APP下载

网络安全认证服务器防火墙数据存储加密仿真

2022-02-09曹士明王宏志

计算机仿真 2022年12期
关键词:加密算法密钥防火墙

曹士明,王宏志

(1. 吉林建筑科技学院计算机科学与工程学院,吉林 长春 130114;2. 长春工业大学计算机科学与工程学院,吉林 长春 130012)

1 引言

当前社会处于一个“信息爆炸”时代,伴随着互联网的广泛应用与互联网技术的普及,人们将内部网连接至互联网,获取自身所需服务[1]。网络安全认证服务器是一种网络安全访问的实体认证,服务器内最关键的配置为防火墙,防火墙是安全管理的执行对象,是连接网络与用户的桥梁,在过滤危险信息、维护用户数据安全方面具备关键作用,因此,保护防火墙数据的机密性显得十分重要。

通常情况下,防火墙设备中保存着大量的网络安全数据,传输公共信道与存储计算机系统较为脆弱,极易遭受恶意攻击[2],攻击类型也形式多样。例如:从传输信道内拦截数据以及从存储载体上偷窃数据,此种攻击形式为被动攻击,直接导致数据泄露;还有一种攻击形式为主动攻击[3],就是在传输时对数据实施非法删除、更改或插入,引起数据或文件混乱,并让认证服务器处于失控状态。因此,对防火墙数据进行存储加密设计势在必行。

针对加密算法,王佳慧[4]等设计基于浏览器云存储应用的自动化数据加密系统,系统运用JavaScript动态程序分析技术,自动化识别与匹配云应用,运用安全网关执行下的密文搜索功能,在达到数据加密保护目标的同时维持云应用原有功能。该方法具备一定的鲁棒性,拓展性能较差,加密计算误差很高。梁艳丽[5]等把数据所有者利用智能合约构成的密钥存储于区块链中,给数据标记访问时间,满足访问策略与访问时间的用户才能访问数据,加密部分数据,采用改进布隆过滤器,将数据属性隐藏在访问策略。但该方法运算过程繁杂,数据存储加密耗时过多。

摒弃上述方法,本文提出一种基于混合算法的防火墙数据存储加密方法。首先运用二维离散小波变换对防火墙数据实施预处理,剔除防火墙数据中的冗余信息,保证数据实用性与应用价值,通过超混沌系统与高级加密标准两种方法实现高质量数据存储加密,并利用仿真结果证明所提方法的可靠性。

2 二维离散小波变换下防火墙数据预处理

由于防火墙数据量庞大,还具有部分噪声信息,倘若使用传统去噪方式会导致数据格式损坏,本文使用二维离散小波分析策略,通过优秀局部化频域性质,对防火墙数据采取预处理,将数据内展现的有用信息汇聚在少数二维低频变换指数上[6],二维高频指数会展现出外界噪声对数据的影响。本文会对低频变换指数与对应的高频指数实施编码,但不剔除其它小波变换系数,以达到精准去噪的目的。将数据去噪过程记作图1。

图1 小波去噪示意图

防火墙数据重构过程为:对各列变换结果采取一维离散小波反向变换,同理,对变换所获得的各行数据实施一维离散小波反向变换,得到重构后的防火墙数据。

数据小波分解是一个把信号根据低频向有向高频分离的过程[7],分解时还能按照实际需求通过小波分解获得数据分量,直至达到理想的预处理要求。小波分解流程如图2所示。

数据重构时,要使用尺度函数进行正交操作,完善重构准确性,将函数记作

(1)

式中,j代表幅度变量,m是延时变量,t为时间变量。

这时输入信号会转变为f(n,t),转变过程较为复杂。首先对n方位进行高通、低通与降频处理,设定高通滤波器是h(k),低通滤波器是g(k),则数据处理过程为

(2)

式中,n、t依次表示防火墙数据的空间变量与时间变量。

图2 防火墙数据分解流程

防火墙数据中存在诸多异常点,将其数据的含噪时间序列运算公式记作

W(i,t)=S(i,t)+N(i,t)

(3)

(4)

以上就是防火墙数据预处理推导的全过程,最终将数据预处理过后的信噪比计算过程描述为式(5),信噪比数值越高,说明数据中的噪声越小,数据质量越优[8],反之数据质量较差。

(5)

式中,S(i,t)代表理想信号,(i,t)是小波处理后的估计信号,S(i,t)与(i,t)之间的差值表示噪声。

3 基于混合算法的防火墙数据存储加密

数据存储加密算法众多,混沌系统是最常应用的方法之一。和混沌系统相比,超混沌系统动力学行为更复杂[9],在数据加密领域拥有更大的应用价值。本文引入超混沌加密理念,并融合高级加密标准(Advanced Encryption Standard,AES)策略,创建一种基于混合算法的防火墙数据存储加密方法。

3.1 超混沌系统的择取

通常来看,可以生成超混沌现象的系统,最低维数为四维。高维非线性系统一般是在低维非线性系统前提下,经过添加系统变量与微分方程得到的[10]。将四维超混沌系统数学模型记作

(6)

式(6)是一个四维非线性系统,将其标记为系统1,拥有x1、y1、y1、w1四个变量和a1、b1、c1、d1四个系统参数。非线性系统运行形态会受到系统参数与变量初始值的影响。

分维数展现混沌系统内吸引子结构的复杂水平[12],将Lyapunov指数当作系统的分维数,并将其运算过程表示为

DL=3+(L1+L2+L3)/|L4|

(7)

接下来,在三维增广系统基础上,创建一个新的思维超混沌系统,命名为系统2,其参数释义与式(6)相同,记作

(8)

