基於可信虛擬域的敏感數據防泄漏模型與方法研究

協同工作環境下敏感數據的有效管理與控制方法研究，已得到學術界和產業界的高度關注，它強調高度協作環境下數據在整個生命周期中的安全性與可控性。本項目圍繞數據安全的基礎理論問題，以可信虛擬域思想為依據，提出一種敏感數據防泄漏的統一模型。將信任擴展至敏感用戶數據虛擬機環境，從而建立一條完整的信任鏈，確保敏感用戶數據的虛擬機環境的可信；針對敏感數據計算平台安全性驗證的高效率要求，提出UC模型下可證安全的無需可信第三方的遠程證明方案，增強了敏感用戶數據分發的可控性；針對虛擬機環境下管理域對敏感數據計算環境的安全威脅，提出虛擬機體系結構下與敏感數據防泄漏相關的可信計算基裁剪方法；通過在VMM體系結構上引入I/O監控模組等相關模組，實現敏感數據虛擬可信套用環境。本項目所採用的研究方法強調對敏感信息駐留環境的構建和信任確保，與現有的以內容監管為中心的防泄露機制在思路和方法上有較大區別和創新。

在網路協同工作環境下，敏感數據的防泄漏著重強調數據在整個生命周期中的安全性與可控性，它不僅需要保護終端平台的數據安全性，還需要確保數據傳輸的安全性。可信虛擬域構建在開放網際網路基礎設施之上，以虛擬計算資源的按需聚合與自主協同為核心，為保障敏感數據防泄漏模型的有效實施提供前提。為此，本項目重點從構建可信虛擬域的可信擴展方法、面向敏感數據計算環境的可信性驗證協定設計與分析方法、可信虛擬機環境下的敏感數據的控制策略及主動防範機制這三個基礎科學問題與關鍵理論研究。針對當前網路環境的開放性和計算環境的不可控性，本項目研究基於信任擴展的可信虛擬域構建方法，設計適合網路協同環境下數據防泄漏模型；提出基於演化計算的可信協定設計方法，探索可信網路環境下的協定可證安全性分析技術；提出適合虛擬計算環境下主動監控方法和安全訪問控制策略，探究數據泄漏過程和系統異常行為的內在聯繫，挖掘數據泄露的可能途徑。本項目所採用的研究方法及關鍵技術是對可信計算理論與虛擬化技術研究的豐富與創新，研究成果將進一步為我國雲計算戰略實施做貢獻。