CN110224993A - 基于区块链的可追责匿名电子投票方法及系统 - Google Patents

Abstract

本发明公开了一种基于区块链的可追责匿名电子投票方法及系统，包括下述步骤：投票端获得参加投票的成员公私钥对，投票用户管理中心将注册成功的投票端身份信息保存到身份认证表并存入智能合约；投票发起端发起一次投票活动；投票端根据智能合约内容中公布的活动标签构造出投票端的选票信息，向智能合约发送交易进行投票；在智能合约中下载全部投票端的选票信息，验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；达到预设条件后，接收投票发起端私钥以及时间陷门服务器发出的时间陷门对验证通过的选票进行解密，并统计投票结果。本发明实现了对恶意投票端身份的揭露，更好地保证了投票的公平性和安全性。

Description

基于区块链的可追责匿名电子投票方法及系统

技术领域

本发明涉及信息安全和密码学技术领域，具体涉及一种基于区块链的可追责匿名电子投票方法及系统。

背景技术

投票一直与我们的日常生活息息相关，每当有几个意见不一致的人或者团体需要做出某种决定时，投票表决往往是最和平、最直接的统一意见的方式。

随着计算机网络以及密码学技术的发展，电子投票以其高效率、低成本、不易出错的特点逐渐代替了传统纸质投票。当前安全电子投票主要存在以下问题：(1)需要依赖一个或者多个可信中心进行计票；(2)只能保证个人可验证性，或者依赖可信机构保证普遍可验证性；(3)选票信息往往只存储在一个数据中心中，如果遭到恶意攻击致使数据中心的数据被篡改或者破坏将会直接影响投票的正常进行。

已有的方案与传统安全电子投票相比虽然在一定程度上保证了选票的完整性以及可验证性。但是依然存在很多问题：(1)依赖投票方案依托的区块链平台保证投票端匿名性，攻击者可以通过投票端的账户信息“链接”到投票端的真实身份；(2)投票往往被局限在只能让少量投票端进行二选一或多选一的投票；(3)依赖可信计票中心或者通过设置智能合约进行自动计票来保证投票的公平性，自动计票的智能合约往往会带来这样的问题：最后一个投票的投票端可以比其他投票端更早的知道投票结果，不满足电子投票公平性要求。

发明内容

为了克服现有技术存在的缺陷与不足，本发明提供一种基于区块链的可追责匿名电子投票方法及系统，通过投票端身份信息注册、投票端根据智能合约内容进行投票、验证选票合法性以及查看恶意投票端的身份信息步骤，实现了对恶意投票端身份的揭露，更好的保证了投票的安全性；通过时间陷门服务器发出的时间陷门对验证通过的选票进行解密，更好地保证了投票的公平性。

为了达到上述目的，本发明采用以下技术方案：

本发明提供一种基于区块链的可追责匿名电子投票方法，包括下述步骤：

S1：注册：投票端与投票用户管理中心进行信息交互，投票端获得参加投票的成员公私钥对(mpk，msk)，投票用户管理中心将注册成功的投票端身份信息(ID_user，β)保存到身份认证表并存入智能合约；

S2：发起投票：投票发起端设有公私密钥对(apk，ask)，设置智能合约内容后发起投票活动，在智能合约内容中公布活动标签

S3：生成选票与投票：投票端根据智能合约内容中公布的活动标签构造出投票端的选票信息向智能合约发送交易进行投票，其中Proof₂为投票的成员公钥mpk的零知识证明以及验证Γ，计算过程正确的离散对数零知识证明、Ciper为投票端采用投票发起端公钥apk加密的选票信息、l为随机数、Δ^l表示为选票的唯一标识；

S4：统计投票结果：

从智能合约中下载全部投票端的选票信息ballot，验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；

所述验证选票是否重复的步骤为：验证任意两张选票是否存在Γ＝Γ′和l≠l′，若存在，表示两张选票是同一个投票端采用相同的标签生成的；

所述查看恶意投票端的身份信息步骤为：计算其中Γ、Γ′、l、l′表示选票标识，通过β找到相对应的ID_user，获得投票端的身份信息；

达到预设条件后，接收投票发起端私钥ask以及时间陷门服务器发出的时间陷门对验证通过的选票进行解密，并统计投票结果。

作为优选的技术方案，还包括参数初始化步骤，具体步骤为：

配置公共参数：

选择安全参数k，然后产生一个具有k个比特位的大素数p，构建阶为p的对称双线性映射e：G₁×G₁→G_T，设置g为群G₁的生成元，设置安全Hash函数h₂：G₁×G_T→{0，1}^*、h₃：G₁→{0，1}^t，t∈N以及明文空间M：{0，1}ⁿ，n∈N和密文空间其中N表示自然数、G_T表示阶为p的乘法群；

时间陷门服务器选择随机数作为私钥tsk，计算公钥tpk＝g^s；

投票用户管理中心选择g₀，h←G₁，计算P_pub＝g^γ，Δ＝e(g，g)，得到公钥gpk＝(g，P_pub，g₀，h，Δ)与私钥gsk＝γ，并将身份认证表初始化为空表；

投票发起端选择随机数Λ，Υ←G_T；选择投票发起端私钥然后计算Q_pub＝g^s，最终获得投票发起端公钥apk＝(g，Q_pub，Λ，Υ)，其中，Δ表示双线性映射的计算结果，P_pub与Q_pub分别为投票用户管理中心与投票发起端的公钥的一部分。

作为优选的技术方案，步骤S1所述注册的具体步骤为：

S11：投票用户管理中心设置注册截止时间T_register；

S12：投票端选择x′，并计算C′＝g^x′h^r，将计算结果发送给投票用户管理中心，其中，x′，表示x′，r是从0到p之间随机选取的大素数；

S13：投票用户管理中心选择y′，将选择好的y′，y发送给投票端；

S14：投票端计算x＝y+x′y′、(C，β)＝(g^x，Δ^x)以及检验等式C″＝h^ry′，将数据(i，β)添加到投票用户管理中心的身份认证表中，其中i是投票端身份的唯一标识，Δ表示双线性映射的计算结果，g、h为公钥gpk内参数，投票端将(C，p)、C″以及离散对数零知识证明Proof₁＝PK{(x)：C＝g^x}发送给投票用户管理中心；

S15：投票用户管理中心验证信息后，选择得到最后将结果(S，a)发送给投票端，其中g₀、γ为投票用户管理中心选择的公共参数；

S16：投票端检查等式e(S，g^a·P_Pub)＝e(C·g₀，g)是否成立，输出投票端的参加投票的成员公钥mpk＝(a，S，C，β)与参加投票的成员私钥msk＝x；

S17：达到注册截止时间T_register后，投票用户管理中心将身份认证表中的数据存入智能合约中进行公示。

作为优选的技术方案，步骤S15所述投票用户管理中心验证信息，具体步骤为：

验证身份认证表中是否存在(i，β)，其中投票端的身份信息i满足注册要求；

验证β＝e(C，g)是否成立；

采用零知识证明算法验证Proof₁的正确性，具体步骤为：

投票端计算并发送Proof₁＝(g^v，r＝v-cx)到投票用户管理中心，其中，c＝H(g||g^v||g^x)、g为公共参数、H表示Hash函数，用于将g，g^v，g^x相加后映射到指定的运算空间中，映射为某个群的群元素；

投票用户管理中心验证计算c＝H(g||g^v||g^x)并验证g^v和g^rg^cx是否相等，如果相等则验证通过；

验证等式是否成立。

作为优选的技术方案，所述智能合约内容包括：投票问题及问题相关的候选项目、时间陷门服务器TRS、公钥信息tpk、用于公示投票端的投票记录的公告板LOG、投票发起端的公私钥对(apk，ask)、投票截止时间T_end、选票解密时间T_sr和活动标签

