DE10114188A1 - Ein sicherer Auktionsmarkt unter Benutzung eines sicheren Coprozessors - Google Patents

Ein sicherer Auktionsmarkt unter Benutzung eines sicheren Coprozessors

Info

Publication number
DE10114188A1
DE10114188A1 DE2001114188 DE10114188A DE10114188A1 DE 10114188 A1 DE10114188 A1 DE 10114188A1 DE 2001114188 DE2001114188 DE 2001114188 DE 10114188 A DE10114188 A DE 10114188A DE 10114188 A1 DE10114188 A1 DE 10114188A1
Authority
DE
Germany
Prior art keywords
auction
bids
bid
bidders
auctioneer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2001114188
Other languages
English (en)
Inventor
Adrian Perrig
Sean W Smith
Dawn Song
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE10114188A1 publication Critical patent/DE10114188A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/08Auctions

Landscapes

  • Business, Economics & Management (AREA)
  • Finance (AREA)
  • Accounting & Taxation (AREA)
  • Marketing (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Es wird eine Auktion durchgeführt. Es werden Anweisungen von einem Auktionator erhalten, eine Auktionsspezifikation zu ermöglichen, die Regeln angibt, die mit der Auktion zusammenhängen. Es wird ein mit der Auktionsspezifikation zusammenhängender Auktionskennzeichner erzeugt. Eine Vielzahl von Geboten oder Gebotsstrategien, die mit dem Auktionskennzeichner verbunden sind, werden von Bietern empfangen. Danach wird eine Bewertung der empfangenen Gebote oder Gebotsstrategien in einer Umgebung ausgeführt, die für den Auktionator nicht zugänglich ist. Den Bietern wird anschließend das Ergebnis der Auktion auf der Grundlage der Bewertung bereitgestellt.

