CN111682940B - 一种基于l-dht的多租户虚拟域隔离构建方法 - Google Patents

Abstract

本发明公开一种基于L‑DHT的多租户虚拟域隔离构建方法，通过设计基于标签HASH映射的多租户隔离映射方法，针对多租户安全隔离需求，将多租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个隔离层次；构建了租户资源的均衡映射机制，实现对租户资源的分布式管理；针对映射到同一存储结点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计了一种基于标签谓词加密的租户数据隔离存储方法；最后，通过设计多维度的租户数据隔离控制规则，利用对安全标签的解析与认证，建立租户数据传输的安全通道，构建起租户间独立、逻辑、安全的虚拟域，从而实现租户数据间的安全有效隔离。

Description

一种基于L-DHT的多租户虚拟域隔离构建方法

技术领域

本发明涉及云环境下多租户数据安全隔离技术领域，特别是涉及一种基于L-DHT的多租户虚拟域隔离构建方法。

背景技术

云计算平台是一种面向多租户实现资源与应用复用的服务平台，由于具有虚拟化、资源边界模糊、多租户共享资源等特性，存在着租户管理难、存储隔离难、数据易泄露等安全性问题。云安全联盟(CSA)也将不安全的网络和数据隔离列为云计算安全的首要威胁之一。

租户的安全隔离是指云环境下多个租户共享资源的同时，保证租户的私有数据不受其他租户的影响，防止租户间的信息流动和业务的干扰。针对隔离安全需求，多种隔离方法应用而生。例如从云下租户隔离的不同层面来看，可分为基于硬件层面的隔离、操作系统层面的隔离、中间件层的隔离、网络在逻辑层面的隔离、存储层面的隔离。

基于硬件层面的隔离是指通过扩展硬件或提高性能的方式(例如存储介质、CPU寄存器、高级缓存等)来保证租户间的安全隔离，主要包括物理空间的隔离、事务处理时间上的隔离、硬件控制租户数据流等方式，虽然基于硬件层面的隔离实现技术思路简单，隔离程度高，但设备性能要求高，资源消耗大，成本较高。操作系统层面的隔离是指借助虚拟机来实现租户间计算资源的共享的同时保证租户间的隔离，虽然安全隔离性良好，但单纯的虚拟机隔离容易出现多租户混乱的问题，同时若虚拟机隔离控制被攻击，将会威胁到其他虚拟机的安全。

中间件层的隔离是共享程度进一步提高的租户隔离手段，租户间共享操作系统等资源，最为典型的当属容器技术，容器是一种轻量级的虚拟化技术，由于自身并不实现操作系统级的服务，服务请求由宿主机来执行，占用资源少，共享程度高，由于容器是为提供高效轻量服务所设计的，因此对其的隔离仅仅停留在软隔离层面，这就要求只能使用本机的操作系统，这种直接执行主机的方式，存在共享内核代码的安全威胁，并且容器中的错误容易扩散到主机中，造成宕机并威胁到其他容器的安全，进而威胁到租户数据的安全。

租户逻辑网络层面的隔离是指租户间网络的逻辑隔离，以网络虚拟化为基础，保证租户间的数据传输的安全。但是租户间网络的逻辑隔离有的没有采用标准传输协议，兼容性较差，设备要求较高，有的需要修改TCP协议，复杂度增高，有的属于静态的部署方式，没有考虑到租户的动态迁移，没有充分考虑系统整体负载及租户数据流动的安全控制。上述租户间网络的逻辑隔离研究主要通过为租户划分私有网络，利用租户网络标识来实现隔离，但未涉及具体的数据流动规则。

存储层面的隔离是指租户数据共享存储资源的同时，保证租户数据的安全隔离存储与访问，针对租户数据的共享存储，不同的存储模式拥有不同的存储措施，常见的有独立数据库、共享数据库独立数据架构和共享数据库共享数据架构三种，这三种措施的共享程度依次增高但隔离程度逐渐降低，无法有效的兼顾共享程度与隔离效果，在上述三种存储模式的基础上，一种共享数据库半共享半独立架构模式被提出，进一步改善了资源共享与安全隔离的有效平衡，但会消耗较大的存储空间；全同态加密算法因其可以计算加密数据的特性，其在云计算存储隔离和计算安全层面的必要性日益凸显。

