具体实施方式
描述了能使其合法性受到保护的电子文件和书面文件,以及用于保护电子及打印文件合法性的方法、装置、计算机程序产品和系统。在以下描述中,提出了许多细节,包括——比如说——特定的加密技术、水印技术、内容摘要方法及类似细节等。然而对本领域技术人员显而易见的是本发明可无需这些特定细节而实施。在其它例子中,对人所熟知的特点未详加描述,以免使本发明模糊不清。
为便于描述,本发明的各实施例均描述为或称之为“系统”。系统的各组件均描述为模块。模块——特别是模块的功能——可以硬件或软件而实现。在软件意义上,一个模块为一个程序或其一部分,通常完成某特定功能或相关功能。在硬件意义上,一个模块为一个功能性硬件单元,设计来与其它组件和模块一起使用。例如,一个模块可用分立的电子元件来实现,或者它可构成一个完整电子电路——如专用集成电路(ASIC)——的一部分。还有许多其它可能。本领域技术人员会理解,这个系统还可作为硬件与软件模块的组合而得以实现。
为方便并易于参看,描述包括如下部分:
1.系统概述
2.e-Seal及e-Seal组件
3.保护及确认程序
4.产品/服务
1.系统概述
本发明实施例提供了一种综合性的文件合法性保护系统,包括4种经由因特网和/或企业内联网而提供可信的电子及书面文件快速传送的产品/服务,以及确认/公证服务。这些实施例提供了使用电子印章或“e-Seal”以进行电子或打印文件的合法性保护的方法及产品。该e-Seal为文件的个人鉴别的可视表示,包括3种主要成分:1)提供了该人可视标识的可视印章,它可以是一个图像,该图像包含了徽标、真实印章、该人签字或是它们的组合(通过e-Seal,人们立即就知道是何人授权了该文件);2)水印,嵌入印章图像中以保护文件的完整性,水印信息包含由加密操作所保护的文件内容摘要。文件内容的任何改变都会在内容与e-Seal之间产生不连续。为对电子及书面文件二者均提供综合保护,利用了一种新颖的摘要导出算法,该算法为文件的电子及书面版本生成一个类似的摘要;3)由可信的一方控制、以一种特殊打印方法将一种感光成分添加到打印文件的衬页上,以在打印前校验该文件的合法性。这种感光成分保护了原始打印文件,使之免于可能的伪造——例如像通过复印及重复扫描而进行的剪切贴补或复制。有了这种感光成分,即可通过简单或普通可得的设备而可视地完成校验。这3种成分一起,构成了一种既保护电子文件也保护该电子文件的打印副本的综合解决方案。
本发明的实施例包括4种产品/服务,包括可信的文件传送,电子确认/公证,一种电子检验或协商装置,以及由多方所进行的正式文件的签署。这种方法、产品、装置、计算机程序产品系统可应用于不同类型的文件。
本发明实施例提供了保护的3个级别/类型。可视印章提供了低级保护,警告人们该文件是得到授权和保护的。水印提供了安全保护,避免文件内容可能的未经授权的改动。感光成分提供了以简单并且脱机的外观检验,对于打印文件进行有效的保护。
有利的是实施例对用户非常友好。人们可以类似于对普通书面文件的方式来处理电子文件。更有利的是,实施例对电子文件及相应打印版本二者均提供了综合解决方案。这点是重要的,因为一份文件的电子版本及书面版本都有优点,而且在许多实际用途上文件的两种类型都需要。因此对任务为关键的应用而言,综合解决方案为重要优点。
更进一步,这一受控的、可信的打印方法——它在打印前校验文件的合法性并将感光成分添加到打印文件的衬页上——将电子及打印文件联系在一起,有效地使这些文件避免了像屏幕转储或剪切贴补这样的攻击。
2.e-Seal及e-Seal组件
再次说明,相应于本发明实施例的电子印章或称e-Seal包括了一个标识文件的个人鉴别的可视图像。这个e-Seal提供了关于文件完整性的有效并且高效的保护。图1A-1C说明了相应于本发明实施例的一个e-Seal示例。每个e-Seal最好都有3种成分:一个可见的或称印章的图像,一个包含文件内容摘要的水印,以及一种“感光或光敏部分”。
图1A表示一个e-Sea1110,它被附加到、或被包括进电子文件中(未示)。为便于说明,e-Sea1110表示于矩形黑线框中。e-Sea1110包括一个个人签字110A(Jiangkang Wu)的图像,它起到文件签署人的可见标识符的作用。可见印章110A保持为数字图像格式。也可应用个人签字之外的可见图像110A而不背离本发明的范围和精神。例如可见图像110A可为一个文件标题、一个徽标、一个人面图像、一个图解符号以及类似物。对于本领域技术人员,通过在此进行的描述,显然有许许多多的可能性。更进一步,可视图像110A最好以关于可视印章110A所有者的信息而进行水印处理,以保护可视印章110A的所有权。e-Sea1110还包括在签字110A下方、显得类似于噪音条带的水印110B。水印110B传达了文件内容的摘要,以保护文件的完整性。此后将更详细地描述该内容摘要。
图1B表示复制在一份打印文件(未示)上的相应e-Sea1120,同样表示于矩形黑线框内。e-Sea1120包括一个可见印章120A及一个包含了文件内容摘要的水印120B。当复制时,将灰色、“感光或光敏部分”120C附加到打印文件中水印条带的正下方。此步骤用可信的复制程序、在图像复制前完成。可选择将一个序号(即99072002)添加进成分120C区域以标识打印文件。“感光或光敏部分”120C包含了信息,借助于光学信息处理的原理,它可以鉴别出某文件是否是复制件或文件内容是否被更改。图1C表示了一个在原始文件复印件中的e-Sea1130,该原始文件包含图1B的e-Sea1120。图1C中,被复印的e-Sea1120已改变了外观,从而使感光成分120的不可见部分现在复印的e-Sea1130中成为可见的(即Jiangkang Wu的签字)。
