CN110365662A - 业务审批方法及装置 - Google Patents

业务审批方法及装置 Download PDF

Info

Publication number
CN110365662A
CN110365662A CN201910578869.7A CN201910578869A CN110365662A CN 110365662 A CN110365662 A CN 110365662A CN 201910578869 A CN201910578869 A CN 201910578869A CN 110365662 A CN110365662 A CN 110365662A
Authority
CN
China
Prior art keywords
account number
examination
approval
content
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910578869.7A
Other languages
English (en)
Other versions
CN110365662B (zh
Inventor
程威
丁磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Siyuan Ideal Holding Group Co Ltd
Original Assignee
Beijing Siyuan Internet Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Siyuan Internet Technology Co Ltd filed Critical Beijing Siyuan Internet Technology Co Ltd
Priority to CN201910578869.7A priority Critical patent/CN110365662B/zh
Publication of CN110365662A publication Critical patent/CN110365662A/zh
Application granted granted Critical
Publication of CN110365662B publication Critical patent/CN110365662B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种业务审批方法及装置,其中,该方法包括:服务器接收到第一帐号发送的有效载荷payload,解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并发送至每个审批帐号;接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,采用上述方案,服务器将审批内容同步发送至多个审批帐号,在加快了审批速度的同时,保证了信息安全,审批流程不可篡改,解决了相关技术中业务审批流程容易被篡改导致的信息安全度低的问题。

