电子文档管理程序、系统及方法

专利名称：电子文档管理程序、系统及方法
技术领域：
本发明涉及一种电子文档管理程序、电子文档管理系统和电子文档管理方法，其使得能够向第三方证实不公开信息以外的电子数据未被更改并保证了解密信息的原始性，同时对电子数据的部分公开和不公开进行控制。
背景技术：
近年来由于IT的发展，中央及地方政府的行政文档以及私营企业的书籍及合同的使用和存储模式正逐渐从纸件转变为电子件(数字信号)。更具体地，由于扫描器的广泛而普及的应用，当前已能够容易地将纸文档转变成电子数据。此外，随着扫描器的分辨率的提高，目前可以接受以前不允许的纸文档的电子存储，只要这种形式的存储满足特定的安全要求即可。
同时，随着对文档和图像进行电子存储的需求的增加，用于安全存储和管理电子数据的技术变得必不可少。普遍接受的是对于已经以书面形式保存的文档的电子存储必须满足诸如“检测并防止篡改”、“识别制定文档的人员”、“访问管理及访问控制”、以及“历史管理”的技术要求，同时保持纸文档的可信等级。公知的文档管理系统在满足这些要求的功能上不令人满意。因此，已经而且还在努力开发满足这些技术要求的“原始性保证系统”并使其市场化。
对于“原始性保证系统”最普遍使用的安全要素技术是电子签名。通过电子签名能够识别制定文档的人员(身份)，并向第三方证实和确认该文档自制定该文档以来未被更改(未篡改性)。时间戳技术也是公知的。该技术是与电子签名类似的技术，但是通过时间戳，除了电子签名的功能外，还能够证实完成电子文档时的时钟时间。以下将描述三种相关的公知技术。
(1)存储原始电子文档的技术专利文献1和2(日本专利申请特开公报No.2000-285024和日本专利申请特开公报No.2001-117820)已知为用于保证电子文档的原始性的技术。
(2)遮蔽(blotting out)电子文档的技术在非专利文献1(信息处理协会/计算机安全委员会(CSEC)论文“TheProblem of Blotting out Electronic Documents”(2003/7/17)(2003-CSEC-22-009))和非专利文献2(SCIS2004论文“A Technique ofBlotting out Electronic Documents that can Control Disclosure Conditions”)中提出了解决遮蔽电子文档的问题的方法。
(3)XACML(eXtensible Access Control Markup Language(可扩展访问控制标记语言))该技术被OASIS(Organization for the Advancement of StructuredInformation Standards(结构化信息标准推进组织))批准为标准，该技术提供了用于限定访问XML(eXtensible Markup Language(可扩展标记语言))文档的权限的规范。通过该技术，可以描述“谁”可以在“哪个地方”通过“哪种权限”访问资源。换言之，可以控制需要对诸如“用户超过二十个”或者“仅注册用户”这样的复杂条件进行判断的访问。
现有技术的原始性保证针对其原件存储在可清楚识别的位置处的文档。换言之，现有技术基于在对最终格式的原件安全地进行管理的意义上与将纸文档存储在带锁的柜中类似的思想。于是，在这种原件存储环境下，电子签名对于在这些条件下保证人员的身份以及文档的未篡改性非常有效。
然而，从要直接进行添加、修正、诸如隐藏和处理的局部操作以及四处传播的文档(例如，申请书和议案)的原始性保证的角度来看，普通的电子签名技术由于本质上不允许任何处理，所以可能产生障碍。换言之，现有技术未考虑对文档的操作、处理和传播，而是针对通过电子签名来存储电子数据。
现将讨论以上所列的现有技术(1)至(3)的问题。
(1)存储原始电子文档的技术专利文献1和2提供了一种技术，该技术在存储电子数据时提供具有原始纸文档的特性的电子信息，并防止电子数据被篡改，并且如果被篡改，则检测篡改。
因此，通过关注作为其存储位置在组织中可清楚识别的原件安全地存储和管理最终格式的电子文档的机制而开发了该技术。
在这种原件存储环境中，当对电子文档进行了修正时，即使是部分地修正，该修正也被认为是“篡改”。例如，当“修正写在纸上的合同书”时，“修正者在待修正的字符上划上双线并盖章，并在右上方的空白中写上正确字符”。即使字符被修正，合同书的原件仍为正确且可信的原件。
对于纸件，这种修正行为被官方判断为经过了正确手续，并且可向第三方证实其有效性和可信度。
另一方面，如果将存储原件的传统技术应用于电子文档，则存在不能确定被修正的部分是篡改还是经过正确手续进行的修正的问题，因为目前的电子签名被设计为可检测对电子数据进行的任何更改，并以此为特征。
(2)遮蔽电子文档的技术论文“the problem of blotting out electronic documents”提出了一种遮蔽电子文档的技术，其能够解决当文档被部分隐藏时不能验证加到文档上的签名的问题。因此，通过应用根据该论文的遮蔽电子文档的技术，即使在文档被遮蔽时也能够验证被签名的电子文档的签名，并向第三方证实除了被遮蔽的一个或多个部分外该文档未被更改，“从而使得能够在部分隐藏(遮蔽)内容的条件下向第三方证实”。
然而，根据上述论文的遮蔽电子文档的技术在部分遮蔽文档的情况下，仅保证制定原始文档的人员，而不能识别遮蔽该文档的人员。此外，该论文描述了可以想到的使用场景，其中在信息公开系统中产生了遮蔽电子文档的问题，从而居民与行政机关发生争议。换言之，该论文未考虑其中部分遮蔽的文档在多个实体之间传播并被这些实体使用的情形。
此外，该技术使用散列(hash)信息代替电子文档的被遮蔽部分。换言之，不能根据各个查看者的条件和情况对电子文档的部分公开和不公开进行控制。此外，查看者不能确认和证实信息的不公开部分是否是制定该文档的人员制定的并且未被更改。
(3)XACML(eXtensible Access Control Markup Language(可扩展访问控制标记语言))用于建立访问XML文档的权限的规范该技术使得能够控制“谁”可以在“哪个地方”通过“哪种权限”来访问资源。该公知技术是通过特别依赖于以下事实而实现的可对电子文档的部分公开和不公开进行控制，并且可以证实信息的不公开部分未泄露给被授权查看的实体(人员和系统)以外的实体。换言之，该技术不能证实该信息的不公开部分以外的信息未被更改(原始性、完整性)，并且不能确认或证实信息的不公开部分是由制定该文档的人员制定的并且未被更改。

发明内容
因此，考虑到上述问题，本发明的目的在于使得能够对电子文档的部分公开和不公开进行控制，并且能够向第三方证实该电子文档的不公开部分以外的信息未被更改并保证解码信息的原始性。
为实现以上目的，本发明提供了以下部分，该部分用于根据诸如查看者、系统和时间的条件和情况对电子信息的部分公开和不公开进行控制；还提供了一种技术思想，该技术思想用于通过生成与电子信息的文本相分离的部分签名信息(在以下所述的本发明的实施例中称为piat签名信息)，对部分签名信息进行分割，以保持和分离电子信息的功能和作用以及部分签名信息(验证信息)的功能和作用，来向第三方证实该电子信息的不公开部分以外的信息未被更改并保证解密信息的原始性，同时对电子信息的部分公开和不公开进行控制。
在本发明的一个方面，通过提供一种电子文档管理程序来实现上述目的，该程序用于使计算机执行对通过作为原始信息的电子信息制定的文档信息的管理，该程序包括部分签名处理步骤，用于检测是否存在对于原始信息的一处或一处以上的更改，如果检测到存在更改，则识别更改位置或多个更改位置并对部分签名信息进行处理，以使得能够向第三方证实除了所述更改位置或所述多个更改位置以外所述原始信息未被更改；密钥生成/管理步骤，用于根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理步骤，用于将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
优选地，根据本发明的电子文档管理程序还包括接收处理步骤，用于接收文档信息的管理；时限管理步骤，用于对在所述密钥生成/管理步骤中管理的所述加密密钥的时限信息进行管理；以及信息公布步骤，用于对在所述文档管理步骤中管理的所述集成原始信息中的待公布信息进行公布。
优选地，在根据本发明的电子文档管理程序中，所述部分签名处理步骤包括部分签名生成步骤，用于执行生成所述部分签名信息的生成处理；以及部分签名验证步骤，用于利用所述部分签名信息执行验证处理。
优选地，在根据本发明的电子文档管理程序中，所述部分签名生成步骤将所述原始信息分成多个部分，并根据每一部分的信息生成部分签名信息。
在一实施例中，所述部分签名生成步骤利用单向(one-directional)散列函数生成所述部分签名信息。
在一实施例中，所述部分签名生成步骤通过向所述每一部分的信息中添加其它任意信息而生成所述部分签名信息。
在一实施例中，所述部分签名信息使用随机数作为待添加到所述每一部分的信息中的任意信息。
在一实施例中，所述部分签名信息使用时间和日期信息作为待添加到所述每一部分的信息中的任意信息。
