衣文娟

(青島酒店管理職業(yè)技術(shù)學(xué)院 信息工程技術(shù)學(xué)院, 山東 青島 266100)

網(wǎng)絡(luò)傳輸具有數(shù)據(jù)分享快、節(jié)約傳輸資源和空間等優(yōu)勢(shì)。網(wǎng)絡(luò)傳輸數(shù)據(jù)可以在一定程度保證數(shù)據(jù)的完整性。同時(shí),用戶在查找數(shù)據(jù)時(shí)也可以直接搜索以獲取想要的數(shù)據(jù),讓數(shù)據(jù)的傳輸和使用更加方便[1]。傳統(tǒng)計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)技術(shù)具有很高的保密性,但通過網(wǎng)絡(luò)進(jìn)行傳輸時(shí)會(huì)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn),因此,解決數(shù)據(jù)泄露風(fēng)險(xiǎn)、研究網(wǎng)絡(luò)數(shù)據(jù)的安全保障技術(shù)十分重要。

為方便數(shù)據(jù)調(diào)用,網(wǎng)絡(luò)數(shù)據(jù)在計(jì)算機(jī)中儲(chǔ)存前要進(jìn)行分類,網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)主要目的是保護(hù)網(wǎng)絡(luò)使用用戶隱私,隨著如今的網(wǎng)絡(luò)環(huán)境越來越復(fù)雜[2],原本的數(shù)據(jù)安全技術(shù)已經(jīng)不能滿足現(xiàn)代化的數(shù)據(jù)傳輸要求。趙男男[3]采用誤差逆向傳播算法(Back Propagation,BP)實(shí)現(xiàn)信息聚類和編碼設(shè)計(jì),并構(gòu)建雙層結(jié)構(gòu)的編碼輸出結(jié)構(gòu)模型,利用自適應(yīng)匹配濾波算法實(shí)現(xiàn)了端到端信息防御和攻擊。杜天琦[4]在明確無線傳感器網(wǎng)絡(luò)密鑰管理影響因素的基礎(chǔ)上,設(shè)計(jì)了無線傳感器網(wǎng)絡(luò)密鑰管理方案,實(shí)現(xiàn)了無線傳感網(wǎng)絡(luò)安全防護(hù)。雖然上述方法優(yōu)化了網(wǎng)絡(luò)安全數(shù)據(jù)傳輸技術(shù),但在傳輸數(shù)據(jù)時(shí)用戶信息也可能被泄露,因此上述2種方案在保護(hù)過程中容易引起安全問題。

網(wǎng)絡(luò)數(shù)據(jù)安全受到影響的主要原因?yàn)?①外界的影響因素導(dǎo)致數(shù)據(jù)安全受到威脅[5];②人為因素導(dǎo)致數(shù)據(jù)安全受到威脅[6]。為進(jìn)一步保證網(wǎng)絡(luò)數(shù)據(jù)安全,本文在構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)安全保障模型的基礎(chǔ)上,設(shè)計(jì)數(shù)據(jù)保密算法,優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化。

1 優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)安全保障模型

1.1 設(shè)置安全模型數(shù)據(jù)傳輸?shù)牧６?/h3>

為保證網(wǎng)絡(luò)安全技術(shù)可以真正保護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全,優(yōu)化原有的網(wǎng)絡(luò)數(shù)據(jù)安全保障模型,模型整體結(jié)構(gòu)由數(shù)據(jù)終端、數(shù)據(jù)轉(zhuǎn)發(fā)層、攻擊數(shù)據(jù)識(shí)別模塊4部分組成,具體結(jié)構(gòu)如圖1所示。

圖1 模型結(jié)構(gòu)

