CN108777616B - 一种抗量子计算机攻击的电子选举方法、管理装置和电子选举系统 - Google Patents

Abstract

本发明涉及一种抗量子计算机攻击的电子选举方法、管理装置和电子选举系统。该方法包括：管理端发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；选举端向管理端发送投票请求，投票请求中包含该选举端的选票信息，管理端响应该投票请求，对选举端进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；管理端使用加密无密钥协议将保存的选票传递给计票端；计票端统计选票信息并公布选举结果。本发明将抗量子计算机攻击的焦点从被动防御转移到主动防御，可达到选举方案所需的完整性，合理性，隐私性，合法性，不可重复性，公平性和可验证性。

Description

一种抗量子计算机攻击的电子选举方法、管理装置和电子选 举系统

技术领域

本发明属于信息技术、量子密码学技术领域，具体涉及一种抗量子计算机攻击的电子选举方法、管理装置和电子选举系统。

背景技术

近几十年来学术界和工业界的学者专家提出了许多选举方案。由于选举方案的构造对密码学来说是一个具有挑战性的问题，因此密码学家对选举方案进行了大量研究，其目的在于实现选民身份的匿名性，选举的隐私性和公平性。

Chaum在1981年提出了第一个电子选举方案。该方案使用公钥密码和假名名册来隐藏选民的身份。多年来，学术界和工业界也提出了许多电子选举方案。这些方案分为三类：(1) 基于同态加密的选举方案；(2)基于Mix-net的选举方案；(3)基于盲签名的选举方案。然而，几乎现有的所有电子选举方案的安全性假设均是基于大整数因子分解或离散对数，而大整数因子分解和离散对数被证明可以被量子算法所破解，因此其安全性受到量子计算机的很大威胁。此外，有些现存的方案还基于安全多方计算，然而该方案在恶意攻击者攻击的不安全渠道中无法实现不可重复性(电子选举协议必须满足的7条性质之一)。因此，我们可以认为现存的选举方案都有或多或少的缺点。

因此，构造可抵抗量子计算机攻击的电子投票方案成为了一个重要问题。提出抵抗量子计算机投票方案的主要研究点是寻找一种合适的可抗量子计算机攻击的密码算法。在学术界和工业界，近年来，构建可抵抗量子计算机攻击的密码算法已成为普遍关注的问题。可抗量子攻击的算法根据通讯环境分为两类：一种基于量子计算和量子通信，属于量子密码学。在量子密码学启发下，一些学者提出了相应的量子选举方案。然而，与传统的电子选举方案相比，量子选举的方案并不容易实施。因为它们需要建立昂贵的量子信道来完成量子密码的传输，成本相对较高，且体系庞大应用范围较小。另一种基于对抗量子计算机攻击的计算能力，通常称为后量子密码学。迄今为止由于对基于哈希、格基、编码和多变量的困难问题的密码算法还没有找到有效的量子攻击算法，许多研究人员将他们的兴趣转向相关的后量子密码学和密码分析问题。也有一些基于以上提到的四种的后量子密码的选举方案被提出。但上述后量子密码仍然存在缺陷。最重要的一点是，一旦找到可以攻克上述密码的量子算法，那么原来所谓的后量子密码将不再安全。随着量子计算机理论的发展，上述算法的安全性曾受到威胁。因此，必须考虑一个问题：如今当我们面对量子计算机的计算攻击能力的时候，应该采取主动防御还是被动防御。

由于量子计算机是一个物理系统，其门限运算速率可能会受到一些基本物理参数的限制。由于量子计算机物理实现中的一些固有极限，可能对量子算法的可完成情况受到限制。因此，可以从量子计算机的物理局限出发，构造抗量子的密码算法。深入到量子计算机内部，考察其本身的局限性，从物理定律出发研究量子计算机系统的物理局限性，而研究量子计算机计算能力上的理论极限，并基于这些理论极限构造抗量子攻击的密码算法。无密钥协议和加密的密钥交换协议正是基于此观点提出。在算法后量子安全性的证明中，考虑抵抗量子计算机攻击时，首先选取离子阱这一典型相干场驱动量子计算机进行研究。主要包括基于相干场驱动量子计算机的容许逻辑深度，系统分析有关量子算法的逻辑深度是否在容许逻辑深度范围内，量子算法能否可靠执行。研究结果表明加密的无密钥协议和加密的密钥交换协议不能在离子阱量子计算环境下被实际攻破，即其实际的后量子安全性。

