專利名稱:傳輸帶數(shù)字簽名的修訂版本的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及密碼術(shù)領(lǐng)域���,更具體地涉及用密碼時(shí)間標(biāo)記文檔以證明它們?cè)谝粋€(gè)特定時(shí)間的存在。
背景技術(shù):
在許多通常情況下�,人們需要驗(yàn)證一個(gè)數(shù)字式的文檔(即數(shù)字式地存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的文檔)在一個(gè)特定日期的存在��。也就是���,我們可能需要證明自從某個(gè)特定日期,例如該文檔的宣稱的創(chuàng)建日期或傳輸日期���,以來沒有改變或修訂過���。
提供這種證明的一種方法被認(rèn)為是電子公證或時(shí)間標(biāo)記�。文檔的一個(gè)單向散列被生成,并且該散列被使用文檔所有者的私人密鑰加密以形成所謂的數(shù)字簽名��。該文檔簽名被傳送給一個(gè)數(shù)字式公證人或時(shí)間打印者����,它們將數(shù)字式簽名與一個(gè)數(shù)字時(shí)間(日期和時(shí)間的數(shù)字表示)結(jié)合起來以形成一個(gè)時(shí)間標(biāo)志,將該時(shí)間標(biāo)志散列�����,并使用數(shù)字式公證人的私人密鑰加密該時(shí)間標(biāo)志散列以形成被稱為時(shí)間標(biāo)志簽名的另一個(gè)數(shù)字式簽名��。然后,公證人向作者發(fā)送一個(gè)包含時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名的證明�����。任何具有公證人的公開密鑰的人都可以解密時(shí)間標(biāo)志簽名并將結(jié)果與作者簽名和證明中時(shí)間的散列進(jìn)行比較�����,用以證明作者的簽名在證明被創(chuàng)建時(shí)存在��,而且服務(wù)器的簽名和證明的時(shí)間被可以存取公證人的私人密鑰的人最初被一起加密�。
對(duì)數(shù)字式文檔的確認(rèn)被公開在美國(guó)專利5136646號(hào)中。通過系統(tǒng)中的安全硬件的確認(rèn)被公開在美國(guó)專利5001752號(hào)中�����。公開密鑰加密方法被Diffie和Hellman公開在IEEE信息理論學(xué)報(bào)1976年11月出版的卷IT-22���,第644至654頁(yè)的論文“加密術(shù)的新方向”�����,以及美國(guó)專利4405829(to Revest)和4868877號(hào)中��。單向散列被公開在“無(wú)沖突散列函數(shù)和公開密鑰簽名方案”��,Advances in Cryptology-Eurocrypt’87�����,Springer-Verlag��,LNCS����,1988���,卷304����,第203至217頁(yè)�。
上述引用在此引入作為參考。
發(fā)明概述本發(fā)明的一個(gè)目標(biāo)是提供用于鑒定修訂版本的方法和裝置����。
在此公開的本發(fā)明中,原始文檔和從原始文檔導(dǎo)出的修訂后的文檔被以這樣的方式簽署�,除修訂版本的來源和修訂版本的確認(rèn)時(shí)間外,原始文檔和修訂后文檔的關(guān)系也可以被驗(yàn)證。
在本發(fā)明的一個(gè)實(shí)施例中���,原始文檔被簽署并且確認(rèn)�����,然后該文檔被修改�,修訂版本以及它和原始文檔的關(guān)系被簽署并且確認(rèn)���。在另一個(gè)實(shí)施例中��,原始文檔和一個(gè)自動(dòng)地生成的該文檔的修訂版本被同時(shí)簽署并且確認(rèn)����。這允許一個(gè)自動(dòng)地生成的修訂版本的作者身份和生成時(shí)間的證明�,該修訂版本諸如信息的一個(gè)有損壓縮。
其它可替換的選擇以及申請(qǐng)人的發(fā)明的優(yōu)點(diǎn)通過研究下面參照附圖的詳細(xì)描述將被揭示或?qū)τ诒绢I(lǐng)域的技術(shù)人員變得顯而易見����,其中下列附圖顯示了所附的本發(fā)明的權(quán)利要求的元素。
III.附圖概述
圖1a-1d顯示了用于鑒定修訂版本的本發(fā)明的一個(gè)特定實(shí)施例的流程圖��。
圖2a-2d顯示了用于鑒定修訂版本的本發(fā)明的另一個(gè)特定實(shí)施例的流程圖���。
圖3a-3c顯示了用于鑒定修訂版本的本發(fā)明的一個(gè)特定實(shí)施例的另一個(gè)流程圖��。
圖4顯示了本發(fā)明的網(wǎng)絡(luò)系統(tǒng)的一個(gè)樣本實(shí)施例����。
圖5提供了圖4的創(chuàng)作工作站的額外細(xì)節(jié)。
圖6顯示了圖4的安全服務(wù)器的額外細(xì)節(jié)�����。
圖7顯示了圖4的公證人主機(jī)的額外細(xì)節(jié)�。
圖8顯示了組成圖3的系統(tǒng)的設(shè)備的一個(gè)特定實(shí)施例��。
IV.優(yōu)選實(shí)施例詳述圖1a-1d顯示了用于鑒定修訂版本的本發(fā)明的一個(gè)特定實(shí)施例的流程圖����。圖1a顯示方法的第一組步驟100,其中在作者的工作站上加載的軟件被提供用于創(chuàng)建和簽署一個(gè)數(shù)字化文檔���,由此其他人可以鑒定該文檔的來源���。作者擁有可以加密數(shù)字化信息的私人密鑰,其他人擁有可以解密該信息的公開密鑰��。即,作者使公開密鑰可被公開地獲得����,例如,在服務(wù)器上要驗(yàn)證報(bào)告的來源(舉例來說���,作者生成了該報(bào)告)或報(bào)告的完整性(即��,該報(bào)告在被簽署后未被改變過)的其他人可以訪問該報(bào)告及公開密鑰�����。在本發(fā)明的第一部分100��,在步驟102���,作者使用加載在連接到一個(gè)網(wǎng)絡(luò)的服務(wù)器的工作站上的軟件創(chuàng)建一個(gè)報(bào)告(數(shù)字式文檔),并且作者輸入命令向該服務(wù)器提交該報(bào)告���。
該報(bào)告包含某些人可能要證明來源于作者而且未被改變的信息類型�。在步驟103����,作者的工作站使用指定的單向散列方法將該報(bào)告散列���。單向散列的優(yōu)點(diǎn)是它不能被反過來譯解該文檔,因此即使該文檔是機(jī)密的或私人的���,其散列不必保持機(jī)密�。在步驟104�����,工作站用作者的私人密鑰(或工作站的私人密鑰)加密該散列以形成作者對(duì)該報(bào)告的簽名��。加密的目的是提供作者是該報(bào)告創(chuàng)作者以及該報(bào)告沒有被其他人改變的證據(jù)�����。對(duì)散列的加密與保持?jǐn)?shù)據(jù)或散列的秘密無(wú)關(guān)�,只是用于證明完整性和來源��。該報(bào)告可能包含或涉及其它信息��,諸如標(biāo)題�����、作者姓名、工作站標(biāo)識(shí)�、創(chuàng)建時(shí)間。如果需要��,該工作站可以相關(guān)聯(lián)地存儲(chǔ)該報(bào)告����、散列,以及簽名���。這里��,關(guān)聯(lián)的意思是指����,該報(bào)告與散列和簽名相互有關(guān)的事實(shí)也保存在該工作站上�。在步驟106,工作站向客戶的服務(wù)器發(fā)送作者的標(biāo)識(shí)��,報(bào)告的標(biāo)題�����,報(bào)告����,以及作者對(duì)報(bào)告的簽名���。如果報(bào)告的內(nèi)容是機(jī)密的或私人的,在傳輸前在工作站和服務(wù)器之間形成一個(gè)安全連接���,服務(wù)器是一個(gè)安全服務(wù)器����。在步驟107�����,服務(wù)器將報(bào)告散列����,并使用作者的公開密鑰解密作者的簽名。然后服務(wù)器比較報(bào)告的散列與解密的簽名以驗(yàn)證它們是否匹配����。如果它們匹配����,服務(wù)器知道簽名和報(bào)告來自作者(或至少擁有作者私人密鑰的某人)��,因?yàn)槭亲髡叩墓_密鑰對(duì)簽名解的密����,而且服務(wù)器還知道簽名和報(bào)告自作者簽署報(bào)告以來沒有被改變過�����。在步驟108���,服務(wù)器相關(guān)聯(lián)地存儲(chǔ)該報(bào)告��,作者的標(biāo)識(shí)(ID)����,以及作者的簽名���。再次在這里���,相關(guān)聯(lián)地存儲(chǔ)意味著相關(guān)元素間相互關(guān)聯(lián)的事實(shí)也被存儲(chǔ)。
