CN111708602A - 基于虚拟边界识别的租户敏感信息流动态控制方法及系统 - Google Patents

Abstract

本发明公开一种基于虚拟边界识别的租户敏感信息流动态控制方法及系统，分析租户行为及操作日志，提取租户关键特征，构建起租户行为特征向量，设计了基于BP神经网络的租户虚拟边界自动化识别算法，有效识别多租户在共享物理实例中的操作进程，实现对多租户虚拟网络边界的标识，为租户敏感信息流的控制提供依据；结合集中式与分散式信息流控制的思想，提出了云租户敏感信息流动态控制方法，利用格结构形式化地给出了安全性标签的相关定义，设计了基于安全性标签的租户信息流控制规则、租户标签加密及降密规则，完成标签对虚拟机内部进程间及虚拟机间租户信息流的跟踪与控制，实现对边界内信息流的自主控制及租户间信息流的动态控制与安全共享。

Description

基于虚拟边界识别的租户敏感信息流动态控制方法及系统

技术领域

本发明涉及信息流分析技术领域，特别是涉及一种基于虚拟边界识别的租户敏感信息流动态控制方法及系统。

背景技术

云计算是现阶段信息技术服务模式的重大创新，实现了多租户共享、按需分配的服务方式，但其特点也决定了其在为租户带来极大便利的同时也对租户敏感数据的安全造成严重威胁。云平台具有如下特点：1)基础设施公有，破除了物理资源之间的壁垒，导致租户在虚拟网络环境中的安全边界模糊、弱化，难以有效识别租户虚拟安全边界，给租户数据的安全隔离带来了难题；2)云服务外包，租户将自己的应用及信息都将由云端管理，导致租户无法直接控制和管理自身的资源，容易导致云中不可信程序对虚拟机内部信息的非法获取与泄露，无法有效确保敏感信息的安全性；3)规模大，开放程度高，多租户资源共享。租户间关系复杂，甚至存在恶意租户打破其他租户虚拟隔离边界，非法获取敏感信息的情况。

传统的租户网络隔离技术在研究租户虚拟网络隔离时，忽略了对租户虚拟网络边界的自动化识别的研究，没有给出租户域虚拟安全边界的识别方法；除此之外，系统安全性或可用性低，以及租户边界内外信息流控制粒度粗糙，并且缺乏支持用户自定义和动态调整的信息流控制策略。

因此目前急需一种基于租户虚拟边界识别的租户敏感信息流动态控制方法来解决上述问题。

发明内容

本发明的目的是提供一种基于虚拟边界识别的租户敏感信息流动态控制方法，以解决上述现有技术存在的问题，既能够实现租户虚拟边界的有效识别，还能够针对租户边界实现租户对自身敏感信息的自主动态控制。

为实现上述目的，本发明提供了如下方案：本发明提供一种基于虚拟边界识别的租户敏感信息流动态控制方法，包括如下步骤：

步骤1、租户行为特征提取与处理：挖掘租户特征信息，并提取租户的关键特征，用来构建特征向量，并进行量化以及归一化处理，供神经网络进行学习；

步骤2、识别租户虚拟边界：通过对租户虚拟边界数据进行网络初始化、特征向量输入、正向传递、反向传递、循环训练、噪声审核、识别结果判定及网络的再优化；

步骤3、针对于云租户敏感信息流进行动态控制：

设计安全性标签；

设计信息流安全性标签控制策略；

设计租户标签加密及降密策略。

优选地，所述租户特征信息包括租户类别、虚拟机相关信息、获取操作信息。

优选地，租户虚拟边界具体识别流程如下：

A、网络初始化：给各连接权值分别赋一个区间(-1,1)中的随机数，设定误差函数δ,给定计算精度值ε和最大学习次数M；

B、正向传递:

vi.计算隐藏层各神经元的激活值S_j，公式如下：

其中W_ji为输入层各神经元与隐藏层神经元j间的连接权重,x_i为输入特征值，λ_j为阈值；

vii.在此激活函数选用Sigmoid型函数：f(x)＝1/(1+e^-x)；

viii.计算隐藏层神经元j的输出值：h_j＝f(S_j).

