云計算環(huán)境安全綜述

張玉清 王曉菲 劉雪峰 劉玲

云計算（cloud computing）是以網(wǎng)絡(luò)技術(shù)、虛擬化技術(shù)、分布式計算技術(shù)為基礎(chǔ)，以按需分配為業(yè)務(wù)模式，具備動態(tài)擴展、資源共享、寬帶接入等特點的新一代網(wǎng)絡(luò)化商業(yè)計算模式。開放的網(wǎng)絡(luò)環(huán)境為云計算用戶提供了強大的計算和存儲能力，現(xiàn)已逐漸在產(chǎn)業(yè)界得到廣泛的應(yīng)用。然而，伴隨云計算技術(shù)的飛速發(fā)展，其所面臨的安全問題日益凸顯。

云計算環(huán)境是指將分布在互聯(lián)網(wǎng)上的計算機等終端設(shè)備相互整合，借助某種網(wǎng)絡(luò)計算方式，實現(xiàn)軟硬件資源共享和協(xié)調(diào)調(diào)度的一種虛擬計算系統(tǒng)，具有快速部署、易于度量、終端開銷低等特征?；窘M成部分包括應(yīng)用層、平臺層、資源層、用戶訪問層以及管理層，并以各類云計算服務(wù)作為技術(shù)核心。因此在這種環(huán)境中，云計算用戶的數(shù)據(jù)和資源完全依賴于不可靠的網(wǎng)絡(luò)通信和半可信的云存儲服務(wù)器，使得用戶對云計算環(huán)境的安全性普遍存在質(zhì)疑，導(dǎo)致云計算的普及難以深入。

一般認為，云計算環(huán)境自身的結(jié)構(gòu)特點是造成安全問題的主要原因。首先，參與計算的節(jié)點種類多樣、位置分布稀疏且通常無法有效控制。其次，云服務(wù)供應(yīng)商（cloud service provider，簡稱CSP）在傳輸、處理和存儲的過程中均存在泄露隱私的風險。此外，由于云計算本質(zhì)上是在現(xiàn)有技術(shù)的基礎(chǔ)上建立的，所以已有技術(shù)的安全漏洞會直接轉(zhuǎn)移到云計算平臺上，甚至存在更大的安全威脅。可見，在云計算環(huán)境中，用戶基本喪失了對私有信息和數(shù)據(jù)的控制能力，從而觸發(fā)了一系列重要的安全挑戰(zhàn)，例如：云端數(shù)據(jù)的存放位置、數(shù)據(jù)加密機制、數(shù)據(jù)恢復(fù)機制、完整性保護、第三方監(jiān)管和審計、虛擬機安全、內(nèi)存安全等。

鑒于安全和隱私保護是云計算發(fā)展的首要前提，也是目前科研工作的熱點與焦點之一，本文將從云計算環(huán)境下安全與隱私保護技術(shù)的角度出發(fā)，綜述云安全的研究進展。根據(jù)NIST在2011年公布的標準報告，本文將云安全劃分為3個部分，分別是云虛擬化安全、云數(shù)據(jù)安全以及云應(yīng)用安全。其中，云虛擬化安全主要研究對虛擬機、數(shù)據(jù)中心和云基礎(chǔ)設(shè)施的非法入侵；云數(shù)據(jù)安全主要保護云存儲數(shù)據(jù)的機密性、完整性與可搜索性；云應(yīng)用安全主要包括外包計算、網(wǎng)絡(luò)和終端設(shè)備的安全。

本文試圖通過介紹云虛擬化安全、云數(shù)據(jù)安全以及云應(yīng)用安全的相關(guān)研究進展，分析并對比典型方案的特點、適用范圍及其在安全防御和隱私保護方面的不同效用，討論已有工作的局限性，進而指出未來發(fā)展趨勢和后續(xù)研究方向。本文第1節(jié)～第3節(jié)分別從虛擬化、數(shù)據(jù)、應(yīng)用3個方面綜述云計算在安全方面的研究現(xiàn)狀。第4節(jié)簡要展望未來發(fā)展方向。最后是結(jié)束語。

1 云虛擬化安全

云計算平臺對現(xiàn)有計算技術(shù)的整合是借助云虛擬化（cloud virtualization）實現(xiàn)的。云端的虛擬化軟件將物理計算設(shè)備劃分為一個或多個虛擬機（virtual machine，簡稱VM），用戶可以靈活調(diào)配虛擬機執(zhí)行所需計算任務(wù)。例如：操作系統(tǒng)級虛擬化允許在相互獨立的多臺計算設(shè)備間創(chuàng)建可擴展的虛擬系統(tǒng)，此時閑置的計算資源得以重新分配，從而節(jié)約計算成本并提高資源利用率。

云虛擬化作為云計算的核心技術(shù)，其安全性至關(guān)重要。本節(jié)詳述云虛擬化安全，重點介紹各類已知安全攻擊及其現(xiàn)有防御技術(shù)，例如：竊取服務(wù)攻擊可以非法竊取他人的云計算資源；惡意代碼注入攻擊、交叉虛擬機邊信道攻擊、定向共享內(nèi)存攻擊和虛擬機回滾攻擊都會造成敏感信息泄露或未授權(quán)訪問私有云資源。最后簡要補充云計算硬件安全方面的研究情況。

1.1 已知安全攻擊及防御技術(shù)

1.1.1 竊取服務(wù)攻擊

公有云計算環(huán)境通常采用多種彈性計費模式，例如根據(jù)CPU 或VM 的總運行時間計費。然而，計費模式的周期性采樣與低精度的時鐘調(diào)度策略使得攻擊者可以利用虛擬層調(diào)度機制的漏洞，使系統(tǒng)管理程序錯誤地檢測CPU或VM用度，實現(xiàn)竊取服務(wù)攻擊（theft-of-service attack）。具體做法是確保攻擊者進程在調(diào)度程序計數(shù)時未被調(diào)度，從而以隱蔽的方式占用他人的云服務(wù)資源。

常規(guī)的虛擬機調(diào)度機制沒有對調(diào)度的正確性進行檢查，是造成竊取服務(wù)攻擊的主要原因。最初，Gruschka與Jensen的工作采用監(jiān)控實例來保護調(diào)度安全，對比分析攻擊者與合法實例之間的差異以識別竊取服務(wù)攻擊。2013年，Zhou等人則通過修改調(diào)度機制有效地防御了此類攻擊，同時兼顧了計算效率、公平性與I/O響應(yīng)能力。近期研究的目標是虛擬機最小化，包括對可信計算基和虛擬機軟件的最小化，有助于減少受攻擊面并保護用戶隱私。

此外，2012年提出的資源釋放型攻擊（resource-freeing attack，簡稱RFA）能夠?qū)⒑戏ㄓ脩舻奶摂M機資源非法轉(zhuǎn)移到攻擊者的虛擬機，從而達到與竊取服務(wù)攻擊類似的攻擊效果，而且目前并不存在可以完全避免這類攻擊的可行方案。在RFA中，攻擊者通過耗盡某些關(guān)鍵資源，迫使目標虛擬機終止正在進行的服務(wù)并釋放已占用的資源，此時攻擊者將利用新釋放的資源來改善自身的性能。Amazon EC2平臺上的實驗結(jié)果表明，攻擊者借助RFA獲得了13%的性能提升。

1.1.2 惡意代碼注入攻擊

惡意代碼注入攻擊（malware injection attack）使用惡意實例代替系統(tǒng)服務(wù)實例處理正常的服務(wù)請求，進而獲得特權(quán)訪問能力，非法盜取證書信息或用戶數(shù)據(jù)。與傳統(tǒng)Web 應(yīng)用環(huán)境不同，云計算環(huán)境的虛擬化特征加劇了惡意代碼注入攻擊的安全威脅。云端的服務(wù)遷移、虛擬機共存等操作使得惡意代碼的檢測工作異常困難，目前仍然缺少對云服務(wù)實例完整性的有效檢查方法。

現(xiàn)有防御方案的關(guān)鍵點是對包含惡意實例的計算節(jié)點的檢測。文獻[11]基于PE文件格式關(guān)系設(shè)計可追溯性檢測方案，針對HADOOP平臺檢測惡意實例所在的主機，具有較高的檢測率和較低的誤報率。然而，該方案的檢測開銷較大，而且檢測過程存在隱私泄露的可能性。2012年，一種輕量級云移動終端反惡意軟件系統(tǒng)被提出，移動端惡意代碼的檢測效率得以改善。隨后，Wei等人基于DFA評估技術(shù)檢測加密文件的內(nèi)容真實性，同樣能夠用于惡意代碼掃描。

