陆 立 华

(西北工业大学 计算机学院, 陕西 西安 710129)

随着信息技术的发展,高校教育教学以及学习方式都发生了一定的改变.高校教学网络终端使得学生获取信息的渠道多种多样,能够根据自己的需求以及能力对教学进行调整.但是,高校教学网络终端在为信息传播带来巨大便利的同时,也暴露了很多的安全问题,高校教学网络终端用户各类信息丢失和泄露的情况时有发生,其中网络缓存信息被篡改事件发生的数量更是极速增长,该问题已经引起了人们的高度重视[1].

高校内部对于外来电脑以及智能终端接入内网的行为没有全面进行认证控制,使得外来人员能够轻而易举地将终端接入校内网络,使得高校隐秘信息泄露,恶意用户的接入使网络服务器被恶意攻击,造成严重的后果.常见防泄漏结构不能有效解决这一现象,传统未篡改缓存信息准入控制系统普遍忽略备份恢复,造成未篡改缓存信息准入效果不佳的结果[2].本文为解决上述问题设计了一种新的高校教学网络终端缓存信息准入控制系统.高校教学网络终端是为无线应用而设计的一种低成本网络终端,随着无线WIFI技术的发展,私自增加外联WIFI设备接入终端上网的行为更加难以控制,本系统在高校教学网络终端中设计了一个缓存信息备份恢复模块,以此来弥补传统系统只能在缓存信息被篡改时起到防护作用的不足.网络准入控制指的是按照预先设定的准入策略,对用户身份进行验证,对终端的健康状态、运行状况以及用户上网行为进行检测,提出了缓存信息提取方法,通过该方法实现对未篡改缓存信息的提取,并运用MD5算法对缓存信息提取结果进行加密处理,以此来保证缓存信息的安全性,减小信息被篡改的概率,提高缓存信息准入控制的准确率.根据实验结果可以得出,所提系统实用性较高,功能完善,可利用性强.

1 教学网络终端准入控制系统设计

控制系统设计原则包括3个方面,分别是接入限制、主动控制以及动态调整.接入限制指的是学生在享受网络服务之前必须确保一定的网络安全程度,避免个别用户的网络安全隐患造成整个网络结构的破坏;主动控制指的是对于学生端以及系统的网络安全状态进行主动监测,一旦有疑似安全隐患出现,相应的控制反馈系统会被启动,从而对整个网络系统做出及时的纠错与调整,保证网络安全运行;动态调整指的是对整个高校网络进行安全状态分析,针对相应的安全隐患制定应对策略,使得其他安全设备的调整具有一定的动态智能性.

网络准入控制一般系统包括3个逻辑部件,分别为接入请求设备、网络准入控制器以及网络准入服务器等.接入请求设备指的是访问网络的受控实体,装有准入控制代理的终端设备,比如iPad、笔记本电脑以及手机等.主要作用是连接网络结构,进行协商工作,对终端健康状态信息进行采集.准入设备的组成包括多个安全组件,是一个客户端软件集.网络准入控制器用来对用户终端的访问权进行限制,并将相关信息转入网络准入服务器进行检测,检测包括两部分,一是准入之前,二是准入之后.准入前检测是在终端拥有网络权限的基础上进行的,准入后检测的作用主要是监控网络及终端的运行情况.根据检测提供的准入控制决策信息,进行准入控制操作;网络准入服务器指的是控制系统的决策单位.网络管理者制定相关准入策略,服务器依照策略,按照控制器转入的对应安全信息,对终端的网络健康状态进行评估,将作出的准确决策转回准入控制器.

1.1 系统硬件设计

当前,已存在的缓存信息准入控制系统硬件主要包括漏洞扫描模块、入侵检测模块、安全配置模块和防火墙保护模块等[3],其中,安全配置模块和漏洞扫描模块起到缓存信息在被篡改之前的防范作用,防火墙保护模块和入侵检测模块在缓存信息正在被篡改时对其进行保护,阻止正在发生的攻击行为.以上模块可以在一定程度上防止高校教学网络终端篡改缓存信息准入情况的发生,但仅靠上述系统以及这些已有模块不足以对缓存信息实行全面的保护,因此,设计了缓存信息数据远程备份模块和缓存信息数据远程备份恢复模块[4].

