安全电子选举研究

安全电子选举研究

仲　红1,黄刘生2,罗永龙2

(1.安徽大学计算机科学与技术学院,安徽合肥　230039;2.中国科学技术大学计算机系,安徽合肥　230027)

摘　要:提出安全电子选举的三级目标和一般模型,为系统地研究电子选举提供了基础.通过对现

有方案的关键技术分析,提出保护隐私的电子评审、含权选举、“m 选k ”

等特殊投票问题,并给出采用安全多方计算技术解决这些问题的新方法.

关键词:电子选举;安全性;安全多方计算

中图分类号:TP309 文献标识码:A 文章编号:1000-2162(2007)03-0020-07

电子选举是密码协议的重要应用之一,是电子商务安全性研究的一项重要内容.在传统密码领域,对电子选举方案(Electr onic Voting Sche me -E VS )的研究已有20多年的历史,针对不同规模和不同环境的选举目前已取得一些初步的研究成果[1-9]

.但现有方案对电子选举的多项安全性及其关系的定义不够清晰,没有统一的电子选举模型.本文在对近20年主要EVS 分析的基础上,根据实现电子选举目标的重要性和难易程度,将安全电子选举需要实现的目标分为三级,据此给出一个适应不同安全目标的通用电子选举模型,该模型包含了电子选举问题的所有重要参数及其定义,为深入研究各种环境下的EVS 提供了基础;进一步地,提出商务领域具有广泛应用价值的几个特殊电子选举问题,包括保护隐私的电子评审、含权选举、“m 选k ”、“平均值中标”等等,采用传统密码技术将很难得到这些问题的有效解决方案,本文给出了利用安全多方计算(Secure Multi party Computati on -S MC )协议解决这些问题的新思路.1　安全电子选举模型

本节分析电子选举的安全需求,提出安全电子选举的三级目标,并给出了一个通用电子选举模型.

1.1　安全电子选举系统的目标

电子选举的三个重要目标是选票的隐私性、系统的健壮性和普遍验证性[1～2],进一步要求选民身份

合法性和投票的不重复性,计票的公平性和完整性,选举系统的稳固性、方便性和高效性[3～5].为防止贿

选和强制选举,更强的目标是无收据性和抗强制性.按照电子选举目标的重要性和实现的难易程度将这些安全目标进行分级,如图1所示

.

图1　安全电子选举的三级目标

收稿日期:2006-10-10

基金项目:国家自然科学基金资助项目(60573171);安徽省自然科学基金资助项目(070412051);安徽省高校省级重点自然科学研究基金资助项目(KJ2007A043);安徽大学人才建设基金资助项目

作者简介:仲　红(1965-),女,安徽固镇人,安徽大学副教授,博士.

2007年5月

第31卷第3期安徽大学学报(自然科学版)Journal of Anhui University Natural Science Editi on M ay 2007Vol .31No .3

定义1　无收据性(Recei p t -freeness )[6

],即任何人不能获得、构造收据来证明选票内容,向贿选者

提供自己的投票证据.

定义2　抗强制性(Coerci on -resistant )[7],即选民在投票过程中可以欺骗攻击者,谎称按攻击者指

令投票,但仍按自己的意图投票.

1.2　安全电子选举模型

本节提出一个通用的电子选举模型,如图2所示,该模型包含了目前电子选举问题涉及所有重要参数及其关系,根据实际选举环境,从中选择适当的参数,可以进行各种环境下的安全E VS 的设计.任意选举问题都可以用三维空间中的一点来表示,例如,(2,3,2)模型表示基于安全信道、三个选举机构的电子选举系统,其选票为“m 选1”的形式

.

图2　电子选举模型

以下给出模型中每个实体及其属性的详细定义.

定义3　参与方(Partici pant ),即一个EVS 包括选民(Voter )、注册机构(Register )、认证机构(Au 2thority )、计票机构(Tally )等参与方的集合实体,任意参与方均抽象为概率多项式时间的图灵机,其主要功能如表1所示.

表1　选举机构的组成

符号

名称功能R {R 1,R 2,…,R N }注册机构掌握合格选民v i 的实际身份I D i ,合法选民总数,维护合法选民

列表.

A {A 1,A 2,…,A M }认证机构为合法选民发放空白选票Ballot i .对需要高度安全的选举,利

用(t,n )门限密码体制,由M 个机构联合签发选票.

T{T 1,T 2,…,T L }计票机构

接收并处理选票voted i ,联合统计选票并公开最后结果. 所有选举机构都分散处理时,获得的安全性最高,但复杂度最大.特别地,当M =1,L =1时,即为单认证中心、单计票中心模型[4];当M =0,L =1时,退化为集中式处理、单选举机构模型[1];当M =0,L =0时,不需要可信机构,由选民自己完成认证、投票、计票的所有功能,适用于要求特别公平的环境.

定义4　选票(vote ).将选票模型化为各种多项选择问题,分别用“yes/no ”、“1-out -of -m ”“k -

12第3期仲　红,等:安全电子选举研究

out -of -m ”表示“两选一”、“m 选1”和“m 选k ”

(m >k )等形式的选举.“两选一”选票形式为“yes/no ”,从两个候选者中选出一个获胜者.“多选一”指每张选票中只能选一名候选人,得票最高者获胜.“多选多”指一张选票中有多名候选人,允许同时选择不止一名,选举结果有多名获胜者.

定义5　通信信道模型.将选举系统的通信信道模型定义为公开信道、秘密信道/无泄露信道、匿名信道、投票站/投票亭等类型,表2列出各种信道特征的定义.

表2　通信信道模型

信道定义公开信道

实际的通信信道,不安全、无法校验发送者或者接收者的标识.秘密信道/无泄露信道

安全通信信道,接收方确切知道发送方的身份,发出的消息都能不被修改的接收到,任何第三方都不会知道这个消息.匿名信道

发送者身份是不可追踪(untraceable ).投票站/投票亭假设攻击者和选民分别在不同的物理信道中,任何人都不能看到选民在

投票站中的行为和输入的信息.

此外,假设存在一种安全广播信道,称为公告板[3]

.公告板是一个可公开访问的存储空间,任何成员都可把数据写到公告板的指定区域,但不能覆盖和删除,一旦选举结束,选民就可以读到公告板上的所有数据.

表2中,公开信道最不可靠却最符合实际通信环境;投票站,是一种最强的物理信道假设.

定义6　电子选举方案.电子选举是对提出的问题进行回答并计算处理的过程.E VS 由选民注册,机构发布选票,选民投票,机构收集选票、校验选票、统计选票,以及对选举结果的验证等多个阶段组成,每一阶段通过相应的协议集来实现.

不同选举环境有不同的安全性要求,可根据实际需要进行设置,但选民注册阶段、合法选民投票阶段、机构计票阶段和验证结果阶段是必不可少的.图3中给出一种E VS 的关键步骤,其中Step1～4为注册阶段,Step5

～7为投票、计票阶段,Step8为普遍验证阶段.图3　电子选举的关键步骤

Step1　注册I D :选民Voter i 向注册机构Register 申请身份注册,得到注册号R (I D i );

Step2　申请Vote:选民Voter i 用注册号R (I D i )向认证机构Authority 申请空白选票B allot i ;

22安徽大学学报(自然科学版)第31卷