1.1.3 交叉虛擬機邊信道攻擊

交叉虛擬機邊信道攻擊（cross VM side channels attack）是一類常見的訪問驅(qū)動攻擊形式，要求攻擊者與目標虛擬機使用相同的物理層硬件，二者交替執(zhí)行。在交替執(zhí)行的過程中可以推斷出目標虛擬機的行為，識別出服務(wù)器主機的信息。攻擊者首先借助惡意虛擬機訪問共享硬件和緩存，然后執(zhí)行預(yù)定的安全攻擊，例如計時邊信道攻擊、能量消耗的邊信道攻擊、高速隱蔽信道攻擊等，最終導(dǎo)致目標虛擬機內(nèi)的用戶數(shù)據(jù)泄露。此類攻擊一般難以留下痕跡或引發(fā)警報，因而能夠很好地躲避檢測。

具體來看，計時邊信道攻擊通過測量不同計算任務(wù)的執(zhí)行時間，成功獲取用戶與服務(wù)器的身份信息。能量消耗的邊信道攻擊利用能量消耗日志開展攻擊，可以幫助攻擊者快速識別目標虛擬機系統(tǒng)管理程序的類型。此外，與標準通信信道不同，Wu等人首次在虛擬化x86系統(tǒng)中實現(xiàn)了高速隱蔽信道攻擊。2015年，Liu 的科研團隊圍繞最后一級緩存（last-level cache，簡稱LLC）提出了一種新型隱蔽信道攻擊。無需依賴共享內(nèi)存以及操作系統(tǒng)或虛擬機系統(tǒng)管理程序的漏洞，便可達到較高的攻擊成功率。Inci等人則是通過LLC來檢測主機托管，在Amazon EC2平臺上完整恢復(fù)了2048比特的RSA私鑰。

現(xiàn)階段針對交叉虛擬機邊信道攻擊的典型防御策略有密鑰劃分機制和最小運行時間擔保機制。前者將用戶密鑰劃分為隨機份額，并以周期性更新的方式將各個密鑰份額存儲于不同的虛擬機，有效防范利用交叉虛擬機邊信道攻擊竊取加密密鑰的攻擊行為。后者優(yōu)化虛擬機調(diào)度機制以降低緩存共享的安全風險，規(guī)定在最小運行時間限制內(nèi)不能預(yù)先占用CPU資源。

1.1.4 定向共享內(nèi)存攻擊

定向共享內(nèi)存攻擊（targeted shared memory）以物理機或虛擬機的共享內(nèi)存或緩存為攻擊目標，是惡意代碼注入攻擊與邊信道攻擊的基礎(chǔ)。此類攻擊的一個代表性方案由Rocha和Correia于2011年提出，結(jié)合內(nèi)部攻擊訪問虛擬機的內(nèi)存轉(zhuǎn)儲數(shù)據(jù)，可能導(dǎo)致系統(tǒng)當前運行狀態(tài)與用戶隱私信息的泄露。

同樣是關(guān)于虛擬機的內(nèi)存安全，內(nèi)存耗盡故障嚴重危害著云計算平臺的可用性。目前常規(guī)的防御手段是根據(jù)日志文件來監(jiān)控內(nèi)存，相比直接監(jiān)控內(nèi)核例程的方法，其故障檢測效果較為有限。

1.1.5 虛擬機回滾攻擊

在云虛擬化環(huán)境中，管理程序出于系統(tǒng)正常維護的目的，可以隨時掛起虛擬機并保存系統(tǒng)狀態(tài)快照。若攻擊者非法恢復(fù)了快照，將會造成一系列的安全隱患，且歷史數(shù)據(jù)將被清除，攻擊行為將被徹底隱藏。

2012年，Szefer等人最初提出禁用掛起恢復(fù)功能以抵御虛擬機回滾攻擊（VM rollback attack）。同年，該思路得以改進，研究人員選用虛擬機審計日志和狀態(tài)快照的哈希值作為合法性的判斷條件，而無需禁用系統(tǒng)管理程序的基本功能。然而，上述方案均需要終端用戶的參與及協(xié)調(diào)，靈活性較差。

1.1.6 小結(jié)

云虛擬化作為多種技術(shù)的融合，為云端的資源管理、數(shù)據(jù)隱私保護帶來了全新的安全挑戰(zhàn)。第1.1節(jié)介紹了5類常見的虛擬機安全攻擊，為了更加直觀地分析并對比各個攻擊的原理、特點與危害程度，圍繞攻擊實例、攻擊原理、攻擊效果、代表性防御方案以及現(xiàn)有研究的局限性進行了詳細的總結(jié)歸納。

綜上所述，云虛擬化安全的研究已經(jīng)取得了一些進展，但總體來說防御技術(shù)還不成熟，仍有眾多針對虛擬機環(huán)境的安全攻擊形式尚待深入研究。虛擬機遷移過程中的信息泄露、為竊取用戶數(shù)據(jù)或服務(wù)資源而對虛擬機實例進行的非法調(diào)度、替換、回滾等操作，均是未來研究中十分值得關(guān)注的重要問題，需要設(shè)計更加完備的安全防御機制以保障虛擬機調(diào)度機制的可靠性。

1.2 云硬件安全

硬件設(shè)備安全是云基礎(chǔ)架構(gòu)安全不可或缺的重要組成部分，硬件的瞬時故障或錯誤可能危害整體信息系統(tǒng)的正確性與安全性。Elphinstone等人在形式化軟件驗證的基本假設(shè)下，分析商用硬件的可靠性特征，并利用冗余的多核處理器提高現(xiàn)有硬件的可信度。此外，與傳統(tǒng)的軟件安全技術(shù)不同，硬件系統(tǒng)的引入為云計算帶來了一種全新的安全防護策略。例如：硬件安全模塊（hardware security module，簡稱HSM）負責存儲并管理用于認證和加密的私有密鑰，具有極高的加解密運算速度和安全保護級別，且易于與其他網(wǎng)絡(luò)設(shè)備相整合。目前最著名的商業(yè)化產(chǎn)品是亞馬遜公司的CloudHSM服務(wù)，主要為AWS云提供密鑰管理功能。類似地，Azab等人設(shè)計出獨立于操作系統(tǒng)軟件的硬件級強化隔離框架，旨在為x86多核平臺的數(shù)據(jù)隱私提供必要保障。

雖然硬件安全的發(fā)展在一定程度上受到低性價比的限制，同時為了克服安全硬件在靈活性和可擴展性等方面的局限性，CSP 更傾向于使用軟件架構(gòu)代替硬件設(shè)備以獲取更為優(yōu)質(zhì)的服務(wù)能力。但是即便如此，安全硬件對服務(wù)可靠性的提升卻為用戶帶來了更多節(jié)省計算成本的機會。例如：基于硬件的身份認證機制通過將安全策略植入硬件模塊來保護數(shù)據(jù)安全，使用戶可以在確保隱私的前提下將過多的數(shù)據(jù)外包至云端，從整體上降低了用戶安全防護和計算的開銷。

2 云數(shù)據(jù)安全

不同于傳統(tǒng)的計算模式，云計算在很大程度上迫使用戶隱私數(shù)據(jù)的所有權(quán)與控制權(quán)相互分離。云存儲作為云計算提供的核心服務(wù)，是不同終端設(shè)備間共享數(shù)據(jù)的一種解決方案，其中的數(shù)據(jù)安全已成為云安全的關(guān)鍵挑戰(zhàn)之一，在近期研究中占有較大的比重。

本節(jié)回顧云計算環(huán)境中的數(shù)據(jù)安全與內(nèi)容隱私保護的相關(guān)問題與研究進展。到目前為止，保護云數(shù)據(jù)安全的常規(guī)做法是預(yù)先對存儲到云服務(wù)器的數(shù)據(jù)進行加密處理，并在需要時由數(shù)據(jù)使用者解密。在此過程中，代理重加密算法與屬性加密算法用于解決數(shù)據(jù)擁有者與使用者之間的身份差異；訪問控制技術(shù)用于管理資源的授權(quán)訪問范圍；可搜索加密技術(shù)實現(xiàn)對密文數(shù)據(jù)的檢索。最后，為防備因CSP系統(tǒng)故障而導(dǎo)致的用戶數(shù)據(jù)丟失，還需給出關(guān)于數(shù)據(jù)完整性以及所有權(quán)的證明。針對上述研究內(nèi)容，本節(jié)將從數(shù)據(jù)共享算法、訪問權(quán)限認證、密文搜索和完整性審計4個方面展開綜述，并選取部分重點成果予以介紹和分析。

