ＩＮＤ－ＣＣＡ２完全匿名的高效短群簽名方案

（1．南通大學 計算機科學與技術學院，江蘇 南通 226019； 2．南通大學 a.理學院; b.教育科學學院，江蘇南通 226007）

摘 要：基于DDH、TCRv、KEA3假設下的改進Cramer-Shoup加密方案和SDH假設，提出一種新的SDH問題的零知識證明協(xié)議，并基于此協(xié)議構造了一種在BMW模型下可證明安全的短群簽名方案，該方案具有IND-CCA2完全匿名性，簽名長度僅為1 193 bit。與最近其他方案相比，該方案以強假設為代價提高系統(tǒng)的效率并縮短簽名長度。

關鍵詞：短群簽名； 完全匿名性； 改進的Cramer-Shoup加密； IND-CCA2安全

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2009)05-1922-04

Efficient short group signature with IND-CCA2 full-anonymity

MA Hai-ying1 WANG Zhan-jun2a WANG Zhou-xiu2b

(1. College of Computer Science Nantong University Nantong Jiangsu 226019 China; 2.a. School of Science b. School of Education Nantong University Nantong Jiangsu 226007 China)

Abstract:This paper presented a new zero-knowledge protocol for SDH which was based on improved Cramer-Shoup encryption from DDH TCRv KEA3 assumption and SDH assumption. Using this protocol as a building block constructed a new short group signature which was provable secure in the BMW model the scheme was of IND-CCA2-full-anonymity and the signature was only 1 193 bit in size. Compared with other related works this method was of higher efficiency and shorter size of group signature at the cost of strong assumptions.

Key words：short group signature; full-anonymity; improved Cramer-Shoup encryption; IND-CCA2 secure

0 引言

群簽名是一個非常有用的密碼學工具。在一個群簽名方案中，群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名，并且在有爭議時，群管理者可以確定簽名者的身份。群簽名方案有很多的應用場合，如電子現(xiàn)金系統(tǒng)、投票協(xié)議等。然而群簽名在實際應用中還有一些問題需要解決，即如何高效地產生一個安全的短群簽名。

1991年，Chanm等人^[1]提出了群簽名的概念。近年來，有很多種安全高效的群簽名方案被提出，比較著名的有ACJT方案^[2]。2004年提出的基于SDH和決定線性假設的BBS方案^[3]，實現(xiàn)了高效的、長度為1 533 bit的簽名，但該方案僅具有CPA完全匿名性。Bellare、 Micciancio和Warinshi(BMW)^[4]給出了群簽名安全的形式化模型，并首先提出一個標準模型下可證安全的方案，由于采用的是廣義的非交互式零知識證明技術，他們的方案效率較低，并不實用。隨后，Bellare等人^[5]針對動態(tài)群將BMW模型作了擴展（允許群成員動態(tài)加入），同時他們提出了一個標準動態(tài)群簽名方案的安全模型，在該模型中給出了一個動態(tài)群簽名方案應該具備的正確性和三個安全需求的實驗。Boyen等人^[6]提出了第一個標準模型下的可證明安全并且實用的群簽名方案，而且該方案只依賴于相對弱的計算假設，即CDH 假設和他們新引入的子群判定假設。該方案的缺點是群公鑰和簽名長度與用戶數(shù)成對數(shù)關系，因此群簽名的長度隨群大小增長。由于是在合數(shù)階群上進行簽名，表示群簽名的每一個元素都非常長，一個完整的群簽名通常要數(shù)萬比特。2007年，Boyen等人^[7]采用新的非交互零知識證明技術提出一個簽名長度為常數(shù)的群簽名，但該方案依然在合數(shù)階群上實現(xiàn)，模型的完全匿名性被弱化為CPA完全匿名性，即在試圖攻破匿名性定義時對攻擊者作了限制，不允許提問打開預言機。文獻[8]提出了一個基于Cramer-Shoup公鑰加密體制的新的公鑰加密算法，比Cramer-Shoup加密體制產生的密文長度小、計算效率高，節(jié)省了帶寬和計算資源。本文稱文獻[8]中加密方案為改進的Cramer-Shoup加密方案。

