[发明专利]支持密钥托管个人文件加密保护方法、系统、设备、介质

权利要求书

1.一种支持密钥托管个人文件加密保护方法，其特征在于，所述支持密钥托管个人文件加密保护方法包括以下步骤：

步骤一，虚拟文件：通过虚拟文件系统提供虚拟驱动器，创建保管库，用户使用任何磁盘驱动器即可在所述保管库中添加、编辑和删除文件；

步骤二，密钥管理：CA为用户签发独有的密钥交换证书并保存至USBkey，经过该证书的公钥生成主密钥KEK，并由主密钥生成加密密钥和MAC密钥；

步骤三，文件加密：将文件内容的明文分为多个块，使用带有文件内容密钥的SM4-CTR进行加密；使用规范化格式C中的UTF-8对文件的明文名称进行编码，以获取唯一的二进制表示形式，使用SM4-SIV加密名称；

步骤四，目录加密：每个目录都有唯一的ID，使用SM4-SIV加密目录ID；

步骤五，文件解密：用户使用USBkey进行身份验证，解密时系统根据主密钥KEK加密生成的加密密钥和MAC密钥使用相应的解密算法对文件进行解密；

步骤六，文件恢复：将密钥交换证书托管至国密CA，当用户USBKey丢失或损坏时，从CA处恢复密钥交换证书，并找回保存至云服务的全部文件。

2.如权利要求1所述支持密钥托管个人文件加密保护方法，其特征在于，步骤一中，所述虚拟文件，包括：用户在创建的保管库中使用任何磁盘驱动器添加、编辑和删除个人文件；文件被透明地加密和解密，不存在未加密的副本；每次打开保管库访问虚拟驱动器内的文件时，均即时加密和解密所述文件。

3.如权利要求1所述支持密钥托管个人文件加密保护方法，其特征在于，步骤一中，用户在创建保险库时，随机生成一个加密密钥和一个身份验证的MAC主密钥，同时由可信任的国密CA为用户签发独有的密钥交换证书和数字签名证书，将证书导出并存储至USBkey，并将密钥交换证书托管至CA，使用密钥交换证书中的公钥生成主密钥KEK，并按照SM4-WRAP使用KEK对加密密钥和MAC主密钥进行Wrap加密；加密后的密钥记录在Json文件中，该文件即可相当于保险库的密码表；用户需要打开保险库时，提供口令并依照Json文件中的参数实现对加密文件的解密；在具体的加密过程中，对文件的名称、头文件和文件本身分别进行加密。

4.如权利要求1所述支持密钥托管个人文件加密保护方法，其特征在于，步骤二中，所述密钥管理，还包括：

随机生成一个加密密钥和一个身份验证的MAC密钥，由可信任的国密CA为用户签发独有的密钥交换证书，将证书导出并存储至USBkey，并将密钥交换证书托管至CA，使用密钥交换证书中的公钥加密生成用户独有的主密钥KEK，并按照SM4-WRAP算法使用KEK对加密密钥和MAC主密钥进行Wrap加密。

5.如权利要求1所述支持密钥托管个人文件加密保护方法，其特征在于，步骤三中，所述文件加密，包括文件内容加密和文件名加密；

其中，所述文件内容加密，文件头存储文件内容加密所需的某些元数据可用于文件内容加密，由72个字节组成；在报头有效载荷加密期间使用的16字节随机数；24字节SM4-CTR加密有效载荷，包括8字节填充1以供将来使用和16字节的文件内容密钥；32字节的前40字节头部MAC；将明文分解成多个块，每个块最多32KiB+48字节，包括16字节随机数，使用SM4-CTR和文件内容密钥最多32KiB加密有效负载，以及32字节MAC，包括文件头随机数，将此块绑定到文件头；块号为8字节大端整数，随机数和加密的有效载荷；加密的块被加入并保留明文块的顺序；

所述文件名加密，文件的明文名称使用标准化形式C中的UTF-8进行编码，以获得唯一的二进制表示；使用SM4-SIV来加密名称，父文件夹的目录ID作为关联数据传递。