面向隱私保護的多屬性逆向頻譜拍賣方案

王佳琪，魯寧,2，程慶豐，巫朝霞，史聞博

（1.東北大學計算機科學與工程學院，遼寧 沈陽 110819；2.西安電子科技大學計算機科學與技術學院，陜西 西安 710126；3.信息工程大學四院，河南 鄭州 450001；4.數學工程與先進計算國家重點實驗室，河南 鄭州 450001；5.新疆財經大學應用數學學院，新疆 烏魯木齊 830012；6.東北大學秦皇島分校計算機與通信工程學院，河北 秦皇島 066004）

1 引言

近幾年，由于無線通信業務的迅猛發展，對頻譜資源的需求呈爆炸性增長趨勢[1-3]。為提高其利用率，業界提出頻譜拍賣的概念[4]，一方面鼓勵頻譜擁有者可隨時自行售賣或出租空閑的頻譜資源；另一方面允許頻譜買家購買回收已出售的頻譜資源，實現二次分配。基于此，根據拍賣活動的開展方式，頻譜拍賣方案可分為“一對多”和“多對一”2種。前者是正向拍賣，其中拍賣人為頻譜擁有者，競標人則為購買用戶，在每輪拍賣過程中，頻譜拍賣人以最大化自身收益為目的，采用競價方式來選定頻譜贏家。后者是逆向拍賣，它以頻譜買家為拍賣人，頻譜擁有者為競標人，通過采購方式來選定拍賣贏家，最大化自身利益。目前，絕大部分研究工作都偏向于頻譜交易市場上更常見的“一對多”正向拍賣，忽略了可完成頻譜二次分配的“多對一”逆向拍賣，而后者也是提高頻譜資源利用率所需的手段。例如，美國于2017年就曾通過逆向拍賣回收部分已分配但被閑置的頻譜資源，進而實現了頻譜資源的二次利用[5]。因此，本文重點關注“多對一”的逆向頻譜拍賣方案。

目前，政府利用逆向頻譜拍賣向頻譜擁有者回收閑置頻譜并二次分配頻譜資源，以提高頻譜利用率[6]。現有逆向頻譜拍賣的買賣雙方只以價格展開博弈，進而確定贏家。雖然以價格展開博弈的單屬性逆向頻譜拍賣比較容易實現，但在實際拍賣場景中，出讓頻譜報價較低的賣家并不一定會成為拍賣贏家。因為政府回收閑置頻譜的目的是將頻譜重新打包規劃，進而將其分配給那些真正需要頻譜、展開頻譜業務的頻譜買家。因此，除了價格，政府還需參考待分配頻譜買家的業務需求。例如，美國聯邦通信委員會（FCC,Federal Communications Commission）在評估廣播業務出讓頻譜的價格時，往往將服務人口、覆蓋地區范圍以及放棄原頻段的方式等屬性考慮在內。國內由于網絡制式不同，所需的頻率范圍、帶寬、不同服務地區等屬性都會影響某一段頻譜的價格以及再分配的利用率。由此可見，為提高頻譜資源的利用率，政府應將與頻譜有關的多屬性因素考慮在內，開展多屬性的逆向頻譜拍賣。

除了上述存在的問題，網絡環境的復雜性也使逆向頻譜拍賣面臨諸多安全風險，主要包括以下幾個方面。1)隱私問題。競標信息是敏感信息，一旦被不法分子獲取并販賣給他人，可能會導致拍賣失敗，甚至給用戶造成無法估量的經濟損失。因此，競標信息需要保密。2)安全的數據傳輸。在頻譜拍賣執行時，需要確保頻譜拍賣參與者之間數據傳輸的安全性，防止被對手惡意篡改數據，從而導致錯誤的拍賣結果。3)欺詐勾結。頻譜拍賣的拍賣人通常由頻譜擁有者或頻譜買家授權的第三方代理機構所擔任。拍賣人為賺取更多利潤可能與一個或多個頻譜競標人合謀操縱拍賣，將拍賣結果導向對他們有利的一方致使拍賣失敗。4)公開驗證。公開驗證頻譜贏家的合法性，證明頻譜拍賣結果的正確性、頻譜拍賣執行的公平性。

針對上述挑戰，本文提出了一個面向隱私保護的多屬性逆向頻譜拍賣（PMRA,privacy-preserving multi-attribute reverse spectrum auction）方案。PMRA方案將頻譜的非價格正向屬性（如帶寬、地理覆蓋范圍等屬性）引入逆向頻譜拍賣中，并利用多屬性決策效用理論，由頻譜的非價格正向屬性值、頻譜價格來計算頻譜決策效用函數，從而確定頻譜贏家以及最優的頻譜資源方案。其次，逆向頻譜拍賣往往忽略了頻譜拍賣中所涉及的安全問題，為確保逆向頻譜拍賣的安全性，PMRA方案提出多屬性逆向頻譜拍賣架構并設計安全協議。PMRA方案安全協議不僅利用Paillier加密及其門限機制確保了頻譜拍賣服務器的安全性與可靠性，還引入了不經意傳輸技術、匿名化技術，保證了頻譜拍賣中所需的安全特性。

2 PMRA方案

本節首先介紹PMRA方案的多屬性逆向頻譜拍賣架構，并給出在該架構下各個參與方的定義。其次，介紹PMRA方案在多屬性逆向頻譜拍賣架構下的威脅模型。

2.1 多屬性逆向頻譜拍賣架構

頻譜拍賣中的買賣雙方只針對價格展開博弈，從而確定頻譜贏家，并未將與頻譜有關的非價格多屬性考慮在內。其次，在復雜的網絡環境下，已有的頻譜拍賣方案通常引入一個半誠實的第三方代理機構，頻譜買家與代理機構協作共同完成頻譜拍賣。但在實際應用環境中，代理人有可能被頻譜競標人收買，從而泄露重要的隱私數據，這可能導致錯誤的頻譜拍賣結果。因此，如何使頻譜買家獲得最優的頻譜資源并保證頻譜拍賣的安全性十分重要。頻譜拍賣的目的是為頻譜擁有者賺取利潤并滿足頻譜買家對頻譜資源的訴求，在確保頻譜拍賣安全運行的同時合理地分配頻譜資源。以此為出發點，本文將傳統頻譜拍賣中存在的單一半誠實代理機構由一組頻譜拍賣人所取代，提出一個多屬性逆向頻譜拍賣架構。PMRA方案基于此架構，利用Paillier門限機制可有效地防止頻譜參與方任意兩方的相互勾結，可避免因隱私數據的泄露而導致錯誤的頻譜拍賣結果，從而確保了頻譜拍賣服務器的可靠性與安全性。在頻譜拍賣執行過程中，為確保競標人（頻譜擁有者）身份的匿名性與競標方案的隱私性，方案利用匿名化技術隱藏競標人的身份信息，并利用Paillier加密方案加密頻譜競標人的競標信息（頻譜價格與非價格正向屬性值）。每個頻譜拍賣人所擁有的分治集中式頻譜拍賣服務器通過不經意傳輸技術獲取頻譜競標人加密的頻譜競標方案，并計算密文狀態下的頻譜決策效用函數。最后，頻譜買家收到服務器發送的部分解密與驗證信息以還原明文，當還原所有頻譜競標人的頻譜決策效用函數后，判斷決策贏家完成頻譜拍賣。