2.1可见e-Seal
在本发明实施例中,可将一个可见印章看作一个用户友好界面以及该文件签署者的可见标识。Huttinger,Stephan所著“联机标签(OnlineTicket)”(1999年1月Computer Graphik第11卷,第9-10页)中描述了一种用于文件授权的2维(2-D)条码,该条码为加密信息的易检测编码。条码是打印的二进制编码,它可以非常低的差错率而为条码读出器所检测,但不能由人读取。亦即在文件有一个条码时,如无测试设备,则不知该文件由何人授权,用户也无法确定该条码有效与否。
一项授权,无论是组织的或是个人的,一般都有一个独特的“印章”,该印章可为徽标、签字或类似物。上述的图像为e-Seal的可见印章成分。为保护e-Seal的所有权,最好将一个不可见水印嵌入这个印章图像中。该不可见水印信息包括——但不限于——所有者的名字以及印章的生成日期。其它信息也可包括进印章图像中。如水印程序是不可逆的,其它人就不能伪装所有者。对用于版权保护的图像水印所作讨论见于Cox,Ingemar J.及Miller,Matt L.所著“水印的回顾以及感知建模的重要性(A Review of Watermarking and the Importance ofPerceptual Modeling)”(发表于1997年2月的Proc.Of ElectronicImaging’97)。
印章图像可由所有者利用——比如说——加密而锁定,并储存于某个安全位置。所有者将印章图像解锁而用该印章图像去签署一份文件。对印章图像的存取及解锁可利用密码、智能卡或生物统计学信息而进行。
2.2内容摘要的水印处理
书面文件上的印章及签字可提供该文件合法性的证据,因为书面上的印章及签字的原始性可通过简单的目检而加以校验。对于一份电子文件,使文件内容免于未经授权或非法改动的保护主要通过水印来实现,这个水印被嵌入到e-Seal图像中。水印信息包含文件内容的“摘要”。有两种主要类型的应用要求文件合法性保护:第一种类型的应用为文件由可信的管理机构所发布的那些应用。例子包括政府公告及票据,这些例子中,管理机构或其代理人进行合法性校验。至于信息安全,则由管理机构/密钥发布人及校验人分享安全密钥。
第二种类型的应用为文件在多方之间进行传送的那些应用。例子包括电子法律文件,以及政府或大公司中的正式文件。也许由多人着手这一文件并需要由可信的第三方来发布密钥。
“密钥”一词包括一段或一组信息,借助于该信息,一个报文或设备可通过一个特定操作而从一种状态变换为为另一种状态。例如,一个安全密钥可用于为一个报文加密。还可选择使用一组本征面容,该本征面容为一个映射到一小段特征向量的面容图像。更进一步,可将水印信息以秘密地址嵌入一个图像。以上3例中,安全密钥、本征面容以及嵌入地址均可称为“密钥”并且均仅用于说明。本领域技术人员会意识到还存在许许多多其它可能的密钥。
2.2.1文件内容
本发明实施例需求保护文件、免遭可能的窜改和/或未经授权的使用。因此,在保护程序中定义文件内容具有突出的重要性——尤其是对那些由多人所签署的文件来说。
基本上,文件内容指所有签署(即将一个e-Seal加到文件上)时包含在文件中的信息,包括布局和格式。对有多签署人的文件,内容定义为相应于特定签署人的内容。第一个例子为文件由两方签署的情况。在第一回合,两方签署一份普通的文件,该文件为一个合同的两份副本之一。合同内容即为文件内容。在第二回合,各方签署已为另一方所签署过的另一份文件。在此情况下,文件内容包括了另一方的签字。图2表示第二个例子,以三签署人示例、相应于文件的一个特定签署人而说明内容定义的概念。文件200包含由第一个人所着手和签署、并发送给第二个人的最初内容222。第二个人签署这份文件并将其发送给第三个人。对第一个人,所看到的文件200的内容222是包含在原始文件中的全部信息,如框222所示。在第二个人签署文件200时,相应于此人的文件200应包括原始文件200的内容222、第一个人的签字224以及第二个人对文件的附加部分226(如注释)。对于第三个人,文件200的内容230包括原始文件222、第一个人(224)及第二个人的签字、第二个人226以及第三个人(236)对文件的附加部分。注意,个人签字以e-Seal来实施。可正式地将此写为:
其中Cn为第n个人签署时文件的内容,Si-1为前一个签署人的签字,第一个签署人顺序编号为0,δi为第i个签署人对文件的附加部分。
本发明实施例中,当文件被一个人签署时,文件内容的摘要即被嵌入到其人的e-Seal内。
当下一个人签署文件时,如果文件内容摘要仍包括原始文件即为多余了。这种多余的产生起因于原始文件内容的摘要存在于所有签署人的所有e-Seal中。
为保持连续性,当一个人签署文件时,其人即对照所有已有的签字、从第一个到最后一个,校验该文件的合法性。另一个可选方法是当一个人签署文件时,仅将最后一个e-Seal的摘要和其人对文件的附加部分嵌入。亦即,第一个签署人的内容为C0,后续签署人i的内容为:Si-1+δi。出于以下理由,这样安全而且更为简单:
1).最后一个e-Seal带有签署时文件的内容摘要,并因此而带有所有形成了保护链的e-Seal。断开该链的任何部分都会导致鉴别失败。
2).对第i个签署人而言,内容摘要可写为:
其中e-Seal包括两部分。一部分为e-Seal图像,另一部分为相应于该e-Seal的内容摘要,这一摘要以水印格式而编码。这个公式可重复写下去,直到第一个签署人为止,于是即可得知相应于第i个签署人、包含了在此人签署时文件所有内容的“签字”的文件摘要。
