云环境下多租户数据完整性保护机制研究

【摘要】软件即服务(SoftwareasaService,SaaS)是云计算中一种非常重要的服务交付方式,服务商负责应用软件的维护、管理、升级等工作,租户通过网络租赁应用并按使用付费,不需要关心底层复杂的实现细节。SaaS模式下,成熟的服务运营商一般采用单实例多租赁(SingleInstanceMulti-Tenancy)的方式,使用同一个应用实例为不同租户提供服务,即多租户应用。对于许多中小型企业来说,SaaS是采用先进技术的最好途径。在多租户应用中,租户数据的存储和处理都发生在非完全可信的服务运营商端,租户对自己数据的控制能力被大大削弱。非完全可信的服务运营商有可能会在租户未授权的情况下,恶意篡改、伪造或者删除租户数据,破坏租户数据的完整性。如何防止不可信的云服务提供商监守自盗,破坏租户数据完整性,是现阶段Saas应用进一步推广需要解决的重要问题。由于多租户应用的按需定制、共享存储、多数据节点等云的特征,面向多租户应用的数据完整性保护面临着一系列的新的需求：(1)租户感知的数据完整性验证结构的构建需求。在SaaS多租户模式下,成千上万的租户共享底层物理数据表存储。在这种情况下,基于已有的完整性保护方法(如MHT等)直接对共享数据表构造完整性验证结构的方式,缺乏对租户的识别,难以对租户数据进行区分。在对一个租户数据进行验证时,会需要表中其他租户数据来辅助构造验证对象,使得租户间完整性验证过程中数据互相交叉,增加了验证对象的构建复杂度,降低验证效率。(2)租户数据完整性问题及时发现需求。由于租户的数据和应用都托管在了远程服务提供商端,租户对自己数据的控制能力大为降低,租户对于及时发现数据完整性问题的需求更为强烈,租户不仅需要能够确认自己正在使用的数据是正确的完备的,对于一些使用频率较低的数据,租户也希望能够及时发现这些数据是否被破坏。(3)租户数据可靠存储需求。在SaaS模式下,租户可以定制副本数量并付费使用,因此租户需要能够确认系统是否可靠地存储了他们的数据副本。但是,采用明文存储的数据副本很容易受到服务提供商内部恶意员工的合谋攻击,通过多个存储服务器共享一个数据副本来节省存储空间,严重破坏租户经济利益,降低租户数据访问效率与可靠性。因此,本论文以多租户应用模式中租户数据完整性保护为目标,结合多租户数据共享存储、租户隔离、租户按需租赁定制其应用等特点,对云计算环境下面向多租户应用的数据完整性保护的关键问题进行研究,主要工作和贡献包括：(1)提出面向租户的完整性验证方法MTAS(Multi-tenantAuthenticationStructure),在共享存储模式下,通过以租户为单位分别对共享表内租户数据构造验证结构方法,在租户应用使用数据的时候,进行实时完整性检查,确保多租户间数据完整性验证过程互不干扰,提高验证效率。本文针对租户应用处理数据的实时完整性保护问题,充分考虑租户共享存储、租户隔离与个性化需求等综合因素,基于Pivot-Universal存储模式,提出基于复合MHT的多租户数据完整性保护模型MTAS。MTAS在租户应用数据时对数据进行实时完整性验证,防止错误数据进入租户应用,并且可以针对租户数据以及完整性需求的动态变化,调整完整性保护策略,满足租户动态完整性保护需求。实验结果表明,与传统验证结构相比,MTAS在验证对象重构过程中,大约节省了30%的哈希计算次数,验证对象大小约为传统方法的2/3,是一种行之有效的多租户数据完整性保护模型。(2)提出基于抽样的租户数据完整性保护方法TDIC(Tenant-orientedDuplicationIntegrityCheckingScheme),通过对租户数据进行周期性抽样检查方法,解决了对所有租户数据进行实时完整性检查造成的性能浪费问题。针对实时的数据完整性检查容易忽略掉租户长期不用的数据的完整性保护问题,提出面向租户副本数据的抽样检查机制TDIC,通过对租户副本内数据进行周期性随机抽样的方式,来降低服务提供商端验证对象的生成代价,消除对租户副本数据全部进行实时验证的资源浪费。