。实验中心建设要做好五防：防火、防水、防雷、防盗、防病。

图1 系统描述

2.2 算法定义

笔者提出的方案由4个算法组成，分别是系统初始化算法Setup、加密算法Encrypt、用户私钥生成算法KeyGen和解密算法Decrypt。具体算法定义如下：

(1)Setup(κ,U,Uθ)→(K0,K1)。初始化算法Setup以安全参数κ∈N、属性全集U和机构全集Uθ作为输入，完成可链接环签名初始化操作[20]，生成系统中各机构的可链接环签名公钥、私钥对，输出公共参数K0和主密钥K1。

(2)Encrypt(K0,A0,M)→E。加密算法Encrypt以公共参数K0、属性全集U上的访问策略A0和消息M作为输入，输出密文E使得只有当用户私钥满足访问策略A0时，用户才能从中提取消息M。A0包含在E中。

(3)KeyGen(K0,K1,d,S)→Y。用户私钥生成算法KeyGen以公共参数K0、主密钥K1、用户身份d和用户的属性集合S作为输入，(当前机构)完成可链接环签名生成操作[20]，将生成的可链接环签名嵌入到用户私钥Y中，并将Y输出。

(4)Decrypt(K0,E,Y)→Mor ⊥。解密算法Decrypt以公共参数K0、密文E和用户私钥Y作为输入。如果Y满足密文的访问策略，则算法输出消息M；否则，输出⊥,表示解密失败。

用户在得到机构分发的用户私钥之后，完成可链接环签名验证操作[20]，验证用户私钥是否来自合法的机构。在第4节方案构造中，笔者将这一验证过程写在了解密算法之前。

2.3 方案安全模型定义

方案安全模型定义为一个挑战者与攻击者之间交互的安全游戏。具体的游戏描述如下：

(1)初始化。挑战者运行初始化算法，将公共参数K0传递给攻击者。

(2)阶段1。攻击者向挑战者询问(d1,S1),…,(dq1,Sq1)关联的用户私钥。

(4)阶段2。攻击者向挑战者询问(dq1+1,Sq1+1),…,(dq,Sq)关联的用户私钥。

对于可行性，杨涛进行了逐一分析：首先，非洲有超过12亿人口，网民接近4亿人，且已进入3G、4G阶段；其次，非洲智能手机占有率为30%，但功能机转智能机的速度非常快，并且移动支付很普及，尤其是东非地区的一些国家，移动支付渗透率超过50%。更为重要的是，彼时虽然非洲电商发展迅速，但并没有出现B2C巨头公司，电商创业依然有相对较长的窗口期。

(5)猜测。攻击者输出对b的猜测b′。

3 方案构造

下面主要展示方案构造的具体细节，并对相关参数进行说明。具体方案构造如下：

(1)初始化。Setup(κ,U,{P1,…,Pm})→(K0,K1)。假设系统中的机构全集为Uθ。为叙述方便，可令|Uθ|=m，则共有m个机构P1,…,Pm。独立于P1,…,Pm的主机构运行初始化算法，完成系统的初始化工作(主机构只负责系统的初始化，不参与用户私钥的生成)。

阶段1(p1,p2,p3,G,GT,e)←W(κ)，初始化算法Setup运行群生成算法W。群生成算法W以安全参数κ作为输入，输出双线性循环群的描述。其中p1,p2,p3是不同的素数，G和GT是阶为N=p1p2p3的循环群，e:G×G→GT是双线性映射，记Gpi为G中阶为pi的子群(i=1,2,3)。g是群Gp1的生成元；X3是群Gp3的生成元。

把握文化与旅游大融合的背景，作为江苏重要旅游城市的无锡作出了积极的探索，以文化元素打造“泰伯庙会”、阳山田园东方、丁蜀陶瓷小镇等品牌，从单一的观光旅游转向观光与休闲并举发展，力争推动旅游转型升级走上高质量发展之路。2017年底，无锡各景区旅游总收入超5亿元，同比增长16.7%，全年接待游客人次达686.65万人，同比增加12%。

学案导学教学模式是一种新的教学模式，符合新课程标准的要求。课前，根据考试大纲，结合班级学生的综合学习能力，制定一个实用的教学案例。在课堂上，教师提前将准备好的学案作为指导，学生作为学习的主体，完成课堂教学任务，实现教学目标。本文将采用初中历史教学中的教学模式应用方法，介绍传统教学模式与学案导学教学模式的区别，突出学案导学模式的优势。

(3)用户私钥生成KeyGen(K0,K1,d,S)→Yd,S。以机构Pπ(1≤π≤m)为例，说明用户私钥的生成过程。(不失一般性，后面的(4)解密中也默认以机构Pπ为例进行说明。)

阶段1机构Pπ运行可链接环签名算法，将用户身份d签起来，生成一个对应的可链接环签名。签名生成算法Sign(d,L,zπ)的步骤如下：

④计算sπ=u-zπcπ(modN)。

需要指出：签名生成算法是一个随机化算法，每次签名时都要重新随机选取u,s1,…sπ-1,sπ+1,…sm，且每次计算得到的sπ也是随机化的，所以每次签名过程中产生的中间量c1,…cm也是随机化的。实际上签名σ中第1项可以从c1,…cm中任意选择；为了算法的简便，这里默认选取c1作为签名的第1项。