本文基于IND-CCA2 安全的改進Cramer-Shoup公鑰加密方案^[8] ，設計了一種強Diffie-Hellman問題的零知識證明協(xié)議，并根據(jù)該協(xié)議提出了一種新的具有IND-CCA2 完全匿名性的群簽名，允許攻擊者在匿名性攻擊過程中提問打開預言機，實現(xiàn)了更嚴格安全定義下的短群簽名，簽名的長度為1 193 bit，比BBS方案簽名長度縮短了22%。 該方案以強假設為代價來提高系統(tǒng)的效率和縮短簽名長度。

1 預備知識

1)雙線性群 設 G1 =〈g1〉 G2 =〈g2〉和GT是階為素數(shù) p的循環(huán)群；ψ是G2到G1的可計算的同構映射，ψ(g2)=g1；e為可計算的映射e:G1×G2→GT。該映射具有：a）雙線性，對任意u∈G1，v∈G2和a，b∈Z有e(ua，vb)=e(u，v)ab；b）非退化性，e(g1，g2)≠1兩個性質，則稱(G1，G2)是一對雙線性群。

2）困難性假設 設n為安全參數(shù)，δ為給定常數(shù)，q為大素數(shù)且｜q-1｜=n+δ。Zq表示模q的有限乘群。g∈Zq為Zq的素數(shù)階p=(q-1)/2的子群Gp的生成元。Zq表示整數(shù)環(huán)模p的有限域。

3）DDH問題 任取a，b∈Zp，對(ga，gb，Y)∈G3p，如果Y=gab，輸出1；否則，輸出0。

4）DDH假設 如果對任意概率多項式時間（簡寫為ppt）算法A，解決DDH問題的概率是可以忽略的，則稱DDH假設成立。

5）CDH問題 任取a，b∈Zp，給定(ga，gb)∈G2p，輸出gab。

6）CDH假設 如果對任意ppt算法A，解決CDH問題的概率是可以忽略的。

7）XDH假設 設G1 G2和GT是階為素數(shù) p的循環(huán)群，ψ:G2→G1為單向同構映射，e:G1×G2→GT為雙線性映射，DDH問題在G2中是容易的，但是在G1中是困難的。

8）TCRv問題 任取u，e∈Gp，H:Gp×Gp→Zp為哈希函數(shù)，給定α=H(u，e)，輸出α=H(u，e)。其中(u，e)≠(u，e)。

9)TCRv假設 如果對任意ppt算法A，解決TCRv問題的概率是可以忽略的。

10)KEA3問題 對任意敵手A輸入為g，ga，gb，gab，輸出(C，Y)。其中Y=Cb。

11）KEA3假設 對任意敵手A輸入為g，ga，gb，gab，輸出(C，Y)，Y=Cb，則必然存在提取器A與A有相同的輸入，且返回c1，c2使得C=gc1(ga)c2。

12）q-SDH問題 給定q+2元組(g1，g2，gγ2，…，gγq2)作為輸入，輸出(g1/(y+x)1，x)。其中x∈Zp。

13）q-SDH假設 如果對任意ppt算法A，解決q-SDH問題的概率是可以忽略的。

2 一種SDH問題的零知識證明協(xié)議

本章中提出的SDH問題的零知識證明協(xié)議是群簽名方案的一個構造模塊 用來證明擁有一個SDH問題的解。

設G1=Gp，G2、GT為素數(shù)階p的循環(huán)群，雙線性映射e:G1×G2→GT，ψ:G2→G1為單向同構映射，取公共參數(shù)p，q，g1，k，d，h，H1，g2，w。其中：p=2q+1為素數(shù)；G1=〈g1〉，G2=〈g2〉，ψ(g2)=g1，k=gt1，d=gu1，h=gv1，w=gγ2 。γ∈Zp，t，u，v∈Zp。SDH對(A，x)滿足e(A，wgx2)=e(g1，g2)。其中：A∈G1，x∈Zp且Ax+g=g1。下面使用協(xié)議1證明素數(shù)階群上離散對數(shù)的知識。

