[发明专利]基于可见光通信的限定区域权限认证装置及文件保密方法

权利要求书

1.基于可见光通信的限定区域权限认证装置，其特征在于：它包括LED控制器、光电接收器、安全管理主机和用户主机；LED控制器与安全管理主机相连接；光电接收器与用户主机相连接；该LED控制器包括编码模块、调制模块、LED驱动模块、LED模块和通信接口模块，LED控制器通过通信接口模块与安全管理主机通信来获取信息，然后通过编码模块将时钟信号和数据信号合成，利用LED驱动模块对LED进行调制以发出包含信息的可见光；该编码模块是CPLD复杂可编程逻辑器件芯片；该调制模块是OOK调制芯片；该LED驱动模块是单通道大功率LED恒流驱动器芯片；该LED模块是复数个白色发光二极管；该通信接口模块是USB接口；该光电接收器包括解码模块、光电转换模块、运算放大模块、AD转换模块和通信接口模块，光电接收器利用光电转换模块转换信号，通过运算放大模块对信号进行放大并传给AD转换模块，由AD转换后的信号得到0-1信号，再经过解码模块，由通信接口模块发送给用户主机；该解码模块是CPLD复杂可编程逻辑器件芯片；该光电转换模块是PIN光电二极管；该运算放大模块是双路单电源运算放大器；该AD转换模块是高速A/D转换器；该通信接口模块是USB接口；该安全管理主机包括：操作系统和文件权限管理程序，文件权限管理程序是运行在操作系统之上的应用程序；该操作系统是提供文件系统管理、数据库系统管理；该文件权限管理程序负责文件管理、用户管理、用户权限管理以及数据发送；其中，文件管理模块负责对文件进行加密和文件的添加，该模块是文件权限管理程序的子功能；用户管理模块负责用户信息的添加、查询、修改和删除，该模块是文件权限管理程序的子功能；用户权限管理模块负责用户对文件的权限的添加、修改和删除，该模块是文件权限管理程序的子功能；数据发送模块负责通过可见光以密文形式发送密钥和用户权限信息给光电接收器，该模块是文件权限管理程序的子功能；该用户主机包括：操作系统和文件权限服务程序，文件权限服务程序是添加到操作系统中的服务程序；该操作系统提供文件操作功能和系统开发接口；该文件权限服务程序是作为操作系统的服务程序为其他应用程序提供文件权限检查服务；它通过光电接收器接收到可见光中的信息后，根据帧头判断是权限信息或者密钥，解密数据包，得到文件加密的密钥和用户权限信息，并将信息缓存起来形成该用户的权限数据库等待下一步使用，通过操作系统的系统函数截获文件操作的消息请求，根据文件加密的密钥和用户权限信息决定是否进行文件密文的操作，并把所读取到得密文进行解密，整个解密过程实现对用户透明。

2.基于可见光通信的限定区域权限认证装置的文件保密方法，其特征在于：该方法具体步骤如下：

步骤一：装置系统启动后，通过与LED控制器相连接的安全管理主机的文件权限管理程序，对文件进行统一编号，形成每个文件独有的编号，将文件编号隐藏在文件的密文中，然后将文件分发给使用者；

步骤二：通过与LED控制器相连接的安全管理主机的文件权限管理程序，对文件使用者进行统一编号，形成用户独有的编号，并根据使用者权限与加密文件编号对应起来建立权限数据库；

步骤三：通过与LED控制器相连接的安全管理主机的文件权限管理程序，将权限数据库中的信息以及密钥加密后通过接口设备将信息广播到限定区域；

步骤四：通过与光电接收器相连接的用户主机的文件权限服务程序，解密权限信息以及密钥后结合用户输入的用户编号查询用户权限；当发现用户拥有对某文件的访问权限并存在用户操作文件时，解密该文件并显示文件内容，否则不解密文件；用户退出系统时，删除之前接收的权限信息、密钥，从而防止文件破解；

步骤五：根据应用环境需求，定期或周期性地执行步骤三，对权限信息以及密钥进行更新，直到系统停止工作。

3.根据权利要求2所述的基于可见光通信的限定区域权限认证装置的文件保密方法，其特征在于：所述步骤四按以下子步骤实现：

(1)用户主机的文件权限服务程序要求用户输入自己的用户编号进行身份认证，一旦用户关闭文件权限服务程序，删除该用户编号，从而避免用户编号被盗用；

(2)用户主机的文件权限服务程序通过光电接收器得到可见光中的信息后，根据帧头判断是权限信息还是密钥；当检测到帧尾时，根据CRC检验值检查信息接收是否有误，如果CRC校验值不符，则舍弃该帧；否则，解密数据包，得到文件加密的密钥和用户权限信息；用户主机的文件权限服务程序将用户权限缓存起来，形成该用户的权限数据库等待下一步使用；

(3)用户主机的文件权限服务程序查询已经接收到的用户权限信息，当发现该用户有使用该文件的权限并存在用户操作文件时，首先将文件编号从密文中去掉，然后通过接收到的密钥将其解密并将其内容显示；如果发现该用户没有权限或者不存在用户操作文件时，则不解密文件。