电子评估中的匿名认证方案

最新推荐文章于 2025-10-19 14:30:36 发布

原创最新推荐文章于 2025-10-19 14:30:36 发布 · 1k 阅读

30 ·

CC 4.0 BY-SA版权

文章标签：

#匿名认证 # 属性签名 # 隐私保护 # 电子评估 # TeSLA

电子评估框架的匿名认证

1 引言

电子评估是在在线教育以及混合学习环境中对学习者知识和技能进行评估的一种创新形式，其中部分评估活动通过在线方式进行。由于电子评估涉及学习者与教育者之间的在线通信渠道，以及数据传输和存储，因此需要采取安全措施来保护环境，防止系统和网络攻击。有关学习者安全和隐私的问题是一个具有挑战性的课题。这些问题在TeSLA项目（参见http://www.tesla-project.eu/了解更多信息）的范围内进行讨论，TeSLA项目是一项欧盟资助项目，旨在为学习者提供一个创新的环境，使其能够远程参加评估，从而避免强制出勤的限制。

在[16], TeSLA电子评估系统的安全[11]方面进行了分析和讨论，并提出了符合通用数据保护条例（GDPR）的TeSLA平台安全方案。关于在保护学习者数据方面，特别是针对学习者认证技术，有必要增强框架中的隐私保护属性凭证，以允许学习者以伪匿名方式向验证者进行身份验证。事实上，像TeSLA这样的开放教育系统必须通过身份验证、数据加密和完整性检查等传统措施进行适当保护，以减轻可能导致灾难性后果（如数据泄露或身份盗用）的网络攻击。

为满足GDPR的建议，还需确保系统具备合理的隐私保护水平。安全与隐私是两个非常相近的领域，但必须强调其重要区别，因为有可能构建出一个非常安全的系统，却无法提供任何隐私保护特性。从技术角度来看，安全是指在架构的不同层级上保障特定要求，例如机密性、完整性和身份认证。其主要目标是数据的通信与存储，而在TeSLA系统中，这些数据可能包含学习者的生物特征数据、评估结果以及其他敏感信息。与安全不同，隐私旨在防止元数据被利用，以确保不会发生个人信息泄露。然而，始终必须遵守法律约束，这可能限制通信的完全匿名化。因此，从技术角度而言，隐私的主要目标是尽可能少地披露用户身份信息，并防止任何非期望的可追踪性，而这通常难以实现。

在TeSLA的背景下，该架构的底层设计中已包含多种隐私技术过滤器。与每位学习者关联的随机化的TeSLA标识符（简称TeSLA ID）便是一个恰当的例子。每次学习者访问TeSLA时都会使用此标识符，从而确保每位学习者的伪匿名性——由于法律原因，TeSLA无法实现完全匿名。然而，仅靠随机化标识符无法保护学习者免受更复杂威胁的影响，例如非期望的可追踪性。系统仍可能将同一学习者的两次不同会话关联起来。一种可集成到TeSLA架构中的技术解决方案是采用匿名认证。

匿名认证允许用户在证明自己有权访问资源时，无需透露超出必要范围的身份信息。例如，用户可被签发系统验证者所需的已认证属性，如年满18岁或居住在法国。当用户需要证明其拥有一组正确的属性时，他们会基于所需属性执行数字签名，使系统验证者能够检查特定用户是否获得授权，有时甚至无需确切知道使用了哪些属性。

这种方法可以集成到TeSLA架构的多个环节中，在这些环节中无需识别学习者身份。例如，访问虚拟学习环境中的课程资料时，只需证明该学习者来自允许的大学并且已注册该课程即可。这样，就可以实现对于虚拟学习环境（VLE）而言，在允许学习者访问课程材料的同时，跟踪每个学习者的学习活动是不可能的。同样，当学生完成一次测评后，其作业可以匿名发送至反作弊工具（如反抄袭工具）。通过匿名认证，每个工具可能会收到针对同一份作业的请求，但无法知道该作业是由哪位学习者撰写的，也无法关联这些请求并判断它们是否由同一学习者签发。

