WO2020173279A1

WO2020173279A1 - 用于投票的系统、方法和装置

Info

Publication number: WO2020173279A1
Application number: PCT/CN2020/073791
Authority: WO
Inventors: 黄慧; 张振宇; 刘正; 应鹏飞
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2019-02-28
Filing date: 2020-01-22
Publication date: 2020-09-03
Also published as: CN110035057A; TW202040379A; TWI743563B

Abstract

本申请公开了一种用于投票的系统，所述系统包括至少一个客户端设备、多个中间服务器、一个或多个重构服务器，每个客户端设备向用户呈现投票选项，接收用户对投票选项的选择并生成投票数据，使用秘密分享算法将投票数据转换为多个数据分片，以及将多个数据分片传送到多个中间服务器，其中秘密分享算法使得无法从小于阈值数量的数据分片重构投票数据。重构服务器从多个中间服务器获得大于等于阈值数量的数据分片并使用数据分片来重构投票数据。汇总服务器接收来自一个或多个重构服务器的经重构的投票数据并对其进行汇总以生成汇总结果，并将汇总结果传送给相应的客户端设备以供显示。本申请还公开了用于投票的方法和装置。

Description

用于投票的系统、方法和装置技术领域

[01] 本说明书的实施例涉及投票，尤其涉及用于投票的系统、方法和装置。背景技术 [02] 目前，基于计算设备的电子投票（或调研，以下统称 “投票” ）已经越来越普及。在电子投票中，用户通过计算设备输入投票数据或调研数据，所述投票数据被传送至服务器以供统计或汇总以生成投票结果。

[03] 然而，目前的电子投票系统有可能暴露用户的隐私，比如用户的投票选择。一些现有系统已经使用匿名投票机制，但恶意用户通过访问 cookie数据、用户特征挖掘等方式，仍然有可能获知用户隐私。此外，恶意用户还可能截获并篡改或伪造用户投票。

[04] 因此，需要能够增加用户投票的私密性和可信度的投票系统、方法和装置。发明内容

[05] 为了进一步增加用户投票的私密性和可信度，本说明书的实施例提供了改进的投票系统、方法和装置。 [06] 本说明书的实施例通过以下技术方案来实现其上述目的。

[07] 在一个方面中，公开了一种用于投票的系统，所述系统包括：至少一个客户端设备、多个中间服务器、一个或多个重构服务器以及汇总服务器，其中每个客户端设备: 向用户呈现投票选项，接收所述用户对投票选项的选择并生成投票数据，使用秘密分享算法将所述投票数据转换为多个数据分片，其中所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据，以及将所述多个数据分片传送到多个中间服务器；所述多个中间服务器从所述至少一个客户端设备接收数据分片，其中大于等于所述阈值数量的数据分片被用来重构所述投票数据；所述一个或多个重构服务器，其中所述重构服务器从所述多个中间服务器获得大于等于阈值数量的数据分片并使用所述数据分片来重构所述投票数据；并且所述汇总服务器接收来自所述一个或多个重构服务器的经重构的投票数据并对其进行汇总以生成汇总结果，并将所述汇总结果传送给相应的客户端设名 '以供显 TF。 [08] 优选地，显示所述汇总结果包括显示多个用户的投票数据的统计平均值。

[09] 优选地，显示所述汇总结果包括显示所述用户的投票数据与多个用户的投票数据的统计平均值的关系。

[10] 优选地，所述秘密分享算法是 Shamir阈值秘密分享算法。 [11] 优选地，所述重构服务器中的一个或多个由所述中间服务器担当。

[12] 优选地，所述汇总服务器由所述中间服务器或所述重构服务器中的一个或多个担当。

[13] 优选地，每个数据分片仅被传送至一个中间服务器。

[14] 在另一个方面中，公开了一种用于投票的方法，包括：通过客户端设备向用户呈现投票选项；通过客户端设备接收用户对投票选项的选择以生成投票数据；通过客户端设备使用秘密分享算法将所述投票数据转换为多个数据分片，其中所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据；以及通过客户端设备将所述多个数据分片传送到多个中间服务器，其中大于等于所述阈值数量的数据分片被用于重构所述投票数据，其中来自多个客户端设备的经重构的投票数据将被汇总以生成汇总结果；以及通过所述客户端设备接收并显示所述汇总结果。

