一種嵌入證書的移動投票方法研究

李云鶴 晏振鳴

1 廣東茂名學院計算機系 廣東 525000

2 中國聯通武漢分公司移動網絡運維部 湖北 437000

0 前言

本文提出的電子投票系統，投票前使用無線證書識別選民而不必另外登記，用戶可使用移動終端例如手機或 PDA投票。同時，也提出了保證選民匿名和表決內容機密的方法。與使用基于互聯網的電子投票系統相比，嵌入證書的移動投票系統可以更簡單方便地表決。在選舉期間不管處于何地，即使選民不能訪問互聯網也可投票。本文著重說明嵌入證書的移動投票模型和使用移動終端的投票過程。

1 現有的電子投票方法

以現有的投票方法，如果要在某種競選例如總統選舉、議會選舉或地方選舉中選擇一名候選人的話，全體選民得去指定的投票站經身份驗證，最后才能投票。當然，選民還須事先在選民書上登記。如此一來，投票和計票會消耗掉大量的時間和金錢。

同時，使用觸摸屏或互聯網的在線電子投票方法中，最重要的安全性問題是保證選民匿名和表決內容的機密。

使用觸摸屏的電子投票方法允許選民選擇顯示在屏幕上的候選人或選項，這有好處，因為選民不用管被分配到哪個投票所。在2004年11月份舉行的美國總統選舉中，超過5000萬的選民使用了電子投票機來進行投票。電子投票機并不完美，仍有改進的空間，但和其他的投票方式比起來，它出錯的概率小，是比較先進的投票方式，也是投票方式發展的方向。但是在這種情況下，仍然要求選民去投票站投票。

作為另一種電子投票方法，選民如果使用互聯網并且允許通過互聯網表決的話，就不必去投票站。但卻只能用可以接入互聯網的終端，并且選民只能在可以訪問互聯網的有限的地區投票。特別是，像個人ID這樣的私有數據在訪問互聯網期間也許會泄露。這意味著匿名電子投票在互聯網上不能取得令人滿意的效果。若對候選人的選擇或投票內容沒有加密的話，投票的機密也無法保證。并且許多人擔心電子選票會有后遺癥，比如故障、電子舞弊、或留下使用記錄等等。

2 使用嵌入證書的移動終端投票系統

圖1給出了使用嵌入證書的移動通信電子投票系統。電子投票系統包括移動終端、移動通信服務器和電子投票設備。移動終端中有用來驗證選民身份的無線證書。移動通信網絡中的移動通信服務器把移動終端與用于電子投票服務的電子投票設備連接起來。它的作用是把電子投票過程中使用的數據傳遞給移動終端和電子投票設備這兩個實體。除了刪除與投票關聯的移動終端 ID外，不允許修改任何數據。電子投票設備可以由相關組織管理，例如選舉事務所或者選舉管理委員會等，所以可以保證是一個安全系統。電子投票設備包含6個內部功能單元。

圖1 使用移動終端的電子投票系統

VIVU(選民身份核實單元)：根據通過移動通信網絡接收到的從移動終端發來的無線證書驗證選民是否可以投票。

DVPU(雙重投票預防單元)：如果一個選民完成一次投票后，又嘗試使用電子投票器，DVPU會拒絕第二次嘗試驗證其身份。這種情況發生在：當選民已經在某一投票所投完選票或已經使用移動電話投過票后又企圖訪問電子投票服務時。

移動終端包括CRMU、VIRU和ENCU。選民實際上是利用手機和PDA作為終端。

CRMU(證書管理單元)：這個單元存儲著載有個人識別號碼的選民證書。當電子投票開始時，CRMU將證書傳送到電子投票設備，以證明選民有資格投票。

包括SRU和PIDU的移動通信服務器通過移動通信網絡把移動終端和電子投票設備連接起來。

SRU(發送和接收單位)：這個單元從電子投票設備那里接收密鑰和投票信息并傳送到移動終端。此外， SRU從移動終端接收加密后的投票內容并傳送到電子投票設備。

PIDU(個人 ID刪除單元)：其作用是在把加密的內容傳送給電子投票設備之前，刪除來自投票移動終端的個人 ID信息。

在使用移動終端的電子投票系統中，無線證書是用來在選民第一次訪問電子投票設備之后驗證選民身份的。因此，該證書應該由連接到電子投票設備的 ECU上的證書頒發機構或經授權的與電子投票設備無關的實體在事前發出。此外，在選民開始電子投票服務之前，它必須嵌入在選民自己的移動終端上。無線證書除了用于電子投票服務外，也可用于其他應用如移動商務或移動銀行。

核實選民身份之后，電子投票設備在一組密碼或它的公共密鑰中選擇一個密碼并傳送到選民的移動終端。選民接到密碼后選擇由電子投票設備提供的選項之一并把表決內容加密。這時，加密使用的是移動終端和電子投票設備共享的密碼或電子設備的公共密鑰。然后，選民發送加密的投票內容給電子投票設備。在這個過程中，選民移動終端屏幕上的投票信息根據居住地的不同可能是不同的，而居住地參照的是選民證書內的當前地址。

當移動通信服務器收到加密的投票內容和移動終端的ID時，總是會刪除該 ID，只把加密的投票內容傳送到電子投票設備。然后，電子投票設備使用上一步中產生的密碼就可以了解表決的內容。

