基于多租户隔离的云安全建设

刘波

（中国电信股份有限公司广东分公司 广东省广州市 510000）

1 基本概念

云计算是一个服务平台，使多个租户可以重用资源以及应用程序。由于云计算平台具有一系列特性，如虚拟化、开放性以及共享性，所以很难以一种明确的界限对租户进行严格的区分，从而进行管理与分离，因此，就造成了一系列安全问题[1-2]。 现如今，诸如具有安全隐患的网络和数据隔离等问题已被国际云安全联盟确定为云安全的主要威胁之一[3]。

如今所谓的租户安全隔离，主要是指多个租户在云安全环境中对关键的信息资源进行共享。但是，租户个人信息的使用不受到其他租户的影响，这一方面能够有效防止各类危险的出现，从而才能够保证各个独立租户个体在使用过程中的信息以及服务不受干扰[4]。但是为了保证隔离的安全性。业内出现了各种的安全隔离方法，诸如对访问进行控制，以虚拟机进行隔离和各种加密存储方法。尽管上述隔离方法在租户数据之间提供了某种隔离，但是它们中的大多数仅集中于一个隔离级别，例如加密的隔离存储，物理租户隔离以及数据访问控制。

本文从目前各类数据研究中所存在的诸多问题入手。从建立多级数据源隔离开始。对租户的数据安全性进行了详尽的研究。本文构建的与安全系统以租户虚拟域作为颗粒度构建了隔离存储成网络存储和管理隔离层，利用系统性的思想。从系统层面解决了租户数据隔离的安全性，另外，将虚拟安全标签作为特色引入系统解决方案之中，此外，还对传统的哈希算法进行了改进，从而实现了对租户资源的分布式映射，之后，通过安全标签和数据进行有效绑定。对租户数据隔离算法进行了改进，从而有效解决了租户在信息共享过程中存在着隔离以及安全性访问问题，最后，在隔离规则的控制下，使用新的安全性标签和身份验证，在虚拟安全领域中实现有效的数据传输。

2 相关研究简介

这些年以来，为了实现对租户的分离。出现了各类的租户分离技术。我们可以将租户分离技术分为基于硬件、操作系统、中间件、租户网络、存储等不同层级的隔离，接下来对不同级别的租户数据安全隔离进行了相应的文献研究：

（1）通常所谓基于硬件的隔离，是指通过提升硬件性能，从而实现对租户之间的安全隔离。基于硬件实现的隔离包括简单的技术构想以及高级隔离，但是需要较高的设备性能，较高的功耗以及较高的成本。

图1：域隔离器功能结构

（2）所谓操作系统级的隔离是指在租户之间使用虚拟机实现计算资源的共享。该方法能够有效实现租户之间的信息共享，并保证各地的安全性，通常采用虚拟机管理层湖隔离层隔离的方案，他主要实现了操作与管理的分级。Roy 等人提出了一种基于虚拟机的信息流控制方法，该方法通过在程序上实现的可变及对租户的信息流进行有效跟踪，从而对租户资源进行了有效的保护，杨永坚等人提出了一种基于云平台的新型安全隔离构架，该构架可对虚拟机内部数据进行有效的加密与保护，从而提高了系统I/O 以及虚拟机之间访问内存隔离的安全性。Malka 等人提出了一种新型的硬件虚拟化技术。通过该技术可以有效提升虚拟机的隔离安全性，但是由于该市方案尚属理论研究阶段，并未实现真正的虚拟机隔离方案。虽然简单的虚拟机隔离很容易导致多租户混乱，但违反虚拟机隔离控制会损害其他虚拟机的安全性。

（3）作为中间件级别的隔离设置，在租户之间有效实现资源的信息共享。这就涉及到容器技术的使用，所谓容器技术是一种可以实现租户之间的高度信息共享，如今市场上最为常用的容器技术主要有Linux 容器和Docker 容器，但是由于容器在设计时，其主要目的是能够为用户提供更高质量的网路服务，因此，其隔离能力不强，可能存在安全隐患，甚至威胁到主机的安全，从而导致停机以及威胁。 其他容器的安全性。 这威胁到租户数据的安全性。

（4）租户网络级隔离是指基于网络虚拟化的租户之间网络的逻辑隔离，以确保租户之间数据传输的安全性。传统的数据中心网络通常使用虚拟局域网（VLAN，虚拟局域网）技术。如今，普通租户通常只是用VLAN，但是从技术层面上看，传统的VLAN 对不同租户是彼此隔离的，这就导致不同租户之间无法直接实现通信，所以，当使用传统VLAN 的用户数量大幅增长的时候，导致VLAN 以及配置不佳。复杂的问题。为了满足大型数据中心租户网络的隔离需求，如今涌现了许多用于租户隔离的新技术，在这些新技术中覆盖网络体系结构是其中十分亮眼的一个，其能够有效解决多租户网络隔离。在实际的现场应用中，通信服务运营商通常采用可扩展的虚拟局域网（VXLAN，虚拟可扩展LAN）以及NVGRE（使用通用路由封装的网络虚拟化）。 VXLAN 技术是在传统的VLAN技术的基础上发展起来的，其能够大幅增加节点数量，但是，由于其最终的虚拟终端数量的大幅增加常常导致系统节点数量过载，从而会对系统的使用性能造成严重影响。而NVGRE 协议通常使用大路由协议进行封装，所以对于系统节点数量的增加并不敏感，但是，由于其采用了非标准的传输协议，所以其性能较低，对于硬件设备的要求较高，因此，将二者进行融合是一种很好的解决方案。

