網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑

衣文娟

(青島酒店管理職業(yè)技術(shù)學院 信息工程技術(shù)學院, 山東 青島 266100)

網(wǎng)絡(luò)傳輸具有數(shù)據(jù)分享快、節(jié)約傳輸資源和空間等優(yōu)勢。網(wǎng)絡(luò)傳輸數(shù)據(jù)可以在一定程度保證數(shù)據(jù)的完整性。同時,用戶在查找數(shù)據(jù)時也可以直接搜索以獲取想要的數(shù)據(jù),讓數(shù)據(jù)的傳輸和使用更加方便[1]。傳統(tǒng)計算機數(shù)據(jù)存儲技術(shù)具有很高的保密性,但通過網(wǎng)絡(luò)進行傳輸時會存在數(shù)據(jù)泄露的風險,因此,解決數(shù)據(jù)泄露風險、研究網(wǎng)絡(luò)數(shù)據(jù)的安全保障技術(shù)十分重要。

為方便數(shù)據(jù)調(diào)用,網(wǎng)絡(luò)數(shù)據(jù)在計算機中儲存前要進行分類,網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)主要目的是保護網(wǎng)絡(luò)使用用戶隱私,隨著如今的網(wǎng)絡(luò)環(huán)境越來越復雜[2],原本的數(shù)據(jù)安全技術(shù)已經(jīng)不能滿足現(xiàn)代化的數(shù)據(jù)傳輸要求。趙男男[3]采用誤差逆向傳播算法(Back Propagation,BP)實現(xiàn)信息聚類和編碼設(shè)計,并構(gòu)建雙層結(jié)構(gòu)的編碼輸出結(jié)構(gòu)模型,利用自適應匹配濾波算法實現(xiàn)了端到端信息防御和攻擊。杜天琦[4]在明確無線傳感器網(wǎng)絡(luò)密鑰管理影響因素的基礎(chǔ)上,設(shè)計了無線傳感器網(wǎng)絡(luò)密鑰管理方案,實現(xiàn)了無線傳感網(wǎng)絡(luò)安全防護。雖然上述方法優(yōu)化了網(wǎng)絡(luò)安全數(shù)據(jù)傳輸技術(shù),但在傳輸數(shù)據(jù)時用戶信息也可能被泄露,因此上述2種方案在保護過程中容易引起安全問題。

網(wǎng)絡(luò)數(shù)據(jù)安全受到影響的主要原因為:①外界的影響因素導致數(shù)據(jù)安全受到威脅[5];②人為因素導致數(shù)據(jù)安全受到威脅[6]。為進一步保證網(wǎng)絡(luò)數(shù)據(jù)安全,本文在構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)安全保障模型的基礎(chǔ)上,設(shè)計數(shù)據(jù)保密算法,優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化。

1 優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)安全保障模型

1.1 設(shè)置安全模型數(shù)據(jù)傳輸?shù)牧６?/h3>

為保證網(wǎng)絡(luò)安全技術(shù)可以真正保護網(wǎng)絡(luò)數(shù)據(jù)安全,優(yōu)化原有的網(wǎng)絡(luò)數(shù)據(jù)安全保障模型,模型整體結(jié)構(gòu)由數(shù)據(jù)終端、數(shù)據(jù)轉(zhuǎn)發(fā)層、攻擊數(shù)據(jù)識別模塊4部分組成,具體結(jié)構(gòu)如圖1所示。

圖1 模型結(jié)構(gòu)

(1) 數(shù)據(jù)終端。數(shù)據(jù)終端主要負責對數(shù)據(jù)進行加密,在數(shù)據(jù)傳輸之前生成傳輸密碼,并在傳輸數(shù)據(jù)中添加上傳輸密碼。數(shù)據(jù)終端在向數(shù)據(jù)安全管理器發(fā)送數(shù)據(jù)的同時,也會將數(shù)據(jù)驗證表進行轉(zhuǎn)發(fā)。因此在數(shù)據(jù)管理器中,只能查詢到數(shù)據(jù)驗證表和報文計數(shù)表。數(shù)據(jù)終端可以根據(jù)用戶對數(shù)據(jù)的查看權(quán)限判斷數(shù)據(jù)能否被當前賬戶查看。對需要進行嚴格保密的數(shù)據(jù)粘貼自定義標簽,并設(shè)置單獨的密鑰。密鑰的Hash值可以在發(fā)送數(shù)據(jù)報文前隨機生成。數(shù)據(jù)終端設(shè)備生成的密鑰身份驗證數(shù)據(jù)也是隨機的。

