張伯雍，何涇沙

（北京工業(yè)大學 軟件學院，北京　100124）

基于安全策略的動態(tài)加密技術研究

張伯雍，何涇沙

（北京工業(yè)大學 軟件學院，北京100124）

對數(shù)據(jù)進行加密是一種保證數(shù)據(jù)安全性的有效措施，但現(xiàn)有的數(shù)據(jù)加密方式一般是選定某種加密算法，用該加密算法對數(shù)據(jù)進行全文加密。而不同終端設備的性能存在很大差異，移動終端設備如智能手機受其體積限制，計算能力和能源供給都十分有限，難以承受全文加密的計算量和能源開銷。因此提出了一種動態(tài)選擇加密方法，動態(tài)的選擇加密算法對部分數(shù)據(jù)進行加密，并在該方法的基礎上提出了基于安全策略的數(shù)據(jù)加密傳輸方案。在保證較高安全強度前提下，降低了加密開銷提高了加密效率。

數(shù)據(jù)加密；動態(tài)選擇；部分加密；安全策略

使用適當?shù)陌踩夹g對移動終端上的個人數(shù)據(jù)進行處理十分必要。數(shù)據(jù)加密技術是最基本的安全技術，主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。不同的加密算法具有不同的密碼強度和執(zhí)行效率［1-2］，在特定的應用場景中可以根據(jù)安全性需求等因素選擇不同的加密算法，但傳統(tǒng)的應用方式往往是確定了一種加密算法后，就使用該種加密算法對需要保護的數(shù)據(jù)進行全文加密。這種方式的優(yōu)點是能最大限度實現(xiàn)所選加密算法的數(shù)據(jù)加密強度。而當數(shù)據(jù)量較大時，對數(shù)據(jù)進行全文加密操作的開銷也會隨之加大。對于電池能源、計算能力等資源有限的移動終端設備，這種全文加密方式會造成過重的負擔［3］。

文中提出一種動態(tài)加密方法，動態(tài)選擇加密算法和部分數(shù)據(jù)進行加密，在滿足安全需求的前提下，提高加密效率降低加密開銷，并給出了一種基于安全策略的數(shù)據(jù)加密傳輸應用方式。本文剩余部分結構如下，第二節(jié)介紹了一些現(xiàn)有的高效加密方法，第三節(jié)描述本文提出的動態(tài)選擇加密方法，第四節(jié)介紹了基于安全策略的具體應用方案，實驗結果及分析在第五節(jié)給出，最后給出全文總結。

1　相關研究

在 多媒體數(shù)據(jù)加密研究領域，已經有學者提出了一些選擇性加密方法。所謂選擇性加密即選擇被加密數(shù)據(jù)中的一部分進行加密形成密文，未選擇部分保持為明文。理想情況下應選擇被加密數(shù)據(jù)中最重要的部分進行加密。但由于不同種類數(shù)據(jù)文件的特征和格式差異很大，目前還沒有通用的方法能實現(xiàn)這個目標。因此現(xiàn)有研究主要針對特定格式的文件，研究對象主要是多媒體數(shù)據(jù)文件，基于特定文件的編碼方法，篩選出編碼過程中對編解碼效果有較大影響的相關參數(shù)進行加密。如：陳勇、沙愛軍提出了一種使用AES數(shù)據(jù)加密算法對MPEG-4視頻進行部分加密的方法［4］。利用AES的OFB模式對MPEG-4中I-VOP的DC差分系數(shù)和P-VOP、B-VOP中的intra塊DC差分系數(shù)進行加密；葛龍、廉士國等人提出了一種基于參數(shù)敏感性的MP3音頻選擇加密方案［5］，選擇性的將MP3音頻幀內的比例因子和比特分配信息兩種重要參數(shù)進行加密；鄧紹江、李艷濤等人針對JPEG2000圖像小波變換后重要信息集中在小波系數(shù)的低頻部分的特點，選擇性的對這部分數(shù)據(jù)進行加密，達到減小加密量并保證較好加密效果的目的［6］。

2　動態(tài)數(shù)據(jù)加密方法

2.1加密數(shù)據(jù)的選擇

以往的多媒體數(shù)據(jù)選擇性加密技術均以某種特定格式數(shù)據(jù)作為研究對象，通過對作用于編碼過程的參數(shù)進行分析，篩選出重要參數(shù)進行加密，從而達到既減小數(shù)據(jù)加密總量又保證較好加密效果的目的。但對于索引圖像、真色彩圖像、YUV圖像原始數(shù)據(jù)和純文本等數(shù)據(jù)類型，由于其未經特殊壓縮編碼，不具有復雜的編碼格式，因此無法應用以往的選擇性加密方法對這類數(shù)據(jù)進行加密。本文以位圖圖像為例針對此類數(shù)據(jù)進行了研究和分析。

