安全与治理

5. 安全与治理

AVEC₀ 作为权限基础 · 委托层级 · NRGNSYGN · 三层策略 · 加密 · 审计

5. 1. GNET 安全原则

在 GNET 中,安全不是传输层的属性。安全是节点的属性 —— 分布式代理,每个代理控制自己的责任范围。

核心问题:GNET 网络由数百万个异步 NDDI 组成。每个节点都可以发起创建其他节点(NRGN)和建立关系(SYGN)。如果没有控制,恶意节点可能会耗尽 GANN 名称空间,用垃圾 NDDI 填满持久内存,并用数据报使网络过载。

解决方案:通过 CNST₀ 一致性空间中的 AVEC 进行层级权限委托(第 4 章)。AVEC₀ 不是一个独立的结构,而是 N 维空间中的一个向量,其坐标轴是权限类型。拥有非零坐标的 AVEC₀ 赋予节点相应操作的权限。G-关系树从单一根节点(GLAI)通过 LRAI 和 GATE 延伸到终端节点。

每个获得 AVEC₀ 的 NDDI 都成为其组的分布式安全代理 —— 类似于“第一部门”,在委托权限范围内维持秩序。

控制不能成为瓶颈。异步网络无法承受对每个操作进行同步授权。原则:对稀有的昂贵操作(NRGN)进行严格控制,对频繁操作(SYGN)进行许可管理,对大规模操作(值传递)不进行控制。

5. 2. GLAI —— 权限树的根

GLAI(Global Asset Issuer,全局资产发行者)是网络的根节点,定义 CNST₀ 空间。GLAI 的公钥集成在 GATE 平台内核中。GLAIGATE 池中的一个保留地址(64 位资产标识符中的 0xFFFFFFFF,参见第 4 章第 1.9 节)。

GLAI 的功能:

  • 定义 CNST₀ 空间 —— 坐标轴、语义、验证规则。

  • 发行 G-组件 —— CNST₀ 空间中的资产包。

  • 通过 LRAI 将 AVEC₀ 传播到终端节点。

  • 在跨 GATE 安全争议中担任最高仲裁者。

GLAI 不可用时,网络继续在先前获得的 AVEC₀ 范围内运行。现有的 GATE 创建 NDDI、建立 G-关系 —— 全部在已获得的 AVEC₀ 坐标范围内。LRAI 确保其辖区内的离线运行。不可行:创建新的 GATE、增加 AVEC₀ 坐标、解决全局冲突。当 GLAI 恢复后 —— 同步。

5. 3. AVEC₀ 作为权限结构

在架构的早期版本中,权限由一个独立的 G-组件(约 240 字节)定义,包含三个矩阵(OPSC、KINC、RULE)和配额参数。在更新后的架构中,权限是 CNST₀ 空间中 AVEC₀ 的坐标。

a) CNST₀ 空间的坐标轴

CNST₀ 的每个坐标轴对应一种权限或配额类型。坐标轴示例:

  • NRGN_QUOTA: 节点可以创建的子 NDDI 数量。

  • SYGN_QUOTA: 节点可以建立的 G-关系数量。

  • LEGITIMACY: 合法性标记(免疫标签,类似于 MHC-I)。

  • DMAX_IN / DMAX_OUT: 每周期入/出流量限制。

  • DLGT: 向子节点委托 AVEC₀ 的权限(二元轴:0 或 1)。

具体的坐标轴集合由 GLAI 在定义 CNST₀ 空间时确定,并固定在 NDDI 源代码中。新生的网络在编译阶段就已经包含 CNST₀ 的定义。

b) 通过乘法进行验证

当节点请求操作(NRGNSYGN、委托)时,请求被形式化为 CNST₀ 空间中的向量。操作向量与 AVEC₀ 矩阵相乘:

