CN103401834B - 基于位置信息的限定区域文件保密方法 - Google Patents

基于位置信息的限定区域文件保密方法 Download PDF

Info

Publication number
CN103401834B
CN103401834B CN201310263854.4A CN201310263854A CN103401834B CN 103401834 B CN103401834 B CN 103401834B CN 201310263854 A CN201310263854 A CN 201310263854A CN 103401834 B CN103401834 B CN 103401834B
Authority
CN
China
Prior art keywords
key
subscriber
module
encryption
loc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201310263854.4A
Other languages
English (en)
Other versions
CN103401834A (zh
Inventor
付邵静
程力
张鹏飞
叶帅
周文浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN201310263854.4A priority Critical patent/CN103401834B/zh
Publication of CN103401834A publication Critical patent/CN103401834A/zh
Application granted granted Critical
Publication of CN103401834B publication Critical patent/CN103401834B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于位置信息的限定区域文件保密方法,目的是解决在一定区域内进行安全通信的问题。技术方案是先构建一套由用户主机、安全管理主机、全球定位系统组成的基于位置信息的限定区域文件保密系统,安全管理主机上安装文件权限管理程序;用户主机上安装有位置信息模块、文件权限服务程序;其保密方法如下:安全管理主机为用户主机生成公私钥;发送方加密消息,并根据消息限定的安全区域生成位置密钥;安全管理主机判断接收方位置密钥数据合法性,以验证接收方在安全区域;接收方在限定区域解密消息。本发明采取用户口令与地理位置作为双重认证手段,实现了秘密的区域可控,适合于保密会议、保密室等机密场所。

