專利名稱:可信消息存儲和傳輸協(xié)議和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種可信消息存儲和傳輸協(xié)議和系統(tǒng)�����。
背景技術(shù):
在現(xiàn)代電信空間中����,存在許多方案,其中希望能夠安全地存儲消息內(nèi)容并且在各方之間交換消息內(nèi)容���。希望實(shí)現(xiàn)這種類型的功能的方案包括但不限于電子商務(wù)�����,其中消息內(nèi)容可包括資產(chǎn)值或貨幣量���;電子投票,其中消息內(nèi)容可包括投票者的選舉��;和遙測��,其中消息內(nèi)容可包括傳感器數(shù)據(jù)和/或控制命令��。在所有這些方案中��,消息內(nèi)容存儲在由一方“擁有”的存儲介質(zhì)中��,并且希望把該消息內(nèi)容的一些或全部傳輸或發(fā)送給由另一方“擁有”的存儲介質(zhì)。在每一情況下����,存儲介質(zhì)可采用任何所希望的形式,包括例如非易失性存儲器����。所涉及的各方可以是實(shí)際的人或組織,或者特別地在遙測系統(tǒng)等的情況下�,可以是識別的站或一件裝備。在本說明書的上下文中����,消息內(nèi)容的安全存儲和交換是指用于存儲和交換消息內(nèi)容的機(jī)制反映或體現(xiàn)下面值中的至少一些
消息完整性當(dāng)將要從一方向另一方傳輸消息內(nèi)容時,可產(chǎn)生包含所希望的消息內(nèi)容的消息���。應(yīng)該是計算上不可行的是,以不能由隨后接收該消息的一方檢測的方式修改該消肩���、O安全性一方獲得對存儲介質(zhì)內(nèi)的消息內(nèi)容的未授權(quán)訪問應(yīng)該是計算上不可行的���。類似地,在一方錯誤地接收定址到另一方的消息內(nèi)容的情況下��,接收方錯誤地把該消息內(nèi)容存儲至它們自己的存儲介質(zhì)應(yīng)該是計算上不可行的。不可撤銷性(irrevocability):當(dāng)將要從一方向另一方傳輸消息內(nèi)容時,可產(chǎn)生包含所希望的消息內(nèi)容的消息���。消息產(chǎn)生機(jī)制應(yīng)該優(yōu)選地以這種方式工作���,即消息不能隨后由發(fā)送方撤銷。不可否認(rèn)性包含從發(fā)送方向接收方傳輸?shù)膬?nèi)容的消息應(yīng)該以這種方式標(biāo)記�,即發(fā)送方不能似真地斷定該消息由其它某一方產(chǎn)生并發(fā)送。匿名性存儲和傳輸機(jī)制應(yīng)該以這種方式工作���,即各方能夠交換消息內(nèi)容����,無需知道實(shí)際交換的各方的身份的第三方的介入�。復(fù)制品(duplicate)檢測消息內(nèi)容傳輸機(jī)制應(yīng)該優(yōu)選地以這種方式工作,即檢測并正確地處理復(fù)制消息����。
可能需要注意的是,不必存在所有上述值�。例如,在一些遙測方案中�,“匿名性”的值可能不相關(guān)或甚至不需要,因?yàn)榘l(fā)送消息的站或裝備的身份可能對接收方有用��。另一方面,在一些情況下�����,這種匿名性可能有用��,因?yàn)殄e誤地接收內(nèi)容傳輸消息的未授權(quán)方不能通過分析消息確定發(fā)送方的身份����。在遙測方案中,例如��,這可防止黑客把攔截的遙測數(shù)據(jù)與發(fā)送該數(shù)據(jù)的特定站或裝備關(guān)聯(lián)在一起�����。類似地�,在在線投票系統(tǒng)中,匿名性使得能夠?qū)崿F(xiàn)“秘密投票”��,而不可撤銷性���、不可否認(rèn)性和復(fù)制品檢測的其它優(yōu)點(diǎn)允許檢測和防止選舉欺詐。已知通過其能夠?qū)崿F(xiàn)上述優(yōu)點(diǎn)中的一些但非全部的技術(shù)�����。例如,已知的加密技術(shù)(諸如�����,公鑰基礎(chǔ)設(shè)施(PKI)加密)能夠用于對消息的內(nèi)容加密和/或把數(shù)字簽名應(yīng)用于消息�。數(shù)字簽名的使用提供消息完整性并且還提供了一定程度的不可否認(rèn)性。 把唯一編號應(yīng)用于消息是公知的復(fù)制品檢測的技術(shù)�����。能夠單獨(dú)或組合使用各種方法�,諸如密碼、個人識別號(PIN)�����、用戶識別模塊(SIM)卡����,以保障對一些類型的存儲介質(zhì)的訪問,諸如個人計算機(jī)(PO�、蜂窩電話、個人數(shù)字助手(PDA)和在線用戶賬戶。然而�����,這些技術(shù)設(shè)計為防止一方獲得對屬于另一方的裝置或存儲介質(zhì)的未授權(quán)訪問�。它不防止錯誤地接收消息的一方錯誤地把該消息存儲在它們自己的存儲介質(zhì)上。用于保障通信的已知系統(tǒng)通常依賴于這樣的事實(shí)任何消息交換的雙方對于直接參與消息交換的第三方而言是已知的�����。這種布置的常見例子是使用銀行借記卡和信用卡等��,其中持卡人和商人之間的消息內(nèi)容交換例如必須包括知道持卡人和商人二者的身份的發(fā)卡人(例如��,銀行)的介入�����。在一些情況下�,這提供了用于產(chǎn)生審計線索的機(jī)制,并且特別地在金融系統(tǒng)中���,各種管理機(jī)構(gòu)可能需要這一點(diǎn)���。然而,在在線投票系統(tǒng)中,保證至少發(fā)送方的匿名對于保持秘密投票表決方案的完整性而言是必要的�。在不損害其它所希望的值(諸如�����,消息完整性和不可否認(rèn)性)的情況下��,已知的用于保障通信的系統(tǒng)不能適應(yīng)這種匿名性��。一種克服現(xiàn)有技術(shù)的至少一些限制的電子消息內(nèi)容存儲和傳輸系統(tǒng)仍是高度期望的���。
發(fā)明內(nèi)容
因此��,本發(fā)明的一方面提供一種電子內(nèi)容存儲和交換系統(tǒng)����。該系統(tǒng)包括接口�,配置為發(fā)送和接收消息;數(shù)據(jù)庫和控制器�����。數(shù)據(jù)庫包括多個記錄���,每個記錄表示各個虛擬存儲介質(zhì)��,并至少包括分配給虛擬存儲介質(zhì)的各唯一標(biāo)識符��;分配給虛擬存儲介質(zhì)的各私鑰和證書�;當(dāng)前內(nèi)容值和內(nèi)容傳輸?shù)娜罩尽�����?刂破髟谥噶畲a的控制下工作以針對每個虛擬存儲介質(zhì)執(zhí)行傳入和傳出過程���。傳入過程包括下述步驟經(jīng)接口接收至少包括將要傳輸?shù)南?nèi)容和分配給接收方虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸消息��;基于各標(biāo)識符訪問表示接收方虛擬存儲介質(zhì)的記錄�����;以及把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中���。傳出過程包括下述步驟經(jīng)接口接收至少包括至少將要傳輸?shù)南?nèi)容和分配給發(fā)送虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸請求消息;基于各標(biāo)識符訪問表示發(fā)送虛擬存儲介質(zhì)的記錄����;從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容量��;產(chǎn)生包括將要傳輸?shù)南?nèi)容的內(nèi)容傳輸消息�;以及返回該內(nèi)容傳輸消息�。