3.2 高级加密标准

AES又被称为Rijndael加密算法,是对称密钥加密中应用最多的方法,具备安全性高、灵活性强等优势。AES方法在加解密时要将数据分组,各组数据长度均为128bit。该算法包含非线性构建、线性构件与轮密钥[13]。计算中全部都是完整的字节操作,在加密时使用轮迭代架构。AES经过若干次迭代计算完成数据转换,根据迭代数量的不同,可划分成三类不同的加密形式:

第一,通过15次迭代转换获得密文,密钥长度是128bit,标记成AES-128;

第二,通过18次迭代转换获得密文,密钥长度是192bit,标记成AES-192;

第三,通过21次迭代转换获得密文,密钥长度是256bit,标记成AES-256。

3.3 混合数据存储加密算法实现

运用系统1和系统2具备的复杂动力学特征,设计一种密钥空间大、敏感性强的超混沌—AES数据存储加密算法。离散化处理系统1与系统2,获得8个超混沌序列,对超混沌序列交叉实施异或混淆计算,破坏相同系统内不同序列之间的耦合关系[14],这样可获得4个混沌序列;对4个混沌序列依旧采取异或混淆计算,得到2个混沌序列S1、S2,以此增强密钥的安全性能;最终将混沌序列S1当作超混沌加密密钥,混沌序列S2是生成AES加密密钥的参变量。具体过程如下所示。

依次在8个超混沌序列内截取一段长度是35byte的防火墙数据,截取位置可自定义,获得8个长度是35byte的序列。为了让序列妥善地应用在数据存储加密方法内,对其进行优化处理:

(9)

其中,k=1、2,依次代表系统1与系统2,i是序列内第i个数值。运用floor函数得到一个不高于原始数值的最大整数[15],采用mod函数对256取模求余,最终使用round函数进行四舍五入操作。混沌序列处理后的值都是0~255的整数。

为破坏相同系统4个形态变量间的关系,把8个超混沌序列依次采取异或混淆计算,过程为

(10)

混淆过后获得4个序列x12、y12、z12、w12,为优化密钥防御性能,以上4个序列采取异或计算,获得序列S1、S2

(11)

式中,⊕为按位异或计算。

防火墙数据存储加密时,首先分组明文数据,分组长度是18bit,分组后的数据分别采取超混沌加密与AES加密,超混沌加密是混合算法中的首次加密,对明文数据与S1采取异或计算,AES加密是混合算法中的第二次加密,最终获得加密密文,实现防火墙数据存储加密任务。

4 仿真研究

本文仿真软件为MATLAB,设定网络安全认证服务场景,在仿真环境中规划一个150m×150m的监测区域,随机产生200个网络传感器节点,节点原始能量是110J,网络拓扑是随机部署。美国信息交换标准代码(American Standard Code for Information Interchange,ASCII)通过美国国家标准学会制定,是一种单字节字符编码模式,现阶段防火墙数据多是采用此种代码模式进行描述。

图3为本文方法下防火墙数据加密前后的字符序列ASCII码值分布情况。从图3看到,加密前的字符序列具有明显的规律与统计特性,加密后字符序列被扰乱,展现出混沌随机形态,初始信息规律得到遮盖,有效抵抗明文攻击、密钥攻击等恶意侵害,提高防火墙存储数据的机密性。

图3 本文方法数据存储加密前后明文ASCII值分布图

将本文方法和文献[4]网关执行法、文献[5]区块链法进行仿真对比,对比指标为算法安全性、加密数据空间占用和能耗,从而表明方法的加密可靠性。

首先分析三种方法运算的空间占用情况,结果如图4所示。从图4看到,三种方法加密算法占用随机存取存储器(Random Access Memory,RAM)的大小相同,而在只读存储器(Read-Only Memory,ROM)空间占用对比中,分析图4数据看到,本文方法需要通过两次计算实现最终存储加密,空间占用情况比较理想,可以贴合安全认证服务器系统的算法空间占用需求。

图4 三种方法数据加密计算空间占用对比示意图

图5是三种方法计算的网络能耗对比,由此看出,本文方法计算能耗要显著低于网关执行法和区块链法,在发送、传输与接受状态下的能耗最少,证明该方法计算简便,复杂度低,不会对安全认证服务器的正常使用造成负面影响。

图5 三种方法加密过程的能耗对比示意图

以128位密钥长度为例,验证不同防火墙数据规模下,三种方法加密与解密的时间消耗,结果参照表1。表中“+”符号代表加密,“-”符号为解密。

从表1看到,在相同数据量状况下,三种方法加密耗时差距较多,本文方法耗时最少,同时伴随数据大小的增长,其性能优越性愈发显著。这是因为本文方法使用超混沌与AES相融合的加密算法,有效分组明文数据,使方法具备较好的并行性,数据加密整体效率得到极大提升。

表1 三种方法加密耗时对比/s

5 结论

深入研究网络安全认证服务器特征,设计一种基于混合算法的防火墙数据存储加密机制。预处理防火墙数据,运用超混沌系统与AES的敏感性、置乱性与随机性特征,将其应用在密钥生成中,对明文信息采取双重加密处理。仿真结果表明,本文方法不但确保了加密整体安全性,还能很好地解决传统方法计算空间占比大和局限性高等问题,具备极强的实用性。

猜你喜欢

加密算法密钥防火墙
幻中邂逅之金色密钥
密码系统中密钥的状态与保护*
构建防控金融风险“防火墙”
基于整数矩阵乘法的图像加密算法
基于混沌系统和DNA编码的量子图像加密算法
TPM 2.0密钥迁移协议研究
一种对称密钥的密钥管理方法及系统
混沌参数调制下RSA数据加密算法研究
基于小波变换和混沌映射的图像加密算法
在舌尖上筑牢抵御“僵尸肉”的防火墙