所述投票发起端将投票发起端的私钥ask初始化为空值，在统计投票结果时赋值；

所述活动标签计算方式为：

其中，函数为Hash函数，表示Θ是由ID通过Hash函数映射到G_T群得到的，数值是由数字1映射到G_T群得到的；

其中，ID为投票发起端的身份标识，数字1为投票端进行投票的次数。

作为优选的技术方案，步骤S3中所述生成选票与投票的具体步骤为：

S31：投票发起端选择随机数并将随机数发送至投票端，l表示为从0到P之间随机选取一个素数；

S32：投票端在智能合约中读取活动标签并计算：

采用零知识证明算法计算投票的成员公钥mpk以及验证Γ，计算过程正确的离散对数的零知识证明Proof₂：

S33：投票端在智能合约中查找投票发起端的公钥apk以及投票选项，然后选择随机数并将统计投票结果的时间设置为T_sr∈{0，1}^t，得到采用投票发起端公钥apkapk加密的选票密文信息Ciper：

S34：投票端生成最终的选票内容并通过交易的方式发送到智能合约中，其中

S35：检查每一个加入的选票，检查l是否已经存在智能合约中，若不存在，则接受选票，否则拒绝接受选票。

作为优选的技术方案，步骤S4中还包括验证选票合法性的步骤，具体为：

检验智能合约中每一个投票的成员公钥mpk以及验证Γ，计算过程正确的离散对数的零知识证明Proof₂是否合法，检验通过后，采用智能合约中的公开密钥ask计算然后对Ciper进行计算获得消息解密时间 再检验消息解密时间T是否与统计投票结果的时间T_sr相同，满足消息解密时间与T_sr相同检验条件的选票进行保留，否则将选票丢弃，其中，表示异或操作，t表示自然数，c₁表示选票密文信息Ciper的一部分，c₃表示消息的解密时间的密文，h₃表示Hash函数。

作为优选的技术方案，步骤S4中所述接收投票发起端私钥ask以及时间陷门服务器发出的时间陷门对验证通过的选票进行解密，

所述时间陷门的计算公式为：s_T＝h₁(T_sr)^s；

所述对验证通过的选票进行解密，得到的解密消息m的计算公式为：

其中，h₁、h₂表示Hash函数，T_sr为统计投票结果的时间，表示异或操作，c₁、c₂表示选票密文信息Ciper的一部分，ask表示智能合约中的公开密钥。

本发明还提供一种基于区块链的可追责匿名电子投票系统，包括：投票发起端、投票端、投票用户管理中心、时间陷门服务器、选票验证查看模块和解密统计模块；

所述投票端与投票用户管理中心进行信息交互，所述投票用户管理中心用于将注册成功的投票端身份信息保存到身份认证表并存入智能合约；

所述投票发起端用于设置智能合约内容并发起投票活动，在智能合约内容中公布活动标签；

所述投票端用于根据活动标签向智能合约发送交易进行投票；

所述时间陷门服务器用于生成时间陷门；

所述选票验证查看模块用于验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；

所述解密统计模块用于接收时间陷门服务器发出的时间陷门，对验证通过的选票进行解密，并统计投票结果。

本发明与现有技术相比，具有如下优点和有益效果：

(1)本发明通过投票端身份信息注册、投票端根据智能合约内容进行投票、验证选票合法性以及查看恶意投票端的身份信息步骤，实现了对恶意投票端身份的揭露，更好的保证了投票的安全性。

(2)通过时间陷门服务器发出的时间陷门对验证通过的选票进行解密，更好地保证了投票的公平性。

附图说明

图1为本实施例基于区块链的可追责匿名电子投票方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

本实施例提供一种基于区块链的可追责匿名电子投票系统，包括：投票发起端、投票端、投票用户管理中心、时间陷门服务器、选票验证查看模块和解密统计模块；

在本实施例中，所述投票端与投票用户管理中心进行信息交互，所述投票用户管理中心用于将注册成功的投票端身份信息保存到身份认证表并存入智能合约；所述投票发起端用于设置智能合约内容并发起投票活动，在智能合约内容中公布活动标签；所述投票端用于根据活动标签向智能合约发送交易进行投票；所述时间陷门服务器用于生成时间陷门；所述选票验证查看模块用于验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；所述解密统计模块用于接收时间陷门服务器发出的时间陷门，对验证通过的选票进行解密，并统计投票结果。

如图1所示，本实施例提供一种基于区块链的可追责匿名电子投票方法，包括投票用户管理中心(Voter Manager)、投票发起端(Admin)、投票端(Voter)以及时间服务器(Time-Release Server)四个参与者，投票方法的具体流程主要分为参数初始化、注册、发起投票活动、生成选票及投票、统计投票结果五个阶段，具体如下所述：

