主权执行代理：在智能代理控制平面中强制执行证书绑定权限

主权执行代理：在智能代理控制平面中强制执行证书绑定权限

论文来源: https://arxiv.org/html/2606.20520v1

---

摘要

本文提出主权执行代理（Sovereign Execution Broker, SEB），一种用于在智能代理控制系统中强制执行**证书绑定权限（Certificate-Bound Authority）**的架构。SEB 通过动态证书验证、Nonce 保留、幂等性与崩溃恢复机制，实现代理在零停留权限（Zero Standing Privilege）下执行操作。

核心贡献包括：

1. Broker Execution Model：基于证书的执行接口与验证管道
2. Scoped Execution Identity：作用域执行身份模型，避免凭证泄露
3. Drift & Revocation：漂移谓词与基于周期的撤销机制，解决 TOCTOU 问题
4. Formal Verification：证书验证谓词的形式化验证框架
5. Experimental Evaluation：包含微基准测试、端到端延迟、撤销传播延迟等评估

---

1. 背景与动机

1.1 IAM 的不足

传统身份与访问管理（IAM）在智能代理场景中存在**凭证长期存在（Standing Credentials）**问题，导致权限提升风险。

2.2 为何需要 Broker

智能代理控制平面需要一个独立的 Broker 组件来执行权限验证、证书绑定与决策记录。

2.3 运行示例

（略，详见原文）

---

2. 系统与威胁模型

2.1 系统组件

• Broker: 执行权限验证与证书管理
• Certificate Parser: 解析与验证执行证书
• Nonce Reservation: Nonce 保留与防重放机制
• Decision & Outcome Ledger: 决策与结果账本
• Policy & Revocation Cache: 策略与撤销缓存
• Scoped Identity Adapter: 作用域执行身份适配器
• Cloud Proxy: 云代理与准入 Webhook

2.2 信任假设

• 可信组件: Broker、Certificate Parser、Nonce Reservation
• 部署假设: Broker 运行在受信任的计算环境中
• 不可信组件: Cloud Provider、外部 API、网络层

2.3 威胁模型

• 证书伪造
• 证书重放
• 证书过期或撤销
• 请求-合同不匹配
• 不安全漂移（Unsafe Drift）
• 所需作用域无法强制执行

---

3. Broker 执行模型

3.1 Broker 执行接口

Broker 通过以下接口执行：

Broker.verify(cert, nonce, context) -> decision

3.2 验证管道

验证流程包括：

1. 证书解析与签名验证
2. Nonce 检查（防重放）
3. 有效期与撤销状态验证
4. 漂移谓词评估
5. 作用域约束匹配

3.3 形式化证书验证谓词

Verify(cert, nonce) ≡ signature_valid ∧ non

---

4. 作用域执行身份

4.1 凭证长期存在的问题

传统 IAM 依赖长期存在的凭证（如 AWS Access Keys、Kubernetes Service Account Tokens），导致权限持久化。

4.2 防绕过机制

• AWS 部署模式：使用短期证书与角色切换
• Kubernetes 模式：使用 Admission Webhook 与证书绑定

4.3 SEB 身份模型

SEB 身份模型基于：

• 作用域维度：服务、操作、资源
• 时间维度：有效期、有效期、撤销周期
• 环境维度：IP 范围、运行环境

4.4 作用域维度

• Service Scope: 允许操作的服务范围
• Operation Scope: 允许执行的操作类型
• Resource Scope: 允许访问的资源范围
• Time Scope: 有效时间窗口

4.5 安全属性

• 证书绑定安全: 证书与执行环境绑定
• 防重放安全: Nonce 机制防止重放攻击
• 撤销安全: 及时撤销已过期或泄露的证书
• 漂移安全: 检测并处理环境漂移

---

5. 漂移、撤销与 TOCTOU 保护

5.1 TOCTOU 问题

在智能代理系统中，Time-of-Check-to-Time-of-Use (TOCTOU) 问题表现为：检查时有效的证书在使用时可能已过期或撤销。

5.2 漂移谓词

漂移谓词（Drift Predicate）用于检测执行时的环境与证书颁发时的环境是否一致：

DriftPredicate(cert, current_state) → boolean

5.3 基于周期的撤销

采用基于周期（Epoch-Based）的撤销机制，确保证书在一定周期内有效，过期后自动撤销。

5.4 关闭语义

采用 Fail-Closed 语义：当证书无效、过期或撤销时，Broker 默认拒绝执行。

---

6. 系统实现

6.1 代码结构

• Certificate Parser: 证书解析与验证模块
• Nonce Reservation: Nonce 保留与防重放模块
• Decision & Outcome Ledger: 决策与结果账本模块
• Policy & Revocation Cache: 策略与撤销缓存模块
• Scoped Identity Adapter: 作用域执行身份适配器
• Cloud Proxy: 云代理与准入 Webhook 模块
• Artifact Availability: artifacts 可用性说明

6.2 证书解析与验证

def parse_and_verify_certificate(cert: str) -> VerificationResult:
    # 解析证书
    # 验证签名
    # 检查有效期
    # 检查撤销状态
    pass

6.3 Nonce 保留与防重放

def reserve_nonce() -> str:
    # 生成唯一 Nonce
    # 存储到 Redis
    pass

6.4 决策与结果账本

class DecisionRecord:
    certificate: str
    nonce: str
    decision: str  # allow/deny
    timestamp: str
    decision_id: str

class OutcomeRecord:
    certificate: str
    nonce: str
    outcome: str
    decision_id: str
    outcome_id: str

