杜瑞祥 鮮明 谷俊 陳恬

【 摘 要 】 隨著云計(jì)算的蓬勃發(fā)展，公有云作為云計(jì)算的主要形態(tài)，安全問(wèn)題不可避免并且日漸突出。論文首先簡(jiǎn)單闡述了公有云安全產(chǎn)生的背景和相關(guān)概念，介紹了公有云環(huán)境中面臨的攻擊，然后基于公有云的安全需求和面臨的攻擊，詳細(xì)介紹了公有云安全的關(guān)鍵技術(shù)并做分析，最后給出了多方面綜合來(lái)解決公有云安全問(wèn)題的結(jié)論。

【 關(guān)鍵詞 】 公有云安全；虛擬化安全；數(shù)據(jù)私密性和安全性；訪(fǎng)問(wèn)控制；拒絕服務(wù)攻擊；側(cè)信道

【 中圖分類(lèi)號(hào) 】 TN926-34； TP311 【 文獻(xiàn)標(biāo)識(shí)碼 】 A

【 Abstract 】 With the prosperous development of cloud computing technologies，public cloud computing is the dominant form of cloud computing，and its security issuses are inevitably and increasingly prominent.Firstly the paper briefly explains the backgrounds and the relevant concepts of public cloud computing security，introduces the network attacks in public cloud computing environment.And then，base on the security requirements and network attacks ，particularly explains the key technologies of public cloud computing security and give analysis.Finally，the conclusion was given that we need the comprehensive solution of public cloud computing security issues.

【 Keywords 】 public cloud computing security；virtualization security；data privacy and safty；access control；dos；side channel

1 引言

云計(jì)算服務(wù)模式具有巨大的經(jīng)濟(jì)技術(shù)優(yōu)勢(shì)和廣闊的應(yīng)用前景，普及云服務(wù)技術(shù)對(duì)我國(guó)的信息化建設(shè)和社會(huì)發(fā)展具有重要的意義。眼下，隨著各行各業(yè)的云計(jì)算進(jìn)本落地，公有云作為云計(jì)算的主要形態(tài)，越來(lái)越多的個(gè)人、企業(yè)和機(jī)構(gòu)在公有云部署信息數(shù)據(jù)系統(tǒng)，打破原有邊界的新技術(shù)架構(gòu)給用戶(hù)安全帶來(lái)潛在風(fēng)險(xiǎn)。與此同時(shí)公有云安全技術(shù)的發(fā)展顯然沒(méi)跟上其本身的發(fā)展，依舊是服務(wù)商和用戶(hù)的頭疼問(wèn)題。根據(jù)國(guó)際馳名分析機(jī)構(gòu)Gartner的分析報(bào)告顯示：過(guò)去的3年，全球范圍內(nèi)云計(jì)算市場(chǎng)規(guī)模以每年20%的速度在增長(zhǎng)，與此同時(shí)，63%的用戶(hù)認(rèn)為安全是最大的阻力。

2 公有云安全

2.1 云計(jì)算安全問(wèn)題

云計(jì)算安全主要指云計(jì)算落地的企業(yè)、機(jī)構(gòu)或使用云計(jì)算業(yè)務(wù)用戶(hù)的數(shù)據(jù)安全、信息安全、服務(wù)可用與安全等。云計(jì)算安全聯(lián)盟（CSA）在第五屆云安全聯(lián)盟高峰論壇發(fā)布了一項(xiàng)關(guān)于云計(jì)算安全的調(diào)查報(bào)告，調(diào)查發(fā)現(xiàn)在安全專(zhuān)家們看來(lái)，云計(jì)算領(lǐng)域面臨的最大威脅，是網(wǎng)絡(luò)犯罪分子和黑客利用病毒和惡意軟件造成的混亂，進(jìn)而列出云計(jì)算行業(yè)面臨的九大安全威脅，依次是共享技術(shù)的漏洞、帳戶(hù)劫持、數(shù)據(jù)丟失、數(shù)據(jù)泄露、云計(jì)算服務(wù)的濫用、云服務(wù)規(guī)劃不合理、不安全的API、拒絕服務(wù)攻擊、內(nèi)部人員的惡意操作問(wèn)題。

2.2 公有云安全

公有云安全的內(nèi)涵包含兩個(gè)方面：一是云平臺(tái)自身安全，也可以稱(chēng)之為“云端的安全”； 二是公有云技術(shù)在安全領(lǐng)域的具體應(yīng)用，也稱(chēng)為安全云計(jì)算。云平臺(tái)自身安全主要針對(duì)公有云環(huán)境中本身存在的安全隱患，研究相應(yīng)的安全防護(hù)措施和解決方案，如云環(huán)境中數(shù)據(jù)安全、應(yīng)用系統(tǒng)與服務(wù)安全、用戶(hù)信息安全等；安全云計(jì)算，即通過(guò)利用公有云的優(yōu)越性來(lái)提升安全系統(tǒng)的服務(wù)性能，主要指利用公有云架構(gòu)，采用云服務(wù)模式，實(shí)現(xiàn)安全的服務(wù)化或者統(tǒng)一安全監(jiān)控管理，是當(dāng)前安全領(lǐng)域關(guān)注的技術(shù)熱點(diǎn)[1]。當(dāng)然，這兩方面互相支持、相互滲透，在具體應(yīng)用中兩者之間存在的交集。

