一种云环境下密钥选择方法及数据传输系统

技术领域

本发明属于数据传输技术领域，具体涉及一种云环境下密钥选择方法及数据传输系统。

背景技术

近年来，随着云计算的发展，云数据存储服务常被用来存储外部数据并由第三方维护和管理，但是这项技术从诞生开始就面临着数据丢失或数据泄露的问题。PACS医学影像数据是高度敏感的患者数据，在涉及到云储存环境下必须考虑安全传输和储存的问题。

目前，云服务器常用数据泄漏预防DLP方法来保护数据，通过用户和云服务器之间交换安全策略和安全工具来实现，现有为保护数据安全传输的数据泄漏预防方法可分为网络DLP、端点设备DLP和云DLP。网络DLP用于保护在网络上运行的数据，即在从组织系统移动到云服务器的过程中监视数据。端点设备DLP基于每个连接到网络中的设备，既可以检测存储在设备中的未经授权的敏感数据，又可以在当前节点自动对数据进行加密和转发。云DLP使用各种外围设备DLP监控数据的传输，并利用数据预防算法来确认数据性质，以防止敏感数据被传输到外围设备。其中有一些方法利用深度修正神经网络和基于集合分类器的深度学习模型检测敏感数据，但对未知和已知的密钥共享攻击和密钥泄露模拟攻击的抵抗性不高。目前最有效的方法是基于智能卡的密码认证方案，允许用户进行相互认证，保持用户匿名性，不维护密码表，不允许管理员解码密码，能抵抗复杂的攻击，但是其使用的公钥加密算法复杂性高、密钥字符串大。

发明内容

本发明实施例的目的是提供一种云环境下密钥选择方法及数据传输系统，能够解决现有技术中加解密期间计算复杂度和时间复杂度高的技术问题。

为了解决上述技术问题，本发明是这样实现的：

第一方面，本发明实施例提供了一种云环境下密钥选择方法，包括：

S101：获取接收者的公钥和私钥；

S102：初始化蝴蝶种群和相关参数；

S103：持续计算虚拟蝴蝶和组中的最佳密钥，直至获得端约束；

S104：遍历每个所述最佳密钥，计算每个所述最佳密钥对应的因子参数，并计算所述虚拟蝴蝶更新位置，判断每个更新位置后的值是否优于当前值，若所述更新位置后的值优于所述当前值，则将所述当前值替换为所述更新位置后的值，否则保留所述当前值；

S105：基于模糊蝶形优化算法对所述私钥的选择结果输出加密密钥。

进一步地，S102具体包括：

当种群初始化时，以素数为新种群，计算最佳密钥。

进一步地，S103还包括：

在计算所述最佳密钥时，构建分类预测模型对用于计算所述最佳密钥的输入数据进行数据分类预测，所述分类预测模型为贝叶斯分类预测模型。

进一步地，S103还包括：

基于历史数据预测分析法判断所述最佳密钥的结果与所述加密密钥的结果的一致性，若所述最佳密钥的结果与所述加密密钥的结果一致，则采用一致概率基线；若所述最佳密钥的结果与所述加密密钥的结果不一致，则采用不一致概率基线。

进一步地，若所述最佳密钥的结果与所述加密密钥的结果不一致，则采用不一致概率基线具体包括：

将所述基于历史数据预测分析法判断结果与所述贝叶斯分类预测模型的预测结果做数值比较，基于数值比较结果，选择数值大的作为所述计算最佳密钥的最优解。

进一步地，基于蝶形优化算法的计算方式为：

其中，r和r+1分别表示各自变量的当前状态和升级状态；h

第二方面，本发明实施例提供了一种数据传输系统，包括如第一方面所述的云环境下密钥选择方法，所述数据传输系统硬件包括：智能单元、MECC集成单元、云数据库和终端设备；

所述智能单元用于存储用户所属组织的加密和/或解密密钥、开始参数以及数据库公钥；

所述云数据库的存储模块用于存储医学影像数据、授权用户列表、公钥和开始参数；

所述MECC集成单元用于在与所述智能单元通信连通时，将所述终端设备的验证信息和所述用户的相关信息发送至所述云数据库，用以确认所述用户的身份，在所述用户的身份确认完成后，所述MECC集成单元用于对数据进行加密或解密。

