任何新事物在被人认知过程总会产生无数个疑问,正如当年福特发明汽车时,马车依然大行其道,多少人质疑过汽车的前途,但随着实践的发展,这些问题如片雪入红炉,终不见了踪影。有问题不可怕,可怕的是找不到解决问题的思路。亦来云是一个庞大的系统工程,有太多问题需要理清。
七十六、互联网安全问题多,如何实现高级别的安全?
如果我们简单地把计算机划分为几个大的技术栈,我们就把整个计算机系统笼统粗略的分成 CPU—>系统硬件—>系统软件—>应用软件。这四个层从底向上一层一层堆叠起来就被成为技术栈。技术栈从上往下看,越往上越和用户接近,越往下越和物理层基础层接近。上面一层一定是被下面一层所控制和管理,上面一层一定是对下面一层的简化和抽象。大多数的安全软件也都是在操作系统或者应用层运行的,他们对于同级别的其他系统级软件的控制力其实很有限。要想更好的控制住这个级别的黑客,无论是黑客还是安全专家都在努力往下再走一层(系统硬件)。所以,可信计算最初期发展方向为TPM硬件芯片。随着可信计算的发展,可信计算的研究方向已经由传统硬件芯片模式转向了可信执行环境(TEE, Trusted Execution Environment)这种更容易被广泛应用的模式,基于Intel芯片的SGX以及基于ARM开源框架的TrustZone是可信执行环境中最被广泛认知且应用的。
总之,权限越高就说明一个项目平台底层做的越好,也就是安全度会越高。我们现在看到的大部分安全问题都是应用层面的问题,找漏洞、补漏洞,但不能根本上解决安全问题,而应该从系统的架构甚至是芯片上去发现和解决安全问题。
七十七、亦来云打造可信计算环境的思路是从系统架构上解决的吗?
亦来云现有的架构是通过”计算与网络分离,计算与通讯分离”的思维,Runtime提供了一个沙箱机制,所有DApps都在其中运行。最重要的是,它提供沙箱隔离、网络隔离和数字权限管理。从这里开始,Elastos DApps通过Elastos Carrier与外界进行交互,Elastos Carrier本身就是一个端到端加密的对等网络,没有中央服务器,因此创建了一个完全安全的生态系统的DApp运行时环境。
关键不完全在沙箱,而是禁止沙箱里的App/Service 发送任何网络包——Elastos Runtime不提供Socket接口或任何网络端口,而采用meta data driven remoting(元数据驱动的远程处理) ,即Runtime 自动生成RPC(Remote Procedure Call,—远程过程调用,它是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议),完成沙箱间的连接。
云盘为基础的云计算机(比如微信),网络演变成内部总线,不一定遵循任何标准协议,外部发起攻击难啊!就像PC的E:盘是什么协议?USB还是IDE?应用不可知,也就不可攻。
“计算不上网,上网不计算”是陈榕老师提出的观点,是将互联网纳入操作系统的统一管理之下,在整个互联网架构的层面打造可信计算环境。
七十八、在亦来云基础架构上,可信计算还可以如何发展?
亦来云系统架构内有两方面值得注意。第一个是所有网络收发都由操作系统控制,应用跟服务变成了收发包;第二个是改变了原来系统的API的数量是不固定的状况,亦来云系统能够固定系统调用的API。有了这两个条件,那负责安全的人就可以在这个基础上有所发挥。
既然说是有限的API,那就是固定的Number,固定的DLL数量,就能运行在虚拟机里,亦来云操作系统是虚拟机操作系统,在这种情况下,正好将两个方面合在一起。
如果都是操作系统在收发包,那么我们能不能在路由器上加一个硬件芯片,然后只有有限模块,有限模块说白了就是能把系统做成铁板一块,没有驱动,不允许第三方再动了。亦来云系统能够做出所有的收发,如果能统一地来做这种模式的控制,就能对系统的安全提供新的模式,比如说我们直接在路由器上做个小改动,这个攻击就更难了,能防患于未然。
亦来云是一个完全靠社群驱动的项目,那么社群自然会有很多的安全白帽子、开发人员在上边开发。这时候亦来云是非常希望有相应的白帽子来帮系统,一起保驾护航并打造出这样的互联网。
请记住:成功之前有千万个疑问,成功之后有千万个故事,当然,失败之后会有千万个笑柄而已!
来源:ELAruolan&丁宁