引理2如果方案Σ在文献[21]的安全游戏中是安全的，那么方案Σ′在文中的安全游戏中是安全的。

(4)解密。用户得到机构分发的用户私钥之后，可以根据自己的身份，调用可链接环签名验证算法验证用户私钥是否来自合法的机构。同时，用户利用下面4个格式检查条件可以验证用户私钥中其他参数的正确性。不妨假设用户的身份为d，属性集合为S，用户得到的用户私钥为

为帮助大家更好地理解主题学习模式，介绍一个案例——“宠物与我”[3]，关注人和动物之间的关系（主要是关于宠物的豢养）。学习者从不同角度观察动物，从动物在艺术形式中是如何被表现的去探索，包括艺术、文学、音乐、电视和广告，探索宠物在主人那里得到了什么，人又在它们那里中得到了什么，以及他们之间的关系；宠物又是如何生活的。这种从不同角度和不同学科领域考虑并整合教学资源的方法，同时激发学习者观察、推理、解释、创造、思维等不同能力的发展。具体学习内容可以整合成三大类，如表1所示。

签名验证算法Verify(d,L,σ)的步骤如下：

用户私钥格式检查条件如下：

②e(g,D′)=e(ga,D)≠1。

定义2如果任意多项式时间的攻击者在上述游戏中至多有可忽略的优势，则笔者提出的方案是完全安全的。

④ ∃x∈S，使得e(DcD′,Tx)=e(Kx,g)≠1。

注意因为笔者提出的方案采用的是可链接环签名，机构生成的环签名具有可链接性[20]，所以如果机构PA恶意替代机构PB(PA和PB是任意两个不同的合法机构)，用户有能力发现这样的替代行为。

具体的解密算法如下：

(1)

(2)

(3)

通过C(FI)/J，恢复消息M。

4 方案分析

4.1 安全性证明

以下给出属性基加密方案的安全性证明，关于可链接环签名的不可伪造性参见文献[20]。这里采用同文献[16]相同的方法，将笔者提出方案的安全性归约到文献[21]方案的安全性，从而证明笔者提出方案的安全性。记文献[21]提出的方案为Σ，笔者提出的方案为Σ′。采用文献[16]中给出的关于文献[21]方案Σ的描述，这里仅给出方案Σ描述的一个提要：

高校毕业生是高校中比较特殊的群体，一方面他们要完成大学阶段末期的学习，另一方面要忙于参加招考或找工作.近年来，随着毕业生人数的逐年增加，全国就业形势的日益严峻，考研大军的不断壮大，高校毕业生的学业管理也面临新的课题、新的挑战.对毕业生的学业管理，我们应从分析毕业生学业管理中面临的矛盾和问题着手，本着以学生为本的工作理念，刚柔相济，有效实现伸缩有度的弹性管理.

引理1如果假设1，2，3成立，那么方案Σ是安全的。

本文针对状态不可观测的且行为具有随机性特征的CPS，提出了运行时安全性验证方法，首先，构造了运行时验证框架，通过HMM来建模系统，使用DFA规约系统安全属性的否定，两者的乘积自动机作为运行时监控器，将CPS运行时安全性验证问题约简到属性监控器上的概率推断问题.然后，提出了一种增量迭代安全性验证算法以及反例生成算法.实例分析和实验结果表明本文提出的方法能正确地和快速地探测系统违背安全属性的行为，并能够产生有效的反例.本文没有考虑CPS的混成系统特征，下一步工作是扩展HMM使其能够建模随机混成系统并对该类CPS进行运行时安全性验证.

证明：参见文献[21]。引理1证毕。

同日神、酒神在对立统一中产生悲剧相似，鬼怪的悲剧也是在对生命与爱情的执著，渴望结束永生之痛苦的超脱中产生的。他一方面留恋于鬼怪新娘带来的爱情的、美好的生之喜悦，一方面又因永生陷入无法摆脱的回忆、孤独之痛苦。而生之痛苦便是执著于个体、个人的喜怒哀乐所产生的，鬼怪渴望结束永生，即是酒神式的摆脱个体，与自然归一，得到回归本质的狂喜。拔剑后的鬼怪因此回到了渺无人烟的混沌鸿蒙之界，却因曾与恩卓的一份合同”乙方被甲方召唤时无条件的出现在甲方面前“又回到了人世间。然而，日神、酒神的矛盾并未因为男女主人公的重逢结束，恩卓必死的命运与鬼怪不老不死的诅咒依然存在，因此鬼怪依然陷在命运悲剧之中。

证明：假设如果存在一个概率多项式时间敌手A，可以以优势VA,Σ′攻破笔者提出的方案Σ′，那么就能够构造一个概率多项式时间算法B可以以优势VB,Σ攻破文献[21]中的方案Σ，且VA,Σ′=VB,Σ。

