Безопасность и управление

5. Безопасность и управление

AVEC₀ как основа полномочий · Иерархия делегирования · NRGN и SYGN · Три уровня политик · Шифрование · Аудит

5. 1. Принципы безопасности GNET

Безопасность в GNET не является свойством транспортного уровня. Безопасность является свойством узлов — распределённых агентов, каждый из которых контролирует свою область ответственности.

Центральная проблема: сеть GNET состоит из миллионов асинхронных NDDI. Каждый узел может инициировать создание других узлов (NRGN) и установление отношений (SYGN). Без контроля злонамеренный узел способен исчерпать пространство имён GANN, заполнить постоянную память мусорными NDDI, перегрузить сеть дейтаграммами.

Решение: иерархическое делегирование полномочий через AVEC в пространстве согласованности CNST₀ (Глава 4). AVEC₀ — не отдельная структура, а вектор в N-мерном пространстве, осями которого являются типы полномочий. Владение AVEC₀ с ненулевыми координатами даёт узлу права на соответствующие операции. Дерево G-отношений растёт от единственного корня (GLAI) через LRAI и GATE к конечным узлам.

Каждый NDDI, получивший AVEC₀, становится распределённым агентом безопасности своей группы — аналог «первого отдела», который следит за порядком в пределах делегированных полномочий.

Контроль не должен становиться бутылочным горлышком. Асинхронная сеть не может позволить себе синхронную авторизацию каждой операции. Принцип: жёсткий контроль редких дорогих операций (NRGN), лицензирование частых операций (SYGN), отсутствие контроля массовых операций (передача значений).

5. 2. GLAI — корень дерева полномочий

GLAI (Global Asset Issuer) — корневой узел сети, определяющий пространство CNST₀. Публичный ключ GLAI интегрирован в ядро платформы GATE. GLAI является зарезервированным адресом из пула GATE (0xFFFFFFFF в 64-битном идентификаторе ассета, см. Глава 4, раздел 1.9).

Функции GLAI:

• Определяет пространство CNST₀ — оси, семантику, правила валидации.

• Эмитирует G-компоненты — пакеты ассетов в пространстве CNST₀.

• Пропагирует AVEC₀ через LRAI к конечным узлам.

• Является высшим арбитром при межGATE-спорах о безопасности.

При недоступности GLAI сеть продолжает работать в пределах ранее полученных AVEC₀. Существующие GATE создают NDDI, устанавливают G-отношения — всё в рамках координат полученных AVEC₀. LRAI обеспечивают офлайн-работу внутри своих юрисдикций. Невозможно: создание новых GATE, увеличение координат AVEC₀, разрешение глобальных конфликтов. При восстановлении GLAI — синхронизация.

5. 3. AVEC₀ как структура полномочий

В предыдущей версии архитектуры полномочия определялись отдельным G-компонентом (~240 байт) с тремя матрицами (OPSC, KINC, RULE) и параметрами квотирования. В обновлённой архитектуре полномочия — это координаты AVEC₀ в пространстве CNST₀.

a) Оси пространства CNST₀

Каждая ось CNST₀ соответствует одному типу полномочия или квоте. Примеры осей:

• NRGN_QUOTA: количество дочерних NDDI, которые узел может создать.

• SYGN_QUOTA: количество G-отношений, которые узел может установить.

• LEGITIMACY: маркер легитимности (иммунная метка, аналог MHC-I).

• DMAX_IN / DMAX_OUT: лимиты входящего/исходящего трафика за период.

• DLGT: право делегировать AVEC₀ дочерним узлам (бинарная ось: 0 или 1).

Конкретный набор осей определяется GLAI при определении пространства CNST₀ и фиксируется в исходном коде NDDI. Молодая сеть уже содержит определение CNST₀ на этапе компиляции.

b) Валидация через умножение

Когда узел запрашивает операцию (NRGN, SYGN, делегирование), запрос формализуется как вектор в пространстве CNST₀. Вектор действия умножается на матрицу AVEC₀:

• Все координаты результата неотрицательны → действие разрешено. Координаты AVEC₀ уменьшаются на стоимость действия.

• Хотя бы одна координата отрицательна → действие запрещено.

Это заменяет бинарные маски OPSC/KINC/RULE единым механизмом линейной алгебры, согласованным с общей архитектурой AVEC (Глава 4, раздел 1.2).

c) Матрица RULE как расширение AVEC₀

Для ситуаций, требующих дифференцированного контроля по классам родства (SELF, SIBL, PRNT, CHLD, PEER, GATE, LOCL, GLOB), матрица RULE сохраняется как дополнительное измерение пространства CNST₀. Каждая ось CNST₀ может иметь вектор допусков по классам родства. При валидации учитывается не только наличие квоты, но и класс контрагента:

if (AVEC₀[requested_axis] <= 0) reject;          // квота исчерпана
if (!RULE[kin_class][requested_axis]) reject;      // класс не разрешён
allow; AVEC₀[requested_axis] -= cost;

Две проверки вместо трёх. RULE остаётся бинарной матрицей для быстрого отказа по классу, а AVEC₀ обеспечивает количественный контроль.

5. 4. GATE как агент безопасности

При инициализации GATE:

1. 1.

   GATE обращается к GLAI (или LRAI в офлайн-режиме), получает GATN и AVEC₀ с начальными координатами.

2. 2.

   GATE создаёт системный NDDI с именем GANN = 0x00000000. Этот узел содержит AVEC₀ и является корнем локального дерева полномочий данного GATE.

3. 3.

   Системный NDDI может создавать дочерние NDDI и делегировать им AVEC₀ с уменьшенными координатами.

GATE — самый старший агент безопасности среди своих локальных NDDI. Но его полномочия делегированы от GLAI. В глобальной сети GATE является промежуточным звеном, а не корнем.

5. 5. Делегирование

NDDI, имеющий ненулевую координату DLGT в AVEC₀, может делегировать AVEC₀ дочернему узлу. Делегирование — операция уменьшения координат:

AVEC₀_child ≤ AVEC₀_parent по каждой оси.

Дочерний узел не может получить больше полномочий, чем родительский. При делегировании NRGN_QUOTA=100 дочернему узлу, координата NRGN_QUOTA родителя уменьшается на 100. Это гарантируется механизмом AVEC: делегирование — это транзакция в пространстве CNST₀, валидируемая через умножение.

Цепочка подписей прослеживается до GLAI. Каждый уровень дерева реестров (Глава 4, раздел 1.8) — одновременно уровень делегирования полномочий.

5. 6. Контроль NRGN (создание узлов)

Создание NDDI — дорогая необратимая операция: выделение GANN, места на постоянной памяти, создание процесса. Контроль — синхронный.

Цепочка создания:

1. 1.

   Инициатор (узел с AVEC₀, где NRGN_QUOTA > 0) формирует запрос.

2. 2.

   Вектор действия умножается на матрицу AVEC₀ инициатора: достаточна ли квота? Допустим ли тип создаваемого NDDI?

3. 3.

   Запрос передаётся ANOD (родительскому узлу по G-отношению).

4. 4.

   ANOD проверяет: не превышена ли его собственная квота? Допустимы ли D-компоненты нового узла?

5. 5.

   ANOD уменьшает координату NRGN_QUOTA в своём AVEC₀ и форвардит запрос в GATE.

6. 6.

   GATE создаёт процесс, назначает GANN из обычного диапазона (0x00000001–0xFCFFFFFF).

7. 7.

   ANOD регистрирует новый узел как дочерний и делегирует ему AVEC₀ с назначенными координатами.

Временные NDDI (GANN ≥ 0xFD000000) создаются без обращения к ANOD — они не персистентны, не потребляют квоту NRGN, существуют только в RAM, не маршрутизируются за пределы GATE.

5. 7. Контроль SYGN (установление отношений)

Установление G-отношений — операция средней частоты. Контроль — лицензионный.

a) Внутригрупповой SYGN

Все NDDI группы имеют G-отношение с одним ANOD. Они «свои» (класс SIBL). SYGN между ними — упрощённый:

1. 1.

   Узел A отправляет SREQ узлу B.

2. 2.

   Узел B проверяет: есть ли у A G-отношение с тем же ANOD? (Класс SIBL.)

3. 3.

   Узел B выполняет валидацию через AVEC₀: координата SYGN_QUOTA > 0? RULE разрешает данный тип отношения с классом SIBL?

4. 4.

   Если да — SACK. Оба создают соединители. ANOD не участвует.

Обращение к ANOD не требуется — лицензия выдана при создании узла (координаты AVEC₀ содержат разрешения для SIBL).

b) Межгрупповой SYGN

Два NDDI из разных групп (разные ANOD):

1. 1.

   Узел A (группа A) отправляет SREQ узлу B (группа B).

2. 2.

   Узел B передаёт запрос своему ANOD-B.

3. 3.

   ANOD-B проверяет: есть ли договор (AGMT) с группой A?

4. 4.

   Если есть AGMT — проверка по матрице AGMT. Если разрешено — SACK.

5. 5.

   Если нет AGMT — ANOD-B запрашивает ANOD-A для индивидуального согласования.

6. 6.

   ANOD-A проверяет свой AVEC₀: разрешён ли узлу A внешний SYGN с классом PEER, LOCL или GLOB?

7. 7.

   При согласии обоих — SACK. При отказе любого — SREJ.

c) Договор (AGMT) как пересечение AVEC₀

Когда два ANOD устанавливают договор — они сопоставляют свои AVEC₀ и вычисляют пересечение: по каждой оси берётся минимум координат, по матрице RULE — побитовое AND. Результат — AGMT, хранящийся в G-отношениях обоих ANOD. Пока AGMT действует — узлы групп A и B могут устанавливать SYGN в рамках AGMT без обращения к ANOD.

5. 8. Контроль трафика

Передача значений (v-отношения) — массовая операция. Синхронный контроль невозможен. Контроль — через мониторинг и аудит.

Каждый NDDI ведёт счётчики: входящих/исходящих дейтаграмм за период, количество активных соединителей. Эти показатели — v-компоненты внутри NDDI. ANOD может установить v-отношение с этими компонентами и получать значения периодически (асинхронный аудит).

При превышении лимитов (координаты DMAX_IN, DMAX_OUT в AVEC₀):

• ANOD отправляет предупреждение узлу.

• ANOD снижает координату SYGN_QUOTA (запрещает новые G-отношения).

• В критическом случае — ANOD отправляет a-отношение (триггер блокировки), запрещая исходящие отношения до выяснения причин.

Аудит выполняется асинхронно, не в критическом пути передачи данных. Аналог налоговой инспекции: она не стоит у каждой кассы, но периодически проверяет отчётность.

5. 9. Иммунная система и AVEC₀

Иммунная система GNET (Глава 4, раздел 1.7) строится на AVEC₀ как основе «иммунной метки». Настоящий раздел дополняет описание конкретными механизмами.

a) AVEC₀ как MHC-I

Координата LEGITIMACY в AVEC₀ — иммунная метка узла. При синаптогенезе (SYGN) узел-получатель сканирует AVEC₀ инициатора через G-соединитель уровня CNST₀. Валидный AVEC₀ с корректной цепочкой подписей от GLAI — «свой». Отсутствие или повреждение AVEC₀ — «бактерия», немедленная блокировка.

b) Цитокиновая сигнализация и CRL

Узел, отбивший нелегитимный запрос, формирует иммунный алерт и маршрутизирует его к Security ANOD. Security ANOD аккумулирует алерты, выявляет скоординированные атаки и генерирует CRL (список отзыва сертификатов). CRL рассылается через LRAI по юрисдикции.

c) Отзыв AVEC₀

При компрометации узла его AVEC₀ отзывается: координата LEGITIMACY обнуляется, UNON вносится в CRL. Последующие запросы от этого UNON отторгаются на стадии иммунной проверки — до валидации квот.

Отзыв LRAI — операция иного масштаба (Глава 4, раздел 1.5). GLAI прекращает делегирование новых пулов и вносит LRAI в глобальный CRL. Узлы юрисдикции переключаются на резервный LRAI.

5. 10. Пространство имён GANN

Пространство GANN (32 бит) разделено на зоны:

Временные NDDI (диапазон 0xFD000000–0xFFFFFFFE): не записываются на постоянную память, не потребляют квоту NRGN, существуют только в RAM, не маршрутизируются за пределы GATE. Используются для: воображения (временные объекты в петле OPN8), промежуточных вычислений, тестирования D-компонентов.

Аналогия с IPv6: диапазон 0xFD... соответствует fd00::/8 (Unique Local Addresses) — адреса для локального использования, не маршрутизируемые глобально.

5. 11. Три уровня политик безопасности

AVEC₀ обеспечивает безопасность физического уровня (DOM0–DOM3): валидация через умножение, квоты, подписи. Это минимально необходимый и всегда присутствующий уровень. По мере добавления D-компонентов высших уровней, поверх AVEC₀ добавляются дополнительные механизмы:

Физический уровень (DOM0–DOM3): AVEC₀. Всегда присутствует. Валидация — умножение вектора действия на матрицу AVEC₀. Детерминированно, без интерпретации. Достаточно для SERN-сети. Аналогия: иммунная система — антитело сверяет форму молекулы.

Символьный уровень (DOM6–DOM8): правила как KLOM. Добавляется когда NDDI имеет N/P компоненты. Политики безопасности выражены как нарративные цепочки KLOM: «ЕСЛИ источник принадлежит группе X И тип = v-отношение И нагрузка < порога, ТО разрешить». Правила интерпретируемые, изменяемые, наследуемые. OPN8 анализирует запрос в контексте нарративной истории. Медленнее AVEC₀, но гибче.

Аксиологический уровень (DOMA–DOMB): ценностный фильтр. Добавляется когда NDDI имеет C/W компоненты. OPNB компилирует запрос через W-вектор: не противоречит ли данная операция C_должно группы? Может заблокировать действие, формально разрешённое AVEC₀ и правилами KLOM — но противоречащее ценностям.

Три уровня работают последовательно как фильтры:

if (!AVEC₀_check(request)) reject;       // физический: AVEC₀
if (!KLOM_check(request)) reject;         // символьный: правила
if (!W_check(request)) reject;            // аксиологический: ценности
allow;

Отказ на любом уровне = отказ. Разрешение на нижнем уровне не гарантирует разрешение на верхнем.

5. 12. Шифрование

Шифрование payload определяется конфигурацией G-отношения:

Без шифрования (0x00). Для G1 (внутри GATE). Минимальный overhead.

Симметричное шифрование (0x01). Для постоянных G-отношений после SYGN. Ключ согласовывается при установлении отношения и хранится в соединителе (POCN). Быстро.

Асимметричное шифрование (0x02). Для SYGN (первое установление), для D-отношений (подпись кода), для межGATE отношений. Обмен публичными ключами при SYGN, переход на симметричное после установления.

Шифрование обрабатывается на двух уровнях: узлом NDDI (если ключ принадлежит узлу) и платформой GATE (если ключ принадлежит устройству).

Подпись D-компонентов: каждый ELF-файл в D-отношении подписан создателем. Цепочка подписей прослеживается до GLAI. При получении D-отношения узел проверяет подпись самостоятельно (ключ в AVEC₀). Обращение к ANOD не требуется.

5. 13. Аудит

Каждый узел с AVEC₀ ведёт журнал операций: создание дочерних NDDI (NRGN), установление G-отношений (SYGN), отказы, превышения лимитов трафика. Журнал — часть TRL данного узла. Триада Субъект–Действие–Объект фиксируется на уровне TRL0 (Глава 4, раздел 1.11).

Вышестоящий ANOD может запросить журнал подчинённого через G-отношение. Аудит — асинхронный, не влияет на скорость обработки. ANOD периодически запрашивает показатели дочерних узлов и сверяет с координатами AVEC₀. При обнаружении нарушений — снижение координат AVEC₀, блокировка, уведомление вышестоящего ANOD.

5. 14. Итоги

Безопасность GNET строится на AVEC₀ — векторе полномочий в пространстве согласованности CNST₀. Каждая ось CNST₀ — тип полномочия или квота. Валидация — умножение вектора действия на матрицу AVEC₀. Делегирование — уменьшение координат при передаче от родителя к потомку.

Иерархия: GLAI → LRAI → GATE → ANOD → NDDI. Каждый уровень — одновременно уровень дерева реестров (Глава 4) и уровень делегирования полномочий. Единый механизм для управления ассетами и для безопасности.

Три режима контроля: синхронный (NRGN — дорогие необратимые операции), лицензионный (SYGN — среднечастотные), асинхронный (трафик — массовые). Три уровня политик: физический (AVEC₀), символьный (KLOM), аксиологический (W-вектор). Каждый последующий уровень — фильтр поверх предыдущего.

Иммунная система (AVEC₀ как MHC-I, цитокиновая сигнализация, CRL) и аудит (TRL как леджер операций) интегрированы в единую архитектуру AVEC.