基于多處理器虛擬化的云計(jì)算應(yīng)用的安全研究

【摘要】目前，云計(jì)算應(yīng)用的安全都是通過(guò)在虛擬機(jī)監(jiān)控器中添加軟件層來(lái)對(duì)云計(jì)算應(yīng)用進(jìn)行保護(hù)的，然而此種云計(jì)算應(yīng)用保護(hù)技術(shù)在需要保護(hù)的云計(jì)算應(yīng)用非常密集時(shí)，云計(jì)算應(yīng)用的執(zhí)行效率就會(huì)非常低，而且單一的保護(hù)模塊一旦出現(xiàn)故障，云計(jì)算應(yīng)用就會(huì)得不到保護(hù)。針對(duì)這一問(wèn)題，提出一種基于多處理器虛擬化的云計(jì)算應(yīng)用安全保護(hù)模型，該文運(yùn)用了硬件輔助虛擬化的技術(shù)，將云計(jì)算應(yīng)用安全保護(hù)系統(tǒng)直接控制部分硬件資源，作為與VMM對(duì)等協(xié)作的獨(dú)立系統(tǒng)運(yùn)行，同時(shí)構(gòu)造出多個(gè)獨(dú)立的保護(hù)系統(tǒng)用于負(fù)載平衡及故障替換。通過(guò)測(cè)試表明，該模型在很大程度上滿足了云計(jì)算應(yīng)用安全保護(hù)密集的需求。

【關(guān)鍵詞】云計(jì)算虛擬化云計(jì)算應(yīng)用安全多處理器對(duì)等協(xié)作

云計(jì)算作為未來(lái)IT業(yè)主要趨勢(shì)之一，正迅速在企業(yè)級(jí)應(yīng)用中普及。它體現(xiàn)了“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想。將大量可規(guī)模化計(jì)算資源、存儲(chǔ)資源與軟件資源鏈接在一起，形成巨大的共享虛擬IT資源池，通過(guò)對(duì)于大規(guī)模資源的高效靈活調(diào)度為遠(yuǎn)程計(jì)算機(jī)用戶提供按需動(dòng)態(tài)擴(kuò)容和收縮的計(jì)算服務(wù)，同時(shí)也為云服務(wù)提供商提供了巨大的資源優(yōu)化調(diào)度空間，用規(guī)模化的效應(yīng)最大程度地降低了成本。云計(jì)算是將資源以網(wǎng)絡(luò)服務(wù)的形式提供給用戶，將用戶從復(fù)雜繁瑣的IT軟硬件維護(hù)中解放出來(lái)，而且，遠(yuǎn)程用戶可以隨時(shí)隨地或得服務(wù)，打破了時(shí)間和地域的限制。

出于對(duì)數(shù)據(jù)安全的考慮，云計(jì)算出現(xiàn)了四種子模型，即為私有云，公共云，社團(tuán)云以及混合云。私有云是對(duì)企業(yè)內(nèi)部IT資源的虛擬化和自動(dòng)化管理，是企業(yè)內(nèi)部計(jì)算資源的整合，面向內(nèi)部用戶，云的規(guī)模由內(nèi)部資源的總量決定，而且所有數(shù)據(jù)仍舊由企業(yè)自己管理，這種云規(guī)模比較有限，只能享受部分云計(jì)算的優(yōu)勢(shì)。公共云是云計(jì)算的設(shè)計(jì)最終模型，公共云也稱為第三方云，有著更大的靈活性和成本優(yōu)勢(shì)。企業(yè)可以將計(jì)算和存儲(chǔ)外包給云服務(wù)提供商，不需自己購(gòu)買(mǎi)設(shè)備和投入專業(yè)人員來(lái)做云系統(tǒng)維護(hù)，而且還能在計(jì)算需求變化時(shí)靈活地增減云資源的租用。但是，將計(jì)算和存儲(chǔ)外包給云服務(wù)商，就意味著將數(shù)據(jù)也外包給了第三方—云服務(wù)提供商，這樣數(shù)據(jù)的私密性就得不到保證了，這是與私有云的最大區(qū)別，也是現(xiàn)在大部分云計(jì)算應(yīng)用局限于私有云的原因，然而公共云是云計(jì)算的最終模型。社團(tuán)云是幾個(gè)有共同應(yīng)用需求的組織共同組建的半公共云，它比私有云有更大的資源優(yōu)化空間，比公共云有更小的風(fēng)險(xiǎn)。混合云是私有云和公共云的混合，即用戶將私密性數(shù)據(jù)和業(yè)務(wù)運(yùn)行在私有云中，將非私密性數(shù)據(jù)和業(yè)務(wù)運(yùn)行在公共云中。這四類云中，公共云是云計(jì)算的設(shè)計(jì)初衷，也有著最大的靈活性和成本優(yōu)勢(shì)，本文主要目標(biāo)是研究分析公共云中云計(jì)算應(yīng)用的安全。