3 公有云的安全威脅

從目前的情況來(lái)看，公有云環(huán)境中網(wǎng)絡(luò)攻擊增長(zhǎng)迅速，公有云安全錯(cuò)綜復(fù)雜，面臨的安全攻擊包括兩大類(lèi)：其一，利用虛擬機(jī)之間的資源共享或者同一操作系統(tǒng)中用戶(hù)的依賴(lài)關(guān)系進(jìn)行攻擊， 目前這些攻擊主要包括虛擬化軟件攻擊、拒絕服務(wù)攻擊、側(cè)信道攻擊等漏洞攻擊以及獲取數(shù)據(jù)、隱私竊取等云上安全問(wèn)題；其二，公有云并不是完全新創(chuàng)造的技術(shù)，是原來(lái)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的聚合和創(chuàng)新運(yùn)用，原來(lái)的安全隱患依然存在，主要涉及到拒絕服務(wù)攻擊、SQL注入攻擊、跨站腳本攻擊、網(wǎng)絡(luò)嗅探、中間人攻擊等傳統(tǒng)的網(wǎng)絡(luò)安全問(wèn)題。

3.1 虛擬化軟件攻擊

虛擬機(jī)監(jiān)控器是一個(gè)管理控制程序，是物理機(jī)上具有最高權(quán)限的軟件，這也使其成為惡意攻擊的重要目標(biāo)，通過(guò)監(jiān)控器本身漏洞獲得權(quán)限，會(huì)對(duì)整個(gè)虛擬化環(huán)境造成極大的危害。使用虛擬機(jī)鏡像操作系統(tǒng)時(shí)，操作系統(tǒng)本身存在不斷發(fā)現(xiàn)的漏洞、已經(jīng)鏡像到系統(tǒng)中的惡意軟件、盜版軟件及發(fā)布方故意安裝的惡意軟件等也是主要的安全威脅。Bugiel等人[2]展示了利用操作系統(tǒng)漏洞針對(duì)亞馬遜云平臺(tái)虛擬機(jī)操作系統(tǒng)鏡像（AmazonMachine Image，AMI）的攻擊方法，能夠從虛擬機(jī)的操作系統(tǒng)中獲取用戶(hù)的敏感信息。Bugiel等人還發(fā)現(xiàn)，攻擊者通過(guò)鏡像的SSH主機(jī)密鑰對(duì)可以識(shí)別使用該鏡像創(chuàng)建的其他實(shí)例系統(tǒng)，利用鏡像中漏洞和預(yù)安裝軟件，更便利的進(jìn)行偽裝攻擊、中間人攻擊和釣魚(yú)攻擊等。

3.2 拒絕服務(wù)攻擊

攻擊者采用非法手段消耗被攻擊者的服務(wù)資源等，或直接攻擊服務(wù)器主機(jī)導(dǎo)致主機(jī)死機(jī)，使服務(wù)器中斷或者延遲向用戶(hù)端提供服務(wù)，從而使用戶(hù)端發(fā)出的請(qǐng)求無(wú)法被服務(wù)器正常響應(yīng)。2014年末，DNS服務(wù)商1&1和dnsmadeeasy.com受到隨機(jī)字符串+域名的DDoS猛烈攻擊，致使DNS服務(wù)器的緩存耗盡，因而無(wú)法對(duì)外提供流暢服務(wù)。2015年3月，gitHub遭遇大流量DDoS攻擊，攻擊者通過(guò)“接力”百度廣告聯(lián)盟的方式發(fā)起了攻擊。在2015年的最后一天，BBC的網(wǎng)站遭受了有史以來(lái)最慘烈的DDoS攻擊，是成立于2012年的“新世界”黑客組織發(fā)起并造成了602Gbps的流量洪水，“新世界”利用云計(jì)算的強(qiáng)計(jì)算能力、高帶寬的優(yōu)勢(shì)形成了如此強(qiáng)大的攻擊能力。

3.3 側(cè)信道攻擊

當(dāng)前云環(huán)境下的側(cè)信道構(gòu)建研究都是基于經(jīng)驗(yàn)的，不是基于對(duì)云環(huán)境中側(cè)信道的系統(tǒng)化搜索。按照側(cè)信道的影響范圍，可將側(cè)信道分為域內(nèi)側(cè)信道，跨平臺(tái)側(cè)信道、域間側(cè)信道。如利用I/O調(diào)度算法給予公平策略的特點(diǎn)，通過(guò)有目的的改變受攻擊者的數(shù)據(jù)卡流量來(lái)改變外部主機(jī)得到Response數(shù)據(jù)包的延時(shí)，從而構(gòu)建隱蔽信道；基于共享內(nèi)存的I/O環(huán)形緩沖區(qū)和事件通道構(gòu)成雙向通道，利用I/O緩沖區(qū)的數(shù)據(jù)申請(qǐng)機(jī)制，通過(guò)有目的的控制數(shù)據(jù)申請(qǐng)或者申請(qǐng)次數(shù)來(lái)與共享內(nèi)存的同駐虛擬機(jī)構(gòu)建側(cè)信道。Zhang[3]等人，提出一種針對(duì)多租戶(hù)PaaS商業(yè)平臺(tái)的基于高速緩存的側(cè)信道攻擊方法。側(cè)信道攻擊以Gullasch[4]的FLUSH+RELOAD攻擊為原型，以自動(dòng)化跟蹤被攻擊者執(zhí)行痕跡為驅(qū)動(dòng)策略，進(jìn)行了改進(jìn)和拓展。攻擊分為兩個(gè)步驟：首先，判斷兩個(gè)用戶(hù)應(yīng)用是否同駐同一個(gè)操作系統(tǒng)；其次，跨邊界獲取共享Cache泄露的信息，通過(guò)分析獲得敏感信，劫持用戶(hù)賬戶(hù)，突破SMAL單點(diǎn)登錄。