協(xié)議1 示證者Alice隨機選擇指數(shù)b∈Zp，計算A的改進Cramer -Shoup加密T1=gb1(mod q)，T2=hbA(mod q)，T3=kbdbH1(T1，T2)(mod q)，然后計算輔助值δ=bx。Alice和驗證者Bob進行以下等式的值(b，x，δ)的知識證明：T1=gb1，T3=kbdbH1(T1，T2)，Tx1g-δ1=1，e(T2，g2)xe(h，g2)-δe(h，w)-b=e(g1，g2)/e(T2，w)。證明過程如下，Alice隨機選擇rb，rx，rδ∈Zp，計算R1=grb1，R2=e(T2，g2)rxe(h，g2)-rδe(h，w)-rb，R3=Trx1g-rδ1，R4=krbdrbH1(T1，T2);然后Alice將(T1，T2，T3，R1，R2，R3，R4)發(fā)送給Bob，Bob在Zp中隨機選擇詢問值c發(fā)送給Alice，Alice計算并發(fā)送回sb=rb+cb，sx=rx+cx，sδ=rδ+cδ∈Zp;最后Bob驗證如下四個等式：

gsb1=？R1Tc1(1)

Tsx1g-sδ1=？R3(2)

e(T2，g2)sxe(h，g2)-sδe(h，w)-sb=？R2(e(g1，g2)/e(T2，w))c(3)

ksbdsbH1(T1，T2)=？R4Tc3(4)如果上述四個等式成立，Bob接受證明。

定理1 協(xié)議1是誠實驗證者在XDH、TCRv、KEA3假設下，SDH對知識的零知識證明。

定理1的證明可以通過以下三個引理的證明得出。

引理1 協(xié)議1是完備的，即驗證者總是接收與一個誠實示證者的交互。

證明 如果Alice是一個擁有SDH對(A，x)的誠實示證者，并且遵守協(xié)議1中規(guī)定的指令，那么式(1)~(4)必然成立。

首先gsb1=grb+cb1=grb1#8226;(gb1)c=R1T c1，所以式（1）成立；其次Tsx1g-sδ1=Trx+cx1g-rδ-cδ1=Trx1g-rδ1(Tx1g-δ1)c=R3，所以式（2）成立；ksbdsbH1(T1，T2)=krb+cbd(rb+cb)H1(T1，T2)=krbdrbH1(T1，T2)#8226;(kbdbH1(T1，T2))c=R4T c3，所以式（4）成立；最后e(T2，g2)sxe(h，g2)-sδe(h，w)-sb=e(T2，g2)rx+cxe(h，g2)-rδ-cbxe(h，w)-rb-cb=e(T2，g2)rxe(h，g2)-rδe(h，w)-rb#8226;(e(T2，g2)xe(h，g2)-bxe(h，w)-b)c

=R2#8226;(e(T2，g2)xe(h，g2)-bxe(h，w)-b)c

=R2#8226;(e(T2，gx2)e(h-b，gx2)e(h-b，w))c

=R2#8226;(e(T2，gx2)e(h-b，gx2w))c

=R2#8226;(e(T2h-b，gx2w)/e(T2，w))c

=R2(e(g1，g2)/e(T2，w))c，所以式（3）成立。因此對Bob隨機選取詢問值的所有情況，Alice的應答都能滿足其每一步的驗證。

引理2 協(xié)議1的副本在XDH、TCRv、KEA3假設下可以仿真。

證明 首先描述輸出協(xié)議1證明副本的仿真器。選取A∈G1，b∈Zp，令T1=gb1，T2=hbA，T3=kbddH1(T1，T2)，假設XDH、TCRv、KEA3在群G1，G2上成立。由仿真器生成的三元組(T1，T2，T3)的分布與任一示證者輸出的分布是不可區(qū)分的。仿真器的剩余部分沒有用到知識A，x 或b，所以當T1，T2，T3預先指定時仍可以使用，當預先指定的T1，T2，T3是某個A的隨機改進Cramer-Shoup加密時，證明的副本部分可以被完美仿真。

隨機選擇詢問值c∈Zp和sb，sx，sδ∈Zp，計算R1=gsb1T-c1 ，R3=Tsx1g-sδ1，R4=ksbdsbH1(T1，T2)T-c3，R2=e(T2，g2)sxe(h，g2)-sδe(h，w)-sb(e(T2，w)/e(g1，g2))c。上述值顯然滿足式（1）~（4），進一步地，R1，R2，R3，R4這些計算值的分布與實際副本的分布一樣。此時仿真器輸出的副本為(T1，T2，T3，R1，R2，R3，R4，c，sb，sx，sδ)，與實際的協(xié)議副本相同。