3).由于相应于每个e-Seal的摘要是不同的,依照文件签署的顺序,即不会有混淆。另一方面,人们倾向于将e-Seal置于靠近其对文件附加部分的位置。这是签署顺序的另一提示。
2.2.2文件的“摘要”
本发明实施例对文件的电子及打印书面版本均有效。文件内容的“摘要”能够容易地既从文件的电子、又从其书面版本导出,并且导出的摘要相同或相当类似。文件内容的“摘要”可定义为文件的压缩描述,具有足够小的尺寸,使得该摘要可被嵌入e-Seal图像中。对于摘要生成功能,有两种重要的所需特性。第一,摘要必须对内容变化敏感,包括也许是相当微小的变化。第二,摘要最好对空间位置敏感,从而使变化的位置也可被检测到。
有许多可用方法,用以从电子以及书面格式的文件导出摘要。摘要可正式地表示为“摘要=M(内容)”,或“摘要=M(密钥,内容)”,其中M表示映射操作而“密钥”为发布者与校验者之间共享的一个秘密值。下面给出的是摘要技术的若干例子,但对本领域技术人员而言,显然鉴于本描述可应用其它方法而不偏离本发明的范围及精神。这些例子包括:
1).在密码技术中,可使用一种安全散列算法而生成报文摘要。对于一个128位长的摘要,在找到两个具有相同摘要的报文之前,必须尝试大约2128个报文。C.Kaufman,R.Perlman及M.Speciner所著“在开放社会中的网络安全及保密通信(Network Security,PrivateCommunication in a Public World)”(PTR Prentice Hall,EnglewoodCriffs,New Jersey于1995出版)中描述了这种安全散列算法的细节。所以找到两个具有相同摘要的报文是做不到的。显然,密码摘要适用于电子多媒体文件,其中文件Is内容是数字的,对于“相同”以及“不同”有着明确分界。密码摘要也可应用于具有文本内容的文件,其中光学字符识别(OCR)很好地将书面文件变换为电子格式。为生成“地址依赖型”摘要,可将文本分为若干块,对每个块生成一个小尺寸摘要。最终摘要集成了所有这些小尺寸摘要。
安全散列算法为一种伪随机映射操作。内容中单独一个位错误即会导致各摘要之间的大区别。因此,文件内容在传输、储存以及格式变换期间必须是无错误的。
2).文件的简单摘要(例如等级确认)可通过若干关键文件项目——包括收件人、学校名、等级名以及日期——的选择而导出。同样,对电子及书面确认二者加以校验的一个简单方法为手动输入这些项目。
3).图片内容相比于文本具有不同格式。文本的表示是精确的。文本内容中1位的改变即会导致文本的差别,而且还可能导致意义的变化。另一方面,图片的判读并不精确。例如,面部图像的内容即使在图像数据从每像素8位减为每像素4位时也不会变化。因此,可使用“特征指标”来表示一个图片的内容。将特征指标从一幅图片中抽取出来以捕获该图像的大部分突出特征。用于面部图像的特征指标的典型例子是本征面容。A.Pentland所著“用于识别的本征面容(Eigenface for recognition)”(登载于1997的Journal of Cognitive Neuroscience第3卷,第59-70页)提供了关于这一专题的详细资料。其它例子包括傅立叶描述符、投影以及矢量化(VQ)表示法。R.C.Gonzalez和R.E.Woods所著“数字图像处理(Digital Image Processing)”(Addison-Wesley PublishingCompany,Reading于1993年出版)中描述了这些方法。由于特征指标捕获了图片的突出特征,打印及扫描程序不会导致这一指标的很大变化。所以,改变的检测即可在电子文件与相应的打印版本之间、使用预定的阈值而进行。特征指标既可以电子格式、也可以书面格式而用于图片的摘要,还可以光栅格式而用于其它非图片数据。
本征面容与VQ,每个都可被认为是键入的映射操作。本征面容与VQ字典为用于映射的键。本征面容与VQ依照用途而改变,并有许多选择。
4).可将特征指标概念延伸以导出摘要,用于某种非光栅数据格式(例如用于图形及种类的符号表示法或用于文本及表格的字典基表示法)。例如,假定某个医生对病人进行一次医疗检查。由于有典型的病例/种类以及标准描述,可将这些种类进行编码,随后使用编码号来创建一个用于医疗检查文件的摘要。
2.2.3一种基于块方式编码技术的摘要导出方法
本发明实施例中,提出了一种有效的摘要导出方法,以基于图像块方式(block-wise)编码技术而加以使用。J.K.Wu和R.E.Burge所著“用于图像压缩的自适应位分配(Adaptive Bit Allocation for ImageCompression)”(发表于于1982年Computer Graphics and ImageProcessing第19卷,第392-400页)对这种方法作了详细描写。使用这一方法的优点是该方法对电子及书面文件二者均有效,并且该方法既可检测变化的数量、也可检测变化的位置。
假设文件为光栅格式。亦即电子文件被变换为光栅数据格式,书面文件被扫描为光栅数据格式,文件的多页被拼接为一个光栅图像。该方法包括以下步骤:
·步骤1:选择大致的块尺寸。原则上块可为任意形状及尺寸。但通常将块选择为矩形形状。该矩形尺寸可为4×4、8×8、16×16或32×32像素——依文件图像尺寸、要嵌入的e-Seal尺寸以及所要求的保护精确度而定。
