李 俊,唐智靈

(1. 廣西警察學院信息技術學院,廣西 南寧 530222;2. 桂林電子科技大學信息與通信學院,廣西 桂林 541004)

1 引言

互聯(lián)網(wǎng)應用場景[1]下,網(wǎng)絡鏈路每天都會產(chǎn)生大量的數(shù)據(jù),這些數(shù)據(jù)對網(wǎng)絡安全運行至關重要。由于網(wǎng)絡要不間斷地為用戶提供數(shù)據(jù)訪問服務,在此過程中可能會遇到網(wǎng)絡攻擊,導致網(wǎng)絡數(shù)據(jù)存在安全威脅,數(shù)據(jù)的安全訪問控制[2]就此被提上日程,成為互聯(lián)網(wǎng)行業(yè)亟待解決的問題。

文獻[3]提出基于區(qū)塊鏈的云存儲數(shù)據(jù)訪問安全控制算法,該方法通過自適應處理方法提取訪問數(shù)據(jù)的離散特征分量;再利用連續(xù)參數(shù)識別算法對特征重組,完成訪問數(shù)據(jù)的安全訪問。文獻[4]提出一種基于零信任的SDN網(wǎng)絡訪問控制方法,該方法基于零信任概念計算用戶入網(wǎng)數(shù)據(jù)信任度,調整訪問權限;建立完善的網(wǎng)絡用戶信任等級度量指標對用戶信任度實施度量;最后基于度量結果制定數(shù)據(jù)的安全訪問控制機制,實現(xiàn)數(shù)據(jù)的安全訪問控制。文獻[5]提出命名數(shù)據(jù)網(wǎng)中基于CP-ABE的訪問控制方法。該方法通過CP-ABE算法引入重加密模塊,協(xié)調訪問數(shù)據(jù)加密和權限撤銷;依據(jù)興趣包過濾機制,在網(wǎng)絡半可信緩存路由上實現(xiàn)細粒度訪問控制以及權限撤銷;最后將二者整合,構成數(shù)據(jù)安全訪問控制方案,實現(xiàn)數(shù)據(jù)的安全訪問控制。

上述方法由于沒有考慮到數(shù)據(jù)在鏈路中出現(xiàn)的抖動情況,沒有對鏈上數(shù)據(jù)中的丟包數(shù)據(jù)實施平滑處理,導致上述方法的數(shù)據(jù)安全訪問控制效果不佳,存在通信開銷和數(shù)據(jù)存儲開銷較大的問題。為解決上述方法在數(shù)據(jù)安全訪問控制過程中存在的問題,提出復雜網(wǎng)絡環(huán)境下鏈上數(shù)據(jù)安全訪問控制方法。

2 鏈上數(shù)據(jù)特征提取與存儲模型構建

在互聯(lián)網(wǎng)技術[6,7]為人們帶來巨大便利的同時,復雜的網(wǎng)絡環(huán)境也會滋生數(shù)據(jù)安全威脅的溫床,網(wǎng)絡中各種不確定因素會直面各種攻擊,從而給用戶帶來隱私泄露威脅,因此,在開展鏈上數(shù)據(jù)安全訪問控制之前,需要對復雜網(wǎng)絡環(huán)境以及數(shù)據(jù)特征、存儲結構展開具體分析。

2.1 鏈上數(shù)據(jù)特征分量提取

網(wǎng)絡的復雜性主要體現(xiàn)在互聯(lián)網(wǎng)結構復雜方面,復雜網(wǎng)絡環(huán)境具有交互性、匿名性等特點,網(wǎng)絡環(huán)境難以控制、秩序混亂。在復雜的網(wǎng)絡環(huán)境下,互聯(lián)網(wǎng)結構特性會直接影響互聯(lián)網(wǎng)的傳播速度以及傳播范圍,會出現(xiàn)大量的影響因素影響用戶的正確判斷[8]。正確的指標與錯誤的因素夾雜在一起,無法使用客觀的評價標準辨識,導致傳播環(huán)境復雜。依據(jù)上述分析結果可知,網(wǎng)絡復雜環(huán)境不僅是自身的結構復雜,傳播環(huán)境同樣會隨著互聯(lián)網(wǎng)[9]的不斷運行而愈加復雜。