因此，匿名认证可能成为增强TeSLA中隐私保护、并在无需追踪学习者时防止其被追踪的一种可靠且创新的手段。本文提出了一种匿名认证方案，以应对上述挑战。该方案允许电子评估平台的学习者仅向证书颁发机构提供商披露必要的信息。该方案基于基于属性的签名方案，并允许签发机构派生已认证属性。所构建的方案提供了一种非交互式协议，使得电子评估用户在向服务提供商提供最少信息的情况下，即可与验证者完成身份认证。

2 相关工作

保护隐私的身份验证机制，也称为匿名认证方案，基于先进的密码学原语，例如匿名凭证、最小披露令牌、自盲化凭证、群签名、可净化签名或基于属性的签名[3,4,6,8,10,14,25,28]。

在这些方案中，用户从可信签发机构获取其属性的认证凭证，之后无需任何签发机构的进一步协助，即可推导出仅揭示所需属性信息的呈现令牌，验证者可在签发机构的公钥下对这些信息进行验证。著名的例子包括主要依赖于盲签名的Brands方案[4],，以及使用群签名的卡梅尼希‐利萨扬斯卡娅方案[6],，后者分别在微软U‐Prove和IBM身份混合器中得以实现。

基于属性的签名方案（简称ABS）被认为是一种促进构建隐私保护属性凭证的密码学原语[19]。要使用ABS，用户必须拥有若干属性以及每个属性对应的秘密签名密钥。该签名密钥必须由受信任的权威机构提供。用户可以针对由其属性集合满足的谓词对文档等进行签名。

相关文献中存在多种基于属性的签名方案，考虑了不同的设计方向。这包括（i）属性值可以是二进制位字符串[13,18,19,21,23]或通用数据结构[29]；（ii）满足阈值策略下访问结构的基于属性的签名方案[13,18,23],单调策略[19,29]和非单调策略[21]；以及（iii）与属性相关的私钥由单一权威机构[19,23,29]或一组权威机构[19,21]签发的基于属性的签名方案。

卡尼切和洛朗在[14]中提出了一种完整的匿名认证方案，称为 HABS，该方案基于属性的签名（ABS）构建。除了隐私和不可伪造性等常见要求外，HABS还设计了三个附加属性：（i）签名可追溯性，以赋予某些实体识别发起ABS签名的用户的能力；（ii）发证机构不可链接性，以防止共谋的ABS权威机构关联使用同一公钥的用户请求；（iii）缓解重放会话，通过强制使用随机数和安全时间戳来实现。

在[26,27],中，维尔纳对 HABS提出的一些要求提出了质疑。该 HABS原语的具体实现，在随机预言模型下，被认为在不可伪造性和隐私属性方面是不令人满意的。 PCS[15]基于 HABS构建，解决了由[26,27]指出的局限性，本文将其用作TeSLA中部署的交流电方案的基础构造。

A¨ımeur等人在[1,2]中讨论了对电子学习系统安全与隐私技术进行扩展分析的必要性。A¨ımeur等人将电子学习系统描述为基于互联网的协议和工具的组合，需要依赖成熟的密码学技术，以使学习者能够在满足最低隐私要求的前提下进行在线学习。作者在其研究中综述了一系列需要应对的安全挑战以及对学习者隐私的常见威胁。文中还概述了基于属性的加密和匿名凭证方面的研究实例——但未提供任何具体的构造方案。

3 匿名认证(AC)构建

3.1 背景

在[9],乔姆提出了匿名凭证（AC）的概念。卡梅尼施和利西扬斯卡娅在[6,7]中对该概念进行了完全形式化。匿名凭证，也称为隐私保护属性凭证，涉及多个实体和流程，满足一些明确界定的安全和功能需求。接下来，我们首先介绍与传统匿名凭证方案相关的实体类型和流程的一些详细信息，然后给出我们特定的匿名凭证构造方法。

