唐衛(wèi)國,廖大強
(1.廣東工程職業(yè)技術學院 信息工程學院,廣州 510520;2.廣東南華工商職業(yè)學院 信息工程與商務管理學院,廣州 510507)
自動測試與控制系統(tǒng)是云計算環(huán)境下虛擬儀器編程語言LabWindows/CVI的重要研究領域之一[1],而LabWindows/CVI是National Instruments公司向市面推出的一套面向自動化測量控制領域的交互式C語言開發(fā)平臺,NI公司推出的一系列基于電腦客戶端PCI總線的云計算環(huán)境下數據采集卡,在LabWindows/CVI軟件開發(fā)平臺上控制云計算環(huán)境下各種數據的采集卡均需要網絡數據采集驅動程序的支持[2-3]。NI公司為其推出的全部網絡數據采集卡提供了專業(yè)的驅動支持程序,能夠實現NI公司網絡數據采集卡的實時操作,為后續(xù)云計算環(huán)境下數據控制軟件的設計開發(fā)提供方便,用戶可以節(jié)省開發(fā)數據采集卡驅動程序的成本[4]。它的操作的核心是ANSI C,同時將功能強大、靈活性好的C語言平臺與云計算環(huán)境下的數據采集、處理、分析和控制的自動化測量控制專業(yè)化工具完美的融合[5]。由于它的集成化軟件開發(fā)平臺、交互式編程方式簡單、豐富多樣的控制元件以及庫函數,極大提高C語言的性能,為熟知和利用C語言開發(fā)的工作人員建立更加完善的云計算環(huán)境安全檢測系統(tǒng)、云計算安全自動測量環(huán)境、云計算環(huán)境下數據的采集系統(tǒng)、數據采集過程監(jiān)控系統(tǒng)等提供一個更為理想的軟件開發(fā)平臺[6]。為保證網絡數據傳輸過程中數據的保密性、完整性以及流暢性,需要對云計算環(huán)境安全框架進行研究。目前的云計算環(huán)境安全框架系統(tǒng)設計方法主要是利用恩尼格碼加密技術和分割二進制碼技術實現當前云計算環(huán)境數據的安全傳輸與通信[7]。存在云計算環(huán)境下網絡節(jié)點能量開銷較大,且數據安全性判斷平均準確率較低的問題。降低網絡節(jié)點能量的開銷,提高數據安全性判斷準確率,引起了眾多學者的廣泛關注,在實際應用過程中提出一系列行之有效的方法。
文獻[8]提出一種基于生物免疫原理的云計算環(huán)境安全框架系統(tǒng)設計方法,首先利用生物免疫原理,建立云計算環(huán)境網絡數據入侵特征庫;然后引入粗糙集理論解決云計算環(huán)境中網絡信息的不確定性與不完整性,建立云計算環(huán)境安全框架。該方法雖然提高云計算環(huán)境中網絡入侵檢測率,但檢測準確性較低。文獻[9]提出一種基于網絡編碼技術的云計算環(huán)境安全框架系統(tǒng)設計方法,首先利用網絡編碼技術計算接收到的云計算環(huán)境下網絡數據包的線性相關性,判斷其是否為非創(chuàng)新包;然后檢測該網絡數據包是否為污染包;再利用抗熵攻擊與污染攻擊的云計算環(huán)境網絡數據包過濾算法創(chuàng)建云計算環(huán)境安全框架數學模型。該方法無法有效地防御云計算環(huán)境中的惡意網絡攻擊,增加了網絡節(jié)點的能量開銷。文獻[10]提出了一種基于數字封信技術的云計算環(huán)境安全框架系統(tǒng)設計方法,首先將密碼學的三大分支,即非對稱加密機制、對稱加密機制以及數字簽名技術的優(yōu)點進行有機結合;然后利用數據加密標準算法與數據高級加密標準算法設計出能夠實現云計算環(huán)境下數據安全傳輸的系統(tǒng)框架。針對上述問題,本文提出一種基于LabWindows的云計算環(huán)境安全框架系統(tǒng)設計方法,實驗結果證明,所提方法在網絡入侵頻發(fā)的情況下能夠節(jié)省網絡節(jié)點能耗,且對網絡數據安全性判斷準確率較高。
