在云计算出来之前,大多数的商业模式、计算模式都是自家的机器服务自家。云计算出来之后,这一场景发生了变化,人们开始依赖于把自己需要的服务放在别人家的机器里,而你没法确认机器是否在做它该做的事情。当我们使用云服务时,如何知道云上的某些管理员或者程序是否保证了我们所使用服务的安全可靠,那些近乎居于“王座”的大型云服务商的服务又是否安全可靠。
三权分立,是西方一种关于权力架构和权力资源配置的政治学说,主张行政、立法和司法三种权力分别由不同机关掌握,各自独立行使、相互制约制衡。三权分立的政治思想,可以帮助我们解决云中“封建王权”的问题。
图1 一个简化的云基础设施
如图1所示,描述了一个简化的云基础设施,云用户U将其应用程序A部署到云服务提供商P的基础设施上,服务提供商P执行云服务来支持应用程序A。由于可能存在外部对手或者内部恶意人士,用户U会寻求可信第三方T的认证来保证P的可信性。
用户U可能会担心存在以下威胁:
- 不可信的云服务提供商P。
P可能无法加载足够的云服务组件Si以满足用户U的SLA(服务等级协议,即“合同”);
- 入侵者或者内部恶意人士M。
M可以篡改应用程序A或者云服务组件Si,以违反SLA或者篡改用户U的数据;
- 有缺陷的可信第三方T。
T可能无法及时有效地报告上述威胁。
为了构建一个可信、开放的云生态系统,需要解决以上三种威胁,使用户U能够:
- 确定参与服务其应用程序A的确切云服务或者恶意软件;
- 确定已识别的每个服务或恶意软件的确切属性;
- 根据需要,在众多第三方提供商中自由选择获取上述信息。
“三权分立”模型(Separation-of-Powers,简记为SoP)可以帮助我们实现这三个目标。
SoP的核心思想是将云服务提供商的定义、执行、检查权分配给三个各自独立的角色。由这三个角色协作来证明云服务的可靠性,同时限制彼此的行为从而实现权力的平衡。SoP由以下三个模型组成:
角色模型
定义了实现SoP的三个角色;
协作模型
指定三个角色如何协作实现云服务认证;
约束模型
执行三个角色间的约束条件以及同一角色执行方之间的约束条件。
图1 角色模型
图1描述了SoP的角色模型。
CSE作为云服务执行机构,执行符合客户要求的云服务;
TER作为信任证据报告机构,负责检查CSE执行的云服务行为;
SPD作为软件属性定义器,负责定义云服务每个软件组件属性。
在角色模型中,CSE的权力被TER和SPD所限制。
图2 协作模型
图2描述了三个角色之间的协作方式。用户从三个角色那里收集信息,以此来验证云服务的可信度,从而做出决策。收集的信息包括:
TER提供的执行情况摘要,其中记录了为服务目标应用程序而加载的云服务的身份信息;
CSE提供的服务清单,声明了每个云服务的软件组成;
SPD提供的属性定义列表,对每个服务组件的属性进行了认证。
图3 互检约束模型
图4 多方约束模型
约束模型的设计是为了防止TER和SPD获得过多的权力,从而平衡权力。图3描述的互检约束模型是TER和SPD相互进行约束;图4描述的多方约束模型表示CSE可以为每个角色雇佣多个执行方,CSE可以有多个SPD来定义其软件组件属性,也可以雇佣多个TER来负责检查它的服务执行情况。
基于Trias CEO阮安邦博士提出的云平台可信安全治理的三权分立模型的科研积累,Trias采用了三权分立的模型理念,在完全去中心化与完全中心化的治理结构之间,利用三权的相互协作与制约,很大程度上解决区块链和智能合约现有的权利监管不足的问题,实现了权力的动态平衡,从而最终实现信息世界的公平与公正。
SoP作为Trias的理论基础,已于2016年发表。