· MW-PAIR 和 MW-UTXO 授信框架可滿足企業或監管機構的審計和監管需要。
角色定義
映象網路把儲存網路的參與者根據職能進行了角色定義。多個角色可以由同一個實體節點承擔。全節點需要根據其信用 PoC【信用證明】來進行評定。
1、資料體(Data Object)
資料體(Data Object)是未分片(Piece)前的資料物件。除開分片外不能被單獨拆分,對外部系統具有唯一性。
2、資料所有者(Data-owner)
資料所有者是資料體的擁有者。資料所有者對資料體進行簽名並有權隨時進行檢查,以確保資料真實地進行了安全儲存。
資料所有者可以根據資料的重要性對安全儲存提出不同等級的要求,映象網路會根據相應的要求,選擇合適的資料安全策略對資料體進行儲存。同時選取合適的儲存節點,保證滿足使用者的儲存要求。當然面對需求等級越高的資料安全性,資料所有者也需要支付更高昂的資料儲存費用。
3、儲存者(Storer)
儲存者提供磁碟空間儲存資料以此獲得相應報酬。儲存者需要接受資料所有人或者觀察者的隨機校驗以提供儲存證明。比如:接受 PoST 的校驗,以證明資料在約定時間內一直儲存於磁碟內。注:下文稱呼的“儲存節點”是執行了儲存客戶端的物理節點。
4、觀察者(Watcher)
觀察者需要觀察和檢測整個網路中資料體的狀態,檢測儲存的資料體是否滿足安全策略,並修復安全缺陷,因此觀察者需要穩定線上。作為全網狀態快速收斂的必要角色,觀察者則是資料體索引服務的不二人選。
觀察者不定期對儲存者進行心跳檢測,以確保資料的可用性。還可以接受資料所有者的委託,幫助資料所有者發起資料校驗,以確保資料是安全和可用的。基於效能考量,這些工作大多數都在鏈下完成。分散的權利和網路組織結構能進一步確保資料物件的安全性,同時降低網路被惡意攻擊的可能,因此我們希望觀察者是一個獨立的節點,這樣就可以和出塊節點及資料儲存節點形成掣肘關係。
5、出塊者(Miner)
即是區塊鏈網路中通稱的“礦工”。出塊者需要執行客戶端(命令列或則 GUI)儲存所有的區塊資訊,並承擔處理交易和打包出塊的工作。映象網路網路的穩定性、連通性、吞吐率等效能指標和出塊者的記憶體和計算速度有極大的關係。所以出塊者一般由全節點擔任,以確保穩定線上、高吞吐和較高的處理效率。只有連入映象網路的全節點才能爭奪出塊權,出塊共識機制會選用 PoS 或 DPoS。
6、證明者(Prover)
為上鍊資料提供證明使之具有公信力。證明人所提供的證明資料和原始資料物件會關聯在一起並記錄到鏈上,具有可追溯和不可篡改性。
證明人在現實世界多數場景下是具有公信力的組織或政府機構擔任。比如資料版權領域,最具權威的證明人是國家版權總局,證明人節點對接國家版權總局作為版權總局的代理節點存在於映象網路網路中,提供相應的版權證明服務。在資料存證場景中,證明人由公證處和司法機構擔任。經過它們進行過公證後的鏈上資料就具有社會公信力和司法效力。
7、全節點(Full-Node)
全節點是執行了映象網路客戶端,能穩定線上,具有較好的網路頻寬和處理效能的物理節點。全節點預設開啟了出塊者角色,可以根據自身的硬體情況有選擇地開啟儲存者和觀察者角色。
網路拓撲
我們需要構建一個擁有數量眾多和隨時有節點加入和退出的對等網路。因此一個好的路由表維護和查詢演算法是十分重要的。我們優先選擇 Kademlia 協議(以下簡稱 Kad)[1]作為基礎來構建 P2P 對等網路(Chord 演算法也是備選項)。Kad以異或演算法(XOR)為距離度量基礎構建的分散式雜湊表(Distributed Hash Table),大大提高了路由查詢速度。這對於存在大量儲存節點的映象網路是非常需要的。Kad 網路的實現也會分為兩步,首先我們會構建基於簡單路由表的 P2P網路,在開放儲存節點客戶端的同時完成 Kad 網路的開發。
Kad 協議中 K 桶的節點列表維護正好符合我們對節點的線上要求,不過未來可能會根據 PoC 中對節點的信用評級來作為排序和換出的一個權重值,以幫助觀察者挑選合適的最近節點進行資料分佈的調整。
資料物件操作
1、PRCDO = (Put,Get,Watch)
2、Put(data)→key
客戶端執行 Put 協議儲存資料,key 是這個資料的唯一標識。
3、Get(key)→data
客戶端使用資料唯一標識 key 執行 Get 協議取回資料。
4、Watch
觀察者執行 Watch 協議對已儲存的資料進行校驗,並同步該資料物件的全網狀態。並根據不同安全策略對已發現的資料丟失、資料錯誤、儲存者不可用等異常情況進行修復。
資料儲存
客戶端(Client)發起儲存資料請求,請求記錄到儲存賬本(Store-Book)。
客戶端(Client)支付儲存費用,映象網路返回匹配的儲存節點(Storer)。
客戶端(Client)上傳檔案到儲存節點(Storer)。
儲存節點接受完資料後更新儲存賬本(Store-Book)和資料物件(Bean-Book)的全域性狀態。
根據安全策略,廣播資料備份任務(Replica-Task)到網路。
其餘儲存節點進行資料備份,並檢查是否滿足安全策略定義的副本數,未達到的話繼續廣播資料備份任務到網路。
資料取回
客戶端(Client)發起取回資料請求,映象網路從物件賬本(Bean-Book)中獲取最新的資料物件返回給客戶端,並向儲存節點同步此資料取回請求。
主動模式下,客戶端和儲存節點建立連線,並從儲存節點獲取資料。被動模式下,儲存節點會將資料推送給客戶端。
儲存節點(Storer)在客戶端取回資料後,會更新儲存賬本(Store-Book)中。
儲存節點接受完資料後更新儲存賬本(Store-Book)和資料物件(Bean-Book)的全域性狀態。
客戶端(Client)在取回資料後會更新證明賬本(Proof-Book)以證明儲存節點確實儲存了資料物件。
資料檢查
客戶端(Client)或觀察者(Watcher)根據時間隨機生成校驗碼 C,並把隨機驗證交易記錄到證明賬本(Proof-Book)。
映象網路要求對應的儲存節點(Storer)根據校驗碼 C 生成相應的儲存證明M。
儲存節點(Storer)在有限時間內將儲存證明 M 提供給客戶端(Client)或觀察者(Watcher)進行驗證。
客戶端(Client)或觀察者(Watcher)驗證透過後更新證明賬本(Proof-Book)。驗證透過後映象網路會生成獎勵交易(Reward-Book)並將部分儲存報酬解鎖給儲存節點(Storer)。
引入 Merkle 樹[6]和 ZH-SNARK[7]讓儲存節點進行儲存證明。儲存證明的隨機檢查由資料所有人或觀察者發起。詳見 PoR【備份證明】和【儲存時長證明】。
觀察者需要根據安全策略,有規律地對全網的資料物件進行檢查。維護資料的全網狀態一致性,同時還有義務修復存在的或潛在的安全性和可用性問題(如:① 資料分片丟失或不可用,② 儲存者長期不可用並已超過預設的閾值)。
狀態收斂
對一份資料的備份耗時,以及觀察者對資料進行檢查並調整資料分佈的時間耗時可以認為是資料物件的收斂性證明問題,以下我們進行概要性證明。
假設網路中有個 N 個節點,儲存一份資料的時間為 St,則極端情況下在進行了 N-1 次詢問後,網路中的最後一個節點才應答被認為是可用的。則備份一份資料檔案的時間複雜度是 O(N)+St,St 在網路穩定的情況下是個常數,所以時間複雜度可以簡單認為是 O(N)即在網路中尋找可用節點的時間總開銷。這對一個經常有加入和退出節點的網路 O(N)是不可忍受的。不過 Kad 網路中的 k 桶(K-Bucket)的引入可以幫助縮短查詢可用節點的開銷。假設 t 是目標查詢節點,由於每次查詢都能從更接近 t 的 k 桶中獲取資訊,這樣的機制保證了每一次遞迴操作都能夠至少獲得距離減半的效果,從而保證整個查詢過程是可快速收斂的且收斂速度為 O(logN)。
資料安全性
1、資料加密
資料檔案在客戶端中會預設進行加密(AES-256-CTR)後再儲存到儲存節點。意味著資料儲存者實際上無法檢視該檔案的內容。對於敏感資料,資料所有者可以自行選擇使用硬體加密的方式生成加密檔案資料後再儲存到映象網路中。
2、資料體分片
資料體分片(簡稱“資料分片”)的策略和安全策略緊密相連,如果資料所有人對資料的安全性要求很高,分片能很大程度保證資料的安全性。為了保證資料分片的可用性我們引入了資料糾刪。
我們認為儲存節點不會為過小的檔案作弊,儲存節點刪除資料檔案只保留相應的 R 證明並不能帶來顯著的經濟收益。大多數情況下普通儲存節點的效能瓶頸是頻寬和磁碟 I/O,意味著普通儲存節點的磁碟空間並未存滿資料分片檔案。但是過多的小檔案確實會拖慢資料的讀寫,這個問題可以依賴映象網路提供高效能的並行資料處理來進一步解決。
3、多備份
假設映象網路中有 b 個儲存節點,資料被分片成 p 份,每個資料分片的備份數為 n。則能成功取回資料的機率 Rs 公式如下:
4、安全策略
最基本的安全策略就是按照通常資料災備的方式一份資料至少存在三份複製:同節點或則臨近節點一份,不同地域的節點儲存一份,跨國家的節點儲存一份。不過更高的安全策略意味著使用更多的儲存空間,更復雜的資料“觀察”和“調整”。映象網路中允許資料所有者根據自身需求定義資料安全策略,目前允許設定的引數有:資料備份數、資料分片數。安全策略會直接影響到觀察者如何修復丟失資料,也會影響資料物件在全網的狀態收斂速度。
資料可用性
1、資料糾刪
糾刪碼(Erasure Coding ,EC)[2]是一種資料保護方法,它將資料分割成片段,把冗餘資料塊擴充套件、編碼,並將其儲存在不同的位置,比如磁碟、儲存節點或者其它地理位置。為了確保資料的可用性而又不過度佔用儲存空間(可以增加儲存節點的空間利用率),映象網路對資料體分片會進行資料糾刪處理。
Reed-Solomon(簡稱 RS)碼[3]是較為常用的一種糾刪碼,它有兩個引數 n和 m,記為 RS(n,m)。n 代表原始資料塊個數,m 代表校驗塊個數。以下是全備份和 RS 糾刪碼的效能比較,具體演算法實現請參見[4]和[5],此文不再贅述。
2、分佈調整
觀察者會不斷調整資料的備份和分佈,以確保當前的資料檔案是安全的並至少有一個可以訪問的資源。
共識和出塊
我們認為比特幣網路中的 PoW 共識出塊,雖然向人們展示了一個簡單明瞭的經濟激勵框架和共識機制,能保證一個無主分散式網路很好地工作。但是隨著礦工開始使用昂貴的硬體裝置和更進一步地硬體“軍備競賽”,消耗掉大量電力和計算資源僅僅是為了爭奪出塊權,我們認為這不僅是一種資源浪費還過度消耗了硬體資源增加了大量的電子垃圾。我們希望能在保證區塊鏈網路安全的同時提供低消耗的共識出塊演算法。
1、共識出塊
多鏈共識出塊的方式,由交易包(Tx-Bundle)、映象網路區塊(MW Block)組成。這種方式允許每個映象網路礦池在內部執行不同的共識演算法,一個交易包中包含了所屬映象網路礦池中的交易記錄。由全節點生成包含了不同交易包的映象網路區塊並公佈到網路中,每個交易包(Tx-Bundle)需要包含映象網路礦池和節點的身份資訊: Node-ID,Pool-ID,Area-ID。
一個全節點只能連入一個映象網路礦池,連入了映象網路鏈(即 0 號映象網路礦池)的節點可以打包生成映象網路區塊。未來我們會探索讓映象網路礦池單獨打包出塊,可行的實現思路是在每個映象網路礦池中部署至少一個連線了映象網路鏈的代理節點(MW Agent)。
2、資訊上鍊
不是所有的資料和資訊都需要上鍊,尤其是在映象網路中大部分的資料和操作結果都不會上鍊。比如:資料檔案就不會儲存在鏈上,鏈上儲存的物件 URI是一個指向了當前可用資源地址的指標。
除開基本的區塊資訊外,上鍊的有:賬務交易、物件資料、儲存交易、證明交易。值得注意的是一個儲存交易會對應一個物件資料但是可能會導致一個或多個獎勵交易(基於 PoST 的儲存報酬發放演算法)。
貢獻度量化
引入 Merkle 樹[6]和 ZH-SNARK[7]構成 PoR(備份證明 Proof-of-Replica)和 PoST(儲存時長證明 Proof-of-Storage&Time)作為儲存者(Storer)儲存資料的量化憑證。信用等級高的儲存節點允許採用 PoR 用較短時間就可以提供證明,信用評級較低的會要求使用 PoST 提供儲存時長證明。
1、備份證明 Proof-of-Replica
資料所有人可間隔一段時間就向映象網路請求相應的備份證明:
資料所有人基於時間生成一個校驗數 C 傳送到映象網路。
儲存者需要根據 C 找到對應的資料分片並生成M(merkle校驗樹)。
如果校驗透過映象網路會更新儲存賬本(Store-Book)和獎勵賬本(Reward-Book),並解鎖儲存賬本(Store-Book)中該筆交易的部分獎勵作為儲存報酬。
2、儲存時長證明 Proof-of-ST(storage and time)
PoR 雖然能保證資料儲存者至少會儲存資料一次,但是無法避免作惡者進行欺騙,考慮以下場景:
儲存者在第一次按要求對資料進行備份後,對所有的資料分片和可能的拆分序列計算其 merkle 檢驗數,並刪除資料分片檔案僅儲存 merkle 校驗樹。
儲存者收到證明指令後,請求其他儲存了資料備份的節點獲取資料,並計算出 C 相應的M(merkle校驗樹)。
以上場景中,作惡者使用極低的計算和儲存成本就可以獲得儲存報酬。因此引入 PoST,以確保只要資料儲存者沒有儲存資料分片檔案就無法正確計算出merkle 校驗樹,也就無法獲得儲存報酬:
資料分片後生成一個熵值序列 S,然後使用 S 和資料分片再生成雜湊值 R。每隔一段時間資料所有者向映象網路傳送 Sx(基於時間的熵值,全域性唯一),儲存者需要根據 Sx 和對應的資料分片計算出 Rx,並根據 Rx 生成相應的 merkle校驗樹。
有了前置熵值序列,還可以實現由觀察者代理進行資料檢查。資料所有者可以提供一部分熵值序列交由觀察者,由觀察者來完成 PoST 的證明校驗。為了更加安全地執行,未來會依靠智慧合約來實現代理檢查邏輯。
3、信用證明 Proof-of-Cred
在映象網路中信用證明是和賬戶繫結的,在海螺鏈 CPOS 評分體系[8]基礎上根據不同角色相應的計算公式側重點會有所不同:
儲存節點:儲存總量、儲存時長、線上時長、被懲罰量。
全節點:最大交易處理量、出塊速度、分叉收斂速度、線上時長。
觀察節點:索引服務效能、線上時長。
資料所有者:儲存資料量、交易量。
證明人:證明量。
MW 幣(MW-token)
MW 幣是映象網路中的內建加密數字 TOKEN。主要用於激勵映象網路構建的儲存生態,獎勵對映象網路做出越多貢獻的角色,同時使用 MW 幣作為經濟懲罰的手段,避免惡意節點作惡和智慧合約中可能出現的無限迴圈的邏輯炸彈等。同時 MW 還作為多鏈(多映象網路礦池)結構下的錨定原生 TOKEN。同時 MW具有交易燃毀功能,使用者支付 MW 作為儲存費用的同時,我們會根據流通數量的一定比例燃毀 MW,將部分 MW 轉移到黑洞地址,起到通縮的功能。
MW 區塊鏈(MWBC)
節點和網路:MWBC 會使用改良版的 Kad 協議組成點對點對等網路,為了在早期快速形成穩定的網路和足夠數量的全節點,映象網路會發布儲存和挖礦一體礦機 MW-BOX。
多鏈生態
部署了映象網路的礦池構成了多鏈生態。
1、交易交換
每個子鏈/平行鏈內部的交易包(Tx-Bundle)包含了定義的所有交易型別。最終交易包會被打包成映象網路區塊(MW Block)並廣播到網路中。
2、價值交換
每個子鏈/平行鏈可以定義內部流通的代幣,依靠 MW 幣可以在子鏈/平行鏈間完成不同代幣的交易,進而形成價值交換。未來還會引入資訊和價值的跨鏈互換,基於同態通道的雜湊鎖和智慧合約應該是較好的選擇。
授信框架
當前大量的商用場景仍需要一定程度的監管和審計,這種監管和審計應該是在雙方知情的情況下進行的。映象網路提供了一個基礎框架幫助完成賬戶授信和審計。便於個人、企業、監管機構能夠在日常的使用中對使用者的授信資料進行訪問和使用。
1、賬戶授信
資訊的分級和審計需要在資料所有者的知曉和授權下完成。借鑑 BIP39[9]多級分層確定性錢包的思路讓資料所有者進行授信。我們會參考 BIP44[10]的路徑定義方式和以太坊 EIP85[11]中的討論,引入賬戶的概念構成如下路徑:m/purpose'/coin_type'/ account' /change/address_index
2、審計
由於交易雙方的匿名性,即使區塊和交易資訊公開的也無法很好的對資訊進行審計。比如交易資訊,審計方需要獲得交易雙方的授權下,才能解鎖賬戶資訊和交易資訊、賬務資訊等進行比對。審計方需要重複授信過程獲得雙方的賬戶授信後才能完成交易的審計,所有的審計結果也會記錄上鍊。當然為了商用還可進一步設計批次賬戶授信等模型,尤其是在 C 端使用者信任 B 端地場景下可以避免審計者重複申請授信的冗長過程。
3、KYC
映象網路中不對使用者身份進行識別,相應的身份識別可由上層使用者自行決定如何實現。
4、資訊分級
資訊分級類似於資料讀寫許可權控制,將不同資料物件分級使用不同的衍生金鑰(不同的 HD 路徑)進行加密,這樣獲得衍生金鑰僅能解讀這一部資料。這會導致比較複雜的私鑰生成和資料加密邏輯,未來會進一步討論實現方案。
惡意攻擊
1、51%攻擊
這是所有區塊鏈系統都會面臨的問題,想完全避免這一問題是不可能的。為了降低被攻擊的機率,映象網路採用 PoC 和 DPoS 來出塊。
2、Sybil 攻擊
映象網路要求一個交易至少向周圍臨近的 3 個節點進行校驗,除非攻擊者能計算出被攻擊節點附近的網路拓撲並偽裝成與之臨近的節點,否則這個方案可以極大機率降低 sybil 攻擊。隨著越多節點加入,sybil 攻擊的概率也會大大降低。在早期官方節點的地址列表會公開於官方和內建在發行的客戶端中。只要 3 個檢驗節點中包含一個官方節點就可以有效避免 sybil 攻擊。
3、資料欺詐
如果儲存節點在收到隨機校驗請求後,在極短時間內從附近的資料儲存節點獲取資料檔案並計算出正確的 merkle 驗證路徑,該節點就能透過校驗並獲得儲存報酬。採用 PoST 可以極大降低這種概率,對於進行資料欺詐的節點還會受到相應懲罰,比如:降低其信用評級,或則永遠不被允許接入映象網路。
4、資料劫持
拒絕提供最後一個資料分片使得無法還原分片前地資料體物件,以此來向資料所有者勒索高昂的費用。在映象網路中資料進行了分片和多備份,儲存節點不一定知曉哪一塊資料分片才是最後一塊。即使儲存節點知道,也可從其他節點取回資料分片地備份。除非所有擁有該分片的儲存節點都被惡意攻擊者控制,此種情況地概率較低,隨著映象網路更加離散,資料劫持地概率會進一步降低。
5、資料抹除
當儲存節點認為當前的資料分片儲存的獎勵額度過低或則純粹因不再想儲存該資料分片,選擇從磁碟刪除該資料分片。映象網路的多備份可以降低此種情況給資料所有者帶來的損失,還可以調整 PoST 的獎勵策略,將大量地儲存報酬在儲存時限到達時進行發放。最有效的是對該儲存節點進行懲罰,降低其信用評級,減少該節點未來的可能收益。
技術方向及可能性
根據 CAP 理論,我們必須在一致性 (Consistency)、可用性 (Availability)、分割槽容忍性 (Partition Tolerance)中做出取捨。我們假定一種策略:N = 副本數,W = 一次成功的寫操作必須完成的寫副本數,R = 一次成功的讀操作需要讀的副本數。策略即是我們對 NWR 的數值進行設定,得到一種 CAP 的取捨。比如Amazon 選擇的是 N3W2R2,意味著當兩個資料副本失效時,受影響的這部分資料就變成只讀,無法再寫。未來會繼續研究和參考當前領先的雲端儲存服務商(Amazon、Facebook、Aliyun)進行最佳化,以確保在更好的效能的基礎上擁有更好的資料可用性。
為了降低資料糾刪時計算資源和網路 I/O 的開銷,在實現了經典的 RS 糾刪碼後,會根據實際需要考慮是否實現 SIMD 技術加速和 LRC(Locally Repairable Codes)糾刪演算法,如 FaceBook 和加州大學提出的 XORing Elephants[12]。
我們已經將全球資訊網發明者 Tim Berners-Lee 爵士發明的全新去中心化 WEB應用協議【SOLID】與映象網路進行了技術對接,併成功進行了測試,以此滿足未來世界中個人的私有資料庫需求,真正做到將資料所有權還給個人,並解決隱私問題。
應用願景
建立全球分散式儲存基礎設施。
映象網路與大部分去中心化應用思想不同,我們認為這個世界需要聯盟和秩序,比如中國近三十年的高速發展就給世界帶來了新的秩序,同時推動了各種技術上的競爭進取,隨著萬物互聯、5G 時代的到來,人類生活數字化的成型,對全球儲存設施的需求將會爆發式增漲,我們計劃在 2020 年-2023 年建成滿足 1億人使用的儲存設施節點群,我們希望全球儲存類、開源類公有鏈以及擁有儲存資源的企業及個人能夠加入映象網路,為人類提供全球化的、高安全性、高隱私性、高可用性、永久性、低成本的儲存服務。
關於更多映象網路資訊:https://mwfs.io/
更多區塊鏈專案介紹:http://www.qukuaiwang.com.cn/news/xiangmu 風險提示:區塊鏈投資具有極大的風險,專案披露可能不完整或有欺騙。請在嘗試投資前確定自己承受以上風險的能力。區塊網只做專案介紹,專案真假和價值並未做任何稽覈!
