基于SM2門限盲簽名電子選舉方案

饒金濤，崔 喆

（1.中國科學院 成都計算機應用研究所，成都 610213；2.中國科學院大學，北京 100049）

0 引言

電子選舉作為一個非常重要的科技領域，在維護國計民生和公民的合法權益方面發揮了重要作用，因此它的安全性至關重要。

當前電子選舉系統主要分為兩大類：

一是基于遠程網絡通信的電子選舉。它的理論基礎主要是現代密碼學，在投票過程中引入密碼技術，根據采用的密碼技術模型主要分為盲簽名模型、混合網絡模型、秘密分享模型和同態加密模型［1］。盲簽名模型的電子選舉利用盲簽名的密碼技術實現選票的盲化，實用性較強，滿足安全性需求，得到了廣泛的應用與研究；混合網絡模型的電子選舉方案中需要零知識證明，開銷較大，在實際的投票活動中難以得到應用；秘密分享模型的電子選舉方案需要可信任的秘密分發機構和多個計票機構，投票者、秘密分發機構和計票機構之間的通信復雜度是決定整個選舉系統關鍵核心；同態加密模型的電子選舉方案利用同態加密算法加密選票確保實現投票過程的安全性，滿足無收據性和可驗證性等要求，加密和解密運算的復雜度是影響此類方法的關鍵［1］。

二是基于抵近物理站站點投票的電子選舉。它主要研究設備的穩定性、可靠性與選舉系統的關系。所有這些選舉方案中使用的密碼算法主要是RSA（Rivest-Shamir-Adleman）、ECDSA（Elliptic Curve Digital Signature Algorithm）等國外的密碼算法，但近年來國外密碼算法漏洞頻發，目前最好的解決方案是使用國產密碼算法設計選舉系統方案，從算法層的實現保證選舉系統的自主可控。

1992 年Fujioka 等［1］提出了FOO（Fujioka，Okamoto and Ohta）電子選舉協議，首次在電子投票系統中使用了RSA 盲簽名算法?；诿ず灻碾娮油镀痹试S選民盲化投票，因此投票機構可以在不知道選票內容的情況下驗證選票。隨后出現了基于門限盲簽名和基于身份的盲簽名兩種類型的盲簽名。門限盲簽名只有當消息由n（n

本文主要研究基于國產密碼算法的安全遠程網絡通信的電子選舉系統方案，結合國產的SM2 算法的特點，研究基于Shamir 隨機秘密分享（Random Secret Sharing，RSS）、秘密和差、乘積分享和逆的秘密分享（Inversion Secret Sharing，ISS）等秘密分享的方法［2-3］，將門限密碼直接應用于SM2 簽名算法，實現簽名過程中秘密信息的秘密分享。另外針對SM2 門限盲簽名算法研究較少的問題，本文方案引入盲化因子實現SM2 盲簽名，實現對簽名內容的盲化處理，有效保護簽名內容。安全分析結果表明，當n>2m（m為多項式最高次數，即是最大的門限數）時，任何2m+1 個參與者都可以產生一個有效的門限盲簽名。在此基礎上設計了基于SM2門限盲簽名的電子選舉協議，分析了協議的安全性和性能效率，為國產化電子選舉提供基礎密碼支撐。

1 預備知識

1.1 SM2橢圓曲線公鑰密碼算法

SM2 密碼算法是國產密碼算法，包括簽名算法、驗證簽名算法、加解密算法和密鑰交換算法。本文主要研究簽名算法，使用SM2 算法前需要約定相關參數，包括有限域、橢圓曲線E和基點G=(x0，y0)。簽名算法如下：

1）密鑰生成r。

步驟1 隨機產生一個隨機數d作為秘密的私鑰dA。

步驟2 計算公鑰P=dG。

2）數字簽名生成。

步驟1 產生隨機數k，計算(x1，y1)=kG。

步驟2 計算r=(e+x1) modN，其中e=H1(M)，M為待簽名的消息。

步驟3 計算s=(1+dA)-1(k-r*dA)，輸出r、s作為簽名結果。

3）數字簽名的驗證。

步驟1 驗證簽名者收到r、s和消息m，計算

(x'，y')=sG+(r+s)P

步驟2 計算并判斷和是否相等：相等時，簽名驗證通過；否則，簽名驗證失效。

1.2 門限密碼

1.2.1 Shamir(m，n)秘密分享

Shamir(m，n)秘密分享（Secret Sharing，SS）方案在存在可信任中心的情況下，將秘密信息s分成n份，同時分發給n個參與者，n個參與者中的m+1（m為多項式最高次數）個以上的參與者才能聯合恢復秘密信息s。具體如下：

