公有云安全风险分析及应对技术

杜瑞祥 鲜明 谷俊 陈恬

【 摘 要 】 随着云计算的蓬勃发展，公有云作为云计算的主要形态，安全问题不可避免并且日渐突出。论文首先简单阐述了公有云安全产生的背景和相关概念，介绍了公有云环境中面临的攻击，然后基于公有云的安全需求和面临的攻击，详细介绍了公有云安全的关键技术并做分析，最后给出了多方面综合来解决公有云安全问题的结论。

【 关键词 】 公有云安全；虚拟化安全；数据私密性和安全性；访问控制；拒绝服务攻击；侧信道

【 中图分类号 】 TN926-34； TP311 【 文献标识码 】 A

【 Abstract 】 With the prosperous development of cloud computing technologies，public cloud computing is the dominant form of cloud computing，and its security issuses are inevitably and increasingly prominent.Firstly the paper briefly explains the backgrounds and the relevant concepts of public cloud computing security，introduces the network attacks in public cloud computing environment.And then，base on the security requirements and network attacks ，particularly explains the key technologies of public cloud computing security and give analysis.Finally，the conclusion was given that we need the comprehensive solution of public cloud computing security issues.

【 Keywords 】 public cloud computing security；virtualization security；data privacy and safty；access control；dos；side channel

1 引言

云计算服务模式具有巨大的经济技术优势和广阔的应用前景，普及云服务技术对我国的信息化建设和社会发展具有重要的意义。眼下，随着各行各业的云计算进本落地，公有云作为云计算的主要形态，越来越多的个人、企业和机构在公有云部署信息数据系统，打破原有边界的新技术架构给用户安全带来潜在风险。与此同时公有云安全技术的发展显然没跟上其本身的发展，依旧是服务商和用户的头疼问题。根据国际驰名分析机构Gartner的分析报告显示：过去的3年，全球范围内云计算市场规模以每年20%的速度在增长，与此同时，63%的用户认为安全是最大的阻力。

2 公有云安全

2.1 云计算安全问题

云计算安全主要指云计算落地的企业、机构或使用云计算业务用户的数据安全、信息安全、服务可用与安全等。云计算安全联盟（CSA）在第五届云安全联盟高峰论坛发布了一项关于云计算安全的调查报告，调查发现在安全专家们看来，云计算领域面临的最大威胁，是网络犯罪分子和黑客利用病毒和恶意软件造成的混乱，进而列出云计算行业面临的九大安全威胁，依次是共享技术的漏洞、帐户劫持、数据丢失、数据泄露、云计算服务的滥用、云服务规划不合理、不安全的API、拒绝服务攻击、内部人员的恶意操作问题。

2.2 公有云安全

公有云安全的内涵包含两个方面：一是云平台自身安全，也可以称之为“云端的安全”； 二是公有云技术在安全领域的具体应用，也称为安全云计算。云平台自身安全主要针对公有云环境中本身存在的安全隐患，研究相应的安全防护措施和解决方案，如云环境中数据安全、应用系统与服务安全、用户信息安全等；安全云计算，即通过利用公有云的优越性来提升安全系统的服务性能，主要指利用公有云架构，采用云服务模式，实现安全的服务化或者统一安全监控管理，是当前安全领域关注的技术热点[1]。当然，这两方面互相支持、相互渗透，在具体应用中两者之间存在的交集。

3 公有云的安全威胁

从目前的情况来看，公有云环境中网络攻击增长迅速，公有云安全错综复杂，面临的安全攻击包括两大类：其一，利用虚拟机之间的资源共享或者同一操作系统中用户的依赖关系进行攻击， 目前这些攻击主要包括虚拟化软件攻击、拒绝服务攻击、侧信道攻击等漏洞攻击以及获取数据、隐私窃取等云上安全问题；其二，公有云并不是完全新创造的技术，是原来计算机网络技术的聚合和创新运用，原来的安全隐患依然存在，主要涉及到拒绝服务攻击、SQL注入攻击、跨站脚本攻击、网络嗅探、中间人攻击等传统的网络安全问题。