2.1 數(shù)據(jù)共享算法

2.1.1 代理重加密算法

代理重加密算法（proxy re-encryption，簡稱PRE）常見于電子郵件轉(zhuǎn)發(fā)、內(nèi)容分發(fā)服務(wù)等多用戶共享的云安全應(yīng)用中，它允許第三方代理改變由數(shù)據(jù)發(fā)送方加密后的密文，以便數(shù)據(jù)接收方可以解密。最簡單的做法是由第三方代理使用發(fā)送方密鑰先行解密出明文，再以接收方密鑰重新加密。但是對于不可信的CSP 代理而言，該方案會造成密鑰及明文信息的泄密，安全性并不理想。

結(jié)合傳統(tǒng)代理重加密算法的基本思想，Green與Ateniese于2007年設(shè)計了一種基于身份的代理重加密方案（identity-based proxy reencryption，簡稱IBPRE）。此方案以用戶的唯一身份信息作為公鑰參與重加密，具有單向性、非傳遞性、非交互性等特點。其中所含的重加密密鑰只能單向單次使用，而且無法抵御代理與接收方之間的合謀攻擊。Mizuno和Doi對IBPRE方案進行改進，優(yōu)化了重加密密文空間的大小并隱藏了代理的身份，一并給出了嚴格的形式化安全分析，證明其具有抵抗選擇明文攻擊（chosen-plaintext attack，簡稱CPA）的能力。2012年，綜合運用層次化身份加密算法NaHIBE和基于身份的多用單向代理重加密算法MUIBPRE，首個可以抵御非法合謀且滿足選擇密文攻擊（chosenciphertext attack，簡稱CCA）安全的IBPRE方案被提出。除此之外，分類代理重加密技術(shù)使數(shù)據(jù)分發(fā)者能夠?qū)γ芪奈袡?quán)實施細粒度的分類控制。Wu等人則給出了無證書的代理重加密算法以及基于身份的密鑰托管協(xié)議。2014年，基于身份的可撤銷代理重加密機制也得到了進一步的研究?？傮w上，IBPRE方案解決了第三方代理權(quán)限過大的問題，但其所支持的委托方式較為單一，難以靈活地根據(jù)共享的內(nèi)容分配解密能力。

條件代理重加密算法（conditional proxy re-encryption，簡稱CPRE）規(guī)定僅當重加密密鑰和指定密文條件同時滿足時，解密操作才被允許，特別支持一對多加密和端到端加密形式。在文獻[36]的基礎(chǔ)上，F(xiàn)ang等人先后設(shè)計了支持關(guān)鍵詞檢索的匿名CPRE方案和模糊CPRE方案，在執(zhí)行效率上優(yōu)于原始算法。期間，Lan等人利用秘密共享機制和雙線性對原理構(gòu)造出多條件代理重加密方案。與文獻[32]的設(shè)計思想類似，文獻[40]表明，多數(shù)層次化身份加密方案（hierarchical identity-based encryption，簡稱HIBE）可以轉(zhuǎn)化為CCA安全的CPRE方案。而基于身份的條件代理重加密方案則是由IBPRE和CPRE所組成的擴展算法，其CCA 安全性已在標準模型（standard model）和隨機預(yù)言模型（random oracle model）下得到充分的證明。然而，現(xiàn)有的方案大多僅限于關(guān)鍵字條件，如何構(gòu)造支持布爾條件的CPRE算法仍然是一個開放的問題。此外，該類方案的效率與密文長度仍待進一步優(yōu)化。

2.1.2 屬性加密算法

云存儲中，屬性加密算法（attribute-based encryption，簡稱ABE）同樣可以保護用戶數(shù)據(jù)的安全性與可共享性。若公鑰密碼的密鑰與密文依賴于用戶自身的某些屬性（如性別、年齡、國籍、學(xué)歷等），則稱其為基于屬性的加密算法或模糊的基于身份的加密算法（fuzzy identity-based encryption）。此時僅當密鑰屬性與密文屬性相互匹配時，才可以完成解密操作。

實現(xiàn)屬性加密的方式多種多樣，近期的代表性成果包括：Waters所提出的基于密文策略的屬性加密方案（ciphertext-policy attributebased encryption，簡稱CP-ABE）最初用來解決復(fù)雜的密文訪問控制問題。密文負責攜帶訪問控制策略，因此加密時間與訪問控制結(jié)構(gòu)的復(fù)雜度呈現(xiàn)正相關(guān)，而解密時間由訪問控制樹中的節(jié)點總數(shù)目決定。文獻[44]指出將部分解密算法外包到CSP，可以有效降低CP-ABE方案的解密開銷。然而，外包解密通常不具有可驗證性，即用戶無法判斷CSP是否按照預(yù)定要求進行了解密轉(zhuǎn)換。為了彌補這一缺陷，Lai等人在其2013年的工作中首次為CP-ABE設(shè)計了可驗證的外包解密算法，但是可擴展性較差。此外，關(guān)于用戶屬性撤銷或密鑰更新問題，最新解決思路是使用直接撤銷機制[46]或?qū)SP代理的計算任務(wù)分散到大量云計算用戶中，以避免因間接屬性撤銷而導(dǎo)致的性能瓶頸。

2006年，Goyal等人提出了基于密鑰策略的屬性加密方案（keypolicy attribute-based encryption，簡稱KPABE），將單調(diào)訪問控制結(jié)構(gòu)直接嵌入解密密鑰，只有擁有特定密鑰的用戶可以解密數(shù)據(jù)。與CP-ABE算法類似，KP-ABE算法的密文規(guī)模仍然受到屬性數(shù)目的影響。為此，一系列具有固定密文長度的KP-ABE方案被陸續(xù)構(gòu)造，其中解密操作所包含的雙線性對運算的次數(shù)已降至常量級，從而減小了數(shù)據(jù)使用者的計算開銷。2015年，Ambrosin等人著力研究并通過實驗驗證了ABE應(yīng)用于移動平臺上的可行性。當用戶屬性或訪問控制策略發(fā)生變化時，如何高效地更新解密密鑰，是KP-ABE方案的遺留問題之一，目前尚未出現(xiàn)完備的解決方案。

2.1.3 小結(jié)

代理重加密算法和屬性加密算法為云存儲數(shù)據(jù)的安全共享提供解決方案，現(xiàn)有研究的主要缺陷如下。

（1）代理重加密算法中，數(shù)據(jù)擁有者將加密后的數(shù)據(jù)上傳至第三方代理。若此后云存儲系統(tǒng)中的數(shù)據(jù)使用者的身份發(fā)生變化，或者數(shù)據(jù)共享策略出現(xiàn)動態(tài)更新，則代理方的數(shù)據(jù)管理工作將會異常復(fù)雜，且極易導(dǎo)致用戶隱私數(shù)據(jù)的泄露，未來值得加強研究。

（2）屬性加密算法特別適合云計算的分布式架構(gòu)，可以降低網(wǎng)絡(luò)通信開銷且便于與其他安全技術(shù)相結(jié)合。傳統(tǒng)的屬性加密算法在實際應(yīng)用時遇到了一些新的問題，近期的研究成果允許用戶的動態(tài)加入，能夠抵御惡意節(jié)點的合謀攻擊，同時支持包含布爾表達式的訪問策略。然而，幾乎所有的屬性加密方案均借助可信機構(gòu)生成密鑰，因此僅適用于私有云計算環(huán)境，如何擺脫這一限制是未來研究的關(guān)鍵點。

2.2 訪問控制技術(shù)

用戶將私有數(shù)據(jù)存儲到公有云服務(wù)器，數(shù)據(jù)的機密性容易受到外部與內(nèi)部攻擊的威脅。因此，對云數(shù)據(jù)中心的訪問需要經(jīng)過嚴格的安全認證過程。訪問控制（access control）包括授權(quán)、認證、訪問認可、審計追蹤4個基本環(huán)節(jié)。具體而言，授權(quán)用于劃定主體的訪問級別；認證操作負責驗證數(shù)據(jù)使用者是否具備合法的訪問權(quán)限，通常采用口令、生物掃描、物理密鑰、電子密鑰等認證方式；訪問認可環(huán)節(jié)基于授權(quán)策略賦予用戶實際訪問資源的權(quán)利；審計追蹤記錄訪問軌跡，用于事后問責。

