Trias創造支援通用應用程式的新一代公鏈體系

買賣虛擬貨幣

TRIAS旨在創造支援通用應用程式的新一代公鏈體系,構建可信賴的智慧自主運算裝置(Trustworthy and Reliable Intelligent Autonomous Systems),構築普世可信賴計算生態,讓人相信機器。

TRIAS:可信賴的智慧機器

1.相信機器,人類新的基礎需求

自圖靈測試被提出,我們對機器模仿自己、進而幫助自己的期待從未停止。上世紀50年代誕生第一臺IAS機(Institute of Advanced Study Machine)代表了人類智慧的新高峰。其所實現的馮諾伊曼架構也成為了當代資訊社會的奠基石。隨著過去60年資訊科技的突飛猛進,尤其是近10年雲端計算、大資料、物聯網與人工智慧技術領域的突破性進展,IAS將被重新定義:智慧自主計算裝置(Intelligent Autonomous Systems),或被稱為智慧機器。

隨著人工智慧技術的發展,新型的IAS將很有可能成為人類生活不可或缺的基礎設施。我們能夠依賴各種“擬人”的智慧機器,生活更加便捷,勞動力得以解放。然而,與此同時,智慧機器也在監控我們的一言一行、承載我們的一舉一動。當我們的生活無法離開這樣的機器,當我們的決策都依賴這樣的機器,對其的信任危機,均將嚴重影響人類社會基礎設施的穩定運轉。當我們被智慧機器圍繞,在享受便捷的同時,卻又被不安感籠罩。

·我們使用計算機和網際網路來處理各項工作,但不可信的應用程式可能導致重要資料外洩或被篡改, 損害國家及個人利益;
·我們使用手機和移動網際網路來滿足“衣食住行遊購娛”等基本需求,但不可信的APP正在非法採集我們的個人資料,侵犯我們的個人隱私;
·我們使用自動駕駛汽車出行,但不可信的控制程式將威脅我們的生命安全;
·我們使用智慧醫療機器來識別病理、診斷重疾,用機械手臂實施手術,但不可信的分析、控制程式將導致隱私資訊外洩,還可能威脅病人的生命安全;
·我們依賴智慧家居帶來的一切便利,智慧家居扮演著人類的管家、清潔工、廚師、寵物等角色,但不可信的智慧家居系統將為入侵者窺視、控制我們的生活開啟視窗;

可穿戴裝置、工業智造、交通基建,以及未來的我們所處的各個智慧城市基礎設施都將由機器操控,不可信的資訊系統將會使我們社會陷入一片混亂。

有缺陷或被濫用的技術、不規範的管理等,都可能造成機器被非法控制;人工智慧技術的不斷演進,更加劇了我們對機器可信性的疑慮。機器已漸漸成為人類身體機能的擴充套件,機器的可信問題關乎人類的安全,對我們的這些新的“四肢”、新的“五官”、新的“大腦”建立有效信任將成為未來人類新的基礎需求。

構建可信與可靠的IAS(Trustworthy and Reliable Intelligent Autonomous Systems),正是TRIAS團隊的奮鬥目標。

2.區塊鏈,用共識構築的機器信任

機器=硬體+軟體,因此對機器的信任通常從這兩方面考慮。硬體通常是固定不變的,在報廢之前很多年都可能不會有變化。對硬體進行全面的檢查也相對容易的,即使硬體上面出現某個漏洞,想要進一步破壞,也必須由攻擊者透過漏洞繞過所有的軟體防禦措施才能進行實現。

軟體是硬體的靈魂。它本質上是儲存於硬體上的一段資料,因此易變且不易被感知。軟體的變化將極大程度地影響機器的行為,這使得駭客惡意操縱機器成為可能。因此,在絕大多數應用場景中,軟體遠遠比硬體易受攻擊。2017年“WannaCrypt”勒索病毒爆發,即使我們擁有防火牆、防毒軟體、大資料、人工智慧分析等防禦方式,依舊未能阻止史上最大的軟體攻擊事件發生。

通常而言,軟體被分為系統軟體與應用軟體。應用軟體執行最終的業務邏輯,系統軟體為應用軟體的正確執行提供正確的支援。在傳統運算模式中,系統軟體與應用軟體往往不被明確的區分,因為二者通常都歸同一使用者擁有。但在雲端計算、容器技術、大資料等新型運算模式下,系統軟體常屬於服務提供方,而應用軟體屬於使用者。這時雙方的信任關係便尤為重要:1)系統可信性:對於使用者而言,系統軟體是否正確地提供了應有的支援,以保障應用的正確執行;2)應用可信性:對於服務提供方而言,應用軟體是否僅執行了正確的操作,以防止系統或其它應用被惡意破壞;同時使用者也常需確認其應用自身正確執行了預定的業務邏輯。

區塊鏈與智慧合約技術的興起,為構建可信賴的軟體體系帶來了新的曙光。區塊鏈技術為解決系統可信性,提出了去中心化的解決方案。它本質上可以理解是一種網路通訊語言,是一種網際網路協議。區塊鏈可以生成一套記錄時間先後的、不可篡改的、可信任的資料庫,這套資料庫是去中心化儲存且資料安全能夠得到有效保證的。區塊鏈技術的核心是一套共識演算法,它的作用是在缺少可信任的中央節點和可信任的通道的情況下,分佈在網路中的各個節點應如何達成共識。透過共識,來減少任何一個系統實施非預期行為的可能性。但目前區塊鏈的主流共識演算法都存在高冗餘高複雜度問題,即為了爭奪記賬權或驗證區塊正確性進行冗餘的儲存與計算,這浪費了大量算力和儲存空間,並且時間成本也高的離譜。

智慧合約是Nick Szabo於20年前提出的安全方法,是基於觸發條件自動執行的電子合約,可用於解決應用可信性的問題。智慧合約可以由區塊鏈計算網路執行,所有合約是由網路中所有節點遵循協議自動執行。可以說,智慧合約就是賦予區塊鏈靈魂的APP,能讓使用者在死板的、無法篡改、可追溯、去中性化的區塊鏈基礎上,基於圖靈完備的描述,為相關的應用賦予活力,以滿足更高更廣的應用場景。

以以太坊為代表的區塊鏈2.0系列技術實現了圖靈完備的智慧合約,它在一定程度上實現了可信賴的軟體系統。透過大量的運算冗餘,以及以演算法複雜度為基礎的共識協議,區塊鏈在一定程度上保障了一段程式能被正確的軟體系統環境執行:因為攻擊者難以破壞足夠多的冗餘運算環境,並挑戰共識演算法複雜度。另一方面,透過簡單化以及開源,智慧合約的語義得意容易地被驗證,因此在一定程度上保障了程式的正確性。

