專利名稱:電子文檔管理程序、系統(tǒng)及方法
技術領域:
本發(fā)明涉及一種電子文檔管理程序���、電子文檔管理系統(tǒng)和電子文檔管理方法���,其使得能夠向第三方證實不公開信息以外的電子數據未被更改并保證了解密信息的原始性,同時對電子數據的部分公開和不公開進行控制�。
背景技術:
近年來由于IT的發(fā)展,中央及地方政府的行政文檔以及私營企業(yè)的書籍及合同的使用和存儲模式正逐漸從紙件轉變?yōu)殡娮蛹?數字信號)�����。更具體地�,由于掃描器的廣泛而普及的應用,當前已能夠容易地將紙文檔轉變成電子數據�。此外,隨著掃描器的分辨率的提高��,目前可以接受以前不允許的紙文檔的電子存儲�,只要這種形式的存儲滿足特定的安全要求即可。
同時�����,隨著對文檔和圖像進行電子存儲的需求的增加,用于安全存儲和管理電子數據的技術變得必不可少�。普遍接受的是對于已經以書面形式保存的文檔的電子存儲必須滿足諸如“檢測并防止篡改”、“識別制定文檔的人員”����、“訪問管理及訪問控制”、以及“歷史管理”的技術要求����,同時保持紙文檔的可信等級。公知的文檔管理系統(tǒng)在滿足這些要求的功能上不令人滿意����。因此�����,已經而且還在努力開發(fā)滿足這些技術要求的“原始性保證系統(tǒng)”并使其市場化���。
對于“原始性保證系統(tǒng)”最普遍使用的安全要素技術是電子簽名���。通過電子簽名能夠識別制定文檔的人員(身份)����,并向第三方證實和確認該文檔自制定該文檔以來未被更改(未篡改性)�����。時間戳技術也是公知的��。該技術是與電子簽名類似的技術����,但是通過時間戳,除了電子簽名的功能外�,還能夠證實完成電子文檔時的時鐘時間。以下將描述三種相關的公知技術����。
(1)存儲原始電子文檔的技術專利文獻1和2(日本專利申請?zhí)亻_公報No.2000-285024和日本專利申請?zhí)亻_公報No.2001-117820)已知為用于保證電子文檔的原始性的技術。
(2)遮蔽(blotting out)電子文檔的技術在非專利文獻1(信息處理協(xié)會/計算機安全委員會(CSEC)論文“TheProblem of Blotting out Electronic Documents”(2003/7/17)(2003-CSEC-22-009))和非專利文獻2(SCIS2004論文“A Technique ofBlotting out Electronic Documents that can Control Disclosure Conditions”)中提出了解決遮蔽電子文檔的問題的方法�。
(3)XACML(eXtensible Access Control Markup Language(可擴展訪問控制標記語言))該技術被OASIS(Organization for the Advancement of StructuredInformation Standards(結構化信息標準推進組織))批準為標準,該技術提供了用于限定訪問XML(eXtensible Markup Language(可擴展標記語言))文檔的權限的規(guī)范���。通過該技術�,可以描述“誰”可以在“哪個地方”通過“哪種權限”訪問資源��。換言之,可以控制需要對諸如“用戶超過二十個”或者“僅注冊用戶”這樣的復雜條件進行判斷的訪問��。
現有技術的原始性保證針對其原件存儲在可清楚識別的位置處的文檔��。換言之����,現有技術基于在對最終格式的原件安全地進行管理的意義上與將紙文檔存儲在帶鎖的柜中類似的思想。于是����,在這種原件存儲環(huán)境下,電子簽名對于在這些條件下保證人員的身份以及文檔的未篡改性非常有效�����。
然而�,從要直接進行添加、修正���、諸如隱藏和處理的局部操作以及四處傳播的文檔(例如,申請書和議案)的原始性保證的角度來看��,普通的電子簽名技術由于本質上不允許任何處理�,所以可能產生障礙�����。換言之,現有技術未考慮對文檔的操作、處理和傳播��,而是針對通過電子簽名來存儲電子數據�����。
現將討論以上所列的現有技術(1)至(3)的問題�����。
(1)存儲原始電子文檔的技術專利文獻1和2提供了一種技術�,該技術在存儲電子數據時提供具有原始紙文檔的特性的電子信息,并防止電子數據被篡改��,并且如果被篡改����,則檢測篡改。
因此����,通過關注作為其存儲位置在組織中可清楚識別的原件安全地存儲和管理最終格式的電子文檔的機制而開發(fā)了該技術����。
在這種原件存儲環(huán)境中��,當對電子文檔進行了修正時�,即使是部分地修正,該修正也被認為是“篡改”��。例如��,當“修正寫在紙上的合同書”時��,“修正者在待修正的字符上劃上雙線并蓋章���,并在右上方的空白中寫上正確字符”��。即使字符被修正�����,合同書的原件仍為正確且可信的原件���。
對于紙件,這種修正行為被官方判斷為經過了正確手續(xù)�,并且可向第三方證實其有效性和可信度。
另一方面�,如果將存儲原件的傳統(tǒng)技術應用于電子文檔,則存在不能確定被修正的部分是篡改還是經過正確手續(xù)進行的修正的問題�,因為目前的電子簽名被設計為可檢測對電子數據進行的任何更改,并以此為特征��。
(2)遮蔽電子文檔的技術論文“the problem of blotting out electronic documents”提出了一種遮蔽電子文檔的技術�����,其能夠解決當文檔被部分隱藏時不能驗證加到文檔上的簽名的問題�����。因此�����,通過應用根據該論文的遮蔽電子文檔的技術��,即使在文檔被遮蔽時也能夠驗證被簽名的電子文檔的簽名�����,并向第三方證實除了被遮蔽的一個或多個部分外該文檔未被更改,“從而使得能夠在部分隱藏(遮蔽)內容的條件下向第三方證實”���。
然而��,根據上述論文的遮蔽電子文檔的技術在部分遮蔽文檔的情況下�����,僅保證制定原始文檔的人員�����,而不能識別遮蔽該文檔的人員��。此外����,該論文描述了可以想到的使用場景��,其中在信息公開系統(tǒng)中產生了遮蔽電子文檔的問題���,從而居民與行政機關發(fā)生爭議�。換言之����,該論文未考慮其中部分遮蔽的文檔在多個實體之間傳播并被這些實體使用的情形���。
此外��,該技術使用散列(hash)信息代替電子文檔的被遮蔽部分�。換言之,不能根據各個查看者的條件和情況對電子文檔的部分公開和不公開進行控制����。此外,查看者不能確認和證實信息的不公開部分是否是制定該文檔的人員制定的并且未被更改�����。
(3)XACML(eXtensible Access Control Markup Language(可擴展訪問控制標記語言))用于建立訪問XML文檔的權限的規(guī)范該技術使得能夠控制“誰”可以在“哪個地方”通過“哪種權限”來訪問資源���。該公知技術是通過特別依賴于以下事實而實現的可對電子文檔的部分公開和不公開進行控制�����,并且可以證實信息的不公開部分未泄露給被授權查看的實體(人員和系統(tǒng))以外的實體���。換言之���,該技術不能證實該信息的不公開部分以外的信息未被更改(原始性、完整性)����,并且不能確認或證實信息的不公開部分是由制定該文檔的人員制定的并且未被更改。
發(fā)明內容因此�����,考慮到上述問題�����,本發(fā)明的目的在于使得能夠對電子文檔的部分公開和不公開進行控制�����,并且能夠向第三方證實該電子文檔的不公開部分以外的信息未被更改并保證解碼信息的原始性����。
為實現以上目的,本發(fā)明提供了以下部分��,該部分用于根據諸如查看者��、系統(tǒng)和時間的條件和情況對電子信息的部分公開和不公開進行控制;還提供了一種技術思想��,該技術思想用于通過生成與電子信息的文本相分離的部分簽名信息(在以下所述的本發(fā)明的實施例中稱為piat簽名信息)����,對部分簽名信息進行分割,以保持和分離電子信息的功能和作用以及部分簽名信息(驗證信息)的功能和作用�,來向第三方證實該電子信息的不公開部分以外的信息未被更改并保證解密信息的原始性���,同時對電子信息的部分公開和不公開進行控制�。
在本發(fā)明的一個方面����,通過提供一種電子文檔管理程序來實現上述目的,該程序用于使計算機執(zhí)行對通過作為原始信息的電子信息制定的文檔信息的管理���,該程序包括部分簽名處理步驟�,用于檢測是否存在對于原始信息的一處或一處以上的更改���,如果檢測到存在更改�����,則識別更改位置或多個更改位置并對部分簽名信息進行處理����,以使得能夠向第三方證實除了所述更改位置或所述多個更改位置以外所述原始信息未被更改;密鑰生成/管理步驟����,用于根據條件和情況生成加密密鑰,該加密密鑰用于控制對所述原始信息的任何部分的訪問��;以及文檔管理步驟��,用于將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理���,同時控制對所述原始信息的任何部分的訪問�����。
優(yōu)選地���,根據本發(fā)明的電子文檔管理程序還包括接收處理步驟,用于接收文檔信息的管理���;時限管理步驟����,用于對在所述密鑰生成/管理步驟中管理的所述加密密鑰的時限信息進行管理;以及信息公布步驟�,用于對在所述文檔管理步驟中管理的所述集成原始信息中的待公布信息進行公布。
優(yōu)選地��,在根據本發(fā)明的電子文檔管理程序中��,所述部分簽名處理步驟包括部分簽名生成步驟��,用于執(zhí)行生成所述部分簽名信息的生成處理���;以及部分簽名驗證步驟,用于利用所述部分簽名信息執(zhí)行驗證處理����。
優(yōu)選地,在根據本發(fā)明的電子文檔管理程序中�����,所述部分簽名生成步驟將所述原始信息分成多個部分�����,并根據每一部分的信息生成部分簽名信息。
在一實施例中���,所述部分簽名生成步驟利用單向(one-directional)散列函數生成所述部分簽名信息��。
在一實施例中���,所述部分簽名生成步驟通過向所述每一部分的信息中添加其它任意信息而生成所述部分簽名信息。
在一實施例中�����,所述部分簽名信息使用隨機數作為待添加到所述每一部分的信息中的任意信息�����。
在一實施例中�,所述部分簽名信息使用時間和日期信息作為待添加到所述每一部分的信息中的任意信息。
在一實施例中�,當所述原始信息通常通過遮蔽而被部分地修正和/或更改時,所述部分簽名生成步驟僅在被更改的一個或多個部分中使用與先前版本不同的任意信息來新的部分簽名信息���,而在被更改的一個或多個部分以外的部分中使用與先前版本相同的任意信息來生成新的部分簽名信息���,任何一種情況都是合適的����。
