GenosDB 如何解决分布式信任悖论:P2P 安全指南
Source: Dev.to
介绍
你是否曾想过,一个没有中心服务器、没有单一真相来源的系统,如何能够安全?这听起来像是一个悖论。在一个所有节点平等、任何人都可以广播消息的网络中,你怎么知道该相信什么?
这并非理论谜题;它是我们在为 GenosDB 构建安全层时所解决的核心挑战。解决方案是一套基于三大核心原则的稳健、分层架构:
- 加密身份: 你的身份可以用数学方式证明。
- 可验证的操作: 你所做的一切都有签名,且无法伪造。
- 共享宪章: 规则嵌入软件本身,对所有人都相同。
让我们跟随我们的英雄与反派——全能的 Super Admin、合法的 Manager,以及恶意用户 Eve,一起深入这个世界。
概述
基础:身份与可验证的证明
在 GenosDB 中,每个用户都通过唯一的以太坊地址进行标识。该身份不仅仅是用户名;它由用户自行掌控的私钥支撑,并通过 WebAuthn(生物识别、硬件密钥)或助记词短语进行保护。
用户的每一次操作都使用其私钥进行加密签名。该签名能够证明:
- 真实性: 信息确实来自声称的发送者。
- 完整性: 信息在传输过程中未被篡改。
大门守卫:安全管理器(SM)
每个节点都有自己的不可腐败的安全卫士:安全管理器(Security Manager,SM),通过 { sm: true } 启用。它的职责是检查每一个传入的操作,并通过严格的检查清单进行处理。默认情况下,它不信任任何人——只信任数学证明。
它的规则手册是 基于角色的访问控制(Role‑Based Access Control,RBAC) 系统,定义了哪些角色(superadmin、manager、guest)被允许执行哪些操作。
攻击剖析:Eve 试图提升自己
Eve 想要 manager 权限。她目前是 guest。
Eve 的方案 A:伪造提升
db.sm.assignRole('eve_eth_address', 'manager')Eve 对调用进行签名并广播。
Alice 的 SM 响应
| 检查 | 结果 |
|---|---|
| 签名检查 | 通过 – 消息确实来自 Eve。 |
| 身份检查 | Eve 是 guest。 |
| 权限检查 | guest 能执行 assignRole 吗?否。 |
| 裁决 | 操作被拒绝 |
Eve 的方案 B:被篡改的客户端
Eve 修改了本地 RBAC 规则,允许 guest 分配角色。她被篡改的 SM 允许了此操作。
Alice 的 SM 响应: 它查询了自己未被篡改的规则手册。guest 不能分配角色。操作被拒绝。
安全教训: 权限不是声称的,而是可验证地被授予并由集体强制执行的。
超级管理员悖论:建立信任链
superadmin 的权限硬编码在软件的初始配置中:
{
"sm": {
"superAdmins": ["0x1..."]
}
}他们是所有信任的根源。然而,我们遇到一个问题:当 superadmin 试图分配角色时,一些节点拒绝了,因为它们在数据库中找不到该超级管理员的角色。
解决方案:双层真相来源
- 宪法检查(静态真相) – SM 首先检查发送者是否在硬编码的
superAdmins列表中。如果是,权限立即通过。 - 公共记录检查(动态真相) – 如果不是超级管理员,SM 会在数据库中检查已分配的角色——这些角色是由具有宪法授权的人可验证地授予的。
现实世界的介入:网络延迟与最终一致性
如果 superadmin 将 Bob 提升为 manager,而 Bob 随即写入数据,会怎样?一个慢速节点可能在提升消息到达之前就收到 Bob 的写入。
T1: Super Admin promotes Bob.
T2: Bob writes data.
T3: Slow peer Charlie receives Bob’s write first → REJECTS (Bob is still a guest).
T4: Promotion arrives at Charlie → Bob updated to manager.
T5: Bob’s write is retried → ACCEPTED.这是一种 eventual consistency(最终一致性)的安全优先思路。系统更重视可验证的证明,而非即时可用性。
我们在 GenosDB 的承诺
构建真正安全的分布式系统是一段不断测试和改进的旅程。通过迎接去中心化环境的独特挑战,我们构建了一个经得起验证的可信系统。
分布式安全的核心:它是如何真正运作的
我们用去中心化的验证取代中心化的信任:
- 宪法:
superAdmins列表 — 不可更改、预先约定的基础。 - 公共记录: 数据库本身 — 真相作为可验证的历史事实。
- 执行者: 每个节点的 SM — 一个主权法官,依据自身的规则副本进行验证。
GenosDB 的安全性是一种涌现属性。它之所以安全,并不是因为我们信任某个单一实体,而恰恰是因为我们不信任——我们依赖密码学证明和集体执行。
我们不需要这样做。 证明就在数据中,规则写在代码里,每个节点都是警惕的守护者。
官方文档 GenosDB (GDB)
GenosDB 是一个分布式、模块化、点对点的图数据库,采用 零信任安全模型,由 Esteban Fuster Pozzi (estebanrfp) 创建。