專利名稱:用于驗證電子文檔的系統(tǒng)和方法
技術(shù)領域:
本申請涉及用于保護和驗證電子文檔的系統(tǒng)和方法����,特別涉及電子郵件通信。
背景技術(shù):
已知有各種用于保護并驗證電子文檔的方法�,例如,對稱加密��。在這種情況下�,由算法生成用于對文檔進行加密的密鑰�����。然后將此密鑰轉(zhuǎn)發(fā)到計劃的收件人���。然后將加密郵件發(fā)送到收件人����,該收件人使用以前發(fā)送的密鑰對郵件進行解密�����。
標準系統(tǒng)所存在的問題是���,它們使用的是基于計算機到計算機的安全�����。因此����,如果發(fā)件人的計算機被入侵,就會有第三方從該計算機中發(fā)送郵件����。當發(fā)生這種情況時,收件人絕對不會知道郵件不是由授權(quán)的發(fā)件人發(fā)送的���。
發(fā)明內(nèi)容
本發(fā)明的目標是提供一種比較方便和安全的系統(tǒng)和方法��,用于保護和驗證電子文檔�,特別是電子郵件通信���。
本發(fā)明的各個方面將會在獨立的權(quán)利要求中說明���。某些首選特征將在從屬的權(quán)利要求中定義。
更具體來講��,根據(jù)本發(fā)明����,提供了一種用于保護和驗證電子文檔的方法����,包括將生物統(tǒng)計特征附加到電子文檔中并對生物統(tǒng)計特征-文檔組合進行加密�����。
優(yōu)選情況下�����,該方法涉及向預先確定的電子郵件地址發(fā)送加密的組合��。
該方法進一步涉及以下面的方式對加密的組合進行解密在附加的生物統(tǒng)計特征和另一個生物統(tǒng)計特征之間不匹配的情況下����,只進行部分解密����,部分解密的目的是至少公開一部分生物統(tǒng)計特征,但不公開郵件本身�。
這種方法的優(yōu)點是,它基于唯一地標識保護該文檔的個人的特征����,實現(xiàn)安全的人與人之間的電子郵件通信���。因此,即使存儲文檔的處理器或計算機的安全被破壞����,在缺少用戶的生物統(tǒng)計特征的情況下,要想打開文檔是不可能的���。
優(yōu)選情況下���,該方法包括在對生物統(tǒng)計特征-文檔組合進行加密之前先對生物統(tǒng)計特征進行加密。
根據(jù)本發(fā)明��,提供了一種用于保護和驗證電子文檔的系統(tǒng)�,包括用于將生物統(tǒng)計特征附加到電子文檔中的裝置以及對生物統(tǒng)計特征-文檔組合進行加密的裝置。
優(yōu)選情況下��,提供了用于解密的裝置�,以便確保在附加的生物統(tǒng)計特征和另一個生物統(tǒng)計特征之間不匹配的情況下,只進行部分解密�,部分解密的目的是至少公開部分生物統(tǒng)計特征,但不公開郵件本身�。
優(yōu)選情況下���,該系統(tǒng)包括用于在對生物統(tǒng)計特征-文檔組合進行加密之前先對生物統(tǒng)計特征進行加密的裝置。
根據(jù)本發(fā)明�,提供了一種計算機程序,優(yōu)選情況下在數(shù)據(jù)載體上或記錄介質(zhì)上���,用于保護和驗證電子文檔���,包括用于將生物統(tǒng)計特征附加到電子文檔的裝置以及用于對生物統(tǒng)計-文檔組合進行加密的裝置。
優(yōu)選情況下��,提供了用于解密的裝置����,以便確保在附加的生物統(tǒng)計特征和另一個生物統(tǒng)計特征之間不匹配的情況下����,只進行部分解密,部分解密的目的是至少公開部分生物統(tǒng)計特征����,但不公開郵件本身。
生物統(tǒng)計特征的意思是指下列任何特征中至少一個特征的電子版本�,在用戶進行簽名時壓力分布�、手指長度����、指紋、DNA���、虹膜特征���、視網(wǎng)膜特征、面部層析X射線攝影特征�����、面部形狀���、耳紋�����、打字的速度�����、打字的壓力以及語音識別��。當然其他選項也是可以的���。
根據(jù)本發(fā)明的另一個方面�����,提供了一種用于保護和驗證電子文檔的系統(tǒng)��,包括用于將第一個生物統(tǒng)計特征附加到電子文檔的裝置以及用于在附加的第一個生物統(tǒng)計特征和第二個生物統(tǒng)計特征之間不匹配的情況下防止文檔被打開的裝置���。
優(yōu)選情況下,用于防止文檔被打開的裝置包括加密裝置��,用于將第一個生物統(tǒng)計特征和附加的電子文檔在一個信封內(nèi)加密��。優(yōu)選情況下����,提供了用于部分地對信封進行解密的裝置����,以便至少公開第一個生物統(tǒng)計特征的一部分。提供了用于比較第一和第二個生物統(tǒng)計特征的裝置����,其特征在于在第一和第二個生物統(tǒng)計特征之間不匹配的情況下���,解密裝置停止解密過程以使文檔不被暴露。
優(yōu)選情況下�����,該系統(tǒng)進一步包括一個生物統(tǒng)計特征傳感器��,用于讀取生物統(tǒng)計特征���。此特征可以用作第一個生物統(tǒng)計特征或存儲起來以便以后使用����。優(yōu)選情況下����,傳感器是可操作的,以驗證用戶是否獲得使用系統(tǒng)的授權(quán)�����。
優(yōu)選情況下,提供了用于將第一個生物統(tǒng)計特征與始發(fā)人的細節(jié)(例如�����,發(fā)件人的電子郵件地址)一起發(fā)送到遠程位置的裝置����。優(yōu)選情況下,存儲了生物統(tǒng)計特征���。優(yōu)選情況下�����,存儲的生物統(tǒng)計特征用作第二個生物統(tǒng)計特征�����,用于與附加到文檔的第一個生物統(tǒng)計特征進行比較�����。
