基于區塊鏈的可追蹤匿名電子投票方案

孫萌　王昀飚

摘? ?要：電子投票在為人們提供便利并得到廣泛應用的同時，也存在著數據隱私泄露等安全性問題。文章提出了一種基于區塊鏈的可追蹤匿名電子投票方案，實現了匿名性、可追蹤性、公平性以及普遍可驗證性。方案通過使用K次匿名認證協議，不僅保護了正常投票人的身份隱私，還能揭露多次投票的惡意投票人身份。采用基于時間釋放的加密方法，可以保證任何人都不會在投票結束前知道實時的投票情況。此外，利用區塊鏈技術可以保證選票時不被篡改，并且任何人都能在不依賴可信計票中心的情況下對選票進行驗證。最后，實驗結果和安全性分析表明了方案是安全可行的。

關鍵詞：電子投票;區塊鏈;匿名性;可追蹤性

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Abstract： While electronic voting provides convenience for people and is widely used， there are also security problems such as data privacy disclosure. This paper proposed a traceable anonymous electronic voting scheme based on blockchain， which realizes anonymity， traceability， fairness and universal verifiability. By using k-times anonymous authentication protocol， the scheme not only protects the privacy of normal voter identity， but also reveals the identity of the malicious voter who has voted multiple times; Using a time-released encryption method， it can guarantee that no one will know the real-time voting situation before the end of the voting; In addition， the use of blockchain technology can ensure that the vote will not be tampered with， and anyone can verify the votes without relying on a trusted counting center. Finally， experimental results and security analysis show that the scheme is safe and feasible.

Key words： electronic voting; blockchain; anonymity; traceability

1 引言

傳統的紙質投票由于計票成本和不易保存等問題發展受到限制，與傳統的投票相比，電子投票具有不受時間和空間的限制、投票和計票過程簡單、成本低的優勢，但是同時投票過程中也存在隱私數據泄露和投票造假的問題。密碼學為電子投票提供了安全的解決辦法[1]，包括使用盲簽名[2]、同態加密[3]和混合網絡等技術[4]構造電子投票方案。但是傳統的電子投票往往存在需要可信機構的問題，如需要計票機構統計投票并公布結果，需要認證機構保護投票人身份隱私。由于網絡環境的復雜性，選票內容容易遭到破壞，投票安全不能得到保證。

區塊鏈作為比特幣[5]的底層技術，隨著比特幣的流行而受到廣泛關注，并逐漸在保證數據的安全和可信等方面發揮著重要作用。通過將區塊鏈技術應用到電子投票中[6]，利用其具有不可篡改的功能，可以保護選票數據不被篡改與刪除。此外，區塊鏈作為一個公開透明的公共賬本，為電子投票提供了一個可信任的存儲平臺，使得任何人可以在不依賴可信機構的情況下對投票進行驗證。目前，基于區塊鏈的電子投票方案雖然在一定程度上滿足了選票的完整性和可驗證性[7，8]，但是仍存在依賴區塊鏈平臺保護投票人身份隱私以及計票效率有待提高等問題。

本文通過結合K次匿名認證協議和基于時間釋放的加密方法，充分利用了區塊鏈的不可篡改和公開透明等特點，提出了一種可追蹤的匿名電子投票方案。該方案滿足了電子投票的基本安全性需求，可以在不依賴可信計票中心的情況下對選票進行驗證，還能夠在保護正常投票人身份隱私的同時追蹤惡意投票人。

2 預備知識

2.1 K 次匿名認證

Nguyen等人[9]基于雙線性映射 提出了一種K次匿名認證協議（k-Times Anonymous Authentication），該協議可以在不泄露合法用戶身份隱私的同時，對惡意用戶進行追蹤。服務提供者為用戶提供有限次（k次）服務的匿名使用權，用戶在限制次數內使用服務時，他的身份將不會泄露給包括認證機構在內的任何人。但是只要用戶使用服務的次數超過限制時，他的身份將被追蹤并公布。K次匿名認證協議可以用在電子現金和電子投票等場景，以保證合法用戶的匿名并追蹤惡意用戶。該協議主要包含七種算法。

