專(zhuān)利名稱(chēng):基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法���,屬于信息安全技術(shù)領(lǐng)域�����。
背景技術(shù):
目前�����,涉及國(guó)家安全和尖端科技的單位部門(mén)(尤其是國(guó)防軍工)都要求員工在規(guī)定物理地點(diǎn)完成工作,離開(kāi)規(guī)定物理地點(diǎn)就不允許繼續(xù)使用工作資源���。除了規(guī)章制度要求以外���,技術(shù)上需要做到限定區(qū)域訪(fǎng)問(wèn)控制��,即計(jì)算機(jī)中的文件只能在規(guī)定的區(qū)域如實(shí)驗(yàn)室�����、 辦公室等場(chǎng)所被訪(fǎng)問(wèn)���,一旦超出了規(guī)定的區(qū)域,計(jì)算機(jī)中的文件就不能被任何用戶(hù)訪(fǎng)問(wèn)���。文件加密技術(shù)經(jīng)歷了軟件加密��、硬件加密�、硬件加密與網(wǎng)絡(luò)認(rèn)證相結(jié)合的發(fā)展歷程���。隨著密碼技術(shù)的進(jìn)步�,加密文件被破解的難度大大增加�,文件的安全性也得到了顯著改善。這種文件加密技術(shù)只是延長(zhǎng)了文件的破解時(shí)間�,并沒(méi)有實(shí)現(xiàn)限定區(qū)域的文件訪(fǎng)問(wèn)���,當(dāng)破解者離開(kāi)規(guī)定區(qū)域依然可以繼續(xù)破解。即使是目前安全級(jí)別較高的“USB加密鎖”技術(shù)����, 雖然解決了軟件加密易被破解的問(wèn)題,但是依然無(wú)法避免被人利用邏輯分析儀進(jìn)行硬件破解���,最重要的是它也無(wú)法做到限定區(qū)域的文件訪(fǎng)問(wèn)�,難以保障只能在規(guī)定地點(diǎn)打開(kāi)加密文件����。為了避免保密部門(mén)的文件泄密事件發(fā)生,如何將加密文件與限定區(qū)域結(jié)合起來(lái)是實(shí)現(xiàn)計(jì)算機(jī)信息安全的重要保障���。實(shí)現(xiàn)限定區(qū)域的主要難點(diǎn)在于要求在規(guī)定區(qū)域內(nèi)外的安全性有明顯差別�,即區(qū)域內(nèi)強(qiáng)安全和區(qū)域外弱安全����,具有明確的內(nèi)外安全邊界和區(qū)域的自由性。從區(qū)域內(nèi)通信介質(zhì)的角度來(lái)看�,有線(xiàn)通信介質(zhì)不具有自由性,對(duì)于實(shí)現(xiàn)限定區(qū)域得不償失;無(wú)線(xiàn)通信介質(zhì)提供自由性�����,是實(shí)現(xiàn)限定區(qū)域的一種主要的發(fā)展趨勢(shì)����。其中���,電磁波通過(guò)電場(chǎng)與磁場(chǎng)交互作用以輻射方式傳播����,但安全性較差�;紅外線(xiàn)要求通信設(shè)備的位置固定,存在熱效應(yīng)問(wèn)題��,不利于人體健康�;可見(jiàn)光以光波為載波,利用熒光燈或發(fā)光二極管(LED)等發(fā)出肉眼看不到的高速明暗閃爍信號(hào)來(lái)傳輸信息的�,易于屏蔽,通過(guò)約束光源可以改變通信范圍�。而且,將可見(jiàn)光通信與LED照明相結(jié)合�,可以構(gòu)建出LED照明和通信兩用基站燈,一舉兩得��。因此,采用可見(jiàn)光通信實(shí)現(xiàn)區(qū)域限定��,具有安全邊界明確���、數(shù)據(jù)通信率高��、功耗低����、綠色環(huán)保等優(yōu)點(diǎn)��。目前���,可見(jiàn)光通信屬于國(guó)際前沿科研領(lǐng)域�,將可見(jiàn)光通信與信息安全相結(jié)合���,尤其是用于文件保密的限定區(qū)域訪(fǎng)問(wèn)控制方面��,在國(guó)內(nèi)外尚且沒(méi)有相關(guān)成果����。
發(fā)明內(nèi)容
本發(fā)明的目的是解決限定區(qū)域的文件訪(fǎng)問(wèn)控制問(wèn)題,提供一種基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置及文件保密方法�����,提高文件保密系統(tǒng)的安全性�,提升限定區(qū)域內(nèi)自由性�����,及有效地解決基于可見(jiàn)光通信的限定區(qū)域認(rèn)證裝置設(shè)計(jì)及文件保密技術(shù)問(wèn)題�。為完成本發(fā)明的目的,本發(fā)明采用的技術(shù)方案是1) 一種基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置����,包括LED控制器、光電接收器��、 安全管理主機(jī)��、用戶(hù)主機(jī)���。LED控制器與安全管理主機(jī)相連接���;光電接收器與用戶(hù)主機(jī)相連