Description

基于位置信息的限定区域文件保密方法
技术领域
本发明涉及基于位置信息的限定区域文件保密方法,属于信息安全技术领域。
背景技术
目前,国家保密法规定,绝密级文件只能在指定地点访问。同样、涉及国家安全和尖端科技的单位部门(尤其是国防军工)也要求员工在规定地域完成工作,离开规定物理地点就不允许继续使用工作资源。除了规章制度要求外,技术上需要做到限定区域访问控制,即计算机中的文件只能在规定的区域如保密室、办公室等场所被访问,一旦超过了规定的区域,计算机中的文件就不能被任何用户访问。
传统的文件保密方法分为三步:
第一步,文件保密系统与使用者约定身份认证的用户凭据,如用户自己约定口令,即PIN码(PersonalIdentificationNumber,个人识别密码)、预设知识等;根据用户的生理特征,如指纹、虹膜、DNA等;根据用户行为,如语音,笔迹,击键特征等;利用硬件设备生成,如电子钥匙卡、密钥盘等。
第二步,文件保密系统将用户凭据与保密数据保存,在存取之前将用户凭据与保密数据通过加密算法进行处理。
第三步,当用户需要获取保密数据时,输入事先约定的凭据,系统将其与原先存储的凭据对照,如果相符,则证明该用户为合法用户。
在第一步中,传统的用户凭据如口令、生理特征、行为等并不能限定用户获取服务的地理位置,在保密性要求较高的场所,存在着较大的安全隐患。比如保密的会议,通信内容需要限定在被监控的会议室中;为了版权保护,电影在放映时,必须被限定在某个固定的电影院;为了制定保密的决策(如高考出卷、阅卷),参与保密活动的人员的通信内容需要限定在受到监控的一定的安全区域内,超出区域的通信都将被禁止。因此为了避免这些场合文件泄密事件发生,需要限定接收方获取文件的地理位置,从而保证保密信息只能在规定的场所获取,实现限定区域的文件保密方法。北京航空航天大学邢志博等人于2011年发明的基于可见光的文件加密方法通过光通信进行一定区域内的文件加密,但该方法存在着保密区域固定、难以扩展的缺点。国外LoganScott在2003年提出了一种基于地理位置信息加密方法,但该方法中通信双方直接通信,没有第三方进行监控,不适合应用于如保密会议此类需要对通信过程监控的高安全性场合。
发明内容
本发明要解决的技术问题是针对特定场合如保密会议室、保密室需要在区域内安全通信,限定区域外通信的需求,解决限定区域的文件访问控制问题,结合位置信息可以作为身份认证手段的技术特点,提供一种基于位置信息的限定区域文件保密方法,提高文件保密系统的安全性,提升限定区域内通信自由性,及有效地解决基于位置信息的限定区域文件保密技术问题。
本发明的技术方案是:
第一步,构建一套基于位置信息的限定区域文件保密系统,该系统由用户主机、安全管理主机、全球定位系统组成。用户主机是通信网络的端点,与全球定位系统通过无线信号相连,用户主机之间通过通信网络相连;安全管理主机是整个网络的核心,与用户主机和全球定位系统均通过无线信号相连。
全球定位系统是现有的GPS定位系统、北斗定位系统、或者其他能够为用户主机提供位置信息的定位系统。
安全管理主机是用于管理用户主机通信的计算机,其上安装操作系统和文件权限管理程序。文件权限管理程序是运行在操作系统之上的应用程序,由用户管理模块、密钥管理模块、第一文件管理模块以及第一通信模块构成。用户管理模块负责用户主机信息的编号、管理,并将用户编号信息发送至密钥管理模块;密钥管理模块根据用户主机编号信息生成用户会话所需要的公私钥,将公私钥发送至第一文件管理模块;密钥管理模块内有位置密钥库,位置密钥库中存储有根据安全区域生成的位置密钥;第一文件管理模块将接收到的公私钥进行存储,并将公私钥传送给第一通信模块;第一通信模块负责通过网络以密文形式将公私钥及保密数据发送给用户主机。
用户主机是用于用户间通信的计算机,其上安装有商用的位置信息模块(如GPS信号接收器、北斗卫星信号接收器)、操作系统和文件权限服务程序。用户主机分为接收方用户主机与发送方用户主机,两者安装的软件相同,只是在消息收发阶段文件权限服务程序各个模块工作的顺序不同。位置信息模块用来接收全球定位系统发布的位置信息并将位置信息发送给文件权限服务程序;文件权限服务程序是添加在操作系统中的服务程序,作为操作系统的服务程序为其他可能操作保密文件的应用程序(如文本编辑器)提供文件权限检查服务,由加解密模块、第二文件管理模块、第二通信模块组成。
