CN102882680B

CN102882680B - 用于鉴别电子信息的系统和方法

Info

Publication number: CN102882680B
Application number: CN201210303512.6A
Authority: CN
Inventors: 利奥·J·坎贝尔; 乔恩·L·库克; 查尔斯·R·张伯伦; 迈克尔·J·迈克格拉斯; 伊萨多·舍恩
Original assignee: US Postal Service (USPS)
Current assignee: US Postal Service (USPS)
Priority date: 1999-09-30
Filing date: 2000-10-02
Publication date: 2015-10-21
Anticipated expiration: 2020-10-02
Also published as: US8095797B2; IL148918A0; HK1047835A1; AU7745000A; WO2001024437A9; CA2386484A1; NZ518393A; US9444625B2; EP1219063A2; US8484479B2; US20130297931A1; WO2001024437A3; CN102882680A; JP2003510962A; EP1219063B1; US20090259840A1; CN1451213A; WO2001024437A2; JP4853694B2; US20120096275A1

Abstract

本发明涉及用于鉴别电子信息的系统和方法。在此揭示的系统和方法是用于鉴别电子信息的。由用于对内容和被收到的电子信息的计算机服务器的身份进行鉴别的计算机服务器产生一个数据结构，并且当信息被发送时，为鉴别提供一信任印记。能够鉴别该信息，该计算机服务器身份以及信息发送的时间的数据被包括在被称作电子邮戳(EPM)的数据结构中。

Description

用于鉴别电子信息的系统和方法

本申请是申请日为2000年10月2日的、申请号为00813633.5（国际申请号为PCT/US00/27068）的、发明名称为“用于鉴别电子信息的系统和方法”的发明专利申请的分案申请。

相关申请的交叉引用

该申请要求于1999年9月30日提出的系号为No.60/157,168的“用于鉴别数字信息和其他文件的装置和方法”的临时申请的权利，以及于2000年3月17日提出的系号为No.60/189,983的“用于建立一个电子帐户和提供网络服务的系统和方法”的临时申请的权利。上述申请的内容是本申请的基础，并且在这里被明确地结合到本申请中。

技术领域

该发明涉及一种为用户提供电子通信服务的系统和方法。特别是，该申请涉及一种对用户在网上共享的电子信息提供内容和暂时的完整性并且进行鉴别确认的系统和方法。

背景技术

近些年来，运用电子网络在联网用户之间传递信息增长得很快。使用计算机应用软件，例如电子邮件和文件传送协议程序来传送数据的能力对于个人，特别是商务通信联络，变得越发的重要。

利用计算机网络进行的商务通信，包括在线商品买卖，电子资金转帐，在线广告，以及访问商务信息资源被称作是电子商务（E-commerce）。电子商务能够提高现有商务过程的效率并且提供扩展现有客户基础的机会。在过去的几年间，由于国际互连网用户的数量持续增加，电子商务有可能成为收入显著增加的潜在源泉。

为了实现这一可能，电子商务需要各种各样的在传统物理通信信道中已经存在的通信服务和特性。美国邮政服务(USPS),一个美国政府的独立建立的执行部门，通过各种各样的文件和邮包的递送服务来提供该特征。该USPS被广泛认知为一种安全可信的发送和接收个人和商业交易邮包和信件的手段。通过USPS发送的邮包和信件会被加盖邮戳，从而提供该被发送邮件被收到的时间证据。另外，一旦交给USPS处理，文件就不再由发送者控制了，因此不能被召回。此外，通过USPS发送的邮包和信件通过联邦法律得到来自第三方的保护。电子通信服务目前不能提供这些特征。额外增加的安全，例如鉴别参与交易的各方的身份和/或向收件人提供其收到信息没有被改动的保证，也是电子商务为实现它全部的可能所要求的。

为了保证电子通信和商务的活力和增长，用户和商务方需要一种安全的方式来进行电子通信和交易。没有值得信赖的通信渠道，许多潜在的电子商务参与者可能就不会发送敏感的电子信息。鉴于以上情况，非常需要提供一种用于能够提供符合或是超过现有的物理的信件和邮包递送服务水平的安全等级的电子通信系统。

发明内容

依照本发明在此所表达和广泛描述的目的，本发明提供用于鉴别电子信息的方法和装置。电子信息包括数据，以及收到的来自发件人的电子地址。然后创建一个基于该信息数据的摘要，和一个暂时性的印记被加在该摘要上。该摘要和暂时性的印记被签署一个数字签名。然后，该摘要，暂时性的印记和该数字签名被发送给一个电子地址并被鉴别。