動態(tài)、分布式的網(wǎng)絡(luò)環(huán)境使得云計算平臺的訪問控制方案必須具有高度的可擴展性、靈活性與高效性。目前云端提供的權(quán)限管理機制存在一些普遍的問題，主要是如何確信CSP未將訪問權(quán)限非法授予其他用戶；如何在數(shù)據(jù)過期后安全地回收數(shù)據(jù)訪問權(quán)以及如何克服意外或故意的訪問沖突。2012年，Leandro等人利用Shibboleth框架為云計算設(shè)計出無需可信第三方的多租戶授權(quán)系統(tǒng)。該系統(tǒng)允許用戶按照自身需要靈活修改安全策略，實現(xiàn)了嚴密的權(quán)限管理過程，但是口令認證機制的安全性較差，無法完全確保用戶接入系統(tǒng)的合法性。原因在于云計算用戶并非歸屬于單一的控制系統(tǒng)，而很可能會借助移動設(shè)備或應(yīng)用軟件從多個CSP 處同時獲取服務(wù)，所以現(xiàn)有的認證機制無法直接應(yīng)用于云計算環(huán)境。

云計算一般采用動態(tài)策略的訪問控制模型，屬性加密及其擴展算法是其中重要的組成部分。Kuhn等人將基于角色的訪問控制（rolebased access control，簡稱RBAC）與基于屬性的訪問控制（attributebased accesscontrol）相結(jié)合。角色視作屬性的一部分，在快速認證的同時支持動態(tài)的權(quán)限管理。風險感知的訪問控制模型進一步克服了RBAC機制在動態(tài)云環(huán)境中的功能性缺陷。令風險因素參與訪問控制決策，均衡分析因認可未授權(quán)訪問而帶來的安全風險以及因拒絕授權(quán)訪問而造成的不可用性，設(shè)定風險閾值為風險應(yīng)用需求提供安全訪問方案。2014年提出的一種新型代理重加密算法解決了一對多的云存儲訪問控制問題。僅將部分密文存儲于云服務(wù)器，使數(shù)據(jù)發(fā)送方可以控制密文的傳遞范圍，并降低了通信過程中的數(shù)據(jù)計算量和交換量。此外，研究人員在UCONABC使用控制模型下結(jié)合彈性授權(quán)重評估技術(shù)預(yù)測云服務(wù)的消耗量，并以此為依據(jù)實施服務(wù)計費和細粒度訪問控制。

綜上，訪問控制技術(shù)在保護云數(shù)據(jù)機密性方面有著重要的作用，主要用于避免CSP 和未授權(quán)用戶的非法訪問。能否根據(jù)多樣的安全策略實現(xiàn)對外包數(shù)據(jù)的授權(quán)訪問是云訪問控制技術(shù)面臨的核心挑戰(zhàn)。代理重加密、屬性加密與細粒度訪問控制是3類常見的控制方法，近期則有一些結(jié)合不經(jīng)意傳輸和匿名證書的新型訪問控制技術(shù)被陸續(xù)提出。伴隨云環(huán)境中日益嚴峻的隱私保護需求，未來研究將側(cè)重于以下內(nèi)容。

（1）加強對多級訪問控制和組群訪問控制的研究，使不同權(quán)限的用戶獲得不同的訪問能力。對于當前的研究成果，如果用戶離開系統(tǒng)或用戶等級變動，為避免出現(xiàn)未授權(quán)訪問，必須對密鑰進行更新，故靈活性有待改善。

（2）訪問控制應(yīng)不僅僅局限于讀權(quán)限，而是更多地向?qū)憴?quán)限轉(zhuǎn)變，從而更加全面地保護云存儲安全。

（3）圍繞新興的跨云訪問控制中的非法授權(quán)、訪問權(quán)回收、訪問沖突等問題而展開的有關(guān)研究。

2.3 可搜索加密技術(shù)

云存儲采用可搜索加密技術(shù)（searchable encryption）保障數(shù)據(jù)的可用性，支持對密文數(shù)據(jù)的查詢與檢索，主要包括對稱可搜索加密技術(shù)和非對稱可搜索加密技術(shù)。

數(shù)據(jù)擁有者將加密后的數(shù)據(jù)以及對應(yīng)的可搜索索引上傳至CSP，數(shù)據(jù)使用者隨后向CSP提出檢索請求并發(fā)送關(guān)鍵詞陷門，最終由CSP安全地返回（排序后的）檢索結(jié)果。該過程需確保CSP未竊取到任何與檢索操作有關(guān)的額外信息。

2.3.1 對稱可搜索加密技術(shù)

對稱可搜索加密技術(shù)（symmetric searchable encryption，簡稱SSE）的主流構(gòu)造方式是建立索引。構(gòu)造過程分為加密數(shù)據(jù)文件與生成可搜索索引兩個階段。一方面，數(shù)據(jù)擁有者使用標準對稱加密算法對任意形式的數(shù)據(jù)文件進行加密處理，并存儲于云服務(wù)器內(nèi)，只有擁有對稱密鑰的用戶有權(quán)解密訪問。另一方面，數(shù)據(jù)擁有者使用特定的可搜索加密機制構(gòu)建安全加密索引，在文件與檢索關(guān)鍵詞之間建立檢索關(guān)聯(lián)，并上傳至云服務(wù)器以待關(guān)鍵詞查詢。此后在密文搜索時，由數(shù)據(jù)擁有者為數(shù)據(jù)使用者提供陷門，最終完成檢索。

起初，對稱可搜索加密技術(shù)的檢索效率較差，檢索時間與密文數(shù)據(jù)總長度呈現(xiàn)線性增長關(guān)系。數(shù)年來，圍繞密文搜索效率的優(yōu)化研究已經(jīng)取得了實質(zhì)性的突破，目前最優(yōu)的安全范圍查詢方案能夠達到對數(shù)時間復(fù)雜度。近期，Strizhov與Ray又提出了多關(guān)鍵詞的相似性可搜索加密方案MKSim，檢索時間與命中文檔總數(shù)之間存在亞線性關(guān)系。然而，上述方案均基于數(shù)據(jù)源集中化假設(shè)，即由單一數(shù)據(jù)源集中創(chuàng)建可搜索索引，而這與云計算的分布式特點相矛盾。2015年，Liu等人為多數(shù)據(jù)源的場景設(shè)計了MDS-SSE算法，允許各數(shù)據(jù)源以分散的方式生成索引。該算法成功地保護了數(shù)據(jù)文件和檢索結(jié)果的隱私，卻泄露了數(shù)據(jù)源數(shù)目、數(shù)據(jù)文件數(shù)目以及訪問模式和搜索模式等信息。Li等人利用云存儲系統(tǒng)的CP-ABE技術(shù)實現(xiàn)對部分接入結(jié)構(gòu)的隱藏，并分別在DBDH假設(shè)和DL假設(shè)下給出了安全性證明。Rompay等人則構(gòu)造出能力更強的敵手模型，探討并防御多用戶檢索過程中的合謀攻擊問題。其中，大量雙線性對的運算限制了檢索效率，帶來了較大的運算和通信開銷，且檢索精度較低。

2.3.2 非對稱可搜索加密技術(shù)

非對稱可搜索加密技術(shù)（asymmetric searchable encryption，簡稱ASE）解決了服務(wù)器不可信與數(shù)據(jù)來源單一等問題。該項技術(shù)保留了非對稱加密算法的特性，允許數(shù)據(jù)發(fā)送者以公鑰加密數(shù)據(jù)與關(guān)鍵詞，而數(shù)據(jù)使用者則利用私鑰自行生成陷門以完成檢索。

Boneh等人基于公鑰密碼體制提出的PEKS算法是非對稱可搜索加密技術(shù)研究的開端。PEKS算法支持合取查詢、子集查詢和范圍查詢，但其陷門加密方式易受推理攻擊的威脅。Baek等人給出了初步的應(yīng)對策略，但是由于引入了關(guān)鍵詞合取技術(shù)，導(dǎo)致加密運算時間顯著延長。謂詞加密也是一類有效的安全檢索技術(shù)，常見于析取等數(shù)據(jù)查詢操作。不同于SSE技術(shù)，已知的非對稱可搜索加密方案通常難以提供多關(guān)鍵詞檢索功能。關(guān)于模糊關(guān)鍵詞檢索，INFOCOM 2010年的一項研究利用字符串編輯距離算法衡量關(guān)鍵詞之間的相似度，從而構(gòu)造出包含通配符的安全查詢機制。

