基于點集拓撲群分形變幻的云計算加密方法

郎登何

(重慶電子工程職業學院，重慶 401331)

責任編輯:魏雨博

云計算建立在資源虛擬化數據中心的基礎之上，通過協商與用戶建立服務層協議，以服務的形式向用戶提供按需的、可擴展的、滿足QoS要求的計算資源，而用戶只需付費即可。在這樣的一種環境中，用戶不再需要自備一臺功能完善的個人PC來處理自己的數據和運算，而是通過使用簡單的、功能有限的上網設備，例如手機、PAD等與云建立聯系，可以把數據信息存入云中，或從云中獲取強大的計算能力或是使用最新版本的服務，從而可以隨時隨地進行相應的工作。而企業也不需要再維護自己的數據中心，而是可以租用云中的可擴展存貯及計算資源，從而可以更專心于自己的業務。

云計算具有如此強大的優勢，但因為云計算特有的數據和應用外包、虛擬化、多租戶跨域共享等特點，帶來了前所未有的安全挑戰。

云計算加密系統已經成為云計算安全的重點研究領域［1－2］，而加密系統中密鑰和算法又是加密系統最為關注的部分，本文運用點集拓撲群分形變幻的方法實現密鑰生成，這比不同密鑰的隨機生成更具有發散性與隨機性，因此采用該方法生成的密鑰進行加密更在很大程度上能加強云計算數據交互的安全性。如人臉、語音、指紋等生物特征點，在相關可控和不可控點集拓撲變換方法驅動下都可以成為相應的可信加密/解密算法和密鑰。

1 云計算安全體系結構

云計算是定制與交付服務的超級計算，其最大的優點是虛擬服務平臺高效且定制服務總類豐富，具有廣闊的市場應用前景，但是安全性問題一直是云計算的一大難點［3］。云計算的不安全性表現在多個方面，比如信息體的偽造、變造、假冒、抵賴、木馬攻擊、病毒損毀等，這些使得云計算的應用推廣受到阻礙。

其實不信任、不安全對云計算的危害不僅發生在服務定制和交付這兩個出入口，也發生在中間過程，即服務的組織、加工、整理、包裝等過程，因此在整個云空間，云可信、云安全對正常的網絡社會經濟秩序構成了巨大的挑戰［3］。圖1描述了云計算安全防護體系結構。

圖1 云計算安全防護體系結構圖

要實現可控、可信、可驗證的云計算安全系統必須保證基礎架構安全，用戶數據安全級運營管理安全。作為云計算的使用者來說，用戶數據安全是最為關注的問題，保護用戶信息的可用性、保密性和完整性是云計算必須攻克的難題，而身份驗證、訪問授權、訪問控制及加密則是用戶數據安全需要解決的具體問題。

本文從云計算加密系統方面展開研究，密鑰生成是加密系統最關鍵的部分，其次是加密算法，采用點集拓撲分形變幻的密鑰生成隨機性強、安全性高，而且分形變幻效率高，適合作為密鑰生成運算方法。同時采用人臉、語音、指紋等生物特征點作為分形變幻的數據源［4］，具有唯一性，進一步提高了加密系統的安全性，能給不同用戶數據打上用戶特有標簽，有助于保護用戶數據隱私。

2 點集拓撲群分形變幻的云計算加密實現

2.1 點集拓撲分形變幻密鑰生成

2.1.1 隨機碼生成

在密碼學中，隨機序列的作用不言而喻，它的生成一般使用偽隨機生成器，包括給定長度為K的一個隨機二進制序列(稱為種子SEED)作為算法的輸入，算法輸出一個看上去似乎隨機的二進制序列［5］。

隨機數是指用數學遞推公式所產生的隨機數。不同的開發環境提供的生成隨機數的函數和方法不同。在典型情況下，它會輸出一個均勻分布在0和1區間內的偽隨機變量的值。隨機數發生器是在計算機中產生隨機數的方法，經常采用如下公式

式中:b，c，d為正整數，d稱為由式(1)所產生的隨機序列的種子，an是隨機數序列。

由式(1)可以看出，所產生的隨機序列的值與b，c，d有一定的關系。這種只在一定程度上滿足隨機性的序列稱為偽隨機數。用這個公式產生0～65 536的a1，a2，…，an隨機數序列，故稱為232步長的倍增諧和隨機數發生器［6］。

2.1.2 點集拓撲群對象的模型

如圖2所示，點集“拓撲群論”對象可以表示為由矩形框包圍點集的對象BioTPM［N］。

圖2 點集拓撲群對象運算模型

點集拓撲群論運算模型說明如下:

1)設定基準點和基準方向點

設定該對象模型的基準點和基準方向點步驟，圖2中的P、D所示，子集也如此。

2)設定坐標系

設定該對象模型的坐標系，如圖2中xOy坐標系所示，子集也如此。

3)設定環運算特征

點集“拓撲群論”對象運算特征表示為，首先進行加法交換群位移操作，再進行乘法對稱群旋轉操作，也可在該乘法對稱群旋轉操作的同時增加乘法對稱群翻轉操作。當然規則要事先確定，子集也如此。在圖2中，位移方向由P、D連線的箭頭指示，位移量由P、D箭頭連線長度Move［N］指示，Move［N］是BioTPM［N］到BioTPM［N+1］的基準點P位移值;旋轉由 Round［N］弧線箭頭指示，旋轉量由Round［N］弧長指示，Round［N］是BioTPM［N+1］的旋轉值。

需要說明的是，先設定加法位移后，再乘法旋轉，該兩項操作為一次組合操作，在“群論”中稱為環運算。該環運算次數為MRNumber［N］。圖2只進行了一次加法位移和乘法旋轉，因此MRNumber［N］值為1，該環的運算次數不改變點集“拓撲群論”對象的屬性。

上述基于點集“拓撲群論”對象的定義中，涉及該環運算特征參數的確定，即加法位移量Move［N］、乘法旋轉量 Round［N］、環運算次數 MRNumber［N］。同時，該點集“拓撲群論”對象的非線性變換和變幻要求該環運算特征參數非線性。Move［N］、Round［N］、MRNumber［N］的初始化值來自于節點“子集自組織”，這些值的確定是點集拓撲群論運算的關鍵點。

2.1.3 點集拓撲群分形變幻環運算

特征圖像點的集合用G［K］表示，G［K］中又有子集G1［K］，G2［K］，…，Gn［K］，設定 Gn［K］為最后一個子集。提取自組織于集合G［K］的兩個子集G1［K］、Gn［K］，參與基于混沌的散列運算。設定位移量 Move［K］是子集G1［K］的散列運算值、乘法旋轉量Round［K］是Gn［K］的散列運算值、環運算次數 MRNumber［K］是 G1［K］⊕Gn［K］或 G1［K］%Gn［K］的散列運算值。

基于群特征的運算是點集“拓撲群”分形變幻環運算，設定點集“拓撲群”分形變幻環運算由單位拓撲群分形變幻環運算構成，是該單位群的加法運算。設定單位群是連續的單位環運算。其中，單位環運算是單位點集拓撲群環運算的簡稱，是該點集先加法位移后，再乘法旋轉的運算，而該分形變幻則是反復的“單位環”運算。具體運算流程如圖3所示。

圖3 點集拓撲群分形變幻環運算流程圖

“單位群”加法運算的數學規定如下:

1)1個“單位群”+0個“單位群”=1個“單位群”，即進行該連續的“單位環”運算。

2)1個“單位群”+1個“單位群”=2個“單位群”，即進行2連續的“單位環”運算。

3)1個“單位群”+K個“單位群”=K+1個“單位群”，即K+1連續的“單位環”運算。

點集拓撲群分形變幻環運算的流程步驟如下:

1)輸入集合G［K］及子集 G1［K］，G2［K］，…，Gn［K］，初始化1個“單位群”運算;

2)設定子集G1［K］為集合G［K］的自組織對象;

3)設定子集Gn［K］為集合G［K］的自組織對象;

4)設定Move［K］是G1［K］的散列運算值，Round［K］是 Gn［K］的散列運算值，MRNumber［K］是G1［K］⊕ Gn［K］或 G1［K］%Gn［K］的散列運算值;

5)設定K個“單位群”運算的循環，K的初始化值為1;

6)設定1個“單位群”即一個連續環運算及其運算規則，循環次數為MRNumber［N］次;

7)設定K個“單位群”運算的循環限制值;

8)輸出K個“單位群”運算的點集“拓撲群”分形變幻環運算值。

2.1.4 密鑰生成

運用VC++實現點集拓撲分形變幻運算如圖4所示。

圖4 點集拓撲分形變幻密鑰生成程序運行圖

打開選擇特征數據，本文選擇指紋圖像作為特征數據，然后選擇變幻次數，選擇100次，然后選擇保存路徑及保存名字，最后選擇應用，變幻結果立即生成，且存入保存路徑的log.log文件中。

變幻結果如圖5所示，顯示由子集G1［K］和G［K］組成集合G［K］一系列數據，其中m和m′分別表示G1和G2作平移旋轉操作的次數。從開始到結束顯示每一系列數據都不同，呈現很大的變幻隨機性。

Move［K］、Round［K］、MRNumber［K］數值范圍從Move［1］=1、Round［1］=0、MRNumber［1］=3，直到100次單位點集“拓撲群”分形變幻環運算，呈現Move［100］=6、Round［100］=0、MRNumber［100］=3。文件列從子集G1［2］和G2［2］組成的集合G［2］系列數據開始，到子集 G1［101］和 G2［101］組成的集合 G［101］系列數據結束，是100組集合G［K］變幻數據，第1組集合是初始數據。

