亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法

文檔序號(hào):6432059閱讀:231來源:國(guó)知局
專利名稱:基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法
技術(shù)領(lǐng)域
本發(fā)明涉及基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法,屬于信息安全技術(shù)領(lǐng)域。
背景技術(shù)
目前,涉及國(guó)家安全和尖端科技的單位部門(尤其是國(guó)防軍工)都要求員工在規(guī)定物理地點(diǎn)完成工作,離開規(guī)定物理地點(diǎn)就不允許繼續(xù)使用工作資源。除了規(guī)章制度要求以外,技術(shù)上需要做到限定區(qū)域訪問控制,即計(jì)算機(jī)中的文件只能在規(guī)定的區(qū)域如實(shí)驗(yàn)室、 辦公室等場(chǎng)所被訪問,一旦超出了規(guī)定的區(qū)域,計(jì)算機(jī)中的文件就不能被任何用戶訪問。文件加密技術(shù)經(jīng)歷了軟件加密、硬件加密、硬件加密與網(wǎng)絡(luò)認(rèn)證相結(jié)合的發(fā)展歷程。隨著密碼技術(shù)的進(jìn)步,加密文件被破解的難度大大增加,文件的安全性也得到了顯著改善。這種文件加密技術(shù)只是延長(zhǎng)了文件的破解時(shí)間,并沒有實(shí)現(xiàn)限定區(qū)域的文件訪問,當(dāng)破解者離開規(guī)定區(qū)域依然可以繼續(xù)破解。即使是目前安全級(jí)別較高的“USB加密鎖”技術(shù), 雖然解決了軟件加密易被破解的問題,但是依然無法避免被人利用邏輯分析儀進(jìn)行硬件破解,最重要的是它也無法做到限定區(qū)域的文件訪問,難以保障只能在規(guī)定地點(diǎn)打開加密文件。為了避免保密部門的文件泄密事件發(fā)生,如何將加密文件與限定區(qū)域結(jié)合起來是實(shí)現(xiàn)計(jì)算機(jī)信息安全的重要保障。實(shí)現(xiàn)限定區(qū)域的主要難點(diǎn)在于要求在規(guī)定區(qū)域內(nèi)外的安全性有明顯差別,即區(qū)域內(nèi)強(qiáng)安全和區(qū)域外弱安全,具有明確的內(nèi)外安全邊界和區(qū)域的自由性。從區(qū)域內(nèi)通信介質(zhì)的角度來看,有線通信介質(zhì)不具有自由性,對(duì)于實(shí)現(xiàn)限定區(qū)域得不償失;無線通信介質(zhì)提供自由性,是實(shí)現(xiàn)限定區(qū)域的一種主要的發(fā)展趨勢(shì)。其中,電磁波通過電場(chǎng)與磁場(chǎng)交互作用以輻射方式傳播,但安全性較差;紅外線要求通信設(shè)備的位置固定,存在熱效應(yīng)問題,不利于人體健康;可見光以光波為載波,利用熒光燈或發(fā)光二極管(LED)等發(fā)出肉眼看不到的高速明暗閃爍信號(hào)來傳輸信息的,易于屏蔽,通過約束光源可以改變通信范圍。而且,將可見光通信與LED照明相結(jié)合,可以構(gòu)建出LED照明和通信兩用基站燈,一舉兩得。因此,采用可見光通信實(shí)現(xiàn)區(qū)域限定,具有安全邊界明確、數(shù)據(jù)通信率高、功耗低、綠色環(huán)保等優(yōu)點(diǎn)。目前,可見光通信屬于國(guó)際前沿科研領(lǐng)域,將可見光通信與信息安全相結(jié)合,尤其是用于文件保密的限定區(qū)域訪問控制方面,在國(guó)內(nèi)外尚且沒有相關(guān)成果。

發(fā)明內(nèi)容
本發(fā)明的目的是解決限定區(qū)域的文件訪問控制問題,提供一種基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法,提高文件保密系統(tǒng)的安全性,提升限定區(qū)域內(nèi)自由性,及有效地解決基于可見光通信的限定區(qū)域認(rèn)證裝置設(shè)計(jì)及文件保密技術(shù)問題。為完成本發(fā)明的目的,本發(fā)明采用的技術(shù)方案是1) 一種基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置,包括LED控制器、光電接收器、 安全管理主機(jī)、用戶主機(jī)。LED控制器與安全管理主機(jī)相連接;光電接收器與用戶主機(jī)相連
