◆胡紹方 陳闖闖

基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術(shù)優(yōu)化

◆胡紹方 陳闖闖

（周口師范學(xué)院 河南 466001）

為提高數(shù)據(jù)交換的安全性，提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術(shù)優(yōu)化研究，首先以訪問樹結(jié)構(gòu)屬性為基礎(chǔ)，構(gòu)建加密方案，并以此為驗(yàn)證依據(jù)，對(duì)接收到的信息交換請(qǐng)求進(jìn)行驗(yàn)證，以此提高網(wǎng)間數(shù)據(jù)交換的安全性，并進(jìn)行了仿真試驗(yàn)，試驗(yàn)結(jié)果表明，所提方法在信息交換過程中丟包率基本穩(wěn)定在25%以內(nèi)，并且驗(yàn)證耗時(shí)始終穩(wěn)定在15s以內(nèi)，有效提高了信息交換的安全性和效率，對(duì)于信息安全保障具有一定價(jià)值。

數(shù)據(jù)交換；屬性加密；加密方案；安全性

近些年，隨著科學(xué)技術(shù)的不斷發(fā)展，云計(jì)算開始逐漸被互聯(lián)網(wǎng)行業(yè)廣泛應(yīng)用[1]。由于其可為用戶提供成本低、質(zhì)量?jī)?yōu)的服務(wù)，越來越多的用戶選擇在互聯(lián)網(wǎng)上進(jìn)行數(shù)據(jù)存儲(chǔ)和計(jì)算。其中包括大量敏感信息[2]，一般情況下，敏感信息的存儲(chǔ)形式為非加密狀態(tài)，服務(wù)器控制關(guān)于其的訪問[3]。但當(dāng)服務(wù)器信任降低，或遭到攻擊時(shí)，敏感信息極有可能被泄露。在此環(huán)境下，信息安全已經(jīng)成為云計(jì)算必須解決的問題[4]，其直接關(guān)乎其未來的發(fā)展。屬性加密作為一種新型的加密算法[5]，將屬性加密算法應(yīng)用到云計(jì)算中解決安全性問題是十分可觀的。

基于此，本文提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術(shù)優(yōu)化研究。以訪問結(jié)構(gòu)樹的屬性為基礎(chǔ)，進(jìn)行加密，以此提高網(wǎng)間數(shù)據(jù)交換的安全性，并通過仿真試驗(yàn)驗(yàn)證了所提方法的性能，通過該研究，以期為數(shù)據(jù)交換領(lǐng)域提供有價(jià)值的參考。

1 基于屬性加密的數(shù)據(jù)交換技術(shù)

在基于屬性加密算法中，數(shù)據(jù)交換控制策略依賴于用戶、環(huán)境或數(shù)據(jù)本身的屬性。同時(shí)，也可以對(duì)數(shù)據(jù)文件進(jìn)行加密。屬性加密算法以屬性為基礎(chǔ)，對(duì)數(shù)據(jù)交換進(jìn)行控制，本文以訪問樹的結(jié)構(gòu)屬性為基礎(chǔ)，對(duì)數(shù)據(jù)進(jìn)行加密構(gòu)建私鑰和密，以此對(duì)數(shù)據(jù)交換進(jìn)行安全控制。

1.1 構(gòu)建屬性加密方案

在對(duì)網(wǎng)間數(shù)據(jù)交換過程中，定義輸入數(shù)據(jù)為、公共參數(shù)為以及訪問樹結(jié)構(gòu)為。那么，在對(duì)屬性進(jìn)行加密時(shí)，首先，從數(shù)據(jù)交換的根節(jié)點(diǎn)開始，按照從上向下的順序，對(duì)訪問樹的節(jié)點(diǎn)建立多項(xiàng)式y

其中，多項(xiàng)式的次數(shù)

其中，k表示節(jié)點(diǎn)所在結(jié)構(gòu)樹的層級(jí)位置。

對(duì)于非葉子節(jié)點(diǎn)，則存在

隨機(jī)選取其他d個(gè)節(jié)點(diǎn)。則密文的形式為

其中，表示是訪問樹結(jié)構(gòu)內(nèi)的所有節(jié)點(diǎn)數(shù)量。

當(dāng)對(duì)應(yīng)節(jié)點(diǎn)出現(xiàn)訪問請(qǐng)求時(shí)，通過對(duì)其密鑰與節(jié)點(diǎn)屬性密文的匹配程度進(jìn)行判斷，將其作為數(shù)據(jù)交換的依據(jù)。

