云环境中租户数据隐私保护机制研究

沈济南

(湖北民族学院 信息工程学院，湖北 恩施 445000)



云环境中租户数据隐私保护机制研究

沈济南

(湖北民族学院 信息工程学院，湖北 恩施 445000)

租户数据隐私保护是公共云应用诸多安全问题中最关键的问题之一，对云服务的快速发展有着重大影响.云租户数据有静态数据和动态数据两种形式，现有研究成果大都只针对某一类数据威胁，没有形成实际可用的模型，也没有形成一套完整可行的云租户数据隐私保护方案.对云租户数据的两种存在形式的隐私保护方法进行分类和总结，旨在为后续的云租户数据隐私保护机制研究提供参考.

云计算；租户数据；隐私保护

云计算通过提供大数据存储服务及高扩展性、并行性数据处理能力引起了广泛的关注和研究.在云计算环境下，IT领域的按需服务真正得到了体现.云计算具有广泛的应用前景，Google、IBM、HP、Microsoft、Dell、Sun等知名IT企业都在大力开发和推进云计算.

全球云计算市场快速平稳增长，Gartner近几年发布的IT行业十大战略技术报告中都将云计算技术列为十大战略技术之首，其发布的数据显示，未来几年云服务市场仍将保持15%以上的增长率，2017年将达到2 442亿美元.

2014年，工信部电信研究院调查报告指出，我国云服务产业正处于初期阶段，低总量、高增长是其主要特点.其中，云存储资源租用已经超过了云主机，成为用户采用率最高的服务种类.

图1 全球云服务市场 图2 我国公共云服务市场Fig.1 Global cloud services market Fig.2 Global cloud services market

图3 用户对公共云服务应用的需求Fig.3 User demand for public cloud services

图4 云计算安全服务体系Fig.4 The cloud computing security service system

1 云环境中的租户数据隐私保护问题

2010年下半年Google解雇了两名对租户的Google Voice，Gtalk等帐户进行侵入以获取隐私数据的员工；2011年，黑客在网上公布了CSDN用户数据库，涉及的用户账户总量高达600万个且泄漏的密码无任何加密；2012年名为Anliser的黑客团体发表声明称，它已经获得了1200万苹果iOS设备的唯一识别码和用户的其他个人信息；SONY公司在2012年第三次遭黑客攻击，导致7 700万PS网络系统和Qriocity音乐系统的用户数据泄漏；2013年，Evernote因黑客攻击导致5 000万用户信息泄露；2014年，美国最大家装建材零售商家得宝(Home Depot)支付系统遭到黑客入侵，有5 600万张信用卡数据遭到泄漏，打破了此前Target创下的4 000万张信用卡数据泄漏的世界记录；2015年，网易邮箱过亿用户数据泄露，信息涉及用户对应的密码信息、密码保护信息、登录IP记录等，不少采用了网易邮箱作为iCloud帐号的用户被黑，绑定的iPhone手机被锁、敲诈.“棱镜门”事件持续发酵，敲响了全球网络安全的警钟，政府也开始担忧将政务应用转移到云环境后对数据主权的掌控问题.中国报告大厅对云安全的调查报告显示，企业用户对于“数据安全与隐私”的关注占比77.3%，认为“云安全相关技术不成熟”的用户达到49.4%，国际权威预测机构Gartner和著名云软件开发商VMWare的用户调查报告指出：安全与隐私成为了人们使用云计算时最为担心的问题.

云环境中，云计算安全服务体系如图4所示.公共云应用中，安全问题是诸多问题中最关键的问题之一，而租户数据隐私保护首当其冲，制约着云服务快速的发展.

租户数据的以静态和动态两种形式存放在云环境中.静态数据是指不参与计算的信息，以海量存储和便捷访问为主要目的，如用户长期存储的文档、图片、视频、报表、资料等等.动态数据则是指需要动态验证或参与计算的数据，如数据库文件、程序文件、配置文件等.当租户数据不在机构内部管理时，租户无法像控制本地数据一样控制云端的自有数据.

