星物种 | 利用可信硬件+图计算，TRIAS想构建可信计算生态

编者按：本文来自36氪独家合作区块链媒体“Odaily星球日报”（微信号o-daily，APP下载），作者卢晓明。

区块链技术是为了解决信任问题，因为参与共识的节点之间缺乏信任。

如果可以给节点们带上测谎仪，任何一个人一旦撒谎，马上就会报警，那节点之间的信任成本就可以降低不少，基于这类节点所建立的区块链网络也变得更为安全，这时候共识机制就能更多地承担“高性能”等其他使命，不一定必须使用POW，也就提高了共识速度。后续可以做的事情也有了更多的想象空间。

Odaily星球日报最近接触的TRIAS创始人阮安邦认为，可信计算可以解决上述提到的公链节点之间的信任问题。 可信硬件是可信计算的重要基础之一，基于可信硬件可以在设备上构建一个可信执行环境(TEE,Trusted Execution Environment) 。相关技术包括已经成为国际标准的TPM、Intel开发的SGX等。

可信硬件可以让设备记录系统或特定程序，一旦代码被更改，痕迹会被记录下来，因此利用可信硬件“我就知道我的程序在被正确运行”。这被用于监控服务器安全和物联网设备安全，黑客难以默默黑掉软件，只能直接黑硬件。

阮安邦在博士期间研究的是云计算的可信执行，也就是“我怎么知道他对我的数据做了正确的操作”。可信硬件可以帮助解决这个问题，但需要有Supervisor一直监控着服务器的运行。此处的矛盾点是云的动态性与芯片需要被定点监控。云服务器并不绑定特定设备，而且更不能让黑客知道用户的服务器放在哪儿，否则黑客就能实施定点攻击，这就使得定点监控芯片变得不太可能。

去中心化可能是解决这个问题的方法。

TRIAS设想的底层网络Leviatom，是一个TEE+图计算的去中心化节点监控网络，让节点们不断监控相邻节点并不断更新，一旦广播的状态变化，其他节点也能快速知道。一个节点被更多的节点监控，意味着他的可信度更高。阮安邦设想，这个网络支持需要支持多种TEE技术。一是为了防止某个品牌和厂商垄断这个网络；二是防止某种芯片一旦出现漏洞对全网造成影响。Leviatom网络所使用的图计算算法源自阮安邦在2011年起发表的一系列关于如何在云中有效建立去中心化的信任关系的论文，它类似Swirlds团队提出的Hashgraph技术，通过Gossip网络（通过Gossip about Gossip互相传播协议通讯）和虚拟投票（Virtual Voting）策略更快实现共识。

这种像社交关系一样点对点的信任传递机制，是图计算的一种。“我们计算过，任何一个人要成功撒谎，需要90%的人跟他同时撒谎。”相比起原来设想的云计算上的大监控中心，这样就避免了定点监控，形成了一个去中心化的监控网络。

网络会将节点的可信状态同时记入账本，这样就形成了不同可信级别的节点排名。在这个算力网络里，你可以看到有多少人在“直接”监测我的安全状态，并且这些人自己的安全状态是怎么样的。

这样的网络可以做什么？

首先是一个可信计算平台，可以用于运行智能合约或执行任意程序。因此，TRIAS设想的第一个模块是一层layer2网络，相当于负责合约执行的链下环境。类似的模式Odaily星球日报此前在Taxa和Ankr的报道已经说明过，在此不再赘述。

Leviatom的核心在于其所形成的节点可信排名，基于此能做的事情可能很多。比如可以让用户自行定义执行环境的安全程度，所需安全程度高的用户，可以让数量更多、更可信的节点运行自身的程序并达成共识。也可以让排名最高的一些节点构筑一条公链，让开发者在上面部署Dapp，甚至EOS都可以直接从这个网络里产生21个超级节点。