4接。該LED控制器包括編碼模塊、調(diào)制模塊����、LED驅(qū)動(dòng)模塊、LED模塊�、通信接口模塊。LED控制器通過(guò)通信接口模塊與安全管理主機(jī)通信來(lái)獲取信息�,然后通過(guò)編碼模塊將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)合成,利用LED驅(qū)動(dòng)模塊對(duì)LED進(jìn)行調(diào)制以發(fā)出包含信息的可見(jiàn)光�。該編碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該調(diào)制模塊是OOK調(diào)制芯片����;該LED驅(qū)動(dòng)模塊是單通道大功率LED恒流驅(qū)動(dòng)器芯片;該LED模塊是多個(gè)白色發(fā)光二極管�����;該通信接口模塊是USB接口 ���;該光電接收器包括解碼模塊���、光電轉(zhuǎn)換模塊、運(yùn)算放大模塊�、AD轉(zhuǎn)換模塊����、通信接口模塊����。光電接收器利用光電轉(zhuǎn)換模塊轉(zhuǎn)換信號(hào),通過(guò)運(yùn)算放大模塊對(duì)信號(hào)進(jìn)行放大并傳給AD 轉(zhuǎn)換模塊�����,由AD轉(zhuǎn)換后的信號(hào)得到0-1信號(hào)�,再經(jīng)過(guò)解碼模塊��,由通信接口模塊發(fā)送給用戶(hù)主機(jī)���。該解碼模塊是CPLD復(fù)雜可編程邏輯器件芯片���;該光電轉(zhuǎn)換模塊是PIN光電二極管; 該運(yùn)算放大模塊是雙路單電源運(yùn)算放大器����;該AD轉(zhuǎn)換模塊是高速A/D轉(zhuǎn)換器;該通信接口模塊是USB接口 ���;該安全管理主機(jī)中包括操作系統(tǒng)和文件權(quán)限管理程序�。文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序;該操作系統(tǒng)提供文件系統(tǒng)管理�、數(shù)據(jù)庫(kù)系統(tǒng)管理等功能;該文件權(quán)限管理程序負(fù)責(zé)文件管理����、用戶(hù)管理、用戶(hù)權(quán)限管理以及數(shù)據(jù)發(fā)送���。其中����,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行加密和文件的添加�,該模塊是文件權(quán)限管理程序的子功能;用戶(hù)管理模塊負(fù)責(zé)用戶(hù)信息的添加�����、查詢(xún)����、修改和刪除等功能,該模塊是文件權(quán)限管理程序的子功能�;用戶(hù)權(quán)限管理模塊負(fù)責(zé)用戶(hù)對(duì)文件的權(quán)限的添加���、修改和刪除功能,該模塊是文件權(quán)限管理程序的子功能�;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過(guò)可見(jiàn)光以密文形式發(fā)送密鑰和用戶(hù)權(quán)限信息給光電接收器,該模塊是文件權(quán)限管理程序的子功能����。該用戶(hù)主機(jī)中包括操作系統(tǒng)和文件權(quán)限服務(wù)程序。文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序�����;該操作系統(tǒng)提供文件操作功能和系統(tǒng)開(kāi)發(fā)接口 ���;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過(guò)光電接收器接收到可見(jiàn)光中的信息后��,根據(jù)幀頭判斷是權(quán)限信息或者密鑰�����,解密數(shù)據(jù)包����,得到文件加密的密鑰和用戶(hù)權(quán)限信息��,并將信息緩存起來(lái)形成該用戶(hù)的權(quán)限數(shù)據(jù)庫(kù)等待下一步使用����。通過(guò)操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求�����,根據(jù)文件加密的密鑰和用戶(hù)權(quán)限信息決定是否進(jìn)行文件密文的操作����,并把所讀取到得密文進(jìn)行解密,整個(gè)解密過(guò)程實(shí)現(xiàn)對(duì)用戶(hù)透明����。2)基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法,其特征在于它包括以下步驟步驟一裝置系統(tǒng)啟動(dòng)后���,通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序�����,對(duì)文件進(jìn)行統(tǒng)一編號(hào)�,形成每個(gè)文件獨(dú)有的編號(hào)�����。