Description

业务审批方法及装置
技术领域
本申请涉及但不限于计算机领域,具体而言,涉及一种业务审批方法及装置。
背景技术
在相关技术中,目前企业内部审批流程都是普通的业务流程或增加水印的方式来防止篡改和伪造;实际上审批流程需要能动态的增加审批人员,每个审批人员都需要进行认证和抗抵赖,进行数字签名。即便进行数字签名,也需要签名可不断更新时序,且同时要克服签名报文过长,交互繁琐的问题。本专利即是针对这些问题的解决方案。原有的聚合签名算法总是基于身份、多线性对、和多交互的,急切需要一种交互最少,计算效率最高的实用聚合签名算法。
针对相关技术中业务审批流程容易被篡改导致的信息安全度低的问题,目前还没有有效的解决方案。
发明内容
本申请实施例提供了一种业务审批方法及装置,以至少解决相关技术中业务审批流程容易被篡改导致的信息安全度低的问题。
根据本申请的一个实施例,提供了一种业务审批方法,包括:服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的签名,其中,所述第二帐号的签名用于对所述第二帐号的身份进行验证。
根据本申请的另一个实施例,还提供了一种业务审批方法,包括:审批帐号接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见、所述审批帐号的签名,其中,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
根据本申请的另一个实施例,还提供了一种业务审批装置,应用于服务器,包括:第一接收模块,用于接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;解密模块,用于解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;加密模块,用于在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;第二接收模块,用于接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。
根据本申请的另一个实施例,还提供了一种业务审批装置,应用于审批帐号,包括:第三接收模块,用于接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;第二解密模块,用于使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;验证模块,用于验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见,所述审批帐号的签名,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
根据本申请的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本申请,服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及审批帐号公钥、所述第一帐号的第一签名;解密所述payload获取所述待审批内容及至少两个审批帐号公钥,并对所述第一签名进行验证;在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证,采用上述方案,服务器将审批内容同步发送至多个审批帐号,在加快了审批速度的同时,保证了信息安全,审批流程不可篡改,解决了相关技术中业务审批流程容易被篡改导致的信息安全度低的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的一种业务审批方法的服务器的硬件结构框图;
图2是根据本申请实施例的业务审批方法的流程图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例一
本申请实施例一所提供的方法实施例可以在服务器或者类似的运算装置中执行。以运行在服务器上为例,图1是本申请实施例的一种业务审批方法的服务器的硬件结构框图,如图1所示,服务器可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输装置106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的业务审批方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的业务审批方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述服务器的业务审批方法,图2是根据本申请实施例的业务审批方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;
第一帐号可以是申请审批的发起者的帐号;第一签名是以第一帐号的私钥对待审批内容进行签名获得的。
步骤S204,解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;
步骤S206,在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;
具体的,使用不同审批帐号公钥分别加密payload生成不同的第一信息,并分别发送至相应的审批帐号;
步骤S208,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。所述第二签名是以第二帐号的审批帐号私钥对其审批意见进行签名获得的。
通过上述步骤,采用上述方案,服务器将审批内容同步发送至多个审批帐号,在保证信息安全的情况下,加快了审批速度,解决了相关技术中业务审批流程容易被篡改导致的信息安全度低的问题。
需要说明的是,本实施例的技术方案同样适用于只有一个审批帐号的情形。本实施例的技术方案中,申请审批的发起者或审批者在发送待审批内容或审批意见时均附带各自的私钥签名,增加了审批流程的安全性。
可选地,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,包括:对所述反馈内容中的所述第二帐号的第二签名进行验证,在第二签名验证通过后,解密所述反馈内容获取所述第二帐号的审批意见。
可选地,所述待审批内容中携带有所述待审批内容生成时的时间戳;所述第二帐号的审批意见中携带有所述审批意见生成时的时间戳。
可选地,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,在接收到一个或多个其他所述审批帐号的反馈内容时,依据每个反馈内容中的审批意见携带的时间戳对反馈内容进行排序;依据排序结果生成过程报文,所述过程报文包括接收到的各个所述审批帐号的审批意见。