3.4 SQL注入安全攻擊

通過(guò)利用SQL注入安全漏洞將SQL命令插入到Web表單中提交或者添加到網(wǎng)絡(luò)輸入框當(dāng)中，得到一個(gè)存在漏洞的網(wǎng)站的數(shù)據(jù)庫(kù)，達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL代碼，并不是按照設(shè)計(jì)者的意圖執(zhí)行命令，進(jìn)而獲得非法訪(fǎng)問(wèn)的權(quán)限。攻擊者通過(guò)SQL攻擊，不但可以操控Web界面，也可以獲取非授權(quán)的用戶(hù)信息。

3.5 跨站腳本安全攻擊及網(wǎng)絡(luò)嗅探

攻擊者通過(guò)Web程序?qū)阂釻RL植入到網(wǎng)絡(luò)鏈接并發(fā)送給用戶(hù)，被攻擊將用戶(hù)導(dǎo)向特定頁(yè)面，用戶(hù)瀏覽器會(huì)執(zhí)行該惡意代碼，并同時(shí)竊取敏感數(shù)據(jù)，如Cookie、會(huì)話(huà)令牌等。網(wǎng)絡(luò)嗅探指的是黑客 利用網(wǎng)絡(luò)嗅探器實(shí)施網(wǎng)絡(luò)攻擊，如網(wǎng)絡(luò)嗅探器，通過(guò)檢測(cè)網(wǎng)絡(luò)性能、查找網(wǎng)絡(luò)漏洞和抓取數(shù)據(jù)包，盜取用戶(hù)數(shù)據(jù)的過(guò)程，數(shù)據(jù)未加密、密碼過(guò)于簡(jiǎn)單容易使得黑客獲取數(shù)據(jù)更方便，可進(jìn)行ARP欺騙、會(huì)話(huà)劫持、IP欺騙等攻擊。

3.6 中間人安全攻擊

這是一種“間接”的攻擊，攻擊者在通信雙方不知情的情況下攔截雙方在網(wǎng)絡(luò)中傳輸?shù)耐ㄐ艛?shù)據(jù)，并在攔截后嗅探及篡改數(shù)據(jù)，按照原來(lái)的數(shù)據(jù)流向繼續(xù)發(fā)送，對(duì)于通信雙方來(lái)說(shuō)像是透明傳播一樣。SSL配置錯(cuò)誤為中間人攻擊提創(chuàng)造了有利條件，如通信雙方?jīng)]有正確安裝SSL，則黑客就可以在雙發(fā)交互信息的同時(shí)侵入到通信雙方的計(jì)算機(jī)并同時(shí)竊取通信數(shù)據(jù)。

4 公有云安全關(guān)鍵技術(shù)

4.1 虛擬化安全技術(shù)

虛擬機(jī)鏡像管理涉及發(fā)布者、使用者和管理者三方面風(fēng)險(xiǎn)，Wei[5]等人設(shè)計(jì)了鏡像發(fā)布使用的安全機(jī)制，包括鏡像過(guò)濾器、鏡像系統(tǒng)的訪(fǎng)問(wèn)控制、鏡像漏洞升級(jí)維護(hù)服務(wù)、鏡像發(fā)布者追蹤機(jī)制等。這些安全機(jī)制能夠同時(shí)監(jiān)控鏡像發(fā)布者、使用者和管理者，及時(shí)的維護(hù)更新，多角度的降低了三者的風(fēng)險(xiǎn)。Azab[6]等人提出了HyperSentry，利用安全硬件設(shè)計(jì)的方法，在虛擬機(jī)中增加安全控制機(jī)制，如完整性度量代理，增強(qiáng)虛擬機(jī)監(jiān)督程序的完整性。在虛擬機(jī)監(jiān)督程序中增加一個(gè)完整性度量代理，連接硬件中的基線(xiàn)板管理控制器件，通過(guò)智能管理平臺(tái)管理基線(xiàn)板來(lái)管理控制器接口與遠(yuǎn)端的驗(yàn)證方進(jìn)行通信。

文獻(xiàn)[7]提出了基于使用控制模型（UCON）[8]的Hypervisor非控制數(shù)據(jù)完整性保護(hù)模型。該模型在非控制數(shù)據(jù)完整性保護(hù)需求的基礎(chǔ)上簡(jiǎn)化了UCON模型，繼承了UCON模型的連續(xù)性和易變性，實(shí)現(xiàn)非控制數(shù)據(jù)的實(shí)時(shí)訪(fǎng)問(wèn)控制。根據(jù)攻擊樣例分析攻擊者和攻擊對(duì)象確定主客體減少安全策略，提高了決策效率；并基于ECA描述安全策略，能夠有效地決策非控制數(shù)據(jù)訪(fǎng)問(wèn)合法性。在Xen系統(tǒng)中設(shè)計(jì)并實(shí)現(xiàn)了相應(yīng)的原型系統(tǒng)，通過(guò)實(shí)驗(yàn)評(píng)測(cè)表明，能夠有效阻止針對(duì)虛擬機(jī)管理器的攻擊，且性能開(kāi)銷(xiāo)在10%以?xún)?nèi)。