在一实施例中，当所述原始信息通常通过遮蔽而被部分地修正和/或更改时，所述部分签名生成步骤仅在被更改的一个或多个部分中使用与先前版本不同的任意信息来新的部分签名信息，而在被更改的一个或多个部分以外的部分中使用与先前版本相同的任意信息来生成新的部分签名信息，任何一种情况都是合适的。
在一实施例中，所述部分签名信息验证步骤根据条件和情况对所述原始信息的部分公开和不公开进行控制，并确认除了不公开信息以外所述原始信息未被更改，并且保证所述不公开信息的原始性。
优选地，在根据本发明的电子文档管理程序中，所述密钥生成/管理步骤通过被授权查看和管理所述加密密钥的实体(人员或系统)的公开密钥对所述加密密钥进行加密。
优选地，在根据本发明的电子文档管理程序中，所述时限管理步骤保持与在所述密钥生成/管理步骤中管理的所述加密密钥有关的时限信息，并利用该时限信息对访问进行控制。
优选地，在根据本发明的电子文档管理程序中，当根据在所述时限管理步骤中管理的与加密密钥有关的时限信息，所述加密密钥的有效期期满时，所述时限管理步骤使所述加密密钥和对所述原始信息的访问无效。
优选地，在根据本发明的电子文档管理程序中，所述信息公布步骤与所述文档管理步骤协作来获取、积累并公布仅被公布的信息。
优选地，在根据本发明的电子文档管理程序中，所述部分签名处理步骤包括部分签名生成步骤，用于执行生成所述部分签名信息的生成处理；以及部分签名验证步骤，用于利用所述部分签名信息执行验证处理。
优选地，在根据本发明的电子文档管理程序中，向所述原始信息和所述部分签名信息添加电子签名。
优选地，在根据本发明的电子文档管理程序中，向所述原始信息和所述部分签名信息添加时间戳。
优选地，在根据本发明的电子文档管理程序中，所述文档管理步骤处理要作为原始信息进行登记的所有电子信息，并在原始信息被更改时，保留旧版本，并将被更改的文档保存为新登记的文档，从而自动管理版本号。
优选地，所述文档管理步骤分别管理所述原始信息和所述部分签名信息，使它们相互关联并对它们进行集中管理和控制。
在本发明的另一方面，提供了一种电子文档管理系统，该系统用于对通过作为原始信息的电子信息制定的文档信息进行管理，该系统包括部分签名处理部分，其检测是否存在对于所述原始信息的一处或一处以上的更改，如果检测到存在更改，则识别更改位置或多个更改位置并对部分签名信息进行处理，以使得能够向第三方证实除了所述更改位置或所述多个更改位置以外所述原始信息未被更改；密钥生成/管理部分，其根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理部分，其将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
在本发明的另一方面，提供了一种电子文档管理方法，该方法通过计算机执行对通过作为原始信息的电子信息制定的文档信息的管理，该方法包括部分签名处理步骤，用于检测是否存在对于所述原始信息的一处或一处以上的更改，如果检测到存在更改，则识别更改位置或多个更改位置并对部分签名信息进行处理，以使得能够向第三方证实除了所述更改位置或所述多个更改位置以外所述原始信息未被更改；密钥生成/管理步骤，用于根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理步骤，用于将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
因此，本发明提供了以下优点。
(1)能够对电子信息的部分公开和不公开进行控制，并证实信息的不公开部分未泄露给被授权查看的实体(人员和系统)以外的实体。
(2)能够区分不公开部分和其它部分，并证实信息的不公开部分以外的信息未被更改(原始性、完整性)。
(3)能够识别并证实对不公开进行控制的人员。
(4)能够证实信息的不公开部分是由制定该文档的人员制定的，并且未被更改。
(5)在电子数据被部分隐藏的情况下，能够证实所述数据的隐藏部分以外的其余部分未被更改。
(6)在电子数据被部分隐藏的情况下，能够证实制定非隐藏部分的人员。
(7)能够证实从原件(第一版本)开始的电子数据的历史(什么时候、谁、哪个部分或哪些部分、哪种方式)。
(8)能够在部分遮蔽的状态下和/或利用一个版本或一些版本而不用取出在该系统中存储并管理的所有版本的电子数据来向第三方证实及发布电子数据。


图1是根据本发明的电子文档管理系统的示意性框图，示出了其原理和结构；图2是下定单信件的生成处理的流程图；图3是在生成处理时的所生成的piat签名信息的示例的示意性图示；图4是密钥管理的示意性图示；图5是文档管理部分中的管理TB的示例性条目的示意性图示；图6是下定单信件的确认处理的流程图；图7是定单接受表的显示示例的示意性图示；图8是要在确认处理中使用的对于批发商的一组多条参考信息的确认示例的示意性图示；图9是时限管理部分中的管理TB的示例性条目的示意性图示；图10是下定单信件的接受/认可处理的流程图；图11是在接受/认可处理时的所生成的piat签名信息的示例的示意性图示；图12是要在确认处理中使用的对于信用卡公司的一组多条参考信息组的确认(第一阶段)示例的示意性图示；
图13是要在确认处理中使用的对于信用卡公司的一组多条参考信息组的确认(第二阶段)示例的示意性图示；图14是应用于使用公共建筑物的申请的实施例的示意性图示；图15是对于使用公共建筑物的申请的接收/登记处理的流程图；图16是针对申请者的公文获取/查看处理的流程图；以及图17是针对查看者的公文获取/查看处理的流程图。
具体实施例方式
图1是根据本发明实施例的电子文档管理系统的示意性框图，示出了该电子文档管理系统的原理和构造，该电子文档管理系统是部分完整性保证系统，其具有在被授权查看的实体是人(查看者、用户)的假设之上形成的查看者控制特征。图1示出的具有查看者控制特征的部分完整性保证系统10包括接收处理部分20、文档管理部分30、piat签名处理部分40、密钥生成/管理部分50、时限管理部分60以及信息公布部分70。以下将描述各个部分的构造和作用。
(接收处理部分20)接收处理部分20是中枢部分，其接收用户(90-A、B、C…)、入口站点提供部分100、CA(认证机构)200以及TA(时间机构)300输入的信息并向以上所列部分发送输出信息。该接收处理部分接收来自以上所列部分40至70的处理请求，并用作文档管理部分30的处理中介，并将处理操作的结果返回给部分40至70。
(文档管理部分30)文档管理部分30接收来自接收处理部分20的输入处理请求并提供用于执行满足各个请求的处理的部分。文档管理部分30由两个子单元构成，这两个子单元包括用于存储经处理的电子信息的文档管理DB(数据库)31和用于管理经处理的电子信息的条目信息的文档管理TB(表)。
(文档管理数据库31)在文档管理部分30中对文档管理数据库31进行管理，并且在接收到存储请求时，该文档管理数据库进行操作，从而以集成的形式存储电子信息和部分签名信息。
(文档管理表32)在文档管理部分30中对文档管理表32进行管理，并且该文档管理表与将电子信息存储在文档管理数据库31中的处理同时管理电子信息的条目信息。
(piat签名处理部分40)piat签名处理部分40接收来自文档管理部分30的piat签名处理请求并提供用于执行满足各个请求的处理的部分。piat签名处理部分40由两个子单元构成，这两个子单元包括piat签名生成部分41和piat签名验证部分42。
(piat签名生成部分41)piat签名生成部分41接收来自文档管理部分30的piat签名生成请求并生成电子信息的部分签名信息。
(piat签名验证部分42)piat签名验证部分42接收来自文档管理部分30的piat签名验证请求并验证电子信息的部分签名信息。
(密钥生成/管理部分50)密钥生成/管理部分50接收来自文档管理部分30的密钥生成/管理请求，并提供用于生成和管理用于对查看者进行控制的加密密钥的部分。密钥生成/管理部分50由用于存储所生成的加密密钥的密钥DB(密钥数据库)的子单元构成。
(密钥数据库51)在密钥生成/管理部分50中对密钥数据库51进行管理，并且在接收到存储请求时，该密钥数据库进行操作以存储用于对查看者进行控制的加密密钥。
(时限管理部分60)时限管理部分60接收来自文档管理部分30的处理请求、提取由其进行管理的时限信息并验证加密密钥的时限。
(信息公布部分70)
信息公布部分70接收来自文档管理部分30的处理请求，从文档管理部分30中的文档管理数据库31为用户90获取、积累并公布仅被公布的信息。信息公布部分70由作为信息公布数据库71的子单元构成。
(信息公布数据库71)在信息公布部分70中对信息公布数据库71进行管理，并且在接收到存储请求时，该信息公布数据库进行操作，从而以集成的形式存储电子信息和部分签名信息。
以上描述了具有查看者控制特征的部分完整性保证系统10的各个部分的构造和作用。以下将对沿具有查看者控制特征的部分完整性保证系统10外围存在的外部参与者(external actor)进行描述。
(电子通信信道80)电子通信信道80作为传送并分发电子信息和来自各个参与者的处理请求的部分进行操作。具有查看者控制特征的部分完整性保证系统10以及沿其外围存在的所有外部参与者都与电子通信信道80相连。电子通信信道80可符合诸如互联网、内联网、外联网和广域网的任何通讯协议。
