基于多租戶隔離的云安全建設(shè)

劉波

（中國電信股份有限公司廣東分公司 廣東省廣州市 510000）

1 基本概念

云計(jì)算是一個(gè)服務(wù)平臺(tái)，使多個(gè)租戶可以重用資源以及應(yīng)用程序。由于云計(jì)算平臺(tái)具有一系列特性，如虛擬化、開放性以及共享性，所以很難以一種明確的界限對(duì)租戶進(jìn)行嚴(yán)格的區(qū)分，從而進(jìn)行管理與分離，因此，就造成了一系列安全問題[1-2]。 現(xiàn)如今，諸如具有安全隱患的網(wǎng)絡(luò)和數(shù)據(jù)隔離等問題已被國際云安全聯(lián)盟確定為云安全的主要威脅之一[3]。

如今所謂的租戶安全隔離，主要是指多個(gè)租戶在云安全環(huán)境中對(duì)關(guān)鍵的信息資源進(jìn)行共享。但是，租戶個(gè)人信息的使用不受到其他租戶的影響，這一方面能夠有效防止各類危險(xiǎn)的出現(xiàn)，從而才能夠保證各個(gè)獨(dú)立租戶個(gè)體在使用過程中的信息以及服務(wù)不受干擾[4]。但是為了保證隔離的安全性。業(yè)內(nèi)出現(xiàn)了各種的安全隔離方法，諸如對(duì)訪問進(jìn)行控制，以虛擬機(jī)進(jìn)行隔離和各種加密存儲(chǔ)方法。盡管上述隔離方法在租戶數(shù)據(jù)之間提供了某種隔離，但是它們中的大多數(shù)僅集中于一個(gè)隔離級(jí)別，例如加密的隔離存儲(chǔ)，物理租戶隔離以及數(shù)據(jù)訪問控制。

本文從目前各類數(shù)據(jù)研究中所存在的諸多問題入手。從建立多級(jí)數(shù)據(jù)源隔離開始。對(duì)租戶的數(shù)據(jù)安全性進(jìn)行了詳盡的研究。本文構(gòu)建的與安全系統(tǒng)以租戶虛擬域作為顆粒度構(gòu)建了隔離存儲(chǔ)成網(wǎng)絡(luò)存儲(chǔ)和管理隔離層，利用系統(tǒng)性的思想。從系統(tǒng)層面解決了租戶數(shù)據(jù)隔離的安全性，另外，將虛擬安全標(biāo)簽作為特色引入系統(tǒng)解決方案之中，此外，還對(duì)傳統(tǒng)的哈希算法進(jìn)行了改進(jìn)，從而實(shí)現(xiàn)了對(duì)租戶資源的分布式映射，之后，通過安全標(biāo)簽和數(shù)據(jù)進(jìn)行有效綁定。對(duì)租戶數(shù)據(jù)隔離算法進(jìn)行了改進(jìn)，從而有效解決了租戶在信息共享過程中存在著隔離以及安全性訪問問題，最后，在隔離規(guī)則的控制下，使用新的安全性標(biāo)簽和身份驗(yàn)證，在虛擬安全領(lǐng)域中實(shí)現(xiàn)有效的數(shù)據(jù)傳輸。

2 相關(guān)研究簡介

這些年以來，為了實(shí)現(xiàn)對(duì)租戶的分離。出現(xiàn)了各類的租戶分離技術(shù)。我們可以將租戶分離技術(shù)分為基于硬件、操作系統(tǒng)、中間件、租戶網(wǎng)絡(luò)、存儲(chǔ)等不同層級(jí)的隔離，接下來對(duì)不同級(jí)別的租戶數(shù)據(jù)安全隔離進(jìn)行了相應(yīng)的文獻(xiàn)研究：

（1）通常所謂基于硬件的隔離，是指通過提升硬件性能，從而實(shí)現(xiàn)對(duì)租戶之間的安全隔離?；谟布?shí)現(xiàn)的隔離包括簡單的技術(shù)構(gòu)想以及高級(jí)隔離，但是需要較高的設(shè)備性能，較高的功耗以及較高的成本。

圖1：域隔離器功能結(jié)構(gòu)