在一實施例中���,所述部分簽名信息驗證步驟根據條件和情況對所述原始信息的部分公開和不公開進行控制����,并確認除了不公開信息以外所述原始信息未被更改��,并且保證所述不公開信息的原始性���。
優(yōu)選地�����,在根據本發(fā)明的電子文檔管理程序中,所述密鑰生成/管理步驟通過被授權查看和管理所述加密密鑰的實體(人員或系統(tǒng))的公開密鑰對所述加密密鑰進行加密��。
優(yōu)選地�����,在根據本發(fā)明的電子文檔管理程序中,所述時限管理步驟保持與在所述密鑰生成/管理步驟中管理的所述加密密鑰有關的時限信息�����,并利用該時限信息對訪問進行控制���。
優(yōu)選地�,在根據本發(fā)明的電子文檔管理程序中�,當根據在所述時限管理步驟中管理的與加密密鑰有關的時限信息,所述加密密鑰的有效期期滿時���,所述時限管理步驟使所述加密密鑰和對所述原始信息的訪問無效�。
優(yōu)選地��,在根據本發(fā)明的電子文檔管理程序中�����,所述信息公布步驟與所述文檔管理步驟協(xié)作來獲取�����、積累并公布僅被公布的信息���。
優(yōu)選地����,在根據本發(fā)明的電子文檔管理程序中,所述部分簽名處理步驟包括部分簽名生成步驟�����,用于執(zhí)行生成所述部分簽名信息的生成處理��;以及部分簽名驗證步驟�����,用于利用所述部分簽名信息執(zhí)行驗證處理�����。
優(yōu)選地����,在根據本發(fā)明的電子文檔管理程序中����,向所述原始信息和所述部分簽名信息添加電子簽名�����。
優(yōu)選地��,在根據本發(fā)明的電子文檔管理程序中�����,向所述原始信息和所述部分簽名信息添加時間戳���。
優(yōu)選地,在根據本發(fā)明的電子文檔管理程序中��,所述文檔管理步驟處理要作為原始信息進行登記的所有電子信息���,并在原始信息被更改時���,保留舊版本,并將被更改的文檔保存為新登記的文檔����,從而自動管理版本號。
優(yōu)選地�����,所述文檔管理步驟分別管理所述原始信息和所述部分簽名信息,使它們相互關聯并對它們進行集中管理和控制���。
在本發(fā)明的另一方面���,提供了一種電子文檔管理系統(tǒng),該系統(tǒng)用于對通過作為原始信息的電子信息制定的文檔信息進行管理�,該系統(tǒng)包括部分簽名處理部分,其檢測是否存在對于所述原始信息的一處或一處以上的更改����,如果檢測到存在更改,則識別更改位置或多個更改位置并對部分簽名信息進行處理����,以使得能夠向第三方證實除了所述更改位置或所述多個更改位置以外所述原始信息未被更改;密鑰生成/管理部分��,其根據條件和情況生成加密密鑰�,該加密密鑰用于控制對所述原始信息的任何部分的訪問;以及文檔管理部分��,其將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理�����,同時控制對所述原始信息的任何部分的訪問�����。
在本發(fā)明的另一方面�,提供了一種電子文檔管理方法,該方法通過計算機執(zhí)行對通過作為原始信息的電子信息制定的文檔信息的管理�����,該方法包括部分簽名處理步驟���,用于檢測是否存在對于所述原始信息的一處或一處以上的更改���,如果檢測到存在更改,則識別更改位置或多個更改位置并對部分簽名信息進行處理���,以使得能夠向第三方證實除了所述更改位置或所述多個更改位置以外所述原始信息未被更改�����;密鑰生成/管理步驟����,用于根據條件和情況生成加密密鑰,該加密密鑰用于控制對所述原始信息的任何部分的訪問�;以及文檔管理步驟,用于將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理�����,同時控制對所述原始信息的任何部分的訪問�。
因此,本發(fā)明提供了以下優(yōu)點����。
(1)能夠對電子信息的部分公開和不公開進行控制,并證實信息的不公開部分未泄露給被授權查看的實體(人員和系統(tǒng))以外的實體�。
(2)能夠區(qū)分不公開部分和其它部分,并證實信息的不公開部分以外的信息未被更改(原始性��、完整性)��。
(3)能夠識別并證實對不公開進行控制的人員�。
(4)能夠證實信息的不公開部分是由制定該文檔的人員制定的,并且未被更改����。
(5)在電子數據被部分隱藏的情況下�����,能夠證實所述數據的隱藏部分以外的其余部分未被更改。
(6)在電子數據被部分隱藏的情況下���,能夠證實制定非隱藏部分的人員�����。
(7)能夠證實從原件(第一版本)開始的電子數據的歷史(什么時候���、誰、哪個部分或哪些部分�����、哪種方式)��。
(8)能夠在部分遮蔽的狀態(tài)下和/或利用一個版本或一些版本而不用取出在該系統(tǒng)中存儲并管理的所有版本的電子數據來向第三方證實及發(fā)布電子數據����。
圖1是根據本發(fā)明的電子文檔管理系統(tǒng)的示意性框圖,示出了其原理和結構;圖2是下定單信件的生成處理的流程圖���;圖3是在生成處理時的所生成的piat簽名信息的示例的示意性圖示���;圖4是密鑰管理的示意性圖示;圖5是文檔管理部分中的管理TB的示例性條目的示意性圖示��;圖6是下定單信件的確認處理的流程圖���;圖7是定單接受表的顯示示例的示意性圖示��;圖8是要在確認處理中使用的對于批發(fā)商的一組多條參考信息的確認示例的示意性圖示�����;圖9是時限管理部分中的管理TB的示例性條目的示意性圖示���;圖10是下定單信件的接受/認可處理的流程圖;圖11是在接受/認可處理時的所生成的piat簽名信息的示例的示意性圖示��;圖12是要在確認處理中使用的對于信用卡公司的一組多條參考信息組的確認(第一階段)示例的示意性圖示�����;
圖13是要在確認處理中使用的對于信用卡公司的一組多條參考信息組的確認(第二階段)示例的示意性圖示;圖14是應用于使用公共建筑物的申請的實施例的示意性圖示��;圖15是對于使用公共建筑物的申請的接收/登記處理的流程圖��;圖16是針對申請者的公文獲取/查看處理的流程圖���;以及圖17是針對查看者的公文獲取/查看處理的流程圖���。
具體實施方式圖1是根據本發(fā)明實施例的電子文檔管理系統(tǒng)的示意性框圖�����,示出了該電子文檔管理系統(tǒng)的原理和構造�,該電子文檔管理系統(tǒng)是部分完整性保證系統(tǒng),其具有在被授權查看的實體是人(查看者��、用戶)的假設之上形成的查看者控制特征�����。圖1示出的具有查看者控制特征的部分完整性保證系統(tǒng)10包括接收處理部分20�、文檔管理部分30、piat簽名處理部分40�、密鑰生成/管理部分50、時限管理部分60以及信息公布部分70。以下將描述各個部分的構造和作用��。
(接收處理部分20)接收處理部分20是中樞部分�,其接收用戶(90-A、B�、C…)、入口站點提供部分100��、CA(認證機構)200以及TA(時間機構)300輸入的信息并向以上所列部分發(fā)送輸出信息��。該接收處理部分接收來自以上所列部分40至70的處理請求���,并用作文檔管理部分30的處理中介�����,并將處理操作的結果返回給部分40至70�。
(文檔管理部分30)文檔管理部分30接收來自接收處理部分20的輸入處理請求并提供用于執(zhí)行滿足各個請求的處理的部分��。文檔管理部分30由兩個子單元構成���,這兩個子單元包括用于存儲經處理的電子信息的文檔管理DB(數據庫)31和用于管理經處理的電子信息的條目信息的文檔管理TB(表)���。
(文檔管理數據庫31)在文檔管理部分30中對文檔管理數據庫31進行管理���,并且在接收到存儲請求時,該文檔管理數據庫進行操作��,從而以集成的形式存儲電子信息和部分簽名信息��。
(文檔管理表32)在文檔管理部分30中對文檔管理表32進行管理�����,并且該文檔管理表與將電子信息存儲在文檔管理數據庫31中的處理同時管理電子信息的條目信息����。
(piat簽名處理部分40)piat簽名處理部分40接收來自文檔管理部分30的piat簽名處理請求并提供用于執(zhí)行滿足各個請求的處理的部分�。piat簽名處理部分40由兩個子單元構成,這兩個子單元包括piat簽名生成部分41和piat簽名驗證部分42��。
(piat簽名生成部分41)piat簽名生成部分41接收來自文檔管理部分30的piat簽名生成請求并生成電子信息的部分簽名信息�。
(piat簽名驗證部分42)piat簽名驗證部分42接收來自文檔管理部分30的piat簽名驗證請求并驗證電子信息的部分簽名信息。
(密鑰生成/管理部分50)密鑰生成/管理部分50接收來自文檔管理部分30的密鑰生成/管理請求���,并提供用于生成和管理用于對查看者進行控制的加密密鑰的部分���。密鑰生成/管理部分50由用于存儲所生成的加密密鑰的密鑰DB(密鑰數據庫)的子單元構成��。
(密鑰數據庫51)在密鑰生成/管理部分50中對密鑰數據庫51進行管理�,并且在接收到存儲請求時�,該密鑰數據庫進行操作以存儲用于對查看者進行控制的加密密鑰。
(時限管理部分60)時限管理部分60接收來自文檔管理部分30的處理請求���、提取由其進行管理的時限信息并驗證加密密鑰的時限����。
(信息公布部分70)
信息公布部分70接收來自文檔管理部分30的處理請求�,從文檔管理部分30中的文檔管理數據庫31為用戶90獲取、積累并公布僅被公布的信息��。信息公布部分70由作為信息公布數據庫71的子單元構成���。
(信息公布數據庫71)在信息公布部分70中對信息公布數據庫71進行管理����,并且在接收到存儲請求時�,該信息公布數據庫進行操作,從而以集成的形式存儲電子信息和部分簽名信息���。
以上描述了具有查看者控制特征的部分完整性保證系統(tǒng)10的各個部分的構造和作用����。以下將對沿具有查看者控制特征的部分完整性保證系統(tǒng)10外圍存在的外部參與者(external actor)進行描述。
(電子通信信道80)電子通信信道80作為傳送并分發(fā)電子信息和來自各個參與者的處理請求的部分進行操作��。具有查看者控制特征的部分完整性保證系統(tǒng)10以及沿其外圍存在的所有外部參與者都與電子通信信道80相連���。電子通信信道80可符合諸如互聯網�、內聯網�����、外聯網和廣域網的任何通訊協(xié)議����。