將文件編號(hào)隱藏在文件的密文中,然后將文件分發(fā)給使用者�����;步驟二 通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序���,對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào)����,形成用戶(hù)獨(dú)有的編號(hào)�,并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來(lái)建立權(quán)限數(shù)據(jù)庫(kù);步驟三通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序�����,將權(quán)限數(shù)據(jù)庫(kù)中的信息以及密鑰加密后通過(guò)接口設(shè)備將信息廣播到限定區(qū)域�����;步驟四通過(guò)與光電接收器相連接的用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序���,解密權(quán)限信息以及密鑰后結(jié)合用戶(hù)輸入的用戶(hù)編號(hào)查詢(xún)用戶(hù)權(quán)限��。當(dāng)發(fā)現(xiàn)用戶(hù)擁有對(duì)某文件的訪(fǎng)問(wèn)權(quán)限并存在用戶(hù)操作文件時(shí)�,解密該文件并顯示文件內(nèi)容�,否則不解密文件。用戶(hù)退出系統(tǒng)時(shí)�,刪除之前接收的權(quán)限信息、密鑰�,從而防止文件破解。
步驟五根據(jù)應(yīng)用環(huán)境需求���,定期或周期性地執(zhí)行步驟三���,對(duì)權(quán)限信息以及密鑰進(jìn)行更新,直到系統(tǒng)停止工作�。其中,所述步驟四進(jìn)一步分為以下子步驟(1)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序要求用戶(hù)輸入自己的用戶(hù)編號(hào)進(jìn)行身份認(rèn)證�����。 一旦用戶(hù)關(guān)閉文件權(quán)限服務(wù)程序��,刪除該用戶(hù)編號(hào)����,從而避免用戶(hù)編號(hào)被盜用��;(2)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序通過(guò)光電接收器得到可見(jiàn)光中的信息后���,根據(jù)幀頭判斷是權(quán)限信息還是密鑰。當(dāng)檢測(cè)到幀尾時(shí)���,根據(jù)CRC檢驗(yàn)值檢查信息接收是否有誤�, 如果CRC校驗(yàn)值不符��,則舍棄該幀��。否則��,解密數(shù)據(jù)包�,得到文件加密的密鑰和用戶(hù)權(quán)限信息。用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序?qū)⒂脩?hù)權(quán)限緩存起來(lái)�����,形成該用戶(hù)的權(quán)限數(shù)據(jù)庫(kù)等待下一步使用�;(3)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序查詢(xún)已經(jīng)接收到的用戶(hù)權(quán)限信息�,當(dāng)發(fā)現(xiàn)該用戶(hù)有使用該文件的權(quán)限并存在用戶(hù)操作文件時(shí),首先將文件編號(hào)從密文中去掉���,然后通過(guò)接收到的密鑰將其解密并將其內(nèi)容顯示��。如果發(fā)現(xiàn)該用戶(hù)沒(méi)有權(quán)限或者不存在用戶(hù)操作文件時(shí)���,則不解密文件�。所述的加密方法����,可以根據(jù)安全性要求,選擇不同安全強(qiáng)度的加密算法�����;所述的加密文件的格式��,可以根據(jù)應(yīng)用要求��,處理操作系統(tǒng)支持的不同類(lèi)型的文件格式��。本發(fā)明的特點(diǎn)是采用最新的可見(jiàn)光通信技術(shù)作為保護(hù)措施���,利用便于約束在限定區(qū)域內(nèi)的可見(jiàn)光來(lái)傳遞用戶(hù)權(quán)限信息和文件解密密鑰��,用戶(hù)計(jì)算機(jī)通過(guò)光電接收器接收權(quán)限信息和文件密鑰后實(shí)時(shí)地解密文件�����,從而完美地實(shí)現(xiàn)限定區(qū)域文件訪(fǎng)問(wèn)����。通過(guò)可見(jiàn)光通信技術(shù),本發(fā)明相當(dāng)于為文件保護(hù)加上兩把鎖���。首先�����,安全管理人員通過(guò)安全管理主機(jī)的文件權(quán)限管理程序使用算法對(duì)文件進(jìn)行加密�,加上一把“密碼鎖”���,然后分發(fā)給用戶(hù)��;通過(guò)可見(jiàn)光通信系統(tǒng)傳遞文件使用權(quán)限信息和文件解密密鑰����,相當(dāng)于在前者的基礎(chǔ)上又增加了一把“光電鎖”�����。一旦使用者離開(kāi)限定區(qū)域����,即使他有光電接收器,在不存在含有信息的可見(jiàn)光的情況下依然無(wú)法打開(kāi)文件����。由于可見(jiàn)光不會(huì)“穿墻”,不會(huì)像無(wú)線(xiàn)電信號(hào)那樣容易被隔墻監(jiān)聽(tīng)��,所以只需要簡(jiǎn)單遮擋就能將信息屏蔽在限定區(qū)域��,而不會(huì)發(fā)生信息被截獲�、破解的問(wèn)題,本發(fā)明的安全性要高于已知類(lèi)似文件保密系統(tǒng)�����,并且因?yàn)榭梢?jiàn)光對(duì)人體沒(méi)有潛在的輻射問(wèn)題�����,更加健康����。