面向云计算的自含式数据安全控制理论与方法

数据安全被认为是云计算中用户的首要安全目标。由于数据脱离用户的控制域，使得数据的安全保护变得更加困难，目前还缺乏有效的数据保护方法。本项目针对云计算中数据保护的特殊问题，提出以基于属性的加密算法ABE为基础，将ABE与访问控制理论有机融合的方法，研究数据自含式安全控制理论与技术。在理论层面上，通过建立广义访问策略树，研究数据加密与数据安全控制的混合算法；结合典型模型研究以数据对象为中心的访问控制模型定义方法；引入SAT理论，研究策略一致性合成算法。在技术层面上，引入数据起源理论与网络层数据包起源管理方法，研究数据读写留痕技术；提出数据对象安全控制容器概念，研究实用的自含式数据对象安全控制机制的实现方法。本项目最终将建立一种以数据为中心的新的数据保护理论体系，使数据自身具有机密性与完整性的保护能力。项目的研究成果，将开创云计算数据安全研究的新途径，为丰富云计算中数据的服务功能提供必要保障。

本项目针对云计算中数据特有的安全保护需求，以基于属性加密方案ABE以及访问控制理论为基础，研究以数据为中心的自含式安全保护方法。理论层面上，研究并提出了CP-ABE方案中访问控制策略的扩展方法，面向隐私保护的CP-ABE策略隐藏方案以及安全增强的KP-ABE计算外包方案，面向支持多用户密文搜索的密文策略隐藏向量加密方案，以及基于本体的加密数据多关键字语义搜索方案。技术层面上，构建了以数据对象为中心基于角色的访问控制模型DC-RBAC，提出了容器式数据保护机制，建立了面向云计算的数据自含式安全保护系统框架，开发了面向企业、互联网用户、移动互联网用户的数据安全共享工具。本项目在数据自含式保护理论、机制与操作方法等研究方面，与国内外同类研究相比具有一定的创新性与先进性。本项目取得的成果主要包括：.（1）提出了支持NOT运算符的CP-ABE方案。基于经典BSW算法思想提出了可支持属性NOT操作的、在标准模型下达到CPA安全以及CCA安全的方案，并进行了方案安全性证明与实现验证。.（2）提出了支持多种复杂运算符的扩展CP-ABE方案。通过对访问控制树扩展提出了支持复杂运算符的ECP-ABE方案。该方案能够支持各种比较运算符和逻辑运算，可在标准模型下达到CPA安全。.（3）提出了以数据为中心的基于角色访问控制模型DC-RBAC。对传统RBAC进行轻型化和特定化，构建了DC-RBAC模型并实现了与ECP-ABE的融合，提出了该模型应用架构。.（4）提出了面向隐私保护的CP-ABE策略隐藏方案。针对访问策略隐私保护问题提出了策略隐藏方案，提出了容器式数据自含式保护机制以及数据读写留痕方法。.（5）提出了安全增强的KP-ABE计算外包方案。针对现有外包方案安全模型存在的安全漏洞，提出安全增强的CPA模型及CCA模型，并进一步提出了相应的安全计算外包方案。.（6）提出了支持多用户密文搜索的密文策略隐藏向量加密方案。针对云计算环境下多用户密文搜索的需求提出了支持多用户密文搜索的CPHVE方案以及搜索能力增强的方案。在标准模型下证明了方案可达到CPA安全。.（7）提出了基于本体的加密数据多关键字语义搜索方案。首先提出了基于本体的复合词概念语义相似度计算方法CCSS，并在此基础上提出了基于本体的加密数据多关键字语义搜索方案以及安全增强方案。