雲計算平台的安全性增強技術研究

雲計算作為未來主流的信息技術，正以其動態服務的技術特徵，按需供給的商業模式引領著信息產業的重大變革，同時也給信息安全領域帶來了巨大的衝擊。在人們準備迎接雲計算的今天，安全問題已成為它進一步發展與套用的最大障礙。工業界與學術界都將雲安全問題列為首要解決的研究課題之一。本項目圍繞雲計算套用中亟待解決的關鍵安全問題展開研究，將提出隱私保護的身份聯合管理方案，實現雲環境下用戶身份的聯合管理；提出雲環境下基於層次密鑰的可調節訪問控制機制，實現雲中資源高效、合理、安全地分配；提出雲環境下公開可驗證的動態數據安全存儲方案，滿足用戶對數據高效存取、公開驗證及動態更新的需求；提出基於屬性驗證的可信雲計算平台，解決雲服務商與用戶之間的信任問題。

為促進雲計算產業的發展，本項目圍繞雲安全中亟待解決的核心問題，針對用戶數據安全及隱私保護關鍵技術展開了深入研究。經過四年不懈的努力，項目研究取得了一批國際國內先進的創新性成果，超額完成了既定的各項技術指標，目前共發表學術論文31篇。其中被SCI檢索12篇，EI檢索8篇。申請國家發明專利15項，其中3項已獲授權，並獲批軟體著作權4項。培養博士後1名，博士研究生4名，碩士研究生25名，其中14人已畢業。項目負責人獲國家科學技術進步獎二等獎1項，省部級科學技術獎1項。針對身份聯合管理，基於構建的分級身份模型，提出了一種隱私保護的身份聯合管理方案。方案中的驗證協定採用輕量級的零知識證明和語義匹配技術，保證了屬性驗證過程的隱私性，並通過對身份屬性的Pedersen承諾，實現了一次互動認證。針對訪問控制，提出了一種基於層次密鑰的可調節訪問控制機制。該機制通過有向圖表示用戶層級間的關係，利用層間的邊權信息，密鑰衍生算法可快速導出後續的層次密鑰，極大地提升了密鑰分配效率，滿足了雲環境下靈活、彈性的訪問控制需求。針對數據安全，提出了一種公開可驗證的動態數據安全存儲方案。該方案利用Bloom Filter技術構建了時空高效的安全索引，保證了密文檢索的隱私性，並採用Merkle哈希樹結構設計了塊級別數據的更新方式，實現了動態數據的可公開驗證。最後，集成已有研究成果，設計並實現了基於屬性驗證的可信雲計算平台。平台中的可信屬性驗證模組負責為雙向認證提供依據，過程中採用基於自動信任協商的遠程證明方法保護用戶的隱私，為用戶與雲服務間可信賴的互動搭建了橋樑。項目研發過程中，注重國內外學術合作，將取得的成果進行適應性改進及擴展，為大型分散式網路環境下的認證及數據存儲提供了有效方案。