一种高效的群签名方案.pdfVIP

第22卷第2期 青岛大学学报I工程技术版) V01．22No．2 O 2O 7年6月 oF Jun．2OO7 QINGDAo JOuRNAL UNIVERSITY(ET) 文章编号：1006—9798(2007)02—0044一05 一种高效的群签名方案 程相国8，海进科b (青岛大学a．信息工程学院；b．数学学院，山东青岛266071) 摘要：给出一种新的群签名方案的构造方法，把这种方法应用于RSA签名方案，得到一 种短的群签名方案。同现有的其它同类签名方案相比较，新方案具有签名长度短、群成员 的撤销和加入方便、群签名的生成和验证快速等特点。安全分析表明，新方案满足一个群 签名方案所应具有的所有安全性要求。 关键词：群签名；RSA；短签名；匿名性 中图分类号：TP309 文献标识码：A 签名方案中，群体中的每个成员都可以代表群体进行匿名签名，验证者只能验证签名是否来自群体，而不能 确知参与签名的具体成员，群签名的这种性质被称为匿名性；在必要的时候，群主管可以打开签名来确定签 名者的身份，签名人不能否认自己的签名，群签名的这种性质被称为可跟踪性。群签名的匿名性可为合法用 户提供匿名保护，可跟踪性又能使群主管对群成员的行为进行跟踪，对群成员的行为进行合理限制。群签名 的上述性质使它在管理、政治、军事和经济等领域有着广泛的应用，许多安全业务需要群签名，以电子现金为 例，一方面要求它和普通现金一样具有匿名性；另一方面，为防止利用电子现金进行洗钱等不法行为，需要对 它进行跟踪。群签名可分为两类：静态群签名和动态群签名。在静态群签名方案中，群成员的人数是固定 的，无法实现群成员的撤销和再加入；而在动态群签名方案中，能够实现群成员的撤销和再加入。显然后者 更为实用。一个好的动态群签名方案应该满足以下几个要求；群公钥和群签名的长度应该是个常数，不应当 随着群成员的增加而增大；签名的产生和验证应该尽可能的快f群签名的长度应该尽可能的短；应该尽可能 快地实现群成员的撤销和再加入。许多实际应用需要群签名方案满足上述性质，而在带宽受限的环境中，短 签名方案n-33其群公钥和群签名的长度随着群成员的增加而增大，这些方案虽然可证明安全，但显然是不实 用的。另外还有一些群签名方案H-9]，虽然群公钥和群签名的长度不再随着群成员的增加而变化，但因为签 名的生成和验证算法比较繁琐或者群成员的撤销和再加入比较困难，仍然是不实用的。目前两个比较实用 的群签名方案[1 533bits(192 首次构造出签名长度为1 bytes)的群签名方案，但是因为计算双线性对的复杂性，该方案目前 还谈不上实用。本文以经典RSA为基础方案，通过引入两个群主管，推出一种新的群签名方案，该方案具有 签名长度短、签名的生成和验证快速简单、群成员的撤销和再加入方便易行等诸多优点。 1 群签名的定义和安全性要求 1．1群签名的定义 一个群签名方案由群主管和用户两方参与并包含以下几个算法： 收稿日期：2007一01—18；修回日期：2007一04—10 基金项目：国家自然科学基金资助 作者简介：程相国(1969一)男，讲师，博士，研究方向为信息安全和密码学。 万方数据 第2期 程相国，等：一种高效的群签名方案 45 1) 是由群主管运行的一个概率多项式时间(PPT)算法。其输人为安全系 群系统的建立(G-Setup) 数是，输出为系统参数、群公钥及相对应的群私钥。 户便成为一个合法的群成员并得到其群成员私钥。 3)群签名的产生(G．sign)是由签名者运行的一个PPT算法。其输入为待签消息、系统参数、群公 钥和签名者的私钥，输出为群签名。 群公钥和群签名，输出为“True”