基于安全策略的動態加密技術研究

張伯雍，何涇沙

（北京工業大學 軟件學院，北京　100124）

基于安全策略的動態加密技術研究

張伯雍，何涇沙

（北京工業大學 軟件學院，北京100124）

對數據進行加密是一種保證數據安全性的有效措施，但現有的數據加密方式一般是選定某種加密算法，用該加密算法對數據進行全文加密。而不同終端設備的性能存在很大差異，移動終端設備如智能手機受其體積限制，計算能力和能源供給都十分有限，難以承受全文加密的計算量和能源開銷。因此提出了一種動態選擇加密方法，動態的選擇加密算法對部分數據進行加密，并在該方法的基礎上提出了基于安全策略的數據加密傳輸方案。在保證較高安全強度前提下，降低了加密開銷提高了加密效率。

數據加密；動態選擇；部分加密；安全策略

使用適當的安全技術對移動終端上的個人數據進行處理十分必要。數據加密技術是最基本的安全技術，主要用于保證數據在存儲和傳輸過程中的保密性。不同的加密算法具有不同的密碼強度和執行效率［1-2］，在特定的應用場景中可以根據安全性需求等因素選擇不同的加密算法，但傳統的應用方式往往是確定了一種加密算法后，就使用該種加密算法對需要保護的數據進行全文加密。這種方式的優點是能最大限度實現所選加密算法的數據加密強度。而當數據量較大時，對數據進行全文加密操作的開銷也會隨之加大。對于電池能源、計算能力等資源有限的移動終端設備，這種全文加密方式會造成過重的負擔［3］。

文中提出一種動態加密方法，動態選擇加密算法和部分數據進行加密，在滿足安全需求的前提下，提高加密效率降低加密開銷，并給出了一種基于安全策略的數據加密傳輸應用方式。本文剩余部分結構如下，第二節介紹了一些現有的高效加密方法，第三節描述本文提出的動態選擇加密方法，第四節介紹了基于安全策略的具體應用方案，實驗結果及分析在第五節給出，最后給出全文總結。

1　相關研究

在 多媒體數據加密研究領域，已經有學者提出了一些選擇性加密方法。所謂選擇性加密即選擇被加密數據中的一部分進行加密形成密文，未選擇部分保持為明文。理想情況下應選擇被加密數據中最重要的部分進行加密。但由于不同種類數據文件的特征和格式差異很大，目前還沒有通用的方法能實現這個目標。因此現有研究主要針對特定格式的文件，研究對象主要是多媒體數據文件，基于特定文件的編碼方法，篩選出編碼過程中對編解碼效果有較大影響的相關參數進行加密。如：陳勇、沙愛軍提出了一種使用AES數據加密算法對MPEG-4視頻進行部分加密的方法［4］。利用AES的OFB模式對MPEG-4中I-VOP的DC差分系數和P-VOP、B-VOP中的intra塊DC差分系數進行加密；葛龍、廉士國等人提出了一種基于參數敏感性的MP3音頻選擇加密方案［5］，選擇性的將MP3音頻幀內的比例因子和比特分配信息兩種重要參數進行加密；鄧紹江、李艷濤等人針對JPEG2000圖像小波變換后重要信息集中在小波系數的低頻部分的特點，選擇性的對這部分數據進行加密，達到減小加密量并保證較好加密效果的目的［6］。

2　動態數據加密方法

2.1加密數據的選擇

以往的多媒體數據選擇性加密技術均以某種特定格式數據作為研究對象，通過對作用于編碼過程的參數進行分析，篩選出重要參數進行加密，從而達到既減小數據加密總量又保證較好加密效果的目的。但對于索引圖像、真色彩圖像、YUV圖像原始數據和純文本等數據類型，由于其未經特殊壓縮編碼，不具有復雜的編碼格式，因此無法應用以往的選擇性加密方法對這類數據進行加密。本文以位圖圖像為例針對此類數據進行了研究和分析。

位圖文件的結構主要包含4部分：

1）文件信息頭：文件類型、文件大小和位平面字節流起始位置信息；

2）圖像信息頭：圖像寬、高、色深、位平面字節流長度、分辨率等信息；

3）調色板數據結構：用來表達RGB顏色值的結構體數組，個數由圖像色深確定；

4）位圖數據：每一像素的調色板索引值或直接表示每一像素的RGB顏色值。

通過對位圖文件的數據結構分析，可以看出文件信息頭和位圖信息頭包含了解讀位圖文件所需的一些基本參數，此類參數的取值較為固定，即使完全刪去也可以很輕松的重構，所以加密文件信息頭和位圖信息頭沒有意義。而后面的調色板數據和位圖數據則包含了解讀所有像素的全部信息。其中位圖數據是文件中長度最長同時也是最為重要的數據段，位圖數據中的每一個字節都可以表示稱二進制數。從微觀角度出發可以從每個字節中抽取1位，將一張位圖圖像分解為8個位平面圖，原圖和分解后的8張位平面圖效果如圖1所示。

圖1　位平面分解圖Fig.1　Bit plane decomposition figure

由分解結果可見，位圖數據在被解讀時每一字節中的各個比特位對圖像重構的貢獻程度不同。其中最高位對圖像重構貢獻最大，而后依次降低，即高位數據包含的信息較為豐富。因此，雖然此類數據不具備前文所述多媒體數據的復雜編碼格式，但經過從微觀角度的分析，同樣可以對數據中不同部分做出重要性等級的區分。以此為依據，就可以根據不同的安全策略，在數據全文中動態選擇其中一部分數據進行加密。

2.2動態加密流程

1）分析待加密原文，根據重要性等級對原文進行劃分，按重要性排序；確定可用的數據加密算法集，可根據密碼強度或執行速度進行排序

2）根據安全級別需求和執行效率需求，選出M和E的子集

3）為每種選擇的加密算法提供密鑰，執行加密操作

4）加密完成，重組為完整密文

圖2　動態加密流程Fig.2　Dynamic encryption process

3　基于安全策略的動態數據加密方案

在前文提出的動態數據加密方法基礎上，本節給出了一種基于安全策略的動態數據加密方案。假設有通信雙方A、B需要經過不安全的開放網絡傳輸一份未經壓縮編碼的無損位圖數據。數據請求方B設備計算能力有限難以承受全文加密后數據解密的計算開銷，且首次請求數據時不具有最高質量數據的請求權限（例如B前期只擁有低質量數據的使用權限）。之后B通過正常渠道獲得了數據的完全權限（例如B通過付費獲得了數據的完全權限），第二次請求相同數據。

如圖3、4所示加密傳輸方案可以簡述為：首次傳輸時加密數據的高m+n位，對高m位和次高n位分別采用不同的加密算法和密鑰進行加密，根據接受者當前權限只將高m位的加密方式和密鑰交付給接收方，接收方可部分解密獲得低質量數據；接收方獲得完全權限后第二次請求數據時，才將次高n為的加密方式和密鑰交付給接收方。

方案分析

1）數據加密全過程中只對部分數據加密，其中采用較高密碼強度的AES算法加密原數據中最重要部分，采用較高執行速度的RC4算法加密原數據中次重要部分。大大提高了執行效率，同時保證了較好的加密強度和效果；

2）首次加密傳輸過程就完成了所有數據的交付，資源所有者A收到請求時，不需要對原數據進行處理來生成不同質量版本的數據，只在交付密鑰和加密方式時有所保留即可控制被交付數據的質量；且基于首次加密傳輸的方法，第二次加密傳輸過程中，A、B雙方無需進行數據資源的傳輸，僅交互極少量的密鑰和加密方式即可完成任務。

圖3　初次數據加密傳輸流程Fig.3　Initial data encryption and transmission process

圖4　第二次數據加密傳輸流程Fig.4　The second time of data encryption and transmission process

4　實驗結果

應用單一加密算法的傳統全文加密實驗：（測試文件：lena，512*512pixel，263，222字節）

圖5　全文加解密Fig.5　Full encryption and decryption

基于安全策略的動態數據加密試驗：

由實驗結果可見，本方案僅加密數據總量中最重要的25%剩余部分保持為明文。與全文加密相比加密效果降低幅度很小（圖5左2、圖6左2），加密時間與AES全文加密相比縮短了84%、與RC4全文加密相比縮短了45%，此外還提供了對部分解密的數據質量進行控制的功能（圖6右2）。

圖6　動態加解密Fig.6　Dynamic encryption and decryption

表1　全文/動態加解密效率Tab.1 Full and dynamic encryption/decryption efficiency

5　結束語

對數據進行加密是保證數據在存儲和傳輸過程中安全性的主要手段，然而當數據量較大時全文加密的方式會帶來較大的計算資源、能源消耗和時間開銷。但現有的選擇性加密方法大多格式依賴性過強，無法應用于不具有復雜編碼格式的無損原始數據。本文對此類數據進行了研究，通過位平面分解的方法區分出數據中重要性不同的部分，提出了一種采用多種密碼算法對數據進行動態加密的方法，并在該方法的基礎上提出了一種基于安全策略的數據加密傳輸方案。實驗證明本方法既保證了較好的加密效果，同時顯著提高了加密效率。

［1］Weerasinghe T D B.Secrecy and performance analysis of symmetric key encryption algorithms［J］.International Journal of Information and Network Security（IJINS），2012，1（2）:77-87.

［2］Nadeem A，Javed M Y.A Performance Comparison of Data Encryption Algorithms［J］.Information and Communication Technologies，2005.ICICT 2005.First International Conferenceon，2005:84-89.

［3］毛宇.面向移動云計算的數據安全保護技術研究 ［D］.廣州：廣東工業大學，2013.

［4］陳勇，沙愛軍.AES在MPEG-4視頻加密中的應用［J］.電力系統通信，2006，27（2）:54-58.

［5］葛龍，廉士國，孫金生，等.基于參數敏感性的MP3音頻選擇加密方案［J］.計算機應用研究，2006，10:122-127.

［6］鄧紹江，李艷濤，張岱固，等.一種基于混沌的JPEG2000圖像加密算法［J］.計算機科學，2009，36（5）:273-275.

Research on dynamic encryption based on security policy

ZHANG Bo-yong，HE Jing-sha
（School of Software Engineering，Beijing University of Technology，Beijing 100124，China）

Data encryption is an effective measure to ensure the data security.However，the traditional way is to choose an encryption algorithm，then using this algorithm to encrypt the whole data.There is a big difference in performance of different terminal devices.Mobile devices such as smart phone due to size restrictions，computing power and energy supply is very limited，cannot afford the full encryption computation and energy overhead.Therefore，this paper presents a dynamic selective encryption method.Dynamically select encryption algorithm to encrypt part of the data.And proposed a data encryption transmission scheme based on security policy on the basis of the method.Both to ensure a high security strength，while reducing the encryption overhead and improves the encryption efficiency.

data encryption；dynamic selection；partial encryption；security policy

TN918

A

1674－6236（2016）05-0019-03

2015-03-27稿件編號：201503395

張伯雍（1986—），男，北京人，碩士研究生。研究方向：軟件工程理論、技術與應用。