我的论文研究方向主要是Password-Hardened Encryption（简称PHE），所以我就准备精读一下这篇首次提出PHE的2018年的论文——Simple Password-Hardened Encryption Services，并做一些记录。

原文链接：https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-lai.pdf

Password-Hardened

PHE是沿袭另外两篇15年和17年的论文，题目分别是The Pythia PRF service和Phoenix: Rebirth of a cryptographic password-hardening service，该论文提出Password-Hardened（简称PH），之后可能会精读这两篇论文。

PH的全流程只需要用户终端、服务器（后文称为server）和加密服务器（此处为了方便，PHE作者将其命名为rate-limiter）。在PH中，server和rate-limiter是一体的，当用户注册时，rate-limiter会创造一个用户密码的加密记录；当用户登陆时，提供密码，server和rate-limiter协作验证密码是否符合加密记录的密码。

PH的安全保障来源有四个：

独立的server和rate-limiter都不能检测密码的正确性
rate-limiter可以记录一些信息，例如：每个用户的失败次数、速率限制密码尝试和在线攻击
rate-limiter没有学习任意密码信息
server和rate-limiter可以无缝旋转密钥（这个概念后面要了解一下）
这些保障提供了前向安全（这个概念了解不深刻，挖坑学习一下）

PH的一个局限性是：它只保证密码的安全。如果攻击者控制了服务器，可以简单的解密出来其他的数据。

私货感悟：

现在挺多企业，以及CMS都用上了PH。它的方法是，利用MD5等杂散函数，将用户密码哈希之后，全部或者部分存储在服务器里，再用户下次登陆时，再进行比对。的确存在该论文所谓的只能保证密码安全，毕竟密码只需要单向验证，但是数据就需要显示使用，如果哈希之后，就还原不了了，就没用了，所以不能加密数据。

Password-Hardened Encryption

PHE本质上是拓宽了PH的加强版。

PHE的区别：

拓宽了加密范围。PH只能加密用户密码，PHE可以除了密码还可以加密用户数据。
PHE引入了单独的加密服务器（后文仍称作rate-limiter）
PHE的全流程为：当用户注册时，server和rate-limiter会创造一条记录，包含加密后的密码和一个私密信息，该私密信息可以理解为非对称加密（例如AES）中的私钥；此后，server会利用该密钥加密该用户的数据，然后删除掉密钥，只在rate-limiter保留；当用户登陆时，server和rate-limiter共同验证密码正确性，如果密码正确，server会恢复密钥并解密用户数据。

PHE安全保障来源：

继承了PH的安全保障来源
拓展加密范围到能够加密数据
该论文的贡献：

介绍并规范了PHE
提出了一个简单的PHE框架
优化了性能，PHE比PH性能提升
验证了PHE的安全性
采用的技术概要：

一个简单高效的框架
利用有效证明的稳健性
强化了PH
PHE的技术细节：

设置和生成密钥
加密/解密
密钥旋转（Key Rotation）和更新记录
PHE的安全细节：

消息隐藏（数据加密）
部分遗忘（server遗忘密钥，rate-limiter遗忘数据）
稳健性
前向安全*（基于密钥更新）

To be continue！

小山寺孤儿，养父是小山寺唯一僧人——五云僧人

师从小山寺旁的青云观十九长老——布作诗，其师兄弟七人，排行老六

修闭口禅（只提供防御，和法力，等同于一个防弹充电宝；以及一次威力巨大的开口之术），不能修习其他法术，但博览群书，会诸多杂散技能：医术、文学等

心地善良，宝相庄严

为救可救之人，入魔教（不承认不否认，误解）

身怀定魂珠，韵养精魄，可保魂魄不散，含诸鬼魂魄，其鬼毅力之坚，只能消灭无法超度，所以不言不肯将其消灭，但被旁人认为身怀“御鬼之术”，便被传言为“折磨魂魄”

为救一女童，为其手术，被旁人看见，便被传言为“剖心破胆”的大恶人

定魂珠内含多名成名女修、女仙之魂，便被传言为“大被同眠”的“好色之徒”

作为一个程序员，始终有一种表达自己观点和想法的愿望，但又不想受限于平台的束缚，所以始终希望可以搭建自己的博客，当然也可能是自己太年轻了，还可以折腾。

之前用过一段时间的hexo+github/gitee，但是看到域名这么个漂亮的东西，还是忍不住希望有个属于自己的地方，一个属于自己的名字。其实目前（2021年12月28日），仍是受限于腾讯云，未来的想法是，可以自己在家搭建一个服务器+公网IP的形式，希望有那天吧。