所述终端设备用于将数据传输至所述云数据库或显示所述用户提供的输出数据。

进一步地，MECC集成单元包括智能卡读卡器、MECC加密和/或解密单元、无线收发器和USB接口；

所述智能单元包括智能卡，所述智能卡读卡器用于在与所述智能卡建立通信连接时，从所述智能卡中读取安全参数，所述安全参数包括数字签名、所述用户的ID以及所述私钥。

进一步地，所述MECC集成单元用于在与所述智能单元通信连通时，将所述终端设备的验证信息和所述用户的相关信息发送至所述云数据库，用以确认所述用户的身份具体包括：

S201：基于所述MECC集成单元的参数，创建第一标识信息ID

S202：基于云数据库公钥PKC和随机正整数，所述终端设备的标识信息为第二标识信息ID

S203：云数据库服务器对加密后的所述验证信息解密，验证所述终端设备的合法性，当所述终端设备的合法性验证成功后，生成所述终端设备的认证消息AID；

S204：所述认证消息AID通过所述MECC集成单元的公钥和随机正整数生成密文CAID，计算第一数字签名，并将所述第一数字签名转发至所述MECC集成单元；

S205：所述MECC集成单元检验接收到的所述第一数字签名；

S206：所述MECC集成单元通过私钥RKM对所述密文CAID值解密以获取认证消息AID。

进一步地，所述终端设备用于将数据传输至所述云数据库具体包括：

S301：所述终端设备输入明文数据PT至所述MESS集成单元；

S302：通过所述MESS集成单元和用户公钥生成密文CT；

S303：获取用户私钥RKU，生成第二数字签名，并将所述第二数字签名传输至所述云数据库；

S304：所述云数据库检验接收到的所述第二数字签名；

S305：通过所述MECC集成单元和所述云数据库私钥RKC对所述密文CT进行解密，将所述明文数据传输并存储至所述云数据库中。

在本发明实施例中，通过获取接收者的公钥和私钥，初始化蝴蝶种群和相关参数；持续计算虚拟蝴蝶和组中的最佳密钥，直至获得端约束；然后遍历每个最佳密钥，计算每个最佳密钥对应的因子参数，并计算虚拟蝴蝶更新位置，判断每个更新位置后的值是否优于当前值，若更新位置后的值优于当前值，则将当前值替换为更新位置后的值，否则保留当前值；最后基于模糊蝶形优化算法对私钥的选择结果输出加密密钥。本申请中通过使用基于模糊的蝴蝶优化得到最优密钥生成过程，可以解决生成密钥的键值随机问题，加强安全性，提高便携设备的通信安全。

附图说明

图1是本发明实施例提供的一种云环境下密钥选择方法的流程示意图；

图2是本发明实施例提供的一种基于模糊蝶形优化的密钥选择算法示例图；

图3是本发明实施例提供的一种数据传输系统硬件部署示意图；

图4是本发明实施例提供的一种数据传输系统终端设备验证模块示意图；

图5是本发明实施例提供的一种数据传输系统数据传输模块示意图。

本发明目的的实现、功能特点及优点将结合实施例、参照附图做进一步说明。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图，通过具体的实施例及其应用场景对本发明实施例提供一种云环境下密钥选择方法及数据传输系统进行详细地说明。

第一方面，本发明实施例提供了一种云环境下密钥选择方法。参照图1和图2，示出了本发明实施例提供的一种云环境下密钥选择方法的流程示意图和基于模糊蝶形优化的密钥选择算法示例图。

本发明实施例提供的一种云环境下密钥选择方法，包括：

S101：获取接收者的公钥和私钥。

可选地，接收者表示接收信息的一侧，可以是下文所提及的MECC集成单元，也可以是云数据库，还可以是在云数据传输过程中的其他信息接收单元，具体可以根据需求设定。

S102：初始化蝴蝶种群和相关参数。

可选地，对蝴蝶种群进行初始化时可以以素数作为新种群，计算最佳密钥。

可选地，相关参数可以为刺激、波动吸收度等

S103：持续计算虚拟蝴蝶和组中的最佳密钥，直至获得端约束；

在一种可选地实施方式中，在未获得端约束时，持续计算虚拟蝴蝶和组中的最佳密钥，即最大尺寸密钥，通过选择最大尺寸的密钥，可以提高加密的安全性。

在一种可能的实施方式中，S103还包括：在计算所述最佳密钥时，构建分类预测模型对用于计算所述最佳密钥的输入数据进行数据分类预测，所述分类预测模型为贝叶斯分类预测模型。