(1) 數(shù)據(jù)終端。數(shù)據(jù)終端主要負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行加密,在數(shù)據(jù)傳輸之前生成傳輸密碼,并在傳輸數(shù)據(jù)中添加上傳輸密碼。數(shù)據(jù)終端在向數(shù)據(jù)安全管理器發(fā)送數(shù)據(jù)的同時(shí),也會(huì)將數(shù)據(jù)驗(yàn)證表進(jìn)行轉(zhuǎn)發(fā)。因此在數(shù)據(jù)管理器中,只能查詢到數(shù)據(jù)驗(yàn)證表和報(bào)文計(jì)數(shù)表。數(shù)據(jù)終端可以根據(jù)用戶對(duì)數(shù)據(jù)的查看權(quán)限判斷數(shù)據(jù)能否被當(dāng)前賬戶查看。對(duì)需要進(jìn)行嚴(yán)格保密的數(shù)據(jù)粘貼自定義標(biāo)簽,并設(shè)置單獨(dú)的密鑰。密鑰的Hash值可以在發(fā)送數(shù)據(jù)報(bào)文前隨機(jī)生成。數(shù)據(jù)終端設(shè)備生成的密鑰身份驗(yàn)證數(shù)據(jù)也是隨機(jī)的。

(2) 數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的設(shè)備與數(shù)據(jù)安全管理器相連接,通過轉(zhuǎn)發(fā)設(shè)備與數(shù)據(jù)終端連接,進(jìn)行報(bào)文數(shù)量管理、傳輸控制、數(shù)據(jù)驗(yàn)證和攻擊數(shù)據(jù)識(shí)別等操作。SDN網(wǎng)絡(luò)內(nèi)部的傳輸設(shè)備為該模型的數(shù)據(jù)傳輸設(shè)備[7],在數(shù)據(jù)傳輸過程中有效地保護(hù)數(shù)據(jù)安全,且該設(shè)備具有可編程能力,可以根據(jù)數(shù)據(jù)的安全等級(jí)調(diào)節(jié)密碼的復(fù)雜程度。

(3) 攻擊數(shù)據(jù)識(shí)別模塊。攻擊數(shù)據(jù)識(shí)別模塊可以識(shí)別出與傳輸數(shù)據(jù)不同的數(shù)據(jù),在控制器流規(guī)則應(yīng)用中實(shí)現(xiàn)數(shù)據(jù)的細(xì)粒度精確篩選,保證正常傳輸數(shù)據(jù)中不混進(jìn)惡意攻擊數(shù)據(jù)。

1.2 設(shè)計(jì)密碼標(biāo)識(shí)

網(wǎng)絡(luò)數(shù)據(jù)安全保障模型中最重要的部分為密碼標(biāo)識(shí),每段數(shù)據(jù)以數(shù)據(jù)流的方式發(fā)送,按照數(shù)據(jù)流特征進(jìn)行密碼標(biāo)識(shí)設(shè)計(jì)。

Flow_ID字段的數(shù)據(jù)流中加入了固定密碼,因此提升了數(shù)據(jù)傳輸過程中的數(shù)據(jù)流安全性,數(shù)據(jù)在數(shù)據(jù)流字段進(jìn)行了有效加密,還被指定了數(shù)據(jù)的接收單位,在未到達(dá)接收單位之前的所有接收數(shù)據(jù)表地點(diǎn)均無法接收數(shù)據(jù)。即使管理員的公鑰也不能在非緊急情況下打開數(shù)據(jù)密碼[8]。減少公鑰的使用頻率可以節(jié)省數(shù)據(jù)安全技術(shù)成本,并在計(jì)算機(jī)或其他載體需維護(hù)時(shí),確保攻擊者不會(huì)使用公鑰盜取數(shù)據(jù)。

為保證數(shù)據(jù)傳輸過程中的數(shù)據(jù)包完整性,在完成數(shù)據(jù)傳輸動(dòng)作前不能打開數(shù)據(jù)包,本方案降低了數(shù)據(jù)傳輸中途打開盜取或復(fù)制數(shù)據(jù)包的風(fēng)險(xiǎn),進(jìn)一步保障了數(shù)據(jù)安全傳輸。密碼標(biāo)識(shí)結(jié)構(gòu)如圖2所示。

由圖2可知,IP_Header分別由Next_Type、SrcDev_ID 和Verification_R 組成。其中,Next_Type部分可以保證接收方只有解析了前一個(gè)數(shù)據(jù)包密碼,才能查看后一個(gè)數(shù)據(jù)包,不能改變數(shù)據(jù)包的查看順序,也不能跨越順序隨機(jī)查看數(shù)據(jù),數(shù)據(jù)包的唯一解密方式是破譯數(shù)據(jù)密碼。

圖2 密碼標(biāo)識(shí)結(jié)構(gòu)