[15] 在又一个方面中，还公开了一种装置，该装置包括存储器；通信接口；和处理器，与所述存储器和通信接口通信地连接，所述处理器操作以实现本文所述的各实施例的方法。

[16] 在再一个方面中，还公开一种包括存储于其上的计算机可执行指令的计算机可读存储介质，所述计算机可执行指令在被处理器执行时使得所述处理器执行本文所述的各实施例的方法。

[17] 与现有技术相比，本说明书的实施例可具有如下有益效果：

[18] 在本说明书的一些实施例中，由于需要阈值数量的数据分片才能重构投票数据，所以即便一个或多个客户端设备或中间传输过程受到破坏，恶意用户仍然无法重构投票数据，从而更好地保护了用户的隐私。重构投票数据所需的阈值数据可按需设置，诸如根据所需要的保护等级来设置，由此使得隐私保护更具灵活性。

[19] 在本说明书的一些实施例中，秘密分享算法的特性使得恶意用户很难篡改或伪造用户投票，从而提升了投票的可信度。 [20] 当然，实施本申请的任一技术方案无需同时达到所有上述技术效果。附图说明

[21] 以上申请内容以及下面的具体实施方式在结合附图阅读时会得到更好的理解。需要说明的是，附图仅作为所请求保护的发明的示例。在附图中，相同的附图标记代表相同或类似的元素。

[22] 图 1是示出根据本说明书的实施例的用于投票的系统的示意图。

[23] 图 2是示出根据本说明书的另一实施例的用于投票的系统的示意图。

[24] 图 3是示出根据本说明书的另一实施例的用于投票的系统的示意图。

[25] 图 4是示出根据本说明书的实施例的向用户显示的图片的示例的示意图。 [26] 图 5是示出根据本说明书的实施例的由客户端设备执行的用于投票的方法的流程图。具体实施方式

[27] 以下在具体实施方式中详细叙述本说明书的实施例的详细特征以及优点，其内容足以使任何本领域技术人员了解本说明书的实施例的技术内容并据以实施，且根据本说明书所揭露的说明书、权利要求及附图，本领域技术人员可轻易地理解本说明书的实施例相关的目的及优点。

[28] 为了提升投票的私密性以及可信度，本说明书的一些实施例提供了改进的投票方法、系统和计算机可读介质。本说明书的方案将秘密分享应用于投票，从而大幅降低了进行投票的用户的隐私被泄露或投票数据被篡改 /伪造的可能性。 [29] 下面，首先将对 “秘密分享” 进行筒单介绍。然后参考附图，分别介绍本说明书所提出的投票系统及其组成部分，从客户端设备视角的本说明书的用于投票的方法，从中间服务器视角的本说明书的用于投票的方法，以及可用于实现本说明书的方法的计算设备。最后，将筒要说明本说明书所提供的突出的技术效果。

[30] 秘密分享（ “secret sharing”，又称为秘密分割或秘密共享）是一种由庄家（ dealer）将秘密（ secret）拆分为多个份额（ share）在一组参与者（又称为“份额持有者（ shareholder）”）中分发的机制。通常，通过秘密分享算法，仅当大于等于阈值数量的份额被组合使用时才能重构秘密；单个份额或者小于阈值数量的份额则无法被用来重构秘密或关于秘密的信息。

[31] 一种典型的秘密分享算法是 “Shamir秘密分享算法” ，这种算法通常采用（p, t）阈值方案。具体而言，秘密被 “拆分” 为 p个份额，仅当至少 t（即阈值）个份额被组合使用时才能够重构秘密（其中 p和 t均为正整数， JL p > t, 通常 p>t）。秘密分享算法的具体细节是本领域技术人员已知的，在下文中将不对其进行详细描述。

