CN101593324A - 基于可信计算应用技术的网络多级审批方法及系统 - Google Patents

Abstract

一种基于可信计算应用技术的网络多级审批方法及系统，包括以下步骤：(1)建立符合TCG规范和TCM规范的网络审批系统硬件平台；(2)建立可信计算平台密钥授权管理体系；(3)建立在线电子签章系统；(4)对签章嵌入数字水印进行防伪；(5)设计BP神经网络，在服务器端的对审批签名进行笔迹真实性鉴别；(6)建立基于可信计算技术的数字内容使用痕迹的产生和管理方法。本发明从底层硬件到上层软件管理系统，搭建了高可信计算平台，实现了安全、便捷网络多级审批功能。

Description

基于可信计算应用技术的网络多级审批方法及系统

(一)技术领域

本发明涉及一种网络多级审批方法及系统，尤其涉及一种基于可信计算应用技术的多级审批方法及系统。

(二)背景技术

互联网的出现极大程度上改变了人类的生活、学习和工作方式。随着计算机技术和互联网的日益发展完善，基于互联网的应用也相当普遍和多样。运用互联网的便捷性改变人们传统工作模式中的一些不足之处，提高工作效率，优化资源配置，是互联网给人们带来的最大益处之一。

在互联网时代，人们传统工作中的很多模式逐渐暴露出了它天生的一些缺陷，主要表现在效率低下、浪费资源，甚至会在一些情况下造成较大的社会、经济损失。例如，在最近这些年方兴未艾的电子商务、电子政务基于互联网的应用，这些应用的出发点无不是看中了互联网获取信息的便捷性以及无障碍性，可以加快信息的流通，大幅度提高工作效率。然而，在效率有所提高的同时，某些方面的操作却始终停留在传统模式下，最为典型的就是文件的审批程序。

在传统的操作模式中，不管是商业的报表、或是事业单位的文件，往往都需要自下而上逐级进行审批，一旦在某一级出现滞留，事情往往会因此而耽搁一段时间。同时，有审批权限的领导由于出差原因，也不能保证在任何时刻都能够第一时间看到待审批的文件，这无疑对于一些事务而言，尤其是商业上的事务，会产生一些不必要的损失。

为了提高网络应用的安全性，1983年美国国防部推出的“可信计算机系统评价标准”中提出了“可信计算基”的概念。所谓“可信计算基”，是指通过保持最小可信组件集合及对数据的访问权限进行控制来实现系统的安全，中国的国家标准GB 17859-1999“计算机信息系统安全保护级划分准则”也沿用了这一概念。2003年，可信计算平台联盟重组为可信计算工作组(TCG)，发布了包括可信平台模块(TPM，Trusted Platform Module)主规范、TCG软件栈(TSS，TCG Software Stack)规范、PC平台规范在内的多个标准，形成了相对完整的软硬件标准体系。这一系列的标准，为基于网络的审批系统的产生奠定了基础。从基于纸面转化为基于数字的电子媒体形式，在生成、传输、保存、验证和鉴定多方面出现了新的技术需求、问题和困难，其中最重要的就是安全问题。在以往的审批程序中，办理人员通过逐级获取审批方的签名或者印章来证明其真实性，并以此为依据向上继续进行审批。而无纸化办公时，计算机网络中传输的文件为保证能够安全，也需要像纸面签名一样进行加密的数字签名。数字签名是相对于手写签名而言的，应该满足以下要求：(1)收发双方能够确认和证实对方的签名；(2)数字签名无法伪造；(3)下一级签名后提交给上一级后，则无法否认所签消息；(4)加密的审批系统和在线签章系统应能够有效防止不法分子冒充审批人员破坏正常的审批工作。

(三)发明内容

为了克服传统审批模式中效率低下、时间及资源成本高企不足，本发明提供了一种基于可信计算平台的网络多级审批方法，通过合理建立服务器-客户端基于B/S模式的可信网络审批系统，建立一套系统的可信任管理体系，综合利用硬件加密密钥加密方法以及在线签章系统，实现了安全性较高的在线多级审批，同时有效减少了审批程序的时间消耗。

本发明解决其技术问题所采用的技术方案是：

一种基于可信计算的网络多级审批方法，包括以下步骤：

(1)建立符合TCG规范和TCM规范的网络多级审批系统平台，包括服务器和若干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和度量程序，服务器利用可信计算芯片对客户端的硬件进行可信度度量，保证客户端硬件的完整可信；

(2)在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进行审批系统的安全身份认证；

(3)建立网络多级审批电子签章系统，用户在逐级审批过程中，利用输入设备进行签章；签章采用手写输入的签名或预设的图章，最终被保存为签章图片嵌入待审批文件的相应区域；

(4)对生成的签章图片，嵌入数字水印进行防伪；

(5)提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名进行笔迹识别，保证签章的真实性；

(6)对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕迹作为数字版权和版本信息。

进一步，所述的步骤(1)中：客户机与服务器通过B/S模式建立连接，在客户机进行审批操作时，调用的服务和文件资源全部来自于服务器，对数据的读取、处理和保存都在服务器上进行操作，并经过服务器端软件的监控和度量，保证客户端操作信息的完整可信。

进一步，所述的步骤(2)中：

所述可信密钥授权管理体系包括授权数据管理模块、授权数据列表存储模块以及密钥存储模块，其中，授权数据管理模块用于授权数据的管理和授权数据的认证，授权数据列表存储模块用于存储授权数据列表，密钥存储模块包括密钥标识存储模块和密钥相关信息存储模块，授权数据列表存储模块和密钥存储模块分别与授权数据管理模块连接；