由于可見(jiàn)光通信工作在較高的頻率上(遠(yuǎn)大于50HZ)�,因此本發(fā)明可以取代現(xiàn)有照明設(shè)備���,達(dá)到了節(jié)能環(huán)保的效果�,可謂一舉多得��。與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果是(1)本發(fā)明的基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置��,不同于傳統(tǒng)的“USB加密鎖”技術(shù)��,沒(méi)有把加密信息儲(chǔ)存在USB硬件設(shè)備中�,而是將加密信息儲(chǔ)存在只有在一定區(qū)域內(nèi)存在的無(wú)形的可見(jiàn)光中���,一旦離開(kāi)該區(qū)域���,即使有光電接收器,也依然無(wú)法獲得任何有用信息����,從而極大地提高了信息存儲(chǔ)的安全性�。(2)依據(jù)可見(jiàn)光透射的特點(diǎn)�����,本發(fā)明的基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置產(chǎn)生的安全信息���,只需要對(duì)環(huán)境透光部位進(jìn)行簡(jiǎn)單物理遮擋就可以實(shí)現(xiàn)對(duì)外信息屏蔽,從而減小了信息泄露的可能性�����。(3)依據(jù)基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置�����,根據(jù)發(fā)光設(shè)備的物理約束形成限定區(qū)域�����,光照范圍可控��,進(jìn)而權(quán)限認(rèn)證的限定區(qū)域可控�,區(qū)域內(nèi)外安全邊界明確。(4)利用基于可見(jiàn)光通信的限定區(qū)域���,可以對(duì)通信范圍內(nèi)存在的無(wú)線(xiàn)設(shè)備進(jìn)行有效管理����,進(jìn)一步擴(kuò)充通信范圍的無(wú)線(xiàn)硬件和軟件資源,實(shí)現(xiàn)在限定區(qū)域內(nèi)的多用戶(hù)自由訪(fǎng)問(wèn)�,大大提高了區(qū)域內(nèi)自由性。(5)基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置中的LED燈在傳遞信息的同時(shí)�,也是一個(gè)照明光源,可謂一燈兩用�����。由于LED的發(fā)光效率要遠(yuǎn)大于已有的熒光燈�,因此還可以達(dá)到節(jié)能環(huán)保的效果。進(jìn)一步將可見(jiàn)光通信系統(tǒng)與電力系統(tǒng)和現(xiàn)有照明系統(tǒng)相結(jié)合�,未來(lái)可以實(shí)現(xiàn)電力、照明����、光通信的無(wú)縫結(jié)合。(6)為了實(shí)現(xiàn)限定區(qū)域的訪(fǎng)問(wèn)控制����,基于可見(jiàn)光通信的限定區(qū)域文件保密方法,依據(jù)用戶(hù)身份認(rèn)證����、文件權(quán)限���、文件操作,對(duì)區(qū)域內(nèi)計(jì)算機(jī)文件進(jìn)行保護(hù)����,從而實(shí)現(xiàn)限定區(qū)域的文件保密。
圖1為本發(fā)明的基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置系統(tǒng)結(jié)構(gòu)圖
圖2為本發(fā)明的LED控制器硬件體系結(jié)構(gòu)圖3為本發(fā)明的曼徹斯特編碼原理示意圖4為本發(fā)明的OOK調(diào)制原理示意圖5為本發(fā)明的光電接收器硬件體系結(jié)構(gòu)圖6為本發(fā)明的文件處理示意圖7為本發(fā)明的生成權(quán)限數(shù)據(jù)庫(kù)示意圖8為本發(fā)明的信息發(fā)送示意圖9為本發(fā)明的權(quán)限信息處理流程圖10為本發(fā)明的文件操作流程圖�����。
具體實(shí)施例方式如圖1所示��,本發(fā)明的基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置包括LED控制器�����、 光電接收器���、安全管理主機(jī)、用戶(hù)主機(jī)�����。LED控制器與安全管理主機(jī)相連接;光電接收器與用戶(hù)主機(jī)相連接�。LED控制器包括編碼模塊、調(diào)制模塊����、LED驅(qū)動(dòng)模塊、LED模塊����、通信接口模塊。LED 控制器選用高安全性的CPLD可編程器件作為核心器件�,實(shí)現(xiàn)編碼功能,如圖2所示����。CPLD 首先與安全管理主機(jī)通過(guò)USB接口模塊來(lái)獲取信息,然后通過(guò)曼徹斯特編碼將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)兩路信號(hào)合為一路����,再利用DD311專(zhuān)用LED驅(qū)動(dòng)芯片對(duì)白色LED進(jìn)行OOK調(diào)制以發(fā)出包含信息的可見(jiàn)光。