李云鶴 晏振鳴

1 廣東茂名學(xué)院計算機系 廣東 525000

2 中國聯(lián)通武漢分公司移動網(wǎng)絡(luò)運維部 湖北 437000

0 前言

本文提出的電子投票系統(tǒng)，投票前使用無線證書識別選民而不必另外登記，用戶可使用移動終端例如手機或 PDA投票。同時，也提出了保證選民匿名和表決內(nèi)容機密的方法。與使用基于互聯(lián)網(wǎng)的電子投票系統(tǒng)相比，嵌入證書的移動投票系統(tǒng)可以更簡單方便地表決。在選舉期間不管處于何地，即使選民不能訪問互聯(lián)網(wǎng)也可投票。本文著重說明嵌入證書的移動投票模型和使用移動終端的投票過程。

1 現(xiàn)有的電子投票方法

以現(xiàn)有的投票方法，如果要在某種競選例如總統(tǒng)選舉、議會選舉或地方選舉中選擇一名候選人的話，全體選民得去指定的投票站經(jīng)身份驗證，最后才能投票。當然，選民還須事先在選民書上登記。如此一來，投票和計票會消耗掉大量的時間和金錢。

同時，使用觸摸屏或互聯(lián)網(wǎng)的在線電子投票方法中，最重要的安全性問題是保證選民匿名和表決內(nèi)容的機密。

使用觸摸屏的電子投票方法允許選民選擇顯示在屏幕上的候選人或選項，這有好處，因為選民不用管被分配到哪個投票所。在2004年11月份舉行的美國總統(tǒng)選舉中，超過5000萬的選民使用了電子投票機來進行投票。電子投票機并不完美，仍有改進的空間，但和其他的投票方式比起來，它出錯的概率小，是比較先進的投票方式，也是投票方式發(fā)展的方向。但是在這種情況下，仍然要求選民去投票站投票。

作為另一種電子投票方法，選民如果使用互聯(lián)網(wǎng)并且允許通過互聯(lián)網(wǎng)表決的話，就不必去投票站。但卻只能用可以接入互聯(lián)網(wǎng)的終端，并且選民只能在可以訪問互聯(lián)網(wǎng)的有限的地區(qū)投票。特別是，像個人ID這樣的私有數(shù)據(jù)在訪問互聯(lián)網(wǎng)期間也許會泄露。這意味著匿名電子投票在互聯(lián)網(wǎng)上不能取得令人滿意的效果。若對候選人的選擇或投票內(nèi)容沒有加密的話，投票的機密也無法保證。并且許多人擔(dān)心電子選票會有后遺癥，比如故障、電子舞弊、或留下使用記錄等等。

2 使用嵌入證書的移動終端投票系統(tǒng)

圖1給出了使用嵌入證書的移動通信電子投票系統(tǒng)。電子投票系統(tǒng)包括移動終端、移動通信服務(wù)器和電子投票設(shè)備。移動終端中有用來驗證選民身份的無線證書。移動通信網(wǎng)絡(luò)中的移動通信服務(wù)器把移動終端與用于電子投票服務(wù)的電子投票設(shè)備連接起來。它的作用是把電子投票過程中使用的數(shù)據(jù)傳遞給移動終端和電子投票設(shè)備這兩個實體。除了刪除與投票關(guān)聯(lián)的移動終端 ID外，不允許修改任何數(shù)據(jù)。電子投票設(shè)備可以由相關(guān)組織管理，例如選舉事務(wù)所或者選舉管理委員會等，所以可以保證是一個安全系統(tǒng)。電子投票設(shè)備包含6個內(nèi)部功能單元。

圖1 使用移動終端的電子投票系統(tǒng)

VIVU(選民身份核實單元)：根據(jù)通過移動通信網(wǎng)絡(luò)接收到的從移動終端發(fā)來的無線證書驗證選民是否可以投票。

DVPU(雙重投票預(yù)防單元)：如果一個選民完成一次投票后，又嘗試使用電子投票器，DVPU會拒絕第二次嘗試驗證其身份。這種情況發(fā)生在：當選民已經(jīng)在某一投票所投完選票或已經(jīng)使用移動電話投過票后又企圖訪問電子投票服務(wù)時。