现有技术中，无密钥协议是一个允许一方可以安全地将消息发送给第二方而无需交换或分发加密密钥的框架。因为发送者和接收者需要交换三条加密的消息它也被称为三通协议。无密钥协议的基本概念是每一方都有一个私钥和一个私钥对应的解密密钥。双方独立使用他们的密钥，首先加密消息，然后解密消息。为了使加密函数和解密函数适用于无密钥协议，它们必须具有以下特性：对于任何消息m，任何加密密钥e，还有其具有对应关系解密密钥d 和任何独立的加密密钥k，他们满足：D(d,E(k,E(e,m)))＝E(k,m)。

Shamir的无密钥协议是基于离散对数(discrete logarithm：DL)构造的协议。在这个协议中，通用的无密钥协议中的D(*)和E(*)取而代之的是离散对数算法。而Shamir的基于DL的无密钥协议不能抵抗中间人攻击。

加密的无密钥协议可以抵抗中间人攻击，而且加密无密钥协议其拥有实际后量子安全性，其基于具体量子计算机的物理属性论证了算法的后量子安全性，这个安全性不受未来量子算法的发展影响。加密的无密钥协议步骤如下，其中，该协议的E_P(*)表示用P对(*) 加密的对称加密算法。

a)A随机选择一个字符串M并且选择一个私钥a，然后计算a^-1(mod q-1)并且发送E_P(M^amod q)给B；

b)B随机选择一个私钥b并且计算b^-1(mod q-1)，用P解密E_P(M^amod q)并且发送

E_P((M^a)^bmod q)给A；

c)A解密之后计算

并且把E_P(M^bmod q)发送给 B；

d)B解密之后通过计算

恢复得到M。

加密无密钥协议基于离子阱计算机的安全分析：相干场驱动量子计算是指由激光场和其他相干场组成的门操作，包括离子阱，腔体量子电动力学。其中，离子阱是最早提出的量子计算机的实现方案，它在Shor算法的实现上有一系列的进展。近年来，学术界认为离子阱量子计算机是最有前景的量子计算机的物理实施方案之一。所以本发明也将抵抗的量子计算机模型重点关注在离子阱量子计算机模型上。在攻击模型计算机为离子阱量子计算机时，一个88位的密码(加密无密钥协议中提到的密码的位数)可以抗量子计算机的攻击，保证加密无密钥协议的安全。

发明内容

本发明针对现有技术中电子选举方案中的问题，提供一种抗量子计算机攻击的电子选举方法、管理装置和电子选举系统，能够抗量子计算机攻击，有效地保护选举方案的隐私。

本发明采用的技术方案如下：

一种抗量子计算机攻击的电子选举方法，其特征在于，包括以下步骤：

初始化步骤：管理端发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；

带身份认证的投票步骤：选举端V_i向管理端发送投票请求，投票请求中包含该选举端的选票信息，管理端响应该投票请求，对选举端V_i进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；其中V_i表示第i个选举端，1≤i≤N，N表示选举端总数；

选票传递步骤：管理端使用加密无密钥协议将保存的选票传递给计票端；

计票和公布步骤：计票端统计选票信息，并公布选举结果。

进一步地，所述候选人集合中的每个元素都是由管理端随机选择的s位字符串，表示符合条件的候选人；其中s为足够大的正整数，以确保随机猜测一个s位字符串是所述候选人集合的元素的概率是能够忽略的。

进一步地，所述对电子选举过程所需的密钥进行预处理，包括：选举端V_i和管理端共享一个认证密钥K_i和一个密码

所有的选举端和管理端共享一个密钥K_va；计票端和管理端共享一个密码P_ac和一个密钥Ka；选举端V_i和计票端共享一个密钥K_vc和一个密码P_vc；其中，K_va和P_vc与选民身份无关。

