摘 要:客戶服務平臺中存在多個異構數(shù)據(jù)源,數(shù)據(jù)源來自不同的系統(tǒng)、部門或業(yè)務線,因此數(shù)據(jù)格式、結構和存儲方式等存在差異,影響數(shù)據(jù)共享效率。針對上述問題,本文提出基于CP-ABE的客戶服務平臺異構數(shù)據(jù)共享方法。首先,使用加密系統(tǒng)對客戶服務平臺異構數(shù)據(jù)進行加密與存儲。其次,基于CP-ABE技術,結合AND、OR等邏輯操作和用戶屬性,設置訪問策略,保證只有滿足特定屬性集合的用戶才能解密和訪問數(shù)據(jù)。最后,驗證用戶uid和屬性集S是否滿足訪問策略,成功則執(zhí)行解密算法,進行客戶服務平臺異構數(shù)據(jù)共享。試驗結果表明,本文設計方法能夠顯著提高數(shù)據(jù)共享的效率,并保障數(shù)據(jù)在共享過程中的安全性,能為客戶服務平臺的數(shù)據(jù)共享提供強有力的支持。
關鍵詞:CP-ABE;客戶服務平臺;異構數(shù)據(jù);數(shù)據(jù)共享
中圖分類號:TP 309" " 文獻標志碼:A
隨著信息技術飛速發(fā)展,客戶服務平臺面臨日益增長的數(shù)據(jù)處理需求,尤其是不同來源、結構和格式的異構數(shù)據(jù)。如何有效地融合、管理和共享這些異構數(shù)據(jù)是客戶服務平臺提升服務質量和用戶體驗的關鍵。傳統(tǒng)的數(shù)據(jù)共享方法存在數(shù)據(jù)格式不統(tǒng)一、訪問控制機制不完善等問題,導致數(shù)據(jù)共享效率低下,并存在安全隱患。
文獻[1]從多個數(shù)據(jù)源中收集并預處理異構數(shù)據(jù),利用知識圖譜技術,從異構數(shù)據(jù)中抽取并整合實體、關系等關鍵信息,形成統(tǒng)一的知識圖譜模型。采用實體對齊和關系映射技術對數(shù)據(jù)進行深度融合,基于知識圖譜的推理能力進行數(shù)據(jù)智能查詢和共享。文獻[2]制定了統(tǒng)一的數(shù)據(jù)標準和規(guī)范,對異構數(shù)據(jù)進行清洗、轉換和整合,基于規(guī)范化處理后的數(shù)據(jù)并結合業(yè)務需求,構建數(shù)據(jù)共享服務平臺,為用戶提供便捷的數(shù)據(jù)查詢和共享服務。
盡管上述方法在異構數(shù)據(jù)共享領域取得了一定成效,但是2種方法均缺乏動態(tài)性,在面對數(shù)據(jù)動態(tài)變化的情況下顯得不夠靈活。為了克服這一局限性,本文提出基于CP-ABE的客戶服務平臺異構數(shù)據(jù)共享方法,旨在建立更靈活、高效和安全的數(shù)據(jù)共享機制。
1 客戶服務平臺異構數(shù)據(jù)加密
為了有效促進客戶服務平臺中異構數(shù)據(jù)的共享,本文采用先進的加密系統(tǒng)對數(shù)據(jù)進行加密處理。加密系統(tǒng)由4個核心組件,即屬性管理者、云服務層、數(shù)據(jù)提供者和數(shù)據(jù)使用者構成[3]。這些組件在復雜的系統(tǒng)中相互協(xié)作、緊密配合,無論是在跨越網(wǎng)絡邊界進行數(shù)據(jù)傳輸?shù)倪^程中,還是在各類存儲介質中靜置保存數(shù)據(jù)的過程中,都能使數(shù)據(jù)具有高度安全性和嚴格保密性,并能夠有效抵御外部威脅,如果遇到未經授權的訪問和數(shù)據(jù)竊取,還能防止內部泄露,為數(shù)據(jù)的完整性和隱私性筑起一道堅不可摧的防線。加密過程如圖1所示。
數(shù)據(jù)提供者是客戶服務平臺中各種業(yè)務系統(tǒng)的代表,可生成含有異構信息的數(shù)據(jù),并區(qū)分隱私數(shù)據(jù)和非隱私數(shù)據(jù)。假設存在異構數(shù)據(jù)集D,其中每個數(shù)據(jù)項di∈D都有一個與之關聯(lián)的隱私屬性Pi,該屬性是一個二元變量,其中1表示隱私數(shù)據(jù),0表示非隱私數(shù)據(jù)。定義一個指示函數(shù)I(di)來表示數(shù)據(jù)項di是否為隱私數(shù)據(jù),如公式(1)所示。
(1)
