私有云间协同安全的数据保护关键问题研究

As an important deployment model in cloud computing, private cloud has been widely used in recent years. Nowadays, collaboration security has become an import fact that hinders the further application and development of private cloud, and the data protection problem is the most important problem in collaboration security. Up to now, in the research field of data protection of collaboration security, there still exists a lot of important problems needed to be resolved. In view of this, we shall study the following key problems in the data protection of collaboration security: （1） how to resolve the data exchange problem for collaboration security, by using the conditional proxy re-encryption without bilinear pairings in the adaptive corruption model; (2) how to realize the fine-grained data access control for collaboration security in private cloud; (3) how to realize the data privacy protection for collaboration users in private cloud, via the homormorphic data privacy protection mechanism. This project will concentrate on the resolve of the above problem via trust third party, single point of access and data mapping access, and conditional proxy re-encryption mechanism. The research result in this project not only benefits the further wide application of the private cloud deployment model, and also can be reference to the resolve of security problem for other cloud computing deployment models such as public cloud and hybrid cloud.

私有云作为云计算的一种重要部署模式，近年来得到了广泛的应用。目前协同安全问题已成为制约私有云进一步应用和发展的重要因素，而数据保护问题是私有云间协同安全中最基础的问题。目前在私有云间协同安全的数据保护研究领域还存在大量亟需解决的研究问题。鉴于此，本项目将针对私有云间协同安全中的如下数据保护关键问题展开研究：（1）研究如何利用自适应攻陷模型下无需双线性配对的条件代理数据重加密来解决私有云间的协同安全数据交换问题；（2）研究如何实现私有云间具有细粒度控制能力的协同安全数据访问控制；（3）研究如何利用同态数据隐私保护机制来实现私有云间协同用户数据隐私的保护问题。本项目将重研究通过可信第三方、单点访问和数据映射访问、以及条件代理重加密等技术来解决上述问题。本项目的研究成果将能促进私有云部署模式的进一步广泛应用，也将为解决公有云和混合云等其他云计算模式的安全问题提供参考价值。

对私有云协同安全的数据保护关键问题进行了研究，并取得了一系列研究成果。这些研究成果具有一定的理论和应用价值, 完成了本项目的预期研究任务, 达到预期研究目标和成果。在国内外期刊和会议发表45篇论文, 其中33篇被SCI、EI收录; 获得授权专利4个，申请专利5个；获得广东省科学技术二等奖一项，广州市科学技术二等奖一项；培养博士、硕士研究生10人。.提出了基于身份的分层加密方案，并在此基础上构建了协同安全数据交换方案。该方案具有较低计算费用和通信费用；提出了能抵抗选择密文攻击，同时具有机密性和匿名性的基于身份加密方法。该方法的公钥参数、私钥长度和解密计算量均为常量，且具有很好的鲁棒性；此外，为了验证云端的数据完整性和完备性，提出了多维数据查询结果的验证方案，打破了传统跳表只用于一维数据验证的局限，实现了多维数据完整性的验证。同时，还利用聚集技术与跳表结合，使验证证据的大小为常数，解决了目前大多数验证模型的验证证据都不是常数的问题。.提出了一系列高效的条件代理重加密和属性加密方法，并基于这些方法构造协同数据访问控制方案。这些方案能够支持外包加密解密运算，从而提高了用户端的加密解密速度，解决了属性加密、代理重加密等在移动云端的可用性问题；为了构建访问控制中的数据映射关系，提出了一种密钥聚合加密方法，将多个密钥聚合为一个单密钥，用户使用该密钥可以解密相应的多个加密文件，有效地简化了用户密钥管理，实现了私有云环境下的协同数据安全共享；此外，对叛逆者追踪进行了研究，并将叛逆者追踪技术引入私有云的访问控制中，加强私有云间协同数据访问控制的安全性。.著名的SARG04协议可用于查询应用，但易于受数据伪造攻击，从而会造成用户隐私泄漏。我们提出的保护隐私查询协议克服了SARG04协议中的用户隐私泄漏缺点，且具有更低的通信费用；提出了满足语义安全、能够同时保护原始数据隐私和查询隐私的解决方案；提出了一个基于理想格的高效多用户公钥加密检索方案。该方案具有高的效率，并且能够抵抗量子攻击。此外，提出一系列秘钥分发和用户认证方案。