科技成果简介

成果名称:

云计算环境用户数据隐私保护与平台管控关键技术及应用

项目负责人：

王轩

所属领域:

计算机科学技术——信息安全

成果简介:

为避免用户在使用云平台的存储、访问、查询和计算服务时面临云平台可信性难以评估、用户数据丢失泄漏、共享技术存在漏洞、多用户身份认证机制薄弱等安全威胁，项目围绕保障国家网络安全的重大战略需求和提升粤港澳大湾区网络安全水平的地方需求，在一系列国家、省市科技计划项目的支持下，提出六项新型云安全技术，并研发六套安全系统，实现了在云计算环境下既能保证用户数据的隐私性，又能让用户高效利用云平台所提供的存储、访问、查询和计算等重要云服务，同时支持云平台第三方可信评测和多域管控功能的目标。

主要技术特点：

（1）研发了一套云环境下用户数据隐私感知系统，解决了对隐私数据的大规模感知和精确保护问题。针对结构化数据，分别提出了基于属性和关联规则的隐私感知技术，实现了不同属性相对隐私属性的相关度计算和对可能导致用户隐私数据泄露的敏感规则挖掘。针对非结构化数据，分别提出了面向文本数据和图像数据的隐私感知技术，实现了隐私文本感知、隐私区域注意力定位和图像隐私位置感知。

（2）研发了一套基于属性加密和代理重加密的动态密文云数据访问共享系统，解决了云平台只能实现粗粒度访问控制，且存在的效率低、安全性不高等问题。提出了支持属性撤销及策略更新的动态密文云数据访问共享技术、支持背叛者追踪及用户撤销的属性加密技术，以及支持离线操作及外包计算的属性加密技术，有效解决了用户访问控制权限的时空约束和动态管理问题，以及密文云数据访问共享的效率提升问题；提出了支持策略更新的代理重加密技术，进一步满足了动态密文数据的访问控制需求。

（3）研发了一套基于谓词加密的多条件融合密文云数据查询系统，解决了对密文云数据复杂联合语句的安全查询问题。提出了基于谓词加密的多条件融合密文云数据查询技术，完成了多个查询条件之间与、或、非操作后的密文云数据联合查询；提出了具有可验证功能的谓词加密技术，使得任何被授权用户均可利用验证密钥验证云服务器返回的查询结果；提出了具有访问控制功能的谓词加密技术，有效防止了恶意用户的越界查询操作。

（4）研发了一套基于安全多方计算的密文云数据分析与计算系统，解决了对分布式密文云数据的安全数据分析与计算问题。提出了多参与方的外包隐私保护ID3决策技术，解决了将计算外包到云端后所面临的用户数据隐私保护问题。提出了基于安全多方计算的隐私保护K-means聚类技术，设计了安全距离计算协议、安全比较协议和密文除法电路协议，完成了K-means聚类的高效安全计算。提出了多密钥密文云数据点积计算技术，实现了云密文数据在多密钥情况下的加法与乘法操作，有效保证了分布式云数据挖掘结果的正确性。

（5）研发了一套面向第三方的云平台可信评测系统，解决了云平台可信证据收集和第三方综合评价问题。建立了可信评测模型，给出了云平台可信评测的相关标准；提出了面向第三方的云平台可信证据收集技术，解决了动态云环境下的证据提取问题；提出了云平台可信远程验证与审计技术，提高了云平台可信证据的验证可信度，突破了云服务内部威胁行为管控技术难题；提出了可信第三方综合分析与评价技术，揭示了第三方公正全面评价的一般方法和技术要点。

（6）研发了一套多域云安全管控系统，解决了多域云管理员权限难以划分和设备管理混乱的问题。提出了面向多域的设备安全管理技术，解决了跨域计算资源统一调配困难和登录后门管理困难的问题；提出了细粒度权限划分域管理技术，提高了云管理员职权划分的能力；提出了单点登录和多因子认证技术，提高了运维人员对授权范围内计算资源的管理效率；提出了多域数据融合关联审计技术，有效防止了云管理人员越权行为的发生。

应用范围：

本成果的应用范围为云环境下用户数据隐私感知、密文云数据动态访问共享、密文云数据多条件融合查询、密文云数据分析与计算、云平台可信评测，以及多域云安全管控。研究成果服务于国家计算机网络与信息安全管理中心、应急管理部、航天科工、吉林公安等党政军机构，以及以奇安信科技集团股份有限公司、中电长城网际系统应用有限公司、奇虎360科技有限公司、深圳云安宝科技有限公司等为代表的22家企业，产生经济效益共计超过11亿元。

照片资料：

图1 项目总体情况

图2 典型示范应用1

图3 典型示范应用2

图4 典型示范应用3

图5 典型示范应用4