如圖1所示,描述了一個簡化的雲基礎設施,雲使用者U將其應用程式A部署到雲服務提供商P的基礎設施上,服務提供商P執行雲服務來支援應用程式A。由於可能存在外部對手或者內部惡意人士,使用者U會尋求可信第三方T的認證來保證P的可信性。
使用者U可能會擔心存在以下威脅:
1.不可信的雲服務提供商P
P可能無法載入足夠的雲服務元件Si以滿足使用者U的SLA(服務等級協議,即“合同”)。
2.入侵者或者內部惡意人士M
M可以篡改應用程式A或者雲服務元件Si,以違反SLA或者篡改使用者U的資料。
3.有缺陷的可信第三方T
T可能無法及時有效地報告上述威脅。
為了構建一個可信、開放的雲生態系統,需要解決以上三種威脅,使使用者U能夠:
1.確定參與服務其應用程式A的確切雲服務或者惡意軟體;
2.確定已識別的每個服務或惡意軟體的確切屬性;
3.根據需要,在眾多第三方提供商中自由選擇獲取上述資訊。
“三權分立”模型(Separation-of-Powers,簡記為SoP)可以幫助我們實現這三個目標。
SoP的核心思想是將雲服務提供商的定義、執行、檢查權分配給三個各自獨立的角色。由這三個角色協作來證明雲服務的可靠性,同時限制彼此的行為從而實現權力的平衡。SoP由以下三個模型組成:
角色模型
定義了實現SoP的三個角色。
協作模型
指定三個角色如何協作實現雲服務認證。
約束模型
執行三個角色間的約束條件以及同一角色執行方之間的約束條件。
圖1描述了SoP的角色模型。CSE作為雲服務執行機構,執行符合客戶要求的雲服務;TER作為信任證據報告機構,負責檢查CSE執行的雲服務行為;SPD作為軟體屬性定義器,負責定義雲服務每個軟體元件屬性。在角色模型中,CSE的權力被TER和SPD所限制。
圖2描述了三個角色之間的協作方式。使用者從三個角色那裡收集資訊,以此來驗證雲服務的可信度,從而做出決策。收集的資訊包括:TER提供的執行情況摘要,其中記錄了為服務目標應用程式而載入的雲服務的身份資訊;CSE提供的服務清單,宣告瞭每個雲服務的軟體組成;SPD提供的屬性定義列表,對每個服務元件的屬性進行了認證。
約束模型的設計是為了防止TER和SPD獲得過多的權力,從而平衡權力。圖3描述的互檢約束模型是TER和SPD相互進行約束;圖4描述的多方約束模型表示CSE可以為每個角色僱傭多個執行方,CSE可以有多個SPD來定義其軟體元件屬性,也可以僱傭多個TER來負責檢查它的服務執行情況。
基於Trias CEO阮安邦博士提出的雲平臺可信安全治理的三權分立模型的科研積累,Trias採用了三權分立的模型理念,在完全去中心化與完全中心化的治理結構之間,利用三權的相互協作與制約,很大程度上解決區塊鏈和智慧合約現有的權利監管不足的問題,實現了權力的動態平衡,從而最終實現資訊世界的公平與公正。
