基于邊緣計算的多域光網(wǎng)絡(luò)組密鑰加密分發(fā)

李曉嶸，陳逸銘，李美華

(江西理工大學(xué)，江西 贛州 341000)

1 引言

光傳輸網(wǎng)絡(luò)在面向用戶基礎(chǔ)上不斷涌現(xiàn)出新業(yè)務(wù)，這些業(yè)務(wù)均具有動態(tài)、跨區(qū)域等特點(diǎn)。在光通信不斷向高容量、智能化方向發(fā)展的過程中，綜合考慮管理、技術(shù)多樣性等因素，將不同網(wǎng)絡(luò)劃分為不同的域[1]。因此，各運(yùn)營商之間也由不同域組成，將光傳輸網(wǎng)逐漸發(fā)展成為多域光網(wǎng)絡(luò)。在該網(wǎng)絡(luò)中，每個單獨(dú)的域均由獨(dú)立服務(wù)商管控，滿足安全保密通信要求[2]。隨著傳輸信息的增加，在通信過程中雙方是否有效獲得共享密鑰是確保安全通信的基礎(chǔ)，也成為保密通信研究領(lǐng)域的熱點(diǎn)話題。

文獻(xiàn)[3]提出基于壓縮光源的量子密鑰分發(fā)協(xié)議。此協(xié)議在接收方對信號進(jìn)行循環(huán)位移，同時測量兩個信號的相位差來實(shí)現(xiàn)密鑰分發(fā)。不但能夠產(chǎn)生安全密鑰，并且無需考慮信號干擾，可降低復(fù)雜度，但該方法在密鑰存儲時開銷較大。文獻(xiàn)[4]提出具備雙向身份認(rèn)證的密鑰分發(fā)方法。通過Bell態(tài)糾纏交換特征，完成通信雙方身份認(rèn)證；經(jīng)過認(rèn)證后，通信方對粒子進(jìn)行Pauli操作，獲得與對方相同的Bell粒子；結(jié)合約定編碼規(guī)則，獲取同樣的二進(jìn)制字串符號作為密鑰，完成密鑰分發(fā)。該協(xié)議生成過程簡單，容易實(shí)現(xiàn)，但該方法分發(fā)的安全性較差。

為改善上述方法中存在的不足，本文利用邊緣計算方法對多域光網(wǎng)絡(luò)組密鑰加密分發(fā)進(jìn)行研究。邊緣計算是指在靠近源頭網(wǎng)絡(luò)邊緣處，根據(jù)儲存等技術(shù)，就近提供隱私保護(hù)等服務(wù)，可有效提高網(wǎng)絡(luò)服務(wù)與管控能力，構(gòu)造出一種與互聯(lián)網(wǎng)模式相近的新型業(yè)務(wù)形態(tài)。該技術(shù)不受網(wǎng)絡(luò)接入形式影響，可廣泛應(yīng)用在不同網(wǎng)絡(luò)中。與傳統(tǒng)方法相比該方法可有效降低存儲開銷，并且能夠提升分發(fā)速率。

2 多域光網(wǎng)絡(luò)模型構(gòu)建

為了實(shí)現(xiàn)多域光網(wǎng)絡(luò)組密鑰加密分發(fā)，首先需要構(gòu)建多域光網(wǎng)絡(luò)模型。

假設(shè)圖G(V，E，W)代表多域光網(wǎng)絡(luò)，其中V、E、W分別表示不同波長集合，|W|為每條鏈路中存在的波長總數(shù)。該網(wǎng)絡(luò)包括n個域，域m可以描述為：

Gm(Vm，Em，W)，m=0，1，…，n

(1)

式中，N代表某域內(nèi)節(jié)點(diǎn)數(shù)量。

多域光網(wǎng)絡(luò)內(nèi)包括邊界節(jié)點(diǎn)與域內(nèi)節(jié)點(diǎn)[5]，其中，邊界節(jié)點(diǎn)位于域的邊緣處，利用域間鏈路實(shí)現(xiàn)與其它域的連接，可掌握整體網(wǎng)絡(luò)結(jié)構(gòu)信息。光通信網(wǎng)絡(luò)中經(jīng)常采取分層圖的通信策略，可緩解網(wǎng)絡(luò)阻塞率。