對于隱私數(shù)據(jù),系統(tǒng)直接進行加密保護;對于非隱私數(shù)據(jù),系統(tǒng)根據(jù)實際需求進行相應的加密處理。在加密過程中,系統(tǒng)利用數(shù)據(jù)屬性加密結構生成隨機序列,并根據(jù)數(shù)據(jù)屬性的隨機特征進行編碼,將數(shù)據(jù)原始形式轉化為一種難以被破解的編碼形式。加密過程如公式(2)所示。
E'(D)=E(di,R(Ai)) (2)
式中:Ai為數(shù)據(jù)項di的一組屬性;R(Ai)為根據(jù)Ai生成隨機序列的函數(shù);E(di,R(Ai))為使用R(Ai)對di進行編碼的函數(shù);E'(D)為加密后的數(shù)據(jù)。
將加密后的客戶服務平臺異構數(shù)據(jù)上傳到云服務層進行存儲。云服務層是存儲核心,采用分布式架構應對數(shù)據(jù)量的不斷增長。當數(shù)據(jù)量擴大到單一機器無法承載時,引入數(shù)據(jù)分片技術,將數(shù)據(jù)分散至多臺機器進行存儲,從而在不依賴高性能服務器的情況下滿足大規(guī)模數(shù)據(jù)的存儲需求[4]。
2 基于CP-ABE的訪問策略設置
本文以對數(shù)據(jù)進行加密的方式保障異構數(shù)據(jù)的安全性。為了精細控制數(shù)據(jù)訪問,本文基于CP-ABE技術,在客戶服務平臺上為異構數(shù)據(jù)制定了一套精細的訪問策略,只有滿足特定屬性集合的用戶才能解密和訪問數(shù)據(jù)[5]。所采用的樹狀型訪問控制結構如圖2所示。
圖2中,A、B和C為不同的葉子節(jié)點,每個葉子節(jié)點代表不同的屬性,它們與特定的門限函數(shù)AND、OR相關聯(lián)。這些門限函數(shù)不僅定義了訪問控制的邏輯,還反映了節(jié)點的權限級別。在訪問控制結構中,節(jié)點越靠近樹根,權限越大。
為了精確設定訪問控制策略,數(shù)據(jù)提供者需要清晰界定需要重點保護的數(shù)據(jù),并細致分析應被授權訪問這些數(shù)據(jù)的用戶群體,并運用CP-ABE高級加密技術靈活地構建訪問策略。這些策略巧妙地結合了邏輯操作,例如AND、OR等,保證只有同時滿足一系列預設屬性條件的用戶才能解密并訪問受保護的數(shù)據(jù),從而進行既高效又安全的數(shù)據(jù)訪問管理。設置過程如所示。
在構建ABE中的訪問控制樹過程中,每個非葉子節(jié)點代表一個控制門限,該門限指定了訪問與該節(jié)點關聯(lián)的異構數(shù)據(jù)所需滿足的最小屬性數(shù)量[6]。從根節(jié)點開始,為每個節(jié)點分配一個多項式函數(shù)。節(jié)點N的多項式函數(shù)fN(x)的最高次數(shù)為kN-1,其中kN是該節(jié)點的門限值,如公式(3)所示。
fN(x)=akN-1+xkN-1+akN-2xkN-2+…+aix+eN (3)
式中:ai為隨機生成的系數(shù);eN為常數(shù)項,是數(shù)據(jù)加密的密鑰。
對于非葉子節(jié)點,將子節(jié)點的索引值代入其父節(jié)點的多項式函數(shù)可計算出子節(jié)點的密鑰。假設節(jié)點N有子節(jié)點C1,C2,...,Cn,其中每個子節(jié)點的索引為i1,i2,...,in,則子節(jié)點Cj索引ij的密鑰ecj如公式(4)所示。
ecj=fN(ij) (4)
使用封裝密鑰算法生成封裝密鑰對(lL,CL),lL為加密葉子節(jié)點的加密值,CL為與屬性相關的其他信息。當用戶嘗試訪問客戶服務平臺異構數(shù)據(jù)時,必須提供與屬性基加密樹(Attribute-based Encryption Tree,ACT)中葉子節(jié)點相匹配的屬性密鑰。只有用戶擁有與葉子節(jié)點對應的屬性密鑰,才能解密相應的加密值[7]。綜上所述,只有滿足密文策略中定義條件的用戶才能解密并訪問數(shù)據(jù),從而達到精細控制數(shù)據(jù)的訪問權限并保證數(shù)據(jù)的機密性和完整性的目的。由于訪問策略與密文綁定,即使數(shù)據(jù)在共享過程中被截獲,沒有適當屬性的攻擊者也無法解密數(shù)據(jù),因此系統(tǒng)的安全性得到了提升。
3 異構數(shù)據(jù)解密和數(shù)據(jù)共享