然而，由于云环境下租户的多样性，不同租户对数据的安全保护等级要求不一样，甚至同一租户对其拥有的不同数据也有不同安全保护等级的需求.现存的云租户数据隐私保护机制研究各有优点，但都存在着抵御风险单一的问题，往往只针对一类威胁进行防御，没有形成实际可用的模型，也没有形成一套完整可行的云租户数据隐私保护方案.

2 云环境中租户数据隐私保护研究现状

租户将数据存储在第三方云平台后便失去了对数据的完全控制权，传统的访问控制方法已经不再完全适应云环境.云租户数据隐私保护是公共云基础服务中最关键的问题之一，目前已经提出了很多的解决方法[1].Harvard大学的研究者探讨了云数据系统的原型及其与云租户和云存储服务提供商之间的关系，并提出云存储服务提供商需要解决：原型云数据存储与计算的协调问题、原型云数据的多租户共享访问问题、原型云数据的一致性问题、原型云数据的生命期问题、云租户对原型云数据的追踪问题、原型云数据的安全问题[2-3].Microsoft[4]和中科院软件所[5]的云数据安全报告以密码学为核心，提出了云数据安全性、完整性、可用性、可靠性、有效性、可共享性方面的解决思路.在云租户数据隐私保护方法方面，比较通用的方法有数据加密、数据混淆及数据切分.

2.1 数据加密

加密是传统隐私数据保护最常用的方法之一，以密码学算法为基础的云数据安全性保护方法典型的研究成果按加密类型可以分为：对称加密类和公钥加密类[6].

基于对称加密体制，Wang等[7]通过采用多密钥和文件分块的方法实现云数据的安全存储、细粒度访问控制和加密云数据的隔离.Barsoum等[8]结合了“懒撤销”、“密钥链”和“广播加密”以便更好地实现安全的云数据更新与权限变换.Yao等提出了TrustStore方法并引入了专门的密钥管理服务提供商实现不同文件的不同密钥加密，并通过创建哈希校验信息实现云数据的完整性校验[9-11].上述方案虽然在一定程度上解决了云数据的安全存储和访问控制问题，但是由于对称加密自身在密钥管理和加密算法方面缺乏灵活性，因此在细粒度多租户动态共享、大规模网络的云计算环境下，该类方法依然存在缺陷.

在非对称加密体制中，基于属性加密(Attribute-Based Encryption,ABE)的核心思想是以数据的属性为公钥，实现数据的公钥加密，并且由数据属性的布尔范式实现基于密码学的细粒度访问控制.Cong Wang等提出了混合ABE与对称加密的混合ABE方案，实现了支持多种数据类型和任意长度数据的云数据安全加密存储与细粒度访问控制[12-13]；文献[14]使用ABE方案，实现了云计算环境中个人健康档案的安全共享.除了ABE方案，代理重加密(Proxy Re-Encryption, PRE)方案也被用于实现云数据的安全存储与访问控制.PRE的核心思想是加密数据存储第三方可以被授权重加密能力，实现加密数据的安全访问[15].Ibraimi等[16]和Fang等[17]为了解决PRE方案中的加密云数据的细粒度访问控制问题，分别提出的基于身份PRE和交互式条件PRE的细粒度访问控制方案；Fang等[18]提出了重加密条件保密的PRE方案，实现了加密云数据访问控制条件的保密性；Wang等[19]提出了可单向多次重加密的PRE方案，实现了加密云数据可传递的多租户共享；Sun等[20]提出了云计算中基于属性的细粒度授权关键词搜索方案，Wang等[21]提出了云计算中多关键字模糊搜索方案，实现了加密云数据的隐私保护.