同时,TDIC结合租户元组的同态标签与辅助验证树结构,使得租户可以在不泄露租户数据内容的前提下,委托可信第三方对租户副本进行抽样检查。分析与实验结果表明,如果租户逻辑视图中包含10000个数据元组时,在元组破坏率为1%的情况下发现数据被破坏的随机抽样数目最大约为元组总数的5%,相对全部验证的方法极大地降低了系统资源浪费。(3)提出防合谋删除的多副本数据混淆存储TD2O(TenantDuplicateDataObfuscation)模型,通过基于元组属性值的数据混淆对租户副本进行区别存储,抵御服务提供商内部恶意人员的合谋删除问题。针对租户副本数据明文存储情况下容易被服务提供商合谋删除问题,提出基于线性隐藏的的数据混淆模型TD2O,通过混淆使得存储相同数据的租户副本具有不同的数据表现内容,防止服务提供商为节省存储空间,整个删除租户不常用副本,保证租户数据完整性,并基于MonteCarlo随机单调函数对TD2O模型进行拓展,制定关键字保序策略,实现租户副本数据关键字的保序,提高混淆副本的查询效率。实验结果表明扩展的TD2O模型在保序关键字上具有较好的查询性能。
【作者】李琳；
【导师】李庆忠；
【作者基本信息】山东大学，计算机软件与理论，2014，博士
【关键词】云计算；多租户应用；数据完整性保护；验证结构；数据副本；

【参考文献】
[1]吴亚杰.基于OMNeT++的IEEE802.15.4网络的仿真与研究[D].河北师范大学,无线电物理,2012,硕士.
[2]刘双.未成年人权益保护法律制度的完善[D].吉林财经大学,法律,2014,硕士.
[3]牛全宇.乾安地区腐蚀结垢治理技术研究[D].东北石油大学,石油与天然气工程（专业学位）,2013,硕士.
[4]童伟.平板太阳能集热器盖板受冲击玻璃碎片高空坠落实验模拟分析[D].安徽建筑大学,结构工程,2013,硕士.
[5]吴正龙,杭小树,滕明贵.面向应用领域的知识发现系统开发平台KDIST[J].计算机工程,2005,11:47-49.
[6]李伟.Al_2O_3/TiO_2复合纳米粉体作为润滑油添加剂的性能研究[D].济南大学,材料加工工程,2012,硕士.
[7]顾建军.MiR-218下调Slit2-Robo1通路抑制胶质瘤细胞增殖、侵袭和迁移的机制研究[D].苏州大学,神经外科学,2013,博士.
[8]王明望,陈震新.城市轨道交通车辆维护与工业清洗[J].城市轨道交通研究.2006(10)
[9]谢洪明,任艳艳,王倩,赵薇.民营企业并购发达国家公司的新视角——基于三花控股集团并购的案例分析[J].浙江经济,2013,19:40-41.
[10]曹静.亚波长结构器件的电磁波吸收特性及应用研究[D].苏州大学,光学工程,2014,硕士.
[11]颜景霞.论我国陪审制度的改革与完善[D].中国政法大学,诉讼法学,2004,硕士.
[12]萌生.百万富翁Ⅲ(49)[J].股市动态分析,2011,10:41-42+40.
[13]王良,杨乃定,姜继娇.基于知识管理的企业风险集成管理扩展研究[J].研究与发展管理,2005,05:32-38+61.
[14]宋超.热固性环氧树脂及其复合材料制备活性炭的研究[D].上海大学,应用化学,2013,硕士.
[15]陈刚.急性坏疽性胆囊炎危险因素的回顾性分析[D].山西医科大学,外科学（专业学位）,2013,硕士.
[16]徐文娟.解读亚历克斯·哈利在《根》中的生态批评观点[D].内蒙古师范大学,比较文学与世界文学,2012,硕士.
[17]徐昌.南北朝乐府民歌曲辞音乐性研究[D].湖南师范大学,中国古代文学,2014,硕士.
[18]谷秋实.上海市筹公共租赁住房制度研究[D].辽宁大学,社会保障,2012,硕士.
[19]万兴才.观察急性冠脉综合征患者sCD40L水平变化及替罗非班对PCI术后sCD40L水平的影响[D].吉林大学,内科学,2013,硕士.