  • 结果的所有坐标均为非负 → 操作被允许。AVEC₀ 坐标减去操作成本。

  • 至少有一个坐标为负 → 操作被拒绝。

这用统一的线性代数机制取代了二进制掩码 OPSC/KINC/RULE,并与整体 AVEC 架构(第 4 章第 1.2 节)保持一致。

c) RULE 矩阵作为 AVEC₀ 的扩展

对于需要按亲缘类别(SELF、SIBL、PRNT、CHLD、PEER、GATE、LOCL、GLOB)进行差异化控制的情况,RULE 矩阵保留为 CNST₀ 空间的一个额外维度。每个 CNST₀ 坐标轴可以有一个按亲缘类别的权限向量。在验证时,不仅考虑配额是否可用,还考虑交易对手的类别:

if (AVEC₀[requested_axis] <= 0) reject;          // 配额已耗尽
if (!RULE[kin_class][requested_axis]) reject;      // 类别不允许
allow; AVEC₀[requested_axis] -= cost;

两次检查代替三次。RULE 保留为二进制矩阵,用于基于类别的快速拒绝,而 AVEC₀ 提供数量控制。

5. 4. GATE 作为安全代理

GATE 初始化期间:

  1. 1.

    GATE 联系 GLAI(或离线模式下的 LRAI),获得 GATN 和带有初始坐标的 AVEC₀。

  2. 2.

    GATE 创建一个系统 NDDI,其 GANN = 0x00000000。该节点包含 AVEC₀,并且是此 GATE 本地权限树的根。

  3. 3.

    系统 NDDI 可以创建子 NDDI,并向它们委托带有减少坐标的 AVEC₀。

GATE 是其本地 NDDI 中最资深的安全代理。但其权限来自 GLAI 的委托。在全局网络中,GATE 是中间环节,而非根。

5. 5. 委托

AVEC₀ 中具有非零 DLGT 坐标的 NDDI 可以将 AVEC₀ 委托给子节点。委托是减少坐标的操作:

AVEC₀_child ≤ AVEC₀_parent 在每个坐标轴上。

子节点不能获得比父节点更多的权限。当委托 NRGN_QUOTA=100 给子节点时,父节点的 NRGN_QUOTA 坐标减少 100。这由 AVEC 机制保证:委托是 CNST₀ 空间中的一笔交易,通过乘法进行验证。

签名链可追溯到 GLAI。注册表树的每个层级(第 4 章第 1.8 节)同时也是权限委托的层级。

5. 6. NRGN 控制(节点创建)

创建 NDDI 是一种昂贵的不可逆操作:分配 GANN、持久内存空间、创建进程。控制是同步的。

创建链:

  1. 1.

    发起者(具有 AVEC₀ 且 NRGN_QUOTA > 0 的节点)形成请求。

  2. 2.

    操作向量与发起者的 AVEC₀ 矩阵相乘:配额是否足够?要创建的 NDDI 类型是否允许?

  3. 3.

    请求转发给 ANOD(通过 G-关系的父节点)。

  4. 4.

    ANOD 检查:自己的配额是否已超?新节点的 D-组件是否可接受?

  5. 5.

    ANOD 减少自己 AVEC₀ 中的 NRGN_QUOTA 坐标,并将请求转发给 GATE

  6. 6.

    GATE 创建进程,从普通范围(0x00000001–0xFCFFFFFF)分配一个 GANN

  7. 7.

    ANOD 将新节点注册为子节点,并委托给它带有指定坐标的 AVEC₀。

临时 NDDIGANN ≥ 0xFD000000)无需联系 ANOD 即可创建 —— 它们不是持久化的,不消耗 NRGN 配额,仅存在于 RAM 中,不会路由到 GATE 之外。

5. 7. SYGN 控制(建立关系)

建立 G-关系是中等频率的操作。控制采用许可制。

a) 组内 SYGN

一个组内的所有 NDDI 都与同一个 ANOD 存在 G-关系。它们是“自己人”(SIBL 类)。它们之间的 SYGN 被简化:

  1. 1.

    节点 A 向节点 B 发送 SREQ

  2. 2.

    节点 B 检查:A 是否与同一个 ANOD 存在 G-关系?(SIBL 类。)

  3. 3.

    节点 B 通过 AVEC₀ 进行验证:SYGN_QUOTA > 0?RULE 是否允许与 SIBL 类建立此类型的关系?

  4. 4.

    如果是 —— SACK。双方创建连接器ANOD 不参与。

无需联系 ANOD —— 许可证在节点创建时已发放(AVEC₀ 坐标包含对 SIBL 的权限)。

b) 组间 SYGN

两个来自不同组(不同的 ANOD)的 NDDI

  1. 1.

