SM2可鏈接環(huán)簽名在匿名電子投票系統(tǒng)中的應(yīng)用

摘 要：【目的】針對(duì)匿名電子投票中簽名算法非國(guó)產(chǎn)化、身份隱私泄露、重復(fù)投票、投票結(jié)果提前泄露的安全性問題，提出了基于SM2可鏈接環(huán)簽名的匿名電子投票系統(tǒng)。【方法】以SM2可鏈接環(huán)簽名作為選票中的身份憑證，保證投票者身份匿名，同時(shí)規(guī)避了選票被偽造的可能，實(shí)現(xiàn)投票者身份和選票的全過程匿名性；使用匿名地址來隱藏選票內(nèi)容，避免投票結(jié)果提前泄露，實(shí)現(xiàn)投票的公正性和候選人身份匿名；利用SM2可鏈接環(huán)簽名的可鏈接性來防止重復(fù)投票，實(shí)現(xiàn)投票的不可重復(fù)性；應(yīng)用FISCO BCOS智能合約來完成計(jì)票過程，避免傳統(tǒng)可信第三方的約束，實(shí)現(xiàn)投票的公平性。【結(jié)果】該設(shè)計(jì)滿足電子投票的七大基本屬性，實(shí)現(xiàn)了匿名電子投票系統(tǒng)的全流程國(guó)密替代，豐富了SM2可鏈接環(huán)簽名的應(yīng)用場(chǎng)景。【結(jié)論】SM2可鏈接環(huán)簽名能替代國(guó)際通用環(huán)簽名，實(shí)現(xiàn)應(yīng)用系統(tǒng)環(huán)簽名國(guó)產(chǎn)化。

關(guān)鍵詞：SM2可鏈接環(huán)簽名；國(guó)密算法；隱私保護(hù)；匿名電子投票；匿名地址

中圖分類號(hào)：TP391" " "文獻(xiàn)標(biāo)志碼：A" " 文章編號(hào)：1003-5168（2024）20-0020-06

DOI：10.19968/j.cnki.hnkj.1003-5168.2024.20.004

The Application of SM2 Linkable Ring Signature in Anonymous

E-voting System

Abstract：[Purposes] To address the security issues related to non-localization of signature algorithms， identity privacy disclosure， repeated voting， and early disclosure of voting results in anonymous e-voting， an anonymous e-voting scheme based on SM2 linkable ring signatures is" proposed.[Methods] The system employs SM2 linkable ring signature as the identity certificate in the ballot to ensure the anonymity of the voter's identity and prevent ballot forgery， thereby enhancing the understanding of voter anonymity and the entire voting process. It also employs anonymous addresses to conceal ballot contents， preventing premature disclosure of voting results and ensuring fairness in the vote as well as candidate anonymity. In addition， it utilizes the linkability of SM2 linkable ring signature to prevent duplicate voting and achieve non-repeatability of votes.Furthermore， it leverages FISCO BCOS smart contracts for vote counting， ensuring fairness without relying on traditional trusted third parties.[Findings] The scheme meets the seven fundamental attributes of e-voting， achieves the complete process of replacing national secrets in an anonymous e-voting system，enhances the application scenario of SM2 linkable ring signature.[Conclusions] The SM2 linkable ring signature has the potential to replace the international common ring signature and enable independent localization of application system ring signatures.

Keywords： SM2 linkable ring signature; national secret algorithm; privacy protection; anonymous electronic voting; anonymous addresses

0 引言

環(huán)簽名能實(shí)現(xiàn)匿名身份認(rèn)證，將簽名者的真實(shí)身份隱藏于環(huán)中，以保護(hù)用戶真實(shí)身份隱私［1］。環(huán)簽名具有無條件匿名性、自發(fā)性、靈活性、去中心化的特征，這些特點(diǎn)使得環(huán)簽名適合在需要隱藏投票者身份信息的匿名電子投票系統(tǒng)中應(yīng)用。

