RSA中國(guó)大會(huì)鄭緯民:云存儲(chǔ)安全
【51CTO.com 綜合報(bào)道】2010年10月21日,RSA2010大會(huì)在北京召開,期間分為了多個(gè)分會(huì)場(chǎng)進(jìn)行了不同主題的精彩演講。51CTO作為特邀媒體,對(duì)大會(huì)進(jìn)行了相關(guān)報(bào)道。更多內(nèi)容請(qǐng)參閱RSA 2010信息安全國(guó)際論壇專題報(bào)道。大會(huì)中,各個(gè)領(lǐng)域的專家都來進(jìn)行了安全方面的演講和溝通。下面就是清華大學(xué)計(jì)算機(jī)教授鄭緯民先生帶來的精彩演講,主題是《云存儲(chǔ)安全》。
鄭緯民:大家下午好!很高興來參加這個(gè)會(huì)。實(shí)際上這是安全的會(huì)議,我不是做安全的,怎么來講安全問題?最近一段時(shí)間我在做系統(tǒng),比如我們最近在做云計(jì)算、云存儲(chǔ),發(fā)現(xiàn)安全問題非常重要,因此我們就來做做安全。
作為一個(gè)數(shù)據(jù)中心,安全的數(shù)據(jù)中心一些關(guān)鍵技術(shù)研究。從不懂安全的人的角度來講怎么做安全的問題。我大概講五件事情:需求與狀態(tài);問題;關(guān)鍵技術(shù),我們做系統(tǒng)的人來說,數(shù)據(jù)中心安全的問題,包括權(quán)限的管理,訪問控制,分布式文件系統(tǒng);我們做的工作情況。困難和究竟我們想得到什么。
背景
鄭緯民:海量數(shù)據(jù)爆炸性成長(zhǎng),數(shù)據(jù)非常多,多得不成樣子,都是TB形式增加,全球10倍增加,中國(guó)30倍增加,反正數(shù)據(jù)很多。海量數(shù)據(jù)都是異構(gòu)的,有不同種種類,結(jié)構(gòu)分布是復(fù)雜的。來訪問數(shù)據(jù)的人很多,全球訪問。數(shù)據(jù)成為很關(guān)鍵的資源,現(xiàn)在數(shù)據(jù)很值錢,因此怎么保護(hù)它,怎么讓它可靠,安全問題、可靠問題、保護(hù)問題,這些問題都提出來了。現(xiàn)在數(shù)據(jù)中心時(shí)代已經(jīng)到來了,特別是最近一年,我這一年多時(shí)間,關(guān)于云計(jì)算、物聯(lián)網(wǎng)在我們國(guó)內(nèi)提起的次數(shù)最多,實(shí)際上我體會(huì)的云計(jì)算就是要建一個(gè)計(jì)算中心,物聯(lián)網(wǎng)最后把數(shù)據(jù)也放在數(shù)據(jù)中心。因此不管物聯(lián)網(wǎng)也好,云計(jì)算也好,都要建一個(gè)數(shù)據(jù)中心,這兩個(gè)是一碼事。數(shù)據(jù)中心要建好了以后,安全性就凸顯出來了。因此我們說的數(shù)據(jù)中心是安全的數(shù)據(jù)中心。
研究背景
鄭緯民:云計(jì)算,大家說的很多,有它很好的一面,也有炒作的一面。云計(jì)算有可能成為未來的一種計(jì)算模式。數(shù)據(jù)中心是物聯(lián)網(wǎng)的一個(gè)基礎(chǔ)設(shè)施。
什么叫云計(jì)算?云計(jì)算可能有100多種定義,各種各樣的人定義是不一樣的。那么,我理解的云計(jì)算是指你不要買計(jì)算機(jī)了,不要買存儲(chǔ)器了,不要買軟件了。有一個(gè)單位要買,他買了計(jì)算機(jī)、買了存儲(chǔ)器、買了軟件,一般的人,一般的單位就不要買了,你提一個(gè)請(qǐng)求給數(shù)據(jù)中心,就把這個(gè)事情辦成了,然后把結(jié)果給你,你付一筆錢。這就是云計(jì)算。因此我們說云計(jì)算這件事情需要一個(gè)數(shù)據(jù)中心,數(shù)據(jù)中心越來越大,因?yàn)槎疾毁u機(jī)器了,北京市就幾個(gè)數(shù)據(jù)中心,數(shù)據(jù)也很大,所以這個(gè)問題很重要。
