杜瑞祥 鮮明 谷俊 陳恬

【 摘 要 】 隨著云計算的蓬勃發(fā)展，公有云作為云計算的主要形態(tài)，安全問題不可避免并且日漸突出。論文首先簡單闡述了公有云安全產(chǎn)生的背景和相關(guān)概念，介紹了公有云環(huán)境中面臨的攻擊，然后基于公有云的安全需求和面臨的攻擊，詳細介紹了公有云安全的關(guān)鍵技術(shù)并做分析，最后給出了多方面綜合來解決公有云安全問題的結(jié)論。

【 關(guān)鍵詞 】 公有云安全；虛擬化安全；數(shù)據(jù)私密性和安全性；訪問控制；拒絕服務(wù)攻擊；側(cè)信道

【 中圖分類號 】 TN926-34； TP311 【 文獻標(biāo)識碼 】 A

【 Abstract 】 With the prosperous development of cloud computing technologies，public cloud computing is the dominant form of cloud computing，and its security issuses are inevitably and increasingly prominent.Firstly the paper briefly explains the backgrounds and the relevant concepts of public cloud computing security，introduces the network attacks in public cloud computing environment.And then，base on the security requirements and network attacks ，particularly explains the key technologies of public cloud computing security and give analysis.Finally，the conclusion was given that we need the comprehensive solution of public cloud computing security issues.

【 Keywords 】 public cloud computing security；virtualization security；data privacy and safty；access control；dos；side channel

1 引言

云計算服務(wù)模式具有巨大的經(jīng)濟技術(shù)優(yōu)勢和廣闊的應(yīng)用前景，普及云服務(wù)技術(shù)對我國的信息化建設(shè)和社會發(fā)展具有重要的意義。眼下，隨著各行各業(yè)的云計算進本落地，公有云作為云計算的主要形態(tài)，越來越多的個人、企業(yè)和機構(gòu)在公有云部署信息數(shù)據(jù)系統(tǒng)，打破原有邊界的新技術(shù)架構(gòu)給用戶安全帶來潛在風(fēng)險。與此同時公有云安全技術(shù)的發(fā)展顯然沒跟上其本身的發(fā)展，依舊是服務(wù)商和用戶的頭疼問題。根據(jù)國際馳名分析機構(gòu)Gartner的分析報告顯示：過去的3年，全球范圍內(nèi)云計算市場規(guī)模以每年20%的速度在增長，與此同時，63%的用戶認為安全是最大的阻力。

2 公有云安全

2.1 云計算安全問題

云計算安全主要指云計算落地的企業(yè)、機構(gòu)或使用云計算業(yè)務(wù)用戶的數(shù)據(jù)安全、信息安全、服務(wù)可用與安全等。云計算安全聯(lián)盟（CSA）在第五屆云安全聯(lián)盟高峰論壇發(fā)布了一項關(guān)于云計算安全的調(diào)查報告，調(diào)查發(fā)現(xiàn)在安全專家們看來，云計算領(lǐng)域面臨的最大威脅，是網(wǎng)絡(luò)犯罪分子和黑客利用病毒和惡意軟件造成的混亂，進而列出云計算行業(yè)面臨的九大安全威脅，依次是共享技術(shù)的漏洞、帳戶劫持、數(shù)據(jù)丟失、數(shù)據(jù)泄露、云計算服務(wù)的濫用、云服務(wù)規(guī)劃不合理、不安全的API、拒絕服務(wù)攻擊、內(nèi)部人員的惡意操作問題。

2.2 公有云安全

公有云安全的內(nèi)涵包含兩個方面：一是云平臺自身安全，也可以稱之為“云端的安全”； 二是公有云技術(shù)在安全領(lǐng)域的具體應(yīng)用，也稱為安全云計算。云平臺自身安全主要針對公有云環(huán)境中本身存在的安全隱患，研究相應(yīng)的安全防護措施和解決方案，如云環(huán)境中數(shù)據(jù)安全、應(yīng)用系統(tǒng)與服務(wù)安全、用戶信息安全等；安全云計算，即通過利用公有云的優(yōu)越性來提升安全系統(tǒng)的服務(wù)性能，主要指利用公有云架構(gòu)，采用云服務(wù)模式，實現(xiàn)安全的服務(wù)化或者統(tǒng)一安全監(jiān)控管理，是當(dāng)前安全領(lǐng)域關(guān)注的技術(shù)熱點[1]。當(dāng)然，這兩方面互相支持、相互滲透，在具體應(yīng)用中兩者之間存在的交集。

