一种跟踪敏感物品外访情况的方法与流程
本发明涉及一种信息安全技术,特别涉及一种跟踪敏感物品外访情况的方法。
背景技术
在各种政府部门、军队和企事业单位中,有关人员通常需要携带敏感物品(如涉密便携式计算机等)等外出,并可能需要到全国各地其他单位和部门进行移动办公。由于敏感物品可能存储或携带涉密信息,敏感物品所属的机构对于敏感物品在所属机构以外的外访情况非常关心,常需要采取各种物品跟踪手段来保证敏感物品按照预期的路线进行移动,以确保敏感物品的安全。
目前常用的物品跟踪手段有多种。例如,在物品上安装卫星定位系统并定时向物品所属机构发送位置信息,这种方式的一个缺陷是定位系统需要携带电池进行供电,定位系统的体积和重量都较大、携带不便,此外还有电池可能随时耗尽的问题。另一种方法是在物品上安装射频识别标签或普通智能卡,在指定位置安装射频识别标签或智能卡的读写设备,读写设备读取射频识别标签或智能卡,将射频识别标签或智能卡的编号发送给物品所属的机构。这种方式的一个缺陷是,由于射频识别标签或智能卡的安全性较低,采用伪造射频识别标签或智能卡的方式,可以欺骗读写设备,读写设备也可以伪造虚假数据欺骗敏感物品所属机构。目前,这种方式主要用于机构办公区域范围内的物品跟踪。
因此,由于目前的敏感物品跟踪方法或多或少存在某种缺陷,迫切需要一种能够克服这些缺陷,实现敏感物品安全可靠跟踪的方法。本发明正是基于这种现实需求而产生的。
技术实现要素:
本发明公开了一种跟踪敏感物品外访情况的方法,用于解决上述现有技术的问题。
本发明一种跟踪敏感物品外访情况的方法,其中,步骤1,在需要跟踪的敏感物品上安装非接触智能卡;步骤2,在需要跟踪敏感设备的地点,安装可以读写非接触智能卡中数据的读写设备;步骤3,进行外访情况记录,包括:步骤31:敏感物品移动到预定的地点时,读写设备读取敏感物品上的非接触智能卡的卡号等信息,生成一条外访情况记录;步骤32:读写设备利用安全模块中的私钥对外访情况记录进行签名,然后将外访情况记录、读写设备签名、安全模块的公钥信息发送给非接触智能卡,非接触智能卡利用安全模块的公钥对读写设备的签名进行验证;步骤33:非接触智能卡利用自己的私钥对外访情况记录进行签名,并将自己的签名和自己的公钥返回给读写设备;读写设备利用非接触智能卡的公钥,对非接触智能卡的签名进行验证;步骤34:非接触智能卡和读写设备分别保存外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名以及非接触智能卡公钥信息;由读写设备发送给敏感物品所属的机构;所述外访情况核对步骤4中,包括:步骤41:敏感物品所属机构的读写设备读取非接触智能卡中的外访情况记录,利用其他安全模块公钥和非接触智能卡公钥对每条外访情况记录进行验证;步骤42:敏感物品所属机构的读写设备接收到其它读写设备发送来的外访情况记录后,利用读写设备公钥和非接触智能卡公钥,对每条外访情况记录进行验证;步骤43:敏感物品所属机构的读写设备对非接触智能卡的外访情况记录和接收到的外访情况记录进行核对,判断二者是否一致。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤1中,非接触智能卡初始化,安装在敏感物品上的非接触智能卡需要存储卡号、物品编号以及物品名称信息,以及密钥、公钥和私钥密钥。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤1中,非接触智能卡采用具有32位中央处理单元的非接触智能卡,具有椭圆曲线密码算法ecc、安全散列算法sha以及高级加密标准算法aes运算能力;非接触智能卡设置一个只读文件,存储卡号、物品编号以及物品名称;非接触智能卡设置一个密钥文件存储证明非接触智能卡身份而需要的密钥、保护非接触智能卡中数据不被非授权读写而需要的密钥、非接触智能卡签名而需要的公钥和私钥密钥,非接触智能卡设置一个循环记录文件存储外访情况记录,这个循环记录文件的读写受到密钥保护。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,安全模块采用具有32位中央处理单元的接触式智能卡,具有椭圆曲线密码算法ecc、安全散列算法sha以及高级加密标准算法aes运算能力;安全模块设置一个只读文件,存储读写设备编号以及地点名称信息,安全模块设置一个密钥文件存储验证非接触智能卡身份而需要的密钥、读写非接触智能卡中数据而需要的密钥以及读写设备签名而需要的公钥和私钥。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,外访情况记录包括非接触智能卡卡号、物品编号、读写设备编号、日期和时间信息。