面向點對點的安全可靠存儲系統(tǒng)（

1、陳明 等:面向點對點的安全可靠存儲系統(tǒng)1797面向點對點的安全可靠存儲系統(tǒng)*Supported by the National High-Tech Research and Development Plan of China under Grant No.2002AA104580 (國家高技術(shù)研究發(fā)展計劃(863); the National Natural Science Foundation of China under Grant Nos.90412006, 60273007, 60373004, 60373005 (國家自然科學(xué)基金)作者簡介: 陳明(1978),男,廣西玉林人,博士生

2、,主要研究領(lǐng)域為對等網(wǎng)絡(luò),網(wǎng)格,分布式系統(tǒng);楊廣文(1963),男,博士,副教授,CCF高級會員,主要研究領(lǐng)域為并行/高性能計算,網(wǎng)格;劉學(xué)錚(1978),男,博士生,主要研究領(lǐng)域為對等網(wǎng)絡(luò),網(wǎng)格,模式識別;史樹明(1976),男,博士,主要研究領(lǐng)域為對等網(wǎng)絡(luò),網(wǎng)格;王鼎興(1937),男,博士,教授,博士生導(dǎo)師,主要研究領(lǐng)域為并行/分布處理計算機系統(tǒng).陳 明+, 楊廣文, 劉學(xué)錚, 史樹明, 王鼎興(清華大學(xué) 計算機科學(xué)與技術(shù)系,北京 100084)P2P-Oriented Secure Reliable Storage SystemCHEN Ming+, YANG Guang-Wen, L

3、IU Xue-Zheng, SHI Shu-Ming, WANG Ding-Xing(Department of Computer Science and Technology, Tsinghua University, Beijing 100084, China)+ Corresponding author: Phn: +86-10-62799645, E-mail: cm01, Received 2004-02-10; Accepted 2004-12-08Chen M, Yang GW, Liu XZ, Shi SM, Wang DX. P2P-Oriented secure relia

4、ble storage system. Journal of Software, 2005,16(10):1790-1797. DOI: 10.1360/jos161790Abstract:This paper proposes a cooperative secure reliable storage system depending on pure P2P and supporting self-repair. Participant nodes of this system form an overlay by Paramecium protocol, which maintains t

5、he organization of system and provides routing service, or other compatible distributed hash table (DHT) protocols. The PKI authentication mechanism is introduced to ensure security in an open environment. Binding user data with replica identifiers supports secure auto-repair. The introduction of re

6、plica types provides secure sharing-write. Preliminary analysis and experiments demonstrate that it maintains a high reliability and read/write performance in real settings while keeping the cost of maintenance bandwidth low.Key words:P2P (peer-to-peer); high salability; secure reliable storage syst

7、em摘 要:利用P2P的方法實現(xiàn)了一個共享和合作的安全存儲系統(tǒng),其中參與節(jié)點運行Paramecium協(xié)議或其他兼容的DHT(distributed hash table)協(xié)議形成自組織覆蓋層,維護系統(tǒng)的組織結(jié)構(gòu)和提供路由服務(wù).由于該系統(tǒng)為開放式結(jié)構(gòu),引入了基于PKI的安全認證機制以確保用戶數(shù)據(jù)的授權(quán)訪問.用戶數(shù)據(jù)和副本標(biāo)示的綁定支持了安全的數(shù)據(jù)自修復(fù);副本類型的引入提供了安全的共享寫.初步的分析和實驗表明,該P2P系統(tǒng)在現(xiàn)實條件下,在消耗較低的維護帶寬的同時維持了較高的可靠性并提供了較好的讀寫性能.關(guān)鍵詞:對等網(wǎng)絡(luò);高伸縮性;安全可靠存儲系統(tǒng)中圖法分類號:TP393文獻標(biāo)識碼: A伴隨計算機科

8、學(xué)和技術(shù)的發(fā)展,個人計算機的性能依循莫爾定律(每隔18個月翻一番)快速地發(fā)展著.存儲和網(wǎng)絡(luò)帶寬的發(fā)展速度超越了莫爾定律.現(xiàn)代個人計算機的能力已經(jīng)大大超過了20年前的超級計算機.這兩個趨勢的發(fā)展使得構(gòu)造基于P2P的存儲系統(tǒng)成為可能.研究表明,大多數(shù)時候,個人PC的利用率不到10%.目前,維護存儲系統(tǒng)正常和持續(xù)性地工作成為存儲的主要成本.基于P2P的存儲系統(tǒng)有助于減少維護的開銷.P2P強調(diào)的是對等服務(wù),不區(qū)分服務(wù)器和客戶端.每個節(jié)點在索取其他節(jié)點服務(wù)的同時,也與其他節(jié)點相配合提供相同的服務(wù).它是一種扁平而不是層次化的結(jié)構(gòu),每個參與節(jié)點的地位都相等.基于以上現(xiàn)狀,我們提出了一個基于P2P的共享和合作

