面向多租戶的屬性標簽分層方案*

王靜宇，楊利辛

(內蒙古科技大學 信息工程學院, 內蒙古 包頭 014010)

面向多租戶的屬性標簽分層方案*

王靜宇，楊利辛

(內蒙古科技大學 信息工程學院, 內蒙古 包頭 014010)

SaaS模式中租戶與服務商之間一直存在信任問題，將服務商與租戶分開管理，借助標簽跨域訪問則存在效率瓶頸和標簽安全的問題。利用屬性特征結合標簽，設計出一個針對多租戶跨域訪問的方法，將標簽根據屬性分類管理，再把跨域訪問的權限賦予各屬性標簽，實現平臺內通過屬性標簽的跨域訪問。最后，通過實驗和分析驗證了該屬性標簽保護方法的高效性。

多租戶；分層結構；屬性標簽

Abstract: In the SaaS model, tenants and service providers do not always trust with each other, and the traditional method that separately manages service providers and tenants through label cross-domain access is not always well-performed for issues of its efficiency bottleneck and lack of label security. In this paper, a new method for multi tenants cross domain access is produced by combining attributive characters and tags. The method is designed that the tags are classificaly managed according to their attributes, and then the authorities of cross domain accesses are attributed to each tags, so as to achieve cross domain accesses through the attribute tags within the platform. Finally, the efficiency of the tag protection method is verified by experiment and analysis.

Key words:multi-tenant; hierarchical structure; attribute tab

0 引言

SaaS是一種常見的多租戶模式，其有效地提升了企業的服務效率，而且可以縮減企業的開支。當前，要求SaaS模型能夠滿足租戶各自配置的基礎數據并可以阻隔租戶間的數據，這樣就能維護每個租戶的數據安全[1]。各項功能由該平臺提供給租戶，但租戶不希望數據被別的部門甚至平臺管理者窺探，因此，這樣的模式是否安全以及會不會提供可靠的管理就成了重要的問題。

針對訪問控制模式的安全性和管理性問題，數據保護和對抗外部攻擊是很多模型關注的重點。如張坤[2]是通過數據組合的方式，將重要的數據和密鑰都交給可信第三方，根據屬性特征把數據分成分塊，由第三方進行混肴重構進行保護。后來，工作流管理中的問題引起了鄧集波等人的關注[3]，他們還提出了TBAC，即基于任務的訪問控制模型[4]，該模型有效地解決了角色權限的動態分配問題。但對數據保護和管理效率的關注繞不開平臺內部人員對租戶管理權限繼承這樣的安全問題。

按照可信第三方的思路建立控制模型就自然忽略了平臺內部監守自盜的問題。當然，一些國內外學者對其中的不完善也進行了探究，在曹進提出的標簽跨域訪問控制模型里特別針對內部安全進行保護，把模型分為租戶層和管理層，之間通過標簽訪問[5]。租戶和管理者經過角色獲取相應的標簽，標簽之間通過權限設置，具體實施跨域訪問[6]。但是，隨之產生大量的標簽降低了工作效率，對跨域訪問的核心標簽管理也缺乏可靠安全的保護方法[7]。

本文對此提出一種通過屬性管理標簽的方法，具體貢獻如下：針對標簽數量增加，提出了一個有效區分標簽的模型。屬性標簽管理模型用標簽屬性來管理達到實現跨域訪問控制的目的，提高了標簽管理的效率，使控制模型更方便。

1 屬性標簽跨域訪問控制

1.1屬性標簽描述

1.1.1客體管理層屬性標簽

在屬性標簽訪問中的跨域問題上使用對于租戶的工作人員按照一定規則分類管理的方法。如將區域、行業、國家等分開處理，然后把這些分類項變成一個個標簽樹群ASTT(Attribute Security Tag Tree)。樹的枝干上的節點可以標示為一個一個的屬性標簽，如圖1所示。

圖1 客體屬性標簽樹圖

1.1.2主體租戶屬性標簽

租戶獲取標簽的方法是通過其不同的屬性來獲得租戶所需要的屬性標簽。然后租戶所有的信息組將交給屬性角色樹群，這些樹群是根據不同租戶的不同要求和屬性標簽生成的，其表示如圖2所示。