4接。該LED控制器包括編碼模塊、調(diào)制模塊、LED驅(qū)動(dòng)模塊、LED模塊、通信接口模塊。LED控制器通過通信接口模塊與安全管理主機(jī)通信來獲取信息,然后通過編碼模塊將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)合成,利用LED驅(qū)動(dòng)模塊對(duì)LED進(jìn)行調(diào)制以發(fā)出包含信息的可見光。該編碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該調(diào)制模塊是OOK調(diào)制芯片;該LED驅(qū)動(dòng)模塊是單通道大功率LED恒流驅(qū)動(dòng)器芯片;該LED模塊是多個(gè)白色發(fā)光二極管;該通信接口模塊是USB接口 ;該光電接收器包括解碼模塊、光電轉(zhuǎn)換模塊、運(yùn)算放大模塊、AD轉(zhuǎn)換模塊、通信接口模塊。光電接收器利用光電轉(zhuǎn)換模塊轉(zhuǎn)換信號(hào),通過運(yùn)算放大模塊對(duì)信號(hào)進(jìn)行放大并傳給AD 轉(zhuǎn)換模塊,由AD轉(zhuǎn)換后的信號(hào)得到0-1信號(hào),再經(jīng)過解碼模塊,由通信接口模塊發(fā)送給用戶主機(jī)。該解碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該光電轉(zhuǎn)換模塊是PIN光電二極管; 該運(yùn)算放大模塊是雙路單電源運(yùn)算放大器;該AD轉(zhuǎn)換模塊是高速A/D轉(zhuǎn)換器;該通信接口模塊是USB接口 ;該安全管理主機(jī)中包括操作系統(tǒng)和文件權(quán)限管理程序。文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序;該操作系統(tǒng)提供文件系統(tǒng)管理、數(shù)據(jù)庫系統(tǒng)管理等功能;該文件權(quán)限管理程序負(fù)責(zé)文件管理、用戶管理、用戶權(quán)限管理以及數(shù)據(jù)發(fā)送。其中,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行加密和文件的添加,該模塊是文件權(quán)限管理程序的子功能;用戶管理模塊負(fù)責(zé)用戶信息的添加、查詢、修改和刪除等功能,該模塊是文件權(quán)限管理程序的子功能;用戶權(quán)限管理模塊負(fù)責(zé)用戶對(duì)文件的權(quán)限的添加、修改和刪除功能,該模塊是文件權(quán)限管理程序的子功能;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過可見光以密文形式發(fā)送密鑰和用戶權(quán)限信息給光電接收器,該模塊是文件權(quán)限管理程序的子功能。該用戶主機(jī)中包括操作系統(tǒng)和文件權(quán)限服務(wù)程序。文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序;該操作系統(tǒng)提供文件操作功能和系統(tǒng)開發(fā)接口 ;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過光電接收器接收到可見光中的信息后,根據(jù)幀頭判斷是權(quán)限信息或者密鑰,解密數(shù)據(jù)包,得到文件加密的密鑰和用戶權(quán)限信息,并將信息緩存起來形成該用戶的權(quán)限數(shù)據(jù)庫等待下一步使用。通過操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求,根據(jù)文件加密的密鑰和用戶權(quán)限信息決定是否進(jìn)行文件密文的操作,并把所讀取到得密文進(jìn)行解密,整個(gè)解密過程實(shí)現(xiàn)對(duì)用戶透明。2)基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法,其特征在于它包括以下步驟步驟一裝置系統(tǒng)啟動(dòng)后,通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,對(duì)文件進(jìn)行統(tǒng)一編號(hào),形成每個(gè)文件獨(dú)有的編號(hào)。