本发明涉及到在一个网络计算机环境中信息的软件管理。尤其是本 发明涉及到一个工作在因特网上的软件系统，它可以生成一个用户能够 以可信任与可控制的方式去创作、保护、搜索、交换和处理个人信息的 虚拟私人网络。这种软件系统包括可信任的群体和他们的会员，其中一 种可信任的权利保证那些群体会员的身份与个人信息。一个用户一经在 一种可信任的群体注册，该用户就能够随意制作和保护超媒体内容，支 配和控制他们个人信息基本规则的演示和处理。

因特网的引入和加速利用已经使个人信息在数量与可用性两方面的 飞速发展。但是很遗憾，因为因特网一般不受限制，所以不能够保证所 有的信息都是准确和可靠的，并且数据源经常是不可确定的。此外，除 非采取特别的防范，否则任何通过因特网传送的信息都会受到窃取和滥 用。对于数据可靠性和数据保护的这些利害关系可以结合到一种可信信 息公用的多方面概念。如果数据是准确的并且能够被鉴别或确定，则数 据具有可靠性与可信度。信任的利用是当数据适合于访问或处理时由数 据的拥有者批准的，并且根据拥有者建立的规则继续的支配和控制是存 在的。当处理个人数据时信任的利用或信任的处理是特别关键。个人信 息，如个人的信用度、医疗历史、职业背景、或者生活方式现在是都可 以通过各种途径上因特网。执法机构、信贷部门、房东、以及其他人可 以利用这些信息来帮助他们作出决定。因为所有这些群体利用不正确的 数据，或者他们利用了他们不应当有的信息来做出明显地影响私人生活 的决定可能是毁坏性的。

因此，人们认识到有些事情必须做到保护个人的信息和是尽量多的 个人加入因特网，这将更紧迫去搜集，使用以及销售可利用的个人信息， 并且该个体将希望参与，支配和控制这种活动。总的来说，这些思想不 能够用现有因特网上可利用的工具来完全地实现，而且也没有工具可以 有效地体现这种思想。所以，现在需要为个人信息的安全与交换提供一 种因特网实用程序或者一种工具。

因此本发明的目的是有助于在因特网上个人信息的信任的利用，这 是通过1)为一些个人或者机构提供一种结构方式安全地编写和密封个人 数据并且处理支配个人信息的演示与处理的规则，同时2)准许个人或机 构在网络计算环境内对他们的个人信息的随意支配和控制。

本发明是一个用于工作在网络服务器上的软件系统，具有支持在个 人用户的个人计算机系统上运行的应用，包括有线和无线远程-计算系统。 本发明被应用于允许个人或实体在一个计算机网，包括因特网上来保护、 支配、控制、和处理个人信息的一个系统。尤其是，本发明方便于网络 信任的电子群体的结构和使用，此后成为电子都市群体，其中每个电子 都市群体包括几个符合共同管理需求的会员。更可取的是，正是这个电 子都市群体建立了注册规则和验证会员本身的身份或者方便于其他信任 的证明授权的使用。每个会员的信息身份是作为一个电子个人信息代理 封装在电子都市群体中，此后称做E-PIA(电子个人信息代理)，伴随着 每个E-PIA表示一个会员的信息和行为，伴随着一些信息是由每个会员 提供的以及一些来自可信贷外部来源的信息到会员的电子都市群体。通 过建立和实施注册规则以及执行负责的和审查的会员身份的验证，如果 选中，个人信息证明，该电子都市群体就建立一个群体，在该群体中每 个它的会员都能属于和参与一个私人的权利和责任以及信息的自己确定 都可以实现的电子领域。因此，正是经过一个可信任的电子都市群体的 协会和证明，一个会员在其他交易中就变成可信任的和可靠的，但是更 重要的是增加了他们的数据的控制。

一旦一个用户是电子都市群体的会员，该会员能够分派访问每条个 人信息。这些访问规则设置在一个个人信息能够被处理之前必须满足的 请求。此外，电子都市群体可以获得为所有交易必须满足的最小标准。 当一个为特殊的信息请求被接受时，附加到这个信息电子都市群体标准 与规则由一个对电子都市群体是特殊的处理来检查，此后称为电子都市 群体的电子代理(E-Broker)。假如如此，该电子代理允许请求的信息 被处理；如果不是，该电子代理不允许请求的信息被处理。此外，该信 息可以用附加的传输优先权规则打包传送，简而言之，这些规则为处理 请求由任何除原来的成员之外地其他人来确定。利用这些传输优先权规 则，一个会员能够保持在第三者目的地和他们个人信息的处理上的支配 和控制。

一个会员还可以创建一个代理，此后称为E-AutoPIA(电子自治个 人信息代理)，与任何电子都市群体中的其他会员交互作用，或者甚至与 对任何电子都市群体的外部数据交互作用。这个代理包含一个该会员个 人信息的子集，附加地包含一个引导代理的活动的路线。因此，该代理 能够与其他会员的个人信息以指引的路线进行交互作用。

附图描述：

通过下面参照附图对优选实施例的详细描述本发明中，上述的和其 他的目的，特点和优点将更明显，附图包括：

图1显示连接到网络服务器的一些用户访问因特网。

图2显示优选实施例的一个用户如何查看因特网上的其他电子群 体。

图3显示一个数字证书的元素，即VeriSign(一个提供数字标识的 机构)的数字标识。

图4显示RSA(美国RSA实验室，以研究加密算法而著名)公共密 钥如何工作以及一个数字签名如何被生成和附加到一个文件去确认作者 身份。

图5显示一个E-AutoPIA在电子都市群体(E-Metro Communities)的外部操作。

图6显示一个已经从几个电子都市群体搜集几个信息的E- AutoPIA。

图7显示几个网络服务器，一个用户的个人计算机连接到因特网并 附加一个无线通信装置。

图8显示几个电子都市群体系统伴随由因特网内部连接的其他资 源。

图9显示电子都市信任服务器的结构。

图10详细地显示图9所示的电子都市信任服务器中(分布对象资 源管理系统服务器)子系统。

图11a-d是为了几种目的用在优选实施例中的详细存储结构方式。

图12详细地显示用在图10分布对象资源管理系统服务器子系统 中的信息子系统。

图13是一个电子都市群体对象的Booch图。

图14是一个电子代理对象的Booch图。

图15a是一个E-PIA对象的Booch图。

图15b是一个信息E-PIA对象的Booch图。

图16是一个E-AutoPIA对象的Booch图。

图17是一个路线对象的Booch图。

图18是一个交互指令对象的Booch图。

图19是一个交互协议对象的Booch图。

图20是一个规则对象的Booch图。

图21是一个参数对象的Booch图。

图22描述用在优选实施例中对象的各种分类的关系。

图23显示使用在优选实施例中对象模式描述的基本Booch符号。

图24显示通信外部到所有采用RSA类安全和加密的电子都市群 体。

图101是对优选实施例显示初始屏幕的用户界面。

图102是对优选实施例显示进入系统屏幕的用户界面。

图103是对优选实施例显示群体编目屏幕的用户界面。

图104是对优选实施例显示如何建立和执行搜索显示搜索结果的用 户界面。

图106是对优选实施例显示一个已经编写电子都市群体注册的初始 页的户界面。

图107是对优选实施例的一个用户界面，它显示选定电子人物(E- Being)实现他们的个人信息的一个信任表示，其具有一些元素和表示 安全与锁定状态的分布，原因是需要的观察者不符合由电子都市群体和 电子都市群体会员设置的必要条件。

图108是对优选实施例展示通过公开的与不公开的访问处理规则表 示附加个人信息分布的用户界面。

图109是对优选实施例展示规则编写与对特殊个人信息分布和特殊 组或一个群体的子群体两者的规则安排的用户界面。

图110是对优选实施例展示管理规则编写与对特殊个人信息分布和 特殊组或一个群体的子群体两者的规则安排的用户界面。

图201详细描述电子集市电子代理子系统。

本发明详细描述：

本发明的优选实施例主要工作在一个网络服务器上，并且支持工作 在各自的个人计算机系统的应用。对于一个用户，优选实施例表现为一 个网络站点，所以可以通过已知网络站点地址简单地访问它，但是它是 一个具有综合安全保护措施的网络站点：防火墙，代理服务器，SSL(加 密套接协议层)授权网络服务器和客户，数字证书，硬件令牌，安全策 略和规程。不仅网络站点将典型地需要对访问基本验证身份，而且电子 都市群体及会员与其他电子都市群体之间的通信也将要加密。对于用户 身份的附加确信，一个任选的硬件令牌或者可靠的卡安全系统可以实现。 这个安全系统将在后面讨论。

如前所述，信息的信任处理有两个部分：内容的可靠性与处理的控 制，而且每个都是由本发明优选实施例编址。这是一个最早和最清楚要 讨论的采用一个大城市模拟的优选实施例。正如在一个大城市里，因特 网提供一个个体一个地方去满足其他人，共享信息，寻求娱乐，做工作， 以及购物。同样地，因特网上的每一个个体都有一个可以通信的相应地 址。在城市里，当你第一次会见某人并可能不希望给予这不可信赖的某 人太多信息时，必须采用谨慎的态度。还有，与一个陌生人进行商业交 易必许仔细地检查商品的质量，支持的标准，或者未知的产品产地。这 些同样在因特网上与新的相遇与交易出现。

在城市里，人们利用一个不熟悉的个人的联合来降低那些新结交和 交易的风险。例如，某人穿着一身警察制服，我们一般比较愿意向他们 提供我们的驾驶执照编号，家庭住址，和其他的个人信息。如果某人坐 在律师办公室并且出示给我们印有律师头衔的名片，我们一般愿意陈述 秘密信息。还有，如果某人生活在我们相同的群体中，可能是我们的邻 居，我们将非常愿意共享信息并且认为处理一件交易安全。在因特网上， 如果某人有一个带有“gov”结尾的地址，我们认为与他们做买卖安全， 当一些政府机构已经允许他们从一个政府的服务器访问因特网时，这就 给用户一种可信度的样子。如果这个用户处理一件坏的交易，允许他们 访问因特网的代理可以接触。然而，大量主要的因特网上用户从网络服 务器将没有他们的可信度线索。因此，本发明优选实施例提供一种方法 来减少在新交互中的风险，并且增加其他用户说他们是谁的可能性：优 选实施例创建基于信任电子群体的代理规则。

在城市中，市民属于几种群体。有一些群体是以地区，种族背景， 宗教，母校，雇佣，或者习俗而划分的。一般地，人们从他们属于的选 定群体中得到大量的认同和满意。对于有人要申请作为一个公司的雇员， 一个宗教的信徒，或者一个业余的专家这都是非常普通的事。属于一个 群体不仅对该会员是亲自满足，而且还允许考虑电子都市群体的荣誉以 降低涉及任何其会员的风险。

在本实施例中，一个用户可以加入一个或者多个电子都市群体。这 些电子都市群体的每一个都独立地由一个设定入会请求，识别会员资格， 发布数字证书，以及设置适合会员服务的管理员操作。这些电子都市群 体实际上是在因特网上作为一个网络站点实现，但他们是一些作为具有 大量智能与实用的特殊网络站点。图2显示一个使用优选实施例因特网 用户的视图。该用户将是一个或多个电子都市群体11的会员并且他将意 识到因特网上有几个其他的电子都市群体11。该用户将使用一种在个人 计算机上运行的网络浏览器如网景导航者15访问因特网并且试图成为 一个或多个电子都市群体11的一个会员。当期望成为一个电子都市群体 的会员时，为了成为一个会员可能要从电子都市群体或者一个将需要用 身份信息和需要验证的公共电子人物存储库13查找一个没有注册的或空 的电子人物。在访问期望要加入的电子都市群体之前一个未注册的电子 人物可能被检索。一旦一个用户被批准加入到一个电子都市群体，该用 户就变成这个电子都市群体的一个会员并且可以使用电子都市群体管理 员提供的服务。这些服务可能包括连接到其他的电子都市群体，购物， 或者存取信息。除了标准的 网景导航者15外，会员还将需要一些在他 们本地计算机上附加的支持软件，客户子系统17。这些客户子系统17 支持程序是一些允许 网景导航者在特殊电子都市群体支持中具有特殊功 能性的处理过程。这些程序作为优选实施例的一部分将被提供，但是它 们将是由电子都市群体管理员或用户可配置的以便提供特殊功能性。这 些程序可以以任何语言编制，但是Java(一种Internet上广泛使用的 OOP语言)是当前最可取的。然而，电子都市群体的对象除了标准基本 浏览器不应该需要附加软件，如此保持非常容易地支持客户软件子系统。 此外，会员可以要求增加优先权或者访问一些没有权限的特殊电子都市 群体服务。电子都市群体能够需要进一步在形式上必须申请批准的要丰 富的信息。这些形式存储在一个电子人物存储库13，并且能够建立为一 个独立的网络站点，一个FTP站点，或者任何其他允许在因特网上的存 储结构。

记住信任处理包括可靠性和可控制的处理，在优选实施例中，私人 数据的信任处理是通过两种手段改进的。首先，被处理的个人信息是由 个人编写和监督。这个信息还可以由第三者校准，他是颁发确证由个人 要求事实的数字证书的人。该存储信息对个人是透明的。此外，用户自 己能够请求信任鉴定权以便校准和宣称该个人信息的可靠性。这些鉴定 权限颁发数字证书宣称该数据的可靠性。一个例子是信用组织，它将证 明私人的金融或者贷款数据。随着一个电子都市群体可靠性的信誉以及 个人信息处理的用户中央控制的增长，信息价值和其用户的相互信任也 将增长。

信任处理的其他方面，数据的保护是在两方面由本发明优选实施例 改进的。首先，优选实施例采用最新的技术，如公共密钥加密方法，以 安全地存储和传输信息。公共密钥加密方法将在以后章节更详细地讨论。 这些技术确保数据在传输中如果被截获时不会被解密，而仅有特定读者 才能解密和获得该信息。优选实施例的第二个安全特点被设计在处理信 息的量上安排一些控制被处理的信息量以进行限制，而只有符合特定标 准的收件人才可以利用该数据。这个安全特点允许用户设置一些支配个 人信息的处理与使用的规则。例如，一条规则可以表述为：法律方面的 历史信息可以发布给来自美国律师协会电子都市群体的用户。另一个规 则可以表述为：可以允许一个单身的、来自一个特定的地区、并且同意 使他们的家庭电话号码可以在一个被控制区域内使用的用户利用一个家 庭电话号码。通过建立满意的规则，个人能够提高最可信任的用户控制 个人信息的利用。此外，用户可以建立传输规则附加到信息的控制信息 的电子发布处理。因此，当一个用户认可可信任的个人信息的远程处理 时，该信息被用于一种允许用户保持该信息随后如何利用的支配和控制 的方式。

优选实施例此外还允许个人去为处理金钱或其他有价物质的个人信 息建立一些规则。个人的偏爱，身体特征，以及购买习惯对那些销售的 产品有购买力。传统上，销售公司将搜集和组织这样的信息并且买这些 邮件表给那些有一种产品对表中的一些用户感兴趣的商人。利用优选实 施例，某个个人可以允许他们自己的个人信息直接地或者通过一个销售 公司提供给一个商家，因此而共享由可靠的个人信息的信任处理产生的 价值。

现在参照图101，当访问一个电子都市群体网络站点时用户可以看 到显示的一个例子。在此，一个计算机用户在他们的个人计算机上正在 运行 网景导航者，并且可以看到标准的 网景导航者菜单项501。要做到 这一点，用户必须把电子都市群体的网址提供给 网景导航者，而 网景导 航者经过用户的网络服务器连接到位于远程的电子都市群体网络站点的 网络服务器。一旦访问成功，电子都市群体网络站点就把这个引导屏幕 511发送给用户，它包含一个地理标志505和特定给这个电子都市群体 的标题503。用户可以选择三个任选按钮之一；获得这个电子都市群体 上的更多信息，进入该电子都市群体(需要保密登记)的合适服务，或 者，如果一个新用户被注册为该电子都市群体承认的用户。如果该用户 选择注册，该注册项目将由电子都市群体提供或者从一个电子人物存储 库检索，并且用户将创建他们的电子人物，类似于填写一个标准表格。

如果该用户选择了服务选项，用户将被询问安全信息与/或硬件令牌。 在图102中，电子都市群体仅仅询问一个基本的证明身份和一个安全码 或者口令回答515。一旦用户选择“OK”517，用户就被允许进入这个 电子都市群体，用户可以利用那些可用的服务。在这个例子中，会员是 用图103中所示的群体可用屏幕521呈现出，它是由一个标志图505 和群体连接523组成。在这个电子都市群体中那些可用的服务包括检索 和选择，注册更新，广告，购物，顾客支持和由电子都市群体管理员选 定的其他服务。在电子都市群体中提供的检索服务对于实现参数查询是 有实用性的。图104显示在这个电子都市群体中满足一个特殊查询请求 的会员的部分视图，允许选定的会员通过选择一个图形连接527来选择 特殊的E-PIA。提供的请求会员具有由询问会员设定的适当资格，询问 会员的信息能够被请求者看见。

优选实施例的前提是在用户至少具有一个电子都市群体的资格，具 有电子都市群体确定的会员义务和权利。在优选实施例中，电子都市群 体具有三个基本的责任。第一，电子都市群体建立接纳产生高可能性的 他们说他们是谁的申请接纳的人的请求。第二，电子都市群体具有在适 当的位置安全测试以便适当地确保一个会员的身份不能被其他人窃取。 第三，电子都市群体建立正做生意和准确公开有诚意的会员一个高可能 性的一些标准。

对于确保申请人他们说他们是谁的第一责任是在优选实施例中以两 步骤处理满足。在第一步骤中，一个申请者利用 网景导航者15访问他 们想要加入的电子都市群体的网络站点。这个用户从一个电子人物存储 库13中选择注册对象，填写它并且提交给电子都市群体管理员。电子都 市群体管理员审阅该申请以便保证申请者满足电子都市群体的资格。如 果申请者满足资格，申请过程进行到步骤二。在步骤二中，申请者/用户 个人出现在电子都市群体管理员或者其他可信任的权威或者机构(如鉴定 权威或公正人)面前，以检验用户的身份。申请者可以提出一个或多个身 份标识，如出生证明，驾驶执照，护照，社会安全卡或者其他可靠的身 份手段。一旦申请者被识别并且产生一对密钥，结合公共密钥和会员与 电子都市群体信息，他们被发给一个数字证书。选中一个安全密码或询 问应答访问方法，如果需要的话还可以选择硬件令牌。在一个会员至少 有一个数字证书和完全地使用选定的和批准的电子都市群体服务的访问 方法。电子都市群体现在合理地保证他们说他们是谁的人并且已经解决 注册者申请的处理。