3.智慧合約,離普世機器信任尚有距離

智慧合約的邏輯通常簡單清晰,編寫出的智慧合約也能做到語法語義簡單,且區塊鏈框架常要求智慧合約開源,並限制了其開發語言。這使得合約執行者掌握合約語法後就可以驗證合約邏輯,包括檢測BUG。更進一步,類似以太坊框架定義了ERC20、ERC721這種協議來限制合約編寫方式。這當然能在一定程度上避免合約安全問題,但對於程式碼量大且由不同語法構成的應用來說就不太適用。這使得現有的智慧合約很難直接用於實現全平臺通用應用程式的業務邏輯。主要缺陷體現在以下幾點:

低效共識 低效緩慢的共識和算力浪費在公鏈裡屢見不鮮,尤以POW為甚。區塊鏈技術的明星級應用比特幣就是很好的例子,它以hash運算限制了10分鐘的出塊頻率,導致TPS只有7。這不僅是緩慢低效、浪費算力,而且限制了很多需要高TPS的應用;

算力中心化 去中心化是區塊鏈最主要特性之一,而大量集中礦池的誕生使得去中心化不再可信。據統計,比特幣的大部分算力集中於中國的幾大礦池內,這使得控制或攻破區塊鏈成為可能;

過度冗餘 區塊鏈的BFT或其他共識演算法主流的實現都是基於分散式儲存,這個分散式儲存不是一般意義的分片,而是全量資料儲存(考慮全量節點),這造成了資料的冗餘。而智慧合約的執行需要落在這些節點上,這造成了操作的冗餘。高冗餘將帶來嚴重的算力浪費,並且增加區塊鏈網路的擁堵,嚴重影響可並行執行的程式數量;

限定性介面 區塊鏈的共識涉及到節點上的數字資產,而各區塊鏈框架對數字資產有不同形式的儲存方式,想要應用區塊鏈上的智慧合約,首先要熟悉各平臺上資料存取方式以及限制,體現在介面層面上,對傳入的引數型別和大小就有了一定約束。比如一個儲存資料的應用要使用智慧合約實現,與主流的資料庫應用相比,在存取能力和效能設計方面有較大差距,並不能取代後者的功能。即使採用區塊鏈在前、資料庫在後的設計,也有存取等限制,這是由區塊鏈特性及TPS要求決定的。從更廣泛的範圍而言,任何區塊鏈平臺上的智慧合約並不能完全替代經過長時間積累的專業應用能完成的工作。

移植重構 對於一個已經執行的應用或流程來說,引入區塊鏈技術以整合現有業務邏輯,不僅需要將資料重新整理上鍊,還可能涉及整個業務流的重構。比如房屋買賣,上鍊之前買賣雙方透過中介來處理交易流程,中介收取佣金來幫助雙方完成類似合理匹配、價值計算、貸款條件、契稅繳納、合同簽訂等一系列流程,而上鍊後不止需要數字化所有憑證,還需要對憑證產生的每一步重新評估,對一些複雜要求及變化的憑證也要有特定的預案,如信用體系、交易中止等。

鏈外運算不可信 雖然區塊鏈透過技術手段保證了資料和操作的可信,但鏈外的資料脫離了區塊鏈的管控範疇,任何流程只要涉及到信任鏈外資料,就很可能失去了利用區塊鏈保證安全的基礎。比如一個股票交易的合約,定義了開盤日的特定時間點只要某隻股票跌停超過5%,那麼就將該支股票拋售,而判斷股票是否跌停的邏輯是首先需要從一個第三方介面獲取資料,而這個第三方可能被攻擊導致判斷失準,整個合約也就沒有安全可言了。

4.TRIAS體系結構,可信算力、可信軟體與超級合約

TRIAS是相容原生應用程式的新一代智慧合約執行平臺、開發框架、與協作生態。TRIAS包括三套子系統:Leviatom可信算力網路,結合異構TEE技術與圖計算,旨在構造高效、高穩定、高可擴充套件的共識演算法,並實現對原生應用程式的支援;Prometh可溯源軟體開發框架,結合通用軟體DevSecOps框架,實現應用程式的可追溯、可驗證和零移植,賦予原生應用程式以智慧合約級的安全可信強度;MagCarta合約體系,實現全平臺原生應用程式的統一程式設計與排程,並用經濟模型協調各方利益。

5.TRIAS三權分立模型,去中心化資訊世界的新秩序

三權分立,是西方一種關於權力架構和權力資源配置的政治學說,主張行政、立法和司法三種權力分別由不同機關掌握,各自獨立行使、相互制約制衡。TRIAS首次提出網路空間基於三權分立(Trias Politica)的去中心化模型。在完全去中心化與完全中心化的治理結構之間,利用三權的相互協作與制約,TRIAS實現了權力的動態平衡,從而最終實現資訊世界的公平與公正。本節將簡要介紹資訊世界三權分立模型的基本理念,其理論基礎來自於TRIAS團隊在建立雲平臺可信安全治理的三權分立模型的科研積累(附錄文獻[7,8,9])。TRIAS三權分立模型的設計與分析將在TRIAS技術白皮書做詳盡的闡釋。

在TRIAS體系中,Leviatom負責行政權,即執行一組程式序列;Prometh負責立法權,即定義每一個程式的屬性;MagCarta負責司法權,即說明哪些程式被執行了,從而裁定服務的質量,並分配各方利益。TRIAS在實現權力分配的同時,進一步實現了三權的相互約束(Check and Balance),使得任意兩權的結合可限制第三權的過度擴張,從而很大程度上解決區塊鏈和智慧合約現有的權利監管不足的問題。如,實現Leviatom協議的軟體棧本身的屬性也有Prometh定義,由MagCarta裁定Leviatom算力節點各自的貢獻值;Prometh自身的軟體棧也在Leviatom網路上執行,由MagCarta裁定Prometh屬性定義方各自的貢獻值;MagCarta合約的屬性也有Prometh定義,並且MagCarta虛擬機器也由Leviatom可信算力網路執行。三權既相互獨立,又相互制衡,一起向使用者證明其所使用的服務是由服務提供商用正確的程式序列,依照正確的執行方式實現。TRIAS打破了傳統資訊科技服務供應商提供服務、執行服務和裁定服務執行的統治地位,實現資訊世界的公平與公正。

