計國民

(滁州職業(yè)技術(shù)學(xué)院，安徽滁州239000)

前言

隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，電子選舉方案的研究層出不窮，而且具有一定的成效，其很好地解決了投票過程的安全性、不可重復(fù)性、合法性等要求，對于選票碰撞、管理機(jī)構(gòu)權(quán)限過大、匿名性等問題也得到了很大的改進(jìn)［1］．其中文獻(xiàn)［2］將OT協(xié)議應(yīng)用于電子選舉中，解決了電子選舉對多選性的要求．文獻(xiàn)［3］基于強(qiáng)(t，n)密鑰絕緣的盲簽名算法和哈希函數(shù)設(shè)計了一種安全實用的大規(guī)模電子選舉協(xié)議，對于Internet的大范圍投票場合非常適合．文獻(xiàn)［4］在盲簽名的基礎(chǔ)上，提出了基于雙線性對的代理門限盲簽名方案，節(jié)省了用戶從系統(tǒng)中獲取公鑰的時間，減少了系統(tǒng)交互次數(shù)，提高了系統(tǒng)執(zhí)行效率．然而，合法的投票人因無法參與，如何解決代理人代理投票問題，仍有待進(jìn)一步研究．為此，本文將在文獻(xiàn)［5］的基礎(chǔ)上，利用雙線性對代理盲簽名方案來解決代理人代替合法的投票人進(jìn)行投票問題．

1 概念介紹

1．1 電子選舉

電子選舉起源于上個世紀(jì)80年代．早在1981年，Chaum．D就提出電子投票的思想．1985年，Cohen．J和Fischer．M在IEEE第26屆計算機(jī)科學(xué)技術(shù)年會上提出一個集中式的電子選舉方案，該方案的安全性基于數(shù)論中平方剩余問題的概率公鑰加密，采用盲簽名及混合網(wǎng)擾亂發(fā)送的消息來實現(xiàn)匿名投票，其假定組織選舉的政府機(jī)構(gòu)不舞弊，從而以很高的概率獲得健壯性和可驗證性．

電子選舉是以密碼學(xué)理論為基礎(chǔ)，通過計算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)來實現(xiàn)電子投票的一種選舉方案．在電子選舉系統(tǒng)中，最主要的是如何設(shè)計一種安全的電子選舉協(xié)議，以保證選舉的公平性、安全性．一個好的電子選舉協(xié)議通常應(yīng)具有合法性(Democratic)、完備性(Completeness)、保密性(Private)、可驗證性(Verifiable)、魯棒性(Robustness)、易用性(Accessible)、靈活性(flexibility)等相關(guān)特性．

電子選舉方案應(yīng)包括注冊、投票、統(tǒng)計、驗證以及公開等五個步驟．

1．2 代理盲簽名

代理盲簽名(Proxy Blind Signature)是代理簽名和盲簽名的有機(jī)結(jié)合，既具有代理簽名的特性，又具有盲簽名的特性，其有著廣泛的應(yīng)用領(lǐng)域，在電子選舉中通過代理盲簽名可以實現(xiàn)選舉的保密性和安全性［6］．一個安全的代理盲簽名方案要求只有指定的代理簽名人才能夠產(chǎn)生有效代理盲簽名，任何其他人都不能生成有效的盲代理簽名，并且其代理盲簽名可以被驗證者方便地驗證其有效性，也可以被任何人區(qū)分代理盲簽名與正常的原始簽名人的簽名．當(dāng)代理簽名人代替原始簽名人產(chǎn)生了有效的代理盲簽名后，無論是原始簽名人還是代理簽名人都不能否認(rèn)其行為．為此，代理盲簽名通常具有盲性、不可偽造性、不可否認(rèn)性、可鑒別性、可驗證性、防止濫用性等特性．

一個完整的代理盲簽名的構(gòu)造通常需要用到普通的數(shù)字簽名、代理簽名以及盲簽名三種技術(shù)，其包括密鑰生成算法、授權(quán)代理算法、代理盲簽名算法以及簽名驗證算法四個過程．目前，常用的代理盲簽名方案主要有基于離散對數(shù)的代理盲簽名方案、基于身份的代理盲簽名方案以及基于雙線性對的代理盲簽名方案等［7～9］．

1．3 雙線性對

雙線性對是一種加密算法，也就是代數(shù)曲線上的Weil對和Tate對，最初在密碼學(xué)中主要是用來攻擊橢圓曲線密碼系統(tǒng)和超橢圓曲線密碼系統(tǒng)［10］．