电子都市群体的第二个责任是保证仅有原始的申请者能够使用该会 员的身份。上面描述的数字证书和安全密码或询问应答将帮助保证一个 个人身份的安全性，但是新技术考虑到甚至更大的安全性。对于这种先 进的安全性，电子都市群体可以颁发用户一个硬件令牌或安全卡，如 Gemplus，Schlumbarger，和Spyrus公司销售的商用硬件令牌或安 全卡。虽然来自Spyrus的安全卡有几种关于能够保持信息的选择，三 种特别有用的项目是：1)关于用户的基本信息，2)一个数字证书，和 3)由检验电子都市群体数字地签署的电子都市群体数字证书。第一项可 以包含几个信息，其中包括：口令、安全密码和能够被优选实施例使用 去验证用户的身份的特殊的询问或者密码短语。为了这个询问的安全性， 用户用仅有该用户知道的询问应答对来加载安全卡。当用户等待访问电 子都市群体时，安全卡通过提供一个必须精确回答的询问短语询问用户。 第二项，数字签名是一种先进的安全结构方式，这种结构允许发送者附 加一个数字签名到一个保证确实是由发送者创建的具体文件。关于数字 签名更详细的描述将在下文中讨论。那些本技术领域内的专业技术人员 可以采用保证一个用户身份的目前的安全的其他选择，如生物测定学。 可能包含在卡中的第三项存储关于证明这个特定用户的权威机构的信 息。这个权威机构可能是政府部门、一个电子都市群体管理员或代理人、 或者是一个商业机构。如果保证代理商的安全政策与程序具有越多的责 任、更大的投入和更周密的计划，则他对会员的信用担保的可信度越高。

电子都市群体的第三个责任是要保证会员正当地进行交易，并且准 确和诚实地公开个人信息。对于电子都市群体这是主要的一个工作是把 那些违反交互政策的人从电子都市群体消除。规章的严格实施将保证电 子都市群体在可信度和准确度上具有更好的声誉。

只要存在会员身份的保证，安全性的下一级是要保证会员能够与电 子都市群体通讯而不被为授权的个人截取和获得消息和信息。这种安全 性级别有两个主要部分。第一，优选实施例采用由网景批准的交易事务 安全协议，包括在因特网上用信用卡购买。第二， 网景导航者网络浏览 器已经建立了加密技术，称为公共密钥加密法，它能够保证从会员到电 子都市群体的通讯安全而不能被外部截取和获得。优选实施例采用由美 国RSA数据安全有限公司提供的公共密钥加密法，但是本领域内的专业 人士还可以有其他的选择。

公共密钥加密法是当前众所周知的一种为了信息安全传输的方法。 图3中所示的是一个公共密钥加密法的工作框图。在这种方法中，每个 用户有一个编码对，其中一个编码是公用的而一个是私人的。这些编码 通常称为密钥，所以每个用户都有一个公共密钥和一个私人密钥。该公 共密钥清单25是广泛地分发给任何一个可能需要发送信息的用户。然 而，私人密钥是由个人保密。例如，如果“A”想要秘密地发送一个文件 到“B”，A将用B的公共密钥19加密该文件。这个密钥是公开的并且 任何需要它的人都可以得到。在加密后，文件21只能用B的私人密钥23 解密，该密钥只有B知道。因此，如果B有适当加密的私人密钥，则只 有B将能够接收和解读该加密的文件。如果该文件是通过一个没有加密 的传输方法如电子邮件、因特网、或者电话线发送都没有关系，因为没 有人能够截取该信息并能够解读它，除非他们通过某种途径盗用了B的 私人密钥23。

第二个安全机制是先前介绍过的数字签名，它保证接收者信息确实 是从该信息所表明的发送者发来的。如上文简要探讨中可见，一个会员 能够使用数字签名签署文件，从而给出高度保证该信息正是签名人发送 的。图4将有助于描述数字签名的使用。要加数字签名到一个文件，会 员通过产生一个数字模式的数学公式31传输文件27，或者对于该文件 这是唯一的信息摘要33。这个信息摘要33然后用上述的会员私人密钥 23加密，生成一个数字签名29。这个数字签名然后可以结合一个特殊 文件到一个私人密钥的特殊所有者。该会员然后附加数字签名29到文件 27并且发送两者给接收者。在这个例子中，文件27是没有加密发送的， 但是如果该文件必须加密发送，会员可以使用先前段落描述的方法采用 接收者的公共密钥来加密这个文件。当该文件和签名被收到时，接收者 利用发送者的公共密钥19解译这个数字签名29，获得对文件27唯一 的数字模式33。如前所述，公共密钥是来自公开可利用的公共密钥清单 25。如果该数字签名29是用任何其他用户的私人密钥做成，结果模式 将不匹配于文件，则接收者将知道该文件不是指定发送者发送的。使用 数字签名技术，优选实施例可以高度保证某个特殊文件是由一个特定会 员发送。

采用上述技术，就在很大程度上可靠保证信息和商业交易的安全性 和准确性。然而，安全仅仅是一个成功的因特网交互作用的一部分。目 前，因特网上的交互作用是一种与个人无关的并且经常是随机的经验。 使用因特网的一个普通评价是在线交互作用不允许我们去定位、理解和 知道具有保证人后面的电子邮件的标识或消息—闻其声音、观其容貌， 去了解一些关于发送者的人格、特性，以及可靠性。没有了这些，交互 作用不仅仅个人不满意，而且是失败和没有用处。

虚拟的群体正在形成但是人们很少断然控制他们的数字角色或交互 作用，而且在这些虚拟群体背后的大部分理论基础是数据的集中。这种 数据集中是由商业实体搜索去跟踪顾客，实现持续的和细微的群体成员 的监督。顾客强烈要求对他们个人信息的控制并且他们要求立法的退回， 以防止这种无约束的个人信息的集中，跟踪和处理。本发明创建一个可 信任的虚拟群体实现信息的保密和信息的自确定，其中人们可以各自地 和共同地要求评价交换访问和处理个人信息控制构成他们的信息存在的 属性。

一个数字角色或因特网人格是由适合于个人的个人信息来确定。越 完整和越可靠的信息，因特网人物就越准确地反映真实生活的人物。这 个个人信息不仅可用于准确地确定一个在线的存在，而且如前所述，对 其他人具有商业价值。个人信息可以有许多形式，包括健康，金融和法 律记录，学校成绩单，雇佣历史，或者购买偏爱。这些信息的每一条如 果准确，都是一种可以在因特网上有效和他人愉快地交互作用的资源。 在优选实施例中，这些信息资源根据个体电子都市群体成员的期望搜集 编写并且使其适合其他人。所有个人信息，作为一个整体构成一个个人 的电子人物或者数字人物。为了清楚的目的和描述的容易，大家认为这 种在一个网络站点电子都市群体这电子人物作为一个电子个人信息代理 或E-PIA是有用的，如前所介绍。

E-PIA的一些信息资源是由其他人创造和保持的，但是可以根据插 入在E-PIA中的规则调度和处理，如医学档案和学校成绩单。其他的资 源是一些可以由电子都市群体成员编写。优选实施例允许一个成员自身 保证或者合作地保证密封在E-PIA中的信息是准确和可靠的。

在图106中一个用户使用 网景导航者已经访问了一个电子都市群体 网络站点并且显示初始注册申请表21。标准的网景界面25位于图的顶 部附近。尤其是，用户界面包括一个菜单条25，控制按钮27，快速访 问树枝结构37，和一个通讯激活指示器31。此外，位于图106的底部 附近的钥匙图形33告诉我们安全保护在工作，所以所有与电子都市群体 站点的通讯都是加密的。

登记者可以定位到左边大部分滚动窗口笔记本内所示其他的数据项 区域(专业，金融，医学)。如果用户选择专业数据区37，用户将看到 专业侧面并且开始数据进入或者更新信息。

图107是一个调用的E-PIA，它显示个人简介的一部分。在图108 中是Dieter的E-PIA家庭地址没有显示的续篇，并且一个关闭锁定图 标伴随数据分布在右边。这表示此人请求访问这条信息不满足他的访问 处理规则而Dieter不愿意公开管理访问处理是什么。当Dieter完成这 个个人简介时，他就创建规则图109确定谁得到访问每一项信息。由于 用户访问该个人简介不满足这些规则，所以家庭地址和其他信息都不合 适。在优选实施例中，如果访问信息被拒绝，这可有机会去看看规则是 什么并且响应由打开键图标指示到家庭电话的右边图108。

在这个例子中，根据Dieter规则交互的预料以及他想要保持和委托 给E-PIA的依次控制级别，Dieter对于规则处理具有几种选择。Dieter 只不过希望这个请求用户交换他们的家庭电话号码，因此一个简单的规 则交换将开始。不是这个规则的处理将在确定规则满意的请求客户站点 做，就是该信息系统将用一个信息激活，这个信息是发回到Dieter的 主E-PIA请求提供的他的家庭电话或者一个信号给他的分派发送批准解 密和封装家庭电话数据的显示的E-PIA。

一个自动基本规则响应能够在给出预先确定规则交换的客户站点上 执行，并且能够继续用户服务对话或者延时由将继续规则交互的消息系 统支持的交互。Dieter的家庭E-PIA可能已经具有一个由一条规则建 立的响应，这条规则表示如果你显示给我你的，我将显示给你我的，所 以这个信息响应是半自动的。

在Dieter已经在请求客户站点为处理他的家庭电话数据确定了一条 规则的情况下，该交换被执行并且引发一个客户方信息给Dieter的E- PIA。所以，在请求用户的电子都市客户方申请中，Dieter的调度E-PIA 接收一个信号以便为控制访问加密他的家庭电话号码。在电子都市客户 方申请中的规则交互代理检查看是否家庭电话已经完全地提供。

在上述情况中，电子都市群体电子代理调度了一个用密封的加密数 据准备加载E-PIA，这些密封的数据将要保存信息的发送，规则处理， 和依次响应等一些由在客户边规则权利来管理。在释放他的数据于电子 都市虚拟私人网络，或者把该数据和规则在这个E-PIA内分派以进行处 理之前，Dieter将在客户机上决定他将如何信任他可以依赖系统提取数 据以作为回报。

规则响应对话框显示一些规则和给出请求人要响应的选择。该规则 可以指定一个要发生的金融交易。在这种情况用规则对需求量，用户批 准一个来自他们的电子都市钱包的借款。

规则细节编在图109中。该图表描述一个对话屏幕其中Dieter定 位在他的PIA数据分布545的左边，清单列出那一种规则将支配这个分 布或分布组。访问组是一个通过特殊群体或子群体540分组规则的工具。 初始联系是一个栏目Dieter已经规定它为一个子群体，在该子群体中他 的年龄属性规则没有公开并且这个属性在锁定550中，即没有显示在初 始联系概要中。

他的其他属性：城市，出生日等是公开的并且将显示在处理上。用 这个屏幕Dieter能够创建一个“需要知道”提示，在此为需要知道提示 请求的用户。Dieter还必须经过电子都市信息系统处理他自己的这个响 应。一些信息交互通过预先建立规则响应如“如果你显示给我你的规则 我将显示给你我的”是自动的。所以Dieter的家庭E-PIA能够自动地 反应支配信息。

一些数据属性将有时间请求，在这请求中E-PIA将允许大量时间为 观看和处理E-PIA的数据去通过。一种相关情况是Dieter仅允许24 小时通过然后他的E-PIA锁定自己为了避免进一步处理。

如图110所示子群体初始联系555必须满足上面规则565和560 为了处理Dieter的E-PIA。所以Dieter在处理他的E-PIA之前正在 规定其他人必须满足的标准。

所以群体成员将为处理发送请求给电子都市而且一个查询可能有几 个匹配要调用该E-PIA的决定，这个E-PIA符合查询请求由于事实上 请求人不符合个人的规则需要可以不发送。在先前的情况Dieter的E- PIA是作为个人请求满足上述标准而发送的。

如图2所示，电子人物存储库13可以在因特网的任何地方，即它 可以在电子都市群体位于的同一个服务器，或者该电子都市群体可以利 用一个电子人物存在于因特网的其他地方。当一个会员加入一个电子都 市群体时，根据用户判断和个人简介首先任务之一应该是编写。这些简 介，加上来自外面资源的任何信息，在因特网上组成E-PIA表示一个个 体。

在本实施例中一个用户可以属于几个电子都市群体。然而，用户必 须选择一个应该是主电子都市群体的电子都市群体。被选定的电子都市 群体收藏一个指定为保持所有会员属于其他电子群体跟踪的“主E- PIA”。在这种方法中，如果需要一个主E-PIA中的变化可以用于更新 所有其他群体中的信息。只要一个会员已经加入一个电子都市群体并且 指定该电子都市群体为他的主群体，该会员能够通过简单地满足允许进 入下一个电子都市群体的请求，然后复制这个E-PIA到新的电子都市群 体。如在随后一节要讨论的一样，当一个会员期望创建一个特殊的E- PIA，称作E-AutoPIA，这有能力移到其他的电子都市群体并且执行请 求任务，该E-AutoPIA仅能从主E-PIA派生出来。然后，该E-PIA 具有一个包含在原始主人物中信息的子集，所以保证任何遇到的E- AutoPIA他载有的信息是与一个主E-PIA有关。

一个会员为他们的个人信息的访问处理定义了一些规则以便保证该 信息适当地被处理。当一个用户试图访问一个会员的个人信息时，本实 施例查看是否该用户符合对信息的信任处理的要求。本实施例仅仅传送 一个包含信息的E-PIA给请求用户，这个信息用户有权利并且有资格去 处理。这些规则在信息处理上定义了一些限制并且形成在电子都市群体 中一些E-PIA之间交互的基础。即，当由一个E-PIA代表的会员接触 另一个会员的E-PIA时，即使要，这两个E-PIA都能够确定什么样的 信息可以交换而不要任何来自代表人物的同时输入。这条规则检查的细 节在随后的一节讨论。

对于这一点电子都市群体中的E-PIA已经简单地描述为有能力依据 规则选择地发布信息的个人信息存储库，并且只在唯一的电子都市群体 内起作用。然而，在优选实施例中，E-PIA还可以采取更活跃的结构形 式，称作一个E-AutoPIA，一般实际不能管理其他电子都市群体和其他 电子都市群体的E-PIA的行为。该E-AutoPIA包含个人信息的一个子 集和全部E-PIA的规则，附加的一个路线指导他的行为。该路线告诉 E-AutoPIA哪个电子都市群体要访问，什么样的信息要搜集，以及结合 这些规则，什么样的信息能够处理。然后，利用一条路线，E-AutoPIA 将“移向”附近的因特网，访问在每个电子都市群体中可以用E-PIA交 互的其他电子都市群体。

在优选实施例中，E-AutoPIA不直接与其他E-PIA交互。代替地， 每个电子都市群体至少有一个在E-AutoPIA与该电子都市群体的E-PIA 之间担当代理人的处理过程。这个代理人是初早期出现的电子代理。当 两个E-PIA或者一个E-PIA与一个E-AutoPIA期望交互时，双方用 他们各自的规则介绍电子代理，而且即便要，电子代理也确定什么样的 信息可以交换。此外，电子都市群体管理员可以设置在这个电子都市群 体上出现应用于所有电子代理中间媒介交易的最小规则，保证仅有符合 最小电子都市群体标准的交易出现。

如暗示，这里有两种E-PIA交互的模式。一个用户，在一个电子都 市群体内有他的会员E-PIA电子地表示的，可以为电子都市群体经过他 的网景浏览器和合适的HTML文件激活单一的交互。这种被认为在线 交互模式(Online Interaction Mode)。当E-AutoPIA在一个电子 都市群体内激活一些交互时，这种被称为程序组交互模式(Batch Interaction Mode)。

图5概念地显示包含有几个E-PIA(会员)37的一个网络站点电 子都市群体35。对于任何交互，会员37必须使用电子代理39的服务。 E-AutoPIA 41对于该电子都市群体可以工作在外面，如图6所示，E- AutoPIA 41可以具有一个指导他与几个其他网络站点的电子群体35中 的电子代理39交互的路线。

这个电子代理在电子都市群体内有三种主要功能。第一，该电子代 理已经由电子都市群体管理员确定检查想要进入电子都市群体的任何E- PIA的凭证。在这个监视角色中，电子代理检查证明，核准身份，以及 查询接近E-PIA的进入目的。在应用这些由电子都市群体管理员设置的 规则后，电子代理将或者拒绝访问该E-PIA或者允许他进入电子都市群 体。第二，电子代理担当寻找满足由一个E-PIA在其请求交互期间指定 的准则的会员。例如，如果一个E-PIA进入一个电子都市群体去寻找有 兴趣买汽车的会员，该请求就传给电子代理。然后，采用适合优选实施 例中的几个子系统，该电子代理查询所有会员找出那些已经表示有兴趣 买汽车的并且建立一个所有符合必要标准的会员清单。第三，电子代理 作为E-AutoPIA与电子都市群体E-PIA之间的一个中间媒介。在上述 例子中，即使电子代理已经建立了一个表示有兴趣买新车的会员清单后， 电子代理还可以作为一个中介人。E-AutoPIA为搜集信息介绍他的规 则，如果要，就确定什么信息将交换。当然，即使有两个人同意交换信 息，电子都市群体管理员也可以设置一个较严格的规则将不允许电子代 理完成这件交易。

电子代理可以协商的合理任务之一是会员个人信息的可控制处理。 倘若电子都市群体与用户两者希望处理个人信息，电子代理被通知从一 个访问想要个人信息的E-PIA收钱。在优选实施例中，收取的钱可以到 电子都市群体，会员或者在他们之间分开。一个具有实质会员资格的电 子都市群体可以找出一种有吸引力的方法提供经费给其他电子都市群体 服务。

电子都市群体能够提供几种服务给其会员。这些服务可以包括群体 内的功能如协作组，意见一致的组合或选举系统，要管理产生自服务的 群体收入的基本支付系统，要保护顾客推销责任和顾客意见合理解决的 在线顾客满意数据库，或者要促进‘平等访问’政策对象的先进无线通 信装置的专用津贴供给。电子都市群体还可以提供外部群体服务，如为 了慈善或政治目的访问交叉群体的动员工作，共同的电子商务，对于所 有全体成员，要利用交叉群体优越或者新引进的无线网络和技术的通讯 基础结构费用的共享。