Leviatom是行政機構,只負責提供程式執行環境,不能變更執行於其上的程式的屬性記錄,也不能裁定程式的執行結果。它將接受立法機構Prometh和司法機構Magcarta的共同監督。如果Leviatom惡意篡改了執行其上的程式,那麼MagCarta可透過在Prometh中記錄的不可被篡改的程式相關屬性,裁定Leviatom執行程式序列存在問題。相對應的,因為TRIAS中同一權力機構是由內部多個實體共同組建,那麼Leviatom就可以對照不同的Prometh中的實體記錄的程式屬性,或者不同的MagCarta中的實體裁定結果,判斷自己是否受到不公平的裁定,以及是否存在Prometh中的實體和MagCarta中的實體共謀的問題。 所以,行政機構Leviatom同時接受立法機構Prometh和司法機構MagCarta的對程式屬性和執行的監督,同時也反向監督Prometh和MagCarta的公平和公正性。

新的程式執行之前,需要Prometh對其屬性形成共識,否則該程式無法執行。Prometh除了維護執行與Leviatom上的程式的屬性,還負責維護MagCarta程式屬性。因此,Prometh能制衡MagCarta的權力。Prometh同樣由多個實體構成 ,實體與實體之間相互記錄彼此程式屬性,在內部構成了相互制衡,保證Prometh提供的證據鏈的公平和公正性。MagCarta除了監督Leviatom上執行的程式,還監督Prometh的執行。因此,MagCarta能夠制衡Prometh的權力。MagCarta同樣由多個實體構成,實體與實體之間相互監督彼此程式的執行,在內部相互制衡,保證MagCarta的監督和裁定結果的公平和公正性。

6. TRIAS技術特性,支援更廣更通用的應用場景

高效共識(10萬級TPS):TRIAS能夠快速定位全網中“最難撒謊的點”,併為少數這些點分發智慧合約程式。因此TRIAS區塊鏈透過利用可信計算的異構共識演算法,從根本上減少和最佳化了共識過程與節點成本,提升共識速度。在同等節點規模和計算能力的情況下,TRIAS的共識速度將達到以太坊當前共識速度的5000-10000倍,能滿足目前大部分的企業資訊傳遞和交流的應用場景,具備企業級商用的高併發能力;

高度穩定(對抗接近90%的算力攻擊):當前區塊鏈抵禦攻擊的手段,採用的是以量取勝提高攻擊者成本的策略,這種方式的效果已經證明比傳統的資料安全要強。但就算區塊鏈做到51%的抗攻擊能力,仍然能有很大的機會被攻擊成功。比如勒索病毒式自動化蠕蟲類的攻擊可以高速自我複製、擴散和連續性潛伏APT(Advanced Persistent Threat)攻擊。如果區塊鏈的節點數不夠,要在網際網路環境共識速度跑過自動攻擊傳播速度,被破壞的成本還是可接受的。TRIAS在共識節點間用小世界網路演算法構建基於TEE可信驗證關係的信任網路,該網路上任一個節點的“撒謊”代價,近乎是需要全網90%以上的節點同時配合撒謊。因此與傳統區塊鏈網路無法對抗51%攻擊相比,TRIAS能夠對抗接近90%的惡意算力攻擊;

無限擴張(低於1%的跨碎片通訊開銷):TRIAS中的每一個節點均可以參與多個分片,每個節點均可參與交易的各個環節,並獲得對應的收益。TRIAS中每個節點的可信值將作為其能夠參與的分片依據之一,而不是簡單的依靠狀態碎片劃分。在最大化保證安全的情況下,可以精確地進行跨碎片通訊,進行高效可信的無限公鏈擴容;

原生應用(支援對全平臺原生應用的可信呼叫):透過TEE環境的支援,全網互聯的機器能夠透過TRIAS專有的可信算力網路選舉出高可信的執行環境,並監管原生應用的信用呼叫,在此框架下,全平臺的應用都能在鏈上實現從原始碼到應用全生命週期的可信呼叫;

高階正規化(支援複雜的智慧合約協作模式):目前區塊鏈大部分的技術主要是針對金融型別的交易,這樣的底層資料結構很難適合當前主流的人工智慧、大資料場景的流式高效能資料應用,無法直接進行描述。TRIAS區塊鏈採用解耦性的區塊鏈智慧合約正規化描述結構,可以直接把主流的高階正規化直接進行統一的規約化轉換到區塊鏈的正規化中,方便使用者可以把各種主流應用進行正規化描述。

零移植(支援全平臺原生應用的零重構移植):當前的智慧合約採用的方式是一般要規約一種新的語言或者利用的C++等高階語言進行封裝,提供API讓使用者自己重新再進行編寫不可篡改的程式執行流程。這樣的做法讓目前使用者的已有應用程式要上鍊變的非常的困難。TRIAS透過可信計算與DevSecOps的結合,從軟體原始碼階段開始,每一次的變更行為進行共識可追溯的上鍊分析和存證。在TRIAS的智慧合約框架下,已存在的程式可以直接跟鏈互動,智慧合約執行的環境就像容器與程式之間的關係一樣,使得全平臺的原生應用可以與TRIAS系統無縫連線。

可信資料來源(鏈外資料的可信採集可信上鍊):基於可信計算的技術,對外鏈裝置的接入和資料接入在傳統的挖礦軟體或者錢包接入的方式基礎上,對使用者的整個執行環境進行可信計算的度量與證實,保證7X24小時的情況下對使用者執行環境的狀態進行求證驗證,就算有1個位元組的非白名單變化,都能發現其非可信外鏈的行為和節點,解決了現有區塊鏈技術的接入破壞成本低的問題。TRIAS透過限制可信裝置產生鏈資料來源,保證資料產生的可信狀態和後續處理增加的標準TAG屬性,限定產出源頭的可信度。在TRIAS整個生態中,收集資料形式會有多種,透過TRIAS的介面或者CLIENT 的不可篡改標準流程來保證傳輸上鍊的過程資料合法和格式的準確,同時資料隱私的嚴格保護,保證傳輸過程的安全可靠。資料經過核准,會分別轉儲到對應的多副本節點,並記錄TXID及當前的資料狀態,以便回溯和呼叫審計的形成,從而使資料既便捷使用,又不會被輕易洩露和非法使用傳播;