3.1.1 实体

交流电涉及多个实体。图1标识了多个交流电实体。某些实体，例如用户、验证者和发卡方是必需的，而其他实体，例如撤销机构和检查员是可选的[5]。这些实体可以定义如下：

– 用户是核心实体，其目标是以保护隐私的方式访问由被称为验证者的服务提供商所提供的服务。用户首先需要从各个签发机构获取凭证。然后，他从这些凭证中选择适当的信息，在展示令牌下提交给请求的验证者。

– 验证者通过设定用户必须拥有的凭证以及访问服务时必须出示的凭证信息来限制对所提供资源或服务的访问。这些限制条件称为展示策略。用户根据自己的凭证生成一个展示令牌，其中包含所需信息及相应的密码学证据。

– 签发机构向用户签发凭证，并证明凭证中所含信息相对于该用户的真实性。请注意，在签发凭证之前，发卡方可能需要对用户进行身份认证。

– 撤销机构负责撤销已签发的凭证，并维护系统中有效凭证的列表，以确保这些凭证不能再用于生成展示令牌。用户和验证者都必须从撤销机构获取最新的撤销信息，以便分别生成和验证展示令牌。

– 检查员是一个受信任的实体，具备在必要时去除用户匿名性的技术能力。

3.1.2 程序

如图1所示，保护隐私的ABC系统主要依赖于两个主要过程（即签发和展示）。

凭证的签发是用户与签发机构之间的交互式协议。在此阶段结束时，签发机构向用户提供一个signed凭证，以证明其中所含信息的有效性。一个用户可能拥有多个凭证，每个凭证声明一组属性。

当用户请求访问服务提供商的资源时，出示阶段即开始。实际上，验证者会向用户发送展示策略，该策略描述了必须发送哪些证明以及凭证中的哪些信息需要被揭示。随后，用户检查满足该策略的凭证组合，以生成响应，即 presentation token，然后将其发送给验证者。因此，展示令牌可能会揭示有关用户的信息（揭示属性值），也可以证明关于其他某些属性的特定事实（同时隐藏其值），例如证明出生日期早于某指定日期。

在出示流程中，用户可能不仅需要证明其拥有某些属性值，还需要证明认证这些属性的凭证尚未被撤销。

3.1.3 安全和功能需求

隐私保护认证系统必须满足以下安全要求：

– 匿名性–用户在认证过程中必须保持匿名。

– 不可伪造性–不属于授权用户集合的任何一方都不应能够成功与验证者运行该协议。

– 不可关联性–该属性对于保护用户隐私至关重要。需要明确两个子属性：发行-出示不可关联性，确保在凭证签发过程中收集的任何信息都无法用于在后续验证过程中将凭证与其签发行为关联；以及多出示不可关联性，保证针对同一凭证的多次展示会话不应被相互关联。

此外，用于保护隐私的基于属性的凭证必须确保多种功能特性，即撤销、检查和选择性披露。选择性披露属性指的是向用户提供的能力，使其能够向验证者出示从其凭证中提取或派生的部分信息。

3.2 我们的构造

在本节中，我们提出精确的匿名认证方案，以扩展[16]中报告的电子评估框架。该解决方案基于一种先前在[15]中提出的基于属性的签名方案。我们的构造依赖于以下算法列表：

– Setup—以安全参数 ξ为输入，输出公共参数 params。公共参数被视为所有算法的辅助输入。全局公共参数 params– Setup算法首先生成一个非对称双线性群环境（p, G1, G2, GT, eˆ），其中eˆ是一个非对称配对函数，例如eˆ: G1 × G2 → GT。随机生成器 g1, h1= g1 α,{γi}i∈[1,U] ∈ G1 和 g2, h2= g2 α ∈ G2也被生成，以及 α ∈ Zp，其中 U 表示跨度程序支持的最大属性数。我们注意到，每个值 γi 都用于创建对应属性 ai的私钥。设 H为一个密码学哈希函数。系统的全局参数表示如下：
params={G1, G2, GT, ˆe,p, g1,{γi}i∈[1,U], g2, h1, h2,H}