Description

BEREICH DER ERFINDUNG
Die vorliegende Erfindung bezieht sich auf Auktionen und insbesondere auf Auktionen, die in einer sicheren Umgebung durchgeführt werden. Insbesondere werden ein Verfahren und eine Vorrichtung zur Durchführung einer Auktion in einer Umgebung beschrieben, die für eine Partei nicht zugänglich ist, die die Auktion eingeleitet hat.
HINTERGRUND DER ERFINDUNG
Die Auktion ist ein wichtiger ökonomischer Mechanismus, der weithin benutzt wird, um eine Vielzahl von Artikeln zu verkaufen, zum Beispiel Schatzwechsel, Schürfrechte einschließlich Ölfelder, Grundeigentum, Kunstwerke usw. Mit der zunehmenden Popularität des Internet verwandeln sich viele traditionelle Auktionen in elektronische Auktionen, und viele neue elektronische Auktionen werden geschaffen. Infolgedessen sind viele auf dem Web beruhende Auktionshäuser entstanden. Im Vergleich zu traditionellen Auktionen haben die elektronischen Auktionen den Vorteil, dass sie global (was bedeutet, dass jeder im Internet teilnehmen kann ohne physische Präsenz), zeitgünstig und kostensparend sind. Elektronische Auktionen können auch vom Internet getrennt (offline) und direkt in den Fluss des Artikels eingebettet werden, der versteigert wird. Daher sind elektronische Auktionen neben den traditionellen Anwendungen auch auf neue Anwendungen anwendbar, zum Beispiel Auktionen für Ressourcen, d. h. Netzwerk-Bandbreite oder Elektrizität.
Informell kann eine Auktion als aus Handelsregeln, Teilnehmer- Strategien und Ergebnisanzeige-Regeln bestehend angesehen werden. Die Handelsregeln werden vor der Auktion bekanntgegeben. Die Verkäufer und Bieter reichen ihre Strategien während der Einreichungszeit ein, so wie in den Handelsregeln spezifiziert. Diese Strategien können von einfachen Geboten über eine Folge von Geboten, die auf einem veröffentlichten maximalen bisherigen Gebot beruhen, bis zu einem Algorithmus reichen, der Gebote auf der Grundlage dieser und anderer Informationen erzeugt. Dann werden während der Auktionsbewertungszeit die Verkäufer- und Bieter-Strategien entsprechend den Handelsregeln bewertet, und das Ergebnis wird ermittelt. Die Ergebnisanzeige-Regeln definieren darüber hinaus, wie das Ergebnis angezeigt wird, d. h. öffentlich oder nur dem Gewinner und dem Verkäufer. Dieses Modell umfasst eine große Vielfalt von Auktionen. Zu den Auktionsarten, die von diesem Modell erfasst werden, gehören:
Auktion mit ansteigendem Gebot. (auch als Englische Auktion bekannt): Die Bieter erhöhen wechselseitig ihre Gebote oder ziehen sich zurück, bis nur ein Bieter übrigbleibt.
Auktion mit absteigendem Gebot. (auch als Holländische Auktion bekannt): Der Preis verringert sich ständig, bis ein Bieter die Ware zu diesem Preis beansprucht.
Auktion mit versiegeltem Angebot und erstem Preis: Jeder Bieter reicht sein Gebot geheim ein, der höhere Bieter gewinnt und zahlt den Wert des Angebotes.
Auktion mit versiegeltem Angebot und zweitem Preis (auch bekannt als Vickrey-Auktion): Jeder Bieter reicht sein Gebot geheim ein, der höchste Bieter gewinnt und zahlt den Wert des zweithöchsten Angebotes.
Dieses Modell kann auch ausgefeiltere Auktionen umfassen, wie in den folgenden Beispielen gezeigt wird. Normalerweise haben Auktionen einen Verkäufer und viele Käufer, aber in umgekehrten Auktionen leitet nur ein Käufer die Auktion ein, und viele Verkäufer platzieren ihre Angebote. Im Fall von mehreren Käufern und Verkäufern wird die Auktion als doppelte Auktion bezeichnet. Wenn die in der Auktion verkaufte Ressource eine ständige Ressource ist, zum Beispiel Elektrizität, und das Angebot in kurzen Zeitintervallen erledigt wird, ist die Auktion als kontinuierliche Auktion bekannt. Beispielsweise ist der Aktienmarkt ein Beispiel für eine kontinuierliche doppelte Auktion. Wenn die Angebote mehrere Eigenschaften enthalten, zum Beispiel Volumen und Preis, wird die Auktion als Auktion mit mehreren Attributen bezeichnet. Beispielsweise spezifiziert ein Termingeschäft einen Vertrag, eine Aktie zu einem bestimmten Preis zu einem gewissen zukünftigen Zeitpunkt zu kaufen/zu verkaufen, also handelt es sich um eine Auktion mit mehreren Attributen. Die Gebote können Bedingungen anderer Artikel enthalten, d. h. "Ich kaufe A zum Preis X nur, wenn ich B zu einem Preis Y kaufen kann." Eine solche Auktion wird auch als Bündelauktion bezeichnet.
Elektronische Auktionen sind vielversprechend, sie schaffen aber auch neue Sicherheits-Herausforderungen. Das Internet bringt viele Sicherheitsrisiken; Auktionatoren, Verkäufer und Bieter können alle mehr Gelegenheiten haben, bei einer elektrischen Auktion zu betrügen. Es gibt verschiedene Auktionsarten, und sie haben verschiedene Sicherheitsanforderungen.
Ein Hauptnachteil der meisten bestehenden Auktionsschemata besteht darin, dass sie erfordern, dass Verkäufer und Bieter dem Auktionator vertrauen. Aber tatsächlich besteht ein üblicher Angriff darin, dass der Auktionator die Verkäufer- und Bieterinformation als einen Vorteil zur Erhöhung von Profiten benutzt.
Ein kritischer Teil der Auktionen und Märkte ist die Fähigkeit der Teilnehmer, private Informationen zu verbergen, zum Beispiel ihre Strategien, ihre Ressourcen und sogar ihre Identitäten. Diese Geheimhaltung ermöglicht jedoch viele Arten von Betrug, zum Beispiel vorauseilende Optionen, wo ein Broker einen kleinen Auftrag für sich selbst platziert, bevor er einen großen Auftrag für einen Kunden platziert (was den Preis ändert); Geldwäsche in Zukunftsmärkten, wo ein Broker symmetrische Aufträge platziert und später den gewinnenden an Alice: und den verlierenden an Bob überträgt (was es Bob erlaubt, eine nicht verfolgbare Bestechungssumme an Alice zu zahlen); Minderjährige, die betrügerische Angebote in elektronischen Auktionen platzieren und gewinnen; Übereinkünfte zwischen den Teilnehmern einer Auktion; oder ein Auktionator, der den Preis durch vorgetäuschte Anbieter hochtreibt (vielleicht, um seine Kommission zu erhöhen) oder die Anonymität der Anbieter anderweitig ausnutzt.
In dem Maße, wie Märkte zu verteilten und automatisierten Märkten werden (z. B. Elektrizitätsnetz-Ressourcen oder sogar Termingeschäfte für Elektrizitätsnetz-Ressourcen), werden diese Probleme noch schlimmer (z. B. ein Minderjähriger, der ein etwas größeres Angebot in einer Million paralleler Auktionen macht). Das Problem wird weiter verkompliziert durch wechselseitiges Misstrauen unter den Auktionatoren, die keine ihrer geheimen Informationen mit anderen teilen möchten. Wenn eine kritische Infrastruktur (z. B. das Elektrizitätsnetz) betroffen ist, können sich die Folgen dieser unverantwortlichen Aktivität von einem einfachen Betrug zu einem wesentlichen nationalen Notstand ändern.
ZUSAMMENFASSUNG DER ERFINDUNG
Es wird eine Auktion durchgeführt. Es werden Anweisungen von einem Auktionator erhalten, um eine Auktionsspezifikation freizugeben, die Regeln angibt, die der Auktion zugeordnet sind. Es wird ein Auktionskennzeichner erzeugt, der der Auktionsspezifikation zugeordnet ist. Von den Bietern geht eine Vielzahl von Geboten oder Gebotsstrategien ein, die mit dem Auktionskennzeichner gekoppelt sind. In einer Umgebung, die dem Auktionator nicht zugänglich ist, wird dann eine Bewertung der empfangenen Gebote oder Gebotsstrategien durchgeführt. Den Bietern wird dann auf der Grundlage der Bewertung ein Ergebnis der Auktion bereitgestellt.
KURZE BESCHREIBUNG DER ZEICHNUNGEN
Fig. 1 ist ein Blockdiagramm, das eine beispielhafte Ausführungsform der vorliegenden Erfindung veranschaulicht.
Fig. 2 ist ein Blockdiagramm, das eine Ankündigungsphase veranschaulicht, die beim Ablauf einer beispielhaften Ausführungsform der vorliegenden Erfindung auftritt.
Fig. 3 ist ein Blockdiagramm, das veranschaulicht, wie ein Auktionator oder ein Angreifer eine Auktionsspezifikation einleiten kann.
Fig. 4 ist ein Blockdiagramm, das die Verwendung von Strategie und Annahme entsprechend einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht.
Fig. 5 ist ein Blockdiagramm, das die Verwendung mehrerer Strategien entsprechend einer beispielhaften Ausführungsform der vorliegenden Erfindung veranschaulicht.
AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
Es ist hilfreich, verschiedene Begriffe zu definieren, was jetzt folgt. Der Auktionator kümmert sich um die gesamte Logistik zur Ausführung von Online-Auktionen, beispielsweise das Einrichten des Webservers, den Kauf von sicherer Hardware, die Installation von sicherer Software und die Registrierung von Software und Hardware durch eine Beglaubigungsbehörde (Certifying Authority) (CA), die Ankündigung der Auktion. Der Angreifer ist die Partei, die die Auktion einleitet, normalerweise der Verkäufer von Waren. Der Agent ist die Seite, die an der Auktion teilnimmt, die der Angreifer eingeleitet hat, im Normalfall ist der Agent ein Bieter. Der Angreifer und die Agenten zusammen werden als Auktions-Teilnehmer bezeichnet. Im allgemeinen Fall unterbreiten die Teilnehmer ihre Strategie an die Auktion, in einer üblichen Auktion unterbreiten die Agenten ihre Gebote.