3 公有云的安全威脅

從目前的情況來看，公有云環(huán)境中網(wǎng)絡(luò)攻擊增長迅速，公有云安全錯綜復(fù)雜，面臨的安全攻擊包括兩大類：其一，利用虛擬機之間的資源共享或者同一操作系統(tǒng)中用戶的依賴關(guān)系進行攻擊， 目前這些攻擊主要包括虛擬化軟件攻擊、拒絕服務(wù)攻擊、側(cè)信道攻擊等漏洞攻擊以及獲取數(shù)據(jù)、隱私竊取等云上安全問題；其二，公有云并不是完全新創(chuàng)造的技術(shù)，是原來計算機網(wǎng)絡(luò)技術(shù)的聚合和創(chuàng)新運用，原來的安全隱患依然存在，主要涉及到拒絕服務(wù)攻擊、SQL注入攻擊、跨站腳本攻擊、網(wǎng)絡(luò)嗅探、中間人攻擊等傳統(tǒng)的網(wǎng)絡(luò)安全問題。

3.1 虛擬化軟件攻擊

虛擬機監(jiān)控器是一個管理控制程序，是物理機上具有最高權(quán)限的軟件，這也使其成為惡意攻擊的重要目標(biāo)，通過監(jiān)控器本身漏洞獲得權(quán)限，會對整個虛擬化環(huán)境造成極大的危害。使用虛擬機鏡像操作系統(tǒng)時，操作系統(tǒng)本身存在不斷發(fā)現(xiàn)的漏洞、已經(jīng)鏡像到系統(tǒng)中的惡意軟件、盜版軟件及發(fā)布方故意安裝的惡意軟件等也是主要的安全威脅。Bugiel等人[2]展示了利用操作系統(tǒng)漏洞針對亞馬遜云平臺虛擬機操作系統(tǒng)鏡像（AmazonMachine Image，AMI）的攻擊方法，能夠從虛擬機的操作系統(tǒng)中獲取用戶的敏感信息。Bugiel等人還發(fā)現(xiàn)，攻擊者通過鏡像的SSH主機密鑰對可以識別使用該鏡像創(chuàng)建的其他實例系統(tǒng)，利用鏡像中漏洞和預(yù)安裝軟件，更便利的進行偽裝攻擊、中間人攻擊和釣魚攻擊等。

3.2 拒絕服務(wù)攻擊

攻擊者采用非法手段消耗被攻擊者的服務(wù)資源等，或直接攻擊服務(wù)器主機導(dǎo)致主機死機，使服務(wù)器中斷或者延遲向用戶端提供服務(wù)，從而使用戶端發(fā)出的請求無法被服務(wù)器正常響應(yīng)。2014年末，DNS服務(wù)商1&1和dnsmadeeasy.com受到隨機字符串+域名的DDoS猛烈攻擊，致使DNS服務(wù)器的緩存耗盡，因而無法對外提供流暢服務(wù)。2015年3月，gitHub遭遇大流量DDoS攻擊，攻擊者通過“接力”百度廣告聯(lián)盟的方式發(fā)起了攻擊。在2015年的最后一天，BBC的網(wǎng)站遭受了有史以來最慘烈的DDoS攻擊，是成立于2012年的“新世界”黑客組織發(fā)起并造成了602Gbps的流量洪水，“新世界”利用云計算的強計算能力、高帶寬的優(yōu)勢形成了如此強大的攻擊能力。

3.3 側(cè)信道攻擊

當(dāng)前云環(huán)境下的側(cè)信道構(gòu)建研究都是基于經(jīng)驗的，不是基于對云環(huán)境中側(cè)信道的系統(tǒng)化搜索。按照側(cè)信道的影響范圍，可將側(cè)信道分為域內(nèi)側(cè)信道，跨平臺側(cè)信道、域間側(cè)信道。如利用I/O調(diào)度算法給予公平策略的特點，通過有目的的改變受攻擊者的數(shù)據(jù)卡流量來改變外部主機得到Response數(shù)據(jù)包的延時，從而構(gòu)建隱蔽信道；基于共享內(nèi)存的I/O環(huán)形緩沖區(qū)和事件通道構(gòu)成雙向通道，利用I/O緩沖區(qū)的數(shù)據(jù)申請機制，通過有目的的控制數(shù)據(jù)申請或者申請次數(shù)來與共享內(nèi)存的同駐虛擬機構(gòu)建側(cè)信道。Zhang[3]等人，提出一種針對多租戶PaaS商業(yè)平臺的基于高速緩存的側(cè)信道攻擊方法。側(cè)信道攻擊以Gullasch[4]的FLUSH+RELOAD攻擊為原型，以自動化跟蹤被攻擊者執(zhí)行痕跡為驅(qū)動策略，進行了改進和拓展。攻擊分為兩個步驟：首先，判斷兩個用戶應(yīng)用是否同駐同一個操作系統(tǒng)；其次，跨邊界獲取共享Cache泄露的信息，通過分析獲得敏感信，劫持用戶賬戶，突破SMAL單點登錄。