包括本发明的范例系统和方法在所附的权利要求书中有书面陈述。按照权利要求，前述的概括性说明和下面的具体说明仅是范例和说明性的，但是应理解为对于本发明是没有局限性的。

附图说明

把作为本说明书的一个组成部分的用于描述本发明的一些表现的附图，和以下的描述相结合，来解释本发明的原理。在这些图中：

图1是根据本发明的方法的流程图；

图1A是本发明的电子信息鉴别系统的第一种操作模式的简化方块图；

图1B是本发明的电子信息鉴别系统的第二种操作模式的简化方块图；

图2A是本发明的电子信息鉴别系统的第一种实施例的简化方块图；

图2B是本发明的电子信息鉴别系统的第二种实施例的简化方块图；

图3A示出的是本发明的电子信息鉴别系统的第三种实施例中的各组成部分的方块图；

图3B示出的是本发明的电子信息鉴别系统的第四种实施例中的各组成部分的方块图；

图3C示出的是本发明的电子信息鉴别系统的第五种实施例中的各组成部分的方块图；

图4A是对应图3A的实施例的数据流结构图；

图4B是对应图3B的实施例的数据流结构图；

图4C是对应图3C的实施例的数据流结构图；

图5A示出了负责图3A的实施例的互连网用户交互的软件模块的方块图；

图5B示出了负责图3B的实施例的互连网用户互动的软件模块的方块图；

图6示出了图3A的服务器的软件和硬件组成部分的简化方块图；

图7示出了对应图3A的实施例的硬件组成部分的详细方块图；

图8A是对应本发明的一个处理模式的数据处理过程图；

图8B是对应本发明的另一个处理模式的数据处理过程图。

具体实施方式

现在将对本发明的优选实施例作详细地说明，实施例在附图中有相应的描述。只要可能，相同的参考标号将在整个附图中被用于同样的部分。

图1示出了根据本发明的方法的流程图。一个发送者创建一个电子信息，包括需要鉴别的信息数据和目的地电子地址。该发送者通过网络将该电子信息提交给一个EPM（Electronic Post Mark）系统进行鉴别。该EPM系统会接收到发送者发来的电子信息(步骤50)，然后该EPM系统会根据电子信息创建一个标签或摘要(步骤52)。该摘要是该电子信息唯一的一个被压缩的数字表达。EPM系统然后将暂时性标记添附到摘要(步骤54)。当使用暂时性印记时，该暂时性印记包括时间和日期标志。然后，该摘要和暂时性印记被EPM服务器签上一个数子签名(步骤56)。该摘要和暂时性印记以及数子签名被EPM服务器通过互连网发送到目的地的电子地址(步骤58)。然后该摘要和暂时性印记以及数子签名被进行鉴别(步骤60)。典型的鉴别过程是在电子地址的数据处理机中进行的；但是，该鉴别可以在一个不同的数据处理机中进行。

图1A是根据本发明的系统的第一种操作模式的简化方块图。发送者110创建电子信息，包括用于通过互连网115来传送的目的地的电子地址，该互连网可能是一个公共网络，例如国际互连网。该电子信息可能是一任何形式的数字文件。该带有目的地电子地址的电子信息被一个EPM系统120接收。然后该EPM系统120会产生一个EPM数据结构。该EPM数据结构包括摘要和暂时性印记。该摘要和暂时性印记被EPM系统120签上了数字签名，最终的数字签名也包括在EPM数据结构中。正如本领域的技术人员所知，数字签名是被加在输入数据上的额外数据，它通过该输入数据来同时鉴别输入数据和任何签名人的身份。

对于该发明，该数字签名保证EPM数据结构和该EMP系统120的身份的确定性。任何对于暂时性印记或摘要的未经许可的改动，能够通过测验该数字签名而被发现。此外，电子信息本身的任何变动，通过测验该摘要而可能被发现。因此，该EPM数据结构最少能够为电子交易提供3种保证。第一是电子信息存在于一个应时的已知点。第二是保证该EPM120系统的身份能够被接该电子信息的收者130所知。第三是在产生EPM数据结构后，对于被电子信息的收者130所接收的电子信息的更改，能够被发现。

进一步参考图1A，接收者130通常是通过网络115来接收EPM数据结构和电子信息。接收者130随后使用该EPM数据结构以及确认应用软件来鉴别该电子信息的整合和签名人的身份。该确认应用软件在下面做进一步讨论。

发送者110可能会选择用EPM120系统只发送EPM数据结构给接收者130，而后自己通过网络直接发送电子信息本身给接收者130。正如下面将要说明的，这一过程为发送者110在电子信息如何通过EPM系统120选择路径方面，提供了更多的控制。