2.3.3 小結(jié)

總體上來說，面對云存儲的海量數(shù)據(jù)，當前的研究熱點是如何令可搜索加密技術(shù)支持多關(guān)鍵詞檢索和相關(guān)性排序，同時進一步提高檢索速度與精度，并降低運算與通信開銷。具體來看，后續(xù)研究應(yīng)重點解決以下問題。

（1）對稱可搜索加密技術(shù)應(yīng)用于大規(guī)模數(shù)據(jù)集時的檢索性能顯著下降，常規(guī)解決方法是預(yù)計算可搜索索引，隨之而來的是索引的安全問題。未來研究應(yīng)支持更多類型的查詢表達式，例如短語搜索、鄰近搜索和正則表達式等。此外，擴展密文搜索的應(yīng)用范圍，特別是對外包數(shù)據(jù)庫、加密電子郵件等信息的安全檢索。

（2）基于關(guān)鍵詞的非對稱可搜索加密技術(shù)存在的主要局限性是檢索效率的問題，并且缺乏多用戶環(huán)境下的可擴展能力。因此未來工作的目標之一是降低加解密計算的復(fù)雜性，設(shè)計更加高效且安全的密文搜索方案。

2.4 可回收性與所有權(quán)證明

據(jù)云安全聯(lián)盟公布的最新報告顯示，數(shù)據(jù)丟失是云計算中排名第二的安全威脅。用戶在使用云存儲數(shù)據(jù)之前，應(yīng)對數(shù)據(jù)的完整性進行驗證?？苫厥招宰C明（proofs of retrievability，簡稱PoR）是一類知識證明協(xié)議，于2007年被首次提出。由CSP向數(shù)據(jù)擁有者證明目標文件可以被完整取回。Zeng圍繞該思路進行優(yōu)化，構(gòu)造了基于雙線性對的可證明數(shù)據(jù)完整性方案PDI。突出貢獻是其所具備的公開可驗證性，即允許第三方驗證者進行驗證，從而有效降低了數(shù)據(jù)使用者的驗證開銷，但是數(shù)據(jù)擁有者產(chǎn)生驗證標記的計算復(fù)雜度依然很高。2014年，OPoR方案的出現(xiàn)很好地解決了上述問題。在該方案中，半可信的第三方審計服務(wù)器在預(yù)處理階段按照用戶要求生成驗證標記，從根本上減輕了用戶的計算負擔。此外，基于有狀態(tài)MAC樹、BLS同態(tài)簽名等技術(shù)，也出現(xiàn)了許多完整性驗證機制。

數(shù)據(jù)所有權(quán)的證明（provable data possession，簡稱PDP）同樣可以公開驗證云端數(shù)據(jù)的完整性。由于驗證過程中服務(wù)器的數(shù)據(jù)量和通信量較小，因此PDP模型適用于大規(guī)模分布式存儲系統(tǒng)。當數(shù)據(jù)以多副本的方式存儲于CSP時，用戶需要對副本的個數(shù)與一致性進行額外的判斷。為此，Barsoum等人提出了相應(yīng)的解決方案MB-PMDDP，同時能夠抵御服務(wù)器合謀并支持動態(tài)的數(shù)據(jù)更新。類似地，基于身份的分布式數(shù)據(jù)完整性檢測模型ID-DPDP針對數(shù)據(jù)存儲于不同云服務(wù)器的情況，實現(xiàn)了私有驗證、委托驗證和公開驗證。

綜上所述，適用于云環(huán)境的數(shù)據(jù)完整性驗證技術(shù)已經(jīng)得到了廣泛的研究。數(shù)據(jù)使用者希望盡可能提高驗證效率并降低驗證開銷，或者將數(shù)據(jù)完整性的定期審計工作委托給第三方機構(gòu)，此時可回收性證明應(yīng)具備公開可驗證性。最新的研究內(nèi)容以及局限性包括。

（1）通信復(fù)雜度一般與驗證數(shù)據(jù)規(guī)模線性相關(guān)，故當可用帶寬資源有限時，應(yīng)設(shè)法降低驗證方案的通信量。

（2）完整性驗證者的存儲開銷和密鑰管理難度較大，所需的驗證計算量隨數(shù)據(jù)規(guī)模增長，難以有效控制。

（3）防御服務(wù)器合謀偽造、多數(shù)據(jù)源或動態(tài)數(shù)據(jù)更新條件下的所有權(quán)證明等，有望成為未來的研究重點。

3 云應(yīng)用安全

各類云應(yīng)用自身的安全性直接關(guān)乎云計算產(chǎn)業(yè)未來的發(fā)展，因此尤為重要。對于基于云的各類應(yīng)用，如網(wǎng)頁操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、數(shù)據(jù)挖掘算法的外包協(xié)議等，首先需要預(yù)防應(yīng)用本身固有的安全漏洞，同時設(shè)計針對性的安全與隱私保護方案提高應(yīng)用安全性。本節(jié)分析云計算應(yīng)用在技術(shù)層面面臨的安全威脅，包括拒絕服務(wù)攻擊、僵尸網(wǎng)絡(luò)攻擊和音頻隱寫攻擊等。隨后重點介紹兩類可計算加密技術(shù)，并進一步探討其在隱私保護外包計算和可驗證外包計算中的重要應(yīng)用。最后簡略概述其他云應(yīng)用安全問題。

3.1 已知安全攻擊及防御技術(shù)

3.1.1 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊（denial-of-service attack，簡稱DoS）是計算機網(wǎng)絡(luò)中一類簡單的資源耗盡型攻擊，攻擊者向目標主機發(fā)起大規(guī)模處理請求，試圖耗盡系統(tǒng)資源，致使正常的軟硬件服務(wù)癱瘓。具體到云計算環(huán)境，云計算資源的集中分配方式使得拒絕服務(wù)攻擊的破壞程度進一步加劇，攻擊者的首選目標已從過去的密集基礎(chǔ)設(shè)施轉(zhuǎn)變?yōu)殛P(guān)鍵的云服務(wù)程序。相比底層的竊取服務(wù)攻擊，常見的拒絕服務(wù)攻擊主要針對上層的云計算應(yīng)用，特別是以SaaS（software-as-a-service，軟件即服務(wù)）平臺為代表的各類軟件服務(wù)。由于目前已知的上層應(yīng)用大多通過網(wǎng)頁瀏覽器接入，故攻擊難度通常更小，攻擊范圍通常更大，對云應(yīng)用安全的威脅也更加顯著。

云端的（分布式）拒絕服務(wù)攻擊主要存在3類具體的攻擊形式，分別基于XML、HTTP和REST技術(shù)，其中XML和HTTP廣泛存在于云計算的各類應(yīng)用中，針對這兩種協(xié)議發(fā)動的DoS攻擊具有更強的針對性和破壞能力。現(xiàn)有防御策略大多源于過濾技術(shù)。2012年，Karnwal等人使用5種過濾技術(shù)成功檢測基于HTTP和XML的分布式拒絕服務(wù)攻擊。由于該方法逐條過濾各節(jié)點的通信報文，導(dǎo)致通信速率有所降低。此外，針對云計算的按需計費模式，欺騙性資源耗盡攻擊（fraudulent resource consumption attack）是云計算環(huán)境中特有的一種拒絕服務(wù)攻擊，通過消耗目標主機所購置的帶寬資源，給用戶帶來嚴重的經(jīng)濟負擔。

3.1.2 僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)攻擊（botnets attacks）中，攻擊者操縱僵尸機隱藏身份與位置信息實現(xiàn)間接攻擊，從而以未授權(quán)的方式訪問云資源，同時有效降低被檢測或追溯的可能性。近年來，Amazon EC2、Google App Engine等多家云計算平臺相繼出現(xiàn)僵尸網(wǎng)絡(luò)攻擊。原因在于彈性的計算資源與靈活的訪問方式為僵尸網(wǎng)絡(luò)提供了良好的運行環(huán)境，攻擊者一方面可以使用云服務(wù)器作為主控機，另一方面也可以使用竊取到的高性能虛擬機作為僵尸機。最新的攻擊方案利用推送通知服務(wù)的缺陷來發(fā)送控制命令，在Android 平臺組建移動僵尸網(wǎng)絡(luò)推送垃圾郵件。