上述多租户数据存储方案主要集中在提高隔离存储效率方面，缺少隔离存储与认证访问相结合的安全方案设计，虽然上述这些隔离方法在一定程度上实现了租户数据间的隔离，但大多只侧重于加密存储隔离、租户物理隔离、数据访问控制等某一层面的隔离，没有考虑多个层次安全隔离之间的关系，没有较好地平衡租户资源共享与数据安全隔离的关系。

基于以上情况，亟需一种云环境下能够对多租户间的数据实现有效安全相互隔离的方法，以适应云计算平台快速发展的现实需求。

发明内容

本发明的目的是提供一种基于L-DHT(Label-Distributed Hash Table，标签-分布式哈希表)的多租户虚拟域隔离构建方法，以解决上述现有技术存在的问题，构建起租户间独立、逻辑安全的虚拟域，从而实现租户数据间的安全有效隔离。

为实现上述目的，本发明提供一种基于L-DHT的多租户虚拟域隔离构建方法，具体内容如下：

S1.基于不同层次下多租户安全隔离的需求，将多租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个隔离层次；

S2.通过基于标签哈希(HASH)映射的多租户隔离映射方法，构建租户资源信息到域隔离器的均衡映射机制，租户存储的资源信息映射到域隔离器管理下的存储结点；

S3.针对映射到域隔离器管理下的同一存储结点上同一存储结点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计基于标签谓词加密的租户数据隔离存储方法；

优选地，步骤S2所述存储隔离层的隔离方法如下：

设计基于标签谓词加密的租户数据隔离存储方法，通过数据存储标签与租户数据的安全绑定，利用域隔离器解析标签，利用域安全标签TID值区分同一存储结点下租户的数据；通过在数据存储标签中引入策略谓词及查询令牌TK，谓词语句对应数据属性，数据加密密钥对应策略谓词φ，数据密文对应于属性集A，以完成数据的加密隔离存储；通过查询令牌并与数据访问属性的匹配认证，实现对存储数据的查询访问。

优选地，步骤S2所述多租户虚拟网络隔离层的隔离方法如下：

在云数据中心网络部署若干域隔离器，利用域安全标签标识虚拟域，通过多租户虚拟域映射方法，将多租户资源映射到不同域隔离器上，构建多租户间相互独立的虚拟网络切片；利用域隔离器的标签解析认证、地址解析功能，实现域隔离器对多租户虚拟域的分布式隔离管理。

优选地，步骤S2所述多租户管理及访问隔离层的隔离方法如下：

制定面向多维度的多租户数据隔离控制规则，利用数据控制标签标记并跟踪多租户数据，通过域隔离器对数据控制标签的解析认证，防止租户数据聚合推导高级别信息；建立数据安全通道及数据流动控制规则，保证虚拟域中多租户数据传输的安全隔离，实现多租户访问数据的安全隔离。

优选地，所述基于标签HASH映射的多租户隔离映射方法的具体内容如下：

Step1初始化；

Step2建立虚拟分区；

Step3依据权重，分配虚拟节点VR；

Step4进行租户到域隔离器DR的映射；

Step5基于负载的虚拟节点VR迁移；

Step6完成租户到域隔离器DR的定位。

优选地，步骤S3中基于标签谓词加密的租户数据隔离存储方法的具体内容如下：

设租户T存储数据A的存储标签为所述基于标签谓词加密的租户数据隔离存储方法表示为下式所示五元组ε：

ε＝{Setup(1^k,A)；GenToKen(φ,KEY)；Encrypt(KEY,Data)；Query(TK,C)；Decrypt(KEY,C)}

所述五元组中各个元素含义如下：

Setup(1^k,A):输入安全参数1^k和数据属性A，输出密钥KEY及策略谓词φ；

GenToKen(φ,TID_T):输入策略谓词φ及租户虚拟域安全标签TID_T，计算查询令牌TK；

Encrypt(KEY,Data):输入密钥KEY及明文Data，输出密文C；

Query(TK,C,TID′，A′):输入查询令牌TK,密文C、数据访问者的域安全标签TID′及其属性信息A′，进行查询属性的认证。

本发明公开了以下技术效果：本发明提供一种基于L-DHT的租户虚拟域隔离构建方法，通过设计基于标签HASH映射的多租户隔离映射方法，构建了租户资源的均衡映射机制，实现对租户资源的分布式管理。针对映射到同一存储节点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计了一种基于标签谓词加密的租户数据隔离存储方法。最后，通过设计多维度的租户数据隔离控制规则，利用对安全标签的解析与认证，建立租户数据传输的安全通道，构建起租户间独立、逻辑、安全的虚拟域，从而实现租户数据间的安全有效隔离。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明多租户分布式安全隔离架构示意图；

