随着信息网络的快速发展,数据信息的应用环境越来越复杂,数据在从创建、存储、使用、共享、归档到销毁的生命周期各个阶段都面临各种泄漏风险,特别是由内部威胁导致的数据泄漏问题日益突出。传统的数据泄漏防护技术可以有效抵御来自外部的攻击,但对于内部威胁还缺乏有效的防护。而且这些技术多是针对数据生命周期某个阶段的防护需求建立相应的防护机制,没有形成统一的有机整体,一旦某个环节出现问题,将导致整个泄漏防护失败。分布式和云计算技术的广泛应用给数据泄漏防护提出了许多新的挑战。如何有效应对内部威胁导致的数据泄漏,建立支持数据全生命周期的统一防护机制,确保数据在存储、使用和共享传输过程中的安全,是当前信息安全领域亟待解决的关键问题。本文分析了数据生命周期各个阶段的泄漏防护需求,并针对内部威胁的特点,从增强数据自身防护能力的角度出发,提出了一种面向内部威胁的数据泄漏主动防护模型。基于该模型,本文分别从信息流约束、可信主体的隔离约束以及主动防护体系结构等方面深入研究了数据泄漏防护的理论和技术。通过对关键技术的集成,设计实现了一款具有主动防护能力的安全移动存储器,验证了模型的正确性和防护技术的有效性。本文取得的主要研究成果如下:1.提出了一种面向内部威胁的数据泄漏主动防护模型。该模型通过对数据本身或数据存储环境进行属性和安全机制扩展,为数据增加具有自主安全防护能力的安全数据容器(Secure Data Container, SDC),由安全容器在数据生命周期的各个阶段主动对使用环境进行可信检测,并对数据使用过程进行安全控制,从而实现对数据的“贴身保护”。同时,针对内部威胁的特点,给出了数据泄漏主动防护模型的实现框架,为本文关键技术的研究提供总体的思想和结构指导。2.提出了一种基于单向信息流约束的主动中国墙模型。该模型针对数据泄漏防护中信息流约束的特点和需求,对传统中国墙模型的冲突关系和联盟关系进行了扩展,提出了主动冲突关系和主动联盟关系的概念。在此基础上,给出了模型的形式化描述和安全特性分析,并与传统中国墙模型以及BLP模型等进行了比较和分析,最后给出了模型在访问控制、终端电子文档泄漏防护和虚拟机环境泄漏防护等不同应用场景下的实现结构。3.提出了一种面向可信主体约束的动态隔离机制。该机制根据数据泄漏防护的需求划分隔离域,并针对可信主体的不同访问操作,通过读隔离、写隔离和通信隔离等三种隔离过程动态扩展隔离域范围,在保证可信主体应用完整性的同时,防止其通过“合法操作”导致的数据泄漏。给出了隔离过程中文件和进程迁移的实施策略,并使用形式化方法对动态隔离机制的安全性进行了描述和证明。在此基础上,通过扩展不同隔离域之间的引用关联,实现了一种动态隔离增强的轻量级虚拟机DI-FVM。DI-FVM在操作系统层进行虚拟化,通过引用关联来实现细粒度的行为约束。4.提出了一种基于使用预期的主动安全存储结构。从数据角度出发,根据数据在不同状态下对属性、访问操作以及使用环境的安全预期,建立统一的安全需求描述机制,提出了基于预期的使用控制模型。在此基础上,重点研究了数据从存储设备到使用环境的连续保护问题,提出了一种基于使用预期的主动安全存储体系结构(Usage-Expectation-based Active Secure Storage, UE-ASS)。UE-ASS将主动防护机制绑定到存储设备中,通过在终端系统中动态构建虚拟隔离使用环境,并基于可信计算建立从存储设备到隔离环境的信任链,实现数据使用预期的可信传递和使用过程的连续控制。5.以主动泄漏防护模型为指导,综合上述关键技术成果,设计实现了一款具有主动防护能力的安全移动存储器UTrustDisk。该存储器将嵌入式安全芯片集成到存储器硬件中,并通过安全芯片上运行的片上操作系统(Chip Operating System,COS)实现存储器的主动防护。COS会在终端系统中动态构建数据使用的虚拟隔离环境DI-FVM,并基于安全芯片提供的安全机制实现信任链的建立和数据使用预期的管理,从而确保数据从存储设备到使用环境过程中的主动泄漏防护。以上研究成果综合考虑了内部威胁的特点和数据整个生命周期内的泄漏防护需求,以信息流分析方法为基础,结合虚拟隔离和可信计算的思想,通过增强数据自身的主动防护能力,实现数据全生命周期的连续泄漏防护。对信息流约束和动态隔离机制的形式化验证表明,本文的方法可以有效保证泄漏防护的安全性,具有一定的理论意义。原型系统的实现和测试也表明,以上泄漏防护技术可以较好的解决内部威胁导致的数据泄漏问题,为实际应用中的泄漏防护提供了重要的技术支撑,具有很好的实用价值。