3.4 SQL注入安全攻擊

通過利用SQL注入安全漏洞將SQL命令插入到Web表單中提交或者添加到網(wǎng)絡(luò)輸入框當(dāng)中，得到一個存在漏洞的網(wǎng)站的數(shù)據(jù)庫，達到欺騙服務(wù)器執(zhí)行惡意SQL代碼，并不是按照設(shè)計者的意圖執(zhí)行命令，進而獲得非法訪問的權(quán)限。攻擊者通過SQL攻擊，不但可以操控Web界面，也可以獲取非授權(quán)的用戶信息。

3.5 跨站腳本安全攻擊及網(wǎng)絡(luò)嗅探

攻擊者通過Web程序?qū)阂釻RL植入到網(wǎng)絡(luò)鏈接并發(fā)送給用戶，被攻擊將用戶導(dǎo)向特定頁面，用戶瀏覽器會執(zhí)行該惡意代碼，并同時竊取敏感數(shù)據(jù)，如Cookie、會話令牌等。網(wǎng)絡(luò)嗅探指的是黑客 利用網(wǎng)絡(luò)嗅探器實施網(wǎng)絡(luò)攻擊，如網(wǎng)絡(luò)嗅探器，通過檢測網(wǎng)絡(luò)性能、查找網(wǎng)絡(luò)漏洞和抓取數(shù)據(jù)包，盜取用戶數(shù)據(jù)的過程，數(shù)據(jù)未加密、密碼過于簡單容易使得黑客獲取數(shù)據(jù)更方便，可進行ARP欺騙、會話劫持、IP欺騙等攻擊。

3.6 中間人安全攻擊

這是一種“間接”的攻擊，攻擊者在通信雙方不知情的情況下攔截雙方在網(wǎng)絡(luò)中傳輸?shù)耐ㄐ艛?shù)據(jù)，并在攔截后嗅探及篡改數(shù)據(jù)，按照原來的數(shù)據(jù)流向繼續(xù)發(fā)送，對于通信雙方來說像是透明傳播一樣。SSL配置錯誤為中間人攻擊提創(chuàng)造了有利條件，如通信雙方?jīng)]有正確安裝SSL，則黑客就可以在雙發(fā)交互信息的同時侵入到通信雙方的計算機并同時竊取通信數(shù)據(jù)。

4 公有云安全關(guān)鍵技術(shù)

4.1 虛擬化安全技術(shù)

虛擬機鏡像管理涉及發(fā)布者、使用者和管理者三方面風(fēng)險，Wei[5]等人設(shè)計了鏡像發(fā)布使用的安全機制，包括鏡像過濾器、鏡像系統(tǒng)的訪問控制、鏡像漏洞升級維護服務(wù)、鏡像發(fā)布者追蹤機制等。這些安全機制能夠同時監(jiān)控鏡像發(fā)布者、使用者和管理者，及時的維護更新，多角度的降低了三者的風(fēng)險。Azab[6]等人提出了HyperSentry，利用安全硬件設(shè)計的方法，在虛擬機中增加安全控制機制，如完整性度量代理，增強虛擬機監(jiān)督程序的完整性。在虛擬機監(jiān)督程序中增加一個完整性度量代理，連接硬件中的基線板管理控制器件，通過智能管理平臺管理基線板來管理控制器接口與遠端的驗證方進行通信。

文獻[7]提出了基于使用控制模型（UCON）[8]的Hypervisor非控制數(shù)據(jù)完整性保護模型。該模型在非控制數(shù)據(jù)完整性保護需求的基礎(chǔ)上簡化了UCON模型，繼承了UCON模型的連續(xù)性和易變性，實現(xiàn)非控制數(shù)據(jù)的實時訪問控制。根據(jù)攻擊樣例分析攻擊者和攻擊對象確定主客體減少安全策略，提高了決策效率；并基于ECA描述安全策略，能夠有效地決策非控制數(shù)據(jù)訪問合法性。在Xen系統(tǒng)中設(shè)計并實現(xiàn)了相應(yīng)的原型系統(tǒng)，通過實驗評測表明，能夠有效阻止針對虛擬機管理器的攻擊，且性能開銷在10%以內(nèi)。