图2为域隔离器功能结构示意图；

图3为Tag的协商生成示意图；

图4为租户HASH映射示意图；

图5为域隔离器DR移除时虚拟节点迁移示意图；

图6为域隔离器DR增加时虚拟节点迁移示意图；

图7为租户安全隔离访问流程示意图；

图8为安全通道交换示意图。

其中，图1中，VM表示虚拟机，DR表示域隔离器，T表示租户，Data表示租户数据,TID表示域安全标签。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

下面首先对本文用到的相关术语进行解释，以使本文用到的术语含义明确无歧义。

虚拟域(Virtual domain:Vd)：同一租户所处的逻辑安全域，包括租户资源及用户在内的成员集合，域内成员具有共同的安全利益关系，域间关系为相互隔离。

域隔离器(Domain isolator router:DR)：具有标签解析与认证、地址解析、索引等功能，管理并存储租户信息的核心路由器/交换机。每个域隔离器内置域解析网关，包括标签生成(GC)、标签映射索引(MIC)、地址解析(Adc)、标签认证与解析服务(ASC)、租户资源信息管理模块(RMC)等功能组件，分别完成租户标签的生成与分配，安全标签与租户信息的映射索引，对域内数据流访问位置的重定向，租户安全标签的对比认证、解析及处理，租户资源管理的统一管理与调度等功能，域隔离器功能结构示意图如图2所示。

安全标签(Security Labels:SLebal)：租户虚拟域及租户虚拟域内资源、数据的唯一标识,以细粒度地实现租户隔离的安全属性集合，由域隔离器中标签生成组件生成并分配给租户，面对不同层次的隔离需求，本实施例设计了不同形式的安全标签：SLebal＝{TID,DLebal,VLebal}。其中，TID为虚拟域安全标签，DLebal为数据存储标签，Vlebal为数据控制标签。更进一步解释，TID:租户虚拟域安全标签，是租户虚拟域的区分标识，TID＝HASH_(Tag),Tag＝ID||T,“||”为连接操作，ID为租户唯一标识，大小为32bit,格式同IP地址；T是租户注册时由标签生成组件为租户协商生成的秘密序列号，目的一是为了模糊租户身份信息，防止恶意租户的假冒及篡改等威胁，二是为了提高下文映射算法中HASH值的分散性；同一虚拟域中的资源及数据拥有相同的TID。DLebal数据存储标签,租户共享存储资源时，用于标识和加密存储租户私有数据，实现对存储数据的访问控制。DLebal＝{TID,KEY,φ,TK}，φ为用户访问存储数据的策略谓词集合且φ＝{f₁,f₂,…,f_n},用于实现对数据访问时的属性(A＝{A₁,A₂,…,A_n})认证，例如策略谓词φ＝{“TID＝xxxx-xxxx-xxxx-xxxx”,“USER＝Bob”,“Data∈[2017,2019]”,…,“Subject”}。KEY，用于加密存储数据的密钥。KEY对应策略谓词集合中的谓词f_i，数据密文对应A中的属性，当且仅当(A′是访问属性)时，能够利用KEY解密数据密文。TK＝{tk₁,tk₂,...,tk_n}为查询令牌，对应于数据的特定谓词，用于检索f(A)＝f(A′)密文。VLebal数据控制标签，用于控制租户虚拟域内外数据的安全标签。VLebal＝{TID,HASH_S,BAN_TIME,Data.attribute,Trans_Type},S为数据的安全级别,HASH_S为安全级别S的HASH值；BAN_TIME为保密期限；Data.attribute为数据的属性信息；Trans_Type标识数据传输类型，"1"代表交换，"2"代表转发。

参照图1所示，本实施例提供一种基于L-DHT的多租户虚拟域隔离构建方法。本发明基于不同层次下租户安全隔离的需求，将租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个层次。

(1)针对多租户数据的存储隔离层，设计基于标签谓词加密的多租户数据隔离存储方法，通过数据存储标签与租户数据的安全绑定，利用域隔离器解析标签，利用TID值区分同一存储结点下租户的数据；通过在数据存储标签中引入策略谓词φ及查询令牌TK，谓词语句对应数据属性，数据加密密钥对应策略谓词φ，数据密文对应于属性集A，以此完成数据的加密隔离存储；通过查询令牌并与数据访问属性的匹配认证，实现对存储数据的查询访问。