圖2主體屬性標簽樹圖

圖3 訪問控制時序圖

租戶對于信息的訪問是基于屬性標簽的匹配度，平臺上信息數據所有的標簽和租戶的標簽相匹配則可以安全訪問。

1.1.3屬性標簽表

賦予管理層和租戶的屬性標簽AT形成一個個屬性標簽表，再結合租戶和管理層的協商意見為其制定一個安全等級，如表1所示。

表1 職能標簽表

在對屬性標簽進行存儲時，設置一個k值，k值代表不同屬性，而v值是該屬性標簽的等級，如表2。

表2 屬性標簽表

然后通過l-多樣性原則基礎上的微聚集算法保護對其進行研究。

1.2屬性標簽跨域訪問流程

該流程與之前的RBAC訪問控制流程有一些不同，因為租戶的訪問控制模型結合了角色及屬性標簽。圖3所示為用戶的訪問控制時序圖。

租戶訪問該模型是經過訪問接口到達身份認證再交付回租戶。經過SaaS模式下的多次驗證后，最后利用屬性標簽的合理匹配得到安全的信息結果。

1.2.1流程元素形式化表示

TA(Tags of Tenant A)是租戶A的標簽。

主體標簽為S:(tenant，RS)或(tenant，role1，role2，…，rolen)，其中RS(Role Set)是該用戶所有的角色集。

客體標簽為O:(tenant，STS)或(tenant，tag1，tag2，…，tagn)，其中STS(Security Tag Set)是標簽集。

屬性標簽的控制規則可以表示為(T，ATS，STS，R，Q)。

(1)U的租戶屬性標簽表示方法是STS(u)。

(2)別的租戶的屬性標簽傳遞用STS(t)表示。

1.2.2形式化訪問流程

下面是一個假定的租戶訪問用戶流程形式化表示，如下。

Select aq1，aq2，…，aqn

From Rq1，Rq2，…，Rqm

Where Qq

規則的前提是:

(1)關系R的屬性集的子集A=(a1，a2，…，am)是Aq=(aq1，aq2，…，aqn) 的子集。

如果滿足以下規則:

那么，訪問語句可以轉變為如下語句Query(t):

Select aq1，aq2，…，aqn

From Rq∩Rr

WhereQq∩Qr

對于租戶而言，訪問語句的轉化沒有影響到訪問的結果。同理對于一個語句的查詢變為后一種語句可以用下式說明。

依以上過程，通過主客體屬性標簽的對比匹配，實現屬性標簽基礎上的跨域訪問，更方便和高效。接下來是對屬性標簽進行相應的保護。

1.2.3屬性標簽表設置

假設一個屬性標簽表中的屬性為疾病(Condition)，經過匿名化處理后，如表3所示。

表3 屬性標簽等級表

屬性標簽被賦予不同的等級值，將屬性標簽等級化和賦值化會提高管理效率。表中值的高低代表屬性標簽相對應的隱私保護強度。具體隱私等級規定方案會在以后的工作中繼續研究。

2 實驗結果與分析

實驗采用數據集census[8]，實驗平臺配置：CPU為Core i3 3.40 GHz，內存為12 GB，操作系統平臺為Windows10，編程環境為Eclipse。

在效率實驗中，通過逐漸增加模型標簽數量觀察系統運行的時間開銷，來驗證標簽模型加入屬性管理后對效率的優化。

圖4 時間效率對比圖

實驗結果如圖4所示，在開始時模型標簽個數較少，屬性標簽模型時間開銷較大，可能是在對屬性標簽的屬性讀取和分類管理上消耗了一定時間。當隨著模型標簽個數的不斷增加原標簽模型因大量的標簽數據，效率會越來越低。而屬性標簽管理的效率優越性逐漸體現出來，對于大量的標簽數據，更系統化、規則化的屬性標簽模型展現出更快捷的運行效果。

3 結論

本文提出的基于屬性標簽跨域訪問模型，兼顧了標簽訪問模型的跨域訪問安全性和屬性分類管理的便利性，同時從效率實驗上已看出對于大量的標簽數據，模型在時間開銷上有更好表現。

本文中對于屬性標簽只是簡單地分類和賦值，對于各屬性的敏感等級還沒有更深入的研究。在接下來的工作中，要從屬性標簽的敏感等級入手，進一步滿足租戶、服務商的客觀情況和主要需要。

[1] 任國珍.支持多租戶數據隱私保護的數據加密機制研究[D]. 濟南:山東大學, 2012.

[2] 張坤. 面向多租戶應用的云數據隱私保護機制研究[D]. 濟南:山東大學, 2012.

[3] 鄧集波, 洪帆. 基于任務的訪問控制模型[J].軟件學報, 2003,14(1):76-82.

[4] 夏魯寧, 荊繼武. 一種基于層次命名空間的RBAC管理模型[J].計算機研究與發展, 2007, 44(12):2020-2027.

[5] 曹進.基于租戶的訪問控制模型研究[D].蘇州:蘇州大學,2013.

[6] Chen Kang, Zheng Weimin. Cloud computing: system instances and current research: cloud computing: system instances and current research[J]. Journal of Software, 2010, 20(5):1337-1348.

[7] SPRINGER U S. Web services business process execution language[J]. Medicina, 2003, 44(1): 64-71.

[8] 王茜, 張剛景. 實現單敏感屬性多樣性的微聚集算法[J]. 計算機工程與應用, 2015,51(11): 72-75.

Multi-tenant attribute tag hierarchical scheme

Wang Jingyu, Yang Lixin

(School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

TP393.08

A

10.19358/j.issn.1674- 7720.2017.18.003

王靜宇，楊利辛.面向多租戶的屬性標簽分層方案[J].微型機與應用，2017,36(18)：8-10.

國家自然科學基金資助項目(61462069，61662056 )；內蒙古自然科學基金資助項目(2015MS0622，2016MS0609)

2017-03-30)

王靜宇(1976-),通信作者，男，博士,副教授，主要研究方向：云計算、信息安全。E-mail: btu_wjy@qq.com。

楊利辛(1990-),男，碩士，主要研究方向：云計算,隱私保護。