網絡安全認證服務器防火墻數據存儲加密仿真

曹士明，王宏志

(1. 吉林建筑科技學院計算機科學與工程學院，吉林 長春 130114；2. 長春工業大學計算機科學與工程學院，吉林 長春 130012)

1 引言

當前社會處于一個“信息爆炸”時代，伴隨著互聯網的廣泛應用與互聯網技術的普及，人們將內部網連接至互聯網，獲取自身所需服務[1]。網絡安全認證服務器是一種網絡安全訪問的實體認證，服務器內最關鍵的配置為防火墻，防火墻是安全管理的執行對象，是連接網絡與用戶的橋梁，在過濾危險信息、維護用戶數據安全方面具備關鍵作用，因此，保護防火墻數據的機密性顯得十分重要。

通常情況下，防火墻設備中保存著大量的網絡安全數據，傳輸公共信道與存儲計算機系統較為脆弱，極易遭受惡意攻擊[2]，攻擊類型也形式多樣。例如：從傳輸信道內攔截數據以及從存儲載體上偷竊數據，此種攻擊形式為被動攻擊，直接導致數據泄露；還有一種攻擊形式為主動攻擊[3]，就是在傳輸時對數據實施非法刪除、更改或插入，引起數據或文件混亂，并讓認證服務器處于失控狀態。因此，對防火墻數據進行存儲加密設計勢在必行。

針對加密算法，王佳慧[4]等設計基于瀏覽器云存儲應用的自動化數據加密系統，系統運用JavaScript動態程序分析技術，自動化識別與匹配云應用，運用安全網關執行下的密文搜索功能，在達到數據加密保護目標的同時維持云應用原有功能。該方法具備一定的魯棒性，拓展性能較差，加密計算誤差很高。梁艷麗[5]等把數據所有者利用智能合約構成的密鑰存儲于區塊鏈中，給數據標記訪問時間，滿足訪問策略與訪問時間的用戶才能訪問數據，加密部分數據，采用改進布隆過濾器，將數據屬性隱藏在訪問策略。但該方法運算過程繁雜，數據存儲加密耗時過多。

摒棄上述方法，本文提出一種基于混合算法的防火墻數據存儲加密方法。首先運用二維離散小波變換對防火墻數據實施預處理，剔除防火墻數據中的冗余信息，保證數據實用性與應用價值，通過超混沌系統與高級加密標準兩種方法實現高質量數據存儲加密，并利用仿真結果證明所提方法的可靠性。

2 二維離散小波變換下防火墻數據預處理

由于防火墻數據量龐大，還具有部分噪聲信息，倘若使用傳統去噪方式會導致數據格式損壞，本文使用二維離散小波分析策略，通過優秀局部化頻域性質，對防火墻數據采取預處理，將數據內展現的有用信息匯聚在少數二維低頻變換指數上[6]，二維高頻指數會展現出外界噪聲對數據的影響。本文會對低頻變換指數與對應的高頻指數實施編碼，但不剔除其它小波變換系數，以達到精準去噪的目的。將數據去噪過程記作圖1。

圖1 小波去噪示意圖

防火墻數據重構過程為：對各列變換結果采取一維離散小波反向變換，同理，對變換所獲得的各行數據實施一維離散小波反向變換，得到重構后的防火墻數據。

數據小波分解是一個把信號根據低頻向有向高頻分離的過程[7]，分解時還能按照實際需求通過小波分解獲得數據分量，直至達到理想的預處理要求。小波分解流程如圖2所示。

數據重構時，要使用尺度函數進行正交操作，完善重構準確性，將函數記作

(1)

式中，j代表幅度變量，m是延時變量，t為時間變量。

這時輸入信號會轉變為f(n，t)，轉變過程較為復雜。首先對n方位進行高通、低通與降頻處理，設定高通濾波器是h(k)，低通濾波器是g(k)，則數據處理過程為

(2)

式中，n、t依次表示防火墻數據的空間變量與時間變量。

圖2 防火墻數據分解流程

防火墻數據中存在諸多異常點，將其數據的含噪時間序列運算公式記作

W(i，t)=S(i，t)+N(i，t)

(3)

(4)

以上就是防火墻數據預處理推導的全過程，最終將數據預處理過后的信噪比計算過程描述為式(5)，信噪比數值越高，說明數據中的噪聲越小，數據質量越優[8]，反之數據質量較差。

(5)

式中，S(i，t)代表理想信號，(i，t)是小波處理后的估計信號，S(i，t)與(i，t)之間的差值表示噪聲。

3 基于混合算法的防火墻數據存儲加密

數據存儲加密算法眾多，混沌系統是最常應用的方法之一。和混沌系統相比，超混沌系統動力學行為更復雜[9]，在數據加密領域擁有更大的應用價值。本文引入超混沌加密理念，并融合高級加密標準(Advanced Encryption Standard，AES)策略，創建一種基于混合算法的防火墻數據存儲加密方法。

3.1 超混沌系統的擇取

通常來看，可以生成超混沌現象的系統，最低維數為四維。高維非線性系統一般是在低維非線性系統前提下，經過添加系統變量與微分方程得到的[10]。將四維超混沌系統數學模型記作

(6)

式(6)是一個四維非線性系統，將其標記為系統1，擁有x1、y1、y1、w1四個變量和a1、b1、c1、d1四個系統參數。非線性系統運行形態會受到系統參數與變量初始值的影響。

分維數展現混沌系統內吸引子結構的復雜水平[12]，將Lyapunov指數當作系統的分維數，并將其運算過程表示為

DL=3+(L1+L2+L3)/|L4|

(7)

接下來，在三維增廣系統基礎上，創建一個新的思維超混沌系統，命名為系統2，其參數釋義與式(6)相同，記作

(8)

3.2 高級加密標準

AES又被稱為Rijndael加密算法，是對稱密鑰加密中應用最多的方法，具備安全性高、靈活性強等優勢。AES方法在加解密時要將數據分組，各組數據長度均為128bit。該算法包含非線性構建、線性構件與輪密鑰[13]。計算中全部都是完整的字節操作，在加密時使用輪迭代架構。AES經過若干次迭代計算完成數據轉換，根據迭代數量的不同，可劃分成三類不同的加密形式：

第一，通過15次迭代轉換獲得密文，密鑰長度是128bit，標記成AES-128；

第二，通過18次迭代轉換獲得密文，密鑰長度是192bit，標記成AES-192；

第三，通過21次迭代轉換獲得密文，密鑰長度是256bit，標記成AES-256。

3.3 混合數據存儲加密算法實現

運用系統1和系統2具備的復雜動力學特征，設計一種密鑰空間大、敏感性強的超混沌—AES數據存儲加密算法。離散化處理系統1與系統2，獲得8個超混沌序列，對超混沌序列交叉實施異或混淆計算，破壞相同系統內不同序列之間的耦合關系[14]，這樣可獲得4個混沌序列；對4個混沌序列依舊采取異或混淆計算，得到2個混沌序列S1、S2，以此增強密鑰的安全性能；最終將混沌序列S1當作超混沌加密密鑰，混沌序列S2是生成AES加密密鑰的參變量。具體過程如下所示。

依次在8個超混沌序列內截取一段長度是35byte的防火墻數據，截取位置可自定義，獲得8個長度是35byte的序列。為了讓序列妥善地應用在數據存儲加密方法內，對其進行優化處理：

(9)

其中，k=1、2，依次代表系統1與系統2，i是序列內第i個數值。運用floor函數得到一個不高于原始數值的最大整數[15]，采用mod函數對256取模求余，最終使用round函數進行四舍五入操作。混沌序列處理后的值都是0～255的整數。

為破壞相同系統4個形態變量間的關系，把8個超混沌序列依次采取異或混淆計算，過程為

(10)

混淆過后獲得4個序列x12、y12、z12、w12，為優化密鑰防御性能，以上4個序列采取異或計算，獲得序列S1、S2

(11)

式中，⊕為按位異或計算。

防火墻數據存儲加密時，首先分組明文數據，分組長度是18bit，分組后的數據分別采取超混沌加密與AES加密，超混沌加密是混合算法中的首次加密，對明文數據與S1采取異或計算，AES加密是混合算法中的第二次加密，最終獲得加密密文，實現防火墻數據存儲加密任務。

4 仿真研究

本文仿真軟件為MATLAB，設定網絡安全認證服務場景，在仿真環境中規劃一個150m×150m的監測區域，隨機產生200個網絡傳感器節點，節點原始能量是110J，網絡拓撲是隨機部署。美國信息交換標準代碼(American Standard Code for Information Interchange，ASCII)通過美國國家標準學會制定，是一種單字節字符編碼模式，現階段防火墻數據多是采用此種代碼模式進行描述。

圖3為本文方法下防火墻數據加密前后的字符序列ASCII碼值分布情況。從圖3看到，加密前的字符序列具有明顯的規律與統計特性，加密后字符序列被擾亂，展現出混沌隨機形態，初始信息規律得到遮蓋，有效抵抗明文攻擊、密鑰攻擊等惡意侵害，提高防火墻存儲數據的機密性。

圖3 本文方法數據存儲加密前后明文ASCII值分布圖

將本文方法和文獻[4]網關執行法、文獻[5]區塊鏈法進行仿真對比，對比指標為算法安全性、加密數據空間占用和能耗，從而表明方法的加密可靠性。

首先分析三種方法運算的空間占用情況，結果如圖4所示。從圖4看到，三種方法加密算法占用隨機存取存儲器(Random Access Memory，RAM)的大小相同，而在只讀存儲器(Read-Only Memory，ROM)空間占用對比中，分析圖4數據看到，本文方法需要通過兩次計算實現最終存儲加密，空間占用情況比較理想，可以貼合安全認證服務器系統的算法空間占用需求。

圖4 三種方法數據加密計算空間占用對比示意圖

圖5是三種方法計算的網絡能耗對比，由此看出，本文方法計算能耗要顯著低于網關執行法和區塊鏈法，在發送、傳輸與接受狀態下的能耗最少，證明該方法計算簡便，復雜度低，不會對安全認證服務器的正常使用造成負面影響。

圖5 三種方法加密過程的能耗對比示意圖

以128位密鑰長度為例，驗證不同防火墻數據規模下，三種方法加密與解密的時間消耗，結果參照表1。表中“+”符號代表加密，“-”符號為解密。

從表1看到，在相同數據量狀況下，三種方法加密耗時差距較多，本文方法耗時最少，同時伴隨數據大小的增長，其性能優越性愈發顯著。這是因為本文方法使用超混沌與AES相融合的加密算法，有效分組明文數據，使方法具備較好的并行性，數據加密整體效率得到極大提升。

表1 三種方法加密耗時對比/s

5 結論

深入研究網絡安全認證服務器特征，設計一種基于混合算法的防火墻數據存儲加密機制。預處理防火墻數據，運用超混沌系統與AES的敏感性、置亂性與隨機性特征，將其應用在密鑰生成中，對明文信息采取雙重加密處理。仿真結果表明，本文方法不但確保了加密整體安全性，還能很好地解決傳統方法計算空間占比大和局限性高等問題，具備極強的實用性。