所述安全身份认证具体步骤如下：

(2.1)服务器端初始化，由管理员预置有审批权的合法用户的相关信息；对应的用户在首次进入在线审批平台，需要插入USB密码钥匙盘，并填写相关的用户信息进行注册登记，进行密钥初始化；USB密码钥匙盘拥有世界唯一的序列号，内置快速存储器和加密处理机制，内置MD5哈希算法和随机查询数生成器，内含安全文件系统，预置密钥或存入数字证书各类身份认证信息，进行硬件级签名运算，确保数据不可能复制性；

授权数据管理模块接受密钥调用请求，根据请求信息获得密钥标识；

查询授权数据列表存储模块判断所述密钥调用请求信息是否包含该密钥标识对应的授权数据，并对合法用户分配固定的密钥，按照实际需求对授权数据列表信息进行修改；

(2.2)客户机连接服务器进行审批工作，具有审批资格用户通过插入USB硬件式密码钥匙盘登录系统，客户机向服务器发出登录请求，服务器则通过用户名便可从数据库中取出相应用户的密钥，并向客户机发送一个随机字符串X，该随机串送入客户机的密码钥匙盘中进行计算；

(2.3)服务器则根据用户名取出对应的密钥，并利用发送给客户机的随机串X在服务器上用加密引擎进行运算，得到运算结果Rh；客户机将此随机串X传入密码钥匙盘，密码钥匙盘利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果Rc；客户机将此运算结果直接在网络中发送给服务器，服务器比较两运算结果Rh与Rc，若相同，则确定该用户为合法用户。

进一步，所述的步骤(3)具体包括：

(3.1)具有审批权限的用户通过中间件技术，打开在远程服务器端的待审批文件，确认文件内容后，在相应位置进行在线电子签章；

(3.2)多级审批中，当第一级的签章确定后，待审批文件就被定义为“受保护”的安全级，此时无论是修改第一级签章或是继续下一级审批签章，都必须通过密码钥匙盘和用户口令进行操作；没有权限的情况下，对审批文件的任何操作，包括非法的复制和移动，已签审的签章将会自动失效；

(3.3)审批人员进行电子签章、修改签章、删除签章操作时，需要进行插入USB密码钥匙，并进行用户口令验证；经过签署的审批文档，会根据密码钥匙盘中的用户信息以及操作信息，将审批单位、审批人员以及审批时间信息自动加入文档信息中，并在文档信息中生成密钥序列以备校验；

(3.4)每一级的审批签章或手写，或将已生成的图片导入审批文档中，最终以图片格式显示在相应的签审区域。

进一步，所述的步骤(4)中具体包括：

(4.1)设原签章图像为A，矩阵A的行和列分别为M和N，将A由RGB空间转为YCbCr空间，并调整M和N，使其均为8的倍数，调整的方法如下：

M′＝M+[8-(M mod8)]    (1)

N′＝N+[8-(N mod8)]    (2)

调整图像大小后增加的图像区域令其灰度值为0；

(4.2)将A分成互不重叠的8×8的小块，记每一块为A_ij＝f_ij(x，y)，各参数取值如下：i＝1，2，…，p，j＝1，2，…，q，1≤x，y≤8，奇异值分解式为：

A_ij＝U_ijS_ijV_ij ^T    (3)

其中，U＝[u₁，u₂，…，u_n]∈R^m×m，V＝[v₁，v₂，…，v_n]∈R^n×n，S＝U^TAV；

(4.3)设各块最大的奇异值为σ_ij，则每块的最大奇异值构成一个新矩阵C，即：

再对其进行奇异值分解，

C＝USV^T    (5)；

(4.4)水印W∈R^m×n被叠加到矩阵S上，对产生的新的矩阵S+aW进行奇异值分解，其中常数a＞0用于调节水印的嵌入强度，分解式为：

$S+\mathrm{aW}=U_1{S}_1{V}_1^T---\left(6\right);$

其中，水印W可以是文字或图片，但需要进行统一化处理：如果水印为图像，直接当作二维矩阵处理；如果水印为文本字符串，按照ASCII码映射为一维向量，进而转换为二维矩阵；

(4.5)嵌入水印后的图像为

，其形成步骤如下：

$\tilde{C}\⇐{\mathrm{US}}_1{V}^T---\left(7\right)$

${\tilde{B}}_{\mathrm{ij}}\⇐U_{\mathrm{ij}}{\tilde{S}}_{\mathrm{ij}}{V_{\mathrm{ij}}}^T$

(8)

$\tilde{A}\⇐{\tilde{B}}_{\mathrm{ij}}---\left(9\right)$

最后调整矩阵

的大小为M×N，将多余的图像区域剪切掉，即得到加水印后的图像，转换图像为RGB色彩空间。

进一步，所述的步骤(5)具体包括：

(5.1)系统在进行认证前，采集每个用户一定数量的签名笔迹信息作为认证的样本，获取手写板签名时的二维坐标、压力级数和采样时间参数；

(5.2)在用户通过手写板输入样本签名或验证签名时，系统对签名采样信号进行预处理，预处理包括起笔处理、虚假抬笔剔除、平滑和归一化步骤；

(5.3)从样本签名中提取签名的形状特征、伪动态特征和时序特征共计19项作为笔迹鉴别的标准：

(5.3.1)形状特征包括全局几何特征及局部几何特征，全局几何特征包括共5项：签名的高宽比、高度与紧凑宽度之比、水平及垂直方向相对重心、水平及垂直方向上的笔划密度特征、签名轮廓倾斜方向向量特征；局部几何特征包括共7项：连通片数(即互相连结在一起的笔划)、网孔数(即由笔划围成的闭合空白区域)、一度顶点(即笔划端点)、多度顶点(由相交笔划形成的三叉点，四叉点，五叉点)、细化后水平和垂直方向上的相对重心、签名骨架占签名部分的比例、方向笔划数；以上特征均具有大小、平移不变性；

