面向多租戶的屬性標簽分層方案*

王靜宇，楊利辛

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院, 內(nèi)蒙古 包頭 014010)

面向多租戶的屬性標簽分層方案*

王靜宇，楊利辛

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院, 內(nèi)蒙古 包頭 014010)

SaaS模式中租戶與服務(wù)商之間一直存在信任問題，將服務(wù)商與租戶分開管理，借助標簽跨域訪問則存在效率瓶頸和標簽安全的問題。利用屬性特征結(jié)合標簽，設(shè)計出一個針對多租戶跨域訪問的方法，將標簽根據(jù)屬性分類管理，再把跨域訪問的權(quán)限賦予各屬性標簽，實現(xiàn)平臺內(nèi)通過屬性標簽的跨域訪問。最后，通過實驗和分析驗證了該屬性標簽保護方法的高效性。

多租戶；分層結(jié)構(gòu)；屬性標簽

Abstract: In the SaaS model, tenants and service providers do not always trust with each other, and the traditional method that separately manages service providers and tenants through label cross-domain access is not always well-performed for issues of its efficiency bottleneck and lack of label security. In this paper, a new method for multi tenants cross domain access is produced by combining attributive characters and tags. The method is designed that the tags are classificaly managed according to their attributes, and then the authorities of cross domain accesses are attributed to each tags, so as to achieve cross domain accesses through the attribute tags within the platform. Finally, the efficiency of the tag protection method is verified by experiment and analysis.

Key words:multi-tenant; hierarchical structure; attribute tab

0 引言

SaaS是一種常見的多租戶模式，其有效地提升了企業(yè)的服務(wù)效率，而且可以縮減企業(yè)的開支。當前，要求SaaS模型能夠滿足租戶各自配置的基礎(chǔ)數(shù)據(jù)并可以阻隔租戶間的數(shù)據(jù)，這樣就能維護每個租戶的數(shù)據(jù)安全[1]。各項功能由該平臺提供給租戶，但租戶不希望數(shù)據(jù)被別的部門甚至平臺管理者窺探，因此，這樣的模式是否安全以及會不會提供可靠的管理就成了重要的問題。

針對訪問控制模式的安全性和管理性問題，數(shù)據(jù)保護和對抗外部攻擊是很多模型關(guān)注的重點。如張坤[2]是通過數(shù)據(jù)組合的方式，將重要的數(shù)據(jù)和密鑰都交給可信第三方，根據(jù)屬性特征把數(shù)據(jù)分成分塊，由第三方進行混肴重構(gòu)進行保護。后來，工作流管理中的問題引起了鄧集波等人的關(guān)注[3]，他們還提出了TBAC，即基于任務(wù)的訪問控制模型[4]，該模型有效地解決了角色權(quán)限的動態(tài)分配問題。但對數(shù)據(jù)保護和管理效率的關(guān)注繞不開平臺內(nèi)部人員對租戶管理權(quán)限繼承這樣的安全問題。

按照可信第三方的思路建立控制模型就自然忽略了平臺內(nèi)部監(jiān)守自盜的問題。當然，一些國內(nèi)外學(xué)者對其中的不完善也進行了探究，在曹進提出的標簽跨域訪問控制模型里特別針對內(nèi)部安全進行保護，把模型分為租戶層和管理層，之間通過標簽訪問[5]。租戶和管理者經(jīng)過角色獲取相應(yīng)的標簽，標簽之間通過權(quán)限設(shè)置，具體實施跨域訪問[6]。但是，隨之產(chǎn)生大量的標簽降低了工作效率，對跨域訪問的核心標簽管理也缺乏可靠安全的保護方法[7]。

本文對此提出一種通過屬性管理標簽的方法，具體貢獻如下：針對標簽數(shù)量增加，提出了一個有效區(qū)分標簽的模型。屬性標簽管理模型用標簽屬性來管理達到實現(xiàn)跨域訪問控制的目的，提高了標簽管理的效率，使控制模型更方便。