(1) 缓存信息数据远程备份模块.实现高校教学网络终端缓存信息的远程备份和保证本地数据的完整性是缓存信息数据远程备份模块的主要功能,客户端和网络终端是缓存信息数据远程备份模块的主要组成部分.其中,客户端主要功能是保存备份文件,网络终端的功能是保存远程数据源[5].当客户端发起一个应用请求之后,远程备份模块生成请求命令,并对该请求进行处理.通过TCP/IP协议对这些命令进行封装处理,为了确保缓存信息数据在传输过程中的稳定性,由FTP/FTPS协议对其进行传输.网络终端收到数据包之后将原命令和数据解析出来,然后远程备份模块会根据请求命令完成对缓存信息数据的备份[6],如图1所示.

图1 缓存信息数据远程备份流程Fig.1 Cache information data remote backup process

(2) 缓存信息数据远程备份恢复模块.本地备份系统与远程备份系统是缓存信息恢复模块的两大组成部分,缓存信息数据压缩与加密、缓存信息数据远程备份与恢复、多种版本管理是远程备份恢复模块的几大功能.其中,本地备份系统通过快照技术来实现作用,当缓存信息数据正在被篡改或用户发送查看请求时,高校教学网络终端通过快照技术将缓存信息快照发送至用户界面供其浏览,该步骤有利于完成对系统的实时修复[7].在高校教学网络终端的页面和快照文件在同一时刻被破坏时,仅仅依靠本地备份系统无法完成对已篡改缓存信息的恢复,为了进一步保障高校教学网络终端中缓存信息的安全,针对上述问题设计了一种远程备份恢复模块,将该模块安装在高校教学网络终端上,此时管理员需要选定一个备份策略,备份策略主要包括差量备份、完全备份和增量备份.差量备份与增量备份的主要区别为:增量备份判断数据更新标准的基础是上一份备份检查点,且会对从上次完全备份或者增量备份后经过修改的文件进行备份,差量备份是依据完全备份检查点,仅对上次完全备份后经修改的文件进行备份.备份策略包含备份对象、备份方法、备份频率、保存时间等.根据管理员选定的备份策略实现对缓存信息数据备份的恢复.

备份策略中,完全备份具有备份量大的特点,会产生占用空间大的问题;差量备份的时间效率较高,但是空间利用率不高,增量备份的空间利用率较高,但是时间效率不高[8].根据上述分析可知,单一的备份策略不具备完整性,因此要设计一个备份策略选定方式,高校按照数据的重要程度、数据管理方式的不同制定与之相对应的备份策略.具体备份策略选择方式,一是根据数据的留存时间以及可获取性充分考虑备份介质的类型,组织结构根据备份的规模而定,确定一个最佳的备份时间,结合回复操作的位置、时间以及影像备份的数据压缩,根据信息的特征尽量将生产性操作中的干扰程度降到最低;二是针对文件的位置、大小以及数目,确定备份策略,组织结构的异构平台众多,且支持方案多种多样,备份过程必须在各个异构平台相互协作下完成,用相互作用以及内容的完整性进行解释说明,因为当文件系统含有很多小文件时,文件大小也会影响备份过程;三是备份策略的选择也依赖备份所用的介质,在备份大量小文件的时候,若磁带系统的启动和停止操作时间过长,也会对备份性能造成影响,因此必须保证启动停止操作时间适中.用户可以根据自身条件选择最适合自己的备份策略,备份恢复模块工作流程如图2所示.

1.2 系统软件设计

(1) 缓存信息提取.传统高校教学网络终端缓存信息准入控制系统采用802.1 x技术,对所有缓存信息数据进行提取,该方法在对缓存信息数据进行提取时,需要根据系统内硬盘序列号、MAC地址等属性特点,对缓存信息进行特定标识处理,在结合系统CPU参数的条件下,标识缓存信息的大致位置,该方法不能实现对缓存信息的全面提取[9].

图2 备份恢复系统模块Fig.2 Module of backup recovery system

为解决上述问题,提出基于粗糙集的缓存信息提取方法,该方法的基本思想是经某种预先确定好的非线性映射将输入向量映射到高维空间之中.具体提取过程如下.

假设2种不确定的缓存差异化信息数据样本集为{x,y},其中,x∈R,y∈{0,∞},通过非线性映射φ将样本信息数据从原空间映射到高维特征空间φi=(φ1,φ2,φ3,…,φn)中,通过式(1)可以获得高维特征空间中的最优缓存信息数据集,

y=ωφ(x)a.(1)

其中,ω表示权系数向量;a表示阈值.

