一种阿米巴管理模式运行系统的制作方法

本发明属于经营管理技术领域，尤其涉及一种阿米巴管理模式运行系统。

背景技术：

目前，业内常用的现有技术是这样的：

受到移动互联网时代的先进信息技术及相关理念的影响，越来越多的大中小微型企业开始采取阿米巴经营模式，即把一个独立法人企业分成多个独立核算收支的小经济组织，这些小经济组织就是所谓的阿米巴。另外，有不少企业主放开经营思路，让员工同时具有了股东、临时资金周转者、供应商、客户等角色；此外，随着共享经济的发展壮大，社会上进入了“人人都是……”的时代，强调充分利用各种闲置资源，强调参与感。一个企业，最好就是人人都是财务，都参与到财务核算工作中去，共同关注经营，关注收支，关注利润。目前，会计重心渐渐从财务会计转向管理会计的趋势，国家也有相应的政策给予鼓励。管理会计不需要严格遵守财务会计的准则，可以更快更准的反映经营信息，为管理决策快速作出依据。

实际上，目前不少中小企业内部实际都是采用单式记账方法，不用复式记账。复式记账法的理论非常科学，可惜的是专业性较强，而且和一般企业的灵活经营方式做法不匹配，会计分录数据信息和出纳日记账数据信息衔接不够直观。特别是现在不少企业采用了阿米巴经营模式，一个企业的会计面对多个有内部交易关系的阿米巴，难以切换成一个个阿米巴的会计的角色。

普遍的管理系统方式是公司仅在部分的经营上层进行，而不是基于全公司员工都参与进行公司经营这一考虑，尽可能细地分割公司的组织并进行参与，这样便不能及时掌握生产实绩和收支状况，不便于管理，无法做到准确高效，提供及时的经营管理信息。

现在越来越多的阿米巴用户使用第三方服务来存储数据。第三方存储服务可以为阿米巴用户提供多种益处，包括成本低廉、使用方便、灵活存储、附加服务和对数据的集中访问。

许多阿米巴用户想要确保自己存储在第三方的信息不会被第三方机构随意获取。因此，用户希望将自己的数据在提交给第三方之前进行加密处理。例如，由于隐私问题，可能用户希望对发送给第三方存储供应商的数据进行加密。类似的，一些机构用户可能希望对发送给第三方存储供应商的数据加密以便确保遵守内部或者外部数据保护要求，诸如政府法律法规、与其他组织的合作协议等，并且对于用户来说我们往往希望我们的数据可以进行相互之间共享。因此，基于第三方存储的用户数据加密存储和解密下载以及加密数据共享成为了现在迫切需要解决的问题。用户需要通过灵活的访问控制策略，实现权限的灵活设置，从而控制数据的共享范围，以及在与用户通信过程中保证数据的机密性。

通常我们加密文件使用一个密钥，加密与解密都使用同一个密钥，因为这种方式加密文件具有较高的效率，但是当我们想将文件共享给其他用户时，并且想让他阅读到文件内容，我们必须将密钥一起交予对方，他才能得到共享的文件。但是安全的密钥交付在单一密钥使用情况下是非常难以实现的。

基于属性的加密体制(abe)是基于身份加密的一个重要分支。在基于属性的加密体制中，身份信息不再只是由一个元素来表示，而是被一系列描述性的属性取而代之，同时添加了一个灵活的访问结构，该访问结构由若干个属性以及门限组合而成，只有当访问结构和属性集合相匹配时，才能够成功解密出正确的明文消息。属性加密机制的最大优点是，不必指定由谁解密，只要接收方符合所设定的条件就能够成功解密。属性加密机制不再是简单的一对一加密，而是一种支持多对多模式的新型公钥加密，即解密对象不再只是某一具体的用户，而是面向一个符合解密条件的一个群体。基于属性的加密体制大致可以把它分为两大类：基于密钥策略的属性的加密(kp-abe)和基于密文策略的属性的加密(cp-abe)。属性加密在实际中有广泛的应用场景，比如分布式计算，网络存储等。

基于密文策略的属性加密方案，访问结构与密文相关，用户私钥则用属性集来标识，这样访问结构是在加密过程中由加密者来规划，系统公钥由授权机构来生成，仅当解密属性集满足密文中的访问结构时可以解密得到明文。

而现实生活中，属性集合中的属性根据它们的重要程度可以被分成不同的层次，例如教授这个属性，可以分层成正教授和副教授两个层次，因此就有了分层的基于属性的加密(cp-habe)。在这种加密机制中，每个用户在系统中都拥有一个分层的属性集。加密者向系统中拥有某个属性集的用户加密一个消息，其中密文包含了一种分层的访问结构，只有当用户属性的分层满足访问结构的分层时，才能解密消息。这种cp-habe可以看成是传统cp-abe方案的一种形式，即所有属性都在同一层次上。目前这种cp-habe方案被证明在判定性(q-parallel)双线性diffie-hellman指数假设下是安全的。现有的这种基于分层访问结构的cp-habe方案的安全性仅达到了在判定性(q-parallel)双线性diffie-hellman指数假设下是安全的。

综上所述，现有技术存在的问题是：

现有的管理模式不能及时掌握生产实绩和收支状况，不便于管理，无法做到准确高效，提供及时的经营管理信息。

复式记账法专业性较强，和一般企业的灵活经营方式做法不匹配。

基于第三方的存储中，无法很好保证阿米巴用户数据机密性以及加密后的文件方便快速的共享给上游用户。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种阿米巴管理模式运行系统。

本发明是这样实现的，一种阿米巴管理模式运行系统，设置有：订单记录器、实绩记录器、补录器、记录单元、修正单元、内部计算处理单元；订单记录器、实绩记录器和补录器各自独立且均与记录单元通过信息传输通道相连；记录单元与修正单元相连；修正单元与内部计算处理单元相连；

内部计算处理单元，用于对用户文件的加密上传和用户解密下载文件，当文件需要共享时，在加密上传后将用户文件密钥获取到用户端，在用户端对文件密钥进行解密然后再用对方的公钥重新进行加密生成新的文件密钥，然后上传至服务端存储，对方使用文件时使用私钥解密文件密钥进而再解密文件获得最终文件；

用户文件的加密方法包括：

1)初始化建立算法：首先输入包含所有属性的属性集合u，属性在不同的分层中；然后选择一个阶为n＝p1p2p3双线性复合群g，p1、p2、p3为不相同的素数，令表示阶为pi的子群，i＝1,2,3；然后选择随机指数a和α、随机群元素其中，a,α∈zn，zn表示1至n-1的整数；对于u中的|u|个属性元素，选择对应的群元素则公共参数pk和主密钥msk分别为:

pk＝{n,g,g^α,e(g,g)^a,h1,......,hu}；

msk＝{α,x3}；

其中，e(g,g)^a表示双线性对；

2)令属性集合s为属性集合u的分层子集，根据属性集合s、公共参数pk、消息m和一个提前生成的分层门限访问结构(mv,ρ)将属性集合u所有层次的属性均用一个表达式进行加密得到密文ct，其中，函数ρ表示分层访问结构mv中的行到属性的映射；令属性集合s的每一层的属性数量超过该层门限，使s满足分层的访问结构；

3)通过主密钥msk和属性集合s，结合步骤1)中的子群生成密钥sk；

4)通过访问结构mv对应的密文ct和属性集合s对应的密钥sk恢复出消息。

进一步，内部计算处理单元，用于对用户文件的加密上传和用户解密下载文件，当文件需要共享时，在加密上传后将用户文件密钥获取到用户端，在用户端对文件密钥进行解密然后再用对方的公钥重新进行加密生成新的文件密钥，然后上传至服务端存储，对方使用文件时使用私钥解密文件密钥进而再解密文件获得最终文件；

具体包括：

步骤一，系统初始化：

用户a与用户b在首次登录系统时进行初始化；

用户a与用户b在完成初始化后即进行登陆系统，登陆过程如下：

用户登录系统，用户端将自动获取存储于第三方存储机构的密钥文件，并通过对注册信息进行哈希计算获取到口令密钥，通过口令密钥解密密钥文件，对密钥文件进行解析后分别获得用户主密钥与用户私钥，并将主密钥与私钥存储于用户端；

步骤二，文件加密上传；

步骤三，密文共享；

步骤四，文件下载解密；

步骤五，注销：

当需要注销时，用户端会自动清除存储于用户端的主密钥与用户私钥；

在步骤一中所述初始化过程包括：

第一步，用户进入注册界面，按要求提供用户名与口令进行注册，然后用户端会根据注册信息在用户端通过哈希函数生成符合对称加密密钥长度要求的用户口令密钥；

第二步，用户端会通过本地函数调用在本地生成大小为m的安全随机数，随机数作为用户的主密钥，m的大小根据对称加密算法对密钥长度的要求来进行确定，与此同时也在本地生成用户的非对称加密的密钥对；

第三步，将生成的用户主密钥与用户私钥通过口令密钥进行加密，生成密文状态的密钥文件，将文件通过编码后上传至第三方平台机构进行存储，存储至用户注册信息列表中；

第四步，将生成的公钥直接上传至用户注册信息列表中，进行存储从而完成注册；

在步骤二中所述文件上传过程包括：

第一步，用户a选择需要加密上传的文件，然后由用户端随机生成一个安全的随机数，长度符合对称加密密钥长度，将随机数作为文件密钥；

第二步，通过使用文件密钥对所选文件进行加密，并将加密结果缓存在本地；

第三步，文件密钥通过用户主密钥进行加密，并且将加密后的文件密钥通过文件拼接的方式拼接到通过第二步加密后的文件前，组成一个新的文件，前m字节为加密后的文件密钥，m字节后为加密后的文件内容；

第四步，用户a将新组成的加密文件上传至服务端进行存储；

在步骤三中所述文件共享具体包括：

第一步，用户a首先在自己的存储空间内选择需要共享的文件，设置文件属性为共享，提供用户查询的窗口，当用户a在窗口内输入用户b的用户名后用户端自动发送查询请求到服务端查询用户b是否存在，如果用户b存在则将返回一个确认信息以及用户b的公钥；

第二步，用户a通过发送请求获取当前所要共享文件的加密后的文件密钥，第三方平台机构接收到请求后则会将第三方平台机构中存储的当前文件密态的文件密钥发送给用户a；

第三步，用户a接收到文件的文件密钥后，通过存储在本地的主密钥解密获取文件的明文状态的文件密钥；

第四步，通过使用在第一步中获取到的用户b的公钥对明文的文件密钥进行加密处理，形成新密态的文件密钥；

第五步，用户a的用户端自动将新加密得到的密钥通过可视化编码为字符串，然后将编码后的密钥上传到第三方平台机构，并在共享文件信息列表中插入一条记录用来存储密钥以及相关信息；

第六步，第三方平台机构根据共享文件信息列表对用户b进行文件标记，使得用户b能够在自己的存储空间中看到并识别出共享文件。

进一步，生成密钥sk的方法具体为：

选择一个随机数t∈zn和随机元素并按下式生成的密钥sk：

其中，hi表示与属性集合u中的第i个属性元素对应的群元素。

进一步，恢复出消息m具体方法为：

令被定义为i＝{j：ρ(j)∈s}，如果令是秘密s的一个子秘密，则存在常数{ωj∈zn}使得∑j∈iωjλj＝s，其中，a1,...,at-1为任意选取t-1个随机数，zn表示1到n的整数集合；ωj在秘密共享生成矩阵mv大小的多项式时间内总可以被找到，就可以恢复出来主秘密；

利用混合阶双线性群的正交性计算下面式子：

则消息m＝c/m'＝me(g,g)^αs/e(g,g)^αs；

其中，为随机元素，c'、cj、dx为步骤s2中得到的密文ct的部分，k、l、kρ(j)为步骤s3中得到的密钥sk的部分，hρ(j)表示与属性集合u中的第ρ(j)个属性元素对应的群元素。

进一步，阿米巴管理模式运行系统还设置有：

输出打印机；内部计算处理单元与输出打印机相连。

进一步，所述订单记录器、所述实绩记录器和所述补录器均为电子数字仪器，均设有键盘或按键输入方式。

进一步，所述内部计算处理单元设有显示屏可显示计算结果，还设有硬盘存储器，存储相关数据信息。进一步，所述输出打印机设有数据线、usb插口。

本发明的优点及积极效果为：

该发明可以详实清晰掌握生产实绩和收支状况，且数据输入简单、统计方便、便于管理、准确高效，还可获知每个客户的收支情况。

本发明保证了阿米巴用户存储于第三方数据的安全性，以及在文件上传及下载过程中由于都是加密的，所以都是安全的；通过采用完全客户端加解密的方式对用户数据进行保密，从而确保了用户数据的安全性；采用了对用户完全透明的操作方式，用户使用简单方便，不需额外工作即可完成文件共享的目的；采用多级密钥，充分利用了公私钥的特点使得共享系统中的文件更为安全，且大大降低了密文文件共享方法的复杂度；通过采用一文一密以及密钥重加密的方式使得共享无需对全文进行重新加密，在保证一定安全性的条件下从根本上降低了系统的计算量；所采用的密钥分配方式使得用户有且仅有对自己文件的控制权，使得文件存储更为安全。

本发明的加密方案，通过采用改进的分层的访问结构，使运算次数更少效率更高，还在加密时对于分层的每个属性都将分层的访问结构的对应行嵌入进去，从而实现分层和细粒度访问结构相结合；另外根据双系统加密技术加入混合阶双线性群元素；从而在标准模型下实现分层属性加密的完全安全级别。

本发明采用分层的访问结构，将属性对应到访问结构的生成矩阵里，根据属性的重要性，控制f运算的次数，重要的属性进行的f运算次数少，因而包含的秘密多，然后将生成的f运算结果映射到生成矩阵中去，从而实现相对于现有的分层属性加密方案，运算次数更少效率更高；

加密时对于分层的每个属性都将分层的访问结构的对应行嵌入进去，从而实现分层和细粒度访问结构相结合；

传统的分层属性加密方案在加密过程中将第0层的属性单独列出来进行加密，而本发明将所有层次的属性均用一种表达式进行加密，简化了密文格式；

传统的分层属性加密方案在解密过程没有考虑全面导致某些解密不成功，而本方案充分考虑这一点并重新构造了解密算法，经过验证得出可以成功解密所有情况。

本发明的数据信息安全性高，灵活性适用性强；让数据更加直观可信，非常适合经营管理；实现全员参与的经营；以核算作为衡量员工贡献的重要指标，培养员工的目标意识；实行高度透明的经营；自上而下和自下而上的整合；能够真正实现为企业源源不断培养出具有具有经营者意识的经营人才；通过单位时间核算表可以让每一位员工都清楚自己的工作目标；通过企业主积极主动的有效授权真正实现全员参与经营；经营状况的高度透明可以增强员工对企业的信任感和凝聚力；能够真正实现自上而下与自下而上的顺畅沟通；真正实现销售额最大化与经费最小化；能够真正实现企业哲学共有；通过组织划分进行独立核算可以真正实现精细化管理；经营会计报表让每一位基层员工真正掌握经营现状；阿米巴经营体制和运营规则简单明了可以帮助企业完成变革。

附图说明

图1是本发明实施例提供的阿米巴管理模式运行系统结构示意图；

图中：1、订单记录器；2、实绩记录器；3、补录器；4、记录单元；5、修正单元；6、内部计算处理单元；7、输出打印机；

具体实施方式

为能进一步了解本发明的发明内容、特点及功效，兹例举以下实施例，并配合附图详细说明如下。

现有的管理模式不能及时掌握生产实绩和收支状况，不便于管理，无法做到准确高效，提供及时的经营管理信息。

如图1所示，本发明实施例提供的阿米巴管理模式运行系统设置有：订单记录器1、实绩记录器2、补录器3、记录单元4、修正单元5、内部计算处理单元6、输出打印机7。所述订单记录器1、所述实绩记录器2和所述补录器3各自独立且均与所述记录单元4通过信息传输通道相连，所述记录单元4与其之后的所述修正单元5相连，所述修正单元5与其上级的所述内部计算处理单元6相连，所述内部计算处理单元6与所述输出打印机7相连。

作为本发明的优选实施例，所述订单记录器1、所述实绩记录器2和所述补录器3均为电子数字仪器，均设有键盘或按键输入方式。

作为本发明的优选实施例，所述内部计算处理单元6设有显示屏可显示计算结果，还设有硬盘存储器，存储相关数据信息。

作为本发明的优选实施例，所述输出打印机7设有数据线、usb插口。

本发明能够将公司内部分割成多个公司内部组织，计算每个公司内部组织的收支，订单记录器可受理所接受订单的数量、金额、客户，并附上订单号进行记录，实绩记录器与订单号一起由记录单元传给公司内部组织的下游的制造单位处理、并交给公司上游的组织内部计算处理单元，计算每个公司内部组织的收支，可将结果打印出来保存。

下面结合具体分析对本发明作进一步描述。

本发明实施例提供的内部计算处理单元，用于对用户文件的加密上传和用户解密下载文件，当文件需要共享时，在加密上传后将用户文件密钥获取到用户端，在用户端对文件密钥进行解密然后再用对方的公钥重新进行加密生成新的文件密钥，然后上传至服务端存储，对方使用文件时使用私钥解密文件密钥进而再解密文件获得最终文件；

用户文件的加密方法包括：

1)初始化建立算法：首先输入包含所有属性的属性集合u，属性在不同的分层中；然后选择一个阶为n＝p1p2p3双线性复合群g，p1、p2、p3为不相同的素数，令表示阶为pi的子群，i＝1,2,3；然后选择随机指数a和α、随机群元素其中，a,α∈zn，zn表示1至n-1的整数；对于u中的|u|个属性元素，选择对应的群元素则公共参数pk和主密钥msk分别为:

pk＝{n,g,g^α,e(g,g)^a,h1,......,hu}；

msk＝{α,x3}；

其中，e(g,g)^a表示双线性对；

2)令属性集合s为属性集合u的分层子集，根据属性集合s、公共参数pk、消息m和一个提前生成的分层门限访问结构(mv,ρ)将属性集合u所有层次的属性均用一个表达式进行加密得到密文ct，其中，函数ρ表示分层访问结构mv中的行到属性的映射；令属性集合s的每一层的属性数量超过该层门限，使s满足分层的访问结构；

3)通过主密钥msk和属性集合s，结合步骤1)中的子群生成密钥sk；

4)通过访问结构mv对应的密文ct和属性集合s对应的密钥sk恢复出消息。

内部计算处理单元，用于对用户文件的加密上传和用户解密下载文件，当文件需要共享时，在加密上传后将用户文件密钥获取到用户端，在用户端对文件密钥进行解密然后再用对方的公钥重新进行加密生成新的文件密钥，然后上传至服务端存储，对方使用文件时使用私钥解密文件密钥进而再解密文件获得最终文件；

具体包括：

步骤一，系统初始化：

用户a与用户b在首次登录系统时进行初始化；

用户a与用户b在完成初始化后即进行登陆系统，登陆过程如下：

用户登录系统，用户端将自动获取存储于第三方存储机构的密钥文件，并通过对注册信息进行哈希计算获取到口令密钥，通过口令密钥解密密钥文件，对密钥文件进行解析后分别获得用户主密钥与用户私钥，并将主密钥与私钥存储于用户端；

步骤二，文件加密上传；

步骤三，密文共享；

步骤四，文件下载解密；

步骤五，注销：

当需要注销时，用户端会自动清除存储于用户端的主密钥与用户私钥；

在步骤一中所述初始化过程包括：

第一步，用户进入注册界面，按要求提供用户名与口令进行注册，然后用户端会根据注册信息在用户端通过哈希函数生成符合对称加密密钥长度要求的用户口令密钥；

第二步，用户端会通过本地函数调用在本地生成大小为m的安全随机数，随机数作为用户的主密钥，m的大小根据对称加密算法对密钥长度的要求来进行确定，与此同时也在本地生成用户的非对称加密的密钥对；

第三步，将生成的用户主密钥与用户私钥通过口令密钥进行加密，生成密文状态的密钥文件，将文件通过编码后上传至第三方平台机构进行存储，存储至用户注册信息列表中；

第四步，将生成的公钥直接上传至用户注册信息列表中，进行存储从而完成注册；

在步骤二中所述文件上传过程包括：

第一步，用户a选择需要加密上传的文件，然后由用户端随机生成一个安全的随机数，长度符合对称加密密钥长度，将随机数作为文件密钥；

第二步，通过使用文件密钥对所选文件进行加密，并将加密结果缓存在本地；

第三步，文件密钥通过用户主密钥进行加密，并且将加密后的文件密钥通过文件拼接的方式拼接到通过第二步加密后的文件前，组成一个新的文件，前m字节为加密后的文件密钥，m字节后为加密后的文件内容；

第四步，用户a将新组成的加密文件上传至服务端进行存储；

在步骤三中所述文件共享具体包括：

第一步，用户a首先在自己的存储空间内选择需要共享的文件，设置文件属性为共享，提供用户查询的窗口，当用户a在窗口内输入用户b的用户名后用户端自动发送查询请求到服务端查询用户b是否存在，如果用户b存在则将返回一个确认信息以及用户b的公钥；

第二步，用户a通过发送请求获取当前所要共享文件的加密后的文件密钥，第三方平台机构接收到请求后则会将第三方平台机构中存储的当前文件密态的文件密钥发送给用户a；

第三步，用户a接收到文件的文件密钥后，通过存储在本地的主密钥解密获取文件的明文状态的文件密钥；

第四步，通过使用在第一步中获取到的用户b的公钥对明文的文件密钥进行加密处理，形成新密态的文件密钥；

第五步，用户a的用户端自动将新加密得到的密钥通过可视化编码为字符串，然后将编码后的密钥上传到第三方平台机构，并在共享文件信息列表中插入一条记录用来存储密钥以及相关信息；

第六步，第三方平台机构根据共享文件信息列表对用户b进行文件标记，使得用户b能够在自己的存储空间中看到并识别出共享文件。

生成密钥sk的方法具体为：

选择一个随机数t∈zn和随机元素并按下式生成的密钥sk：

其中，hi表示与属性集合u中的第i个属性元素对应的群元素。

恢复出消息m具体方法为：

令被定义为i＝{j：ρ(j)∈s}，如果令是秘密s的一个子秘密，则存在常数{ωj∈zn}使得∑j∈iωjλj＝s，其中，a1,...,at-1为任意选取t-1个随机数，zn表示1到n的整数集合；ωj在秘密共享生成矩阵mv大小的多项式时间内总可以被找到，就可以恢复出来主秘密；

利用混合阶双线性群的正交性计算下面式子：

则消息m＝c/m'＝me(g,g)^αs/e(g,g)^αs；

其中，为随机元素，c'、cj、dx为步骤s2中得到的密文ct的部分，k、l、kρ(j)为步骤s3中得到的密钥sk的部分，hρ(j)表示与属性集合u中的第ρ(j)个属性元素对应的群元素。

以上所述仅是对本发明的较佳实施例而已，并非对本发明作任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改，等同变化与修饰，均属于本发明技术方案的范围内。