ix.计算输出层神经元k的激活值S_k，公式如下：

其中

为隐藏层各神经元与输出层神经元k间的连接权重，γ_k为阈值；

x.计算输出层神经元k的输出值y_k：y_k＝f(S_k)；

C、反向传递:

v.计算输出层神经元k的校正误差δ_o(k)，公式如下：

δ_o(k)＝y_k(o_k-y_k)(1-y_k),其中o_k为期望输出向量；

vi.计算隐藏层神经元j的校正误差δ_h(k)，公式如下：

其中，h_j隐藏层向量；

vii.输出层与隐藏层连接权重更新公式为：

其中，η>0为学习系数，α∈[0,1),为冲量系数，m为迭代的次数；

viii.隐藏层与输入层连接权重更新公式为：

D、循环训练:

ii.计算全局误差，公式如下：

其中，C为样本的数量，q为输出神经元的数量；

设误差预设精度为ε，ε>0，学习迭代的最大次数为M次；不断迭代，当误差达到预设精度ε或迭代次数大于M时，结束算法；否则，选取下一个学习样本，进入下一轮的学习；

H、边界判别：将不同的输出结果视为不同的租户边界，进行虚拟边界的划分；

I、噪声审核；

J、网络再优化:对边界确认后的数据加入到训练集中，进一步对神经网络进行优化。

优选地，所述信息流安全性标签控制策略包括：

i、规则1标签值域最小化

ii、规则2标签值域的"与或"；

iii、规则3租户信息流保护规则

iv、规则4标签的传播规则。

5.根据权利要求1所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述租户标签加密及降密策略包括：

i、规则5标签加密规则；

ii、规则6标签降密规则。

优选地，所述规则5标签加密规则为：设租户T有机密性标签集

L_c对应的机密性标签加密集合为S_c,完整性标签

L_i对应的完整性标签加密集合为S_i,则授权规则如下：

规则5.1机密性标签加密:

表明租户添加机密性标签L_add-c到原有标签中的必要条件是L_add-c包含于租户的可添加机密性标签策略集合

规则5.2完整性标签加密:

表明租户添加完整性标签L_add-i到原有标签中的必要条件是L_add-i包含于租户的可添加完整性标签策略集合

优选地，所述规则6标签降密规则包括：规则6.1机密性标签降密包括:

优选地，一是将拥有者制定的机密性标签直接移除，二是向标签的值域中添加主体；租户降低机密性标签约束的必要条件是L_sub-c包含于租户的可去除机密性标签策略集合

或者R_add属于集合

中某元素标签的值域；

规则6.2完整性标签降密:

本发明还公开了一种云租户敏感信息流安全动态控制系统，包括租户虚拟边界的自动化识别模块、集中式自主控制模块、分散式动态控制模块；所述租户虚拟边界的自动化识别模块，用于挖掘租户特征信息，对租户特征信息进行虚拟边界识别，为租户信息流跟踪与控制提供依据；所述集中式自主控制模块，用于对租户内部敏感信息流进行动态控制；所述分散式动态控制模块，用于对租户间之间敏感信息流进行动态控制。

优选地，所述集中式自主控制模块包括信息流控制策略库、标签分配组件、标签调整组件、风险监控模块，所述标签标记组件、标签分配及调整组件，所述信息流控制策略库用于制定信息流控制规则，对用户信息流进行分类；所述标签标记组件用于对每类标签进行标记；所述标签分配及调整组件用于根据租户需求，对标签进行分配及调整；所述风险监控模块用于对租户内信息流进行监控，判断租户边界内部信息流的是否符合信息流控制规则。

优选地，所述风险监控模块包括租户边界内部的风险监控模块、租户边界间的风险监控模块，所述租户边界内部的风险监控模块用于监控租户内部的信息流的监控，所述租户边界间的风险监控模块用于租户之间的信息流的监控。

本发明公开了以下技术效果：1)本发明提出了一种基于虚拟边界识别的租户敏感信息流动态控制方法，由租户虚拟边界识别的自动化学习算法和云租户敏感信息流动态控制方法配合实现云中租户敏感信息的安全保护；

2)本发明通过深度挖掘租户行为和分析操作日志，提取了租户的关键特征，经过量化和归一化处理，构建租户行为特征向量，基于BP神经网络对样本中提取的特征向量进行训练学习，完成对租户共享物理实例中操作进程的自动化识别，确立租户间的虚拟网络边界，并对租户边界进行安全标识。