Es gibt die folgenden Auktionsphasen: Ankündigungsphase (Auktionsaufbau und -definition), Eröffnungsphase (Beginn der Sammlung von Strategien), Sammlungsphase, Abschlussphase (Beendigung der Annahme neuer Strategien), Bewertungsphase (Verlauf der Auktion), Ergebnis-Veröffentlichungsphase. In einigen spezialisierten Auktionen könnte es jedoch eine Überlappung der Phasen geben, beispielsweise in einer Auktion, wo der Angreifer eine Präferenzliste nach dem Abschluss der Auktion abgibt.
Bei Auktionen ist es wünschenswert, jede der folgenden Eigenschaften zu betrachten:
Beglaubigung, Geheimhaltung und Anonymität der Teilnehmer;
Geheimhaltung der Gebote und Strategien;
steuerbare Veröffentlichung von Informationen über die Auktion einschließlich des abschließenden Ergebnisses;
die Untrennbarkeit von Waren und Kosten (d. h. der Gewinner muss nur bezahlen, wenn er die Waren erhält oder umgekehrt).
In einer beispielhaften Ausführungsform der vorliegenden Erfindung wird eine Auktion unter Benutzung eines sicheren Coprozessors durchgeführt. Ein beispielhafter sicherer Coprozessor ist der von der IBM Corporation, Armonk, New York, entwickelte Prozessor 4758. Der erste Schritt ist die sichere Herstellung und Initialisierung der Hardware für den sicheren Auktionsmarkt (SAM). Der Hersteller produziert den sicheren Coprozessor in seinem sicheren Produktionswerk. Dies wird beschrieben in S. W. Smith, S. H. Weingart, Building a High- Performance, Programmable Secure Coprocessor, Computer Networks (Special Issue on Computer Network Security), Seite 831 bis 860, April 1999, was hier durch Referenz miteinbezogen wird.
Ein Software-Anbieter produziert die zuverlässigen Softwarekomponenten einschließlich der Auktionssteuer- und der Angebotssammel-Einheit. Die Software wird von einer unabhängigen Seite sorgfältig geprüft oder sogar formal verifiziert, um Fehler zu reduzieren. Die Software kann auch als "offene Quelle" veröffentlicht werden, um die Gewissheit zu erhöhen, dass keine Fallstricke oder Fehler vorhanden sind. Nach der Prüfung wird die Software im sicheren Coprozessor als Anwendungsschicht sicher installiert; die Kombination von sicherem Gerät und sicher geladener Software wird der SAM.
In einer beispielhaften Ausführungsform der vorliegenden Erfindung ermöglicht es eine sichere Hardware-Plattform der Software, sich selbst, ihre Konfiguration und die Tatsache, dass sie auf einer unverfälschten sicheren Hardware installiert ist, zu beglaubigen. Die zuverlässige Software und der sichere Coprozessor wirken zusammen als ein SAM. Dieser SAM wird dann eine beglaubigte Rechnereinheit, deren innerer Zustand und deren Operationen durch einen Feind - selbst durch einen mit direktem physischen Zugriff auf diese Hardware - nicht geprüft oder geändert werden können.
Der sichere Coprozessor kann eine Möglichkeit bereitstellen, autorisierte Software von einem entfernten Entwickler aus sicher zu installieren, eine vertrauenswürdige Ausführungsumgebung für diese Software aufrechtzuerhalten und dritten Seiten die Beglaubigung zu ermöglichen, dass sie mit dieser Anwendung zusammenarbeiten und dass sie die korrekte Software und eine unangetastete Hardwareumgebung benutzen. Beispielhafte Techniken zur Erreichung dessen sind beschrieben in S. W. Smith, S. H. Weingart, Draft of Building a High-Performance, Progranunable Secure Coprocessor, Revision of October; 1998, und in S. W. Smith, Verifying Type and Configuration of an IBM 4758 Device, zu finden unter
ftp://www6.software.ibm.com/software/cryptocards/verify.pdf,
Seiten 1 bis 7, Februar 2000, und IBM 4758 Cryptographic Coprocessor, Product Brochure G325-1118, August 1997, die hier durch Referenz mit einbezogen werden.
Nach seiner Installation baut der SAM auf den Beglaubigungsdiensten auf, die der Coprozessor bereitstellt, um die Fähigkeit zu erhalten, sich selbst bei Teilnehmern der Auktion zu identifizieren und private Nachrichten von ihnen zu erhalten. Beispielsweise kann der SAM ein RSA-Schlüsselpaar für Signaturen für abgehende Nachrichten erzeugen, ein weiteres Schlüsselpaar für die Verschlüsselung bei ankommenden Nachrichten (beschrieben in Bruce Schneir, Applied Cryptography (2nd Edition), John Wiley & Sons, 1996, was hier durch Referenz mit einbezogen wird); nach der Benutzung der Beglaubigungsdienste des Coprozessors bestätigt dann eine externe CA, dass diese öffentlichen Schlüssel zu einem geeignet konfigurierten SAM gehören.
Die CA kann einen Suchdienst bereitstellen, der die Bestätigung an die ID-Nummer des Gerätes bindet.
Der SAM muss somit einen oder mehrere öffentliche/private Schlüsselpaare besitzen, die durch eine CA bestätigt sind. Er hat die Fähigkeit, vor der Eröffnungszeit der Auktion eine autorisierte Ankündigung bereitzustellen, indem die unterzeichnete Auktionsankündigung veröffentlicht wird. Die Auktionsankündigung enthält eine eindeutige Auktions-ID und eine Auktionsspezifikation, die die Handelsregeln spezifiziert.
Während der Auktion senden die Bieter ihre Angebote (oder Strategieprogramme), die mit dem öffentlichen Schlüssel des SAM verschlüsselt wurden, zu dem Markt, der eine unterzeichnete Bestätigung zurückschickt. Durch Binden des Gebotes oder der Strategie an eine Auktions-ID ist der Bieter sicher, dass das Gebot entsprechend der Spezifikation der Auktion bewertet wird, d. h. es wird nur nach der Schließzeit der Auktion bewertet, und es wird nur für die beabsichtigte Auktion durch die spezifizierten Handelsregeln bewertet. Nach der Schließzeit der Auktion bewertet der SAM die Gebote entsprechend den veröffentlichten Spezifikationen der Auktion und veröffentlicht entsprechend den Regeln für die Veröffentlichung des Ergebnisses ein beglaubigtes Auktionsergebnis.
Wie in Fig. 1 dargestellt, beruht der SAM auf einem sicheren Coprozessor 100, der die folgenden Software-Komponenten besitzt: eine Auktionssteuereinheit 130 und eine Gebots-Sammeleinheit 140. Der Auktionator besitzt einen solchen SAM. Der SAM besitzt seine eindeutigen öffentlichen/privaten Schlüsselpaare (d. h., ein Paar wird für die Verschlüsselung benutzt und ein anderes Paar für digitale Signaturen), die beispielsweise durch eine CA bestätigt sind. Die privaten Schlüssel werden innerhalb des sicheren Coprozessors erzeugt und deshalb niemandem anders gezeigt, auch nicht dem Auktionator. Um eine Auktion abzuhalten, stellt der Auktionator die Auktionsspezifikation 115 bereit und veröffentlicht die Auktionsankündigung 125. Gebote 135a, 135b werden zum SAM geschickt und im SAM bewertet. Schließlich wird das Ergebnis 150 berechnet und vom SAM ausgegeben.
Ein Auktionator kauft die SAM-Hardware und kann mit dem Geschäft der Abhaltung von Auktionen beginnen. Da der Auktionator nicht die richtigen Schlüssel hat, kann er weder die installierte vertrauenswürdige Software, zum Beispiel die Auktionssteuereinheit und die Gebots-Sammeleinheit, modifizieren noch seine eigene Software installieren, die die Steuerung von der vertrauenswürdigen Software an sich reißt.
Die Phasen einer Auktion, die den SAM benutzt, werden nachstehend beschrieben:
Ankündigungsphase
Wie in Fig. 2 dargestellt, stellt der Auktionator eine Auktionsspezifikation 115 bereit. Alternativ hierzu kann, wie in Fig. 3 dargestellt, der Angreifer die Spezifikation bereitstellen, oder die Spezifikation wird als ein Ergebnis der Interaktion zwischen Auktionator und Angreifer bereitgestellt. Die Auktionsspezifikation kann die Eröffnungszeit, die Schließzeit, den Bewertungsalgorithmus enthalten sowie weitere zusätzliche Regeln, zum Beispiel die Regeln für die Veröffentlichung des Ergebnisses, die das Format spezifizieren, in dem der SAM die Auktionsergebnisse veröffentlicht, welche Informationen geheim gehalten und welche veröffentlicht werden (zusammen mit dem Veröffentlichungsformat). Die Auktionsergebnisse könnten mit einem geheimen Schlüssel, der nur mit dem Verkäufer gemeinsam benutzt wird, verschlüsselt werden.
Der Auktionator oder irgendein anderer Softwareanbieter schreibt den Auktionsbewertungs-Algorithmus und veröffentlicht dieses Programm. Für die meisten üblichen Auktionen ist dieses Programm klein und von einer Person leicht überprüfbar - beispielsweise besteht das Bewertungsprogramm einer Auktion mit versiegelten Geboten einfach aus einer for-Schleife, die das höchste Gebot findet.
Die Auktionsspezifikation wird in den SAM 110 eingegeben. Nach Prüfung der Gültigkeit der Auktionsspezifikation erzeugt der SAM eine einstweilige Auktions-ID.
Eine Ankündigung der Auktion wird dann in der Form der Auktionsankündigung 125 veröffentlicht. Die Auktionsankündigung 125 sollte genügend Informationen für Teilnehmer enthalten, um die Vertrauenswürdigkeit und das Verhalten dieses Marktes mit diesen Parametern zu kennzeichnen und zu bewerten. Beispielsweise kann eine solche Information eine SAM-ID enthalten, die den SAM und eine Digitale Signatur des SAM kennzeichnet, die die Auktions-ID und die Auktionsspezifikation unterzeichnet.
Eröffnungsphase
Zur Eröffnungszeit einer Auktion ermöglicht es die Auktionssteuereinheit der Gebotssammeleinheit, ankommende Gebote zu sammeln.
Sammelphase
Die Bieter erhalten zuerst die Bestätigung des SAM von der CA und prüfen die unterzeichnete Auktionsspezifikation und den Bewertungsalgorithmus. Die Auktionssoftware kann von einer Einheit bereitgestellt werden, die die Auktionatoren zulassen und der die Bieter vertrauen. Der Bieter sendet dann das Gebot und die Auktions-ID an den SAM, die auf eine Art und Weise verschlüsselt ist, die nur der SAM entschlüsseln kann. Dies kann durch Verschlüsselung des Gebotes mit dem öffentlichen Schlüssel des SAM erreicht werden (der öffentliche Schlüssel ist der, der für die Verschlüsselung vorgesehen ist) Alternativ hierzu kann das durch Festlegung eines bestimmten gemeinsam benutzten Schlüssels zwischen dem Bieter und dem SAM und anschließender Verschlüsselung des Gebotes mit dem gemeinsam benutzten Schlüssel erfolgen.
Während der Gebotssammelphase empfängt die Gebotssammeleinheit Gebote. Sie prüft bei Bedarf die Gebote einschließlich der Verifikation der Auktions-ID und der Autorisierung des Bieters. Wenn die Prüfung korrekt ist, unterzeichnet die Gebotssammeleinheit die Codierung (hash) der Gebotsnachricht mit der Auktions-ID und einer Zeitangabe und gibt die Signatur zurück. Weiterhin fügt sie das Gebot in eine Gebotetabelle ein. Die in diese Phase einbezogenen Nachrichten werden wie folgt veranschaulicht:
Bieter? Markt: {Auktions-ID, Gebot, [Optionale Felder]}K1
Markt? Bieter: {Auktions-ID, Zeitangabe, H(Gebotsnachricht)}K2
wobei K1 der öffentliche Schlüssel des verschlüsselnden Schlüsselpaars des SAM und K2 der private Schlüssel des unterzeichnenden Schlüsselpaars des SAM ist.
Abschlusshase
Zur Abschlusszeit einer Auktion stoppt die Auktionssteuereinheit die Gebotssammeleinheit, um irgendwelche weitere Gebote zu sammeln.
Bewertungsphase
Die Auktionssteuereinheit ruft den Bewertungsalgorithmus mit der Gebotetabelle als ein Argument auf, das das Ergebnis erzeugt.
Ergebnisanzeigephase
Die Auktionssteuereinheit veröffentlicht das Ergebnis der Auktion entsprechend den Regeln zur Ergebnisanzeige, die genau definieren, welche Daten öffentlich freigegeben und welche Daten nur verschlüsselt veröffentlicht werden. Gewisse Daten werden unterzeichnet, um eine Autorisierung der Daten bereitzustellen. In einer beispielhaften Ausführungsform der vorliegenden Erfindung kann der Bewertungsalgorithmus in das SAM-Programm eingebaut werden. Weiterhin kann der SA verschiedene Auktionsarten enthalten, zum Beispiel die Englische Auktion und die Holländische Auktion. Dann enthält die Auktionsspezifikation für eine besondere Auktion einen Parameter, der die Auktionsart spezifiziert.
Um noch flexibler zu sein, kann mit der Auktionsspezifikation ein Bewertungsalgorithmus (in einer bestimmten Spezifikationssprache) in die Auktionssteuereinheit eingegeben und später zusammen mit der Strategie des Verkäufers benutzt werden, um Gebote zu bewerten. Da doppelte Auktionen und Bündelauktionen populärer werden und neue Auktionen erscheinen, ist es wesentlich, einen allgemeinen Rahmen zu haben, der den effektiven Einsatz neuer Auktionsschemata ermöglicht. Das Konzept des Herunterladens von Bewertungsalgorithmen in den sicheren Markt war genau dazu bestimmt, dieses Ziel zu erreichen. Jedes neue Auktionsschema, selbst mit komplizierten Berechnungsalgorithmen, kann als Bewertungsalgorithmen spezifiziert und demzufolge leicht zur Ausführung in den SAM heruntergeladen werden.
Der Bewertungsalgorithmus wird als Teil der Auktionsankündigung veröffentlicht, bevor die Auktion startet. Die unterzeichnete Auktionsankündigung muss den Bewertungsalgorithmus an die Auktion binden. Dieses Binden kann durch viele Techniken erreicht werden, zum Beispiel dadurch, dass die Auktionssteuereinheit in der Auktionsspezifikation einen Hash des Programms oder sogar die volle Quelle enthält.
Der Bewertungsalgorithmus kann in einer Spezifikationssprache geschrieben sein, die dann durch einen Interpreter in der Auktionssteuereinheit interpretiert wird. Alternativ hierzu kann der Bewertungsalgorithmus ein richtiges Programm, zum Beispiel ein Java- oder ein C-Programm sein. In jedem Falle muss die Sprache, in der der Bewertungsalgorithmus spezifiziert wird, in dem Sinne ausreichend beschränkt sein, dass garantiert wird, dass ein gültiger Bewertungsalgorithmus keinen Schaden anrichten kann, zum Beispiel die Gebotetabelle manipulieren. Viele Lösungen können möglich sein, zum Beispiel einfache Sandkastenspiele.
Die Implementation des Bewertungsalgorithmus muss ebenfalls korrekt sein. Dies kann entweder durch die Auktionsteilnehmer geprüft werden, da das Programm veröffentlicht wird, oder es kann durch eine vertrauenswürdige dritte Seite geprüft werden.
Die zum SAM geschickten Gebote können optionale Felder enthalten, die in den folgenden unterschiedlichen Szenarien benutzt werden können:
  • 1. Die Autorisierung der Bieter ist in vielen Fällen wichtig, zum Beispiel beim Bieten für öffentliche Aufträge und beim Bieten für natürliche Ressourcen. Um eine Autorisierung der Bieter bereitzustellen, kann die Gebotssammeleinheit eine Teilkomponente enthalten, einen Autorisierungsprüfungsmodul, der prüft, ob der Bieter autorisiert ist. Nur autorisierte Gebote können dann in die Gebotetabelle eingefügt werden. Es gibt verschiedene Lösungen für den Autorisierungsmechanismus. Beispielsweise kann im Autorisierungsprüfungsmodul eine autorisierte Liste hergestellt werden, in der jede Eintragung ein Paar (Bieter- ID, Schlüssel) ist. Wenn ein Gebot die korrekte Bieter-ID und den korrekten Schlüssel enthält, ist es autorisiert. Eine noch einfachere Lösung besteht darin, einen gemeinsam benutzten Gruppenschlüssel für alle autorisierten Bieter festzulegen. Jedes Gebot, das den korrekten Schlüssel enthält, wird als autorisiert angesehen. Gut gestaltete Protokolle können verhindern, dass diese gemeinsam benutzten Schlüssel ohne Hilfe eines autorisierten Bieters nach außen gelangen. Auf einem PKI beruhende Schemata sind auch möglich.
  • 2. Digitales Geld kann in die optionalen Felder einbezogen werden. Am Ende der Auktion kann das digitale Geld des Gewinners als Bezahlung eingesammelt werden. Einige untrennbare Transaktionen können benutzt werden, um zu garantieren, dass die Waren erst an den Gewinner gegeben werden, wenn das Geld auf das Konto des Verkäufers überwiesen ist, und dass das Geld des Bieters nicht an den Verkäufer überwiesen werden kann, wenn ihm die Waren nicht übergeben werden.
  • 3. Der Bieter kann einen geheimen Schlüssel in die optionalen Felder einbeziehen. Am Ende der Auktion können die Waren (wenn sie elektronischer Art sind) oder eine bestimmte geheime Information über das Abholen der Waren mit dem geheimen Schlüssel verschlüsselt und veröffentlicht werden. Deshalb kann der Gewinner die Waren erhalten, ohne irgendwelche Informationen über sich aufzudecken und deshalb vollständig anonym bleiben.
  • 4. Nicht-Ablehnung von Bietern kann äuch eine erwünschte Eigenschaft sein. Um dies zu erreichen, können die Bieter entweder die Gebote unterzeichnen oder sie können Autorisierungsschlüssel in die Gebote einbeziehen.
Wenn bei der Abwicklung von Geschäften ohne SAM sensitive Informationen wie z. B. digitale Bezahlung und bieter-spezifische geheime Schlüssel in die Gebote eingeschlossen werden, entstehen vielfältige Risiken. Beispielsweise kann dann der Auktionator die bieter-spezifischen Geheimschlüssel erhalten und somit die Waren erhalten, ohne für irgendetwas zu bezahlen.
Die Gebote können auch ein komplizierteres Format annehmen, beispielsweise die Benutzung einer Strategie- Spezifikationssprache, die interpretiert werden oder sogar ein reales ausführbares Programm sein kann. Die Syntax und die Semantik der Strategie-Spezifikationssprache würde veröffentlicht werden. Ähnlich zu den Problemen, die vorher für die Bewertungs-Spezifikationssprache erörtert wurden, bringt die Ausführungsart Strategie-Spezifikationssprache die gleichen Sicherheitsprobleme mit sich wie die vorher erörterte Gestaltung der Spezifikationssprache für den Bewertungsalgorithmus.
Der Bieter kann auch eine Meta-Strategie eingeben, die seine Strategie für eine gewissen Folge von Auktionen ausdrückt. Diese Meta-Strategien können Eigenschaften wie z. B. den Wiederverkauf von etwas, das gekauft wurde, und den Austausch von Informationen mit anderen Meta-Strategie-Agenten aufweisen.
In einigen Auktionsschemata müsste ein Verkäufer eventuell geheime Daten in den sicheren Markt eingeben. Beispielsweise könnte ein Verkäufer die Festlegung einer unteren Grenze wünschen, unter der er die Waren nicht verkaufen möchte. Den Bietern ist erlaubt zu wissen, dass eine solche untere Grenze besteht, aber sie können nicht wissen, wo genau die untere Grenze ist. In diesem Fall kann der Verkäufer seine geheimen Daten eingeben, die mit dem öffentlichen, für die Verschlüsselung vorgesehenen Schlüssel des SAM verschlüsselt wurden, oder einen mit dem SAM gemeinsam benutzten Schlüssel festlegen, um seine geheimen Daten zu verschlüsseln. Der Strategie des Verkäufers muss Berechtigung erteilt werden, um sicherzustellen, dass sie vom Verkäufer kommt. Eine Lösung könnte darin bestehen, dass der öffentliche Schlüssel des Verkäufers in die Ankündigung der Auktion einbezogen wird und der Verkäufer seine geheimen Daten mit seinem privaten Schlüssel unterzeichnet, bevor sie mit dem öffentlichen Schlüssel des SAM verschlüsselt werden.
Ähnlich zu der zuvor erwähnten Strategie-Spezifikationssprache können Verkäufer auch ihre Verkaufs-Strategie 180 (oder 180a, 180b) oder -Metastrategie in der Strategie-Spezifikationssprache spezifizieren. Und die gleichen Sicherheitsprobleme treten auch hier auf. Dies wird in den Abb. 4 und 5 dargestellt. Der Verkäufer kann ein Pfand (oder tatsächliches digitales Geld) in sein Verkaufsangebot einbeziehen; die angekündigte Auktionsspezifikation zeigt an, wie dieses Pfand zu verwenden ist, sollten verschiedene Unregelmäßigkeiten auftreten (zum Beispiel wenn der Verkäufer zum Zeitpunkt des Verkaufes nicht tatsächlich produziert).
Der SAM kann das Besitzrecht an einer elektronischen Ware als einen kleinsten Bestandteil der Transaktion übertragen. Für einige Warenarten (zum Beispiel Verträge oder unterzeichnete Dinge) kann der SAM das Besitzrecht in einer solchen Art und Weise übertragen, dass der ursprüngliche Besitzer niemals einbezogen werden muss - und das Objekt kann noch mehrere Male wiederverkauft werden, ohne jemals das SAM-Netzwerk zu verlassen. Für Waren, die elektronisch steuerbar sind, kann der SAM-Coprozessor selbst das Ergebnis einer Transaktion direkt ausführen. Für einige Warenarten wie zum Beispiel verschlüsselte Netzwerk-Links würde die Übertragung von Daten von einem Link, der von einer Partei kontrolliert wird, zu einem, der von einer anderen Partei kontrolliert wird, sowieso eine vertrauenswürdige Partei erfordern. Ein SAM könnte sowohl das Geschäft abschließen als auch diese kryptographische Transformation als Ergebnis des Geschäftes durchführen.
Auktionen können nicht nur die Form eines einzelnen Verkäufers und mehrerer Käufer annehmen, sondern auch eines einzelnen Käufers und mehrerer Verkäufer oder mehrerer Verkäufer und mehrerer Käufer. Alle diese Arten können sehr leicht in den Rahmen des SAM passen.
Das Gebot muss nicht innerhalb eines bestimmten Zeitraumes liegen, es könnte auch kontinuierlich sein. Das Gebot kann sich auf Netzwerkbandbreite und Elektrizität beziehen. Verkäufer und Bieter senden ihre Strategien an den SAM. Informationen über aktuell verfügbare Ressourcen können periodisch aktualisiert werden, d. h. jede Sekunde oder aller fünf Minuten. Teilnehmer können auch, falls notwendig, ihre Strategien ändern, beispielsweise wenn ein neues Nachfragemuster auftritt. Der SAM ist wichtig, um diese Auktionsart auszuführen, weil sich erstens die Strategien auf dem SAM befinden und deshalb wirksam bewertet werden können und die Umlaufzeit für die Veröffentlichung von Informationen und das Absenden von Geboten, die bei der traditionellen Lösung unvermeidlich ist, beseitigen, und zweitens der SAM irgendwo integriert werden kann, einschließlich an Orten, die böswilligen Angriffen ausgesetzt sein können, und in Umgebungen, die für Menschen gefährlich sind.
Der SAM kann sicherstellen, dass Auktionsspezifikationen Regeln durchsetzen wie: eine minimale Anzahl von Geboten muss auftreten, bevor eine Auktion durchgeführt werden kann, oder es muss eine Bestätigung von einer bestimmten Anzahl von autorisierten ankündigenden Quellen empfangen werden.
Der SAM kann fordern, dass Verkäufer (verschlüsselte) "Belege vorlegen, dass sie fähig sind, die fragliche Dienstleistung bereitzustellen".
Die SAM-Vorgehensweise stellt auch eine Grundlage für Techniken zur Erkennung von Anomalien bereit, um Auktionsbetrug zu verhindern:
  • - Ein SAM kann Algorithmen zur Erkennung von Anomalien oder Betrug mit ansonsten anonymen Daten einer Auktion oder einer Folge von Auktionen durchführen.
  • - SAM-Netzwerke können selbst für verschiedene Auktionatoren diese Algorithmen gemeinsam und möglicherweise parallel ausführen. Sie können benutzt werden, um weitreichenden Betrug festzustellen. Bei kritischen Ressourcen wie zum Beispiel Elektrizität kann eine solche SAM-Gruppe benutzt werden, um festzustellen, wenn ein bestimmter einzelner Käufer alle Ressourcen kaufen möchte und dann ein Monopol wird, um Profit zu erreichen. Eine ähnliche Zwangspolitik kann eingesetzt werden, um Betrug zu verhindern, während die gewünschte Geheimhaltung und Privatheit ordnungsgemäßer Teilnehmer bewahrt wird.
Die Auktionsspezifikation kann so gestaltet werden, dass das Vorhandensein (und vielleicht die Vertrauenswürdigkeit, wie sie von einer geeigneten Seite bezeugt wird) dieser Algorithmen angezeigt wird, aber die Einzelheiten der Algorithmen geheim bleiben.
Ein Vertrauensmodell arbeitet wie folgt: der Bieter vertraut dem Auktionator nicht. Der Verkäufer vertraut dem Auktionator nicht. Der Bieter und der Verkäufer vertrauen einander nicht. Die Korrektheit und die Sicherheit der Auktionen beruhen nur auf den folgenden Faktoren: Der Hersteller des sicheren Coprozessors produziert die korrekte Hardware. Die Software-Komponenten, Auktionssteuereinheit und Gebotesammeleinheit sind korrekt entwickelt, geladen und laufen auf dem sicheren Coprozessor. Die CA hat die korrekte Bestätigung der öffentlichen Schlüssel des sicheren Coprozessors.
Die Strategien der Verkäufer und der Bieter werden mit dem öffentlichen Schlüssel des SAM verschlüsselt und befinden sich nach der Entschlüsselung im SAM. Infolgedessen kann niemand sonst Zugriff auf diese geheimen Information haben.
Die Art und Weise, in der das Endergebnis veröffentlicht wird, wird in der Auktionsspezifikation spezifiziert und vom SAM befolgt. Infolgedessen kann niemand sonst mehr Informationen über das Endergebnis erhalten als in der Auktionsspezifikation spezifiziert ist.
Wenn digitales Geld, ein elektronischer Scheck oder eine Kreditkartennummer in die Gebote als Bezahlung einbezogen werden, wird die geheime Information innerhalb des SAM gehalten. Die Informationen der Verlierer wird niemand anders gezeigt, während die Informationen des Gewinners nur der betroffenen Partei für das Einkassieren des Geldes gezeigt wird.
Die Identität und die privaten Informationen von Verkäufern und Bietern werden geheim gehalten. Der Schlüssel, der für die Autorisierung von Verkäufern und Bietern benutzt wird, wird auch geheim gehalten.
Die Informationen über die Auktion werden in der Ankündigung veröffentlicht und können durch niemanden, auch nicht den Auktionator modifiziert werden (weil die Ankündigung durch den SAM unterzeichnet wird). Niemand bekommt mehr Informationen über andere als jedermann sonst. Wie das endgültige Resultat zu verteilen ist, wird auch in der Auktionsspezifikation spezifiziert. Deshalb ist es fair in dem Sinn, dass niemand mehr Informationen als andere bekommen kann, ohne dass es öffentlich spezifiziert wird.
Der SAM kann eine innere Uhr mit einer kleinen Abweichungsrate haben, die nicht ohne Autorisierung geändert werden kann. Die Verkäufer, Bieter und der SAM haben eine Möglichkeit, ihre Uhren miteinander zu synchronisieren. Der SAM steuert die Eröffnungszeit und die Schließzeit der Auktion. Deshalb erlebt jeder die gleiche Eröffnungszeit und die gleiche Schließzeit. Weiterhin haben Englische oder Holländische Online-Auktionen gewöhnlich die Ungerechtigkeit, dass verschiedene Bieter einer unterschiedlichen Netzwerk-Verzögerungszeit ausgesetzt sind. Duch Verwendung des SAM können wir diese Ungerechtigkeit ausräumen. Bieter können ihre Strategien während der Bietzeit zum SAM schicken, und dann werden die Strategien entsprechend der Englischen oder Holländischen Auktionsweise bewertet. Da sich die Strategien bereits im SAM befinden, stört keine Netzwerkverzögerungszeit während der Bewertungszeit.