9、的安全存儲系統(tǒng):CSS(corporative secure storage),嘗試?yán)肞2P優(yōu)點解決現(xiàn)存的存儲問題.CSS由連接到Internet的節(jié)點構(gòu)成.每個節(jié)點向系統(tǒng)貢獻一部分存儲空間,相互協(xié)作形成一個全局高可靠的完全平面的分布式存儲系統(tǒng).本文第1節(jié)描述CSS的系統(tǒng)結(jié)構(gòu).第2節(jié)分析系統(tǒng)的可靠性和維護開銷,實驗討論系統(tǒng)的性能.第3節(jié)討論相關(guān)的工作.第4節(jié)總結(jié)全文.1 系統(tǒng)架構(gòu)CSS由參與到這個系統(tǒng)的并且運行CSS協(xié)議的聯(lián)網(wǎng)節(jié)點構(gòu)成.每個參與節(jié)點都向系統(tǒng)貢獻一部分本地磁盤空間.在CSS協(xié)議的作用下,貢獻出來的磁盤空間構(gòu)成一個全局統(tǒng)一的存儲系統(tǒng).在CSS協(xié)議的上層看來,CSS提供了類似本地文

10、件系統(tǒng)的存儲和目錄服務(wù).但在實現(xiàn)中,所有的持續(xù)性存儲都由CSS協(xié)議保存到這個全局統(tǒng)一的存儲系統(tǒng)中.從這一點上看,CSS類似傳統(tǒng)的分布式存儲系統(tǒng)或文件系統(tǒng).CSS區(qū)別于這些傳統(tǒng)系統(tǒng)之處在于:(1) CSS中沒有中央服務(wù)器,所有的參與節(jié)點都是平等的;(2) CSS不需要管理員配置系統(tǒng).在CSS系統(tǒng)中,我們不信賴除了本地節(jié)點外的其他任何節(jié)點,我們只信賴本地節(jié)點和整個系統(tǒng).考慮到P2P環(huán)境高度的動態(tài)性,本系統(tǒng)不企圖構(gòu)造一個文件系統(tǒng),而是試圖設(shè)計一個與實際運行環(huán)境相適應(yīng)的存儲系統(tǒng)和弱目錄系統(tǒng).我們首先簡單介紹CSS的基礎(chǔ)Paramecium覆蓋層.需要指出的是,我們的系統(tǒng)也可以建立在其他DHT(dist

11、ributed hash table)之上,例如CAN1,Chord2,Pastry3和Tapastry4等,我們認為,建立在Paramecium5會具有更好的穩(wěn)定性和路由性能.Paramecium簡介之后是CSS的詳細設(shè)計.1.1 Paramecium:完全自組織、無中央服務(wù)器的P2P的自組織和路由覆蓋層Paramecium是一個高效、可擴展、容錯和自組織的P2P的覆蓋層.Paramecium的每個節(jié)點被賦予一個160位的數(shù)字IDNodeId.每個要存儲的對象(可以是任何數(shù)據(jù):文件、數(shù)字等)也有一個160位的數(shù)字IDKey.NodeId空間和Key空間是同一個數(shù)字空間,并且都首尾相接(0和2

12、160-1)形成一個環(huán).Paramecium提出細胞的概念.每個細胞由二元組左邊界,右邊界來標(biāo)識,稱為細胞的疆界.例如:假定ID為6位二進制長, 111000,111100和110000,001000都是細胞標(biāo)識的例子,其中后者是一個首尾結(jié)合的例子.細胞相互不包含和不重疊;細胞疆界的并集覆蓋整個NodeId空間.給定一個Key,Paramecium可以高效、分布式地找到這樣一個節(jié)點:這個節(jié)點所在的細胞包含這個Key,并且這個節(jié)點的NodeId和這個Key最接近.Paramecium向上層提供以下API:Join(BootNodeIP):通過BootNode將本節(jié)點帶入Paramecium系統(tǒng).