步驟1 可信任中心在域F上構造m階多項式f(x)=a0+a1x+…+amxm，滿足f(0)=a0=s。

步驟2 可信任中心計算f(i)=si，并通過秘密通道將si發送給各參與者(M1，M2，…，Mn)，每個參與者將si作為自己的秘密份額進行保存。

當需要使用秘密信息s時，任意m+1 個參與者形成一個新的恢復集合W，利用保存的秘密份額代入拉格朗日插值公式中直接恢復秘密信息s，這個過程稱為m階分享過程。

1.2.2 基于Shamir隨機秘密分享

基于Shamir 的隨機秘密分享旨在解決無可信任中心情況下的秘密分享的問題。在基于Shamir 的隨機秘密分享中，每個參與者將自己作為可信中心，利用Shamir(m，n)秘密分享方案分享自己的一個秘密信息si，作為自己的秘密份額，從而實現對一個隨機數r的秘密分享，隨機數的值等于各個參與者秘密分享值的和，即，具體計算如下：

步驟1 每個參與者Mi(1 ≤i≤n)將自己作為可信任中心，選取隨機數，并構造共享多項式：

利用Shamir(m，n)秘密分享將通過秘密通道分享給其他n-1 個參與者。

步驟2 第j個參與者收到其他n-1 個參與者發給自己的結果，計算自身的秘密分享的份額此時分享的秘密信息為對應的計算多項式為：

這個過程簡稱為m階RSS 過程。

當每個參與者Mi(1 ≤i≤n)選取秘密分享的為0，即所有參與者分享的秘密為0，此時稱為聯合零秘密分享，簡稱為m階ZSS（Zero Secret Sharing）過程。

1.2.3 秘密和差、乘積分享

1）假設參與者Mi得到兩個秘密信息s、w的m階Shamir秘密分享，si=fs(x)、wi=fw(x)，并且s=fs(0)、w=fw(0)，fs(x)和fw(x)是不同的m階多項式。每個參與者計算ui=si±wi可以得到秘密和差u=s±w的秘密分享份額，此時分享多項式為fu(x)=fs(x)+fw(x)，fu(x)也是m階多項式。

2）同理假設參與者Mi得到兩個秘密信息s、w的m階Shamir 秘密分享，si=fs(x)、wi=fw(x)，其中s=fs(0)，w=fw(0)，fs(x)和fw(x)是不同的m階多項式。每個參與者計算vi=si*wi可以得到秘密乘積v=s*w的秘密分享份額，此時分享多項式為fv(x)=fs(x)*fw(x)，fv(x)也是2m階多項式，并且是不可約多項式，需要對fv(x)進一步進行隨機化處理：

步驟1 每個參與者進行2m階的Shamir 隨機秘密分享，Mi的分享份額為αi；

步驟2Mi計算vi=si*wi+αi作為秘密信息v=s*w的秘密分享份額。

此時需要2m+1 個參與者Mi廣播它對應的值vi才能恢復出對應的秘密信息v。

1.2.4 逆的秘密分享

文獻［3］中說明了逆的秘密分享（ISS），它的基本思想是假設參與者Mi已經分享了一個秘密信息s，對應的份額為si，參與者首先分享一個隨機秘密信息λ，然后將計算(λs)-1，從而進一步得到ki=s-1modλ的分享份額。詳細方案如下：

步驟1 參與者執行基于Shamir 隨機秘密m階分享隨機秘密信息λ，Mi的秘密份額為λi；

步驟2 2m+1 個參與者執行秘密乘積分享λs，并廣播自己的秘密份額(λs)i；

步驟3 參與者收到的分享份額(λs)j(1 ≤j≤n)；通過拉格朗日插值公式計算得出λs，同時計算ki=(λs)-1λimodλ得到s-1的秘密分享份額。這個過程稱為ISS分享過程。

1.2.5 門限盲簽名的安全定義

定義1盲性。給定系統參數，敵手A 能獲得簽名信息的概率可以忽略。

定義2健壯性。給定系統參數，敵手A 最多可以破壞t個成員的情況下，方案仍可以成功運行。

定義3不可偽造性。給定系統參數，敵手A 最多可以破壞t個成員的情況，敵手A 可以查詢p個消息m1，m2，…，mp的簽名，敵手A 能產生一個新消息m'的真實門限簽名的概率可以忽略。

