[发明专利]存储资源的安全共享

说明书

提供了一种计算机系统(100)，该计算机系统(100)允许基础设施即服务(IaaS)系统的多个不同用户共享存储设施(500)，同时保持用户之间的安全性分隔。还提供了一种被配置为在计算机系统中使用的控制器(150)以及相应的方法和计算机程序。计算机系统(100)包括逻辑块(101)和控制器(150)，该逻辑块(101)包括一个或多个执行指令的处理单元，该逻辑块(101)被配置为通过第一接口(102)发出从存储器读取和向存储器写入的请求，该控制器被配置为：实现到存储器(500)的通信链路；实现到第二计算机系统(200)的通信链路(300)，并从第二计算机系统(200)接收标识逻辑块(101)的当前用户的信息；以及通过第一接口(102)从逻辑块(101)接收从存储器读取和向存储器写入的请求并完成请求。第一接口(102)是逻辑块(101)与控制器(150)之间的专用物理接口，由此控制器(150)可以确定通过第一接口(102)的通信是与逻辑块(101)的通信。控制器(150)被配置为使用由第二计算机系统(200)标识的逻辑块(101)的当前用户被允许使用的存储器(500)的一个或多个存储位置来完成从存储器读取和向存储器写入的请求。

技术领域

本发明涉及用于安全地共享由多个不同用户使用的存储资源的计算机系统和方法。

背景技术

基础设施即服务(IaaS)由诸如Compute和等各种“云”提供商提供。利用IaaS服务，物理计算基础设施的中央池在安全性分隔(separation)的情况下由多个独立客户(或“用户”)使用，以确保任何给定客户的数据和进程(process)与任何其他客户的数据和进程隔离开。

这种隔离(isolation)需要在任何给定时间点和不同时间点都适用。这是因为一个客户(客户A)在第一时间(T1)使用的计算基础结构可能随后被另一个客户(客户B)在稍后的时间(T2)使用。客户B的进程必须不能访问客户A的数据，或者客户A的进程必须不能持续到时间T2并获得对客户B的数据的访问(或修改客户B的进程的行为)。

现有的IaaS使用虚拟化层或虚拟机监控程序层(hypervisor layer)来实施这种隔离。虚拟化技术允许IaaS提供商限定隔离的“虚拟机”，每个虚拟机可以由不同的客户使用。除了在任何给定的时间点相互隔离虚拟机之外，虚拟化技术还负责通过实施任何给定的虚拟机只能访问属于当时正在使用该虚拟机的客户的数据来提供跨时间点的隔离。

但是，在某些情况下，虚拟化提供的隔离级别可能不足以满足客户的安全性要求。虚拟化技术中的漏洞(例如，VENOM漏洞)可能允许恶意客户访问正在同一物理主机上操作虚拟机的其他客户的数据和进程。

为了解决这些问题中的一些，可以为客户提供他们自己的专用物理设备(包括处理资源以及潜在的外围设备，例如永久存储器)，而不是虚拟机，以提供客户之间的更强的隔离级别。

但是，尽管这在时间点上提供了适当的隔离，但它本身并没有提供跨时间点的隔离。例如，如果客户A在时间T1使用了专用的物理设备P1，然后客户B在时间T2使用了该专用的物理设备P1，则客户A的进程可能持续到时间T2并获得对客户B的数据的访问。作为另一个示例，如果P1包括永久存储器，则客户B将有权访问客户A在该永久存储器上存储的数据。即使客户A已经对其数据进行了加密，客户B仍可能覆盖加密的数据，这样，当客户A在时间T3返回使用P1时，其数据将不再可用。

此外，如果分配给客户A不同的物理设备(P2)，则客户A可能希望在时间T3访问其数据。为了做到这一点，客户A的数据需要被存储在某个共享存储设施上，该存储设施可以在时间T1从P1访问，而在时间T3可以从P2访问。这可以由连接到网络的网络附接存储(NAS)装置提供，该网络还连接到P1和P2。在这种情况下，为了在客户之间实现适当的隔离，任何给定的物理设备应该只能访问共享存储设施上的由该给定的物理设备当时所分配给的客户拥有的存储数据。