可选地,每接收到一个审批帐号的反馈内容时,重新生成一次所述过程报文,直至接收到所有审批帐号的审批意见后,生成最终报文。采用该方案,不断更新过程报文,保证报文信息的时效性。
可选地,所述最终报文分别以各个审批帐号的审批帐号公钥加密发送至相应的审批帐号,所述最终报文还包括所有审批帐号的签名,以便各个审批帐号验证其他审批帐号的身份。
可选地,所述最终报文中仅保留一个最终签名,所述最终签名使用的第一私钥是所述服务器使用自身私钥和所有通过签名验证的审批帐号的审批帐号公钥协商确定的;所述第一私钥对应的第一公钥是由所述第一私钥依据预设算法获取的。其中,密钥协商算法采用现有技术中任一密钥协商算法,在此不做限定;第一公钥的生成优选采用椭圆曲线算法获得。最终报文的长度得到有效控制,只需保留一个最终签名即可。采用该方案生成的最终签名可以被每个审批用户及时验证。
可选地,服务器接收第一帐号发送的有效载荷payload,包括:所述payload被所述第一帐号使用对称密钥进行加密,所述对称密钥为所述服务器和所述第一帐号根据预设密钥协商算法确定的;所述第一签名为采用所述第一帐号的私钥对所述待审批内容进行签名得到的;解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证,包括:所述服务器使用所述对称密钥解密所述payload,获取所述待审批内容及审批帐号公钥,并使用所述第一帐号的公钥验证所述第一签名。采用该方案,对称密钥可随有效载荷payload一并发送审批帐号,增强了审批内容的安全性及完整性。
可选地,所述payload被所述第一帐号以预设对称密钥、采用预设对称加密算法加密,其中,所述预设对称密钥为所述服务器和所述第一帐号根据ecdhe密钥协商算法确定的;服务器解密所述payload获取所述待审批内容及审批帐号公钥,包括:所述服务器使用与第一帐号加密payload相同的对称密钥及相应的对称解密算法进行解密;使用所述审批帐号公钥分别加密所述payload获取第一信息,包括:以所述审批帐号公钥、使用非对称加密算法进行加密。本实施例采用的对称加解密算法与非对称加解密算法均为现有技术,在此不再赘述。
可选地,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,在检测到所述审批意见为未通过审批时,终止其他尚未反馈消息的审批帐号的审批流程,并通知所述第一帐号;向除所述第二帐号之外的其余审批帐号通知所述反馈内容。采用该方案,服务器对审批帐号的反馈做出即时反应,及时通知到其他审批帐号供其参考他人的审批意见,以此提升审批流程的效率。
可选地,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,还包括:在检测到所有审批帐号完成审批后,生成最终报文,并使用每个审批帐号的审批帐号公钥加密所述最终报文后发送至相应的审批帐号。
可选地,在接收到所述第一帐号发送的变更后的第二有效载荷payload后,依据所述第二payload,重新向与所述第二payload对应的审批用户发起审批流程。采用该方案,在检测到第一帐号更改了待审批内容或审批帐号后,服务器可以根据第二payload重新发起审批流程。
根据本申请的另一个实施例,还提供了一种业务审批方法,包括以下步骤:
步骤一,审批帐号接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;
优选地,所述第二信息还包括所有审批帐号的审批帐号公钥;
步骤二,使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;
步骤三,验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见,所述审批帐号的签名,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
采用上述方案,多个审批帐号同步接收到服务器发送的待审批内容,在保证信息安全的情况下,加快了审批速度,解决了相关技术中业务审批流程容易被篡改导致的信息安全度低的问题。
可选地,所述反馈内容携带反馈内容生成时的时间戳,以便服务器根据时间戳对所有审批帐号的反馈内容进行排序。
可选地,接收所述服务器发送的针对所述待审批内容的最终报文,并使用各审批帐号的审批帐号公钥分别对所述最终报文中包括的相应审批帐号的签名进行验证。其中,各审批帐号的审批帐号公钥可通过接收到的第二信息获取。采用该方案,每个审批帐号均可以对其他审批帐号的签名进行验证,保证了审批内容的不可篡改性。
可选地,在接收到所述服务器发送的针对所述审批内容的最终报文后,使用审批帐号的私钥与服务器及最终报文携带的其他审批帐号的公钥通过预设密钥协商算法获取第一私钥,并根据预设椭圆曲线算法获取第一私钥对应的第一公钥,并采用第一公钥对最终报文所携带的以第一私钥进行签名的签名数据进行验证。验证通过则代表最终报文未被篡改。采用该方案,最终报文中仅保留一个最终签名,所述最终签名使用的第一私钥是所述服务器使用自身私钥和所有通过签名验证的审批帐号的审批帐号公钥协商确定的;所述第一私钥对应的第一公钥是由所述第一私钥依据预设算法获取的。如此,最终报文的长度得到有效控制,无需携带所有审批帐号的签名,而只需保留一个最终签名即可。各审批帐号可自行计算获得第一私钥和第一公钥,进而对最终签名进行验证,提高了验证效率。
可选地,在获取第一私钥对应的第一公钥后,可使用第三帐号的公钥加密所述第一公钥后得到第三信息;传输所述第三信息和所述最终报文至所述第三帐号。采用该方案,审批帐号可以发最终报文至第三帐号,第三帐号可以属于第三方,即可以由第三方验证最终报文所携带的签名信息。
下面结合一个例子说明本申请的方案:
该例子中的参数定义如下:
设定审批流程中的内容明文为m,设定对称加密算法为senc(),对应的解密算法为sdev(),非对称加密算法为aenc(),对应的解密算法为adev(),签名算法为sign()。
每个用户都有自己的公私钥对,假定n个用户参与流程,则每个用户的公私钥对为useri(pki,ski)。流程由发起用户user0发起,发起用户user0的公私钥对为user0(pk0,sk0)。该审批流程包括以下步骤:
步骤一,发起用户user0与服务器进行ecdhe密钥协商,获取对称密钥key0
步骤二,发起用户user0撰写审批内容明文m,附上时间戳time0,令待审批内容msg=m||time0,则发送有效负荷payload=senc(key0,msg||审批用户公钥组)+sign(sk0,msg)到服务器;即所述payload中包括:以对称密钥key0加密的待审批内容及至少两个审批用户公钥、发起用户user0的签名数据,其中,待审批内容携带待审批内容生成时的时间戳time0;其中,“||”代表连接符;
