中文摘要：

近年来云计算技术得到迅猛发展，出现了包括云存储与云数据库服务在内的大批云数据服务。但目前用户在享用便利的云服务之时，不得不以牺牲数据的安全性与隐私性为代价。由于数据运行环境对于用户来说完全不透明、不可控，所以迫切需要研究切实有效的云计算系统数据安全保护方法。现有研究结果表明，基于密码学技术可以在非可信服务器群上构建具有机密性、完整性与可用性保护的云存储系统与云数据库服务，但是在海量密文数据安全检索、访问控制、以及完整性验证等方面使用效果并不理想。本课题面向云计算环境中的数据安全与隐私保数据护需求，研究适用于典型云存储与云数据库场景的密文云计算系统数据安全关键技术，重点研究①海量密态数据安全检索机制；②密文访问控制方法；③海量动态密文数据完整性验证方法。设计实现相应的技术原理验证原型系统，为构建虚拟私有数据云提供有效解决方案，为我国云计算产业的安全健康发展提供关键技术支撑。

结论摘要：

当前网络上各类云存储服务层出不穷，但绝大多是以牺牲用户隐私性为代价，其数据内容对于服务提供商透明。本课题面向云计算环境中的数据安全与隐私保数据护需求，重点研究①海量密态数据安全检索机制；②密文访问控制方法；③海量动态密文数据完整性验证方法，并构造出原型系统，为用户提供真正安全可靠、使用便利的虚拟私有数据云服务。目前课题组已顺利完成上述任务，取得如下科研成果首先，在安全检索技术方面，课题组突破国际上现有密文索引安全模型局限，深入分析由“访问模式”所导致的安全问题，针对单个关键词统计规律、多关键词包含关系等实际访问模式，提出多种密文索引攻击方法。有多篇论文发表在 IEEE CloudCom'13，ISC'14，CCF Bigdata'13 等重要相关会议上；提出相应的密文索引设计与构造方法，申请国家发明专利3项； 其次，在密文访问控制方面，针对当前属性基加密实现访问控制所面临的效率瓶颈问题，提出一系列优化方法，支持部分密钥撤销、私钥生成和解密计算外包、以及带陷门属性加密和令牌树机制。明显降低了计算代价与通信代价、密钥管理代价，实现了高效的属性级别的权限撤销。该项工作发表在IEEE CloudCom'14，IEEE Trustcom'14, CloudCom’12等重要会议上；再次，在数据完整性验证方法方面，解决了现有云存储方案只能够证明远程云存储持有一份正确数据、且存储验证标签不可复用的问题，支持用户验证服务器正确持有的文件副本数目，与相同标签数目的多次验证。相关成果发表国内期刊论文1篇，申请专利1项。最后，在数据隐私保护技术方面，分析在社交网络场景下用户身份隐私、属性隐私所面临的挑战，提出基于节点聚类、基于节点分割等节点匿名方法以及群组属性隐私保护方法，防止用户身份的重识别攻击与群组属性泄露。该项工作发表在WAIM'14，ICISC'14等国际会议及国内期刊。截止目前为止，课题组所取得的科研成果包括 1)共发表/录用学术论文13篇，其中SCI/EI检索11篇（包括IEEE CloudCom、TrustCom等重要国际会议6篇，计算机学报、软件学报等国内一级期刊5篇）； 2)申请国家发明专利4项； 3)参与编写标准草案1项； 4)研制完成云存储安全支撑平台，已成功落地应用于深圳云计算中心，经测评实际性能优异、应用效果良好（详见测评报告）。