优选实施例的一个典型物理结构如图7所示，其中一个用户43利 用一台个人计算机45访问因特网1以便连接到一个网络服务器11，而 网络服务器11使该连接接到因特网1。有线与无线连接两者都将用多于 一个能够属于网络服务器11的电子都市群体支持，而且电子都市群体甚 至可以形成一个分层关系。这就是，一个电子都市群体不仅可以包含会 员，而且还可以包含其他子群体。图7显示在每个服务器上有一个，两 个或三个电子都市群体的网络服务器11。此外，对于特殊电子都市群体 编写个人信息的电子人物对象可以从电子都市群体电子代理中申请，或 者如果可公开地利用，是在电子人物存储库13中。优选实施例对电子人 物对象允许任何公共的存储子系统。两种可能的存储子系统是一个FTP 站点或一个简单地文件存储与保持分类文件类型的通信系统的邮件服务 器，并且可适合从网景或其他买主脱离这个框架。这些电子人物存储库 可以在任何服务器11或13上，或者电子人物家庭电话甚至可以由用户 在其个人计算机45上或者无线通讯器件42上保持。

我们现在回到对于优选实施例的特殊软件实现。优选实施例是一个 模块化应用程序，即该应用程序被分为几个部分，每一个部分或模块指 定为特定的功能。这些模块的一些被设计可以工作在一个或多个服务器， 同时其他的模块被设计工作在用户本地计算机系统。对优选实施例必要 的用户与服务器如图8所示，并且与图7所示的物理器件相关。参照两 个图，用他们的个人计算机45，用户43运行 网景导航者网络浏览器49， 一个商业实用的应用程序。 网景导航者49允许用户方便地访问任何电 子都市群体站点。还有， 网景导航者提供对优选实施例带有特殊工具的 其他网景产品兼容性。除了 网景导航者，用户在本地运行几种支持电子 都市群体机构的实用程序。这些特殊的应用可以是DDLs(动态连接库)， Java应用程序，小程序和过程，或者是一种类似支持特殊电子都市群体 机构的特性的一些其他编码。然而，如先前所述，在几乎所有的情况中， 附加子系统和DDLs都将不是必须的。

优选实施例的核心是网络站点电子都市群体系统47，它工作在网络 服务器上。网络站点电子都市群体系统47结构的顶部水平试图显示在图 9中。该系统包括分布对象资源管理系统(分布对象资源管理系统服务器) 57，其更详细的显示在图10中，一个网景企业服务器59，一个网景应 用程序编程接口67，一个现场付款的付款卡交易处理器61，一个FPT 服务器65，和一个FPT客户。这些系统元素的每一个都将在下面各自 讨论，然后在描述他们的交互，但是首先要提出的是安全性的重要考虑。

为了确保仅需要通讯与信息传播发生严格的安全性是必要的。安全 一般能够分为两类：1)安全性结构保证偷听者或偶然的收件人不能提取 信息，以及2)安全性测量保证信息仅仅发布给可信任的实体。第一类安 全是采用加密技术在多个实体之间传输数据来完成的。参照图24，几个 网络站点电子都市群体系统47与一个带有网景浏览器用户访问优选实 施例显示在图中。每个网络站点电子都市群体系统47是以一种安全处理 方式工作在一个网络服务器上。任何在处理安全性的技术上熟练的人都 期望能够为每个网络站点电子都市群体系统47创建一个本地安全处理。 对于内部群体的通讯，每个网络站点电子都市群体系统47保持其自己的 私人密钥和用于加密的公共密钥。

当一个源电子都市群体想要与另一个目的电子都市群体通讯时，如 当一个E-PIA被传输时，一种双重加密技术被使用。源电子都市群体用 目的电子都市群体的公共密钥机密这个信息。然后源电子都市群体再加 密目前已加密的信息，但是这次是用他自己的私人密钥。每个电子都市 群体都明白所有其他电子群体和他们的公共密钥。当目的电子都市群体 接收一个信息时，他首先用源电子都市群体的公共密钥解密该信息然后 再用自己的私人密钥解密信息。这种“双重”加密向目的电子都市群体 保证该源电子都市群体的确是信息中提及的源电子都市群体，并且还向 源电子都市群体保证只有这个目的电子都市群体将能够为其解密想要的 信息。类似的安全检测用于从一个电子都市群体47到一个用户的通讯。

另一个重要安全方面涉及到保证一个E-PIA或E-AutoPIA的来 源。这个起点的保证通过一个证明150和信任令牌159的使用来显示。 证明是由所有E-PIA和E-AutoPIA持有的，并且包含表示人和实体的 名字以及与他们相关的公共密钥。因为由E-PIA或E-AutoPIA持有的 个人信息已经用个人或代表实体的私人密钥加密，如果证明中的公共密 钥与公开的公共密钥匹配，并且个人信息正确地解密，则这必然是来自 规定源的E-PIA或E-AutoPIA。每个必须要保密的交互将需要一个发 放的信任令牌。在一个电子代理作用于一个请求交互之前，它将查看请 求的E-PIA有必要保证已经授权实现预先交互。每个信任令牌必须与一 个特殊交互相关并且必须用请求的E-PIA的私人密钥加密。通过采用请 求的E-PIA已知的公共密钥，该信任令牌能够被解密并且与期望的值比 较，因此对于这个请求E-PIA，有能力请求给予保证的交互实际是特别 地获得的。

第二个安全结构保证这个信息是仅发布给信任的实体。当一个E-PIA 给出他的一些个人信息于另一个E-PIA时，给出的个人信息还是安全的 并且由原始E-PIA所有，所以随后的传播是能够控制的。这种结构涉及 到信息的初始发布与由其他E-PIA的随后传播。信息的初始发布是由具 有网络站点电子都市群体管理员与信息可以发布之前必须满足的个人设 置规则两者来控制。电子都市群体管理员可以设置一些规则一般应用于 网络站点电子都市群体的所有潜在的交换，允许电子都市群体在可以接 受交易的类型上保持控制。还有，该个体能够安排一条规则给他们E-PIA 中的个人信息的每一条。通过设置这些规则，E-PIA将仅在一个信任环 境中与一个可信任人分享信息。一个更难的问题涉及到控制信息的随后 传播。事实上，如果信息的接收者依次传输该信息到一个第三E-PIA， 优选实施例仍然保留个人信息原始所有者的消息并且继续管辖对信息的 访问。这个随后的安全是由原始E-PIA宣布的传输优先权规则设置。传 输优先权规则创建一个传输信任如：如果A相信B具有信息X，而B相 信C具有信息X，则A相信C具有信息X。根据为提交数据而已经宣布 的传输优先权规则，这个重要内容对A保证它的信息从不传送到一个它 不信任的实体。信息总是作为提交其信息的E-PIA的一个文本传输。例 如，假设一个E-PIA包含一个丰富的信息集合其包括出生日期，地址， 电话号码等等。还有，假设它希望在一个交互中仅仅发布其电话号码给 另一个。该接收实体实际将接收一个E-PIA对象报告的E-PIA，其仅包 含电话号码。尤其是，接收的E-PIA对象是表示提交的E-PIA如何期 望被接收实体预先接收的原始E-PIA文本。图6描写通过一个传播E- AutoPIA的一些E-PIA的文本40的接收。E-PIA对象的文本仅仅是 优选实施例中信息交换的方式。分布对象资源管理系统是网络站点电子 都市群体系统47的工作中心。如图9所示，分布对象资源管理系统服务 器57掌握着几个系统的核心行为，包括电子都市群体的/存储，电子代 理，以及会员，E-PIA保持所有因特网上电子都市群体的目录，保留自 动人物，并且掌握E-PIA与E-PIA和E-AutoPIA之间的交互。这些 行为的每一个都将在下面讨论。

分布对象资源管理系统服务器57的行为是用一系列相互关联的子 系统实现的，如图10所描述。交互处理器73是分布对象资源管理系统 服务器57的关键子系统，而且是负责所有外部通讯和多数内部决策。 只要交互处理器73决定一个特殊的行为过程，该行为就由一个电子代理 处理的使用来实现。这里存在几个电子代理适合完成特殊的，在发生的 任务。交互处理器的工作在后面的一节中详细讨论，但是首先其他分布 对象资源管理系统服务器功能与各自子系统将被提出。

分布对象资源管理系统服务器是对电子都市群体，电子代理，和E- PIA的存储负责。尽管这些项的每个都不一样，但是它们所有都存在对 象存储库75内的一个共同结构中。对象存储库75在一个关系数据库上 使用一个简单的对象定向接口。这个关系数据库可以是工作在网络服务 器上的任何数据库，如通用的Oracle数据库系统。

电子都市群体，电子代理，与E-PIA都是优选实施例中的对象，对 于电子都市群体，电子代理，与E-PIA的每一个实例都分配一个唯一的 对象标识符，或者OID91(原始标识符)。然后这些特征用图11a所示 的形式与OID91一起存储。这个图表显示一个关系数据库内表的每一 行的结构。参考该图表，OID91是位于第一字段。下一个字段收集原 始标识符93(CollectionOID93)识别是否这个对象包括在其他对象 中，例如，几个电子代理，E-PIA，或者甚至别的电子群体都可能与一 个单独的电子都市群体有关。因此，收集原始标识符93是为跟踪电子 群体之间分层关系的方法，和为跟踪一个特定电子都市群体内电子代理 与E-PIA分派的方法。跟随收集原始标识符93后面的是几个包含关于 对象选择信息的公共密钥字段95。这些字段是一些可以用来做通过数据 库程序查询和选择标准的“公共密钥”。在优选实施例中，六个公共密钥 字段95为数据库表的每行提供。当然，或多或少的公共密钥都可以使用， 或者替代的一些查询技术对于技术上熟知的人是很清楚的。公共密钥的 特殊性质是留给电子都市群体管理员安排，因此为了有效的查询允许电 子都市群体需要控制最有效的一些字段。在这行最后一项是项目本身， 它是以BLOb(二进制大容量对象程序)的格式存储。BLOb格式是一 种标准数据库存储结构，它允许数据库中的一个单个字段保持多条离散 的信息并且不受每条信息内容的影响。所以，分布对象资源管理系统服 务器能够在对象存储库75中搜索公共密钥字段95一般快速选择合适的 对象，而后从BLOb格式提取与查看对象本身，是一个较慢的操作。

如上所述，电子都市群体，电子代理，与E-PIA都使用这个共同的 行结构。然而，每个使用稍有差别的命名约定。电子都市群体使用的约 定显示在图11b中。注意如果需要，收集原始标识符93通过主原始标 识符99(ParentOID 99)定位为一个主电子都市群体。在这种方式中 优选实施例为电子都市群体保持分层结构。唯一不同的是第一个公共密 钥字段95被安排保持电子都市群体的名字。因为数据库引擎经常使用电 子都市群体的名字去搜索，因此对所有电子都市群体项目一个专用公共 密钥作为名字是合适的。

对于一个电子代理的行结构显示在图11c中。如同电子都市群体， 第一个公共密钥字段95是名字，在这种情况它是一个特殊电子代理的名 字。然而，收集原始标识符93字段包含电子代理“自己的”电子都市 群体的OID，因此特殊的电子代理与一个使用群体原始标识符101的 特殊电子都市群体结合。这种结合方法允许一种有效的方法了解那一个 电子代理被允许工作在一个电子都市群体内。此外，这种相同的结合方 法用E-PIA的行结构来贯彻，其如图11d所示。在该E-PIA中，收集 原始标识符字段包含都市群体原始标识符101，因此特殊的电子代理与 一个特殊电子都市群体结合。如在图11d所看到的一样，所有六个公共 密钥在E-PIA行结构中都是不确定的，允许电子都市群体管理员灵活地 定义每个字段以符合特殊的电子都市群体需要。

在参照图10，分布对象资源管理系统服务器57还保留一个因特网 上的所有电子群体的当前目录。这个目录是由一个电子都市群体内称作 目录代理77(Directory Broker 77)特殊电子代理来保留，每个电子 都市群体都具有一个目录代理77。该目录代理77跟踪因特网上所有电 子群体与他们的地址。此外，该目录代理77保持信息在所有因特网上其 他电子群体中全部其他电子代理上。保持的信息包括电子代理的名字， 规则，以及电子都市群体管理员希望保持关于因特网上其他电子代理的 其他信息。要保持当前的目录信息，一个电子都市群体的目录电子代理77 将周期地查询看是否它的电子都市群体已经添加，删除，或者改变任何 电子代理或电子群体，如果是，该目录的电子代理77将发出一个E- AutoPIA。这个E-AutoPIA将被发送到所有其他电子群体用来与其他 目录代理交互，通过变化更新每个电子都市群体。这个更新的次数必须 是变化的，但是最可能每天一次更新的安排表将足够支持准确的电子都 市群体交互。

分布对象资源管理系统服务器57还包含允许电子都市群体发送一 个E-AutoPIA到另一个电子都市群体的信息系统71。如大家从图表中 看到的那样，分布对象资源管理系统服务器57通过FTP客户63与FTP 服务器65与其他远程电子都市群体通讯。虽然FTP处理被显示直接与 信息子系统71连接，但是实际的通讯是由交互处理器控制的。图12显 示一个更详细的信息子系统图。如前面讨论的，信息子系统71利用FTP 协议来便利地发送到和接收来自以网络站点为基础的电子群体的信息。 这个信息子系统专门用于传输E-AutoPIA从一个电子都市群体到另一 个。当一个E-AutoPIA被发送到另一个远程电子都市群体时，交互处理 器73首先利用目录电子代理77检索远程电子都市群体的地址。然后交 互处理器73用这个远程地址打包E-AutoPIA并且转寄这个包给发送者 调度员105。发送者调度员105放一个信息在信息队列109里并且通 知FTP客户65一个要发送的信息(自动用电子都市群体地址打包)已 经准备好。在方便时，FTP客户65发送该信息(自动用电子都市群体 地址打包)给接收者电子都市群体的FTP服务器而其后对信息队列109 擦出输出的信息。接收调度员107监视信息队列109，并且当一个新的 信息看到时，他拆包该信息，展现一个E-AutoPIA。接收调度员107 然后通知交互处理器73一个新的E-AutoPIA已经到达，而交互处理器 73决定下面要与E-AutoPIA做什么。在信息队列109中进入的信息直 到E-AutoPIA在电子都市群体内信息已经完成任务并且留给电子都市 群体时才删除。存储输入的信息保证即使在分布对象资源管理系统服务 器服务器错误地关机和在网络服务器上失去了E-AutoPIA当前的活 动，E-AutoPIA指定的任务也将完成。当网络服务器重新启动时，E- AutoPIA能够从原始信息中重新启动并且完成它的任务。该信息队列109 本身是一个标准的可以由一个输入文件和一个输出文件组成的FTP文件 系统。对本领域内的专业人士将很清楚其他的传输方法可以替代上述的 FTP处理。

虚拟解释程序81是一个提供能够执行优选实施例的文本语言和规则 语言的软件子系统。虚拟解释程序81在规则处理器79和路线处理器中 的使用中担当主要角色，两个处理器在下面一节讨论。

分布对象资源管理系统服务器57包含一个规则处理器79，它是确 保信息安全地分发的一个重要子系统。一个会员或者电子都市群体管理 员利用这些规则去设定个人信息发布的限制和控制。这些规则实际上是 一系列字符串，以优选实施例选中的编程语言编写，这就确定了在信息 要被释放的要求。其能够根据需求使这些规则简单或者复杂。电子都市 群体管理员可以提供将应用于所有交易处理的最小规则，并且允许会员 为他们的特殊需要调整这些规则。尽管优选实施例利用一个申请来设定 规则，但是那些技术上熟练的人将明白几种代替的方法对于一个用户或 管理员要输入一些规则。

如前所述，对于一个会员的个人信息的请求可能来自两个源的任何 一个：另一个E-PIA会员或者一个E-AutoPIA分别经过在线交互方式 或者成批交互方式。如果一个E-AutoPIA进入一个电子都市群体并且需 求一个会员的信息，交互处理器73将启动一个电子代理处理控制这个请 求。要控制这个请求的处理在后一节所有子系统已经描述后细说，但是 一般来说，电子代理接受这些定义E-AutoPIA的请求标准的规则并且通 过虚拟解释程序81发送它们给规则处理器79。规则处理器79变换这 个请求到一个标准数据库查询请求，如一个标准SQL(结构化查询语言) 选择命令，并且运行该查询从对象存储库75中选择E-PIA。然后电子 代理访问每一个选中的E-PIA的规则，再经过虚拟解释程序81发送， 到规则处理器79，而规则处理器79比较由会员E-PIA设置的请求与 E-AutoPIA的特性，如果请求满足，电子代理发送该请求信息从该E-PIA 到E-AutoPIA。

如果同一电子都市群体的另一个会员请求另一个会员的信息，虽然 非常简单但处理是类似的。在这种情况中交互处理器73再一次启动电子 代理处理，而电子代理通过虚拟解释程序发送每个E-PIA的规则并且最 后给规则处理器79。规则处理器79为每个会员比较规则，而且如果需 要就决定什么信息满意传播。

如早期的预览，一个E-AutoPIA是从用户的E-PIA这例示出来并 且包括一个路线。这路线是一组指导E-AutoPIA活动的指令。因此， E-AutoPIA为用户充当一个代理。该路线象规则一样，可以是一个用 Java，或为优选实施例选中其他方便的语言编写的程序。如这些规则一 样，那些技术上熟练的人将明白要指导一个E-AutoPIA对于创建一条路 线有集中代替的方法。

虚拟映像85是通过为快速访问放置一个选定信息在本地RAM(随 机存储器)用来改进优选实施例的性能。因为系统能够在RAM中读取 信息比它从一个位于硬盘的数据库，如对象存储库73，恢复信息要快的 多，所以系统较高效率地运行。只要优选实施例需要一个电子都市群体， 电子代理或者E-PIA，一个电子代理就从对象存储库75中选择需要的 实体并且安放一个实体的拷贝在虚拟映像85中。从这以后，系统使用映 像85中的拷贝而不用对象存储库75中原件。

如从以前的讨论中明白，电子代理是一些在网络服务器上执行的处 理和用在一个电子都市群体内协助这个电子都市群体的有秩序和有效率 的运行程序。每个电子都市群体至少有一个电子代理，但是也可以有多 个。在优选实施例中存在两个特殊的电子代理，但是可以有多个。第一 个是托管目录电子代理77而且以前讨论过。第二个必须存在于请求安全 修改访问E-PIA的电子群体中并且被称为主电子代理87。主电子代理 87负责保证仅有一个E-PIA的拥有者具有编写访问他的主E-PIA。主 电子代理可以被设置请求非常严格的安全访问，如具有会员使用一个安 全卡，口令，以及质问系统，或者可以用弱安全性建立，如恰好具有会 员提供一个合适会员身份姓名。