4.2 同態(tài)加密及其應(yīng)用

目前同態(tài)加密算法主要集中在非對(duì)稱(chēng)加密模式下，利用代數(shù)中安全的數(shù)據(jù)結(jié)構(gòu)來(lái)構(gòu)造安全的加密方案。近年來(lái)，可同時(shí)支持加法與乘法的全同態(tài)算法相繼提出。文獻(xiàn)[9]基于理想格首次提出全同態(tài)加密算法的實(shí)現(xiàn)，文獻(xiàn)[10]取消了理想格的限制。同態(tài)加密算法[11]是對(duì)2種或2種以上的運(yùn)算保持同態(tài)的加密方案，用文獻(xiàn)[12]的同態(tài)加密方案加密的密文隨著計(jì)算乘法或加法電路深度的增加而指數(shù)增加。上述方案可以歸類(lèi)到PollyCracker框架方案[13]，框架系統(tǒng)內(nèi)所有算法的安全性都是基于理想成員資格判定問(wèn)題。該框架內(nèi)的算法都假設(shè)理想成員資格判定問(wèn)題是困難的，但對(duì)于這個(gè)問(wèn)題的困難性假設(shè)是否成立還有許多疑問(wèn)[14]，此外這些方案的密文膨脹也是一個(gè)嚴(yán)重問(wèn)題，因?yàn)檫@種膨脹速度有時(shí)甚至是電路深度的雙指數(shù)函數(shù)。因此，設(shè)計(jì)高效的全同態(tài)加密方案是有待解決的。

4.3 可搜索加密技術(shù)

文獻(xiàn)[15]實(shí)現(xiàn)了非自適應(yīng)可搜索加密[16]，方案通過(guò)拓展之前可搜索加密算法的索引結(jié)構(gòu)，使其可以動(dòng)態(tài)更新，解決了文件更新導(dǎo)致遠(yuǎn)程索引更新的安全問(wèn)題，設(shè)計(jì)出來(lái)了安全的基于可搜索加密技術(shù)的云存儲(chǔ)系統(tǒng)。文獻(xiàn)[17]提出了基于第三方代理存儲(chǔ)文件的令牌隨機(jī)查詢(xún)協(xié)議，在協(xié)議中，用戶(hù)提交加密N次的令牌，然后索引服務(wù)器和文件服務(wù)器（數(shù)據(jù)存儲(chǔ)服務(wù)提供商）更新令牌和文件ID（再次加密）。因此，對(duì)于數(shù)據(jù)查詢(xún)服務(wù)提供商而言，一個(gè)關(guān)鍵字每次對(duì)應(yīng)的令牌都不一樣，因此無(wú)法對(duì)用戶(hù)的查詢(xún)歷史進(jìn)行定位與統(tǒng)計(jì)分析，從而達(dá)到保護(hù)用戶(hù)隱私的目的。但是第三方參與交互大大增加了系統(tǒng)的復(fù)雜性。

4.4 保序加密技術(shù)

保序加密算法[18]（OPE）保持密文與明文數(shù)據(jù)的數(shù)字大小比較關(guān)系，廣泛應(yīng)用于加密的數(shù)據(jù)庫(kù)查詢(xún)[19]?；诒Ｐ蚣用埽∣PE）的基本思想，提出了支持對(duì)返回的文件按關(guān)鍵字匹配度進(jìn)行排序的方案。在通常情況下，排序查詢(xún)功能使得所有匹配的文檔會(huì)根據(jù)一個(gè)標(biāo)準(zhǔn)進(jìn)行排序，最終僅返回給用戶(hù)最相關(guān)的k個(gè)文檔，因此也稱(chēng)為“最相關(guān)k文檔查詢(xún)”。

4.5 數(shù)據(jù)完整性和可用性技術(shù)

保證數(shù)據(jù)的機(jī)密性、可用性、完整性、不可抵賴(lài)性是公有云安全重點(diǎn)要解決的問(wèn)題。文獻(xiàn)[20]利用基于環(huán)和組簽名的加密方法實(shí)現(xiàn)用戶(hù)數(shù)據(jù)的匿名存儲(chǔ)。文獻(xiàn)[21]提出通過(guò)加密協(xié)處理器的防篡改能力提供云環(huán)境下的安全執(zhí)行域，從物理和邏輯上防止數(shù)據(jù)未授權(quán)訪(fǎng)問(wèn)。文獻(xiàn)[22]中Roy等人將集中信息流控制和差分隱私保護(hù)技術(shù)融入云中的數(shù)據(jù)生成與計(jì)算階段， 提出了一種隱私保護(hù)系統(tǒng)Airavat。文獻(xiàn)[23]C.Wang等人實(shí)現(xiàn)了基于BLS簽名機(jī)制的公共審計(jì)，并且實(shí)現(xiàn)了基于隨機(jī)盲化技術(shù)的數(shù)據(jù)隱私保護(hù)。文獻(xiàn)[24]提出了一種基于零知識(shí)交互的PDP方案（ZK-IPDP），支持?jǐn)?shù)據(jù)的全動(dòng)態(tài)操作、公共審計(jì)和隱私保護(hù)，并且可支持跨多個(gè)云的數(shù)據(jù)進(jìn)行完整性校驗(yàn)。文獻(xiàn)[25]Yang的方案通過(guò)拓展，支持多個(gè)用戶(hù)數(shù)據(jù)的批量審計(jì)，大大的提高了TPA的工作效率。