多屬性逆向頻譜拍賣架構如圖1所示。該架構由一組數量為m的頻譜競標人、n個擁有分布式頻譜拍賣服務器的拍賣人以及頻譜買家3個參與方組成。首先，每個頻譜競標人根據實際情況出讓頻譜資源并擬定頻譜競標方案。其次，n個頻譜拍賣人分別獲取頻譜競標方案中加密后的頻譜競標價格與非價格的正向屬性值，利用各自的頻譜拍賣服務器計算密文狀態下的頻譜正向屬性的權值、頻譜決策效用函數值。拍賣服務器再利用子密鑰解密得到部分消息。最后，頻譜買家收到n個服務器發送的部分解密消息，還原密文狀態下的頻譜決策效用函數。當頻譜買家還原了m個頻譜競標人的決策效用函數值后，則可判斷拍賣贏家。

圖1 多屬性逆向頻譜拍賣架構

在多屬性逆向頻譜拍賣架構下，頻譜買家、頻譜競標人與頻譜拍賣人的定義如下。

定義1頻譜買家。頻譜買家是需要回收購買頻譜的頻譜管理部門。頻譜買家主要執行2個步驟，一是在頻譜拍賣開始前，頻譜買家需要在電子公告板上發布所回收頻譜資源的必要信息。二是在判斷拍賣贏家階段，頻譜買家接收服務器發送來的部分解密密文、部分有效驗證證明，可依次解密還原每個競標人的頻譜決策效用函數值。頻譜買家通過頻譜決策效用函數值判斷競標贏家。

頻譜買家為獲取競標人提供最優的頻譜資源時，往往要將頻譜帶寬、覆蓋地理范圍等向上增長的正向屬性考慮在內，即頻譜的正向屬性值越大，則頻譜資源越優質。由此猜想，若以頻譜決策效用函數值確定頻譜贏家，所計算出的頻譜決策函數效用值應隨著頻譜的正向屬性值增大而呈現線性遞增的趨勢。而多屬性決策（MADM,multiple attribute decision making）理論中的線性加權法剛好滿足這一特征。多屬性決策又稱為有限方案的多目標決策理論，即在考慮多個屬性的情況下，需要選擇最優的候選方案或對方案進行排序的決策問題。多屬性決策的數學模型描述如下。設多屬性決策的方案集合為D={d1,d2,…,dm}，屬性集合為A={a1,a2,…,an}。則矩陣X(xij)m×n(i=1,2,…,m;j=1,2,…,n)表示方案集D關于屬性集A的決策矩陣。決策矩陣X表示為

線性加權法作為多屬性決策理論的方法之一，它的決策系數由屬性的權重決定，將各個正向屬性線性加權求和即可實現最優的決策判斷。由此，PMRA方案使用多屬性決策理論中的線性加權法描述頻譜決策效用函數[7]，當計算得出頻譜決策效用函數的最大值時，即可確定頻譜買家的最優方案。設頻譜決策效用函數為Utility(-bi,ASi)，其中bi表示頻譜競標人i的頻譜競標價格。設有T個與頻譜有關的正向屬性，則ASi={Ai1,Ai2,…,AiT}表示競標人i提供的頻譜正向屬性值的競標集合，W={w1,w2,…,wT}則表示頻譜正向屬性的權重集合。例如實際拍賣場景下，在針對某些運營商放棄部分頻譜使用權時，政府在回收頻譜的過程中往往需要考慮頻譜的帶寬、地理覆蓋范圍等正向頻譜屬性因素，因此帶寬越大、地理覆蓋范圍越廣，頻譜資源越優質。對于政府而言，頻譜競標人的競標價格越低，則越有利于回收。由此，在頻譜決策效用函數中的頻譜競標價格取值為-bi。頻譜決策效用函數表示為

其中，Aij為頻譜競標人i的第j個頻譜正向屬性值，可簡記為Aj；wj為對應的頻譜屬性權重值；T為頻譜的正向屬性個數。本文以式(2)為依據設計安全協議。由式(2)可知，除頻譜競標價格以外，頻譜正向屬性的權值影響頻譜決策效用函數值的高低。根據上文討論可知，在參與競標的頻譜競標人中，計算得出頻譜決策效用函數的最大值時則為頻譜資源的最優方案。因此，頻譜買家以式(3)確定頻譜競標贏家。

由于頻譜的競標價格與頻譜屬性值的單位和取值范圍都不同，故難以使頻譜的競標價格與頻譜的屬性值直接參與頻譜決策效用函數值的計算。例如，當回收網絡服務提供商的部分頻譜資源時，設當頻譜的正向屬性個數T=3時，可選定頻譜的正向屬性值的集合為{頻譜的帶寬（MHz），地理覆蓋范圍（km），頻率范圍（MHz）}。頻譜的競標方案為{頻譜價格（億元），頻譜的帶寬（MHz），地理覆蓋范圍（km），頻率范圍（MHz）}。由于頻譜不同，屬性的取值單位不同，因而無法進行頻譜決策效用函數值的計算。為消除不同數量級、量綱和類型對頻譜決策效用函數值的影響，需要對數值進行規范化處理，將量級、量綱和類型不同的頻譜競標價格與頻譜屬性利用數學變換，統一變換到相應的取值范圍內。常用的方法有向量規范化、線性變換與極差變換法。因數值的規范化并非本文研究的重點，在此不做介紹。

定義2頻譜競標人。頻譜競標人即頻譜擁有者，由一組數量為m，為獲利放棄部分頻譜使用權而售賣其頻譜資源的賣家用戶構成。設頻譜競標人i(1≤i≤m)的競標方案為Bi={bi,ASi}(Aj∈ASi,1≤j≤T)。頻譜競標人查看電子公告板上頻譜買家發布的頻譜資源需求信息，判斷所擁有的頻譜是否符合頻譜買家的需求，從而決定是否參與頻譜拍賣。若確定參與頻譜拍賣，則頻譜競標人根據頻譜資源的屬性信息擬定頻譜競標方案。為保護頻譜競標方案的隱私性，頻譜競標人利用可信機構產生的公鑰加密頻譜競標方案。