步骤三,服务器收到payload后,使用sdev(key0)解密payload中的加密信息获取待审批内容msg及审批用户公钥,同时使用pk0验证签名sign;
步骤四,验证通过后,使用各个审批用户的公钥加密传递消息:aenc(pki,payload||key0)分别给每个审批用户;
步骤五,每个审批用户收到消息后,使用自身私钥解密得到key0,使用key0解密payload得到待审批内容msg,并使用pk0验证sign是否准确;
步骤六,每个审批用户验证消息准确后,令附上的审批意见内容为ni(至少包含自身的公钥或id号),则消息体msg’=msg||timei||ni,则分别发送payload’=senc(key0,msg’||pki)+signi(ski,msg’)到服务器;
步骤七,服务器每收到一个审批意见,首先验证签名是否正确;如果正确,则使用key0解密得到msg’后,按时间戳timei顺序排列,得到最终的报文payload-msg=m||time0||n1||time1||sign1…||ni||timei||signi
服务器每收到一个审批意见,均按时间戳重新组织一次过程报文,直到收到所有审批用户的反馈内容为止,生成最终的报文payload-msg;
步骤八,服务器向所有审批用户发送最终的审批报文payload-msg,此报文使用各审批用户的公钥加密分别发送相应的审批用户。
优选地,任何收到最终审批报文的审批用户,都可以使用审批用户组的公钥,挨个验证每个签名,每个签名都正确,表示审批结果可信。
优选地,服务器每收到一个审批意见,均将该审批意见发送其余审批方,以便其余审批方知晓该审批意见或参考该审批意见;优选地,若审批意见显示未通过审批,则终止该审批程序,返回发起用户审批结果,并发送其余未反馈审批意见的审批用户,终止审批;
优选地,发起用户可更改审批内容,或增加审批用户,需要重新发送一次payload,更改其中的审批用户公钥组。服务器收到后,则向新审批用户重复步骤四。
优选地,本实施例采用了聚合签名方案,将上述方案中的签名算法改为新的聚合签名算法,该聚合签名算法包括以下内容:
1,每个审批用户上传自己的payload’给服务器,服务器可根据各个审批用户的公钥验证其签名的正确性,最终按时间戳顺序,得到最终的报文payload-msg’=m||time0||n1||time1||…||ni||timei||allin-sign;最终的报文里只保留一个最终的签名allin-sign;
2,最终签名使用的私钥为:由服务器使用自身的私钥与所有已成功验证签名的用户公钥组通过ecdh协商得出的密钥;
3,最终签名的公钥根据椭圆曲线算法可由最终签名使用的私钥获取而得;
4,服务器每新收到一个审批意见,则按时间戳重新组织一次完整报文,标记为最终的报文payload-msg’;
5,所有审批成员组都可以根据payload-msg’和服务器公钥、审批用户公钥组及自己的私钥,同样在本地根据ecdh可计算出最终签名使用的私钥,进而根据椭圆曲线算法得出对应的公钥验证最终的allin-sign是否正确。
因此,最终报文长度得到有效控制,只需保留一个签名值即可。
任何参与审批的用户可自动验证最终的聚合签名,也可以指定一个第三方验证此签名,此时可以在任一审批用户本地计算出聚合签名的验证公钥,使用第三方的公钥加密传递此验证公钥,即可指定可信的第三方进行聚合签名验证。
采用上述方案,实现了以下技术效果:聚合签名使得最终的报文签名长度最短;本文的聚合签名算法交互极少,都是本地计算得出签名密钥。而且可以指定第三方验证,验证时只需安全传递公钥,保证私钥永不传递;审批流程可随时增加审批人,不影响审批的抗伪造性,且整个审批流程是动态维护扩展的,业务可随意调整审批流程和人员;每个审批人员都进行数字签名,有很强的抗抵赖性;全程报文是加密的,在审批流程的成员内部进行秘密共享。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
实施例二
在本实施例中还提供了一种业务审批装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
根据本申请另一个实施例,还提供了一种业务审批装置,应用于服务器,包括:第一接收模块,用于接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;解密模块,用于解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;加密模块,用于在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;第二接收模块,用于接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,所述第二签名用于对所述第二帐号的身份进行验证。
根据本申请另一个实施例,还提供了一种业务审批装置,应用于审批帐号,包括:第三接收模块,用于接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;第二解密模块,用于使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;验证模块,用于验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见,所述审批帐号的签名,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例三
本申请的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;
S2,解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;
S3,在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;
S4,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本申请的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输装置以及输入输出设备,其中,该传输装置和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;
S2,解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;
S3,在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;
S4,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (15)

