[发明专利]基于可信计算应用技术的网络多级审批方法及系统

权利要求书

1.一种基于可信计算应用技术的网络多级审批方法，其特征在于包括以下步骤：

(1)建立符合TCG规范和TCM规范的网络多级审批系统平台，包括服务器和若干客 户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和 度量程序，服务器利用可信计算芯片对客户机端的硬件进行可信度度量，保证客户机端硬件 的完整可信；

(2)在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进 行审批系统的安全身份认证；

(3)建立网络多级审批电子签章系统，用户在逐级审批过程中，利用输入设备进行签章； 签章采用手写输入的签名或预设的图章，最终被保存为签章图片嵌入待审批文件的相应区域；

(4)对生成的签章图片，嵌入数字水印进行防伪；

(5)提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名 进行笔迹识别，保证签章的真实性；

(6)对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕 迹作为数字版权和版本信息。

2.如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于所述的 步骤(1)中：客户机与服务器通过B/S模式建立连接，在客户机进行审批操作时，调用的服 务和文件资源全部来自于服务器，对数据的读取、处理和保存都在服务器上进行操作，并经 过服务器端软件的监控和度量，保证客户机端操作信息的完整可信。

3.如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于所述的 步骤(2)中：所述可信密钥授权管理体系包括授权数据管理模块、授权数据列表存储模块以 及密钥存储模块，其中授权数据管理模块用于授权数据的管理和授权数据的认证，授权数据 列表存储模块用于存储授权数据列表，密钥存储模块包括密钥标识存储模块和密钥相关信息 存储模块，授权数据列表存储模块和密钥存储模块分别与授权数据管理模块连接；

所述安全身份认证具体步骤如下：

(2.1)服务器端初始化，由管理员预置有审批权的合法用户的相关信息；对应的用户在 首次进入在线审批平台，需要插入USB密码钥匙盘，并填写相关的用户信息进行注册登记， 进行密钥初始化；USB密码钥匙盘拥有世界唯一的序列号，内置快速存储器和加密处理机制， 内置MD5哈希算法和随机查询数生成器，内含安全文件系统，预置密钥或存入数字证书各 类身份认证信息，进行硬件级签名运算，确保数据不可能复制性；

授权数据管理模块接受密钥调用请求，根据请求信息获得密钥标识；

查询授权数据列表存储模块判断所述密钥调用请求信息是否包含该密钥标识对应的授权 数据，并对合法用户分配固定的密钥，按照实际需求对授权数据列表信息进行修改；

(2.2)客户机连接服务器进行审批工作，具有审批资格用户通过插入USB硬件式密码 钥匙盘登录系统，客户机向服务器发出登录请求，服务器则通过用户名便可从数据库中取出 相应用户的密钥，并向客户机发送一个随机字符串X，该随机串送入客户机的密码钥匙盘中 进行计算；

(2.3)服务器则根据用户名取出对应的密钥，并利用发送给客户机的随机串X在服务 器上用加密引擎进行运算，得到运算结果Rh；客户机将此随机串X传入密码钥匙盘，密码钥 匙盘利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果 Rc；客户机将此运算结果直接在网络中发送给服务器，服务器比较两运算结果Rh与Rc，若 相同，则确定该用户为合法用户。