定義3頻譜拍賣人。頻譜拍賣人的數量為n，且每個頻譜拍賣人都擁有各自的分布式頻譜拍賣服務器Pi(1≤i≤n),n=T+1。頻譜拍賣服務器的主要功能有3個。1)存儲頻譜買家預先設定的頻譜屬性權重，即權重集合W={w1,w2,…,wT}的每個權重分別存儲在n-1個頻譜拍賣服務器中。2)頻譜拍賣服務器Pi(1≤i≤n)獲取頻譜競標人的加密競標方案，并計算密文狀態下的頻譜屬性的權值以及頻譜決策效用函數值。3)n個頻譜拍賣服務器利用可信機構產生的子密鑰與驗證子密鑰解密頻譜決策效用函數值的部分消息，并將其發送給頻譜買家。

2.2 威脅模型

在實際的頻譜拍賣場景中，頻譜拍賣人雖然在拍賣過程中可以完全遵守頻譜拍賣規則執行，但他們為了獲取更多的利潤可能與某一頻譜競標人合作，并將服務器獲取的敏感信息以及拍賣過程中產生的中間結果透露給頻譜競標人。這一行為可能會讓頻譜競標人推測出其他競標人的競標信息，從而造成隱私數據的泄露，更嚴重時還會導致錯誤的頻譜拍賣結果。由此可見，頻譜拍賣人與頻譜競標人是半誠實的。而每位頻譜競標人都想贏得頻譜拍賣，頻譜競標人之間屬于競爭關系，因此并不存在頻譜競標人之間的相互勾結。頻譜買家希望通過頻譜拍賣尋求合適的頻譜資源，因而頻譜買家是誠實的。由此，該架構下的3個參與方構成一個頻譜拍賣的半誠實模型。半誠實模型中存在著被動攻擊者，換句話說，被動攻擊者可以在頻譜拍賣過程中獲得他人信息，但無法篡改參與方在拍賣過程中的輸入值與中間值，更不能使拍賣終止。半誠實模型安全定義如下[8-9]。

定義4半誠實模型下的隱私性。設頻譜拍賣所執行的協議為∏，協議∏需執行的確定性功能函數為f，當存在2個參與方A和B時，x和y分別對應參與方A和B在協議中的私有輸入值，則參與方A和B在執行頻譜拍賣協議∏中所得到的信息值可分別記為這里的r1和r2表示參與方A和B生成的隨機數，則表示參與方A和B在頻譜拍賣協議∏執行過程中所接收到的第j條信息。參與方A和B執行協議后的輸出可分別記為和由此可知參與方A和B執行協議后的輸出實際上是的其中一部分。因此，在執行協議∏的過程中計算確定性功能函數f時，存在多項式時間算法S1和S2，應當滿足

其中，|x|=|y|。

3 安全協議設計

本節首先介紹PMRA方案安全協議的整體設計，其次詳細闡述安全協議所需執行的協議的初始化、頻譜拍賣的競標以及判斷拍賣贏家3個階段，最后給出方案的案例評估。

3.1 協議的整體設計

頻譜拍賣中存在的單一半誠實代理機構可能被某一頻譜競標人收買。當代理機構獲取解密密鑰解密任意加密的頻譜信息時，很可能將信息透露給頻譜競標人，從而泄露數據隱私導致錯誤的頻譜拍賣結果。由此，本文所提出的PMRA方案安全協議將利用Paillier門限機制的基本思想[10]解決上述存在的“勾結欺詐”行為。Paillier門限機制由一個組合者、一個可信任的密鑰分發者、n個服務器Pi(1≤i≤n)和多個用戶組成。在本文方案的安全協議中，組合者即為頻譜買家，n個服務器則對應著n個頻譜拍賣人的分治集中式頻譜拍賣服務器，多個用戶即為多個頻譜競標人。Paillier門限機制是將門限機制的基本思想運用到Paillier公鑰密碼方案中。Paillier門限系統的Paillier公鑰加密方案以及Paillier方案的同態性質的定義如下[11]。

定義5Paillier加密方案及其同態性質。

密鑰生成。設p和q是2個大素數，計算N=pq，，g滿足gcd(L(gλmodn2),n)=1，L(x)=(x-1)。公鑰為pk=(N,g)，私鑰為sk=λ(N)=lcm(p-1,q-1)。其中gcd為最小公倍數，lcm為最大公約數。

加密階段。隨機選擇任意明文m∈ZN，則設密文為c，且Epk(m,r)=gmrNmodN2。

解密階段。解密加密后的密文c并還原明文m，則m=Dsk(c)=L(cλ(N) modN2)。

Paillier加密方案同態性質如下。

設2個明文m1和m2，則對應密文分別為c1和

關于Paillier門限機制的具體實現內容，將會在3.2節～3.4節中詳細闡述。

基于Paillier門限機制的基本思想，PMRA方案安全協議流程如圖2所示。PMRA方案安全協議的設計主體需要執行以下3個階段。

圖2 安全協議流程

1)協議的初始化。首先，頻譜買家在電子公告板上發布頻譜資源的需求信息（可接受的頻譜價格范圍以及非價格正向屬性的取值范圍信息）的同時，將已經確定的T個非價格正向屬性值的權重分別發送給對應頻譜拍賣人的服務器Pi(1≤i≤n-1)。頻譜競標人i查看電子公告板上頻譜買家所發布的信息，擬定頻譜競標方案Bi={bi,ASi}。其次，協議的初始化階段引入可信機構。可信機構利用Paillier門限機制生成密鑰(pk,sk)，將公鑰pk公開發布到電子公告板上，依次將部分密鑰ski、公開驗證密鑰(vk,vki)發送給每個頻譜拍賣服務器。當完成上述工作后，可信機構銷毀sk并退出該協議。

2)頻譜拍賣的競標。首先，頻譜競標人i利用匿名化技術以及協議初始化產生的公鑰pk隱藏身份信息并加密已擬定的頻譜競標方案。其次，為確保數據傳輸的安全性與隱私性，每個頻譜拍賣服務器Pi(1≤i≤n-1)以不經意傳輸的方式分別獲取對應權重的加密屬性值Epk(Aj)以及加密的頻譜競標價格Epk(-bi)。最后，由n個分布式頻譜拍賣服務器相互協作，協議利用Paillier加密方案的同態性質計算密文狀態下的各個屬性的權值和頻譜決策效用函數值Epk(Utility(-bi,ASi))以完成頻譜拍賣的競標過程。