4.2 同態(tài)加密及其應(yīng)用

目前同態(tài)加密算法主要集中在非對稱加密模式下，利用代數(shù)中安全的數(shù)據(jù)結(jié)構(gòu)來構(gòu)造安全的加密方案。近年來，可同時支持加法與乘法的全同態(tài)算法相繼提出。文獻[9]基于理想格首次提出全同態(tài)加密算法的實現(xiàn)，文獻[10]取消了理想格的限制。同態(tài)加密算法[11]是對2種或2種以上的運算保持同態(tài)的加密方案，用文獻[12]的同態(tài)加密方案加密的密文隨著計算乘法或加法電路深度的增加而指數(shù)增加。上述方案可以歸類到PollyCracker框架方案[13]，框架系統(tǒng)內(nèi)所有算法的安全性都是基于理想成員資格判定問題。該框架內(nèi)的算法都假設(shè)理想成員資格判定問題是困難的，但對于這個問題的困難性假設(shè)是否成立還有許多疑問[14]，此外這些方案的密文膨脹也是一個嚴重問題，因為這種膨脹速度有時甚至是電路深度的雙指數(shù)函數(shù)。因此，設(shè)計高效的全同態(tài)加密方案是有待解決的。

4.3 可搜索加密技術(shù)

文獻[15]實現(xiàn)了非自適應(yīng)可搜索加密[16]，方案通過拓展之前可搜索加密算法的索引結(jié)構(gòu)，使其可以動態(tài)更新，解決了文件更新導(dǎo)致遠程索引更新的安全問題，設(shè)計出來了安全的基于可搜索加密技術(shù)的云存儲系統(tǒng)。文獻[17]提出了基于第三方代理存儲文件的令牌隨機查詢協(xié)議，在協(xié)議中，用戶提交加密N次的令牌，然后索引服務(wù)器和文件服務(wù)器（數(shù)據(jù)存儲服務(wù)提供商）更新令牌和文件ID（再次加密）。因此，對于數(shù)據(jù)查詢服務(wù)提供商而言，一個關(guān)鍵字每次對應(yīng)的令牌都不一樣，因此無法對用戶的查詢歷史進行定位與統(tǒng)計分析，從而達到保護用戶隱私的目的。但是第三方參與交互大大增加了系統(tǒng)的復(fù)雜性。

4.4 保序加密技術(shù)

保序加密算法[18]（OPE）保持密文與明文數(shù)據(jù)的數(shù)字大小比較關(guān)系，廣泛應(yīng)用于加密的數(shù)據(jù)庫查詢[19]?；诒Ｐ蚣用埽∣PE）的基本思想，提出了支持對返回的文件按關(guān)鍵字匹配度進行排序的方案。在通常情況下，排序查詢功能使得所有匹配的文檔會根據(jù)一個標(biāo)準進行排序，最終僅返回給用戶最相關(guān)的k個文檔，因此也稱為“最相關(guān)k文檔查詢”。

4.5 數(shù)據(jù)完整性和可用性技術(shù)

保證數(shù)據(jù)的機密性、可用性、完整性、不可抵賴性是公有云安全重點要解決的問題。文獻[20]利用基于環(huán)和組簽名的加密方法實現(xiàn)用戶數(shù)據(jù)的匿名存儲。文獻[21]提出通過加密協(xié)處理器的防篡改能力提供云環(huán)境下的安全執(zhí)行域，從物理和邏輯上防止數(shù)據(jù)未授權(quán)訪問。文獻[22]中Roy等人將集中信息流控制和差分隱私保護技術(shù)融入云中的數(shù)據(jù)生成與計算階段， 提出了一種隱私保護系統(tǒng)Airavat。文獻[23]C.Wang等人實現(xiàn)了基于BLS簽名機制的公共審計，并且實現(xiàn)了基于隨機盲化技術(shù)的數(shù)據(jù)隱私保護。文獻[24]提出了一種基于零知識交互的PDP方案（ZK-IPDP），支持數(shù)據(jù)的全動態(tài)操作、公共審計和隱私保護，并且可支持跨多個云的數(shù)據(jù)進行完整性校驗。文獻[25]Yang的方案通過拓展，支持多個用戶數(shù)據(jù)的批量審計，大大的提高了TPA的工作效率。

4.6 加密與密鑰管理技術(shù)

