超级会员免费看
同态电子拍卖的效率改进
在同态电子拍卖中,传统的验证协议存在效率瓶颈。其验证协议会使每个投标人承担比投标加密更高的成本,验证者至少需要进行 $O(wn)$ 次指数运算。而且,尽管二分查找只需遍历 $\log_2 w$ 个价格,但在查找路径上的每个价格都需要进行范围测试,尤其是在需要维护隐私或范围大小 $\kappa$ 较大时,寻找中标价格的效率仍然不够高。
高效同态电子拍卖的特点
同态电子拍卖中投标有效性的公开证明和验证有以下特点:
-
验证者分类
:验证者可分为拍卖师和独立观察者两类。拍卖师是电子拍卖的关键参与者,与投标人利益相悖,他们希望成交价格尽可能高,因此热衷于验证投标的有效性;独立观察者不参与拍卖应用,对电子拍卖没有利益诉求,通常假定拍卖师会尽力挑战投标人,他们仅作为见证者,不输入任何内容,仅被动验证投标人的响应是否与拍卖师的挑战匹配。所以,拍卖师是主要验证者,其他验证者是见证者。
-
交互性差异
:在投标有效性检查中,通常只有投标人希望非交互,而拍卖师作为电子拍卖系统的管理者,应能够以可交互的方式发布初始挑战(以可投标价格的签名形式),实际上他们只需通过公告板发布初始挑战,无需与每个投标人单独交互。
-
计算能力差异
:拍卖师通常拥有强大的服务器和高速通信通道,而投标人可能计算能力较低或通信带宽有限。并且有多个投标人,每个投标人都必须证明其投标的有效性,因此基于成员证明的投标有效性检查必须多次重复,可投标价格相同,无论哪个投标人是证明者,拍卖师始终是主要验证者,其他验证者只是独立见证者。
新的同态电子拍卖协议
这些特点符合特殊成员证明技术的应用条件,因此可将其应用于同态电子拍卖的投标有效性检查。在新设计中,每个投标人的投标选择被组合成一个整数,然后使用成员证明技术证明该整数在一个集合中。组合操作计算 $w$ 次幂的乘积,根据相关研究,其计算效率比 $w$ 次单独的指数运算更高。为提高效率,在开标阶段采用二分查找,并在二分查找路径上的价格处对投标选择的总和进行范围测试时,采用高效的范围测试技术。以下是改进后的同态电子拍卖协议,其中有 $\kappa$ 个相同物品待售:
1.
初始设置
:
- 建立具有分布式解密的 Paillier 加密,私钥由拍卖师 $A_1, A_2, \cdots, A_m$ 共享,参数与相关部分相同,消息空间为 $Z_N$,乘法模数为 $N^2$。
- 要求 $n < N$,在实际应用中,对于任何安全的 $N$ 和实际的 $n$,该条件总是满足。
- 为拍卖师建立数字签名算法。
- 建立公告板,供拍卖师和投标人发布信息。
2.
投标阶段(包括投标有效性检查)
:
- 每个投标人 $V_i$ 选择其投标 $p_{\rho}$ 并生成投标向量 $(s_{i,1}, s_{i,2}, \cdots, s_{i,w})$,其中当 $l = \rho$ 时,$s_{i,l} = 1$,否则 $s_{i,l} = 0$。每个投标向量被加密为 $(c_{i,1}, c_{i,2}, \cdots, c_{i,w})$,其中 $c_{i,l} = g^{s_{i,l}}r_{i,l}^N$,$r_{i,l}$ 是从 $Z_N^
$ 中随机选择的。
- 拍卖师合作生成一个集合 $S = {S_1, S_2, \cdots, S_w}$,其中每个 $S_i$ 是所有拍卖师共同选择的 $Z_N$ 中的随机整数,并将其发布在公告板上。
- 拍卖师使用数字签名算法对 $S$ 中的所有整数逐一签名,并将签名 $\gamma_1, \gamma_2, \cdots, \gamma_w$ 发布在公告板上,以便任何人都能验证签名的有效性。
- 拍卖师计算 $C_i = \prod_{l = 1}^{w} c_{i,l}^{S_l}$,对于 $i = 1, 2, \cdots, n$,每个投标人 $V_i$ 使用图 2 中的证明协议证明他知道拍卖师对 $C_i$ 中消息的签名。
3.
开标阶段
:
- 调整密封投标:$c_{i,l}’ = \prod_{j = l}^{w} c_{i,j}$,对于 $i = 1, 2, \cdots, n$ 和 $l = 1, 2, \cdots, w - 1$,使得 $c_{i,l}’$ 包含 1 当且仅当 $V_i$ 愿意支付 $p_l$。
- 拍卖师合作寻找中标投标,采用二分查找以提高效率。在查找路径上的每个价格 $p_l$ 处,拍卖师合作测试 $D(\sum_{i = 1}^{n} c_{i,l}’) < \kappa$ 是否成立。如果成立,搜索转向较低价格;否则,搜索转向较高价格,直到找到中标价格。
4.
