雲存儲中數據泄漏的主動防護關鍵技術研究

數據泄漏是當前雲存儲推廣套用過程中面臨的首要安全威脅。由於雲存儲的開放性和共享性，傳統基於邊界的安全技術難以適應雲存儲中數據泄漏防護的需求。近年來提出的數據加密檢索和密文訪問控制等技術，在很大程度上保證了服務商不可信條件下的數據受控共享，但目前對共享數據的使用過程以及數據在整個流轉過程中的泄漏威脅還缺少必要的手段。本課題在分析雲存儲中數據流動以及典型泄漏威脅特點的基礎上，建立數據泄漏的主動防護模型。該模型以數據和所有者的安全預期為核心，在服務端通過基於授權的動態隔離提供安全可信的存儲服務，用戶端通過細粒度的使用控制確保數據按照所有者預期被訪問和使用，並在服務端和用戶端之間建立可信的數據傳輸和策略動態感知通道，從而建立起數據從創建、發布、訪問、使用到許可權回收整個共享流轉過程的連續防護。本項目研究的主動防護模型，可望為建立更加安全可信的雲存儲體系結構提供理論基礎和安全保證。

本項目在分析典型雲存儲系統中數據流動和典型泄漏威脅特點的基礎上，構建套用可感知策略對用戶的內容數據進行保護，並基於TTS構建了一個可信管理框架；基於JVM虛擬機和可信代理實現雲計算環境下套用的動態隔離和評估認證；結合控制流和信息流的完整性防護，實現上下文敏感的控制流完整性防護和間接路徑轉移約束增強；結合機器學習和典型的規避特徵分析，實現JavaScript惡意代碼檢測防規避增強技術，從而從可信防護到動態隔離再到典型攻擊防護增強，形成相對完善的數據泄漏防護體系。 課題組按照研究計畫推進研究工作，完成了課題擬定目標，在雲存儲可信管理框架、基於用戶策略的數據保護、控制流完整性保護、數據包受控分發共享等方面取得了多個關鍵技術突破，部分成果在國防科技大學教學網以及面向麒麟作業系統的軟體包線上分發升級系統中進行了實際套用。課題組共在國內外學術期刊、學術會議上發表學術論文16篇，其中SCI檢索2篇、EI檢索10篇。培養博士研究生2人，碩士研究生4人。