(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111541386.3 (22)申请日 2021.12.16 (71)申请人 复旦大学 地址 200433 上海市杨 浦区邯郸路2 20号 (72)发明人 阚海斌　浣徐麟　刘百祥　 (74)专利代理 机构 上海正旦专利代理有限公司 31200 代理人 张磊 (51)Int.Cl. G07C 13/00(2006.01) H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 基于部分盲签名与区块链的匿名和抗胁迫 电子投票系统 (57)摘要 本发明属于区块链 技术领域， 具体为基于部 分盲签名和区块链技术的电子投票系统。 本发明 主要服务于区块链技术， 研究分析Zaghlou l等人 提出的电子投票协议存在匿名方面的漏洞， 融入 基于身份的部分盲签名提出一种新的匿名和抗 胁迫的电子投票协议并应用于电子投票系统， 解 决了原电子投票协议需要通过不同的政党进行 安全多政党计算来实现匿名性的不便以及潜在 的威胁漏洞。 本发明中的电子投票协议主要分为 7个参与方， 分别为投票者、 注册员、 认 证机构、 主 持人、 选举候选人、 区块链网络以及计票机构。 权利要求书5页 说明书11页 附图5页 CN 114333137 A 2022.04.12 CN 114333137 A 1.基于部分盲签名与区块链的匿名和抗胁迫电子投票系统， 所述电子投票系统包括投 票者、 注册员、 认证机构、 主持人、 选举候选人、 区块链网络和计票机构， 其特 征在于： 所述投票者是在选举投票中被授予投票权利的一个合格选民的集合： {vi∈γ|1≤i≤ n}， 用vi代表投票者； 所述注册员是一个实体， 它会生成唯一、 随机的数字选票， 并以匿名方式与选民共享， 用 代表注册员； 所述认证机构是一个实体， 为避免注册员 既要注册又要认证， 权力太过于集中， 因此 为达到去中心化添加一个认证机构CA， 它会对投票者vi进行基于身份 的部分盲签名认证， 认证通过的投票 者vi会获取新的公私钥对来实现匿名性， 可以用CA 代表认证机构； 所述主持人是一个独立的实体， 负责对投票者vi的身份进行二次加密隐藏， 并匿名地让 他们发送 注册员加密的选票， 用 代表主持人； 所述选举候选人为人或事物， 即能够参加被选举投票的合格候选人， 用一个集合来存 放表示： {candk∈C|1≤k≤m}， 用candk代表候选人； 所述区块链网络是一个不受信任的点对点P2P网络作为区块链网络， 它维护了一个公 开可访问的区块链并能够运行选举智能合约； 所述计票机构是作为可信任的第三方， 计票机构是一个在投票阶段结束后， 进行计票 的机构； 所述电子投票系统具体操作如下： (1).投票者注册阶段， 选民登记， 是指投票者向注册员 证明其是否是合格的选民， 证 明其投票资格的初步阶段； 投票者提供选举规定的必要证据， 一旦被注册员 确认资格， 注 册员 就会把投票 者加入到合格选民集 合γ中： (1.1)注册员密钥 生成： 注册员 需要一对签名密钥对， 以便在将合格选民添加到合格 选民集合γ时对选民身份进行签名认证； 注册员 随机选择一个密钥 ( 是1到p‑1 的整数集合)并计算出对应的公钥为 得到注册员 的签名密钥对(xr， yr)； (1.2)投票者密钥 生成和登记： 投票者vi必须拥有与其选举身份对应的投票密钥对， 因 此投票者vi随机选择密钥 并计算出对应的公钥为 得到投票者的投 票密钥对(xi， yi)； 为了进行投票 者注册， 投票者和注册员需要共享 他们各自的公钥； (1.3)签署投票者公钥： 为了授予投票者投票权， 注册员首先验证投票者的资格， 然后 在将合格投票者添加到合格选民集合前需要签署注册员的公钥； 注册员随机选择ui， 其中1 ＜ui＜p‑1并且gcd(ui， p‑1)(gcd意 为求最大公因数)， 然后进行如下计算： 其中： g是 的一个生成元， 是一个公开可选择的乘法循环群， p是该乘法循环群的素 数阶， Hash是一个哈希函 数， (wi， si)是签名， ui是随机数， xr是注册员密钥， yi是投票者公钥； 在投票者注册阶段结束时， 注 册员 会公开公布合格选民集 合； (2).投票者身份认证并获取新身份阶段， 认证身份并拿到新身份， 是指投票者向认证 机构CA证明其是否是合格的投票者， 证明其投票资格， 认证通过后对投票者的新身份进行权　利　要　求　书 1/5 页 2 CN 114333137 A 2盲签名； (2.1)系统参数设置： 首 先是对系统参数的生成： (2.1.1).选择一个四元组{Fρ， E/Fρ， G， P}； 其中ρ 是k位的质数； Fρ是q阶的素数域； E/Fρ是 一组椭圆曲线的点 集合； G是椭圆曲线上的加法循环群； P是G的生成元； (2.1.2).随机 选择 用来计算系统主私钥， PPub＝xP作为系统的主公钥； (2.1.3).选择三个哈希函数： 其中： 是1到p的整数， {0， 1}*中的代表0或1的任意多次， G是椭圆曲线上的加法循环 群； (2.1.4).最后将系统主私钥x保密存放并输出全局系统参数： 其中： E/Fρ是一组椭圆曲线的点集合； G是椭圆曲线上 的加法循环群； P是G的生成元， Fρ 是q阶的素 数域， PPub是系统的主公钥， H0， H1， H2代表三个哈希函数； (2.2)密钥提取： 是对认证机构CA公私钥对 的生成， 以便后面进行盲签名， 具体分为两 步： (2.2.1).认证机构CA将其身份IDCA通过一个安全信道传输给PKG， 然后PKG会先 随机选 择一个 并进行如下计算： RCA＝rCAP#(18) hCA＝H0(IDCA， RCA)#(19) 其中： P是G的生 成元， rCA是 中的随机数， H0是一个哈希函数， IDCA是认证机构的身份标 识； (2.2.2).再计算出私钥dCA＝rCA+hCAx； 可信任第三方PKG会将(dCA， RCA)通过安全信道传 输给认证机构CA， 并且认证机构CA的公钥PCA＝RCA+hCAPPub； 认证机构CA会根据判断如下等式 是否成立 来决定是否 接收(dCA， RCA)， 若不成立则不接收； PCA＝dCAP＝RCA+hCAPPub#(20) 其中： RCA、 hCA是前一步计算出的中间参数， PPub是系统的主公钥； (2.3)基于身份的部分盲签名： 认证机构的身份是IDC， 投票者的身份是IDi， 需要被盲签 名的消息m＝{xi′， yi′}是投票者新的身份 认证机构CA与投票者 同意的公共信息是C＝{yi， (wi， si)}， 然后会经历以下几个步骤： (2.3.1)首先由于C是 公共信息， 当投票者vi将公共信息发送给认证机构CA后， CA会 通过 认证以下等式是否有效成立， 若成立则说明投票者vi是合法的投票者， 若不成立则说明非 法不予执 行后续步骤； 其中： yi是投票者的公钥， (wi， si)是注册员生成的签名对， p是质数；权　利　要　求　书 2/5 页 3 CN 114333137 A 3