• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于私有云安全防護的網(wǎng)絡密文數(shù)據(jù)防泄露方法

      2022-10-08 01:12:36張凌超高彥偉閻永華李政偉
      關(guān)鍵詞:公鑰密文差分

      米 捷,張凌超,高彥偉,張 昕,閻永華,李政偉

      (1.河南工程學院 計算機學院,河南 鄭州 451191;2.機械工業(yè)第六設計研究院有限公司,河南 鄭州 450007;3.鄭州市中原區(qū)教育局,河南 鄭州 450000)

      網(wǎng)絡密文數(shù)據(jù)是指網(wǎng)絡中敏感的、隱私的明文數(shù)據(jù)按照一定加密算法變換成的難以識別的數(shù)據(jù)。隨著計算機技術(shù)的快速發(fā)展,即使網(wǎng)絡中的數(shù)據(jù)均采用加密方式實施保護,但是由于網(wǎng)絡的形成是依據(jù)各節(jié)點和鏈路完成的[1],在該過程中,節(jié)點和鏈路之間安全水平存在差異,難以完全避免網(wǎng)絡密文數(shù)據(jù)泄露[2]。密文數(shù)據(jù)的泄露會造成用戶信息的大量泄露,對個人和單位都會造成極大影響。因此,如何避免網(wǎng)絡中的密文數(shù)據(jù)發(fā)生泄露,成為網(wǎng)絡安全防護的重要問題。

      針對網(wǎng)絡密文數(shù)據(jù)泄露問題,相關(guān)學者設計了一系列防泄露方法。包空軍等[1]提出了一種基于同態(tài)加密算法的數(shù)據(jù)防泄露方法,根據(jù)混沌序列軌跡點,將明文數(shù)據(jù)序列與密鑰序列視作數(shù)據(jù)流的字節(jié),通過設定數(shù)值使序列符合白噪聲規(guī)律,從而使密文數(shù)據(jù)能夠均勻分布,完成對數(shù)據(jù)的防泄露處理。李西明等[3]提出了一種基于生成對抗網(wǎng)絡的抗泄露加密方法,該方法在16位密鑰對稱加密方案的支持下,通過修改激活函數(shù)建立了比特密鑰泄露環(huán)境下的加密算法模型,然后添加解密方和敵手模型,再通過規(guī)格化處理提升抗泄露加密通信能力。上述方法在進行防泄露處理過程中,均以數(shù)據(jù)庫加密方式完成密文數(shù)據(jù)的保護,但是針對攻擊者對數(shù)據(jù)實行惡意攻擊導致數(shù)據(jù)泄露的處理,依然存在一定不足。

      私有云是一種單獨構(gòu)建的平臺[4],該平臺僅為構(gòu)建企業(yè)提供相應的云計算服務,企業(yè)可在構(gòu)建的私有云平臺上部署所需的服務應用,同時具備對該平臺中資源、數(shù)據(jù)等實行控制的能力,故可在極大程度上保證數(shù)據(jù)安全[5],并提高服務質(zhì)量?;诖?,本研究基于私有云安全防護設計了一種新的網(wǎng)絡密文數(shù)據(jù)防泄露方法。

      1 私有云安全防護框架

      首先,本研究利用私有云的優(yōu)勢,以網(wǎng)絡密文數(shù)據(jù)的安全防護為目標,結(jié)合網(wǎng)絡對于安全等級的需求和私有云平臺的實際業(yè)務情況,采用互補的安全防護理念,設計了私有云安全防護的整體框架(圖1)。

      圖1 私有云安全防護框架Fig.1 Private cloud safety protection of the ciphertext data leakage protection framework

      圖1中的框架共包含4個部分,分別為網(wǎng)絡安全設計、虛擬機安全設計、網(wǎng)絡業(yè)務訪問安全設計及私有云管理中心。這4個部分的結(jié)合實現(xiàn)了對網(wǎng)絡內(nèi)外的安全防護。

