19、基于属性的加密、签名及组密钥管理方案解析

基于属性的加密、签名及组密钥管理方案解析

1. 基于属性签名方案的安全性证明

在模拟过程中，假设算法B不终止。当Z在G2中随机选取时，B能完美模拟无私匿名游戏，此时$Pr⌊b = b′⌋> \frac{1}{2} + ε$。而当$Z = [a + b]w$时，用户$i_0$和$i_1$的私钥相同，挑战签名$σ^*$与b无关，所以$Pr⌊b = b′⌋ = \frac{1}{2}$。假设B不中止，它在解决给定的线性挑战$(u_0,u_1,w,h_0,h_1,Z) \in G_2^6$时至少有$\frac{ε}{2}$的优势。

B不中止的条件是在设置阶段正确猜测$i_0^ $和$i_1^ $的值，且所有签名查询都不会导致其中止。给定签名查询导致B中止的概率至多为$\frac{q_s}{p}$，因此A的签名导致B中止的概率至多为$\frac{q_hq_s}{p}$。只要B在阶段1不中止，A就无法获得关于$i_0$和$i_1$的信息。所以阶段1的查询和挑战选择不导致B中止的概率为$\frac{1}{\binom{n}{2}}$，大于$\frac{1}{n^2}$。由此可得，B能以至少$\frac{ε}{2}(\frac{1}{n^2} - \frac{q_sq_h}{p})$的优势解决给定的线性挑战，从而完成定理7.2的证明。

在双线性群对$(G_1,G_2)$中，q - 强Diffie - Hellman（SDH）问题表述为：给定一个$(q + 2)$元组$(P,Q,[γ]Q, [γ^2]Q,…,[γ^q]Q) \in G_1 \times G_2^{q+1}$，输出一个对$(x, [\frac{1}{γ+x}]Q)$，其中$x \in Z_p\setmin