4.6 加密與密鑰管理技術(shù)

加密技術(shù)的健壯性則更依賴(lài)于良好的密鑰管理技術(shù)。文獻(xiàn)[30]中提出一種密文密鑰管理方案，該方案將無(wú)中心糾刪碼和門(mén)限公鑰加密相結(jié)合，將數(shù)據(jù)分片和密鑰分片（利用Shamir方案共享）分別保存在m個(gè)數(shù)據(jù)服務(wù)器和n個(gè)密鑰服務(wù)器當(dāng)中，假如攻擊者捕獲全部數(shù)據(jù)服務(wù)器和不少于t個(gè)密鑰服務(wù)器，攻擊者無(wú)法獲取數(shù)據(jù)信息，而合法用戶(hù)通過(guò)訪(fǎng)問(wèn)t個(gè)密鑰服務(wù)器重構(gòu)原始文；隨后他們改進(jìn)了方案[31]，利用Shamir門(mén)限方案與代理重加密機(jī)制[32]提出了門(mén)限代理重加密技術(shù)，并與無(wú)中心糾刪碼結(jié)合，實(shí)現(xiàn)了數(shù)據(jù)的機(jī)密性保護(hù)，并且云服務(wù)器不需要數(shù)據(jù)解密的情況下，利用重加密密鑰實(shí)現(xiàn)數(shù)據(jù)的安全轉(zhuǎn)發(fā)，減小了計(jì)算和傳輸?shù)拈_(kāi)銷(xiāo)。

4.7 問(wèn)責(zé)機(jī)制

建立對(duì)云服務(wù)商的可信性，對(duì)云服務(wù)器的行為建立問(wèn)責(zé)機(jī)制，可顯著提高云平臺(tái)的可信度。文獻(xiàn)[33]中提出了一個(gè)依據(jù)可靠第三方的可靠分布式的公有云數(shù)據(jù)庫(kù)問(wèn)責(zé)方案，以可信第三方為基礎(chǔ)，在每個(gè)用戶(hù)和云服務(wù)器之間部署可信代理，記錄用戶(hù)對(duì)云服務(wù)器的請(qǐng)求歷史和響應(yīng)日志，通過(guò)學(xué)習(xí)分類(lèi)從這些數(shù)據(jù)中獲取問(wèn)責(zé)服務(wù)所需要的信息，發(fā)送給可信第三方進(jìn)行問(wèn)責(zé)服務(wù)。Haeberlen等人提出的可問(wèn)責(zé)虛擬機(jī)[34]，通過(guò)設(shè)置代理，在虛擬機(jī)中運(yùn)行虛擬計(jì)算機(jī)系統(tǒng)的同時(shí)記錄不餓抵賴(lài)的歷史記錄，進(jìn)而依據(jù)記錄的數(shù)據(jù)進(jìn)行問(wèn)責(zé)機(jī)制服務(wù)。

4.8 抗拒絕服務(wù)攻擊

面對(duì)未來(lái)可能更加廣泛、更加頻繁、更加精準(zhǔn)的DDoS攻擊，普遍的防御方法有設(shè)置高性能設(shè)備、保證足夠帶寬、系統(tǒng)更新升級(jí)、靜態(tài)頁(yè)面的網(wǎng)站、云中異常流量清洗、分布式集群防御等，對(duì)抗DDoS攻擊是一個(gè)涉及多個(gè)層面的問(wèn)題，需要多方面的合作。李等[35]提出一種面向可控公有云的DDoS攻擊源控制技術(shù)pTrace，該系統(tǒng)包括入口流量監(jiān)控和惡意進(jìn)程溯源兩個(gè)部分，當(dāng)攻擊流速率達(dá)到正常流量的2.5倍時(shí)，即可正確識(shí)別攻擊流信息，并在ms級(jí)的時(shí)間內(nèi)正確的追溯攻擊流量發(fā)送進(jìn)程。

4.9 抗隱蔽信道攻擊

目前認(rèn)為抗隱蔽信道攻擊最好的方法是避免物理設(shè)備共享或者虛擬資源共享，避免攻擊者與被攻擊者共享資源的最有效方法，即服務(wù)提供商為用戶(hù)提供獨(dú)占資源的服務(wù)，但是用戶(hù)要支付更多的費(fèi)用，很大情況會(huì)造成資源浪費(fèi)。

4.10 災(zāi)備與恢復(fù)技術(shù)

