基于属性加密的网间数据安全交换技术优化

◆胡绍方 陈闯闯

基于属性加密的网间数据安全交换技术优化

◆胡绍方 陈闯闯

（周口师范学院 河南 466001）

为提高数据交换的安全性，提出基于属性加密的网间数据安全交换技术优化研究，首先以访问树结构属性为基础，构建加密方案，并以此为验证依据，对接收到的信息交换请求进行验证，以此提高网间数据交换的安全性，并进行了仿真试验，试验结果表明，所提方法在信息交换过程中丢包率基本稳定在25%以内，并且验证耗时始终稳定在15s以内，有效提高了信息交换的安全性和效率，对于信息安全保障具有一定价值。

数据交换；属性加密；加密方案；安全性

近些年，随着科学技术的不断发展，云计算开始逐渐被互联网行业广泛应用[1]。由于其可为用户提供成本低、质量优的服务，越来越多的用户选择在互联网上进行数据存储和计算。其中包括大量敏感信息[2]，一般情况下，敏感信息的存储形式为非加密状态，服务器控制关于其的访问[3]。但当服务器信任降低，或遭到攻击时，敏感信息极有可能被泄露。在此环境下，信息安全已经成为云计算必须解决的问题[4]，其直接关乎其未来的发展。属性加密作为一种新型的加密算法[5]，将属性加密算法应用到云计算中解决安全性问题是十分可观的。

基于此，本文提出基于属性加密的网间数据安全交换技术优化研究。以访问结构树的属性为基础，进行加密，以此提高网间数据交换的安全性，并通过仿真试验验证了所提方法的性能，通过该研究，以期为数据交换领域提供有价值的参考。

1 基于属性加密的数据交换技术

在基于属性加密算法中，数据交换控制策略依赖于用户、环境或数据本身的属性。同时，也可以对数据文件进行加密。属性加密算法以属性为基础，对数据交换进行控制，本文以访问树的结构属性为基础，对数据进行加密构建私钥和密，以此对数据交换进行安全控制。

1.1 构建属性加密方案

在对网间数据交换过程中，定义输入数据为、公共参数为以及访问树结构为。那么，在对属性进行加密时，首先，从数据交换的根节点开始，按照从上向下的顺序，对访问树的节点建立多项式y

其中，多项式的次数

其中，k表示节点所在结构树的层级位置。

对于非叶子节点，则存在

随机选取其他d个节点。则密文的形式为

其中，表示是访问树结构内的所有节点数量。

当对应节点出现访问请求时，通过对其密钥与节点属性密文的匹配程度进行判断，将其作为数据交换的依据。

1.2 网间数据交换

在上述数据属性加密的基础上，对网间数据交换技术进行优化，将属性作为不同组织之间数据交换的判断依据，以此提高数据安全性。其整体流程图如图1所示。

图1 网间数据安全交换流程

首先，在访问端提出数据交换请求后，被访问端创建任务并提交给云计算环境，构建访问树和密钥认证机制。利用被访问网络的输入密钥对请求属性验证前的数据进行预处理，主要包括，通过访问树验证访问端输入的密钥格式是否符合被访问端的定义要求，以此过滤不能够定义的任意子类访问请求。另外，由于现阶段网络多采用分布式结构，其中，数据的大小存在一定限制，因此，本文将输入的访问请求文件进行分片，输入为密钥属性块。

在此基础上，对输入的密钥属性块进行认证处理，并存储到被访问端中。属性块对应两个文件分别为数据信息和元数据信息。其中，元数据信息文件属性块的ID、长度和生成时间戳。并且id用于标志访问请求的数据块，二者具有相同的Hash值，长度用于输入主句和验证数据之间的比较。

然后，把处理后的结果存储到HDFS中，访问树节点读取后作为访问结构的输入，并执行访问树程序，输出处理后的〈key，value〉结果，并将其写入临时文件中。如果在将输出结果前，访问树节点上运行的任务出现崩溃，将在新节点上运行该任务，获得新的输出结果。

接下来，请求处理模块接收到任务后，针对每个任务单独指定分区。在每个分区中，包含与key关联的value值，并将每个key关联的记录划分至同一个分区。分区通过Partition配置进行控制，主要负责在多个请求的情况下访问树的结果由哪一个请求处理模块处理，每一个请求处理模块都会输出相对应的文件，并在完成任务后删除所有访问树的输出结果。

最后，在请求处理模块输出的文件中，验证是否已经存在需要输出的结果目录，并判断输出的结果类型是否和加密属性的密钥配置一致，最后输出结果总结。同时，为提高结果的可靠性，把输出的结果存储在HDFS中。

当输出结果满足密文中的访问结构树时，访问端可以解密密文，进行数据交换。被访问端不需要知道访问端是谁，而访问端只要符合访问结构树中的条件，则可以解密，进行数据交换。

2 仿真试验

为测试所提方法的实际性能，本文进行了仿真试验测试。同时，为提高试验结果的可靠性，分别采用文献[2]和文献[3]提出的方法同时进行试验。

2.1 试验环境

在局域网下搭建网间信息交换仿真环境。设置三台计算机，分别作为信息存储中心，并在三个信息域下进行仿真，将三台计算机以信息提供者的身份进行认证，其在收集信息资源的同时，完成信息储存，并将信息的索引存入信息存储中心。三台计算机采用相同的处理器，均为Inter（R）Core（TM）i5-3660，CPU均为6.0G，操作系统选择Ubuntudesktop-amd32。访问端内存分配为1.0GB，被访问端内存分配为4.0GB，中间授权机构内存分配1.0GB，具体的软件开发环境如表1所示。

表1 试验设置中软件开发环境

2.2 试验结果

在试验环境下，首先分别采用三种方法对700条信息交换请求进行处理，并计算交换过程中的丢包率，其结果如图1所示。

图2 不同方法信息交换过程中的丢包率

从图2中可以看出，对比文献[2]和文献[3]，本文方法在信息交换过程中，丢包率基本稳定在2%以内，并且随着决策数的增加，其逐渐趋于稳定。这主要是因为所提方法以数据交换前的访问树结构属性为基础，完成数据的加密，提高的数据交换过程中的可控性，降低了丢包率。

在此基础上，对比了三种方法对数据交换请求的处理时间，其结果如图2所示。

从图3中可以看出，对比文献[2]和文献[3]，随着决策数量的增加，三种方法的耗时均有不同程度的增加，但本文方法始终在15s以内，相对于另外两种方法，有明显优势。这主要是因为在访问请求验证阶段，所提方法将认证数据进行属性划分，以“属性块”的形式进行分别验证，提高了效率。

图3 不同方法信息交换过程中的耗时

3 结束语

随着互联网时代的到来，网上信息交换逐渐成为信息交互的主要方式，在此环境下，确保信息交换过程中的信息安全成了不可忽视的重点问题。本文提出基于属性加密的网间数据安全交换技术优化，以属性加密为基础，提出新的数据安全交换技术研究，并有效提高的信息的安全性的交换效率，对于该领域的研究具有一定的参考价值。

[1]陈良英. 基于属性加密的计算机数据库安全检测工具的设计与运用[J]. 信息技术与网络安全，2020，516（004）：34-39.

[2]赵荣康，孔祥瑞，梁蓉蓉. 不同安全等级网络之间的数据交换方案研究与实现[J]. 信息安全研究，2020，006（004）：338-344.

[3]马晓亮. 医院跨网文件安全交换技术设计与实现方案[J]. 中国医疗设备，2021，036（002）：113-116.

[4]刘建华，郑晓坤，郑东，等. 基于属性加密且支持密文检索的安全云存储系统[J]. 信息网络安全，2019，000（007）：50-58.

[5]赵志远，王建华，朱智强，等. 面向物联网数据安全共享的属性基加密方案[J]. 计算机研究与发展，2019，056（006）：160-171.