INDCCA2完全匿名高效短群签名方案.docVIP

INDCCA2完全匿名高效短群签名方案 　　（1．南通大学 计算机科学与技术学院，江苏 南通 226019； 2．南通大学 a.理学院; b.教育科学学院，江苏南通 226007） 　　 　　摘 要：基于DDH、TCRv、KEA3假设下的改进Cramer-Shoup加密方案和SDH假设，提出一种新的SDH问题的零知识证明协议，并基于此协议构造了一种在BMW模型下可证明安全的短群签名方案，该方案具有IND-CCA2完全匿名性,签名长度仅为1 193 bit。与最近其他方案相比，该方案以强假设为代价提高系统的效率并缩短签名长度。 　　关键词：短群签名； 完全匿名性； 改进的Cramer-Shoup加密； IND-CCA2安全 　　中图分类号：TP393.08文献标志码：A 　　文章编号：1001-3695(2009)05-1922-04 　　 　　Efficient short group signature with IND-CCA2 full-anonymity 　　MA Hai-ying??1 WANG Zhan-jun????2a?? WANG Zhou-xiu????2b?? 　　(1. College of Computer Science Nantong University Nantong Jiangsu 226019 China; 2.a. School of Science b. School of Education Nantong University Nantong Jiangsu 226007 China) 　　Abstract:This paper presented a new zero-knowledge protocol for SDH which was based on improved Cramer-Shoup encryption from DDH TCRv KEA3 assumption and SDH assumption. Using this protocol as a building block constructed a new short group signature which was provable secure in the BMW model the scheme was of IND-CCA2-full-anonymity and the signature was only 1 193 bit in size. Compared with other related works this method was of higher efficiency and shorter size of group signature at the cost of strong assumptions. 　　Key words：short group signature; full-anonymity; improved Cramer-Shoup encryption; IND-CCA2 secure 　　 　　0 引言?? 　　 　　群签名是一个非常有用的密码学工具。在一个群签名方案中，群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名，并且在有争议时，群管理者可以确定签名者的身份。群签名方案有很多的应用场合，如电子现金系统、投票协议等。然而群签名在实际应用中还有一些问题需要解决，即如何高效地产生一个安全的短群签名。?? 　　1991年，Chanm等人[1]提出了群签名的概念。近年来，有很多种安全高效的群签名方案被提出，比较著名的有ACJT方案[2]。2004年提出的基于SDH和决定线性假设的BBS方案[3]，实现了高效的、长度为1 533 bit的签名，但该方案仅具有CPA完全匿名性。Bellare、 Micciancio和Warinshi(BMW)[4]给出了群签名安全的形式化模型，并首先提出一个标准模型下可证安全的方案，由于采用的是广义的非交互式零知识证明技术，他们的方案效率较低，并不实用。随后，Bellare等人[5]针对动态群将BMW模型作了扩展（允许群成员动态加入）,同时他们提出了一个标准动态群签名方案的安全模型，在该模型中给出了一个动态群签名方案应该具备的正确性和三个安全需求的实验。Boyen等人[6]提出了第一个标准模型下的可证明安全并且实用的群签名方案，而且该方案只依赖于相对弱的计算假设,即CDH 假设和他们新引入的子群判定假设。该方案的缺点是群公钥和签名长度与用户数成对数关系,因此群签名的长度随群大小增长。由于是在合数阶群上进行签名,表示群签名的每一个元素都非常长,一个完整的群签名通常要数万比特。20