王佳琪，魯寧,2，程慶豐，巫朝霞，史聞博

（1.東北大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，遼寧 沈陽 110819；2.西安電子科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，陜西 西安 710126；3.信息工程大學(xué)四院，河南 鄭州 450001；4.數(shù)學(xué)工程與先進(jìn)計(jì)算國(guó)家重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001；5.新疆財(cái)經(jīng)大學(xué)應(yīng)用數(shù)學(xué)學(xué)院，新疆 烏魯木齊 830012；6.東北大學(xué)秦皇島分校計(jì)算機(jī)與通信工程學(xué)院，河北 秦皇島 066004）

1 引言

近幾年，由于無線通信業(yè)務(wù)的迅猛發(fā)展，對(duì)頻譜資源的需求呈爆炸性增長(zhǎng)趨勢(shì)[1-3]。為提高其利用率，業(yè)界提出頻譜拍賣的概念[4]，一方面鼓勵(lì)頻譜擁有者可隨時(shí)自行售賣或出租空閑的頻譜資源；另一方面允許頻譜買家購買回收已出售的頻譜資源，實(shí)現(xiàn)二次分配?；诖?，根據(jù)拍賣活動(dòng)的開展方式，頻譜拍賣方案可分為“一對(duì)多”和“多對(duì)一”2種。前者是正向拍賣，其中拍賣人為頻譜擁有者，競(jìng)標(biāo)人則為購買用戶，在每輪拍賣過程中，頻譜拍賣人以最大化自身收益為目的，采用競(jìng)價(jià)方式來選定頻譜贏家。后者是逆向拍賣，它以頻譜買家為拍賣人，頻譜擁有者為競(jìng)標(biāo)人，通過采購方式來選定拍賣贏家，最大化自身利益。目前，絕大部分研究工作都偏向于頻譜交易市場(chǎng)上更常見的“一對(duì)多”正向拍賣，忽略了可完成頻譜二次分配的“多對(duì)一”逆向拍賣，而后者也是提高頻譜資源利用率所需的手段。例如，美國(guó)于2017年就曾通過逆向拍賣回收部分已分配但被閑置的頻譜資源，進(jìn)而實(shí)現(xiàn)了頻譜資源的二次利用[5]。因此，本文重點(diǎn)關(guān)注“多對(duì)一”的逆向頻譜拍賣方案。

目前，政府利用逆向頻譜拍賣向頻譜擁有者回收閑置頻譜并二次分配頻譜資源，以提高頻譜利用率[6]?，F(xiàn)有逆向頻譜拍賣的買賣雙方只以價(jià)格展開博弈，進(jìn)而確定贏家。雖然以價(jià)格展開博弈的單屬性逆向頻譜拍賣比較容易實(shí)現(xiàn)，但在實(shí)際拍賣場(chǎng)景中，出讓頻譜報(bào)價(jià)較低的賣家并不一定會(huì)成為拍賣贏家。因?yàn)檎厥臻e置頻譜的目的是將頻譜重新打包規(guī)劃，進(jìn)而將其分配給那些真正需要頻譜、展開頻譜業(yè)務(wù)的頻譜買家。因此，除了價(jià)格，政府還需參考待分配頻譜買家的業(yè)務(wù)需求。例如，美國(guó)聯(lián)邦通信委員會(huì)（FCC,Federal Communications Commission）在評(píng)估廣播業(yè)務(wù)出讓頻譜的價(jià)格時(shí)，往往將服務(wù)人口、覆蓋地區(qū)范圍以及放棄原頻段的方式等屬性考慮在內(nèi)。國(guó)內(nèi)由于網(wǎng)絡(luò)制式不同，所需的頻率范圍、帶寬、不同服務(wù)地區(qū)等屬性都會(huì)影響某一段頻譜的價(jià)格以及再分配的利用率。由此可見，為提高頻譜資源的利用率，政府應(yīng)將與頻譜有關(guān)的多屬性因素考慮在內(nèi)，開展多屬性的逆向頻譜拍賣。

除了上述存在的問題，網(wǎng)絡(luò)環(huán)境的復(fù)雜性也使逆向頻譜拍賣面臨諸多安全風(fēng)險(xiǎn)，主要包括以下幾個(gè)方面。1)隱私問題。競(jìng)標(biāo)信息是敏感信息，一旦被不法分子獲取并販賣給他人，可能會(huì)導(dǎo)致拍賣失敗，甚至給用戶造成無法估量的經(jīng)濟(jì)損失。因此，競(jìng)標(biāo)信息需要保密。2)安全的數(shù)據(jù)傳輸。在頻譜拍賣執(zhí)行時(shí)，需要確保頻譜拍賣參與者之間數(shù)據(jù)傳輸?shù)陌踩裕乐贡粚?duì)手惡意篡改數(shù)據(jù)，從而導(dǎo)致錯(cuò)誤的拍賣結(jié)果。3)欺詐勾結(jié)。頻譜拍賣的拍賣人通常由頻譜擁有者或頻譜買家授權(quán)的第三方代理機(jī)構(gòu)所擔(dān)任。拍賣人為賺取更多利潤(rùn)可能與一個(gè)或多個(gè)頻譜競(jìng)標(biāo)人合謀操縱拍賣，將拍賣結(jié)果導(dǎo)向?qū)λ麄冇欣囊环街率古馁u失敗。4)公開驗(yàn)證。公開驗(yàn)證頻譜贏家的合法性，證明頻譜拍賣結(jié)果的正確性、頻譜拍賣執(zhí)行的公平性。

針對(duì)上述挑戰(zhàn)，本文提出了一個(gè)面向隱私保護(hù)的多屬性逆向頻譜拍賣（PMRA,privacy-preserving multi-attribute reverse spectrum auction）方案。PMRA方案將頻譜的非價(jià)格正向?qū)傩裕ㄈ鐜?、地理覆蓋范圍等屬性）引入逆向頻譜拍賣中，并利用多屬性決策效用理論，由頻譜的非價(jià)格正向?qū)傩灾?、頻譜價(jià)格來計(jì)算頻譜決策效用函數(shù)，從而確定頻譜贏家以及最優(yōu)的頻譜資源方案。其次，逆向頻譜拍賣往往忽略了頻譜拍賣中所涉及的安全問題，為確保逆向頻譜拍賣的安全性，PMRA方案提出多屬性逆向頻譜拍賣架構(gòu)并設(shè)計(jì)安全協(xié)議。PMRA方案安全協(xié)議不僅利用Paillier加密及其門限機(jī)制確保了頻譜拍賣服務(wù)器的安全性與可靠性，還引入了不經(jīng)意傳輸技術(shù)、匿名化技術(shù)，保證了頻譜拍賣中所需的安全特性。

2 PMRA方案

本節(jié)首先介紹PMRA方案的多屬性逆向頻譜拍賣架構(gòu)，并給出在該架構(gòu)下各個(gè)參與方的定義。其次，介紹PMRA方案在多屬性逆向頻譜拍賣架構(gòu)下的威脅模型。

2.1 多屬性逆向頻譜拍賣架構(gòu)

頻譜拍賣中的買賣雙方只針對(duì)價(jià)格展開博弈，從而確定頻譜贏家，并未將與頻譜有關(guān)的非價(jià)格多屬性考慮在內(nèi)。其次，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，已有的頻譜拍賣方案通常引入一個(gè)半誠(chéng)實(shí)的第三方代理機(jī)構(gòu)，頻譜買家與代理機(jī)構(gòu)協(xié)作共同完成頻譜拍賣。但在實(shí)際應(yīng)用環(huán)境中，代理人有可能被頻譜競(jìng)標(biāo)人收買，從而泄露重要的隱私數(shù)據(jù)，這可能導(dǎo)致錯(cuò)誤的頻譜拍賣結(jié)果。因此，如何使頻譜買家獲得最優(yōu)的頻譜資源并保證頻譜拍賣的安全性十分重要。頻譜拍賣的目的是為頻譜擁有者賺取利潤(rùn)并滿足頻譜買家對(duì)頻譜資源的訴求，在確保頻譜拍賣安全運(yùn)行的同時(shí)合理地分配頻譜資源。以此為出發(fā)點(diǎn)，本文將傳統(tǒng)頻譜拍賣中存在的單一半誠(chéng)實(shí)代理機(jī)構(gòu)由一組頻譜拍賣人所取代，提出一個(gè)多屬性逆向頻譜拍賣架構(gòu)。PMRA方案基于此架構(gòu)，利用Paillier門限機(jī)制可有效地防止頻譜參與方任意兩方的相互勾結(jié)，可避免因隱私數(shù)據(jù)的泄露而導(dǎo)致錯(cuò)誤的頻譜拍賣結(jié)果，從而確保了頻譜拍賣服務(wù)器的可靠性與安全性。在頻譜拍賣執(zhí)行過程中，為確保競(jìng)標(biāo)人（頻譜擁有者）身份的匿名性與競(jìng)標(biāo)方案的隱私性，方案利用匿名化技術(shù)隱藏競(jìng)標(biāo)人的身份信息，并利用Paillier加密方案加密頻譜競(jìng)標(biāo)人的競(jìng)標(biāo)信息（頻譜價(jià)格與非價(jià)格正向?qū)傩灾担?。每個(gè)頻譜拍賣人所擁有的分治集中式頻譜拍賣服務(wù)器通過不經(jīng)意傳輸技術(shù)獲取頻譜競(jìng)標(biāo)人加密的頻譜競(jìng)標(biāo)方案，并計(jì)算密文狀態(tài)下的頻譜決策效用函數(shù)。最后，頻譜買家收到服務(wù)器發(fā)送的部分解密與驗(yàn)證信息以還原明文，當(dāng)還原所有頻譜競(jìng)標(biāo)人的頻譜決策效用函數(shù)后，判斷決策贏家完成頻譜拍賣。