6.5 策略与撤销缓存

• 使用 Redis 存储策略与撤销缓存
• 定期从云提供商同步撤销状态

---

7. 系统评估

7.1 实验设置

• 方法论: 使用模拟环境进行基准测试
• 边界: 测试范围限定在 Broker 核心功能
• 统计方法: 进行多次试验以获取稳定结果

7.2 验证微基准测试（实验 1）

• 验证时间: <100ms（95 百分位）
• 吞吐量: 每秒处理 500+ 验证请求

7.3 端到端延迟与基线（实验 2）

• 端到端延迟: <200ms（平均）
• 基线: 与 IAM 直接调用相比，延迟增加 <50ms

7.4 延迟分解分析

• 证书解析: ~30ms
• 签名验证: ~20ms
• Nonce 检查: ~10ms
• 撤销检查: ~15ms
• 漂移检查: ~5ms

7.5 安全性与故障模式验证（实验 3 & 5）

• 证书伪造: 检测率 100%
• 证书重放: 检测率 100%
• 证书过期: 检测率 100%
• 漂移检测: 检测率 >99%

7.6 撤销传播延迟（实验 3）

• 撤销传播时间: <5s（云提供商同步延迟）

7.7 活体漂移敏感性（实验 4）

• 漂移容忍度: ±5% 的配置变化
• 漂移检测精度: >95%

7.8 性能分析（延迟与吞吐量）

• 高吞吐场景: 支持 1000+ 代理并发执行
• 低延迟场景: 满足实时执行需求

7.9 工作负载适用性讨论

• 适用: 智能代理控制平面、微服务架构、Serverless 环境
• 不适用: 离线场景、高延迟网络环境

---

8. 安全性分析

8.1 安全属性

• 证书绑定安全: 证书与执行环境绑定
• 防重放安全: Nonce 机制确保每次执行唯一
• 撤销安全: 及时撤销已过期或泄露的证书
• 漂移安全: 检测并处理环境漂移

8.2 定理 1 假设

• Broker 可信
• 证书签名算法安全（如 ECDSA P-256）
• Nonce 空间足够大
• 撤销缓存一致

8.3 安全证明概要（定理 1：证书绑定突变）

• 情况 1: Broker 绕过 → 证书签名验证失败
• 情况 2: 无效证书或重放 → Nonce 检查失败
• 情况 3: 证书过期或撤销 → 有效期与撤销状态检查失败
• 情况 4: 请求-合同不匹配或不安全漂移 → 漂移谓词失败
• 情况 5: 所需作用域无法强制执行 → 作用域约束检查失败

---

9. 讨论与局限性

9.1 人工介入（Human-in-the-Loop）

当证书验证失败时，可触发人工介入流程。

9.2 性能扩展与共识

在大规模分布式环境中，Broker 间的一致性需要共识机制。

9.3 局限性

• 云提供商信任: 依赖云提供商的可靠性
• 冷启动延迟: Broker 冷启动可能需要额外时间
• 目标 API 限制: 某些 API 不支持证书绑定
• Broker 可用性: Broker 是高可用依赖项
• 操作复杂性: 证书管理增加了操作复杂度
• 撤销一致性与负载: 频繁撤销增加缓存压力
• 状态观察陈旧: 状态观察可能存在延迟
• 语义安全性: 语义安全性外部化
• 跨云部署: 跨云部署需要额外配置
• 多账户部署: 多账户环境需要额外管理

---

10. 相关工作

10.1 引用监控器与完全中介

• 引用监控器（Reference Monitor）理论
• 完全中介（Complete Mediation）原则

10.2 特权管理与零停留权限

• 零停留权限（Zero Standing Privilege）
• 动态凭证轮换

10.3 云控制平面授权与工作负载身份

• AWS IAM 角色
• Kubernetes Service Accounts

10.4 策略即代码与准入控制

• OPA/Rego 策略
• Kubernetes Admission Webhooks

10.5 安全关键系统运行时执行

• 运行时策略执行
• 动态权限评估

10.6 供应链证明与溯源

• 证书签名链
• 凭证溯源

---

11. 结论

本文提出的**主权执行代理（SEB）**架构通过在智能代理控制平面中强制执行证书绑定权限，有效解决了 IAM 在代理场景中的不足。通过形式化验证、漂移检测、撤销机制与实验评估，证明了 SEB 在安全性、性能与可用性方面的优势。

---

资源下载链接

• 论文: https://arxiv.org/abs/2606.20520
• HTML 版本: https://arxiv.org/html/2606.20520v1
• PDF 版本: https://arxiv.org/pdf/2606.20520.pdf

---

附录：Docker 漏洞复现环境

docker ps 输出

# 启动前的容器状态
CONTAINER ID   IMAGE          COMMAND        CREATED   STATUS       PORTS   NAMES
abc123def      broker:latest   "/broker"      2天前     Up 2天前     8080/tcp  broker

实验脚本

# 验证测试
./test_verify.sh --cert cert.pem --nonce nonce123

# 撤销测试
./test_revocation.sh --broker broker.example.com --cert cert.pem

# 漂移测试
./test_drift.sh --broker broker.example.com --config drift_config.yaml