災(zāi)難恢復(fù)是信息和信系統(tǒng)安全的一項(xiàng)重要措施。災(zāi)難恢復(fù)包括從產(chǎn)生較大、全面的數(shù)據(jù)或系統(tǒng)破壞的自然災(zāi)難中恢復(fù)，也包括從可能影響單個(gè)系統(tǒng)或者某個(gè)數(shù)據(jù)塊的事件（例如硬件錯(cuò)誤、安全入侵、誤操作等）中恢復(fù)。在公有云安全中與傳統(tǒng)環(huán)境中的災(zāi)難恢復(fù)沒(méi)有本質(zhì)上的區(qū)別，同樣需要沒(méi)滿(mǎn)足可容忍的最大宕機(jī)時(shí)間、可容忍的最大數(shù)據(jù)損失等。備份與災(zāi)難恢復(fù)是目前在云應(yīng)用中最為流行的兩種方式，部分企業(yè)客戶(hù)，包括部分個(gè)人用戶(hù)，已經(jīng)開(kāi)始將完整的災(zāi)難備份與恢復(fù)整合到相應(yīng)的存儲(chǔ)產(chǎn)品中，進(jìn)而降低成本，增強(qiáng)數(shù)據(jù)和系統(tǒng)的安全性。

4.11 安全即服務(wù)

所謂安全即服務(wù)（SecaaS），就是云計(jì)算技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和拓展，是安全管理的外包模式，從而實(shí)現(xiàn)網(wǎng)絡(luò)SecaaS的一種技術(shù)和業(yè)務(wù)模式，通過(guò)集群化、池化和服務(wù)化提升網(wǎng)絡(luò)安全的資源，以互聯(lián)網(wǎng)的方式，用戶(hù)不需要自身對(duì)安全設(shè)施進(jìn)行維護(hù)管理、以最小化成本、盡量減小業(yè)務(wù)提供商之間交互的情況下，可以得到便捷、按需、可伸縮的網(wǎng)絡(luò)安全防護(hù)服務(wù)。同時(shí)給用戶(hù)和服務(wù)商帶來(lái)了很多益處，包括避免人力資源浪費(fèi)、避免低水平重復(fù)勞動(dòng)、避免管理設(shè)備低水平重復(fù)配置、更多的知識(shí)、更智能的行為、更專(zhuān)業(yè)的安全設(shè)備維護(hù)等。目前，由于手機(jī)的計(jì)算和存儲(chǔ)能力非常有限，針對(duì)移動(dòng)手機(jī)作為客戶(hù)端是目前的研究主要內(nèi)容，已有的研究包括反病毒服務(wù)、安全認(rèn)證、安全檢測(cè)[36]和數(shù)字版權(quán)管理[37]等。文獻(xiàn)[37]中提出了將數(shù)字版權(quán)管理系統(tǒng)的許可證服務(wù)內(nèi)容服務(wù)放到云中，基于云平臺(tái)的SIM卡數(shù)字版權(quán)管理，能夠向用戶(hù)提供優(yōu)質(zhì)的安全服務(wù)。文獻(xiàn)[38]提出方案，將所有的安全檢測(cè)服務(wù)全部運(yùn)行在云端的副本上，使得智能手機(jī)和云端之間保持同步。

4.12 SDN技術(shù)

軟件定義網(wǎng)絡(luò)（SDN）作為一種新興的網(wǎng)絡(luò)技術(shù)，被認(rèn)為是解決當(dāng)前云計(jì)算進(jìn)一步發(fā)展瓶頸問(wèn)題的有效方法，同時(shí)也為解決公有云安全問(wèn)題帶來(lái)了新的途徑。文獻(xiàn)[40]提出一種基于SDN技術(shù)的云安全防護(hù)方案，方案在原有的業(yè)務(wù)云之外，用云技術(shù)建設(shè)安全云，在業(yè)務(wù)云中部署安全代理，通過(guò)SDN技術(shù)連接業(yè)務(wù)云、安全云和安全代理，并通過(guò)安全代理把業(yè)務(wù)云動(dòng)態(tài)劃分為邏輯隔離的多個(gè)業(yè)務(wù)區(qū)域。方案不依賴(lài)于業(yè)務(wù)云的實(shí)現(xiàn)方式，除初始近乎零配置的安全代理外，不改變業(yè)務(wù)云的軟硬件結(jié)構(gòu)，具有易部署、易維護(hù)、安全性更高等特點(diǎn)。

5 趨勢(shì)與展望

目前，相關(guān)公有云安全的研究做了很多的工作，但是在與實(shí)踐應(yīng)用的要求還有很大的差距，許多問(wèn)題需要進(jìn)一步探討探索。

（1）目前，我國(guó)關(guān)于公有云安全的總體框架業(yè)界尚無(wú)統(tǒng)一的認(rèn)識(shí)，未來(lái)需要對(duì)公有云安全的總體技術(shù)標(biāo)準(zhǔn)和管理體系制定統(tǒng)一的標(biāo)準(zhǔn)規(guī)范，在理論的指導(dǎo)下，理論和實(shí)踐相結(jié)合，公有云才能更快、更安全地發(fā)展。

（2）隨著不斷更新技術(shù)的同時(shí)帶來(lái)新的安全隱患，不斷被發(fā)現(xiàn)的新安全漏洞，目前已經(jīng)出現(xiàn)并繼續(xù)發(fā)展的高級(jí)威脅防護(hù)方案并不是“藥到病除”，且并不是萬(wàn)能鑰匙。針對(duì)應(yīng)用技術(shù)的差異性和漏洞攻擊、安全威脅技術(shù)手段的不斷發(fā)展，公有云安全研究必須轉(zhuǎn)向“最小化信任概念”，即對(duì)云環(huán)境內(nèi)的所有異?；顒?dòng)，逐個(gè)的進(jìn)行安全評(píng)估，每一項(xiàng)異?；顒?dòng)，都應(yīng)作為一個(gè)單項(xiàng)進(jìn)行研究。