加密技術(shù)的健壯性則更依賴于良好的密鑰管理技術(shù)。文獻[30]中提出一種密文密鑰管理方案，該方案將無中心糾刪碼和門限公鑰加密相結(jié)合，將數(shù)據(jù)分片和密鑰分片（利用Shamir方案共享）分別保存在m個數(shù)據(jù)服務(wù)器和n個密鑰服務(wù)器當(dāng)中，假如攻擊者捕獲全部數(shù)據(jù)服務(wù)器和不少于t個密鑰服務(wù)器，攻擊者無法獲取數(shù)據(jù)信息，而合法用戶通過訪問t個密鑰服務(wù)器重構(gòu)原始文；隨后他們改進了方案[31]，利用Shamir門限方案與代理重加密機制[32]提出了門限代理重加密技術(shù)，并與無中心糾刪碼結(jié)合，實現(xiàn)了數(shù)據(jù)的機密性保護，并且云服務(wù)器不需要數(shù)據(jù)解密的情況下，利用重加密密鑰實現(xiàn)數(shù)據(jù)的安全轉(zhuǎn)發(fā)，減小了計算和傳輸?shù)拈_銷。

4.7 問責(zé)機制

建立對云服務(wù)商的可信性，對云服務(wù)器的行為建立問責(zé)機制，可顯著提高云平臺的可信度。文獻[33]中提出了一個依據(jù)可靠第三方的可靠分布式的公有云數(shù)據(jù)庫問責(zé)方案，以可信第三方為基礎(chǔ)，在每個用戶和云服務(wù)器之間部署可信代理，記錄用戶對云服務(wù)器的請求歷史和響應(yīng)日志，通過學(xué)習(xí)分類從這些數(shù)據(jù)中獲取問責(zé)服務(wù)所需要的信息，發(fā)送給可信第三方進行問責(zé)服務(wù)。Haeberlen等人提出的可問責(zé)虛擬機[34]，通過設(shè)置代理，在虛擬機中運行虛擬計算機系統(tǒng)的同時記錄不餓抵賴的歷史記錄，進而依據(jù)記錄的數(shù)據(jù)進行問責(zé)機制服務(wù)。

4.8 抗拒絕服務(wù)攻擊

面對未來可能更加廣泛、更加頻繁、更加精準的DDoS攻擊，普遍的防御方法有設(shè)置高性能設(shè)備、保證足夠帶寬、系統(tǒng)更新升級、靜態(tài)頁面的網(wǎng)站、云中異常流量清洗、分布式集群防御等，對抗DDoS攻擊是一個涉及多個層面的問題，需要多方面的合作。李等[35]提出一種面向可控公有云的DDoS攻擊源控制技術(shù)pTrace，該系統(tǒng)包括入口流量監(jiān)控和惡意進程溯源兩個部分，當(dāng)攻擊流速率達到正常流量的2.5倍時，即可正確識別攻擊流信息，并在ms級的時間內(nèi)正確的追溯攻擊流量發(fā)送進程。

4.9 抗隱蔽信道攻擊

目前認為抗隱蔽信道攻擊最好的方法是避免物理設(shè)備共享或者虛擬資源共享，避免攻擊者與被攻擊者共享資源的最有效方法，即服務(wù)提供商為用戶提供獨占資源的服務(wù)，但是用戶要支付更多的費用，很大情況會造成資源浪費。

4.10 災(zāi)備與恢復(fù)技術(shù)

災(zāi)難恢復(fù)是信息和信系統(tǒng)安全的一項重要措施。災(zāi)難恢復(fù)包括從產(chǎn)生較大、全面的數(shù)據(jù)或系統(tǒng)破壞的自然災(zāi)難中恢復(fù)，也包括從可能影響單個系統(tǒng)或者某個數(shù)據(jù)塊的事件（例如硬件錯誤、安全入侵、誤操作等）中恢復(fù)。在公有云安全中與傳統(tǒng)環(huán)境中的災(zāi)難恢復(fù)沒有本質(zhì)上的區(qū)別，同樣需要沒滿足可容忍的最大宕機時間、可容忍的最大數(shù)據(jù)損失等。備份與災(zāi)難恢復(fù)是目前在云應(yīng)用中最為流行的兩種方式，部分企業(yè)客戶，包括部分個人用戶，已經(jīng)開始將完整的災(zāi)難備份與恢復(fù)整合到相應(yīng)的存儲產(chǎn)品中，進而降低成本，增強數(shù)據(jù)和系統(tǒng)的安全性。

4.11 安全即服務(wù)

