CN108494738A - 一种可验证的后量子电子投票系统及其实现方法 - Google Patents

Abstract

本发明公开了一种可验证的后量子电子投票系统及其实现方法，该系统包括认证中心、用户端、验证服务器、计票服务器、验证程序、以及公告板；所述认证中心对用户的身份进行验证，为每一位合法的用户生成身份ID并对其进行签名；所述用户端向认证中心证明自己的身份，接收身份ID签名，对自己的选票进行加密，并将选票密文与身份ID签名发送给验证服务器；所述验证服务器包括两台服务器，由这两台服务器共同完成对选票合法性的验证和同态计票工作；所述计票服务器对部分同态计票密文进行解密，并将其发布在公告板上；所述验证程序验证计票服务器是否进行了正确计票。本发明系统及其实现方法能够有效抵抗量子计算机的攻击，同时具有很高的运算效率。

Description

一种可验证的后量子电子投票系统及其实现方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种可验证的后量子电子投票系统及其实现方法。

背景技术

随着信息技术的飞速发展与普及，越来越多的需求能够通过互联网来实现，其中一项就是网络投票。有数据表明，网络投票的方便快捷，能够提高民众的积极性与参与度，在一定程度上有利于促进民主化进程。除此之外，网络投票还具有成本低、人为错误率低、记票效率高等优点，已渐渐为人们所接受，部分国家和地区也正在尝试使用网络投票系统进行一些选举。

网络投票在给人们带来极大便利的同时，也面临着诸多挑战。随着人们权利意识的不断提高，如何通过密码学的技术来保护用户的隐私、如何在加密的状态下对选票内容的合法性进行验证以及如何保证计票结果的正确性都是需要解决的日益严峻的问题。另一方面，量子计算机的出现，引发了人们对传统密码学方案安全性深深的担忧。在这样的背景下，后量子密码学应运而生，而基于格理论的密码学(格密码)是后量子密码的一个很好的备选方案。其中，基于LWE的密码系统可以被规约到最坏情况下的格问题，是可证明安全的，并且拥有相对较高的性能，因此成为了研究的重点。而现有的网络投票方案要么采用的是Paillier等传统加密方案，要么无法抵抗量子计算机的攻击，要么无法在密文状态下对选票的合法性进行验证，因此它们在安全性和功能性方面都存在很大的问题。

因此，构建一个后量子电子投票系统，使其能保护用户的隐私、对选票合法性和投票结果进行验证，同时对抗量子计算机的攻击是目前急需进行的工作。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种可验证的后量子电子投票系统，该系统能够在密文域上对选票内容的合法性进行验证，对计票结果的正确性进行验证，并对企图通过非法选票操纵投票结果的恶意用户进行追责，同时具有很高的运算效率。

本发明的另一目的在于提供上述可验证的后量子电子投票系统的实现方法。

为实现以上目的，本发明采取如下技术方案：

一种可验证的后量子电子投票系统，包括认证中心、用户端、验证服务器、计票服务器、验证程序、以及公告板；

所述认证中心，用于对用户的身份进行验证，为每一位合法的用户生成身份ID并对其进行签名；所述认证中心包括身份ID生成模块和签名模块，并设有签名用的公私钥对；

所述用户端，向认证中心证明自己的身份，接收身份ID签名，对自己的选票进行加密，并将选票密文与身份ID签名发送给验证服务器；所述用户端包括选票明文生成模块和加密模块；当开始进行投票时，用户首先将自身的身份凭证发送给所述认证中心，认证通过之后得到自己的身份ID签名；之后用所述加密模块对自己的选票内容使用算法进行加密，再将加密后的选票内容连同自己的身份ID签名一起发送给验证服务器；

所述验证服务器，包括两台服务器：验证服务器A和验证服务器B，所述两台服务器相互交互，共同完成对选票合法性的验证和同态计票工作；所述验证服务器A包括签名验证模块、合法性验证模块A和同态计票模块；验证服务器B包括合法性验证模块B和存储系统私钥的第一可信存储模块；

所述计票服务器，用于对部分同态计票密文进行解密，并将解密结果发布在公告板上；在投票结束之后，计票服务器还将接受验证程序的验证请求；所述计票服务器包括解密模块、验证响应模块和存储系统私钥的第二可信存储模块；

所述计票服务器，用于对部分同态计票密文进行解密，并将解密结果发布在公告板上；在投票结束之后，计票服务器还将接受验证程序的验证请求；所述计票服务器包括解密模块、验证响应模块和存储系统私钥的第二可信存储模块；

所述验证程序，用于验证计票服务器是否进行了正确计票，即对部分同态计票的密文结果进行了正确的解密；所述验证程序包括加密模块和同态运算模块；

所述公告板，用于发布部分同态计票密文和部分同态计票结果。

作为优选的技术方案，所述合法性验证模块A，用于选票合法性验证的预处理阶段；该模块包含两个部件：随机向量生成部件和密文位累加部件；其中随机向量生成部件用于生成一个由随机数组成的向量；密文位累加部件用于对选票的密文进行按位同态累加以及随机化同态累加操作；在完成对选票密文的预处理阶段之后，再将处理后的中间数据发送给验证服务器B；此外，所述合法性验证模块A在得到验证服务器B返回的最终验证结果之后，将通过验证的选票传给同态计票模块，而没有通过验证的选票将会被丢弃，同时该选票对应的身份ID签名会被记录到黑名单中；所述同态计票模块用于对一组固定数量的合法选票进行同态加法运算，并将运算结果发送给公告板进行显示。

