CN113962714A - 一种基于以太坊隐私保护的拍卖追溯方法及实现系统 - Google Patents

Abstract

本发明公开一种基于以太坊隐私保护的拍卖追溯方法及实现系统，包括链下拍卖分配层和链上追溯示证层，基于秘密分享和承诺进行用户注册，实现链上链下信息隐私保护，同时允许在争议阶段对违规用户的追溯；针对恶意用户违规行为及拍卖方合谋行为，通过争议处理实现隐私保护条件下的违规行为追溯和惩罚；本发明减少用户与拍卖方之间的交互；不同于完全依赖于区块链智能合约的拍卖方案，本发明保证拍卖中的标值隐私保护，以及众包、频谱等特殊拍卖环境中地理位置等隐私信息保护。

Description

一种基于以太坊隐私保护的拍卖追溯方法及实现系统

技术领域

本发明属于区块链技术，具体涉及一种基于以太坊隐私保护的拍卖追溯方法 及实现系统。

背景技术

拍卖的真实性需求促使用户(卖家或买家)以对物品的真实估值作为自己的出价，即竞拍信息中的标值。然而，真实估值信息属于用户私人信息，可能与用户 的实际经济状况相关，并可能反应用户赢得拍卖物品所能获得的利润。如果历史 标值信息泄露，恶意拍卖方可能利用历史标值操纵拍卖，增加自身收益；竞拍者 可能更改自己出价以获得更大利润，从而违背拍卖真实性。缺乏标值隐私保护的 拍卖系统可能会影响用户参与度。

另一方面，如果没有拍卖公平性的保证，恶意用户可能中途退出拍卖，以避 免不满意的支付款，从而造成诚实用户损失和拍卖系统资源浪费。此外，缺乏公 平性保证会导致拍卖结果执行困境，即互不信任的买卖双方可能会拒绝先交付拍 卖品或拍卖款，阻碍拍卖市场出清。因此为了保证拍卖公平性，需要实现用户行 为的不可抵赖和可信的追溯示证。

基于单拍卖中心的标值隐私保护完全依赖于可信的拍卖中心，易出现单点故 障；这类系统一般采用加密实现隐私保护，但在加密信息的基础上确定拍卖结果 难度大，且拍卖计算复杂、开销大。目前多数拍卖方案采用拍卖中心与拍卖代理 两方安全计算代替单拍卖中心，一般基于半诚实假设，即拍卖中心和拍卖代理不 存在合谋，但会在协议运行过程中通过收集到的信息推测用户隐私信息。拍卖中 心和拍卖代理严格遵从拍卖协议执行操作，但如果拍卖方(拍卖中心或拍卖代理) 违背拍卖协议规范，如合谋或确定非法的获胜者，则无法保证用户隐私或拍卖公 平性。

区块链作为一个分布式可靠系统，通过共识机制解决了无中心化信任问题。 区块链智能合约一经部署，便根据合约触发条件自动执行，排除人为操作因素。 借助区块链技术，可以很好地解决基于单个或多个拍卖方的拍卖方案中存在的缺 陷。通过基于区块链的激励机制，促使拍卖方诚实地按照拍卖协议规范执行，如 果发现违背协议的操作，则由智能合约自动执行惩罚措施。

但是区块链本身的公开透明性与拍卖标值隐私保护需求存在对立性。且由于 智能合约运行成本问题和区块链性能问题，区块链智能合约不适合大规模复杂运 算，所以完全依赖区块链智能合约实现标值隐私保护的拍卖存在很大难度；而标 值隐私保护的拍卖系统中用户中标后抵赖可能性增加，增加追溯示证困难。

目前针对电子拍卖中应用广泛的双向拍卖，还没有方案完全实现隐私保护的 双向拍卖中的不可抵赖和追溯问题，包括竞标成功者(包括卖家和买家)不可否认 其出价(标值)、不可拒绝拍卖结果的完成和交付；拍卖方不可否认获胜者的有效 竞拍标值、不可违背拍卖协议操作。针对以上问题，本方案提出基于区块链的追 溯方法，并且结合违规惩罚和合规奖励双向的激励机制促使用户按照拍卖协议规 范执行，保证系统的正常运行。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于以 太坊隐私保护的拍卖追溯方法及实现系统。