每当一个EPM数字结构产生后，它会被存储在位于EPM系统120内部的一个日志里面。该日志提供一个能够用来证明被赋予指定信息的EPM数据结构已经生成的实际记录。本发明的一个优势是被EPM系统120加盖了邮戳的电子信息，能够得到系统提供的用于保护官方单位，例如USPS的法律下的保护。因此，存储于日志文件中的EPM数据结构可以被认为是电子信息的存在和摘要的法律证据。该日志文件的EPM数据结构会自己生成，以确保该日志文件的完整性。

图1B是根据本发明的系统的第二种操作模式的简化方块图。在这种操作模式中，发送者110和接收者130是同一个实体。发送者110准备一个电子信息并通过前述的方法经网络115发送到EPM系统120，但是在该实施例中，发送者110发出的电子信息里面包括该发送者的电子地址。EPM系统120和前面一样产生一个EPM数据结构，并且通常只将EPM数据结构返回给发送者110。该操作模式允许发送者110用EPM系统120来进行电子确认服务，由此发送者110能够确认在特定时间点上的电子信息的存在，并且该时间点上的信息的内容。如果有必要，发送者110可以接收该被EPM系统120用来产生EPM数据结构的电子信息的拷贝。

图2A示出了根据本发明的系统的一个更详细的实施例。发送者110创建一个电子信息和电子数据215，并连同电子接收者地址220一起通过网络205，发送给被称作EPM服务器210的鉴别服务器。该电子信息的发送可通过一个电子邮件程序，例如Outlook Express^TM,或是其他本技术领域内的技术人员所知的程序。最好是，EPM服务器210是一个工作站类的计算机，例如，一台运行Windows NT的基于英特尔技术的工作站。但是，其他本技术领域的技术人员所知的数据处理机也可以使用。在该实施例中，EPM服务器210可能是一台独立的通过网络从任何外部资源接收数据的服务器。网络205最好是基于TCP/IP的网络，而且是互连网的一部分，但是也可能是，例如一个局域网，Virtual Private Network，一个无线网，和/或任何其他类型的，本技术领域的技术人员已知的计算机网络。

EPM服务器210产生一包括前述的摘要，暂时性印记和数字签名的EPM数据结构240。在该EPM数据结构240产生后，EPM服务器210将通常通过网络205将EPM数据结构连同电子信息一起传给接收者130，或者，发送者110也可以只将EPM数据结构240通过EPM服务器210传递给接收者130。

图2B是说明本发明的第二个实施例的，其中，发送者110和接收者是同一个实体。发送者110准备一个电子信息并通过前述的方法经网络205将信息数据215和一个电子地址发送到EPM服务器210。但是，在该模式中，发送者电子地址225，而不是接收者电子地址220(未示出)，带有信息数据215。EPM服务器210产生一个第一个实施例中的EPM数据结构，并且将该EPM结构数据返回给发送者110。如果需要，发送者也可以返回一个带有EPM数据结构的信息数据215的拷贝。

图3A示出的是根据本发明的第三种实施例。发送者110可以包括一个用户和一个联网装置。该联网装置通常是个人计算机。其他的联网装置包括，但不局限于，例如，个人数字助理(PDAs)、蜂窝电话、专用网络终端、网络服务器以及其他被本领域内的技术人员所知的电子装置。应注意的是，用于创建电子信息的实体没有必要一定是人。有些电子信息可以被计算机自动产生，并且在预定的时间里被发送给EPM。例如，一家商行可能用计算机程序每月定期自动向客户通过网络发送电子帐单，并且希望由EPM来完成该任务。图3A中的实施例和图2A中的实施例类似，只是客户实体310和320分别在发送者110和EPM服务器210之间，以及接收者130和EPM服务器210之间，具体地讲，客户实体310和320为EPM服务器210提供保护，用来抵御那些让EPM服务器210接受并且提供标准格式的数据的未经授权的接入和程序数据。

再参照图3A，发送者110提交一份电子信息形式的要求获得EPM的请求给发送客户端310。发送客户端310可能是一单独的数据处理机，例如，一台个人计算机或是台运行Windows NT作为操作系统的基于英特尔技术的工作站。作为选择，发送客户端310也可能是贮存在发送者110的网络装置内部的一个软件模式集成。在发送客户端310是一独立的机器时，它将通过网络205来接收要求EPM的请求。发送客户端310接收到发送者110的请求后，它将处理该请求(处理方式将在下面进一步祥述)，并且将结果通过安全的网络305传送给EPM服务器210。如果发送客户端310离EPM服务器210很近，该安全网络305，可以是一个使用TCP/IP的局域网(LAN)，或是其他被本领域的技术人员所知的网络协议。如果发送客户端310离EPM服务器210不近，该安全网络305，可以是一个连接在国际互连网上的Virtual PrivateNetwork(VPN)。虽然在图3A中只示出了一个EPM服务器210，多服务器可以被使用以提供额外的可靠性。在该实施例中，EPM服务器在一个安全的环境里运行，该环境不带有不安全的外部网络连接，例如国际互连网连接。