在文件加密过程中,发送方用户主机的位置信息模块从键盘接收位置信息发送给加解密模块;第二文件管理模块将从键盘接收的需要加密的明文与接收方用户主机的公钥发送至加解密模块。加解密模块将接收到的位置信息通过哈希映射产生位置密钥;加解密模块使用对称加密算法,使用键盘输入的会话密钥对从第二文件管理模块传来的明文进行加密产生密文并将密文传送给第二通信模块;加解密模块将会话密钥与位置密钥异或,产生密钥;加解密模块将密钥通过非对称加密算法进行加密,得到加密后的密钥,发送给第二通信模块。第二通信模块将加密后的密钥与密文发送给安全管理主机的第一通信模块。解密过程中,接收方用户主机的位置信息模块从全球定位系统获取接收方用户主机的当前位置信息并将位置信息发送给加解密模块。加解密模块将位置信息通过哈希映射产生位置密钥并将位置密钥发送给第二通信模块;第二通信模块将位置密钥发送给安全管理主机,安全管理主机验证位置密钥合法性,以验证接收方在安全区域。第二通信模块从安全管理主机的第一通信模块处接收到发送方用户主机发送的加密后的密钥和密文,将加密后的密钥和密文发送给加解密模块;第二文件管理模块将接收方用户主机的私钥发送给加解密模块;加解密模块使用接收方用户主机的私钥,通过非对称解密算法对加密后的密钥进行解密操作,得到密钥,将密钥与位置密钥进行异或操作,得到会话密钥,通过对称解密算法对密文进行解密。
第二步、安全管理主机的文件权限管理程序对用户主机统一编号,为每个用户主机生成单独的公私钥,并将公私钥加密后分发给用户主机。方法是:
2.1密钥管理模块对用户主机统一编号,用户主机有k台,分别编号为a1,a2,...,ai,...,ak,通过OpenSSL(OpenSSL是一个强大的安全套接字层密码库,能够生成公私钥)为每个用户主机编号生成对应的公私钥,存入第一文件管理模块。
OpenSSL为编号ai的用户主机生成的公私钥为<p(ai),s(ai)>,i为正整数,1≤i≤k,p(ai)为编号ai主机对应的公钥,s(ai)为编号ai主机对应的私钥。
2.2第一通信模块,将所有用户的公钥即<p(a1),p(a2),...p(ai),....p(ak)>,依次分发给所有的用户主机;再将各个用户主机的私钥单独发送给相应的用户主机。最终每个用户主机都收到自身私钥及所有用户的公钥。
2.3用户主机的第二通信模块从安全管理主机的第一通信模块接收到自身私钥及所有用户的公钥后,发送给加解密模块。
2.4用户主机的加解密模块将自身私钥及所有用户的公钥发送给第二文件管理模块,第二文件管理模块将其存储。
第三步、发送方用户主机(编号为am的用户主机)与接收方用户主机(编号为an的用户主机)进行安全通信,m,n为正整数,1≤m,n≤k,生成密文f(m)与加密的密钥R(key),并发送给安全管理主机。方法是:
3.1发送方用户主机的位置信息模块从键盘接收保密文件需要限定的位置信息loc(即文件的使用权限所需要限制的经度logti,纬度lati,范围s),并将loc传送给加解密模块。
3.2加解密模块将loc通过哈希映射产生位置密钥h(loc),即通过哈希算法h,将loc=(logti,lati,s)转化为位置密钥h(loc)。
3.3第二文件管理模块将从键盘输入的明文m发送至加解密模块。
3.4加解密模块使用对称算法如AES算法(高级加密标准(AdvancedEncryptionStandard,AES)由美国国家标准与技术研究院于2001年11月26日发布于FIPSPUB197),使用键盘输入的会话密钥keyc对明文m进行加密,得到密文f(m)。
3.5加解密模块将会话密钥keyc与位置密钥h(loc)异或,产生密钥key。
3.6第二文件管理模块从<p(a1),p(a2),...p(ai),....p(ak)>中获得接收方用户主机的公钥p(an),发送给加解密模块。加解密模块将密钥key用p(an)通过RSA算法(RSA是1977年由罗纳德·李维斯特(RonRivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(LeonardAdleman)一起提出,并根据他们名字的首字母来命名)进行加密,得到加密后的密钥R(key)。
3.7第二通信模块将R(key)与f(m)发送给安全管理主机。
第四步:安全管理主机的第一通信模块将接收到的密文f(m)与加密后的密钥R(key)进行登记、编号,并存入第一文件管理模块;将发送方用户主机此次通信请求数据<am,time>发送给接收方用户主机<am,time>是含am和time的二元组,am为发送方主机编号,time为接收到消息的时间。
第五步:接收方用户主机在接收到通信请求数据<am,time>后,产生位置密钥数据<an,h(loc′),<am,time>>(位置密钥数据是包含接收方用户主机编号an,位置密钥h(loc′),通信请求<am,time>的三元组),将位置密钥数据<an,h(loc′),<am,time>>发送给安全管理主机。方法是:
5.1接收方用户主机的位置信息模块从全球定位系统获取当前位置信息(即经度logti′,纬度lati′,范围s′)loc′并将loc′发送给加解密模块,加解密模块将loc′通过哈希映射产生位置密钥h(loc′),即通过哈希算法h,将位置loc′=h(logti′,lati′,s′)转化为位置密钥h(loc′)。
5.2接收方用户主机第二通信模块将位置密钥数据<an,h(loc′),<am,time>>发送至安全管理主机。
第六步:安全管理主机在接收到的位置密钥数据<an,h(loc′),<am,time>>后,判断该位置密钥数据是否合法,以验证接收方是否在安全区域。如果合法,就将密文f(m)与加密后的密钥R(key)发送给接收方用户主机转第七步;如果不合法,则报错,转第九步。方法是:
6.1安全管理主机的第一通信模块将接收到的<an,h(loc′),<am,time>>发送至密钥管理模块。
6.2密钥管理模块接收到<an,h(loc′),<am,time>>后,将h(loc′)与密钥管理模块中位置密钥库(位置密钥库中事先已经存储了根据安全位置生成的位置密钥)进行比对。如果位置密钥库中存在h(loc′),说明位置密钥数据合法,转到6.3步。如果位置密钥库中不存在h(loc′),那么第一通信模块发送错误信息error给接收方用户主机,转第九步。
6.3第一文件管理模块将第四步接收到的密文f(m)与加密后的密钥R(key)发送给第一通信模块。
6.4第一通信模块将密文f(m)与加密后的密钥R(key)发送至编号为an的接收方用户主机
第七步、接收方用户主机对接收到的加密后的密钥R(key)和密文f(m)进行解密,如果解密成功,转第八步,否则转第九步。方法是:
7.1接收方用户主机的位置信息模块从全球定位系统获取当前自身位置信息(即经度logti′′,纬度lati′′,范围s′′)loc′′并将位置信息loc′′发送给加解密模块,加解密模块将位置信息loc′′通过哈希映射产生位置密钥h(loc′′)。即通过哈希算法h,将限定位置loc′′=h(logti′′,lati′′,s′′)转化为位置密钥h(loc′′)。
7.2接收方用户主机第二通信模块从安全管理主机处接收加密后的密钥R(key)和密文f(m),将R(key)发送给加解密模块。
7.3加解密模块从第二文件管理模块中得到2.2步获得的私钥s(an),通过RSA算法对R(key)进行解密,得到密钥key。加解密模块将密钥key与位置密钥h(loc′′)进行异或操作,如果位置密钥h(loc′′)与3.1步中发送方用户主机限定的位置密钥h(loc)一致,即h(loc′′)=h(loc),则产生正确的会话密钥keyc,转7.4步,否则产生错误的会话密钥,转第九步。
7.4加解密模块通过AES解密算法用会话密钥keyc对密文f(m)进行解密,发送至第二文件管理模块,并显示文件内容m。
7.5删除之前接收到的密文f(m)、密钥R(key)。
第八步,如果用户主机需要继续通信,转第三步,若用户主机不需要继续通信,则转第九步;
第九步,结束。
本发明的特点是:在3.2步中采用位置密钥而不是地理位置,避免了安全区域信息的泄露;在第六步中,由于接收方用户主机必须处于安全主机规定的安全区域才能够获取通信密文,确保用户主机的位置始终处于安全区域内;在第7.3步中,接收方用户主机必须处于发送方用户主机规定的安全位置才能够对密文解密,从而实现了保密信息限定在安全区域读取。
与现有技术相比,本发明的有益效果是:
(1)本发明的基于位置信息的限定区域文件保密方法,不同于传统的基于口令的文件保密技术,没有把用户口令作为单一的加密措施,而是采取用户口令与地理位置作为双重认证手段,确保秘密信息只有在一定的安全区域内才能获取、解密,实现了秘密的区域可控。
(2)本发明的基于位置信息的限定区域文件保密系统,也不同于传统的端到端的文件保密系统。本发明中用户主机通信必须要经过安全管理主机,安全管理主机能够对用户主机间的通信进行记录,验证用户主机处于安全区域内,实现设备区域可控,特别适合于保密会议等需要对通信进行严格监控的场所。
(3)利用全球定位系统提供的位置信息,用户主机只有在规定的地域才能获取,难以伪造,易于监控。
(4)基于位置信息的限定区域,可以对限定区域内存在的用户主机进行有效管理,进一步扩充通信范围内的无线硬件和软件资源,实现在限定区域内多用户自由通信,大大提高了区域内自由性。
附图说明
图1为本发明第一步构建的基于位置信息的限定区域文件保密系统逻辑结构图;
图2为本发明总体流程图;
具体实施方式:
如图1所示,
构建一套基于位置信息的限定区域文件保密系统,该系统由用户主机、安全管理主机、全球定位系统组成。用户主机是通信网络的端点,与全球定位系统通过无线信号相连,用户主机之间通过通信网络相连(图中只画了一台用户主机作为示意,实际系统中有多台用户主机);安全管理主机是整个网络的核心,与用户主机和全球定位系统均通过无线信号相连。
