公有云安全風險分析及應對技術

杜瑞祥 鮮明 谷俊 陳恬

【 摘 要 】 隨著云計算的蓬勃發展，公有云作為云計算的主要形態，安全問題不可避免并且日漸突出。論文首先簡單闡述了公有云安全產生的背景和相關概念，介紹了公有云環境中面臨的攻擊，然后基于公有云的安全需求和面臨的攻擊，詳細介紹了公有云安全的關鍵技術并做分析，最后給出了多方面綜合來解決公有云安全問題的結論。

【 關鍵詞 】 公有云安全；虛擬化安全；數據私密性和安全性；訪問控制；拒絕服務攻擊；側信道

【 中圖分類號 】 TN926-34； TP311 【 文獻標識碼 】 A

【 Abstract 】 With the prosperous development of cloud computing technologies，public cloud computing is the dominant form of cloud computing，and its security issuses are inevitably and increasingly prominent.Firstly the paper briefly explains the backgrounds and the relevant concepts of public cloud computing security，introduces the network attacks in public cloud computing environment.And then，base on the security requirements and network attacks ，particularly explains the key technologies of public cloud computing security and give analysis.Finally，the conclusion was given that we need the comprehensive solution of public cloud computing security issues.

【 Keywords 】 public cloud computing security；virtualization security；data privacy and safty；access control；dos；side channel

1 引言

云計算服務模式具有巨大的經濟技術優勢和廣闊的應用前景，普及云服務技術對我國的信息化建設和社會發展具有重要的意義。眼下，隨著各行各業的云計算進本落地，公有云作為云計算的主要形態，越來越多的個人、企業和機構在公有云部署信息數據系統，打破原有邊界的新技術架構給用戶安全帶來潛在風險。與此同時公有云安全技術的發展顯然沒跟上其本身的發展，依舊是服務商和用戶的頭疼問題。根據國際馳名分析機構Gartner的分析報告顯示：過去的3年，全球范圍內云計算市場規模以每年20%的速度在增長，與此同時，63%的用戶認為安全是最大的阻力。

2 公有云安全

2.1 云計算安全問題

云計算安全主要指云計算落地的企業、機構或使用云計算業務用戶的數據安全、信息安全、服務可用與安全等。云計算安全聯盟（CSA）在第五屆云安全聯盟高峰論壇發布了一項關于云計算安全的調查報告，調查發現在安全專家們看來，云計算領域面臨的最大威脅，是網絡犯罪分子和黑客利用病毒和惡意軟件造成的混亂，進而列出云計算行業面臨的九大安全威脅，依次是共享技術的漏洞、帳戶劫持、數據丟失、數據泄露、云計算服務的濫用、云服務規劃不合理、不安全的API、拒絕服務攻擊、內部人員的惡意操作問題。

2.2 公有云安全

公有云安全的內涵包含兩個方面：一是云平臺自身安全，也可以稱之為“云端的安全”； 二是公有云技術在安全領域的具體應用，也稱為安全云計算。云平臺自身安全主要針對公有云環境中本身存在的安全隱患，研究相應的安全防護措施和解決方案，如云環境中數據安全、應用系統與服務安全、用戶信息安全等；安全云計算，即通過利用公有云的優越性來提升安全系統的服務性能，主要指利用公有云架構，采用云服務模式，實現安全的服務化或者統一安全監控管理，是當前安全領域關注的技術熱點[1]。當然，這兩方面互相支持、相互滲透，在具體應用中兩者之間存在的交集。

3 公有云的安全威脅

從目前的情況來看，公有云環境中網絡攻擊增長迅速，公有云安全錯綜復雜，面臨的安全攻擊包括兩大類：其一，利用虛擬機之間的資源共享或者同一操作系統中用戶的依賴關系進行攻擊， 目前這些攻擊主要包括虛擬化軟件攻擊、拒絕服務攻擊、側信道攻擊等漏洞攻擊以及獲取數據、隱私竊取等云上安全問題；其二，公有云并不是完全新創造的技術，是原來計算機網絡技術的聚合和創新運用，原來的安全隱患依然存在，主要涉及到拒絕服務攻擊、SQL注入攻擊、跨站腳本攻擊、網絡嗅探、中間人攻擊等傳統的網絡安全問題。

