云计算环境下敏感数据防泄漏方法与系统.doc

云计算环境下敏感数据防泄漏方法与系统 技术研究报告 武汉大学 二零一二年四月 目 录 一、 立项背景 1 二、 技术路线 2 1、 云计算环境下敏感数据防泄漏统一模型 3 2、 终端虚拟机环境的信任链构建及可信度量方法 4 3、 可信虚拟平台的远程可信验证方法 7 4、 管理域的特权集合优化分解方法 8 5、 基于VMM的数据防泄漏监控架构 10 6、 适于虚拟机环境的透明加解密方法 14 7、 基于可信平台模块的密钥管理方案 15 8、 云计算环境下敏感数据防泄漏系统 16 三、 技术特征 16 四、 技术创新点 17 五、 技术成熟度 18 六、 总体性能指标与国内外同类先进技术的比较 19 七、 对社会经济发展和科技进步的意义 20 八、 推广应用的条件和前景 21 九、 存在的问题 21 立项背景 数据泄漏国家安全社会稳定国家信息安全测评认证中心的调查结果表明：在众多的攻击行为和事件中，最主要的安全事件是信息泄漏事件敏感数据泄漏是信息安全研究领域一个亟待解决的重要问题可信计算及虚拟化技术为这一安全需求提供了新思路，是当前敏感数据防泄漏研究的发展趋势。可信计算技术从信息系统的硬件和操作系统等底层着手保障信息系统的安全性，虚拟化技术通过提供良好的隔离特性，可弥补可信计算理论滞后于技术研究现状的不足2009AA01Z442）的支持下，武汉大学计算机学院和空天信息安全与可信计算教育部重点实验室承担研发了“云计算环境下数据防泄漏方法与系统”。该系统结合了可信计算和虚拟化技术，通过可信计算技术从硬件和操作系统等底层着手保障开放的云服务平台的安全性和可信性；通过虚拟化技术的良好隔离特性为多个应用提供单独的执行环境，防止在共享的云服务平台中多个用户的应用和数据相互影响而导致敏感数据的泄漏；通过与平台相关的透明加解密方法保证用户的机密性，使得即使用户的密钥被泄漏也不会导致敏感数据被泄漏。 本属于信息安全类软件政府机要部门、国家安全部门、军队安全必威体育官网网址部门、金融机构的数据中心及相关部门及具有敏感及隐私信息保护需求的相关部门本系统有机地结合了可信计算和虚拟化技术，能够有效地解决云计算环境下的企事业单位内部敏感数据泄露的问题。该系统通过终端虚拟环境的信任链构造技术、可信度量机制，以及虚拟平台远程可信验证方法，确保了可信虚拟平台的完整性和可信性。通过对管理域的特权集合优化分解和用VMM对虚拟机进行监控，有效地提高了VMM体系架构的安全性和可控性，防止客户虚拟机中恶意进程对敏感数据或者机密信息进行非法的拷贝、篡改或者传输。当客户虚拟机存在恶意进程进行非法的操作行为时VMM能予以有效的阻止，防止敏感数据的泄漏。通过与平台相关的透明加解密方法和密钥管理方案，能够保证用户的敏感数据的机密性，使得敏感数据只有在指定平台上才能被解密，从而有效地防止存储的敏感数据被泄漏，且该过程对用户都是透明的。 本系统的主要内容和总体技术路线如图1所示。 图1 本系统的总体技术路线 云计算环境下敏感数据防泄漏统一模型 在云计算环境中，虚拟机是敏感数据生命周期中的主要载体，虚拟计算环境的可信性与敏感数据的管理控制是确保敏感数据的安全性与可控性的重要措施。本系统借鉴可信虚拟域思想，提出了一种云计算环境下敏感数据防泄漏模型，如所示。该模型主要包括可信虚拟平台、感数据提供方、证书颁发权威机构、可信虚拟域管理方。此外，利用可信虚拟域在各虚拟机内的控制代理程序实现统一监控与安全管理，并结合可信平台模块的密封存储功能，确保存储、传输等状态下敏感数据的完整性与必威体育官网网址性，从而保障了敏感数据流在整个生命周期的安全，扩展模型的适用范围。 图数据防泄漏模型 终端虚拟机环境的信任链可信度量在虚拟化平台下，平台通过Hypervisor实现共享硬件资源的方式，同时支持多个相互隔离的计算系统，虚拟机的启动也允许多次发生，这种结构特征具有很强的灵活性。而在单一系统中，现有的物理TPM所采用的独占式的单处理方式不再满足虚拟平台下的多路复用要求，而且所有的VM共享一个物理TPM时，会暴露平台上其他虚拟机的信息，破坏了虚拟机之间的隔离特性。 本的可信虚拟执行环境的架构如所示。其中，vTPM实例与客户虚拟机一一对应，为用户提供绑定、密封、密钥存储等一系列与物理TPM相同的功能。vTPM永久存储区（Persistent Storage, PS）用来保护每个vTPM实例的状态结构vTPM-SS（vTPM State Structure），其中保存了vTPM的永久状态信息。vTPM管理器负责vTPM实例的创建与管理，为客户虚拟机与vTPM实例间以及vTPM实例与物理TPM间提供了通信信道。当创建一个虚拟机时，虚拟TPM管理器便会产生一个vTPM实例并将其与新建的虚拟机关联。虚拟TPM管理器通过监听虚拟TPM驱动的