运用粗糙集求解式(2)描述的优化问题,

(2)

其中,参数C表示错分惩罚因子;ζ表示松弛变量.

对于粗糙集来说,参数C是允许调整的,取不同的参数值,对应的缓存信息泛化能力也不同.

目前,基于粗糙集的缓存信息提取方法,普遍使用固定的参数值,采用网格搜索实现对信息参数的优化提取.粗糙集运用波段型网络节点的差异化所对应的数据集进行参数优化和分类,实现对高校教学网络终端缓存信息的有效提取.

(2) 基于MD5算法的缓存信息加密处理.MD5算法(message digest algorithm 5),是计算机中应用较广的杂凑算法之一,高度离散和不可逆是MD5加密算法的特点,该算法可以将任意长度的字节串转换成一定长度的十六进制整数,具体做法就是按照512位进行分组,并将其划分成16个32位的子分组,最后输出4个十六进制32位分组的级联数字,该算法在抗差分和抗分析方面优于其他算法[10].

使用符合PKCS#1标准的MD5算法对高校教学网络终端缓存信息进行加密处理,密匙的长度选取为1024 bit,按照PKCS#1标准将加密所需要的明文增加至128 byte,明文的长度可以选择为1-117 byte.对超出的长度要按照分段的方式进行分割,同样,当数据长度无法达到8 byte的倍数时要对其进行补充处理,当数据长度大于248 byte的时候进行分割处理[11-12].MD5算法在处理性能上具有较大优势,MD5算法所需的循环次数较多,MD5算法中的大数量级和多层循环嵌套,可以通过展开循环操作对计算时间进行缩短,一个循环体采用的循环次数保持在5～10之间.在实现MD5算法时对于指令跳转语句使用尽可能减少,并减少CPU执行代码寻址时间.在执行MD5算法时,定义变量与执行算法的CPU寄存器长度一致,使得整个代码中的数值计算速度提高.减少MD5算法中的变量个数,使得整个计算机框架CPU内存读取与写作时间均低于平均水平.其中开销最小的加密算法为DES算法.I/O时间开销在测试结果中占有较大比重,因此PXD中DES算法与RSA算法的实测性能差异体现在对高校教学网络终端缓存信息数据加密的过程中.融合于混沌理论给出离散混沌系统Logistic用户信息资源传输加密的映射关系[13-14],得到用户信息资源传输加密序列密码,利用Logistic公式多次迭代获得加密密文,在此基础上完成对高校教学网络终端缓存信息的加密,具体的步骤如下.

xn+1表示离散混沌系统Logistic的映射关系,利用式(3)可以得出

(3)

其中:ρ表示混沌序列,该序列具有随机性;X表示高校教学网络终端缓存信息数据的原始状态;X(n)表示混沌序列参数的敏感性;xi表示混沌信号,这里的混沌信号是最大周期下的混沌信号;β表示随机参数,K表示映射请求参数.

当β处在固定取值范围之间时,系统当前状态为混沌状态,此时将X代表的初始状态与随机参数β设置为种子密钥,通过式(4)可以得出缓存信息数据的序列密码

xk=f(xn)ZΔK.(4)

其中:f(xn)表示维数;Z表示混沌变量的连续值;ΔK表示混沌迭代的置乱性.

ψ表示混沌序列概率分布的密度函数,式(5)可以融合Logistic映射,由周期分岔可以进入到混沌序列

(5)

其中:P(π)表示伪随机序列;I表示混沌序列轨迹点的均值;φ表示目标函数;θ表示量化值;τ表示概率变化参量.

ε(n,m)表示通过置换后缓存信息的加密密文,式(6)可以描述缓存信息传输加密过程.

孝是指人们发自内心的对父母长辈的一种尊敬、关心和体贴。它是儒家道德准则中的第一项内容，也就是所谓的“百行孝为先”。 《论语》指出：“弟子入则孝，出则弟，谨而信泛爱众而亲仁。”对于孝的理解，《论语》做了详实的论述，指出：“父在，观其志；父没，观其行；三年无改于父之道，可谓孝矣。”也就是说，一个人，当他父亲在世时，观察其志向；去世后，观察行为；三年后仍不改父亲的原则，就履行了孝道。“生，事之以礼；死，葬之以礼，祭之以礼。”“父母唯其疾之忧。”即，父母在世时或去世后，按照礼节侍奉或埋葬、祭祀他们；只让父母忧愁生病之事，其他均不应该让父母忧愁担心。

(6)

式(6)中,λ表示缓存信息加密结果,μ表示混沌变量的连续值,ΔK表示加密过程的复杂度.