（2）所謂操作系統(tǒng)級(jí)的隔離是指在租戶之間使用虛擬機(jī)實(shí)現(xiàn)計(jì)算資源的共享。該方法能夠有效實(shí)現(xiàn)租戶之間的信息共享，并保證各地的安全性，通常采用虛擬機(jī)管理層湖隔離層隔離的方案，他主要實(shí)現(xiàn)了操作與管理的分級(jí)。Roy 等人提出了一種基于虛擬機(jī)的信息流控制方法，該方法通過在程序上實(shí)現(xiàn)的可變及對(duì)租戶的信息流進(jìn)行有效跟蹤，從而對(duì)租戶資源進(jìn)行了有效的保護(hù)，楊永堅(jiān)等人提出了一種基于云平臺(tái)的新型安全隔離構(gòu)架，該構(gòu)架可對(duì)虛擬機(jī)內(nèi)部數(shù)據(jù)進(jìn)行有效的加密與保護(hù)，從而提高了系統(tǒng)I/O 以及虛擬機(jī)之間訪問內(nèi)存隔離的安全性。Malka 等人提出了一種新型的硬件虛擬化技術(shù)。通過該技術(shù)可以有效提升虛擬機(jī)的隔離安全性，但是由于該市方案尚屬理論研究階段，并未實(shí)現(xiàn)真正的虛擬機(jī)隔離方案。雖然簡單的虛擬機(jī)隔離很容易導(dǎo)致多租戶混亂，但違反虛擬機(jī)隔離控制會(huì)損害其他虛擬機(jī)的安全性。

（3）作為中間件級(jí)別的隔離設(shè)置，在租戶之間有效實(shí)現(xiàn)資源的信息共享。這就涉及到容器技術(shù)的使用，所謂容器技術(shù)是一種可以實(shí)現(xiàn)租戶之間的高度信息共享，如今市場上最為常用的容器技術(shù)主要有Linux 容器和Docker 容器，但是由于容器在設(shè)計(jì)時(shí)，其主要目的是能夠?yàn)橛脩籼峁└哔|(zhì)量的網(wǎng)路服務(wù)，因此，其隔離能力不強(qiáng)，可能存在安全隱患，甚至威脅到主機(jī)的安全，從而導(dǎo)致停機(jī)以及威脅。 其他容器的安全性。 這威脅到租戶數(shù)據(jù)的安全性。

（4）租戶網(wǎng)絡(luò)級(jí)隔離是指基于網(wǎng)絡(luò)虛擬化的租戶之間網(wǎng)絡(luò)的邏輯隔離，以確保租戶之間數(shù)據(jù)傳輸?shù)陌踩?。傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常使用虛擬局域網(wǎng)（VLAN，虛擬局域網(wǎng)）技術(shù)。如今，普通租戶通常只是用VLAN，但是從技術(shù)層面上看，傳統(tǒng)的VLAN 對(duì)不同租戶是彼此隔離的，這就導(dǎo)致不同租戶之間無法直接實(shí)現(xiàn)通信，所以，當(dāng)使用傳統(tǒng)VLAN 的用戶數(shù)量大幅增長的時(shí)候，導(dǎo)致VLAN 以及配置不佳。復(fù)雜的問題。為了滿足大型數(shù)據(jù)中心租戶網(wǎng)絡(luò)的隔離需求，如今涌現(xiàn)了許多用于租戶隔離的新技術(shù)，在這些新技術(shù)中覆蓋網(wǎng)絡(luò)體系結(jié)構(gòu)是其中十分亮眼的一個(gè)，其能夠有效解決多租戶網(wǎng)絡(luò)隔離。在實(shí)際的現(xiàn)場應(yīng)用中，通信服務(wù)運(yùn)營商通常采用可擴(kuò)展的虛擬局域網(wǎng)（VXLAN，虛擬可擴(kuò)展LAN）以及NVGRE（使用通用路由封裝的網(wǎng)絡(luò)虛擬化）。 VXLAN 技術(shù)是在傳統(tǒng)的VLAN技術(shù)的基礎(chǔ)上發(fā)展起來的，其能夠大幅增加節(jié)點(diǎn)數(shù)量，但是，由于其最終的虛擬終端數(shù)量的大幅增加常常導(dǎo)致系統(tǒng)節(jié)點(diǎn)數(shù)量過載，從而會(huì)對(duì)系統(tǒng)的使用性能造成嚴(yán)重影響。而NVGRE 協(xié)議通常使用大路由協(xié)議進(jìn)行封裝，所以對(duì)于系統(tǒng)節(jié)點(diǎn)數(shù)量的增加并不敏感，但是，由于其采用了非標(biāo)準(zhǔn)的傳輸協(xié)議，所以其性能較低，對(duì)于硬件設(shè)備的要求較高，因此，將二者進(jìn)行融合是一種很好的解決方案。

