地理信息数据复合加密系统转让专利
申请号 : CN201910553420.5
文献号 : CN110232288B
文献日 : 2020-10-30
发明人 : 何宗 , 贾亚辉 , 张泽烈 , 王俊 , 韩维喆 , 金贤锋 , 李鸿雁 , 张红文 , 苏欣 , 艾道华 , 钱文进 , 舒文强 , 何小波
申请人 : 重庆市地理信息和遥感应用中心(重庆市测绘产品质量检验测试中心)
摘要 :
本发明公开了一种地理信息数据复合加密系统,从下往上分别设置有IT基础设施层、数据层、逻辑层和应用层,其中所述IT基础设施层用于为系统提供基础设备,保障系统的正常运行;所述数据层用于为系统提供数据文件的存储和查询,所述数据文件包括密钥与操作日志;所述逻辑层用于提供应用层中各种处理业务逻辑的接口;所述应用层用于基于当地地理信息主管部门加密系统与圆周率智能锁系统,利用混合加密算法,实现地理信息数据的复合加解密;所述应用层包括复合加密管理模块、复合加密密码模块、复合加密授权模块、复合加密日志模块、复合加密功能库模块。其显著效果是:实现了地理信息数据双系统复合加密,显著提高了地理信息数据的安全性。
权利要求 :
1.一种地理信息数据复合加密系统,其特征在于:所述系统从下往上分别设置有IT基础设施层、数据层、逻辑层和应用层,其中:所述IT基础设施层用于为系统提供基础设备,保障系统的正常运行;
所述数据层用于为系统提供数据文件的存储和查询,所述数据文件包括密钥与操作日志;
所述逻辑层用于提供应用层中各种处理业务逻辑的接口;
所述应用层用于结合当地地理信息主管部门加密系统与圆周率智能锁系统,利用混合加密算法,实现地理信息数据的复合加解密;
所述应用层包括复合加密管理模块、复合加密密码模块、复合加密授权模块、复合加密日志模块、复合加密功能库模块:所述复合加密管理模块用于利用混合加密算法,实现地理信息数据的加解密安全处理,包括单个文件加解密和文件夹加解密;
所述复合加密密码模块用于实现数据加解密时的加密口令处理,包括密钥新增、查询、删除;
所述复合加密授权模块用于实现复合加密数据授权使用范围和时间的管控;
所述复合加密日志模块用于实现复合加密数据加解密及授权台账信息的记录查询;
所述复合加密功能库模块用于实现复合加密系统和圆周率智能锁系统的整合对接。
2.根据权利要求1所述的地理信息数据复合加密系统,其特征在于:所述IT基础设施层包括通信网络、操作系统、应用服务器以及数据服务器。
3.根据权利要求1所述的地理信息数据复合加密系统,其特征在于:所述数据层包括SQL Server数据库、MySQL数据库、MariaDB数据库中的一种。
4.根据权利要求1所述的地理信息数据复合加密系统,其特征在于:所述逻辑层包括密钥管理接口、数据加解密接口、授权管理接口、日志管理接口、数据库操作接口,其中,所述密钥管理接口与所述复合加密密码模块相对应,所述数据加解密接口与所述复合加密管理模块相对应,所述授权管理接口与所述复合加密授权模块相对应,所述日志管理接口与所述复合加密日志模块相对应,所述数据库操作接口与所述复合加密功能库模块相对应。
5.根据权利要求1所述的地理信息数据复合加密系统,其特征在于:所述混合加密算法包括动态循环位移算法、Hash算法与DES算法。
6.根据权利要求5所述的地理信息数据复合加密系统,其特征在于:所述混合加密算法在对地理信息数据进行加密处理时,所述地理数据信息依次采用动态循环位移算法、Hash算法与DES算法进行阶梯式组合方式进行加密处理。
7.根据权利要求1 6任一项所述的地理信息数据复合加密系统,其特征在于:所述混合~加密算法包括密文数据初始加密过程与密文数据二次加密过程。
8.根据权利要求7所述的地理信息数据复合加密系统,其特征在于:所述密文数据初始加密过程采用动态循环位移算法对密文数据进行加密处理,所述密文数据二次加密过程采用Hash算法与DES算法对密文数据进行二次加密处理。
说明书 :
地理信息数据复合加密系统
技术领域
[0001] 本发明涉及到地理信息数据处理技术领域,具体涉及一种地理信息数据复合加密系统。
背景技术