全球定位系统是现有的GPS定位系统、北斗定位系统、或者其他能够为用户主机提供位置信息的定位系统。
安全管理主机是用于管理用户主机通信的计算机,其上安装操作系统和文件权限管理程序。文件权限管理程序是运行在操作系统之上的应用程序,由用户管理模块、密钥管理模块、第一文件管理模块以及第一通信模块构成。用户管理模块负责用户主机信息的编号、管理,并将用户编号信息发送至密钥管理模块;密钥管理模块根据用户主机编号信息生成用户会话所需要的公私钥,将公私钥发送至第一文件管理模块;密钥管理模块内有位置密钥库,位置密钥库中存储有根据安全区域生成的位置密钥;第一文件管理模块将接收到的公私钥进行存储,并将公私钥传送给第一通信模块;第一通信模块负责通过网络以密文形式将公私钥及保密数据发送给用户主机。
用户主机是用于用户间通信的计算机,其上安装有商用的位置信息模块(如GPS信号接收器、北斗卫星信号接收器)、操作系统和文件权限服务程序。用户主机分为接收方用户主机与发送方用户主机,两者安装的软件相同,只是在消息收发阶段文件权限服务程序各个模块工作的顺序不同。位置信息模块用来接收全球定位系统发布的位置信息并将位置信息发送给文件权限服务程序;文件权限服务程序是添加在操作系统中的服务程序,作为操作系统的服务程序为其他可能操作保密文件的应用程序(如文本编辑器)提供文件权限检查服务,由加解密模块、第二文件管理模块、第二通信模块组成。
在文件加密过程中,发送方用户主机的位置信息模块从键盘接收位置信息发送给加解密模块;第二文件管理模块将从键盘接收的需要加密的明文与接收方用户主机的公钥发送至加解密模块。加解密模块将接收到的位置信息通过哈希映射产生位置密钥;加解密模块使用对称加密算法,使用键盘输入的会话密钥对从第二文件管理模块传来的明文进行加密产生密文并将密文传送给第二通信模块;加解密模块将会话密钥与位置密钥异或,产生密钥;加解密模块将密钥通过非对称加密算法进行加密,得到加密后的密钥,发送给第二通信模块。第二通信模块将加密后的密钥与密文发送给安全管理主机的第一通信模块。解密过程中,接收方用户主机的位置信息模块从全球定位系统获取接收方用户主机的当前位置信息并将位置信息发送给加解密模块。加解密模块将位置信息通过哈希映射产生位置密钥并将位置密钥发送给第二通信模块;第二通信模块将位置密钥发送给安全管理主机,安全管理主机验证位置密钥合法性,以验证接收方在安全区域。第二通信模块从安全管理主机的第一通信模块处接收到发送方用户主机发送的加密后的密钥和密文,将加密后的密钥和密文发送给加解密模块;第二文件管理模块将接收方用户主机的私钥发送给加解密模块;加解密模块使用接收方用户主机的私钥,通过非对称解密算法对加密后的密钥进行解密操作,得到密钥,将密钥与位置密钥进行异或操作,得到会话密钥,通过对称解密算法对密文进行解密。
如图2所示,本发明的总体流程图设计如下:
第一步,构建一套基于位置信息的限定区域文件保密系统,该系统由用户主机、安全管理主机、全球定位系统组成。
第二步、安全管理主机的文件权限管理程序对用户主机统一编号,为每个用户主机生成单独的公私钥,并将公私钥加密后分发给用户主机。
第三步、发送方用户主机(编号为am的用户主机)与接收方用户主机(编号为an的用户主机)进行安全通信,m,n为正整数,1≤m,n≤k,生成密文f(m)与加密的密钥R(key),并发送给安全管理主机。
第四步:安全管理主机的第一通信模块将接收到的密文f(m)与加密后的密钥R(key)进行登记、编号,并存入第一文件管理模块;将发送方用户主机此次通信请求数据<am,time>发送给接收方用户主机<am,time>是含am和time的二元组,am为发送方主机编号,time为接收到消息的时间。
第五步:接收方用户主机在接收到通信请求数据<am,time>后,产生位置密钥数据<an,h(loc′),<am,time>>(位置密钥数据是包含接收方用户主机编号an,位置密钥h(loc′),通信请求<am,time>的三元组),将位置密钥数据<an,h(loc′),<am,time>>发送给安全管理主机。
第六步:安全管理主机在接收到的位置密钥数据<an,h(loc′),<am,time>>后,判断该位置密钥数据是否合法,以验证接收方在安全区域。如果合法,就将密文f(m)与加密后的密钥R(key)发送给接收方用户主机转第七步;如果不合法,则报错,转第九步。
第七步、接收方用户主机对接收到的加密后的密钥R(key)和密文f(m)进行解密,如果解密成功,转第八步,否则转第九步。
第八步,如果用户主机需要继续通信,转第三步,若用户主机不需要继续通信,则转第九步;
第九步,结束。

Claims (5)

1.一种基于位置信息的限定区域文件保密方法,其特征在于包括以下步骤:
第一步,构建一套基于位置信息的限定区域文件保密系统,该系统由用户主机、安全管理主机、全球定位系统组成;用户主机是通信网络的端点,与全球定位系统通过无线信号相连,用户主机之间通过通信网络相连;安全管理主机与用户主机和全球定位系统均通过无线信号相连;全球定位系统是能够为用户主机提供位置信息的定位系统;安全管理主机是用于管理用户主机通信的计算机,其上安装操作系统和文件权限管理程序;文件权限管理程序是运行在操作系统之上的应用程序,由用户管理模块、密钥管理模块、第一文件管理模块以及第一通信模块构成;用户管理模块负责用户主机信息的编号、管理,并将用户编号信息发送至密钥管理模块;密钥管理模块根据用户主机编号信息生成用户会话所需要的公私钥,将公私钥发送至第一文件管理模块;密钥管理模块内有位置密钥库,位置密钥库中存储根据安全区域生成的位置密钥;第一文件管理模块将接收到的公私钥进行存储,并将公私钥传送给第一通信模块;第一通信模块负责通过网络以密文形式将公私钥及保密数据发送给用户主机;用户主机是用于用户间通信的计算机,其上安装有位置信息模块、操作系统和文件权限服务程序;用户主机分为接收方用户主机与发送方用户主机,两者安装的软件相同,只是在消息收发阶段文件权限服务程序各个模块工作的顺序不同;位置信息模块接收全球定位系统发布的位置信息并将位置信息发送给文件权限服务程序;文件权限服务程序是添加在操作系统中的服务程序,作为操作系统的服务程序为其他可能操作保密文件的应用程序提供文件权限检查服务,由加解密模块、第二文件管理模块、第二通信模块组成;在文件加密过程中,发送方用户主机的位置信息模块从键盘接收位置信息发送给加解密模块;发送方用户主机的第二文件管理模块将需要加密的明文与接收方用户主机的公钥发送至加解密模块,加解密模块将接收到的位置信息通过哈希映射产生位置密钥;加解密模块使用键盘输入的会话密钥对从第二文件管理模块传来的明文进行加密产生密文并将密文传送给第二通信模块;加解密模块将会话密钥与位置密钥异或,产生密钥;加解密模块将密钥进行加密,得到加密后的密钥,发送给第二通信模块;第二通信模块将加密后的密钥与密文发送给安全管理主机的第一通信模块;在文件解密过程中,接收方用户主机位置信息模块从全球定位系统获取接收方用户主机当前位置信息并将位置信息发送给加解密模块,加解密模块将位置信息通过哈希映射产生位置密钥并将位置密钥发送给第二通信模块;第二通信模块将位置密钥发送给安全管理主机,安全管理主机验证位置密钥合法性;第二通信模块从安全管理主机的第一通信模块处接收到发送方用户主机发送的加密后的密钥和密文,将加密后的密钥和密文发送给加解密模块;第二文件管理模块将接收方用户主机的私钥发送给加解密模块;加解密模块使用接收方用户主机的私钥,对加密后的密钥进行解密操作,得到密钥,将密钥与位置密钥进行异或操作,得到会话密钥,对密文进行解密;
第二步、安全管理主机的文件权限管理程序对用户主机统一编号,为每个用户主机生成单独的公私钥,并将公私钥加密后分发给用户主机,方法是:
2.1密钥管理模块对用户主机统一编号,用户主机有k台,分别编号为a1,a2,...,ai,...,ak,通过安全套接字层密码库OpenSSL为每个用户主机编号生成对应的公私钥,存入第一文件管理模块,OpenSSL为编号ai的用户主机生成的公私钥为<p(ai),s(ai)>,i为正整数,1≤i≤k,p(ai)为编号ai主机对应的公钥,s(ai)为编号ai主机对应的私钥;
2.2第一通信模块将所有用户的公钥即<p(a1),p(a2),...p(ai),....p(ak)>,依次分发给所有的用户主机;再将各个用户主机的私钥单独发送给相应的用户主机,最终每个用户主机都收到自身私钥及所有用户的公钥;
2.3用户主机的第二通信模块从安全管理主机的第一通信模块接收到自身私钥及所有用户的公钥后,发送给加解密模块;
2.4用户主机的加解密模块将自身私钥及所有用户的公钥发送给第二文件管理模块,第二文件管理模块将其存储;
第三步、发送方用户主机即编号为am的用户主机与接收方用户主机即编号为an的用户主机进行安全通信,m,n是正整数,1≤m,n≤k,生成密文f(m)与加密的密钥R(key),并发送给安全管理主机,方法是:
3.1发送方用户主机的位置信息模块从键盘接收保密文件需要限定的位置信息loc,并将loc传送给加解密模块,loc包括文件的使用权限所需要限制的经度logti,纬度lati,范围s;
3.2加解密模块将loc通过哈希映射产生位置密钥h(loc),即通过哈希算法h,将loc=(logti,lati,s)转化为位置密钥h(loc);
3.3第二文件管理模块将从键盘输入的明文m发送至加解密模块;
3.4加解密模块使用键盘输入的会话密钥keyc对明文m进行加密,得到密文f(m);
3.5加解密模块将会话密钥keyc与位置密钥h(loc)异或,产生密钥key;
3.6第二文件管理模块从<p(a1),p(a2),...p(ai),....p(ak)>中获得接收方用户主机的公钥p(an),发送给加解密模块,加解密模块将密钥key用p(an)进行加密,得到加密后的密钥R(key);
