網絡數據安全技術的優化路徑

衣文娟

(青島酒店管理職業技術學院 信息工程技術學院, 山東 青島 266100)

網絡傳輸具有數據分享快、節約傳輸資源和空間等優勢。網絡傳輸數據可以在一定程度保證數據的完整性。同時,用戶在查找數據時也可以直接搜索以獲取想要的數據,讓數據的傳輸和使用更加方便[1]。傳統計算機數據存儲技術具有很高的保密性,但通過網絡進行傳輸時會存在數據泄露的風險,因此,解決數據泄露風險、研究網絡數據的安全保障技術十分重要。

為方便數據調用,網絡數據在計算機中儲存前要進行分類,網絡數據安全技術主要目的是保護網絡使用用戶隱私,隨著如今的網絡環境越來越復雜[2],原本的數據安全技術已經不能滿足現代化的數據傳輸要求。趙男男[3]采用誤差逆向傳播算法(Back Propagation,BP)實現信息聚類和編碼設計,并構建雙層結構的編碼輸出結構模型,利用自適應匹配濾波算法實現了端到端信息防御和攻擊。杜天琦[4]在明確無線傳感器網絡密鑰管理影響因素的基礎上,設計了無線傳感器網絡密鑰管理方案,實現了無線傳感網絡安全防護。雖然上述方法優化了網絡安全數據傳輸技術,但在傳輸數據時用戶信息也可能被泄露,因此上述2種方案在保護過程中容易引起安全問題。

網絡數據安全受到影響的主要原因為:①外界的影響因素導致數據安全受到威脅[5];②人為因素導致數據安全受到威脅[6]。為進一步保證網絡數據安全,本文在構建網絡數據安全保障模型的基礎上,設計數據保密算法,優化網絡數據傳輸的聚合分布,實現網絡數據安全技術優化。

1 優化網絡數據安全保障模型

1.1 設置安全模型數據傳輸的粒度

為保證網絡安全技術可以真正保護網絡數據安全,優化原有的網絡數據安全保障模型,模型整體結構由數據終端、數據轉發層、攻擊數據識別模塊4部分組成,具體結構如圖1所示。

圖1 模型結構

(1) 數據終端。數據終端主要負責對數據進行加密,在數據傳輸之前生成傳輸密碼,并在傳輸數據中添加上傳輸密碼。數據終端在向數據安全管理器發送數據的同時,也會將數據驗證表進行轉發。因此在數據管理器中,只能查詢到數據驗證表和報文計數表。數據終端可以根據用戶對數據的查看權限判斷數據能否被當前賬戶查看。對需要進行嚴格保密的數據粘貼自定義標簽,并設置單獨的密鑰。密鑰的Hash值可以在發送數據報文前隨機生成。數據終端設備生成的密鑰身份驗證數據也是隨機的。

(2) 數據轉發層。數據轉發層的設備與數據安全管理器相連接,通過轉發設備與數據終端連接,進行報文數量管理、傳輸控制、數據驗證和攻擊數據識別等操作。SDN網絡內部的傳輸設備為該模型的數據傳輸設備[7],在數據傳輸過程中有效地保護數據安全,且該設備具有可編程能力,可以根據數據的安全等級調節密碼的復雜程度。

(3) 攻擊數據識別模塊。攻擊數據識別模塊可以識別出與傳輸數據不同的數據,在控制器流規則應用中實現數據的細粒度精確篩選,保證正常傳輸數據中不混進惡意攻擊數據。

1.2 設計密碼標識

網絡數據安全保障模型中最重要的部分為密碼標識,每段數據以數據流的方式發送,按照數據流特征進行密碼標識設計。

Flow_ID字段的數據流中加入了固定密碼,因此提升了數據傳輸過程中的數據流安全性,數據在數據流字段進行了有效加密,還被指定了數據的接收單位,在未到達接收單位之前的所有接收數據表地點均無法接收數據。即使管理員的公鑰也不能在非緊急情況下打開數據密碼[8]。減少公鑰的使用頻率可以節省數據安全技術成本,并在計算機或其他載體需維護時,確保攻擊者不會使用公鑰盜取數據。

為保證數據傳輸過程中的數據包完整性,在完成數據傳輸動作前不能打開數據包,本方案降低了數據傳輸中途打開盜取或復制數據包的風險,進一步保障了數據安全傳輸。密碼標識結構如圖2所示。

由圖2可知,IP_Header分別由Next_Type、SrcDev_ID 和Verification_R 組成。其中,Next_Type部分可以保證接收方只有解析了前一個數據包密碼,才能查看后一個數據包,不能改變數據包的查看順序,也不能跨越順序隨機查看數據,數據包的唯一解密方式是破譯數據密碼。

圖2 密碼標識結構

2 優化基于保密度劃分的數據保密算法

在設計數據保密算法前需劃分數據的保密度。發送方先將所需保密數據進行分類,并定義每個分類。

為保證數據定義的合理性和算法的可靠性,對數據的分類結果進行迭代[9],將數據的分類結果定義為a,將對a進行保密后的數據集定義為A,此時數據集A的保密等級為D級,則D為

式中:Ai為數據集中選擇到第i個數據;lg(·)為以10為底的對數。

發送方劃分數據集中數據的保密度,計算保密度分值為

式中:β(a)為數據a的保密度劃分結果;R(a)為a在數據集中的位置。

在數據集未進行保密度計算之前,數據集是按照數據的大小和代表的實際含義進行分類的,但數據的實際含義是人賦予的,因此在保密度劃分時,需進行人工劃分。上述方法的人工計算量較大,數據保密的效率較低,且由于不同劃分人員具有一定的主觀性,導致劃分的保密度也不同,從而影響算法最終的結果。同時,該方法還可能導致同一數據集中具有較多種類的保密數據,數據傳輸速度減慢。各個保密等級在混淆計算的前提下,只能保證數據的保密質量[10],不能保證數據的算數速度。

針對上述問題對原有的保密算法進行優化,首先,加入保密度分類的步驟,在數據傳輸的應用層劃分數據的保密等級,將其中典型數據進行人工劃分;然后,在算法中按照該方式劃分,計算每個數據和人工劃分結果的相似度,其結果為

通過改變原有的數據集分類方式,按照保密等級重新分類,每個保密等級數據集中的重要度數值相同,并按照數據的保密度排序數據集。在發送數據時,為避免過多的保密度分類造成密碼設置混亂,在數據的應用層進行保密設置時,先根據保密等級進行高保密度數據優先設置,優化后的算法可以引入保密等級傾向度,使分級更加細化。

3 優化網絡數據傳輸的聚合分布

在網絡數據安全技術的優化過程中,要有數據保密算法,還要結合數據的等級保護機制,對不同的人群采取不同的保護機制。

加密算法主要是保護網絡數據在傳輸和儲存的過程中,防止被不法分子攻擊導致數據泄露,而不同的數據權限查看的范圍也不相同,因此需使用其他方式來保證數據的安全。本文選擇的方式是優化網絡數據傳輸的聚合分布方法,避免發布的數據在無權限的查看中進行聚合[11],沒有數據查看權限的用戶只能看到數值的個數和增加數據的具體數值。從數據隱私保護角度而言,數據的保密度越高,數據傳輸的聚合分布越難,但雙重疊加的保密性越高,對攻擊數據的抵抗性也越高,對于網絡數據傳輸的聚合分布有以下的安全性要求。

(1) 數據處于雙重保密制度,即使被外界攔截,也無法解密數據包。

(2) 部份數據受到攻擊后[12],由于密碼的獨立性依然能夠保證其他數據的安全,從而避免了數據完全泄露的情況,數據發送方可以盡可能地挽回損失,尋找補救辦法。

(3) 原始數據在加密和解密的過程中不會破壞原本的數據結構[13],打亂的數據順序也可以在短時間內恢復,沒有其他高保密措施的解密復雜性高,適用于大部分網絡數據的加密。

(4) 網絡數據傳輸的聚合分布結果只在數據傳輸時使用,并不會隨著數據的傳輸而影響數據的屬性。在雙重的保護措施下,攻擊者試圖查看原文時,只會看到聚合結果的實體,使得攻擊者無法進行差分分析。

4 測試實驗

為驗證本文設計的網絡數據安全技術的優化路徑是否能滿足現代網絡的數據傳輸要求,設計對比測試實驗。將本文設計的網絡數據安全技術的優化路徑和傳統的基于BP算法的安全技術的優化路徑、基于密鑰標記的安全技術的優化路徑相比,分別進行了3種網絡數據安全技術優化路徑的安全性測試,并討論測試結果。

4.1 實驗環境搭建

為驗證安全技術的實用性搭建測試評估安全性的系統,系統的結構如圖3所示。

圖3 安全性評估系統結構

圖3中的數據接收節點共有8個,除節點1外其余為轉發節點。8個節點共用一個節點控制器,控制器與節點單獨連接,節點之間也相互連接。節點控制器和節點之間的通信依靠遠程過程調用(Remote Procedure Call,RPC)進行,節點控制器可以對數據的轉發和傳輸進行監控,監控在惡意攻擊下的數據包被損壞或被攔截導致數據泄露,對數據的安全技術進行有效評價。在此基礎上,實驗環境的軟硬件參數見表1。

表1 實驗環境參數

將節點控制器與IP子網的接口進行連接,并進行數據傳輸的測試,在接口處監測數據傳輸,連接數據的傳輸接口后,通過3種方式發送新增自定義密碼標識,并在接口處進行數據加密轉化和初始化,節點控制器發送的數據類型為unknow類型的數據,字節數量為8 bit。

4.2 實驗結果

將本文設計的網絡數據安全技術的優化路徑和傳統的基于BP算法的安全技術的優化路徑、基于密鑰標記的安全技術的優化路徑進行對比,比較不同的數據報文數量的加密時間,實驗結果如圖4所示。

圖4 實驗結果

由圖4可知,隨著數據報文數量的增多,3種安全技術的加密時間都有所上升,但本文設計方法是有規律地逐漸遞增,而其他2種方法均無固定規律,時間曲線具有較大的波動性。而本文設計的網絡數據安全技術的優化路徑在報文數量為60時,加密時間控制在80 ms以下,基于BP算法的安全技術的優化路徑和基于密鑰標記的安全技術優化路徑最短的加密時間和本文設計方法的最長加密時間相同。實驗結果表明本文的安全技術加密時間較短,且方法具有一定的可靠性。

為進一步驗證所提出技術實現的簡便性,設定數據報文數量分別為500、1 000和1 500,實驗測試時,僅改變數據報文數量,其他數據訪問和存儲條件不變。每組數據報文數量測試5組得到3種方法的解密時間,測試結果見表2。

表2 解密時間測試結果

由表2可知,隨著數據報文數量的增加,本文方法和現有方法的解密時間逐漸增加。數據報文數量為1 000時,本文方法的解密時間為17.57 s,而基于BP算法的安全技術優化路徑和基于密鑰標記的安全技術優化路徑的解密時間分別為24.64 s、25.82 s。因此,在相同數據報文數量條件下,本文方法的解密時間更短,并且在數據報文數量較多時,該方法可以節省更多解密時間。測試結果證明了本文提出的網絡數據安全技術優化路徑,具有較好的應用性能,保證了網絡數據的安全。

5 結 語

本文提出的網絡數據安全技術的優化路徑方法,通過構建網絡數據安全保障模型提升了網絡數據傳輸的安全性,采用設計數據保密算法,優化了網絡數據傳輸的聚合分布,實現了網絡傳輸數據的加密,保證了傳輸和存儲的安全性。并通過實驗驗證了所提方法,可以為計算機用戶的數據安全提供保障,保證數據的完整性和數據傳輸的可靠性,符合現代化網絡環境的安全需求。但是此次研究未針對具體的互聯網、物聯網或社交網絡數據傳輸進行分析,下一步研究將具體到某一網絡,通過對多種類型數據的傳輸與測試,進一步擴大所提方法的應用范圍。