每个电子代理都是建立在网络站点上运行可执行的客户。每个可执 行的电子代理76实现由它属于的电子都市群体提供的一组特殊E-PIA 交互选择。当一个E-PIA请求一个特殊交互时，交互处理器73激活电 子都市群体的电子代理并且告诉它尝试该请求的交互。为了交互处理器73 与每个可执行的电子代理用统一通讯协议通讯，使用电子代理适配器74。 因此，交互处理器73实际上与为该可执行的电子代理特殊地建立的一个 电子代理适配器74通讯，依次与可执行的电子代理76通讯。因此，电 子代理适配器74在交互处理器73与一个可执行的电子代理之间的通讯 充当一个“桥梁”。这种适配器的结构是必须的，因为从C，C++，Java， Visual Basic，PowerBuilder，或其他开发环境构造的电子代理对于 调用与信息传输可能需要不同的手段。

作为帮助所有可执行的电子代理可能需要执行必须活动的结构的一 种手段，电子代理服务API DLL(应用编程接口动态连接库)是作为 分布对象资源管理系统服务器服务器子系统的一部分提供的。电子代理 必须有能力呼叫一个DDL中的API以使用这些有用的服务。一些服务 已经定义为：1)在当前满足这些规则的电子都市群体内输入一组规则和 输出E-PIA的列表；2)与交易服务器交互来实现信用卡处理；3)填一 个信用卡帐单；4)验证一个在线进入的安全卡。那些技术上熟练的人应 该明白其他API也可以加入当需要时。

在参照图9，迄今为止网络站点电子都市群体系统的DORNS 57， FTP客户63，与FTP服务器65已经讨论过，随后现场支付服务器61， 网景企业服务器59，和网景API 67也要详细介绍。

现场支付服务器61是一个适合商业地应用来自网景控制的支付卡交 易处理，事件记录，和结算。现场支付服务器61将用户化来控制支付卡 交易。任何时间一个交易由一个电子代理调用钱或价格的转帐，该电子 代理发送信息给交互处理器73，然后交互处理器73转寄该数据给用户 现场支付服务器61。此外，当用户现场支付服务器61需要发送信息给 一个电子代理时，至于信用卡批准使用通知，用户现场支付服务器61就 发送该数据给交互处理器73，并且该用户现场支付服务器61转寄信息 给适当的电子代理。各自的电子代理与E-PIA可以定义他们自己的付帐 政策，允许一个会员或者电子都市群体管理员为信息的发放去收取费用。 作为一个例子，电子都市群体管理员能够设置每个名字与发放电话号码1 美元的费用，但是个人也可以附加一个收费0.25美元的请求。如果一个 E-AutoPIA想要使用用户名和电话号码这个费用就涨到1.25美元。因 为用户现场支付服务器61知道所有电子都市群体内的金融交易，它可以 非常容易地建立准确的帐单和金融汇总。

网景企业服务器59也是网络站点电子都市群体系统47的一部分。 这个服务器是一个标准的从网景商用出售品，并且当运行在一个网络服 务器上允许该网络服务器是一个网络站点，在因特网上通讯，有效地与 网景导航者交互。 网景导航者，如前所述，工作在一个用户的个人计算 机上而对于网景企业服务器59是一个客户。

标准的网景企业服务器59，在为允许网络服务器是一个网络站点并 且在访问因特网而提高基本功具的同时，必须加强提供必要的服务与工 具以支持优选实施例的电子群体。网景企业服务器59可以用网景API 67(应用编程界面)修改。网景API67是一组从任何程序取出的命令 来实现修改企业服务器59的功能。在优选实施例中，例如，网景API 67 是为了响应请求用于修改标准的安全测量与方法。现在所有的系统与子 系统都已经描述过了，一个特殊的例子将用来演示系统交互。对于这个 例子，假设一个远程用户已经建立了一个E-AutoPIA要进入样板电子都 市群体来取出该电子都市群体的选定会员上的信息。对于下列过程顺序 参考图7，8，9，10，与12。为了方便，这些步骤被构成一些一旦要 初始化该电子都市群体唯一将做的预备步骤，而且一个E-AutoPIA请求 电子都市群体信息时请求控制步骤每次都被重复。

预备步骤：

1.一个电子都市群体管理员加载优选实施例在一个网络服务器 11上。这个管理员使用电子都市群体管理工具安装这个电子都市群体。 管理员还创建几个电子代理用于掌握如来自E-AutoPIA的请求或交易金 融买卖。该电子代理可以是由修改一个存在的电子代理构成或者通过编 写一个新的在任何编程环境下都与电子代理适配器结构适应的电子代理 程序。管理员又定义那种服务(交互)对会员合适以及创建一个屏幕显 示信息给会员。后者是利用标准网景企业服务器59或者任何能够创建网 络站点页的其他工具来做。管理员或创建或修改存在接纳表格并且放置 该表格在一个表格对象存储库13。该表格存储库13可以在相同的网络 服务器11作为电子都市群体，或者放在任何合适的远程网络服务器11 上。最后，电子都市群体管理员引入在线电子都市群体并且立即宣布一 个新的电子都市群体的出现。现在对于会员该电子都市群体已准备好。

2.因特网用户或者其他电子群体的成员开始知道这个新电子都市 群体并且访问该电子都市群体网络站点地址获得更多信息。利用他们的 个人计算机45上的 网景导航者49的浏览器他们加入一个电子都市群 体。他们可以拿取接纳表格并且提交请求信息。在这一点上，管理员可 以为完整和最小的电子都市群体请求手工地检查这些接纳表格，或者多 半，管理员将为最小的电子都市群体请求自动地检查表格并且如果表格 被接纳就安排一个与用户的私人约会。根据由电子都市群体管理员设置 的其他请求，用户可能被通知来到电子都市群体管理员的办公室或者一 些其他的可信任代理权威并且提供足够的身份证明和档案向管理员证明 用户是他们说的用户。如果电子都市群体请求指出保留的安全措施，则 发给该用户口令，一个安全卡，或其他安全技巧。如果所有都状况良好， 用户将成为一个电子都市群体的会员。如果该会员已经选择的电子都市 群体将是他的/她的主电子都市群体，他们必须输入一个完整的个人的和 专业的简介，包括由其他人保持的编写记录，如医学和法律档案。当电 子都市群体不是会员的主电子都市群体时，仅有一个信息的子集需要提 交并且它将直接地从新会员属于的主电子都市群体得到。几个其他的用 户还可以成为这个电子都市群体的成员。

3.在这一点上这有一个与活跃会员现行相关的主电子都市群体。 会员可以利用主电子都市群体的服务，与其他会员通讯，或者创建一个 能够出去并且浏览儿童电子群体的E-AutoPIA。该会员还可以为释放个 人的与专业的信息而定义一些规则。因为会员通过用一种与电子都市群 体兼容的语言编写一个程序来建立规则所以存在某一适应性。表格可用 在表格存储库13中帮助规则的建立，而电子都市群体管理员甚至能够提 供一组需要简单地修改的缺省规则。还有，电子都市群体管理员可能创 建一组最小的规则，这规则将应用于所有交易以便保证一个E-AutoPIA 满足一定的最小标准并且所有在电子都市群体的交易以一种合适的方式 实施。这些应用到每一个人的最小规则可以称为电子都市群体规则。

请求处理：

4.假设在这一点上，一个E-AutoPIA从另一个电子都市群体到 达FTP服务器65。该服务器放置该信息在信息序列109中而随后接收 机分配器107识别一个接收的信息。接收机分配器107通知交互处理器 73一个E-AutoPIA信息正在信息序列109中等待并且恢复包含E- AutoPIA的信息，但是不从信息序列109中擦出原始拷贝，交互处理器 将从接收机分配器中恢复该信息并且从该信息中拆包E-AutoPIA。因为 E-AutoPIA是加密的，所以该E-AutoPIA必须用源分布对象资源管理 系统服务器服务器的公共密钥与本地服务器的私人密钥解密。如果这个 电子都市群体打算要该E-AutoPIA，它将合适地分配。每个E-AutoPIA 还包含一个证明以便保证该E-AutoPIA的所属者实际地初始化了E- AutoPIA的发送，这在以前章节讨论过。

当该E-AutoPIA出现在这个电子都市群体的同时，电子代理为了 易于存取把它放在虚拟映像85中。然后电子代理从这个E-AutoPIA中 收集这些规则，并且利用虚拟解释程序81和规则处理器79与电子都市 群体规则对照看是否这个E-AutoPIA应该被允许与会员交互。如果不， 电子代理将发送E-AutoPIA给发送器分配器105，而送器分配器105 将发回该E-AutoPIA给他的主电子都市群体。然而，如果该E-AutoPIA 满足电子都市群体的规则，该E-AutoPIA将被允许与会员交互。此外， 该E-AutoPIA可以保持打算要是电子通讯或共享的数据。如果是这样， 每个E-AutoPIA的传输优先权规则以一种类似的方式被检查，保证如果 取自原始E-PIA的传输优先权规则满足该E-PIA将只有被分享。

5.如果该交易已经进行到这一点，E-AutoPIA具有他说他来自 的地方的高度可能性，并且该E-AutoPIA满足进一步约定的一般规则。 现在，优选实施例开始分析每个请求的交互。E-AutoPIA发送他的第一 请求和一个令牌给电子代理，在此电子代理验证该E-AutoPIA持有的为 特殊的请求交互令牌。如果令牌通过了检验，该请求保留并且移到步骤6； 如果没有通过，该请求被删除。

6.电子代理接受该请求并且再利用规则处理器79为E-AutoPIA 处理这些规则，但是这次要建立一个查询进入对象存储库75找出符合由 该E-AutoPIA设置的标准的E-PIA。一旦规则处理器79开展这个寻 找，一个SQL查询，则电子代理处理就在对象存储库75上运行查询并 且放置选定的E-PIA在虚拟映像85内。因为E-AutoPIA已经从电子 都市群体发送出，所以发送器分配器105现在从信息序列109中移动原 始的输入信息。随着E-AutoPIA成功地控制，交互处理器的现行对话结 束。

现在优选实施例中的所有过程与目的的交互都已明白，重要的是描 述一个特殊与重要的电子都市群体的一种类型的实现的例子，被称为“电 子集市(E-Bazaar)”。这个例子的焦点是电子代理的实现原因是他是一 个包含所有方法并且保留一个电子都市群体行为的电子代理。

电子代理的例子：电子集市

电子集市是提供三种有用的商业方案或情况研究的电子都市群体一 种类型。在作为一个例子电子代理的同时，电子集市电子代理也是非常 复杂的。这三种情况的研究一般是秘密允许的交易，半实时拍卖，以及 大量销售。在所有着三种情况中，这些突出的对象是E-PIA担当一些销 售者，E-PIA担当一些买主，以及一个电子代理。注意一个E-PIA还可 以是这个范围中的一个E-AutoPIA。该电子代理掌握着各种各样公共服 务和以电子集市的名义直接地交互，如同E-PIA之间的交互一样。电子 代理的一个重要目的是要验证商业地交互团伙彼此互相满足对于交互的 特许规则。在这个文件的范围内，术语交易必须经常指的是一个不是“买” 就是“卖”的普通概念。此外，术语广告客户必须经常指的是那些做广 告想要去做买卖的人。术语买者必须经常指的是那些浏览广告的人和那 些可能最终发出一个定单要买的人。

秘密允许的交易情况提供一种对于买与卖两者的手段给：

做广告想要去做交易

积极地为一个交易发一个定单

为一个交易履行一个定单。

当该交易交互发生时，根据所有由双方设定的特定规则保证安全地 实现和买者与卖者之间的秘密。实际的交易活动是秘密允许的。

半实时拍卖情况除了一个卖者或买者已经决定登广告做一个电子拍 卖外其他与秘密允许的交易情况一样。在这种情况中，货物或者服务一 般都伴随当前报价一起做广告所以其他潜在的投标人知道怎么去压价。 然而，这些拍卖可以秘密投标进行。

大量的销售情况除了一个卖者或买者已经决定除非有一定量的货物 或者服务将不做交易之外其他也与秘密允许的交易情况一样。因此，一 个发出的定单可能不是立即地履行。

这将显示出电子集市能够用本发明中同样的框架(后面讨论的主题) 来实现这三种情况研究的每一种。这将显示出每个方案之间主要的判别 特点是以一个为了买或卖的定单被履行的方式。

电子集市活动模型

一个电子集市活动模型的概述是通过给出一个电子集市活动生命周 期最好的描述，当使用在E-PIA再线交互模式时。在该生命周期内列举 在线模式活动被列于下表。参考图201。

1.有兴趣买或卖一个产品的一个因特网客户303(如E-PIA) 与电子集市电子代理301，通过提供所有关于产品的信息以致于该电子 集市能够使该信息公开给其他买者和卖者。

2.一个因特网客户303(如E-PIA)浏览提供在电子集市的产 品和服务。

3.对于一个特殊E-PIA广告客户的产品的产品信息317能够依 据请求获得。

4.一个因特网客户303(如E-PIA)从该E-PIA获得一个感兴 趣产品的定购单315。

5.一个因特网客户303(如E-PIA)填写定购单315并且递交 填好的定购单给做产品广告的E-PIA。

6.该填好的定购单由广告客户E-PIA设计被称为定购单处理器 319的一个程序来处理。该处理可能或不可能立即顺序地完成。客户E- PIA不是被一个履行定购立即通知就是被通知定购在处理中。如此一个 定购被告之不同时地在稍微晚一些及时履行。

7.对于不同时定购的履行，客户E-PIA接到一个履行定购的通 知否则客户E-PIA就在晚一些请求定购状态，或者接收一个有关状态的 电子邮件。

对于E-AutoPIA成批交互方式，这些活动是同样的除了交互活动 的次序将根据E-AutoPIA的巡回执行外。对于E-AutoPIA广告客户， E-AutoPIA将提交产品信息给电子集市电子代理作为他的巡回部分并且 一般开始进行另一个电子都市群体。然而，对于E-AutoPIA的购买者， 在电子集市中的交互次序一般是差别很大的。因为E-AutoPIA趋向于自 动交互，这将很可能它已经有了其需要的一个定购单的拷贝。它只是需 要递交填好的定购单。因此，E-AutoPIA应该避免浏览以及为了一个定 购单的请求并且应简单地排好顺序。对于不同时履行定购，E-AutoPIA 能够在其以后的巡回中检查状态，或者代表E-AutoPIA的人可以等待因 特网的电子邮件。

电子集市电子代理管理工具

电子集市管理工具主要提供以下“起源”特点：

1.电子集市管理工具是用于配置一个在包含优选实施例的一个网络 服务器中代表电子集市的空的电子都市群体。

2.电子集市管理工具是用于配置空的电子集市。

电子集市管理工具协助一个管理员为交易而准备好。主要的任务是 确定那种属性对于将在该电子集市中交易的所有货物和服务是最重要 的。如此这些属性被认为是电子集市的公开属性。例如，一些属性如商 标(广告客户E-PIA的名字)和价格总是感兴趣。电子集市管理工具将 总是建议包括这些属性。其他的属性仅可能是感兴趣一种特殊电子集市 的类型。例如，一个专门交易瓶装红葡萄酒的电子集市应该典型地包括 年限作为一个公开的属性。然而，如果该电子集市做许多种产品的交易 在此年限就不是对所有的产品都合适，因此在同样的电子集市中一种红 葡萄酒产品就必须使用一种仅对于红葡萄酒产品的专用属性。注意所有 的属性可以是与表示控制类型限制或其他一般限制如价格范围的任何规 则。

电子集市还可以在交易开始以前协助配置产品清单。这些产品是根 据种类和类型组织的。一个种类表示具有类似的一组产品。例如。在“牛 奶”种类中人们可以找到产品的类型如四分之一加仑的牛奶，半加仑的 牛奶，一加仑的牛奶，冰激凌或者奶酪可能都同样。在这个例子中，牛 奶，冰激凌，和奶酪都是在产品种类这的产品类型。最后，每个产品都 有其自己的产品ID，一个由电子集市管理工具安排的编号。一个交互协 议存在于电子集市电子代理上以便产品可以运行时间添加。

电子集市电子代理子系统结构

如前所述，可执行的电子代理301可以是任何能够在优选实施例中 执行的子系统。在电子集市电子代理情况中，可执行的是由非常复杂的 数据库，一些文档，以及依据与E-PIA交互的动态地变化的子系统组成。 在实际实施中，该子系统可以是一个激活几个DDL的EXE文件，一个 Java应用程序，或者任何保留下面出现的子系统结构的其他替代。

图201主要描述可执行的电子集市的子系统结构。它还显示了一个 简单的因特网客户/可执行的电子集市交互的视图。因特网客户实际上通 过HTTP(超文本传输协议)与分布对象资源管理系统服务器服务器通 讯，依次，激活一系列规则处理和交互，象安全验证一样。在如此处理 之后，可执行的电子代理是最后被激活。

如图201所示，可执行的电子集市的结构是这样有一个电子集市群 体信息加密文件309，一个商用活动分配器305，一个信任令牌处理器 307，一个“公共产品数据库”311，以及其他对每个广告客户的“可 运行程序”(包含在广告客户目录313中)，在此每个广告客户都有其自 己的定购处理器319，产品信息317，和包含要交易产品的定购单315。 最后，每个广告客户将需要保持其自己的“私人活动数据库”321。

电子集市群体信息文件309包含要管理电子集市的各方面的信息。 在实际发展中，这个文件可以被找出方便于安置去存储附加的信息。

商用活动分配器305是该电子集市的主要子系统。它掌握所有进入 的交互请求，激活来自与到达所有子系统的，文档的，以及如果需要数 据库信息流的处理与控制。尤其是，它处理许多与电子集市电子代理301 所有者请求的交互，并且它还对为特殊E-PIA交互决定而激活必须的电 子代理服务API 72负有责任。

信任令牌处理器307记住E-PIA访问者的公共密钥，发放信任令 牌，并且验证企图要做买卖的那些E-PIA呈现的信任令牌。

公共产品数据库311主要由具有已经提交要公开的每个产品一个记 录的表组成。该表的列对应于在电子集市中所有产品已经由电子集市管 理工具配置的公共属性。同时，在包含每个产品的各自属性的目录的表 中有一个BLOb列。产品的表格具有被浏览和查询的意义。

三个特殊可运行程序存储在一个称做广告客户目录的根文档目录 中。该广告客户目录313还有一个对每个广告客户的子目录。当三个中 的一个需要知，广告客户为人所知以便商业活动分配器305知道哪个子 目录要得到需要的运行程序。电子代理301一样有其自己的子目录。