編碼模塊采用CPLD作為核心器件實(shí)現(xiàn)曼徹斯特編碼(Manchester Encoding)���。 曼徹斯特編碼是同步時(shí)鐘編碼技術(shù)��,用于在物理層編碼同步位流的時(shí)鐘和數(shù)據(jù)���,原理如圖3 所示���。曼徹斯特編碼提供一個(gè)簡(jiǎn)單的方式來(lái)編碼簡(jiǎn)單的二進(jìn)制序列,沒(méi)有長(zhǎng)的周期�����,也沒(méi)有轉(zhuǎn)換級(jí)別�����,因而可以防止時(shí)鐘同步的丟失或來(lái)自低頻率位移在缺乏補(bǔ)償?shù)哪M鏈接位錯(cuò)誤���。在曼徹斯特編碼中,用電壓跳變的相位不同來(lái)區(qū)分1和0�,即用正的電壓跳變表示0,用負(fù)的電壓跳變表示1���。由于跳變都發(fā)生在每一個(gè)碼元的中間���,接收端可以方便地利用它作為位同步時(shí)鐘。調(diào)制模塊采用OOK(On-Off Keying)方法。OOK是一種振幅鍵控調(diào)制方法的特例���,
7即一個(gè)幅度取為0�,另一個(gè)幅度為非0�。該調(diào)制方法實(shí)現(xiàn)簡(jiǎn)單,廣泛應(yīng)用在光纖通信系統(tǒng)中���。 采用DD311芯片作為L(zhǎng)ED驅(qū)動(dòng)電路和調(diào)制電路�。DD311是一種單通道輸出的LED恒流驅(qū)動(dòng)器�,內(nèi)建電流鏡與電流開(kāi)關(guān)組件,專(zhuān)用于驅(qū)動(dòng)大功率LED的設(shè)計(jì)��,可以驅(qū)動(dòng)高達(dá)1安培的沉入電流(sinkcurrent)���,并可透過(guò)調(diào)整參考輸入電流(IREF)來(lái)任意設(shè)定輸出電流的大小��。 當(dāng)它的使能端(EN)為高時(shí)����,LED點(diǎn)亮���,反之為低時(shí)�����,LED熄滅���,且使能頻率可達(dá)到1MHz���。通過(guò)將CPLD編碼后的信號(hào)直接加載在DD311的使能端,當(dāng)輸入信號(hào)為“ 1”時(shí)�����,LED點(diǎn)亮�,為“0” 時(shí)LED熄滅,從而實(shí)現(xiàn)信息的發(fā)送����,如圖4所示。光電接收器包括解碼模塊�、光電轉(zhuǎn)換模塊����、運(yùn)算放大模塊、AD轉(zhuǎn)換模塊����、通信接口模塊�。光電接收器同樣采用CPLD作為核心芯片���,如圖5所示����。為達(dá)到較高的信噪比�,采用低噪聲的PIN光電二極管作為光電轉(zhuǎn)換器,通過(guò)運(yùn)算放大器對(duì)信號(hào)進(jìn)行放大并傳給AD芯片���。 由AD轉(zhuǎn)換后的信號(hào)經(jīng)CPLD動(dòng)態(tài)門(mén)限判決后整形為標(biāo)準(zhǔn)的“0”��、“ 1�����,��,信號(hào)���,之后經(jīng)過(guò)曼徹斯特解碼還原為串口信號(hào),再通過(guò)USB接口發(fā)送給用戶(hù)主機(jī)�����。反向偏置的PIN光電二極管在有光照的情況下電流將由IuA轉(zhuǎn)化為20uA左右, 然后通過(guò)一個(gè)負(fù)載電阻RL將該電流信號(hào)轉(zhuǎn)換為電壓信號(hào)并作初步放大���。利用運(yùn)算放大器 TLC272對(duì)該電壓做進(jìn)一步的放大��。運(yùn)算放大器輸出端信號(hào)傳遞給AD芯片進(jìn)行模數(shù)轉(zhuǎn)換�。 為達(dá)到較高的采樣率��,采用最高采樣率為20Mps的高速AD芯片TLC5510�����。CPLD以遠(yuǎn)高于信息傳輸速率的頻率對(duì)接收信號(hào)進(jìn)行采樣�,并周期性地捕獲電壓最大值,之后將最大值的一半作為電平高低的判決門(mén)限��。由于環(huán)境光���、各種突發(fā)噪聲光的頻率遠(yuǎn)低于信號(hào)光��,因此對(duì)于有用信號(hào)�����,它們?cè)谶\(yùn)放輸出端只相當(dāng)于一個(gè)直流偏置電壓�,通過(guò)不斷自動(dòng)改變門(mén)限電壓��,可以在CPLD內(nèi)部整形出非常完美的“0”�、“1”電平信號(hào)。CPLD將整形后的信號(hào)經(jīng)過(guò)曼徹斯特解碼后�����,通過(guò)USB接口傳送給用戶(hù)主機(jī)�。安全管理主機(jī)中包括操作系統(tǒng)和文件權(quán)限管理程序。文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序�����;該操作系統(tǒng)提供文件系統(tǒng)管理���、數(shù)據(jù)庫(kù)系統(tǒng)管理等功能����;該文件權(quán)限管理程序負(fù)責(zé)文件管理��、用戶(hù)管理�����、用戶(hù)權(quán)限管理以及數(shù)據(jù)發(fā)送。