基于隐私保护的电子选举投票系统
2022-08-04
来源:小侦探旅游网
Journal of Computer Applications ISSN 1001.9081 2016..12..15 计算机应用,2016,36(S2):73—76 文章编号:1001—9081(2016)s2—0073—04 CODEN JYIIDU http://www.joca.cn 基于隐私保护的电子选举投票系统 董宇琦’,翟健宏,孙彤,段艺,胡哲婷 (哈尔滨工业大学计算机科学与技术学院,哈尔滨150001) ( 通信作者电子邮箱764273720@qq.com) 摘要:针对现在电子选举系统中存在的安全漏洞问题,提出了一个基于隐私保护的选举投票系统设计方案。 系统基于Android平台,采用P2P架构,配合一套高安全性的通信协议,利用P2P网络架构多次中继的特性以及去中 心化的特点,实现对选举活动参与匿名性的高强度保护,并基于此实现选举活动的发起参与、选举结果的实时显示及 可视化等功能。系统兼具有不受工作环境限制的特性,使用户可以随时随地关注选举动态。通过实例测试,结果验证 该系统可以在大规模参与者的环境下,高效、安全、稳定地完成选举活动。与传统选举方式相比,既提高了效率、节约 成本,同时实现了对个人隐私的保护。 关键词:电子选举;隐私保护;内容安全;P2P架构;Android平台 中图分类号:TP393.08 文献标志码:A Electronic voting system based on privacy protection DONG Yuqi。,ZHAI Jianhong,SUN Tong,DUAN Yi,HU Zheting (School of Computer Science and Technology,Harbin Institute of Technology,Harbin Heilongiiang 150001,China) Abstract:With strengthening people’S awareness on justice and democracy,various public election ways emerge at irght moment.The goal of voting system and network voting is to protect personal privacy of voters under conditions of maintaining fair election.An electronic voting system was designed based on privacy protection.The system Was based on Android platform,used P2P architecture with high security communication protocol to achieve high strength protection of anonymity in election campaign.Then real—time display and visualization function of initiation and election results in election activities were realized.The system was not restricted by working environment,SO users can focus on election campaign at any time and any place.Test and practical operation result shows that the system has good security and stability,it Can effectively protect privacy of voters in election campain.g Key words:electronic voting;privacy protection;content security;Peer—to—Peer(P2P)architecture;Android system 0 引言 电子投票系统设计中任何一个细小的安全漏洞都可能导 致选举结果遭到破坏甚至颠覆。尽管从电子选举问世以来, 统计选票操控选举结果,因此,开发一款安全有效的电子投票 系统是很有必要的。针对上述各类问题,本文提出一种有效 的解决方案:通过完善协议及加密算法保护投票者的投票信 息隐私,构建一套基于隐私保护的选举系统,实现“自行组 网”,简化应用环境;设计一个基于智能手机的应用,实现硬 件成本的最小化。 人们不断完善其流程协议及保密算法,但目前现有的电子投 票系统在计算效率、可信第三方的使用、防止买卖选票和胁迫 投票,以及允许的选票形式等方面仍存在着安全问题和改进 的空间。为了进一步证实这些漏洞的存在,普林斯顿大学的 爱德华・费尔腾教授带领一个团队,对迪堡AccuVote—TS投 票机进行了安全性分析研究。得出的结论是,如果谁能够通 过“物理途径”获得访问本机或可移动存储卡的权限,那么他 就能在一分钟内写入恶意代码,致使能够窃取选票而不被发 1 总体架构 电子选举是日常选举活动的电子化,其组成结构就必然 与Et常选举活动的基本框架相似。为了实现一个日常选举活 动,首先必须有投票人的参与;其次要有发起者进行安排、维 持秩序以及选票合法性的规定;最后要对合法选票进行验证, 统计并公布结果。电子选举系统也将实现这三大部分,其模 块结构如图1所示。 现。投票机存在多种弱点和漏洞,会让人们认为选举欺诈案 中最大的罪犯不是投票者,而是投票机。现有系统的最大缺 陷在于其设计的信息流程协议不够完善,对计票人与选票签 本系统作为对现有电子选举系统的一个改进,在传统电 子选举系统的基础上,采用对等网络(Peer.to.Peer,P2P)架 名机构的信任依赖程度过大。在现有系统中,只要计票人与 签名机构联合作弊,那将会对选举结果造成极大的侵害。 鉴于以上分析,可以很清楚地看到投票行业中存在着许 多问题,并且一个问题导致了另一个的出现,无论是选举开始 构,用户发送的数据包将在网络中多次中继,使得攻击者难以 确认初始发送者的IP地址等信息,实现参与的匿名性,保护 参与者的个人隐私。同时,系统采用基于椭圆曲线加密机制 的Curve25519算法构造了一套完备的高安全性通信协议,从 还是结束时,都是夹杂个人利益的私人公司通过黑箱操作来 收稿日期:2016—05—16:修回日期:2016—06・06。 作者简介:董宇琦(1994一),女,江苏南京人,主要研究方向:分布式系统网络安全;翟健宏(1968一),男,黑龙江哈尔滨人,副教授,硕士, 主要研究方向:网络与信息安全;孙彤(1994一),男,北京人,主要研究方向:分布式系统网络安全;段艺(1995一),男,甘肃高台人,主要研 究方向:Web安全;胡哲婷(1995一),女(苗族),贵州凯里人,主要研究方向:网络与信息安全。 74 计算机应用 第36卷 而解决了选票欺诈问题,防范攻击者伪造、修改数据包,保证 选举的公平性。P2P网络架构自身具有消息迅速传递的特 性,再加上客户端使用高性能的异步10接口,使得系统具有 更好的稳定性,在投票结果高并发的情况下依旧可以实时更 新到客户端。此外,由于P2P架构去中心化的特性,即使没 有接人互联网,在局域网内的用户依旧可以快速组成网络并 开展选举活动。因此,只要用户拥有一个手机客户端就可以 示。P2P网络具有以下两个特性:1)数据包在网络中多次中 继;2)去中心化。 真正随时随地参与到选举中,使用方便、快捷,有效提高了选 举效率和便捷性。 端 图1模块结构 手机客户端为系统的核心,所有业务逻辑的实现均在此 完成,根据系统的功能需求及上述协议方案,设计其架构如图 2所示。 图2系统架构 各组件负责功能如表1所示。 表1客户端组件及作用 组件名称 作用 SOCKET管理器 与其他peer节点通信 数据包收发队列 控制系统数据包收发 数据管理器 装载数据及数据持久化 业务逻辑处理器 处理各种选举信息 Android UI线程组 与用户交互 由于手机平台计算能力有限,为了提高IO密集型应用的 性能,在Socket管理器中,没有使用传统的同步阻塞10,而是 采用了更为高效的异步非阻塞10,同时利用数据管理模块将 数据在内存中持久化,大大减少了文件读写所消耗的时间。 在当前典型的应用环境中,手机往往会接入使用网络地址转 换(Network Address Translation,NAT)的局域网中,为了实现 NAT穿透,系统采用通用即插即用(Universal Plug and Play, UPnP)技术对路由器设置端口转发,以便peer节点与本机建 立基于传输控制协议(Transmission Control Protocol,TCP)的长 连接。 2 隐私保护设计 为了保证合法选票既能无缺漏地计入结果,同时又不能 包含能够对投票人进行跟踪的信息,也就是保证投票人的匿 名性,实现隐私保护,本系统采用了P2P网络架构,如图3所 数据服务节点 图3网络架构 由于其特有的消息传递特性,使得网络中的所有数据包 都将进行多次中继,攻击者难以确认初始发送者的IP地址等 信息,从而实现参与的匿名性。此外,由于P2P架构去中心 化的特性,即使没有接人互联网,在局域网内的用户依旧可以 快速组成网络并开展选举活动。在P2P网络中同样可以实 现数据的分布式存储,从而实现更高的数据完整性和安全性。 以一个节点数为rt,节点度数均为3的网络为例,网络的 总边数为3n/2,假设网络中节点向某接收者节点送消息的概 率相等,当接收者收到一个数据包后,这个数据包未经过中继 由直连节点直接发送来的概率为3/(r/,一1);经过一次中继的 概率是(距离接收者距离为2的节点数)不小于3且不大于 6/(n一1);经过两次中继的概率是(距离接收者距离为3的节 点数)不小于3且不超过12/(rt一1);以此类推,当n为50时, 数据包未经过中继的概率为6.1%,经过一次中继的概率在 6.1%~24.5%;当 为100时,数据包未经过中继的概率为 3%,经过一次中继的概率在3%一12.1%。以上推算基于网 络拓扑已知且是静态的,而实际应用中网络拓扑结构是动态 的,并且对单独节点来说是未知的,当网络中节点数量足够多 时,接收到的数据包,其发送者可能是网络中任一节点,且概 率可近似认为相等。通过以上计算,可以证明采用这一方案将 足以保证匿名性。 考虑网络中有l0个用户在3 min内完成一次投票的情 况,计算在这段时间内网络总流量。