[[442104]]

背 景

隨著云計算規(guī)模的不斷擴大，云的安全問題也越來越受到人們的關(guān)注，云是一個開放平臺，使得它容易受到不斷演變的惡意攻擊。其中存儲數(shù)據(jù)的安全性、訪問管理、數(shù)據(jù)利用率管理和信任是云計算的主要安全方面。

傳統(tǒng)的分布式體系結(jié)構(gòu)通過實施安全策略來維護信任。然而，在云部署模型中，數(shù)據(jù)和應(yīng)用程序控制是通過委托進行的，因此對傳統(tǒng)的策略實施方式帶來了許多挑戰(zhàn)。

提高云計算安全性的一個特別有效的方法是使用加密方法。由于計算效率和相關(guān)約束的限制，傳統(tǒng)密碼技術(shù)尚未在基于云的環(huán)境中被廣泛使用。

在云計算中，數(shù)據(jù)確認和用戶身份驗證是相互關(guān)聯(lián)的，保護用戶帳戶不被濫用是控制對基于云的資源(如對象、內(nèi)存、設(shè)備和軟件)訪問的一個重要抓手。

云計算提供了組織形式的加密方案，該方案可提供高水平安全性，但它們需要高效的實用程序，需要冗長的計算;因此，需要通過提供軟件安全解決方案以開展更高效和可擴展的業(yè)務(wù)。

加密身份驗證解決方案有助于促進安全的資源利用。然而，根據(jù)云部署模型的不同，密鑰管理(分配、分發(fā)和撤銷)必須高效且可大規(guī)模管理。

挑戰(zhàn)和問題

應(yīng)用程序在云中存儲和處理數(shù)據(jù)，用戶訪問數(shù)據(jù)的目的多種多樣，如簡單存儲或分析(見圖1)。由于云計算操作的可靠性取決于安全策略(訪問控制、數(shù)據(jù)加密等)的實施，因此必須解決安全弱點和缺陷。

安全和保護隱私的云計算帶來了技術(shù)、法律和管理方面的挑戰(zhàn)。我們這里的重點是技術(shù)問題。安全性、確認性、完整性和可用性的主要方面必須在客戶端連接和服務(wù)器端解決。這三者都在共享環(huán)境中運行，并且都是共享環(huán)境的一部分，因此必須將它們的安全性和隱私要求結(jié)合起來。云安全的重要性已經(jīng)得到了廣泛的認可，如云安全聯(lián)盟(https://cloudsecurityalliance.org)。

云服務(wù)有三種基本模型：軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS)。盡管這些模型有很大的不同，但它們有許多與安全和隱私相關(guān)的問題。

圖1 保護云以進行數(shù)據(jù)利用率管理

1、公共和私有云

云計算通過互聯(lián)網(wǎng)訪問資源。公共云由專門的服務(wù)提供商運營，并且在大多數(shù)情況下實現(xiàn)多租戶環(huán)境。私有云由組織運行，服務(wù)不共享，它們作為單租戶環(huán)境運行。在某些情況下，私有云由公共云服務(wù)擴展，從而創(chuàng)建混合云。

遠程訪問資源是云計算的一個基本部分，可以完全通過公共網(wǎng)絡(luò)或(可能是虛擬的)私有網(wǎng)絡(luò)進行連接。因為遠程訪問技術(shù)已經(jīng)存在了一段時間，所以有許多解決方案可以保護傳輸中的數(shù)據(jù)。傳輸層安全(TLS)可以說是最流行的協(xié)議，它通過加密保護數(shù)據(jù)機密性，通過證書提供服務(wù)器端和客戶端身份驗證。TLS是從安全套接字層(SSL)協(xié)議發(fā)展而來，仍然提供向后兼容性，然而SSL版本已不被認為是完全安全的。

2、服務(wù)器可用性

由于技術(shù)的發(fā)展，主機已經(jīng)提供了高可用性，網(wǎng)絡(luò)已經(jīng)成為瓶頸。繁忙網(wǎng)絡(luò)中的數(shù)據(jù)交換可能很慢，而對網(wǎng)絡(luò)的攻擊(如拒絕服務(wù)(DoS)攻擊)可能會阻止對重要資源的訪問。在使用Web時，協(xié)議的無狀態(tài)特性需要新的解決方案來保持所需的可用性級別。

3、多租戶服務(wù)

與任何共享服務(wù)一樣，租戶之間并不是完全孤立的。許多云服務(wù)提供商提供不同級別的服務(wù)，并使用虛擬化來分離客戶端，包括共享虛擬機或?qū)⑻摂M機分配給單個用戶。不過，一個用戶的工作模式可能會影響同一服務(wù)的其他用戶。例如過度使用或鎖定資源是影響服務(wù)可用性并可能導(dǎo)致DoS攻擊的常見問題。