·步骤2:将每个块都归为若干预定类别中的一类。这一分类使用原始块数据或从块中抽取的指标、以空间域或变换域而进行。例如,如采用矢量化方法,则块必须与一个预定的码本相对应。可将这也视为分类。对于变换域方法的情况,首先将各块变换为余弦变换域。对于各域可导出纹理能量、方向性、细密度以及分散指标。利用这4项指标,可将块分类为——比方说——16类中的一类(16仅仅为说明,可实际应用或多或少的种类)。例如,如在余弦变换域中的块数据被表示为F(u,v)或F(r,θ),则这4项指标可定义如下:
·步骤3:将文件摘要确定为或构成为类别标号的一个数组。
其中
·步骤4:对于要校验的文件,将文件图像进行同样处理,使用与步骤2中同样的种类参数(或码本)来导出摘要。导出的摘要与嵌入的摘要相对照。块的类别标号变化表示在这些块中已发生了修改。
分类定义(或码本确定)是这一方法的一个重要方面,可对一单一的文件或一组文件进行定义。如将块以空间域定义,分类定义就类似于以矢量化定义一个码本。例如,考虑一个余弦变换域中的分类定义如下:
·步骤1:选择合适的块尺寸。收集文件图像,这些文件图像可代表要对之应用分类定义的这组文件。
·步骤2:对所有文件图像,将各块变换为余弦变换域并抽取代表这些块的特征的指标。
·步骤3:相应于用途的修改容限而决定种类n_cls的数量:种类越多,则可容许的修改即越小。
·步骤4:使用一种聚类算法(如K-Mean)将所有的块聚类为n_cls簇。
·步骤5:对于给定文件图像数据集合进行分类定义,该数据集合由簇中心以及簇标号组成。
2.2.4摘要及密钥管理的鉴别保护
如上所述,文件内容的摘要以水印格式而被嵌入到e-Seal中。这个水印用于校验文件内容的真实性。为此目的,在摘要被嵌入水印之前通过加密手段而保护摘要的真实性。对加密概念及术语的描述见于Afred J.Menezes,Paul C.van Oorschot以及Scott A.Vanstone所著“应用加密技术手册(Handbook ofApplied Cryptography)”,1996年由CRCPress出版。
以下提出三种技术A),B)和C):
A)可使用摘要的真实性保护,这种摘要的真实性保护应用了对称密钥。s为发布者及校验者之间的共享密钥。同样,E(s,摘要)表示在密钥s下摘要的加密,而D(s,密码文本)为密钥s下密码文本的解密。
由发布者所完成的操作包括:
i)根据文件内容计算摘要:摘要=M(内容);
ii)在密钥下加密这个摘要:密码文本=E(s,摘要);
iii)将该摘要嵌入水印。
由校验者所完成的操作包括:
i)从水印中析取密码文本并将这一析取的密码文本表示为密码文本′;
ii)在共享密码下解密该析取的密码文本:摘要′=D(s,密码文本′);
iii)根据文件内容、内容″而计算摘要、摘要″:摘要″=M(内容″);
iv)将摘要′与摘要″加以比较,如果摘要′与摘要″之间的“距离”在预定阈值以内,将该文件作为真实的加以接受;否则拒绝该文件。
B)可使用报文鉴别校验(MAC)来提供对一份文件内容摘要的真实性保护。令s为发布者与校验者之间共享的密钥。一份文件内容摘要的MAC即定义为MAC=H(s,摘要),这里H( )为一个单向散列函数。
由发布者所完成的操作包括:
i)计算文件内容的摘要:摘要=M(内容);
ii)计算摘要的MAC:MAC=H(s,摘要);
iii)将MAC嵌入水印。
由校验者所完成的操作包括:
i)从水印中析取MAC并将其表示为MAC′;
ii)根据文件内容计算摘要:摘要″=M(内容″);
iii)计算MAC″=H(s,摘要″);
iv)将MAC′与MAC″加以比较,如果二者相等,将该文件作为真实的加以接受;否则拒绝该文件。
C)可使用数字签名来提供对摘要的真实性保护,s和p为发布者的私有密钥与公开密钥对,用于某给定的数字签名模式。在一份文件摘要上,发布者的数字签名可表示为SIG=S(s,摘要)。有两种类型的数字签名模式——带有附录的数字签名模式以及带有报文恢复的数字签名模式。在无损于通用性的情况下,以下描述中假定了后一种类型的数字签名模式。这类模式的例子为RSA,Rabin以及Nyberg-Rueppel。对于本领域技术人员而言,对前一种类型数字签名模式的归纳是简单易明的,假定校验者以一种可靠的方式取得发布者的公开密钥。
由发布者所完成的操作包括:
i)根据文件内容计算摘要:摘要=M(内容);
ii)计算摘要的数字签名:SIG=S(s,摘要);
iii)将SIG嵌入水印。
由校验者所完成的操作包括:
i)从水印中析取数字签名并将其表示为SIG′;
ii)使用发布者的公开密钥、根据SIG′而恢复摘要:摘要′=R(p,SIG′),这里R( )为数字签名模式的报文恢复函数;
iii)根据文件内容计算摘要:摘要″=M(内容″);
iv)将摘要′与摘要″加以比较,如果摘要′与摘要″之间的“距离”处于预定阈值之内,将该文件作为真实的加以接受;否则拒绝该文件。
注意方法A)和B)适用于发布者与校验者彼此信任的情况,而方法C)可用于发布者与校验者彼此不信任的情况。
在水印嵌入(例如地址和参数)及摘要导出(本征面容……)中所使用的密钥由管理机构所生成并存储在文件的文件中。
2.2.5水印嵌入
与涉及版权保护的情况不同,人们通常并不试图从e-Seal中消除水印,因为人们需要以此来提供确立文件原始性的证据。于是不可见性和耐用性就不是主要问题。因此,空间域嵌入方法与频谱域技术相比,即更为可取。空间域方法简单并有大容量。
有许多种可能的水印技术可应用于相应本发明实施例的文件内容摘要嵌入。M.D.Swanson,M.Kobayashi和A.H.Tewfik所著“多媒体数据嵌入及水印技术(Multimedia Data Embedding and WatermarkingTechnologies)”(发表于1998年6月的Proc.Of the IEEE第86卷No.6第1064-1087页)提供了对水印技术的回顾。