在圖1b的下一組步驟110中����,服務(wù)器獲取該報(bào)告的時(shí)間標(biāo)志���,并且與該報(bào)告相關(guān)聯(lián)地存儲(chǔ)該時(shí)間標(biāo)志。在步驟112����,服務(wù)器通過網(wǎng)絡(luò)向公證人的主機(jī)系統(tǒng)發(fā)送作者的簽名?��?商鎿Q地�����,公證人可以是服務(wù)器硬件的安全部分����,舉例來說��,具有私人密鑰的設(shè)備����,除非破壞該設(shè)備,服務(wù)器的擁有者不會(huì)知道或不能發(fā)現(xiàn)�����。由于簽名不是機(jī)密�����,對(duì)于簽名的傳輸不需要高度的安全性���。在步驟113���,主機(jī)創(chuàng)建一個(gè)包含作者簽名,接收時(shí)間��,公證人標(biāo)識(shí)���,序列號(hào)���,以及客戶標(biāo)識(shí)的時(shí)間標(biāo)志。在步驟114���,公證人散列時(shí)間標(biāo)志��。在步驟115�,公證人使用公證人的私人密鑰簽署時(shí)間標(biāo)志。在步驟116�����,公證人存儲(chǔ)報(bào)告的時(shí)間標(biāo)志和公證人簽名����。在步驟117,公證人向服務(wù)器發(fā)送時(shí)間標(biāo)志和公證人簽名�����。此外��,一個(gè)或多個(gè)以前的和/或后繼的時(shí)間標(biāo)志可以在一個(gè)包中被發(fā)送給客戶的服務(wù)器����,因此通過與時(shí)間標(biāo)志中確定的其它客戶聯(lián)系,時(shí)間標(biāo)志的近似時(shí)間可以被獨(dú)立地驗(yàn)證����。在步驟118,為驗(yàn)證公證人的簽名�����,服務(wù)器散列時(shí)間標(biāo)志并用公證人的公開密鑰解密公證人的簽名。在步驟119���,服務(wù)器比較步驟118的結(jié)果,如果兩者匹配���,那么時(shí)間標(biāo)志被驗(yàn)證���。即,服務(wù)器知道時(shí)間標(biāo)志和公證人的簽名是來自公證人并且沒有被改變���。在步驟120��,服務(wù)器與報(bào)告相關(guān)聯(lián)地存儲(chǔ)時(shí)間標(biāo)志�����,公證人簽名���,以及所有以前的和/或后繼的時(shí)間標(biāo)志。
在圖1c的下一組步驟120中�,一個(gè)修訂者(個(gè)人用戶)獲得報(bào)告(原始文檔)的一個(gè)拷貝用于修訂并驗(yàn)證其來源和完整性。在步驟122��,修訂者從服務(wù)器請(qǐng)求原始報(bào)告。有許多情況某些人可能需要修訂一個(gè)文檔��,例如�,增加附加材料或改正錯(cuò)誤。優(yōu)選地�,修訂者告訴服務(wù)器想要修改報(bào)告,其后服務(wù)器拒絕向任何其他請(qǐng)求修訂該報(bào)告的人發(fā)送該報(bào)告(即���,該報(bào)告對(duì)于修訂被加鎖�����,直到修訂者提供修訂版本或釋放該鎖)�����。在步驟123����,服務(wù)器向修訂者的工作站發(fā)送原始報(bào)告���,報(bào)告的時(shí)間標(biāo)志和公證人簽名����。在步驟124,修訂者的工作站散列時(shí)間標(biāo)志并用公證人的公開密鑰解密公證人簽名以驗(yàn)證公證人簽名�。即,如果散列和解密的簽名匹配����,那么修訂者知道公證人簽名由擁有公證人私人密鑰的某人生成,并且時(shí)間標(biāo)志中的信息在簽名被生成時(shí)存在���。由于時(shí)間標(biāo)志包含作者簽名和公證人簽名被生成的時(shí)間(包括日期),可以證明作者的簽名在那時(shí)存在��。在步驟126�,工作站散列該報(bào)告并使用公證人的公開密鑰解密作者簽名(包含在時(shí)間標(biāo)志中)并比較兩者結(jié)果以驗(yàn)證作者的簽名。即�,如果散列和解密的作者簽名匹配,那么該報(bào)告被擁有作者私人密鑰的某人簽署���,并且自被簽署以來沒有被改變過����。
在圖1d�,這第一個(gè)實(shí)施例的最后一組步驟130中,修訂者創(chuàng)建該報(bào)告的修訂版本���,而且該修訂版本被數(shù)字化簽署�����,安全地存儲(chǔ)�,并數(shù)字化地公證。在步驟132�,修訂者創(chuàng)建該報(bào)告的修訂版本并輸入命令向服務(wù)器提交該修訂版本。在步驟133�,工作站合并修訂版本和以前的時(shí)間標(biāo)志,并散列合并結(jié)果�。在簽署前合并時(shí)間標(biāo)志和修訂版本的目的是允許與原始文檔的關(guān)系被證明?���?商鎿Q地,除時(shí)間標(biāo)志外�,其它指示修訂版本歷史的信息可以與修訂版本合并,例如原始報(bào)告的簽名���,原始報(bào)告的一個(gè)散列�����,或時(shí)間標(biāo)志簽名可以被包含在合并結(jié)果中����。在步驟134,工作站使用修訂者(或工作站)的私人密鑰加密合并結(jié)果的散列以形成修訂者的簽名�。如果需要,工作站可以存儲(chǔ)該修訂版本�,散列,以及修訂者的簽名���。在步驟135�,工作站向服務(wù)器發(fā)送修訂版本���,修訂者的標(biāo)識(shí),修訂版標(biāo)題�����,和修訂者簽名���。在步驟136�,服務(wù)器合并修訂版本和原始報(bào)告的時(shí)間標(biāo)志���,散列合并結(jié)果�����,并使用修訂者的公開密鑰解密修訂者的簽名以驗(yàn)證修訂版本的來源和完整性��。在步驟137�����,服務(wù)器比較解密的簽名和散列����,如果得到的散列和解密的修訂者簽名匹配,那么服務(wù)器知道修訂版本來自修訂者���,修訂版本以原始報(bào)告為基礎(chǔ)�����,并且自修訂者簽署后�,修訂版本和簽名沒有被改變過����。在步驟138,安全服務(wù)器與原始報(bào)告相關(guān)聯(lián)地存儲(chǔ)修訂版本��,修訂者的標(biāo)識(shí),標(biāo)題以及修訂者簽名�。在步驟139,服務(wù)器從公證人處獲得修訂者簽名的時(shí)間標(biāo)志并與修訂版本相關(guān)聯(lián)地存儲(chǔ)該時(shí)間標(biāo)志��。這與前面在步驟110中描述的對(duì)原始報(bào)告標(biāo)記時(shí)間的過程是相同的����。此后,未來的修訂版本將基于最近的版本以相似的方式生成以證明版本的歷史�。
圖2a-2d顯示用于鑒定修訂版本的本發(fā)明一個(gè)可替換的特定實(shí)施例。在圖2a的第一組步驟160中����,作者創(chuàng)建一個(gè)圖象并將該圖象傳輸給一個(gè)服務(wù)器,該服務(wù)器為作者簽署圖象并存儲(chǔ)����。在步驟162��,作者操作圖象生成器創(chuàng)建圖象并初始化向安全服務(wù)器提交該圖象的過程��。圖象生成器可以是制造圖象的任何裝備���,諸如商用頁(yè)掃描儀��,醫(yī)學(xué)掃描器(心電圖/血管造影�,超聲波成像,計(jì)算機(jī)化軸向x射線斷層攝影術(shù)����,磁諧振成象儀,x射線掃描儀)或任何已知的制造圖象的方法���,該圖象可以是視頻的或音頻的圖象�。在步驟163�����,圖象生成器通過安全鏈接向安全服務(wù)器傳輸圖象�����。該傳輸將確定作者或圖象生成設(shè)備���。服務(wù)器可以返回一個(gè)圖象生成器的序列號(hào)以方便以后對(duì)該圖象的訪問�。在步驟164�,服務(wù)器將圖象生成器標(biāo)識(shí)或作者標(biāo)識(shí)與圖象合并并散列合并結(jié)果以產(chǎn)生一個(gè)圖象散列,可替換地,服務(wù)器可以將掃描儀標(biāo)識(shí)或作者標(biāo)識(shí)與圖象的散列合并以提供圖象的散列����。合并的著名方法包括將標(biāo)識(shí)附加到圖象的散列后面或?qū)?biāo)識(shí)與圖象的散列異或?���?商鎿Q地,圖象生成器或作者可以有特定的私人/公開密碼(密鑰)對(duì)�,該密碼對(duì)可以被用于證明圖象的來源,從而圖象生成器標(biāo)識(shí)或作者標(biāo)識(shí)不必在散列前被合并到圖象中����。在步驟166,服務(wù)器使用服務(wù)器的私人密鑰(或存儲(chǔ)在服務(wù)器上的作者的或圖象生成器的私人密鑰)加密確定的合并結(jié)果以形成圖象簽名����。在步驟167,服務(wù)器相關(guān)聯(lián)地存儲(chǔ)圖象���,圖象生成器標(biāo)識(shí)(或作者標(biāo)識(shí)),圖象生成器的圖象序列號(hào)����,圖象散列,以及服務(wù)器的圖象簽名。
