李 蓓，張問(wèn)銀，王九如，趙 偉，王海峰

（1.山東科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，山東青島 266000；2.臨沂大學(xué)信息科學(xué)與工程學(xué)院，山東臨沂 276000）

0 引言

隨著互聯(lián)網(wǎng)技術(shù)和電子商務(wù)的迅速發(fā)展，電子拍賣(mài)已經(jīng)成為人們拍賣(mài)商品的一種方式。網(wǎng)絡(luò)拍賣(mài)平臺(tái)為買(mǎi)賣(mài)雙方提供一個(gè)公平交易的拍賣(mài)環(huán)境，節(jié)省了大量的時(shí)間和成本，但其隱私性和安全性問(wèn)題也越來(lái)越突出。傳統(tǒng)的電子拍賣(mài)有四種主要的拍賣(mài)方式：第一價(jià)格密封投標(biāo)拍賣(mài)、第二價(jià)格密封投標(biāo)拍賣(mài)（Vickrey 拍賣(mài)）、公開(kāi)升價(jià)拍賣(mài)（英式拍賣(mài)）以及公開(kāi)降價(jià)拍賣(mài)（荷式拍賣(mài)）。電子拍賣(mài)根據(jù)競(jìng)拍價(jià)是否公開(kāi)分為密封式投標(biāo)拍賣(mài)和公開(kāi)拍賣(mài)。密封式投標(biāo)拍賣(mài)是指在規(guī)定時(shí)間內(nèi)由競(jìng)買(mǎi)人秘密地提交標(biāo)書(shū)，在規(guī)定時(shí)間后才能打開(kāi)投標(biāo)并根據(jù)拍賣(mài)規(guī)則選出中標(biāo)者。在密封式投標(biāo)拍賣(mài)中，除了中標(biāo)者的標(biāo)價(jià)被公開(kāi)以外，其余競(jìng)買(mǎi)人的報(bào)價(jià)都保密，可以有效保護(hù)競(jìng)買(mǎi)人身份的匿名性和標(biāo)價(jià)的隱私性，在當(dāng)今社會(huì)是應(yīng)用廣泛的拍賣(mài)方式。本文討論的方案屬于第一價(jià)格的密封式投標(biāo)拍賣(mài)。為了保證密封式投標(biāo)拍賣(mài)的安全性，需要滿足以下基本特性：

1）正確性。拍賣(mài)必須保證能產(chǎn)生最高價(jià)格的中標(biāo)者。

2）公平性。保證參與拍賣(mài)的競(jìng)買(mǎi)人的地位相同，獲得信息一致，是否中標(biāo)只與出價(jià)高低有關(guān)。

3）密封性。在打開(kāi)標(biāo)書(shū)前，無(wú)法通過(guò)別的方式獲取價(jià)格。

4）不可否認(rèn)性。中標(biāo)者在競(jìng)標(biāo)成功后不可以對(duì)自己的出價(jià)進(jìn)行否認(rèn)。

5）可驗(yàn)證性。任何人都可以驗(yàn)證中標(biāo)者的身份。

6）時(shí)限性。在規(guī)定時(shí)間前提交標(biāo)書(shū)才能有效參與拍賣(mài)，并且在提交標(biāo)書(shū)后在規(guī)定時(shí)間后才能統(tǒng)一打開(kāi)標(biāo)書(shū)。