作为优选的技术方案，所述系统的加密和解密选用LWE算法进行处理；

所述合法性验证模块B包括一个解密部件，该解密部件用于对合法性验证模块A发过来的数据进行解密；

所述验证程序的同态运算模块还包含一个随机数生成部件，该随机数生成部件用于生成随机数。

一种可验证的后量子电子投票系统的实现方法，包括下述步骤：

S1、系统初始化步骤，该步骤具体为：

S11、选择并生成公共参数；

S12、根据公共参数，生成签名所用的公私钥对和系统公私钥对；

S13、认证中心生成所有合法选民的身份信息；

S14、选民获得系统公钥，计票服务器与验证服务器B共享系统私钥，验证服务器A获得签名公钥；

S15、验证服务器B生成一个压缩后的系统私钥；

S2、选民注册步骤，该步骤具体为：

S21、向认证中心发送自己的身份信息；

S22、认证中心对收到的用户身份信息进行验证，对验证通过的用户分配身份ID；

S23、认证中心使用签名私钥对身份ID进行签名；

S24、用户接收身份ID签名；

S3、用户投票步骤，该步骤具体为：

S31、用户做出自己的投票选择，生成选票明文；

S32、使用系统公钥对自己的选择进行加密；

S33、将选票密文与身份ID签名封装成选票，发送给验证服务器A；

S4、身份验证步骤，该步骤具体为：

S41、验证服务器A使用签名公钥对用户发送过来的身份ID签名进行验证；

S42、若验证通过，则进行选票合法性验证，若验证不通过，则将该选票直接丢弃；

S5、选票合法性验证步骤，该步骤具体为：

S51、验证服务器A调用随机向量生成部件生成一个随机向量；

S52、对选票进行预处理：验证服务器A调用密文位累加部件对选票的密文进行按位同态累加以及随机化同态累加操作；

S53、将经过预处理后的数据发送给验证服务器B；

S54、验证服务器B收到验证服务器A发来的数据之后，利用这些数据进行一次常规解密与随机化解密，并对解密结果进行判断；

S55、将判断结果返回给验证服务器A；

S56、验证服务器A根据验证服务器B返回的验证结果对选票进行处理；若验证通过，则进行下一步的计票工作；若验证不通过，则将该选票丢弃，并将对应的身份ID签名放入黑名单中；

S6、部分同态计票步骤，该步骤具体为：

S61、验证服务器A根据系统生成的参数，对一组固定数量的合法选票进行同态加法运算，并将生成的部分同态计票密文发送给计票服务器进行解密，同时发送给公告板进行公示；

S62、将已经进行过部分同态计票的单张选票删除，以进一步保护用户的隐私；

S63、重复步骤S61和步骤S62直到投票过程结束；

S7、计票步骤，该步骤具体为：

S71、计票服务器收到部分同态计票密文之后，使用第二可信存储模块中的私钥对其进行解密，并将结果发送给公告板进行公示，在解密的时候，通过纠错码机制来降低算法解密中引入的误差；

S72、对每一组部分同态计票结果进行累加，公布最终投票结果；

S8、计票结果验证步骤，该步骤具体为：

S81、验证程序从公告板上读取部分同态计票结果，并使用系统公钥对其进行加密，之后将加密结果传递给同态运算模块；

S82、同态运算模块读取公告板上发布的部分同态计票密文，并将接收到的加密结果与上述密文进行同态相减运算，并将运算结果发送给计票服务器；

S83、读取计票服务器返回的解密结果并进行第一步验证，所述第一步验证为判断该解密结果是否为0；

S84、若第一步验证通过，则进行第二步验证：调用同态运算模块中的随机数生成部件生成随机数，并将该随机数与步骤S82中同态相减运算的结果进行处理之后再次发送给计票服务器，读取计票服务器返回的结果并进行验证；

S85、若第二步验证通过，则初步判定计票结果正确；

S86、根据本次投票的安全性需求，对每一组选票进行多轮验证，即反复执行步骤S81～S85；

S87、对每一组部分同态计票密文和部分同态计票结果都进行步骤S81～步骤S86，直到每一组都验证完成。

作为优选的技术方案，所述投票步骤S3中，各分步骤具体为：

S31、用户做出自己的投票选择，生成选票明文：

在所述投票系统中，选票明文的形式为长为l的01字符串，字符串中的每一位都对应一位候选人；选票字符串中有且仅有一位为1，其余位为0，值为1的那一位即为用户选择的候选人，设选票明文为vote；

S32、使用系统公钥对选票字符串进行加密，生成选票密文如下：

C＝(b＝(Ar+x),b′＝(u^Tr+x′+f(vote)))