（1）群管理員初始化算法：群管理員輸入安全參數，輸出群管理員公私鑰對，生成一個用戶身份信息表。

（2）服務提供者初始化算法：服務提供者輸入身份、訪問限制次數，輸出公共信息，包括用戶認證記錄和個訪問標簽。

（3）注冊算法：輸入用戶身份和群管理員公私鑰對，輸出用戶公私鑰對，并記錄到身份信息表中。

（4）創建標識算法：輸入服務提供者公共信息、隨機數、用戶私鑰以及群管理員公鑰，輸出標識。

（5）創建零知識證明算法：用戶輸入群管理員公鑰、服務提供者公共信息、隨機數 以及用戶公私鑰對，輸出零知識證明。

（6）認證算法：服務提供者輸入公共信息、零知識證明、標識以及隨機數，輸出認證通過或認證失敗，并記錄到用戶認證記錄中。

（7）追蹤算法：輸入服務提供者身份、公共信息以及身份信息表，輸出沒有惡意用戶、惡意用戶身份以及群管理員有不誠實行為 三種情況之一。

2.2 基于時間釋放的加密方法

Cathalo等人[11]改進了Blake的方案[12]，構造了一種基于時間釋放的加密方法（Time-Release Encryption，TRE），該方法使得加密消息只有在規定時間T才能被解密，時間T之前不能被解密。消息發送者加密消息并發送，到達規定時間T時，消息接收者才能獲得時間服務器發送的特定時間陷門，并且使用密鑰解密密文恢復消息。在規定時間T之前，接收者不能從時間服務器獲得時間陷門，因而不能解密。該方法可以用在電子拍賣和電子彩票等現實場景，以保護敏感數據的隱私。時間釋放加密由五個算法組成。

（1）初始化算法：時間服務器輸入安全參數，輸出時間服務器公私鑰對 和公共參數。

（2）用戶密鑰生成算法：用戶輸入公共參數，輸出用戶公私鑰對。

（3）時間陷門釋放算法：時間服務器輸入私鑰和規定的時間T，輸出對應的時間陷門。

（4）加密算法：消息發送者輸入公共參數、消息接收者公鑰以及只能在規定時間T解密的消息m，輸出密文。

（5）解密算法：消息接收者輸入密文、公共參數、消息接收者私鑰以及特定時間陷門，輸出消息明文m。

3 可追蹤的匿名電子投票方案

3.1 系統模型

系統模型如圖1所示，包括四個實體：管理員、發起人、投票人和時間服務器。管理員負責認證投票人身份，并且管理一個記錄合法投票人身份的身份信息表。發起人負責將投票活動相關信息寫入智能合約并部署到區塊鏈上公開，發起投票活動。投票人從智能合約中獲得投票活動相關信息，生成選票密文和選票標識合法性、投票人身份合法性的零知識證明，使用一次性以太坊賬戶向智能合約發送交易完成投票。時間服務器負責生成用于解密選票的時間陷門，并在特定時間進行廣播。

投票人在管理員處認證，發起人發布投票活動到區塊鏈上，投票人根據智能合約中的投票活動相關信息進行投票。到達活動截止時間時，任何想要知道投票結果的實體，根據智能合約中的投票記錄進行合法性驗證，并在解密時間接收時間服務器廣播的時間陷門解密選票以及統計投票結果。

3.2 方案介紹

方案由初始化、投票人注冊、發起投票、投票、統計投票和追蹤惡意用戶六個階段組成。

3.2.1 初始化階段

管理員、發起人和時間服務器分別進行初始化操作，生成各自的公私鑰對。產生一個雙線性映射，其中和是p循環群， g是G的生成元。哈希函數，，，明文空間和密文空間，其中。

（1）管理員選擇，計算，輸出公私鑰對，其中公鑰，私鑰。同時創建一個投票人身份信息表，本階段將其初始化為空表。

（2）發起人選擇，計算，生成公私鑰對，其中公鑰，私鑰。

（3）時間服務器選擇隨機數，計算，輸出公私鑰對。

3.2.2 投票人注冊階段

投票人向管理員注冊后獲得自身公私鑰對，成為合法投票人參與投票。在開始注冊前，管理員首先設置投票人注冊截止時間。

（1）投票人選擇隨機數，計算發送給管理員。

（2）管理員選擇隨機數發送給投票人。

（3）投票人計算，和，并將身份信息加入身份信息表，其中i是投票人身份。然后將，和零知識證明發送給管理員。

（4）管理員首先確認在身份信息表中，且投票人身份信息i滿足注冊要求;檢查和等式的正確性;驗證的正確性;所有條件驗證通過后，管理員選擇隨機數，計算，將發送給投票人。