將文件編號(hào)隱藏在文件的密文中,然后將文件分發(fā)給使用者;步驟二 通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào),形成用戶獨(dú)有的編號(hào),并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來建立權(quán)限數(shù)據(jù)庫;步驟三通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,將權(quán)限數(shù)據(jù)庫中的信息以及密鑰加密后通過接口設(shè)備將信息廣播到限定區(qū)域;步驟四通過與光電接收器相連接的用戶主機(jī)的文件權(quán)限服務(wù)程序,解密權(quán)限信息以及密鑰后結(jié)合用戶輸入的用戶編號(hào)查詢用戶權(quán)限。當(dāng)發(fā)現(xiàn)用戶擁有對(duì)某文件的訪問權(quán)限并存在用戶操作文件時(shí),解密該文件并顯示文件內(nèi)容,否則不解密文件。用戶退出系統(tǒng)時(shí),刪除之前接收的權(quán)限信息、密鑰,從而防止文件破解。
步驟五根據(jù)應(yīng)用環(huán)境需求,定期或周期性地執(zhí)行步驟三,對(duì)權(quán)限信息以及密鑰進(jìn)行更新,直到系統(tǒng)停止工作。其中,所述步驟四進(jìn)一步分為以下子步驟(1)用戶主機(jī)的文件權(quán)限服務(wù)程序要求用戶輸入自己的用戶編號(hào)進(jìn)行身份認(rèn)證。 一旦用戶關(guān)閉文件權(quán)限服務(wù)程序,刪除該用戶編號(hào),從而避免用戶編號(hào)被盜用;(2)用戶主機(jī)的文件權(quán)限服務(wù)程序通過光電接收器得到可見光中的信息后,根據(jù)幀頭判斷是權(quán)限信息還是密鑰。當(dāng)檢測(cè)到幀尾時(shí),根據(jù)CRC檢驗(yàn)值檢查信息接收是否有誤, 如果CRC校驗(yàn)值不符,則舍棄該幀。否則,解密數(shù)據(jù)包,得到文件加密的密鑰和用戶權(quán)限信息。用戶主機(jī)的文件權(quán)限服務(wù)程序?qū)⒂脩魴?quán)限緩存起來,形成該用戶的權(quán)限數(shù)據(jù)庫等待下一步使用;(3)用戶主機(jī)的文件權(quán)限服務(wù)程序查詢已經(jīng)接收到的用戶權(quán)限信息,當(dāng)發(fā)現(xiàn)該用戶有使用該文件的權(quán)限并存在用戶操作文件時(shí),首先將文件編號(hào)從密文中去掉,然后通過接收到的密鑰將其解密并將其內(nèi)容顯示。如果發(fā)現(xiàn)該用戶沒有權(quán)限或者不存在用戶操作文件時(shí),則不解密文件。所述的加密方法,可以根據(jù)安全性要求,選擇不同安全強(qiáng)度的加密算法;所述的加密文件的格式,可以根據(jù)應(yīng)用要求,處理操作系統(tǒng)支持的不同類型的文件格式。本發(fā)明的特點(diǎn)是采用最新的可見光通信技術(shù)作為保護(hù)措施,利用便于約束在限定區(qū)域內(nèi)的可見光來傳遞用戶權(quán)限信息和文件解密密鑰,用戶計(jì)算機(jī)通過光電接收器接收權(quán)限信息和文件密鑰后實(shí)時(shí)地解密文件,從而完美地實(shí)現(xiàn)限定區(qū)域文件訪問。通過可見光通信技術(shù),本發(fā)明相當(dāng)于為文件保護(hù)加上兩把鎖。首先,安全管理人員通過安全管理主機(jī)的文件權(quán)限管理程序使用算法對(duì)文件進(jìn)行加密,加上一把“密碼鎖”,然后分發(fā)給用戶;通過可見光通信系統(tǒng)傳遞文件使用權(quán)限信息和文件解密密鑰,相當(dāng)于在前者的基礎(chǔ)上又增加了一把“光電鎖”。一旦使用者離開限定區(qū)域,即使他有光電接收器,在不存在含有信息的可見光的情況下依然無法打開文件。由于可見光不會(huì)“穿墻”,不會(huì)像無線電信號(hào)那樣容易被隔墻監(jiān)聽,所以只需要簡(jiǎn)單遮擋就能將信息屏蔽在限定區(qū)域,而不會(huì)發(fā)生信息被截獲、破解的問題,本發(fā)明的安全性要高于已知類似文件保密系統(tǒng),并且因?yàn)榭梢姽鈱?duì)人體沒有潛在的輻射問題,更加健康。