3.7第二通信模块将R(key)与f(m)发送给安全管理主机;
第四步:安全管理主机的第一通信模块将接收到的密文f(m)与加密后的密钥R(key)进行登记、编号,并存入第一文件管理模块;将发送方用户主机此次通信请求数据<am,time>发送给接收方用户主机<am,time>是含am和time的二元组,am为发送方主机编号,time为接收到消息的时间;
第五步:接收方用户主机在接收到通信请求数据<am,time>后,产生位置密钥数据<an,h(loc’),<am,time>>,将位置密钥数据<an,h(loc’),<am,time>>发送给安全管理主机,位置密钥数据是包含接收方用户主机编号an,位置密钥h(loc′),通信请求<am,time>的三元组,方法是:
5.1接收方用户主机的位置信息模块从全球定位系统获取当前位置信息loc′并将loc′发送给加解密模块,加解密模块将loc′通过哈希映射产生位置密钥h(loc′),即通过哈希算法h,loc′中含经度logti′,纬度lati′,范围s′,将位置loc′=h(logti′,lati′,s′)转化为位置密钥h(loc′);
5.2接收方用户主机第二通信模块将位置密钥数据<an,h(loc’),<am,time>>发送至安全管理主机;
第六步:安全管理主机在接收到的位置密钥数据<an,h(loc’),<am,time>>后,判断该位置密钥数据是否合法,如果合法,就将密文f(m)与加密后的密钥R(key)发送给接收方用户主机方法是:
6.1安全管理主机的第一通信模块将接收到的<an,h(loc’),<am,time>>发送至密钥管理模块;
6.2密钥管理模块接收到<an,h(loc’),<am,time>>后,将h(loc′)与密钥管理模块中事先存储的安全区域的位置密钥库进行比对,如果位置密钥库中存在h(loc′),说明位置密钥数据合法,转到6.3步,如果位置密钥库中不存在h(loc′),那么第一通信模块发送错误信息error给接收方用户主机,转第九步;
6.3第一文件管理模块将第四步接收到的密文f(m)与加密后的密钥R(key)发送给第一通信模块;
6.4第一通信模块将密文f(m)与加密后的密钥R(key)发送至编号为an的接收方用户主机
第七步、接收方用户主机对接收到的加密后的密钥R(key)和密文f(m)进行解密,方法是:
7.1接收方用户主机的位置信息模块从全球定位系统获取当前自身位置信息loc″并将loc″发送给加解密模块,加解密模块将loc″通过哈希映射产生位置密钥h(loc″),loc″含经度logti″纬度lati″,范围s″,通过哈希算法h,将限定位置loc″=h(logti″,lati″,s″)转化为位置密钥h(loc″);
7.2接收方用户主机第二通信模块从安全管理主机处接收加密后的密钥R(key)和密文f(m),将R(key)发送给加解密模块;
7.3加解密模块从第二文件管理模块中得到2.2步获得的私钥s(an),通过RSA算法对R(key)进行解密,得到密钥key,加解密模块将密钥key与位置密钥h(loc″)进行异或操作,如果位置密钥h(loc″)与3.1步中发送方用户主机限定的位置密钥h(loc)一致,即h(loc″)=h(loc),则产生正确的会话密钥keyc,转
7.4步,否则产生错误的会话密钥,转第九步;
7.4加解密模块通过AES解密算法用会话密钥keyc对密文f(m)进行解密,发送至第二文件管理模块,并显示文件内容m;
7.5删除之前接收到的密文f(m)、密钥R(key);
第八步、如果用户主机需要继续通信,转第三步,若用户主机不需要继续通信,则转第九步;
第九步,结束。
2.如权利要求1所述的基于位置信息的限定区域文件保密方法,其特征在于所述位置信息模块指GPS信号接收器或北斗卫星信号接收器。
3.如权利要求1所述的基于位置信息的限定区域文件保密方法,其特征在于3.4步中加解密模块使用对称算法对明文m进行加密。
4.如权利要求3所述的基于位置信息的限定区域文件保密方法,其特征在于所述对称算法指高级加密标准AES算法。
5.如权利要求1所述的基于位置信息的限定区域文件保密方法,其特征在于3.6步中加解密模块对密钥key用p(an)加密时采用RSA算法。
CN201310263854.4A 2013-06-27 2013-06-27 基于位置信息的限定区域文件保密方法 Expired - Fee Related CN103401834B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310263854.4A CN103401834B (zh) 2013-06-27 2013-06-27 基于位置信息的限定区域文件保密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310263854.4A CN103401834B (zh) 2013-06-27 2013-06-27 基于位置信息的限定区域文件保密方法

Publications (2)

Publication Number Publication Date
CN103401834A CN103401834A (zh) 2013-11-20
CN103401834B true CN103401834B (zh) 2016-06-15

Family

ID=49565360

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310263854.4A Expired - Fee Related CN103401834B (zh) 2013-06-27 2013-06-27 基于位置信息的限定区域文件保密方法

Country Status (1)

Country Link
CN (1) CN103401834B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103973454B (zh) * 2014-05-23 2017-08-08 公安部第一研究所 一种卫星定位数据加密系统及加密方法
CN106034130A (zh) * 2015-03-18 2016-10-19 中兴通讯股份有限公司 数据访问方法及装置
CN105488102A (zh) * 2015-11-18 2016-04-13 广东安居宝智能控制系统有限公司 停车信息的查询方法及系统
CN105263119A (zh) * 2015-11-18 2016-01-20 罗平 一种基于地理位置信息的移动智能终端通讯加密方法
CN106254365A (zh) * 2016-08-18 2016-12-21 武汉斗鱼网络科技有限公司 一种数据加解密方法及系统
CN106874801B (zh) * 2017-01-20 2020-04-03 维沃移动通信有限公司 一种数据处理方法及移动终端
CN108270572B (zh) * 2017-12-22 2020-12-11 中国电子科技集团公司第三十研究所 一种基于位置和口令的密钥交换协议
CN111236105B (zh) * 2018-11-13 2022-12-02 中兴通讯股份有限公司 车位锁的管理方法、装置、系统及车位锁
CN112787987B (zh) * 2019-11-11 2022-08-30 丁爱民 一种路径加密方法、装置和系统
CN114640520B (zh) * 2022-03-18 2024-05-17 哈尔滨工业大学 一种零接触网络中基于空时信息的用户隐私保护方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1910882A (zh) * 2003-12-30 2007-02-07 意大利电信股份公司 保护数据的方法和系统、相关通信网络以及计算机程序产品
CN103107887A (zh) * 2013-01-22 2013-05-15 东莞宇龙通信科技有限公司 一种基于位置信息对文件进行操作控制的方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1910882A (zh) * 2003-12-30 2007-02-07 意大利电信股份公司 保护数据的方法和系统、相关通信网络以及计算机程序产品
CN103107887A (zh) * 2013-01-22 2013-05-15 东莞宇龙通信科技有限公司 一种基于位置信息对文件进行操作控制的方法和装置

Also Published As

Publication number Publication date
CN103401834A (zh) 2013-11-20

Similar Documents

Publication Publication Date Title
CN103401834B (zh) 基于位置信息的限定区域文件保密方法
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及系统
CN102170357B (zh) 组合密钥动态安全管理系统
CN101867898B (zh) 一种短信加密通信系统、方法及密钥中心
CN101978652B (zh) 使用单向带外(oob)信道在两个通信端点之间进行双向认证
Baek et al. How to protect ADS-B: Confidentiality framework and efficient realization based on staged identity-based encryption
CN107438230B (zh) 安全无线测距
CN103812854B (zh) 身份认证系统、装置、方法以及身份认证请求装置
CN103812871A (zh) 一种基于移动终端应用程序安全应用的开发方法及系统
CN105049877A (zh) 一种用于直录播互动系统的加密方法及装置
CN103427992A (zh) 用于在网络中的节点之间建立安全通信的方法、网络节点、密钥管理器、安装设备和计算机程序产品
CN106301788A (zh) 一种支持用户身份认证的群组密钥管理方法
CN106161444A (zh) 数据安全存储方法及用户设备
CN104424446A (zh) 一种安全认证和传输的方法和系统
Gao et al. LIP‐PA: A Logistics Information Privacy Protection Scheme with Position and Attribute‐Based Access Control on Mobile Devices
US11870904B2 (en) Method for encrypting and decrypting data across domains based on privacy computing
CN102598575B (zh) 用于对密码保护的有效数据单元加速解密的方法和系统
CN101145230B (zh) 加密签名手写板及复合加密签名的方法
CN111586023B (zh) 一种认证方法、设备和存储介质
CN105592431A (zh) 基于iOS系统移动终端的短信加密方法
CN105191332A (zh) 用于在未压缩的视频数据中嵌入水印的方法和设备
CN111541652B (zh) 一种用于提高秘密信息保管及传递安全性的系统
Tan et al. Proof of retrievability with flexible designated verification for cloud storage
CN102694652A (zh) 一种使用对称密码算法实现轻量级认证加密的方法
CN105282239A (zh) 一种基于网络服务Web Service的加密方法和系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160615

CF01 Termination of patent right due to non-payment of annual fee