DNA密碼學在云計算數(shù)據(jù)安全中的應(yīng)用

施媛波

(云南師范大學商學院 計算機科學系，云南 昆明 650106)

0 引 言

隨著云計算技術(shù)的進步，文本、音頻、視頻、圖像等各種信息被存儲在云中，但由于存在許多攻擊者和惡意用戶，在云環(huán)境中管理多媒體文件是最受關(guān)注的挑戰(zhàn)之一[1,2]。由于數(shù)據(jù)被分發(fā)到不同的存儲設(shè)備，數(shù)據(jù)完整性和隱私成為云計算中主要考慮的問題[3,4]。加密技術(shù)通常用于解決云數(shù)據(jù)安全問題[5,6]，其中有價值的信息受到保護，并限制未經(jīng)授權(quán)的用戶訪問私有數(shù)據(jù)。DNA計算在密碼學領(lǐng)域得到了廣泛的應(yīng)用[7,8]，使用DNA計算進行數(shù)據(jù)加密，可以使未經(jīng)授權(quán)的、惡意的用戶和攻擊者無法讀取數(shù)據(jù)內(nèi)容[9,10]。

針對云計算環(huán)境下多媒體文件的保護問題，提出了一種云計算中基于DNA的多媒體安全模型，該模型的數(shù)據(jù)所有者根據(jù)用戶屬性、用戶密碼、DNA參考密鑰、互補規(guī)則和十進制編碼規(guī)則隨機生成長1024位密鑰，以降低密鑰生成、密鑰檢索、多媒體加密和多媒體解密的時間和成本。利用1024位DNA密鑰、數(shù)據(jù)所有者(data owner，DO)密鑰和云服務(wù)提供商(cloud service provider，CSP)公鑰來加密多媒體文件的安全性，以保護多媒體文件免受校驗值丟失攻擊、碰撞攻擊、網(wǎng)絡(luò)釣魚攻擊、密碼猜測攻擊、偽裝攻擊等多種安全攻擊。實驗結(jié)果表明，本文算法具有更高的效率，能夠保護多媒體文件免受多種安全攻擊。

1 云計算多媒體加密

提出的算法使用1024位的DNA密鑰對用戶的機密多媒體文件或消息進行加密，并通過多個過程生成密鑰以提高安全性。該方案主要包括4個階段：DNA密鑰生成、基于DNA序列的多媒體加密、用戶登錄注冊、多媒體訪問。

1.1 生成NDA密鑰

數(shù)據(jù)所有者(DO)執(zhí)行密鑰生成過程，并僅為授權(quán)或有效用戶生成DNA密鑰。若用戶是有效的，DO要求用戶提供密碼并獲取必要的用戶屬性。將十進制編碼規(guī)則(表1)應(yīng)用于密碼和屬性的值，使信息具有相同的格式。十進制編碼規(guī)則通過使用基于DNA的加密來支持隨機性從而提高多媒體文件的安全性，產(chǎn)生的DNA序列作為DNA密鑰提供給用戶或客戶。

表1 十進制編碼規(guī)則

密鑰生成過程如下：首先為了獲得密鑰和證書，用戶向DO發(fā)送一個請求，DO驗證用戶的授權(quán)，若用戶無效，拒絕用戶請求。若用戶請求有效，DO要求用戶提供密碼，并收集用戶的密碼和必要的屬性進行十進制編碼，生成的十進制數(shù)被轉(zhuǎn)換成其相應(yīng)的8位二進制數(shù)，這些8位二進制數(shù)被轉(zhuǎn)換成相應(yīng)的美國信息交換標準碼(American standard code for information interchange，ASCII)[11,12]，見表2，以生成一個與每個8位二進制數(shù)相對應(yīng)的隨機十進制數(shù)，將ASCII值再次轉(zhuǎn)換為它們的實際8位二進制數(shù)。若二進制數(shù)的長度小于1024位，則在其右側(cè)添加額外的0以使其成為1024位，否則將從左側(cè)刪除多余的位。

