面向雲計算的自含式數據安全控制理論與方法

數據安全被認為是雲計算中用戶的首要安全目標。由於數據脫離用戶的控制域，使得數據的安全保護變得更加困難，目前還缺乏有效的數據保護方法。本項目針對雲計算中數據保護的特殊問題，提出以基於屬性的加密算法ABE為基礎，將ABE與訪問控制理論有機融合的方法，研究數據自含式安全控制理論與技術。在理論層面上，通過建立廣義訪問策略樹，研究數據加密與數據安全控制的混合算法；結合典型模型研究以數據對象為中心的訪問控制模型定義方法；引入SAT理論，研究策略一致性合成算法。在技術層面上，引入數據起源理論與網路層數據包起源管理方法，研究數據讀寫留痕技術；提出數據對象安全控制容器概念，研究實用的自含式數據對象安全控制機制的實現方法。本項目最終將建立一種以數據為中心的新的數據保護理論體系，使數據自身具有機密性與完整性的保護能力。項目的研究成果，將開創雲計算數據安全研究的新途徑，為豐富雲計算中數據的服務功能提供必要保障。

本項目針對雲計算中數據特有的安全保護需求，以基於屬性加密方案ABE以及訪問控制理論為基礎，研究以數據為中心的自含式安全保護方法。理論層面上，研究並提出了CP-ABE方案中訪問控制策略的擴展方法，面向隱私保護的CP-ABE策略隱藏方案以及安全增強的KP-ABE計算外包方案，面向支持多用戶密文搜尋的密文策略隱藏向量加密方案，以及基於本體的加密數據多關鍵字語義搜尋方案。技術層面上，構建了以數據對象為中心基於角色的訪問控制模型DC-RBAC，提出了容器式數據保護機制，建立了面向雲計算的數據自含式安全保護系統框架，開發了面向企業、網際網路用戶、移動網際網路用戶的數據安全共享工具。本項目在數據自含式保護理論、機制與操作方法等研究方面，與國內外同類研究相比具有一定的創新性與先進性。本項目取得的成果主要包括： （1）提出了支持NOT運算符的CP-ABE方案。基於經典BSW算法思想提出了可支持屬性NOT操作的、在標準模型下達到CPA安全以及CCA安全的方案，並進行了方案安全性證明與實現驗證。 （2）提出了支持多種複雜運算符的擴展CP-ABE方案。通過對訪問控制樹擴展提出了支持複雜運算符的ECP-ABE方案。該方案能夠支持各種比較運算符和邏輯運算，可在標準模型下達到CPA安全。 （3）提出了以數據為中心的基於角色訪問控制模型DC-RBAC。對傳統RBAC進行輕型化和特定化，構建了DC-RBAC模型並實現了與ECP-ABE的融合，提出了該模型套用架構。 （4）提出了面向隱私保護的CP-ABE策略隱藏方案。針對訪問策略隱私保護問題提出了策略隱藏方案，提出了容器式數據自含式保護機制以及數據讀寫留痕方法。 （5）提出了安全增強的KP-ABE計算外包方案。針對現有外包方案安全模型存在的安全漏洞，提出安全增強的CPA模型及CCA模型，並進一步提出了相應的安全計算外包方案。 （6）提出了支持多用戶密文搜尋的密文策略隱藏向量加密方案。針對雲計算環境下多用戶密文搜尋的需求提出了支持多用戶密文搜尋的CPHVE方案以及搜尋能力增強的方案。在標準模型下證明了方案可達到CPA安全。 （7）提出了基於本體的加密數據多關鍵字語義搜尋方案。首先提出了基於本體的複合詞概念語義相似度計算方法CCSS，並在此基礎上提出了基於本體的加密數據多關鍵字語義搜尋方案以及安全增強方案。