(用户90)用户90是使用具有查看者控制特征的部分完整性保证系统10和入口站点提供部分100的参与者。用户90能够通过电子通信信道80来访问具有查看者控制特征的部分完整性保证系统10和入口站点提供部分100。
(入口站点提供部分100)入口站点提供部分100作为下述的部分进行操作，该部分提供用于生成向具有查看者控制特征的部分完整性保证系统10传送处理请求所必需的电子信息的输入表单和处理菜单。在某些情况下，其被设置成与具有查看者控制特征的部分完整性保证系统10协作。
(CA 200)CA 200是下述的参与者，该参与者将电子签名(PKI签名)加到电子信息中，从而使得能够检验出制定该电子信息的人员并保证该电子信息未被篡改。CA是Certificate Authority(认证机构)的缩写，并且其能够通过采用由该机构颁发的证书来强调(underline)信息的可靠性和可信度并向第三方严格证实。
(TA 300)TA 300是下述的参与者，除了PKI签名以外，该参与者还将时间戳加到电子信息中，从而保证该电子信息自输入时间戳时起未被篡改(保证电子信息完成时的时钟时间)。TA是Time Authority(时间机构)的缩写，和CA一样，其能够通过采用由该机构颁发的证书来强调信息的可靠性和可信度并向第三方严格证实。
以下将通过假设的应用场景来应用描述上述系统的方法。更具体地说，这里假设两种应用方案，包括针对企业和客户(B对C企业对客户)之间的电子贸易(网络购物)的信息分发方案以及地方政府文档管理系统的信息公布方案。首先，以下将对用于B对C电子贸易(网络购物)的信息分发方案进行描述。
当用户使用该系统时，他或她可以电子地制定下定单信件或者制定纸件下定单信件，通过扫描器将其转变成电子信件，然后将该电子信件记录/存储为经签名的下定单信件。所记录/存储的经签名下定单信件可在多个实体之间分发，并且如果必要，将其呈送给第三方，用于检验该下定单信件的真实性。当下定单信件在多个实体之间分发时，必要时可以要求对其进行部分公开或不公开。
例如，假设将下定单信件从客户(请求者)发送至批发商，然后将其发送至信用卡公司(清算组织)以进行结帐。作为重要个人信息可能有必要对批发商保密信用卡号，同样作为重要个人信息可能有必要对信用卡公司(清算组织)保密请求者所购买的一个物品或多个。在这种情况下，需要能对下定单信件的部分公开和不公开进行控制，并且必须为保证公开和不公开所进行的操作的恰当性和可信任性(proof-worthiness)，以证实信息的不公开部分没有泄露给被授权的一个查看者或多个查看者以外的任何人，证实除了其不公开部分外该信息未被更改(原始性、完整性)，并证实信息的不公开部分是由请求者制定的并且未被更改。
因此，用户使用该系统作为用于保存下述记录的部分，当由于下定单信件而引起争议并将其交给法庭时或者当向第三方证实该下定单信件的真实性时，可以作为证据出示该记录。这样，在本系统的使用场景中出现的角色包括“请求者”，其向系统登记该下定单信件；“批发商”，其响应于请求者的请求接收该下定单信件，确认请求的内容并处理接收到的定单；以及“信用卡公司”，其响应于“批发商”的请求接收该下定单信件，核对结帐的内容并处理该帐户。
在上述应用场景中，该系统向请求者、批发商及信用卡公司提供了以下四种功能。
(A)登记功能(在登记时生成由请求者使用的下定单信件)。
(B)确认功能(要由批发商和信用卡公司在确认下定单信件的内容时使用)。
(C)更新功能(要由批发商和信用卡公司在接收并接受下定单信件时使用)。
(D)获取功能(要由请求者、批发商和信用卡公司在获取下定单信件时使用)。
以下将描述以上所列事件(A)至(D)的实现。
这里假设，该应用场景预先满足的要求为预先登记了请求者(90-A)的用户认证信息、批发商(90-B)的用户认证信息以及信用卡公司(90-C)的用户认证信息，从而使这些用户可以使用具有查看者控制特征的部分完整性保证系统10和入口站点提供部分100，并且对访问进行严格控制。这里对于该应用场景还假设信息从一开始就是电子信息。
(下定单信件的生成序列)图2是下定单信件的生成过程的流程图。
(1)请求者(90-A)通过电子通信信道80使他自己或她自己与入口站点提供部分100相连并访问批发商(90-B)提供的网络购物站点(步骤ST-C1)。此时，假设请求者(90-A)已在该网络购物站点注册为用户。
(2)请求者(90-A)通常通过其ID和密码登录并在下定单信件的输入表单中输入必要信息(步骤ST-C2)。此时，假设待输入的信息包括用于识别请求者的个人信息(例如姓名、地址等)、用于识别所订购的一个或多个物品以及该物品或各个物品的订购数量的定单信息(该物品名称或各个物品名称)、以及包括与该请求者的信用卡有关的信息在内的帐户支付信息(NO)。
(3)当请求者(90-A)执行输入后完成处理时，入口站点提供部分100作为请求者(90-A)的代理向具有查看者控制特征的部分完整性保证系统10发出制定处理请求(步骤ST-C3)。尽管这里被设置成入口站点提供部分100作为请求者(90-A)的代理发出制定处理的请求，然而可以另选地设置成在输入完成后，入口站点提供部分100将下定单信件的数据(例如，以用于XML数据的数据格式)返回给请求者(90-A)，并且请求者(90-A)向具有查看者控制特征的部分完整性保证系统10发出制定处理请求。
(4)接收处理部分20接收来自入口站点提供部分100的制定处理请求。该接收处理部分此时接收到的信息包括下定单信件[D1-1](例如，以用于XML数据的数据格式)并伴随有保密处理要求。保密处理要求包括与要加密的一个或多个部分相关的信息(在该示例中为“定单信息”(物品名称或各个物品名称)以及“帐户支付信息(NO)”)以及谁被授权查看(在该示例中仅批发商被授权查看“定单信息”(物品名称或各个物品名称)并且仅信用卡公司被授权查看“帐户支付信息(NO)”)。理想的是，这些要求作为要求策略(requirement policy)由批发商(90-B)预先在入口站点提供部分100中限定并在接收请求时自动提取。这样，请求者(90-A)可安全地享受网络购物而不会意识到所限定的安全及控制措施。如果通过ID来提供和管理要求策略的各个文档，则可容易地检索要求策略。
(5)在接收到请求时，接收处理部分20向文档管理部分30发出制定处理请求。
(6)文档管理部分30在接收到制定处理请求时，向piat签名处理部分40中的piat签名生成部分41发出生成piat签名信息[H1-1]的请求(步骤ST-C4)。此时，给出下定单信件[D1-1]。piat签名信息是所谓的部分签名信息，该部分签名信息用于检测对下定单信件进行的任何更改，识别被更改的一个或多个部分(一个或多个更改位置)，此外用于使得能够向第三方证实该下定单信件除了所述一个或多个更改位置以外未被更改。由于存在根据piat签名信息推测下定单信件的内容的问题，所以理想的是，通过组合单向散列函数和随机数来生成piat签名信息。
(7)piat签名生成部分41在接收到处理请求时，生成用于下定单信件[D1-1]的piat签名信息[H1-1](步骤ST-C5)。图3是在生成处理时生成的piat签名信息的示例的示意图。例如，字符串“物品A”链接到随机数“456”，从而为字符串“456物品A”生成散列信息。然后，输出散列信息“DEF”作为生成结果。在(步骤ST-C5-1)之后，对另一物品或其它物品中的每一个进行类似的生成处理。尽管在该示例中使用了随机数，但是可以利用不使用随机数的技术来实现该目的。例如，可以另选地使用表示输入时间的时钟时间信息。
(8)文档管理部分30从piat签名生成部分41获取piat签名信息[H1-1]。Piat签名信息[H1-1]起到上述作用，同时，当查看者对不公开信息进行解密时，使用该piat签名信息检验不公开信息的原始性。因此，当此时下定单信件[D1-1]和piat签名信息[H1-1]已就绪(in place)时，将请求者(90-A)的采用PKI(公开密钥基础设施)的电子签名(以下简称为PKI签名)和时间戳(以下简称为TS)加到各条信息上，并将这两条信息集成地存储在数据库31中(步骤ST-C6)。因此，可以通过采用分别由作为公共组织的CA 200和TA 300颁发的PKI签名和时间戳来强调信息的可靠性和可信度并向第三方严格证实。
(9)然后，操作进入部分加密阶段。为了生成用于加密的密钥而向密钥生成/管理部分50发出生成加密密钥的请求(步骤ST-C7)。这里所使用的信息是以前获取的保密处理要求并因此基于这些要求生成加密密钥。在该示例中，生成了两个密钥，以加密包括“定单信息(物品名称或各个物品名称)”和“帐户支付信息(NO)”在内的两条信息。
(10)密钥生成/管理部分50生成加密密钥(公用密钥)，一个用于“定单信息(物品名称或各个物品名称)”，另一个用于“帐户支付信息(NO)”，并将它们存储在密钥数据库51中(步骤ST-C8)。图4是密钥数据库51内部的示意性图示。将密钥以如下所述的方式存储在密钥数据库51中。利用各个可能查看者的公开密钥信息对各个保密位置的加密密钥(公用密钥)进行加密。在该示例中，利用批发商(90-B)的公开密钥信息对用于“定单信息(物品名称或各个物品名称)”的加密密钥进行加密，并利用信用卡公司(90-C)的用于“定单信息(物品名称或各个物品名称)”的公开密钥信息对用于“帐户支付信息(NO)”的加密密钥进行加密。