檢測僵尸網(wǎng)絡(luò)的首要工作是識別僵尸網(wǎng)絡(luò)通信的加密密鑰，進而追溯出僵尸主控機，而現(xiàn)有研究成果卻難以監(jiān)測使用非對稱密鑰加密的僵尸網(wǎng)絡(luò)流量。云虛擬機的數(shù)據(jù)包自動過濾機制同樣可以用于發(fā)現(xiàn)僵尸網(wǎng)絡(luò)攻擊，但是無法阻止對合法應(yīng)用行為的錯誤過濾。

3.1.3 音頻隱寫攻擊

2015 年，Hasna 創(chuàng)造性地在混合云計算環(huán)境中使用音頻隱寫技術(shù)代替加密算法完成數(shù)據(jù)隱藏任務(wù)。然而，攻擊者則利用該項技術(shù)欺騙安全機制，將惡意代碼隱藏于音頻文件并提交至目標服務(wù)器。此類攻擊稱為音頻隱寫攻擊（audio steganography attack），通常會導(dǎo)致云存儲系統(tǒng)出現(xiàn)嚴重的故障。

文獻[84]提出StegAD方案，包含增強型RS算法和SADI算法。其中，增強型RS算法負責檢測惡意音頻隱寫文件，隨后交由SADI算法推斷出可能的代碼隱藏位置。該方案的局限性在于攜帶惡意代碼的音頻文件與合法音頻文件難以相互區(qū)分。

3.1.4 小結(jié)

對于云服務(wù)供應(yīng)商與云計算用戶而言，云應(yīng)用安全都是一個十分重要的問題。在第3.1節(jié)中，先后介紹了3類常見的云應(yīng)用安全攻擊，為了更加直觀的分析并對比各個攻擊的原理、特點與危害程度，圍繞攻擊實例、攻擊原理、攻擊效果、代表性防御方案以及現(xiàn)有研究的局限性進行了詳細的總結(jié)歸納。

云計算各類應(yīng)用的安全性在很大程度上依賴于其所屬網(wǎng)絡(luò)的安全環(huán)境，因此網(wǎng)絡(luò)協(xié)議中存在的安全漏洞將導(dǎo)致一系列針對云應(yīng)用的安全攻擊，并因云計算的結(jié)構(gòu)特點而不斷惡化。在部署云應(yīng)用環(huán)境的同時，需要做好已知應(yīng)用安全攻擊的防御工作，從而保護云基礎(chǔ)服務(wù)的安全性與用戶的數(shù)據(jù)隱私。

3.2 隱私保護外包計算

3.2.1 同態(tài)加密技術(shù)

全同態(tài)加密（fully homomorphic encryption，簡稱FHE）是一種允許直接對密文進行操作的可計算加密技術(shù)。CSP 根據(jù)密文完成計算后，用戶解密該密文計算結(jié)果，即可獲得對應(yīng)明文的運算結(jié)果。

2009年，IBM公司的Gentry在全同態(tài)加密技術(shù)方面取得了重大的突破。Gentry依據(jù)理想格的計算復(fù)雜性理論，構(gòu)造出首個語義安全的全同態(tài)加密算法，支持加法同態(tài)和乘法同態(tài)。但是該算法實現(xiàn)復(fù)雜，加解密效率低，難以實用化。隨后，在此工作基礎(chǔ)上，相關(guān)學(xué)者不斷完善同態(tài)加密算法，尋找性能優(yōu)化的有效方式，主要圍繞不同應(yīng)用需求展開深入探究。

2011年前后，Brakerski與Vaikuntanathan等人給出了基于糾錯學(xué)習假設(shè)的同態(tài)加密方案，結(jié)合密鑰交換技術(shù)和模交換技術(shù)降低密文噪聲，從而改善算法效率，極大地推進了同態(tài)加密技術(shù)的快速發(fā)展。此后的一項研究便利用FHE技術(shù)實現(xiàn)了全同態(tài)消息認證機制。類似地，Boneh與Freeman首次提出多項式環(huán)上的全同態(tài)簽名。這一結(jié)論于2014年被Dario等人進一步完善，無需依賴隨機預(yù)言模型，可以達到更高的安全性，而且簽名驗證效率有所提高。

然而，目前全同態(tài)加密技術(shù)的真實性能與實際應(yīng)用之間依然存在著較大的差距，更無法確保加密計算結(jié)果的正確性，而是需要額外整合某些高效的結(jié)果驗證機制。相比之下，類同態(tài)加密技術(shù)（somewhat homomorphic encryption，簡稱SWHE）的加解密性能較優(yōu)，但是僅適用于低階多項式運算，即只允許有限次數(shù)的加法和乘法同態(tài)運算。SWHE是眾多全同態(tài)加密算法的設(shè)計基礎(chǔ)，針對FHE計算性能短期內(nèi)難以顯著提升的狀況，現(xiàn)階段也可將其視作一種初步的替代技術(shù)。常見的同態(tài)加密方案包括：支持加法同態(tài)的Benaloh和Paillier算法，支持乘法同態(tài)的RSA和ElGamal算法，以及支持比特異或同態(tài)的Goldwasser Micali 算法等。

3.2.2 保序加密技術(shù)

常見的同態(tài)加密算法一般僅支持加法同態(tài)或者乘法同態(tài)，并不具備密文比較的能力。保序加密（order preserving encryption，簡稱OPE）是一類保持明文順序的密碼技術(shù)，能夠簡單且高效地對加密后的數(shù)值數(shù)據(jù)進行比值或排序。若加密函數(shù)E：X→Y滿足一定條件，則稱其具有保序性。

2004年，Agrawal等人提出首個保序加密算法，使得在不解密的情況下對加密數(shù)據(jù)庫的精確查詢成為可能。加密過程是將明文映射到某一目標分布區(qū)間。該方案時空開銷合理，可以處理明文空間的增量更新，卻未給出任何安全性分析。2009年，基于超幾何分布的偽隨機對稱保序加密算法SE被提出，首次證明OPE 能夠抵御弱選擇明文攻擊。隨后，Xiao等人圍繞SE算法中idea模型的信息泄露展開研究，并計算出攻擊成功的上限概率。mOPE是一種交互式安全協(xié)議，達到了理想化的IND-OCPA安全。Papa等人指出密文可變性是設(shè)計安全OPE方案時必須考慮的首要因素。此外，OPE語義安全也是近年來研究的熱點問題。

傳統(tǒng)OPE算法主要基于多項式函數(shù)或桶劃分操作，必須預(yù)先已知全部輸入明文值的分布情況。因此，對于大規(guī)模動態(tài)數(shù)據(jù)集，算法的可擴展性、效率與準確性尚待提高。近期，Krendelev等人基于矩陣和算術(shù)編碼技術(shù)分別設(shè)計了OPE方案，密碼強度進一步得到改善。引入隨機噪聲的OPE算法的擬線性加密結(jié)構(gòu)導(dǎo)致較差的安全性。擴展消息空間可以解決此問題，并且抵御唯密文攻擊與特定的選擇明文攻擊。確定性O(shè)PE加密算法嚴重威脅明文域的安全，特別是其中基于公鑰密碼的OPE方案通過折半查找極易被破解，解決方法是以一定的概率將明文數(shù)值映射為某一區(qū)間內(nèi)的隨機數(shù)。例如：Reddy和Ramachandram在mOPE方案的研究基礎(chǔ)上，提出了隨機化的ROPE方案，確保這種隨機加密方式不會泄露除大小關(guān)系之外的任何信息。相關(guān)的隨機性加密方案還包括MV-POPES等。目前，不存在能夠同時支持保序加密與同態(tài)加密的算法，且OPE方案的安全性仍然缺少嚴格的證明，限制了保序加密技術(shù)在云計算環(huán)境中的應(yīng)用。

3.2.3 安全外包方案

云計算用戶通過將大規(guī)模計算問題外包給CSP以降低自身的計算、存儲與維護開銷，并改善用戶操作的靈活性、性價比與服務(wù)質(zhì)量。安全外包（secure outsourcing）的首要目標是保護外包數(shù)據(jù)的隱私。一個或多個資源受限的數(shù)據(jù)源將各自產(chǎn)生或收集的數(shù)據(jù)加密后外包至不可信的第三方服務(wù)器，即CSP。由授權(quán)的數(shù)據(jù)使用者向CSP提出具體的計算請求。CSP 執(zhí)行相應(yīng)的外包計算后返回計算結(jié)果，并由客戶端進行解密。