为用于文件鉴别的水印嵌入技术所需的特点为:
1)用以储存文件摘要的大容量,这一容量的大小根据实际应用而有所不同;
2)能够经受打印—重复扫描处理,这种处理是书面文本校验的必需步骤。
本发明的实施例可使用示于图3的一种简单技术——但不限于此。摘要300B被嵌入到e-Sea1300A的一个区域中。水印区域300B的部分边界是原始图像内容300的边界。300B的边界被记录于文件文件中,以便利校验程序中的水印析取。这一边界是“与内容相关的”,并使水印300B与印章图像300A紧密地结合。原则上水印区域300B根据实际应用需要而可具有任意形状并处在任意位置——只要这一水印区域不影响主要图像内容300A的识别。
此方法中,将摘要300B作为图3中HSV彩色空间里S成分的二进制调制而进行编码。对其它成分、或在其它彩色空间里的其它可能的调制也是有效的。为减少差错率可使用纠错码,或者以更多像素为摘要编码,只要扫描器的分辨率足够高,恢复信息即无问题。
2.3光敏成分
可见e-Seal向人们提供了关于文件合法性保护的直接警告。与可见印章相接合,光敏成分为打印文件提供了安全保护以及简易的校验,这种校验通过像特殊透镜或包括复印机在内的普通现有设备这样的标准光学设备而进行。
本发明的实施例中可应用任意大数量的光敏成分。优选地可使用两种方法中的一种,用于将光敏成分嵌入文件中:
1)直接将某些确定的成分嵌入文件的内容中。通过在频域检测某些“洞”,可将这些成分嵌入这些洞中并于其后通过一种光学透镜来加以检测,这种光学透镜经特别设计来对应文件的这一特定类别。
2)可将文件的可见成分加以调制,使得文件对于沿预定方向、通过增加分辨率或改变文件色彩而进行的某种特定光照扫描敏感。在此情况下,检测器可以是一台普通现有复印机或扫描器。
2.4文件结构
图4描述了一份单页文件400的布局,包括一个内容区域420和两个e-Seal部分:徽标410及签字430(并且优选为一个序号)。内容区域420可进一步再分为若干区域,其中每个区域包含不同的媒体,例如文本,图形,表格和/或图像。
2.4.1用于简易定位的地界标志或框架
可附加框架(frame)410、420、430,以用作内容420及e-Seal区域410、430的简易定位的地界标志(landmark)。可使用其它形式的地界标志取代框架而并不偏离本发明的范围及精神。
2.4.2e-Seal的多个部分
一个e-Seac可有多部分。一个典型例子即为一份正式文件430,它包括两部分:正式文件页眉410以及一个组织的签字和/或印章430。文件页眉410可包含该组织的名称和徽标。文件的类别和序号通常也在靠近页眉的地方打印出来,但这优选为内容420的一部分。可见信息作为水印嵌入到徽标图像410中,用于保护。一般来说,要成为有效文件的书面文件必须既包含页眉,也包含一个或多个签名。显然最理想的是e-Seal中的所有图像都经过水印处理来保护所有权,不过并非必须如此。
2.4.3多页
对于一份多页文件,可将e-印章插进每一页。优选将页号(编号成当前号——总号)包括到文件中并视作文件内容的一部分。
2.4.4授权文件的文件
对每份授权文件创建并储存一个包含必需信息的文件,用于进一步的引用。包含在文件中的信息包括用于摘要和/或嵌入的真实性保护的密钥,e-Seal的大小,用于光敏成分的参数,签署人的名字,等等。该文件由某个管理机构或可信的第三方来储存。校验程序可访问该文件。
3.保护和校验程序
3.1电子文件签署程序
图5说明了为相应于本发明第一实施例的一份电子文件所进行的保护程序。在某个人启动了文件签署程序后,此人就需要使用密码或生物统计学信息(指纹,面容等)来为其e-Seal534解锁。对于具有单一签署人的一份给定电子文件而言,不对这份电子文件或称E-文件512使用用于先前e-Seal检验的校验模块510,文件内容的摘要由摘要生成模块520生成——可带有密钥,也可不带有密钥。如有必要,取得一个密钥来对该摘要加密。地址和参数作为密钥532而选定,提供给水印嵌入模块530,从而将摘要(以及水印嵌入时间)作为一个水印而嵌入e-Seal图像534并供e-文件文件542鉴别之用。可附加用于e-Seal和内容简易定位的地界标志。这个程序的最终模块540包括或附加将e-Seal包括到电子文件512中并附加地界标志的信息,用于校验及打印,以提供经过鉴别的E-文件542和E-文件文件544。
在多签署人的场合,轮到第n签署人时,以校验模块510来进行校验,以确认所有先前的e-Seal。这个人的附加信息被附加到文件中,导出相应于此人的摘要,并加密和嵌入该摘要。关于签署的信息(附加此人的e-Seal)被附加到这个电子文件的文件中。
在许多应用中,文件内容包括了主要内容,类别编号,序号,页号以及所有其它包含在文件中的信息。
对于要求高度安全的应用来说,签署人的个人鉴别是必需的。这可用密码、像指纹或面容这样的生物统计学信息或智能卡来完成。在成功的个人鉴别后,系统完成以下步骤:使e-Seal图像解锁,签署文件,并且将费用计入此人帐户。
3.2用于电子文件的校验程序
图6说明了校验程序,以经过鉴别、包含e-Seal的电子文件542以及相应电子文件544作为输入。首先,由模块610定位并校验该e-Seal。以来自该文件的信息来析取并解密各个e-Seal的水印,从而取得原始摘要。将相应于各e-Seal的内容摘要从电子文件中析取出来并与模块620所析取的摘要进行比较,如无差别或差别处于预定阈值之内则校验即是成功的。在某些情况下会要求确认e-Seal图像以检验(e-Seal)的真实所有权,这一确认是通过在模块630中析取版权保护水印来产生校验结果644来完成的。如果校验结果644为“是”或“真”,即表明这份鉴别后电子文件是原始的。如果校验结果644为“否”或“伪”,即表明此文件不是原始的或者是伪造品,而且这一伪造很可能位于(x,y)位置。
