謝金濤，許曉賦

(1.三明學(xué)院 教育與音樂學(xué)院，福建 三明，365004；2.三明學(xué)院 機(jī)電工程學(xué)院，福建 三明，365004)

步入21世紀(jì)后，人們對通信網(wǎng)絡(luò)的依賴度變多。在通信網(wǎng)絡(luò)貫穿于日常生活之中，人們使用通信網(wǎng)絡(luò)便可獲取更多非接觸式信息。通信網(wǎng)絡(luò)的普及加快了生活節(jié)奏，而因?yàn)楹诳图夹g(shù)的出現(xiàn)，通信網(wǎng)絡(luò)也出現(xiàn)被異常入侵的問題[1-3]。此時(shí)，防火墻、入侵檢測技術(shù)和漏洞掃描技術(shù)等也相應(yīng)出現(xiàn)，通信網(wǎng)絡(luò)防御變成近年來網(wǎng)絡(luò)安全保護(hù)領(lǐng)域中的熱點(diǎn)問題。

很多文獻(xiàn)對此問題均進(jìn)行深入研究，如文獻(xiàn)[4]提出基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法，該方法對船舶通信網(wǎng)絡(luò)具有較好的加密效果，而當(dāng)密鑰長度存在變化時(shí)，加密性能有待驗(yàn)證；文獻(xiàn)[5]提出基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法，該方法的加密性能更為顯著，但是加密效率和空間開銷還需要進(jìn)一步優(yōu)化。

伴隨科學(xué)技術(shù)的快速發(fā)展，通信網(wǎng)絡(luò)入侵技術(shù)也在不斷更新，在此情況下，使用傳統(tǒng)的防火墻、入侵檢測技術(shù)保護(hù)通信網(wǎng)絡(luò)安全也不再受用[6]。AES算法表示高級加密標(biāo)準(zhǔn) （advanced encryption standard，AES），又稱Rijndael加密法，是分組對稱加密方法的一種，其具有加密效率顯著、安全性顯著的應(yīng)用優(yōu)勢，在數(shù)據(jù)加密問題中較為常用。在傳統(tǒng)的電子密碼本模式中，AES算法的種子密鑰不會(huì)出現(xiàn)變化，各組明文分組使用一致的初始密鑰。對通信網(wǎng)絡(luò)防御環(huán)境中敏感數(shù)據(jù)進(jìn)行全同態(tài)加密時(shí)，種子密鑰被破解的概率較大，這對通信網(wǎng)絡(luò)數(shù)據(jù)安全存在負(fù)面影響[7]。

即使傳統(tǒng)AES算法能夠通過驗(yàn)證，可以防御已知密碼分析與入侵，而AES屬于迭代類密碼，入侵者能夠使用輪密鑰和種子密鑰的關(guān)聯(lián)性獲取種子密鑰的比特位，之后實(shí)施少量運(yùn)算的窮舉入侵，便能夠破解密文。公開加密算法的穩(wěn)定性與密鑰長度存在直接聯(lián)系，這對窮舉入侵提供了便利條件。

因此，本文深入研究通信網(wǎng)絡(luò)防御數(shù)據(jù)全同臺(tái)加密問題，提出基于AES算法的通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密方法，在通信網(wǎng)絡(luò)防御前提之下，先檢測通信網(wǎng)絡(luò)防御環(huán)境中的敏感數(shù)據(jù)，再對敏感數(shù)據(jù)進(jìn)行全同態(tài)加密，實(shí)現(xiàn)通信網(wǎng)絡(luò)敏感數(shù)據(jù)的深層次加密。

1 通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密

1.1 基于滑動(dòng)窗口分段提取通信網(wǎng)絡(luò)防御敏感數(shù)據(jù)

