根据卡耐基梅隆大学 CERT(Computer Emergency Response Teams)研究中心的定义,内部威胁是指一个或多个现在或以前的公司员工、外包商或合作伙伴,具有对网络、系统或数据的访问权限,故意滥用或误用自己的权限损害公司信息或信息系统的保密性、完整性及可用性。根据国际云安全联盟CSA(Cloud Security Alliance)的报告,恶意内部人员(Malicious Insiders)威胁是云计算模式面临的最严重的十二大安全风险之一。数据所有权和管理权的分离是云计算模式的本质特征,即用户将数据迁移到云平台上,需要借助云计算平台实现对数据的管理。云计算模式的引入除了面临传统内部攻击威胁外,还面临着很多新的安全问题和挑战,如具有特权的云平台内部管理人员。当云管理员客观上具备偷窥和泄露用户数据和计算资源的情况下,如何保障用户的权益,成为一个极具挑战的问题。因此,云计算模式下内部威胁的研究和防御变得尤为重要,也是近年来学术界和工业界共同关注的热点。本论文研究了云计算模式内部威胁防御技术,通过构造可实际操作的云计算模式内部攻击实例,使攻击与防御相结合,更有效地防护云计算模式内部人员作恶。本文首先系统分析和总结了云计算模式下内部威胁的类型、特点,并针对真实的云平台构建和实施切实可行的内部威胁攻击实例。为防御云计算模式内部威胁,本文引入用户可信任的访问代理,分别从用户和云管理员的角度对云计算平台中的用户数据进行保护,其中访问代理透明地位于云应用程序和用户之间,不向外部泄露任何用户信息。从用户的角度来说,数据加密及密文搜索技术是防御云计算模式内部威胁的有效途径。对于实际的云应用程序,当前密文搜索方案在实用性上还存在诸多挑战,如搜索功能固定且单一,搜索过程泄露一定的明文信息,需要对云服务程序作修改和定制等。本文首先系统分析了当前密文搜索研究的架构、面临的挑战和信息泄露模式,并针对总结的信息泄露模式构建新型的可实际操作的密文搜索攻击。在此基础上,本文分别设计实现了云服务端执行和访问代理执行的密文搜索方案,提高安全性、效率和可实用性,并提供多种高级搜索功能。从云平台管理人员的角度来说,通过引入访问代理细粒度划分管理人员权限,分离职责;非侵入式记录和管控云平台管理人员的操作行为,并保证收集的数据可信,以用于审计。全文研究内容主要包括云计算模式内部威胁综述、基于已知部分信息的新型密文搜索攻击、云服务端执行的可实用对称密文搜索方案,基于访问代理的数据加密及密文搜索方案,以及云平台管理人员操作行为记录、管控与审计技术五部分。本文的主要工作如下:在云计算模式内部威胁综述方面,本文系统分析和总结了云计算模式下内部威胁的类型、特点,分析了云计算模式面临的新的安全问题和挑战,并针对真实的云平台构建和实施切实可行的内部威胁攻击实例,实例中云管理员利用自己的特权窃取用户的数据隐私,展示了云平台客观存在的可利用安全风险以及典型攻击方法。在此基础上,通过梳理相关研究工作,本文总结了三类应对云计算模式内部威胁的主要技术路线,即:人员评价与行为分析;云管理权限划分和执行时验证;用户可控的数据加密及密文搜索相关技术。针对每一类技术路线,深入分析了其主要原理、关键技术、存在的挑战和产业实用性。最后给出了云计算模式下内部威胁的重要研究点。在基于已知部分信息的新型密文搜索攻击方向上,本文针对典型的密文搜索技术,归纳出不同的信息泄漏模式,并根据信息泄露模式设计相应的密文搜索攻击算法。当前的密文搜索攻击研究往往需要掌握目标文档的所有信息,才能准确推测出密文搜索中查询陷门所代表的明文关键字,这在正常情况下是不现实的。而当攻击者只有部分目标文档知识时,其攻击成功率很低。本文设计了新型的基于已知部分信息的攻击算法,其中攻击者只需要对目标文档有部分的了解,就可以准确推测出密文查询所对应的明文信息,从而更具有可实际操作性。本文结合真实的邮件数据,对攻击算法进行了评估,实验结果证明了攻击算法的有效性。在云服务端执行的可实用对称密文搜索方案上,本文首先给出密文搜索的安全定义和对密文搜索方案的推理攻击,然后设计了一个云服务端执行的可实用对称密文搜索方案,称为IDCrypt。IDCrypt体系架构在云服务端部署了一个用于对密文进行搜索的服务程序,该服务程序可以借助于成熟的基于倒排索引的搜索引擎来实现,无需修改或定制云应用程序,从而提高了密文搜索的实用性,易于部署。IDCrypt的密文搜索方案具有可证明的高安全强度,可有效防御对密文搜索的攻击;并利用真实的邮件数据进行攻击实验,对比传统密文搜索方案证明了其安全强度。本文进一步指出多用户场景下搜索加密数据所面临的问题,并设计令牌调整搜索方案使用户可在不同密钥加密的多个索引上进行搜索。在基于访问代理的数据加密及密文搜索方案上,本文基于云访问安全代理(CASB,Cloud Access Security Broker)技术设计了 一种访问代理执行的密文搜索方案,可以在访问代理的倒排索引结构中实现多种高级搜索功能,支持访问代理中的多用户交互,可适配多种云应用程序,且具有很高的效率和安全性。本文对比传统的密文搜索方案从功能性、效率性和安全性等方面分析了访问代理执行的密文搜索方案,研究如何在访问代理上进行索引构建、查询解析和搜索请求执行等。然而,并不是把密文搜索的体系结构一改,所有问题就都天然解决了。随着向真实部署和实用迈进,本文指出了访问代理执行的密文搜索在实际应用中面临的一些重要问题,例如如何安全高效地分享索引和密文等,并设计了相应的解决方案和原型系统。在云平台管理人员操作行为记录、管控与审计技术方面,本文引入访问代理对云平台的操作行为进行持续实时地记录、管控和审计。所有访问云平台内资源或数据的操作行为都要经过访问代理仲裁,在访问代理处经过认证后方能单点登录到相关的资源或数据,从而避免访问认证上的混乱,做到统一管控,并防止内部管理人员绕开认证系统实施恶意行为。登录访问代理认证系统后,所有对云平台资源或数据的操作都要详细记录,并基于云平台管理人员操作的分级机制对危险操作和越权操作进行预警和阻断。利用记录数据对用户行为作审计,提出了基于操作频率分析的用户识别算法。通过对真实数据的实验仿真可知,此算法可有效检测用户行为是否异常。在工程实现方面,本文实现了基于访问代理的数据加密及密文搜索方案的关键技术和体系架构,完成了原型系统,并测试了其性能。其设计方案申请并获得了多项国家专利授权;完成了云平台管理人员操作行为记录、管控与审计技术的总体架构和原型系统。