通過下面結(jié)合附圖進(jìn)行的詳細(xì)描述,本發(fā)明的另外的特征和優(yōu)點(diǎn)將會變得清楚���,其中 圖Ia和Ib是示意性地例示根據(jù)本發(fā)明實(shí)施例的消息交換系統(tǒng)的方框 圖2a和2b是顯示根據(jù)本發(fā)明實(shí)施例的代表性“傳入”和“傳出”過程的流程 圖3a和3b是示意性地例示根據(jù)本發(fā)明第二實(shí)施例的消息交換系統(tǒng)的方框 圖4是示意性地例示使用根據(jù)本發(fā)明實(shí)施例的方法和系統(tǒng)實(shí)現(xiàn)的電子商務(wù)應(yīng)用的元件的方框 圖5是不意性地例不用于在圖4的應(yīng)用內(nèi)完成電子商務(wù)交易的可能方案的消息流圖;圖6是示意性地例示使用根據(jù)本發(fā)明實(shí)施例的方法和系統(tǒng)實(shí)現(xiàn)的電子投票應(yīng)用的元件的方框 圖7a和7b是示意性地例示用于在圖6的應(yīng)用內(nèi)完成電子投票的可能方案的消息流圖�。將注意的是,在附圖中�����,相似特征始終由相似標(biāo)號表示�。
具體實(shí)施例方式本發(fā)明提供了用于電子消息內(nèi)容存儲和傳輸?shù)姆椒ê拖到y(tǒng)。以下參照圖1-5僅作為示例描述本發(fā)明的實(shí)施例�����。在下面的描述中�,將通過下面的實(shí)施例描述本發(fā)明在實(shí)施例中,使用安全存儲和傳輸機(jī)制以便經(jīng)具有資產(chǎn)值或貨幣量的形式的消息內(nèi)容的安全存儲和交換實(shí)現(xiàn)電子商務(wù)�。然而,將會意識到�����,本發(fā)明不限于電子商務(wù),而是相反地�����,相同的技術(shù)可用于實(shí)現(xiàn)任何通信系統(tǒng)(其中需要消息完整性����、安全性、不可撤銷性���、不可否認(rèn)性���、匿名性和復(fù)制品檢測的值)。參照圖la��,非常概括地講�,根據(jù)本發(fā)明的消息存儲和交換系統(tǒng)2包括配置為通過通信介質(zhì)6交換消息的至少兩個存儲介質(zhì)4。每個存儲介質(zhì)4包括輸入/輸出(I/O)接口 8,配置為能夠使存儲介質(zhì)4通過通信介質(zhì)6發(fā)送和接收消息�;控制器10,響應(yīng)于接收的消息記錄朝著存儲介質(zhì)4的內(nèi)容的傳輸以及從存儲介質(zhì)4傳輸內(nèi)容;和存儲器12�,存儲存儲介質(zhì)4的各唯一標(biāo)識符14、唯一地分配給存儲介質(zhì)4的私鑰16和證書18���、朝著存儲介質(zhì)4和來自存儲介質(zhì)4的內(nèi)容傳輸?shù)娜罩?0以及存儲介質(zhì)的當(dāng)前內(nèi)容(Cur. Val) 22���。私鑰16和證書18使用例如公知的公鑰基礎(chǔ)設(shè)施(PKI)技術(shù)促進(jìn)加密和數(shù)字簽名功能���。為了這個目的,私鑰16和證書18將會通常由可信頒發(fā)機(jī)構(gòu)(諸如�,例如Verisign (TM))產(chǎn)生。預(yù)期存儲介質(zhì)4可配置為兩種變型��。在第一變型中�����,存儲介質(zhì)4構(gòu)建為適合分發(fā)并由個人使用的物理裝置�����。在第二變型中��,存儲介質(zhì)4構(gòu)建為服務(wù)器���,該服務(wù)器配置為模擬所希望的數(shù)量的個體個人化的存儲介質(zhì)。以下將會描述這兩種變型����。個體存儲介質(zhì)
在為用戶的個人使用設(shè)計的個體存儲介質(zhì)的情況下���,存儲介質(zhì)4可配置為連接到用于通過數(shù)據(jù)網(wǎng)絡(luò)26通信的用戶通信裝置24,如圖Ib中所示�。這種個人化的存儲介質(zhì)4可以按照任何合適的形狀因數(shù)(form-factor)制造,包括但不限于智能卡����、USB閃存驅(qū)動器或存儲卡中常用的形狀因數(shù)。能夠提供I/o接口 8作為任何合適的通信鏈路��,諸如例如通用串行數(shù)據(jù)(USB)或迷你USB連接����、blue-t00th(TM)或紅外無線連接。根據(jù)需要���,可使用其它連接技術(shù)����。優(yōu)選地�����,I/O接口 8設(shè)計為能夠使用戶容易地并且可靠地把他們的存儲介質(zhì)4連接到通信裝置24以及把其存儲介質(zhì)4與通信裝置24斷開,并且在連接時促進(jìn)存儲介質(zhì)4和通信裝置之間的信息的安全傳輸�����。由于這個原因����,在使用無線接口技術(shù)的實(shí)施例中,優(yōu)選地�,無線連接在非常有限的距離上(例如,大約10 cm或更小)有效����,以減小功率要求并提高安全性��。各種已知的射頻電磁或磁耦合技術(shù)可用于在這個距離實(shí)現(xiàn)無線連接�。通信裝置24可采用任何合適的形式,包括但不限于個人計算機(jī)(PC)��、筆記本PC�����、個人數(shù)字助手(PDA)����、蜂窩電話等��。 控制器10和存儲器12可例如使用已知的用戶識別模塊(SM)技術(shù)構(gòu)造�。然而���,這不是必要的���。優(yōu)選地,存儲介質(zhì)4以這種方式構(gòu)造��,即在不破壞控制器10和存儲器12的情況下不能從存儲介質(zhì)4移除控制器10和存儲器12�。使用SIM技術(shù)構(gòu)造控制器10和存儲器12是有益的,因?yàn)檫@能夠以這種方式使ID 14����、私鑰16和證書18永久地存儲在存儲介質(zhì)4中,即它永遠(yuǎn)不會被破壞(在不破壞整個令牌(token)的功能的情況下��,這對于用戶而言不方便�����,但保持了安全性)并且無法“非法侵入(hack)”存儲介質(zhì)4或者對存儲介質(zhì)4進(jìn)行反向工程以發(fā)現(xiàn)私鑰16或者修改日志20、當(dāng)前內(nèi)容(Cur. Val) 22或存儲介質(zhì)4的操作中的任何一項����。