2 優(yōu)化基于保密度劃分的數(shù)據(jù)保密算法

在設(shè)計(jì)數(shù)據(jù)保密算法前需劃分?jǐn)?shù)據(jù)的保密度。發(fā)送方先將所需保密數(shù)據(jù)進(jìn)行分類,并定義每個(gè)分類。

為保證數(shù)據(jù)定義的合理性和算法的可靠性,對(duì)數(shù)據(jù)的分類結(jié)果進(jìn)行迭代[9],將數(shù)據(jù)的分類結(jié)果定義為a,將對(duì)a進(jìn)行保密后的數(shù)據(jù)集定義為A,此時(shí)數(shù)據(jù)集A的保密等級(jí)為D級(jí),則D為

式中:Ai為數(shù)據(jù)集中選擇到第i個(gè)數(shù)據(jù);lg(·)為以10為底的對(duì)數(shù)。

發(fā)送方劃分?jǐn)?shù)據(jù)集中數(shù)據(jù)的保密度,計(jì)算保密度分值為

式中:β(a)為數(shù)據(jù)a的保密度劃分結(jié)果;R(a)為a在數(shù)據(jù)集中的位置。

在數(shù)據(jù)集未進(jìn)行保密度計(jì)算之前,數(shù)據(jù)集是按照數(shù)據(jù)的大小和代表的實(shí)際含義進(jìn)行分類的,但數(shù)據(jù)的實(shí)際含義是人賦予的,因此在保密度劃分時(shí),需進(jìn)行人工劃分。上述方法的人工計(jì)算量較大,數(shù)據(jù)保密的效率較低,且由于不同劃分人員具有一定的主觀性,導(dǎo)致劃分的保密度也不同,從而影響算法最終的結(jié)果。同時(shí),該方法還可能導(dǎo)致同一數(shù)據(jù)集中具有較多種類的保密數(shù)據(jù),數(shù)據(jù)傳輸速度減慢。各個(gè)保密等級(jí)在混淆計(jì)算的前提下,只能保證數(shù)據(jù)的保密質(zhì)量[10],不能保證數(shù)據(jù)的算數(shù)速度。

針對(duì)上述問題對(duì)原有的保密算法進(jìn)行優(yōu)化,首先,加入保密度分類的步驟,在數(shù)據(jù)傳輸?shù)膽?yīng)用層劃分?jǐn)?shù)據(jù)的保密等級(jí),將其中典型數(shù)據(jù)進(jìn)行人工劃分;然后,在算法中按照該方式劃分,計(jì)算每個(gè)數(shù)據(jù)和人工劃分結(jié)果的相似度,其結(jié)果為

通過改變?cè)械臄?shù)據(jù)集分類方式,按照保密等級(jí)重新分類,每個(gè)保密等級(jí)數(shù)據(jù)集中的重要度數(shù)值相同,并按照數(shù)據(jù)的保密度排序數(shù)據(jù)集。在發(fā)送數(shù)據(jù)時(shí),為避免過多的保密度分類造成密碼設(shè)置混亂,在數(shù)據(jù)的應(yīng)用層進(jìn)行保密設(shè)置時(shí),先根據(jù)保密等級(jí)進(jìn)行高保密度數(shù)據(jù)優(yōu)先設(shè)置,優(yōu)化后的算法可以引入保密等級(jí)傾向度,使分級(jí)更加細(xì)化。

3 優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?/h2>

在網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化過程中,要有數(shù)據(jù)保密算法,還要結(jié)合數(shù)據(jù)的等級(jí)保護(hù)機(jī)制,對(duì)不同的人群采取不同的保護(hù)機(jī)制。

加密算法主要是保護(hù)網(wǎng)絡(luò)數(shù)據(jù)在傳輸和儲(chǔ)存的過程中,防止被不法分子攻擊導(dǎo)致數(shù)據(jù)泄露,而不同的數(shù)據(jù)權(quán)限查看的范圍也不相同,因此需使用其他方式來保證數(shù)據(jù)的安全。本文選擇的方式是優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植挤椒?避免發(fā)布的數(shù)據(jù)在無權(quán)限的查看中進(jìn)行聚合[11],沒有數(shù)據(jù)查看權(quán)限的用戶只能看到數(shù)值的個(gè)數(shù)和增加數(shù)據(jù)的具體數(shù)值。從數(shù)據(jù)隱私保護(hù)角度而言,數(shù)據(jù)的保密度越高,數(shù)據(jù)傳輸?shù)木酆戏植荚诫y,但雙重疊加的保密性越高,對(duì)攻擊數(shù)據(jù)的抵抗性也越高,對(duì)于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植加幸韵碌陌踩砸蟆?/p>