      網(wǎng)絡安全設計:該設計主要針對網(wǎng)絡內(nèi)部安全進行控制,包含兩個方面,分別是節(jié)點和鏈路的安全防護。在設計過程中,對經(jīng)由鏈路的數(shù)據(jù)進行分析,確定該數(shù)據(jù)主要有兩種,即私有云平臺流入和流出的數(shù)據(jù),以及平臺內(nèi)各虛擬服務節(jié)點之間的數(shù)據(jù)。為實現(xiàn)網(wǎng)絡密文數(shù)據(jù)的安全防泄露,部署了核心安全網(wǎng)關(guān)和虛擬防火墻,前者部署在核心交換機內(nèi),后者部署在鏈路虛擬安全資源池中,實現(xiàn)了平臺和平臺內(nèi)虛擬服務節(jié)點之間網(wǎng)絡密文數(shù)據(jù)的安全控制[6]。

      虛擬機安全設計:該設計的主要目的是實現(xiàn)對虛擬服務器內(nèi)存的監(jiān)控,主要是對物理和虛擬服務節(jié)點進行安全防護病毒虛擬機和代理插件的部署,前者實現(xiàn)密文數(shù)據(jù)的殺毒處理[7],后者則利用分散加載方式,實現(xiàn)密文數(shù)據(jù)的資源靈活調(diào)配,提升CPU的運行效率。

      網(wǎng)絡業(yè)務訪問安全設計:該設計是框架中最核心的部分,主要目的是對向私有云發(fā)起訪問請求的外網(wǎng)絡中全部用戶的訪問和服務進行控制,其部署網(wǎng)絡密文數(shù)據(jù)可追溯防泄露安全訪問控制方案[8],實現(xiàn)服務端和用戶端的安全防護。

      私有云管理中心:該部分的主要作用是對整個私有云的部署進行管理,依據(jù)實際情況對相應服務和功能進行調(diào)整,同時對加入私有云平臺的物理和虛擬兩種節(jié)點進行授權(quán)和權(quán)限設定及控制。

      該框架可分析私有云平臺流入和流出的數(shù)據(jù),以及平臺內(nèi)各個虛擬服務節(jié)點之間的數(shù)據(jù),從而控制網(wǎng)絡內(nèi)部密文數(shù)據(jù)安全傳輸,利用虛擬機對密文數(shù)據(jù)進行殺毒處理,并靈活調(diào)配密文數(shù)據(jù)。

      2 網(wǎng)絡密文數(shù)據(jù)防泄露方法

      基于上述安全防護框架,采用差分隱私保護和防泄露追蹤防護兩種方法,保護網(wǎng)絡密文數(shù)據(jù)的隱私性、用戶權(quán)限認證匹配的正確性及攻擊源的追蹤和標記。

      2.1 基于差分隱私的網(wǎng)絡密文數(shù)據(jù)隱私保護

      差分隱私保護方法主要采用轉(zhuǎn)換的方式對數(shù)據(jù)進行處理,并在輸出的密文數(shù)據(jù)中添加噪聲,以此來保證即使數(shù)據(jù)泄露,密文數(shù)據(jù)集中的單個記錄被篡改,也無法完全識別數(shù)據(jù)中的全部信息[9-10]。其詳細步驟如下:

      設A表示隨機算法,且A∶D→R,D和D′為相鄰密文數(shù)據(jù)集;O∈R表示任意輸出結(jié)果,位于D和D′上且對應A,輸出結(jié)果O如果滿足公式(1),此時差分隱私(ε,δ)的實現(xiàn)則用A表示。公式為

      Pr[A(D)=O]≤eε×Pr[A(D′)=O]+δ,

      (1)

      式中:ε表示隱私預算,隱私保護程度隨著該值的增加而降低;δ表示概率,用于描述差分隱私的不合格程度。

      f表示任意函數(shù),且f∶D→Rd,其敏感度計算公式為

      (2)

      式中:‖·‖p表示Lp的范數(shù)。可通過Δf的計算結(jié)果衡量單條數(shù)據(jù)記錄對于輸出的影響程度,決定隱私保護時噪聲的添加量。

      如果A的輸出結(jié)果為數(shù)值,其敏感度采用L2描述,那么將高斯噪聲添加至f中,以此可完成網(wǎng)絡密文數(shù)據(jù)的差分隱私,其公式為

      A(D)=f(D)+N(0,(Δfσ)2I),

      (3)

      (4)

      如果A符合公式(4),斷定其滿足ε-差分隱私。

      通過上述步驟,即可完成網(wǎng)絡密文數(shù)據(jù)的隱私保護,將保護后的網(wǎng)絡密文數(shù)據(jù)存儲至私有云虛擬數(shù)據(jù)庫中。

