基于Trias CEO阮安邦博士提出的云平台可信安全治理的三权分立模型的科研积累,Trias采用了三权分立的模型理念,在完全去中心化与完全中心化的治理结构之间,利用三权的相互协作与制约,很大程度上解决区块链和智能合约现有的权利监管不足的问题,实现了权力的动态平衡,从而最终实现信息世界的公平与公正。
在“三权分立”模型的概述中,我们对三权分立模型做了概述。角色模型定义了实现SoP的三个角色;协作模型指定三个角色如何协作实现云服务认证;约束模型执行三个角色间的约束条件以及同一角色执行方之间的约束条件。这里主要介绍约束模型,约束模型的设计是为了防止TER和SPD获得过多的权力,从而平衡权力。
CSE作为云服务执行机构,执行符合客户要求的云服务,负责提供服务清单,声明每个云服务的软件组成;
TER作为信任证据报告机构,负责检查CSE执行的云服务行为,提供执行情况摘要,其中记录了为服务目标应用程序而加载的云服务的身份信息;
SPD作为软件属性定义器,负责定义云服务每个软件组件属性,提供属性定义列表,对每个服务的组件进行认证。
图1 互检约束模型
图1描述的互检约束模型是TER和SPD相互进行约束。
图2 多方约束模型
图2描述的多方约束模型表示CSE可以为每个角色雇佣多个执行方,CSE可以有多个SPD来定义其软件组件属性,也可以雇佣多个TER来负责检查它的服务执行情况。
考虑两种威胁:故障和同谋。
故障
故障指单个角色恶意行为或者意外故障。由于TER、SPD都有可能出现错误或不可信,那么它们的故障就有可能使得CSE的行为被误读。此外,由于TER、SPD安装软件都代表了CSE的基础设施,他们的错误行为可能会进一步引发内部攻击。因此,SoP引入了互检和多方约束两种约束模型。
图1互检模型是TER和SPD对对方的约束。首先,SPD定义了检查器的属性,以便CSE能够验证检查器的行为;其次,CSE负责验证检查器的真实执行情况,并且在每次执行认证时会返回检查器的度量值,使得CSE和用户都能够知道检查器是否正确运行。但是,恶意TER仍然可以通过改变它提供的执行情况摘要来为故障检查器返回错误的度量值。不可信的SPD还可能伪造错误的属性定义列表,为恶意检查器分配良好的属性。我们通过引入多方约束模型来解决这一问题。
图2多方约束模型为每个角色雇佣多个执行方。因此,CSE可以有多个SPD来定义其软件组件的属性,也可以有多个TER来检查它执行的云服务。这样就引入了同一角色中各方之间的竞争和约束,一个检查器的测量值将由另一个检查器进行检验,检查器的属性也将由多个SPD定义。此外,假设大多数执行方提供的都是可信服务,对比同一角色的各个执行方的结果将有助于识别不可信的执行方。
通过两个相互约束的角色SPD、TER及每个角色多个相互竞争的执行方,相互约束、检查,这样的互检和多方约束打破了可信第三方独占话语权且其行为不透明的现状。
同谋
同谋指双方恶意合作逃避SOP查验的情况。TER和SPD同谋会使得CSE对满足服务等级协议SLA的行为做出误判;SPD和CSE同谋会使CSE的行为在被TER记录了其真实执行情况的状态下仍被解释为满足服务等级协议SLA。
在SoP中,用户为了他们的应用不再仅仅选择云服务提供商,而是选择CSE-TER-SPD的组合,以此来降低同谋的可能性,任何被认为不可信的执行方都将导致整个组合被丢弃。同时,多方约束使得用户可以通过多个TER或者SPD来验证CSE的可信度,因此,CSE需要雇佣更可信的TER和SPD,同时,也需要选择各个不同的TER和SPD来丰富CSE-TER-SPD的组合,以此来吸引更多的用户。
网友评论