多屬性逆向頻譜拍賣架構(gòu)如圖1所示。該架構(gòu)由一組數(shù)量為m的頻譜競(jìng)標(biāo)人、n個(gè)擁有分布式頻譜拍賣服務(wù)器的拍賣人以及頻譜買家3個(gè)參與方組成。首先，每個(gè)頻譜競(jìng)標(biāo)人根據(jù)實(shí)際情況出讓頻譜資源并擬定頻譜競(jìng)標(biāo)方案。其次，n個(gè)頻譜拍賣人分別獲取頻譜競(jìng)標(biāo)方案中加密后的頻譜競(jìng)標(biāo)價(jià)格與非價(jià)格的正向?qū)傩灾担酶髯缘念l譜拍賣服務(wù)器計(jì)算密文狀態(tài)下的頻譜正向?qū)傩缘臋?quán)值、頻譜決策效用函數(shù)值。拍賣服務(wù)器再利用子密鑰解密得到部分消息。最后，頻譜買家收到n個(gè)服務(wù)器發(fā)送的部分解密消息，還原密文狀態(tài)下的頻譜決策效用函數(shù)。當(dāng)頻譜買家還原了m個(gè)頻譜競(jìng)標(biāo)人的決策效用函數(shù)值后，則可判斷拍賣贏家。

圖1 多屬性逆向頻譜拍賣架構(gòu)

在多屬性逆向頻譜拍賣架構(gòu)下，頻譜買家、頻譜競(jìng)標(biāo)人與頻譜拍賣人的定義如下。

定義1頻譜買家。頻譜買家是需要回收購買頻譜的頻譜管理部門。頻譜買家主要執(zhí)行2個(gè)步驟，一是在頻譜拍賣開始前，頻譜買家需要在電子公告板上發(fā)布所回收頻譜資源的必要信息。二是在判斷拍賣贏家階段，頻譜買家接收服務(wù)器發(fā)送來的部分解密密文、部分有效驗(yàn)證證明，可依次解密還原每個(gè)競(jìng)標(biāo)人的頻譜決策效用函數(shù)值。頻譜買家通過頻譜決策效用函數(shù)值判斷競(jìng)標(biāo)贏家。

頻譜買家為獲取競(jìng)標(biāo)人提供最優(yōu)的頻譜資源時(shí)，往往要將頻譜帶寬、覆蓋地理范圍等向上增長(zhǎng)的正向?qū)傩钥紤]在內(nèi)，即頻譜的正向?qū)傩灾翟酱?，則頻譜資源越優(yōu)質(zhì)。由此猜想，若以頻譜決策效用函數(shù)值確定頻譜贏家，所計(jì)算出的頻譜決策函數(shù)效用值應(yīng)隨著頻譜的正向?qū)傩灾翟龃蠖尸F(xiàn)線性遞增的趨勢(shì)。而多屬性決策（MADM,multiple attribute decision making）理論中的線性加權(quán)法剛好滿足這一特征。多屬性決策又稱為有限方案的多目標(biāo)決策理論，即在考慮多個(gè)屬性的情況下，需要選擇最優(yōu)的候選方案或?qū)Ψ桨高M(jìn)行排序的決策問題。多屬性決策的數(shù)學(xué)模型描述如下。設(shè)多屬性決策的方案集合為D={d1,d2,…,dm}，屬性集合為A={a1,a2,…,an}。則矩陣X(xij)m×n(i=1,2,…,m;j=1,2,…,n)表示方案集D關(guān)于屬性集A的決策矩陣。決策矩陣X表示為

線性加權(quán)法作為多屬性決策理論的方法之一，它的決策系數(shù)由屬性的權(quán)重決定，將各個(gè)正向?qū)傩跃€性加權(quán)求和即可實(shí)現(xiàn)最優(yōu)的決策判斷。由此，PMRA方案使用多屬性決策理論中的線性加權(quán)法描述頻譜決策效用函數(shù)[7]，當(dāng)計(jì)算得出頻譜決策效用函數(shù)的最大值時(shí)，即可確定頻譜買家的最優(yōu)方案。設(shè)頻譜決策效用函數(shù)為Utility(-bi,ASi)，其中bi表示頻譜競(jìng)標(biāo)人i的頻譜競(jìng)標(biāo)價(jià)格。設(shè)有T個(gè)與頻譜有關(guān)的正向?qū)傩?，則ASi={Ai1,Ai2,…,AiT}表示競(jìng)標(biāo)人i提供的頻譜正向?qū)傩灾档母?jìng)標(biāo)集合，W={w1,w2,…,wT}則表示頻譜正向?qū)傩缘臋?quán)重集合。例如實(shí)際拍賣場(chǎng)景下，在針對(duì)某些運(yùn)營(yíng)商放棄部分頻譜使用權(quán)時(shí)，政府在回收頻譜的過程中往往需要考慮頻譜的帶寬、地理覆蓋范圍等正向頻譜屬性因素，因此帶寬越大、地理覆蓋范圍越廣，頻譜資源越優(yōu)質(zhì)。對(duì)于政府而言，頻譜競(jìng)標(biāo)人的競(jìng)標(biāo)價(jià)格越低，則越有利于回收。由此，在頻譜決策效用函數(shù)中的頻譜競(jìng)標(biāo)價(jià)格取值為-bi。頻譜決策效用函數(shù)表示為

其中，Aij為頻譜競(jìng)標(biāo)人i的第j個(gè)頻譜正向?qū)傩灾?，可?jiǎn)記為Aj；wj為對(duì)應(yīng)的頻譜屬性權(quán)重值；T為頻譜的正向?qū)傩詡€(gè)數(shù)。本文以式(2)為依據(jù)設(shè)計(jì)安全協(xié)議。由式(2)可知，除頻譜競(jìng)標(biāo)價(jià)格以外，頻譜正向?qū)傩缘臋?quán)值影響頻譜決策效用函數(shù)值的高低。根據(jù)上文討論可知，在參與競(jìng)標(biāo)的頻譜競(jìng)標(biāo)人中，計(jì)算得出頻譜決策效用函數(shù)的最大值時(shí)則為頻譜資源的最優(yōu)方案。因此，頻譜買家以式(3)確定頻譜競(jìng)標(biāo)贏家。

由于頻譜的競(jìng)標(biāo)價(jià)格與頻譜屬性值的單位和取值范圍都不同，故難以使頻譜的競(jìng)標(biāo)價(jià)格與頻譜的屬性值直接參與頻譜決策效用函數(shù)值的計(jì)算。例如，當(dāng)回收網(wǎng)絡(luò)服務(wù)提供商的部分頻譜資源時(shí)，設(shè)當(dāng)頻譜的正向?qū)傩詡€(gè)數(shù)T=3時(shí)，可選定頻譜的正向?qū)傩灾档募蠟閧頻譜的帶寬（MHz），地理覆蓋范圍（km），頻率范圍（MHz）}。頻譜的競(jìng)標(biāo)方案為{頻譜價(jià)格（億元），頻譜的帶寬（MHz），地理覆蓋范圍（km），頻率范圍（MHz）}。由于頻譜不同，屬性的取值單位不同，因而無法進(jìn)行頻譜決策效用函數(shù)值的計(jì)算。為消除不同數(shù)量級(jí)、量綱和類型對(duì)頻譜決策效用函數(shù)值的影響，需要對(duì)數(shù)值進(jìn)行規(guī)范化處理，將量級(jí)、量綱和類型不同的頻譜競(jìng)標(biāo)價(jià)格與頻譜屬性利用數(shù)學(xué)變換，統(tǒng)一變換到相應(yīng)的取值范圍內(nèi)。常用的方法有向量規(guī)范化、線性變換與極差變換法。因數(shù)值的規(guī)范化并非本文研究的重點(diǎn)，在此不做介紹。

定義2頻譜競(jìng)標(biāo)人。頻譜競(jìng)標(biāo)人即頻譜擁有者，由一組數(shù)量為m，為獲利放棄部分頻譜使用權(quán)而售賣其頻譜資源的賣家用戶構(gòu)成。設(shè)頻譜競(jìng)標(biāo)人i(1≤i≤m)的競(jìng)標(biāo)方案為Bi={bi,ASi}(Aj∈ASi,1≤j≤T)。頻譜競(jìng)標(biāo)人查看電子公告板上頻譜買家發(fā)布的頻譜資源需求信息，判斷所擁有的頻譜是否符合頻譜買家的需求，從而決定是否參與頻譜拍賣。若確定參與頻譜拍賣，則頻譜競(jìng)標(biāo)人根據(jù)頻譜資源的屬性信息擬定頻譜競(jìng)標(biāo)方案。為保護(hù)頻譜競(jìng)標(biāo)方案的隱私性，頻譜競(jìng)標(biāo)人利用可信機(jī)構(gòu)產(chǎn)生的公鑰加密頻譜競(jìng)標(biāo)方案。