3.3电子文件的打印
通过图7所示打印方法来控制电子文件542的打印,以取得经过鉴别的打印副本734。电子文件的合法性由检验模块710加以校验。如果校验成功,则由附加模块720来附加一种光敏成分(优选带有复制号),随后由模块730打印该文件。可将打印副本的序号附加到该文件文件以及打印副本上。光敏成分被附加到最后一个签署者的e-Seal中,该e-Seal提供了包括先前签署者e-Seal在内的文件的整体保护。
可以仅通过图7的打印方法来生成有效的打印文件。这就确保了人们不能用任何打印函数来编辑而且随后打印这一电子文件。通过控制打印函数的使用,即可用这种光敏成分而在很大程度上保护打印文件的合法性。
有若干种方法来控制打印函数。图7的这个实施例中,由于打印前必须经过校验,打印函数是由拥有校验权的各方所控制的,并且这一校验非常便利。以下为两种控制打印函数的方法。
1)联机控制:一用户通过一个安全网络注册并请求打印某特定电子文件。在由管理机构或可信的第三方进行了成功的用户校验后,管理机构或可信的第三方校验该文件并将打印函数与必需数据一起发送到该用户的站点。这个打印函数在用户的打印机上打印这份文件。文件被打印时,已打印出的数据部分即可随打印程序的进行而销毁。这可通过逐步清除含有该数据部分的存储器来完成。
2)校验及打印代理:一个经过授权的代理可拥有一种特殊的打印设备。该打印设备或者连接到管理机构而联机,或者是脱机。在脱机情况下,数据及函数预加载到该设备中。当用户得到授权后,设备即打印出文件。设备运行于脱机状态时,过程与第一种方法类似。依据设备所具有的安全等级,可由该设备储存部分数据和函数。
3.4用于打印文件的检验程序
打印文件有三级校验。如图8所示,这一校验开始于要进行校验的打印文件734以及包含在文件文件544中的关于该文件的特定信息。电子文件644与书面文件734的校验之间的差别在于对书面文件734可通过外观检查加以校验,并且在书面文件可通过与电子文件同样方式加以校验之前,该书面文件734可被扫描、从而将其转换为数字格式。第一级校验为模块810所进行的e-Seal外观检查,第二级校验为模块820所进行的光敏成分校验。校验设备还可以是某种简单光学仪器,例如像某种特殊透镜或是一台普通复印机。复印后,某些图案应对于该光敏成分变成可见/不可见的。该图案在对原始打印副本734的一般观察距离内是不可见/可见的。如果校验结果是“OK”而且校验级别可接受,则校验程序可停止于模块810或820。
第三级校验是用扫描模块830来扫描书面文件,以将其转换回数字格式。但通过扫描所取得的数字文件属于其光栅数据格式,它不同于原始电子文件,在原始电子文件中,文本、图形和表格均以其通常方式编码。噪音和其它畸变会附加到e-Seal图像及图片内容中,即使它们原先即为光栅格式。因此,水印析取模块840和摘要析取模块850应容许畸变及格式差别。如果一个应用程序选择使用像内容摘要这样的选定项目,则手动输入这些选定项目会对电子及打印文件544、734二者都取得很好效果。
在以密钥进行了水印析取840后,由模块850记录内容的原始摘要并与从书面文件所析取的内容进行比较。如无差别或差别不超出阈值则校验成功,提供肯定的校验结果854。
〔请确认是否目标程序854应被标号为“校验结果”〕
4.产品/服务
从本发明实施例可产生许多可能的产品及服务。以下列举二例。基本概念可应用于大量的其它类似应用。
4.1可信副本的传递
目前正式信件和许多其它可靠的文件经由邮政服务或像联邦速递这样的快递而实际地进行递送。本发明实施例则便利了文件的可信副本的电子投递。亦即收件人可接收电子和/或书面格式的可信文件。以下描述两种类型的设置。
第一种设置涉及发送者的机构,该机构具有得到授权的身份并建立了一个计算机系统,其功能性描述如下:
1)发送者通过对一份电子文件进行编辑或在一份书面文件上进行扫描来准备一份电子文件。该发送者随后注册进入该机构的计算机系统,取得授权,解锁此人的e-Seal,签署文件,并将该文件发送给收件人,同时说明是否服务商希望收件人以电子和/或书面格式接收该文件;
2)收件人收到通知(机构对机构或机构对个人)时或收件人请求一份文件(标签,票券,公报,收据……)时,该收件人即登记进入发送者的系统,取得该电子文件,和/或打印出书面文件。文件打印时,调用来自发送者系统的打印函数,附加发送者的e-Seal和光敏成分来打印一份可信的副本。
第二种设置涉及通过一个服务中心发送的文件:
1)发送者通过对一份电子文件进行编辑或在一份书面文件上进行扫描来准备一份电子文件。该发送者随后注册进入一个服务中心,受到识别,解锁此人的e-Seal,签署文件,并将该文件发送给收件人,同时说明是否服务商希望收件人以电子和/或书面格式接收该文件;
2)收件人收到通知(机构对机构或机构对个人)时或收件人请求一份文件(标签,票券,公报,收据……)时,该收件人即登记进入该服务中心,取得该电子文件,和/或打印出书面文件。文件打印时,调用来自该服务中心的打印函数,附加发送者的e-Seal和光敏成分来打印一份可信的副本。此外,服务中心还可增加一个公证印章和光敏成分来证明该可信副本。
4.2确认及公证