进一步地，对选举端V_i进行选民身份的认证，包括：

1)选举端V_i在候选人集合中选择一个B_i作为自己的选票，同时使用K_vc加密自己的ID_i生成一个独一无二的校验密钥S_i；

2)为防止B_i||S_i被篡改，V_i使用K_va生成B_i||S_i的消息认证码，该消息认证码表示为：

3)V_i将

发送给管理端；

4)管理端解密

得到K_i，如果K_i已存在于管理端的数据库当中，则管理端拒绝传递选票以防止重复投票，否则V_i使用对应的

与管理端执行加密无密钥协议，得到ID_i；如果ID_i通过认证，那么管理端将V_i的相关信息存入数据库，并最后得到一个通过认证的选民信息表；其中

表示用密钥K加密的对称加密算法。

进一步地，当管理端为选举端V_i传递选票时，管理端对选举端V_i的ID进行ID置换操作，将所有选举端的ID重新排序，并且只有管理端知道ID置换表。

进一步地，采用以下算法传递选票的相关信息：

A→C：

C→A：

A→V_i：

V_i→A：

A→C：

其中，A表示管理装置，C表示计票端，“→”前面的符号表示发送者，后面的符号表示接收者；

表示用K。加密的对称加密算法，K。取值为K_va或K_a；

表示运行密码是P的加密无密钥协议，内层

表示为运行密码是P_vc的加密无密钥协议来传送消息

其中

为V_i和C运行加密无密钥协议时生成的随机数。

进一步地，选举端通过查找校验密钥来验证自己的选票是否被正确记录，如果未正确记录，则申诉重新投票。

进一步地，对于没有投票成功的选举端，计票端公布被管理端置换的ID序列，管理端和选举端V_i都能够知道该选举端V_i是否成功投票；随后，管理端创建新的密钥，组织没有投票成功的选举端进行新一轮的投票；如果选举端对自己的选票持有异议，则在管理端的帮助下重新进行一轮选举，直到最后公开结果无异议后，选举到此结束。

一种用于抗量子计算机攻击的电子选举的管理装置，其包括:

初始化模块，用于发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；

带身份认证的投票模块，用于响应选举端V_i向其发送的投票请求，投票请求中包含了该选举端的选票信息；对选举端V_i进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；其中V_i表示第i个选举端，1≤i≤N，N 表示选举端总数；

选票传递模块，用于使用加密无密钥协议将保存的选票传递给计票端。

进一步地，所述候选人集合中的每个元素都是随机选择的s位字符串，表示符合条件的候选人；其中s为足够大的正整数，以确保随机猜测一个s位字符串是所述候选人集合的元素的概率是能够忽略的。

进一步地，所述对电子选举过程所需的密钥进行预处理，包括：选举端V_i和管理装置共享一个认证密钥K_i和一个密码

所有的选举端和管理装置共享一个密钥K_va；计票端和管理装置共享一个密码P_ac和一个密钥Ka；选举端V_i和计票端C共享一个密钥K_vc和一个密码P_vc；其中，K_va和P_vc与选民身份无关。

进一步地，对选举端V_i进行选民身份的认证，包括：

1)选举端V_i在候选人集合中选择一个B_i作为自己的选票，同时使用K_vc加密自己的ID_i生成一个独一无二的校验密钥S_i；

2)为防止B_i||S_i被篡改，V_i使用K_va生成B_i||S_i的消息认证码，该消息认证码表示为：

3)V_i将

发送给管理装置；

4)管理装置解密

得到K_i，如果K_i已存在于管理装置的数据库当中，则拒绝传递选票以防止重复投票，否则V_i使用对应的

与管理装置执行加密无密钥协议，得到ID_i；如果ID_i通过认证，那么管理装置将V_i的相关信息存入数据库，并最后得到一个通过认证的选民信息表；其中

表示用密钥K加密的对称加密算法。

进一步地，当管理装置为选举端V_i传递选票时，管理装置对选举端V_i的ID进行ID置换操作，将所有选举端的ID重新排序，并且只有管理装置知道ID置换表。

进一步地，采用以下算法传递选票的相关信息：

A→C：

C→A：

A→V_i：

V_i→A：

A→C：

其中，A表示管理装置，C表示计票端，“→”前面的符号表示发送者，后面的符号表示接收者；

表示用K。加密的对称加密算法，K。取值为K_va或K_a；

表示运行密码是P。的加密无密钥协议，内层

表示为运行密码是P_vc的加密无密钥协议来传送消息

其中

为V_i和C运行加密无密钥协议时生成的随机数。

一种抗量子计算机攻击的电子选举系统，包括选举端，计票端，以及上面所述的用于抗量子计算机攻击的电子选举的管理装置。

本发明提出了一种可抵抗量子计算机攻击的电子选举方法，选择将抗量子计算机攻击的焦点从被动防御转移到主动防御，去研究量子计算机的特性及其内部结构。该方法既不基于可被量子算法攻克的大整数因子分解和离散对数的安全性假设也不基于格基、哈希等后量子密码，即使拥有离子阱量子计算机的对手也不能破坏该选举方案的隐私。本发明的关键技术是使用具有实际后量子安全性的加密无密钥协议进行信道中的信息传输，这保证了电子选举方案的隐私性。

本发明的方法基于量子计算机内在的物理限制并可达到选举方案所需的7条安全属性 (完整性，合理性，隐私性，合法性，不可重复性，公平性和可验证性)。恶意攻击者不能中断投票，并且选举中的任何违规行为都是可检测的。本发明使用实际后量子安全来实现选举方案是一种富有吸引力和成效的研究方法。