本文利用分層圖，將G(V，E，W)劃分成波帶與波長分層圖，即

Gm(Vm，Em，W)，m=0，1，…，n，Bi(0≤i≤|B|-1)

(2)

通過式(2)描述波帶，|B|表述波帶數(shù)量，Bi是鏈路上H條持續(xù)波長λiH，λiH+1，…，λ(i+1)H-1組成而成。其余|W|-|B|·H條波長λ|B|H，λ|B|H+1，…，λ|w|-1可以組建波長分層圖。

針對某節(jié)點(diǎn)vp∈Vm，復(fù)制vpH次，得到

(3)

通過式(3)得到λb的波帶節(jié)點(diǎn)，復(fù)制vp|W|-|B|·H次，得到

(4)

通過式(4)獲取λw的波長節(jié)點(diǎn)。

圖1 多域光網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

3 基于邊緣計算的密鑰加密分發(fā)

3.1 邊緣計算模型構(gòu)建

邊緣計算是一種開放式平臺，可以為其鄰近對象提供服務(wù)，滿足隱私保護(hù)、實(shí)時處理等要求。

邊緣計算不但可以對本地數(shù)據(jù)進(jìn)行決策，還能提供跨供應(yīng)商操作，為用戶提供更加可靠、實(shí)時的計算服務(wù)。邊緣計算模型如圖2所示。

圖2 邊緣計算模型

在此模型中，數(shù)據(jù)中心采集來自數(shù)據(jù)庫與邊緣設(shè)備中的數(shù)據(jù)，邊緣設(shè)備是數(shù)據(jù)產(chǎn)生者與消費(fèi)者，表明用戶終端和云計算之間的交互為雙向。所以，對邊緣計算模型提出了較高要求，以此滿足安全通信需求。如圖3所示的架構(gòu)中包括設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)與應(yīng)用四個域，均屬于邊緣計算目標(biāo)。

圖3 邊緣計算參考架構(gòu)圖

1)設(shè)備域：邊緣計算能夠在此層內(nèi)直接處理感知信息；

2)網(wǎng)絡(luò)域：該部分實(shí)現(xiàn)計算能力部署[6]，使數(shù)據(jù)滿足標(biāo)準(zhǔn)化需求。為處理網(wǎng)絡(luò)中數(shù)據(jù)異構(gòu)現(xiàn)象，可在該域內(nèi)調(diào)節(jié)數(shù)據(jù)標(biāo)準(zhǔn)化格式完成數(shù)據(jù)傳輸。還能去除網(wǎng)絡(luò)冗余，優(yōu)化網(wǎng)絡(luò)性能。

3)數(shù)據(jù)域：使該域內(nèi)數(shù)據(jù)儲存方式變得更加靈活，可對數(shù)據(jù)進(jìn)行清洗處理，去除冗余數(shù)據(jù)。此外，可動態(tài)調(diào)節(jié)儲存與負(fù)載功能，使運(yùn)算任務(wù)分配更加合理。

4)應(yīng)用域：該域提供智能應(yīng)用程序，具有靈活響應(yīng)等優(yōu)勢，能為用戶獨(dú)立提供本地化程序服務(wù)[7]。

將邊緣計算引入到上述網(wǎng)絡(luò)架構(gòu)中，提高設(shè)備感知性能與自適應(yīng)能力，有助于評估網(wǎng)絡(luò)中用戶可靠性。

3.2 邊緣計算可信評估模型構(gòu)建

為有效評估多域光網(wǎng)絡(luò)中通信雙方的可靠性，本文利用邊緣計算方式分別從身份、行為與能力三方面進(jìn)行綜合評價，形成用戶可信期望。

邊緣計算可信模型包含公共屬性[8](common attribute)與可信屬性[9](trusted attribute)兩種，即

entity=(ca，ta)

(5)

式中，ca表示公共屬性，一般為全部元素共同擁有的屬性，例如名稱、類別與功能等；ta為可信屬性。

結(jié)合身份、行為與能力三個因素對ta進(jìn)行如下建模，即

ta=(ic，bc，ac)

(6)

式中，bc表示用戶所需遵守的行為限定，行為可信度具有模糊動態(tài)性，可被量化處理，ac表示能力可信度。

1)身份可信度

身份可信度ic表示用戶身份的非法性，有兩種取值結(jié)果：合法位1，非法為0。利用身份可靠技術(shù)辨別，常用身份認(rèn)證與授權(quán)委托[10]，即