（3）隨著技術(shù)的發(fā)展“公有云+移動(dòng)終端”成為移動(dòng)終端應(yīng)用發(fā)展的主要趨勢(shì)，但也導(dǎo)致其成為病毒和惡意軟件的重要攻擊目標(biāo)。由于移動(dòng)網(wǎng)絡(luò)環(huán)境的復(fù)雜性，移動(dòng)終端面臨的安全威脅更嚴(yán)峻，危害更大。移動(dòng)終端的安全問(wèn)題成為了制約移動(dòng)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵因素之一。公有云+移動(dòng)終端模式的安全技術(shù)是未來(lái)公有云安全研究的重點(diǎn)方向之一。

（4）軟件定義網(wǎng)絡(luò)（Software Defined Network）作為一種新興的網(wǎng)絡(luò)技術(shù)，通過(guò)分離控制層與數(shù)據(jù)層，分別進(jìn)行優(yōu)化，用戶(hù)能夠根據(jù)自身需要，通過(guò)控制層提供的編程接口管理和動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)，以及實(shí)現(xiàn)網(wǎng)絡(luò)資源動(dòng)態(tài)、靈活且透明的調(diào)配。因此，基于SDN的公有云安全技術(shù)是未來(lái)重點(diǎn)發(fā)展方向之一。

（5）我國(guó)公有云安全的發(fā)展有著廣闊的商業(yè)市場(chǎng)，但政府的規(guī)范和引導(dǎo)將會(huì)有事半功倍的效果，如數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、服務(wù)安全等更多地涉及到商業(yè)服務(wù)法規(guī)政策的遵從，并且需要不斷的完善法規(guī)政。因此，加大政府應(yīng)對(duì)策略的研究力度，加強(qiáng)這方面的政策法規(guī)研究，將有利于為政府更好地發(fā)揮引導(dǎo)作用提供理論依據(jù)。

參考文獻(xiàn)

[1] 鄭鑫.云計(jì)算安全體系架構(gòu)與關(guān)鍵技術(shù)研究[J].通訊技術(shù)，2015.

[2] Bugiel S，Nǜrnberger S，et al.AmazonIA：when elasticitysnaps back[A] .In Proceedings of the 18th ACM Conferenceon Computer and Communications Security[C].New York：ACM Press，2011.389-400.

[3] Yinqian Zhang，Ari Juels etc.Cross-Tenant Side-Channel Attacks in PaaS Clouds.CCS14，November 3-7，2014，Scottsdale，Arizona，USA.

[4] D.Gullasch，E.Bangerter，and S.Krenn.Cache games-bringings access-based cache attacks on AES to practice.In 2011 IEEE Symposium on Security&Privacy，pages 490-550，2011.

[5] Wei J P，Zhang X L.Managing security of virtual machineimages in a cloud environment[A] .InProceedings of the2009 ACM Workshop on Cloud Computing Security[C].NewYork：ACM Press，2009.91-96.

[6] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

[7] 陳志峰，李清寶，張平等.基于訪(fǎng)問(wèn)控制的Hypervisor非控制數(shù)據(jù)完整性保護(hù)[J].電子信息與學(xué)報(bào)，37（10），2508-2516，2015.

[8] Park J and Sandhu R.Towards usage control models： beyondtraditional access control[C].Proceedings ofthe 7th ACMSymposium on Access Control Models and Technologies，NewYork，NY，USA，2002：57-64.

[9] C.Gentry，F(xiàn)ully homomorphic encryption using ideal lattices.Proceedings of the 41stAnnual ACM Symposium on theory of Computing，ACM，2009，169-178.

[10] M.Van-Dijk，C.Gentry，S.Halevi，et al.Fullyhomomorphic encryption over theintegers[C].Advances in Cryptology-EUROCRYPT 2010，Springer，2010，24-43.

[11] Melchor C A，Gaborit P，Herranz J.Additively Homomorphic encryption with t-operand multiplications[G].LNCS 6223：Proc of CRYPTO 2010.Berlin：Springer，2010：138-154.

[12] Fontaine C，Galand F.A survey of homomorphic encryption for non-specilists[EB/OL].[2015-01-03].http：//jis.eurasipjournals.com/content/2007/1/013801.

[13] Fellows M，Koblitz N.Combinatorial crytosystems galore[G].LNCS 1122：Proc of the 2nd Int Symp on Finite Fields.Berlin：Springer，1993：51-61.

[14] Gentry C.A fully homomorphic encryption scheme[D].Stanford，CA：Stanford University，2009.

[15] S.Kamara，C.Papamanthou，T.Roeder.CS2：A searchable cryptographic cloud storage system[J].Microsoft Research，TechTeport MSR-TR-2011-58，2011.

[16] R.Curtmola，J.Garay，S.Kamara，et al.Searchable symmetric encryption：improveddefinitions and efficient constructions[C].Proceedings of the 13th ACM conference onComputer and communications security，ACM，2006，79-88.

