云環(huán)境下多租戶數(shù)據(jù)完整性保護(hù)機(jī)制研究.pdf

1、軟件即服務(wù)（Software asa Service，SaaS）是云計(jì)算中一種非常重要的服務(wù)交付方式，服務(wù)商負(fù)責(zé)應(yīng)用軟件的維護(hù)、管理、升級等工作，租戶通過網(wǎng)絡(luò)租賃應(yīng)用并按使用付費(fèi)，不需要關(guān)心底層復(fù)雜的實(shí)現(xiàn)細(xì)節(jié)。SaaS模式下，成熟的服務(wù)運(yùn)營商一般采用單實(shí)例多租賃(SingleInstanceMulti-Tenancy)的方式，使用同一個(gè)應(yīng)用實(shí)例為不同租戶提供服務(wù)，即多租戶應(yīng)用。對于許多中小型企業(yè)來說，SaaS是采用先進(jìn)技術(shù)的最好途徑。<

2、br>　　在多租戶應(yīng)用中，租戶數(shù)據(jù)的存儲(chǔ)和處理都發(fā)生在非完全可信的服務(wù)運(yùn)營商端，租戶對自己數(shù)據(jù)的控制能力被大大削弱。非完全可信的服務(wù)運(yùn)營商有可能會(huì)在租戶未授權(quán)的情況下，惡意篡改、偽造或者刪除租戶數(shù)據(jù)，破壞租戶數(shù)據(jù)的完整性。如何防止不可信的云服務(wù)提供商監(jiān)守自盜，破壞租戶數(shù)據(jù)完整性，是現(xiàn)階段Saas應(yīng)用進(jìn)一步推廣需要解決的重要問題。
　　由于多租戶應(yīng)用的按需定制、共享存儲(chǔ)、多數(shù)據(jù)節(jié)點(diǎn)等云的特征，面向多租戶應(yīng)用的數(shù)據(jù)完整性保護(hù)面臨著一系

3、列的新的需求:(1)租戶感知的數(shù)據(jù)完整性驗(yàn)證結(jié)構(gòu)的構(gòu)建需求。在SaaS多租戶模式下，成千上萬的租戶共享底層物理數(shù)據(jù)表存儲(chǔ)。在這種情況下，基于已有的完整性保護(hù)方法（如MHT等）直接對共享數(shù)據(jù)表構(gòu)造完整性驗(yàn)證結(jié)構(gòu)的方式，缺乏對租戶的識(shí)別，難以對租戶數(shù)據(jù)進(jìn)行區(qū)分。在對一個(gè)租戶數(shù)據(jù)進(jìn)行驗(yàn)證時(shí)，會(huì)需要表中其他租戶數(shù)據(jù)來輔助構(gòu)造驗(yàn)證對象，使得租戶間完整性驗(yàn)證過程中數(shù)據(jù)互相交叉，增加了驗(yàn)證對象的構(gòu)建復(fù)雜度，降低驗(yàn)證效率。(2)租戶數(shù)據(jù)完整性問題及時(shí)發(fā)

4、現(xiàn)需求。由于租戶的數(shù)據(jù)和應(yīng)用都托管在了遠(yuǎn)程服務(wù)提供商端，租戶對自己數(shù)據(jù)的控制能力大為降低，租戶對于及時(shí)發(fā)現(xiàn)數(shù)據(jù)完整性問題的需求更為強(qiáng)烈，租戶不僅需要能夠確認(rèn)自己正在使用的數(shù)據(jù)是正確的完備的，對于一些使用頻率較低的數(shù)據(jù)，租戶也希望能夠及時(shí)發(fā)現(xiàn)這些數(shù)據(jù)是否被破壞。(3)租戶數(shù)據(jù)可靠存儲(chǔ)需求。在SaaS模式下，租戶可以定制副本數(shù)量并付費(fèi)使用，因此租戶需要能夠確認(rèn)系統(tǒng)是否可靠地存儲(chǔ)了他們的數(shù)據(jù)副本。但是，采用明文存儲(chǔ)的數(shù)據(jù)副本很容易受到服務(wù)提供

5、商內(nèi)部惡意員工的合謀攻擊，通過多個(gè)存儲(chǔ)服務(wù)器共享一個(gè)數(shù)據(jù)副本來節(jié)省存儲(chǔ)空間，嚴(yán)重破壞租戶經(jīng)濟(jì)利益，降低租戶數(shù)據(jù)訪問效率與可靠性。
　　因此，本論文以多租戶應(yīng)用模式中租戶數(shù)據(jù)完整性保護(hù)為目標(biāo)，結(jié)合多租戶數(shù)據(jù)共享存儲(chǔ)、租戶隔離、租戶按需租賃定制其應(yīng)用等特點(diǎn)，對云計(jì)算環(huán)境下面向多租戶應(yīng)用的數(shù)據(jù)完整性保護(hù)的關(guān)鍵問題進(jìn)行研究，主要工作和貢獻(xiàn)包括:
　　(1)提出面向租戶的完整性驗(yàn)證方法MTAS(Multi-tenantAuthenti