数据包的平均大小为 300字节,网络中节点分布符合泊松分布,一个数据包会被转 发2次到3次,那么网络中的总带宽会达到2000 b/s。当网 络中用户量达到100时,总带宽估算值为4524.2 b/s;用户量 在达到1 000时,整个网络的总带宽则会达到7048 b/s。由此 可见,随着人数规模的增大,网络中的信息量也会成倍增加, 如表2所示,但网络内总流量仍在可控范围内,并不会出现网 络堵塞的情况。 表2流■分析 增刊2 董宇琦等:基于隐私保护的电子选举投票系统 表3通用数据包结构 75 对于一个没有中心节点的P2P网络而言,新节点的引入 是另一个关键问题。本系统采用在网络中架设一个引导服务 器为新节点提供引导的设计。引导服务器收到客户端发送的 对等节点地址列表请求后记录客户端的地址,并向其返回当 前所有对等节点地址数据,供客户端从中随机挑选建立连接, 完成新节点的加入。去中心化带来的另一个问题是如何保证 数据一致性,为解决这一问题在网络中引入了数据服务节点 为网络提供缓存功能。其架构与普通客户节点类似,但是数 据服务节点只具有存储与转发消息的功能,不具有自己的地 址。为了降低数据服务节点的存储压力,采用了快照技术,即 每隔3天对所存数据生成快照,并删除之前所有增量数据。 离线数据缓存功能使客户端可以在离线一段时间再次上线 未加密数据 后,从网络中同步数据,保障本地选举数据与其他对等节点的 一致性。 3安全协议设计 为了避免不合法的选票影响选举进程和结果,投票人 需对其选票进行有效签名,同时能够在计票前对每张选票 的签名进行验证。在现有的电子选举系统中,都采用了 RSA公钥机制,而本系统采用了基于椭圆曲线加密机制的 Curve25519算法以及EC-KCDSA签名算法。与传统的RSA 算法相比,其具有如下4个优点:1)安全性更高;2)计算量 小,处理速度快;3)存储空间占用小;4)带宽要求低。 Curve25519是基于Difife—Hellman椭圆曲线加密机制的 一使用TCP协议传输 图5消息加密机制 表4 DATA载荷结构定义 种新型的更适用于各种应用程序的加密算法,双方用户各 自拥有一个32字节的私钥和一个32字节的公钥,用来加密 传送信息和身份认证,其密钥生成过程如图4所示。该算法 的加解密信息过程也是基于椭圆加密机制的。与传统的椭圆 曲线加密算法相比,它是使用相关计算得出的共享密钥加密、 解密数据。与基本的ECC算法相比,有着加密速度快、产生 签名短、消耗系统资源少、攻破难度大的优势。 4 系统测试 为了验证系统的可用性,分别以一个班级的同学(共36 人)以及学院里的120名同学作为参与者,发起两次实例测 试。两次选举活动分别为班长选举(选举活动时间为5 min) 及学院十佳模范选举(选举活动时间为2天)。班长选举的 图4 Curve25519算法密钥生成过程 投票活动在一个局域网内进行,在局域网A内将使用两台服 务器分别作为引导服务器、数据服务节点,其余参与测试的机 器都将接入该局域网内。学院十佳模范选举的投票活动在互 联网环境下进行,在一个局域网B内使用两台服务器分别作 为引导服务器及数据服务节点,在选举活动进行过程中,引导 服务器拥有一个固定的地址(IPv4地址172.17.158.71)。同 在整个系统中将消息分为两类:不加密的网络控制消息 和加密的数据消息(DATA消息)。网络控制消息负责维持网 络正常运行,而数据消息则用来封装业务逻辑数据,保障其只 能被发送者、目的接收者读取,并防止第三者对其进行伪造。 为了实现消息内容的安全,不仅需要对数据消息进行加密,还 需要对其进行签名和验证。数据消息加密机制如图5所示。 无论是网络控制消息还是数据消息,都具有通用数据包 时在局域网B内接人若干台使用NAT的无线路由器,其余测 试机可分别接人这些无线局域网(子网1、子网2、子网3等), 以此实现互联网环境下的测试。选举活动从发起者填写选举 活动相关信息、添加选举人开始,如图6所示。 班长选举活动中,班中的34名同学在5 min内,为两名候 选人投票。每位参与者只能投一票,总计34票,可以看到最 最终胜出者为王楠。在学院十佳模范选举活动中,120名参 与者在2天内的时间内进行投票,每位参与者最多可以投1O 结构,如表3所示。基础消息类型中包含4种网络控制消息 和1种数据消息(DATA消息),所有未在消息类型中出现的 消息将被系统丢弃,不作处理。 网络控制消息不包含载荷,而DATA消息装载了需要在 网络中传递的业务消息数据,其中有效载荷部分为280经过 Curve25519加密机制加密后,其载荷部分结构如表4所示。 76 计算机应用 第36卷 票,不可重复投票,同时参与者可查看实时投票结果,最终得 选举活动结束时,所有该选举的参与者与关注者收到 相关的推送消息,并可查看选举的最终获胜者,如 8所示。 票最高的十位候选人胜Hj,如图7所示。 候选人 ~ 候选^ j _ ■■■■■—■图6首页显示已开始选举活动 I—■—■●一—■—■—_:盏 _ii蛊 |_l 图7选举详细信息 一—■■—■_ 图8消息推送 在两次实例测试r}1,所有节点均接收到正确的消息及数 据,实现各项功能,顺利地完成了完整的选举活动。两次测试 相互验证,监督实现合法的投票与计票。这种分散权力有效 地避免了中 C,tlL构巾于权力过大进行作弊的可能。