附图说明

图1是本发明系统框架图。

图2是本发明选举方法的选举过程示意图V_i投票为例)。

具体实施方式

下面通过具体实施例和附图，对本发明做进一步详细说明。

1.选举协议的符号说明

本发明提出了一种抗量子计算机攻击的电子选举方案，该方案达到了基于物理定律的后量子安全性可抵抗量子计算机的攻击。如图1所示，本发明由选举端V_i，管理端A和计票端C三种装置自动完成电子选举过程，以管理端举例，其统称表示管理员以及管理员使用的设备，记票端和选举端同理。表1中描述了该方案涉及的符号(本符号表在全文通用)。

表1:选举协议的符号说明

2.协议的具体构造

目前主流的后量子密码学有很多不足之处，最重要的一点是到目前为止还没有找到一个量子多项式时间的算法攻克格基密码、多变量密码等后量子密码。因此，可以从另一角度考虑后量子安全问题。面对量子计算机的计算能力，本发明尝试将后量子安全的焦点从被动防御转移到主动防御，研究量子计算机的特点和内在缺陷。

由于量子计算机是一个物理系统，它的门操作速率受到一些基本物理参数的限制，因此可以使用像加密密钥交换协议和加密无密钥协议等密码算法去达到抵抗量子计算机攻击的安全性。在本发明的协议中，使用加密无密钥协议进行选举投票消息的传输，方案参与者通过执行各阶段的算法完成投票。图2是选举过程示意图。选举方案的构造具体如下：

2.1初始化阶段

在初始阶段，投票候选人集合被宣布。在身份认证阶段之前，投票管理端将发布一个集合

该集合中的每个元素都是由管理端随机选择的s位字符串，来表示符合条件的候选人。此外，管理端将公布相应的候选人。在选举方案中，以选举端V_i为例(n个选举端中第i个选举端(1≤i≤n))。合法选举端V_i选择一个候选人的相应元素作为他的选票B_i。本发明假设s足够大，以确保随机猜测一个s位串是集合

的元素的概率是可以忽略的。合法的选举端有一串代表选举端身份的ID号码，由管理端A分配。

同时，协议所需的密钥应该被预处理，预处理的密钥以保密通信的方式分发到选举端、管理端和记票端。选举端V_i和管理端A应共享一个认证密钥K_i和一个密码

所有的选举端和A共享一个密钥K_va；计票端C和A提前共享一个密码P_ac和一个密钥K_a。选举端V_i和C应该共享一个密钥K_vc和一个密码P_vc。其中，K_va和P_vc与i无关，即与选举端身份无关。密钥预处理表如表2所示。所有的这些工作应该提前完成。

表2:密钥预处理表

2.2认证阶段

在这个阶段，认证合法选举端身份。如果V_i是合法选举端，他的身份将通过有效的身份序列串而被认可。以选举端V_i为例，V_i想要进行投票。首先，V_i在候选人集合中选择一个B_i作为自己的选票，同时使用K_vc加密自己的ID_i生成一个独一无二的校验密钥S_i。为防止B_i||S_i被篡改，V_i使用K_va生成B_i||S_i的消息认证码。为简单表达该长序列号，也可通过符号说明表(表1)可知，

V_i将

发送给A。首先A解密

得到K_i。如果K_i已存在于A的数据库当中，则A拒绝传递选票以防止重复投票。否则V_i使用对应的

与A执行加密无密钥协议，得到ID_i。如果ID_i通过认证，那么A将V_i的相关信息存入数据库，并最后得到一个通过认证的选举端信息表。当所有的选举端都通过认证之后，A公布通过认证的所有选举端的身份ID。通过认证的选举端信息如表3所示。

表3:通过认证的选举端信息表

2.3传送选票阶段

在这个阶段，A帮助选举端传送选票给C。每当管理端A为某个选举端传送选票时，管理端对其ID进行ID置换操作，将ID重新排序。比如选举端V_i的ID_i置换成ID_j，其处于第j个位置被传送选票。此时，只有A知道ID置换表，即使C看到ID也不知道具体对应的选举端身份。ID置换表如表4所示。

以选举端V_i为例，即V_i的B_i发送后是B_j，虽然表示为B_j，，但是置换前其为B_i。接下来， A传送选票B_j的相关信息(Y_j)。由于选票信息对A不可见且要保证后量子安全性，所以对选票信息需要进行加密无密钥协议的加密传输。最终通过A做中间人将消息传给C。具体传递算法如下：