(5.3.2)伪动态特征包括共4项：签名的高灰度特征、签名骨架方向灰度特征、灰度级分布直方图、笔划宽度分布直方图；

(5.3.3)时序特征包括签名过程中笔尖运动的书写方向角θ(t)、速率V(t)和角速度V_a(t)共3项，计算公式如下：

θ(t)＝tan^-1(V_y(t)/V_x(t))    (10)

$V\left(t\right)=\sqrt{V_x{\left(t\right)}^2+V_y{\left(t\right)}^2}---\left(11\right)$

$V_{\mathrm{\α}}\left(t\right)=\widetilde{\mathrm{\θ}}\left(t\right)(A_y\left(t\right)\·V_x\left(t\right)-V_y\left(t\right)\·A_x\left(t\right))/(V_x{\left(t\right)}^2+V_y{\left(t\right)}^2)---\left(12\right)$

其中，V_x(t)和V_y(t)是签名过程中笔尖运动在直角坐标系X、Y轴方向上的速度分量；A_x(t)和A_y(t)分别为X、Y轴方向上的加速度分量；

(5.4)设计BP神经网络进行笔迹鉴别，其中，神经网络输入节点数目即为所提取的签名笔迹特征数量19；隐含层神经元取8，输出层的神经元1个，输出期望值为1或0，分别对应签名真伪的二分类；隐层神经元的输出响应函数采用S型函数 $f\left(x\right)=\frac{1}{1+e^{-x}};$

(5.5)对一定数量的样本签名进行训练，包含同一类别的真实签名和伪造签名，强化神经网络对同一类别真伪签名的特征向量的敏感度；识别训练集由本类别的真实签名与随机挑选的其他类别真实签名按一定比例构成，学习不同类别之间的差异，使神经网络更好地进行分类。

上述的连通片数即为互相连结在一起的笔划，网孔数即为由笔划围成的闭合空白区域，一度顶点即为笔划端点、多度顶点即为由相交笔划形成的三叉点，四叉点，五叉点；以上提取的特征均具有大小、平移不变性；

进一步，所述的步骤(6)具体包括：

(6.1)待审批文件包含有权限信息的数字内容，拥有审批权限的用户通过身份验证后获取这些内容，得到对其内容进行加密的密钥，并产生一个与所获取内容相匹配的初始使用痕迹，将所述密钥进行存储，用该密钥对所数字内容进行加密，形成并存储一个内容/密钥地址；

(6.2)用户提交请求进行内容读取，系统验证用户对于该内容所拥有的使用权限信息以及使用内容的完整性；仅当信息不存在任何缺陷，且用户权限符合条件时，系统根据用户所进行操作动作和对象读取数字内容对应的内容/密钥地址；

(6.3)根据内容/密钥地址寻找已加密的待审批文件内容以及密钥的存储地址，根据地址分别读取内容及密钥，并记录该密钥使用次数及时间信息；

(6.4)根据密钥对经过加密的数字信息进行解密、使用及处理，记录该内容使用的时间、操作类型和用户信息，形成数字内容的使用痕迹。

一种实现所述方法的网络多级审批系统，包括：

(1)网络多级审批系统平台，包括服务器和若干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和度量程序，服务器利用可信计算芯片对客户端的硬件进行可信度度量，保证客户端硬件的完整可信；

(2)可信密钥授权管理模块，用于在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进行审批系统的安全身份认证；

(3)网络多级审批电子签章模块，用于用户在逐级审批过程中，利用输入设备进行签章；

(4)签单防伪模块：用于对生成的签章图片，嵌入数字水印进行防伪；

(5)签名识别模块：用于提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名进行笔迹识别，保证签章的真实性；

(6)使用痕迹记录模块：用于对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕迹作为数字版权和版本信息。

本发明的有益效果主要表现在：

1、从底层硬件到上层软件管理系统，搭建了高可信计算平台；

2、密钥授权和管理机制，结合USB硬件式密码钥匙盘进行身份认证，有效防止非法用户进行操作；

3、结合数字水印和签名识别认证的审批签章系统，保证审批信息的真实性；

4、对于待审批文件的阅读、修改和批阅各种操作，都与系统进行密钥通信和痕迹记录，保证安全的同时，记录的各项痕迹可作为备案信息待查。

(四)附图说明

图1是本发明网络多级审批系统平台的架构示意图。

图2是本发明可信密钥授权管理体系的结构示意图。

图3是本发明网络多级审批电子签章系统框图。

图4是实施例中数字水印嵌入算法框图。

图5是在线签章防伪认证结构框图。

图6是本发明网络多级审批逻辑判断示意图。

图7是网络多级审批系统流程图。

(五)具体实施方式

下面结合附图对本发明作进一步描述，但本发明的保护范围并不限于此。

参照图1～图6，一种基于可信计算的网络多级审批方法，包括以下步骤：

(1)建立符合TCG规范和TCM规范的网络多级审批系统平台，包括服务器和若干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和度量程序，服务器利用可信计算芯片对客户端的硬件进行可信度度量，保证客户端硬件的完整可信；

(2)在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进行审批系统的安全身份认证；

(3)建立网络多级审批电子签章系统，用户在逐级审批过程中，利用输入设备进行签章；签章采用手写输入的签名或预设的图章，最终被保存为签章图片嵌入待审批文件的相应区域；