尽管在该示例中针对单个位置对单个查看者进行控制，然而也可灵活地使用类似技术来管理其中针对单个位置对多个查看者进行控制的情形。此外，可以通过控制/管理加密密钥的时限管理部分60来防止加密密钥(公用密钥)泄露。换言之，可以防止包含在通过加密密钥进行了加密的下定单信件中的重要信息(信用卡号等)泄露。例如，可以通过下述的方式对重要信息进行控制来保密所述重要信息可以在新生成下定单信件之后两个星期内对所生成的下定单信件进行解密(从而可用于对其进行结帐)，但是两个星期之后不能对其进行解密。
(11)文档管理部分30接收来自密钥产生/管理部分50的加密密钥，并通过下定单信件[D1-1]中的各个保密位置的加密密钥对该位置进行加密(步骤ST-C9)。此时，将用于下定单信件[D1-1]中的保密位置的随机数分别与待加密的信息结合，并对它们进行加密(图3中的步骤ST-C9-1)。更具体地，为“定单信息(物品名称)”加密“456+物品A”，并为帐户支付信息(NO)加密“789+1234”。这种产生信息的方式用于使得查看者能够在查看者解密不公开信息时确认不公开信息的原始性。在完成加密处理后，暂时存储部分加密的下定单信件[D1-2]。此时，当下定单信件为XML数据格式时希望使用XML部分加密。
(12)随后，文档管理部分30向piat签名处理部分40中的piat签名生成部分41发出生成piat签名信息[H1-2]的请求。此时，将暂时存储的部分加密的下定单信件[D1-2]发送给该piat签名生成部分(步骤ST-C10)。
(13)接收到处理请求的piat签名生成部分41为部分加密的下定单信件[D1-2]生成piat签名信息[H1-2](步骤ST-C11)。在生成piat签名信息时，piat签名生成部分41通过解密“下定单信件”[D1-1]的“定单信息(物品名称)”和“帐户支付信息(NO)”而更改所产生的“定单信息(物品名称)”的随机数和“帐户支付信息(NO)”的随机数，然后产生新的piat签名信息[H1-2]但是使用与下定单信件[D1-1]相同的“名称”(自最后一次处理以来未被解密并未被更改的单个位置)的随机数。因此，可以通过比较所生成的两条piat签名信息[H1-1]和[H1-2]来向第三方证实未更改过“名称”，并且其是申请者本人所规定的。
图3中的步骤ST-C11-1示出了上述操作。“定单信息(物品名称)”的随机数从“465”更改成“987”，而“帐户支付信息(NO)”的随机数从“789”更改成“654”，并且将它们与被加密信息(在该示例中假设“定单信息(物品名称)” 和“帐户支付信息(NO)”被加密成该示例中的“*****)相链接以生成散列信息，从而作为生成处理的结果，将“定单信息(物品名称)”和“帐户支付信息(NO)”分别转变成“OPQ”和“RST”。
(14)文档管理部分30从piat签名生成部分41获取piat签名信息[H1-2]。这样，由于部分加密的下定单信件[D1-2]和piat签名信息[H1-2]此时已就绪，所以将请求者(90-A)的PKI签名和TS添加到每一条信息中，并将这两条信息集成并存储在数据库31中(步骤ST-C12)。此时，为进行管理，使它们与已经存储的下定单信件[D1-1]和piat签名信息[H1-1]分开。通过这种方式，自动对版本号进行管理。因此，不管什么时候需要都能通过利用具有版本号管理特征的数据库31向第三方证实适当版本号的版本状态。
(15)当所有处理步骤都正常完成时，将与下定单信件相关的信息输入到文档管理部分30中的管理表32中(步骤ST-C13)。因此，该管理表的各个条目都包括“文档名”、“文档ID”、“用户NO”、“一个或多个保密位置”、“部分加密信息”以及“时限信息”。图5示出了该表的组成。由请求者(Hanako Suzuki女士)制定的下定单信件的定单信息(物品名称)和帐户支付信息(NO)都通过各个实体的加密密钥使用时限部分地进行了加密，并通过文档ID＝“A001”正确地进行了登记。在每次登记时将新的信息添加到管理表中。理想的是，添加PKI签名和该系统的TS，从而保证条目信息的原始性和可靠性。
(16)最后，将所加密的下定单信件[D1-2]返回给请求者(90-A)，以正确地结束制定处理(步骤ST-C14)。如果出现异常情况，则将该错误通知给请求者(90-A)并异常终止该处理。在该示例中，假设将所有版本都存储在数据库31中并进行管理，并且仅将加密的下定单信件[D1-2]返回给请求者(90-A)。然而，piat签名信息[H1-1]和piat签名信息[H1-2]都可以和该加密的下定单信件[D1-2]一起返回。此时，请求者(90-A)可通过电子邮件传送包括加密的下定单信件[D1-2]、piat签名信息[H1-1]和piat签名信息[H1-2]在内的所有三条信息(在图3中的用于批发商的一组多条参考信息)。
(下定单信件的确认序列(在批发商侧))图6是下定单信件的确认处理的流程图。
(1)批发商(90-B)通过某种手段或其他手段接收请求者(90-A)发出的定单/请求。此时，负责批发商(90-B)的人员可以通过电子通信信道80周期性地将其自己与入口站点提供部分100相连，并作为用于获取定单/请求的部分来获取定单接受表(待处理的列表)。批发商(90-B)可以通过电子邮件直接接收由请求者(90-A)发出的定单/请求。不管怎样，在该示例中，该序列开始于开发商接收到定单接受表(待处理事务的列表)并确认下定单信件时。
(2)批发商(90-B)通过电子通信信道80将其自己与入口站点提供部分100相连(步骤ST-V1)，接收定单接受表(待处理事务的列表)并对其进行显示(步骤ST-V2)。图7是定单接受表的显示示例的示意图。其示出了之前由请求者((90-A)＝Hanako Suzuki女士)制定的下定单信件作为待处理事务显示。
(3)批发商(90-B)可以从定单接受表中选择请求者((90-A)＝Hanako Suzuki女士)。然后入口站点提供部分100向具有查看者控制特征的部分完整性保证系统10发出确认处理请求(步骤ST-V3)。
(4)接收处理部分20接收来自入口站点提供部分100的确认处理请求。接收处理部分20此时接收的信息是请求者((90-A)＝HanakoSuzuki女士)的下定单信件的索引。下定单信件的索引是指检索与包括文档ID、用户NO(客户代码)、制定该下定单信件的人员(客户名称)等在内的条目相关的信息所必需的信息。
(5)在接收到确认处理请求时，接收处理部分20进而向文档管理部分30发出确认处理请求。
(6)在接收到确认处理请求时，文档管理部分30首先根据下定单信件的索引来检查管理表32并从数据库31获取该下定单信件(步骤ST-V4)。文档管理部分30所获取的信息包括经加密的下定单信件[D1-2]、piat签名信息[H1-1]和piat签名信息[H1-2]三条信息[y6]。换言之，该信息包括图3中的用于批发商的一组多条参考信息。因此，以下将这三条信息称作“用于批发商的该组多条参考信息”。
(7)当完成获取处理时，文档处理部分30检验被添加到用于批发商的该组多条参考信息中的PKI签名和TS的有效性(步骤ST-V5)。执行该检验操作来确认该信息自从被存储在数据库31中以来未被更改。文档管理部分30通过电子通信信道80向CA 200查询PKI签名并向TA 300查询TS，从而获取验证结果。
(8)当确认被添加到用于批发商的该组多条参考信息中的PKI签名和TS有效时，文档管理部分30针对用于批发商的该组多条参考信息向piat签名处理部分40中的piat签名验证部分42发出确认请求(步骤ST-V6)。此时，发送用于批发商的该组多条参考信息。
(9)当接收到处理请求时，piat签名验证部分42利用用于批发商的该组多条参考信息来执行验证处理(步骤ST-V7)。图8是要在该确认处理中使用的用于批发商的该组多条参考信息的确认示例的示意图。参照图8，从经加密的下定单信件[D1-2]对随机数“123”和字符串“HanakoSuzuki(铃木花子)”进行链接，并对字符串“123 Hanako Suzuki(123铃木花子)”产生散列信息。结果，获得散列信息“ABC”。此外，图8示出了piat签名验证部分42从piat签名信息[H1-2]取出名称部分的散列信息以用于进行比较和确认(步骤ST-V7-1)。对各个其余物品进行类似的确认处理。
(10)文档管理部分30从piat签名验证部分42获取确认结果。然后，其进入到经加密的下定单信件[D1-2]的解密阶段。在该阶段，文档管理部分30根据下定单信件的索引获取管理表32中的“一个或多个保密位置”、“部分加密信息”和“时限信息”(步骤ST-V8)。此时，由于可以保证“一个或多个保密位置”和“部分加密信息”已通过批发商(90-B)的公开密钥进行了加密，因此只能保证“定单信息(物品名称)”可被解密。“时限信息”表示可在其表示的时间和日期前对它们进行解密。此时，文档管理部分30向时限管理部分60进行查询(步骤ST-V9)。
此时，从文档管理部分30发送“文档ID”和“定单信息(物品名称)”，并且时限管理部分60检查该时限管理部分60的管理表61以获取时限信息，并将其与当前的时间和日期进行比较。如果该时限不在当前时间和日期之后，则该时限管理部分授权解密，但是如果该时限在当前时间之后，则其向文档管理部分30返回拒绝解密(步骤ST-V10)。不用说，要求时限管理部分60无任何误差的精确计时。图9示出了时限管理部分60的管理表61的内部。文档ID＝“A001”的下定单信件表示“定单信息(物品名称)”和“帐户支付信息(NO)”都在2005年9月1日零时之前授权解密，而在该时间之后拒绝任何解密。理想的是，添加PKI签名和该系统的TS以保证该条目信息的原始性和可靠性。