技术方案：本发明的一种基于以太坊隐私保护的拍卖追溯方法，包括准备阶 段、拍卖阶段和争议阶段；

所述准备阶段包括：

初始化，即：初始化并公布系统参数

PK_ABRs、

和

依次为市场监督部门ABRs、拍卖方

和拍卖方

的 公钥，H:

市场监督部门ABRs产生交易Tr_Init发布智能合约 SC_Tracing，交易Tr_Init的数据区域包含智能合约代码；每条交易包含发出者地 址、接收者地址、数据等信息，接收方地址为空触发创建合约；G为q阶的循环 群，生成元P、Q∈G；

开始拍卖，即：市场监督部门ABRs产生交易Tr_Start开始拍卖，通过交易 Tr_Start的数据区域触发调用智能合约中的开始拍卖功能，交易Tr_Start的数据 区域包括待拍卖物品、竞价范围[min,max]和用户最低保证金D_u和拍卖方质押 D_A；开始本次拍卖计时Timer，等待用户注册；D_u>>max；

用户注册，即：用户在时间T_finishRegistration内向智能合约注册；然后向 智能合约提交出价承诺并作质押；为了节约时间和成本开销，用户注册和出价承 诺在同一交易中完成，且在时间T_finishRegistration前提交；此处用户U_i包括卖 家

和买家

所述拍卖阶段包括：

用户竞拍，即：竞拍截止时间T_finishBidding前，用户向拍卖方揭示竞拍信 息ran₁,ran₂用于验证出价承诺；此处，拍卖方A包括拍卖中心

和拍卖代理

拍卖分配，即：竞拍截止时间T_finishBidding后，拍卖中心和拍卖代理开始 执行拍卖过程；首先对接收到的用户竞拍信息进行批量签名验证，即验证等式 Σ_i(s_i)·G＝Σ_i(R_i)+Σ_i(c_i·PK_i)是否成立；

U分别表示卖家、买家和用户(此处不 区分卖家买家)，i表示用户i；PK_i是指用户i的公钥；(R_i，s_i)是用户i的Schnorr 签名，c_i是签名产生和验证中的一个参数；

如果成立，则根据链上信息和ran₁,ran₂对用户出价进行验证，即验证等式

和

和

分别是用户的出价承诺，此处出价验证均是以卖家为例： V_m表示卖家的标值(买家的标值则为Bn；)，

和

是卖家

的出价 承诺，因为拍卖过程基于两方安全计算，卖家对出价/标值做秘密分享产生两个 秘密份额，并分别做承诺，拍卖方

和

分别对一个秘密份额进行操作；

如果成立，则对通过签名和承诺验证的竞拍用户，通过秘密分享数据安全操 作、安全比较和安全排序等操作，确定获胜者和成交价；

结果提交、在时间T_finishAuction前，拍卖中心

和拍卖代理

分别把拍 卖结果

发布到区块链，交易数据区域包含获胜卖家、 买家公钥和成交价秘密份额；

结果公布智能合约根据拍卖中心

和拍卖代理

提交的结果和链上信息， 确定获胜者身份和成交价格：

其中，

和

分别表示获胜买家和卖家的身份，ω表示某个获胜者， P^b,P^s分别表示买家和卖家成交价；

是基于两方安全计算拍卖方

和

分别得到的成交价结果(成交价秘密份额)；

如果时间T_finishAuction之后未收到拍卖结果，则没收拍卖中心

和拍卖代理

质押，并将其平均分给用户并退还用户质押，结束拍卖并宣布此次拍卖失 败；

所述争议阶段包括：

争议提交，即：在公布拍卖结果后且时间T_finishQuestioning之前用户向区 块链智能合约提交异议声明，Tr_Dispute＝(Addr_U_i,Addr_SC,Data,Gas)；

Addr_U_i、Addr_SC、Data和Gas分别表示交易Tr_Dispute的发送者地址、 接收者地址、数据区域和这个交易允许消耗的最大Gas数量；建议去掉所有交易 中的Gas参数，因为对本方案没有具体影响。Data包含的信息是触发智能合约 相应功能的参数；

其中，

U分别表示卖家、买家和用户(此处不区分卖家买 家)，分别用

B_n,U_i表示第m个卖家、第n个买家和第i个用户；

Data包括异议类型type(questioningResult/nonPaying/nonDelivering)、出价承 诺验证参数，三种异议类型中的后两种异议则提交未支付/交付用户公钥和证明 proo；