1.一种业务审批方法,其特征在于,包括:
服务器接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;
解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;
在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;
接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。
2.根据权利要求1所述的方法,其特征在于,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,包括:
对所述反馈内容中的所述第二帐号的第二签名进行验证,在第二签名验证通过后,解密所述反馈内容获取所述第二帐号的审批意见。
3.根据权利要求2所述的方法,其特征在于,所述待审批内容中携带有所述待审批内容生成时的时间戳;所述第二帐号的审批意见中携带有所述审批意见生成时的时间戳。
4.根据权利要求3所述的方法,其特征在于,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,所述方法还包括:
在接收到一个或多个其他所述审批帐号的反馈内容时,依据每个反馈内容中的审批意见携带的时间戳对反馈内容进行排序;
依据排序结果生成过程报文,所述过程报文包括接收到的各个所述审批帐号的审批意见。
5.根据权利要求4所述的方法,其特征在于,每接收到一个审批帐号的反馈内容时,重新生成一次所述过程报文,直至接收到所有审批帐号的审批意见后,生成最终报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述最终报文包括最终签名,所述最终签名使用的第一私钥是所述服务器使用自身私钥和所有通过签名验证的所述审批帐号的所述审批帐号公钥协商确定的;
所述第一私钥对应的第一公钥是由所述第一私钥依据预设算法获取的。
7.根据权利要求1所述的方法,其特征在于,
服务器接收到第一帐号发送的有效载荷payload,包括:所述payload被所述第一帐号使用对称密钥进行加密,所述对称密钥为所述服务器和所述第一帐号根据预设密钥协商算法确定的;所述第一签名为采用所述第一帐号的私钥对所述待审批内容进行签名得到的;
解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证,包括:所述服务器使用所述对称密钥解密所述payload,获取所述待审批内容及审批帐号公钥,并使用所述第一帐号的公钥验证所述第一签名。
8.根据权利要求1所述的方法,其特征在于,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,所述方法还包括:
在检测到所述审批意见为未通过审批时,终止其他尚未反馈的审批帐号的审批流程,并通知所述第一帐号;
向除所述第二帐号之外的其余审批帐号通知所述反馈内容。
9.根据权利要求1所述的方法,其特征在于,接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容之后,所述方法还包括:
在检测到所有审批帐号完成审批后,生成最终报文,并使用每个审批帐号的审批帐号公钥加密所述最终报文后分别发送至相应的审批帐号。
10.一种业务审批方法,其特征在于,包括:
审批帐号接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;
使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;
验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见、所述审批帐号的签名,其中,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收所述服务器发送的针对所述待审批内容的最终报文,并使用各审批帐号的审批帐号公钥分别对所述最终报文中包括的相应审批帐号的签名进行验证。
12.一种业务审批装置,其特征在于,应用于服务器,包括:
第一接收模块,用于接收第一帐号发送的有效载荷payload,其中,所述payload中包括:被加密的待审批内容及至少两个审批帐号公钥、所述第一帐号的第一签名;
解密模块,用于解密所述payload获取所述待审批内容及审批帐号公钥,并对所述第一签名进行验证;
加密模块,用于在所述第一签名通过验证后,使用所述审批帐号公钥分别加密所述payload获取第一信息,并分别发送至每个所述审批帐号公钥对应的审批帐号;
第二接收模块,用于接收所述审批帐号中的第二帐号对所述待审批内容的反馈内容,其中,所述反馈内容包括:所述第二帐号的审批意见、所述第二帐号的第二签名,其中,所述第二签名用于对所述第二帐号的身份进行验证。
13.一种业务审批装置,应用于审批帐号,其特征在于,包括:
第三接收模块,用于接收服务器发送的第二信息,其中,所述第二信息包括使用所述审批帐号的审批帐号公钥加密的待审批内容以及所述待审批内容发起者的第一签名;
第二解密模块,用于使用所述审批帐号的审批帐号私钥解密所述第二信息后获取待审批内容和所述待审批内容发起者的第一签名;
验证模块,用于验证所述第一签名,并在所述第一签名通过验证后,向所述服务器传输对于所述待审批内容的反馈内容,其中,所述反馈内容包括:所述审批帐号的审批意见,所述审批帐号的签名,所述审批帐号的签名用于对所述审批帐号的身份进行验证。
14.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至11任一项中所述的方法。
15.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至11任一项中所述的方法。
CN201910578869.7A 2019-06-28 2019-06-28 业务审批方法及装置 Active CN110365662B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910578869.7A CN110365662B (zh) 2019-06-28 2019-06-28 业务审批方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910578869.7A CN110365662B (zh) 2019-06-28 2019-06-28 业务审批方法及装置