優(yōu)選情況下��,提供了用于存儲系統(tǒng)的獲授權(quán)用戶列表的裝置,該列表包括每個用戶的生物統(tǒng)計特征。優(yōu)選情況下��,第二個生物統(tǒng)計特征存儲在獲授權(quán)用戶列表中�����。獲授權(quán)用戶列表可以存儲在用戶的PC機上的本地數(shù)據(jù)庫上�,以用于因特網(wǎng),或者存儲在安全的中心數(shù)據(jù)庫中�����,以便在Intranet上使用��。
根據(jù)本發(fā)明的另一個方面��,提供了一種用于保護和驗證電子文檔的方法�,包括將第一個生物統(tǒng)計特征附加到電子文檔以及在附加的第一個生物統(tǒng)計特征和第二個生物統(tǒng)計特征之間不匹配的情況下防止文檔被打開。
優(yōu)選情況下�����,防止文檔被打開的步驟包括將第一個生物統(tǒng)計特征和附加的電子文檔在一個信封內(nèi)加密���,部分地對信封進行解密以便公開第一個生物統(tǒng)計特征�����,以及比較第一和第二個生物統(tǒng)計特征���,其特征在于在第一和第二個生物統(tǒng)計特征之間不匹配的情況下����,解密裝置停止解密過程以使文檔不被暴露��。
根據(jù)本發(fā)明的另一個方面�����,優(yōu)選情況下在數(shù)據(jù)載體上提供了計算機程序��,用于保護和驗證電子文檔�,包括用于將第一個生物統(tǒng)計特征附加到電子文檔的裝置以及用于在附加的第一個生物統(tǒng)計特征和第二個生物統(tǒng)計特征之間不匹配的情況下防止文檔被打開的裝置。
優(yōu)選情況下�����,用于防止文檔被打開的裝置包括用于將第一個生物統(tǒng)計特征和附加的電子文檔在一個信封內(nèi)加密的加密裝置���,用于部分地對信封進行解密以便公開第一個生物統(tǒng)計特征的解密裝置�,以及用于比較第一和第二個生物統(tǒng)計特征的裝置,其特征在于在第一和第二個生物統(tǒng)計特征之間不匹配的情況下�����,解密裝置停止解密過程以使文檔不被暴露�����。
根據(jù)本發(fā)明的另一個方面�,提供了一個電子設備���,如PC或任何手提設備(如移動電話或Palm Pilot(商標))或電視機的遙控器��,包括生物統(tǒng)計特征傳感器和用于將生物統(tǒng)計特征和電子文檔或郵件結(jié)合的裝置���。優(yōu)選情況下,提供了用于對生物統(tǒng)計特征和電子文檔組合進行加密的裝置以提供加密的信號��。優(yōu)選情況下���,提供了用于部分地對加密信號進行解密的裝置����,以便至少公開一部分生物統(tǒng)計特征但不公開文檔。優(yōu)選情況下�,提供了用于在附加到文檔的生物統(tǒng)計特征和另一個這樣的特征不匹配的情況下防止完全解密的裝置。
下面將通過示例并參考下面的圖形介紹實施了本發(fā)明的各種系統(tǒng)圖1顯示了附加到生物統(tǒng)計特征并在一個加密信封中加密的電子文檔����;圖2顯示了附加到加密生物統(tǒng)計特征的電子文檔,整個包在一個加密信封中加密����;圖3顯示了基于因特網(wǎng)的用于驗證電子文檔的系統(tǒng);圖4顯示了圖3中每一臺PC機的內(nèi)部部件的方框圖�;圖5顯示了初始化消息的內(nèi)容的示例;
圖6是初始化郵件的示例��;圖7是存儲在發(fā)件人的PC機中的數(shù)據(jù)庫示例���;圖8是存儲在收件人的PC機中的數(shù)據(jù)庫示例��;圖9是被一個發(fā)件人保護將發(fā)送到位于遠程電子郵件地址的一個收件人的郵件示例��;圖10是圖9的另一個郵件示例�����;圖11是圖9的另一個郵件版本����,以及圖12顯示了基于Intranet的用于驗證電子文檔的系統(tǒng)。
具體實施例方式
實施了本發(fā)明的系統(tǒng)和方法可以實現(xiàn)安全的人到人的電子郵件通信���。電子郵件的意思是指��,可以通過因特網(wǎng)或任何其他合適的遠程通信網(wǎng)絡(如Intranet)或任何其他數(shù)據(jù)傳輸系統(tǒng)(例如,軟盤的移動)發(fā)送的電子通信����。
系統(tǒng)保護電子郵件通信的具體方法是讀取個人的生物統(tǒng)計特征20并將其附加在正要發(fā)送的郵件22,并將整個包放在加密信封24內(nèi)加密��,如圖1所示����。生物統(tǒng)計特征20的意思是指下列任何特征中至少一個特征的電子版本,在用戶進行簽名時壓力分布��、手指長度�、指紋、DNA��、虹膜特征����、視網(wǎng)膜特征�、面部層析X射線攝影特征�����、面部形狀��、耳紋����、打字的速度、打字的壓力以及語音識別�。當然其他選項也是可以的。
以這種方式使用生物統(tǒng)計特征提供了唯一地標識電子郵件的發(fā)件人的方法�����。加密之后���,郵件被發(fā)送到計劃的收件人的PC機���,在那里它被部分地解密以便公開生物統(tǒng)計特征20。然后將公開的生物統(tǒng)計特征20與存儲在收件人的PC機上的生物統(tǒng)計特征進行比較。如果公開的和存儲的特征匹配�����,那么就完成整個解密過程�����,以便將郵件公開��。如果不�,解密過程就被停止,郵件依然是安全的�。如此���,生物統(tǒng)計特征20是對包進行解密的手段并用于標識附加文檔的源并提供對它的訪問��。
為了提高安全性�,在將生物統(tǒng)計特征附加到郵件之前�,可以對它進行加密,如圖2所示�����。如此,當收件人接收到加密包之后��,不僅完整的包需要解密��,而且��,還必須將生物統(tǒng)計特征20解密����,以便執(zhí)行比較附加的和存儲特征的步驟。