(用戶90)用戶90是使用具有查看者控制特征的部分完整性保證系統(tǒng)10和入口站點提供部分100的參與者。用戶90能夠通過電子通信信道80來訪問具有查看者控制特征的部分完整性保證系統(tǒng)10和入口站點提供部分100�����。
(入口站點提供部分100)入口站點提供部分100作為下述的部分進行操作����,該部分提供用于生成向具有查看者控制特征的部分完整性保證系統(tǒng)10傳送處理請求所必需的電子信息的輸入表單和處理菜單��。在某些情況下,其被設置成與具有查看者控制特征的部分完整性保證系統(tǒng)10協(xié)作����。
(CA 200)CA 200是下述的參與者,該參與者將電子簽名(PKI簽名)加到電子信息中�����,從而使得能夠檢驗出制定該電子信息的人員并保證該電子信息未被篡改��。CA是Certificate Authority(認證機構)的縮寫�����,并且其能夠通過采用由該機構頒發(fā)的證書來強調(underline)信息的可靠性和可信度并向第三方嚴格證實���。
(TA 300)TA 300是下述的參與者����,除了PKI簽名以外�,該參與者還將時間戳加到電子信息中,從而保證該電子信息自輸入時間戳時起未被篡改(保證電子信息完成時的時鐘時間)�。TA是Time Authority(時間機構)的縮寫,和CA一樣�����,其能夠通過采用由該機構頒發(fā)的證書來強調信息的可靠性和可信度并向第三方嚴格證實。
以下將通過假設的應用場景來應用描述上述系統(tǒng)的方法�。更具體地說,這里假設兩種應用方案����,包括針對企業(yè)和客戶(B對C企業(yè)對客戶)之間的電子貿易(網絡購物)的信息分發(fā)方案以及地方政府文檔管理系統(tǒng)的信息公布方案。首先����,以下將對用于B對C電子貿易(網絡購物)的信息分發(fā)方案進行描述。
當用戶使用該系統(tǒng)時�����,他或她可以電子地制定下定單信件或者制定紙件下定單信件����,通過掃描器將其轉變成電子信件,然后將該電子信件記錄/存儲為經簽名的下定單信件����。所記錄/存儲的經簽名下定單信件可在多個實體之間分發(fā)���,并且如果必要���,將其呈送給第三方��,用于檢驗該下定單信件的真實性��。當下定單信件在多個實體之間分發(fā)時����,必要時可以要求對其進行部分公開或不公開�����。
例如����,假設將下定單信件從客戶(請求者)發(fā)送至批發(fā)商,然后將其發(fā)送至信用卡公司(清算組織)以進行結帳����。作為重要個人信息可能有必要對批發(fā)商保密信用卡號,同樣作為重要個人信息可能有必要對信用卡公司(清算組織)保密請求者所購買的一個物品或多個��。在這種情況下,需要能對下定單信件的部分公開和不公開進行控制�����,并且必須為保證公開和不公開所進行的操作的恰當性和可信任性(proof-worthiness)��,以證實信息的不公開部分沒有泄露給被授權的一個查看者或多個查看者以外的任何人���,證實除了其不公開部分外該信息未被更改(原始性���、完整性),并證實信息的不公開部分是由請求者制定的并且未被更改�。
因此,用戶使用該系統(tǒng)作為用于保存下述記錄的部分����,當由于下定單信件而引起爭議并將其交給法庭時或者當向第三方證實該下定單信件的真實性時,可以作為證據出示該記錄�。這樣,在本系統(tǒng)的使用場景中出現的角色包括“請求者”�,其向系統(tǒng)登記該下定單信件;“批發(fā)商”����,其響應于請求者的請求接收該下定單信件�,確認請求的內容并處理接收到的定單��;以及“信用卡公司”�����,其響應于“批發(fā)商”的請求接收該下定單信件����,核對結帳的內容并處理該帳戶��。
在上述應用場景中���,該系統(tǒng)向請求者�����、批發(fā)商及信用卡公司提供了以下四種功能�����。
(A)登記功能(在登記時生成由請求者使用的下定單信件)�。
(B)確認功能(要由批發(fā)商和信用卡公司在確認下定單信件的內容時使用)���。
(C)更新功能(要由批發(fā)商和信用卡公司在接收并接受下定單信件時使用)�。
(D)獲取功能(要由請求者、批發(fā)商和信用卡公司在獲取下定單信件時使用)�。
以下將描述以上所列事件(A)至(D)的實現。
這里假設����,該應用場景預先滿足的要求為預先登記了請求者(90-A)的用戶認證信息、批發(fā)商(90-B)的用戶認證信息以及信用卡公司(90-C)的用戶認證信息�����,從而使這些用戶可以使用具有查看者控制特征的部分完整性保證系統(tǒng)10和入口站點提供部分100��,并且對訪問進行嚴格控制���。這里對于該應用場景還假設信息從一開始就是電子信息��。
(下定單信件的生成序列)圖2是下定單信件的生成過程的流程圖�����。
(1)請求者(90-A)通過電子通信信道80使他自己或她自己與入口站點提供部分100相連并訪問批發(fā)商(90-B)提供的網絡購物站點(步驟ST-C1)��。此時�����,假設請求者(90-A)已在該網絡購物站點注冊為用戶���。
(2)請求者(90-A)通常通過其ID和密碼登錄并在下定單信件的輸入表單中輸入必要信息(步驟ST-C2)�����。此時,假設待輸入的信息包括用于識別請求者的個人信息(例如姓名��、地址等)����、用于識別所訂購的一個或多個物品以及該物品或各個物品的訂購數量的定單信息(該物品名稱或各個物品名稱)、以及包括與該請求者的信用卡有關的信息在內的帳戶支付信息(NO)�����。
(3)當請求者(90-A)執(zhí)行輸入后完成處理時�,入口站點提供部分100作為請求者(90-A)的代理向具有查看者控制特征的部分完整性保證系統(tǒng)10發(fā)出制定處理請求(步驟ST-C3)。盡管這里被設置成入口站點提供部分100作為請求者(90-A)的代理發(fā)出制定處理的請求�,然而可以另選地設置成在輸入完成后,入口站點提供部分100將下定單信件的數據(例如���,以用于XML數據的數據格式)返回給請求者(90-A)����,并且請求者(90-A)向具有查看者控制特征的部分完整性保證系統(tǒng)10發(fā)出制定處理請求。
(4)接收處理部分20接收來自入口站點提供部分100的制定處理請求��。該接收處理部分此時接收到的信息包括下定單信件[D1-1](例如���,以用于XML數據的數據格式)并伴隨有保密處理要求����。保密處理要求包括與要加密的一個或多個部分相關的信息(在該示例中為“定單信息”(物品名稱或各個物品名稱)以及“帳戶支付信息(NO)”)以及誰被授權查看(在該示例中僅批發(fā)商被授權查看“定單信息”(物品名稱或各個物品名稱)并且僅信用卡公司被授權查看“帳戶支付信息(NO)”)���。理想的是�,這些要求作為要求策略(requirement policy)由批發(fā)商(90-B)預先在入口站點提供部分100中限定并在接收請求時自動提取��。這樣��,請求者(90-A)可安全地享受網絡購物而不會意識到所限定的安全及控制措施����。如果通過ID來提供和管理要求策略的各個文檔,則可容易地檢索要求策略��。
(5)在接收到請求時,接收處理部分20向文檔管理部分30發(fā)出制定處理請求���。
(6)文檔管理部分30在接收到制定處理請求時�����,向piat簽名處理部分40中的piat簽名生成部分41發(fā)出生成piat簽名信息[H1-1]的請求(步驟ST-C4)��。此時���,給出下定單信件[D1-1]����。piat簽名信息是所謂的部分簽名信息,該部分簽名信息用于檢測對下定單信件進行的任何更改�����,識別被更改的一個或多個部分(一個或多個更改位置)��,此外用于使得能夠向第三方證實該下定單信件除了所述一個或多個更改位置以外未被更改���。由于存在根據piat簽名信息推測下定單信件的內容的問題�����,所以理想的是��,通過組合單向散列函數和隨機數來生成piat簽名信息���。
(7)piat簽名生成部分41在接收到處理請求時����,生成用于下定單信件[D1-1]的piat簽名信息[H1-1](步驟ST-C5)�����。圖3是在生成處理時生成的piat簽名信息的示例的示意圖�����。例如�,字符串“物品A”鏈接到隨機數“456”,從而為字符串“456物品A”生成散列信息����。然后,輸出散列信息“DEF”作為生成結果。在(步驟ST-C5-1)之后����,對另一物品或其它物品中的每一個進行類似的生成處理。盡管在該示例中使用了隨機數�,但是可以利用不使用隨機數的技術來實現該目的。例如����,可以另選地使用表示輸入時間的時鐘時間信息。
(8)文檔管理部分30從piat簽名生成部分41獲取piat簽名信息[H1-1]�����。Piat簽名信息[H1-1]起到上述作用��,同時����,當查看者對不公開信息進行解密時�,使用該piat簽名信息檢驗不公開信息的原始性。因此�����,當此時下定單信件[D1-1]和piat簽名信息[H1-1]已就緒(in place)時���,將請求者(90-A)的采用PKI(公開密鑰基礎設施)的電子簽名(以下簡稱為PKI簽名)和時間戳(以下簡稱為TS)加到各條信息上���,并將這兩條信息集成地存儲在數據庫31中(步驟ST-C6)�。因此��,可以通過采用分別由作為公共組織的CA 200和TA 300頒發(fā)的PKI簽名和時間戳來強調信息的可靠性和可信度并向第三方嚴格證實���。
(9)然后��,操作進入部分加密階段��。為了生成用于加密的密鑰而向密鑰生成/管理部分50發(fā)出生成加密密鑰的請求(步驟ST-C7)�����。這里所使用的信息是以前獲取的保密處理要求并因此基于這些要求生成加密密鑰�。在該示例中�,生成了兩個密鑰,以加密包括“定單信息(物品名稱或各個物品名稱)”和“帳戶支付信息(NO)”在內的兩條信息��。
(10)密鑰生成/管理部分50生成加密密鑰(公用密鑰)�����,一個用于“定單信息(物品名稱或各個物品名稱)”,另一個用于“帳戶支付信息(NO)”�����,并將它們存儲在密鑰數據庫51中(步驟ST-C8)�����。圖4是密鑰數據庫51內部的示意性圖示�。將密鑰以如下所述的方式存儲在密鑰數據庫51中。利用各個可能查看者的公開密鑰信息對各個保密位置的加密密鑰(公用密鑰)進行加密����。在該示例中,利用批發(fā)商(90-B)的公開密鑰信息對用于“定單信息(物品名稱或各個物品名稱)”的加密密鑰進行加密�,并利用信用卡公司(90-C)的用于“定單信息(物品名稱或各個物品名稱)”的公開密鑰信息對用于“帳戶支付信息(NO)”的加密密鑰進行加密。