根據(jù)復雜網(wǎng)絡環(huán)境所具備的特征,使用自適應處理方法,提取鏈上數(shù)據(jù)訪問過程的稀疏性分量。當數(shù)據(jù)的頻繁項E(r)大于p時,設定鏈上數(shù)據(jù)的頻繁項目候選集為X,在鏈上數(shù)據(jù)集中挖掘數(shù)據(jù)的所有項目集,以此獲取鏈上數(shù)據(jù)的期望效用值[10],過程如下式所示

(1)

式中,Oqw為鏈上數(shù)據(jù)期望效用值,p為數(shù)據(jù)頻繁集挖掘次數(shù),g為鏈上數(shù)據(jù)的聯(lián)合存儲特征。

通過計算出的數(shù)據(jù)期望效用值,獲取數(shù)據(jù)頻繁項的挖掘結果,從而建立鏈上數(shù)據(jù)的關系數(shù)據(jù)庫,過程如下式所示:

(2)

式中,Oβ為數(shù)據(jù)頻繁項的挖掘結果,S為建立的鏈上數(shù)據(jù)關系數(shù)據(jù)庫,δ為數(shù)據(jù)連接權重,k(r)為數(shù)據(jù)誤差系數(shù),γp為搜索系數(shù),γr為搜索誤差,β為常數(shù)。

根據(jù)建立的數(shù)據(jù)關系庫[11,12],對數(shù)據(jù)實施融合處理,獲取鏈上數(shù)據(jù)的特征分量,過程如下式所示

T=(1-ε)uD(r)(1-φ)h(r)+δu

(3)

式中,u為候選集數(shù)量,D(r)為誤差交集,T為數(shù)據(jù)特征分量,ε、φ均為數(shù)據(jù)融合因子。

2.2 鏈上數(shù)據(jù)存儲結構分析

為實現(xiàn)鏈上數(shù)據(jù)的安全訪問控制,需要基于上述網(wǎng)絡復雜環(huán)境分析結果與數(shù)據(jù)特征分量提取結果,開展鏈上數(shù)據(jù)存儲事務項特征分析,獲取數(shù)據(jù)的存儲結構模型。使用模糊參數(shù)分析方法,獲取鏈上數(shù)據(jù)的存儲聯(lián)合自相關特征分布函數(shù),過程如下式所示:

(4)

式中,E為數(shù)據(jù)的鏈上存儲結構,X(p,r)為自相關特征分布函數(shù),u為候選集。

依據(jù)上述獲取的特征分布函數(shù),對候選集u實施參數(shù)分析,獲取鏈上數(shù)據(jù)的存儲配置函數(shù),過程如下式所示:

(5)

式中,W(y)為獲取的鏈上數(shù)據(jù)存儲配置函數(shù),D(y)為數(shù)據(jù)庫交集,y為常數(shù)?；谏鲜鲇嬎憬Y果,使用分布式融合方法,建立網(wǎng)絡鏈上數(shù)據(jù)存儲的決策樹結構模型,具體如圖1所示。

圖1 網(wǎng)絡鏈上數(shù)據(jù)存儲決策樹結構模型

基于圖1可知,用戶登錄網(wǎng)絡鏈上數(shù)據(jù)庫后,進入控制面板,選擇操作界面實施權限管理。

3 鏈上數(shù)據(jù)安全訪問控制

以上述提取的鏈路數(shù)據(jù)特征分量為基礎,計算訪問數(shù)據(jù)控制參數(shù),并基于丟包率平滑器平滑處理鏈上數(shù)據(jù),最后根據(jù)訪問數(shù)據(jù)丟包率[13,14]調整結果,完成數(shù)據(jù)安全訪問控制。

3.1 鏈上訪問數(shù)據(jù)控制參數(shù)

設定鏈上數(shù)據(jù)訪問時,數(shù)據(jù)包的傳輸往返時間為twf,數(shù)據(jù)重新傳送的超時時間為tcs,以此計算數(shù)據(jù)訪問時數(shù)據(jù)流的最大發(fā)送速率,結果如下式所示:

(6)

式中,φ為數(shù)據(jù)丟包概率,ρ為訪問數(shù)據(jù)包的大小,L為最大發(fā)送速率。

基于上述數(shù)據(jù)訪問時數(shù)據(jù)流的最大發(fā)送速率,對鏈上數(shù)據(jù)訪問時,數(shù)據(jù)包傳輸往返時間、丟包事件概率以及數(shù)據(jù)包大小展開具體分析。