[0002] 进入互联网时代,随着信息技术的快速发展和地理信息的广泛应用,涉密测绘地理信息安全管理面临严峻形势。部分涉密测绘地理信息生产和使用单位保密意识淡薄,在非涉密计算机上违规存储涉密信息,甚至在互联网上发送、传递涉密信息;非法获取、提供和买卖涉密测绘地理信息的案件时有发生;多地发生境外组织和个人窃取我国重要地理信息数据的案件等。当前,测绘地理信息载体种类和表现形式更加丰富,数字化成果广泛应用,传播途径更为多样,给涉密测绘地理信息的安全管理带来严峻挑战。地理信息安全日益成为各地理信息主管部门面临的难点问题。
[0003] 但目前各地理信息主管部门的安全现状,经过分析后发现存在如下数据安全隐患:
[0004] (1)分发数据存在着被二次传播、挪为它用等行为;
[0005] (2)外发数据在第三方造成泄漏,无法断定泄密责任问题;
[0006] (3)数据出现版权纠纷等情况,无法有效维护权益和责任界定;
[0007] (4)外发数据加解密操作只有一层加密,安全级别系数较低;
[0008] 因此,保密工作依然是各地理信息主管部门工作中的重中之重。
发明内容
[0009] 针对现有技术的不足,本发明的目的是提供一种地理信息数据复合加密系统,该系统通过结合当地地理信息主管部门加密系统与现有圆周率智能锁软件,实现地理信息数据双系统复合加密,显著提高地理信息数据的安全性。
[0010] 为达到上述目的,本发明采用的技术方案如下:
[0011] 一种地理信息数据复合加密系统,其关键在于:所述系统从下往上分别设置有IT基础设施层、数据层、逻辑层和应用层,其中:
[0012] 所述IT基础设施层用于为系统提供基础设备,保障系统的正常运行;
[0013] 所述数据层用于为系统提供数据文件的存储和查询,所述数据文件包括密钥与操作日志;
[0014] 所述逻辑层用于提供应用层中各种处理业务逻辑的接口;
[0015] 所述应用层用于结合当地地理信息主管部门加密系统与圆周率智能锁系统,利用混合加密算法,实现地理信息数据的复合加解密;
[0016] 所述应用层包括复合加密管理模块、复合加密密码模块、复合加密授权模块、复合加密日志模块、复合加密功能库模块:
[0017] 所述复合加密管理模块用于利用混合加密算法,实现地理信息数据的加解密安全处理,包括单个文件加解密和文件夹加解密;
[0018] 所述复合加密密码模块用于实现数据加解密时的加密口令处理,包括密钥新增、查询、删除;
[0019] 所述复合加密授权模块用于实现复合加密数据授权使用范围和时间的管控;
[0020] 所述复合加密日志模块用于实现复合加密数据加解密及授权台账信息的记录查询;
[0021] 所述复合加密功能库模块用于实现复合加密系统和圆周率智能锁系统的整合对接。
[0022] 进一步的,所述IT基础设施层包括通信网络、操作系统、应用服务器以及数据服务器。
[0023] 进一步的,所述数据层包括SQL Server数据库、MySQL数据库、MariaDB数据库中的一种。
[0024] 进一步的,所述逻辑层包括密钥管理接口、数据加解密接口、授权管理接口、日志管理接口、数据库操作接口,其中,所述密钥管理接口与所述复合加密密码模块相对应,所述数据加解密接口与所述复合加密管理模块相对应,所述授权管理接口与所述复合加密授权模块相对应,所述日志管理接口与所述复合加密日志模块相对应,所述数据库操作接口与所述复合加密功能库模块相对应。
[0025] 进一步的,所述混合加密算法包括动态循环位移算法、Hash算法与DES算法。
[0026] 进一步的,所述混合加密算法在对地理信息数据进行加密处理时,所述地理数据信息依次采用动态循环位移算法、Hash算法与DES算法进行阶梯式组合方式进行加密处理。
[0027] 进一步的,所述混合加密算法包括密文数据初始加密过程与密文数据二次加密过程。
[0028] 进一步的,所述密文数据初始加密过程采用动态循环位移算法对密文数据进行加密处理,所述密文数据二次加密过程采用Hash算法与DES算法对密文数据进行二次加密处理。
[0029] 进一步的,所述密文数据初始加密过程的处理步骤如下:
[0030] 步骤1:将原始地理信息数据文件转换成二进制,得到二进制表示的数据F;
[0031] 步骤2:从数据F=(F1,F2,…,Fn)中循环抽取数据块Fi(1≤i≤n),并用0xFF和其进行“与”运算,得到数据G;