2 基于SM2門限盲簽名算法

2.1 方案構造

對于SM2 簽名算法，整個運算過程秘密信息包括隨機數k和私鑰dA，在簽名整個過程中，需要對這兩個秘密信息進行保護，同時還需要對簽名的信息r進行盲化處理。

2.1.1 密鑰產生

從SM2 簽名算法可以看出，秘密共享的參數可以變形為(1+dA)-1和隨機數k。具體方案如下：密鑰產生階段，主要是SM2 的私鑰進行秘密分享，引入可信任中心下的私鑰秘密分享，可信任中心隨機產生一個隨機數作為簽名的私鑰dA，并計算(1+dA)-1，PA=dAG。按照Shamir 秘密分享的方式執行m階Shamir 秘密分享，分發給參與者Mi的私鑰分量為di，參與者利用di計算對應公鑰為Pi=diG，參與者集合為(M1，M2，…，Mn)(n>2m+1)，恢復(1+dA)-1時聯合m+1個參與者即可恢復。

2.1.2 簽名階段

簽名階段至少需要2m+1 個參與者。

步驟1 可信中心執行2m階ZSS 操作，秘密分享份額為δi。

步驟2 可信中心對隨機數k執行隨機秘密分享，執行m階RSS，每位參與者分享的秘密份額為ki。

步驟3 每位參與者計算kiG=Ri，用戶執行秘密和分享恢復，計算kG=(x1，y1)=R。

步驟4 用戶產生盲化因子θ，計算P=θR=(Px，Py)，r=(Px+e)modN，r'=(θ)-1rmodN，并將r'發送給簽名者，其中e=H1(M')，M'為待簽名的消息。

步驟5 每個參與者Mi計算=di(ki+r')+δi-r'，得到簽名s對應的秘密分享的份額

步驟6 至少有2m+1 個參與者廣播了它們產生的

步驟7 簽名者通過插值公式得到最后的簽名值。s'=(1+dA)-1(k+r') -r'，并將它發送給用戶。

2.2 算法正確性分析

用戶在收到簽名值后，首先對它進行脫盲，然后再進行驗證，脫盲過程如下：

驗證簽名正確。

2.3 安全性分析

安全的門限盲簽名方案必須滿足盲性、健壯性和不可偽造性這3 個性質［4］，文獻［4］中進行了定義與分析，本文引用它的引理，結合設計方案并進行證明。具體證明如下：

引理1盲性。用戶在得到一個合法的簽名后，所有的參與簽名的簽名者無法得知對應的簽名消息。

證明 假設每次簽名只有一個參與者的情況，簽名者分別和參與者M0和M1交互得到最終的簽名值分別為和，其中b∈(0，1)。對于任何一個有效的簽名(r'，s')都引入盲化因子θ進行盲化處理，r'=(θ)-1rmodN，θ隨機選擇，簽名者無法得知之間的關系，所以簽名者只能以1/2 的概率判定b。根據文獻［3］定義的盲簽名盲性的安全模型可以得出，當參與者數為n進行門限簽名時，簽名者只能以1/n的概率判定b，攻擊者能成功攻擊的概率忽略不計，因此本文方案滿足盲性。

引理2健壯性。當n≥2m+1 時，存在中間攻擊者，控制了參與運算中m-1 個簽名者，簽名過程不會被攻擊者破壞，依然可以正常進行。

證明 方案中利用秘密分享的方法實現了(1+dA)-1和隨機數k兩個秘密信息，實現分享的多項式均為m階多項式，分享簽名結果s的多項式是2m階，恢復簽名結果s需要2m+1 簽名者才能完成，對于存在m-1 個中間攻擊者的行為，需保證n≥3m+1，可以完成簽名過程，因此本文方案具有健壯性。