13、LookupNode(ID):在系統(tǒng)中查找一個節(jié)點,這個節(jié)點所在的細胞包含這個給定的ID,并且這個節(jié)點的ID和這個給定的ID的絕對值之差在這個細胞里的所有的節(jié)點中是最小的.Insert(Key,Object):將具有Key的Object存入系統(tǒng)中,保存這個對象的駐留節(jié)點是LookupNode(Key)返回的結(jié)果.LookupObject(Key):在系統(tǒng)中查找并返回與Key匹配的對象.假定系統(tǒng)中有N個節(jié)點,每個細胞中包含S個節(jié)點,那么在正常情況下,整個路由的復(fù)雜度平均為O(1)+ O(logN/S)=O(logN/S).Paramecium的一個關(guān)鍵設(shè)計就是在面臨節(jié)點加入和離開的情況下維護系統(tǒng)

14、的結(jié)構(gòu)不變、路由性能不變.1.2 CSS系統(tǒng)回顧上一節(jié)我們知道,Paramecium向上層提供了在全局中插入對象和查找對象這兩個基本操作.其中,它的對象指的是可序列化的任意結(jié)構(gòu).在存儲部分,我們把對象替換為“文件”.因此,每個文件都由一個ID作為標(biāo)識符.文件是基本的存儲單位.1.2.1 CSS安全協(xié)議我們假定系統(tǒng)中的每個用戶都有一個證書和對應(yīng)的私鑰.這個證書不必是受信賴的機構(gòu)(CA)所頒發(fā)的.系統(tǒng)中的每個文件(本文中的“文件”泛指通常意義下的“文件”和“目錄”)都有一個所有者.所有者使用私鑰對文件進行簽名,并把它附在文件后來表示對文件的所有權(quán).所有者在取回文件時也可以用附在文件后的簽名來驗證其

15、完整性.在簽署用戶證書的時候,系統(tǒng)使用安全的隨機數(shù)發(fā)生器生成r個隨機數(shù),將其作為證書的附加部分一起使用標(biāo)準(zhǔn)的PKI6協(xié)議進行簽署.這種證書和普通的證書完全兼容.系統(tǒng)在計算根證書的散列時,依次把這r個隨機數(shù)附加到證書之后再計算散列值,由此可得到對應(yīng)的r個散列值.下面提到的證書的散列值都是指這r個散列值的集合.每個文件由兩部分構(gòu)成:用戶數(shù)據(jù)和元數(shù)據(jù).用戶數(shù)據(jù)可以是明文也可以是密文.用戶數(shù)據(jù)的類型不影響系統(tǒng)的運作.元數(shù)據(jù)部分包括文件所有者的證書、這個副本的隨機數(shù)和對應(yīng)的簽名、這份用戶數(shù)據(jù)的所有副本的隨機數(shù)和對應(yīng)簽名的二元組的集合.元數(shù)據(jù)中包括所有者證書有助于文件的駐留節(jié)點驗證文件的所有者,從而決定是

16、否要覆蓋原官方文件.同時,由于證書的內(nèi)容很少,也不會造成過多的空間浪費.當(dāng)用戶向系統(tǒng)中插入一個文件的時候,系統(tǒng)也自動產(chǎn)生r(系統(tǒng)要求的副本的個數(shù))個隨機數(shù).系統(tǒng)依次將這r個隨機數(shù)附加到用戶數(shù)據(jù)和用戶證書的后面,然后使用用戶的私鑰對此進行簽名,從而等到對應(yīng)的r個簽名.隨機數(shù)對應(yīng)的簽名構(gòu)成二元組,所有二元組進而形成二元組向量.所有副本的二元組向量都相同.每個副本依次選取二元組向量中的一個元素作為該副本的隨機數(shù)和簽名二元組.對包括用戶數(shù)據(jù)和元數(shù)據(jù)的整個副本計算其安全散列的值得到這個副本的ID,稱為副本ID.一個文件所有副本ID的集合稱為文件IDs.同一個文件的所有副本相互間稱為兄弟副本(如圖1所示)