在圖2b的下一組步驟170中�����,服務(wù)器從公證人處為圖象獲得時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名��。在步驟172���,服務(wù)器建立到公證人主機(jī)網(wǎng)絡(luò)的連接���,然后服務(wù)器向該主機(jī)發(fā)送服務(wù)器的圖象簽名。在步驟174��,該主機(jī)創(chuàng)建包含服務(wù)器的圖象簽名���,接收時(shí)間�����,公證人標(biāo)識(shí)���,時(shí)間標(biāo)志的序列號(hào)(不同于圖象的序列號(hào)),以及服務(wù)器標(biāo)識(shí)的圖象時(shí)間標(biāo)志����。在步驟175��,主機(jī)散列該圖象時(shí)間標(biāo)志�����,在步驟176�,主機(jī)用公證人的私人密鑰簽署時(shí)間標(biāo)志散列�。在步驟177,主機(jī)存儲(chǔ)圖象時(shí)間標(biāo)志和公證人的圖象簽名�。在步驟178,主機(jī)向服務(wù)器傳輸包含圖象時(shí)間標(biāo)志和公證人的圖象簽名的圖象證明����。在步驟179,服務(wù)器散列該圖象時(shí)間標(biāo)志并使用公證人的公開密鑰解密公證人的圖象簽名以驗(yàn)證時(shí)間標(biāo)志和公證人簽名的完整性和來源���。在步驟180����,服務(wù)器與圖象生成器的圖象序列號(hào)相關(guān)聯(lián)地存儲(chǔ)公證人的圖象證明���。
在圖2c的下一部分步驟190中,服務(wù)器自動(dòng)地修訂圖象并為修訂版本獲取公證過的時(shí)間標(biāo)志。在步驟192�����,服務(wù)器將圖象進(jìn)行壓縮����。例如,一個(gè)位圖被使用JPEG壓縮��,一個(gè)音頻圖象被使用MPEG-2或杜比AC3壓縮�����,或一個(gè)視頻圖象被使用MPEG-2壓縮�。在步驟194,服務(wù)器與圖象生成器的圖象序列號(hào)及其它有關(guān)信息相關(guān)聯(lián)地存儲(chǔ)壓縮后的圖象�����。在步驟196����,服務(wù)器將壓縮后的圖象與圖象的公證人簽名合并,例如通過將它們附加在一起����。在步驟198�����,服務(wù)器散列合并結(jié)果以產(chǎn)生壓縮后圖象的散列�����。在步驟199�����,服務(wù)器加密壓縮后圖象的散列以生成壓縮后圖象的服務(wù)器簽名�,在步驟200��,服務(wù)器與壓縮后圖象相關(guān)聯(lián)地存儲(chǔ)壓縮后圖象的散列和壓縮后圖象的服務(wù)器簽名�。在步驟201,服務(wù)器從公證人處為壓縮后圖象的服務(wù)器簽名獲得壓縮后圖象的的證明(也就是壓縮后圖象的時(shí)間標(biāo)志和壓縮后圖象的公證人簽名)���,并與壓縮后圖象相關(guān)聯(lián)地存儲(chǔ)壓縮后圖象的的證明��。在步驟202���,服務(wù)器可以刪除原始的圖象以節(jié)省存儲(chǔ)空間��,但是這當(dāng)然意味著用戶至少不可能根據(jù)安全服務(wù)器的記錄獨(dú)立地證明原始圖象的創(chuàng)建日期或來源�����,以及壓縮后圖象是原始圖象的產(chǎn)物。刪除可能被要求�����,因?yàn)橛绕鋵?duì)于視頻圖象�����,未壓縮的圖象可能需要壓縮后圖象100倍的存儲(chǔ)量����,客戶可能無(wú)法提供這樣大量的存儲(chǔ)量?��?商鎿Q地��,原始圖象可以被存檔到可移動(dòng)的磁帶或光盤并脫機(jī)保存或甚至發(fā)送出去長(zhǎng)期保存�。
在圖2d的最后一組步驟210中�����,用戶請(qǐng)求該圖象用于在觀看器上觀看,保存的圖象隨時(shí)間標(biāo)志和公證人簽名被提供���,因此觀看器能夠驗(yàn)證版本的來源和發(fā)給證明的日期����,以及至少根據(jù)安全服務(wù)器上的記錄驗(yàn)證,該版本是原始圖象的產(chǎn)物�����。在步驟212�,用戶使用觀看器請(qǐng)求壓縮后的圖象����。觀看器可以是允許壓縮后的圖象被顯示給用戶的任何設(shè)備。觀看器不限于視覺的顯示器�����,它可以是���,舉例來說�,放送音頻圖象的揚(yáng)聲器。在步驟213��,服務(wù)器向觀看器發(fā)送圖象散列�����,圖象生成器的標(biāo)識(shí)�,壓縮后的圖象����,各自的時(shí)間標(biāo)志(分別為圖象和壓縮后圖象的時(shí)間標(biāo)志),以及類似地����,各自的公證人簽名。在步驟214�����,觀看器散列壓縮后圖象的時(shí)間標(biāo)志并使用公證人的公開密鑰解密壓縮后圖象的公證人簽名以驗(yàn)證在壓縮后圖象的時(shí)間標(biāo)志中的數(shù)字式時(shí)間及其它信息�。在步驟215,觀看器散列圖象的時(shí)間標(biāo)志并使用公證人的公開密鑰解密圖象的公證人簽名以驗(yàn)證圖象的時(shí)間標(biāo)志����。在步驟216����,觀看器合并壓縮后圖象的散列和圖象的公證人簽名并散列合并結(jié)果����,在步驟218,觀看器解密壓縮后圖象的服務(wù)器簽名并比較解密和散列的結(jié)果以驗(yàn)證壓縮后圖象的來源和完整性����。此外,觀看器可以解密圖象的服務(wù)器簽名并與圖象的散列進(jìn)行比較以交叉檢查安全服務(wù)器上關(guān)于圖象生成器標(biāo)識(shí)的記錄���。在兩個(gè)時(shí)間標(biāo)志都被驗(yàn)證后�����,觀看器可以比較圖象的時(shí)間標(biāo)志和壓縮后圖象的時(shí)間標(biāo)志以驗(yàn)證兩個(gè)時(shí)間非常接近���。在步驟218,觀看器對(duì)圖象解壓縮�����。在步驟220,觀看器向用戶顯示解壓后的圖象����,圖象生成器標(biāo)識(shí)(或作者標(biāo)識(shí)),圖象提交時(shí)間��,以及壓縮時(shí)間���。
圖3a-3c顯示了本發(fā)明的另一實(shí)施例�����,其中服務(wù)器在接收時(shí)自動(dòng)地并即時(shí)地壓縮視頻,并為視頻和壓縮的視頻的各自接收獲得一個(gè)時(shí)間標(biāo)志��。在圖3a的第一組步驟230中����,視頻被生成并傳送給服務(wù)器。在步驟232�����,作者操作視頻圖象生成器生成視頻并向服務(wù)器提交該視頻���。圖象生成器可以是用于創(chuàng)建多媒體表達(dá)的任何設(shè)備諸如攝像機(jī)和麥克風(fēng)��。視頻除了視頻圖象外可以包含聲音信道和其它數(shù)據(jù)���。優(yōu)選地�,標(biāo)題也被創(chuàng)建����。在步驟233,圖象生成器首先為傳輸壓縮視頻���。例如�����,圖象生成器可以使用MPEG-2或別的簡(jiǎn)單的有損壓縮���,或更優(yōu)選地,通過一種無(wú)損壓縮方法����,壓縮視頻。在步驟234�����,圖象生成器散列視頻的第一次壓縮。圖象生成器還可以與上面描述的圖象散列一起散列其它信息諸如圖象生成器標(biāo)識(shí)或圖象序列號(hào)���。在步驟235��,圖象生成器用圖象生成器(或作者)的私人密鑰加密該散列以簽署該視頻����。圖象生成器可以存儲(chǔ)該視頻���,第一次壓縮結(jié)果��,散列以及圖象生成器的簽名至少直到從服務(wù)器得到接收的證明����。在步驟236����,圖象生成器向服務(wù)器傳輸視頻標(biāo)題����,第一次壓縮結(jié)果和簽名��。在步驟238�����,圖象生成器刪除該視頻以節(jié)省存儲(chǔ)空間�����,然后在收到來自服務(wù)器的收條后�����,圖象生成器刪除該視頻的第一次壓縮結(jié)果�����?���?商鎿Q地�,第一次壓縮結(jié)果可以在圖象生成器上存檔,但通常如下描述的僅在服務(wù)器上存檔第一次壓縮結(jié)果更為方便�����。
