OIN:技術向 | 香港大學論文：一種針對去中心化存儲隱私保證的輕量級鏈上審計_Huobi Litecoin

新冠疫情加快了我們的數字化進程，我們無法再像以前那樣通過面對面頻繁往來來加強信任，取而代之的是越來越多的利用密碼學中Merkle樹和零知識證明驗證Verify來“信任”你與之交互的人或物。利用密碼技術，我們用戶可以驗證我們存放數字資產的交易所的償付能力，驗證我們外包存儲的數據安全和隱私，而不需要第三方審計意見。

顯然，我們不太適應，但這就是數字化社會的一種轉變，從Trust到Verify的轉變。

以下分享一章關于分布式存儲系統的隱私安全審計協議。

TowardsPrivacy-assuredandLightweightOn-chainAuditingofDecentralizedStorage

針對去中心化存儲隱私保證的輕量級鏈上審計

https://arxiv.org/pdf/2005.05531.pdf

YuefengDu??,HuayiDuan??,AnxinZhou??,CongWang??,ManHoAu?,andQianWang§?CityUniversityofHongKong,HongKong;?TheUniversityofHongKong,HongKong?CityUUniversityofHongKongShenzhenResearchInstitute,China;§WuhanUniversity,China

摘要

針對云上的數據存儲進行安全和隱私審計是一個很好的研究課題，但對于正在崛起的去中心化存儲網絡(DecentralizedStorageNetwork,DSN)，一個十億美元的市場，這是一個未知領域。將數據存儲業務以完全去中心化的方式實現可用，區塊鏈是個非常方便技術——以存儲證明的形式記錄和驗證審計跟蹤，并以此為基礎，通過必要的爭議解決來實施公平支付。

區塊鏈上留有可審計的線索，提供了透明和公平的同時，但它也1）犧牲了用戶隱私，因為它們可能泄露有關被審計數據的信息；2）成本過高，消耗鏈上資源，驗證成本很高。少數針對DSN的隱私審計提案并不能完全解決這些問題。

我們提出了一個DSN隱私審計解決方案，解決了鏈上隱私審計并保證了效率和成本，提案結合了同態線性認證與多項式承諾簡潔證明，和sigma協議可證明隱私。該解決方案每次審核可向區塊鏈寫入288字節的驗證，并產生恒定的驗證成本。它可以維持長期運行，并輕松擴展到大量的以太坊用戶。

一、導言

在過去的幾十年里，云數據存儲重塑了數據存儲方式。雖然中心化集中式數據存儲在蓬勃發展，但缺點是，這種模式對用戶數據造成了新的安全和隱私威脅。中心云存儲提供商可能會偷看甚至濫用用戶數據，因為用戶將自已的數據外包到中心實體公司存儲時，就基本上會失去數據控制權。而且，在云時代，數據存儲市場集中在少數幾個供商手上，導致了市場壟斷的現象嚴重。

但基于P2P的數據存儲系統，如Bittorrent和IPFS，從21世紀初就為數據存儲指明了另一個新的方向。雖然，P2P存儲系統的魯棒性和可靠性還可能是一個問題，它們也經常被濫用來進行盜版和非法內容的共享，原因在于，這個是無需許可，人人可參與的一個系統，對等節點可以自由地加入和離開，而不必擔心對系統的的影響。

幸運的是，區塊鏈技術、的騰飛已成定局，并在快速發展，使這樣一個用激勵驅動的去中心化云存儲系統上存儲個人數據成為可能。DSN存儲提供商無法查看在用戶端加密的數據內容,因此用戶將獲得更強的安全保障。此外，該系統自然也提供了一個機會，可利用大量未被充分利用的存儲空間，進一步造福于廣大公眾，而不僅僅局限于少數的中心云存儲公司。

值得一提的是，這樣一個區塊鏈支持的分布式數據存儲系統DSN不應被現有中心云存儲的替代品，而應被視為對當前云存儲服務的補充。我們甚至可以利用現有的中心云存儲CDN基礎設施，例如存放到中心云上，以提供高質量的存儲和數據檢索服務。在這種以區塊鏈為骨干激勵系統的分布式存儲系統下，我們設想提供一種有利于所有參與者的數據存儲方案，特別是對于那些需要更強大安全保障的敏感數據用戶和需要出租未被充分使用存儲空間的存儲提供商。