– KeyGen—它为每个参与实体（即签发机构和用户）返回一对私钥和公钥。换句话说，用户拥有一对密钥（sku,pku），其中 sku从 Zp中随机选取，pku= h1 sku是相应的公钥。签发机构也持有一对私钥和公钥（sko,pko）。签发机构的私钥 sko依赖于定义为 sko=的数对（so, xo），其中 so从 Zp中随机选取，且 xo= g1 so。签发机构的公钥 pko对应于数对（Xo, Yo），即=(eˆ(g1, g2) so, h2 so)。

– Issue—由签发机构执行。其目标是针对预共享的一组属性 S ⊂ S向用户签发凭证，使得 S表示属性全集，定义为： S={a1, a2,···, aN}，其中 N 是满足 N< U的属性数量。该 Issue算法以用户的公钥 pku、属性集合 S以及签发机构的私钥 sko作为输入。它还随机选择一个整数 r，并返回定义的凭证 C：
C=(C1, C2,{C3,i}i∈[1,N])=(xo ·[pku s oH(S) − 1 ] · h1 r , g2 r,{γi r }i∈[1,N])
其中 H(S)= H(a1)H(a2)···H(aN)和 γi r表示与属性 ai相关联的私钥，其中 i ∈[1, N]。

– Obtain—由用户执行。输入包括凭证 C、用户的密钥 sk u以及签发机构的公钥 pko，并且

示意图0

图2. 用于支持交流电的基于属性的签名（出示流程）

属性集 S。如果公式1成立，则算法返回1；否则返回0。
ˆe(C1, g2) =? Xo · ˆe(g skuH(S) −1 1 , Yo)· ˆe(h1, C2) (1)

– Show ↔ Verify：该双方算法如图2所示。不同的算法定义如下：

• Verify：该算法由验证者在收到用户的认证请求后执行。第一步，它输出展示策略，包括一个随机化的消息M= g1 m、一个谓词 Υ以及必须被揭示的属性集合。接下来，我们注意到：
∗ m在每次身份验证会话中应当不同，以防止重放攻击。
∗ SR表示向验证者揭示的属性集合， SH表示未揭示属性的集合，例如 S= SR ∪SH。
∗ Υ由一个LSSS访问结构（M, ρ）表示，其中 M是一个 l× k矩阵，而 ρ是一个将矩阵M的每一行映射到一个属性的单射函数。

• Show：该 Show算法以用户的私钥 sku、与属性集 S相关联的凭证 C（针对 pku）、消息M以及谓词 Υ作为输入。展示过程如下：
1. 用户首先通过以下方式对其凭证进行随机化：均匀随机地选择一个整数r′ ∈ Z p 并设置：
⎧ ⎪⎪⎪⎪⎪⎪⎨ ⎪⎪⎪⎪⎪⎪⎩
C1′= C1 · h1r ′= xo ·[pkusoH(S)−1] · h1r+r′
C2′= C2 · g2r ′= g2r+r′
C3′,i= C3,i · γir ′= γir+r′
生成的凭证 C′ 设置如下：
C′=(C′ 1, C′ 2,{C′ 3,i}i∈[1,N])=(xo ·[pku soH(S)−1] · h1 r+r′, g2 r+r′,{γi r+r′ }i∈[1,N])
2. 由于用户在 S中的属性满足 Υ，该用户可以计算一个向量 v=(v1,···, vl)，该向量也满足 vM=(1, 0,···, 0)。
3. 对于每个属性 ai，其中 i ∈[1, l]，用户计算 ωi= C′ 2 vi并计算一个依赖于{C′ 3,i}i∈[1,N] 的量 B，使得B=∏l i=1(γ′ ρ(i)) vi。
4. 然后，用户选择一个随机的 rm 并计算数对(σ1, σ2)=(C′ 1 · B · Mrm, g1 rm)。请注意，用户可能不了解 Υ中每个属性的秘密值。如果发生这种情况，vi 将被设为0，以排除对此值的需求。
5. 现在使用用户的私钥，可以对未被揭示的属性计算累加器，如下所示：
A= Yo skuH(SH) −1 rm
用户返回展示令牌 Σ=(Ω, σ1, σ2, C ′ 2, A,SR)，其中包含针对谓词 Υ的消息M的签名，且 Ω={ω1,···, ωl}是基于凭证项 C′ 2的向量 v 的承诺的元素值集合。