Wie in Fig. 4 gezeigt, kann für jedes Gebot, das vom SAM empfangen wird, eine Quittung 175 empfangen werden. Wenn ein Bieter die Quittung erhält, ist garantiert, dass sein Gebot in der Bewertungsphase bewertet wird, wenn die Auktion zum Abschluss kommt. Sollte die Auktion fehlschlagen (z. B. weil die SAM-Hardware einem Stromausfall oder einer anderen, vielleicht von einem böswilligen Auktionator verursachten Katastrophe ausgesetzt war), behandelt der SAM die fehlgeschlagene Auktion entsprechend der Politik, die in ihrer ursprünglichen Spezifikation angezeigt war. Diese Politik kann vom vollständigen Abbruch bis zur vollständigen erneuten Ausführung reichen und kann Vorkehrungen einschließen, die den SAM abhält, etwas anderes zu tun, bis er diesen Fehler behandelt hat.
Das korrekte Auktionsergebnis wird durch den veröffentlichten Bewertungsalgorithmus, die unangetastete Gebotetabelle und das beglaubigte Endergebnis garantiert.
Die vorliegende Erfindung kann bösartige Angriffe abwehren. Ein allgemeines Angriffsmodell setzt voraus, dass der Angreifer volle Gewalt über das Netzwerk besitzt; deshalb ist es für den Gegner möglich, Nachrichten abzuhören, Nachrichten zu ändern, Nachrichten fallenzulassen oder einzufügen. Es ist für den sicheren Coprozessor wünschenswert, das höchstmögliche Niveau an Widerstand gegen Eingriffe bereitzustellen, und dass sein Hersteller und die CA anständig sind. Wenn eine dieser Parteien unanständig wäre, wären Angriffe trivial.
Ein erster möglicher Angriff ist der Angriff eines Auktionators. Der Auktionator kann versuchen, nach der Schließzeit der Auktion Gebote hinzuzufügen oder zu entfernen. Der SAM macht dies unmöglich, weil er nach der Schließzeit der Auktion aufhört, Gebote zu akzeptieren und keine Änderungen der Gebotetabelle erlaubt.
Auktionatoren oder gewisse Auktionsteilnehmer könnten es wünschen, Gruppen potenzieller Bieter oder alle Bieter daran zu hindern, die Ankündigung einer Auktion zu kennen. Beispielsweise kann ein Auktionator nur Personen, die potenziell Bieter mit niedrigen Geboten sind, die Ankündigung sehen lassen, und daher die Auktion mit einem relativ niedrigen Preis gewinnen und danach eine neue Auktion mit den gleichen Waren mit einer Gruppe von Bietern mit höheren Geboten durchführen und damit Profit machen. Dieser Angriff kann verhindert werden, indem ein vertrauenswürdiger Webserver oder verteilte Webserver für die Ankündigungen von Auktionen verwendet werden und indem die Prüfung dieser Veröffentlichung durch den SAM in die Ankündigung der Auktion einbezogen wird.
Auktionatoren oder gewisse Auktionsteilnehmer könnten die Blockierung der Unterbreitung von vielen Geboten wünschen. Um dieses Problem zu behandeln, benötigen wir entweder ein bestimmtes beglaubigtes Postsystem oder eine bestimmte Möglichkeit, dass der Bieter wirksam Einspruch erheben kann.
Auktionatoren können wünschen, den SAM an der Ausführung der Bewertung oder an der Veröffentlichung des Endergebnisses zu hindern. Ein Auktionator kann den Abbruch einer Auktion erzwingen, indem er den SAM von der Stromversorgung trennt oder ihn zerstört. Alternativ hierzu kann der Auktionator das Endergebnis aufhalten (wenn es in unverschlüsseltem Text vorliegt), bevor es andere erreicht, und dann den SAM zerstören. Diese Verhaltensweisen werden zur Unglaubwürdigkeit des Auktionators beitragen, und der Nutzen, den er daraus zieht, falls es überhaupt einen gibt, kann das nicht Wert sein. Weiterhin kann der SAM diese Probleme behandeln, indem mehrere sichere Techniken mit mehreren Arten der Ergebnismitteilung einbezogen sowie die geeignete Wiederherstellungspolitik spezifiziert und erzwungen wird; beide Punkte würden in die Ankündigung einbezogen.
Im Allgemeinen tritt eine Störung auf, wenn Auktionatoren oder Teilnehmer verschiedene Beeinflussungen durch bestimmte Fakten nutzen, um Informationen mit einem hohen Prozentsatz an Glaubwürdigkeit zu gewinnen oder zu benutzen.
Die vorliegende Erfindung stellt die folgenden Vorteile bereit:
Die Teilnehmer müssen dem Auktionator nicht trauen. Tatsächlich ergibt diese Vorgehensweise einen hohen Grad an Vertraulichkeit und Geheimhaltung sowohl für Verkäufer als auch für Bieter, so dass selbst der Auktionator nicht mehr Informationen gewinnen kann als ein Beobachter von außerhalb. Deshalb verhindert sie automatisch Betrug, der auf dem Insiderwissen des Auktionators beruht.
Diese Vorgehensweise stellt einen universellen Rahmen für sichere elektronische Auktionen bereit. Frühere Vorgehensweisen müssen komplexe kryptographische Algorithmen und komplizierte Systemaufbauten benutzen, um unterschiedliche Sicherheitseigenschaften zu erreichen. Unsere Vorgehensweise ist allgemeiner und flexibler, um sich an neue Auktionsschemata anzupassen und verschiedene Sicherheitseigenschaften bereitzustellen. (Wir möchten betonen, dass die kryptographischen Lösungen gegenwärtig nicht imstande sein, einige grundlegende Auktionsprobleme mit: genügender Sicherheit zu lösen.)
Im SAM legt die Auktionsspezifikation genau fest, welche Informationen privat oder öffentlich sind oder nur einer Teilmenge der Teilnehmer offenbart werden dürfen. Das Auktionsergebnis wird entsprechend den Regeln zur Veröffentlichung des Ergebnisses veröffentlicht. Diese Flexibilität und Fähigkeit zur steuerbaren Verteilung von Informationen wird von den aktuellen kryptographischen Lösungen für sichere Auktionen nicht erreicht.
Wenn ein SAM benutzt wird, um kontinuierlich eine Online- Ressource zu kaufen/verkaufen, zum Beispiel Netzwerk-Bandbreite oder Elektrizität, können wir nicht nur die Geräte im Netzwerk verteilen, wo sich diese Ressource befindet (was an einem nicht vertrauenswürdigen und gefährlichen physischen Ort sein kann), sondern auch die Geräte benutzen, um das Ergebnis des Handels direkt zu realisieren.
Wenn ein SAM für eine Offline-Auktion benutzt wird, verringert er in starkem Maße die E/A-Bandbreite und beseitigt die Verzögerung in der Umlaufzeit für die Rückmeldung und die Unterbreitung der Gebote.
Die Vorgehensweise mit dem SAM kann Betrug und andere Risiken bekämpfen, indem ein vertrauenswürdiger Platz bereitgestellt wird, um Prädikate mit ansonsten privaten Teilnehmerinformationen zu berechnen. Zum Beispiel:
Um das Vorlaufen von Optionen zu verhindern, kann der SAM selbst solche Korrelationen überwachen (ohne ansonsten die Identität des Bieters freizugeben).
Um Geldwasch-Betrügereien zu verhindern, kann der SAM fordern, dass sich Broker zur Zeit des Gebotes kryptographisch zur Identität des Endkunden in jedem Gebot bekennen.
Um Angriffe durch Minderjährige zu verhindern, die hohe (und betrügerische) Gebote eingeben, kann der SAM eine gewisse Belege für die Zahlungsfähigkeit anfordern, bevor ein Gebot akzeptiert wird.
Um bösartige Spieler daran zu hindern, eine kritische Infrastruktur zu ruinieren, kann der SAM Nachweise für die Fähigkeit fordern, die Dienstleistung bereitzustellen, bevor ein Verkäufer akzeptiert wird.
In einem elektronischen Termingeschäfte-Markt stellt der SAM auch einen netten Platz bereit, um Aufträge zu löschen, zum Beispiel einen Vertrag zum Kaufen und einen passenden Vertrag zum Verkaufen.
In verteilten Märkten (wie beim Beispiel des Stromnetzes) können diese Prädikate von verteilten SAN berechnet werden.
Die vorliegende Erfindung stellt durch Verwendung eines sicheren Coprozessors einen sicheren Markt bereit. Diese Vorgehensweise ergibt verschiedene Vorteile: sie stellt die gewünschten Sicherheitseigenschaften bereit; sie ist leistungsfähiger und kostengünstiger als traditionelle Lösungen für mehrere Parteien; sie stellt einen hohen Grad an Geheimhaltung und Vertraulichkeit sowohl für Verkäufer als auch für Bieter bereit, ohne dem Auktionator zu trauen. Deshalb können die Verkäufer und Bieter ihre geheimen Strategien in den sicheren Markt eingeben, der überall stattfinden kann, selbst in feindlichen Umgebungen. Deshalb kann diese Vorgehensweise eine sichere und leistungsfähigere Lösung für kontinuierliche Auktionen oder Mikro-Auktionen für Systemressourcen bereitstellen. Ein weiterer interessanter Punkt besteht darin, dass die Vorgehensweise der Benutzung des sicheren Coprozessors viel flexibler ist als die traditionellen reinen Software-Vorgehensweisen. Im Gegensatz zu vorhandenen Vorgehensweisen, die für jede neue Gruppe von Sicherheitseigenschaften eine andere Gruppe von kryptographischen und Software-Techniken benutzen, stellt diese Vorgehensweise einen allgemeinen Rahmen bereit, der das Potenzial hat, beliebige Auktionsschemata zu umfassen, indem verschiedene Bewertungsprogramme benutzt werden sowie komplexe Sicherheitseigenschaften bereitzustellen, indem der sichere Coprozessor und geeignet gestaltete Protokolle benutzt werden.
Obwohl hier bevorzugte Ausführungsformen der Erfindung gezeigt und beschrieben wurden, versteht es sich, dass solche Ausführungsformen nur als Beispiel bereitgestellt werden. Zahlreiche Variationen, Veränderungen und Substitutionen werden sich den Fachleuten zeigen, ohne vom Geist der Erfindung abzuweichen. Dementsprechend ist beabsichtigt, dass die angefügten Ansprüche alle diese Variationen abdecken, so wie sie dem Geist und dem Bereich der Erfindung entsprechen.

Claims (25)

1. Verfahren zur Ausführung einer Auktion, das die folgenden Schritte umfasst:
Empfang von Anweisungen von einem Auktionator, eine Auktionsspezifikation zu ermöglichen, die Regeln angibt, die mit der Auktion zusammenhängen;
Erzeugung eines Auktionskennzeichners, der mit dieser Auktionsspezifikation zusammenhängt;
Empfang einer Vielzahl von Geboten oder Gebotsstrategien, die mit diesem Auktionskennzeichner verbunden sind, von Bietern;
Ausführung einer Bewertung der empfangenen Gebote oder Gebotsstrategien in einer Umgebung, die dem Auktionator nicht zugänglich ist; und
Bereitstellen eines Ergebnisses der Auktion an die Bieter auf der Grundlage der Bewertung.
2. Verfahren zur Ausführung einer Auktion nach Anspruch 1, das weiterhin die folgenden Schritte umfasst:
Erzeugung eines öffentlichen Schlüssels und eines zugehörigen privaten Schlüssels;
Verschlüsselung der Gebote unter Benutzung des öffentlichen Schlüssels; und
Entschlüsselung der Gebote unter Benutzung des privaten Schlüssels nach dem Empfang dieser Gebote.
3. Verfahren zur Ausführung einer Auktion nach Anspruch 1, in dem die Auktionsspezifikation auf der Grundlage von wenigstens einer Eröffnungszeit der Auktion oder einer Schließzeit der Auktion erzeugt wird, einer Beschreibung von Waren, die der Auktion zugeordnet sind, eines Algorithmus zur Bewertung der Auktionsgebote und von Regeln zur Veröffentlichung des Ergebnisses der Auktion.
4. Verfahren zur Ausführung einer Auktion nach Anspruch 1, das weiterhin den Schritt der Bereitstellung einer Ankündigung der Auktion bei den Bietern, auf der Grundlage des Auktionskennzeichners umfasst, wobei die Ankündigung ein Niveau an Vertrauenswürdigkeit für diese Auktion anzeigt.
5. Verfahren zur Ausführung einer Auktion nach Anspruch 1, in dem jedes Gebot einen Berechtigungscode enthält, wobei das Verfahren weiterhin den Schritt der Prüfung des Berechtigungscodes umfasst, um festzustellen, ob das Gebot von einem Bieter übertragen wurde, der vorher autorisiert wurde, an der Auktion teilzunehmen.
6. Verfahren zur Ausführung einer Auktion nach Anspruch 1, das weiterhin den Schritt umfasst, von einem Verkäufer Spezifikationen zu erhalten, die die Bewertung der empfangenen Gebote beeinflussen.
7. Verfahren zur Ausführung einer Auktion nach Anspruch 1, in dem die Anweisungen mit einem öffentlichen Schlüssel verschlüsselt werden.
8. Verfahren zur Ausführung einer Auktion nach Anspruch 1, in dem die Bezahlungsinformation in jedes Gebot eingeschlossen wird.
9. Verfahren zur Ausführung einer Auktion nach Anspruch 1, das weiterhin den Schritt umfasst, jedem der Bieter Informationen bereitzustellen, die bestätigen, dass die Bewertung in einer erwarteten Art und Weise ausgeführt wurde, wobei jeder Bieter die Angabe erwartet, wobei das Verfahren weiterhin den Schritt umfasst, eine weitere Angabe bereitzustellen, wenn die Angabe von den Bietern nicht empfangen wird.
10. Sicherer Auktionsmarkt, auf dem eine Auktion ausgeführt wird, der umfasst:
eine Auktionssteuereinheit, die eine Auktionsspezifikation von einem Auktionator empfängt, die Regeln anzeigt, die zu der Auktion gehören und die einen Auktionskennzeichner erzeugt, der zu dieser Auktionsspezifikation gehört;
eine Gebotesammeleinheit, um von Bietern eine Vielzahl von mit einem öffentlichen Schlüssel verschlüsselten Geboten zu empfangen, die mit diesem Auktionskennzeichner verbunden sind;
eine Bewertungseinheit für die Entschlüsselung der Gebote mit einem privaten Schlüssel und Erzeugung eines Ergebnisses der Auktion in einer Umgebung, die dem Auktionator nicht zugänglich ist.
11. Sicherer Auktionsmarkt nach Anspruch 10, in dem sich der sichere Auktionsmarkt in einem sicheren Prozessor befindet und in dem der private Schlüssel außerhalb des Prozessors nicht zugänglich ist.
12. Sicherer Auktionsmarkt nach Anspruch 10, in dem die Auktionsspezifikation auf der Grundlage von wenigstens einer Eröffnungszeit der Auktion und einer Schließzeit der Auktion, einer Beschreibung von Waren, die der Auktion zugeordnet sind, eines Algorithmus zur Bewertung der Auktionsgebote und von Regeln zur Veröffentlichung des Ergebnisses der Auktion erzeugt wird.
13. Sicherer Auktionsmarkt nach Anspruch 10, der weiterhin den Schritt der Bereitstellung einer Ankündigung der Auktion bei den Bietern, auf der Grundlage des Auktionskennzeichners umfasst, wobei die Ankündigung ein Niveau an Vertrauenswürdigkeit für diese Auktion anzeigt.
14. Sicherer Auktionsmarkt nach Anspruch 10, in dem jedes Gebot einen Autorisierungscode enthält, in dem die Bewertungseinheit den Autorisierungscode prüft, um festzustellen, ob das Gebot von einem Bieter übertragen wurde, der vorher autorisiert wurde, an dieser Auktion teilzunehmen.
15. Sicherer Auktionsmarkt nach Anspruch 10, in dem die Auktionssteuereinheit von einem Verkäufer Spezifikationen erhält, die die Bewertung der empfangenen Gebote beeinflussen.
16. Sicherer Auktionsmarkt nach Anspruch 10, in dem die Regeln mit einem öffentlichen Schlüssel verschlüsselt werden.
17. Sicherer Auktionsmarkt nach Anspruch 10, in dem die Bezahlungsinformation in jedes Gebot eingeschlossen wird.
18. Sicherer Auktionsmarkt nach Anspruch 10, in dem die Bewertungseinheit jedem Bieter Informationen sendet, die bestätigen, dass die Bewertung in einer erwarteten Art und Weise ausgeführt wurde, wobei jeder Bieter die Angabe erwartet, und in dem die Bewertungseinheit eine weitere Angabe sendet, wenn die Angabe von den Bietern nicht empfangen wird.
19. Verfahren zur Durchführung einer Auktion nach Anspruch 1, wobei die Umgebung für den Auktionator immer unzugänglich ist.
20. Verfahren zur Durchführung einer Auktion nach Anspruch 1, das weiterhin die folgenden Schritte enthält:
Verschlüsselung der Gebote mit einem öffentlichen Schlüssel, der von einer empfangenden Partei erzeugt wurde;
Senden der verschlüsselten Gebote an die empfangende Partei; und
Befähigung der empfangenden Partei, die Gebote zu entschlüsseln.
21. Produktionsartikel, der ein computernutzbares Medium umfasst, das computerlesbare Programmcodemittel aufweist, die darin zur Durchführung einer Auktion enthalten sind, wobei das computerlesbare Programmmittel in dem Produktionsartikel computerlesbare Programmcodemittel umfasst, um einen Computer zu veranlassen, Folgendes zu realisieren:
Empfang von Anweisungen von einem Auktionator, eine Auktionsspezifikation freizugeben, die Regeln angibt, die mit der Auktion zusammenhängen;
Erzeugung eines Auktionskennzeichners, der mit dieser Auktionsspezifikation zusammenhängt;
Empfang einer Vielzahl von Geboten oder Gebotsstrategien, die mit diesem Auktionskennzeichner verbunden sind, von Bietern;
Ausführung einer Bewertung von empfangenen Geboten oder Gebotsstrategien in einer Umgebung, die dem Auktionator nicht zugänglich ist; und
Bereitstellung eines Ergebnisses der Auktion an die Bieter auf der Grundlage der Bewertung.
22. Produktionsartikel, wie in Anspruch 21 angeführt, wobei das computerlesbare Programmcodemittel in diesem Produktionsartikel Programmcodemittel umfasst, um einen Computer zu veranlassen, Folgendes zu realisieren:
Erzeugung eines öffentlichen Schlüssels und eines zugehörigen privaten Schlüssels;
Verschlüsselung der Gebote unter Benutzung des öffentlichen Schlüssels; und
Entschlüsselung der Gebote unter Benutzung des privaten Schlüssels nach dem Empfang dieser Gebote.
23. Maschinenlesbare Programmspeichereinheit, die greifbar ein Programm mit Befehlen enthält, die von der Maschine ausgeführt werden können, um Verfahrensschritte zur Ausführung einer Auktion auszuführen, wobei das Verfahren die folgenden Schritte umfasst:
Empfang von Anweisungen von einem Auktionator, eine Auktionsspezifikation freizugeben, die Regeln angibt, die mit der Auktion zusammenhängen;
Erzeugung eines Auktionskennzeichners, der mit dieser Auktionsspezifikation zusammenhängt;
Empfang einer Vielzahl von Geboten oder Gebotsstrategien, die mit diesem Auktionskennzeichner verbunden sind, von Bietern;
Ausführung einer Bewertung von empfangenen Geboten oder Gebotsstrategien in einer Umgebung, die dem Auktionator nicht zugänglich ist; und
Bereitstellung eines Ergebnisses der Auktion an die Bieter auf der Grundlage der Bewertung.
24. Programmspeichereinheit wie in Anspruch 23 angeführt, wobei die Programmspeichereinheit greifbar das Programm mit Befehlen enthält, die von der Maschine ausgeführt werden können, um die folgenden weiteren Verfahrensschritte auszuführen:
Erzeugung eines öffentlichen Schlüssels und eines zugehörigen privaten Schlüssels;
Verschlüsselung der Gebote unter Benutzung des öffentlichen Schlüssels; und
Entschlüsselung der Gebote unter Benutzung des privaten Schlüssels nach dem Empfang dieser Gebote.
25. Computerprogrammprodukt, das ein computernutzbares Medium umfasst, das computerlesbare Programmcodemittel aufweist, die darin zur Veranlassung der Durchführung einer Auktion enthalten sind, wobei das computerlesbare Programmmittel in dem Computerprogrammprodukt computernutzbare Programmcodemittel umfasst, um einen Computer zu veranlassen, Folgendes zu realisieren:
Erzeugung eines öffentlichen Schlüssels und eines zugehörigen privaten Schlüssels;
Verschlüsselung der Gebote unter Benutzung des öffentlichen Schlüssels; und
Entschlüsselung der Gebote unter Benutzung des privaten Schlüssels nach dem Empfang dieser Gebote.
DE2001114188 2000-04-04 2001-03-23 Ein sicherer Auktionsmarkt unter Benutzung eines sicheren Coprozessors Withdrawn DE10114188A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US54278000A 2000-04-04 2000-04-04

Publications (1)

Publication Number Publication Date
DE10114188A1 true DE10114188A1 (de) 2001-10-18

Family

ID=24165247

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001114188 Withdrawn DE10114188A1 (de) 2000-04-04 2001-03-23 Ein sicherer Auktionsmarkt unter Benutzung eines sicheren Coprozessors

Country Status (2)

Country Link
JP (1) JP2001357252A (de)
DE (1) DE10114188A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU755414B2 (en) * 1998-09-14 2002-12-12 Ncr International, Inc. System and method for conducting an electronic auction over an open communications network

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4367957B2 (ja) 2006-11-30 2009-11-18 インターナショナル・ビジネス・マシーンズ・コーポレーション オークション・システム用自動応札エージェント
WO2017069639A1 (en) * 2015-10-20 2017-04-27 Websoft Limited Systems and methods for auction customer engagement platform
WO2019186978A1 (ja) * 2018-03-29 2019-10-03 日本電気株式会社 電子取引システム、取引サーバ、検証サーバ、電子取引方法及びプログラム
US20220245722A1 (en) * 2019-06-25 2022-08-04 Nec Corporation Electronic trading system, trading management server, electronic trading method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU755414B2 (en) * 1998-09-14 2002-12-12 Ncr International, Inc. System and method for conducting an electronic auction over an open communications network

Also Published As

Publication number Publication date
JP2001357252A (ja) 2001-12-26

Similar Documents

Publication Publication Date Title
Desai et al. A hybrid blockchain architecture for privacy-enabled and accountable auctions
CN112235114B (zh) 基于区块链的业务处理系统
CN108885761B (zh) 用于区块链上的安全点对点通信的方法
DE112011100182B4 (de) Datensicherheitsvorrichtung, Rechenprogramm, Endgerät und System für Transaktionsprüfung
US20200143337A1 (en) Secure computer network-based platform
DE69423454T2 (de) Anonyme Kreditkartentransaktionen
DE102019123253A1 (de) System und einrichtung für datenvertraulichkeit im distributed ledger
JP2024102313A (ja) ブロックチェーン上の交換を実施するためのトークン化方法及びシステム
DE69620460T2 (de) Sicherer anonymer informationsaustausch in einem netzwerk
DE69828971T2 (de) Symmetrisch gesichertes elektronisches Kommunikationssystem
DE69521413T2 (de) Verschlüsselungseinrichtung und verfahren mit möglichkeit zur gesicherten zentralen schlüsselablage
DE60315726T2 (de) Verfahren zum sicherstellen von anonymität in einer elektronischen transaktion mittels sitzungsschlüsselblöcken
CN111369730B (zh) 基于区块链的投票表决处理方法和装置
DE102009038645A1 (de) Verfahren und tragbarer Datenträger zum Übertragen eines geldwerten Betrages in Form eines elektronischen Datensatzes zwischen einer ersten nichtzentralen Instanz und einer zweiten nichtzentralen Instanz
EP3295354A1 (de) Verfahren und vorrichtung zur authentifizierung eines dienstnutzers für eine zu erbringende dienstleistung
DE202018102306U1 (de) Systeme zur persönlichen Identifizierung und Verifizierung
CN112001790A (zh) 基于区块链的贷后监控处理方法、系统及各节点
CN115147224A (zh) 基于联盟链的交易数据共享方法及装置
WO2010089049A1 (de) Mobiles zahlungsverfahren und vorrichtungen
EP1477882A2 (de) Dezentrales, tokenbasiertes Accountingsystem für autonome, verteilte Systeme
CN102129653A (zh) 一种基于审计逻辑单元的电子商务审计方法
Perrig et al. SAM: A Flexible and Secure Auction Architecture Using Trusted Hardware.
KR20200001301A (ko) 중앙화 네트워크 기반 가상화폐 거래 플랫폼 임대 서비스 제공 방법
DE102005008610A1 (de) Verfahren zum Bezahlen in Rechnernetzen
DE10114188A1 (de) Ein sicherer Auktionsmarkt unter Benutzung eines sicheren Coprozessors

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8130 Withdrawal