1.2 網(wǎng)間數(shù)據(jù)交換

在上述數(shù)據(jù)屬性加密的基礎(chǔ)上，對(duì)網(wǎng)間數(shù)據(jù)交換技術(shù)進(jìn)行優(yōu)化，將屬性作為不同組織之間數(shù)據(jù)交換的判斷依據(jù)，以此提高數(shù)據(jù)安全性。其整體流程圖如圖1所示。

圖1 網(wǎng)間數(shù)據(jù)安全交換流程

首先，在訪問端提出數(shù)據(jù)交換請(qǐng)求后，被訪問端創(chuàng)建任務(wù)并提交給云計(jì)算環(huán)境，構(gòu)建訪問樹和密鑰認(rèn)證機(jī)制。利用被訪問網(wǎng)絡(luò)的輸入密鑰對(duì)請(qǐng)求屬性驗(yàn)證前的數(shù)據(jù)進(jìn)行預(yù)處理，主要包括，通過訪問樹驗(yàn)證訪問端輸入的密鑰格式是否符合被訪問端的定義要求，以此過濾不能夠定義的任意子類訪問請(qǐng)求。另外，由于現(xiàn)階段網(wǎng)絡(luò)多采用分布式結(jié)構(gòu)，其中，數(shù)據(jù)的大小存在一定限制，因此，本文將輸入的訪問請(qǐng)求文件進(jìn)行分片，輸入為密鑰屬性塊。

在此基礎(chǔ)上，對(duì)輸入的密鑰屬性塊進(jìn)行認(rèn)證處理，并存儲(chǔ)到被訪問端中。屬性塊對(duì)應(yīng)兩個(gè)文件分別為數(shù)據(jù)信息和元數(shù)據(jù)信息。其中，元數(shù)據(jù)信息文件屬性塊的ID、長(zhǎng)度和生成時(shí)間戳。并且id用于標(biāo)志訪問請(qǐng)求的數(shù)據(jù)塊，二者具有相同的Hash值，長(zhǎng)度用于輸入主句和驗(yàn)證數(shù)據(jù)之間的比較。

然后，把處理后的結(jié)果存儲(chǔ)到HDFS中，訪問樹節(jié)點(diǎn)讀取后作為訪問結(jié)構(gòu)的輸入，并執(zhí)行訪問樹程序，輸出處理后的〈key，value〉結(jié)果，并將其寫入臨時(shí)文件中。如果在將輸出結(jié)果前，訪問樹節(jié)點(diǎn)上運(yùn)行的任務(wù)出現(xiàn)崩潰，將在新節(jié)點(diǎn)上運(yùn)行該任務(wù)，獲得新的輸出結(jié)果。

接下來，請(qǐng)求處理模塊接收到任務(wù)后，針對(duì)每個(gè)任務(wù)單獨(dú)指定分區(qū)。在每個(gè)分區(qū)中，包含與key關(guān)聯(lián)的value值，并將每個(gè)key關(guān)聯(lián)的記錄劃分至同一個(gè)分區(qū)。分區(qū)通過Partition配置進(jìn)行控制，主要負(fù)責(zé)在多個(gè)請(qǐng)求的情況下訪問樹的結(jié)果由哪一個(gè)請(qǐng)求處理模塊處理，每一個(gè)請(qǐng)求處理模塊都會(huì)輸出相對(duì)應(yīng)的文件，并在完成任務(wù)后刪除所有訪問樹的輸出結(jié)果。

最后，在請(qǐng)求處理模塊輸出的文件中，驗(yàn)證是否已經(jīng)存在需要輸出的結(jié)果目錄，并判斷輸出的結(jié)果類型是否和加密屬性的密鑰配置一致，最后輸出結(jié)果總結(jié)。同時(shí)，為提高結(jié)果的可靠性，把輸出的結(jié)果存儲(chǔ)在HDFS中。

當(dāng)輸出結(jié)果滿足密文中的訪問結(jié)構(gòu)樹時(shí)，訪問端可以解密密文，進(jìn)行數(shù)據(jù)交換。被訪問端不需要知道訪問端是誰，而訪問端只要符合訪問結(jié)構(gòu)樹中的條件，則可以解密，進(jìn)行數(shù)據(jù)交換。

2 仿真試驗(yàn)

為測(cè)試所提方法的實(shí)際性能，本文進(jìn)行了仿真試驗(yàn)測(cè)試。同時(shí)，為提高試驗(yàn)結(jié)果的可靠性，分別采用文獻(xiàn)[2]和文獻(xiàn)[3]提出的方法同時(shí)進(jìn)行試驗(yàn)。

