(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211454377.5 (22)申请日 2022.11.21 (71)申请人 卓望数码技 术 （深圳） 有限公司 地址 518000 广东省深圳市南 山区粤海街 道高新区社区高新南七道015号深港 产学研基地W601 (72)发明人 杨旻　 (74)专利代理 机构 深圳市恒和大知识产权代理 有限公司 4 4479 专利代理师 林大超 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/06(2006.01) H04L 9/30(2006.01) (54)发明名称 一种共享式文 件透明加密方法及系统 (57)摘要 本发明公开了一种共享式文件透明加密方 法及系统， 在文件共享基础上， 将加解密密钥进 行了安全性的设计， 杜绝在网络上传输对称密 钥， 加解密密钥的对称加解密和非对称加解密都 依赖本地硬件用户USB ‑KEY中的私钥执行， 用户 USB‑KEY即插即用， 若拨出用户USB ‑KEY则无法解 密， 即避免了在网络传输对称密钥的隐患， 也解 决了跨终端透明访问的问题。 权利要求书4页 说明书17页 附图3页 CN 115550058 A 2022.12.30 CN 115550058 A 1.一种共享式文件透明加密系统， 其特征在于： 包括有若干用户终端、 若干用户USB ‑ KEY、 加解密辅助模块、 钩子程序和证书管理平台； 所述证书管理平台用于保存授权用户的证书列表， 每一张证书分别包含有一个用户 USB‑KEY公钥； 每个用户USB ‑KEY分别包含有一个用户USB ‑KEY私钥， 每个用户USB ‑KEY公钥 和相应用户USB ‑KEY私钥互相配合构成用户USB ‑KEY公/私钥对； 所述证书管理平台还设置有密钥管理功能模块， 所述密钥管理功能模块用于生成用户 USB‑KEY公/私钥对； 每个所述用户终端分别设置有钩子程序、 应用程序、 操作系统、 加解密辅助模块和存储 辅助模块； 所述钩子程序用于监控用户终端的应用程序执行动作， 并在应用程序执行保存和/或 读取动作时将其暂停， 从而优先处理钩子程序的执行动作； 钩子程序的执行动作包括通过 用户USB‑KEY进行公钥查询、 证书查询、 公钥非对称加密和私钥非对称解密、 对称加密、 对称 解密； 所述钩子程序还用于通过加解密辅助模块对文档的对称密钥进行非对称加解密， 并通 过对称密钥对原文档进行SM4对称加解密； 所述应用程序用于创作、 保存和/或读取原文档； 所述操作系统用于支持用户终端常规 运行； 所述存储辅助模块用于存 储操作系统函数； 每个所述用户USB ‑KEY设置有非对称加密接口、 非对称解密接口、 对称加密接口、 对称 解密接口、 随机数发生器和USB ‑KEY容器， 所述非对称加密接口用于非对称加密， 所述非对 称解密接口用于非对称解密， 所述对称加密接口用于对称加密， 所述对称解密接口用于对 称解密， 所述随机数发生器用于产生随机数， 所述USB ‑KEY容器用于存储用户USB ‑KEY公/私 钥对和用户CA证书。 2.根据权利要求1所述共享式文件透明加密系统， 其特征在于： 所述用户USB ‑KEY为硬 件U盾。 3.根据权利要求1所述共享式文件透明加密系统， 其特征在于： 所述钩子程序为API   HOOK 钩子程序。 4.一种使用权利要求1～3之一所述共享式文件透明加密系统的共享式文件透明加密 方法， 其特 征在于： 包括有以下步骤： S01， 制作用户USB ‑KEY； S02， 第一作者通过其用户端的应用程序创作原文档， 用户端的操作系统收到应用程序 的保存消息时， 钩子程序暂停应用程序， 并先对需要保存的原文档进行预加密， 生成SM4对 称加解密 密钥； S03， 对原文档的对SM4对称加解密 密钥进行二次加密； S031， 钩子程序获取证书管理平台的用户USB ‑KEY公钥； S0311， 钩子程序向证书管理平台获取待授权用户的用户证书列表； S0312， 钩子弹出对话框界面展示用户证书列表， 通过复选框单元或者多选， 第一作者 在列表界面上勾选N授权用户证书， N为大于等于1的正整数； 勾选完之后， 钩子从证书管理 平台获取对应的用户证书， 从而获得相应用户USB ‑KEY公钥；权　利　要　求　书 1/4 页 2 CN 115550058 A 2S032， 钩子程序依次通过每个用户USB ‑KEY公钥调用 第一作者用户端上的加解密辅助 模块， 通过第一作者的用户USB ‑KEY的非对称加密接口进行非对称加密； 将每个用户证书 的用户USB ‑KEY公钥传进非对称加密接口中， 对称密钥也传进非对称 加密接口中， 非对称加密接口中拿到每个用户USB ‑KEY公钥之后， 分别对SM4对称加解密密 钥进行SM2非对称加密， 生成与每 个用户USB ‑KEY相对应的SM2非对称加密 密文； S033， SM2非对称加密 密文存储； 钩子程序将SM2非对称加密 密文作为附加信息存 储在存储文件的前N行； S034， 钩子程序在存储文件的第N+1行位置设置分隔线； 钩子程序使用SM4对称加解密 密钥对原文档进行SM4对称加密为密文， 密文存 储于存储文件的第N+2行以下的位置； S035， 钩子程序释放应用程序， 返回继续执 行保存流 程， 保存二次加密后的存 储文件； S04， 用户端解密存 储文件； S041， 在用户端插 入用户USB ‑KEY； S042， 用户端的操作系统收到应用程序的读取存储文件消息时， 钩子程序暂停应用程 序， 通过加解密辅助模块在存储文件的附加信息中查找与当前用户USB ‑KEY的用户证书相 对应的SM2非对称加密 密文； S043， 钩子程序通过加解密辅助模块调用当前用户USB ‑KEY中的用户USB ‑KEY私钥， 进 行非对称解密， 获得对称密钥明文； S044， 钩子程序对密文 进行SM4对称解密， 得到原文档明文； S045， 钩子程序将原文档明文写入应用程序的内存； 并释放应用程序， 返回继续执行读 取流程。 5.根据权利要求4所述共享式文件透明加密方法， 其特征在于： 所述步骤S01中包括以 下操作内容： S011, 证书管理平台管理员接收用户USB ‑KEY制作信息； S012， 证书管理平台管理员确认用户USB ‑KEY制作信息； S013， 证书管理平台管理员在证书管理平台制作用户USB ‑KEY， 为每个用户USB ‑KEY分 别生成公/私钥对； S014， 证书平台管理员在密钥管理平台密钥管理功能模块中取出用户USB ‑KEY公钥向 CA申请证书； S015， 证书平台管理员在证书管理平台将证书 写入用户USB ‑KEY中； S016， 证书平台管理员将用户USB ‑KEY分发至相应用户； S017， 用户收到用户USB ‑KEY， 并检查用户USB ‑KEY是否有效。 6.根据权利要求4所述共享式文件透明加密方法， 其特征在于： 所述步骤S02中包括以 下操作内容： S021， 当前用户端插 入相应用户USB ‑KEY， 通过操作系统和应用程序进行原文档创作； S022,原文档创作完成后， 点击保存按钮， 当前用户端的应用程序调用操作系统的存储 辅助模块的操作系统函数； S023， 当前用户端的操作系 统接收应用程序的保存消息时， 钩子程序先钩住保存消息 勾住， 即暂停应用程序， 钩子程序优先处理自已的保存流程， 为原文档生成随机的SM4对称 加解密密钥。权　利　要　求　书 2/4 页 3 CN 115550058 A 3