(11)在获取了加密授权的结果时，文档管理部分30向密钥生成/管理部分50发出获取加密密钥的请求(步骤ST-V11)。此时，所发送的信息构成检索索引。检索索引是指文档ID、制定该文档的人员以及保密位置(文档ID制定该文档的人员保密位置)。因此，在所示示例中“A001Hanako Suzuki定单信息(物品名称)”构成了检索索引。
(12)密钥生成/管理部分50根据所述检索索引来检索目标密钥信息(步骤ST-V12)。
(13)文档管理部分30从密钥生成/管理部分50接收加密密钥并通过批发商(90-B)的保密密钥对“经加密的下定单信件[D1-2]”中的“定单信息(物品名称)”进行解密处理(步骤ST-V13)。此时，当将批发商(90-B)的保密密钥输入给具有查看者控制特征的部分完整性保证系统10中时，为安全起见有必要采取措施来防止该信息泄露。例如，可以在将批发商(90-B)的保密密钥输入给该系统之前，使用通过具有查看者控制特征的部分完整性保证系统10的公开密钥对该保密密钥进行加密的技术。
(14)在解密处理后，确认解密信息的原始性(步骤ST-V14)。更具体地，由于作为解密结果获得“456+物品A”，所以根据信息“456+物品A”生成散列信息，从而获得作为结果的“DEF”。于是，能够通过从piat签名信息[H1-1]中的“定单信息(物品名称)”取出“DEF”并将这两个“DEF”进行比较，来确认“定单信息(物品名称)”的原始性(图8中的步骤ST-V14-1)。作为该验证的结果，能够向第三方证实由请求者(90-A)规定的下定单信件从制定时起未被更改也未被更换，并证实该下定单信件已被加密并且在加密时该下定单信件的任何位置都未被更改，同时证实加密内容的一致性和原始性。
(15)最后，将验证结果返回给批发商(90-B)，从而正确结束该确认处理(步骤ST-V15)。如果出现异常情况，则将错误通知给批发商(90-B)并异常终止处理。
(下定单信件的接受/认可序列)图10是下定单信件的接受/认可处理的流程图。
(1)当通过由批发商(90-B)进行的下定单信件的上述确认序列完成来自请求者(90-A)的下定单信件的确认处理时，操作进行到下定单信件的接受/认可序列。通过下定单信件的接受/认可序列，批发商(90-B)接受并认可请求者(90-A)的下定单信件。
(2)当接收到在下定单信件的上述确认序列的最后一个步骤中的验证结果的通知时，批发商(90-B)确认进行接受/认可序列(步骤ST-U1)。
(3)当批发商(90-B)执行完成接受/认可的处理时，接收处理部分20接收用于接受/认可处理的请求。
(4)在接收到该请求后，接收处理部分20向文档管理部分30发出接受/认可处理请求(步骤ST-U2)。
(5)在接收到接受/认可处理请求时，文档管理部分30将表示被批发商(90-B)认可的物品添加到下定单信件[D1-2]的当前最新版本中，从而生成新的下定单信件[D2]，该下定单信件被暂时存储(步骤ST-U3)。
(6)向piat签名处理部分40中的piat签名生成部分41发出生成piat签名信息[H2]的请求(步骤ST-U4)。此时，发送最新版本的下定单信件[D2]。
(7)在接收到处理请求时，piat签名生成部分41为最新版本的下定单信件[D2]生成piat签名信息[H2](步骤ST-U5)。图11是在接受/认可处理时生成的piat签名信息的示例的示意图。将随机数(“321”)添加到新物品(“认可”)，并将字符串“认可”与该随机数相链接，以生成字符串“321认可”的散列信息。图11示出了输出散列信息“UVW”作为生成结果(图11中的步骤ST-U5-1)。由于所有其它条目都未被更改，所以使用相同的随机数来执行与最新版本的处理相同的生成处理。
(8)文档管理部分30从piat签名生成部分41获取piat信息[H2]。由于最新版本的下定单信件[D2]和piat签名信息[H2]此时已就绪，所以将TS和批发商(90-B)的PKI签名添加到各条信息中，并将这两条信息集成地存储在数据库31中(步骤ST-U6)。此时，[D1-1]和[H1-1]与[D1-2]和[H1-2]分开并分别进行管理，使得可以对版本号进行自动管理。
(9)最后，将最新版本的下定单信件[D2]返回给批发商(90-B)，以正确终止接受/认可处理(步骤ST-U7)。如果出现异常情况，则将错误通知给批发商(90-B)并异常终止该处理。在该示例中，假设所有版本都存储在数据库31中并进行管理，并且仅将最新版本的下定单信件[D2]返回给批发商(90-B)。然而，piat签名信息[H2]、piat签名信息[H1-1]以及piat签名信息[H1-2]都可以与最新版本的下定单信件[D2]一起返回。此时，批发商(90-B)可以通过电子邮件传送包括最新版本的下定单信件[D2]、piat签名信息[H2]、piat签名信息[H1-1]以及piat签名信息[H1-2]在内的所有四条信息(图11中的用于信用卡公司的一组多条参考信息)。
(下定单信件的确认序列(在信用卡公司侧))
对于该下定单信件的确认序列，使用与用于图6中所示的批发商的确认处理的相同的流程图，因而这里不再示出。
(1)信用卡公司(90-C)通过某种手段或其他手段接收来自批发商的结帐请求。此时，信用卡公司(90-C)可以通过电子通信信道80周期性地将其自己与入口站点提供部分100相连，并获取结帐请求(待处理的列表)。另选地，信用卡公司(90-C)可通过电子邮件直接从批发商(90-B)接收结帐请求。不管怎样，在该示例中，该序列开始于开发商接收清算请求表(待处理的列表)并确认下定单信件之时。
(2)信用卡公司(90-C)通常通过电子通信信道80将其自己与入口站点提供部分100相连(步骤ST-V1)，获取并显示清算请求表(待处理的列表)(步骤ST-V2)。
(3)当信用卡公司(90-C)从清算请求表中选择请求者((90-A)＝Hanako Suzuki女士)时，入口站点提供部分100向具有查看者控制特征的部分完整性保证系统10发出确认处理请求(步骤ST-V3)。
(4)然后，接收处理部分20接收来自入口站点提供部分100的确认处理请求。接收处理部分20此时接收的信息是请求者((90-A)＝Hanako Suzuki女士)的下定单信件的索引。
(5)在接收到确认处理请求时，接收处理部分20进而向文档管理部分30发出确认处理请求。
(6)在接收到确认处理请求时，文档管理部分30首先根据下定单信件的索引来检查管理表32并从数据库31获取该下定单信件(步骤ST-V4)。文档管理部分30此时所获取的信息包括四条信息，即[y7]，最新版本的下定单信件[D2]、piat签名信息[H2]、piat签名信息[H1-1]和piat签名信息[H1-2]。换言之，该信息包括图11中的用于信用卡公司的该组多条参考信息。因此，以下将这四条信息称作“用于信用卡公司的该组多条参考信息”。
(7)当完成获取处理时，文档处理部分30检验被添加到用于信用卡公司的该组多条参考信息的PKI签名和TS的有效性(步骤ST-V5)。
(8)当确认被添加到用于信用卡公司的该组多条参考信息的PKI签名和TS有效时，文档管理部分30针对用于信用卡公司的该组多条参考信息向piat签名处理部分40中的piat签名验证部分42发出确认请求(步骤ST-V6)。此时，发送用于信用卡公司的该组多条参考信息。
(9)当接收到处理请求时，piat签名验证部分42利用用于信用卡公司的该组多条参考信息来执行验证处理(步骤ST-V7)。在第一阶段，利用包括最新版本的下定单信件[D2]、piat签名信息[H2]、和piat签名信息[H1-2]在内的三条信息来执行所述确认处理。
图12是要在确认处理中使用的用于信用卡公司的该组多条参考信息的确认(第一阶段)的示例的示意图。参照图12，从最新版本的下定单信件[D2]对随机数“123”和字符串“Hanako Suzuki(铃木花子)”进行链接，并对字符串“123 Hanako Suzuki(123铃木花子)”产生散列信息。结果，获得散列信息“ABC”。此外，图12示出了从piat签名信息[H2]取出名称部分的散列信息，以进行比较和确认(步骤ST-V7-1piat验证-1)。对各个其余物品进行类似的确认处理。
当确认piat验证-1的结果不存在问题时，随后对于各个条目从piat签名信息[H1-2]和piat签名信息[H2]取出散列信息并进行比较以识别一个或多个更改位置(步骤ST-V7-2piat验证-2)。通过本示例的piat验证-2，可以确认包括“名称”、“物品名称”和“NO”在内的条目自从制定加密文档[D1-2]之时起未被更改，并且对于“认可”条目，因为在根据加密文档[D1-2]生成的piat签名信息[H1-2]中不存在与“认可”条目有关的散列信息，所以在制定最新版本的下定单信件[D2]时添加该“认可”条目。此外，能够根据添加到各条信息中的PKI签名和TS来确认以下条目。