盡管在該示例中針對單個位置對單個查看者進行控制�����,然而也可靈活地使用類似技術來管理其中針對單個位置對多個查看者進行控制的情形��。此外����,可以通過控制/管理加密密鑰的時限管理部分60來防止加密密鑰(公用密鑰)泄露。換言之�,可以防止包含在通過加密密鑰進行了加密的下定單信件中的重要信息(信用卡號等)泄露。例如�����,可以通過下述的方式對重要信息進行控制來保密所述重要信息可以在新生成下定單信件之后兩個星期內對所生成的下定單信件進行解密(從而可用于對其進行結帳)����,但是兩個星期之后不能對其進行解密。
(11)文檔管理部分30接收來自密鑰產生/管理部分50的加密密鑰�,并通過下定單信件[D1-1]中的各個保密位置的加密密鑰對該位置進行加密(步驟ST-C9)。此時�,將用于下定單信件[D1-1]中的保密位置的隨機數分別與待加密的信息結合,并對它們進行加密(圖3中的步驟ST-C9-1)���。更具體地���,為“定單信息(物品名稱)”加密“456+物品A”,并為帳戶支付信息(NO)加密“789+1234”�。這種產生信息的方式用于使得查看者能夠在查看者解密不公開信息時確認不公開信息的原始性。在完成加密處理后����,暫時存儲部分加密的下定單信件[D1-2]�。此時�,當下定單信件為XML數據格式時希望使用XML部分加密。
(12)隨后���,文檔管理部分30向piat簽名處理部分40中的piat簽名生成部分41發(fā)出生成piat簽名信息[H1-2]的請求�����。此時��,將暫時存儲的部分加密的下定單信件[D1-2]發(fā)送給該piat簽名生成部分(步驟ST-C10)�。
(13)接收到處理請求的piat簽名生成部分41為部分加密的下定單信件[D1-2]生成piat簽名信息[H1-2](步驟ST-C11)����。在生成piat簽名信息時,piat簽名生成部分41通過解密“下定單信件”[D1-1]的“定單信息(物品名稱)”和“帳戶支付信息(NO)”而更改所產生的“定單信息(物品名稱)”的隨機數和“帳戶支付信息(NO)”的隨機數���,然后產生新的piat簽名信息[H1-2]但是使用與下定單信件[D1-1]相同的“名稱”(自最后一次處理以來未被解密并未被更改的單個位置)的隨機數��。因此�,可以通過比較所生成的兩條piat簽名信息[H1-1]和[H1-2]來向第三方證實未更改過“名稱”����,并且其是申請者本人所規(guī)定的。
圖3中的步驟ST-C11-1示出了上述操作�。“定單信息(物品名稱)”的隨機數從“465”更改成“987”���,而“帳戶支付信息(NO)”的隨機數從“789”更改成“654”����,并且將它們與被加密信息(在該示例中假設“定單信息(物品名稱)” 和“帳戶支付信息(NO)”被加密成該示例中的“*****)相鏈接以生成散列信息�,從而作為生成處理的結果,將“定單信息(物品名稱)”和“帳戶支付信息(NO)”分別轉變成“OPQ”和“RST”�����。
(14)文檔管理部分30從piat簽名生成部分41獲取piat簽名信息[H1-2]��。這樣�����,由于部分加密的下定單信件[D1-2]和piat簽名信息[H1-2]此時已就緒��,所以將請求者(90-A)的PKI簽名和TS添加到每一條信息中�����,并將這兩條信息集成并存儲在數據庫31中(步驟ST-C12)。此時�����,為進行管理���,使它們與已經存儲的下定單信件[D1-1]和piat簽名信息[H1-1]分開���。通過這種方式,自動對版本號進行管理�。因此,不管什么時候需要都能通過利用具有版本號管理特征的數據庫31向第三方證實適當版本號的版本狀態(tài)����。
(15)當所有處理步驟都正常完成時,將與下定單信件相關的信息輸入到文檔管理部分30中的管理表32中(步驟ST-C13)�。因此,該管理表的各個條目都包括“文檔名”�����、“文檔ID”��、“用戶NO”、“一個或多個保密位置”��、“部分加密信息”以及“時限信息”��。圖5示出了該表的組成����。由請求者(Hanako Suzuki女士)制定的下定單信件的定單信息(物品名稱)和帳戶支付信息(NO)都通過各個實體的加密密鑰使用時限部分地進行了加密�����,并通過文檔ID=“A001”正確地進行了登記�。在每次登記時將新的信息添加到管理表中。理想的是�,添加PKI簽名和該系統(tǒng)的TS,從而保證條目信息的原始性和可靠性��。
(16)最后����,將所加密的下定單信件[D1-2]返回給請求者(90-A),以正確地結束制定處理(步驟ST-C14)�����。如果出現異常情況,則將該錯誤通知給請求者(90-A)并異常終止該處理�����。在該示例中����,假設將所有版本都存儲在數據庫31中并進行管理,并且僅將加密的下定單信件[D1-2]返回給請求者(90-A)�����。然而����,piat簽名信息[H1-1]和piat簽名信息[H1-2]都可以和該加密的下定單信件[D1-2]一起返回。此時���,請求者(90-A)可通過電子郵件傳送包括加密的下定單信件[D1-2]��、piat簽名信息[H1-1]和piat簽名信息[H1-2]在內的所有三條信息(在圖3中的用于批發(fā)商的一組多條參考信息)���。
(下定單信件的確認序列(在批發(fā)商側))圖6是下定單信件的確認處理的流程圖。
(1)批發(fā)商(90-B)通過某種手段或其他手段接收請求者(90-A)發(fā)出的定單/請求。此時�����,負責批發(fā)商(90-B)的人員可以通過電子通信信道80周期性地將其自己與入口站點提供部分100相連���,并作為用于獲取定單/請求的部分來獲取定單接受表(待處理的列表)�。批發(fā)商(90-B)可以通過電子郵件直接接收由請求者(90-A)發(fā)出的定單/請求�。不管怎樣�,在該示例中,該序列開始于開發(fā)商接收到定單接受表(待處理事務的列表)并確認下定單信件時��。
(2)批發(fā)商(90-B)通過電子通信信道80將其自己與入口站點提供部分100相連(步驟ST-V1)���,接收定單接受表(待處理事務的列表)并對其進行顯示(步驟ST-V2)�。圖7是定單接受表的顯示示例的示意圖����。其示出了之前由請求者((90-A)=Hanako Suzuki女士)制定的下定單信件作為待處理事務顯示。
(3)批發(fā)商(90-B)可以從定單接受表中選擇請求者((90-A)=Hanako Suzuki女士)����。然后入口站點提供部分100向具有查看者控制特征的部分完整性保證系統(tǒng)10發(fā)出確認處理請求(步驟ST-V3)。
(4)接收處理部分20接收來自入口站點提供部分100的確認處理請求。接收處理部分20此時接收的信息是請求者((90-A)=HanakoSuzuki女士)的下定單信件的索引�����。下定單信件的索引是指檢索與包括文檔ID��、用戶NO(客戶代碼)���、制定該下定單信件的人員(客戶名稱)等在內的條目相關的信息所必需的信息���。
(5)在接收到確認處理請求時,接收處理部分20進而向文檔管理部分30發(fā)出確認處理請求����。
(6)在接收到確認處理請求時,文檔管理部分30首先根據下定單信件的索引來檢查管理表32并從數據庫31獲取該下定單信件(步驟ST-V4)�。文檔管理部分30所獲取的信息包括經加密的下定單信件[D1-2]、piat簽名信息[H1-1]和piat簽名信息[H1-2]三條信息[y6]��。換言之�,該信息包括圖3中的用于批發(fā)商的一組多條參考信息。因此����,以下將這三條信息稱作“用于批發(fā)商的該組多條參考信息”。
(7)當完成獲取處理時,文檔處理部分30檢驗被添加到用于批發(fā)商的該組多條參考信息中的PKI簽名和TS的有效性(步驟ST-V5)����。執(zhí)行該檢驗操作來確認該信息自從被存儲在數據庫31中以來未被更改。文檔管理部分30通過電子通信信道80向CA 200查詢PKI簽名并向TA 300查詢TS���,從而獲取驗證結果�。
(8)當確認被添加到用于批發(fā)商的該組多條參考信息中的PKI簽名和TS有效時�����,文檔管理部分30針對用于批發(fā)商的該組多條參考信息向piat簽名處理部分40中的piat簽名驗證部分42發(fā)出確認請求(步驟ST-V6)�����。此時���,發(fā)送用于批發(fā)商的該組多條參考信息。
(9)當接收到處理請求時���,piat簽名驗證部分42利用用于批發(fā)商的該組多條參考信息來執(zhí)行驗證處理(步驟ST-V7)�。圖8是要在該確認處理中使用的用于批發(fā)商的該組多條參考信息的確認示例的示意圖����。參照圖8���,從經加密的下定單信件[D1-2]對隨機數“123”和字符串“HanakoSuzuki(鈴木花子)”進行鏈接,并對字符串“123 Hanako Suzuki(123鈴木花子)”產生散列信息���。結果����,獲得散列信息“ABC”���。此外���,圖8示出了piat簽名驗證部分42從piat簽名信息[H1-2]取出名稱部分的散列信息以用于進行比較和確認(步驟ST-V7-1)。對各個其余物品進行類似的確認處理����。
(10)文檔管理部分30從piat簽名驗證部分42獲取確認結果。然后���,其進入到經加密的下定單信件[D1-2]的解密階段�。在該階段�,文檔管理部分30根據下定單信件的索引獲取管理表32中的“一個或多個保密位置”����、“部分加密信息”和“時限信息”(步驟ST-V8)����。此時,由于可以保證“一個或多個保密位置”和“部分加密信息”已通過批發(fā)商(90-B)的公開密鑰進行了加密�,因此只能保證“定單信息(物品名稱)”可被解密?���!皶r限信息”表示可在其表示的時間和日期前對它們進行解密。此時�,文檔管理部分30向時限管理部分60進行查詢(步驟ST-V9)。
此時����,從文檔管理部分30發(fā)送“文檔ID”和“定單信息(物品名稱)”����,并且時限管理部分60檢查該時限管理部分60的管理表61以獲取時限信息,并將其與當前的時間和日期進行比較����。如果該時限不在當前時間和日期之后��,則該時限管理部分授權解密�,但是如果該時限在當前時間之后��,則其向文檔管理部分30返回拒絕解密(步驟ST-V10)���。不用說���,要求時限管理部分60無任何誤差的精確計時。圖9示出了時限管理部分60的管理表61的內部�����。文檔ID=“A001”的下定單信件表示“定單信息(物品名稱)”和“帳戶支付信息(NO)”都在2005年9月1日零時之前授權解密����,而在該時間之后拒絕任何解密。理想的是���,添加PKI簽名和該系統(tǒng)的TS以保證該條目信息的原始性和可靠性���。