(2) 數(shù)據(jù)轉(zhuǎn)發(fā)層。數(shù)據(jù)轉(zhuǎn)發(fā)層的設(shè)備與數(shù)據(jù)安全管理器相連接,通過轉(zhuǎn)發(fā)設(shè)備與數(shù)據(jù)終端連接,進行報文數(shù)量管理、傳輸控制、數(shù)據(jù)驗證和攻擊數(shù)據(jù)識別等操作。SDN網(wǎng)絡(luò)內(nèi)部的傳輸設(shè)備為該模型的數(shù)據(jù)傳輸設(shè)備[7],在數(shù)據(jù)傳輸過程中有效地保護數(shù)據(jù)安全,且該設(shè)備具有可編程能力,可以根據(jù)數(shù)據(jù)的安全等級調(diào)節(jié)密碼的復雜程度。

(3) 攻擊數(shù)據(jù)識別模塊。攻擊數(shù)據(jù)識別模塊可以識別出與傳輸數(shù)據(jù)不同的數(shù)據(jù),在控制器流規(guī)則應用中實現(xiàn)數(shù)據(jù)的細粒度精確篩選,保證正常傳輸數(shù)據(jù)中不混進惡意攻擊數(shù)據(jù)。

1.2 設(shè)計密碼標識

網(wǎng)絡(luò)數(shù)據(jù)安全保障模型中最重要的部分為密碼標識,每段數(shù)據(jù)以數(shù)據(jù)流的方式發(fā)送,按照數(shù)據(jù)流特征進行密碼標識設(shè)計。

Flow_ID字段的數(shù)據(jù)流中加入了固定密碼,因此提升了數(shù)據(jù)傳輸過程中的數(shù)據(jù)流安全性,數(shù)據(jù)在數(shù)據(jù)流字段進行了有效加密,還被指定了數(shù)據(jù)的接收單位,在未到達接收單位之前的所有接收數(shù)據(jù)表地點均無法接收數(shù)據(jù)。即使管理員的公鑰也不能在非緊急情況下打開數(shù)據(jù)密碼[8]。減少公鑰的使用頻率可以節(jié)省數(shù)據(jù)安全技術(shù)成本,并在計算機或其他載體需維護時,確保攻擊者不會使用公鑰盜取數(shù)據(jù)。

為保證數(shù)據(jù)傳輸過程中的數(shù)據(jù)包完整性,在完成數(shù)據(jù)傳輸動作前不能打開數(shù)據(jù)包,本方案降低了數(shù)據(jù)傳輸中途打開盜取或復制數(shù)據(jù)包的風險,進一步保障了數(shù)據(jù)安全傳輸。密碼標識結(jié)構(gòu)如圖2所示。

由圖2可知,IP_Header分別由Next_Type、SrcDev_ID 和Verification_R 組成。其中,Next_Type部分可以保證接收方只有解析了前一個數(shù)據(jù)包密碼,才能查看后一個數(shù)據(jù)包,不能改變數(shù)據(jù)包的查看順序,也不能跨越順序隨機查看數(shù)據(jù),數(shù)據(jù)包的唯一解密方式是破譯數(shù)據(jù)密碼。

圖2 密碼標識結(jié)構(gòu)

2 優(yōu)化基于保密度劃分的數(shù)據(jù)保密算法

在設(shè)計數(shù)據(jù)保密算法前需劃分數(shù)據(jù)的保密度。發(fā)送方先將所需保密數(shù)據(jù)進行分類,并定義每個分類。

為保證數(shù)據(jù)定義的合理性和算法的可靠性,對數(shù)據(jù)的分類結(jié)果進行迭代[9],將數(shù)據(jù)的分類結(jié)果定義為a,將對a進行保密后的數(shù)據(jù)集定義為A,此時數(shù)據(jù)集A的保密等級為D級,則D為

式中:Ai為數(shù)據(jù)集中選擇到第i個數(shù)據(jù);lg(·)為以10為底的對數(shù)。

發(fā)送方劃分數(shù)據(jù)集中數(shù)據(jù)的保密度,計算保密度分值為

式中:β(a)為數(shù)據(jù)a的保密度劃分結(jié)果;R(a)為a在數(shù)據(jù)集中的位置。

在數(shù)據(jù)集未進行保密度計算之前,數(shù)據(jù)集是按照數(shù)據(jù)的大小和代表的實際含義進行分類的,但數(shù)據(jù)的實際含義是人賦予的,因此在保密度劃分時,需進行人工劃分。上述方法的人工計算量較大,數(shù)據(jù)保密的效率較低,且由于不同劃分人員具有一定的主觀性,導致劃分的保密度也不同,從而影響算法最終的結(jié)果。同時,該方法還可能導致同一數(shù)據(jù)集中具有較多種類的保密數(shù)據(jù),數(shù)據(jù)傳輸速度減慢。各個保密等級在混淆計算的前提下,只能保證數(shù)據(jù)的保密質(zhì)量[10],不能保證數(shù)據(jù)的算數(shù)速度。