S0：参数初始化

投票方法公共参数介绍：选择安全参数k，然后产生一个具有k个比特位的大素数p，构建阶为p的对称双线性映射e：G₁×G₁→G_T，设置g是群G₁的生成元。设置安全Hash函数h₂：G₁×G_T→{0，1}^*，h₃：G₁→{0，1}^t，t∈N以及明文空间M：{0，1}ⁿ，n∈N和密文空间

其中，h1，h2，h3分别代表三种Hash函数，用于将数据映射到本实施例选择的双线性对上，不然无法进行计算，h1代表将0个或多个0/1数据(可以理解为字符数组)映射到群G₁中；h2表示将群G₁与G_T内的元素进行乘运算后的结果映射为0/1比特串；h3表示将G₁群中的元素映射为t位的0/1比特串，剩下的明文空间与密文空间采用同样的方式，用于限定本实施例投票系统选票的合法取值。

投票用户管理中心VM、投票发起端Admin、时间服务器TRS通过公共参数生成自身公私钥对：

时间服务器选择随机数作为私钥tsk，计算公钥tpk＝g^s；

投票用户管理中心选择g₀，h←G₁，计算P_pub＝g^γ，Δ＝e(g，g)，得到公钥gpk＝(g，P_pub，g₀，h，Δ)与私钥gsk＝γ，另外需要创建表LIST，并将其初始化为空表；

投票发起端选择随机数Λ，Υ←G_T；选择私钥然后计算Q_pub＝g^s，最终获得自身的公钥apk＝(g，Q_pub，Λ，Υ)，其中，Δ是双线性映射的计算结果，P_pub与Q_pub分别为投票用户管理中心与投票发起端的公钥的一部分。

S1：注册

在该阶段投票端Voter与投票用户管理中心VM进行交互，从而使Voter获得用于参加投票的成员公私钥对(mpk，msk)，投票用户管理中心将所有注册成功的投票端的身份信息(ID_user，β)保存到身份认证表并存入智能合约。

具体步骤如下：

S11：投票用户管理中心设置注册截止时间T_register；

S12：Voter_i选择x′，并计算C′＝g^x′h^r将计算结果发送给VM，其中，x′，这个符号代表x′，r是从0到p之间随机选取的大素数，即x′，r是两个随机数，后面的y′，y也是如此，C′＝g^x′h^r是投票端对选择的随机数x′，r的进行的一种“承诺”，这样计算后可以防止投票端在后续计算中临时更换这两个随机数；

S13：VM选择y′，将选择好的y′，y发送给Voter_i；

S14：Voter_i计算x＝y+x′y′和(C，β)＝(g^x，Δ^x)以及C″＝h^ry′，将数据(i，β)加入到VM的身份认证表LIST中，其中i是投票端身份的唯一标识。Voter_i将(C，β)、C″以及离散对数零知识证明Proof₁＝PK{(x)：C＝g^x}发送给VM；

其中，x表示的是投票端通过将自己选择的随机数x′与投票用户管理中新选择的y′，y进行计算，最终获得的投票成员私钥，(C，β)＝(g^x，Δ^x)表示C＝g^x，p＝Δ^x，(C，β)是成员公钥的一部分，C″是用来检验投票端是否按照相应的公式x＝y+x′y′计算了自己的成员私钥x，即如果投票端恶意计算了自己的私钥x，会被C″通过验证等式发现；

数据(i，β)中的数据i代表投票端的真实身份，可以理解为身份证号这样的唯一标识，由投票端提供；

函数PK表示零知识证明函数，公式PK{(x)：C＝g^x}表示，可以通过函数PK证明拥有x，满足等式C＝g^x；

S15：VM需要验证以下四个条件：

(1)在LIST表中(i，β)确实存在，并且投票端的身份信息i满足注册要求，可以根据投票的实际情况确定，比如一次活动只允许18岁以上的用户参加，那么就可以通过用户的唯一标识，检查这个用户的真实信息，如果他满足了18岁，就给他注册；