(4)

(5)

(6)

(7)

B将用户私钥Y=(K,σ,D,D′,{Kx}x∈S)传递给A。

(4)阶段2。同阶段1。

(5)猜测。A将对b的猜测b′提交给B，B将b′提交给Σ。

注意到B模拟的公共参数、用户私钥和挑战密文与笔者提出的实际方案中的分布是相同的，所以有VA,Σ′=VB,Σ成立。引理2证毕。

定理1如果节1中的假设1，2，3成立，那么笔者提出的方案Σ′是安全的。

证明：由引理1和引理2可推得定理1成立。定理1证毕。

4.2 性能分析

将笔者提出的方案与相关属性基加密方案进行对比分析，具体结果如表1所示。其中，|U|表示属性全集的大小，|Uθ|表示系统中机构的数目(实际中应有|Uθ|≪|U|)，l表示访问结构的大小(对于LSSS访问结构，l表示秘密分享矩阵的行数)，|S|表示用户属性集合的大小，|I|表示参与解密过程的属性数目，RO表示随机预言机(Random Oracle)，“公开参数大小”一项包括系统公共参数和系统中全体机构的公钥。

表1 相关属性基加密方案对比

在性能方面，从表1中可以看出，笔者提出的方案在公开参数大小和密文大小上要优于文献[5]的方案，尤其是公开参数大小减少了(|U|-|Uθ|)，而实际应用中系统的机构数目|Uθ|远远小于属性全集大小|U|，所以公开参数大小的优化还是显著的，并且密文大小也减少了1个访问结构大小l。笔者提出的方案在用户私钥大小和双线性对计算量上只略微弱于文献[5]中的方案，其中用户私钥增加了4个群元素长度、1个整数长度和1个机构数目|Uθ|，而双线性对计算量仅增加了2个。笔者提出的方案与文献[10]中的方案相比，文献[10]中方案的公开参数大小在表1所有方案中是最优的，它的公开参数大小只与机构数目|Uθ|有关，而其他方案的公开参数大小都与属性全集大小|U|有关，这一点正体现了文献[10]方案支持大属性集的特点——不用在系统初始化阶段指定属性全集。然而在密文大小、用户私钥大小和双线性对计算量上，笔者提出的方案都要明显好于文献[10]方案的，其中密文大小近乎缩短为文献[10]方案的1/2，用户私钥大小长度近乎缩短为文献[10]方案的1/3，并且解密效率也相对提升为文献[10]方案的1.5倍。笔者提出的方案与文献[16]方案相比，在表1各项性能指标上基本保持相同。其中密文大小都为2l+3，这一项在表1所有方案中是最好的，而公开参数大小只多了1个机构数目|Uθ|，用户私钥大小只多了1个机构数目|Uθ|和1个群元素长度。不难发现，笔者提出方案的主要性能代价表现在公开参数大小和用户私钥大小中分别引入了1个机构数目|Uθ|，这是因为为了实现用户对机构的合法性进行验证，笔者提出的方案中嵌入了可链接环签名方案，|Uθ|反映的是签名长度。然而实际应用中系统的机构数目|Uθ|的值并不会很大，所以综合来看，牺牲性能上的一点点代价，从而获得用户对机构合法性的可验证能力是值得的。并且机构合法性的可验证能力是笔者提出方案在功能上的一大优势，而表1其他方案都不支持这一功能。

在访问策略表达能力方面，笔者提出的方案和表1其他方案都是采用LSSS，可以支持任意的单调访问结构。在安全性方面，笔者提出的方案同文献[5]方案和文献[16]方案一样，都是基于合数阶群上的困难假设，采用对偶系统加密技术，证明了方案的完全安全性。区别在于笔者提出方案和文献[16]方案的证明基于标准模型，而文献[5]方案的证明基于RO模型。虽然文献[10]方案构造在素数阶群上，但是它的安全证明基于RO模型。所以笔者提出的方案在可证明安全性上也有较好的表现。

综上，笔者提出的方案支持用户对机构合法性的验证，性能与其他类似属性基加密方案相比也具有较大的优势，同时支持任意的单调访问结构和标准模型下的完全安全。

5 结束语

笔者针对现实生活中存在的用户对机构合法性进行验证的需求，在一个已有密文策略属性基加密方案的基础上，应用环签名技术，构造了一个机构可验证的密文策略属性基加密方案。用户可以根据机构分发的用户私钥验证该机构是否来自于合法的机构群体，从而保障自身的利益。笔者提出的方案与类似的属性基加密方案相比具有一定的性能优势。另一方面，笔者提出方案所基于的文献[16]方案支持白盒追踪，而笔者提出的方案又基本保持了文献[16]方案的用户私钥结构，因此认为笔者提出的方案具有扩展为可追踪属性基加密方案的潜能。未来将考虑实现笔者提出方案的可追踪功能，并考虑将该方案所实现的机构合法性可验证能力应用到常规的多机构属性基加密方案中，丰富现有多机构属性基加密方案的功能。