(7)

2)行為可信度

分析該行為可信度的關(guān)鍵是選取恰當(dāng)行為依據(jù)，再利用直接或間接方法確定與行為依據(jù)對應(yīng)的數(shù)值。此時行為可信度計算公式為

bc=(Tnu1，Tnu2，Tnu3)

(8)

式中，Tnu1代表直接可信度，Tnu2為間接可信度，Tnu3表示獎懲因子，其主要作用是減少惡意行為對可行度評估產(chǎn)生影響。

3)能力可信度

在能力可信度中包括服務(wù)質(zhì)量QoS的有關(guān)向量，即

(9)

由式(9)可知，能力可信度中服務(wù)質(zhì)量包括CPU計算性能、可用帶寬與儲存空間大小等信息。在能力可信度評估中具有一定復(fù)雜性，為提高評估準(zhǔn)確度，需結(jié)合應(yīng)用場景、實(shí)際通信任務(wù)等特征完成科學(xué)評估[11]。

假設(shè)參加評估的元素集合為

U={entityi|i∈N}

(10)

將通信用戶entityi的QoS有關(guān)能力歸屬度量表示為

Pentityi=(acQoS1，acQoS2，…，acQoSK)

(11)

則有關(guān)權(quán)重系數(shù)矢量公式為

Wentityi=(WQoS1，WQoS2，…，WQoSK)

(12)

假設(shè)

(13)

則最終能力可信度評估表達(dá)式為

acentityi=Wentityi×Pecui

=WQoS1acQoS1+WQoS2acQoS2+…+WQoSKacQoSKa

(14)

利用邊緣計算架構(gòu)對通信用戶的可信度進(jìn)行評估，使?jié)M足要求的用戶完成下一步成員的注冊。

3.3 成員注冊

根據(jù)上述可信度評價結(jié)果，對全部符合通信要求成員進(jìn)行管理，即注冊身份信息。可將注冊過程視為新成員Ui與管理者GC通過雙向認(rèn)證后形成會話密鑰Ki的全部過程[12]。

signcryp-tUi，GC(reg-requestUi，IDUi，TUi)

(15)

當(dāng)GC獲取Ui傳輸?shù)淖哉埱蠛螅褂米陨硭借€SGC與Ui的公鑰QUi完成解簽密活動，獲得全部請求內(nèi)容，再驗(yàn)證消息合法性，實(shí)現(xiàn)請求節(jié)點(diǎn)認(rèn)證。此時，GC向Ui發(fā)出響應(yīng)消息reg-re-sponse。

signcry，ptGC，Ui(reg-tesponseGC，TGC，time)

(16)

假設(shè)在time時刻，Ui與GC需運(yùn)算會話密鑰，協(xié)商過程表示為

(17)

Ui則對如下內(nèi)容進(jìn)行處理，即

(18)

由此可知，通信雙方均成功注冊身份信息，可獲取共享密鑰Ki。

3.4 組密鑰加密分發(fā)實(shí)現(xiàn)

當(dāng)全部成員均屬于組成員時，組管理員構(gòu)建邏輯樹，并將全部成員安置在葉子節(jié)點(diǎn)中，形成與非葉子節(jié)點(diǎn)相對的密鑰。為實(shí)現(xiàn)密鑰加密分發(fā)，本文在用戶身份基礎(chǔ)上利用多接收者簽密機(jī)制實(shí)現(xiàn)密鑰分發(fā)。具體過程如下：

步驟一：GC將K12簽密獲得的信息signcryptGC，U1，U2傳輸?shù)経1與U2；再將K34簽密獲取的信息signcryptGC，U3，U4(K34)傳輸?shù)経3與U4；然后再將K56簽密信息signcryptGC，U5，U6(K56)傳輸至U5與U6；最后將K78簽密信息signcryptGC，U7，U8(K78)傳輸至U7與U8；

步驟二：GC將K14的簽密信息signcryptGC，U1，U2，U3，U4(K14)傳輸?shù)浇M員U1，U2，U3，U4中，將K58簽密信息signcryptGC，U5，U6，U7，U8(K58)傳輸?shù)経5，U6，U7，U8；

