控制和限制电子文档的可读性的方法

专利名称：控制和限制电子文档的可读性的方法
技术领域：
本发明涉及发表电子文档、同时控制其对公众的可用性的方法。具体但非排他地来说，本发明的实施例涉及共同用于在给定时刻或者在给定事件已经发生之后使公众或有限读者可用的电子文档不再是可读的或者开始成为可读的一系列数据处理过程、软件应用和硬件装置。
背景技术：
当前，存在通过各种密码技术安全地存储或传送文档的各种手段。能够使用“一次一密(one time pad)”算法的变体来使对称密码术是“理论上安全的”，“一次一密”算法在于使用至少包含与目标文档相同的信息量的密钥，同时更实用但不太安全的技术能够用于跨非置信网络来传递文档，从而消除对通信两端共享相同保密密钥的需要。另外，文档的加密和解密在当今仍然是这样的过程:该过程在很大程度上基于涉及主计算机在一端从初始明文(plaindocument)生成密文(cipherdocument)以及基于主计算机在另一端对密文进行解密并且重构明文的技术。在公钥密码术的背景中，集中“认证机构”在技术上已经实现并且然后在制度上已经建立，以便认证用于生成待传播和解密的比较安全的密文的某个保密密钥的有效性，使得拥有者的身份能够全部通过万维网近实时地建立。公钥密码术允许查明文档的原始发送方的身份和/或生成能够仅由所选定的读者来读取的密文。认证机构的引入是在通信方彼此未知的情况下认证密钥的有效性(即，要求与给定公钥关联的真实身份)的手段。一些认证机构还具有存储它们认证的部分或全部密钥的任务，使得用户能够在没有密钥拥有者的直接干预下对其进行访问。管理密码数据的广泛可用技术的一个显著缺陷在于缺少使文档作者控制接收方在没有与接收方的身份相关也没有与对其所需解密装置的已授权或未经授权的拥有相关的空间和时间的所确定条件下阅读该文档的能力的简单方式。另外，基于不对称密码算法的最广泛已知的技术具有不能够产生理论上可靠的结果、不能够甚至耐受一百年或以上的强力攻击或者可与此同时发现的其它解密技术的固有弱点。这使得使用现有不对称算法不适合驱动要求将密钥的可用性限制到直至某些事件发生的应用，因为信息在密码密钥的破坏之后在理论上也仍然是可用的，从而供对目标文档的直接解密之用。相反，可允许理论安全性的通常可用密码算法要求对称密码术，该对称密码术具有两个主要缺点:它在需要在密文的产生方与某个远程密钥持有方之间交换密钥的情况下极易受到中间人攻击，以及它易受到部分强力攻击。猜测密钥的一小部分常常足以恢复原始明文的信息的预期部分。

发明内容
因此，需要一种以更安全方式使原始文档可用并且保证其时间上的完整性的方法。按照本发明，这些目标通过所附权利要求书的目的来实现。


借助于作为举例所给出并且如图1所示的实施例的描述，将会更好地了解本发明，图1以简图方式示出按照本发明的一个方面的系统。
具体实施例方式本发明引入合作密码术的概念，其中作为涉及生成请求的计算机系统和完成请求的服务器或服务器网络{一袍、束H密码服务器系统)的迭代过程来创建能够用于对其进行译码的保密密钥和密文。具体来说，虽然有可能让服务的原始请求方在每一时刻来判定使密钥为公众可用，但是也有可能迫使客户端应用在解密阶段期间由中央服务器来辅助。这使得有可能迫使仅在原始请求方已经预先建立并且与专用和经认证客户端解密应用相结合的密码服务器系统具有执行的能力的一组初步条件下使用文档。典型使用情况在于由组织在内部使用的文档的“自动破坏”，并且在某个项目完成之后使其不可读。相反，大家能够设想若干情形、例如拍卖的公开报价的寄存，其中期望以不可读形式向所有参与者和发布者公告某些文档，然后在拍卖的最终期限到期之后使其可读。但是，本发明并不局限于这些示例，而是包含若干变体，其中按照某些预定义发表规则来使文档可读或不可读。例如，可在一定次数的阅读之后使文档不可读，或者在某些条件下将其转发到特定地址，或者仅通过众所周知的未修改客户端对其进行访问。除此之外，本发明还涉及新的加密算法，该算法基于众所周知的一次一密算法的变体对加密和解密客户綠与服务器系统之间的合作起作用，其中一次一密算法的变体使用密钥并且生成具有下列特性的密文:
-易于分为各在不同的可能未保护信道上可传输的组块(chunk)；
-在未定义的时间区间抵抗密码攻击；
-一旦将密钥应用于密文并且密钥和文档紧密地成对绑定(或者换言之，确保有不可能使用巧妙伪造的密钥文档来生成任意文档)，则授权原始文档的有效性和完整性。本发明的发明系统在一种变体中由以下详述的一组相互联系的组件来组成:
-具有如上所述的可分离、有抵抗力的和授权完整性的特定特征的理论上安全的密码系统。-协调操作以跨过程的端点安全地传递元素的地理上分布的服务器的网络(密码服务器系统)。-以绝对安全性将数据保存无限时间段的分布数据库。-允许客户端生成密码服务器系统的请求的网络可访问服务，其能够示为:
-用于保密组块的传输或者密钥组成部分的生成的面向基于网络的计算机程序的协议(如即，RPC)。-用于保密组块的传输和密钥组成部分的生成的基于万维网的计算机程序接口(如即，JS0N)。-万维网人类用户接口，其能够提供仅服务器侧的服务或者与通用和/或专用网络浏览器计算机程序集成。
理论h安全的密码系统
本发明所使用的密码算法是对称作“一次一密”的已知理论上安全的算法的改进。基本上，这个算法在于通过密钥的一个元素来变换原始消息的一个元素。这里所提出的算法基于相似的工作原理，但是它增加额外的安全性和设施，使得拦截加密消息的任何部分在没有全部其它元素的情况下是无用的，并且对加密文档的解码中的一个单一错误使其整体基本上是无用的。这种注意用于防止“中间人”解密攻击以及用于从攻击者可以能够拦截的元素来生成任意文档的“及应密■穷”的创建。现在将参照附图来描述本发明的实施例。它包括实现理论上安全的密码系统和分布密码服务器系统的实现。在第一步骤，在加密客户端120中例示负责加密文档的加密代理应用。加密代理通过适当网络、例如因特网来联络已知密码服务器151之一。在这个步骤，加密代理120向服务器151请求全球唯一会话/文档ID。该服务器生成和返回所请求的唯一 ID，并且还提供密码服务器系统中稍后能够联络以完成过程的其它部分的全局(globally)分布的服务器的地址阵列；加密代理存储所接收ID，并且必须在与那些服务器的任一服务器的每一个进一步通信中提供所接收的ID。在原始文档末端写入文档ID和其它管理数据，包括但不限于能够用于在解密之后认证文档的原始内容的电子指纹。就在文档末端，以反向大小编码来存储原始文档的大小(下面进行说明)。优选地，例如采用已知压缩算法，来使原始文档(OD)的熵为最大。优选地，将所产生的压缩文档(CD)填充到最小长度、例如256个字节或者任何其它适当值，以便简化后续步骤。然后，将压缩 文档(CD)划分成随机数量的块。优选地，块的数量和单个块的大小虽然是随机的，但是限制在合理的预定最大与最小值之间。例如，块的数量可限制在64与65534之间(包括64、65534)，并且必须决不大于压缩文档的大小除以4，使得各块具有能够介于4与65535个字节的范围之间的随机大小。各种算法可用于根据需要有效地将文档破解成随机块。各块取自压缩文档，并且被复制到将要成为源文档(SD)的内容。在各块前面，使用大小编码来依次写入块的大小和压缩文档中的块的序数(下面进行说明)。将文件中的随机字节选择作为开始加密位置。随机位置立即传递给阵列中的随机服务器。优选地，加密代理能够在不同加密功能之间随机进行选择。例如，加密代理120随机地挑选下列功能之一:二进制X0R、二进制旋转加法或者二进制旋转减法。代理120创建指示所选加密功能和加密块的大小的变量，例如单字节，其中前两个位指示将要使用哪一个加密功能，以及其它6个位指示在I与63之间随机选择的加密块的大小。这个字节表示加密块的开始。然后，向随机服务器151之一要求组成加密块的密钥的多个随机字节。服务器生成并且单独存储请求的数量和所生成的密钥字节。则经由先前所选算法(二进制xor、加法或减法)将字节应用于源文档。加密块开始，并且加密字节依次写入最终文档中。