(2)β＝e(C，g)；

(3)采用零知识证明算法检查Proof₁的正确性；

本实施例采用离散对数零知识证明，具体步骤为：

投票端计算并发送Proof₁＝(g^v，r＝v-cx)给投票用户管理中心，其中c＝H(g||g^v||g^x)，其中g为公共参数，H是一个Hash函数，用于将g，g^v，g^x相加后映射到指定的运算空间中，一般映射为某个群的群元素；

投票用户管理中心验证计算c＝H(g||g^v||g^x)并验证g^v和g^rg^cx是否相等，如果相等则验证通过；

(4)验证等式当所有条件检查通过后，VM选择然后通过计算得到最后将结果(S，a)发送给V_i；

S16：Voter_i检查等式e(S，g^a·P_Pub)＝e(C·g₀，g)的正确性，从而得到自己的成员公钥mpk＝(a，S，C，β)与成员私钥msk＝x。这个公私钥对即代表V_i已经拥有了投票资格；

在本实施例中，投票用户管理中心、投票发起端的公钥信息，公钥信息是公开的，所有人都可以随意获得这些数据，投票端检查等式是否成立代表着上述步骤中各个参与者都没有进行数据造假，保证了投票端获得的计算结果是真实可靠的；

S17：当到达截止时间T_register后，VM将LIST中的数据存入自己编写的智能合约中进行公示。

S2：发起投票活动

该步骤主要是让投票发起端Admin通过编写智能合约设置，发起一次只有合法投票端的选票才会被正确记录的投票活动，智能合约主要包含以下几个内容：

1.投票问题以及与问题相关的候选项目；

(比如一个投票活动：选出你最喜欢的项目：A.项目一B.项目二C项目三；其中项目一、项目二、项目三就是候选项目)；

2.时间陷门服务器TRS公钥信息：tpk；

3.一个公告板LOG用于公示投票端的投票记录；

4.投票发起端Admin自身的公/私钥信息(apk，ask)，需要注意的是ask信息需要初始化为空值，在统计结果阶段由Admin赋值；

5.设置投票的关键时间节点：

T_end：在没有到达这个时间之前，Voter都可以进行投票；

T_sr：统计投票结果的时间，Voter将选票解密时间设置为该时间点。

6.Admin通过计算活动标签并在之前编写的智能合约中将该活动标签公布。其中ID为Admin的身份标识，数字1为Voter可以投票的次数。

S3：生成选票与投票：

该阶段主要工作是投票端Voter根据投票发起端Admin生成的活动标签与投票发起端Admin进行交互从而构造出自己的选票，最后向投票发起端Admin编写的智能合约中发送交易进行投票，其具体过程描述如下：

S31：Admin选择随机数并将该随机数发送给Voter_i，l为从0到P之间随机选取一个素数，表示位数不少于1024个bit的大素数；

S32：Voter_i在智能合约中读取Admin生成的活动标签并计算 计算投票端mpk和验证Γ，计算过程正确的离散对数的零知识证明

在本实施例中，通过零知识证明算法可以通过投票端公钥mpk＝(a，S，C，β)与参加投票的成员私钥msk＝x，证明等式Γ＝Θ^x，等式以及等式e(S，g^a·P_pub)＝e(g^x·g₀，g)成立，这些等式成立代表着投票端的选票计算过程正确，并且该选票确实是由一个拥有着成员公私钥的投票端投出的；

S33：Voter_i通过在智能合约中查找到的Admin的公钥apk以及自己要选择的投票选项m∈{0，1}ⁿ，然后选择随机数并设置解密时间为T_sr∈{0，1}^t，从而计算出投票端使用apk加密的选票密文信息Ciper：

其中，随机数r负责计算Ciper的c₁部分，c₁是对这个密文Ciper的“承诺”，防止生成密文者在后续操作中用其他的Ciper替换第一次发送的Ciper，另外，一个选票密文Ciper由c₁，c₂，c₃三部分构成，c₃表示密文的解密时间，只有用该时间的时间陷门才能对选票消息密文c₂进行解密，从而得到最终的消息明文mess；