步驟三：GC將根節(jié)點(diǎn)相對密鑰K18簽密信息signcryptGC，U1，U2，U3，U4U5，U6，U7，U8(K18)傳輸至全部成員節(jié)點(diǎn)。

經(jīng)過上述過程，完成組密鑰加密分發(fā)，避免成員間的單播傳輸。

4 仿真分析

4.1 仿真環(huán)境

通過仿真分析所提密鑰加密分發(fā)算法性能，仿真運(yùn)行系統(tǒng)為Windows7旗艦版，運(yùn)行內(nèi)存為8 GB，樣本密鑰數(shù)量為1000個，通過100次的迭代完成1000個樣本密鑰的分發(fā)。

4.2 仿真方案

為驗(yàn)證所提方法的有效性，分別從儲存開銷、通信開銷、密鑰分發(fā)速率方面進(jìn)行測試，并與文獻(xiàn)[3]、文獻(xiàn)[4]算法進(jìn)行對比，驗(yàn)證方法的優(yōu)勢。

4.3 仿真結(jié)果分析

1)儲存與通信開銷分析

針對用戶而言，儲存開銷是由節(jié)點(diǎn)內(nèi)部公私鑰對組合形成。通信開銷包括會話密鑰經(jīng)過加密處理后生成密文信息與通信白名單。為對比不同方法的開銷，設(shè)置成員數(shù)量與非法成員數(shù)量分別為n′、r′，合法成員數(shù)量為n′-r′。在相同實(shí)驗(yàn)環(huán)境下，所提方法、文獻(xiàn)[3]方法以及文獻(xiàn)[4]方法對樣本密鑰的儲存開銷結(jié)果分別如圖4所示。

如圖4所示，儲存開銷和成員數(shù)量之間存在線性關(guān)系。在相同用戶數(shù)量下，本文方法的儲存開銷比其它方法低，且上升趨勢比較平緩。這是由于本文方法對通信方能力可信度進(jìn)行有效評估，評估指標(biāo)中包括CPU計算性能、儲存空間大小等指標(biāo)，去除不滿足要求的通信方，提高通信能力，降低儲存開銷。三種方法通信開銷的仿真結(jié)果如圖5 所示。

圖4 不同方法儲存開銷對比

分析圖5可以看出，三種方法的通信開銷存在一定差異。其中文獻(xiàn)[3]方法與文獻(xiàn)[4]方法的通信開銷均高于本文方法。這是由于其它兩種方法中用戶在進(jìn)入或離開選擇密鑰時，計算消耗較大，增加了額外通信開銷，進(jìn)而驗(yàn)證了所提方法的有效性。

圖5 不同方法通信開銷對比

2)分發(fā)速率分析

為驗(yàn)證本文方法的優(yōu)勢，將量化網(wǎng)絡(luò)噪聲以信噪比作為量化指標(biāo)，分析不同方法的分發(fā)速率，得到的實(shí)驗(yàn)結(jié)果如圖6 所示。

圖6 不同方法密鑰分發(fā)速率對比

由圖6可以看出，當(dāng)信噪比較低時，噪聲影響較大，在此狀況下，本文方法依舊可以保持較高的密鑰分發(fā)速率；隨著信噪比的逐漸增大，其它方法的分發(fā)速率得到改善，縮小了本文方法的差距，但本文方法仍舊優(yōu)于其它方法。這是由于所提方法對成員注冊實(shí)施了可靠性評價，降低外界干擾對加密數(shù)據(jù)的影響，不需要在此核對，使分發(fā)速度始終保持15bit/s以上，驗(yàn)證了所提方法的分發(fā)速率較高。

5 結(jié)束語

本文利用邊緣計算構(gòu)建通信方可信模型，并且提出基于身份的密鑰加密分發(fā)機(jī)制。該方法可有效適應(yīng)多域光網(wǎng)絡(luò)的層次化結(jié)構(gòu)，滿足其對儲存、通信開銷的要求，具有更強(qiáng)的抗聯(lián)合攻擊性能。但用戶行為存在較強(qiáng)動態(tài)性，會對評估結(jié)果產(chǎn)生一定影響。因此，在今后研究中需利用屬性重要度理論對其進(jìn)一步改進(jìn)，分析邊緣服務(wù)器和用戶之間的博弈關(guān)系，確保用戶可信等級的持續(xù)更新。