[32] 参见附图 1，其中示出了根据本说明书的实施例的用于投票的系统 100的示意图，其示出了一个客户端设备的情形。如图 1所示，假设系统 100包括客户端设备 102和多个（例如 p个）中间服务器 104-1到 104-p。 [33] 在实施例中，客户端设备 102 可充当投票终端，以便接收来自用户的投票数据。在一些实施例中，在客户端设备 102上可安装投票应用，该投票应用向客户呈现投票选项，以供客户从中选择。例如，该投票应用可以是浏览器或专用投票应用。

[34] 用户可通过投票应用进行投票。优选地，该投票可以是匿名投票。也就是说，投票数据中不包括任何用户标识信息。 [35] 替代地，该投票可以是非匿名投票，在此情况下，投票数据中可包括用户标识信息，例如用户 ID、身份证号等等。例如，在一些情况下，用户可能需要注册并登录来进行投票，此时客户端设备可获得用户的标识信息（例如用户的身份、用户名等）。在一些情况下，可将用户标识信息包括在投票数据中，以供随后使用。

[36] 需要指出的是，本申请中所述的投票可包括，其中可向用户提供多个选项，用户可从所述多个选项中选择一个或多个投票选项。

[37] 例如，在一个投票示例中，用户可投票选择聚餐时间。此时，客户端设备 102 可向用户呈现多个聚餐时间作为投票选项以供用户从中选择。用户可从所述投票选项中选择一个或多个投票选项。此时，客户端设备 102可通过投票应用来接收用户对投票选项的选择并生成投票数据。 [38] 在另一投票示例中，用户可就多个问题进行投票，例如用户可投票选择聚餐时间和聚餐地点。此时，客户端设备 102可在第一个投票问题中向用户呈现多个聚餐时间作为投票选项以供用户从中选择，并在第二个投票问题中向用户呈现多个聚餐地点作为投票选项以供用户从中选择。用户可针对这两个投票问题从所述投票选项中选择一个或多个投票选项。同样地，客户端设备 102可通过投票应用来接收用户对投票选项的选择并生成投票数据。

[39] 显然，可存在多种其它投票或调研形式。例如，客户端设备 102 可向用户呈现开放式问题，且用户可输入对这些问题的回答（例如数字输入或文本输入）。客户端设备 102可基于用户的回答生成投票数据。 [40] 所述投票还可采用更不传统的形式。例如，在社交网站上的点赞、喜欢或者推荐等也可被视为一种投票。例如，用户可能在社交网站服务上点击其它用户的帖子下面的向上的大拇指图标，从而表达对该帖子的赞成，这可被视为等同于对该帖子的内容的赞成票；而点击向下的大拇指图标可被视为对该帖子的内容的反对票。类似地，点击帖子下面的爱心图标可被视为用户对该帖子的内容投赞成票，而不点击爱心图标可被视为用户对该帖子的内容投弃权票或反对票。可构想多种类似的投票方式。

[41] 客户端设备 102 在接收到来自用户的投票数据之后，可以采用秘密分享算法来对投票数据进行处理，以将所述投票数据转换为多个数据分片，所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据。例如，客户端设备 102可充当秘密分享算法中的庄家，投票数据可充当秘密，而数据分片则可充当份额，如上面所介绍的。 [42] 在本说明书的实施例中，可采用各种秘密分享算法。优选地，可采用 Shamir阈值秘密分享算法。在以下描述中将以 Shamir秘密分享算法为例来描述本说明书的实施例，但应理解，本说明书不限于此。

[43] 优选地，客户端设备 102 可将所述多个数据分片传送到多个中间服务器。例如，优选地，投票数据被转换为 p个数据分片，且所述 p个数据分片被传送到 p个中间服务器 104-1到 104-p, 从而每个数据分片被传送到一个中间服务器，如图 1中所示。此时，少于阈值数量（例如 t个）中间服务器无法重构投票数据。

[44] 在另一些实施例中，数据分片和中间服务器可不存在—对应关系。例如，多个不同的数据分片可被传送到同一中间服务器。又例如，一个数据分片可被传送到多个中间服务器。通常，无论采用何种传送方式，优选地所述传送方式使得小于一定数量（例如第二阈值数量）的中间服务器无法重构投票数据，从而保证在少于一定数量的中间服务器的数据被泄露的情况下，投票数据仍旧无法被重构，从而保护了客户的隐私。