引理3 存在一個協(xié)議1的提取器。

證明 在協(xié)議1的第一步，示證者向驗證者發(fā)送(T1，T2，T3，R1，R2，R3，R4)，對于不同的詢問值c和c′，示證者的響應分別為(sb，sx，sδ)和(s′b，s′x，s′δ)，它們均要滿足式（1）~（4），令Δc=c-c′，Δsb=sb-s′b，Δsδ=sδ-s′δ，將上述兩組響應值集代入式（1）~（4），得到上述等式的兩個實例。

將式（1）的兩個實例等號兩邊分別相除，得gΔsb1=TΔc1，由于指數(shù)是素數(shù)階群的元素，對gΔsb1=TΔc1求根運算得gb~1=T1。其中：b~=Δsb/Δc。將式（2）的兩個實例等號兩邊分別相除，得TΔsx1=gΔsδ1，代入gb~1=T1，得Δsδ=b~Δsx。將式（1）的兩個實例等號兩邊分別相除，得

e(T2，g2)Δsxe(h，g2)-Δsδe(h，w)-Δsb=?

(e(g1，g2)/e(T2，w))Δc

令Δsx/Δc=x~，兩邊去Δc得

e(g1，g2)/e(T2，w)=e(T2，g2)x~e(h，g2)-b~x~e(h，w)-b~=

e(T2，g2)x~e(h-b~，gx~w2)=e(T2h-b~，gx~w2)/e(g1，g2)

令A=T2h-b~，得e(A，gx~w2)=e(g1，g2)，因此提取器得到了SDH對(A，x~)，這個對與加密(T1，T2，T3)中的SDH對相同。

3 IND-CCA2完全匿名的短群簽名

設雙線性群G1=〈g1〉，G2=〈g2〉，SDH 假設在(G1，G2)上成立，且XDH、TCRv、KEA3假設在群G1，G2上成立 hash 函數(shù)H2:{0，1}→Zq IND-CCA2 完全匿名的群簽名方案由以下算法組成：

a） 密鑰生成算法KeyGen(n)。算法中的輸入?yún)?shù)n表示群成員的個數(shù)。選擇t，u，v∈Zp，令g1∈G1，g2∈G2，使k=gt1，d=gu1，h=gv1，w=gγ2。其中：γ∈Zp，γ僅有密鑰分發(fā)者知道。對1≤i≤n，選擇xi∈Zp，令Ai←g1/(γ+xi)1，得到關于用戶i的SDH對(Ai，xi)，群公鑰gpk為(g1，k，d，h，g2，w)，用戶i的私鑰gsk[i]為(Ai，xi)，群管理員用于追蹤簽名的密鑰gmsk為(t，u，v)。

b）簽名算法sign(gpk，gsk[i]，M)。該算法的參數(shù)為群公鑰gpk用戶i的私鑰gsk [i]和待簽消息M∈{0，1}，用戶i首先執(zhí)行協(xié)議1第一輪中規(guī)定的計算，得到T1，T2，T3，R1，R2，R3，R4，將上述值與消息M進行hash運算后獲得詢問值c，即c←H2(T1，T2，T3，R1，R2，R3，R4，M)；然后執(zhí)行第三輪規(guī)定的計算得到sb、sx、sδ；最后輸出簽名σ←(T1，T2，T3，c，sb，sx，sδ)。

c）驗證算法verify(gpk，M，δ)。在該算法中，給定群公鑰gpk、消息M和群簽名δ，驗證該簽名是否為知識(Ai，xi，b)的有效簽名，驗證者根據(jù)協(xié)議1中的式（1）~（4）重推R1~R4：