目前对正式文件及文件——如毕业证书,结婚证书以及正式文件——的确认及公证均以书面形式进行。例如一位申请进入一个美国大学攻读研究生的亚洲大学生就不得不取得所有由其大学管理机构所颁发的自己的证书及正式文件,而且通过公共邮递系统投寄。一个突出的问题就是世界上有许多大学。另外让一位负责批准的官员来判断这些文件的合法性也是困难的。还有,该学生并不知道自己所投寄的文件是否为可接受的。
这里的确认及公证适用于所有类型的文件,包括——但不限于——出生证明,结婚证书,学位证书以及官方信件。以下描述中以学位证书作为例子。本发明实施例致力于用于确认/公证服务中心运行的结构及技术。
图9所示的服务中心910对文件发布者930(例如学生取得学位的大学)、文件所有者920(毕业生)以及文件收件人940(该学生申请攻读更高学位的大学)提供联机服务。对于各种请求,过程如下:
第一,一个所有者920通过服务中心910向所示发布者930请求一份电子学位证书并完成下列步骤:
1)所有者920注册到该服务中心910的网页上,如尚未完成则完成登记,并且填写请求表格;
2)服务中心910就该请求与发布者930通信并安排服务中心910与发布者930之间的业务链接——如果这一链接尚未就绪的话;
3)发布者930与服务中心910相连,对那位所有者920颁发一份电子学位证书,并通过服务中心910将该证书发送给该所有者920;
4)服务中心910保存该证书的记录,该记录收集于颁发过程中而且足以用于校验服务;
5)所有者920可选择保存这份e-证书,或在服务中心910租一个安全的存放箱来保存证书。
第二,一种可选方式为所有者920将一份书面文件(学位证书)带到服务中心910并请求电子证书服务,这包括下列步骤:
1)服务中心910与原始发布者930在其容量上校验该书面文件的合法性,将该书面文件转换为电子格式,签署该电子版本并对该文件指定可信级别。例如,如与原始发布者进行校验则该可信级别即为高;
2)服务中心910保存该证书的记录;
3)所有者920可选择保存这份e-证书,或在服务中心910租一个安全的存放箱来保存证书。
第三,一个所有者920(学生)请求将一份电子文件(学位证书)发送给一个收件人940(该学生申请攻读更高学位的大学),包括以下步骤:
1)该所有者920注册到服务中心910的网页上并填写请求表格;
2)该服务中心910校验该电子文件并将该文件与服务中心的e-Seal及安全说明(可信级别)一起,发送给收件人940;
3)服务中心910将收件人940接收该电子文件时的状况通知该所有者920。
第四,某一方可请求文件合法性校验服务,包括以下步骤:
1)该方登记该项服务;
2)登记后的该方注册到服务中心910的网页上,并提送该电子文件;
3)服务中心910检验该文件的记录并进行校验。如无记录,则服务中心910与发布者930联系以进行校验,并随后将该服务中心的e-Seal及安全说明一起,加到该文件中;
4)服务中心910保存该文件的记录并将该电子文件回送给登记的该方。
第五,服务中心910从某个所有者910或另一方收到请求,打印一份电子文件的硬拷贝。
1)该用户要向该服务中心910登记;
2)该用户注册到服务中心910的网页上,并提送该电子文件;
3)服务中心910完成对该电子文件的校验,对该文件指定可信级别,并打印一份带有该中心的e-Seal以及一种专用光敏成分的副本。
第六,服务中心910收到关于一份打印副本合法性校验的请求,包括以下步骤:
1)服务中心910通过外观检查来校验各个e-Seal的有效性;
2)服务中心910校验光敏成分的有效性;
3)服务中心910在该书面文件上扫描,并通过检验文件内容摘要和e-Seal的所有权(如有必要的话)来校验该文件合法性。
在该第六过程中,服务中心910仅保存为校验服务所需的文件记录。当使用由服务中心910提供的服务而签署该文件时,生成该记录并收集数据。亦即服务中心910并不保存整个文件的副本。通过如此安排,发布者920的管理机构即得到了充分尊重并保护了该所有者的隐私。当某个用户选择在服务中心910租用一个存放箱时,该存放箱由该用户加以保护。服务中心910并无任何权力去访问该存放箱的内容。
证书的所有者920可选择将该e-证书直接发送给任何人。
服务中心910是便利的,这有若干理由:
1)世界上有许多文件发布者,而关于发布者与那些被发布的文件则极少或完全没有可用信息。结果,几乎没有有效手段来进行合法性校验;
2)让所有者们投递书面文件并提供关于这些文件合法性的官方证明既费时又费钱;
3)让每个发布者来提供关于证书和其它文件合法性的校验服务,这种作法效率不高。
4.3电子检验
许多人使用并偏爱以支票或流通票据来支付其帐单。涉及各方为付款人,收款人,付款人的银行,收款人的银行以及服务中心。电子支票服务如下:
首先付款人签发支票,包括以下步骤:
A)该付款人为得到服务向服务中心910登记;
B)该付款人通过该中心的网页而注册到服务中心;
C)该付款人使用与银行相同的方式(个人身份识别号,指纹,面容或其它)来填写支付表格。该表格包括关于付款人银行及银行帐户的信息,身份证号,收款人名字,金额以及支付日期;
D)服务中心910链接到付款人银行以进行校验;
E)服务中心910既以该付款人、也以服务中心的e-印章来签署这一支票并将该支票发送给收款人;
F)该收款人收取该支票后,服务中心910通知付款人;
G)付款人可选择以服务中心910所提供的打印函数打印出该支票,并亲自将该支票交给收款人。该打印出的支票具有付款人银行的安全性能,付款人的签字,来自服务中心910的印章以及光敏成分,而且是可信的。
其次,收款人兑现该支票,包括以下步骤:
该收款人向服务中心910登记;
A)该收款人注册到该服务中心的网页上;