引理3不可偽造性。即使控制了m-1 個簽名者，也無法產生有效的簽名，即它的門限方案可模擬，具備可模擬的特性，并且攻擊者能夠成功攻擊的概率忽略不計。

證明 ①該方案具有可模擬的特性。

不失一般性，假設攻擊者成功控制了前m-1 個參與者{M1，M2，…，Mm-1}，首先證明密鑰生成階段是可以模擬的，模擬器的構建方法同文獻［10］，模擬器的輸入為公鑰P，以及被攻擊者控制的m-1 個參與者的私鑰份額di(1 ≤i≤m)，定義該前m-1 個簽名者為不誠實集合為Q={Qi}(1 ≤i≤m)，其他簽名者為誠實集合T={Ti}(m+1 ≤i≤n)，模擬器對集合Q，根據拉格朗日插值公式可以得出：

計算公鑰P，同時針對集合T也可以計算公鑰P，兩者相等，因此在密鑰生成階段可以模擬，模擬器可以模擬攻擊者公鑰生成的整個視圖。

在簽名階段，模擬器的輸入為盲化后的消息r'和盲簽名后的消息s'，以及被攻擊者控制的m-1 個簽名者的私鑰d的份額di(1 ≤i≤m)，以及隨機數k的份額ki(1 ≤i≤m)。對于簽名階段的步驟3，Ri=kiG(1 ≤i≤m)只要有m+1 個參與者就可以恢復出R，由于模擬器得到隨機數k的份額ki(1 ≤i≤m)，因此模擬器可以計算針對不誠實者集合Q={Qi}(1 ≤i≤m)計算出R，同時也可以針對誠實的集合T={Ti}(m+1 ≤i≤n)，Ri=kiG(m+1 ≤i≤n)，運用拉格朗日插值計算R，而r'=(θ)-1rmodN，對于不誠實集合Q={Qi}(1 ≤i≤m)有=di(ki+r')+δi-r'，對于誠實集合T={Ti}(m+1 ≤i≤2m)，選取對應的，由(1 ≤i≤2m)，即=s'，可唯一確定一個2m的多項式，從而確定其余的(2m+1 ≤i≤n)，實現模擬器可以模擬攻擊者簽名消息s'。

②計算攻擊成功的概率。

假設攻擊者不能訪問可信中心的主私鑰dA，能夠進行q1次可信中心的部分私鑰查詢，q2次H1的查詢，q3次部分盲簽名的查詢。模擬器隨機選擇挑戰者身份idX，X∈[1，q1]，攻擊者與挑戰者按照參考文獻［2］定義的規則進行以下交互：

a）初始化，挑戰者生成系統參數params={E，Fq，G，PA，H1}，其中PA=dAG，H1為SM3 雜湊算法，并將params發給攻擊者。

b）可信中心的部分私鑰詢問。挑戰者管理的列表L1為L1=(idi，i)。攻擊者每次發起(idj，j)的詢問，其中j∈[1，q1]，挑戰者收到攻擊者的詢問后，首先查詢(idj，j)是否在列表L1中，如果在，挑戰者根據SS 多項式計算f(j)=d'j，RSS 多項式計算將發給攻擊者。

c）H1的詢問。挑戰者管理的列表L2為L2=(ei，ti)。

挑戰者收到攻擊者關于mi的查詢，若mi在列表L2中，則挑戰者返回(ei，mi)；若不在，則挑戰者隨機選擇ei∈Fq，發給攻擊者，挑戰者將它加入列表L2。

d）部分盲簽名的詢問。當攻擊者詢問(idi，i，t)時，挑戰者首先查詢L1和L2，得到相關的私鑰分量和ei，再隨機選取θ'，計算=(θ'R+ei)modN，r″=(θ')-1modN及r″)+-r″，并將(r″，發給攻擊者。

e）偽造簽名。若idi≠idX，則偽造失??；若idi=idX，根據分叉引理［6］可以得出，對一個輸入的消息t，攻擊者可以偽造一個有效的盲簽 名進一步得出進而求出可信中心的私鑰dA，挑戰者利用攻擊者的能力成功解決了橢圓曲線上的離散對數問題（Elliptic Curve Discrete Logarithm Problem，ECDLP）的實例。成功偽造簽名需要滿足以下3 個基本條件，具體如下：