贝叶斯定理是朴素贝叶斯分类法(Naive Bayesian Classifier)的基础，如果给定数据集里有M个分类类别，通过朴素贝叶斯分类法，可以预测给定观察值是否属于具有最高后验概率的特定类别，也就是说，朴素贝叶斯分类方法预测X属于类别C时，表示当且仅当：

P(C

此时如果最大化P(C

可知，由于P(X)对于所有的类别是均等的，因此只需要P(X|C

为了预测一个未知样本X的类别，可对每个类别C

在本申请实施例中，通过采用贝叶斯分类预测模型对密钥选择算法的计算最佳密钥阶段输入的数据做分类预测，进而可以评估该次训练的输入数据准确度。

进一步地，在一种可能的实施方式中，基于历史数据预测分析法判断所述最佳密钥的结果与所述加密密钥的结果的一致性，若所述最佳密钥的结果与所述加密密钥的结果一致，则采用一致概率基线；若所述最佳密钥的结果与所述加密密钥的结果不一致，则采用不一致概率基线。

具体地，历史预测分析法是指，将输入数据为索引条件从日志获取历史密钥计算环节数据，并加权平均获取历史计算最佳密钥环节的基线，例如，100次计算结果与最后输出环节计算结果是否一致的百分比基线；在一种可能的计算结果中，输出加密密钥环节与计算最佳密钥环节计算结果一致的概率基线为60％。

进一步地，若所述最佳密钥的结果与所述加密密钥的结果不一致，则采用不一致概率基线具体包括：将所述基于历史数据预测分析法判断结果与所述贝叶斯分类预测模型的预测结果做数值比较，基于数值比较结果，选择数值大的作为所述计算最佳密钥的最优解。

在本申请实施例中，通过将基于历史数据预测分析法的判断结果与贝叶斯分类预测模型的预测结果做对比，将数值大的作为计算最佳密钥环节的最优解，可以弥补在模糊蝶形优化的密钥选择算法中，计算最佳密钥时可能存在非最优解计算结果的问题。

S104：遍历每个所述最佳密钥，计算每个所述最佳密钥对应的因子参数，并计算所述虚拟蝴蝶更新位置，判断每个更新位置后的值是否优于当前值，若所述更新位置后的值优于所述当前值，则将所述当前值替换为所述更新位置后的值，否则保留所述当前值。

其中，计算每个最佳密钥对应的因子参数包括计算每个最佳密钥对应的香味因子、模糊决策因子等，根据计算结果更新位置。

S105：基于模糊蝶形优化算法对所述私钥的选择结果输出加密密钥。

传统ECC算法是非对称密码体制，拥有公钥和私钥，使用椭圆曲线来支持离散对数问题。因为私钥的选择是随机的，可能会导致产生大量的公钥，使计算变得困难。在本申请实施例中，私钥选择采用了一种基于模糊蝶形优化算法，其模仿蝴蝶的觅食行为和交配行为。在觅食过程中，被分为探索和剥削阶段，探索阶段即b

其中r和r+1分别表示各自变量的当前状态和升级状态；h

其中，f(X

本申请实施例提供的一种云环境下密钥选择方法，通过加入贝叶斯分类预测模型，可评估输入数据的准确度；同时采用历史数据预测分析法预测计算最佳密钥的结果与输出加密密钥的结果是否一致，当采用不一致概率基线时，与贝尔斯分类预测模型的结果相比较，将数值大的作为计算最佳密钥的最优解，避免计算最佳密钥可能存在非最优计算结果的问题。

在本发明实施例中，通过获取接收者的公钥和私钥，初始化蝴蝶种群和相关参数；持续计算虚拟蝴蝶和组中的最佳密钥，直至获得端约束；然后遍历每个最佳密钥，计算每个最佳密钥对应的因子参数，并计算虚拟蝴蝶更新位置，判断每个更新位置后的值是否优于当前值，若更新位置后的值优于当前值，则将当前值替换为更新位置后的值，否则保留当前值；最后基于模糊蝶形优化算法对私钥的选择结果输出加密密钥。本申请中通过使用基于模糊的蝴蝶优化得到最优密钥生成过程，可以解决生成密钥的键值随机问题，加强安全性，可以提高便携设备的通信安全，同时还可以降低加密/解密过程相关的时间复杂度和计算量。

第二方面，本发明实施例提供了一种数据传输系统，包括如第一方面所述的云环境下密钥选择方法，所述数据传输系统硬件包括：智能单元、MECC集成单元、云数据库和终端设备。