(11)在獲取了加密授權的結果時,文檔管理部分30向密鑰生成/管理部分50發(fā)出獲取加密密鑰的請求(步驟ST-V11)�����。此時,所發(fā)送的信息構成檢索索引����。檢索索引是指文檔ID、制定該文檔的人員以及保密位置(文檔ID制定該文檔的人員保密位置)�。因此,在所示示例中“A001Hanako Suzuki定單信息(物品名稱)”構成了檢索索引���。
(12)密鑰生成/管理部分50根據所述檢索索引來檢索目標密鑰信息(步驟ST-V12)���。
(13)文檔管理部分30從密鑰生成/管理部分50接收加密密鑰并通過批發(fā)商(90-B)的保密密鑰對“經加密的下定單信件[D1-2]”中的“定單信息(物品名稱)”進行解密處理(步驟ST-V13)。此時����,當將批發(fā)商(90-B)的保密密鑰輸入給具有查看者控制特征的部分完整性保證系統(tǒng)10中時,為安全起見有必要采取措施來防止該信息泄露���。例如,可以在將批發(fā)商(90-B)的保密密鑰輸入給該系統(tǒng)之前�,使用通過具有查看者控制特征的部分完整性保證系統(tǒng)10的公開密鑰對該保密密鑰進行加密的技術。
(14)在解密處理后���,確認解密信息的原始性(步驟ST-V14)��。更具體地�����,由于作為解密結果獲得“456+物品A”����,所以根據信息“456+物品A”生成散列信息,從而獲得作為結果的“DEF”�����。于是����,能夠通過從piat簽名信息[H1-1]中的“定單信息(物品名稱)”取出“DEF”并將這兩個“DEF”進行比較,來確認“定單信息(物品名稱)”的原始性(圖8中的步驟ST-V14-1)����。作為該驗證的結果,能夠向第三方證實由請求者(90-A)規(guī)定的下定單信件從制定時起未被更改也未被更換�����,并證實該下定單信件已被加密并且在加密時該下定單信件的任何位置都未被更改,同時證實加密內容的一致性和原始性����。
(15)最后,將驗證結果返回給批發(fā)商(90-B)��,從而正確結束該確認處理(步驟ST-V15)����。如果出現異常情況,則將錯誤通知給批發(fā)商(90-B)并異常終止處理�����。
(下定單信件的接受/認可序列)圖10是下定單信件的接受/認可處理的流程圖��。
(1)當通過由批發(fā)商(90-B)進行的下定單信件的上述確認序列完成來自請求者(90-A)的下定單信件的確認處理時�,操作進行到下定單信件的接受/認可序列。通過下定單信件的接受/認可序列����,批發(fā)商(90-B)接受并認可請求者(90-A)的下定單信件。
(2)當接收到在下定單信件的上述確認序列的最后一個步驟中的驗證結果的通知時����,批發(fā)商(90-B)確認進行接受/認可序列(步驟ST-U1)。
(3)當批發(fā)商(90-B)執(zhí)行完成接受/認可的處理時���,接收處理部分20接收用于接受/認可處理的請求�。
(4)在接收到該請求后���,接收處理部分20向文檔管理部分30發(fā)出接受/認可處理請求(步驟ST-U2)�。
(5)在接收到接受/認可處理請求時���,文檔管理部分30將表示被批發(fā)商(90-B)認可的物品添加到下定單信件[D1-2]的當前最新版本中���,從而生成新的下定單信件[D2],該下定單信件被暫時存儲(步驟ST-U3)����。
(6)向piat簽名處理部分40中的piat簽名生成部分41發(fā)出生成piat簽名信息[H2]的請求(步驟ST-U4)。此時�����,發(fā)送最新版本的下定單信件[D2]�����。
(7)在接收到處理請求時,piat簽名生成部分41為最新版本的下定單信件[D2]生成piat簽名信息[H2](步驟ST-U5)���。圖11是在接受/認可處理時生成的piat簽名信息的示例的示意圖����。將隨機數(“321”)添加到新物品(“認可”)�,并將字符串“認可”與該隨機數相鏈接,以生成字符串“321認可”的散列信息���。圖11示出了輸出散列信息“UVW”作為生成結果(圖11中的步驟ST-U5-1)�。由于所有其它條目都未被更改����,所以使用相同的隨機數來執(zhí)行與最新版本的處理相同的生成處理。
(8)文檔管理部分30從piat簽名生成部分41獲取piat信息[H2]��。由于最新版本的下定單信件[D2]和piat簽名信息[H2]此時已就緒��,所以將TS和批發(fā)商(90-B)的PKI簽名添加到各條信息中��,并將這兩條信息集成地存儲在數據庫31中(步驟ST-U6)��。此時,[D1-1]和[H1-1]與[D1-2]和[H1-2]分開并分別進行管理�,使得可以對版本號進行自動管理。
(9)最后�,將最新版本的下定單信件[D2]返回給批發(fā)商(90-B),以正確終止接受/認可處理(步驟ST-U7)�。如果出現異常情況�����,則將錯誤通知給批發(fā)商(90-B)并異常終止該處理�����。在該示例中���,假設所有版本都存儲在數據庫31中并進行管理�,并且僅將最新版本的下定單信件[D2]返回給批發(fā)商(90-B)�����。然而�����,piat簽名信息[H2]��、piat簽名信息[H1-1]以及piat簽名信息[H1-2]都可以與最新版本的下定單信件[D2]一起返回����。此時,批發(fā)商(90-B)可以通過電子郵件傳送包括最新版本的下定單信件[D2]����、piat簽名信息[H2]、piat簽名信息[H1-1]以及piat簽名信息[H1-2]在內的所有四條信息(圖11中的用于信用卡公司的一組多條參考信息)���。
(下定單信件的確認序列(在信用卡公司側))
對于該下定單信件的確認序列���,使用與用于圖6中所示的批發(fā)商的確認處理的相同的流程圖,因而這里不再示出���。
(1)信用卡公司(90-C)通過某種手段或其他手段接收來自批發(fā)商的結帳請求�。此時�����,信用卡公司(90-C)可以通過電子通信信道80周期性地將其自己與入口站點提供部分100相連�����,并獲取結帳請求(待處理的列表)。另選地��,信用卡公司(90-C)可通過電子郵件直接從批發(fā)商(90-B)接收結帳請求�����。不管怎樣��,在該示例中,該序列開始于開發(fā)商接收清算請求表(待處理的列表)并確認下定單信件之時�����。
(2)信用卡公司(90-C)通常通過電子通信信道80將其自己與入口站點提供部分100相連(步驟ST-V1)�����,獲取并顯示清算請求表(待處理的列表)(步驟ST-V2)��。
(3)當信用卡公司(90-C)從清算請求表中選擇請求者((90-A)=Hanako Suzuki女士)時����,入口站點提供部分100向具有查看者控制特征的部分完整性保證系統(tǒng)10發(fā)出確認處理請求(步驟ST-V3)。
(4)然后�����,接收處理部分20接收來自入口站點提供部分100的確認處理請求����。接收處理部分20此時接收的信息是請求者((90-A)=Hanako Suzuki女士)的下定單信件的索引��。
(5)在接收到確認處理請求時,接收處理部分20進而向文檔管理部分30發(fā)出確認處理請求�����。
(6)在接收到確認處理請求時����,文檔管理部分30首先根據下定單信件的索引來檢查管理表32并從數據庫31獲取該下定單信件(步驟ST-V4)���。文檔管理部分30此時所獲取的信息包括四條信息�����,即[y7]����,最新版本的下定單信件[D2]����、piat簽名信息[H2]、piat簽名信息[H1-1]和piat簽名信息[H1-2]����。換言之,該信息包括圖11中的用于信用卡公司的該組多條參考信息�����。因此,以下將這四條信息稱作“用于信用卡公司的該組多條參考信息”����。
(7)當完成獲取處理時,文檔處理部分30檢驗被添加到用于信用卡公司的該組多條參考信息的PKI簽名和TS的有效性(步驟ST-V5)��。
(8)當確認被添加到用于信用卡公司的該組多條參考信息的PKI簽名和TS有效時��,文檔管理部分30針對用于信用卡公司的該組多條參考信息向piat簽名處理部分40中的piat簽名驗證部分42發(fā)出確認請求(步驟ST-V6)。此時����,發(fā)送用于信用卡公司的該組多條參考信息。
(9)當接收到處理請求時�����,piat簽名驗證部分42利用用于信用卡公司的該組多條參考信息來執(zhí)行驗證處理(步驟ST-V7)�����。在第一階段����,利用包括最新版本的下定單信件[D2]、piat簽名信息[H2]�����、和piat簽名信息[H1-2]在內的三條信息來執(zhí)行所述確認處理���。
圖12是要在確認處理中使用的用于信用卡公司的該組多條參考信息的確認(第一階段)的示例的示意圖�。參照圖12��,從最新版本的下定單信件[D2]對隨機數“123”和字符串“Hanako Suzuki(鈴木花子)”進行鏈接,并對字符串“123 Hanako Suzuki(123鈴木花子)”產生散列信息���。結果���,獲得散列信息“ABC”。此外��,圖12示出了從piat簽名信息[H2]取出名稱部分的散列信息����,以進行比較和確認(步驟ST-V7-1piat驗證-1)。對各個其余物品進行類似的確認處理����。
當確認piat驗證-1的結果不存在問題時,隨后對于各個條目從piat簽名信息[H1-2]和piat簽名信息[H2]取出散列信息并進行比較以識別一個或多個更改位置(步驟ST-V7-2piat驗證-2)�。通過本示例的piat驗證-2�����,可以確認包括“名稱”��、“物品名稱”和“NO”在內的條目自從制定加密文檔[D1-2]之時起未被更改��,并且對于“認可”條目,因為在根據加密文檔[D1-2]生成的piat簽名信息[H1-2]中不存在與“認可”條目有關的散列信息��,所以在制定最新版本的下定單信件[D2]時添加該“認可”條目�。此外,能夠根據添加到各條信息中的PKI簽名和TS來確認以下條目���。
對于條目“名稱”��、“物品名稱”和“NO”來說�����,確認對于它們加密文檔[D1-2]未被更改���。因此,能夠確認請求者(90-A)制定了加密文檔[D1-2]的和批發(fā)商(90-B)添加了“認可”條目�����。能夠通過提供用于信用卡公司的該組多條參考消息和被添加到用于信用卡公司的該組多條參考消息的PKI簽名和TS對以上內容進行確認。