所謂安全即服務(wù)（SecaaS），就是云計算技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用和拓展，是安全管理的外包模式，從而實現(xiàn)網(wǎng)絡(luò)SecaaS的一種技術(shù)和業(yè)務(wù)模式，通過集群化、池化和服務(wù)化提升網(wǎng)絡(luò)安全的資源，以互聯(lián)網(wǎng)的方式，用戶不需要自身對安全設(shè)施進行維護管理、以最小化成本、盡量減小業(yè)務(wù)提供商之間交互的情況下，可以得到便捷、按需、可伸縮的網(wǎng)絡(luò)安全防護服務(wù)。同時給用戶和服務(wù)商帶來了很多益處，包括避免人力資源浪費、避免低水平重復(fù)勞動、避免管理設(shè)備低水平重復(fù)配置、更多的知識、更智能的行為、更專業(yè)的安全設(shè)備維護等。目前，由于手機的計算和存儲能力非常有限，針對移動手機作為客戶端是目前的研究主要內(nèi)容，已有的研究包括反病毒服務(wù)、安全認證、安全檢測[36]和數(shù)字版權(quán)管理[37]等。文獻[37]中提出了將數(shù)字版權(quán)管理系統(tǒng)的許可證服務(wù)內(nèi)容服務(wù)放到云中，基于云平臺的SIM卡數(shù)字版權(quán)管理，能夠向用戶提供優(yōu)質(zhì)的安全服務(wù)。文獻[38]提出方案，將所有的安全檢測服務(wù)全部運行在云端的副本上，使得智能手機和云端之間保持同步。

4.12 SDN技術(shù)

軟件定義網(wǎng)絡(luò)（SDN）作為一種新興的網(wǎng)絡(luò)技術(shù)，被認為是解決當(dāng)前云計算進一步發(fā)展瓶頸問題的有效方法，同時也為解決公有云安全問題帶來了新的途徑。文獻[40]提出一種基于SDN技術(shù)的云安全防護方案，方案在原有的業(yè)務(wù)云之外，用云技術(shù)建設(shè)安全云，在業(yè)務(wù)云中部署安全代理，通過SDN技術(shù)連接業(yè)務(wù)云、安全云和安全代理，并通過安全代理把業(yè)務(wù)云動態(tài)劃分為邏輯隔離的多個業(yè)務(wù)區(qū)域。方案不依賴于業(yè)務(wù)云的實現(xiàn)方式，除初始近乎零配置的安全代理外，不改變業(yè)務(wù)云的軟硬件結(jié)構(gòu)，具有易部署、易維護、安全性更高等特點。

5 趨勢與展望

目前，相關(guān)公有云安全的研究做了很多的工作，但是在與實踐應(yīng)用的要求還有很大的差距，許多問題需要進一步探討探索。

（1）目前，我國關(guān)于公有云安全的總體框架業(yè)界尚無統(tǒng)一的認識，未來需要對公有云安全的總體技術(shù)標(biāo)準和管理體系制定統(tǒng)一的標(biāo)準規(guī)范，在理論的指導(dǎo)下，理論和實踐相結(jié)合，公有云才能更快、更安全地發(fā)展。

（2）隨著不斷更新技術(shù)的同時帶來新的安全隱患，不斷被發(fā)現(xiàn)的新安全漏洞，目前已經(jīng)出現(xiàn)并繼續(xù)發(fā)展的高級威脅防護方案并不是“藥到病除”，且并不是萬能鑰匙。針對應(yīng)用技術(shù)的差異性和漏洞攻擊、安全威脅技術(shù)手段的不斷發(fā)展，公有云安全研究必須轉(zhuǎn)向“最小化信任概念”，即對云環(huán)境內(nèi)的所有異?；顒?，逐個的進行安全評估，每一項異?；顒?，都應(yīng)作為一個單項進行研究。

（3）隨著技術(shù)的發(fā)展“公有云+移動終端”成為移動終端應(yīng)用發(fā)展的主要趨勢，但也導(dǎo)致其成為病毒和惡意軟件的重要攻擊目標(biāo)。由于移動網(wǎng)絡(luò)環(huán)境的復(fù)雜性，移動終端面臨的安全威脅更嚴峻，危害更大。移動終端的安全問題成為了制約移動互聯(lián)網(wǎng)發(fā)展的關(guān)鍵因素之一。公有云+移動終端模式的安全技術(shù)是未來公有云安全研究的重點方向之一。