在圖3b的第二組步驟240中,服務(wù)器接收��,驗(yàn)證并存儲(chǔ)第一次壓縮結(jié)果�����,對(duì)視頻進(jìn)行第二次壓縮���,并從公證人處獲取第二次壓縮結(jié)果的時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名�����。在步驟241��,服務(wù)器接收視頻����、圖象生成器的簽名�、標(biāo)題、圖象生成器標(biāo)識(shí)以及其它可能的相關(guān)信息的第一次壓縮結(jié)果��,并向圖象生成器發(fā)回收條�。在步驟242����,服務(wù)器散列視頻的第一次壓縮結(jié)果并使用圖象生成器公開密鑰解密視頻的圖象生成器簽名����,比較解密和散列的結(jié)果以驗(yàn)證第一次壓縮結(jié)果的來源和完整性����。在步驟243,服務(wù)器相關(guān)連地存儲(chǔ)標(biāo)題��,作者標(biāo)識(shí)����,圖象生成器簽名以及第一次壓縮結(jié)果的散列。在步驟244��,在完成驗(yàn)證后����,服務(wù)器馬上第二次壓縮視頻以生成第二次壓縮結(jié)果。在步驟245���,服務(wù)器將結(jié)果第一次壓縮以節(jié)省存儲(chǔ)空間����,并從在線存儲(chǔ)器中刪除第一次壓縮結(jié)果。
在步驟246��,服務(wù)器將標(biāo)題�,圖象生成器標(biāo)識(shí),作者標(biāo)識(shí)��,圖象生成器的簽名(或作者的簽名)和第二次壓縮結(jié)果合并�,并對(duì)合并結(jié)果進(jìn)行散列。在步驟247�,服務(wù)器使用服務(wù)器的私人密鑰加密合并結(jié)果的散列以形成第二次壓縮的視頻和服務(wù)器的視頻簽名。在步驟248���,服務(wù)器與標(biāo)題��,圖象生成器簽名以及其它有關(guān)信息相關(guān)聯(lián)地存儲(chǔ)第二次壓縮的視頻和服務(wù)器的視頻簽名��。在步驟250�,服務(wù)器為服務(wù)器簽名從公證人處獲取時(shí)間標(biāo)志和公證人簽名����,并與第二次壓縮結(jié)果相關(guān)聯(lián)地存儲(chǔ)公證人的時(shí)間標(biāo)志和簽名。
在圖3c的本實(shí)施例的最后一組步驟260中��,視頻在顯示器上被請(qǐng)求、驗(yàn)證和觀看�。在步驟262�����,在顯示器上的用戶向服務(wù)器請(qǐng)求視頻���。在步驟263��,服務(wù)器向顯示器發(fā)送圖象生成器標(biāo)識(shí)����,標(biāo)題�,第二次壓縮結(jié)果,公證人的時(shí)間標(biāo)志(包含服務(wù)器簽名)�,以及公證人的簽名。第一次壓縮結(jié)果的散列和視頻圖象生成器簽名也可以被發(fā)送以交叉檢查視頻的來源�。在步驟264,顯示器使用公證人的公開密鑰解密公證人的簽名���,散列時(shí)間標(biāo)志��,并比較兩者結(jié)果以驗(yàn)證時(shí)間標(biāo)志����。在步驟265,顯示器如前描述地進(jìn)行合并和散列以形成第二次壓縮結(jié)果的散列�,使用服務(wù)器的公開密鑰解密服務(wù)器簽名,并比較兩者結(jié)果以驗(yàn)證第二次壓縮結(jié)果的來源和完整性�����。該顯示器接收?qǐng)D象生成器的簽名和第一次壓縮結(jié)果的散列�����,然后解密圖象生成器簽名��,并將解密結(jié)果與第一次壓縮結(jié)果的散列進(jìn)行比較以交叉檢查服務(wù)器上關(guān)于第一次壓縮結(jié)果來源的記錄��。如果不獲得第一次壓縮結(jié)果的拷貝��,顯示器不能獨(dú)立地驗(yàn)證第一次壓縮結(jié)果的來源和完整性�。在步驟266,觀看器(顯示器)對(duì)第二次壓縮結(jié)果進(jìn)行譯碼以形成解壓后的視頻���。最后��,在步驟267�,用戶在顯示器上觀看該視頻。用戶也能夠觀看關(guān)于該視頻的其它信息���,諸如作者標(biāo)識(shí)����,圖象生成器標(biāo)識(shí)�,第二次壓縮結(jié)果的創(chuàng)建時(shí)間����,以及公證人的時(shí)間標(biāo)志信息。
圖4顯示了本發(fā)明的一個(gè)網(wǎng)絡(luò)300����,其中許多計(jì)算機(jī)結(jié)點(diǎn)通過電纜通信網(wǎng)絡(luò)和通信設(shè)備301被連接在一起。該網(wǎng)絡(luò)結(jié)點(diǎn)包括一個(gè)本地服務(wù)器302和一個(gè)公證人303�����。多個(gè)創(chuàng)作工作站304-313通過通信網(wǎng)絡(luò)與服務(wù)器連接�����,多個(gè)觀看工作站314-323也可以通過通信網(wǎng)絡(luò)被連接到服務(wù)器上���。創(chuàng)作工作站包含用于創(chuàng)建文檔��,如X射線�����、測(cè)試數(shù)據(jù)���、掃描、視頻和音頻圖象���,多媒體表達(dá)�,的裝備以及用于向服務(wù)器傳輸文檔����,向服務(wù)器請(qǐng)求文檔,以及修訂該文檔的設(shè)備����。觀看工作站主要用于向服務(wù)器請(qǐng)求數(shù)字式文檔并顯示該文檔,但也可以具有有限的修訂該文檔的功能�����,如增加注釋。
在圖5中�����,圖4的創(chuàng)作工作站304的額外細(xì)節(jié)被顯示����。創(chuàng)作工作站包含一個(gè)與電子內(nèi)存353通信的處理器352,例如中央處理單元(CPU)或內(nèi)置控制器��。內(nèi)存包含程序和緩存器����,其中程序用于控制處理器的操作����,緩存器用于存儲(chǔ)通過輸入和/或輸出(I/O)電路354(IOC)從創(chuàng)作工作站的外圍設(shè)備接收到的信息,以及通過IOC355發(fā)送和接收來自網(wǎng)絡(luò)的其它結(jié)點(diǎn)的信息���。外圍設(shè)備可以包含���,例如,鍵盤356�,指針設(shè)備如鼠標(biāo)357���,數(shù)字相機(jī)358,麥克風(fēng)359�����,掃描儀360�,以及盤式存儲(chǔ)器361。
內(nèi)存包含程序模塊370����,該模塊與用戶交互以生成存儲(chǔ)與緩存器371的文檔,并初始化處理器以向服務(wù)器發(fā)送該文檔�����。內(nèi)存包含程序模塊372���,該模塊使用單向散列對(duì)文檔進(jìn)行散列�,并使用用戶(原作者)的私人密鑰390或工作站的私人密鑰390加密該散列為該文檔提供一個(gè)數(shù)字式簽名�����。內(nèi)存還可以包含一個(gè)模塊373�����,該模塊向服務(wù)器發(fā)送含簽名的文檔。程序模塊375可以被用于將文檔�,散列,和/或數(shù)字式簽名存儲(chǔ)到存儲(chǔ)器361�����。對(duì)于視頻和音頻圖象����,內(nèi)存包含一個(gè)程序模塊376,該模塊將視頻編碼成壓縮的形式�����,諸如JPEG��,或MPEG-2視頻或更優(yōu)選地��,一種無(wú)損壓縮方法�����,并把該視頻的壓縮形式作為另一個(gè)文檔存儲(chǔ)到緩存器371中�����。
在數(shù)字式簽名由服務(wù)器產(chǎn)生的情形下�,創(chuàng)作系統(tǒng)可以包含模塊377,該模塊用于從服務(wù)器接收文檔簽名����,時(shí)間標(biāo)志,以及時(shí)間標(biāo)志簽名存儲(chǔ)到緩存器371���,以及一個(gè)模塊378��,該模塊用于驗(yàn)證簽名并初始化模塊375以存儲(chǔ)文檔簽名���,時(shí)間標(biāo)志,和時(shí)間標(biāo)志簽名到存儲(chǔ)器361��。
創(chuàng)作工作站也可以被用于修訂文檔以產(chǎn)生修訂版本���,該修訂版本可以被返回給服務(wù)器�。程序模塊370可以被一個(gè)修訂者用于向服務(wù)器請(qǐng)求文檔�����。程序模塊379發(fā)回來自服務(wù)器的文檔,相關(guān)時(shí)間標(biāo)志以及其它信息的收條����,程序380鑒定該文檔。在上面描述的本發(fā)明的一個(gè)實(shí)施例中���,除文檔外�,修訂工作站接收一個(gè)時(shí)間標(biāo)志(如下描述)和公證人簽名�。模塊380包含設(shè)備383以散列時(shí)間標(biāo)志并用公證人的公開密鑰393解密公證人簽名,以及模塊384比較兩者結(jié)果以驗(yàn)證時(shí)間標(biāo)志的來源�,并驗(yàn)證包括數(shù)字式時(shí)間的時(shí)間標(biāo)志的內(nèi)容沒有被改變過。模塊380的程序385散列該文檔并解密服務(wù)器的(或作者的)簽名(包含在時(shí)間標(biāo)志中)�,并比較兩者結(jié)果以確定該服務(wù)器的簽名是否屬于該文檔,并驗(yàn)證該文檔自被服務(wù)器簽署以來沒有被改變過�。此外,如果該文檔是修訂版本��,服務(wù)器也可以傳送�,模塊379接收原始文檔的散列����,修訂版的服務(wù)器(或修訂作者)簽名,原始文檔的另一個(gè)時(shí)間標(biāo)志和公證人簽名��,然后模塊385可以再次鑒定原始文檔的時(shí)間標(biāo)志,然后解密服務(wù)器簽名(包含在時(shí)間標(biāo)志)并將解密結(jié)果與原始文檔的散列比較以驗(yàn)證該文檔的來源���。而且����,在上面的一些實(shí)施例中��,諸如修訂者簽名或以前的公證人簽名在散列和加密前被與文檔合并以形成服務(wù)器簽名��,在這些情形下���,模塊385將比較解密后的簽名和這些項(xiàng)目的恰當(dāng)?shù)暮喜⒔Y(jié)果�。模塊386被用于與用戶交互以修訂該文檔��。模塊384對(duì)合并了以前的時(shí)間標(biāo)志的修訂版本進(jìn)行散列并加密該散列以形成修訂文檔簽名�����。修訂版本和修訂版本簽名可以被以原始文檔相似的方式存儲(chǔ)��,傳送�,保護(hù)和驗(yàn)證。
在圖6中�,圖4中服務(wù)器302的額外細(xì)節(jié)被顯示。服務(wù)器包含與電子內(nèi)存403通信的處理器402,諸如中央處理單元(CPU)或內(nèi)置控制器。內(nèi)存包含程序和緩存器��,程序用于控制處理器的操作,緩存器用于存儲(chǔ)來自網(wǎng)絡(luò)的信息和通過輸入和/或輸出(I/O)電路404(IOC)發(fā)送到網(wǎng)絡(luò)上的信息�����。IOC404用于向連接到網(wǎng)絡(luò)上的其它結(jié)點(diǎn)發(fā)送信息��,或從連接到網(wǎng)絡(luò)上的其它結(jié)點(diǎn)接收信息。服務(wù)器可以是一個(gè)網(wǎng)關(guān)服務(wù)器��,例如�,通過一個(gè)IOC連接到網(wǎng)絡(luò)上的本地客戶端,并通過另一個(gè)IOC連接到其它服務(wù)器和/或另一網(wǎng)絡(luò)上的遠(yuǎn)程客戶端����。IOC405被用于存儲(chǔ)信息到磁盤存儲(chǔ)器406�����,檢索存儲(chǔ)的信息��,發(fā)送信息到存檔存儲(chǔ)設(shè)備407����,并偶然地用于檢索存檔的信息�����。
內(nèi)存包括程序模塊420����,該模塊通過IOC404在網(wǎng)絡(luò)和緩存器421的部分之間拷貝文檔�����。在上面的一些實(shí)施例中�����,服務(wù)器從創(chuàng)作工作站接收被數(shù)字式簽署的文檔����。在這種情形下�,程序模塊423對(duì)文檔進(jìn)行單向散列,解密數(shù)字式簽名�����,并比較兩者結(jié)果以驗(yàn)證該文檔自被數(shù)字式簽署以來沒有被修改過,而且該文檔的來源是正確的�����。在上面的另一個(gè)實(shí)施例中,服務(wù)器通過安全網(wǎng)絡(luò)接收沒有被簽署的文檔����。在這種情形下,程序模塊423散列該文檔并用服務(wù)器的私人密鑰或原作者(或創(chuàng)作工作站)的私人密鑰(在這種情形下被保存在安全服務(wù)器上)加密該散列�����。在另一個(gè)實(shí)施例中���,修訂者將該修訂版本與時(shí)間標(biāo)志����,時(shí)間標(biāo)志的散列��,或公證人簽名進(jìn)行合并���,散列合并結(jié)果并加密該散列以簽署該修訂版本�。這樣����,該修訂版本簽名不僅證明修訂版本的來源和完整性,而且確定導(dǎo)致該修訂版本的原始文檔。修訂者然后向服務(wù)器發(fā)送該修訂版本和修訂版本簽名��。在這種情形下����,服務(wù)器上的模塊423解密修訂版本簽名,將修訂版本與原始文檔的時(shí)間標(biāo)志及其它信息以和修訂者相同的方式合并���,散列合并結(jié)果��,并比較解密和散列的結(jié)果以驗(yàn)證修訂版本的來源���,原始文檔的來源�,以及該修訂版本自簽署以來沒有改變過。
在另一個(gè)上面的實(shí)施例中�����,服務(wù)器接收未簽署的修訂版本���,然后模塊423可以將修訂版本與一些關(guān)于原始文檔的來源的指示(以前文檔的散列�,以前作者的簽名���,以前的時(shí)間標(biāo)志�,以前的時(shí)間標(biāo)志散列或以前的時(shí)間標(biāo)志簽名)以及一個(gè)關(guān)于修訂版本的來源的指示(修訂者標(biāo)識(shí),工作站標(biāo)識(shí))合并�����,散列合并結(jié)果���,然后使用服務(wù)器的私人密鑰或原作者的私人密鑰加密該散列(即簽署該文檔)�����。
在又一個(gè)上面的實(shí)施例中�,服務(wù)器接收一個(gè)文檔(如果未被簽署�,程序423簽署該文檔),然后模塊425為該文檔獲取一個(gè)時(shí)間標(biāo)志��。然后模塊420自動(dòng)修改該文檔��,散列原始時(shí)間標(biāo)志和修訂后文檔的合并結(jié)果�����,并簽署該散列�。然后模塊424為該自動(dòng)的修訂版本獲取另一個(gè)時(shí)間標(biāo)志。
在另一個(gè)上面的實(shí)施例中,模塊422接收一個(gè)文檔�,模塊420簽署該文檔,(并且如果沒有簽名隨該文檔被收到)將修訂的文檔與標(biāo)識(shí)信息合并��,然后模塊422自動(dòng)地修訂該文檔�,散列合并結(jié)果,并簽署該散列����。然后模塊424為自動(dòng)修訂版本的簽名獲取一個(gè)時(shí)間標(biāo)志。
在文檔被簽署后����,程序模塊425向公證人發(fā)送簽名,其中公證人生成包含服務(wù)器簽名����,服務(wù)器標(biāo)識(shí)�,序列號(hào),以及一個(gè)數(shù)字式時(shí)間(包括日期)的時(shí)間標(biāo)志����,簽署該時(shí)間標(biāo)志(以生成時(shí)間標(biāo)志簽名),并返回該時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名����,它們被模塊420接收����。然后模塊424散列該時(shí)間標(biāo)志并解密該數(shù)字式簽名(使用公證人的公開密鑰)以驗(yàn)證該時(shí)間標(biāo)志是來自確定的公證人����,并且該時(shí)間標(biāo)志自被簽署以來沒有被改變過。
對(duì)于修訂后的文檔����,為了節(jié)省在隨機(jī)訪問存儲(chǔ)器406(硬盤,DVD��,CD-ROM)中的空間�����,在被稱為歸檔的過程中���,程序模塊426拷貝文檔的舊版本到可移動(dòng)的計(jì)算機(jī)媒體(例如磁帶)上����,該媒體被從服務(wù)器移走�����。如果一個(gè)已歸檔的文檔被請(qǐng)求,程序426負(fù)責(zé)將檔案磁帶加載到檔案存儲(chǔ)系統(tǒng)407并將需要的文件恢復(fù)到服務(wù)器上���。
在圖7中���,在圖4中公證人303的額外細(xì)節(jié)被顯示。公證人包括一個(gè)處理器452���,諸如中央處理單元(CPU)或一個(gè)內(nèi)置控制器��,與一個(gè)電子內(nèi)存453通信����。內(nèi)存包含程序和緩存器�,其中程序控制處理器的操作,緩存器用于存儲(chǔ)接收自網(wǎng)絡(luò)的信息和通過一個(gè)輸入和/或輸出(I/O)電路454(IOC)被發(fā)送到網(wǎng)絡(luò)上的信息�。IOC454是為了向連接到網(wǎng)絡(luò)的其它結(jié)點(diǎn)傳送信息,并從連接到網(wǎng)絡(luò)的其它結(jié)點(diǎn)接收信息�����。IOC455被用于存儲(chǔ)時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名到硬盤456�。
內(nèi)存包含程序模塊470,用于控制對(duì)文檔簽名的接收和對(duì)時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名的傳送���。當(dāng)一個(gè)公證人簽名被請(qǐng)求�,程序470將文檔簽名從網(wǎng)絡(luò)拷貝到緩存器471的部分�。在時(shí)間標(biāo)志和公證人簽名被生成后,程序470將時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名從緩存器471的部分拷貝到網(wǎng)絡(luò)�����。程序模塊472從緩存器讀取服務(wù)器簽名并生成一個(gè)時(shí)間標(biāo)志�,其中包括服務(wù)器簽名,服務(wù)器簽名被接收的時(shí)間(以任何格式)�,公證人標(biāo)識(shí),以及序列號(hào)����。然后模塊472散列該時(shí)間標(biāo)志并用公證人的私人密鑰加密該散列以形成公證人的時(shí)間標(biāo)志簽名。然后模塊473準(zhǔn)備對(duì)該時(shí)間標(biāo)志和公證人簽名的傳輸并將證明的傳輸存儲(chǔ)到緩存器471����,并初始化模塊470以將該公證人的證明發(fā)送回給客戶。程序模塊474也通過IOC455將時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名一起拷貝到硬盤驅(qū)動(dòng)器456作為一個(gè)時(shí)間標(biāo)志簽名記錄�����。
當(dāng)對(duì)時(shí)間標(biāo)志簽名的真實(shí)性的驗(yàn)證被請(qǐng)求,該請(qǐng)求可能提供文檔簽名�����,時(shí)間標(biāo)志�����,時(shí)間標(biāo)志簽名�����,或序列號(hào)�����。公證人包含模塊476用于從存儲(chǔ)器456檢索證明(時(shí)間標(biāo)志和公證人的簽名)����,也可以包含模塊477用于對(duì)驗(yàn)證請(qǐng)求中提供的信息與記錄中的信息進(jìn)行比較并確定是否匹配。然后模塊478準(zhǔn)備對(duì)時(shí)間標(biāo)志記錄和/或鑒定該信息的比較結(jié)果的傳輸��,并將回答存儲(chǔ)在緩存器471中��,模塊470發(fā)送給回答���。
圖8顯示了一個(gè)可編程的計(jì)算機(jī)系統(tǒng)500和不同的設(shè)備的例子���,這些設(shè)備為本領(lǐng)域技術(shù)人員熟知,用于對(duì)這樣的可編程計(jì)算機(jī)進(jìn)行編程�。該計(jì)算機(jī)系統(tǒng)即可以通過將包含被編程的結(jié)構(gòu)的非易失性存儲(chǔ)器(如ROM,PROM�,EEPROM,閃速存儲(chǔ)器���,帶后備電池的SRAM)連接到可編程計(jì)算機(jī)而被編程���,也可以通過向可編程計(jì)算機(jī)提供可被應(yīng)用與可編程計(jì)算機(jī)的存儲(chǔ)器以提供被編程的結(jié)構(gòu)的信號(hào)來被編程。另一個(gè)計(jì)算機(jī)系統(tǒng)501��,諸如一個(gè)因特網(wǎng)服務(wù)器可以通過通信設(shè)備502被連接到系統(tǒng)500以提供用于編程系統(tǒng)500的信號(hào)�����。設(shè)備502可以包含一個(gè)銅纜或光纜���,無(wú)線電接收裝置����,紅外線接收裝置,或諸如以太網(wǎng)���,ARCnet�����,令牌環(huán)的網(wǎng)絡(luò)��,或一個(gè)調(diào)制解調(diào)器和電話系統(tǒng)��。存儲(chǔ)驅(qū)動(dòng)器503可以具有一體化的媒體504�,并被可移動(dòng)地加到系統(tǒng)500�����,或者驅(qū)動(dòng)器503可以與系統(tǒng)500一體化��,并從可移動(dòng)的計(jì)算機(jī)媒體504接收信號(hào)�����。系統(tǒng)500可以包含一個(gè)用戶界面505和程序輸入模塊506���,書面材料可以被提供�。用戶可以使用用戶界面的設(shè)備(未被顯示),例如鍵盤���,文本掃描儀,麥克風(fēng)�,照相機(jī)或條形碼閱讀器,輸入信號(hào)��。提供給系統(tǒng)500的信號(hào)可以被拷貝到存儲(chǔ)驅(qū)動(dòng)器以備以后被裝入易失性存儲(chǔ)器507或存儲(chǔ)到非易失性存儲(chǔ)器508以提供被編程的結(jié)構(gòu)����。可替換地��,系統(tǒng)可以通過提供被編程的非易失性存儲(chǔ)器而被編程�����。系統(tǒng)500可以包含一個(gè)槽���,在其中一個(gè)包含非易失性存儲(chǔ)器的設(shè)施����,如PC閃速內(nèi)存卡,被連接以提供被編程設(shè)備���。系統(tǒng)500可以包含一個(gè)插座511�,在其中一個(gè)非易失性組件512可以被插入以提供被編程設(shè)備�����。系統(tǒng)500可以包含一個(gè)非易失性內(nèi)置存儲(chǔ)器508以提供被編程設(shè)備����。被編程結(jié)構(gòu)包括內(nèi)存中的程序和其它數(shù)據(jù),它們控制可編程計(jì)算機(jī)的微處理器513和I/O處理器����,例如114以實(shí)現(xiàn)計(jì)算機(jī)處理。計(jì)算機(jī)系統(tǒng)可以是一個(gè)工作站���,調(diào)制解調(diào)器�����,PC卡�,打印機(jī)��,或其它軟件可升級(jí)元件。其它已知的編程一個(gè)計(jì)算機(jī)系統(tǒng)的方法也可以被使用���。
本發(fā)明已經(jīng)參照特定的實(shí)施例被描述���,包括實(shí)現(xiàn)本發(fā)明的最佳方式,并且對(duì)于任何本領(lǐng)域的技術(shù)人員能夠?qū)嵤┖屠帽景l(fā)明來說足夠詳細(xì)�����。那些本領(lǐng)域的技術(shù)人員可以修改那些實(shí)施例或提供其它符合本發(fā)明精神的實(shí)施例����,因此�,前面的描述并不將本發(fā)明限制于公開的實(shí)施例。本發(fā)明只受下面所附的權(quán)利要求的限制�����。
權(quán)利要求
1. 一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)(300)����,包括一個(gè)用戶計(jì)算機(jī)系統(tǒng)(304,350)提供對(duì)網(wǎng)絡(luò)的用戶訪問����,包含用于提供原始文檔的裝置(356-360和370)��;用以從原始文檔生成文檔簽名的裝置(372����,422)����;以及用以傳輸原始文檔簽名的裝置(355,374)����;一個(gè)安全計(jì)算機(jī)系統(tǒng)(303,450)��,包含用以從用戶系統(tǒng)接收文檔簽名的裝置(454���,470)���;用以提供包含文檔簽名和文檔被接收的數(shù)字時(shí)間的時(shí)間標(biāo)志的裝置(472);以及用以向用戶系統(tǒng)傳輸時(shí)間標(biāo)志的裝置(473����,454����,470)�;用戶系統(tǒng)進(jìn)一步包含用以接受并存儲(chǔ)原始文檔的時(shí)間標(biāo)志的裝置(377,355��,375�����,384)�����;用于修改原始文檔以生成修訂后的文檔的裝置(386)���;以及用以根據(jù)修訂后的文檔生成修訂后文檔的簽名的裝置(387);其中用以傳輸文檔簽名的裝置(355�,373)被改進(jìn)以傳輸修訂后文檔的簽名;該計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)一步包含裝置(377�����,378���,424��,472��,476��,477��,383��,384和485)以鑒定時(shí)間標(biāo)志�;以及其特征在于修訂后文檔的簽名也依賴于原始文檔的時(shí)間標(biāo)志。
2.權(quán)利要求1的網(wǎng)絡(luò)����,其中鑒定時(shí)間標(biāo)志的裝置包含用于在安全系統(tǒng)中加密數(shù)據(jù)的私人密鑰(490);能夠?qū)κ褂迷撍饺嗣荑€加密的數(shù)據(jù)進(jìn)行解密的公開密鑰(491)����;用以在安全系統(tǒng)中使用私人密鑰從時(shí)間標(biāo)志生成時(shí)間標(biāo)志簽名的裝置(472);用以向用戶系統(tǒng)傳輸時(shí)間標(biāo)志簽名的裝置(473)����;用以在用戶系統(tǒng)使用公開密鑰解密時(shí)間標(biāo)志簽名的裝置(383);用以在用戶系統(tǒng)上對(duì)時(shí)間標(biāo)志或時(shí)間標(biāo)志的散列與解密的時(shí)間標(biāo)志進(jìn)行比較以確定時(shí)間標(biāo)志是否可信的裝置(384)���。
3.權(quán)利要求1的網(wǎng)絡(luò)���,其中鑒定時(shí)間標(biāo)志的裝置包含用于在安全系統(tǒng)上存儲(chǔ)時(shí)間標(biāo)志的安全存儲(chǔ)器(456)��;用以從用戶系統(tǒng)向安全系統(tǒng)傳輸時(shí)間標(biāo)志的裝置(425)�;用以從安全存儲(chǔ)器檢索時(shí)間標(biāo)志到安全系統(tǒng)的裝置(475)�����;用以比較檢索到的時(shí)間標(biāo)志和傳輸來的時(shí)間標(biāo)志的裝置(476)�;以及用以根據(jù)比較結(jié)果,從安全系統(tǒng)向用戶系統(tǒng)傳輸鑒定成功或失敗信號(hào)的裝置(477)����。
4.權(quán)利要求1的網(wǎng)絡(luò),其中鑒定時(shí)間標(biāo)志的裝置包含用以在安全系統(tǒng)使用私人密鑰從時(shí)間標(biāo)志生成第一個(gè)時(shí)間標(biāo)志簽名的裝置(472)��;用以向用戶系統(tǒng)傳輸時(shí)間標(biāo)志和第一個(gè)時(shí)間標(biāo)志簽名的裝置(470�,473)�����;用以向安全系統(tǒng)返回時(shí)間標(biāo)志的裝置��;用以在安全系統(tǒng)上從返回的時(shí)間標(biāo)志生成第二個(gè)時(shí)間標(biāo)志簽名的裝置(473);用以向用戶系統(tǒng)傳輸?shù)诙€(gè)時(shí)間標(biāo)志簽名的裝置����;以及用以比較第一個(gè)時(shí)間標(biāo)志簽名與第二個(gè)時(shí)間標(biāo)志簽名以驗(yàn)證時(shí)間標(biāo)志的真實(shí)性的裝置(383)。
5.權(quán)利要求1的網(wǎng)絡(luò)��,其中從安全服務(wù)器傳輸?shù)膬?nèi)容包括一個(gè)早先的時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名����,以及一個(gè)后來的時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名,每個(gè)時(shí)間標(biāo)志包含一個(gè)客戶標(biāo)志���;用戶系統(tǒng)存儲(chǔ)早先的和后來的時(shí)間標(biāo)志及簽名��;以及用以鑒定時(shí)間標(biāo)志的裝置適于與由后來的時(shí)間標(biāo)志確定的客戶交互并從該后來的客戶獲得時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名的拷貝�����。
6.權(quán)利要求1的網(wǎng)絡(luò)���,其中用于修改文檔的裝置在接到文檔后自動(dòng)地修改該文檔。
7.權(quán)利要求1的網(wǎng)絡(luò)����,其中用戶計(jì)算機(jī)系統(tǒng)包含一個(gè)創(chuàng)作工作站(350)用于生成文檔和一個(gè)安全服務(wù)器(400)用于存儲(chǔ)文檔����,文檔簽名����,以及文檔時(shí)間標(biāo)志。
8.一個(gè)計(jì)算機(jī)系統(tǒng)(304����,350)包括用于提供原始文檔的裝置(356,360和370)�;用以從原始文檔生成文檔簽名的裝置(372,422)��;用于修改原始文檔以生成修訂后的文檔的裝置(386)����;以及用以根據(jù)修訂后的文檔生成修訂后文檔的簽名的裝置(387);其特征在于修訂后文檔的簽名也依賴于原始文檔簽名����。
9.權(quán)利要求8的計(jì)算機(jī)系統(tǒng)(304���,350)�����,包括用以向安全計(jì)算機(jī)系統(tǒng)(303�����,450)傳輸原始文檔簽名以標(biāo)記時(shí)間的裝置(355�����,374)��;用以從安全計(jì)算機(jī)系統(tǒng)接收并存儲(chǔ)原始文檔的時(shí)間標(biāo)志的裝置(377�,355,375�,384);該時(shí)間標(biāo)志包括原始文檔簽名和一個(gè)指示該時(shí)間標(biāo)志何時(shí)被生成的數(shù)字時(shí)間����;以及其中修訂后文檔的簽名依賴于原始文檔的時(shí)間標(biāo)記中的數(shù)字時(shí)間。
10.一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括用于作者在用戶可訪問的工作站上創(chuàng)建原始文檔的裝置(356-360和370)����;用于向安全服務(wù)器傳輸原始文檔的裝置(355,374);用于為該原始文檔生成簽名的裝置(372���,422)�����;用以使用該簽名以證明該文檔沒有被改變以及識(shí)別用戶或工作站的裝置(423)���;用于從安全服務(wù)器向公證人傳輸原始文檔簽名的的裝置(420,422)�;用于提供在公證人處的時(shí)間標(biāo)志的裝置(472),該時(shí)間標(biāo)志包括原始文檔簽名和指示該簽名何時(shí)被該公證人接收的數(shù)字時(shí)間����;用于向安全服務(wù)器傳輸時(shí)間標(biāo)志的裝置(470,473)���;用于驗(yàn)證該時(shí)間標(biāo)志可信的裝置(424)��;用于修改原始文檔的裝置(422)���;用于根據(jù)修訂后的文檔為該修訂后的文檔生成簽名的裝置(422);其特征在于修訂后文檔的簽名也依賴于原始文檔��,因此,該修訂后的文檔是可以被驗(yàn)證的原始文檔的產(chǎn)品���。
11.操作計(jì)算機(jī)網(wǎng)絡(luò)的一種方法,包括如下步驟在用戶系統(tǒng)上提供原始文檔���;根據(jù)原始文檔生成修訂后的文檔�;生成修訂后文檔的簽名��,包括將修訂后的文檔進(jìn)行散列以生成文檔的指紋并加密該文檔指紋��;從用戶系統(tǒng)向安全計(jì)算機(jī)系統(tǒng)傳輸修訂后文檔的簽名�;為修訂后的文檔提供一個(gè)時(shí)間標(biāo)志,該時(shí)間標(biāo)志包含修訂后文檔的簽名和指示該時(shí)間標(biāo)志何時(shí)被生成的數(shù)字時(shí)間����;從安全系統(tǒng)向用戶系統(tǒng)傳輸該時(shí)間標(biāo)志,該時(shí)間標(biāo)志包含修訂后文檔的簽名�����;確定該時(shí)間標(biāo)志是否可信����;以及根據(jù)解密的修訂后文檔的簽名與該修訂后文檔的散列是否一致來確定時(shí)間標(biāo)志中該修訂后文檔的簽名是否可信;其特征在于生成文檔指紋的過程包括將指示該修訂后的文檔是從原始文檔生成的信息與修訂后的文檔一起進(jìn)行散列;其特征還在于確定該修訂后的文檔是否可信的過程包括確定該修訂后的文檔是否從原始文檔生成��,它包括隨原始文檔指示信息一起將修訂后的文檔進(jìn)行散列以重新生成文檔指紋�。
12.權(quán)利要求11的方法,其中確定時(shí)間標(biāo)志是否可信的步驟包含如下步驟將時(shí)間標(biāo)志存儲(chǔ)到安全系統(tǒng)的安全存儲(chǔ)器中���;從用戶系統(tǒng)向安全系統(tǒng)傳輸時(shí)間標(biāo)志�;比較來自用戶系統(tǒng)的時(shí)間標(biāo)志和在安全存儲(chǔ)器中的時(shí)間標(biāo)志��;向用戶系統(tǒng)傳輸比較結(jié)果�����;以及根據(jù)比較結(jié)果確定時(shí)間標(biāo)志是否可信��。
13.權(quán)利要求11的方法�,其中確定時(shí)間標(biāo)志是否可信的步驟包含如下步驟在安全系統(tǒng)上提供一個(gè)私人密鑰;在安全系統(tǒng)上加密時(shí)間標(biāo)志以生成時(shí)間標(biāo)志簽名��;從安全系統(tǒng)向用戶系統(tǒng)傳輸時(shí)間標(biāo)志簽名���;從用戶系統(tǒng)向安全系統(tǒng)傳輸時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名�;使用私人密鑰加密時(shí)間標(biāo)志以生成時(shí)間標(biāo)志驗(yàn)證簽名�;比較時(shí)間標(biāo)志簽名和時(shí)間標(biāo)志驗(yàn)證簽名��;以及根據(jù)比較結(jié)果確定時(shí)間標(biāo)志是否可信���。
14.權(quán)利要求11的方法,其中確定時(shí)間標(biāo)志是否可信的步驟包含如下步驟在安全系統(tǒng)上提供一個(gè)私人密鑰�����;在安全系統(tǒng)上使用私人密鑰加密時(shí)間標(biāo)志以生成時(shí)間標(biāo)志簽名�����;從安全系統(tǒng)向用戶系統(tǒng)傳輸時(shí)間標(biāo)志簽名�����;在用戶系統(tǒng)上為該私人密鑰提供一個(gè)公開密鑰��;使用公開密鑰解密時(shí)間標(biāo)志簽名��;比較解密的時(shí)間標(biāo)志簽名和時(shí)間標(biāo)志或?qū)r(shí)間標(biāo)志的處理結(jié)果���;以及根據(jù)比較結(jié)果確定時(shí)間標(biāo)志是否可信。
15.權(quán)利要求11的方法����,其中確定時(shí)間標(biāo)志是否可信的步驟包含如下步驟向用戶系統(tǒng)傳輸標(biāo)識(shí)后來的時(shí)間標(biāo)志的客戶的信息���;向后來的客戶傳輸修訂后文檔的時(shí)間標(biāo)志;與后來的客戶通信以比較修訂后文檔的時(shí)間標(biāo)志和傳輸給后來的客戶的修訂后文檔的時(shí)間標(biāo)志��。
16.權(quán)利要求11的方法�����,其中生成修訂后文檔的指紋����,包括隨指示修訂后文檔的來源的信息一起對(duì)修訂后的文檔進(jìn)行散列;以及確定修訂后文檔的簽名是否可信�����,包括確定修訂后的文檔是否來自該來源�,其中包括隨該來源指示信息一起對(duì)修訂后的文檔進(jìn)行散列以重新生成文檔指紋。
17.權(quán)利要求11的方法����,其中原始文檔指示信息依賴于原始文檔的簽名。
18.權(quán)利要求11的方法�,其中原始文檔指示信息依賴于原始文檔的來源��。
19.權(quán)利要求11的方法��,其中該方法進(jìn)一步包括為原始文檔獲得時(shí)間標(biāo)志�;以及來源指示信息依賴于原始文檔的時(shí)間標(biāo)志的標(biāo)記時(shí)間�����。
20.權(quán)利要求11的方法��,其中指示修訂后的文檔的修訂作者的身份的信息被包含在修訂版的散列中��,以及確定修訂后文檔的簽名是否可信�,包括隨作者身份信息對(duì)修訂后的文檔進(jìn)行散列����。
21.一種修改文檔的方法,包括從安全系統(tǒng)向修訂者可訪問的系統(tǒng)傳輸該文檔���,文檔的時(shí)間標(biāo)志����,以及該文檔的時(shí)間標(biāo)志簽名���;自動(dòng)地使用公證人的公開密鑰來驗(yàn)證該時(shí)間標(biāo)志和簽名是由時(shí)間標(biāo)志中所列的公證人生成�����,并且該時(shí)間標(biāo)志沒有被改變過�����;自動(dòng)地使用原作者的公開密鑰來驗(yàn)證時(shí)間標(biāo)志中的文檔簽名是由原作者生成�����,并且該文檔自簽名被生成以來沒有被改變過��;根據(jù)驗(yàn)證修訂文檔�;從修訂者可訪問的系統(tǒng)向安全服務(wù)器傳輸修訂后的文檔;使用修訂版本原作者的私人密鑰來為修訂后的文檔生成一個(gè)簽名�;向公證人傳輸修訂后文檔的簽名;生成包含修訂后文檔的簽名以及指示該修訂后文檔的簽名何時(shí)被公證人接收的標(biāo)記時(shí)間的修訂后文檔的時(shí)間標(biāo)志�;使用公證人的私人密鑰以為修訂后文檔的時(shí)間標(biāo)志生成一個(gè)簽名;向服務(wù)器回傳修訂后文檔的時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名�;以及在安全服務(wù)器的安全存儲(chǔ)器中存儲(chǔ)修訂后的文檔,修訂后文檔的時(shí)間標(biāo)志���,以及修訂后文檔的時(shí)間標(biāo)志簽名����。
22.一種用于自動(dòng)地修改文檔的方法,包括從創(chuàng)作系統(tǒng)向客戶系統(tǒng)傳輸原始文檔��;在客戶系統(tǒng)存儲(chǔ)修訂后的文檔����;使用私人密鑰為該修訂后的文檔生成一個(gè)簽名,該簽名包含用于證明該修訂后的文檔是原始文檔的產(chǎn)品�,由客戶生成,以及自修訂版簽署以來沒有修改等的信息���;從客戶系統(tǒng)向電子公證系統(tǒng)傳輸修訂后文檔的簽名�;為修訂后的文檔生成一個(gè)時(shí)間標(biāo)志記錄�����,包含修訂后文檔的簽名�����,以及指示該文檔何時(shí)被公證系統(tǒng)接收的數(shù)字時(shí)間����;使用公證系統(tǒng)的私人密鑰加密時(shí)間標(biāo)志以為該時(shí)間標(biāo)志生成一個(gè)數(shù)字簽名;在電子公證系統(tǒng)中存儲(chǔ)該時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名��;向客戶傳輸該時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名����;以及在客戶系統(tǒng)存儲(chǔ)該時(shí)間標(biāo)志和時(shí)間標(biāo)志簽名。
全文摘要
在計(jì)算機(jī)網(wǎng)絡(luò)中,文檔被生成,文檔被散列以生成指紋,該指紋被加密以簽署該文檔,然后該文檔簽名被從用戶系統(tǒng)傳送到一個(gè)安全計(jì)算機(jī)系統(tǒng)��。安全計(jì)算機(jī)系統(tǒng)創(chuàng)建一個(gè)包含該文檔簽名和數(shù)字式時(shí)間的時(shí)間標(biāo)志����。該安全系統(tǒng)簽署時(shí)間標(biāo)志以驗(yàn)證其來源。該時(shí)間標(biāo)志和公證人的簽名被從安全系統(tǒng)傳輸給用戶系統(tǒng)���。用戶可以得到公證人的公開密鑰,該密鑰可被用于確定該時(shí)間標(biāo)志是否可信����。然后文檔被修訂,修訂后的文檔被散列,該散列被與指示該修訂版本所涉及的原始文檔的信息相聯(lián)系�����。該指示信息可以是原始文檔,原始文檔簽名,原始文檔的公證人時(shí)間標(biāo)志,或原始文檔的公證人簽名的一個(gè)散列���。
文檔編號(hào)G06F21/24GK1254464SQ98804725
公開日2000年5月24日 申請(qǐng)日期1998年12月28日 優(yōu)先權(quán)日1997年12月31日
發(fā)明者M·埃斯蒂恩 申請(qǐng)人:皇家菲利浦電子有限公司