17、.Fig.1 Composition of file and the generation of file ID圖1 文件的構(gòu)成和文件ID的生成駐留節(jié)點在響應(yīng)保存一個副本的請求時要求被保存的副本必須滿足以下兩個條件中的任意一個:(1) 副本的所有者證書的散列值中的任意一個和這個副本的ID相同;如果有同樣ID的副本存在,新副本的時間戳必須晚于舊副本的時間戳.(2) 副本的ID是整個副本內(nèi)容的散列值;如果有同樣ID的副本存在,新的副本的時間戳必須晚于舊的副本的時間戳.對于不符合這兩種規(guī)則的文件和ID對,節(jié)點參照以下協(xié)議處理.我們定義經(jīng)過所有者簽名被所有者認可的副本稱為“官方副本”.CSS參與節(jié)點遵

18、循以下基本協(xié)議:只有副本的駐留節(jié)點和所有者才有權(quán)刪除和覆蓋(這里的覆蓋指的是用一個新的文件代替原副本,當(dāng)要求返回一個與原副本ID相同的副本時返回新的副本而不是原副本)官方副本.覆蓋了原官方副本未經(jīng)原所有者簽名的文件稱為“非官方副本”.駐留節(jié)點也可以不覆蓋原官方副本而保存一份“影子副本”,進而形成影子副本向量,即依照時間序列排列的影子副本.影子副本與官方副本ID相同而內(nèi)容不同.查找文件時,影子副本和官方副本同時返回給查詢節(jié)點.這3種副本概括在表1中.Erasure這種線性編碼方法提供了另外一種選擇.考慮到使用erasure帶來的網(wǎng)絡(luò)和計算開銷,系統(tǒng)采用副本而不是erasure方式來提高系統(tǒng)的可靠

19、性.Table1 Definitions and comparison of replica type表1 副本類型和比較Replica typeCharacteristicsIs its ID same with previous official replica?Will previous official replica be replaced?Which replicas will be returned upon query?Official replicaReplica signed by its ownerYesYesOfficial replicaNon-Official re

20、plicaReplica having same ID with official replica, but without signature of owner of the official replicaYesYesNon-Official replicaShadow replicaReplica having same ID with official replica, but without signature of owner of the official replicaYesNoOfficial and shadow replica1.2.2 存儲結(jié)構(gòu)系統(tǒng)中存在兩類基本的文件:

21、數(shù)據(jù)文件和目錄文件.數(shù)據(jù)文件中存儲用戶數(shù)據(jù),目錄文件中存儲本目錄中的所有普通文件和目錄文件的文件名及其對應(yīng)的IDs.每個用戶都有一個屬于他自己的根目錄“/”.根目錄文件的IDs是其證書的散列值.由于用戶的證書是公開且不變的,這樣就提供了一個眾所周知的“入口”.目錄系統(tǒng)的組織如圖2所示.在這種組織方式下,任何一個文件的更新都會導(dǎo)致從這個文件向上到用戶根目錄所經(jīng)過的所有目錄的更新.這種方法盡管帶來了更新的開銷,但是只是安全而不是性能才是這部分的關(guān)鍵考慮因素.考慮到本系統(tǒng)主要面向存儲應(yīng)用,而存儲系統(tǒng)一般具有寫一次,讀多次,很少更新,并且順序讀寫的特點,因此性能不會受到太大的影響,而且這種方法還具有以

22、下優(yōu)點:· 保證了副本ID與內(nèi)容的關(guān)聯(lián)性:在安全散列的作用下,攻擊者無法制造出一份具有同樣ID但內(nèi)容不同的副本.· 在系統(tǒng)中每個文件存在多個副本的情況下,除非所有副本的駐留節(jié)點合謀,否則總可以讀出一個有效的副本.而在安全散列的作用下,副本的ID充分隨機均勻分布,惡意攻擊者能夠控制所有駐留節(jié)點的概率很低.· 保證了副本ID的唯一性:隨機數(shù)導(dǎo)致散列內(nèi)容的差異,而安全散列保證了高度的無沖突性.副本ID的唯一性防止出現(xiàn)文件競爭性覆蓋和讀出錯誤內(nèi)容情形的發(fā)生.Fig.2 Directory structure of system圖2 系統(tǒng)的目錄結(jié)構(gòu)為了防止出現(xiàn)偽造節(jié)點ID類

