网络数据安全技术的优化路径

衣文娟

(青岛酒店管理职业技术学院 信息工程技术学院, 山东 青岛 266100)

网络传输具有数据分享快、节约传输资源和空间等优势。网络传输数据可以在一定程度保证数据的完整性。同时,用户在查找数据时也可以直接搜索以获取想要的数据,让数据的传输和使用更加方便[1]。传统计算机数据存储技术具有很高的保密性,但通过网络进行传输时会存在数据泄露的风险,因此,解决数据泄露风险、研究网络数据的安全保障技术十分重要。

为方便数据调用,网络数据在计算机中储存前要进行分类,网络数据安全技术主要目的是保护网络使用用户隐私,随着如今的网络环境越来越复杂[2],原本的数据安全技术已经不能满足现代化的数据传输要求。赵男男[3]采用误差逆向传播算法(Back Propagation,BP)实现信息聚类和编码设计,并构建双层结构的编码输出结构模型,利用自适应匹配滤波算法实现了端到端信息防御和攻击。杜天琦[4]在明确无线传感器网络密钥管理影响因素的基础上,设计了无线传感器网络密钥管理方案,实现了无线传感网络安全防护。虽然上述方法优化了网络安全数据传输技术,但在传输数据时用户信息也可能被泄露,因此上述2种方案在保护过程中容易引起安全问题。

网络数据安全受到影响的主要原因为:①外界的影响因素导致数据安全受到威胁[5];②人为因素导致数据安全受到威胁[6]。为进一步保证网络数据安全,本文在构建网络数据安全保障模型的基础上,设计数据保密算法,优化网络数据传输的聚合分布,实现网络数据安全技术优化。

1 优化网络数据安全保障模型

1.1 设置安全模型数据传输的粒度

为保证网络安全技术可以真正保护网络数据安全,优化原有的网络数据安全保障模型,模型整体结构由数据终端、数据转发层、攻击数据识别模块4部分组成,具体结构如图1所示。

图1 模型结构

(1) 数据终端。数据终端主要负责对数据进行加密,在数据传输之前生成传输密码,并在传输数据中添加上传输密码。数据终端在向数据安全管理器发送数据的同时,也会将数据验证表进行转发。因此在数据管理器中,只能查询到数据验证表和报文计数表。数据终端可以根据用户对数据的查看权限判断数据能否被当前账户查看。对需要进行严格保密的数据粘贴自定义标签,并设置单独的密钥。密钥的Hash值可以在发送数据报文前随机生成。数据终端设备生成的密钥身份验证数据也是随机的。

(2) 数据转发层。数据转发层的设备与数据安全管理器相连接,通过转发设备与数据终端连接,进行报文数量管理、传输控制、数据验证和攻击数据识别等操作。SDN网络内部的传输设备为该模型的数据传输设备[7],在数据传输过程中有效地保护数据安全,且该设备具有可编程能力,可以根据数据的安全等级调节密码的复杂程度。

(3) 攻击数据识别模块。攻击数据识别模块可以识别出与传输数据不同的数据,在控制器流规则应用中实现数据的细粒度精确筛选,保证正常传输数据中不混进恶意攻击数据。

1.2 设计密码标识

网络数据安全保障模型中最重要的部分为密码标识,每段数据以数据流的方式发送,按照数据流特征进行密码标识设计。

Flow_ID字段的数据流中加入了固定密码,因此提升了数据传输过程中的数据流安全性,数据在数据流字段进行了有效加密,还被指定了数据的接收单位,在未到达接收单位之前的所有接收数据表地点均无法接收数据。即使管理员的公钥也不能在非紧急情况下打开数据密码[8]。减少公钥的使用频率可以节省数据安全技术成本,并在计算机或其他载体需维护时,确保攻击者不会使用公钥盗取数据。

为保证数据传输过程中的数据包完整性,在完成数据传输动作前不能打开数据包,本方案降低了数据传输中途打开盗取或复制数据包的风险,进一步保障了数据安全传输。密码标识结构如图2所示。

由图2可知,IP_Header分别由Next_Type、SrcDev_ID 和Verification_R 组成。其中,Next_Type部分可以保证接收方只有解析了前一个数据包密码,才能查看后一个数据包,不能改变数据包的查看顺序,也不能跨越顺序随机查看数据,数据包的唯一解密方式是破译数据密码。

图2 密码标识结构

2 优化基于保密度划分的数据保密算法

在设计数据保密算法前需划分数据的保密度。发送方先将所需保密数据进行分类,并定义每个分类。

为保证数据定义的合理性和算法的可靠性,对数据的分类结果进行迭代[9],将数据的分类结果定义为a,将对a进行保密后的数据集定义为A,此时数据集A的保密等级为D级,则D为

式中:Ai为数据集中选择到第i个数据;lg(·)为以10为底的对数。

发送方划分数据集中数据的保密度,计算保密度分值为

式中:β(a)为数据a的保密度划分结果;R(a)为a在数据集中的位置。

在数据集未进行保密度计算之前,数据集是按照数据的大小和代表的实际含义进行分类的,但数据的实际含义是人赋予的,因此在保密度划分时,需进行人工划分。上述方法的人工计算量较大,数据保密的效率较低,且由于不同划分人员具有一定的主观性,导致划分的保密度也不同,从而影响算法最终的结果。同时,该方法还可能导致同一数据集中具有较多种类的保密数据,数据传输速度减慢。各个保密等级在混淆计算的前提下,只能保证数据的保密质量[10],不能保证数据的算数速度。

针对上述问题对原有的保密算法进行优化,首先,加入保密度分类的步骤,在数据传输的应用层划分数据的保密等级,将其中典型数据进行人工划分;然后,在算法中按照该方式划分,计算每个数据和人工划分结果的相似度,其结果为