3.1 虛擬化軟件攻擊

虛擬機監控器是一個管理控制程序，是物理機上具有最高權限的軟件，這也使其成為惡意攻擊的重要目標，通過監控器本身漏洞獲得權限，會對整個虛擬化環境造成極大的危害。使用虛擬機鏡像操作系統時，操作系統本身存在不斷發現的漏洞、已經鏡像到系統中的惡意軟件、盜版軟件及發布方故意安裝的惡意軟件等也是主要的安全威脅。Bugiel等人[2]展示了利用操作系統漏洞針對亞馬遜云平臺虛擬機操作系統鏡像（AmazonMachine Image，AMI）的攻擊方法，能夠從虛擬機的操作系統中獲取用戶的敏感信息。Bugiel等人還發現，攻擊者通過鏡像的SSH主機密鑰對可以識別使用該鏡像創建的其他實例系統，利用鏡像中漏洞和預安裝軟件，更便利的進行偽裝攻擊、中間人攻擊和釣魚攻擊等。

3.2 拒絕服務攻擊

攻擊者采用非法手段消耗被攻擊者的服務資源等，或直接攻擊服務器主機導致主機死機，使服務器中斷或者延遲向用戶端提供服務，從而使用戶端發出的請求無法被服務器正常響應。2014年末，DNS服務商1&1和dnsmadeeasy.com受到隨機字符串+域名的DDoS猛烈攻擊，致使DNS服務器的緩存耗盡，因而無法對外提供流暢服務。2015年3月，gitHub遭遇大流量DDoS攻擊，攻擊者通過“接力”百度廣告聯盟的方式發起了攻擊。在2015年的最后一天，BBC的網站遭受了有史以來最慘烈的DDoS攻擊，是成立于2012年的“新世界”黑客組織發起并造成了602Gbps的流量洪水，“新世界”利用云計算的強計算能力、高帶寬的優勢形成了如此強大的攻擊能力。

3.3 側信道攻擊

當前云環境下的側信道構建研究都是基于經驗的，不是基于對云環境中側信道的系統化搜索。按照側信道的影響范圍，可將側信道分為域內側信道，跨平臺側信道、域間側信道。如利用I/O調度算法給予公平策略的特點，通過有目的的改變受攻擊者的數據卡流量來改變外部主機得到Response數據包的延時，從而構建隱蔽信道；基于共享內存的I/O環形緩沖區和事件通道構成雙向通道，利用I/O緩沖區的數據申請機制，通過有目的的控制數據申請或者申請次數來與共享內存的同駐虛擬機構建側信道。Zhang[3]等人，提出一種針對多租戶PaaS商業平臺的基于高速緩存的側信道攻擊方法。側信道攻擊以Gullasch[4]的FLUSH+RELOAD攻擊為原型，以自動化跟蹤被攻擊者執行痕跡為驅動策略，進行了改進和拓展。攻擊分為兩個步驟：首先，判斷兩個用戶應用是否同駐同一個操作系統；其次，跨邊界獲取共享Cache泄露的信息，通過分析獲得敏感信，劫持用戶賬戶，突破SMAL單點登錄。

3.4 SQL注入安全攻擊

通過利用SQL注入安全漏洞將SQL命令插入到Web表單中提交或者添加到網絡輸入框當中，得到一個存在漏洞的網站的數據庫，達到欺騙服務器執行惡意SQL代碼，并不是按照設計者的意圖執行命令，進而獲得非法訪問的權限。攻擊者通過SQL攻擊，不但可以操控Web界面，也可以獲取非授權的用戶信息。

3.5 跨站腳本安全攻擊及網絡嗅探

攻擊者通過Web程序將惡意URL植入到網絡鏈接并發送給用戶，被攻擊將用戶導向特定頁面，用戶瀏覽器會執行該惡意代碼，并同時竊取敏感數據，如Cookie、會話令牌等。網絡嗅探指的是黑客 利用網絡嗅探器實施網絡攻擊，如網絡嗅探器，通過檢測網絡性能、查找網絡漏洞和抓取數據包，盜取用戶數據的過程，數據未加密、密碼過于簡單容易使得黑客獲取數據更方便，可進行ARP欺騙、會話劫持、IP欺騙等攻擊。