该操作重复进行上述步骤，直到加密整个文档。优选地，在块的加密期间遇到源文档末端时，代理继续从文档开头取字节。当算法到达文件中接近起始点附近的点(小于64个字节)时，写入正好是所检测距离的长度的最后块。在这些情况下必须注意，这个最后块能够跨源文件末端出现，即，当起始点处于源文件的首个64个字节中时。将文档/会话ID记录在加密数据末端。加密代理120选择会话，通知所有先前联络的服务器加密完成。在需要时，它们将其组装并且存储在数据库中，如下面所述。服务器与加密代理之间的通信能够通过经由标准加密机制(即，HTTPS)所保护的通信信道进行，但这不是严格必需的。为了防止中间人攻击，跨不同加密请求的服务器的加扰是足够的，除了在有可能拦截代理所生成的所有通信的位置处发生攻击的情况之外。通常可用的加密通信协议的使用虽然与本权利要求书所示的算法相比极不稳健，但是在需要这个残留注意时进一步降低中间人攻击的可能性。服务器网络
按照一个方面，发明系统包括合作服务于来自世界不同点的单个请求的互连服务器的网络。服务器负责:
-对密码保密和密文的合作生成提供协调支持，以及更具体来说:
-向各加密请求提供全局唯一 卩密令牌)。-将强随机序列流提供给请求它们的客户端。-选择负责数据库中的密钥的最终存储的中央服务器。-将它们已经生成的密钥的部分传递给所选服务器。-提供密钥的分布数据库，用于密码保密的分散和镜像复制。-可选地，记录系统的用户的活动，更具体来说:
-跟踪不同用户对单个保密所生成的活动
-执行访问数据库的用户的个人身份连同与各访问绑定的网络相关数据(即，网络请求源地址、访问时间、访问持续时间等)的准时记录。-跟踪访问各秘密密钥的目的。-跟踪执行各访问的手段(更具体来说是荐这个步骤要求客户端程序的合作，客户端程序必须以这个具体网络架构特定的方式向服务器声明其应原卷致.。-与执行各访问的特定服务器无关地全局地执行与各访问相关的记帐。密f的牛成
为了提供唯一有效的ID，各服务器接收唯一代码，例如3个可读ASCII字符，将其添加到它生成的所有会话ID。然后，当代理请求所有服务器结束事务时，服务器选择负载文档管理的最终。选择按如下所述进行工作:
-各服务器将工作负荷(根据当前使用的计算资源)传递给正请求连接的客户端。-加密代理(客户端)120知道它已经从各服务器接收了多少密钥数据，因此它通过根据当前工作负荷加权已知数据的百分比来声明胜出服务器152。-将胜出服务器152和密钥块的总数传递给所有密码服务器。-辅助服务器151经由安全信道或专用连接将密钥部分传递给胜出方152。知道它的服务器还传递密钥起始位置。
-胜出方组装密钥，将它存储在分布数据库中(箭头210)，与此相似，对加密代理不可见的事务在图1中通过虚线箭头示出。随后，胜出密码服务器151向客户端121报告成功，客户端121还必须等待来自所有服务器的进一步确认，如下面所述，但是从这点开始，密钥存在于系统中，以及即使另外某个问题可能出现，它也被安全地存储并且准备好被使用。-胜出方和辅助服务器151、152还负责存储与对所有数据库节点创建的项有关的信息。每一个服务器向所有节点传递密钥的存在，在会话ID已经存在的情况下，它表示另一个服务器已经报告这个事实。-胜出方和各辅助服务器在完成时向客户端传递它们的“全绿”消息。在客户端接收来自一个服务器(可能尚未能够与数据库进行通信)的差错的情况下，它检查来自所有服务器的全绿消息；如果一个服务器所报告的差错没有被任何其它服务器修正(即，如果所有服务器具有关于同一数据库的问题，或者如果没有其它服务器报告与同一数据库正在联络)，则客户端向用户报告告警。-检测到数据库中的某一差错的服务器自主地启动差错报告过程，使得请求ID能够通过人工干预手动地添加到故障数据库。有效件规则
由加密客户端120进行的加密过程与确定在其下使原始文档可用的条件的一组有效性规则的定义相结合；作为举例，发表规则可单独或者组合地包括下列条件:
-仅在预定发表日期之后才使原始文档可用；
-仅在预定失效日期之前才使原始文档可用；
-仅对已经识别出他们自己的身份和/或其身份已经被检验的选定请求方使原始文档可用；
-仅对具有在经认可的地址的预定集合中的网络地址的请求方使原始文档可用；
-仅在通过经认证的应用所生成的请求之后才使原始文档可用；
-仅使原始文档可用预定次数。但是，上述列表不是详尽的，并且本发明可能可想象地应用其它规则。规则存储到本发明的分布数据库系统中并且链接到将它们所应用到的特定文档的ID，使得系统能够在每次解密被请求时检查其有效性，这在下面将会看到。分布数据库
密钥必须在数据库中安全地保存数年，理想地保存超过100年。另外，密钥很大(大约为它们所相关的压缩电子文档的大小)，因此能够安全地存储大量静态数据的数据库对这种系统至关重要。数据库理想地分为两个区域。内部数据库由一组后端服务器180来管理，后端服务器180不是网络上直接可用的，而是只能通过前端服务器达到。外部数据库仅包含当前可见密钥175或“有效”密钥(专用于一些用户的那些密钥或者现在可用于每一个人的那些密钥)，并且直接供前端服务器162处理。内部和外部数据库的每个数据库再次分为两个部分:管理表和物理密钥文件。图1中，内部数据库的管理表被标记为182，并且密钥被标记为181。相同划分优选地存在于外部数据库中，但是为了简洁起见也没有显示。管理表存储伴随各密钥的数据:其会话ID、其起始点、使用限制(发表起始和结束日期、剩余使用次数、分别触发发表起始或结束日期的特定事件或条件)、创建者以及可能的经认可使用密钥的实体的列表。密钥文件例如作为裸文件存储在高性能文件系统中，在目录树分级结构中供快速索引和取回。各密钥以其唯一会话ID命名，并且存储以在其中指配密钥的服务器ID命名的目录中。在那个目录内部，各密钥存储在以(除了唯一服务器ID之外)ID的第一部分命名的一定数量的目录下。树组织成使得各目录能够包含不超过10000个文件(该数量可相应地改变成最佳文件系统目录大小)。数据库在物理上构建为完全无关的一组节点。各节点包括后端服务器程序，后端服务器程序接收来自前端服务器的完整密钥和密钥通知，并且能够应答所确定密钥的取回请求。各内部服务器提供下列功能:
-密钥存储:按照胜出前端服务器的直接顺序来存储密钥。在本地复制文件系统(即，RAID电池)中安全地存储密钥之后，通知远程服务器已经将密钥引入系统。-密钥传播:在前端服务器的请求之后，可通知数据库服务器远程数据库中的密钥的存在。各服务器将周期 地询问服务器最初存储密钥的位置以便还将其发送给它们。-密钥服务:如果服务器具有密钥，则它被发送给请求实体，否则其返回与当前持有它的服务器有关的信息。-批量处理:密钥从其它服务器传递并且旧密钥的去除是各数据库服务器自主地处理的周期工作。-密钥激活:当密钥变为有效时(或者直接地，如果它由于在将来某个点变为无效)，密钥被发送给外部数据库服务器，并且通过所有外部服务器来复制。外部服务器161、162与内部服务器相似地工作，但是它们意在仅本地存储有效密钥。与内部服务器相反，它们不是直接从密码服务器151、152接收新密钥，而是仅从内部数据库服务器180接收。另外，客户端120与其直接连接以请求密钥。协调活动跟踪
在要求跟踪关于保密密钥的单个客户端的活动以便统计记录和记帐的情况下，在作为网络的部分的服务器之间mi密钥访问协议。并非系统中存储的所有密钥适合于统计记录或者要求访问跟踪，因为它们被声明作为调节其公开的规则的一部分是“可自由访问的”，或者由于相对这个系统所提供的功能性可具有有限范围的使用方案。在一些情况下，访问跟踪可以是部分的，并且仅要求局部跟踪，而无需由密■穷该7 激说所授权的全局系统跟踪和记帐。协议组织如下:
-当想要访问所存储密钥的客户端连接到网络中的随机服务器时，它向与其连接的服务器传送与其用户关联的凭证及其应原潜贫。废頌遵致■以加密形式传送，可能通过先前所述的加密方法，但是也通过其它强加密手段。-如果服务器当前不能直接访问所需密钥，则将客户端重定向到更可能具有对密钥的直接访问的前端服务器。但是，如果在系统中不存在密钥，则这种情况被立即检测，并且采用错误响应来通知客户端。-接受客户端请求的服务器检查它对状态的局部知识是否向内部数据库网络中的所有其它服务器广播密■穷使原要求；这与密钥是否能够有效地使用的事实无关(即使用户不能被授权对所请求密钥的预期访问，也全局地执行访问帐户)。-如果前端服务器具有立即拒绝请求的能力，则将密■穷使级要求标记为“纯信息的”，并且后端服务器不一定应答。由前端服务器立即向客户端通知差错状态。-在所有其它情况下，所有后端服务器必须更新它们的帐户记录并且进行应答，指示该要求是否被授权继续进行还是必须拒绝。-在后端服务器的一个或多个后端服务器应答操作被禁止的情况下，前端服务器以“中止” '取备失％密钥使用要求。各后端服务器记录活动，但是重置其自己的帐户数据(在它们从最近更新服务器被复制的等待中)。同时，前端服务器向客户端报告差错状态。网络可访问服备
合作密码服务意在均与专用计算机程序应用密切结合使用，以及发表想要使用系统提供商所提供的特征的第三方用户的服务，而无需必须创建一个机构内服务器系统。可使下列元素的每个元素为公众可用或者采用众所周知的现有手段分布在受保护的网络中(专用网络、防火墙规则、内联网系统等)。注意，这种手段描述访问密码服务系统的可替换方式，以及这种方法的一部分呈现不同安全等级并且提供不同性能和总体能力。换言之，并非访问系统并且使用其服务的所有方式可具有相同的密码强度或者无缝地提供相同选项。面向基于网络的计算机程序的协议
能够通过对齋器名■费.充当客户端而被最终服务用户看作是服务器的二阶服务器来分发服务。在这种模型中，文档通过与众所周知的HTTP/1.0相似的协议连同密钥发表的选项一起发送给二阶服务器。如密钥可用性的起始-结束日期、密钥使用、呼叫应用指纹、译码应用指纹、经授权密钥用户的身份元素等的选项在报头部分中发送，表示为冒号分隔的密钥-值对，由<CRLF>元素分隔。一个强制元素是“内容长度”，它声明在远程密码术的报头之后发送的文档的大小。成功时，在应答的主体中将成功应答连同密文一起返回。远程密码术的敏感文档的传输可在安全信道(加密虚拟专用网络、安全套接字层等)上或者经由本文档中所述的密码方法来执行。在后一种情况下，发送包含总文档长度和呼叫应用指纹的第一报头；然后，实际请求在客户端站点通过与其指纹关联的唯一预先生成密钥来加密，并且在已经访问共享密钥之后在主机站点译码。这个共享密钥存储在密码服务器系统中，并且可服从应用于系统中的任何密钥的同一有效性规则集合(实际上，二阶服务器在请求客户端应用密钥时充当标准客户端)。当请求密文的解密时，在客户端13上例示特殊解密客户端，并且将密钥的请求传送给外部服务器161之一(箭头230)。服务器能够从附于密文的唯一文档ID来确定所请求密钥，并且检验是否满足有效性规则中确定的条件。如果情况是这样，则密钥在分布数据库中取回，并且提供给客户端130，客户端130对文档解密。可替换地，如果发表规则允许其，和/或如果客户端130与服务器161之间的通信230充分安全，则文档的译码可在服务器中进行。基于万维网的计算机程序接口 在概念和结构上，与先前的方法相似，这种方法在于主持(host) Web2.0编程接口并且使所谓的Web-API暴露于第三方应用的前端二阶HTTP/1, x网络服务器。Web-API由能够调用以执行下列步骤的远程可呼叫功能组成:
-请求文档的密码术，并且将它与集中系统所提供的有效性选项关联。-查询某个密文的密钥的状态(即，当它将变为可用时和/或当它将到期时、可能使用的计数、预计读者等)。-发送密文，以得到解密版本。-请求保密密钥(它因其发表设定而能够分发给公众)。由于Web-API接口的性质,敏感文档传输的安全性能够仅通过完善建立和广泛共享的安全传输协议、如HTTPS或者在将来可变为可用的其它协议来被授权。基于网络的用户接口
与其它两种方法相似，这个第三种方法具体面向想要从它们具有的原始文档来生成密文或者在授权允许时从它们具有的密文来得到清晰副本的人类用户。通过基于网络的接口，用户能够向对最终密码服务器系统％当客户端的中间服务器上传待加密文档，并且将它与预期有效性选项关联(包括迫使预计读者证明自己的身份的手段，即读者必须知道的访问保密密钥的口令句(passphrase))。预计读者然后可上传密文，并且最终提供识别手段，使得前端服务器访问密钥数据库并且向用户提供译码文档，假设遵守发表条件。由于这个接口的性质，访问系统的这种方法仅在最终文档的公开不是关键的、至少在保密已经公布之后不是关键的那些情况下才是适合的；或者在接收密文方在对其译码之后不公开文档的内容方面能够是置信的那些情况下才是适合的。另外，敏感文档传输的安全性能够仅通过完善建立和广泛共享的安全传输协议、如HTTPS或者在将来可变为可用的其它协议来授权。应用的示例和本发明的使用
使用本发明的一种实用方式是提供一类电子封蜡(sealing-wax)。假定需要产生必须让某个接收方或某些接收方深/#但在某种条件发生之前没有廣7读的文档的副本。例如，专用时间长拍卖通常通过在密封信封中发送报价来保持，信封在某些预定期限到期时开启。能够通过本发明来实现的电子版本允许各参与者加密其报价并且将加密文档发送给除了卖方之外的每一个其他参与者。当经过拍卖期限时，用于加密报价的密钥变为可用，并且每一个参与者能够解密和阅读他人的报价。将此扩展到公众拍卖，能够使表示每一个参与者的密封报价的密文可用于供公众下载；当期限到期时，每一个用户能够通过与网络文档上传同样简单地手段对各报价译码，因而提供针对任何形式的滥用的拍卖程序的透明度。这种系统还能够用于确保敏感文档的一个或多个接收方的身份。假定敏感文档的发布者创建密文并且将它发送给一组接收方；它将可能的密钥使用的计数设置成接收方的相同计数。通过检查密钥的帐户状态，发送方能够知道哪些接收器被认为已经阅读了该文档。当所有接收方已经访问该文档时，密钥变为不可用，从而即使密文被拦截也防止泄漏秘密，以及如果接收方传递它们不能访问的文档，则其至少知道已经损害了秘密。本发明的另一种应用和使用由产生将秘密发送给不安全终端、如蜂窝电话的客户端程序组成。通过将对密钥的可能访问限制到一次使用，读者只能够通过经认证客户端应用来读取加密消息一次；此后，该文档变为不可用，尽管它仍然可采取加密形式存在于电话上的事实。本发明的另一种应用和使用是自行关闭万维网可访问超文本页面。网络内容作者(即，简单琢络豪理身或可能的/虞主)可以成非文本表示(例如照片、文档的打印输出或者经由现在广泛可用的文本-图形技术的直接图像)的通过在传输过程中(on-the-fly)对静态加密内容解码的网络应用来发表其页面的特定内容。当页面到期时，明文的内容不再可用，即使用于生成动态内容的加密文档仍然存在于不在博主控制下的网络服务器的备份中。能够相反地应用相同原理，预先加载仅在某个日期之后才必须使其可用的内容。使用本发明的另一种实用方式可在于授权软件资源的时间限制使用。软件屋(software house)可使用该系统在传输过程中对程序的功能元素或者某个数据库的密钥元素或者期望限制其访问的任何数字存储信息解密，从而将它们与可限制到准确合同条款(contractual term)的密钥的状态关联。
权利要求
1.一种使来自一个发布者的原始文档为一个或多个接收方可用的方法，包括下列步骤: 从服务器系统得到加密密钥， 按照由所述原始文档的内容和加密保密来确定的方式将所述原始文档加密为密文， 定义确定将要使所述原始文档可用的条件的一组有效性规则， 将所述密文传送给所述接收方或者所述多个接收方， 仅当满足所述有效性规则中确定的条件时，才将解密密钥传送给所述接收方， 对所述密文进行解密，以便按照由所述解密密钥确定的方式来重构所述原始文档。
2.如权利要求1所述的方法，还包括将所述原始文档分为具有确定长度或随机长度的多个块的步骤，其中得到加密密钥的步骤包括得到各块的加密保密密钥的步骤。
3.如以上权利要求所述的方法，其中，所述服务器系统包括多个互连服务器，从不同服务器得到所述加密保密密钥。
4.如权利要求2所述方法，其中，所述加密步骤包括选择各块的不同的理论上安全的加密功能的步骤。
5.如以上权利要求所述的方法，其中，所述加密功能基于一次一密方法。
6.如以上权利要求中的任一项所述的方法，包括将唯一标识代码指配给所述密文的步骤。
7.如以上权利要求中的任一项所述的方法，其中，确定使所述原始文档为可用的条件的所述有效性规则包括下列条件的一个或多个: 仅在预定发表日期之后才传送所述解密密钥； 仅在预定失效日期之前才传送所述解密密钥； 仅在请求方已经识别出他自己的身份并且其身份已经被检验之后才传送所述解密密钥； 仅将所述解密密钥传送给具有在经认可的地址的预定集合中的网络地址的请求方； 仅在通过经认证的应用所生成的请求之后才传送所述解密密钥； 仅传送所述解密密钥预定次数。
8.如以上权利要求中的任一项所述的方法，包括记录远程访问秘密的活动以及记录所述秘密的用户的身份和目的的步骤。
9.一种包括多个互连服务器的系统，设置成提供执行如权利要求1-8中的任一项所述的方法的加密和解密秘密。
10.一种包括存储软件代码的计算机可读非暂时介质的计算机程序产品，软件代码是由计算机或者由分布计算系统可执行的，使那个计算机或者那个分布计算系统执行如权利要求1-8中的任一项所述的方法。
11.如以上权利要求所述的计算机程序产品，包括实现远程过程呼叫协议的软件部件。
12.如权利要求10所述的计算机程序产品，包括实现能够由用户和其它万维网感知计算机程序产品来访问的万维网接口的软件部件。
全文摘要
共同用于实现在给定时刻或者在给定事件已经发生之后使公众或有限读者可用的电子文档不再是可读的或者开始成为可读的能力的一系列数据处理过程、软件应用和硬件装置。典型使用情况在于由组织在内部使用的文档的“自动破坏”，并且在某个项目完成之后必须使其不可读。相反，可采取不可读形式向所有参与者和发布者公告拍卖的公众报价，然后在拍卖的最终期限期满之后使其可读。此外，可在一定次数的阅读之后使文档不可读，或者在某些条件下将其转发到特定地址，或者仅通过众所周知的未修改客户端对其进行访问。
文档编号G06F21/10GK103168307SQ201080067906
公开日2013年6月19日 申请日期2010年5月4日 优先权日2010年5月4日
发明者G.尼科莱 申请人:C.K.D.密码匙数据库有限公司