其中���,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行AES加密和文件的添加��,該模塊是文件權(quán)限管理程序的子功能����;用戶(hù)管理模塊負(fù)責(zé)用戶(hù)信息的添加��、查詢(xún)����、修改和刪除等功能,該模塊是文件權(quán)限管理程序的子功能����;用戶(hù)權(quán)限管理模塊負(fù)責(zé)用戶(hù)對(duì)文件的權(quán)限的添加、修改和刪除功能�����,該模塊是文件權(quán)限管理程序的子功能�����;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過(guò)可見(jiàn)光以密文形式發(fā)送AES密鑰和用戶(hù)權(quán)限信息給光電接收器��,該模塊是文件權(quán)限管理程序的子功能��。用戶(hù)主機(jī)中包括操作系統(tǒng)和文件權(quán)限服務(wù)程序����。文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序;該操作系統(tǒng)提供文件操作基本功能和系統(tǒng)開(kāi)發(fā)接口 ����;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過(guò)光電接收器接收到可見(jiàn)光中的信息后����,根據(jù)幀頭判斷是權(quán)限信息或者AES密鑰,解密數(shù)據(jù)包��,得到文件加密的密鑰和用戶(hù)權(quán)限信息�,并將信息緩存起來(lái)形成該用戶(hù)的權(quán)限數(shù)據(jù)庫(kù)等待下一步使用。通過(guò)操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求�����,根據(jù)文件加密的密鑰和用戶(hù)權(quán)限信息決定是否進(jìn)行文件密文的操作,并把所讀取到得密文進(jìn)行解密����,整個(gè)解密過(guò)程實(shí)現(xiàn)對(duì)用戶(hù)透明?���;诳梢?jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法如下步驟一
如圖6所示,安全管理主機(jī)對(duì)文件進(jìn)行統(tǒng)一編號(hào)��,形成文件ID并儲(chǔ)存在用戶(hù)權(quán)限數(shù)據(jù)庫(kù)中��。對(duì)文件進(jìn)行AES加密處理���,形成密文����。再將文件ID號(hào)隱藏在密文中�����,用以區(qū)別加密后的密文。此后,將文件分發(fā)給使用者�。其中,文件ID即為文件編號(hào)���,用以區(qū)分加密后的不同文件�����。文件ID采用32位����,即 4個(gè)字節(jié)��。文件加密采用AES算法��,1 位密鑰����。為區(qū)別不同密文并防止文件ID被篡改����,將文件ID分為4個(gè)字節(jié),分別添加到密文的不同位置���。步驟二如圖7所示��,安全管理主機(jī)對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào)����,形成用戶(hù)ID,并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來(lái)建立權(quán)限數(shù)據(jù)庫(kù)�����。 對(duì)每個(gè)使用者進(jìn)行編號(hào)����,生成類(lèi)似于手機(jī)PIN碼的固定長(zhǎng)度的用戶(hù)ID (這里采用 48位ID,即6個(gè)字符)��,并將這個(gè)ID通過(guò)一定途徑傳遞給用戶(hù)�����,使每個(gè)用戶(hù)只知道自己的 ID�。通過(guò)文件權(quán)限管理程序建立權(quán)限數(shù)據(jù)庫(kù),將用戶(hù)ID與文件ID根據(jù)用戶(hù)權(quán)限對(duì)應(yīng)起來(lái)�����。步驟三安全管理主機(jī)將權(quán)限數(shù)據(jù)庫(kù)中的信息以及AES密鑰加密后通過(guò)USB設(shè)備接口傳送給LED控制器�,由LED控制器控制LED把信息廣播到限定區(qū)域����,如圖8所示��。為了生成適用于傳送的信息包���。采用的格式為每個(gè)包以用戶(hù)ID開(kāi)頭�,其后緊跟一個(gè)該用戶(hù)擁有權(quán)限的文件ID���。信息包結(jié)構(gòu)
權(quán)利要求