用戶數(shù)據(jù)在云服務(wù)器端有兩種存儲(chǔ)形式，靜態(tài)存儲(chǔ)和動(dòng)態(tài)計(jì)算。靜態(tài)數(shù)據(jù)以存儲(chǔ)為目的，不需要參與運(yùn)算，只是利用云的存儲(chǔ)功能，因此靜態(tài)數(shù)據(jù)能夠用密碼學(xué)加密技術(shù)進(jìn)行保護(hù)。動(dòng)態(tài)數(shù)據(jù)可能存在于內(nèi)存、網(wǎng)絡(luò)或緩存等介質(zhì)中，參與運(yùn)算。動(dòng)態(tài)數(shù)據(jù)在參與運(yùn)算時(shí)需要還原成明文形式，現(xiàn)在還沒(méi)有技術(shù)能讓數(shù)據(jù)在加密的狀態(tài)下進(jìn)行運(yùn)算，因而私密數(shù)據(jù)在云端至少有一部分時(shí)間是以明文形式存在的。在這段以明文形式存在的時(shí)間里動(dòng)態(tài)數(shù)據(jù)就有可能泄露，因?yàn)樵朴?jì)算服務(wù)是通過(guò)因特網(wǎng)提供給用戶的，云服務(wù)是始終在線的，因而來(lái)自網(wǎng)絡(luò)的攻擊可能通過(guò)用戶虛擬機(jī)的網(wǎng)絡(luò)接口進(jìn)行入侵，攻破用戶虛擬機(jī)的操作系統(tǒng)，進(jìn)而訪問(wèn)用戶進(jìn)程所占的內(nèi)存空間。

現(xiàn)有的云計(jì)算應(yīng)用的安全機(jī)制都是基于虛擬機(jī)技術(shù)之上的，通過(guò)在虛擬機(jī)監(jiān)控器中添加軟件層來(lái)對(duì)云計(jì)算應(yīng)用進(jìn)行保護(hù)。比如已經(jīng)實(shí)現(xiàn)了的chaos系統(tǒng)[5-7]。然而此種云計(jì)算應(yīng)用保護(hù)技術(shù)已經(jīng)在一定程度上影響了計(jì)算密集型的應(yīng)用的執(zhí)行效率[9]。所以在需要保護(hù)的云計(jì)算應(yīng)用非常密集的云平臺(tái)上，就嚴(yán)重影響云計(jì)算應(yīng)用的執(zhí)行效率了，而且單一的云計(jì)算應(yīng)用保護(hù)模塊一旦出現(xiàn)故障，云計(jì)算應(yīng)用就得不到保護(hù)了。