移動終端包括CRMU、VIRU和ENCU。選民實際上是利用手機和PDA作為終端。

CRMU(證書管理單元)：這個單元存儲著載有個人識別號碼的選民證書。當電子投票開始時，CRMU將證書傳送到電子投票設(shè)備，以證明選民有資格投票。

包括SRU和PIDU的移動通信服務(wù)器通過移動通信網(wǎng)絡(luò)把移動終端和電子投票設(shè)備連接起來。

SRU(發(fā)送和接收單位)：這個單元從電子投票設(shè)備那里接收密鑰和投票信息并傳送到移動終端。此外， SRU從移動終端接收加密后的投票內(nèi)容并傳送到電子投票設(shè)備。

PIDU(個人 ID刪除單元)：其作用是在把加密的內(nèi)容傳送給電子投票設(shè)備之前，刪除來自投票移動終端的個人 ID信息。

在使用移動終端的電子投票系統(tǒng)中，無線證書是用來在選民第一次訪問電子投票設(shè)備之后驗證選民身份的。因此，該證書應(yīng)該由連接到電子投票設(shè)備的 ECU上的證書頒發(fā)機構(gòu)或經(jīng)授權(quán)的與電子投票設(shè)備無關(guān)的實體在事前發(fā)出。此外，在選民開始電子投票服務(wù)之前，它必須嵌入在選民自己的移動終端上。無線證書除了用于電子投票服務(wù)外，也可用于其他應(yīng)用如移動商務(wù)或移動銀行。

核實選民身份之后，電子投票設(shè)備在一組密碼或它的公共密鑰中選擇一個密碼并傳送到選民的移動終端。選民接到密碼后選擇由電子投票設(shè)備提供的選項之一并把表決內(nèi)容加密。這時，加密使用的是移動終端和電子投票設(shè)備共享的密碼或電子設(shè)備的公共密鑰。然后，選民發(fā)送加密的投票內(nèi)容給電子投票設(shè)備。在這個過程中，選民移動終端屏幕上的投票信息根據(jù)居住地的不同可能是不同的，而居住地參照的是選民證書內(nèi)的當前地址。

當移動通信服務(wù)器收到加密的投票內(nèi)容和移動終端的ID時，總是會刪除該 ID，只把加密的投票內(nèi)容傳送到電子投票設(shè)備。然后，電子投票設(shè)備使用上一步中產(chǎn)生的密碼就可以了解表決的內(nèi)容。

3 使用移動終端的投票過程

使用嵌入證書的移動終端投票過程如下:

（1）無線證書是頒發(fā)給移動終端的，那就是說，選民投票之前得到證書。該證書存放在為電子投票服務(wù)的移動終端內(nèi)。

（2）一旦一個移動終端連接到電子投票設(shè)備，電子投票服務(wù)就開始了。如果電子投票設(shè)備接受電子投票服務(wù)，它就會要求證書以核實選民身份。

（3）移動終端發(fā)出證書給電子投票設(shè)備。這樣，選民就可以證明他是一名合格的投票人。

（4）如果選民通過了身份驗證得到了投票權(quán)，電子投票設(shè)備就會檢查該選民是否重復(fù)訪問電子投票設(shè)備。

（5）電子投票設(shè)備根據(jù)加密方法選擇和傳輸密鑰，以保證選民的機密。當然，這項工作是在核實選民身份和檢查選民是否重復(fù)投票后進行的。

（6）發(fā)送加密密鑰后，電子投票設(shè)備不斷地傳遞含有一串投票選項和補充資料的表決信息。然后，選民根據(jù)這些表決信息來投票。

（7）移動終端將投票內(nèi)容加密并傳送給電子投票設(shè)備。投票設(shè)備不會透露投票內(nèi)容，直到投票時間結(jié)束。在這一刻，接收了加密投票內(nèi)容和移動終端 ID號的移動通信服務(wù)器就會刪除ID。也就是說，電子投票設(shè)備只接收投票內(nèi)容。

