基于區(qū)塊鏈的隱私保護(hù)密封式電子拍賣方案

彭燁，高瑩，吳進(jìn)喜

（1.北京航空航天大學(xué)數(shù)學(xué)與系統(tǒng)科學(xué)學(xué)院，北京100191；2.北京航空航天大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京100191）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)上的電子商務(wù)活動(dòng)日益增多，拍賣交易也逐漸從傳統(tǒng)模式向電子模式轉(zhuǎn)變，成為了電子商務(wù)的重要組成部分。良好的電子拍賣系統(tǒng)可以為買賣雙方提供良好的交易環(huán)境，借助網(wǎng)絡(luò)平臺(tái)進(jìn)行拍賣商品的交易，在為雙方提供便利的同時(shí)節(jié)約了拍賣的成本。

傳統(tǒng)的電子拍賣系統(tǒng)一般由注冊中心、拍賣行、賣方和競標(biāo)者構(gòu)成。賣方委托拍賣行對(duì)賣品進(jìn)行拍賣，競標(biāo)者需在注冊中心注冊并獲得競標(biāo)資格后進(jìn)行競標(biāo)。當(dāng)前的電子拍賣主要有英式拍賣、荷蘭式拍賣、密封遞價(jià)式拍賣等形式。密封拍賣是在一定時(shí)間內(nèi)由競標(biāo)者秘密提交標(biāo)價(jià)，又在競標(biāo)結(jié)束后統(tǒng)一打開并按照一定的規(guī)則選中標(biāo)價(jià)。由于只需要一輪競價(jià)就可以產(chǎn)生結(jié)果，節(jié)約了競標(biāo)者的時(shí)間及成本，并很好地隱藏了標(biāo)價(jià)，保護(hù)了競標(biāo)者的隱私，在當(dāng)前社會(huì)是一種比較廣泛的拍賣形式。本文也重點(diǎn)研究密封拍賣式的電子拍賣協(xié)議。

在網(wǎng)上拍賣時(shí)，需在規(guī)定時(shí)間內(nèi)對(duì)競標(biāo)者的標(biāo)價(jià)保密，確保競標(biāo)者之間及與拍賣者之間不能勾結(jié)以及競標(biāo)者不能抵賴等性質(zhì)，要滿足六點(diǎn)。

（1）匿名性：競標(biāo)者的身份在拍賣期間不被泄露。

（2）公平性：競標(biāo)者處于同等地位，即獲取的信息無差別，進(jìn)行的操作也一致。

（3）不可否認(rèn)性：競標(biāo)者投標(biāo)后不能否認(rèn)其投標(biāo)。

（4）公開可驗(yàn)證性：每個(gè)人可以驗(yàn)證中標(biāo)者身份的正確性。

（5）標(biāo)價(jià)保密性：投標(biāo)結(jié)束后，除中標(biāo)者外，其他競標(biāo)者的標(biāo)價(jià)應(yīng)保密。

（6）不可偽造性：競標(biāo)者的投標(biāo)信息不可被偽造。

在以往對(duì)于電子拍賣協(xié)議的研究中，大多都存在第三方（拍賣行）的介入，而第三方的可信程度成為拍賣是否安全的重要因素，如內(nèi)部人員與其他競標(biāo)者串通泄露標(biāo)價(jià)、控制投標(biāo)結(jié)束時(shí)間等。1995年Fr ank in和Reiter[1]首次提出了一種密封式的電子拍賣協(xié)議，該協(xié)議設(shè)計(jì)實(shí)現(xiàn)了一種密封競標(biāo)拍賣的分布式服務(wù)，競標(biāo)者可以通過服務(wù)的接口向該服務(wù)發(fā)出秘密投標(biāo)。該協(xié)議使用電子現(xiàn)金技術(shù)來保護(hù)標(biāo)價(jià)不被隨意篡改并通過比特承諾來防止中標(biāo)者反悔。但打開的標(biāo)價(jià)會(huì)被拍賣行獲取，違背了密封電子拍賣協(xié)議中對(duì)標(biāo)價(jià)的保密性的要求。1998年Kikuchi[2]利用Lagrange差值方法設(shè)計(jì)了一個(gè)新的拍賣協(xié)議，此協(xié)議需多個(gè)拍賣行的參與，同樣很難保障第三方的可靠性。隨后，文獻(xiàn)[3]基于此方法提出了一種基于秘密分享機(jī)制的電子拍賣協(xié)議，提高了計(jì)算效率和通信效率，并進(jìn)行了推廣。

2005年Br and t[4,5]設(shè)計(jì)了一個(gè)無第三方參與的密封電子拍賣協(xié)議，由于不用考慮第三方的可靠性，此協(xié)議很好地保護(hù)了競標(biāo)者的隱私，但由于所有計(jì)算都需拍賣人自己完成，計(jì)算量和通信量較大，效率并不高。隨后，針對(duì)Br and t密封電子拍賣方案計(jì)算量大的缺點(diǎn)，Zhang[6]等利用El Gamal加密體制和零知識(shí)證明提出了一個(gè)新的，不依賴于第三方的新協(xié)議，計(jì)算量較以前得到了降低。2009年Lee[7]和Sun[8]分別設(shè)計(jì)出了基于群簽名的密封電子拍賣協(xié)議及改進(jìn)方案。

2 技術(shù)難點(diǎn)

本文基于區(qū)塊鏈技術(shù)和并發(fā)簽名方案，提出一個(gè)新的隱私保護(hù)的公平可靠密封式電子拍賣協(xié)議。該協(xié)議具有五種特點(diǎn)。

（1）競標(biāo)者在拍賣中進(jìn)行相同操作，獲取同樣信息，處于同等地位。

（2）利用區(qū)塊鏈上的保證金思想，競標(biāo)者需繳納一定的保證金，規(guī)定時(shí)間內(nèi)在鏈上階段誠實(shí)公開加密標(biāo)價(jià)的競標(biāo)者可以贖回保證金，否則將會(huì)失去保證金受到懲罰。

（3）競標(biāo)者利用拍賣人的公鑰對(duì)真實(shí)標(biāo)價(jià)進(jìn)行加密，由于只有擁有私鑰才可以對(duì)加密標(biāo)價(jià)進(jìn)行解密，即使在區(qū)塊鏈上公開，也可以很好地隱藏真實(shí)標(biāo)價(jià)，保護(hù)競標(biāo)者的隱私。

（4）由于并發(fā)簽名的模糊性，在秘密信息釋放前簽名無法綁定對(duì)應(yīng)的簽名者，因此保證任何人都不可能通過競標(biāo)者的簽名找到所對(duì)應(yīng)的簽名者，防止拍賣人與其他競標(biāo)者串通或泄露競標(biāo)者的信息。

（5）中標(biāo)者的真實(shí)標(biāo)價(jià)、加密標(biāo)價(jià)、公鑰和簽名公開后，所有人可以通過驗(yàn)證算法驗(yàn)證中標(biāo)者的身份。

3 相關(guān)工作

3.1 并發(fā)簽名

2004年陳立群等人在歐密會(huì)上第一次提出并發(fā)簽名的概念[9]，并基于Schnorr環(huán)簽名設(shè)計(jì)了第一個(gè)具體的并發(fā)簽名方案。并發(fā)簽名可以應(yīng)用于很多電子商務(wù)場景，設(shè)計(jì)各種具體的公平交易協(xié)議。在這種簽名方案里，兩個(gè)簽名者利用秘密信息keystone的哈希值k ey stone f ix生成并交換兩個(gè)模糊的數(shù)字簽名，當(dāng)秘密信息keystone公布后，簽名的模糊性消失即兩個(gè)簽名將同時(shí)綁定它們簽名者的真實(shí)身份，任何第三方都可以通過驗(yàn)證算法來進(jìn)行驗(yàn)證。

但是keystone由發(fā)起方控制，因此他有額外的權(quán)力可以決定什么時(shí)間公開keystone或者就根本不公開。隨后，Susilo等人[10]提出，若第三方已知簽名雙方均為誠實(shí)的，則可以在keystone還沒有釋放前將雙方簽名綁定，為此提出了完美并發(fā)簽名來加強(qiáng)并發(fā)簽名的模糊性，由初始簽名者(首先簽名的人)獨(dú)自生成兩個(gè)keystone，簽名雙方分別簽名。

但是Wang等人指出，Susilo等提出的完美并發(fā)簽名由于雙方簽名的keystone f ix都由初始簽名者生成，因此存在這樣一種情形，初始簽名者精心設(shè)計(jì)一對(duì)keystone，使匹配簽名者與自己的簽名綁定，而初始簽名者不與自己的簽名綁定，存在公平性不足的問題，因此Wang等人提出雙方各自生成自己的keystone f ix進(jìn)行簽名來進(jìn)行改進(jìn)[11]。同時(shí)，Huang等也對(duì)Susilo的方案進(jìn)行了改進(jìn)[12]。

3.2 區(qū)塊鏈相關(guān)知識(shí)

2008年，隨著中本聰發(fā)表了一篇《比特幣:一種點(diǎn)對(duì)點(diǎn)電子現(xiàn)金系統(tǒng)》[13]，區(qū)塊鏈作為其核心支撐逐漸成為關(guān)注的焦點(diǎn)。區(qū)塊鏈?zhǔn)且环N由若干個(gè)區(qū)塊構(gòu)成，按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊連接而成的鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，利用分布式節(jié)點(diǎn)共識(shí)算法生成和更新數(shù)據(jù)以及智能合約來編程和對(duì)數(shù)據(jù)進(jìn)行操作，是一種全新的去中心化的基礎(chǔ)架構(gòu)，所以可將區(qū)塊鏈看做一個(gè)去中心化的分布式賬本。與傳統(tǒng)的數(shù)據(jù)結(jié)構(gòu)相比，具有三點(diǎn)優(yōu)勢。

（1）安全：交易數(shù)據(jù)只有在各方間保持一致，才有可能被加入?yún)^(qū)塊鏈。如果要向區(qū)塊鏈中加入新的交易，則需要提供交易的數(shù)據(jù)、上一筆交易的結(jié)果以及參與交易各方的身份，并進(jìn)行哈希運(yùn)算。因此每一條消息的變化都會(huì)導(dǎo)致后續(xù)的哈希值的變化，保障了數(shù)據(jù)不會(huì)被惡意篡改，且區(qū)塊的生成過程中需要進(jìn)行多方的驗(yàn)證，使交易更加安全。

（2）公開透明：區(qū)塊鏈由多個(gè)節(jié)點(diǎn)共同維護(hù)，每一個(gè)參與者都能夠獲得完整的數(shù)據(jù)備份，所有交易數(shù)據(jù)都是公開和透明的。

（3）高效：區(qū)塊鏈作為分布式數(shù)據(jù)庫可以減少人工的成本，且在處理多方參與的分布式交易時(shí)更為高效。

因此，陸續(xù)有一些工作利用區(qū)塊鏈技術(shù)解決現(xiàn)實(shí)問題。如文獻(xiàn)[14]基于區(qū)塊鏈并結(jié)合保證金思想，設(shè)計(jì)了一種電子投票方案。文獻(xiàn)[15]基于區(qū)塊鏈技術(shù)并結(jié)合混幣思想，設(shè)計(jì)了具有隱私保護(hù)的公平多方合同簽署協(xié)議。

4 改進(jìn)的完美并發(fā)簽名

本節(jié)介紹改進(jìn)的完美并發(fā)簽名[11]的基本算法并給出具體的兩方并發(fā)簽名流程。

4.1 基本算法

改進(jìn)的完美并發(fā)簽名包含四個(gè)算法，分別為SETUP、ASIGN、AVERIFY和VERIFY，定義如下：

4.2 具體方案

(1) 雙方執(zhí)行SETUP算法，輸入安全參數(shù)，生成系統(tǒng)參數(shù)、哈希函數(shù)和各自的公私鑰對(duì)。

(3) Bob收到簽名后執(zhí)行AVERIFY算法對(duì)簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過，則執(zhí)行如下操作，否則直接退出。

5 競標(biāo)過程

本節(jié)給出一個(gè)隱私性強(qiáng)的公平可靠的電子拍賣協(xié)議。拍賣人在區(qū)塊鏈上發(fā)布競標(biāo)商品及競標(biāo)規(guī)則等，競標(biāo)者利用競標(biāo)商品信息、加密標(biāo)價(jià)、自己的私鑰以及雙方的公鑰等信息生成與拍賣人之間的兩方并發(fā)簽名。競標(biāo)者在區(qū)塊鏈上提交保證金，并在時(shí)間 內(nèi)公開自己的加密標(biāo)價(jià)，否則將損失保證金，以此來保證協(xié)議的公平性。

5.1 拍賣準(zhǔn)備

在拍賣開始之前，拍賣人與競標(biāo)者進(jìn)行必要的初始化工作,此過程在區(qū)塊鏈上進(jìn)行。拍賣人在鏈上發(fā)布拍賣規(guī)則，拍賣商品的詳細(xì)信息 ，其中包含版本號(hào)、商品名稱和拍賣截止時(shí)間等。競標(biāo)者需先向注冊中心注冊，注冊中心為競標(biāo)者隨機(jī)發(fā)放匿名身份ID、公私鑰對(duì)和安全的系統(tǒng)參數(shù)。拍賣人公開自己的公鑰，競標(biāo)者將自己的公鑰發(fā)送給拍賣者，各方公開比特幣地址，便于進(jìn)行對(duì)信息的簽名、驗(yàn)證和比特幣的轉(zhuǎn)賬。假設(shè)有n個(gè)競標(biāo)者，分別為，對(duì)應(yīng)的公私鑰對(duì)為，拍賣人為，公私鑰對(duì)為。

5.2 投標(biāo)階段

此過程在區(qū)塊鏈鏈下階段進(jìn)行。拍賣人宣布開始拍賣后，競標(biāo)者進(jìn)行投標(biāo)。假設(shè)競標(biāo)者想競標(biāo)商品，該商品信息為，真實(shí)標(biāo)價(jià)為。

5.3 公布加密標(biāo)價(jià)

此環(huán)節(jié)在區(qū)塊鏈鏈上階段進(jìn)行，利用保證金的思想一定程度上規(guī)范了競標(biāo)者的行為。以競標(biāo)者為例，需繳納d B的保證金。若在時(shí)間內(nèi)在釋放加密標(biāo)價(jià)，則可拿回保證金；否則保證金歸拍賣人所有[16]。

Pre-condition: 競標(biāo)者指定保證金交易。

Commit: 競標(biāo)者繳納保證金，雙方進(jìn)行交易的簽名與驗(yàn)證。

圖1 公開秘密標(biāo)價(jià)

Open: 競標(biāo)者公開加密標(biāo)價(jià)，拿回保證金。

Fuse: 若競標(biāo)者違約，拍賣人可以廣播 交易獲得賠償。

5.4 公布結(jié)果

6 安全性分析

將并發(fā)簽名與區(qū)塊鏈上的保證金思想相結(jié)合，設(shè)計(jì)出一種新的電子拍賣協(xié)議。競標(biāo)者對(duì)競標(biāo)商品信息簽名并發(fā)送給拍賣人，表明自己的購買意向，拍賣人收到競標(biāo)者的簽名后對(duì)簽名并返還給競標(biāo)者作為接收憑證和拍賣資格確認(rèn)。在拍賣人的規(guī)定時(shí)間內(nèi)提交加密標(biāo)價(jià)并在時(shí)間截止后在區(qū)塊鏈上公開，否則將會(huì)損失保證金。

正確性：只有當(dāng)競標(biāo)者誠實(shí)公布自己的加密標(biāo)價(jià)時(shí)，保證金才能被贖回，即釋放正確的，滿足。由于哈希函數(shù)的抗碰撞性，很難找到另一個(gè)，使它的哈希值也為，因此可以保證競標(biāo)者釋放的滿足等式的一定是真實(shí)的。

公平性：在整個(gè)協(xié)議中，每個(gè)競標(biāo)者地位平等，不存在誰有獲得拍賣結(jié)果優(yōu)先權(quán)的情況。在區(qū)塊鏈公開加密標(biāo)價(jià)可以使拍賣過程更加公開透明，并結(jié)合保證金思想來規(guī)范競標(biāo)者的行為。若競標(biāo)者均為誠實(shí)，則在區(qū)塊鏈鏈下可以成功提交加密標(biāo)價(jià)，在鏈上規(guī)定時(shí)間 內(nèi)公開自己的加密標(biāo)價(jià)，則拍賣順利進(jìn)行。若競標(biāo)者不誠實(shí)，假設(shè)沒有在區(qū)塊鏈鏈上釋放加密標(biāo)價(jià)，將會(huì)損失保證金。

標(biāo)價(jià)的保密性：本文拍賣協(xié)議的應(yīng)用場景為密封拍賣，即在規(guī)定時(shí)間內(nèi)提交加密標(biāo)價(jià)后統(tǒng)一打開，需要考慮區(qū)塊鏈下提交和區(qū)塊鏈上公開時(shí)真實(shí)標(biāo)價(jià)的保密性。在區(qū)塊鏈下投標(biāo)階段，加密標(biāo)價(jià)是以的形式由競標(biāo)者保管，并將 發(fā)送給拍賣人，其中為哈希函數(shù)。由于哈希函數(shù)的單向性，任何人拿到都無法還原出，實(shí)現(xiàn)了加密標(biāo)價(jià)的保密性。

在區(qū)塊鏈上公布階段，競標(biāo)者釋放利用拍賣人公鑰加密標(biāo)價(jià)，只有拍賣人才可以用自己的私鑰進(jìn)行解密，很好地隱藏了加密標(biāo)價(jià)，保證了在拍賣過程中只公開真實(shí)中標(biāo)價(jià)的安全性要求。

公開可驗(yàn)證性：由于并發(fā)簽名具有模糊性，在keystone公布之前，簽名無法與對(duì)應(yīng)的簽名者綁定。拍賣人在接收到加密標(biāo)價(jià)后，利用自己的私鑰進(jìn)行解密得到真實(shí)標(biāo)價(jià)，再按照拍賣規(guī)則選擇真實(shí)中標(biāo)價(jià)，此處假設(shè)為，在區(qū)塊鏈上公開中標(biāo)者的簽名、公鑰、真實(shí)中標(biāo)價(jià)格和加密標(biāo)價(jià)。任何人都可以通過綁定驗(yàn)證算法來驗(yàn)證中標(biāo)人身份和真實(shí)標(biāo)價(jià)的正確性，即驗(yàn)證等式，以及是否成立。

7 結(jié)束語

本文將并發(fā)簽名與區(qū)塊鏈上的保證金思想相結(jié)合，提出了一個(gè)針對(duì)密封拍賣的隱私性強(qiáng)的公平可靠的電子拍賣協(xié)議，實(shí)現(xiàn)了電子拍賣協(xié)議設(shè)計(jì)所要求的安全性，即正確性、公平性、標(biāo)價(jià)的保密性以及中標(biāo)者的公開可驗(yàn)證性。將競標(biāo)者的加密標(biāo)價(jià)和保證金放置于區(qū)塊鏈中，省去了第三方參與的額外費(fèi)用，在保護(hù)競標(biāo)者隱私的同時(shí)保證了拍賣的公平性。由于最后階段的解密工作僅由拍賣人進(jìn)行，本文提出的密封式電子拍賣方案非常適合政府采購、項(xiàng)目競標(biāo)等小規(guī)模電子拍賣。