基于雙向尋優粒子群的網絡涉密信息安全存取

張 萍

（廣東警官學院 網絡信息安全系，廣東 廣州 510230）

計算機網絡的迅速普及和發展，掀起了計算機領域的應用浪潮，例如電子商務、遠程教學及數字圖書館等[1]。在各種應用不斷擴展的形式下，網絡具備的計算功能和不斷創新的服務已成為廣大用戶生活和工作中不可或缺的助手。然而，隨之出現的網絡黑客、各種病毒和一些惡意攻擊、犯罪等安全事故成為網絡應用的重點課題，其中不乏盜竊涉密信息和破壞機密情報等現象，導致網絡安全已成為目前網絡發展中非常重要的內容[2-4]。就目前網絡安全性研究而言，網絡信息數據存儲方面的安全性重視程度較高，且已經出現了很多優秀成果，但是對于網絡信息存取安全性重視程度還有待提升，相關問題亟待解決。

鄭志恒等[5]針對云存儲中數據機密性無法得到保證的問題，提出IBPRE 算法，同時將其應用在云存儲訪問控制中。該方案把重加密密鑰劃分為2 部分，其中一部分用在重加密中，另外一部分用在授權中，實現數據存儲和訪問的安全控制。仇蓉蓉等[6]依據學術資源云存儲的安全需求分析，設計并構建學術資源云存儲安全分布結構及安全運行結構，同時分別從應用安全、內容安全、信息數據安全、虛擬化安全、基礎設施安全等方面對學術資源的云存儲和訪問安全性進行研究。過程中，應用安全保障包含用戶身份認證、管理、控制和應用程序及結構安全等內容；內容安全保障包含安全識別檢測、內容安全管控等內容；信息數據安全保障包含數據加密和數據完整性檢驗等內容；虛擬化保障包含安全域隔離和用戶數據隔離等內容；基礎設施保障包含云存儲設施的安全性、物理環境安全性等內容。

上述分別利用不同方式方法實現了網絡數據資源的存儲和訪問安全性分析，但是存取匹配度較低、在網絡攻擊下的網絡涉密信息丟包率較高。為此，本文提出基于雙向尋優粒子群的網絡涉密信息安全存取方法，在保障信息數據安全性基礎上，提高數據利用效率。

1 基于雙向尋優粒子群的網絡涉密信息安全存取

1.1 網絡涉密分布式信息庫

網絡技術的快速發展，使大規模傳統數據庫不斷被分布式數據庫代替，因此網絡涉密信息數據安全性與保密性成為大眾關注的焦點。信息安全性主要包含傳輸信息安全性、存儲信息安全性以及訪問信息安全性[7]。其中，傳輸信息安全性保證方式為網絡操作系統和其有關的傳輸協議，以密碼學為基礎實現信息的加密和解密操作。數據庫及其管理系統是信息數據的存儲池與訪問池，在保障信息數據安全存儲與安全訪問基礎上，具備一定安全防范性能，也就是滿足信息保密性及完整性。網絡模式下信息數據存取地傳統單機模式更加復雜，主要原因為：網絡中信息數據具備更為廣泛的共享性；網絡中數據訪問途徑具有復雜性；網絡中信息安全性要求和對策具備多樣性與繁雜性。

綜合考慮上述因素，將研究重點放在網絡模式下信息存取安全性研究上。在網絡涉密信息數據庫中，在服務器端、客戶端中分別引入身份驗證和訪問控制以及端對端加密機制，實現信息安全存取，同時回避一般的臨時文件存儲交換信息數據方式，采用內存映像文件形式實現網絡信息安全存取，保障信息安全性。

分布式信息庫主要分為3 層結構，如圖1 所示。分為客戶層、應用層、數據庫服務層，使用的連接方式為Lan。3 層分布式信息庫重點為如何保障系統信息數據在存儲和訪問傳輸過程中的保密性與完整性。

圖1 分布式信息庫3 層結構

網絡涉密信息安全存取原理為：信息庫中，應對非法攻擊最高效的對策為實行用戶身份檢驗與訪問控制，同時將用戶身份驗證與訪問控制工作量對比均衡地配置至各個站點。當主體（信息庫用戶）對客體（即信息庫中信息數據邏輯結構和對應資源）進行訪問申請時，先向應用服務器提出訪問申請，再經身份驗證與訪問控制判斷主體訪問權限與訪問資源范圍。

網絡涉密信息數據傳輸安全性：網絡涉密信息傳輸使用混合式的安全機制，即公鑰密碼和對稱密碼2種安全機制，實現信息流加密，以此保障信息在通信過程中的安全傳輸。詳細方式為使用端到端的加密法對網絡層與傳輸層間信息數據單元進行加密，使信息始終保持加密狀態，防止信息安全性與完整性遭到破壞。

1.2 信息安全存取

在上述網絡涉密信息庫安全設計基礎上，考慮到信息安全性、傳輸效率等方面，分別通過基于雙向尋優粒子群的可用傳輸連接確定、內存映像文件下進程間通信、內存映像文件下信息數據通信實現等部分完成信息安全傳輸。

1）基于雙向尋優粒子群的可用傳輸連接CP 確定。

在該步驟運行過程中，首先基于網絡涉密信息安全存取執行任務特點確定評價函數，用來分辨可用傳輸連接優劣，然后，依據可用連接特點判斷最差位置中亟待修正的比特，通過雙向尋優粒子群算法進行修正，一直到信息數據傳輸性能得到優化。

綜合考慮任務到達時間和數據分組傳輸情況、數據分組生存時長等方面，以提高任務數據到達率，表示如下：

根據上述評價，雙向尋優粒子群判斷當前滿足迭代結束條件與否。在此，根據靜態終止條件判斷算法結束與否，如果達到一定迭代次數，粒子群算法停止運行，反之，進行基于可用連接特點的雙向尋優步驟。

提出基于可用連接特點的雙向尋優機制對粒子整體飛行方向進行引導。根據將粒子當前位置和歷史最劣或者最佳位置進行對比，能夠高效引導粒子整體飛行方向，同時逐漸逼近最佳位置[8]。

根據相關分析可知，系統約束條件能夠使可行連接比特串中大比例地出現0 值。盡管擁有歷史最劣粒子，其中序列串中大比例0 值均會由于空負載而被禁止構建鏈路。基于此，雙向尋優粒子群算法在通過最差位置引導各個粒子飛行方向過程中，需要提前找到最差位置中可以正確引導方向的比特坐標。由此，粒子群算法引入平均位置定義，同時基于平均位置和最差位置比較判斷最差位置中亟待校正的比特。

獲取粒子群平均位置之前，引入下列統計參數，包含： n 、 m 分別表示相聯的兩條鏈路，表示狀態c 下鏈路n 到鏈路m 在雙向尋優粒子群中構建的次數；表示狀態c 下鏈路n 到鏈路m 關聯鏈路種類數；表示狀態c 下的鏈路種類數量；表示狀態c 下鏈路n 到鏈路m 關聯鏈路在雙向尋優粒子群中構建的次數；表示粒子在狀態c 下構建的鏈路數量； Nc表示粒子群在狀態c 下構建的鏈路總量；表示粒子CPi在狀態c 下第j 個比特值。

根據上述平均位置有關參數關聯性可知，鏈路之間可能存在沖突。假設簡單依據構建當前鏈路粒子總數超過粒子群數一般與否判斷目前比特均值為1 與否，那么粒子群均值中僅會存在極小比特值是1，從而造成很多有效鏈路被限制，錯誤引導粒子飛行方向。綜上，在取得平均位置過程中，雙向尋優粒子不但考量到目前鏈路在狀態內構建狀況，還考量到與其存在沖突的有關鏈路構建狀況，使得平均位置可以科學描述粒子群在目前迭代中的平均狀態[9-10]。平均位置計算過程中，先利用式（4）對目前鏈路獎勵數量比進行計算，然后通過式（5）對目前鏈路種類數量比進行計算。

式中， Rc,n,m表示狀態c 下鏈路（n-m）的獎勵數量比，表示狀態c 下鏈路（n-m）種類數量比，比較式（4）和式（5）結果，能夠判斷粒子群中目前鏈路n 到鏈路m 被大部分粒子建立與否。通過式（6）結果和1/ ()對比，若對比結果越接近1，建立的可能性就越大；反之，則相反。能夠識別粒子群中鏈路n 到鏈路m 在其有關鏈路集合中被大規模建立與否。

式中，vCPi,j(iter + 1)表示粒子CPi第j 個比特在第(iter +1)次迭代的速度，iter)表示粒子CPi第j 個比特在第iter 次迭代的值；(iter)表示粒子CP 第j 個比特在i第iter 次迭代的局部最優值，表示全局最差值，a1、a2表示局部和全局的影響因子，表示取值在[0,1]中的隨機數。(iter)表示粒子CP 第j 個比特在第iiter 次迭代的局部更新值，(iter)表示粒子g 第j個比特在第iter 次迭代的全局更新值，(iter)表示粒子g 第j 個比特在第iter 次迭代的局部最差值，計算式見式（9）和式（10），表示粒子CPi在第iter 次迭代過程中的慣性權重值，表達式見式（11）。

利用式（12）對已經完成速度與權值更新操作的粒子位置進行計算：

如果各個比特最終顯示形式為二進制數，那么最終粒子比特值計算式為

基于可用連接特性的雙向尋優程序持續迭代到滿足算法停止條件，獲取最終可用連接是具備全局最佳適應度值的位置。

2）內存映像文件下進程間通信。

在確定信息傳輸最佳連接路徑之后，結合文件映像與共享內存，在多個進程間共享資源，以此高效率、高安全性地實現信息數據存取。

傳統主體訪問客體的信息處理方法，是把從應用服務器中獲取的數據放在客戶端本地硬盤臨時文件上，待主體完成對數據處理之后刪掉，此種方法效率低下，同時安全性較差[11-12]。考慮到進程為裝入內存同時準備執行的一個程序，各進程均具備私有虛擬地址空間，根據代碼和信息數據及其可利用的資源構成，操作系統具備支持多進程特點。所謂進程之間通信即為不同進程之間實行資源共享與交換的過程，進程之間通信包含文件映像和共享內存等多種方式。內存在進程工作時，具備其獨有特點，也就是進程運行過程中，規劃出一塊供其利用，當結束時，則立即回收。由此能夠根據該特點實現臨時存儲與安全交換。

操作系統中虛擬內存可以將實際內存映像至頁文件或者交換數據文件，將內存映像至任何映像的文件，其中包含系統頁面自身，且應用程序能夠對此種能力進行拓展。文件映像可以用于提供效率更高且更為便捷的文件訪問模式，同時實現內存共享。

文件映像可以使進程將文件中內容作為進程地址區間范圍內一塊內存一樣對待，由此，進程無需使用文件I/O 操作，僅需要簡單指針操作即能夠讀取及修改文件中內容。

操作系統允許多個進程對同個文件映像對象進行訪問，且各進程在其自身地址空間范圍內接收內存指針。利用這些指針，各進程即能夠讀取或者修改文件中內容，高效實現文件中信息共享。

3）內存映像文件下信息數據通信實現。

在具體實現過程中，應用程序具備3 種方式使多個進程共享同一個文件映像目標。

第1 種方式為繼承：第1 個進程構建文件映像對象，其子進程繼承該目標對象句柄。

第2 種方式為命名文件映像：第1 個進程在構建文件映像對象過程中能夠給對象指定名字，而第2 個進程能夠利用該名字將該文件映像對象打開，除此之外，第1 個進程也能夠利用類似郵件槽等方式將名字傳輸至第2 個進程。

第3 種方式為句柄復制：第1 個進程構建文件映像對象，再利用類似郵件槽等方式將對象句柄傳輸至第2 個進程。此時，第2 個進程將該句柄復制，即可得到對該對象進行訪問的權限。

根據內存映像文件實現數據通信主要是用于客戶端，如果客戶端的應用接口進程要得到應用服務器中的數據，那么先利用命名文件映像實現文件映像對象的共享，同時將文件映像至內存中，再將信息當作映像至該區域中的物理內存提交上去，提交完成后給用戶交互界面進程傳輸信息達到的消息。當用戶界面進程開啟同時讀取完共享內存中信息之后，將文件映像對象以及文件對象關閉，防止資源泄露。

2 實驗結果與分析

為驗證基于雙向尋優粒子群的網絡涉密信息安全存取方法的有效性，將實驗平臺搭建在MATLAB 上，使用UNIX 類操作進行網絡涉密信息動態傳輸與存儲安全自動監測系統的接口程序編譯， 在類文件MinePressureCollectionC.nc 內完成網絡涉密信息動態傳輸與存儲安全自動監測控制，嵌入式總線控制指令的讀寫速率設定為12.3 Mb/s，網絡涉密信息傳輸的帶寬為12 Buad，載波頻率為3 kHz，波特間隔均衡器的階數為4，根據上述仿真環境和參數設定，在物聯網模擬實驗平臺下進行網絡涉密信息動態傳輸與存儲安全自動監測。實驗數據來源于網絡中某企業涉密信息資源庫系統，該系統支持多進程。信息數據安全性測試結果見表1，平均響應時間測試結果見表2。

表1 信息數據安全性測試結果

表2 平均響應時間測試結果

分析上述實驗結果可知，基于雙向尋優粒子群的網絡涉密信息安全存取方法具備較強的安全性與實時性。該方法依據雙向尋優粒子群算法確定網絡信息安全存取的可行連接，結合文件映像與共享內存，在多個進程間共享資源，內存在進程工作時，規劃出一塊供其利用，當結束時，則立即回收，根據該特點實現信息數據的臨時存儲與安全交換，有效提升了信息存取安全性與效率。

為了驗證本文方法的有效性，對本文方法、基于代理重加密的云存儲訪問控制方法和學術信息資源云存儲方法的網絡涉密信息安全存取匹配度進行對比分析，對比結果如圖2 所示。

圖2 網絡涉密信息安全存取匹配度對比

根據圖2 可知，隨著數據量的逐漸增加，3 種方法的存取匹配度也呈上升趨勢，而本文方法的網絡涉密信息安全存取匹配度最高可達95%，比基于代理重加密的云存儲訪問控制方法和學術信息資源云存儲方法的網絡涉密信息安全存取匹配度高。

為了進一步驗證本文方法的有效性，在網絡攻擊下對本文方法、基于代理重加密的云存儲訪問控制方法和學術信息資源云存儲方法的網絡涉密信息丟包率進行對比分析，對比結果如圖3 所示。

圖3 網絡涉密信息丟包率對比

根據圖3 可知，在網絡攻擊下，本文方法的網絡涉密信息丟包率在60%以下，而基于代理重加密的云存儲訪問控制方法和學術信息資源云存儲方法的網絡涉密信息丟包率在70%～100%，說明本文方法的網絡涉密信息丟包率較低。

3 結語

由于傳統網絡涉密信息安全存取方法的存取匹配度較低、網絡涉密信息丟包率較高，因此本文提出基于雙向尋優粒子群的網絡涉密信息安全存取方法。利用雙向尋優粒子群算法獲取可用連接，基于連接確定通過內存映像文件形式完成信息資源安全存取，經驗證，該方法具有魯棒性。網絡信息防泄漏不可小覷，下一步可針對防泄漏系統進行設計，以更好地滿足社會各界信息存取需求。