其中，f(vote)表示对vote中的每一位字符都乘上r、x、x′都是LWE加密过程中根据高斯分布生成的矩阵，同时为了方便，将(Ar+x)的结果记作b，将(u^Tr+x′+f(vote))的结果记作b′；

S33、将选票密文c与身份ID签名封装成选票，发送给验证服务器A。

作为优选的技术方案，所述选票合法性验证步骤S5中，各分步骤具体为：

S51、验证服务器A调用随机向量生成部件生成一个随机向量

S52、对选票进行预处理：验证服务器A调用密文位累加部件对选票的密文进行按位同态累加以及随机化同态累加操作；

所述预处理具体为计算：

其中，b_sum1、b′_sum1、b′_sum2分别表示三个运算的结果；

S53、将b_sum1、b′_sum1、b＇_sum2、发送给验证服务器B；

S54、验证服务器B收到验证服务器A发来的数据之后，利用这些数据进行一次常规解密与随机化解密，并对解密结果进行判断；

首先进行第①步验证，从第一可信存储模块中获得系统私钥，并对(b_sum1,b′_sum1)进行解密：

解密之后并判断dec₁的值是否为1；若dec₁的值为1，则进行下一步的验证，否则第①步验证不通过；

第②步验证过程如下：计算

其中，°运算代表将s^tb结果的每一位与中的对应位相乘；

之后将的每一位进行累加：

并计算：

dec₂＝f^-1(b′_sum2-partialDec)

若dec₂的值与中的某个元素相等，则最终判定选票内容合法；

S55、验证服务器B将判断结果返回给验证服务器A；

S56、验证服务器A根据验证服务器B返回的验证结果对选票进行处理；若验证通过，则进行下一步的计票工作；若验证不通过，则将该选票丢弃，并将对应的身份ID签名放入黑名单中。

作为优选的技术方案，所述部分同态计票步骤S6中，各分步骤具体为：

S61、验证服务器A根据系统生成的公共参数，对VHom_max张合法选票进行同态加法运算，生成：

PartialHomC_i＝HomAdd(VHom_max张合法选票)

其中，HomAdd表示将两个密文按位相加；

然后将生成的部分同态计票密文PartialHomC_i发送给计票服务器进行解密，同时发送给公告板进行公示；

S62、将已经进行过部分同态计票的单张选票删除，以进一步保护用户的隐私；

S63、重复步骤S61和步骤S62直到投票过程结束。

作为优选的技术方案，所述计票步骤S7中，各分步骤具体为：

S71、计票服务器收到部分同态计票密文PartialHomC_i之后，使用第二可信存储模块中的私钥对其进行解密，并将生成结果PartialRes_i发送给公告板进行公示；

S72、对每一组部分同态计票结果进行累加，公布最终投票结果：

作为优选的技术方案，所述计票结果验证步骤S8中，各分步骤具体为：

S81、验证程序从公告板上读取部分同态计票结果PartialRes_i，并使用系统公钥对其进行加密，

PartialResC_i＝(b＝(Ar+x),b′＝(u^Tr+x′+f(PartialRes_i)))，

之后将加密结果传递给同态运算模块；

S82、同态运算模块读取公告板上发布的部分同态计票密文PartialHomC_i，并将接收到的加密结果与所述部分同态计票密文进行同态相减运算：

PartialSubC_i＝PartialHomC_i-PartialResC_i

并将运算结果发送给计票服务器；

S83、读取计票服务器返回的结果并进行第一步的验证：判断解密的结果是否为0，若为0，则第一步验证通过；若不为0，则第一步验证不通过，判定计票服务器给出的结果是错误的，则重新进行投票或向投票主办方反映；

S84、若第一步验证通过，则进行第二步的验证：调用同态运算模块中的随机数生成部件生成随机数，并将该随机数与步骤S82中同态相减运算的结果PartialSubC_i进行处理：

rand₁＝random(seed)

rand₂＝random(seed)

testC₀＝PartialSubC_i+LWEEnc(rand₁,PK_lwe)

testC₁＝LWEEnc(rand₂,PK_lwe)

其中PK_lwe表示系统公钥，PK_lwe＝(A,u^T)；

再随机生成一个比特coin∈{0,1}，并将testC_coin发送给计票服务器，要求其进行解密；为降低偶然性，第二步验证反复执行三次或四次；

S85、读取计票服务器返回的解密结果并进行验证；若返回的结果与testC_coin相等，则第二步验证通过，并初步判定计票结果正确；

S86、根据本次投票的安全性需求，对每一组选票进行多轮验证，即反复执行步骤S81～S85；

S87、对每一组部分同态计票密文PartialHomC_i和部分同态计票结果PartialRes_i都进行步骤S81～S86，直到每一组都验证完成。

本发明相对于现有技术具有如下的优点和效果：

1、本发明的系统及其实现方法采用LWE同态算法，对所有用户选票进行同态记票，并不会对单张选票进行解密，因此除了用户自身之外，系统中的任何一方都无法得知某张选票的具体内容，很好地保证了用户的隐私，而用户的隐私也是电子投票系统中最关心的问题。

