一种基于门限密码技术的电子文件审批方法及系统技术方案

本发明专利技术公开了一种基于门限密码技术的电子文件审批方法及系统，方法主要包括审批发起人端利用密钥分发算法将加密密钥分为子密钥，将签名密钥分为签名子密钥和一个系统公钥；再多次利用密钥分发算法将签名子密钥和系统公钥分为部门签名子密钥和部门公钥；参与者或部门端并对签名进行验证、合成和存储，最终的到带有签名的文件。本发明专利技术无需第三方设备介入，即可通过对电子文件进行数字签名来实现对审批过程的留痕，最终结果能体现在电子文件上，全称记录签名数据，防止签名或文件被篡改，每个步骤都具备追溯的功能。

【技术实现步骤摘要】
一种基于门限密码技术的电子文件审批方法及系统
本专利技术涉及一种电子文件审批方法及系统，尤其涉及一种基于门限密码技术的电子文件审批方法及系统。
技术介绍
电子文件审批服务是政府、企业内部办公系统中不可或缺的一个环节。近些年，数据签名在电子文件的审批中应用广泛，单人签名很常见，但随着社会发展，需要把签名的权力由一人分散到多个人甚至多个部门或多个层级，这就对文件的保密、审批进行的效率提出了更高的要求。传统的电子文件审批服务中往往存在以下弊端：第一，审批行为通过流程控制，在不依赖第三方设备的情况下，很难做到真正的审批留痕，单纯数据库中的审批记录比较容易被篡改或伪造；第二，很难做到一份文件仅需加密一次即能控制多个目标对象的解密权限，以保证即使无关人员触碰到文件，也无法完成解密；第三，在不依赖流程控制的情况下，难以适应人员签批权限的多样性，比方说很难可靠的实现“60％的人审批通过即表示审批通过”等场景。
技术实现思路
专利技术目的：本专利技术旨在提供一种基于门限密码技术的安全、高效、多部门、多目标的电子文件审批方法及系统，以解决上述技术问题。技术方案：本专利技术的基于门限密码技术的电子文件审批方法，公司至少一个层级，每级有N个部门D1，D2，…，DN，每个部门Di中有ni个参与者每个部门Di需要nk个参与者完成签批，nk≤ni；该方法包括以下步骤：(1)审批发起人将文件M上传，选择需要的层级、部门，利用随机算法生成加密密钥K1和签名密钥K2，签名密钥生成系统公钥mpk，并对文件加密；(2)利用密钥分发算法将加密密钥K1分为N个子密钥，将签名密钥分为N个签名子密钥；再次利用密钥分发算法将签名子密钥和系统公钥分为N个部门签名子密钥，签名子密钥生成部门公钥mpki；(3)将上述密钥及加密的文件发送至需要签名的部门；(4)部门根据解密算法对文件解密，并发送给参与者进行签名，签名完成后将该部门的所有参与者签名δi存储并合成；其他部门重复该步骤，完成全部参与者签名{δ1，δ2，…，δN}；(5)部门签名合成后，通过签名验证算法进行验证；(6)验证正确后，将所有部门签名合成为δ并存储；(7)通过签名验证算法再次进行验证，验证正确后将签名与文件合成并存储。所述步骤(2)密钥分发算法为门限结构，具体包括以下步骤：(21)对加密密钥K1计算得到：(K1，(1，N))→(K1，1，K1，2，…，K1，N)其中，算法参数表(1，N)示门限结构，K1，1表示D1部门的解密子密钥，K1，2表示D2部门的解密子密钥，K1，N表示DN部门的解密子密钥；(22)对签名密钥K2计算得到：(K2，(N，N))→(mpk，K2，1，K2，2，…，K2，N)其中，算法参数表(N，N)示门限结构，K2，1表示D1部门的签名子密钥，K2，2表示D2部门的签名子密钥，K2，N表示DN部门的签名子密钥；(23)对签名子密钥计算得到：其中，算法参数(ki，ni)表示门限结构，计算结果mpki表示部门签名公钥，计算结果分别表示部门签名子密钥；(24)将上述结果组合得到所述步骤(1)具体包括以下步骤：(11)使用加密密钥K1对文件M加密：(K1，M)→CT，其中，CT为电子文件M的密文；(12)为审批生成任务编号为Task1，匹配编号Task1、文件M、参与审批的部门D1，D2，…，DN并存储于系统中；(13)将其他关联信息与(12)中的数据匹配并存储与系统中；所述其他关联信息包括参与者身份信息、部门与参与者的关联关系、部门的负责人信息。所述步骤(4)具体包括以下步骤：(41)需要签名的部门收到密文CT、解密子密钥，先对解密子密钥解密得到K1；(42)利用(42)得到的K1对密文CT解密，得到原文M；(43)参与者收到M和组合后的子密钥：对M进行哈希计算得到M0，运行部分签名算法得到文件参与者部分签名值；(44)其他参与者重复(41)～(43)，最终得到所有该部门参与者的签名(δi，1，δi，2，…，δi，n)；(45)将(44)的签名合成为本部门签名δi。所述步骤(44)得到的结果保存在数据库中，与任务编号Task1一一对应关联。所述步骤(5)具体包括以下步骤：(51)部门签名合成之后，系统对文件原文进行哈希计算得到M0，并从数据库中取出mpki；(52)对部门签名运行签名验证算法：(mpki，δi，M0)→0/1如果此算法输出1，表示部门签名正确，将部门签名存入数据库，与任务编号Task1一一对应关联；如果此算法输出0，表示签名错误，重复步骤(4)，直到验证签名正确。所述步骤(6)具体包括以下步骤：(61)各部门签名{δ1，δ2，…，δN}合成为签名δ；(62)系统对文件原文M进行哈希计算得到M0，并从数据库中取出mpk；(63)对签名运行签名验证算法：(mpk，δ，M)→0/1如果此算法输出1，表示签名正确，将最终签名值δ存入数据库，与任务编号Task1一一对应关联；如果此算法输出0，表示签名错误，从数据库中分别取出各部门签名{δ1，δ2，…，δN}，分别运行签名验证算法，得出签名错误的部门，该部门需步骤(4)重新完成签名。所述层级为两个及以上时，记为w个层级，步骤(2)中对加密密钥K1采用密钥分发算法分为N个签名子密钥；再利用密钥分发算法进行w次处理，将签名子密钥和系统公钥分为wn个签名子密钥和第一公钥、第二公钥……第w公钥，其中wn为所有层级部门总数；步骤(5)～(7)中，对签名进行w次合成和验证，并将最终验证正确的签名与文件合成并存储。本专利技术的基于门限密码技术的电子文件审批系统，包括：文件加密模块，根据内置的随机算法生成加密密钥K1和签名密钥K2，签名密钥生成系统公钥mpk，并用于对审批人上传的文件进行加密；密钥分发模块，内置有密钥分发算法，将加密密钥K1分为N个子密钥，将签名密钥分为N个签名子密钥；再利用密钥分发算法进行w次处理，将签名子密钥和系统公钥分为wn个签名子密钥和第一公钥、第二公钥……第w公钥，其中wn为所有层级部门总数；第一签名模块，设于部门最底级的参与者端，用于根据解密算法对文件解密，并提供参与者进行签名，参与者签名完成后将该部门的所有参与者签名合成并存储，其他部门重复该步骤，完成全部参与者签名，并将签名传输至第一验证模块；所述第一签名模块的数量与全部部门数量相等；第一验证模块，用于根据签名验证算法对合成的签名进行验证，验证正确后，合成将该层级的全部部门签名并存储，同时将合成的签名传输至第w签名模块；第w签名模块，w为层级数，w＝1，2，3……，与第一签名模块相同，最终的到所有层级的合成签名，并将签名传输至第w验证模块；第w验证模块，用于根据签名验证本文档来自技高网...

【技术保护点】
1.一种基于门限密码技术的电子文件审批方法，其特征在于，公司至少一个层级，每级有N个部门D

【技术特征摘要】
1.一种基于门限密码技术的电子文件审批方法，其特征在于，公司至少一个层级，每级有N个部门D1,D2,…,DN，每个部门Di中有ni个参与者每个部门Di需要nk个参与者完成签批，nk≤ni；
该方法包括以下步骤：
(1)审批发起人将文件M上传，选择需要的层级、部门，利用随机算法生成加密密钥K1和签名密钥K2，签名密钥生成系统公钥mpk，并对文件加密；
(2)利用密钥分发算法将加密密钥K1分为N个子密钥，将签名密钥分为N个签名子密钥；再次利用密钥分发算法将签名子密钥和系统公钥分为N个部门签名子密钥，签名子密钥生成部门公钥mpki；
(3)将上述密钥及加密的文件发送至需要签名的部门；
(4)部门根据解密算法对文件解密，并发送给参与者进行签名，签名完成后将该部门的所有参与者签名δi存储并合成；其他部门重复该步骤，完成全部参与者签名{δ1,δ2,…,δN}；
(5)部门签名合成后，通过签名验证算法进行验证；
(6)验证正确后，将所有部门签名合成为δ并存储；
(7)通过签名验证算法再次进行验证，验证正确后将签名与文件合成并存储。


2.根据权利要求1所述的基于门限密码技术的电子文件审批方法，其特征在于，所述步骤(2)密钥分发算法为门限结构，具体包括以下步骤：
(21)对加密密钥K1计算得到：
(K1,(1,N))→(K1,1,K1,2,…,K1,N)
其中，算法参数表(1,N)示门限结构，K1,1表示D1部门的解密子密钥，K1,2表示D2部门的解密子密钥，K1,N表示DN部门的解密子密钥；
(22)对签名密钥K2计算得到：
(K2,(N,N))→(mpk,K2,1,K2,2,…,K2,N)
其中，算法参数表(N,N)示门限结构，K2,1表示D1部门的签名子密钥，K2,2表示D2部门的签名子密钥，K2,N表示DN部门的签名子密钥；
(23)对签名子密钥计算得到：



其中，算法参数(ki，ni)表示门限结构，计算结果mpki表示部门签名公钥，计算结果分别表示部门签名子密钥；
(24)将上述结果组合得到


3.根据权利要求1所述的基于门限密码技术的电子文件审批方法，其特征在于，所述步骤(1)具体包括以下步骤：
(11)使用加密密钥K1对文件M加密：(K1,M)→CT，其中，CT为电子文件M的密文；
(12)为审批生成任务编号为Task1，匹配编号Task1、文件M、参与审批的部门D1,D2,…,DN并存储于系统中；
(13)将其他关联信息与(12)中的数据匹配并存储与系统中。


4.根据权利要求3所述的基于门限密码技术的电子文件审批方法，其特征在于，所述其他关联信息包括参与者身份信息、部门与参与者的关联关系、部门的负责人信息。


5.根据权利要求1或2所述的基于门限密码技术的电子文件审批方法，其特征在于，所述步骤(4)具体包括以下步骤：
(41)需要签名的部门收到密文CT、解密子密钥，先对解密子密钥解密得到K1；
(42)利用(42)得到的K1对密文CT解密，得到原文M；
(43)参与者收到M和组合后的子密钥：



对M进行哈希计算得到M0，运行部分签名算法得到文件参与者部分签名值；
(44)其他参与者重复(41...

【专利技术属性】
技术研发人员：胡俊，贾宁，李俊华，
申请(专利权)人：江苏华能智慧能源供应链科技有限公司，
类型：发明
国别省市：江苏;32