23、型的攻擊,系統(tǒng)可以通過把節(jié)點ID和用戶證書的散列綁定的方法來解決.對于公開的目錄和文件,系統(tǒng)可只簽名而不加密,這樣,其他節(jié)點就可以訪問其內(nèi)容.但如果某層目錄被加密了,那么這個目錄及其下的所有目錄和文件即使不加密,其他節(jié)點也因為不知道對應(yīng)文件的ID而難以訪問.1.2.3 周期性修復(fù)參與節(jié)點的行為是高度動態(tài)并且不可預(yù)測的.底層的基本協(xié)議并不保證文件的可靠性.隨著節(jié)點的加入和離開,部分文件可能丟失.為了保證每個文件始終存在一定的副本數(shù)目,系統(tǒng)將周期性地恢復(fù)丟失的副本.恢復(fù)過程很簡單:每個節(jié)點定期地試圖讀取保存在本地的副本的兄弟副本,檢測出丟失的副本,然后用本地的副本恢復(fù)出丟失的副本,再把丟失的副本保

24、存入系統(tǒng)中.根據(jù)前面的保存規(guī)則可知,所有的副本都可以由任意的節(jié)點來恢復(fù)而不存在被惡意覆蓋的問題.為了減少網(wǎng)絡(luò)流量,僅當(dāng)副本數(shù)減少到一半時才進行恢復(fù)工作.當(dāng)然,每個文件的所有者也可定期地進行主動的檢測和修復(fù).1.2.4 共享寫影子文件的引入是為了實現(xiàn)安全的共享寫操作.假設(shè)系統(tǒng)中有A和B兩個用戶.用戶A有一個目錄Dir1,并且允諾B可以寫目錄Dir1.用戶B對目錄Dir1進行寫操作后使用Dir1原來的IDs將新的副本保存入系統(tǒng).由于新的副本的ID不可能和原ID相同(內(nèi)容的不同導(dǎo)致安全散列值不同),駐留節(jié)點將拒絕使用新的副本去覆蓋舊的副本.駐留節(jié)點將新的副本保存成“影子副本”.用戶A檢索目錄Dir1

25、,取回包括官方副本和影子副本在內(nèi)的所有副本.用戶A可以用影子副本的簽名驗證這些副本的確是用戶B生成的.假如用戶A認可用戶B的修改,用戶A將根據(jù)影子副本中的內(nèi)容生成官方文件并保存入系統(tǒng).新的官方文件和舊的官方文件的IDs不同,因此,要從下到上更新父目錄的內(nèi)容.用戶A隨后刪除舊的官方文件和影子文件.由于每個用戶都有自己一個獨立的文件“根”,同時一個用戶幾乎不涉及到頻繁并發(fā)讀寫的問題,因此訪問沖突的情況并不突出.我們將在進一步的研究中探索這個問題.1.2.5 空間回收用戶離開系統(tǒng)而不清除文件和刪除文件過程中由于部分節(jié)點不在線導(dǎo)致這些節(jié)點上的文件沒有被刪除,都會產(chǎn)生存儲垃圾.駐留節(jié)點在每個文件附加一個

26、最后訪問時間屬性的記錄域.每個最后訪問期限超過一定范圍的文件,駐留節(jié)點有權(quán)刪除.因此,隨著時間的流逝,未被訪問的文件逐漸消失,保護了系統(tǒng)資源.更為復(fù)雜的刪除策略,例如支持用戶策略的Elephant file system7,也可加入系統(tǒng)當(dāng)中.我們計劃在將來進一步研究這個問題.2 初步的分析和實驗2.1 修復(fù)算法的可行性我們先分析修復(fù)算法的可行性,包括帶寬消耗和文件的可靠性.我們假定副本的死亡分布服從負指數(shù)分布,即:,其中是副本的壽命期望.下面是推導(dǎo)過程中用到的其他符號的定義:Bandwidth:聯(lián)網(wǎng)節(jié)點的帶寬.N:系統(tǒng)的節(jié)點數(shù)目.F/N:每個節(jié)點保存在系統(tǒng)中文件的平均數(shù)目.FileSize:系

27、統(tǒng)中文件的平均大小.Uptime:每個節(jié)點每天的平均在線的時間.T:系統(tǒng)的修復(fù)周期.R:一個文件的副本數(shù).假如沒有修復(fù),一個文件經(jīng)過T時間后它存活的可能性為.文件的修復(fù)是需要時間的,修復(fù)文件所需時間的上界是一個節(jié)點修復(fù)所有丟失的副本所需的時間:.一個節(jié)點進行修復(fù)時可能由于下線等原因?qū)е滦迯?fù)失敗,可以假定修復(fù)在上線期間是均勻進行的,則修復(fù)失敗的上限為.如果修復(fù)時文件還存活,從這一時刻往前看:那么如果修復(fù)成功,由于死亡分布的無記憶性,文件將以概率1存活下去,否則,文件以的概率繼續(xù)存活.由此可以得到文件存活的遞推公式:.文件的可靠性為(1)由于推導(dǎo)過程都是保守近似,因此給出的是可靠性的下界.由可靠性