私人活动数据库321为一个广告客户提供如需要存储未决的定购的 手段，存储它的商品目录，或者无论什么它需要保留的其他信息以便在 该电子集市中执行商贸。应该尽可能保留这样的无论什么广告客户要求 的私人活动数据库。这个正是意指定购处理器319将需要访问电子集市 正运行的网络服务器的外部信息。这种外部信息必须能够驻留在一个外 部数据库服务器或甚至一个主帧中。无论那种情况，它都应该能够为外 部数据库本地地或者远程地驻留所需要的。

电子集市应该提供简单定购处理器319的多样性，如产品信息317 和定购单315样本以便一个广告客户可以快捷地与容易地成为一个电子 集市中的广告共享者。用这些简单的定购处理器，一个简单的数据库还 可以被配置驻留在网络服务器中或者甚至相同数据库内的表格作为各个 产品数据库311(只要数据库提供每个表的安全性)。

电子集市电子代理交互协议

当E-PIA因特网客户通过HTTP与分布对象资源管理系统服务器 服务器通讯时，这些请求变换到提交给一个电子都市群体电子代理的交 互请求。在这一节中，可以请求的现有的交互详细地介绍。这个完整的 列表与电子集市交互的描述打算提供一个所有可能的全部标准和可能发 生在一个全部地运行的电子集市电子都市群体中的重要活动。

从迄今的讨论中明显看到，电子集市电子代理是一个运行的电子集 市电子都市群体的核心。电子集市电子代理提供的交互协议名字列在下 面的表中。这些对象在运行时是有用的。“卖者”列表示卖者E-PIA当 它初始化该交互时与谁交互，同时“买者”列表示买者E-PIA与谁交互。

交互协议             概述                                                           卖者        买者 获得摘要() 获得可运行的概述电子集市编码的程序主体 w/电子 代理 w/电子 代理 获得可运行的概述广告客户提供的产品的编码 的主体 w/买者 w/卖者 获得公开产品的 属性 属性单元() 获得与他们规则有关公开属性名字的目录 w/电子 代理 w/电子 代理 放置产品到交易 信息() 放置一个新的产品在电子集市中公开地做广告 w/电子 代理 w/电子 代理 获得交易信息 获得有关一个存在于电子集市中的产品的所有 信息 w/电子 代理 w/电子 代理 获得产品() 为产品匹配查询条件查询E-PIA广告客户的 电子集市的清单 w/买者 w/卖者 获得秘密产品属 性() 给出一个产品ID，获得与他们的价值相关的 私人属性名的目录 w/买者 w/卖者 获得产品定购单 () 给出一个产品ID，获得一个可运行的表示能 够填写的定购单的编码的程序主体 w/买者 w/卖者 放置产品定购单 给出一个填好的定购单提交到广告E-PIA， 获得一个不是定购接受的指示就是为一个“要 被履行”定购的定购编号 w/买者 w/卖者 取消产品交易定 购 给出一个“要被履行”定购的定购编号，取消 定购以致它将不能被履行 w/买者 w/卖者 获得产品交易定 购状态 给出一个定购编号，获得关于该定购的现行状 态信息 w/买者 w/卖者 获得定购历史 获得一个所有提交给E-PIA满足一个给定查 询的定货的定购记录清单 w/电子 代理 w/电子 代理

下面表格描述必须由每个交互协议实现的精确子系统活动实现。这 将有助于读者对各种交互请求了解子系统的关系。

     交互协议                        设计 获得摘要() 获得来自电子代理子目录的“产品信息”可运行的程序呈 现电子集市的概述给因特网客户。 这个获得摘要()请求是与规定一个单一E-PIA广告客 户的规则一起提交的。当该广告客户被确定时，其子目录 为了“产品信息”可运行的程序要呈现摘要给因特网客户 而被检索。 获得公开产品的属性 属性单元() 电子集市电子都市群体信息文档被读取以便获得公开属 性信息。 放置产品交易信息() 在公开产品数据库表格中的一个新的记录被插入或者更 新。与该记录有关的可运行程序被存储在相应的广告客户 目录。 如果该产品是新的并且有一个新的广告客户、一个新的子 目录必须建立。在这种情况下，广告客户的名字和其子目 录名字结合必须存储到电子集市电子都市群体信息文 档。 获得产品交易信息() 专用产品的记录被读取—其公开属性与私人属性BLOb被 读取，以及其可运行程序从它的广告客户子目录恢复出。 该公开属性与可运行程序被汇编到单一目录。该目录可以 呈现给因特网客户并且可运行程序在一个需要的基础上执 行。 获得产品() 一个提交的查询在公开产品数据库表格上执行。对于每个 产品满足查询就返回上述相同的两个目录。 获得秘密产品属性() 对于特殊的产品，返回到BLOb基础私人属性马目录。 获得产品交易定购单() 返回到定购单可运行程序以致于它能够呈现给因特网客 户。 放置产品交易定购() 提交一个与他们相关的定购单字段的目录“填写”价格到 定购处理器可运行程序以便该定购能够被广告客户的个人 定购处理子系统以他选择的任何方法处理。返回到关于直 接定购状态的一个布尔运算和字符串。该布尔运算值与字 符串内容可以呈现给因特网客户。 取消产品交易定购() 商业活动分配器必须确定哪个广告客户E-PIA要对与请 求一起提交的规则提交取消。当广告客户被确定时，该定 购编号提交给广告客户的私人定购处理器。涉及到取消状 态的字符串被返回哪个能够呈现给因特网客户。 获得产品交易定购状态 () 商业活动分配器必须确定哪个广告客户E-PIA要对与请 求一起提交的规则提交取消。当广告客户被确定时，该定 购编号提交给广告客户的私人定购处理器。涉及到取消状 态的字符串被返回哪个能够呈现给因特网客户。 获得产品历史() 商业活动分配器知道请求是广告客户的怀疑。该查询被提 交给广告客户的私人定购处理器以至于包含满足查询的定 购的定购记录可以返回。然后这些就呈现给该因特网客 户。

现在将描述交互协议的界面。在详细描述这个界面之前，介绍一下 由交互协议使用的基本目的框架是很重要的。这些基本目的表示如下。 在基本目的描述后，详细讨论交互协议指示那些参数是输入，那些参数 是输出，以及他们的类型，这些类型基于在基本目的框架中描述的。应 该提供给读者一个涉及到数据流进出电子集市的最大量，数据是如何在 电子集市内用来与广告客户和购买者交互的，以及什么时候特殊对象或 数据呈现给一个因特网客户。

可运行程序¨C一个与它们本身能够是可运行程序的例子的可执行编 码的主体相关的名字目录。该目录包括所有可执行“程序片”必须要运 行一个特殊的子系统。一些有用的子集是ExeApp(可执行应用程序)， DII(动态连接库)，JavaAppelet(Java小应用程序)，以及Html(超 文本标识语言)。该商业活动分配器知道任何下载包含在一个可运行程序 中的可执行主体到因特网客户所以它能够适当地执行。一个单一Html文 件的可运行程序是最简单的情况。

产品信息¨C一个可运行程序起目的要呈现产品信息给一个购买者。

查询¨C表示一个SQL(结构化查询语言)选择的字符串。

公开属性¨C一个与表示产品公开属性的价格的相关的名字目录。一 个例子显示如下。

名字                          规则                                            例子 活动 This.isKindOf(String)&& (this＝＝“buy”||this＝＝“sell” “卖” 广告客户 this.isKindOf(String) “Dad’s” 产品分类名 this.isKindOf(String) “苏打” 产品类型名 this.isKindOf(String) “foot beer” 产品例子名 this.isKindOf(String) “Dad’s Root  Beer” 产品ID  this.isKindOf(String) “D-RB10014” 每单位产品 this.isKindOf(Money)&& this＞0 79 单位尺寸 this.isKindOf(Integer)&& this＞0 48 产品信息 this.isKindOf(Runnable) Html文件 定购单 this.isKindOf(Runnable) Html文件 定购处理器 this.isKindOf(Runnable) Java应用程序

私人属性-一个与表示产品私人属性的价格的相关的名字目录。

定购单¨C为个人要用数值填写字段而呈现一个定购单的可运行程 序。

填写的定购单¨C一个与填写字段数值有关的定购单字段名的目录。

定购处理器¨C一个处理定购单的可运行程序。典型地这个可运行程 序必须在一个私人数据库上执行处理。

产品ID¨C一个唯一定义一种产品的字符串。

定购编号-一个唯一定义已经发出的定购单的字符串。

定购记录¨C一个具有下面所示格式的结构。注意，它可以是期望能 够允许定购记录的结构在每个广告客户E-PIA基础上编写。

 名字                                                               类型     产品ID     字符串     单位数量     整数     什么时候     时间     价格     钱     实现     布尔运算     解释     字符串

该交互协议界面说明下面描述如何使用该交互协议和什么样的数据 是期望要输入的和输出的。

获得摘要(输出可运行程序一个摘要)-依据选择的规矩，获得一 个能够被执行的摘要以给出一个电子集市的摘要或者广告客户的摘要。

获得公开产品属性样板(输出一个公开属性规则的列表目录)-获 得一个公开属性规则的列表，一个与他们的规则相关的属性名目录。

放置产品交易信息(在字符串一个产品ID中，在一个公开属性列表 目录中，在一个私人属性列表目录中)-加入一个新的产品到公开产品 数据库或修改一个存在的产品。如果企图加入一个新的产品，于是产品ID 必须是0，否则就存在产品ID。公开属性列表与私人属性列表包括所有 需要新加入或者修改的产品属性。

获得产品交易信息(在字符串一个产品ID中，输出一个公开属性列 表目录，输出一个私人属性列表目录，输出一个普通状态的字符串)-获 得所有关于一个存在于公开产品数据库中产品的信息，一个产品ID是表 示存在产品的产品ID的字符串。普通状态是一个用一些人类可读状态信 息的字符串。

获得产品(在字符串查询中，输出定购收集的一个产品ID清单，输 出定购收集的一个公开属性列表的清单，输出定购收集的一个私人属性 列表的清单)-获得有关多余一个存在产品的所有信息。要获得信息的 这些产品是满足查询的(一个查询)。三个定购收集在输出参数：产品ID 清单，公开属性列表的清单，以及私人属性列表的清单中恢复。

获得私人产品属性(在字符串产品ID中，输出私人属性列表的清单) -获得具有产品ID的(一个产品ID)所有产品的私人属性数值。该私人 属性在一个私人属性清单中恢复。

获得产品定购单(在字符串产品ID中，输出可运行程序的一个定购 单)-获得一个具有产品ID的(一个产品ID)表示产品的定购单的可运 行程序(一个定购单)。

放置产品定购(在一个填好的定购单中，输出字符串一个定购单编 号，输出实现的布尔运算，输出字符串一个状态)-放置具有一个填好的 定购单目录的一个定购。一个字符串一个定购单编号被恢复表示一个对 放置定购的唯一定购编号。该实现的布尔运算被恢复指示是否该定购被 立即执行(真)或者它将被延时执行(假)。还恢复的是一个一般状态字 符串指示任何其他的履行信息。

取消产品交易定货(在字符串一个定购单编号中，输出字符串一个 状态)-已经没有先行执行的定购一个定购单编号被取消以至于它将永远 不会被履行。一个状态被恢复表示任何其他的取消信息。

获得产品交易定购状态(在字符串一个定购单编号中，输出实现的 布尔运算，输出字符串一个状态)-该定购一个定购单编号被提交去获得 关于定购的现行状态信息。如果执行是真，则该定购已经履行，否则它 没有被履行。一个状态是一个包含进一步状态信息的字符串。

获得定购历史(在查询一个查询中，输出定购收集一个定购记录的 清单)-从一个符合一个查询中选择的E-PIA获得对一些产品定购的所 有定购记录。该定购记录在定购收集一个定购记录的清单中恢复。一个 采用查询的有用的例子是要使用描述“fulfilled＝＝TRUE”才能荻得那 些对应于实际执行的交易的定购记录。

采用电子集市框架的商业方案

如所介绍，任何E-PIA能够参与在一个电子集市中提高提供它自己 的定购处理器，产品信息，以及定购单可运行程序的执行作为一个广告 客户。这种框架允许一个做广告的E-PIA为了实现其必要的交易保留一 个很一般的能力。此外，该框架为不可能没有一个电子商业系统以及不 可能没有特别注意到保密性，安全性和本发明提供优先权的有效交易情 况提供手段。此外，E-PIA与E-AutoPIA还可以利用这个统一的框架 参与作为买者并且获得效率，秘密性，安全性以及优先权等同样的好处。 在这个范围内的功效将应用到与交易伙伴一起努力如同要做买卖的费用 中一样的功效。

如在电子集市讨论的开始所述，三种情况研究之间的主要区别是他 们的  定购处理器的实现。这个唯一的区别是有意图的以便一个单个的 电子集市框架能够成功地实现所有三种情况。电子集市能够掌握的三种 情况现在讨论如下。

“秘密授权交易”情况允许为任何期望交易安全地和私下地参加。 对于定购与履行定购的这种模式用意是一般的。因此，因为框架本身能 够完成这种情况由于它预期的一般性，所以已经没有什么要详细描述了。 因此，由于这个一般性，半实时拍卖与大量销售情况是“秘密授权交易” 情况的一些部分。注意因特网电子邮件用于异步地履行定购的通知购买 者可以是一个有用的工具。

该“半实时拍卖”情况在如同定购处理器可运行程序一样的产品信 息中需要一定的处理和功能性。该产品信息可运行程序不仅应该如同正 常的一样做产品信息广告，而且还应该形式当前报价和任何其他认为必 须要呈现给买主的拍卖实时参数。

定购的处理是有趣的因为大多数最终将被取消。然而，如果定购处 理器允许它被编码则全部为了履行而订购的目的是可能的。例如，它能 够允许拍卖者去检查该订购历史。拍卖者能够决定在任何时候扩展拍卖 的时间，缩短它，履行非最高投标(订购)，履行多个投标(订购)，或 者取消所有的投标(一些订购)。该拍卖的行为是由定购处理器控制的。

因特网电子邮件在半实时拍卖中是非常有用的。例如，这些订购可 以与把将来可能被请求的重要投标的更新通知给一个请求一起放置。然 而，有可能建立一个半实时拍卖系统，该系统允许再线E-PIA客户实现 周期的更新由于周期性地电子集市。

“大批量销售”情况在定购处理器可运行程序中通常需要一定的处 理。对一种产品的所有订购将典型地保持一个“待决定的”未履行状态。 然而，对于大批量销售情况的一个真实的定购处理器必须允许在这种为 要到手的一定量订购花费太长时间情况中过早发生的履行。所有或者一 些订购的过早取消还应该是有可能的。

所期望的还可能允许实时价格的调整。在这种情况中，一个广告客 户可以发现有希望保留一种拍卖与大批量销售情况一起的混合。该广告 客户发现他能够做少量产品的交易因为有足够的订购和依然获得足够的 利润，应该可以继续并且请求订购履行而不是等待和可能留下大量不期 望的昂贵盘点。

一些广告客户可以希望显示实时信息在产品信息可运行程序中如当 前的订购量与总的期望量。

电子邮件能够用来通知在订购状态中突然变化，象其他交易情况一 样。

特殊的对象

因为优选实施例被设计要用一种定向对象的可编程语言实现，所以 我们现在回到各个对象的设计。

在继续优选实施例中每个对象之前，将要出现的构成优选实施例对 象的基本对象种类列表如下。这些对象种类的大多数是在基本定向对象 框架中都是很平常的并且对于那些对象定向的技术上熟知的人应该是熟 悉的。看图22。 类型 描述 对象 提取所有种类中的超类如下面所列的一些。 种类 一个例举表示系统中定义每个种类的种类。 整数 数 字符串 字符 浮点 数 布尔运算 表达式 收集 一个提取的所有种类中的超类表示对象的收集。 订购收集 一个收集子集表示一组序列中订购对象列表的一列。 集合 一个收集子集表示无特殊订购对象列表的一列。 目录 一个公共密钥对象的列表 文件夹 能够利用分层安排的公共密钥存储对象。 SQL描述 对信息提供快速查找。 可执行字符串 一段能够作为一个对象传输的编码，当需要时能够解释， 和执行。 编译器 例子的一个种类每个表示一段可执行编码转变一个字符串 到一个由运行时间解释程序可解释的编码的订购收集。 扩展的种类 其他种类将需要为各个电子都市群体的需要而定义，如视 频，声音等。

E-PIA对象135，显示在图15A中。该E-PIA密封着个人数据和 数据处理规则或者一个真实个人的行为或者存储信息资源的实体并且在 由该E-PIA的所属者建立的规则下释放它们。图15B显示一个要传输 信息资源创建的E-PIA。这个资源文件夹应该包含批准的信息资源的子 集，而这些规则应该包含原始E-PIA的传输规则(来自交互协议)，因 此在文件夹中信息资源的后来分发上规定一个限制。证明能帮助保证后 续的起源于原始E-PIA信息资源的信息用户。 E-PIA中项目 编号 类型 描述 对象 核查跟踪 135 订购收集 一个记录事件154的订购收集记 录在一个E-PIA的历史记录中 资源 155 文件夹 所有关于该E-PIA的信息资源都 存储在一个未组织的文件夹中。信 息可以利用从表格存储库中恢复的 表格输入到文件夹。 交互协议 143 集合 一个E-PIA可以包含几种存储在 一个集合中的交互协议。 信任令牌 157 集合 E-PIA将收集信任令牌交给电子代 理以保证任何交易的完整性。 优先权规则 集合 E-PIA具有一组必须总是满足要执 行的任何交互的规则。 证明 150 证明 证明包含名字和表示E-PIA实体 的公共密钥。

交互协议对象141在图19中描述。交互协议为要发生的交互定义 名字，输入参数，输出参数，和在订购中必须满足的条件。一个电子代 理实际上执行这个交互。交互指令引起交互协议启用。交互指令在下一 节详细描述。 交互协议对象中 的项目 编号 类型 描述 141 交互协议 继承 名字 191 字符串 每个协议必须有一个名字。 优先权规则 185 集合 已经在以前的表格中描述过。 最大指令 193 整数 参看上述交互指令中的描述。 传输优先权规则 185 集合 参看交互指令中的描述。 缺省映像图 197 目录 因为交互指令在执行前必须“填 写”，所以缺省映像图能够提供缺省 值在完成交互指令上给以帮助。 收入 197 集合 输出 198 集合 如果后续的交互指令被成功地执行 那种信息资源应该存储在信息E- PIA中。

规则对象201显示在图20中。 规则对象中的项 目 编号 类型 描述 一个规则对象实 际正是一个可执 行字符串对象 201 可执行字 符串 一个可执行字符串表示一个用户定 义的规则。 编译程序 187 字符串 编译程序的名字总是“规则”。

