群签名的概念由Chaum和Heyst在1991年提出。在群签名方案中，群的成员可以代表群进行签名，签名可用单一的群公开密钥验证。一旦消息被签名，除了指定的群管理者，没有人能够确定该签名是哪个特定的群成员签署的。群签名应该保证没有其他成员能够对于给定的消息伪造另一个成员的签名，它的有效性主要基于下列参数：群公钥的大小（位数），消息的群签名大小（位数），设置、加入、签名、验证、打开协议的有效性。

一个好的群签名方案一般被认为需具有以下特点。

（1）正确性：合法成员发出的签名，能通过验证。

（2）匿名性：给定一个群签名后，除了群管理员之外，确定签名人的身份在计算上是不可行的。

（3）不可伪造性：只有获得群成员证书和签名密钥的群成员才能够生成合法的群签名。

（4）不可关联性：在不打开群签名的情况下，确定两个不同的签名是否为同一个成员签署在计算上是不可行的。

（5）可跟踪性：群管理员在必要的时候可以打开一个签名，确认签名者的身份。

（6）抗合谋攻击性：即使一些群成员串通在一起也不能产生其他人的合法签名或者是一个不可跟踪的合法签名。

（7）防陷害攻击：包括群管理员在内的任何人都无法以其他成员身份产生合法的群签名。群签名包含五个过程。(www.daowen.com)

（1）设置（Setup）：生成群公开密钥Ψ和群管理者的私钥Σ的一个概率算法。

（2）加入（Join）：群管理者与新群成员Bob之间的交互协议，生成Bob的私钥x和他的成员证书A。

（3）签名（Sign）：群成员Bob与外部用户Alice之间的交互协议，输入Alice的消息m和Bob的私钥x，输出对m的签名s。

（4）验证（Verify）：输入为（m，s，Ψ）的一个算法，在群公钥Ψ下，确定s是否是m的有效签名。

（5）打开（Open）：输入为（m，s，Σ）的一个算法，确定把消息m签名为s的群成员身份。

群管理者计算通常的签名方案的密钥对（sigM，verM），计算概率公开密钥加密方案的密钥对（encrM，decrM），公布两个公开密钥作为群公开密钥。Alice以如下方式加入群：选择一个秘密的随机密钥x并计算成员密钥z=f（x），这里f是单向函数。Alice发送z给管理者，管理者返回一个成员证书v=sigM（z）。Alice的群秘密密钥是元组（x，z，v）。

为了代表群对消息m签名，Alice使用群管理者的加密密钥encrM对（m，z）加密，即d=encrM（r，（m，z）），这里r是充分大的随机串。Alice计算一个非交互最小泄露证明p证明她知道x′，v′和r′满足如下方程：

Alice对消息m的签名是（d，p），该签名可以通过检查证明p进行验证。如果要打开这个签名，群管理者解密密文d得到成员密钥z，从而揭示出Alice的身份。