密文數據重刪系統的可控共享理論及套用

數據重刪技術是指通過刪除冗餘數據而只存儲唯一數據，以達到節省存儲空間的目的。由於冗餘數據被刪除，多個邏輯檔案須共用重刪後的數據，這種存儲模式強調了被共用數據的敏感性。因此，通過面向密文數據的重刪來保護數據隱私，成為信息安全領域的一個研究熱點。本課題在密文數據重刪的基礎上，提出並擬解決重刪後數據密文的動態訪問控制問題，其研究內容包括：1. 通過可證明安全的方法，建立重刪後密文數據的訪問控制安全模型；2. 設計面向數據重刪的動態訪問控制方案，並證明其在所定義安全模型下的安全性；3. 搭建支持數據重刪的安全共享原型系統，通過實踐驗證所設計方案的實用性。本課題的研究成果將解決數據重刪系統的可控共享問題，填補目前信息安全領域的一個研究空白；所提供的原型系統將對現有的密文重刪套用系統做出訪問控制功能的補充和存儲效率的提升。

重複數據刪除是一種通過消除重複副本來降低存儲開銷的數據壓縮技術，加密重複數據刪除進一步增加了一層加密操作，以保護外包存儲數據的隱私。現有的加密重複數據刪除研究僅僅考慮單用戶的數據保護，缺乏對數據共享，尤其是由數據所有者可控的訪問控制策略的支持。本項目研發了首個支持動態訪問控制的加密重複數據刪除系統REED（REkeying-aware Encrypted Deduplication system）。REED設計突破了如下關鍵技術：（1）基於相似性的密鑰生成技術，解決了密鑰生成的效率瓶頸問題；（2）兼容密鑰高效更新的加密技術，實現了（密鑰更新時）密文的高效重加密；（3）動態訪問控制技術，實現了訪問策略的懶惰更新。在本地1Gb/s網路環境下，REED能夠達到百兆級數據存儲和讀取速率，以及針對GB級檔案的秒級訪問許可權更新速率；面向真實的備份數據集，保持超過97%的存儲空間節省比率。REED的主要套用場景為雲存儲服務，可為服務商提供端到端數據加密框架，以及兼容該框架的動態訪問控制和重複數據刪除技術。通過動態訪問控制，解決用戶對共享雲數據的安全性的擔憂；通過重複數據刪除，降低雲服務商的存儲維護成本。REED將從安全和成本兩方面分別吸引用戶和服務商，對推動外包存儲產業發展具有積極意義。目前，REED已經開放原始碼（見https://jingwei87.github.io/software/reed/index.html），可作為學術研究的效率測試平台，也可作為工業界二次開發的底層參考原型。