式(7)为解密端的Logistic映射方程式,映射结果X′可描述为

(7)

其中:γ表示混沌二进制序列密码;νj表示对缓存信息进行解密后的结果;v表示解密端的随机参数.

γmin表示序列密码的最小周期,式(8)可以得出具体的缓存信息加密过程.

(8)

综上所述,基于MD5算法完成了对高校教学网络终端缓存信息的加密处理.

2 实验验证与结果分析

为了验证高校教学网络终端缓存信息准入控制系统的实用性价值,设计如下对比实验.以两台同时配备VC6.0开发平台和WinPcap驱动软件的计算机作为实验对象,测试系统硬件平台是P4-3.0GHZ,2GB内存以及250G硬盘计算机,实验时间设置为30 min.以信息抽取准确率、准入成功率和用户满意度作为实验指标对传统系统和所提系统进行对比分析.

2.1 缓存信息抽取率对比

以30 min作为实验时间,分别验证该段时间内,应用本文设计系统、文献[3]系统和文献[4]系统缓存信息抽取率的变化情况,对缓存信息的抽取不可能达到完全抽取,因此将缓存信息抽取率上限设定为70%,具体实验结果如图3所示.

分析图3可知,随着实验时间的增加,应用本系统后,缓存信息抽取率呈现先上升、再下降的变化趋势,实验时间处于20～25 min之间时,缓存信息抽取率达到最大值84%,超过目标上限数值70%;应用文献[3]系统后,缓存信息抽取率呈现持续上升的趋势,实验时间处于25～30 min之间时,缓存信息抽取率达到最大值52%,该值远低于本系统.文献[4]系统的缓存信息抽取率同样低于本系统,通过上述数据可知,本系统缓存信息抽取率较高,可以对缓存信息实现较为准确的抽取.

图3 不同系统缓存信息抽取率对比图

2.2 准入成功率对比

同样以30 min作为实验时间,分别验证在该段时间内,文献[3]系统和本系统准入成功率方面的对比情况,具体实验结果如图4所示.

图4 不同系统准入成功率对比图

分析图4可知,随着实验时间的增加,应用本系统后,未篡改缓存信息成功率呈现逐渐上升、再下降的变化趋势,实验时间处于20～25 min之间时,准入成功率达到最大值86.77%;应用文献[3]系统后,未篡改缓存信息成功率大致呈现稳定、下降、上升、下降的变化趋势,实验时间处于20～25 min之间时,准入成功率达到最大值50%,远低于本系统.上述数据说明本系统准入成功率比传统系统高,并且本系统的准入成功率在实验时间内整体呈稳定上升趋势.

2.3 用户满意度对比

同样是在30 min的实验时间内,给出传统系统和本系统在用户满意度方面的对比情况,满意值为0～100,值越高代表满意度越高,具体实验结果如表1所示.

表1 不同系统的用户满意度对比

分析表1中数据可知,用户对本系统的满意度高于文献[3]系统和文献[4]系统,说明采用本系统对高校教学网络终端缓存信息篡改情况进行准入控制时,更容易满足用户的实际需求,说明本系统应用性较强.

3 结 语

为解决传统系统缓存信息抽取率低、准入成功率不高的问题,设计一个高校教学网络终端缓存信息准入控制系统.

为了解决当前未篡改缓存信息系统中对于备份重视程度不够的问题,提出了缓存信息数据远程备份与恢复模块,并提出了基于粗糙集的缓存信息提取方法,完成对未篡改缓存信息控制系统的硬件设计.本系统以多版本控制技术管理备份缓存信息数据为基础,按照用户端的需求对数据进行不同时期以及版本的备份.采用基于MD5算法的缓存信息加密处理技术对备份数据进行加密.实验结果显示,本系统可以高效的备份和修复高校教学网络终端缓存信息数据,能降低缓存信息被篡改的几率,对于缓存信息被篡改问题来说不失为一个快速高效的解决手段.

未来笔者将以该控制系统作为研究基础,对各项控制弊端进行改进设计,力求在短时间内,提升对高校教学网络终端缓存信息准入控制系统的有效应用.