通过改变原有的数据集分类方式,按照保密等级重新分类,每个保密等级数据集中的重要度数值相同,并按照数据的保密度排序数据集。在发送数据时,为避免过多的保密度分类造成密码设置混乱,在数据的应用层进行保密设置时,先根据保密等级进行高保密度数据优先设置,优化后的算法可以引入保密等级倾向度,使分级更加细化。

3 优化网络数据传输的聚合分布

在网络数据安全技术的优化过程中,要有数据保密算法,还要结合数据的等级保护机制,对不同的人群采取不同的保护机制。

加密算法主要是保护网络数据在传输和储存的过程中,防止被不法分子攻击导致数据泄露,而不同的数据权限查看的范围也不相同,因此需使用其他方式来保证数据的安全。本文选择的方式是优化网络数据传输的聚合分布方法,避免发布的数据在无权限的查看中进行聚合[11],没有数据查看权限的用户只能看到数值的个数和增加数据的具体数值。从数据隐私保护角度而言,数据的保密度越高,数据传输的聚合分布越难,但双重叠加的保密性越高,对攻击数据的抵抗性也越高,对于网络数据传输的聚合分布有以下的安全性要求。

(1) 数据处于双重保密制度,即使被外界拦截,也无法解密数据包。

(2) 部份数据受到攻击后[12],由于密码的独立性依然能够保证其他数据的安全,从而避免了数据完全泄露的情况,数据发送方可以尽可能地挽回损失,寻找补救办法。

(3) 原始数据在加密和解密的过程中不会破坏原本的数据结构[13],打乱的数据顺序也可以在短时间内恢复,没有其他高保密措施的解密复杂性高,适用于大部分网络数据的加密。

(4) 网络数据传输的聚合分布结果只在数据传输时使用,并不会随着数据的传输而影响数据的属性。在双重的保护措施下,攻击者试图查看原文时,只会看到聚合结果的实体,使得攻击者无法进行差分分析。

4 测试实验

为验证本文设计的网络数据安全技术的优化路径是否能满足现代网络的数据传输要求,设计对比测试实验。将本文设计的网络数据安全技术的优化路径和传统的基于BP算法的安全技术的优化路径、基于密钥标记的安全技术的优化路径相比,分别进行了3种网络数据安全技术优化路径的安全性测试,并讨论测试结果。

4.1 实验环境搭建

为验证安全技术的实用性搭建测试评估安全性的系统,系统的结构如图3所示。

图3 安全性评估系统结构

图3中的数据接收节点共有8个,除节点1外其余为转发节点。8个节点共用一个节点控制器,控制器与节点单独连接,节点之间也相互连接。节点控制器和节点之间的通信依靠远程过程调用(Remote Procedure Call,RPC)进行,节点控制器可以对数据的转发和传输进行监控,监控在恶意攻击下的数据包被损坏或被拦截导致数据泄露,对数据的安全技术进行有效评价。在此基础上,实验环境的软硬件参数见表1。

表1 实验环境参数

将节点控制器与IP子网的接口进行连接,并进行数据传输的测试,在接口处监测数据传输,连接数据的传输接口后,通过3种方式发送新增自定义密码标识,并在接口处进行数据加密转化和初始化,节点控制器发送的数据类型为unknow类型的数据,字节数量为8 bit。

4.2 实验结果

将本文设计的网络数据安全技术的优化路径和传统的基于BP算法的安全技术的优化路径、基于密钥标记的安全技术的优化路径进行对比,比较不同的数据报文数量的加密时间,实验结果如图4所示。

图4 实验结果

由图4可知,随着数据报文数量的增多,3种安全技术的加密时间都有所上升,但本文设计方法是有规律地逐渐递增,而其他2种方法均无固定规律,时间曲线具有较大的波动性。而本文设计的网络数据安全技术的优化路径在报文数量为60时,加密时间控制在80 ms以下,基于BP算法的安全技术的优化路径和基于密钥标记的安全技术优化路径最短的加密时间和本文设计方法的最长加密时间相同。实验结果表明本文的安全技术加密时间较短,且方法具有一定的可靠性。

为进一步验证所提出技术实现的简便性,设定数据报文数量分别为500、1 000和1 500,实验测试时,仅改变数据报文数量,其他数据访问和存储条件不变。每组数据报文数量测试5组得到3种方法的解密时间,测试结果见表2。

表2 解密时间测试结果

由表2可知,随着数据报文数量的增加,本文方法和现有方法的解密时间逐渐增加。数据报文数量为1 000时,本文方法的解密时间为17.57 s,而基于BP算法的安全技术优化路径和基于密钥标记的安全技术优化路径的解密时间分别为24.64 s、25.82 s。因此,在相同数据报文数量条件下,本文方法的解密时间更短,并且在数据报文数量较多时,该方法可以节省更多解密时间。测试结果证明了本文提出的网络数据安全技术优化路径,具有较好的应用性能,保证了网络数据的安全。

5 结 语

本文提出的网络数据安全技术的优化路径方法,通过构建网络数据安全保障模型提升了网络数据传输的安全性,采用设计数据保密算法,优化了网络数据传输的聚合分布,实现了网络传输数据的加密,保证了传输和存储的安全性。并通过实验验证了所提方法,可以为计算机用户的数据安全提供保障,保证数据的完整性和数据传输的可靠性,符合现代化网络环境的安全需求。但是此次研究未针对具体的互联网、物联网或社交网络数据传输进行分析,下一步研究将具体到某一网络,通过对多种类型数据的传输与测试,进一步扩大所提方法的应用范围。