零資料交換(無資料共享的隱私資料協同處理):現有資料協同運算的痛點在於參與各方資料的安全性與隱私性難以保障。當前基於密碼學的方法,如零知識證明、安全多方計算、同態加密等均有很大的應用侷限。TRIAS利用逆向思路解決安全問題:交換程式而非交換資料。多方實施協同運算時,協作雙方首先連通Leviatom,構建統一的可信算力平臺,再分發基於Prometh開發的資料處理程式到資料擁有方的可信算力平臺上。MagCarta實現更高階的程式設計方式,基於各方貢獻的利益計算,以及對沖風險的保險模型。TRIAS從而實現了資料永不離開使用者機房的多方協同運算。

綠色挖礦(用安全驗證實現挖礦):基於HCGraph技術,TRIAS實時計算全網所有節點的可信值,並冷卻、移除不可信節點,構建一種安全即算力的體系,用安全驗證替代挖礦。不同的智慧合約可根據自身的經濟能力和安全需求,選擇不同可信值的節點執行,節點獲得收益,避免無意義的資源和算力浪費;

保險體系(保險即安全服務):TRIAS引入保險體系,用於對沖智慧合約在執行過程中可能出現的風險,如基礎軟體0Day漏洞。智慧合約可依據自身承受風險能力用Token購買保險,並在安全風險發生時,透過獲取理賠。


Leviatom(利維坦):去中心化的可信算力網路


本章介紹Leviatom可信算力網路的基本原理。Leviatom的核心演算法HCGraph源自TRIAS團隊在雲平臺建立動態可信關係網路的研究。


1.用TEE與圖計算實現高效健壯的共識網路


1.1 TEE技術與基於節點信任的共識


現有區塊鏈專案,對於智慧合約、挖礦、錢包等程式的執行環境並不進行安全檢查,主要依靠傳統的加密手段。簡單而言,即使一個系統環境可能已經感染了病毒或併產生了惡意行為,只要最後共識時被感染的機器沒有超過共識機制的抗攻擊數就不影響正確的共識結果。但是這樣的做法實際上是一種“Du博”,永遠都在僥倖攻擊的速度無法超過共識節點的極限。同時,這種方式對於共識算力沒有“質量”判斷的能力,就如大家一起參加拔河比賽,為了好的成績,大家都會選擇身高、體重合適的運動員,這樣效果很好。而不是盲人摸象,只要有人能參加出力就可以。因此如果由身體有恙的選手組成的拔河隊伍,就算所有人都齊心協力,實際結果也很難理想。


針對現有問題,TRIAS提出利用可信執行環境TEE (Trusted Execution Environment)等可信計算技術,將智慧合約和區塊鏈自身程式碼,移入特性硬體的可信執行環境中執行。由可信計算技術確保執行的程式碼是滿足預期要求的,不會受異常程序/執行緒/惡意檔案等其它系統因素的影響。可信執行環境內的程式若出現任何與預期白名單不一致的情況時,即立刻會在可信硬體上反應。這種低“質量”的算力節點就能立刻被辨識和並排除。同時也可以透過可信計算方法來量化每個共識節點“質量”好壞的程度。在實現共識時,可以直接透過對“質量”好壞程度的判斷,僅選取少數優質節點作為代表以達成共識。此類方法應用可信硬體的特性,提高了節點的安全可信性,並進而減少了參與共識的節點數,從而最終實現了效率與安全性的同時提升。


1.2 TEE技術應用瓶頸


然而,TEE技術的應用也存在一定問題。首先,缺乏通用的TEE構建方法和介面。TEE的標準制定者GP(GlobalPlatform)雖然制定了大量標準和規範,但是從介面層方面,各大廠商實現介面方式盡不相同,碎片化非常的嚴重。而且出於安全考慮,程式碼基本閉源,所以無法形成統一的介面進行推廣,需要進行定製。其次,目前市場上缺乏基於TEE的安全應用。如前所說只有部分大廠為了實現最高安全的採用了TEE,但是對應的擴充套件應用大家都很離散。而具體使用的時候,TrustZone與SGX程式碼都需要重構,需要開發人員對已有程式程式碼重構,將程式分成可信部分和非可信部分,目前有Intel釋出的SDK來協助做這方面工作,但仍然是很大量的工程修改工作。


在效能方面,TEE的enclave進出是瓶頸,這是由於TLB中快取enclave中的記憶體訪問緣故,因而進出enclave需要進行TLB flush。另外執行enclave程式碼時,非TLB的記憶體訪問也會造成額外的一些檢查,導致更大的額外開銷。同時也存在TEE程式碼編寫漏洞風險 ,如果enclave編寫程式碼本身有漏洞的話,enclave是無法保護程式的安全,目前就有針對緩衝區溢位的ROP攻擊能夠控制enclave。另外也有些邊通道攻擊,能夠導致秘密洩漏。因此,用單一的中心化的enclave去保護程式安全是無法完全滿足使用者安全需求的。


另一方面,對TEE環境正確性的驗證,通常都需要一套中心化驗證伺服器的存在。即由一組服務來週期性的為TEE環境中的程式是否正確的執行,提供驗證服務。此時,在網路中,該驗證服務將成為超級權力擁有者,並也成為了單點失效的中心。另一種驗證方式是實現TEE環境的兩兩驗證,在此種模式下,任何一個具備TEE能力的節點,同時也具備驗證其它TEE環境正確性的能力。因此任意兩個TEE節點相互動時,都先實現對彼此的驗證。此種架構雖然實現了對驗證節點的去中心化,但在一個複雜的共識網路中,兩兩驗證將引入O(n2)的運算複雜度(驗證協議的執行)以及O(n2)儲存及網路複雜度(證書的傳輸與儲存)。


1.3 用圖演算法傳遞基於TEE信任關係


為了減少區塊鏈中使用TEE的難度,Leviatom提出了異構共識圖協議(HCGraph),引入了信任傳遞關係網。HCGraph讓臨近的具備TEE執行環境的節點互相驗證對方的可信度,並將所收集到的可信節點資訊在已獲得其信任的其它節點見傳播。這樣每個TEE共識節點的狀態資訊就能形成一個信譽關係網,互相背書互相證明,一旦有一個節點要“撒謊”,周圍的節點都會立刻就能指正它。而周圍的惡意節點若想要配合“撒謊”節點,則需要讓其周圍的所有其他節點也同時配合。由此反覆迭代,HCGraph可迅速定位全網中“最難撒謊的點”,併為少數這些點分發智慧合約程式,從而實現高效、健壯、高併發、且支援原生應用程式的智慧合約執行環境。


透過結合TEE與Gossip協議並構建“同謀違約”代價模型,HCGraph協議體現出特有的優勢:


·規避了對特定TEE技術的依賴,因為被驗證的節點可以是任意一種TEE技術,而完全依賴一種TEE技術(如Intel SGX)的共識協議,將無法擺脫技術提供方(如Intel)的中心化的控制;
·透過Gossip協議建立了可傳遞的信任關係,極大程度地減少了TEE之間高頻昂貴的相互呼叫,顯著提升了共識協議的效率;
·基於Gossip協議所建立“同謀違約”模型事實上實現了節點之間的低間隔的自動選舉,這一方面極大程度地減少了參與共識的節點數,實現了類似於DPOS的高效共識效率,同時又避免了DPOS超級節點的人為的因素,增加了系統的透明與公平性;
·基於TEE驗證關係的Gossip協議以及Gossip on Gossip協議,事實上在節點之間構建了小世界網路,該網路的一個重要特性是當90%節點從網路上移除時,網路依然聯通。這意味著改網路將能夠抵擋接近90%的惡意算力攻擊;
·由於Leviatom每次選舉出的節點具備已被驗證的TEE環境,因此每個節點均支援對該平臺原生應用程式的可信執行。


2. HCGraph演算法概述


2.1 用TEE構建本地信任模型


在基於TEE的環境下,我們提出了在共識節點上構建Leviatom的架構層,這是介於作業系統底層核心與上層共識應用之間的中間層,它用於保證:1)其與上層應用程式之間能夠相互證實,2)保證在節點之間有互相證實的基礎。這樣基於Leviatom之間的互信關係便能夠推導整個網路之間的互信關係。而Leviatom網路的全網互信執行環境的理論基礎便是建立在Leviatom的第二個特性之上的。


假設Leviatom之間存在著互聯的關係以這兩個Leviatom之間的證實作為開始,那麼他們之間便有了信任或者不信任這兩種關係。而隨著時間的推移,這種信任或者不信任的關係會逐漸變淡。我們使用一個位向量(Bitarray)來表示兩個Leviatom之間的互信關係,假設兩者之間開始建立關係的時間為t_0,那麼,兩者之間的互信向量可以在t_i時間上表現為 (i%32<<32)位上的值為1如果在兩者之間是互信的,或者是0如果兩者之間是不互信的,這樣來看一個互信向量的值越大,則兩者之間互信程度越高,越小則互信程度越小。

在時間t_i兩者為信任,則更新信任向量到t_i+1的形式,而在t_i+1為不信任事則更新到t_i+2時間的樣子。


2.2 用Gossip協議族構建全網信任圖模型


我們在本節介紹HCGraph。在圖計算中,假設我們使用一個點來表示一個共識節點(Leviatom),用一條有向邊表示一個Leviatom向另一個Leviatom發生了證實的關係,那麼所有Leviatom的證實關係的組合便形成成了一個Leviatom網路,一個網路節點在某個時間會向其周邊的領接節點發起證實的操作,這樣它就能夠獲得一個本地的信任向量,在圖2中N_a0便向周邊標註為藍色的3個節點均發起了直接證實的操作,並且儲存了一個本地的證實向量。

對於全域性的網路來說,因為每個Leviatom都會儲存與其發生互動的所有鄰接節點的信任向量,透過歸併這些本地向量便可以獲得整個網路的信任關係。比如說在圖2中,標註為藍色的節點是N_a0的一階領接節點,透過收集這些節點的本地信任向量,並和自身擁有的本地信任向量進行合併,這樣就能夠獲得一個粗略的網路信任矩陣,這一步我們稱之為Gossip協議。標註為綠色的節點是N_a0的二階鄰接節點,N_a0會收集這些節點的本地信任向量,並和自身擁有的透過gossip協議建立的信任矩陣進行合併,能夠獲得一個更加完整的網路信任矩陣,這一步我們稱之為Gossip about Gossip協議。考慮到真實網路中小世界網路的特性,透過這種方法往往可以獲取到一個比較完整的全域性網路互信關係。


HCGraph利用類似於HashGraph的Gossip以及Gossip about Gossip協議(HCGraph的相關Gossip協議發表於2011年),實現高效的信任關係傳遞。基於此HCGraph進一步實現了Gossip about Reduced Gossip(即減少二階領結節點傳遞的資訊量),Targeted Gossip(僅部分二階領接節點傳遞資訊),以最佳化信任關係傳遞協議。


2.3 基於機器學習的可擴充套件HCGraph演算法


HCGraph的gossip演算法中存在著網路熱點負載過重(在社交網路中被稱為Lady Gaga問題)的問題,在未來真實系統裡百萬節點級別的分散式環境中會成為橫向擴充套件(scale out)的瓶頸。在此設計一個基於機器學習的網路連結預測的演算法,來保證Leviatom之間只計算一階鄰接節點的資訊便可以推導全網的互信資訊。並設計基於分散式的系統架構來實現此演算法。假設我們需要預測Neuron u到Neuron v之間的證實關係,而u到v並沒有直接發起過證實。我們可以收集兩個型別的圖計算資訊。


第一個型別僅僅取決於Leviatom u 和 v自身與整個網路世界之間的關係,在這裡我們僅考慮 u證實了多少Leviatom可信標記為D^+out(u),證實了多少Leviatom不可信標記為D^-out(u),v被多少領接Leviatom證實為可信標記為D^+in(v),和證實為不可信標記為D^-in(v),使用C(u,v)表示u和v的共同領接節點的數量,還有D^+out(u)+D^-out(u)和D^+in(v)+ D^-in(v)一共有7個維度的資訊被收集。


第二個型別的資訊取決於Leviatom u和v之間的互動,在網路科學中這個性質被稱作Blance and Status,其中心思想就是敵人的敵人是我的朋友而敵人的朋友是我的敵人。假設有個Leviatom w它跟v和v之間有證實關係,那麼考慮到證實關係的方向和信任關係,一共有(2 * 2)*(2 * 2)= 16種關係。我們使用一個16維陣列來表示在u和v之間每種關係的數量。

這樣看來,第一個型別的資訊包含7個維度的計數,而第二個型別的資訊則包含了16個維度的計數。結合兩個型別的資訊,或者僅使用其中一個型別的資訊(取決於需要的精確度和付出的計算力)採用機器學習的演算法(如Logistic regression, CRF, HMM或者神經網路)對部分資料進行訓練,而對另一部分資料進行互動測試。這樣便可以達到1)不進行全網互證,2)不收集二階證實資訊,避免網路熱點的可橫向擴充套件的互信網路。