（4）軟件定義網(wǎng)絡(luò)（Software Defined Network）作為一種新興的網(wǎng)絡(luò)技術(shù)，通過分離控制層與數(shù)據(jù)層，分別進行優(yōu)化，用戶能夠根據(jù)自身需要，通過控制層提供的編程接口管理和動態(tài)檢測網(wǎng)絡(luò)，以及實現(xiàn)網(wǎng)絡(luò)資源動態(tài)、靈活且透明的調(diào)配。因此，基于SDN的公有云安全技術(shù)是未來重點發(fā)展方向之一。

（5）我國公有云安全的發(fā)展有著廣闊的商業(yè)市場，但政府的規(guī)范和引導(dǎo)將會有事半功倍的效果，如數(shù)據(jù)安全、數(shù)據(jù)保護、服務(wù)安全等更多地涉及到商業(yè)服務(wù)法規(guī)政策的遵從，并且需要不斷的完善法規(guī)政。因此，加大政府應(yīng)對策略的研究力度，加強這方面的政策法規(guī)研究，將有利于為政府更好地發(fā)揮引導(dǎo)作用提供理論依據(jù)。

參考文獻

[1] 鄭鑫.云計算安全體系架構(gòu)與關(guān)鍵技術(shù)研究[J].通訊技術(shù)，2015.

[2] Bugiel S，Nǜrnberger S，et al.AmazonIA：when elasticitysnaps back[A] .In Proceedings of the 18th ACM Conferenceon Computer and Communications Security[C].New York：ACM Press，2011.389-400.

[3] Yinqian Zhang，Ari Juels etc.Cross-Tenant Side-Channel Attacks in PaaS Clouds.CCS14，November 3-7，2014，Scottsdale，Arizona，USA.

[4] D.Gullasch，E.Bangerter，and S.Krenn.Cache games-bringings access-based cache attacks on AES to practice.In 2011 IEEE Symposium on Security&Privacy，pages 490-550，2011.

[5] Wei J P，Zhang X L.Managing security of virtual machineimages in a cloud environment[A] .InProceedings of the2009 ACM Workshop on Cloud Computing Security[C].NewYork：ACM Press，2009.91-96.

[6] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

[7] 陳志峰，李清寶，張平等.基于訪問控制的Hypervisor非控制數(shù)據(jù)完整性保護[J].電子信息與學(xué)報，37（10），2508-2516，2015.

[8] Park J and Sandhu R.Towards usage control models： beyondtraditional access control[C].Proceedings ofthe 7th ACMSymposium on Access Control Models and Technologies，NewYork，NY，USA，2002：57-64.

[9] C.Gentry，F(xiàn)ully homomorphic encryption using ideal lattices.Proceedings of the 41stAnnual ACM Symposium on theory of Computing，ACM，2009，169-178.

[10] M.Van-Dijk，C.Gentry，S.Halevi，et al.Fullyhomomorphic encryption over theintegers[C].Advances in Cryptology-EUROCRYPT 2010，Springer，2010，24-43.

[11] Melchor C A，Gaborit P，Herranz J.Additively Homomorphic encryption with t-operand multiplications[G].LNCS 6223：Proc of CRYPTO 2010.Berlin：Springer，2010：138-154.

[12] Fontaine C，Galand F.A survey of homomorphic encryption for non-specilists[EB/OL].[2015-01-03].http：//jis.eurasipjournals.com/content/2007/1/013801.

[13] Fellows M，Koblitz N.Combinatorial crytosystems galore[G].LNCS 1122：Proc of the 2nd Int Symp on Finite Fields.Berlin：Springer，1993：51-61.

[14] Gentry C.A fully homomorphic encryption scheme[D].Stanford，CA：Stanford University，2009.

[15] S.Kamara，C.Papamanthou，T.Roeder.CS2：A searchable cryptographic cloud storage system[J].Microsoft Research，TechTeport MSR-TR-2011-58，2011.

[16] R.Curtmola，J.Garay，S.Kamara，et al.Searchable symmetric encryption：improveddefinitions and efficient constructions[C].Proceedings of the 13th ACM conference onComputer and communications security，ACM，2006，79-88.

[17] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[18] 陳志峰，李清寶，張平等.基于訪問控制的Hypervisor非控制數(shù)據(jù)完整性保護[J].電子信息與學(xué)報，37（10），2508-2516，2015.

[19] N.Cao，C.Wang，M.Li，et al.Privacy-preserving multi-keyword ranked search over encrypted cloud data[J].IEEE Transantions on Parallel and Distributed Systems，2014，25（1）：222-233.