3 租户虚拟域分离的建设思路

3.1 基本定义

虚拟域（VD，virtual domain）。所谓的虚拟域通常指一片逻辑上安全的区域，其主要包括了租户本身的各类虚拟资源以及一组包含用户的乘员。

域隔离器（DR，domain isolator）。其主要对组合的各类资源进行管理，通常指云平台中的路由器或交换机。

不同的域隔离器中通常内置一个能够自动生成的网关，这一网关的功能主要包括自动进行标签生成，实现标签的映射，对地址进行解析，验证用户的身份标签，资源管理以及调度，租户标签生成以及分发以及标签映射索引等功能组件。 并完成租户信息，在域中重定向数据访问位置，标签分析，身份验证以及处理，租户资源的集成管理以及调度等功能。一个典型的域隔离器的结构图如图1所示。

安全标签（SLebal，安全标签）。 面对租户虚拟域中不同级别的隔离要求以及租户虚拟域中资源以及数据的唯一标识，本文提出了不同形式的安全标签SLebal={TID, DLebal, VLebal}。其中，虚拟域安全性标签用TID进行表征，数据存储标签用DLebal进行表征，即Data Lebal，数据控制标签用VLebal 进行表征。

（1）TID。租户虚拟域标识符TID = Hash（ID || T），其中“ ||” 是连接操作，ID 是租户的唯一标识符，T 是租户完成映射并与DR 协商后的结果。其后生成的秘密序列号使租户ID 信息能够被很好的隐藏起来，从而有效的防止被恶意租户伪造，从而有效保护了租户的信息安全。

（2）Dlebal。当租户共享存储时，它们用于识别和分离存储租户的私有数据，并在访问存储数据时实现属性身份验证。 迪巴尔{ tid，key，，tk }。 Key 是用于加密存储数据的密钥。 { f1，f2，... ，fn }是策略谓词的集合，属性 a { a1，a2，... ，an }用于用户访问存储的数据。 例如，策略谓词{“ user bob” ，“ read” ，... ，“ data ∈[2017,2019]”}。 只有当∈(a’是访问属性)中的’()() ，ii f a something [1，]时，用户获得存储的数据并使用密钥解密数据密文。Tk 是用于获取 f (a) f (a’)密文的查询标记。

（3）VLebal。数据控制标签用于控制租户虚拟域内部以及外部的数据的安全标签VLebal = {TID，Hash_S，BAN_TIME，Trans_Type}。 S 是数据安全级别，Hash_S 是安全级别S 的哈希值，BAN_TIME 是机密性保留期限，而Trans_Type 是数据传输方法。

3.2 基本概念

本文根据租户对安全性隔离的不同需求级别，将逐步虚拟域分为以下三个基本层级，分别是隔离存储虚拟网络隔离和隔离网管理。本节对租户虚拟与分层构造的基本概念进行一些简要的描述与介绍为之后的云安全建设打下技术基础。

（1）由于在云平台中，通常已经安装了多个分离的域隔离器，所以，使用时，能够使用不同的安全标签对各个不同的虚拟域进行高效、可靠、安全的识别，并将信息分发给多个域隔离器以分离租户。设计了租户虚拟域映射算法。分散管理以及资源分离。

（2）设计数据控制标签与租户数据组的绑定方法，以实现对租户虚拟网络层的分离，并使用域隔离器的标签解析功能，认证功能以及地址解析功能来使用域隔离器 以及租户虚拟域。 提供分布之间的数据传输。

（3）在对租户数据进行存储时，本文采用的是分离存储的方法，利用所谓的谓词加密技术，对于租户的基本数据进行分离，之后，将数据与标签进行一一对应，在需要使用时，利用域隔离器进行标签解析，从而区分出不同用户的数据，之后，又使用了令牌和谓词查询策略，从而实现了对加密密钥，数据密文以及租户数据的加密与存储，通过该技术能够实现对租户数据的隔离与保存。

（4）通过对租户数据的隔离规则进行明确，系统可以通过使用简单的标签与标记对数据进行跟踪，通过该方法，能够有效防止数据的聚合，最终实现防止数据泄露的最终目的。建立数据安全通道和数据流控制规则。安全虚拟域中的租户数据传输和访问隔离。

总之，通过在不同级别引入安全标签，本文结合了租户虚拟网络的建立，隔离存储以及在域隔离器的分布式管理下的数据访问，以创建彼此独立的租户虚拟域。

4 小结

通过创建多租户安全域，可以安全地分离租户数据。 为此，本文提出了一种在L-DHT 基础上的多租户虚拟域分离算法，构建一种能够实现对租户的隐私以及基础资源进行有效保护的分布式映射机制，该机制能够很好以一种分布式的方式实现对租户资源的管理。

（1）它将域安全标签和一致哈希算法结合起来，为多租户提供分布式隔离映射算法。 这样就完成了租户资源和域隔离器的良好平衡映射，您可以将资源从域隔离器分配到租户资源。

（2）数据存储标记和租户数据以解决对租户数据的独立访问。

（3）租户数据的多维分离使用控制规则和租户数据包链接、分析和身份验证，使用流和控制规则为数据传输建立一个安全通道。用来提供安全的控制。 提供独立访问。