本系統(tǒng)可用于保護通過因特網(wǎng)或者通過Intranet發(fā)送的電子郵件通信���。為了清楚起見���,我們將分別對每一種情況進行介紹。然而����,應該理解,每一個系統(tǒng)的基本原理是相同的���。
因特網(wǎng)電子郵件通信圖3顯示了兩臺PC機30����,每一臺PC機都通過調(diào)制解調(diào)器32連接到因特網(wǎng)36。每一臺PC機都具有處理器38��,該處理器連接到生物統(tǒng)計特征讀取器40和存儲器42�,如圖4所示。傳感器40所獲得的讀數(shù)可以通過處理器38傳遞并存儲在存儲器42���。每一臺PC機中都有計算機程序�,用于控制保護和驗證電子郵件通信的方法����。還包括有關該系統(tǒng)的獲授權(quán)用戶的信息。
通信的安全性和身份驗證可以在各種級別進行-下面將首先介紹最簡單的一種�。
類型1-經(jīng)過身份驗證的發(fā)件人對位于一個地址的任何收件人當要發(fā)送經(jīng)過身份驗證的電子郵件時,發(fā)件人將他/她的生物統(tǒng)計特征提供給傳感器40���,該傳感器即獲得生物統(tǒng)計特征20(在本例中是指紋)的讀數(shù)。如果這是發(fā)送到收件人的第一個電子郵件通信���,則會生成初始化消息��。該郵件具有數(shù)據(jù)結(jié)構(gòu)42���,該數(shù)據(jù)結(jié)構(gòu)包括讀取的生物統(tǒng)計特征,如圖5所示。初始化消息的數(shù)據(jù)結(jié)構(gòu)中還包括發(fā)件人和收件人的電子郵件地址�����,生物統(tǒng)計特征的性質(zhì)���,即����,在本例中是指紋���,生物統(tǒng)計設備的制造者����,發(fā)件人的電子郵件地址�����、發(fā)件人的頭銜����、發(fā)件人的教名、發(fā)件人的姓以及他的家庭住址����。還可以包括使用的身份驗證程序的版本號和日期和時間戳�����。
數(shù)據(jù)結(jié)構(gòu)42包含控制信息��,不僅標識誰發(fā)送的該文檔�����,而且還標識誰將要接收該文檔�����。
初始化消息中還可以包括CV����,該CV含有真實細節(jié)(如發(fā)件人的照片��、發(fā)件人的出生日期和地點���、給該發(fā)件人頒發(fā)護照的國家(地區(qū)),他的護照號碼���、給發(fā)件人頒發(fā)駕駛執(zhí)照的州或國家(地區(qū))����、他的駕駛執(zhí)照號碼、給發(fā)件人頒發(fā)國民保險(NI)或社會保障(SS)號碼的州�����、他的NI或SS號碼�、職業(yè)許可證標識符,以及可以唯一地標識用戶的任何其他信息(如銀行號碼)���。所有這些信息都可以在必要時在初始化消息中發(fā)送����?�;蛘?�,在第一個初始化消息中可以包括有限的信息���,在發(fā)件人和收件人之間建立起關系之后再發(fā)送比較詳細的信息�。
CV中包含的信息可以用于實施通過安全的電子郵件機制交換的任何合約���。
一旦相關的信息44(例如�����,發(fā)件人的電子郵件地址)被附加到讀取的生物統(tǒng)計特征46���,整個包就在PGP(Pretty Good Privacy)或PKI(公用密鑰加密)電子信封48內(nèi)加密�,如圖6所示��。為了提高安全性�,數(shù)據(jù)結(jié)構(gòu)也可以在加密信封內(nèi)進行加密,數(shù)據(jù)結(jié)構(gòu)的加密與整個信封的加密有所不同����。讀取的生物統(tǒng)計特征與收件人的電子郵件地址一起存儲在數(shù)據(jù)庫50中,如圖7所示�,該數(shù)據(jù)庫可以位于(例如)發(fā)件人的PC機的存儲器中。然后加密郵件作為初始化消息轉(zhuǎn)發(fā)到計劃的收件人的電子郵件地址�����。
當在收件人的終端接收到初始化消息時�,它被解密以公開計劃的收件人的電子郵件地址。然后將該電子郵件地址與實際收件人的電子郵件地址進行比較。在附加的電子郵件地址和實際電子郵件地址不匹配的情況下����,解密將會停止��。這種檢查將會有助于防止哄騙����,即截取和重定向電子郵件,并發(fā)送到錯誤的地址��。然而��,如果電子郵件地址匹配��,那么解密過程將繼續(xù)��,以公開發(fā)件人的郵件����、附加的生物統(tǒng)計特征和發(fā)件人的電子郵件地址。然后生物統(tǒng)計特征被作為“標本”特征與發(fā)件人的電子郵件地址一起存儲收件人的PC機中的本地初始化信息數(shù)據(jù)庫52中�,如圖8所示。
一旦給收件人提供了初始化信息�����,從發(fā)件人的PC機發(fā)送的郵件將被附加到郵件數(shù)據(jù)結(jié)構(gòu)中。此數(shù)據(jù)結(jié)構(gòu)54含有數(shù)據(jù)結(jié)構(gòu)的版本號����、在初始化消息中發(fā)送到收件人的標本生物統(tǒng)計,以及各種其他信息位��,如發(fā)件人的電子郵件地址��、正在使用的身份驗證程序的版本�����、收件人的電子郵件地址和日期和時間戳����,如圖9所示。
當數(shù)據(jù)結(jié)構(gòu)和郵件結(jié)合在一起之后�,整個數(shù)據(jù)塊將使用任何標準加密形式進行加密,例如��,數(shù)據(jù)塊可以以PGP或PKI信封進行加密���。然后加密郵件被轉(zhuǎn)發(fā)到計劃的收件人�。
