12、基于选择密文安全的ABE通用构造

基于选择密文安全的ABE通用构造

1. 引理1及证明

设Π是具有可验证性的(τ, ϵABE, q) CPA安全的CP/KP - ABE方案，Σ是(τ, ϵOTS)安全的一次性签名方案，那么按照特定方式构造的Π′（CP/KP - ABE1）是(τ - o(τ), ϵABE + ϵOTS, qD, qE) CCA安全的CP/KP - ABE方案，其中q ≥ qD + qE。

下面针对CP - ABE的情况证明引理1。假设存在一个敌手A，它以运行时间τ、优势ϵ、q次提取查询和qD次解密查询破坏了方案Π′（CP - ABE1）的CCA安全性。我们利用A构造另一个敌手B，它破坏方案Π的CPA安全性。

敌手B的构造如下：
- 设置阶段 ：挑战者运行Setup(λ, U ∪ W) → (PK, MSK)，将PK给B，B再把PK给A。同时，B运行G(λ) → (vk∗, sk∗)。
- 阶段1 ：A可以自适应地进行以下类型的查询：
- 密钥提取查询 ：当A提交集合S时，B将相同的S提交给挑战者。B获得S对应的私钥SKS并将其给A。
- 解密查询 ：当A提交(CT ′, S)，其中CT ′ = (vk, CT, σ)时，B按如下方式响应A：
- 首先，B检查V(vk, CT, σ) = 1是否成立。若不成立，则B返回⊥。
- 若成立且vk∗ = vk，则B中止。
- 否则，B检查Verify(PK, CT, Svk, S) = 1是否成立。若不成立，则B返回⊥。否则，B将Svk提