7）不可偽造性。任何人不能用偽造的身份參與競(jìng)拍活動(dòng)。

目前針對(duì)密封式投標(biāo)拍賣(mài)已經(jīng)存在大量研究。Brandt［1-2］設(shè)計(jì)了一個(gè)無(wú)第三方參與的密封電子拍賣(mài)協(xié)議，協(xié)議有效去除了第三方，可以很好地保護(hù)競(jìng)標(biāo)者的隱私；但由于所有計(jì)算都需拍賣(mài)人自己完成，具有計(jì)算量和通信量較大以及效率不高的問(wèn)題。Bogetoft 等［3］提出使用基于線性秘密共享的安全多方計(jì)算取代可信第三方來(lái)構(gòu)建安全拍賣(mài)協(xié)議，但該方案需要至少15輪交互。Wu等［4］提出了新的密封式電子拍賣(mài)，雖然該方案去除了第三方，但是交互過(guò)程也比較繁瑣。Lee等［5］和Sun 等［6］分別設(shè)計(jì)出了基于群簽名的密封電子拍賣(mài)協(xié)議及改進(jìn)方案。王鑫等［7］利用基于身份的群簽名方案和可驗(yàn)證的秘密共享協(xié)議，設(shè)計(jì)了一個(gè)密封式的電子拍賣(mài)方案，該方案實(shí)現(xiàn)了投標(biāo)者的匿名性、強(qiáng)壯性、中標(biāo)者的不可抵賴性、公開(kāi)可驗(yàn)證性和標(biāo)價(jià)的保密性等一般性的安全要求。程文娟等［8］提出一個(gè)基于不可信第三方的密封式電子拍賣(mài)方案，采用了數(shù)字簽名技術(shù)對(duì)競(jìng)買(mǎi)人的身份進(jìn)行驗(yàn)證，從而保護(hù)競(jìng)買(mǎi)人身份。在計(jì)算成交價(jià)時(shí)，基于離散對(duì)數(shù)求解的困難性，對(duì)競(jìng)拍價(jià)的二進(jìn)制長(zhǎng)度進(jìn)行加密封裝，以保證競(jìng)拍價(jià)的秘密性以及結(jié)果的正確性。曹剛［9］通過(guò)改造Bit 承諾協(xié)議，將盲簽名技術(shù)應(yīng)用于Bit 承諾協(xié)議的生成階段，設(shè)計(jì)了一種密封式的電子拍賣(mài)方案。目前，大多數(shù)的密封式電子拍賣(mài)都依賴于第三方去管理和驗(yàn)證拍賣(mài)者的身份信息；但是，現(xiàn)實(shí)中無(wú)法保證存在完全可信的第三方，一旦第三方不誠(chéng)實(shí)或者與競(jìng)買(mǎi)人勾結(jié)，將會(huì)違反拍賣(mài)的公平性，并且威脅到其他競(jìng)買(mǎi)人隱私和利益。

而隨著區(qū)塊鏈技術(shù)的不斷發(fā)展，越來(lái)越多的研究嘗試通過(guò)將區(qū)塊鏈作為基礎(chǔ)設(shè)施，利用區(qū)塊鏈的特性，實(shí)現(xiàn)拍賣(mài)的公開(kāi)透明性、不可篡改性等。區(qū)塊鏈作為一個(gè)公開(kāi)透明的賬本，所具有的分布式容錯(cuò)、不可篡改性、去中心化等特性，使得區(qū)塊鏈成為一個(gè)適合密封式電子拍賣(mài)的平臺(tái)。基于區(qū)塊鏈的密封式投標(biāo)拍賣(mài)可以有效去除第三方，從而節(jié)省第三方拍賣(mài)中心的費(fèi)用。拍賣(mài)活動(dòng)的穩(wěn)定進(jìn)行依賴于拍賣(mài)系統(tǒng)的安全性和穩(wěn)定性，區(qū)塊鏈上的數(shù)據(jù)不可篡改性并且可追溯，一旦交易確認(rèn)，無(wú)法修改歷史記錄，保證投標(biāo)后拍賣(mài)報(bào)價(jià)就不可修改和撤銷。區(qū)塊鏈上地址的匿名性也可以保證競(jìng)買(mǎi)人的身份隱私。目前已有一些研究通過(guò)區(qū)塊鏈來(lái)實(shí)現(xiàn)密封式投標(biāo)拍賣(mài)。如Galal 等［10］提出了一個(gè)智能合約，用于以太坊區(qū)塊鏈上的可驗(yàn)證密封競(jìng)價(jià)拍賣(mài)方案，協(xié)議確保了拍賣(mài)結(jié)果公開(kāi)的可驗(yàn)證性、投標(biāo)的保密性和公平性。Galal 等［11］又提出了一種在以太坊區(qū)塊鏈上基于簡(jiǎn)潔非交互式零知識(shí)證明zk-SNARKs（zeroknowledge Succinct Non-interactive ARgument of Knowledge）的拍賣(mài)方案，通過(guò)拍賣(mài)人和競(jìng)買(mǎi)人之間的多方安全計(jì)算協(xié)議生成zk-SNARKs 的證明和驗(yàn)證密鑰，該方案可以解決競(jìng)買(mǎi)人與拍賣(mài)行間的信任問(wèn)題。彭燁等［12］提出了一種基于區(qū)塊鏈和并發(fā)簽名的密封式投標(biāo)拍賣(mài)方案，利用并發(fā)簽名的模糊性保護(hù)競(jìng)標(biāo)者的信息不被泄露，同時(shí)保證標(biāo)價(jià)的保密性和競(jìng)標(biāo)者的匿名性和不可否認(rèn)性。Xiong 等［13］介紹了基于聯(lián)盟鏈的密封競(jìng)標(biāo)拍賣(mài)協(xié)議，利用數(shù)字證書(shū)的身份機(jī)制和基于橢圓曲線技術(shù)的盲簽名來(lái)允許競(jìng)標(biāo)者匿名參與，并采用定時(shí)釋放公鑰加密算法對(duì)競(jìng)拍進(jìn)行加密，防止拍賣(mài)人與競(jìng)拍人串通。