1）事件Ω1表示攻擊者沒有進行過可信中心的部分私鑰的詢問，則有：

2）事件Ω2表示攻擊者沒有進行部分簽名查詢，則有：

3）事件Ω3表示攻擊者偽造簽名有效：

因此挑戰者利用攻擊者的能力以多項式時間不可忽略的概率為ε'解決ECDLP 問題，則有：

挑戰者C 以大于等于ε'的概率解決ECDLP 困難問題，與ECDLP 的困難性矛盾，因此可以得出，該方案具有不可偽造性。

2.4 性能比較

為了將本文方案與文獻［10-13］方案進行分析對比，為了計算每個運算的時間消耗，本文根據MIRACL 7.0 密碼運算庫［25］，測試硬件平臺為采用Intel i7-8700，處理器主頻為3.2 GHz，內存16 GB，操作系統為Windows 10 64 位，關鍵密碼運算計算開銷如表1 所示。

表1 主要操作的計算開銷Tab.1 Computation overhead of primary operations

對于本文方案，在計算開銷方面，可信中心在密鑰生成階段需要執行1 次(1+dA)-1的求逆運算和1 次256 bit 的標量乘運算，用戶在分享k時，至少需要執行2m+1 次256 bit的標量乘和m次256 bit 的點加運算。在驗證簽名階段進行2 次256 bit 的標量乘運算和1 次256 bit 點加運算，其中哈希函數計算計算量較小，可以忽略不計。因此本方案總的計算量為(2m+4)TP+(m+1)TA+TI（1m為多項式的階數）。

表2 列出了與其他門限盲簽名方案的對比分析（m為多項式的階數）。由表2 可以看出，本文方案在整個運算過程中無模指數運算，由此可以得出，基于SM2 算法設計的門限盲簽名算法在簽名階段和驗證簽名階段的總計算開銷明顯優于其他4 種門限盲簽名的方案。由圖1 可以看出，隨著門限數的增加，其他方案的計算開銷的增加速度明顯高于本文方案，并且本文方案是基于國產密碼算法SM2 提出的，同時適用于大規模選舉。

圖1 各方案計算開銷與最大門限數的關系比較Fig.1 Comparison of relation between computation overhead and maximum threshold number among different schemes

表2 各方案性能比較Tab.2 Performance comparison of different schemes

在通信開銷方面，本文以最小的通信開銷進行統計分析，本文方案至少需要秘密分享3 個256 bit 的敏感信息，其通信開銷至少為m*256*3，同時至少需要產生2m+1 個簽名值，每個簽名值為512 bit，其通信開銷為(2m+1)*512，最后合成的簽名結果長度為512 bit，因此總共的通信開銷至少為1 792m+1 024 bit。按照同樣計算方法，計算得出了文獻［10-13］方案的通信開銷，具體見表2。另外從圖2 中也可以看出，隨著門限數的增加，本文方案的通信開銷比其他方案的小，并且增長速度較慢。

3 安全電子選舉協議方案

基于SM2 門限盲簽名算法的電子選舉協議方案分為4個部分，分別為生成密鑰階段、注冊階段、投票階段和計票階段。

3.1 方案概述

本文方案包括以下幾個實體，選民投票終端主要向投票人提供投票服務；注冊中心主要是驗證選票人身份，同時對選票進行簽名；認證中心負責對注冊中心及計票中心進行認證，并發放證書；計票中心負責收取XPi=(idi，Mi（)i為第i個選民）選票，驗證是否有效，并統計公布結果。具體的方案如圖3 所示。

圖3 本文方案整體架構Fig.3 Overall architecture of proposed scheme

3.1.1 生成密鑰階段

每個實體均會生成一對密鑰對，選民投票終端生成的公私鑰對為pkC和skC，注冊中心生成的公私鑰對為pkR和skR，計票中心生成的公私鑰對為pkV和skV。認證中心確認該注冊中心和計票中心具有相應資格后，利用私鑰對注冊中心和計票中心的公鑰進行簽名，生成并頒布證書，選民可以利用證書中的認證中心的公鑰驗證實體身份。同時認證中心還針對每個選民Vi產生一對公私鑰對di和Pi，其中di為門限盲簽名過程中的秘密私鑰，Pi為對應的公鑰。

3.1.2 注冊階段

1）選民Vi進行注冊，由注冊中心對選民的身份進行驗證，驗證完成后，注冊中心產生一個與選民身份無關的隨機idi，并用注冊中心的私鑰skR對其進行簽名，記為(idi，ri，si)，注冊中心將和注冊中心的公鑰pkR一起發給選民Vi，選民收到后進行驗證。

2）選民利用idi生成選票，Yi代表空選票，XPi=(idi，Yi)，計算ei=Hash(XPi)，整個系統利用基于SM2 門限盲簽名實現注冊中心的簽名者、用戶本身對選票的門限盲簽名，記為，其中di為認證中心通過秘密分享出來的私鑰，θ為選民產生的盲化因子。

