[发明专利]一种基于分块混淆的动态数据隐私保护系统及方法

说明书

技术领域

本发明涉及一种基于分块混淆的动态数据隐私保护系统及方法。

背景技术

随着云计算的迅速发展，具有多租户特点的SaaS应用以其低费用、规模效益的商业运营模式和单实例、按需定制的软件交付特点，被越来越多的企业和服务商所采用。

在SaaS应用中，一方面，租户通过按需租赁和个性化定制，在满足自身业务需要的同时，节省了用于基础设施和后续升级、维护、管理等方面的高昂费用。另一方面，通过与SaaS服务商签订服务等级协议(servicelevelagreement，SLA)，保证了应用的服务质量，维护了租户和服务商双方的利益。

然而，随着SaaS应用的广泛推广和使用，租户隐私数据在云中的安全性也受到了越来越多的关注。在多租户应用中，为了满足租户对数据进行业务操作的需求，租户敏感数据通常需要以明文的形式在非完全可信的服务商处进行存储和处理，使租户的隐私数据脱离了租户的直接控制，可能被服务提供商恶意泄漏。例如，在利益的驱动下，服务商可以将租赁其应用的某公司的产品定价信息及其客户关系转卖给其竞争对手，导致该公司经济利益受损。

针对SaaS应用面临的租户隐私泄露问题，[1ZhangKun,LiQingzhong,ShiYuliang.ResearchonDataCombinationPrivacyPreservationMechanismforSaaS[J].ChineseJournalofComputers,2010,33(11):2044-2054(inChinese)(张坤,李庆忠,史玉良.面向SaaS应用的数据组合隐私保护机制研究[J].计算机学报,2010,33(11):2044-2054)]中提出了一种基于分块混淆的数据组合隐私保护机制：首先根据租户定制的隐私约束将组合隐私属性切分到不同的分块中并混淆不同分片间的关联关系；然后针对分块中数据分布不均衡导致的隐私泄露问题，提出基于伪造数据的均衡化机制，通过添加伪造数据使各分块分布达到均衡；最后通过与可信第三方进行交互构建混淆数据的重构机制，保证租户隐私数据的可用性。

工作[2ShiY,JiangZ,ZhangK.Policy-BasedCustomizedPrivacyPreservingMechanismforSaaSApplications[C]//GridandPervasiveComputing.BerlinHeidelberg:Springer,2013:491-500，(SaaS应用程序的基于策略的个性化隐私保护机制)]和工作[3ShaoY,ShiY,LiH.ANovelCloudDataFragmentationCluster-basedPrivacyPreservingMechanism[J].InternationalJournalofGrid&DistributedComputing,2014,7(4):21-32,(一种新的基于聚类的云数据碎片隐私保护机制)]在此基础上又分别从不同方面进行了补充和优化。工作[2ShiY,JiangZ,ZhangK.Policy-BasedCustomizedPrivacyPreservingMechanismforSaaSApplications[C]//GridandPervasiveComputing.BerlinHeidelberg:Springer,2013:491-500,(SaaS应用程序的基于策略的个性化隐私保护机制)]基于租户的个性化隐私保护和事务处理需求，提出了基于策略的个性化隐私保护机制。工作[3ShaoY,ShiY,LiH.ANovelCloudDataFragmentationCluster-basedPrivacyPreservingMechanism[J].InternationalJournalofGrid&DistributedComputing,2014,7(4):21-32,(一种新的基于聚类的云数据碎片隐私保护机制)]通过键能算法对属性进行聚类，将关联程度较高的属性尽量分到同一分块中，通过减少分块间的连接次数对应用性能进行提高。

然而在云计算环境下，随着多租户应用的持续运行，租户对数据的增加、删除、修改等业务操作将导致底层数据存储的持续变化，各分块的分布规律也将相应地发生变化，当数据分布不再均匀时，分片间的关联关系将以较大概率面临着被泄露的风险。另一方面，若攻击者可以获取局部时间内各分块的操作日志和数据快照，仍然可以通过对比分析推测出这部分数据中蕴含的隐私信息。这就要求所采取的隐私保护机制必须能适应这种变化，确保租户的隐私保护需求持续得到满足。