上述過程的主要難點是如何對加密后的數(shù)據(jù)進行操作。普通的加密方式在保護數(shù)據(jù)機密性之外，難以在數(shù)據(jù)無需解密的前提下支持密文計算。伴隨多樣的云計算需求的增長，計算模式的不確定性更加劇了隱私保護外包計算方案的設(shè)計難度，本節(jié)將詳細闡述相關(guān)的研究現(xiàn)狀。同時，由于半可信CSP可能存在軟件錯誤、硬件錯誤、外部攻擊等不良狀況，或者試圖惡意壓縮計算成本以謀取更大的經(jīng)濟利益，常常使得用戶無法完全信賴CSP給出的計算結(jié)果，因此需要加以驗證，詳見第3.3節(jié)內(nèi)容。

現(xiàn)有隱私保護外包計算研究主要分為自底向上的方法和自頂向下的方法。其中，自底向上方法將所有形式的外包計算分解為低級別的電路估值或全同態(tài)加密，意圖通過嚴密的理論證明，一次性解決外包計算的隱私性問題。同態(tài)加密該項密碼學(xué)技術(shù)自提出以來，先后有眾多研究者通過設(shè)計不同的安全算法或協(xié)議，在各種常見安全假設(shè)下實現(xiàn)了外包計算的隱私保護，但是此類方案的實用性通常較差，具體內(nèi)容詳見第3.2.1節(jié)。自頂向下方法則依次為每個具體而獨立的外包計算請求（如數(shù)據(jù)挖掘、數(shù)據(jù)搜索、圖像視覺、工程計算等領(lǐng)域中的某個算法）設(shè)計相應(yīng)的安全外包解決方案，并權(quán)衡安全、功能與效率等屬性之間的關(guān)系。近期研究成果包括以下。

對于基本數(shù)據(jù)庫操作或代數(shù)運算，已經(jīng)先后為等值連接查詢、多維范圍查詢、二進制聯(lián)合查詢和相似性查詢設(shè)計了安全外包計算方案，以及專用于求和、內(nèi)積、線性方程等運算的外包隱私保護算法。關(guān)于密碼的外包計算，主要有模冪運算安全外包方案、亂碼電路估值安全外包方案等。后者相較非外包的情況，其執(zhí)行時間與所需帶寬分別減少了98.92%和99.95%，完全適用于移動平臺。此外，人臉識別技術(shù)、云協(xié)作的移動醫(yī)療監(jiān)控體系mHealth、惡意域檢測服務(wù)DNSRadar等，均廣泛應(yīng)用了隱私保護外包計算技術(shù)。

數(shù)據(jù)挖掘算法是云計算外包的重要應(yīng)用之一。首先，k最近鄰算法（k-nearest neighbor，簡稱kNN）與支持向量機算法（support vector machine，簡稱SVM）均是該領(lǐng)域中用于密文搜索與分類的常用工具。Samanthula等人首次在半可信模型下為kNN算法設(shè)計了安全外包協(xié)議，以保護搜索過程中用戶個人數(shù)據(jù)、查詢輸入串和訪問模式的機密性。Rahulamathavan等人使用Pailler同態(tài)加密與兩方安全計算，給出了首個基于SVM算法的安全密文分類協(xié)議。此外，針對一些字符序列的數(shù)據(jù)挖掘算法，國內(nèi)外的研究者也提出了相應(yīng)的安全計算方案，以編輯距離（序列比較）算法為例。該算法目前常見于大規(guī)模全基因組測序問題，要以較低的存儲開銷、合理的查詢次數(shù)，滿足隱私與安全性的需求。

2005年前后，Atallah等人首次為編輯距離算法設(shè)計了安全外包協(xié)議，主要包括序列填充子協(xié)議、數(shù)據(jù)劃分子協(xié)議與安全表查詢子協(xié)議，適用于多客戶端數(shù)據(jù)外包至多服務(wù)器的情況。由于客戶端僅需要參與最后一步的運算，因而改善了計算與通信量。近期，有關(guān)方案運用保密交集操作實現(xiàn)安全外包，協(xié)議的安全性已在DDH假設(shè)下得到證明。在效率優(yōu)化方面，Blanton團隊針對單一數(shù)據(jù)源的場景，提出了首個不依賴于公鑰密碼的非交互外包方案。能夠在不增加存儲空間的條件下，使計算復(fù)雜度從O（mnmin（m，n））降至O（mn），并獲得了O（min（m，n））的輪復(fù)雜度，其中m與n為字符串長度。文獻[122]借助類同態(tài)加密技術(shù)實現(xiàn)了編輯距離的保密計算，從而解決外包協(xié)議交互次數(shù)過多的問題。特別地，研究人員利用M矩陣對角線元素的非依賴特性實現(xiàn)了并行計算，為動態(tài)規(guī)劃隱私問題提供了一般化的解決思路。實驗結(jié)果表明，相比原始協(xié)議，由于無需計算大量的Paillier同態(tài)加密，故該方案的性能至少提升了一個量級。然而，此類基于電路的方法在執(zhí)行過程中容易造成計算結(jié)果的泄露。

3.2.4 小結(jié)

云計算用戶為克服自身資源限制，將私有數(shù)據(jù)和具體的外包計算請求委托給云服務(wù)平臺。在安全外包過程中，CSP面臨的主要挑戰(zhàn)是如何在保護數(shù)據(jù)安全與隱私的前提下完成外包計算任務(wù)。本節(jié)綜述了隱私保護外包計算的兩類常用加密技術(shù)，即同態(tài)加密與保序加密，隨后介紹了各領(lǐng)域中已知的安全外包計算協(xié)議及其執(zhí)行效果，其中存在很多共性的問題。

（1）與傳統(tǒng)的多方安全計算協(xié)議相比，雖然全同態(tài)加密技術(shù)的速度慢、效率低，但是計算方式卻更加靈活，且交互次數(shù)顯著減少，使得通信復(fù)雜度有所降低。隨著研究的不斷發(fā)展，目前全同態(tài)加密方案的性能正在逐漸被提升，但與真正的實用化還有較長的距離，現(xiàn)階段可以使用類同態(tài)加密方案作為代替。

（2）保序加密技術(shù)的突出特點是密文數(shù)據(jù)能夠直接進行排序，基本無需用戶參與交互，有效降低了密文搜索的難度，但在實際應(yīng)用中存在較大的安全風險，特別缺乏理論層面的安全性支持。

（3）現(xiàn)有安全外包技術(shù)通常不具備可擴展性，針對某一特定問題設(shè)計的外包計算方案難以遷移到其他應(yīng)用領(lǐng)域，根本的解決途徑仍需等待同態(tài)加密技術(shù)的突破。到目前為止，在多數(shù)據(jù)源場景、非交互外包協(xié)議、抵御服務(wù)器合謀以及外包計算效率等方面，有著較大的研究空間。

3.3 可驗證外包計算

可驗證外包計算（verifiable outsourcing computation）是指對云外包計算結(jié)果正確性的驗證。在完成隱私保護的外包計算后，用戶接收計算結(jié)果并向CSP 提出驗證請求，由CSP返回一些證據(jù)。用戶通過驗證該證據(jù)，可以判斷云計算結(jié)果是否準確無誤。除正確性保護之外，可驗證外包計算有時也具備抗抵賴和防止偽造的特殊功能。近年來，學(xué)者們已經(jīng)提出了多種類型的可驗證安全外包計算方案，并且驗證的效率正在逐漸被提高。

有效驗證委托計算結(jié)果的正確性可借助可驗證同態(tài)加密技術(shù)。Gennaro等人于2010年首次提出了非交互性可驗證計算的概念。數(shù)年后，該方案依靠代理不經(jīng)意傳輸技術(shù)被擴展到了多用戶環(huán)境。Parno等人給出利用屬性加密機制構(gòu)造可驗證外包計算方案的一種方法，并允許公開委托與公開驗證。2013年、2014年，學(xué)術(shù)界針對各類常見外包算法的可驗證性進行了大量的研究。例如：雙線性對被引入到多元多項式的安全求值與微分操作中，實現(xiàn)了支持動態(tài)更新的公開可驗證計算方案。在序列比較外包方案的可驗證性研究中，用戶可以高效判斷云服務(wù)器是否按照預(yù)先約定執(zhí)行了安全外包協(xié)議，并進行了形式化安全分析。此外，有關(guān)矩陣乘積、行列式和逆運算的可驗證安全外包協(xié)議、用于生物特征計算的可驗證外包方案、子圖相似性搜索結(jié)果的驗證算法以及位置查詢結(jié)果的驗證方法，均是可驗證外包計算領(lǐng)域中的最新研究內(nèi)容。

