基于可信虚拟域的敏感数据防泄漏模型与方法研究

协同工作环境下敏感数据的有效管理与控制方法研究，已得到学术界和产业界的高度关注，它强调高度协作环境下数据在整个生命周期中的安全性与可控性。本项目围绕数据安全的基础理论问题，以可信虚拟域思想为依据，提出一种敏感数据防泄漏的统一模型。将信任扩展至敏感用户数据虚拟机环境，从而建立一条完整的信任链，确保敏感用户数据的虚拟机环境的可信；针对敏感数据计算平台安全性验证的高效率要求，提出UC模型下可证安全的无需可信第三方的远程证明方案，增强了敏感用户数据分发的可控性；针对虚拟机环境下管理域对敏感数据计算环境的安全威胁，提出虚拟机体系结构下与敏感数据防泄漏相关的可信计算基裁剪方法；通过在VMM体系结构上引入I/O监控模块等相关模块，实现敏感数据虚拟可信应用环境。本项目所采用的研究方法强调对敏感信息驻留环境的构建和信任确保，与现有的以内容监管为中心的防泄露机制在思路和方法上有较大区别和创新。

在网络协同工作环境下，敏感数据的防泄漏着重强调数据在整个生命周期中的安全性与可控性，它不仅需要保护终端平台的数据安全性，还需要确保数据传输的安全性。可信虚拟域构建在开放互联网基础设施之上，以虚拟计算资源的按需聚合与自主协同为核心，为保障敏感数据防泄漏模型的有效实施提供前提。为此，本项目重点从构建可信虚拟域的可信扩展方法、面向敏感数据计算环境的可信性验证协议设计与分析方法、可信虚拟机环境下的敏感数据的控制策略及主动防范机制这三个基础科学问题与关键理论研究。针对当前网络环境的开放性和计算环境的不可控性，本项目研究基于信任扩展的可信虚拟域构建方法，设计适合网络协同环境下数据防泄漏模型；提出基于演化计算的可信协议设计方法，探索可信网络环境下的协议可证安全性分析技术；提出适合虚拟计算环境下主动监控方法和安全访问控制策略，探究数据泄漏过程和系统异常行为的内在联系，挖掘数据泄露的可能途径。本项目所采用的研究方法及关键技术是对可信计算理论与虚拟化技术研究的丰富与创新，研究成果将进一步为我国云计算战略实施做贡献。