安全与治理
5. 安全与治理
AVEC₀ 作为权限基础 · 委托层级 · NRGN 与 SYGN · 三层策略 · 加密 · 审计
5. 1. GNET 安全原则
在 GNET 中,安全不是传输层的属性。安全是节点的属性 —— 分布式代理,每个代理控制自己的责任范围。
核心问题:GNET 网络由数百万个异步 NDDI 组成。每个节点都可以发起创建其他节点(NRGN)和建立关系(SYGN)。如果没有控制,恶意节点可能会耗尽 GANN 名称空间,用垃圾 NDDI 填满持久内存,并用数据报使网络过载。
解决方案:通过 CNST₀ 一致性空间中的 AVEC 进行层级权限委托(第 4 章)。AVEC₀ 不是一个独立的结构,而是 N 维空间中的一个向量,其坐标轴是权限类型。拥有非零坐标的 AVEC₀ 赋予节点相应操作的权限。G-关系树从单一根节点(GLAI)通过 LRAI 和 GATE 延伸到终端节点。
每个获得 AVEC₀ 的 NDDI 都成为其组的分布式安全代理 —— 类似于“第一部门”,在委托权限范围内维持秩序。
控制不能成为瓶颈。异步网络无法承受对每个操作进行同步授权。原则:对稀有的昂贵操作(NRGN)进行严格控制,对频繁操作(SYGN)进行许可管理,对大规模操作(值传递)不进行控制。
5. 2. GLAI —— 权限树的根
GLAI(Global Asset Issuer,全局资产发行者)是网络的根节点,定义 CNST₀ 空间。GLAI 的公钥集成在 GATE 平台内核中。GLAI 是 GATE 池中的一个保留地址(64 位资产标识符中的 0xFFFFFFFF,参见第 4 章第 1.9 节)。
GLAI 的功能:
定义 CNST₀ 空间 —— 坐标轴、语义、验证规则。
发行 G-组件 —— CNST₀ 空间中的资产包。
通过 LRAI 将 AVEC₀ 传播到终端节点。
在跨 GATE 安全争议中担任最高仲裁者。
当 GLAI 不可用时,网络继续在先前获得的 AVEC₀ 范围内运行。现有的 GATE 创建 NDDI、建立 G-关系 —— 全部在已获得的 AVEC₀ 坐标范围内。LRAI 确保其辖区内的离线运行。不可行:创建新的 GATE、增加 AVEC₀ 坐标、解决全局冲突。当 GLAI 恢复后 —— 同步。
5. 3. AVEC₀ 作为权限结构
在架构的早期版本中,权限由一个独立的 G-组件(约 240 字节)定义,包含三个矩阵(OPSC、KINC、RULE)和配额参数。在更新后的架构中,权限是 CNST₀ 空间中 AVEC₀ 的坐标。
a) CNST₀ 空间的坐标轴
CNST₀ 的每个坐标轴对应一种权限或配额类型。坐标轴示例:
NRGN_QUOTA: 节点可以创建的子 NDDI 数量。
SYGN_QUOTA: 节点可以建立的 G-关系数量。
LEGITIMACY: 合法性标记(免疫标签,类似于 MHC-I)。
DMAX_IN / DMAX_OUT: 每周期入/出流量限制。
DLGT: 向子节点委托 AVEC₀ 的权限(二元轴:0 或 1)。
具体的坐标轴集合由 GLAI 在定义 CNST₀ 空间时确定,并固定在 NDDI 源代码中。新生的网络在编译阶段就已经包含 CNST₀ 的定义。
b) 通过乘法进行验证
当节点请求操作(NRGN、SYGN、委托)时,请求被形式化为 CNST₀ 空间中的向量。操作向量与 AVEC₀ 矩阵相乘:
结果的所有坐标均为非负 → 操作被允许。AVEC₀ 坐标减去操作成本。
至少有一个坐标为负 → 操作被拒绝。
这用统一的线性代数机制取代了二进制掩码 OPSC/KINC/RULE,并与整体 AVEC 架构(第 4 章第 1.2 节)保持一致。
c) RULE 矩阵作为 AVEC₀ 的扩展
对于需要按亲缘类别(SELF、SIBL、PRNT、CHLD、PEER、GATE、LOCL、GLOB)进行差异化控制的情况,RULE 矩阵保留为 CNST₀ 空间的一个额外维度。每个 CNST₀ 坐标轴可以有一个按亲缘类别的权限向量。在验证时,不仅考虑配额是否可用,还考虑交易对手的类别:
if (AVEC₀[requested_axis] <= 0) reject; // 配额已耗尽
if (!RULE[kin_class][requested_axis]) reject; // 类别不允许
allow; AVEC₀[requested_axis] -= cost;
两次检查代替三次。RULE 保留为二进制矩阵,用于基于类别的快速拒绝,而 AVEC₀ 提供数量控制。
5. 4. GATE 作为安全代理
在 GATE 初始化期间:
GATE 是其本地 NDDI 中最资深的安全代理。但其权限来自 GLAI 的委托。在全局网络中,GATE 是中间环节,而非根。
5. 5. 委托
在 AVEC₀ 中具有非零 DLGT 坐标的 NDDI 可以将 AVEC₀ 委托给子节点。委托是减少坐标的操作:
AVEC₀_child ≤ AVEC₀_parent 在每个坐标轴上。
子节点不能获得比父节点更多的权限。当委托 NRGN_QUOTA=100 给子节点时,父节点的 NRGN_QUOTA 坐标减少 100。这由 AVEC 机制保证:委托是 CNST₀ 空间中的一笔交易,通过乘法进行验证。
签名链可追溯到 GLAI。注册表树的每个层级(第 4 章第 1.8 节)同时也是权限委托的层级。
5. 6. NRGN 控制(节点创建)
创建 NDDI 是一种昂贵的不可逆操作:分配 GANN、持久内存空间、创建进程。控制是同步的。
创建链:
- 1.
