本发明专利技术公开了一种基于位置信息的限定区域文件保密方法,目的是解决在一定区域内进行安全通信的问题。技术方案是先构建一套由用户主机、安全管理主机、全球定位系统组成的基于位置信息的限定区域文件保密系统,安全管理主机上安装文件权限管理程序;用户主机上安装有位置信息模块、文件权限服务程序;其保密方法如下:安全管理主机为用户主机生成公私钥;发送方加密消息,并根据消息限定的安全区域生成位置密钥;安全管理主机判断接收方位置密钥数据合法性,以验证接收方在安全区域;接收方在限定区域解密消息。本发明专利技术采取用户口令与地理位置作为双重认证手段,实现了秘密的区域可控,适合于保密会议、保密室等机密场所。
【技术实现步骤摘要】
【技术保护点】
一种基于位置信息的限定区域文件保密方法,其特征在于包括以下步骤:第一步,构建一套基于位置信息的限定区域文件保密系统,该系统由用户主机、安全管理主机、全球定位系统组成;用户主机是通信网络的端点,与全球定位系统通过无线信号相连,用户主机之间通过通信网络相连;安全管理主机与用户主机和全球定位系统均通过无线信号相连;全球定位系统是能够为用户主机提供位置信息的定位系统;安全管理主机是用于管理用户主机通信的计算机,其上安装操作系统和文件权限管理程序;文件权限管理程序是运行在操作系统之上的应用程序,由用户管理模块、密钥管理模块、第一文件管理模块以及第一通信模块构成;用户管理模块负责用户主机信息的编号、管理,并将用户编号信息发送至密钥管理模块;密钥管理模块根据用户主机编号信息生成用户会话所需要的公私钥,将公私钥发送至第一文件管理模块;密钥管理模块内有位置密钥库,位置密钥库中存储根据安全区域生成的位置密钥;第一文件管理模块将接收到的公私钥进行存储,并将公私钥传送给第一通信模块;第一通信模块负责通过网络以密文形式将公私钥及保密数据发送给用户主机;用户主机是用于用户间通信的计算机,其上安装有位置信息模块、操作系统和文件权限服务程序;用户主机分为接收方用户主机与发送方用户主机,两者安装的软件相同,只是在消息收发阶段文件权限服务程序各个模块工作的顺序不同;位置信息模块接收全球定位系统发布的位置信息并将位置信息发送给文件权限服务程序;文件权限服务程序是添加在操作系统中的服务程序,作为操作系统的服务程序为其他可能操作保密文件的应用程序提供文件权限检查服务,由加解密模块、第二文件管理模块、 第二通信模块组成;在文件加密过程中,发送方用户主机的位置信息模块从键盘接收位置信息发送给加解密模块;发送方用户主机的第二文件管理模块将需要加密的明文与接收方用户主机的公钥发送至加解密模块,加解密模块将接收到的位置信息通过哈希映射产生位置密钥;加解密模块使用键盘输入的会话密钥对从第二文件管理模块传来的明文进行加密产生密文并将密文传送给第二通信模块;加解密模块将会话密钥与位置密钥异或,产生密钥;加解密模块将密钥进行加密,得到加密后的密钥,发送给第二通信模块;第二通信模块将加密后的密钥与密文发送给安全管理主机的第一通信模块;在文件解密过程中,接收方用户主机位置信息模块从全球定位系统获取接收方用户主机当前位置信息并将位置信息发送给加解密模块,加解密模块将位置信息通过哈希映射产生位置密钥并将位置密钥发送给第二通信模块;第二通信模块将位置密钥发送给安全管理主机,安全管理主机验证位置密钥合法性;第二通信模块从安全管理主机的第一通信模块处接收到发送方用户主机发送的加密后的密钥和密文,将加密后的密钥和密文发送给加解密模块;第二文件管理模块将接收方用户主机的私钥发送给加解密模块;加解密模块使用接收方用户主机的私钥,对加密后的密钥进行解密操作,得到密钥,将密钥与位置密钥进行异或操作,得到会话密钥,对密文进行解密;第二步、安全管理主机的文件权限管理程序对用户主机统一编号,为每个用户主机生成单独的公私钥,并将公私钥加密后分发给用户主机,方法是:2.1密钥管理模块对用户主机统一编号,用户主机有k台,分别编号为a1,a2,...,ai,...,ak,通过安全套接字层密码库OpenSSL为每个用户主机编号生成对应的公私钥,存入第一文件管理模块,OpenSSL为编号ai的用户主机生 成的公私钥为<p(ai),s(ai)>,i为正整数,1≤i≤k,p(ai)为编号ai主机对应的公钥,s(ai)为编号ai主机对应的私钥;2.2第一通信模块将所有用户的公钥即<p(a1),p(a2),...p(ai),....p(ak)>,依次分发给所有的用户主机;再将各个用户主机的私钥单独发送给相应的用户主机,最终每个用户主机都收到自身私钥及所有用户的公钥;2.3用户主机的第二通信模块从安全管理主机的第一通信模块接收到自身私钥及所有用户的公钥后,发送给加解密模块;2.4用户主机的加解密模块将自身私钥及所有用户的公钥发送给第二文件管理模块,第二文件管理模块将其存储;第三步、发送方用户主机即编号为am的用户主机与接收方用户主机即编号为an的用户主机进行安全通信,m,n为正整数,1≤m,n≤k,生成密文f(m)与加密的密钥R(key),并发送给安全管理主机,方法是:3.1发送方用户主机的位置信息模块从键盘接收保密文件需要限定的位置信息loc,并将loc传送给加解密模块,loc包括文件的使用权限所需要限制的经度logti,纬度...
【技术特征摘要】
【专利技术属性】
技术研发人员:付邵静,程力,张鹏飞,叶帅,周文浩,
申请(专利权)人:中国人民解放军国防科学技术大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。