(1) 數(shù)據(jù)處于雙重保密制度,即使被外界攔截,也無法解密數(shù)據(jù)包。

(2) 部份數(shù)據(jù)受到攻擊后[12],由于密碼的獨(dú)立性依然能夠保證其他數(shù)據(jù)的安全,從而避免了數(shù)據(jù)完全泄露的情況,數(shù)據(jù)發(fā)送方可以盡可能地挽回?fù)p失,尋找補(bǔ)救辦法。

(3) 原始數(shù)據(jù)在加密和解密的過程中不會(huì)破壞原本的數(shù)據(jù)結(jié)構(gòu)[13],打亂的數(shù)據(jù)順序也可以在短時(shí)間內(nèi)恢復(fù),沒有其他高保密措施的解密復(fù)雜性高,適用于大部分網(wǎng)絡(luò)數(shù)據(jù)的加密。

(4) 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植冀Y(jié)果只在數(shù)據(jù)傳輸時(shí)使用,并不會(huì)隨著數(shù)據(jù)的傳輸而影響數(shù)據(jù)的屬性。在雙重的保護(hù)措施下,攻擊者試圖查看原文時(shí),只會(huì)看到聚合結(jié)果的實(shí)體,使得攻擊者無法進(jìn)行差分分析。

4 測(cè)試實(shí)驗(yàn)

為驗(yàn)證本文設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑是否能滿足現(xiàn)代網(wǎng)絡(luò)的數(shù)據(jù)傳輸要求,設(shè)計(jì)對(duì)比測(cè)試實(shí)驗(yàn)。將本文設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑和傳統(tǒng)的基于BP算法的安全技術(shù)的優(yōu)化路徑、基于密鑰標(biāo)記的安全技術(shù)的優(yōu)化路徑相比,分別進(jìn)行了3種網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化路徑的安全性測(cè)試,并討論測(cè)試結(jié)果。

4.1 實(shí)驗(yàn)環(huán)境搭建

為驗(yàn)證安全技術(shù)的實(shí)用性搭建測(cè)試評(píng)估安全性的系統(tǒng),系統(tǒng)的結(jié)構(gòu)如圖3所示。

圖3 安全性評(píng)估系統(tǒng)結(jié)構(gòu)

圖3中的數(shù)據(jù)接收節(jié)點(diǎn)共有8個(gè),除節(jié)點(diǎn)1外其余為轉(zhuǎn)發(fā)節(jié)點(diǎn)。8個(gè)節(jié)點(diǎn)共用一個(gè)節(jié)點(diǎn)控制器,控制器與節(jié)點(diǎn)單獨(dú)連接,節(jié)點(diǎn)之間也相互連接。節(jié)點(diǎn)控制器和節(jié)點(diǎn)之間的通信依靠遠(yuǎn)程過程調(diào)用(Remote Procedure Call,RPC)進(jìn)行,節(jié)點(diǎn)控制器可以對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)和傳輸進(jìn)行監(jiān)控,監(jiān)控在惡意攻擊下的數(shù)據(jù)包被損壞或被攔截導(dǎo)致數(shù)據(jù)泄露,對(duì)數(shù)據(jù)的安全技術(shù)進(jìn)行有效評(píng)價(jià)。在此基礎(chǔ)上,實(shí)驗(yàn)環(huán)境的軟硬件參數(shù)見表1。

表1 實(shí)驗(yàn)環(huán)境參數(shù)

將節(jié)點(diǎn)控制器與IP子網(wǎng)的接口進(jìn)行連接,并進(jìn)行數(shù)據(jù)傳輸?shù)臏y(cè)試,在接口處監(jiān)測(cè)數(shù)據(jù)傳輸,連接數(shù)據(jù)的傳輸接口后,通過3種方式發(fā)送新增自定義密碼標(biāo)識(shí),并在接口處進(jìn)行數(shù)據(jù)加密轉(zhuǎn)化和初始化,節(jié)點(diǎn)控制器發(fā)送的數(shù)據(jù)類型為unknow類型的數(shù)據(jù),字節(jié)數(shù)量為8 bit。