Bitkub Blockchain Technology和Finstable將助力普吉鎮整合區塊鏈技術:6月16日消息，Bitkub Blockchain Technology和CeDeFi服務平臺開發商Finstable已與普吉鎮（Phuket Town）簽署了一份諒解備忘錄，以將區塊鏈整合到該市的經濟發展計劃中。雙方都表示，區塊鏈技術將在推動實體經濟和數字經濟方面發揮不可或缺的作用，同時普吉島居民也越來越多地顯示出對該技術的興趣。（曼谷郵報）[2022/6/16 4:31:10]

A、目標問題

我們來考慮這樣一個場景：用戶打算把他或她的照片集存儲到云端。盡管用戶并不完全信任像AWS這樣的中心云存儲服務提供商，但對于分布式去中心化的數據存儲服務提供商，似乎更加不可靠。即使有一個強大的激勵系統，可以懲罰不法分子，但用戶可能永遠不會發現數據是丟失或被非法利用，直到數據檢索是才發現。另一方面，即使我們假設用戶成功抓到了不法分子，區塊鏈又如何協助解決這一糾紛，又有什么證據可以作為唯一和最終的判斷標準？

總結核心問題，我們缺乏一個有效且低成本的數據存儲審計系統，也缺乏一個公平的爭議解決機制，以支持區塊鏈的分布式去中心化存儲。當然我們可以依賴于鏈外審計，但它引入了額外的信任假設，并最終要求區塊鏈解決爭議。因此，工作開始，假設所有審計工作都是使用鏈上功能進行的。

挑戰。設計和部署一個可行的原型具有以下挑戰性。首先，我們必須處理隱私問題和區塊鏈透明度之間的關系。根據GDPR，的最新解釋，建議在區塊鏈上限制個人數據的數量，以防將來發生泄露。在使用區塊鏈的審核情況下，向區塊鏈提供不安全的證據可能會使對手有機會以野蠻的方式離線恢復原始數據內容。其次，除了隱私問題，另一個挑戰是如何設計出證明簡潔、驗證快速的審計協議。考慮到區塊鏈上的成本，這對系統的成本效益和擴展性都非常重要。

評論。作為一個開始，我們關注個人和企業數據存檔存儲的具體應用。一旦數據被分發和存檔，就不會有更多的數據更新。單是歸檔存儲市場就有巨大的潛力，包括如文件收集歸檔和圖像備份等使用場景。從另一個角度來看，大多數區塊鏈支持的去中心化數據存儲系統，如Storj、Siacoin、Filecoin，都不支持動態數據更新。所以我們所建議的設計無疑具有可比性。

B、我們的貢獻

我們是第一個針對去中心化數據存儲DSN的鏈上隱私問題和鏈上效率問題的審計框架。具體來說，我們做出了以下貢獻。

我們分析了分布式去中心化歸檔存儲系統的當前做法，并確定了阻礙其進一步發展的關鍵問題。

我們為分布式去中心化存儲系統提出了第一個具有鏈上隱私和效率的數據審計協議。在實現鏈上隱私的同時，我們將鏈上數據安全及隱私審計成本降低到$0.1每次審核。

我們進行全面的性能評估，以顯示我們的設計實現了效率，并將能可靠和穩健地擴大到數千以太用戶。

總而言之，我們的設計使去中心化歸檔存儲審計在成本和效率方面與中心云存儲解決方案相當。

二、背景

在本節中，我們將對現有的去中心化存儲系統DSN設計進行深入分析。

表一：支持去中心化存儲審計框架的相關特性的比較。

a0設計未考慮該功能；O黑表示設計完全支持該功能；N/A表示不適用的功能；N/P表示可以支持但未指定該功能。

b類：按不同類別分類，P2P或以太坊兼容或比特幣兼容或Altercoin。我們認為基于以太坊的審計解決方案由于其通用智能合約的概念而更具普遍性；基于比特幣的審計解決方案與以太坊平臺兼容，但在區塊鏈上可以完成的計算量非常有限；而Altercoin設計不能用于其他情況。