    节点 A(组 A)向节点 B(组 B)发送 SREQ

  2. 2.

    节点 B 将请求转发给它的 ANOD-B。

  3. 3.

    ANOD-B 检查:是否与组 A 存在协议(AGMT)?

  4. 4.

    如果存在 AGMT —— 根据 AGMT 矩阵检查。如果允许 —— SACK

  5. 5.

    如果没有 AGMT —— ANOD-B 请求 ANOD-A 进行单独协调。

  6. 6.

    ANOD-A 检查自己的 AVEC₀:是否允许节点 A 与 PEER、LOCL 或 GLOB 类建立外部 SYGN

  7. 7.

    如果双方同意 —— SACK。如果任何一方拒绝 —— SREJ

c) 协议(AGMT)作为 AVEC₀ 的交集

当两个 ANOD 建立协议时,它们比较各自的 AVEC₀ 并计算交集:对每个坐标轴取最小值,对 RULE 矩阵按位与。结果就是 AGMT,存储在两个 ANOD 的 G-关系中。只要 AGMT 有效,组 A 和组 B 的节点就可以在 AGMT 范围内建立 SYGN,而无需联系 ANOD

5. 8. 流量控制

值传递(v-关系)是大规模操作。同步控制不可行。控制通过监控和审计进行。

每个 NDDI 维护计数器:每周期入/出数据报数量、活动连接器数量。这些指标是 NDDI 内部的 v-组件。ANOD 可以与这些组件建立 v-关系,并定期获取值(异步审计)。

当超过限制(AVEC₀ 中的 DMAX_IN、DMAX_OUT 坐标)时:

  • ANOD 向节点发送警告。

  • ANOD 降低 SYGN_QUOTA 坐标(禁止新的 G-关系)。

  • 在关键情况下 —— ANOD 发送 a-关系(阻塞触发器),禁止传出关系,直到查明原因。

审计是异步执行的,不在数据传输的关键路径上。类似于税务稽查:它不站在每个收银台旁,但会定期检查报表。

5. 9. 免疫系统与 AVEC₀

GNET 的免疫系统(第 4 章第 1.7 节)建立在 AVEC₀ 作为“免疫标签”的基础之上。本节补充具体机制。

a) AVEC₀ 作为 MHC-I

AVEC₀ 中的 LEGITIMACY 坐标是节点的免疫标签。在突触发生(SYGN)期间,接收节点通过 CNST₀ 级别的 G-连接器扫描发起者的 AVEC₀。有效的 AVEC₀ 且带有来自 GLAI 的正确签名链 —— “自己”。缺少或损坏的 AVEC₀ —— “细菌”,立即阻止。

b) 细胞因子信号传导与 CRL

拦截非法请求的节点会生成免疫警报,并将其路由到 Security ANOD。Security ANOD 积累警报,识别协同攻击,并生成 CRL(证书吊销列表)。CRL 通过 LRAI 在整个辖区内分发。

c) AVEC₀ 的撤销

当节点被入侵时,其 AVEC₀ 被撤销:LEGITIMACY 坐标归零,UNON 被加入 CRL。后续来自该 UNON 的请求在免疫检查阶段即被拒绝 —— 在配额验证之前。

撤销 LRAI 是另一种规模的操作(第 4 章第 1.5 节)。GLAI 停止委托新的池,并将 LRAI 加入全局 CRL。该辖区的节点切换到备用 LRAI。

5. 10. GANN 名称空间

GANN 名称空间(32 位)分为几个区域:

GANN 范围

用途

持久性

0x00000000

系统 NDDIGATE 自身)

永久

0x00000001–0xFCFFFFFF

普通 NDDI

永久,ACID

0xFD000000–0xFFFFFFFE

临时/本地 NDDI

仅 RAM

0xFFFFFFFF

保留(GLAI

临时 NDDI(范围 0xFD000000–0xFFFFFFFE):不写入持久内存,不消耗 NRGN 配额,仅存在于 RAM 中,不路由到 GATE 之外。用途:想象(OPN8 循环中的临时对象)、中间计算、D-组件测试。

