王靜宇，楊利辛

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院, 內(nèi)蒙古 包頭 014010)

面向多租戶的屬性標(biāo)簽分層方案*

王靜宇，楊利辛

(內(nèi)蒙古科技大學(xué) 信息工程學(xué)院, 內(nèi)蒙古 包頭 014010)

SaaS模式中租戶與服務(wù)商之間一直存在信任問(wèn)題，將服務(wù)商與租戶分開(kāi)管理，借助標(biāo)簽跨域訪問(wèn)則存在效率瓶頸和標(biāo)簽安全的問(wèn)題。利用屬性特征結(jié)合標(biāo)簽，設(shè)計(jì)出一個(gè)針對(duì)多租戶跨域訪問(wèn)的方法，將標(biāo)簽根據(jù)屬性分類管理，再把跨域訪問(wèn)的權(quán)限賦予各屬性標(biāo)簽，實(shí)現(xiàn)平臺(tái)內(nèi)通過(guò)屬性標(biāo)簽的跨域訪問(wèn)。最后，通過(guò)實(shí)驗(yàn)和分析驗(yàn)證了該屬性標(biāo)簽保護(hù)方法的高效性。

多租戶；分層結(jié)構(gòu)；屬性標(biāo)簽

Abstract: In the SaaS model, tenants and service providers do not always trust with each other, and the traditional method that separately manages service providers and tenants through label cross-domain access is not always well-performed for issues of its efficiency bottleneck and lack of label security. In this paper, a new method for multi tenants cross domain access is produced by combining attributive characters and tags. The method is designed that the tags are classificaly managed according to their attributes, and then the authorities of cross domain accesses are attributed to each tags, so as to achieve cross domain accesses through the attribute tags within the platform. Finally, the efficiency of the tag protection method is verified by experiment and analysis.

Key words:multi-tenant; hierarchical structure; attribute tab

0 引言

SaaS是一種常見(jiàn)的多租戶模式，其有效地提升了企業(yè)的服務(wù)效率，而且可以縮減企業(yè)的開(kāi)支。當(dāng)前，要求SaaS模型能夠滿足租戶各自配置的基礎(chǔ)數(shù)據(jù)并可以阻隔租戶間的數(shù)據(jù)，這樣就能維護(hù)每個(gè)租戶的數(shù)據(jù)安全[1]。各項(xiàng)功能由該平臺(tái)提供給租戶，但租戶不希望數(shù)據(jù)被別的部門甚至平臺(tái)管理者窺探，因此，這樣的模式是否安全以及會(huì)不會(huì)提供可靠的管理就成了重要的問(wèn)題。

針對(duì)訪問(wèn)控制模式的安全性和管理性問(wèn)題，數(shù)據(jù)保護(hù)和對(duì)抗外部攻擊是很多模型關(guān)注的重點(diǎn)。如張坤[2]是通過(guò)數(shù)據(jù)組合的方式，將重要的數(shù)據(jù)和密鑰都交給可信第三方，根據(jù)屬性特征把數(shù)據(jù)分成分塊，由第三方進(jìn)行混肴重構(gòu)進(jìn)行保護(hù)。后來(lái)，工作流管理中的問(wèn)題引起了鄧集波等人的關(guān)注[3]，他們還提出了TBAC，即基于任務(wù)的訪問(wèn)控制模型[4]，該模型有效地解決了角色權(quán)限的動(dòng)態(tài)分配問(wèn)題。但對(duì)數(shù)據(jù)保護(hù)和管理效率的關(guān)注繞不開(kāi)平臺(tái)內(nèi)部人員對(duì)租戶管理權(quán)限繼承這樣的安全問(wèn)題。

按照可信第三方的思路建立控制模型就自然忽略了平臺(tái)內(nèi)部監(jiān)守自盜的問(wèn)題。當(dāng)然，一些國(guó)內(nèi)外學(xué)者對(duì)其中的不完善也進(jìn)行了探究，在曹進(jìn)提出的標(biāo)簽跨域訪問(wèn)控制模型里特別針對(duì)內(nèi)部安全進(jìn)行保護(hù)，把模型分為租戶層和管理層，之間通過(guò)標(biāo)簽訪問(wèn)[5]。租戶和管理者經(jīng)過(guò)角色獲取相應(yīng)的標(biāo)簽，標(biāo)簽之間通過(guò)權(quán)限設(shè)置，具體實(shí)施跨域訪問(wèn)[6]。但是，隨之產(chǎn)生大量的標(biāo)簽降低了工作效率，對(duì)跨域訪問(wèn)的核心標(biāo)簽管理也缺乏可靠安全的保護(hù)方法[7]。

本文對(duì)此提出一種通過(guò)屬性管理標(biāo)簽的方法，具體貢獻(xiàn)如下：針對(duì)標(biāo)簽數(shù)量增加，提出了一個(gè)有效區(qū)分標(biāo)簽的模型。屬性標(biāo)簽管理模型用標(biāo)簽屬性來(lái)管理達(dá)到實(shí)現(xiàn)跨域訪問(wèn)控制的目的，提高了標(biāo)簽管理的效率，使控制模型更方便。

1 屬性標(biāo)簽跨域訪問(wèn)控制

1.1屬性標(biāo)簽描述

1.1.1客體管理層屬性標(biāo)簽

在屬性標(biāo)簽訪問(wèn)中的跨域問(wèn)題上使用對(duì)于租戶的工作人員按照一定規(guī)則分類管理的方法。如將區(qū)域、行業(yè)、國(guó)家等分開(kāi)處理，然后把這些分類項(xiàng)變成一個(gè)個(gè)標(biāo)簽樹(shù)群ASTT(Attribute Security Tag Tree)。樹(shù)的枝干上的節(jié)點(diǎn)可以標(biāo)示為一個(gè)一個(gè)的屬性標(biāo)簽，如圖1所示。

圖1 客體屬性標(biāo)簽樹(shù)圖

1.1.2主體租戶屬性標(biāo)簽

租戶獲取標(biāo)簽的方法是通過(guò)其不同的屬性來(lái)獲得租戶所需要的屬性標(biāo)簽。然后租戶所有的信息組將交給屬性角色樹(shù)群，這些樹(shù)群是根據(jù)不同租戶的不同要求和屬性標(biāo)簽生成的，其表示如圖2所示。

圖2主體屬性標(biāo)簽樹(shù)圖

圖3 訪問(wèn)控制時(shí)序圖

租戶對(duì)于信息的訪問(wèn)是基于屬性標(biāo)簽的匹配度，平臺(tái)上信息數(shù)據(jù)所有的標(biāo)簽和租戶的標(biāo)簽相匹配則可以安全訪問(wèn)。

1.1.3屬性標(biāo)簽表

賦予管理層和租戶的屬性標(biāo)簽AT形成一個(gè)個(gè)屬性標(biāo)簽表，再結(jié)合租戶和管理層的協(xié)商意見(jiàn)為其制定一個(gè)安全等級(jí)，如表1所示。

表1 職能標(biāo)簽表

在對(duì)屬性標(biāo)簽進(jìn)行存儲(chǔ)時(shí)，設(shè)置一個(gè)k值，k值代表不同屬性，而v值是該屬性標(biāo)簽的等級(jí)，如表2。

表2 屬性標(biāo)簽表

然后通過(guò)l-多樣性原則基礎(chǔ)上的微聚集算法保護(hù)對(duì)其進(jìn)行研究。

1.2屬性標(biāo)簽跨域訪問(wèn)流程

該流程與之前的RBAC訪問(wèn)控制流程有一些不同，因?yàn)樽鈶舻脑L問(wèn)控制模型結(jié)合了角色及屬性標(biāo)簽。圖3所示為用戶的訪問(wèn)控制時(shí)序圖。

租戶訪問(wèn)該模型是經(jīng)過(guò)訪問(wèn)接口到達(dá)身份認(rèn)證再交付回租戶。經(jīng)過(guò)SaaS模式下的多次驗(yàn)證后，最后利用屬性標(biāo)簽的合理匹配得到安全的信息結(jié)果。

1.2.1流程元素形式化表示

TA(Tags of Tenant A)是租戶A的標(biāo)簽。

主體標(biāo)簽為S:(tenant，RS)或(tenant，role1，role2，…，rolen)，其中RS(Role Set)是該用戶所有的角色集。

客體標(biāo)簽為O:(tenant，STS)或(tenant，tag1，tag2，…，tagn)，其中STS(Security Tag Set)是標(biāo)簽集。

屬性標(biāo)簽的控制規(guī)則可以表示為(T，ATS，STS，R，Q)。

(1)U的租戶屬性標(biāo)簽表示方法是STS(u)。

(2)別的租戶的屬性標(biāo)簽傳遞用STS(t)表示。

1.2.2形式化訪問(wèn)流程

下面是一個(gè)假定的租戶訪問(wèn)用戶流程形式化表示，如下。

Select aq1，aq2，…，aqn

From Rq1，Rq2，…，Rqm

Where Qq

規(guī)則的前提是:

(1)關(guān)系R的屬性集的子集A=(a1，a2，…，am)是Aq=(aq1，aq2，…，aqn) 的子集。

如果滿足以下規(guī)則:

那么，訪問(wèn)語(yǔ)句可以轉(zhuǎn)變?yōu)槿缦抡Z(yǔ)句Query(t):

Select aq1，aq2，…，aqn

From Rq∩Rr

WhereQq∩Qr

對(duì)于租戶而言，訪問(wèn)語(yǔ)句的轉(zhuǎn)化沒(méi)有影響到訪問(wèn)的結(jié)果。同理對(duì)于一個(gè)語(yǔ)句的查詢變?yōu)楹笠环N語(yǔ)句可以用下式說(shuō)明。

依以上過(guò)程，通過(guò)主客體屬性標(biāo)簽的對(duì)比匹配，實(shí)現(xiàn)屬性標(biāo)簽基礎(chǔ)上的跨域訪問(wèn)，更方便和高效。接下來(lái)是對(duì)屬性標(biāo)簽進(jìn)行相應(yīng)的保護(hù)。

1.2.3屬性標(biāo)簽表設(shè)置

假設(shè)一個(gè)屬性標(biāo)簽表中的屬性為疾病(Condition)，經(jīng)過(guò)匿名化處理后，如表3所示。

表3 屬性標(biāo)簽等級(jí)表

屬性標(biāo)簽被賦予不同的等級(jí)值，將屬性標(biāo)簽等級(jí)化和賦值化會(huì)提高管理效率。表中值的高低代表屬性標(biāo)簽相對(duì)應(yīng)的隱私保護(hù)強(qiáng)度。具體隱私等級(jí)規(guī)定方案會(huì)在以后的工作中繼續(xù)研究。

2 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)采用數(shù)據(jù)集census[8]，實(shí)驗(yàn)平臺(tái)配置：CPU為Core i3 3.40 GHz，內(nèi)存為12 GB，操作系統(tǒng)平臺(tái)為Windows10，編程環(huán)境為Eclipse。

在效率實(shí)驗(yàn)中，通過(guò)逐漸增加模型標(biāo)簽數(shù)量觀察系統(tǒng)運(yùn)行的時(shí)間開(kāi)銷，來(lái)驗(yàn)證標(biāo)簽?zāi)Ｐ图尤雽傩怨芾砗髮?duì)效率的優(yōu)化。

圖4 時(shí)間效率對(duì)比圖

實(shí)驗(yàn)結(jié)果如圖4所示，在開(kāi)始時(shí)模型標(biāo)簽個(gè)數(shù)較少，屬性標(biāo)簽?zāi)Ｐ蜁r(shí)間開(kāi)銷較大，可能是在對(duì)屬性標(biāo)簽的屬性讀取和分類管理上消耗了一定時(shí)間。當(dāng)隨著模型標(biāo)簽個(gè)數(shù)的不斷增加原標(biāo)簽?zāi)Ｐ鸵虼罅康臉?biāo)簽數(shù)據(jù)，效率會(huì)越來(lái)越低。而屬性標(biāo)簽管理的效率優(yōu)越性逐漸體現(xiàn)出來(lái)，對(duì)于大量的標(biāo)簽數(shù)據(jù)，更系統(tǒng)化、規(guī)則化的屬性標(biāo)簽?zāi)Ｐ驼宫F(xiàn)出更快捷的運(yùn)行效果。

3 結(jié)論

本文提出的基于屬性標(biāo)簽跨域訪問(wèn)模型，兼顧了標(biāo)簽訪問(wèn)模型的跨域訪問(wèn)安全性和屬性分類管理的便利性，同時(shí)從效率實(shí)驗(yàn)上已看出對(duì)于大量的標(biāo)簽數(shù)據(jù)，模型在時(shí)間開(kāi)銷上有更好表現(xiàn)。

本文中對(duì)于屬性標(biāo)簽只是簡(jiǎn)單地分類和賦值，對(duì)于各屬性的敏感等級(jí)還沒(méi)有更深入的研究。在接下來(lái)的工作中，要從屬性標(biāo)簽的敏感等級(jí)入手，進(jìn)一步滿足租戶、服務(wù)商的客觀情況和主要需要。

[1] 任國(guó)珍.支持多租戶數(shù)據(jù)隱私保護(hù)的數(shù)據(jù)加密機(jī)制研究[D]. 濟(jì)南:山東大學(xué), 2012.

[2] 張坤. 面向多租戶應(yīng)用的云數(shù)據(jù)隱私保護(hù)機(jī)制研究[D]. 濟(jì)南:山東大學(xué), 2012.

[3] 鄧集波, 洪帆. 基于任務(wù)的訪問(wèn)控制模型[J].軟件學(xué)報(bào), 2003,14(1):76-82.

[4] 夏魯寧, 荊繼武. 一種基于層次命名空間的RBAC管理模型[J].計(jì)算機(jī)研究與發(fā)展, 2007, 44(12):2020-2027.

[5] 曹進(jìn).基于租戶的訪問(wèn)控制模型研究[D].蘇州:蘇州大學(xué),2013.

[6] Chen Kang, Zheng Weimin. Cloud computing: system instances and current research: cloud computing: system instances and current research[J]. Journal of Software, 2010, 20(5):1337-1348.

[7] SPRINGER U S. Web services business process execution language[J]. Medicina, 2003, 44(1): 64-71.

[8] 王茜, 張剛景. 實(shí)現(xiàn)單敏感屬性多樣性的微聚集算法[J]. 計(jì)算機(jī)工程與應(yīng)用, 2015,51(11): 72-75.

Multi-tenant attribute tag hierarchical scheme

Wang Jingyu, Yang Lixin

(School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

TP393.08

A

10.19358/j.issn.1674- 7720.2017.18.003

王靜宇，楊利辛.面向多租戶的屬性標(biāo)簽分層方案[J].微型機(jī)與應(yīng)用，2017,36(18)：8-10.

國(guó)家自然科學(xué)基金資助項(xiàng)目(61462069，61662056 )；內(nèi)蒙古自然科學(xué)基金資助項(xiàng)目(2015MS0622，2016MS0609)

2017-03-30)

王靜宇(1976-),通信作者，男，博士,副教授，主要研究方向：云計(jì)算、信息安全。E-mail: btu_wjy@qq.com。

楊利辛(1990-),男，碩士，主要研究方向：云計(jì)算,隱私保護(hù)。