由于可見光通信工作在較高的頻率上(遠(yuǎn)大于50HZ),因此本發(fā)明可以取代現(xiàn)有照明設(shè)備,達(dá)到了節(jié)能環(huán)保的效果,可謂一舉多得。與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是(1)本發(fā)明的基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置,不同于傳統(tǒng)的“USB加密鎖”技術(shù),沒有把加密信息儲(chǔ)存在USB硬件設(shè)備中,而是將加密信息儲(chǔ)存在只有在一定區(qū)域內(nèi)存在的無形的可見光中,一旦離開該區(qū)域,即使有光電接收器,也依然無法獲得任何有用信息,從而極大地提高了信息存儲(chǔ)的安全性。(2)依據(jù)可見光透射的特點(diǎn),本發(fā)明的基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置產(chǎn)生的安全信息,只需要對(duì)環(huán)境透光部位進(jìn)行簡(jiǎn)單物理遮擋就可以實(shí)現(xiàn)對(duì)外信息屏蔽,從而減小了信息泄露的可能性。(3)依據(jù)基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置,根據(jù)發(fā)光設(shè)備的物理約束形成限定區(qū)域,光照范圍可控,進(jìn)而權(quán)限認(rèn)證的限定區(qū)域可控,區(qū)域內(nèi)外安全邊界明確。(4)利用基于可見光通信的限定區(qū)域,可以對(duì)通信范圍內(nèi)存在的無線設(shè)備進(jìn)行有效管理,進(jìn)一步擴(kuò)充通信范圍的無線硬件和軟件資源,實(shí)現(xiàn)在限定區(qū)域內(nèi)的多用戶自由訪問,大大提高了區(qū)域內(nèi)自由性。(5)基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置中的LED燈在傳遞信息的同時(shí),也是一個(gè)照明光源,可謂一燈兩用。由于LED的發(fā)光效率要遠(yuǎn)大于已有的熒光燈,因此還可以達(dá)到節(jié)能環(huán)保的效果。進(jìn)一步將可見光通信系統(tǒng)與電力系統(tǒng)和現(xiàn)有照明系統(tǒng)相結(jié)合,未來可以實(shí)現(xiàn)電力、照明、光通信的無縫結(jié)合。(6)為了實(shí)現(xiàn)限定區(qū)域的訪問控制,基于可見光通信的限定區(qū)域文件保密方法,依據(jù)用戶身份認(rèn)證、文件權(quán)限、文件操作,對(duì)區(qū)域內(nèi)計(jì)算機(jī)文件進(jìn)行保護(hù),從而實(shí)現(xiàn)限定區(qū)域的文件保密。


圖1為本發(fā)明的基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置系統(tǒng)結(jié)構(gòu)圖
圖2為本發(fā)明的LED控制器硬件體系結(jié)構(gòu)圖3為本發(fā)明的曼徹斯特編碼原理示意圖4為本發(fā)明的OOK調(diào)制原理示意圖5為本發(fā)明的光電接收器硬件體系結(jié)構(gòu)圖6為本發(fā)明的文件處理示意圖7為本發(fā)明的生成權(quán)限數(shù)據(jù)庫示意圖8為本發(fā)明的信息發(fā)送示意圖9為本發(fā)明的權(quán)限信息處理流程圖10為本發(fā)明的文件操作流程圖。
具體實(shí)施例方式如圖1所示,本發(fā)明的基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置包括LED控制器、 光電接收器、安全管理主機(jī)、用戶主機(jī)。LED控制器與安全管理主機(jī)相連接;光電接收器與用戶主機(jī)相連接。LED控制器包括編碼模塊、調(diào)制模塊、LED驅(qū)動(dòng)模塊、LED模塊、通信接口模塊。LED 控制器選用高安全性的CPLD可編程器件作為核心器件,實(shí)現(xiàn)編碼功能,如圖2所示。CPLD 首先與安全管理主機(jī)通過USB接口模塊來獲取信息,然后通過曼徹斯特編碼將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)兩路信號(hào)合為一路,再利用DD311專用LED驅(qū)動(dòng)芯片對(duì)白色LED進(jìn)行OOK調(diào)制以發(fā)出包含信息的可見光。