1. 程式人生 > >“三權分立”模型的概述

“三權分立”模型的概述

在雲計算出來之前,大多數的商業模式、計算模式都是自家的機器服務自家。雲計算出來之後,這一場景發生了變化,人們開始依賴於把自己需要的服務放在別人家的機器裡,而你沒法確認機器是否在做它該做的事情。當我們使用雲服務時,如何知道雲上的某些管理員或者程式是否保證了我們所使用服務的安全可靠,那些近乎居於“王座”的大型雲服務商的服務又是否安全可靠。

 

三權分立,是西方一種關於權力架構和權力資源配置的政治學說,主張行政、立法和司法三種權力分別由不同機關掌握,各自獨立行使、相互制約制衡。三權分立的政治思想,可以幫助我們解決雲中“封建王權”的問題。

 

圖1 一個簡化的雲基礎設施

 

如圖1所示,描述了一個簡化的雲基礎設施,雲使用者U將其應用程式A部署到雲服務提供商P的基礎設施上,服務提供商P執行雲服務來支援應用程式A。由於可能存在外部對手或者內部惡意人士,使用者U會尋求可信第三方T的認證來保證P的可信性。

 

使用者U可能會擔心存在以下威脅:

 

  1. 不可信的雲服務提供商P。

P可能無法載入足夠的雲服務元件Si以滿足使用者U的SLA(服務等級協議,即“合同”);

  1. 入侵者或者內部惡意人士M。

M可以篡改應用程式A或者雲服務元件Si,以違反SLA或者篡改使用者U的資料;

  1. 有缺陷的可信第三方T。

T可能無法及時有效地報告上述威脅。

 

為了構建一個可信、開放的雲生態系統,需要解決以上三種威脅,使使用者U能夠:

  1. 確定參與服務其應用程式A的確切雲服務或者惡意軟體;
  2. 確定已識別的每個服務或惡意軟體的確切屬性;
  3. 根據需要,在眾多第三方提供商中自由選擇獲取上述資訊。

 

“三權分立”模型(Separation-of-Powers,簡記為SoP)可以幫助我們實現這三個目標。

 

SoP的核心思想是將雲服務提供商的定義、執行、檢查權分配給三個各自獨立的角色。由這三個角色協作來證明雲服務的可靠性,同時限制彼此的行為從而實現權力的平衡。SoP由以下三個模型組成:

角色模型

定義了實現SoP的三個角色;

協作模型

指定三個角色如何協作實現雲服務認證;

約束模型

執行三個角色間的約束條件以及同一角色執行方之間的約束條件。

 

圖1           角色模型

 

圖1描述了SoP的角色模型。

CSE作為雲服務執行機構,執行符合客戶要求的雲服務;

TER作為信任證據報告機構,負責檢查CSE執行的雲服務行為;

SPD作為軟體屬性定義器,負責定義雲服務每個軟體元件屬性。

在角色模型中,CSE的權力被TER和SPD所限制。

 

圖2           協作模型

 

圖2描述了三個角色之間的協作方式。使用者從三個角色那裡收集資訊,以此來驗證雲服務的可信度,從而做出決策。收集的資訊包括:

TER提供的執行情況摘要,其中記錄了為服務目標應用程式而載入的雲服務的身份資訊;

CSE提供的服務清單,聲明瞭每個雲服務的軟體組成;

SPD提供的屬性定義列表,對每個服務元件的屬性進行了認證。

 

圖3           互檢約束模型

 

圖4           多方約束模型

 

約束模型的設計是為了防止TER和SPD獲得過多的權力,從而平衡權力。圖3描述的互檢約束模型是TER和SPD相互進行約束;圖4描述的多方約束模型表示CSE可以為每個角色僱傭多個執行方,CSE可以有多個SPD來定義其軟體元件屬性,也可以僱傭多個TER來負責檢查它的服務執行情況。

 

基於Trias CEO阮安邦博士提出的雲平臺可信安全治理的三權分立模型的科研積累,Trias採用了三權分立的模型理念,在完全去中心化與完全中心化的治理結構之間,利用三權的相互協作與制約,很大程度上解決區塊鏈和智慧合約現有的權利監管不足的問題,實現了權力的動態平衡,從而最終實現資訊世界的公平與公正。

 

SoP作為Trias的理論基礎,已於2016年發表。