CN102289634B - 基于可见光通信的限定区域权限认证装置及文件保密方法 - Google Patents
基于可见光通信的限定区域权限认证装置及文件保密方法 Download PDFInfo
- Publication number
- CN102289634B CN102289634B CN201110254619A CN201110254619A CN102289634B CN 102289634 B CN102289634 B CN 102289634B CN 201110254619 A CN201110254619 A CN 201110254619A CN 201110254619 A CN201110254619 A CN 201110254619A CN 102289634 B CN102289634 B CN 102289634B
- Authority
- CN
- China
- Prior art keywords
- file
- user
- module
- information
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims abstract description 55
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000003287 optical effect Effects 0.000 title abstract description 3
- 230000006870 function Effects 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000003321 amplification Effects 0.000 claims description 9
- 238000003199 nucleic acid amplification method Methods 0.000 claims description 9
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 230000004048 modification Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 6
- 238000005336 cracking Methods 0.000 claims description 4
- 230000008676 import Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 230000033772 system development Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000010626 work up procedure Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 5
- 238000005286 illumination Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000005855 radiation Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 238000007493 shaping process Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000005684 electric field Effects 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000004020 luminiscence type Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
基于可见光通信的限定区域权限认证装置,含LED控制器、光电接收器、安全管理主机和用户主机;LED控制器与安全管理主机连接;光电接收器与用户主机连接;其文件保密方法,有五大步骤:一、通过文件权限管理程序,对文件进行统一编号并隐藏在文件的密文中分发给使用者;二、通过文件权限管理程序,对文件用户统一编号,并根据使用者权限与加密文件编号对应建立权限数据库;三、通过文件权限管理程序,将权限数据库中的信息和密钥加密后通过接口设备将信息广播到限定区域;四、通过文件权限服务程序,解密权限信息和密钥后结合输入的用户编号查询用户权限;五、根据应用环境需求,定期执行步骤三,对权限信息和密钥进行更新,直到系统停止工作。
Description
技术领域
本发明涉及基于可见光通信的限定区域权限认证装置及文件保密方法,属于信息安全技术领域。
背景技术
目前,涉及国家安全和尖端科技的单位部门(尤其是国防军工)都要求员工在规定物理地点完成工作,离开规定物理地点就不允许继续使用工作资源。除了规章制度要求以外,技术上需要做到限定区域访问控制,即计算机中的文件只能在规定的区域如实验室、办公室等场所被访问,一旦超出了规定的区域,计算机中的文件就不能被任何用户访问。
文件加密技术经历了软件加密、硬件加密、硬件加密与网络认证相结合的发展历程。随着密码技术的进步,加密文件被破解的难度大大增加,文件的安全性也得到了显著改善。这种文件加密技术只是延长了文件的破解时间,并没有实现限定区域的文件访问,当破解者离开规定区域依然可以继续破解。即使是目前安全级别较高的“USB加密锁”技术,虽然解决了软件加密易被破解的问题,但是依然无法避免被人利用逻辑分析仪进行硬件破解,最重要的是它也无法做到限定区域的文件访问,难以保障只能在规定地点打开加密文件。为了避免保密部门的文件泄密事件发生,如何将加密文件与限定区域结合起来是实现计算机信息安全的重要保障。
实现限定区域的主要难点在于要求在规定区域内外的安全性有明显差别,即区域内强安全和区域外弱安全,具有明确的内外安全边界和区域的自由性。从区域内通信介质的角度来看,有线通信介质不具有自由性,对于实现限定区域得不偿失;无线通信介质提供自由性,是实现限定区域的一种主要的发展趋势。其中,电磁波通过电场与磁场交互作用以辐射方式传播,但安全性较差;红外线要求通信设备的位置固定,存在热效应问题,不利于人体健康;可见光以光波为载波,利用荧光灯或发光二极管(LED)等发出肉眼看不到的高速明暗闪烁信号来传输信息的,易于屏蔽,通过约束光源可以改变通信范围。而且,将可见光通信与LED照明相结合,可以构建出LED照明和通信两用基站灯,一举两得。因此,采用可见光通信实现区域限定,具有安全边界明确、数据通信率高、功耗低、绿色环保等优点。目前,可见光通信属于国际前沿科研领域,将可见光通信与信息安全相结合,尤其是用于文件保密的限定区域访问控制方面,在国内外尚且没有相关成果。
发明内容
本发明的目的是解决限定区域的文件访问控制问题,提供一种基于可见光通信的限定区域权限认证装置及文件保密方法,提高文件保密系统的安全性,提升限定区域内自由性,及有效地解决基于可见光通信的限定区域认证装置设计及文件保密技术问题。
为完成本发明的目的,本发明采用的技术方案是:
1)一种基于可见光通信的限定区域权限认证装置,包括LED控制器、光电接收器、安全管理主机、用户主机。LED控制器与安全管理主机相连接;光电接收器与用户主机相连接。该LED控制器包括编码模块、调制模块、LED驱动模块、LED模块、通信接口模块。LED控制器通过通信接口模块与安全管理主机通信来获取信息,然后通过编码模块将时钟信号和数据信号合成,利用LED驱动模块对LED进行调制以发出包含信息的可见光。该编码模块是CPLD复杂可编程逻辑器件芯片;该调制模块是OOK调制芯片;该LED驱动模块是单通道大功率LED恒流驱动器芯片;该LED模块是多个白色发光二极管;该通信接口模块是USB接口;该光电接收器包括解码模块、光电转换模块、运算放大模块、AD转换模块、通信接口模块。光电接收器利用光电转换模块转换信号,通过运算放大模块对信号进行放大并传给AD转换模块,由AD转换后的信号得到0-1信号,再经过解码模块,由通信接口模块发送给用户主机。该解码模块是CPLD复杂可编程逻辑器件芯片;该光电转换模块是PIN光电二极管;该运算放大模块是双路单电源运算放大器;该AD转换模块是高速A/D转换器;该通信接口模块是USB接口;该安全管理主机中包括:操作系统和文件权限管理程序。文件权限管理程序是运行在操作系统之上的应用程序;该操作系统提供文件系统管理、数据库系统管理等功能;该文件权限管理程序负责文件管理、用户管理、用户权限管理以及数据发送。其中,文件管理模块负责对文件进行加密和文件的添加,该模块是文件权限管理程序的子功能;用户管理模块负责用户信息的添加、查询、修改和删除等功能,该模块是文件权限管理程序的子功能;用户权限管理模块负责用户对文件的权限的添加、修改和删除功能,该模块是文件权限管理程序的子功能;数据发送模块负责通过可见光以密文形式发送密钥和用户权限信息给光电接收器,该模块是文件权限管理程序的子功能。该用户主机中包括:操作系统和文件权限服务程序。文件权限服务程序是添加到操作系统中的服务程序;该操作系统提供文件操作功能和系统开发接口;该文件权限服务程序是作为操作系统的服务程序为其他应用程序提供文件权限检查服务;它通过光电接收器接收到可见光中的信息后,根据帧头判断是权限信息或者密钥,解密数据包,得到文件加密的密钥和用户权限信息,并将信息缓存起来形成该用户的权限数据库等待下一步使用。通过操作系统的系统函数截获文件操作的消息请求,根据文件加密的密钥和用户权限信息决定是否进行文件密文的操作,并把所读取到得密文进行解密,整个解密过程实现对用户透明。
2)基于可见光通信的限定区域权限认证装置的文件保密方法,其特征在于它包括以下步骤:
步骤一:装置系统启动后,通过与LED控制器相连接的安全管理主机的文件权限管理程序,对文件进行统一编号,形成每个文件独有的编号。将文件编号隐藏在文件的密文中,然后将文件分发给使用者;
步骤二:通过与LED控制器相连接的安全管理主机的文件权限管理程序,对文件使用者进行统一编号,形成用户独有的编号,并根据使用者权限与加密文件编号对应起来建立权限数据库;
步骤三:通过与LED控制器相连接的安全管理主机的文件权限管理程序,将权限数据库中的信息以及密钥加密后通过接口设备将信息广播到限定区域;
步骤四:通过与光电接收器相连接的用户主机的文件权限服务程序,解密权限信息以及密钥后结合用户输入的用户编号查询用户权限。当发现用户拥有对某文件的访问权限并存在用户操作文件时,解密该文件并显示文件内容,否则不解密文件。用户退出系统时,删除之前接收的权限信息、密钥,从而防止文件破解。
步骤五:根据应用环境需求,定期或周期性地执行步骤三,对权限信息以及密钥进行更新,直到系统停止工作。
其中,所述步骤四进一步分为以下子步骤:
(1)用户主机的文件权限服务程序要求用户输入自己的用户编号进行身份认证。一旦用户关闭文件权限服务程序,删除该用户编号,从而避免用户编号被盗用;
(2)用户主机的文件权限服务程序通过光电接收器得到可见光中的信息后,根据帧头判断是权限信息还是密钥。当检测到帧尾时,根据CRC检验值检查信息接收是否有误,如果CRC校验值不符,则舍弃该帧。否则,解密数据包,得到文件加密的密钥和用户权限信息。用户主机的文件权限服务程序将用户权限缓存起来,形成该用户的权限数据库等待下一步使用;
(3)用户主机的文件权限服务程序查询已经接收到的用户权限信息,当发现该用户有使用该文件的权限并存在用户操作文件时,首先将文件编号从密文中去掉,然后通过接收到的密钥将其解密并将其内容显示。如果发现该用户没有权限或者不存在用户操作文件时,则不解密文件。
所述的加密方法,可以根据安全性要求,选择不同安全强度的加密算法;所述的加密文件的格式,可以根据应用要求,处理操作系统支持的不同类型的文件格式。
本发明的特点是:采用最新的可见光通信技术作为保护措施,利用便于约束在限定区域内的可见光来传递用户权限信息和文件解密密钥,用户计算机通过光电接收器接收权限信息和文件密钥后实时地解密文件,从而完美地实现限定区域文件访问。通过可见光通信技术,本发明相当于为文件保护加上两把锁。首先,安全管理人员通过安全管理主机的文件权限管理程序使用算法对文件进行加密,加上一把“密码锁”,然后分发给用户;通过可见光通信系统传递文件使用权限信息和文件解密密钥,相当于在前者的基础上又增加了一把“光电锁”。一旦使用者离开限定区域,即使他有光电接收器,在不存在含有信息的可见光的情况下依然无法打开文件。由于可见光不会“穿墙”,不会像无线电信号那样容易被隔墙监听,所以只需要简单遮挡就能将信息屏蔽在限定区域,而不会发生信息被截获、破解的问题,本发明的安全性要高于已知类似文件保密系统,并且因为可见光对人体没有潜在的辐射问题,更加健康。由于可见光通信工作在较高的频率上(远大于50HZ),因此本发明可以取代现有照明设备,达到了节能环保的效果,可谓一举多得。
与现有技术相比,本发明的有益效果是:
(1)本发明的基于可见光通信的限定区域权限认证装置,不同于传统的“USB加密锁”技术,没有把加密信息储存在USB硬件设备中,而是将加密信息储存在只有在一定区域内存在的无形的可见光中,一旦离开该区域,即使有光电接收器,也依然无法获得任何有用信息,从而极大地提高了信息存储的安全性。
(2)依据可见光透射的特点,本发明的基于可见光通信的限定区域权限认证装置产生的安全信息,只需要对环境透光部位进行简单物理遮挡就可以实现对外信息屏蔽,从而减小了信息泄露的可能性。
(3)依据基于可见光通信的限定区域权限认证装置,根据发光设备的物理约束形成限定区域,光照范围可控,进而权限认证的限定区域可控,区域内外安全边界明确。
(4)利用基于可见光通信的限定区域,可以对通信范围内存在的无线设备进行有效管理,进一步扩充通信范围的无线硬件和软件资源,实现在限定区域内的多用户自由访问,大大提高了区域内自由性。
(5)基于可见光通信的限定区域权限认证装置中的LED灯在传递信息的同时,也是一个照明光源,可谓一灯两用。由于LED的发光效率要远大于已有的荧光灯,因此还可以达到节能环保的效果。进一步将可见光通信系统与电力系统和现有照明系统相结合,未来可以实现电力、照明、光通信的无缝结合。
(6)为了实现限定区域的访问控制,基于可见光通信的限定区域文件保密方法,依据用户身份认证、文件权限、文件操作,对区域内计算机文件进行保护,从而实现限定区域的文件保密。
附图说明
图1为本发明的基于可见光通信的限定区域权限认证装置系统结构图;
图2为本发明的LED控制器硬件体系结构图;
图3为本发明的曼彻斯特编码原理示意图;
图4为本发明的OOK调制原理示意图;
图5为本发明的光电接收器硬件体系结构图;
图6为本发明的文件处理示意图;
图7为本发明的生成权限数据库示意图;
图8为本发明的信息发送示意图;
图9为本发明的权限信息处理流程图;
图10为本发明的文件操作流程图。
具体实施方式
如图1所示,本发明的基于可见光通信的限定区域权限认证装置包括LED控制器、光电接收器、安全管理主机、用户主机。LED控制器与安全管理主机相连接;光电接收器与用户主机相连接。
LED控制器包括编码模块、调制模块、LED驱动模块、LED模块、通信接口模块。LED控制器选用高安全性的CPLD可编程器件作为核心器件,实现编码功能,如图2所示。CPLD首先与安全管理主机通过USB接口模块来获取信息,然后通过曼彻斯特编码将时钟信号和数据信号两路信号合为一路,再利用DD311专用LED驱动芯片对白色LED进行OOK调制以发出包含信息的可见光。
编码模块采用CPLD作为核心器件实现曼彻斯特编码(ManchesterEncoding)。曼彻斯特编码是同步时钟编码技术,用于在物理层编码同步位流的时钟和数据,原理如图3所示。曼彻斯特编码提供一个简单的方式来编码简单的二进制序列,没有长的周期,也没有转换级别,因而可以防止时钟同步的丢失或来自低频率位移在缺乏补偿的模拟链接位错误。在曼彻斯特编码中,用电压跳变的相位不同来区分1和0,即用正的电压跳变表示0,用负的电压跳变表示1。由于跳变都发生在每一个码元的中间,接收端可以方便地利用它作为位同步时钟。
调制模块采用OOK(On-Off Keying)方法。OOK是一种振幅键控调制方法的特例,即一个幅度取为0,另一个幅度为非0。该调制方法实现简单,广泛应用在光纤通信系统中。采用DD311芯片作为LED驱动电路和调制电路。DD311是一种单通道输出的LED恒流驱动器,内建电流镜与电流开关组件,专用于驱动大功率LED的设计,可以驱动高达1安培的沉入电流(sinkcurrent),并可透过调整参考输入电流(IREF)来任意设定输出电流的大小。当它的使能端(EN)为高时,LED点亮,反之为低时,LED熄灭,且使能频率可达到1MHz。通过将CPLD编码后的信号直接加载在DD311的使能端,当输入信号为“1”时,LED点亮,为“0”时LED熄灭,从而实现信息的发送,如图4所示。
光电接收器包括解码模块、光电转换模块、运算放大模块、AD转换模块、通信接口模块。光电接收器同样采用CPLD作为核心芯片,如图5所示。为达到较高的信噪比,采用低噪声的PIN光电二极管作为光电转换器,通过运算放大器对信号进行放大并传给AD芯片。由AD转换后的信号经CPLD动态门限判决后整形为标准的“0”、“1”信号,之后经过曼彻斯特解码还原为串口信号,再通过USB接口发送给用户主机。
反向偏置的PIN光电二极管在有光照的情况下电流将由1uA转化为20uA左右,然后通过一个负载电阻RL将该电流信号转换为电压信号并作初步放大。利用运算放大器TLC272对该电压做进一步的放大。运算放大器输出端信号传递给AD芯片进行模数转换。为达到较高的采样率,采用最高采样率为20Mps的高速AD芯片TLC5510。CPLD以远高于信息传输速率的频率对接收信号进行采样,并周期性地捕获电压最大值,之后将最大值的一半作为电平高低的判决门限。由于环境光、各种突发噪声光的频率远低于信号光,因此对于有用信号,它们在运放输出端只相当于一个直流偏置电压,通过不断自动改变门限电压,可以在CPLD内部整形出非常完美的“0”、“1”电平信号。CPLD将整形后的信号经过曼彻斯特解码后,通过USB接口传送给用户主机。
安全管理主机中包括:操作系统和文件权限管理程序。文件权限管理程序是运行在操作系统之上的应用程序;该操作系统提供文件系统管理、数据库系统管理等功能;该文件权限管理程序负责文件管理、用户管理、用户权限管理以及数据发送。其中,文件管理模块负责对文件进行AES加密和文件的添加,该模块是文件权限管理程序的子功能;用户管理模块负责用户信息的添加、查询、修改和删除等功能,该模块是文件权限管理程序的子功能;用户权限管理模块负责用户对文件的权限的添加、修改和删除功能,该模块是文件权限管理程序的子功能;数据发送模块负责通过可见光以密文形式发送AES密钥和用户权限信息给光电接收器,该模块是文件权限管理程序的子功能。
用户主机中包括:操作系统和文件权限服务程序。文件权限服务程序是添加到操作系统中的服务程序;该操作系统提供文件操作基本功能和系统开发接口;该文件权限服务程序是作为操作系统的服务程序为其他应用程序提供文件权限检查服务;它通过光电接收器接收到可见光中的信息后,根据帧头判断是权限信息或者AES密钥,解密数据包,得到文件加密的密钥和用户权限信息,并将信息缓存起来形成该用户的权限数据库等待下一步使用。通过操作系统的系统函数截获文件操作的消息请求,根据文件加密的密钥和用户权限信息决定是否进行文件密文的操作,并把所读取到得密文进行解密,整个解密过程实现对用户透明。
基于可见光通信的限定区域权限认证装置的文件保密方法如下:
步骤一:
如图6所示,安全管理主机对文件进行统一编号,形成文件ID并储存在用户权限数据库中。对文件进行AES加密处理,形成密文。再将文件ID号隐藏在密文中,用以区别加密后的密文。此后,将文件分发给使用者。
其中,文件ID即为文件编号,用以区分加密后的不同文件。文件ID采用32位,即4个字节。文件加密采用AES算法,128位密钥。为区别不同密文并防止文件ID被篡改,将文件ID分为4个字节,分别添加到密文的不同位置。
步骤二:
如图7所示,安全管理主机对文件使用者进行统一编号,形成用户ID,并根据使用者权限与加密文件编号对应起来建立权限数据库。
对每个使用者进行编号,生成类似于手机PIN码的固定长度的用户ID(这里采用48位ID,即6个字符),并将这个ID通过一定途径传递给用户,使每个用户只知道自己的ID。通过文件权限管理程序建立权限数据库,将用户ID与文件ID根据用户权限对应起来。
步骤三:
安全管理主机将权限数据库中的信息以及AES密钥加密后通过USB设备接口传送给LED控制器,由LED控制器控制LED把信息广播到限定区域,如图8所示。
为了生成适用于传送的信息包。采用的格式为:每个包以用户ID开头,其后紧跟一个该用户拥有权限的文件ID。
信息包结构
用户ID | 文件ID |
对每一个信息包进行AES加密,形成加密信息包。生成加密信息包CRC校验值(16bit),并追加到加密信息包的结尾。为加密信息包加上帧头,形成最终用于发送的一帧数据。其中帧头为“##”。数据帧格式如下:
数据帧结构
## | 加密数据包 | CRC校验值 |
为了实现AES密钥的加密及发送,采用128位AES密钥对文件进行加密处理,形成密文。计算该密文的CRC校验值,并追加到密文后面。然后添加帧头,帧头为“$$”。密钥数据帧格式如下:
密钥数据帧结构
$$ | 加密后的密钥 | CRC校验值 |
为了达到较高的反破解能力,该密钥并不存在于用户主机中,而是由安全管理主机通过可见光通信实时地发送给用户。一旦用户关闭用户主机中的文件权限服务程序,该密钥连同用户权限信息立即消失,从而达到了较高的安全效果。
步骤四:
用户主机中的文件权限服务程序与光电接收器通过USB接口通信,解密权限信息以及AES密钥后结合用户输入的用户ID号查询用户权限。当发现用户有对访问某文件的权限的时候,解密该文件,否则不解密文件。用户结束该文件权限服务程序时,接收的权限信息、AES密钥都将消失,从而防止文件被破解。
上述过程具体分为以下子步骤:
(1)用户主机的文件权限服务程序要求用户输入自己的用户编号进行身份认证。一旦用户关闭文件权限服务程序,删除该用户编号,从而避免用户编号被盗用;
(2)如图9所示,用户主机中的文件权限服务程序通过光电接收器收到可见光中的信息后,根据帧头判断是权限信息还是AES密钥。当检测到帧尾时,根据CRC检验值检查信息接收是否有误,如果CRC校验值不符,则舍弃该帧。否则,解密数据包,得到文件加密的AES密钥和用户权限信息。文件权限服务程序将用户权限缓存起来,形成该用户的权限数据库等待下一步使用。
(3)对于文件操作,所有加密后的文件都只有通过用户主机中的文件权限服务程序才能打开。该文件权限服务程序可以采用Windows系统API中的HOOK函数,监视各种输入操作信息,包括鼠标指针的位置和点击事件、键盘、摄像头输入消息等。通过截获输入设备对文件的操作,获取目标数据存储路径。通过目标存储路径读取加密后的密文根据权限信息决定是否进行解密。若文件权限服务程序查询已经接收到的用户权限信息,并发现该用户有使用该文件的权限时,首先将文件ID从密文中去掉,然后通过接收到的AES密钥将其解密。如果发现该用户没有权限,则不解密文件。当用户关闭文件权限服务程序时,解密后的信息将消失,文件恢复为原始密文状态。具体文件操作流程如图10所示。
步骤五:
根据应用环境需求,定期或周期性地执行步骤三,对权限信息以及密钥进行更新,直到装置系统停止工作。
本发明未详细阐述的部分属于本领域的技术人员公知技术。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (3)
1.基于可见光通信的限定区域权限认证装置,其特征在于:它包括LED控制器、光电接收器、安全管理主机和用户主机;LED控制器与安全管理主机相连接;光电接收器与用户主机相连接;该LED控制器包括编码模块、调制模块、LED驱动模块、LED模块和通信接口模块,LED控制器通过通信接口模块与安全管理主机通信来获取信息,然后通过编码模块将时钟信号和数据信号合成,利用LED驱动模块对LED进行调制以发出包含信息的可见光;该编码模块是CPLD复杂可编程逻辑器件芯片;该调制模块是OOK调制芯片;该LED驱动模块是单通道大功率LED恒流驱动器芯片;该LED模块是复数个白色发光二极管;该通信接口模块是USB接口;该光电接收器包括解码模块、光电转换模块、运算放大模块、AD转换模块和通信接口模块,光电接收器利用光电转换模块转换信号,通过运算放大模块对信号进行放大并传给AD转换模块,由AD转换后的信号得到0-1信号,再经过解码模块,由通信接口模块发送给用户主机;该解码模块是CPLD复杂可编程逻辑器件芯片;该光电转换模块是PIN光电二极管;该运算放大模块是双路单电源运算放大器;该AD转换模块是高速A/D转换器;该通信接口模块是USB接口;该安全管理主机包括:操作系统和文件权限管理程序,文件权限管理程序是运行在操作系统之上的应用程序;该操作系统是提供文件系统管理、数据库系统管理;该文件权限管理程序负责文件管理、用户管理、用户权限管理以及数据发送;其中,文件管理模块负责对文件进行加密和文件的添加,该模块是文件权限管理程序的子功能;用户管理模块负责用户信息的添加、查询、修改和删除,该模块是文件权限管理程序的子功能;用户权限管理模块负责用户对文件的权限的添加、修改和删除,该模块是文件权限管理程序的子功能;数据发送模块负责通过可见光以密文形式发送密钥和用户权限信息给光电接收器,该模块是文件权限管理程序的子功能;该用户主机包括:操作系统和文件权限服务程序,文件权限服务程序是添加到操作系统中的服务程序;该操作系统提供文件操作功能和系统开发接口;该文件权限服务程序是作为操作系统的服务程序为其他应用程序提供文件权限检查服务;它通过光电接收器接收到可见光中的信息后,根据帧头判断是权限信息或者密钥,解密数据包,得到文件加密的密钥和用户权限信息,并将信息缓存起来形成该用户的权限数据库等待下一步使用,通过操作系统的系统函数截获文件操作的消息请求,根据文件加密的密钥和用户权限信息决定是否进行文件密文的操作,并把所读取到得密文进行解密,整个解密过程实现对用户透明。
2.根据权利要求1所述的基于可见光通信的限定区域权限认证装置上执行的保密方法,其特征在于:该方法具体步骤如下:
步骤一:装置系统启动后,通过与LED控制器相连接的安全管理主机的文件权限管理程序,对文件进行统一编号,形成每个文件独有的编号,将文件编号隐藏在文件的密文中,然后将文件分发给使用者;
步骤二:通过与LED控制器相连接的安全管理主机的文件权限管理程序,对文件使用者进行统一编号,形成用户独有的编号,并根据使用者权限与加密文件编号对应起来建立权限数据库;
步骤三:通过与LED控制器相连接的安全管理主机的文件权限管理程序,将权限数据库中的信息以及密钥加密后通过接口设备将信息广播到限定区域;
步骤四:通过与光电接收器相连接的用户主机的文件权限服务程序,解密权限信息以及密钥后结合用户输入的用户编号查询用户权限;当发现用户拥有对某文件的访问权限并存在用户操作文件时,解密该文件并显示文件内容,否则不解密文件;用户退出系统时,删除之前接收的权限信息、密钥,从而防止文件破解;
步骤五:根据应用环境需求,定期或周期性地执行步骤三,对权限信息以及密钥进行更新,直到系统停止工作。
3.根据权利要求2所述的基于可见光通信的限定区域权限认证装置的文件保密方法,其特征在于:所述步骤四按以下子步骤实现:
(1)用户主机的文件权限服务程序要求用户输入自己的用户编号进行身份认证,一旦用户关闭文件权限服务程序,删除该用户编号,从而避免用户编号被盗用;
(2)用户主机的文件权限服务程序通过光电接收器得到可见光中的信息后,根据帧头判断是权限信息还是密钥;当检测到帧尾时,根据CRC检验值检查信息接收是否有误,如果CRC校验值不符,则舍弃该帧;否则,解密数据包,得到文件加密的密钥和用户权限信息;用户主机的文件权限服务程序将用户权限缓存起来,形成该用户的权限数据库等待下一步使用;
(3)用户主机的文件权限服务程序查询已经接收到的用户权限信息,当发现该用户有使用该文件的权限并存在用户操作文件时,首先将文件编号从密文中去掉,然后通过接收到的密钥将其解密并将其内容显示;如果发现该用户没有权限或者不存在用户操作文件时,则不解密文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110254619A CN102289634B (zh) | 2011-08-31 | 2011-08-31 | 基于可见光通信的限定区域权限认证装置及文件保密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110254619A CN102289634B (zh) | 2011-08-31 | 2011-08-31 | 基于可见光通信的限定区域权限认证装置及文件保密方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102289634A CN102289634A (zh) | 2011-12-21 |
CN102289634B true CN102289634B (zh) | 2012-08-29 |
Family
ID=45336049
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110254619A Expired - Fee Related CN102289634B (zh) | 2011-08-31 | 2011-08-31 | 基于可见光通信的限定区域权限认证装置及文件保密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102289634B (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103295284B (zh) * | 2012-02-29 | 2016-12-14 | 深圳光启智能光子技术有限公司 | 一种基于led的通信方法及光控移动终端 |
CN103291136B (zh) * | 2012-02-29 | 2017-08-25 | 深圳光启智能光子技术有限公司 | 一种智能锁系统 |
CN103297149A (zh) * | 2012-02-29 | 2013-09-11 | 深圳光启创新技术有限公司 | 一种基于usb的光通信方法和接收装置 |
CN103297136A (zh) * | 2012-02-29 | 2013-09-11 | 深圳光启创新技术有限公司 | 一种led控制系统及led控制方法 |
CN102610013A (zh) * | 2012-02-29 | 2012-07-25 | 深圳光启创新技术有限公司 | 可见光通信方法和基于可见光通信的数据存储系统 |
CN103295388A (zh) * | 2012-02-29 | 2013-09-11 | 深圳光启创新技术有限公司 | 一种基于光通信的玩具遥控系统 |
CN103310505B (zh) * | 2012-03-15 | 2016-11-09 | 深圳光启智能光子技术有限公司 | 一种门禁系统的控制方法 |
CN103310506B (zh) * | 2012-03-15 | 2017-04-19 | 深圳光启智能光子技术有限公司 | 一种门禁系统的通信方法 |
CN103369773A (zh) * | 2012-03-29 | 2013-10-23 | 中国计量学院 | 基于led照明灯具的无线通信智能家居系统 |
CN103368648B (zh) * | 2012-04-01 | 2017-05-03 | 深圳光启智能光子技术有限公司 | 基于时分多址的可见光通信系统 |
CN102710418A (zh) * | 2012-05-07 | 2012-10-03 | 深圳光启创新技术有限公司 | 一种对可见光信号加解密的方法和系统 |
CN102723986A (zh) * | 2012-06-28 | 2012-10-10 | 无锡莱吉特信息科技有限公司 | 基于usb接口的水下led通信系统 |
JP6082461B2 (ja) * | 2012-07-31 | 2017-02-15 | クワーン チー インテリジェント フォトニック テクノロジー リミテッド | 可視光の暗号化方法、復号化方法、通信装置及び通信システム |
CN102983977B (zh) * | 2012-08-31 | 2013-10-30 | 深圳光启创新技术有限公司 | 基于光信号的授权方法和装置 |
WO2014032618A1 (zh) * | 2012-08-31 | 2014-03-06 | 深圳光启创新技术有限公司 | 基于光信号的信息处理方法和装置 |
CN104363564B (zh) * | 2014-11-26 | 2018-05-18 | 东南大学 | 基于可见光通信标签的移动终端信息推送系统 |
CN105788046A (zh) * | 2016-03-09 | 2016-07-20 | 宁波萨瑞通讯有限公司 | 基于手机led灯光的解锁开门系统及方法 |
CN106297209B (zh) * | 2016-11-03 | 2018-08-07 | 国网上海市电力公司 | 基于Lifi技术的变电站作业人员定位系统及方法 |
US11082212B2 (en) | 2017-12-26 | 2021-08-03 | Industrial Technology Research Institute | System and method for communication service verification, and verification server thereof |
CN111010275A (zh) * | 2019-12-31 | 2020-04-14 | 嘉兴太美医疗科技有限公司 | 密钥管理方法、生成密钥的方法和密钥管理系统 |
CN112822277A (zh) * | 2021-01-12 | 2021-05-18 | 湖北大学 | 文件传输方法、装置及系统 |
CN115065408B (zh) * | 2022-04-28 | 2024-02-27 | 上海交通大学 | 基于光学相机的多优先级分层编码方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005024567A2 (en) * | 2003-08-18 | 2005-03-17 | Spearman Anthony C | Network communication security system, monitoring system and methods |
CN101472140A (zh) * | 2007-12-28 | 2009-07-01 | 上海高翔广告传播有限公司 | 一种多媒体分发点播系统及其实现方法 |
CN101730104A (zh) * | 2009-06-23 | 2010-06-09 | 中兴通讯股份有限公司 | 用户设备接入认证方法、装置及无线局域网接入网络 |
CN102013183A (zh) * | 2010-12-02 | 2011-04-13 | 北京科技大学 | 无线教学互动评估系统 |
-
2011
- 2011-08-31 CN CN201110254619A patent/CN102289634B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005024567A2 (en) * | 2003-08-18 | 2005-03-17 | Spearman Anthony C | Network communication security system, monitoring system and methods |
CN101472140A (zh) * | 2007-12-28 | 2009-07-01 | 上海高翔广告传播有限公司 | 一种多媒体分发点播系统及其实现方法 |
CN101730104A (zh) * | 2009-06-23 | 2010-06-09 | 中兴通讯股份有限公司 | 用户设备接入认证方法、装置及无线局域网接入网络 |
CN102013183A (zh) * | 2010-12-02 | 2011-04-13 | 北京科技大学 | 无线教学互动评估系统 |
Non-Patent Citations (2)
Title |
---|
丁德强等.一种基于可见光通信的无线局域网系统设计与仿真.《西安理工大学学报》.2007,第23卷(第01期),第29-32页. * |
李世亮等.室内可见光无线通信调制方法.《黑龙江科技学院学报》.2010,第20卷(第05期),第379-382页. * |
Also Published As
Publication number | Publication date |
---|---|
CN102289634A (zh) | 2011-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102289634B (zh) | 基于可见光通信的限定区域权限认证装置及文件保密方法 | |
US9768958B2 (en) | Visible-light communication-based encryption, decryption and encryption/decryption method and system | |
US9698907B2 (en) | Handshake synchronization by adjusting status of status machine of receiving end to a state indicated by status reset signal | |
Rohner et al. | Security in visible light communication: Novel challenges and opportunities | |
CN109617687B (zh) | 一种可见光通信的量子加密系统 | |
CN103795487B (zh) | 可见光信号发送、接收处理方法、发射端、接收端及系统 | |
CN107135072A (zh) | 一种基于量子加密的无线传感器网络系统 | |
CN104868951A (zh) | 基于led照明的可见光通信传输方法和系统 | |
CN101333892A (zh) | 一种应用于门锁的rfid系统的安全处理方法 | |
Zhang et al. | The security in optical wireless communication: A survey | |
CN106411404A (zh) | 控制方法、控制装置、移动终端及无线通信系统 | |
CN105235642B (zh) | 控制指令安全执行方法以及汽车防盗器主机 | |
CN105847001A (zh) | 基于量子加密的数字微波通信装置、系统及方法 | |
CN110535634B (zh) | 基于量子加密的音视频传输系统 | |
CN202257581U (zh) | 一种基于可见光通信的限定区域权限认证装置 | |
CN1649295A (zh) | 集群系统中端对端加解密的装置及其方法 | |
CN102780695A (zh) | 基于可见光通信的握手同步方法和系统 | |
CN103873228B (zh) | 一种基于磁场及可见光的加密通讯方法及系统 | |
CN106656329A (zh) | 可见光通信系统及方法 | |
Huang et al. | Security protocols in body sensor networks using visible light communications | |
Cronin et al. | Covert data exfiltration using light and power channels | |
CN204808366U (zh) | 读写器、标签及标签系统 | |
CN203827350U (zh) | 阅览器终端、阅览系统 | |
CN110047181B (zh) | 一种基于Zigbee的智能门锁安全控制方法 | |
CN103440697A (zh) | 光控门禁方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20191021 Address after: Room b105-02, floor 1, building 1, No. 9, Dazhongsi East Road, Haidian District, Beijing 100086 Patentee after: China Hong Kong Dagong Technology (Beijing) Co.,Ltd. Address before: College of electronic and information engineering, Beijing University of Aeronautics and Astronautics 37 No. 100191 Beijing Haidian District city Xueyuan Road Patentee before: BEIHANG University |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120829 |