一種嵌入證書的移動(dòng)投票方法研究

2010-08-07 08:20:46李云鶴晏振鳴

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2010年4期

李云鶴晏振鳴

1 廣東茂名學(xué)院計(jì)算機(jī)系廣東 525000

2 中國(guó)聯(lián)通武漢分公司移動(dòng)網(wǎng)絡(luò)運(yùn)維部湖北 437000

0 前言

本文提出的電子投票系統(tǒng)，投票前使用無線證書識(shí)別選民而不必另外登記，用戶可使用移動(dòng)終端例如手機(jī)或 PDA投票。同時(shí)，也提出了保證選民匿名和表決內(nèi)容機(jī)密的方法。與使用基于互聯(lián)網(wǎng)的電子投票系統(tǒng)相比，嵌入證書的移動(dòng)投票系統(tǒng)可以更簡(jiǎn)單方便地表決。在選舉期間不管處于何地，即使選民不能訪問互聯(lián)網(wǎng)也可投票。本文著重說明嵌入證書的移動(dòng)投票模型和使用移動(dòng)終端的投票過程。

1 現(xiàn)有的電子投票方法

以現(xiàn)有的投票方法，如果要在某種競(jìng)選例如總統(tǒng)選舉、議會(huì)選舉或地方選舉中選擇一名候選人的話，全體選民得去指定的投票站經(jīng)身份驗(yàn)證，最后才能投票。當(dāng)然，選民還須事先在選民書上登記。如此一來，投票和計(jì)票會(huì)消耗掉大量的時(shí)間和金錢。

同時(shí)，使用觸摸屏或互聯(lián)網(wǎng)的在線電子投票方法中，最重要的安全性問題是保證選民匿名和表決內(nèi)容的機(jī)密。

使用觸摸屏的電子投票方法允許選民選擇顯示在屏幕上的候選人或選項(xiàng)，這有好處，因?yàn)檫x民不用管被分配到哪個(gè)投票所。在2004年11月份舉行的美國(guó)總統(tǒng)選舉中，超過5000萬的選民使用了電子投票機(jī)來進(jìn)行投票。電子投票機(jī)并不完美，仍有改進(jìn)的空間，但和其他的投票方式比起來，它出錯(cuò)的概率小，是比較先進(jìn)的投票方式，也是投票方式發(fā)展的方向。但是在這種情況下，仍然要求選民去投票站投票。

作為另一種電子投票方法，選民如果使用互聯(lián)網(wǎng)并且允許通過互聯(lián)網(wǎng)表決的話，就不必去投票站。但卻只能用可以接入互聯(lián)網(wǎng)的終端，并且選民只能在可以訪問互聯(lián)網(wǎng)的有限的地區(qū)投票。特別是，像個(gè)人ID這樣的私有數(shù)據(jù)在訪問互聯(lián)網(wǎng)期間也許會(huì)泄露。這意味著匿名電子投票在互聯(lián)網(wǎng)上不能取得令人滿意的效果。若對(duì)候選人的選擇或投票內(nèi)容沒有加密的話，投票的機(jī)密也無法保證。并且許多人擔(dān)心電子選票會(huì)有后遺癥，比如故障、電子舞弊、或留下使用記錄等等。

2 使用嵌入證書的移動(dòng)終端投票系統(tǒng)

圖1給出了使用嵌入證書的移動(dòng)通信電子投票系統(tǒng)。電子投票系統(tǒng)包括移動(dòng)終端、移動(dòng)通信服務(wù)器和電子投票設(shè)備。移動(dòng)終端中有用來驗(yàn)證選民身份的無線證書。移動(dòng)通信網(wǎng)絡(luò)中的移動(dòng)通信服務(wù)器把移動(dòng)終端與用于電子投票服務(wù)的電子投票設(shè)備連接起來。它的作用是把電子投票過程中使用的數(shù)據(jù)傳遞給移動(dòng)終端和電子投票設(shè)備這兩個(gè)實(shí)體。除了刪除與投票關(guān)聯(lián)的移動(dòng)終端 ID外，不允許修改任何數(shù)據(jù)。電子投票設(shè)備可以由相關(guān)組織管理，例如選舉事務(wù)所或者選舉管理委員會(huì)等，所以可以保證是一個(gè)安全系統(tǒng)。電子投票設(shè)備包含6個(gè)內(nèi)部功能單元。

圖1 使用移動(dòng)終端的電子投票系統(tǒng)

VIVU(選民身份核實(shí)單元)：根據(jù)通過移動(dòng)通信網(wǎng)絡(luò)接收到的從移動(dòng)終端發(fā)來的無線證書驗(yàn)證選民是否可以投票。

DVPU(雙重投票預(yù)防單元)：如果一個(gè)選民完成一次投票后，又嘗試使用電子投票器，DVPU會(huì)拒絕第二次嘗試驗(yàn)證其身份。這種情況發(fā)生在：當(dāng)選民已經(jīng)在某一投票所投完選票或已經(jīng)使用移動(dòng)電話投過票后又企圖訪問電子投票服務(wù)時(shí)。