表2 ASCII編碼規(guī)則

生成的1024位二進制數(shù)分為4部分(每組256位)，并將DNA堿基(A(腺嘌呤)、C(胞嘧啶)、G(鳥嘌呤)和T(胸腺嘧啶))分配給每個部分[13,14]，見表3。DO從公開可用的DNA堿基中隨機選擇一個DNA參考密鑰，并將其添加到前一步生成的DNA堿基的中間。將互補規(guī)則應(yīng)用于DNA序列，使其成為最終的DNA密鑰。這個過程提高了多媒體文件的安全性，以防黑客和惡意用戶的攻擊。互補規(guī)則可以表示為V(C)=W， 其中C≠W。 補充規(guī)則如下： (CA)(AT)(GC) 表示為V(C)=A， 以此類推。

在多媒體加密過程中使用刪除或添加位生成的二進制數(shù)，通過DO私鑰和用戶的公鑰加密后，將應(yīng)用互補規(guī)則所得DNA字符串(密鑰)提供給用戶。DO還會在同一個

表3 2位二進制的DNA堿基

加密消息中發(fā)送十進制編碼規(guī)則、ASCII編碼規(guī)則、DNA參考密鑰和互補規(guī)則。相應(yīng)的用戶只能利用用戶私鑰和DO公鑰對加密后的消息進行解密。用戶可以快速恢復(fù)原始密鑰，因為其擁有DO提供的所有憑據(jù)。

1.2 基于DNA序列的多媒體加密

在基于DNA的多媒體加密階段，DO將明文分成1024位的塊，然后將每個1024位塊分組為4個相等的塊(每個塊256位)。將明文分為256位塊后，根據(jù)表2的8位二進制數(shù)將其轉(zhuǎn)換為相應(yīng)的ASCII值，將這些二進制位轉(zhuǎn)換成實數(shù)。在加密明文的256位塊和密鑰的256位塊之間執(zhí)行EXOR操作。因此，每1024位明文塊有4個EXOR操作，使用表3將將每個2位二進制數(shù)轉(zhuǎn)換成相應(yīng)的DNA堿基。因為有4個DNA堿基，所以最多可以有24個DNA堿基的組合，DO可以從24個組合中選擇任何一個，將明文加密的二進制形式轉(zhuǎn)換成DNA堿基。

為了提高安全性，DO在獲得的DNA堿基中間添加了DNA參考密鑰，DNA參考密鑰與密鑰生成階段使用的密鑰相同，DO使用的互補規(guī)則與1.1節(jié)中使用的互補規(guī)則相同。

最后用DO私鑰對得到的DNA序列進行加密，再用CSP公鑰對其進行再次加密。DO還將相應(yīng)的訪問權(quán)限或證書與多媒體數(shù)據(jù)內(nèi)容一起加密，并將整個加密信息保存在云數(shù)據(jù)庫中。CSP無法解密加密的多媒體文件，因為密鑰和其它憑據(jù)僅與授權(quán)用戶共享。CSP僅使用CSP的私鑰和DO公鑰對加密的多媒體文件或消息進行解密，并將其與證書一起保存在云數(shù)據(jù)庫中。

1.3 用戶注冊登錄

授權(quán)用戶必須向CSP發(fā)送請求以在云服務(wù)器中注冊，CSP收到請求后收集用戶的個人或機密信息(如，出生日期、家庭住址、學校名稱)，并生成用戶的個人資料。然后，建立安全通信介質(zhì)(安全套接字層(secure socket layer，SSL)來傳送密鑰對、注冊應(yīng)答和重復(fù)身份，特定的注冊用戶只能從重復(fù)的身份中獲取真實身份。攻擊者或黑客無法從重復(fù)的身份中獲取實際用戶的身份，DO在云服務(wù)器中的注冊也遵循相同的過程。

授權(quán)用戶或客戶只允許在注冊階段后登錄系統(tǒng)或服務(wù)器。CSP在登錄過程之后向用戶回復(fù)確認。在登錄過程之后，用戶向服務(wù)提供商發(fā)送訪問多媒體文件的請求。CSP以加密的形式將DO公鑰發(fā)送給用戶或客戶，以從相應(yīng)的DO獲得證書或訪問權(quán)限以及密鑰或密碼。用戶只有在得到相應(yīng)的DO公鑰后才能請求相應(yīng)的DO。在確認用戶所請求的秘密文件的真實性后，CSP以用戶的授權(quán)證書的形式對其進行加密。

