财务核算系统数据加密方法及装置与流程

1.本发明涉及数据处理领域，特别涉及一种财务核算系统数据加密方法及装置。


背景技术：

2.成本核算系统基于当前的财务数据对成本进行核算，而财务数据的采集过程中涉及较多纸质文件的扫描，且各终端扫描得到的扫描件通常还需要传输至指定的数据中心或服务器统一存档，但传统的传输方式中仅是各个采集装置利用公钥对扫描件进行加密，由接收端利用私钥进行解密。这种方式中公钥私钥长期不更新，虽然对硬件的计算能力要求极低，但安全性较差，容易被破解。
3.目前，现有技术也存在一些多重加密传输技术，除了文件的加密传输外，往往还涉及到密钥本身的加密传输，以使得接收端和发送端能够进行加解密配合。但这种技术中对第一密钥本身进行加密时，仅将第一密钥当成普通数据，并不能充分利用密钥的加解密特性，同时往往需要事先确定加密第一密钥所需的第二密钥，而第二密钥长期不变会导致安全性较差，频繁改动又占用通讯资源。因此现有技术在采集文件加解密过程中，文件及密钥的加密和传输仍然存在较大的安全问题。


技术实现要素：

4.针对现有技术进行文件采集过程中，文件及密钥传输安全性较差导致容易被破解的问题，本发明提供了一种财务核算系统数据加密方法及装置，通过对文件的多次加密，以及密钥之间相互加密并设置关键密钥的方式，加入排序相关的解密因素改变加解密的流程，将密钥的解密过程改为串联式步骤，需要获得分组中全部文件才能进行完整解密，可以大幅提高信息被截取并破解的难度，提高了安全性。
5.以下是本发明的技术方案。
6.财务核算系统数据加密方法，包括以下步骤：s1：对纸质文件进行扫描，得到扫描文件；s2：将扫描文件分组，从本地的密钥池中随机抽取密钥对扫描文件进行加密得到密文，同时抽取到的密钥之间相互加密得到加密后的密钥，将加密后的密钥和密文打包得到打包文件并标记分组号；s3：从每个分组中随机选取至少一个密钥作为关键密钥，并设置若干伪关键密钥，关键密钥和伪关键密钥总数等于打包文件数量，在每个打包文件中加入关键密钥或伪关键密钥，同时在打包文件中加入填充数据包，使带有关键密钥的打包文件所占字节总大小在分组中处在预设排名，利用公钥将打包文件进行加密后，按照随机顺序依次发送至数据中心；s4：数据中心利用私钥对收到的文件进行解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，当得到关键密钥后依次对加密后的密钥和打包文件进行分步解密，保存解密得到的扫描文件。
7.本发明中，密钥之间相互加密时，每个密钥仅使用一次且仅被其他密钥加密一次，例如密钥i加密密钥ii，密钥ii加密密钥iii，密钥iii加密密钥i。在解密的过程中，关键密钥充当钥匙，加密后的密钥充当锁，只有钥匙和锁都获得的情况下才能进行解密，且密钥与锁的配对需要进行遍历尝试。另外，本发明将排序也作为一项解密信息，这种解密信息其实隐含了两个条件，即除了要知道关键密钥所在的排名，还要在接收到全部文件后排序才有效，进而才能获得关键密钥，否则预设排名和全部文件只要有一项未知或不满足条件，将无法精确找到关键密钥，使得截取破解难度大幅提高，且无有效针对性破解手段，即使攻击者知道排序第三的数据包内含有关键密钥，但由于截取到一个组的全部打包文件难度较大，因此仍然无法利用排序信息，特别是每个组包含的打包文件数量较多时，这种方式大大增加了安全性。因此单个文件无法解密，需要接收到分组中所有文件后，利用关键密钥对加密后的密钥进行串联式解密，随后才能依次解密密文。相比于传统方式，本发明不需要对密钥进行事先的标号或核对，也不需要事先进行密钥的双向确认，降低了通讯压力且安全性更高。
8.作为优选，步骤s2的过程包括：将扫描文件分组，每组包含n份扫描文件，记为a1~an，从本地的密钥池中随机抽取n个密钥，记为b1~bn，对于抽取的每个密钥，由抽取的其他任意密钥进行加密，得到加密后的密钥bm
‑
s，其中m为当前被加密的密钥编号，s为加密所使用的密钥编号，对于第m个文件，利用bm加密扫描文件am得到密文mm，将密文mm和加密后的密钥bm
‑