3)判斷拍賣贏家。首先，頻譜拍賣服務器Pn計算得到Epk(Utility(-bi,ASi))并將其發送給其他n-1個頻譜拍賣服務器Pi(1≤i≤n-1)。其次，每個拍賣人的頻譜拍賣服務器Pi(1≤i≤n-1)用各自持有的部分子密鑰ski，驗證密鑰(vk,vki)解密Epk(Utility(-bi,ASi))，從而各自得到部分解密消息ci、部分有效證明proofi。最后，為了還原明文Utility(-bi,ASi)，根據Paillier門限機制的基本思想，只有當頻譜買家收到至少t（這里令t=n）個proofi被驗證正確時，協議利用Paillier門限機制的組合算法才能得到頻譜決策效用函數值Utility(-bi,ASi)。當獲取m個頻譜競標人的頻譜決策效用函數值后，頻譜買家可計算值argmaxi(Utility(-bi,ASi))以判斷頻譜贏家。

3.2 協議的初始化

根據頻譜買家提供的頻譜資源信息，頻譜競標人i(1≤i≤m)擬定頻譜競標方案Bi={bi,ASi},Aj∈ASi,1≤j≤T。設頻譜競標人的i頻譜價格為bi，非價格正向屬性值的集合為{ASi}1≤i≤m，則對應的權重值集合為{wj}1≤j≤n-1。為在頻譜拍賣過程中保護頻譜競標人競標信息的隱私性，協議還引入可信機構。可信機構通過利用Paillier門限機制為頻譜拍賣生成公鑰與私鑰。頻譜拍賣的密鑰生成步驟如下。

步驟1選擇一個整數N，有N=pq，p與q為2個素數且p=2p′+1，q=2q′+1，gcd(N,Φ(N)=1。設m=p′q′，β是中隨機選擇的元素，隨機選擇并且設g=(1+N)abNmodN2。

步驟2設密鑰sk=βm與Shamir方案共享：設a0=βm，在{0,…,Nm-1}中隨機選擇t個值記為ai，且有，則第i個拍賣服務器Pi子密鑰si為f(i) modNm。

步驟3產生公鑰pk，且公鑰pk由g、N、θ=L(gmβ)=amβmodN組成。

步驟4設vk=v是在平方數組成循環群的生成元，驗證密鑰其中，Δ=n!，n表示頻譜拍賣服務器的數量[12]。

在協議的初始化階段，首先，可信機構將部分子密鑰si發送給各自對應的頻譜拍賣服務器Pi(1≤i≤n)，完成分發后則銷毀密鑰sk。其次，可信機構公開公鑰pk、分發驗證密鑰(vk,vki)后退出頻譜拍賣協議。頻譜買家將非價格正向屬性的權重值wj(1≤j≤n-1)依次發送給對應的頻譜拍賣服務器Pi(1≤i≤n-1)保存。

3.3 頻譜拍賣的競標

頻譜拍賣的競標過程由頻譜競標人i與頻譜拍賣服務器Pi(1≤i≤n)完成各自的競標操作，主要分為以下3個階段。

階段1競標人身份信息的匿名化。頻譜競標人i利用匿名化技術[13]隱藏其真實身份R_idi得到一個虛擬的假身份V_idi。V_idi的計算式為

其中，pad代表一個將頻譜需求用戶的指定位置填充適當長度的隨機填充位。匿名化技術的安全性與唯一性詳細證明見文獻[14]。當完成m個頻譜競標人身份信息匿名化處理后，則將每個頻譜競標人的V_idi(1≤i≤m)發送到電子公告版上。

階段2加密屬性值與數據傳輸。首先，頻譜競標人i利用公鑰pk加密頻譜競標方案。加密的頻譜價格為加密的非價格正向屬性值為其中其次，為確保數據的隱私性與數據傳輸的安全性，頻譜拍賣服務器Pi(1≤i≤n)利用不經意傳輸技術獲取對應的加密的非價格正向屬性值與頻譜競標價格。不經意傳輸技術又叫茫然傳輸協議，是一種應用廣泛的通信協議，能使雙方以一種模糊化的方式發送和接收消息，發送方無法得知接收方接收到的具體信息內容，從而保護接收方的隱私不會被泄露。不經意傳輸技術定義如下[15]。

定義6不經意傳輸協議。設q為一個大素數，Gq為q階循環群，Zq為擁有q個元素的有限加法群。(g,h)則為Gq的2個生成元。初始化參數輸入(g,h,Gq)，發送方輸入s1,s2,…,sn∈Gq，接收方選擇ε∈[1,n]，也就是說，每一個接收方只能獲取發送方輸入其中的一個元素，且發送方并不知道接收方獲取的是哪一個元素。發送方將含有ε的信息y=grhε，r∈Zq發送給接收方，然后接收方返回應答當發送方接收到{cj}后，發送方由cε=(d,f)可計算

頻譜拍賣人的n個拍賣服務器Pi(1≤i≤n)利用不經意傳輸協議并發地選取頻譜競標人i加密后的價格與非價格正向屬性值。因此，頻譜拍賣服務器Pi(1≤i≤n)獲取加密值的傳輸過程分別為以下3個步驟。

步驟1Pi(1≤i≤n)隨機選取下標x，發送y=grhx給匿名的頻譜競標人i。

步驟2匿名的頻譜競標人i返回一個應答集合c={c1,c2,…,cn}，且

步驟3Pi(1≤i≤n)在應答集合c={c1,c2,…,cn}中選取對應x的元素的cx=(d,f)。Pi(1≤i≤n)獲取并計算加密的頻譜正向屬性值，則有Pn計算獲取頻譜競標價格

階段3計算密文下的頻譜決策效用函數。首先，Pi根據Paillier的同態乘法性質：對于明文m，，有Dsk(Epk(m,r)λmodN2)=λmmodN，計算密文狀態下的頻譜正向屬性權重值其次，將每個Pi(1≤i≤n-1)計算得到的發送到Pn，利用Pailier的同態加法性質Dsk(Epk(m1,r1)Epk(m2,r2) modN2)=m1+m2modN，計算密文狀態下的頻譜正向屬性的權重和為

因此，Pn可計算出密文下的決策效用函數值為

Pn將式(8)計算得到的密文狀態下的頻譜決策效用函數值發送給其余n-1個拍賣服務器。由此，完成頻譜拍賣競標的全部過程。

3.4 判斷拍賣贏家

每個拍賣人的頻譜拍賣服務器Pi(1≤i≤n)得到密文狀態下的頻譜決策效用函數值之后，首先利用自己持有的子密鑰si進行部分解密。設明文c=Epk(Utility(-bi,ASi))，Pi(1≤i≤n)計算部分明文ci=c2ΔsimodN。其次，Pi(1≤i≤n)發送(ci,proofi)給頻譜買家。由Paillier的門限機制的組合階段可知，如果頻譜買家收到不少于t(t=n)個有效(ci,proofi)，則可成功恢復明文Utility(-bi,ASi)；反之，則失敗。由此，設S為t個有效部分解密，則其恢復值Utility(-bi,ASi)為

