将敏感数据交给云计算服务提供商让许多公司感到不安。但一个叫作HomeAlone的软件能够帮助他们接受这种服务。

　　通过向企业提供廉价、灵活的存储并处理他们管理的资源，云计算能为他们节约开支。尽管如此，许多公司仍然为是否将他们的数据交给第三方而犹豫不决。

　　云计算平台仅为大量企业数据提供单一入口，而服务提供商通常将客户数据存储在分布在许多不同计算机上的虚拟环境中。研究人员表示这种架构有可能会被利用从而获得私人数据。

　　一些机构（比如NASA）要求云计算提供商将他们的数据存储在没有他人使用的计算机上。尽管对于某些机构这一保证仍然不够。直至今日，几乎无法验证敏感数据是否确实被隔离开了。

　　将于五月在IEEE安全及隐私研讨会（IEEE Symposium on Security and Privacy）上亮相的HomeAlone在保证企业数据安全方面向前迈出了第一步。该软件让企业得以验证他们要求在物理上独立存储的数据是否真的被存储在独立的服务器上。

　　参与这一项目的北卡罗来纳大学（University of North Carolina）计算机科学系教授迈克尔•瑞特（Michael Reiter）说，他和他的同事们选择了最极端的情况——数据和处理过程都相当敏感以至于它们必须与其他任何人隔离开来。

　　云计算公司利用虚拟机技术使软件得以在任意硬件上运行。多个虚拟机可以运行在同一台服务器上，但客户很难得知这一状况。所以云计算用户一直以来无法得知他们的数据是否面正临危险或者也许他们已经就此妥协了。

　　“人们如今相信云计算提供商能够在服务级协议基础上正确配置计算环境，却无法进行验证，”参与此项目的RSA实验室（RSA Laboratoies）科学家艾琳娜•奥普雷尔（Alina Oprea）说到。HomeAlone能确认数据是否被存储在独立的服务器上而无需得到云计算提供商的协助。它会检测服务器上任何不期而至的虚拟机，不论他们是试图窃取数据的攻击者或者仅是由于失误而出现的普通虚拟机。

　　HomeAlone借鉴了通常更多被黑客采用的技术，通过被称为“旁道攻击（side channels）”的方法探测在服务器上出现的其他虚拟机。所谓旁道是指软件运行的副产品：能量使用情况数据或者是软件读写临时数据的模式。

　　HomeAlone对一部分被称为缓存的内存区域的异常使用情况进行监——这是非法虚拟机出现的一个迹象。这个软件会协调合法虚拟机的活动，因而缓存中一块被随即选定的区域就会被空出来；如果有其他虚拟机出现，它便会继续使用缓存中的这一部分。

　　HomeAlone对异常虚拟机的检测成功率达到80%或更高，误报率约1%。但恶意攻击性的虚拟机更有可能被检测到，因为它们会更多地使用缓存。

　　耶鲁大学研究离散及分布式计算机系统的助理教授布莱恩•福特（Bryan Ford）先前已经展示了攻击者可以利用旁道攻击从运行在共享服务器上的虚拟机中获取有用信息——甚至可能是密码。

　　福特说，通过旁道攻击获得的大量信息说明了为什么企业对云计算的担心是没错的。云计算提供商通常也不清楚他们的虚拟机在做什么，他说，而且他们不想承担责任。利用旁道攻击作为防御手段是有很前景的方法，他说，但是这可能导致一场“没有胜利的军备竞赛。”换句话说，攻击者可能会更善于隐藏或者找到运用旁道攻击的新方法来对抗防御者。

　　HomeAlone仅能帮助那些要求数据在物理上独立存储的云计算用户。“这并非一个完全的云计算安全解决方案，”瑞特说。为了能向其他用户提供类似的保护，还有很多工作要做。

　　研究人员正在开发一款原型产品，奥普雷尔说，下一步就是要让该系统在一个商业云计算平台上运行以展示其在实际环境中的工作情况。