AES算法的通信网络防御数据全同态加密方法

谢金涛，许晓赋

(1.三明学院 教育与音乐学院，福建 三明，365004；2.三明学院 机电工程学院，福建 三明，365004)

步入21世纪后，人们对通信网络的依赖度变多。在通信网络贯穿于日常生活之中，人们使用通信网络便可获取更多非接触式信息。通信网络的普及加快了生活节奏，而因为黑客技术的出现，通信网络也出现被异常入侵的问题[1-3]。此时，防火墙、入侵检测技术和漏洞扫描技术等也相应出现，通信网络防御变成近年来网络安全保护领域中的热点问题。

很多文献对此问题均进行深入研究，如文献[4]提出基于身份认证的船舶通信网络全同态加密方法，该方法对船舶通信网络具有较好的加密效果，而当密钥长度存在变化时，加密性能有待验证；文献[5]提出基于神经网络与复合离散混沌系统的双重加密方法，该方法的加密性能更为显著，但是加密效率和空间开销还需要进一步优化。

伴随科学技术的快速发展，通信网络入侵技术也在不断更新，在此情况下，使用传统的防火墙、入侵检测技术保护通信网络安全也不再受用[6]。AES算法表示高级加密标准 （advanced encryption standard，AES），又称Rijndael加密法，是分组对称加密方法的一种，其具有加密效率显著、安全性显著的应用优势，在数据加密问题中较为常用。在传统的电子密码本模式中，AES算法的种子密钥不会出现变化，各组明文分组使用一致的初始密钥。对通信网络防御环境中敏感数据进行全同态加密时，种子密钥被破解的概率较大，这对通信网络数据安全存在负面影响[7]。

即使传统AES算法能够通过验证，可以防御已知密码分析与入侵，而AES属于迭代类密码，入侵者能够使用轮密钥和种子密钥的关联性获取种子密钥的比特位，之后实施少量运算的穷举入侵，便能够破解密文。公开加密算法的稳定性与密钥长度存在直接联系，这对穷举入侵提供了便利条件。

因此，本文深入研究通信网络防御数据全同台加密问题，提出基于AES算法的通信网络防御数据全同态加密方法，在通信网络防御前提之下，先检测通信网络防御环境中的敏感数据，再对敏感数据进行全同态加密，实现通信网络敏感数据的深层次加密。

1 通信网络防御数据全同态加密

1.1 基于滑动窗口分段提取通信网络防御敏感数据

（1）滑动窗口分段

在获取通信网络防御环境中数据的时间序列特征时，必须分割时间序列，以此不破坏数据的完备性。为此，本文使用滑动窗口分段方法分割通信网络防御环境中的网络数据，此方法滤噪性显著，能够参照子序列变动趋势，调节步长、减少运算量，以此减少敏感数据提取耗时[8]。

将通信网络防御环境中运行数据的时间序列设成Yj，时间序列的长度是C，一维时间序列是，是时间序列Yj在一维空间里的投影。时间序列Yj在通信网络里的特征能够描述成一维时间序列在通信网络中的特征。在时间序列中设置滑动窗口，V是窗口长度，一维时间序列里首个数据点和滑动窗口的左侧具有对齐性，使用步长m滑动窗口，当一维时间序列里具有的最后一个数据点和滑动窗口右侧对齐便可结束。各个滑动窗口里子序列的特征信息提取方法如下：

则

（2）变步长

本文使用变步长的形式优化数据特征提取效率。通信网络防御环境中，极值点与目前点之间距离能够使用子序列相应的趋势函数估计获取。若趋势函数不大于前期值，符号也不存在变化，此时需要缩小步长；若趋势函数不小于前期值，符号也不存在变化，此时需要增大步长。步长是。

使用滑动窗口的方法对数据实施平滑处理，去除通信网络防御环境中数据里的噪声，子序列值的总数能够描述为滑动窗口的长度。窗口较大，表示数据滤噪效果佳，为此必须按照实际状况使用对应大小的滑动窗口[9-10]。

（3）匹配测度

时间序列Yj和其在一维空间投影获取的一维时间序列特征值不存在差异[11]。时间序列Yj的特征向量GYj可分为q个特征向量。

设置q维时间序列是Ya、Yb，Ya、Yb的长度不存在差异；若各个分量在特征向量里存在一致性，表示两个时间序列波形较为相似，则时间序列Ya、Yb的匹配测度r（a，b）是

其中第i个指标在q维时间序列Ya中特征向量是yi；第i个指标在q维时间序列Yb中特征向量是xi。是时间序列在一维空间里的投影。匹配测度r（a，b）显著，表示时间序列Ya、Yb的相似性显著，根据匹配测度r（a，b）便可获取通信网络防御环境中的敏感数据。

1.2 基于复合混沌序列的动态密钥AES加密的数据全同态加密方法

使用基于复合混沌序列的动态密钥AES加密的数据全同态加密方法[12]，实现通信网络防御数据全同态加密。此方法加密效率显著，内存占比较小，且运算量较少，复杂度不高[13-14]。该方法的示意图如图1所示。

图1 复合混沌序列的动态密钥AES加密

如图1所示，此方法将Logistic与Tent混沌序列组合，建立复合的混沌序列，将其设成明文加密的初始动态密钥，对数据块逐块实施AES分组加密，以此获取密文。全部明文数据块均应用差异的密钥实施加密，以此实现一数据一密。因为各个明文密文对实际密钥信息存在约束，入侵者就算得到多组明文密文，也不能破解混沌密钥。

通信网络防御环境中，数据全同态加密流程图如图2所示。图2中具体步骤如下：

图2 数据全同态加密流程图

（1）混沌系统建立和参数初始化

先使用秘密信道或公钥加密机制传递Logistic和Tent映射控制参数ψ与φ、Logistic和Tent映射控制参数初始值d0与e0、基本迭代次数M的私钥。依次在加密与解密过程中建立参数一致的Logistic、Tent映射混沌序列。按照需加密明文的长度能够获取明文分块参数，分块参数分为分块组数与分块后剩余字节数。

（2）混沌序列获取与二级制量化

将Logistic和Tent混沌序列分别实施M+m次迭代，实现数据的混沌序列离散化，依次可让混沌参数和明文长度存在关联性，明文特性在数据加密过程中十分重要。每加密一个数据块，都把Logistic和Tent混沌序列迭代16次，各个混沌实数序列需保留小数据点后3位的整数，实现混沌二进制序列量化[15]。Logistic和Tent混沌序列量化后的结果以交叉组合模式生成AES算法加密种子密钥。

（3）AES动态加密与尾端处理

使用第（2）步骤里获取的AES算法加密种子密钥，逐块实施AES加密，获取对应密文块，最后剩下的n个字节明文，直接使用Logistic、Tent混沌序列二进制序列实施位运算（也称异或运算），将运算结果的前8位实施位运算，获取尾密文。把密文块合并后连接尾密文，便可获取和明文长度一致的复合混沌序列AES加密的密文，实现通信网络防御数据全同态加密。

2 实验分析

2.1 实验设置

为测试本文提出的基于AES算法的通信网络防御数据全同态加密方法有效性，在Dual-Core硬件平台中进行仿真实验。仿真软件采用是NS2（network simulator,version 2），它是一种面向对象的网络仿真器，由UC Berkeley开发而成。它本身有一个虚拟时钟，所有的仿真都由离散事件驱动的。在此环境中构建无线通信网络场景，以基于身份认证的船舶通信网络全同态加密方法（参考文献[4]所提方法）、基于神经网络与复合离散混沌系统的双重加密方法（参考文献[5]所提方法）为对比，验证本文方法的加密性能。

2.2 加密效果测试

测试本文方法、基于混沌映射的数据加密算法和基于神经网络与复合离散混沌系统的双重加密方法三者在使用前后的无线通信网络入侵效果。入侵模式详情如表1所示。

表1 入侵模式

上述3种方法使用前后，无线通信网络入侵情况如图3所示。

图3 三种方法使用前后的无线通信网络入侵情况

图3所示表明，本文方法、基于身份认证的船舶通信网络全同态加密方法和基于神经网络与复合离散混沌系统的双重加密方法对无线通信网络防御数据加密前后，拒绝服务攻击DOS（denial-ofservice）、来自远程的非授权访问U2L（unauthorized access from a remote machine to a local machine）、非法获得超级用户权限U2R（unauthorized access to local superuser privileges by a local unprivileged user）、探测和扫描 Probe（surveillance and probing）四种入侵模式的入侵次数均得以降低，但对比之下，本文方法应用后，四种入侵模式的入侵次数均为0，表示本文方法对无线通信网络防御数据加密后，无线通信网络防御效果得以优化，数据安全性提升。另外两种方法应用效果和本文方法相比，稍有逊色。

2.3 加密效率测试

在将密钥长度依次设成128、256 bit的在此条件下，测试本文方法、基于身份认证的船舶通信网络全同态加密方法和基于神经网络与复合离散混沌系统的双重加密方法对无线通信网络防御数据的加密效率。结果如图4所示。

图4 三种方法加密效率的测试结果

在图4中，当密钥长度依次是128、256 bit时，本文方法、基于身份认证的船舶通信网络全同态加密方法、基于神经网络与复合离散混沌系统的双重加密方法对无线通信网络防御数据加密时，加密耗时具有明显差距，如本文方法的加密耗时都小于0.60 s，基于身份认证的船舶通信网络全同态加密方法、基于神经网络与复合离散混沌系统的双重加密方法的加密耗时都高于本文方法，由此可证，密钥长度不同时，本文方法的加密效率最高。

2.4 空间开销测试

当密钥长度依次设成128、256 bit时，将需加密的无线通信网络防御数据量依次设成10、20、30、40、50 G，测试本文方法、基于身份认证的船舶通信网络全同态加密方法、基于神经网络与复合离散混沌系统的双重加密方法对无线通信网络防御数据加密时，加密程序的空间开销，结果如图5所示。

图5 三种方法加密时空间开销测试结果

分析图5可知，当密钥长度依次是 128、256 bit时，三种方法在加密 10、20、30、40、50 GB的无线通信网络防御数据时，所用空间开销均有所不同。不同密钥长度中，本文方法加密所用空间开销最大值依次是11、11 KB；基于身份认证的船舶通信网络全同态加密方法加密所用空间开销最大值依次是60、61 KB；基于神经网络与复合离散混沌系统的双重加密方法所用空间开销最大值依次是77、74 KB，对比可知，本文方法加密所用空间开销最少。

3 结论

在电子商务、数字货币和网络银行等多种网络业务的高速发展的背景下，数据安全保护十分重要。怎样保护数据安全，让数据不被随意窃取、篡改、损坏是目前通信网络领域中数据安全保护的核心问题研究方向。加密是把明文的可读数据变换为密文，研究一种基于AES算法的通信网络防御数据全同态加密方法，并在实验中，以仿真实验的形式测试本文方法的加密效果。经实验测试可知，本文方法对无线通信网络防御数据加密后，无线通信网络防御效果得以优化，数据安全性提升，且加密效率显著，空间开销较少。因此，与基于身份认证的船舶通信网络全同态加密方法、基于神经网络与复合离散混沌系统的双重加密方法相比，本文方法更适用于通信网络防御数据安全保护工作。