（1）滑動(dòng)窗口分段

在獲取通信網(wǎng)絡(luò)防御環(huán)境中數(shù)據(jù)的時(shí)間序列特征時(shí)，必須分割時(shí)間序列，以此不破壞數(shù)據(jù)的完備性。為此，本文使用滑動(dòng)窗口分段方法分割通信網(wǎng)絡(luò)防御環(huán)境中的網(wǎng)絡(luò)數(shù)據(jù)，此方法濾噪性顯著，能夠參照子序列變動(dòng)趨勢，調(diào)節(jié)步長、減少運(yùn)算量，以此減少敏感數(shù)據(jù)提取耗時(shí)[8]。

將通信網(wǎng)絡(luò)防御環(huán)境中運(yùn)行數(shù)據(jù)的時(shí)間序列設(shè)成Yj，時(shí)間序列的長度是C，一維時(shí)間序列是，是時(shí)間序列Yj在一維空間里的投影。時(shí)間序列Yj在通信網(wǎng)絡(luò)里的特征能夠描述成一維時(shí)間序列在通信網(wǎng)絡(luò)中的特征。在時(shí)間序列中設(shè)置滑動(dòng)窗口，V是窗口長度，一維時(shí)間序列里首個(gè)數(shù)據(jù)點(diǎn)和滑動(dòng)窗口的左側(cè)具有對齊性，使用步長m滑動(dòng)窗口，當(dāng)一維時(shí)間序列里具有的最后一個(gè)數(shù)據(jù)點(diǎn)和滑動(dòng)窗口右側(cè)對齊便可結(jié)束。各個(gè)滑動(dòng)窗口里子序列的特征信息提取方法如下：

則

（2）變步長

本文使用變步長的形式優(yōu)化數(shù)據(jù)特征提取效率。通信網(wǎng)絡(luò)防御環(huán)境中，極值點(diǎn)與目前點(diǎn)之間距離能夠使用子序列相應(yīng)的趨勢函數(shù)估計(jì)獲取。若趨勢函數(shù)不大于前期值，符號也不存在變化，此時(shí)需要縮小步長；若趨勢函數(shù)不小于前期值，符號也不存在變化，此時(shí)需要增大步長。步長是。

使用滑動(dòng)窗口的方法對數(shù)據(jù)實(shí)施平滑處理，去除通信網(wǎng)絡(luò)防御環(huán)境中數(shù)據(jù)里的噪聲，子序列值的總數(shù)能夠描述為滑動(dòng)窗口的長度。窗口較大，表示數(shù)據(jù)濾噪效果佳，為此必須按照實(shí)際狀況使用對應(yīng)大小的滑動(dòng)窗口[9-10]。

（3）匹配測度

時(shí)間序列Yj和其在一維空間投影獲取的一維時(shí)間序列特征值不存在差異[11]。時(shí)間序列Yj的特征向量GYj可分為q個(gè)特征向量。

設(shè)置q維時(shí)間序列是Ya、Yb，Ya、Yb的長度不存在差異；若各個(gè)分量在特征向量里存在一致性，表示兩個(gè)時(shí)間序列波形較為相似，則時(shí)間序列Ya、Yb的匹配測度r（a，b）是

其中第i個(gè)指標(biāo)在q維時(shí)間序列Ya中特征向量是yi；第i個(gè)指標(biāo)在q維時(shí)間序列Yb中特征向量是xi。是時(shí)間序列在一維空間里的投影。匹配測度r（a，b）顯著，表示時(shí)間序列Ya、Yb的相似性顯著，根據(jù)匹配測度r（a，b）便可獲取通信網(wǎng)絡(luò)防御環(huán)境中的敏感數(shù)據(jù)。

1.2 基于復(fù)合混沌序列的動(dòng)態(tài)密鑰AES加密的數(shù)據(jù)全同態(tài)加密方法

使用基于復(fù)合混沌序列的動(dòng)態(tài)密鑰AES加密的數(shù)據(jù)全同態(tài)加密方法[12]，實(shí)現(xiàn)通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密。此方法加密效率顯著，內(nèi)存占比較小，且運(yùn)算量較少，復(fù)雜度不高[13-14]。該方法的示意圖如圖1所示。

