[发明专利]基于可信计算应用技术的网络多级审批方法及系统

说明书

(一)技术领域

本发明涉及一种网络多级审批方法及系统，尤其涉及一种基于可信计算应用技术 的多级审批方法及系统。

(二)背景技术

互联网的出现极大程度上改变了人类的生活、学习和工作方式。随着计算机技术和 互联网的日益发展完善，基于互联网的应用也相当普遍和多样。运用互联网的便捷性改 变人们传统工作模式中的一些不足之处，提高工作效率，优化资源配置，是互联网给人 们带来的最大益处之一。

在互联网时代，人们传统工作中的很多模式逐渐暴露出了它天生的一些缺陷，主要 表现在效率低下、浪费资源，甚至会在一些情况下造成较大的社会、经济损失。例如， 在最近这些年方兴未艾的电子商务、电子政务基于互联网的应用，这些应用的出发点无 不是看中了互联网获取信息的便捷性以及无障碍性，可以加快信息的流通，大幅度提高 工作效率。然而，在效率有所提高的同时，某些方面的操作却始终停留在传统模式下， 最为典型的就是文件的审批程序。

在传统的操作模式中，不管是商业的报表、或是事业单位的文件，往往都需要自下 而上逐级进行审批，一旦在某一级出现滞留，事情往往会因此而耽搁一段时间。同时， 有审批权限的领导由于出差原因，也不能保证在任何时刻都能够第一时间看到待审批的 文件，这无疑对于一些事务而言，尤其是商业上的事务，会产生一些不必要的损失。

为了提高网络应用的安全性，1983年美国国防部推出的“可信计算机系统评价标 准”中提出了“可信计算基”的概念。所谓“可信计算基”，是指通过保持最小可信组 件集合及对数据的访问权限进行控制来实现系统的安全，中国的国家标准GB 17859-1999“计算机信息系统安全保护级划分准则”也沿用了这一概念。2003年，可信 计算平台联盟重组为可信计算工作组(TCG)，发布了包括可信平台模块(TPM，Trusted  Platform Module)主规范、TCG软件栈(TSS，TCG Software Stack)规范、PC平台规 范在内的多个标准，形成了相对完整的软硬件标准体系。这一系列的标准，为基于网络 的审批系统的产生奠定了基础。从基于纸面转化为基于数字的电子媒体形式，在生成、 传输、保存、验证和鉴定多方面出现了新的技术需求、问题和困难，其中最重要的就是 安全问题。在以往的审批程序中，办理人员通过逐级获取审批方的签名或者印章来证明 其真实性，并以此为依据向上继续进行审批。而无纸化办公时，计算机网络中传输的文 件为保证能够安全，也需要像纸面签名一样进行加密的数字签名。数字签名是相对于手 写签名而言的，应该满足以下要求：(1)收发双方能够确认和证实对方的签名；(2)数 字签名无法伪造；(3)下一级签名后提交给上一级后，则无法否认所签消息；(4)加密 的审批系统和在线签章系统应能够有效防止不法分子冒充审批人员破坏正常的审批工 作。

(三)发明内容

为了克服传统审批模式中效率低下、时间及资源成本高企不足，本发明提供了一种 基于可信计算平台的网络多级审批方法，通过合理建立服务器-客户端基于B/S模式的 可信网络审批系统，建立一套系统的可信任管理体系，综合利用硬件加密密钥加密方法 以及在线签章系统，实现了安全性较高的在线多级审批，同时有效减少了审批程序的时 间消耗。

本发明解决其技术问题所采用的技术方案是：

一种基于可信计算的网络多级审批方法，包括以下步骤：

(1)建立符合TCG规范和TCM规范的网络多级审批系统平台，包括服务器和若 干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统， 运行监控和度量程序，服务器利用可信计算芯片对客户机端的硬件进行可信度度量，保 证客户机端硬件的完整可信；

(2)在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙 盘进行审批系统的安全身份认证；

(3)建立网络多级审批电子签章系统，用户在逐级审批过程中，利用输入设备进 行签章；签章采用手写输入的签名或预设的图章，最终被保存为签章图片嵌入待审批文 件的相应区域；

(4)对生成的签章图片，嵌入数字水印进行防伪；

(5)提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批 签名进行笔迹识别，保证签章的真实性；

(6)对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下 使用痕迹作为数字版权和版本信息。