本文提出并實(shí)現(xiàn)了一種基于多處理器虛擬化的云計(jì)算應(yīng)用安全模型，此模型運(yùn)用了硬件輔助虛擬化的技術(shù)，將云計(jì)算應(yīng)用安全保護(hù)系統(tǒng)直接控制部分硬件資源，作為與VMM對(duì)等協(xié)作的獨(dú)立系統(tǒng)運(yùn)行，同時(shí)構(gòu)造出多個(gè)獨(dú)立的保護(hù)系統(tǒng)用于負(fù)載平衡及故障替換。

一、安全保護(hù)模型的系統(tǒng)結(jié)構(gòu)描述

集成在虛擬機(jī)監(jiān)控器中的保護(hù)技術(shù)遠(yuǎn)遠(yuǎn)不能滿足云計(jì)算應(yīng)用保護(hù)密集型的云計(jì)算平臺(tái)，本系統(tǒng)采用硬件劃分方式，使云計(jì)算應(yīng)用的保護(hù)模塊直接控制部分硬件資源，將其從虛擬機(jī)監(jiān)控器中移植出來(lái)轉(zhuǎn)換為具備特權(quán)的CAPPM，與VMM形成對(duì)等協(xié)作的結(jié)構(gòu)。控制主體有兩部分組成，VMM和CAPPM。VMM負(fù)責(zé)虛擬化，CAPPM負(fù)責(zé)保護(hù)云計(jì)算應(yīng)用，存在多個(gè)CAPPM，每個(gè)CAPPM控制一個(gè)AP，VMM控制BSP和其余AP。如圖1所示。

將云計(jì)算應(yīng)用保護(hù)模塊從虛擬機(jī)監(jiān)控器中移植出來(lái)轉(zhuǎn)換為與VMM對(duì)等協(xié)作的獨(dú)立系統(tǒng)，一方面大大增強(qiáng)了對(duì)云計(jì)算應(yīng)用保護(hù)密集的云平臺(tái)的云計(jì)算應(yīng)用保護(hù)的響應(yīng)速度，另一方面，一旦某個(gè)保護(hù)系統(tǒng)出現(xiàn)故障，其他保護(hù)系統(tǒng)可以繼續(xù)提供保護(hù)而且多個(gè)CAPPM可以進(jìn)行負(fù)載均衡。

二、模型實(shí)現(xiàn)的關(guān)鍵細(xì)節(jié)

整個(gè)模型實(shí)現(xiàn)的關(guān)鍵細(xì)節(jié)包括：硬件資源劃分，VMM初始化，CAPPM構(gòu)造，VMM-CAPPM通信。

2.1硬件資源劃分

為了實(shí)現(xiàn)VMM和CAPPM之間的協(xié)作，首先要對(duì)兩個(gè)系統(tǒng)進(jìn)行隔離，包括硬件資源的隔離和地址空間的隔離，避免兩者在硬件控制上產(chǎn)生沖突，同時(shí)需要考慮采用適當(dāng)?shù)墓蚕泶胧┍ＷCVMM和CAPPM之間的交互。

硬件資源可分為獨(dú)占性資源和可共享資源，不同資源的分配原則也不同，獨(dú)占性資源需要明確指定其唯一的控制主體，不允許存在交叉的控制現(xiàn)象，可共享資源需要對(duì)資源進(jìn)行細(xì)粒度分區(qū)，指派給多個(gè)控制主體，但需要保證同步。VMM和CAPPM之間的硬件劃分如表1所示。

2.1.1處理器劃分與實(shí)現(xiàn)

處理器的劃分應(yīng)該根據(jù)不同主體的負(fù)載情況，VMM負(fù)責(zé)為上層虛擬機(jī)提供運(yùn)行環(huán)境，需要協(xié)調(diào)多個(gè)虛擬機(jī)對(duì)處理器的共享使用，而且，虛擬機(jī)之間的通信是很少的，因此處理器越多，虛擬機(jī)之間的并行度越高，云平臺(tái)上的客戶虛擬機(jī)執(zhí)行效率就越高，也就越接近單機(jī)上的真實(shí)物理計(jì)算環(huán)境，而CAPPM只提供對(duì)云計(jì)算應(yīng)用的安全保護(hù)功能，并且保護(hù)模塊對(duì)處理器的要求也不是很高，所以每個(gè)CAPPM控制一個(gè)處理器，VMM控制其余的所有處理器。