首先運用LabWindows對云計算環(huán)境下的數據進行采集,然后利用證據信任度求取算法對云計算環(huán)境下的網絡數據安全性進行判斷。詳細操作過程如下:
DS證據理論要求證據在云計算環(huán)境下的所有命題產生一個信任度即BBA。如果Θ表示云計算環(huán)境下的網絡數據,云計算環(huán)境下的網絡數據安全函數m:2Θ→[0,1]滿足以下條件:
m(Φ)=0
(1)
(2)
式中,m(l)表示云計算環(huán)境下各個時間網絡節(jié)點的時間信息l在證據理論下的信任度BBA。
根據上式,選取用于判斷云計算環(huán)境下網絡節(jié)點安全性的證據,包括網絡時鐘偏移量、網絡路徑延遲以及網絡路徑延遲變化,與其相對應的證據理論信任度mi(l)的計算過程分別如下:
(1)云計算環(huán)境下網絡時鐘偏移量證據理論信任度m1(l)。假設云計算環(huán)境下可信網絡平臺時鐘服務器的布置是按照網絡拓撲結構進行的,其網絡流量與網絡路徑同時發(fā)生變化的可能性極小,云計算環(huán)境下的網絡時鐘偏移通常情況下在真實值附近。則云計算環(huán)境下網絡時鐘偏移量證據理論信任度m1(l)的計算公式如下;
(3)
其中:φi表示云計算環(huán)境下網絡數據對應時間網絡節(jié)點i的時間偏移值;φj表示云計算環(huán)境下網絡數據對應時間網絡服務器節(jié)點j的時間偏移值;εi表示云計算環(huán)境下網絡服務器節(jié)點i的時間偏移系數;ε表示云計算環(huán)境下網絡節(jié)點的時間偏移系數;n表示云計算環(huán)境下利用可信網絡平臺NIP同步算法計算出的其他網絡服務器節(jié)點的時間數據信息。
(2)云計算環(huán)境下網絡路徑延遲證據信任度m2(l)。根據最小時延原理,云計算環(huán)境下服務器網絡路徑延遲越小,網絡時間同步誤差減小的可能性越大。則云計算環(huán)境下網絡路徑延遲證據信任度m2(l)的計算表達式為:
(4)
其中:δi代表云計算環(huán)境下對應時間的網絡服務器節(jié)點i的路徑延遲;β代表云計算環(huán)境下網絡節(jié)點的路徑延遲系數;βi代表云計算環(huán)境下網絡節(jié)點i的路徑延遲系數。
(3)云計算環(huán)境下網絡路徑延變化證據理論信任度m3(li)。同理,根據最小時延原理,相對于云計算環(huán)境下網絡最小路徑延遲,如果網絡路徑延遲變大,網絡時間同步誤差減小的可能性越大。則云計算環(huán)境下網絡路徑延變化證據理論信任度m3(li)的計算公式為:
(5)
(6)
式中,δim表示云計算環(huán)境下網絡數據對應時間網絡服務器節(jié)點i的目前最小路徑延遲;η表示云計算環(huán)境下網絡路徑證據理論信任度系數;ηi表示在云計算環(huán)境下網絡節(jié)點i的路徑證據理論信任度系數;wi表示云計算環(huán)境下3個時鐘證據理論信任度BBA的比例系數,且它們3個的和為1。
利用證據理論的合成規(guī)則,對上述3個云計算環(huán)境下網絡時鐘證據理論信任度mi(l)進行合成計算,其表達式為:
(7)
根據上述公式(7),獲得云計算環(huán)境下各個服務器網絡時間信息的證據理論信任度m(l)。如果云計算環(huán)境下的某一時間段服務器網絡時間信息證據理論信任度m(l)低于預設的門限值ζ,則判斷該時段內的云計算環(huán)境下的網絡數據存在安全隱患。