[45] 优选地，客户端设备在传送所述数据分片之前，可对所述数据分片进行加密，以得到经加密的数据分片。所述加密可采用各种加密算法进行。对数据分片进行加密能够进一步保护用户的隐私。 [46] 优选地，当所述数据分片被客户端设备加密时，中间服务器（或者下面提及的重构服务器）可对经加密的数据分片进行解密，以得到经解密的数据分片。

[47] 在数据分片被中间服务器接收之后，大于等于阈值数量的数据分片可被用于重构投票数据。 [48] 对投票数据的重构可采用各种方式进行。

[49] 在一些实施例中，如图 2所示，系统 100可包括独立的重构服务器 106, 所述重构服务器 106可以不同于中间服务器 104-1到 104-p。在此情况下，多个中间服务器（例如中间服务器 104-1 到 104-t）可向所述重构服务器传送数据分片。当重构服务器 106 接收到大于等于阈值数量的数据分片时，重构服务器 106就能够使用该大于等于阈值数量的数据分片来重构投票数据。

[50] 在另一些实施例中，系统 100可不包括独立的重构服务器 106，而是所述多个中间服务器中的一个或多个可担当重构服务器。例如，中间服务器 104-1可担当重构服务器。此时，其它中间服务器可向担当重构服务器的中间服务器（例如中间服务器 104-1）传送数据分片。在担当重构服务器的中间服务器获得足够数量（大于等于阈值数量）的数据分片之后，就可采用秘密重构算法来重构投票数据。可以领会，在担当重构服务器的中间服务器本身已存储了数据分片的情况下，无需向担当重构服务器的中间服务器传送阈值数量的数据分片，只需该担当重构服务器的中间服务器所获得的数据分片的数量（即其从其它中间服务器接收的数据分片的数量加上其本身从客户端设备接收的数据分片的数量）大于等于阈值数量即可。 [51] 通常，秘密重构算法可与秘密分享算法相对应。秘密重构算法的具体细节是本领域公知的，在此将不对其进行详细描述。

[52] 以上示例显示了单个客户端设备的情况。在实践中，投票或调研通常针对多个用户进行。

[53] 参见图 3，其中示出了根据本说明书的另一实施例的用于投票的系统 300的示意图，其示出了由多个用户使用的多个客户端设备的情形。例如，系统 300可包括多个（例如 n个）客户端设备 302-1到 302-n和多个（例如 p个）中间服务器 304-1到 304-p。

[54] 在这样的情况下，客户端设备 302-1到 302-n中的每一个都可如参考图 1和 2所描述的客户端设备 102—样操作。例如，客户端设备 302-1到 302-n中的每一个都可向用户呈现投票选项，接收用户对投票选项的选择以生成相应用户的投票数据。 [55] 如同参考客户端设备 102所描述的，客户端设备 302-1到 302-n中的每一者可将相应用户的投票数据转换为数据分片。

[56] 在图 3的示例中，在一些实施例中，所有客户端设备 302-1到 302-n可将其数据分片传送给相同的一组中间服务器 304-1到 304-p。但应当领会，在另一些实施例中，不同客户端设备 302- 1到 302-n可将其数据分片传送给不同的中间服务器组，这些不同的中间服务器组可能有重叠（例如可包括一个或多个相同的中间服务器）或者没有重叠。例如，多个客户端设备可位于不同区域，而客户端设备将其数据分片传送给其对应区域的中间服务器。

[57] 多个中间服务器 304-1到 304-p可将与同一投票数据相对应的多个数据分片传送给重构服务器 306-1到 306-m, 从而所述重构服务器 306-1到 306-m能够使用所述大于等于阈值数量的数据分片来重构相对应的投票数据。

[58] 在一些实施例中，与上面参考图 2所描述的类似地，系统 300可包括一个或多个独立的重构服务器 306-1到 306-m。例如，在多个重构服务器的情况下，来自不同客户端设备的投票数据可在相同或不同重构服务器处重构。例如，来自客户端设备 302-1和 302-n的投票数据可在重构服务器 306-1处重构，而来自客户端设备 302-2的投票数据可在重构服务器 306-m处重构。

