?1、緒  論

云計算是分布式計算技術的一種，其最基本的概念是透過網絡將龐大的計算處理程序自動拆分成無數個較小的子程序，再交由多部服務器所組成的龐大系統經搜尋、計算分析之后將處理結果回傳給用戶。云計算的架構如下所示：

隨著云計算逐漸成為主流，云安全也獲得了越來越多的關注，本文主要介紹云計算面臨的威脅主要包含數據丟失、數據泄漏等安全風險，以及應對這些風險的主要措施。

2、云計算面臨的主要安全問題

2.1濫用和惡意使用云服務

攻擊者使用合法的云服務來從事非法活動。例如，他們可能使用云服務在GitHub之類的網站上托管偽裝的惡意軟件，發(fā)起DDoS攻擊，分發(fā)網絡釣魚電子郵件、挖掘數字貨幣、執(zhí)行自動點擊欺詐或實施暴力攻擊以竊取憑據。

2.2數據泄露

數據泄露是最嚴重的云安全威脅，一些云計算供應商在同一實體服務器上存儲不同客戶的數據，因此，客戶A可能運行在一個“虛擬機”上，客戶B運行在另一個上，但是所有客戶實際上運行在同一個實體服務器上。因此，當黑客獲取了客戶A的訪問權時，也可能獲得客戶B的數據。

用戶的數據也容易泄露給同樣服務商的其他客戶手中，但是又沒有有效的方法跟蹤有關數據泄露路徑和身份盜竊記錄，增加事后追蹤的難度。

云計算依托的基礎就是海量的數據，只有在大型數據中心才能發(fā)揮它的作用，如果海量數據泄露，就會造成很大的損失。

2.3共享技術漏洞

很多用戶在同一時間共享相同的技術，一般會有一個中介連接來賓操作系統和物理接口。所有的用戶位于該管理程序的頂層，因此若系統管理程序的安全性受到傷害，整個云計算將會受到影響[1]。

2.4不安全的應用程序接口

每個云都有自己的API，需要在使用這云服務之前安裝API。而這些API容易受到DDOS等不同類型的攻擊。

2.5賬戶、服務和通信劫持

隨著網絡釣魚攻擊變得更有針對性，攻擊者獲得高特權賬戶訪問權的風險非常大，除此之外，攻擊者還可以通過入侵云服務等各種手段來劫持賬戶、服務和通信。一旦攻擊者成功劫持，就可能造成嚴重破壞，包括盜竊或破壞重要數據，終止服務交付或財務欺騙。

2.6惡意內部人員

內部人員可以是現任或者是前任員工，承包商或可信賴的業(yè)務合作伙伴，以及無需突破公司安全防御即可訪問其他系統的任何人，他們?yōu)E用數據，可以很容易將信息泄露給其他競爭業(yè)務方。

3、云計算安全防范

除了上文提到的安全風險外，還有許多未知風險。而這些風險的防御研究也成為云計算領域重要的研究方向之一。

Xian Ou介紹了一種云訪問安全代理技術（CASB）來解決用戶使用云計算服務時的安全問題，CASB主要做四件事情：發(fā)現公司正在使用什么云應用程序；保護數據；防御威脅；確保合規(guī)。針對不同用戶的業(yè)務系統和不同的云計算平臺，針對性的實施安全策略，檢測和防止未經授權的行為，來保證云計算服務的安全[2]。

P.Ramesh Naidu等人介紹了一種傳輸的加密框架——高可用性和完整性層（HAIL），并回顧了正在進行的單云、多云安全識別的檢查，研究發(fā)現，對使用多云供應商進行安全保障的審查比使用單一云供應商進行安全保障的審查得到的考慮要少，也就意味著推進多云的利用，因此這能減少影響分布式計算客戶端的安全威脅[3]。

Hossein Abroshan等人提出了一種使用對稱和非對稱加密算法來提高云計算安全性。他們認為復雜的密碼算法在云計算中沒有什么幫助，因此使用改進的Blowfish算法與基于橢圓曲線的算法相結合，Blowfish用于加密數據，橢圓曲線算法用于加密密鑰，除此之外，還采用了數字簽名技術來保證數據的完整性[4],實驗結果表面，他們的方法在吞吐量、執(zhí)行時間和內存消耗參數都得到了改進。

Beak Joosang等人考慮了可撤銷的基于屬性的加密方案的一個新的安全要求：完整性，提出了具有數據完整性保護的可撤銷屬性加密RABE-DI方案，并且在定義的安全模型下證明了這個方案的保密性和完整性，并給出了結果和性能評估，結果表明該方案是有效的[5]。針對外包加密數據的共享，基于屬性的代理重加密ABPRE方案是一種代表性的方案，但是此方法不支持實現可驗證性和公平性的機制，Beak Joosang還提出了一種新的可驗證的、公平的基于屬性的代理重加密VF-ABPRE方案來支持可驗證性和公平性。可驗證性讓共享用戶能夠驗證服務器返回的重新加密的密文是否正確，公平性能夠讓云服務器確認誠實進行了重新加密操作來避免惡意指控[6]。實驗結果表面，新的方案是有效的。

Jian Shen等人利用代理重加密算法和無關隨機訪問存儲器提出了一種隱私保護的不可跟蹤的云計算數據共享方案，組成員和代理通過密鑰交換階段獲取密鑰，必要的時候可以抵制多方串通，通過代理重加密階段獲得的密文可實現組成員的訪問控制和數據存儲來實現數據的安全共享。除此之外，他們通過二叉樹中的單項循環(huán)鏈接表和混淆操作實現了數據的不可追溯性和隱藏的數據訪問模式。根據其設計的結構和指針元組，可識別惡意用戶，防止數據篡改[7]。根據實驗結果表面。他們的方案是有效的。

Shahzadi Shumaila[8]等人通過使用保護的方法和途徑來減少安全的風險來確保數據得到最大程度的保護。他們采用自適應神經網絡控制模糊系統解決云計算中不安全、有風險的任務。針對這些數據，采用Sugeno控制方法解決隨機性帶來的不確定性，ANFIS根據當前場景識別輸入參數，對數據進行模糊化處理，并將其集成到知識庫中。他們從云構建的角度評估云安全問題推導出云安全問題的一個明確的細節(jié)和關鍵點，這些都應該被任何擬議的安全策略所確認，實驗結果也表明，基于ANFIS的參數非常適合識別云層條件下的奇異物，Sugeno隸屬函數的性能也得到了較好的結果，保證了數據的計算效率和精度。

A.Savita等人提出了一種安全機制來保持數據的機密性，該方法結合了乘法同態(tài)加密算法和數據的垂直碎片。他們利用現有的工作測試了基于加密延遲、通信延遲和查詢處理延遲的方案，實驗結果表明他們的方法優(yōu)于現有的方法[9]。

Rashi Saxenal[10]等人也針對云計算面臨的一些安全威脅提出了建議，他們認為初始注冊、信用卡監(jiān)視和網絡流量監(jiān)視可以幫助緩解非法使用云計算這個問題；針對不安全的互聯網連接，可以在指定的嚴格條件下，允許監(jiān)視訪問控制和身份驗證；通過連鎖管理，實現安全違規(guī)通知系統和報告系統來防范入侵者；通過加密和解密機制，以及監(jiān)控文件備份和強密碼來防止數據丟失；通過理解安全策略，在客戶和供應商之間實現一些想法，實施確認機制，并提供確保系統完整性的方法來解決賬戶、服務和流量劫持問題；在處理DoSA問題時，可以使用入侵檢測系統（IDS）；可以通過強身份驗證和訪問控制來識別多租戶性質這種危險的行為；關于日志和數據以及檢測和報警系統的明確信息可以幫助避免進行風險評估；通過過濾技術停止SQL注入攻擊等多種方案。

4、總  結

低廉的計算成本和靈活的配置能力使得云計算得到廣泛關注，但是云計算中的虛擬化、資源共享等技術也帶來了許多安全問題，這也引起了人們的注意。雖然到目前為止，云計算的許多安全保護問題取得了較好的研究成果，但是仍然存在很多有待解決的問題，因此我們還需要不斷提高保護技術并提出更多新的安全有效的方案。

參考文獻

[1]H. Jelodar and J. Aramideh, "Common techniques and tools for the analysis of open source software in order to detect code clones: A study," International Journal of Electronics Information Engineering, vol. 1, no. 2, pp. 64-69, 2014.

[2]Ou Xian. Research on data access security agent technology in cloud computing security[J]. Journal of Physics: Conference Series,2020,1693(1).

[3]Ramesh Naidu P.,Guruprasad N.,Dankan Gowda V. A High-Availability and Integrity Layer for Cloud Storage, Cloud Computing Security: From Single to Multi-Clouds[J]. Journal of Physics: Conference Series,2021,1921(1).

[4]Hossein Abroshan. A Hybrid Encryption Solution to Improve Cloud Computing Security using Symmetric and Asymmetric Cryptography Algorithms[J]. International Journal of Advanced Computer Science and Applications (IJACSA),2021,12(6).

[5]Ge, Chunpeng & Susilo, Willy & Baek, Joonsang & Liu, Zhe & Xia, Jinyue & Fang, Liming. (2021). Revocable Attribute-Based Encryption With Data Integrity in Clouds. IEEE Transactions on Dependable and Secure Computing. PP. 1-1. 10.1109/TDSC.2021.3065999.

[6]Ge, Chunpeng & Susilo, Willy & Baek, Joonsang & Liu, Zhe & Xia, Jinyue & Fang, Liming. (2021). A Verifiable and Fair Attribute-Based Proxy Re-Encryption Scheme for Data Sharing in Clouds. IEEE Transactions on Dependable and Secure Computing. PP. 1-1. 10.1109/TDSC.2021.3076580.

[7]Shen, Jian et al. “A Privacy-Preserving and Untraceable Group Data Sharing Scheme in Cloud Computing.” IEEE Transactions on Dependable and Secure Computing 19 (2022): 2198-2210.

[8]Shahzadi Shumaila,Khaliq Bushra,Rizwan Muhammad,Ahmad Fahad. Security of Cloud Computing Using Adaptive Neural Fuzzy Inference System[J]. Security and Communication Networks,2020,2020.

[9]Savita, A. and Vasanth. “Security Framework for Cloud Computing using Fragmentation and Homomorphic Encryption.” (2019).

[10]Saxena Rashi,Gayathri E.. A study on vulnerable risks in security of cloud computing and proposal of its remedies[J]. Journal of Physics: Conference Series,2021,2040(1).