動態 | 阿里公益平臺將使用區塊鏈技術讓公益時可記錄、可分享、可激勵:據阿里巴巴集團方面介紹，用戶在互聯網上的愛心捐贈、捐步、種樹等公益行為都有了統一的價值量化標準——公益時。這些公益時不僅可以用于兌換試點城市“時間銀行”的養老服務，公益時用戶還可以獲得免費使用機場貴賓廳、免費領取志愿者保險、免費體檢等日益增加的權益。阿里巴巴3小時公益平臺還將使用區塊鏈技術，讓公益時可記錄、可分享、可激勵。（新華網）[2019/12/24]

c審計模式：TTP代表可信第三方審計；BC代表區塊鏈鏈上審計；PA代表私有鏈下審計；Filecoin聲稱數據所有者可以充當審計師。

d存儲保證：基于Merkle樹的審計只能提供有限的存儲保證，因為質詢隨機性最終會耗盡，證明者可能會重用質詢塊；利用遞歸復合SNARK，Filecoin規避了上述問題；應用同態身份驗證器的ZKCSP可以提供高質量的存儲保證。

基于區塊鏈技術的加密貨幣如比特幣和以太坊能夠以去中心化的方式支持存儲審計。特別是，以太坊非常有用，因為它能夠執行準圖靈完整性的智能合約，但受限于Gas成本。更重要的是，由于智能合約具有自動執行和公開驗證的特性，它已經成為中美法律領域的主要創新力量、。以太坊存儲服務方案Swarm提出了去中心化模式下的存儲審計概念。然而，考慮到智能合約的鏈上約束，它缺乏一個激勵層，公平審計服務只能外包給可靠的第三方。

作為去中心化存儲系統的主導力量，Storj提出了一個由中心審計員組成的審計框架，稱為“satellites/衛星”。然而，這些審計師的選擇取決于他們的聲譽。因此，整個系統建立在信譽上的，每個存儲提供商的信譽由satellites/衛星審計員決定。問題是，衛星的影響作用可能導致串通，因此Storj的創始團隊和關聯合作的各方在維持甚至控制系統中的審計和支付交易。

Siacoin是提出具有可公開驗證的完全去中心化數據存儲網絡的先驅之一。在其結構中，存儲提供商通過定期向區塊鏈提交原始文件的一部分和文件的Merkle樹中的相應散列來證明存儲。然而，由于質詢隨機性的低熵，存儲提供商可能被重復使用來證明，而不是誠實地發送生成的存儲證明數據。

而Filecoin提出了一個用戶輔助的審計框架，提交給Filecoin區塊鏈的證明達到了我們對鏈上完美數據隱私的要求，因為證明是用ZK-SNARK生成的，盡管Filecoin的初衷是利用可驗證計算來壓縮證明，但可信設置階段和證明生成階段的計算開銷使得目前難以部署。

評論。盡管我們已經指出了上述方案的缺點，Storj和Siacoin仍在積極研究和改進中。Filecoin仍在大量建設中，還是早期階段。我們還考慮了保護鏈上隱私的ZK-SNARK框架的兩個代表，即比特幣的ZKCSP和以太坊的Hawk。

三、概述

在本節中，我們將提供背景信息、和我們的系統概述和對抗模型。

A、分散存儲體系結構

如圖1所示，去中心化分布式存儲系統可分為兩部分，一部分用于數據存儲的基礎設施，另一部分用于審計和激勵。數據存儲基礎結構負責數據分塊、數據加密、擦除編碼、分布式網絡等。簡言之，要外包的數據首先被分塊并由數據所有者在塊級加密。此外，數據冗余還需要擦除編碼。最后，數據所有者使用分布式哈希表查找存儲提供程序候選，并使用該表進行路由。

在我們的系統中，我們將數據加密和擦除編碼應用于私有存檔數據存儲，并且我們強制數據所有者對數據加密。為了處理無法應用加密的公共存儲，Filecoin利用了數據密封和復制證明，這在我們的設計中根本不需要。

