云數據安全研究進展

魯金鈿 肖睿智 金舒原*②

①(中山大學數據科學與計算機學院 廣州 510006)

②(鵬城實驗室網絡空間安全研究中心 深圳 518000)

1 引言

云計算自提出以來，得到了IBM, Google,Amazon及微軟等大型企業的推進，并迅速拓展到產業界和學術界。近十年來，云數據安全問題一直是制約云技術及產業發展的重要因素，如2010年Hotmail郵箱數據丟失、2018年萬豪集團5億用戶數據泄露等均造成了嚴重的經濟損失。當云租戶將其數據存儲到云計算平臺時，就將其數據的控制權交給了云服務商，這種數據使用權和控制權的分離是導致云數據不安全的根本原因。

在國內，武漢大學王騫教授團隊、中國科學院李鳳華教授團隊等均致力于研究云數據安全和隱私保護，其主要通過可搜索加密方法、以及訪問控制模型等實現對云數據的安全保護；暨南大學的翁建教授在保護云數據、隱私數據存儲安全等方面也做了深入工作，提出了代理重加密、基于身份加密等方法。國外研究團隊如布里托斯大學Thomas Pasquier教授與劍橋大學Barbara Liskov教授等通過分布式信息流控制技術保障云數據在系統流動過程中的保密性和完整性，并在此基礎上建立了全系統溯源跟蹤系統以增強系統安全。國內外還有很多對云計算安全和云數據安全研究成果突出的團隊，如國內啟明星辰公司，國外墨爾本大學Buyya教授團隊等。

為清晰地討論云的數據安全問題，本文基于云虛擬化、多租戶和服務彈性化等特點，將云的體系結構分為3層：物理資源層、虛擬組件層及云服務層。其中，物理資源層主要包含硬件基礎設施及資源；虛擬組件層主要包含虛擬化組件，如虛擬機管理器、虛擬機及容器等組件；云服務層由具體的云服務構成，主要包括資源管理、安全管理及彈性計費管理等云服務。其架構如圖1所示。云的數據安全主要涉及以下7個關鍵環節：

(1) 云數據存儲安全。云租戶將數據上傳到云服務提供商(Cloud Service Provider, CSP)存儲，CSP因系統故障、惡意攻擊等原因令數據面臨高安全風險。使用加密存儲機制，如基于代理和廣播的重加密以及基于可搜索加密的云數據安全存儲等可有效地保證云數據存儲的安全性。

(2) 云數據管理安全。如何保障云數據資源高效管理、海量數據的精確定位是云數據安全管理面臨的主要問題。云資源的動態更新會造成云數據多副本等問題，影響云數據管理的效率和數據定位的準確度，令云數據安全管理和調度復雜化、存儲資源開銷增加。使用虛擬化安全等技術可有效降低管理開銷，實現監管的合規性，防止因虛擬層穿透或資源耗盡引起的隱私泄露問題。

(3) 云數據訪問安全。為應對云數據被惡意用戶或攻擊者訪問、修改等風險，通常采用身份認證、訪問控制、云數據安全計算、云信息流控制等技術來保障訪問過程中的數據完整性和安全性。

(4) 云數據安全刪除。當刪除云數據資源時，需要確保數據確定性刪除且不可恢復，同時也要確保與目標數據相關聯的副本數據的刪除，以防攻擊者對數據進行惡意修復而導致隱私數據泄露。

(5) 云數據安全審計。對存儲于并被CSP管理的云數據的完整性及持有性等特性進行高效的審計，以保障云數據的使用規范性和對違規操作的追責。此外，云數據審計過程中的隱私保護也是安全審計的重要方面。

(6) 云數據隱私保護。云數據隱私保護是云數據安全研究的重要方面，包括存儲安全以及云數據訪問模式、查詢索引、限門鏈接及身份隱私的保護等。

(7) 云業務可持續性保障。云服務層業務的可持續性保障是衡量云計算系統或服務的重要指標之一。通常通過云數據備份及恢復等方法實現云服務的持續性供給。

基于以上云數據安全保護的7個關鍵環節，本文將云數據安全所涉及的云身份認證、云訪問控制、云數據安全計算、虛擬化安全技術、云數據的存儲安全、云數據的安全刪除、云信息流控制、云數據安全審計、云數據隱私保護及云業務可持續性保障10方面的相關研究工作納入到物理資源層、虛擬組件層及云服務層所構成的3層云架構中進行總結和分析，如圖2所示。

圖1 云計算架構

2 云身份認證

云身份的合法認證可有效防止云數據被非法用戶訪問或非法提權而導致的數據泄露或破壞。

2.1 基于安全憑證的云身份認證

基于安全憑證的身份認證包括基于用戶秘密、硬件憑證及多因子認證。云計算環境中有多種基于安全憑證的認證技術，如Google使用的ACCESS Key憑證認證、X.509證書認證以及將傳統的登錄證書及授權用戶持有的硬件設備碼相結合的多因子認證技術等。

2.2 基于單點登錄的聯合云身份認證

云的聯合身份認證一般基于單點登錄實現，目前主要包括基于安全協議和安全斷言標記語言(Security Assertion Markup Language, SAML)的云身份認證。其中，包括OpenID協議[1]和OpenID Connect[2]在內的基于安全協議的單點登錄通常是使用如OpenID身份認證來訪問相應云服務，或者是通過提供授權允許授權第三方網站訪問存儲在云端的信息(如OAuth協議)；基于SAML的單點登錄云身份認證主要以安全斷言標記語言為基礎，以較好地支持多安全站點或安全域同一用戶的單點登錄。

圖2 云數據安全技術

2.3 基于PKI和IBC的云身份認證

公鑰基礎設施(Public Key Infrastructure,PKI)及基于身份的密碼技術(Identity-Based Cryptography, IBC)也是云身份認證的重要方法之一。前者可實現跨云的服務訪問，包括數據加密、數字簽名、身份識別以及密鑰和證書管理等，其在效率和證書撤銷復雜度等方面存在不足；后者主要用于云內部的認證。為了降低基于證書的PKI實現的復雜度和減少證書的使用，通常采用PKI和IBC結合的 方式，即在云內采用IBC、在云間采用PKI認證。

2.4 基于生物特征的云身份認證

基于如手指靜脈、掌紋靜脈、虹膜等生物特征的云身份認證具有高效率、高安全性、高靈活性及難偽造性等特性，但在復雜的云環境下容易受到服務提供者的模擬攻擊[3]，如誤用生物識別技術或指紋登錄等。

云身份認證所使用的不同協議和方法之間的優缺 點比較如表1所示。

3 云訪問控制

與傳統的訪問控制模型相比，云訪問控制主要面對的挑戰在于：(1)用戶失去了對其數據的掌控權；(2)訪問主體、被訪問對象的邊界模糊，側信道等攻擊成為可能；(3)用戶和云平臺之間缺乏信任。鑒于此，云訪問控制的研究主要集中在云訪問控制模型、基于屬性加密(Attribute-Based Encryption, ABE)的密碼機制及多租戶訪問控制3個方面。

3.1 云訪問控制模型

云訪問控制模型的研究主要集中于基于角色和基于屬性兩大類。在基于角色的訪問控制模型(Role-Based Access Control, RBAC)方面，基于任務與RBAC結合模型(Task-Role-Based Access Control, T-RBAC)可實現同一安全分類中不可信用戶之間的安全資源共享。在基于屬性的訪問控制(Attribute-Based Access Control, ABAC)[4]模型方面，結合RBAC的授權機制和ABAC模型可較好解決細粒度訪問控制和大規模用戶動態擴展問題。

表1 云身份認證各類方法比較

3.2 基于ABE機制的云訪問控制

ABE密碼算法因其機制本身支持不同的解密算法，非常適用云計算這種解密方不固定的分布式環境下的訪問控制。基于ABE的訪問控制主要包括密鑰策略的屬性加密(Key-Policy ABE, KP-ABE)和密文策略的屬性加密(Cipher-Policy ABE, CPABE)兩種：前者基于密鑰訪問控制策略，后者基于密文訪問控制策略。使用基于ABE的訪問控制方法目前還不能很好解決效率和可擴展性等問題，在用戶屬性撤銷方面也會產生高額的計算開銷[5]。

3.3 多租戶訪問控制

在多租戶訪問控制方面，文獻[6]制定了不同租戶間的資源共享機制，并通過形式化方法證明了不同租戶間權限激活和委托機制的正確性。文獻[7]提出的云環境下多租戶風險感知虛擬資源分配機制可將數據泄露的風險降到最低。

不同的云訪問控制技術的優缺點對比如表2所示。

4 云數據安全計算

本文中云數據安全計算是指保證云數據在動態計算過程中的安全。目前該領域的研究主要集中在同態加密和可信計算技術。

4.1 基于同態加密的云數據安全計算

同態加密[8]實現了無需解密的情形下的密文數據計算，是云安全計算領域廣泛采用的技術之一。Gentry等人[9]提出了基于理想格的第1個全同態加密方法，通過構造加密算法、解密“打散”及“引導程序”實現了“隱私同態”，但該方法存在復雜度較高和效率低的不足。其后，文獻[10]在加密數據的計算隱私性、完整性及可信性等方面進行了較大的改進。

4.2 基于可信計算的云數據安全計算

2017年，中國工程院院士沈昌祥[11]在《用可信計算構筑云計算安全》報告中指出“要用可信計算構建云計算安全，在云的基礎上解決數據安全”。可信云計算的一般模型是利用可信平臺模塊在云環境下對用戶或資源實施監控，以保證虛擬環境、客戶和服務方的可信性。Contractor等人[12]利用可信計算組提供的信任鏈基本功能，構建了可問責的云計算系統。

云數據安全計算的不同方法的優缺點對比如表3所示。

5 虛擬化安全技術

目前虛擬化技術主要有基于虛擬機和基于容器的虛擬化，如何保障虛擬化安全并進行有效的虛擬機數據隔離是保障云數據安全的重要方面。

5.1 虛擬機安全

目前虛擬機安全的研究可劃分為兩類：虛擬機管理及虛擬機使用，這兩個方面安全需求、面臨的安全威脅及解決方法如圖3所示，圖3中所列主要威脅和解決方法來自于文獻[13,14]。

表2 云訪問控制技術方法比較

表3 云數據安全計算方法比較

5.2 容器安全

與基于虛擬機的虛擬化技術相比，容器虛擬化在內存、CPU和存儲資源等方面具備更高使用效率和快速部署優勢，容器即服務(Container as a Service, CaaS)已作為一種交付模型被提出。基于CaaS，文獻[15]提出了解決容器的管理效率和開銷問題的方法，隨后提出的基于容器的CQSTR系統[16]在效率方面有了大幅度提升，但在保障云數據安全方面略顯不足。

5.3 云數據安全隔離

云數據安全隔離研究主要集中在虛擬機、容器、信息流控制技術、通信加密及多租戶技術等方面。通常，虛擬機數據隔離是將應用程序放在虛擬機而非宿主機中執行，或者是在虛擬機中實現分布式服務來實現；容器與虛擬機相結合的方式也是實現云數據隔離的措施之一；基于標記的信息流控制技術可實現細粒度數據隔離；多租戶技術可較好地保證不同租戶的運行環境和服務的安全隔離。

6 云數據存儲安全

6.1 基于代理重加密的云數據存儲安全

代理重加密(Proxy Re-encryption, PRE)允許可信第三方將用戶加密的密文轉化為可用另一方私鑰解密的密文，其主要包括基于身份、屬性和區塊鏈等方法的代理重加密方法。其中前兩個方案較為普遍，現有代表性方法的比較如表4所示。其中，可重復性指代理執行再次加密操作時對隨機因子的密文進行與之前同樣的操作即可實現多次重加密；非交互性指重加密密鑰的計算均可以由客戶端獨立完成，無需其他第三方參與；單向性指代理轉換訪問結構時若缺少隨機因子與訪問結構相關聯的密文便無法轉換訪問結構；可驗證性指加密結果及是否按照要求進行加解密均可驗證。

6.2 基于廣播加密的云數據存儲安全

在云計算模式下廣播加密機制主要包含基于屬性的廣播加密(Attribution-Based Broadcast Encrypt, ABBE)和基于身份的廣播加密(Identity-Based Broadcast Encrypt, IBBE)。已有的ABBE方法大多關注于明文隱私，忽略了策略和廣播列表隱私導致攻擊者可通過密文和公共參數來確定訪問策略和廣播集。使用部分隱藏策略來實現訪問策略中隱私信息的保護[21]并減少計算開銷。目前的IBBE方法不需要任何額外身份驗證，但私鑰或公鑰等參數隨著系統中用戶數的增加而呈線性增長。

6.3 基于可搜索加密的云數據存儲安全

通常，加密是保障云數據安全的有效辦法之一，但存在查詢索引難以建立導致的加密數據查詢低效問題。可搜索加密技術(Searchable Encryption, SE)[22,23]可較好地解決這個問題。檢索效率、檢索安全性及可驗證性是SE研究主要關注的3個方面。其中檢索效率主要體現在索引生成和檢索算法或檢索結構的計算復雜性方面；檢索安全性指在檢索過程中不泄露索引模式、索引信息及訪問模式等，主要包含前后向檢索安全性2方面；檢索可驗證主要體現在驗證檢索數據的準確性和完整性等方面。在該領域的代表性研究工作的比較如表5所示。

圖3 虛擬機面臨主要威脅及解決方法

表4 基于代理重加密方法比較

表5 可搜索加密相關方法比較

7 云數據安全刪除

7.1 基于安全覆寫的云數據安全刪除

安全覆寫主要思想為首先對數據進行破壞，然后使用新數據對原有數據進行覆寫。Paul等人[29]提出了數據擦除時將數據最高有效位和最低有效位反轉的方法，實現了數據的不可恢復銷毀，但該方法需要云服務商參與。隨后，Luo等人[30]結合沙漏函數提出了基于覆寫的云數據確定性刪除方法，可從云服務器的驅動器中刪除數據，實現了云數據的安全刪除。

7.2 基于密碼學的云數據安全刪除

基于密碼學的云數據安全刪除是通過刪除數據的同時也刪除云端的密文數據和密鑰管理者持有的解密密鑰的方式實現即使云端保留了數據副本也無法解密的數據安全刪除。其主要包括基于可信第三方、分散式哈希表和密鑰調制函數3類方法。基于可信第三方的方法，如FADE協議[31]是通過撤銷策略來實現數據刪除的不可恢復性；基于分散式哈希表的方法，如SelfDoc[32]是通過原始密文和訪問密鑰在數據刪除后無法恢復來實現數據的安全刪除；基于密鑰調制函數的方法，如Xue等人[33]提出的方法是通過改變主密鑰來實現數據的安全刪除。基于密碼學的數據安全刪除方法的不足主要在于包括額外存儲在內的系統開銷較高。

8 云信息流控制

云環境下的信息流控制技術主要通過控制數據信息在云中的流動來保障云數據安全，其核心是控制策略的制定和描述、標簽的生成、管理和傳播。這里，以CloudFence[34]為例來說明信息流跟蹤即服務(DFTaaS)的模式結構，其主要包括：(1)用戶API 在DFTaaS上注冊，同時獲取用戶統一身份標識證書；(2)云服務器為用戶提供服務；(3)云基礎設施對用戶隱私數據進行標記及跟蹤，并記錄審計信息；(4)用戶獲取自身數據審計記錄。其后，Camflow[35]系統實現了PaaS模型下的細粒度信息流轉控制，CloudSafetyNet[36]不僅實現了細粒度信息流控制，還可以追蹤網絡環境中的隱私數據。

9 云數據安全審計

云數據安全審計主要解決數據持有性和完整性兩個問題，通常的解決思路是：僅取回少量數據，通過使用特定知識證明協議或概率分析，以高可信概率判斷云端數據是否完整或為某租戶所有。

9.1 云數據持有審計

為保證文件在不可信存儲系統上的存儲安全，基于RSA同態令牌，Ateniese等人[37]構建了可證的數據持有(Provable Data Possession, PDP)模型，實現了對云數據進行公開可驗證審計，但該模型不支持動態存儲。其后提出的支持動態存儲的Dynamic PDP[38]以及OOPDP模型[39]等改進了PDP的缺陷，實現了審計的輕量級計算。在持有審計的可證明性方面，Wang等人[40]針對外包數據傳輸提出了可證明的持有的DT-PDP方法，其后提出的IAID-PDP[41]等方法都在可證明性和減少管理開銷方面做了大量的工作。