數(shù)據(jù)中心對(duì)我們中國(guó)人來說也是非常重要的。一般的單位、一般的人,不買機(jī)器了,不買存儲(chǔ)器了,有一個(gè)數(shù)據(jù)中心是大家共享的。還有一個(gè)特點(diǎn),就是跨國(guó)的,數(shù)據(jù)中心不一定在北京,有可能在紐約,在美國(guó),也有可能在法國(guó)。因?yàn)閿?shù)據(jù)中心可以跨國(guó)的,所以安全特別重要。現(xiàn)在我們做關(guān)于數(shù)據(jù)中心安全的問題,有幾個(gè)比較重要的國(guó)外企業(yè)本事比較大,比如EMS、谷歌、微軟等等,都是做安全中心比較好的。
我們國(guó)家對(duì)金融業(yè)也好,能源也好,工業(yè)、農(nóng)業(yè)、科學(xué)、健康等等方面需要開發(fā)自己的安全的數(shù)據(jù)中心。如果把數(shù)據(jù)放在紐約,把數(shù)據(jù)放在倫敦,總覺得心里不太安全,要自己做一個(gè)安全的數(shù)據(jù)中心,怎么做?我列了幾個(gè)國(guó)外的情況。
2008年,歐盟花了170億歐元來做項(xiàng)目,2009年,美國(guó)NFS和一些公司用10億美元做云計(jì)算平臺(tái)。2009年美國(guó)政府開始做云計(jì)算項(xiàng)目。美國(guó)圣地亞哥大學(xué)做異步數(shù)據(jù)存儲(chǔ),有很多研究。我感覺沒有一個(gè)專門的研究題目重點(diǎn)放在安全方面的。我們中國(guó)自然科學(xué)基金做了一些大規(guī)模網(wǎng)絡(luò)存儲(chǔ)管理、網(wǎng)格和數(shù)據(jù)網(wǎng)格,新的存儲(chǔ)媒體等等。科技組織的863項(xiàng)目,也是做大規(guī)模存儲(chǔ)。973項(xiàng)目,做基礎(chǔ)研究。
其中,清華大學(xué),我所在這個(gè)所做了清華大學(xué)云存儲(chǔ)。所有公司方面也有,IBM在無錫做了一個(gè)云中心。總的說來,專門做安全方面的數(shù)據(jù)中心少一點(diǎn)。
清華大學(xué)做了存儲(chǔ)云,這個(gè)云實(shí)際上也是一個(gè)數(shù)據(jù)中心。這個(gè)數(shù)據(jù)中心分三個(gè)框。
1.中間,是個(gè)人用戶,這朵云對(duì)外面來說是個(gè)人用戶,現(xiàn)在有1.6萬個(gè)個(gè)人用戶在我們這兒注冊(cè),我就給他2個(gè)G空間,是我這朵云的用戶我就給你2個(gè)G空間,一共有1.6萬人。
2.左邊,集團(tuán)用戶,比如我們清華大學(xué)教務(wù)處,一注冊(cè)以后,就給他400G或者300G的空間教務(wù)處里面有十來個(gè)老師,這些老師共享這400G的空間,里面所有的文件是共享的。我們現(xiàn)在集團(tuán)用戶有200、300個(gè),有1.6萬個(gè)個(gè)人用戶。
3.右邊,公共用戶,不用注冊(cè)就可以,里面放著40T講課錄像帶,高等數(shù)學(xué)、計(jì)算機(jī)原理等課的錄像帶都放在里面。
我們現(xiàn)在有100T的存儲(chǔ)器,這些存儲(chǔ)器就給我們清華大學(xué)1.6萬個(gè)個(gè)人用戶放東西,還給幾百個(gè)集團(tuán)客戶放東西,我們還有很大比例放公共用的上課錄像和軟件。這朵云就是我們清華大學(xué)老師跟學(xué)生注冊(cè)就能用,不是注冊(cè)用戶也可以看錄像帶方面的內(nèi)容。
我們這朵云的個(gè)人界面,跟原來計(jì)算機(jī)的界面基本差不多。計(jì)算機(jī)的界面打開以后有C、D、E盤,現(xiàn)在又增加一個(gè)盤,叫做個(gè)人空間,這個(gè)個(gè)人空間實(shí)際上給你4個(gè)G空間,來E、C、D、E盤就在你個(gè)人筆記本上,現(xiàn)在這4個(gè)G空間在數(shù)據(jù)中心里,實(shí)際上這個(gè)盤在云上,這4個(gè)G空間可以放你的PPT,可以放你的Word,也可以放你的照片,什么東西都可以放,只要有什么地方能上網(wǎng),就能找到它,因此我在學(xué)校里一直說,我們1.6萬人,每個(gè)人都給他2個(gè)G的空間,其實(shí)我今天來報(bào)告的時(shí)候,我的PPT不應(yīng)該拿來,但前提是這個(gè)計(jì)算機(jī)能上網(wǎng),我一上網(wǎng)就上到我的云里,我的云里有我的PPT,就拿來了。我現(xiàn)在到美國(guó)去也好,到上海去也好,取出一個(gè)報(bào)告,不要拿U盤,也不要拿計(jì)算機(jī),只要有上網(wǎng)的地方,上這個(gè)云,上我的空間,里面有4個(gè)G的PPT,我提來用就行。現(xiàn)在只要能上網(wǎng),這朵云里找到我想要用的PPT。實(shí)際上云存儲(chǔ)對(duì)于公司來說也很好,因?yàn)橛?jì)算機(jī)做成沒有U盤的接口,拷貝都拷貝不走。#p#
結(jié)構(gòu)
鄭緯民:假如,我有100T容量的硬盤,放在三個(gè)位置,有的在我們清華大學(xué)東主樓,有的在清華大學(xué)非主樓。現(xiàn)在100T,因?yàn)檫@個(gè)東西不要太可靠的硬盤,20T容量的硬盤加上一臺(tái)計(jì)算機(jī),5萬人民幣就可以買來了,你一打電話,中關(guān)村馬上給你送來。我們差不多幾個(gè)月就改一改,不行,再打一個(gè)電話,就變成140T,前提是一定要做到可擴(kuò)展,很容易把它加上去。
你聽我說了以后,你就能感覺得到清華大學(xué)的一朵云,這朵云專門是硬盤的云,可以放數(shù)據(jù),也可以拿數(shù)據(jù)走。那么問題在哪?問題就是安全性。
現(xiàn)在1.6萬用戶,我們做過調(diào)查,往里面放的數(shù)據(jù)重要不重要?實(shí)際上大多數(shù)人放的數(shù)據(jù)不重要。為什么不重要?他害怕,怕兩件事情。我們做系統(tǒng)的人來說,什么是安全:
1、數(shù)據(jù)別丟了。
2、放的數(shù)據(jù)不能讓別人看,不能拿走也不能看。
如果做到這兩件事情,我們從做系統(tǒng)角度來說,我覺得就是安全的。
第一件事情,我們有辦法,我們做系統(tǒng)的人最會(huì)解決第一件事,就是數(shù)據(jù)別丟了,我們做得到,做起來不麻煩。給你2個(gè)G、4個(gè)G空間,我放5張照片存在里面,同時(shí)旁邊兩個(gè)硬盤里面有復(fù)制,就是不能存一份,多存兩份,總不會(huì)都一塊丟了吧,這概率就低了。實(shí)在不行,我在天津還做一個(gè)異地備份,北京丟了,天津還有。因此我們做系統(tǒng)的人很會(huì)這一套辦法。
第二件事情,怎么別讓人家看了,別讓人家拿走了,這件事情我們?cè)瓉聿粫?huì),因此我覺得有關(guān)的工作,數(shù)據(jù)中心安全上面有五件事情:
1、訪問控制。
2、數(shù)據(jù)加密以后裝進(jìn)去,或者傳輸?shù)臅r(shí)候加密。
3、存儲(chǔ)系統(tǒng)本身的安全。剛才復(fù)旦大學(xué)陳海波教授提到,我們有EMC,復(fù)旦大學(xué)、華東科技大學(xué)、清華大學(xué),四家單位一塊做道里系統(tǒng),道里系統(tǒng)實(shí)際上就是保證不讓系統(tǒng)程序員看。
4、可靠性。我們做一個(gè)分布式文件系統(tǒng),比如GFS、容災(zāi),清華大學(xué)也做了一個(gè)數(shù)據(jù)容災(zāi),中科院計(jì)算所也做容災(zāi),這些事情大家都得做。
最開始的出發(fā)點(diǎn)是這樣的,存儲(chǔ)的硬盤跟所有的數(shù)據(jù)是分開的,其中的問題出在這里:你的數(shù)據(jù)放在數(shù)據(jù)中心,這5張照片所有權(quán)是你的,這個(gè)數(shù)據(jù)中心的硬盤是某一個(gè)單位老板的,因此這個(gè)照片跟存儲(chǔ)的硬盤所有者是分開的。外國(guó)人也這樣,都喜歡這個(gè)東西放在我邊上的硬盤里,安全一點(diǎn),放到數(shù)據(jù)中心里,感覺很麻煩。因此怎么樣讓客戶相信數(shù)據(jù)中心給他數(shù)據(jù)存儲(chǔ)、管理是安全的。
清華大學(xué)已經(jīng)做了一個(gè)云存儲(chǔ),我們大學(xué)1.6萬人左右,現(xiàn)在在很多地方都有存儲(chǔ)公司,我覺得基本上沒有人放東西。如果安全問題不解決,誰去放,不要錢的可以去放,放的都是沒有太多用處的。要錢了,沒用途也不放了。如果不安全,不要錢更不放。因此我們?cè)趺醋觯?/p>
1、對(duì)管理來說,就是要做好用戶的認(rèn)證跟用戶的授權(quán)、訪問控制。
2、可管理、可控制。訪問數(shù)據(jù)的時(shí)候,整個(gè)操作過程都被記下來,有案可查。對(duì)用戶來說,有隱私保護(hù),不能讓別人看到,包括系統(tǒng)管理員。可靠性,不要丟掉,這是很重要的事情。
訪問控制,我們跟別人不一樣,基于交換機(jī)來做。過去更多的人是你進(jìn)來了,在計(jì)算機(jī)上做訪問控制,我們?cè)诮粨Q機(jī)上做。這就是一個(gè)防盜門。另外一個(gè)叫做路徑控制,假如說防盜門對(duì)他來說是可以進(jìn)來的,允許他進(jìn)來。因?yàn)閿?shù)據(jù)中心很大,進(jìn)來的時(shí)候,讓他進(jìn)到合適的地方去。比如數(shù)據(jù)中心里有1000個(gè)機(jī)器,他進(jìn)來的時(shí)候要訪問我的讀寫,他只是第一個(gè)硬盤的讀寫,他進(jìn)來的時(shí)候只有第一個(gè)硬盤讓他進(jìn)去,其他硬盤都不讓他進(jìn)去。因此給它指定了一條路,雖然他有訪問權(quán)利,但是只能走這一條路。這是權(quán)限管理方面的事。
可管可控,我們把所有訪問操作跟數(shù)據(jù)都記下來,有案可查,一出問題可以查到它。
隱私保護(hù),我們跟EMC、復(fù)旦大學(xué)、華中科技大學(xué)、清華大學(xué)一塊做道里,做一個(gè)數(shù)據(jù)進(jìn)程的保護(hù),就是副本管理。繼我們分布式文件系統(tǒng)做了一個(gè)副本管理。你怕丟了,做兩三個(gè)拷貝就不會(huì)丟了。
清華大學(xué)的數(shù)據(jù)中心安全方面究竟怎么做的?下面是數(shù)據(jù)中心,上面是交換機(jī)。上面叫分布式文件系統(tǒng),分布式文件系統(tǒng)大概有四大部門組成,最上面左邊叫Clients,不是客戶用的,我們分布式文件系統(tǒng)里的Clients。Supervisors,專門做管理和監(jiān)控。最底下的是數(shù)據(jù)服務(wù)器。這里要注意,一個(gè)文件來了,分成一塊一塊的,分好以后不是連續(xù)放在一起,放在不同硬盤里。一個(gè)文件分成好幾塊,放在不同硬盤里,因此這里也有安全的問題,人家把你這幾塊偷走了,但是需要湊在一塊才行。
這個(gè)原數(shù)據(jù)管理器,一個(gè)文件分很多塊,都放在這里。因此這三個(gè)東西比較重要,這三個(gè)東西一定要保護(hù)好。這個(gè)文件一共分成五塊,第一塊放在哪個(gè)硬盤,第二塊放在哪個(gè)硬盤,都在這里記著,如果把這個(gè)東西偷走就麻煩了,因此要把這三個(gè)東西保護(hù)起來。
第一件事情,做的是Clients Door,就是防盜門,進(jìn)到數(shù)據(jù)中心之前,先由它來把關(guān),否則不讓你進(jìn)去。
第二件事情,即使你能進(jìn)來,我要給你指定一條道,只許你走這兒,數(shù)據(jù)走這兒,不許讓他進(jìn)這兒,給它指定,它在哪,只能訪問這個(gè)東西。
第三件事情,這三個(gè)地方不能重要,我們要做進(jìn)程控制。這里面的數(shù)據(jù)是打碎的,碎了以后,偷走了要拼在一塊也不容易拼。
內(nèi)存、CPU,CPU要訪問內(nèi)存,訪問當(dāng)中有可能數(shù)據(jù)被人家拿走,管理員可以看了。這些數(shù)據(jù)要保護(hù),別讓人家看,每次這個(gè)數(shù)據(jù)跟內(nèi)存打交道的時(shí)候,機(jī)器加密。加密以后,管機(jī)器的人就看不了了。 I/O MMU進(jìn)來也是,這個(gè)數(shù)據(jù)進(jìn)來,我要保護(hù),不讓管理員看的就加密。比如一個(gè)應(yīng)用程序要寫進(jìn)去,進(jìn)到道里以后,原來這個(gè)數(shù)據(jù)進(jìn)來是明文數(shù)據(jù),就是看得見的數(shù)據(jù)。進(jìn)入道里以后,把它加密,加密以后,把它寫到硬盤里去。讀的情況,從硬盤讀出來以后,道里要把它檢驗(yàn),再給他,是這樣一個(gè)過程。原來的數(shù)據(jù)往內(nèi)存寫,輸出的時(shí)候沒有保護(hù),管系統(tǒng)的人和能看能控制的,現(xiàn)在我們做虛擬機(jī),現(xiàn)在裝的Linux變成虛擬機(jī)的應(yīng)用軟件,我做了一個(gè)加密以后誰都看不了了。加了這個(gè)東西以后,究竟有沒有開銷。我們做一個(gè)實(shí)驗(yàn),700M大小的文件,寫進(jìn)去以后,如果沒有道里,不需要保護(hù)的話,大概計(jì)算機(jī)用的是3.56%,每秒11M,不如果加了加密傳輸這個(gè)動(dòng)作以后,大概15.39%,因?yàn)檫@個(gè)傳輸沒有開銷,再加上道里大概是19.15%,因此道里的開銷是4%點(diǎn)多,不是非常大。這是服務(wù)器端。客戶端也一樣,100kb大小的文件,它的開銷大概也是增加4%。我覺得這件事情還可以接受。我們還沒有做太多的優(yōu)化,我們優(yōu)化做得好一點(diǎn)的話,還能把它做好。
訪問控制方面我們做了一個(gè)防盜門,它走專用通道,你去三樓只能進(jìn)三樓。數(shù)據(jù)保護(hù),做一件事情不讓別人看,管機(jī)器的人都看不了。我們做分布式文件系統(tǒng),放在不同的地方,文件打碎以后,偷走了,要加在一塊也很難。我剛才說的事情基本都做了,道里是我們幾家一起做的,已經(jīng)用在清華大學(xué)云存儲(chǔ)系統(tǒng)上。
做這件事情很困難,很麻煩。數(shù)據(jù)管理,怎么專門走一條道,數(shù)據(jù)進(jìn)程保護(hù)等等都很難。做完道里以后,我們?cè)嚵艘幌拢覀冇幸粋€(gè)實(shí)驗(yàn)課,有這個(gè)辦法把數(shù)據(jù)保護(hù)起來了,機(jī)器管理人也看不了,我們給學(xué)生布置一個(gè)作業(yè),想辦法看到,誰看到分?jǐn)?shù)就高,到現(xiàn)在為止還沒有人能看,因此還是有效果的。
我從這幾個(gè)角度說說云計(jì)算需要數(shù)據(jù)中心,數(shù)據(jù)中心一定是安全的,否則數(shù)據(jù)中心放在那是沒有人用的。我從系統(tǒng)角度來看,數(shù)據(jù)中心要做這些事情,否則數(shù)據(jù)中心做不好。道里這個(gè)思想還用在我們另外一個(gè)智能手機(jī)項(xiàng)目,手機(jī)訪問互聯(lián)網(wǎng)非常重要,現(xiàn)在手機(jī)用戶很多,手機(jī)有三個(gè)問題:
1、很容易丟,丟了以后,地址薄沒有了,原來的短信也沒有了,這是很麻煩的事情。
2、費(fèi)電。
3、網(wǎng)絡(luò)有時(shí)候斷斷續(xù)續(xù)。
因此我們?cè)谑謾C(jī)上想了一個(gè)辦法,另外做了一個(gè)數(shù)據(jù)中心,不但手機(jī)有了,還有數(shù)據(jù)中心,數(shù)據(jù)中心里有存儲(chǔ)器,把你的短信,把你的地址薄放在那邊,你手機(jī)丟了沒事兒,再買一個(gè)手機(jī),數(shù)據(jù)中心地址薄一下就傳過來了,我們也做好了。春節(jié)的時(shí)候,我的學(xué)生做好了給我看,我覺得很好。從今天開始你們都用這個(gè)手機(jī),但是他們不愿意,說我女朋友給我的短信,管機(jī)器的人看得見,于是我們就把道里用起來,讓管理人員也看不了。
鄭緯民:其實(shí)我這次演講主要就講了兩個(gè)問題:
1、數(shù)據(jù)中心非常重要,肯定是一個(gè)方向。
2、數(shù)據(jù)中心安全沒做好,數(shù)據(jù)中心相當(dāng)于白做。從我們做系統(tǒng)的角度來說,第一要安全,不要丟;第二不要讓別人看。 #p#
提問環(huán)節(jié)
提問:麻煩您把道里系統(tǒng)再給我們?cè)敿?xì)展開講一下。
鄭緯民:我們?cè)瓉碚f這個(gè)機(jī)器的系統(tǒng)管理員有特權(quán),可以看任何東西,現(xiàn)在我們裝操作系統(tǒng)之前先裝一個(gè)虛擬機(jī)的操作系統(tǒng),這樣一來,原來的windows成為我們虛擬機(jī)操作系統(tǒng)的應(yīng)用軟件。原來你要裝windows操作系統(tǒng),管機(jī)器的人就能看所有在他控制下的東西。現(xiàn)在裝一個(gè)虛擬機(jī)的操作系統(tǒng),這個(gè)系統(tǒng)裝完了以后,直接把windows裝進(jìn)去,windows就變成這個(gè)虛擬機(jī)的操作系統(tǒng)的用戶層,管windows操作系統(tǒng)的,因此用戶層就看不了了。
提問:現(xiàn)在我的理解這個(gè)數(shù)據(jù)放在存儲(chǔ)器里是明文的存儲(chǔ),剛才您說在加密的時(shí)候,從CPU到內(nèi)存的時(shí)候,是通過加密,這個(gè)加密的密鑰是誰的密鑰?是服務(wù)器的密鑰還是用戶的密鑰?
鄭緯民:往數(shù)據(jù)中心放的數(shù)據(jù),根據(jù)你的要求,可以加密,也可以不加密。如果這個(gè)東西本來就是公開的,就不要加密,如果這個(gè)東西你要保護(hù),道里把你數(shù)據(jù)做了一個(gè)加密東西,它可以控制這個(gè)事情。
EMC中國(guó)實(shí)驗(yàn)室首席科學(xué)家毛文波:有密鑰管理的策略,可以是用戶的,也可以是系統(tǒng)的,如果您需要保護(hù)的話,有兩種情況,用戶之間可以。SSL,可以想到是客戶端到服務(wù)端已經(jīng)保護(hù)了,而這個(gè)時(shí)候保護(hù)一直保護(hù)到內(nèi)存的區(qū)域,而不是保護(hù)到端,因?yàn)槊恳粋€(gè)用戶都有一個(gè)ID,實(shí)際上是一個(gè)硬件在北橋上面做一個(gè)控制,使得任何一個(gè)I/O都可以得到隔離,如果I/O得到隔離以后hypervisor能夠認(rèn)的出來,就可以讓你的密鑰管理直接管理到內(nèi)存,這個(gè)時(shí)候就可以想象這是用戶密鑰管理的策略。
反過來也會(huì)看到道里本身還有需要保護(hù)的方案,就是系統(tǒng)保護(hù)。比如系統(tǒng)崩潰了,有一個(gè)cheatpiont,也就是系統(tǒng)為了系統(tǒng)重啟,把這個(gè)狀態(tài)也要保護(hù)系統(tǒng),這個(gè)保護(hù)應(yīng)該是系統(tǒng)的密鑰的管理策略,或者如果你需要安全,它就會(huì)用很好的方法給你保護(hù),關(guān)鍵是內(nèi)存的隔離加上I/O的隔離,I/O隔離用到VTD, I/O MMU的方法。
鄭緯民:我們現(xiàn)在買的CPU,都有一個(gè)VTD,硬件做好了,有了這個(gè)東西,我們上面做一個(gè)虛擬機(jī)的操作系統(tǒng),然后就可以做這件事。現(xiàn)在VTD,一般CPU都有了,我們也做了一個(gè)CR系統(tǒng)也可以用到,我們可以做進(jìn)一步優(yōu)化。這個(gè)路是通的,大家一塊努力來做這件事情。
提問:如果用到智能手機(jī)里,智能手機(jī)硬件平臺(tái)也得支持?
鄭緯民:就是我把智能手機(jī)地址薄放在數(shù)據(jù)中心,數(shù)據(jù)中心里的地址薄和短信別讓人家看了,道里也可以用在這個(gè)地方。
提問:我來自中國(guó)人民大學(xué),想問兩個(gè)問題,第一個(gè)問題是您的系統(tǒng)跟谷歌里面有一個(gè)GFS,你的系統(tǒng)跟谷歌推出來的GFS都是數(shù)據(jù)級(jí)服務(wù),因?yàn)樘峁┑氖谴鎯?chǔ)。想問一下谷歌系統(tǒng)跟GFS有什么區(qū)別,因?yàn)槲铱唇Y(jié)構(gòu)很像。
鄭緯民:我們做了一個(gè)分布式文件系統(tǒng),谷歌的GFS是一個(gè)分布式文件系統(tǒng),hadoop也是一個(gè)分布式文件系統(tǒng),我們參考了它,因?yàn)镚FS拿不到,是谷歌自己的東西,我們可以拿hadoop文件系統(tǒng),我覺得里面錯(cuò)誤挺多,因此我們做了一個(gè)分布式系統(tǒng),思想跟hadoop是類似的。
提問:因?yàn)榈览锵到y(tǒng)可以加密,像跳水隊(duì)老師的視頻傳到云里面,這種視頻就不需要加密,因?yàn)楸C芗?jí)別比較低,你們系統(tǒng)實(shí)現(xiàn)的時(shí)候,有沒有根據(jù)用戶需求設(shè)定保密、機(jī)密、絕密,來選擇為他加密還是不加密,因?yàn)檫@樣效率很高,如果所有人都加密的話,效率就很低。
鄭緯民:對(duì),我們現(xiàn)在是分開的,你可以不加密,也可以不走道里,也可以走道里,是分開的。這個(gè)東西如果別人看沒什么關(guān)系就不用走這條路。
提問:你們DFS系統(tǒng)收費(fèi)嗎?
鄭緯民:現(xiàn)在1.6萬個(gè)用戶都是清華大學(xué)的老師和學(xué)生,你是別的學(xué)校的,一般我們不給訪問,我們很愿意給中國(guó)人民大學(xué)裝一套。云存儲(chǔ)這件事情我比較傾向于一個(gè)單位用比較好,現(xiàn)在有100T的存儲(chǔ)器,有1.6萬用戶在用,在內(nèi)部用很好。兩個(gè)原因:1、內(nèi)部網(wǎng)速度比較快。用戶打開了以后,看到C盤、D盤,還看到云狀的一個(gè)盤,你把數(shù)據(jù)拿來拿去,感覺很好。如果我們這個(gè)系統(tǒng),全國(guó)人民都能放,我們有教育科研網(wǎng)、電信網(wǎng),之間又不是太流暢,速度就比較慢,感覺不太好,就是公共上網(wǎng)絡(luò)速度有點(diǎn)問題。2、網(wǎng)上可以放數(shù)據(jù),把你的東西放上去、拿下來,如果是一個(gè)單位的話,我們比較容易控制。比如我上課,上完課以后,我把我的錄像帶放進(jìn)去,有計(jì)算機(jī)系專門有一個(gè)人負(fù)責(zé)把計(jì)算機(jī)系的課放在里面,物理課由物理課老師放。如果公共的話,你的也放,我的也放,亂七八糟的都放進(jìn)去,會(huì)出問題,因此比較麻煩。比如人民大學(xué)做這樣一個(gè)東西,人民大學(xué)里面所有的老師都可以用,我覺得性能也好。比如某一個(gè)研究所做一個(gè)東西,也挺好。某一個(gè)單位,有100T,每個(gè)人給他10G、20G的容量,挺好。公共云不好用。
提問:我是世紀(jì)互聯(lián)的,我有兩個(gè)問題:1、云存儲(chǔ)是不是開源的還是商業(yè)化的。2、您提到虛擬機(jī)操作系統(tǒng),是不是服務(wù)器所有的硬件信息輸出的時(shí)候,牽涉到您的虛擬機(jī)操作系統(tǒng),然后傳遞到他上面的其他系統(tǒng),如果虛擬機(jī)操作系統(tǒng)崩潰了,是不是其他系統(tǒng)就無法使用?
鄭緯民:先回答你第一個(gè)問題,我們?cè)拼鎯?chǔ)有沒有商業(yè)化。我們學(xué)校里的老師不會(huì)做生意。我可以跟你們公司合作,你買一臺(tái)機(jī)器,把這個(gè)軟件掛在里面,把硬件軟件一塊賣,就能賺錢。
第二個(gè)問題就是問題。原來裝的windows崩潰了,也是要崩潰的。現(xiàn)在裝的虛擬機(jī)比較輕量,不太容易壞。
提問:現(xiàn)在有沒有這種可能,還是這個(gè)思路,我的硬件信息傳遞給您講的虛擬機(jī)操作系統(tǒng)的同時(shí),還可以傳給windows或者Linux,是一個(gè)串的概念,不是并的概念。
鄭緯民:一串的話,管機(jī)器的人就可以看了。現(xiàn)在裝一個(gè)虛擬機(jī),把真正的操作系統(tǒng)windows作為這個(gè)機(jī)器的應(yīng)用軟件,他就看不了了。
提問:我想問一個(gè)問題,你們道里系統(tǒng)和政府的合規(guī)性怎么結(jié)合?特別是現(xiàn)在政府安全部門對(duì)數(shù)據(jù)有一些安全要求,你們保護(hù)起來以后,他們這塊怎么做?他們能不能看到?
毛文波:實(shí)際上這是一個(gè)密鑰管理問題,密鑰管理是一個(gè)策略,剛才有位同學(xué)提到加密以后會(huì)不會(huì)造成談不了話,這是策略問題。過去為了本身數(shù)據(jù)恢復(fù)需求,如果密鑰掉了、系統(tǒng)崩潰怎么辦,這些都有。這些問題都比系統(tǒng)崩潰還要簡(jiǎn)單,這些都是策略問題。鄭老師講的都是原理問題,有了原理以后,上面做一些密鑰策略的管理很容易。方法無外乎是一個(gè)I/O的隔離,一些處理。
鄭緯民:我們道里合法不合法,能不能做,因?yàn)榘踩珕栴}要政府批準(zhǔn)。但是我覺得這里如果密碼算法是國(guó)家密碼委員會(huì)批準(zhǔn)的算法,我覺得就沒有不合法的問題。
【編輯推薦】