系統(tǒng)中的多處理器信息在開(kāi)機(jī)后由BIOS檢測(cè)并存放在特定的物理內(nèi)存空間中，根據(jù)多處理器啟動(dòng)協(xié)議，首先運(yùn)行BSP，系統(tǒng)中的其他AP處于睡眠狀態(tài)，等待BSP的喚醒，BSP上運(yùn)行VMM，VMM從BIOS數(shù)據(jù)區(qū)中獲得完整的多處理器信息，識(shí)別需要分配給CAPPM的AP。

2.1.2物理內(nèi)存劃分與實(shí)現(xiàn)

為了實(shí)現(xiàn)VMM和CAPPM地址空間的隔離以及數(shù)據(jù)交互。需要將整個(gè)物理內(nèi)存劃分為3個(gè)部分，分別是VMM管理區(qū)、CAPPM管理區(qū)、共享區(qū)，共享區(qū)只能被訪問(wèn)而不參與分配，管理區(qū)則需參與內(nèi)存管理器的動(dòng)態(tài)分配和回收。VMM根據(jù)E820內(nèi)存信息獲得整個(gè)物理內(nèi)存的布局狀況，在此基礎(chǔ)上VMM對(duì)不可分配的區(qū)域進(jìn)行限制。通常采用基于位圖的管理方式來(lái)控制內(nèi)存的使用，對(duì)VMM不可分配的區(qū)域相應(yīng)的位圖進(jìn)行標(biāo)記，表示此段內(nèi)存區(qū)間也被保留，從而實(shí)現(xiàn)VMM和CAPPM內(nèi)存區(qū)域的隔離。

2.1.3中斷路由

外部中斷有兩種情況，一是IOAPIC遞交的設(shè)備中斷，二是AP產(chǎn)生的處理器間中斷。通過(guò)中斷源對(duì)應(yīng)的中斷向量可以區(qū)分這兩種外部中斷，第二種中斷跟VMM與CAPPM通信有關(guān)將在后面討論。我們需要把所有的第一種中斷首先遞交給VMM，然后VMM根據(jù)中斷來(lái)源做出進(jìn)一步處理，或直接在內(nèi)部處理，或遞交給CAPPM處理。

多處理器平臺(tái)上的中斷不再通過(guò)單處理器的中斷控制器8259A向處理器遞交，而是通過(guò)IOAPIC將中斷遞交給特定的處理器，通過(guò)對(duì)IOAPIC設(shè)置，可以實(shí)現(xiàn)將所有的外部中斷首先遞交給VMM。IOAPIC包括了一組中斷重定向表，一個(gè)外部中斷對(duì)應(yīng)重定向表中的一項(xiàng)，通過(guò)重定向表將外部中斷發(fā)到指定的LAPIC，最后VMM通過(guò)操作LAPIC中的中斷命令寄存器將外部中斷遞交給CAPPM。

2.2CAPPM構(gòu)造

CAPPM作為一個(gè)的獨(dú)立系統(tǒng)為云計(jì)算應(yīng)用提供安全保護(hù)。作為一個(gè)和VMM對(duì)等協(xié)作的獨(dú)立系統(tǒng)，CAPPM也將運(yùn)行在VMX根模式下，重新為CAPPM編寫(xiě)操作系統(tǒng)沒(méi)有必要，我們可以借助開(kāi)源的操作系統(tǒng)，對(duì)其進(jìn)行添加和修改，將云計(jì)算應(yīng)用保護(hù)模塊添加到開(kāi)源的操作系統(tǒng)的內(nèi)核中。Linux是最好的選擇，因?yàn)镃APPM目前只提供云計(jì)算應(yīng)用保護(hù)這一功能，所以我們可以對(duì)最初的Linux版本（例如linux0.11版本）進(jìn)行添加和修改。CAPPM的構(gòu)造主要包括處理器控制、內(nèi)存限制和啟動(dòng)。