2、本发明的系统及其实现方法无需对选票密文进行解密即可判断用户投出的选票是否合法。这在进一步保护了用户隐私的同时，还实现了对恶意用户的可追责。

3、本发明的系统及其实现方法所基于的LWE算法能够对抗量子计算机的攻击，并且具有很高的效率。

4、本发明的系统及其实现方法对任何人都可以进行计票结果的验证，以应对计票服务器被黑客或病毒攻击的情况，防止他们对计票结果进行恶意更改。

附图说明

图1为本发明公开的一种可验证的后量子电子投票系统的结构及流程示意图。

图2为本发明公开的一种可验证的后量子电子投票方法示意图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步详细描述。

实施例1

如图1所示，一种可验证的后量子电子投票系统，包括认证中心、用户端、验证服务器、计票服务器、验证程序、以及公告板；

所述认证中心，用于对用户的身份进行验证，为每一位合法的用户生成身份ID并对其进行签名；所述认证中心包括身份ID生成模块和签名模块，并设有签名用的公私钥对；

所述用户端，向认证中心证明自己的身份，接收身份ID签名，对自己的选票进行加密，并将选票密文与身份ID签名发送给验证服务器；所述用户端包括选票明文生成模块和加密模块；当开始进行投票时，用户首先将自身的身份凭证发送给所述认证中心，认证通过之后得到自己的身份ID签名；之后用所述加密模块对自己的选票内容使用算法进行加密，再将加密后的选票内容连同自己的身份ID签名一起发送给验证服务器；

所述验证服务器，包括两台服务器：验证服务器A和验证服务器B，所述两台服务器相互交互，共同完成对选票合法性的验证和同态计票工作；所述验证服务器A包括签名验证模块、合法性验证模块A和同态计票模块；验证服务器B包括合法性验证模块B和存储系统私钥的第一可信存储模块；

所述计票服务器，用于对部分同态计票密文进行解密，并将解密结果发布在公告板上；在投票结束之后，计票服务器还将接受验证程序的验证请求；所述计票服务器包括解密模块、验证响应模块和存储系统私钥的第二可信存储模块；

所述计票服务器，用于对部分同态计票密文进行解密，并将解密结果发布在公告板上；在投票结束之后，计票服务器还将接受验证程序的验证请求；所述计票服务器包括解密模块、验证响应模块和存储系统私钥的第二可信存储模块；

所述验证程序，用于验证计票服务器是否进行了正确计票，即对部分同态计票的密文结果进行了正确的解密；所述验证程序包括加密模块和同态运算模块；

所述公告板，用于发布部分同态计票密文和部分同态计票结果。

在本实施例中，所述合法性验证模块A，用于选票合法性验证的预处理阶段；该模块包含两个部件：随机向量生成部件和密文位累加部件；其中随机向量生成部件用于生成一个由随机数组成的向量；密文位累加部件用于对选票的密文进行按位同态累加以及随机化同态累加操作；在完成对选票密文的预处理阶段之后，再将处理后的中间数据发送给验证服务器B；此外，所述合法性验证模块A在得到验证服务器B返回的最终验证结果之后，将通过验证的选票传给同态计票模块，而没有通过验证的选票将会被丢弃，同时该选票对应的身份ID签名会被记录到黑名单中；

所述同态计票模块用于对一组固定数量的合法选票的原始密文进行同态加法运算，并将运算结果发送给公告板进行显示。

在本实施例中，所述系统的加密和解密选用LWE算法进行处理，当然，其他能达到本发明技术效果的算法均可应用于本发明，在本发明的保护范围之内。

所述合法性验证模块B包括一个解密部件，该解密部件用于对合法性验证模块A发过来的数据进行解密，还能够使用纠错码来降低解密过程中产生的误差；

所述验证程序的同态运算模块还包含一个随机数生成部件，该随机数生成部件用于生成随机数；

在本实施例中，所述选票明文生成模块根据用户意愿生成选票明文字符串，用于后续的加密；

所述验证服务器A与验证服务器B为两台不同的物理机，分别存放有不同的数据；

所述公告板为一块只读的显示屏；

所述选民的身份凭证，对于政府等官方的选举，可以采用身份证；对于民间普通的选举，也可采用如学生证、一卡通之类的凭证。

实施例2

一种可验证的后量子电子投票系统的实现方法，如图2所示的投票过程，包括下述步骤：

S1、系统初始化步骤，该步骤具体为：

S11、选择并生成公共参数；选择LWE加密系统参数n、l、q、α、以及同态计票上限VHom_max，其中n是LWE加密系统的安全参数；l是选票明文字符串的长度，代表候选人的数量；q表示模数，由于同态运算为有限域运算，要对运算结果进行模q操作，α是高斯抽样时用到的参数，关系到抽样的平方差；VHom_max表示VSA每次部分同态计票最多能进行同态加法运算的次数；

S12、根据公共参数，生成签名所用的公私钥对和系统公私钥对；系统公钥为(A,u^T)，系统私钥为s；签名公钥为PK_sig，签名私钥为SK_sig；其中A是模数q的有限域上随机生成的大小为n*n的矩阵；u^T＝s^TA+e^T，其中e^T是根据高斯抽样生成的大小为n*l的矩阵；

S13、认证中心生成所有合法选民的身份信息，包括合法选民的身份凭证及对应的用户身份ID；

S14、选民通过可靠渠道获得系统公钥，计票服务器与验证服务器B通过可靠渠道共享系统私钥，验证服务器A通过可靠渠道获得签名公钥；所述签名公钥和签名私钥均有认证中心生成；

对于系统公钥和签名公钥，可靠渠道包括投票官网或证书签发机构；对于系统私钥可靠渠道是线下的交换，将所述系统私钥存在U盘当中，由专人负责将存有系统私钥的U盘交给计票服务器和验证服务器B的管理人员。

S15、验证服务器B生成一个压缩后的系统私钥：

其中，i代表矩阵s^T的第i行，n代表第n列，T表示矩阵的转置；

S2、选民注册步骤，该步骤具体为：

S21、向认证中心发送自己的身份信息；

S22、认证中心对收到的用户身份信息进行验证，对验证通过的用户分配身份ID；

S23、认证中心使用签名私钥对身份ID进行签名；

S24、用户接收身份ID签名；

S3、用户投票步骤，该步骤具体为：

S31、用户做出自己的投票选择，生成选票明文：

在所述投票系统中，选票明文的形式为长为l的01字符串，字符串中的每一位都对应一位候选人；选票字符串中有且仅有一位为1，其余位为0，值为1的那一位即为用户选择的候选人，设选票明文为vote；

S32、使用系统公钥对选票字符串进行加密，生成选票密文如下：

C＝(b＝(Ar+x),b′＝(u^Tr+x′+f(vote)))

其中，f(vote)表示对vote中的每一位字符都乘上乘上r、x、x′都是LWE加密过程中根据高斯分布生成的矩阵，同时为了方便，将(Ar+x)的结果记作b，将(u^Tr+x′+f(vote))的结果记作b′；

S33、将选票密文与身份ID签名封装成选票，发送给验证服务器A；

S4、身份验证步骤，该步骤具体为：

S41、验证服务器A使用签名公钥对用户发送过来的身份ID签名进行验证；

S42、若验证通过，则进行选票合法性验证，若验证不通过，则将该选票直接丢弃；

S5、选票合法性验证步骤，该步骤具体为：

S51、验证服务器A调用随机向量生成部件生成一个随机向量

S52、对选票进行预处理：验证服务器A调用密文位累加部件对选票的密文进行按位同态累加以及随机化同态累加操作；所述预处理：计算

其中，b_sum1、b′_sum1、b′_sum2分别表示三个运算的结果；

S53、将数据b_sum1、b′_sum1、b′_sum2、发送给验证服务器B；

S54、验证服务器B收到验证服务器A发来的数据之后，利用这些数据进行一次常规解密与随机化解密，并对解密结果进行判断；

首先进行第①步验证，从第一可信存储模块中获得系统私钥，并对(b_sum1,b′_sum1)进行解密：

解密之后并判断dec₁的值是否为1；若dec₁的值为1，则进行下一步的验证，否则第①步验证不通过；

第②步验证过程如下：计算

其中，°运算代表将s^Tb结果的每一位与中的对应位相乘；

之后将的每一位进行累加：

并计算

dec₂＝f^-1(b′_sum2-partialDec)

若dec₂的值与中的某个元素相等，则最终判定选票内容合法；

S55、将判断结果返回给验证服务器A；

S56、验证服务器A根据验证服务器B返回的验证结果对选票进行处理；若验证通过，则进行下一步的计票工作；若验证不通过，则将该选票丢弃，并将对应的身份ID签名放入黑名单中；

S6、部分同态计票步骤，该步骤具体为：

S61、验证服务器A根据系统生成的参数，对VHom_max张合法选票进行同态加法运算，生成：

PartialHomC_i＝HomAdd(VHom_max张合法选票)

其中，HomAdd表示将两个密文按位相加；

然后将生成的部分同态计票密文PartialHomC_i发送给计票服务器进行解密，同时发送给公告板进行公示；

S62、将已经进行过部分同态计票的单张选票删除，以进一步保护用户的隐私；

S63、重复步骤S61和步骤S62直到投票过程结束；

S7、计票步骤，该步骤具体为：

S71、计票服务器收到部分同态计票密文PartialHomC_i之后，使用第二可信存储模块中的私钥对其进行解密，并将结果PartialRes_i发送给公告板进行公示，在解密的时候，通过纠错码机制来降低LWE解密中引入的误差；

S72、对每一组部分同态计票结果进行累加，公布最终投票结果：

S8、计票结果验证步骤，该步骤具体为：

S81、验证程序从公告板上读取部分同态计票结果PartialRes_i，并使用系统公钥对其进行加密，

PartialResC_i＝(b＝(Ar+x),b′＝(u^Tr+x′+f(PartialRes_i)))，

之后将加密结果传递给同态运算模块；

S82、同态运算模块读取公告板上发布的部分同态计票密文，并将接收到的加密结果与上述密文进行同态相减运算，并将运算结果发送给计票服务器；

S83、读取计票服务器返回的结果并进行第一步的验证；判断解密的结果是否为0，若为0，则第一步验证通过；若不为0，则第一步验证不通过，判定计票服务器给出的结果是错误的，则重新进行投票或向投票主办方反映；

S84、若第一步验证通过，则进行第二步的验证：调用同态运算模块中的随机数生成部件生成随机数，并将该随机数与步骤S82中同态相减运算的结果PartialSubC_i进行处理：

rand₁＝random(seed)

rand₂＝random(seed)

testC₀＝PartialSubC_i+LWEEnc(rand₁,PK_lwe)

testC₁＝LWEEnc(rand₂,PK_lwe)

其中PK_lwe表示系统公钥，PK_lwe＝(A,u^T)；

再随机生成一个比特coin∈{0,1}，并将testC_coin发送给计票服务器，要求其进行解密；为降低偶然性，第二步验证反复执行三次或四次；

S85、读取计票服务器返回的解密结果并进行验证；若返回的结果与testC_coin相等，则第二步验证通过，并初步判定计票结果正确；

S86、根据本次投票的安全性需求，对每一组选票进行多轮验证，即反复执行步骤S81～S85；

S87、对每一组部分同态计票密文PartialHomC_i和部分同态计票结果PartialRes_i都进行步骤S81～步骤S86，直到每一组都验证完成。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以权利要求所述为准。

Claims (10)

1.一种可验证的后量子电子投票系统，其特征在于，包括认证中心、用户端、验证服务器、计票服务器、验证程序、以及公告板；

所述认证中心，用于对用户的身份进行验证，为每一位合法的用户生成身份ID并对其进行签名；所述认证中心包括身份ID生成模块和签名模块，并设有签名用的公私钥对；

所述用户端，向认证中心证明自己的身份，接收身份ID签名，对自己的选票进行加密，并将选票密文与身份ID签名发送给验证服务器；所述用户端包括选票明文生成模块和加密模块；当开始进行投票时，用户首先将自身的身份凭证发送给所述认证中心，认证通过之后得到自己的身份ID签名；之后用所述加密模块对自己的选票内容使用算法进行加密，再将加密后的选票内容连同自己的身份ID签名一起发送给验证服务器；

所述验证服务器，包括两台服务器：验证服务器A和验证服务器B，所述两台服务器相互交互，共同完成对选票合法性的验证和同态计票工作；所述验证服务器A包括签名验证模块、合法性验证模块A和同态计票模块；验证服务器B包括合法性验证模块B和存储系统私钥的第一可信存储模块；

所述计票服务器，用于对部分同态计票密文进行解密，并将解密结果发布在公告板上；在投票结束之后，计票服务器还将接受验证程序的验证请求；所述计票服务器包括解密模块、验证响应模块和存储系统私钥的第二可信存储模块；

所述验证程序，用于验证计票服务器是否进行了正确计票，即对部分同态计票的密文结果进行了正确的解密；所述验证程序包括加密模块和同态运算模块；

所述公告板，用于发布部分同态计票密文和部分同态计票结果。

2.根据权利要求1所述的可验证的后量子电子投票系统，其特征在于，所述合法性验证模块A，用于选票合法性验证的预处理阶段，该模块包含两个部件：随机向量生成部件和密文位累加部件；其中随机向量生成部件用于生成一个由随机数组成的向量；密文位累加部件用于对选票的密文进行按位同态累加以及随机化同态累加操作；在完成对选票密文的预处理阶段之后，再将处理后的中间数据发送给验证服务器B；此外，所述合法性验证模块A在得到验证服务器B返回的最终验证结果之后，将通过验证的选票传给同态计票模块，而没有通过验证的选票将会被丢弃，同时该选票对应的身份ID签名会被记录到黑名单中；所述同态计票模块用于对一组固定数量的合法选票进行同态加法运算，并将运算结果发送给公告板进行显示。