因為之前提到的演算法是一個在分散式的環境中執行的,那麼Leviatom之間的證實關係是實時的儲存在Leviatom本地的資料結構中的。實現此演算法則涉及到兩個問題:1)獲取到所有Leviatom週期性的證實資訊來訓練機器學習模型;2)當需要預測u和v之間的信任關係時,如何抓取到u和v的實時證實資訊來進行預測。第一個問題是一個批處理的計算問題,而第二個問題則是在分散式系統中的實時計算問題。針對這兩個需求,和Leviatom本地化儲存,證實的需求,我們能夠抽象出三個模組:


第一個模組(實時異構共識圖)是由Leviatom本身和 Leviatom之間的通訊所組成,主要的功能便是建立起Leviatom之間的證實關係,並將這些關係儲存在本地的可持久化的資料結構中。


第二個模組(批處理機器學習)是由一個Hadoop生態搭建起來的ETL系統加上構建在其上的機器學習元件組成,其採用pull(拉)模型來從各個元件中週期性的同步出Leviatom的證實資訊,並且以分片的方式來訓練出機器學習的模型,來供後續預測的需要。


第三個模組(彈性拉伸),是一個基於Paxos的狀態註冊模組,當新的Leviatom加入或者舊的 Leviatom退出的時候,會在Paxos機上註冊自己的服務,這樣當客戶端需要進行服務的時候便能夠從Paxos機中尋找到正確的路由資訊來進行實時的資訊獲取和預測。Paxos機是整個Leviatom生態的核心基礎,其需要保證高可用,高效能和高一致性。


3.Leviatom多層異構算力體系


Leviatom算力網路中的共識節點擔負著三類職責,形成邏輯上的三層算力體系:


第一層算力節點利用TEE技術定期檢查其周圍節點的正確性。並記錄其對齊檢查的歷史資訊。TEE目前包括Intel SGX、Intel TXT、TPM、ARM Trustzone。第二層算力節點利用Gossip協議(以及Gossip about Gossip)收集並傳播周圍第一層算力節點所收集到的其它節點的正確性資訊。基於Gossip所彙總的資訊,Leviatom網路將最終歸納出全網路任一節點的“同謀違約”代價模型。即任何一個節點,想要執行非可信程式碼而不被發現,它需要讓多大規模的其它節點與它共通執行非可信程式碼,或提供錯誤的信任背書(即同謀)。第二層算力節點所確定的“同謀違約”代價很大的少數幾個節點將成為第三層節點,並獲得執行任意程式的權力。該層算力節點將最終對執行程式的結果產生共識,並爭奪最終的記賬權。為適應不同平臺的算力特性,Leviatom允許任一節點支援實現三類職責的任意組合。這既增加了共識網路結構的靈活性,又依照算力能力有效分配了共識運算量,實現了高效節能。


Prometh(普羅米修斯):去中心化的可溯源軟體生態


Prometh 可溯源軟體開發框架的基本原理。Prometh 的核心模型源自 TRIAS 團隊在可信軟體構建與運維方法的研究。


1.軟體全生命週期的安全風險


以軟體開發的瀑布模型為例,軟體生命週期大致分為以下幾個階段:


設計 該階段包括需求分析、功能定義、可行性分析以及軟體層面設計等,軟體層面設計又可細分為技術選型、框架設計、功能模組界定、資料庫結構設計、服務可用性設計等等。設計階段是專案基礎,需要多方配合,尤其對於大型軟體專案,需要產品、架構師、開發及運維協同合作,一起設計編寫專案文件。隨著需求變更或規模增長,需要隨時調整軟體的設計。因此該階段可能出現的問題是各角色協同配合以及迭代更新,哪怕是一個很小的細節調整都會影響到生命週期之後的流程,需要很強的可追溯能力。另外,複雜軟體會涉及到多個模組,每個模組應有不同的團隊負責設計,這就需要明確的許可權。


開發 該階段用來編碼實現之前的軟體設計,無論是 GIT 還是 SVN 解決了版本管理和協同開發的大部分問題,但針對一些更加具體和嚴格的條件限制,比如程式碼質量、編寫規範、開發環境等,有的需要引入第三方工具,有的則沒有很好的解決方案。比如程式碼中有一個記憶體洩漏的BUG,若在該階段沒有被發現,應用上線後輕則拖慢執行速度導致無法提供服務,重則被惡意使用者利用來發動攻擊。


編譯 對於 C++ 、Golang 這種靜態語言需要進行編譯,動態語言出於安全性也可以編譯為二進位制或位元組碼格式。該階段需要保證編譯環境及原始碼的安全可控,前者涉及到編譯工具、依賴的庫、編譯選項等,後者涉及程式碼檢測。而編譯環境往往容易被忽視,比如依賴的庫版本太低有漏洞就會導致最終的程式埋下隱患。另外,程式碼傳輸到編譯環境若涉及到外網,還要考慮是否洩露或被篡改,因此安全傳輸及完整性校驗也是需要關注的點。


分發/部署 該階段將可執行的程式下發到部署前的中心節點或待部署節點,部署後便可啟動執行程式。需要驗證的條件:部署節點地址及環境可控、可執行程式安全可靠、執行的配置和引數符合預期。此步驟是程式轉換為程序執行的最後一步,涉及到分發程式的傳輸安全性及可靠性驗證,當然,如何保證程式在一個完全可信的環境下啟動也是重點。還需考慮的就是部署到測試環境進行測試,如何保障測試環境、測試程式及測試結果這條鏈的可靠、可控,還有就是測試的全面性和準確性如何控制。


監控 程式執行後變為程序,進入維護階段,需要採集和監控程式的執行環境及程式資料,需要保證基礎運維資料(包括但不限於 cpu、mem 、io 等)、業務監控資料、執行環境資料等準確高效的採集,當然若需要採集程式也要保證其可靠執行。監控是程式的“聽診器”,維護階段的重點是持續穩定的產出程式和程式執行環境的監控指標。此外,實時性和防洩露也是要保證的,涉及到故障的及時發現處理和業務資料安全。


分析 該階段對採集到的資料進行高效分析處理,需要保證進行分析功能的程式穩定可靠、分析的資料安全可信、異常處理規則合規,可以第一時間發現程式或程式環境問題並做出保障服務穩定性與合規執行的進一步操作。監控的特點是具有海量資料,保證資料可信及高效處理是分析階段的關鍵。


響應 響應可以理解為屬於測試和服務範疇,測試階段需要根據設計階段的目標,對程式進行功能和壓力測試,而到了服務階段則需要結合監控和分析階段進行判斷。我們可以定義預期的響應時間以及資料格式,不同階段都可以依據返回狀態進行判斷是否符合預期。還有一點是防範惡意攻擊,比如SQL隱碼攻擊,程式如何響應這種請求是需要計劃和考慮的。