在客戶服務平臺的數(shù)據(jù)共享場景中,用戶檢索與所需數(shù)據(jù)相關的元數(shù)據(jù)信息,這些信息包括文件標識符、密文以及訪問控制列表[8]。為了解密這些數(shù)據(jù),用戶需要執(zhí)行特定的解密算法,解密算法部分代碼如下所示。
\text{is_valid_user}(uid,RL)=\begin{cases}
\text{true},amp; \text{if } uid \in RL \\
\text{],amp; \text{otherwise}
\end{cases}
解密過程需要驗證用戶的uid是否在RL中。如果uid不存在,用戶將收到訪問失敗的提示并終止操作。如果uid存在于RL中,算法將進一步檢查客戶的屬性集S是否滿足數(shù)據(jù)提供者定義的訪問結構。驗證過程部分代碼如下所示。
\text {satisfies_poliey}(S,OBDD)=\begin{cases}
\text{true},amp; \text{if }S \text{satisfies }OBDD \\
\text{}, amp; \text {otherwise}
\end{cases}
在上述代碼中,“satisfies_policy”是一個抽象函數(shù),表示用戶屬性集是否滿足數(shù)據(jù)提供者定義的訪問策略。解密算法從特定節(jié)點開始遍歷所有分支。算法會檢查每個節(jié)點關聯(lián)的屬性是否在用戶的屬性集S中,并據(jù)此決定向高子節(jié)點或低子節(jié)點移動[9]。如果用戶的屬性集S符合某條有效路徑,算法將生成解密密鑰Y。此時,數(shù)據(jù)提供者將密文W和解密密鑰Y作為輸入,將解密結果G(W,Y)輸出為正常或異常,如公式(5)所示。
(5)
式中:M為解密后的明文;Fail為解密失敗或異常結果。
如果解密處理后得到的是明文數(shù)據(jù),就能得到異構數(shù)據(jù)的共享。如果解密失敗,就會重新生成解密密鑰,重復解密步驟,直到獲得明文數(shù)據(jù)。至此完成客戶服務平臺異構數(shù)據(jù)共享。
4 試驗
4.1 試驗準備
為了驗證本文方法在提升數(shù)據(jù)共享效率方面的實際效果與優(yōu)勢,本文設計并實施了一系列試驗。在試驗準備階段,考慮服務器為高性能配置,并需要滿足大規(guī)模數(shù)據(jù)處理的需求,本文檢測了網(wǎng)絡設備的穩(wěn)定性與帶寬能力,對操作系統(tǒng)的兼容性、穩(wěn)定性與安全性進行了嚴格篩選,選用了能夠優(yōu)化數(shù)據(jù)檢索與并發(fā)處理能力的數(shù)據(jù)庫管理系統(tǒng)。在數(shù)據(jù)集成工具的選用與配置上,力求實現(xiàn)數(shù)據(jù)的無縫對接與高效整合。
選擇配備Intel Xeon Gold 6248R處理器和2.7 GHz、20核心的服務器,并為其配備具有強大計算能力和數(shù)據(jù)存儲性能的128 GB DDR4 ECC REG RAM和2 TB NVMe SSD。在網(wǎng)絡設備方面,采用具有穩(wěn)定網(wǎng)絡連接和高效數(shù)據(jù)傳輸能力的Cisco Catalyst 9300系列交換機和Cisco 2911集成服務路由器。對于數(shù)據(jù)集成和共享的需求,本文將Apache NiFi 1.15.0作為數(shù)據(jù)集成工具,處理各種來源的異構數(shù)據(jù)。在網(wǎng)絡配置方面,為試驗環(huán)境分配192.168.1.0/24的IP地址段,并設置防火墻規(guī)則,允許TCP 80、443、5432和8080等關鍵端口通信,以滿足不同服務的需求。在數(shù)據(jù)庫管理系統(tǒng)方面,設置每日凌晨1:00的全庫備份和每小時的增量備份策略,使數(shù)據(jù)具有安全性和可恢復性。
在試驗中,本文模擬不同來源、結構和格式的異構數(shù)據(jù)在客戶服務平臺上的共享過程,旨在評估所提方法在數(shù)據(jù)共享效率方面的具體表現(xiàn)。鑒于試驗涉及多種異構數(shù)據(jù)的共享,數(shù)據(jù)格式的兼容性和轉換效率尤為重要。因此,在數(shù)據(jù)集成環(huán)節(jié),必須特別注意不同數(shù)據(jù)源間的數(shù)據(jù)格式差異,并保證數(shù)據(jù)集成工具能有效、精確地處理這些差異,從而實現(xiàn)數(shù)據(jù)的順暢共享。同時,考慮試驗環(huán)境較復雜和所涉及的數(shù)據(jù)量較大,對服務器的性能和穩(wěn)定性提出了極高要求。在服務器運行期間,需要密切監(jiān)控各項性能指標,包括CPU利用率、內存占用以及磁盤I/O等,以保證服務器具有持續(xù)、穩(wěn)定進行高性能數(shù)據(jù)處理的能力,從而滿足試驗需求。
4.2 試驗結果和分析
為了驗證本文方法在異構數(shù)據(jù)共享效率方面的優(yōu)越性,按照上述試驗準備,將本文方法與文獻[1]、文獻[2]方法應用于客戶服務平臺中進行對比試驗。比較3種方法在不同條件下的異構數(shù)據(jù)共享效率,試驗結果見表1。
由表1中的試驗結果可知,本文方法在異構數(shù)據(jù)共享效率方面具有顯著優(yōu)勢。在不同試驗條件下,無論是數(shù)據(jù)量較小、數(shù)據(jù)格式簡單的場景,還是中等數(shù)據(jù)量、多種數(shù)據(jù)格式的場景,甚至大數(shù)據(jù)量、復雜數(shù)據(jù)格式的復雜情況,本文方法均能保持較高的共享效率。特別是在數(shù)據(jù)量較大、數(shù)據(jù)格式復雜的條件下,本文方法的優(yōu)勢尤為明顯,其共享效率遠超對比方法。在網(wǎng)絡帶寬有限的限制下,本文方法依然能夠保持較高的共享效率,顯示出其在網(wǎng)絡受限環(huán)境下的良好適應性。當服務器處于高負載狀態(tài)時,本文方法也能保持穩(wěn)定的共享效率,證明其抗壓能力較高。值得一提的是,在實時性要求極高的場景下,本文方法同樣能保持高效的共享效率,并且優(yōu)于對比方法,充分說明本文方法在處理實時數(shù)據(jù)共享任務中的有效性。綜上所述,本文方法在異構數(shù)據(jù)共享效率方面表現(xiàn)出色,為異構數(shù)據(jù)共享提供了一種高效、可靠的解決方案。
5 結語
本文提出了能夠高效融合、管理和共享異構數(shù)據(jù)的方法。該方法不僅解決了數(shù)據(jù)格式不統(tǒng)一和訪問控制機制不完善的問題,還利用CP-ABE技術實現(xiàn)了對數(shù)據(jù)訪問的細粒度控制和動態(tài)管理,顯著提升了數(shù)據(jù)共享的安全性和效率。在未來的研究工作中,本文將繼續(xù)探索CP-ABE技術在異構數(shù)據(jù)共享領域的更多應用,進一步優(yōu)化和完善現(xiàn)有方法。同時還將關注新技術的發(fā)展,探索如何將新興技術,例如將人工智能、區(qū)塊鏈等與CP-ABE相結合,提升數(shù)據(jù)共享的性能和安全性。
參考文獻
[1]潘建宏,王磊,樊家樹,等.一種基于知識圖譜技術的多源異構數(shù)據(jù)融合、共享方法[J].電子設計工程,2022,30(23):185-188,193.
[2]陳玲玲,陳靜霖,楊玉賢.面向電力多源異構的數(shù)據(jù)治理及共享服務研究與應用[J].中國高新科技,2021,(21):76,78.
[3]張學旺,姚亞寧,付佳麗,等.策略隱藏的高效多授權機構CP-ABE物聯(lián)網(wǎng)數(shù)據(jù)共享方案[J].計算機研究與發(fā)展,2023,60(10):2193-2202.
[4]張恪易.基于云服務技術的數(shù)據(jù)共享交換集成應用探究[J].網(wǎng)絡安全技術與應用,2023(9):67-69.
[5]譚海軍.異構環(huán)境下分布式數(shù)據(jù)共享機制的研究[J].無線互聯(lián)科技,2023,20(12):113-115.
[6]羅仲達,李容嵩,彭凌煙,等.基于區(qū)塊鏈和CP-ABE的電力工程檢測數(shù)據(jù)安全共享方法[J].電力信息與通信技術,2023,21(3):80-86.
[7]黃吉林.基于密文策略屬性加密的廣電監(jiān)管數(shù)據(jù)共享系統(tǒng)[J].廣播與電視技術,2023,50(1):105-109.
[8]黃思云,齊金平.云計算環(huán)境下基于XML的異構數(shù)據(jù)共享研究[J].信息與電腦(理論版),2022,34(19):16-19.
[9]侯戌非.物聯(lián)網(wǎng)環(huán)境下海量多源異構數(shù)據(jù)的存儲算法[J].寧夏師范學院學報,2022,43(7):80-85.