云存储的隐私保护和安全保障机制

"Cloud storage" is a new network public data storage architecture. Because of the support for mass data processing, it has become the core technology and the inevitable choice to build the next generation of Internet data center. As the "cloud storage" has the characteristics of open, distributed, virtual, the privacy and security issues is more important and complex compared to traditional storage architectures. Therefore, the research of privacy protection and security mechanisms has become key scientific issues for the "cloud storage". This project aims to study the key scientific problems in the privacy protection and security system for the "cloud storage". Privacy policies and methods of data services in cloud storage are proposed, and security mechanisms for distributed file system and server virtualization are designed. The result of this project tries to form a series of new theories, new methods and new technologies with independent intellectual property. It will be verified in Internet to explore the safe and credible data services mode, and tries to provide a theoretical basis and methods of guidance to build the next generation of Internet data center.

"云存储"是一种新型网络公用数据存储架构，由于支持海量数据处理，已成为构建新一代数据中心的核心技术和必然选择。同时，由于"云存储"具有开放性、分布式、虚拟化特点，与传统的存储架构相比，其隐私保护和安全保障问题显得尤为重要，也更为复杂。因此，"云存储"隐私保护和安全保障机制研究已成为"云存储"能否取得成功的关键科学问题。本项目旨在研究"云存储"隐私保护和安全保障体系中的关键科学问题，提出面向"云存储"数据服务的隐私保护策略和方法，设计面向分布式文件系统和服务器虚拟化的安全保障机制，从而形成一系列具有自主知识产权的新理论、新方法和新技术。本项目研究成果将在互联网数据服务典型应用中加以验证，为探索安全、可信的"云存储"数据服务模式，构建新一代数据中心提供理论基础和方法指导。

云存储是一种新型的网络公用数据存储架构，由于其具有开放性、分布式、虚拟化的特点，与传统的存储架构相比，其隐私保护和安全保障问题显得尤为重要，也更为复杂。项目组根据项目计划书的目标，对云存储的隐私保护和安全保障机制开展了系统深入的研究，形成了一批具有自主知识产权的新理论、新方法和新技术，研发了原形系统并进行了验证。重要研究结果包括：1）从面向数据服务的隐私保护、分布式文件系统安全、服务器虚拟化安全3个层面，提出了云存储的层次化隐私保护和安全保障体系结构；2）从面向数据服务的隐私保护角度，提出了高效的密文区间检索和密文关键词检索，隐私保护模型和属性加密优化，匿名数据的重识别攻击新方法及防护，支持敏感数据分类的集成学习等方案；3）从分布式文件系统安全保障角度，提出了基于位置异常的动态认证，基于用户和机构追责、支持大属性域和多机构的密文访问控制，基于随机掩码和双线性映射的数据多副本持有性证明，基于纠删码和布隆过滤器结合的高效数据完整性验证和恢复等安全保障机制；4）从服务器虚拟化安全保障角度，提出了虚拟化平台的轻量级可信计算基建立方法，面向虚拟化平台完整性的轻量级远程证实协议，统一的访问控制框架和策略描述语言、基于遗传/分类算法的权限划分方法，支持虚拟化平台敏感应用的安全接口设计，可减少同驻威胁的虚拟机安全迁移算法，虚拟机之间和容器之间的隐蔽通道分析等安全保障机制。项目在研期间共发表学术论文共86篇，其中包括AAAI, WSDM, DASFAA, ICDM, ICWS, DSN、CCPE, CLOUD, ICDE, ICC, HPCC, IPADS, ISCC, SecureComm, ICICS, TrustCom, COMPSAC等CCF推荐期刊/会议论文52篇，申请技术发明专利33项（其中已授权12项）；研制完成2个原型系统和4个验证工具，并开发了2个APP，而且在公有云存储AWS S3中进行了部署和应用验证，登记国家软件著作权12项；博士后出站1人，毕业博士12人，毕业硕士33人。总之，上述研究结果对构建安全可信的云存储数据服务平台具有十分重要的科学意义和应用价值。