假設(shè)G1和G2分別是階為大素數(shù)q的循環(huán)加法群，GT是乘法群，設(shè)P、Q、g分別是G1、G2和GT的一個生成元，即P∈G1，Q∈G2，g∈GT．G1和G2中的離散對數(shù)的計算是困難問題．如果存在有效的映射:

e:G1×G2→GT，e(P，Q)=g

并且對于任意的P1，P2∈G1和Q1，Q2∈G2，其滿足以下雙線性性質(zhì):

e(P1+P2，Q)=e(P1，Q)e(P2，Q)

e(P，Q1+Q2)=e(P，Q1)e(P，Q2)

那么，映射e就被稱為從G1×G2到GT的一個雙線性對．

雙線性對通常還需要滿足以下兩個條件:

1)非退化性:存在P∈G1，Q∈G2，使得e(P，Q)≠1GT．

2)可計算性:任意取P∈G1，Q∈G2，存在有效算法計算e(P，Q)．

該雙線性對通常稱為非對稱的雙線性對．為了計算的方便，可限制G1=G2，從而可以寫成e:G1×G1→G0，該雙線性對稱為對稱式雙線性對．

2 雙線性對代理盲簽名在電子選舉中的應(yīng)用

電子選舉系統(tǒng)的選舉過程包括四個組成部分:選票的發(fā)放階段、選票的注冊階段、選票的收取階段以及選舉結(jié)果的公布階段［11，12］．通常需要代理選舉的電子選舉系統(tǒng)包括五個對象:原始選民、代理選民、選票發(fā)放中心、注冊中心以及計票中心，如圖1所示．

圖1 代理電子選舉系統(tǒng)的選舉過程

為了研究方便，本方案在是文獻(xiàn)［5］的基礎(chǔ)上進(jìn)行改進(jìn)，為此，本文僅討論代理選舉的相關(guān)內(nèi)容，涉及到電子選舉的其他過程不作討論．

假設(shè)原始選民Alice有一選票M需要參與投票，而其選票內(nèi)容具有一定的保密性，Alice由于種種原因不能對該選票進(jìn)行簽名并投票，Alice委托代理選民Bob為該選票簽名并投票．為此，采用了基于雙線性對的代理盲簽名方案．

2．1 系統(tǒng)初始化

設(shè)G0是一個階為大素數(shù)q的GDH群，G2是一個階為大素數(shù)q的循環(huán)乘法群．雙線性對映射e:G0×G0→G2．

P是G0的一個生成元，散列函數(shù)h1:{0，1}*→Zq，h2:{0，1}*→G0，系統(tǒng)公開參數(shù)為(G0，G2，e，q，P，h1，h2)．

2．2 密鑰生成

原始選民Alice任意選取隨機(jī)數(shù)kA∈Z*q作為自己的私鑰并保存好，然后計算PA=kAP，將PA作為其公鑰并在系統(tǒng)內(nèi)部公開．同樣，代理選民Bob任意選取隨機(jī)數(shù)kB∈作為其私鑰并保存好，然后計算PB=kBP，將PB作為其公鑰并在系統(tǒng)內(nèi)部公開．

2．3 選舉過程

1)選票獲取過程

合法的原始選民以匿名身份向選票發(fā)放中心申請選票，選票發(fā)放人分發(fā)給原始選民相應(yīng)的選票M，在該選票中附唯一序列碼，并對其簽名，以確保該選票的唯一性和可識別性．同時也將該選票發(fā)送至注冊中心．

2)選票填寫過程

原始選民Alice收到選票發(fā)放中心的選票M后，對其進(jìn)行填寫，形成具有內(nèi)容的選票MA，并將其保存好．

3)選票委托過程

(1)原始選民Alice在填寫好自己的選票后，先根據(jù)自己的私鑰kA和哈希函數(shù)，計算σ'=kAh2(ω)，其中ω為原始選民Alice的授權(quán)書，然后將(σ'，ω)發(fā)送給代理選民Bob．

(2)代理選民Bob收到原始選民Alice發(fā)送來的(σ'，ω)后，驗證等式e(σ'，P)=e(h2(ω)，PA)是否成立，如果成立，則計算出代理簽名的密鑰σ=σ'+kBh2(ω)，其中kB是代理選民Bob的私鑰;否則，拒絕接受其委托．這樣，代理簽名密鑰σ的公鑰即為PA+PB．