去中心化是環(huán)簽名和區(qū)塊鏈的共同特征，將環(huán)簽名的無條件匿名性和區(qū)塊鏈的不可更改性、可溯源性相結(jié)合，并應(yīng)用于電子投票系統(tǒng)中，能同時(shí)實(shí)現(xiàn)投票者匿名性和投票結(jié)果不被篡改。這樣一方面解決了傳統(tǒng)投票方式帶來的中心服務(wù)器可能丟失選票數(shù)據(jù)的問題；另一方面保護(hù)了投票者的數(shù)據(jù)隱私，提高投票的公平性與安全性［2］。因此，將環(huán)簽名和區(qū)塊鏈相結(jié)合的匿名區(qū)塊鏈電子投票系統(tǒng)能夠解決傳統(tǒng)投票中選民身份信息泄露、重復(fù)投票、虛假投票的限制，是匿名電子投票的發(fā)展方向。

鄭劍等［3］提出基于一次性環(huán)簽名的區(qū)塊鏈電子投票方案，引入一次性環(huán)簽名解決了投票者匿名、重復(fù)投票、公開驗(yàn)證等問題，但該方案采用ED25519簽名算法，存在被偽造的安全風(fēng)險(xiǎn)，未能實(shí)現(xiàn)方案簽名算法國(guó)產(chǎn)化；范家幸等［4］提出了一種基于門限環(huán)簽名的分級(jí)匿名表決方案，但該方案安全性是基于安全傳輸通道實(shí)現(xiàn)的，在正常通道中表決決議可能會(huì)被敵手截獲，方案安全性不足；謝佳等［5］提出了一種基于身份的格基可鏈接環(huán)簽名方案，通過使用效率更高的陷門生成技術(shù)和雙峰高斯下的拒絕采樣技術(shù)，使方案在簽名生成和驗(yàn)證過程的時(shí)間開銷更小，但該方案公鑰尺寸過大，系統(tǒng)工作效率不高。

綜上所述，基于環(huán)簽名的匿名電子投票存在國(guó)產(chǎn)化程度不高、安全性不足、公鑰尺寸過大、惡意用戶進(jìn)行重復(fù)投票影響最終投票結(jié)果的問題。

可鏈接環(huán)簽名具有可鏈接性，在保持簽名者身份匿名性的同時(shí)，允許任何人驗(yàn)證兩個(gè)或多個(gè)不同的環(huán)簽名是否由同一簽發(fā)者所創(chuàng)建［6-7］。因此，可鏈接環(huán)簽名能有效避免參與者重復(fù)投票，保證選票的唯一合法性，規(guī)避了身份唯一性憑證被偽造的可能，彌補(bǔ)了環(huán)簽名中可鏈接性和匿名性無法同時(shí)達(dá)到的弊端，是在自組織網(wǎng)絡(luò)中作為匿名認(rèn)證工具的最佳候選方式［8］。LSAG是第一個(gè)可鏈接環(huán)簽名方案，利用 LSAG 構(gòu)建的投票系統(tǒng)能夠同時(shí)確保選民身份匿名性和避免重復(fù)投票［9］。基于SM2數(shù)字簽名算法的可鏈接環(huán)簽名方案實(shí)現(xiàn)了可鏈接環(huán)簽名的國(guó)產(chǎn)化，滿足正確性、不可偽造性、無條件匿名性、可鏈接性和不可誹謗性［9］，效率分析表明，SM2可鏈接環(huán)簽名方案的通信量和計(jì)算量均與環(huán)成員數(shù)量呈線性關(guān)系，具有安全性高、實(shí)現(xiàn)簡(jiǎn)單、易驗(yàn)證的特點(diǎn)，為環(huán)簽名應(yīng)用系統(tǒng)的國(guó)產(chǎn)化替代奠定了理論基礎(chǔ)。

為實(shí)現(xiàn)我國(guó)密碼技術(shù)的自主可控，實(shí)現(xiàn)匿名電子選舉系統(tǒng)全流程國(guó)產(chǎn)化，本研究以SM2可鏈接環(huán)簽名作為選票中的身份憑證，保證投票者身份匿名的同時(shí)，規(guī)避了選票被偽造的可能，實(shí)現(xiàn)投票者身份和選票的全過程匿名性，解決ED25519簽名算法偽造簽名的問題，豐富SM2算法的應(yīng)用場(chǎng)景；使用匿名地址來隱藏選票內(nèi)容，避免投票結(jié)果提前泄露，實(shí)現(xiàn)投票的公正性和候選人身份匿名；應(yīng)用SM2可鏈接環(huán)簽名的可鏈接性能防止重復(fù)投票，實(shí)現(xiàn)投票的不可重復(fù)性，解決電子選舉重復(fù)投票問題；應(yīng)用FISCO BCOS智能合約完成計(jì)票過程，避免了傳統(tǒng)可信第三方的約束，實(shí)現(xiàn)投票的公平性。