智能合约处理和结果示证，即：智能合约根据提交的异议声明、链上信息或 拍卖中心和拍卖代理提交证明信息，自动执行争议处理；并对处理结果进行公布 示证。

本发明基于秘密分享和承诺进行用户注册，实现链上链下信息隐私保护，同 时允许在争议阶段对违规用户的追溯；针对恶意用户拒不执行拍卖结果和改变标 值等违规行为及拍卖方合谋行为，通过争议处理方法实现隐私保护条件下的违规 行为追溯和惩罚；本发明减少用户与拍卖方之间的交互、保证拍卖中的标值隐私 保护，以及众包、频谱等特殊拍卖环境中地理位置等隐私信息保护。

进一步地，所述初始化阶段中市场监督部门发布智能合约SC_Tracing，即产 生交易Tr_Init(Addr_ABRs,Blank,Data,Gas)；其中接收方地址为空，触发创建合 约，数据区域包含合约代码；

智能合约部署成功后，定义该智能合约使用的数据结构，包括卖家列表 List_Sellers、买家列表List_Buyers、承诺列表List_Commitments、获胜者列表 (Winners_Seller、Winners_Buyer)、成交价格(Price_Seller、Price_Buyer)，以及一 组计时器承诺截止时间T_finishRegistration、竞拍截止时间T_finishBidding、结 果提交截止时间T_finishAuction、异议提交截止时间T_finishQuestioning、拍卖结 束时间T_closeAuction；该智能合约功能包括：开始拍卖、用户注册、争议处理、 质押、惩罚、赎回。

进一步地，所述卖家

的用户注册的具体内容如下：

(1)、产生出价信息并对出价做秘密分享：选择随机数

计算拍 卖方A的两个对应秘密份额：

然后产生卖家私钥

计算相应公钥

(2)、对出价做承诺：选择随机数

计算

(3)、把用户身份信息

用市场监督部门公钥PK_ABRs,加密，

把出价份额分别用拍卖方密钥加密，

(4)、产生交易

Data包括用户身份

公钥

出价承诺

和出价份额

买家

进行步骤(1)至(4)产生交易

(5)、用户注册信息上链后，如果当前时间Timer小于T_finishRegistration， 则触发用户注册功能，首先检查质押金额是否符合要求Deposit≥Du，以及用户 账户余额是否能支付质押ledger[U_i]≥Deposit，是则从用户账户ledger[U_i]转账 Deposit到质押金池DepositPool[U_i]，并存储用户身份和公钥到相应用户列表、 存储出价承诺和秘密份额；否则用户注册失败。

进一步地，所述拍卖分配过程中通过秘密分享数据安全操作、安全比较和安 全排序操作，

对买家/卖家分别按标值非递增/非递减进行排序，确定

K＝arg max_k≤min(M,N)(B_k≥V_kand B_k≠B_k-1)；

B_k和V_k分别表示买家和卖家的标值，分配过程中首先把所有卖家标值进行 非降排序，所有买家标值进行非升排序；B_k、B_k-1表示排序后第k和k-1个买家 标值，V_k表示第k的卖家标值；

前K-1个卖家和买家即为获胜者，买家和卖家需支付的金额分别为P^b＝B_K， P^s＝V_K。

最终确定获胜者和成交价。

进一步地，所述结果提交具体过程为：

拍卖中心

和拍卖代理

在时间T_finishAuction前分别把拍卖结果发布到 区块链：

W_b、ω表示获胜买家数和获胜的第ω个买家。

进一步地，所述争议处理的具体内容包括：

(1)、如果用户争议信息Tr_Dispute上链时间Timer小于T_finishQuestioning，则触发争议处理功能DisputeResolution；

(2)、争议处理过程首先根据交易中的Data信息判断争议类型type，如果是questioningResult则执行步骤(3)；如果是nonPaying/nonDelivering则执行步骤(10)；

(3)、根据用户异议声明中提交的承诺参数ran₁，ran₂，

和

来计算用户承诺

(4)、根据用户公钥

来查找用户承诺表，确定注册阶段的用户承诺

比较步骤(3)所得运算结果与注册阶段的出价承诺是否一致；

(5)、如果不一致，说明用户更改出价，则调用惩罚功能Punishment，对用 户更改出价这一违规行为进行惩罚

即如果用户存在更改标 值行为，没收该用户的γ₁押金；跳到步骤(11)；

(6)、如果一致，说明用户遵循拍卖协议未更改标值，要求拍卖中心和拍卖 代理提交拍卖分配和定价合规性证明：V_m表示卖家

的标值，B_i表示买家的标 值；

即证明卖家出价在出价范围内且不大于成交价，或买家出价在出价范围内且 不小于成交价；

(7)、验证拍卖方证明ZKP.Verify(proof)，如果通过验证，即拍卖方行为合规， 提交争议的用户对争议处理过程开销负责，即没收用户U_i质押金γ₂， Punishment(U_i,γ₂)，跳到步骤(11)；

(9)如果拍卖中心和拍卖代理提交的证明有误，即拍卖方分配和定价过程中 未遵循拍卖协议规范，存在违规行为或合谋，则对拍卖方进行惩罚没收全部质押，

结束异议处理并宣告拍卖失败，跳到 步骤(11)；

(10)验证用户提交的证明，如果确定买家未支付拍卖款/卖家未交付拍卖品， 则从用户U_j质押中支付拍卖款给用户U_i，并惩罚违规用户U_j，没收质押γ₃， Punishment(U_j,γ₃)；若用户不能证明确实买家未支付拍卖款/卖家未交付拍卖品， 提交争议用户对争议处理开销负责，Punishment(U_i,γ₄)；

(11)争议处理结果经过共识之后上链，市场监督部门ABRs根据处理结果确 定违规用户匿名身份，并使用私钥获得违规用户真实身份

以对违规用户进行处理；

若超过提出异议时间限制，智能合约自动退还质押并把惩罚池内代币分给合 规用户，结束拍卖。

本发明还公开一种实现基于以太坊隐私保护的拍卖追溯方法的系统，包括用 户U_i、拍卖方A、以太坊节点和市场监督部门ABRs；其中，用户U_i包括卖家

和买家

拍卖方A包括拍卖中心

和拍卖代理

市场监督部门发布智能合 约，并开始拍卖；买家和卖家在规定时间内向合约注册并做出价承诺和质押，拍 卖方向智能合约质押，然后卖家和买家向拍卖方提交竞拍信息，拍卖方需从链上 获取部分竞拍信息，如出价承诺；拍卖方基于两方安全计算进行拍卖分配，并提 交结果给智能合约；智能合约公布拍卖结果；买家或卖家提交对拍卖结果的争议 或拍卖结果执行的争议，智能合约自动化处理争议并公示处理结果。

有益效果：本发明与现有技术相比具有以下优点：

(1)、本发明结合密码学与区块链提出一种链上链下双层结构的隐私保护拍 卖追溯系统；不同于现有采用可信计算模块的方案中，用户与可信计算模块之间 需要挑战-应答来保证可信计算模块的安全性，本发明减少用户与拍卖方之间的 交互；

(2)、不同于完全依赖于区块链智能合约的现有方案，本发明保证拍卖中的 标值隐私保护，以及众包、频谱拍卖中地理位置等信息的隐私保护。

(3)、本发明基于加密、秘密分享、承诺和签名等技术，实现轻量级隐私保 护拍卖追溯，在增加较少链上操作与额外通信开销的基础上，实现基于区块链的 可信追溯示证，解决了隐私保护拍卖中匿名性和可追溯之间的矛盾、隐私保护和 不可抵赖性之间的矛盾；相较于基于同态加密的隐私保护拍卖方案，或完全依赖 于区块链智能合约未实现隐私保护的拍卖方案，优势明显。

(4)、本发明结合区块链技术，借助区块链的可信透明性和智能合约的自动 化执行，实现不依赖于可信第三方的争议处理、违规惩罚和合规奖励。同时实现 相关市场监督管理部门对违规用户身份的追溯，为进一步管理操作提供可靠的链 上证据依据。

附图说明

图1为本发明的系统模型示意图；

图2为本发明的实体交互时序示意图；

图3为本发明的注册协议图；

图4为本实施例的争议处理流程示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述 实施例。

实施例1：

如图1所示，本实施例的基于以太坊隐私保护的拍卖追溯方法的系统，涉及 以下实体：以太坊Peer节点，用户(卖家和买家)，拍卖方(拍卖中心和拍卖代理)， 市场监督部门；包括三个阶段：准备阶段、拍卖阶段和争议阶段，其中准备阶段 包括初始化、开始拍卖和用户注册；拍卖阶段包括用户竞拍、拍卖分配、结果提 交和结果公布；争议阶段包括争议提交、智能合约处理和结果示证。

上述各阶段实体之间交互过程如图2所示。

本实施例以频谱拍卖应用场景为例，频谱拍卖的买家竞拍信息除身份和标值 外，还包括位置信息和使用半径。

针对频谱拍卖，具体阐述本实施例三个阶段中各个步骤。

步骤1：初始化，包括系统参数初始化和智能合约发布

产生q阶的循环群G，然后选择生成元P∈G；选择哈希函数H:

公 布系统公共参数

市场监督部门产生交易Tr_Init(Addr_ABRs,Blank,Data,Gas)发布智能合约 SC_Tracing，数据区域包含合约代码。合约部署成功后，定义合约使用的数据结 构：卖家列表List_Sellers、买家列表List_Buyers、承诺列表List_Commitments、 获胜者列表(Winners_Seller、Winners_Buyer)、成交价格(Price_Seller、Price_Buyer)， 以及一组计时器承诺截止时间T_finishRegistration、竞拍截止时间T_finishBidding、 结果提交截止时间T_finishAuction、异议提交截止时间T_finishQuestioning、拍卖 结束时间T_closeAuction。

步骤2：开始拍卖

市场监督部门产生交易Tr_Start(Addr_A,Addr_SC,Data,Gas)，公布待拍卖频谱、竞价范围[min,max]和用户最低保证金额度Du(Du≥max)及拍卖中心和拍卖 代理质押额度D_A。智能合约初始化各列表和计时器，开始计时器Timer，扣除拍 卖中心和拍卖代理质押D_A(即执行两笔交易，从拍卖中心

和拍卖代理

账户 分别转账D_A到质押金池

和

等待用户注册。

步骤3：用户注册

以卖家为例，

在承诺截止时间T_finishRegistration前，向智能合约注册、 提交出价承诺并作质押：

(1)产生私钥

计算相应公钥

产生出价信息并对出价做 秘密分享：选择随机数

计算秘密份额

(2)对出价做承诺：选择随机数

计算

(3)把身份信息用市场监督部门公钥加密，

把出价份 额分别用拍卖方密钥加密，

(4)产生交易

Data包括用户身份

公钥

出价承诺

和出价份额

买家

进行同样操作，产生交易

(5)用户注册信息上链后，如果当前时间Timer小于T_finishRegistration，则 触发用户注册功能，首先检查质押金额是否符合要求Deposit≥Du，以及用户账 户余额是否能支付质押ledger[U_i]≥Deposit，是则从用户账户ledger[U_i]转账 Deposit到质押金池DepositPool[U_i]，并存储用户身份和公钥到相应用户列表、 存储出价承诺和秘密份额；否则用户注册失败。

步骤4：在竞拍截止时间T_finishBidding前，用户向拍卖方揭示ran₁,ran₂用 于出价承诺验证。以买家为例:

(1)产生竞拍信息

(2)选择随机数

计算：

(3)对

和

签名：选择随机数

计算：

R₁＝r₁·G,R₂＝r₂·G

发送

给拍 卖中心

和拍卖代理

步骤5：竞拍截止时间T_finishBidding后，拍卖中心和拍卖代理开始执行拍 卖过程。

①首先对接收到的用户竞拍信息进行批量签名验证

Σ_i(s_i)·G＝Σ_i(R_i)+Σ_i(c_i·PK_i)

如果有Num个签名，则节省Num-1次点乘运算。

②签名验证通过之后，拍卖中心

和拍卖代理

根据链上信息和ran₁,ran₂对用户出价进行验证：

③对通过签名和承诺验证的竞拍用户，通过秘密分享数据安全操作、安全比 较和安全排序，对买家进行分组，确定

K＝arg max_k≤min(T,N)(GB_k≥V_kand GB_k≠GB_k-1)

前K-1个卖家和买家组为获胜者，买家组和卖家需支付的金额分别为P^b＝B_K， P^s＝V_K。然后剔除买家组内出价过低不足以支付成交价的用户，剩余买家为获 胜者。

步骤6：拍卖中心

和拍卖代理

在时间T_finishAuction前分别把拍卖结 果发布到区块链：

步骤7：智能合约根据拍卖中心

和拍卖代理

双方信息，确定获胜者身 份和成交价格：

如果时间T_finishAuction之后未收到拍卖结果，没收拍卖中心

和拍卖代理

质押，平均分给用户并退还用户质押，结束拍卖并宣布此次拍卖失败。

步骤8：在公布拍卖结果后且时间T_finishQuestioning之前用户向区块链智 能合约提交异议声明，Tr_Dispute＝(Addr_U_i,Addr_SC,Data,Gas)，其中

Data包括三种异议类型type(questioningResult/nonPaying/nonDelivering)、出 价承诺验证参数(后两种异议则提交未支付/交付用户公钥和证明proof)。

步骤9：智能合约根据异议声明中提交的参数、链上信息和拍卖方提交的证 明，自动执行争议处理；并对处理结果进行公布示证。争议处理算法的具体过程 如下：

(1)如果用户争议信息Tr_Dispute上链时间Timer小于T_finishQuestioning， 则触发争议处理功能；

(2)争议处理过程首先根据Data信息判断争议类型type，questioningResult 则执行(3)；nonPaying/nonDelivering执行(10)；

(3)根据用户身份和公钥查找用户承诺表，确定用户出价承诺

(4)根据用户异议声明中提交的承诺参数计算用户秘密份额承诺，比较运算 结果与注册阶段的出价承诺是否一致；

(5)如果不一致，说明用户更改出价信息，惩罚用户Punishment(U_i,γ₁)，跳 到(11)；

(6)如果一致，说明用户遵循拍卖协议未更改标值，则要求拍卖中心和拍卖 代理分别提交分配过程和定价合规性证明：

(7)验证拍卖方证明ZKP.Verify(proof)，如果通过验证，即拍卖方行为合规， 惩罚用户Punishment(U_i,γ₂)，跳到(11)；

(9)如果拍卖中心和拍卖代理提交的证明有误，

即拍卖方未按拍卖协议规范执行，为拍卖失败负责。结束 异议处理并宣告拍卖失败，跳到(11)；

(10)检查用户证明，确定买家未支付拍卖款/卖家未交付拍卖品，则从用户 U_j质押中支付拍卖款给相应用户U_i，并惩罚用户U_j没收质押Punishment(U_j,γ₃)； 若用户不能证明确实买家未支付拍卖款/卖家未交付拍卖品，则Punishment(U_i, γ₄)；

(11)争议处理结果经过共识之后上链，ABRs可根据处理结果对违规用户进 行进一步处理；

(12)若超过提出异议时间限制，智能合约自动退还质押并把惩罚池内代币分 给合规用户，结束拍卖。

通过上述实施例可以看出，首先，本发明准备阶段用户提交出价承诺并做质 押，为争议处理阶段判断用户是否更改其标值提供依据，且对用户退出拍卖或拒 不执行支付或交付等违规行为进行追溯和惩罚；在争议处理过程中，需要拍卖方 提供分配和定价过程合规性证明，防止拍卖方合谋或其他恶意行为。其次，本发 明通过加密、秘密分享、Pedersen承诺和签名等密码算法，实现用户注册、竞拍 及分配过程中，链上链下用户身份、标值、位置等信息的隐私性，实现了隐私保 护条件下的不可抵赖拍卖。

Claims (7)

1.一种基于以太坊隐私保护的拍卖追溯方法，其特征在于：包括准备阶段、拍卖阶段和争议阶段；

所述准备阶段包括：

初始化，即：初始化并公布系统参数

PK_ABRs、

和

依次为市场监督部门ABRs、拍卖方

和拍卖方

的公钥，H:

市场监督部门ABRs产生交易Tr_Init发布智能合约SC_Tracing；交易Tr_Init的数据区域包含智能合约代码；每条交易包含发出者地址、接收者地址和数据；G为q阶的循环群，生成元P、Q∈G；

开始拍卖，即：市场监督部门ABRs产生交易Tr_Start开始拍卖，通过交易Tr_Start的数据区域触发调用智能合约中的开始拍卖功能，交易Tr_Start的数据区域包括待拍卖物品、竞价范围[min,max]和用户最低保证金D_u和拍卖方质押D_A；开始本次拍卖计时Timer，等待用户注册；D_u>>max；

用户注册，即：用户在时间T_finishRegistration内向智能合约注册；然后向智能合约提交出价承诺并作质押；用户注册和出价承诺在同一交易中完成，且在时间T_finishRegistration前提交；此处用户U_i包括卖家

和买家

所述拍卖阶段包括：

用户竞拍，即：竞拍截止时间T_finishBidding前，用户向拍卖方揭示竞拍信息ran₁,ran₂用于验证出价承诺；此处，拍卖方A包括拍卖中心

和拍卖代理

拍卖分配，即：竞拍截止时间T_finishBidding后，拍卖中心和拍卖代理开始执行拍卖过程；首先对接收到的用户竞拍信息进行批量签名验证，即验证等式Σ_i(s_i)·G＝Σ_i(R_i)+Σ_i(c_i·PK_i)是否成立；

U分别表示卖家、买家和用户，i表示用户i；PK_i是指用户i的公钥；(R_i，s_i)是用户i的Schnorr签名，c_i是签名产生和验证中的一个参数；

如果成立，则根据链上信息和ran₁,ran₂对用户出价进行验证，即验证等式

和

和

分别是卖家的出价承诺V_m表示卖家的标值；

如果成立，则对通过签名和承诺验证的竞拍用户，通过秘密分享数据安全操作、安全比较和安全排序等操作，确定获胜者和成交价；

结果提交，即：在时间T_finishAuction前，拍卖中心

和拍卖代理

分别把拍卖结果

发布到区块链，交易数据区域包含获胜卖家、买家公钥和成交价秘密份额；

结果公布，即：智能合约根据拍卖中心

和拍卖代理

提交的结果和链上信息，确定获胜者身份和成交价格：

和

分别表示获胜买家和卖家的身份，ω表示某个获胜者，P^b,P^s分别表示买家和卖家成交价；其中

是基于两方安全计算拍卖方

和

分别得到的成交价结果；

如果时间T_finishAuction之后未收到拍卖结果，则没收拍卖中心

和拍卖代理

质押，并将其平均分给用户并退还用户质押，结束拍卖并宣布此次拍卖失败；

所述争议阶段包括：

争议提交，即：在公布拍卖结果后且时间T_finishQuestioning之前用户向区块链智能合约提交异议声明，Tr_Dispute＝(Addr_U_i,Addr_SC,Data,Gas)；Addr_U_i、Addr_SC、Data和Gas分别表示交易Tr_Dispute的发送者地址、接收者地址、数据区域和这个交易允许消耗的最大Gas数量；

其中，

U分别表示卖家、买家和用户，分别用

B_n,U_i表示第m个卖家、第n个买家和第i个用户；

Data包括争议类型type(questioningResult、nonPaying、nonDelivering)、出价承诺验证参数；

智能合约处理和结果示证，即：智能合约根据提交的异议声明、链上信息或拍卖中心和拍卖代理提交证明信息，自动执行争议处理；并对处理结果进行公布示证。

2.根据权利要求1所述的基于以太坊隐私保护的拍卖追溯方法，其特征在于：所述初始化阶段中市场监督部门发布智能合约SC_Tracing，即产生交易Tr_Init(Addr_ABRs,Blank,Data,Gas)；其中接收方地址为空，触发创建合约，数据区域包含合约代码；

智能合约部署成功后，定义该智能合约使用的数据结构，包括卖家列表List_Sellers、买家列表List_Buyers、承诺列表List_Commitments、获胜者列表(Winners_Seller、Winners_Buyer)、成交价格(Price_Seller、Price_Buyer)，以及一组计时器承诺截止时间T_finishRegistration、竞拍截止时间T_finishBidding、结果提交截止时间T_finishAuction、异议提交截止时间T_finishQuestioning、拍卖结束时间T_closeAuction；该智能合约功能包括：开始拍卖、用户注册、争议处理、质押、惩罚、赎回。

3.根据权利要求1所述的基于以太坊隐私保护的拍卖追溯方法，其特征在于：所述卖家

的用户注册的具体内容如下：

(1)、产生出价信息并对出价做秘密分享：选择随机数

计算拍卖方A的两个对应秘密份额：

然后产生卖家私钥

计算相应公钥

(2)、对出价做承诺：选择随机数

计算

(3)、把用户身份信息

用市场监督部门公钥PK_ABRs,加密，

把出价份额分别用拍卖方密钥加密，

(4)、产生交易

Data包括用户身份

公钥

出价承诺

和出价份额

买家

进行步骤(1)至(4)产生交易

(5)、用户注册信息上链后，如果当前时间Timer小于T_finishRegistration，则触发用户注册功能，首先检查质押金额是否符合要求Deposit≥Du，以及用户账户余额是否能支付质押ledger[U_i]≥Deposit，是则从用户账户ledger[U_i]转账Deposit到质押金池DepositPool[U_i]，并存储用户身份和公钥到相应用户列表、存储出价承诺和秘密份额；否则用户注册失败。

4.根据权利要求1所述的基于以太坊隐私保护的拍卖追溯方法，其特征在于：所述拍卖分配过程中通过秘密分享数据安全操作、安全比较和安全排序操作，

对买家/卖家分别按标值非递增/非递减进行排序，确定

K＝arg max_k≤min(M,N)

B_k≥V_k and B_k≠B_k-1

B_k和V_k分别表示买家和卖家的标值，分配过程中首先把所有卖家标值进行非降排序，所有买家标值进行非升排序；B_k、B_k-1表示排序后第k和k-1个买家标值，V_k表示第k的卖家标值；

前K-1个卖家和买家即为获胜者，买家和卖家需支付的金额分别为P^b＝B_K，P^s＝V_K；

最终确定获胜者和成交价。

5.根据权利要求1所述的基于以太坊隐私保护的拍卖追溯方法，其特征在于：所述结果提交具体过程为：

拍卖中心

和拍卖代理

在时间T_finishAuction前分别把拍卖结果发布到区块链：

W_b、ω表示获胜买家数和获胜的第ω个买家。

6.根据权利要求1所述的基于以太坊隐私保护的拍卖追溯方法，其特征在于：所述争议处理的具体内容包括：

(1)、如果用户争议信息Tr_Dispute上链时间Timer小于T_finishQuestioning，则触发争议处理功能DisputeResolution；

(2)、争议处理过程首先根据交易中的Data信息判断争议类型type，如果是questioningResult则执行步骤(3)；如果是nonPaying/nonDelivering则执行步骤(10)；

(3)、根据用户异议声明中提交的承诺参数ran₁，ran₂，

和

来计算用户承诺

(4)、根据用户公钥

来查找用户承诺表，确定注册阶段的用户承诺

比较步骤(3)所得运算结果与注册阶段的出价承诺是否一致；

(5)、如果不一致，说明用户更改出价，则调用惩罚功能Punishment，对用户更改出价这一违规行为进行惩罚

即如果用户存在更改标值行为，没收该用户的γ₁押金；跳到步骤(11)；

(6)、如果一致，说明用户遵循拍卖协议未更改标值，要求拍卖中心和拍卖代理提交拍卖分配和定价合规性证明：

即证明卖家出价在出价范围内且不大于成交价，或买家出价在出价范围内且不小于成交价；

(7)、验证拍卖方证明ZKP.Verify(proof)，如果通过验证，即拍卖方行为合规，提交争议的用户对争议处理过程开销负责，即没收用户U_i质押金γ₂，Punishment(U_i,γ₂)，跳到步骤(11)；

(9)如果拍卖中心和拍卖代理提交的证明有误，即拍卖方分配和定价过程中未遵循拍卖协议规范，存在违规行为或合谋，则对拍卖方进行惩罚没收全部质押，

结束异议处理并宣告拍卖失败，跳到步骤(11)；

(10)验证用户提交的证明，如果确定买家未支付拍卖款/卖家未交付拍卖品，则从用户U_j质押中支付拍卖款给用户U_i，并惩罚违规用户U_j，没收质押γ₃，Punishment(U_j,γ₃)；若用户不能证明确实买家未支付拍卖款/卖家未交付拍卖品，提交争议用户对争议处理开销负责，Punishment(U_i,γ₄)；

(11)争议处理结果经过共识之后上链，市场监督部门ABRs根据处理结果确定违规用户匿名身份，并使用私钥获得违规用户真实身份

以对违规用户进行处理；

若超过提出异议时间限制，智能合约自动退还质押并把惩罚池内代币分给合规用户，结束拍卖。

7.一种实现权利要求1至6任一项所述基于以太坊隐私保护的拍卖追溯方法的系统，其特征在于：包括用户U_i、拍卖方A、以太坊节点和市场监督部门ABRs；其中，用户U_i包括卖家

和买家

拍卖方A包括拍卖中心

和拍卖代理

市场监督部门发布智能合约，并开始拍卖；买家和卖家在规定时间内向合约注册并做出价承诺和质押，拍卖方向智能合约质押，然后卖家和买家向拍卖方提交竞拍信息，拍卖方需从链上获取部分竞拍信息，如出价承诺；拍卖方基于两方安全计算进行拍卖分配，并提交结果给智能合约；智能合约公布拍卖结果；买家或卖家提交对拍卖结果的争议或拍卖结果执行的争议，智能合约自动化处理争议并公示处理结果。

Images