云服務(wù)的最終用戶在異構(gòu)環(huán)境中工作，云服務(wù)提供商對其設(shè)置幾乎沒有影響。用戶可以在幾乎沒有保護的網(wǎng)吧中使用這項服務(wù)，也可以在防火墻保護良好的環(huán)境中使用臺式計算機。但是，一個用戶的環(huán)境可能會影響服務(wù)器和其他用戶。惡意軟件可以通過服務(wù)器傳播、感染應(yīng)用程序，并轉(zhuǎn)移到其他客戶端。虛擬環(huán)境在虛擬機之間提供的保護比在機器內(nèi)部提供的保護更多，但它們?nèi)匀徊荒艽_保完全隔離。

4、數(shù)據(jù)存儲

用戶的主要擔憂之一是他們無法控制數(shù)據(jù)的位置或存儲方式。用戶所依賴的服務(wù)對他們來說是不透明的，關(guān)于服務(wù)器操作的任何信息都不會泄露。雖然這可以通過隱蔽性提高安全性，但也會破壞用戶信任。

數(shù)據(jù)保留也是用戶關(guān)心的問題。云服務(wù)提供商可能會將刪除的數(shù)據(jù)保留在備份中，或者出于某些未發(fā)布的原因。例如，F(xiàn)acebook保留刪除的數(shù)據(jù)，但將其從視圖中刪除。當服務(wù)終止時，同樣的問題也適用。

5、訪問控制

大多數(shù)云系統(tǒng)包括基本的訪問控制。幾乎每個系統(tǒng)都有特權(quán)用戶，例如對用戶數(shù)據(jù)具有無限制訪問權(quán)限的系統(tǒng)管理員。當數(shù)據(jù)或流程通過云外包時，可能會將敏感數(shù)據(jù)或流程移交安全保管。在本地環(huán)境中，用戶知道他們信任誰，但在云環(huán)境中，用戶很少知道云服務(wù)器的位置、服務(wù)器端管理它的人員以及通常誰可以訪問它。

內(nèi)部威脅尤其令人擔憂，因為此類攻擊可能導(dǎo)致巨大的損失。惡意員工可能造成重大傷害，但即使是疏忽也可能通過允許外部攻擊者獲得內(nèi)部特權(quán)而造成損害。云服務(wù)是犯罪分子極具吸引力的攻擊目標，因為成功的攻擊可以產(chǎn)生大量信息。攻擊可以從不適當?shù)卦L問信息到泄露或更改個人數(shù)據(jù)。隱私泄露本身可能造成損害，但發(fā)布或偽造個人信息可能造成更嚴重的損害。

6、身份保護

互聯(lián)網(wǎng)傳播的數(shù)據(jù)提供了關(guān)于人的有價值的信息。搜索關(guān)鍵詞、銀行卡使用情況和移動模式等等，可以用來從假定匿名的數(shù)據(jù)中識別和跟蹤個人的信息;攻擊者還可以利用此信息進行攻擊。云服務(wù)提供商幾乎可以不受限制地獲得相同的數(shù)據(jù)。例如，一些云服務(wù)提供商的商業(yè)模式包括基于監(jiān)控賬戶流量或存儲在用戶賬戶上的數(shù)據(jù)的定向廣告。

通過分析用戶，可以更容易地確定客戶的興趣，這有助于有針對性的推送廣告和營銷。數(shù)據(jù)挖掘通常是在客戶明確同意或不同意的情況下，對云中存儲的數(shù)據(jù)執(zhí)行的。雖然如果執(zhí)行得當，這可能不會侵犯客戶的隱私，但這肯定是客戶需要注意的一個方面。

解決辦法與趨勢

1、使用同態(tài)加密保護云

同態(tài)加密允許對加密數(shù)據(jù)(也稱為密文)執(zhí)行計算，從而生成加密結(jié)果，當解密時，加密結(jié)果與對原始數(shù)據(jù)(明文)執(zhí)行的相同操作的結(jié)果相匹配。這對于將加密數(shù)據(jù)外包給云的應(yīng)用程序來說是一個主要優(yōu)勢。

同態(tài)加密在許多應(yīng)用中都很有吸引力，但它有一個嚴重的局限性：同態(tài)屬性通常僅限于一個操作，通常是加法或乘法。同時具有加法和乘法同態(tài)特性的方法使我們更接近實際應(yīng)用。Ronald Rivest和他的同事在1978年5以隱私同態(tài)的名義引入了完全同態(tài)加密的概念，但直到2009年Craig Gentry才提出了完全同態(tài)加密(FHE)方案。Gentry的方案允許對加密數(shù)據(jù)進行任意數(shù)量的加法和乘法運算，同時確保結(jié)果正確反映在解密數(shù)據(jù)中。

2、保護隱私的數(shù)據(jù)挖掘作為云服務(wù)

近十年來，人們對數(shù)據(jù)挖掘服務(wù)越來越感興趣。缺乏數(shù)據(jù)存儲、計算資源和專業(yè)知識的公司(數(shù)據(jù)所有者)將其數(shù)據(jù)存儲在云中，并將挖掘任務(wù)外包給云服務(wù)提供商(服務(wù)器)。毫無疑問，數(shù)據(jù)挖掘為滿足商業(yè)需求提供了寶貴的服務(wù)。然而，它也帶來了嚴重的隱私問題，因為服務(wù)器可以訪問公司數(shù)據(jù)，并可以從中了解商業(yè)秘密。

為了保護公司的數(shù)據(jù)隱私，同時使服務(wù)器能夠?qū)υ浦械臄?shù)據(jù)進行關(guān)聯(lián)規(guī)則挖掘，一個天真的解決方案是，數(shù)據(jù)所有者通過用唯一的數(shù)字替換項目(相同的項目被相同的數(shù)字替換，不同的項目被不同的數(shù)字替換)，來隱藏其事務(wù)數(shù)據(jù)庫中項目的含義。這種一對一的替代方法不會隱藏項目的頻率。如果服務(wù)器有一些背景知識(例如，關(guān)于某些項目頻率的信息)，它可以重新識別它們，特別是最頻繁的項目。

為了防止基于背景知識的攻擊，WaiKit Wong和他的同事提出了一種一對n項映射，它可以不確定地轉(zhuǎn)換事務(wù)，其基本思想是在事務(wù)數(shù)據(jù)庫添加假項目。然而，虛假數(shù)據(jù)的制造降低了數(shù)據(jù)分析的準確性，并且所提出的方法有兩個可以利用的弱點。首先，每個假冒商品被添加到每個交易中的概率相同，因此當交易數(shù)量較大時，假冒商品出現(xiàn)的頻率相似。第二，偽造物品被添加到交易中，與已經(jīng)存在的物品無關(guān)，因此，每個假冒商品都獨立于所有其他商品。Ian Molloy及其同事對Wong及其同事的算法提出了一種基于頻率分析的攻擊，通過檢測項目之間的低相關(guān)性，攻擊可以刪除獨立添加的假項目，并且成功地重新識別了一些最頻繁的項目。

3、分布式訪問控制

分散管理是云部署模型的一個顯著特征。訪問控制執(zhí)行的權(quán)力下放是可取的，在集中式解決方案中，對多個云域上的大量用戶的訪問控制必須處理維護大量復(fù)雜的授權(quán)規(guī)則。

4、可靠的憑證管理

健壯的身份驗證在訪問控制中至關(guān)重要：授權(quán)被授予經(jīng)過身份驗證的用戶。其中一個重要方面是身份憑證的管理，聯(lián)邦身份管理被認為是開放系統(tǒng)(如基于云的協(xié)作系統(tǒng))的有效解決方案，其可靠的身份管理對于確?？煽康臄?shù)據(jù)利用率管理至關(guān)重要。

總結(jié)與展望

大量數(shù)據(jù)托管在云中，云提供商必須向所有用戶保證其真實性和完整性。驗證多源數(shù)據(jù)的原點是一項挑戰(zhàn)。當數(shù)據(jù)以高速承載(例如來自數(shù)百萬傳感器的數(shù)據(jù))時，當大量用戶需要更具可擴展性的解決方案時，隨著時間的推移保持完整性將面臨更大的挑戰(zhàn)。對于這個問題，需要研究基于來源的解決方案和基于圖形的大數(shù)據(jù)完整性驗證模型。

最近，加密解決方案作為安全數(shù)據(jù)存儲和訪問控制的可行解決方案越來越受歡迎。一些加密技術(shù)在安全性、效率和可伸縮性方面具有吸引力，高級加密方案(如同態(tài)加密)以沉重的計算開銷為代價確保了強大的安全性。未來，在云部署模型和應(yīng)用于特定程序的需求方面，我們還需要就提高效率和可伸縮性開展更多的研究工作。

參考文獻

Z. Tari, X. Yi, U. S. Premarathne, P. Bertok and I. Khalil, "Security and Privacy in Cloud Computing: Vision, Trends, and Challenges," in IEEE Cloud Computing, vol. 2, no. 2, pp. 30-38, Mar.-Apr. 2015, doi: 10.1109/MCC.2015.45.