(3)代理選民Bob計算并確認(rèn)代理簽名的密鑰后，任意選取隨機(jī)數(shù)t∈，計算U'=th2(ω)，然后將(U'，ω)發(fā)送給原始選民Alice．

(4)原始選民Alice收到代理選民Bob發(fā)送來的(U'，ω)后，任意選取隨機(jī)數(shù)α∈Z*q作為盲化因子，計算:U=α(U＇+(ω))，M'A=α－1h1(MA‖U)+h2(ω)．然后將盲化的消息M'A發(fā)送給代理選民人Bob．

(5)代理選民Bob收到原始選民Alice盲化的消息M'A后，計算V＇=(t+MA＇)σ，并將V'發(fā)送給原始選民Alice．

(6)原始選民Alice收到代理選民Bob的V'后，去盲處理，計算V=αV'，這樣就形成了選票MA的簽名(MA，ω，U，V)．

(7)代理選民Bob將此帶有簽名的選票發(fā)送到注冊中心，完成代理投票過程．

4)選票的收取過程

計票中心收取來自選民的選票MA，對其驗證并簽名，然后將其記入計票中心的選票信息表中．

5)選舉結(jié)果的公布

當(dāng)所有選票記入選票信息表并公布后，接受公眾的監(jiān)督和查詢，如有問題，可直接向計票中心提出質(zhì)詢．當(dāng)所有的選民無異議后，計票中心統(tǒng)計選票，并向公眾公布選舉的結(jié)果．

3 方案的安全性及性能分析

3．1 安全性分析

1)不可偽造性

代理選民Bob無法偽造原始選民Alice的選票進(jìn)行投票，因為，要使原始選民Alice接受其簽名，當(dāng)且僅當(dāng)?shù)仁絜(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)成立方可．

證明e(V，P)=e(αV'，P)=e(α(t+M'A)σ，P)

=e(σ，P)α(t+M'A)=e(h2(ω)，PA+PB)α(t+M'A)

=e(α(t+M'A)h2(ω)，PA+PB)

=e(α(t+α－1h1(MA‖U)+h2(ω))h2(ω)，PA+PB)

= e(αth2(ω) + h2(ω)h1(MA‖U) +αh2(ω)h2(ω)，PA+PB)

=e(α(th2(ω)+(ω))+h2(ω)h1(MA‖U)，PA+PB)

=e(U+h1(MA‖U)h2(ω)，PA+PB)

在選票MA簽名(M，ω，U，V)中有原始選民Alice授權(quán)書ω，攻擊者無法偽造原始選民授權(quán)書ω'來簽名．攻擊者沒有代理選民Bob的代理密鑰σ，他也無法冒充代理選民對選票MA偽造簽名．如果攻擊者(包括原始選民)在沒有代理密鑰σ下，他與原始選民Alice聯(lián)合也不能產(chǎn)生代理選民對選票MA的有效簽名，因為選票MA的簽名(MA，ω，U，V)需要通過等式e(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)的驗證，而在等式中e是一個安全的雙線性對，要隨機(jī)找到一組簽名滿足上式在計算上是不可行的，所以滿足不可偽造性．

2)合法性

只有合法的選民才能獲得附有唯一序列碼的選票，從而解決了“一人多投”問題．在選票的委托過程中，注冊中心將對選票的合法性和唯一性進(jìn)行再次驗證．另外，原始選民Alice的授權(quán)書ω中還包括其授權(quán)的范圍、期限和委托人的ID等相關(guān)信息．

3)可驗證性

在委托投票過程中，原始選民Alice在確認(rèn)代理選民Bob簽名是否有效時，要求其驗證等式e(V，P)=e(U+h1(MA‖U)h2(ω)，PA+PB)是否成立，其中MA，ω，U，V由原始選民公開，而P2、h1和h在系統(tǒng)初始化時就公開，PA和PB在密鑰生成時公開，這樣所有的參數(shù)都已公開，選舉過程中的所有參與者都可以對該等式進(jìn)行計算驗證．

在計票中心，所有的選票信息表都將公開，通過查看選票的信息表，原始選民不需要任何條件就可以查看并驗證自己的選票是否正確．

4)盲性

原始選民Alice收到代理選民Bob的(U'，ω)后，利用盲化因子α對選票MA進(jìn)行盲化，生成盲化選票M'A，代理選民僅對盲化的選票M'A進(jìn)行簽名，無法看到原始選票MA，因此盲化選票M'A對代理選民來說具有盲性．