本文針對(duì)目前競(jìng)拍系統(tǒng)中的隱私泄露、不可公開(kāi)驗(yàn)證等缺陷，提出了一種基于區(qū)塊鏈的密封式投標(biāo)拍賣(mài)方案。通過(guò)區(qū)塊鏈上的安全保證金策略約束競(jìng)買(mǎi)人行為，利用Pedersen承諾方案保護(hù)競(jìng)買(mǎi)人的信息不被泄露，利用同態(tài)加密的加法同態(tài)性進(jìn)行密文的算術(shù)運(yùn)算，競(jìng)買(mǎi)人可以利用零知識(shí)范圍證明來(lái)驗(yàn)證中標(biāo)價(jià)格的正確性。

1 預(yù)備知識(shí)

1.1 區(qū)塊鏈

2008 年中本聰在《比特幣：一種點(diǎn)對(duì)點(diǎn)電子現(xiàn)金系統(tǒng)》［14］一文中首次提出區(qū)塊鏈的概念。區(qū)塊鏈本質(zhì)上是一種多方參與共同維護(hù)的分布式數(shù)據(jù)庫(kù)，采用對(duì)等網(wǎng)絡(luò)（Peer-to-Peer，P2P）的網(wǎng)絡(luò)通信方式，通過(guò)密碼學(xué)技術(shù)保護(hù)隱私，利用智能合約［15］實(shí)現(xiàn)業(yè)務(wù)邏輯，依賴分布式共識(shí)技術(shù)實(shí)現(xiàn)存儲(chǔ)一致。與傳統(tǒng)的數(shù)據(jù)結(jié)構(gòu)不同，區(qū)塊鏈采用鏈?zhǔn)浇Y(jié)構(gòu)存儲(chǔ)，將數(shù)據(jù)記錄組織成區(qū)塊（Block），并在每個(gè)區(qū)塊的區(qū)塊頭中通過(guò)記錄前一區(qū)塊的哈希值將區(qū)塊組織成鏈?zhǔn)浇Y(jié)構(gòu)。

區(qū)塊鏈在走向應(yīng)用之前，必須解決隱私問(wèn)題。在區(qū)塊鏈中主要保護(hù)兩類隱私：身份隱私和交易隱私［16-17］。保護(hù)身份隱私是指減少用戶身份與區(qū)塊鏈地址之間的關(guān)聯(lián)。在區(qū)塊鏈上用戶可以創(chuàng)建多個(gè)地址，與用戶的身份無(wú)關(guān)，并且創(chuàng)建過(guò)程不需要第三方參與。因此通過(guò)地址信息很難將用戶身份關(guān)聯(lián)起來(lái)，相較于傳統(tǒng)創(chuàng)建的地址信息來(lái)說(shuō)具有較好的匿名性。保護(hù)交易隱私是指保護(hù)在區(qū)塊鏈中存儲(chǔ)的交易記錄和交易隱藏的信息（如交易金額、用戶的消費(fèi)水平等）。目前區(qū)塊鏈主要采用隱蔽地址［18］、同態(tài)加密［19］、零知識(shí)證明［20］等方案保護(hù)隱私。

1.2 承諾方案

在機(jī)密交易中，可以用Pedersen 承諾算法［21］保護(hù)交易金額的隱私性。該承諾算法由承諾者向接收者承諾某個(gè)秘密數(shù)，即生成某個(gè)承諾值。接下來(lái)通過(guò)展示該秘密數(shù)，由接收者確認(rèn)前后承諾值是否相等?；跈E圓曲線的Pedersen 承諾算法表現(xiàn)形式如下：