s打包得到打包文件并标记分组号。其中上述的“编号”以及“第m个”等的用词，仅是为了描述方便而使用，应当理解为总个数中的某一个，其所要保护的含义并不是需要在实际操作中进行排序或显示，因此不论是密钥本身加密还是对文件的加密，完成后并不能从得到的数据中看到编号或其他相关显示信息，即无法看到加密所用的密钥是哪个。
9.作为优选，步骤s3和s4中，预设排名的预设过程包括：随机或指定一个正整数作为预设排名，该正整数不大于分组内的打包文件数，将该正整数利用公钥加密后发送至数据中心，数据中心利用私钥解密得到预设排名。
10.作为优选，步骤s4的过程包括：数据中心利用私钥将收到的文件解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，当得到关键密钥后，利用关键密钥对同分组中加密后的密钥依次尝试解密，解密成功后使用得到的密钥解密密文，同时对加密后的密钥依次尝试解密，重复解密过程直至所需密文全部解密，保存解密得到的扫描文件。由于每一组中密钥之间相互加密，因此每个分组的加密后的密钥中，有且仅有一个可以被关键密钥解开，而获得的密钥也仅能解开另一个加密后的密钥，以此类推，最终以类似串联的形式将所有密钥解密，并使用这些密钥解密对应的密文。而关键密钥找对加密后的密钥需要一定的计算量，假如攻击者不知道预设排名或无法截取全部文件，需要将大量伪关键密钥当作关键密钥进行尝试，导致计算量倍增，因此安全性大幅提高。
11.作为优选，还包括密钥池更新步骤：对使用过的密钥进行标记，在数据中心成功使用该密钥解密后返回确认信息，收到确认信息后将对应的密钥删除，每次删除操作后，利用密钥生成模块生成密钥补充密钥池。
12.本发明还包括一种财务核算系统数据加密装置，用于执行上述的方法，包括：采集单元，用于对纸质文件进行扫描，得到扫描文件；
处理单元，用于将扫描文件分组，从本地的密钥池中随机抽取密钥对扫描文件进行加密得到密文，同时抽取到的密钥之间相互加密得到加密后的密钥，将加密后的密钥和密文打包得到打包文件并标记分组号；通讯单元，用于从每个分组中随机选取至少一个密钥作为关键密钥，并设置若干伪关键密钥，关键密钥和伪关键密钥总数等于打包文件数量，在每个打包文件中加入关键密钥或伪关键密钥，同时在打包文件中加入填充数据包，使带有关键密钥的打包文件所占字节总大小在分组中处在预设排名，利用公钥将打包文件进行加密后，按照随机顺序依次发送至数据中心；密钥生成模块，用于生成密钥；其中，所述数据中心用于利用私钥对收到的文件进行解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，当得到关键密钥后依次对加密后的密钥和打包文件进行分步解密，保存解密得到的扫描文件。
13.作为优选，所述处理单元用于执行以下步骤：将扫描文件分组，每组包含n份扫描文件，记为a1~an，从本地的密钥池中随机抽取n个密钥，记为b1~bn，对于抽取的每个密钥，由抽取的其他任意密钥进行加密，得到加密后的密钥bm
‑
s，其中m为当前被加密的密钥编号，s为加密所使用的密钥编号，对于第m个文件，利用bm加密扫描文件am得到密文mm，将密文mm和加密后的密钥bm
‑
s打包得到打包文件并标记分组号。
14.作为优选，所述通讯单元和数据中心执行的预设排名的预设过程包括：随机或指定一个正整数作为预设排名，该正整数不大于分组内的打包文件数，将该正整数利用公钥加密后发送至数据中心，数据中心利用私钥解密得到预设排名。
15.作为优选，所述数据中心用于利用私钥将收到的文件解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，当得到关键密钥后，利用关键密钥对同分组中加密后的密钥依次尝试解密，解密成功后使用得到的密钥解密密文，同时对加密后的密钥依次尝试解密，重复解密过程直至所需密文全部解密，保存解密得到的扫描文件。
16.作为优选，所述通讯单元还与数据中心共同完成以下步骤：对使用过的密钥进行标记，在数据中心成功使用该密钥解密后返回确认信息，收到确认信息后将对应的密钥删除，每次删除操作后，利用密钥生成模块生成密钥补充密钥池。