3)基于租户虚拟边界的识别，结合信息流集中式与分散式控制机制的思想，本发明提出一种云租户敏感信息流动态控制方法，实现边界内外部进程级别的信息流和基于网络数据通信字节级别的信息流的跟踪与控制，该方法借助格结构形式化地给出了安全性标签的相关定义，并以此设计了基于安全性标签的租户信息流控制规则、租户标签加密及降密规则，实现对租户数据的最小特权约束、机密性及完整性保护、标签传播的同时，并可以实现租户对标签策略的自主调整。

4)本发明通过OpenStack搭建云平台，并对其上虚拟机进行监控，统计租户资源信息及日志信息，得出样本数据，利用样本数据多次实验，最终验证了边界识别算法可以精确的识别租户下的虚拟机，并通过不断加入已识别的新数据到训练集中进行优化，保证了神经网络边界学习的动态性；

5)本发明采用非传递性的无干扰理论对云租户敏感信息流安全控制应用系统进行了无干扰安全性的证明。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为基于软件定义的租户网络边界示意图；

图2为本发明租户虚拟边界识别流程图；

图3为本发明神经网络学习结构图；

图4为存在缺陷的云租户信息流控制架构图；

图5为本发明云租户敏感信息流安全动态控制系统；

图6为本发明租户信息流自主控制策略；

图7为本发明租户间信息流控制策略。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

租户边界的识别，主要服务于租户信息流的安全控制。在租户虚拟边界被准确识别的基础上，结合租户敏感信息流的安全控制方法，保证租户边界内外信息流的安全流动，防止恶意的攻击行为造成租户敏感信息的泄露。

由图1可知，租户上层应用程序可能会共享同一底层虚拟机实例，其中进程间的信息流动对上层应用是透明的，并且同一租户下的进程可能分布在多个实例上面，由于上层租户应用需求的动态变化，租户虚拟网络的构造也跟着改变，使得租户虚拟网络下的边界变得模糊，没有明确定义和有效标识，此外通过传统人工静态的审核方式进行边界的识别确认已经不能够适应租户虚拟网络边界的实时性和动态性。为此，本发明提供一种基于虚拟边界识别的租户敏感信息流动态控制方法，包括如下步骤：

步骤一、基于BP神经网络对虚拟边界进行提取：通过收集租户的操作日志，并提取租户的关键特征，以此来构建特征向量，供神经网络进行学习。

A、首先对租户及云平台中虚拟机进行监控，结合日志信息的分析，获取租户注册及权限等信息，包括租户类别(用户组别)T_type,，接着提取用户连接的虚拟机相关信息，包括虚拟机标识V_ID,并获取虚拟机中与租户连接的进程号P_ID,分析日志信息，获取操作信息,包括文件名称F_NAME、文件路径F_PATH、操作类型F_OM、打开时间F_OT、关闭时间F_CT等信息。

B、在收集租户关键特征信息后，构建特征向量φ＝(T_type,V_ID,P_ID,F_NAME,F_PATH,F_OM,F_OT,F_CT)＝(φ₁,φ₂,φ₃,φ₄,φ₅,φ₆,φ₇,φ₈)，针对上述特征类型及单位的不同，在神经网络学习之前先对向量进行量化和归一化处理。

C、对向量进行量化:将租户类别进行映射，例如T_type＝{Administrator,Senior,VIP,Normal,…}可映射为φ₁＝{1,2,3,4,…}；针对V_ID,P_ID的量化可直接使用，即φ₂＝V_ID，φ₃＝P_ID；针对F_NAME,F_PATH的量化，在此主要利用HASH算法进行映射，即φ₄＝HASH(F_NAME),φ₅＝HASH(F_PATH)，本文考虑到要对字符串进行HASH运算，本文考虑到要对字符串进行HASH运算，在此采用基于乘法的哈希运算方法，并且设乘数为33时，对英文单词有比较好的散列效果；针对F_OM的量化，可将操作类型F_OM＝{new,read,write,update,delete,clear,…}同样映射为φ₆＝{1,2,3,4,5,…}；针对操作时间F_OT,F_CT,使用统一的时间格式计数,并以秒为单位,φ₇＝T(F_OT),φ₈＝T(F_CT)。