IPv6 类比:0xFD... 范围对应于 fd00::/8(唯一本地地址)—— 用于本地使用的地址,不在全局路由。

5. 11. 三层安全策略

AVEC₀ 提供物理层(DOM0DOM3)的安全:通过乘法验证、配额、签名。这是最低必要且始终存在的层级。随着更高级别 D-组件的添加,在 AVEC₀ 之上会叠加额外的机制:

物理层(DOM0DOM3):AVEC₀。 始终存在。验证 —— 操作向量与 AVEC₀ 矩阵相乘。确定性,无需解释。对于 SERN 网络已足够。类比:免疫系统 —— 抗体检查分子的形状。

符号层(DOM6DOM8):规则作为 KLOMNDDI 具有 N/P 组件时添加。安全策略表示为 KLOM 的叙事链:“如果源属于组 X 且类型 = v-关系 且负载 < 阈值,则允许”。规则是可解释的、可更改的、可继承的。OPN8 在叙事历史上下文中分析请求。比 AVEC₀ 慢,但更灵活。

价值论层(DOMADOMB):价值过滤器。NDDI 具有 C/W 组件时添加。OPNB 通过 W-向量 编译请求:此操作是否与组的 C_should 相冲突?它可以阻止形式上被 AVEC₀ 和 KLOM 规则允许但违背价值观的操作。

三个层级依次作为过滤器工作:

if (!AVEC₀_check(request)) reject;       // 物理层:AVEC₀
if (!KLOM_check(request)) reject;         // 符号层:规则
if (!W_check(request)) reject;            // 价值论层:价值观
allow;

任何一层拒绝 = 拒绝。低层的允许不保证高层的允许。

层级

机制

速度

灵活性

始终存在?

DOM0DOM3

AVEC

最快

最低

DOM6DOM8

KLOM 规则

中等

仅当有 N/P

DOMADOMB

C/W 价值观

最高

仅当有 C/W

5. 12. 加密

有效载荷加密由 G-关系的配置决定:

无加密(0x00)。 用于 G1(GATE 内部)。开销最小。

对称加密(0x01)。 用于 SYGN 之后的永久 G-关系。密钥在关系建立时协商,并存储在连接器POCN)中。快速。

非对称加密(0x02)。 用于 SYGN(首次建立)、D-关系(代码签名)、跨 GATE 关系。在 SYGN 期间交换公钥,建立后转为对称加密。

加密在两个层面处理:由 NDDI 节点(如果密钥属于节点)和 GATE 平台(如果密钥属于设备)。

D-组件签名:D-关系中的每个 ELF 文件都由其创建者签名。签名链可追溯到 GLAI。收到 D-关系后,节点独立验证签名(密钥在 AVEC₀ 中)。无需联系 ANOD

5. 13. 审计

每个拥有 AVEC₀ 的节点都维护操作日志:创建子 NDDINRGN)、建立 G-关系(SYGN)、拒绝、流量超限。日志是该节点 TRL 的一部分。主体–行动–客体三元组在 TRL0 层面记录(第 4 章第 1.11 节)。

上级 ANOD 可以通过 G-关系请求下属的日志。审计是异步的,不影响处理速度。ANOD 定期请求子节点的指标,并与 AVEC₀ 坐标进行核对。发现违规时 —— 减少 AVEC₀ 坐标、阻止、通知上级 ANOD

5. 14. 总结

GNET 的安全建立在 AVEC₀ 之上 —— CNST₀ 一致性空间中的权限向量。CNST₀ 的每个坐标轴是一种权限或配额类型。验证 —— 操作向量与 AVEC₀ 矩阵相乘。委托 —— 从父节点传递到子节点时减少坐标。

层级:GLAI → LRAI → GATEANODNDDI。每个层级同时是注册表树(第 4 章)的一个层级和权限委托的一个层级。统一的机制同时用于资产管理和安全。

三种控制模式:同步(NRGN —— 昂贵的不可逆操作)、许可制(SYGN —— 中等频率)、异步(流量 —— 大规模操作)。三层策略:物理层(AVEC₀)、符号层(KLOM)、价值论层(W-向量)。每一后续层都是叠加在前一层之上的过滤器。

免疫系统(AVEC₀ 作为 MHC-I、细胞因子信号传导、CRL)和审计(TRL 作为操作账本)都集成在统一的 AVEC 架构中。

 

目录

5. 安全与治理