[发明专利]一种基于L-DHT的多租户虚拟域隔离构建方法

权利要求书

1.一种基于L-DHT的多租户虚拟域隔离构建方法，其特征在于，包括如下步骤：

S1.基于不同层次下多租户安全隔离的需求，将多租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个隔离层次；

S2.通过基于标签哈希映射的多租户隔离映射方法，构建租户资源信息到域隔离器的均衡映射机制，租户存储的资源信息映射到域隔离器管理下的存储结点；

S3.针对映射到域隔离器管理下的同一存储结点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计基于标签谓词加密的租户数据隔离存储方法；

其中，L-DHT为标签-分布式哈希表；

其中，所述存储隔离层的隔离方法如下：

设计基于标签谓词加密的租户数据隔离存储方法，通过数据存储标签与租户数据的安全绑定，利用域隔离器解析标签，利用域安全标签TID值区分同一存储结点下租户的数据；通过在数据存储标签中引入策略谓词及查询令牌TK，谓词语句对应数据属性，数据加密密钥对应策略谓词φ，数据密文对应于属性集A，以完成数据的加密隔离存储；通过查询令牌并与数据访问属性的匹配认证，实现对存储数据的查询访问；

所述多租户虚拟网络隔离层的隔离方法如下：

在云数据中心网络部署若干域隔离器，利用域安全标签标识虚拟域，通过多租户虚拟域映射方法，将多租户资源映射到不同域隔离器上，构建多租户间相互独立的虚拟网络切片；利用域隔离器的标签解析认证、地址解析功能，实现域隔离器对多租户虚拟域的分布式隔离管理；

所述多租户管理及访问隔离层的隔离方法如下：

制定面向多维度的多租户数据隔离控制规则，利用数据控制标签标记并跟踪多租户数据，通过域隔离器对数据控制标签的解析认证，防止租户数据聚合推导高级别信息；建立数据安全通道及数据流动控制规则，保证虚拟域中多租户数据传输的安全隔离，实现多租户访问数据的安全隔离；

所述基于标签哈希(HASH)映射的多租户隔离映射方法的具体内容如下：

Step1初始化；

Step2建立虚拟分区；

Step3依据权重，分配虚拟节点VR；

Step4进行租户到域隔离器DR的映射；

Step5基于负载的虚拟节点VR迁移；

Step6完成租户到域隔离器DR的定位；

步骤S3中基于标签谓词加密的租户数据隔离存储方法的具体内容如下：

设租户T存储数据A的存储标签为所述基于标签谓词加密的租户数据隔离存储方法表示为下式所示五元组ε：

ε＝{Setup(1^k,A)；GenToKen(φ,TID_T)；Encrypt(KEY,Data)；Query(TK,C)；Decrypt(KEY,C)}

所述五元组中各个元素含义如下：

Setup(1^k,A):输入安全参数1^k和数据属性A，输出密钥KEY及策略谓词φ；

GenToKen(φ,TID_T):输入策略谓词φ及租户虚拟域安全标签TID_T，计算查询令牌TK；

Encrypt(KEY,Data):输入密钥KEY及明文Data，输出密文C；

Query(TK,C,TID^′，A′):输入查询令牌TK,密文C、数据访问者的域安全标签TID^′及其属性信息A′，进行查询属性的认证。