3.根据权利要求1所述的可验证的后量子电子投票系统，其特征在于，所述系统的加密和解密选用LWE算法进行处理；

所述合法性验证模块B包括一个解密部件，该解密部件用于对合法性验证模块A发过来的数据进行解密；

所述验证程序的同态运算模块还包含一个随机数生成部件，该随机数生成部件用于生成随机数。

4.根据权利要求1所述的可验证的后量子电子投票系统的投票方法，其特征在于，包括下述步骤：

S1、系统初始化步骤，该步骤具体为：

S11、选择并生成公共参数；

S12、根据公共参数，生成签名所用的公私钥对和系统公私钥对；

S13、认证中心生成所有合法选民的身份信息；

S14、选民获得系统公钥，计票服务器与验证服务器B共享系统私钥，验证服务器A获得签名公钥；

S15、验证服务器B生成一个压缩后的系统私钥；

S2、选民注册步骤，该步骤具体为：

S21、向认证中心发送自己的身份信息；

S22、认证中心对收到的用户身份信息进行验证，对验证通过的用户分配身份ID；

S23、认证中心使用签名私钥对身份ID进行签名；

S24、用户接收身份ID签名；

S3、用户投票步骤，该步骤具体为：

S31、用户做出自己的投票选择，生成选票明文；

S32、使用系统公钥对自己的选择进行加密；

S33、将选票密文与身份ID签名封装成选票，发送给验证服务器A；

S4、身份验证步骤，该步骤具体为：

S41、验证服务器A使用签名公钥对用户发送过来的身份ID签名进行验证；

S42、若验证通过，则进行选票合法性验证，若验证不通过，则将该选票直接丢弃；

S5、选票合法性验证步骤，该步骤具体为：

S51、验证服务器A调用随机向量生成部件生成一个随机向量；

S52、对选票进行预处理：验证服务器A调用密文位累加部件对选票的密文进行按位同态累加以及随机化同态累加操作；

S53、将经过预处理后的数据发送给验证服务器B；

S54、验证服务器B收到验证服务器A发来的数据之后，利用这些数据进行一次常规解密与随机化解密，并对解密结果进行判断；

S55、将判断结果返回给验证服务器A；

S56、验证服务器A根据验证服务器B返回的验证结果对选票进行处理；若验证通过，则进行下一步的计票工作；若验证不通过，则将该选票丢弃，并将对应的身份ID签名放入黑名单中；

S6、部分同态计票步骤，该步骤具体为：

S61、验证服务器A根据系统生成的参数，对一组固定数量的合法选票进行同态加法运算，并将生成的部分同态计票密文发送给计票服务器进行解密，同时发送给公告板进行公示；

S62、将已经进行过部分同态计票的单张选票删除，以进一步保护用户的隐私；

S63、重复步骤S61和步骤S62直到投票过程结束；

S7、计票步骤，该步骤具体为：

S71、计票服务器收到部分同态计票密文之后，使用第二可信存储模块中的私钥对其进行解密，并将结果发送给公告板进行公示，在解密的时候，通过纠错码机制来降低LWE算法解密中引入的误差；

S72、对每一组部分同态计票结果进行累加，公布最终投票结果；

S8、计票结果验证步骤，该步骤具体为：

S81、验证程序从公告板上读取部分同态计票结果，并使用系统公钥对其进行加密，之后将加密结果传递给同态运算模块；

S82、同态运算模块读取公告板上发布的部分同态计票密文，并将接收到的加密结果与上述密文进行同态相减运算，并将运算结果发送给计票服务器；

S83、读取计票服务器返回的解密结果并进行第一步验证，所述第一步验证为判断该解密结果是否为0；

S84、若第一步验证通过，则进行第二步验证：调用同态运算模块中的随机数生成部件生成随机数，并将该随机数与步骤S82中同态相减运算的结果进行处理之后再次发送给计票服务器，读取计票服务器返回的结果并进行验证；

S85、若第二步验证通过，则初步判定计票结果正确；

S86、根据本次投票的安全性需求，对每一组选票进行多轮验证，即反复执行步骤S81～S85；

S87、对每一组部分同态计票密文和部分同态计票结果都进行步骤S81～步骤S86，直到每一组都验证完成。

5.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述系统初始化步骤S1中,各分步骤具体为：

S11、选择并生成公共参数：选择LWE加密系统参数n、l、q、α、以及同态计票上限VHom_max，其中n是LWE加密系统的安全参数；l是选票明文字符串的长度，代表候选人的数量；q表示模数，由于同态运算为有限域运算，要对运算结果进行模q操作；α是高斯抽样时用到的参数，关系到抽样的平方差；VHom_max表示VSA每次部分同态计票最多能进行同态加法运算的次数；

S12、根据公共参数，生成签名所用的公私钥对和系统公私钥对；系统公钥为(A,u^T)，系统私钥为s；签名公钥为PK_sig，签名私钥为SK_sig；其中A是模数q的有限域上随机生成的大小为n*n的矩阵；u^T＝s^TA+e^T，其中e^T是根据高斯抽样生成的大小为n*l的矩阵；

S13、认证中心生成所有合法选民的身份信息，包括合法选民的身份凭证及对应的用户身份ID；

S14、选民通过可靠渠道获得系统公钥，计票服务器与验证服务器B通过可靠渠道共享系统私钥，验证服务器A通过可靠渠道获得签名公钥；所述签名公钥和签名私钥均有认证中心生成；

对于系统公钥和签名公钥，可靠渠道包括投票官网或证书签发机构；对于系统私钥可靠渠道是线下的交换，将所述系统私钥存在U盘当中，由专人负责将存有系统私钥的U盘交给计票服务器和验证服务器B的管理人员；

S15、验证服务器B生成一个压缩后的系统私钥：

其中，i代表矩阵s^T的第i行，n代表第n列，T表示矩阵的转置。

6.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述投票步骤S3中，各分步骤具体为：

S31、用户做出自己的投票选择，生成选票明文：

在所述投票系统中，选票明文的形式为长为l的01字符串，字符串中的每一位都对应一位候选人；选票字符串中有且仅有一位为1，其余位为0，值为1的那一位即为用户选择的候选人，设选票明文为vote；