R~1=gsb1/Tc1，R~3=Tsx1g-sδ1，R~4=ksbdsbH1(T1，T2)/Tc3

R~2=e(T2，g2)sxe(h，g2)-sδe(h，w)-sb(e(T2，w)/e(g1，g2))c

然后計算c=?H2(T1，T2，T3，R~1，R~2，R~3，R~4，M)，如果等式成立，則驗證者接受。

d）簽名打開算法open(gpk，gmsk，M，σ)。群管理員在簽名打開算法中輸入群公鑰gpk=(g1，g2，k，d，h，w)、消息M、群簽名σ=(T1，T2，T3，c，sb，sx，sδ)和群管理員追蹤密鑰gmsk=(t，u，v)，執(zhí)行該算法揭示此簽名的簽名者。 在驗證σ是有效簽名后 對改進Cramer-Shoup加密T1，T2，T3，計算A=T2/Tv1，群管理員根據(jù)用戶列表查找A所對應的用戶Ai，即可確定簽名者身份。

4 安全性分析

群簽名方案必須滿足三個安全屬性^[4] : a)正確性，誠實簽名者生成的簽名能被正確驗證和追蹤;b)完全匿名性，簽名不會泄露其簽名者的身份;c)完全可追蹤性，所有的簽名，即使是用戶與群管理員合謀生成的簽名都要能被打開和追蹤。本文中群簽名的安全性可由以下三個定理的證明得出。

定理2 本文中的群簽名是正確的。

證明 對于群公鑰gpk=(g1，g2，k，d，h，w)和某一用戶的私鑰gsk[i]=(Ai，xi)，密鑰生成算法確保Ai←g1/(γ+xi)1，所以(Ai，xi)是一個SDH對。本文的簽名σ是協(xié)議1的一個副本，是關于知識(Ai，xi，b)的知識證明，簽名驗證等價于驗證協(xié)議副本是正確的，由引理1可知，σ總是被驗證者接受。由誠實驗證者產生的簽名中(T1，T2，T3)是Ai的改進的Cramer-Shoup 加密，擁有密鑰gmsk=(t，u，v)的群管理員能夠解密得出Ai。 因此，任何有效的簽名總能被正確打開。

定理3 若敵手A以優(yōu)勢ε經qS次簽名提問和qH次hash提問攻破本文簽名方案的IND-CCA2完全匿名性，則可以構造敵手B以優(yōu)勢ε/2-(qH +qS)/p3 攻破改進Cramer-Shoup加密方案的IND-CCA2安全性。

證明 設算法A 以(t，qS，qH，ε) 攻破群簽名方案的IND-CCA2 完全匿名性，構造一個算法B以至少ε的優(yōu)勢攻破改進Cramer-Shoup 加密的IND-CCA2 安全。給算法B改進Cramer-Shoup加密的公鑰(g1，k，d，h)，由它根據(jù)群簽名方案的密鑰生成算法產生其余的群公鑰，然后算法B向算法A提供群公鑰(g1，k，d，h，g2，w)和用戶私鑰(Ai，xi)，以及群管理員密鑰(t，u，v)。

在任何時候算法A都可以提問隨機預言機H，算法B以Zp中均勻隨機選擇的元素作為應答，但要保證對相同提問的應答是相同的。

算法B要回答A的所有打開提問，當A發(fā)出打開提問時，B應用解密預言機檢驗簽名是否有效，然后B將簽名的加密部分提交解密預言機，從明文中提取簽名者身份發(fā)送給A。

算法A提出兩個群成員標志i0、i1以及消息M，發(fā)起用兩個群成員標志i0、i1中的某一個對消息M的簽名提問。算法B選擇隨機比特b∈{0，1}，用私鑰gsk[ib]生成一個消息M的簽名，然后發(fā)送給算法A，A向打開預言機發(fā)起打開提問，驗證簽名有效性。有效性的證明可以通過協(xié)議1的仿真器模擬，驗證過程在獲取隨機預言機值時僅以一個可忽略的概率(qH+qS)/p3 失敗，這時算法B中止；否則說明(T1，T2，T3，c，sb，sx，sδ)是消息M的一個有效簽名，并輸出b的一個猜測比特b^。采用與文獻[12]相同的分析方法，可以得出算法A以ε/2的優(yōu)勢區(qū)分SDH對，此時算法B成功區(qū)分密文(T1，T2，T3)中加密者的證書。

定理4 若敵手A以優(yōu)勢ε經qS 次簽名提問和qH次hash提問攻破本文簽名方案的可追蹤性，則可以構造敵手B以優(yōu)勢(ε-1/p)2/(9qH)解(n+1)-SDH實例，或敵手以優(yōu)勢(ε/n -1/p)2/(9qH)解n-SDH實例。