3 使用移動終端的投票過程

使用嵌入證書的移動終端投票過程如下:

（1）無線證書是頒發給移動終端的，那就是說，選民投票之前得到證書。該證書存放在為電子投票服務的移動終端內。

（2）一旦一個移動終端連接到電子投票設備，電子投票服務就開始了。如果電子投票設備接受電子投票服務，它就會要求證書以核實選民身份。

（3）移動終端發出證書給電子投票設備。這樣，選民就可以證明他是一名合格的投票人。

（4）如果選民通過了身份驗證得到了投票權，電子投票設備就會檢查該選民是否重復訪問電子投票設備。

（5）電子投票設備根據加密方法選擇和傳輸密鑰，以保證選民的機密。當然，這項工作是在核實選民身份和檢查選民是否重復投票后進行的。

（6）發送加密密鑰后，電子投票設備不斷地傳遞含有一串投票選項和補充資料的表決信息。然后，選民根據這些表決信息來投票。

（7）移動終端將投票內容加密并傳送給電子投票設備。投票設備不會透露投票內容，直到投票時間結束。在這一刻，接收了加密投票內容和移動終端 ID號的移動通信服務器就會刪除ID。也就是說，電子投票設備只接收投票內容。

（8）當投票時間已經過去，電子投票設備會對存儲的加密投票內容進行解密并檢查被選中的選項進行計票。

在第(5)步中，電子投票設備的加密密鑰管理單元創建一個密碼和密碼的識別標志并把它們傳遞到移動終端。如果應用的是基于對稱密碼的密碼方案的話，此時發送的是密碼。另一方面，如果電子投票過程中采用了基于公共密鑰的方案，該單元將轉送電子投票設備的公共密鑰到移動終端。如果每位選民用的都是同一個密碼，那么選民和密碼之間的關系就暴露了。這使不愿透露姓名的選民不是很滿意。因此，為了避免這一點，加密密鑰可以基于時間段生成，然后相同的密鑰分配給在某一個時間段內來訪的選民。以及，通過檢查選民證書上的地址，同樣的加密密鑰可以分配給在同一地區的選民。識別加密密鑰用的就是同樣的加密密鑰識別標志。基于時間段或基于地區或基于時間段和地區的加密密鑰，可以通過創建幾個加密密鑰組而生成。當密碼和密碼識別標志被傳送時，是使用選民的公鑰加密過的，以避免泄露數據。對密碼以及加密內容的傳送見圖2 、圖3。

圖2 傳送加密和解密的密碼

圖 2說明了傳送用于加密及對投票內容進行解密的密碼。這些符號意義如下：

K：從電子投票設備傳送到移動終端的用于加密投票內容的密碼。

IND：用于表明密碼組的密碼識別標志。

PUBU，PRIU：公共密鑰和選民私人密碼。

U PUBU，PRIU：電子投票設備V的公共密鑰和私人密碼。

m：選民的投票內容。

EK(m),EPUBV(m)：使用K和PUBV加密的投票內容。

DK(m),DPRIV(m)：使用K和PRIv對加密的投票內容進行解密。

其加密和解密過程如下：

（1）電子投票設備使用包含在選民證書中的PUBU產生K和IND并對它們加密。然后，傳送給移動終端。

（2）選民收到加密信息后，使用自己的私人密碼對其進行解密，從而得到K和IND。

（3）移動終端使用K對m加密并把加密后的投票內容與IND一起傳送給電子投票設備。

（4）電子投票設備使用自己產生的K和IND對加密的投票內容進行解密。

圖3所示，傳送公共密鑰和加密的投票內容。

圖3 傳送公共密鑰和加密內容

其過程如下：

（1）電子投票設備產生它的公共密鑰并傳送給移動終端。

（2）移動終端用接收到的公共密鑰對投票內容加密并把加密后的內容傳送給電子投票設備。

（3）電子投票設備使用私人密碼對加密的投票內容進行解密。

在傳送完加密密碼后，電子投票設備發送投票證書或投票選項給選民。

在使用移動通信網絡進行電子投票的過程中，移動通信服務器接收選民的身份、加密的投票內容以及密碼識別符。但是它不會知道真正的投票內容，因為它沒有加密密鑰。 移動通信服務器總是先刪除選民的ID，然后只把加密的投票內容和密碼識別符發送給電子投票設備。因此，電子投票設備不知道選民和投票內容之間的關系。

4 總結

嵌入證書的移動投票模型和使用移動終端的投票過程,使選民可以使用移動電話投下選票，而無須事先注冊，也無須去投票站。對于上述兩個實體所采用的加密算法, 盡管有很多使用多協議和匿名通信的電子投票機制，但在效率和保密性方面還需做進一步的探討。選民用簡單、方便, 不受時間和地點限制而且保密和匿名的方式表決，是比較先進的投票方式，也是投票方式發展的方向。

[1] KR Patent.Electronic voting system using internet.Fig.2.Korea.2005.

[2] X.Y.Cerone and P.Y.Zhang.Secure Electronic Voting for Mobile Communications.Vehicular Technology Conference.2006.VTC 2006-Spring.IEEE 63rd.Vol.2.2006.