3.6 中間人安全攻擊

這是一種“間接”的攻擊，攻擊者在通信雙方不知情的情況下攔截雙方在網絡中傳輸的通信數據，并在攔截后嗅探及篡改數據，按照原來的數據流向繼續發送，對于通信雙方來說像是透明傳播一樣。SSL配置錯誤為中間人攻擊提創造了有利條件，如通信雙方沒有正確安裝SSL，則黑客就可以在雙發交互信息的同時侵入到通信雙方的計算機并同時竊取通信數據。

4 公有云安全關鍵技術

4.1 虛擬化安全技術

虛擬機鏡像管理涉及發布者、使用者和管理者三方面風險，Wei[5]等人設計了鏡像發布使用的安全機制，包括鏡像過濾器、鏡像系統的訪問控制、鏡像漏洞升級維護服務、鏡像發布者追蹤機制等。這些安全機制能夠同時監控鏡像發布者、使用者和管理者，及時的維護更新，多角度的降低了三者的風險。Azab[6]等人提出了HyperSentry，利用安全硬件設計的方法，在虛擬機中增加安全控制機制，如完整性度量代理，增強虛擬機監督程序的完整性。在虛擬機監督程序中增加一個完整性度量代理，連接硬件中的基線板管理控制器件，通過智能管理平臺管理基線板來管理控制器接口與遠端的驗證方進行通信。

文獻[7]提出了基于使用控制模型（UCON）[8]的Hypervisor非控制數據完整性保護模型。該模型在非控制數據完整性保護需求的基礎上簡化了UCON模型，繼承了UCON模型的連續性和易變性，實現非控制數據的實時訪問控制。根據攻擊樣例分析攻擊者和攻擊對象確定主客體減少安全策略，提高了決策效率；并基于ECA描述安全策略，能夠有效地決策非控制數據訪問合法性。在Xen系統中設計并實現了相應的原型系統，通過實驗評測表明，能夠有效阻止針對虛擬機管理器的攻擊，且性能開銷在10%以內。

4.2 同態加密及其應用

目前同態加密算法主要集中在非對稱加密模式下，利用代數中安全的數據結構來構造安全的加密方案。近年來，可同時支持加法與乘法的全同態算法相繼提出。文獻[9]基于理想格首次提出全同態加密算法的實現，文獻[10]取消了理想格的限制。同態加密算法[11]是對2種或2種以上的運算保持同態的加密方案，用文獻[12]的同態加密方案加密的密文隨著計算乘法或加法電路深度的增加而指數增加。上述方案可以歸類到PollyCracker框架方案[13]，框架系統內所有算法的安全性都是基于理想成員資格判定問題。該框架內的算法都假設理想成員資格判定問題是困難的，但對于這個問題的困難性假設是否成立還有許多疑問[14]，此外這些方案的密文膨脹也是一個嚴重問題，因為這種膨脹速度有時甚至是電路深度的雙指數函數。因此，設計高效的全同態加密方案是有待解決的。

4.3 可搜索加密技術

文獻[15]實現了非自適應可搜索加密[16]，方案通過拓展之前可搜索加密算法的索引結構，使其可以動態更新，解決了文件更新導致遠程索引更新的安全問題，設計出來了安全的基于可搜索加密技術的云存儲系統。文獻[17]提出了基于第三方代理存儲文件的令牌隨機查詢協議，在協議中，用戶提交加密N次的令牌，然后索引服務器和文件服務器（數據存儲服務提供商）更新令牌和文件ID（再次加密）。因此，對于數據查詢服務提供商而言，一個關鍵字每次對應的令牌都不一樣，因此無法對用戶的查詢歷史進行定位與統計分析，從而達到保護用戶隱私的目的。但是第三方參與交互大大增加了系統的復雜性。

4.4 保序加密技術

保序加密算法[18]（OPE）保持密文與明文數據的數字大小比較關系，廣泛應用于加密的數據庫查詢[19]。基于保序加密（OPE）的基本思想，提出了支持對返回的文件按關鍵字匹配度進行排序的方案。在通常情況下，排序查詢功能使得所有匹配的文檔會根據一個標準進行排序，最終僅返回給用戶最相關的k個文檔，因此也稱為“最相關k文檔查詢”。

4.5 數據完整性和可用性技術

保證數據的機密性、可用性、完整性、不可抵賴性是公有云安全重點要解決的問題。文獻[20]利用基于環和組簽名的加密方法實現用戶數據的匿名存儲。文獻[21]提出通過加密協處理器的防篡改能力提供云環境下的安全執行域，從物理和邏輯上防止數據未授權訪問。文獻[22]中Roy等人將集中信息流控制和差分隱私保護技術融入云中的數據生成與計算階段， 提出了一種隱私保護系統Airavat。文獻[23]C.Wang等人實現了基于BLS簽名機制的公共審計，并且實現了基于隨機盲化技術的數據隱私保護。文獻[24]提出了一種基于零知識交互的PDP方案（ZK-IPDP），支持數據的全動態操作、公共審計和隱私保護，并且可支持跨多個云的數據進行完整性校驗。文獻[25]Yang的方案通過拓展，支持多個用戶數據的批量審計，大大的提高了TPA的工作效率。

4.6 加密與密鑰管理技術

加密技術的健壯性則更依賴于良好的密鑰管理技術。文獻[30]中提出一種密文密鑰管理方案，該方案將無中心糾刪碼和門限公鑰加密相結合，將數據分片和密鑰分片（利用Shamir方案共享）分別保存在m個數據服務器和n個密鑰服務器當中，假如攻擊者捕獲全部數據服務器和不少于t個密鑰服務器，攻擊者無法獲取數據信息，而合法用戶通過訪問t個密鑰服務器重構原始文；隨后他們改進了方案[31]，利用Shamir門限方案與代理重加密機制[32]提出了門限代理重加密技術，并與無中心糾刪碼結合，實現了數據的機密性保護，并且云服務器不需要數據解密的情況下，利用重加密密鑰實現數據的安全轉發，減小了計算和傳輸的開銷。

4.7 問責機制

建立對云服務商的可信性，對云服務器的行為建立問責機制，可顯著提高云平臺的可信度。文獻[33]中提出了一個依據可靠第三方的可靠分布式的公有云數據庫問責方案，以可信第三方為基礎，在每個用戶和云服務器之間部署可信代理，記錄用戶對云服務器的請求歷史和響應日志，通過學習分類從這些數據中獲取問責服務所需要的信息，發送給可信第三方進行問責服務。Haeberlen等人提出的可問責虛擬機[34]，通過設置代理，在虛擬機中運行虛擬計算機系統的同時記錄不餓抵賴的歷史記錄，進而依據記錄的數據進行問責機制服務。

4.8 抗拒絕服務攻擊

面對未來可能更加廣泛、更加頻繁、更加精準的DDoS攻擊，普遍的防御方法有設置高性能設備、保證足夠帶寬、系統更新升級、靜態頁面的網站、云中異常流量清洗、分布式集群防御等，對抗DDoS攻擊是一個涉及多個層面的問題，需要多方面的合作。李等[35]提出一種面向可控公有云的DDoS攻擊源控制技術pTrace，該系統包括入口流量監控和惡意進程溯源兩個部分，當攻擊流速率達到正常流量的2.5倍時，即可正確識別攻擊流信息，并在ms級的時間內正確的追溯攻擊流量發送進程。

4.9 抗隱蔽信道攻擊

目前認為抗隱蔽信道攻擊最好的方法是避免物理設備共享或者虛擬資源共享，避免攻擊者與被攻擊者共享資源的最有效方法，即服務提供商為用戶提供獨占資源的服務，但是用戶要支付更多的費用，很大情況會造成資源浪費。

4.10 災備與恢復技術

災難恢復是信息和信系統安全的一項重要措施。災難恢復包括從產生較大、全面的數據或系統破壞的自然災難中恢復，也包括從可能影響單個系統或者某個數據塊的事件（例如硬件錯誤、安全入侵、誤操作等）中恢復。在公有云安全中與傳統環境中的災難恢復沒有本質上的區別，同樣需要沒滿足可容忍的最大宕機時間、可容忍的最大數據損失等。備份與災難恢復是目前在云應用中最為流行的兩種方式，部分企業客戶，包括部分個人用戶，已經開始將完整的災難備份與恢復整合到相應的存儲產品中，進而降低成本，增強數據和系統的安全性。

4.11 安全即服務

所謂安全即服務（SecaaS），就是云計算技術在網絡安全領域的應用和拓展，是安全管理的外包模式，從而實現網絡SecaaS的一種技術和業務模式，通過集群化、池化和服務化提升網絡安全的資源，以互聯網的方式，用戶不需要自身對安全設施進行維護管理、以最小化成本、盡量減小業務提供商之間交互的情況下，可以得到便捷、按需、可伸縮的網絡安全防護服務。同時給用戶和服務商帶來了很多益處，包括避免人力資源浪費、避免低水平重復勞動、避免管理設備低水平重復配置、更多的知識、更智能的行為、更專業的安全設備維護等。目前，由于手機的計算和存儲能力非常有限，針對移動手機作為客戶端是目前的研究主要內容，已有的研究包括反病毒服務、安全認證、安全檢測[36]和數字版權管理[37]等。文獻[37]中提出了將數字版權管理系統的許可證服務內容服務放到云中，基于云平臺的SIM卡數字版權管理，能夠向用戶提供優質的安全服務。文獻[38]提出方案，將所有的安全檢測服務全部運行在云端的副本上，使得智能手機和云端之間保持同步。

4.12 SDN技術

軟件定義網絡（SDN）作為一種新興的網絡技術，被認為是解決當前云計算進一步發展瓶頸問題的有效方法，同時也為解決公有云安全問題帶來了新的途徑。文獻[40]提出一種基于SDN技術的云安全防護方案，方案在原有的業務云之外，用云技術建設安全云，在業務云中部署安全代理，通過SDN技術連接業務云、安全云和安全代理，并通過安全代理把業務云動態劃分為邏輯隔離的多個業務區域。方案不依賴于業務云的實現方式，除初始近乎零配置的安全代理外，不改變業務云的軟硬件結構，具有易部署、易維護、安全性更高等特點。

5 趨勢與展望

目前，相關公有云安全的研究做了很多的工作，但是在與實踐應用的要求還有很大的差距，許多問題需要進一步探討探索。

（1）目前，我國關于公有云安全的總體框架業界尚無統一的認識，未來需要對公有云安全的總體技術標準和管理體系制定統一的標準規范，在理論的指導下，理論和實踐相結合，公有云才能更快、更安全地發展。

（2）隨著不斷更新技術的同時帶來新的安全隱患，不斷被發現的新安全漏洞，目前已經出現并繼續發展的高級威脅防護方案并不是“藥到病除”，且并不是萬能鑰匙。針對應用技術的差異性和漏洞攻擊、安全威脅技術手段的不斷發展，公有云安全研究必須轉向“最小化信任概念”，即對云環境內的所有異常活動，逐個的進行安全評估，每一項異常活動，都應作為一個單項進行研究。

（3）隨著技術的發展“公有云+移動終端”成為移動終端應用發展的主要趨勢，但也導致其成為病毒和惡意軟件的重要攻擊目標。由于移動網絡環境的復雜性，移動終端面臨的安全威脅更嚴峻，危害更大。移動終端的安全問題成為了制約移動互聯網發展的關鍵因素之一。公有云+移動終端模式的安全技術是未來公有云安全研究的重點方向之一。

（4）軟件定義網絡（Software Defined Network）作為一種新興的網絡技術，通過分離控制層與數據層，分別進行優化，用戶能夠根據自身需要，通過控制層提供的編程接口管理和動態檢測網絡，以及實現網絡資源動態、靈活且透明的調配。因此，基于SDN的公有云安全技術是未來重點發展方向之一。

（5）我國公有云安全的發展有著廣闊的商業市場，但政府的規范和引導將會有事半功倍的效果，如數據安全、數據保護、服務安全等更多地涉及到商業服務法規政策的遵從，并且需要不斷的完善法規政。因此，加大政府應對策略的研究力度，加強這方面的政策法規研究，將有利于為政府更好地發揮引導作用提供理論依據。

參考文獻

[1] 鄭鑫.云計算安全體系架構與關鍵技術研究[J].通訊技術，2015.

[2] Bugiel S，Nǜrnberger S，et al.AmazonIA：when elasticitysnaps back[A] .In Proceedings of the 18th ACM Conferenceon Computer and Communications Security[C].New York：ACM Press，2011.389-400.

[3] Yinqian Zhang，Ari Juels etc.Cross-Tenant Side-Channel Attacks in PaaS Clouds.CCS14，November 3-7，2014，Scottsdale，Arizona，USA.

[4] D.Gullasch，E.Bangerter，and S.Krenn.Cache games-bringings access-based cache attacks on AES to practice.In 2011 IEEE Symposium on Security&Privacy，pages 490-550，2011.

[5] Wei J P，Zhang X L.Managing security of virtual machineimages in a cloud environment[A] .InProceedings of the2009 ACM Workshop on Cloud Computing Security[C].NewYork：ACM Press，2009.91-96.

[6] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

[7] 陳志峰，李清寶，張平等.基于訪問控制的Hypervisor非控制數據完整性保護[J].電子信息與學報，37（10），2508-2516，2015.

[8] Park J and Sandhu R.Towards usage control models： beyondtraditional access control[C].Proceedings ofthe 7th ACMSymposium on Access Control Models and Technologies，NewYork，NY，USA，2002：57-64.

[9] C.Gentry，Fully homomorphic encryption using ideal lattices.Proceedings of the 41stAnnual ACM Symposium on theory of Computing，ACM，2009，169-178.

[10] M.Van-Dijk，C.Gentry，S.Halevi，et al.Fullyhomomorphic encryption over theintegers[C].Advances in Cryptology-EUROCRYPT 2010，Springer，2010，24-43.

[11] Melchor C A，Gaborit P，Herranz J.Additively Homomorphic encryption with t-operand multiplications[G].LNCS 6223：Proc of CRYPTO 2010.Berlin：Springer，2010：138-154.

[12] Fontaine C，Galand F.A survey of homomorphic encryption for non-specilists[EB/OL].[2015-01-03].http：//jis.eurasipjournals.com/content/2007/1/013801.

[13] Fellows M，Koblitz N.Combinatorial crytosystems galore[G].LNCS 1122：Proc of the 2nd Int Symp on Finite Fields.Berlin：Springer，1993：51-61.

[14] Gentry C.A fully homomorphic encryption scheme[D].Stanford，CA：Stanford University，2009.

[15] S.Kamara，C.Papamanthou，T.Roeder.CS2：A searchable cryptographic cloud storage system[J].Microsoft Research，TechTeport MSR-TR-2011-58，2011.

[16] R.Curtmola，J.Garay，S.Kamara，et al.Searchable symmetric encryption：improveddefinitions and efficient constructions[C].Proceedings of the 13th ACM conference onComputer and communications security，ACM，2006，79-88.

[17] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[18] 陳志峰，李清寶，張平等.基于訪問控制的Hypervisor非控制數據完整性保護[J].電子信息與學報，37（10），2508-2516，2015.

[19] N.Cao，C.Wang，M.Li，et al.Privacy-preserving multi-keyword ranked search over encrypted cloud data[J].IEEE Transantions on Parallel and Distributed Systems，2014，25（1）：222-233.

[20] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[21] Itani W，Kayssi A，Chehab A.Privacy as a Service： Privacy-AwareData Storage and Processing in Cloud Computing Architectures[C].The8th IEEE International Conference on Dependable，Autonomic and SecureComputing.Chengdu，China，2009.711-716.

[22] Roy I，Ramadan HE，Setty STV，Kilzer A，Shmatikov V， WitchelE.Airavat：Security and privacy for MapReduce[C].In：Castro M.eds.Proc.of the 7th Usenix Symp.on Networked Systems Design andImplementation. San Jose：USENIX Association，2010.297-312.

[23] Wang C.，Chow S.S.，Wang Q.，Ren K and Lou W.，Privacy-preserving public auditing for secure cloud storage[J].Computers，IEEE Transactions on，vol.62，no.2，pp.362-375，2013.

[24] Zhu Y.，Hu H.，Ahn G.-J.，and Yu M.，Cooperative provable data possession for intergrity vertification in multicloud storage[J].Parallel and Distributed Systems，IEEE Transactions on，vol.23，no.12，pp.2231-2244，2012.

[25] Yang K.and Jia X.，An dfficient and secure dynamic auditing protocol for data storage in cloud computing[J].Parallel and Distributed Systems，IEEE Transactions on，vol.24，no.9，pp.1717-1726，2013.

[26] 林果園，賀珊，黃皓等.基于行為的云計算訪問控制安全模型[J].通信學報，2013，33（3）：59-66.

[27] Yu S，Wang C，Ren K，et al.Achieving secure，scalable，and fine-grained data access control in cloud computing[A].Proceedingsof IEEE INFORCOM 2010[C].San Diego，CA：IEEE Press，2010.1-9.

[28] 陳丹偉，邵菊，樊曉唯等.基于MAH-ABE的云計算隱私保護訪問控制[J].電子學報，2014，42（4）：821-827.

[29] Abdulrahman A A，Muhammad I S，Saleh B，etal.A distributed access control architecture for cloud computing[J].IEEE software，2012，29（2）：36-44.

[30] Lin HY and Tzeng WG.A secure decentralized erasure code for distributed network storge[J].IEEE Transactions， Parallel and Distributed Systems，2010，21（11）.

[31] Lin HY and Tzeng WG.A secure Erasure Code-Base Cloud Storage System with Ssecure Data Forwarding[J].EEE Transactions， Parallel and Distributed Systems， 2012，23（6）.

[32] Mambo M.and Okamoto E.Proxy Cryptosystems：Delegation of the Power to Decrypt Ciphertexts，IEICE Trans.Fundamental of Electronics，Comm.and Computer Sciences，vol.E80-A，no.1，pp.54-63，1997.

[33] Wang C，Zhou Y，A collaborative monitoring mechanism formaking a multitenant platform accountable[A].HotCloud10Proceedings of the 2nd USENIX conference on Hot topics incloud computing[C].Berkeley：USENIX Association Press，2010.18-25.

[34] Haeberlen A，Aditya P，et al.Accountable virtual machines[A].Proceedings of the 9th USENIX conference on Operatingsystems design and implementation [C].Berkeley：USENIX Association Press，2010.1-16.

[35] 李保琿，徐克付等.pTrace：一種面向可控云計算的DDoS攻擊源控制技術[J].計算機研究與發展，52（10）：2212-2223，2015.

[36] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM， 2011.21-26.

[37] C K Wang，P Zou，Z Liu，J M Wang.CS-DRM：A cloudbasedSIM DRM scheme for mobile internet[J] .EURASIP JWirel Commun Netw，2011，14（1）：22-30.

[38] G Portokalidis，P Homburg，K Anagnostakis，H Bos ParanoidAndroid：versatile protection for smartphones[A].In Proceedingsof the 26th Annual Computer Security Applications Conference[C].ACM，New York，NY，USA：ACM，2010.347-356.

[39] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM，2011.21-26.

[40] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

基金項目：

“中科院開放課題基金”。

作者簡介：

杜瑞祥（1987-），男，漢族，湖南長沙人，畢業于國防科學技術大學，碩士；主要研究方向和關注領域：云計算安全。

鮮明（1970-），男，漢族，湖南長沙人，畢業于國防科學技術大學，博士，教授，博士生導師；主要研究方向和關注領域：網絡空間安全。

谷俊（1987-），男，漢族，湖南長沙人，畢業于國防科學技術大學，碩士；主要研究方向和關注領域：軟件系統安全。

陳恬（1991-），女，漢族，湖南長沙人，畢業于國防科學技術大學，碩士；主要研究方向和關注領域：網絡安全評估。