本發明公開了認證樹構建方法及云平臺下基于認證樹的流安全交換系統，流發送代理子系統，采集來自數據源的數據，對采集到的來自數據源的數據進行流交換預處理以及流數據認證，并將處理后的數據發送至流安全交換服務器子系統；流安全交換服務器子系統，接收流發送代理子系統發送的經過處理后的流數據，并根據接收到的流數據構建和維護認證樹當收到轉發請求后，將流數據轉發至相應的流接收代理子系統；流接收代理子系統，接收流安全交換服務器子系統發送的數據，并對接收到的數據進行流數據驗證和轉儲。本發明能夠安全的、高效的、實時的將特定數據流進行跨域交換，同時有效控制跨域交換過程中帶來的惡意代碼擴散、敏感信息泄露等安全風險。

技術領域

本發明涉及網絡空間安全技術領域，尤其涉及一種認證樹構建方法及云平臺下基于認證樹的流安全交換系統。

背景技術

隨著云計算、大數據、物聯網、智慧城市等快速發展，視頻監控已成為實施安全管理的一項重要手段。目前，在很多場合都大量采用了視頻監控系統來實現對人員和設備的安全管控。在實際監控過程中，不免會涉及對敏感人員、設備或場景的監控，從而產生一些敏感的視頻數據流，這些數據流是無法進行公開存儲的，需要安全的交換到內網中。然而一方面，內網與外網通常是進行隔離保護的，另一方面，數據流具有無限、連續、實時、快速到達等特點。

因此，如何安全的、高效的、實時的將這些數據流交換到內網中，同時有效控制交換過程帶來的惡意代碼擴散、敏感信息泄露等安全風險成為亟待解決的問題。

發明內容

有鑒于此，本發明提供了一種認證樹構建方法及云平臺下基于認證樹的流安全交換系統，能夠安全的、高效的、實時的將特定數據流進行跨域交換，同時有效控制跨域交換過程中帶來的惡意代碼擴散、敏感信息泄露等安全風險。

本發明提供了一種認證樹構建方法，包括：

在數據流生成之前，基于哈希函數和雙陷門哈希函數構建認證樹的初始化結構；

在數據流的實時增長過程中，不斷更新所述認證樹的葉子節點，以實現對產生的實時數據流的添加、更新和驗證證據的生成；

基于葉子節點到根節點的路徑信息獲取相應節點的驗證信息，通過比對與根節點原有陷門哈希值是否一致進行實時驗證。

一種云平臺下基于認證樹的流安全交換系統，包括：流發送代理子系統、流安全交換服務器子系統和流接收代理子系統；其中：

所述流發送代理子系統，用于采集來自數據源的數據，對采集到的所述來自數據源的數據進行流交換預處理以及流數據認證，并將處理后的數據發送至所述流安全交換服務器子系統；

所述流安全交換服務器子系統，用于接收所述流發送代理子系統發送的經過處理后的流數據，并根據接收到的流數據構建和維護認證樹，當收到轉發請求后，將所述流數據轉發至所述流接收代理子系統；

所述流接收代理子系統，用于接收所述流安全交換服務器子系統發送的數據，并對接收到的數據進行流數據驗證和轉儲。

優選地，所述流發送代理子系統包括：安全參數生成模塊、流交換初始化模塊、流數據認證模塊和流數據發送模塊；其中：

所述安全參數生成模塊，用于構建流認證樹所需要的密鑰、計數器、狀態向量；

所述流交換初始化模塊，用于實現隨機流分片的初始化計算以及流認證樹的初始化構建；

所述流數據認證模塊，用于實現流數據采集、分片、新增流數據計算以及生成驗證證據；

所述流數據發送模塊，用于完成將流數據及認證數據發送至所述流安全交換服務器子系統。

優選地，所述流安全交換服務器子系統，包括：第一流數據接收模塊、流認證管理模塊、流接收請求模塊、驗證證據生成模塊、流數據與驗證證據轉發模塊和系統管理模塊；其中：