A→C：

C→A：

A→V_i：

V_i→A：

A→C：

上述传递算法说明如下：以A→C为例，其代表A为发送者，C为接收者。其中

表示用K。加密的对称加密算法(K。取值为K_va或K_a)，

表示运行密码是P。的加密无密钥协议，内层

亦表示为运行密码是P_vc的加密无密钥协议来传送消息Y_j ^■，其中■为V_i和 C运行加密无密钥协议时生成的随机数。上述传递算法起到中间人为A，为V_i将选票传递至 C的作用。

在传送选票阶段结束时，A已将n个选举端的投票信息传送给C。

表4:ID置换表

2.4公布结果阶段

在这个阶段，C公开一个公告板，并公布最后选举结果。选举端可以通过查找校验密钥来验证自己的选票是否被正确记录，如果未正确计数，则申诉重新投票。以记录来自V_i的选票信息Y_i′为例。C收到Y_i′，其包含X′_i和

同时C也收到置换后的身份序列串ID_j。首先C使用K_vc计算

如果

不等于

则说明消息被篡改。否则C可提取

然后C使用K_va去计算

以此来验证B′_i和S′_i没有被篡改。接下来C验证S_i是否被接收，通过验证后，如果

C认为该选票合法并记录它的相关内容B′_i,S′_i,

(B_i||_i)到计票端发布的选票信息表。

在所有选举端的选票都得到处理后，C统计并公布选举端的校验码和选票结果的成功。对于没有投票成功的投票人，C公布被A置换的ID序列，A和V_i都可以知道V_i是否成功投票。对于每个没有投票成功的投票人，A会创建一个新的系列的密钥

并帮助他们进行新一轮的投票。

当所有的合法的选票被统计完毕，C公开选举结果和选票信息表的相关内容 B′_i,S′_i,

(B_i||S_i)。如果选举端对自己的选票持有异议，则需要端在管理端A的帮助下重新建立一轮选举。直到最后公开结果毫无异议后，选举到此结束。

表5:计票端公开的选票信息表

本发明另一实施例提供一种用于抗量子计算机攻击的电子选举的管理装置，其包括:

初始化模块，用于发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；

带身份认证的投票模块，用于响应选举端Vi向其发送的投票请求，投票请求中包含了该选举端的选票信息；对选举端Vi进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；其中Vi表示第i个选举端，1≤i≤N，N 表示选举端总数；

选票传递模块，用于使用加密无密钥协议将保存的选票传递给计票端。

本发明另一实施例提供一种抗量子计算机攻击的电子选举系统，包括选举端，计票端，以及上面所述的用于抗量子计算机攻击的电子选举的管理装置。

本发明设计的抗量子计算机攻击的选举方法满足了选举方案所必须的7条特性，同时其安全性满足了实际的后量子安全性。下面来讨论本发明满足的选举方案的7条特性。现存的选举方案主流分以下三类：(1)基于同态加密的选举方案；(2)基于Mix-net的选举方案；(3) 基于盲签名的选举方案。这些方案基于的安全性假设——大整数因子分解或离散对数不能抵抗量子计算机攻击，而且基于格基、哈希等后量子密码构造的选举协议也有着各自的问题。本发明满足包括完整性、合理性、私密性、合法性、不可重复性、公平性、可验证性在内的七种特征。其中，私密性和合法性是选举方案中最重要的特征。在本发明中，该方案满足了实际的后量子安全的隐私性和合法性，将重点阐述证明。同时，也证明了该方案达到了选举方案所必须的其他特征。

隐私性：隐私性意味着选票的内容对其他人不可见。即，其可以保护投票者的隐私。在本发明中，A知道投票者的身份但是看不到选票。同时，C知道选票但是不知道对应的投票者的身份信息。当C不诚实时，隐私性仍然存在。以V_i(1≤i≤n)为例，C只能知道S_i和选票B_i，但是不知道投票者的身份信息。他不能把B_i和ID_i相匹配。除了V_i没有人可以追踪投票。接下来进行详细证明，保证V_i隐私性，即对A和C都不可见的信息是基于加密无密钥协议的实际后量子安全性。与A通信的投票者的选票和身份都是通过加密无密钥协议执行传输的。因此，投票方案的隐私性可归约至加密无密钥协议的安全性。当投票者们举报发现选票信息表 (表5)的选票不正确时，A可以核实选票的正确性，并帮助投票者们在不知道投票结果的情况下完成正确的投票，这也确保了隐私性。