2. 用可信溯源建立對軟體的安全感


我們這裡以有機食品為例,來闡釋如何用可信溯源構建消費者對產品的信任感。例如開辦餐廳,餐廳管理者並不能直接簡單快捷的確定採購食品的有機性、保鮮情況。客戶一般的確定方式主要是靠品牌,但是問題來了,現實中就算是茅臺酒的總代,它出貨的時候都是正品,但是在運輸的途中還是可能被掉包換掉。所以客戶在買到任何有機食品的時候,實際上沒有辦法透過客觀公正的技術手段確認這個產品是否滿足要求。


但是如果透過技術達到無法篡改的屬性,將整個有機蔬菜的生產到運輸繳費的環節資訊都放在這個無法篡改的技術上面,那麼任何一個客戶都會對整個食品的全生命週期有了透明的判斷,客戶就能對購買食品的品質有提前的預估。同時,對於整個生產環節的參與方都提供了不可抵賴的追責依據,讓每個生產環節想要犯錯或者作假的成本都很高。這樣客戶在購買的時候就會非常有安全感,消費的效率和生產的成本流程控制都會提高很多。


Prometh 框架即是利用溯源的方式來構建使用者對軟體的信任感。讓每個使用者在使用軟體前就能提前進行預估,對軟體的所有生命週期,包括產生、開發、測試都非常的瞭解,就能實現對軟體執行過程中犯錯或加入後門等惡意行為進行高強度的追責和防禦。具體技術路徑基於當前業界已經成熟的開發 (Dev)運維(Ops)自動化上鍊,配合安全(Sec)與 AI 來實現軟體完整構建、分發、執行流程在區塊鏈上的可信溯源,與自動化安全驗證。


3.Prometh可溯源軟體開發框架


Prometh 是一個去中心化的可信軟體溯源網路框架。其中,去中心化和可信性是基於 Leviatom 網路來實現的。區別於其它任何軟體框架或開源平臺,Prometh 致力建設一個全功能、高可信度、易接入的軟體全生命週期生態系統。Prometh 特性如下:


覆蓋全生命週期。Prometh 結合 Leviatom 覆蓋軟體全生命週期建設,從設計、開發、測試,直到執行、監控、銷燬。 Leviatom 負責程式的可信執行,Prometh負責程式的可信狀態管理,二者結合做到了對軟體的無死角管理。


通用軟體的可信溯源。Prometh 實現了軟體全生命週期的不可篡改的完整記錄,以及迴圈迭代實施的安全分析,構建了使用者對軟體安全性的信心。同時,TRIAS 透過整合具備軟體安全性分析激勵機制的經濟模型,構建通用軟體的安全可信的軟體供應鏈體系,實現了軟體可溯源、漏洞的高效發現與修復的良性生態系統。


對於複雜的智慧合約程式碼,用形式化方法驗證其安全性將變得極為複雜。用形式化驗證分析所有原生應用程式原始碼的安全性,更是不切實際。Prometh 提出基於軟體生命週期可信溯源的驗證框架,在安全性和複雜度之間尋找平衡點。在未來的版本中,Prometh 將用形式化驗證方法來驗證一套用以構建軟體的最小軟體工具集,再用該工具集構造更大的工具集,依次迭代,為可溯源軟體工具鏈構建由形式化驗證的軟體可信根。

生態體系建設。Prometh 的使用者可以是個人開發者、測試人員、使用者、商業公司甚至是駭客。任何開發者可以釋出自己的應用到 Prometh 上,這個過程中系統會自動分析應用的安全性並給出初期評分,這是基於最小的形式化驗證和溯源模型實現。而後,人工校驗階段即測試或者駭客可以基於自己的專業發現應用問題並提交,這些問題經過驗證會附在應用的標籤上,開發者可以去修復這些問題。這期間評分是動態變更的,使用者可以基於評分和描述去評估應用是否可用。這其中還引入了激勵機制,這在後面的章節會提到。


框架接入簡單。應用的開發者只需提供一些基礎資訊就可以很容易的將應用釋出到Prometh上,基於高階正規化介面,不會限制應用的語言和框架。基於形式化驗證+軟體溯源+生態人工校驗機制,實現幾萬行原始碼的大應用接入也十分安全、高效。


開發應用簡單且可訂閱的安全性。Prometh 不僅支援任何語言開發的應用,而且還支援開發者引用已經在 Prometh 上部署的應用,這樣可以大大提高開發效率和安全性。因為不止程式碼和功能可以複用,即使被發現安全問題,任何使用基礎應用的上層應用都會被描述為有同樣的問題,並且支援開發者訂閱從而得到通知,實現版本的更新或問題的修復。


可以看到可溯源軟體架構在執行模式上分為四層模型,從下往上依次是:


DevSecOps 可信區塊鏈層。軟體生命週期內產生的資料資訊和依賴的工具都儲存在該鏈上,用分散式儲存和高效共識為軟體溯源提供底層支撐。軟體生命週期內產生的資料資訊包括使用者資訊、分析工具產生的資料資訊、產生的結果資料等,依賴的工具主要是兩類,一類是功能性工具,比如編譯工具,另一類是安全分析工具,比如靜態分析工具。這兩類工具都將經過形式化驗證,保證工具集的安全性。


功能和安全分析層。指在DevSecOps可信區塊鏈層儲存的,透過了形式化驗證的最小軟體工具集。這些工具集的功能就是執行軟體流程層的行為以及驗證分析軟體生命週期內各階段的安全性。對於應用開發者來說,這些工具集是透明的,當檢測到安全風險時,將中止軟體生命週期並通知應用開發者原因。這些工具集內的工具分別獨立執行且經過形式化驗證,而後透過鏈上的流控形成一個整體,產生的資料會儲存到區塊鏈層,用來防止篡改保證可信度。

軟體狀態層。主要對軟體生命週期內各狀態追蹤、記錄及管理,這些軟體狀態是獨立的、靜態的,其中每個狀態產生的資訊資料都會記錄到 DevSecOps 可信區塊鏈層。因此任何一個軟體狀態都可以被溯源。


軟體流程層。該層管理軟體生命週期行為,相對於軟體狀態層的靜態,流程層是動態的,只有觸發流程行為才能改變軟體靜態狀態。可以理解為行為接受一個輸入即軟體的上一個狀態,產生一個輸出即軟體的下一個狀態,當產生錯誤時,下一個狀態是中止。另外,行為和流程是可以被配置定義的鏈上資料。可以看到,只有提交程式碼在非可信環境下執行,其它流程都在鏈上的可信環境內執行,確保執行流程的環境可信。