當頻譜買家恢復其余m-1個頻譜競標人的頻譜決策效用函數值后，利用式(3)排序選出最優的頻譜競標方案，判斷拍賣贏家。

3.5 案例評估

本節通過實例以說明本文方案的執行全過程。設頻譜買家（可能為頻譜的管理部門）向頻譜競標人（可能為網絡服務提供商）回收頻率范圍在470～600 MHz的特高頻廣播電視頻段的頻譜資源。方案的協議執行分為以下3個部分。

1)協議的初始化。頻譜買家結合自身實際情況發布頻譜資源的需求信息：頻譜買家可接受的頻譜價格范圍為1～40億元，且頻譜買家所選擇確定的頻譜正向屬性包括頻率范圍、地理覆蓋范圍、帶寬。頻譜買家根據自身需求預設對應的屬性權重值，分別為w1=0.35、w2=0.375、w3=0.275，并分別發送到任意的3個頻譜拍賣服務器中保存。頻率范圍根據頻譜買家的實際偏好對其進行正向劃分確定回收的優先級。因此，設470～520 MHz的優先級為1，520～570 MHz的優先級為2，570～600 MHz的優先級為3。優先級數值越大，頻譜買家越偏好該頻率范圍的頻譜資源。頻譜買家需回收的帶寬范圍為5～50 MHz，地理覆蓋范圍在100～500 km。存在頻譜競標人A、B、C根據頻譜買家所發布的頻譜需求信息擬定頻譜競標方案。競標人A、B、C的頻譜競標方案分別為{4億元，10 MHz，1級，200 km}、{5.2億元，14 MHz，2級，300 km}、{4.5億元，8 MHz，3級，350 km}。頻譜競標人利用線性變換將單位不統一的屬性值進行規范化處理，得到的競標方案分別為{-0.1,0.2,0.33,0.4}、{-0.13,0.28,0.67,0.6}、{-0.1125,0.16,1,0.7}。該頻譜拍賣引入可信機構利用Paillier門限機制生成公鑰pk與私鑰sk。可信機構將部分子密鑰si發送給對應的頻譜拍賣服務器Pi(1≤i≤4)，分發完成后銷毀密鑰sk。當可信機構公開pk并分發驗證密鑰(vk,vki)后退出頻譜拍賣。

2)頻譜拍賣的競標。頻譜競標人A、B、C首先利用匿名化技術得到虛擬身份記為V1、V2、V3。其次，利用公鑰pk加密各自的競標方案。則加密后的競標方案分別為V1:{Epk(-0.1),Epk(0.2),Epk(0.33),Epk(0.4)}、V2:{Epk(-0.13),Epk(0.28),Epk(0.67),Epk(0.6)}、V3:{Epk(-0.1125),Epk(0.16),Epk(1),Epk(0.7)}。以V1為例，P1、P2、P3、P4利用不經意傳輸技術分別獲取對應加密后的頻譜屬性值與頻譜競標價格分別為Epk(0.33)、Epk(0.2)、Epk(0.4)、Epk(-0.1)。每個頻譜拍賣服務器Pi(1≤i≤4)利用Paillier的同態性質計算各自加密后的權值。以頻譜拍賣服務器P1為例，P1計算得到的加密權值為同理，P2、P3的加密權值分別為最后，將P1、P2、P3加密后的權值發送給P4。再次利用式(7)計算密文狀態下，頻譜屬性的權重和Epk(0.2)0.35Epk(0.33)0.375Epk(0.4)0.275=Epk(0.2×0.35+0.33×0.375+0.4×0.275)=Epk(0.303 75)。則加密的頻譜決策效用函數值可利用式(8)計算得出，有Epk(0.300 5)=Epk(-0.1+0.303 75)=Epk(0.203 75)。將密文狀態下的頻譜決策效用函數值Epk(0.203 75)分別發送給其他頻譜拍賣服務器(P2,P3,P4)以完成頻譜拍賣競標的全過程。

3)判斷拍賣贏家。當所有頻譜拍賣服務器均收到密文狀態下的頻譜決策效用函數值后，Pi(1≤i≤4)則利用各自的子密鑰si解密，計算得到部分解密明文以及有效驗證(c1,proof1)、(c2,proof2)、(c3,proof3)、(c4,proof4)，并將其發送給頻譜買家。當頻譜買家收到所有部分解密與有效驗證時可利用式(9)恢復頻譜決策效用函數值同理0.511。根據式(3)可知，為頻譜資源的最優方案，多屬性逆向頻譜拍賣的獲勝者為頻譜競標人C。

4 安全分析

PMRA方案的安全協議是基于Paillier密碼體制提出的，頻譜投標人競標值的隱私性依賴于Paillier密碼體制。首先，對Paillier加密方案的安全性進行分析。其次，在提出的PMRA方案中，頻譜拍賣人的頻譜拍賣服務器可提供驗證密文屬性的有效性、部分解密密鑰正確性的定理，并基于零知識證明給出交互式與非交互式證明過程。這確保了頻譜拍賣服務器的可靠性與安全性。最后，為說明本文提出的頻譜拍賣協議具有較強的安全性，本節不僅闡述了頻譜拍賣方案所滿足的安全特性，還給出本文方案協議與僅考慮價格單屬性的正向頻譜拍賣安全方案以及可應用到頻譜拍賣場景下的多屬性逆向拍賣安全方案的安全性比較。

4.1 Paillier加密方案的安全性分析

定義7合數冪剩余類的判定。設N=pq，p,q為2個大素數，對于如果存在使等式成立，則z叫作模N2的N次剩余。合數冪剩余類的判定問題是指區分模N2的N次剩余，用CR[N]表示。CR[N]是隨機自歸約的。設那么可得z2≡如果z1是N次剩余，那么z2同理。即任意2個實例都是多項式等價的。猜想CR[N]被稱為判定合數冪剩余類假設（DCRA,decisional composite residuosity assumption）。