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤32中,读写设备先利用安全模块的安全散列标准算法sha算法对外访情况记录进行散列,得到自己的散列值;再利用安全模块的椭圆曲线密码算法ecc算法和公钥对散列值加密,得到自己的签名;利用安全模块的高级加密标准算法aes算法和验证非接触智能卡身份的密钥,验证非接触智能卡身份;利用安全模块的高级加密标准算法aes和改写外访情况记录文件的密钥,与非接触智能卡进行认证;将外访情况记录、读写设备签名以及安全模块的公钥信息发送给非接触智能卡,非接触智能卡利用自己的安全散列算法sha对外访情况记录进行散列,得到散列值;利用椭圆曲线密码算法ecc和安全模块的公钥,对读写设备的签名解密,得到读写设备的散列值,并比较两个散列值是否一致,以进行验证。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤33中,非接触智能卡先利用自己的安全散列标准算法sha对外访情况记录进行散列,得到自己的散列值;再利用椭圆曲线密码算法ecc和公钥对散列值加密,得到自己的签名,读写设备先利用安全模块的安全散列算法sha对外访情况记录进行散列,得到散列值;利用安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致,以进行验证。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤34中,非接触智能卡将外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名信息保存在文件中;读写设备将外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名以及非接触智能卡公钥的信息保存在文件中。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤41中,读写设备利用自己的安全模块的椭圆曲线密码算法ecc和公钥,对其他读写设备的签名解密,得到其他读写设备的散列值;利用安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致,以进行验证。
根据本发明的跟踪敏感物品外访情况的方法的一实施例,其中,步骤42中,读写设备利用自己的安全模块的椭圆曲线密码算法ecc和安全模块的公钥,对其他读写设备的签名解密加密,得到其他读写设备的散列值;利用安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致,以进行验证。
本发明提供一种能够安全可靠地对敏感物品外访情况进行跟踪的方法,满足较大地理范围内跨部门、跨机构的敏感物品外访情况跟踪要求,同时具有敏感物品携带的方便性和系统实施的可行性。
附图说明
图1所示为本发明的一种跟踪敏感物品外访情况的方法的流程图;
图2所示为本发明的一种跟踪敏感物品外访情况的系统组成示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
图1所示为本发明的一种跟踪敏感物品外访情况的方法的流程图,如图1所示,该方法包括以下步骤:
(1)非接触智能卡安装步骤:在需要跟踪的敏感物品上安装非接触智能卡;
(2)读写设备安装步骤:在需要跟踪敏感设备的地点,安装可以读写非接触智能卡中数据的读写设备;
(3)外访情况记录步骤:读写设备读取敏感物品上的非接触智能卡,生成一条外访情况记录,读写设备和非接触智能卡对外访情况记录进行签名确认;
(4)外访情况核对步骤:敏感物品所属机构读写设备读取并检查非接触智能卡中的外访情况记录,与从其他读写设备接收到的外访情况记录进行核对。
图2所示为本发明的一种跟踪敏感物品外访情况的系统组成示意图,如图1以及图2所示,跟踪敏感物品外访情况的系统包括读写设备、安装在读写设备上的安全模块、安装在需要跟踪的敏感物品上的非接触智能卡。如图1以及图2所示,本发明的一种跟踪敏感物品外访情况的方法进一步包括:
所述非接触智能卡安装步骤1中,包括:
步骤11:非接触智能卡初始化步骤。安装在敏感物品上的非接触智能卡需要存储卡号、物品编号、物品名称等信息,以及保护非接触智能卡中数据不被非授权读写而需要的密钥、非接触智能卡签名而需要的公钥和私钥等密钥,以及其它信息;
在实施时,非接触智能卡可以采用具有32位中央处理单元(cpu)的非接触智能卡,要求非接触智能卡椭圆曲线密码算法ecc、安全散列算法sha、高级加密标准算法aes等商用密码运算能力;非接触智能卡设置一个只读文件,存储卡号、物品编号、物品名称等信息;非接触智能卡设置一个密钥文件存储证明非接触智能卡身份而需要的密钥、保护非接触智能卡中数据不被非授权读写而需要的密钥、非接触智能卡签名而需要的公钥和私钥等密钥,非接触智能卡设置一个循环记录文件存储外访情况记录,这个循环记录文件的读写受到密钥保护。
所述读写设备安装步骤2中,包括:
步骤21:读写设备安全模块初始化步骤。读写设备需要安装安全模块,安全模块需要存储读写设备编号、安装地点名称等信息,以及读写非接触智能卡中数据而需要的密钥、读写设备签名而需要的公钥和私钥等密钥;