位圖文件的結構主要包含4部分：

1）文件信息頭：文件類型、文件大小和位平面字節(jié)流起始位置信息；

2）圖像信息頭：圖像寬、高、色深、位平面字節(jié)流長度、分辨率等信息；

3）調色板數(shù)據(jù)結構：用來表達RGB顏色值的結構體數(shù)組，個數(shù)由圖像色深確定；

4）位圖數(shù)據(jù)：每一像素的調色板索引值或直接表示每一像素的RGB顏色值。

通過對位圖文件的數(shù)據(jù)結構分析，可以看出文件信息頭和位圖信息頭包含了解讀位圖文件所需的一些基本參數(shù)，此類參數(shù)的取值較為固定，即使完全刪去也可以很輕松的重構，所以加密文件信息頭和位圖信息頭沒有意義。而后面的調色板數(shù)據(jù)和位圖數(shù)據(jù)則包含了解讀所有像素的全部信息。其中位圖數(shù)據(jù)是文件中長度最長同時也是最為重要的數(shù)據(jù)段，位圖數(shù)據(jù)中的每一個字節(jié)都可以表示稱二進制數(shù)。從微觀角度出發(fā)可以從每個字節(jié)中抽取1位，將一張位圖圖像分解為8個位平面圖，原圖和分解后的8張位平面圖效果如圖1所示。

圖1　位平面分解圖Fig.1　Bit plane decomposition figure

由分解結果可見，位圖數(shù)據(jù)在被解讀時每一字節(jié)中的各個比特位對圖像重構的貢獻程度不同。其中最高位對圖像重構貢獻最大，而后依次降低，即高位數(shù)據(jù)包含的信息較為豐富。因此，雖然此類數(shù)據(jù)不具備前文所述多媒體數(shù)據(jù)的復雜編碼格式，但經過從微觀角度的分析，同樣可以對數(shù)據(jù)中不同部分做出重要性等級的區(qū)分。以此為依據(jù)，就可以根據(jù)不同的安全策略，在數(shù)據(jù)全文中動態(tài)選擇其中一部分數(shù)據(jù)進行加密。

2.2動態(tài)加密流程

1）分析待加密原文，根據(jù)重要性等級對原文進行劃分，按重要性排序；確定可用的數(shù)據(jù)加密算法集，可根據(jù)密碼強度或執(zhí)行速度進行排序

2）根據(jù)安全級別需求和執(zhí)行效率需求，選出M和E的子集

3）為每種選擇的加密算法提供密鑰，執(zhí)行加密操作

4）加密完成，重組為完整密文

圖2　動態(tài)加密流程Fig.2　Dynamic encryption process

3　基于安全策略的動態(tài)數(shù)據(jù)加密方案

在前文提出的動態(tài)數(shù)據(jù)加密方法基礎上，本節(jié)給出了一種基于安全策略的動態(tài)數(shù)據(jù)加密方案。假設有通信雙方A、B需要經過不安全的開放網絡傳輸一份未經壓縮編碼的無損位圖數(shù)據(jù)。數(shù)據(jù)請求方B設備計算能力有限難以承受全文加密后數(shù)據(jù)解密的計算開銷，且首次請求數(shù)據(jù)時不具有最高質量數(shù)據(jù)的請求權限（例如B前期只擁有低質量數(shù)據(jù)的使用權限）。之后B通過正常渠道獲得了數(shù)據(jù)的完全權限（例如B通過付費獲得了數(shù)據(jù)的完全權限），第二次請求相同數(shù)據(jù)。

如圖3、4所示加密傳輸方案可以簡述為：首次傳輸時加密數(shù)據(jù)的高m+n位，對高m位和次高n位分別采用不同的加密算法和密鑰進行加密，根據(jù)接受者當前權限只將高m位的加密方式和密鑰交付給接收方，接收方可部分解密獲得低質量數(shù)據(jù)；接收方獲得完全權限后第二次請求數(shù)據(jù)時，才將次高n為的加密方式和密鑰交付給接收方。

方案分析

1）數(shù)據(jù)加密全過程中只對部分數(shù)據(jù)加密，其中采用較高密碼強度的AES算法加密原數(shù)據(jù)中最重要部分，采用較高執(zhí)行速度的RC4算法加密原數(shù)據(jù)中次重要部分。大大提高了執(zhí)行效率，同時保證了較好的加密強度和效果；

