摘  要： 多重群签名是既具有群签名的性质，又具有多重数字签名性质的特殊的群签名。在基于中国剩余定理的群签名的基础上进行改进，引入椭圆曲线的Schnorr型广播多重数字签名，将动态群签名方案与多重数字签名理论巧妙地结合起来，提出了一个基于椭圆曲线的Schnorr型高效的广播多重群签名方案。方案中群成员可以高效动态增删，签名时加入时间戳，防止消息重放，并且综合椭圆曲线和Schnorr数字签名的密钥短、速度快的优势，实现了方案的安全高效，适用于智能终端系统中，实用性更强。
关键词： 群签名；多重签名；多重群签名；Schnorr；椭圆曲线；中国剩余定理

　群签名首先由Chaum和Van Heyst提出[1]，随后人们对其进行了大量的研究。随着电子商务和电子政务大范围的应用与普及，许多应用环境对群签名提出了多种特殊的要求，而传统的群签名方案难以提供较好的解决办法，因此各种基于群签名的特殊群签名方案被相继提出，成为了群签名研究中一个值得关注的方向。多重群签名是用于解决几个群体同时对一个消息进行签名的特定应用环境，目前对此方面的研究还处于起步阶段。2007年，谭逊等人首次提出了一种新群签名技术——多重群签名[2]，该方案简单，但签名长度与签名群体呈线性关系，导致效率偏低，实用性不强。2009年，黄华提出了一种基于离散对数的无序多重群签名方案[3]及一种基于离散对数的有序多重群签名方案[4]，该方案加入身份识别和时间限制，通信量大，效率不高。2011年，鲁飞等人[5]在基于中国剩余定理的群签名方案的基础上进行改进，综合应用RSA和Schnorr签名算法，并满足了非关联性，方案具有动态增删群签名、密钥短、运算速度快及安全性高的特点。本文在此基础上进行改进，并结合多重数字签名[6]理论构建高效的多重群签名方案。

　由上述推论过程可得，Uv收到签名（si，ri，R，ti）后验证vi=rimodn是否成立，才能确定所有签名是否有效。
3 安全性和性能分析
3.1 满足群签名的安全性
　（1）匿名性：一个群成员签名之后，只有群管理员能确定签名人的身份。
　（2）防伪造性：各签名者把其公钥和群管理员身份信息即（yk，IDGAk）已在SMC注册，所以只有群成员才能产生有效的签名。
　（3）可追踪性：群管理员可以通过在SMC的注册信息，通过验证xk+1′=（IDGAyk+1）-d是否成立，可以确定签名人的身份。
　（4）抗联合攻击：签名者签名时，需要SMC的配合才能生成真正的签名，其他子集合无法产生有效的签名。
3.2 多重签名的安全性
　本文是基于椭圆曲线体制，方案的安全性是基于椭圆曲线的离散对数问题，保证了方案体制上的安全性。若攻击者以Uc的身份伪造所有的签名是困难的，所以防伪造性强。
3.3方案性能分析

　方案基于椭圆曲线，其密钥长度小、安全性能高，整个数字签名耗时小；其次，Schnorr数字签名比ElGamal、RSA密钥短，较现有的其他基于椭圆曲线的多重数字签名运算速度快。因此，本方案综合应用椭圆曲线和Schnorr密码体制密钥小、速度快等优点，降低了通信成本，更具有安全性和实用性。
　本文提出了一个新的基于椭圆曲线的Schnorr型高效广播多重群签名方案，方案基于椭圆曲线，安全性更高，且对存储空间和带宽要求小，具有广泛的应用前景，同时结合Schnorr数字签名的密钥短、速度快的优势，与现有的其他多重群签名方案比较，此方案更加灵活、安全、高效。
参考文献
[1] CHAUM D， VAN HEYST E． Group signatures[A]． In EUROCRYPT′91[C]. Berlin：Springer-Verlag，1991（547）：257-265.
[2] 谭逊，孙艳蕊．一种新群签名技术——多重群签名[J]．计算机安全，2007（6）：30-31.
[3] 黄华．一种基于离散对数的无序多重群签名方案[J]．信息与电脑（理论版），2009（7）：102-103.
[4] 黄华．一种基于离散对数的有序多重群签名方案[J]．计算机与现代化，2010（7）：58-59.
[5] 鲁飞，张亚平，马建军．一种基于中国剩余定理的群签名方案的密码学分析和改进[J]．计算机应用研究，2011，28（6）：2192-2195.
[6] LTAKURA K，NAKAMURA K. A public key cryptosystem suitable for digital multi-signature[J]. Nec Research and Development， 1983，71（10）：1-8.