Publications (2)

Publication Number Publication Date
CN110365662A true CN110365662A (zh) 2019-10-22
CN110365662B CN110365662B (zh) 2022-05-17

Family

ID=68215999

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910578869.7A Active CN110365662B (zh) 2019-06-28 2019-06-28 业务审批方法及装置

Country Status (1)

Country Link
CN (1) CN110365662B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111106929A (zh) * 2019-12-09 2020-05-05 上海创能国瑞数据***有限公司 一种基于hash的审批方法
CN111541549A (zh) * 2020-05-06 2020-08-14 江西宜月鑫网络科技有限公司 基于区块链的信息传递方法、装置、设备及存储介质
CN112580109A (zh) * 2020-12-16 2021-03-30 恒银金融科技股份有限公司 一种借鉴区块链签名技术的软件业务流程合法性设计方法
CN114092039A (zh) * 2021-11-05 2022-02-25 武汉筑链科技有限公司 一种基于区块链的可配置流程审批方法及***
CN114493552A (zh) * 2022-04-01 2022-05-13 浙江保融科技股份有限公司 基于双时间轴的rpa对公付款自动审批方法及***
CN116029675A (zh) * 2023-01-30 2023-04-28 北京四方启点科技有限公司 一种报销申请单审批方法和装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102843356A (zh) * 2012-07-11 2012-12-26 深圳市紫色力腾科技发展有限公司 一种对称密钥加密文件的可控交换方法
CN103377173A (zh) * 2012-04-27 2013-10-30 工业和信息化部电信传输研究所 一种对可控文档的多方协作审核的方法与***
CN104144413A (zh) * 2013-05-10 2014-11-12 中国电信股份有限公司 基于移动终端的审批方法和***
CN105577768A (zh) * 2015-12-17 2016-05-11 山东尚德软件股份有限公司 一种业务审批电子化的实现方法
CN106789007A (zh) * 2016-12-16 2017-05-31 中国科学院软件研究所 一种基于密文检索的网络信息审查方法与***
CN107248917A (zh) * 2017-06-05 2017-10-13 丁辰科技(北京)有限公司 审批方法、服务端及审批***
CN107886306A (zh) * 2017-11-24 2018-04-06 网易(杭州)网络有限公司 文件审批方法、介质、装置和计算设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103377173A (zh) * 2012-04-27 2013-10-30 工业和信息化部电信传输研究所 一种对可控文档的多方协作审核的方法与***
CN102843356A (zh) * 2012-07-11 2012-12-26 深圳市紫色力腾科技发展有限公司 一种对称密钥加密文件的可控交换方法
CN104144413A (zh) * 2013-05-10 2014-11-12 中国电信股份有限公司 基于移动终端的审批方法和***
CN105577768A (zh) * 2015-12-17 2016-05-11 山东尚德软件股份有限公司 一种业务审批电子化的实现方法
CN106789007A (zh) * 2016-12-16 2017-05-31 中国科学院软件研究所 一种基于密文检索的网络信息审查方法与***
CN107248917A (zh) * 2017-06-05 2017-10-13 丁辰科技(北京)有限公司 审批方法、服务端及审批***
CN107886306A (zh) * 2017-11-24 2018-04-06 网易(杭州)网络有限公司 文件审批方法、介质、装置和计算设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
郝莹: "《大学计算机基础》", 31 August 2009 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111106929A (zh) * 2019-12-09 2020-05-05 上海创能国瑞数据***有限公司 一种基于hash的审批方法
CN111106929B (zh) * 2019-12-09 2023-04-18 上海创能国瑞数据***有限公司 一种基于hash的审批方法
CN111541549A (zh) * 2020-05-06 2020-08-14 江西宜月鑫网络科技有限公司 基于区块链的信息传递方法、装置、设备及存储介质
CN111541549B (zh) * 2020-05-06 2022-01-14 深圳天玑数据有限公司 基于区块链的信息传递方法、装置、设备及存储介质
CN112580109A (zh) * 2020-12-16 2021-03-30 恒银金融科技股份有限公司 一种借鉴区块链签名技术的软件业务流程合法性设计方法
CN114092039A (zh) * 2021-11-05 2022-02-25 武汉筑链科技有限公司 一种基于区块链的可配置流程审批方法及***
CN114493552A (zh) * 2022-04-01 2022-05-13 浙江保融科技股份有限公司 基于双时间轴的rpa对公付款自动审批方法及***
CN114493552B (zh) * 2022-04-01 2022-08-05 浙江保融科技股份有限公司 基于双时间轴的rpa对公付款自动审批方法及***
CN116029675A (zh) * 2023-01-30 2023-04-28 北京四方启点科技有限公司 一种报销申请单审批方法和装置

