https://arxiv.org/pdf/2005.05531.pdf

C、 反抗模式

通过一个简化的智能合约和根基实例，此刻先容我们协议的设计道理，及细节。

从本质上讲，我们认为D和S在经济上是两个理性的参加者，他们被充实鼓励以实现其回报的最大化。SC被塑造成一个合理的审计师，在D和S就外包数据告竣一致后，认真审计，譬喻当审计开始时，智能合约从安详随机信标中提取随机性[18]，并为每一轮审计发出挑战。在收到S的响应后，智能合约执行其预先确定的合约逻辑，从而维持生态系统的均衡。我们强调审计频率应该适当配置（至少每隔几个小时），这样与审计隔断对比，区块链模子中的信息流传时间可以忽略不计。

简言之，对付漫衍式存档存储，证人不行鉴另外特性足以在区块链上实现完美的数据隐私。由于篇幅有限，我们不作正式阐明。然而，潜在的原因是，加密的数据域及其生成的身份验证措施提供了大量的熵来防备野蛮的武力进攻，纵然敌手可以会见存储在区块链上的身份验证措施。

存储条约会谈竣事后，D、S先举办预处理惩罚，然后举办按期审核。为了公正性，要求两边在审计前提交担保金，智能合约认真办理D和S之间的所有潜在争议，并进一步全面节制审计和打点付出。

定理1。在给定q-BSDH假设的环境下，假如存储提供商没有生存数据文件的完整性，而且在随机oracle中被质询的块的数量足够大，则存储提供商无法生成使验证公式保持有效的证明。

C、 链外本钱

评论。尽量我们已经指出了上述方案的缺点，Storj和Siacoin仍在努力研究和改造中。Filecoin仍在大量建树中，照旧早期阶段。我们还思量了掩护链上隐私的ZK-SNARK框架的两个代表，即比特币的ZKCSP[13]和以太坊的Hawk[14]。

总结焦点问题，我们缺乏一个有效且低本钱的数据存储审计系统，也缺乏一个公正的争议办理机制，以支持区块链的漫衍式去中心化存储。虽然我们可以依赖于链外审计，但它引入了特另外信任假设，并最终要求区块链办理争议。因此，事情开始，假设所有审计事情都是利用链上成果举办的。

a 0设计未思量该成果；O暗中示设计完全支持该成果；N/A暗示不合用的成果；N/P暗示可以支持但未指定该成果。

A、 分手存储体系布局

但基于P2P的数据存储系统，如Bittorrent[1]和IPFS[2]，从21世纪初就为数据存储指明白另一个新的偏向。固然，P2P存储系统的鲁棒性和靠得住性还大概是一个问题，它们也常常被滥用来举办盗版和犯科内容的共享，原因在于，这个是无需许可，人人可参加的一个系统，对等节点可以自由地插手和分开，而不必担忧对系统的的影响。

B、 根基实例

评论。作为一个开始，我们存眷小我私家和企业数据存档存储的详细应用。一旦数据被分发和存档，就不会有更多的数据更新。单是归档存储市场就有庞大的潜力，包罗如文件收集归档和图像备份等利用场景。从另一个角度来看，大大都区块链支持的去中心化数据存储系统，如Storj[7]、Siacoin[8]、Filecoin[9]，都不支持动态数据更新。所以我们所发起的设计无疑具有可比性。

在图6中，我们展示了在条约期限牢靠的环境下，审计频率与总本钱之间的干系。通过保持逐日审计条约，甚至思量第三节a中所述的数据冗余因素（譬喻，10个擦除编码中的3个），链本钱的年度审计与大大都云存储提供商的年度存储用度2靠近.

在云存储审计的配置中，大大都设计都操作公钥暗码[25]、[40]，它聚合块的身份验证器，从而生成简短的证明。厥后，在民众验证规模的成长[25]、[57]、[26]、[27]和动态性规模的成长[57]、[59]使人们从头对存储审计及其在云存储配置中的进一步应用的文献发生了乐趣。然而，这些先前的审计设计无执法人满足地办理分手式归档存储模式中的奇特挑战。

A、 存储正确性和公正性

大大都Dapp最体贴的是链上本钱。在我们的场景中，链上本钱也占了我们支持的去中心化漫衍式存储系统中存储用度的大部门。在整个审计进程中，数据所有者需要为以下项目付出链上本钱。

在我们的审计和鼓励机制的设计中，有三个主要脚色，即数据所有者D，他请求对其加密数据举办去中心化漫衍式存储，并付出每一轮存储审核的用度；数据存储提供商S，他通过提供存储处事并共同存储审核来得到应得的利润；而专门认真审计事情的智能合约SC则忠实地向存储提供商提出挑战来审核数据被安详私隐地存储了，在A通过每一轮存储审核中验证响应证明，并相应地对存储提供商嘉奖厚道行为和处罚非法行为。

由于HLA封装了用于民众验证的民众同态认证器。对云存储审计的遍及研究[23]，[24]证明白其理论效率。然而，由于效率方面的思量，尚未在实践中大局限陈设。大大都设计城市给存储提供商带来相当长的预处理惩罚和特别存储的处理惩罚时间。尽量如[25]所述，固然这种开销可以减轻，但它进一步导致证明巨细的增加。为了提高效率，可以操作多项式理睬来低落存储开销和处理惩罚时间，而不必提高证明巨细[26]，[27]。

在我们的威胁模子中，D和S理性的参加者。在实际陈设中，一方大概仍然会以损害其他方好处的方法执行审核协议。譬喻，在初始化阶段，S是有大概向智能合约发送拒绝信号，并让S付出公钥的链存储本钱。我们强调，在一个结实的基于诺言的系统中，这种拒绝处事进攻对任何人都没有长处，但对本身都有弊端。利用雷同的对策，也可以减轻其他进攻，如Sybil进攻[41]。

Towards Privacy-assured and Lightweight On-chain Auditing of Decentralized Storage

由于通过直接利用通用的零常识证明系统，会发生了大量的链外开销。为了设计一个具有链上隐私及有效率的实用审计协议，并在此基本上思量链下效率，我们转向利用公钥暗码，更详细地说是同态线性认证器（the homomorphic linear authenticators, HLA）。详见第八节相关事情。

d存储担保：基于Merkle树的审计只能提供有限的存储担保，因为质询随机性最终会耗尽，证明者大概会重用质询块；操作递归复合SNARK[9]，Filecoin规避了上述问题；应用同态身份验证器的ZKCSP可以提供高质量的存储担保。

在本节中，我们通过阐明第三节中列出的安详担保的实现环境，扼要评估了由智能合约实施的漫衍式归档存储安详审计协议的安详性。

在我们的系统中，我们将数据加密和擦除编码应用于私有存档数据存储，而且我们强制数据所有者对数据加密。为了处理惩罚无法应用加密的民众存储，Filecoin操作了数据密封[9]和复制证明[17]，这在我们的设计中基础不需要。

b类：按差异种别分类，P2P或以太坊兼容（EC）或兼容（BC）或Altercoin（ALT）。我们认为基于以太坊的审计办理方案由于其通用智能合约的观念而更具普遍性；基于比特币的审计办理方案与以太坊平台兼容，但在区块链上可以完成的计较劲很是有限；而Altercoin设计不能用于其他环境。

在合约期间，对付发出的每个质询R，D用伪随机函数找到质询块mi（Merkle树中的叶节点）。为了防备果真验证泄露数据信息，D操作已成立的ZK-SNARK电路和pk生成零常识证明prf。挑战的叶节点mi和相应的Merkle路径路径老是可以被证明而不泄漏语句之外的任何信息的。操作vk和challenge R，可以有效地验证发生的prf，同时担保链上隐私。

我们阐明白漫衍式去中心化归档存储系统的当前做法，并确定了阻碍其进一步成长的要害问题。

c审计模式：TTP代表可信第三方审计；BC代表区块链链上审计；PA代表私有链下审计；Filecoin声称数据所有者可以充当审计师[9]。

在本节中，我们将提供配景信息、和我们的系统概述和反抗模子。

我们提出的STRAWMAN 发起，重点是无缝集成审计与实现公正付出。我们操作一组尺度的原语，同时提供链上隐私和效率。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。