中标者识别阶段
*:
- 假设二分查找在价格 $p_K$ 处停止,拍卖师合作解密 $p_K$ 处的所有投标选择。
- 如果 $p_K$ 处选择“1”的数量为 $\kappa$,则没有平局,$p_K$ 处选择“1”的投标人是中标者。
- 如果 $p_K$ 处选择“1”的数量小于 $\kappa$,拍卖师合作解密 $p_{K + 1}$ 处的所有投标选择。假设 $p_K$ 处选择“1”的数量为 $\delta$,则 $p_K$ 处选择“1”的投标人和 $p_{K + 1}$ 处前 $\kappa - \delta$ 个选择“1”的投标人是中标者。
- 如果 $p_K$ 处选择“1”的数量大于 $\kappa$,则 $p_K$ 处前 $\kappa$ 个选择“1”的投标人是中标者。
成员证明协议
假设 $C_i = g^{\alpha}\beta^N$ 且 $\alpha = S_{\sigma}$,投标人 $V_i$ 按以下步骤证明 $\alpha$ 在 $S$ 中:
1. $V_i$ 在 $Z_N$ 中随机选择 $\nu$ 并发布 $\mu = \gamma_{\sigma}^{\nu}$,他证明自己知道 $\alpha, \nu, S_{\sigma}, \beta$ 使得 $C_i = g^{\alpha}\beta^N$ 且 $\mu = g^{\nu / (x + S_{\sigma})}$。
2. $V_i$ 在 $Z_N$ 中随机选择 $\epsilon, \tau, \omega$ 并发布 $a = e(\mu, g)^{-\epsilon}e(g, g)^{\tau}$ 和 $d = g^{\epsilon}\omega^N$。
3. $c = H(\mu, C_i, a, d)$,其中 $H$ 是一个哈希函数,用于生成(伪)随机挑战。
4. $V_i$ 发布 $z_1 = \epsilon - cS_{\sigma}$,$z_2 = \tau - c\nu$ 和 $z_3 = \omega / \beta^c$。
公开验证
:
- $d = C_i^c z_3^N g^{z_1}$
- $a = e(\mu, y)^c e(\mu, g)^{z_1} e(g, g)^{z_2}$
效率对比
| 方案 | 投标人成本 | 示例 | 拍卖师成本 | 示例 |
|---|---|---|---|---|
| 现有方案 | $6w$ | $6144$ | $4nw + 7\kappa \log_2 w + 3n$ | $4051420$ |
| 新方案 | $2w + 8$ | $2056$ | $\approx 0.2nw + 20 \log_2 w + 16n$ | $221000$ |
从表中可以看出,新的同态电子拍卖方案在效率上明显优于现有方案,无论是对投标人还是拍卖师来说,成本都显著降低。例如,当 $n = 1000$ 且 $w = 1024$ 时,新方案的优势更加明显。通过采用特殊的成员证明技术和高效的范围测试技术,新方案成功克服了同态电子拍卖中的效率瓶颈,为电子拍卖的实际应用提供了更高效的解决方案。
同态电子拍卖的效率改进
安全性分析
新的同态电子拍卖方案的安全性体现在以下几个方面:
-
整体策略安全
:新方案采用了与现有同态电子拍卖方案相同的主要策略,包括通过加法同态加密进行投标密封、同态开标、二分查找中标投标以及测试每个搜索价格处投标选择的总和。由于这种利用同态性的策略在现有方案中已被正式证明是安全的,因此将其应用于新方案同样安全。
-
投标有效性检查安全
:新方案中的投标有效性检查机制基于 Camenisch 等人提出的成员证明技术,以及一种将投标人的投标选择组合成成员证明集合中一个整数的新组合机制。成员证明技术已被正式证明是安全的,并且相关定理保证了新方案中投标有效性检查的安全性。
-
范围测试安全
:新方案中投标选择总和的基本测试简单直接,其安全性显而易见。而高级测试基于 Peng 等人提出的范围测试技术,该技术的安全性也已被正式证明。因此,新方案中投标选择总和的范围测试是安全的。
定理 1
:如果 $(c_{i,1}, c_{i,2}, \cdots, c_{i,w})$ 中的投标向量无效,那么 $C_i$ 中加密的消息属于集合 $S$ 的概率可以忽略不计。
证明
:由于 $(c_{i,1}, c_{i,2}, \cdots, c_{i,w})$ 无效,那么加密成 $(c_{i,1}, c_{i,2}, \cdots, c_{i,w})$ 的投标向量 $(s_{i,1}, s_{i,2}, \cdots, s_{i,w})$ 有以下两种情况:
-
情况一:只有一个非零整数
:假设 $s_{i,L} \neq 0$,由于 $(c_{i,1}, c_{i,2}, \cdots, c_{i,w})$ 无效,所以 $s_{i,L} \neq 1 \mod N$。那么 $D(C_i) = D(\prod_{l = 1}^{w} c_{i,l}^{S_l}) = \sum_{l = 1}^{w} s_{i,l}S_l = s_{i,L}S_L \neq S_L \mod N$,而且 $D(C_i) = D(\prod_{l = 1}^{w} c_{i,l}^{S_l}) = \sum_{l = 1}^{w} s_{i,l}S_l = s_{i,L}S_L = S_{L’} \mod N$(其中 $L’ \neq L$ 且 $1 \leq L’ \leq w$)的概率为 $(w - 1) / N$,因为 $S_1, S_2, \cdots, S_w$ 是在 $Z_N$ 中随机选择的。因此,$D(C_i) = S_{L’} \mod N$($1 \leq L’ \leq w$)的概率可以忽略不计。