B)该收款人登录到该服务中心的网页上;
C)该收款人将该电子支票提送给服务中心910;
D)另外,该收款人也可将该支票发送给收款人的银行,而该银行从该支票扫描读取任何所需信息并将该信息发送给服务中心910;
E)服务中心910以付款人所填写的原始表格来校验该支票;
F)服务中心910将该支票与校验结果发送给收款人的银行;
G)收款人的银行接受该支票并在支票上所指示的支付日期办理过户;
H)在付款人银行拒付该支票的情况下,该付款人银行签署该支票来拒付。服务中心910连同该签署过的拒付支票通知付款人,收款人,以及收款人的银行;
I)在任何情况下,如果付款人,付款人银行,收款人及收款人银行要求打印副本,服务中心即以原始表格来校验该支票,附加为该支票指定的光敏成分,并打印出书面副本。
4.4用于具有多签署人的安全文件的服务中心
对于文件的多个签署人,假定所有的签署人均已向服务中心910或机构的系统管理者登记过,服务中心910已为该业务取得了公开密钥证书(public key certificate),并且用户(签署人,收件人,……)已取得了他们自己的公开密钥证书。
在若干方之间的合同的情形,这就涉及以下步骤:
A)各方联系以取得所有各方均同意的最后文稿。服务中心910加上一个印章以冻结该文件,并将该文件发送给其中一个签署人以开始签署;
B)所有各方登记到服务中心910,准备签署;
C)其中一方签署这份文件并将该文件发送给下一方,如此继续进行,直至所有各方均签署了该文件为止。签署程序自动校验服务中心印章的有效性,以确保该取得同意的版本未被改动。签署过程期间在服务中心910生成该文件的记录;
D)另外,还可令所有各方同时签署这份文件。亦即在第一次签署后,各签署人将文件发送回服务中心910,服务中心910将该文件分发给各方以便第二次签署,如此继续进行。在此情况下,所签署文件的副本数目与签署人的数目相等。各副本具有不同的签署顺序,但具有相同的有效性;
E)被签署的副本由各签署人保存。这些签署人可选择从服务中心910租用存放箱来保存安全地保存其副本;
F)得到请求时,服务中心910校验并打印出该文件的一份书面副本,该副本带有服务中心910为该文件所生成的一种光敏成分。该光敏成分与最后一个签署人的e-Seal相接合。
对一份正式文件有多个签署人的场合,可使用某个机构的系统服务器而非一个服务中心并包括以下步骤:
A)由一个提议者生成一份正式文件(例如一座建筑物的设计文件);
B)该提议者注册进入该系统服务器。该提议者以其私有密钥进行签署并将该文件发送给下一个人以通过系统服务器进行校验/认可;
C)该系统服务器通知下一个人该文件到达,并且此人签署这份文件;
D)该系统服务器生成该文件的记录并储存该记录以备进一步校验;
E)最后签署过的文件被储存于该机构的归档文件中;
F)收到请求时,系统服务器校验并打印出该文件的一份书面副本。该打印副本具有附加到该文件的光敏成分。该光敏成分来自系统服务器,被指定用于这一特定文件,而且与最后一位签署人的e-Seal相接合。
本发明实施例优选使用通用计算机加以实施。特别是图1到图9的处理或功能性可以运行于计算机上的软件或计算机程序的形式而加以实施。保护电子文件以及相应打印文件的合法性的方法或处理步骤由软件中的指令来完成,该软件由计算机所运行。该软件可具体实施为一个或多个用于完成该处理步骤的模块。一个模块为一个计算机程序的一部分,它通常完成一个特定功能或相关功能。此外,如下所述,一个模块还可为封装的功能硬件部件,与其它组件或模块一起使用。
特别是该软件可储存于一种计算机可用或可读的媒体中,包括软盘,硬盘,磁光盘,只读光盘存储器,磁带或其它任意数量的、本领域技术人员所熟知的非易失性存储器装置。该软件优选地从该计算机可用媒体装入计算机,并随后由该计算机来运行。一个计算机程序产品包括具有这种软件的计算机可用媒体或记录在该媒体上的计算机程序,该程序可由一台计算机加以运行。用该计算机程序产品在计算机中优选地启用一种用于虚拟商品交易的便利系统。
该计算机系统可经由一个通信接口、使用适当的通信信道——例如像调整解调器通信信道,计算机网络,等等——而连接于一台或多台计算机。该计算机网络可包括局域网(LAN),广域网(WAN),企业内联网,和/或互联网。
可使用大量的计算机系统结构而不偏离本发明的范围和精神。可实际应用实施例的计算机包括IBM-PC/AT或兼容机,PC的Macintosh(TM)系列,Sun Sparcstation(TM),工作站等等。以上所述仅为可实际应用本发明实施例的计算机类型的示例。
通常,实施例的方法作为软件或程序而存在,该软件或程序记录在作为计算机可读媒体的硬盘上,并且用计算机系统来读取和控制。举例来说,在某些情况下可将该程序编码在一个只读光盘存储器或软盘上提供给用户,另一方法是由用户通过一个连接到计算机上的调整解调器装置来从网络上读取。另外还有,该软件也可从其它计算机可读媒体装入该计算机系统,这类可读媒体包括磁带,只读存储器或集成电路,磁光盘,该计算机与其它设备之间的无线电或红外传输信道,像PCMCIA卡这样的计算机可读卡,以及包括了电子信件传输和记录在Web站点及类似站点的信息在内的互联网及企业内联网。以上所述仅为相关计算机可读媒体的示例。可应用其它计算机可读媒体而不偏离本发明的范围及精神。
如此即描述了能使其合法性受到保护的电子文件和打印文件,以及用于保护电子及打印文件合法性的一种方法,一种装置,一种计算机程序产品和一种系统。尽管仅描述了少量实施例,对本领域技术人员来说显而易见的是,鉴于本描述,可进行大量的变化和更改而不偏离本发明的范围及精神。