定義3頻譜拍賣人。頻譜拍賣人的數(shù)量為n，且每個(gè)頻譜拍賣人都擁有各自的分布式頻譜拍賣服務(wù)器Pi(1≤i≤n),n=T+1。頻譜拍賣服務(wù)器的主要功能有3個(gè)。1)存儲(chǔ)頻譜買家預(yù)先設(shè)定的頻譜屬性權(quán)重，即權(quán)重集合W={w1,w2,…,wT}的每個(gè)權(quán)重分別存儲(chǔ)在n-1個(gè)頻譜拍賣服務(wù)器中。2)頻譜拍賣服務(wù)器Pi(1≤i≤n)獲取頻譜競(jìng)標(biāo)人的加密競(jìng)標(biāo)方案，并計(jì)算密文狀態(tài)下的頻譜屬性的權(quán)值以及頻譜決策效用函數(shù)值。3)n個(gè)頻譜拍賣服務(wù)器利用可信機(jī)構(gòu)產(chǎn)生的子密鑰與驗(yàn)證子密鑰解密頻譜決策效用函數(shù)值的部分消息，并將其發(fā)送給頻譜買家。

2.2 威脅模型

在實(shí)際的頻譜拍賣場(chǎng)景中，頻譜拍賣人雖然在拍賣過程中可以完全遵守頻譜拍賣規(guī)則執(zhí)行，但他們?yōu)榱双@取更多的利潤(rùn)可能與某一頻譜競(jìng)標(biāo)人合作，并將服務(wù)器獲取的敏感信息以及拍賣過程中產(chǎn)生的中間結(jié)果透露給頻譜競(jìng)標(biāo)人。這一行為可能會(huì)讓頻譜競(jìng)標(biāo)人推測(cè)出其他競(jìng)標(biāo)人的競(jìng)標(biāo)信息，從而造成隱私數(shù)據(jù)的泄露，更嚴(yán)重時(shí)還會(huì)導(dǎo)致錯(cuò)誤的頻譜拍賣結(jié)果。由此可見，頻譜拍賣人與頻譜競(jìng)標(biāo)人是半誠(chéng)實(shí)的。而每位頻譜競(jìng)標(biāo)人都想贏得頻譜拍賣，頻譜競(jìng)標(biāo)人之間屬于競(jìng)爭(zhēng)關(guān)系，因此并不存在頻譜競(jìng)標(biāo)人之間的相互勾結(jié)。頻譜買家希望通過頻譜拍賣尋求合適的頻譜資源，因而頻譜買家是誠(chéng)實(shí)的。由此，該架構(gòu)下的3個(gè)參與方構(gòu)成一個(gè)頻譜拍賣的半誠(chéng)實(shí)模型。半誠(chéng)實(shí)模型中存在著被動(dòng)攻擊者，換句話說，被動(dòng)攻擊者可以在頻譜拍賣過程中獲得他人信息，但無法篡改參與方在拍賣過程中的輸入值與中間值，更不能使拍賣終止。半誠(chéng)實(shí)模型安全定義如下[8-9]。

定義4半誠(chéng)實(shí)模型下的隱私性。設(shè)頻譜拍賣所執(zhí)行的協(xié)議為∏，協(xié)議∏需執(zhí)行的確定性功能函數(shù)為f，當(dāng)存在2個(gè)參與方A和B時(shí)，x和y分別對(duì)應(yīng)參與方A和B在協(xié)議中的私有輸入值，則參與方A和B在執(zhí)行頻譜拍賣協(xié)議∏中所得到的信息值可分別記為這里的r1和r2表示參與方A和B生成的隨機(jī)數(shù)，則表示參與方A和B在頻譜拍賣協(xié)議∏執(zhí)行過程中所接收到的第j條信息。參與方A和B執(zhí)行協(xié)議后的輸出可分別記為和由此可知參與方A和B執(zhí)行協(xié)議后的輸出實(shí)際上是的其中一部分。因此，在執(zhí)行協(xié)議∏的過程中計(jì)算確定性功能函數(shù)f時(shí)，存在多項(xiàng)式時(shí)間算法S1和S2，應(yīng)當(dāng)滿足

其中，|x|=|y|。

3 安全協(xié)議設(shè)計(jì)

本節(jié)首先介紹PMRA方案安全協(xié)議的整體設(shè)計(jì)，其次詳細(xì)闡述安全協(xié)議所需執(zhí)行的協(xié)議的初始化、頻譜拍賣的競(jìng)標(biāo)以及判斷拍賣贏家3個(gè)階段，最后給出方案的案例評(píng)估。

3.1 協(xié)議的整體設(shè)計(jì)

頻譜拍賣中存在的單一半誠(chéng)實(shí)代理機(jī)構(gòu)可能被某一頻譜競(jìng)標(biāo)人收買。當(dāng)代理機(jī)構(gòu)獲取解密密鑰解密任意加密的頻譜信息時(shí)，很可能將信息透露給頻譜競(jìng)標(biāo)人，從而泄露數(shù)據(jù)隱私導(dǎo)致錯(cuò)誤的頻譜拍賣結(jié)果。由此，本文所提出的PMRA方案安全協(xié)議將利用Paillier門限機(jī)制的基本思想[10]解決上述存在的“勾結(jié)欺詐”行為。Paillier門限機(jī)制由一個(gè)組合者、一個(gè)可信任的密鑰分發(fā)者、n個(gè)服務(wù)器Pi(1≤i≤n)和多個(gè)用戶組成。在本文方案的安全協(xié)議中，組合者即為頻譜買家，n個(gè)服務(wù)器則對(duì)應(yīng)著n個(gè)頻譜拍賣人的分治集中式頻譜拍賣服務(wù)器，多個(gè)用戶即為多個(gè)頻譜競(jìng)標(biāo)人。Paillier門限機(jī)制是將門限機(jī)制的基本思想運(yùn)用到Paillier公鑰密碼方案中。Paillier門限系統(tǒng)的Paillier公鑰加密方案以及Paillier方案的同態(tài)性質(zhì)的定義如下[11]。

定義5Paillier加密方案及其同態(tài)性質(zhì)。

密鑰生成。設(shè)p和q是2個(gè)大素?cái)?shù)，計(jì)算N=pq，，g滿足gcd(L(gλmodn2),n)=1，L(x)=(x-1)。公鑰為pk=(N,g)，私鑰為sk=λ(N)=lcm(p-1,q-1)。其中g(shù)cd為最小公倍數(shù)，lcm為最大公約數(shù)。

加密階段。隨機(jī)選擇任意明文m∈ZN，則設(shè)密文為c，且Epk(m,r)=gmrNmodN2。

解密階段。解密加密后的密文c并還原明文m，則m=Dsk(c)=L(cλ(N) modN2)。

Paillier加密方案同態(tài)性質(zhì)如下。

設(shè)2個(gè)明文m1和m2，則對(duì)應(yīng)密文分別為c1和

關(guān)于Paillier門限機(jī)制的具體實(shí)現(xiàn)內(nèi)容，將會(huì)在3.2節(jié)～3.4節(jié)中詳細(xì)闡述。

基于Paillier門限機(jī)制的基本思想，PMRA方案安全協(xié)議流程如圖2所示。PMRA方案安全協(xié)議的設(shè)計(jì)主體需要執(zhí)行以下3個(gè)階段。

圖2 安全協(xié)議流程

1)協(xié)議的初始化。首先，頻譜買家在電子公告板上發(fā)布頻譜資源的需求信息（可接受的頻譜價(jià)格范圍以及非價(jià)格正向?qū)傩缘娜≈捣秶畔ⅲ┑耐瑫r(shí)，將已經(jīng)確定的T個(gè)非價(jià)格正向?qū)傩灾档臋?quán)重分別發(fā)送給對(duì)應(yīng)頻譜拍賣人的服務(wù)器Pi(1≤i≤n-1)。頻譜競(jìng)標(biāo)人i查看電子公告板上頻譜買家所發(fā)布的信息，擬定頻譜競(jìng)標(biāo)方案Bi={bi,ASi}。其次，協(xié)議的初始化階段引入可信機(jī)構(gòu)?？尚艡C(jī)構(gòu)利用Paillier門限機(jī)制生成密鑰(pk,sk)，將公鑰pk公開發(fā)布到電子公告板上，依次將部分密鑰ski、公開驗(yàn)證密鑰(vk,vki)發(fā)送給每個(gè)頻譜拍賣服務(wù)器。當(dāng)完成上述工作后，可信機(jī)構(gòu)銷毀sk并退出該協(xié)議。