      2.2 網(wǎng)絡密文數(shù)據(jù)防泄露追蹤防護

      完成網(wǎng)絡密文數(shù)據(jù)的隱私加密保護及存儲后,用戶在對網(wǎng)絡密文數(shù)據(jù)進行訪問時,私有云安全防護方法的網(wǎng)絡業(yè)務訪問安全設計部分對該訪問進行授權(quán)[11],依據(jù)用戶的匹配結(jié)果,開放其對應的訪問權(quán)限。

      用戶的屬性授權(quán)用L′表示,其中間參數(shù)用DKu表示,用戶將兩種參數(shù)發(fā)送給私有云,私有云對其授權(quán)屬性進行判斷,如果其授權(quán)屬性滿足私有云定義的策略P,則此時私有云將中間解密參數(shù)Fu、ψ*回傳給用戶,詳情如下:

      用戶在對云端網(wǎng)絡密文數(shù)據(jù)進行訪問時,需要向私有云管理中心發(fā)送自身的屬性集合L′和中間參數(shù)DKu,私有云管理中心則將兩者與P對比,判斷用戶是否具有訪問權(quán)限[12],同時計算中間參數(shù)DL′:

      (5)

      式中:Ai表示數(shù)據(jù)屬性;g表示生成元;Ti表示訪問結(jié)構(gòu);ti表示Ai中的隨機參數(shù)。

      (6)

      式中:ξx表示x的秘密值;y表示隨機參數(shù);qx(0)表示多項式,對應x;ω表示關(guān)聯(lián)元。

      如果x不是訪問樹的葉節(jié)點,z表示x的全部子節(jié)點,采用DepNode(Hp,D,x)算法對z實施運算后得出fx;Sx表示子節(jié)點集合,其值用kx表示,繼續(xù)運算DepNode(Hp,D,x)算法;反之,fz=⊥。

      (7)

      通過上述步驟得出,用戶屬性集關(guān)聯(lián)的私鑰在滿足訪問樹的前提下,Tx(r)=1,此時,

      Fu=DepNode(Hp,D,r)=e(g,ω)εy。

      (8)

      如果用戶屬性集合滿足訪問權(quán)限,私有云管理中心則依據(jù)用戶屬性計算得出用戶ID所對應的參數(shù)

      (9)

      完成公式(8)、(9)的計算后,私有云管理中心將計算得出的ψ*和Fu回傳至用戶。用戶則依據(jù)回傳的參數(shù)完成網(wǎng)絡密文數(shù)據(jù)解密,實現(xiàn)訪問。

      如果用戶屬性集合不滿足訪問權(quán)限,表示該用戶為非法用戶,私有云在對網(wǎng)絡密文數(shù)據(jù)進行防泄露安全防護時,會對每個訪問用戶回傳相應參數(shù),且均會記錄用戶的ID及ID對應的參數(shù),并將結(jié)果存儲在W列表中[13]。用戶在進行密文數(shù)據(jù)訪問時,私有云管理中心進行策略匹配的同時也將用戶的信息發(fā)送給密文數(shù)據(jù)的授權(quán)或者管理者,對用戶進行二次權(quán)限認證[14]。如果無法通過認證,則表示該用戶為非法用戶,不對其開放權(quán)限,并對其進行追蹤,確定其攻擊源并將其標記為禁止訪問用戶,以此避免網(wǎng)絡密文數(shù)據(jù)發(fā)生泄露。因此,該過程可分為兩部分,一是用戶身份核查,二是對非法用戶追蹤和記錄。

      用戶身份核查時依據(jù)用戶的屬性集合L、DKu和公鑰PK對DKu實行核查,判斷其是否為有效數(shù)據(jù),計算公式為

      (10)

      (11)

      完成用戶身份核查后,采用攻擊源追蹤方法確定非法用戶的攻擊源,其中攻擊源信息的獲取可依據(jù)解方程的方式完成。由于非法用戶在對網(wǎng)絡密文數(shù)據(jù)進行惡意攻擊時存在增量式特點,故在對其進行追蹤時,先解碼其部分攻擊源,將解碼得出的攻擊源信息與部分PK信息結(jié)合,即可獲取新的攻擊源空間信息,用ψ(V)={X(v1),X(v2),…,X(vμ(s))}表示,以此完成攻擊源追蹤,并將其空間域設置為禁止訪問區(qū)域。