17.本发明的实质性效果包括：利用密钥本身的加密属性，进行了连环、串联式的加解密，对于每一份传输的数据来说，多次的加解密提高了安全性，同时对于发送方和接收方来说，多次加解密使用的密钥不需要每次联络和商定，也不需要区分多个密钥池，避免了繁琐的密钥沟通过程。另外加入了排序作为解密信息，该信息由于包含两种条件，因此截取难度大幅增加，从更多的维度增加了加密的可靠性和破解难度。
附图说明
18.图1是本发明实施例的流程图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合实施例，对本技
术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.本发明的说明书和权利要求书中的编号等（如果存在）是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
21.应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
22.应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。应当理解，在本发明中，“多个”是指两个或两个以上。
23.下面以具体的实施例对本发明的技术方案进行详细说明。实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
24.实施例：财务核算系统数据加密方法及装置，其中装置包括：作为采集单元的扫描器、作为处理单元的处理器以及作为通讯单元和密钥生成模块的加密网关。
25.方法包括如图1所示的以下步骤：s1：对纸质文件进行扫描，得到扫描文件。
26.s2：将扫描文件分组，从本地的密钥池中随机抽取密钥对扫描文件进行加密得到密文，同时抽取到的密钥之间相互加密得到加密后的密钥，将加密后的密钥和密文打包得到打包文件并标记分组号。
27.具体地，处理器将扫描文件分组，本实施例中每组包含8份扫描文件，记为a1~a8，从本地的密钥池中随机抽取8个密钥，记为b1~b8，对于抽取的每个密钥，由抽取的其他任意密钥进行加密，例如密钥b1加密密钥b2，得到加密后的密钥b2
‑
1，密钥b2加密密钥b3，得到加密后的密钥b3
‑
2，共得到8个加密后的密钥bm
‑
s，其中m为当前被加密的密钥编号，s为加密所使用的密钥编号，加密后的密钥不再用于加密其他任何数据，对于第m个文件，利用bm加密扫描文件am得到密文mm，将密文mm和加密后的密钥bm
‑
s打包得到打包文件并标记分组号。其中上述的“编号”以及“第m个”等的用词，仅是为了描述方便而使用，应当理解为指代总个数中的某一个，实施过程中并不进行编号，因此不论是密钥本身加密还是对文件的加密，完成后并不能从得到的数据中看到编号或其他相关显示信息，即无法看到加密所用的密钥是哪个。
28.s3：从每个分组中随机选取至少一个密钥作为关键密钥，并设置若干伪关键密钥，关键密钥和伪关键密钥总数等于打包文件数量，在每个打包文件中加入关键密钥或伪关键密钥，同时在打包文件中加入填充数据包，使带有关键密钥的打包文件所占字节总大小在分组中处在预设排名，利用公钥将打包文件进行加密后，按照随机顺序依次发送至数据中心。
29.在本实施例中，每个分组共8个打包文件，设置一个关键密钥，例如取b2作为关键
密钥加入其中一个打包文件，其余打包文件中加入等长的伪关键密钥；同时在打包文件中填充数据包，使包含b2的打包文件的大小排序在第三。即使攻击者知道排序第三的数据包内含有关键密钥，但由于截取到一个组的全部打包文件难度较大，因此仍然无法利用排序信息，特别是每个组包含的打包文件数量较多时，这种方式大大增加了安全性。
30.s4：数据中心利用私钥对收到的文件进行解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，当得到关键密钥后依次对加密后的密钥和打包文件进行分步解密，保存解密得到的扫描文件。
31.具体地，数据中心利用私钥将收到的文件解密，对同一分组的全部打包文件进行字节大小排序，选取预设排名的打包文件中的关键密钥，在本实施例中应当选取该组所有打包文件中大小排第三的文件，当得到关键密钥后，利用关键密钥b2对同分组中加密后的密钥bm
‑
s依次尝试解密，当对b3
‑
2解密时能够解密成功，得到密钥b3，使用得到的密钥b3解密自身所在的打包文件中的密文，同时利用b3对其他加密后的密钥再依次尝试解密，重复解密过程直至所需密文全部解密，保存解密得到的扫描文件。由于每一组中密钥之间相互加密，因此每个分组的加密后的密钥中，有且仅有一个可以被关键密钥解开，而获得的密钥也仅能解开另一个加密后的密钥，以此类推，最终以类似串联的形式将所有密钥解密，并使用这些密钥解密对应的密文。而关键密钥成功配对加密后的密钥需要一定的计算量，假如攻击者不知道预设排名或无法截取全部文件，需要将大量伪关键密钥当作关键密钥进行尝试，导致计算量倍增，因此安全性大幅提高。
32.其中，预设排名的预设过程包括：随机或指定一个正整数作为预设排名，该正整数不大于分组内的打包文件数，将该正整数利用公钥加密后发送至数据中心，数据中心利用私钥解密得到预设排名。
33.本实施例中，密钥之间相互加密时，每个密钥仅使用一次且仅被其他密钥加密一次。在解密的过程中，关键密钥充当钥匙，加密后的密钥充当锁，只有钥匙和锁都获得的情况下才能进行解密，且密钥与锁的配对需要进行遍历尝试。本实施例将排序也作为一项解密信息，这种解密信息其实隐含了两个条件，即除了要知道关键密钥所在的排名，还要在接收到全部文件后排序才有效，进而才能获得关键密钥，否则预设排名和全部文件只要有一项未知或不满足条件，将无法精确找到关键密钥，使得截取破解难度大幅提高，且无有效针对性破解手段。因此单个文件无法解密，需要接收到分组中所有文件后，利用关键密钥对加密后的密钥进行串联式解密，随后才能依次解密密文。相比于传统方式，本实施例不需要对密钥进行事先的标号或核对，也不需要事先进行密钥的双向确认，降低了通讯压力且安全性更高。
34.在另一实施例中，还包括密钥池更新步骤：对使用过的密钥进行标记，在数据中心成功使用该密钥解密后返回确认信息，收到确认信息后将对应的密钥删除，每次删除操作后，由加密网关生成密钥补充密钥池。
35.上述实施例利用密钥本身的加密属性，进行了连环、串联式的加解密，对于每一份传输的数据来说，多次的加解密提高了安全性，同时对于发送方和接收方来说，多次加解密使用的密钥不需要每次联络和商定，也不需要区分多个密钥池，避免了繁琐的密钥沟通过程。另外加入了排序作为解密信息，该信息由于包含两种条件，因此截取难度大幅增加，从更多的维度增加了加密的可靠性和破解难度。
36.通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中可以根据需要而将上述功能分配由不同的功能模块完成，即将具体装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
37.在本技术所提供的实施例中，应该理解到，所揭露的结构和方法，可以通过其它的方式实现。例如，以上所描述的关于结构的实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个结构，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，结构或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
38.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
39.另外，在本技术实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
40.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本技术各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
41.以上内容，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。