如何克服自卑心理，改善人际关系，找回自信与快乐

如何克服自卑心理，改善人际关系，找回自信与快乐

看，姐姐。但是我仍然担心他会打扰我。但是，如果我不联系他，恐怕我们的关系会疏远。这不仅是一个人。许多人和我有这种心态。当我打电话时，我真的很想告诉对方我的想法，但我不知道该怎么说。

我觉得我的心态非常不健康，而且我往往会自卑。当我看到其他人出色时，我会羡慕其他人。尽管我的朋友告诉我，我与人有很好的关系，但实际上，我有很多朋友，但是在别人眼中“快乐”的我有很多心理问题。 （星星真漂亮）

当您感到生活并不令人满意时，在这种情况下，您正面临一个大问题，使您感到无能为力。您可能知道这个问题是什么，但是由于很难应付，因此您会积极避免它。您可能没有在意识水平上考虑这个问题，但是这个问题给您带来了潜意识的巨大压力。无论如何，根据“寻求利弊”人类的心理特征，您会选择面对相对较小，更容易解决问题，因为这样，因为您正忙于处理自己面前的这些小麻烦，所以您可以暂时考虑这个基本的大问题。有时，当人们面临使他们感到虚弱的困难问题时，他们甚至会在不知不觉中造成一些可以应对的小麻烦。一方面，他们可以分散自己的能量，另一方面，他们将暂时平衡自己的心理。

但是，“欺骗自己”以换取歌曲的幻觉无法解决您的大问题，甚至可能会使您在没有意识到的情况下感到更加恐慌。您的恐慌越多，就越有可能造成更多的小麻烦，这将形成一个恶性循环，而您将消耗大部分精力来不断地解决小问题，而您的大问题仍然存在，其结果是您最终可能会将自己变成失败的人。

要找出您的大问题，除了诚实地面对您的灵魂外，您还可以参考您的年龄和环境特征。进入高中的第三年意味着您将要面对大学入学考试。您是否可以上大学将基本上决定您未来的发展方向。面对紧迫的时间和环境压力，当您对成绩没有信心（或改善），并且没有为高三时做好精神准备时，没有人不会感到恐慌和沮丧。因此，对您来说，大学入学考试和上大学是一个大问题，但是您对此没有信心，因此您将这种情感投射到其他事物（例如人际关系）中。因为实际上，您非常擅长这些方面（其他人认为您很高兴，并且可以与大学生进行良好的沟通），如果您有任何麻烦，您可以自己解决问题。因此，您一直在暗示您的人际关系有问题，然后利用自己的能力来解决它。即使有时无法解决问题，解决这个问题也比处理大学入学考试要容易得多。这种处理人际关系的能力有时会分散，有时可以弥补您在学习中无能为力的能力，因此您在心理上保持平衡。

但是您无法逃避大学入学考试的压力。可以预见的是，如果您不重新获得学习的信心，并面对自己的真正问题，那么在大学入学考试之前，您将陷入人际关系的矛盾之中。 Happy Sister建议您不再专注于学习，除了学习以外，找出自己的弱者，并专注于击败它们。当您对成绩感觉良好时，所有其他问题自然都会消失。 （快乐姐姐）

如果您的成绩下降，如何获得“三个好”

在：（我在开学开始后的第一次每月考试中表现不佳。我从前的“三联盟”下降到十个以上。我觉得自己比上学期更努力地工作，但是我的成绩并不理想，我感到有些难过。我也感到有些不适。我也为“三个好学​​生”而奔跑。我既不适合我了，但我还是不愿意。 （对不起女孩）

您的潜台词是：首先，如果您比以前更加努力，那么您的成绩必须比以前更好；其次，“三个好学​​生”必须进入前三名，至少您的成绩不会下降。这是两个极端的以自我为中心的观点，事实是，无论是谁，都不可能在一个小组中绝对以自我为中心。

排名证明您不是唯一参加比赛的人。您比以前更努力。这并不意味着其他学生并没有努力工作。在此期间，它们可能比您更努力。相反，您的排名将下降。如果您的成绩不是理想的，那么您将不会检查目标环境中的变化并找到自己的突破。相反，您觉得自己是委屈的。您不仅无法解决问题，而且还可以形成“努力工作将徒劳的”的心理暗示，然后养成懒惰的习惯。

“三个好学​​生”绝对不仅是良好学习的一个方面，而且在学习方面，不仅是有资格跑步的前三名。尽管您的排名下降了，但通常相当不错。老师自然可以看到您的努力和潜力，因此他选择了您。由于可惜，老师绝对不会给您“安慰奖”。我为什么要关闭它？恐怕您的拒绝包含一些不公平的抗议活动。当人们感到委屈时，他们会直接认为自己必须为自己感到遗憾，并且受到伤害。认为受伤是好的是不公平的。但是什么是不公平的？也许你也不知道。但是事实恰恰相反。并不是说生活对您感到遗憾，而是您的态度伤害了您的生活！