[59] 替代地，与上面参考图 1所描述的类似地，系统 300可不包括独立的重构服务器，而是由一个或多个中间服务器担当重构服务器。当然，也可存在混合情况，在此情况下，有些重构服务器为独立的重构服务器，而有些重构服务器由中间服务器担当。 [60] 重构服务器 306-1到 306-m在重构以生成与该多个客户端设备 302-1到 302-n相对应的多个投票数据之后，可将该多个投票数据传送至汇总服务器 308以供汇总。

[61] 如图 3所示，系统 300可包括独立的汇总服务器 308 , 该汇总服务器 308可以根据来自多个客户端设备的投票数据获得多个用户的投票选项，并对所述多个用户的投票选项进行处理，以生成汇总结果。 [62] 例如，在上面描述的针对聚餐时间投票的示例中，汇总服务器可汇总多个用户对聚餐时间的选择，从而获得最终的汇总结果，例如可选择投票最多的聚餐时间作为最终确定的聚餐时间。

[63] 替代地，系统可不包括独立的汇总服务器。此时，汇总服务器例如可以由所述多个中间服务器 304-1到 304-p或所述一个或多个独立重构服务器 306-1到 306-m（如果存在）中的一个或多个来担当。

[64] 在各实施例中，汇总结果可被传送给客户端设备以供显示。应当注意，通常仅向客户端设备传送汇总结果，而不向客户端设备传送其本身的投票数据或其它客户端设备的投票数据。通过这种方式，即便该汇总结果被拦截，拦截者也无法从汇总数据中得到来自客户端设备的投票数据，从而确保了用户的隐私。

[65] 在一个示例中，可向用户仅显示多个用户的投票数据的统计平均值。例如，在对身高进行调研的情况下，可向用户显示多个用户的身高的平均值。

[66] 在另一个示例中，可向用户仅显示多个用户的投票数据的其它统计量。例如，在对就餐时间进行投票的情况下，可向用户显示被最多用户选择的投票时间。 [67] 在又一示例中，可向用户显示用户的投票数据与汇总结果的关系。此时，客户端设备可从其本身的存储中获得该用户的投票数据，并与汇总结果进行比较，以便显示该关系。例如，在向用户显示统计平均值的情况下，还可向用户显示用户的投票数据与该统计平均值的关系。例如，假设用户的身高为 1.8米，而多个用户的身高的平均值为 1.7 米，则可向用户显示： “您的身高高于平均值 0.1米” 。 [68] 应当理解，所述显示的汇总结果的内容仅仅是示例，本领域技术人员可以构想其它显示内容，其均落入本发明的保护范围。

[69] 所述汇总结果的呈现也可采取各种方式。在一个示例中，可向用户显示汇总结果的文字。例如，如上所提及的，可向用户显示 “平均身高为 1.7米” 和 /或 “您的身高高于平均值 0.1米” 。 [70] 在另一个示例中，可向用户显示包括汇总结果的图片。例如，如附图 4 所示，其示出了才艮据本说明书的实施例的向用户显示的图片。在该图片中，除了显示与上面所述的类似的内容外，还可伴随该内容显示图片，以更直观地向用户呈现统计结果。

[71] 在又一示例中，还可采用语音、动画等方式向用户呈现汇总结果。例如，客户端设备可向用户播放 “平均身高为 1.7米” 的语音，或者可向用户呈现能直观且动态地表现这一结果的动画。

[72] 如同上面参考图 1、图 2和图 3所描述的，本说明书的实施例公开了一种系统。

[73] 所述系统可包括一个或多个客户端设备和多个中间服务器。所述一个或多个客户端设备的具体描述可参考图 1或图 2所描述的客户端设备 102或者参考图 3所描述的客户端设备 302-1到 302-n。所述多个中间服务器的具体描述可参考图 1、图 2所示的中间服务器 104-1到 104-p或参考图 3所示的中间服务器 304-1到 304-p。

[74] 所述一个或多个客户端设备可向用户呈现投票选项，接收所述用户对投票选项的选择并生成投票数据，使用秘密分享算法将所述投票数据转换为多个数据分片，以及将所述多个数据分片传送到多个中间服务器。所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据。