2.2.1CAPPM處理器控制

CAPPM運(yùn)行改造后的Linux系統(tǒng)，處理器控制主要是防止CAPPM去管理其余的處理器，我們是選擇最初的Linux版本進(jìn)行修改的，最初的Linux版本本來(lái)就不支持多處理器，所以CAPPM不會(huì)去管理其余的處理器。

2.2.2CAPPM內(nèi)存限制

整個(gè)物理內(nèi)存被VMM和CAPPM分區(qū)管理，需要對(duì)CAPPM能夠探測(cè)、分配使用、訪問(wèn)的范圍進(jìn)行限制。由于E820探測(cè)出的是完整的內(nèi)存布局信息，因此需要對(duì)CAPPM的E820信息進(jìn)行修改來(lái)控制CAPPM訪問(wèn)的限制，分配限制則通過(guò)對(duì)CAPPM的內(nèi)存位圖進(jìn)行修改。

2.2.3CAPPM啟動(dòng)

傳統(tǒng)的操作系統(tǒng)是由Bootloader加載并啟動(dòng)，VMM是第一個(gè)啟動(dòng)的系統(tǒng)，它的啟動(dòng)可以由Bootloader完成。CAPPM是在VMM的控制下啟動(dòng)的，并且機(jī)器的運(yùn)行環(huán)境也發(fā)生了改變，如物理內(nèi)存布局等，因此需要VMM根據(jù)啟動(dòng)協(xié)議的要求和當(dāng)前資源的分配情況，模擬出Bootloader的行為并啟動(dòng)CAPPM。

2.3VMM-CAPPM通信實(shí)現(xiàn)

在VMM和CAPPM通信之前首先采用了輪詢的負(fù)載均衡算法選擇與哪個(gè)CAPPM進(jìn)行通信。VMM和CAPPM通過(guò)同步通信的方式進(jìn)行通信，以處理器間中斷完成消息通告，并通過(guò)一塊共享內(nèi)存完成數(shù)據(jù)的傳輸。VMM-CAPPM通信實(shí)現(xiàn)主要包括共享內(nèi)存組織結(jié)構(gòu)設(shè)計(jì)和通信處理流程構(gòu)造

2.3.1共享內(nèi)存組織結(jié)構(gòu)

由于共享內(nèi)存空間有限，在傳遞大量數(shù)據(jù)時(shí)需要提供復(fù)用機(jī)制，保證數(shù)據(jù)在共享區(qū)內(nèi)的可靠傳遞，因此需要對(duì)共享內(nèi)存區(qū)域進(jìn)行組織。我們把共享內(nèi)存劃分為控制區(qū)和數(shù)據(jù)區(qū)，控制區(qū)存放公開(kāi)控制指針，數(shù)據(jù)區(qū)則以環(huán)的形式組織。

2.3.2通信處理過(guò)程

通信的關(guān)鍵在于數(shù)據(jù)的發(fā)送方式和接收方式，發(fā)送數(shù)據(jù)相對(duì)容易實(shí)現(xiàn)，可以先將數(shù)據(jù)放置到共享內(nèi)存，然后以處理器間中斷完成消息通告。接收數(shù)據(jù)則需要考慮IPI丟失、緩沖區(qū)溢出、同步等問(wèn)題。

