孫萌 王昀飚

摘?? 要：電子投票在為人們提供便利并得到廣泛應(yīng)用的同時，也存在著數(shù)據(jù)隱私泄露等安全性問題。文章提出了一種基于區(qū)塊鏈的可追蹤匿名電子投票方案，實現(xiàn)了匿名性、可追蹤性、公平性以及普遍可驗證性。方案通過使用K次匿名認(rèn)證協(xié)議，不僅保護了正常投票人的身份隱私，還能揭露多次投票的惡意投票人身份。采用基于時間釋放的加密方法，可以保證任何人都不會在投票結(jié)束前知道實時的投票情況。此外，利用區(qū)塊鏈技術(shù)可以保證選票時不被篡改，并且任何人都能在不依賴可信計票中心的情況下對選票進行驗證。最后，實驗結(jié)果和安全性分析表明了方案是安全可行的。

關(guān)鍵詞：電子投票;區(qū)塊鏈;匿名性;可追蹤性

中圖分類號：TP309????????? 文獻標(biāo)識碼：A

Traceable anonymous electronic voting scheme based on blockchain

Sun Meng， Wang Yunbiao

（Jinan University， GuangdongGuangzhou 510632）

Abstract： While electronic voting provides convenience for people and is widely used， there are also security problems such as data privacy disclosure. This paper proposed a traceable anonymous electronic voting scheme based on blockchain， which realizes anonymity， traceability， fairness and universal verifiability. By using k-times anonymous authentication protocol， the scheme not only protects the privacy of normal voter identity， but also reveals the identity of the malicious voter who has voted multiple times; Using a time-released encryption method， it can guarantee that no one will know the real-time voting situation before the end of the voting; In addition， the use of blockchain technology can ensure that the vote will not be tampered with， and anyone can verify the votes without relying on a trusted counting center. Finally， experimental results and security analysis show that the scheme is safe and feasible.

Key words： electronic voting; blockchain; anonymity; traceability

1 引言

傳統(tǒng)的紙質(zhì)投票由于計票成本和不易保存等問題發(fā)展受到限制，與傳統(tǒng)的投票相比，電子投票具有不受時間和空間的限制、投票和計票過程簡單、成本低的優(yōu)勢，但是同時投票過程中也存在隱私數(shù)據(jù)泄露和投票造假的問題。密碼學(xué)為電子投票提供了安全的解決辦法[1]，包括使用盲簽名[2]、同態(tài)加密[3]和混合網(wǎng)絡(luò)等技術(shù)[4]構(gòu)造電子投票方案。但是傳統(tǒng)的電子投票往往存在需要可信機構(gòu)的問題，如需要計票機構(gòu)統(tǒng)計投票并公布結(jié)果，需要認(rèn)證機構(gòu)保護投票人身份隱私。由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，選票內(nèi)容容易遭到破壞，投票安全不能得到保證。

區(qū)塊鏈作為比特幣[5]的底層技術(shù)，隨著比特幣的流行而受到廣泛關(guān)注，并逐漸在保證數(shù)據(jù)的安全和可信等方面發(fā)揮著重要作用。通過將區(qū)塊鏈技術(shù)應(yīng)用到電子投票中[6]，利用其具有不可篡改的功能，可以保護選票數(shù)據(jù)不被篡改與刪除。此外，區(qū)塊鏈作為一個公開透明的公共賬本，為電子投票提供了一個可信任的存儲平臺，使得任何人可以在不依賴可信機構(gòu)的情況下對投票進行驗證。目前，基于區(qū)塊鏈的電子投票方案雖然在一定程度上滿足了選票的完整性和可驗證性[7，8]，但是仍存在依賴區(qū)塊鏈平臺保護投票人身份隱私以及計票效率有待提高等問題。

本文通過結(jié)合K次匿名認(rèn)證協(xié)議和基于時間釋放的加密方法，充分利用了區(qū)塊鏈的不可篡改和公開透明等特點，提出了一種可追蹤的匿名電子投票方案。該方案滿足了電子投票的基本安全性需求，可以在不依賴可信計票中心的情況下對選票進行驗證，還能夠在保護正常投票人身份隱私的同時追蹤惡意投票人。

2 預(yù)備知識

2.1 K 次匿名認(rèn)證

Nguyen等人[9]基于雙線性映射 提出了一種K次匿名認(rèn)證協(xié)議（k-Times Anonymous Authentication），該協(xié)議可以在不泄露合法用戶身份隱私的同時，對惡意用戶進行追蹤。服務(wù)提供者為用戶提供有限次（k次）服務(wù)的匿名使用權(quán)，用戶在限制次數(shù)內(nèi)使用服務(wù)時，他的身份將不會泄露給包括認(rèn)證機構(gòu)在內(nèi)的任何人。但是只要用戶使用服務(wù)的次數(shù)超過限制時，他的身份將被追蹤并公布。K次匿名認(rèn)證協(xié)議可以用在電子現(xiàn)金和電子投票等場景，以保證合法用戶的匿名并追蹤惡意用戶。該協(xié)議主要包含七種算法。

（1）群管理員初始化算法：群管理員輸入安全參數(shù)，輸出群管理員公私鑰對，生成一個用戶身份信息表。

（2）服務(wù)提供者初始化算法：服務(wù)提供者輸入身份、訪問限制次數(shù)，輸出公共信息，包括用戶認(rèn)證記錄和個訪問標(biāo)簽。

（3）注冊算法：輸入用戶身份和群管理員公私鑰對，輸出用戶公私鑰對，并記錄到身份信息表中。

（4）創(chuàng)建標(biāo)識算法：輸入服務(wù)提供者公共信息、隨機數(shù)、用戶私鑰以及群管理員公鑰，輸出標(biāo)識。

（5）創(chuàng)建零知識證明算法：用戶輸入群管理員公鑰、服務(wù)提供者公共信息、隨機數(shù) 以及用戶公私鑰對，輸出零知識證明。

（6）認(rèn)證算法：服務(wù)提供者輸入公共信息、零知識證明、標(biāo)識以及隨機數(shù)，輸出認(rèn)證通過或認(rèn)證失敗，并記錄到用戶認(rèn)證記錄中。

（7）追蹤算法：輸入服務(wù)提供者身份、公共信息以及身份信息表，輸出沒有惡意用戶、惡意用戶身份以及群管理員有不誠實行為 三種情況之一。

2.2 基于時間釋放的加密方法

Cathalo等人[11]改進了Blake的方案[12]，構(gòu)造了一種基于時間釋放的加密方法（Time-Release Encryption，TRE），該方法使得加密消息只有在規(guī)定時間T才能被解密，時間T之前不能被解密。消息發(fā)送者加密消息并發(fā)送，到達規(guī)定時間T時，消息接收者才能獲得時間服務(wù)器發(fā)送的特定時間陷門，并且使用密鑰解密密文恢復(fù)消息。在規(guī)定時間T之前，接收者不能從時間服務(wù)器獲得時間陷門，因而不能解密。該方法可以用在電子拍賣和電子彩票等現(xiàn)實場景，以保護敏感數(shù)據(jù)的隱私。時間釋放加密由五個算法組成。

（1）初始化算法：時間服務(wù)器輸入安全參數(shù)，輸出時間服務(wù)器公私鑰對 和公共參數(shù)。

（2）用戶密鑰生成算法：用戶輸入公共參數(shù)，輸出用戶公私鑰對。

（3）時間陷門釋放算法：時間服務(wù)器輸入私鑰和規(guī)定的時間T，輸出對應(yīng)的時間陷門。

（4）加密算法：消息發(fā)送者輸入公共參數(shù)、消息接收者公鑰以及只能在規(guī)定時間T解密的消息m，輸出密文。

（5）解密算法：消息接收者輸入密文、公共參數(shù)、消息接收者私鑰以及特定時間陷門，輸出消息明文m。

3 可追蹤的匿名電子投票方案

3.1 系統(tǒng)模型

系統(tǒng)模型如圖1所示，包括四個實體：管理員、發(fā)起人、投票人和時間服務(wù)器。管理員負(fù)責(zé)認(rèn)證投票人身份，并且管理一個記錄合法投票人身份的身份信息表。發(fā)起人負(fù)責(zé)將投票活動相關(guān)信息寫入智能合約并部署到區(qū)塊鏈上公開，發(fā)起投票活動。投票人從智能合約中獲得投票活動相關(guān)信息，生成選票密文和選票標(biāo)識合法性、投票人身份合法性的零知識證明，使用一次性以太坊賬戶向智能合約發(fā)送交易完成投票。時間服務(wù)器負(fù)責(zé)生成用于解密選票的時間陷門，并在特定時間進行廣播。

投票人在管理員處認(rèn)證，發(fā)起人發(fā)布投票活動到區(qū)塊鏈上，投票人根據(jù)智能合約中的投票活動相關(guān)信息進行投票。到達活動截止時間時，任何想要知道投票結(jié)果的實體，根據(jù)智能合約中的投票記錄進行合法性驗證，并在解密時間接收時間服務(wù)器廣播的時間陷門解密選票以及統(tǒng)計投票結(jié)果。

3.2 方案介紹

方案由初始化、投票人注冊、發(fā)起投票、投票、統(tǒng)計投票和追蹤惡意用戶六個階段組成。

3.2.1 初始化階段

管理員、發(fā)起人和時間服務(wù)器分別進行初始化操作，生成各自的公私鑰對。產(chǎn)生一個雙線性映射，其中和是p循環(huán)群， g是G的生成元。哈希函數(shù)，，，明文空間和密文空間，其中。

（1）管理員選擇，計算，輸出公私鑰對，其中公鑰，私鑰。同時創(chuàng)建一個投票人身份信息表，本階段將其初始化為空表。

（2）發(fā)起人選擇，計算，生成公私鑰對，其中公鑰，私鑰。

（3）時間服務(wù)器選擇隨機數(shù)，計算，輸出公私鑰對。

3.2.2 投票人注冊階段

投票人向管理員注冊后獲得自身公私鑰對，成為合法投票人參與投票。在開始注冊前，管理員首先設(shè)置投票人注冊截止時間。

（1）投票人選擇隨機數(shù)，計算發(fā)送給管理員。

（2）管理員選擇隨機數(shù)發(fā)送給投票人。

（3）投票人計算，和，并將身份信息加入身份信息表，其中i是投票人身份。然后將，和零知識證明發(fā)送給管理員。

（4）管理員首先確認(rèn)在身份信息表中，且投票人身份信息i滿足注冊要求;檢查和等式的正確性;驗證的正確性;所有條件驗證通過后，管理員選擇隨機數(shù)，計算，將發(fā)送給投票人。

（5）投票人檢查等式是否成立，成立則接受公私鑰對，其中公鑰，私鑰。至此，投票人獲得合法投票資格。

（6）到達投票人注冊截止時間時，注冊結(jié)束，管理員將注冊成功的投票人身份信息表寫入智能合約并在區(qū)塊鏈上公開。

其中，用來證明投票人提供的x滿足，零知識證明過程為：投票人計算發(fā)送給管理員，其中，，;管理員計算，驗證等式是否成立，成立則驗證通過。

3.2.3 發(fā)起投票階段

發(fā)起人將投票活動的相關(guān)信息寫入智能合約并部署到區(qū)塊鏈上公開，發(fā)起投票。投票活動相關(guān)信息包括：投票問題與候選項、時間服務(wù)器公鑰、投票記錄表、發(fā)起人公私鑰對、投票截止時間、統(tǒng)計投票時間和標(biāo)簽。

其中，投票記錄表由發(fā)起人管理，記錄并公開投票人的投票記錄。發(fā)起人私鑰在此階段初始化為空值，統(tǒng)計投票階段再賦值。另外，標(biāo)簽由發(fā)起人計算，，是發(fā)起人的身份，數(shù)字1是允許投票人投票的次數(shù)，本方案中投票人只能進行一次合法的投票。

3.2.4 投票階段

投票人從發(fā)起人編寫的智能合約中獲得投票問題與候選項等信息，利用其中的標(biāo)簽生成選票標(biāo)識，將選票標(biāo)識合法性、投票人身份合法性的零知識證明同選票密文一起，以交易的形式發(fā)送給智能合約進行投票。

（1）發(fā)起人選擇隨機數(shù)，發(fā)送給投票人。

（2）投票人查找到智能合約中的標(biāo)簽，計算選票標(biāo)識，并生成零知識證明。

（3）投票人讀取智能合約中的發(fā)起人公鑰，想要投票的選項m和統(tǒng)計投票時間。選擇隨機數(shù)，設(shè)置選票的解密時間為，計算選票密文將選票密文和零知識證明等信息的集合以交易的形式發(fā)送到智能合約的投票記錄表中記錄。

（4）智能合約對于接收到的每一個選票，檢查投票記錄表中是否存在該選票包含的，如果不存在則接收該選票，存在則拒絕選票。

其中，用于證明選票標(biāo)識合法性和投票人身份合法性，即證明投票人注冊成功具有投票資格，并且選票標(biāo)識計算過程正確。，的證明使用與類似的離散對數(shù)零知識證明，等式的零知識證明過程為：

投票人選擇隨機數(shù)，計算選擇隨機數(shù)，計算，，，，，，

計算;計算，，，，;最后輸出;

驗證者驗證， 是否成立，成立則驗證通過。

3.2.5 統(tǒng)計投票階段

投票結(jié)束后，發(fā)起人對投票記錄表中的選票進行篩選與標(biāo)記，統(tǒng)計投票結(jié)果。到達投票截止時間時，發(fā)起人向智能合約發(fā)送消息通知，并在智能合約中公布發(fā)起人私鑰，智能合約停止接收投票人發(fā)送的選票，沒有投票的用戶視為棄權(quán)。

（1）發(fā)起人驗證智能合約接收到的所有選票的合法性。對每個選票的，首先驗證的正確性，驗證通過再計算，然后計算選票的解密時間，驗證T是否與統(tǒng)計投票時間相同。驗證不通過則為非法選票，發(fā)起人在投票記錄表中標(biāo)記該選票為“非法選票”。接下來檢查任意兩個通過驗證的選票的和是否出現(xiàn)的情況，出現(xiàn)則說明有投票人重復(fù)投票，發(fā)起人將投票記錄表中對應(yīng)的選票標(biāo)記為“重復(fù)選票”，然后標(biāo)記所有剩余選票為“合法選票”。

（2）發(fā)起人統(tǒng)計合法選票的投票結(jié)果。首先，匯總投票記錄表中所有具有“合法選票”標(biāo)記的選票，到達時，接收時間服務(wù)器廣播的時間陷門。然后，計算，進而得到選票，最后統(tǒng)計投票結(jié)果。

任何對投票結(jié)果有異議的實體都可以驗證選票合法性以及統(tǒng)計投票結(jié)果，但只有發(fā)起人才能標(biāo)記選票。

3.2.6 追蹤惡意用戶階段

任何實體都可以對投票記錄表中的重復(fù)選票進行追蹤，揭露重復(fù)投票的惡意用戶身份。對于出現(xiàn)情況的兩張選票，計算，然后在身份信息表中查找惡意投票人的身份 。

4 安全性分析

本節(jié)對本文提出的電子投票方案的安全性進行分析。

（1）匿名性。投票人使用一次性以太坊賬戶投票，且選票內(nèi)容只含有證明投票人合法身份的零知識證明，不包含投票人身份。由零知識證明的性質(zhì)可知，證明過程不會泄露投票人身份。另外，使用K次匿名認(rèn)證協(xié)議，保證方案的匿名性。

（2）可追蹤性。投票人進行重復(fù)投票時，發(fā)起人會標(biāo)記這些重復(fù)的選票為“重復(fù)選票”。任何人都可以對這些選票進行計算，然后在身份信息表中查找惡意投票人的身份，如果找不到則說明管理員有不誠實的行為。

（3）普遍可驗證性。智能合約中的投票記錄是公開透明的，任何人都可以查看選票并通過零知識證明驗證選票標(biāo)識計算的正確性和投票人身份的合法性。另外，任何人都能利用時間陷門解密選票，并對投票結(jié)果進行統(tǒng)計驗證。

（4）公平性。使用時間釋放加密方法，在到達統(tǒng)計投票時間之前，任何實體都無法獲得時間陷門以解密選票內(nèi)容。此外，比較選票解密時間與統(tǒng)計投票時間是否相同，不同則將選票視為非法選票，不計入投票結(jié)果，滿足了公平性。

（5）完整性。由于區(qū)塊鏈具有不可篡改的特性，在所有選票發(fā)送到智能合約后，任何人都不能修改和刪除，保證了方案的完整性。

5 實驗與分析

本文根據(jù)所提出的電子投票方案，實現(xiàn)了一個基于Ethereum區(qū)塊鏈平臺的電子投票系統(tǒng)，并在以太坊本地網(wǎng)絡(luò)中對系統(tǒng)進行測試。為了驗證投票方案的正確性與可用性，對核心算法運行所需要的平均時間進行統(tǒng)計，如表1所示。

智能合約中相關(guān)方法的Gas消耗如表2所示，其中投票人數(shù)為n，選票數(shù)為m。實驗證明，測試過程中的所有步驟都沒有超過以太坊單筆交易的最大Gas限制，可以正常部署運行在以太坊主鏈上。

為了驗證方案的實用性，對不同規(guī)模、不同候選項的投票場景下計票所需時間進行統(tǒng)計，如圖2所示。實驗證明了統(tǒng)計選票的時間與投票規(guī)?；境示€性相關(guān)。在較小的規(guī)模投票中，候選項數(shù)目對統(tǒng)計選票時間無較大影響，基本滿足現(xiàn)實中投票場景的需求。

6 結(jié)束語

根據(jù)電子投票的發(fā)展現(xiàn)狀，本文基于區(qū)塊鏈技術(shù)，結(jié)合K次匿名認(rèn)證和時間釋放加密方法，提出了一種可追蹤匿名電子投票方案。不僅保證了電子投票的基本安全性需求，還實現(xiàn)了普遍可驗證性和可追蹤性。通過分析實驗中核心算法的時間開銷與Gas消耗證明了方案的正確性;通過分析不同規(guī)模選票的統(tǒng)計時間開銷證明了方案的實用性。方案可以應(yīng)用到真實投票場景中，很好地保護了用戶的隱私，保證了電子投票的安全性。

參考文獻

[1]?Schneier B. Applied Cryptography： protocols， algorithms， and source code in C[M]. 北京： 機械工業(yè)出版社， 2000.

[2]?Ibrahim S， Kamat M， Salleh M， et al. Secure E-voting with blind signature[C]//4th National Conference of Telecommunication Technology， 2003. NCTT 2003 Proceedings. IEEE， 2003： 193-197.

[3]?Peng K， Bao F. Efficient multiplicative homomorphic e-voting[C]//International Conference on Information Security. Springer， Berlin， Heidelberg， 2010： 381-393.

[4]?Furukawa J， Mori K， Sako K. An implementation of a mix-net based network voting scheme and its use in a private organization[M]//Towards trustworthy elections. Springer， Berlin， Heidelberg， 2010： 141-154.

[5]?Nakamoto S. Bitcoin： A peer-to-peer electronic cash system[J]. 2008.

[6]?Hjalmarsson F P， Hreioarsson G K， Hamdaqa M， et al. Blockchain-Based E-Voting System[C]. 2018 IEEE 11th International Conference on Cloud Computing （CLOUD）. IEEE， 2018： 983-986.

[7]?Aradhya P. The Online Voting Platform of The Future [EB/OL]. https：//followmyvote.com.

[8]?Wire B. Now you can vote online with a selfie [EB/OL]. http：//www.businesswire.com/news/home/20161017005354/en/Vote-Online-Selfie.

[9]?Nguyen L， Safavi-Naini R. Dynamic k-times anonymous authentication[C]. International Conference on Applied Cryptography and Network Security. Springer， Berlin， Heidelberg， 2005： 318-333.

[10]?Boneh D， Franklin M. Identity-based encryption from the Weil pairing[J]. SIAM journal on computing， 2003， 32（3）： 586-615.

[11]?Cathalo J， Libert B， Quisquater J J. Efficient and non-interactive timed-release encryption[C]. International Conference on Information and Communications Security. Springer， Berlin， Heidelberg， 2005： 291-303.

[12]?Blake I F， Chan A C F. Scalable， Server-Passive， User-Anonymous Timed Release Public Key Encryption from Bilinear Pairing[J]. IACR Cryptology ePrint Archive， 2004， 2004： 211.

作者簡介：

孫萌（1996-），女，漢族，山東煙臺人，暨南大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：信息安全。

王昀飚（1994-），男，漢族，廣東深圳人，暨南大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：信息安全。