（8）當投票時間已經(jīng)過去，電子投票設(shè)備會對存儲的加密投票內(nèi)容進行解密并檢查被選中的選項進行計票。

在第(5)步中，電子投票設(shè)備的加密密鑰管理單元創(chuàng)建一個密碼和密碼的識別標志并把它們傳遞到移動終端。如果應(yīng)用的是基于對稱密碼的密碼方案的話，此時發(fā)送的是密碼。另一方面，如果電子投票過程中采用了基于公共密鑰的方案，該單元將轉(zhuǎn)送電子投票設(shè)備的公共密鑰到移動終端。如果每位選民用的都是同一個密碼，那么選民和密碼之間的關(guān)系就暴露了。這使不愿透露姓名的選民不是很滿意。因此，為了避免這一點，加密密鑰可以基于時間段生成，然后相同的密鑰分配給在某一個時間段內(nèi)來訪的選民。以及，通過檢查選民證書上的地址，同樣的加密密鑰可以分配給在同一地區(qū)的選民。識別加密密鑰用的就是同樣的加密密鑰識別標志?；跁r間段或基于地區(qū)或基于時間段和地區(qū)的加密密鑰，可以通過創(chuàng)建幾個加密密鑰組而生成。當密碼和密碼識別標志被傳送時，是使用選民的公鑰加密過的，以避免泄露數(shù)據(jù)。對密碼以及加密內(nèi)容的傳送見圖2 、圖3。

圖2 傳送加密和解密的密碼

圖 2說明了傳送用于加密及對投票內(nèi)容進行解密的密碼。這些符號意義如下：

K：從電子投票設(shè)備傳送到移動終端的用于加密投票內(nèi)容的密碼。

IND：用于表明密碼組的密碼識別標志。

PUBU，PRIU：公共密鑰和選民私人密碼。

U PUBU，PRIU：電子投票設(shè)備V的公共密鑰和私人密碼。

m：選民的投票內(nèi)容。

EK(m),EPUBV(m)：使用K和PUBV加密的投票內(nèi)容。

DK(m),DPRIV(m)：使用K和PRIv對加密的投票內(nèi)容進行解密。

其加密和解密過程如下：

（1）電子投票設(shè)備使用包含在選民證書中的PUBU產(chǎn)生K和IND并對它們加密。然后，傳送給移動終端。

（2）選民收到加密信息后，使用自己的私人密碼對其進行解密，從而得到K和IND。

（3）移動終端使用K對m加密并把加密后的投票內(nèi)容與IND一起傳送給電子投票設(shè)備。

（4）電子投票設(shè)備使用自己產(chǎn)生的K和IND對加密的投票內(nèi)容進行解密。

圖3所示，傳送公共密鑰和加密的投票內(nèi)容。

圖3 傳送公共密鑰和加密內(nèi)容

其過程如下：

（1）電子投票設(shè)備產(chǎn)生它的公共密鑰并傳送給移動終端。

（2）移動終端用接收到的公共密鑰對投票內(nèi)容加密并把加密后的內(nèi)容傳送給電子投票設(shè)備。

（3）電子投票設(shè)備使用私人密碼對加密的投票內(nèi)容進行解密。

在傳送完加密密碼后，電子投票設(shè)備發(fā)送投票證書或投票選項給選民。

在使用移動通信網(wǎng)絡(luò)進行電子投票的過程中，移動通信服務(wù)器接收選民的身份、加密的投票內(nèi)容以及密碼識別符。但是它不會知道真正的投票內(nèi)容，因為它沒有加密密鑰。 移動通信服務(wù)器總是先刪除選民的ID，然后只把加密的投票內(nèi)容和密碼識別符發(fā)送給電子投票設(shè)備。因此，電子投票設(shè)備不知道選民和投票內(nèi)容之間的關(guān)系。

4 總結(jié)

嵌入證書的移動投票模型和使用移動終端的投票過程,使選民可以使用移動電話投下選票，而無須事先注冊，也無須去投票站。對于上述兩個實體所采用的加密算法, 盡管有很多使用多協(xié)議和匿名通信的電子投票機制，但在效率和保密性方面還需做進一步的探討。選民用簡單、方便, 不受時間和地點限制而且保密和匿名的方式表決，是比較先進的投票方式，也是投票方式發(fā)展的方向。

[1] KR Patent.Electronic voting system using internet.Fig.2.Korea.2005.

[2] X.Y.Cerone and P.Y.Zhang.Secure Electronic Voting for Mobile Communications.Vehicular Technology Conference.2006.VTC 2006-Spring.IEEE 63rd.Vol.2.2006.