2.1 試驗(yàn)環(huán)境

在局域網(wǎng)下搭建網(wǎng)間信息交換仿真環(huán)境。設(shè)置三臺(tái)計(jì)算機(jī)，分別作為信息存儲(chǔ)中心，并在三個(gè)信息域下進(jìn)行仿真，將三臺(tái)計(jì)算機(jī)以信息提供者的身份進(jìn)行認(rèn)證，其在收集信息資源的同時(shí)，完成信息儲(chǔ)存，并將信息的索引存入信息存儲(chǔ)中心。三臺(tái)計(jì)算機(jī)采用相同的處理器，均為Inter（R）Core（TM）i5-3660，CPU均為6.0G，操作系統(tǒng)選擇Ubuntudesktop-amd32。訪問端內(nèi)存分配為1.0GB，被訪問端內(nèi)存分配為4.0GB，中間授權(quán)機(jī)構(gòu)內(nèi)存分配1.0GB，具體的軟件開發(fā)環(huán)境如表1所示。

表1 試驗(yàn)設(shè)置中軟件開發(fā)環(huán)境

2.2 試驗(yàn)結(jié)果

在試驗(yàn)環(huán)境下，首先分別采用三種方法對(duì)700條信息交換請(qǐng)求進(jìn)行處理，并計(jì)算交換過程中的丟包率，其結(jié)果如圖1所示。

圖2 不同方法信息交換過程中的丟包率

從圖2中可以看出，對(duì)比文獻(xiàn)[2]和文獻(xiàn)[3]，本文方法在信息交換過程中，丟包率基本穩(wěn)定在2%以內(nèi)，并且隨著決策數(shù)的增加，其逐漸趨于穩(wěn)定。這主要是因?yàn)樗岱椒ㄒ詳?shù)據(jù)交換前的訪問樹結(jié)構(gòu)屬性為基礎(chǔ)，完成數(shù)據(jù)的加密，提高的數(shù)據(jù)交換過程中的可控性，降低了丟包率。

在此基礎(chǔ)上，對(duì)比了三種方法對(duì)數(shù)據(jù)交換請(qǐng)求的處理時(shí)間，其結(jié)果如圖2所示。

從圖3中可以看出，對(duì)比文獻(xiàn)[2]和文獻(xiàn)[3]，隨著決策數(shù)量的增加，三種方法的耗時(shí)均有不同程度的增加，但本文方法始終在15s以內(nèi)，相對(duì)于另外兩種方法，有明顯優(yōu)勢(shì)。這主要是因?yàn)樵谠L問請(qǐng)求驗(yàn)證階段，所提方法將認(rèn)證數(shù)據(jù)進(jìn)行屬性劃分，以“屬性塊”的形式進(jìn)行分別驗(yàn)證，提高了效率。

圖3 不同方法信息交換過程中的耗時(shí)

3 結(jié)束語

隨著互聯(lián)網(wǎng)時(shí)代的到來，網(wǎng)上信息交換逐漸成為信息交互的主要方式，在此環(huán)境下，確保信息交換過程中的信息安全成了不可忽視的重點(diǎn)問題。本文提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術(shù)優(yōu)化，以屬性加密為基礎(chǔ)，提出新的數(shù)據(jù)安全交換技術(shù)研究，并有效提高的信息的安全性的交換效率，對(duì)于該領(lǐng)域的研究具有一定的參考價(jià)值。

[1]陳良英. 基于屬性加密的計(jì)算機(jī)數(shù)據(jù)庫(kù)安全檢測(cè)工具的設(shè)計(jì)與運(yùn)用[J]. 信息技術(shù)與網(wǎng)絡(luò)安全，2020，516（004）：34-39.

[2]趙榮康，孔祥瑞，梁蓉蓉. 不同安全等級(jí)網(wǎng)絡(luò)之間的數(shù)據(jù)交換方案研究與實(shí)現(xiàn)[J]. 信息安全研究，2020，006（004）：338-344.

[3]馬曉亮. 醫(yī)院跨網(wǎng)文件安全交換技術(shù)設(shè)計(jì)與實(shí)現(xiàn)方案[J]. 中國(guó)醫(yī)療設(shè)備，2021，036（002）：113-116.

[4]劉建華，鄭曉坤，鄭東，等. 基于屬性加密且支持密文檢索的安全云存儲(chǔ)系統(tǒng)[J]. 信息網(wǎng)絡(luò)安全，2019，000（007）：50-58.

[5]趙志遠(yuǎn)，王建華，朱智強(qiáng)，等. 面向物聯(lián)網(wǎng)數(shù)據(jù)安全共享的屬性基加密方案[J]. 計(jì)算機(jī)研究與發(fā)展，2019，056（006）：160-171.