為了打開郵件,首先必須對加密信封24進行解密���。然而��,控制程序被設置為只部分地對郵件進行解密以便首先公開收件人的電子郵件地址。然后將該地址與電子郵件所發(fā)往的實際地址進行比較��。如果這些電子郵件地址不匹配����,那么解密過程將會停止。相反����,如果電子郵件地址匹配,那么解密過程將繼續(xù)���,以公開發(fā)件人的電子郵件地址��。
通過使用發(fā)件人的電子郵件地址作為搜索工具����,可以相對容易地找到存儲在收件人的數(shù)據(jù)庫52中的對應的標本生物統(tǒng)計特征��。一旦完成此項工作,部分解密將繼續(xù)����,以至少公開一部分生物統(tǒng)計特征20。然后將此部分與存儲的標本生物統(tǒng)計特征的對應部分進行比較�。解密和比較的過程將繼續(xù),直到比較完全部附加和標本生物統(tǒng)計特征�����。如果生物統(tǒng)計特征匹配��,那么對整個數(shù)據(jù)包的解密將繼續(xù)����,以便將郵件公開。在這種情況下�,收件人就能夠讀取郵件,并可確信其真實性����。然而,如果發(fā)件人的生物統(tǒng)計特征20不對應于存儲在收件人的數(shù)據(jù)庫中的標本生物統(tǒng)計特征�����,解密過程將會停止,郵件22依然是安全的�。
需要注意的是,如果比較生物統(tǒng)計特征的步驟是否定的����,那么部分解密的郵件22將從存儲器中刪除。如此����,發(fā)件人的生物統(tǒng)計特征20決不會暴露給未經(jīng)授權(quán)方��。這樣可防止系統(tǒng)被泄漏�����。
生物統(tǒng)計特征20第一次交換之后����,并不總是需要發(fā)送初始化消息,雖然如果需要的話也可以進行����。例如,可以是發(fā)件人希望更新其CV����。在這種情況下��,發(fā)件人下次希望向一個特定收件人發(fā)送郵件時����,將會自動生成和發(fā)送一個新的初始化消息���。將會使用對話框之類的東西通知收件人初始化消息將會被改變����,并詢問他是否愿意接受此更新��。如果收件人表示可以接受更改��,那么他的本地數(shù)據(jù)庫將被修改����,以顯示初始化消息細節(jié)和后面的任何更改。
如果未發(fā)送進一步的初始化消息�,那么當用戶需要保護電子郵件時,必須按下生物統(tǒng)計特征傳感器40以便讓其讀取指紋特征�����。將會驗證此特征以檢查用戶是否為獲授權(quán)的用戶。然后讀取計劃的收件人的電子郵件地址并搜索發(fā)件人數(shù)據(jù)庫�����,以識別最近被轉(zhuǎn)發(fā)到收件人的標本生物統(tǒng)計特征��。然后就如前所述將此存儲特征添加到數(shù)據(jù)結(jié)構(gòu)中并附加到郵件����。然后將整個數(shù)據(jù)包加密并發(fā)送到相關的電子郵件地址。
如前所述��,加密的數(shù)據(jù)包被部分地解密以公開收件人的電子郵件地址并進行相關的檢查����。如果這些檢查是肯定的����,那么解密過程將會繼續(xù),以公開發(fā)件人的電子郵件地址和生物統(tǒng)計特征20���。然后將會搜索收件人的初始化數(shù)據(jù)庫52�����,以查找相應的發(fā)件人的電子郵件地址以及正確的標本生物統(tǒng)計特征��。如果生物統(tǒng)計特征匹配����,整個數(shù)據(jù)包的解密將繼續(xù),以便將郵件公開�����。然而�����,如果附加到郵件的生物統(tǒng)計特征不對應于存儲在收件人的數(shù)據(jù)庫中的標本生物統(tǒng)計特征��,那么解密過程將會停止�����,郵件依然是安全的�����。
需要注意的是�,如果每次發(fā)件人需要發(fā)送電子郵件時未發(fā)送新初始化消息�����,那么當用戶按下傳感器讀取的生物統(tǒng)計特征不是直接與附加到受保護的文檔的特征進行比較的特征���。相反,只使用讀取的特征來識別用戶����,因此可以追溯到最初在初始化消息中發(fā)送的標本生物統(tǒng)計特征的正確副本。這是因為生物統(tǒng)計讀數(shù)會隨用戶的身體狀況不同而不同�。例如,如果使用指紋��,那么準確的生物統(tǒng)計特征將視用戶是熱還是冷或他的手是否油膩等情況而不同�。這些差異會足以影響對用戶的識別,在這種情況下�,軟件會要求用戶清潔他的手指并再次按下傳感器以嘗試獲取另一個讀數(shù)��。這一過程會一直進行下去��,直到獲取到合適的標本生物統(tǒng)計讀數(shù)�。這已知的,并將對生物統(tǒng)計特征傳感器進行改裝以將這一點考慮在內(nèi)�����。然而,甚至讀取的生物統(tǒng)計特征中的細微差異也可能會使將它與附加到文檔的生物統(tǒng)計特征進行比較變得困難���。因此����,比較的步驟是使用存儲在發(fā)件人的和收件人的受保護的生物統(tǒng)計數(shù)據(jù)庫中的標本生物統(tǒng)計特征的正確副本完成的����。
在上文介紹的方法中,只有一個發(fā)件人的生物統(tǒng)計特征被附加到要對其進行身份驗證的郵件中���。然而�����,可能會有這樣的情況����,許多用戶必須對文檔的內(nèi)容進行驗證���。
