“就像获得水、电、燃气等市政公用设施服务那样来获得计算服务”。关于云计算我们经常听到这样的解释，常常还有下文：“用户不必关心计算在那里进行，就像你不关心你所用的水、电、燃气是谁提供一样！”

但是就市政公用设施服务而言，我们事实上却是十分关心服务提供这个问题的。也许囿于目前国内市政公用设施服务的市场现状，广大消费者还无法选择从而也无暇顾及谁为我们提供市政公用设施服务。但请注意，最近各地纷纷召开了有关水价、电价、燃气、燃油、供暖、垃圾处理等等费用价格上涨的听证会，这当然是因为公众对这些市政公用服务的收费价格非常关心所致。我想等到了云计算服务为广大消费者使用之日，大家也一定会更加关心谁将为我们提供计算服务。我们所关心的是服务的质量与收费价格。

既然听证会只有政府才可以组织召开，这里显然就存在一个我们的政府对这些市场实行管制（regulate）这么一个现状。相反的情况就是解除管制（deregulate），其所对应的市场就是一个开放的市场（open market）。一个市场可以被有效管治，前提必须是它不开放。再回到市政公用设施服务市场的话题，以前世界上几乎每个能够提供这种服务的国家都曾经有过市场管制的历史

云计算热度空前，几乎IT与计算机行业的所有分支领域：硬件、软件、高性能计算、海量存储、虚拟化、网络服务、数据库、信息处理、电子商务、网上社区、游戏、娱乐等等，都涉及到或者都加入了推波助澜的行列。这一轮IT的发展大潮也引起了有关政府部门的关心，希望能从中发现新的经济增长因素。一个名词的热与冷与关心该名词的众人数量有关，而一个IT名词被众人关心到“家喻户晓”的程度，就应该与该名词的“可掘金度” 正相关了。从“可掘金度”上面来讲，云计算的热度有可能会像有人担心那样是新一轮IT概念的潮起潮落，热一阵就会过去，大家可要抓紧时间喽！

身为一个IT行业的从业人员，笔者是“被云计算”了。刚开始“被云计算”时也希望这一波云计算热要热得长久一些才好（想必诸位可以理解一名IT从业人员应有的一点儿事业心）。后来逐渐着迷于云计算里的一些技术问题，如今已是深陷于中不能自拔。突然发现原来这些技术问题研究的可持续性相对于云计算的热度或“可掘金度”具有很强的独立无关性。其实类似的现象在以前几波IT的发展大潮中也出现过。也许最具有明示作用的要数对IT的发展大潮带来的技术问题采用开放源代码软件来解决。开源软件的研制开发者们的主要

在网络安全问题中拒绝服务DoS攻击，哪怕是分布式的DDoS，一点儿也不酷。分布式拒绝服务攻击是发动广大“群众”对准一台服务器（多数情况是一台Web服务器）猛发服务请求，目的是让它瘫痪（达到100%的CPU使用率，耗尽内存，拥塞网络流量）从而无法提供正常服务。说这样攻击不酷，是因为攻击者不能通过攻击得到什么重要的秘密信息或明确的利益价值。搞瘫一台服务器并不是说可以让服务器冒起烟来烧掉，而是在软件层造成服务中止，重新启动服务器就可恢复服务。对于拒绝服务攻击一定不要采用拒绝服务的方式来防止，那样正好中其圈套。正确的也是很无奈的方法：检测到DoS之后更换IP地址。一个重要服务网站往往使用许多IP地址连接更多台服务器并且做动态负载均衡，这样的网站不会很容易被拒绝服务攻击搞瘫痪。

云计算的富有弹性大概是相对于传统上本地计算的最明显不同之处了吧。有弹性就是对计算资源需求的变化可以做到动态增减容量。云计算广泛采用的服务器虚拟化技术还可以把动态负载均衡做成十分高效和完全彻底自动化：当服务需求变大时，云计算基础架构服务提供商可以自动增加服务器数量和网络带宽。因为扩容是以增加虚拟机的方式来完成的，很容易做

