王静宇，杨利辛

(内蒙古科技大学 信息工程学院, 内蒙古 包头 014010)

面向多租户的属性标签分层方案*

王静宇，杨利辛

(内蒙古科技大学 信息工程学院, 内蒙古 包头 014010)

SaaS模式中租户与服务商之间一直存在信任问题，将服务商与租户分开管理，借助标签跨域访问则存在效率瓶颈和标签安全的问题。利用属性特征结合标签，设计出一个针对多租户跨域访问的方法，将标签根据属性分类管理，再把跨域访问的权限赋予各属性标签，实现平台内通过属性标签的跨域访问。最后，通过实验和分析验证了该属性标签保护方法的高效性。

多租户；分层结构；属性标签

Abstract: In the SaaS model, tenants and service providers do not always trust with each other, and the traditional method that separately manages service providers and tenants through label cross-domain access is not always well-performed for issues of its efficiency bottleneck and lack of label security. In this paper, a new method for multi tenants cross domain access is produced by combining attributive characters and tags. The method is designed that the tags are classificaly managed according to their attributes, and then the authorities of cross domain accesses are attributed to each tags, so as to achieve cross domain accesses through the attribute tags within the platform. Finally, the efficiency of the tag protection method is verified by experiment and analysis.

Key words:multi-tenant; hierarchical structure; attribute tab

0 引言

SaaS是一种常见的多租户模式，其有效地提升了企业的服务效率，而且可以缩减企业的开支。当前，要求SaaS模型能够满足租户各自配置的基础数据并可以阻隔租户间的数据，这样就能维护每个租户的数据安全[1]。各项功能由该平台提供给租户，但租户不希望数据被别的部门甚至平台管理者窥探，因此，这样的模式是否安全以及会不会提供可靠的管理就成了重要的问题。

针对访问控制模式的安全性和管理性问题，数据保护和对抗外部攻击是很多模型关注的重点。如张坤[2]是通过数据组合的方式，将重要的数据和密钥都交给可信第三方，根据属性特征把数据分成分块，由第三方进行混肴重构进行保护。后来，工作流管理中的问题引起了邓集波等人的关注[3]，他们还提出了TBAC，即基于任务的访问控制模型[4]，该模型有效地解决了角色权限的动态分配问题。但对数据保护和管理效率的关注绕不开平台内部人员对租户管理权限继承这样的安全问题。

按照可信第三方的思路建立控制模型就自然忽略了平台内部监守自盗的问题。当然，一些国内外学者对其中的不完善也进行了探究，在曹进提出的标签跨域访问控制模型里特别针对内部安全进行保护，把模型分为租户层和管理层，之间通过标签访问[5]。租户和管理者经过角色获取相应的标签，标签之间通过权限设置，具体实施跨域访问[6]。但是，随之产生大量的标签降低了工作效率，对跨域访问的核心标签管理也缺乏可靠安全的保护方法[7]。

本文对此提出一种通过属性管理标签的方法，具体贡献如下：针对标签数量增加，提出了一个有效区分标签的模型。属性标签管理模型用标签属性来管理达到实现跨域访问控制的目的，提高了标签管理的效率，使控制模型更方便。

1 属性标签跨域访问控制

1.1属性标签描述

1.1.1客体管理层属性标签

在属性标签访问中的跨域问题上使用对于租户的工作人员按照一定规则分类管理的方法。如将区域、行业、国家等分开处理，然后把这些分类项变成一个个标签树群ASTT(Attribute Security Tag Tree)。树的枝干上的节点可以标示为一个一个的属性标签，如图1所示。

图1 客体属性标签树图

1.1.2主体租户属性标签

租户获取标签的方法是通过其不同的属性来获得租户所需要的属性标签。然后租户所有的信息组将交给属性角色树群，这些树群是根据不同租户的不同要求和属性标签生成的，其表示如图2所示。