3.1 虚拟化软件攻击

虚拟机监控器是一个管理控制程序，是物理机上具有最高权限的软件，这也使其成为恶意攻击的重要目标，通过监控器本身漏洞获得权限，会对整个虚拟化环境造成极大的危害。使用虚拟机镜像操作系统时，操作系统本身存在不断发现的漏洞、已经镜像到系统中的恶意软件、盗版软件及发布方故意安装的恶意软件等也是主要的安全威胁。Bugiel等人[2]展示了利用操作系统漏洞针对亚马逊云平台虚拟机操作系统镜像（AmazonMachine Image，AMI）的攻击方法，能够从虚拟机的操作系统中获取用户的敏感信息。Bugiel等人还发现，攻击者通过镜像的SSH主机密钥对可以识别使用该镜像创建的其他实例系统，利用镜像中漏洞和预安装软件，更便利的进行伪装攻击、中间人攻击和钓鱼攻击等。

3.2 拒绝服务攻击

攻击者采用非法手段消耗被攻击者的服务资源等，或直接攻击服务器主机导致主机死机，使服务器中断或者延迟向用户端提供服务，从而使用户端发出的请求无法被服务器正常响应。2014年末，DNS服务商1&1和dnsmadeeasy.com受到随机字符串+域名的DDoS猛烈攻击，致使DNS服务器的缓存耗尽，因而无法对外提供流畅服务。2015年3月，gitHub遭遇大流量DDoS攻击，攻击者通过“接力”百度广告联盟的方式发起了攻击。在2015年的最后一天，BBC的网站遭受了有史以来最惨烈的DDoS攻击，是成立于2012年的“新世界”黑客组织发起并造成了602Gbps的流量洪水，“新世界”利用云计算的强计算能力、高带宽的优势形成了如此强大的攻击能力。

3.3 侧信道攻击

当前云环境下的侧信道构建研究都是基于经验的，不是基于对云环境中侧信道的系统化搜索。按照侧信道的影响范围，可将侧信道分为域内侧信道，跨平台侧信道、域间侧信道。如利用I/O调度算法给予公平策略的特点，通过有目的的改变受攻击者的数据卡流量来改变外部主机得到Response数据包的延时，从而构建隐蔽信道；基于共享内存的I/O环形缓冲区和事件通道构成双向通道，利用I/O缓冲区的数据申请机制，通过有目的的控制数据申请或者申请次数来与共享内存的同驻虚拟机构建侧信道。Zhang[3]等人，提出一种针对多租户PaaS商业平台的基于高速缓存的侧信道攻击方法。侧信道攻击以Gullasch[4]的FLUSH+RELOAD攻击为原型，以自动化跟踪被攻击者执行痕迹为驱动策略，进行了改进和拓展。攻击分为两个步骤：首先，判断两个用户应用是否同驻同一个操作系统；其次，跨边界获取共享Cache泄露的信息，通过分析获得敏感信，劫持用户账户，突破SMAL单点登录。

3.4 SQL注入安全攻击

通过利用SQL注入安全漏洞将SQL命令插入到Web表单中提交或者添加到网络输入框当中，得到一个存在漏洞的网站的数据库，达到欺骗服务器执行恶意SQL代码，并不是按照设计者的意图执行命令，进而获得非法访问的权限。攻击者通过SQL攻击，不但可以操控Web界面，也可以获取非授权的用户信息。

3.5 跨站脚本安全攻击及网络嗅探

攻击者通过Web程序将恶意URL植入到网络链接并发送给用户，被攻击将用户导向特定页面，用户浏览器会执行该恶意代码，并同时窃取敏感数据，如Cookie、会话令牌等。网络嗅探指的是黑客 利用网络嗅探器实施网络攻击，如网络嗅探器，通过检测网络性能、查找网络漏洞和抓取数据包，盗取用户数据的过程，数据未加密、密码过于简单容易使得黑客获取数据更方便，可进行ARP欺骗、会话劫持、IP欺骗等攻击。

3.6 中间人安全攻击

这是一种“间接”的攻击，攻击者在通信双方不知情的情况下拦截双方在网络中传输的通信数据，并在拦截后嗅探及篡改数据，按照原来的数据流向继续发送，对于通信双方来说像是透明传播一样。SSL配置错误为中间人攻击提创造了有利条件，如通信双方没有正确安装SSL，则黑客就可以在双发交互信息的同时侵入到通信双方的计算机并同时窃取通信数据。

4 公有云安全关键技术

4.1 虚拟化安全技术

虚拟机镜像管理涉及发布者、使用者和管理者三方面风险，Wei[5]等人设计了镜像发布使用的安全机制，包括镜像过滤器、镜像系统的访问控制、镜像漏洞升级维护服务、镜像发布者追踪机制等。这些安全机制能够同时监控镜像发布者、使用者和管理者，及时的维护更新，多角度的降低了三者的风险。Azab[6]等人提出了HyperSentry，利用安全硬件设计的方法，在虚拟机中增加安全控制机制，如完整性度量代理，增强虚拟机监督程序的完整性。在虚拟机监督程序中增加一个完整性度量代理，连接硬件中的基线板管理控制器件，通过智能管理平台管理基线板来管理控制器接口与远端的验证方进行通信。

文献[7]提出了基于使用控制模型（UCON）[8]的Hypervisor非控制数据完整性保护模型。该模型在非控制数据完整性保护需求的基础上简化了UCON模型，继承了UCON模型的连续性和易变性，实现非控制数据的实时访问控制。根据攻击样例分析攻击者和攻击对象确定主客体减少安全策略，提高了决策效率；并基于ECA描述安全策略，能够有效地决策非控制数据访问合法性。在Xen系统中设计并实现了相应的原型系统，通过实验评测表明，能够有效阻止针对虚拟机管理器的攻击，且性能开销在10%以内。

4.2 同态加密及其应用

目前同态加密算法主要集中在非对称加密模式下，利用代数中安全的数据结构来构造安全的加密方案。近年来，可同时支持加法与乘法的全同态算法相继提出。文献[9]基于理想格首次提出全同态加密算法的实现，文献[10]取消了理想格的限制。同态加密算法[11]是对2种或2种以上的运算保持同态的加密方案，用文献[12]的同态加密方案加密的密文随着计算乘法或加法电路深度的增加而指数增加。上述方案可以归类到PollyCracker框架方案[13]，框架系统内所有算法的安全性都是基于理想成员资格判定问题。该框架内的算法都假设理想成员资格判定问题是困难的，但对于这个问题的困难性假设是否成立还有许多疑问[14]，此外这些方案的密文膨胀也是一个严重问题，因为这种膨胀速度有时甚至是电路深度的双指数函数。因此，设计高效的全同态加密方案是有待解决的。

4.3 可搜索加密技术

文献[15]实现了非自适应可搜索加密[16]，方案通过拓展之前可搜索加密算法的索引结构，使其可以动态更新，解决了文件更新导致远程索引更新的安全问题，设计出来了安全的基于可搜索加密技术的云存储系统。文献[17]提出了基于第三方代理存储文件的令牌随机查询协议，在协议中，用户提交加密N次的令牌，然后索引服务器和文件服务器（数据存储服务提供商）更新令牌和文件ID（再次加密）。因此，对于数据查询服务提供商而言，一个关键字每次对应的令牌都不一样，因此无法对用户的查询历史进行定位与统计分析，从而达到保护用户隐私的目的。但是第三方参与交互大大增加了系统的复杂性。

4.4 保序加密技术

保序加密算法[18]（OPE）保持密文与明文数据的数字大小比较关系，广泛应用于加密的数据库查询[19]。基于保序加密（OPE）的基本思想，提出了支持对返回的文件按关键字匹配度进行排序的方案。在通常情况下，排序查询功能使得所有匹配的文档会根据一个标准进行排序，最终仅返回给用户最相关的k个文档，因此也称为“最相关k文档查询”。