(2)针对多租户数据的虚拟网络隔离层，本发明通过在云数据中心网络部署多台域隔离器，利用域安全标签标识虚拟域，提出了多租户虚拟域隔离映射方法，将用户资源均衡映射到多个域隔离器上，构建租户间相互独立的虚拟网络切片；利用域隔离器的标签解析认证、地址解析等功能，实现域隔离器对租户虚拟域的分布式隔离管理。

多租户虚拟域隔离映射方法的设计思想如下：

基于分布式管理和负载均衡的思想，本发明通过改进一致性HASH方法，引入虚拟结点和权重，按权重为域隔离器分配虚拟结点，根据一致性HASH方法的映射机制，利用域安全标签TID的哈希(HASH)值，完成租户到虚拟结点的映射，进而实现“租户资源-虚拟节点-域隔离器”的双映射；通过设计虚拟节点迁移方法解决租户动态映射过程中负载不均的问题，实现租户到域隔离器的动态调整。

在前文对多租户虚拟域隔离映射方法的设计思想进行了说明的基础上，下面对多租户虚拟域隔离映射方法的具体实现方法进行阐述：Step1：初始化；Step2：建立虚拟分区；Step3：依据权重，分配虚拟节点VR；Step4：进行租户到域隔离器的映射；Step5：基于负载的虚拟节点迁移；Step6：定位域隔离器；下面进行详细说明：

Step1.初始化

读取域隔离器DR＝{DR₁,DR₂,…,DR_n}的信息；读取租户ID＝{ID₁,ID₂,…,ID_k}，DR与租户协商生成唯一的租户标签Tag＝{Tag₁,Tag₂,…,Tag_k}，具体过程如附图3所示。

Step2.建立虚拟分区

设置虚拟节点VR，所谓虚拟节点VR是指一致性HASH环上虚拟出来的均匀分布的节点，一个域隔离器对应多个虚拟节点，虚拟节点VR的划分示例如图4所示。

①设域隔离器DR个数为n，对应HASH环Hloop_a，设虚拟倍数为α,设虚拟节点VR个数为2的幂次方倍,取的个数c为c＝2^m,其中1≤αn/2^m≤2。

②分区HASH环，完成“点-区”映射：将HASH环Hloop_a上的值空间分别等分为c个子区间SHloop_a，HASH环上的每个区间的结束值为虚拟节点VR的HASH值，区间上的所有点映射到该虚拟节点VR，虚拟节点VR的值之间呈等差数列排列，公差为d₁＝2^32-m。

Step3.依据权重，分配虚拟节点VR

为使租户的管理隔离分布式的均匀部署在每台DR_i上，在此根据域隔离器吞吐量和存储容量等性能标准，引入性能基准值和及权重W的概念，通过与性能基准值比较得到每台DR_i的权重W_i，并根据W分配VR的个数，权重计算公式为将VR的个数按照权重W_i分配给DR_i，即满足如下公式：因采取的是向下取整，若存在少量未分配虚拟节点VR(个数为P)，则按照N_i/W_i的大小情况依次分配给负载低的DR(负载都相同时按结点编号顺序分配),分配单位为1。

随机在待分配虚拟节点集合中选取N_i个虚拟节点(不再选取已挑选的虚拟节点VR)，“虚-实”结点的映射以字典映射的形式被记录，即：<VR_HASH,DR_i.address>；

Step4.进行租户到域隔离器的映射

计算Tag的哈希(HASH)值，映射到相应虚拟节点,如图4所示：

①计算Step1中租户Tag列表中每个租户虚拟域安全标签为：TID＝{TID₁＝HASH_Tag₁,TID₁＝HASH_Tag₁,...,TID_k＝HASH_Tag_k}；

②“值-点”映射：依次将TID集合中的哈希(HASH)值映射到HASH环Hloop_a上，顺时针方向寻找最近的虚拟节点VR，根据“虚-实”键值对找到所属的DR，完成映射并记录存储。对应的虚拟节点范围：TID_k≤VR_HASH≤(TID_k+Len)，Len为区间长度。图4展示了在3台域隔离器DR₁、DR₂、DR₃性能权重分别是1:1:1，为方便展示分配过程，虚拟节点倍数为3时，租户向VR映射及VR按权重随机分配的过程。