證明 首先構造一個與贏得完全可追蹤性game的算法A交互的框架。給定生成元為g1的群G1，ω= gγ2∈G2 以及所有的(Ai，xi) 1≤i≤n。 對每一個i ，要么xi = * ，表示Ai所對應的xi未知 要么(Ai，xi)是SDH對 滿足e(Ai ，ωgxi2 ) = e(g1，g2) 。選擇t ，u ，v∈Zp ，令k=gt1，d=gu1，h=gv1，然后運行算法A ，給它群公鑰gpk=(g1，k，d，h，g2，w)，群管理員私鑰gmsk=(t，u，v)。以如下方式回答它對預言機的提問：當A詢問(T1，T2，T3，R1，R2，R3，R4)的hash值時，以Zp中隨機選取的元素應答，要求對相同的提問應答是相同的。當A以索引為i的密鑰請求消息M的簽名，如果xi≠*，根據(jù)群簽名算法生成密鑰為(Ai，xi)的關于消息M的簽名σ，并將σ返回給A。如果xi=*，選取b∈Zp;令T1=gb1，T2=hbA，T3=kbdbH1(T1，T2) 運行協(xié)議1的仿真器 返回協(xié)議副本為(T1，T2，T3，R1，R2，R3，R4，c，sb，sx，sδ)，由此副本得到群簽名(T1，T2，T3，c，sb，sx，sδ)。此外還要填充hash預言機使(T1，T2，T3，R1，R2，R3，R4，M)處的hash值為c如果當前的副本hash值不等于c ，聲明失敗并中止。當A詢問索引為i的用戶私鑰時，如果xi≠*，返回(Ai，xi);否則聲明失敗并中止。最后 如果A成功，它輸出一個偽造的消息M的群簽名σ=(T1，T2，T3，c，sb，sx，sδ)，使用群管理員密鑰(t，u，v) 打開簽名 得到某個Ai。如果對所有的i有Ai≠Ai輸出σ;否則，如果對某個i有Ai=Ai，當xi=*時輸出σ 如果xi≠*，聲明失敗并中止。由框架的輸出階段可知，存在兩種類型的偽造算法。第一類型的偽造者輸出一個消息M的偽造簽名σ，該簽名被追蹤到某個身份A{A1，A2，…，An}。第二類型的偽造者輸出一個可以被追蹤到身份A的簽名，對于某個i有Ai=Ai，但偽造者并沒有就i詢問私鑰預言機。對于一個(t，qH，qS，n，ε)的第一類型偽造者 根據(jù)Boneh和Boyen的方法，可由(n+1)-SDH 實例得到(g2 ，ω)和n個SDH對(Ai，xi)，將這些值應用到交互框架中，只要A偽造成功 框架就會宣布成功 所以以概率ε得到第一類型的偽造。對于一個(t，qH，qS，n，ε)的第二類型偽造者，可由n-SDH 實例得到(g2 ，ω) 和n-1個SDH 對，這些對的索引分布在1～n，對某個在索引i處空缺的對，選取Ai∈G1，xi=*，*為占位符，構成對(Ai，xi)進行填充。只有A從未就i提問過私鑰預言機，但卻偽造出一個可以追蹤到身份A的簽名時 交互框架才會宣布成功。所以A 至少以概率ε/n輸出一個偽造的可以被追蹤到用戶i的群簽名。接下來用與BBS 方案相同的方法，對第一或第二類型的偽造者應用交互框架，并提取出一個與SDH假設矛盾的SDH對(A，x)。 僅當(T1，T2，T3)中被加密的A不在那些xi已知的Ai之列時，框架宣布成功。因此，提取的SDH對(A，x)不在那些由n-SDH 實例自己創(chuàng)建的對之內，并可以被作為q-SDH 問題的解。

綜上所述，可以使用第一類型偽造者以概率(ε-1/p)2/(9qH ) 解(n+1)-SDH 實例，或者使用第二類型偽造者以概率(ε/n-1/p)2/(9qH )解n-SDH 實例，即以優(yōu)勢(ε/n-1/p)(3qH )攻破判定線性假設。其中，偽造類型的猜測概率為1/ 2。