以加密无密钥协议传输选票这一信道安全性证明为例。即使存在一个攻击者Eve，隐私性的安全性仍然是抗量子计算机攻击的后量子安全的。如果攻击者想知道消息的内容来追踪选票，他必须将通过P_vc,P_ac,

(1≤i≤n)加密的通信信道中的消息解密。在进行投票的阶段，如果Eve想要获得通信的信息，他只能进行密码猜测攻击：

1.Eve随机生成一个候选密码P_vc'，然后使用它解密信道的消息并获取

2.然后他用

来提取

用

和

提取

3.最后他计算出

和

他通过核查

是否和

相等来检查候选密码P_vc'是否正确。显然，这种攻击的计算复杂度取决于密码的长度。对于每个候选P_vc。对于每一个候选人P_vc'， Eve执行两次离散对数运算。作为抗量子计算机攻击的实际后量子安全的加密无密钥协议，为了抵抗具有离子陷阱量子计算机的攻击者，密码P的长度应该满足:

2ⁿ＞2³⁷

因此，对于一个有一些(2¹)离子陷阱量子计算机的攻击者来说，考虑到攻击者在物理限制上的最大计算能力(即在全地球表面积上全放置满离子阱计算机，其最大限制数量低于2⁴⁹台离子阱量子计算机，其单台离子阱量子计算机每秒离散对数操作低于2⁶次)，因此一个88位的密码就足够抵抗量子计算机100年(大约为2³²秒)的攻击。

当投票者举报公布的选票信息表(表5)中的选票不正确时，A即使不知道实际选票的内容，但也可以确定选票是否正确。由于公布的选票信息表(表5)中的

隐私性仍然存在。C仅仅可以收到B_i||S_i(1≤i≤n)，但是不知道K_va。一旦一个不诚实的C想篡改选票B_j(j∈[1,n])，拥有K_va的A可以重建

虽然A不知道实际的选票和验证密钥，但他可以通过比较

和

来判断选票是否是错误的。

在这个方案中，我们假定管理端A和计数端C是独立的。他们不会密谋合作追踪选票。

合法性：合法性意味着只有合法的投票者才被允许投票。如认证阶段所述，申请投票的投票者V_i(1≤i≤n)的身份由管理端验证。只有合法的投票者才能通过身份验证进入投票阶段。如果非法投票者想要投票，合法性的保护仍然存在。如果一个不合法的投票者V_e想要投票成功，他只有两种方式；一个是在身份验证阶段模拟合格的选举端V_i，另一个是在投票阶段生成有效的选票。在第一种情况下，由于量子安全的加密无密钥协议，V_e根本不能得到有效的 ID_i和K_i。另一种情况是，V_e截获了V_i的加密选票信息，并将假选票发送给C。为了成功投票，V_e必须重建以下字符串：

如果他发送的字符串组比V_i的字符串组更早的发至C，C将接受

然而，V_e无法计算有效的

因为他/她不知道密钥和加密信息。因此 C解密了一个随机的s比特的字符串。与此同时，前文已说明s太大以致一个随机的s比特的字符串是有效的候选人的概率可以忽略不计。因此，任何一个攻击者都不会伪造有效的选票。

完整性：完整性意味着所有有效的选票必须正确计数。在所有的选票都是有效的条件下，即所有的参与者(包括选举端、管理端和计数端)都是诚实的，选票都是正确地统计出来的。显然，该方案满足完整性。

合理性：合理性意味着不诚实的投票者不会扰乱选举。当一个不诚实的投票者V_i(1≤i≤n) 想要破坏选举，他/她会拒绝投票。通过发送无效投票或公布选票后举报他方作弊来干扰选举进行。然而，所有这些行为对正常的选举参与者而言都是不正常的。在验证阶段结束时，A 将公布经过身份验证的投票者的ID。与此同时，A会进行审查是否全体选举端都正常参与投票。如果选举端在很长一段时间内没有做出反应，A就会发现选举端行为不正常。如果一个不诚实的投票者总是发送无效的选票，C会发现选举端行为不正常，因为

最后一种情况是不诚实的投票者举报作弊。公告板是由

组成。由于

的不可伪造性，选举端一旦发送，便不可改变他/她的选票信息。因为K_va由选举端和A共享， A可以使用K_va计算

来C是否是攻击者。如果选举端不诚实即可发现选举端行为不正常。

不可重复性：不可重复性意味着每一个合格的投票者都不能成功投票两次。在认证阶段， A可以根据投票者通过身份验证的信息表(即表3)来验证投票者是否重复投票。因此，它可以避免多次投票。在公开选票阶段，C会通过审核S_i以此审核是否收到了同一身份的选举端的重复投票。因此，每个合格的投票者都不可能再次投票。

公平性：公平性意味着没有任何事情可以影响投票。在这个方案中，传递选票阶段是在认证阶段之后完成的，而C在整个方案完成之前不会将投票的中间结果透露给其他人。因此，先前的投票结果不会影响后面进行选举的投票者。因此，本发明的选举方法对所有的选举方都是公平的。

可验证性：可验证性意味着合法的投票者可以验证他/她的选票是否被正确计算。在公布选票阶段，投票者将公布选票信息表。选举端V_i可以通过验证他/她的验证码是否与选票信息相符，然后核实选票是否被正常计数。

在本发明中，主要使用基于离散对数的后量子安全的加密无密钥协议来传输选票。通过对攻击者在物理局限性上的最大计算能力的安全性分析，认为对加密无密钥协议来说，88位的密码即可被使用。本发明中关键技术加密无密钥协议的密码是轻量级的，使用的加密和解密算法是通用对称算法；MAC也是通用的MAC算法。同时，在选举方案的初始阶段有一个密钥的预处理，关于密钥预处理，有很多实用型产品可以被直接加以利用。由于本发明具有轻量级的密码和实用的通用产品模型，因此可以很容易地将本发明方案设计成实际的产品。

本发明旨在为在互联网上进行选举投票提供实用安全的解决方法。以在互联网上进行选举端人数为10人的小型选举为例。选举端使用者为10人，管理端由一人处理即可，计票端由一人处理即可。选举端分别被赋予V_i的身份，其中1≤i≤10。选举端使用V_i的身份与管理端和计票端进行通信，进行投票。在管理端的管理下，完成选举端的选举过程，再由计票装端公布选票。当选举端人数增加时，选举端、管理端和记票端同样可完成选举过程。选举端、管理端和记票端可在同一局域网内进行设置，亦可在不同地方不同区域网进行电子投票。

随着互联网的快速发展，通过互联网进行投票是一项切实可行的方案。然而，大多数存在的投票方案不具有所有的必须特征。本发明设计了一个基于物理局限性抗量子计算机的电子选举方案。该方案的关键技术是实际后量子安全的加密无密钥协议，该协议保证了选举方案的隐私性和合法性。利用基于物理局限性的实际后量子安全性来发明一个选举方法应该是一种具有吸引力且富有成效的研究方法。本发明的工作是这个方向的第一步。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员端可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (13)

1.一种抗量子计算机攻击的电子选举方法，其特征在于，包括以下步骤：

初始化步骤：管理端发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；所述对电子选举过程所需的密钥进行预处理，包括：选举端V_i和管理端共享一个认证密钥K_i和一个密码

所有的选举端和管理端共享一个密钥K_va；计票端和管理端共享一个密码P_ac和一个密钥Ka；选举端V_i和计票端共享一个密钥K_vc和一个密码P_vc；其中，K_va和P_vc与选民身份无关；

带身份认证的投票步骤：选举端V_i向管理端发送投票请求，投票请求中包含该选举端的选票信息，管理端响应该投票请求，对选举端V_i进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；其中V_i表示第i个选举端，1≤i≤N，N表示选举端总数；

选票传递步骤：管理端使用加密无密钥协议将保存的选票传递给计票端；

计票和公布步骤：计票端统计选票信息，并公布选举结果。

2.根据权利要求1所述的方法，其特征在于，所述候选人集合中的每个元素都是由管理端随机选择的s位字符串，表示符合条件的候选人；其中s为足够大的正整数，以确保随机猜测一个s位字符串是所述候选人集合的元素的概率是能够忽略的。

3.根据权利要求1所述的方法，其特征在于，对选举端V_i进行选民身份的认证，包括：

1)选举端V_i在候选人集合中选择一个B_i作为自己的选票，同时使用K_vc加密自己的ID_i生成一个独一无二的校验密钥S_i；

2)为防止B_i||S_i被篡改，V_i使用K_va生成B_i||S_i的消息认证码，该消息认证码表示为：

3)V_i将

发送给管理端；

4)管理端解密

得到K_i，如果K_i已存在于管理端的数据库当中，则管理端拒绝传递选票以防止重复投票，否则V_i使用对应的

与管理端执行加密无密钥协议，得到ID_i；如果ID_i通过认证，那么管理端将V_i的相关信息存入数据库，并最后得到一个通过认证的选民信息表；其中

表示用密钥K加密的对称加密算法。

4.根据权利要求1所述的方法，其特征在于，当管理端为选举端V_i传递选票时，管理端对选举端V_i的ID进行ID置换操作，将所有选举端的ID重新排序，并且只有管理端知道ID置换表。

