云服务多租客系统安全问题的要点在于“最后一厘米”

采用SSL, SSH安全协议建立网络通信安全通道技术已经非常成熟，得到广泛应用。比如安全电子商务，网上购物等应用通常按如下方法在客户端与服务网站之间跑SSL安全协议：服务网站提供多方认证的PKI公钥证书供客户端下载检查并用于SSL协议中作数据加密，而用户身份的确认基于用户银行卡系统提供的认证服务，使网站不仅得知用户的确切身份，更重要的是能够收到用户购物或消费服务的交易付费。这种安全电子商务，网上购物的事实标准也已经被知名公共云服务提供商成功应用于云计算云存储所需的通信安全及服务收费方法，如Amazon的云计算EC2和云存储S3，Google AppEngine，Google Docs。所以我们可以说在连接客户端与云计算，云存储数据中心服务器的通信信道上，用户数据的安全保护问题已经得到了有效解决。也许有人会顺理成章地以为云安全问题在数据中心内部也像通信信道时的情形类似，仍然只是数据加密+身份认证的问题。身份认证的重要性无需多述，而数据加密在数据中心内的可用性则仅限于当用户数据存在于数据中心外部设备上（如磁盘，网络设备等）时的情形。当数据在服务器内存中被CPU处理时，私密性保护在通常情况下不能采用加密方法。云计算云存储数据中心处理用户数据必须以明文形式进行。仅让我们来看“比较简单”的云存储情况：根据云存储标准Cloud Data Management Interface CDMI说明书，云存储用户要处理存储在数据中心的数据时只需从客户端发出CRUD（Create, Retrieval, Update, Delete）指令，由服务器执行完成，也就是说用户从来都不会登录到数据中心服务器上去自己处理数据。现在假定用户在云上的数据需要更新，需要将一篇文章中所有“CPI=4.5”更新为“CPI=6.5”，如果数据中心磁盘上只有该文章的密文而没有相应的解密密钥，则显然无法执行用户这一Update命令。同理如果用户的Delete命令是：“搜索所有含有‘我爸是李刚’的绝密文件予以删除！”则数据中心必须要有相应的密钥将用户数据解密后方能搜索后才能决定删除与否。毫无疑问，云存储数据中心处理用户数据必须以明文形式进行，或者说云存储数据中心不仅管理着用户的数据，还应当管理着用户的密钥。其实云存储数据中心还要做许多非用户CRUD指令的数据处理，如动态附载均衡，数据压缩，重复数据删除，冗灾备份，等等。这些也都需要数据在内存中以明文的形式才能得到有效处理。

 

用户数据在服务器内存中以明文形式处理时的安全保护问题属于内存隔离管理问题。要知道读取计算机内存不像我们用眼睛看物体时视网膜感觉到光子而无需与被视物体发生物理接触，读取计算机内存内容时必须先对内存页进行寻址。所以内存隔离管理可以按进程的服务身份是否与使用某内存页的用户身份相匹配来判断与控制某进程是否有权寻址访问某内存页。不但看到这种控制管理完全可以做到禁止数据中心系统管理员访问用户内存，这正是云安全云存储需要的一项重要性质。按理说操作系统应该提供这种访问控制管理，可惜迄今为止所有成功的商用操作系统都本身含有多种安全漏洞可以被各种攻击所利用，因而无法依赖商用操作系统来提供内存隔离管理保护。更何况在X86平台的情况（也是云计算最成功最广泛采用的平台），成功的商用操作系统都早在输入输出内存管理器IOMMU出现之前就已开发成熟（IOMMU直到2009年中才在商用上首次推出），所以这些操作系统都无法有效管理IO设备对内存的访问。所以我们说云计算云存储的安全问题在商业应用上实现还有“最后一厘米”的工作要完成：利用MMU（IOMMU）来控制管理进程（输入输出设备）对用户所用内存页的合法访问。

 

道里云信息技术（北京）有限公司（www.daolicloud.com）致力于运用上述原理提供云计算云存储在数据中心最后一厘米的安全解决方案。道里方法尤其强调杜绝不可信的数据中心系统管理员利用这一厘米从事非法访问或破坏用户数据。我们立足于源自中国的创新创造，放眼贡献于可信计算、可信云体系架构、安全云计算云存储标准的发展。愿与业界及学术界全体同仁合作，共同创造出一个可信安全的云计算世界！