28、圖(如圖3所示)可見,文件的可靠性下降很緩慢,如果文件的所有者節(jié)點主動修復(fù),則文件的可靠性在相當(dāng)長的時間內(nèi)將幾乎維持不變.我們假定文件的可靠性維持在一個較低的幾乎穩(wěn)定的下界,那么經(jīng)過T時間后,一個文件存活的副本數(shù)為.丟失一半副本的概率為恢復(fù)丟失的副本消耗的帶寬為.檢測副本丟失所需的帶寬為 (每個副本的ID是160bits/8=20Bytes).總共消耗的帶寬為(2)綜合兩幅圖(圖3和圖4)可見,即使每個節(jié)點向系統(tǒng)存入10 000個文件,每個文件平均4M(每個節(jié)點平均有40G數(shù)據(jù)),在副本存活期望為40天的情況下,以10天為周期修復(fù),可靠性和消耗的帶寬是完全可以接受的.Fig.3 Reliabi

29、lity of file (Formula (1)圖3 文件的可靠性(式(1)Fig.4 Repair cost (Formula (2)圖4 修復(fù)開銷(式(2)2.2 初步的實驗結(jié)果Performance of 2048 nodes0100020003000400050006000700080009000124816ReplicasKBytes/sec128(write)128(read)256(write)256(read)512(write)512(read)1024(write)1024(read)2048(write)4096(write)4096(read)Fig.5 Read/w

30、rite performance圖5 系統(tǒng)的文件讀/寫性能我們使用Java1.4.2平臺初步實現(xiàn)了一個原形系統(tǒng).由于受Java性能的限制,這里的結(jié)果應(yīng)該看做是可行性而不是性能的證明.考慮到Java執(zhí)行簽名和驗證的速度較慢,在簽名和驗證部分我們采用openSSL本地庫.測試用的是16臺使用100M以太網(wǎng)連接,安裝了Windows 2003企業(yè)版操作系統(tǒng),配備512M內(nèi)存的P4 1.4G的機器.簽名和驗證使用了512位RSA算法.測試中所有的讀寫都是串行的,即先查找到駐留節(jié)點,串行讀或?qū)懲戤吅笤龠M行下一步操作.為了避免Java的JIT帶來的熱身問題,所有的實驗都先讀寫3次進行預(yù)熱,經(jīng)過1分鐘后再進

31、行測試.測試結(jié)果取10次測試的平均值.讀寫文件時都是隨機選擇一個節(jié)點作為發(fā)起節(jié)點.圖5中的曲線分別表示了不同大小的文件在不同副本數(shù)目下的讀寫速度.從圖5中可以看到,在文件同樣大小的情況下,速度幾乎和副本數(shù)成反比關(guān)系.這基本符合預(yù)期的結(jié)果.在文件大小為128K,8個副本的條件下,系統(tǒng)仍可達到約200KB/s的速度.3 相關(guān)工作FarSite8是一個面向LAN應(yīng)用的分布式傳統(tǒng)的文件系統(tǒng),提供了一些文件系統(tǒng)的語義.FarSite中的每個節(jié)點維護系統(tǒng)中一部分存活節(jié)點的信息,通過一個分布式目錄服務(wù)來實現(xiàn)查找操作.在安全方面,它需要管理員配置一些“受信任”的節(jié)點.目前沒有關(guān)于它的可擴展性信息.CFS9構(gòu)建

32、在Chord之上,是一個只讀分塊的存儲共享系統(tǒng).由于只有復(fù)制而沒有周期性的修復(fù),它只提供存儲對象的弱持續(xù)性.Ivy10也建立在Chord的基礎(chǔ)之上,是一個基于log結(jié)構(gòu)的可讀可寫的文件系統(tǒng).Ivy提供了一些弱的文件語義和弱的持續(xù)性.Ivy沒有解決基于log帶來的空間回收問題.OceanStore11的目標(biāo)是在系統(tǒng)高度變化和不安全的前提下,構(gòu)造一個完全分布式、安全、高可靠、高可用、負載平衡和提供非平凡服務(wù)的洋量存儲系統(tǒng).為了達到這些目的,OceanStore最后實現(xiàn)的時候使用了根據(jù)節(jié)點能力分層的結(jié)構(gòu),引入了“受信任的團體”和“更新服務(wù)器環(huán)”,帶來了管理和性能的問題,偏離了P2P完全平等的基本思想

33、.Past12基于Pastry.它很多方面與OceanStore類似,但更強調(diào)的是一個簡潔和存儲空間高利用率的存儲系統(tǒng).它和前面幾個系統(tǒng)的一個區(qū)別是:Past將整個文件不分塊地保存,而前面幾個系統(tǒng)都將文件分塊后保存到系統(tǒng)中.在安全方面,Past主要關(guān)注安全路由.Pastiche13是一個基于P2P的備份系統(tǒng).它把參與節(jié)點上空閑的存儲資源組織成一個共享的存儲池,重點關(guān)注和備份相關(guān)的工作,包括減少相同副本的備份以及數(shù)據(jù)的安全與完整.CSS強調(diào)在簡單的同時引入足夠的安全機制,通過周期性非信任修復(fù)提供高可靠性.與此同時,CSS充分考慮到P2P環(huán)境的動態(tài)性和不穩(wěn)定性,關(guān)注在現(xiàn)實的環(huán)境下構(gòu)造與環(huán)境和需求相

34、適應(yīng)、不過分犧牲性能的安全存儲.CSS也是目前我們所知的支持任意節(jié)點發(fā)起安全非主動性修復(fù)的P2P存儲系統(tǒng).4 總結(jié)及未來的工作個人計算機性能和聯(lián)網(wǎng)帶寬的快速發(fā)展使得基于P2P的應(yīng)用成為需要和可能.文中我們提出并初步實現(xiàn)了CSS一個具有高可擴展性和高可靠性的共享和合作的安全存儲系統(tǒng).CSS主要面向參與節(jié)點數(shù)在10 000及以上的中大規(guī)模的應(yīng)用,具有如下特點:· 對等性:CSS在組織結(jié)構(gòu)上為純粹的P2P系統(tǒng),不存在任何形式的中央服務(wù)器,所有參與節(jié)點地位相等;· 易管理性:系統(tǒng)管理的復(fù)雜性與參與的節(jié)點及用戶數(shù)無關(guān),并在參與節(jié)點行為(加入與離開)流動性高且不確定的情況下正常工作,無

35、須人工干預(yù);· 可擴展性:Paramecium組織和路由算法以及存儲系統(tǒng)的非集中式管理和驗證算法使其具有良好的可擴展性;· 安全性:提供一定級別的安全機制,防止未授權(quán)的閱讀和修改,并且對上層應(yīng)用透明; · 高可靠性:系統(tǒng)的自修復(fù)功能保證了高可靠性.我們預(yù)備使用Java構(gòu)造一個可以實際部署和模擬運行的系統(tǒng),使之實現(xiàn)互通和互操作,并研究系統(tǒng)在實際環(huán)境的運行特征.References:1 Ratnasamy S, Francis P, Handley M, Karp R, Shenker S. A scalable content-addressable network

36、. In: Proc. of the 2001 Conf. on Applications, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM Press, 2001. 161-172.2 Stoica I, Morris R, Karger D, Kaashoek F, Balakrishnan H. Chord: A scalable P2P lookup service for Internet applications. IEEE/ACM Trans. on Net

37、working (TON), 2003,11(1):17-32.3 Rowstron DP. Pastry: Scalable, distributed object location and routing for large-scale P2P system. In: Proc. of the 18th IFIP/ACM Intl Conf. on Distributed Systems Platforms (Middleware 2001). London: Springer-Verlag, 2001. 329-350.4 Zhao BY, Kubiatowicz J, Joseph A

38、D. Tapestry: An infrastructure for fault-toleratnt wide-area location and routing. Technical Report, UCB/CSD-01-1141, EECS of Berkeley, 2001.5 Chen M, Yang GW, Wu YW, Liu XZ. Paramecium: Assembling raw nodes into composite cells. In: Proc. of the IFIP Conf. on Network and Parallel Computing. London: Springer-Verlag, 2004. 481-484.6 PKI charter. 2003. /html.charters/pkix-charter.html7 Santry D, Feeley M, Hutchinson N, Veitch A, Carton R, Ofir J. Deciding when to forget in the Elephant file system. In: Proc. of the 17th ACM Symp. on Operating System Principles. New York: