陳昊宇 涂山山 趙春曄 黃永峰

摘 要：云計算和分布式系統(tǒng)發(fā)展迅猛，云端的數(shù)據(jù)安全變得日趨重要。文中針對現(xiàn)有云安全框架進行了分析，并通過對底層云數(shù)據(jù)隱私安全的相關(guān)技術(shù)進行了比較，在Cloud Accountability Life Cycle模型的基礎(chǔ)上提出了可信任云框架；同時面對云端數(shù)據(jù)可能產(chǎn)生泄露的潛在威脅，指出在保證云安全的前提下，對云端可追溯數(shù)據(jù)進行審計是一種非常有效的方法，并提出對系統(tǒng)內(nèi)核日志的采集與分析，是確?？勺匪莸囊环N可信且穩(wěn)定的云安全審計模式。最后通過對比不同基于檢測控制的數(shù)據(jù)安全審計機制，分析各自的優(yōu)勢與存在的問題，并針對其中的不足進行了有效改進，對實現(xiàn)基于日志分析的云安全審計模式提供了可行性認證。

關(guān)鍵詞：云安全審計；可追溯數(shù)據(jù)；可信任云框架；日志分析

中圖分類號：TP309.2 文獻標識碼：A 文章編號：2095-1302（2016）06-0-05

0 引 言

云計算是當今最熱門的應(yīng)用和研究領(lǐng)域，其特性要求公司和個人用戶將自己私有資源的一部分甚至全部控制權(quán)移交給云服務(wù)提供商，這勢必引起用戶對數(shù)據(jù)安全的擔憂。向用戶完整可信地提供其私有數(shù)據(jù)的被操作狀態(tài)，可以有效解決雙方的信任問題。

針對以上潛在威脅，預防控制（Preventive Controls）被廣泛應(yīng)用（例如加密技術(shù)和基于ID分析的訪問控制）。這些方案有效提高了云環(huán)境中數(shù)據(jù)的安全性，但依然無法直觀地為用戶提供云服務(wù)信任證明，因此很有必要采取措施來提升云服務(wù)提供商的透明度、監(jiān)管力度和可信度。歐洲網(wǎng)絡(luò)與信息安全委員會在云計算風險評估報告里指出，云計算中最具有風險的一種表現(xiàn)是“監(jiān)管缺失”[1]。因此提出了檢測控制（Detective Controls）方案， 而對云端數(shù)據(jù)進行審計是檢測控制的一個重要體現(xiàn)。

盡管很多云服務(wù)提供商如亞馬遜[2]等認識到了審計對提高用戶信任度的重要性，但依然沒有能力對發(fā)生在物理和虛擬服務(wù)器上的數(shù)據(jù)進行審計。云計算研究小組（現(xiàn)云安全聯(lián)盟）意識到了這個問題，并在《云計算面臨的最大威脅》中提出7大風險[3]，指出對文件被使用情況進行追蹤，可有效降低云服務(wù)的信任風險，同時可自然運用于云安全審計的研究。

HP云安全實驗室在2010年提出“云計算的信任”這一概念，用以描述用戶對云環(huán)境的信任程度，并給出了影響云環(huán)境受信任度的因素。

（1）安全性[4，5]。使未授權(quán)用戶難以獲取越權(quán)信息的機制。

（2）隱私性[6，7]。防止個人信息泄露和丟失的保護措施。

（3）可信度[8，9]。勇于承擔達成共識及聲明的責任與義務(wù)。這一個因素也被很多組織所認同，例如OECD， APEC， PIPEDA等。

（4）審計性 [10]。系統(tǒng)或者環(huán)境的審計難易程度與相關(guān)的記錄保存和系統(tǒng)是否能提供高效的審計手段有很大關(guān)系，弱審計性可能沒有完整記錄保存或者無法提供有效審計，而高審計性則相反，能夠檢測出違反相關(guān)政策的行為。

預防控制能夠防止違法行為的持續(xù)發(fā)生，而檢測控制則能識別出違法行為的出現(xiàn)和相關(guān)安全風險。檢測控制很好地彌補了預防性控制的不足，本文將預防性控制和檢測控制有機結(jié)合，基于CALC（Cloud Accountability Life Cycle，CALC）模型[11]構(gòu)建一個有效且可信任的云安全審計框架，并與現(xiàn)有的基于日志的云安全審計解決方案進行分析對比。

1 可信任云安全審計框架

R.K.L Ko等人在2010年提出了CALC模型，指出了“可信云”的概念，本節(jié)將在CALC的基礎(chǔ)上提出新的可信云框架，并詳細論述框架間的邏輯關(guān)系和框架的組成元素。

1.1 CALC模型

云計算的發(fā)展給相關(guān)審計帶來了較高的復雜性。因此一個包含所有關(guān)鍵階段的流程就顯得特別重要，它可以簡化很多復雜問題，讓云安全審計的研究者們一目了然，并且可以幫助他們專注于某一階段進行更深入的研究，CALC模型的目的正在于此。CALC理論模型如圖1所示。

1.1.1 政策制定

云服務(wù)提供商必須決定日志采集對象以及哪些事件需要被日志記錄，這里有四種比較重要的信息：

（1）事件數(shù)據(jù)：一系列活動和相關(guān)信息；

（2）操作人員：發(fā)起操作事件（例如人或者網(wǎng)絡(luò)爬蟲）的對象；

（3）時間戳：事件發(fā)生的時間和日期；

（4）事件發(fā)生的物理和虛擬地址。

1.1.2 識別和追蹤

識別和追蹤階段的目的是識別云端的全部操作。審計工具對非法操作的識別和追蹤需要從底層系統(tǒng)的讀寫操作追蹤到分布在物理服務(wù)器上的虛擬端的高層工作流，同時包括云內(nèi)部網(wǎng)絡(luò)通信包 [12]。

1.1.3 記錄日志

以文件為中心的日志記錄需要在云端的虛擬和物理層進行，同時需要考慮日志在云內(nèi)的有效時間、日志的存儲位置和其他相關(guān)因素。

1.1.4 日志的安全儲存

在日志采集結(jié)束后，我們需要保護日志的完整性，即防止未授權(quán)者非法獲取或篡改日志信息，并需要引入數(shù)據(jù)加密及合理的備份機制。

1.1.5 報告及重現(xiàn)

報告工具由以文件為中心的日志總結(jié)、審計線索的報告、文件的獲取記錄以及文件在云內(nèi)的運行周期組成。所以報告可能包含多重因素，例如虛擬機和物理端的服務(wù)器歷史記錄，OS級別的文件讀寫等。

1.1.6 審計

審計員或者利益相關(guān)者對日志和報告進行審計，對可能的非法行為進行標注。如果可以實現(xiàn)自動化，審計的過程將具備“強制性”。自動且強制執(zhí)行的審計對于大數(shù)據(jù)容量的云環(huán)境十分適用，也使檢測非法行為變得更為有效。

1.1.7 優(yōu)化和修正

存在于云端的問題區(qū)域和安全漏洞在這一步被移除或者修正，相關(guān)控制和監(jiān)管得到進一步提升。

1.2 可追溯云安全審計系統(tǒng)

針對整個云審計框架中的一個或幾個環(huán)節(jié)，也有很多研究者提出了不同的解決方案。本文提出“可追溯”的云安全審計概念，該可追溯系統(tǒng)可通過記錄系統(tǒng)中發(fā)生的行為（包括文件、網(wǎng)絡(luò)或程序內(nèi)部），清楚地描述出云環(huán)境中的數(shù)據(jù)狀態(tài)?！翱勺匪菪畔ⅰ眲t被描述為與實現(xiàn)數(shù)據(jù)追溯相關(guān)的日志、參數(shù)、網(wǎng)絡(luò)包等信息?？勺匪菹到y(tǒng)可根據(jù)面向的云環(huán)境不同來決定安全審計的數(shù)據(jù)內(nèi)容，即通過獲取確定時間下的用戶、數(shù)據(jù)和行為等信息，并以此作為該云安全審計系統(tǒng)的數(shù)據(jù)源。在本文中，定義可追溯信息為在數(shù)據(jù)的整個操作序列中能夠描述數(shù)據(jù)被操作的情況和來源信息。

1.3 可信任云構(gòu)架

CALC描述了一個完整的日志審計過程并且描述了每個階段，但CALC更多的關(guān)注于模型的理論完整性。而可實現(xiàn)的云數(shù)據(jù)安全審計系統(tǒng)需要基于CALC模型進行細粒度構(gòu)建，使其具備可擴展性以及可操作性。正是基于此目的，本方案根據(jù)Ryan K L Ko等人提出的信任云框架[13]，提出了基于可追溯信息的云數(shù)據(jù)隱私安全審計框架，如圖2所示。

這個框架主要有內(nèi)外兩個主體共五部分。外部由法律條款和策略兩部分組成；內(nèi)部由系統(tǒng)數(shù)據(jù)挖掘?qū)印?shù)據(jù)儲存保護層、分析應(yīng)用層三部分組成。

1.3.1 法律政策

由于電子商務(wù)和云計算的發(fā)展，私人敏感數(shù)據(jù)的保護受到越來越多的重視，各國相關(guān)部門也意識到完善相關(guān)法律法規(guī)的必要性。相關(guān)法律涉及到數(shù)據(jù)的采集、處理、儲存和轉(zhuǎn)移等各種操作。毫無疑問，這些法規(guī)對日志數(shù)據(jù)同樣適用，日志信息的敏感性也應(yīng)受到保護。

相關(guān)法律規(guī)定了數(shù)據(jù)采集的內(nèi)容、目的、時間、手段、授權(quán)和行為界面等關(guān)鍵性問題。而任何組織和個人都必須在這些規(guī)定之下制定數(shù)據(jù)采集分析的策略。

1.3.2 云安全審計策略

為了實現(xiàn)基于日志采集的云安全審計，完整的實施策略是必要的。在框架的第一部分提到，法律法規(guī)約束了數(shù)據(jù)采集分析的行為，任何組織和個人在制定策略時都要充分考慮這些法律的約束。而這些約束通過策略又滲透進日志審計系統(tǒng)的三個層面。每個組織和個人都可以在法律的約束下選擇自己需要的策略，比如采集哪些能采集的數(shù)據(jù)，在安全的前提下儲存數(shù)據(jù)的方法等。

1.3.3 系統(tǒng)數(shù)據(jù)挖掘?qū)?/p>

可追溯系統(tǒng)框架最底的抽象層是系統(tǒng)數(shù)據(jù)挖掘?qū)?，在這一層我們需要知道在哪里能采集到有用的系統(tǒng)內(nèi)部數(shù)據(jù)，以幫助下一步的分析和審計，采集主要發(fā)生在以文件為中心的系統(tǒng)和云端內(nèi)部網(wǎng)絡(luò)中。

（1）文件系統(tǒng)

云計算技術(shù)讓人們不再把所有的注意力都放在公司內(nèi)的物理服務(wù)器上，而是將更多的注意力放在以文件為中心的系統(tǒng)上。日志數(shù)據(jù)的采集主要發(fā)生于此，在這里將記錄下任何人對文件的關(guān)鍵操作，例如打開、修改、關(guān)閉等。同時，可以從這些系統(tǒng)信息中獲取文件的虛擬和物理儲存地址、操作的人員以及時間等核心數(shù)據(jù)。

（2）云端內(nèi)部網(wǎng)絡(luò)

云數(shù)據(jù)系統(tǒng)的特性使得整個數(shù)據(jù)系統(tǒng)內(nèi)包含大量的網(wǎng)絡(luò)主機和主機間的網(wǎng)絡(luò)通信。這些網(wǎng)絡(luò)信息同樣包含了數(shù)據(jù)或文件的存儲、調(diào)用信息。因此采集和管理云環(huán)境內(nèi)的網(wǎng)絡(luò)信息也是十分必要的。

1.3.4 數(shù)據(jù)儲存和保護層

這一層將實現(xiàn)通過采集日志器采集底層數(shù)據(jù)，即文件系統(tǒng)和云端內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)，并保證它們被安全地儲存和備份，本方案將重點討論并設(shè)計日志采集器的兩種重要屬性，即可追溯性和一致性：

（1）可追溯性要求

對于歷史記錄的追蹤可以使用戶掌握其擁有數(shù)據(jù)真實的操作情況?？勺匪菪畔⒈徽J為是任何隱私和信任模型的基礎(chǔ)，所以提高云計算的可信度也依靠可追溯的信息。它可以幫助人們區(qū)別合法操作和非法操作。

（2）一致性要求

現(xiàn)在的云服務(wù)提供商幾乎很難保證數(shù)據(jù)一致性，對云計算服務(wù)來說能夠迅速響應(yīng)、恢復原始狀態(tài)、恢復數(shù)據(jù)和有效備份都是很重要的。保證數(shù)據(jù)的一致性則能幫助云服務(wù)提供商實現(xiàn)這些功能。

1.3.5 分析應(yīng)用層

收集數(shù)據(jù)和儲存完成之后，在分析應(yīng)用層需要對其進行分析以得到有效的數(shù)據(jù)。分析應(yīng)用層主要著眼于自動審計、云端碎片審計和服務(wù)審計3個方面。

（1）自動審計

基于云計算優(yōu)秀的計算能力，結(jié)合可信任云框架提供的對數(shù)據(jù)可靠性的保證，使自動審計有較高的可行性，這對云計算應(yīng)用于金融和商業(yè)領(lǐng)域是先決條件。但是在高度虛擬化的環(huán)境下持續(xù)實現(xiàn)審計功能是一項很復雜的工程，不僅要審計商業(yè)金融的邏輯還要審計應(yīng)用軟件。

（2）云端碎片審計

云端內(nèi)部會有很多像碎片一樣的文件，這些文件的修復和更新都需要被審計，尤其是互相關(guān)聯(lián)的文件需要更嚴格的審計以確保數(shù)據(jù)的有效性。

（3）服務(wù)審計

云計算服務(wù)是一個以服務(wù)為導向的層級結(jié)構(gòu)，而且每個服務(wù)都很容易得到復制，于是多個服務(wù)的組合也有較高的可行性。當每層的服務(wù)之間發(fā)生整合時，可信度就會變成一個未知數(shù)，所以對服務(wù)整合的審計也是必要的。

2 可追溯信息獲取與安全

對已有的研究成果進行分析，可以發(fā)現(xiàn)基于可追溯信息的數(shù)據(jù)安全解決方案有良好的可行性。針對文件系統(tǒng)不同層面的可追溯信息分析方案，體現(xiàn)出了不同的特性。通過分析已有的方案和工具，可以有效地實現(xiàn)云數(shù)據(jù)的“可追溯性”。

2.1 可追溯信息獲取

本節(jié)討論可追溯信息聚焦于以文件為對象的系統(tǒng)操作、云內(nèi)部的網(wǎng)絡(luò)通信以及應(yīng)用層的程序執(zhí)行信息。

2.1.1 文件系統(tǒng)

Muniswamy-Reddy等人提出了PASS以及基于其的改進方案PASSv2[14，15]。在PASS方案中，單一主機內(nèi)的可追溯信息通過攔截內(nèi)核級的系統(tǒng)命令獲取。在PASSv2中，可追溯信息的獲取被擴展到系統(tǒng)層、應(yīng)用層、中間件層等其它層。PASS對系統(tǒng)內(nèi)核的依賴性強，需要緊密集成到底層系統(tǒng)的內(nèi)核。而在網(wǎng)絡(luò)層，PASS則沒有提供相應(yīng)的功能。

認識到PASS方案對主機內(nèi)核的依賴，Macko等人采取不同的辦法[16]。他們通過修改Xen系統(tǒng)管理程序，收集來自客戶機的內(nèi)核級可追溯信息（例如在管理程序上運行的虛擬機）?？勺匪菪畔⒌氖占峭ㄟ^放在DomU上的一個攔截器從Xen的syscall_enter_mechanism系統(tǒng)調(diào)用指令攔截而實現(xiàn)的。但這種解決方案依然是面向獨立主機的，無法獲取云中主機間發(fā)生的通信行為。Zhang等人在理論層面討論了保證可追溯信息完整性和機密性對于整個審計方案的重要性[17]。

和以上幾種方式不同，Ryan K L Ko等人根據(jù)以數(shù)據(jù)為中心的思想，提出了S2Logger[18]和 Flogger[19]。對于Flogger來說，是記錄虛擬機和物理主機兩層的文件操作。因此，物理機與其各個虛擬機的文件操作都是相關(guān)聯(lián)的。S2Logger建立在Flogger的基礎(chǔ)之上，F(xiàn)logger只能獲取文件級的事件，S2Logger則可以對文件級和塊級進行捕獲。S2Logger通過關(guān)聯(lián)不同主機在發(fā)送和接收文件時讀取和寫入事件，能夠跟蹤數(shù)據(jù)在云數(shù)據(jù)中心中不同主機間的傳輸。

2.1.2 云內(nèi)部網(wǎng)絡(luò)通信

在這一層，可追溯信息獲取工具主要記錄網(wǎng)絡(luò)事件和網(wǎng)絡(luò)節(jié)點間的信息。

BackTracker[20]是一種監(jiān)測網(wǎng)路協(xié)議層入侵的工具，并能夠追蹤網(wǎng)絡(luò)中入侵行為的源頭主機。雙向分布式BackTracker（BDB）通過建立因果圖，分析獨立主機的事件追蹤入侵。這種因果圖被加工成一個來源圖向分析者提供一個事件序列以描述入侵的路徑。BDB需要網(wǎng)絡(luò)內(nèi)每臺主機都支持BDB工具。無監(jiān)視的主機則不能被追蹤。同時，BDB也不能防止對可追溯記錄的篡改。

2.1.3 應(yīng)用層

Singh等人提出一個讓追蹤程序檢查、記錄和分析的平臺[21]。這種平臺建立在P2[22]——分布式的算法發(fā)展系統(tǒng)上。這種方案通過一個運行在P2系統(tǒng)緩存上的追蹤器檢測和記錄。獲取的可追溯信息可以被一種查詢語言——OverLog查詢。這個平臺使程序員可以檢查和分析算法執(zhí)行錯誤、安全漏洞和識別錯誤。

Pip[23]提供給開發(fā)者一個注釋庫使得程序可以生成事件和定義資源。通過一種說明性的語言，開發(fā)者可以描述他們應(yīng)用的期望。通過期望和程序執(zhí)行追蹤記錄，Pip中間件檢查并報告異常行為。

E-notebook[24]被設(shè)計用來支持共享數(shù)據(jù)中的信任和責任。中間件直接連接與儀器匹配的工具軟件并報告未加工數(shù)據(jù)上下文的生成，也報告資料庫的變化。這些來源報告是模型化的有向無環(huán)圖，并且有用戶數(shù)字簽名，以證明數(shù)據(jù)的擁有者。通過使用一個基于規(guī)則的信任管理語言，可以設(shè)置一個信任模型，用戶可以基于自己的經(jīng)驗推薦其他用戶的信任等級。方案對于在應(yīng)用層檢查異常行為和追蹤、報告數(shù)據(jù)變化是有用的。但對于程序外部的行為則不能捕獲。所以，需要在多層進行信息采集使得對發(fā)生的事情分析更完整。

2.2 可追溯信息的可靠性

為解決可追溯信息安全問題，Zhou等人提出安全網(wǎng)絡(luò)來源（SNP）方案[25]，使用認證器防止可追溯信息被篡改。通過一套涉及認證器使用的認證規(guī)則，在各自節(jié)點確認發(fā)送和接收事件?？勺匪菪畔⒌囊恢滦酝ㄟ^比較不同節(jié)點的信息完成。從性能角度來說，SNooPy只能鑒定出網(wǎng)絡(luò)中的錯誤節(jié)點。SNP技術(shù)的原型——SNooPy被多種程序?qū)崿F(xiàn)。實驗表明因為認證器的接受、發(fā)送、驗證和標記，SNooPy產(chǎn)生大量的網(wǎng)絡(luò)通信和進程裝載。

Lyle等人[26]提出可以應(yīng)用信任計算的技術(shù)來解決可追溯信息可靠性問題。利用信任平臺模塊（TPM）來提供日志采集的可靠環(huán)境。但是使用這種技術(shù)最明顯的缺點就是運行速度慢，因為它要不斷地計算哈希值和加密措施。

Rosenthal等人[27]提出應(yīng)用“可追溯圖”來管理可追溯信息的方案，當圖中的任何節(jié)點遭到非法修改都需要迅速地將該點移出“可追溯圖”。

另外，Bonsai[28]也試圖利用電子簽名來更有效的實現(xiàn)可靠的可追溯信息儲存。

3 方案比較分析

3.1 可追溯信息獲取方案的對比

對以上各個層次的不同方案進行對比，本文認為從以下幾個方面評價可追溯信息獲取方案的優(yōu)劣較為準確、全面。

（1）跨主機追蹤：在分布式系統(tǒng)里，獲取網(wǎng)絡(luò)內(nèi)不同主機的可追溯信息，能夠準確描述系統(tǒng)中數(shù)據(jù)的狀態(tài)。

（2）低耦合性：可追溯信息獲取工具必須保證其在兩方面的通用性，一方面在不同應(yīng)用程序里可以不需要做改變就直接運行，另一方面在不同的平臺上也能正常運作。

（3）多級性：工具可以跨越系統(tǒng)的多個層次進行信息獲取。確保通過分析可追溯信息即能得到數(shù)據(jù)在系統(tǒng)中的真實狀態(tài)。在分析數(shù)據(jù)安全威脅的手段和來源方面尤為重要。

（4）安全機制：工具該具有保護數(shù)據(jù)安全的相應(yīng)機制。

（5）分析界面：工具應(yīng)該具有友好的用戶界面用于展示相關(guān)的數(shù)據(jù)分析，或能夠向下提供良好的接口。

結(jié)合以上幾點，我們將現(xiàn)有的方案進行了對比，具體如表1所列。

3.2 可追溯信息的安全機制

對于可追溯信息的安全機制，本文給出以下四個標準：

（1）保密性：由于可追溯信息的敏感性，記錄的保密性就顯的更為重要。要求任何未授權(quán)的人都無法查看信息。

（2）防篡改性：防篡改性意味著數(shù)據(jù)必須保持原始的一致性，不能受到任何篡改。如果被修改，必須有明顯記錄。

（3）穩(wěn)定性： 這一屬性要求保證管理者在任何時間段都能正確地獲得數(shù)據(jù)和分析。

（4）可靠性：這一屬性要求整個信息獲取過程是可信的。

結(jié)合以上幾點，我們將現(xiàn)有的方案進行了對比，具體如表2所列。

4 結(jié) 語

本文首先從宏觀上闡述了云安全體系的整個框架，分析了目前云安全存在的問題，并在CALC結(jié)構(gòu)基礎(chǔ)上提出了基于日志挖掘?qū)徲嫷目尚湃卧瓶蚣?，從框架的外部法律政策到?nèi)部的數(shù)據(jù)采集、儲存以及分析3個層面逐一給出了抽象的概念和相應(yīng)的研究重點。然后，本文從技術(shù)層面討論了實現(xiàn)內(nèi)部的數(shù)據(jù)采集，儲存和采集模塊的相應(yīng)方案，通過分析現(xiàn)有的數(shù)據(jù)采集來分析系統(tǒng)優(yōu)缺點，提出可追溯云安全審計系統(tǒng)應(yīng)采取基于系統(tǒng)日志的挖掘分析手段。最后針對云隱私數(shù)據(jù)審計的安全性，結(jié)合政策設(shè)置和技術(shù)實現(xiàn)本文提出的可信任的云安全審計系統(tǒng)準則，為接下來實現(xiàn)云數(shù)據(jù)安全審計的具體方案提供理論支持。

參考文獻

[1]林闖，蘇文博，孟坤，等.云計算安全：架構(gòu)、機制與模型評價[J].計算機學報，2013，3（9）：1765-1784.

[2] N Sinha，L Khreisat.Cloud computing security， data， and performance issues[C].Wireless & Optical Communication Conference， 2014.

[3] Cloud Security Alliance.Top Threats to Cloud Computing， 2015[EB/OL]. https：//cloudsecurityalliance.org/topthreats.v.1.0.pdf

[4] J.Brodkin，Gartner：Seven cloud-computing security risks[Z]. Infoworld， 2008： 1-3.

[5] Shaozhang Niu，Shanshan Tu， Yongfeng Huang. An effective and secure access control system scheme in the cloud computing[J].Chinese Journal of Electronics， 2015，24（3）： 524-528.

[6] S. Pearson.Taking account of privacy when designing cloud computing services[C]. Proc. 2009 ICSE Workshop on Software Engineering Challenges of Cloud Computing，IEEE Computer Society， 2009： 44-52.

[7]馮朝勝，秦志光，袁丁.云數(shù)據(jù)安全存儲技術(shù)[J].計算機學報， 2015，38（1）：150-163.

[8] A. Haeberlen.A case for the accountable cloud[J].ACM SIGOPS Operating Systems Review，2010，44（2）：52-57.

[9]馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報， 2011，22 （1）：71-83.