S32、使用系统公钥对选票字符串进行加密，生成选票密文如下：

C＝(b＝(Ar+x),b′＝(u^Tr+x′+f(vote)))

其中，f(vote)表示对vote中的每一位字符都乘上r、x、x＇都是LWE加密过程中根据高斯分布生成的矩阵，同时为了方便，将(Ar+x)的结果记作b，将(u^Tr+x′+f(vote))的结果记作b′；

S33、将选票密文C与身份ID签名封装成选票，发送给验证服务器A。

7.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述选票合法性验证步骤S5中，各分步骤具体为：

S51、验证服务器A调用随机向量生成部件生成一个随机向量

S52、对选票进行预处理：验证服务器A调用密文位累加部件对选票的密文进行按位同态累加以及随机化同态累加操作；

所述预处理具体为计算：

其中，b_sum1、b′_sum1、b′_sum2分别表示三个运算的结果；

S53、将b_sum1、b′_sum1、b′_sum2、发送给验证服务器B；

S54、验证服务器B收到验证服务器A发来的数据之后，利用这些数据进行一次常规解密与随机化解密，并对解密结果进行判断；

首先进行第①步验证，从第一可信存储模块中获得系统私钥，并对(b_sum1,b′_sum1)进行解密：

解密之后并判断dec₁的值是否为1；若dec₁的值为1，则进行下一步的验证，否则第①步验证不通过；

第②步验证过程如下：计算

其中，运算代表将s^tb结果的每一位与中的对应位相乘；

之后将的每一位进行累加：

并计算：

dec₂＝f^-1(b′_sum2-partialDec)

若dec₂的值与中的某个元素相等，则最终判定选票内容合法；

S55、验证服务器B将判断结果返回给验证服务器A；

S56、验证服务器A根据验证服务器B返回的验证结果对选票进行处理；若验证通过，则进行下一步的计票工作；若验证不通过，则将该选票丢弃，并将对应的身份ID签名放入黑名单中。

8.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述部分同态计票步骤S6中，各分步骤具体为：

S61、验证服务器A根据系统生成的公共参数，对VHom_max张合法选票进行同态加法运算，生成：

PartialHomC_i＝HomAdd(VHom_max张合法选票)

其中，HomAdd表示将两个密文按位相加；

然后将生成的部分同态计票密文PartialHomC_i发送给计票服务器进行解密，同时发送给公告板进行公示；

S62、将已经进行过部分同态计票的单张选票删除，以进一步保护用户的隐私；

S63、重复步骤S61和步骤S62直到投票过程结束。

9.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述计票步骤S7中，各分步骤具体为：

S71、计票服务器收到部分同态计票密文PartialHomC_i之后，使用第二可信存储模块中的私钥对其进行解密，并将生成结果PartialRes_i发送给公告板进行公示；

S72、对每一组部分同态计票结果进行累加，公布最终投票结果：

10.根据权利要求4所述的可验证的后量子电子投票系统的实现方法，其特征在于，所述计票结果验证步骤S8中，各分步骤具体为：

S81、验证程序从公告板上读取部分同态计票结果PartialRes_i，并使用系统公钥对其进行加密，

PartialResC_i＝(b＝(Ar+x),b′＝(u^Tr+x′+f(PartialRes_i)))，

之后将加密结果传递给同态运算模块；

S82、同态运算模块读取公告板上发布的部分同态计票密文PartialHomC_i，并将接收到的加密结果与所述部分同态计票密文进行同态相减运算：

PartialSubC_i＝PartialHomC_i-PartialResC_i

并将运算结果发送给计票服务器；

S83、读取计票服务器返回的结果并进行第一步的验证：判断解密的结果是否为0，若为0，则第一步验证通过；若不为0，则第一步验证不通过，判定计票服务器给出的结果是错误的，则重新进行投票或向投票主办方反映；

S84、若第一步验证通过，则进行第二步的验证：调用同态运算模块中的随机数生成部件生成随机数，并将该随机数与步骤S82中同态相减运算的结果PartialSubC_i进行处理：

rand₁＝random(seed)

rand₂＝random(seed)

testC₀＝PartialSubC_i+LWEEnc(rand₁,PK_lwe)

testC₁＝LWEEnc(rand₂,PK_lwe)

其中PK_lwe表示系统公钥，PK_lwe＝(A,u^T)；

再随机生成一个比特coin∈{0,1}，并将testC_coin发送给计票服务器，要求其进行解密；为降低偶然性，第二步验证反复执行三次或四次；

S85、读取计票服务器返回的解密结果并进行验证；若返回的结果与testC_coin相等，则第二步验证通过，并初步判定计票结果正确；

S86、根据本次投票的安全性需求，对每一组选票进行多轮验证，即反复执行步骤S81～S85；

S87、对每一组部分同态计票密文PartialHomC_i和部分同态计票结果PartialRes_i都进行步骤S81～S86，直到每一组都验证完成。