針對上述問題對原有的保密算法進行優(yōu)化,首先,加入保密度分類的步驟,在數(shù)據(jù)傳輸?shù)膽脤觿澐謹?shù)據(jù)的保密等級,將其中典型數(shù)據(jù)進行人工劃分;然后,在算法中按照該方式劃分,計算每個數(shù)據(jù)和人工劃分結(jié)果的相似度,其結(jié)果為

通過改變原有的數(shù)據(jù)集分類方式,按照保密等級重新分類,每個保密等級數(shù)據(jù)集中的重要度數(shù)值相同,并按照數(shù)據(jù)的保密度排序數(shù)據(jù)集。在發(fā)送數(shù)據(jù)時,為避免過多的保密度分類造成密碼設(shè)置混亂,在數(shù)據(jù)的應用層進行保密設(shè)置時,先根據(jù)保密等級進行高保密度數(shù)據(jù)優(yōu)先設(shè)置,優(yōu)化后的算法可以引入保密等級傾向度,使分級更加細化。

3 優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?/h2>

在網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化過程中,要有數(shù)據(jù)保密算法,還要結(jié)合數(shù)據(jù)的等級保護機制,對不同的人群采取不同的保護機制。

加密算法主要是保護網(wǎng)絡(luò)數(shù)據(jù)在傳輸和儲存的過程中,防止被不法分子攻擊導致數(shù)據(jù)泄露,而不同的數(shù)據(jù)權(quán)限查看的范圍也不相同,因此需使用其他方式來保證數(shù)據(jù)的安全。本文選擇的方式是優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植挤椒?避免發(fā)布的數(shù)據(jù)在無權(quán)限的查看中進行聚合[11],沒有數(shù)據(jù)查看權(quán)限的用戶只能看到數(shù)值的個數(shù)和增加數(shù)據(jù)的具體數(shù)值。從數(shù)據(jù)隱私保護角度而言,數(shù)據(jù)的保密度越高,數(shù)據(jù)傳輸?shù)木酆戏植荚诫y,但雙重疊加的保密性越高,對攻擊數(shù)據(jù)的抵抗性也越高,對于網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植加幸韵碌陌踩砸蟆?/p>

(1) 數(shù)據(jù)處于雙重保密制度,即使被外界攔截,也無法解密數(shù)據(jù)包。

(2) 部份數(shù)據(jù)受到攻擊后[12],由于密碼的獨立性依然能夠保證其他數(shù)據(jù)的安全,從而避免了數(shù)據(jù)完全泄露的情況,數(shù)據(jù)發(fā)送方可以盡可能地挽回損失,尋找補救辦法。

(3) 原始數(shù)據(jù)在加密和解密的過程中不會破壞原本的數(shù)據(jù)結(jié)構(gòu)[13],打亂的數(shù)據(jù)順序也可以在短時間內(nèi)恢復,沒有其他高保密措施的解密復雜性高,適用于大部分網(wǎng)絡(luò)數(shù)據(jù)的加密。

(4) 網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植冀Y(jié)果只在數(shù)據(jù)傳輸時使用,并不會隨著數(shù)據(jù)的傳輸而影響數(shù)據(jù)的屬性。在雙重的保護措施下,攻擊者試圖查看原文時,只會看到聚合結(jié)果的實體,使得攻擊者無法進行差分分析。

4 測試實驗

為驗證本文設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑是否能滿足現(xiàn)代網(wǎng)絡(luò)的數(shù)據(jù)傳輸要求,設(shè)計對比測試實驗。將本文設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑和傳統(tǒng)的基于BP算法的安全技術(shù)的優(yōu)化路徑、基于密鑰標記的安全技術(shù)的優(yōu)化路徑相比,分別進行了3種網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化路徑的安全性測試,并討論測試結(jié)果。

4.1 實驗環(huán)境搭建

為驗證安全技術(shù)的實用性搭建測試評估安全性的系統(tǒng),系統(tǒng)的結(jié)構(gòu)如圖3所示。

圖3 安全性評估系統(tǒng)結(jié)構(gòu)