(10)文檔管理部分30從piat簽名驗證部分42獲取第一階段的確認結果。然后�����,其利用包括最新版本的下定單信件[D2]和piat簽名信息[H1-1]在內的兩條信息來進行第二階段的確認處理���。圖13是要在該確認處理中使用的用于信用卡公司的該組多條參考信息的確認(第二階段)的示例的示意圖�。首先���,對最新版本的下定單信件[D2]進行解密����。文檔管理部分30根據下定單信件的索引在管理表32中獲取“一個或多個保密位置”�、“部分加密信息”和“時限信息”(步驟ST-V8)。
此時�,由于可以保證“一個或多個保密位置”已通過信用卡公司(90-C)的公開密鑰進行了加密,所以只能保證“帳戶支付信息(NO)”可被解密�。此時,文檔管理部分30向時限管理部分60進行查詢(步驟ST-V9)�。于是,從文檔管理部分30發(fā)送“文檔ID”和“帳戶支付信息(NO)”�����,并且時限管理部分60檢查該時限管理部分60的管理表61(參見圖9)以獲取時限信息�,并將其與當前時間和日期進行比較�����。如果該時限未在當前時間和日期之后,則該時限管理部分授權解密�����,但是如果該時限在當前時間之后�,則其向文檔管理部分30返回拒絕解密(步驟ST-V10)。
(11)在獲取到加密授權的結果時�����,文檔管理部分30向密鑰生成/管理部分50發(fā)出獲取加密密鑰的請求(步驟ST-V11)���。此時����,所發(fā)送的信息構成檢索索引�。檢索索引是指文檔ID、制定文檔的人員以及保密位置(文檔ID制定文檔的人員保密位置)��。因此�,在所示示例中,“A001Hanako Suzuki帳戶支付信息(NO)”構成了檢索索引��。
(12)密鑰生成/管理部分50根據所述檢索索引來檢索目標密鑰信息(步驟ST-V12)。
(13)文檔管理部分30從密鑰生成/管理部分50接收加密密鑰�����,并通過信用卡公司(90-C)的保密密鑰對最新版本的下定單信件[D2]中的“帳戶支付信息(NO)”進行解密處理(步驟ST-V13)���。
(14)在解密處理后�,確認與解密有關的信息的原始性(步驟ST-V14)���。更具體地��,由于作為解密結果獲取到“789+1234”����,所以根據信息“789+1234”生成散列信息�����,從而獲得作為結果的“GHI”����。于是,能夠通過從piat簽名信息[H1-1]中的“帳戶支付信息(NO)”取出“GHI”并將這兩個“GHI”進行比較�����,來確認“帳戶支付信息(NO)”的原始性(圖13中的步驟ST-V14-1)����。作為經過第一階段和第二階段的該驗證的結果,能夠向第三方證實批發(fā)商(90-B)執(zhí)行附加處理時由請求者(90-A)規(guī)定的下定單信件自制定之時起未被更改并未被更換����,并證實該下定單信件已被加密并且在加密時該下定單信件的任何位置都未被更改,同時證實加密內容的一致性和原始性��。
(15)最后��,將驗證結果返回給信用卡公司(90-C)�,以正確結束該確認處理(步驟ST-V15)。如果出現異常情況�,則將錯誤通知給信用卡公司(90-C)并異常終止該處理。
(下定單信件的獲取序列)包括請求者(90-A)��、批發(fā)商(90-B)和信用卡公司(90-C)在內的各個用戶都可以獲取在信息公布部分70中的信息公布數據庫71中積累的任何下定單信件的信息�����?����?梢詫Φ谌绞褂煤统鍪舅@取的信息�,以確認和驗證已被處理的下定單信件,并且當在有關方之間引起諸如訴訟的爭議時�����,可以對第三方使用和出示所獲取的信息�。在該獲取序列中的獲取處理和確認并驗證與下定單信件有關的所獲取信息的處理與用于確認下定單信件的上述序列的那些相同���,因此這里不再進一步描述����。
以下將對適于使用本系統(tǒng)的地方政府文檔管理系統(tǒng)的信息公布方案進行描述�����。
當用戶使用該系統(tǒng)時,他或她記錄并存儲電子地制定的具有簽名的地方政府公文�����。此外����,所記錄/存儲的并經簽名的公文可以分發(fā)給公開請求者,在必要時,將其呈送給第三方�����,以用于檢驗所公開的公文的真實性��。當將其分發(fā)給公開請求者時����,在必要時可以要求對其進行部分公開或不公開����。
例如�,可以設想在送達該公開請求者的途中要求公文對第三方部分保密�����。更具體地��,公文的一個部分或一個以上的部分可能必須對第三方保密���,以使得只有該公開請求者能夠看到公文的該部分或該多個部分���,或者一個部分或一個以上的部分可能必須不僅對第三方而且對該公開請求者完全遮蔽和保密��。
當公文的一個部分或一個以上部分可能必須對第三方保密時�����,要求可以對公文的部分公開和不公開進行控制,并且必須保證對于公開和不公開所進行的操作的恰當性和可信任性����,以證實信息的不公開部分沒有泄露給被授權的一個或多個查看者以外的任何人,證實除了該信息的不公開部分以外該信息未被更改(原始性、完整性)���,并證實該信息的不公開部分是由該請求者制定的并且未被更改。
因此��,用戶使用該系統(tǒng)作為保存下述記錄的部分,當由公文引起爭執(zhí)并被交給法庭時或者當向第三方證實該公文的真實性時,該記錄可以作為證據出示。以下���,將作為示例描述使用公共建筑物的申請��。
因此�,在本系統(tǒng)的應用場景中出現的角色包括“申請人”�,其申請使用公共建筑物;“行政區(qū)官員”�,其接收來自申請人的申請并將其作為公共文檔登記在本系統(tǒng)中�;以及“查看者”�����,其請求公開一組公共文檔���。
圖14是應用于使用公共建筑物的申請的實施例的示意圖。圖14的地方政府文檔管理系統(tǒng)與作為根據本發(fā)明的系統(tǒng)的具有查看者控制特征的部分完整性保證系統(tǒng)10相對應。圖14中的電子申請接收服務器與圖1中的接收處理部分20和入口站點提供部分100相對應����,圖14中的文檔管理服務器與圖1中的文檔管理部分30相對應�,而圖14中的piat處理服務器和密鑰管理服務器�、時限管理服務器、信息公布服務器和申請人/查看者分別與圖1中的piat簽名處理部分40�、密鑰生成/管理部分50、時限管理部分60����、信息公布部分70和用戶90相對應�����,CA和TA(認證機構)分別與圖14中的CA 200和TA 300相對應�����。
以下將描述該實施例的各個角色及其動作����。
(行政區(qū)居民(申請人/使用者))申請人電子地提出使用公共建筑物的申請�����。此時��,申請人可以使用個人計算機�����、手機或者PDA(個人數字助理)來進行該申請�����。
(地方政府文檔管理系統(tǒng)�、行政區(qū)官員)行政區(qū)官員接收來自行政區(qū)居民(申請人/使用者)的電子申請表���、制定草案����、獲得必要的批準�、發(fā)送許可、保存相關文檔、檢索必要文檔以及公布這些文檔中的任意文檔����。地方政府文檔管理系統(tǒng)包括六個模塊�,包括電子申請接收服務器���、文檔管理服務器����、信息公布服務器、時限管理服務器�����、piat處理服務器以及密鑰管理服務器。以下將描述各個模塊的操作�。
(電子申請接收服務器)電子申請接收服務器接收來自行政區(qū)居民(申請人/使用者)的電子申請���。該服務器還用作入口站點。
(文檔管理服務器)文檔管理服務器管理和保存出示給行政區(qū)居民(申請人/使用者)的官方批文。
(信息公布服務器)信息公布服務器遮蔽批文的保密部分�����、保存這些文檔并將它們公布給行政區(qū)居民(查看者)�����。
(時限管理服務器)時限管理服務器控制從行政區(qū)機關公布的官方批文的保密位置的公開和不公開�����。
(piat處理服務器)piat處理服務器進行操作���,以對保存在文檔管理服務器中的任意批文生成部分簽名并驗證部分簽名。
(密鑰管理服務器)密鑰管理服務器進行操作���,以生成并管理用于對保存在文檔管理服務器中的任何批文的查看者進行控制的加密密鑰���。
(行政區(qū)居民(查看者))����,(審計者�����、警察、行政區(qū)居民等)行政區(qū)居民可以檢索并查看由行政區(qū)機關公布的任何官方批文����。必要時���,行政區(qū)居民可以請求向第三方證實。以下將這些角色統(tǒng)稱為“查看者”��。
(CA、TA(認證機構))CA和TA提供電子簽名���、時間戳以及用于向第三方證實的其它信息�����,并確認電子簽名和時間戳的有效性���。
(公共建筑物(體育館、游泳池等)的接待)各個公共建筑物的接待接收各個使用者的許可并檢驗該許可的有效性和真實性���。
在上述應用場景中��,本系統(tǒng)向申請人���、行政區(qū)官員和查看者提供以下三種功能����。
(A)接收功能(由申請人在申請時使用)(B)登記功能(由行政區(qū)官員在登記公文時使用)(C)獲取功能(由申請人和查看者在獲取公文時使用)以下將描述以上所列事件(A)至(C)的實現����。
這里假設對于該應用場景要預先滿足以下要求預先登記包括申請人、行政區(qū)官員和查看者在內的用戶的用戶認證信息�,以使這些用戶可以使用該系統(tǒng)�,并且對訪問進行嚴格控制�。
(申請的接收/登記序列)圖15是使用公共建筑物的申請的接收/登記處理的流程圖��。
(1)申請人通過互聯網將其自己與電子申請接收服務器相連并訪問該電子申請接收服務器。此時,假設申請人已在該電子申請接收服務器登記為用戶。申請人通常通過其ID和密碼進行登錄并在申請輸入表中輸入必要信息�。此時,假設待輸入的信息包括用于識別申請人的個人信息(例如,姓名�����、地址)����、使用地點、使用日期����、使用時間區(qū)間等�。當申請人執(zhí)行輸入后完成處理時��,該申請表被暫時存儲在電子申請接收服務器中���。
(2)第二天由行政區(qū)官員對積累在電子申請接收服務器中的申請表進行處理以進行接受/確認�,并依次進行處理以進行接受���、起草和批準�。此時��,各個申請都與安全策略相關聯并且在起草時限定一個或一個以上的保密位置�。
(3)當完成上述接受/確認處理時��,操作進行到保存階段�����。行政區(qū)官員向文檔管理服務器發(fā)出保存處理的請求。
(4)在接收到保存處理請求時,文檔管理服務器向piat處理服務器發(fā)出生成piat簽名信息[H1-1]的請求�����。此時,發(fā)送申請表[D1-1]�����。