-
情况二:有多个非零整数
:假设在 $s_{i,1}, s_{i,2}, \cdots, s_{i,w}$ 中只有 $s_{i,T_1}, s_{i,T_2}, \cdots, s_{i,T_{\pi}}$ 是非零整数,其中 $1 \leq T_1, T_2, \cdots, T_{\pi} \leq w$ 且 $\pi > 1$。那么 $D(C_i) = D(\prod_{l = 1}^{w} c_{i,l}^{S_l}) = \sum_{l = 1}^{w} s_{i,l}S_l = \sum_{l = 1}^{\pi} s_{i,T_l}S_{T_l} \mod N$。由于 $S_1, S_2, \cdots, S_w$ 是在 $Z_N$ 中随机选择的,所以 $D(C_i) = S_{L’} \mod N$($1 \leq L’ \leq w$)的概率为 $w / N$,同样可以忽略不计。
综上所述,在两种情况下,$C_i$ 中加密的消息属于集合 $S$ 的概率都可以忽略不计。
范围测试流程
在开标阶段,需要对投标选择的总和进行范围测试,具体流程如下:
1. 计算 $C_l’ = \sum_{i = 1}^{n} c_{i,l}’$。
2. 根据 $\kappa$ 的大小选择不同的测试方法:
-
$\kappa$ 较小时(例如 $\leq 3$)
:采用基本测试,步骤如下:
- 拍卖师计算 $B_k = C_l’ / g^{k - 1}$,其中 $k = 1, 2, \cdots, \kappa$。
- 所有拍卖师轮流使用洗牌协议(如[11])对 $B_1, B_2, \cdots, B_{\kappa}$ 进行洗牌,该协议会对输入的密文进行重新加密和重新排序,最后输出 $B_1’, B_2’, \cdots, B_{\kappa}’$。
- 拍卖师测试 $B_1’, B_2’, \cdots, B_{\kappa}’$ 中是否加密了零,具体步骤如下:
- 令 $k = 1$。
- 对于 $j = 1, 2, \cdots, m$,每个拍卖师 $A_j$ 在 $Z_N$ 中随机选择一个非零整数 $t_j$,并计算 $B_{k,j}’ = B_{k,j - 1}’^{t_j}$,其中 $B_{k,0}’ = B_k’$。每个 $A_j$ 通过离散对数的零知识证明来公开证明其操作的有效性,即证明他知道 $\log_{B_{k,j - 1}’} B_{k,j}’$。
- 拍卖师合作解密 $B_{k,m}’$,如果解密结果为零,则返回 TRUE 并跳出循环。
- 如果 $k = \kappa$,则返回 FALSE 并跳出循环;否则,$k \leftarrow k + 1$ 并转到步骤 2(c)i 继续循环。
- 如果返回 TRUE,则说明 $B_1’, B_2’, \cdots, B_{\kappa}’$ 中加密了零,即 $D(\sum_{i = 1}^{n} c_{i,l}’) < \kappa$。
-
$\kappa$ 较大时
:采用高级测试,即使用 [21,22,24,25] 中提出的范围测试技术,更高效地测试 $D(\sum_{i = 1}^{n} c_{i,l}’)$ 是否在 ${0, 1, \cdots, \kappa - 1}$ 范围内,具体实现可参考相关文献。
mermaid 格式流程图如下:
graph TD;
A[开始] --> B[计算 C_l' = Σc_i,l'];
B --> C{κ ≤ 3?};
C -- 是 --> D[基本测试];
C -- 否 --> E[高级测试];
D --> F[计算 B_k = C_l' / g^(k - 1)];
F --> G[拍卖师轮流洗牌 B_k];
G --> H[测试 B_k' 中是否加密零];
H --> I{解密结果为零?};
I -- 是 --> J[返回 TRUE];
I -- 否 --> K{K = κ?};
K -- 是 --> L[返回 FALSE];
K -- 否 --> M[k = k + 1];
M --> H;
E --> N[使用文献中的范围测试技术];
J --> O[结束];
L --> O;
N --> O;
总结
新的同态电子拍卖方案是特殊成员证明技术和高效范围测试技术的恰当应用。通过将投标人的投标选择组合成一个整数,并采用二分查找和高效的范围测试技术,新方案成功克服了同态电子拍卖中的效率瓶颈。与现有方案相比,新方案在效率上有显著提升,无论是投标人还是拍卖师的成本都大大降低。同时,新方案在安全性上也有充分的保障,采用的策略和技术都已被正式证明是安全的。因此,新方案为同态电子拍卖的实际应用提供了更高效、更安全的解决方案。
扫一扫
17
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