移動(dòng)終端包括CRMU、VIRU和ENCU。選民實(shí)際上是利用手機(jī)和PDA作為終端。

CRMU(證書管理單元)：這個(gè)單元存儲(chǔ)著載有個(gè)人識(shí)別號(hào)碼的選民證書。當(dāng)電子投票開始時(shí)，CRMU將證書傳送到電子投票設(shè)備，以證明選民有資格投票。

包括SRU和PIDU的移動(dòng)通信服務(wù)器通過移動(dòng)通信網(wǎng)絡(luò)把移動(dòng)終端和電子投票設(shè)備連接起來。

SRU(發(fā)送和接收單位)：這個(gè)單元從電子投票設(shè)備那里接收密鑰和投票信息并傳送到移動(dòng)終端。此外， SRU從移動(dòng)終端接收加密后的投票內(nèi)容并傳送到電子投票設(shè)備。

PIDU(個(gè)人 ID刪除單元)：其作用是在把加密的內(nèi)容傳送給電子投票設(shè)備之前，刪除來自投票移動(dòng)終端的個(gè)人 ID信息。

在使用移動(dòng)終端的電子投票系統(tǒng)中，無線證書是用來在選民第一次訪問電子投票設(shè)備之后驗(yàn)證選民身份的。因此，該證書應(yīng)該由連接到電子投票設(shè)備的 ECU上的證書頒發(fā)機(jī)構(gòu)或經(jīng)授權(quán)的與電子投票設(shè)備無關(guān)的實(shí)體在事前發(fā)出。此外，在選民開始電子投票服務(wù)之前，它必須嵌入在選民自己的移動(dòng)終端上。無線證書除了用于電子投票服務(wù)外，也可用于其他應(yīng)用如移動(dòng)商務(wù)或移動(dòng)銀行。

核實(shí)選民身份之后，電子投票設(shè)備在一組密碼或它的公共密鑰中選擇一個(gè)密碼并傳送到選民的移動(dòng)終端。選民接到密碼后選擇由電子投票設(shè)備提供的選項(xiàng)之一并把表決內(nèi)容加密。這時(shí)，加密使用的是移動(dòng)終端和電子投票設(shè)備共享的密碼或電子設(shè)備的公共密鑰。然后，選民發(fā)送加密的投票內(nèi)容給電子投票設(shè)備。在這個(gè)過程中，選民移動(dòng)終端屏幕上的投票信息根據(jù)居住地的不同可能是不同的，而居住地參照的是選民證書內(nèi)的當(dāng)前地址。

當(dāng)移動(dòng)通信服務(wù)器收到加密的投票內(nèi)容和移動(dòng)終端的ID時(shí)，總是會(huì)刪除該 ID，只把加密的投票內(nèi)容傳送到電子投票設(shè)備。然后，電子投票設(shè)備使用上一步中產(chǎn)生的密碼就可以了解表決的內(nèi)容。

3 使用移動(dòng)終端的投票過程

使用嵌入證書的移動(dòng)終端投票過程如下:

（1）無線證書是頒發(fā)給移動(dòng)終端的，那就是說，選民投票之前得到證書。該證書存放在為電子投票服務(wù)的移動(dòng)終端內(nèi)。

（2）一旦一個(gè)移動(dòng)終端連接到電子投票設(shè)備，電子投票服務(wù)就開始了。如果電子投票設(shè)備接受電子投票服務(wù)，它就會(huì)要求證書以核實(shí)選民身份。

（3）移動(dòng)終端發(fā)出證書給電子投票設(shè)備。這樣，選民就可以證明他是一名合格的投票人。

（4）如果選民通過了身份驗(yàn)證得到了投票權(quán)，電子投票設(shè)備就會(huì)檢查該選民是否重復(fù)訪問電子投票設(shè)備。

（5）電子投票設(shè)備根據(jù)加密方法選擇和傳輸密鑰，以保證選民的機(jī)密。當(dāng)然，這項(xiàng)工作是在核實(shí)選民身份和檢查選民是否重復(fù)投票后進(jìn)行的。

（6）發(fā)送加密密鑰后，電子投票設(shè)備不斷地傳遞含有一串投票選項(xiàng)和補(bǔ)充資料的表決信息。然后，選民根據(jù)這些表決信息來投票。

（7）移動(dòng)終端將投票內(nèi)容加密并傳送給電子投票設(shè)備。投票設(shè)備不會(huì)透露投票內(nèi)容，直到投票時(shí)間結(jié)束。在這一刻，接收了加密投票內(nèi)容和移動(dòng)終端 ID號(hào)的移動(dòng)通信服務(wù)器就會(huì)刪除ID。也就是說，電子投票設(shè)備只接收投票內(nèi)容。

（8）當(dāng)投票時(shí)間已經(jīng)過去，電子投票設(shè)備會(huì)對(duì)存儲(chǔ)的加密投票內(nèi)容進(jìn)行解密并檢查被選中的選項(xiàng)進(jìn)行計(jì)票。

在第(5)步中，電子投票設(shè)備的加密密鑰管理單元?jiǎng)?chuàng)建一個(gè)密碼和密碼的識(shí)別標(biāo)志并把它們傳遞到移動(dòng)終端。如果應(yīng)用的是基于對(duì)稱密碼的密碼方案的話，此時(shí)發(fā)送的是密碼。另一方面，如果電子投票過程中采用了基于公共密鑰的方案，該單元將轉(zhuǎn)送電子投票設(shè)備的公共密鑰到移動(dòng)終端。如果每位選民用的都是同一個(gè)密碼，那么選民和密碼之間的關(guān)系就暴露了。這使不愿透露姓名的選民不是很滿意。因此，為了避免這一點(diǎn)，加密密鑰可以基于時(shí)間段生成，然后相同的密鑰分配給在某一個(gè)時(shí)間段內(nèi)來訪的選民。以及，通過檢查選民證書上的地址，同樣的加密密鑰可以分配給在同一地區(qū)的選民。識(shí)別加密密鑰用的就是同樣的加密密鑰識(shí)別標(biāo)志?；跁r(shí)間段或基于地區(qū)或基于時(shí)間段和地區(qū)的加密密鑰，可以通過創(chuàng)建幾個(gè)加密密鑰組而生成。當(dāng)密碼和密碼識(shí)別標(biāo)志被傳送時(shí)，是使用選民的公鑰加密過的，以避免泄露數(shù)據(jù)。對(duì)密碼以及加密內(nèi)容的傳送見圖2 、圖3。

圖2 傳送加密和解密的密碼

圖 2說明了傳送用于加密及對(duì)投票內(nèi)容進(jìn)行解密的密碼。這些符號(hào)意義如下：

K：從電子投票設(shè)備傳送到移動(dòng)終端的用于加密投票內(nèi)容的密碼。

IND：用于表明密碼組的密碼識(shí)別標(biāo)志。

PUBU，PRIU：公共密鑰和選民私人密碼。

U PUBU，PRIU：電子投票設(shè)備V的公共密鑰和私人密碼。

m：選民的投票內(nèi)容。

EK(m),EPUBV(m)：使用K和PUBV加密的投票內(nèi)容。

DK(m),DPRIV(m)：使用K和PRIv對(duì)加密的投票內(nèi)容進(jìn)行解密。

其加密和解密過程如下：

（1）電子投票設(shè)備使用包含在選民證書中的PUBU產(chǎn)生K和IND并對(duì)它們加密。然后，傳送給移動(dòng)終端。

（2）選民收到加密信息后，使用自己的私人密碼對(duì)其進(jìn)行解密，從而得到K和IND。

（3）移動(dòng)終端使用K對(duì)m加密并把加密后的投票內(nèi)容與IND一起傳送給電子投票設(shè)備。

（4）電子投票設(shè)備使用自己產(chǎn)生的K和IND對(duì)加密的投票內(nèi)容進(jìn)行解密。

圖3所示，傳送公共密鑰和加密的投票內(nèi)容。

圖3 傳送公共密鑰和加密內(nèi)容

其過程如下：

（1）電子投票設(shè)備產(chǎn)生它的公共密鑰并傳送給移動(dòng)終端。

（2）移動(dòng)終端用接收到的公共密鑰對(duì)投票內(nèi)容加密并把加密后的內(nèi)容傳送給電子投票設(shè)備。

（3）電子投票設(shè)備使用私人密碼對(duì)加密的投票內(nèi)容進(jìn)行解密。

在傳送完加密密碼后，電子投票設(shè)備發(fā)送投票證書或投票選項(xiàng)給選民。

在使用移動(dòng)通信網(wǎng)絡(luò)進(jìn)行電子投票的過程中，移動(dòng)通信服務(wù)器接收選民的身份、加密的投票內(nèi)容以及密碼識(shí)別符。但是它不會(huì)知道真正的投票內(nèi)容，因?yàn)樗鼪]有加密密鑰。移動(dòng)通信服務(wù)器總是先刪除選民的ID，然后只把加密的投票內(nèi)容和密碼識(shí)別符發(fā)送給電子投票設(shè)備。因此，電子投票設(shè)備不知道選民和投票內(nèi)容之間的關(guān)系。

4 總結(jié)

嵌入證書的移動(dòng)投票模型和使用移動(dòng)終端的投票過程,使選民可以使用移動(dòng)電話投下選票，而無須事先注冊(cè)，也無須去投票站。對(duì)于上述兩個(gè)實(shí)體所采用的加密算法, 盡管有很多使用多協(xié)議和匿名通信的電子投票機(jī)制，但在效率和保密性方面還需做進(jìn)一步的探討。選民用簡(jiǎn)單、方便, 不受時(shí)間和地點(diǎn)限制而且保密和匿名的方式表決，是比較先進(jìn)的投票方式，也是投票方式發(fā)展的方向。

[1] KR Patent.Electronic voting system using internet.Fig.2.Korea.2005.