(4)对生成的签章图片，嵌入数字水印进行防伪；

(5)提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名进行笔迹识别，保证签章的真实性；

(6)对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕迹作为数字版权和版本信息。

所述的步骤(1)中：客户机与服务器通过B/S模式建立连接，在客户机进行审批操作时，调用的服务和文件资源全部来自于服务器，对数据的读取、处理和保存都在服务器上进行操作，并经过服务器端软件的监控和度量，保证客户端操作信息的完整可信。

所述的步骤(2)中：所述可信密钥授权管理体系包括授权数据管理模块、授权数据列表存储模块以及密钥存储模块，其中，授权数据管理模块用于授权数据的管理和授权数据的认证，授权数据列表存储模块用于存储授权数据列表，密钥存储模块包括密钥标识存储模块和密钥相关信息存储模块，授权数据列表存储模块和密钥存储模块分别与授权数据管理模块连接；

所述安全身份认证具体步骤如下：

(2.1)服务器端初始化，由管理员预置有审批权的合法用户的相关信息；对应的用户在首次进入在线审批平台，需要插入USB密码钥匙盘，并填写相关的用户信息进行注册登记，进行密钥初始化；USB密码钥匙盘拥有世界唯一的序列号，内置快速存储器和加密处理机制，内置MD5哈希算法和随机查询数生成器，内含安全文件系统，预置密钥或存入数字证书各类身份认证信息，进行硬件级签名运算，确保数据不可能复制性；

授权数据管理模块接受密钥调用请求，根据请求信息获得密钥标识；

查询授权数据列表存储模块判断所述密钥调用请求信息是否包含该密钥标识对应的授权数据，并对合法用户分配固定的密钥，按照实际需求对授权数据列表信息进行修改；

(2.2)客户机连接服务器进行审批工作，具有审批资格用户通过插入USB硬件式密码钥匙盘登录系统，客户机向服务器发出登录请求，服务器则通过用户名便可从数据库中取出相应用户的密钥，并向客户机发送一个随机字符串X，该随机串送入客户机的密码钥匙盘中进行计算；

(2.3)服务器则根据用户名取出对应的密钥，并利用发送给客户机的随机串X在服务器上用加密引擎进行运算，得到运算结果Rh；客户机将此随机串X传入密码钥匙盘，密码钥匙盘利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果Rc；客户机将此运算结果直接在网络中发送给服务器，服务器比较两运算结果Rh与Rc，若相同，则确定该用户为合法用户。

所述的步骤(3)具体包括：

(3.1)具有审批权限的用户通过中间件技术，打开在远程服务器端的待审批文件，确认文件内容后，在相应位置进行在线电子签章；

(3.2)多级审批中，当第一级的签章确定后，待审批文件就被定义为“受保护”的安全级，此时无论是修改第一级签章或是继续下一级审批签章，都必须通过密码钥匙盘和用户口令进行操作；没有权限的情况下，对审批文件的任何操作，包括非法的复制和移动，已签审的签章将会自动失效；

(3.3)审批人员进行电子签章、修改签章、删除签章操作时，需要进行插入USB密码钥匙，并进行用户口令验证；经过签署的审批文档，会根据密码钥匙盘中的用户信息以及操作信息，将审批单位、审批人员以及审批时间信息自动加入文档信息中，并在文档信息中生成密钥序列以备校验；

(3.4)每一级的审批签章或手写，或将已生成的图片导入审批文档中，最终以图片格式显示在相应的签审区域。

所述的步骤(4)中具体包括：

(4.1)设原签章图像为A，矩阵A的行和列分别为M和N，将A由RGB空间转为YCbCr空间，并调整M和N，使其均为8的倍数，调整的方法如下：

M′＝M+[8-(M mod8)]    (1)

N′＝N+[8-(N mod8)]    (2)

调整图像大小后增加的图像区域令其灰度值为0；

(4.2)将A分成互不重叠的8×8的小块，记每一块为A_ij＝f_ij(x，y)，各参数取值如下：i＝1，2，…，p，j＝1，2，…，q，1≤x，y≤8，奇异值分解式为：

A_ij＝U_ijS_ijV_ij ^T    (3)

其中，U＝[u₁，u₂，…，u_n]∈R^m×m，V＝[v₁，v₂，…，v_n]∈R^n×n，S＝U^TAV；

(4.3)设各块最大的奇异值为σ_ij，则每块的最大奇异值构成一个新矩阵C，即：

再对其进行奇异值分解，

C＝USV^T    (5)；

(4.4)水印W∈R^m×n被叠加到矩阵S上，对产生的新的矩阵S+aW进行奇异值分解，其中常数a＞0用于调节水印的嵌入强度，分解式为：

$S+\mathrm{aW}=U_1{S}_1{V}_1^T---\left(6\right);$

其中，水印W可以是文字或图片，但需要进行统一化处理：如果水印为图像，直接当作二维矩阵处理；如果水印为文本字符串，按照ASCII码映射为一维向量，进而转换为二维矩阵；

(4.5)嵌入水印后的图像为

，其形成步骤如下：

$\tilde{C}\⇐{\mathrm{US}}_1{V}^T---\left(7\right)$

${\tilde{B}}_{\mathrm{ij}}\⇐U_{\mathrm{ij}}{\tilde{S}}_{\mathrm{ij}}{V_{\mathrm{ij}}}^T$

(8)