動態 | 陸金所：已通過區塊鏈技術服務交易超過1000萬筆:10月30日，陸金所控股（下稱陸金所）消息稱，截止到目前，陸金所已通過區塊鏈技術服務交易超過1000萬筆，換言之，從取得備案至今，每天都有近3萬筆交易上鏈，累計交易額超過1000億元。今年3月30日，國家互聯網信息辦公室發布了第一批境內197個區塊鏈信息服務備案編號。其中，金融科技公司陸金所控股旗下公司多個區塊鏈服務位列其中。[2019/10/30]

在下面的演示中，為了簡單起見，我們只考慮數據所有者和單個存儲提供商之間的一對一映射。也就是說，我們假設一個簡化的場景，其中數據所有者將所有數據存儲在一個存儲提供商中。而對于實際的開銷估計，數據所有者可以自由地調整數據冗余級別和存儲提供者的數量，導致總審計成本的線性增加可計算的。

B、系統概述

在我們的審計和激勵機制的設計中，有三個主要角色，即數據所有者D，他請求對其加密數據進行去中心化分布式存儲，并支付每一輪存儲審核的費用；數據存儲提供商S，他通過提供存儲服務并配合存儲審核來獲得應得的利潤；而專門負責審計工作的智能合約SC則忠實地向存儲提供商提出挑戰來審核數據被安全私隱地存儲了，在A通過每一輪存儲審核中驗證響應證明，并相應地對存儲提供商獎勵誠實行為和懲罰不法行為。

存儲合同談判結束后，D、S先進行預處理，然后進行定期審核。為了公平性，要求雙方在審計前提交保證金，智能合約負責解決D和S之間的所有潛在爭議，并進一步全面控制審計和管理支付。

從本質上講，我們認為D和S在經濟上是兩個理性的參與者，他們被充分激勵以實現其回報的最大化。SC被塑造成一個公正的審計師，在D和S就外包數據達成一致后，負責審計，例如當審計開始時，智能合約從安全隨機信標中提取隨機性，并為每一輪審計發出挑戰。在收到S的響應后，智能合約執行其預先確定的合約邏輯，從而維持生態系統的平衡。我們強調審計頻率應該適當設置，這樣與審計間隔相比，區塊鏈模型中的信息傳播時間可以忽略不計。

C、對抗模式

首先，我們需要考慮激勵措施的公平性。一方面，S不忠誠是很自然的。例如，它可以簡單地丟棄數據以回收更多的存儲空間以獲得更多的利益；類似地，它可以巧妙地丟棄D很少訪問的數據；它還可以隱藏數據丟失事件以維護其自身的聲譽。另一方面，激勵驅動的D也有不忠的可能。在極端情況下，D可能會為存儲提供商生成不正確的元數據，使得審核總是有利于數據所有者的財務利益。但當假設經濟行為主體是理性的，在面臨經濟處罰的情況下，我們排除了D和S的惡意行為的可能性。不過，在第VI-A節后面，我們將討論防范此類攻擊的可能對策。

我們還需要考慮針對連續審計跟蹤的敵對行為。在誠實多數假設下，我們將區塊鏈視為可信方，因為它是以完全透明的方式存儲審計跟蹤。由于透明性，鏈外對手可能在我們不知情的情況下，偷偷地觀察鏈上審計跟蹤并提取原始數據的知識。盡管這是一個看似很小的安全漏洞，但這種脆弱性很容易被利用，而且還可能被對手擴大，以發動更復雜的攻擊。有關更多詳細信息，請參閱我們在V-E中的完整分析。

四、STRAWMAN方案

我們提出的STRAWMAN建議，重點是無縫集成審計與實現公平支付。我們利用一組標準的原語，同時提供鏈上隱私和效率。

A、原語

零知識證明可以驗證特定語句的有效性，但不會泄露超出語句本身有效性的任何其他信息。實踐性和通用性零知識證明系統使得他被廣泛采用。零知識證明系統上的許多工具已經可以通過從高級語言實現通用編譯器來支持任意計算。在所有零知識證明系統中，ZK-SNARK、是迄今為止最有用的結構。

動態 | 通訊公司Line Corporation應用區塊鏈技術和通證模式建立回饋系統:根據Btcmanager消息，通訊公司Line Corporation欲采用區塊鏈技術和通證模式改造其通訊業務，通過獎勵積極用戶，促進公司平臺生態發展。Line Corporation首席執行官Takeshi Idezawa表示：“在過去七年中，由于我們的用戶，Line才得以發展成為一項全球服務。現在，我們希望建立一個獎勵系統來回饋用戶。”[2018/9/2]

B、基本實例

我們將基于Merkle樹的審計協議封裝在預先構建的ZK-SNARK電路中，以實現鏈上隱私和鏈上效率。我們首先假設ZK電路的可信設置已經完成，并輸出證明密鑰pk和驗證密鑰vk。在審計之前，D需要在要存儲的數據中構造一個Merkle樹，并獲得Merkle根rt，該根rt可以公開訪問。在S接收到D的數據之后，審計以質詢響應協議的形式開始。

在合約期間，對于發出的每個質詢R，D用偽隨機函數找到質詢塊mi。為了防止公開驗證泄露數據信息，D利用已建立的ZK-SNARK電路和pk生成零知識證明prf。挑戰的葉節點mi和相應的Merkle路徑路徑總是可以被證明而不泄漏語句之外的任何信息的。利用vk和challengeR，可以有效地驗證產生的prf，同時保證鏈上隱私。

C、爭議與公平

在審計之前的初始化階段就有可能發生爭議。在D部署了一個帶有合同詳細信息argmts、params的合約之后，S必須同意它們，然后合同才能繼續。注意，D不能通過偽造參數和元數據來獲得利潤，因為參數和元數據是在ZK-SNARK電路的信任設置期間生成的，用于在要存儲的數據上構造Merkle樹。因此，在大多數情況下，S只是向智能合約發送一個確認信號，然后智能合約等待雙方存入加密貨幣。在某些極端情況下，S可能會惡意終止合同，從而使D支付argmts、params和元數據的鏈上存儲費用。在第VI-A節中，我們簡要討論了可能的對策。

定期審計階段在存款之后立即開始時，更容易實現公平性。如果S提交可由vk驗證的prf，S將從SC鎖定的存款中獲得小額付款；相反，如果prf不能由vk驗證，D將獲得小額付款。上述程序繼續以預先確定的審計頻率進行，直至合同最終到期。

D、限制

使用通用零知識證明的strawman/斯特勞曼解決方案很難部署，而且遠不是最優的，因為鏈外過程中，會產生大量的開銷。此外，挑戰的隨機性將被耗盡，之后的攻擊者可以簡單地利用重用進行挑戰。鑒于通用ZK工具的局限性，我們設計了另一種審計方案。

五、我們的協議

通過一個簡化的智能合約和基本實例，現在介紹我們協議的設計原理，及細節。

A、設計原理

由于通過直接使用通用的零知識證明系統，會產生了大量的鏈外開銷。為了設計一個具有鏈上隱私及有效率的實用審計協議，并在此基礎上考慮鏈下效率，我們轉向使用公鑰密碼，更具體地說是同態線性認證器。詳見第八節相關工作。

由于HLA封裝了用于公共驗證的公共同態認證器。對云存儲審計的廣泛研究，證明了其理論效率。然而，由于效率方面的考慮，尚未在實踐中大規模部署。大多數設計都會給存儲提供商帶來相當長的預處理和額外存儲的處理時間。盡管如所述，雖然這種開銷可以減輕，但它進一步導致證明大小的增加。為了提高效率，可以利用多項式承諾來降低存儲開銷和處理時間，而不必提高證明大小，。

直接應用基于HLA的非ZK版本審計協議的現實是非常危險的。我們證明了，潛在的對手可以利用鏈上證據中密封的“可提取知識”，進行攻擊。因此，通過充分利用HLA的代數結構來隱藏數據的Sigma協議，我們提出了同時實現鏈上隱私、鏈上效率和鏈下效率的協同設計。

動態 | 嘉興市將建立區塊鏈技術研究院:近日，嘉興市與世界“公鑰加密之父”、2015年圖靈獎獲得者Whitfield Diffie簽訂了建立區塊鏈技術研究院協議。[2018/7/16]