類型2-經(jīng)過驗證的發(fā)件人和獲授權(quán)的收件人上文介紹的方法可以確保接收電子郵件的任何人都可以驗證其來源�����。為了確保郵件被正確的人接收到�����,進行了一些防備��,以確保只有獲授權(quán)的收件人才能打開特定郵件�����。在這種情況下�,當收件人接收到初始化消息時,將會生成一個提示�����,詢問他是否需要與發(fā)件人進行安全的通信���。如果收件人確實需要,他必須向發(fā)件人發(fā)回初始化消息�。為此,他將按下傳感器40并讓其讀取標本生物統(tǒng)計特征����。然后此標本特征被附加到與初始化消息關聯(lián)的與前面介紹的數(shù)據(jù)結(jié)構(gòu)相似的數(shù)據(jù)結(jié)構(gòu)中�,還可以附加CV��,然后對整個郵件進行加密并返回給發(fā)件人����。然后將返回的標本特征與發(fā)件人的初始標本生物統(tǒng)計特征存儲在一起存儲在發(fā)件人的和收件人的數(shù)據(jù)庫中。
在這種情況下���,當要發(fā)送郵件時�����,數(shù)據(jù)結(jié)構(gòu)不僅包括發(fā)件人的標本生物統(tǒng)計特征����,而且還包括收件人的標本生物統(tǒng)計特征���。當收件人的PC機接收到郵件時����,將會部分地對該郵件進行解密以便公開收件人的生物統(tǒng)計特征。然后給收件人發(fā)出提示��,讓他按下生物統(tǒng)計特征傳感器���,以便獲取讀數(shù)��。然后進行檢查以確保收件人是獲授權(quán)的用戶����。如果這一檢查是肯定的�����,那么解密過程將會繼續(xù)��,以公開發(fā)件人的電子郵件地址和附加的發(fā)件人的標本生物統(tǒng)計特征�����,但暫時還不公開郵件的內(nèi)容���。然后對收件人的數(shù)據(jù)庫進行搜索以識別與發(fā)件人的電子郵件地址關聯(lián)的存儲生物統(tǒng)計特征��。然后將附加的和存儲的生物統(tǒng)計特征進行比較��。如果這種比較說明生物統(tǒng)計特征是相同的�����,那么就將郵件解密���。如此,收件人完全就會知道誰發(fā)送了該郵件�,發(fā)件人也會確信只有計劃的收件人才能打開它。
類型3-來自一個地址的經(jīng)過驗證的發(fā)件人對位于一個地址的收件人為了發(fā)送已經(jīng)經(jīng)過多個發(fā)件人驗證的郵件�,將要附加每一個不同的發(fā)件人的生物統(tǒng)計特征。圖10中顯示了此類多重驗證的郵件56的內(nèi)容的示例����。在這種情況下,為了驗證文檔���,每一個用戶都必須按下傳感器40以便讓其讀取他們的生物統(tǒng)計特征����。一旦確認他是為獲授權(quán)的用戶���,那么會將每一個人的標本特征與每一個發(fā)件人的電子郵件地址一起附加到文檔�����。每一個標本特征都與對應的電子郵件地址一起存儲����,然后如前所述對整個數(shù)據(jù)包進行加密。此外��,如果初始化消息尚未發(fā)送��,就會準備一個初始化消息并轉(zhuǎn)發(fā)給收件人����。然后將加密后的郵件發(fā)送到收件人。
為了讀取文檔���,收件人的PC機必須首先部分并充分地對信封進行解密以公開發(fā)件人的生物統(tǒng)計特征和電子郵件地址�,而不公開郵件本身���。然后將附加的生物統(tǒng)計特征與存儲在收件人的機器上的數(shù)據(jù)庫中的生物統(tǒng)計特征進行比較�。如果對于每一個發(fā)件人的生物統(tǒng)計特征的這種檢查都是肯定的����,那么就完成整個解密過程����,郵件即可公開����。
讓多方參與可以改善郵件的總體真實性��。
當然�,發(fā)件人可能需要向多個收件人發(fā)送郵件。在這種情況下��,可以將郵件發(fā)送到許多不同的電子郵件地址或每個收件人都可以有權(quán)訪問的單一地址���。
類型4-經(jīng)過驗證的發(fā)件人和多個獲授權(quán)的收件人在這種情況下���,必須向用戶提供每個收件人的標本生物統(tǒng)計特征并添加到數(shù)據(jù)結(jié)構(gòu)58中,如圖11所示�����。當多個收件人要接收郵件時�,可以定義一個和/或函數(shù),說明郵件是否可以由每一方分別打開(“或”函數(shù))或者郵件是否只能在整個組都在的情況下才能打開�����。在“或”函數(shù)的情況下,郵件將分別發(fā)送到每個收件人����。在“和”函數(shù)的情況下,郵件將發(fā)送到指定的單一電子郵件地址��,每個指定的收件人都必須連續(xù)按傳感器才能打開郵件����。
Intranet電子郵件通信圖12顯示了許多PC機60,每一臺PC機都通過中央處理器64控制的Intranet62互相連接�����。如前所述��,每一臺PC機60都有一個處理器連接到生物統(tǒng)計特征讀取器66和存儲器(未顯示)�。讀取器所獲得的讀數(shù)可以通過處理器傳遞并存儲在存儲器中。每一臺PC機60中都有計算機程序���,用于控制保護和驗證電子郵件通信的方法����。中央處理器64中包含了一個獲授權(quán)用戶姓名和他們的生物統(tǒng)計特征的列表。此列表將保存在安全的區(qū)域��,并且只有獲授權(quán)的管理員才能訪問�����。
圖12的系統(tǒng)的操作類似于圖3的因特網(wǎng)布局的操作��,只是所有的PC機用戶的生物統(tǒng)計特征存儲在一個中心位置���,而不是包含在分布于網(wǎng)絡中的本地數(shù)據(jù)庫中。因此�,沒有必要發(fā)送初始化消息。
在圖12的Intranet的情況下����,為了獲取對系統(tǒng)的訪問權(quán),用戶必須按下傳感器66����,該傳感器讀取用戶的指紋并檢查他是否為獲授權(quán)的用戶。倘若這種檢查是肯定的�����,那么就允許用戶訪問該系統(tǒng)。如果用戶隨后想發(fā)送電子郵件���,如前所述����,存儲在獲授權(quán)的用戶列表中的生物統(tǒng)計特征將被包括在數(shù)據(jù)結(jié)構(gòu)中����,并附加到郵件。然后將整個數(shù)據(jù)包加密并發(fā)送到計劃的收件人��。