2)頻譜拍賣的競(jìng)標(biāo)。首先，頻譜競(jìng)標(biāo)人i利用匿名化技術(shù)以及協(xié)議初始化產(chǎn)生的公鑰pk隱藏身份信息并加密已擬定的頻譜競(jìng)標(biāo)方案。其次，為確保數(shù)據(jù)傳輸?shù)陌踩耘c隱私性，每個(gè)頻譜拍賣服務(wù)器Pi(1≤i≤n-1)以不經(jīng)意傳輸?shù)姆绞椒謩e獲取對(duì)應(yīng)權(quán)重的加密屬性值Epk(Aj)以及加密的頻譜競(jìng)標(biāo)價(jià)格Epk(-bi)。最后，由n個(gè)分布式頻譜拍賣服務(wù)器相互協(xié)作，協(xié)議利用Paillier加密方案的同態(tài)性質(zhì)計(jì)算密文狀態(tài)下的各個(gè)屬性的權(quán)值和頻譜決策效用函數(shù)值Epk(Utility(-bi,ASi))以完成頻譜拍賣的競(jìng)標(biāo)過程。

3)判斷拍賣贏家。首先，頻譜拍賣服務(wù)器Pn計(jì)算得到Epk(Utility(-bi,ASi))并將其發(fā)送給其他n-1個(gè)頻譜拍賣服務(wù)器Pi(1≤i≤n-1)。其次，每個(gè)拍賣人的頻譜拍賣服務(wù)器Pi(1≤i≤n-1)用各自持有的部分子密鑰ski，驗(yàn)證密鑰(vk,vki)解密Epk(Utility(-bi,ASi))，從而各自得到部分解密消息ci、部分有效證明proofi。最后，為了還原明文Utility(-bi,ASi)，根據(jù)Paillier門限機(jī)制的基本思想，只有當(dāng)頻譜買家收到至少t（這里令t=n）個(gè)proofi被驗(yàn)證正確時(shí)，協(xié)議利用Paillier門限機(jī)制的組合算法才能得到頻譜決策效用函數(shù)值Utility(-bi,ASi)。當(dāng)獲取m個(gè)頻譜競(jìng)標(biāo)人的頻譜決策效用函數(shù)值后，頻譜買家可計(jì)算值argmaxi(Utility(-bi,ASi))以判斷頻譜贏家。

3.2 協(xié)議的初始化

根據(jù)頻譜買家提供的頻譜資源信息，頻譜競(jìng)標(biāo)人i(1≤i≤m)擬定頻譜競(jìng)標(biāo)方案Bi={bi,ASi},Aj∈ASi,1≤j≤T。設(shè)頻譜競(jìng)標(biāo)人的i頻譜價(jià)格為bi，非價(jià)格正向?qū)傩灾档募蠟閧ASi}1≤i≤m，則對(duì)應(yīng)的權(quán)重值集合為{wj}1≤j≤n-1。為在頻譜拍賣過程中保護(hù)頻譜競(jìng)標(biāo)人競(jìng)標(biāo)信息的隱私性，協(xié)議還引入可信機(jī)構(gòu)?？尚艡C(jī)構(gòu)通過利用Paillier門限機(jī)制為頻譜拍賣生成公鑰與私鑰。頻譜拍賣的密鑰生成步驟如下。

步驟1選擇一個(gè)整數(shù)N，有N=pq，p與q為2個(gè)素?cái)?shù)且p=2p′+1，q=2q′+1，gcd(N,Φ(N)=1。設(shè)m=p′q′，β是中隨機(jī)選擇的元素，隨機(jī)選擇并且設(shè)g=(1+N)abNmodN2。

步驟2設(shè)密鑰sk=βm與Shamir方案共享：設(shè)a0=βm，在{0,…,Nm-1}中隨機(jī)選擇t個(gè)值記為ai，且有，則第i個(gè)拍賣服務(wù)器Pi子密鑰si為f(i) modNm。

步驟3產(chǎn)生公鑰pk，且公鑰pk由g、N、θ=L(gmβ)=amβmodN組成。

步驟4設(shè)vk=v是在平方數(shù)組成循環(huán)群的生成元，驗(yàn)證密鑰其中，Δ=n!，n表示頻譜拍賣服務(wù)器的數(shù)量[12]。

在協(xié)議的初始化階段，首先，可信機(jī)構(gòu)將部分子密鑰si發(fā)送給各自對(duì)應(yīng)的頻譜拍賣服務(wù)器Pi(1≤i≤n)，完成分發(fā)后則銷毀密鑰sk。其次，可信機(jī)構(gòu)公開公鑰pk、分發(fā)驗(yàn)證密鑰(vk,vki)后退出頻譜拍賣協(xié)議。頻譜買家將非價(jià)格正向?qū)傩缘臋?quán)重值wj(1≤j≤n-1)依次發(fā)送給對(duì)應(yīng)的頻譜拍賣服務(wù)器Pi(1≤i≤n-1)保存。

3.3 頻譜拍賣的競(jìng)標(biāo)

頻譜拍賣的競(jìng)標(biāo)過程由頻譜競(jìng)標(biāo)人i與頻譜拍賣服務(wù)器Pi(1≤i≤n)完成各自的競(jìng)標(biāo)操作，主要分為以下3個(gè)階段。

階段1競(jìng)標(biāo)人身份信息的匿名化。頻譜競(jìng)標(biāo)人i利用匿名化技術(shù)[13]隱藏其真實(shí)身份R_idi得到一個(gè)虛擬的假身份V_idi。V_idi的計(jì)算式為

其中，pad代表一個(gè)將頻譜需求用戶的指定位置填充適當(dāng)長(zhǎng)度的隨機(jī)填充位。匿名化技術(shù)的安全性與唯一性詳細(xì)證明見文獻(xiàn)[14]。當(dāng)完成m個(gè)頻譜競(jìng)標(biāo)人身份信息匿名化處理后，則將每個(gè)頻譜競(jìng)標(biāo)人的V_idi(1≤i≤m)發(fā)送到電子公告版上。

階段2加密屬性值與數(shù)據(jù)傳輸。首先，頻譜競(jìng)標(biāo)人i利用公鑰pk加密頻譜競(jìng)標(biāo)方案。加密的頻譜價(jià)格為加密的非價(jià)格正向?qū)傩灾禐槠渲衅浯?，為確保數(shù)據(jù)的隱私性與數(shù)據(jù)傳輸?shù)陌踩裕l譜拍賣服務(wù)器Pi(1≤i≤n)利用不經(jīng)意傳輸技術(shù)獲取對(duì)應(yīng)的加密的非價(jià)格正向?qū)傩灾蹬c頻譜競(jìng)標(biāo)價(jià)格。不經(jīng)意傳輸技術(shù)又叫茫然傳輸協(xié)議，是一種應(yīng)用廣泛的通信協(xié)議，能使雙方以一種模糊化的方式發(fā)送和接收消息，發(fā)送方無法得知接收方接收到的具體信息內(nèi)容，從而保護(hù)接收方的隱私不會(huì)被泄露。不經(jīng)意傳輸技術(shù)定義如下[15]。

定義6不經(jīng)意傳輸協(xié)議。設(shè)q為一個(gè)大素?cái)?shù)，Gq為q階循環(huán)群，Zq為擁有q個(gè)元素的有限加法群。(g,h)則為Gq的2個(gè)生成元。初始化參數(shù)輸入(g,h,Gq)，發(fā)送方輸入s1,s2,…,sn∈Gq，接收方選擇ε∈[1,n]，也就是說，每一個(gè)接收方只能獲取發(fā)送方輸入其中的一個(gè)元素，且發(fā)送方并不知道接收方獲取的是哪一個(gè)元素。發(fā)送方將含有ε的信息y=grhε，r∈Zq發(fā)送給接收方，然后接收方返回應(yīng)答當(dāng)發(fā)送方接收到{cj}后，發(fā)送方由cε=(d,f)可計(jì)算

頻譜拍賣人的n個(gè)拍賣服務(wù)器Pi(1≤i≤n)利用不經(jīng)意傳輸協(xié)議并發(fā)地選取頻譜競(jìng)標(biāo)人i加密后的價(jià)格與非價(jià)格正向?qū)傩灾?。因此，頻譜拍賣服務(wù)器Pi(1≤i≤n)獲取加密值的傳輸過程分別為以下3個(gè)步驟。

步驟1Pi(1≤i≤n)隨機(jī)選取下標(biāo)x，發(fā)送y=grhx給匿名的頻譜競(jìng)標(biāo)人i。

步驟2匿名的頻譜競(jìng)標(biāo)人i返回一個(gè)應(yīng)答集合c={c1,c2,…,cn}，且

步驟3Pi(1≤i≤n)在應(yīng)答集合c={c1,c2,…,cn}中選取對(duì)應(yīng)x的元素的cx=(d,f)。Pi(1≤i≤n)獲取并計(jì)算加密的頻譜正向?qū)傩灾担瑒t有Pn計(jì)算獲取頻譜競(jìng)標(biāo)價(jià)格

階段3計(jì)算密文下的頻譜決策效用函數(shù)。首先，Pi根據(jù)Paillier的同態(tài)乘法性質(zhì)：對(duì)于明文m，，有Dsk(Epk(m,r)λmodN2)=λmmodN，計(jì)算密文狀態(tài)下的頻譜正向?qū)傩詸?quán)重值其次，將每個(gè)Pi(1≤i≤n-1)計(jì)算得到的發(fā)送到Pn，利用Pailier的同態(tài)加法性質(zhì)Dsk(Epk(m1,r1)Epk(m2,r2) modN2)=m1+m2modN，計(jì)算密文狀態(tài)下的頻譜正向?qū)傩缘臋?quán)重和為

