[发明专利]认证树构建方法及云平台下基于认证树的流安全交换系统

说明书

本发明公开了认证树构建方法及云平台下基于认证树的流安全交换系统，流发送代理子系统，采集来自数据源的数据，对采集到的来自数据源的数据进行流交换预处理以及流数据认证，并将处理后的数据发送至流安全交换服务器子系统；流安全交换服务器子系统，接收流发送代理子系统发送的经过处理后的流数据，并根据接收到的流数据构建和维护认证树当收到转发请求后，将流数据转发至相应的流接收代理子系统；流接收代理子系统，接收流安全交换服务器子系统发送的数据，并对接收到的数据进行流数据验证和转储。本发明能够安全的、高效的、实时的将特定数据流进行跨域交换，同时有效控制跨域交换过程中带来的恶意代码扩散、敏感信息泄露等安全风险。

技术领域

本发明涉及网络空间安全技术领域，尤其涉及一种认证树构建方法及云平台下基于认证树的流安全交换系统。

背景技术

随着云计算、大数据、物联网、智慧城市等快速发展，视频监控已成为实施安全管理的一项重要手段。目前，在很多场合都大量采用了视频监控系统来实现对人员和设备的安全管控。在实际监控过程中，不免会涉及对敏感人员、设备或场景的监控，从而产生一些敏感的视频数据流，这些数据流是无法进行公开存储的，需要安全的交换到内网中。然而一方面，内网与外网通常是进行隔离保护的，另一方面，数据流具有无限、连续、实时、快速到达等特点。

因此，如何安全的、高效的、实时的将这些数据流交换到内网中，同时有效控制交换过程带来的恶意代码扩散、敏感信息泄露等安全风险成为亟待解决的问题。

发明内容

有鉴于此，本发明提供了一种认证树构建方法及云平台下基于认证树的流安全交换系统，能够安全的、高效的、实时的将特定数据流进行跨域交换，同时有效控制跨域交换过程中带来的恶意代码扩散、敏感信息泄露等安全风险。

本发明提供了一种认证树构建方法，包括：

在数据流生成之前，基于哈希函数和双陷门哈希函数构建认证树的初始化结构；

在数据流的实时增长过程中，不断更新所述认证树的叶子节点，以实现对产生的实时数据流的添加、更新和验证证据的生成；

基于叶子节点到根节点的路径信息获取相应节点的验证信息，通过比对与根节点原有陷门哈希值是否一致进行实时验证。

一种云平台下基于认证树的流安全交换系统，包括：流发送代理子系统、流安全交换服务器子系统和流接收代理子系统；其中：

所述流发送代理子系统，用于采集来自数据源的数据，对采集到的所述来自数据源的数据进行流交换预处理以及流数据认证，并将处理后的数据发送至所述流安全交换服务器子系统；

所述流安全交换服务器子系统，用于接收所述流发送代理子系统发送的经过处理后的流数据，并根据接收到的流数据构建和维护认证树，当收到转发请求后，将所述流数据转发至所述流接收代理子系统；

所述流接收代理子系统，用于接收所述流安全交换服务器子系统发送的数据，并对接收到的数据进行流数据验证和转储。

优选地，所述流发送代理子系统包括：安全参数生成模块、流交换初始化模块、流数据认证模块和流数据发送模块；其中：

所述安全参数生成模块，用于构建流认证树所需要的密钥、计数器、状态向量；

所述流交换初始化模块，用于实现随机流分片的初始化计算以及流认证树的初始化构建；

所述流数据认证模块，用于实现流数据采集、分片、新增流数据计算以及生成验证证据；

所述流数据发送模块，用于完成将流数据及认证数据发送至所述流安全交换服务器子系统。

优选地，所述流安全交换服务器子系统，包括：第一流数据接收模块、流认证管理模块、流接收请求模块、验证证据生成模块、流数据与验证证据转发模块和系统管理模块；其中：