[20]刘雅庆.Comparative Analysis of Cohesive Devices in English and Chinese Versions of Hong Gao Liang Jia Zu[D].西安外国语大学,外国语言学及应用语言学,2014,硕士.
[21]唐名艳.扬子鳄血液学及血液生化指标检测及细菌性病原鉴定[D].南京农业大学,预防兽医学,2013,硕士.
[22]古丽加孜·艾力肯.从功能语法的视角探析俄语愿望范畴及其表达方式[D].新疆大学,俄语语言文学,2013,硕士.
[23]来林.冬季两项运动员运动自信心及其相关心理影响因素研究[D].沈阳体育学院,体育人文社会学,2013,硕士.
[24]丁运乔.薄板坯连铸机控制功能的探讨[J].重型机械科技.2000(02)
[25]马鹏.调节一氧化氮信号通路对成瘾药物诱发条件化活动的影响[D].中北大学,民族传统体育学,2013,硕士.
[26]杨春雪.基于EVA的我国企业绩效评价研究[D].云南财经大学,MPacc（专业学位）,2014,硕士.
[27]王东升.2050层流冷却温度计算模型的研究及改造[J].冶金自动化,2003,S1:73-77.
[28]吴彩雯.基于感觉整合理论的对外汉字多媒体软件设计研究[D].复旦大学,对外汉语教学,2012,硕士.
[29]邸鸿喜.魅力型领导风格对矿工不安全行为影响研究[D].西安科技大学,管理科学与工程,2014,硕士.
[30]贾玉纯.一类特殊鞍点问题的约束预处理[D].兰州大学,计算数学,2014,硕士.
[31]孙铭.基于精益运营模式的T港口装卸成本管理研究[D].天津大学,项目管理,2013,硕士.
[32]于瞳.我国低碳审计若干问题研究[D].吉林财经大学,会计学,2014,硕士.
[33]罗学锋.秦皇岛旅游立市战略发展中的文化资源研究[D].燕山大学,公共管理,2012,硕士.
[34]赵敬超.多种类军用情报信息综合处理技术研究[D].西安电子科技大学,计算机应用技术,2009,硕士.
[35]张进龙.旋转磁场对生物体影响的实验装置研制[D].南京农业大学,农业工程,2013,硕士.
[36]尚雅锴.英苏关系研究（1924-1929）[D].兰州大学,世界史,2013,硕士.
[37]赵海增,余自若,王月.混凝土三轴压力学性能研究现状[J].混凝土,2014,12:25-31.
[38]杨林.天津城市化发展的规划思考[D].天津大学,城市规划,2004,硕士.
[39]李留根.基于模糊PID控制的抽油机变频调速系统设计[D].河北大学,控制工程,2014,硕士.
[40]邱瑞阳.基于NiosⅡ的变压器声音采集系统设计及实现[D].成都理工大学,测试计量技术及仪器,2013,硕士.
[41]徐莉莉.内部控制信息披露对盈余管理的影响研究[D].河北经贸大学,会计学,2014,硕士.
[42]梁俊国,李振明,马晓春,丘明,付珊珊,杜迎辉,王士君,王志连,张立国,臧英.超导变压器的性能检测研究[J].低温与超导,2014,01:53-58.
[43]庞尧.阿诺德·伯林特审美参与理论研究[D].广西师范大学,文艺学,2014,硕士.
[44]王冉.北京历史街区公共空间更新研究[D].北方工业大学,建筑设计及其理论,2013,硕士.
[45]万冬梅.科技文翻译策略分析[D].浙江工商大学,日语笔译（专业学位）,2013,硕士.
[46]李立玉.基于模型定义的飞机结构件数控编程技术研究[D].南昌航空大学,机械电子工程,2013,硕士.
[47]东辉,杜志江.基于工作空间密度函数的平面冗余机器人的逆运动学求解算法[J].机械工程学报.
[48]穆永江.简支空心板桥的荷载横向分布特性研究[D].吉林大学,交通运输工程,2012,硕士.
[49]周宗兴.资助行为正义之评价论[D].湖北大学,伦理学,2012,硕士.
[50]范汇吉.环境因素对铝空气海水电池阴阳极性能的影响[D].中国科学院研究生院（海洋研究所）,2012.