在上述云計算環(huán)境下網絡數據安全判斷結果的基礎上,將異常漂移檢測器與惡意節(jié)點ID號過濾器有機結合,剔除云計算環(huán)境中的惡意攻擊數據。具體操作過程如下:
FISP(泛洪時間同步協議)利用一次元回歸法估計云計算環(huán)境下網絡節(jié)點本地時鐘與網絡標準時鐘的時間偏移程度,并在時間每秒末尾對云計算環(huán)境下網絡節(jié)點本地時間進行補償,從而提高網絡數據時鐘的同步精度。則云計算環(huán)境下網絡節(jié)點本地時鐘與網絡標準時鐘時間關系的表達式為:
(8)
其中:t表示云計算環(huán)境下網絡節(jié)點本地時間;T表示云計算環(huán)境下網絡標準時間;云計算環(huán)境下網絡時間偏移程度通常用漂移率來體現,假設d表示云計算環(huán)境下時鐘漂移率2個時鐘之間時間差的速率,在穩(wěn)定的云計算環(huán)境下,網絡傳感器節(jié)點的時鐘漂移率也是處于相對穩(wěn)定的狀態(tài),此時d的取值范圍需滿足以下條件:
(9)
式中,ρ表示云計算環(huán)境下網絡時鐘時間差系數。
根據上述公式(9),當云計算環(huán)境下傳感器網絡中的節(jié)點處于安全穩(wěn)定且同步的情況下,每個網絡節(jié)點的時鐘漂移率均為一個相對穩(wěn)定的值。由于云計算環(huán)境下網絡中的每個節(jié)點都有一個穩(wěn)定卻不同于其他網絡節(jié)點的時鐘漂移率,則將該時鐘漂移率視為云計算環(huán)境下網絡節(jié)點的唯一標識ID。云計算環(huán)境下的同一個網絡節(jié)點在每個同步周期測量獲得的網絡時鐘漂移率之間的偏差程度極小,通常情況下不大于10-6。
對上述計算進行進一步分析可知,當云計算環(huán)境下的網絡標準時間(即網絡發(fā)送時間標)T被網絡攻擊惡意篡改,則云計算環(huán)境下的時鐘漂移率d會出現明顯偏差。將異常時鐘漂移率檢測器與惡意節(jié)點ID號過濾器有機結合,并加入云計算環(huán)境中,利用各個網絡節(jié)點在安全同步狀態(tài)下具有唯一固定的且不同于其他網絡節(jié)點的時鐘漂移率,檢測受到網絡惡意攻擊而接收到的云計算環(huán)境下的網絡標準時間,即網絡發(fā)送時間標,同時將云計算環(huán)境中錯誤的同步時間數據信息丟棄,重新接收其他相鄰節(jié)點發(fā)送的同步數據信息。如果云計算環(huán)境下的網絡節(jié)點連續(xù)2次發(fā)送錯誤的網絡標準時間,則需要將惡意網絡節(jié)點ID號過濾淘汰,加入云計算環(huán)境下的網絡黑名單中,并提示其他相鄰網絡節(jié)點拒收來自該惡意攻擊節(jié)點的同步數據信息,以減少云計算環(huán)境下的網絡開銷。
為實現上述功能,過濾掉惡意網絡節(jié)點發(fā)送的同步數據信息,需要對云計算環(huán)境中網絡原始同步信息的數據包格式進行適當修改,同時在云計算環(huán)境中的網絡同步數據信息中添加發(fā)送惡意節(jié)點的ID以及黑名單。
當云計算環(huán)境中各個網絡節(jié)點時鐘同步一定周期后,時鐘漂移率基本處于穩(wěn)定狀態(tài),且隨著同步的周期越多,其精度越高,穩(wěn)定性能越好。當時鐘漂移率穩(wěn)定時,在一定周期內創(chuàng)建一個記錄各個網絡節(jié)點時鐘漂移率的平均值存儲表M。并通過實驗結果分析,確定云計算環(huán)境下的網絡時鐘漂移率范圍是±θ,則時鐘漂移率的閾值范圍計算表達式為:
-θ≤dthresh-old≤Mn+θ
(10)
其中:n表示云計算環(huán)境下時鐘漂移周期數。
根據上述公式(10),每個周期計算得到的網絡時鐘漂移率dn都需要進入時鐘漂移率的平均值存儲表M中進行判定。如果當前周期的網絡時鐘漂移率在閾值范圍內,則接收此次云計算環(huán)境下的網絡同步數據信息并進行數據更新;反之,則丟棄該數據信息,重新接收云計算環(huán)境下其他相鄰網絡節(jié)點的同步數據信息。
基于身份的云計算環(huán)境下網絡數據安全算法是利用數字證書對云計算環(huán)境下的客戶端與服務器進行身份認證,確保云計算環(huán)境下網絡數據的安全性。具體步驟如下:
在云計算環(huán)境下的橢圓曲線中使用的是有限域,GF(q)表示云計算環(huán)境下q階有限域,也可記作Fq,則云計算環(huán)境下有限域F上的維爾斯特拉斯函數方程表達式如下:
E:Y2Z+a1XYZ+a3YZ2=X3+a2X2Z+
a4XZ2+a6Z3
(11)
F(X,Y,Z)=Y2Z+a1XYZ+a3YZ2-X3-
a2X2Z-a4XZ2-a6Z3
(12)
式中,X、Y、Z均表示有限域F上的維爾斯特拉斯函數隨機變量;ai′∈F,(X,Y)∈F2且在云計算環(huán)境下的橢圓曲線上不存在非奇異點,則稱集合E(F)表示為云計算環(huán)境下有限域F上的橢圓曲線,其表達式如下:
E(F)={(X,Y)|(Y,Z)}∪{0}
(13)
式中,0表示云計算環(huán)境下橢圓曲線上的無窮遠點;如果a1,a2,a3,a4,a5,a6不全部為0時,云計算環(huán)境下該橢圓曲線是非奇異的,該橢圓曲線上的所有點集合即為橢圓曲線,則云計算環(huán)境下橢圓曲線的雙線性映射定義如下;
假設G1與G2是兩個在云計算環(huán)境下大素數p具有q階有限域的循環(huán)群。G1表示云計算環(huán)境下有限域Fp上的橢圓曲線點群;G2表示云計算環(huán)境下有限域Fp2上的橢圓曲線點子群。由此G1組成一個云計算環(huán)境下加法群面G2的乘法群。如果對于所有的云計算環(huán)境下網絡數據P,Q∈G1,且a,b∈Z,則云計算環(huán)境下網絡數據的線性映射表達式為:
e(aP,bQ)=e(P,Q)ab
(14)
根據式(14),對云計算環(huán)境下網絡數據安全身份認證進行運算,主要分為數字簽名與身份驗證兩部分:
ra=kQA
(15)
ua=H2(e(dId,kQs)
(16)
ta=kp
(17)
sa=dId+kr
(18)
式中,dId代表云計算環(huán)境下網絡數據私鑰;s代表云計算環(huán)境下網絡數據的主密鑰;Id代表云計算環(huán)境下網絡數據的公鑰;dId代表云計算環(huán)境下網絡數據的解密私鑰;ta代表云計算環(huán)境下網絡數據加密的密文;ra代表云計算環(huán)境下網絡數據對原文生成的新密文;QA代表哈希運算。
根據上述公式(15)~(18),將云計算環(huán)境下網路數據自身的身份Id,ta,ra以及數字簽名sa發(fā)送給網絡安全中心。
云計算環(huán)境下網路數據的安全驗證階段:網絡安全中心收到信息后,開始對發(fā)送者的身份信息進行驗證,驗證表達式為:
e(P,dId)=e(Ppub,QA)*e(ta,ra)
(19)
如果上述公式(19)成立,則證明數字簽名有效,身份認證通過且合法;如果不成立,則證明身份認證失敗,云計算環(huán)境下的網絡會自動斷開連接,保護云計算環(huán)境的安全運行。