D、对向量进行归一化处理：为了减少特征变量不同的取值范围对神经网络产生影响，便于神经网络的学习，提高精度，使各个特征变量具有相同的重要性，本文对各个特征变量进行归一化处理，利用离差标准化的方法，即x＝(x-min)/(max-min)，其中max是特征变量的最大值，min则为最小值，将所有特征值控制在[0,1]内。

步骤二、识别租户虚拟边界

如图2所示，通过对租户虚拟边界数据进行网络初始化、特征向量输入、正向传递、反向传递(权值更新)、循环训练、噪声审核、识别结果判定及网络的再优化。本发明采用三层网络学习结构进行学习，如图3所示。根据特征向量的维度，本文输入层神经元个数n＝8,隐藏层神经元个数公式为

其中n为输入层神经元数，q为输出层神经元数，β为1-10的整数。设输入特征向量为φ＝(φ₁,φ₂,φ₃,φ₄,φ₅,φ₆,φ₇,φ₈)，隐藏层向量为H＝(h₁,h₂,…,h_p),实际输出向量为Y＝(y₁,y₂,…,y_q),期望输出向量为O＝(o₁,o₂,…,o_q)；输入层各神经元与隐藏层神经元j间的连接权重为

阈值为λ_j,隐藏层各神经元与输出层神经元k间的连接权重为

阈值为γ_k。

租户虚拟边界具体识别流程如下：

A、网络初始化：给各连接权值分别赋一个区间(-1,1)中的随机数，设定误差函数δ,给定计算精度值ε和最大学习次数M。

B、正向传递:

xi.计算隐藏层各神经元的激活值S_j，公式如下：

xii.在此激活函数选用Sigmoid型函数：f(x)＝1/(1+e^-x)；

xiii.计算隐藏层神经元j的输出值：h_j＝f(S_j).

xiv.计算输出层神经元k的激活值S_k，公式如下：

xv.计算输出层神经元k的输出值：y_k＝f(S_k)。

C、反向传递:

ix.计算输出层神经元k的校正误差δ_o(k)，公式如下：

δ_o(k)＝y_k(o_k-y_k)(1-y_k)

x.计算隐藏层神经元j的校正误差δ_h(k)，公式如下：

xi.输出层与隐藏层连接权重更新公式为：

η>0为学习系数，α∈[0,1),为冲量系数，m为迭代的次数。

xii.隐藏层与输入层连接权重更新公式为：

D、循环训练:

iii.计算全局误差，公式如下：

其中，C为样本的数量，q为输出神经元的数量。

iv.设误差预设精度为ε，ε>0，学习迭代的最大次数为M次；不断迭代，当误差达到预设精度或迭代次数大于M时，结束算法。否则，选取下一个学习样本，进入下一轮的学习。

E、边界判别：将不同的输出结果视为不同的租户边界，进行虚拟边界的划分。例如，假设有三个租户，输出结果分别为“001”、“010”、“100”时，划分不同的类，即划分租户边界,并用租户ID号来进行边界的标识。划分完成后，需要对边界内进程间信息的流动进行控制，进而隔离租户间的信息干扰。

F、噪声审核:管理员需要对出现在不同边界内的同一进程操作信息进行核对，一方面是边界识别过程中，由于云租户的行为是实时动态的，网络的训练不充分，可能会出现将同一进程操作的日志信息被错误分类到不同租户边界；另一方面租户可能同时共享同一虚拟机下的操作进程，例如存在共享数据时，同时读取共享数据。基于两种可能的情形，需要对边界内的噪声虚拟机进行再审核，排除噪声数据，提高精度。

G、网络再优化:对边界确认后的数据加入到训练集中，进一步对神经网络进行优化。

步骤三、云租户敏感信息流动态控制方法

租户在租用云服务时，会将自身数据上传到云平台进行处理，一定程度上失去了对自身敏感信息的直接控制，严重威胁了租户数据的安全，虽然安全性标签设计确立了租户的虚拟边界，给出了租户信息流动的界限，但是如果缺乏行之有效的信息流控制方法，则极易遭受虚拟机中不可信程序及其他租户的越界攻击，导致租户敏感信息的泄露，如图4①②③所示。

由于上层不同租户应用对虚拟机资源的高度共享，导致了租户虚拟边界内外进程间信息非法流动可能性的发生：

①同一虚拟机下其他租户的恶意进程对租户已授权进程中信息的非法获取，导致敏感信息的流出；②不同虚拟机间，边界外的非可信程序对边界内已授权程序中信息的窃取，造成敏感信息的泄露，例如虚拟机逃逸攻击；③租户共享信息的非法传递，即租户A的进程将共享租户B的信息非法传递给B不允许的进程。

基于上述问题，本文设计了云租户敏感信息流动态控制方法。首先针对云租户边界内部信息流的安全，由云租户自身决定数据的安全性强度及虚拟机内应用程序应当具备何种权限，旨在实现租户对边界内信息的集中式控制；针对云租户间信息流的控制策略，分别由参与租户共同制定，并且云租户仅可制定自身与其他云租户的信息流动或共享数据的安全策略，旨在实现租户间信息流的分布式动态控制。

具体过程如下：

A、设计安全性标签

i、定义安全性标签L表示一组安全策略，每个策略代表租户对信息的安全要求，包括机密性和完整性安全要求，L由策略主体owner(信息的拥有者，策略的制定者，用租户的边界ID来区分)、值域R(策略的允许者，由owner决定)，形式化表示为L＝(ID:R)，包括两种类型，分别是机密性标签L_c和完整性标签L_i,即L_c＝(ID→R),表明由该标签标记的信息的拥有者owner，只允许信息流向R中的主体，例如L_c＝(ID₁→r₁，r₂),带有机密性标签L_c的信息允许r₁,r₂进行读取；L_i＝(ID←R),表明信息的拥有者owner,只允许接收R中主体流入的信息。此外，由标签标记的数据，标签会跟随该数据在整个系统中流动并传播，并且数据衍生出的对象也同样会继承原有标签。

ii、定义机密性标签格G_c表示利用格的方式抽象化机密性标签系统,

用于租户数据的机密性保护,L_c表示机密性标签集合，则对于任意的标签值L_c.R_x属于标签L_c的值域；∧表示交汇运算符，取标签集合的并集“∪”，其满足:①等幂性L_c.R_x∧L_c.R_x＝L_c.R_x；②交换性L_c.R_x∧L_c.R_y＝L_c.R_y∧L_c.R_x；结合性L_c.R_x∧(L_c.R_y∧L_c.R_z)＝(L_c.R_y∧L_c.R_x)∧L_c.R_z。“∧”规定了标签值域上的偏序关系“°”，满足自反性、反对称性及传递性。若

且

那么

举例：若

则

表明

机密性要求更高。"Δ_c"代表机密性标签值域的最大上界,表明读取该数据的最大范围；

代表机密性标签值域的最小下界,表明读取该数据的最小范围。

iii、完整性标签格

用于租户数据的完整性保护，此时规定完整标签值域内满足与机密域相反的偏序关系,即

分别是

对应的机密性标签。举例：若

则

表明

完整性要求更高。"Δ_i"代表完整性标签值域的最大上界,由数据机密性和完整性的对偶关系可知:

代表完整性标签值域的最小下界，同理可得:

iv、标签格的偏序:

即L_c×L_i的集合，

的偏序表示同时满足保密性标签与完整性标签的偏序，即:

B、信息流安全性标签控制策略

i、规则1标签值域最小化

设数据Data由标签L₁＝(ID₁:R₁)和L₂＝(ID₂:R₂)共同标记,则数据Data的安全性标签为两者标签的并集，即标签值域的交集，即:

if L_min＝L₁∪L₂ then{L_min.R＝L_1.R₁∩L_2.R₂；}

规则1表明数据Data上的标签策略满足最小特权原则，数据只流向满足所有标签策略的主体，机密性标签及完整性标签需要共同遵循此规则。该规则是数据标签传播规则及租户间信息流控制的安全基础。

ii、规则2标签值域的"与或"

规则2.1标签值域的"与"是指数据Data需要多个主体同时操作，单个主体无法进行数据的读取，标签形式化为:L＝(ID：r₁ and r₂),该规则表达了职责分离的原则；

规则2.2标签值域的"或"是指主体对数据Data的操作具有先后次序，标签形式化为:L＝(ID：r₁ or r₂),该规则规定了先r₁后r₂的操作顺序，不得同时操作。

iii、规则3租户信息流保护规则

设有任意两个数据Data₁和Data₂，其机密性标签和完整性标签分别为

和

则Data₁到Data₂的数据流动的保护规则如下：

规则3表明数据的流动的必要条件是要同时满足数据的保密性标签及完整性标签的偏序关系，数据的机密性标签要求租户数据只能从标签弱约束到强约束流动，目的是为了防止数据泄露；数据的完整性标签要求数据只能沿高完整性到低完整性流动，目的是为了防止数据被污染。基于信息流保护规则，在此给出虚拟机内进程发送和接收信息流的控制规则：

规则3.1进程间信息流的控制规则:设发送进程P₁，发送数据D₁，接收进程P₂，接收处的数据为D₂，规则如下：

规则3.1进程P₁能够发送数据D₁到P₂的必要条件是需要满足进程P₁属于数据D₁机密性标签的值域，数据D₁到数据D₂要满足规则2，并且P₂还要在D₂的完整性标签的值域中。

iv、规则4标签的传播规则

设标签跟随数据Data₁流向Data₂,标签分别为

和

数据Data₂的安全性标签需要进行更新,更新后的安全性标签为

，规则如下：

if Data₁→Data₂ then{

该规则表明数据流动后标签的更新应更加严格，因此遵循标签的交汇运算，即标签的并。标签的传播可分为两种情况:①进程执行运算过程中，内部标签的传播，例如，赋值运算x＝y,y的信息流向x,x的标签更新为两者的并集；②进程间的数据传输，例如进程P向进程Q传输了数据D₁并与D₂保存在一起，此时更新数据D₂的标签为二者的并集。

C、租户标签加密及降密策略

为完成租户对数据的自主与动态控制，还设计了租户对自身数据安全性标签的调整能力，分为标签加密和标签降密规则。为更好地实现租户对标签的调整，本文引入机密性标签策略调整集合S_c和完整性标签策略调整集合S_i,

表示可添加的机密性标签策略集合，

表示可去除的机密性标签策略集合，

表示可添加的完整性标签策略集合，

表示可去除的完整性标签策略集合。

i、规则5标签加密规则

设租户T有机密性标签集

L_c对应的机密性标签加密集合为S_c,完整性标签

L_i对应的完整性标签加密集合为S_i,则授权规则如下：

规则5.1机密性标签加密:

表明租户添加机密性标签L_add-c到原有标签中的必要条件是L_add-c包含于租户的可添加机密性标签策略集合

规则5.2完整性标签加密:

表明租户添加完整性标签L_add-i到原有标签中的必要条件是L_add-i包含于租户的可添加完整性标签策略集合

此外，由规则5和标签的最小下界可知，数据的完全加密公式为：

ii、规则6标签降密规则

规则6.1机密性标签降密(共有两种情况):

6.1表明租户机密性标签降密有两种情况:一是将拥有者制定的机密性标签直接移除，二是向标签的值域中添加主体。租户降低机密性标签约束的必要条件是L_sub-c包含于租户的可去除机密性标签策略集合

或者R_add属于集合

中某元素标签的值域；

规则6.2完整性标签降密:

6.2表明租户完整性标签降密有两种情况:一是将拥有者制定的完整性标签直接移除，二是向标签的值域中添加主体。租户降低完整性标签约束的必要条件是L_sub-i包含于租户的可去除完整性标签策略集合

或者R_add属于集合

中某元素标签的值域；

此外，由规则6和标签的最大上界可知，数据的完全解密公式为：(L_i.R∪Δ_i)&&(L_c.R∪Δ_c)。

参照图5，本发明还公开了一种云租户敏感信息流安全动态控制系统，目的是准确识别租户虚拟边界，并实现云中租户敏感信息流的安全控制与共享。所述系统包括租户虚拟边界的自动化识别模块、集中式自主控制模块、分散式动态控制模块；所述租户虚拟边界的自动化识别模块用于挖掘租户特征信息，对租户特征信息进行虚拟边界识别，为租户信息流跟踪与控制提供依据；所述集中式自主控制模块用于对租户内部敏感信息流进行动态控制；所述分散式动态控制模块用于对租户间之间敏感信息流进行动态控制。

进一步优化方案，所述集中式自主控制模块包括信息流控制策略库、标签分配组件、标签调整组件、风险监控模块，所述标签标记组件、标签分配及调整组件，所述信息流控制策略库用于制定信息流控制规则，对用户信息流进行分类；所述标签标记组件用于对每类标签进行标记；所述标签分配及调整组件用于根据租户需求，对标签进行分配及调整；所述风险监控模块用于对租户内信息流进行监控，判断租户边界内部信息流的是否符合信息流控制规则。

进一步优化方案，所述风险监控模块包括租户边界内部的风险监控模块、租户边界间的风险监控模块，所述租户边界内部的风险监控模块用于监控租户内部的信息流的监控，所述租户边界间的风险监控模块用于租户之间的信息流的监控。

进一步优化方案，所述系统还包括细粒度的标签跟踪模块、即时虚拟机自省模块、虚拟机监控模块、审计模块、用户接口模块等，分别完成租户信息流标签的跟踪，获取虚拟机内进程、模块、内存等对象的信息，虚拟机的安全监控与审计等功能。

进一步优化方案，所述集中式自主控制模块采用集中式制定信息流控制策略的方法(方法实施如图6所示)，由租户自主制定控制方法，可实现租户边界内部虚拟机进程级别和基于网络通信字节级别的跟踪与控制，以防止租户敏感信息的泄露。

在图5中，①表明了租户边界内部同一虚拟机中进程间的信息流动，受租户内信息流风险监控模块的监控，当符合信息流控制规则时，允许信息由P₁流向P₂；②表明了租户边界内不同虚拟机中进程间的信息流动，受租户内信息流风险监控模块的监控，由于Data4的完整性小于Data2，不允许信息由P₄流向P₂。

进一步优化方案，在云租户之间，采用分散式信息流控制的方法，由租户共同制定信息流控制策略的方法(方法实施如图7所示)，云租户可通过程序接口制定相应的信息流控制策略和查看信息流审计信息。例如租户A可参与制定与B之间信息流控制策略，不能制定B与C之间信息流控制策略。依据每个租户制定的信息流控制策略构成租户间的分布式策略控制集，可实现不同租户边界间虚拟机进程级别及基于网络通信字节级别的跟踪与控制，以防止恶意租户对其他租户敏感信息的非法获取。租户间信息流动的实例：③表明租户间共享同一虚拟机时信息的非法流动情况，受租户间信息流风险监控模块的监控；④表明了租户间合法共享信息的情况，同样受租户间信息流风险监控模块的监控。

在系统中，通过引入信息流安全性标签的传递规则实现安全标签对信息整个流动过程的安全约束；通过引入标签值域的最小化规则，使信息的流动符合最小特权原则；通过引入标签值域的“与或”，实现了数据操作的权职分离原则；通过引入标签加密和解密规则，使得租户能够实时动态的控制自身信息流的流动，便于租户间信息流策略的共同制定和信息流的安全共享。

在本发明的描述中，需要理解的是，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

以上所述的实施例仅是对本发明的优选方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims (10)

1.一种基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于，包括如下步骤：

步骤1、租户行为特征提取与处理：挖掘租户特征信息，并提取租户的关键特征，用来构建特征向量，并进行量化以及归一化处理，供神经网络进行学习；

步骤2、识别租户虚拟边界：通过对租户虚拟边界数据进行网络初始化、特征向量输入、正向传递、反向传递、循环训练、噪声审核、识别结果判定及网络的再优化；

步骤3、针对于云租户敏感信息流进行动态控制：

设计安全性标签；

设计信息流安全性标签控制策略；

设计租户标签加密及降密策略。

2.根据权利要求1所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述租户特征信息包括租户类别、虚拟机相关信息、获取操作信息。

3.根据权利要求1所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：租户虚拟边界具体识别流程如下：

A、网络初始化：给各连接权值分别赋一个区间(-1,1)中的随机数，设定误差函数δ,给定计算精度值ε和最大学习次数M；

B、正向传递:

i.计算隐藏层各神经元的激活值S_j，公式如下：

其中

为输入层各神经元与隐藏层神经元j间的连接权重,x_i为输入特征值，λ_j为阈值；

ii.在此激活函数选用Sigmoid型函数：f(x)＝1/(1+e^-x)；

iii.计算隐藏层神经元j的输出值：h_j＝f(S_j).