結(jié)果,系統(tǒng)2的每個用戶有很好的理由相信任何給定的存儲介質(zhì)4的ID14���、私鑰16和證書18之間的關(guān)聯(lián)是唯一的并且不能被欺詐性地復(fù)制�����。在操作中����,用戶(例如�,圖Ib的用戶“A”)能夠把他們的存儲介質(zhì)4連接到通信裝置24a并與他們的存儲介質(zhì)4交互,以經(jīng)他們的通信裝置24a的用戶接口產(chǎn)生并存儲內(nèi)容����。以下參照圖2a和2b描述在這個方面的典型操作�����。圖2a是流程圖�,例示了產(chǎn)生用于從存儲介質(zhì)4傳輸內(nèi)容的內(nèi)容消息的代表性過程。如在圖2a中可以看出,傳出過程開始于用戶與他們的通信裝置24的用戶接口交互以把包含將要傳輸?shù)膬?nèi)容(Val.)的指示的請求消息發(fā)送給他們的存儲介質(zhì)4�。當(dāng)接收到請求消息時(在S2),控制器10把將要傳輸?shù)膬?nèi)容(Val.)與存儲在存儲器12中的當(dāng)前內(nèi)容(Cur. Val) 22進(jìn)行比較(在S4)�。如果Cur. Val 22小于將要傳輸?shù)膬?nèi)容(Val.),則控制器10產(chǎn)生并返回錯誤消息(在S6)����。否則,控制器10把Cur. Val 22減少將要傳輸?shù)膬?nèi)容(Val.)(在S8),且然后產(chǎn)生(在S10)內(nèi)容傳輸消息,該內(nèi)容傳輸消息包含將要傳輸?shù)膬?nèi)容(Val.)和至少在由存儲介質(zhì)4產(chǎn)生并發(fā)送的內(nèi)容傳輸消息之中唯一地識別該內(nèi)容傳輸消息的隨機(jī)數(shù)以及存儲介質(zhì)4的ID 14��?���?刂破?0隨后把關(guān)于該傳輸?shù)男畔⒂涗浽谌罩局?在S12),并把數(shù)字簽名(DS)和證書18應(yīng)用于該傳輸消息(在S14)�。最后,控制器10把數(shù)字簽名的傳輸消息返回(在S16)給用戶的通信裝置14����。當(dāng)接收到數(shù)字簽名的傳輸消息時,用戶能夠隨后使用任何合適的通信手段(包括例如作為電子郵件消息的附件)把傳輸消息發(fā)送給所希望的接收方(例如�,圖Ib的用戶“B”)。在圖2a的實(shí)施例中�,由控制器10產(chǎn)生(在S10)的內(nèi)容傳輸消息包含存儲介質(zhì)4的ID。然而����,這不是必要的�。在一些實(shí)施例中���,根據(jù)需要�����,可以省略存儲介質(zhì)4的ID����。在一些實(shí)施例中����,替代于存儲介質(zhì)4的ID或者除存儲介質(zhì)4的ID之外,內(nèi)容傳輸消息可包括預(yù)期接收方存儲介質(zhì)的ID��。在圖2a的實(shí)施例中����,由控制器10產(chǎn)生(在S10)的內(nèi)容傳輸消息包含隨機(jī)數(shù)。通常�,該隨機(jī)數(shù)能夠是任何字母數(shù)字串�����,其能夠使接收方至少在由存儲介質(zhì)4產(chǎn)生的內(nèi)容傳輸消息之中核實(shí)該內(nèi)容傳輸消息的唯一性。在一些實(shí)施例中�����,作為傳出過程的一部分�,可由控制器10產(chǎn)生該隨機(jī)數(shù)。然而���,這不是必要的��。在一些實(shí)施例中��,該隨機(jī)數(shù)可在傳出過程開始之前由接收方提供��,并且在請求消息中被提供給存儲介質(zhì)4 (圖2a�����,在S2)��。例如�����,在圖Ib的實(shí)施例中�,用戶A和用戶B可使用他們各自的通信裝置24a和24b以常規(guī)方式通信,在該通信期間����,各方同意從用戶A的存儲介質(zhì)4a向用戶B的存儲介質(zhì)4b傳輸內(nèi)容。為了開始傳輸��,用戶B可以與他們的通信裝置24b交互�,產(chǎn)生隨機(jī)數(shù)并把隨機(jī)數(shù)發(fā)送給用戶A的通信裝置24a。當(dāng)接收到該隨機(jī)數(shù)時��,用戶A能夠與他們的通信裝置24a交互以把包括接收的隨機(jī)數(shù)的請求消息發(fā)送給他們的存儲介質(zhì)4a��,從而觸發(fā)傳出過程的執(zhí)行�。當(dāng)接收到傳輸請求消息時,用戶B的通信裝置能夠比較該請求消息中所包含的隨機(jī)數(shù)與最初發(fā)送給用戶A的隨機(jī)數(shù)�����。這種布置是有益的��,因?yàn)檫@能夠使用戶B確定地把任何給定的接收的傳輸請求消息與特定內(nèi)容交換事務(wù)關(guān)聯(lián)��,而不改變他們的存儲介質(zhì)4檢測并處理復(fù)制品的能力��。 圖2b是流程圖,示出了可由存儲介質(zhì)4執(zhí)行以把接收的內(nèi)容存儲在存儲器12中的代表性“傳入”過程�����。參照圖2b���,傳入過程開始于用戶與他們的通信裝置24的用戶接ロ交互以把接收的內(nèi)容傳輸消息輸入到存儲介質(zhì)4。當(dāng)接收到傳輸消息時(在S18)��,控制器10使用證書18核實(shí)(在S20)接收的內(nèi)容傳輸消息的數(shù)字簽名�����。如果核實(shí)失敗�����,則丟棄內(nèi)容傳輸消息(在S22)�,在傳入過程結(jié)束之前把錯誤消息返回(在S24)給用戶的通信裝置24。如果核實(shí)成功���,則控制器10使用發(fā)送存儲介質(zhì)的隨機(jī)數(shù)和ID 14比較(在S26)接收的內(nèi)容傳輸消息與它的日志20以確定該內(nèi)容傳輸消息是否是以前從發(fā)送存儲介質(zhì)接收的內(nèi)容傳輸消息的復(fù)制品�����。如果它是復(fù)制品�����,則丟棄該內(nèi)容傳輸消息(在S22)�����,把錯誤消息返回給用戶的通信裝置(在S24)并且傳入過程結(jié)束����。否則,控制器10把關(guān)于該傳輸?shù)男畔⒂涗浽谌罩局?在S28)�����,并把存儲在存儲器12中的當(dāng)前內(nèi)容(Cur. Val) 22增加將要傳輸?shù)膬?nèi)容(Val.)(在S30)��。最后�����,存儲介質(zhì)4把確認(rèn)消息(在S32)返回給用戶的通信裝置24����,指示內(nèi)容已成功地存儲在存儲器12中��。如上所述�,日志20保持存儲介質(zhì)4的內(nèi)容傳入和內(nèi)容傳出的記錄�。在一些實(shí)施例中,記錄在日志20中的信息包括由存儲介質(zhì)4接收或發(fā)送的每個傳輸消息的內(nèi)容���。在ー些實(shí)施例中,每個傳輸消息的摘要而非整個消息可記錄在日志20中�。在一些情況下,摘要可采用在傳輸消息的至少一部分上計算的散列(散列值)的形式�����。例如���,記錄接收的傳輸消息的散列能夠?qū)崿F(xiàn)復(fù)制消息的有效檢測�,同時使存儲日志20所需的存儲量最小化����。