[0032] 步骤3:在数据G=(G1,G2,…,Gn)中随机抽取数据块Gj(1≤j≤n),将数据块Gj中前N(1≤N≤n)位移动到数据末尾,其余低位用0补替,得到二进制数据A,接着将Gj后(n-N)位移动到数据首部,其余高位用0补替,得到二进制数据B;将A和B进行“或”运算;
[0033] 步骤4:重复执行步骤3,直到数据G中所有数据循环位移完成,得到初始加密的密文数据CF=(CF1,CF2,…,CFn)。
[0034] 进一步的,所述密文数据二次加密过程的具体步骤如下:
[0035] 步骤S1:将初始加密过程得到的密文数据CF进行散列运算,得到密文数据CF的散列值HC;
[0036] 步骤S2:在密文数据CF中随机抽取密文数据块CFi及其对应的散列值HCi,以散列值HCi作为密钥Keyi;
[0037] 步骤S3:采用DES对称加密算法对密文数据块CFi进行二次加密,并记录密钥Keyi与密文数据块CFi之间的对应关系;
[0038] 步骤S4:重复执行步骤S2与S3,直到密文数据CF中所有的数据都再次加密完成,得到二次加密后的密文数据为C_CF=(C_CF1,C_CF2,…,C_CFk),同时得到密钥Keyi与密文数据块CFi的对应关系集合Key={key1,key2,…,keyk},其中1≤k≤i。
[0039] 本系统加密数据时,采用的密钥由当地地理信息主管部门的加密系统和圆周率加密系统组合而成;并采用所述的混合加密算法对数据进行复合加密,且加密后的数据必须同时拥有地理信息主管部门加密系统的授权和圆周率系统的授权才能正常使用,从而最大限度的保障了地理信息数据的安全,杜绝了因数据使用单位随意复制、非法传播、存储介质丢失等原因造成的地理信息数据和其他重要资料泄漏。
[0040] 本发明的显著效果是:
[0041] (1)结合当地地理信息主管部门加密系统和圆周率数据加密系统,利用混合加密算法实现了对地理信息数据文件的复合加密;加密文件必须获得当地地理信息主管部门加密系统和圆周率数据加密系统双系统授权时才可使用,在无授权或单一授权环境下无法使用,大大提高了地理信息数据的安全性;
[0042] (2)本系统采用地理信息主管部门加密系统密码与圆周率数据加密系统密钥组合而成,并保证现有加密安全系统可独立使用,灵活度高;
[0043] (3)本系统采用透明加密模式,数据无需解密就可在正常授权环境的客户端作业机器中使用,并且使用过程中数据均为加密状态;
[0044] (4)混合加密算法在进行数据加密时,为了不影响各种算法的优秀原始流程机制,在混合时没有采取强制融合,而是采用了阶梯式组合的方式,即先经过动态循环位移,再经过hash算法,最后经过DES运算,相当于在一份数据上加了三把锁,而这三把锁又相互关联,有自己的运算顺序,使得混合加密后的数据安全性呈几何倍数式增加,加密数据的理论破解时间提升到了大于2000亿年。
附图说明
[0045] 图1是本发明的原理框图。
具体实施方式
[0046] 下面结合附图对本发明的具体实施方式以及工作原理作进一步详细说明。
[0047] 如图1所示,一种地理信息数据复合加密系统,所述系统从下往上分别设置有IT基础设施层、数据层、逻辑层和应用层,其中:
[0048] 所述IT基础设施层用于为系统提供基础设备,保障系统的正常运行,所述IT基础设施层包括通信网络、操作系统、应用服务器以及数据服务器;
[0049] 所述数据层主要是由SQL数据软件组成,用于为系统提供数据文件的存储和查询,所述数据文件包括密钥与操作日志;
[0050] 所述逻辑层用于提供应用层中各种处理业务逻辑的接口,包括密钥管理接口、数据加解密接口、授权管理接口、日志管理接口、数据库操作接口,且所述密钥管理接口与所述复合加密密码模块相对应,所述数据加解密接口与所述复合加密管理模块相对应,所述授权管理接口与所述复合加密授权模块相对应,所述日志管理接口与所述复合加密日志模块相对应,所述数据库操作接口与所述复合加密功能库模块相对应;
[0051] 所述应用层就是我们所使用的加密软件,能够实现数据复合加解密的功能,包括复合加密锁软件,圆周率智能锁控制台软件,圆周率智能锁客户端软件等,基于两个能够单独使用的当地地理信息主管部门加密系统与圆周率智能锁系统,利用混合加密算法,实现地理信息数据的复合加解密。
