19、基于属性的加密、签名及组密钥管理方案解析

基于属性的加密、签名及组密钥管理方案解析

1. 基于属性的签名方案安全性证明

在模拟过程中，若算法B不终止，当Z在G2中随机时，B能完美模拟无私匿名游戏，此时Pr⌊b = b′⌋ > 1/2 + ε。而当Z = [a + b]w时，用户i0和i1的私钥相同，挑战签名σ∗与b无关，即Pr⌊b = b′⌋ = 1/2。所以，假设B不中止，它在解决给定线性挑战(u0,u1,w,h0,h1,Z) ∈ G62 时至少有 ε/2 的优势。

B不中止的条件是在设置阶段正确猜测i∗0和i∗1的值，且所有签名查询都不会使其中止。给定签名查询导致B中止的概率至多为qs/p，因此A的签名导致B中止的概率至多为qhqs/p。只要B在阶段1不中止，A就无法获取关于i0和i1的信息。阶段1的查询和挑战选择不导致B中止的概率大于1/n2。由此可得，B能以至少 ε/2(1/n2 - qsqh/p) 的优势解决给定的线性挑战。

在双线性群对(G1,G2)中，q - 强Diffie - Hellman (SDH)问题是：给定一个(q + 2)元组元素(P,Q,[γ]Q,[γ2]Q,…,[γq]Q) ∈ G1 × Gq + 12 ，输出一个对(x,[1/(γ + x)]Q)，其中x是Zp|{−γ}中任意选择的值，P和Q分别是G1和G2的生成元。

若在(G1,G2)中不存在t时间算法A能以至少 ε 的优势解决q - 强Diffie - Hellman问题，则称(q,t,ε) - SDH假设在(G1,G2)中成立。

假设(q,t′,ε) - SDH假设在(G1,G2)中成立，当qs ≤ q且t ≤ t′ - Θ(q2T)（T是G1、G2和Zp中指数运算的最大时间）时，PE - ABS