如果您认为这项考试不公平，请不要怪别人。从这种经验来看，仔细地找到主观和客观的原因并形成对生活的开放前景要比成为未使用的“三个好处”要重要得多。 （快乐姐姐）

分析方法轻量级数据包密码第7章

1个基本结构，由轻质数据包密码算法使用

轻质数据包密码算法的结构通常遵循数据包密码算法的几种经典结构，但是在特定的设计中，轻量级组件和操作已实现。数据包密码的整体结构是数据包密码算法的重要功能。使用的结构不仅会影响数据包密码数量的选择，还会影响软件的实现效率和数据包密码的硬件。数据包密码常用的基本结构是：Feistel结构，SP结构和LAI-MASSEY结构。

Feistel结构通常将纯文本划分为一组几个位，每个组分为两个等于左右的部分，并执行多轮迭代操作。每次迭代后，左右位置都会交换。影响其安全性的因素包括：小组大小，钥匙长度，回合数量，子钥匙生成算法和圆形功能复杂性。 Feistel结构具有“类似的加密和解密”实现的优点，许多数据包密码算法采用了Feistel结构。另一个常用的数据包密码结构是基于SP网络结构而设计的。 SP网络结构使用替换和替代方法简单有效地遵循香农的原则。替代操作通过S框实现混淆，替代操作通过P框实现扩散。快速扩散速度且易于实现高速硬件。这些特征是SP结构比Feistel结构的优点。但是，在这种结构下，有针对数据包密码算法模块的要求。通常，密码学算法需要基于加密的解密，并且也易于实现，这需要对相应的子模块进行限制。

2个常见密码分析方法

2.1差分密码分析及其扩展方法

2.1.1差分密码分析。这是Biham和Shamir提出的一种基本加密分析方法[1]。它属于明文攻击选择的类型。通过分析特定的明文差异与相应的密文差异并对其进行计数之间的关系来破解关键。非线性组件和算法加密的回合数量对差异分析有很大的影响，这也为算法设计人员选择算法组件和回合数提供了基础。

2.1.2高级差分密码分析。赖Xuejia首次提出了高阶差异的概念[2]，而Knudsen将高阶差异应用于加密分析。高阶差分密码分析考虑了差异功能的差异。对于可以通过低数字布尔函数表示的这种类型的算法，使用高阶差分密码分析更有效。

2.1.3截面差分密码分析。该分析方法是差分密码分析的分支。差异的截断没有考虑到显式密码文本对之间的特定差值，而是检查差异属性的一部分。例如，是否存在特定差异，差异是否属于某个集合，等等。

2.1.4不可能的差分密码分析。它是由Knudsen和Biham在1999年独立提出的。不可能的差分密码分析的原理是使用差异路径，概率为0，以消除错误的候选键，从而恢复正确的键。

2.1.5飞行机分析和矩形分析。飞行机分析是瓦格纳（Wagner）提出的一种分析方法。通过找到两个较短的高概率差异路径，将这两个差异路径连接到较长的低概率差路径，从而增加了算法分析的回合数。 Kelsey等。改进了对飞出机的分析，并提出了放大的飞出机分析，并通过大量的清晰文本过滤了与差异化器相对应的四边形。矩形分析基于扩增的飞出机分析的改善，这通过增加差异路径来增加差异机的概率，从而降低了分析方法的复杂性。

2.2线性密码分析

线性加密分析使用线性表达式近似加密算法的一部分。通过测量线性表达出现的概率来分析密码。如果加密算法使方程的概率非常大或很小，则意味着该算法的随机性相对较差。表达式建立的概率和1/2之间的差异是偏移。偏移越大，线性分析越有效。多个线性分析通过分析多个线性近似表达式获得了更多信息，而非线性分析则使用非线性近似来过滤信息。

2.3相关的关键密码分析

相关键的分析检查了不同键之间的关系。在分析中，需要一组密钥对和清晰的密文对以及具有一定关系的清除，以恢复算法的键。关键扩展方法的加密特性会影响抵抗相关键攻击的能力。通过将相关的密钥分析与其他密码分析方法整合在一起，我们可以获得一些更强大的分析方法，例如相关键的线性分析，相关键的差分分析，相关密钥的不可能差分分析以及相关键的矩形分析。

2.4侧通道分析

与传统的加密分析方法相比，侧通道分析重点是分析加密算法的数学特性。这种类型的分析方法通常根据加密算法实现的物理特征获得解密密钥的基本信息（例如能量消耗，电磁辐射，运行时间等）。主侧通道分析方法包括时间攻击，能量分析，电磁分析，故障攻击和缓存攻击。

2.5代数分析

代数分析方法使用一组代数方程来表示加密算法中的基本模块。通过多次迭代和中间遭遇方法，构建了描述多个回合或整个加密算法的方程式系统，并在有效的时间内求解算法。代数分析的优势反映在它们的更好可行性中，不需要大量的清晰文本对，并且攻击复杂性受到回合数量增加的影响较小。将代数分析与其他密码分析方法相结合，还可以获得一些新的分析方法，例如差异代数分析，代数断层分析等。

2.6其他密码分析方法

积分分析：Knudsen总结了各种分析方法，例如正方形，多溶液和饱和，并提出了积分分析方法。与差分密码分析方法相对应，通过在转换过程中分析加密文本的某些中间值的总和来推断加密转换的扩散特征，从而计算键的部分。

碰撞分析：此分析方法类似于生日碰撞分析方法。它将加密过程中的一些中间值描述为键和常数的表达式。在穿越某些常数时，可以推断中间状态将以更高的概率碰撞。

插值分析：通过已知的明文或选择明文分析方法获取样品点，然后使用拉格朗日插值生成函数，并使用此代数函数来描述S框，从而恢复键。

中级遭遇分析：使用时空权衡的策略来恢复正确的密钥，并使用存储复杂性来交换时间复杂性。中间遭遇分析方法与其他分析方法相结合，以减少分析过程中所需的清晰文本对和计算的数量。

3结论

在资源受限的环境中，如何加强现有密码的安全性，同时确保有效性是轻量级数据包密码算法所面临的最突出的问题。现有分析方法和新分析方法的出现的有效组合对轻型数据包加密算法的安全构成了严重的挑战。

摘要：随着物联网的广泛应用，由于复杂的计算和高能消耗，传统的加密算法不再适用于资源受限环境中的安全应用程序。设计轻巧的数据包加密算法已成为近年来密码学领域的热门话题。本文总结了现有数据包密码算法的安全分析方法。通过对现有算法的安全分析，提供了一些方法，以验证算法的正确性和安全性。

关键字：轻巧，分组密码，密码分析

参考

[1] Biham E，Shamir A.对DES样的密码系统的差异性隐性分析。

对白盒密码的安全性分析和研究8

白盒密码安全的核心是尝试以各种可能的方式执行密码算法期间，以防止黑客获得键​​。 Chow等。使用两个指标来评估白盒密码AES设计中的算法安全性：白盒多样性和白盒模棱两可。

白盒多样性用于表示查找表的所有构建方案的可能数量。只要您确保白盒多样​​性的价值尽可能大，黑客分析隐藏的钥匙和混乱的编码就越难。

白盒歧义用于确定将有多少个查找表有多少种不同的构造方案。这是通过将白盒多样性的价值除以查找表的数量来获得的商。白盒的价值尽可能多，安全性更高。

此外，还有其他针对白盒密码的安全标准，例如键掩蔽和绕过攻击的阻力。

2个白盒AES研究状态

2.1 Chow White Box AES的实施和分析

Chow等。构建了一个128位白盒AES实现。它的主要策略是在一系列独立的查找表组合中介绍AES算法，并使用内部编码和外部编码来实现隐藏的键并混淆算法。

Chow White Box实施的优点反映在使用编码以查找表的形式中破坏算法，隐藏编码和替换信息的四个方面，改善了混合柱块的实用性以及合理且可行的操作效率；缺点是引入了外部编码的反操作，从而为攻击者提供了分析和获取密钥的机会。

2.2 Bringer的白盒实施和分析

Bringer等。使用数据包密码算法来举例说明AEW/O s：通过加强原始方程中的其他干扰方程，破坏了原始方程中的代数结构，从而增加了攻击代数结构的黑客难度。 Brader在第一轮之前插入特定的术语，这些术语只能在最后一轮中被抵消。

Bringer的白盒实现着重于加强数据包密码可追溯性问题，使用将其他混乱信息嵌入算法，集成和使用0的方法？多项式特性，以进一步增加攻击者破译的难度，并使用投票获得最终结果。实施Bringer White Box的缺点是，最后一轮设计缺陷和相对较大的内容空间被占据。

3一种新的和改进的白盒实施方法

本文全面研究和分析了Chow和Briger White Box Design的优势和缺点，提出了一种新的和改进的白盒实施方法。以下是一个AES示例。

首先，将轮键K嵌入AES，将原始S框变成一个新的T框，然后使用查找表表示表达式如下：

接下来，修改了混合柱操作，并且最初的4个输入块将在转换后保持不变，但是在MC操作后，可以消除混乱信息。

然后，将混沌信息（β，γ，φ）添加到系统中，而QIR，J和PI，JR相互反转，编码Chow实现中的输入和输出。考虑到AES密码的明文输入信息为128位，因此将其分为16个8位AES块。在分析过程中，每次使用4个块作为分析单元，并与MC操作数量保持同步。

特定的实现结构如下图所示：

3.1第一轮白盒修改的新改进

新的改进白框修改实现的第一轮由三个步骤组成，如下：

第一步是使用原始的Chow AES算法输入方法，并且有4个输入，这些输入是由PI和JR编码的，它们是T框的输入。

第二步是考虑原始Chow的AES算法输入没有添加混乱的术语，因此在此改进中，我们利用Bringer的优势，并且仍然将原始输入用作输入输入。同时，添加混沌项作为输入，并使用哈希算法从32位到8位映射f。

第三步是破坏MC矩阵信息，破坏MC的输出数据，最后输出五个tuplace（Y0,0，Y0,1，Y0,2，Y0,3，Y）以扮演机密角色。

3.2第二回合白框的新改进

对于新的改进的白色盒子，从第二轮到第十轮，每轮操作都有5个AES块，其中4个是原始输入，而1个块是新嵌入的混乱项。

底部的β是新嵌入的混乱项。操作时，表达式和操作方法需要与上述4个块的输入保持同步。此外，无序顺序还与相应数量的回合同步，也就是说，在实施开始时，每轮MC操作步骤都是事先确定的。

在这一改进的设计中，带来的实施中的最后一轮设计被放弃，混乱不再消除。

4改进的白盒AES算法的性能分析

在运营效率方面，这种改进的设计已取得了一定的结果。通过控制比原始输入小的混沌项目数量，可以有效控制空间占用率。全面的计算，改进的完整白盒AES实现需要约5MB的空间。与Chow和Bringer设计的白盒密码实现相比，它极大地提高了空间共享和操作效率。

在安全方面，从以下方面完全考虑了改进的白盒算法设计。

首先，从单个查找表的角度来看，它相对安全。改进的白色盒子AES继续吸收Chow White Box实现的本地安全性能。黑客不能通过观察和分析单独的查找表来攻击。

其次，从钢坯攻击的角度来看，它也相对安全。它可以有效地阻止攻击方法针对钢坯提出的CHOW。鉴于在坯料的分析中，关键是恢复输入代码和输出代码的非线性部分P和Q。恢复时，变更情况由以下公式表示：

由于黑客无法确定基于Y0的原始信息还是令人困惑的术语。

第三，考虑Mulder的攻击方法相对安全。在改进的白盒AES实施中，在最后一轮中没有删除混乱项目的效果，而是通过多个实例投票发现了同一字符串，并获得了最终的输出，从而有效地避免了Mulder的攻击。

5摘要和前景

在本文中提出的改进的白盒AES实施是全新的尝试。对白盒AES框架的简要介绍已经形成了核心结构，但是仍然有许多参数需要进一步的研究和探索，例如：添加了多少个混乱的术语和φ，如何配置MC输出顺序以及如何在多个实例的投票机制的情况下获得最终的正确输出。

随着白盒密码的持续开发，在将来的实用应用中，上述深入研究和持续尝试具有突出的意义。

摘要：传统密码学基于黑匣子模型，假设操作环境是安全的。但实际上，攻击者可以看到软件的执行过程。在这种环境下，白盒密码出现，有效地阻止了攻击者获得关键信息。本文提出了改进的白盒密码设计，并以Chow White Box作为核心线的想法，并与Bringer提出的混乱信息结合使用。从运营效率的角度来看，改进的算法仅占据5MB的空间，与Chow和Bringer设计相比，这大大提高了空间共享和操作效率。从安全性的角度来看，它可以有效抵抗它是在攻击单个查找表，方针攻击角度还是mulder攻击方法。

分析玉米9的同义密码子使用的部分性。

近年来，随着许多物种的全基因组测序的完成，研究人员对整个基因组水平上密码子的使用有了全面的了解，并且近年来也已成为基因组研究中的热门话题。 2009年11月，美国科学家宣布，B73的玉米含杂交线的整个基因组草图已经完成[14]，并且可以从公共数据库中免费获得其数据，这意味着对玉米功能基因组的研究已经开始。同时，还可以使用现代生物信息学来研究其在基因组水平上使用其功能基因的同义密码子的偏见。现在，使用玉米的整个基因组数据，首次对所有玉米基因中的密码子进行全面分析，并且确定了玉米的最佳代码子的类型，最佳密码频率以及影响密码子使用的因素，以通过选择适当的代码子来构建最佳的转基因表达系统，从而选择适当的代码子，从而提高价值的特定基因的表达效率，从而为未来的corne cormist和Futror and trutegen corlive corlive for Trutegen cormistic forde corlive fortive fortive fortive cormist of Broving and corlivic fordien cormist。

1种材料和方法

1.1获得基因表达数据

玉米近交系列B73的整个基因组表达序列被用作研究对象。整个基因组数据库来自玉米测序网站http://www.maizesequence.org/index.html，总共获得了53,764个基因表达序列。

1.2分析软件的使用

使用密码子分析程序（J. Peden，）进行密码子使用的相关分析。该软件使用多个可变分析方法，并为基因组中的密码子使用模式提供详细的分析结果。它是用于分析密码子使用偏差的一般软件。该软件分析密码子使用的偏置索引：（1）有效数量的密码子（ENC），这是基因平均密码子使用频率偏差的量化值和同义密码子平均用法频率。 ENC值范围从20个（极端情况，每个氨基酸仅使用一个密码子）到61个（平均使用所有密码子），并且越接近20，偏差越强。 （2）密码子适应指数（CAI），密码子适应指数通常用于测量基因表达水平。该值为0〜1，接近1，基因的表达水平越高。 （3）密码子偏置指数（CBI），反映了特定基因中高度表达的高级密码子的成分。 （4）最佳密码子使用率（FOP）的频率是指用于说明总数的最佳密码子的百分比。 （5）相对同义密码子使用（RSCU）是指编码相应氨基酸的同义密码子中特定密码子的相对概率。如果不偏爱使用密码子，则密码子的RSCU值等于1。当特定密码子的RSCU值大于1时，这意味着使用密码子的频率相对较高，反之亦然。

2结果和分析

2.1确定最佳密码子

表1显示了59个同义密码子（不包括三个终止密码子标签，TGG，TGA，1个启动密码子ATG和只有一个密码子的色氨酸TGG），每个同义密码子使用的平均频率被排除在外。从表1中可以看出，在18个氨基酸中用玉米编码的密码子（不包括由起始密码子ATG编码的蛋氨酸和只有一个密码子编码的蛋氨酸）。具有同义密码子数字2或3的那些倾向于使用一个密码子，而具有同义密码子编号4或6的那些密码子具有2或3的趋势倾向于使用密码子。可以确定的是，在玉米中使用的59个同义词中，有27个密码子，例如TTC，CTC，CTG等。此外，最佳密码子是以C或G结尾的密码子，表明最佳密码子的使用与密码子中第三个碱基的组成密切相关。

注意：高表达上级密码子被标记*，卡方测试值为p

2.2密码子差分分析

图1显示了在多变量分析中以a，c，g和t碱结尾的59个同义密码子中前两个坐标向量的分布。可以看出，以A和T结尾的密码子聚集在坐标平面的左侧，而以G和C结尾的密码子聚集在右侧。只有2个以G结尾的密码子位于纵轴的左侧。因此，目标向量的第一个坐标轴（IE，纵向轴）可用于区分以G和C结尾的密码子结束的密码子，也可以看出，以A结尾的大多数密码子位于水平轴上方上方，而D除了两个密码子以t结束的两个密码子在水平轴上以上位于水平轴上方，其位于下面的坐标。终止G中的密码子基本上位于水平轴上方，而终止C的密码子相对分布，表明以C中结尾的密码子在使用中相对均匀，并且没有明显的偏见，而其他三个密码子则使用某些偏见。

2.3分析与密码子使用偏差有关的因素

最佳密码子使用频率（FOP）和有效等位基因的数量（ENC）和基因的GC含量，第三密码子的GC3S含量，第三密码子A，C，G和T碱基的平均含量，密码子适应INDEX CAI和密码子Preferce index CBI等之间的相关系数。 The results show that the correlation coefficients between the optimal codon usage frequency of corn, Fop and GC content, GC3s content, C3s and G3s are r=0.780 7, 0.822 3, 0.826 2 and 0.600 1, respectively, respectively, all of which reach extremely significant levels, indicating that the frequency of optimal codon usage is significantly positively correlated with the GC content of the gene coding sequence, especially the GC content of the third codon. There is a significant negative correlation between T3s and A3s (correlation coefficients r=-0.7805 and -0.8034). At the same time, there is a significant negative correlation between the frequency of optimal codon use and the number of effective alleles (correlation coefficient r=-0.6815). The more effective alleles used, the lower the frequency of optimal codon use. In addition, there is a significant positive correlation between the optimal codon usage frequency and the codon adaptation index CAI and the codon preference index CBI (correlation coefficient r=0.7314 and 0.9863), and between CAI and CBI (correlation coefficient r=0.6782), which indicates that the higher the expression level of the gene, the stronger the bias of its codon usage.

3 Discussions

Codons are the basic principle of correspondence between nucleic acid carrying information and protein carrying information, and are the basic link in information transmission in organisms. During the long-term evolution of a species, the genes of a species will gradually adapt to the host's genomic environment and adopt codon usage that conforms to the host's genome. Studies have shown that the use of codons between different species is very specific, and similar species during evolution have similar codon usage patterns, indicating that the characteristics of codon usage of species are conservative during evolution. This change is directly reflected in the changes in the composition of nucleotides due to evolution [15]. The biological basis for the generation of bias in codon use is not yet clear, but with the successive completion of whole genome sequencing of humans and various animals and plants, we will have a further understanding of codon use. In recent years, researchers have shown through research on the genome base components and codon usage characteristics of model organisms that in addition to the species itself, there are many factors that affect the bias of codon use, and the content of the base components of the genomic environment, especially the GC content of the gene coding region, has a great advantage in the generation of its synonymous codon use bias [3, 4, 16, 17].

This study shows that the base components (GC content) of the gene coding region strongly affect the bias of its synonymous codon use, and the two are highly positively correlated. As a monocotyledon, the GC content of the gene coding sequence of maize is 56.1%, which is significantly higher than that of Arabidopsis thaliana in dicotyledon (gene GC content is 43.2%). The former prefers to use codons ending with G or C, while Arabidopsis prefers to use codons ending with A or T [18]. In particular, the positive correlation between the GC content (GC3s) of the third codon of the gene and the average frequency of the optimal codon is more significant.

The study also found that the bias in codon use is also related to the strength of gene expression. The greater the degree of deviation of codons in some highly expressed genes, but the opposite is true in low-expressed genes. This is consistent with the research results of Stenico et al. and McInerney et al. The codons used in highly expressed genes have significantly different codon usage frequencies compared with those with low expressions. The highly expressed genes have a more serious bias tendency in codon use than other non-efficiently expressed genes. They usually use a set of preferred synonymous codons [19, 20]. In addition, this preference is closely related to the available tRNA in the cytoplasm. The codon used in preference directly corresponds to the most abundant tRNA, which can achieve the best translation efficiency when the gene is translated into a protein [6]. Therefore, studying the bias of species codon use can provide a basis for building a suitable expression system during transgenic breeding, thereby improving the expression efficiency of transgenics [21].

Cryptographic analysis of dynamic group signatures 10

The group signature system allows legal group members to sign a message anonymously, but when a dispute arises, the messages they have signed cannot be denied. The concept of group signature was originally proposed by Chaum and van Heyst [3]. Because of its good anonymity and accountability, the concept of group signature has attracted widespread attention once it was proposed. In particular, its application in electronic cash systems and electronic voting systems has greatly promoted the development of e-commerce and e-government. However, in real life, members in groups often need to be added and deleted, especially for large groups of members. Therefore, how to design a safe and efficient group signature scheme to increase and delete group members has always been a hot topic in group signature research. Most of the early group signature schemes groups had the disadvantages of the length of the group public key and the length of the signature being linearly related to the number of group members [4,5,6]. Camenish and Stadle proposed the first scheme that is relatively efficient and allows the addition and deletion of group members [7]. In the scheme, the length of the group public key has nothing to do with the number of group members, and the length of the signature has nothing to do with the number of group members. At the same time, adding new group members does not need to change the key and group public key of the original group member. Therefore, their solution is suitable for large groups, and its disadvantage is that the opening algorithm is less efficient.

In 2004, Bellare, Shi and Zhang proposed a brand new group signature model called the dynamic group signature model [8]. The group signature of Wu Keli and others was proposed based on this model. They applied the idea of ​​ring signature to group signatures and designed a dynamic group signature scheme based on bilinear pairs. The advantage of this scheme is that when adding and deleting group members, there is no need to change the public key of the group center and the private key of the group member. Although this solution is based on bilinear pairs and has a large amount of computation, it does not use new difficult assumptions and is not correlated. When group members are controlled within an appropriate range, the computational amount can be reduced without losing anonymity. However, Wang Zhanjun and others conducted a security analysis on the scheme and believed that non-members could forge group signatures by forging group member certificates without being tracked, and thus gave a frame attack.

This article first points out that the security analysis of Wang Zhanjun and others is not true. Non-group members forged group member certificates and failed to pass signature verification. Therefore, their frame-up attacks also have fatal flaws. Secondly, this article points out that the original solution has defects in computing. Even if it is calculated by improving certain methods (such as introducing hash operations and other methods), we can still give a new frame attack and joint attack, which shows that the original solution has fundamental flaws.

1 Introduction to Wu Keli's plan

1.1 System establishment

Suppose G is a cyclic addition group generated by P, whose order is prime q, and V is a cyclic multiplication group with order q. Bilinear pairs refer to maps with the following properties: G×G→V. H is a one-way hash function, H:H:{0,1}*→Zundefined. The private key of the group administrator is x∈Zundefined, the private key of the public is x′∈Zundefined, the public key of the group gpk=xP, and the public key of the public is (Q,θ), where θ=e(Q,Q)x′. The user's public and private key pairs are (upk[i],usk[i]) = (PKi( = xiP),xi),xi∈RZundefined. The public keys for all users can be managed by the Public Key Infrastructure (PKI).

1.2 Membership

To become a member of the group, the user needs to apply to the group administrator first and pass on information such as his public key and personal identity to the group administrator. Under the premise of recognition by the group administrator, the group administrator uses its private key and the other party's public key xiP to generate the newly added member's signature private key gsk[i]=xPKi=xxiP and member certificate (i,Δi), i is the member's unique identification number Δi = e(gpk,aiP + PKi), ai∈RZundefined. The group administrator passes gsk[i],ai,(i,Δi) to the newly applied members through the secure channel.

After receiving gsk[i],ai,(i,Δi), the group members use the following two equations to verify, e(gski,P)=e(gpk,PKi) and Δi=e(gpk,aiP+PKi). If both are true, receive it, otherwise an error message will be returned to the group administrator.

The group administrator adds reg[i]=(i,Δi,PKi) to the registry reg, reg is exposed, and anyone can read the information in the registry.

1.3 Signature generation

Suppose m is the message to be signed, and the group member uj signs m. uj selects the public keys of n group members (including their own public keys) from reg to form the public key set L={PK1,PK2,…,PKn}. You may as well make PKj its own public key.

The group member uj randomly selects t∈Zundefined and γ∈RZundefined, and then uses the public key information (Q, θ) of the public account to calculate: E=tQ, ω=γθ-t and β = γ(ai + xj)-1, F = Δjγ-1H(m).

uj randomly selects A∈G and calculates cj+1=e(A,P). Let l=j+1,j+2,…,0,1,j-1,uj randomly select Rl∈G, and calculate cl+1 according to formula (1).

cl+1=e(βgpk,clPKl)H(m//E//ω//β//F//L)·e(Rl,P) (1)

Let Rn=R0, calculate:

Rj=AH(m//E//ω//β//F//L)clβgsk[j] (2)

R=∑undefinedRl (3)

最后令cn=c0得到群签名σ=(c1,c2,…,cn,E,R,ω,β,F)。

1.4签名验证

消息m的群签名σ=(c1,c2,…,cn,E,R,ω,β,F),成员公钥集L={PK1,PK2,…,PKn},验证人可通过等式(4)和式(5)检验签名的有效性。

Fβ=e(gpk,H(m)P) (4)

∏undefinedcl=e(βgpk,∑undefinedclPKl)H(m∥E∥ω∥β∥F∥L)e(R,P) (5)

1.5身份公开

群签名的签名成员的身份是由公开者完成。

(1) 公开者通过式(4)和式(5)验证签名的有效性。

(2) 计算: γ=ω·e(E,Q)x′,Δj=Fγ·H(m)-1。查找注册表reg,找出相应的标识号j和签名者的公钥PKj。验证下式是否为真。

Δundefined=e(gpk,γP) (6)

(3) 公布身份证据τ=(γ,Δj)。

1.6身份判定

身份判定是对公开者提供的τ进行正确性检验的过程,它能防止公开者的欺骗。首先,判定式子logundefined=logundefined是否成立。其次,判定式(6)是否成立。前者是对公开者计算出的γ的真伪进行验证,后者用于验证签名人是否知道xj和aj。当两式均成立,则证明群签名的签名人是标识号为j的成员。

1.7成员撤销

在注册表中加入一项撤消时间戳的栏目,在签名中也加上签名时间戳,通过比较它们的先后,确定签名是否有效。自然地签名者在选择其它成员入成员集L时,必须查验成员是否已被撤消。

2王占君等人对文献[1]的安全性分析

2.1王占君等人伪造不可追踪群签名的无效性

王占君等人指出任何非群成员都可以为自己生成签名私钥和成员证书,并且利用它可以伪造能够通过验证的群签名。公开者根据此签名不能找到签名者的身份,即可以伪造不可追踪的群签名。事实上该伪造并不成立,我们知道在群成员加入群时一个合法成员的公钥及其相关信息已被管理员添加到注册表reg中,reg[i]=(i,Δi,PKi),并且reg是公开的,任何人都能读取注册表中的信息。签名接收者在接收群成员签名时必须首先检查群注册表,如伪造的公钥PK″未出现在注册表中则认为签名无效,除非群管理员被收买否则其伪造并不成立。

2.2王占君等人的陷害攻击的无效性

王称假设攻击者拥有一个合法的群成员对消息m的群签名σ=(c1,c2,…,cn,E,R,ω,β,F),他可以利用该签名对任意消息m′生成合法的群签名,首先令:

F′=FH(m)-1H(m′) (7)

For i=1 to n

令c′j = cundefined (8)

称这样就生成了一个对任意消息m′的有效签名σ′=(c′1,c′2…,c′n,E,R,ω,β,F′)当公开者把签名打开时只能追踪到合法的群成员,致使合法成员被陷害。

事实上其陷害可以通过验证的第一步,但是并不能通过验证的第二步,证明如下:

F′β=FH(m)-1H(m′)β=e(gpk,H(m′)P) (9)

式(9) 可通过群签名验证的第一步,然而:

从上式可以看出其陷害攻击并不能通过签名接收者第二步的验证,从而使得陷害攻击并不成立。

3对文献[1]的安全性分析

3.1原方案的计算缺陷

原方案中群V为阶为q的循环乘法群,而群G为阶为q的循环加法群,V中元素跟G中元素没有定义运算规则,同时V 中元素也未和Zundefined中元素定义运算规则,而方案中却大量出现不同群元素之间的运算,因而方案是不合理的。

事实上通过相应的hash运算可以将不同群之间的运算统一起来,但是即使原方案合理地定义了不同群之间的运算,方案仍存在安全缺陷。

3.2陷害攻击

任意合法群成员u′j在得到一个合法签名后都可以伪造任意消息的签名,而当公开者打开签名时只能追踪到原有签名人而非陷害者,伪造方法如下:

设群成员uj的一个签名为σ=(c1,c2,…,cn,E,R,ω,β,F),u′j在得到σ后,首先令F′=FH(m)-1H(m′),然后用自己的群私钥通过以下步骤生成新的c′1,c′2,…,c′n。

群成员u′j随机选取A′∈G,计算c′j+1=e(A′,P)。设l=j+1,j+2,…,0,1,j-1,u′j随机选取R′l∈G,根据公式(1)计算c′l+1:

c′l+1=e(βgpk,c′lPKl)H(m′//E//ω//β//F′//L)·e(R′l,P) (10)

令R′n=R′0,计算:

R′j=A′-H(m′//E//ω//β//F′//L)c′lβgsk[u′j] (11)

其中gsk[u′j] 为用户u′j的群私钥,令:

R′=∑undefinedR′l (12)

最后令c′n=c′0,得到伪造群签名σ′=(c′1,c′2,…,c′n,E,R′,ω,β,F′)。

下面证明伪造签名的有效性:

由(9)式可以得出伪造可以通过第一步验证,第二步验证如下:

可见σ′=(c′1,c′2,…,c′n,E,R′,ω,β,F′)通过了两步验证,并且当公开者追踪签名者身份时只能根据ω,E,F追踪到用户uj的身份,而不是用户u′j。从而伪造成功。

3.3群成员之间联合攻击

设两个身份标识号分别为Δi=(gpk,(ai+xi)P)和Δj=(gpk,(aj+xj)P)的两个群成员相互勾结,他们可以伪造出一个不被追逐的有效签名,方法如下:

任选γ∈R Zq*,令β′=γ(ai+xi+aj+xj)-1,F′=(ΔiΔj)γ-1H(m)则该β′,F′可以通过验证的第一步,证明如下:

c′1,c′2,…,c′n的伪造同3.1节。

这样当公开者打开时只能追踪到ΔiΔj,从而使得联合攻击成立。

4结语

本文对吴克力等人的动态群签名方案进行了安全性分析,指出了其在计算上存在的缺陷,及其在安全上存在恶意群成员可以进行陷害攻击和联合攻击的可能。安全缺陷出现的原因在于原方案在进行签名验证时没有将签名人的身份同签名很好地结合在一起,使得恶意成员的攻击得以实现,下一步工作可以考虑怎样将签名者的身份同签名结合起来同时保证群签名的匿名性。

摘要：最近,吴克力等人提出了一种基于双线性对的动态群签名方案[1],该方案具有在增加和删除群成员时,不改变群公钥和群成员的签名私钥的优点。王占君等人对其进行安全性分析[2]后认为,该方案存在非成员伪造群成员证书及陷害攻击的缺陷。分析说明王占君等人的分析并不成立,同时指出原方案存在计算上的缺陷,并给出一种陷害攻击和群成员间的联合攻击。证明原方案是不安全的。

关键词：动态群签名,安全性分析,陷害攻击,联合攻击

参考

[1]吴克力,孙抗毒,等.一种动态群签名方案[J].计算机应用与软件,2007,24(9):26-29.

[2]王占君,马海英.对一种动态群签名方案的安全性分析[J].计算机应用与软件,2009,26(7):281-285.

[3]Chaum D,Heyst E V.Group signatures[C]//Proceedings of Cryptol-ogy-Eurocrypto 91.Berlin:Springer-Verlag,1991:257-265.

[4]Park S,Kim S,Won D.ID-based group signature sehemes[J].Elec-tronic Letters,1997,33(15):1616-1617.

[5]Mao W,Lim C H.Cryptanalysis in prime order subgroup of Zn[C]//Proceedings of Cryptology Asiacrypt 98,Beijing,China.Berlin:Springer-Verlag,1998:214-226.

[6]Tseng Y,Jan JA novel ID-based group signature[C]//Poceedings ofIntenational computer symposium,workshop on cryptology and informa-tion security,1998:159-164.

[7]Camenish J,Stadler M.Efficient group signatures schemes for largegroups[C]//Proceedings of Cryptology-Crypto97,Santa Barbara,Cali-fornia,USA.Berlin:Springer-Verlag,1997:410-424.