定義8計算合數剩余類假設。設g∈B，且表示階為nα的元素組成的集合，B為Bα的并集，其中α=1,2,…,λ。對于，如果存在y∈使ω=Φg(x,y)=gxyNmodN2，g為階N的非零倍，則稱x∈ZN為ω關于g的N次剩余，記作[[ω]]g。求[[ω]]g稱為g的N次剩余類問題，表示為Class[N,g]。由證明可得，Class[N,g]的復雜性與g無關，可將其看成僅依賴于N的計算問題[16]。即已知，g∈B，計算[[ω]]g，可記為Class[N]問題。猜想不存在求解合數冪剩余類問題的概率多項式時間算法，即Class[N]的困難問題。顯然這仍舊被認為是一個困難問題。這一猜想被稱為計算合數剩余類假設（CCRA,computational composite residuosity assumption）。其隨機自歸約性使CCRA的有效性只依賴于N的選擇，可知假設DCRA是正確的，則CCRA也是正確的。

Paillier公鑰加密方案系統是基于合數冪剩余類問題。當Class[N]是困難的，即計算合數剩余類假設CCRA下，Paillier加密方案是單向的（密文計算明文是Class[N]問題）。當CR[N]是困難的，即判定合數冪剩余類假設DCRA下，Paillier加密方案是語義安全的。由此，Paillier加密體制選擇明文下的不可區分性則可通過實驗的方式驗證：存在攻擊者A（Adversary）、擁有加密算法的挑戰者C（Challenger）。A根據加密算法生成密鑰對(pk,sk)，保存私鑰sk，并將公鑰pk發布并發送給C。A選取2個長度相等、值不同的明文M1、M2發送給C。而C隨機選取比特值b∈{0,1}且將密文Cb=Epk(Mb)發送給A。A獲取密文Cb對其任意計算操作，最后得到明文結果b′，即當確定是對M1加密還是M2加密時，攻擊者A猜出b′的正確結果的優勢是可忽略的。因此有AdvA(E)=|Pr[C←Epk(M1)]-Pr[C←Epk(M2)]|=ε。其中ε是可忽略的。雖然A知道pk、M1與M2，由于Paillier加密的概率特性，Mb則是眾多密文中的一個，在游戲實驗中，A始終無法得到更多優勢。

4.2 密文屬性有效性與部分解密密鑰si的正確性

PMRA方案所提供的驗證密文屬性的有效性與部分解密密鑰si的正確性不僅為頻譜拍賣服務器提供了安全性和可靠性，還為頻譜拍賣參與者的隱私性提供了有效的驗證方法。因此，本節給出PRMA方案密文屬性有效性與解密密鑰si正確性的定理，并基于零知識證明給出交互式與非交互式的證明過程[16-18]。定理與證明過程如下。

定理1密文屬性的有效性。頻譜拍賣服務器Pi(1≤i≤n)收到的Epk(Aj)一定來自對應明文屬性集合，且不揭露Epk(Aj)的真實值。

定理2解密密鑰si的正確性。頻譜拍賣服務器Pi(1≤i≤n)可以向任意一方證明在解密Epk(Utility(-bi,ASi))時使用的si是正確的，且不揭露任何si的真實值。

證明

交互式。公共輸入值N，p=2p′+1，q=2q′+1，有|n|=k且|n|為二級制的比特長度證明者P輸入si∈Zn§并向驗證者V證明存在某個si∈Zn§滿足等式modN2。P生成隨機數w∈ZN，且計算(x,y)→c4ΔwmodN2，vΔwmodN2。之后P向驗證者V發送(x,y)。V選擇任意a∈R,Zn§發送給P。P計算b=w+sia，并將b發送給V。V收到b并判斷等式是否成立，即以驗證解密密鑰si的正確性。

非交互式。設H為公開且抗碰撞的哈希函數，輸出長度為L。Pi(1≤i≤n)為向任意方證明si在解密密文c時產生的部分解密密文ci，在解密過程中確保不會泄露si的任何信息，即u=c4ΔmodN2，c4ΔsimodN2，驗證等式是否成立。則非交互式證明過程步驟如下。

1)承諾。P計算承諾(x,y)，且r∈{0,…,2|N|-1},|N|表示比特長度大小。x=urmodN2，y=v rmodN2。

3)計算應答。z=r+esi，e∈ {0,…,2L+|N|-1}，并生成證明proofi(e,z)。

4)V驗證并判斷等式是否成立，即若等式成立，則部分解密密鑰si有效。

證畢。

4.3 頻譜拍賣方案滿足的安全特性

1)隱私性

競標方案中價格屬性與非價格正向屬性值始終是在密文狀態下計算的，頻譜買家與頻譜拍賣人的服務器Pi無法得知真實的競標信息，因此保護了競標方案信息的隱私性。

2)匿名性

在頻譜競標階段，每個頻譜競標人利用匿名化技術與公鑰pk得到一個臨時的身份假名參與頻譜拍賣。因此，頻譜買家與每個頻譜拍賣人都無法獲取頻譜競標人的真實身份信息，確保頻譜競標人的匿名性。

3)公平性

首先，頻譜拍賣方案利用不經意傳輸技術使頻譜競標人無法確認每個頻譜拍賣服務器Pi到底獲取了哪一個加密的非價格正向屬性值。其次，PMRA方案利用Paillier門限機制使每個頻譜拍賣服務器只擁有部分解密密鑰si，任意Pi都無法獨自恢復加密后的明文信息，即頻譜買家與其他任意參與方不存在共謀攻擊。因此，確保了頻譜拍賣安全協議執行的公平性。

4)公開驗證

由4.2節可知，基于Paillier門限的零知識證明協議使頻譜拍賣服務器Pi(1≤i≤n)不僅可以向頻譜競標人證明密文屬性的有效性，還可以向任意參與方證明部分解密密鑰si的有效性。

目前，常用的頻譜拍賣方案大多只考慮單一價格、“一對多”模式的頻譜拍賣。本文根據實際頻譜拍賣場景，提出“多對一”模式的多屬性逆向頻譜拍賣方案。為分析頻譜拍賣場景中所需的安全特性，本文方案與僅考慮單屬性的正向頻譜拍賣安全方案[19-23]，以及可應用于多屬性逆向頻譜拍賣場景的多屬性逆向拍賣安全方案[24-25]進行安全性比較。如表1所示，本文所提出的PMRA方案安全協議的安全性較強。文獻[19-25]方案將在第6節的相關工作中做簡要介紹，這里不再闡述。

表1 PMRA方案安全協議與各方案的安全協議的安全性比較

5 性能評估

本文提出的頻譜拍賣安全協議的計算開銷主要來自Paillier門限機制的隨機數生成、加密與解密、模冪運算操作。為便于描述協議的計算開銷，設頻譜競標人的數量為m、屬性個數為T、公鑰加密操作記為PKE、解密操作記為PKD、模冪運算記為ME、隨機數生成記為R。