4.5 数据完整性和可用性技术

保证数据的机密性、可用性、完整性、不可抵赖性是公有云安全重点要解决的问题。文献[20]利用基于环和组签名的加密方法实现用户数据的匿名存储。文献[21]提出通过加密协处理器的防篡改能力提供云环境下的安全执行域，从物理和逻辑上防止数据未授权访问。文献[22]中Roy等人将集中信息流控制和差分隐私保护技术融入云中的数据生成与计算阶段， 提出了一种隐私保护系统Airavat。文献[23]C.Wang等人实现了基于BLS签名机制的公共审计，并且实现了基于随机盲化技术的数据隐私保护。文献[24]提出了一种基于零知识交互的PDP方案（ZK-IPDP），支持数据的全动态操作、公共审计和隐私保护，并且可支持跨多个云的数据进行完整性校验。文献[25]Yang的方案通过拓展，支持多个用户数据的批量审计，大大的提高了TPA的工作效率。

4.6 加密与密钥管理技术

加密技术的健壮性则更依赖于良好的密钥管理技术。文献[30]中提出一种密文密钥管理方案，该方案将无中心纠删码和门限公钥加密相结合，将数据分片和密钥分片（利用Shamir方案共享）分别保存在m个数据服务器和n个密钥服务器当中，假如攻击者捕获全部数据服务器和不少于t个密钥服务器，攻击者无法获取数据信息，而合法用户通过访问t个密钥服务器重构原始文；随后他们改进了方案[31]，利用Shamir门限方案与代理重加密机制[32]提出了门限代理重加密技术，并与无中心纠删码结合，实现了数据的机密性保护，并且云服务器不需要数据解密的情况下，利用重加密密钥实现数据的安全转发，减小了计算和传输的开销。

4.7 问责机制

建立对云服务商的可信性，对云服务器的行为建立问责机制，可显著提高云平台的可信度。文献[33]中提出了一个依据可靠第三方的可靠分布式的公有云数据库问责方案，以可信第三方为基础，在每个用户和云服务器之间部署可信代理，记录用户对云服务器的请求历史和响应日志，通过学习分类从这些数据中获取问责服务所需要的信息，发送给可信第三方进行问责服务。Haeberlen等人提出的可问责虚拟机[34]，通过设置代理，在虚拟机中运行虚拟计算机系统的同时记录不饿抵赖的历史记录，进而依据记录的数据进行问责机制服务。

4.8 抗拒绝服务攻击

面对未来可能更加广泛、更加频繁、更加精准的DDoS攻击，普遍的防御方法有设置高性能设备、保证足够带宽、系统更新升级、静态页面的网站、云中异常流量清洗、分布式集群防御等，对抗DDoS攻击是一个涉及多个层面的问题，需要多方面的合作。李等[35]提出一种面向可控公有云的DDoS攻击源控制技术pTrace，该系统包括入口流量监控和恶意进程溯源两个部分，当攻击流速率达到正常流量的2.5倍时，即可正确识别攻击流信息，并在ms级的时间内正确的追溯攻击流量发送进程。

4.9 抗隐蔽信道攻击

目前认为抗隐蔽信道攻击最好的方法是避免物理设备共享或者虚拟资源共享，避免攻击者与被攻击者共享资源的最有效方法，即服务提供商为用户提供独占资源的服务，但是用户要支付更多的费用，很大情况会造成资源浪费。

4.10 灾备与恢复技术

灾难恢复是信息和信系统安全的一项重要措施。灾难恢复包括从产生较大、全面的数据或系统破坏的自然灾难中恢复，也包括从可能影响单个系统或者某个数据块的事件（例如硬件错误、安全入侵、误操作等）中恢复。在公有云安全中与传统环境中的灾难恢复没有本质上的区别，同样需要没满足可容忍的最大宕机时间、可容忍的最大数据损失等。备份与灾难恢复是目前在云应用中最为流行的两种方式，部分企业客户，包括部分个人用户，已经开始将完整的灾难备份与恢复整合到相应的存储产品中，进而降低成本，增强数据和系统的安全性。