• Verify：在第二步中，给定展示令牌Σ、签发机构的公钥 pko、已揭示属性集合 SR、消息m以及签名谓词 Υ，验证者首先计算一个累加器AR，使得AR= σ2 H(SR) −1。然后，它均匀随机选取 k − 1个整数 μ2、···、 μk，并计算 l个整数 τi ∈ Z p（其中 i ∈{1,···, l}满足τi=∑ k j=1 μjMi，j，这里 Mi，j是矩阵 M中的元素）。当且仅当公式2成立时，验证者才接受该展示令牌为有效（即输出1）：
ˆe(σ1, g2) =? Xoˆe(AR, A)ˆe(h1, C′ 2) ∏ i=1 l ˆe(γρ(i)h1 τ i, ωi)ˆe(σ2, g2 m ) (2)

4 PCS的电子学习用例

在本节中，我们描述了基于属性签名的匿名认证如何集成到电子学习环境中，以增强学习者隐私。我们首先介绍用于电子学习和电子评估的TeSLA架构，然后详细说明该架构中可实施匿名认证的部分。

4.1 TeSLA架构

TeSLA项目旨在提供一个集成了安全的电子评估的电子学习环境，以便允许学习者远程参加评估，同时提供必要的反作弊措施。

TeSLA架构由多个组件组成，这些组件可能属于两个域：大学域和 TeSLA域。属于大学域的组件必须存在于每所希望使用TeSLA电子评估框架的大学网络中，而属于TeSLA域的组件则完全独立于大学网络。除非明确说明，否则这两个域之间不共享数据。TeSLA域包含以下组件：

– 泰斯拉电子评估门户（TEP），作为服务中介，负责收集并转发请求至 TeSLA组件。

– TeSLA门户，旨在收集有关电子评估活动的统计信息。

– 用于分析生物特征样本并将分析结果返回到客户端的仪器。

大学域包含以下组件：
– 一个虚拟学习环境（VLE），可由经典的学习管理系统（LMS）如穆德提供¹。
– 集成到VLE中的插件，作为与TeSLA组件交互的客户端接口。
– 集成到 VLE中的各类工具，通过插件向TeSLA组件发送请求和数据。这些工具分为三类：学习者工具、教师工具和外部工具。学习者工具和教师工具分别用于参与或设置电子评估。外部工具负责采集学习者的生物特征数据，并将其发送至 TeSLA仪器进行评估，作为防作弊措施的一部分。
– TeSLA身份提供商（ TIP），负责为每位学习者生成一个用于与TeSLA组件通信的匿名身份，称为 TeSLA ID。

TeSLA架构如图3所示。组件之间的通信通过在整个架构上部署并采用双向认证的TLS协议进行保护，从而确保每次数据交换的机密性和完整性。用于 TLS部署和管理的底层公钥基础设施在[16]中详细说明。

在此架构中进行电子作业，首先需要登录包含客户端插件的虚拟学习环境。学习者可以在虚拟学习环境中使用作为第三方工具提供的学习者工具来申请电子作业。学习者工具通过插件向TEP（TeSLA执行平台）发送请求。传入的请求不包含学习者姓名，仅包含插件从TIP（TeSLA身份提供者）获取的TeSLA ID。随后， TEP从其数据库中获取电子作业，并将其返回至虚拟学习环境，学习者将在其中完成作业，同时外部工具将采集生物特征数据，并定期发送至仪器进行防作弊分析。