在收到郵件時���,將對它進行部分解密以公開發(fā)件人的電子郵件地址和附加的生物統(tǒng)計特征���。收件人的PC機60中的控制軟件將對獲授權(quán)的用戶列表進行搜索以查找發(fā)件人的電子郵件地址,以便確定對應的生物統(tǒng)計特征����。如果該特征與附加到郵件中的生物統(tǒng)計特征完全相同,那么解密過程將繼續(xù)以公開郵件��。如果不,解密過程就被停止����,郵件依然是安全的。
與因特網(wǎng)系統(tǒng)相同���,在Intranet系統(tǒng)中����,可以將多個生物統(tǒng)計特征附加到即將發(fā)送的任何郵件中����。此外,收件人或?qū)嶋H上多個收件人����,可能需要輸入生物統(tǒng)計特征才能打開該郵件��。
更普遍地保護電子文檔雖然是參考的電子郵件的發(fā)送來對上面的每一個系統(tǒng)進行介紹的���,可以理解����,可以應用本發(fā)明的一般原理來保護和/或驗證靜態(tài)文檔。為此��,將為用戶提供“保護”選項��。如果選擇該選項����,將要求用戶按下生物統(tǒng)計特征傳感器。然后將讀取他的指紋��。需要保護的文檔和讀取的生物統(tǒng)計特征將被結(jié)合并使用對稱加密法(例如)進行加密�。加密的文檔可以存儲在PC機的存儲器中。用戶標識符�,如他的電子郵件地址和讀取的生物統(tǒng)計特征也存儲在存儲器中的安全文檔數(shù)據(jù)庫中。
當用戶要打開被保護的文檔時��,他從菜單中選擇它����,將會自動產(chǎn)生一個提示,要求用戶按下生物統(tǒng)計特征傳感器�����。將讀取生物統(tǒng)計特征��,并對照獲授權(quán)的用戶列表以驗證用戶的身份。如果該檢查的結(jié)果是肯定的��,將會對文檔進行部分解密����,該部分解密應足以公開生物統(tǒng)計特征,但不能公開文檔本身��。然后將訪問受保護的文檔的數(shù)據(jù)庫��,并識別需要的文件的數(shù)據(jù)輸入����。一旦找到,將把關聯(lián)的生物統(tǒng)計特征與附加到文檔的生物統(tǒng)計特征進行比較�。倘若這種檢查是肯定的,那么文檔就會打開���。如果該檢查不是肯定的�,解密過程就會停止��,文檔也不會被暴露���。
在上文介紹的所有的布局中,通過將生物統(tǒng)計特征附加到電子文檔并對特征/文檔組合進行加密,從而可提供安全性和真實性��。為了提高安全性��,還可以對生物統(tǒng)計特征本身進行加密���。
上文介紹的系統(tǒng)專門使用PC機發(fā)送和接收郵件���。然而,可以在可用于存儲電子文檔或發(fā)送電子通信的任何處理器或系統(tǒng)(例如�,Palm Pilot(商標)或移動電話)中提供用于控制保護和驗證過程和生物統(tǒng)計特征傳感器的軟件。在這種情況下�����,生物統(tǒng)計特征傳感器可以直接集成到Palm Pilot或電話中�。
盡管在附圖中顯示的生物統(tǒng)計特征讀取器是與PC機分離的單獨裝置,可以理解����,它同樣也可以包括在PC機本身的主體中?�;蛘?��,傳感器也可以集成到PC機的鍵盤或鼠標中��。
本發(fā)明的優(yōu)點是�����,它提供了驗證個人(而不是機器)是否為獲授權(quán)用戶的系統(tǒng)��。因此�����,如果用戶登錄到他的PC機�,但離開之后無人照看,第三方也無法發(fā)送驗證的電子郵件����。另一個優(yōu)點是,使用生物統(tǒng)計特征意味著用戶不必攜帶更多設備��,甚至不必記住密碼��。這就意味著系統(tǒng)對于用戶來說更容易操作�。此外�����,系統(tǒng)還更容易適應用戶的需要。
本領域普通技術(shù)人員將會意識到�,在不偏離本發(fā)明的精神的情況下,可以對所描述的布局進行各種修改�。相應地,上面對多個實施例的說明只作示例之用���,不用于限制目的����。熟練的人可以很清楚地看到,可以進行細微的修改,而不會對上面介紹的操作作重大更改��。
權(quán)利要求
1.一種用于保護電子文檔的方法���,包括將生物統(tǒng)計特征和電子文檔結(jié)合以形成生物統(tǒng)計特征-文檔組合,并對生物統(tǒng)計特征-文檔組合進行加密�。
2.根據(jù)權(quán)利要求1的方法,包括結(jié)合許多不同的生物統(tǒng)計特征和電子文檔����,每一個生物統(tǒng)計特征都與不同的人關聯(lián),以使生物統(tǒng)計特征-文檔組合包括許多生物統(tǒng)計特征�����。
3.根據(jù)前面任何一個權(quán)利要求的方法,其特征在于該生物統(tǒng)計特征或每一個生物統(tǒng)計特征都與識別與每一個特征關聯(lián)的人的標識符一起存儲在中央存儲器中����,優(yōu)選情況下,其特征在于標識符是人的姓名或電子郵件地址�。
4.根據(jù)前面任何一個權(quán)利要求的方法,包括向預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合��。
5.根據(jù)權(quán)利要求4的方法�����,包括向多個預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合����。