$\tilde{A}\⇐{\tilde{B}}_{\mathrm{ij}}---\left(9\right)$

最后调整矩阵

的大小为M×N，将多余的图像区域剪切掉，即得到加水印后的图像，转换图像为RGB色彩空间。

所述的步骤(5)具体包括：

(5.1)系统在进行认证前，采集每个用户一定数量的签名笔迹信息作为认证的样本，获取手写板签名时的二维坐标、压力级数和采样时间参数；

(5.2)在用户通过手写板输入样本签名或验证签名时，系统对签名采样信号进行预处理，预处理包括起笔处理、虚假抬笔剔除、平滑和归一化步骤；

(5.3)从样本签名中提取签名的形状特征、伪动态特征和时序特征共计19项作为笔迹鉴别的标准。

(5.3.1)形状特征包括全局几何特征及局部几何特征，提取如下全局几何特征：签名的高宽比、高度与紧凑宽度之比、水平及垂直方向相对重心、水平及垂直方向上的笔划密度特征、签名轮廓倾斜方向向量特征共5项；提取如下局部几何特征：连通片数(即互相连结在一起的笔划)、网孔数(即由笔划围成的闭合空白区域)、一度顶点(即笔划端点)、多度顶点(由相交笔划形成的三叉点，四叉点，五叉点)、细化后水平和垂直方向上的相对重心、签名骨架占签名部分的比例、方向笔划数共7项。以上特征均具有大小、平移不变性；

(5.3.2)提取4项伪动态特征：签名的高灰度特征、签名骨架方向灰度特征、灰度级分布直方图、笔划宽度分布直方图；

(5.3.3)时序特征包括签名过程中笔尖运动的书写方向角θ(t)、速率V(t)和角速度V_a(t)共3项，计算公式如下：

θ(t)＝tan^-1(V_y(t)/V_x(t))    (10)

$V\left(t\right)=\sqrt{V_x{\left(t\right)}^2+V_y{\left(t\right)}^2}---\left(11\right)$

$V_{\mathrm{\α}}\left(t\right)=\widetilde{\mathrm{\θ}}\left(t\right)(A_y\left(t\right)\·V_x\left(t\right)-V_y\left(t\right)\·A_x\left(t\right))/(V_x{\left(t\right)}^2+V_y{\left(t\right)}^2)---\left(12\right)$

其中，V_x(t)和V_y(t)是签名过程中笔尖运动在直角坐标系X、Y轴方向上的速度分量；A_x(t)和A_y(t)分别为X、Y轴方向上的加速度分量；

(5.4)设计BP神经网络进行笔迹鉴别。其中，神经网络输入节点数目即为所提取的签名笔迹特征数量，本方法中为19；隐含层神经元取8；输出层的神经元1个，输出期望值为1或0，分别对应签名真伪的二分类；隐层神经元的输出响应函数采用S型函数 $f\left(x\right)=\frac{1}{1+e^{-x}};$

(5.5)对一定数量的样本签名进行训练，包含同一类别的真实签名和伪造签名，强化神经网络对同一类别真伪签名的特征向量的敏感度；识别训练集由本类别的真实签名与随机挑选的其他类别真实签名按一定比例构成，学习不同类别之间的差异，使神经网络更好地进行分类。

所述的步骤(6)具体包括：

(6.1)待审批文件包含有权限信息的数字内容，拥有审批权限的用户通过身份验证后获取这些内容，得到对其内容进行加密的密钥，并产生一个与所获取内容相匹配的初始使用痕迹，将所述密钥进行存储，用该密钥对所数字内容进行加密，形成并存储一个内容/密钥地址；

(6.2)用户提交请求进行内容读取，系统验证用户对于该内容所拥有的使用权限信息以及使用内容的完整性；仅当信息不存在任何缺陷，且用户权限符合条件时，系统根据用户所进行操作动作和对象读取数字内容对应的内容/密钥地址；

(6.3)根据内容/密钥地址寻找已加密的待审批文件内容以及密钥的存储地址，根据地址分别读取内容及密钥，并记录该密钥使用次数及时间信息；

(6.4)根据密钥对经过加密的数字信息进行解密、使用及处理，记录该内容使用的时间、操作类型和用户信息，形成数字内容的使用痕迹。

如图1所示，可信网络系统的架构主要由服务器和若干客户机组成，服务器配备可信计算芯片，安装可信多任务操作系统，运行监控和度量程序；客户机运用USB插入式安全芯片，采用类似无盘工作站的方式进行工作，所有的关于审批方面的应用程序和操作数据都来源于服务器。

当客户机需要读取和保存文件时，向服务器发起请求，服务器将启动监控和度量程序，对客户端进行监控。如果是读取文件，进入完整性度量，否则对客户端进行监控，主要针对保存文件的行为，包括是否试图篡改关键文件。对客户端系统的文件存取进行监控和度量，度量的方法遵循TCG规范或者TCM规范，依赖于安全芯片，能够有效防止非法用户恶意破坏。

参照图2，可信密钥授权管理体系包括：可信平台模块、授权数据管理模块、授权数据列表存储模块以及密钥存储模块。使用本密钥授权管理系统，用户只需要产生和管理一个口令，即可管理大量的外部实体，口令的减少使得用户可以避免使用弱口令。本管理系统采用了独立于可信计算平台的授权数据列表存储模块存储授权数据，将密钥和授权数据分开存储，每次使用密钥都需要从授权数据列表中查找当前密钥标识对应的授权数据，所以，当授权数据更改后，旧授权数据不再与该密钥标识对应，验证无法通过，解决了TCG方案中密钥授权数据更新的同步问题。

密钥的授权数据可以由手工输入的一个口令经过HASH运算后得到，为了提高安全性，可以是一段熵值更高的二进制数据，并存放在USB外接设备之类的介质中。

本实施例中，密钥和使用该数字内容所需权限的信息组成数字内容的头文件，与该数字内容一起经加密后存储。初始使用痕迹用于对用户所使用的数字内容浏览系统所获得的数字内容进行初始化标记，可以记载该内容的来源、使用权限、权限所有人、使用环境、使用时间长度、使用时间、内容使用次数信息。

图3是网络多级电子签章系统的框图。在多级审批系统里面加入在线电子签章功能，是考虑到文件的分级审批，上一级审批前都需要首先经过下一级的审批，因此考虑到审批系统的便捷性和实用性，加入在线签章功能，使得具有审批权限的用户能够随时随地第一时间进行审批并进行签字或盖章。其中，签字可以通过手写笔或是其他输入设备进行输入，盖章可以使用预先制作好的专用图章。不管使用何种形式，系统都自动将签名或是盖章导入到待审批文档的对应部位，并以图片的形式嵌入其中。在线电子签章的目的主要是为上一级的审批提供一个审批前提。

网络电子签章系统的安全性是最为重要的问题，因此拥有审批权限的用户，必须通过系统自带的USB式密码钥匙盘，内置了加密算法、个人信息、密钥、签章信息各种内容，只有插入密码钥匙盘，系统按照加密算法通过身份认证，发能进入审批系统。在用户仔细阅读了待审批文件之后，要进行签章时，还需要输入一个用户口令方能进行相应的操作，进一步保证安全性。同时，需要额外说明的是，已经经过了签章的文件，如果合法的用户发现存在问题，需要删除或是修改已有的签章，任何的改动都需要通过口令验证发能操作。

网络电子签章系统的另一项安全措施是进行文件安全性验证。在文件经过某一个用户的审批签章之后，系统会将用户所在单位、姓名、签章时间、计算机IP地址各种信息嵌入到文件信息内，并会按照加密算法生成一个密钥序列，以便随时进行真实性校验。所有的这些信息都是预先置于密码钥匙盘中的，其中的内容对于不同的审批人员都是不一样的。同时，若已经过签章的“受保护”文件遭到了恶意篡改，比如说破坏、复制或是移动签章，都是不被允许的，此时签章会自动失效，使得审批文件也失效，并会在系统的使用痕迹中进行准确记录。

本实施例中，在线签章最终都保存为图片格式嵌入在待审批文件的相应位置，为了保证签章的真实性，对产生的签章图片进行数字水印嵌入防伪。数字水印是指向多媒体数据(如图像、声音、视频)中添加某些数字信息以达到文件真伪鉴别、版权保护功能。嵌入的水印信息隐藏于宿主文件中，不影响原始文件的可视性和完整性，只有通过专用的检测器才能提取。水印信息可以是公司标志、作者的序列号、有特殊意义的文本，可以判别对象是否受到保护、监视被保护数据的传播、真伪鉴别和非法拷贝、解决版权纠纷并为法庭提供证据。一个好的水印算法应该满足人眼的不可察觉性以及在各种破坏下的鲁棒性。

本实施例中的水印算法是一种改进的基于分块奇异值分解思想的水印嵌入方法，主要步骤包括原始图像预处理、分块、奇异值分解、水印嵌入，具体嵌入算法如图4所示。

数字水印本身并不能阻止盗版活动的发生，它只能在签章中加入肉眼不可见的防伪信息，通过一定的工具提取出来，以备随时可以查验签章的真实性。为了弥补水印被动防伪的不足，本发明中在服务器端对所有的签名进行笔迹比对校验，保证安全。笔迹比对的方法如图5所示。

笔迹比对属于模式识别的范畴，与其他的识别方法类似，主要思想是将样本签名与待识别的签名利用一定的分类器进行特征比对，若特征相似度达到一定的阈值，则可以判断待识别签名是真实的本人签名。在本实施例中，在线多级审批系统中的有审批权限的用户是相对固定且明确的。在确定了审批用户之后，在这些用户在注册使用系统时，便需要向系统管理员提供一定数量的签名样本，作为系统进行识别的参考样本。

笔迹识别中最关键的一个问题是笔迹特征的提取，包括形状特征、伪动态特征和时序特征。在本实施例中，选取了其中的19个特征作为判别特征。按照以上分析进行BP神经网络的设计，输入神经元19个，隐层神经元8个，输出神经元1个，对应判断签名的真实与否。

设计神经网络之后，需要对其进行训练。本实施例中，训练集由两部分构成：认证训练集包含同一类别的真实签名和伪造签名，强化神经网络对同一类别真伪签名的特征向量的敏感度；识别训练集由本类别的真实签名与随机挑选的其他类别真实签名按一定比例构成，学习不同类别之间的差异，使分类器更好进行分类。神经网络的在经过一定的训练后，在识别效果稳定后即可进行实际识别应用。

参照图6，通过身份验证的用户，可以根据自己的权限对待审批文件进行某一级别的在线审批工作，与服务器的数据交流都是经过加密程序的。同时，用户的每一步操作，都会自动记录下使用痕迹。

图7是本系统的流程图。文件撰写者经过身份认证后，选择公文模板，通过浏览器调用文档在线处理中间件，进行在线编辑公文。编辑结束后，正式提交给相关领导进行审批签章。领导进入系统后，同样通过文档在线处理中间件调阅出该文件进行审批。若审核通过，则进行在线电子签章；审核通不过，则可选择将文件退回到下一级重新审批或直接退回给本人。在电子签章前，需要插入唯一的密码钥匙盘进行身份认证，若系统检测不到钥匙盘或是非法钥匙盘，则无权签章。文件就以这种方式被执行逐级审批，可最终到达最上级领导审批签章。

本发明从底层硬件到上层软件管理系统，运用可信计算技术，搭建了高可信计算平台，结合密钥授权和管理机制和数字文件痕迹产生方法，使用USB硬件式密钥身份认证，结合数字证书技术，支持在线签章，有效防止非法用户冒充操作，实现了便捷的网络多级审批功能。

Claims (8)