Step5.基于负载的虚拟节点迁移：

随着租户数量的变化，难免会出现域隔离器的数量和性能变化，导致租户分布出现倾斜，从而影响整体的隔离效果和系统性能。

虚拟节点的迁移情况共有三种：一是当整体DR的负载过高时需要扩充DR的数量；二是租户的集中映射，会导致现有DR的负载不均衡；三是由于DR的宕机需要对释放的虚拟节点进行重分配。当隔离系统感知到租户分布出现倾斜时，根据DR的权重来实现虚拟节点的动态分配。针对不同情况，迁移过程如下：

针对DR的移除来说，可以利用Step2中将被释放的租户按照剩余DR的权重重新分配；针对租户的分布不均衡和DR的扩容，引入负载L(L_i＝T_i/W_i,其中T_i为域隔离器DR_i所承载的租户数量)和数据倾斜阈值λ，即当系统中出现(L_MAX-L_MIN)/(L_MAX+L_MIN)≥λ时，系统通过调整权重并根据当前权重从高负载结点负责的虚拟节点中随机挑选并重分配给低负载结点来实现负载均衡。虚拟节点重分配后，重写“虚-实”映射表的value值。迁移过程如附图5、附图6所示。

Step6.定位域隔离器：映射分离器根据租户虚拟域标签TID，完成租户到域隔离器的快速定位：

①计算租户安全标签中Tag的HASH值，即：FNV1_32_HASH(Tag)；

②查找“虚-实”映射表，找到[TID,TID+Len]范围内的VR_HASH；

③根据<VR_HASH,DR_i.address>获取到DR_i.address，完成定位。

本方法的设计主要涉及HASH环分区构造、虚拟节点的分配、HASH值的映射、基于负载反馈的虚拟节点迁移等部分的实现

(3)针对多租户数据的管理及访问隔离层，通过制定面向多维度的租户数据隔离控制规则，利用数据控制标签标记并跟踪租户数据，通过域隔离器对数据控制标签的解析认证，防止租户数据聚合推导高级别信息的同时，通过建立数据安全通道及数据流动控制规则，保证虚拟域租户数据传输的安全隔离，从而实现租户访问数据的安全隔离。

基于上述设计思想，本文通过引入面向不同隔离层次的安全标签，在域隔离器的分布式管理下，将租户私有虚拟网络的建立、数据的隔离存储与访问紧密结合构建租户间相互独立的逻辑虚拟域，从而实现租户数据的安全隔离与有效控制。

其中，面向多维度的租户数据隔离控制规则通过租户虚拟域的映射，实现将不同租户分布式地部署在多个域隔离器上，由域隔离器分布式管理租户。在此基础上，为有效地实现对域中数据的安全控制，本发明设计了面向多维度的租户数据隔离控制规则，内容如下：

(1)多租户虚拟域内数据聚合推导控制规则

针对租户域内用户访问不同级别数据的安全问题，租户域内数据聚合推导控制规则是旨为降低因数据聚合而引起的泄密风险,通过分析租户数据控制标签信息间的关系,推演出关系数据聚合推导出高级别信息的可能性,以此制定相应的安全控制规则,控制数据的访问安全。在此关系数据主要包括相似数据与关联数据。相似数据是指标签属性及数据内容相似的同类租户数据；而关联数据是指具有隐含推导关系的数据,也称为不兼容数据。为了准确地描述本发明中的术语，首先进行下述定义：

定义1.关联数据聚合推导：令Data_i,Data_j具有强关联性,记作Data_i.LabelΘData_j.Label,当Data_i和Data_j发生聚合时,通过聚合分析数据控制标签的信息能够推导出的数据安全级别大于Data_i,Data_j安全级别的可能性超过特定的阈值,则Data_i,Data_j具有不兼容客体聚合推导的安全问题。

定义2.相似数据聚合推导：当相似客体Data₁,Data₂,…,Data_n中的k(k≤n)个数据发生聚合时，通过聚合分析数据控制标签的信息推导出的信息安全级别大于这n个数据的最高安全级别,则称这n个客体存在相似数据聚类推导的安全问题，记作如下公式