綜合上述計算,利用LabWindows設計云計算環(huán)境安全框架,如圖1所示。
圖1 基于LabWindows的云計算環(huán)境安全框架
從圖1中可以看出,云計算環(huán)境安全框架系統(tǒng)包括以下4個部分:一是基于LabWindows的云計算環(huán)境數據采集模塊;二是云計算環(huán)境安全性判斷模塊;三是云計算環(huán)境下的網絡數據過濾器,包括異常漂移檢測器和惡意節(jié)點ID號過濾器;四是云計算環(huán)境安全驗證模塊。
利用上述設計的基于LabWindows的云計算環(huán)境安全框架能夠保證云計算環(huán)境下網絡數據傳輸與通信的安全性。
實驗仿真軟件環(huán)境為NS2,300M*300M的區(qū)域內布置800個網絡節(jié)點和10個基站,每個網絡節(jié)點的原始能量開銷為3J,網絡基站是能夠攜帶較多能量的網絡節(jié)點,可以不考慮其能量開銷問題,只考慮云計算環(huán)境下的普通節(jié)點能量開銷。
實驗仿真的硬件環(huán)境為惠普筆記本電腦,Windows10操作系統(tǒng),顯卡型號是GTX1050,硬盤內存為1 T,內存容量為8 GB,顯存容量為2 GB。實驗使用LabWindows進行開發(fā)設計實現。實驗數據來源于云計算環(huán)境下的隨機一組網絡數據,中途的惡意網絡入侵次數有50次。
為驗證本文所提方法的有效性,對云計算環(huán)境安全框架系統(tǒng)設計方法的能量開銷進行分析。主要針對云計算環(huán)境中處理器CPU與射頻模塊(RF)的能量開銷進行分析。
在沒有設計出云計算環(huán)境安全系統(tǒng)框架的情況下,網絡節(jié)點的能量開銷分布數據如表1所示。其中,能量單位表示為μJ;網絡消息長度單位表示為byte,云計算環(huán)境下處理器表示為E_CPU;云計算環(huán)境下射頻模塊表示為E_RF;云計算環(huán)境下網絡節(jié)點的整體能量開銷表示為E_Sum。
表1 無安全服務時網絡節(jié)點的能量開銷分布
根據表1可知,云計算環(huán)境下網絡節(jié)點上的數據信息處理程序相對簡單,對于上述的4種長度消息E_CPU能量開銷僅占網絡節(jié)點整體能量開銷的1.2%;而48%的能量被云計算環(huán)境下的射頻模塊部分E_RF消耗。當云計算環(huán)境下的網絡消息長度增加時,網絡處理器E_CPU的能量開銷只有細微的增加;而云計算環(huán)境下的射頻模塊E_RF能量開銷卻發(fā)生明顯變化。對于10~40byte的網絡消息長度,云計算環(huán)境下的射頻模塊部分E_RF的能量消耗隨著網絡消息長度的變化呈線性增長。當網絡消息的長度從30byte增加到40byte時,由于云計算環(huán)境下XMesh協議規(guī)定的數據包最大負載量是37byte,傳送40byte的網絡數據需要消耗較大的能量懲罰,云計算環(huán)境下的射頻模塊部分E_RF的能量消耗增加了64.2%。
為了驗證本文所提方法的有效性,采用文獻[8]、文獻[9]方法與本文方法對云計算環(huán)境中惡意攻擊次數與網絡節(jié)點能量變化之間的關系,分析結果如圖2所示。
圖2 云計算環(huán)境中惡意入侵次數與網絡節(jié)點能量變化之間的關系