在ー些實(shí)施例中,發(fā)送和接收的傳輸消息可記錄在各単獨(dú)的日志中����。這種布置是有益的����,因?yàn)樗龠M(jìn)把各不同信息集記錄在每個日志20中�����。例如�,發(fā)送消息的日志可記錄由存儲介質(zhì)4發(fā)送的全部傳輸消息,而接收消息的日志僅記錄每個接收的消息的散列��。用于產(chǎn)生內(nèi)容傳輸消息和把接收的內(nèi)容存儲在存儲介質(zhì)4中的前述過程提供了許多優(yōu)點(diǎn)����。例如,響應(yīng)于由用戶發(fā)出的請求��,由控制器10產(chǎn)生內(nèi)容傳輸消息��。利用數(shù)字簽名對返回的內(nèi)容傳輸消息做標(biāo)記���,并且返回的內(nèi)容傳輸消息包含存儲介質(zhì)4的ID 14和證書18��。這些元素在一起確保傳輸消息的任何改變能夠由接收方檢測到�,由此提供消息完整性,并且另外確保識別產(chǎn)生消息的存儲介質(zhì)4�����。另外�����,由于用戶有很好的理由相信分配給每個存儲介質(zhì)的ID 14��、私鑰16和證書18既是唯一的又對于非法入侵而言是安全的�����,所以在沒有聲明存儲介質(zhì)4已丟失或失竊的情況下�����,用戶不能似真地爭論傳輸消息由除識別的存儲介質(zhì)4的持有人之外的某人產(chǎn)生并發(fā)送�,由此提供消息不可否認(rèn)性如上所述����,當(dāng)產(chǎn)生內(nèi)容傳輸消息時,當(dāng)前內(nèi)容(Cur. Val) 22減量正在傳輸?shù)膬?nèi)容(圖2a����,在S8)���。如此,發(fā)送方強(qiáng)烈地不希望在沒有發(fā)送傳輸消息的情況下刪除傳輸消息�����,因?yàn)殡S后傳輸消息中所包含的內(nèi)容不可挽回地丟失��。避免這種丟失的唯一方法在于執(zhí)行以上參照圖2b描述的傳入過程以把內(nèi)容存儲回至存儲介質(zhì)中�。這提供了至少簡單級別的不可撤銷性。通過修改圖2b的傳入過程以使得控制器10將會丟棄接收的由它自身產(chǎn)生的內(nèi)容傳輸消息(圖2b����,在S22和S24),能夠獲得更高級別的不可撤銷性����。如上所述,SIM技術(shù)的使用提供了每個存儲介質(zhì)4的安全性���,因?yàn)橐环将@得對存儲介質(zhì)4內(nèi)存儲的消息內(nèi)容的未授權(quán)訪問是計算上不可行的�����。通過修改圖2a的傳出過程以使得請求消息必須至少包含預(yù)期接收方存儲介質(zhì)的ID 14�,能夠獲得傳輸消息的安全性,并且這種信息與發(fā)送存儲介質(zhì)的ID—起被包括在產(chǎn)生的傳輸消息中�����。能夠以互補(bǔ)的方式修改圖2b的傳入過程����,以使得它將會丟棄不包含它自己的ID作為預(yù)期接收方的傳輸消息(圖2b,在S22和S24)����。結(jié)果,接收方錯誤地把定址到另一方的消息內(nèi)容存儲在它們自己的存儲介質(zhì)中是計算上不可行的�。另外�����,每個內(nèi)容傳輸消息可包含至少產(chǎn)生該特定傳輸消息的特定存儲介質(zhì)4的ID14��,并且在一些情況下�����,還包括預(yù)期接收方存儲介質(zhì)的ID 14。然而����,它不識別擁有所涉及的存儲介質(zhì)4的各方。在一些情況下����,分發(fā)機(jī)構(gòu)可記錄識別提供存儲介質(zhì)4的每一方的信息,在這種情況下��,分發(fā)機(jī)構(gòu)將會能夠至少識別發(fā)送任何給定內(nèi)容傳輸消息的該方���。然而�����,根據(jù)以上參照圖2a和2b描述的過程���,內(nèi)容傳輸消息能夠由發(fā)送方產(chǎn)生,并被發(fā)送給所希望的接收方�����,接收方隨后把接收的內(nèi)容存儲在它們自己的存儲介質(zhì)4中���,所有這些都未涉及包括分發(fā)機(jī)構(gòu)的任何第三方���。如此�,實(shí)現(xiàn)了匿名性���,因?yàn)閮?nèi)容交換能夠發(fā)生在發(fā)送方和接收方之間�����,而無需知道發(fā)送方和接收方的身份的任何第三方的介入���。存儲介質(zhì)服務(wù)器
在一些方案中,可能不希望制造個人化存儲介質(zhì)并把它們分發(fā)給個體用戶�。在這種情況下,可使用圖3b中例示的類型的存儲介質(zhì)服務(wù)器28�����。如在圖3b中可以看出�,存儲介質(zhì)服務(wù)器28包括I/O接ロ 30��、控制器32和數(shù)據(jù)庫34�����,該I/O接ロ 30、控制器32和數(shù)據(jù)庫34配置為以大體上類似于圖Ia的個人化的個體存儲介質(zhì)4的I/O接ロ 8����、控制器10和存儲器12的方式工作。然而�����,個體存儲介質(zhì)4和存儲介質(zhì)服務(wù)器28之間的重要差異在于I/O接ロ 30和控制器32的能力��,I/O接ロ 30和控制器32都顯著大于它們在個體存儲介質(zhì)4中的對應(yīng)部分��,并且數(shù)據(jù)庫30包含多個個體存儲介質(zhì)4的數(shù)據(jù)���。在一些實(shí)施例中���,數(shù)據(jù)庫可格式化為記錄,每個記錄表示各個個體存儲介質(zhì)4并包含用于存儲該個體存儲介質(zhì)4的各ID 14�����、私鑰16����、證書18����、日志20和當(dāng)前內(nèi)容22的字段�。這些字段中的每個字段的格式優(yōu)選地與個體存儲介質(zhì)4的存儲器12中的對應(yīng)字段相同,從而在每個裝置中使用以上參照圖2a和2b描述的基本上相同的傳入和傳出過程能夠在個體存儲介質(zhì)4和數(shù)據(jù)庫30的記錄之間交換內(nèi)容傳輸消息����。這是有益的,因?yàn)榇鎯橘|(zhì)服務(wù)器28有效地模擬多個個體存儲介質(zhì)4����,所述多個個體存儲介質(zhì)4中的每ー個對用戶表現(xiàn)出相同的功能。通過把存儲介質(zhì)服務(wù)器28的功能限制于如上參照圖2a和2b所述的傳輸消息的產(chǎn)生和接收���,獲得存儲介質(zhì)服務(wù)器28的安全性��。為了這個目的�,服務(wù)提供商可以把存儲介質(zhì)服務(wù)器28連接到與數(shù)據(jù)網(wǎng)絡(luò)26連接的主機(jī)服務(wù)器36以便與訂戶交換消息���,如從圖3b中可以看出的���。這種布置是有益的,因?yàn)樗軌蚴怪鳈C(jī)服務(wù)器36提供“防火墻”�,存儲介質(zhì)服務(wù)器28位于該“防火墻”后面,并且還允許服務(wù)提供商為訂戶提供各種服務(wù)����,包括對“虛擬”存儲介質(zhì)的訪問。如可以理解的���,為了使存儲介質(zhì)服務(wù)器28訪問數(shù)據(jù)庫30中的正確記錄(虛擬存儲介質(zhì))以產(chǎn)生內(nèi)容傳輸消息�,請求消息(圖2a��,在S2)必須至少包含將要從其傳輸內(nèi)容的“發(fā)送”虛擬存儲介質(zhì)(記錄)的ID 14�。