圖3中的數(shù)據(jù)接收節(jié)點共有8個,除節(jié)點1外其余為轉(zhuǎn)發(fā)節(jié)點。8個節(jié)點共用一個節(jié)點控制器,控制器與節(jié)點單獨連接,節(jié)點之間也相互連接。節(jié)點控制器和節(jié)點之間的通信依靠遠程過程調(diào)用(Remote Procedure Call,RPC)進行,節(jié)點控制器可以對數(shù)據(jù)的轉(zhuǎn)發(fā)和傳輸進行監(jiān)控,監(jiān)控在惡意攻擊下的數(shù)據(jù)包被損壞或被攔截導致數(shù)據(jù)泄露,對數(shù)據(jù)的安全技術(shù)進行有效評價。在此基礎(chǔ)上,實驗環(huán)境的軟硬件參數(shù)見表1。

表1 實驗環(huán)境參數(shù)

將節(jié)點控制器與IP子網(wǎng)的接口進行連接,并進行數(shù)據(jù)傳輸?shù)臏y試,在接口處監(jiān)測數(shù)據(jù)傳輸,連接數(shù)據(jù)的傳輸接口后,通過3種方式發(fā)送新增自定義密碼標識,并在接口處進行數(shù)據(jù)加密轉(zhuǎn)化和初始化,節(jié)點控制器發(fā)送的數(shù)據(jù)類型為unknow類型的數(shù)據(jù),字節(jié)數(shù)量為8 bit。

4.2 實驗結(jié)果

將本文設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑和傳統(tǒng)的基于BP算法的安全技術(shù)的優(yōu)化路徑、基于密鑰標記的安全技術(shù)的優(yōu)化路徑進行對比,比較不同的數(shù)據(jù)報文數(shù)量的加密時間,實驗結(jié)果如圖4所示。

圖4 實驗結(jié)果

由圖4可知,隨著數(shù)據(jù)報文數(shù)量的增多,3種安全技術(shù)的加密時間都有所上升,但本文設(shè)計方法是有規(guī)律地逐漸遞增,而其他2種方法均無固定規(guī)律,時間曲線具有較大的波動性。而本文設(shè)計的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑在報文數(shù)量為60時,加密時間控制在80 ms以下,基于BP算法的安全技術(shù)的優(yōu)化路徑和基于密鑰標記的安全技術(shù)優(yōu)化路徑最短的加密時間和本文設(shè)計方法的最長加密時間相同。實驗結(jié)果表明本文的安全技術(shù)加密時間較短,且方法具有一定的可靠性。

為進一步驗證所提出技術(shù)實現(xiàn)的簡便性,設(shè)定數(shù)據(jù)報文數(shù)量分別為500、1 000和1 500,實驗測試時,僅改變數(shù)據(jù)報文數(shù)量,其他數(shù)據(jù)訪問和存儲條件不變。每組數(shù)據(jù)報文數(shù)量測試5組得到3種方法的解密時間,測試結(jié)果見表2。

表2 解密時間測試結(jié)果

由表2可知,隨著數(shù)據(jù)報文數(shù)量的增加,本文方法和現(xiàn)有方法的解密時間逐漸增加。數(shù)據(jù)報文數(shù)量為1 000時,本文方法的解密時間為17.57 s,而基于BP算法的安全技術(shù)優(yōu)化路徑和基于密鑰標記的安全技術(shù)優(yōu)化路徑的解密時間分別為24.64 s、25.82 s。因此,在相同數(shù)據(jù)報文數(shù)量條件下,本文方法的解密時間更短,并且在數(shù)據(jù)報文數(shù)量較多時,該方法可以節(jié)省更多解密時間。測試結(jié)果證明了本文提出的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)優(yōu)化路徑,具有較好的應用性能,保證了網(wǎng)絡(luò)數(shù)據(jù)的安全。

5 結(jié) 語

本文提出的網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)的優(yōu)化路徑方法,通過構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)安全保障模型提升了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?采用設(shè)計數(shù)據(jù)保密算法,優(yōu)化了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)木酆戏植?實現(xiàn)了網(wǎng)絡(luò)傳輸數(shù)據(jù)的加密,保證了傳輸和存儲的安全性。并通過實驗驗證了所提方法,可以為計算機用戶的數(shù)據(jù)安全提供保障,保證數(shù)據(jù)的完整性和數(shù)據(jù)傳輸?shù)目煽啃?符合現(xiàn)代化網(wǎng)絡(luò)環(huán)境的安全需求。但是此次研究未針對具體的互聯(lián)網(wǎng)、物聯(lián)網(wǎng)或社交網(wǎng)絡(luò)數(shù)據(jù)傳輸進行分析,下一步研究將具體到某一網(wǎng)絡(luò),通過對多種類型數(shù)據(jù)的傳輸與測試,進一步擴大所提方法的應用范圍。