参数对象151显示在图21中。 参数对象中的项 目 编号 类型 描述 名字 211 字符串 参数的名字。 有效规则 187 规则 一个可执行字符串他的编译程序是 “规则”。

E-AutoPIA 151对象显示在图16中。这个E-AutoPIA是一个利 用一条路线执行所属者安排的特殊任务的智能代理。路线在下一节详细 描述。只有原始的E-PIA才可以装入一个E-AutoPIA，但是原始的E- PIA可以装入几个E-AutoPIA并且允许他们同时有效。 E-AutoPIA对象 中的项目   编号   类型 描述 路线   161   集合 一个E-AutoPIA可以有几条路线分层 地可调用的路线对象163。

路线对象163显示在图17中。 路线对象中的项 目  编号 类型 描述 名字  170 字符串 一条路线必须有一个名字。 指令  171 集合 该路线包含几个交互指令。如果存在 几条指令并且没有正本，则这些指令 顺序地执行。 正本  175 字典 正本是存储在一个目录对象，这允许 一个可执行的由名字给加的参考字符 串。 传输优先权规则  178 集合 已经在以前的表格中描述过。 优先权规则  172 集合 已经在以前的表格中描述过。

交互指令173对象显示在图18中。交互指令引起在E-PIA与E- AutoPIA之间的交互。每个交互指令指定将要执行的交互协议和指定为 了可能发生在规则下交互的实际参数。一个成功的交互指令的结果是如 图15B所示的一个信息E-PIA的创建。由信息E-PIA持有的信息的每 一项都利用原始E-PIA的私人密钥加密，因此当使用E-PIA的公共密 钥是提供后续用户的可靠性。

一个交互协议基本上保留对交互指令的一个临时关系。一个交互协 议由一个要填写参数的签名表示，同时交互指令的副本除了填写的参数 外是相同的。交互协议和交互指令是两个编写时间的实体。交互协议表 示由一个电子代理提供的一些服务并且是由该电子代理一起编写的。交 互指令是在一条路线的构造期间为一个E-AutoPIA编写的。每条交互 指令表示一个请求交互或者交互协议的调用。当构造相应的交互指令时， 输入，输出，和缺省映像图从交互协议中移出。 交互指令对象中 的项目  编号 类型 描述 交互协议名字  181 字符串 每个协议都有一个名字。 群体名字  131 字符串 E-AutoPIA的E-PIA驻留的电子都 市群体的名字。 优先权规则  185 集合 已经在以前的表格中描述过。 最大指令  183 整数 将有指令用在其上的E-PIA的最大 数。这个数可以是无穷大。 参数分配  182 目录 传输优先权规则  185 集合 已经在以前的表格中描述过。

电子都市群体对象130显示在图13中。电子都市群体对象130为 E-PIA与其他电子群体提供一组内容。 电子都市群体对 象中的项目  编号 类型 描述  135 E-PIA 电子代理级别从E-PIA级别继承。因 此，一个电子代理是一个包含所有一 个E-PIA包含的项目的子集，但是又 包括： 名字  131 字符串 每个电子都市群体都有一个名字。 群体  132 集合 一个电子都市群体以一种分层关系包 含其他电子群体。 电子代理  133 集合 每个电子都市群体将需要至少一个， 和可能几个电子代理136去执行特殊 任务。这些电子代理被安排到一个集 合。 人物  134 集合 在电子都市群体的所有E-PIA 135保 存在一个集合中。

电子代理对象136显示在图14中。一个电子代理为所有E-PIA和 E-AutoPIA的交互所需要。正是这个电子代理保证仅仅对满足有个人设 置的请求的信任实体释放。 电子代理对象中 的项目  编号 类型 描述  135 E-PIA 电子代理级别从E-PIA级别继承。因 此，一个电子代理是一个包含所有一 个E-PIA包含的项目的子集，但是又 包括： 协议目录  143 集合 该电子代理可以包含几个存储在一个 集合中的交互协议。

结构与设计

下一节描述一种个人与私人信息保护和称为“电子都市”的佣金系 统的结构与设计。

介绍--用户的电子都市世界

电子都市世界是所有硬件和软件的集合，该软件被用于存储电子都 市特殊对象与/或执行电子都市活动。电子都市世界的用户窗口主要地是 通过一个网景浏览器，从应用程序中获得，该窗口是所有经过因特网彼 此互连的许多电子群体的那种，如图2所示。最后，用户不管电子群体 物理位置在哪儿，它们仅仅是为了与其他有类似兴趣的E-PIA交互作为 一个逻辑地方。

作为一种为建立人的信息资产结构的工具，电子都市表格存储库还 是适用的。依据一个有用的再用结构，这些表格能够利用电子都市客户 编辑工具恢复并且合并到已存在的或新的要附加信息的E-PIA。然后一 个用户可以存储他的E-PIA到一个或多个电子群体。

系统结构概述

电子都市世界机械结构

事实上，每个电子群体驻留在一个电子都市网络站点服务器上。如 图7所描述，在一个这样的服务器上可以驻留多余一个电子群体。而且， 驻留在单个服务器上的电子群体可以配置来保留对另一个的一个分层关 系。

两个电子人物¨C表格存储库13描述在图中。如图7中文字指示， 一个电子人物表格存储库是由一个FTP站点实现，同时另一个是由一个 邮件服务器系统来实现。甚至可能没有表格存储库存在以及该表格被简 单地处理为一个本地文档。

电子都市世界系统处理结构

在一个电子都市世界中的客户与服务器处理显示在图8中。客户工 作站由网景浏览器与电子都市特殊的DLL，JAVA文本，或者一些类似 特性意指易于各种电子都市客户活动的其他客户编码。FTP服务器被认 为是因特网上的主要角色同时网景服务器系统在网景的服务器文件这讨 论。这个文件的焦点是图8中电子都市信任服务器系统47。在使用电子 都市的同时，客户总是与一个电子都市信任服务器通讯。在编辑时，交 互协议与交互指令只能从正确的电子代理那里获得(实际上，如果要做 建立对于交互协议与交互指令的格式只能是从格式存储库中得到，但是 对于这些活动的请求令牌只能从该电子代理中获得)。在运行时，电子都 市客户查询一个用户在电子群体的主E-PIA，和它驻留的电子都市服务 器看看最新结果或者相关E-AutoPIA的状态。电子都市服务器实际是由 将在下一节讨论的许多处理过程组成。

电子都市安全结构

电子都市强调信息资源的安全和可信任的交互。电子都市保证进入 电子都市世界系统的所有信息将是安全的并且只有那些可信任的人有访 问特殊信息的可能。对于在基本是电子都市世界系统的“公共”内部连 接中加密传输发生的时和发生地的描述，读者可参考图24。所有需要加 密的安全措施由网景的SSL(加密套接字协议层)通讯层掌握。要保持 所描述的安全水平，就保留下面的系统属性：

1)  在一个网络站点上的每个电子都市信任服务器子系统由当它们 在运行时没有人能够访问的安全处理组成。假设一个在单机上对处理安 全的技术熟练的普通人能够取得这个运行时间的完整性。

2)  每个电子都市信任服务器子系统保持他自己的私人密钥和公共 密钥。一个特殊电子都市信任服务器子系统的公共密钥通过目录服务器 电子代理被所有其他电子都市信任服务器子系统知道。

3)  所有E-PIA和E-AutoPIA当在电子都市信任服务器系统网 络站点之间传输时都被加密。加密是采用传输的目的地电子都市信任服 务器子系统的公共密钥以及传输源的私人密钥两者来实现的。这种双重 加密完成一个双重保证：

a)    仅仅是具有正确私人密钥的电子都市信任服务器子系统(目 的地)将能够加密这个传输。    

b)    同样是这个电子都市信任服务器子系统(目的地)将被保 证该传输来自传输中描述的源电子都市服务器并且不是一个欺骗的源。

4)  所有在E-PIA与E-AutoPIA之间的交互是在电子都市信任 服务器子统内的一台单机上私下执行。

5)  当一个客户请求信息包含在它的主E-PIA中时，保留主E-PIA 的电子都市信任服务器子系统用主E-PIA客户的公共密钥为了传输加密 信息以致于只有该接收的客户才能够解密此信息。当写信息到主E-PIA 时，该信息用目的电子都市信任服务器子统的公共密钥加密以致于只有 正确的目的地才能够解密此信息。所写的信息还包括E-AutoPIA和相关 的路线设计。参看图24。

6)  当一个客户正在从电子代理荻取作者信息时，该作者信息是用 这个客户的公共密钥加密的，所以只有该客户知道如何解密信息。对于 信任令牌的传输在必须立即通过客户的私人密钥根据接收加密的编辑期 间，加密是最重要的。

都市信任服务器系统

图9画出了一个电子都市服务器的最高级别子系统。提供电子都市 的主要服务的核心系统是分布式对象资源管理系统服务器或者DORM。 五个其他的子系统是一个FTP服务器与FTP客户处理和三个网景网络 站点服务器，一起为一个完整的电子都市服务器实现必须的功能性。

分布对象资源管理系统服务器服务器

如上所述，分布对象资源管理系统服务器服务器是电子都市系统结 构的核心。它实质上用小单元对象(即电子群体和电子代理)的帮助管 理所有电子都市对象与资源的信任储存与代理，这是内部的管理。尤其 是，分布对象资源管理系统服务器服务器下列功能：

D1.存储电子群体

D2.存储电子代理

D3.保持一个完整的所有电子群体和电子代理处于的电子都市世界 目录并且保持最新的目录。

D4.存储或者“银行存储”E-PIA

D5.为E-AutoPIA在电子群体之间的传输保留一个信息子系统

D6.保留访问的E-AutoPIA

D7.用E-PIA交互驱动E-AutoPIA的电子代理仲裁

D8.保留协助安全与信任交互的分布对象资源管理系统服务器保证 的优先权规则处理器

网景商业服务器

网景商业服务器是启动一个电子都市服务器是一个站点和在因特网 上交互的核心子系统。因为它使用开放的加密套接字协议层(SSL)协 议，它提供全部因特网安全。SSL采用来自RSA数据安全的技术提供 加密，服务器身份验证，和信息完整。当客户发出请求时，它允许与网 景商业服务器初始地通讯。接着，网景商业服务器将通过网景服务器API (应用编程接口)与分布对象资源管理系统服务器服务器合作。这个通 过网景商业服务器与一个电子都市服务器的通讯是允许客户子系统主要 由一个适应国际广域网络浏览器如 网景导航者的HTTP/HTML组成。这 种合作的详细内容将在下一节讨论。

网景事务服务器

如图9中所示，网景事务服务器掌握着信用卡处理，事务记录，和 帐单管理。当一个人希望开始第一次使用电子都市服务时，或者加新的 性能到他们的E-PIA时，该分布对象资源管理系统服务器服务器与信用 卡处理功能交互。对于初始的或新的性能的变化自动地由事务服务器的 信用卡功能处理。分布对象资源管理系统服务器服务器还与事务记录功 能交互以便跟踪在电子都市站点发生了什么事和什么人也可以使用记帐 单管理功能。这正是假设在计算机编程技术上熟练的普通人能够容易地 跟随必需的网景手工配置分布对象资源管理系统服务器服务器与事务服 务器之间的合作。

一个重要的电子都市特点是个人电子代理与E-PIA能够配置它们自 己的记帐政策。电子代理能够要求信用卡信息的登记以便它为一个交互 协议或交互指令提交一个请求信任令牌。E-PIA可以做同样的事，但是 应该知道E-PIA只能通过电子代理的执行来做到这点。这将在后面讨论。

网景服务器API(NSAPI)

该NSAPI与网景商业服务器紧密地工作以便为一个当正常HTTP 兼容的请求进入商业服务器时具有控制该处理的网络站点提供手段。为 了做到这点，网景已经定义了在正常响应处理中的以下步骤：

NS1.优先权解读

NS2.名字解读

NS3.路径检查

NS4.对象类型

NS5.响应请求

NS6.登录事务

NSAPI提供能够覆盖在任何或所有这些步骤中执行的处理。这正是 假设在计算机编程技术上熟练的普通人能够容易地跟随必需的NSAPI手 动地启动这些步骤要求的覆盖。尤其是，步骤1，2，3，和5将需要特 殊的电子都市替换。一个替换概述的一些实现列举如下：

对于NS1，

对于该请求必要的电子群体的 优先权规则能够被检查；和

对于该请求必要的信任令牌能够被检查。

对于NS2，

路径可以参考分层分布的电子代理或电子群体。

对于NS3，电子代理或电子群体被检查看它是否存在。对于NS5， 请求的分布对象资源管理系统服务器服务被执行。有几种请求的类型它 们是：

1)  客户请求浏览DORM目录。

2)  客户请求来自一个电子代理的编辑的时间信息。

3)  客户请求拥有E-PIA信息资源的恢复。

4)  客户请求资源在客户上被更新后储存E-PIA信息资源。

5)  客户请求装入一个E-AutoPIA。

注意这个E-AutoPIA没有使用加密因为E-AutoPIA的活动不是一 个客户驱动处理。

FTP服务器与FTP客户

如将在后面介绍的结构中，电子代理需要一个可靠的信息子系统用 于从电子群体到电子群体传送E-AutoPIA。因为因特网的电子邮件是不 可靠的，所以FTP服务器与FTP客户被用来实现传送。E-AutoPIA 被编组为一个BLOb并且通过一个文件被传送到远程站点。然后该文件 经过一个电子都市服务器的FTP客户的初始化加载到另一个电子都市服 务器的FTP服务器。下一节讨论对于信息子系统结构的FTP使用的细 节。

分布式对象资源管理系统(分布对象资源管理系统服务器)服务器

图10显示在分布对象资源管理系统服务器服务器内子系统的复杂布 局。这一节的其余部分专用于这些部件子系统每一个的讨论。然而，要 认识到交互处理器是焦点，因为正是这个驱动子系统由于一个客户请求 是经过网景商业服务器或者由于E-AutoPIA到达是经过信息子系统而被 调用的。另一个在继续之前产生的要点是所有的服务请求以一种与一个 电子代理交互的方式执行。

交互处理器

如上所述，交互处理器是分布对象资源管理系统服务器服务器的焦 点并且它经过一个电子代理满足所有的请求。当信息子系统提交一个E- AutoPIA给分布对象资源管理系统服务器时，其实际上是提交它给对于 整个分布对象资源管理系统服务器服务器是编码启动主体的交互处理 器。当信息子系统做这个时，假设它还没有编组该E-AutoPIA BLOb 以致于E-AutoPIA是以一种合适的形式对于它的处理的其余部分。如列 举在下面的表1与2中，对于一个客户请求如同对于一个访问E-AutoPIA 一样要做许多处理。交互处理器控制的服务请求是列在下面的所有客户 请求，以及进入E-AutoPIA的交互指令。由交互处理器服务的请求的全 部清单和它们任何控制的概述列举如下。

IP1.客户请求浏览分布对象资源管理系统服务器目录--该请求是 重定向到一个被认为是“目录服务器”电子代理的特殊电子代理。

IP2.客户请求来自一个电子代理的编辑的时间信息--该请求是重 定向到安排要调用一个其特殊编辑时间服务(交互协议)如“交互协议 目录”或“获得要交互权利协议”之一的电子代理。

IP3.客户请求拥有E-PIA信息资源的恢复--该请求是重定向到被 认为是“主”电子代理的一个特殊电子代理。这个使用的特殊服务被称 为“恢复资源”。这个特殊电子代理必须存在于主E-PIA要被允许驻留 的每个电子群体。

IP4.客户请求资源在客户上被更新后储存E-PIA信息资源--这个 请求通过调用它的“储存资源”服务使用“主”电子代理。

IP5.E-AutoPIA请求通过在它的路线内的现行交互指令交互-- 该请求是 6 电子代理适配器 调用执行() 7 可执行电子代理 调用可执行编码执行服务 8 电子代理服务API 可能需要调用服务API程序 9 网景商业服务器 返回信息。加密该信息与客户的公共密钥一 起发送回去。

          表1一个来自客户应用程序的请求--交互处理器的步骤

            和分布对象资源管理系统服务器内子系统的使用。 子系统使用 作用 1 信息子系统 接收E-AutoPIA并且利用本地电子都市 信任服务器系统的私人密钥加密。 2 交互处理器与虚拟映像 请求与E-AutoPIA一起提交给分布对象 资源管理系统服务器。 3 具有虚拟解释程序的虚拟 映像 查找电子群体指定在E-AutoPIA内的交 互指令 4 具有虚拟解释程序的规则 处理器 电子群体的有效优先权规则。 5 具有虚拟解释程序的规则 处理器 验证任何传输地交换将要通过作为一个输 入或输出参数的E-PIA文本的优先权规 则。 6 电子代理 验证具有通过用从其证明获得的公共密钥 加密它的必要信任令牌的E-AutoPIA。 7 电子代理适配器 调用具有“获得信任令牌”服务和交互协 议的名字作为参数的执行程序()。 9 可执行电子代理 调用可执行程序编码以便为规定的交互协 议产生唯一信任令牌。 10 电子代理 调用电子代理 11 电子代理适配器 调用执行程序()但是只允许满足要被传 输的传输优先权的那些输入。 12 可执行电子代理 调用可执行程序编码以便执行服务 13 电子代理服务API，从对 象存储库中读取E-PIA 调用收集信任E-PIA() 14 可执行电子代理 执行在电子代理的服务执行中可执行程序 编码的其余部分 15 虚拟映像 用传输优先权满足的输出更新E- AutoPIA。 16 路线解释程序 解释当前正本并且确定下一个要执行的交 互指令 17 目录服务的电子代理和虚 拟映像 为下一个交互指令的下一个电子群体查找 FTP地址 18 信息子系统 提交E-AutoPIA回给要被传送到下一个 电子群体的信息子系统。信息子系统必须 用目的地的公共密钥加密要传输的信息。

表2一个来自E-AutoPIA的请求--交互处理器的步骤和分布对 象资源管理系统服务器内部子系统的使用。

规则处理器

规则处理器是一个关键的安全实施子系统。它检查 优先权规则，并 且附加地，规则处理器还控制着对要帮助在E-PIA选择中的SQL陈述 的变化。 优先权规则的生效需要相当复杂的程序。在E-AutoPIA的情况 下， 优先权规则可能指的是“我自己”和“你自己”。每个 优先权规则都 是一些规则对象的一个集合。每个规则对象必须初始地插入到一些包括 “我自己”唯一参考资料的子表达式。这些“唯一我自己”的子表达式 可以通过在当前内容的E-AutoPIA上执行虚拟解释程序立即地简化到真 的或假的。