6.根據(jù)權(quán)利要求4或權(quán)利要求5的方法,包括向該預先確定的電子郵件地址或每一個預先確定的電子郵件地址發(fā)送初始化消息�����,該初始化消息包括該生物統(tǒng)計特征或每一個生物統(tǒng)計特征的副本�����,并將該生物統(tǒng)計特征與識別與該特征或每一個特征關聯(lián)的人的標識符一起存儲在存儲器中,優(yōu)選情況下�,其特征在于標識符是人的姓名或電子郵件地址�����。
7.根據(jù)前面任何一個權(quán)利要求的方法��,涉及對加密組合進行解密����,從而公開生物統(tǒng)計特征但不公開電子文檔,將公開的生物統(tǒng)計特征與存儲的生物統(tǒng)計特征進行比較����;當存儲的和公開的生物統(tǒng)計特征之間匹配時,對電子文檔進行解密���,以及當不匹配時停止解密過程�。
8.根據(jù)權(quán)利要求7的方法�����,包括部分地對生物統(tǒng)計特征進行解密�����,以便至少公開一部分生物統(tǒng)計特征但不公開文檔,以及將該部分與存儲的特征的對應部分進行比較����,其特征在于在比較的部分之間不匹配的情況下,解密過程將停止����。
9.根據(jù)權(quán)利要求7或權(quán)利要求8的方法,包括在不匹配的情況下刪除生物統(tǒng)計特征-文檔組合�����。
10.根據(jù)前面任何一個權(quán)利要求的方法�,在對生物統(tǒng)計特征-文檔組合進行加密之前先對生物統(tǒng)計特征進行加密。
11.根據(jù)前面任何一個權(quán)利要求的方法�����,包括從傳感器中讀取生物統(tǒng)計特征該或每一個生物統(tǒng)計特征���,優(yōu)選情況下為同一傳感器�。
12.根據(jù)前面任何一個權(quán)利要求的方法,其特征在于生物統(tǒng)計特征是下列任何特征中至少一個特征的電子版本簽名����、在用戶進行簽名時壓力分布、手指長度�、指紋、DNA��、虹膜特征����、視網(wǎng)膜特征���、面部層析X射線攝影特征���、面部形狀、耳紋�、打字的速度、打字的壓力以及語音識別�。
13.一種用于保護電子文檔的系統(tǒng),包括將生物統(tǒng)討特征和電子文檔結(jié)合以形成生物統(tǒng)計特征-文檔組合的裝置�����,以及對生物統(tǒng)計特征-文檔組合進行加密的裝置。
14.根據(jù)權(quán)利要求13的系統(tǒng)��,其特征在于用于附加的裝置是可操作的以將許多不同的生物統(tǒng)計特征和電子文檔結(jié)合����,每一個生物統(tǒng)計特征都與不同的人關聯(lián),以使生物統(tǒng)計特征-文檔組合包括許多生物統(tǒng)計特征�。
15.根據(jù)權(quán)利要求13或14的系統(tǒng),包括一個存儲器���,與識別與每一個特征關聯(lián)的人的標識符一起存儲該生物統(tǒng)計特征或每一個生物統(tǒng)計特征���,優(yōu)選情況下其特征在于標識符是人的姓名或電子郵件地址。
16.根據(jù)權(quán)利要求13到15的任何一個權(quán)利要求的系統(tǒng)��,包括用于向預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合以便收件人打開的裝置���。
17.根據(jù)權(quán)利要求16的系統(tǒng)�,包括用于向許多預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合以便讓許多收件人打開的裝置�����。
18.根據(jù)權(quán)利要求16或權(quán)利要求17的系統(tǒng)����,包括用于向該預先確定的電子郵件地址或每一個預先確定的電子郵件地址發(fā)送初始化消息的裝置�����,初始化消息包括生物統(tǒng)計特征的副本和用于識別與每一個特征關聯(lián)的人的標識符���,優(yōu)選情況下其特征在于標識符是人的姓名或電子郵件地址,以及用于與標識符一起存儲生物統(tǒng)計特征的存儲器���。
19.根據(jù)前面任何一個權(quán)利要求的系統(tǒng)�,包括對加密組合進行解密從而公開生物統(tǒng)計特征但不公開電子文檔的裝置����,將公開的生物統(tǒng)計特征與存儲的生物統(tǒng)計特征進行比較的裝置�;當存儲的和公開的生物統(tǒng)計特征之間匹配時,對電子文檔進行解密的裝置����,以及當不匹配時停止解密過程的裝置。
20.根據(jù)權(quán)利要求19的系統(tǒng)��,其特征在于用于解密的裝置是可操作的以部分地對生物統(tǒng)計特征進行解密���,以便至少公開一部分生物統(tǒng)計特征但不公開文檔�����,以及將該部分與存儲的特征的對應部分進行比較�����,其特征在于在比較的部分之間不匹配的情況下���,解密過程將停止�。
21.根據(jù)權(quán)利要求19或權(quán)利要求20的系統(tǒng)�����,包括用于在不匹配的情況下刪除生物統(tǒng)計特征-文檔組合的裝置����。
22.根據(jù)權(quán)利要求13到21中任何一個權(quán)利要求的系統(tǒng),包括用于在對生物統(tǒng)計特征-文檔組合進行加密之前先對生物統(tǒng)計特征進行加密的裝置���。
23.根據(jù)權(quán)利要求13到21中任何一個權(quán)利要求的系統(tǒng)�����,包括用于讀取某一或每一個生物統(tǒng)計特征的傳感器�,優(yōu)選情況下,其特征在于使用同一傳感器讀取每一個生物統(tǒng)計特征���。