[17] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[18] 陳志峰，李清寶，張平等.基于訪(fǎng)問(wèn)控制的Hypervisor非控制數(shù)據(jù)完整性保護(hù)[J].電子信息與學(xué)報(bào)，37（10），2508-2516，2015.

[19] N.Cao，C.Wang，M.Li，et al.Privacy-preserving multi-keyword ranked search over encrypted cloud data[J].IEEE Transantions on Parallel and Distributed Systems，2014，25（1）：222-233.

[20] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[21] Itani W，Kayssi A，Chehab A.Privacy as a Service： Privacy-AwareData Storage and Processing in Cloud Computing Architectures[C].The8th IEEE International Conference on Dependable，Autonomic and SecureComputing.Chengdu，China，2009.711-716.

[22] Roy I，Ramadan HE，Setty STV，Kilzer A，Shmatikov V， WitchelE.Airavat：Security and privacy for MapReduce[C].In：Castro M.eds.Proc.of the 7th Usenix Symp.on Networked Systems Design andImplementation. San Jose：USENIX Association，2010.297-312.

[23] Wang C.，Chow S.S.，Wang Q.，Ren K and Lou W.，Privacy-preserving public auditing for secure cloud storage[J].Computers，IEEE Transactions on，vol.62，no.2，pp.362-375，2013.

[24] Zhu Y.，Hu H.，Ahn G.-J.，and Yu M.，Cooperative provable data possession for intergrity vertification in multicloud storage[J].Parallel and Distributed Systems，IEEE Transactions on，vol.23，no.12，pp.2231-2244，2012.

[25] Yang K.and Jia X.，An dfficient and secure dynamic auditing protocol for data storage in cloud computing[J].Parallel and Distributed Systems，IEEE Transactions on，vol.24，no.9，pp.1717-1726，2013.

[26] 林果園，賀珊，黃皓等.基于行為的云計(jì)算訪(fǎng)問(wèn)控制安全模型[J].通信學(xué)報(bào)，2013，33（3）：59-66.

[27] Yu S，Wang C，Ren K，et al.Achieving secure，scalable，and fine-grained data access control in cloud computing[A].Proceedingsof IEEE INFORCOM 2010[C].San Diego，CA：IEEE Press，2010.1-9.

[28] 陳丹偉，邵菊，樊曉唯等.基于MAH-ABE的云計(jì)算隱私保護(hù)訪(fǎng)問(wèn)控制[J].電子學(xué)報(bào)，2014，42（4）：821-827.

[29] Abdulrahman A A，Muhammad I S，Saleh B，etal.A distributed access control architecture for cloud computing[J].IEEE software，2012，29（2）：36-44.

[30] Lin HY and Tzeng WG.A secure decentralized erasure code for distributed network storge[J].IEEE Transactions， Parallel and Distributed Systems，2010，21（11）.

[31] Lin HY and Tzeng WG.A secure Erasure Code-Base Cloud Storage System with Ssecure Data Forwarding[J].EEE Transactions， Parallel and Distributed Systems， 2012，23（6）.

[32] Mambo M.and Okamoto E.Proxy Cryptosystems：Delegation of the Power to Decrypt Ciphertexts，IEICE Trans.Fundamental of Electronics，Comm.and Computer Sciences，vol.E80-A，no.1，pp.54-63，1997.

[33] Wang C，Zhou Y，A collaborative monitoring mechanism formaking a multitenant platform accountable[A].HotCloud10Proceedings of the 2nd USENIX conference on Hot topics incloud computing[C].Berkeley：USENIX Association Press，2010.18-25.

[34] Haeberlen A，Aditya P，et al.Accountable virtual machines[A].Proceedings of the 9th USENIX conference on Operatingsystems design and implementation [C].Berkeley：USENIX Association Press，2010.1-16.

[35] 李保琿，徐克付等.pTrace：一種面向可控云計(jì)算的DDoS攻擊源控制技術(shù)[J].計(jì)算機(jī)研究與發(fā)展，52（10）：2212-2223，2015.

[36] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM， 2011.21-26.

[37] C K Wang，P Zou，Z Liu，J M Wang.CS-DRM：A cloudbasedSIM DRM scheme for mobile internet[J] .EURASIP JWirel Commun Netw，2011，14（1）：22-30.

[38] G Portokalidis，P Homburg，K Anagnostakis，H Bos ParanoidAndroid：versatile protection for smartphones[A].In Proceedingsof the 26th Annual Computer Security Applications Conference[C].ACM，New York，NY，USA：ACM，2010.347-356.

[39] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM，2011.21-26.

[40] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

基金項(xiàng)目：

“中科院開(kāi)放課題基金”。

作者簡(jiǎn)介：

杜瑞祥（1987-），男，漢族，湖南長(zhǎng)沙人，畢業(yè)于國(guó)防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：云計(jì)算安全。

鮮明（1970-），男，漢族，湖南長(zhǎng)沙人，畢業(yè)于國(guó)防科學(xué)技術(shù)大學(xué)，博士，教授，博士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全。

谷?。?987-），男，漢族，湖南長(zhǎng)沙人，畢業(yè)于國(guó)防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：軟件系統(tǒng)安全。

陳恬（1991-），女，漢族，湖南長(zhǎng)沙人，畢業(yè)于國(guó)防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全評(píng)估。