由于數(shù)據(jù)包接收的數(shù)據(jù)中存在訪問時間戳,因此,在數(shù)據(jù)反饋時需要通過時間戳計算訪問數(shù)據(jù)包的往返時間,過程如下式所示

sample(twf)=tfk-tsjc

(7)

式中,tsjc為訪問數(shù)據(jù)包的時間戳,tfk為數(shù)據(jù)包反饋時間,sample(twf)為獲取的樣本訪問數(shù)據(jù)包往返時間。

由于訪問網(wǎng)絡環(huán)境較為復雜,所以數(shù)據(jù)在訪問時的傳輸周期會有較大的差異性,造成數(shù)據(jù)發(fā)送速率波動,影響網(wǎng)絡整體使用效率。所以將具備衰變因子[15]的過濾器加入訪問數(shù)據(jù)包中,采用最小衰變因數(shù)的平滑方法重新計算數(shù)據(jù)包訪問時的傳輸往返時間,過程如下式所示

twf=η*sample(twf)+(1-η)-sample(twf)

(8)

式中,η為衰變因子。

為規(guī)避鏈上數(shù)據(jù)訪問過程中數(shù)據(jù)包丟包概率[16,17]出現(xiàn)較大波動,需要對丟包概率賦值處理,獲取網(wǎng)絡鏈上數(shù)據(jù)訪問的數(shù)據(jù)包平均丟失間隔,過程如下式所示

(9)

式中,J(1,m)為數(shù)據(jù)包丟失間隔,Ji為網(wǎng)絡中第i次丟失的數(shù)據(jù)包,m為網(wǎng)絡丟包次數(shù),μi為數(shù)據(jù)包權重。

若網(wǎng)絡鏈上數(shù)據(jù)訪問時,訪問數(shù)據(jù)包的數(shù)量較多,則會增加數(shù)據(jù)丟包間隔時間,因此,設定平均間隔內數(shù)據(jù)包數(shù)量為J0,計算數(shù)據(jù)訪問時最終的數(shù)據(jù)丟包的事件概率以及數(shù)據(jù)包平均丟失間隔,過程如下式所示

(10)

式中,φ為數(shù)據(jù)丟包的事件概率,J為數(shù)據(jù)包平均丟失間隔,bi為訪問數(shù)據(jù)包的歷史折扣因子。

3.2 鏈上數(shù)據(jù)安全訪問控制實現(xiàn)

數(shù)據(jù)訪問時,數(shù)據(jù)在鏈路中會出現(xiàn)抖動情況,因此,依據(jù)丟包率平滑器,平滑處理鏈上數(shù)據(jù),處理過程如下式所示

(11)

式中,?(n)為鏈上數(shù)據(jù)在時刻n的數(shù)據(jù)訪問丟包率,ι為數(shù)據(jù)包增加速率?；谏鲜鲇嬎憬Y果可辨識數(shù)據(jù)訪問時鏈路的訪問狀態(tài),為后續(xù)數(shù)據(jù)訪問安全控制提供基礎。

設定鏈上數(shù)據(jù)在時刻n的網(wǎng)絡訪問數(shù)據(jù)碼流的發(fā)送速率為Z(n),網(wǎng)絡發(fā)送端的數(shù)據(jù)最大發(fā)送速率為maxυ,通過上述計算得出的各項控制參數(shù),對鏈上數(shù)據(jù)訪問網(wǎng)絡時的速率變化展開調整,調整過程如下式所示:

(12)

式中,σ、?為鏈上數(shù)據(jù)在網(wǎng)絡訪問時的數(shù)據(jù)速率調整向量。

依據(jù)網(wǎng)絡數(shù)據(jù)傳輸速率以及網(wǎng)絡狀態(tài)計算結果,對速率向量展開實時調整,通過調整結果完成鏈上數(shù)據(jù)在復雜網(wǎng)絡環(huán)境下的安全訪問控制[18,19]。