9.2 云數據完整性審計

數據可檢索證據模型(Proofs of Retrievability,POR)[42]可保證云數據的完整性，但其在數據的動態更新、第三方審計和驗證方面略顯不足。Shacham等人[43]基于雙線性簽名方法，改進了POR模型。其后，Wang等人[44]基于同態令牌和糾刪碼實現了對云存儲完整性的審計，Jiang等人[45]提出了一種基于向量承諾和驗證本地撤銷組簽名的安全組用戶撤銷的高效公共完整性審計方法。為優化數據完整性審計協議涉及的復雜密鑰管理，Li等人[46]分別提出了基于屬性的云數據完整性審計機制和基于生物特征作為模糊身份的模糊身份審計協議。

9.3 云數據審計的隱私保護

云數據審計的隱私保護主要實現審計云數據持有性或完整性前的提下對數據所有者身份和位置信息等數據進行隱私保護，該領域主要機制和方法包括表6中所列的4種方法。

10 云數據隱私保護

云數據隱私保護主要包括存儲的隱私數據、所查詢的數據及所使用的訪問模式的隱私保護，其中隱私數據的存儲可使用密碼學方法(見第6節中的加密方法)實現，本節主要關注云數據訪問過程中的查詢和訪問模式隱私保護。

10.1 查詢隱私保護

目前針對查詢隱私保護的研究主要集中在索引隱私、關鍵字隱私和限門不可鏈接性方面[47]。其中索引隱私要求原敏感數據的索引信息不被泄露，其主要思想是通過安全索引函數隱藏原數據和索引之間的關系來防止隱私泄露；關鍵字隱私[48]指任何查詢關鍵字不能使用通過對限門分析推導得出，主要思想是通過將查詢關鍵字轉化為特殊的限門來實現關鍵字隱私保護；限門不可鏈接性指限門間關系不能通過對多個查詢限門的推導得出。另外，環簽名和群簽名方法也常用于隱藏租戶身份信息進而實現身份信息的隱私保護。但當群中租戶頻繁更改或者租戶數量變化很大時，環簽名和群簽名方法在效率上存在不足。

10.2 訪問模式隱私保護

訪問模式[49]是一個訪問序列，攻擊者通過對其觀察分析可以推斷出如訪問權限、訪問頻率及訪問習慣等隱私信息。常見的訪問模式隱藏方法有隱私信息檢索(Private Information Retrieval, PIR)協議[50]和不經意隨機訪問(Oblivious RAM,ORAM)[51]。PIR協議的主要思想是通過存儲在分布式服務器中的數據副本(每個副本之間不能進行通信)、令每個PIR協議執行參與方均不能獲取訪問的相關信息來保護隱私。ORAM的主要思想是通過數據和物理塊之間的分層獨立性來實現訪問模式的隱私保護，包括局部清洗ORAM、多輪ORAM、單輪ORAM及并行ORAM等。其代表性方法優缺點比較如表7所示。

11 云數據可持續性保障

通常數據備份與恢復技術是云服務可持續性的主要保障手段之一。目前，常見的云數據備份機制主要有熱備份、冷備份及暖備份等，它們的比較如表8所示。還有一些云服務商直接采用面向快速備份和恢復的操作系統來實現服務的可持續性，如HSDRT[52], Linux box[53], ERGOT[54], SBBR[55]等，這些系統的優缺點比較如表9所示。

12 總結與展望

本文討論了云的數據安全所涉及的7方面的關鍵環節，并從10個方面總結和分析了已有的云數據安全保護的方法和技術。以下給出每個方面可進一步探索的研究問題：

(1) 云身份認證：

(a) 云計算環境下跨域身份認證。隨著云計算環境的復雜化，跨域數據交換普遍存在，如何有效且安全地實現跨域身份認證是未來云應用的重要方面；

(b) 認證協議實施的安全性保障。在認證協議安全性理論證明的同時，在安全協議實施[56]過程中，由于實施人員的參差不齊和工程實踐的差異所造成的協議實施與定義的不一致將引起云數據隱私泄露等問題。

(2) 云訪問控制技術：

(a) 策略描述和屬性撤銷。通過基于屬性加密的策略描述和屬性撤銷，以增強策略的表達能力和可用性；

表6 云數據審計隱私保護方法比較

表7 云數據隱私保護方法比較

表8 常見備份技術之間區別

表9 云數據備份和恢復系統比較

(b) 結合多屬性的訪問控制。在基于屬性的訪問控制模型中，使用單一的屬性實現訪問控制面臨較高安全風險，可以嘗試將云計算中的新屬性納入云的訪問控制機制，如位置屬性、風險屬性、訪問目的和隱私需求等，建立基于多屬性的訪問控制機制；

(c) 軟硬件協同。訪問控制的軟硬件協同設計，將軟件實現的細粒度訪問控制與硬件實現的控制機制相結合。

(3) 云數據安全計算：

云中多方安全計算[57]。將云計算所涉及的隱私數據計算、抽象為安全多方計算，以保護多云應用的隱私。

(4) 虛擬化安全技術：

基于信息流控制的云容器數據安全。當云容器中運行多種應用服務，由于云計算分布式協同合作的本質，各個應用服務之間的信息共享必然面臨安全性問題，信息流控制技術可用來增強容器內的數據安全性。

(5) 云數據安全存儲：

(a) 代理重加密。現有的代理重加密在效率方面有一定缺陷，可考慮將基于身份的代理重加密方法、區塊鏈和后量子密碼相結合，研究更高效的代理重加密方法；

(b) 前后向安全可驗證的可搜索加密。SE的前向和后向安全分別防止注入攻擊和在刪除的數據上執行查詢操作，而已有研究工作極少有同時保證前向安全和后向安全及其可驗證性。

(6) 云數據安全刪除：

(a) 移動云隱私數據的安全刪除。已有研究工作很少關注移動云隱私數據的安全刪除，尤其是移動云及移動終端產生的如支付信息、敏感私密消息等的安全刪除且不可恢復；

(b) 海量數據的細粒度安全刪除。在各種云和大數據應用中，對海量數據進行按需的細粒度刪除可大大減少云存儲實際投入的同時，實現對用戶隱私數據的保護；

(c) 關聯數據確定性刪除。在跨云應用場景下，云應用可能跨越多個不同的云，云服務提供商通過備份及動態共享等機制對用戶數據進行遷移，這將引起數據的多副本問題。建立多副本數據之間的關聯規則，能較好解決跨云的數據確定性刪除且不可恢復問題。

(7) 云信息流控制技術：

(a) 信息流控制模型的標準化。建立統一的標簽描述和相互轉化標準及標簽管理框架及規則，形成統一的信息流控制方法和框架；

(b) 語言級別的信息流控制。在云計算、大數據、物聯網和機器學習等新領域背景下，設計適合多核并行下信息流控制的新型程序設計語言，并對信息流控制安全性進行無干擾驗證與分析。

(8) 云數據安全審計：

高效的密鑰管理機制和審計方法。近年來很多研究工作使用ABE和IBE技術相結合實現了數據的完整性審計，令審計機制中密鑰管理的復雜性得以優化。更高效的密鑰管理仍然是云數據審計機制中重要的關注點。使用基于身份和基于區塊鏈PDP方法代替證書驗證，也可提升審計效率。

(9) 云數據隱私保護：

(a)隱私保護下的問責機制。在某種程度上，隱私和問責是兩個對立問題，同時實現這兩個目標并不容易。目前大部分研究工作只關注于隱私保護，探索隱私保護下的問責機制是非常必要的；

(b)隱私保護下的數據訪問效率。目前的研究工作基本采用PIR和ORAM等方法防止數據訪問過程中的隱私數據泄露，但這些方法的數據訪問效率較低；而通過密文搜索的查詢準確率也不高。如何在隱私保護前提下提高數據訪問效率和查詢準確率是難點問題。

(10) 云服務層業務的可持續提供：

可信任評估及成本優化。研究如何評估值得信任的服務提供者以及有效降低數據恢復成本的實現機制和方法，以降低用戶自身數據的丟失風險，推動云服務的廣泛應用。

云的數據安全問題一直是學術界和產業界共同關注的熱點之一。隨著技術的不斷發展，該領域必將有更多實用化的方法和技術涌現。