其中：C為橢圓曲線上的一個(gè)曲線點(diǎn)，作為承諾值；a為需要承諾的秘密數(shù)；r為隨機(jī)數(shù)值；G為所選擇橢圓曲線上的生成元；H為橢圓曲線上的另一個(gè)基點(diǎn)。

基于橢圓曲線問(wèn)題的難解性，該承諾方案是抗沖突的并且不會(huì)泄露被承諾的信息，因此具有隱藏性和綁定性；而且該承諾方案滿足加法同態(tài)性，即：

1.3 零知識(shí)證明Bulletproofs

零知識(shí)證明是指證明者能夠在不向驗(yàn)證者提供任何有用信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。Bulletproofs［22］是一種新的非交互式零知識(shí)證明協(xié)議，具有證明時(shí)間短、不需要可信設(shè)置的特點(diǎn)。從計(jì)算要求上看，該證明系統(tǒng)的性能優(yōu)于zk-SNARKs［23］和zk-STARKs（zero-knowledge Succinct Transparent ARgument of Knowledge）［24］，且在加密貨幣系統(tǒng)中具有實(shí)用性。Bulletproofs 可以證明交易的金額在給定的正區(qū)間內(nèi)，這對(duì)驗(yàn)證交易至關(guān)重要。它依賴于Pedersen承諾來(lái)隱藏秘密輸入并提供計(jì)算完整性檢查。

具體過(guò)程如下：

2 競(jìng)拍方案

在本章中描述了基于區(qū)塊鏈的密封式投標(biāo)拍賣(mài)方案的具體流程。在競(jìng)拍流程中利用Pedersen 承諾方案保護(hù)競(jìng)買(mǎi)人的信息不被泄露，將零知識(shí)范圍證明與承諾機(jī)制結(jié)合，可以在不泄露中標(biāo)者身份信息的情況下進(jìn)行驗(yàn)證，保證中標(biāo)者身份不可偽造和中標(biāo)價(jià)格的正確性，在不泄露隱私的情況下，能夠高效地完成競(jìng)拍任務(wù)。

2.1 競(jìng)拍流程

拍賣(mài)方案總共分為拍賣(mài)準(zhǔn)備階段、任務(wù)發(fā)布階段、競(jìng)標(biāo)階段、公開(kāi)中標(biāo)者承諾階段、證明階段、驗(yàn)證階段和拍賣(mài)完成階段。該方案包含三個(gè)實(shí)體：拍賣(mài)者、競(jìng)買(mǎi)人和拍賣(mài)合約。拍賣(mài)者需要將想要拍賣(mài)的物品信息這個(gè)任務(wù)發(fā)布到區(qū)塊鏈中，因區(qū)塊鏈具有產(chǎn)生新數(shù)據(jù)塊的屬性，待區(qū)塊鏈產(chǎn)生新塊時(shí)，這個(gè)任務(wù)發(fā)布成功。在身份注冊(cè)成功后，競(jìng)買(mǎi)人可以查看區(qū)塊鏈中已有的拍賣(mài)任務(wù)，對(duì)感興趣的任務(wù)進(jìn)行競(jìng)價(jià)。為了保證競(jìng)拍有意義，拍賣(mài)合約將進(jìn)行相應(yīng)的計(jì)算，判斷最低競(jìng)價(jià)的數(shù)量，在競(jìng)買(mǎi)人數(shù)量大于等于2 時(shí)，競(jìng)拍任務(wù)繼續(xù)進(jìn)行。接下來(lái)，各個(gè)競(jìng)買(mǎi)人提交報(bào)價(jià)承諾，最終由拍賣(mài)人公布中標(biāo)者的承諾值。其余競(jìng)買(mǎi)人將會(huì)驗(yàn)證收到的證明記錄，驗(yàn)證通過(guò)后可以結(jié)束拍賣(mài)。拍賣(mài)服務(wù)整體流程如圖1所示。

圖1 拍賣(mài)服務(wù)流程Fig.1 Flowchart of auction service

2.2 競(jìng)拍階段

2.2.1 符號(hào)介紹

2.2.2 拍賣(mài)準(zhǔn)備階段

拍賣(mài)方案包含三個(gè)實(shí)體：拍賣(mài)者、競(jìng)買(mǎi)人、拍賣(mài)合約。各個(gè)參與方在使用拍賣(mài)合約之前，競(jìng)買(mǎi)人和拍賣(mài)者必須進(jìn)行注冊(cè)成為合法用戶才能參與拍賣(mài)。注冊(cè)成功后用戶持有一對(duì)公鑰、私鑰和一個(gè)身份ID，身份ID 將以哈希值Hash（ID）的形式存儲(chǔ)在區(qū)塊鏈中。

算法1 拍賣(mài)準(zhǔn)備階段算法。

2.2.3 任務(wù)發(fā)布階段

拍賣(mài)者使用智能合約賬戶的公鑰對(duì)身份ID 進(jìn)行加密得到E(H(Uid))；

拍賣(mài)方利用智能合約初始化拍賣(mài)狀態(tài)，并提交拍賣(mài)要求。

智能合約根據(jù)其私鑰進(jìn)行解密得到競(jìng)買(mǎi)人的身份信息H(Uid)′并判斷等式H(Uid)=H(Uid)′是否成立，如若成立，則身份驗(yàn)證成功；否則，丟棄該拍賣(mài)任務(wù)。

算法2 任務(wù)發(fā)布階段算法。

2.2.4 競(jìng)標(biāo)環(huán)節(jié)

首先競(jìng)買(mǎi)人Pi需要完成和拍賣(mài)方相同的身份認(rèn)證，僅當(dāng)通過(guò)身份認(rèn)證的競(jìng)買(mǎi)人才能參加競(jìng)拍活動(dòng)。Pi瀏覽已經(jīng)發(fā)布在區(qū)塊鏈中的任務(wù)，在提交承諾截止時(shí)間T3之前，對(duì)自己感興趣的任務(wù)進(jìn)行投標(biāo)，即在區(qū)塊鏈中發(fā)布自己的報(bào)價(jià)承諾：Ci=xiG+riH，每個(gè)競(jìng)買(mǎi)人Pi將xi、ri通過(guò)拍賣(mài)方的公鑰加密后發(fā)送到區(qū)塊鏈上。

智能合約在判定當(dāng)前時(shí)間T小于T3后，判斷在競(jìng)買(mǎi)人Pi有足夠余額的情況下，從Pi賬戶扣除保證金，轉(zhuǎn)入到合約的保證金賬戶中。隨后將競(jìng)買(mǎi)人Pi加入到競(jìng)買(mǎi)人集合中，并將競(jìng)買(mǎi)人的報(bào)價(jià)承諾存儲(chǔ)在區(qū)塊鏈上。完成執(zhí)行上述操作后，Pi投標(biāo)成功。為了保證此次拍賣(mài)活動(dòng)有意義，智能合約會(huì)判斷投標(biāo)人數(shù)num，僅當(dāng)拍賣(mài)活動(dòng)num≥2時(shí)，拍賣(mài)可繼續(xù)進(jìn)行。

算法3 競(jìng)標(biāo)環(huán)節(jié)算法。

2.2.5 公開(kāi)中標(biāo)者承諾階段

拍賣(mài)方在T2時(shí)利用私鑰得到xi'、ri'，重新計(jì)算出承諾值C'，判斷C=C′，若相等則認(rèn)為競(jìng)買(mǎi)者誠(chéng)實(shí)的在區(qū)塊鏈上發(fā)布承諾值。拍賣(mài)方選擇最高報(bào)價(jià)W作為中標(biāo)價(jià)。拍賣(mài)方公布中標(biāo)者承諾CW，而不公布中標(biāo)者的真實(shí)報(bào)價(jià)。

算法4 公開(kāi)中標(biāo)者承諾階段算法。

2.2.6 證明階段

假設(shè)失敗的競(jìng)買(mǎi)人報(bào)價(jià)為L(zhǎng)，承諾為CL，則d=W-L，Cd=CW-CL。如果W＞L，則d＞0。拍賣(mài)方打開(kāi)承諾后，計(jì)算出差價(jià)d，根據(jù)Pedersen 承諾計(jì)算出Cd，發(fā)送給每一個(gè)競(jìng)買(mǎi)人。