S34：Voter_i产生最终的选票内容并将其以交易的形式发送到Admin的部署的活动智能合约的LOG中，其中 其中Δ^l表示为选票的唯一标识；

S35：对于每一个新加入的选票，智能合约检查l是否已经存在与LOG中，如果不存在则接收选票，否则拒绝接收该选票。

在本实施例中，Δ＝e(g，g)其中e(g，g)是双线性对的基本运算操作，本实施例给出双线性映射的基本定义：

设G₁和G₂是两个阶为大素数p的循环群，g为G₁的生成元。其中离散对数问题在G₁和G₂里都是困难的，存在双线性映射e：G₁×G₁→G₂满足以下性质：

(1)双线性(Bilinearity)：对于任意u，v∈G₁，以及任意a，都有e(u^a，v^b)＝e(u，v)^ab；

(2)非退化性(Non-degeneracy)：存在u，v∈G₁使得e(u，v)≠1；

(3)可计算性(Computability)：对于任意u，v∈G₁，e(u，v)可以被高效的计算；

S4：统计投票结果：

在该阶段，所有对投票结果感兴趣的实体都可以从投票活动智能合约中下载LOG存储的选票内容然后对选票的合法性进行验证并统计出投票结果，其具体步骤如下：

1.Admin在投票时间到达T_end时，向智能合约发送消息，使投票进入统计结果阶段，并在智能合约中公布自身私钥信息ask。此时智能合约将不再接收Voter_i发送的选票，未及时投票的Voter_i将按照弃权处理；

2.所有对投票结果感兴趣实体在在检查到当前投票活动合约处于“统计结果阶段”时，通过读取智能合约上LOG中的全部选票信息进行投票结果的统计，对于每一张选票有：

(1)首先检验LOG中的每一个ballot的Proof₂是否合法，如果验证通过，再通过智能合约中的公开密钥ask计算然后对Ciper进行计算获得消息解密时间再检验消息解密时间T是否与T_sr相同，如果上述条件验证通过则将该选票保留，否则就将该选票丢弃，其中，表示异或操作，t是一个自然数，表示T是一个t位的0/1比特串，c₃是消息的解密时间的密文，这一步的操作就是，消息接收方用自己的私钥还原出消息解密时间T明文；

(2)对于保留下来的任意两张选票ballot以及ballot′检验是否有Γ＝Γ′，l≠l′的情况，如果该情况出现，则意味着有投票端进行了重复投票，为了揭露恶意重复投票的V_i的身份，可以通过计算 然后在VM维护的LIST表中查找出V_i的真实身份，最后将重复的选票丢弃；

在本实施例中，每一张选票ballot都包含这几个内容，为了区分两张选票，设置任意两张选票分别为：与Γ是通过投票发起端的标签Θ以及投票端的私钥msk计算得到的，标签只有一个，投票端的私钥也是与投票端一一对应的，因此一个投票端只能计算出一个合法的选票标识Γ。选票中的Γ，l用于表示选票的唯一性，用于揭露恶意投票端身份，Proof₂是用于验证计算Γ，的过程的正确性，Ciper是选票内容的密文；

在本实施例中，存在Γ＝Γ′，l≠l′表示这两张选票是同一个投票端用相同的标签生成的，这两张票属于重复选票，不被记录到最终投票结果中去；不存在这种情况代表所有的投票端都只投了一次票；

在本实施例中，S1步骤中所述投票端身份信息键值对(ID_user，β)，其中ID_user与β一一对应，通过两个标签计算得到β后，所有人都可以在投票用户管理中心处得到相应的ID_user，从而获得投票端的身份信息；

(3)收集所有剩下的合法ballot，在到达时间T_sr时，接收TRS发出的时间陷门s_T＝h₁(T_sr)^s，对所有ballot的选票密文信息Ciper通过计算得到解密消息m，统计最后的投票结果。

本实施例通过投票端身份信息注册、投票端根据智能合约内容进行投票、验证选票合法性以及查看恶意投票端的身份信息步骤，实现了对恶意投票端身份的揭露，更好的保证了投票的安全性；通过时间陷门服务器发出的时间陷门对验证通过的选票进行解密，只能在预先设置好的时间通过接收时间陷门服务器发出的陷门消息才能用自己的密钥对消息发送者发送的消息密文进行解密，更好地保证了投票的公平性。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (9)

