CN110135847A - 基于区块链的用于提高电子拍卖安全性的系统及方法 - Google Patents

Abstract

本发明涉及一种基于区块链的用于提高电子拍卖安全性的系统及方法，其中方法包括步骤：S1：预处理得到第二价格集合；步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身供给和需求数据并盲化处理后进行分享；步骤S3：各第一服务器基于分享的数据得到秘密份额；步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建；步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；步骤S6：判断是否满足循环退出条件，若为是，则将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过，反之，则返回步骤S2。与现有技术相比，本发明具有安全性高等优点。

Description

基于区块链的用于提高电子拍卖安全性的系统及方法

技术领域

本发明涉及一种，尤其是涉及一种基于区块链的用于提高电子拍卖安全性的系统及方法。

背景技术

在电子双向拍卖场景中，存在多个买家和卖家。对于要进行交易的商品，每个卖家在每个可能价格上给出他想购买的数量，而每个卖方在每个价格上给出他想卖出的数量。拍卖者汇总所有的出价数据，由他来计算在每个价格上市场的总供给S和总需求D，其必定存在一个价格，使得在这个价格上的总供给数额等于总需求数额，这个价格就是所要交易的每一单位的商品的商场结算价格(Marketing Clearing Price,MCP)。这样所有的交易者都可以在MCP上按照自己的出价数据进行计算。

当前基于安全多方计算的电子双向拍卖协议，参与交易的是一些生产厂商，交易的商品则是生产商与收购公司签订的生产合同，拍卖者的角色由多方的计算共同实现，包括生产厂家协会，收购公司以及项目实施方。每个投标人通过秘密分享方案技术将出价数据秘密分发给三个参与方，通过三方之间的安全计算来完成市场结算价格的计算，同时任何单独一方都无法获得个人出价数据。客户将每个价格上的需求和供给输入基于公私钥对和伪随机数函数实现的非交互VSS方法在三个服务器间进行Shamir秘密分享，服务器得到整条价格链上的总供求数据份额。该方案在价格链上进行二分比较，在价格链上的每一次比较，服务器利用自己的供求数据份额在本地运行比较协议，再将协议结果进行重建，得到比较结果，直到总需求和总供给数据相等，此时的价格就是当前市场结算价格MCP。

由于该方案使用了一个非交互式VSS技术，若任意两个服务器被攻破，则敌手可以获得客户所有的秘密份额，并将其重组,得到客户的所有数据。所以该方案存在较大的安全隐患。此外，在电子双向拍卖协议中，安全比较协议是基础的子协议，也是拍卖协议中比较耗时的子协议，安全比较协议的效率直接影响拍卖协议的效率。当前方案使用的具有对数效率的安全比较协议，无法判定“＝”情况且无法实现公平性，而目前最高效的安全比较协议是具有常数轮效率的。最后，原方案无法保证公平性。目前设计MPC协议时考虑地较多的是安全性和正确性，在现实中运行的协议很难保证公平性，因为协议无法阻止恶意参与者提前终止协议。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于区块链的用于提高电子拍卖安全性的系统及方法。

本发明的目的可以通过以下技术方案来实现：

一种基于区块链的用于提高电子拍卖安全性的系统，包括第二服务器、第三服务器和多个第一服务器，所有服务器之间通过网络连接，所述系统运行时实现以下步骤：

步骤S1：采集第一价格集合，并经过预处理得到第二价格集合；

步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身在该价格下的供给和需求数据，并进行盲化处理后，在所有第一服务器之间分享盲化后的数据；

步骤S3：各第一服务器基于分享的数据得到自身的秘密份额；

步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建；

步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；

步骤S6：判断是否满足循环退出条件，若为是，则执行步骤S7，反之，则返回步骤S2；

步骤S7：将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过。

所述步骤S6中的循环退出条件为：第二价格集合中不存在未处理的价格，或存在任一价格下的总需求和总供给的误差小于设定阈值。

所述步骤S2中，

盲化后的供给为：

其中：y_i为第一服务器I_i的设定价格的供给数据，r_i'为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化供给数据；

盲化后的需求为：

其中：x_i为第一服务器I_i的设定价格的需求数据，r_i为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化需求数据；

第一服务器I_i选择两个随机多项式，秘密值多项式a_i(x)＝α₀+α₁x+α₂x²+...+α_tx^t和辅助值多项式b_i(x)＝β₀+β₁x+β₂x²+...+β_tx^t，其中α₀为秘密值(或)，第一服务器I_i将份额s_i,j＝(a_i(j),b_i(j))秘密发送给其他参与者I_j,j＝1,...n。

