[发明专利]一种密件授权和使用的系统

权利要求书

1.一种密件授权和使用的系统，其特征在于，包括：保密室和至少一个电子保密柜；其中，

保密室，作为保密服务中心，包括用户登记模块和密件授权模块，所述用户登记模块用于接收并审核电子保密柜上传的用户注册信息，审核通过后，生成用户标识，并下发用户标识、用户私钥和公钥矩阵至电子保密柜；所述密件授权模块用于接收密件外借请求，根据所述密件外借请求中的用户标识和密件编号，设置密件的授权时间和过期时间，将密件及其密件编号、授权时间和过期时间加密为密文消息发送至所述用户标识对应的电子保密柜，并保存密件外借记录；

电子保密柜，安装于用户终端，包括用户注册模块、密件存储模块和密件外借模块，所述用户注册模块用于上传用户注册信息，接收保密室发送的用户标识、用户私钥和公钥矩阵；所述密件存储模块用于接收用户申请的虚拟磁盘容量，在用户终端的操作系统中按虚拟磁盘容量创建一个虚拟加密磁盘，作为电子保密柜的文件磁盘；所述密件外借模块用于发出密件外借请求，根据用户私钥解密接收到的密文消息，将得到的外借密件存储至文件磁盘，生成密件存储记录写入文件存储日志中；

所述密件授权模块，将密件及其密件编号、授权时间和过期时间加密为密文消息发送至所述用户标识对应的电子保密柜，包括：

随机生成密件加密密钥，对密件进行对称加密，得到密件密文；根据用户标识从公钥矩阵中计算出用户公钥，使用用户公钥对密件加密密钥进行非对称加密，得到密件密钥密文；

使用哈希算法，计算出密件的哈希值，作为消息摘要；使用保密室私钥，对密件编号、授权时间、过期时间和消息摘要使用非对称加密，得到数字签名；

合并所述密件密钥密文、密件密文和数字签名，作为加密后的密文消息发送至所述用户标识对应的电子保密柜。

2.根据权利要求1所述的密件授权和使用的系统，其特征在于，所述密件存储模块，还用于当电子保密柜接收到打开文件磁盘请求时，根据文件存储日志识别可访问的密件，清除授权过期的外借密件，解密获得可访问的密件。

3.根据权利要求1或2所述的密件授权和使用的系统，其特征在于，所述电子保密柜还包括密件监控模块，用于利用磁盘文件过滤驱动，监听文件磁盘中密件操作，禁止文件拷贝、剪切板拷贝、拖放和屏幕截取，并记录操作日志。

4.根据权利要求1所述的密件授权和使用的系统，其特征在于，所述用户私钥和公钥矩阵由保密室根据用户标识获取，再使用用户注册信息中的加密口令进行对称加密后发送给电子保密柜；电子保密柜将接收到的用户标识、用户私钥和公钥矩阵存储在配置文件中，使用用户私钥和公钥矩阵前，根据用户注册信息中的加密口令进行对称解密。

5.根据权利要求1所述的密件授权和使用的系统，其特征在于，所述密件存储模块，在用户终端的操作系统中按虚拟磁盘容量创建一个虚拟加密磁盘，包括：

根据用户终端的操作系统，获取对应的文件格式，按虚拟磁盘容量创建固定大小的虚拟磁盘；按虚拟磁盘容量利用随机数据进行填充，使用随机生成的存储密钥对虚拟磁盘进行加密，加密方式为XTS模式的对称加密算法，完成虚拟加密磁盘的创建；

根据用户标识从公钥矩阵中计算出用户公钥，使用用户公钥对所述存储密钥进行非对称加密，得到存储密钥密文；将用户私钥、公钥矩阵和存储密钥密文作为磁盘文件密钥信息。

6.根据权利要求1所述的密件授权和使用的系统，其特征在于，所述密件外借模块，根据用户私钥解密接收到的密文消息，得到外借密件及其密件编号、授权时间和过期时间；所述生成密件存储记录写入文件存储日志中，包括：

使用哈希算法，计算出外借密件的哈希值；

合并外借密件的密件编号、授权时间和过期时间，以及哈希值，作为待校验信息，使用用户公钥对所述待校验信息使用非对称算法进行签名，得到待校验签名；

合并外借密件的密件编号、授权时间、过期时间、待校验签名和外借密件在文件磁盘的存储位置，得到密件存储记录，写入文件存储日志中。