5)保密性

原始選民Alice在申請選票時是以匿名身份登錄的，不會暴露其真實身份，也就是說選民身份具有保密性．另外，在委托投票過程中，選票是盲化的，即M'A，任何人無法看到其選票中的內(nèi)容，從而保證了選票內(nèi)容的保密性．

6)不可抵賴性

在選票MA的簽名(MA，ω，U，V)中有原始選民Alice的授權(quán)書ω，而且原始選民Alice的公鑰PA在簽名的驗證過程要用到，同時代理選民Bob的公鑰PB也要在簽名的驗證過程中出現(xiàn)．這樣，無論是原始選民還是代理選民都無法否認(rèn)該選票．

7)不可鏈接性

原始選民Alice在脫盲后形成簽名(MA，ω，U，V)，群G1上離散對數(shù)問題是難解的，所以代理選民Bob或其他選民無法通過V=αV'來計算出盲因子α．因此，即使代理選民Bob或其他選民保存了V'和M'A，當(dāng)(MA，ω，U，V)公布后，代理選民Bob或其他選民也無法確定(MA，ω，U，V)是原始選民Alice的哪一次簽名．所以，該方案具有不可鏈接性．

3．2 方案的效能分析

本電子選舉方案是基于方案［5］的基礎(chǔ)上進(jìn)行改進(jìn)的，在計算量和通信量方面，都有很大的改進(jìn)．在相同的安全性要求下，本方案與文獻(xiàn)［5］在通信量上的比較如表1所示(單位為字節(jié))．在計算量的對比上，本方案與文獻(xiàn)［5］的比較如表2所示，其中ME表示指數(shù)和多指數(shù)運算，BM表示雙線性對運算．

表1 通信量對比表

表2 計算量對比表

從以上可以看來，本方案在功能上較文獻(xiàn)［5］有一定的改進(jìn)，而在通信量和計算量上卻有一定的優(yōu)勢．在實際應(yīng)用中，具有相同安全性的情況下，功能的實用性和算法的易實現(xiàn)性起到關(guān)鍵作用．

4 總結(jié)

本文是基于雙線性對代理盲簽名技術(shù)，提出一種代理選舉的電子選舉方案，經(jīng)過對該方案的安全性和性能進(jìn)行分析，可以看出，在相同的安全性基礎(chǔ)上，該方案無論是在通信量還是在計算量上，都具有一定的優(yōu)勢，實用性較強(qiáng)．

［1］Meng JiangTao．Cryptographic protocols for electronic voting［J］．Journal of the Graduate School of the Chinese Academy of Sciences．2002，19(3):295－305．

［2］郭棟梁，秦靜，李鵬程．一個基于OT協(xié)議的電子選舉方案［J］．計算機(jī)應(yīng)用，2008，25(5):1335－1337．

［3］宋春來，殷新春，孟純煜．一種安全實用的大規(guī)模選舉協(xié)議［J］．計算機(jī)應(yīng)用與軟件，2008，25(8):40－41，47．

［4］戚艷軍，冀汶莉．一種門限代理盲簽名方案［J］．現(xiàn)代電子技術(shù)，2012，35(9):70－72．

［5］陳開兵．基于門限多重盲簽名的電子選舉方案［J］．科學(xué)技術(shù)與工程，2007，7(12):2856－2859．

［6］Zhang F，Kim K．Efficient ID－Based Blind Signature and Proxy Signature from Pairings．8th Australasian Conference on Information Security and Privacy，LNCS2727．Springer－Verlag［J］．2003:312－323．

［7］Zhang F，Safavi－Naini R，Lin C．New Proxy Signature．Proxy Blind Signature and Proxy Ring Singature Scheme from Bilinear Pairings．http://eprint．iacr．org/2003/104．

［8］Mambo M，Usuda K，Okamoto E．Proxy Signatures for Delegating Signing Operation［C］．New Dehi:ACM Press，Proceedings of the 3rd ACM Conference on Computer and Communications Security，1996:48－57．

［9］Zhang K．Threshold Proxy Signature Schemes［C］//1997 Information Security Workshop．Japan，1997:191－197．

［10］陳開兵．基于雙線性對的代理盲簽名方案［J］．信息安全與技術(shù)，2013(4):24－26．

［11］陳曉峰，王繼林，王育民．基于半信任模型的無收據(jù)的電子投票［J］．計算機(jī)學(xué)報，2003，26(5):557－562．

［12］汪保友，楊風(fēng)，胡運發(fā)．基于盲簽名的在線選舉方案［J］．小型微型計算機(jī)系統(tǒng)，2003，249(3):588－591．