（5）投票人檢查等式是否成立，成立則接受公私鑰對，其中公鑰，私鑰。至此，投票人獲得合法投票資格。

（6）到達投票人注冊截止時間時，注冊結束，管理員將注冊成功的投票人身份信息表寫入智能合約并在區塊鏈上公開。

其中，用來證明投票人提供的x滿足，零知識證明過程為：投票人計算發送給管理員，其中，，;管理員計算，驗證等式是否成立，成立則驗證通過。

3.2.3 發起投票階段

發起人將投票活動的相關信息寫入智能合約并部署到區塊鏈上公開，發起投票。投票活動相關信息包括：投票問題與候選項、時間服務器公鑰、投票記錄表、發起人公私鑰對、投票截止時間、統計投票時間和標簽。

其中，投票記錄表由發起人管理，記錄并公開投票人的投票記錄。發起人私鑰在此階段初始化為空值，統計投票階段再賦值。另外，標簽由發起人計算，，是發起人的身份，數字1是允許投票人投票的次數，本方案中投票人只能進行一次合法的投票。

3.2.4 投票階段

投票人從發起人編寫的智能合約中獲得投票問題與候選項等信息，利用其中的標簽生成選票標識，將選票標識合法性、投票人身份合法性的零知識證明同選票密文一起，以交易的形式發送給智能合約進行投票。

（1）發起人選擇隨機數，發送給投票人。

（2）投票人查找到智能合約中的標簽，計算選票標識，并生成零知識證明。

（3）投票人讀取智能合約中的發起人公鑰，想要投票的選項m和統計投票時間。選擇隨機數，設置選票的解密時間為，計算選票密文將選票密文和零知識證明等信息的集合以交易的形式發送到智能合約的投票記錄表中記錄。

（4）智能合約對于接收到的每一個選票，檢查投票記錄表中是否存在該選票包含的，如果不存在則接收該選票，存在則拒絕選票。

其中，用于證明選票標識合法性和投票人身份合法性，即證明投票人注冊成功具有投票資格，并且選票標識計算過程正確。，的證明使用與類似的離散對數零知識證明，等式的零知識證明過程為：

3.2.5 統計投票階段

投票結束后，發起人對投票記錄表中的選票進行篩選與標記，統計投票結果。到達投票截止時間時，發起人向智能合約發送消息通知，并在智能合約中公布發起人私鑰，智能合約停止接收投票人發送的選票，沒有投票的用戶視為棄權。

（1）發起人驗證智能合約接收到的所有選票的合法性。對每個選票的，首先驗證的正確性，驗證通過再計算，然后計算選票的解密時間，驗證T是否與統計投票時間相同。驗證不通過則為非法選票，發起人在投票記錄表中標記該選票為“非法選票”。接下來檢查任意兩個通過驗證的選票的和是否出現的情況，出現則說明有投票人重復投票，發起人將投票記錄表中對應的選票標記為“重復選票”，然后標記所有剩余選票為“合法選票”。

（2）發起人統計合法選票的投票結果。首先，匯總投票記錄表中所有具有“合法選票”標記的選票，到達時，接收時間服務器廣播的時間陷門。然后，計算，進而得到選票，最后統計投票結果。

任何對投票結果有異議的實體都可以驗證選票合法性以及統計投票結果，但只有發起人才能標記選票。

3.2.6 追蹤惡意用戶階段

任何實體都可以對投票記錄表中的重復選票進行追蹤，揭露重復投票的惡意用戶身份。對于出現情況的兩張選票，計算，然后在身份信息表中查找惡意投票人的身份 。

4 安全性分析

本節對本文提出的電子投票方案的安全性進行分析。

（1）匿名性。投票人使用一次性以太坊賬戶投票，且選票內容只含有證明投票人合法身份的零知識證明，不包含投票人身份。由零知識證明的性質可知，證明過程不會泄露投票人身份。另外，使用K次匿名認證協議，保證方案的匿名性。

（2）可追蹤性。投票人進行重復投票時，發起人會標記這些重復的選票為“重復選票”。任何人都可以對這些選票進行計算，然后在身份信息表中查找惡意投票人的身份，如果找不到則說明管理員有不誠實的行為。

（3）普遍可驗證性。智能合約中的投票記錄是公開透明的，任何人都可以查看選票并通過零知識證明驗證選票標識計算的正確性和投票人身份的合法性。另外，任何人都能利用時間陷門解密選票，并對投票結果進行統計驗證。