[0052] 所述应用层采用模块化程序设计,每个模块都保持一定的功能独立性,并为系统或系统的其他模块提供某种特定的服务。这些模块可以单独开发、单独编译,甚至单独调试和测试。最终,所有这些模块通过协同,构建一个完整的应用系统。根据重庆市地理信息中心实际数据使用流程调研与分析,结合圆周率数据安全系统机制,通过复合加密、复合授权、复合管控来实现数据的安全管理,共设计有如下功能模块:
[0053] 所述复合加密管理模块用于利用混合加密算法,实现地理信息数据的加解密安全处理,包括单个文件加解密和文件夹加解密;
[0054] 数据加密技术是最基本的安全技术,被誉为信息安全的核心,其原理就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法将同一明文加密成不同的密文,然后再进行信息的存储或传输。当需要时,可使用密钥将密文数据还原成明文数据,称为解密。这样即使加密信息在存储或者传输过程为非授权人员所获得,也可以保证这些信息不为其认知,从而达到保护信息的目的。数据加密被公认为是保护数据传输安全惟一实用的方法和保护存储数据安全的有效方法。
[0055] 因此,在本实施例中,采用所述的混合加密算法对数据进行加密处理,以达到所要求的地理信息数据安全性。该混合加密算法包括动态循环位移算法、Hash算法与DES算法,在对地理信息数据进行加密处理时,所述地理数据信息依次采用动态循环位移算法、Hash算法与DES算法进行阶梯式组合方式进行加密处理。
[0056] 对于动态循环位移算法:也即是动态循环二进制位移算法,是一种自主的,低消耗的排列算法。是把数值变成二进制然后按照某种动态的方式进行循环移动的运算。从而保证了最终参与DES算法的参数被转换,进一步保证系统加密的安全性。
[0057] 对于DES算法:具有极高安全性的国际通用先进算法,明文按64位进行分组,密码按56位参与DES运算,分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。属于对称算法,加密解密时采取是相同的密码。
[0058] 对于Hash算法:Hash,一般翻译做“散列”,也有直接音译为“哈希”的,就是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。
[0059] 进一步的,地理信息数据加密处理过程包括密文数据初始加密过程与密文数据二次加密过程,具体的,所述密文数据初始加密过程采用动态循环位移算法对密文数据进行加密处理,所述密文数据二次加密过程采用Hash算法与DES算法对密文数据进行二次加密处理:
[0060] 对于所述密文数据初始加密过程,其处理步骤如下:
[0061] 步骤1:将原始地理信息数据文件转换成二进制,得到二进制表示的数据F;
[0062] 步骤2:从数据F=(F1,F2,…,Fn)中循环抽取数据块Fi(1≤i≤n),并用0xFF和其进行“与”运算,得到数据G;
[0063] 步骤3:在数据G=(G1,G2,…,Gn)中随机抽取数据块Gj(1≤j≤n),将数据块Gj中前N(1≤N≤n)位移动到数据末尾,其余低位用0补替,得到二进制数据A,接着将Gj后(n-N)位移动到数据首部,其余高位用0补替,得到二进制数据B;将A和B进行“或”运算;
[0064] 步骤4:重复执行步骤3,直到数据G中所有数据循环位移完成,得到初始加密的密文数据CF=(CF1,CF2,…,CFn)。
[0065] 对于所述密文数据二次加密过程,其具体步骤如下:
[0066] 步骤S1:将初始加密过程得到的密文数据CF进行散列运算,得到密文数据CF的散列值HC;
[0067] 步骤S2:在密文数据CF中随机抽取密文数据块CFi及其对应的散列值HCi,以散列值HCi作为密钥Keyi;
[0068] 步骤S3:采用DES对称加密算法对密文数据块CFi进行二次加密,并记录密钥Keyi与密文数据块CFi之间的对应关系;
[0069] 步骤S4:重复执行步骤S2与S3,直到密文数据CF中所有的数据都再次加密完成,得到二次加密后的密文数据为C_CF=(C_CF1,C_CF2,…,C_CFk),同时得到密钥Keyi与密文数据块CFi的对应关系集合Key={key1,key2,…,keyk},其中1≤k≤i。
[0070] 在具体的应用过程中,本系统结合需求分析和功能设计,设计出如下加解密业务逻辑。
[0071] 对于加密业务逻辑:
[0072] 在整个数据传输和生产过程中涉及到的部门有三种,分别为数据拥有单位、数据派发单位和数据生产单位。
[0073] 前两者主要是职责是完成数据的加密任务并生成相应的授权文件,后者主要是根据授权文件完成具有授权的加密数据生产活动。第一层加密是由数据拥有单位完成的,第二层加密是由数据派发单位完成的,两者在加密数据的过程中均会产生相应的授权文件。相当于一份数据,双层钥匙控制。同时根据需求分析可知,数据派发单位所拥有的圆周率智能锁管理端可以独立使用,这里当数据拥有单位发给数据派发单位的数据为原始不加密数据的话,可以独立进行单层加密和授权使用。
[0074] 对于解密逻辑:
[0075] 解密业务逻辑相对于加密业务逻辑是逆向的,涉及到的部门主要有两个:一个是数据拥有单位,一个是数据派发单位。生产完后的加密数据首先会进入到数据派发单位,由数据派发单位进行解密,如果生产完后的加密数据只有一层加密,那么仅由数据派发单位进行解密即可完成所有数据的解密工作;如果生产完成后的加密数据是复合加密,则首先由数据派发单位进行第一层数据解密工作,然后交给数据拥有单位,数据拥有单位再进行第二次解密工作,才能完成数据的全部解密。
[0076] 所述复合加密密码模块用于实现数据加解密时的加密口令处理,包括密钥新增、查询、删除;
[0077] 所述复合加密授权模块用于实现复合加密数据授权使用范围和时间的管控;
[0078] 所述复合加密日志模块用于实现复合加密数据加解密及授权台账信息的记录查询;
[0079] 所述复合加密功能库模块用于实现复合加密系统和圆周率智能锁系统的整合对接。
[0080] 从图1中还可以看出,本系统的逻辑层还设置有文件监控驱动模块,所述文件监控驱动模块是Windows中间层驱动程序,处于文件系统之上。在应用程序发送的系统服务请求到达文件系统之前,它先接受该系统服务请求,因此可以对应用程序的系统服务请求重新解释。文件监控驱动程序位于其他一些驱动程序的上面,可以截取发往下层驱动程序的设备对象的请求。
[0081] 在客户端模块中,系统利用文件监控驱动的方式,对操作人员使用的数据进行后台自动加解密。
[0082] 本系统借助文件监控驱动技术,通过监控驱动是Windows中间层,应用程序发送的文件处理请求到达文件系统之前,系统先截获该服务请求,在中间层将加密数据进行翻译,最后将翻译成明文的数据流内容返回给应用程序,以实现透明加密。这样的处理流程不依赖文件自身格式,不依赖文件具体内容,加解密处理时也不用数据被其他应用程序打开,保证了数据支持的多样性;
[0083] 同时,通过文件监控驱动技术,能够支持winXP、win7、win10,win server等系统。保证了加密系统的多系统性;还可以依照这一机制,经过平台特定修改后,移植到IOS和Android系统之上,保证了复合加密锁系统的多平台性。
[0084] 本系统中,当地地理信息管理部门的加密系统和圆周率智能锁系统分别有各自的加密密钥,分别使用各自的加密算法,分别生成各自的许可授权,加密的数据分别有各自的加密标识。在外发数据时,先经过当地地理信息管理部门的加密系统加密,加密时使用系统自身唯一密钥;加密完成后再经过圆周率数据安全系统加密,加密时又使用圆周率数据安全系统的自身唯一密钥,这样经过复合加密的数据在安全性上有了双倍的保障;
[0085] 再加上混合加密算法通过阶梯式组合方式,将地理信息数据先经过动态循环位移,再经过hash算法,最后经过DES运算,相当于在一份数据上加了三把锁,而这三把锁又相互关联,有自己的运算顺序;使得安全性成几何式增加,加密数据的理论破解时间提升到了大于2000亿年。
[0086] 以上对本发明所提供的技术方案进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。