類似地,為了使存儲介質(zhì)服務(wù)器28訪問正確的數(shù)據(jù)庫記錄以存儲接收的傳輸消息的內(nèi)容�,傳輸消息(圖2b,在S18)必須至少包含將要存儲內(nèi)容的接收方虛擬存儲介質(zhì)的ID 14���。僅作為示例�,圖4和5例示用于實(shí)現(xiàn)電子商務(wù)應(yīng)用的根據(jù)本發(fā)明的系統(tǒng)的主要元件和操作��。在電子商務(wù)的情況下����,存儲和傳輸?shù)膬?nèi)容將會典型地表示資產(chǎn)值或貨幣量���,并且這種術(shù)語將會用于下面描述中。參照圖4���,服務(wù)提供商可使用存儲介質(zhì)服務(wù)器28和連接到數(shù)據(jù)網(wǎng)絡(luò)26 (諸如�,互聯(lián) 網(wǎng))的主機(jī)服務(wù)器36以便能夠?qū)崿F(xiàn)電子商務(wù)應(yīng)用���,使電子商務(wù)應(yīng)用對于服務(wù)提供商的個體訂戶而言可用���。為了這個目的,通過利用必要的ID 14���、私鑰16和證書18填寫數(shù)據(jù)庫34中的記錄井隨后把各虛擬存儲介質(zhì)的ID 14和證書18轉(zhuǎn)發(fā)給訂戶�����,服務(wù)提供商可響應(yīng)來自訂戶的請求以實(shí)例化(instantiate)該虛擬存儲介質(zhì)����。在訂戶是個體用戶(諸如��,用戶“A”,在圖4中)的情況下��,用戶可選擇把ID 14a和證書18a保存在他們的通信裝置24上�。在訂戶是提供在線電子商務(wù)服務(wù)的商人等的情況下���,訂戶可把他們的ID 14m和證書18m保存在連接到數(shù)據(jù)網(wǎng)絡(luò)26的服務(wù)器38上�。在任ー情況下�����,(多個)訂戶能夠隨后使用他們的ID14和證書18以便使用由服務(wù)提供商主控的他們的虛擬存儲介質(zhì)實(shí)現(xiàn)電子商務(wù)交易�。圖5是消息流圖,示意性地例示了在可能的電子商務(wù)交易期間的個體訂戶(即��,用戶“A”)�����、商人的服務(wù)器和服務(wù)提供商之間的代表性交互�����。參照圖5�����,在第一步驟(S34)中,用戶“A”使用他們的通信裝置24訪問商人的服務(wù)器38�,瀏覽商人的產(chǎn)品,并選擇購買的物品�����,所有這些操作以常規(guī)方式執(zhí)行��。在用戶“A”購買選擇完成之后����,通過發(fā)送包含應(yīng)付支付金額和由服務(wù)提供商保持的商人的虛擬存儲裝置的ID 14的請求消息(在S36),商人的服務(wù)器38開始支付順序���。當(dāng)接收到請求消息時���,用戶的通信裝置24把該請求重新引導(dǎo)至主機(jī)服務(wù)器36 (在S38)。當(dāng)接收到來自用戶的通信裝置24的重新引導(dǎo)的請求消息時��,主機(jī)服務(wù)器36執(zhí)行驗(yàn)證過程(在S40)以獲得用戶接受交易的確認(rèn)�����。在一些實(shí)施例中,可在為了這個目的在用戶的通信裝置24和主機(jī)服務(wù)器36之間建立的安全連接(例如�,安全套接層(SSL)連接)內(nèi)處理這種驗(yàn)證過程。在一些實(shí)施例中����,在用戶的通信裝置24上執(zhí)行的瀏覽器應(yīng)用的彈出窗ロ可用于使用戶能夠容易地指示他們對交易的接受或拒絕。如果用戶接受交易�����,則確認(rèn)消息被發(fā)送給主機(jī)服務(wù)器36 (在S42)���,該確認(rèn)消息包括用戶的虛擬存儲介質(zhì)的ID 14a和證書18a。在一些實(shí)施例中�,確認(rèn)消息作為驗(yàn)證過程的一部分被發(fā)送給主機(jī)服務(wù)器36 (步驟S40)。當(dāng)接收到用戶的確認(rèn)消息時����,主機(jī)服務(wù)器36構(gòu)建傳輸請求消息(其包含作為發(fā)送者的用戶的虛擬存儲介質(zhì)的ID 14a、作為預(yù)期接收方的商人的虛擬存儲介質(zhì)的ID 14m和作為將要傳輸?shù)膬?nèi)容的從商人的服務(wù)器38接收的應(yīng)付支付金額)�,并把這個傳輸請求消息發(fā)送給存儲介質(zhì)服務(wù)器28 (在S44)。當(dāng)接收到傳輸請求消息時��,控制器32使用用戶的虛擬存儲介質(zhì)的ID 14a訪問數(shù)據(jù)庫34中的合適記錄���,且然后執(zhí)行以上參照圖2a描述的傳出過程(S46)���,以產(chǎn)生并返回(在S48)內(nèi)容傳輸消息(其包含作為發(fā)送者的用戶的虛擬存儲介質(zhì)的ID 14a�����、作為接收方的商人的虛擬存儲介質(zhì)的ID 14m和作為正在傳輸?shù)膬?nèi)容的應(yīng)付支付金額)�。
當(dāng)從存儲介質(zhì)服務(wù)器28接收到內(nèi)容傳輸消息時��,主機(jī)服務(wù)器36把該內(nèi)容傳輸消息發(fā)送回至存儲介質(zhì)服務(wù)器28 (在S50)���,以觸發(fā)以上參照圖2b描述的傳入過程(在S52)并由此把應(yīng)付支付金額存儲于商人的虛擬存儲介質(zhì)����。如上所述���,當(dāng)這個傳入過程成功完成時����,存儲介質(zhì)服務(wù)器28返回確認(rèn)消息(在S54)��,該確認(rèn)消息指示應(yīng)付支付金額已存儲在商人的虛擬存儲介質(zhì)中���。當(dāng)接收到這個確認(rèn)消息吋�����,主機(jī)服務(wù)器36把確認(rèn)消息轉(zhuǎn)發(fā)給商人的服務(wù)器38和用戶的通信裝置24 (在S65)�����,從而這兩方都確認(rèn)支付轉(zhuǎn)移已成功完成�����。在上述過程中���,從用戶的虛擬存儲介質(zhì)到商人的虛擬存儲介質(zhì)的支付金額的轉(zhuǎn)移需要主機(jī)服務(wù)器36和存儲介質(zhì)服務(wù)器28之間的兩階段消息流。這種布置是有益的�,因?yàn)樗軌蚴勾鎯橘|(zhì)服務(wù)器28工作于簡單的請求/響應(yīng)方式(例如,遵循以上參照圖2a和2b描述的傳入和傳出過程)�,這減少了數(shù)據(jù)庫34內(nèi)的記錄(虛擬存儲介質(zhì))之間的錯誤傳輸?shù)目赡苄浴A硗?,在一些方案中,商人可能使用個體個人化的存儲介質(zhì)4接收支付����,或者還可能是不同服務(wù)提供商的訂戶�。在這兩種方案中的任一方案中��,在步驟S48從存儲介質(zhì)服務(wù)器28輸出的傳輸消息將會需要被轉(zhuǎn)發(fā)給商人的服務(wù)器38或者商人的服務(wù)提供商的主機(jī)服務(wù)器���。