对于条目“名称”、“物品名称”和“NO”来说，确认对于它们加密文档[D1-2]未被更改。因此，能够确认请求者(90-A)制定了加密文档[D1-2]的和批发商(90-B)添加了“认可”条目。能够通过提供用于信用卡公司的该组多条参考消息和被添加到用于信用卡公司的该组多条参考消息的PKI签名和TS对以上内容进行确认。
(10)文档管理部分30从piat签名验证部分42获取第一阶段的确认结果。然后，其利用包括最新版本的下定单信件[D2]和piat签名信息[H1-1]在内的两条信息来进行第二阶段的确认处理。图13是要在该确认处理中使用的用于信用卡公司的该组多条参考信息的确认(第二阶段)的示例的示意图。首先，对最新版本的下定单信件[D2]进行解密。文档管理部分30根据下定单信件的索引在管理表32中获取“一个或多个保密位置”、“部分加密信息”和“时限信息”(步骤ST-V8)。
此时，由于可以保证“一个或多个保密位置”已通过信用卡公司(90-C)的公开密钥进行了加密，所以只能保证“帐户支付信息(NO)”可被解密。此时，文档管理部分30向时限管理部分60进行查询(步骤ST-V9)。于是，从文档管理部分30发送“文档ID”和“帐户支付信息(NO)”，并且时限管理部分60检查该时限管理部分60的管理表61(参见图9)以获取时限信息，并将其与当前时间和日期进行比较。如果该时限未在当前时间和日期之后，则该时限管理部分授权解密，但是如果该时限在当前时间之后，则其向文档管理部分30返回拒绝解密(步骤ST-V10)。
(11)在获取到加密授权的结果时，文档管理部分30向密钥生成/管理部分50发出获取加密密钥的请求(步骤ST-V11)。此时，所发送的信息构成检索索引。检索索引是指文档ID、制定文档的人员以及保密位置(文档ID制定文档的人员保密位置)。因此，在所示示例中，“A001Hanako Suzuki帐户支付信息(NO)”构成了检索索引。
(12)密钥生成/管理部分50根据所述检索索引来检索目标密钥信息(步骤ST-V12)。
(13)文档管理部分30从密钥生成/管理部分50接收加密密钥，并通过信用卡公司(90-C)的保密密钥对最新版本的下定单信件[D2]中的“帐户支付信息(NO)”进行解密处理(步骤ST-V13)。
(14)在解密处理后，确认与解密有关的信息的原始性(步骤ST-V14)。更具体地，由于作为解密结果获取到“789+1234”，所以根据信息“789+1234”生成散列信息，从而获得作为结果的“GHI”。于是，能够通过从piat签名信息[H1-1]中的“帐户支付信息(NO)”取出“GHI”并将这两个“GHI”进行比较，来确认“帐户支付信息(NO)”的原始性(图13中的步骤ST-V14-1)。作为经过第一阶段和第二阶段的该验证的结果，能够向第三方证实批发商(90-B)执行附加处理时由请求者(90-A)规定的下定单信件自制定之时起未被更改并未被更换，并证实该下定单信件已被加密并且在加密时该下定单信件的任何位置都未被更改，同时证实加密内容的一致性和原始性。
(15)最后，将验证结果返回给信用卡公司(90-C)，以正确结束该确认处理(步骤ST-V15)。如果出现异常情况，则将错误通知给信用卡公司(90-C)并异常终止该处理。
(下定单信件的获取序列)包括请求者(90-A)、批发商(90-B)和信用卡公司(90-C)在内的各个用户都可以获取在信息公布部分70中的信息公布数据库71中积累的任何下定单信件的信息。可以对第三方使用和出示所获取的信息，以确认和验证已被处理的下定单信件，并且当在有关方之间引起诸如诉讼的争议时，可以对第三方使用和出示所获取的信息。在该获取序列中的获取处理和确认并验证与下定单信件有关的所获取信息的处理与用于确认下定单信件的上述序列的那些相同，因此这里不再进一步描述。
以下将对适于使用本系统的地方政府文档管理系统的信息公布方案进行描述。
当用户使用该系统时，他或她记录并存储电子地制定的具有签名的地方政府公文。此外，所记录/存储的并经签名的公文可以分发给公开请求者，在必要时，将其呈送给第三方，以用于检验所公开的公文的真实性。当将其分发给公开请求者时，在必要时可以要求对其进行部分公开或不公开。
例如，可以设想在送达该公开请求者的途中要求公文对第三方部分保密。更具体地，公文的一个部分或一个以上的部分可能必须对第三方保密，以使得只有该公开请求者能够看到公文的该部分或该多个部分，或者一个部分或一个以上的部分可能必须不仅对第三方而且对该公开请求者完全遮蔽和保密。
当公文的一个部分或一个以上部分可能必须对第三方保密时，要求可以对公文的部分公开和不公开进行控制，并且必须保证对于公开和不公开所进行的操作的恰当性和可信任性，以证实信息的不公开部分没有泄露给被授权的一个或多个查看者以外的任何人，证实除了该信息的不公开部分以外该信息未被更改(原始性、完整性)，并证实该信息的不公开部分是由该请求者制定的并且未被更改。
因此，用户使用该系统作为保存下述记录的部分，当由公文引起争执并被交给法庭时或者当向第三方证实该公文的真实性时，该记录可以作为证据出示。以下，将作为示例描述使用公共建筑物的申请。
因此，在本系统的应用场景中出现的角色包括“申请人”，其申请使用公共建筑物；“行政区官员”，其接收来自申请人的申请并将其作为公共文档登记在本系统中；以及“查看者”，其请求公开一组公共文档。
图14是应用于使用公共建筑物的申请的实施例的示意图。图14的地方政府文档管理系统与作为根据本发明的系统的具有查看者控制特征的部分完整性保证系统10相对应。图14中的电子申请接收服务器与图1中的接收处理部分20和入口站点提供部分100相对应，图14中的文档管理服务器与图1中的文档管理部分30相对应，而图14中的piat处理服务器和密钥管理服务器、时限管理服务器、信息公布服务器和申请人/查看者分别与图1中的piat签名处理部分40、密钥生成/管理部分50、时限管理部分60、信息公布部分70和用户90相对应，CA和TA(认证机构)分别与图14中的CA 200和TA 300相对应。
以下将描述该实施例的各个角色及其动作。
(行政区居民(申请人/使用者))申请人电子地提出使用公共建筑物的申请。此时，申请人可以使用个人计算机、手机或者PDA(个人数字助理)来进行该申请。
(地方政府文档管理系统、行政区官员)行政区官员接收来自行政区居民(申请人/使用者)的电子申请表、制定草案、获得必要的批准、发送许可、保存相关文档、检索必要文档以及公布这些文档中的任意文档。地方政府文档管理系统包括六个模块，包括电子申请接收服务器、文档管理服务器、信息公布服务器、时限管理服务器、piat处理服务器以及密钥管理服务器。以下将描述各个模块的操作。
(电子申请接收服务器)电子申请接收服务器接收来自行政区居民(申请人/使用者)的电子申请。该服务器还用作入口站点。
(文档管理服务器)文档管理服务器管理和保存出示给行政区居民(申请人/使用者)的官方批文。
(信息公布服务器)信息公布服务器遮蔽批文的保密部分、保存这些文档并将它们公布给行政区居民(查看者)。
(时限管理服务器)时限管理服务器控制从行政区机关公布的官方批文的保密位置的公开和不公开。
(piat处理服务器)piat处理服务器进行操作，以对保存在文档管理服务器中的任意批文生成部分签名并验证部分签名。
(密钥管理服务器)密钥管理服务器进行操作，以生成并管理用于对保存在文档管理服务器中的任何批文的查看者进行控制的加密密钥。
(行政区居民(查看者))，(审计者、警察、行政区居民等)行政区居民可以检索并查看由行政区机关公布的任何官方批文。必要时，行政区居民可以请求向第三方证实。以下将这些角色统称为“查看者”。
(CA、TA(认证机构))CA和TA提供电子签名、时间戳以及用于向第三方证实的其它信息，并确认电子签名和时间戳的有效性。
(公共建筑物(体育馆、游泳池等)的接待)各个公共建筑物的接待接收各个使用者的许可并检验该许可的有效性和真实性。
在上述应用场景中，本系统向申请人、行政区官员和查看者提供以下三种功能。
(A)接收功能(由申请人在申请时使用)(B)登记功能(由行政区官员在登记公文时使用)(C)获取功能(由申请人和查看者在获取公文时使用)以下将描述以上所列事件(A)至(C)的实现。
这里假设对于该应用场景要预先满足以下要求预先登记包括申请人、行政区官员和查看者在内的用户的用户认证信息，以使这些用户可以使用该系统，并且对访问进行严格控制。
(申请的接收/登记序列)图15是使用公共建筑物的申请的接收/登记处理的流程图。
(1)申请人通过互联网将其自己与电子申请接收服务器相连并访问该电子申请接收服务器。此时，假设申请人已在该电子申请接收服务器登记为用户。申请人通常通过其ID和密码进行登录并在申请输入表中输入必要信息。此时，假设待输入的信息包括用于识别申请人的个人信息(例如，姓名、地址)、使用地点、使用日期、使用时间区间等。当申请人执行输入后完成处理时，该申请表被暂时存储在电子申请接收服务器中。
(2)第二天由行政区官员对积累在电子申请接收服务器中的申请表进行处理以进行接受/确认，并依次进行处理以进行接受、起草和批准。此时，各个申请都与安全策略相关联并且在起草时限定一个或一个以上的保密位置。
(3)当完成上述接受/确认处理时，操作进行到保存阶段。行政区官员向文档管理服务器发出保存处理的请求。
(4)在接收到保存处理请求时，文档管理服务器向piat处理服务器发出生成piat签名信息[H1-1]的请求。此时，发送申请表[D1-1]。