文献[22]提出了对称可搜索加密算法的场景，Goh[23]，Chang等[24]对该算法进行改进，并进行了相应的安全性定义.这种场景要求数据的所有者作为搜索的参与者之一，性能和功能之间做了妥协是该方案的不足之处.文献[25]提出了非对称可搜索加密算法的思想，文献[26-27]提出了改进策略，该方法不要求数据的所有者作为参与方进行搜索，不足之处在于现有的算法都需要进行椭圆曲线配对，数据不能存放在高效的数据结构当中，性能较哈希函数或者分组密码差.文献[28]改进了非对称可搜索加密算法，提出了快速非对称可搜索加密算法，但容易受到字典攻击的威胁.文献[29]提出了一种基于多用户的对称可搜索加密算法，其应用场景为一个数据所有者对应多个数据搜索者，数据所有者能设定对其数据的搜索权限，且支持加密索引.

由于动态数据其特殊性，对于租户动态数据隐私保护还处于探索阶段.Crypt DB[30]使用一种洋葱式的安全等级思想，对不同级别的数据保证不同的隐私性.同时Crypt DB利用同态加密的手段使密文能够直接进行部分简单的运算，如查询、比较等，保证了高隐私级别的数据在内存中以密文存放.全同态加密是指可以在不解密的条件下对加密数据进行任何可以在明文上进行的运算.Craig Gentry从数学上提出了全同态加密的可行方法，使这项技术取得了决定性的突破[31].由于目前软件算法还无法做到使用密文进行所有复杂计算，所以为了加密内存中的数据，许多研究使用硬件来保证动态数据的隐私性[32].例如文献[33]通过修改硬件保证隐私数据在内存中仍然是以密文保存的，数据在进入CPU进行计算时才通过特殊硬件解密.

在云端采用加密方法虽然简单有效，但这种“先加密再存储”的方法只能适用于静态的数据，对于需要参与运算的动态的数据则无能为力，因为动态数据需要在CPU和内存中以明文形式存在.但海量数据的加密、解密计算会产生较大耗费，降低数据的可用性，将影响云计算整体计算效能和应用.

2.2 数据混淆

数据混淆是指通过对相似的数据进行泛华处理，将多条需要保护的数据变成一条，以混淆攻击者.HP实验室设计并实现了一个数据隐私管理工具.该工具能实现数据的混淆和解混操作，真实的数据结构仅能在客户端正确显示[34-36].文献[37]基于二次混淆，不使用加密算法，采用隐式分割机制保护租户数据.文献[38-39]采用掺沙子技术，在同态加密的数据中加入大量的伪造数据，以混淆攻击者.文献[40]提出了多维桶分组技术，文献[41-42]中提出K匿名、图匿名以及数据预处理等.

数据混淆通过在租户端对数据进行混淆处理，增强了对租户数据的保护，但也增加了租户的计算负担.

2.3 数据切分

数据切分技术把一条数据记录分成若干属性值，然后对相关属性进行切分处理，以达到隐私保护的目的.文献[43]将数据隐私需求定义为隐私约束集合，分析了各种隐私需求的产生和隐藏的隐私暴露危险，从而为数据切分模型的建立提供了理论依据.文献[44]使用隐私约束的概念来实现信息分解，隐私约束可以描述单隐私约束和组合属性约束的集合，对单隐私约束，可以采取加密的方式进行隐私数据保护，而对组合隐私约束，则可以进行分块，在租户的客户端中，保存各个分块之间的模式关联关系.文献[45-46]通过分析隐私约束的区别，提出了垂直切分和水平切分概念，并有效的验证了这两种切分技术的可操作性.文献[47]提出了混合切分的概念和方法，结合垂直切分及水平切分，给出了基于混合切分的隐私策略算法.文献[48]讨论了最优切分的概念，同时，还给出了近似最优切分的算法.

数据切分通过对字表进行的均衡化处理提高了数据的安全性，但是基于伪造数据的均衡化方法会导致数据量增大，影响系统性能.

