可防止无关属性干扰的属性基加密方案*

许城洲，张文涛，郎静宏

(1.中国航天系统科学与工程研究院，北京 100037；2.中国空间技术研究院，北京 100081)

1 引言

云技术是基于云计算商业模式应用的信息技术、网络技术和管理平台技术等技术的总称，其后台具有强大的计算能力和存储能力，可以为许多视频类网站、图片类网站等门户网站提供服务。云技术的发展催生出许多云服务商，服务商分别处理和发布不同的信息，如天气预报信息、城市路况信息、房价波动信息和股市波动信息等。由于服务商的布局和运营都有成本，许多服务需要用户“购买”访问权限方可获得，如购买相应的VIP、观看一定时长的广告和完成特定的任务等，目前云技术应用中，如何控制终端用户对服务数据的访问权限成为一个重要研究课题。属性基加密[1]特别是密文策略属性基加密CP-ABE(Ciphertext Policy Attribute-Based Encryption)[2]，可以让数据拥有者为自己的数据定制特定的访问策略，并可以实现一对多的访问模式和细粒度的访问控制。因此，CP-ABE被认为是云技术下对终端用户实现访问控制的理想途径[3]。

双线性映射的提出使许多密码学中的问题迎刃而解[4 -6]。Bethencourt等[7]提出基于双线性映射的CP-ABE方案，该方案将用户私钥和加密算法与属性相关联，加密算法根据访问策略生成的访问树对文件进行加密。同年，Ostrovsky等[8]提出包含非门访问结构的CP-ABE方案。Waters[9]提出基于线性秘密分享方案LSSS(Linear Secret Sharing Scheme)的CP-ABE方案构造。Beimel[10]证明了线型访问结构与树形访问结构可以相互转换。这些方案都是基于双线性映射的，实验表明一次双线性映射的计算开销是同一椭圆曲线下标量乘法计算开销的2～3倍[11]，效率问题限制了属性基加密的广泛应用。学者们针对此问题进行了广泛研究[12 -15]。Freeman等[16]分类列举了适用于配对运算的椭圆曲线，并说明了他们的构造方法和优化技术。Odelu等[17]通过椭圆曲线密码构建出一种长度恒定的CP-ABE方案。丁晟等[18]基于有序二元决策图OBDD(Ordered Binary Decision Diagram)访问结构和椭圆曲线密码构建出一种支持多个有效路径(树形访问结构中从根节点到叶子节点“1”)的CP-ABE方案，但是该方案受系统中无关属性影响较大。

访问结构也是属性基加密的重要组成部分。在云技术的实际应用中，云服务商有时候无法通过一个与非门表达式表示具有复杂访问逻辑的访问策略，如属性集{1,2,3,4}中拥有其中任意2个属性但不包括组合{1,2}的属性集即可满足访问需求。为了更高效表达这种具有复杂访问逻辑的访问策略，访问结构中需要引入“或门”。Cheung等[19]提出基于与门的CP-ABE方案，通过为属性设置“无关状态”特征值有效避免了无关属性的干扰，但是该方案需要系统中所有属性参与，且无法有效表达包含或门的访问结构。Bethencourt等[7]提出基于门限树的CP-ABE方案。马华等[20]提出了基于密钥加密密钥KEK(Key Encryption Key)树的CP-ABE方案，该方案需要所有用户参与构建KEK树，运行开销比较大。Li等[21]提出了基于OBDD访问结构的CP-ABE方案，该方案可以通过OBDD结构表达任何布尔函数。但是，该方案受系统中无关属性元素干扰比较大且对应的布尔函数中不同或门间元素相互干扰比较严重。李学俊等[22]提出了基于LSSS访问结构的CP-ABE构造，相较于树形访问结构，LSSS访问结构更灵活，解密效率更高。但是LSSS缺乏直观性，且LSSS中矩阵设计更复杂[23]。

以上方案均无法同时高效表达具有复杂访问逻辑的访问策略和避免系统中无关属性的干扰。针对此问题，本文提出基于简化有序二元决策图ROBDD(Reduced Ordered Binary Decision Diagram)访问结构的属性基加密方案。该方案使用ROBDD创建访问结构，为每一个属性创建一对RSA密钥，将ROBDD中非叶子节点的属性标签替换为属性对应的RSA公钥值；基于大素数分解原理和RSA公私钥相乘模N运算为1实现属性认证，将ROBDD中所有有效路径作为参数创建多项式函数，用户将自己的私钥经过属性集认证后得到有效路径特征值；再将其经过多项式运算即可得对应解密参数，同时使用椭圆曲线上标量乘法替代双线性配对运算对文件进行加解密。