(5)在接收到生成请求时，piat处理服务器为申请表[D1-1]生成piat签名信息[H1-1]。示出了生成piat签名信息的示例的图3也适用于该生成处理。此外，在加密处理中使用的生成piat签名信息的方法的基本原理与用于第一种场景中的上述基本原理相同，因此在此不再进一步描述。文档管理服务器从piat处理服务器获取piat签名信息[H1-1]。
(6)在从piat处理服务器接收到piat签名信息[H1-1]时，文档管理服务器进行到添加PKI签名和TS的阶段。由于申请表[D1-1]和piat签名信息[H1-1]此时已就绪，所以文档管理服务器将PKI签名和TS加到各条信息中。因此，可以通过采用分别由作为公共组织的CA和TA颁发的PKI签名和时间戳来强调该信息的可靠性和可信度并向第三方严格证实。
(7)将分别加上了PKI签名和TS的包括申请表[D1-1]和piat签名信息[H1-1]在内的两条信息作为原件集成地保存在文档管理服务器中的分类数据库中。
(8)然后，操作进行到部分加密阶段。向密钥生成/管理服务器发出生成加密密钥的请求，以生成用于加密的密钥。此时，对起草时限定的一个或多个保密位置进行处理，以进行加密。在该示例中，假设包括“姓名”、“地址”和“电话号码”在内的三条信息被加密，并对这些信息进行保密控制，以使得在请求公开文档时只有申请人能看到它们。换言之，可以根据信息公开法来查看该申请表，但是从个人信息保护法的角度对以上三条信息进行保密。
(9)密钥管理服务器生成用于“姓名”、“地址”和“电话号码”的加密密钥(公共密钥)，并将其存储在密钥管理服务器中。更具体地，以如下所述的方式存储该加密密钥。通过该示例中的申请人的公开密钥信息对用于“姓名”、“地址”和“电话号码”的加密密钥(公共密钥)进行加密。由于在该示例中不存在多个查看者并因此足以针对所述三条信息对单个查看者进行控制，所以当使用相同的密钥来控制/管理信息时不会出现问题。此外，在时限管理服务器控制/管理加密密钥(公共密钥)时，保护该加密密钥在解密后不会泄露。换言之，能够防止包含在经加密的申请表中的以上所列的三条信息泄露。例如，可以通过设置为使得申请表可以在自申请时起两年内进行解密(并因此而被查看)，但是在自申请时起经过两年后不能进行解密，来保证申请表的安全性。
(10)文档管理服务器接收来自密钥管理服务器的加密密钥，并执行对申请表[D1-1]中的保密位置的加密处理。在加密处理时的生成piat签名信息的操作与以上参照图3针对步骤ST-C9-1所描述的相同。此外，在加密处理中使用的生成piat签名信息的方法的基本原理与以上针对第一种场景所述的相同，因此在此不再进一步描述。
(11)随后，文档管理服务器向piat处理服务器发出生成pait签名信息[H1-2]的请求。此时，将暂时存储的部分加密的申请表[D1-2]发送给该piat处理服务器。
(12)接收到处理请求的piat处理服务器为部分加密的申请表[D1-2]生成piat签名信息[H1-2]。在生成piat签名信息时，piat处理服务器更改来自申请表[D1-1]的被加密的“姓名”、“地址”和“电话号码”的随机数，随后产生新的piat签名信息[H1-2]，但是使用与申请表[D1-1]的相同的“使用地点”、“使用日期”和“使用时间区间”(它们是自最后一次处理以来未被加密且未被更改的位置)的随机数。因此，可以通过对所生成的两条piat签名信息[H1-1]和[H1-2]进行比较来向第三方证实加密位置以外的任何位置未被更改。以上参照图3针对第一种场景给出的步骤ST-C11-1的描述也适用于此，并且基本原理与第一种场景的相同。文档管理服务器从piat处理服务器获取piat签名信息[H1-2]。
(13)从piat处理服务器接收到piat签名信息[H1-2]的文档管理服务器随后进行到添加PKI签名和TS的阶段。由于此时申请表[D1-2]和piat签名信息[H1-2]已就绪，所以文档管理服务器将TS和申请人的PKI签名加到各条信息中。因此，可以通过采用分别由作为公共组织的CA 200和TA 300颁发的PKI签名和时间戳来强调该信息的可靠性和可信度并向第三方严格证实。
(14)将分别加上了PKI签名和TS的包括申请表[D1-2]和piat签名信息[H1-2]在内的两条信息作为原件集成地保存在文档管理服务器中的分类数据库中。此时，为进行管理，使它们与已经存储的申请表[D1-1]和piat签名信息[H1-1]分开。通过这种方式，自动对版本号进行管理。因而，不管什么时候需要都可以通过利用具有版本号管理特征的数据库向第三方证实适当版本号的版本状态。当所有处理步骤都正常完成时，将与申请表有关的信息输入到文档管理服务器中的管理表中。该文档管理服务器中的管理表的条目设置与图5中的相同。多条基本信息及其设置与以上参照图5所述的相同，因此这里不再对它们进行进一步描述。
(15)最后，将目前为最新版本的申请表[D1-2]上载到信息公布服务器并对其进行登记，并且公开索引。
(16)正常结束对使用公共建筑物的申请的接受/登记处理并将使用许可发送给申请人。如果出现异常情况，则将错误通知给申请人并异常终止该处理。
(17)在该处理结束后，接收到使用许可的申请人可使用该公共建筑物。该公共建筑物的接待终端配备有条形码读取器，以使得负责该公共建筑物的人员能够读取印制在使用许可上的条形码，并且必要时与行政区机构中的文档管理服务器实时地进行通信，以确认该使用许可的有效性。以上描述了申请的接受/登记序列。
下面对公共文档的获取/查看序列进行描述。对于以下将描述的公共文档的获取/查看序列，假设两种场景，这两种场景包括其中查看者从信息公布服务器获取并查看由申请人提交并被行政区机关接收、认可、保存和公布的、作为公文的使用公共建筑物的申请表的场景；以及其中不是申请人而是行政区居民、审计者或者警官的第三方获取并查看申请表的场景。
首先，以下将对申请人本人进行的公共文档的获取/查看序列进行描述。
((申请人)获取/查看序列)图16是针对申请人的公文获取/查看处理的流程图。
(1)申请人通过互联网将其自己与信息公布服务器相连并对其进行访问。这里假设该申请人已在信息公布服务器中登记为用户。申请人通常通过使用ID或密码进行登录。信息公布服务器保存有所公开公文的索引，并且申请人可以从索引列表获得其想要获取的公文并查看。这里还假设申请人获取并查看作为由该申请人自己提交的使用公共建筑物的申请表的公文。
(2)在接收到来自申请人的获取/查看请求时，信息公布服务器参照指定索引来浏览数据库，以检索指定公文，如果找到，则从数据库获取该公文的原件。此时，信息公布服务器获取包括加密公文[D1-2]、piat签名信息[H1-1]和piat签名信息[H1-2]在内的三条信息。以下将这三条信息称为“piat验证信息组”。
(3)当完成获取处理时，信息公布服务器确认被加到piat验证信息组的PKI签名和TS的有效性。由于是在上载到信息公布服务器之后进行验证，所以该确认是必须的，并且信息公布服务器需要检验该信息是否已被更改。对于PKI签名，信息公布服务器向TA查询CA和TS，并获得验证结果。
(4)当确认被加到piat验证信息组的PKI签名和TS有效时，信息公布服务器向piat处理服务器发出验证该piat验证信息组的请求。此时，piat验证信息组被发送给piat处理服务器。
(5)在接收到该验证请求时，piat处理服务器利用该piat验证信息组执行验证处理。piat签名信息的确认处理与以上参照图8所述的相同。此外，确认piat签名信息的方法的基本原理与上述的相同，因此在此不再进一步描述。
(6)信息公布服务器获取来自piat处理服务器的确认结果。然后，该操作进行到对加密公文[D1-2]进行解密的阶段。在该阶段中，信息公布服务器向时限管理服务器发出时限确认请求。时限管理服务器浏览保存在该时限管理服务器中的管理表，获取可用时限，并将其与当前时间和日期进行比较。如果该时限不在当前时间和日期之后，则向信息公布服务器发送回解密许可，而如果该时限在当前时间和日期之后，则向信息公布服务器发送回解密拒绝。不用说，必须要求时限管理服务器无任何误差地精确保持当前时间和日期。时限管理服务器中的管理表的条目设置与图9的相同。多条基本信息及其设置与以上参照图9所述的相同，因此这里不再对它们进行进一步的描述。
(7)当信息公布服务器获得解密许可时，其向密钥管理服务器发出获取对应加密密钥的请求。此时发送给密钥管理服务器的信息为检索索引。检索索引是指“文档ID制定文档的人员一个或多个保密位置”。然后，密钥管理服务器利用检索索引来检索目标密钥信息。
(8)信息公布服务器从密钥管理服务器接收加密密钥，并通过申请人的保密密钥对加密公文[D1-2]中的“姓名”、“地址”和“电话号码”进行解密处理。
(9)在解密处理之后，确认解密信息的原始性。该操作与前面参照图8所述的步骤ST-V14-1相同并基于相同的基本原理。作为该验证的结果，能够向第三方证实由申请人规定的该申请表自制定之时起未被更改并未被更换，并证实该公文已被加密并且在加密时该公文的任何位置都未被更改，同时证实加密内容的一致性和原始性。由于申请人自己对加密位置进行解密，所以不必确认解密信息的原始性。
(10)最后，将验证结果和该公文一起返回给申请人，并且申请人确认其内容，从而正确地终止该获取/查看处理。如果出现异常情况，则将该错误通知给申请人并异常终止该处理。