iv.计算输出层神经元k的激活值S_k，公式如下：

其中

为隐藏层各神经元与输出层神经元k间的连接权重，γ_k为阈值；

v.计算输出层神经元k的输出值y_k：y_k＝f(S_k)；

C、反向传递:

i.计算输出层神经元k的校正误差δ_o(k)，公式如下：

δ_o(k)＝y_k(o_k-y_k)(1-y_k),其中o_k为期望输出向量；

ii.计算隐藏层神经元j的校正误差δ_h(k)，公式如下：

其中，h_j隐藏层向量；

iii.输出层与隐藏层连接权重更新公式为：

其中，η>0为学习系数，α∈[0,1),为冲量系数，m为迭代的次数；

iv.隐藏层与输入层连接权重更新公式为：

D、循环训练:

i.计算全局误差，公式如下：

其中，C为样本的数量，q为输出神经元的数量；

设误差预设精度为ε，ε>0，学习迭代的最大次数为M次；不断迭代，当误差达到预设精度ε或迭代次数大于M时，结束算法；否则，选取下一个学习样本，进入下一轮的学习；

E、边界判别：将不同的输出结果视为不同的租户边界，进行虚拟边界的划分；

F、噪声审核；

G、网络再优化:对边界确认后的数据加入到训练集中，进一步对神经网络进行优化。

4.根据权利要求1所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述信息流安全性标签控制策略包括：

i、规则1标签值域最小化

ii、规则2标签值域的"与或"；

iii、规则3租户信息流保护规则

iv、规则4标签的传播规则。

5.根据权利要求1所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述租户标签加密及降密策略包括：

i、规则5标签加密规则；

ii、规则6标签降密规则。

6.根据权利要求5所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述规则5标签加密规则为：设租户T有机密性标签集

L_c对应的机密性标签加密集合为S_c,完整性标签

L_i对应的完整性标签加密集合为S_i,则授权规则如下：

规则5.1机密性标签加密:

表明租户添加机密性标签L_add-c到原有标签中的必要条件是L_add-c包含于租户的可添加机密性标签策略集合

规则5.2完整性标签加密:

表明租户添加完整性标签L_add-i到原有标签中的必要条件是L_add-i包含于租户的可添加完整性标签策略集合

7.根据权利要求5所述的基于虚拟边界识别的租户敏感信息流动态控制方法，其特征在于：所述规则6标签降密规则包括：规则6.1机密性标签降密包括:

6.1表明租户机密性标签降密有两种情况:一是将拥有者制定的机密性标签直接移除，二是向标签的值域中添加主体；租户降低机密性标签约束的必要条件是L_sub-c包含于租户的可去除机密性标签策略集合

或者R_add属于集合

中某元素标签的值域；

规则6.2完整性标签降密:

8.一种云租户敏感信息流安全动态控制系统，其特征在于，包括租户虚拟边界的自动化识别模块、集中式自主控制模块、分散式动态控制模块；所述租户虚拟边界的自动化识别模块，用于挖掘租户特征信息，对租户特征信息进行虚拟边界识别，为租户信息流跟踪与控制提供依据；所述集中式自主控制模块，用于对租户内部敏感信息流进行动态控制；所述分散式动态控制模块，用于对租户间之间敏感信息流进行动态控制。

9.根据权利要求8所述的云租户敏感信息流安全动态控制系统，其特征在于：所述集中式自主控制模块包括信息流控制策略库、标签分配组件、标签调整组件、风险监控模块，所述标签标记组件、标签分配及调整组件，所述信息流控制策略库用于制定信息流控制规则，对用户信息流进行分类；所述标签标记组件用于对每类标签进行标记；所述标签分配及调整组件用于根据租户需求，对标签进行分配及调整；所述风险监控模块用于对租户内信息流进行监控，判断租户边界内部信息流的是否符合信息流控制规则。

10.根据权利要求8所述的云租户敏感信息流安全动态控制系统，其特征在于：所述风险监控模块包括租户边界内部的风险监控模块、租户边界间的风险监控模块，所述租户边界内部的风险监控模块用于监控租户内部的信息流的监控，所述租户边界间的风险监控模块用于租户之间的信息流的监控。

Images