(5)在接收到生成請求時,piat處理服務器為申請表[D1-1]生成piat簽名信息[H1-1]�����。示出了生成piat簽名信息的示例的圖3也適用于該生成處理����。此外�����,在加密處理中使用的生成piat簽名信息的方法的基本原理與用于第一種場景中的上述基本原理相同��,因此在此不再進一步描述���。文檔管理服務器從piat處理服務器獲取piat簽名信息[H1-1]��。
(6)在從piat處理服務器接收到piat簽名信息[H1-1]時��,文檔管理服務器進行到添加PKI簽名和TS的階段��。由于申請表[D1-1]和piat簽名信息[H1-1]此時已就緒,所以文檔管理服務器將PKI簽名和TS加到各條信息中�。因此���,可以通過采用分別由作為公共組織的CA和TA頒發(fā)的PKI簽名和時間戳來強調該信息的可靠性和可信度并向第三方嚴格證實�����。
(7)將分別加上了PKI簽名和TS的包括申請表[D1-1]和piat簽名信息[H1-1]在內的兩條信息作為原件集成地保存在文檔管理服務器中的分類數據庫中��。
(8)然后��,操作進行到部分加密階段��。向密鑰生成/管理服務器發(fā)出生成加密密鑰的請求,以生成用于加密的密鑰�。此時����,對起草時限定的一個或多個保密位置進行處理,以進行加密����。在該示例中����,假設包括“姓名”、“地址”和“電話號碼”在內的三條信息被加密�,并對這些信息進行保密控制,以使得在請求公開文檔時只有申請人能看到它們���。換言之�,可以根據信息公開法來查看該申請表���,但是從個人信息保護法的角度對以上三條信息進行保密�����。
(9)密鑰管理服務器生成用于“姓名”、“地址”和“電話號碼”的加密密鑰(公共密鑰)����,并將其存儲在密鑰管理服務器中。更具體地��,以如下所述的方式存儲該加密密鑰。通過該示例中的申請人的公開密鑰信息對用于“姓名”���、“地址”和“電話號碼”的加密密鑰(公共密鑰)進行加密����。由于在該示例中不存在多個查看者并因此足以針對所述三條信息對單個查看者進行控制,所以當使用相同的密鑰來控制/管理信息時不會出現問題�。此外,在時限管理服務器控制/管理加密密鑰(公共密鑰)時��,保護該加密密鑰在解密后不會泄露�����。換言之�,能夠防止包含在經加密的申請表中的以上所列的三條信息泄露。例如�����,可以通過設置為使得申請表可以在自申請時起兩年內進行解密(并因此而被查看),但是在自申請時起經過兩年后不能進行解密��,來保證申請表的安全性�。
(10)文檔管理服務器接收來自密鑰管理服務器的加密密鑰,并執(zhí)行對申請表[D1-1]中的保密位置的加密處理���。在加密處理時的生成piat簽名信息的操作與以上參照圖3針對步驟ST-C9-1所描述的相同�����。此外�,在加密處理中使用的生成piat簽名信息的方法的基本原理與以上針對第一種場景所述的相同�����,因此在此不再進一步描述���。
(11)隨后����,文檔管理服務器向piat處理服務器發(fā)出生成pait簽名信息[H1-2]的請求����。此時,將暫時存儲的部分加密的申請表[D1-2]發(fā)送給該piat處理服務器�。
(12)接收到處理請求的piat處理服務器為部分加密的申請表[D1-2]生成piat簽名信息[H1-2]。在生成piat簽名信息時��,piat處理服務器更改來自申請表[D1-1]的被加密的“姓名”��、“地址”和“電話號碼”的隨機數�����,隨后產生新的piat簽名信息[H1-2]�,但是使用與申請表[D1-1]的相同的“使用地點”、“使用日期”和“使用時間區(qū)間”(它們是自最后一次處理以來未被加密且未被更改的位置)的隨機數�����。因此��,可以通過對所生成的兩條piat簽名信息[H1-1]和[H1-2]進行比較來向第三方證實加密位置以外的任何位置未被更改����。以上參照圖3針對第一種場景給出的步驟ST-C11-1的描述也適用于此,并且基本原理與第一種場景的相同����。文檔管理服務器從piat處理服務器獲取piat簽名信息[H1-2]�����。
(13)從piat處理服務器接收到piat簽名信息[H1-2]的文檔管理服務器隨后進行到添加PKI簽名和TS的階段�����。由于此時申請表[D1-2]和piat簽名信息[H1-2]已就緒���,所以文檔管理服務器將TS和申請人的PKI簽名加到各條信息中。因此�����,可以通過采用分別由作為公共組織的CA 200和TA 300頒發(fā)的PKI簽名和時間戳來強調該信息的可靠性和可信度并向第三方嚴格證實��。
(14)將分別加上了PKI簽名和TS的包括申請表[D1-2]和piat簽名信息[H1-2]在內的兩條信息作為原件集成地保存在文檔管理服務器中的分類數據庫中�����。此時�,為進行管理,使它們與已經存儲的申請表[D1-1]和piat簽名信息[H1-1]分開�。通過這種方式,自動對版本號進行管理����。因而,不管什么時候需要都可以通過利用具有版本號管理特征的數據庫向第三方證實適當版本號的版本狀態(tài)�����。當所有處理步驟都正常完成時��,將與申請表有關的信息輸入到文檔管理服務器中的管理表中�。該文檔管理服務器中的管理表的條目設置與圖5中的相同。多條基本信息及其設置與以上參照圖5所述的相同��,因此這里不再對它們進行進一步描述���。
(15)最后����,將目前為最新版本的申請表[D1-2]上載到信息公布服務器并對其進行登記�����,并且公開索引����。
(16)正常結束對使用公共建筑物的申請的接受/登記處理并將使用許可發(fā)送給申請人���。如果出現異常情況,則將錯誤通知給申請人并異常終止該處理����。
(17)在該處理結束后,接收到使用許可的申請人可使用該公共建筑物��。該公共建筑物的接待終端配備有條形碼讀取器���,以使得負責該公共建筑物的人員能夠讀取印制在使用許可上的條形碼����,并且必要時與行政區(qū)機構中的文檔管理服務器實時地進行通信����,以確認該使用許可的有效性。以上描述了申請的接受/登記序列���。
下面對公共文檔的獲取/查看序列進行描述����。對于以下將描述的公共文檔的獲取/查看序列,假設兩種場景�,這兩種場景包括其中查看者從信息公布服務器獲取并查看由申請人提交并被行政區(qū)機關接收、認可�、保存和公布的、作為公文的使用公共建筑物的申請表的場景���;以及其中不是申請人而是行政區(qū)居民、審計者或者警官的第三方獲取并查看申請表的場景���。
首先�����,以下將對申請人本人進行的公共文檔的獲取/查看序列進行描述����。
((申請人)獲取/查看序列)圖16是針對申請人的公文獲取/查看處理的流程圖�。
(1)申請人通過互聯網將其自己與信息公布服務器相連并對其進行訪問。這里假設該申請人已在信息公布服務器中登記為用戶����。申請人通常通過使用ID或密碼進行登錄。信息公布服務器保存有所公開公文的索引�����,并且申請人可以從索引列表獲得其想要獲取的公文并查看。這里還假設申請人獲取并查看作為由該申請人自己提交的使用公共建筑物的申請表的公文�����。
(2)在接收到來自申請人的獲取/查看請求時��,信息公布服務器參照指定索引來瀏覽數據庫����,以檢索指定公文,如果找到��,則從數據庫獲取該公文的原件�����。此時�,信息公布服務器獲取包括加密公文[D1-2]、piat簽名信息[H1-1]和piat簽名信息[H1-2]在內的三條信息����。以下將這三條信息稱為“piat驗證信息組”。
(3)當完成獲取處理時��,信息公布服務器確認被加到piat驗證信息組的PKI簽名和TS的有效性。由于是在上載到信息公布服務器之后進行驗證���,所以該確認是必須的����,并且信息公布服務器需要檢驗該信息是否已被更改�����。對于PKI簽名���,信息公布服務器向TA查詢CA和TS,并獲得驗證結果�����。
(4)當確認被加到piat驗證信息組的PKI簽名和TS有效時����,信息公布服務器向piat處理服務器發(fā)出驗證該piat驗證信息組的請求。此時���,piat驗證信息組被發(fā)送給piat處理服務器�����。
(5)在接收到該驗證請求時��,piat處理服務器利用該piat驗證信息組執(zhí)行驗證處理�。piat簽名信息的確認處理與以上參照圖8所述的相同。此外����,確認piat簽名信息的方法的基本原理與上述的相同,因此在此不再進一步描述���。
(6)信息公布服務器獲取來自piat處理服務器的確認結果�。然后���,該操作進行到對加密公文[D1-2]進行解密的階段��。在該階段中��,信息公布服務器向時限管理服務器發(fā)出時限確認請求����。時限管理服務器瀏覽保存在該時限管理服務器中的管理表�����,獲取可用時限,并將其與當前時間和日期進行比較��。如果該時限不在當前時間和日期之后�����,則向信息公布服務器發(fā)送回解密許可��,而如果該時限在當前時間和日期之后�,則向信息公布服務器發(fā)送回解密拒絕。不用說���,必須要求時限管理服務器無任何誤差地精確保持當前時間和日期����。時限管理服務器中的管理表的條目設置與圖9的相同����。多條基本信息及其設置與以上參照圖9所述的相同�����,因此這里不再對它們進行進一步的描述。
(7)當信息公布服務器獲得解密許可時���,其向密鑰管理服務器發(fā)出獲取對應加密密鑰的請求����。此時發(fā)送給密鑰管理服務器的信息為檢索索引�����。檢索索引是指“文檔ID制定文檔的人員一個或多個保密位置”��。然后���,密鑰管理服務器利用檢索索引來檢索目標密鑰信息���。
(8)信息公布服務器從密鑰管理服務器接收加密密鑰,并通過申請人的保密密鑰對加密公文[D1-2]中的“姓名”��、“地址”和“電話號碼”進行解密處理��。
(9)在解密處理之后�,確認解密信息的原始性。該操作與前面參照圖8所述的步驟ST-V14-1相同并基于相同的基本原理�。作為該驗證的結果��,能夠向第三方證實由申請人規(guī)定的該申請表自制定之時起未被更改并未被更換����,并證實該公文已被加密并且在加密時該公文的任何位置都未被更改��,同時證實加密內容的一致性和原始性��。由于申請人自己對加密位置進行解密�����,所以不必確認解密信息的原始性���。
(10)最后�����,將驗證結果和該公文一起返回給申請人�����,并且申請人確認其內容,從而正確地終止該獲取/查看處理��。如果出現異常情況,則將該錯誤通知給申請人并異常終止該處理�����。
以下將對由申請人本人以外的人員進行的公共文檔的獲取/查看序列進行描述����。
((查看者)公文獲取/查看序列)圖17是公文獲取/查看處理的流程圖。
(1)查看者通過互聯網將其自己與信息公布服務器相連并對其進行訪問�。這里假設該查看者已在信息公布服務器中登記為用戶。該查看者通常使用ID或密碼進行登錄���。信息公布服務器保存有所公開公文的索引��,并且查看者可以從索引列表中獲得其想要獲取和查看的公文���。
(2)在接收到來自查看者的獲取/查看請求時,信息公布服務器參照指定的索引來瀏覽數據庫��,以檢索指定公文���,如果找到�,則從數據庫獲取該公文的原件���。此時���,信息公布服務器獲取包括加密公文[D1-2]�����、piat簽名信息[H1-1]和piat簽名信息[H1-2]在內的三條信息����。以下將這三條信息稱為“piat驗證信息組”���。
(3)當完成獲取處理時����,信息公布服務器確認被加到piat驗證信息組的PKI簽名和TS的有效性�。由于在上載到信息公布服務器之后進行驗證,所以該確認是必須的�����,并且信息公布服務器需要檢驗該信息是否已被更改���。對于PKI簽名�����,信息公布服務器向TA查詢CA和TS�,并獲取驗證結果�����。
(4)當確認被加到piat驗證信息組的PKI簽名和TS有效時�,信息公布服務器向piat處理服務器發(fā)出驗證該piat驗證信息組的請求。此時��,piat驗證信息組被發(fā)送到piat處理服務器��。
(5)在接收到該驗證請求時���,piat處理服務器利用該piat驗證信息組執(zhí)行驗證處理��。piat簽名信息的確認處理與以上參照圖8所述的相同��。此外���,確認piat簽名信息的方法的基本原理與上述的相同,因此在此不再進一步描述。
(6)最后����,將驗證結果和該公文一起返回給查看者,并且查看者確認其內容�����。查看者獲取以下多條信息作為驗證結果��。首先�����,查看者可以確認“姓名”����、“地址”和“電話號碼”被行政區(qū)官員遮蔽,并且除了以上所列的保密位置以外的相關位置(“使用地點”���、“使用日期”和“使用時間區(qū)間”)自申請之時起未被更改�����。此時����,盡管還可以看到所述保密位置以外的規(guī)定該公文的人員,但是從個人信息保護的角度來看��,不公開規(guī)定該公文的人員�����。這樣�����,獲取/查看處理正確終止�����。如果出現異常情況��,則將錯誤通知給申請人并異常終止該處理����。
當警察調查該事情以了解申請人本人是否將該公文用作借口時�����,或者當警察懷疑某一案件并利用公文來查看行政區(qū)體育館是否在所提到的時間和日期被使用時,會發(fā)生上述的應用場景��。在這種具體情況下���,警官可作為查看者查看公文并如申請人所能做的那樣對被遮蔽的位置進行解密���,以了解該公文中的所有信息。在這兩種情況下��,都能獲得上述結果�����。
因而����,本發(fā)明的上述實施例可以滿足任何公知技術及其組合不能滿足的要求。此外����,與最接近的公知技術相比,上述實施例能夠確定被遮蔽(被更改)文檔的完整性和原始性����。
通過本發(fā)明的上述實施例���,可以使計算機將根據本發(fā)明的處理步驟作為電子文檔管理程序存儲在計算機可讀記錄介質中,并使該計算機執(zhí)行該程序���?����?捎糜诒景l(fā)明的目的的計算機可讀記錄介質包括諸如CD-ROM、軟盤����、DVD、磁光盤和IC卡的便攜式存儲介質��;適于保存計算機程序的數據庫����;其它計算機;這些計算機的數據庫�;以及通信線路上的傳輸介質。
權利要求
1.一種電子文檔管理程序��,該程序用于使計算機執(zhí)行對通過作為原始信息的電子信息制定的文檔信息的管理�,該電子文檔管理程序包括以下步驟部分簽名處理步驟�,用于檢測是否存在對所述原始信息的一處或一處以上的更改���,如果檢測到存在更改�����,則識別一個或多個更改位置并對部分簽名信息進行處理����,以使得能夠向第三方證實除了所述一個或多個更改位置以外所述原始信息未被更改����;密鑰生成/管理步驟,用于根據條件和情況生成加密密鑰���,該加密密鑰用于控制對所述原始信息的任何部分的訪問���;以及文檔管理步驟,用于將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理�����,同時控制對所述原始信息的任何部分的訪問��。
2.根據權利要求
1所述的電子文檔管理程序,其中所述密鑰生成/管理步驟中的所述條件包括查看者���。
3.根據權利要求
1所述的電子文檔管理程序��,該程序還包括接收處理步驟�,用于接收文檔信息的管理�����;時限管理步驟���,用于對在所述密鑰生成/管理步驟中管理的所述加密密鑰的時限信息進行管理;以及信息公布步驟����,用于公布在所述文檔管理步驟中管理的所述集成原始信息中的待公布信息。
4.根據權利要求
1所述的電子文檔管理程序��,其中所述部分簽名處理步驟包括部分簽名生成步驟���,用于執(zhí)行生成所述部分簽名信息的生成處理���;以及部分簽名驗證步驟�����,用于利用所述部分簽名信息來執(zhí)行驗證處理���。
5.根據權利要求
4所述的電子文檔管理程序,其中所述部分簽名生成步驟將所述原始信息分成多個部分�,并根據各個部分的信息來生成所述部分簽名信息。
6.根據權利要求
1所述的電子文檔管理程序��,其中所述密鑰生成/管理步驟通過被授權查看并管理所述加密密鑰的實體(人員或系統(tǒng))的公開密鑰對所述加密密鑰進行加密�����。
7.根據權利要求
3所述的電子文檔管理程序�����,其中所述時限管理步驟保存與在所述密鑰生成/管理步驟中管理的所述加密密鑰有關的時限信息�����,并利用該時限信息對訪問進行控制��。
8.根據權利要求
3所述的電子文檔管理程序�����,其中在所述加密密鑰的有效期根據在所述時限管理步驟中管理的與加密密鑰有關的時限信息而過期時,所述時限管理步驟使所述加密密鑰和對所述原始信息的訪問無效�����。
9.根據權利要求
3所述的電子文檔管理程序����,其中所述信息公布步驟與所述文檔管理步驟協(xié)作地獲取、積累并公布僅被公布的信息���。
10.根據權利要求
1所述的電子文檔管理程序��,其中所述部分簽名處理步驟包括部分簽名生成步驟����,用于執(zhí)行生成所述部分簽名信息的生成處理����;以及部分簽名驗證步驟�����,用于利用所述部分簽名信息來執(zhí)行驗證處理。
11.根據權利要求
1所述的電子文檔管理程序��,其中向所述原始信息和所述部分簽名信息添加電子簽名�����。
12.根據權利要求
1所述的電子文檔管理程序�����,其中向所述原始信息和所述部分簽名信息添加時間戳��。
13.根據權利要求
1所述的電子文檔管理程序���,其中所述文檔管理步驟處理待作為原始信息進行登記的所有電子信息���,并在原始信息被更改時,保留舊版本��,并將被更改的文檔作為新登記的文檔保存�����,從而自動地管理版本號。
14.一種電子文檔管理系統(tǒng)�����,該系統(tǒng)用于執(zhí)行對通過作為原始信息的電子信息制定的文檔信息的管理�����,該系統(tǒng)包括部分簽名處理部分�,其檢測是否存在對所述原始信息的一處或一處以上的更改,如果檢測到存在更改�����,則識別一個或多個更改位置�,并對部分簽名信息進行處理,以使得能夠向第三方證實除了所述一個或多個更改位置以外所述原始信息未被更改�����;密鑰生成/管理部分���,其根據條件和情況生成加密密鑰,該加密密鑰用于控制對所述原始信息的任何部分的訪問����;以及文檔管理部分��,其將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理���,同時控制對所述原始信息的任何部分的訪問。
15.根據權利要求
14所述的電子文檔管理系統(tǒng)���,其中所述密鑰生成/管理部分中的所述條件包括查看者�。
16.根據權利要求
14所述的電子文檔管理系統(tǒng)�����,該系統(tǒng)還包括接收處理部分��,其接收文檔信息的管理�;時限管理部分,其對在所述密鑰生成/管理部分中管理的所述加密密鑰的時限信息進行管理��;以及信息公布部分�����,其公布在所述文檔管理部分中管理的所述集成原始信息中的待公布的原始信息�。
17.根據權利要求
14所述的電子文檔管理系統(tǒng)��,其中所述部分簽名處理部分包括部分簽名生成部分�,其執(zhí)行用于生成所述部分簽名信息的生成處理�����;以及部分簽名驗證部分�����,其利用所述部分簽名信息來進行驗證處理�����。
18.根據權利要求
14所述的電子文檔管理系統(tǒng)���,其中所述密鑰生成/管理部分通過被授權查看并管理所述加密密鑰的實體(人員或系統(tǒng))的公開密鑰對所述加密密鑰進行加密����。
19.一種電子文檔管理方法���,該方法通過計算機執(zhí)行對通過作為原始信息的電子信息制定的文檔信息的管理���,該電子文檔管理方法包括以下步驟部分簽名處理步驟��,用于檢測是否存在對所述原始信息的一處或一處以上的更改,如果檢測到存在更改��,則識別一個或多個更改位置并對部分簽名信息進行處理���,以使得能夠向第三方證實除了所述一個或多個更改位置以外所述原始信息未被更改����;密鑰生成/管理步驟�,用于根據條件和情況生成加密密鑰,該加密密鑰用于控制對所述原始信息的任何部分的訪問�;以及文檔管理步驟,用于將所述原始信息和所述部分簽名信息作為集成原始信息進行登記和管理���,同時控制對所述原始信息的任何部分的訪問���。
20.根據權利要求
19所述的電子文檔管理方法,其中所述密鑰生成/管理步驟中的所述條件包括查看者���。
專利摘要
本發(fā)明提供了一種電子文檔管理程序����、系統(tǒng)和方法。能夠對電子文檔的部分公開和不公開進行控制�����,并且能夠向第三方證實其不公開部分以外的信息未被更改并保證解密信息的原始性��。提供了下述的部分�����,該部分用于根據諸如查看者����、系統(tǒng)和時間的條件和情況對電子信息的部分公開和不公開進行控制;還提供了一種技術思想�,該技術思想用于通過生成與電子信息的文本相分離的部分簽名信息(在以下所述的本發(fā)明的實施例中稱為piat簽名信息),對部分簽名信息進行分割����,以保持和分離電子信息的功能和作用以及部分簽名信息(驗證信息)的功能和作用,來向第三方證實該電子文檔的不公開部分以外的信息未被更改并保證解密信息的原始性��,同時對電子信息的部分公開和不公開進行控制�。
文檔編號G06F21/64GK1992586SQ200610136671
公開日2007年7月4日 申請日期2006年11月9日
發(fā)明者吉岡孝司 申請人:富士通株式會社導出引文BiBTeX, EndNote, RefMan