以下将对由申请人本人以外的人员进行的公共文档的获取/查看序列进行描述。
((查看者)公文获取/查看序列)图17是公文获取/查看处理的流程图。
(1)查看者通过互联网将其自己与信息公布服务器相连并对其进行访问。这里假设该查看者已在信息公布服务器中登记为用户。该查看者通常使用ID或密码进行登录。信息公布服务器保存有所公开公文的索引，并且查看者可以从索引列表中获得其想要获取和查看的公文。
(2)在接收到来自查看者的获取/查看请求时，信息公布服务器参照指定的索引来浏览数据库，以检索指定公文，如果找到，则从数据库获取该公文的原件。此时，信息公布服务器获取包括加密公文[D1-2]、piat签名信息[H1-1]和piat签名信息[H1-2]在内的三条信息。以下将这三条信息称为“piat验证信息组”。
(3)当完成获取处理时，信息公布服务器确认被加到piat验证信息组的PKI签名和TS的有效性。由于在上载到信息公布服务器之后进行验证，所以该确认是必须的，并且信息公布服务器需要检验该信息是否已被更改。对于PKI签名，信息公布服务器向TA查询CA和TS，并获取验证结果。
(4)当确认被加到piat验证信息组的PKI签名和TS有效时，信息公布服务器向piat处理服务器发出验证该piat验证信息组的请求。此时，piat验证信息组被发送到piat处理服务器。
(5)在接收到该验证请求时，piat处理服务器利用该piat验证信息组执行验证处理。piat签名信息的确认处理与以上参照图8所述的相同。此外，确认piat签名信息的方法的基本原理与上述的相同，因此在此不再进一步描述。
(6)最后，将验证结果和该公文一起返回给查看者，并且查看者确认其内容。查看者获取以下多条信息作为验证结果。首先，查看者可以确认“姓名”、“地址”和“电话号码”被行政区官员遮蔽，并且除了以上所列的保密位置以外的相关位置(“使用地点”、“使用日期”和“使用时间区间”)自申请之时起未被更改。此时，尽管还可以看到所述保密位置以外的规定该公文的人员，但是从个人信息保护的角度来看，不公开规定该公文的人员。这样，获取/查看处理正确终止。如果出现异常情况，则将错误通知给申请人并异常终止该处理。
当警察调查该事情以了解申请人本人是否将该公文用作借口时，或者当警察怀疑某一案件并利用公文来查看行政区体育馆是否在所提到的时间和日期被使用时，会发生上述的应用场景。在这种具体情况下，警官可作为查看者查看公文并如申请人所能做的那样对被遮蔽的位置进行解密，以了解该公文中的所有信息。在这两种情况下，都能获得上述结果。
因而，本发明的上述实施例可以满足任何公知技术及其组合不能满足的要求。此外，与最接近的公知技术相比，上述实施例能够确定被遮蔽(被更改)文档的完整性和原始性。
通过本发明的上述实施例，可以使计算机将根据本发明的处理步骤作为电子文档管理程序存储在计算机可读记录介质中，并使该计算机执行该程序。可用于本发明的目的的计算机可读记录介质包括诸如CD-ROM、软盘、DVD、磁光盘和IC卡的便携式存储介质；适于保存计算机程序的数据库；其它计算机；这些计算机的数据库；以及通信线路上的传输介质。
权利要求
1.一种电子文档管理程序，该程序用于使计算机执行对通过作为原始信息的电子信息制定的文档信息的管理，该电子文档管理程序包括以下步骤部分签名处理步骤，用于检测是否存在对所述原始信息的一处或一处以上的更改，如果检测到存在更改，则识别一个或多个更改位置并对部分签名信息进行处理，以使得能够向第三方证实除了所述一个或多个更改位置以外所述原始信息未被更改；密钥生成/管理步骤，用于根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理步骤，用于将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
2.根据权利要求1所述的电子文档管理程序，其中所述密钥生成/管理步骤中的所述条件包括查看者。
3.根据权利要求1所述的电子文档管理程序，该程序还包括接收处理步骤，用于接收文档信息的管理；时限管理步骤，用于对在所述密钥生成/管理步骤中管理的所述加密密钥的时限信息进行管理；以及信息公布步骤，用于公布在所述文档管理步骤中管理的所述集成原始信息中的待公布信息。
4.根据权利要求1所述的电子文档管理程序，其中所述部分签名处理步骤包括部分签名生成步骤，用于执行生成所述部分签名信息的生成处理；以及部分签名验证步骤，用于利用所述部分签名信息来执行验证处理。
5.根据权利要求4所述的电子文档管理程序，其中所述部分签名生成步骤将所述原始信息分成多个部分，并根据各个部分的信息来生成所述部分签名信息。
6.根据权利要求1所述的电子文档管理程序，其中所述密钥生成/管理步骤通过被授权查看并管理所述加密密钥的实体(人员或系统)的公开密钥对所述加密密钥进行加密。
7.根据权利要求3所述的电子文档管理程序，其中所述时限管理步骤保存与在所述密钥生成/管理步骤中管理的所述加密密钥有关的时限信息，并利用该时限信息对访问进行控制。
8.根据权利要求3所述的电子文档管理程序，其中在所述加密密钥的有效期根据在所述时限管理步骤中管理的与加密密钥有关的时限信息而过期时，所述时限管理步骤使所述加密密钥和对所述原始信息的访问无效。
9.根据权利要求3所述的电子文档管理程序，其中所述信息公布步骤与所述文档管理步骤协作地获取、积累并公布仅被公布的信息。
10.根据权利要求1所述的电子文档管理程序，其中所述部分签名处理步骤包括部分签名生成步骤，用于执行生成所述部分签名信息的生成处理；以及部分签名验证步骤，用于利用所述部分签名信息来执行验证处理。
11.根据权利要求1所述的电子文档管理程序，其中向所述原始信息和所述部分签名信息添加电子签名。
12.根据权利要求1所述的电子文档管理程序，其中向所述原始信息和所述部分签名信息添加时间戳。
13.根据权利要求1所述的电子文档管理程序，其中所述文档管理步骤处理待作为原始信息进行登记的所有电子信息，并在原始信息被更改时，保留旧版本，并将被更改的文档作为新登记的文档保存，从而自动地管理版本号。
14.一种电子文档管理系统，该系统用于执行对通过作为原始信息的电子信息制定的文档信息的管理，该系统包括部分签名处理部分，其检测是否存在对所述原始信息的一处或一处以上的更改，如果检测到存在更改，则识别一个或多个更改位置，并对部分签名信息进行处理，以使得能够向第三方证实除了所述一个或多个更改位置以外所述原始信息未被更改；密钥生成/管理部分，其根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理部分，其将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
15.根据权利要求14所述的电子文档管理系统，其中所述密钥生成/管理部分中的所述条件包括查看者。
16.根据权利要求14所述的电子文档管理系统，该系统还包括接收处理部分，其接收文档信息的管理；时限管理部分，其对在所述密钥生成/管理部分中管理的所述加密密钥的时限信息进行管理；以及信息公布部分，其公布在所述文档管理部分中管理的所述集成原始信息中的待公布的原始信息。
17.根据权利要求14所述的电子文档管理系统，其中所述部分签名处理部分包括部分签名生成部分，其执行用于生成所述部分签名信息的生成处理；以及部分签名验证部分，其利用所述部分签名信息来进行验证处理。
18.根据权利要求14所述的电子文档管理系统，其中所述密钥生成/管理部分通过被授权查看并管理所述加密密钥的实体(人员或系统)的公开密钥对所述加密密钥进行加密。
19.一种电子文档管理方法，该方法通过计算机执行对通过作为原始信息的电子信息制定的文档信息的管理，该电子文档管理方法包括以下步骤部分签名处理步骤，用于检测是否存在对所述原始信息的一处或一处以上的更改，如果检测到存在更改，则识别一个或多个更改位置并对部分签名信息进行处理，以使得能够向第三方证实除了所述一个或多个更改位置以外所述原始信息未被更改；密钥生成/管理步骤，用于根据条件和情况生成加密密钥，该加密密钥用于控制对所述原始信息的任何部分的访问；以及文档管理步骤，用于将所述原始信息和所述部分签名信息作为集成原始信息进行登记和管理，同时控制对所述原始信息的任何部分的访问。
20.根据权利要求19所述的电子文档管理方法，其中所述密钥生成/管理步骤中的所述条件包括查看者。
全文摘要
本发明提供了一种电子文档管理程序、系统和方法。能够对电子文档的部分公开和不公开进行控制，并且能够向第三方证实其不公开部分以外的信息未被更改并保证解密信息的原始性。提供了下述的部分，该部分用于根据诸如查看者、系统和时间的条件和情况对电子信息的部分公开和不公开进行控制；还提供了一种技术思想，该技术思想用于通过生成与电子信息的文本相分离的部分签名信息(在以下所述的本发明的实施例中称为piat签名信息)，对部分签名信息进行分割，以保持和分离电子信息的功能和作用以及部分签名信息(验证信息)的功能和作用，来向第三方证实该电子文档的不公开部分以外的信息未被更改并保证解密信息的原始性，同时对电子信息的部分公开和不公开进行控制。
文档编号G06F21/64GK1992586SQ20061013667
公开日2007年7月4日 申请日期2006年11月9日 优先权日2005年12月7日
发明者吉冈孝司 申请人:富士通株式会社