所述步骤S3具体包括：

步骤S31：各第一服务器得到设定价格下各第一服务器的盲化需求数据份额或盲化供给数据份额，在本地计算得到该价格盲化总需求或总供给的秘密份额：

其中：为第一服务器I_j计算得到设定价格盲化总需求D^*的秘密份额，为第一服务器I_j计算得到设定价格盲化总供给S^*的秘密份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化需求数据份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化供给数据份额，n为第一服务器的个数，a_i(j)为第一服务器I_i在步骤S2中发送给I_j的秘密份额，b_i(j)为第一服务器I_i在步骤S2中发送给I_j的辅助份额；

其中：C_j'(D)为第一服务器I_j关于的承诺值，C_j'(S)为第一服务器I_j关于的承诺值，ε_j为承诺值C_j'的辅助值，p为n个第一服务器之间协商的一个大素数，满足_p＝2q+1，q也是一个素数，g为的q阶元，h为g生成的子群中的随机元素；

步骤S33：对外广播对或的承诺值。

所述步骤S4中秘密重建过程具体包括以下步骤：

步骤S41：各第一服务器得到广播消息后，将自身承诺值C_j'发送给智能合约，智能合约将C_j'存入其承诺数组Ch[i]，一旦T＞over(2)，CC将没有发送承诺的参与方加入恶意集合F，其中，T为协议运行时间，over(2)为第2轮结束时间；

步骤S42：在第三轮结束时间over(3)第三轮结束时间之前，第一服务器I_i将自己的秘密份额和辅助值发送给其余第一服务器I_j(j＝1,2,...n,j≠i)和第二、第三服务器，如果则说明I_i公布的秘密份额正确，此时若能收集任意t+1个正确秘密份额，不是一般性，则第一、第二和第三服务器各自在本地计算：

其中：t为设定值，h(x)为运用拉格朗日插值法构造的插值多项式，满足h(x_k)＝y_k,k＝1,2,...,t+1，y₁为收集到的第一份秘密份额，y₂为收集到的第二份秘密份额，y_t+1为收集到的第t+1份秘密份额，x₁为提交y₁的第一服务器序列，x₂为提交y₂的第一服务器序列，x_t+1为提交y_t+1的第一服务器序列；

步骤S43：盲化总需求D^*或总供给S^*得到：

D^*＝h(0)或S^*＝h(0)

其中：D^*为盲化总需求，S^*为盲化总供给。

一种基于区块链的电子拍卖信息处理方法，包括以下步骤：

步骤S1：采集第一价格集合，并经过预处理得到第二价格集合；

步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身在该价格下的供给和需求数据，并进行盲化处理后，在所有第一服务器之间分享盲化后的数据；

步骤S3：各第一服务器基于分享的数据得到自身的秘密份额；

步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建；

步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；

步骤S6：判断是否满足循环退出条件，若为是，则执行步骤S7，反之，则返回步骤S2；

步骤S7：将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过。

与现有技术相比，本发明具有以下有益效果：

1)本协议输入时，首先将客户的报价数据进行盲化处，直到数据公平重建之后才恢复盲化数据，只要有一个比较服务器正常运作，即使所有的交易节点都被攻破也不会影响协议的安全性；即使比较服务器全部被腐化，则只会泄漏S和D，此时只要保证没有t+1个加法服务器没有被攻破，单个参与方的出价数据还是安全的，极大地提高了协议的安全性。

2)通过引入区块链，利用以太坊智能合约构建惩罚机制以实现公平性，任何提前终止协议或发送错误份额的参与方都会被智能合约识别并没收全部押金，而诚实参与方不管有没有最终恢复出秘密，都会返还押金并且得到补偿，这使得基于区块链的电子双向拍卖协议的公平性得到了保证，并且只要押金数适当，所有理性的参与方都会选择诚实的执行协议。

3)FEPSTC安全比较协议计算复杂度和通行量均为，且为公平协议，可区分“＝”，通过选用FEPSTC安全比较协议，提高了安全比较的效率，也提高了整个协议的效率和公平性。

附图说明

图1为设计的电子双向拍卖协议总流程图；

图2为公平的秘密重建协议流程图；

图3为安全比较协议FEPSTC流程图；

图4为市场结算价格MCP计算流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本申请提出的基于区块链的公平安全电子双向拍卖协议步骤如下：

首先，每一个参与交易的厂家都作为区块链的一个节点，都是一个加法服务器。而生产厂商协会和收购商分别作为总供给服务器和总需求服务器。协议开始时，所有参与方需要向智能合约缴纳押金，否则协议终止。因为本协议需要得到整条价格链上的总需求和总供给数据，所以对于每一个价格，执行一次数据分发至恢复盲化数据阶段。

