云環(huán)境下的SaaS多租戶隱私保護研究.pdf

1、云環(huán)境下SaaS（Software as a Service）模式負(fù)責(zé)管理大量租戶數(shù)據(jù)，平臺內(nèi)數(shù)據(jù)的保護和訪問控制顯得十分重要。在傳統(tǒng)的訪問控制模式下，租戶的訪問規(guī)則和操作過程都是在管理者的監(jiān)督下完成的，可能存在一些問題。T-ARBAC（Tenant-Administrative Role Based Access Control）模型將平臺分為雙層結(jié)構(gòu)：平臺層和租戶層。分層結(jié)構(gòu)對平臺內(nèi)部工作人員的權(quán)限進行了限制。模型設(shè)置安全標(biāo)簽來解決

2、跨租戶訪問和管理中的問題。T-ARBAC模型滿足雙方信任的需求，但也存在兩個關(guān)鍵性問題：1）該模型的訪問控制都是依靠安全標(biāo)簽來實現(xiàn)的。大量的用戶會產(chǎn)生許多標(biāo)簽，但是缺乏有效的管理，會給系統(tǒng)運行帶來大量的時間冗余；2）模型的核心利用了標(biāo)簽的訪問，但是對標(biāo)簽卻沒有任何管理手段或者采取任何保護措施，這對于T-ARBAC模型來說是個重大隱患。
　　本文將在原T-ARBAC模型的基礎(chǔ)上做出改進，主要工作如下：
　　1）提出一種基于屬性

3、標(biāo)簽的多租戶訪問控制模型 AT-RBAC（Role-Based Access Control with Attribute Tag），模型利用屬性來對標(biāo)簽管理。在原雙層模型基礎(chǔ)上，對租戶屬性與標(biāo)簽建立屬性標(biāo)簽表；利用租戶層和平臺層人員的樹形結(jié)構(gòu)圖形象地解釋屬性標(biāo)簽的等級繼承關(guān)系；制定訪問關(guān)聯(lián)規(guī)則；通過屬性標(biāo)簽數(shù)據(jù)匹配算法和形式化語言對屬性標(biāo)簽跨域訪問和屬性標(biāo)簽與數(shù)據(jù)信息的匹配進行描述。模型利用擁有屬性的標(biāo)簽達(dá)到跨域訪問的目的，提高了管理

4、效率，使控制模型更高效。
　　2）傳統(tǒng)的MDAV算法應(yīng)用于單敏感屬性的保護，AT-RBAC模型中的屬性標(biāo)簽具備單敏感性。本文提出基于屬性標(biāo)簽的AT-MDAV算法。該算法結(jié)合L-多樣性原則和MDAV算法，根據(jù)屬性標(biāo)簽的單敏感特點，拓展出針對屬性標(biāo)簽的保護算法。AT-MDAV算法彌補了T-ARBAC模型沒有對標(biāo)簽做出保護的缺陷。面對背景知識和同質(zhì)性攻擊，該算法借助L-多樣性原則解決了傳統(tǒng)k-匿名保護數(shù)據(jù)的隱患。
　　3）本文對A