1.基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置����,其特征在于它包括LED控制器��、光電接收器�����、安全管理主機(jī)和用戶(hù)主機(jī)�����;LED控制器與安全管理主機(jī)相連接���;光電接收器與用戶(hù)主機(jī)相連接���;該LED控制器包括編碼模塊、調(diào)制模塊���、LED驅(qū)動(dòng)模塊�����、LED模塊和通信接口模塊��, LED控制器通過(guò)通信接口模塊與安全管理主機(jī)通信來(lái)獲取信息�,然后通過(guò)編碼模塊將時(shí)鐘信號(hào)和數(shù)據(jù)信號(hào)合成��,利用LED驅(qū)動(dòng)模塊對(duì)LED進(jìn)行調(diào)制以發(fā)出包含信息的可見(jiàn)光����;該編碼模塊是CPLD復(fù)雜可編程邏輯器件芯片;該調(diào)制模塊是OOK調(diào)制芯片����;該LED驅(qū)動(dòng)模塊是單通道大功率LED恒流驅(qū)動(dòng)器芯片;該LED模塊是復(fù)數(shù)個(gè)白色發(fā)光二極管����;該通信接口模塊是USB接口 ��;該光電接收器包括解碼模塊�����、光電轉(zhuǎn)換模塊�、運(yùn)算放大模塊�、AD轉(zhuǎn)換模塊和通信接口模塊,光電接收器利用光電轉(zhuǎn)換模塊轉(zhuǎn)換信號(hào)���,通過(guò)運(yùn)算放大模塊對(duì)信號(hào)進(jìn)行放大并傳給AD轉(zhuǎn)換模塊��,由AD轉(zhuǎn)換后的信號(hào)得到0-1信號(hào)����,再經(jīng)過(guò)解碼模塊���,由通信接口模塊發(fā)送給用戶(hù)主機(jī);該解碼模塊是CPLD復(fù)雜可編程邏輯器件芯片���;該光電轉(zhuǎn)換模塊是PIN光電二極管����;該運(yùn)算放大模塊是雙路單電源運(yùn)算放大器;該AD轉(zhuǎn)換模塊是高速A/D轉(zhuǎn)換器�����; 該通信接口模塊是USB接口 ���;該安全管理主機(jī)包括操作系統(tǒng)和文件權(quán)限管理程序���,文件權(quán)限管理程序是運(yùn)行在操作系統(tǒng)之上的應(yīng)用程序;該操作系統(tǒng)是提供文件系統(tǒng)管理��、數(shù)據(jù)庫(kù)系統(tǒng)管理���;該文件權(quán)限管理程序負(fù)責(zé)文件管理���、用戶(hù)管理、用戶(hù)權(quán)限管理以及數(shù)據(jù)發(fā)送���;其中�,文件管理模塊負(fù)責(zé)對(duì)文件進(jìn)行加密和文件的添加����,該模塊是文件權(quán)限管理程序的子功能�����;用戶(hù)管理模塊負(fù)責(zé)用戶(hù)信息的添加����、查詢(xún)��、修改和刪除���,該模塊是文件權(quán)限管理程序的子功能�;用戶(hù)權(quán)限管理模塊負(fù)責(zé)用戶(hù)對(duì)文件的權(quán)限的添加�����、修改和刪除�,該模塊是文件權(quán)限管理程序的子功能;數(shù)據(jù)發(fā)送模塊負(fù)責(zé)通過(guò)可見(jiàn)光以密文形式發(fā)送密鑰和用戶(hù)權(quán)限信息給光電接收器���,該模塊是文件權(quán)限管理程序的子功能;該用戶(hù)主機(jī)包括操作系統(tǒng)和文件權(quán)限服務(wù)程序�,文件權(quán)限服務(wù)程序是添加到操作系統(tǒng)中的服務(wù)程序��;該操作系統(tǒng)提供文件操作功能和系統(tǒng)開(kāi)發(fā)接口 ���;該文件權(quán)限服務(wù)程序是作為操作系統(tǒng)的服務(wù)程序?yàn)槠渌麘?yīng)用程序提供文件權(quán)限檢查服務(wù);它通過(guò)光電接收器接收到可見(jiàn)光中的信息后���,根據(jù)幀頭判斷是權(quán)限信息或者密鑰����,解密數(shù)據(jù)包���,得到文件加密的密鑰和用戶(hù)權(quán)限信息��,并將信息緩存起來(lái)形成該用戶(hù)的權(quán)限數(shù)據(jù)庫(kù)等待下一步使用�����,通過(guò)操作系統(tǒng)的系統(tǒng)函數(shù)截獲文件操作的消息請(qǐng)求����,根據(jù)文件加密的密鑰和用戶(hù)權(quán)限信息決定是否進(jìn)行文件密文的操作��,并把所讀取到得密文進(jìn)行解密,整個(gè)解密過(guò)程實(shí)現(xiàn)對(duì)用戶(hù)透明����。
2.基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法,其特征在于該方法具體步驟如下步驟一裝置系統(tǒng)啟動(dòng)后���,通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序��,對(duì)文件進(jìn)行統(tǒng)一編號(hào)�����,形成每個(gè)文件獨(dú)有的編號(hào)��,將文件編號(hào)隱藏在文件的密文中���, 然后將文件分發(fā)給使用者;步驟二 通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序�����,對(duì)文件使用者進(jìn)行統(tǒng)一編號(hào)���,形成用戶(hù)獨(dú)有的編號(hào)��,并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)起來(lái)建立權(quán)限數(shù)據(jù)庫(kù)��;步驟三通過(guò)與LED控制器相連接的安全管理主機(jī)的文件權(quán)限管理程序�����,將權(quán)限數(shù)據(jù)庫(kù)中的信息以及密鑰加密后通過(guò)接口設(shè)備將信息廣播到限定區(qū)域����;步驟四通過(guò)與光電接收器相連接的用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序��,解密權(quán)限信息以及密鑰后結(jié)合用戶(hù)輸入的用戶(hù)編號(hào)查詢(xún)用戶(hù)權(quán)限�;當(dāng)發(fā)現(xiàn)用戶(hù)擁有對(duì)某文件的訪(fǎng)問(wèn)權(quán)限并存在用戶(hù)操作文件時(shí),解密該文件并顯示文件內(nèi)容��,否則不解密文件��;用戶(hù)退出系統(tǒng)時(shí)����,刪除之前接收的權(quán)限信息、密鑰��,從而防止文件破解�����;步驟五根據(jù)應(yīng)用環(huán)境需求,定期或周期性地執(zhí)行步驟三�,對(duì)權(quán)限信息以及密鑰進(jìn)行更新,直到系統(tǒng)停止工作��。
3.根據(jù)權(quán)利要求2所述的基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置的文件保密方法���, 其特征在于所述步驟四按以下子步驟實(shí)現(xiàn)(1)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序要求用戶(hù)輸入自己的用戶(hù)編號(hào)進(jìn)行身份認(rèn)證��,一旦用戶(hù)關(guān)閉文件權(quán)限服務(wù)程序�,刪除該用戶(hù)編號(hào)�,從而避免用戶(hù)編號(hào)被盜用;(2)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序通過(guò)光電接收器得到可見(jiàn)光中的信息后���,根據(jù)幀頭判斷是權(quán)限信息還是密鑰�;當(dāng)檢測(cè)到幀尾時(shí)����,根據(jù)CRC檢驗(yàn)值檢查信息接收是否有誤,如果 CRC校驗(yàn)值不符�,則舍棄該幀;否則�,解密數(shù)據(jù)包���,得到文件加密的密鑰和用戶(hù)權(quán)限信息;用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序?qū)⒂脩?hù)權(quán)限緩存起來(lái)���,形成該用戶(hù)的權(quán)限數(shù)據(jù)庫(kù)等待下一步使用;(3)用戶(hù)主機(jī)的文件權(quán)限服務(wù)程序查詢(xún)已經(jīng)接收到的用戶(hù)權(quán)限信息���,當(dāng)發(fā)現(xiàn)該用戶(hù)有使用該文件的權(quán)限并存在用戶(hù)操作文件時(shí)����,首先將文件編號(hào)從密文中去掉�,然后通過(guò)接收到的密鑰將其解密并將其內(nèi)容顯示;如果發(fā)現(xiàn)該用戶(hù)沒(méi)有權(quán)限或者不存在用戶(hù)操作文件時(shí)����,則不解密文件。
全文摘要
基于可見(jiàn)光通信的限定區(qū)域權(quán)限認(rèn)證裝置��,含LED控制器�、光電接收器、安全管理主機(jī)和用戶(hù)主機(jī)���;LED控制器與安全管理主機(jī)連接�;光電接收器與用戶(hù)主機(jī)連接;其文件保密方法�����,有五大步驟一��、通過(guò)文件權(quán)限管理程序����,對(duì)文件進(jìn)行統(tǒng)一編號(hào)并隱藏在文件的密文中分發(fā)給使用者;二���、通過(guò)文件權(quán)限管理程序��,對(duì)文件用戶(hù)統(tǒng)一編號(hào)���,并根據(jù)使用者權(quán)限與加密文件編號(hào)對(duì)應(yīng)建立權(quán)限數(shù)據(jù)庫(kù);三�����、通過(guò)文件權(quán)限管理程序�,將權(quán)限數(shù)據(jù)庫(kù)中的信息和密鑰加密后通過(guò)接口設(shè)備將信息廣播到限定區(qū)域;四���、通過(guò)文件權(quán)限服務(wù)程序���,解密權(quán)限信息和密鑰后結(jié)合輸入的用戶(hù)編號(hào)查詢(xún)用戶(hù)權(quán)限�;五�����、根據(jù)應(yīng)用環(huán)境需求��,定期執(zhí)行步驟三�����,對(duì)權(quán)限信息和密鑰進(jìn)行更新�����,直到系統(tǒng)停止工作���。
文檔編號(hào)G06F21/24GK102289634SQ201110254619
公開(kāi)日2011年12月21日 申請(qǐng)日期2011年8月31日 優(yōu)先權(quán)日2011年8月31日
發(fā)明者劉建偉, 尚濤, 楊學(xué)行, 武宇航, 許晉瑞, 邢志博 申請(qǐng)人:北京航空航天大學(xué)