編碼模塊采用CPLD作為核心器件實(shí)現(xiàn)曼徹斯特編碼(Manchester Encoding)。 曼徹斯特編碼是同步時(shí)鐘編碼技術(shù),用于在物理層編碼同步位流的時(shí)鐘和數(shù)據(jù),原理如圖3 所示。曼徹斯特編碼提供一個(gè)簡(jiǎn)單的方式來編碼簡(jiǎn)單的二進(jìn)制序列,沒有長(zhǎng)的周期,也沒有轉(zhuǎn)換級(jí)別,因而可以防止時(shí)鐘同步的丟失或來自低頻率位移在缺乏補(bǔ)償?shù)哪M鏈接位錯(cuò)誤。在曼徹斯特編碼中,用電壓跳變的相位不同來區(qū)分1和0,即用正的電壓跳變表示0,用負(fù)的電壓跳變表示1。由于跳變都發(fā)生在每一個(gè)碼元的中間,接收端可以方便地利用它作為位同步時(shí)鐘。調(diào)制模塊采用OOK(On-Off Keying)方法。OOK是一種振幅鍵控調(diào)制方法的特例,
7即一個(gè)幅度取為0,另一個(gè)幅度為非0。該調(diào)制方法實(shí)現(xiàn)簡(jiǎn)單,廣泛應(yīng)用在光纖通信系統(tǒng)中。 采用DD311芯片作為L(zhǎng)ED驅(qū)動(dòng)電路和調(diào)制電路。DD311是一種單通道輸出的LED恒流驅(qū)動(dòng)器,內(nèi)建電流鏡與電流開關(guān)組件,專用于驅(qū)動(dòng)大功率LED的設(shè)計(jì),可以驅(qū)動(dòng)高達(dá)1安培的沉入電流(sinkcurrent),并可透過調(diào)整參考輸入電流(IREF)來任意設(shè)定輸出電流的大小。 當(dāng)它的使能端(EN)為高時(shí),LED點(diǎn)亮,反之為低時(shí),LED熄滅,且使能頻率可達(dá)到1MHz。通過將CPLD編碼后的信號(hào)直接加載在DD311的使能端,當(dāng)輸入信號(hào)為“ 1”時(shí),LED點(diǎn)亮,為“0” 時(shí)LED熄滅,從而實(shí)現(xiàn)信息的發(fā)送,如圖4所示。光電接收器包括解碼模塊、光電轉(zhuǎn)換模塊、運(yùn)算放大模塊、AD轉(zhuǎn)換模塊、通信接口模塊。光電接收器同樣采用CPLD作為核心芯片,如圖5所示。為達(dá)到較高的信噪比,采用低噪聲的PIN光電二極管作為光電轉(zhuǎn)換器,通過運(yùn)算放大器對(duì)信號(hào)進(jìn)行放大并傳給AD芯片。 由AD轉(zhuǎn)換后的信號(hào)經(jīng)CPLD動(dòng)態(tài)門限判決后整形為標(biāo)準(zhǔn)的“0”、“ 1,,信號(hào),之后經(jīng)過曼徹斯特解碼還原為串口信號(hào),再通過USB接口發(fā)送給用戶主機(jī)。反向偏置的PIN光電二極管在有光照的情況下電流將由IuA轉(zhuǎn)化為20uA左右, 然后通過一個(gè)負(fù)載電阻RL將該電流信號(hào)轉(zhuǎn)換為電壓信號(hào)并作初步放大。利用運(yùn)算放大器 TLC272對(duì)該電壓做進(jìn)一步的放大。運(yùn)算放大器輸出端信號(hào)傳遞給AD芯片進(jìn)行模數(shù)轉(zhuǎn)換。 為達(dá)到較高的采樣率,采用最高采樣率為20Mps的高速AD芯片TLC5510。CPLD以遠(yuǎn)高于信息傳輸速率的頻率對(duì)接收信號(hào)進(jìn)行采樣,并周期性地捕獲電壓最大值,之后將最大值的一半作為電平高低的判決門限。由于環(huán)境光、各種突發(fā)噪聲光的頻率遠(yuǎn)低于信號(hào)光,因此對(duì)于有用信號(hào),它們?cè)谶\(yùn)放輸出端只相當(dāng)于一個(gè)直流偏置電壓,通過不斷自動(dòng)改變門限電壓,可以在CPLD內(nèi)部整形出非常完美的“0”、“1”電平信號(hào)。CPLD將整形后的信號(hào)經(jīng)過曼徹斯特解碼后,通過USB接口傳送給用戶主機(jī)。安全管理主機(jī)中包括操作系統(tǒng)和文件權(quán)限管理程序。文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序;該操作系統(tǒng)提供文件系統(tǒng)管理、數(shù)據(jù)庫系統(tǒng)管理等功能;該文件權(quán)限管理程序負(fù)責(zé)文件管理、用戶管理、用戶權(quán)限管理以及數(shù)據(jù)發(fā)送。