流數(shù)據(jù)規(guī)模的快速增長為可驗證外包計算方案帶來了嚴峻的挑戰(zhàn)。例如天氣預(yù)報、流量管理、市場分析等應(yīng)用場景，資源受限的數(shù)據(jù)擁有者通常會連續(xù)地收集、產(chǎn)生數(shù)據(jù)流，并將它們立即外包給云端服務(wù)器。此后，CSP如何為外包計算結(jié)果構(gòu)造有效的證據(jù)，使其順利通過用戶檢驗且無法偽造，是可驗證計算中的一個新問題。現(xiàn)有研究已經(jīng)實現(xiàn)了流數(shù)據(jù)在分組聚合查詢與線性代數(shù)查詢中的可驗證性，并支持數(shù)據(jù)值動態(tài)更新。

綜上所述，云環(huán)境下的可驗證外包計算研究已經(jīng)取得了一些顯著的進展，總體來說仍有許多不足，主要表現(xiàn)在以下幾個方面。

（1）構(gòu)造可驗證簽名或?qū)ψC據(jù)進行驗證的方式較復(fù)雜，給數(shù)據(jù)擁有者或數(shù)據(jù)使用者帶來了較大的計算開銷。線性復(fù)雜度應(yīng)作為部分可驗證外包計算方案的設(shè)計目標，以提升方案實施的可行性。

（2）大量的驗證操作常常忽略數(shù)據(jù)動態(tài)更新的情況。如何在外包數(shù)據(jù)發(fā)生變化后最大程度地降低用戶的重計算量，并提供快速可靠的動態(tài)驗證方法，應(yīng)是未來研究的關(guān)鍵。

（3）研究更多重要的安全外包計算的可驗證性，例如圖像處理、加密操作、數(shù)據(jù)挖掘等算法，特別關(guān)注方案應(yīng)具備的公開可驗證性、非交互性、多數(shù)據(jù)源等特征。

3.4 其他云應(yīng)用安全問題

云計算的應(yīng)用種類繁多，尚有眾多安全與隱私保護問題本文難以全面覆蓋。例如：云端的錯誤診斷技術(shù)和過程監(jiān)控技術(shù)，以及E-Learning系統(tǒng)的云部署模型等。另外，移動平臺的云應(yīng)用安全也是近年來研究的熱點問題。2013年，Lau等人應(yīng)用端到端加密算法實現(xiàn)了適用于移動智能設(shè)備的云端數(shù)據(jù)隱私保護系統(tǒng)MAegis。同年，Liu與Zhang等人研究移動云同步服務(wù)的安全威脅，并挖掘跨應(yīng)用程序腳本漏洞。

4 未來研究展望

本文主要圍繞云計算安全的最新研究內(nèi)容展開綜述，介紹了近年來代表性的安全威脅與防御技術(shù)。通過分析可以看出現(xiàn)有云安全保護方案仍然存在一些不足，未來的科研工作可以更多地關(guān)注于以下幾點。

1.云虛擬化安全中提到的各類攻擊一般是利用云基礎(chǔ)設(shè)施在系統(tǒng)管理程序中存在的缺陷，采取不同的攻擊方式以提升操作權(quán)限或竊取敏感數(shù)據(jù)。目前相關(guān)研究人員提出了針對性的防御策略，主要的局限性包括以下幾點。

（1）異常檢測技術(shù)通常難以抵御特殊類型的安全攻擊，如資源釋放型攻擊和高速隱蔽信道攻擊等，而且檢測效率有限，檢測過程也可能會泄露隱私。

（2）防御竊取服務(wù)攻擊需要結(jié)合基礎(chǔ)設(shè)施的差異來設(shè)計虛擬機監(jiān)控方案，特別是研究適用于不同管理程序的監(jiān)控實例。

（3）為更好地防御交叉虛擬機邊信道攻擊，應(yīng)該更加關(guān)注于云遷移過程中的虛擬機攻擊形式，例如對工作量、工作時間等隱私信息的惡意竊取。

（4）設(shè)計能夠獨立于CSP的安全防御策略，從而有效限制CSP的權(quán)限濫用。安全防御過程中也要注意控制防御方案對公有云性能造成的負面影響。

2.云存儲安全一直備受眾多研究者的關(guān)注，現(xiàn)有研究相對較為廣泛，主要的局限性包括以下幾點。

（1）數(shù)據(jù)共享算法對用戶身份隱私的保護程度仍需加強。代理重加密算法的單向性、可傳遞性等特征尚待進一步研究，而屬性加密算法用于動態(tài)權(quán)限管理時的效率通常較差。

（2）非對稱可搜索加密技術(shù)易受推理攻擊的威脅，且缺乏對多數(shù)據(jù)源或多關(guān)鍵詞檢索的支持。云數(shù)據(jù)庫密文搜索的查詢效率有待繼續(xù)優(yōu)化，并嘗試在提供更多查詢處理功能的同時提高隱私保護能力，防止敵手利用訪問模式或搜索模式竊取機密信息。

（3）可回收性證明亟需防御文件級或塊級的云端數(shù)據(jù)非法刪除，并提高數(shù)據(jù)更新情況下的審計效率。最新研究方向之一是證明云文件確實按照某種預(yù)定格式（如是否壓縮等）進行存儲。

3.有關(guān)云計算環(huán)境中的各類應(yīng)用，其安全性研究工作有待進一步深入，主要的局限性包括以下幾點。

（1）移動平臺有限的存儲和計算能力限制了云計算的應(yīng)用，并帶來了全新的安全和隱私威脅。因此要著重研究移動智能終端的安全問題，特別是移動云共享應(yīng)用中的安全漏洞，以及適用于移動云的可擴展的認證訪問機制等。

（2）在可計算加密方面，尚未發(fā)現(xiàn)能夠同時支持字符串檢索和數(shù)值數(shù)據(jù)運算的加密方案。同態(tài)加密技術(shù)與保序加密技術(shù)目前仍處于研究的起步階段，復(fù)雜的數(shù)學(xué)結(jié)構(gòu)導(dǎo)致實用性較差。

（3）在安全外包方面，后續(xù)研究的重點應(yīng)放在防御服務(wù)器合謀、改善外包計算開銷等內(nèi)容上，并不斷擴展隱私保護外包技術(shù)與可驗證外包技術(shù)所支持的運算類型與算法，同時在標準安全模型下給出嚴密的安全性證明。

綜上，為了全面地提升云計算環(huán)境的整體安全程度，應(yīng)該綜合運用云虛擬化安全、云數(shù)據(jù)安全以及云應(yīng)用安全研究中涉及的多種防御技術(shù)或安全機制。目前研究通常專注于云環(huán)境中某個特定的安全需求，并為此提出大量的安全保護方案。然而，為每個安全需求分別部署安全防護措施的方式在實際應(yīng)用中的可行性較差，而且在單獨部署的同時也極有可能引入額外的安全風險。因此，未來研究的首要任務(wù)是設(shè)計全面完整的安全解決方案，以滿足公有云計算環(huán)境面臨的多樣安全需求，使得云用戶對安全策略的管理方式更加靈活，能夠根據(jù)自身需要進行協(xié)調(diào)，從而快速達到目標安全級別。

5 結(jié)束語

低廉的計算成本與靈活的配置能力促使云計算產(chǎn)業(yè)蓬勃發(fā)展。云計算環(huán)境中的虛擬化、多租戶、共享資源池等技術(shù)也帶來了特有的安全問題，特別是缺乏控制云服務(wù)資源的有效方法，引起了人們對云安全的普遍關(guān)注。通過深入分析與對比，可知云計算安全保護工作在國內(nèi)外已取得較好的研究成果，但是仍有許多遺留問題尚待探討，需要綜合考慮多種安全因素，不斷改善防御技術(shù)與安全策略。本文重點介紹了云計算中各類已知安全威脅與隱私泄露風險的產(chǎn)生原因和特點，然后分別圍繞云虛擬化安全、云數(shù)據(jù)安全以及云應(yīng)用安全展開綜述，以期能夠為云安全的未來研究做出一些有益的探索。