Also Published As

Publication number Publication date
CN110365662B (zh) 2022-05-17

Similar Documents

Publication Publication Date Title
CN110365662A (zh) 业务审批方法及装置
CN113259329B (zh) 一种数据不经意传输方法、装置、电子设备及存储介质
EP3349393A1 (en) Mutual authentication of confidential communication
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
US9716591B2 (en) Method for setting up a secure connection between clients
CN108768930A (zh) 一种数据的加密传输方法
CN108599925A (zh) 一种基于量子通信网络的改进型aka身份认证***和方法
CN104144413A (zh) 基于移动终端的审批方法和***
CN111769938B (zh) 一种区块链传感器的密钥管理***、数据验证***
EP3673610B1 (en) Computer-implemented system and method for highly secure, high speed encryption and transmission of data
CN108449756A (zh) 一种网络密钥更新的***、方法及装置
CN103297230B (zh) 信息加解密方法、装置及***
CN108599926A (zh) 一种基于对称密钥池的HTTP-Digest改进型AKA身份认证***和方法
CN106161472A (zh) 一种数据加密的方法、装置及***
CN111404671A (zh) 移动化量子保密通信方法、网关、移动终端及服务器
CN102598575A (zh) 用于对密码保护的有效数据单元加速解密的方法和***
CN105025036A (zh) 一种基于互联网的认知能力测试值加密和传输方法
CN111565108B (zh) 签名处理方法、装置及***
CN104253692B (zh) 基于se的密钥管理方法和装置
CN105376221A (zh) 基于动态密码的游戏消息加密机制及游戏***
CN114070549A (zh) 一种密钥生成方法、装置、设备和存储介质
CN105024800A (zh) 随机安全通讯方法及蓝牙装置
JP2006140743A (ja) 共通鍵配送方法
CN109361506A (zh) 信息处理方法
KR20180068537A (ko) 고유 일련번호 및 대칭키를 이용한 암복호화 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20191126

Address after: 102300 no.6-1-21, office building, building 20, Pudong, Mentougou District, Beijing

Applicant after: Beijing Siyuan ideal Holding Group Co., Ltd

Address before: 100102 No. 301, No. 316 building, Nanhu garden, Chaoyang District, Beijing 18

Applicant before: Beijing Siyuan Internet Technology Co. Ltd.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant