申请/专利权人：北京工业大学

申请日：2024-01-16

公开（公告）日：2024-06-25

公开（公告）号：CN118250008A

主分类号：H04L9/32

分类号：H04L9/32;H04L9/00;H04L69/04;H04L67/1097;H04L1/00

优先权：

专利状态码：在审-公开

法律状态：2024.06.25#公开

摘要：本发明公开了具有可恢复性的去中心化存储分布式零知识审计方案。对数据进行分块，并对每个数据块应用纠删码进行编码，执行双重压缩，对数据块进行分组哈希进行第一次压缩，然后转化为多项式进行第二次压缩。将压缩后的数据块与相应的数据认证器和审计状态一同上传至去中心化存储节点。当验证者需要验证去中心化存储节点的存储状态时，验证者向去中心化存储节点发送随机挑战，以便检查存储状态。去中心化存储节点根据挑战内容计算相应的证明，并将证明发送给验证者。验证者基于已有参数进行验证。本发明采用链上审计，将验证者替换为区块链上的智能合约，实现审计挑战的自动化执行。本发明在证明生成过程中采用分布式零知识证明提升效率。

主权项：1.具有可恢复性的去中心化存储分布式零知识审计方案，其特征在于：三个参与方分别为去中心化存储节点、数据所有者和验证者；数据所有者执行设置阶段算法和存储文件阶段算法；验证者执行生成挑战阶段算法和验证证明阶段算法；去中心化存储节点执行证明生成阶段算法；具体的实现方式如下；1参数设置阶段在设置阶段，数据所有者生成公共参数以及秘密值，同时也需要构建零知识证明电路；假设Px设置为次数为rP-1的多项式，这里的rP是多项式压缩比；g和h表示素数阶为p的乘法循环群G1的两个生成元；数据所有者生成秘密值u和秘密密钥δ；数据所有者计算公共参数其中υ是秘密值，取值范围是i∈[0，rP-1]；数据所有者计算公共值{λi}i∈[0，|F|]，其中δ是秘密密钥，取值范围是E∈[0，|F|]，|F|是文件F中文件块的数量；此外，数据所有者使用零知识证明技术生成密钥对ke，kv和压缩算法电路Ψ，并在本地编译电路；在初始设置阶段，数据所有者使用应用分布式零知识证明框架即DIZK框架实现集群设置压缩算法电路Ψ；2存储文件阶段数据所有者将每个文件块Fi∈F拆分为rP×rD个数据块使用纠删码对每个数据块进行编码，获得编码后的数据块其中rP是多项式压缩比，rD是数据块压缩比，取值范围是i∈[0，|F|]，|F|是文件F中文件块的数量；数据所有者首先执行数据块压缩，使用Hi，s＝HCi，j，Ci，j+1，···来压缩每组编码数据块{Ci，j}，得到压缩编码数据块{Hi，s}，其中函数H·是哈希运算，使用的哈希函数是MIMC哈希函数，j∈[srD，s+1rD-1]，s∈[0，rP-1]；编码数据块压缩后，数据拥有者进一步进行多项式压缩，使用多项式承诺对编码数据进行压缩；首先得到每个文件块的多项式；每个文件块的多项式表示为这里的Hi，j是针对每个编码数据块计算出的哈希值，其中i∈[0，|F|]，|F|是文件F中文件块的数量，j∈[0，rP-1]；modp是公式对结果进行模运算，模运算的对象是p，p是素数域中的特征数；数据所有者将多项式承诺计算为Piυ，其中υ是设置阶段生成的秘密值；得到Piυ后就完成了多项式的压缩；之后，数据所有者计算数据认证器其中Piυ是刚刚计算得到的多项式承诺，在生成元g的指数上乘上Piυ是为了防止Piυ暴露给去中心化存储节点；数据所有者之后计算审计状态st；审计状态st的计算公式为其中CG是指提交乘法循环群G1中的值到素数域中，是数据认证器，就是将数据认证器从乘法循环群G1中的值到素数域中；δ是设置阶段生成的秘密密钥，这个等式中的i表示取值范围是[0，|F|]，|F|是文件F中文件块的数量；将数据认证器数据所有者将所有文件块{Fi}、数据认证器和审计状态st传输到去中心化存储节点；3生成挑战阶段在生成挑战阶段，数据所有者向去中心化存储节点发送挑战参数I1，I2，l，其中I1和I2是随机密钥，l是挑战编号即挑战文件块的数量；4证明生成阶段给定挑战参数后，去中心化存储节点计算挑战集Ω＝{i，ηi}，其中是挑战块的索引，而是证明生成的系数，其中k相当于随机值，k的取值范围是k∈[1，l]，和分别表示针对随机密钥I1的伪随机排列和针对随机密钥I2伪随机函数，ηi的取值范围是i∈[0，|Ω|]，|Ω|是挑战集的元素数量；去中心化存储节点将被质疑的编码数据块的数据块作为输入，并根据压缩算法电路Ψ生成以及电路证明τ；下面是压缩算法电路Ψ的计算过程；第一步是将文件块输入到算术电路Ψ中；在算术电路Ψ中，首先会对输入的文件块进行分组，按照每组rD个数据块进行分组；之后使用Hi，s＝HCi，j，Ci，j+1，···来压缩每组数据块，得到压缩编码数据块Hi，s，其中函数H·表示哈希运算，使用的哈希函数是MIMC哈希函数，j∈[srD，s+1rD-1]，s∈[0，rP-1]；之后对压缩后的编码数据块乘上挑战集中通过随机函数生成的随机系数ηi，其中i∈Ω，这样得到的电路输出为第二步是应用分布式零知识证明框架DIZK的证明算法生成电路证明τ；通过DIZK框架的证明生成算法中输入公钥ke和算术电路电路Ψ，从而生成电路证明τ，如等式1所示；其中，Ha是线性聚合输出，τ是电路证明，ke是设置阶段生成的公钥，Ψ是算术电路，{Ci，j}i∈Ω是编码后的压缩数据块，{ηi}i∈Ω是证明生成的系数，其中i是属于挑战集Ω；Ha，τ←PΨke，Ψ，{Ci，f}i∈Ω，{υi}i∈Ω1根据挑战集Ω，去中心化存储节点使用上述电路中的输出构造证明多项式进一步压缩，多项式如等式2所示；其中，ηi是证明生成的多项式系数，Hi，j是多项式中的系数；简写为线性聚合输出其中，x是多项式的输入参数，用于DIZK中的证明验证算法验证； 之后去中心化存储节点生成了辅助证明辅助证明的计算公式如等式3所示； 辅助证明聚合了所有挑战块的数据认证器；在等式3中的i的范围是在去除了挑战集Ω后的文件F的集合，h是设置阶段乘法循环群G1的生成元，是审计状态st集合中的元素，δ是设置阶段的秘密密钥；为了不让秘密密钥δ暴露，通过等式3中的来计算辅助证明，其中∈i是设置阶段生成的公共参数，θi是通过多项式计算得到的系数，|F|和|Ω|代表文件F和挑战集Ω的元素数量；在多项式中，i的范围是在去除了挑战集Ω后的文件F的集合，是审计状态st集合中的元素，δ是秘密密钥，θi是计算得到的多项式系数，δi是秘密密钥的i次方；最后，去中心化存储节点将证明发送给智能合约，其中是数据认证器的集合，是辅助证明，Ha是线性聚合输出，τ是电路证明；5审计验证阶段在审计验证阶段，验证者从去中心化存储节点收到证明后，首先使用证明算法中的相同方法检索挑战集Ω＝{i，ηi}，其中是挑战块的索引，而是证明生成的系数，其中k相当于随机值，k的取值范围是k∈[1，l]，和分别表示针对随机密钥I1的伪随机排列和针对随机密钥I2伪随机函数；之后，验证者调用分布式零知识证明框架DIZK中的证明验证算法对电路证明τ进行验证，如等式4所示；其中VΨ表示DIZK的证明验证算法，kv是设置阶段生成的验证密钥，Ha是电路的线性聚合输出，τ是电路证明；如果验证结果为true，则证明数据被正确压缩；如果为false，则说明数据压缩过程存在问题；truefalse＝VΨkv，Ha，τ4之后，通过双线性配对检查辅助证明，使用e·表示双线性配对，如等式5所示；在等式5中，i的取值范围是i∈Ω；在等式5的左侧，st是设置阶段生成的审计状态，h是设置阶段生成的G1的生成元；在等式5的右侧，是去中心化节点发送的辅助证明，是审计状态st集合中的元素，δ是秘密密钥；如果配对成功，则证明数据认证器正确； 之后，通过等式6检查审计结果；在等式6中，i的取值范围是i∈Ω，是数据认证器，ηi是证明生成的系数；此外，i的取值范围是i∈[0，rP-1]，其中g是乘法循环群G1的生成元，是多项式承诺的点，∈i是设置阶段生成的公共参数，Va，j是证明阶段生成的线性聚合输出；如果等式6两边相等，则证明数据确实保存在去中心化存储节点上，否则说明去中心化存储节点并未正确保存数据； 二、链上审计方案使用设置阶段生成的辅助值{λi}来生成这样就避免了知道秘密密钥δ；计算公式如公式7所示；在公式7中，i的取值范围是从0到挑战集Ω的所有元素，h是设置阶段乘法循环群G1的生成元，是审计状态st集合中的元素，δ是设置阶段的秘密密钥；为了实现链上审计，通过等式7中的来计算辅助证明，其中λ#是设置阶段生成的公共值，θi是通过多项式计算得到的系数；在多项式中，i的范围是挑战集Ω，是审计状态st集合中的元素，δ是秘密密钥，θi是计算得到的多项式系数，δi是秘密密钥的i次方；

全文数据：

权利要求：

百度查询： 北京工业大学 具有可恢复性的去中心化存储分布式零知识审计方案

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD