网络安全认证服务器防火墙数据存储加密仿真

曹士明，王宏志

(1. 吉林建筑科技学院计算机科学与工程学院，吉林 长春 130114；2. 长春工业大学计算机科学与工程学院，吉林 长春 130012)

1 引言

当前社会处于一个“信息爆炸”时代，伴随着互联网的广泛应用与互联网技术的普及，人们将内部网连接至互联网，获取自身所需服务[1]。网络安全认证服务器是一种网络安全访问的实体认证，服务器内最关键的配置为防火墙，防火墙是安全管理的执行对象，是连接网络与用户的桥梁，在过滤危险信息、维护用户数据安全方面具备关键作用，因此，保护防火墙数据的机密性显得十分重要。

通常情况下，防火墙设备中保存着大量的网络安全数据，传输公共信道与存储计算机系统较为脆弱，极易遭受恶意攻击[2]，攻击类型也形式多样。例如：从传输信道内拦截数据以及从存储载体上偷窃数据，此种攻击形式为被动攻击，直接导致数据泄露；还有一种攻击形式为主动攻击[3]，就是在传输时对数据实施非法删除、更改或插入，引起数据或文件混乱，并让认证服务器处于失控状态。因此，对防火墙数据进行存储加密设计势在必行。

针对加密算法，王佳慧[4]等设计基于浏览器云存储应用的自动化数据加密系统，系统运用JavaScript动态程序分析技术，自动化识别与匹配云应用，运用安全网关执行下的密文搜索功能，在达到数据加密保护目标的同时维持云应用原有功能。该方法具备一定的鲁棒性，拓展性能较差，加密计算误差很高。梁艳丽[5]等把数据所有者利用智能合约构成的密钥存储于区块链中，给数据标记访问时间，满足访问策略与访问时间的用户才能访问数据，加密部分数据，采用改进布隆过滤器，将数据属性隐藏在访问策略。但该方法运算过程繁杂，数据存储加密耗时过多。

摒弃上述方法，本文提出一种基于混合算法的防火墙数据存储加密方法。首先运用二维离散小波变换对防火墙数据实施预处理，剔除防火墙数据中的冗余信息，保证数据实用性与应用价值，通过超混沌系统与高级加密标准两种方法实现高质量数据存储加密，并利用仿真结果证明所提方法的可靠性。

2 二维离散小波变换下防火墙数据预处理

由于防火墙数据量庞大，还具有部分噪声信息，倘若使用传统去噪方式会导致数据格式损坏，本文使用二维离散小波分析策略，通过优秀局部化频域性质，对防火墙数据采取预处理，将数据内展现的有用信息汇聚在少数二维低频变换指数上[6]，二维高频指数会展现出外界噪声对数据的影响。本文会对低频变换指数与对应的高频指数实施编码，但不剔除其它小波变换系数，以达到精准去噪的目的。将数据去噪过程记作图1。

图1 小波去噪示意图

防火墙数据重构过程为：对各列变换结果采取一维离散小波反向变换，同理，对变换所获得的各行数据实施一维离散小波反向变换，得到重构后的防火墙数据。

数据小波分解是一个把信号根据低频向有向高频分离的过程[7]，分解时还能按照实际需求通过小波分解获得数据分量，直至达到理想的预处理要求。小波分解流程如图2所示。

数据重构时，要使用尺度函数进行正交操作，完善重构准确性，将函数记作

(1)

式中，j代表幅度变量，m是延时变量，t为时间变量。

这时输入信号会转变为f(n，t)，转变过程较为复杂。首先对n方位进行高通、低通与降频处理，设定高通滤波器是h(k)，低通滤波器是g(k)，则数据处理过程为

(2)

式中，n、t依次表示防火墙数据的空间变量与时间变量。

图2 防火墙数据分解流程

防火墙数据中存在诸多异常点，将其数据的含噪时间序列运算公式记作

W(i，t)=S(i，t)+N(i，t)

(3)

(4)

以上就是防火墙数据预处理推导的全过程，最终将数据预处理过后的信噪比计算过程描述为式(5)，信噪比数值越高，说明数据中的噪声越小，数据质量越优[8]，反之数据质量较差。

(5)

式中，S(i，t)代表理想信号，(i，t)是小波处理后的估计信号，S(i，t)与(i，t)之间的差值表示噪声。

3 基于混合算法的防火墙数据存储加密

数据存储加密算法众多，混沌系统是最常应用的方法之一。和混沌系统相比，超混沌系统动力学行为更复杂[9]，在数据加密领域拥有更大的应用价值。本文引入超混沌加密理念，并融合高级加密标准(Advanced Encryption Standard，AES)策略，创建一种基于混合算法的防火墙数据存储加密方法。

3.1 超混沌系统的择取

通常来看，可以生成超混沌现象的系统，最低维数为四维。高维非线性系统一般是在低维非线性系统前提下，经过添加系统变量与微分方程得到的[10]。将四维超混沌系统数学模型记作

(6)

式(6)是一个四维非线性系统，将其标记为系统1，拥有x1、y1、y1、w1四个变量和a1、b1、c1、d1四个系统参数。非线性系统运行形态会受到系统参数与变量初始值的影响。

分维数展现混沌系统内吸引子结构的复杂水平[12]，将Lyapunov指数当作系统的分维数，并将其运算过程表示为

DL=3+(L1+L2+L3)/|L4|

(7)

接下来，在三维增广系统基础上，创建一个新的思维超混沌系统，命名为系统2，其参数释义与式(6)相同，记作

(8)

3.2 高级加密标准

AES又被称为Rijndael加密算法，是对称密钥加密中应用最多的方法，具备安全性高、灵活性强等优势。AES方法在加解密时要将数据分组，各组数据长度均为128bit。该算法包含非线性构建、线性构件与轮密钥[13]。计算中全部都是完整的字节操作，在加密时使用轮迭代架构。AES经过若干次迭代计算完成数据转换，根据迭代数量的不同，可划分成三类不同的加密形式：

第一，通过15次迭代转换获得密文，密钥长度是128bit，标记成AES-128；

第二，通过18次迭代转换获得密文，密钥长度是192bit，标记成AES-192；

第三，通过21次迭代转换获得密文，密钥长度是256bit，标记成AES-256。

3.3 混合数据存储加密算法实现

运用系统1和系统2具备的复杂动力学特征，设计一种密钥空间大、敏感性强的超混沌—AES数据存储加密算法。离散化处理系统1与系统2，获得8个超混沌序列，对超混沌序列交叉实施异或混淆计算，破坏相同系统内不同序列之间的耦合关系[14]，这样可获得4个混沌序列；对4个混沌序列依旧采取异或混淆计算，得到2个混沌序列S1、S2，以此增强密钥的安全性能；最终将混沌序列S1当作超混沌加密密钥，混沌序列S2是生成AES加密密钥的参变量。具体过程如下所示。

依次在8个超混沌序列内截取一段长度是35byte的防火墙数据，截取位置可自定义，获得8个长度是35byte的序列。为了让序列妥善地应用在数据存储加密方法内，对其进行优化处理：

(9)

其中，k=1、2，依次代表系统1与系统2，i是序列内第i个数值。运用floor函数得到一个不高于原始数值的最大整数[15]，采用mod函数对256取模求余，最终使用round函数进行四舍五入操作。混沌序列处理后的值都是0～255的整数。

为破坏相同系统4个形态变量间的关系，把8个超混沌序列依次采取异或混淆计算，过程为

(10)

混淆过后获得4个序列x12、y12、z12、w12，为优化密钥防御性能，以上4个序列采取异或计算，获得序列S1、S2

(11)

式中，⊕为按位异或计算。

防火墙数据存储加密时，首先分组明文数据，分组长度是18bit，分组后的数据分别采取超混沌加密与AES加密，超混沌加密是混合算法中的首次加密，对明文数据与S1采取异或计算，AES加密是混合算法中的第二次加密，最终获得加密密文，实现防火墙数据存储加密任务。

4 仿真研究

本文仿真软件为MATLAB，设定网络安全认证服务场景，在仿真环境中规划一个150m×150m的监测区域，随机产生200个网络传感器节点，节点原始能量是110J，网络拓扑是随机部署。美国信息交换标准代码(American Standard Code for Information Interchange，ASCII)通过美国国家标准学会制定，是一种单字节字符编码模式，现阶段防火墙数据多是采用此种代码模式进行描述。

图3为本文方法下防火墙数据加密前后的字符序列ASCII码值分布情况。从图3看到，加密前的字符序列具有明显的规律与统计特性，加密后字符序列被扰乱，展现出混沌随机形态，初始信息规律得到遮盖，有效抵抗明文攻击、密钥攻击等恶意侵害，提高防火墙存储数据的机密性。

图3 本文方法数据存储加密前后明文ASCII值分布图

将本文方法和文献[4]网关执行法、文献[5]区块链法进行仿真对比，对比指标为算法安全性、加密数据空间占用和能耗，从而表明方法的加密可靠性。

首先分析三种方法运算的空间占用情况，结果如图4所示。从图4看到，三种方法加密算法占用随机存取存储器(Random Access Memory，RAM)的大小相同，而在只读存储器(Read-Only Memory，ROM)空间占用对比中，分析图4数据看到，本文方法需要通过两次计算实现最终存储加密，空间占用情况比较理想，可以贴合安全认证服务器系统的算法空间占用需求。

图4 三种方法数据加密计算空间占用对比示意图

图5是三种方法计算的网络能耗对比，由此看出，本文方法计算能耗要显著低于网关执行法和区块链法，在发送、传输与接受状态下的能耗最少，证明该方法计算简便，复杂度低，不会对安全认证服务器的正常使用造成负面影响。

图5 三种方法加密过程的能耗对比示意图

以128位密钥长度为例，验证不同防火墙数据规模下，三种方法加密与解密的时间消耗，结果参照表1。表中“+”符号代表加密，“-”符号为解密。

从表1看到，在相同数据量状况下，三种方法加密耗时差距较多，本文方法耗时最少，同时伴随数据大小的增长，其性能优越性愈发显著。这是因为本文方法使用超混沌与AES相融合的加密算法，有效分组明文数据，使方法具备较好的并行性，数据加密整体效率得到极大提升。

表1 三种方法加密耗时对比/s

5 结论

深入研究网络安全认证服务器特征，设计一种基于混合算法的防火墙数据存储加密机制。预处理防火墙数据，运用超混沌系统与AES的敏感性、置乱性与随机性特征，将其应用在密钥生成中，对明文信息采取双重加密处理。仿真结果表明，本文方法不但确保了加密整体安全性，还能很好地解决传统方法计算空间占比大和局限性高等问题，具备极强的实用性。