三、模型評(píng)估

基于多處理器虛擬化的云計(jì)算應(yīng)用安全保護(hù)模型，將云計(jì)算應(yīng)用保護(hù)模塊集成在Linux內(nèi)核中直接控制部分硬件成為獨(dú)立的系統(tǒng)，實(shí)現(xiàn)了VMM和CAPPM之間的對(duì)等協(xié)作，然而采用對(duì)等協(xié)作方式之后，隨著CAPPM系統(tǒng)個(gè)數(shù)的增加，云計(jì)算應(yīng)用保護(hù)密集的云平臺(tái)上的需要保護(hù)的云計(jì)算應(yīng)用執(zhí)行效率會(huì)不會(huì)也隨之而提高，然而模型的穩(wěn)定性會(huì)不會(huì)降低，這些問(wèn)題是模型評(píng)估的主要方面，需要搭建相應(yīng)的測(cè)試環(huán)境，對(duì)上述問(wèn)題進(jìn)行嚴(yán)格的測(cè)試。

對(duì)于硬件需要具備兩個(gè)以上的處理器核，并且支持硬件虛擬化的處理器，和具備較為充足地址空間的內(nèi)存，因此我們選擇Intel的支持虛擬化的多核心處理器和4GB內(nèi)存，對(duì)于軟件CAPPM我們采用chaos系統(tǒng)和Linux 0.11內(nèi)核開(kāi)發(fā)而成，虛擬機(jī)監(jiān)控器則采用支持硬件虛擬化的Xen。

我們構(gòu)造了含有不同CAPPM系統(tǒng)個(gè)數(shù)的協(xié)作模型，編寫(xiě)了性能測(cè)試程序?qū)ξ覀儤?gòu)造的模型進(jìn)行性能測(cè)試，此性能測(cè)試主要測(cè)試模型在云計(jì)算應(yīng)用保護(hù)密集時(shí)，隨著CAPPM系統(tǒng)個(gè)數(shù)的增加，需要保護(hù)的云計(jì)算應(yīng)用的平均執(zhí)行效率的變化以及模型穩(wěn)定性的變化。

如圖2所示隨著CAPPM系統(tǒng)個(gè)數(shù)的增加，模型的穩(wěn)定性基本保持不變。說(shuō)明了模型的可行性。

如圖3所示隨著CAPPM系統(tǒng)個(gè)數(shù)的增加需要保護(hù)的云計(jì)算應(yīng)用的平均執(zhí)行效率在逐漸提高，然而由于用于測(cè)試的機(jī)器中的處理器個(gè)數(shù)有限并沒(méi)有測(cè)試出CAPPM個(gè)數(shù)一直增長(zhǎng)，云計(jì)算應(yīng)用的平均執(zhí)行效率會(huì)怎樣變化。

四、結(jié)束語(yǔ)

本文提出了基于多處理虛擬化的云計(jì)算應(yīng)用保護(hù)技術(shù)，將集成在虛擬機(jī)監(jiān)控器中云計(jì)算應(yīng)用保護(hù)模塊移植出來(lái)，讓其集成在Linux內(nèi)核中成為與VMM對(duì)等協(xié)作的獨(dú)立系統(tǒng)，在一定程度上解決了云計(jì)算應(yīng)用保護(hù)密集型的云計(jì)算平臺(tái)的需求。然而由于用于測(cè)試的機(jī)器中的處理器個(gè)數(shù)有限并沒(méi)有測(cè)試出CAPPM個(gè)數(shù)一直增長(zhǎng)，云計(jì)算應(yīng)用的平均執(zhí)行效率會(huì)怎樣變化。

參考文獻(xiàn)

[1]馮登國(guó)，張敏，張研等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（1）：71-83.

[2]房晶，吳昊，白松林.云計(jì)算安全研究綜述[J]. China Academic Journal Electronic Publishing House，2010年第九期.

[3]陳全，鄧倩妮.云計(jì)算及其關(guān)鍵技術(shù)[J].計(jì)算機(jī)應(yīng)用，2009年9月第九期.

[4]張?jiān)朴拢惽褰穑怂砂氐?云計(jì)算安全關(guān)鍵技術(shù)分析[J]. China Academic Journal Electronic Publishing House.