图5 总体研究框架Fig.5 The research framework

3 未来的研究思考

云计算的蓬勃发展吸引了越来越多的学者和企业投入到与其相关的研发中.虽然云租户数据的隐私保护方法多年前就提出了诸多方法，但目前国内只有少数研究机构和学者对云租户两种类别数据的隐私保护进行系统化研究，还难以和欧美等发达国家相比，整体处于起步阶段.且研究的重点大都只针对云租户数据中的某一类数据单一威胁，没有形成一套完整可行的云租户数据隐私保护方案.

在云环境中，当租户数据不在机构内部管理时，租户无法像控制本地数据一样控制云端的自身数据.针对云环境中租户的数据特点，开展基于安全等级的云租户数据隐私保护研究，重点解决云环境下租户不同类型数据隐私保护的科学问题和关键方法.总体研究框架如图5所示.

研究内容包括以下4个方面：

1)基于安全等级的静态数据加密存储策略研究，针对不同租户对不同类型数据采用不同强度的加密策略，在保证数据机密的同时保证云平台性能的整体高效；

2)静态数据细粒度的访问控制机制研究，通过支持细粒度的加密算法、利用浏览器端服务技术等技术，保护用户数据隐私；

3)基于安全等级的动态数据分割存储策略研究，根据安全等级为不同级别的租户数据提供分片存储并采用不同强度的加密策略，保证数据的机密性；

4)动态数据安全搜索机制研究，在不向云平台泄露数据信息的前提下，为用户提供数据的安全搜索服务.

4 结语

云计算为我国政府机构和企业的信息化建设提供了重要支撑.安全问题是公共云应用的最关键的问题之一，而租户隐私保护首当其冲，是制约云服务的快速发展的瓶颈.文章针对云租户数据，从数据加密、数据混淆、数据切分等三个方面隐私保护分类与总结，旨在为今后的云租户数据隐私保护研究提供参考.

[1] 肖人毅.云计算中数据隐私保护研究进展[J].通信学报,2014,35(12):168-177.

[2] MUNISWAMY-Reddy K K,MACKO P,SELTZER M I.Provenance for the Cloud[C]//FAST，2010,10:15-14.

[3] BESSANI A,CORREIA M,QUARESMA B,et al.DepSky:dependable and secure storage in a cloud-of-clouds[J].ACM Transactions on Storage (TOS),2013,9(4):12.

[4] KAMARA S,LAUTER K.Cryptographic cloud storage[M].Springer Berlin Heidelberg:Financial Cryptography and Data Security,2010:136-149.

[5] 冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011,22(1):71-83.

[6] 曹珍富.密码学的新发展[J].四川大学学报(工程科学版),2015,47(1):1-12.

[7] WANG W,LI Z,OWENS R,et al.Secure and efficient access to outsourced data[C]//2009 ACM workshop on Cloud computing security,ACM,2009:55-66.

[8] BARSOUM A,HASAN A.Enabling dynamic data and indirect mutual trust for cloud computing storage systems[J].Parallel and Distributed Systems,IEEE Transactions on,2013,24(12):2375-2385.

[9] YAO J,CHEN S,NEPAL S,et al.Truststore:Making amazon s3 trustworthy with services composition[C]//The 10th IEEE/ACM International Conference on Cluster,Cloud and Grid Computing,IEEE Computer Society,2010:600-605.

[10] LIU C,CHEN J,YANG L T,et al.Authorized public auditing of dynamic big data storage on cloud with efficient verifiable fine-grained updates[J].Parallel and Distributed Systems,IEEE Transactions on,2014,25(9):2234-2244.

[11] WISE C,FRIEDRICH C,NEPAL S,et al.Cloud Docs:Secure Scalable Document Sharing on Public Clouds[C]//Cloud Computing (CLOUD),2015 IEEE 8th International Conference on,IEEE,2015:532-539.

[12] YU S,WANG C,REN K,et al.Achieving secure,scalable,and fine-grained data access control in cloud computing[C]//In the Proceedings of INFOCOM 2010,IEEE,2010:1-9.

[13] FABIAN B,EMAKOVA T,JUNGHANNS P.Collaborative and secure sharing of healthcare data in multi-clouds[J].Information Systems,2015,48:132-150.