示意图1

示意图2

4.2 假名性

像TeSLA这样的安全电子评估项目无法为学习者实现完全匿名。事实上，评估本身的性质决定了必须存储被试编号（例如TeSLA ID）与学习者真实姓名之间的关联。因此，在此类环境中，学习者在与TeSLA组件进行交互时只能获得部分匿名性，即假名性。

在此架构中，通过一个名为TeSLA ID的随机化TeSLA标识符来确保假名性，该标识符成为学习者在TeSLA域内的身份。因此，任何TeSLA组件都永远不会访问学习者的真实身份。

TeSLA ID由TIP组件根据UUID标准第4版生成的随机数计算得出[17]。学习者身份与TeSLA ID之间的对应关系存储在TIP数据库中。TIP数据库位于大学一侧，TeSLA无法访问。TIP数据库应与所有虚拟学习环境共享。由于大学域与泰斯拉域之间的任何交互都涉及一端的插件和另一端的TEP，因此只需确保任何请求通过插件发送到TEP的数据首先被重定向到TIP，以获取学习者的TeSLA ID，并使用该ID代替学习者的身份。请注意，TeSLA ID为所有学习者提供了假名性，使他们能够在不向TeSLA系统透露身份的情况下参加电子评估。然而，需要注意的是，尽管学习者相对于电子评估系统是匿名化的，但这不足以防止系统收集和关联个人数据。例如，TeSLA ID并不能确保多会话不可链接性，因为电子评估系统显然能够知道同一学习者在两个不同会话中登录的情况，并收集该学习者行为的相关数据，即使不知道其真实身份。如第3节所述，匿名认证是一种比简单匿名标识符更能保障多种隐私属性的解决方案。在下一小节中，我们将描述该系统如何集成到TeSLA等电子学习环境中。

4.3 将匿名认证集成到TeSLA

匿名认证的目的是实现匿名访问控制，以证明用户由于拥有验证者所需的一些属性而被允许访问资源。然而，验证者仅知道用户的属性符合策略，而不一定确切知道他们拥有哪些属性。

因此，匿名认证不能用于需要通过身份验证来识别特定用户的场景。显然，可以通过要求将用户标识符作为必须被揭示的属性来适应这种情况，但这样做会使其失去意义。在TeSLA的背景下，这意味着匿名认证无法在电子评估过程中使用，因为电子评估需要与学习者的唯一标识符相关联。

然而，匿名认证可以自然地添加到虚拟学习环境中。事实上，学习管理系统通常旨在向学习者提供其注册课程的相关信息，并允许他们访问课程资料。在这两种情况下，虚拟学习环境无需以唯一方式识别学习者，而只需证明该学习者已获得授权即可。在这种情况下，可以定义并使用以下属性来决定是否授权给学习者：
– 学习者注册的大学
– 学习者注册的课程

这些属性足以让每位学习者访问其有权浏览的虚拟学习环境页面，而无需进行常规的实名认证（即使使用假名或匿名标识符）。因此，学习者可以随时访问课程资料，而虚拟学习环境无法记录和追踪学习者的活动。这对于学习者隐私而言是一项重要进步，因为学习者可能不希望系统知晓他们何时清醒，以及何时访问了课程材料。

同样，也可以增强电子作业后期处理的隐私性。当学习者完成一份电子作业后，必须首先将其发送到多个外部防作弊工具，例如检查作业中是否存在抄袭行为。与其传输与学习者TeSLA ID相关联的请求，不如对这些请求进行匿名化处理，并使用匿名认证进行授权。属性的定义可以与上述方式类似。除了防止每个工具基于学习者的TeSLA ID对学生进行画像之外，匿名认证方案的不可关联性属性还保证了两个不同的工具无法得知请求来自同一学习者。这极大地限制了各工具之间数据关联的可能性，即增强了学习者隐私。