进一步参考图3A，一旦EPM服务器210从发送客户端310处收到该被处理的请求，它会产生一个EPM数据结构，并将该结构和接收者电子地址一起通过安全网络305发送给接收客户端320。接收客户端320可能是一单独的与EPM服务器210有任何距离的数据处理机。和发送客户端310一样，它可能是一台，例如，个人计算机，或是台运行Windows NT作为操作系统的基于英特尔技术的工作站。作为选择，接收客户端可以是贮存在接收者130内部的一个软件模块。如果接收客户端320是一独立的数据处理机时，它将通过网络205向接收者130传送EPM数据结构。接收者130可以包括一个用户和数据处理机，如同前面对于发送者110的说明，或是一台计算机，来只用于自动处理收到的EPMs。一旦接收到EPM数据结构，接收者130会鉴别EPM数据结构和签署人的身份(该EPM服务器210)，并且，如果能够得到相应地电子信息，也会见鉴别电子信息本身。该鉴别过程会发生在接收者130的数据处理机，或是由独立的数据处理机来执行。

为了能够适当地鉴别接收到的EPM数据结构，一个数据处理机通常包括四部分：一个确认应用软件，EPM数据结构，电子信息，以及被授权的公共电子密钥。EPM服务器210使用一数字签名运算法则来对EPM数据结构进行数字签署。该数字签名是基于公共和个人数字密钥对的。数字证明许可使用这些产生并确认该数字签名的密钥对。该密钥许可过程是由出具数字证明的Key Signing Authority(KSA)或Certificate Authority(CA)来完成的。这些不与EPM服务器210直接连接的独立的第三方系统，是被信任的。该KSA在9/30/99提交的美国申请NO.60/157,168中有论述，该CA在3/17/2000提交的美国申请NO.60/189,983中有论述，其中的内容通过引用结合到本文中。该被授权的公共数字密钥可能存在于接收者130个人所有的物理介质中，或是嵌入在EPM数据结构自身的确认软件里面。

该确认应用软件执行3个确认步骤。第一步确认EPM数据结构是“官方的”；也就是，由一个被授权的实体，比如USPS产生的。它通过检查用于产生该数字签名的与公共数字密钥有关联的数字证明来进行确认。当该确认完成后，接收者130会证明该EPM数据结构是由官方的EPM实体产生的。

第二步确认是确认EPM服务器210的身份。该用于签署EPM数据结构的数字签名是通过使用被授权的公共数字密钥来确认的。当该确认成功后，接收者130已经证明该EPM数据结构是由特定的被授权的服务器(例如，该已知的EPM服务器210)，并且从EPM数据结构产生到到达接收者130的这段时间内发生的对于EPM数据结构的内容的更改，能够被发现。这有效地鉴别了EPM数据结构内部的摘要和暂时性印记。

第三个确认步骤是确认电子信息的内容。确认应用软件是通过对比EPM数据结构包含的信息摘要和确认应用软件用电子信息自身产生的摘要来执行此步骤的。如果这两个摘要是一样的，接收者130证明从EPM数据结构产生到到达接收者130的这段时间内EPM数据结构的内容没有被更改。

数字签名和电子信息确认的功能，能够被集成到可以从国际互连网上下载的独立平台的确认软件里。例如，这种软件可以是由Java程序开发的在诸如之类的网络浏览器中使用的，或是被集成在一个电子邮件应用软件比如Outlook该确认应用软件也可以是一种独立的软件应用程序，例如，独立的基于Window的确认功能。该确认应用软件能够使用标准的Application ProgrammingInterface(APIs)，以一种方便的方式来为软件开发人员提供鉴别功能。

图3B示出了根据本发明的第四种实施例。该实施例与图3A中的实施例一样，只不过发送客户端310和接收客户端320在同一个数据处理机上执行，或是在例如，位于发送者110的联网装置里面的同一个软件模式集成中执行。在它们处于同一数据处理机的情况下，发送者110通过网络205以电子信息的形式向发送/接收客户端310提交一个请求。发送者/接收客户端310接收并处理该请求，并将结果通过安全网络305传送给EPM服务器210。EPM服务器210产生一个EPM数据结构并将该EPM数据结构和该发送者110的电子地址一起通过安全网络305返回给发送/接收客户端310。EPM数据结构随后被返回给发送者110。EPM服务器210也可以返回该电子信息的拷贝以及EPM数据结构。在本实施例中的组成部分间的详细的数据传递将在下面关于图4B的说明中进行描述。

