基于Trias CEO阮安邦博士提出的云平台可信安全治理的三权分立模型的科研积累,Trias采用了三权分立的模型理念,在完全去中心化与完全中心化的治理结构之间,利用三权的相互协作与制约,很大程度上解决区块链和智能合约现有的权利监管不足的问题,实现了权力的动态平衡,从而最终实现信息世界的公平与公正。
在 “三权分立”模型的概述中,我们对三权分立模型做了概述。角色模型定义了实现SoP的三个角色;协作模型指定三个角色如何协作实现云服务认证;约束模型执行三个角色间的约束条件以及同一角色执行方之间的约束条件。
图1 协作模型
CSE作为云服务执行机构,执行符合客户要求的云服务;
TER作为信任证据报告机构,负责检查CSE执行的云服务行为;
SPD作为软件属性定义器,负责定义云服务每个软件组件属性。
图1描述了CSE、SPD、TER三个角色之间的协作,为了验证云服务的可信度,用户需要分别从每个角色收集信息:TER提供的执行情况摘要,其中记录了为服务目标应用程序而加载的云服务的身份信息;CSE提供的服务清单,声明了每个云服务的软件组成;SPD提供的属性定义列表,对每个服务组件的进行了认证。
CSE服务清单列出了CSE为构建云服务而加载的软件组件的标识。在使用可信计算时,这些组件通过它们的度量值来标识,如它们的配置文件或可执行代码的加密哈希值。同时,由SPD的翻译器对每个哈希应用一个转换函数,从而隐藏实现细节,这确保了只有指定的SPD能够解释清单中的条目。另一方面,SPD也可以将转换函数实现为加密函数,从而确保只有指定的SPD才能解密哈希。
TER提供的执行情况摘要列出了为服务目标应用程序而加载的云服务的身份信息。通过其所有加载的软件组件的总测量值有效识别出这些云服务,各测量值通过安装在每个云服务上的可信计算设施来计算。
SPD维护了一个记录每个软件组件的属性证书,当收到属性查询请求时,它会返回将属性列表绑定到软件组件的定义票据,软件组件由经过转换的哈希值来标识。
基于协作模型,云用户U通过以下步骤来确认支持其云应用程序A的云服务的可信度:
- 用户U获取TER中关于云应用程序A的执行情况摘要,并检查其完整性;
- 对于表示服务信息的每条TER摘要,用户U要求CSE提供相应的服务信息清单;
- 用户U将CSE服务信息清单中的信息与云服务真实行为信息进行对比,以验证CSE提供清单的每条信息是否代表了TER检测到的服务的真实行为;
- 在服务信息清单中的信息被验证后,用户U通过向SPD请求属性证书来解释它的每个条目,将其转换为属性列表,通过与服务水平协议进行对比,以验证是否满足了该用户的要求。
协作模型使得CSE依赖于两个独立的角色,其行为由独立的第三方定义和检查,同时,由于TER与SPD的分离,避免了CSE的可信度被恶意仲裁。在SoP中,TER只能获得不透明的聚合哈希值,而不知道云应用程序时如何构建的;SPD只能知道单个软件组件的属性,而不能解释云服务是如何组装的。因此,如果没有CSE的服务清单,TER和SPD就没有足够的信息来解释云的内部结构,这就使得CSE有机会实施访问控制,并且只向用户公开其属性。此外,SoP中为了检查TER和SPD的真实行为,在其间也施加了更多的限制,这将在限制模型中作进一步阐述。