“三權分立”模型之協作模型
基於Trias CEO阮安邦博士提出的雲平臺可信安全治理的三權分立模型的科研積累,Trias採用了三權分立的模型理念,在完全去中心化與完全中心化的治理結構之間,利用三權的相互協作與制約,很大程度上解決區塊鏈和智慧合約現有的權利監管不足的問題,實現了權力的動態平衡,從而最終實現資訊世界的公平與公正。
在 “三權分立”模型的概述中,我們對三權分立模型做了概述。角色模型定義了實現SoP的三個角色;協作模型指定三個角色如何協作實現雲服務認證;約束模型執行三個角色間的約束條件以及同一角色執行方之間的約束條件。
圖1 協作模型
CSE作為雲服務執行機構,執行符合客戶要求的雲服務;
TER作為信任證據報告機構,負責檢查CSE執行的雲服務行為;
SPD作為軟體屬性定義器,負責定義雲服務每個軟體元件屬性。
圖1描述了CSE、SPD、TER三個角色之間的協作,為了驗證雲服務的可信度,使用者需要分別從每個角色收集資訊:TER提供的執行情況摘要,其中記錄了為服務目標應用程式而載入的雲服務的身份資訊;CSE提供的服務清單,聲明瞭每個雲服務的軟體組成;SPD提供的屬性定義列表,對每個服務元件的進行了認證。
CSE服務清單列出了CSE為構建雲服務而載入的軟體元件的標識。在使用可信計算時,這些元件通過它們的度量值來標識,如它們的配置檔案或可執行程式碼的加密雜湊值。同時,由SPD的翻譯器對每個雜湊應用一個轉換函式,從而隱藏實現細節,這確保了只有指定的SPD能夠解釋清單中的條目。另一方面,SPD也可以將轉換函式實現為加密函式,從而確保只有指定的SPD才能解密雜湊。
TER提供的執行情況摘要列出了為服務目標應用程式而載入的雲服務的身份資訊。通過其所有載入的軟體元件的總測量值有效識別出這些雲服務,各測量值通過安裝在每個雲服務上的可信計算設施來計算。
SPD維護了一個記錄每個軟體元件的屬性證書,當收到屬性查詢請求時,它會返回將屬性列表繫結到軟體元件的定義票據,軟體元件由經過轉換的雜湊值來標識。
基於協作模型,雲使用者U通過以下步驟來確認支援其雲應用程式A的雲服務的可信度:
- 使用者U獲取TER中關於雲應用程式A的執行情況摘要,並檢查其完整性;
- 對於表示服務資訊的每條TER摘要,使用者U要求CSE提供相應的服務資訊清單;
- 使用者U將CSE服務資訊清單中的資訊與雲服務真實行為資訊進行對比,以驗證CSE提供清單的每條資訊是否代表了TER檢測到的服務的真實行為;
- 在服務資訊清單中的資訊被驗證後,使用者U通過向SPD請求屬性證書來解釋它的每個條目,將其轉換為屬性列表,通過與服務水平協議進行對比,以驗證是否滿足了該使用者的要求。
協作模型使得CSE依賴於兩個獨立的角色,其行為由獨立的第三方定義和檢查,同時,由於TER與SPD的分離,避免了CSE的可信度被惡意仲裁。在SoP中,TER只能獲得不透明的聚合雜湊值,而不知道雲應用程式時如何構建的;SPD只能知道單個軟體元件的屬性,而不能解釋雲服務是如何組裝的。因此,如果沒有CSE的服務清單,TER和SPD就沒有足夠的資訊來解釋雲的內部結構,這就使得CSE有機會實施訪問控制,並且只向用戶公開其屬性。此外,SoP中為了檢查TER和SPD的真實行為,在其間也施加了更多的限制,這將在限制模型中作進一步闡述。