数据分发阶段，每个参与方将自己某一价格的供给和需求数据进行盲化处理，然后通过在链下执行Gennaro VSS方案和Pedersen同态承诺方案，在所有参与方中分享盲化后的数据。

数据计算阶段，所有参与方在本地利用得到的秘密份额计算该价格的盲化总供给和需求数据的份额并公布其承诺值。

数据重建阶段，所有参与方和总供给与总需求服务器共同执行一个公平的秘密重建协议，该阶段需要与智能合约进行多轮交互，参与方先链下向其他参与方公布自己的秘密份额，其他参与方验证后，将验证结果反馈给智能合约，由智能合约判定恶意方，最终恶意方押金会被平分给诚实方。该阶段中诚实方只要收集到足够的正确份额即可恢复秘密，如果恢复失败，将得到补偿。

恢复盲化数据阶段，参与者和服务器都得到了盲化的总需求和总供给数据，参与者帮助服务器恢复偏移化的总需求和总供给数据。

安全比较阶段，在价格链上进行二分比较，在价格链上的每一次比较，总供给和总需求服务器执行FEPSTC安全比较协议，直到总需求和总供给数据相等，此时的价格就是当前市场结算价格MCP。

具体的，得到的基于区块链的用于提高电子拍卖安全性的系统，包括第二服务器、第三服务器和多个第一服务器，所有服务器之间通过网络连接，系统运行时实现以下步骤：

步骤S1：采集第一价格集合，并经过预处理得到第二价格集合；

步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身在该价格下的供给和需求数据，并进行盲化处理后，在所有第一服务器之间分享盲化后的数据，其中，盲化后的供给为：

其中：y_i为第一服务器I_i的设定价格的供给数据，r_i'为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化供给数据；

盲化后的需求为：

其中：x_i为第一服务器I_i的设定价格的需求数据，r_i为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化需求数据。

步骤S3：各第一服务器基于分享的数据得到自身的秘密份额，具体包括：

步骤S31：各第一服务器得到设定价格下各第一服务器的盲化需求数据份额或盲化供给数据份额，在本地计算得到该价格盲化总需求或总供给的秘密份额：

其中：为第一服务器I_j计算得到设定价格盲化总需求D^*的秘密份额，为第一服务器I_j计算得到设定价格盲化总供给S^*的秘密份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化需求数据份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化供给数据份额，n为第一服务器的个数，a_i(j)为第一服务器I_i在步骤S2中发送给I_j的秘密份额，b_i(j)为第一服务器I_i在步骤S2中发送给I_j的辅助份额；

其中：C_j'(D)为第一服务器I_j关于的承诺值，C_j'(S)为第一服务器I_j关于的承诺值，ε_j为承诺值C_j'的辅助值，p为n个第一服务器之间协商的一个大素数，满足p＝2q+1，q也是一个素数，g为的q阶元，h为g生成的子群中的随机元素；

步骤S33：对外广播对或的承诺值。

步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建，其中秘密重建过程具体包括以下步骤：

步骤S41：各第一服务器得到广播消息后，将自身承诺值C_j'发送给智能合约，智能合约将C_j'存入其承诺数组Ch[i]，一旦T＞over(2)，CC将没有发送承诺的参与方加入恶意集合F，其中，T为协议运行时间，over(2)为第2轮结束时间；

步骤S42：在第三轮结束时间over(3)第三轮结束时间之前，第一服务器I_i将自己的秘密份额和辅助值发送给其余第一服务器I_j(j＝1,2,...n,j≠i)和第二、第三服务器，如果则说明I_i公布的秘密份额正确，此时若能收集任意t+1个正确秘密份额，不是一般性，则第一、第二和第三服务器各自在本地计算：

其中：t为设定值，h(x)为运用拉格朗日插值法构造的插值多项式，满足h(x_k)＝y_k,k＝1,2,...,t+1，y₁为收集到的第一份秘密份额，y₂为收集到的第二份秘密份额，y_t+1为收集到的第t+1份秘密份额，x₁为提交y₁的第一服务器序列，x₂为提交y₂的第一服务器序列，x_t+1为提交y_t+1的第一服务器序列；

步骤S43：盲化总需求D^*或总供给S^*得到：

D^*＝h(0)或S^*＝h(0)

其中：D^*为盲化总需求，S^*为盲化总供给。

步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；

步骤S6：判断是否满足循环退出条件，若为是，则执行步骤S7，反之，则返回步骤S2；

步骤S7：将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过。

步骤S6中的循环退出条件为：第二价格集合中不存在未处理的价格，或存在任一价格下的总需求和总供给的误差小于设定阈值。

对于安全比较协议FEPSTC

定义R_ij(M)＝MR_i+r_j，其中，M∈Z，随机数R_i∈Z⁺，r_j∈Z，R_i>r_j。

选一个大的素数p，g(g<p)是模p的生成元，选取随机数k与p-1互素。公钥:(p,g,R_max,

R_min|r|_max,|M|_max)，私钥:(k,R_i,r_i)。其中，随机数R_max∈Z⁺,R_min∈Z⁺,|r|_max∈Z⁺,|M|_max∈Z⁺。明文M∈Z并满足

加密：

解密：

详细过程如下：

第一步：Alice选随机数k₁、R₁、r₁、r₂、r₃并保密。Alice加密

Bob选择随机数k₂、R₂、r₄、r₅、r₆并保密。Bob加密0：

Alice和Bob共享公钥：(p,g,R_max,R_min|r|_max,|M|_max)。R_max和R_min是R₁、R₂的上限和下限。

|r|_max、|M|_max是r_j、明文a、b取值的上限

第二步：Alice加密1和a：Bob加密1和b：

Alice和Bob交换

第三步：Alice和Bob计算:

Alice计算：

Bob计算：

第四步：Alice计算：

其中，

Bob计算：

其中

第五步：Alice解密得：

Bob解密得：并交换。

第六步:Alice解密得：

Bob解密得：

第七步：Alice判断：如果或者则a＝b，

如果则a>b；如果则a<b。

Bob对T_a做相同的判断。

对于基于区块链的公平安全电子双向拍卖协议

首先，系统建立

n个参与者为区块链节点，公司和厂商协会同样为节点，并作为总需求服务器DS和总供给服务器SS。设p为n个参与方之间协商的一个大素数，满足p＝2q+1，q也是一个素数，g为的q阶元，h为g生成的子群中的随机元素。

然后，输入阶段

n个客户I₁,...I_n，其中客户I_i的输入为x_iv,y_iv,v＝1,2,...P，P为产品价格的上限。x_iv表示客户I_i在价格v上愿意购入的商品数量，y_iv表示客户I_i在价格v上愿意卖出的商品数量。因为该协议计算价格链上不同价格的总需求和总供给，所以对于不同价格上的数据计算，步骤是独立且相同的，为了简化，我们选取某一价格的供需数据记为x_i，y_i，不同价格上的数据计算重复(一)至(五)步骤。客户I_i选取 且满足r_i+t_i＝r_i'+t_i'＝const，其中const为I_i私下约定的一个常数。令客户I_i将或利用Shamir秘密共享方案将自己的输入分享给其他参与方，并使用Pedersen同态承诺方案来保证秘密份额的验证性。客户I_i选择两个随机多项式，秘密值多项式a(x)＝α₀+α₁x+α₂x²+...+α_tx^t和辅助值多项式b(x)＝β₀+β₁x+β₂x²+...+β_tx^t，其中α₀为秘密值或I_i将份额s_j＝(a(j),b(j))秘密发送给其他参与者I_j,k＝1,...n。同时I_i广播承诺值A_k＝g^a(k)h^b(k)mod p,k＝0,1,...n。

参与者I_j收到自己的份额s_j之后，需要验证自己的份额是否正确，即自己的份额是否与其他人的份额在同一个次数为t的多项式上(称为VSPS性质)。方法如下：

因为f(x)＝α₀+α₁x+α₂x²+...+α_tx^t，有

记为所以

参与方随机选取δ∈[1,n]，A_δ是已公布的承诺，计算

记λ_ji为V^-1的第j行第i列的值，有所以

其中

客户I_j首先将计算得到的A_δ'和之前公布的A_δ进行比较，若相等，则检查自己的份额是否与对应的承诺相匹配，若匹配则认为收到的份额是正确的，如果不匹配，则向分发者重新申请份额。通过这一验证过程，每个参与者都能监督秘密分发者正确分发份额。

安全性分析：通过上述推导过程可以看出，如果分发的份额不在同一个t次多项式上，无法通过VSPS验证，因此可以检测出分发者是否诚实。此外，I_i广播的承诺中与秘密有关的信息仅为A₀＝g^a(0)h^b(0)mod p，没有泄露关于a(0)的任何信息，所以该过程是信息论安全的。

之后，计算阶段

假设参与方I_j拥有通过VSPS验证的α和β的份额a_j和β_j以及对应的辅助值份额ρ_j和σ_j，需要计算γ＝α+β，I_j计算γ_j＝α_j+β_j作为自己加法门所得到的秘密份额，同时公布其对该份额的承诺。

