彭烨,高莹,吴进喜
(1.北京航空航天大学数学与系统科学学院,北京100191;2.北京航空航天大学网络空间安全学院,北京100191)
随着互联网技术的快速发展,网上的电子商务活动日益增多,拍卖交易也逐渐从传统模式向电子模式转变,成为了电子商务的重要组成部分。良好的电子拍卖系统可以为买卖双方提供良好的交易环境,借助网络平台进行拍卖商品的交易,在为双方提供便利的同时节约了拍卖的成本。
传统的电子拍卖系统一般由注册中心、拍卖行、卖方和竞标者构成。卖方委托拍卖行对卖品进行拍卖,竞标者需在注册中心注册并获得竞标资格后进行竞标。当前的电子拍卖主要有英式拍卖、荷兰式拍卖、密封递价式拍卖等形式。密封拍卖是在一定时间内由竞标者秘密提交标价,又在竞标结束后统一打开并按照一定的规则选中标价。由于只需要一轮竞价就可以产生结果,节约了竞标者的时间及成本,并很好地隐藏了标价,保护了竞标者的隐私,在当前社会是一种比较广泛的拍卖形式。本文也重点研究密封拍卖式的电子拍卖协议。
在网上拍卖时,需在规定时间内对竞标者的标价保密,确保竞标者之间及与拍卖者之间不能勾结以及竞标者不能抵赖等性质,要满足六点。
(1)匿名性:竞标者的身份在拍卖期间不被泄露。
(2)公平性:竞标者处于同等地位,即获取的信息无差别,进行的操作也一致。
(3)不可否认性:竞标者投标后不能否认其投标。
(4)公开可验证性:每个人可以验证中标者身份的正确性。
(5)标价保密性:投标结束后,除中标者外,其他竞标者的标价应保密。
(6)不可伪造性:竞标者的投标信息不可被伪造。
在以往对于电子拍卖协议的研究中,大多都存在第三方(拍卖行)的介入,而第三方的可信程度成为拍卖是否安全的重要因素,如内部人员与其他竞标者串通泄露标价、控制投标结束时间等。1995年Fr ank in和Reiter[1]首次提出了一种密封式的电子拍卖协议,该协议设计实现了一种密封竞标拍卖的分布式服务,竞标者可以通过服务的接口向该服务发出秘密投标。该协议使用电子现金技术来保护标价不被随意篡改并通过比特承诺来防止中标者反悔。但打开的标价会被拍卖行获取,违背了密封电子拍卖协议中对标价的保密性的要求。1998年Kikuchi[2]利用Lagrange差值方法设计了一个新的拍卖协议,此协议需多个拍卖行的参与,同样很难保障第三方的可靠性。随后,文献[3]基于此方法提出了一种基于秘密分享机制的电子拍卖协议,提高了计算效率和通信效率,并进行了推广。
2005年Br and t[4,5]设计了一个无第三方参与的密封电子拍卖协议,由于不用考虑第三方的可靠性,此协议很好地保护了竞标者的隐私,但由于所有计算都需拍卖人自己完成,计算量和通信量较大,效率并不高。随后,针对Br and t密封电子拍卖方案计算量大的缺点,Zhang[6]等利用El Gamal加密体制和零知识证明提出了一个新的,不依赖于第三方的新协议,计算量较以前得到了降低。2009年Lee[7]和Sun[8]分别设计出了基于群签名的密封电子拍卖协议及改进方案。
本文基于区块链技术和并发签名方案,提出一个新的隐私保护的公平可靠密封式电子拍卖协议。该协议具有五种特点。
(1)竞标者在拍卖中进行相同操作,获取同样信息,处于同等地位。
(2)利用区块链上的保证金思想,竞标者需缴纳一定的保证金,规定时间内在链上阶段诚实公开加密标价的竞标者可以赎回保证金,否则将会失去保证金受到惩罚。
(3)竞标者利用拍卖人的公钥对真实标价进行加密,由于只有拥有私钥才可以对加密标价进行解密,即使在区块链上公开,也可以很好地隐藏真实标价,保护竞标者的隐私。
(4)由于并发签名的模糊性,在秘密信息释放前签名无法绑定对应的签名者,因此保证任何人都不可能通过竞标者的签名找到所对应的签名者,防止拍卖人与其他竞标者串通或泄露竞标者的信息。
(5)中标者的真实标价、加密标价、公钥和签名公开后,所有人可以通过验证算法验证中标者的身份。
2004年陈立群等人在欧密会上第一次提出并发签名的概念[9],并基于Schnorr环签名设计了第一个具体的并发签名方案。并发签名可以应用于很多电子商务场景,设计各种具体的公平交易协议。在这种签名方案里,两个签名者利用秘密信息keystone的哈希值k ey stone f ix生成并交换两个模糊的数字签名,当秘密信息keystone公布后,签名的模糊性消失即两个签名将同时绑定它们签名者的真实身份,任何第三方都可以通过验证算法来进行验证。
但是keystone由发起方控制,因此他有额外的权力可以决定什么时间公开keystone或者就根本不公开。随后,Susilo等人[10]提出,若第三方已知签名双方均为诚实的,则可以在keystone还没有释放前将双方签名绑定,为此提出了完美并发签名来加强并发签名的模糊性,由初始签名者(首先签名的人)独自生成两个keystone,签名双方分别签名。
但是Wang等人指出,Susilo等提出的完美并发签名由于双方签名的keystone f ix都由初始签名者生成,因此存在这样一种情形,初始签名者精心设计一对keystone,使匹配签名者与自己的签名绑定,而初始签名者不与自己的签名绑定,存在公平性不足的问题,因此Wang等人提出双方各自生成自己的keystone f ix进行签名来进行改进[11]。同时,Huang等也对Susilo的方案进行了改进[12]。
2008年,随着中本聪发表了一篇《比特币:一种点对点电子现金系统》[13],区块链作为其核心支撑逐渐成为关注的焦点。区块链是一种由若干个区块构成,按照时间顺序将数据区块连接而成的链式数据结构,利用分布式节点共识算法生成和更新数据以及智能合约来编程和对数据进行操作,是一种全新的去中心化的基础架构,所以可将区块链看做一个去中心化的分布式账本。与传统的数据结构相比,具有三点优势。
(1)安全:交易数据只有在各方间保持一致,才有可能被加入区块链。如果要向区块链中加入新的交易,则需要提供交易的数据、上一笔交易的结果以及参与交易各方的身份,并进行哈希运算。因此每一条消息的变化都会导致后续的哈希值的变化,保障了数据不会被恶意篡改,且区块的生成过程中需要进行多方的验证,使交易更加安全。
(2)公开透明:区块链由多个节点共同维护,每一个参与者都能够获得完整的数据备份,所有交易数据都是公开和透明的。
(3)高效:区块链作为分布式数据库可以减少人工的成本,且在处理多方参与的分布式交易时更为高效。
因此,陆续有一些工作利用区块链技术解决现实问题。如文献[14]基于区块链并结合保证金思想,设计了一种电子投票方案。文献[15]基于区块链技术并结合混币思想,设计了具有隐私保护的公平多方合同签署协议。
本节介绍改进的完美并发签名[11]的基本算法并给出具体的两方并发签名流程。
改进的完美并发签名包含四个算法,分别为SETUP、ASIGN、AVERIFY和VERIFY,定义如下:
(1) 双方执行SETUP算法,输入安全参数,生成系统参数、哈希函数和各自的公私钥对。
(3) Bob收到签名后执行AVERIFY算法对签名进行验证,若验证通过,则执行如下操作,否则直接退出。
本节给出一个隐私性强的公平可靠的电子拍卖协议。拍卖人在区块链上发布竞标商品及竞标规则等,竞标者利用竞标商品信息、加密标价、自己的私钥以及双方的公钥等信息生成与拍卖人之间的两方并发签名。竞标者在区块链上提交保证金,并在时间 内公开自己的加密标价,否则将损失保证金,以此来保证协议的公平性。