1 SM2可鏈接環(huán)簽名

環(huán)簽名進(jìn)行簽名時(shí)，簽名者只需要用自己的私鑰和其他成員的公鑰就能實(shí)現(xiàn)，無需成員環(huán)中其他成員協(xié)作，甚至可以不讓環(huán)中其他成員知曉。驗(yàn)證簽名時(shí)，驗(yàn)證者僅可驗(yàn)證簽名來自群組成員，只能知道簽名值出自環(huán)中某一成員， 但不能確定真實(shí)的簽名者，這意味著環(huán)簽名沒有揭示簽名者身份［9］，具有無條件匿名性，能夠保證簽名者身份信息隱私。環(huán)簽名所有成員是自發(fā)成環(huán)的，具有自發(fā)性，因此環(huán)簽名的創(chuàng)建過程具有靈活性，不再擁有最終可以揭示實(shí)際簽名者身份的管理者，具有去中心化的特征。

可鏈接環(huán)簽名能夠同時(shí)實(shí)現(xiàn)可鏈接性和匿名性，實(shí)現(xiàn)可監(jiān)管的身份隱私保護(hù)［10］和防止重復(fù)簽名，可通過RSA簽名、ED25519簽名、SM2簽名、SM9簽名等多種算法來實(shí)現(xiàn)［11-13］。

SM2可鏈接環(huán)簽名具有密碼復(fù)雜度高、儲(chǔ)存空間小、簽名速度快的優(yōu)點(diǎn)，包括五個(gè)算法： 系統(tǒng)初始化算法（Setup（λ）→params）、密鑰生成算法（KeyGen（λ）→（PK，sk））、可鏈接環(huán)簽名生成算法（LRSign（M，n，S，skπ）→（σπ，Qπ））、可鏈接環(huán)簽名驗(yàn)證算法（LRVerify（parama，M，S，σ，Qπ）→accept/reject）、可鏈接環(huán)簽名鏈接算法（Link（S，M1，σ1，Q1，，M2，σ2，Q2）→linked/unlinked）。

①LRSign：輸入消息M、n個(gè)成員組成的公鑰集合S=｛PK1，PK2，·…，PKn｝以及簽名者私鑰skπ（1≤π≤n），輸出簽名值σπ 和鏈接標(biāo)簽Qπ。

②LRVerify：輸入系統(tǒng)參數(shù) params、簽名消息M、S、σπ、Qπ，若（σπ，Qπ）是關(guān)于M的有效簽名，則輸出accept；否則輸出reject。

③Link：輸入S、兩個(gè)不同的簽名消息M1、M2及其分別對(duì)應(yīng)的可鏈接環(huán)簽名（σ1，Q1）、（σ2，Q2），若σ1、σ2是有效的環(huán)簽名，且有相同的鏈接標(biāo)簽Q1=Q2，輸出linked，否則輸出unlinked。

2 基于SM2可鏈接環(huán)簽名的匿名電子投票系統(tǒng)

電子投票系統(tǒng)由審查選民資格的登記合約、收集選票的投票合約、統(tǒng)計(jì)選舉結(jié)果的計(jì)票合約組成。投票活動(dòng)可分為三個(gè)階段：選民登記階段、匿名投票階段、驗(yàn)票計(jì)票階段。選民登記階段，登記合約與選民進(jìn)行互動(dòng)，以確定合格選民的群體；投票階段，合格的選民構(gòu)建公鑰環(huán)，進(jìn)行投票，將其選票送到投票合約；驗(yàn)票計(jì)票階段，驗(yàn)票合約清點(diǎn)選票，去除重復(fù)投票、非法投票，計(jì)票并公布結(jié)果。

本研究設(shè)計(jì)的系統(tǒng)由信任機(jī)構(gòu) CA、選民、選舉機(jī)構(gòu)三部分組成，選舉機(jī)構(gòu)實(shí)現(xiàn)登記合約、投票合約、計(jì)票合約，具體的工作時(shí)序圖如圖1所示。

2.1 選民登記

選民從CA獲取或預(yù)先生成自己的公私鑰對(duì)（ski，PKi），1≤i≤n，并向選舉機(jī)構(gòu)提交相關(guān)身份證明和公鑰PKi，注冊(cè)成為投票者。選舉機(jī)構(gòu)對(duì)注冊(cè)選民審查合格后，返回對(duì)應(yīng)注冊(cè)碼IDi，并將公鑰PKi加入可信公鑰列表PL=（（ID1，PK1），…，（IDA，PKA），…，（PKn，PKn））。

與此類似的，候選者C從CA獲取或預(yù)先生成自己的兩對(duì)公私鑰對(duì)，記為（ask1，APK1）、（bsk1，BPK1），向選舉機(jī)構(gòu)提交相關(guān)身份證明和公鑰對(duì)（APK1，BPK1），注冊(cè)成為候選者；選舉機(jī)構(gòu)對(duì)候選者資格審查合格后返回對(duì)應(yīng)注冊(cè)碼IDc，并將對(duì)應(yīng)公鑰對(duì)加入候選者可信公鑰對(duì)列表CPL=（（IDc1，APK1，BPK1），…，（IDcn，APKn，BPKn））。

登記階段結(jié)束后，選舉機(jī)構(gòu)將PL、CPL存儲(chǔ)到區(qū)塊鏈公示，接受選民、候選者的公開驗(yàn)證。該系統(tǒng)要求所有的投票者、候選者都使用SM2生成公私鑰對(duì)。

2.2 匿名投票

投票時(shí)，投票者對(duì)選票進(jìn)行環(huán)簽名，并通過選舉機(jī)構(gòu)將簽名信息和選票寫到區(qū)塊鏈上。當(dāng)驗(yàn)證者在區(qū)塊鏈上驗(yàn)證簽名時(shí)，僅可獲取發(fā)布到鏈上的選票，卻無法獲取簽名者真實(shí)身份信息，從而保證簽名者身份的真實(shí)性和匿名性，實(shí)現(xiàn)投票者身份信息的隱私保護(hù)。

在投票期限內(nèi)，合法選民才能進(jìn)行投票。以選民Alice投票給候選者Bob為例，投票時(shí)應(yīng)遵守如下協(xié)議。

①投票。Alice使用IDA登錄選舉機(jī)構(gòu)，瀏覽區(qū)塊鏈上的所有候選人信息，給Bob投票，選票內(nèi)容為Bob的IDB，生成選票M=（IDB）。

②生成選票匿名地址。選票需要公開存儲(chǔ)在區(qū)塊鏈上，為了使任何人或機(jī)構(gòu)都無法在計(jì)票階段前通過統(tǒng)計(jì)公開的選票而獲得投票結(jié)果，破壞投票的公正性，需要對(duì)選票中被選舉人信息進(jìn)行隱藏，并在計(jì)票階段才進(jìn)行公開。為此，該系統(tǒng)使用匿名地址［14］來處理選票，實(shí)現(xiàn)被選舉人匿名。

Alice根據(jù)IDB在CPL中查找對(duì)應(yīng)公鑰對(duì)（APKB，BPKB），然后選擇一個(gè)隨機(jī)數(shù)r，計(jì)算RB= rG、PB=SM3（rAPKB）G+BPKB ，生成對(duì)應(yīng)的匿名地址（RB，PB） ，修改選票M=（RB，PB）。

選舉機(jī)構(gòu)雖然可以知道（APK1，BPK1），但不知道Alice選擇的隨機(jī)數(shù)r，因此無法偽造（RB，PB），不會(huì)影響選舉結(jié)果。

③生成簽名公鑰環(huán)。Alice瀏覽可信公鑰列表PL，自主選擇（n-1）個(gè)公鑰，構(gòu)建投票者的公鑰環(huán)S=（PK1，PK2，…，PKA，…，PKn），PKA=PKπ，Alice為S中第π（1≤π≤n）個(gè)用戶。