1.4 多媒體訪問

只有授權(quán)用戶才能從云服務(wù)器訪問多媒體文件。任何多媒體文件的訪問都有幾個步驟：

首先用戶必須在云服務(wù)器(CSP)中注冊，CSP向用戶發(fā)出確認，用戶登錄到云服務(wù)器。CSP接受有效或授權(quán)用戶的登錄請求，當成功的授權(quán)過程完成時，CSP向用戶發(fā)送回復(fù)或確認。用戶以加密的形式向CSP發(fā)送請求，以訪問多媒體文件，CSP從云數(shù)據(jù)庫中找到相應(yīng)的請求多媒體文件的DO公鑰，CSP使用CSP私鑰和用戶公鑰生成密文后，將DO公鑰提供給相應(yīng)的用戶，用戶使用用戶公鑰和CSP公鑰解密后檢索DO公鑰。然后，用戶通過使用用戶公鑰和DO公鑰向相應(yīng)的DO發(fā)起一個加密請求，以提供密鑰和證書，DO從CSP驗證用戶的真實性，CSP向DO發(fā)送關(guān)于用戶身份驗證的回復(fù)，DO要求用戶提供密碼。用戶向DO提供密碼，DO利用密碼和用戶屬性信息生成DNA密鑰，然后將所有憑證發(fā)送給使用DO私鑰和用戶公鑰加密的用戶。

DO將多媒體文件的密文和相應(yīng)的證書存儲在云服務(wù)器上，使用DO密鑰和CSP公鑰加密。CSP僅僅通過使用CSP密鑰和DO公鑰來解密信息。然后，用戶將證書提交給使用用戶密鑰和CSP公鑰加密的CSP，加密的消息由CSP解密以獲取證書。最后，CSP從服務(wù)器搜索請求的多媒體文件，并根據(jù)DO提供的證書驗證用戶的證書。當證書正確或有效時，將執(zhí)行其余進程。CSP通過使用CSP密鑰和用戶公鑰對用戶請求的多媒體文件進行加密，然后將其發(fā)送給用戶。用戶獲得加密的消息并通過用戶密鑰對其進行解密，然后使用CSP公鑰進行解密。最后，利用DNA密鑰再次執(zhí)行解密過程。由于用戶擁有DO在加密期間使用的所有憑證，因此用戶可以獲得原始數(shù)據(jù)內(nèi)容。

2 實驗結(jié)果與分析

為了評價算法的性能，所有實驗均是在配置為8 GB RAM、1 TB存儲容量、3.40 GHz Intel Core i5 processor的Windows 10操作系統(tǒng)進行的，使用CloudSim3.0.3構(gòu)建了一個云模擬環(huán)境。在CloudSim中使用10個數(shù)據(jù)中心來創(chuàng)建一個異構(gòu)云環(huán)境，該環(huán)境由2000個物理節(jié)點、1 GB/s的網(wǎng)絡(luò)帶寬和4 GB的存儲容量組成。數(shù)據(jù)集是從可公開獲得的CityPulse數(shù)據(jù)集集合[15]中收集的，該數(shù)據(jù)集提供了不同類型的數(shù)據(jù)集(污染、天氣和道路交通等)，本文車輛交通數(shù)據(jù)集(大小為3 GB)用于實驗。為了計算多媒體文件的密鑰生成時間、密鑰檢索時間和加密解密次數(shù)，在不同的情況下進行了50次實驗，得到了每個結(jié)果，取這50個結(jié)果的平均值。

表4給出了基于DNA的可逆數(shù)據(jù)隱藏方案(reversible data hiding scheme，RDHS)和基于混沌的圖像加密(chaos-based image encryption，CBIE)與本文算法的密鑰生成時間。這3種方案均是基于DNA進行數(shù)據(jù)加密，CBIE首先利用DNA序列和logistic圖譜生成許多DNA掩模，然后利用遺傳算法尋找最佳的DNA模板，以尋找適合圖像加密的最佳DNA掩模。RDHS使用DNA異或規(guī)則來處理用戶的機密或敏感多媒體文件。RDHS中，信息被嵌入，經(jīng)過提取處理后，信息準確地還原為原始的宿主信號。但是，如果攻擊者獲得二進制編碼規(guī)則和DNA異或規(guī)則，則攻擊者可以獲得數(shù)據(jù)的原始內(nèi)容。