图3C示出了根据本发明的第五种实施例。该实施例是图3A和图3B中的实施例的混合。在此，发送者110通过网络205以电子信息的形式向发送/接收客户端310提交一个请求。在本实施例中，是一台独立的数据处理机。发送/接收客户端310接收并处理该请求，并将结果通过安全网络305传送给EPM服务器210。EPM服务器210产生一个EPM数据结构并将该EPM数据结构和该发送者110的电子地址一起通过安全网络305返回给发送/接收客户端310。发送/接收客户端310随后将该信息和EPM数据结构通过网络205传给接收者130。在本实施例中的组成部分间的详细的数据传递将在下面关于图4C的说明中进行描述。

图4A说明了图3A中的实施例的数据流。发送者110产生一个可能是任一种形式的包含有信息数据215的电子信息。例如，信息数据215可能是明码通信报文ASCII文件或是加密的ASCII文件，一个原始的二进位文件，或是一个被base64，或是被其他本领域的技术人员所知的二进位到文本的编码方法进行了文本编码的二进制文件。

信息数据215和接收者电子地址220被捆绑在一起。如果发送客户端310驻存在一个独立的数据处理机内，那么该捆绑将通过网络205发送到发送客户端310。否则，如果发送客户端310作为一个驻存在发送者110的联网装置里的软件模式集成存在，信息数据215以及接收者电子地址220将通过安全网络305发送。信息数据215以及接收者电子地址220通常使用电子邮件程序来发送，例如在发送者110的计算机上运行的Outlook Express。但是，其他类型的文件传送程序使用不同的传送工具，例如WinFTP也可能被使用。

发送者310使用单向散列函数根据信息数据215产生一个散列值420。如本领域内的技术人员所知，一个单向散列函数通常根据输入数据产生一个实质上比输入数据自己要小的散列值。该散列值是由一个运算法则产生的，因此由两个不同的数据流产生相同的散列值的可能性非常小；实际上，小到了该散列值被认为对于该输入数据是唯一的。该单向散列函数不能颠倒；该输入数据自己不能够从相应的散列值中恢复。散列值420因此是与信息数据215一一对应的。

发送客户端310将散列值420和接收者电子地址220整合在一起，并通过网络305发送给EPM服务器210。作为选择，信息数据215可以一起被传送。一个时间印记和/或一个数据印记被EPM服务器210产生并和散列值420捆绑在一起。EPM服务器210然后用本领域的技术人员所知的一个数字签名标准运算法则产生一个数字签名。随后将该数字签名加在被捆绑的数据上，从而形成EPM数据结构240。另外的将在下面被进一步详细描述的标记性数据，也可能包括在EPM数据结构240中。

接收客户端320通过安全网络305由EPM服务器210接收EPM数据结构240和接收者电子地址220。接收客户端320用接收者电子地址220发送EPM数据结构240给接收者130。如果接收客户端320是一单独的数据处理机，它可以使用网络205来传送。如果接收客户端320是一软件模式集成，例如是包括在接收者130中的，它通常使用安全网络305来传送。作为选择，如果发送者110决定从EPM服务器210来传送信息数据215，接收者130可能也从接收客户端320接收和EPM数据结构一起的信息数据215本身。注意，可供选择的数据流程在图4A中用虚线块中示出。

图4B描述的是图3B中实施例的数据流程。从发送者110到EPM服务器210的数据流程和图4A中描述的一样。在该实施例中，EPM服务器210通过网络305返回EPM数据结构240以及接收者电子地址220给发送者/接收客户端310，在此，该接收者电子地址是发送者110的电子地址。发送者/接收客户端310通过使用接收者电子地址220由网络205把EPM数据结构发给发送者110。

与图4A示出实施例的数据流程类似。如果发送者要求，信息数据215自己的拷贝，可以连同EPM数据结构240一起，被返回给发送者110。在该例子中，信息数据215可能取道EPM服务器210。另一个选择是，把EPM数据结构240和信息数据215在发送/接收客户端310处进行结合，因此避免了传送信息数据215到EPM服务器210。注意，这些可供选择的数据流程在图4B中用虚线块示出。

图4C描述的是图3C中实施例的数据流程。从发送者110到发送/接收客户端310的数据流程和图4A中描述的一样。在该实施例中，发送/接收客户端310将散列值420和接收者地址220传给EMP服务器210。EPM服务器210产生一个EPM数据结构240并将该数据结构和该接收者电子地址220的电子地址一起通过安全网络305返回给发送/接收客户端310。发送/接收客户端310通过使用接收者电子地址220由网络205把EPM数据结构240和信息数据215发给接收者130。EPM数据结构240和信息数据215通常是由网络205来发送的。

