您当前的位置:首页 > 动态要闻 > 行业新闻
中国科协第265次青年科学家论坛简报
日期:2014/8/27   点击次数:4403

2013年12月25日
面向云计算的密码新技术
          —— 中国科协举办第265次青年科学家论坛

   由中国科协主办,中国密码学会承办,中国科学院软件研究所可信计算与信息保障实验室、北京双洲科技有限公司协办的第265次青年科学家论坛于2013年11月23~24日在中国科学院软件研究所举行。本次论坛的主题为“面向云计算的密码新技术”。论坛执行主席分别由中国科学院软件研究所张振峰研究员、中山大学张方国教授、西安电子科技大学陈晓峰教授、福建师范大学黄欣沂教授担任。

   本次论坛邀请了来自中国科学院软件研究所、中山大学、西安电子科技大学、福建师范大学、上海交通大学、北京航空航天大学、清华大学、广州大学、华东师范大学、北京邮电大学、信息工程大学、华中科技大学、电子科技大学、暨南大学、南京师范大学、中国科学院信息工程研究所、北京科技大学、中国电子信息安全研究院、商用密码检测中心、北京双州科技股份有限公司、成都卫士通信息产业股份有限公司、上海格尔软件股份有限公司、北京国富安电子商务安全认证公司等40余家密码研究机构、高校、企业应用单位的青年专家学者、科研技术人员及在校博士等170余人参加,共同探讨面向云计算的密码理论和应用所面临的新问题。
   本次论坛的主题是“面向云计算的密码新技术”,该主题是当前密码学研究的热点问题,也是云计算安全和发展中的核心问题。论坛围绕面向云计算的密码新理论和云安全所面临的密码新问题,开展了系统深入的学术研讨,重点聚焦以下议题进行了研讨:云数据完整性证明与可验证计算,可检索加密,基于属性加密与云计算访问控制,代理重加密与云计算数据分享,密码方案的安全外包计算,云计算密钥管理,云计算安全建设实践等。
论坛主要议题
1、云数据完整性证明与可验证计算
云存储是云计算提供的一种基本服务,在该服务中,用户可以将自己的数据委托云服务器保管,需要时从服务器上取回,数据的可靠性与完整性完全依赖于云服务器。云存储服务不同于本地存储,数据一旦脱离了自己的控制,用户就可能担心其完整性和可用性,服务器的任意差错都可能导致用户数据的损坏或丢失。对于云存储系统来说,如果服务器能够向用户证明自己的服务质量,确保用户数据的完整性和可用性,无疑可以增加用户对于存储服务的信心。因此,云服务器如何有效地向用户证明其数据完整无损保存在服务器中,而且随时可以取回,成为了云计算中需要解决的一个关键问题。
上海交通大学的刘胜利教授报告了如何使用同态认证技术实现存储审计和证明。电子科技大学的禹勇副教授介绍了一个基于证据不可区分性而设计的远程数据完整性检测协议,在达到“IND-隐私性”的同时具备soundness性质。华南农业大学的黄琼副教授报告了一种新的可提取性证明的框架,使得只有指定的验证者和客户自己才可以验证并提取云服务器中的外包数据。大连海洋大学的王化群教授介绍了云计算环境中远程数据完整性检测PDP模型研究,给出了PDP模型的定义、安全模型和设计方法。北京科技大学的朱岩教授展望了面向云计算的云数据安全认证技术、云数据安全访控技术和云数据安全计算技术。
2、可检索加密方案
在云计算环境下,敏感数据需要通过加密技术以密文的形式存储在云服务器上,在一定程度上降低了对服务器的安全依赖,避免了服务器被入侵或者管理员误操作带来的用户数据泄露危害。然而,文件被加密影响到了它们的检索和使用,带来了密文数据检索的需求,相关技术称为可检索加密技术。根据加密算法的类型,可检索加密技术可分为对称可搜索加密技术和非对称可搜索加密技术。
针对可搜索的加密与密文检索技术,中国科学院软件研究所张立廷副研究员从可搜索加密产生的背景谈起,梳理了可搜索的加密的发展脉络,对现有方案的优缺点进行了对比分析,指出了各种方案应用于云计算环境的适用性。中国科学院软件研究所张敏副研究员从密文检索、密文访问控制、云数据完整性保护的角度介绍了介绍密文云存储安全关键技术进展,及其在实际密文云存储系统中的实现效率情况,并指出当前面临的主要问题。
3、基于属性加密与云计算访问控制
存储数据的访问控制是实现系统安全一个非常重要的保障。传统的访问控制模型都假设用户和服务器处于同一个信任域中,不再适用于云计算环境。基于属性的加密方案,可以在密文或者密钥中嵌入访问控制策略,提供了一种灵活的访问控制方法,是云计算环境下实现基于密码技术的访问控制的关键技术。
针对属性加密与云数据访问控制,北京航空航天大学伍前红教授提出了分级属性基加密机制,其中拥有高阶属性的用户可以生成低阶属性用户的密钥,并介绍了在云环境中大型组织间安全高效数据共享中的应用。南京财经大学韩金广副教授介绍了一种带过滤器的属性基数据传输方案,只有属性满足访问策略的用户才可以发送或得到消息,且能通过一个有效的过滤算法抵抗Dos攻击。中国科学院软件研究所张立武副研究员提出了将访问控制决策转移到云服务执行,以处理资源受限的终端设备收到的访问控制请求,提出引入仲裁模型和公开可验证计算模型来对云决策的结果进行验证,解决云计算服务的信任问题。湖北工业大学张明武教授作了题为“函数加密:模型、进展与展望”的报告,给出函数加密的一般模型及其安全性定义,通用实例化的特定函数的加密模型,描述函数加密的进展及研究难点,同时给出一般化函数加密的模型和设计思路和安全性证明框架。中山大学的韦宝典副教授介绍了格理论的基础知识,以及基于格的Hash函数、谓词加密、全同态加密、签名方案等,并介绍了这些方案在云计算中的应用。
4、代理重加密与云计算数据共享
代理重加密是一种具有密文转换功能的公钥加密体制,允许一个拥有重加密密钥的代理服务器将一个用户的密文数据转换为另一个用户的密文数据,而代理服务器不能获知对应的明文信息。代理重加密可以方便地解决云存储中密文数据的分享问题,保证用户数据的隐私性,并且具有灵活、高效等特点。
针对代理重加密与云数据分享,暨南大学的翁健教授针对现有双向代理重加密安全性定义的不足,给出了主密钥安全、不可传递性、针对原始密文和转换密文的选择密文安全性等安全定义。浙江工商大学的邵俊副教授提出了一个新的代理重加密方案,给出了一个云存储加密数据共享协议,允许数据拥有者灵活地分享他人发送的加密数据。电子科技大学的李发根副教授给出了一个具有保密性和认证性的数据访问控制机制,数据所有者委托CSP重加密该数据并且只有授权的用户可以解密这个数据。武警工程大学的钟卫东副教授作了介绍了条件限定的带关键字搜索的代理重加密的定义和安全模型及潜在应用,给出了一种构造方案。
5、密码方案的安全外包计算
外包计算是云计算环境下的一个典型应用,持有数据的客户端,或者计算资源受限的终端,可以将某个计算任务外包给云服务器,既充分利用云环境下的计算资源,又降低了用户端的计算开销。密码方案的安全外包计算除了高效性以外,需要考虑两个安全性质:可检测性,即如果外包计算结果的验证对终端而言是困难的,云服务器必须提供相应的证明来保证结果的正确性;隐私性,即在有些应用中,外包计算的输入值和输出值必须满足隐私性保护,外包商不能得到有关输入值和输出值的有用信息。
针对密码方案的安全外包计算、公平电子支付以及可验证计算技术,广州大学唐春明教授介绍了幂指数的有效外包计算协议,给出了通过租赁单个服务器来有效地外包计算幂指数的方法,且满足正确性、可验证性、有效性、以及隐私性等性质。暨南大学的赖俊祚研究员介绍了可验证的外包运算相关概念,并讨论可能的研究方向。中国科学院信息工程研究所的徐海霞副研究员作了报告“安全外包计算”, 给出了一种提高一般函数外包计算效率的方法。
6、云计算密钥管理
密钥管理是构建安全保障体系的核心基础,也是云计算环境建设的重点和难点。相对于一般的信息安全系统,多租户、多角色和多层次的云计算平台特征,以及资源的所有权和控制权分离的特点,导致面向云计算的密钥管理更加困难。
针对云计算密钥管理技术,信息安全国家重点实验室徐静研究员针对SaaS、PaaS和IaaS三种云服务模式,分析了密钥管理所面临的挑战,并结合一个具体密钥管理方案,探讨了安全、高效的云计算密钥管理架构的设计方法。中国科学院数据与通信保护研究教育中心高能副教授分析了云计算环境中的密码安全需求,展现了当前云计算服务中密码技术的应用现状,探讨了密码技术在云计算中的主要应用。
7、云计算安全建设实践
将密码技术应用于云计算环境建设,解决云计算的安全问题,最大程度地保障用户的权益,提高我国信息安全应用水平,是云计算应用中的重要安全实践。
针对基于密码技术的云计算安全环境建设实践,中国电子信息安全研究院杨晨高级工程师系统梳理了云计算面临的信息安全威胁,从应用和产业支撑的角度探讨了云计算环境下安全保障的关键问题。北京国富安电子商务安全认证有限公司周君平高级工程师介绍了一种基于密码应用的智慧企业“移动云”安全建设整体解决方案;成都卫士通公司钟博总经理助理从企业实践的角度出发,分析了云计算环境下的密码应用实践,介绍了一种安全桌面云解决方案。
与会专家达成的共识和建议
参与论坛讨论的专家和学者,围绕面向云计算的密码研究现状、存在的问题、技术发展趋势等,进行了广泛交流和热烈讨论,达成了以下共识和建议。
第一, 云计算可提供灵活多样、按需即取的广泛的数据和运算服务,在世界范围内快速发展。云计算带来的数据安全和隐私问题关系到个人、社会乃至国家安全,需要引起高度重视,加大研究投入。
   第二, 云数据的完整性证明技术、可检索加密技术、属性加密技术和代理重加密技术,可以有效地解决云服务器的数据存储服务质量证明问题、用户敏感数据的加密检索问题、云数据的访问控制问题和云数据的安全分享问题,是实现云计算安全的关键技术,需要进一步加强这些密码新技术的理论研究和应用开发。
   第三, 云计算环境下的密钥管理技术,是云计算安全的重点和难点,目前尚缺乏有效的技术手段,需要开展深入研究并提出有效的解决方案。
第四, 加强安全外包计算、函数加密、全同态加密等面向云计算的新型密码技术研究,对于云计算安全的基础理论发展具有重要的意义。
第五, 云计算环境下计算能力的分析与评估,对于当前的信息保障系统具有重要的意义。
 本次论坛为从事云安全研究的青年科技工作者提供了很好的交流平台和宽松、平等、自由的交流空间。论坛氛围宽松、平等、自由,与会人员畅所欲言,讨论热烈,既增进了彼此间的交流和友谊,又扩大了视野,促进了学术进步,碰撞出了思想的火花,与会代表普遍表示收获很大,论坛对进一步推动我国云计算密码技术研究、发展和应用,具有积极的促进作用。