具有聚合推导问题的租户数据关系利用数据聚合关系表DRT(Data RelationTable)进行记录，由所属的域隔离器DR来维护。DRT包含DRTI和DRTA两个聚合子表，其中，DRTI为关联数据的关系表，用<Data_i.Label,Data_j.Label,Incompatible>形式进行记录维护，表示Data_i和Data_j是不兼容的；DRTA指的是相似数据聚合关系表，形如<Data₁.Label,Data₂.Label,…,Data_i.Label,k>，k为允许域内用户最多能够访问的相似数据个数或流向同一虚拟机的个数最多为k。

规则1:如果数据Data_i和Data_j为不兼容客体，则不允许二者的聚合

规则1表示如果数据Data_i和Data_j为不兼容客体，则不允许二者的聚合，说明当Data_i和Data_j为不兼容客体时,则Data_i和Data_j聚合推导出的数据信息安全级别即推导出的数据信息比Data_i和Data_j分别具有的信息安全级别要高；安全级别小于的用户,如果曾经访问过Data_i,则禁止访问Data_j,反之亦然；如果安全级别小于的虚拟机中已经存在数据Data_i，则不允许数据Data_j的流入。

规则2:如果相似数据Data₁,Data₂,…,Data_n聚合后的安全级别高于他们其中的任何一个数据的安全级别，则允许访问这类数据的数目小于k；

规则2说明Data₁,Data₂,…,Data_n聚合推导出的数据级别S>max{Data₁.S,…,Data_n.S},即推导出数据安全级别高于Data₁,Data₂,…,Data_n中所有的安全级别；相似数据聚类问题,存在着两种阈值的情况,一是数量的情况,即从Data₁,Data₂,…,Data_n任取k个数据都可以推导出更高级别数据信息,安全级别小于S的用户,仅仅能够访问k-1个相似数据,或者安全级别小于S的虚拟机中仅仅能够同时流入k-1个相似数据；另一个是性质的情况,即Data₁,Data₂,…,Data_n中存在着Data_i,Data_j,…,Data_k共k个数据,只要包含这k个数据中的任何一个或者多个均能推导出高级别的数据信息,则k个数据也被称为例外数据,若Data₁,Data₂,…,Data_n中存在例外数据,则不允许访问例外数据。

(2)多租户虚拟域内数据安全通道的控制规则

为保证租户虚拟域内数据的传输安全，确保安全通道中数据的完整性、机密性及可信性。针对上述目标，结合数据控制标签，本发明制定了域内安全通道的控制规则。

定义3.域内互联成员IM(Interconnection Members)：是指租户虚拟域内参与数据安全传输的成员，包括源IM_s,目的IM_d。IMA表示安全传输时一个完整的互联成员集,

定义4.互联实体ie(interconnected entities):是指虚拟域内互联的安全设备或者组件,对互联成员进行安全保护。

定义5.虚拟域安全传输通道(VDST:Virtual Domain Security Tunnel)：为租户虚拟域内数据提供安全传输服务的通道。形式化定义为：VDST_i＝{<IM_s.ie_s,IM_d.ie_d>,S_VDST,tSA_VDST}.<IE_s,IE_d>指安全通道建立在两个互联实体间；S_VDST指安全通道的安全级别；tSA_VDST指域内安全关联，为了安全传输对所需安全要素的一种安全协定，比如加密算法、密钥协商、传输方向等。

在对上述术语进行定义的基础上，提出规则3：

规则3.定级：VDST_i的安全级别，是由通道所传输数据的级别决定的，规则描述为：

规则3.1:安全通道级别与通道数据流源控制标签的安全级别需保持一致。

规则3.2：表示如果数据流动为双向，安全通道的级别应与两端数据控制标签的安全级别一致。

规则4.安全关联保护规则:虽然安全通道具有单向性，但在实际的租户虚拟域中，不免存在着双向数据流，为有效的保护安全通道中的租户数据，制定了安全关联保护规则：

(1)规则4.1:设安全关联tSA_i包括和分别表示正反方向上的安全关联，假设数据流的流向为IM_s.ie_s←IM_d.ie_d，保护规则如下：

if(S_DLabels＞S_DLabeld)then

else

规则4.1说明安全通道的安全关联存在单向性，即要求正反方向上各有一个不同强度的安全关联；不论是哪个方向上的租户数据流，tSA的安全强度都与数据的源端标签的安全级相关。I(*)表示安全关联的强度。

(2)规则4.2:设数据流的流向为保护规则如下：

规则4.2说明数据流为双向时，正反方向上tSA的强度相同，即此时的tSA是双向的。

规则5传输无干扰规则:若Data₁,Data₂,…,Data_n存在相似数据聚合推导问题或者Data_i,Data_j存在不兼容数据聚合推导问题，则安全通道传输这些租户数据时，应做到通道的无干扰。

