13、分布式执行的签名方案

分布式执行的签名方案

1. 验证过程与命题

在分布式执行中，哈希值 H(f) 会返回给负责执行函数 F 的代理 P，该代理可检测函数 f 执行期间可能出现的流错误。整个验证过程是完全分布式的，能够到达“叶子”函数，其哈希值仅限于唯一的原型。

有以下两个重要命题：
- 命题 1 ：一旦程序 P 执行结束，验证过程会在有限时间内结束。
- 证明 ：若程序 P 结束，代表其执行的宏数据流 G 由有限数量的任务组成。因此，有限数量的数据流图会被展开，且每个图都与单个签名自动机的验证相关。每个自动机的状态数量有限，检查签名的时间与关键路径上的状态数量呈线性关系。所以，程序 P 的验证过程会在有限时间内结束。
- 命题 2 ：设 {At1, …, Atn} 表示从程序 P 的源代码分析得出的自动机签名集合。设 T 是程序 P 在 M 上执行的跟踪，由 t1, …, tn 个任务组成。若存在 i ∈[1, n]，使得任务 Tti 的自动机签名 Ati 的验证过程以错误状态结束，则 T 是有故障的。
- 证明 ：Ati 被构造为反映 ti 执行过程中从开始到结束的所有可能流。到达错误状态表明存在异常转移值，因此 Tti 不属于 Ati，T 有故障。这意味着程序 P 执行期间出现的任何与控制流图（CFG）不对应的流错误都能被验证过程检测到。

2. 执行引擎与签名验证

为使签名方案有效，执行代理需要经过认证。可使用 TCRR 协议来验证机器上运行的所有代码（特别是引导加载程序、操作系统和