云计算的出现,解决了以往计算机资源只能单独使用,资源浪费严重的情况。云计算通过将计算机资源统一管理,按需使用,达到动态分配计算机资源,为用户节约软、硬件成本的目的。云计算已成为一种流行的软件开发,部署方式。云中丰富的资源,为用户提供了更加灵活的选择。随着SaaS模式的迅速推广,隐私数据安全问题也越来越受到租户的重视。针对租户对于隐私数据泄露的担忧,隐私数据保护技术应运而生。隐私数据保护的目标是确保即使租户存储在SaaS服务提供商上的数据被泄露,租户认为是敏感的信息也不会暴露。隐私保护技术和数据库系统具有很高的耦合性,不同的隐私保护技术适用于不同的数据库系统。如何在保护租户隐私数据的同时提高云存储效率已经成为现阶段隐私保护技术的研究重点。面向文档数据库具有易部署,运营成本低廉,支持高并发,易扩展等特性,因而被一些小型SaaS应用服务提供商所青睐,并开始将其数据迁移到面向文档数据库系统中。但是针对面向文档数据库的隐私保护体系还未建立。已经成熟的解决方案因为面向文档数据库使用文档作为存储模式而不再适用。在使用面向文档数据库系统的SaaS应用中,如何防止数据泄露后租户的隐私数据安全,如何让租户确切的了解其隐私数据的安全程度,是本文要解决的主要问题之一。本文首先提出了面向文档数据库隐私保护架构,该架构在原有SaaS架构的基础上,通过在应用层和存储层之间增加隐私保护层,形成一种新的SaaS服务部署架构。这种架构将隐私保护系统和SaaS应用系统解耦。在此架构中,隐私保护系统对于SaaS应用和数据库系统均是透明的。然后,本文介绍了基于面相文档数据库的隐私保护的基本方法,为了适应面向文档数据库基于文档存储的数据结构体系,本文设计了基于value切分和key混淆的面向文档数据库隐私保护基本方法。利用面向文档数据库模式自由的特性,通过对隐私保护数据进行适当的切分达到保护隐私数据的目的。对于嵌套文档结构,本文设计了文档结构树保留文档结构信息。同时本文给出了经过保护的数据库系统的基本操作模型。最后,在保护方法确定后,需要衡量隐私保护方法是否能够有效保护租户的隐私数据,确保经过隐私保护后SaaS应用中的数据是安全的。本文分析了攻击者对租户隐私数据的认知对隐私数据安全的影响。据此定义了攻击者对租户隐私数据的认知模型和隐私泄露指数。攻击者认知模型可以有效衡量攻击者对隐私数据的了解程度,并依此得到隐私泄露指数,隐私泄露指数即可衡量租户隐私数据的保护程度。同时为了提高在SaaS应用中租户隐私数据的安全程度,本文结合隐私泄露指数,提出拟合切分算法,拟合切分算法充分考虑了不同租户隐私保护策略的不同,结合不同的隐私保护等级,有效的防止了攻击者利用专业知识重组租户隐私数据。