规则5说明租户数据间存在聚合推导问题，禁止共享安全通道进行传输。具有聚合推导关系的租户数据，即使其安全级别可能一样，通道安全级别也一致，但必须依照规则1,2的要求，选择不同的安全通道进行安全传输。

由于租户共享云计算资源，租户虚拟域内资源分散分布，为保证租户域内数据的安全传输，有必要制定安全通道的交换与转发规则，规则如下：

规则6安全交换与转发规则:假设数据Data将从租户T域内的用户U_i交换或转发至用户U_j,分别由互联实体ie_i和ie_j来保护，DR.ie_k为域隔离器DR上的安全组件，安全通道VDST_m的两端互联实体分别为ie_i和ie_k，VDST_n的两端互联实体分别为ie_k和ie_j；DR.ie_k为VDST_m和VDST_n的共同互联实体端,安全交换与转发规则如下：

规则6.1安全通道交换规则：如图8所示。

其中，visible()是可视函数，visible(*)表示对*是可见的；Encrypt()表示安全通道加密封装，Decrypt()表示安全通道解封装。规则6.2说明:①租户数据通过安全通过进行交换时，需要通过所属域隔离器下安全组件DR.ie_k的认证后进行转发；②安全通道交换的数据流动方向具有单向性；③安全通道交换的实质是数据Data受两条安全通道保护，并在DR.ie_k处进行安全通道的解封装、再封装处理，数据Data在DR.ie_k处是原文,可对数据控制标签进行认证，认证数据的来源、聚合推导等问题。

规则6.2安全通道转发规则:假设ie_i与ie_j协商的安全通道为VDST_P，

其中，invisible()是不可视函数，invisible(*)表示对*是不可见的。规则6.2说明安全通道转发的实质是通道间的嵌套封装后沿新的安全通道进行转发；域隔离器的安全组件DR.ie_k对数据Data来说是不可见,ie_k只对封装后的数据进行再次封装，并对数据控制标签进行认证，认证数据来源真实性，主要适用于同一用户的远程传输。

(3)多租户虚拟域内外数据流动控制规则

为实现租户虚拟域内外数据流动的安全隔离，在上述数据聚合推导控制规则和安全通道控制规则的基础上，本发明制定多租户内数据流动控制规则。

规则7.安全流动规则

为实现租户虚拟域内外数据流动的安全隔离，在数据聚合推导控制规则和安全通道交换规则的基础上，本实施例制定数据安全流动规则。

设租户源端数据控制标签如下：

VLabel_s＝{TID,HASH_S,BAN_TIME,Data.attribute,Trans_Type}；

目的端数据控制标签如下：

VLabel_d＝{TID,HASH_S,BAN_TIME,Data.attribute,Trans_Type}；

则租户数据安全流动规则思想如下：当完成租户向域隔离器的均衡映射后，租户虚拟域内的所有资源信息都保存在域隔离器上，本实施例通过对租户数据的数据控制标签进行检查，完成虚拟域内外的安全隔离通信。以虚拟机A请求向虚拟机B发送数据包为例，过程如下：

Step1校验数据包：与域隔离器建立安全通道，在安全通道控制规则的约束下，发送数据包到域隔离器，然后域隔离器对接收到的数据包进行安全标签的校验，如果校验失败则直接丢弃，否则转Step2；

Step2认证TID：虚拟机A向其所属的域隔离器发送数据包Data_i时，域隔离器检查数据包Data_i中TID，当与虚拟机B所在的虚拟域TID相同时，转到Step2，否则不允许转发；

Step3检查安全级别s：在虚拟机A和B的TID相同时，域隔离器检查虚拟机A的安全级别S_A与虚拟机B的安全级别S_B，此时分为三种情况：

①当

时，说明符合低安全级向高安全级流动数据并且符合数据聚合控制规则，允许发送数据包到虚拟机B；

②当

时，说明是数据包在合法的情况下从高安全级向低安全级传输并且符合数据聚合控制规则，此时设置一个保密期限记录在DR中，在这个保密期限内虚拟机B只能发送数据包到大于或等于安全级S_A的虚拟机，当期限解除后允许B向大于等于其安全级的虚拟机发送数据包；

③当 时，表示数据包由高安全级非法向低安全级发送数据或者不符合数据聚合控制规则。

当为①和②时，转到Step4，当为③时禁止通信。

Step4:域隔离器建立安全通道，在安全通道控制规则的约束下将数据包转发到虚拟机B，通信结束。

规则7说明:①所有转发或者交换的数据必须经过域隔离器的认证和审查，防止出现域间数据的交叉流动及域内数据的聚合推导等问题；②针对数据的单向流动，正常情况下，低级别的信息只能通过安全通道流入高级别的目的端,信息流入模式分为:只读、写入、更新、隔离存储；当高级别信息流入低级别目的端时，必须设置保密期限设置目的端的安全级别范围，防止目的端向安全级别介于(S₀,S_n)的用户传递信息时造成泄密；③针对数据的双向流动，源端与目的端的安全级别应相同。

(4)租户安全隔离访问流程

本发明通过与数据存储标签的对比认证及安全控制规则来完成对租户访问的有效控制，该过程包括对租户的二次认证：一是租户的接入认证(身份认证)，二是访问用户与策略谓词匹配关系的认证，详细过程如图7所示。

在本发明的描述中，需要理解的是，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

以上所述的实施例仅是对本发明的优选方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims (1)

1.一种基于L-DHT的多租户虚拟域隔离构建方法，其特征在于，包括如下步骤：

S1.基于不同层次下多租户安全隔离的需求，将多租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个隔离层次；

S2.通过基于标签哈希映射的多租户隔离映射方法，构建租户资源信息到域隔离器的均衡映射机制，租户存储的资源信息映射到域隔离器管理下的存储结点；

S3.针对映射到域隔离器管理下的同一存储结点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计基于标签谓词加密的租户数据隔离存储方法；

其中，L-DHT为标签-分布式哈希表；

其中，所述存储隔离层的隔离方法如下：

设计基于标签谓词加密的租户数据隔离存储方法，通过数据存储标签与租户数据的安全绑定，利用域隔离器解析标签，利用域安全标签TID值区分同一存储结点下租户的数据；通过在数据存储标签中引入策略谓词

及查询令牌TK，谓词语句对应数据属性，数据加密密钥对应策略谓词φ，数据密文对应于属性集A，以完成数据的加密隔离存储；通过查询令牌并与数据访问属性的匹配认证，实现对存储数据的查询访问；

所述多租户虚拟网络隔离层的隔离方法如下：

在云数据中心网络部署若干域隔离器，利用域安全标签标识虚拟域，通过多租户虚拟域映射方法，将多租户资源映射到不同域隔离器上，构建多租户间相互独立的虚拟网络切片；利用域隔离器的标签解析认证、地址解析功能，实现域隔离器对多租户虚拟域的分布式隔离管理；

所述多租户管理及访问隔离层的隔离方法如下：

制定面向多维度的多租户数据隔离控制规则，利用数据控制标签标记并跟踪多租户数据，通过域隔离器对数据控制标签的解析认证，防止租户数据聚合推导高级别信息；建立数据安全通道及数据流动控制规则，保证虚拟域中多租户数据传输的安全隔离，实现多租户访问数据的安全隔离；

所述基于标签哈希(HASH)映射的多租户隔离映射方法的具体内容如下：

Step1初始化；

Step2建立虚拟分区；

Step3依据权重，分配虚拟节点VR；

Step4进行租户到域隔离器DR的映射；

Step5基于负载的虚拟节点VR迁移；

Step6完成租户到域隔离器DR的定位；

步骤S3中基于标签谓词加密的租户数据隔离存储方法的具体内容如下：

设租户T存储数据A的存储标签为

所述基于标签谓词加密的租户数据隔离存储方法表示为下式所示五元组ε：

ε＝{Setup(1^k,A)；GenToKen(φ,TID_T)；Encrypt(KEY,Data)；Query(TK,C)；Decrypt(KEY,C)}

所述五元组中各个元素含义如下：

Setup(1^k,A):输入安全参数1^k和数据属性A，输出密钥KEY及策略谓词φ；

GenToKen(φ,TID_T):输入策略谓词φ及租户虚拟域安全标签TID_T，计算查询令牌TK；

Encrypt(KEY,Data):输入密钥KEY及明文Data，输出密文C；

Query(TK,C,TID^′，A′):输入查询令牌TK,密文C、数据访问者的域安全标签TID^′及其属性信息A′，进行查询属性的认证。

Images