以圖5為例的流程分析如下。開發者將軟體原始碼透過介面上鍊從而啟動整個DevSecOps流程(圖上步驟1),開發者的提交環境是不可信的,這不會最終影響應用的可信度,因為在其它流程內保證環境、資料和工具可信。流程啟動後會透過鏈上可信的靜態分析工具對提交的程式碼進行分析(步驟2),而後儲存程式碼、使用者資訊及分析資料到鏈上(步驟3),透過後根據定義的流程觸發編譯行為(步驟4),依據可信的編譯工具和環境對上一步的原始碼編譯(步驟5)並記錄編譯資料(步驟6),成功後生成二進位制(步驟7),而後對二進位制進行安全分析(步驟8)及記錄結果(步驟9)。接下去觸發打包行為(步驟10),基於可信打包工具和環境對編譯結果打包(步驟11),記錄打包資料到鏈上(步驟12),成功後生成軟體包(步驟13),而後繼續對軟體包進行安全分析(步驟14)並記錄結果(步驟15)。軟體包安全分析透過後觸發部署行為(步驟16),使用可信部署工具執行(步驟17)及記錄部署資料(步驟18),成功後生成可執行檔案(步驟19),然後對可執行檔案進行安全分析(步驟20)及記錄資料(步驟21),成功後,比如部署到了N臺可信節點內執行,會觸發監控行為(步驟22),監控會依據可信監控工具對程序監控(步驟24)並記錄監控資料到鏈上(步驟25)。


MagCarta(大憲章):全平臺程式設計的智慧合約模型


本章將簡要介紹 MagCarta 合約的核心設計理念。MagCarta 的完整語法設計、虛擬機器實現、以及可程式設計共識的合約範例。


1. MagCarta資料結構


MagCarta 是 TRIAS 平臺的智慧合約,它實現了 Prometh 應用程式在 Leviatom 網路上的靈活排程,MagCarta 透過為 Leviatom 節點與 Prometh 程式開發者支付酬勞費用以及保險費用,實現對算力、程式、資料貢獻者的激勵與安全保障。MagCarta 採用類似 JSON 的語法描述資料結構:

{Key: Value}


2. MagCarta合約語法


MagCarta 將採用類似 EOS 的智慧合約語法,以實現圖靈完備,並最大程度相容現有 dapp 合約。在此基礎上,MagCarta 新增了 consensus語句,以實現對 Prometh應用程式在 Leviatom 算力網路上的排程:


consensus(COMPUTE_SET, PROGRAM_SET, DATA_SET, STRATEGY_SET)


該語句實現了指定 PRORAM_SET內的程式,在 COMPUTE_SET 內的算力節點上,以 DATA_SET 內的資料為輸入的 MagCarta Consensus 。STRATEGY_SET裡包括了用於指定付款策略的 PRICE_STRATEGY,以及制定了 COMPUTE,PROGRAME ,與 DATA 之間的對映關係的 SCHEDULE_STRATEGY。根據不同的策略組合,MagCarta可支援豐富高階的程式設計正規化。


在 STRATEGY_SET中,最重要的 STRATEGY 是 CONSENSUS_STRATEGY,它指定了不同 PROGRAM如何達成共識的。若共識成立,consensus返回 PROGRAM 程式所達成的共識的結果,通常是程式任意一份執行副本的正確返回值。若共識失敗,consensus 返回錯誤指令。


 Token經濟體系

TRIAS用三方面的Token激勵機制,實現了對Leviatom網路的可信算力節點、Prometh框架的安全驗證節點、以及MagCarta合約的開發者的激勵。

Leviatiom社羣 在Leviatom網路中,第一層算力節點透過不斷驗證周圍節點(一到三層)的TEE可信狀態,挖掘出第三層算力節點,並用持續高頻的重複驗證,確保目標節點始終處於可信的狀態。第一層算力節點是構成Leviatom網路的基礎,尤其在網路初建期,第一層節點的規模與活躍度將決定網路的健壯性。因此,第一層節點將有可能透過此類“安全驗證即挖礦”挖掘出新的Token。第二層算力節點實現了對全網算力可信性的彙總、傳遞、和路由。它們也將會因為此貢獻獲得Token獎勵。第三層節點執行MagCarta分發的應用程式,若結果正確,將有機會獲得MagCarta Consensus所定義的獎勵Token。由於第三層節點的執行權是由第一、第二層節點透過貢獻運算、儲存、頻寬獲得,第三層節點將把所得的部分Token用於主動獎勵參與挖礦或傳播的部分節點。

Prometh社羣 Prometh框架為了實現應用程式的可溯源構建與自動化安全分析,也需要號召社羣的力量,透過貢獻算力、安全驗證程式等,為程式的安全性背書。因此在Prometh體系構建的初期,也需要利用挖礦機制,實現對志願者的激勵。具體而言,即允許開發者或安全分析人員在對軟體原始碼(或中間態的二進位制檔案)實施安全驗證的自動化分析、測試程式時,能有機會獲得新生成的Token。同時,由於Prometh無法保障複雜的原生應用絕無漏洞,但其強審計及可信溯源體系可協助潛在漏洞可在有限時間內被髮掘且實現追責。因此程式的執行者(即Leviatom第三層算力節點)可以將一部分收入化為保險,存入保險合約。保險合約可用來獎勵在Prometh生態中發現某個程式漏洞的安全分析程式,並可用於賠償因為執行了有潛在漏洞的Prometh程式而遭受損失的Leviatom節點。因此,保險模型主要面向資料與算力提供方,該方可在獲得收益的同時,可選擇將部分收益轉為保險,以彌補未被及時發現的漏洞對本地資料或算力平臺帶來的安全風險。保險合約中的Token同時可以用於作為漏洞發現者的獎勵,進而構造出一套良性迴圈的網路空間安全生態。

MagCarta社羣 MagCarta合約在其Consensus呼叫中透過制定PRICE_STRATEGY實現了對Leviatom算力與Prometh程式的付費。此交易方式將成為挖礦結束後的主要Token流轉驅動力。

關於更多Trias資訊:

更多區塊鏈專案:http://www.qukuaiwang.com.cn/news/xiangmu
風險提示:區塊鏈投資具有極大的風險,專案披露可能不完整或有欺騙。請在嘗試投資前確定自己承受以上風險的能力。區塊網只做專案介紹,專案真假和價值並未做任何稽覈。

免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读

;