4.2 實(shí)驗(yàn)結(jié)果

將本文設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑和傳統(tǒng)的基于BP算法的安全技術(shù)的優(yōu)化路徑、基于密鑰標(biāo)記的安全技術(shù)的優(yōu)化路徑進(jìn)行對(duì)比,比較不同的數(shù)據(jù)報(bào)文數(shù)量的加密時(shí)間,實(shí)驗(yàn)結(jié)果如圖4所示。

圖4 實(shí)驗(yàn)結(jié)果

由圖4可知,隨著數(shù)據(jù)報(bào)文數(shù)量的增多,3種安全技術(shù)的加密時(shí)間都有所上升,但本文設(shè)計(jì)方法是有規(guī)律地逐漸遞增,而其他2種方法均無固定規(guī)律,時(shí)間曲線具有較大的波動(dòng)性。而本文設(shè)計(jì)的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑在報(bào)文數(shù)量為60時(shí),加密時(shí)間控制在80 ms以下,基于BP算法的安全技術(shù)的優(yōu)化路徑和基于密鑰標(biāo)記的安全技術(shù)優(yōu)化路徑最短的加密時(shí)間和本文設(shè)計(jì)方法的最長(zhǎng)加密時(shí)間相同。實(shí)驗(yàn)結(jié)果表明本文的安全技術(shù)加密時(shí)間較短,且方法具有一定的可靠性。

為進(jìn)一步驗(yàn)證所提出技術(shù)實(shí)現(xiàn)的簡(jiǎn)便性,設(shè)定數(shù)據(jù)報(bào)文數(shù)量分別為500、1 000和1 500,實(shí)驗(yàn)測(cè)試時(shí),僅改變數(shù)據(jù)報(bào)文數(shù)量,其他數(shù)據(jù)訪問和存儲(chǔ)條件不變。每組數(shù)據(jù)報(bào)文數(shù)量測(cè)試5組得到3種方法的解密時(shí)間,測(cè)試結(jié)果見表2。

表2 解密時(shí)間測(cè)試結(jié)果

由表2可知,隨著數(shù)據(jù)報(bào)文數(shù)量的增加,本文方法和現(xiàn)有方法的解密時(shí)間逐漸增加。數(shù)據(jù)報(bào)文數(shù)量為1 000時(shí),本文方法的解密時(shí)間為17.57 s,而基于BP算法的安全技術(shù)優(yōu)化路徑和基于密鑰標(biāo)記的安全技術(shù)優(yōu)化路徑的解密時(shí)間分別為24.64 s、25.82 s。因此,在相同數(shù)據(jù)報(bào)文數(shù)量條件下,本文方法的解密時(shí)間更短,并且在數(shù)據(jù)報(bào)文數(shù)量較多時(shí),該方法可以節(jié)省更多解密時(shí)間。測(cè)試結(jié)果證明了本文提出的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化路徑,具有較好的應(yīng)用性能,保證了網(wǎng)絡(luò)數(shù)據(jù)的安全。

5 結(jié) 語

本文提出的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑方法,通過構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)安全保障模型提升了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?采用設(shè)計(jì)數(shù)據(jù)保密算法,優(yōu)化了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?實(shí)現(xiàn)了網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密,保證了傳輸和存儲(chǔ)的安全性。并通過實(shí)驗(yàn)驗(yàn)證了所提方法,可以為計(jì)算機(jī)用戶的數(shù)據(jù)安全提供保障,保證數(shù)據(jù)的完整性和數(shù)據(jù)傳輸?shù)目煽啃?符合現(xiàn)代化網(wǎng)絡(luò)環(huán)境的安全需求。但是此次研究未針對(duì)具體的互聯(lián)網(wǎng)、物聯(lián)網(wǎng)或社交網(wǎng)絡(luò)數(shù)據(jù)傳輸進(jìn)行分析,下一步研究將具體到某一網(wǎng)絡(luò),通過對(duì)多種類型數(shù)據(jù)的傳輸與測(cè)試,進(jìn)一步擴(kuò)大所提方法的應(yīng)用范圍。