云存储的数据自主访问控制与数据完整性盲审计方法研究

Cloud storage is one of important services of cloud computing, in which data owners host their data. Data owners have two main worries about this kind of data storage: (1) Data confidentiality and misuse. Data owners worry that cloud servers may let the users who do not have access permission to access their data. (2) Data integrity and safety. Data owners worry that their data stored in the cloud server may be corrupted or removed. These problems will hinder the widespread adoption of cloud storage. This project will investigate these two problems. The tasks and objectives of the project are: (1) To design discretionary data access control mechanisms to prevent misuse of data. (2)To design efficient third-party privacy-preserving auditing scheme to check the data integrity for data owners. The key methodology is as follows: a)to define multi-layer multi-dimensional attribute to represent user's identity and access policy with multi-authorities enabled and forward and backward attribute revocable. b)to design fine-granularity access control method with policy-hiding based on bi-linear mapping to protect data misuse and colluding. c)to design efficient third-party privacy-preserving auditing scheme based on homomorphic Hash function to check the data integrity for data owners supporting dynamic auditing(It supports dynamic updates of the data without resulting in high additional computation or communication cost.) and batch auditing(It can combine multiple auditing requests from multiple data owners for batch processing.) with low computation and communication cost. The results of this project will help to create credible cloud storage, which benefits cloud storage providers, data owners and users.

云存储面临的主要问题是：⑴数据机密性问题，数据所有者担心云服务器让未获许可的用户使用其数据；⑵数据完整性问题，数据所有者担心存储在云服务器中的数据被破坏或删除。本项目对此进行研究，主要内容是：⑴研究数据自主访问控制机制，以保护数据不被乱用。⑵研究高效的第三方存储审计方法，以保护数据不被破坏。基本思想是利用表达能力强的多层次多维属性代替传统的简单字符串，表示多授权机构条件下的用户身份及其权限和访问策略，同时支持属性级、前向安全和后向安全属性撤销；以双线性映射函数为基础设计访问策略隐藏方法，实现细粒度自主访问控制，同时避免共谋等权限漏洞；以同态哈希函数为基础，设计盲审计方法，高效支持数据动态更新和批量审计，避免大的计算和通信开销。所提出的新方法，具有实用性，有助于建立具有公信力的云存储系统，实现云存储服务提供商、数据所有者和用户的互信、共赢。

针对云存储中数据机密性与数据完整性问题，研究数据自主访问控制与数据完整性盲审计的理论与方法，主要结果包括：（1）针对机密性问题问题，提出了支持动态权限管理的云存储访问控制方案，实现了基于版本密钥对的用户属性直接撤销，并解决了CP-ABE应用于云存储访问控制时动态权限管理计算代价过高的问题；提出了支持多用户读写的协同访问控制方案，实现了以文件逻辑分块为最小粒度的访问控制方法，在保证数据机密性的前提下抵抗共谋攻击；提出了云辅助具有访问控制策略隐藏与隐私保护的访问控制方案，利用向量分解的不唯一特性实现访问策略的匿名化，同时提供了代理加密、解密方法，降低终端计算负载。（2）针对完整性问题，提出了基于双线性映射加密的个人数据完整性盲审计方法，实现了基于索引机制的多任务聚合批量审计方法，并在数据标签中加入版本号与时间戳等信息，抵抗服务器的重放攻击与伪造攻击；提出了一种基于代理重签名的共享数据完整性盲审计方法，将数据完整性检查问题与数据共享结合考虑，实现了用户身份隐私保护和用户直接撤销；提出了基于代理重加密的密文重删数据完整性盲审计方法，实现了密文下客户端的重复数据删除和标签删除；提出了基于增量矩阵的再生码存储数据完整性盲审计方法，通过同态标签的性质实现了一次性验证不同云服务器节点上的数据完整性。通过全面、系统地研究云存储中数据安全的问题，设计完备的系统模型，进一步优化现有的访问控制与数据审计方案，从而达到安全、细粒度的数据访问控制与高效的数据完整性审计。项目所提出的方法和共性技术可为云存储系统应用提供技术支撑，有助于云存储平台的发展，实现云存储服务提供商、数据所有者和用户的互信、共赢，具有现实的应用前景。