图3是本发明实施例提供的一种数据传输系统硬件部署示意图，在该系统中，相关硬件单元可以为智能单元、MECC集成单元以及云数据库。

其中，智能单元用于存储用户所属组织的加密和/或解密密钥、开始参数以及数据库公钥。

可选地，智能单元可以为智能卡，也可以为其他形式的可以存储相关信息的载体。

在一种可能的实施方式中，云数据库包括存储模块，该存储模块用于存储医学影像数据、授权用户列表、公钥和开始参数。

所述MECC集成单元用于在与所述智能单元通信连通时，将所述终端设备的验证信息和所述用户的相关信息发送至所述云数据库，用以确认所述用户的身份，在所述用户的身份确认完成后，所述MECC集成单元用于对数据进行加密或解密。

在一种可能的实施方式中，MECC集成单元与所述智能单元通信连通包括终端设备将智能卡插入MECC集成单元并输入密码登陆时，集成单元会将终端设备的验证码和用户相关信息发送至云数据库中，用以确认用户的身份。

进一步地，MECC集成单元包括智能卡读卡器、MECC加密和/或解密单元、无线收发器和USB接口。

在一种可选地方式中，所述智能单元包括智能卡，所述智能卡读卡器用于在与所述智能卡建立通信连接时，从所述智能卡中读取安全参数，所述安全参数包括数字签名、所述用户的ID以及所述私钥。

可选地，无线收发器可以使用Zigbee无线网络模块，也可以根据实际使用场景使用其他无线网络模块。

所述终端设备用于将数据传输至所述云数据库或显示所述用户提供的输出数据。

进一步地，在一种可选地实施方式中，MECC集成单元用于在与所述智能单元通信连通时，将所述终端设备的验证信息和所述用户的相关信息发送至所述云数据库，用以确认所述用户的身份可包括步骤S201-S206。

S201：基于所述MECC集成单元的参数，创建第一标识信息ID

其中，MECC集成单元的参数包括但不限于驱动处理器UID、MAC地址等参数。

S202：基于云数据库公钥PKC和随机正整数，所述终端设备的标识信息为第二标识信息ID

S203：云数据库服务器对加密后的所述验证信息解密，验证所述终端设备的合法性，当所述终端设备的合法性验证成功后，生成所述终端设备的认证消息AID。

在一种可能的实施方式中，云数据库中存储有合法终端设备ID列表，将当前终端设备的ID与列表中的ID进行比对，若列表中包含有当前终端设备的ID，则当前终端设备的合法性验证成功。

S204：所述认证消息AID通过所述MECC集成单元的公钥和随机正整数生成密文CAID，计算第一数字签名，并将所述第一数字签名转发至所述MECC集成单元。

S205：所述MECC集成单元检验接收到的所述第一数字签名；

可选地，MECC集成单元对接收到的第一数字签名进行检验的方式为比较f＝Dv(modq)值和接收的签名值，若两者一致，则数字签名检验成功。

S206：MECC集成单元通过私钥RKM对所述密文CAID值解密以获取认证消息AID。

在本申请实施例中，通过实行终端设备的验证流程，可避免医学影像数据在终端设备与MECC集成单元之间传输时数据泄露的产生。

在一种可选的实施方式中，终端设备和云数据库间通过MECC集成单元连接，终端设备将数据传输至云数据库可通过步骤S301-S305实现。

S301：终端设备输入明文数据PT至所述MESS集成单元。

具体地，设备终端提供的影像数据以明文形式传输至MESS集成单元。

S302：通过所述MESS集成单元和用户公钥生成密文CT。

S303：获取用户私钥RKU，生成第二数字签名，并将所述第二数字签名传输至所述云数据库。

S304：所述云数据库检验接收到的所述第二数字签名。

可选地，检验第二数字签名的具体方式可以为比较f＝Dv(modq)值和接收的签名值检验签名完整性，若两个值一致，则数字签名检验成功。

S305：通过所述MECC集成单元和所述云数据库私钥RKC对所述密文CT进行解密，将所述明文数据传输并存储至所述云数据库中。

本申请提供的实施方式中，将加密解密封装到MECC集成单元中，通过提供的设备验证和传输方式，能对明文进行有效加密，保护用户免受已知密钥和模拟攻击，在云服务器端执行解密可实现数据传输的安全性。

以上仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。