根據圖2可以看出,文獻[8]方法與文獻[9]方法的網絡節(jié)點能量開銷隨著云計算環(huán)境中惡意入侵次數的增加呈現上升趨勢,無形中造成了云計算環(huán)境下網絡節(jié)點的能量浪費;而本文方法的網絡節(jié)點能量開銷隨著云計算環(huán)境中惡意入侵次數的增加逐漸下降且趨于平穩(wěn)狀態(tài),節(jié)省云計算環(huán)境下網絡節(jié)點的能量消耗。
為了進一步驗證本文所提方法能夠保證云計算環(huán)境的安全,具有良好的性能,利用1.2節(jié)中的網絡時鐘漂移率閾值θ對云計算環(huán)境下網絡數據安全性判斷準確率的影響進行分析,分析結果如圖3所示。
圖3 云計算環(huán)境下數據安全判斷準確率
定義云計算環(huán)境下網絡數據安全性判斷準確率為:云計算環(huán)境下被準確接收并進行同步更新的數據信息/云計算環(huán)境下的所有數據信息。
從圖3中可以看出,當網絡時鐘漂移率閾值θ=-0.2時,云計算環(huán)境下網絡數據安全性判斷平均準確率為20%左右;當網絡時鐘漂移率閾值θ=0.3時,云計算環(huán)境下網絡數據安全性判斷平均準確率為45%左右;而當網絡時鐘漂移率閾值θ=0.5時,云計算環(huán)境下網絡數據安全性判斷平均準確率在75%左右,由此可知,只有將網絡時鐘漂移率閾值θ控制在
[0.3,0.5]區(qū)間內,能夠接收此次云計算環(huán)境下的網絡同步數據信息并進行數據更新,實現云計算環(huán)境下的數據安全性準確判斷。
基于前面闡述的方法在實際應用中產生的問題,提出一種基于LabWindows的云計算環(huán)境安全框架系統(tǒng)設計方法,節(jié)省云計算環(huán)境下網絡節(jié)點的能量開銷,提高網絡數據安全性判斷準確率的同時,為今后不斷改進云計算環(huán)境下網絡數據的加密技術,以及不斷完善云計算環(huán)境安全框架、優(yōu)化安全框架系統(tǒng)性能提供良好的前提基礎,具有重要的發(fā)展意義。
[1] 王 棟, 陳傳鵬, 顏 佳,等. 新一代電力信息網絡安全架構的思考[J]. 電力系統(tǒng)自動化, 2016, 40(2):6-11.
[2] 任江偉, 韓躍龍. 基于信息融合的網絡安全態(tài)勢評估模型[J]. 計算機研究與發(fā)展, 2015, 46(9):353-362.
[3] 李方偉, 張新躍, 朱 江,等. 基于信息融合的網絡安全態(tài)勢評估模型[J]. 計算機應用, 2015, 35(7):1882-1887.
[4] 李方偉, 鄧 武, 朱 江. 一種基于復雜網絡的網絡安全態(tài)勢預測機制[J]. 計算機應用研究, 2015, 32(4):1141-1144.
[5] 仵志鵬, 黃志球, 王珊珊,等. 一種基于故障擴展SysML活動圖的安全性驗證框架研究[J]. 計算機科學, 2015, 42(7):222-228.
[6] 劉哲元, 徐 雋, 汪 興,等. 基于用戶意圖的網絡流量授權安全框架[J]. 小型微型計算機系統(tǒng), 2016, 37(1):114-118.
[7] 劉哲元, 徐 雋, 汪 興,等. 一種基于虛擬機自省的安全檢測框架[J]. 計算機工程, 2016, 42(3):182-187.
[8] 陸耿虹, 馮冬芹. 工控網絡安全態(tài)勢感知算法實現[J]. 控制理論與應用, 2016, 33(8):1054-1060.
[9] 李方偉, 張新躍, 朱 江,等. 基于APDE-RBF神經網絡的網絡安全態(tài)勢預測方法[J]. 系統(tǒng)工程與電子技術, 2016, 38(12):2869-2875.
[10] 黃海軍. 基于云計算的網絡安全評估[J]. 電子設計工程, 2016, 24(12):115-117.