一提到云计算，SaaS, PaaS, IaaS等名词，许多人也许都会说这些都是各种提供和使用IT服务的省钱妙招。的确，服务器虚拟化与互联网技术的飞速发展使IT资源的使用也可以采用象“群租”和“拼车”类似的做法以达到降低成本提高利用率的目的。云服务上的“群租” 和“拼车”可以比现实生活中的版本做的更精细高质量。首先可以对每一个租客拼客按资源的使用量和使用时间进行精确收费。其次可以对“客房”的大小做出有弹性可扩大缩小的动态调整。既然云计算的主要任务是在异地执行（off-premises execution）的，计算所需容量就不必受某地具备的计算处理资源量所限制，弹性可扩展也就自然成为云计算的一大特点。这个弹性可扩展特点非常有用。去年奥运会网上购票网站在开通服务的第一时间崩溃，那个不幸事件恰恰是因为当时在后端数据中心支撑购票网站的服务器硬软件架构没有搞成有弹性可扩展的那样一种工作方式，当服务请求数量大大超过服务器所能够提供的工作负荷时，购票网站只好“罢工”。

云计算作为服务的另外一个非常重要的特性是向用户提供增值服务（value added service）。什么是云上的增值服务？让我们来想象这样一个云存储的例子。假如存在着这样一个服务提供商

七月上半月与家人旅游（去了祖国宝岛台湾！），回来后一直忙于诸多事情，居然未能偷出一点时间登录博客写上一篇！好在所忙碌之事中毕竟有一件十分重要的：受云计算专家委员会重托写一篇有关云计算安全的文章作为云计算白皮书中的一章。专委会要求在月底前完成初稿，所以今天（31日）刚完成任务之时，便自赋特权将该章的第一节（少于全章10%的内容）在此登出，就算整个7月份没交白卷。白皮书其他章节由许多专家合作写成，希望此处登出的一小节能够起到推销全书的作用。

本章是与EMC中国实验室同事张京城,李俊合作写成，特在此致谢！

云计算安全  

1 引言

云计算通过对大规模可扩展的分布式计算资源（如CPU资源、存储资源、网络资源等）进行整合，通过互联网技术以按需使用的方式为用户提供计算和存储服务。云计算的核心是面向服务的体系架构。在该架构中，信息处理是以服务方式提

美国马萨诸塞州剑桥 (6月24日，2009) — 作为全球信息基础架构技术与解决方案的行业领导者，EMC公司今天宣布对麻省理工学院(MIT)媒体实验室（MIT Media Lab）进行资助并开展研究协作，这进一步强调了EMC公司在技术创新和大学研究与协作方面的长期承诺。EMC此次赞助是EMC剑桥实验室的诸多计划之一。该中心主要致力于促进对新技术的开辟和新产品的研发，并加深EMC与波士顿地区大学研究和创业团体之间的关系。

EMC剑桥实验室将与EMC旗下知名的RSA实验室、EMC中国实验室、EMC圣克拉拉孵化实验室、以及来自于各个部门的资深技术专家、高级工程师和研究人员一道，通过物理或虚拟的EMC全球创新网络（EMC Innovation Network）来保持密切的合作。 

EMC资深副总裁兼首席技术官Jeff Nick表示，“EMC的研究和先进技术团队，与我们在全球各大学中的科研伙伴们一道，正致力于开拓具有划时代意义的数码技术。这对EMC来说是极其重要的机遇，使我们能够把全世界范围内那些在各自领域内作出卓越贡献的创新型人

在上一讲中我介绍了：Intel的VT（Virtual Technology）和AMD的AMD-V（AMD Virtualization）技术对X86架构处理器打了硬件补丁之后，X86平台在虚拟CPU与内部存储器方面变成了一个支持完全虚拟化的平台，在这方面，Citrix Xen，MS Hyper-V（“在旁边的虚拟化”）与VMware ESX（全虚拟化）之间的差别已不复存在。但我必须提醒：前两者与后者在虚拟输入输出设备（IO Devices）方面仍然存在着一个根本的重要的差别。本讲揭示这一差别。

与虚拟CPU和内存的情况一样，虚拟一个IO设备也是让一个虚拟机（VM）感觉到它是在独享该设备。所以IO设备虚拟化任务也是替每一个VM分别管理好所用设备的服务状态（service state）。设想当一个设备（如网卡）在某个时间片断为VM1提供了一个服务片断（读入一页网页），在下一个时间片断要转而向VM2提供服务时，此时系统就必须先记住该设备为VM1提供当前服务片断后的状态，才可以让设备转向服务于VM2。只有这样做该设备才会知道以后再回到VM1时怎样继续提供尚未完成的服务。因为每一个IO设备都完全受控于一个叫做设备驱动器的软件，所以对一个设备和一个VM之间进行状态跟踪管理也就是针对相应驱动软件的服务状态进行跟踪管理。

“

云计算、SaaS等基于服务的计算模式最近异常灼热。服务器虚拟化技术尤其是对低端廉价x86服务器的虚拟化已被公认为是实现这些计算模式的关键技术，对于能否廉价提供云计算、SaaS等服务至关重要。在x86服务器虚拟化方法上有三个知名的技术流派：Para-Virtualization, Full-Virtualization和Hardware-Assisted-Virtualization。本文谨对这三种技术作简要介绍。

Para-Virtualization（Citrix的Xen和Microsoft的Hyper-V为典型代表）直译成中文是“在旁边的虚拟化”。形象地说就是：在虚拟化软件hypervisor上面跑着的诸多客户虚拟机（下称guest VMs或guest OSes，客户操作系统），在它们“旁边”还跑着一个特别OS，叫做“管理OS”或“管理VM”（the Administrative OS/VM，用Citrix Xen的术语叫做Dom0，用Microsoft Hyper-V的术语：the Parent Partition）。这个“管理VM”是让系统管理员用来管理hypervisor的。客户所使用的是那些在它旁边跑的guest VMs（Citrix Xen叫做DomU，Microsoft Hyper-V叫做Child Partitions）。另外这个“管理OS”还采用native OS的方法管理整个硬件平台上的所有输入输出设备驱动器（IO device drivers），它里面包含了平台上所有输入输出设备

上回提到IaaS要叫做“智能（Intelligence）作为服务”而且要让它占据EaaS服务增值图中最高层位置也就是说智能服务是对广大末端用户最有价值的服务。在此立出个人见解与大家共享。这个IaaS智能服务还是要从SaaS这一层开始讲起，因为IaaS在SaaS层上就发挥出很重要的作用了。

先从商用软件的SaaS销售模式上讨论。与传统盒装软件销售模式或与云服务之前的ASP（Applications Service Provisioning）软件专门在线服务模式相比，SaaS模式在服务智能含量上具有许多领先的优势。简单罗列一下：就有多租客（Multi-tenancy）式服务、统一维护、打补丁、杀毒、升级，精确按用时收费等等众所周知的优势。这些优势是由于SaaS软件销售模式可以利用一些很有智能的技术手段以支持服务的高效率与低价格。以上这些优势中特别值得强调的是多租客式服务。这是相比较于传统盒装软件或ASP专门服务软件，SaaS的一项最大优势，也是SaaS与云服务的交集所在（其他几项优势严格来讲在云服务以前的ASP模式上就已有之）。在多租客式服务这一项上，服务提供商必须要做到能够在不同租客之间对他们的代码和数据实行严格隔离，只有那样，多租客式的服务才会被用户认为是安全的可信赖的因而才有可能吸

上回“究竟什么是云安全”一文在结尾处揭示出：那些使用“第一云银”的用户们并不是云用户也不在使用云服务，在那个例子中只有“第一云银”才是唯一的云服务使用者，是个云用户。而“第一云银”这一类云用户自身又作为服务提供商再向更为前端的用户们提供网上在线服务（Internet Hosting Services）。这一类网上在线服务包括SaaS或Application Services Provisioning（ASP）。请注意，这一类网上服务提供商本身也完全可以是网上服务的用户，使用其它网上服务提供商所提供的服务，比如“第一云银”使用云服务、提供云银服务，就是属于这种情况。通过使用服务来提供服务，这样一个服务使用者和提供商可以被认为是在为更前端的用户们做增值服务。所谓更前端的用户，一直前到底就是末端用户了（End Users）。请不要轻看了那些网上末端用户们，恰恰是他们使用网上在线服务的过程和结果产生了一些新的、独立于网上在线服务本身价值之外的价值。价值又产生服务，所以那些末端用户们又会产生新的服务！用什么名词来确切表达由那些使用网上在线服务的末端用户们所产生的新的服务呢？若必须取一个名字，那就叫做智能作为服务吧（Intelligence as a Service, IaaS）。图一表示了一个E