5 PCS 的实现与安全细节

本节简要讨论本文所提出方案的正在进行中的实现，以及关于 PCS安全等级的一些说明。

5.1 实现细节

可在 http://j.mp/PKIPCSgit 获取，作为跨平台 C++软件代码，主要基于现有的密码学库，如 PBC[25]和 MCL[24]。该构造已在线提供，以促进对方案的理解、比较和验证。在第3节中，我们特别关注了用于验证构造操作所需的椭圆曲线的性质。需要指出的是，匿名凭证（AC）建立在基于属性的密码学之上，其使用支持配对的椭圆曲线，即满足某些条件的椭圆曲线[12]。例如，此类曲线的嵌入次数。椭圆曲线运算的部分实现与测试基于 Ate 配对或 Tate 配对的实现（例如，参见 Barreto-Naehrig曲线上的Ate配对实现，可从 https://github.com/herumi/ate-pairing获取）。计算配对时使用了来自[12]的 Miller算法扩展版本[20]。用于验证构造安全性的具体示例和计算数据也可在http://j.mp/PKIPCSgit上获得。

5.2 我们方案的安全等级概述

我们回顾一下，暴力破解攻击是指检查所有可能的密钥，直到找到正确的密钥为止（即对于长度为 k位的密钥，存在 2k个可能的密钥）。因此， k表示对称加密中的安全等级。在公钥密码学中，算法的安全等级是相对于解决某个数学问题的难度来定义的，例如离散对数问题（DLP）。解决离散对数问题所需的时间远少于通过暴力破解攻击尝试 2k个密钥所需的时间。例如，一个1024位 RSA密钥长度提供的安全等级相当于对称加密算法中等效80位密钥长度的安全等级。

为了为PCS提案的每个安全等级生成安全参数，我们将研究 G1、 G2和 GT的结构。基于属性的签名方案依赖于配对函数eˆ: G1× G2 ←GT。设 E(Fq)表示定义在有限素域F[12]上的椭圆曲线，其阶为 Fq。 q是 G1(F E)的一个有限加法子群，q是 GT(F E)的一个有限乘法子群，其阶等于qk，其中 p是曲线 k(F E)相对于qk的嵌入次数。

k定义了相对于PBC库的配对函数类型（type A, E, D, G）[25]。因此，安全等级与在群中求解离散对数问题的难度相关 GT。设G1的阶为ECC密钥， GT的阶为 p= q ∗ k。为了使用PBC库生成安全参数，需要知道rbit阶的 G1以及 qbit阶的Fq。表1展示了三种考虑的安全级别下rbits和qbits的等效大小。

安全等级配对类型	GT尺寸	Fq尺寸	G1尺寸
80 \| A	1024	512	160
80 \| E	1024	1024	160
≥80 \| D	1050	175	167
≥80 \| G	1080	108	103
112 \| A	2028	1024	224
112 \| E	2048	2048	224
≥112 \| D	2082	347	332
≥112 \| G	3010	301	279
128 \| A	3072	1536	256
128 \| E	3072	3072	256
≥128 \| D	3132	522	514
≥128 \| G	5250	525	487

从表1可以看出，在实现 PCS时，应考虑不同安全级别下配对函数的计算时长，因为 GT、Fq和 G1群的大小主要取决于所选的安全等级。对于我们的 PCS构造，安全等级取决于所处理的电子学习者数据的敏感级别。

6 结论

我们详细阐述了一种用于电子评估系统的匿名认证方案。该方案重新设计了一种基于同态属性签名的现有机制，并提供了特征的选择性披露，以实现对电子评估系统中学习者的匿名认证。一个精确的用例已被展示，并正在实施所讨论的方法。未来的工作展望包括将框架扩展到更多用例，以及对完整的C++实现进行详尽的性能报告，该构造的完整实现将在http://j.mp/PKIPCSgit发布。