云时代，云应用程序编程接口(API)是服务交付、能力复制和数据输出的最佳载体。然而，云API在开放服务和数据的同时，增加了暴露面和攻击面，攻击者通过数据劫持和流量分析等技术获取目标云API的关键资源，能够识别用户的身份和行为，甚至直接造成背后系统的瘫痪。当前，针对云API的攻击类型繁多，威胁与防护方法各异，缺乏对现有攻击和防护方法的系统总结。该文梳理了云API安全研究中云API面临的威胁和防护方法，分析了云API的演化历程和类别划分；讨论了云API的脆弱性以及云API安全研究的重要性；提出了云API安全研究框架，涵盖身份验证、云API分布式拒绝服务(DDoS)攻击防护、重放攻击防护、中间人(MITM)攻击防护、注入攻击防护和敏感数据防护6个方面相关研究工作综述。在此基础上，探讨了增加人工智能(AI)防护的必要性。最后给出了云API防护的未来挑战和发展趋势。

• 单位
  中国科学院文献情报中心; 燕山大学