在拍卖开始之前,拍卖人与竞标者进行必要的初始化工作,此过程在区块链上进行。拍卖人在链上发布拍卖规则,拍卖商品的详细信息 ,其中包含版本号、商品名称和拍卖截止时间等。竞标者需先向注册中心注册,注册中心为竞标者随机发放匿名身份ID、公私钥对和安全的系统参数。拍卖人公开自己的公钥,竞标者将自己的公钥发送给拍卖者,各方公开比特币地址,便于进行对信息的签名、验证和比特币的转账。假设有n个竞标者,分别为,对应的公私钥对为,拍卖人为,公私钥对为。
此过程在区块链链下阶段进行。拍卖人宣布开始拍卖后,竞标者进行投标。假设竞标者想竞标商品,该商品信息为,真实标价为。
此环节在区块链链上阶段进行,利用保证金的思想一定程度上规范了竞标者的行为。以竞标者为例,需缴纳d B的保证金。若在时间内在释放加密标价,则可拿回保证金;否则保证金归拍卖人所有[16]。
Pre-condition: 竞标者指定保证金交易。
Commit: 竞标者缴纳保证金,双方进行交易的签名与验证。
图1 公开秘密标价
Open: 竞标者公开加密标价,拿回保证金。
Fuse: 若竞标者违约,拍卖人可以广播 交易获得赔偿。
将并发签名与区块链上的保证金思想相结合,设计出一种新的电子拍卖协议。竞标者对竞标商品信息签名并发送给拍卖人,表明自己的购买意向,拍卖人收到竞标者的签名后对签名并返还给竞标者作为接收凭证和拍卖资格确认。在拍卖人的规定时间内提交加密标价并在时间截止后在区块链上公开,否则将会损失保证金。
正确性:只有当竞标者诚实公布自己的加密标价时,保证金才能被赎回,即释放正确的,满足。由于哈希函数的抗碰撞性,很难找到另一个,使它的哈希值也为,因此可以保证竞标者释放的满足等式的一定是真实的。
公平性:在整个协议中,每个竞标者地位平等,不存在谁有获得拍卖结果优先权的情况。在区块链公开加密标价可以使拍卖过程更加公开透明,并结合保证金思想来规范竞标者的行为。若竞标者均为诚实,则在区块链链下可以成功提交加密标价,在链上规定时间 内公开自己的加密标价,则拍卖顺利进行。若竞标者不诚实,假设没有在区块链链上释放加密标价,将会损失保证金。
标价的保密性:本文拍卖协议的应用场景为密封拍卖,即在规定时间内提交加密标价后统一打开,需要考虑区块链下提交和区块链上公开时真实标价的保密性。在区块链下投标阶段,加密标价是以的形式由竞标者保管,并将 发送给拍卖人,其中为哈希函数。由于哈希函数的单向性,任何人拿到都无法还原出,实现了加密标价的保密性。
在区块链上公布阶段,竞标者释放利用拍卖人公钥加密标价,只有拍卖人才可以用自己的私钥进行解密,很好地隐藏了加密标价,保证了在拍卖过程中只公开真实中标价的安全性要求。
公开可验证性:由于并发签名具有模糊性,在keystone公布之前,签名无法与对应的签名者绑定。拍卖人在接收到加密标价后,利用自己的私钥进行解密得到真实标价,再按照拍卖规则选择真实中标价,此处假设为,在区块链上公开中标者的签名、公钥、真实中标价格和加密标价。任何人都可以通过绑定验证算法来验证中标人身份和真实标价的正确性,即验证等式,以及是否成立。
本文将并发签名与区块链上的保证金思想相结合,提出了一个针对密封拍卖的隐私性强的公平可靠的电子拍卖协议,实现了电子拍卖协议设计所要求的安全性,即正确性、公平性、标价的保密性以及中标者的公开可验证性。将竞标者的加密标价和保证金放置于区块链中,省去了第三方参与的额外费用,在保护竞标者隐私的同时保证了拍卖的公平性。由于最后阶段的解密工作仅由拍卖人进行,本文提出的密封式电子拍卖方案非常适合政府采购、项目竞标等小规模电子拍卖。