图5A示出了负责图3A的实施例中的发送客户端310，EPM服务器210以及接收人客户320之间交互的软件模块。这些模块包括用于在数据处理机上执行的软件程序的集成。该发送客户端包括两个主要的模块，前端模块510和客户代理模块520。前端模块510通过网络205接收要求产生EPM的请求。客户代理模块520包括一网络客户模块530并且呈现一个分类界面，最好是在里面写入由前端模块建立的，但不局限于C++的用来处理为给定的信息数据内容要求EPM而提交的请求。客户代理模块520使用包括在网络客户模块530中的网络服务来发送EPM交易要求和相关的数据给EPM服务器210。最好是，网络服务使用TCP/IP标准，但是，该发明并不局限于任何网络协议。网络客户模块530通过安全网络305传送交易要求给EPM服务器210，在那里排队进行随后的处理。

EPM服务器210产生一个响应请求的EPM数据结构204，并且把它放在外出的队列里面，和任何通过安全网络305传送给接收客户端320的数据联接在一起。接收客户端320也包括一个网络客户模块540，用来接收EPM数据结构240和接收者电子地址220，并且通过客户代理模块550传给前端模块560。前端模块560通过网络205把EPM数据结构240和有关的数据发送给接收者130。

图5B示出了负责图3B的实施例中客户间交互的软件模块。图5B中，前端模块510，客户代理模块520和网络客户模块530执行的功能和图5A中相同标号的模块以及前面描述的模块相同。另外，前端模块510，客户代理模块520和网络客户模块530也执行着图5A中示出的和前述的前端模块560，客户代理模块550和网络客户模块540的功能。

图6示出了EPM服务器210的硬件和软件组成部分。EPM服务器210提供一个可信的并且可靠的用于电子信息鉴别的服务。EPM服务器210因此用目前保护象USPS这样的官方单位的法律机制来保护电子信息。EPM服务器210因此最好是被设计，组建，和运行为一被官方单位或是官方单位的委托方完全控制的环境内部的安全计算机系统。

EPM服务器210最好包括一完整的多线服务器，来接收来自外部资源的事务，产生EPM数据结构240，并发送EPM数据结构240给该提出请求的实体。EPM服务器210一旦收到发送客户端310的连接，就会产生一条执行所有与发送客户端310的通信功能的新线。当发送客户端310发送一个请求，该新线会收集所有来自发送客户端310的请求，并把它放在一个输入队列里面。当与产生真正的EPM相关联的线落在该输入队列中的请求上时，它会给该请求标上“正在处理”，并且进行处理，产生一个EPM数据结构240。如图3A中的实施例所示，一旦EPM产生的过程结束，EPM数据结构240会被放在外出的队列里等待接收者320拾取。如图3B和3C中的实施例所示，EPM数据结构240也可以会被发送者/接收客户端310取走。

网络服务模块550包括一个TCP/IP模块610和一个事务处理器模块615。注意，本发明不局限于使用TCP/IP，但是这种标准是最理想的网络协议。事务处理器模块615使用TCP/IP模块610的服务，从而处理来自发送客户端310的请求信息。事务处理器模块615收到每一个进来的EPM请求并且发送到一EPM模块620进行盖邮戳的处理过程。当EPM模块620把产生的EPM数据结构240返回时，事务处理器模块615把EPM数据结构240按照进入的请求，发送给发送者110或接收者130。

EPM模块620使用时间模块625的服务来获得给EPM的高准确性的时间印记。除了时间和日期信息外，EPM模块620可能会收集其他数据项，包括来自一注册系统660的标记数据。包括关于整合或是组织用于操作EPM服务器210的实体的信息的标记数据，可以是文本或是映象数据的形式。这种数据可以表达名称，标语，标识或其他辨识信息的形式，并且可以和散列值420和暂时性印记包括在一起。

来自加密界面模块640的服务被用于产生基于该散列值和暂时性印记的数字签名，从而产生EPM数据结构240。当该EPM操作被认为完成后，EPM模块620使用一个日志模块665来产生一个进入包括所产生的每一个EPM数据结构240的日志文件667的入口。日志文件667能够被用来审查和记帐目的，并且提供一个给定的EPM数据结构240被产生的合法证明。该日志文件在审查过程中非常重要，整个日志文件自身被用作用于产生日志文件EPM数据结构240的输入数据，从而保证了它的完整性。该日志文件EPM数据结构可能根据许多标准来被自动产生，这些标准包括日志文件667的大小或日志文件EPMs间固定的时间间隔。该操作也可以由EPM服务器210按操作员的命令手工完成。

