云存储系统安全关键技术研究

Cloud storage is a key infrastracture for cloud computing today. It provides managed mass data storage service to numerous users via sharing storage resources and capabilities. Meanwhile, how to protect users' data and garrantee their security and privacy in the multi-tenant cloud storage becomes a most vital issue concerning various classes of users, including governments, enterprises, and individuals. This project focuses on key techniques to protect cloud storage security from the perspective of system research. We develop techniques that (1) enable cloud storage systems with the virtualization-based ability to isolate and protect processes, preventing malevolent tampering with or leak of data; (2) enable cloud storage systems with the fine-grained audit ability, tracking, retroacting, and preventing illegal operations via logging them; (3) provide configurable routing that forces users' requests to follow predefined routines to access system resources, avoiding congestion and risks; (4) provide high availability, avoiding data loss and service outage. In sum, our project combines the data storage mechanism and security policy enforcement, according to the new features of data-centric cloud computing services. Besides, we shall develop a comprehensive security model for cloud storage systems that satisfies the above security requirements, and construct a prototype with verification and evaluation.

云存储作为云计算时代的核心基础设施，通过共享存储资源为大量用户提供海量数据的托管服务。如何保障云存储系统用户数据的安全性与私密性已经成为各层次用户，包括国家、企业和个人，最关注的核心问题。本课题从系统和控制的角度审视和开展云存储系统安全关键技术研究，使得云存储系统具备基于虚拟化技术的进程保护能力，防范数据篡改、数据泄露等安全威胁；具备细粒度的审计功能，通过记录用户的操作行为实现对非法和恶意用户的跟踪、追溯和防御；提供可配置的路由，使得用户请求只能按照系统指定的路线访问物理资源，避免拥堵和随意访问；具备高可靠的数据存储能力，防止数据的丢失和服务的中断。本课题针对当前以数据为中心的新型云计算服务模式特点，将数据存储机制和安全策略相结合，提出一个完整的云存储系统安全系统模型，满足上述安全需求，在深入细致研究的基础上，实现原型系统的研制，并通过测试验证上述数据中心安全指标和功能。

本课题从系统和控制的角度审视和开展云存储系统安全关键技术研究。针对申请书中的云存储安全的系统模型，本项目提出了一个整体的从用户客户端到数据中心内部的用户数据安全模型；针对云计算环境的安全监控机制，本项目设计并实现了基于自维护存储系统TStor的监控系统；针对云存储服务的可审计与可追溯技术，本项目在云存储系统MeePo上实现了云存储服务日志审计的功能；针对虚拟环境下的进程保护技术，本项目研发了基于虚拟机的云存储平台上分布式文件系统中用户数据私密性保护技术，同时提出了一项安全云存储系统共享数据存储防护技术；针对数据隐私保护和高效处理，本项目研发了远程容灾系统的数据安全机制；针对安全云存储系统原型实现，本项目实现了基于Daoli的云存储数据保护系统和自维护存储系统TStor。6个研究目标已经全部完成。除此之外，对于本课题还针对大数据存储的可靠性保障进行了研究。.本项目在TOC、TPDS等期刊和OSDI、ATC、VLDB等会议上发表论文30篇，其中CCF A类论文共计14篇，特别是其中一篇论文还获得了FSE的Distinguished Paper Award。项目组通过积极参与相关领域主流国际会议、邀请国外专家访问等方式，与国外同行进行了深入的学术交流与合作。同时我们还申请了16项国家发明专利、1项美国发明专利和1项软件著作权。.本项目的面向社区共享的高可用云存储系统获得了国家技术发明二等奖以及中国电子学会科学技术一等奖。经教育部委托清华大学主持的科技成果鉴定会鉴定，本项目的高可靠自维护存储系统TStor在国际上首次实现了基于32+16纠删码、能满足实际应用需求的高可靠自维护存储系统，系统总体达到国际先进水平，其中纠删码计算量削减方法和基于浮动数据块组织的快速自愈模型达到了国际领先水平。.本项目的远程容灾系统已在北京市政务信息安全容灾备份中心进行应用；清华大学校园云存储则为近3万用户、600社区、150TB实际数据提供试验支持。.本项目共培养了16名研究生，其中11人已毕业，5人在读。