保持“你自己”子表达式与该结果结合来形成一个简化的表达式。 这个保持简化的表达式然后被解析并且变换到一个如果规则语言提供这 个可以通过条款可能有一个订购的SQL选择描述。这个选择描述以后被 用于收集满足所有规则迄今为止估计达到这点的E-PIA。

因为每个E-PIA为与当前内容的E-AutoPIA交互而具有其自己的 优先权规则，从上述选择收集的E-PIA必须进一步过滤。这个是通过从 收集的集合每次一个取每个E-PIA以及用E-AutoPIA作为“你自己” 与当前E-PIA作为“我自己”执行他们的 优先权规则来完成的。这个执 行需要虚拟解释程序。注意优先权检查的这部分可能由于数据库选择没 有被使用而具有较差的性能。因此重要的是为E-AutoPIA构造 优先权规 则，以便收集E-PIA集合尽可能的小。

虚拟解释程序

该虚拟解释程序是简单结构给出动态于电子都市的可编程语言。这 种可编程语言可以是任何一种语言甚至是一种新的语言，但是建议对于 小规模谈话的那种它具有类似特性。这种可编程语言是必须用在 优先权 规则和路线的正本中的那种。

虚拟映象

该虚拟映象是所有电子都市特殊类型与正在处理的对象被保存在 RAM中的地方。该虚拟解释程序对于这些对象给出动态的程序。如图10 所示，所有的电子群体和电子代理保存在该虚拟映象中作为一种实现技 术，虽然每个都是持久地存储在对象存储库中。

当一个E-AutoPIA或E-PIA被处理时，它们与所有它们自己的对 象都被带进该虚拟映象。该 优先权规则然后使用虚拟解释程序去处理一 些表达式。在类别EPIA上的一种特殊方法能够检查一个特殊信任令牌 的存在。

电子代理对象

每个电子代理对象可以表示一个对于传输给电子都市在多种路线执 行它们交互协议的软件基本上是外部的可执行程序。然而，如果所有这 些被期望是在E-AutoPIA与E-PIA之间共享的信息那么电子代理就不 需要外部的可执行程序了。替代地，如果 优先权规则被执行，交互处理 器将只知道一个数据交换要发生。一个E-AutoPIA的交互指令应该好 象仅有一个将包括在与该E-AutoPIA交互中的E-PIA编写。交互处理 器将为输出参数自动地构造等于最大指令长度的集合。

电子代理适配器与电子代理可执行程序

所有电子代理对象利用一个具有虚拟解释程序的统一协议访问。然 而，每个电子代理可执行程序可能是不同的。一个电子代理可以是一个 C或C++的执行程序(EXE)，一个C或C++的动态连接库(DLL)， 一个Visual Basic(可视Basic)程序，一个OLE 2对象程序(object)， 一个SOM，或者其他程序。需要激活一个交互协议或者每种情况的执行 程序的过程可能是不同的。因此，每个可执行程序的新类型需要电子代 理适配器，该适配器传输统一的协议调用给需要传输必要信号与信息到 和来自电子代理可执行程序。

该适配器总是动态地加栽并且总是支持下列API(具有未确定的签 字)的一个DDL：

启动()--刚好在适配器D DL加载后调用的

停止()--刚好在适配器DDL卸载前调用的

执行()--这是一个主要执行交互指令的入口点。交互指令的名字 必须连同一个连接所有参数的清单一起被传输。执行()的实现是重要 的因为它必须包含编码，该编码结合交互协议名对于可执行程序编码主 体以某种方式表示交互协议的实现。然后执行调用可执行程序编码主体。

电子代理服务API

如所述电子代理可执行程序可以是任何一种上述可执行程序类型。 为了易于这编码的编写以便执行电子代理的开发者试图要达到的服务/交 互协议，一些API被提供。该可执行程序必须能够从一个C的DDL中 调用C程序去执行这些程序。

一些确定有用的程序(具有未确定的签字)是：

收集信任E-PIA()--这个API仅仅是必须被每个电子代理可执 行程序调用的一个。可执行程序要获得E-PIA的“优先权适应”收集的 持有是唯一的方法。这个API把输入和要应用的附加规则作为E-PIA的 收集。该规则处理器被使用在输入规则与先于进入电子代理而形成的SQL 描述相结合。这个引出最后要使用的SQL选择描述。该选择描述被执行 以便获得符合该选择的E-PIA的收集。然而，这个收集不再返回，直到 收集中的E-PIA的个人 优先权规则被执行的规则处理器检查。

一旦完整的“优先权适应”收集返回，在从交互返回之前无论是否 它想与他们做什么，电子代理可执行程序都可以做。注意对于一个交互 指令在小的 最大交互值的情况下，“订购通过”规则可以是非常重要的。

处理信用卡()--为了购买一些东西在获得信用卡信息后与交易服 务器交互。

填表活动()--与交易服务器交互以便根据一个活动的名字填写一 个E-AutoPIA。

用安全卡验证()--为了回到真需要一个特殊的要进入一个读卡机 的电子安全卡。这个特殊的安全卡由作为参数提供给这个API的信息和 规则来定义的。

元电子代理

因为一些适当的电子都市系统是由电子代理实现，这些特殊电子代 理被认为是“元”电子代理。迄今为止，仅两个已经被定义。可能需要 更多的。

主电子代理

这个电子代理首先需要验证编辑或浏览一个事实上个人拥有的特殊 主E-PIA的信息资源的用户。在这个电子代理需要被呈现在或许许多电 子群体中同时，它的实现可以被忽略。例如，一个“主”电子代理实现 可以提供严格的安全性以至于安全卡是绝对需要的。其他“主”电子代 理可能仅需要一个口令。一个随便的电子群体可能没有安全性。

目录服务电子代理

这个电子代理试图要保留整个电子代理世界的最新知识。在一个站 点每个顶层主电子群体只需要一个目录服务电子代理。尤其是，它保持 着每个在线电子都市信任服务器子系统，所有电子群体和他们位于的因 特网地址，以及驻留在他们中的电子代理和每个电子代理自己的名字等 的跟踪。该目录信息必须持久续以便它被存在对象存储库中。

要保持目录信息最新，每个目录服务电子代理周期地查看是否有任 何电子群体或电子代理安排变化。如果有，该目录服务电子代理发送一 个带有一条路线的E-AutoPIA给每个其他的目录服务电子代理把这些变 化通知它们。因为这样的变化可能是相当少的所以周期的频率可以是每 天一次。注意一个新的电子都市站点刚一安装就必须获得一个整个当前 电子都市目录的备份。

路线解释程序

路线解释程序懂的一条路线当选两种形式之一。或者该路线具有正 本或者没有正本。无论那种情况，路线必须有至少一个交互指令在 指令 订购收集中。在没有正本的情况下， 指令订购收集是简单地顺序执行。 在正本存在的情况下，交互指令不必须实际具有填写的参数因为该正本 用这些参数执行调用。在这种情况下，交互指令的订购收集仅表示能够 从该正本中调用的交互指令。对于正本存在的情况没有理由持有复制的 交互指令。

对于没有正本的情况，路线解释程序仅仅增加一个 指令指针在一个 E-AutoPIA中以便保持跟踪当前的路线中的交互指令。当正本存在时， 路线解释程序必须能够编译和执行正本。它获得这个仅仅通过使用虚拟 解释程序。每个正本是象一种编程语言可以用于执行任何一般处理的小 交谈方法。在正本中的这些参考变量结合到E-AutoPIA中的规定信息。 在任何时间在一个正本内，一个交互指令或甚至一条完整的路线都可以 被涉及到的特殊变量“指令”调用。用于调用一个交互指令的句法将是 “一些指令在：一个协议名实现用：一个参数目录。”在这个例子中，一 个协议名是要执行的交互协议的名字，同时一个参数目录是在参数名上 键入的和在参数的数值上定价的一个目录。

对象存储库

该对象存储库主要意指是E-PIA被持久保留的地方。然而，电子群 体和电子代理也一样保存在这儿。对象存储库使用一个简单的对象原始 界面在一个关系数据库上实现(即Oracle)。对于相关表格列设计的简 单对象的一些特点如下：

OR1.每个对象用图11描述的列模式存储在一个数据库表格的一 列中。

OR2.对象标识符或者OID是一个因特网范围可以用于解除参考对 象的唯一数字标识符。

OR3.每个对象被认为要存储在每个都具有相同收集OID的刚好是 许多行一组的一个持久的多键入收集中。

OR4.这些公共密钥实际上是一个对象“公开的”信息。当一个对 象存储在一行中时，已经定义的要公开的对象数据拷贝到该行的合适列 中。因为数据库引擎能够被采用，所以只有这些被定义的公共密钥能够 用于快速E-PIA选择和收集。

OR5.这些实际的对象本身被存储在一行的BLOB列中。

一个对象存储库是为驻留在电子都市服务器中的每个顶层电子群体 安装的。该数据库模式只包括三个表格，一个用于电子群体，一个用于 电子代理，以及一个用于E-PIA。用于电子群体，电子代理，和E-PIA 的持久的多键入收集模式分别显示在图11b，11c，和11d中。

在三个表格的每个中，收集OID涉及到一个不同分组的概念。在电 子群体表格中，主OID是把一个主电子群体作为他的子电子群体收集的 一个收集OID。在电子代理和E-PIA的表格中电子群体OID是收集 OID。这些公共密钥已经有意地未定义。这是因为这些公共密钥应该由 电子群体的需要来确定以及应该通过电子群体管理工具配置。

重要的是要注意如何获得用分层电子群体访问。假设一个查询必须 允许任何是一个电子群体的会员的E-PIA或者任何他的子电子群体作为 一个结果。首先，涉及到所有分层可达到的电子群体的OIDs必须在查 询与收集之前发现。然后该选择查询用一组Ored“收集OID＝＝X” 的表达式构成。

记住大多数电子群体和电子代理处理只是预定直接地要在RAM中 在虚拟映像中去做。只有E-PIA将被在对象存储库中常规地访问。

信息子系统

直到与交互处理器有关，该信息子系统是一个单独的源和将请求代 理服务的E-AutoPIA汇集。当一个E-AutoPIA服务完成时，交互处理 器提交该E-AutoPIA给路线解释程序。这个路线解释程序解释当前的正 本直到它能够获得正是下一条交互指令启用。如果不存在正本而仅存在 一条线性的交互指令的路线这将是直接的。当路线解释程序完成时交互 处理器获得E-AutoPIA返回。目录服务电子代理然后被比较查看哪个 站点E-AutoPIA需要进行到下一步。交互处理器然后提交这个E- AutoPIA回到信息子系统以便他能够被传送到他的下一个目的地。信息 子系统的细节在下一节介绍。

信息子系统

该信息子系统专门用于可靠地传输E-AutoPIA从远程电子群体到 另一个。图12中所画的信息结构是非常简单的。该信息子系统主要是依 靠E-AutoPIA的到达和具有外部FTP客户与FTP服务器协助的信息 查询的发出。E-AutoPIA分配器是对分布对象资源管理系统服务器服务 器的主要接口。然而，注意FTP不需要作为信息子系统执行。更确切地， 用于发送信息的手段都能够使用。这些子系统将在下边详细地描述。

E-AutoPIA发送者分配器

当一个E-AutoPIA正在被发送给一个远程电子群体时，它的FTP 因特网地址应该已经被交互处理器查找。注意每个顶层电子群体都有一 个因特网地址。交互处理器通过掌握要与其地址一起发送的空闲的E- AutoPIA来调用E-AutoPIA发送者分配器。

E-AutoPIA发送者分配器放置该E-AutoPIA到一个输出信息排队 然后激活FTP客户去发送该E-AutoPIA给它的目的地。如果由于任何 原因FTP客户不能立即发送该E-AutoPIA，该FTP客户稍后将从输 出信息排队中读取这些实体并且然后试图发送输出E-AutoPIA。

信息排队

这个信息排队实际刚好是一个FTP文件系统。有一个单独的输出信 息排队和一个可能是两个区分FTP文件目录的引入信息排队。

E-AutoPIA接收者分配器

当E-AutoPIA接收者分配器在引入的信息排队中观察到一个到达 的E-AutoPIA，它不从它的文件格式整理这个E-AutoPIA而立即调用 一个新的交互处理器过程去处理它。在引入的信息排队中的E-AutoPIA 文件直到该E-AutoPIA被提交给输出信息排队才被删除。在分布对象资 源管理系统服务器服务器碰撞的情况中恢复是需要的。因为只有这么多 这样的服务器可能是同时运行，所以一个E-AutoPIA的备份能够建立在 引入的信息排队中。如果引入的信息排队变成空，E-AutoPIA接收者分 配器可以周期地休眠和唤醒去检查是否有任何事到达。如果对于该FTP 服务器处理有一种方法通知E-AutoPIA接收者分配器，则休眠过程能够 在一个作为必须的基础上异步地被唤醒。

FTP客户

这个FTP客户处理实际需要执行比一个香草FTP客户做的多的几 个任务。一旦它已经成功地传输该E-AutoPIA文件给它的下一个目的地 它必须删除一个输出信息排队中的该E-AutoPIA文件。再者，FTP因 为其可靠是使用于传输的。如果在传送期间有错误发生，该FTP客户应 该知道，因为传送是直接地点对点的。该FTP客户应该知道它必须保持 失败的E-AutoPIA在输出信息排队中并且稍后再试着传送。

FTP服务器

FTP服务器不需要做任何特殊的事。它只要存储进入的E-AutoPIA 文件传输到要求的目录。正如上述指定的FTP目录对于位于本地电子都 市站点的顶层电子都市之一代表进入的信息排队。

对象模式概述

这一节描述基于个人与私人信息保护的一种计算机-群体的对象模式 和成为“电子都市”的代理业务系统。这种对象模式聚焦在电子都市中 对象的用户观点。这种对象模式提供对象的行为如何以及在用户级别彼 此之间的关系如何的详细描述。在一些情况中这些对象与类别在用户级 别上将没有映像到对象编程语言中的一个对象或类别。然而，从OOA 对象到OOD对象的转变大部分是非常平滑的。原始Booch符号的对象 是使用在这个文件的框图中作为一种对真实对象的通讯关系的手段。图23 描述使用的基本标志符号和它们的意思。“用于执行”的符号大量地用来 举例说明变量表示一个类别需要在其执行中的对象。

基础对象

在电子都市对象的描述的最高层，有电子人物，电子群体和电子代 理。一个电子人物是以前谈到的计算机-人物概念。这就好象是一个虚拟 的人因为假设它是要表示的人，但是在电脑空间里。电子人物驻留在电 子群体中是为了保持他们的信息资源的安全。同时电子代理实际上是所 有电子人物交互活动的媒介以便保持由电子群体提供的安全性以及任何 规定人(特殊电子人物)的安全性检测。

一个电子群体是一个安全和可信任的计算机群体。一个电子群体保 证只有具有合适的电子群体优先权的电子人物可以进入或驻留的安全 性。安全性包含在一个电子群体内，因为驻留在其中的电子人物的信息 资源只能与具有合适个人优先权的那些共享。一个电子群体是可信任的 原因是它保证它所包含的电子人物和来访的电子人物将根据每个电子人 物建立的规则交互，因此保持“唯一可信”的交互性。

每个电子群体至少存在一个电子代理它的目的实际是传输优先权信 息共享和交互。事实上电子人物信息共享和交互两者只能通过一个电子 代理发生。

电子人物作为个人信息的代理

在电子都市中存在两个主要电子人物的子集它们是电子人物信息代 理(E-PIA)和电子自治人物信息代理(E-AutoPIA)。项目“个人信 息代理”例举电子人物的目的因为它们管理一个真人的电子信息资源。 表示一个真实合作的一个电子合作信息代理(ECIA)也有可能是有用 的电子人物的子集。

正是这个E-PIA共享它自己的信息同时驻留在这个电子群体中。这 种“被动”的共享仅可能与一个被认为是E-AutoPIA的较“主动”的 E-PIA一起出现。具有由研讨E-PIA建立的合适优先权的一个E- AutoPIA才能与这个E-PIA交互和享受信息共享。一个分配给E-PIA 37驻留的电子群体35的电子代理39传输该优先权信息共享如图5所 示。注意只有E-AutoPIA 41才可以初始化一个活动的。

如果一个E-AutoPIA期望初始化交互活动如参与其他E-PIA保密 信息共享，请求来自其他E-PIA保密服务，或者执行与其他E-PIA保 密交易，该E-AutoPIA为每个特殊的活动必须访问合适的电子代理。由 一个E-AutoPIA要执行的交互清单被认为是它的路线。正如驻留在电子 群体的E-PIA一样，E-AutoPIA是由一个电子代理保护的并且只能通 过一个电子代理与其它的E-PIA或者E-AutoPIA交互。所有的信息共 享与交互的其它普通形式总是通过交互协议出现。图6中所示的E- AutoPIA访问每个位于不同的电子群体的几个电子代理，在单个的电子 群体中可能存在多个电子代理并且他们每个都被一个单个的E-AutoPIA 根据其期望的活动访问。

可信任的安全性和传输性

读者应该注意限定词“安全”的连续使用。安全性在电子都市中是 关键，作为保持企图在由E-PIA代表的人之间交互的完整性的主要手段。 严格的保密性是必要的，以便确保有意的E-PIA内部关系以及保持只有 那些意于查看特殊信息并且能够查看的电子都市用户的信心。

当一个E-PIA给出一些其个人信息到另一个E-PIA时，给出的个 人信息还是由原始的E-PIA保护和所属。事实上如果这个接收E-PIA 依次传输另一个E-PIA的信息到第三个E-PIA，电子都市还知道个人信 息的原始拥有者并且继续根据原始E-PIA公布的传输优先权规则管制访 问该信息。这个由电子都市创造的安全范例被认为可信任的传输性。可 信任的传输性意思是：

如果A相信拥有信息A′的B，

而B相信拥有信息A′的C，

则A相信拥有信息A′的C。

根据对已经提交的数据发布的传输优先权规则，这个重要的概念对 A保证它的信息永远不会传输到一个不信任的实体。

这是容易地告诉电子都市哪个E-PIA拥有该信息，因为信息总是以 一个提交其信息的E-PIA的文本传输。例如，假设一个E-PIA包含一 组丰富的信息，它包括出生日期，地址，电话号码等等。再有，假设它 希望在交互期间只提交它的电话号码给另一个E-PIA。接收E-PIA实际 上将接收一个仅含电话号码的E-PIA对象。尤其是，接收的E-PIA对 象是一个希望由接收E-PIA预接收的表示如何提交E-PIA的原始E-PIA 的文本。图6描述了通过一个移动E-PIA 41的E-PIA 40的文本的“收 集”。E-PIA对象的文本仅是信息由电子都市中的E-PIA保留的方式。 图6还描述了已经给到电子群体之一中的非-移动E-PIA 39的一个移动 E-AutoPIA的文本。

