◆胡紹方 陳闖闖

基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術優(yōu)化

◆胡紹方 陳闖闖

（周口師范學院 河南 466001）

為提高數(shù)據(jù)交換的安全性，提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術優(yōu)化研究，首先以訪問樹結構屬性為基礎，構建加密方案，并以此為驗證依據(jù)，對接收到的信息交換請求進行驗證，以此提高網(wǎng)間數(shù)據(jù)交換的安全性，并進行了仿真試驗，試驗結果表明，所提方法在信息交換過程中丟包率基本穩(wěn)定在25%以內，并且驗證耗時始終穩(wěn)定在15s以內，有效提高了信息交換的安全性和效率，對于信息安全保障具有一定價值。

數(shù)據(jù)交換；屬性加密；加密方案；安全性

近些年，隨著科學技術的不斷發(fā)展，云計算開始逐漸被互聯(lián)網(wǎng)行業(yè)廣泛應用[1]。由于其可為用戶提供成本低、質量優(yōu)的服務，越來越多的用戶選擇在互聯(lián)網(wǎng)上進行數(shù)據(jù)存儲和計算。其中包括大量敏感信息[2]，一般情況下，敏感信息的存儲形式為非加密狀態(tài)，服務器控制關于其的訪問[3]。但當服務器信任降低，或遭到攻擊時，敏感信息極有可能被泄露。在此環(huán)境下，信息安全已經(jīng)成為云計算必須解決的問題[4]，其直接關乎其未來的發(fā)展。屬性加密作為一種新型的加密算法[5]，將屬性加密算法應用到云計算中解決安全性問題是十分可觀的。

基于此，本文提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術優(yōu)化研究。以訪問結構樹的屬性為基礎，進行加密，以此提高網(wǎng)間數(shù)據(jù)交換的安全性，并通過仿真試驗驗證了所提方法的性能，通過該研究，以期為數(shù)據(jù)交換領域提供有價值的參考。

1 基于屬性加密的數(shù)據(jù)交換技術

在基于屬性加密算法中，數(shù)據(jù)交換控制策略依賴于用戶、環(huán)境或數(shù)據(jù)本身的屬性。同時，也可以對數(shù)據(jù)文件進行加密。屬性加密算法以屬性為基礎，對數(shù)據(jù)交換進行控制，本文以訪問樹的結構屬性為基礎，對數(shù)據(jù)進行加密構建私鑰和密，以此對數(shù)據(jù)交換進行安全控制。

1.1 構建屬性加密方案

在對網(wǎng)間數(shù)據(jù)交換過程中，定義輸入數(shù)據(jù)為、公共參數(shù)為以及訪問樹結構為。那么，在對屬性進行加密時，首先，從數(shù)據(jù)交換的根節(jié)點開始，按照從上向下的順序，對訪問樹的節(jié)點建立多項式y

其中，多項式的次數(shù)

其中，k表示節(jié)點所在結構樹的層級位置。

對于非葉子節(jié)點，則存在

隨機選取其他d個節(jié)點。則密文的形式為

其中，表示是訪問樹結構內的所有節(jié)點數(shù)量。

當對應節(jié)點出現(xiàn)訪問請求時，通過對其密鑰與節(jié)點屬性密文的匹配程度進行判斷，將其作為數(shù)據(jù)交換的依據(jù)。

1.2 網(wǎng)間數(shù)據(jù)交換

在上述數(shù)據(jù)屬性加密的基礎上，對網(wǎng)間數(shù)據(jù)交換技術進行優(yōu)化，將屬性作為不同組織之間數(shù)據(jù)交換的判斷依據(jù)，以此提高數(shù)據(jù)安全性。其整體流程圖如圖1所示。

圖1 網(wǎng)間數(shù)據(jù)安全交換流程

首先，在訪問端提出數(shù)據(jù)交換請求后，被訪問端創(chuàng)建任務并提交給云計算環(huán)境，構建訪問樹和密鑰認證機制。利用被訪問網(wǎng)絡的輸入密鑰對請求屬性驗證前的數(shù)據(jù)進行預處理，主要包括，通過訪問樹驗證訪問端輸入的密鑰格式是否符合被訪問端的定義要求，以此過濾不能夠定義的任意子類訪問請求。另外，由于現(xiàn)階段網(wǎng)絡多采用分布式結構，其中，數(shù)據(jù)的大小存在一定限制，因此，本文將輸入的訪問請求文件進行分片，輸入為密鑰屬性塊。

在此基礎上，對輸入的密鑰屬性塊進行認證處理，并存儲到被訪問端中。屬性塊對應兩個文件分別為數(shù)據(jù)信息和元數(shù)據(jù)信息。其中，元數(shù)據(jù)信息文件屬性塊的ID、長度和生成時間戳。并且id用于標志訪問請求的數(shù)據(jù)塊，二者具有相同的Hash值，長度用于輸入主句和驗證數(shù)據(jù)之間的比較。

