第三届中国云计算大会将于5月18-20日召开(http://www.ciecloud.org/2011/prog_520.html)。道里公司独自创新研发并具有自主知识产权的可信云安全解决方案将以概念证明原型系统的形式在大会上亮相展出。欢迎参会者光临道理公司展台(南区C10展台)参观并给予指导!另外在5月20日下午召开的“云计算环境下的信息安全”专题论坛上,公司首席执行官毛文波还将以“可信云安全的原理与应用”为题向大会报告道里可信云安全的最新研发成果。
以下让我对即将参展的道里可信云安全系统作一简要介绍。
首先以最简单的语言叙述之,道里可信云安全系统是一款全新的hypervisor,叫做Cloud Security Visor(CSV),专门监控虚拟平台架构上的安全任务。
稍作展开叙述之,CSV跑在商用hypervisor(如Xen,ESX,Hyper-V)之下,硬件之上,具有软件系统最高权限“根模式”运行状态,如此,商用hypervisor的系统权限被降低至“非根模式”运行。为什么要在商用hypervisor底下再跑一个hypervisor呢?唯一的目的就是要让专管负责安全监控的软件系统具有(1)最高系统运行权限,(2)超小简洁因而容易获得正确实现,(3)无缝支持现有商用hypervisor的其它虚拟化功能以及之上的应用软件系统(道里系统无缝支持Linux和Windows服务器)。CSV使用约5千行程序代码实现了上述三项设计要求。比较之,目前最小的商用hyperviosr Xen VMM具有超过270千行代码量。将商用hypervisor降权至非根模式后,道里可信云虚拟架构中使用的商用hypervios无须具有安全监控功能。通过利用商用hypervior极可能存在的安全隐患来攻击虚拟架构上租客用户数据,这样的企图将会被CSV制止。以此方法,CSV高效实现了云数据中心多租客计算环境的安全保护。
即将参展的演示系统用两台服务器作对比:一台装有CSV插入于硬件和商用hypervisor之间,另一台,商用hypervisor直接跑在硬件上。两台服务器虚拟架构上都有同样的云存储服务虚拟机,多租客用户通过网络加密方法(SSL)上传数据。两台服务器上又都装有一个木马程序,当然木马是装在云存储服务虚拟机之外的,设法截取用户数据。注意,用户数据上传到这两台服务器都是网络加密的。由于一台服务器上的木马能够入侵云存储服务虚拟机并获得用户密钥,而另一台上的木马不能干成这件事,这两个木马打印的结果可想而知。
欢迎参观道里可信云计算系统。