      3 實驗與分析

      3.1 性能驗證實驗

      將本方法用于某社交網(wǎng)絡進行相關(guān)測試,統(tǒng)計相關(guān)測試結(jié)果。隨機選取該社交網(wǎng)絡中的200個社交賬戶為200個不同的節(jié)點,將其中10個節(jié)點定義為攻擊節(jié)點,獲取每個節(jié)點的100條數(shù)據(jù)(共2 000條數(shù)據(jù))作為測試的網(wǎng)絡密文數(shù)據(jù)集合。測試使用的服務器操作系統(tǒng)為Linux Ubuntu,四核3.4 GHz處理器,內(nèi)存為8 GB。

      為測試本方法的差分隱私加密效果,在網(wǎng)絡密文數(shù)據(jù)不同屬性數(shù)量下,隨機抽取10個節(jié)點的數(shù)據(jù),不包含攻擊節(jié)點,采用本方法對其進行差分隱私保護,結(jié)果如圖2所示。

      依據(jù)圖2可知:在不同的屬性數(shù)量下,10個數(shù)據(jù)節(jié)點的差分隱私保護結(jié)果均在1.0以下,該值較小。因此,認為本方法具有較好的差分隱私保護效果,能實現(xiàn)網(wǎng)絡密文數(shù)據(jù)的保護。

      本方法在對網(wǎng)絡密文數(shù)據(jù)進行保護的過程中需要對數(shù)據(jù)實行轉(zhuǎn)換。因此,為進一步衡量本方法的保護效果,采用轉(zhuǎn)換后的數(shù)據(jù)分布程度s和離散度c作為評價標準,判斷轉(zhuǎn)換后的數(shù)據(jù)質(zhì)量:

      s(G)=exp(Ex-G(x))KL[Pr(y|x)‖Pr(y)],

      (12)

      (13)

      式中:G表示生成器,其樣本為x;Pr(y|x)表示樣本x歸屬樣本y的條件概率類別;Pr(y)表示所有樣本的邊緣分布,如果轉(zhuǎn)換后的數(shù)據(jù)具備良好的多樣性,則會呈現(xiàn)均勻分布,故s(G)的值越大,表示轉(zhuǎn)換后的數(shù)據(jù)質(zhì)量越佳;Bp表示伯努利分布。數(shù)據(jù)分布程度和離散度兩個指標的取值均為[0,100]。

      依據(jù)公式(12)、(13),隨機抽取12個節(jié)點的網(wǎng)絡密文數(shù)據(jù),不包含攻擊節(jié)點,采用本方法在不同數(shù)據(jù)轉(zhuǎn)換數(shù)量下獲取兩個指標的值(圖3)。

      依據(jù)圖3可知:雖然數(shù)據(jù)轉(zhuǎn)換數(shù)量在逐漸增加,但離散度和數(shù)據(jù)分布程度兩個指標均在95.5%以上,即使數(shù)據(jù)轉(zhuǎn)換數(shù)量達到1 200萬個,兩個指標依然在96%左右。因此,本方法能夠在保證數(shù)據(jù)質(zhì)量的前提下,完成數(shù)據(jù)的轉(zhuǎn)換加密。

      圖2 差分隱私保護結(jié)果Fig.2 Differential privacy protection results

      圖3 數(shù)據(jù)轉(zhuǎn)換效果測試結(jié)果Fig.3 Data transformation effect test results

      本方法在對用戶訪問進行控制和匹配的過程中,需要確定公鑰的最佳長度,以保證最佳的用戶權(quán)限認證效果。因此,測試本方法在不同公鑰長度下滿足私有云定義的策略匹配程度,以衡量本方法的訪問控制效果,結(jié)果如圖4所示。由圖4可知:隨著公鑰長度的逐漸增加,本方法在不同的節(jié)點數(shù)量下,策略匹配度發(fā)生明顯的差異性變化,且波動較大。當公鑰長度為40字節(jié)時,策略匹配程度最低,在92%以下;當公鑰長度超過40字節(jié)時,策略匹配程度發(fā)生波動性上升,其中當公鑰長度為80字節(jié)時,策略匹配程度最佳,達到99%左右。因此,確定公鑰的最佳長度為80字節(jié),且可用于后續(xù)實驗。

      確定公鑰最佳長度后,為進一步測試本方法的權(quán)限匹配控制效果,在授權(quán)了不同數(shù)量屬性時,采用本方法對所有節(jié)點的訪問控制進行權(quán)限認證匹配,獲取其匹配結(jié)果(圖5)。由圖5可知:在不同的節(jié)點數(shù)下,隨著授權(quán)屬性數(shù)量的逐漸增加,未通過權(quán)限匹配的節(jié)點數(shù)均為10。這表示在2 000個節(jié)點中存在10個權(quán)限外的節(jié)點,即攻擊節(jié)點,該結(jié)果與實際的攻擊節(jié)點數(shù)一致。因此,采用本方法能夠精準完成節(jié)點權(quán)限安全匹配,能夠保證網(wǎng)絡密文數(shù)據(jù)的安全,避免發(fā)生攻擊泄露。

      圖4 用戶權(quán)限認證效果測試結(jié)果Fig.4 User privileges authentication effect test results

      圖5 權(quán)限控制匹配結(jié)果Fig.5 Access control matching results

      3.2 對比與分析

      為更直觀地突出本方法的應用效果,將文獻[3]和文獻[4]的方法與本方法進行對比檢驗。獲取3種方法在不同的攻擊路徑跳點數(shù)(攻擊節(jié)點與目標節(jié)點之間的網(wǎng)絡節(jié)點間隔)下,對攻擊源的追蹤和空間域的標記結(jié)果(表1)。由于篇幅有限,僅隨機呈現(xiàn)了3個節(jié)點的追蹤結(jié)果。

      表1 攻擊源追蹤標記結(jié)果Tab.1 Attacks on the source tags

      由表1可知:在不同的攻擊節(jié)點下,隨著攻擊源攻擊路徑跳點數(shù)的逐漸增加,本方法能夠完成攻擊源的全部追蹤,并且能夠獲取所有攻擊源的全部空間域ID結(jié)果,但兩種傳統(tǒng)方法均出現(xiàn)了未能追蹤攻擊源的情況。因此,本方法能夠更佳地保證網(wǎng)絡密文數(shù)據(jù)的安全,進一步提升了網(wǎng)絡密文的防泄露效果。

      4 結(jié)語

      本研究提出了基于私有云安全防護的網(wǎng)絡密文數(shù)據(jù)防泄露方法,并對該方法的實際應用效果進行了測試。結(jié)果顯示:該方法能夠完成網(wǎng)絡密文數(shù)據(jù)的差分隱私保護,并且不會影響網(wǎng)絡密文數(shù)據(jù)的原始質(zhì)量,同時能夠可靠地對訪問用戶的權(quán)限進行安全匹配和認證,能夠精準判斷節(jié)點中的攻擊節(jié)點并完成該節(jié)點ID的標記,最大限度地避免了網(wǎng)絡密文數(shù)據(jù)發(fā)生泄露。

      猜你喜歡
      公鑰密文差分
      一種針對格基后量子密碼的能量側(cè)信道分析框架
      一種支持動態(tài)更新的可排名密文搜索方案
      基于模糊數(shù)學的通信網(wǎng)絡密文信息差錯恢復
      數(shù)列與差分
      一種基于混沌的公鑰加密方案
      HES:一種更小公鑰的同態(tài)加密算法
      SM2橢圓曲線公鑰密碼算法綜述
      基于差分隱私的大數(shù)據(jù)隱私保護
      云存儲中支持詞頻和用戶喜好的密文模糊檢索
      相對差分單項測距△DOR
      太空探索(2014年1期)2014-07-10 13:41:50
      从化市| 肥城市| 安陆市| 方山县| 岱山县| 西安市| 东乡县| 罗山县| 永嘉县| 方山县| 徐水县| 南丹县| 海丰县| 日照市| 日土县| 永清县| 阿克陶县| 定远县| 鹤山市| 兴和县| 清水县| 达日县| 思南县| 襄城县| 涟源市| 安康市| 鱼台县| 翁牛特旗| 宜春市| 临江市| 太和县| 崇阳县| 通山县| 绥化市| 阿合奇县| 盐源县| 龙门县| 特克斯县| 江安县| 桓仁| 连平县|