(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211092258.X (22)申请日 2022.09.08 (65)同一申请的已公布的文献号 申请公布号 CN 115168889 A (43)申请公布日 2022.10.11 (73)专利权人 北京中宏立达科技发展 有限公司 地址 100048 北京市海淀区西三环北路5 0 号院8号楼701 (72)发明人 王辉　黄锦阳　张朝壹　李维刚　 (74)专利代理 机构 北京天达知识产权代理事务 所有限公司 1 1386 专利代理师 庞许倩 (51)Int.Cl. G06F 21/60(2013.01) G06F 16/18(2019.01)G06F 21/53(2013.01) G06F 21/62(2013.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (56)对比文件 CN 103065102 A,2013.04.24 CN 1010790 08 A,2007.11.28 CN 114756841 A,202 2.07.15 US 739543 6 B1,2008.07.01 CN 107368747 A,2017.1 1.21 吴运晶.基 于网络文 件保险柜的终端数据安 全保护解决方案. 《海峡科 学》 .2012,(第08 期), 审查员 范玉霞 (54)发明名称 一种电子保密柜使用密件和保密室授权密 件的方法 (57)摘要 本发明涉及一种电子保密柜使用密件和保 密室授权密件的方法， 属于信息安全技术领域， 解决了现有密件离线和外带使用过程中存在的 安全隐患问题。 包括电子 保密柜在用户终端安装 完成后， 自动执行注册操作， 获取用户注册信息 上传至保密室， 接收保密室发送的用户标识、 用 户私钥和公钥矩阵； 接收用户申请的虚拟磁盘容 量， 根据用户标识、 用户私钥和公钥矩阵， 在用户 终端的操作系统中按虚拟磁盘容量创建一个虚 拟加密磁盘， 作为电子保密柜的文件磁盘； 发送 密件外借请求至保密室， 接收保密室根据密件外 借请求发送的密文消息； 根据用户私钥解密密文 消息， 将得到的外借密件存储至文件磁盘， 并生 成密件存储记录写入文件存储日志中。 实现了密 件的授权和离线 使用。 权利要求书2页 说明书9页 附图2页 CN 115168889 B 2022.11.29 CN 115168889 B 1.一种电子保密柜使用密件的方法， 其特 征在于， 包括如下步骤： 电子保密柜在用户终端安装完成后， 自动执行注册操作， 获取用户注册信息上传至保 密室， 接收保密室发送的用户标识、 用户私钥和公钥矩阵； 所述保密室是后端服务， 管理和 授权每个电子保密柜的用户信息和外借密件信息； 接收用户申请的虚拟磁盘容量， 根据用户标识、 用户私钥和公钥矩阵， 在用户终端的操 作系统中按虚拟磁 盘容量创建一个虚拟加密磁 盘， 作为电子保密柜的文件磁 盘； 发送密件外借请求至保密室， 接收保密室根据密件外借请求发送的密文消息； 根据用 户私钥解密密文消息， 将得到的外借密件存储至文件磁盘， 并生成密件存储记录写入文件 存储日志中； 所述外借是根据用户需求通过电子保密柜向保密室提出针对密件的外借申 请， 经过相关责任人在保密室中进行审批， 若审批通过， 则电子保密柜接收到密文消息， 在 授权期限内使用外借密件， 到期后电子保密柜自动清除外借密件。 2.根据权利要求1所述的电子保密柜使用密件的方法， 其特征在于， 所述电子保密柜接 收到打开文件磁盘请求时， 根据文件存储 日志识别可访问的密件， 清除授权过期的外借密 件， 解密获得 可访问的密件。 3.根据权利要求1所述的电子保密柜使用密件的方法， 其特征在于， 所述电子保密柜将 接收到的用户标识、 用户私钥和公钥矩阵存储在配置文件中， 使用用户私钥和公钥矩阵前， 根据用户注 册信息中的加密口令进行对称解密。 4.根据权利要求1所述的电子保密柜使用密件的方法， 其特征在于， 所述电子保密柜的 文件磁盘， 初始按虚拟磁盘容量利用随机数据进行填充， 使用随机生成的存储密钥对文件 磁盘进行加密， 加密方式为XTS模式的对称加密算法； 根据用户标识从公钥矩阵中计算出用 户公钥， 使用用户公钥对所述存储密钥进行非对称加密， 得到存储密钥密文； 将用户私钥、 公钥矩阵和存 储密钥密文作为磁 盘文件密钥 信息。 5.根据权利要求1所述的电子保密柜使用密件的方法， 其特征在于， 根据用户私钥解密 密文消息， 得到外借密件及其密 件编号、 授权时间和过期时间； 所述生成密件存储记录写入 文件存储日志中， 包括： 使用哈希算法， 计算出外借密件的哈希值； 合并外借密件的密件编号、 授权时间和过期时间， 以及哈希值， 作为待校验信息， 使用 用户公钥对所述待校验信息使用非对称算法进行签名， 得到待校验签名； 合并外借密件的密件编号、 授权时间、 过期时间、 待校验签名和外借密件在文件磁盘的 存储位置， 得到密件 存储记录， 写入文件 存储日志中。 6.根据权利要求2所述的电子保密柜使用密件的方法， 其特征在于， 所述根据文件存储 日志识别可访问的密件， 包括： 从文件存储日志中获取标识不为已删除的密件存储记录， 依次取出每条密件存储记 录， 如果当前密件存储记录的来源为本地密 件， 则将当前密 件标识为可访问； 如果当前密 件 存储记录的来源为外借密件， 则对当前密件 存储记录中的待校验签名进行如下识别： 使用用户私钥对当前待校验签名进行非对称解密， 得到当前待校验信息； 判断当前待校验信息中的授权时间是否大于当前时间， 如果大于， 则将当前密件标识 为授权未开始； 如果不大于， 则继续判断当前待校验信息中的过期时间是否小于 当前时间， 如果小于， 则将当前密件标识为授权过期； 如果 不小于， 则将当前密件标识为可访问。权　利　要　求　书 1/2 页 2 CN 115168889 B 27.根据权利要求6所述的电子保密柜使用密件的方法， 其特征在于， 所述清除授权过期 的外借密件， 包括： 将每个标识为授权过期的外借密件， 作为待清除密件； 获取磁盘文件密钥信 息， 使用用户私钥， 对其中的存储密钥密文进行非对称解密， 得到 存储密钥； 使用存储密钥通过XTS模式的对称解密算法对文件磁盘的头部信息进 行解密， 获 取头部信息中每个待清除密件的存储位置和文件大小， 按每个待清除密件的文件大小， 使 用随机数据覆盖 至对应的存 储位置后， 从头 部信息中删除每 个待清除密件的信息； 在文件存储日志中将待清除密件的密件 存储记录标识为已删除。 8.一种保密 室授权密件的方法， 其特征在于， 所述保密室是后端服务， 管理和授权每个 电子保密柜的用户信息和外借密件信息， 包括如下步骤： 接收并审核电子保密柜上传的用户注册信 息， 审核通过后， 生成用户标识， 并发送用户 标识、 用户私钥和公钥矩阵至电子保密柜； 接收密件外借请求， 根据所述密件外借请求中的用户标识和密件编号， 设置密件的授 权时间和过期时间， 将密件及其密件编号、 授权时间和过期时间加密为密文消息发送至所 述用户标识对应的电子保密柜； 所述外借是根据用户需求通过电子保密柜向保密室提出针 对密件的外借申请， 经过相关责任人在保密室中进 行审批， 若审批通过， 则保密室发送对应 的密文消息 。 9.根据权利要求8所述的保密 室授权密件的方法， 其特征在于， 所述用户私钥和公钥矩 阵由保密室根据用户标识获取， 再使用用户注册信息中的加密口令进 行对称加密后发送 给 电子保密柜。 10.根据权利要求8所述的保密室授权密件的方法， 其特征在于， 所述将密件及其密件 编号、 授权时间和过期时间加密为密文消息发送至所述用户标识对应的电子保密柜， 包括： 随机生成密件加密密钥， 对密件进行对称加密， 得到密件密文； 根据用户标识从公钥矩 阵中计算出用户公钥， 使用 用户公钥对密件加密 密钥进行非对称加密， 得到密件密钥密文； 使用哈希算法， 计算出密件的哈希值， 作为消息摘要； 使用保密室私钥， 对密件编号、 授 权时间、 过期时间和 消息摘要 使用非对称加密， 得到数字签名； 合并所述密件密钥密文、 密件密文和数字签名， 作为加密后的密文消息发送至所述用 户标识对应的电子保密柜。权　利　要　求　书 2/2 页 3 CN 115168889 B 3