24.根據(jù)權(quán)利要求13到23中任何一個權(quán)利要求的系統(tǒng)�,其特征在于生物統(tǒng)計特征是下列任何特征中至少一個特征的電子版本簽名�、在用戶進行簽名時壓力分布、手指長度��、指紋�、DNA、虹膜特征�����、視網(wǎng)膜特征�����、面部層析X射線攝影特征�����、面部形狀�����、耳紋�、打字的速度、打字的壓力以及語音識別��。
25.適合與前面任何一個權(quán)利要求中定義的系統(tǒng)和方法一起使用的用戶終端���。
26.用戶終端�����,例如PC機或其他電子設備����,如Palm Pilot或移動電話����,用戶終端包括用于將生物統(tǒng)計特征和電子文檔結(jié)合以形成生物統(tǒng)計特征-文檔組合的裝置,以及用于對生物統(tǒng)計特征-文檔組合進行加密的裝置����。
27.根據(jù)權(quán)利要求26的用戶終端,包括用于向預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合的裝置�。
28.用戶終端����,例如PC機或其他電子設備�,如Palm Pilot或移動電話,用戶終端包括用于接收加密的生物統(tǒng)計特征-文檔組合的裝置�����,組合包括附加到電子文檔的生物統(tǒng)計特征���,用于對加密的組合進行解密從而公開生物統(tǒng)計特征但不公開文檔的裝置�����,用于將公開的生物統(tǒng)計特征與存儲的生物統(tǒng)計特征進行比較的裝置���,用于當存儲的和公開的生物統(tǒng)計特征之間匹配時對電子文檔進行解密的裝置,以及用于當不匹配時停止解密過程的裝置�����。
29.一種計算機程序����,優(yōu)選情況下在數(shù)據(jù)載體上或計算機可讀的介質(zhì)上,用于保護電子文檔���,計算機程序包括用于執(zhí)行下列操作的指令將生物統(tǒng)計特征和電子文檔結(jié)合以形成生物統(tǒng)計特征-文檔組合以及對生物統(tǒng)計特征-文檔組合進行加密���。
30.根據(jù)權(quán)利要求29的計算機程序,其特征在于用于將生物統(tǒng)計特征和電子文檔結(jié)合的指令是可操作的以將許多不同的生物統(tǒng)計特征附加到電子文檔����,每一個生物統(tǒng)計特征都與不同的人關聯(lián),以使生物統(tǒng)計特征-文檔組合包括許多生物統(tǒng)計特征��。
31.根據(jù)權(quán)利要求29或30的計算機程序�,其特征在于某一或每一個生物統(tǒng)計特征與用于識別與每一個特征關聯(lián)的人的標識符一起存儲在中心存儲器中,優(yōu)選情況下其特征在于標識符是人的姓名或電子郵件地址����。
32.根據(jù)權(quán)利要求29到31的任何一個權(quán)利要求的計算機程序,包括用于向預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合的指令����。
33.根據(jù)權(quán)利要求32的計算機程序,包括用于向許多預先確定的電子郵件地址發(fā)送加密的生物統(tǒng)計特征-文檔組合的指令���。
34.根據(jù)權(quán)利要求32或權(quán)利要求33的計算機程序�����,包括用于向某一或每一個預先確定的電子郵件地址發(fā)送包括生物統(tǒng)計特征的副本的初始化消息的指令����,以及用于與用于識別預先確定的標識符一起將生物統(tǒng)計特征存儲在存儲器中的指令。
35.一種計算機程序���,優(yōu)選情況下在數(shù)據(jù)載體上或計算機可讀的介質(zhì)上�,用于保護電子文檔�����,計算機程序包括用于執(zhí)行下列操作的指令對加密的生物統(tǒng)計特征-電子文檔組合進行解密從而公開生物統(tǒng)計特征但不公開電子文檔�,將公開的生物統(tǒng)計特征與存儲的生物統(tǒng)計特征進行比較;當存儲的和公開的生物統(tǒng)計特征之間匹配時����,對電子文檔進行解密,以及當不匹配時停止解密過程�����。
36.根據(jù)權(quán)利要求35的計算機程序�����,包括用于執(zhí)行下列操作的指令對生物統(tǒng)計特征進行部分解密以至少公開一部分生物統(tǒng)計特征但不公開電子文檔��,以及將該部分與存儲的特征的對應部分進行比較����,其特征在于在比較的部分之間不匹配的情況下,解密過程將停止����。
37.根據(jù)權(quán)利要求35或36的計算機程序,包括用于在不匹配的情況下刪除生物統(tǒng)計特征-文檔組合的指令����。
38.本質(zhì)上如上文所描述的用于保護和驗證電子文檔的系統(tǒng)。
39.本質(zhì)上如上文所描述的用于保護和驗證電子文檔的方法�。
40.本質(zhì)上如上文所描述的用于保護和驗證電子文檔的計算機程序。
41.本質(zhì)上如上文所描述的在用于保護和驗證電子文檔的系統(tǒng)和方法中使用的用戶終端��。
全文摘要
一種用于保護電子文檔(22)的方法��,包括將生物統(tǒng)計特征(20)和電子文檔(22)結(jié)合以形成生物統(tǒng)計特征-文檔組合���,并對該生物統(tǒng)計特征-文檔組合進行加密���,以形成加密數(shù)據(jù)包(24)����。
文檔編號G06F21/32GK1419664SQ0180710
公開日2003年5月21日 申請日期2001年2月23日 優(yōu)先權(quán)日2000年2月23日
發(fā)明者基姆·利珀 申請人:基姆·利珀