表4 各算法的密鑰生成時間/ms

可以看出，與CBIE和RDHS相比，本文算法可以更快速生成密鑰，這是因為一旦密鑰被提供給用戶，用戶就可在將來使用生成的密鑰，對于已具有密鑰的現(xiàn)有或老用戶，密鑰生成時間減少。在CBIE和RDHS方案中，所有用戶或客戶必須在每次訪問多媒體時獲得密鑰才能進行下一步的處理，導致檢索時間呈現(xiàn)線性增長。

表5給出了各算法的密鑰檢索時間?？梢钥闯?，所提算法可以更快檢索用戶生成的密鑰，為用戶檢索密鑰提供更好的結(jié)果。這是因為在本文算法中，如果老用戶或現(xiàn)有用戶已經(jīng)收集了密鑰，則不需要從Do獲取DNA密鑰，為用戶檢索密鑰提供了更好的結(jié)果。在現(xiàn)有的CBIE和RDHS中，每當用戶想要從云數(shù)據(jù)庫中獲取任何數(shù)據(jù)時，每次都需要從DO獲取密鑰并進行檢索，其密鑰檢索時間較長，并且會產(chǎn)生線性增長。

表6給出了各算法的加密時間?？梢钥闯?，在云計算環(huán)境下，本文算法加密時間最短，具有較快的加密速度。這是因為，本文算法使用表1、表2和DNS參考秘鑰和補充規(guī)則生成DNA秘鑰，一旦密鑰被提供給用戶，用戶就可以在將來使用它，對于已經(jīng)具有DNA秘鑰的現(xiàn)有或老用

表5 各算法的密鑰檢索時間/ms

戶，密鑰生成時間減少。而CBIE的迭代算法增加了多媒體文件加密的時間，RDHS使用直方圖修改技術(shù)，所有用戶必須在每次訪問多媒體時獲得密鑰才能進行下一步的處理，增加了數(shù)據(jù)加密的時間。

表6 各算法的加密時間/ms

表7給出了各算法的多媒體解密時間。可以看出，本文算法具有最短的解密時間，產(chǎn)生了更好的效果。這是因為，本文算法在DO在傳輸密鑰時向用戶提供所有憑證，用戶可以使用這些憑證輕松地解密多媒體文件或信息。多媒體解密不需要復(fù)雜的操作，需要4個EXOR操作，減少了解密時間。而CBIE和RDHS需要進行許多復(fù)雜的操作和EXOR操作來解密多媒體文件，增加了時間。

表7 各算法的解密時間/ms

3 安全性分析

所提出的基于DNA的多媒體加密方案可以防止許多攻擊。

碰撞攻擊：在本文算法中，密鑰是根據(jù)用戶提供的密碼和用戶的屬性(如ID、地址和出生日期)生成的，兩個用戶的屬性不可能完全相同，此外，密碼是基于用戶的選擇。DO和CSP不會向其他人透露任何敏感信息，如果黑客試圖合并兩個不同用戶的兩個不同輸入的詳細信息，則黑客或惡意用戶必須擁有兩個授權(quán)用戶的所有機密詳細信息以及表1、表2、表3以及DNA參考密鑰和補充規(guī)則。獲取關(guān)于兩個不同用戶的所有信息幾乎是不可能的，因此，本文算法可以抵抗碰撞攻擊。

校驗值丟失攻擊：在本文算法中，DO生成DNA密鑰并用它加密多媒體文件，加密后的多媒體文件在存儲到云數(shù)據(jù)庫之前使用DO密鑰和CSP公鑰再次加密。DNA私鑰只提供給使用DO私鑰和用戶公鑰加密的授權(quán)用戶，DO通過CSP驗證用戶的真實性后生成密鑰。相應(yīng)的用戶只有在使用用戶密鑰和DO公鑰解密時才能獲得密鑰。DO不會將DNA密鑰存儲在任何地方，甚至不會存儲在云服務(wù)器上。在竊取的校驗值攻擊中，黑客或惡意用戶不能獲得哈希密碼，提出的算法可以抵抗校驗值丟失攻擊。

網(wǎng)絡(luò)釣魚攻擊：在本文算法中，CSP在收到用戶的注冊請求后，將用戶的所有詳細信息或信息集合起來，CSP通過安全套接字層提供公鑰和私鑰對。CSP也遵循相同的方法來注冊DO。當用戶發(fā)送對多媒體或數(shù)據(jù)的訪問請求時，服務(wù)提供商僅以密文形式向用戶提供相應(yīng)DO公鑰，DO僅在確認用戶的真實性后提供DNA私鑰。DO和CSP都不會向授權(quán)用戶公開自己的任何敏感或機密信息。因此，黑客或惡意用戶無法獲取授權(quán)用戶的信息，可以抵抗網(wǎng)絡(luò)釣魚攻擊。

密碼猜測攻擊：黑客或惡意用戶嘗試所有可能的密碼組合來獲得有效密碼，在該方案中DO根據(jù)密碼和用戶屬性，使用表1、表2、DNA參考密鑰和互補規(guī)則創(chuàng)建DNA密鑰。在多媒體加密階段，DO使用表2、表3、DNA參考密鑰和補充規(guī)則。由于DNA密鑰是利用用戶的秘密信息生成的，因此黑客或未經(jīng)授權(quán)的用戶難以獲取所有的秘密信息。如果一個黑客在最壞的情況下獲得了一個授權(quán)用戶的所有秘密信息，則其必須有表1、表2、DNA參考密鑰和補充規(guī)則來檢索密鑰。DO通過使用DO密鑰和用戶公鑰，只與加密結(jié)構(gòu)中的授權(quán)或有效用戶共享這些憑證，只有相應(yīng)的有效用戶可以使用其DO密鑰和用戶公鑰對其進行解密，對于任何攻擊者或惡意用戶來說，猜測所有這些信息幾乎是不可能的。提出的算法可以抵抗密碼猜測攻擊。

偽裝攻擊：未經(jīng)授權(quán)的用戶使用任何虛假信息或身份進行未經(jīng)授權(quán)的訪問，所有用戶都需要在CSP上注冊，注冊成功后才能訪問任何服務(wù)。因此，未經(jīng)授權(quán)或惡意用戶無法使用偽造的身份登錄云服務(wù)器，也無法在未登錄云服務(wù)器的情況下訪問云服務(wù)器上的任何服務(wù)。在最壞的情況下，如果黑客登錄到云服務(wù)器并請求獲取任何多媒體文件，CSP將提供DO公鑰，用于從相應(yīng)的DO獲取密鑰和證書。在生成和發(fā)送DNA密鑰和證書之前，DO從CSP確認用戶的真實性，如果黑客使用偽造的身份訪問任何多媒體文件，則CSP端不驗證其真實性，DO拒絕發(fā)送密鑰和證書的請求。因此，攻擊者或黑客無法通過使用偽造的身份從云服務(wù)器獲得任何未經(jīng)授權(quán)的訪問，提出的算法可以抵御這種攻擊。

4 結(jié)束語

提出了一種云計算中基于DNA密碼學的多媒體安全模型，用來解決云環(huán)境下多媒體由于通過互聯(lián)網(wǎng)傳輸而易受到黑客攻擊的問題。數(shù)據(jù)所有者根據(jù)用戶屬性、用戶密碼、DNA參考密鑰、互補規(guī)則和十進制編碼規(guī)則隨機生成長1024位密鑰，使用生成的密鑰基于DNA序列來加密多媒體文件。數(shù)據(jù)所有者將加密的多媒體數(shù)據(jù)內(nèi)容存儲在云數(shù)據(jù)庫中，只有授權(quán)用戶才能從云服務(wù)器訪問加密的多媒體文件。實驗結(jié)果表明，本文算法具有更高的效率，能夠保護多媒體文件免受校驗值丟失攻擊、碰撞攻擊、網(wǎng)絡(luò)釣魚攻擊、密碼猜測攻擊、偽裝攻擊等多種安全攻擊。未來的工作是對本文方案的安全性分析進行數(shù)學證明，并改進云計算環(huán)境的認證過程。