图2主体属性标签树图

图3 访问控制时序图

租户对于信息的访问是基于属性标签的匹配度，平台上信息数据所有的标签和租户的标签相匹配则可以安全访问。

1.1.3属性标签表

赋予管理层和租户的属性标签AT形成一个个属性标签表，再结合租户和管理层的协商意见为其制定一个安全等级，如表1所示。

表1 职能标签表

在对属性标签进行存储时，设置一个k值，k值代表不同属性，而v值是该属性标签的等级，如表2。

表2 属性标签表

然后通过l-多样性原则基础上的微聚集算法保护对其进行研究。

1.2属性标签跨域访问流程

该流程与之前的RBAC访问控制流程有一些不同，因为租户的访问控制模型结合了角色及属性标签。图3所示为用户的访问控制时序图。

租户访问该模型是经过访问接口到达身份认证再交付回租户。经过SaaS模式下的多次验证后，最后利用属性标签的合理匹配得到安全的信息结果。

1.2.1流程元素形式化表示

TA(Tags of Tenant A)是租户A的标签。

主体标签为S:(tenant，RS)或(tenant，role1，role2，…，rolen)，其中RS(Role Set)是该用户所有的角色集。

客体标签为O:(tenant，STS)或(tenant，tag1，tag2，…，tagn)，其中STS(Security Tag Set)是标签集。

属性标签的控制规则可以表示为(T，ATS，STS，R，Q)。

(1)U的租户属性标签表示方法是STS(u)。

(2)别的租户的属性标签传递用STS(t)表示。

1.2.2形式化访问流程

下面是一个假定的租户访问用户流程形式化表示，如下。

Select aq1，aq2，…，aqn

From Rq1，Rq2，…，Rqm

Where Qq

规则的前提是:

(1)关系R的属性集的子集A=(a1，a2，…，am)是Aq=(aq1，aq2，…，aqn) 的子集。

如果满足以下规则:

那么，访问语句可以转变为如下语句Query(t):

Select aq1，aq2，…，aqn

From Rq∩Rr

WhereQq∩Qr

对于租户而言，访问语句的转化没有影响到访问的结果。同理对于一个语句的查询变为后一种语句可以用下式说明。

依以上过程，通过主客体属性标签的对比匹配，实现属性标签基础上的跨域访问，更方便和高效。接下来是对属性标签进行相应的保护。

1.2.3属性标签表设置

假设一个属性标签表中的属性为疾病(Condition)，经过匿名化处理后，如表3所示。

表3 属性标签等级表

属性标签被赋予不同的等级值，将属性标签等级化和赋值化会提高管理效率。表中值的高低代表属性标签相对应的隐私保护强度。具体隐私等级规定方案会在以后的工作中继续研究。

2 实验结果与分析

实验采用数据集census[8]，实验平台配置：CPU为Core i3 3.40 GHz，内存为12 GB，操作系统平台为Windows10，编程环境为Eclipse。

在效率实验中，通过逐渐增加模型标签数量观察系统运行的时间开销，来验证标签模型加入属性管理后对效率的优化。

图4 时间效率对比图

实验结果如图4所示，在开始时模型标签个数较少，属性标签模型时间开销较大，可能是在对属性标签的属性读取和分类管理上消耗了一定时间。当随着模型标签个数的不断增加原标签模型因大量的标签数据，效率会越来越低。而属性标签管理的效率优越性逐渐体现出来，对于大量的标签数据，更系统化、规则化的属性标签模型展现出更快捷的运行效果。

3 结论

本文提出的基于属性标签跨域访问模型，兼顾了标签访问模型的跨域访问安全性和属性分类管理的便利性，同时从效率实验上已看出对于大量的标签数据，模型在时间开销上有更好表现。

本文中对于属性标签只是简单地分类和赋值，对于各属性的敏感等级还没有更深入的研究。在接下来的工作中，要从属性标签的敏感等级入手，进一步满足租户、服务商的客观情况和主要需要。

[1] 任国珍.支持多租户数据隐私保护的数据加密机制研究[D]. 济南:山东大学, 2012.

[2] 张坤. 面向多租户应用的云数据隐私保护机制研究[D]. 济南:山东大学, 2012.

[3] 邓集波, 洪帆. 基于任务的访问控制模型[J].软件学报, 2003,14(1):76-82.

[4] 夏鲁宁, 荆继武. 一种基于层次命名空间的RBAC管理模型[J].计算机研究与发展, 2007, 44(12):2020-2027.

[5] 曹进.基于租户的访问控制模型研究[D].苏州:苏州大学,2013.

[6] Chen Kang, Zheng Weimin. Cloud computing: system instances and current research: cloud computing: system instances and current research[J]. Journal of Software, 2010, 20(5):1337-1348.

[7] SPRINGER U S. Web services business process execution language[J]. Medicina, 2003, 44(1): 64-71.

[8] 王茜, 张刚景. 实现单敏感属性多样性的微聚集算法[J]. 计算机工程与应用, 2015,51(11): 72-75.

Multi-tenant attribute tag hierarchical scheme

Wang Jingyu, Yang Lixin

(School of Information Engineering, Inner Mongolia University of Science and Technology, Baotou 014010, China)

TP393.08

A

10.19358/j.issn.1674- 7720.2017.18.003

王静宇，杨利辛.面向多租户的属性标签分层方案[J].微型机与应用，2017,36(18)：8-10.

国家自然科学基金资助项目(61462069，61662056 )；内蒙古自然科学基金资助项目(2015MS0622，2016MS0609)

2017-03-30)

王静宇(1976-),通信作者，男，博士,副教授，主要研究方向：云计算、信息安全。E-mail: btu_wjy@qq.com。

杨利辛(1990-),男，硕士，主要研究方向：云计算,隐私保护。