该方案主要创新点如下所示：

(1)基于ROBDD访问结构实现访问策略，提高了访问结构的表达能力，避免了对应的布尔函数中不同或门间元素的干扰和系统中无关属性的干扰。

(2)将ROBDD访问结构和多项式加密相结合，解决了因有效路径特征值不同，需要用户属性集与有效路径进行复杂匹配的问题，降低了密文存储开销。

(3)将ROBDD访问结构和RSA属性认证机制相结合实现ROBDD非叶子结点中属性认证，同时实现了对用户属性集的保护和抗串谋攻击。

2 相关知识

2.1 简化有序二元决策图

ROBDD是一个可以用来高效表达布尔函数的有向无环图。图1所示为用ROBDD表示的布尔函数f(X0,X1,X2,X3,X4)=X0+X1X2X3+X2X3X4+X1X3X4。其中,圆圈表示决策节点，方块表示终端节点，虚线表示节点的低分支，实线表示节点的高分支。判断算法根据决策节点判断结果选择分支子节点，如果决策节点判断结果为True，表明集合中包含该参数，判断算法将当前节点的高分支子节点定义为当前节点；如果决策节点判断结果为False，表明集合中不包含该参数，判断算法将当前节点的低分支子节点定义为当前节点。函数f(X)的值从ROBDD树的根节点开始计算，根据节点比较结果向下遍历，直至进行到终端节点，表示一次布尔判断结束，所到终端节点的值即为此次布尔运算所得的值。例如，若求函数f(X0=0,X1=1,X2=1,X3=1,X4=1)的值，在图1中ROBDD访问结构进行逻辑判断时，从根节点X0开始，沿着虚线到达子节点X1，然后沿着实线到达右侧子节点X2，最后沿着实线到达终端节点1，该集合属性中，X3的值不会改变最终判断结果，因此不对X3进行判断并提前结束逻辑判断。

Figure 1 Boolean function expressed by ROBDD 图1 ROBDD表示的布尔函数

2.2 多项式函数

2.2.1 生成多项式函数

设存在一个n次多项式F(x),在xoy坐标系中有n个横坐标值互不相等但纵坐标值相等的坐标点：{(x1,y1),(x2,y1),…,(xn,y1)}，则多项式F(x)可以变换为F(x)=a0(x-x1)(x-x2)…(x-xn)+y1，当选定一个a0时，F(x)便可以确定。

2.2.2 多项式函数进行文件加解密

设有n个值满足访问策略Li,i∈[1,n]，选定任意值L，则可得n个坐标点(Li,L),i∈[1,n]，选择随机值a0，根据n个坐标点值可生成多项式函数F(x)=a0(x-L1)(x-L2)…(x-Ln)+L，将L作为参数对文件进行对称加密，当用户特征值v满足v∈{Li,i∈[1,n]}时，通过多项式计算F(v)可得解密参数L。

例如，设系统中有4个特征值{L1=1,L2=2,L3=3,L4=4}满足访问策略，选定任意值L=y1=4,a0=3，可生成多项式F(x)=3(x-1)(x-2)(x-3)(x-4)+4。如图2所示,在函数F(x)中，有且仅有x∈{1,2,3,4}时满足F(x)=4=L。通过L值对文件进行加密，当且仅当用户特征值v∈{1,2,3,4}时，才能通过多项式计算F(v)得到解密参数，从而对密文进行解密。

Figure 2 Polynomial function图2 多项式函数

2.3 RSA属性认证

选择2个不相等的大素数p和q，ZN为模N=pq的简化剩余系，φ(N)为ZN中元素个数，φ(N)=(p-1)(q-1)。为系统中每一个属性Pi选择满足gcd(pi,φ(N))=1的数pi。

2.4 安全模型

本文采用文献[24]中定义的安全模型，该模型由选择明文攻击CPA(Chosen Plaintext Attack)下不可区分性IND(INDistinguishability)的攻击者和挑战者之间的交互性游戏定义。

初始化阶段：攻击者A选定一个访问结构T，并将其发送给挑战者B。

系统建立阶段：挑战者B根据安全参数初始化系统，为系统中每个属性生成属性公私钥对，选定系统加解密方式，将公钥发送给攻击者A。

询问阶段1：攻击者查询系统加解密方式。同时，攻击者A向挑战者B询问属性私钥，但是查询的私钥不能满足访问结构T。

挑战阶段：攻击者A向挑战者B发送2个等长的数据(M0,M1)，挑战者根据访问结构T对数据Mc进行加密，c∈{0,1}，然后将加密后的数据发送给攻击者A。

询问阶段2：攻击者A可以继续向挑战者B查询相关信息，条件与询问阶段1相同。

猜测阶段：攻击者A分析挑战者B发送的密文所对应的明文，并将猜测的结果c′发送给挑战者B。攻击者在这场游戏中的优势定义为ε=Pr[c′=c]-1/2。

定理2如果任何多项式时间内，敌手赢得这场游戏的优势是可忽略的，那么所提方案是IND-CPA安全的。

2.5 椭圆曲线判定性迪菲-赫尔曼假设

设循环群G的阶为素数r，群上一个生成元为g，Zr为模r的简化剩余系，从Zr中选择随机数a和b，从G中选择随机数R。存在2个元组(g,ag,bg,z=abg)和(g,ag,bg,z=R)。

定理3如果不存在多项式时间的攻击者能够以不可忽略的优势区分上面2个元组，则称在该椭圆曲线上判定性迪菲-赫尔曼DDH(DecisionDiffie-Hellman)假设成立。

3 方案描述

3.1 方案框架

如图3所示，本文CP-ABE方案由5个部分组成，分别如下所示：

(1)属性授权终端AA(AttributeAuthority):负责生成属性特征值并将其发送给数据拥有者DO(DataOwner)，根据数据使用者DU(DataUser)的性质为其生成相关属性集，并计算用户和系统属性集公私钥。将用户私钥发送给DU，用户公钥和系统公私钥在DU属性认证时发送给解密服务器DSP(DecryptionServiceProvider)。

(2)数据拥有者DO:根据拥有数据的特性，制定数据访问策略,生成相应的访问结构，并根据访问结构对数据进行加密，将密文上传至云端服务器CSS(CloudStorageServer)。

(3)云端服务器CSS:存储DO上传的数据,并提供下载服务。

(4)解密服务器：在DU对密文进行解密时分摊计算量较大的部分。

(5)数据使用者DU:当DU的属性集满足文件访问策略时，方可以对密文进行解密以获得明文。

Figure 3 Framework of CP-ABE scheme图3 CP-ABE方案框架

3.2 方案概述

设g是椭圆曲线E上的一个阶为r元素，g生成了E上的一个循环子群G。系统中有n个属性，属性全集为={P1,P2,…,Pn}，用户的属性集为Uid。

(1)系统建立阶段。

属性授权终端AA选择2个不相等的大素数p和q，计算N=pq。ZN为模N的简化剩余系。为属性Pi选择满足gcd(pi,φ(N))=1的大整数pi，并计算满足piqi=1(modφ(N))的值qi。选择2个抗碰撞的哈希函数H0:{0,1}ρ→{0,1}*，H1:{0,1}*→{0,1}ρ。令{N,H0,H1,p1,p2,…,pn,q1g,q2g,…,qng}是公共参数，{φ(N),q1,q2,…,qn}是私有参数，AA将私有参数共享给DSP，公共参数对外公开。

从[2,N-1]中选择随机数h，计算D=hd，其中d同时计算e当Pi∈时，ai=1，当Pi∉时，ai=0。

(2)用户身份私钥生成。

数据拥有者DO将密文上传至云端服务器CSS。

(4)属性集认证。

数据使用者DU从CSS中下载需要的密文，将用户属性集私钥DUid和ROBDD访问结构上传至解密服务器DSP，DSP根据以下步骤实现属性集认证：

步骤1将ROBDD访问结构根节点当作当前节点，提取标记节点的属性公钥pi。

步骤2DSP根据用户上传的DUid、本地存储的用户公钥eUid和当前节点标记属性特征值pi计算KUid=(DUid)eUid/pi=hqi，如果eUid/pi是一个整数，转到步骤3；否则，转到步骤4。