4.11 安全即服务

所谓安全即服务（SecaaS），就是云计算技术在网络安全领域的应用和拓展，是安全管理的外包模式，从而实现网络SecaaS的一种技术和业务模式，通过集群化、池化和服务化提升网络安全的资源，以互联网的方式，用户不需要自身对安全设施进行维护管理、以最小化成本、尽量减小业务提供商之间交互的情况下，可以得到便捷、按需、可伸缩的网络安全防护服务。同时给用户和服务商带来了很多益处，包括避免人力资源浪费、避免低水平重复劳动、避免管理设备低水平重复配置、更多的知识、更智能的行为、更专业的安全设备维护等。目前，由于手机的计算和存储能力非常有限，针对移动手机作为客户端是目前的研究主要内容，已有的研究包括反病毒服务、安全认证、安全检测[36]和数字版权管理[37]等。文献[37]中提出了将数字版权管理系统的许可证服务内容服务放到云中，基于云平台的SIM卡数字版权管理，能够向用户提供优质的安全服务。文献[38]提出方案，将所有的安全检测服务全部运行在云端的副本上，使得智能手机和云端之间保持同步。

4.12 SDN技术

软件定义网络（SDN）作为一种新兴的网络技术，被认为是解决当前云计算进一步发展瓶颈问题的有效方法，同时也为解决公有云安全问题带来了新的途径。文献[40]提出一种基于SDN技术的云安全防护方案，方案在原有的业务云之外，用云技术建设安全云，在业务云中部署安全代理，通过SDN技术连接业务云、安全云和安全代理，并通过安全代理把业务云动态划分为逻辑隔离的多个业务区域。方案不依赖于业务云的实现方式，除初始近乎零配置的安全代理外，不改变业务云的软硬件结构，具有易部署、易维护、安全性更高等特点。

5 趋势与展望

目前，相关公有云安全的研究做了很多的工作，但是在与实践应用的要求还有很大的差距，许多问题需要进一步探讨探索。

（1）目前，我国关于公有云安全的总体框架业界尚无统一的认识，未来需要对公有云安全的总体技术标准和管理体系制定统一的标准规范，在理论的指导下，理论和实践相结合，公有云才能更快、更安全地发展。

（2）随着不断更新技术的同时带来新的安全隐患，不断被发现的新安全漏洞，目前已经出现并继续发展的高级威胁防护方案并不是“药到病除”，且并不是万能钥匙。针对应用技术的差异性和漏洞攻击、安全威胁技术手段的不断发展，公有云安全研究必须转向“最小化信任概念”，即对云环境内的所有异常活动，逐个的进行安全评估，每一项异常活动，都应作为一个单项进行研究。

（3）随着技术的发展“公有云+移动终端”成为移动终端应用发展的主要趋势，但也导致其成为病毒和恶意软件的重要攻击目标。由于移动网络环境的复杂性，移动终端面临的安全威胁更严峻，危害更大。移动终端的安全问题成为了制约移动互联网发展的关键因素之一。公有云+移动终端模式的安全技术是未来公有云安全研究的重点方向之一。

（4）软件定义网络（Software Defined Network）作为一种新兴的网络技术，通过分离控制层与数据层，分别进行优化，用户能够根据自身需要，通过控制层提供的编程接口管理和动态检测网络，以及实现网络资源动态、灵活且透明的调配。因此，基于SDN的公有云安全技术是未来重点发展方向之一。

（5）我国公有云安全的发展有着广阔的商业市场，但政府的规范和引导将会有事半功倍的效果，如数据安全、数据保护、服务安全等更多地涉及到商业服务法规政策的遵从，并且需要不断的完善法规政。因此，加大政府应对策略的研究力度，加强这方面的政策法规研究，将有利于为政府更好地发挥引导作用提供理论依据。

参考文献

[1] 郑鑫.云计算安全体系架构与关键技术研究[J].通讯技术，2015.

[2] Bugiel S，Nǜrnberger S，et al.AmazonIA：when elasticitysnaps back[A] .In Proceedings of the 18th ACM Conferenceon Computer and Communications Security[C].New York：ACM Press，2011.389-400.

