基于云存储网关的密文访问控制性能优化关键技术研究

With the rapid development of the cloud-storage technique, data security has been widely researched in both industry and academia. Most users want to employ cloud storage service without destroying the original security of data. Giving the data protecting requirement in cloud-storage, researchers begin to use cryptographic access control scheme for protecting data security while the data is storing and sharing online. However, applying this scheme in cloud-storage will evidently increase user’s cost, especially when large-scale data sharing, frequent access and centralized data access. We research on key techniques of improving the usability of cryptographic access control assisted by cloud storage gateway, which improving the efficiency of access control by keys distribution promotion, reducing the overhead of re-encryption by policies revocation optimization, and exploiting the data access locality by cloud storage gateway. We research is heading for building an efficient cryptographic access control assisted by cloud storage gateway, which can promote the development of data protection in cloud storage.

随着云存储技术的快速发展，数据安全问题得到了产业界和学术界的广泛关注，大部分用户希望在不损害数据原有安全性的前提下使用云存储服务。针对这一需求，研究者提出了密文访问控制机制来保护数据在云端存储和共享过程中的安全。然而，当数据共享规模大、访问权限变更频繁、数据访问局部性明显时，采用密文访问控制机制会明显增加用户访问云存储的延时。本项目研究基于云存储网关的密文访问控制性能优化技术，通过优化密钥分发过程降低数据共享访问开销，采用重加密优化技术减少访问权限变更频繁对性能的影响，借助云存储网关来利用数据访问的局部性，最终实现基于云存储网关的高效密文访问控制机制。本项目研究的密文访问控制性能优化技术，可望对云存储数据安全防护的理论发展和应用实践有所贡献。

本项目针对云存储数据安全问题，研究基于云存储网关的高效数据安全防护方法。该方法主要基于密文访问控制模型，从多个方面对密文访问控制的效率进行了优化。首先，项目研究提出了适合云存储网关应用场景的高效密钥分发管理技术。该技术在现有CP-ABE算法的基础上构造了符合密钥分发的新算法CP-ABE NM，CP-ABE NM引入“非”属性来支持非单调访问控制结构，从而减少用户属性调整带来的密钥管理开销。其次，项目研究提出了替代重加密的重加密优化方式，降低了数据重加密开销。替代重加密技术在重加密需求较为频繁时，能够有效提升整个密文访问控制系统的性能。最后，项目研究了数据所有者可感知的可信云存储网关构建技术，设计了基于第三方审计的云存储网关动态可信保障框架，提出了基于虚拟机自省的云存储网关监控技术。本项目研究的密文访问控制性能优化技术，能够推动云存储数据安全防护的理论发展和应用实践，部分研究成果已在实际生产系统中得以应用。.本项目按照研究计划推进研究工作，完成了项目拟定目标，在高效密钥分发管理、重加密优化、可信云存储网关构建等方面取得了多个关键技术突破。本项目共在国内外学术期刊、学术会议上发表学术论文8篇，其中SCI检索1篇、EI检索7篇，取得软件著作权1项。协助培养博士研究生3人，其课题均是本项目的延伸拓展。