通過確保主機(jī)服務(wù)器36總是從發(fā)送方虛擬存儲介質(zhì)接收傳輸消息��,能夠容易地提供這種功能�。在一些情況下����,可能希望(或者,為了管理的原因��,需要)服務(wù)提供商知道它的每個訂戶的實(shí)際身份����。在這種情況下,不保留交易中所涉及的各方的匿名性�,因?yàn)橹鳈C(jī)服務(wù)器36能夠跟蹤。然而����,這不是必要的。例如��,服務(wù)提供商能夠接受對虛擬存儲介質(zhì)的匿名請求,且甚至通過使用上述兩部分順序把數(shù)據(jù)庫34的合適用戶記錄中存儲的預(yù)定金額傳輸?shù)剿约旱挠涗泚硎占啈糍M(fèi)用�。然而,將會看出�,以上參照圖5描述的整個在線購買交易完全在頒發(fā)給每個訂戶的ID 14和證書18的基礎(chǔ)上進(jìn)行。這種信息識別交易中所涉及的特定虛擬存儲介質(zhì)����,并且還提供不可否認(rèn)性、不可撤銷性���、消息完整性和消息安全性的值����,但它不提供所涉及的訂戶的實(shí)際身份的信息���。如此,除非服務(wù)提供商具有某一其它過程以便獲取識別它的每個訂戶的信息以及頒發(fā)給該訂戶的ID 14和證書18�����,否則服務(wù)提供商將不會具有識別交易的各方的任何手段���,并且保留了匿名�。圖6和7例示了用于實(shí)現(xiàn)電子投票應(yīng)用的根據(jù)本發(fā)明的系統(tǒng)的主要元件和操作。在電子投票的情況下���,存儲和傳輸?shù)膬?nèi)容將會典型地表示選票�����,并且這種術(shù)語將會用于下面的描述中���。參照圖6,投票機(jī)構(gòu)可使用存儲介質(zhì)服務(wù)器28和連接到數(shù)據(jù)網(wǎng)絡(luò)26(諸如�����,互聯(lián)網(wǎng))的主機(jī)服務(wù)器36以便能夠?qū)崿F(xiàn)電子投票應(yīng)用�����,使電子投票應(yīng)用對于個體投票人而言可用���。在例示的實(shí)施例中�����,存儲介質(zhì)服務(wù)器28用于為參與競選的每個候選人提供虛擬存儲介質(zhì)����,從而能夠積累并記錄每個候選人的選票。在例示的實(shí)施例中�,投票人使用以上參照圖I描述的類型的個人化的存儲介質(zhì)4。然而�����,這不是必要的�。根據(jù)需要,投票人能夠選擇采用由獨(dú)立于投票機(jī)構(gòu)的服務(wù)提供商主控的虛擬存儲介質(zhì)�����。參照圖7a�����,為了訪問電子投票應(yīng)用�,投票人可向投票機(jī)構(gòu)登記(在步驟S58),提供個人識別信息以便使投票機(jī)構(gòu)能夠核實(shí)參與投票的投票人的資格�����。當(dāng)?shù)怯浲瓿蓵r�,投票機(jī)構(gòu)產(chǎn)生并轉(zhuǎn)發(fā)包含“投票指示”、數(shù)字簽名和證書的內(nèi)容傳輸消息(在S60)����。當(dāng)接收到傳輸消息時,投票人能夠隨后把接收的傳輸消息傳遞給他們的存儲介質(zhì)4(在S62)�����,存儲介質(zhì)4隨后執(zhí)行如以上參照圖2a所述的傳入過程(在S64))����,以把投票指示存儲在存儲器12中。原則上����,假如投票指示對于個體投票人而言不是唯一的,則投票指示能夠是任何值����。在一些實(shí)施例中,投票指示可以是數(shù)字“ 1”���,這具有優(yōu)點(diǎn)��,因?yàn)樵谕镀逼陂g通過簡單的數(shù)字加法能夠容易地積累每個候選人的選票���。在其它實(shí)施例中����,投票指示可以是這樣的值��,該值能夠使投票機(jī)構(gòu)確定投票人是否已選擇以某種方式“破壞(spoil)”他們的選票�����。例如��,投票指示能夠是候選人列表的散列��。對于本領(lǐng)域技術(shù)人員而言���,其它可能的投票指示將會變得清楚���。 在投票之前,選舉機(jī)構(gòu)可公布(在S66)候選人列表�����,該候選人列表包括唯一地識別分配給每個候選人的各個虛擬存儲介質(zhì)的候選人標(biāo)識符(cID)�����。參照圖7b���,為了投出他們的選票���,投票人可使用候選人的列表選擇他們喜歡的候選人的唯一標(biāo)識符(cID)(在S68),并把包括選擇的候選人標(biāo)識符(cID)的傳輸請求消息轉(zhuǎn)發(fā)(在S70)給他們的存儲介質(zhì)4����,該存儲介質(zhì)4執(zhí)行以上參照圖2b描述的傳出過程(在S72),并返回內(nèi)容傳輸消息(在S74)���,該內(nèi)容傳輸消息包含投票指示�����、作為接收方ID的選擇的候選人的唯一標(biāo)識符(cID)��、隨機(jī)數(shù)����、數(shù)字簽名和投票人的存儲介質(zhì)4的證書。當(dāng)接收到內(nèi)容傳輸消息時����,投票人能夠把內(nèi)容傳輸消息轉(zhuǎn)發(fā)給投票機(jī)構(gòu)的主機(jī)服務(wù)器36 (在S76)。這種傳輸可以通過各種手段完成����。在一些實(shí)施例中,投票人可以使用他們的通信裝置24訪問由投票機(jī)構(gòu)提供的網(wǎng)頁�����,該網(wǎng)頁配置為能夠使投票人把他們的內(nèi)容傳輸消息上載到主機(jī)服務(wù)器36���。這種布置的優(yōu)點(diǎn)在干用于傳送內(nèi)容傳輸消息的(多個)IP包的源地址與由投票人的互聯(lián)網(wǎng)服務(wù)提供商分配給通信裝置24的動態(tài)統(tǒng)ー資源定位器(URL)地址相對應(yīng)����,該動態(tài)URL地址將會通常僅在該特定通信會話的持續(xù)時間內(nèi)存在并且其因此不會泄露投票機(jī)構(gòu)的投票人的身份�����。類似地���,內(nèi)容傳輸消息自身包含數(shù)字簽名和證書���,所述數(shù)字簽名和證書一起能夠使投票機(jī)構(gòu)確信內(nèi)容傳輸消息不可撤銷�、不可否認(rèn)���、對于出錯或改變而言是安全的并且能夠檢測復(fù)制品。然而��,數(shù)字簽名和證書都不提供識別投票人的信息�。因此,能夠核實(shí)內(nèi)容傳輸消息中所包含的投票指示的合法性���,而不會泄露投票人的身份��。因此����,保留了投票人匿名性��,并且因此可以進(jìn)行秘密投票�。在投票指示配置為能夠使投票機(jī)構(gòu)確認(rèn)選票的實(shí)施例中,主機(jī)服務(wù)器能夠在從投票人接收到內(nèi)容傳輸消息時執(zhí)行這種確認(rèn)(在S78)��。例如��,在投票指示是候選人列表的散列的實(shí)施例中,主機(jī)服務(wù)器能夠使用投票指示訪問特定候選人列表����,并確定傳輸消息中所包含的cID是否出現(xiàn)在該列表中。如果該cID出現(xiàn)在該列表中��,則投票被視為有效��。這種布置具有優(yōu)點(diǎn)���,因?yàn)橥镀比丝梢缘怯浺栽谶x舉中在特定于候選人競選的特定地理區(qū)域或公職的候選人的列表之間投票��。同時����,投票人可能未登記以在選舉中在不同的候選人的列表之間投票�。因此,如果投票人嘗試為參與該投票人未登記的選舉的候選人投票�,則該投票人的選票已被破壞并且必須被丟棄。當(dāng)成功確認(rèn)選票(在S78)吋����,主機(jī)服務(wù)器36把傳輸消息傳遞給存儲介質(zhì)服務(wù)器28 (在S80),存儲介質(zhì)服務(wù)器28執(zhí)行如以上參照圖2b和5所述的傳入過程(在S82)以便把投票指示記錄在數(shù)據(jù)庫34的合適記錄中���。在投票指示是簡單的數(shù)值(諸如�,“I”)的實(shí)施例中,増量合適記錄的當(dāng)前內(nèi)容22(圖3a)(在步驟S30���,圖2b)是把投票指示與當(dāng)前值相加的簡單過程����。在投票指示是某ー其它值(諸如�,候選人列表的散列)的實(shí)施例中�����,増量合適記錄的當(dāng)前內(nèi)容22(圖3a)(在步驟S30�����,圖2b)的步驟能夠通過把當(dāng)前值增量“ I”而非通過把投票指示值自身相加來完成���。當(dāng)在過程中成功完成傳輸時����,存儲介質(zhì)服務(wù)器28把確認(rèn)消息返回(在S84)給主機(jī)服務(wù)器36�����,并且這個消息能夠被傳遞回至投票人的通信裝置24(在S86)以向投票人提供確認(rèn),即他們的選票已被記錄���。上述實(shí)施例的優(yōu)點(diǎn)在干內(nèi)容傳輸消息包含數(shù)字簽名和證書����,所述數(shù)字簽名和證書一起能夠使投票機(jī)構(gòu)確信內(nèi)容傳輸消息不可撤銷�、不可否認(rèn)、對于出錯或改變而言是安全的并且能夠檢測復(fù)制品�。另外,能夠針對選擇的候選人標(biāo)識符(cID)核實(shí)投票指示�,從而能夠核實(shí)選票自身。然而��,數(shù)字簽名和證書都不提供識別投票人的信息���,并且內(nèi)容傳輸消息能夠被上載到投票機(jī)構(gòu)的主機(jī)服務(wù)器36����,也不會泄露投票人的身份�����。因此,在保留了投票人的匿名性的同時����,能夠核實(shí)投票人的選舉的合法性。因此���,本發(fā)明的方法和系統(tǒng)實(shí)現(xiàn)部署能夠進(jìn)行秘密投票的電子投票系統(tǒng)�����。 上述本發(fā)明的(多個)實(shí)施例僅意圖是示例性的�����。本發(fā)明的范圍因此僅意圖由所附權(quán)利要求的范圍限制。
權(quán)利要求
1.一種電子內(nèi)容存儲和交換系統(tǒng),包括 接口�����,配置為發(fā)送和接收內(nèi)容傳輸消息��; 數(shù)據(jù)庫��,包括多個記錄,每個記錄表示各個虛擬存儲介質(zhì)并至少包括分配給虛擬存儲介質(zhì)的各唯一標(biāo)識符��;分配給虛擬存儲介質(zhì)的各私鑰和證書���;當(dāng)前內(nèi)容值和內(nèi)容傳輸?shù)娜罩?��;? 控制器,在指令代碼的控制下工作以 執(zhí)行傳入過程�����,該傳入過程包括下述步驟 經(jīng)接口接收至少包括將要傳輸?shù)南?nèi)容和分配給接收方虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸消息�; 基于各標(biāo)識符訪問表示接收方虛擬存儲介質(zhì)的記錄;以及 把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中�����;以及 執(zhí)行傳出過程����,該傳出過程包括下述步驟 經(jīng)接口接收至少包括至少將要傳輸?shù)南?nèi)容和分配給發(fā)送虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸請求消息; 基于各標(biāo)識符訪問表示發(fā)送虛擬存儲介質(zhì)的記錄����; 從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容;以及 產(chǎn)生包括將要傳輸?shù)南?nèi)容的內(nèi)容傳輸消息;以及 返回該內(nèi)容傳輸消息�。
2.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng),其中把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中包括把該消息內(nèi)容添加到當(dāng)前內(nèi)容����。
3.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng),其中把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中包括把當(dāng)前內(nèi)容增量預(yù)定值��。
4.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng)����,其中所述內(nèi)容傳輸消息至少包括分配給發(fā)送存儲介質(zhì)的證書和由發(fā)送存儲介質(zhì)產(chǎn)生的隨機(jī)數(shù),并且其中傳入過程包括 至少基于所述證書和隨機(jī)數(shù)���,確定內(nèi)容傳輸消息是否是以前接收的內(nèi)容傳輸消息的復(fù)制品����;以及 如果它是復(fù)制品���,則丟棄該內(nèi)容傳輸消息。
5.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng)�����,其中所述內(nèi)容傳輸消息至少包括由發(fā)送存儲介質(zhì)產(chǎn)生的數(shù)字簽名和分配給發(fā)送存儲介質(zhì)的證書,并且其中傳入過程包括 確定數(shù)字簽名是否有效����;以及 如果數(shù)字簽名無效,則丟棄該內(nèi)容傳輸消息����。
6.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng),其中從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容包括從當(dāng)前內(nèi)容減去該消息內(nèi)容�����。
7.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng)����,其中從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容包括把當(dāng)前內(nèi)容減量預(yù)定值。
8.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng)��,其中所述傳出過程包括 確定當(dāng)前內(nèi)容是否小于將要傳輸?shù)南?nèi)容��;以及 如果當(dāng)前內(nèi)容小于將要傳輸?shù)南?nèi)容��,則丟棄該內(nèi)容傳輸請求����。
9.根據(jù)權(quán)利要求I所述的電子內(nèi)容存儲和交換系統(tǒng),其中產(chǎn)生內(nèi)容傳輸消息包括下述步驟 基于所述私鑰��,針對內(nèi)容傳輸消息產(chǎn)生數(shù)字簽名����;以及 把數(shù)字簽名和證書應(yīng)用于內(nèi)容傳輸消息��。
10.一種存儲和交換內(nèi)容的方法�,該方法包括 提供存儲介質(zhì)服務(wù)器,該存儲介質(zhì)服務(wù)器包括 接口�����,配置為發(fā)送和接收內(nèi)容傳輸消息�����; 數(shù)據(jù)庫��,包括多個記錄���,每個記錄表示各個虛擬存儲介質(zhì)并至少包括分配給虛擬存儲介質(zhì)的各唯一標(biāo)識符����;分配給虛擬存儲介質(zhì)的各私鑰和證書�;當(dāng)前內(nèi)容值和內(nèi)容傳輸?shù)娜罩荆灰约翱刂破鳎? 其中所述控制器配置為 執(zhí)行傳入過程���,該傳入過程包括下述步驟 經(jīng)接口接收至少包括將要傳輸?shù)南?nèi)容和分配給接收方虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸消息���; 基于各標(biāo)識符訪問表示接收方虛擬存儲介質(zhì)的記錄;以及 把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中�;以及 執(zhí)行傳出過程,該傳出過程包括下述步驟 經(jīng)接口接收至少包括至少將要傳輸?shù)南?nèi)容和分配給發(fā)送虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸請求消息����; 基于各標(biāo)識符訪問表示發(fā)送虛擬存儲介質(zhì)的記錄; 從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容�����;以及 產(chǎn)生包括將要傳輸?shù)南?nèi)容的內(nèi)容傳輸消息�;以及 返回該內(nèi)容傳輸消息。
11.根據(jù)權(quán)利要求10所述的方法�����,其中把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中包括把該消息內(nèi)容添加到當(dāng)前內(nèi)容���。
12.根據(jù)權(quán)利要求10所述的方法���,其中把將要傳輸?shù)南?nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中包括把當(dāng)前內(nèi)容增量預(yù)定值���。
13.根據(jù)權(quán)利要求10所述的方法,其中所述內(nèi)容傳輸消息至少包括分配給發(fā)送存儲介質(zhì)的證書和由發(fā)送存儲介質(zhì)產(chǎn)生的隨機(jī)數(shù)��,并且其中傳入過程包括 至少基于所述證書和隨機(jī)數(shù)��,確定內(nèi)容傳輸消息是否是以前接收的內(nèi)容傳輸消息的復(fù)制品�;以及 如果它是復(fù)制品,則丟棄該內(nèi)容傳輸消息����。
14.根據(jù)權(quán)利要求10所述的方法,其中所述內(nèi)容傳輸消息至少包括由發(fā)送存儲介質(zhì)產(chǎn)生的數(shù)字簽名和分配給發(fā)送存儲介質(zhì)的證書���,并且其中傳入過程包括 確定數(shù)字簽名是否有效��;以及 如果數(shù)字簽名無效�����,則丟棄該內(nèi)容傳輸消息�����。
15.根據(jù)權(quán)利要求10所述的方法�����,其中從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容包括從當(dāng)前內(nèi)容減去該消息內(nèi)容����。
16.根據(jù)權(quán)利要求10所述的方法�,其中從當(dāng)前內(nèi)容去除將要傳輸?shù)南?nèi)容包括把當(dāng)前內(nèi)容減量預(yù)定值。
17.根據(jù)權(quán)利要求10所述的方法�,其中所述傳出過程包括 確定當(dāng)前內(nèi)容是否小于將要傳輸?shù)南?nèi)容;以及 如果當(dāng)前內(nèi)容小于將要傳輸?shù)南?nèi)容���,則丟棄該內(nèi)容傳輸請求���。
18.根據(jù)權(quán)利要求10所述的方法,其中產(chǎn)生內(nèi)容傳輸消息包括下述步驟 基于所述私鑰�����,針對內(nèi)容傳輸消息產(chǎn)生數(shù)字簽名��;以及 把數(shù)字簽名和證書應(yīng)用于內(nèi)容傳輸消息���。
全文摘要
一種電子內(nèi)容存儲和交換系統(tǒng)包括接口����,配置為發(fā)送和接收消息;數(shù)據(jù)庫和控制器��。數(shù)據(jù)庫包括多個記錄�����,每個記錄表示各個虛擬存儲介質(zhì)�����,并至少包括分配給虛擬存儲介質(zhì)的各唯一標(biāo)識符�����;分配給虛擬存儲介質(zhì)的各私鑰和證書�����;當(dāng)前內(nèi)容值和內(nèi)容傳輸?shù)娜罩?����。控制器針對每個虛擬存儲介質(zhì)執(zhí)行傳入和傳出過程�����。傳入過程包括下述步驟接收至少包括將要傳輸?shù)南?nèi)容和分配給接收方虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸消息�;訪問表示接收方虛擬存儲介質(zhì)的記錄���;以及把消息內(nèi)容存儲在接收方虛擬存儲介質(zhì)的當(dāng)前內(nèi)容中�。傳出過程包括下述步驟接收至少包括至少將要傳輸?shù)南?nèi)容和分配給發(fā)送虛擬存儲介質(zhì)的各標(biāo)識符的內(nèi)容傳輸請求消息�;訪問表示發(fā)送虛擬存儲介質(zhì)的記錄;從當(dāng)前內(nèi)容去除消息內(nèi)容����;產(chǎn)生包括消息內(nèi)容的內(nèi)容傳輸消息;以及返回該內(nèi)容傳輸消息�����。
文檔編號G06Q20/00GK102630371SQ201080041428
公開日2012年8月8日 申請日期2010年9月17日 優(yōu)先權(quán)日2009年9月17日
發(fā)明者D.埃弗雷特 申請人:加拿大皇家鑄幣廠