发起者(具有 AVEC₀ 且 NRGN_QUOTA > 0 的节点)形成请求。
- 2.
- 3.
请求转发给 ANOD(通过 G-关系的父节点)。
- 4.
ANOD 检查:自己的配额是否已超?新节点的 D-组件是否可接受?
- 5.
- 6.
- 7.
临时 NDDI(GANN ≥ 0xFD000000)无需联系 ANOD 即可创建 —— 它们不是持久化的,不消耗 NRGN 配额,仅存在于 RAM 中,不会路由到 GATE 之外。
5. 7. SYGN 控制(建立关系)
建立 G-关系是中等频率的操作。控制采用许可制。
a) 组内 SYGN
一个组内的所有 NDDI 都与同一个 ANOD 存在 G-关系。它们是“自己人”(SIBL 类)。它们之间的 SYGN 被简化:
- 1.
节点 A 向节点 B 发送 SREQ。
- 2.
节点 B 检查:A 是否与同一个 ANOD 存在 G-关系?(SIBL 类。)
- 3.
节点 B 通过 AVEC₀ 进行验证:SYGN_QUOTA > 0?RULE 是否允许与 SIBL 类建立此类型的关系?
- 4.
无需联系 ANOD —— 许可证在节点创建时已发放(AVEC₀ 坐标包含对 SIBL 的权限)。
b) 组间 SYGN
- 1.
节点 A(组 A)向节点 B(组 B)发送 SREQ。
- 2.
节点 B 将请求转发给它的 ANOD-B。
- 3.
ANOD-B 检查:是否与组 A 存在协议(AGMT)?
- 4.
- 5.
如果没有 AGMT —— ANOD-B 请求 ANOD-A 进行单独协调。
- 6.
- 7.
c) 协议(AGMT)作为 AVEC₀ 的交集
当两个 ANOD 建立协议时,它们比较各自的 AVEC₀ 并计算交集:对每个坐标轴取最小值,对 RULE 矩阵按位与。结果就是 AGMT,存储在两个 ANOD 的 G-关系中。只要 AGMT 有效,组 A 和组 B 的节点就可以在 AGMT 范围内建立 SYGN,而无需联系 ANOD。
5. 8. 流量控制
值传递(v-关系)是大规模操作。同步控制不可行。控制通过监控和审计进行。
每个 NDDI 维护计数器:每周期入/出数据报数量、活动连接器数量。这些指标是 NDDI 内部的 v-组件。ANOD 可以与这些组件建立 v-关系,并定期获取值(异步审计)。
当超过限制(AVEC₀ 中的 DMAX_IN、DMAX_OUT 坐标)时:
审计是异步执行的,不在数据传输的关键路径上。类似于税务稽查:它不站在每个收银台旁,但会定期检查报表。
5. 9. 免疫系统与 AVEC₀
GNET 的免疫系统(第 4 章第 1.7 节)建立在 AVEC₀ 作为“免疫标签”的基础之上。本节补充具体机制。
a) AVEC₀ 作为 MHC-I
AVEC₀ 中的 LEGITIMACY 坐标是节点的免疫标签。在突触发生(SYGN)期间,接收节点通过 CNST₀ 级别的 G-连接器扫描发起者的 AVEC₀。有效的 AVEC₀ 且带有来自 GLAI 的正确签名链 —— “自己”。缺少或损坏的 AVEC₀ —— “细菌”,立即阻止。
b) 细胞因子信号传导与 CRL
拦截非法请求的节点会生成免疫警报,并将其路由到 Security ANOD。Security ANOD 积累警报,识别协同攻击,并生成 CRL(证书吊销列表)。CRL 通过 LRAI 在整个辖区内分发。
c) AVEC₀ 的撤销
当节点被入侵时,其 AVEC₀ 被撤销:LEGITIMACY 坐标归零,UNON 被加入 CRL。后续来自该 UNON 的请求在免疫检查阶段即被拒绝 —— 在配额验证之前。
撤销 LRAI 是另一种规模的操作(第 4 章第 1.5 节)。GLAI 停止委托新的池,并将 LRAI 加入全局 CRL。该辖区的节点切换到备用 LRAI。
5. 10. GANN 名称空间
GANN 名称空间(32 位)分为几个区域:
GANN 范围 |
用途 |
持久性 |
0x00000000 |
永久 |
|
0x00000001–0xFCFFFFFF |
普通 NDDI |
永久,ACID |
0xFD000000–0xFFFFFFFE |
临时/本地 NDDI |
仅 RAM |
0xFFFFFFFF |