[14] LI M,YU S,ZHENG Y,et al.Scalable and secure sharing of personal health records in cloud computing using attribute-based encryption[J].Parallel and Distributed Systems,IEEE Transactions on,2013,24(1):131-143.

[15] LIANG K,AU M H,LIU J K,et al.A secure and efficient ciphertext-policy attribute-based proxy re-encryption for cloud data sharing[J].Future Generation Computer Systems,2015,52:95-108.

[16] BRAIMI L,TANG Q,HATREL P,et al.A type-and-identity-based proxy re-encryption scheme and its application in healthcare[M].Springer Berlin Heidelberg:Secure Data Management,2008:185-198.

[17] FANG L,SUSILO W,GE C,et al.Interactive conditional proxy re-encryption with fine grain policy[J].Journal of Systems and Software,2011,84(12):2293-2302.

[18] FANG L,SUSILO W,WANG J.Anonymous conditional proxy re-encryption without random oracle[M].Springer Berlin Heidelberg：Provable Security,2009:47-60.

[19] WANG H,CAO Z.A fully secure unidirectional and multi-use proxy re-encryption scheme[C]//CCS 2009 Poster Session,ACM,2009:1-3.

[20] SUN W,YU S,LOU W,et al.Protecting your right: Attribute-based keyword search with fine-grained owner-enforced search authorization in the cloud[C]// INFOCOM 2014,IEEE,2014:226-234.

[21] WANG B,YU S,LOU W,et al.Privacy-preserving multi-keyword fuzzy search over encrypted data in the cloud[C]//INFOCOM 2014,IEEE,2014:2112-2120.

[22] SONG D X,WAGNER D,PERRIG A.Practical techniques for searches on encrypted data[C]//IEEE Symposium on Security and Privacy,Oakland,Caifornia:Springer press,2000:44-55.

[23] BONEH D,BOYEN X,GOH E J.Hierarchical identity based encryption with constant size ciphertext[C]//The 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Aarhus,Denmark:Springer press,2005:562-562.

[24] CHANG Y C,MICHAEL M.Privacy Preserving Keyword Searches on Remote Encrypted Data[C]//Applied Cryptography and Network Security,New York:Springer,2005:442-455.

[25] BONEH D,GIOVANNI D C,RAFAIL O,et al.Public Key Encryption with Keyword Search[C]//The 23rd Annual International Conference on the Theory and Applications of Cryptographic Techniques. Interlaken,Switzerlan:Springer press,2004:506-522.

[26] ABDALLA,MICHEL.Searchable Encryption Revisited: Consistency Properties, Relation to Anonymous IBE, and Extensions[C]//The 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques. Aarhus, Denmark:Springer press,2005:205-222.

[27] PARK,DONG L,KIHYUN K,et al.Public Key Encryption with Conjunctive Field Keyword Search[C]//Information Security Applications.Jeju Island,Korea:Springer press,2005:73-86.

[28] BELLARE M,ALEXANDRA B.Deterministic and Efficiently Searchable Encryption[C]//The 26th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Petersburg,Russia:Springer press,2007:535-552.

[29] CURTMOLA R,JUAN G,SENY K,et al.Searchable symmetric encryption: improved definitions and efficient constructions[C]//The 13th ACM Conference on Computer and Communications Security.New York,USA:ACM press,2006:79-88.

[30] POPA R A,REDFIELD C,ZELDOVICH N,et al.CryptDB:protecting confidentiality with encrypted query processing[C]//The Twenty-Third ACM Symposium on Operating Systems Principles,ACM,2011:85-100.

[31] GENTRY C.Fully homomorphic encryption using ideal lattices[C]// STOC,2009,9:169-178.

[32] 沈昌祥,张焕国,王怀民,等.可信计算的研究与发展[J].中国科学(信息科学),2010(2):139-166.[33] LIE D,THEKKATH C,MITCHELL M,et al.Architectural support for copy and tamper resistant software[J].ACM SIGPLAN Notices,2000,35(11):168-177.