[20] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[21] Itani W，Kayssi A，Chehab A.Privacy as a Service： Privacy-AwareData Storage and Processing in Cloud Computing Architectures[C].The8th IEEE International Conference on Dependable，Autonomic and SecureComputing.Chengdu，China，2009.711-716.

[22] Roy I，Ramadan HE，Setty STV，Kilzer A，Shmatikov V， WitchelE.Airavat：Security and privacy for MapReduce[C].In：Castro M.eds.Proc.of the 7th Usenix Symp.on Networked Systems Design andImplementation. San Jose：USENIX Association，2010.297-312.

[23] Wang C.，Chow S.S.，Wang Q.，Ren K and Lou W.，Privacy-preserving public auditing for secure cloud storage[J].Computers，IEEE Transactions on，vol.62，no.2，pp.362-375，2013.

[24] Zhu Y.，Hu H.，Ahn G.-J.，and Yu M.，Cooperative provable data possession for intergrity vertification in multicloud storage[J].Parallel and Distributed Systems，IEEE Transactions on，vol.23，no.12，pp.2231-2244，2012.

[25] Yang K.and Jia X.，An dfficient and secure dynamic auditing protocol for data storage in cloud computing[J].Parallel and Distributed Systems，IEEE Transactions on，vol.24，no.9，pp.1717-1726，2013.

[26] 林果園，賀珊，黃皓等.基于行為的云計算訪問控制安全模型[J].通信學(xué)報，2013，33（3）：59-66.

[27] Yu S，Wang C，Ren K，et al.Achieving secure，scalable，and fine-grained data access control in cloud computing[A].Proceedingsof IEEE INFORCOM 2010[C].San Diego，CA：IEEE Press，2010.1-9.

[28] 陳丹偉，邵菊，樊曉唯等.基于MAH-ABE的云計算隱私保護訪問控制[J].電子學(xué)報，2014，42（4）：821-827.

[29] Abdulrahman A A，Muhammad I S，Saleh B，etal.A distributed access control architecture for cloud computing[J].IEEE software，2012，29（2）：36-44.

[30] Lin HY and Tzeng WG.A secure decentralized erasure code for distributed network storge[J].IEEE Transactions， Parallel and Distributed Systems，2010，21（11）.

[31] Lin HY and Tzeng WG.A secure Erasure Code-Base Cloud Storage System with Ssecure Data Forwarding[J].EEE Transactions， Parallel and Distributed Systems， 2012，23（6）.

[32] Mambo M.and Okamoto E.Proxy Cryptosystems：Delegation of the Power to Decrypt Ciphertexts，IEICE Trans.Fundamental of Electronics，Comm.and Computer Sciences，vol.E80-A，no.1，pp.54-63，1997.

[33] Wang C，Zhou Y，A collaborative monitoring mechanism formaking a multitenant platform accountable[A].HotCloud10Proceedings of the 2nd USENIX conference on Hot topics incloud computing[C].Berkeley：USENIX Association Press，2010.18-25.

[34] Haeberlen A，Aditya P，et al.Accountable virtual machines[A].Proceedings of the 9th USENIX conference on Operatingsystems design and implementation [C].Berkeley：USENIX Association Press，2010.1-16.

[35] 李?，q，徐克付等.pTrace：一種面向可控云計算的DDoS攻擊源控制技術(shù)[J].計算機研究與發(fā)展，52（10）：2212-2223，2015.

[36] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM， 2011.21-26.

[37] C K Wang，P Zou，Z Liu，J M Wang.CS-DRM：A cloudbasedSIM DRM scheme for mobile internet[J] .EURASIP JWirel Commun Netw，2011，14（1）：22-30.

[38] G Portokalidis，P Homburg，K Anagnostakis，H Bos ParanoidAndroid：versatile protection for smartphones[A].In Proceedingsof the 26th Annual Computer Security Applications Conference[C].ACM，New York，NY，USA：ACM，2010.347-356.

[39] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM，2011.21-26.

[40] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

基金項目：

“中科院開放課題基金”。

作者簡介：

杜瑞祥（1987-），男，漢族，湖南長沙人，畢業(yè)于國防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：云計算安全。

鮮明（1970-），男，漢族，湖南長沙人，畢業(yè)于國防科學(xué)技術(shù)大學(xué)，博士，教授，博士生導(dǎo)師；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)空間安全。

谷俊（1987-），男，漢族，湖南長沙人，畢業(yè)于國防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：軟件系統(tǒng)安全。

陳恬（1991-），女，漢族，湖南長沙人，畢業(yè)于國防科學(xué)技術(shù)大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全評估。