1、一种基于可信计算应用技术的网络多级审批方法，其特征在于包括以下步骤：

(1)建立符合TCG规范和TCM规范的网络多级审批系统平台，包括服务器和若干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和度量程序，服务器利用可信计算芯片对客户端的硬件进行可信度度量，保证客户端硬件的完整可信；

(2)在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进行审批系统的安全身份认证；

(3)建立网络多级审批电子签章系统，用户在逐级审批过程中，利用输入设备进行签章；签章采用手写输入的签名或预设的图章，最终被保存为签章图片嵌入待审批文件的相应区域；

(4)对生成的签章图片，嵌入数字水印进行防伪；

(5)提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名进行笔迹识别，保证签章的真实性；

(6)对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕迹作为数字版权和版本信息。

2、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(1)中：客户机与服务器通过B/S模式建立连接，在客户机进行审批操作时，调用的服务和文件资源全部来自于服务器，对数据的读取、处理和保存都在服务器上进行操作，并经过服务器端软件的监控和度量，保证客户端操作信息的完整可信。

3、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(2)中：

所述可信密钥授权管理体系包括授权数据管理模块、授权数据列表存储模块以及密钥存储模块，其中，授权数据管理模块用于授权数据的管理和授权数据的认证，授权数据列表存储模块用于存储授权数据列表，密钥存储模块包括密钥标识存储模块和密钥相关信息存储模块，授权数据列表存储模块和密钥存储模块分别与授权数据管理模块连接；

所述安全身份认证具体步骤如下：

(2.1)服务器端初始化，由管理员预置有审批权的合法用户的相关信息；对应的用户在首次进入在线审批平台，需要插入USB密码钥匙盘，并填写相关的用户信息进行注册登记，进行密钥初始化；USB密码钥匙盘拥有世界唯一的序列号，内置快速存储器和加密处理机制，内置MD5哈希算法和随机查询数生成器，内含安全文件系统，预置密钥或存入数字证书各类身份认证信息，进行硬件级签名运算，确保数据不可能复制性；

授权数据管理模块接受密钥调用请求，根据请求信息获得密钥标识；

查询授权数据列表存储模块判断所述密钥调用请求信息是否包含该密钥标识对应的授权数据，并对合法用户分配固定的密钥，按照实际需求对授权数据列表信息进行修改；

(2.2)客户机连接服务器进行审批工作，具有审批资格用户通过插入USB硬件式密码钥匙盘登录系统，客户机向服务器发出登录请求，服务器则通过用户名便可从数据库中取出相应用户的密钥，并向客户机发送一个随机字符串X，该随机串送入客户机的密码钥匙盘中进行计算；

(2.3)服务器则根据用户名取出对应的密钥，并利用发送给客户机的随机串X在服务器上用加密引擎进行运算，得到运算结果Rh；客户机将此随机串X传入密码钥匙盘，密码钥匙盘利用此串与内置在其中的密钥文件通过硬件加密引擎进行运算，也得到一个运算结果Rc；客户机将此运算结果直接在网络中发送给服务器，服务器比较两运算结果Rh与Rc，若相同，则确定该用户为合法用户。

4、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(3)具体包括：

(3.1)具有审批权限的用户通过中间件技术，打开在远程服务器端的待审批文件，确认文件内容后，在相应位置进行在线电子签章；

(3.2)多级审批中，当第一级的签章确定后，待审批文件就被定义为“受保护”的安全级，此时无论是修改第一级签章或是继续下一级审批签章，都必须通过密码钥匙盘和用户口令进行操作；没有权限的情况下，对审批文件的任何操作，包括非法的复制和移动，已签审的签章将会自动失效；

(3.3)审批人员进行电子签章、修改签章、删除签章操作时，需要进行插入USB密码钥匙，并进行用户口令验证；经过签署的审批文档，会根据密码钥匙盘中的用户信息以及操作信息，将审批单位、审批人员以及审批时间信息自动加入文档信息中，并在文档信息中生成密钥序列以备校验；

(3.4)每一级的审批签章或手写，或将已生成的图片导入审批文档中，最终以图片格式显示在相应的签审区域。

5、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(4)中具体包括：

(4.1)设原签章图像为A，矩阵A的行和列分别为M和N，将A由RGB空间转为YCbCr空间，并调整M和N，使其均为8的倍数，调整的方法如下：

M′＝M+[8-(M mod 8)]                                  (1)

N′＝N+[8-(N mod 8)]                                   (2)

调整图像大小后增加的图像区域令其灰度值为0；

(4.2)将A分成互不重叠的8×8的小块，记每一块为A_ij＝f_ij(x，y)，各参数取值如下：i＝1，2，…，p，j＝1，2，…，q，1≤x，y≤8，奇异值分解式为：

$A_{\mathrm{ij}}=U_{\mathrm{ij}}{S}_{\mathrm{ij}}{V}_{\mathrm{ij}}^T---\left(3\right)$

其中，U＝[u₁，u₂，…，u_n]∈R^m×m，V＝[v₁，v₂，…，v_n]∈R^n×n，S＝U^TAV；

(4.3)设各块最大的奇异值为σ_ij，则每块的最大奇异值构成一个新矩阵C，即：                      

再对其进行奇异值分解，

C＝USV^T    (5)；

(4.4)水印W∈R^m×n被叠加到矩阵S上，对产生的新的矩阵S+aW进行奇异值分解，其中常数a＞0用于调节水印的嵌入强度，分解式为：

$S+\mathrm{aW}=U_1{S}_1{V}_1^T---\left(6\right);$

其中，水印W可以是文字或图片，但需要进行统一化处理：如果水印为图像，直接当作二维矩阵处理；如果水印为文本字符串，按照ASCII码映射为一维向量，进而转换为二维矩阵；