圖5 密鑰生成結果圖(截圖)

利用此分形變幻的隨機序列作為密鑰對數據進行加密，具有非常高的安全性，密鑰的生成以指紋圖像作為輸入特征值，具有唯一性、可靠性及更高的辨識性。

2.2 加密實現

加密的過程就是根據密鑰和明文生成密文的過程［7－8］，密鑰由指紋圖像經過點集拓撲分形變幻而得，密文由加密算法而得，具體過程如圖6所示。

圖6 加密過程圖

2.2.1 橢圓加密算法

本文采用橢圓機密算法，它與傳統的基于大質數因子分解困難性的加密方法不同，橢圓加密算法ECC(Elliptic Curve Cryptosystems)通過橢圓曲線方程式的性質產生密鑰，ECC 164位的密鑰產生一個安全級，相當于RSA 1 024位密鑰提供的保密強度，而且計算量較小，處理速度更快，存儲空間和傳輸帶寬占用較少，因此常被用于安全級高的加密系統中［9］。

橢圓曲線即三次平滑代數平面曲線(Smooth Algebraic Plane Curve)，可在適當的坐標下，表達成Weierstrass方程式

除了特殊系數，一般而言，可在適當的坐標下，表示為

在系數K上的平面圖形，其中E也包括無限遠點O。

令E:y2=(x3+ax+b)mod p為一橢圓曲線，令P和Q為E(FP)上的兩點，假設點Q由點P生成。在E上的離散對數問題就是要解Q=［k］P的K值。

令E為定義在FP上的橢圓曲線，則E(FP)的個數滿足#E(Fp)=p+1+t，其中誤差項 |t|＜2，則

給定私有密鑰k，K=k·#E(Fp)，就可計算出經過加密后的公開密鑰K，其中p的值越大，安全性越好，但加密速度變慢，一般而言，p取200 bit左右。

2.2.2 橢圓加密實現

首先通過點集拓撲變幻將指紋圖像生成密鑰，然后將密鑰和要加密的明文，通過橢圓加密算法生成密文，密文通過相同的密鑰進行解密，恢復原文，依據此功能，通過VC++開發程序，程序界面圖如圖7所示。

圖7 橢圓加密程序運行圖(截圖)

如圖7所示，對明文12981進行橢圓加密，加密的密鑰來自于點集拓撲分形變幻運算，加密后的密文為(646034，519257840)(672986，519297773)，點擊“解密”按鈕，恢復為原文12981。采用此加密方法具有速度快、安全性高的優點。

3 結語

本文重點介紹了點集拓撲群分形變幻運算的指紋特征密鑰生成過程，隨機碼生成一直是加密過程的重要組成部分，該方法將數學的點集拓撲與分形變幻運算兩者結合，采用該方法生成密鑰，隨機性高，不易被破解，而且算法速率高，具有一定的創新性和研究價值，同時采用安全性好且速度快的橢圓加密算法，完成明文至密文的加密過程。

本文只對云計算安全的數據加密系統進行了研究，而對身份認證、入侵檢測等保證用戶數據安全沒有做展開研究，這是后續云計算安全研究中應當著重關注的問題，同時也需要對基礎架構安全和運營管理安全等方面進行資料收集與調研，加強云計算安全防護體系。

［1］王培海.基于Android的移動云存儲系統設計與實現［J］.電視技術，2011，35(15):94－97.

［2］ARSHAD J，TOWNEND P.Cloud computing security:opportunities and pitfalls［J］.International Journal of Grid and High Performance Computing，2012，4(1):52－66.

［3］Overall cloud computing security risk assessment analysis［EB/OL］.［2012－12－01］http://wenku.baidu.com/view/3caee9f04693daef5ef 73d02.html.

［4］ZHU Huahong，HE Qianhua，TANG Hong，et al.Voiceprint－biometric template design and authentication based on cloud computing security［C］//Proc.2011 International Conference on Cloud and Service Computing.Hong Kong，China:［s.n.］，2011:302－308.

［5］黃汝維，桂小林，余思，等.云環境中支持隱私保護的可計算加密方法［J］.計算機學報，2011，34(12):2391－2402.

［6］朱和貴，張祥德，楊連平，等.基于人體指紋特征的隨機序列發生器［J］.計算機研究與發展，2009，46(11):1862－1867.

［7］梁宇，路勁，劉笠熙，等.一種云計算環境下的加密模糊檢索方案［J］.計算機科學，2011，38(10):99－105.

［8］徐劍，周福才，陳旭，等.云計算中基于認證數據結構的數據外包認證模型［J］.通信學報，2011，32(7):153－160.

［9］LI Jin，WANG Qian，WANG Cong，et al.Fuzzy keyword search over encrypted data in cloud computing［EB/OL］.［2012 －12 －05］http://www.docin.com/p－360587334.html.