在协汉流 程的改进上,本方案采川多次・11继方式,充分保证数据来源难 中,收集到的各项测试数据如表5所爪。 表5实际测试数据 以获得,并巧妙地没计了一套高安全性通信协议,保证每张选 选举活动 班长选举 主一 34 3 S 篙 募 5 rain 已完成 票的精确性和透明性 保障系统高性能的同时,还充分考 虑了系统的易用性,没计了多种人性化的服务接口。通过大 量的实际测试,以上设计已经实现了预期的所有功能,达到对 参与选举的用户的隐私保护。 参考文献: 【1】 王思佳.韩玮.陈范非.电子选举研究的挑战和进展【J】.计算机 程,2006.32(15):7—9. 学院十佳模范选举 120 1 rain 24 h 已完成 在同样的网络环境下,增加实验设备数量重复上述过程, 各设备均能接收正确消息,实现数据完整性和一致性,并且系 统效率并未减慢。 通过实验验证,我们可以看到该设计方案不仪有效的改 【2】 CttAUM D Untraeeable elec.tronic mail,return addresses and digit— al pseudonyms【J】.Communications ot the ACM.1981,24(2):84 —善了目前现有的电子选举系统中存在的弊端,实现了真正保 护用户隐私的高强度匿名性,并且保汪了系统的高效性和健 壮性。 90. [3l 谢金采,刘晖波.电 选举系统的艇本框架与信息流程【J].计 算机]。 程,2000,26(SI):97~102 5 结语 通过对现有电子选举系统信息流程的分析可以推测m, 目前电子选举系统中存在的安全漏洞及作弊行为大致分为以 下三种:1)投票人利用匿名性发送大量相同选票,十扰选举 【4 J 赵瑞.慕于安全多方计算的电子选举系统设计与实现[I)】.武 汉:华中科技大学,2008. f 51 陈晓峰.王继林,王育民.接于半价仟模型的无收据的电子投票 I J].计荫:机学报,2003,26(5):557—562. 【6】 谢金 ,刘晖波.蛙于自、群箍名和秘密共享的新型电子安全选 举模型f J J.微型机卜j应用.2000,19(9):38—42. 【7】 汪保友,杨风,胡运发.旗于商签 的在线选举方案【J】.小型微 结果;2)计票机构泄露选举过程中的相关信息以及投票人的 个人隐私;3)签名机构与计票系统联合作弊,伪造选票。 针对现有电子选举系统的弊端和安全问题,本文提H;的 型计算机系统,2003,24(3):588—591 【8] 陈娟.袁丁.数字签 算法任电子选举系统中的应用【J】.¨1t 测 试.2006,32(4):109—112. 新方案中,进行集中签名的中心机构已不复存在,取而代之的 是将这些权力分散到网络中的每一个节点上。通过节点问的 (上接第72页) 【4】 CHAN H F,RUDOLPH H.New energy efficient routing algorithm survey【J1.Computer Networks,2008,52(12):2292—2330. for wireless sensor network【(:1// FENCON 2015:Proceedings of the 2015 IEEE Region 10 Conference.Piseataway:IEEE.2015:l 一傅荟璇,赵红.Matlab神经I州络膻J{{设计[M】.北京:机械_[、 {{ 版社,201O:174—179. ZADEIt L A.Fuzzy sets as a basis fi>r a theory of possibility【J】. Fuzzy Sets and Systems,1978.1(1):3—28. KUO R J.A sales fi ̄recasting system based Oil fuzzy neural network 5 【5] 尚俊娜,刘春菊,岳克强,等.基于改进双系统协同进化算法 的无线传感器网络节点定位【J].计算机应用,2015,35(6): l514—1518. with initial weights generated by genetic algoritbm【J】.Emopean Joumal of Operational Resear(,h,2001,129(3):496—517. [6】 孙利民.无线传感器网络I M】.北京:清华大学出版社,2005:3一 l0. XU L,WAN(;J CHEN Q.Kalman filtering state of eharge esti— mation for battery lllallagelllei1[system based on a stochastic fuzzy 【7】 YANG S H.Wireless sensol networks:principles,design and appli— cations[M1.【S 1.J:Springer Science&Business Media,2013. 【8】 YICK J,MUKHERJEE B.GHOSA1 D.Wireless sensor network neural network batte ̄model【J】.Energy Conversion and Manage— inenl,20I2,53(1):33—39.