物理隔离与身份验证的单向性

身份验证不存储投票记录

投票前，系统通过身份证、指纹、人脸识别等方式验证选民身份，但验证信息与投票数据完全隔离。例如，身份信息仅用于确认选民资格，验证通过后即从内存中清除，不与具体选票关联。

类比：类似酒店入住登记，身份证信息用于确认身份，但退房后信息不与 “房间内行为” 绑定。

无记名投票机制

电子选票机不记录任何与选民身份相关的标识（如姓名、ID 号），仅存储 “匿名选票数据”（如 “候选人 A 获得 1 票”）。即使数据库泄露，也无法通过选票反推投票人。

数据库多层加密

投票数据存储时采用 “加密 + 混淆 + 分片” 三重防护：

原始数据先经 AES 加密；

加密后的数据被随机混淆（如打乱字段顺序）；

混淆后的数据分片存储在不同物理服务器上，需同时获取所有分片并解密才能还原。

即使黑客入侵单一服务器，获取的也只是无意义的密文碎片。

可信计算基（TCB）与硬件模块（HSM）

电子选票机内置硬件模块（HSM 芯片），用于存储加密密钥和执行操作：

密钥从生成到销毁全程在 HSM 内部完成，不接触主机内存，防止黑客通过软件漏洞窃取；

系统启动时，通过可信计算基（TCB）验证固件和软件完整性，若检测到篡改（如植入木马），自动锁定并报警。

系统构成：

１、配接主机四核2G以上、笔记本或台式机操作系统 Windows xp、windos7、Windows 10等。

２、虹光高速文档扫描仪１台

３、机读选票：可以是红、蓝、绿、黄等底色或普通打印机纸。

4、现场选票黑白激光打印机。