这就需要一定的调度系统和激励机制，毕竟更可信的节点会有更高的议价权。因此，TRIAS未来会设计一个MagCarta合约与通证体系，让Dapp可以对Leviatom平台中的算力节点做调度，实现他们之间的协作。

“硬件是对的，但是如果软件是错的怎么办。我们能执行代码，对代码本身的安全性却不一定能够保证。”阮安邦认为，对于非常简单的智能合约代码，技术人员可能一看就知道是否有后门或有害，但是对于复杂程序则不一定知道，加上在TEE中执行的程序代码相当于被放进了保险柜，算力提供者看不到代码。所以，他认为需要一套软件溯源和审计的系统，去做代码审计与自动化的安全分析。

他希望基于Leviatom平台，设计一套通用的程序DevSecOps框架Prometh，为软件的供应链建立可信溯源体系。这能保证开发者的代码不泄露和被拷走的同时，能受到安全评价模型审计，然后将其从源代码到生成整个生命周期的哈希值存在链上，保证不被篡改。这个软件有点像Visual studio + App Store。同时，TRIAS希望在激励机制的基础上，通过Prometh的评级加入保险机制，分数越高的软件，安全度越高，保险杠杆越高，当出现安全问题时，就能获得更高的赔偿。

TRIAS的这三个子系统，非常接近阮安邦在其博士论文中的三权分立云安全治理模型。他解释，如果Code is law（代码即法律），负责程序审计并定义程序安全属性的Prometh就像掌管了立法权；Leviatom负责执行，就像三权分立中的行政权；MagCarta负责裁定算力提供方与程序提供者的责任与分配利益。

听起来，TRIAS的蓝图实在太过宏大，尤其程序溯源体系Prometh。这样一套代码的设计难度本身就非常大。其次在商业上，目前流氓软件盛行，愿意付费做“自审”的企业可能不多，应用市场可能会有类似要求，或者TRIAS自己做成一个应用市场。。

不过，阮安邦回应，在代码设计上，TRIAS的团队已经有一定经验。他同时是网络安全公司八分量创始人，后者专注于可信计算技术应用。八分量的企业级数据中心软件溯源体系，在金融和政务云的场景中落地，解决数据中心内部安全痛点。未来八分量也计划将这部分的软件工具贡献给社区。

另外，在未来需求情况上，阮安邦认为软件溯源体系类似现有区块链的一大典型场景：农产品溯源+质量评估。造假的供应商一样没有让别人来审计自己的动力，但是在一条健全的溯源体系和可溯源产品市场上，这样的供应商会因为缺乏用户的信任度，而最终被用户淘汰。

如果类似的可信评价覆盖渠道足够，或者用户更注重安全，这样的体系更能发挥作用。阮安邦也认为，这并不是一项简单的工程，需要通过经济体制激励实现。

TRIAS目前共有22名工程师，Leviatom的测试网络计划在3-4个月内上线。

创始人建CEO阮安邦是是北京大学硕士、牛津大学计算机博士，在可信计算领域已有10年的科研积累，八分量创始人。

CTO魏明是八分量的联合创始人兼CTO，北京大学博士和硕士，前中国航天软件研发中心高级架构师、西门子研究院工程师，其从业经验设计涉及云计算、人工智能等领域，在八分量其间主持开发了DASO私链&联盟链与持续免疫系统的安全架构，关注用户的数据中心安全问题。

我是Odaily星球日报编辑卢晓明，探索真实区块链，爆料、交流请加微信lohiuming，烦请备注姓名、单位、职务和事由。

附论文链接供参考

【1】   RepCloud: achieving fine-grained cloud TCB attestation with reputation systems

【2】   NeuronVisor: Defining a Fine-Grained Cloud Root-of-Trust

【3】   RepCloud: Attesting to Cloud Service Dependency 

原创文章，作者：卢晓明。转载/内容合作/寻求报道请联系report@odaily.com；违规转载法律必究。