在協議的初始化階段，由可信機構作為Paillier門限機制密鑰的生成者和分發者，產生公鑰pk、部分解密密鑰si、驗證密鑰vki。則計算開銷為Paillier機制的密鑰初始化，所需要執行的操作為2R+PKD+PKE+2ME。

在頻譜拍賣的競標階段，每個頻譜競標人利用匿名化技術隱藏身份并用pk加密頻譜的價格屬性與非價格正向屬性，則需要執行的操作為(T+1)PKE。其次，當所有Pi得到加密后的頻譜決策效用函數值時，需要用各自的部分解密密鑰si解密，執行的操作為(T+1)PKD。

在判斷拍賣贏家階段，頻譜買家需要收到不少于t個頻譜拍賣服務器的有效驗證值(ci,proofi)，從而恢復明文得到頻譜決策效用函數值，執行的相應操作為2ME。因此，當頻譜競標人數量為m、屬性個數為T時，各階段各參與方的計算開銷如表2所示。

據表2分析可知，安全協議總體的計算開銷與頻譜競標人的數量m、屬性個數T有關。當m增加時，各個參與方在各階段的計算開銷均相應增加，因此，安全協議總體的計算開銷增加。當T增加時，競標階段頻譜拍賣服務器與頻譜競標人所需的加密解密計算開銷也隨之增加，然而T的取值并不影響頻譜買家在判斷拍賣贏家階段的計算開銷。

為討論PMRA方案的效率，可將其與應用于多屬性逆向頻譜拍賣場景下的匿名與可驗證的多屬性逆向拍賣（VMRA,anonymous and verifiable multi-attribute reverse auction）方案[24]、安全的在線可信的第三方多屬性多輪逆向拍賣（SMRA,secure multi-attribute multi-round reverse auction using online trusted third party）方案[25]在計算開銷上進行對比。通過分析PMRA方案、VMRA方案與SMRA方案的安全協議，給出3個方案在各個階段的計算開銷如表3所示。

通過表3的計算開銷分析，模擬PRMA方案與VMRA方案計算開銷的實驗結果，計算任務都運行在一臺PC機（Windows7 32,Intel Core i5,GHZ processor,1.86 GB of RAM）上。通過引入MRICAL庫的C語言進行仿真實驗[26]。由于RSA的計算消耗可簡化為模冪的運算操作，且哈希操作與隨機數的生成操作可以忽略不計。為便于本文方案協議的實驗測試，加密操作PKE與解密操作PKD都可簡化為模冪運算操作且記為ME。在模冪運算中，定義素數p的長度分別為512 bit、1 024 bit，則由此可計算出單個模冪運算的平均時間分別為1.5 ms與6 ms。

由表3可知，在準備階段，VMRA方案與PMRA方案所消耗的運行時間均可忽略不計，而SMRA方案的加密操作則需要花費較多時間。對于中小規模的系統設計，設當m>T（m=50，T=10），公鑰長度p為512 bit、1 024 bit時，通過實驗可得VMRA方案、SMRA方案與PMRA方案完成一次拍賣后在各階段所消耗的運行時間。則VMRA方案、SMRA方案與PMRA方案在各個階段所消耗的運行時間以及3個方案協議所消耗的總時間分別如圖3和圖4所示。

由圖3與圖4可知，在準備階段，VMRA方案與PMRA方案的運行時間均為0，而SMRA方案在準備階段需消耗一定的時間。設運行時間為Tim，因此在準備階段有Tim(SMRA)>Tim(VMRA)=Tim(PMRA)。在競標階段，PMRA方案、VMRA方案與SMRA方案之間所需的運行時間相差無幾，且SMRA方案所需的運行時間最小。因此，在競標階段有Tim(VRMA)>Tim (PMRA)>Tim (SMRA)。在開標階段，PMRA方案不需要執行任何計算，因此運行時間為0。而VMRA方案與SMRA方案均在此階段消耗過多的運行時間。VMRA方案在此階段所需的運行時間是SMRA方案的3倍左右。因此，在開標階段有Tim(VRMA)>Tim (SMRA)>Tim(PMRA)。在判斷拍賣贏家階段，同樣有Tim(VRMA)>Tim (SMRA)>Tim (PMRA)。最后，通過比較VMRA方案、SMRA方案與PMRA方案的運行總時間可知，PMRA方案所消耗的運行時間遠遠低于其他2個方案。

表2 PMRA方案協議各階段各參與方的計算開銷

表3 PMRA方案協議與VMRA、SMRA方案協議在各階段的計算開銷

圖3 各個階段運行時間（512 bit）

圖4 各個階段運行時間（1 024 bit）

由于VMRA方案、SMRA方案、PMRA方案安全協議計算消耗所需的運行時間均與競標人數m以及屬性個數T有關，因此給出對于中小規模系統設計，公鑰長度p為512 bit時的協議運行總時間分別與m、T取值關系的變化曲線（公鑰長度p為1 024 bit同理，這里不再贅述），分別如圖5和圖6所示。

由圖5可知，當T=10時，VMRA方案、SMRA方案與PMRA方案協議的運行總時間均隨著競標人數m的增加而呈線性遞增的趨勢。其中，PMRA方案安全協議運行總時間遞增的速率明顯小于其他2個方案。由圖6可知，當m=50時，VMRA方案、SMRA方案與PMRA方案協議的運行總時間隨著屬性個數T的增加呈線性遞增趨勢。同樣地，PMRA方案協議運行總時間的增長速率依然遠小于VMRA方案與SMRA方案。由上述分析可知，隨著m與T的增加，PMRA方案的計算開銷所花費的運行總時間遠小于VMRA方案與SMRA方案。因此，在系統性能上，PMRA方案要優于VMRA方案與SMRA方案。

圖5 協議總運行時間（512 bit，T=10）

圖6 協議總運行時間（512 bit，m=50）

6 相關工作

近年來，頻譜拍賣的安全性受到研究者們的廣泛關注，根據頻譜拍賣的應用場景和需求的不同，以價格展開博弈的單屬性安全頻譜拍賣主要分為三類，分別為單邊頻譜拍賣、雙邊頻譜拍賣與組合頻譜拍賣。