算法5 證明階段算法。

2.2.7 驗(yàn)證階段

其余競(jìng)買(mǎi)人作為一個(gè)獨(dú)立的驗(yàn)證者，首先根據(jù)中標(biāo)者的公開(kāi)承諾和自己的承諾計(jì)算，用Cd來(lái)確保他們收到正確的證明記錄。競(jìng)買(mǎi)人利用Cd'=CW-CL，比較Cd是否等于Cd'。若相等，則其余失敗競(jìng)買(mǎi)人可以確認(rèn)拍賣(mài)方發(fā)送給他們的承諾值Cd是正確的。

拍賣(mài)方設(shè)置零知識(shí)范圍證明，證明d位于范圍[0，2n-1]且不會(huì)被泄露，n表示可能的最大出價(jià)的位大小，任何出價(jià)之間的最大可能差為[-(2n-1)，2n-1]。若L＞W(wǎng)，則d＜0 且群大小p足夠大，則負(fù)值d將位于范圍間隔之外。拍賣(mài)者向每個(gè)驗(yàn)證者發(fā)送一份范圍證明記錄，該記錄使驗(yàn)證者使用協(xié)議來(lái)驗(yàn)證以下關(guān)系：

失敗的競(jìng)買(mǎi)人通過(guò)驗(yàn)證出d的范圍從而得知中標(biāo)價(jià)為最高價(jià)。

算法6 驗(yàn)證階段算法。

2.2.8 拍賣(mài)完成階段

智能合約在該階段將所有未中標(biāo)的誠(chéng)實(shí)參與者的保證金返回其賬戶，中標(biāo)者則需支付中標(biāo)與初始保證金F之間的差額。

算法7 拍賣(mài)完成階段算法。

3 方案分析

3.1 安全性分析

本文的拍賣(mài)方案基于區(qū)塊鏈技術(shù)，利用承諾值的區(qū)間驗(yàn)證來(lái)保護(hù)數(shù)據(jù)隱私，而不泄露任何隱私信息，相較于傳統(tǒng)的中心化存儲(chǔ)具有明顯優(yōu)勢(shì)：去中心化的存儲(chǔ)降低了黑客攻擊的風(fēng)險(xiǎn)，也避免了單一節(jié)點(diǎn)失效帶來(lái)的系統(tǒng)數(shù)據(jù)丟失的隱患。本文拍賣(mài)方案能有效滿足電子拍賣(mài)的需求：

1）正確性。拍賣(mài)人在公開(kāi)中標(biāo)者承諾階段選擇最高價(jià)作為中標(biāo)者，保障拍賣(mài)的正確性。

2）公平性。區(qū)塊鏈上所有用戶權(quán)利相等，區(qū)塊鏈上數(shù)據(jù)公開(kāi)透明，所有用戶獲得信息一致。由于拍賣(mài)方發(fā)起拍賣(mài)后需要交納競(jìng)價(jià)保證金F。假設(shè)拍賣(mài)方不誠(chéng)實(shí)，此時(shí)拍賣(mài)方既拿不到競(jìng)價(jià)保證金，也無(wú)法使拍賣(mài)成功進(jìn)行。

3）密封性。對(duì)于拍賣(mài)人A、競(jìng)拍方Pi，在時(shí)間T2前對(duì)其可見(jiàn)的信息只有承諾值、公鑰加密后的密文。競(jìng)買(mǎi)人Pi承諾值的(xi，ri)用拍賣(mài)者公鑰Pi加密后發(fā)送到智能合約賬戶上，對(duì)于拍賣(mài)人A，在時(shí)間T2前對(duì)其可見(jiàn)的信息只有承諾值，所以拍賣(mài)人A不能將競(jìng)買(mǎi)人的(xi，ri)發(fā)送給其他競(jìng)買(mǎi)人，從而避免Pi的承諾值被模仿。

4）不可否認(rèn)性。區(qū)塊鏈所具有的不可篡改性，中標(biāo)者W在競(jìng)標(biāo)成功后不可以對(duì)自己的出價(jià)進(jìn)行否認(rèn)。

5）可驗(yàn)證性。未中標(biāo)用戶可以通過(guò)零知識(shí)證明協(xié)議驗(yàn)證證明階段收到的范圍證明的正確性，保證中標(biāo)價(jià)為最高價(jià)。

6）時(shí)限性。利用智能合約自動(dòng)觸發(fā)的特點(diǎn)，競(jìng)拍承諾提交后只有在T2時(shí)間段才能打開(kāi)。

7）不可偽造性。拍賣(mài)方案開(kāi)始和最終都有一個(gè)身份驗(yàn)證過(guò)程，任何人不能用偽造的身份參與競(jìng)拍活動(dòng)。并且假設(shè)拍賣(mài)人A對(duì)競(jìng)買(mǎi)人Pi是惡意的，聲明競(jìng)買(mǎi)人Pi發(fā)送在智能合約上的密文是無(wú)效的。此時(shí)誠(chéng)實(shí)的競(jìng)買(mǎi)人可以在拍賣(mài)合約上發(fā)出(xi，ri)，拍賣(mài)合約通過(guò)公鑰Pk加密的值如果發(fā)現(xiàn)密文與之前提交的密文相等，將對(duì)拍賣(mài)人進(jìn)行處罰，并將保證金退還給Pi，該懲罰由智能合約執(zhí)行。

3.2 實(shí)驗(yàn)結(jié)果分析

本文使用如表1所示的測(cè)試環(huán)境進(jìn)行測(cè)試。

通過(guò)表2 可看出，競(jìng)拍各個(gè)階段運(yùn)行時(shí)間在毫秒以內(nèi)，運(yùn)行花費(fèi)時(shí)間在可接受范圍內(nèi)，基本不會(huì)對(duì)日常應(yīng)用造成影響。

表1 實(shí)驗(yàn)環(huán)境Tab.1 Experimental environment

表2 不同階段的運(yùn)行時(shí)間 單位：msTab.2 Running times of different stages unit：ms

本文競(jìng)拍方案與其他方案的對(duì)比如表3所示。

表3 方案對(duì)比Tab.3 Scheme comparison

基于fabric 對(duì)本文方案進(jìn)行設(shè)計(jì)實(shí)現(xiàn)，實(shí)驗(yàn)如圖2 所示生成了一份報(bào)價(jià)承諾，圖3 展示了生成的零知識(shí)范圍證明，圖4對(duì)生成的證明驗(yàn)證，并驗(yàn)證成功。實(shí)驗(yàn)結(jié)果表明本文方案是可行的。

圖2 生成報(bào)價(jià)承諾Fig.2 Generating quotation commitment

圖3 生成范圍證明Fig.3 Generating range proof

圖4 驗(yàn)證收到承諾Fig.4 Verifying commitment received

本文設(shè)計(jì)了基于區(qū)塊鏈的密封式投標(biāo)拍賣(mài)方案。相較于傳統(tǒng)密封式投標(biāo)拍賣(mài)，充分地利用區(qū)塊鏈不可篡改、去中心化等特性，有效去除第三方，避免了單點(diǎn)故障和操作的不透明。彭燁等［12］提出的方案所選出的中標(biāo)價(jià)是否的確高于其余競(jìng)拍價(jià)的正確性不可驗(yàn)證；而本文方案可以驗(yàn)證中標(biāo)價(jià)的正確性。程文娟等［8］提出的方案滿足匿名性、保密性和不可偽造性，但其不能公開(kāi)驗(yàn)證成交價(jià)，而是由拍賣(mài)中心計(jì)算和公布。對(duì)比而言，本文方案是由拍賣(mài)方公布中標(biāo)者的承諾，而不公布除承諾以外的信息，利用區(qū)塊鏈保證公布信息的真實(shí)性。

4 結(jié)語(yǔ)

本文提出的基于區(qū)塊鏈的密封式投標(biāo)拍賣(mài)方案，在不泄露隱私的情況下，能夠高效地完成競(jìng)拍任務(wù)。本文方案將零知識(shí)范圍證明與承諾機(jī)制結(jié)合，可以在不泄露中標(biāo)者身份信息的情況下進(jìn)行驗(yàn)證，并通過(guò)數(shù)字貨幣保證金來(lái)提高拍賣(mài)的公平性和約束競(jìng)買(mǎi)人的行為。同時(shí)，借助于區(qū)塊鏈去中心化、不可篡改等特性，有效地去除第三方，避免了單點(diǎn)故障和操作的不透明性，實(shí)現(xiàn)了密封式電子拍賣(mài)協(xié)議要求的正確性、公平性、密封性、不可否認(rèn)性、時(shí)限性以及中標(biāo)者的公開(kāi)可驗(yàn)證性。