5.根据权利要求1所述的方法，其特征在于，采用以下算法传递选票的相关信息：

其中，A表示管理端，C表示计票端，“→”前面的符号表示发送者，后面的符号表示接收者；ID_j表示对选举端的ID进行ID置换操作得到的ID；

表示用K.加密的对称加密算法，K.取值为K_va或K_a；E_P.[■]表示运行密码是P.的加密无密钥协议，P.的取值为P_vc或P_ac或

内层

表示为运行密码是P_vc的加密无密钥协议来传送消息Y_j ^■，Y_j ^■中■为V_i和C运行加密无密钥协议时生成的随机数。

6.根据权利要求1所述的方法，其特征在于，选举端通过查找校验密钥来验证自己的选票是否被正确记录，如果未正确记录，则申诉重新投票。

7.根据权利要求1所述的方法，其特征在于，对于没有投票成功的选举端，计票端公布被管理端置换的ID序列，管理端和选举端V_i都能够知道该选举端V_i是否成功投票；随后，管理端创建新的密钥，组织没有投票成功的选举端进行新一轮的投票；如果选举端对自己的选票持有异议，则在管理端的帮助下重新进行一轮选举，直到最后公开结果无异议后，选举到此结束。

8.一种用于抗量子计算机攻击的电子选举的管理装置，其特征在于，包括:

初始化模块，用于发布候选人集合，为选举端分配标识选举端合法身份的ID，并对电子选举过程所需的密钥进行预处理；所述对电子选举过程所需的密钥进行预处理，包括：选举端V_i和管理装置共享一个认证密钥K_i和一个密码

所有的选举端和管理装置共享一个密钥K_va；计票端和管理装置共享一个密码P_ac和一个密钥Ka；选举端V_i和计票端C共享一个密钥K_vc和一个密码P_vc；其中，K_va和P_vc与选民身份无关；

带身份认证的投票模块，用于响应选举端V_i向其发送的投票请求，投票请求中包含了该选举端的选票信息；对选举端V_i进行选民身份的认证，认证通过后保存该选民的选票信息；在选举端投票结束后公布通过认证的所有选举端的ID；其中V_i表示第i个选举端，1≤i≤N，N表示选举端总数；

选票传递模块，用于使用加密无密钥协议将保存的选票传递给计票端。

9.根据权利要求8所述的管理装置，其特征在于，所述候选人集合中的每个元素都是随机选择的s位字符串，表示符合条件的候选人；其中s为足够大的正整数，以确保随机猜测一个s位字符串是所述候选人集合的元素的概率是能够忽略的。

10.根据权利要求8所述的管理装置，其特征在于，对选举端V_i进行选民身份的认证，包括：

1)选举端V_i在候选人集合中选择一个B_i作为自己的选票，同时使用K_vc加密自己的ID_i生成一个独一无二的校验密钥S_i；

2)为防止B_i||S_i被篡改，V_i使用K_va生成B_i||S_i的消息认证码，该消息认证码表示为：

3)V_i将

发送给管理装置；

4)管理装置解密

得到K_i，如果K_i已存在于管理装置的数据库当中，则拒绝传递选票以防止重复投票，否则V_i使用对应的

与管理装置执行加密无密钥协议，得到ID_i；如果ID_i通过认证，那么管理装置将V_i的相关信息存入数据库，并最后得到一个通过认证的选民信息表；其中

表示用密钥K加密的对称加密算法。

11.根据权利要求8所述的管理装置，其特征在于，当管理装置为选举端V_i传递选票时，管理装置对选举端V_i的ID进行ID置换操作，将所有选举端的ID重新排序，并且只有管理装置知道ID置换表。

12.根据权利要求8所述的管理装置，其特征在于，采用以下算法传递选票的相关信息：

其中，A表示管理装置，C表示计票端，“→”前面的符号表示发送者，后面的符号表示接收者；ID_j表示对选举端的ID进行ID置换操作得到的ID；

表示用K.加密的对称加密算法，K.取值为K_va或K_a；E_P.[■]表示运行密码是P.的加密无密钥协议，P.的取值为P_vc或P_ac或

内层

表示为运行密码是P_vc的加密无密钥协议来传送消息Y_j ^■，Y_j ^■中■为V_i和C运行加密无密钥协议时生成的随机数。

13.一种抗量子计算机攻击的电子选举系统，其特征在于，包括选举端，计票端，以及权利要求8至12中任一权利要求所述的用于抗量子计算机攻击的电子选举的管理装置。

Images