6、cationStructure)，在共享存儲(chǔ)模式下，通過以租戶為單位分別對共享表內(nèi)租戶數(shù)據(jù)構(gòu)造驗(yàn)證結(jié)構(gòu)方法，在租戶應(yīng)用使用數(shù)據(jù)的時(shí)候，進(jìn)行實(shí)時(shí)完整性檢查，確保多租戶間數(shù)據(jù)完整性驗(yàn)證過程互不干擾，提高驗(yàn)證效率。
　　本文針對租戶應(yīng)用處理數(shù)據(jù)的實(shí)時(shí)完整性保護(hù)問題，充分考慮租戶共享存儲(chǔ)、租戶隔離與個(gè)性化需求等綜合因素，基于Pivot-Universal存儲(chǔ)模式，提出基于復(fù)合MHT的多租戶數(shù)據(jù)完整性保護(hù)模型MTAS。MTAS在租戶應(yīng)用數(shù)據(jù)

7、時(shí)對數(shù)據(jù)進(jìn)行實(shí)時(shí)完整性驗(yàn)證，防止錯(cuò)誤數(shù)據(jù)進(jìn)入租戶應(yīng)用，并且可以針對租戶數(shù)據(jù)以及完整性需求的動(dòng)態(tài)變化，調(diào)整完整性保護(hù)策略，滿足租戶動(dòng)態(tài)完整性保護(hù)需求。實(shí)驗(yàn)結(jié)果表明，與傳統(tǒng)驗(yàn)證結(jié)構(gòu)相比，MTAS在驗(yàn)證對象重構(gòu)過程中，大約節(jié)省了30％的哈希計(jì)算次數(shù)，驗(yàn)證對象大小約為傳統(tǒng)方法的2/3，是一種行之有效的多租戶數(shù)據(jù)完整性保護(hù)模型。
　　(2)提出基于抽樣的租戶數(shù)據(jù)完整性保護(hù)方法TDIC(Tenant-oriented Duplication

8、Integrity Checking Scheme)，通過對租戶數(shù)據(jù)進(jìn)行周期性抽樣檢查方法，解決了對所有租戶數(shù)據(jù)進(jìn)行實(shí)時(shí)完整性檢查造成的性能浪費(fèi)問題。
　　針對實(shí)時(shí)的數(shù)據(jù)完整性檢查容易忽略掉租戶長期不用的數(shù)據(jù)的完整性保護(hù)問題，提出面向租戶副本數(shù)據(jù)的抽樣檢查機(jī)制TDIC，通過對租戶副本內(nèi)數(shù)據(jù)進(jìn)行周期性隨機(jī)抽樣的方式，來降低服務(wù)提供商端驗(yàn)證對象的生成代價(jià)，消除對租戶副本數(shù)據(jù)全部進(jìn)行實(shí)時(shí)驗(yàn)證的資源浪費(fèi)。同時(shí)，TDIC結(jié)合租戶元組的同態(tài)標(biāo)

9、簽與輔助驗(yàn)證樹結(jié)構(gòu)，使得租戶可以在不泄露租戶數(shù)據(jù)內(nèi)容的前提下，委托可信第三方對租戶副本進(jìn)行抽樣檢查。分析與實(shí)驗(yàn)結(jié)果表明，如果租戶邏輯視圖中包含10000個(gè)數(shù)據(jù)元組時(shí)，在元組破壞率為1％的情況下發(fā)現(xiàn)數(shù)據(jù)被破壞的隨機(jī)抽樣數(shù)目最大約為元組總數(shù)的5％，相對全部驗(yàn)證的方法極大地降低了系統(tǒng)資源浪費(fèi)。
　　(3)提出防合謀刪除的多副本數(shù)據(jù)混淆存儲(chǔ)TD2O(Tenant Duplicate Data Obfuscation)模型，通過基于元組屬性

10、值的數(shù)據(jù)混淆對租戶副本進(jìn)行區(qū)別存儲(chǔ)，抵御服務(wù)提供商內(nèi)部惡意人員的合謀刪除問題。
　　針對租戶副本數(shù)據(jù)明文存儲(chǔ)情況下容易被服務(wù)提供商合謀刪除問題，提出基于線性隱藏的的數(shù)據(jù)混淆模型TD2O，通過混淆使得存儲(chǔ)相同數(shù)據(jù)的租戶副本具有不同的數(shù)據(jù)表現(xiàn)內(nèi)容，防止服務(wù)提供商為節(jié)省存儲(chǔ)空間，整個(gè)刪除租戶不常用副本，保證租戶數(shù)據(jù)完整性，并基于MonteCarlo隨機(jī)單調(diào)函數(shù)對TD2O模型進(jìn)行拓展，制定關(guān)鍵字保序策略，實(shí)現(xiàn)租戶副本數(shù)據(jù)關(guān)鍵字的保序，提高