一个或多个硬件时钟635被用来获得并保持准确的并可信的时间信息。时间值通常由与Greenwich Mean Time一致的Universal TimeCoordinated(UTC)来产生并储存。仅举个例子，一个有UTC精确到毫秒的精确度的带有GPS(全球定位系统)的Ture Time的PCI-SGSynchronized Clock Generator型产品，可以通过商业途径从Ture Time,Inc.Of Santa Rosas,CA.获得。一个时间管理器图形用户界面(GUI)模块630允许操作者设置和预制时间印记信息，带有硬件时钟635的同步时间模块625，以及从硬件时钟635来通过视觉查看时间的正确性。

加密图形界面模块640使用一个或多个硬件加密装置645来执行数字签名的产生和确认，密钥的产生以及散列函数。硬件加密装置645能够支持多个编密钥的运算法则。仅举个例子，一张能够从CompaqCorporation of Houston,Texas通过商业途径获得的AttallaWebsafe/PCI卡可被用于加密装置645。此外，带有可选项Elliptic CurveDSA的Digital Signature Algorithm(DSA)可以被用于数字签名运算法则。而且，EPM服务器210产生Digital Signature Standard(DSS)密钥并使用Secure Hash Standard FIPS180-1，以及DSS FIPS186。所有这些例子只是用于说明，对本发明无限制意义。

为了允许产生新的数字密钥对供EPM服务器210使用，输出未授权的公共数字密钥，加密图形界面模块640是由密钥管理者GUI650控制的。密钥管理者GUI允许EPM安全员为了一个新的密钥对而选择一个地方存储将未授权的公共数字密钥。当一个新对被产生后，该对中未授权的公共数字密钥被发送到KSA或CA，以便将其变为一个被授权的公共数字密钥。该密钥对中的专用密钥被储存在EPM服务器210内部，而且通常是不输出的。该未经受权的公共数字密钥通过，例如，由被许可的人进行的实际的物理转送或使用加密技术的网络来传给KSA或CA。最终被授权的数字密钥可以被存储在EPM服务器内部，用于被包含在数字签名里面，也可以嵌入到驻存在负责数字签名鉴别的数据处理机的确认应用软件里面，还可以被放在由接收者130保存的物理介质里面。

EPM服务器210支持一个配置管理器GUI665，用来允许EPM服务器210系统参数在初始化和启动时被设定。该GUI以后也被用来更新运行着的EPM服务器的参数。这些系统参数被存储在系统注册660中的存取值所改变。

图7示出了对应发送者310，EPM服务器210和接收者320的组成部分的详细方块图。发送者310包括一个存储有指令的固态存储器710，指令是由总线715传来的让CPU725来执行的。存储器710包括一个操作系统711，例如Windows^TMNT4.0工作站或Unix客户机。存储器710还包括前端模块510，客户代理模块520和网络客户模块530。这些模块的指令被包括在大容量存储器720中，并在发送客户端310的初始阶段被整体或部分的载入到存储器710中。连接在总线715上的还有用户的输入装置界面730和用户输出装置界面735。发送客户端310通过网络装置界面740在网络205和安全网络305上通信。

接收客户端320可能与发送客户端310有着同样的配置。存储器791将包括操作系统792，前端模块560，客户代理模块550和网络客户模块540。每一个模块如它在发送者存储器710内的副本一样，包括相同的功能。

EPM服务器210包括一个固态存储器747，该存储器存储有通过总线754传来的由CPU755执行的指令。存储器747包括一个操作系统748，例如，Windows NT.4.0服务器或Unix。在存储器中也包括网络服务器550，日志模块655，EPM模块620，加密界面模块640，配置管理器GUI665，时间管理器GUI630，以及密钥管理器GUI650。这些指令也被包括在一个大规模存储装置750中，并且在EPM服务器210初始化的阶段被整体或部分的载入到存储器710中。大规模存储装置750还包括一个注册系统660和日志文件667。连接在总线715上的是用户输入装置界面760和用户输出装置765。加密装置645和硬件时钟635也连接在总线754上，从而允许与驻存在存储器747中的适当的软件模块进行通信。EPM服务器210在安全网络305上通过网络装置界面780进行通信。

图8A描述的是产生EPM数据结构240的处理步骤。一个单向散列函数使用信息数据215来产生一摘要，或散列值420。最好是，该单向散列函数由客户发送者310来执行，但是可能会由EPM服务器210产生。散列值420是从时间模块625中与时间和日期印记810捆绑在一起获得的。作为选择，标记信息也能够被包括在该捆绑中，它可以表达如前所述的关于提供EPM服务的机构的信息。此外，一个识别每一个EPM数据结构的唯一值也可以被包括进去。该值能够被用于协助记帐的目的。该散列值，时间和日期印记，标记数据，以及识别器值随后被封存或通过一数字签名被安全处理。

如该技术领域中的技术人员所知，数字签名820可以通过对要被签署的数据首先执行产生安全散列值的例如Secure Hash Standard FIPS180-1的安全散列运算法则来产生。该安全散列值随后使用一数字签名运算法则(DSA)和产生两个数据值的专用密钥来进行处理。这些数据值包括附加在散列值上的数字签名820，，时间数据印记，和形成EPM数据结构的标记数据。

为了使该数字签名生效，必须使用一个与专用密钥唯一成对的公共数字密钥。该技术领域中的技术人员所知的方法，比如The SignatureStandard，可以被用于产生数字签名820。

图8B示出了可供选择的一种形成EPM数据结构240的方法。处理过程和前面的图8A中描述的类似。但是在图8A的方法中，一个被嵌入的经授权的公共数字密钥830和数字签名820一起被包括在内。该方法的优势是在接收者130处不需要为了鉴别数字签名820而要一个密钥。但是，为了保持EPM系统120的安全性，数字密钥830应只能被一次性使用，也就是嵌入的数字密钥830应只能为EPM数据结构240相关联的电子信息来鉴别数字签名。发送到同一接收者130的其它信息应该包括每一个所发送的EPM数据结构240的嵌入的唯一授权数字密钥。

前面的描述是用于说明和解释。它并非要把该发明局限于所详细揭示的形式，与前面的讲解相一致的或是由该发明实施所产生的要求所做的各方面的更改是可以的。该发明的原理和实际应用使得该技术领域的技术人员能够以各种实施例的形式使用该发明，并且能够为了适合特殊的用途而进行各种各样的修改。

Claims

1.一种鉴别电子信息的方法，包括以下步骤：

在事务处理器接收来自发送客户端的(1)鉴别所述电子信息的请求和(2)由所述电子信息求得的散列值；

从所述事务处理器将所述请求和所述散列值发送到电子邮戳模块进行邮戳处理过程；

由所述电子邮戳模块从时间模块获得时间和日期信息；

由所述电子邮戳模块从系统注册获得标记数据；

由加密装置通过加密图形界面模块为所述电子信息产生数字签名；

由加密装置通过加密图形界面模块为接收者产生公共数字密钥；

由密钥管理器图形用户界面为了密钥授权而将所述公共数字密钥输出给密钥鉴别器；

由所述电子邮戳模块创建电子邮戳数据结构，所述电子邮戳数据结构包括所述散列值、所述时间和日期信息、所述标记数据和所述数字签名；

由电子邮戳模块存储该邮戳处理过程的记录，在日志文件中存储所述电子邮戳数据结构并且通过日志模块创建所述日志文件的入口，其中，所述电子邮戳模块和所述日志模块被包括在电子邮戳模块服务器中；

从所述电子邮戳模块把所述电子邮戳数据结构传送给该所述事务处理器；以及

从所述事务处理器将所述电子邮戳数据结构传送到接收客户端。

2.如权利要求1所述的方法，还包括以下步骤：

为所述电子邮戳数据结构从所述密钥鉴别器获得授权的数字密钥，其中，所述接收者能够使用所述授权的数字密钥来确认所述电子邮戳；以及

将所述电子密钥发送到所述接收客户端。

3.如权利要求1所述的方法，其中，所述从时间模块获得时间和日期信息的步骤包括使用至少一个硬件时钟。

4.如权利要求1所述的方法，其中，所述将公共数字密钥输出到密钥鉴别器的步骤包括使用作为密钥签署授权和证明授权之一的密钥鉴别器。

5.如权利要求1所述的方法，还包括以下步骤：

在所述时间模块中通过时间管理器图形用户界面接收所述时间和日期信息的更新。

6.如权利要求1所述的方法，其中，所述从系统注册获得标记数据的步骤包括使用系统注册。

7.如权利要求1所述的方法，还包括以下步骤：

通过配置管理器图形用户界面与所述系统注册对接。

8.如权利要求1所述的方法，还包括以下步骤：

通过所述密钥管理器图形用户界面与所述加密图形界面模块对接。

9.如权利要求1所述的方法，其中，所述接收请求鉴别的请求步骤包括接收所述电子信息。

10.如权利要求1所述的方法，其中，所述将电子邮戳数据结构发送到接收客户端的步骤包括传送所述电子信息。

11.如权利要求1所述的方法，还包括以下步骤：

使用授权的数字密钥确认电子邮戳。