單邊頻譜拍賣是頻譜交易市場中最常見的頻譜拍賣類型之一，它廣泛應用于一級頻譜拍賣市場與二級頻譜拍賣市場。“一對多”的正向頻譜拍賣與“多對一”的逆向頻譜拍賣均為單邊頻譜拍賣。近年來，研究人員大都針對頻譜價格這一單屬性、“一對多”正向頻譜拍賣的應用場景展開安全性研究。例如，Pan等[19]提出一種安全的頻譜拍賣方案，通過利用Paillier加密方案防止頻譜競標人與拍賣人之間的相互勾結。Huang等[20]提出了防策略和隱私保護的頻譜拍賣（SPRING,strategy-proof and privacy-preserving spectrum auction）方案，在確保競標人隱私性的同時滿足K匿名等特性。Wu等[21]提出保護隱私與防策略的頻譜拍賣（PRIDE,privacy-preserving and strategy-proof spectrum auction）方案，又在SPRING方案基礎之上實現了L-多樣性。Huang等[22]提出一個防策略的隱私保護頻譜拍賣框架（PSS,privacy-preserving strategy-proof spectrum auction framework），旨在保護頻譜競標人的真實估值。Chen等[23]提出了頻譜拍賣安全框架，在保護競標價格隱私性的同時保護了競標人的地理位置信息。Wang等[27]提出了可驗證且隱私保護的頻譜拍賣（SPSV,privacy-preserving spectrum auction with public verification）方案，在保護頻譜競標人信息隱私性的同時，提供了公開驗證機制，可使方案在頻譜拍賣期間不會向其他參與方透露任何敏感信息。

雙邊頻譜拍賣廣泛應用于頻譜交易的二級市場。首個雙邊頻譜拍賣方案是在2010年提出的，其安全問題引起了人們的關注[28]，研究人員就此展開關于雙邊頻譜拍賣的安全性研究。例如Chen等[29]提出了可證明安全的雙邊頻譜拍賣（PS-TRUST,provably secure double spectrum auction）方案，方案為半誠實的對手提供可證明的安全性，并保護了頻譜競標信息的隱私性。Chen等[30]提出的安全、高效、實用的雙邊頻譜拍賣（SDSA,secure,efficient and practical double spectrum auction）方案可使頻譜拍賣中只揭示頻譜拍賣結果，從而保護頻譜競標人的隱私性。Wang等[31]設計的保密且真實的在線雙邊頻譜拍賣（PROST,privacy-preserving and truthful online double auction for spectrum allocation）方案在保護頻譜競標人敏感信息的同時，確保了頻譜競標人的地理位置信息、時間動態的隱私性。

頻譜組合拍賣在頻譜交易市場上出現較少，組合頻譜拍賣針對特定的頻譜交易場景，允許頻譜競標人因頻譜的多樣性特點而對各種頻譜進行組合競標。Pan等[32]首次提出了安全的組合頻譜拍賣（SCSA,secure combinatorial spectrum auction）方案，該方案解決拍賣人與頻譜競標人共謀操縱投標的安全問題。Chen等[33]提出了一種針對異構頻譜的安全組合拍賣，該方案不僅保護了競標值與地理位置信息，還提供了可驗證的支付方案，以防拍賣人偽造付款。

當頻譜管理部門回收頻譜資源時，“多對一”逆向的頻譜拍賣往往需要考慮除頻譜競標價格以外的頻譜正向屬性因素，以保證在未來重新分配頻譜時，為不同服務業務的頻譜需求用戶提供更優質的頻譜資源，從而提高頻譜利用率。已有的多屬性逆向拍賣安全方案[24-25]可應用到上述提出的逆向頻譜拍賣的場景當中。Srinath等[24]提出了VMRA方案。該方案主要為多屬性逆向拍賣提供了公開可驗證性與匿名性。同年，他又提出了SMRA方案[25]，為競標人提供了匿名性、不可否認性等安全特性，在一定程度上保護了多屬性逆向拍賣的安全性。雖然VMRA方案與SMRA方案都可應用到多屬性的逆向頻譜拍賣中，但根據第4.3節的安全特性分析可知，VMRA方案與SMRA方案并不能滿足頻譜拍賣所需的安全性。并且在第5節的性能評估中，PMRA方案的系統效率要優于其他2個方案，PMRA方案的系統所需運行時間遠低于VMRA方案與SMRA方案。因此，本文方案在所提出的逆向頻譜拍賣場景中，可確保頻譜拍賣的安全性并使頻譜管理部門高效、合理地回收優質的頻譜資源。

7 討論

本節主要討論頻譜拍賣系統的擴展性。由PMRA方案可知，頻譜拍賣服務器的數量和頻譜屬性呈正相關。當頻譜屬性增加時，頻譜拍賣服務器也隨之增加。在實際頻譜拍賣的應用中，系統不可能因屬性的增多而增加相同數量的頻譜拍賣服務器。針對這一問題，本文可以將多個屬性值（價格與非價格正向屬性值）按照一定的規則進行分組，以小組的形式分別對應特定的頻譜拍賣服務器，從而進行相應的數據運算以提高系統的擴展性。而當頻譜拍賣服務器或頻譜競標人增加時，頻譜競標人與頻譜拍賣服務器、頻譜買家與頻譜拍賣服務器之間的通信量都會隨之增加，這可能導致系統性能的下降。另外，作為以拍賣交易而盈利的頻譜拍賣人，隨著頻譜拍賣服務器的增加，頻譜拍賣人的交易費用也隨之增加，這也增加了系統的額外交易費用。如何優化系統性能并減少頻譜拍賣人的交易費用是本文今后需要研究的內容。

8 結束語

本文提出一個面向隱私保護的PMRA方案。首先，PMRA方案將除頻譜價格外其他影響頻譜二次分配的頻譜正向屬性考慮在內，頻譜競標人提供含有頻譜競標價格與頻譜正向屬性值的競標方案參與頻譜拍賣。利用Paillier加密方案及其門限機制、匿名化技術以及不經意傳輸技術的密碼學工具確保頻譜拍賣所需的安全特性，使頻譜拍賣協議安全地執行。其次，PMRA方案的安全分析表明，本文所提出的頻譜拍賣協議具有較強的安全性。對PMRA方案進行性能評估，實驗結果表明，PMRA方案的效率優于已有的多屬性逆向拍賣VMRA方案和SMRA方案。最后，討論了PMRA方案系統的擴展性問題。

本文僅考慮當頻譜買家所選擇的頻譜屬性均為正向屬性時，通過利用線性加權法以計算頻譜決策效用函數值來判斷頻譜拍賣贏家。然而在實際復雜的逆向頻譜拍賣場景中，頻譜的非價格屬性例如原頻譜的不同服務地區、原頻譜的服務人口數量等因素并非都為正向屬性。而在討論PRMA方案的系統擴展性問題時，隨著服務器的增加，頻譜拍賣人的交易費用也隨之額外增加。因此，如何設計出更適用于復雜逆向頻譜拍賣場景下的頻譜決策效用函數，以及如何優化系統性能以減少系統額外的交易費用等問題則是未來工作中需要研究和探討的主要內容。