这篇博客就是来记录一下，本次搭建博客的不算波折，但是复杂的过程。

在此之前

由于同学的吐槽，“作为一个程序员，怎么可以没有自己的博客呢？之后怎么输出自己的学习，再者说，之后你找工作的时候，HR看到你的博客，可能就感兴趣了呢。”实话实说，确实打动了我，之前一段时间都是在有道云笔记，记录自己的笔记，确实给HR或者其他程序员展示的时候，蛮不方便的，而且之前自己搭建过hexo，所以本来还是希望用hexo搭建自己的博客。

本来已经搭建好了，hexo+GitHub/腾讯云的静态网站托管，还专门为此申请了一个域名，一个原因是腾讯云的静态网站托管的默认域名，太丑太长了，不能忍；另一方面，确实希望可以使用一个域名，境内境外都能够便捷访问，本来希望用CNAME。

吐槽一下，为什么不用gitee了，之前写的博客里面，有一篇文章是《sex education》某一集的影评，我敢100%保证，没有R18+内容，但是gitee直接拦截并拒绝了，这就不能忍了，更是激起了自由创作，至少不受平台限制的心理。

遇到的问题

然后，

就开始遇到各种各样的bug了。

首先是，域名没有备案，这就是最大的硬伤，因为之前都想白嫖别人的服务，腾讯云的静态网站托管，Github Page都是免费的，所以没有云服务器，在国内一个域名下必然是对应一个网站的，而且网站必须要有IP地址，GG，之前白嫖的资源都没有IP地址，想自己去申请网站备案都不行，如果只是单纯境外访问，还可以直接解析到GitHub，这个是没有问题的，但是网速难呀。

所以难受了一上午，终于决定，还是自己买个云服务器吧。花钱了，我再也不是豹子头“零充”了，555555

好，更难受的来了，由于之前已经申请过腾讯云的学生服务器，还没有续费，已经过期了，就不能再买学生服务器了，而且之前买的就是所谓的“轻应用服务器”，所以也不能享受该服务器的优惠了，整的我人麻了，就想要点优惠，怎么了......

期间，多次咨询腾讯云的客服，她们的态度简直太好了，中途还有一个客户经理给我打电话，女生，谈了很多，分析了很多，嗯，可惜当时没注意到买不了学生服务器了，wk叹气。

最后，找了一个优惠界面，买了现在的服务器，蓝瘦香菇。

新的纠结已经出现

之前写的是hexo博客，用的md文件，只需要生成静态界面就好，轻量且纯净（简陋），但是什么东西，都需要第三方配置，比如评论功能，记录功能等等，个人比较反感这些不受限的第三方，而且，买了这么一个服务器了，就只是跑一个nginx或者apache，把静态文件丢进去就完了？太浪费了，以及服务器没有桌面，我想的操作是，hexo在本地写好，然后在生成静态文件，再上传到服务器页面，太繁琐了（反感gitee原因之二，就是上传文件之后，还要去网页服务点一下，太繁琐了）

而第二个方案，就是搭建动态博客，即利用博客系统，有一个博客所拥有的所有东西，比如评论、分享等等，还有专门的数据库，但蛮讨厌数据库这种臃肿的东西，然后觉得迁移比较困难，而且，之前的博客文件都是md文件，如果要换博客系统，那岂不是还要手动复制粘贴进去。

经过一段时间的权衡，发现之前的博客，都是写水文，稍微重要一点的，只是自己的“数模”复习笔记，没什么好留念的，而且，确实不想用第三方了，所以还是选择了使用动态博客。

OK，动态博客有两个选择，typecho和wordpress，typecho比较轻便，wordpress比较臃肿，但是看了一下typecho稳定版没有什么进展，虽然原作者说最近有稳定版的大更新，但是还是不想等了，就选择了wordpress。

正式搭建

真的开始搭建，其实挺简单的。

首先搭建LNMP，我是手动一个个部署的，但是网上现在好像有专门的部署文件，放一个链接吧，如果之后有需求，可以一次部署

下载 - LNMP一键安装包

然后下载wordpress的安装包，建议去官网下载稳定版

适用于博客到大型网站的 CMS (内容管理系统) | WordPress.org China 简体中文

其中就是普通安装，需要注意的是，给wordpress文件的权限要给写权限。其他的，就可以参考别的帖子安装了，就不转述了，我对转贴行为深恶痛绝，主要是从使用者的角度看。

备案

搭建好网站之后就是进行一系列的备案，才能在国内进行域名解析。

我操作的步骤依次为：

在腾讯云进行ICP备案
这个时候，已经可以进行域名解析了
申请ssl证书为网站安全性提供保障，毕竟我也担心中间人攻击，不使用https协议，那是相当不安全（申请ssl之后，需要修改nginx的配置文件）
在全国互联网安全管理服务平台进行公网备案
完成上述步骤，一个普通的博客网站就搭建完成了

后续写什么

后续，可能写一些自己的观点，然后写一些笔记，以及最近要写毕业论文了，可以在此做些笔记。