基于同態(tài)加密算法的網址鏈接數據防泄漏算法

包空軍，孫占鋒

(鄭州輕工業(yè)大學，河南 鄭州 450001)

1 引言

計算機在各個領域當中并被廣泛應用，其中，企業(yè)隱私信息在網絡中的安全性越來越受到關注。為了保護企業(yè)的機密信息不被有意或意外泄露，數據泄漏防范技術應運而生。

李家春等[1]提出一種基于防止協(xié)作式位置信息攻擊的位置隱私保護方法，設計基于用戶與好友在線交互的關系強度計算方法，給出關系強度與位置隱私的相關性和量化方法，提出基于協(xié)同位置信息隱藏和時間調整的位置隱私保護算法。在twitter數據集上的實驗結果表明，該方法能夠滿足用戶的位置隱私保護需求，且保護效果較好。王曉明等[2]提出一種無線網絡數據傳輸加密協(xié)議的設計，利用AES加密算法加密用戶數據中的數據頭與數據體，根據TCP與UDP傳輸協(xié)議的不同屬性，設計對應的數據加密方案。

上述兩種方法在一定程度上可以防止敏感信息的泄漏，但防止用戶通過非敏感數據和綜合其它外部知識間接推斷敏感信息的性能較差。為此提出一種網址鏈接數據防泄漏算法。其創(chuàng)新之處在于兩方面：一方面采用同態(tài)加密算法，在云模式下更好的控制子系統(tǒng)，解決平臺重要信息泄露問題，實現信息的保密傳輸；另一方面通過混沌序列防泄漏算法的設計，分析網址鏈接數據防泄漏算法的抗破譯能力，運用密文數據統(tǒng)計呈現的狀態(tài)，判斷該算法的防泄漏性能，有效提高安全性和運行速度。

2 全同態(tài)加密算法數據保護特點分析

全同態(tài)加密保證了數據處理器處理后數據的明文信息，可以直接處理數據的密文，從而使用戶信息得到相應的安全保障，但是其無法判斷數據是否為明文。因此，本文采用全同態(tài)加密算法，在操作密文的同時，可以恢復明文[3-4]，完善傳統(tǒng)的加密模式。

首先，所提方法的原始信息加解密示意圖如圖1所示。云背景下信息加解密如圖2所示。

圖1 原始信息加解密示意圖

圖2 云背景下信息加解密示意圖

如圖2所示，在信息加解密過程中，該系統(tǒng)可以向連接到服務器的多個用戶發(fā)送請求，但不利于隱藏和保護隱私信息。以上所有訪問都需要通過服務器進行操作，訪問控制模型的設計是針對云服務的特殊環(huán)節(jié)，主要是保證隱私訪問的安全性，即只有滿足信任級別的要求，才能授予權限[5]，這確保了用戶可以在其清晰可控的范圍內訪問網頁，也可以提高訪問級別，增加私有數據的保護程度，滿足用戶自身對網頁的應用需求，保護私有數據。

需要對私有信息實施保護措施，Alice內存在私有函數fA與私有信息xA，Bob將私有信息yB用私有公鑰kB實施加密，獲得E(y)傳輸到Alice，Alice利用私有函數fA加密私有信息xA與E(yB)。充分利用全同態(tài)性質[6]，函數fA將被隱藏處理，可通過Bob獲得E(fA(xA，yB))。Bob利用私有的私鑰加密操作D(E(fA(xA，yB)))=fA(xA，yB)。加密信息的處理過程在圖3中展現。

圖3 加密信息處理過程

圖3對數據信息進行加密處理，Alice中存在私有函數fA，并運用私有公鑰kB加密函數fA發(fā)送到Bob當中。Bob根據私有信息xB運算出E(fA)(xB)。利用同態(tài)性，對Bob的信息xB隱藏處理，獲得了E(fA(xB))，并將其發(fā)送給Alice。Alice用私鑰解密它以獲得fA(xB)。加密函數的處過程在圖4中展現。

通過以上研究，使用同態(tài)加密技術對重要數據進行加密并存儲在云平臺上。在這個過程中，用戶使用的關鍵字是同態(tài)密文，因此不需要對密文數據進行解密。這不僅保證了存儲在云存儲平臺上的用戶數據的安全性，也緩解了用戶對云平臺不完全信任的現象，在一定程度上保證了用戶的搜索隱私。

3 網址鏈接數據防泄漏算法

3.1 防泄漏模型與設計

由于定量混沌系統(tǒng)的信息丟失之后[7]，序列信息逐漸趨于零，很難保證長期預測的準確性。另外，混沌同步是實現信息解密的關鍵手段，但由于相關信息在泄露之后，計算機系統(tǒng)只能恢復到整個系統(tǒng)的起始狀態(tài)，所以，混沌序列的防泄漏方法被列為現代密碼學的一個重要研究前沿。

由于web鏈路數據在傳輸過程中穩(wěn)定性較差，并且伴隨著一定程度的離散現象發(fā)生，因此需要獲得離散時間動態(tài)系統(tǒng)軌跡。一維離散非線性動力系統(tǒng)定義表達式為

xn+1=T(xn)

(1)

在式(1)中，xn∈V，n=0，1，2，3…，而T：V→V作為映射過程，將網址實時狀態(tài)xn映射至下一個狀態(tài)xn+1。若從初始值x0開始并重復應用T，則會獲取到序列{xn，n=0，1，2，3…}，此序列代表離散時間動態(tài)系統(tǒng)的軌跡。

非線性動力系統(tǒng)具有隨機性，對初始值的設定有較高的要求，需要符合序列密碼的要求。設置從初始值的定義公式為

x0=μ×xn×(1-xn)

(2)

在式(2)中μ∈(0，4)，xn∈(0，1)。當μ∈(3.5699456…，4)時，logistic映射序列呈現出混沌的狀態(tài)。因此，{xn，n=0，1，2，3…}從初始值x0在logistic映射的基礎上產生，展現出非周期且不收斂狀態(tài)。

公式中的logistic映射混沌系統(tǒng)生成的序列的概率分布函數P表達式即

(3)

通過P(x)能夠方便地計算出由Logistic映射產生的混沌序列進行統(tǒng)計。在x的時間平均值，即混沌序列軌跡點的平均值表達式為

(4)

針對互相關函數，分別選擇兩個初始值x0和y0，那么序列的互相關函數公式即

(5)

從以上分析可知，混沌動力系統(tǒng)的形式簡單，對初始條件敏感，并且具有白噪聲的統(tǒng)計特性[8]。

該動態(tài)系統(tǒng)中，實數序列映射到整數序列形成的偽隨機序列{xk}稱為加密密鑰序列，也就是在發(fā)送數據給對方之前對數據進行加密，將加密后的數據發(fā)送給對方，解密后才能得到明確的文本，由此，本文采用一種Logistic混沌映射的防泄漏模型，進行數據防泄漏設置，該模型如圖4所示。

圖4 混沌序列防泄漏模型

考慮序列的隨機性和加密速度，設計完整的網址鏈接數據防泄漏算法，在圖5中展現。

圖5 混沌防泄漏算法框圖

隨機數的間隔M取5為宜，而Yk取Xk小數點后的第4、5、6位，可以從根本上提升抗干擾能力[9]。已經證明，為了克服轉換過程中的不利影響，可以去除一部分多余的數據，因為用戶很難記住兩個浮點數作為密碼，在實際操作中需要將用戶記憶的字符串映射到X0和α當中。

3.2 提升算法抗破譯性能

密碼分析的關鍵是獲得用戶設定的初始值x0或參數μ，將這兩個值作為浮點數，設定計算機的浮點數的有效位數為16位，則15+15=30位的總數具有不確定性，其中可能組合數為1030。然而，現有的56bit DES防泄漏算法，對密鑰耗盡攻擊十分有效，即具有窮盡的譯碼安全性[10]。

為了提高對選擇明文攻擊的防御性，需要對Xn實施數據處理后，將Xn和Xn+1間的關系復雜化，以避免攻擊者通過簡單的操作求解μ的值。為了使其關系復雜化，利用區(qū)間取數的方法。如果Xn和Xn+1間有一個數字，那么兩者的關系為：

(6)

3.3 密文數據的統(tǒng)計分布計算

網站鏈接數據在傳輸過程中所得到的部分數據是低價值數據，需要將其預處理、過濾和安全存儲，實現綜合處理，而隨著時間的推移，網站鏈接數據將會增加，因此要對網站鏈接數據進行系統(tǒng)的管理、分類和定期清理。

采用混沌和色散的概念，使網站鏈接數據能夠隱藏冗余的明文信息，那么防漏系統(tǒng)幾回充分利用密文空間，即混沌序列充分利用防漏空間。此時，明文和密鑰序列都被作為數據流的一個字節(jié)，選取任意字節(jié)的明文m和密鑰k。設m取不同的值，即某一位出現0或1的概率不相等，并設出現0或1的數據位為單獨事件。設定第一明文字節(jié)出現1的概率為Q，在理想標準下，密鑰序列須符合白噪聲特性[12]，即每字節(jié)出現0或1的概率相等，為0.5。加密后鏈接數據密文c第一位出現1的概率表達式為

Q(ci=1)=Q(mi=1，ki=0)+Q(mi=0，ki=1)

=Q×0.5+(1-Q)×0.5=0.5

(7)

因此，可以判斷加密密文的概率分布一致，至此實現網絡鏈接數據防泄漏算法設計。

4 實驗結果分析

為了驗證本文所設計算法的防泄漏的有效性，在PC機上搭建了實驗環(huán)境。硬件配置為：InterCorei5-2350M CPU @ 2.40GHz，8.0GB RAM。軟件環(huán)境為Windows 8 64位操作系統(tǒng)，Matlab R 2014 b。此次實驗使用麻省理工大學入侵檢測實驗室的KDD99數據集，選取的數據標簽分為正常數據(3542條)與DOS攻擊類數據(1458條)一共5000條數據。將文獻[1]方法與文獻[2]方法的數據保護方法作為對照組，并以生產不同長度明文的時間、入侵檢測率作為實驗指標。

4.1 不同明文長度生成時間

針對不同明文生成長度，當k=150和k=n1/2時的不同狀態(tài)，對所需時間消耗進行分析，具體內容如表1所示。

表1 不同長度明文生成時間消耗

從表2可以看出，對于較小的文本，為了增加密文的抗攻擊性和防泄漏性，可以選擇不同k值的狀態(tài)進一步確定。對容量較大的文本，選擇k值為k=n1/2。為減少明文的加密時間，可以選擇k=150。

4.2 不同方法的入侵檢測率

為進一步驗證本文算法的數據防泄漏性能，將入侵檢測率作為實驗指標，檢測出的攻擊數據占比越多，入侵檢測率越高，越能保護網絡鏈接數據的安全。在本實驗中，將5000條數據隨機劃分為5組，每組1000條。用本文提出的網址鏈接數據防泄漏算法與文獻[1]以及文獻[2]方法檢測5組數據中的DOC攻擊數據。在MATLAB中，對5組數據實施分析操作，統(tǒng)計出不同方法的入侵檢測率。具體內容如圖6所示。

圖6 不同方法的入侵檢測率對比圖

通過圖6可以看出，檢測5組數據過程中，對比的兩種方法入侵檢測率在30%～60%之間，本文算法的入侵檢測率則始終高于80%。是因為本文通過混沌序列抗泄漏算法的設計，提高了對攻擊數據檢測精度，與其它兩種算法相比較而言更加可靠，且具有顯著優(yōu)越性。

5 結論

1)為完善網址鏈接數據傳輸過程易發(fā)生隱私泄露的情況，提出一種網址鏈接數據防泄漏算法，基于同態(tài)加密算法構建新的數據加密與存儲模式，當密鑰值k=n1/2時，其抗攻擊性和防泄漏性較強。

2)為了避免物理同步混沌系統(tǒng)中攻擊者入侵問題，利用計算機軟件實現了數據文件的加密，取得了滿意的效果，其入侵檢測率高于80%，當密鑰值k=150時，明文的加密時間較低，傳輸過程的運行速度快。

3)受到實驗平臺和現有技術的限制，所提方法只能單獨設置密鑰值，即只能滿足單一防御目標，下一階段研究重點要放在系統(tǒng)運行過程復雜度上面，減少系統(tǒng)所占用的內存，增加系統(tǒng)的同步處理能力。