（4）公平性。使用時間釋放加密方法，在到達統計投票時間之前，任何實體都無法獲得時間陷門以解密選票內容。此外，比較選票解密時間與統計投票時間是否相同，不同則將選票視為非法選票，不計入投票結果，滿足了公平性。

（5）完整性。由于區塊鏈具有不可篡改的特性，在所有選票發送到智能合約后，任何人都不能修改和刪除，保證了方案的完整性。

5 實驗與分析

本文根據所提出的電子投票方案，實現了一個基于Ethereum區塊鏈平臺的電子投票系統，并在以太坊本地網絡中對系統進行測試。為了驗證投票方案的正確性與可用性，對核心算法運行所需要的平均時間進行統計，如表1所示。

智能合約中相關方法的Gas消耗如表2所示，其中投票人數為n，選票數為m。實驗證明，測試過程中的所有步驟都沒有超過以太坊單筆交易的最大Gas限制，可以正常部署運行在以太坊主鏈上。

為了驗證方案的實用性，對不同規模、不同候選項的投票場景下計票所需時間進行統計，如圖2所示。實驗證明了統計選票的時間與投票規模基本呈線性相關。在較小的規模投票中，候選項數目對統計選票時間無較大影響，基本滿足現實中投票場景的需求。

6 結束語

根據電子投票的發展現狀，本文基于區塊鏈技術，結合K次匿名認證和時間釋放加密方法，提出了一種可追蹤匿名電子投票方案。不僅保證了電子投票的基本安全性需求，還實現了普遍可驗證性和可追蹤性。通過分析實驗中核心算法的時間開銷與Gas消耗證明了方案的正確性;通過分析不同規模選票的統計時間開銷證明了方案的實用性。方案可以應用到真實投票場景中，很好地保護了用戶的隱私，保證了電子投票的安全性。

參考文獻

[1] Schneier B. Applied Cryptography： protocols， algorithms， and source code in C[M]. 北京： 機械工業出版社， 2000.

[2] Ibrahim S， Kamat M， Salleh M， et al. Secure E-voting with blind signature[C]//4th National Conference of Telecommunication Technology， 2003. NCTT 2003 Proceedings. IEEE， 2003： 193-197.

[3] Peng K， Bao F. Efficient multiplicative homomorphic e-voting[C]//International Conference on Information Security. Springer， Berlin， Heidelberg， 2010： 381-393.

[4] Furukawa J， Mori K， Sako K. An implementation of a mix-net based network voting scheme and its use in a private organization[M]//Towards trustworthy elections. Springer， Berlin， Heidelberg， 2010： 141-154.

[5] Nakamoto S. Bitcoin： A peer-to-peer electronic cash system[J]. 2008.

[6] Hjalmarsson F P， Hreioarsson G K， Hamdaqa M， et al. Blockchain-Based E-Voting System[C]. 2018 IEEE 11th International Conference on Cloud Computing （CLOUD）. IEEE， 2018： 983-986.

[7] Aradhya P. The Online Voting Platform of The Future [EB/OL]. https：//followmyvote.com.

[8] Wire B. Now you can vote online with a selfie [EB/OL]. http：//www.businesswire.com/news/home/20161017005354/en/Vote-Online-Selfie.

[9] Nguyen L， Safavi-Naini R. Dynamic k-times anonymous authentication[C]. International Conference on Applied Cryptography and Network Security. Springer， Berlin， Heidelberg， 2005： 318-333.

[10] Boneh D， Franklin M. Identity-based encryption from the Weil pairing[J]. SIAM journal on computing， 2003， 32（3）： 586-615.

[11] Cathalo J， Libert B， Quisquater J J. Efficient and non-interactive timed-release encryption[C]. International Conference on Information and Communications Security. Springer， Berlin， Heidelberg， 2005： 291-303.

[12] Blake I F， Chan A C F. Scalable， Server-Passive， User-Anonymous Timed Release Public Key Encryption from Bilinear Pairing[J]. IACR Cryptology ePrint Archive， 2004， 2004： 211.

作者簡介：

孫萌（1996-），女，漢族，山東煙臺人，暨南大學，碩士;主要研究方向和關注領域：信息安全。

王昀飚（1994-），男，漢族，廣東深圳人，暨南大學，碩士;主要研究方向和關注領域：信息安全。