参与者I_j计算得到价格链上经过盲化的总需求D^*或总供给S^*的秘密份额。即

以及或的承诺值：

或

并广播C_j'。

其余参与方可计算若C_j'与之相等，则证明承诺C_j'正确。

接着，输出门

计算阶段结束后，参与者I_i(i＝1,2...n)获得份额(或)以及份额承诺辅助值ε_i。获得的公开信息为对秘密份额(或)的承诺C₀以及对份额的承诺C_j',j＝1,2,...n。

输出阶段借助区块链实现公平重建阶段，只需要检验参与者公布的份额(或)，与其之前公开的承诺C_i'是否匹配，如果匹配，就是正确的份额，只要找到t+1个正确的份额，D^*(或S^*)就能被正确恢复。这里要注意的是，总供给服务器DS和需求服务器SS参与输出重建过程。

接着，恢复盲化数据

参与者I_i将t_i和t_i'分别发送给总需求和总供给服务器。总需求和总供给比较服务器分别计算偏移后的总需求D'和总供给S'：

对于价格链上的每一个价格v＝1，2...P，重复执行(二)至(五)，得到价格链上的偏移化的总需求D_v'和总供给S_v'。

最后，计算结算价格MCP

基于安全比较协议，两个比较服务器在价格链上进行对半查找，他们执行以下的交互计算：

(1)令pl＝1，pr＝P；

(2)计算pm＝[(pr+pl)/2]；

(3)总需求比较服务器提供D_pm'，总供给比较服务器提供S_pm'作为各自输入，两个服务器调用FEPSTC协议安全比较D_pm'和S_pm'。

(4)如果D_pm'＝S_pm'，输出_pm。

如果D_pm'>S_pm'，pl＝pm，转向(2)。

否则，pr＝pm，转向(2)。

对于公平的秘密重建协议

在输出阶段，所有的参与方需要公开自己的份额来恢复秘密，但是恶意参与方在得到别人的秘密份额并成功恢复秘密之后，没有公开自己的份额就提前中止协议，这有可能导致某些诚实的参与方得不到最终的结果，破坏了MPC协议的公平性。所以需要执行公平的秘密重建协议，检测恶意参与方并对其进行惩罚，同时对诚实参与方进行补偿。因为存在经济惩罚机制，理性的参与者不会选择作恶。

公平的秘密重建协议包括本地协议ConLocal(记为CL)和智能合约ConDeposit(记为CD)和ConContract(CC)两份智能合约。CL由参与方执行，规定了参与方的计算操作以及发送给CC的数据，CD和CC则由区块链节点执行，负责保管押金及在秘密重建阶段对参与方行为进行判断。

1、参与方本地协议ConLocal(CL)

Init：协议参与方集合I:＝{I₁,I₂,...I_n}，押金数为$dep，验证数组J_i全为0，当前分享秘密数据序号No，初始值为1。

Deposit：若No＝1，将(Deposit,$dep,I_i)发送给CD。一旦T≥over(0)+2：将(ReadD，I_i)发送给CD；

收到D后:如果D！＝1，得到退还的押金，协议终止。

Compute：一旦T≥over(0)+2：执行MPC协议，对于每个i∈[n]，I_i得到输出结果OUT_i＝(y_i,ε_i,A₀,...A_n)，其中y_i为参与重建的秘密份额，ε_i为秘密份额的承诺辅助值，

Commit：一旦T≥over(1)+2：将(Commit，I_i，A_i)发送给CC；

Open：一旦T≥over(1)+2：将(Verify，I_i，y_i，ε_i)发送给其他参与者I_j(j1i)；

Verify：一旦收到I_j(j1i)的(Verify，y_i，ε_i)：确认T<over(3)，验证是否等于A_j,相等则J_i[j]:＝1；

验证完所有份额后，任取t+1个正确份额恢复秘密，成功则J_i[0]:＝1，并将(Verify，I_i，J_i)发送给CC

Check：一旦T≥over(4)+2：向CC发送(Check,I_i)；

收到U后，如果J[0]＝1，若No＝2P，向CD发送(Pay,I_i),如果押金退还正确，协议终止；否则，No加一，将(Init，No)发送给CL；

如果J[0]！＝1&&J[i]！＝1，向CC发送(ReVerify,I_i，y_i，ε_i)；

ReCheck：一旦T≥over(5)+2：向CC发送(ReCheck,I_i)

收到(U，Sh)后如果J[0]＝1，若此时I_i未恢复秘密，则利用Sh恢复，若No＝2P，说明所有秘密数据恢复成功，向CD发送(Pay,I_i),如果押金退还正确，协议终止；否则，No加一，将(Init，No)发送给CL；

如果J[0]！＝1，一旦T>over(6)+2，向CC发送(RePay，I_i)，如果押金退还正确，协议终止；

2、智能合约ConDeposit(CD)

Init：协议参与方集合I:＝{I₁,I₂,...I_n}，押金标志位D:＝0，押金数为$dep，押金记录数组M为全0，

Deposit：一旦收到I_i的(Deposit,$dep)：确认T<over(0)且Ledger[I_i]>＝$dep；

Ledger[I_i]:＝Ledger[I_i]-$dep，Ledger[ConDeposit]:＝Ledger[ConDeposit]+$dep；

M[i]:＝1；D:＝M[1]&...M[n]；

ReadD：一旦收到I_i的(ReadD)：确认T<over(1)；如果D！＝1，退还押金；返回D；

Pay::一旦收到CD的(Pay，I_i，f)：Ledger[I_i]:＝Ledger[I_i]+$dep+(f·$dep)/(n-f)；

RePay：一旦收到CD的(RePay，I_i，f)：Ledger[I_i]:＝Ledger[I_i]+$dep+(f·$dep)/(n-f)；

3、智能合约ConContract(CC)

Init：协议参与方集合I:＝{I₁,I₂,...I_n}，总需求服务器DS、总供给服务器SS，恶意参与方集合恶意方个数f初始值为0，押金标志位D:＝0，押金数为$dep，押金记录数组M为全0，数组Ch和Sh分别用来计算参与方公布的承诺和份额，当前分享秘密数据序号No，初始值为1。

Commit：一旦收到I_i的(Commit，A_i)：确定T<over(2)，记录I_i触发动作，Ch[i]:＝A_i；

一旦T>over(2)：将没有触发Commit的参与方加入F；

Verify：一旦收到来自I_i的(Verify，J_i)：确认T<over(4)，记录I_i的触发动作，J:＝J&J_i；

一旦T>over(4)：将没有触发Verify的参与者加入F

Check:收到I_i的(Check):U:＝(J,F)，返回U；

ReVerify：一旦收到I_i的(ReVerify，y_i，r_i)：确认T<over(5)，如果J[0]！＝1&&J[i]！＝1，验证是否等于A_i，相等则Sh[i]:＝(y_i,ε_i)，J[i]:＝1；

一旦T≥over(5)，检查是否已有足够份额恢复秘密数据

ReCheck:收到I_i的(ReCheck):将份额没有通过验证的参与方加入F，若Sh已有足够份额恢复秘密数据，J[0]:＝1,U:＝(J,F)，返回(U，Sh)；

Pay:一旦收到I_i的(Pay)：如果J[0]＝1&&No＝2P，且I_i∈I-F，返还押金和补偿金，向CD发送(Pay，I_i，f)。

RePay：一旦T>over(6)：F:＝F∪{I_i|i∈[1,n]&&J[i]！＝1}；

一旦收到I_i的(RePay)，如果I_i∈I-F，向CD发送(RePay，I_i，f)；

本实施例中，公平的秘密重建协议分为准备阶段、承诺与验证阶段、检查和再检查阶段。如果双向电子拍卖协议正确执行，则将经历2P次承诺与验证阶段。

1、准备阶段

参与节点向CD提交押金(Deposit)，记over(ρ)为第ρ轮的结束时间。参与方在over(0)之前缴纳押金，当CD检测到所有人都缴纳押金之后，置标志位D为1.一旦T>over(0)，CD不再接受押金，如果此时D！＝1则将押金退还，协议终止，否则协议继续。押金的缴纳只发生在分享第一个秘密数据时。

2、承诺与链下验证阶段

各参与者在链下执行MPC计算(Compute)，得到各自的输出，参与者I_i在over(2)之前向CC提交自己的输出份额的承诺A_i(Commit)，CC将A_i存入Ch[i]。一旦T>over(2)，CC将没有发送承诺的参与方加入恶意集合F。在over(3)之前，参与方I_i将自己的秘密份额y_i以及承诺辅助值ε_i发送给其余参与I_j(j＝1,2,...n,j1i)(Open)。I_j使用一个验证数组J_j来记录自己对其他参与方份额的验证结果，验证完所有份额后，如果能够成功恢复秘密，则J_j[0]:＝1。I_j在over(4)之前将验证数组J_j发给CC(Verify)。CC将收到的所有验证数组逐位相与，得到状态数组J，一旦T>over(4)，将没有提交验证数组的参与方加入恶意集合F中。

3、检查阶段

参与者I_i向CC查询(J,F)(Check),如果J[0]＝1，说明协议公平执行，所有参与方都成功恢复了秘密。此时若No＝2P，说明所有秘密数据都已成功恢复，协议执行成功，I_i向CC发出退款请求(Pay)，CD将退款和补偿金返还，协议终止；否则No加一，重复执行本地协议CL。

4、再检查阶段

如果J[0]＝0，说明存在参与方没有成功恢复序号No的秘密数据，I_i需要在over(5)之前向CC发送重新验证请求(ReVerify)，将自己的份额提交给CC。CC从Ch[i]中提取出A_i进行验证，若通过则将份额存入Sh[i],J[i]:＝1。当T≥over(5)+2之后，I_i向CC发送再次检查请求(ReCheck)，CC检查当前份额数组Sh是否足够恢复秘密，是则J[0]:＝1，然后将(U，Sh)返回。如果J[0]＝1且I_i之前未恢复秘密，则可以使用Sh恢复，此时若No＝2P，说明所有秘密数据都已成功恢复，协议执行成功，I_i向CC发出退款请求(Pay)，CC将退款和补偿金返还，协议终止；否则No加一，重复执行本地协议CL。如果J[0]＝0，秘密恢复失败，T>over(6)+2后，I_i向CC发出退款请求(RePay)，如果押金退还正确，协议终止。

Claims (10)

1.一种基于区块链的用于提高电子拍卖安全性的系统，其特征在于，包括第二服务器、第三服务器和多个第一服务器，所有服务器之间通过网络连接，所述系统运行时实现以下步骤：

步骤S1：采集第一价格集合，并经过预处理得到第二价格集合；

步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身在该价格下的供给和需求数据，并进行盲化处理后，在所有第一服务器之间分享盲化后的数据；

步骤S3：各第一服务器基于分享的数据得到自身的秘密份额；

步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建；

步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；

步骤S6：判断是否满足循环退出条件，若为是，则执行步骤S7，反之，则返回步骤S2；

步骤S7：将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过。

2.根据权利要求1所述的一种基于区块链的用于提高电子拍卖安全性的系统，其特征在于，所述步骤S6中的循环退出条件为：第二价格集合中不存在未处理的价格，或存在任一价格下的总需求和总供给的误差小于设定阈值。

3.根据权利要求1所述的一种基于区块链的用于提高电子拍卖安全性的系统，其特征在于，所述步骤S2中，

盲化后的供给为：

其中：y_i为第一服务器I_i的设定价格的供给数据，r_i'为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化供给数据；

盲化后的需求为：

其中：x_i为第一服务器I_i的设定价格的需求数据，r_i为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化需求数据。

4.根据权利要求1所述的一种基于区块链的用于提高电子拍卖安全性的系统，其特征在于，所述步骤S3具体包括：

步骤S31：各第一服务器得到设定价格下各第一服务器的盲化需求数据份额或盲化供给数据份额，在本地计算得到该价格盲化总需求或总供给的秘密份额：

其中：为第一服务器I_j计算得到设定价格盲化总需求D^*的秘密份额，为第一服务器I_j计算得到设定价格盲化总供给S^*的秘密份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化需求数据份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化供给数据份额，n为第一服务器的个数，a_i(j)为第一服务器I_i在步骤S2中发送给I_j的秘密份额，b_i(j)为第一服务器I_i在步骤S2中发送给I_j的辅助份额；

步骤S32：各第一服务器计算或的承诺值：

其中：C_j'(D)为第一服务器I_j关于的承诺值，C_j'(S)为第一服务器I_j关于的承诺值，ε_j为承诺值C_j'的辅助值，p为n个第一服务器之间协商的一个大素数，满足p＝2q+1，q也是一个素数，g为的q阶元，h为g生成的子群中的随机元素；

步骤S33：对外广播对或的承诺值。

5.根据权利要求1所述的一种基于区块链的用于提高电子拍卖安全性的系统，其特征在于，所述步骤S4中秘密重建过程具体包括以下步骤：

步骤S41：各第一服务器得到广播消息后，将自身承诺值C_j'发送给智能合约，智能合约将C_j'存入其承诺数组Ch[i]，一旦T＞over(2)，CC将没有发送承诺的参与方加入恶意集合F，其中，T为协议运行时间，over(2)为第2轮结束时间；

步骤S42：在第三轮结束时间over(3)第三轮结束时间之前，第一服务器I_i将自己的秘密份额和辅助值发送给其余第一服务器I_j(j＝1,2,...n,j≠i)和第二、第三服务器，如果则说明I_i公布的秘密份额正确，此时若能收集任意t+1个正确秘密份额，不是一般性，则第一、第二和第三服务器各自在本地计算：

其中：t为设定值，h(x)为运用拉格朗日插值法构造的插值多项式，满足h(x_k)＝y_k,k＝1,2,...,t+1，y₁为收集到的第一份秘密份额，y₂为收集到的第二份秘密份额，y_t+1为收集到的第t+1份秘密份额，x₁为提交y₁的第一服务器序列，x₂为提交y₂的第一服务器序列，x_t+1为提交y_t+1的第一服务器序列；

步骤S43：盲化总需求D^*或总供给S^*得到：

D^*＝h(0)或S^*＝h(0)

其中：D^*为盲化总需求，S^*为盲化总供给。

6.一种基于区块链的电子拍卖信息处理方法，其特征在于，包括以下步骤：

步骤S1：采集第一价格集合，并经过预处理得到第二价格集合；

步骤S2：在第二价格集合中选择一个未处理的价格，每个第一服务器生成自身在该价格下的供给和需求数据，并进行盲化处理后，在所有第一服务器之间分享盲化后的数据；

步骤S3：各第一服务器基于分享的数据得到自身的秘密份额；

步骤S4：各第一服务器，与第二服务器和第三服务器之间基于秘密份额进行数据验证及重建；

步骤S5：第二服务器和第三服务器分别得到总需求和总供给，并进行恢复盲化处理；

步骤S6：判断是否满足循环退出条件，若为是，则执行步骤S7，反之，则返回步骤S2；

步骤S7：将对应总需求和总供给最接近的价格确定为最终的价格，并用于控制交易中止或通过。

7.根据权利要求6所述的一种基于区块链的电子拍卖信息处理方法，其特征在于，所述步骤S6中的循环退出条件为：第二价格集合中不存在未处理的价格，或存在任一价格下的总需求和总供给的误差小于设定阈值。

8.根据权利要求6所述的一种基于区块链的电子拍卖信息处理方法，其特征在于，所述步骤S2中，

盲化后的供给为：

其中：y_i为第一服务器I_i的设定价格的供给数据，r_i'为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化供给数据；

盲化后的需求为：

其中：x_i为第一服务器I_i的设定价格的需求数据，r_i为第一服务器I_i的设定价格的盲化参数，为第一服务器I_i的某一价格的盲化需求数据。

9.根据权利要求6所述的一种基于区块链的电子拍卖信息处理方法，其特征在于，所述步骤S3具体包括：

步骤S31：各第一服务器得到设定价格下各第一服务器的盲化需求数据份额或盲化供给数据份额，在本地计算得到该价格盲化总需求或总供给的秘密份额：

其中：为第一服务器I_j计算得到设定价格盲化总需求D*的秘密份额，为第一服务器I_j计算得到设定价格盲化总供给S^*的秘密份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化需求数据份额，为第一服务器I_j得到设定价格第一服务器I_i(i＝1,2,...n)的盲化供给数据份额，n为第一服务器的个数，a_i(j)为第一服务器I_i在步骤S2中发送给I_j的秘密份额，b_i(j)为第一服务器I_i在步骤S2中发送给I_j的辅助份额；

步骤S32：各第一服务器计算或的承诺值：

其中：C_j'(D)为第一服务器I_j关于的承诺值，C_j'(S)为第一服务器I_j关于的承诺值，ε_j为承诺值C_j'的辅助值，p为n个第一服务器之间协商的一个大素数，满足p＝2q+1，q也是一个素数，g为的q阶元，h为g生成的子群中的随机元素；

步骤S33：对外广播对或的承诺值。

10.根据权利要求6所述的一种基于区块链的电子拍卖信息处理方法，其特征在于，所述步骤S4中秘密重建过程具体包括以下步骤：

步骤S41：各第一服务器得到广播消息后，将自身承诺值C_j'发送给智能合约，智能合约将C_j'存入其承诺数组Ch[i]，一旦T＞over(2)，CC将没有发送承诺的参与方加入恶意集合F，其中，T为协议运行时间，over(2)为第2轮结束时间；

步骤S42：在第三轮结束时间over(3)第三轮结束时间之前，第一服务器I_i将自己的秘密份额和辅助值发送给其余第一服务器I_j(j＝1,2,...n,j≠i)和第二、第三服务器，如果则说明I_i公布的秘密份额正确，此时若能收集任意t+1个正确秘密份额，不是一般性，则第一、第二和第三服务器各自在本地计算：

其中：t为设定值，h(x)为运用拉格朗日插值法构造的插值多项式，满足h(x_k)＝y_k,k＝1,2,...,t+1，y₁为收集到的第一份秘密份额，y₂为收集到的第二份秘密份额，y_t+1为收集到的第t+1份秘密份额，x₁为提交y₁的第一服务器序列，x₂为提交y₂的第一服务器序列，x_t+1为提交y_t+1的第一服务器序列；

步骤S43：盲化总需求D^*或总供给S^*得到：

D^*＝h(0)或S^*＝h(0)

其中：D^*为盲化总需求，S^*为盲化总供给。