4 實驗研究

為了驗證上述鏈上數(shù)據(jù)安全訪問控制方法的整體有效性,需要進行實驗測試。

4.1 實驗數(shù)據(jù)來源與指標設置

實驗所用數(shù)據(jù)來自MySQL數(shù)據(jù)庫,分別采用復雜網(wǎng)絡環(huán)境下鏈上數(shù)據(jù)安全訪問控制方法(所提方法)、基于區(qū)塊鏈的云存儲數(shù)據(jù)訪問安全控制算法(文獻[3]方法)、一種基于零信任的SDN網(wǎng)絡訪問控制方法(文獻[4]方法)進行測試。在開展數(shù)據(jù)安全訪問控制時,從控制性能以及控制安全性兩個方面測試三種方法的控制效果,選取存儲開銷、通信開銷作為3種控制方法的控制性能檢測指標,檢測三種控制方法的控制性能。

4.2 實驗結果及分析

1)控制性能測試

在數(shù)據(jù)安全訪問過程中,通信開銷越小,說明安全訪問控制方法的控制性能越好,反之則越差,測試結果如圖2,所示。

圖2 不同訪問控制方法下的通信開銷測試結果

分析圖2所示,隨著訪問數(shù)據(jù)量的不斷增加,三種訪問控制方法測試出的通信開銷均出現(xiàn)了不同程度的上升趨勢。但是,所提方法的測試結果是三種控制方法中最低的。這是因為該方法以提取的鏈路數(shù)據(jù)特征分量為基礎,通過丟包率平滑器平滑處理鏈上數(shù)據(jù),避免了數(shù)據(jù)抖動問題,有利于降低數(shù)據(jù)安全訪問控制中的通信開銷。

在開展數(shù)據(jù)網(wǎng)絡訪問時,數(shù)據(jù)在網(wǎng)絡上的存儲開銷越小,說明控制性能越好,存儲開銷越大,說明控制性能越差,測試結果如圖3所示。

圖3 不同控制方法的數(shù)據(jù)存儲開銷測試結果

分析圖3可知,隨著訪問數(shù)據(jù)的增加,三種方法檢測出的數(shù)據(jù)存儲開銷均出現(xiàn)上升趨勢。其中,所提方法的數(shù)據(jù)存儲開銷是三種方法中最低的。這主要是因為所提方法在數(shù)據(jù)訪問安全控制時,使用丟包率平滑器,對鏈上數(shù)據(jù)中的丟包數(shù)據(jù)實施平滑處理,所以該方法在數(shù)據(jù)訪問安全控制時,能夠有效控制數(shù)據(jù)訪問時的存儲開銷,側面說明使用所提方法的安全訪問控制性能更優(yōu)。

2)數(shù)據(jù)訪問安全性測試

在數(shù)據(jù)訪問控制過程中,數(shù)據(jù)的安全性尤為重要。采用所提方法、文獻[3]方法以及文獻[4]方法開展數(shù)據(jù)訪問時,對上述3種方法的訪問安全性展開測試,測試結果如表1所示。

表1 不同安全訪問控制方法的安全性測試結果

基于表1測試結果可知,所提方法在開展數(shù)據(jù)訪問時數(shù)據(jù)的安全性高于文獻[3]方法以及文獻[4]方法,證明所提方法在數(shù)據(jù)安全訪問控制時,不僅控制性能高,數(shù)據(jù)的安全性也能得到保障。

綜上所述,所提方法在開展數(shù)據(jù)安全訪問控制時,數(shù)據(jù)的通信開銷、存儲開銷以及安全性能都優(yōu)于其它控制方法測試結果,證明所提方法在數(shù)據(jù)安全訪問控制時具備有效性。

5 結束語

隨著計算機技術的不斷發(fā)展,數(shù)據(jù)訪問網(wǎng)絡時的安全威脅日益嚴重,數(shù)據(jù)安全訪問控制變得尤為重要。針對傳統(tǒng)數(shù)據(jù)安全訪問控制方法中存在的問題,提出復雜網(wǎng)絡環(huán)境下鏈上數(shù)據(jù)安全訪問控制方法。該方法通過鏈路數(shù)據(jù)的特征分量,計算數(shù)據(jù)訪問時的各項控制參數(shù),調整數(shù)據(jù)訪問速率,依據(jù)數(shù)據(jù)的速率調整結果實現(xiàn)數(shù)據(jù)的安全訪問控制。由于該方法在獲取訪問數(shù)據(jù)特征分量時還存在些許問題,今后會針對該項問題繼續(xù)優(yōu)化該方法。