圖1 復(fù)合混沌序列的動(dòng)態(tài)密鑰AES加密

如圖1所示，此方法將Logistic與Tent混沌序列組合，建立復(fù)合的混沌序列，將其設(shè)成明文加密的初始動(dòng)態(tài)密鑰，對數(shù)據(jù)塊逐塊實(shí)施AES分組加密，以此獲取密文。全部明文數(shù)據(jù)塊均應(yīng)用差異的密鑰實(shí)施加密，以此實(shí)現(xiàn)一數(shù)據(jù)一密。因?yàn)楦鱾€(gè)明文密文對實(shí)際密鑰信息存在約束，入侵者就算得到多組明文密文，也不能破解混沌密鑰。

通信網(wǎng)絡(luò)防御環(huán)境中，數(shù)據(jù)全同態(tài)加密流程圖如圖2所示。圖2中具體步驟如下：

圖2 數(shù)據(jù)全同態(tài)加密流程圖

（1）混沌系統(tǒng)建立和參數(shù)初始化

先使用秘密信道或公鑰加密機(jī)制傳遞Logistic和Tent映射控制參數(shù)ψ與φ、Logistic和Tent映射控制參數(shù)初始值d0與e0、基本迭代次數(shù)M的私鑰。依次在加密與解密過程中建立參數(shù)一致的Logistic、Tent映射混沌序列。按照需加密明文的長度能夠獲取明文分塊參數(shù)，分塊參數(shù)分為分塊組數(shù)與分塊后剩余字節(jié)數(shù)。

（2）混沌序列獲取與二級制量化

將Logistic和Tent混沌序列分別實(shí)施M+m次迭代，實(shí)現(xiàn)數(shù)據(jù)的混沌序列離散化，依次可讓混沌參數(shù)和明文長度存在關(guān)聯(lián)性，明文特性在數(shù)據(jù)加密過程中十分重要。每加密一個(gè)數(shù)據(jù)塊，都把Logistic和Tent混沌序列迭代16次，各個(gè)混沌實(shí)數(shù)序列需保留小數(shù)據(jù)點(diǎn)后3位的整數(shù)，實(shí)現(xiàn)混沌二進(jìn)制序列量化[15]。Logistic和Tent混沌序列量化后的結(jié)果以交叉組合模式生成AES算法加密種子密鑰。

（3）AES動(dòng)態(tài)加密與尾端處理

使用第（2）步驟里獲取的AES算法加密種子密鑰，逐塊實(shí)施AES加密，獲取對應(yīng)密文塊，最后剩下的n個(gè)字節(jié)明文，直接使用Logistic、Tent混沌序列二進(jìn)制序列實(shí)施位運(yùn)算（也稱異或運(yùn)算），將運(yùn)算結(jié)果的前8位實(shí)施位運(yùn)算，獲取尾密文。把密文塊合并后連接尾密文，便可獲取和明文長度一致的復(fù)合混沌序列AES加密的密文，實(shí)現(xiàn)通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密。

2 實(shí)驗(yàn)分析

2.1 實(shí)驗(yàn)設(shè)置

為測試本文提出的基于AES算法的通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密方法有效性，在Dual-Core硬件平臺(tái)中進(jìn)行仿真實(shí)驗(yàn)。仿真軟件采用是NS2（network simulator,version 2），它是一種面向?qū)ο蟮木W(wǎng)絡(luò)仿真器，由UC Berkeley開發(fā)而成。它本身有一個(gè)虛擬時(shí)鐘，所有的仿真都由離散事件驅(qū)動(dòng)的。在此環(huán)境中構(gòu)建無線通信網(wǎng)絡(luò)場景，以基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法（參考文獻(xiàn)[4]所提方法）、基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法（參考文獻(xiàn)[5]所提方法）為對比，驗(yàn)證本文方法的加密性能。

2.2 加密效果測試

測試本文方法、基于混沌映射的數(shù)據(jù)加密算法和基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法三者在使用前后的無線通信網(wǎng)絡(luò)入侵效果。入侵模式詳情如表1所示。