3.1.3 投票階段

選民此時得到了一張具有注冊中心簽名的選票，選民對該選票進行填寫，然后利用計票中心的公鑰pkV，對填寫后的選 票進行加密，結果記為此時選民 將一起發給計票中心。

3.1.4 計票階段

1）計票中心收到選民發送的選票，利用注冊中心的公鑰pkR驗證選民的idi的簽名；

2）利用認證中心下發的公鑰Pi驗證選民選票的簽名

3.2 方案分析

3.2.1 不可偽造性

整個方案中，所有的公鑰都是公開的，選民的idi由注冊中心進行簽名，選民的選票也由注冊中心進行簽名，同時還需要計票中心的簽名。在選票進行注冊中心簽名時，采用門限盲簽名的方案，必須滿足n≥2m+1 才可以完成簽名，降低了偽造合法選票的可能性。

3.2.2 保密性

本文方案使用門限盲簽名對投票內容進行盲化處理，并且利用門限簽名保證在投票階段，選票被盲化因子θ進行盲化處理，無法看到真實內容，同時保護了選民的身份。在投票階段利用計票中心的公鑰pkV對已填寫的選票進行加密后再發送，保證了選票內容的安全傳送。

3.2.3 合法性

在申請投票時，注冊中心對每個投票人的身份進行審核驗證，審核驗證通過，才發放唯一的選票。用戶的公鑰和ID是唯一的，在注冊階段，注冊中心收到用戶的信息，首先核實用戶的身份，驗證通過后，再發放唯一的ID。選民的每一個ID，只能生成一張選票XPi=(idi，Yi)，保證了選票的唯一性。

3.2.4 魯棒性

方案采用了門限盲簽名的方案，解決了簽證人的欺詐行為，必須滿足2m+1 個簽證人才能完成簽名，有效防止簽證人的欺詐攻擊，對于非法選民來說，是無法偽造注冊中心的簽名生成的空白的選票。另外如果存在只注冊沒完成投票過程的選民，選票不會被統計，對整個選舉過程不會產生影響。

3.3 實驗結果

測試硬件平臺依然采用Intel i7-8700，處理器主頻為3.2 GHz，內存16 GB，操作系統為Windows 10 64 位測試環境。方案中的簽名和加解密算法采用標準的SM2 簽名及加解密算法，雜湊算法采用SM3 算法，盲簽名算法采用SM2 門限盲簽名算法，經過實測，SM3 運算時間為0.009 ms，SM2 簽名運算時間為0.915 7 ms，SM2 驗證簽名時間為1.101 3 ms，SM2 加密運算時間為1.754 3 ms，SM2 解密運算時間為0.953 2 ms。

統計電子選舉各個階段的計算開銷，多項式的階數m=5，參與門限簽名實體個數n=11，由于密鑰生成階段可以進行預計算，運算時間只對注冊階段、投票階段，計票階段進行分析。在注冊階段進行了1 次SM2 簽名運算、1 次SM3 運算、1 次SM2 門限盲簽名及驗證簽名運算；在投票階段進行了1 次SM2 加密運算；在計票階段進行了1 次SM2 驗證簽名運算及1 次SM2 解密運算。注冊階段時間為12.998 6 ms，投票階段為1.754 3 ms，計票階段為0.953 2 ms，整個投票過程計算開銷為15.706 1 ms。對電子選舉各個階段的通信開銷進行統計分析，假設電子選票的數據為1 024 Byte，SM2 加密后數據長度為1 120 Byte，同時由表2可以得出，門限簽名階段的通信開銷至少為1 248 Byte，此時總計通信開銷為2 368 Byte。

4 結語

隨著國產化密碼技術的快速發展，國產密碼技術在各個行業的應用至關重要。本文提出的基于國產密碼SM2 算法門限盲簽名的理論算法方案，從理論上進行了分析證明后，提出了實際的應用方案，應用方案具有盲化選票、抵抗偽造選票和防止注冊中心簽證人欺詐等特點，與同類方案相比，其性能效率具有明顯的優勢，完成一次投票過程僅需15.706 1 ms，擴展了商用密碼算法在電子選舉中的應用，后期將考慮如何降低SM2 門限盲簽名簽名階段及驗證階段的計算開銷。