物理隔離與身份驗(yàn)證的單向性

身份驗(yàn)證不存儲投票記錄

投票前，系統(tǒng)通過身份證、指紋、人臉識別等方式驗(yàn)證選民身份，但驗(yàn)證信息與投票數(shù)據(jù)完全隔離。例如，身份信息僅用于確認(rèn)選民資格，驗(yàn)證通過后即從內(nèi)存中清除，不與具體選票關(guān)聯(lián)。

類比：類似酒店入住登記，身份證信息用于確認(rèn)身份，但退房后信息不與 “房間內(nèi)行為” 綁定。

無記名投票機(jī)制

電子選票機(jī)不記錄任何與選民身份相關(guān)的標(biāo)識（如姓名、ID 號），僅存儲 “匿名選票數(shù)據(jù)”（如 “候選人 A 獲得 1 票”）。即使數(shù)據(jù)庫泄露，也無法通過選票反推投票人。

數(shù)字簽名技術(shù)

每張電子選票在生成時(shí)，會被賦予一個(gè)由系統(tǒng)私鑰生成的數(shù)字簽名（類似電子指紋）。黑客若篡改選票內(nèi)容，簽名與數(shù)據(jù)將不匹配，系統(tǒng)會自動識別為無效選票。

原理：私鑰僅由選舉機(jī)構(gòu)掌握，黑客無法偽造合法簽名，確保選票 “出生即真實(shí)”。

可信計(jì)算基（TCB）與硬件模塊（HSM）

電子選票機(jī)內(nèi)置硬件模塊（HSM 芯片），用于存儲加密密鑰和執(zhí)行操作：

密鑰從生成到銷毀全程在 HSM 內(nèi)部完成，不接觸主機(jī)內(nèi)存，防止黑客通過軟件漏洞竊取；

系統(tǒng)啟動時(shí)，通過可信計(jì)算基（TCB）驗(yàn)證固件和軟件完整性，若檢測到篡改（如植入木馬），自動鎖定并報(bào)警。

蜜罐陷阱與入侵檢測系統(tǒng)（IDS）

系統(tǒng)部署虛擬 “蜜罐服務(wù)器”，模擬真實(shí)投票數(shù)據(jù)接口：

黑客若攻擊蜜罐，會觸發(fā)實(shí)時(shí)報(bào)警，暴露攻擊來源；

同時(shí)，IDS 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量，通過異常行為分析（如高頻數(shù)據(jù)請求、非授權(quán) IP 訪問）識別潛在攻擊，自動阻斷連接。