[75] 所述多个中间服务器从所述客户端设备接收所述数据分片，其中大于等于所述阈值数量的数据分片被用来重构所述投票数据。

[76] 在向用户呈现投票选项之前、期间或之后，可由客户端设备向用户呈现图片、动画、文字或语音等以向所述用户告知秘密分享算法的工作原理。

[77] 所述投票数据可包括或不包括用户标识信息。

[78] 所述秘密分享算法例如可以是 Shamir阈值秘密分享算法。

[79] 所述系统还可包括一个或多个重构服务器。所述重构服务器可以是由所述多个中间服务器中的一个或多个担当的。所述重构服务器的具体描述可参考图 2所描述的重构服务器 106或图 3所描述的重构服务器 306。所述重构服务器从所述多个中间服务器获得大于等于阈值数量的数据分片并使用所述数据分片来重构所述投票数据。

[80] 所述系统还可包括汇总服务器。所述汇总服务器可以是由所述中间服务器或所述重构服务器中的一个或多个担当的。所述汇总服务器的具体描述可参考图 3所描述的汇总服务器 306。来自所述多个客户端设备的投票数据在被重构之后被汇总以便生成汇总结果。

[81] 汇总结果由汇总服务器 306传送给相应的客户端设备 302-1到 302-n。如上所提及的，通常汇总服务器 306仅传送汇总结果，而不传送与相应客户端设备或其它客户端设备相关的投票数据，以便进一步保护用户的隐私。

[82] 客户端设备在接收到来自汇总服务器 306 的汇总结果之后，可显示汇总结果。显示汇总结果的具体方式可参考上面的描述。

[83] 参考图 5 , 其中示出了根据本说明书的实施例的用于投票的方法 500的流程图。例如，所述方法可由参考图 1、图 2所示的客户端设备 102或参考图 3所示的客户端设备 302-1到 302-n执行。 [84] 方法 500可包括：在步骤 502，可通过客户端设备向用户呈现投票选项。

[85] 方法 500可包括：可选地，在步骤 502之前、期间或之后的步骤 501，可由所述客户端设备向用户呈现图片、文字、语音或动画以向所述用户告知秘密分享算法的工作原理。 [86] 方法 500可包括：在步骤 504, 可通过客户端设备接收用户对投票选项的选择以生成投票数据。

[87] 方法 500可包括：在步骤 506, 可通过客户端设备使用秘密分享算法将所述投票数据转换为多个数据分片，其中所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据。 [88] 方法 500还可包括：在步骤 508 , 可通过客户端设备将所述多个数据分片传送到多个中间服务器，其中大于等于所述阈值数量的数据分片被用于重构所述投票数据，其中来自多个客户端设备的经重构的投票数据将被汇总以生成汇总结果。

[89] 方法 500还可包括：在步骤 510，可通过客户端设备接收并显示汇总结果。

[90] 对方法的各步骤的具体实现的描述可参考前文。 [91] 此外，本申请还公开了一种装置，该装置包括存储器；通信接口；和处理器，与所述存储器和通信接口通信地连接，所述处理器操作以实现本文所述的各实施例的方法。

[92] 而且，本申请还公开了一种包括存储于其上的计算机可执行指令的计算机可读存储介质，所述计算机可执行指令在被处理器执行时使得所述处理器执行本文所述的各实施例的方法。 [93] 可以理解，根据本说明书的各实施例的方法可以用软件、固件或其组合来实现。

[94] 应该理解，所公开的方法中各步骤的具体次序或阶层是示例性过程的解说。基于设计偏好，应该理解，可以重新编排这些方法中各步骤的具体次序或阶层。所附方法权利要求以样本次序呈现各种步骤的要素，且并不意味着被限定于所呈现的具体次序或阶层，除非在本文中有特别叙述。 [95] 应该理解，本文用单数形式描述或者在附图中仅显示一个的元件并不代表将该元件的数量限于一个。此外，本文中被描述或示出为分开的模块或元件可被组合为单个模块或元件，且本文中被描述或示出为单个的模块或元件可被拆分为多个模块或元件。