保留(GLAI) |
— |
临时 NDDI(范围 0xFD000000–0xFFFFFFFE):不写入持久内存,不消耗 NRGN 配额,仅存在于 RAM 中,不路由到 GATE 之外。用途:想象(OPN8 循环中的临时对象)、中间计算、D-组件测试。
IPv6 类比:0xFD... 范围对应于 fd00::/8(唯一本地地址)—— 用于本地使用的地址,不在全局路由。
5. 11. 三层安全策略
AVEC₀ 提供物理层(DOM0–DOM3)的安全:通过乘法验证、配额、签名。这是最低必要且始终存在的层级。随着更高级别 D-组件的添加,在 AVEC₀ 之上会叠加额外的机制:
物理层(DOM0–DOM3):AVEC₀。 始终存在。验证 —— 操作向量与 AVEC₀ 矩阵相乘。确定性,无需解释。对于 SERN 网络已足够。类比:免疫系统 —— 抗体检查分子的形状。
符号层(DOM6–DOM8):规则作为 KLOM。 当 NDDI 具有 N/P 组件时添加。安全策略表示为 KLOM 的叙事链:“如果源属于组 X 且类型 = v-关系 且负载 < 阈值,则允许”。规则是可解释的、可更改的、可继承的。OPN8 在叙事历史上下文中分析请求。比 AVEC₀ 慢,但更灵活。
价值论层(DOMA–DOMB):价值过滤器。 当 NDDI 具有 C/W 组件时添加。OPNB 通过 W-向量 编译请求:此操作是否与组的 C_should 相冲突?它可以阻止形式上被 AVEC₀ 和 KLOM 规则允许但违背价值观的操作。
三个层级依次作为过滤器工作:
if (!AVEC₀_check(request)) reject; // 物理层:AVEC₀
if (!KLOM_check(request)) reject; // 符号层:规则
if (!W_check(request)) reject; // 价值论层:价值观
allow;
任何一层拒绝 = 拒绝。低层的允许不保证高层的允许。
5. 12. 加密
有效载荷加密由 G-关系的配置决定:
无加密(0x00)。 用于 G1(GATE 内部)。开销最小。
对称加密(0x01)。 用于 SYGN 之后的永久 G-关系。密钥在关系建立时协商,并存储在连接器(POCN)中。快速。
非对称加密(0x02)。 用于 SYGN(首次建立)、D-关系(代码签名)、跨 GATE 关系。在 SYGN 期间交换公钥,建立后转为对称加密。
加密在两个层面处理:由 NDDI 节点(如果密钥属于节点)和 GATE 平台(如果密钥属于设备)。
D-组件签名:D-关系中的每个 ELF 文件都由其创建者签名。签名链可追溯到 GLAI。收到 D-关系后,节点独立验证签名(密钥在 AVEC₀ 中)。无需联系 ANOD。
5. 13. 审计
每个拥有 AVEC₀ 的节点都维护操作日志:创建子 NDDI(NRGN)、建立 G-关系(SYGN)、拒绝、流量超限。日志是该节点 TRL 的一部分。主体–行动–客体三元组在 TRL0 层面记录(第 4 章第 1.11 节)。
上级 ANOD 可以通过 G-关系请求下属的日志。审计是异步的,不影响处理速度。ANOD 定期请求子节点的指标,并与 AVEC₀ 坐标进行核对。发现违规时 —— 减少 AVEC₀ 坐标、阻止、通知上级 ANOD。
5. 14. 总结
GNET 的安全建立在 AVEC₀ 之上 —— CNST₀ 一致性空间中的权限向量。CNST₀ 的每个坐标轴是一种权限或配额类型。验证 —— 操作向量与 AVEC₀ 矩阵相乘。委托 —— 从父节点传递到子节点时减少坐标。
层级:GLAI → LRAI → GATE → ANOD → NDDI。每个层级同时是注册表树(第 4 章)的一个层级和权限委托的一个层级。统一的机制同时用于资产管理和安全。
三种控制模式:同步(NRGN —— 昂贵的不可逆操作)、许可制(SYGN —— 中等频率)、异步(流量 —— 大规模操作)。三层策略:物理层(AVEC₀)、符号层(KLOM)、价值论层(W-向量)。每一后续层都是叠加在前一层之上的过滤器。
免疫系统(AVEC₀ 作为 MHC-I、细胞因子信号传导、CRL)和审计(TRL 作为操作账本)都集成在统一的 AVEC 架构中。
目录