步骤3搜索当前节点的高分支子节点。

①高分支子节点为决策节点。将高分支子节点当作当前节点，转到步骤2。

然而，在妈妈60岁的尾巴上，2014年10月，她却查出了胰腺癌，晚期，已经没有手术的意义了，只能选择TOMO刀放疗，这种技术只有北京、上海、南京、广州四个地方有，妈妈是重庆医保，报不了，只能自费。一个疗程10万块，我告诉自己，无论做多少个疗程，也要做下去。我和周磊当时刚刚跟人签了协议，写一部30集电视剧剧本，这是我们第一部独立署名的作品。为了给妈妈更好的照顾，我们直接从项目里退了出来，周磊也和签约的公司办了停薪留职。他一直尽心尽力地帮我照顾妈妈，2015年春节，我带着她和巧玉，一起在周磊家过了一个温暖的春节。

步骤4搜索当前节点的低分支子节点。

②低分支子节点为决策节点。将低分支子节点当作当前节点，转到步骤2。

(5)解密密文。

如果DU的属性集通过DSP属性集认证后返回(TT,LT)，计算：L′g=F(LT)，t′=H0(L′gTT)，M′=C⊕t′，VK′=H1(t′‖M′)，其中L′,t′,M′和VK′为原加密阶段参数经解密计算所得对应值。如果VK=VK′，密文解密成功；否则，密文解密失败。

(6)用户属性撤销。

属性授权终端AA根据用户待撤销属性的属性集′={P′1,P′2,…,P′n}提取系统公钥集′={p1,p2,…,pn}，计算将用户新的公钥发送给解密服务器DSP，新的私钥发送给用户。

(7)用户撤销。

解密服务器删除用户公钥eUid，用户删除本地的私钥DUid。

(8)系统属性撤销。

属性授权终端AA删除系统公私钥中待撤销属性集″={P″1,P″2,…,P″n}中属性对应公私钥″={p1,p2,…,pn}和″={q1,q2,…,qn}，AA可以选择是否根据待撤销属性集″撤销用户中对应属性特征值。AA对涉及″中属性的密文{C′i}，更新密文对应的访问策略，根据更新后的访问策略更新ROBDD访问结构，根据更新后的ROBDD访问结构中有效路径{PT′i,i∈[1,B′N]}计算有效路径对应特征值选择随机值a′0和L′根据{L′i,i∈[1,B′N]}生成多项式F′(x)=a′0(x-L′1)(x-L′2)…(x-L′B′N)+L′g，将F′(x)变换为F′(x)=a′0xB′N+a′1xB′N-1+…+a′B′N-1x+a′B′N，AA计算生成加密密文CT′=(C′,ROBDD′,VK′,{a′i,i∈[0,B′N]})。

4 安全性分析

4.1 抗串谋攻击

本文方案为用户分配了一个将属性集经过幂方计算的值DUid，用户无法从DUid中分解出单独属性的特征值，当用户将DUid上传到CSS进行属性集认证时，只有当用户属性集满足DO设定的访问策略时方可获得成功认证路径上节点值运算的结果LT，用户也无法从LT中分解出单独属性的特征值。当用户属性集不满足访问策略时，系统仅返回属性集认证失败，不附带其他信息。多个用户共谋也不能得到解密值LT，无法解密密文。

4.2 安全证明

定理4如果在2.4节中定义的安全模型DDH假设成立，则第3节中的方案是IND-CPA安全的。

证明采用反证法。假设存在一个攻击者A能以不可忽略的优势ε赢得本方案，则可以构造一个算法β能够以不可忽略的优势ε/2攻破DDH假设。

选择椭圆曲线E上的一个阶为r的循环子群G，g是循环群G的一个生成元。挑战者B从Zr中选择3个随机值a,b,z∈Zr，选择随机值c∈{0,1}，如果c=0，则令Z=abg；如果c=1，则令Z=zg。挑战者B将元组(g,ag,bg,Z)提交给算法β，算法β在之后的步骤中扮演挑战者的角色。

系统初始化：攻击者A生成一个挑战访问策略ST，访问策略中包含的属性构成属性集,根据访问策略生成挑战访问结构{Nodei=(idi,high,low,pi)}，将挑战访问结构提交给算法β。

设置：在系统建立阶段,算法β随机选择2个大素数p,q，计算N=pq，ZN为模N的简化剩余系。系统属性集为={P1,P2,…,Pn}，为属性Pi随机选择满足gcd(pi,φ(N))=1的值pi，计算满足piqi=1(modφ(N))的值qi，其中，pi为属性公钥，qi为属性私钥，选择抗碰撞的哈希函数H0:{0,1}ρ→{0,1}*，H1:{0,1}*→{0,1}ρ。{φ(N),q1,q2,…,qn}是私有参数，{N,H0,H1,p1,p2,…,pn,aq1g,aq2g,…,aqng}是公共参数。算法β根据攻击者A提交的访问结构结合系统属性公钥生成ROBDD访问结构。根据ROBDD中有效路径特征值{Lj,j∈[1,BN]}、随机非零值a0和bg构造多项式函数F(x)=a0(x-L1)(x-L2)…(x-LBN)+bg，将F(x)变换为F(x)=a0xBN+a1xBN-1+…+aBN-1x+aBN，提取多项式函数参数因子{ai,i∈[1,BN]}，其中BN是ROBDD中有效路径数量，由于系统中pi是随机选择的，所以公开参数也是随机的。

询问阶段1：攻击者A适应性地向算法β查询属性私钥，限制条件是所查询属性构成的属性集不能够满足访问策略。

算法β将最终密文CT发送给攻击者A。

询问阶段2：攻击者A继续向算法β查询属性私钥，限制条件仍然是所查询的属性构成的属性集不可以满足访问策略。

猜测阶段：攻击者A输出对c的猜测值c′，若c=c′，表明Z=abg；否则，Z=zg。

如果算法β输出0，表明Z是真正的密文，由于假设攻击者A的优势为ε，因此有Pr[c=c′|Z=abg]=1/2+ε；如果算法β输出1，由于z是随机选择且相对独立使用，对攻击者来说Z是随机的，因此有Pr[c=c′|Z=R]=1/2。

综上，挑战者B赢得DDH游戏的整体优势是：

如果攻击者A在多项式时间内可以以不可忽略的优势ε赢得安全模型中交互性游戏，那么存在攻击者C可以以不可忽略的优势ε/2赢得DDH假设，但是DDH假设是公认的数学困难问题，反证假设不成立，因此攻击者A不存在不可忽略的优势攻破本方案，本文方案是IND-CPA安全的。

□

5 性能分析

本节将本文方案和文献[6,18,19,21]中的方案进行功能分析和效率对比，所涉及的运算有：群元素的指数运算、群元素的标量乘法和双线性配对。由于方案中哈希运算和布尔运算的运算开销较小，因此计算代价分析时不考虑此类运算开销。本文方案将部分解密阶段运算外包给服务器，因此解密开销仅考虑用户本地计算部分。为满足其他方案性能评估需要，本节设G,GT是以素数r为阶的循环群，且存在双线性映射e:G×G→GT，表1给出了在进行方案性能对比时用到的符号和说明。

Table 1 Symbol explanation表1 符号说明

表2从方案的主要功能进行对比分析。从表2中可知，文献[6,18,21]的方案和本文方案中的访问结构均支持复杂访问策略，文献[19]的方案采用与门访问结构，不支持复杂访问策略。文献[6,18,19,21]的方案均没有考虑方案撤销问题，均不支持用户撤销、用户属性撤销和系统属性撤销。文献[18]的方案采用椭圆曲线标量乘法替代双线性配对运算，本文方案采用群元素幂运算和布尔运算替代双线性配对运算，均采用轻量级运算方式，降低了方案的整体计算开销；文献[6,19,21]的方案使用运算开销较大的双线性配对运算。文献[6]的方案采用门限树作为访问结构，本文方案采用ROBDD访问结构，访问结构中均不需要系统所有属性参与;文献[19]的方案采用与门访问结构并为每个属性设置“不相关”状态特征值，防止因无关属性状态变化导致有效属性集特征值增加，方案均可防止无关属性干扰;文献[18,21]的方案采用OBDD访问结构，访问结构中需要系统中所有属性参与，无法防止无关属性干扰。文献[6,18,19,21]均没有考虑解密外包问题，属性基加密计算开销均由本地承担。文献[18,21]的方案中密文需要存储访问结构中有效路径特征值，文献[6]的方案中密文需要存储与访问策略包含属性的特征值，本文方案中密文需要存储整合有效路径特征值的多项式函数参数，因此以上方案密文均不定长。文献[19]中密文存储所有属性参数，长度固定，但是存储开销较大。文献[18,21]的方案和本文方案整合了用户属性集中属性特征值，文献[19]的方案中用户私钥包含所有属性标记，因此以上方案密钥均定长。文献[6]的方案中用户密钥仅包含用户所拥有的属性对应属性特征值，密钥长度与用户包含的属性相关。

表3从方案的主要流程计算代价和存储代价进行对比分析。从表3中可以看出，本文方案在多个方面优于其他方案。在加密和解密阶段，本文方案计算开销均为常数级，且不涉及双线性配对运算。本文方案和文献[18,21]的方案密文长度与访问结构中有效路径数量相关，但是本文方案采用ROBDD访问结构，有效路径数量少于文献[18,21]方案的，密文存储开销较低。在密钥生成阶段，本文方案和文献[18,21]的方案中密钥生成时间开销均为常数级，以上方案均整合了用户属性集特征值，可以先计算用户属性集中属性特征值相关参数，然后进行相关群元素幂运算或椭圆曲线标量乘法，计算开销较低，密钥长度固定且较小;文献[6,19]的方案均需要单独计算用户属性集中属性在用户属性集中特征值，计算开销较大，密钥长度也较大。

Table 2 Function comparison表2 功能分析

Table 3 Performance comparison表3 性能对比

6 实验仿真

本文对表2中部分方案进行了实验仿真，实验环境为Intel(R)CoreTMi5-8259U CPU @ 2.3 GHz，8.00 GB内存，MacOS Big Sur 11.0.1操作系统。仿真程序采用Python语言编写，基于PyPBC库。方案采用与文献[18]相同的参数，使用512 bit有限域中一条基于y2=x3+x超奇异曲线上160 bit的椭圆曲线群，每次向系统属性集中增加一个属性，实验过程中访问策略和系统属性集如下所示：

其中，x5和x6为系统中无关属性，以验证本方案可防止无关属性干扰。

实验结果为20轮实验平均值，图4和图5分别为本文方案与文献[18,21]的方案在相同系统属性集和访问策略时加密时间和密文大小对比。由图4可知，文献[18,21]的方案加密时间接近幂次增加，本文方案加密时间线性增加，当访问策略不变但系统属性集增加时，文献[18,21]的方案加密时间接近幂次增加，本文方案加密时间不再增加。用户计算有效路径特征值时，涉及的群元素幂运算和标量乘法计算开销较大，对方案加密时间产生主要影响。ROBDD可以避免无关属性干扰，比OBDD访问结构中的有效路径更少，因此本文方案的加密时间比文献[18,21]的方案的加密时间更短。由图5可知，文献[18,21]的方案密文大小接近幂次增加，本文方案密文大小线性增加，当访问策略不变但系统属性集增加时，本文方案密文大小恒定，文献[18,21]的方案密文大小接近幂次增加。文献[18,21]的方案需要存储有效路径特征值，本文方案需要存储有效路径特征值整合的多项式参数，参数数量与有效路径数量相关。同理，由于ROBDD比OBDD访问结构的有效路径更少，本文方案的密文存储开销比文献[18,21]的方案的密文存储开销更低。

Figure 4 Comparison of encryption time图4 加密时间对比

Figure 5 Comparison of ciphertext size图5 密文大小对比

7 结束语

为了提高属性基加密中访问结构的表达能力，同时避免访问结构中无关属性干扰，本文提出了一种新的属性基加密方案。该方案使用ROBDD创建访问结构，充分利用了ROBDD强表达能力和对应的布尔表达式中不同或门之间元素几乎不相互干扰的特性，引入RSA属性认证机制实现ROBDD非叶子节点中属性认证，保护了用户属性集并实现了抗串谋攻击，通过多项式加密，解决了因有效路径特征值不同，需要用户属性集与有效路径进行复杂匹配的问题。该方案实现了用户撤销、用户属性撤销和系统属性撤销。通过安全性分析和性能分析表明，本文所提方案在多个方面的性能优于其它方案，且在DDH问题中是IND-CPA安全的。实验仿真分析表明，所提方案能够有效防止系统中无关属性干扰，更适用于超大系统属性集情况。