[96] 还应理解，本文采用的术语和表述方式只是用于描述，本说明书的实施例并不应局限于这些术语和表述。使用这些术语和表述并不意味着排除任何示意和描述（或其中部分）的等效特征，应认识到可能存在的各种修改也应包含在权利要求范围内。其他修改、变化和替换也可能存在。相应的，权利要求应视为覆盖所有这些等效物。

[97] 同样，需要指出的是，虽然本发明已参照当前的具体实施例来描述，但是本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本发明，在没有脱离本发明精神的情况下还可做出各种等效的变化或替换，因此，只要在本发明的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。

Claims

权利要求书

1. 一种用于投票的系统，包括：

至少一个客户端设备，每个客户端设备：

向用户呈现投票选项，

接收所述用户对投票选项的选择并生成投票数据，

使用秘密分享算法将所述投票数据转换为多个数据分片，其中所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据，以及

将所述多个数据分片传送到多个中间服务器；

多个中间服务器，其中所述多个中间服务器从所述至少一个客户端设备接收数据分片，其中大于等于所述阈值数量的数据分片被用来重构所述投票数据；

一个或多个重构服务器，其中所述重构服务器从所述多个中间服务器获得大于等于阈值数量的数据分片并使用所述数据分片来重构所述投票数据；以及

汇总服务器，所述汇总服务器接收来自所述一个或多个重构服务器的经重构的投票数据并对其进行汇总以生成汇总结果，并将所述汇总结果传送给相应的客户端设备以供显示。

2. 如权利要求 1所述的系统，其特征在于，显示所述汇总结果包括显示多个用户的投票数据的统计平均值。

3. 如权利要求 1所述的系统，其特征在于，显示所述汇总结果包括显示所述用户的投票数据与多个用户的投票数据的统计平均值的关系。

4. 如权利要求 1所述的系统，其特征在于，所述秘密分享算法是 Shamir阈值秘密分享算法。

5. 如权利要求 1所述的系统，其特征在于，所述重构服务器中的一个或多个由所述中间服务器担当。

6. 如权利要求 1所述的系统，其特征在于，所述汇总服务器由所述中间服务器或所述重构服务器中的一个或多个担当。

7. 如权利要求 1所述的系统，其特征在于，每个数据分片仅被传送至一个中间服务器。

8. 一种用于投票的方法，包括：

通过客户端设备向用户呈现投票选项；

通过客户端设备接收用户对投票选项的选择以生成投票数据；

通过客户端设备使用秘密分享算法将所述投票数据转换为多个数据分片，其中所述秘密分享算法使得无法从小于阈值数量的数据分片重构所述投票数据；

通过客户端设备将所述多个数据分片传送到多个中间服务器，其中大于等于所述阈值数量的数据分片被用于重构所述投票数据，其中来自多个客户端设备的经重构的投票数据将被汇总以生成汇总结果；以及

通过所述客户端设备接收并显示所述汇总结果。

9. 如权利要求 8所述的方法，其特征在于，显示所述汇总结果包括仅显示统计平均值。

10. 如权利要求 8所述的方法，其特征在于，显示所述汇总结果包括显示所述用户的投票数据与多个用户的投票数据的统计平均值的关系。

11. 如权利要求 8所述的方法，其特征在于，所述秘密分享算法是 Shamir阈值秘密分享算法。

12. 如权利要求 8所述的方法，其特征在于，将每个数据分片传送至仅一个中间服务器。

13. 如权利要求 8所述的方法，其特征在于，所述重构由独立的重构服务器执行或由中间服务器执行。

14. 如权利要求 8所述的方法，其特征在于，所述汇总由独立的汇总服务器执行、由中间服务器执行或由用于重构投票数据的重构服务器执行。

15. 一种用于投票的装置，包括：

存储器；

通信接口；以及

连接到所述存储器和通信接口的处理器，所述处理器被配置为执行如权利要求 8-14 中任一项所述的方法。

16. 一种存储指令的计算机可读存储介质，所述指令当被计算机执行时，使所述计算机执行如权利要求 8-14中任一项所述的方法。