[10] Tuesheng Tan，Chao Wang.Trust Evaluation Based on User Behavior in Cloud Computing[J].Microelectronics and Computer， 2015，32（11）：147-151.

[11] R.K.L. Ko， B.S. Lee，S. Pearson.Towards Achieving Accountability， Auditability and Trust in Cloud Computing[C]. Proc. International workshop on Cloud Computing： Architecture， Algorithms and Applications （CloudComp2011）， Springer， 2011： 5.

[12] W. Zhou，M. Sherr，T. Tao，et al.Efficient querying and maintenance of network provenance at internet-scale[C].Proc. 2010 International Conference on Management of Data （SIGMOD 2010）， ACM， 2010： 615-626.

[13] Ryan K L Ko， Peter Jagadpramana， Miranda Mowbray， et al. TrustCloud： A Framework for Accountability and Trust in Cloud Computing[C]. 2nd IEEE Cloud Forum for Practitioners （IEEE ICFP 2011）， Washington DC， USA， July 7-8， 2011.

[14] M. N. Alpdemir，A. Mukherjee，N.W.Paton，et al.Contextualised Workflow Execution in my Grid[C].European Grid Conference Lecture Notes in Computer Science， 2005.

[15] K.-K.Muniswamy-Reddy，D.A.Holland，U.Braun，etal. Provenance-aware Storage Systems[C].Conference on USENIX06 Annual Tech-nical Conference （ATEC06）， 2006.

[16] P.Macko，M. Chiarini，M.Seltzer.Collecting Provenance via the Xen Hypervisor[C].USENIX Workshop on Theory and Practice of Prove-nance （TaPP11）， 2011.

[17] O. Q. Zhang，M. Kirchberg，R. K. L. Ko， et al. How to Track Your Data：The Case for Cloud Computing Provenance[C]. IEEE 3rd In-ternational Conference on Cloud Computing Technology and Science （CloudCom11）， 2011.

[18] C. H. Suen，R. K. L. Ko，Y. S. Tan， et al.S2Logger： End-to-End Data Tracking Mechanism for Cloud Data Provenance[C].The 12th IEEE International Conference on Trust， Security and Privacy in Computing and Communications （Trust-Com13）， 2013.

[19] R. K. L. Ko，P. Jagadpramana，B. S. Lee.Flogger：A File-centric Logger for Monitoring File Access and Transfers with Cloud Computing Environments[C].IEEE International Workshop on Security in e-Science and e-Research （ISSR11）， in conjunction with IEEE TrustCom11， 2011.

[20] S. T. King，P. M. Chen.Backtracking Intrusions[C].The 19th ACM Symposium on Operating Systems Principles （SOSP03）， 2003.

[21] A. Singh，P. Maniatis，T. Roscoe， et al.Using Queries for Distributed Monitoring and Forensics[C].The 1st ACM EuroSys European Conference on Computer Systems （SIGOPS06）， 2006.

[22] B. T. Loo，T. Condie，J. M.Hellerstein，et al.Implementing declarative overlays[C].The 20th ACM Symposium on Operating Systems principles （SOSP05）， 2005.

[23] P. Reynolds，C. Killian，J. L. Wiener，et al.Detecting the Unex-pected in Distributed Systems[C].The 3rd Symposium on Networked Systems Design and Implementation （NSDI06）， 2006.

[24] P. Ruth，D. Xu，B. Bhargava，et al.E-notebook Middleware for Accountability and Reputation Based Trust in Distributed Data Sharing Communities[C].The 2nd Intenational Conference on Trust Management. iTrust 04， 2004.

[25] W. Zhou，Q. Fei，A. Narayan， et al.Secure Network Provenance[C].The 23rd ACM Symposium on Operating Systems Principles （SOSP11）， 2011.

[26] J. Lyle，A. Martin.Trust Computing and Provenance： Better Together[C].The 2nd Conference on Theory and Practice of Provenance （TaPP10）， 2010.

[27] A.Rosenthal，L. Seligman，A.Chapman，et al.Scalable Access Controls for Lineage[C].First Workshop on Theory and Practice of Provenance （TAPP09）， 2009.

[28] A.Gehani and U.Lindqvist. Bonsai： Balanced Lineage Authentication[C].The 23rd Conference of Computer Security Applications （ACSAC07）， 2009.