在实施时,安全模块可以采用具有32位中央处理单元(cpu)的接触式智能卡,要求接触式智能卡椭圆曲线密码算法ecc、安全散列算法sha、高级加密标准算法aes等商用密码运算能力;安全模块设置一个只读文件,存储读写设备编号、安装地点名称等信息,安全模块设置一个密钥文件存储验证非接触智能卡身份而需要的密钥、读写非接触智能卡中数据而需要的密钥、读写设备签名而需要的公钥和私钥等密钥。
所述外访情况记录步骤3中,包括:
步骤31:外访情况生成步骤。敏感物品移动到预定的地点时,读写设备读取敏感物品上的非接触智能卡的卡号等信息,生成一条外访情况记录,外访情况记录至少应包括非接触智能卡卡号、物品编号、读写设备编号、日期和时间等信息;
在实施时,外访情况记录的长度采用固定长度,长度不足时,采用值为0的字节填充方式。
步骤32:读写设备签名步骤。读写设备利用安全模块中的私钥对外访情况记录进行签名,然后将外访情况记录、读写设备签名、安全模块的公钥等信息发送给非接触智能卡,非接触智能卡利用安全模块的公钥对读写设备的签名进行验证;
在实施时,读写设备先利用安全模块的安全散列标准算法sha算法对外访情况记录进行散列,得到自己的散列值;再利用安全模块的椭圆曲线密码算法ecc算法和公钥对散列值加密,得到自己的签名;利用安全模块的高级加密标准算法aes算法和验证非接触智能卡身份的密钥,验证非接触智能卡身份;利用安全模块的高级加密标准算法aes和改写外访情况记录文件的密钥,与非接触智能卡进行认证;将外访情况记录、读写设备签名、安全模块的公钥等信息发送给非接触智能卡。非接触智能卡利用自己的安全散列算法sha对外访情况记录进行散列,得到自己的散列值;利用自己的椭圆曲线密码算法ecc和安全模块的公钥,对读写设备的签名解密,得到读写设备的散列值,比较两个散列值是否一致;
步骤33:非接触智能卡签名步骤。非接触智能卡利用自己的私钥对外访情况记录进行签名,并将自己的签名和自己的公钥返回给读写设备;读写设备利用非接触智能卡的公钥,对非接触智能卡的签名进行验证;
在实施时,非接触智能卡先利用自己的安全散列标准算法sha对外访情况记录进行散列,得到自己的散列值;再利用自己的椭圆曲线密码算法ecc和公钥对散列值加密,得到自己的签名。读写设备先利用安全模块的安全散列算法sha对外访情况记录进行散列,得到自己的散列值;利用安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致;
步骤34:外访情况保存步骤。非接触智能卡和读写设备分别保存外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名、非接触智能卡公钥等信息;读写设备以后将这些数据发送给敏感物品所属的机构;
在实施时,非接触智能卡将外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名等信息保存在步骤11设置的循环文件中;读写设备将外访情况记录、读写设备签名、安全模块公钥、非接触智能卡签名、非接触智能卡公钥等信息保存在文件中,以后通过网络或光盘等方式,发送给敏感物品所属的机构;
所述外访情况核对步骤4中,包括:
步骤41:外访情况内部验证步骤。敏感物品所属机构的读写设备读取非接触智能卡中的外访情况记录,利用其他安全模块公钥和非接触智能卡公钥对每条外访情况记录进行验证;
在实施时,读写设备利用自己的安全模块的椭圆曲线密码算法ecc和其他安全模块的公钥,对其他读写设备的签名解密,得到其他读写设备的散列值;利用自己安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致;
步骤42:外访情况外部验证步骤。敏感物品所属机构的读写设备接收到其它读写设备发送来的外访情况记录后,利用读写设备公钥和非接触智能卡公钥,对每条外访情况记录进行验证;
在实施时,读写设备利用自己的安全模块的椭圆曲线密码算法ecc和安全模块的公钥,对其他读写设备的签名解密加密,得到其他读写设备的散列值;利用自己安全模块的椭圆曲线密码算法ecc和非接触智能卡的公钥,对非接触智能卡的签名解密,得到非接触智能卡的散列值,比较两个散列值是否一致;
步骤43:外访情况核对步骤。敏感物品所属机构的读写设备对非接触智能卡的外访情况记录和接收到的外访情况记录进行核对,判断二者是否一致。
当然,本发明还可有其它多种实施例,例如,采用接触式智能卡技术或者射频识别标签技术,或者省略签名,或者用口令代替密钥进行认证,或者采用其它密码算法等。
与现有敏感物品外访情况跟踪方法相比,本发明的有益效果在于采用智能卡技术,避免了在敏感物品携带电池而来来的问题,同时又能对外访情况记录进行双方签名确定,避免外访情况记录的伪造问题。因此,本发明在敏感物品外访情况跟踪领域将发挥重要作用。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!