然后，把處理后的結果存儲到HDFS中，訪問樹節(jié)點讀取后作為訪問結構的輸入，并執(zhí)行訪問樹程序，輸出處理后的〈key，value〉結果，并將其寫入臨時文件中。如果在將輸出結果前，訪問樹節(jié)點上運行的任務出現(xiàn)崩潰，將在新節(jié)點上運行該任務，獲得新的輸出結果。

接下來，請求處理模塊接收到任務后，針對每個任務單獨指定分區(qū)。在每個分區(qū)中，包含與key關聯(lián)的value值，并將每個key關聯(lián)的記錄劃分至同一個分區(qū)。分區(qū)通過Partition配置進行控制，主要負責在多個請求的情況下訪問樹的結果由哪一個請求處理模塊處理，每一個請求處理模塊都會輸出相對應的文件，并在完成任務后刪除所有訪問樹的輸出結果。

最后，在請求處理模塊輸出的文件中，驗證是否已經(jīng)存在需要輸出的結果目錄，并判斷輸出的結果類型是否和加密屬性的密鑰配置一致，最后輸出結果總結。同時，為提高結果的可靠性，把輸出的結果存儲在HDFS中。

當輸出結果滿足密文中的訪問結構樹時，訪問端可以解密密文，進行數(shù)據(jù)交換。被訪問端不需要知道訪問端是誰，而訪問端只要符合訪問結構樹中的條件，則可以解密，進行數(shù)據(jù)交換。

2 仿真試驗

為測試所提方法的實際性能，本文進行了仿真試驗測試。同時，為提高試驗結果的可靠性，分別采用文獻[2]和文獻[3]提出的方法同時進行試驗。

2.1 試驗環(huán)境

在局域網(wǎng)下搭建網(wǎng)間信息交換仿真環(huán)境。設置三臺計算機，分別作為信息存儲中心，并在三個信息域下進行仿真，將三臺計算機以信息提供者的身份進行認證，其在收集信息資源的同時，完成信息儲存，并將信息的索引存入信息存儲中心。三臺計算機采用相同的處理器，均為Inter（R）Core（TM）i5-3660，CPU均為6.0G，操作系統(tǒng)選擇Ubuntudesktop-amd32。訪問端內存分配為1.0GB，被訪問端內存分配為4.0GB，中間授權機構內存分配1.0GB，具體的軟件開發(fā)環(huán)境如表1所示。

表1 試驗設置中軟件開發(fā)環(huán)境

2.2 試驗結果

在試驗環(huán)境下，首先分別采用三種方法對700條信息交換請求進行處理，并計算交換過程中的丟包率，其結果如圖1所示。

圖2 不同方法信息交換過程中的丟包率

從圖2中可以看出，對比文獻[2]和文獻[3]，本文方法在信息交換過程中，丟包率基本穩(wěn)定在2%以內，并且隨著決策數(shù)的增加，其逐漸趨于穩(wěn)定。這主要是因為所提方法以數(shù)據(jù)交換前的訪問樹結構屬性為基礎，完成數(shù)據(jù)的加密，提高的數(shù)據(jù)交換過程中的可控性，降低了丟包率。

在此基礎上，對比了三種方法對數(shù)據(jù)交換請求的處理時間，其結果如圖2所示。

從圖3中可以看出，對比文獻[2]和文獻[3]，隨著決策數(shù)量的增加，三種方法的耗時均有不同程度的增加，但本文方法始終在15s以內，相對于另外兩種方法，有明顯優(yōu)勢。這主要是因為在訪問請求驗證階段，所提方法將認證數(shù)據(jù)進行屬性劃分，以“屬性塊”的形式進行分別驗證，提高了效率。

圖3 不同方法信息交換過程中的耗時

3 結束語

隨著互聯(lián)網(wǎng)時代的到來，網(wǎng)上信息交換逐漸成為信息交互的主要方式，在此環(huán)境下，確保信息交換過程中的信息安全成了不可忽視的重點問題。本文提出基于屬性加密的網(wǎng)間數(shù)據(jù)安全交換技術優(yōu)化，以屬性加密為基礎，提出新的數(shù)據(jù)安全交換技術研究，并有效提高的信息的安全性的交換效率，對于該領域的研究具有一定的參考價值。

[1]陳良英. 基于屬性加密的計算機數(shù)據(jù)庫安全檢測工具的設計與運用[J]. 信息技術與網(wǎng)絡安全，2020，516（004）：34-39.

[2]趙榮康，孔祥瑞，梁蓉蓉. 不同安全等級網(wǎng)絡之間的數(shù)據(jù)交換方案研究與實現(xiàn)[J]. 信息安全研究，2020，006（004）：338-344.

[3]馬曉亮. 醫(yī)院跨網(wǎng)文件安全交換技術設計與實現(xiàn)方案[J]. 中國醫(yī)療設備，2021，036（002）：113-116.

[4]劉建華，鄭曉坤，鄭東，等. 基于屬性加密且支持密文檢索的安全云存儲系統(tǒng)[J]. 信息網(wǎng)絡安全，2019，000（007）：50-58.

[5]趙志遠，王建華，朱智強，等. 面向物聯(lián)網(wǎng)數(shù)據(jù)安全共享的屬性基加密方案[J]. 計算機研究與發(fā)展，2019，056（006）：160-171.