密文数据重删系统的可控共享理论及应用

Deduplication technique removes redundancies and stores a single copy of data for storage efficiency. Since redundancies are removed, multiple logical files must share the unique data after deduplication, which raises a challenge on the sensitivity of the shared data. How to perform deduplication on ciphertext has thus become a hot research topic in security community. This project aims to address the dynamic access control on the data after deduplication, and includes the following research contents: 1. Define security models for dynamic access control in deduplication storage; 2. Design deduplication-aware dynamic access control techniques, which are provable secure under the security models; 3. Build deduplication storage prototype that supports dynamic access control. The achievements will address the controlled sharing problem in deduplication storage, and fill in a gap in information security. The provided system prototype is superior to existing encrypted deduplication systems in both access control functionality and storage efficiency.

数据重删技术是指通过删除冗余数据而只存储唯一数据，以达到节省存储空间的目的。由于冗余数据被删除，多个逻辑文件须共用重删后的数据，这种存储模式强调了被共用数据的敏感性。因此，通过面向密文数据的重删来保护数据隐私，成为信息安全领域的一个研究热点。本课题在密文数据重删的基础上，提出并拟解决重删后数据密文的动态访问控制问题，其研究内容包括：1. 通过可证明安全的方法，建立重删后密文数据的访问控制安全模型；2. 设计面向数据重删的动态访问控制方案，并证明其在所定义安全模型下的安全性；3. 搭建支持数据重删的安全共享原型系统，通过实践验证所设计方案的实用性。本课题的研究成果将解决数据重删系统的可控共享问题，填补目前信息安全领域的一个研究空白；所提供的原型系统将对现有的密文重删应用系统做出访问控制功能的补充和存储效率的提升。

重复数据删除是一种通过消除重复副本来降低存储开销的数据压缩技术，加密重复数据删除进一步增加了一层加密操作，以保护外包存储数据的隐私。现有的加密重复数据删除研究仅仅考虑单用户的数据保护，缺乏对数据共享，尤其是由数据所有者可控的访问控制策略的支持。.本项目研发了首个支持动态访问控制的加密重复数据删除系统REED（REkeying-aware Encrypted Deduplication system）。REED设计突破了如下关键技术：（1）基于相似性的密钥生成技术，解决了密钥生成的效率瓶颈问题；（2）兼容密钥高效更新的加密技术，实现了（密钥更新时）密文的高效重加密；（3）动态访问控制技术，实现了访问策略的懒惰更新。在本地1Gb/s网络环境下，REED能够达到百兆级数据存储和读取速率，以及针对GB级文件的秒级访问权限更新速率；面向真实的备份数据集，保持超过97%的存储空间节省比率。.REED的主要应用场景为云存储服务，可为服务商提供端到端数据加密框架，以及兼容该框架的动态访问控制和重复数据删除功能。通过动态访问控制，解决用户对共享云数据的安全性的担忧；通过重复数据删除，降低云服务商的存储维护成本。REED将从安全和成本两方面分别吸引用户和服务商，对推动外包存储产业发展具有积极意义。目前，REED已经开放源代码（见https://jingwei87.github.io/software/reed/index.html），可作为学术研究的效率测试平台，也可作为工业界二次开发的底层参考原型。