[34] PEARSON S,SHEN Y,MOWBRAY M.A privacy manager for cloud computing[M].Springer Berlin Heidelberg：Cloud Computing,2009:90-106.

[35] XIAO Z,XIAO Y.Security and privacy in cloud computing[J].Communications Surveys & Tutorials,IEEE,2013,15(2):843-859.

[36] MOWBRAY M,PEARSON S.A client-based privacy manager for cloud computing[C]//The fourth international ICST conference on COMmunication system softWAre and middlewaRE.ACM,2009:5.

[37] 毛剑,李坤,徐先栋.云计算环境下隐私保护方案[J].清华大学学报(自然科学版),2011,51(10):1357-1362.

[38] ZHANG G,YANG Y,YUAN D,et al.A trust-based noise injection strategy for privacy protection in cloud[J]. Software: Practice and Experience,2012,42(4):431-445.

[39] ZHANG G,YANG Y,CHEN J.A privacy-leakage-tolerance based noise enhancing strategy for privacy protection in cloud computing[C]//Trust, Security and Privacy in Computing and Communications (TrustCom),2013 12th IEEE International Conference on,IEEE,2013:1-8.

[40] 杨晓春,王雅哲,王斌,等.数据发布中面向多敏感属性的隐私保护方法[J].计算机学报,2008,31(4):574-587.

[41] MUNTÉS-Mulero V,NIN J.Privacy and anonymization for very large datasets[C]//The 18th ACM conference on Information and knowledge management,ACM,2009:2117-2118.

[42] SHI Y,JIANG Z,ZHANG K.Policy-Based Customized Privacy Preserving Mechanism for SaaS Applications[M].Springer Berlin Heidelberg:Grid and Pervasive Computing,2013:491-500.

[43] 张坤,李庆忠,史玉良.面向SaaS应用的数据组合隐私保护机制研究[J].计算机学报,2010(11):2044-2054.

[44] CIRIANI V,DI Vimercati S D C,FORESTI S,et al.Keep a few:Outsourcing data while maintaining confidentiality[M].Springer Berlin Heidelberg:Computer Security-ESORICS 2009,2009:440-455.

[45] AGGARWAL G,BAWA M,GANESAN P,et al.Two can keep a secret:A distributed architecture for secure database services[C]//The Conference on Innovative Data Systems Research(CIDR 2005),CIDR,2005:186-199.

[46] SAMARATIP P,dI Vimercati S D C.Data protection in outsourcing scenarios: Issues and directions[C]//The 5th ACM Symposium on Information,Computer and Communications Security,ACM,2010:1-14.

[47] SHEN Y,CUI W,LI Q,et al.Hybrid fragmentation to preserve data privacy for saas[C]//Web Information Systems and Applications Conference (WISA),2011 Eighth,IEEE,2011:3-6.

[48] SHI Y,JIANG Z,ZHANG K.Policy-Based Customized Privacy Preserving Mechanism for SaaS Applications[M].Springer Berlin Heidelberg:Grid and Pervasive Computing,2013:491-500.

责任编辑：时 凌

Research on Privacy Preserving Mechanism for Tenant Data in Cloud Environment

SHEN Jinan

(School of Information Engineering,Hubei University for Nationalities,Enshi 445000,China)

The protection of user data′s privacy is one of most important security problems in public cloud.The user data in cloud can be categorized into two types:tatic data and dynamic data. Most existing solutions only focus on a single type of the threats to the data. No practical model for this problem exists, nor does a comprehensive and executable solution for protecting the user data′s privacy in cloud.Considering these two types of user data in cloud,existing work on privacy preserving method is analyzed, and future research directions is discussed.

cloud computing; tenant data;privacy preserving

2016-09-07.

国家自然科学基金项目(61662022).

沈济南(1980- )，男，博士生，副教授，主要从事云计算、信息安全的研究.

1008-8423(2016)03-0246-05

10.13501/j.cnki.42-1569/n.2016.09.002

TP309

A