2）首次加密傳輸過程就完成了所有數(shù)據(jù)的交付，資源所有者A收到請求時，不需要對原數(shù)據(jù)進行處理來生成不同質量版本的數(shù)據(jù)，只在交付密鑰和加密方式時有所保留即可控制被交付數(shù)據(jù)的質量；且基于首次加密傳輸?shù)姆椒?，第二次加密傳輸過程中，A、B雙方無需進行數(shù)據(jù)資源的傳輸，僅交互極少量的密鑰和加密方式即可完成任務。

圖3　初次數(shù)據(jù)加密傳輸流程Fig.3　Initial data encryption and transmission process

圖4　第二次數(shù)據(jù)加密傳輸流程Fig.4　The second time of data encryption and transmission process

4　實驗結果

應用單一加密算法的傳統(tǒng)全文加密實驗：（測試文件：lena，512*512pixel，263，222字節(jié)）

圖5　全文加解密Fig.5　Full encryption and decryption

基于安全策略的動態(tài)數(shù)據(jù)加密試驗：

由實驗結果可見，本方案僅加密數(shù)據(jù)總量中最重要的25%剩余部分保持為明文。與全文加密相比加密效果降低幅度很?。▓D5左2、圖6左2），加密時間與AES全文加密相比縮短了84%、與RC4全文加密相比縮短了45%，此外還提供了對部分解密的數(shù)據(jù)質量進行控制的功能（圖6右2）。

圖6　動態(tài)加解密Fig.6　Dynamic encryption and decryption

表1　全文/動態(tài)加解密效率Tab.1 Full and dynamic encryption/decryption efficiency

5　結束語

對數(shù)據(jù)進行加密是保證數(shù)據(jù)在存儲和傳輸過程中安全性的主要手段，然而當數(shù)據(jù)量較大時全文加密的方式會帶來較大的計算資源、能源消耗和時間開銷。但現(xiàn)有的選擇性加密方法大多格式依賴性過強，無法應用于不具有復雜編碼格式的無損原始數(shù)據(jù)。本文對此類數(shù)據(jù)進行了研究，通過位平面分解的方法區(qū)分出數(shù)據(jù)中重要性不同的部分，提出了一種采用多種密碼算法對數(shù)據(jù)進行動態(tài)加密的方法，并在該方法的基礎上提出了一種基于安全策略的數(shù)據(jù)加密傳輸方案。實驗證明本方法既保證了較好的加密效果，同時顯著提高了加密效率。

［1］Weerasinghe T D B.Secrecy and performance analysis of symmetric key encryption algorithms［J］.International Journal of Information and Network Security（IJINS），2012，1（2）:77-87.

［2］Nadeem A，Javed M Y.A Performance Comparison of Data Encryption Algorithms［J］.Information and Communication Technologies，2005.ICICT 2005.First International Conferenceon，2005:84-89.

［3］毛宇.面向移動云計算的數(shù)據(jù)安全保護技術研究 ［D］.廣州：廣東工業(yè)大學，2013.

［4］陳勇，沙愛軍.AES在MPEG-4視頻加密中的應用［J］.電力系統(tǒng)通信，2006，27（2）:54-58.

［5］葛龍，廉士國，孫金生，等.基于參數(shù)敏感性的MP3音頻選擇加密方案［J］.計算機應用研究，2006，10:122-127.

［6］鄧紹江，李艷濤，張岱固，等.一種基于混沌的JPEG2000圖像加密算法［J］.計算機科學，2009，36（5）:273-275.

Research on dynamic encryption based on security policy

ZHANG Bo-yong，HE Jing-sha
（School of Software Engineering，Beijing University of Technology，Beijing 100124，China）

Data encryption is an effective measure to ensure the data security.However，the traditional way is to choose an encryption algorithm，then using this algorithm to encrypt the whole data.There is a big difference in performance of different terminal devices.Mobile devices such as smart phone due to size restrictions，computing power and energy supply is very limited，cannot afford the full encryption computation and energy overhead.Therefore，this paper presents a dynamic selective encryption method.Dynamically select encryption algorithm to encrypt part of the data.And proposed a data encryption transmission scheme based on security policy on the basis of the method.Both to ensure a high security strength，while reducing the encryption overhead and improves the encryption efficiency.

data encryption；dynamic selection；partial encryption；security policy

TN918

A

1674－6236（2016）05-0019-03

2015-03-27稿件編號：201503395

張伯雍（1986—），男，北京人，碩士研究生。研究方向：軟件工程理論、技術與應用。