表1 入侵模式

上述3種方法使用前后，無線通信網(wǎng)絡(luò)入侵情況如圖3所示。

圖3 三種方法使用前后的無線通信網(wǎng)絡(luò)入侵情況

圖3所示表明，本文方法、基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法和基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)加密前后，拒絕服務(wù)攻擊DOS（denial-ofservice）、來自遠(yuǎn)程的非授權(quán)訪問U2L（unauthorized access from a remote machine to a local machine）、非法獲得超級用戶權(quán)限U2R（unauthorized access to local superuser privileges by a local unprivileged user）、探測和掃描 Probe（surveillance and probing）四種入侵模式的入侵次數(shù)均得以降低，但對比之下，本文方法應(yīng)用后，四種入侵模式的入侵次數(shù)均為0，表示本文方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)加密后，無線通信網(wǎng)絡(luò)防御效果得以優(yōu)化，數(shù)據(jù)安全性提升。另外兩種方法應(yīng)用效果和本文方法相比，稍有遜色。

2.3 加密效率測試

在將密鑰長度依次設(shè)成128、256 bit的在此條件下，測試本文方法、基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法和基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)的加密效率。結(jié)果如圖4所示。

圖4 三種方法加密效率的測試結(jié)果

在圖4中，當(dāng)密鑰長度依次是128、256 bit時(shí)，本文方法、基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法、基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)加密時(shí)，加密耗時(shí)具有明顯差距，如本文方法的加密耗時(shí)都小于0.60 s，基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法、基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法的加密耗時(shí)都高于本文方法，由此可證，密鑰長度不同時(shí)，本文方法的加密效率最高。

2.4 空間開銷測試

當(dāng)密鑰長度依次設(shè)成128、256 bit時(shí)，將需加密的無線通信網(wǎng)絡(luò)防御數(shù)據(jù)量依次設(shè)成10、20、30、40、50 G，測試本文方法、基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法、基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)加密時(shí)，加密程序的空間開銷，結(jié)果如圖5所示。

圖5 三種方法加密時(shí)空間開銷測試結(jié)果

分析圖5可知，當(dāng)密鑰長度依次是 128、256 bit時(shí)，三種方法在加密 10、20、30、40、50 GB的無線通信網(wǎng)絡(luò)防御數(shù)據(jù)時(shí)，所用空間開銷均有所不同。不同密鑰長度中，本文方法加密所用空間開銷最大值依次是11、11 KB；基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法加密所用空間開銷最大值依次是60、61 KB；基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法所用空間開銷最大值依次是77、74 KB，對比可知，本文方法加密所用空間開銷最少。

3 結(jié)論

在電子商務(wù)、數(shù)字貨幣和網(wǎng)絡(luò)銀行等多種網(wǎng)絡(luò)業(yè)務(wù)的高速發(fā)展的背景下，數(shù)據(jù)安全保護(hù)十分重要。怎樣保護(hù)數(shù)據(jù)安全，讓數(shù)據(jù)不被隨意竊取、篡改、損壞是目前通信網(wǎng)絡(luò)領(lǐng)域中數(shù)據(jù)安全保護(hù)的核心問題研究方向。加密是把明文的可讀數(shù)據(jù)變換為密文，研究一種基于AES算法的通信網(wǎng)絡(luò)防御數(shù)據(jù)全同態(tài)加密方法，并在實(shí)驗(yàn)中，以仿真實(shí)驗(yàn)的形式測試本文方法的加密效果。經(jīng)實(shí)驗(yàn)測試可知，本文方法對無線通信網(wǎng)絡(luò)防御數(shù)據(jù)加密后，無線通信網(wǎng)絡(luò)防御效果得以優(yōu)化，數(shù)據(jù)安全性提升，且加密效率顯著，空間開銷較少。因此，與基于身份認(rèn)證的船舶通信網(wǎng)絡(luò)全同態(tài)加密方法、基于神經(jīng)網(wǎng)絡(luò)與復(fù)合離散混沌系統(tǒng)的雙重加密方法相比，本文方法更適用于通信網(wǎng)絡(luò)防御數(shù)據(jù)安全保護(hù)工作。