B、審計詳細信息

圖3顯示了智能合約和存儲提供商之間的交互。我們的審計協議中使用了一個非對稱雙線性映射e:G1×G2→GT，其中G1是一個具有素數階p的乘法循環群。讓兩個群生成器G1和G2從G1中隨機選擇，一個群生成器g從G2中隨機選擇，并指定一個隨機oracleH:{0，1}?→Zp。假設文件以F的形式存儲，并以組元素的形式進一步分成n個數據塊。然后，每個數據塊集合可以構成數據塊，以加速數據處理并節省額外的存儲開銷。形式上，F等價于塊的集合{mi=∈s}dnsei=0，其中我們使用dxe來表示大于或等于x的最小整數。注意，最后一個數據塊可能需要填充。

六、安全性分析

在本節中，我們通過分析第三節中列出的安全保證的實現情況，簡要評估了由智能合約實施的分布式歸檔存儲安全審計協議的安全性。

A、存儲正確性和公平性

我們已經詳細說明了我們的安全存儲審核協議的完整性，即正確的證明將始終通過驗證，如第2.1節所示。因此，在審計期間，S的利益始終可以得到保護。

為了證明惡意S不能偽造損害D的利益的證據，我們首先給出了誠實S提交的審計證據可提取性的證明草圖，本質上，不可偽造的問題可以轉化為知識證明問題中的知識可提取性。更具體地說，給定兩個有效的證明響應和，除非對手能夠打破CDH和q-BSDH假設，否則以壓倒性概率提取數據塊的部分線性組合是可行的。

除了在理論上保證數據的可提取性外，指定k值以保證存儲的數據不被篡改的高置信度仍然是至關重要的。之前的許多研究都分析了挑戰組塊數量k與存儲置信水平之間的關系。特別是，如果只有1%的數據被篡改，將k設置為300可以保證95%的D存儲。在去中心化分布式檔案儲存的范例中，我們相信這個數量的挑戰區塊足以保護D的利益。鑒于以上對可提取性和儲存保證的實際可信度的分析，我們有以下定理：

定理1。在給定q-BSDH假設的情況下，如果存儲提供商沒有保存數據文件的完整性，并且在隨機oracle中被質詢的塊的數量足夠大，則存儲提供商無法生成使驗證公式保持有效的證明。

在我們的威脅模型中，D和S理性的參與者。在實際部署中，一方可能仍然會以損害其他方利益的方式執行審核協議。例如，在初始化階段，S是有可能向智能合約發送拒絕信號，并讓S支付公鑰的鏈存儲成本。我們強調，在一個健壯的基于信譽的系統中，這種拒絕服務攻擊對任何人都沒有好處，但對自己都有壞處。使用類似的對策，也可以減輕其他攻擊，如Sybil攻擊。

B、區塊鏈上的數據隱私

在這一部分中，我們展示了我們的安全審計協議可以防止來自存儲在區塊鏈上的審計證明的數據泄漏。我們將認證器σ視為私有輸入，防止其受到鏈外對手的野蠻攻擊。然而，在實踐中不必隱藏σ。我們強調以下定理是可以證明的：

定理2。對于任意概率多項式時間的敵方AP-PT，在看到所有公共輸入后，AP-pt能夠區分證人的概率可以忽略不計。此外，在標準離散對數假設下，當所有公共輸入都是可忽略的時，概率AP-PT可以將F與隨機數據區分開來。

簡言之，對于分布式存檔存儲，證人不可分辨的特性足以在區塊鏈上實現完美的數據隱私。由于篇幅有限，我們不作正式分析。然而，潛在的原因是，加密的數據域及其生成的身份驗證程序提供了大量的熵來防止野蠻的武力攻擊，即使對手可以訪問存儲在區塊鏈上的身份驗證程序。

七、評價

我們現在通過回答以下問題來評估我們的審計協議。首先也是最重要的是，引入的操作的鏈上開銷是多少？強制審計的總體成本是多少？第二，我們的DSN審計系統的鏈外開銷是多少？在實際使用中是否會給數據所有者和存儲提供商帶來沉重的使用成本？此外，系統能支持的用戶基礎規模有多大？

A、實現和實驗設置

我們的實現遵循兼容性的設計原則，可以部署為一個插件，適用于大多數底層P2P類存儲系統和構建在區塊鏈上的激勵系統。特別是，我們選擇TahoeLAFS和以太坊作為我們的測試平臺。我們在以太坊平臺上遇到的主要挑戰是，由于鏈上編程語言的可靠性限制，無法有效地在本機上實現大多數復雜的密碼原語。這個障礙阻礙了以太坊測試網的傳統測試方法。盡管以太坊社區已經提出了像WebAssembly這樣的更多本地語言的堅實進展，但我們發現在可預見的未來，它仍然需要大量的開發工作。

有鑒于此，我們開發了帶有操作碼優化的預編譯智能合約。我們的合約，連同離線實現，由1000多行代碼組成，主要是在Golang。基于我們對操作碼的定制，我們部署了自己的私有testnet，并初步驗證了概念實現。我們強調我們的測試方法與以太坊社區提出的WebAssembly框架的當前開發計劃是兼容的。為了模擬去中心化分布式檔案存儲網絡中的基本存儲服務，建立了由三個節點組成的專用網絡，即一個節點代表礦工，一個節點代表存儲提供者，另一個節點代表數據所有者。miner和存儲提供商在Linux中使用DellPoweredgeT140服務器。數據所有者使用臺式PC。

為了有效地實現基于配對的加密，我們利用BN256曲線，該曲線是在Golang庫中用優化的匯編語言實現的，用于橢圓曲線相關操作。除了橢圓曲線運算外，另一個主要的計算開銷是由Zp上的有限域運算造成的。由于Golang的nativemath/biglibrary的限制，我們努力在Zp上優化有限域操作。最后，請注意，所有評價結果代表100個試驗的平均結果。

B、論連鎖效率與審計成本

大多數Dapp最關心的是鏈上成本。在我們的場景中，鏈上成本也占了我們支持的去中心化分布式存儲系統中存儲費用的大部分。在整個審計過程中，數據所有者需要為以下項目支付鏈上成本。

一次性存儲成本。在預處理階段，我們的審計協議依賴于存儲在區塊鏈上的公鑰。圖4顯示了一次性成本的波動范圍。不過，我們強調，這筆費用不超過1美元，與儲存合同期限無關。

每次審計成本。由于ZK-SNARK框架是我們的strawman/斯特勞曼解決方案，因此我們在表二的128位安全級別上比較了我們的主要解決方案和非常精簡的基于SNARK的解決方案。為了實現相對公平的比較，我們假設計算開銷所產生的燃氣GAS成本與計算時間成正比。然后，我們采用RopstenTestnet上的ZK-SNARK驗證事務作為基線基準，這是在主網絡上部署的ZK-SNARK契約。我們外推的詳細方法如圖5所示。

請注意，與基準實現相比，我們的鏈上計算性能得到了積極優化，。使用我們實驗設置中的安全參數，每次審核只需要大約589000個gas。與標準的基于SNARK的通用解決方案相比，我們的安全審計協議的鏈上成本要便宜50%。綜上所述，我們的主要解決方案在計算時間較短的情況下產生了更簡潔的鏈上證明。

隨機生成的成本效益。對于每一個具有挑戰性的時間窗口，智能合約必須獲取足夠的隨機性，以生成唯一的C1、C2、r。根據我們的估計，這些服務的費用從0.01美元到0.05美元不等，占總費用的比例很小。

估計年費。與云存儲方案相比，我們分散的歸檔存儲的最大額外成本屬于鏈上總成本，這與可調審計頻率成正比。值得注意的是，在實踐中，考慮到區塊鏈延遲問題和存儲保證的實際需要，審計頻率應該根據一天的順序進行調整。

在圖6中，我們展示了在合同期限固定的情況下，審計頻率與總成本之間的關系。通過保持每日審計合同，甚至考慮第三節a中所述的數據冗余因素，鏈成本的年度審計與大多數云存儲提供商的年度存儲費用2接近.

C、鏈外成本

如表二所示，基于SNARK的解決方案在可信設置階段會給數據所有者帶來巨大的開銷，在驗證生成階段會給存儲提供程序帶來巨大的開銷。而我們的審計協議將在很大程度上減輕數據所有者和存儲提供者的開銷。

為數據所有者最小化工作。與重量級的基于SNARK的解決方案相比，我們的審計協議只要求數據所有者為預處理投入一次性的、相當微不足道的時間。相比之下，基于SNARK的解決方案產生的公共參數的大小高達數百兆字節，即使是一小部分數據也需要大量的時間。與現有技術、相比，我們的解決方案大大減少了所需的時間，如圖7所示。事實上，要外包一個1GB大小的文件，數據所有者只需花2分鐘時間在四核筆記本電腦上將存儲/計算參數s設置為50。注意，除了用戶預處理期間的簽名生成時間外，我們還將其他因素計算為廣義的預處理時間。為了全面考慮預處理階段和驗證生成階段，我們建議將可調參數設置為50左右。

高效的存儲提供商。存儲提供商還可以從我們的審核解決方案中獲益。通過引入參數s，從存儲提供程序獲得的額外存儲的大小僅為原始數據大小的1/s。雖然通過增加參數s，生成證明的時間也增加了，但考慮到Zp和橢圓曲線上的所有密碼操作，實際結果是相當令人滿意的。圖8顯示了當被質詢塊的數量設置為300時，詳細操作的處理時間。我們強調，在存儲提供程序方面限制計算開銷是很重要的。我們還提供了一個更徹底的比較，當挑戰塊的數量變化時，適合不同的存儲保證級別。在圖9中，我們發現，當給定1%的數據篡改時，隨著存儲保證的置信水平從91%上升到99%，生成證明的時間顯著增加。

D、全系統因素

區塊鏈吞吐量。對于單個數據所有者來說，審計成本主要受審計頻率的影響。然而，隨著用戶群規模的擴大，整個分散存儲系統的可擴展性受到區塊鏈吞吐量的限制。在現實世界的部署中，我們可以使用一個專用的以太坊fork來進行審計。我們進一步假設平均塊大小約為18kb，這與過去6個月以太坊上的平均塊大小非常接近。在這種假設下，平均吞吐量為每秒2個事務。即使考慮到數據備份的數據冗余因素，我們的系統也可以輕松地同時支持5000個活動用戶。相比之下，Storj和Siacoin目前都只支持1000個用戶的存儲系統。可擴展性。如圖10的左圖所示，與目前以太坊平臺的每日增長約128mb相比，區塊鏈規模的估計年度增長將處于較慢的位置。從我們在Siacoin和Storj網絡上收集的數據中，我們發現在一個有1000個用戶的系統中，平均一個存儲提供商可能需要存儲大約30個用戶的數據。盡管我們的審計協議本機支持批處理審計，證明生成時間仍隨公鑰數量成比例增長。圖10右側的子圖顯示了在假設線性回歸模型的情況下，當存儲數據的用戶數量逐漸增加時，每個存儲提供程序所需的總體驗證時間。特別是，當用戶數為5000時，存儲提供程序完成所有證明生成過程可能需要大約20秒的時間。然而，我們認為這一時間量是可以容忍的，因為異步區塊鏈上的延遲花費了相似的時間量。

八、相關工作

在過去的十年里，人們對儲存的證據進行了大量的研究。最直接的審計方案是應用標準哈希函數或消息驗證碼來檢查不受信任位置的數據完整性。盡管該方案具有計算效率高的特點，但由于驗證者在輸入相同數據的情況下需要重新計算結果的不便，該方案不具有可擴展性。而且，我也不能支持無限次的挑戰。因此，大多數部署的解決方案都在數據上構造一個Merkle樹，以減少通信和驗證開銷。

在云存儲審計的設置中，大多數設計都利用公鑰密碼、，它聚合塊的身份驗證器，從而生成簡短的證明。后來，在公共驗證領域的發展、、、和動態性領域的發展、使人們重新對存儲審計及其在云存儲設置中的進一步應用的文獻產生了興趣。然而，這些先前的審計設計無法令人滿意地解決分散式歸檔存儲模式中的獨特挑戰。

九、結論

展望了分布式存儲的發展前景，提出了一種實用、安全的審計協議，具有較強的鏈上隱私保證和最小的鏈上開銷。初步評估表明，我們的審計方案具有實用性和成本效益。我們希望我們的工作鼓勵新的技術和設計，以建立一個更有希望的分散存儲市場。

Tags：區塊鏈以太坊ARKOIN區塊鏈專業好不好就業以太坊幣最新價格走勢圖SPARKSHuobi Litecoin

歐易okex官網