④生成選票的可鏈接環(huán)簽名。Alice執(zhí)行SM2的LRSign算法，隨機(jī)選取α，si∈Zq*，i∈｛π+1，…，n，1，…，π-1｝，生成選票M=（RB，PB）的環(huán)簽名[σπ]和簽名標(biāo)簽Qπ。

算法1：LRSign（M，n，S，skπ）→（σπ，Qπ）

｛[Lπ=αG; ][Rπ=αSM3（S）;][ cπ+1=SM3（m， Lπ， Rπ）;] [Qπ=skπSM3（S）;]

for i" in" （π+1，…n，1，2，…π-1）" do

｛[Li=siG+（si+ci）PKi]；

[Ri=siSM3（PKi）+（si+ci）Qπ]；

[ci+1=SM3（S， Qπ ， M， Li， Ri）]｝； //記c1=cn+1；

[sπ=（1+skπ）-1 （α-cπskπ） mod Qπ]；

[σπ=（Qπ，c1，s1，....，sn）]； return Qπ，σπ ｝

⑤生成正式選票。系統(tǒng)組合上述結(jié)果，生成選票M=（RB，PB，σπ，Qπ，timestamp）。使用選舉機(jī)構(gòu)公鑰PKv來加密簽名選票M，從而生成正式選票PKv（M），并發(fā)布到區(qū)塊鏈，保證其不能被進(jìn)一步改變。

每個(gè)選民以加密形式將其填寫好的選票，并存儲(chǔ)到區(qū)塊鏈，這樣每個(gè)選民都能自己驗(yàn)證選票被記錄，保證了選民的選舉權(quán)利不被有意或無意剝奪。

選舉機(jī)構(gòu)不能通過重新排列（RB，PB）和（σπ，Qπ）偽造選票，為特定候選者增加票數(shù)，從而影響選舉公正性。因?yàn)檫x舉機(jī)構(gòu)雖然知道（RB，PB），但不知道Alice隨機(jī)選取α，新計(jì)算的（σπ，Qπ）與原有（σπ，Qπ）不一致，無法通過合法性驗(yàn)證。

投票結(jié)束前，第三方?jīng)]有選舉機(jī)構(gòu)私鑰不能解密選票，選舉機(jī)構(gòu)不允許解密選票，每個(gè)選民的選舉結(jié)果都受到保護(hù)，不被其他人知道，保護(hù)了選民的身份隱私。

2.3 驗(yàn)票計(jì)票

2.3.1 驗(yàn)票。選舉機(jī)構(gòu)必須對(duì)所有的選票使用自己的私鑰解密后才能進(jìn)行合法性驗(yàn)證和重復(fù)投票驗(yàn)證，防止不合法投票或者重復(fù)投票的情況出現(xiàn)，保證選票的唯一合法性。

①合法性驗(yàn)證。為了保證選票的唯一合法性，選舉機(jī)構(gòu)對(duì)選票列表｛σ1，σ2，…，σn｝使用SM2的LRVerify算法驗(yàn)證每張選票c1=cn+1是否成立。成立則投票合法且沒有被篡改，選票有效；否則，選票非法或被篡改，應(yīng)予以作廢。

任何人只要擁有所有參與環(huán)簽名的成員的公鑰，都可以對(duì)環(huán)簽名進(jìn)行驗(yàn)證，具有公開透明性。

算法2：LRVerify（parama，M，S，σ，Q）→accept/reject

｛for （i=1，i≤n，i++）

｛[Li=siG+（si+ci）PKi]；

[Ri=siSM3（PKi）+（si+ci）Q;]｝

if" （cn+1==c1） then" return（accept）

else" return（reject）" ｝

②可鏈接性驗(yàn)證。為了防止重復(fù)投票，選舉機(jī)構(gòu)必須在進(jìn)行合法性驗(yàn)證正確后，進(jìn)一步對(duì)所有選票使用SM2的Link算法進(jìn)行兩兩比對(duì)，去除重復(fù)投票。

用戶重復(fù)投票可分為兩種情況，即對(duì)同一候選人兩（多）次投票和對(duì)兩（多）個(gè)候選人分別投票。無論哪種情況，由LRSign算法可知：計(jì)算[Qπ=skπSM3（S）]時(shí)使用的私鑰skπ相同，鏈接標(biāo)簽Q1=Q2；且σ1、σ2雖然不等，但都能通過SM2的LRVerify算法驗(yàn)證，為有效環(huán)簽名。因此，Link算法將返回linked，說明用戶重復(fù)投票，此時(shí)應(yīng)保留時(shí)間戳靠前的選票，作廢時(shí)間戳靠后的選票，保證一人一票，杜絕重復(fù)投票。

2.3.2 計(jì)票。選舉機(jī)構(gòu)對(duì)所有的選票驗(yàn)票結(jié)束后，進(jìn)行計(jì)票，完成計(jì)票后在區(qū)塊鏈公開投票結(jié)果。

選票包含的候選者用匿名地址（RB，PB） 表示，為獲取其中包含的候選人信息需要所有候選者公開自己的私鑰（ask，bsk）構(gòu)成私鑰列表skl=｛（ask1，bsk1），…，（askn，bskn）｝公布到區(qū)塊鏈上。

計(jì)票階段，選舉機(jī)構(gòu)收集所有候選者私鑰，生成skl，計(jì)算私鑰xB=SM3（askBRB）+bskB。如果選票屬于候選者Bob則有：

xBG=（SM3（askBRB）+bskB）G

=SM3（askB（rG））G+bskBG

= SM3（rAPKB）G+BPKB=PB成立。

因此，只要計(jì)算xBG=PB成立，說明Bob獲得1票，Bob得票數(shù)加1。

由于計(jì)票階段所有候選者的私鑰都是公開的，所以投票結(jié)束后，任何人都可以自己驗(yàn)證選舉結(jié)果，保證了選舉結(jié)果的正確性和可驗(yàn)證性。

3 系統(tǒng)分析

3.1 安全屬性分析

本研究提出的系統(tǒng)產(chǎn)生的正式選票Pv（M）內(nèi)容為可鏈接簽名后的投票信息和匿名地址，應(yīng)滿足以下安全屬性。

①選民身份全程匿名。第三方?jīng)]有選舉機(jī)構(gòu)的私鑰無法解密正式選票，因而無法獲取選民身份。選舉機(jī)構(gòu)能夠解密正式選票，根據(jù)環(huán)簽名來確認(rèn)選民身份的合法性，但SM2可鏈接環(huán)簽名的無條件匿名性保證了選民真實(shí)身份隱私，選舉機(jī)構(gòu)不知道選民的真實(shí)身份。

②計(jì)票前，被選舉候選人匿名。匿名地址（RB，PB）只有使用Bob私鑰才能進(jìn)行驗(yàn)證，選舉機(jī)構(gòu)沒有Bob私鑰，因而無法知道Alice選舉了誰，并且選票隱藏了被選舉人信息，保證了公眾無法獲得中間結(jié)果。實(shí)現(xiàn)選舉結(jié)果的公正性和選票的隱私性，確保整個(gè)選舉過程公平公正。

③保證選票內(nèi)容的機(jī)密性、完整性。在選票傳輸過程，第三方因沒有選舉機(jī)構(gòu)的私鑰而無法解密正式選票，選票內(nèi)容具有機(jī)密性，傳輸具有機(jī)密性；選舉階段，選舉機(jī)構(gòu)雖然能夠解密正式選票，看到選票內(nèi)容，但因沒有選民私鑰無法篡改選票內(nèi)容，選票存儲(chǔ)在區(qū)塊鏈上，難以篡改，選票內(nèi)容具有完整性。

④只有組成一次性環(huán)簽名的合法選民才能進(jìn)行投票，因此，在SM2可鏈接環(huán)簽名過程中，同時(shí)進(jìn)行了選民資格性審查。這保證了投票者都是通過合法認(rèn)證的選民，阻止了未經(jīng)授權(quán)的實(shí)體進(jìn)行投票。