1.一种基于区块链的可追责匿名电子投票方法，其特征在于，包括下述步骤：

S1：注册：投票端与投票用户管理中心进行信息交互，投票端获得参加投票的成员公私钥对(mpk，msk)，投票用户管理中心将注册成功的投票端身份信息(ID_user,β)保存到身份认证表并存入智能合约；

S2：发起投票：投票发起端设有公私密钥对(apk，ask)，设置智能合约内容后发起投票活动，在智能合约内容中公布活动标签

S3：生成选票与投票：投票端根据智能合约内容中公布的活动标签构造出投票端的选票信息向智能合约发送交易进行投票，其中Proof₂为投票的成员公钥mpk以及验证Γ,计算过程正确的离散对数零知识证明、Ciper为投票端采用投票发起端公钥apk加密的选票信息、l为随机数、Δ^l表示为选票的唯一标识；

S4：统计投票结果：

从智能合约中下载全部投票端的选票信息ballot，验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；

所述验证选票是否重复的步骤为：验证任意两张选票是否存在Γ＝Γ′和l≠l′，若存在，表示两张选票是同一个投票端采用相同的标签生成的；

所述查看恶意投票端的身份信息步骤为：计算其中Γ、Γ′、l、l′表示选票标识，通过β找到相对应的ID_user，获得投票端的身份信息；

达到预设条件后，接收投票发起端私钥ask以及时间陷门服务器发出的时间陷门对验证通过的选票进行解密，并统计投票结果。

2.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，还包括参数初始化步骤，具体步骤为：

配置公共参数：

选择安全参数k，然后产生一个具有k个比特位的大素数p，构建阶为p的对称双线性映射e：G₁×G₁→G_T，设置g为群G₁的生成元，设置安全Hash函数h₁：h₂：G₁×G_T→{0，1}^*、h₃：G₁→{0，1}^t，t∈N以及明文空间M：{0，1}ⁿ，n∈N和密文空间C：t∈N，其中N表示自然数、G_T表示阶为p的乘法群；

时间陷门服务器选择随机数作为私钥tsk，计算公钥tpk＝g^s；

投票用户管理中心选择g₀，h←G₁，计算P_pub＝g^γ，Δ＝e(g，g)，得到公钥gpk＝(g，P_pub，g₀，h，Δ)与私钥gsk＝γ，并将身份认证表初始化为空表；

投票发起端选择随机数Λ，Υ←G_T；选择投票发起端私钥然后计算Q_pub＝g^s，最终获得投票发起端公钥apk＝(g，Q_pub，Λ，Υ)，其中，Δ表示双线性映射的计算结果，P_pub与Q_pub分别为投票用户管理中心与投票发起端的公钥的一部分。

3.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，步骤S1所述注册的具体步骤为：

S11：投票用户管理中心设置注册截止时间T_register；

S12：投票端选择x′，并计算C′＝g^x′h^r，将计算结果发送给投票用户管理中心，其中，x′，表示x′，r是从0到p之间随机选取的大素数；

S13：投票用户管理中心选择y′，将选择好的y′，y发送给投票端；

S14：投票端计算x＝y+x′y′、(C，β)＝(g^x，Δ^x)以及检验等式C″＝h^ry′，将数据(i，β)添加到投票用户管理中心的身份认证表中，其中i是投票端身份的唯一标识，Δ表示双线性映射的计算结果，g、h为公钥gpk内参数，投票端将(C，β)、C″以及离散对数零知识证明Proof₁＝PK{(x)：C＝g^x}发送给投票用户管理中心；

S15：投票用户管理中心验证信息后，选择得到最后将结果(S，a)发送给投票端，其中g₀、γ为投票用户管理中心选择的公共参数；

S16：投票端检查等式e(S，g^a·P_Pub)＝e(C·g₀，g)是否成立，输出投票端的参加投票的成员公钥mpk＝(a，S，C，β)与参加投票的成员私钥msk＝x；

