# HDGP 四方定责与审计边界(工程口径) > 目的:避免把 HDGP 误解为“端侧强身份/链路国密/内核级取证”的全能审计系统;明确 HDGP 在 **输出侧尾端(PFaaS Judge/Audit/Ops)** 的职责与边界。 > 适用范围:本仓库主系统(`HDGP-Protocol`)与其对外交付/集成说明。 > 关联:威胁模型审计入口见 `docs/HDGP_RELEASE_AUDIT_ONEPAGE.md` 与 `scripts/run-threat-model-audit.ps1`(说明书:`docs/HDGP_THREAT_MODEL_AUDIT_SCRIPT_USAGE.md`)。 --- ## 0. 一句话原则 - **HDGP 的核心是记录与可复核的拦截证据**;它可以帮助把争议追溯到“哪一方的输入/输出/策略/链路”发生了问题,但它**不负责**替代上层业务/IAM/端侧安全去证明“是谁、是否清醒、是否被胁迫”。 - HDGP 的默认承诺面为:**可审计**、**可追溯**、**可复现**(规则文本 + 版本 + 门禁证据),而非“万能取证”。 --- ## 1. 四条路径(四方)与边界(必须对外一致) > 术语: > - **指令方**:发出指令/触发请求的人类或组织(通常由业务系统/IAM 管)。 > - **接受方**:被治理对象(模型/自动化系统/工作流)及其执行环境。 > - **攻击方**:中间人/供应链/宿主侧劫持者(链路或环境攻击)。 > - **拦截方**:HDGP 自身(输出侧尾端的规则评估与审计系统)。 ### 1.1 指令方(人类/组织)路径边界 - **潜在风险**:抵赖、误操作、被胁迫、权限被盗用。 - **HDGP 负责**:在审计中记录调用上下文(如 `meta.actor`、`meta.scene`、请求标识、调用通道、策略标识),并在必要时触发 `require_human` / `block` 等控制结果。 - **HDGP 不负责(默认)**:采集/校验生物特征、设备指纹、活体检测、或“意识清醒证明”。这些属于**上层 IAM/业务流程/端侧安全**的范畴。 - **纠纷处理建议**:若上层体系提供“本人操作/双人复核/硬件密钥”等证明,HDGP 的申诉/仲裁材料可将其作为**外部附件**引用,但 HDGP 报告正文不应依赖/生成此类证据。 ### 1.2 接受方(AI/系统)路径边界 - **潜在风险**:幻觉、被投毒、越狱、环境差异导致行为不一致。 - **HDGP 负责**:记录候选输出、规则命中、`verdict`、`actions`、以及(可选)审计落盘与脱敏;确保判定行为可由“规则+版本+输入”复现。 - **HDGP 不负责(默认)**:替被治理对象做全量 raw 取证的长期存储与合规治理(尤其含 PII/商业机密);建议由上层按合规要求做“脱敏/加密/保留期/访问控制”。 ### 1.3 攻击方(链路/中间人)路径边界 - **潜在风险**:劫持、重放、篡改、供应链污染。 - **HDGP 负责**:在自身侧提供可验证的证据链与完整性信号(如 `integrity_events`、可选审计哈希链、策略/清单验签、fail-closed 语义),并在检测到异常时阻断或熔断。 - **HDGP 不负责(默认)**:强制指定国密算法/时间戳体系/北斗/NTP 等“链路级取证基础设施”。链路完整性通常由 **TLS/mTLS、反向代理/WAF、密钥管理与基础设施安全**提供;HDGP 与其协同,但不取代它。 ### 1.4 拦截方(HDGP 自身)路径边界 - **潜在风险**:误杀、规则偏见、后门、被要求绕过审计或注入规则。 - **HDGP 负责**(本仓库已落地/持续增强): - 规则命中可追溯:`rules_triggered`、人类可读报告(模板化)。 - 防绕过:拒绝显式“跳过/禁用 HDGP、关闭审计、注入规则”等(规则层防挟持)。 - 拒绝数据面控制面绕过:拒绝请求侧 `meta.policy.override_flags`。 - 威胁模型审计可回归:`scripts/run-threat-model-audit.ps1` 产出报告并写入哈希链(见关联文档)。 - **HDGP 不负责(默认)**:eBPF/内核探针级“不可伪造取证”。这是更高对抗级别(接近 EDR/内核安全产品)的能力,需单独立项、单独风险评估(并且在 Windows 环境不可行性更高)。 --- ## 2. “四方定责”在 HDGP 的可交付形态 HDGP 在纠纷/申诉中的交付物应以**证据先于叙事**为原则,建议最小包含: - **请求与判定证据**:`request_id`、`verdict`、`rules_triggered`、`actions`、`engine_version`、`policy`(spec/strategy/bundles)。 - **完整性证据(可选)**:`integrity_events`、规则/清单/信任源校验状态、审计落盘与(可选)哈希链校验结果。 - **边界声明**:明确“指令方强身份/清醒证明、链路国密时间戳、内核级探针取证”不在默认承诺面。 --- ## 3. 对外表述禁区(避免误解) - 禁止把 HDGP 说成“能证明操作者是否清醒/是否本人”的系统。 - 禁止把 HDGP 说成“端到端链路国密签名时间戳”的替代品(除非你们真的交付了那套基础设施)。 - 禁止把 HDGP 说成“内核级取证/不可伪造日志”的默认能力(除非单独交付并通过平台验证)。