其中,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行AES加密和文件的添加,該模塊是文件權(quán)限管理程序的子功能;用戶管理模塊負(fù)責(zé)用戶信息的添加、查詢、修改和刪除等功能,該模塊是文件權(quán)限管理程序的子功能;用戶權(quán)限管理模塊負(fù)責(zé)用戶對(duì)文件的權(quán)限的添加、修改和刪除功能,該模塊是文件權(quán)限管理程序的子功能;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過可見光以密文形式發(fā)送AES密鑰和用戶權(quán)限信息給光電接收器,該模塊是文件權(quán)限管理程序的子功能。用戶主機(jī)中包括操作系統(tǒng)和文件權(quán)限服務(wù)程序。文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序;該操作系統(tǒng)提供文件操作基本功能和系統(tǒng)開發(fā)接口 ;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過光電接收器接收到可見光中的信息后,根據(jù)幀頭判斷是權(quán)限信息或者AES密鑰,解密數(shù)據(jù)包,得到文件加密的密鑰和用戶權(quán)限信息,并將信息緩存起來形成該用戶的權(quán)限數(shù)據(jù)庫等待下一步使用。通過操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求,根據(jù)文件加密的密鑰和用戶權(quán)限信息決定是否進(jìn)行文件密文的操作,并把所讀取到得密文進(jìn)行解密,整個(gè)解密過程實(shí)現(xiàn)對(duì)用戶透明?;诳梢姽馔ㄐ诺南薅▍^(qū)域權(quán)限認(rèn)證裝置的文件保密方法如下步驟一
如圖6所示,安全管理主機(jī)對(duì)文件進(jìn)行統(tǒng)一編號(hào),形成文件ID并儲(chǔ)存在用戶權(quán)限數(shù)據(jù)庫中。對(duì)文件進(jìn)行AES加密處理,形成密文。再將文件ID號(hào)隱藏在密文中,用以區(qū)別加密后的密文。此后,將文件分發(fā)給使用者。其中,文件ID即為文件編號(hào),用以區(qū)分加密后的不同文件。文件ID采用32位,即 4個(gè)字節(jié)。文件加密采用AES算法,1 位密鑰。為區(qū)別不同密文并防止文件ID被篡改,將文件ID分為4個(gè)字節(jié),分別添加到密文的不同位置。步驟二如圖7所示,安全管理主機(jī)對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào),形成用戶ID,并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來建立權(quán)限數(shù)據(jù)庫。 對(duì)每個(gè)使用者進(jìn)行編號(hào),生成類似于手機(jī)PIN碼的固定長(zhǎng)度的用戶ID (這里采用 48位ID,即6個(gè)字符),并將這個(gè)ID通過一定途徑傳遞給用戶,使每個(gè)用戶只知道自己的 ID。通過文件權(quán)限管理程序建立權(quán)限數(shù)據(jù)庫,將用戶ID與文件ID根據(jù)用戶權(quán)限對(duì)應(yīng)起來。步驟三安全管理主機(jī)將權(quán)限數(shù)據(jù)庫中的信息以及AES密鑰加密后通過USB設(shè)備接口傳送給LED控制器,由LED控制器控制LED把信息廣播到限定區(qū)域,如圖8所示。為了生成適用于傳送的信息包。采用的格式為每個(gè)包以用戶ID開頭,其后緊跟一個(gè)該用戶擁有權(quán)限的文件ID。信息包結(jié)構(gòu)
權(quán)利要求
1.基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置,其特征在于它包括LED控制器、光電接收器、安全管理主機(jī)和用戶主機(jī);LED控制器與安全管理主機(jī)相連接;光電接收器與用戶主機(jī)相連接;該LED控制器包括編碼模塊、調(diào)制模塊、LED驅(qū)動(dòng)模塊、LED模塊和通信接口模塊, LED控制器通過通信接口模塊與安全管理主機(jī)通信來獲取信息,然后通過編碼模塊將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)合成,利用LED驅(qū)動(dòng)模塊對(duì)LED進(jìn)行調(diào)制以發(fā)出包含信息的可見光;該編碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該調(diào)制模塊是OOK調(diào)制芯片;該LED驅(qū)動(dòng)模塊是單通道大功率LED恒流驅(qū)動(dòng)器芯片;該LED模塊是復(fù)數(shù)個(gè)白色發(fā)光二極管;該通信接口模塊是USB接口 ;該光電接收器包括解碼模塊、光電轉(zhuǎn)換模塊、運(yùn)算放大模塊、AD轉(zhuǎn)換模塊和通信接口模塊,光電接收器利用光電轉(zhuǎn)換模塊轉(zhuǎn)換信號(hào),通過運(yùn)算放大模塊對(duì)信號(hào)進(jìn)行放大并傳給AD轉(zhuǎn)換模塊,由AD轉(zhuǎn)換后的信號(hào)得到0-1信號(hào),再經(jīng)過解碼模塊,由通信接口模塊發(fā)送給用戶主機(jī);該解碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該光電轉(zhuǎn)換模塊是PIN光電二極管;該運(yùn)算放大模塊是雙路單電源運(yùn)算放大器;該AD轉(zhuǎn)換模塊是高速A/D轉(zhuǎn)換器; 該通信接口模塊是USB接口 ;該安全管理主機(jī)包括操作系統(tǒng)和文件權(quán)限管理程序,文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序;該操作系統(tǒng)是提供文件系統(tǒng)管理、數(shù)據(jù)庫系統(tǒng)管理;該文件權(quán)限管理程序負(fù)責(zé)文件管理、用戶管理、用戶權(quán)限管理以及數(shù)據(jù)發(fā)送;其中,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行加密和文件的添加,該模塊是文件權(quán)限管理程序的子功能;用戶管理模塊負(fù)責(zé)用戶信息的添加、查詢、修改和刪除,該模塊是文件權(quán)限管理程序的子功能;用戶權(quán)限管理模塊負(fù)責(zé)用戶對(duì)文件的權(quán)限的添加、修改和刪除,該模塊是文件權(quán)限管理程序的子功能;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過可見光以密文形式發(fā)送密鑰和用戶權(quán)限信息給光電接收器,該模塊是文件權(quán)限管理程序的子功能;該用戶主機(jī)包括操作系統(tǒng)和文件權(quán)限服務(wù)程序,文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序;該操作系統(tǒng)提供文件操作功能和系統(tǒng)開發(fā)接口 ;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過光電接收器接收到可見光中的信息后,根據(jù)幀頭判斷是權(quán)限信息或者密鑰,解密數(shù)據(jù)包,得到文件加密的密鑰和用戶權(quán)限信息,并將信息緩存起來形成該用戶的權(quán)限數(shù)據(jù)庫等待下一步使用,通過操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求,根據(jù)文件加密的密鑰和用戶權(quán)限信息決定是否進(jìn)行文件密文的操作,并把所讀取到得密文進(jìn)行解密,整個(gè)解密過程實(shí)現(xiàn)對(duì)用戶透明。
2.基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法,其特征在于該方法具體步驟如下步驟一裝置系統(tǒng)啟動(dòng)后,通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,對(duì)文件進(jìn)行統(tǒng)一編號(hào),形成每個(gè)文件獨(dú)有的編號(hào),將文件編號(hào)隱藏在文件的密文中, 然后將文件分發(fā)給使用者;步驟二 通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào),形成用戶獨(dú)有的編號(hào),并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來建立權(quán)限數(shù)據(jù)庫;步驟三通過與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序,將權(quán)限數(shù)據(jù)庫中的信息以及密鑰加密后通過接口設(shè)備將信息廣播到限定區(qū)域;步驟四通過與光電接收器相連接的用戶主機(jī)的文件權(quán)限服務(wù)程序,解密權(quán)限信息以及密鑰后結(jié)合用戶輸入的用戶編號(hào)查詢用戶權(quán)限;當(dāng)發(fā)現(xiàn)用戶擁有對(duì)某文件的訪問權(quán)限并存在用戶操作文件時(shí),解密該文件并顯示文件內(nèi)容,否則不解密文件;用戶退出系統(tǒng)時(shí),刪除之前接收的權(quán)限信息、密鑰,從而防止文件破解;步驟五根據(jù)應(yīng)用環(huán)境需求,定期或周期性地執(zhí)行步驟三,對(duì)權(quán)限信息以及密鑰進(jìn)行更新,直到系統(tǒng)停止工作。
3.根據(jù)權(quán)利要求2所述的基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法, 其特征在于所述步驟四按以下子步驟實(shí)現(xiàn)(1)用戶主機(jī)的文件權(quán)限服務(wù)程序要求用戶輸入自己的用戶編號(hào)進(jìn)行身份認(rèn)證,一旦用戶關(guān)閉文件權(quán)限服務(wù)程序,刪除該用戶編號(hào),從而避免用戶編號(hào)被盜用;(2)用戶主機(jī)的文件權(quán)限服務(wù)程序通過光電接收器得到可見光中的信息后,根據(jù)幀頭判斷是權(quán)限信息還是密鑰;當(dāng)檢測(cè)到幀尾時(shí),根據(jù)CRC檢驗(yàn)值檢查信息接收是否有誤,如果 CRC校驗(yàn)值不符,則舍棄該幀;否則,解密數(shù)據(jù)包,得到文件加密的密鑰和用戶權(quán)限信息;用戶主機(jī)的文件權(quán)限服務(wù)程序?qū)⒂脩魴?quán)限緩存起來,形成該用戶的權(quán)限數(shù)據(jù)庫等待下一步使用;(3)用戶主機(jī)的文件權(quán)限服務(wù)程序查詢已經(jīng)接收到的用戶權(quán)限信息,當(dāng)發(fā)現(xiàn)該用戶有使用該文件的權(quán)限并存在用戶操作文件時(shí),首先將文件編號(hào)從密文中去掉,然后通過接收到的密鑰將其解密并將其內(nèi)容顯示;如果發(fā)現(xiàn)該用戶沒有權(quán)限或者不存在用戶操作文件時(shí),則不解密文件。
全文摘要
基于可見光通信的限定區(qū)域權(quán)限認(rèn)證裝置,含LED控制器、光電接收器、安全管理主機(jī)和用戶主機(jī);LED控制器與安全管理主機(jī)連接;光電接收器與用戶主機(jī)連接;其文件保密方法,有五大步驟一、通過文件權(quán)限管理程序,對(duì)文件進(jìn)行統(tǒng)一編號(hào)并隱藏在文件的密文中分發(fā)給使用者;二、通過文件權(quán)限管理程序,對(duì)文件用戶統(tǒng)一編號(hào),并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)建立權(quán)限數(shù)據(jù)庫;三、通過文件權(quán)限管理程序,將權(quán)限數(shù)據(jù)庫中的信息和密鑰加密后通過接口設(shè)備將信息廣播到限定區(qū)域;四、通過文件權(quán)限服務(wù)程序,解密權(quán)限信息和密鑰后結(jié)合輸入的用戶編號(hào)查詢用戶權(quán)限;五、根據(jù)應(yīng)用環(huán)境需求,定期執(zhí)行步驟三,對(duì)權(quán)限信息和密鑰進(jìn)行更新,直到系統(tǒng)停止工作。
文檔編號(hào)G06F21/24GK102289634SQ201110254619
公開日2011年12月21日 申請(qǐng)日期2011年8月31日 優(yōu)先權(quán)日2011年8月31日
發(fā)明者劉建偉, 尚濤, 楊學(xué)行, 武宇航, 許晉瑞, 邢志博 申請(qǐng)人:北京航空航天大學(xué)
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1