3 租戶虛擬域分離的建設(shè)思路

3.1 基本定義

虛擬域（VD，virtual domain）。所謂的虛擬域通常指一片邏輯上安全的區(qū)域，其主要包括了租戶本身的各類虛擬資源以及一組包含用戶的乘員。

域隔離器（DR，domain isolator）。其主要對(duì)組合的各類資源進(jìn)行管理，通常指云平臺(tái)中的路由器或交換機(jī)。

不同的域隔離器中通常內(nèi)置一個(gè)能夠自動(dòng)生成的網(wǎng)關(guān)，這一網(wǎng)關(guān)的功能主要包括自動(dòng)進(jìn)行標(biāo)簽生成，實(shí)現(xiàn)標(biāo)簽的映射，對(duì)地址進(jìn)行解析，驗(yàn)證用戶的身份標(biāo)簽，資源管理以及調(diào)度，租戶標(biāo)簽生成以及分發(fā)以及標(biāo)簽映射索引等功能組件。 并完成租戶信息，在域中重定向數(shù)據(jù)訪問位置，標(biāo)簽分析，身份驗(yàn)證以及處理，租戶資源的集成管理以及調(diào)度等功能。一個(gè)典型的域隔離器的結(jié)構(gòu)圖如圖1所示。

安全標(biāo)簽（SLebal，安全標(biāo)簽）。 面對(duì)租戶虛擬域中不同級(jí)別的隔離要求以及租戶虛擬域中資源以及數(shù)據(jù)的唯一標(biāo)識(shí)，本文提出了不同形式的安全標(biāo)簽SLebal={TID, DLebal, VLebal}。其中，虛擬域安全性標(biāo)簽用TID進(jìn)行表征，數(shù)據(jù)存儲(chǔ)標(biāo)簽用DLebal進(jìn)行表征，即Data Lebal，數(shù)據(jù)控制標(biāo)簽用VLebal 進(jìn)行表征。

（1）TID。租戶虛擬域標(biāo)識(shí)符TID = Hash（ID || T），其中“ ||” 是連接操作，ID 是租戶的唯一標(biāo)識(shí)符，T 是租戶完成映射并與DR 協(xié)商后的結(jié)果。其后生成的秘密序列號(hào)使租戶ID 信息能夠被很好的隱藏起來，從而有效的防止被惡意租戶偽造，從而有效保護(hù)了租戶的信息安全。

（2）Dlebal。當(dāng)租戶共享存儲(chǔ)時(shí)，它們用于識(shí)別和分離存儲(chǔ)租戶的私有數(shù)據(jù)，并在訪問存儲(chǔ)數(shù)據(jù)時(shí)實(shí)現(xiàn)屬性身份驗(yàn)證。 迪巴爾{ tid，key，，tk }。 Key 是用于加密存儲(chǔ)數(shù)據(jù)的密鑰。 { f1，f2，... ，fn }是策略謂詞的集合，屬性 a { a1，a2，... ，an }用于用戶訪問存儲(chǔ)的數(shù)據(jù)。 例如，策略謂詞{“ user bob” ，“ read” ，... ，“ data ∈[2017,2019]”}。 只有當(dāng)∈(a’是訪問屬性)中的’()() ，ii f a something [1，]時(shí)，用戶獲得存儲(chǔ)的數(shù)據(jù)并使用密鑰解密數(shù)據(jù)密文。Tk 是用于獲取 f (a) f (a’)密文的查詢標(biāo)記。

（3）VLebal。數(shù)據(jù)控制標(biāo)簽用于控制租戶虛擬域內(nèi)部以及外部的數(shù)據(jù)的安全標(biāo)簽VLebal = {TID，Hash_S，BAN_TIME，Trans_Type}。 S 是數(shù)據(jù)安全級(jí)別，Hash_S 是安全級(jí)別S 的哈希值，BAN_TIME 是機(jī)密性保留期限，而Trans_Type 是數(shù)據(jù)傳輸方法。

