云计算平台的安全性增强技术研究

As the main trend information technology in the future, cloud computing is characterized by its dynamical service techniques and on-demand business model, leading the tremendous revolution of information industry. It also has made considerable impact on information security. Nowadays the security and privacy risks have become the biggest hurdle to the further adoption and development of cloud computing. Cloud security has been weighted as one of the most imperative research subject in both academia and industry. In this project, we are focusing on the crucial security issues in the applications of cloud computing: To realize federated management of users'identity in cloud environment, a Privacy-Preserving Federated Identity Management Scheme will be proposed; To achieve the resources in cloud being efficiently and securely allocated, a Modified Access Control Mechanism based on Hierarchical Key Assignment for Cloud Computing Environment will be proposed; To satisfy the consumers'demands on accessing data efficiently, verifying the integrity of data publicly and updating data dynamically, a Secure Storage Scheme enabling Public Verifiability and Data Dynamics for Cloud Computing Environment will be proposed; To resolve the confidence concern between the cloud service provider and the consumer, a Trusted Cloud Computing Platform based on Property Verification will be constructed.

云计算作为未来主流的信息技术，正以其动态服务的技术特征，按需供给的商业模式引领着信息产业的重大变革，同时也给信息安全领域带来了巨大的冲击。在人们准备迎接云计算的今天，安全问题已成为它进一步发展与应用的最大障碍。工业界与学术界都将云安全问题列为首要解决的研究课题之一。本项目围绕云计算应用中亟待解决的关键安全问题展开研究，将提出隐私保护的身份联合管理方案，实现云环境下用户身份的联合管理；提出云环境下基于层次密钥的可调节访问控制机制，实现云中资源高效、合理、安全地分配；提出云环境下公开可验证的动态数据安全存储方案，满足用户对数据高效存取、公开验证及动态更新的需求；提出基于属性验证的可信云计算平台，解决云服务商与用户之间的信任问题。

为促进云计算产业的发展，本项目围绕云安全中亟待解决的核心问题，针对用户数据安全及隐私保护关键技术展开了深入研究。经过四年不懈的努力，项目研究取得了一批国际国内先进的创新性成果，超额完成了既定的各项技术指标，目前共发表学术论文31篇。其中被SCI检索12篇，EI检索8篇。申请国家发明专利15项，其中3项已获授权，并获批软件著作权4项。培养博士后1名，博士研究生4名，硕士研究生25名，其中14人已毕业。项目负责人获国家科学技术进步奖二等奖1项，省部级科学技术奖1项。针对身份联合管理，基于构建的分级身份模型，提出了一种隐私保护的身份联合管理方案。方案中的验证协议采用轻量级的零知识证明和语义匹配技术，保证了属性验证过程的隐私性，并通过对身份属性的Pedersen承诺，实现了一次交互认证。针对访问控制，提出了一种基于层次密钥的可调节访问控制机制。该机制通过有向图表示用户层级间的关系，利用层间的边权信息，密钥衍生算法可快速导出后续的层次密钥，极大地提升了密钥分配效率，满足了云环境下灵活、弹性的访问控制需求。针对数据安全，提出了一种公开可验证的动态数据安全存储方案。该方案利用Bloom Filter技术构建了时空高效的安全索引，保证了密文检索的隐私性，并采用Merkle哈希树结构设计了块级别数据的更新方式，实现了动态数据的可公开验证。最后，集成已有研究成果，设计并实现了基于属性验证的可信云计算平台。平台中的可信属性验证模块负责为双向认证提供依据，过程中采用基于自动信任协商的远程证明方法保护用户的隐私，为用户与云服务间可信赖的交互搭建了桥梁。项目研发过程中，注重国内外学术合作，将取得的成果进行适应性改进及扩展，为大型分布式网络环境下的认证及数据存储提供了有效方案。