(4.5)嵌入水印后的图像为其形成步骤如下：

$\tilde{C}\⇐{\mathrm{US}}_1{V}^T---\left(7\right)$

${\tilde{B}}_{\mathrm{ij}}\⇐U_{\mathrm{ij}}{\tilde{S}}_{\mathrm{ij}}{V}_{\mathrm{ij}}^T$

(8)

$\tilde{A}\⇐{\tilde{B}}_{\mathrm{ij}}---\left(9\right)$

最后调整矩阵的大小为M×N，将多余的图像区域剪切掉，即得到加水印后的图像，转换图像为RGB色彩空间。

6、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(5)具体包括：

(5.1)系统在进行认证前，采集每个用户一定数量的签名笔迹信息作为认证的样本，获取手写板签名时的二维坐标、压力级数和采样时间参数；

(5.2)在用户通过手写板输入样本签名或验证签名时，系统对签名采样信号进行预处理，预处理包括起笔处理、虚假抬笔剔除、平滑和归一化步骤；

(5.3)从样本签名中提取签名的形状特征、伪动态特征和时序特征共计19项作为笔迹鉴别的标准：

(5.3.1)形状特征包括全局几何特征及局部几何特征，全局几何特征包括共5项：签名的高宽比、高度与紧凑宽度之比、水平及垂直方向相对重心、水平及垂直方向上的笔划密度特征、签名轮廓倾斜方向向量特征；局部几何特征包括共7项：连通片数、网孔数、一度顶点、多度顶点、细化后水平和垂直方向上的相对重心、签名骨架占签名部分的比例、方向笔划数；

(5.3.2)伪动态特征包括共4项：签名的高灰度特征、签名骨架方向灰度特征、灰度级分布直方图、笔划宽度分布直方图；

(5.3.3)时序特征包括签名过程中笔尖运动的书写方向角θ(t)、速率V(t)和角速度V_α(t)共3项，计算公式如下：

θ(t)＝tan^-1(V_y(t)/V_x(t))    (10)

$V\left(t\right)=\sqrt{V_x{\left(t\right)}^2+V_y{\left(t\right)}^2}---\left(11\right)$

$V_{\mathrm{\α}}\left(t\right)=\widetilde{\mathrm{\θ}}\left(t\right)(A_y\left(t\right)\·V_x\left(t\right)-V_y\left(t\right)\·A_x\left(t\right))/(V_x{\left(t\right)}^2+V_y{\left(t\right)}^2)---\left(12\right)$

其中，V_x(t)和V_y(t)是签名过程中笔尖运动在直角坐标系X，Y轴方向上的速度分量；A_x(t)和A_y(t)分别为X、Y轴方向上的加速度分量；

(5.4)设计BP神经网络进行笔迹鉴别，其中，神经网络输入节点数目即为所提取的签名笔迹特征数量19；隐含层神经元取8，输出层的神经元1个，输出期望值为1或0，分别对应签名真伪的二分类；隐层神经元的输出响应函数采用S型函数 $f\left(x\right)=\frac{1}{1+e^{-x}};$

(5.5)对一定数量的样本签名进行训练，包含同一类别的真实签名和伪造签名，强化神经网络对同一类别真伪签名的特征向量的敏感度；识别训练集由本类别的真实签名与随机挑选的其他类别真实签名按一定比例构成，学习不同类别之间的差异，使神经网络更好地进行分类。

7、如权利要求1所述的基于可信计算应用技术的网络多级审批方法，其特征在于：所述的步骤(6)具体包括：

(6.1)待审批文件包含有权限信息的数字内容，拥有审批权限的用户通过身份验证后获取这些内容，得到对其内容进行加密的密钥，并产生一个与所获取内容相匹配的初始使用痕迹，将所述密钥进行存储，用该密钥对所数字内容进行加密，形成并存储一个内容/密钥地址；

(6.2)用户提交请求进行内容读取，系统验证用户对于该内容所拥有的使用权限信息以及使用内容的完整性；仅当信息不存在任何缺陷，且用户权限符合条件时，系统根据用户所进行操作动作和对象读取数字内容对应的内容/密钥地址；

(6.3)根据内容/密钥地址寻找已加密的待审批文件内容以及密钥的存储地址，根据地址分别读取内容及密钥，并记录该密钥使用次数及时间信息；

(6.4)根据密钥对经过加密的数字信息进行解密、使用及处理，记录该内容使用的时间、操作类型和用户信息，形成数字内容的使用痕迹。

8、一种实现权利要求1所述方法的网络多级审批系统，其特征在于：所述网络多级审批系统包括：

(1)网络多级审批系统平台，包括服务器和若干客户机，各服务器和客户机均配备TPM可信计算芯片，安装可信多任务操作系统，运行监控和度量程序，服务器利用可信计算芯片对客户端的硬件进行可信度度量，保证客户端硬件的完整可信；

(2)可信密钥授权管理模块，用于在服务器端建立可信密钥授权管理体系，客户机端采用USB硬件式密码钥匙盘进行审批系统的安全身份认证；

(3)网络多级审批电子签章模块，用于用户在逐级审批过程中，利用输入设备进行签章；

(4)签单防伪模块：用于对生成的签章图片，嵌入数字水印进行防伪；

(5)签名识别模块：用于提取在线手写签章的笔迹特征，设计BP神经网络分类器，在服务器端对审批签名进行笔迹识别，保证签章的真实性；

(6)使用痕迹记录模块：用于对审批文件建立数字内容使用痕迹的产生和管理方法，每一次操作均记录下使用痕迹作为数字版权和版本信息。

Images