S17：达到注册截止时间T_register后，投票用户管理中心将身份认证表中的数据存入智能合约中进行公示。

4.根据权利要求3所述的基于区块链的可追责匿名电子投票方法，其特征在于，步骤S15所述投票用户管理中心验证信息，具体步骤为：

验证身份认证表中是否存在(i，β)，其中投票端的身份信息i满足注册要求；

验证β＝e(C，g)是否成立；

采用零知识证明算法验证Proof₁的正确性，具体步骤为：

投票端计算并发送Proof₁＝(g^v，r＝v-cx)到投票用户管理中心，其中，c＝H(g||g^v||g^x)、g为公共参数、H表示Hash函数，用于将g，g^v，g^x相加后映射到指定的运算空间中，映射为某个群的群元素；

投票用户管理中心验证计算c＝H(g||g^v||g^x)并验证g^v和g^rg^cx是否相等，如果相等则验证通过；

验证等式是否成立。

5.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，所述智能合约内容包括：投票问题及问题相关的候选项目、时间陷门服务器TRS、公钥信息tpk、用于公示投票端的投票记录的公告板LOG、投票发起端的公私钥对(apk，ask)、投票截止时间T_end、选票解密时间T_sr和活动标签

所述投票发起端将投票发起端的私钥ask初始化为空值，在统计投票结果时赋值；

所述活动标签计算方式为：

其中，函数为Hash函数，表示Θ是由ID通过Hash函数映射到G_T群得到的，数值是由数字1映射到G_T群得到的；

其中，ID为投票发起端的身份标识，数字1为投票端进行投票的次数。

6.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，步骤S3中所述生成选票与投票的具体步骤为：

S31：投票发起端选择随机数并将随机数发送至投票端，l表示为从0到P之间随机选取一个素数；

S32：投票端在智能合约中读取活动标签并计算：

采用零知识证明算法计算投票的成员公钥mpk以及验证Γ，计算过程正确的离散对数零知识证明Proof₂：

S33：投票端在智能合约中查找投票发起端的公钥apk以及投票选项，然后选择随机数并将统计投票结果的时间设置为T_sr∈{0，1}^t，得到采用投票发起端公钥apk加密的选票密文信息Ciper：

S34：投票端生成最终的选票内容并通过交易的方式发送到智能合约中，其中

S35：检查每一个加入的选票，检查l是否已经存在智能合约中，若不存在，则接受选票，否则拒绝接受选票。

7.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，步骤S4中还包括验证选票合法性的步骤，具体为：

检验智能合约中每一个投票的成员公钥mpk以及验证Γ，计算过程正确的离散对数的零知识证明Proof₂是否合法，检验通过后，采用智能合约中的公开密钥ask计算然后对Ciper进行计算获得消息解密时间 再检验消息解密时间T是否与统计投票结果的时间T_sr相同，满足消息解密时间与T_sr相同检验条件的选票进行保留，否则将选票丢弃，其中，表示异或操作，t表示自然数，c₁表示选票密文信息Ciper的一部分，c₃表示消息的解密时间的密文，h₃表示Hash函数。

8.根据权利要求1所述的基于区块链的可追责匿名电子投票方法，其特征在于，步骤S4中所述接收投票发起端私钥ask以及时间陷门服务器发出的时间陷门对验证通过的选票进行解密，

所述时间陷门的计算公式为：s_T＝h₁(T_sr)^s；

所述对验证通过的选票进行解密，得到的解密消息m的计算公式为：

其中，h₁、h₂表示Hash函数，T_sr为统计投票结果的时间，表示异或操作，c₁、c₂表示选票密文信息Ciper的一部分，ask表示智能合约中的公开密钥。

9.一种基于区块链的可追责匿名电子投票系统，其特征在于，包括：投票发起端、投票端、投票用户管理中心、时间陷门服务器、选票验证查看模块和解密统计模块；

所述投票端与投票用户管理中心进行信息交互，所述投票用户管理中心用于将注册成功的投票端身份信息保存到身份认证表并存入智能合约；

所述投票发起端用于设置智能合约内容并发起投票活动，在智能合约内容中公布活动标签；

所述投票端用于根据活动标签向智能合约发送交易进行投票；

所述时间陷门服务器用于生成时间陷门；

所述选票验证查看模块用于验证选票是否重复，并在身份认证表中查看恶意投票端的身份信息；

所述解密统计模块用于接收时间陷门服务器发出的时间陷门，对验证通过的选票进行解密，并统计投票结果。