3.2 基本概念

本文根據(jù)租戶對(duì)安全性隔離的不同需求級(jí)別，將逐步虛擬域分為以下三個(gè)基本層級(jí)，分別是隔離存儲(chǔ)虛擬網(wǎng)絡(luò)隔離和隔離網(wǎng)管理。本節(jié)對(duì)租戶虛擬與分層構(gòu)造的基本概念進(jìn)行一些簡要的描述與介紹為之后的云安全建設(shè)打下技術(shù)基礎(chǔ)。

（1）由于在云平臺(tái)中，通常已經(jīng)安裝了多個(gè)分離的域隔離器，所以，使用時(shí)，能夠使用不同的安全標(biāo)簽對(duì)各個(gè)不同的虛擬域進(jìn)行高效、可靠、安全的識(shí)別，并將信息分發(fā)給多個(gè)域隔離器以分離租戶。設(shè)計(jì)了租戶虛擬域映射算法。分散管理以及資源分離。

（2）設(shè)計(jì)數(shù)據(jù)控制標(biāo)簽與租戶數(shù)據(jù)組的綁定方法，以實(shí)現(xiàn)對(duì)租戶虛擬網(wǎng)絡(luò)層的分離，并使用域隔離器的標(biāo)簽解析功能，認(rèn)證功能以及地址解析功能來使用域隔離器 以及租戶虛擬域。 提供分布之間的數(shù)據(jù)傳輸。

（3）在對(duì)租戶數(shù)據(jù)進(jìn)行存儲(chǔ)時(shí)，本文采用的是分離存儲(chǔ)的方法，利用所謂的謂詞加密技術(shù)，對(duì)于租戶的基本數(shù)據(jù)進(jìn)行分離，之后，將數(shù)據(jù)與標(biāo)簽進(jìn)行一一對(duì)應(yīng)，在需要使用時(shí)，利用域隔離器進(jìn)行標(biāo)簽解析，從而區(qū)分出不同用戶的數(shù)據(jù)，之后，又使用了令牌和謂詞查詢策略，從而實(shí)現(xiàn)了對(duì)加密密鑰，數(shù)據(jù)密文以及租戶數(shù)據(jù)的加密與存儲(chǔ)，通過該技術(shù)能夠?qū)崿F(xiàn)對(duì)租戶數(shù)據(jù)的隔離與保存。

（4）通過對(duì)租戶數(shù)據(jù)的隔離規(guī)則進(jìn)行明確，系統(tǒng)可以通過使用簡單的標(biāo)簽與標(biāo)記對(duì)數(shù)據(jù)進(jìn)行跟蹤，通過該方法，能夠有效防止數(shù)據(jù)的聚合，最終實(shí)現(xiàn)防止數(shù)據(jù)泄露的最終目的。建立數(shù)據(jù)安全通道和數(shù)據(jù)流控制規(guī)則。安全虛擬域中的租戶數(shù)據(jù)傳輸和訪問隔離。

總之，通過在不同級(jí)別引入安全標(biāo)簽，本文結(jié)合了租戶虛擬網(wǎng)絡(luò)的建立，隔離存儲(chǔ)以及在域隔離器的分布式管理下的數(shù)據(jù)訪問，以創(chuàng)建彼此獨(dú)立的租戶虛擬域。

4 小結(jié)

通過創(chuàng)建多租戶安全域，可以安全地分離租戶數(shù)據(jù)。 為此，本文提出了一種在L-DHT 基礎(chǔ)上的多租戶虛擬域分離算法，構(gòu)建一種能夠?qū)崿F(xiàn)對(duì)租戶的隱私以及基礎(chǔ)資源進(jìn)行有效保護(hù)的分布式映射機(jī)制，該機(jī)制能夠很好以一種分布式的方式實(shí)現(xiàn)對(duì)租戶資源的管理。

（1）它將域安全標(biāo)簽和一致哈希算法結(jié)合起來，為多租戶提供分布式隔離映射算法。 這樣就完成了租戶資源和域隔離器的良好平衡映射，您可以將資源從域隔離器分配到租戶資源。

（2）數(shù)據(jù)存儲(chǔ)標(biāo)記和租戶數(shù)據(jù)以解決對(duì)租戶數(shù)據(jù)的獨(dú)立訪問。

（3）租戶數(shù)據(jù)的多維分離使用控制規(guī)則和租戶數(shù)據(jù)包鏈接、分析和身份驗(yàn)證，使用流和控制規(guī)則為數(shù)據(jù)傳輸建立一個(gè)安全通道。用來提供安全的控制。 提供獨(dú)立訪問。