因此，Pn可計(jì)算出密文下的決策效用函數(shù)值為

Pn將式(8)計(jì)算得到的密文狀態(tài)下的頻譜決策效用函數(shù)值發(fā)送給其余n-1個(gè)拍賣服務(wù)器。由此，完成頻譜拍賣競(jìng)標(biāo)的全部過程。

3.4 判斷拍賣贏家

每個(gè)拍賣人的頻譜拍賣服務(wù)器Pi(1≤i≤n)得到密文狀態(tài)下的頻譜決策效用函數(shù)值之后，首先利用自己持有的子密鑰si進(jìn)行部分解密。設(shè)明文c=Epk(Utility(-bi,ASi))，Pi(1≤i≤n)計(jì)算部分明文ci=c2ΔsimodN。其次，Pi(1≤i≤n)發(fā)送(ci,proofi)給頻譜買家。由Paillier的門限機(jī)制的組合階段可知，如果頻譜買家收到不少于t(t=n)個(gè)有效(ci,proofi)，則可成功恢復(fù)明文Utility(-bi,ASi)；反之，則失敗。由此，設(shè)S為t個(gè)有效部分解密，則其恢復(fù)值Utility(-bi,ASi)為

當(dāng)頻譜買家恢復(fù)其余m-1個(gè)頻譜競(jìng)標(biāo)人的頻譜決策效用函數(shù)值后，利用式(3)排序選出最優(yōu)的頻譜競(jìng)標(biāo)方案，判斷拍賣贏家。

3.5 案例評(píng)估

本節(jié)通過實(shí)例以說明本文方案的執(zhí)行全過程。設(shè)頻譜買家（可能為頻譜的管理部門）向頻譜競(jìng)標(biāo)人（可能為網(wǎng)絡(luò)服務(wù)提供商）回收頻率范圍在470～600 MHz的特高頻廣播電視頻段的頻譜資源。方案的協(xié)議執(zhí)行分為以下3個(gè)部分。

1)協(xié)議的初始化。頻譜買家結(jié)合自身實(shí)際情況發(fā)布頻譜資源的需求信息：頻譜買家可接受的頻譜價(jià)格范圍為1～40億元，且頻譜買家所選擇確定的頻譜正向?qū)傩园l率范圍、地理覆蓋范圍、帶寬。頻譜買家根據(jù)自身需求預(yù)設(shè)對(duì)應(yīng)的屬性權(quán)重值，分別為w1=0.35、w2=0.375、w3=0.275，并分別發(fā)送到任意的3個(gè)頻譜拍賣服務(wù)器中保存。頻率范圍根據(jù)頻譜買家的實(shí)際偏好對(duì)其進(jìn)行正向劃分確定回收的優(yōu)先級(jí)。因此，設(shè)470～520 MHz的優(yōu)先級(jí)為1，520～570 MHz的優(yōu)先級(jí)為2，570～600 MHz的優(yōu)先級(jí)為3。優(yōu)先級(jí)數(shù)值越大，頻譜買家越偏好該頻率范圍的頻譜資源。頻譜買家需回收的帶寬范圍為5～50 MHz，地理覆蓋范圍在100～500 km。存在頻譜競(jìng)標(biāo)人A、B、C根據(jù)頻譜買家所發(fā)布的頻譜需求信息擬定頻譜競(jìng)標(biāo)方案。競(jìng)標(biāo)人A、B、C的頻譜競(jìng)標(biāo)方案分別為{4億元，10 MHz，1級(jí)，200 km}、{5.2億元，14 MHz，2級(jí)，300 km}、{4.5億元，8 MHz，3級(jí)，350 km}。頻譜競(jìng)標(biāo)人利用線性變換將單位不統(tǒng)一的屬性值進(jìn)行規(guī)范化處理，得到的競(jìng)標(biāo)方案分別為{-0.1,0.2,0.33,0.4}、{-0.13,0.28,0.67,0.6}、{-0.1125,0.16,1,0.7}。該頻譜拍賣引入可信機(jī)構(gòu)利用Paillier門限機(jī)制生成公鑰pk與私鑰sk?？尚艡C(jī)構(gòu)將部分子密鑰si發(fā)送給對(duì)應(yīng)的頻譜拍賣服務(wù)器Pi(1≤i≤4)，分發(fā)完成后銷毀密鑰sk。當(dāng)可信機(jī)構(gòu)公開pk并分發(fā)驗(yàn)證密鑰(vk,vki)后退出頻譜拍賣。

2)頻譜拍賣的競(jìng)標(biāo)。頻譜競(jìng)標(biāo)人A、B、C首先利用匿名化技術(shù)得到虛擬身份記為V1、V2、V3。其次，利用公鑰pk加密各自的競(jìng)標(biāo)方案。則加密后的競(jìng)標(biāo)方案分別為V1:{Epk(-0.1),Epk(0.2),Epk(0.33),Epk(0.4)}、V2:{Epk(-0.13),Epk(0.28),Epk(0.67),Epk(0.6)}、V3:{Epk(-0.1125),Epk(0.16),Epk(1),Epk(0.7)}。以V1為例，P1、P2、P3、P4利用不經(jīng)意傳輸技術(shù)分別獲取對(duì)應(yīng)加密后的頻譜屬性值與頻譜競(jìng)標(biāo)價(jià)格分別為Epk(0.33)、Epk(0.2)、Epk(0.4)、Epk(-0.1)。每個(gè)頻譜拍賣服務(wù)器Pi(1≤i≤4)利用Paillier的同態(tài)性質(zhì)計(jì)算各自加密后的權(quán)值。以頻譜拍賣服務(wù)器P1為例，P1計(jì)算得到的加密權(quán)值為同理，P2、P3的加密權(quán)值分別為最后，將P1、P2、P3加密后的權(quán)值發(fā)送給P4。再次利用式(7)計(jì)算密文狀態(tài)下，頻譜屬性的權(quán)重和Epk(0.2)0.35Epk(0.33)0.375Epk(0.4)0.275=Epk(0.2×0.35+0.33×0.375+0.4×0.275)=Epk(0.303 75)。則加密的頻譜決策效用函數(shù)值可利用式(8)計(jì)算得出，有Epk(0.300 5)=Epk(-0.1+0.303 75)=Epk(0.203 75)。將密文狀態(tài)下的頻譜決策效用函數(shù)值Epk(0.203 75)分別發(fā)送給其他頻譜拍賣服務(wù)器(P2,P3,P4)以完成頻譜拍賣競(jìng)標(biāo)的全過程。

3)判斷拍賣贏家。當(dāng)所有頻譜拍賣服務(wù)器均收到密文狀態(tài)下的頻譜決策效用函數(shù)值后，Pi(1≤i≤4)則利用各自的子密鑰si解密，計(jì)算得到部分解密明文以及有效驗(yàn)證(c1,proof1)、(c2,proof2)、(c3,proof3)、(c4,proof4)，并將其發(fā)送給頻譜買家。當(dāng)頻譜買家收到所有部分解密與有效驗(yàn)證時(shí)可利用式(9)恢復(fù)頻譜決策效用函數(shù)值同理0.511。根據(jù)式(3)可知，為頻譜資源的最優(yōu)方案，多屬性逆向頻譜拍賣的獲勝者為頻譜競(jìng)標(biāo)人C。

4 安全分析

PMRA方案的安全協(xié)議是基于Paillier密碼體制提出的，頻譜投標(biāo)人競(jìng)標(biāo)值的隱私性依賴于Paillier密碼體制。首先，對(duì)Paillier加密方案的安全性進(jìn)行分析。其次，在提出的PMRA方案中，頻譜拍賣人的頻譜拍賣服務(wù)器可提供驗(yàn)證密文屬性的有效性、部分解密密鑰正確性的定理，并基于零知識(shí)證明給出交互式與非交互式證明過程。這確保了頻譜拍賣服務(wù)器的可靠性與安全性。最后，為說明本文提出的頻譜拍賣協(xié)議具有較強(qiáng)的安全性，本節(jié)不僅闡述了頻譜拍賣方案所滿足的安全特性，還給出本文方案協(xié)議與僅考慮價(jià)格單屬性的正向頻譜拍賣安全方案以及可應(yīng)用到頻譜拍賣場(chǎng)景下的多屬性逆向拍賣安全方案的安全性比較。

4.1 Paillier加密方案的安全性分析

定義7合數(shù)冪剩余類的判定。設(shè)N=pq，p,q為2個(gè)大素?cái)?shù)，對(duì)于如果存在使等式成立，則z叫作模N2的N次剩余。合數(shù)冪剩余類的判定問題是指區(qū)分模N2的N次剩余，用CR[N]表示。CR[N]是隨機(jī)自歸約的。設(shè)那么可得z2≡如果z1是N次剩余，那么z2同理。即任意2個(gè)實(shí)例都是多項(xiàng)式等價(jià)的。猜想CR[N]被稱為判定合數(shù)冪剩余類假設(shè)（DCRA,decisional composite residuosity assumption）。

定義8計(jì)算合數(shù)剩余類假設(shè)。設(shè)g∈B，且表示階為nα的元素組成的集合，B為Bα的并集，其中α=1,2,…,λ。對(duì)于，如果存在y∈使ω=Φg(x,y)=gxyNmodN2，g為階N的非零倍，則稱x∈ZN為ω關(guān)于g的N次剩余，記作[[ω]]g。求[[ω]]g稱為g的N次剩余類問題，表示為Class[N,g]。由證明可得，Class[N,g]的復(fù)雜性與g無關(guān)，可將其看成僅依賴于N的計(jì)算問題[16]。即已知，g∈B，計(jì)算[[ω]]g，可記為Class[N]問題。猜想不存在求解合數(shù)冪剩余類問題的概率多項(xiàng)式時(shí)間算法，即Class[N]的困難問題。顯然這仍舊被認(rèn)為是一個(gè)困難問題。這一猜想被稱為計(jì)算合數(shù)剩余類假設(shè)（CCRA,computational composite residuosity assumption）。其隨機(jī)自歸約性使CCRA的有效性只依賴于N的選擇，可知假設(shè)DCRA是正確的，則CCRA也是正確的。

Paillier公鑰加密方案系統(tǒng)是基于合數(shù)冪剩余類問題。當(dāng)Class[N]是困難的，即計(jì)算合數(shù)剩余類假設(shè)CCRA下，Paillier加密方案是單向的（密文計(jì)算明文是Class[N]問題）。當(dāng)CR[N]是困難的，即判定合數(shù)冪剩余類假設(shè)DCRA下，Paillier加密方案是語義安全的。由此，Paillier加密體制選擇明文下的不可區(qū)分性則可通過實(shí)驗(yàn)的方式驗(yàn)證：存在攻擊者A（Adversary）、擁有加密算法的挑戰(zhàn)者C（Challenger）。A根據(jù)加密算法生成密鑰對(duì)(pk,sk)，保存私鑰sk，并將公鑰pk發(fā)布并發(fā)送給C。A選取2個(gè)長(zhǎng)度相等、值不同的明文M1、M2發(fā)送給C。而C隨機(jī)選取比特值b∈{0,1}且將密文Cb=Epk(Mb)發(fā)送給A。A獲取密文Cb對(duì)其任意計(jì)算操作，最后得到明文結(jié)果b′，即當(dāng)確定是對(duì)M1加密還是M2加密時(shí)，攻擊者A猜出b′的正確結(jié)果的優(yōu)勢(shì)是可忽略的。因此有AdvA(E)=|Pr[C←Epk(M1)]-Pr[C←Epk(M2)]|=ε。其中ε是可忽略的。雖然A知道pk、M1與M2，由于Paillier加密的概率特性，Mb則是眾多密文中的一個(gè)，在游戲?qū)嶒?yàn)中，A始終無法得到更多優(yōu)勢(shì)。

4.2 密文屬性有效性與部分解密密鑰si的正確性

PMRA方案所提供的驗(yàn)證密文屬性的有效性與部分解密密鑰si的正確性不僅為頻譜拍賣服務(wù)器提供了安全性和可靠性，還為頻譜拍賣參與者的隱私性提供了有效的驗(yàn)證方法。因此，本節(jié)給出PRMA方案密文屬性有效性與解密密鑰si正確性的定理，并基于零知識(shí)證明給出交互式與非交互式的證明過程[16-18]。定理與證明過程如下。

定理1密文屬性的有效性。頻譜拍賣服務(wù)器Pi(1≤i≤n)收到的Epk(Aj)一定來自對(duì)應(yīng)明文屬性集合，且不揭露Epk(Aj)的真實(shí)值。

定理2解密密鑰si的正確性。頻譜拍賣服務(wù)器Pi(1≤i≤n)可以向任意一方證明在解密Epk(Utility(-bi,ASi))時(shí)使用的si是正確的，且不揭露任何si的真實(shí)值。

證明

交互式。公共輸入值N，p=2p′+1，q=2q′+1，有|n|=k且|n|為二級(jí)制的比特長(zhǎng)度證明者P輸入si∈Zn§并向驗(yàn)證者V證明存在某個(gè)si∈Zn§滿足等式modN2。P生成隨機(jī)數(shù)w∈ZN，且計(jì)算(x,y)→c4ΔwmodN2，vΔwmodN2。之后P向驗(yàn)證者V發(fā)送(x,y)。V選擇任意a∈R,Zn§發(fā)送給P。P計(jì)算b=w+sia，并將b發(fā)送給V。V收到b并判斷等式是否成立，即以驗(yàn)證解密密鑰si的正確性。

非交互式。設(shè)H為公開且抗碰撞的哈希函數(shù)，輸出長(zhǎng)度為L(zhǎng)。Pi(1≤i≤n)為向任意方證明si在解密密文c時(shí)產(chǎn)生的部分解密密文ci，在解密過程中確保不會(huì)泄露si的任何信息，即u=c4ΔmodN2，c4ΔsimodN2，驗(yàn)證等式是否成立。則非交互式證明過程步驟如下。

1)承諾。P計(jì)算承諾(x,y)，且r∈{0,…,2|N|-1},|N|表示比特長(zhǎng)度大小。x=urmodN2，y=v rmodN2。

3)計(jì)算應(yīng)答。z=r+esi，e∈ {0,…,2L+|N|-1}，并生成證明proofi(e,z)。

4)V驗(yàn)證并判斷等式是否成立，即若等式成立，則部分解密密鑰si有效。

證畢。

4.3 頻譜拍賣方案滿足的安全特性

1)隱私性

競(jìng)標(biāo)方案中價(jià)格屬性與非價(jià)格正向?qū)傩灾凳冀K是在密文狀態(tài)下計(jì)算的，頻譜買家與頻譜拍賣人的服務(wù)器Pi無法得知真實(shí)的競(jìng)標(biāo)信息，因此保護(hù)了競(jìng)標(biāo)方案信息的隱私性。

2)匿名性

在頻譜競(jìng)標(biāo)階段，每個(gè)頻譜競(jìng)標(biāo)人利用匿名化技術(shù)與公鑰pk得到一個(gè)臨時(shí)的身份假名參與頻譜拍賣。因此，頻譜買家與每個(gè)頻譜拍賣人都無法獲取頻譜競(jìng)標(biāo)人的真實(shí)身份信息，確保頻譜競(jìng)標(biāo)人的匿名性。

3)公平性

首先，頻譜拍賣方案利用不經(jīng)意傳輸技術(shù)使頻譜競(jìng)標(biāo)人無法確認(rèn)每個(gè)頻譜拍賣服務(wù)器Pi到底獲取了哪一個(gè)加密的非價(jià)格正向?qū)傩灾?。其次，PMRA方案利用Paillier門限機(jī)制使每個(gè)頻譜拍賣服務(wù)器只擁有部分解密密鑰si，任意Pi都無法獨(dú)自恢復(fù)加密后的明文信息，即頻譜買家與其他任意參與方不存在共謀攻擊。因此，確保了頻譜拍賣安全協(xié)議執(zhí)行的公平性。

4)公開驗(yàn)證

由4.2節(jié)可知，基于Paillier門限的零知識(shí)證明協(xié)議使頻譜拍賣服務(wù)器Pi(1≤i≤n)不僅可以向頻譜競(jìng)標(biāo)人證明密文屬性的有效性，還可以向任意參與方證明部分解密密鑰si的有效性。

目前，常用的頻譜拍賣方案大多只考慮單一價(jià)格、“一對(duì)多”模式的頻譜拍賣。本文根據(jù)實(shí)際頻譜拍賣場(chǎng)景，提出“多對(duì)一”模式的多屬性逆向頻譜拍賣方案。為分析頻譜拍賣場(chǎng)景中所需的安全特性，本文方案與僅考慮單屬性的正向頻譜拍賣安全方案[19-23]，以及可應(yīng)用于多屬性逆向頻譜拍賣場(chǎng)景的多屬性逆向拍賣安全方案[24-25]進(jìn)行安全性比較。如表1所示，本文所提出的PMRA方案安全協(xié)議的安全性較強(qiáng)。文獻(xiàn)[19-25]方案將在第6節(jié)的相關(guān)工作中做簡(jiǎn)要介紹，這里不再闡述。

表1 PMRA方案安全協(xié)議與各方案的安全協(xié)議的安全性比較

5 性能評(píng)估

本文提出的頻譜拍賣安全協(xié)議的計(jì)算開銷主要來自Paillier門限機(jī)制的隨機(jī)數(shù)生成、加密與解密、模冪運(yùn)算操作。為便于描述協(xié)議的計(jì)算開銷，設(shè)頻譜競(jìng)標(biāo)人的數(shù)量為m、屬性個(gè)數(shù)為T、公鑰加密操作記為PKE、解密操作記為PKD、模冪運(yùn)算記為ME、隨機(jī)數(shù)生成記為R。

在協(xié)議的初始化階段，由可信機(jī)構(gòu)作為Paillier門限機(jī)制密鑰的生成者和分發(fā)者，產(chǎn)生公鑰pk、部分解密密鑰si、驗(yàn)證密鑰vki。則計(jì)算開銷為Paillier機(jī)制的密鑰初始化，所需要執(zhí)行的操作為2R+PKD+PKE+2ME。

在頻譜拍賣的競(jìng)標(biāo)階段，每個(gè)頻譜競(jìng)標(biāo)人利用匿名化技術(shù)隱藏身份并用pk加密頻譜的價(jià)格屬性與非價(jià)格正向?qū)傩?，則需要執(zhí)行的操作為(T+1)PKE。其次，當(dāng)所有Pi得到加密后的頻譜決策效用函數(shù)值時(shí)，需要用各自的部分解密密鑰si解密，執(zhí)行的操作為(T+1)PKD。

在判斷拍賣贏家階段，頻譜買家需要收到不少于t個(gè)頻譜拍賣服務(wù)器的有效驗(yàn)證值(ci,proofi)，從而恢復(fù)明文得到頻譜決策效用函數(shù)值，執(zhí)行的相應(yīng)操作為2ME。因此，當(dāng)頻譜競(jìng)標(biāo)人數(shù)量為m、屬性個(gè)數(shù)為T時(shí)，各階段各參與方的計(jì)算開銷如表2所示。

據(jù)表2分析可知，安全協(xié)議總體的計(jì)算開銷與頻譜競(jìng)標(biāo)人的數(shù)量m、屬性個(gè)數(shù)T有關(guān)。當(dāng)m增加時(shí)，各個(gè)參與方在各階段的計(jì)算開銷均相應(yīng)增加，因此，安全協(xié)議總體的計(jì)算開銷增加。當(dāng)T增加時(shí)，競(jìng)標(biāo)階段頻譜拍賣服務(wù)器與頻譜競(jìng)標(biāo)人所需的加密解密計(jì)算開銷也隨之增加，然而T的取值并不影響頻譜買家在判斷拍賣贏家階段的計(jì)算開銷。

為討論P(yáng)MRA方案的效率，可將其與應(yīng)用于多屬性逆向頻譜拍賣場(chǎng)景下的匿名與可驗(yàn)證的多屬性逆向拍賣（VMRA,anonymous and verifiable multi-attribute reverse auction）方案[24]、安全的在線可信的第三方多屬性多輪逆向拍賣（SMRA,secure multi-attribute multi-round reverse auction using online trusted third party）方案[25]在計(jì)算開銷上進(jìn)行對(duì)比。通過分析PMRA方案、VMRA方案與SMRA方案的安全協(xié)議，給出3個(gè)方案在各個(gè)階段的計(jì)算開銷如表3所示。

通過表3的計(jì)算開銷分析，模擬PRMA方案與VMRA方案計(jì)算開銷的實(shí)驗(yàn)結(jié)果，計(jì)算任務(wù)都運(yùn)行在一臺(tái)PC機(jī)（Windows7 32,Intel Core i5,GHZ processor,1.86 GB of RAM）上。通過引入MRICAL庫的C語言進(jìn)行仿真實(shí)驗(yàn)[26]。由于RSA的計(jì)算消耗可簡(jiǎn)化為模冪的運(yùn)算操作，且哈希操作與隨機(jī)數(shù)的生成操作可以忽略不計(jì)。為便于本文方案協(xié)議的實(shí)驗(yàn)測(cè)試，加密操作PKE與解密操作PKD都可簡(jiǎn)化為模冪運(yùn)算操作且記為ME。在模冪運(yùn)算中，定義素?cái)?shù)p的長(zhǎng)度分別為512 bit、1 024 bit，則由此可計(jì)算出單個(gè)模冪運(yùn)算的平均時(shí)間分別為1.5 ms與6 ms。

由表3可知，在準(zhǔn)備階段，VMRA方案與PMRA方案所消耗的運(yùn)行時(shí)間均可忽略不計(jì)，而SMRA方案的加密操作則需要花費(fèi)較多時(shí)間。對(duì)于中小規(guī)模的系統(tǒng)設(shè)計(jì)，設(shè)當(dāng)m>T（m=50，T=10），公鑰長(zhǎng)度p為512 bit、1 024 bit時(shí)，通過實(shí)驗(yàn)可得VMRA方案、SMRA方案與PMRA方案完成一次拍賣后在各階段所消耗的運(yùn)行時(shí)間。則VMRA方案、SMRA方案與PMRA方案在各個(gè)階段所消耗的運(yùn)行時(shí)間以及3個(gè)方案協(xié)議所消耗的總時(shí)間分別如圖3和圖4所示。

由圖3與圖4可知，在準(zhǔn)備階段，VMRA方案與PMRA方案的運(yùn)行時(shí)間均為0，而SMRA方案在準(zhǔn)備階段需消耗一定的時(shí)間。設(shè)運(yùn)行時(shí)間為Tim，因此在準(zhǔn)備階段有Tim(SMRA)>Tim(VMRA)=Tim(PMRA)。在競(jìng)標(biāo)階段，PMRA方案、VMRA方案與SMRA方案之間所需的運(yùn)行時(shí)間相差無幾，且SMRA方案所需的運(yùn)行時(shí)間最小。因此，在競(jìng)標(biāo)階段有Tim(VRMA)>Tim (PMRA)>Tim (SMRA)。在開標(biāo)階段，PMRA方案不需要執(zhí)行任何計(jì)算，因此運(yùn)行時(shí)間為0。而VMRA方案與SMRA方案均在此階段消耗過多的運(yùn)行時(shí)間。VMRA方案在此階段所需的運(yùn)行時(shí)間是SMRA方案的3倍左右。因此，在開標(biāo)階段有Tim(VRMA)>Tim (SMRA)>Tim(PMRA)。在判斷拍賣贏家階段，同樣有Tim(VRMA)>Tim (SMRA)>Tim (PMRA)。最后，通過比較VMRA方案、SMRA方案與PMRA方案的運(yùn)行總時(shí)間可知，PMRA方案所消耗的運(yùn)行時(shí)間遠(yuǎn)遠(yuǎn)低于其他2個(gè)方案。

表2 PMRA方案協(xié)議各階段各參與方的計(jì)算開銷

表3 PMRA方案協(xié)議與VMRA、SMRA方案協(xié)議在各階段的計(jì)算開銷

圖3 各個(gè)階段運(yùn)行時(shí)間（512 bit）

圖4 各個(gè)階段運(yùn)行時(shí)間（1 024 bit）

由于VMRA方案、SMRA方案、PMRA方案安全協(xié)議計(jì)算消耗所需的運(yùn)行時(shí)間均與競(jìng)標(biāo)人數(shù)m以及屬性個(gè)數(shù)T有關(guān)，因此給出對(duì)于中小規(guī)模系統(tǒng)設(shè)計(jì)，公鑰長(zhǎng)度p為512 bit時(shí)的協(xié)議運(yùn)行總時(shí)間分別與m、T取值關(guān)系的變化曲線（公鑰長(zhǎng)度p為1 024 bit同理，這里不再贅述），分別如圖5和圖6所示。

由圖5可知，當(dāng)T=10時(shí)，VMRA方案、SMRA方案與PMRA方案協(xié)議的運(yùn)行總時(shí)間均隨著競(jìng)標(biāo)人數(shù)m的增加而呈線性遞增的趨勢(shì)。其中，PMRA方案安全協(xié)議運(yùn)行總時(shí)間遞增的速率明顯小于其他2個(gè)方案。由圖6可知，當(dāng)m=50時(shí)，VMRA方案、SMRA方案與PMRA方案協(xié)議的運(yùn)行總時(shí)間隨著屬性個(gè)數(shù)T的增加呈線性遞增趨勢(shì)。同樣地，PMRA方案協(xié)議運(yùn)行總時(shí)間的增長(zhǎng)速率依然遠(yuǎn)小于VMRA方案與SMRA方案。由上述分析可知，隨著m與T的增加，PMRA方案的計(jì)算開銷所花費(fèi)的運(yùn)行總時(shí)間遠(yuǎn)小于VMRA方案與SMRA方案。因此，在系統(tǒng)性能上，PMRA方案要優(yōu)于VMRA方案與SMRA方案。

圖5 協(xié)議總運(yùn)行時(shí)間（512 bit，T=10）

圖6 協(xié)議總運(yùn)行時(shí)間（512 bit，m=50）

6 相關(guān)工作

近年來，頻譜拍賣的安全性受到研究者們的廣泛關(guān)注，根據(jù)頻譜拍賣的應(yīng)用場(chǎng)景和需求的不同，以價(jià)格展開博弈的單屬性安全頻譜拍賣主要分為三類，分別為單邊頻譜拍賣、雙邊頻譜拍賣與組合頻譜拍賣。

單邊頻譜拍賣是頻譜交易市場(chǎng)中最常見的頻譜拍賣類型之一，它廣泛應(yīng)用于一級(jí)頻譜拍賣市場(chǎng)與二級(jí)頻譜拍賣市場(chǎng)。“一對(duì)多”的正向頻譜拍賣與“多對(duì)一”的逆向頻譜拍賣均為單邊頻譜拍賣。近年來，研究人員大都針對(duì)頻譜價(jià)格這一單屬性、“一對(duì)多”正向頻譜拍賣的應(yīng)用場(chǎng)景展開安全性研究。例如，Pan等[19]提出一種安全的頻譜拍賣方案，通過利用Paillier加密方案防止頻譜競(jìng)標(biāo)人與拍賣人之間的相互勾結(jié)。Huang等[20]提出了防策略和隱私保護(hù)的頻譜拍賣（SPRING,strategy-proof and privacy-preserving spectrum auction）方案，在確保競(jìng)標(biāo)人隱私性的同時(shí)滿足K匿名等特性。Wu等[21]提出保護(hù)隱私與防策略的頻譜拍賣（PRIDE,privacy-preserving and strategy-proof spectrum auction）方案，又在SPRING方案基礎(chǔ)之上實(shí)現(xiàn)了L-多樣性。Huang等[22]提出一個(gè)防策略的隱私保護(hù)頻譜拍賣框架（PSS,privacy-preserving strategy-proof spectrum auction framework），旨在保護(hù)頻譜競(jìng)標(biāo)人的真實(shí)估值。Chen等[23]提出了頻譜拍賣安全框架，在保護(hù)競(jìng)標(biāo)價(jià)格隱私性的同時(shí)保護(hù)了競(jìng)標(biāo)人的地理位置信息。Wang等[27]提出了可驗(yàn)證且隱私保護(hù)的頻譜拍賣（SPSV,privacy-preserving spectrum auction with public verification）方案，在保護(hù)頻譜競(jìng)標(biāo)人信息隱私性的同時(shí)，提供了公開驗(yàn)證機(jī)制，可使方案在頻譜拍賣期間不會(huì)向其他參與方透露任何敏感信息。

雙邊頻譜拍賣廣泛應(yīng)用于頻譜交易的二級(jí)市場(chǎng)。首個(gè)雙邊頻譜拍賣方案是在2010年提出的，其安全問題引起了人們的關(guān)注[28]，研究人員就此展開關(guān)于雙邊頻譜拍賣的安全性研究。例如Chen等[29]提出了可證明安全的雙邊頻譜拍賣（PS-TRUST,provably secure double spectrum auction）方案，方案為半誠(chéng)實(shí)的對(duì)手提供可證明的安全性，并保護(hù)了頻譜競(jìng)標(biāo)信息的隱私性。Chen等[30]提出的安全、高效、實(shí)用的雙邊頻譜拍賣（SDSA,secure,efficient and practical double spectrum auction）方案可使頻譜拍賣中只揭示頻譜拍賣結(jié)果，從而保護(hù)頻譜競(jìng)標(biāo)人的隱私性。Wang等[31]設(shè)計(jì)的保密且真實(shí)的在線雙邊頻譜拍賣（PROST,privacy-preserving and truthful online double auction for spectrum allocation）方案在保護(hù)頻譜競(jìng)標(biāo)人敏感信息的同時(shí)，確保了頻譜競(jìng)標(biāo)人的地理位置信息、時(shí)間動(dòng)態(tài)的隱私性。

頻譜組合拍賣在頻譜交易市場(chǎng)上出現(xiàn)較少，組合頻譜拍賣針對(duì)特定的頻譜交易場(chǎng)景，允許頻譜競(jìng)標(biāo)人因頻譜的多樣性特點(diǎn)而對(duì)各種頻譜進(jìn)行組合競(jìng)標(biāo)。Pan等[32]首次提出了安全的組合頻譜拍賣（SCSA,secure combinatorial spectrum auction）方案，該方案解決拍賣人與頻譜競(jìng)標(biāo)人共謀操縱投標(biāo)的安全問題。Chen等[33]提出了一種針對(duì)異構(gòu)頻譜的安全組合拍賣，該方案不僅保護(hù)了競(jìng)標(biāo)值與地理位置信息，還提供了可驗(yàn)證的支付方案，以防拍賣人偽造付款。

當(dāng)頻譜管理部門回收頻譜資源時(shí)，“多對(duì)一”逆向的頻譜拍賣往往需要考慮除頻譜競(jìng)標(biāo)價(jià)格以外的頻譜正向?qū)傩砸蛩?，以保證在未來重新分配頻譜時(shí)，為不同服務(wù)業(yè)務(wù)的頻譜需求用戶提供更優(yōu)質(zhì)的頻譜資源，從而提高頻譜利用率。已有的多屬性逆向拍賣安全方案[24-25]可應(yīng)用到上述提出的逆向頻譜拍賣的場(chǎng)景當(dāng)中。Srinath等[24]提出了VMRA方案。該方案主要為多屬性逆向拍賣提供了公開可驗(yàn)證性與匿名性。同年，他又提出了SMRA方案[25]，為競(jìng)標(biāo)人提供了匿名性、不可否認(rèn)性等安全特性，在一定程度上保護(hù)了多屬性逆向拍賣的安全性。雖然VMRA方案與SMRA方案都可應(yīng)用到多屬性的逆向頻譜拍賣中，但根據(jù)第4.3節(jié)的安全特性分析可知，VMRA方案與SMRA方案并不能滿足頻譜拍賣所需的安全性。并且在第5節(jié)的性能評(píng)估中，PMRA方案的系統(tǒng)效率要優(yōu)于其他2個(gè)方案，PMRA方案的系統(tǒng)所需運(yùn)行時(shí)間遠(yuǎn)低于VMRA方案與SMRA方案。因此，本文方案在所提出的逆向頻譜拍賣場(chǎng)景中，可確保頻譜拍賣的安全性并使頻譜管理部門高效、合理地回收優(yōu)質(zhì)的頻譜資源。

7 討論

本節(jié)主要討論頻譜拍賣系統(tǒng)的擴(kuò)展性。由PMRA方案可知，頻譜拍賣服務(wù)器的數(shù)量和頻譜屬性呈正相關(guān)。當(dāng)頻譜屬性增加時(shí)，頻譜拍賣服務(wù)器也隨之增加。在實(shí)際頻譜拍賣的應(yīng)用中，系統(tǒng)不可能因?qū)傩缘脑龆喽黾酉嗤瑪?shù)量的頻譜拍賣服務(wù)器。針對(duì)這一問題，本文可以將多個(gè)屬性值（價(jià)格與非價(jià)格正向?qū)傩灾担┌凑找欢ǖ囊?guī)則進(jìn)行分組，以小組的形式分別對(duì)應(yīng)特定的頻譜拍賣服務(wù)器，從而進(jìn)行相應(yīng)的數(shù)據(jù)運(yùn)算以提高系統(tǒng)的擴(kuò)展性。而當(dāng)頻譜拍賣服務(wù)器或頻譜競(jìng)標(biāo)人增加時(shí)，頻譜競(jìng)標(biāo)人與頻譜拍賣服務(wù)器、頻譜買家與頻譜拍賣服務(wù)器之間的通信量都會(huì)隨之增加，這可能導(dǎo)致系統(tǒng)性能的下降。另外，作為以拍賣交易而盈利的頻譜拍賣人，隨著頻譜拍賣服務(wù)器的增加，頻譜拍賣人的交易費(fèi)用也隨之增加，這也增加了系統(tǒng)的額外交易費(fèi)用。如何優(yōu)化系統(tǒng)性能并減少頻譜拍賣人的交易費(fèi)用是本文今后需要研究的內(nèi)容。

8 結(jié)束語

本文提出一個(gè)面向隱私保護(hù)的PMRA方案。首先，PMRA方案將除頻譜價(jià)格外其他影響頻譜二次分配的頻譜正向?qū)傩钥紤]在內(nèi)，頻譜競(jìng)標(biāo)人提供含有頻譜競(jìng)標(biāo)價(jià)格與頻譜正向?qū)傩灾档母?jìng)標(biāo)方案參與頻譜拍賣。利用Paillier加密方案及其門限機(jī)制、匿名化技術(shù)以及不經(jīng)意傳輸技術(shù)的密碼學(xué)工具確保頻譜拍賣所需的安全特性，使頻譜拍賣協(xié)議安全地執(zhí)行。其次，PMRA方案的安全分析表明，本文所提出的頻譜拍賣協(xié)議具有較強(qiáng)的安全性。對(duì)PMRA方案進(jìn)行性能評(píng)估，實(shí)驗(yàn)結(jié)果表明，PMRA方案的效率優(yōu)于已有的多屬性逆向拍賣VMRA方案和SMRA方案。最后，討論了PMRA方案系統(tǒng)的擴(kuò)展性問題。

本文僅考慮當(dāng)頻譜買家所選擇的頻譜屬性均為正向?qū)傩詴r(shí)，通過利用線性加權(quán)法以計(jì)算頻譜決策效用函數(shù)值來判斷頻譜拍賣贏家。然而在實(shí)際復(fù)雜的逆向頻譜拍賣場(chǎng)景中，頻譜的非價(jià)格屬性例如原頻譜的不同服務(wù)地區(qū)、原頻譜的服務(wù)人口數(shù)量等因素并非都為正向?qū)傩?。而在討論P(yáng)RMA方案的系統(tǒng)擴(kuò)展性問題時(shí)，隨著服務(wù)器的增加，頻譜拍賣人的交易費(fèi)用也隨之額外增加。因此，如何設(shè)計(jì)出更適用于復(fù)雜逆向頻譜拍賣場(chǎng)景下的頻譜決策效用函數(shù)，以及如何優(yōu)化系統(tǒng)性能以減少系統(tǒng)額外的交易費(fèi)用等問題則是未來工作中需要研究和探討的主要內(nèi)容。