1 屬性標簽跨域訪問控制

1.1屬性標簽描述

1.1.1客體管理層屬性標簽

在屬性標簽訪問中的跨域問題上使用對于租戶的工作人員按照一定規(guī)則分類管理的方法。如將區(qū)域、行業(yè)、國家等分開處理，然后把這些分類項變成一個個標簽樹群ASTT(Attribute Security Tag Tree)。樹的枝干上的節(jié)點可以標示為一個一個的屬性標簽，如圖1所示。

圖1 客體屬性標簽樹圖

1.1.2主體租戶屬性標簽

租戶獲取標簽的方法是通過其不同的屬性來獲得租戶所需要的屬性標簽。然后租戶所有的信息組將交給屬性角色樹群，這些樹群是根據(jù)不同租戶的不同要求和屬性標簽生成的，其表示如圖2所示。

圖2主體屬性標簽樹圖

圖3 訪問控制時序圖

租戶對于信息的訪問是基于屬性標簽的匹配度，平臺上信息數(shù)據(jù)所有的標簽和租戶的標簽相匹配則可以安全訪問。

1.1.3屬性標簽表

賦予管理層和租戶的屬性標簽AT形成一個個屬性標簽表，再結(jié)合租戶和管理層的協(xié)商意見為其制定一個安全等級，如表1所示。

表1 職能標簽表

在對屬性標簽進行存儲時，設(shè)置一個k值，k值代表不同屬性，而v值是該屬性標簽的等級，如表2。

表2 屬性標簽表

然后通過l-多樣性原則基礎(chǔ)上的微聚集算法保護對其進行研究。

1.2屬性標簽跨域訪問流程

該流程與之前的RBAC訪問控制流程有一些不同，因為租戶的訪問控制模型結(jié)合了角色及屬性標簽。圖3所示為用戶的訪問控制時序圖。

租戶訪問該模型是經(jīng)過訪問接口到達身份認證再交付回租戶。經(jīng)過SaaS模式下的多次驗證后，最后利用屬性標簽的合理匹配得到安全的信息結(jié)果。

1.2.1流程元素形式化表示

TA(Tags of Tenant A)是租戶A的標簽。

主體標簽為S:(tenant，RS)或(tenant，role1，role2，…，rolen)，其中RS(Role Set)是該用戶所有的角色集。

客體標簽為O:(tenant，STS)或(tenant，tag1，tag2，…，tagn)，其中STS(Security Tag Set)是標簽集。

屬性標簽的控制規(guī)則可以表示為(T，ATS，STS，R，Q)。

(1)U的租戶屬性標簽表示方法是STS(u)。

(2)別的租戶的屬性標簽傳遞用STS(t)表示。

1.2.2形式化訪問流程

下面是一個假定的租戶訪問用戶流程形式化表示，如下。

Select aq1，aq2，…，aqn

From Rq1，Rq2，…，Rqm

Where Qq

規(guī)則的前提是:

(1)關(guān)系R的屬性集的子集A=(a1，a2，…，am)是Aq=(aq1，aq2，…，aqn) 的子集。

如果滿足以下規(guī)則:

那么，訪問語句可以轉(zhuǎn)變?yōu)槿缦抡Z句Query(t):

Select aq1，aq2，…，aqn

From Rq∩Rr

WhereQq∩Qr

對于租戶而言，訪問語句的轉(zhuǎn)化沒有影響到訪問的結(jié)果。同理對于一個語句的查詢變?yōu)楹笠环N語句可以用下式說明。

依以上過程，通過主客體屬性標簽的對比匹配，實現(xiàn)屬性標簽基礎(chǔ)上的跨域訪問，更方便和高效。接下來是對屬性標簽進行相應(yīng)的保護。

1.2.3屬性標簽表設(shè)置

假設(shè)一個屬性標簽表中的屬性為疾病(Condition)，經(jīng)過匿名化處理后，如表3所示。

表3 屬性標簽等級表

屬性標簽被賦予不同的等級值，將屬性標簽等級化和賦值化會提高管理效率。表中值的高低代表屬性標簽相對應(yīng)的隱私保護強度。具體隱私等級規(guī)定方案會在以后的工作中繼續(xù)研究。

2 實驗結(jié)果與分析

實驗采用數(shù)據(jù)集census[8]，實驗平臺配置：CPU為Core i3 3.40 GHz，內(nèi)存為12 GB，操作系統(tǒng)平臺為Windows10，編程環(huán)境為Eclipse。

在效率實驗中，通過逐漸增加模型標簽數(shù)量觀察系統(tǒng)運行的時間開銷，來驗證標簽?zāi)Ｐ图尤雽傩怨芾砗髮π实膬?yōu)化。

圖4 時間效率對比圖

實驗結(jié)果如圖4所示，在開始時模型標簽個數(shù)較少，屬性標簽?zāi)Ｐ蜁r間開銷較大，可能是在對屬性標簽的屬性讀取和分類管理上消耗了一定時間。當隨著模型標簽個數(shù)的不斷增加原標簽?zāi)Ｐ鸵虼罅康臉撕灁?shù)據(jù)，效率會越來越低。而屬性標簽管理的效率優(yōu)越性逐漸體現(xiàn)出來，對于大量的標簽數(shù)據(jù)，更系統(tǒng)化、規(guī)則化的屬性標簽?zāi)Ｐ驼宫F(xiàn)出更快捷的運行效果。

3 結(jié)論

本文提出的基于屬性標簽跨域訪問模型，兼顧了標簽訪問模型的跨域訪問安全性和屬性分類管理的便利性，同時從效率實驗上已看出對于大量的標簽數(shù)據(jù)，模型在時間開銷上有更好表現(xiàn)。

本文中對于屬性標簽只是簡單地分類和賦值，對于各屬性的敏感等級還沒有更深入的研究。在接下來的工作中，要從屬性標簽的敏感等級入手，進一步滿足租戶、服務(wù)商的客觀情況和主要需要。

[1] 任國珍.支持多租戶數(shù)據(jù)隱私保護的數(shù)據(jù)加密機制研究[D]. 濟南:山東大學(xué), 2012.

[2] 張坤. 面向多租戶應(yīng)用的云數(shù)據(jù)隱私保護機制研究[D]. 濟南:山東大學(xué), 2012.

[3] 鄧集波, 洪帆. 基于任務(wù)的訪問控制模型[J].軟件學(xué)報, 2003,14(1):76-82.

[4] 夏魯寧, 荊繼武. 一種基于層次命名空間的RBAC管理模型[J].計算機研究與發(fā)展, 2007, 44(12):2020-2027.

[5] 曹進.基于租戶的訪問控制模型研究[D].蘇州:蘇州大學(xué),2013.

[6] Chen Kang, Zheng Weimin. Cloud computing: system instances and current research: cloud computing: system instances and current research[J]. Journal of Software, 2010, 20(5):1337-1348.

[7] SPRINGER U S. Web services business process execution language[J]. Medicina, 2003, 44(1): 64-71.

[8] 王茜, 張剛景. 實現(xiàn)單敏感屬性多樣性的微聚集算法[J]. 計算機工程與應(yīng)用, 2015,51(11): 72-75.

Multi-tenant attribute tag hierarchical scheme

Wang Jingyu, Yang Lixin

(School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

TP393.08

A

10.19358/j.issn.1674- 7720.2017.18.003

王靜宇，楊利辛.面向多租戶的屬性標簽分層方案[J].微型機與應(yīng)用，2017,36(18)：8-10.

國家自然科學(xué)基金資助項目(61462069，61662056 )；內(nèi)蒙古自然科學(xué)基金資助項目(2015MS0622，2016MS0609)

2017-03-30)

王靜宇(1976-),通信作者，男，博士,副教授，主要研究方向：云計算、信息安全。E-mail: btu_wjy@qq.com。

楊利辛(1990-),男，碩士，主要研究方向：云計算,隱私保護。