⑤禁止無效選票，實(shí)現(xiàn)健全性、不可重復(fù)性。選民使用SM2可鏈接環(huán)簽名簽署了可公開驗(yàn)證的加密選票，重復(fù)投票會(huì)導(dǎo)致簽名具有鏈接性，選舉機(jī)構(gòu)能夠識(shí)別并根據(jù)時(shí)間戳來去除重復(fù)投票和無效投票，有效選票都會(huì)被計(jì)入，保證選票的唯一合法性，防止了重復(fù)投票的問題；第三方篡改選票內(nèi)容將導(dǎo)致解密失敗，選票無效被去除，保證了選票具有健全性。

⑥投票可驗(yàn)證。投票者可通過比較從區(qū)塊鏈獲取的正式選票Pv（ticket）和本機(jī)ticket產(chǎn)生的Pv（ticket），來確認(rèn)自己的投票是否正確；計(jì)票階段所有人都可以計(jì)票，確認(rèn)選舉結(jié)果。

綜上所述，本研究的系統(tǒng)滿足電子投票的七大安全屬性（完整性、可靠性、隱私性、不可重復(fù)性、資格性、公平性、可驗(yàn)證性）。其中，完整性要求所有有效的選票都要得到正確的清點(diǎn)；可靠性要求所有無效的選票都不應(yīng)被計(jì)算在內(nèi)；隱私性意味著所有選票都應(yīng)該保密，直到所有選票被收集并準(zhǔn)備清點(diǎn)；不可重復(fù)性阻止任何選民投票兩次或兩次以上；資格性阻止了未經(jīng)授權(quán)的實(shí)體進(jìn)行投票；公平性要求沒有什么能影響到結(jié)果；可驗(yàn)證性確保了投票結(jié)果是可公開驗(yàn)證的。

本研究系統(tǒng)使用FISCO BCOS實(shí)現(xiàn)，是國(guó)內(nèi)首個(gè)安全可控、可商用的開源區(qū)塊鏈技術(shù)平臺(tái)。運(yùn)行BCOS上的智能合約，可以實(shí)現(xiàn)對(duì)選票解密、統(tǒng)計(jì)等業(yè)務(wù)需求，從而代替?zhèn)鹘y(tǒng)的第三方可信平臺(tái)（TTP），通過智能合約來自動(dòng)計(jì)票并將結(jié)果上傳至區(qū)塊鏈，實(shí)現(xiàn)投票的透明性和公平性。

3.2 簽名通信量

本研究的系統(tǒng)SM2可鏈接環(huán)簽名輸出的簽名值為 （Q，c1，s1，s2，…，sn）， 其中c1，si（i =1，2，…，n） ∈ Z*。以|p|表示使用的大素?cái)?shù)p的位數(shù)，|G|表示群G中元素的位數(shù)，可得SM2環(huán)簽名的通信量為（n+1）|p| + |G|， 說明系統(tǒng)通信量與環(huán)成員數(shù)量 n呈線性關(guān)系。

設(shè)|p|=512，|G| =256，通信量與環(huán)簽名成員數(shù)量關(guān)系如圖2所示。由圖2可知，隨著環(huán)成員個(gè)數(shù)n的增加，本研究系統(tǒng)簽名通信量與文獻(xiàn)［3］中的方案相比增速較慢，略優(yōu)于文獻(xiàn)［15］方案，這有益于提高方案通信效率，保證投票實(shí)時(shí)性。

3.3 簽名計(jì)算量

SM2可鏈接環(huán)簽名過程中， 計(jì)算鏈接標(biāo)簽Q需要1次SM3運(yùn)算、1次點(diǎn)乘運(yùn)算；生成cπ+1時(shí)需要2次點(diǎn)乘運(yùn)算、1次SM3運(yùn)算，生成其他n-1個(gè)ci（1≤i≤n） 時(shí)需要4n-4次點(diǎn)乘運(yùn)算、2n-2次點(diǎn)加運(yùn)算、n-1次SM3運(yùn)算， 最后生成sπ時(shí)需要1次Zq上逆運(yùn)算；驗(yàn)證過程需要n次SM3運(yùn)算、2n次點(diǎn)加運(yùn)算、4n次點(diǎn)乘運(yùn)算。計(jì)算量對(duì)比見表1。

由表1可知，本研究系統(tǒng)的計(jì)算量與文獻(xiàn)［15］中的方案相當(dāng)，與文獻(xiàn)［3］方案相比，點(diǎn)乘運(yùn)算有所減少，這能有效提高方案執(zhí)行效率。

4 結(jié)語

應(yīng)用系統(tǒng)的國(guó)密替代是保證我國(guó)應(yīng)用系統(tǒng)信息安全的基本要求，本研究將國(guó)密SM2可鏈接環(huán)簽名成功應(yīng)用于匿名電子投票，提出了一種基于SM2環(huán)簽名算法的匿名電子投票系統(tǒng)，滿足電子投票的七大基本屬性，實(shí)現(xiàn)了匿名電子投票系統(tǒng)全流程國(guó)密替代，豐富了國(guó)密算法的應(yīng)用場(chǎng)景，為國(guó)產(chǎn)應(yīng)用系統(tǒng)簽名算法實(shí)現(xiàn)國(guó)密替代進(jìn)行了探索。

參考文獻(xiàn)：

［1］ RIVEST R L， SHAMIR A， TAUMAN Y. How to leak a secret［C］//Proc of International Conference on the Theory and Application of Cryptology and Information Security.Berlin： Springer， 2001： 552-556.

［2］蘭祥，郭瑞，王俊茗.電子投票系統(tǒng)中基于區(qū)塊鏈的無證書環(huán)簽密方案［J］.計(jì)算機(jī)工程與應(yīng)用，2024，60（16）：288-301.

［3］ 鄭劍，賴恒財(cái).基于一次性環(huán)簽名的區(qū)塊鏈電子投票方案［J］.計(jì)算機(jī)應(yīng)用研究，2020，37（11）：3378-3381，3391.

［4］ 范家幸，王志偉.基于門限環(huán)簽名的分級(jí)匿名表決方案［J］.計(jì)算機(jī)科學(xué)，2022，49（1）：321-327.

［5］ 謝佳，王露，劉仕釗，等.隨機(jī)預(yù)言機(jī)模型下基于身份的格基可鏈接環(huán)簽名［J］.計(jì)算機(jī)科學(xué)與探索，2024，18（8）：2190-2202.

［6］ LIU J K，AU M H，SUSILO W，et al.Linkable Ring Signature with Unconditional Anonymity［J］.IEEE Transactions on Knowledge amp; Data Engineering， 2014， 26（1）：157-165.

［7］LIU J K， WEI V K， WONG D S. Linkable spontaneous anonymous group signature for ad hoc groups［C］//Proceedings of the 9th Australasian Conference on Information Security and Privacy， Sydney， Jul 13-15， 2004. Berlin， Heidel berg： Springer， 2004： 325-335

［8］孫晗.可鏈接環(huán)簽名方案的研究［D］.蘭州：西北師范大學(xué)，2019.

［9］ 范青， 何德彪， 羅敏， 等. 基于 SM2數(shù)字簽名算法的環(huán)簽名方案［J］. 密碼學(xué)報(bào)， 2021， 8（4）： 710-723.

［10］宋靖文，張大偉，韓旭，等.區(qū)塊鏈中可監(jiān)管的身份隱私保護(hù)方案［J］.軟件學(xué)報(bào)，2023，34（7）：3292-3312.

［11］王伊婷，萬武南，張仕斌，等.基于SM9算法的可鏈接環(huán)簽名方案［J/OL］.計(jì)算機(jī)應(yīng)用，1-13［2024-05-06］.http：//kns.cnki.net/kcms/detail/51.1307.TP.20240301.1525.019.html.

［12］于天嬌，曹春杰，王隆娟，等.基于聯(lián)盟鏈的匿名電子投票方案［J］.網(wǎng)絡(luò)空間安全，2019，10（12）：22-29.

［13］謝佳，劉仕釗，王露，等.環(huán)簽名技術(shù)研究進(jìn)展及展望［J］.計(jì)算機(jī)科學(xué)與探索，2023，17（5）：985-1001.

［14］林定康，顏嘉麒，巴·楠登，等.門羅幣匿名及追蹤技術(shù)綜述［J］.計(jì)算機(jī)應(yīng)用，2022，42（1）：148-156.

［15］ 包子健，何德彪，彭聰，等.基于SM2數(shù)字簽名算法的可否認(rèn)環(huán)簽名［J］.密碼學(xué)報(bào)，2023，10（2）：264-275.