[3] Yinqian Zhang，Ari Juels etc.Cross-Tenant Side-Channel Attacks in PaaS Clouds.CCS14，November 3-7，2014，Scottsdale，Arizona，USA.

[4] D.Gullasch，E.Bangerter，and S.Krenn.Cache games-bringings access-based cache attacks on AES to practice.In 2011 IEEE Symposium on Security&Privacy，pages 490-550，2011.

[5] Wei J P，Zhang X L.Managing security of virtual machineimages in a cloud environment[A] .InProceedings of the2009 ACM Workshop on Cloud Computing Security[C].NewYork：ACM Press，2009.91-96.

[6] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

[7] 陈志峰，李清宝，张平等.基于访问控制的Hypervisor非控制数据完整性保护[J].电子信息与学报，37（10），2508-2516，2015.

[8] Park J and Sandhu R.Towards usage control models： beyondtraditional access control[C].Proceedings ofthe 7th ACMSymposium on Access Control Models and Technologies，NewYork，NY，USA，2002：57-64.

[9] C.Gentry，Fully homomorphic encryption using ideal lattices.Proceedings of the 41stAnnual ACM Symposium on theory of Computing，ACM，2009，169-178.

[10] M.Van-Dijk，C.Gentry，S.Halevi，et al.Fullyhomomorphic encryption over theintegers[C].Advances in Cryptology-EUROCRYPT 2010，Springer，2010，24-43.

[11] Melchor C A，Gaborit P，Herranz J.Additively Homomorphic encryption with t-operand multiplications[G].LNCS 6223：Proc of CRYPTO 2010.Berlin：Springer，2010：138-154.

[12] Fontaine C，Galand F.A survey of homomorphic encryption for non-specilists[EB/OL].[2015-01-03].http：//jis.eurasipjournals.com/content/2007/1/013801.

[13] Fellows M，Koblitz N.Combinatorial crytosystems galore[G].LNCS 1122：Proc of the 2nd Int Symp on Finite Fields.Berlin：Springer，1993：51-61.

[14] Gentry C.A fully homomorphic encryption scheme[D].Stanford，CA：Stanford University，2009.

[15] S.Kamara，C.Papamanthou，T.Roeder.CS2：A searchable cryptographic cloud storage system[J].Microsoft Research，TechTeport MSR-TR-2011-58，2011.

[16] R.Curtmola，J.Garay，S.Kamara，et al.Searchable symmetric encryption：improveddefinitions and efficient constructions[C].Proceedings of the 13th ACM conference onComputer and communications security，ACM，2006，79-88.

[17] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[18] 陈志峰，李清宝，张平等.基于访问控制的Hypervisor非控制数据完整性保护[J].电子信息与学报，37（10），2508-2516，2015.

[19] N.Cao，C.Wang，M.Li，et al.Privacy-preserving multi-keyword ranked search over encrypted cloud data[J].IEEE Transantions on Parallel and Distributed Systems，2014，25（1）：222-233.

[20] D.Choi，S.H.Kim，Y.Lee.AddressPermutation for Privacy-Preserving SearchableSymmetric Encryption.ETRI Journal.2012，66-75.

[21] Itani W，Kayssi A，Chehab A.Privacy as a Service： Privacy-AwareData Storage and Processing in Cloud Computing Architectures[C].The8th IEEE International Conference on Dependable，Autonomic and SecureComputing.Chengdu，China，2009.711-716.

[22] Roy I，Ramadan HE，Setty STV，Kilzer A，Shmatikov V， WitchelE.Airavat：Security and privacy for MapReduce[C].In：Castro M.eds.Proc.of the 7th Usenix Symp.on Networked Systems Design andImplementation. San Jose：USENIX Association，2010.297-312.

[23] Wang C.，Chow S.S.，Wang Q.，Ren K and Lou W.，Privacy-preserving public auditing for secure cloud storage[J].Computers，IEEE Transactions on，vol.62，no.2，pp.362-375，2013.

[24] Zhu Y.，Hu H.，Ahn G.-J.，and Yu M.，Cooperative provable data possession for intergrity vertification in multicloud storage[J].Parallel and Distributed Systems，IEEE Transactions on，vol.23，no.12，pp.2231-2244，2012.

[25] Yang K.and Jia X.，An dfficient and secure dynamic auditing protocol for data storage in cloud computing[J].Parallel and Distributed Systems，IEEE Transactions on，vol.24，no.9，pp.1717-1726，2013.

[26] 林果园，贺珊，黄皓等.基于行为的云计算访问控制安全模型[J].通信学报，2013，33（3）：59-66.

[27] Yu S，Wang C，Ren K，et al.Achieving secure，scalable，and fine-grained data access control in cloud computing[A].Proceedingsof IEEE INFORCOM 2010[C].San Diego，CA：IEEE Press，2010.1-9.

[28] 陈丹伟，邵菊，樊晓唯等.基于MAH-ABE的云计算隐私保护访问控制[J].电子学报，2014，42（4）：821-827.

[29] Abdulrahman A A，Muhammad I S，Saleh B，etal.A distributed access control architecture for cloud computing[J].IEEE software，2012，29（2）：36-44.

[30] Lin HY and Tzeng WG.A secure decentralized erasure code for distributed network storge[J].IEEE Transactions， Parallel and Distributed Systems，2010，21（11）.

[31] Lin HY and Tzeng WG.A secure Erasure Code-Base Cloud Storage System with Ssecure Data Forwarding[J].EEE Transactions， Parallel and Distributed Systems， 2012，23（6）.

[32] Mambo M.and Okamoto E.Proxy Cryptosystems：Delegation of the Power to Decrypt Ciphertexts，IEICE Trans.Fundamental of Electronics，Comm.and Computer Sciences，vol.E80-A，no.1，pp.54-63，1997.

[33] Wang C，Zhou Y，A collaborative monitoring mechanism formaking a multitenant platform accountable[A].HotCloud10Proceedings of the 2nd USENIX conference on Hot topics incloud computing[C].Berkeley：USENIX Association Press，2010.18-25.

[34] Haeberlen A，Aditya P，et al.Accountable virtual machines[A].Proceedings of the 9th USENIX conference on Operatingsystems design and implementation [C].Berkeley：USENIX Association Press，2010.1-16.

[35] 李保珲，徐克付等.pTrace：一种面向可控云计算的DDoS攻击源控制技术[J].计算机研究与发展，52（10）：2212-2223，2015.

[36] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM， 2011.21-26.

[37] C K Wang，P Zou，Z Liu，J M Wang.CS-DRM：A cloudbasedSIM DRM scheme for mobile internet[J] .EURASIP JWirel Commun Netw，2011，14（1）：22-30.

[38] G Portokalidis，P Homburg，K Anagnostakis，H Bos ParanoidAndroid：versatile protection for smartphones[A].In Proceedingsof the 26th Annual Computer Security Applications Conference[C].ACM，New York，NY，USA：ACM，2010.347-356.

[39] P Gilbert，B G Chun，L P Cox，and J Jung.Vision：Automatedsecurity validation of mobile apps at app markets[A].Thesecond International Workshop on Mobile Cloud Computingand Services[C].ACM，2011.21-26.

[40] Azab A M，Ning P，et al.HyperSentry：enabling stealthy incontextmeasurement of hypervisor integrity[A].Proceedingsof the 17th ACM Conference on Computer and CommunicationsSecurity[C].New York：ACM Press，2010.38-49.

基金项目：

“中科院开放课题基金”。

作者简介：

杜瑞祥（1987-），男，汉族，湖南长沙人，毕业于国防科学技术大学，硕士；主要研究方向和关注领域：云计算安全。

鲜明（1970-），男，汉族，湖南长沙人，毕业于国防科学技术大学，博士，教授，博士生导师；主要研究方向和关注领域：网络空间安全。

谷俊（1987-），男，汉族，湖南长沙人，毕业于国防科学技术大学，硕士；主要研究方向和关注领域：软件系统安全。

陈恬（1991-），女，汉族，湖南长沙人，毕业于国防科学技术大学，硕士；主要研究方向和关注领域：网络安全评估。