5 簽名方案的性能分析

1)簽名長度 本文的短群簽名方案由三個群G1中的元素和四個Zp中的元素組成，參照橢圓曲線族 取p為170 bit 的素數(shù) 群G1中的元素為171 bit ，則本文群簽名長度為1 193 bit。

2)計算開銷 簽名的計算開銷主要體現(xiàn)在雙線性對運算、指數(shù)和多指數(shù)運算，尤其以雙線性對運算的開銷最大，因此分析計算開銷時，將指數(shù)和多指數(shù)運算都歸為指數(shù)運算。由于雙線性對e(g1，g2)，e(h，g2)，e (h，ω)，e(T2 ，ω)和e (T2，g2) 均可以預計算，在簽名生成過程中需要七次指數(shù)運算，零次雙線性對運算;在驗證過程中，根據(jù)雙線性群的運算性質可以將e(T2，g2)sxe(T2，wc)合并為e(T2，gsx2wc)，因此需要五次指數(shù)運算以及一次雙線性對運算。

3)與現(xiàn)有方案的性能比較 方案中的具體性能指標在表1中分別列出。其中ME表示多指數(shù)運算；BM表示雙線性運算。從該表格的各項數(shù)據(jù)比較中可以看出，本文的方案以一個強的假設為代價提高系統(tǒng)的效率和縮短簽名長度，與BBS短群簽名相比 計算開銷上少了兩次指數(shù)運算，簽名長度減少340 bit ，并且實現(xiàn)了短群簽名更嚴格安全定義下的IND-CCA2完全匿名性；與張方案^[9]相比，在具有相同安全性的前提下，計算開銷上少了六次指數(shù)運算，簽名長度減少511 bit。

6 結束語

本文基于IND-CCA2 安全的線性Cramer-Shoup公鑰加密方案，設計了一種SDH 問題的零知識證明協(xié)議，并根據(jù)該協(xié)議提出了一種新的具有IND-CCA2完全匿名性的群簽名，簽名的長度為1 193 bit，簽名算法需要七次多指數(shù)運算，而驗證算法需要五次多指數(shù)運算和一次雙線性對運算。與BBS 方案相比，它不僅減少簽名長度和計算開銷，而且實現(xiàn)了更為嚴格的完全匿名性安全定義。本文方案以一個強的假設為代價，提高了系統(tǒng)的效率并縮短了簽名長度。

參考文獻：

［1］ CHAUM D，HEYST E van. Group signatures[C]//LNCS vol 547.Berlin:Springer-Verlag，1991:257-265.

[2]ATENIESE G CAMENISCH J JOYE M et al. A practical and provably secure coalition-resistant group signature scheme[C]// Advances in Cryptology-CRYPTO LNCS vol 1880. Heidelberg: Sprin-ger-Verlag 2000: 255-270.

[3]BONEH D BOYEN X SHACHAM H. Short group signatures[C]// Proc of CRYPTO2004 LNCS vol 3152. Berlin: Springer-Verlag 2004:41-55.

[4]BELLARE M MICCIANCIO D WARINSCHI B. Foundations of group signatures: formal definitions simplified requirements and aconstruction based on general assumptions [C]//Proc of EUROCRYPT LNCS vol 2656. Berlin: Springer-Verlag 2003: 614-629.

[5]BELLARE M SHI H ZANG C. Foundations of group signatures :the case of dynamic groups[C]//Proc of Cryptographers’ Track at the RSA Conference 2005. Berlin: Springer-Verlag 2005:136-153.

[6]BOYEN XWATERS B. Compact group signatures without random oracles[C]//Proc of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques. Berlin: Springer-Verlag 2006: 427-444.

[7]BOYEN XWATERS B. Full-domain subgroup hiding and constant-size group signatures[C]//Proc ofthe 10th International Conference on Practice and Theory in Public-Key Cryptography. Berlin: Springer-Verlag，2007: 1-15.

[8]TIAN Hai-bo，SUN Xi WANG Yu-min. A new public-key encryption scheme[J]. Journal of Computer Science and Technology 200722 (1):95-102.

[9]張躍宇，陳杰，蘇萬力，等. 一種IND-CCA2完全匿名的短群簽名[J].計算機學報，2007 30(10):1865-1871.