子系统模型

在介绍对象行为与关系的细节之前，重要是要明白各种用户知道同 时使用电子都市的子系统。这一节描述主要客户和服务器子系统的活动。

使用的模式

创造时间

E-PIA

E-PIA只有两个可编写的项：它们的信息 资源和它们的 交互协议 这些资源需要由使用一些分层GUI(图形用户界面)种类的创造。这个 GUI必须考虑任何要进入一个字段的数据并且给这个字段一个名字。这 个GUI还必须提供一种手段通过附加一个子文件夹的概念创建分层的结 构。有前途地，这种分层图形可能具有HTML格式协议的一些方式。

交互协议被严格地保护并且可能只有从驻留在被编写的E-PIA的同 一电子群体中的电子代理之一里获得。一个人可以浏览电子群体中的一 个电子代理以便获得它的HTML格式的 协议目录。返回的HTML文本 包括一个表示要请求获得列出交互协议的一个或多个的手段的HTML格 式。实际上获得一个特殊协议可能要求一些批准和/或付一定手续费。当 交互协议实际已获得时，它被存储在该E-PIA中。然而，该交互协议具 有 优先权规则和一个可以使用的或者通过HTML格式修改的 缺省映像 图。

E-AutoPIA

E-AutoPIA仅有要创造的它们的 路线。这是因为一个E-AutoPIA 总是从一个E-PIA中例示出。要创造一条路线，为交互协议浏览一个电 子代理是以相同的方式如用E-PIA来实现。然而，代替恢复一个交互协 议，具有要填写参数的交互指令被获得。

格式存储库

因为E-PIA信息的结构大概要反复地再用，为填写各种E-PIA结 构的信息必须的HTML格式可以被存储在共享区域称为格式或电子人物 存储库。这些存储库可以是简单的FTP站点或者甚至可能是网景服务器 系统。还可能要存储与交互协议，交互指令，和路线有关系的HTML格 式。然而，如后面将述，使用这些对象的E-PIA必须有与这些对象的每 个相关的特殊信任令牌为了实际执行它们的预定活动。

运行时间

在运行时间，一个拥有E-PIA或E-AutoPIA的人不看任何事情发 生，因为所有交互都是由电子都市服务器处理的。然而，要看交互的进 展或最新的结果，一个拥有者可以恢复他的信息资源核查包含在他的E- PIA(s)或E-AutoPIA(s)中的线索。注意一个人可能有多个E-PIA 但是只有一个被指定为主E-PIA(更多的主E-PIA描述将在后面)。如 任何时候，该表示图使用HTML文本。在一些情况下，E-PIA的状态可 能指示有人正等待在等待者能够继续之前进一步作用在要发生的拥有者 部分上。

电子群体管理时间

电子群体管理员需要保持，修复，和更新一个电子群体中的电子代 理。电子群体管理员还需要能够对一个电子群体边界(即包含电子群体) 内的每件事情具有优先权为了保证每件事情平滑运行或者找出问题所 在。备份与恢复功能也必须执行。

电子都市管理时间

一个简单地具有访问每件事情的电子都市雇佣的电子都市管理员不 存在。每个电子群体根据该电子群体建立的规则自动地保持和管理他自 己的资源。这是一个电子都市中所有权概念的关键。

客户与服务器子系统

用户的领域只是由属于他们的电子群体和电子代理，格式存储库， 和网景世界广域网络浏览器组成。用户明白所有电子群体是通过因特网 和他们通过一个“http：//www.”地址能够连接到的因特网彼此连接。 在前一节提到电子都市中的所有数据是如何在呈现给用户之前变换到一 个HTML格式。这种变换发生在该服务器上所以在客户工作站上只需要 网景客户和一个现有HTML熟知的客户编程系统(例如，C++和 NCAPI，或者JAVA)。注意分开的电子群体可能或不可能地实际上位 于相同的站点，但是其物理位置的考虑对用户是不相关的。

用户还可以希望使用一个电子都市安全卡来存储信息资源。在使用 一些服务是这需要对用户确认，但是还可能有一个人希望存储他的资源 的其他方法。可能只有一个地方是一个人希望在一定时间保存他的资源- -拥有E-PIA的人的整个决定是什么地方，什么时间，以及如何存储或 共享他们的信息资源。

各自的群体管理员

一个电子群体管理员使用电子群体管理工具在单个电子都市世界广 域网络服务器上管理一个或者多个电子群体。在每个电子群体管理员知 道他的电子群体和由电子群体开发组创建的他们相对应的电子代理同 时，一个电子群体管理员规定的“电子群体站点管理员”还知道该电子 都市和可能需要监视与/或配置的网景服务器的处理。由于电子都市中需 要严格的安全措施，管理工具客户申请需要一个直接地进入电子都市服 务器而不是通过任何因特网协议的直接登录。注意这个限制不拒绝远程 登录。一个电子群体管理员还可以在服务器上安装一个格式存储库，如 果需要。

详细的对象模型

电子都市对象模型的一个主要特点是第一类对象，即E-PIA，不是 类别的例子(在用户级别)，而只是一些例子。代替地，他们通过协议分 派在任何时间动态地分派行为。这提供了行为增量地加或行为减量地减 的方便。使人相信正是这种方便对于每天变化的需要以及一个人希望要 做的或要探究的不同活动是必要的。

电子人物

B1.电子人物的目的--一个电子人物表示电子都市的计算机世界 中的一个“生命”。这个生命，或电子人物，必须有一个愿望或一个目的 要与其他电子人物交互，为了再线存在于电子都市中。

B2.一个电子人物可以代表任何事情的生命--注意计算机空间的 生命可以给与一般应该认为不具有“生命”的对象。例如，能够表示死 去的人。在电子都市的主要目的是要有电子人物表示的真正活着的人， 他们还可以表示真实的动物，真实的公司，真实的组织，真实的无生命 的对象，或者甚至电子都市外部一电子形式存储和保存的知识对象。死 的象所有上面类似的全部假想的(不真实的)也可以表示。

B3.一个电子人物基本上是一个抽象的主类别，不存在直接的电子 人物的实例。

基本的信息对象

I1.基本的信息对象的目的--信息对象保持数据在电子都市中并且 是类别的一些例子。因为用户与各种基本数据类型频繁地交互所以重要 的是要提及基本数据。

I2.基本类别是：

  类别

  整数

  字符串

  浮点

  布尔代数

  订购收集

  集合

  目录

  SQL描述

  文件夹

  可执行字符串

  编译程序

I3.具有缺省协议的基本类别--该缺省协议对应于该类别的方法。 例如，获得订购收集，集合，和目录的大小的方法象订购收集特殊索引 和目录的特殊公共密钥一样是必须的。

I4.一个可执行字符串表示可以作为对象在周围传输，当需要时可 以解释，以及处理的一段编码--可执行字符串需要输入一些参数。零， 一个及两个参数的可执行字符串应该支持的。每个可执行字符串定义它 的编译程序/解释程序的名字。这个允许可执行字符串中参考名字要集合 到由编译程序控制的不同内容的信息。

I5.SQL描述希望为快速查找信息同时能够参考E-PIA信息而提 供一种载体--因为一个E-PIA信息参考是分层的，所以，没有SQL 适应，SQL描述对象不完全地支持SQL。这些参考获得由电子都市提 供的一个特殊编译程序的修补。

I6.一个文件夹能够采用分层安排的公共密钥存储对象。

I7.一个扩展的类别集合应该必须提供支持各种标准的对象协议-- 一些实例是OLE对象，打开文件对象，和SOM对象。这些是必要的， 因为一些信息资源数据希望以这样格式由人来存储。

I8.一个扩展的类别集合应该必须提供支持各种媒体--一些实例是 声音，视频，和图象。

I9.非常重要的目录对象对一个目录的用户简单地显示为公共密钥 对象的列表--这些公共密钥对象经常被认为是目录的“值”。一个公共 密钥是用来查找目录中的一个值或对象。这些公共密钥是一些代表性的 字符串或符号(如在小交谈中)并且用作如此公共密钥对象的名字。但 是这些公共密钥可以是编程者看上去如有用的一个公共密钥一样的对 象。这些值可以是任何对象。一个目录例子显示如下。     公共密钥     值     “名”     一个字符串对象     “高度”     一个浮点对象     “街”     一个字符串对象

电子个人信息代理(E-PIA)

PIA1.E-PIA的目的--表示一个真实人和保持真实人信息资源的 电子人物希望在一种安全的方式中共享。

PIA2.一个E-PIA可以存在一个电子的电子都市安全卡上。

PIA3.每个E-PIA由一个没有结构创建的和在编写时编辑的文件 夹构成--该编辑是要用由电子都市客户子系统变的更方便的HTML格 式完成。

PIA4.每个E-PIA可以由E-PIA的拥有者在创造时间指定一个交 互协议集合--E-PIA仅通过一个交互协议和仅于某时的一个协议在运行 时间共享信息。

PIA5.一个E-PIA包含一组必须检查和满足所有交互协议执行的 优先权规则。

PIA6.一个E-PIA包含一组在运行时间从电子代理获得的信任令 牌--这种信任令牌的一些或全部可以用在任何时间E-PIA交互。

PIA7.一个E-PIA包含一个所有交互与它一起发生的核查跟踪--每 个记录事件储存关于有兴趣的交互信息(例如启动时间，完成时间，任 何访问违规等等)。

对于一个E-PIA，每次有一个交互协议在其上执行，一个记录事件 对象被附加到它的核查跟踪。对于一个E-AutoPIA，每次有一个交互协 议在其路线上执行，一个记录事件对象被附加到它的核查跟踪。记录事 件对象的内容需要根据在电子都市发展期间核查跟踪的需要来确定。此 外，为了执行或磁盘空间的原因，一定的记录事件筛选可能不希望被存 储。最后，核查跟踪的要点是允许E-PIA或E-AutoPIA的拥有者回忆 已经做过什么。

PIA8.一个E-PIA可以同时存在多个电子群体。

PIA9.如果对于一个特定的人存在多于一个E-PIA就必须指定一 个主E-PIA--主E-PIA包含一些其他E-PIA位于的电子群体的名字。

PIA10.只有主E-PIA可以在创造时间修改。

PIA11.每个E-PIA包含一个有它代表人的名字和这个人的公共密 钥的证明--假设任何时间一个处理能够通过查询适当的证明权限核查名 字和公共密钥对儿。

PIA12.当来自一个E-PIA的信息在一个信息交互中提供时，一个 E-PIA的文本在运行时间构造--一个E-PIA文本只包含：

证明

资源

优先权规则

包括一个 核查跟踪的可能性应该考虑。注意E-PIA文本一般表示一 个实际包含在源E-PIA内信息的子集，所以 资源可能是原始 资源文件夹 的一小部分的一个拷贝。这个 证明帮助验证实际来自他们的名字描述在 该 证明中的E-PIA的信息。作为信息能够在“传输的信任”的第三者信 息共享中通过是重要的。此外，在原始E-PIA 资源文件夹中每条单独的 信息，当在E-PIA所拥有的个人工作站汇编时是用该E-PIA的私人密 钥加密的。在一个E-PIA的文本中在 证明中采用公共密钥，另一个E-PIA 可能有加密的数据并且确实知道实际上由所属者“签字”的E-PIA的文 本。

信任令牌

TT1.信任令牌的目的--一个信任令牌是在创造时间从一个电子代 理与一些其他对象一起获得以便保护对象的使用，代表性的是一个交互 或服务，那些电子代理的代理者。信任令牌准予新的拥有者对执行安全 交互的一个主要和必须的优先权(但是不是必要足够的优先权)。

TT2.当一个信任令牌给到一个E-PIA作者时，它被使用E-PIA 作者的私人密钥在他的本地机器加密--然后电子代理记住E-PIA作者 的公共密钥。

TT3.当一个安全的交互请求时，电子代理必须给出该E-PIA的名 字和加密的信任令牌。从这一对儿中，信任令牌能够用从一个以前的创 作期间获得的公共密钥加密--该电子代理知道只有当该信任令牌能够被 成功地解密时该E-PIA的请求交互才是可信任的。

交互协议

SP1.交互协议的目的--一个交互协议对象指定特殊命名的信息 和为了要共享的特殊信息而必须是真的条件。该共享信息是以一个E-PIA 的文本的形式打包封装的。该E-PIA的文本是由交互协议的输出特别定 义的。

SP2.一个交互协议必须有名字。

SP3.一个交互协议对象有5个字节组组成

1)  输入参数的集合

2)  以将共享的E-PIA文本存储的信息定义的输出参数集合

3)  缺省参数映像

4)  对于直接要发生共享的优先权规则的集合

5)  对于由第三者(传输共享)要发生E-PIA文本共享的传输优 先权规则的集合。在运行时间，这些规则被备份并且放在将共享的E-PIA 文本的 优先权规则中。

6)  启动布尔运算--一个交互可能禁用。

SP4.一个交互协议的执行根据运行时间输出参数值创建一个E-PIA 文本。这个E-PIA文本是给出了什么以及与交互的E-PIA共享什么--然 而，如果所有输出参数值都是以前获得的E-PIA文本，则不生成E-PIA 文本。代替地该信息是沿着以原始获得的E-PIA格式传输。

注意：考虑在一些状况中要传输数据当作行数据，而不总是当作E- PIA的一个文本，所以应该研究。或许在交互协议与交互指令编写期间 作为一个E-PIA文本或行数据传输数据可以是一个选择。

SP5.该共享的E-PIA文本，其基本信息的每一条已经用E-PIA 的私人密钥加密--当对主E-PIA的信息汇编时，这个加密发生在E-PIA 的个人用户工作站。随后，另外的E-PIA或处理能够利用在其 证明中发 现的E-PIA文本的公共密钥解密。

注意因为私人密钥从来不在服务器上，常用以一个E-PIA文本传输 数据的输入或输出参数可能要求被严格地限制在丰富的表达式中，因为 通常一个表达结果将需要用私人密钥再加密。

SP6.一个交互协议的缺省参数映像是一个显示零或多个参数的名 字和一个与其相关的每个所列参数的分层名字的目录。

SP7.一个交互协议可以继承一个存在的交互协议--该子集交互 协议继承其可能加更多参数和规则的4-字节组。

SP8.一个E-PIA可以重写指定给它的任何或所有交互协议中的 优 先权规则--创造时间的E-PIA必须提供这种可能性。

SP9.缺省映像对于相应的交互指令的构成有意要担当一个助手-- 因为交互指令必须用表达式字符串填写一个交互协议的参数，用一般的 期望缺省值填写一些或所有参数可能是好的。下面表格显示一个缺省映 像的例子。     参数名字     缺省值     “名”     名     “高度”     外形.物理属性.高度     “街道”     地址.街道

C/C++语言中的模拟应该是函数的原型：

处理特殊信息(字符串*名，浮点*高度，字符*串街道)将用缺省调 用自动填写：处理特殊信息(名，外形.物理属性.高度，地址.街道)

实现这些缺省参数定位那些参考的变量，汇集到E-AutoPIA的文 件夹。

参数

P1.参数的目的--一个参数是为或者要输入到一个交互或者要从 一个交互输出的信息对象而指定的“信息路线”。

P2.每个参数是一个2-字节组(名字，有效规则)--有效规则可 以在运行时间用于校验类型。例如，表达式“iskindof：a Class”确 定运行时间参数值是Class的例子还是其子集之一。一个较复杂的例子 将是一个类型验证和一个一般表达式的结合如：(myself isMemberOf：Float)&(myself＞203500.00)。

规则

R1.规则的目的--一条规则被分派到一些活动并且描述该活动发 生的条件。否则该活动就不发生。重要的是注意规则语法必须是多社交 中心。

R2.规则是一些表示对真或假鉴定的表达式的可执行字符串。

R3.该规则表达式语法必须识别多个范围--在大多数感性趣的情 况下，两个E-PIA可能满足我们所有兴趣的两个范围。这两个范围是共 享者和被共享者。

R4.为了方便于两个对象满足的参考，公共密钥“我自己”和“你 自己”应该在语法中建立--我自己指的是共享者的集合(共享E-PIA) 同时你自己指的是被共享者的集合(相遇共享者的E-PIA)。

R5.为了方便于多于一个对象满足的参考，公共密钥“你们自己”应 该在语法中建立--你们自己指的是被共享者的集合(与共享者相遇的 E-PIA)。索引可以用于指出特殊的被共享者。你自己总是与索引0的你 们自己相同。

R6.这些参考用来指出一个在一个对象中分层地定位的数据--一个 参考可以用名字由为了指示分层访问的空间分开。

例子：要限制一个只有超过6英尺的那些人的活动一个共享者的规 则必须是你自己外形物理属性高度＞6

R7.这些规则有意要在运行时间解释--因此，只有一些错误期望 在创造时间被发现。

电子自治个人信息代理(E-AutoPIA)

APIA1.E-AutoPIA的目的--E-AutoPIA代替主E-PIA做工作 的智能代理。一个E-AutoPIA是一个初始化期望与本地或远程的电子群 体中的其他E-PIA交互的任务的E-PIA。

APIA2.一个E-AutoPIA是一个具有至少一条分派给它的路线的 E-PIA。

APIA3.一个E-AutoPIA只能是被从一个主E-PIA发送，即执行 一条路线。

APIA4.一个主E-PIA可以发送多个E-AutoPIA。

路线

I1.路线的目的--一条路线由一列要执行的一些交互指令组成。

I2.一条路线必须有一个名字。

I3.一条路线包含一组优先权规则--这些规则必须满足所有交互指 令并且又是为E-AutoPIA而定义的优先权规则。

I4.一条路线包含一组传输优先权规则--这些规则支配由交互指令 在路线内共享的任何E-PIA文本(或者在这种情况下的E-AutoPIA文 本)的传输共享。该传输优先权规则又是为一个个别交互指令本身而定 义的任何传输优先权规则。在运行时间，这些规则被备份并且放在将要 共享的E-PIA文本的 优先权规则中。

I5.一个路线包含一组零个或多个正本--一个正本正好是一个以一 些编程语言编写的可执行字符串。这些正本能够控制何时与如何这些交 互指令被执行。因此，为了编程者无论希望做什么处理这些正本不过是 普通的可编程编码。然而，一个正本能够用它的名字调用一个交互指令 并且作为其参数范围内的变量传输它。只有一条路线的交互指令或者超 类路线可以从加入到相同路线对象的正本中调用。网络影响是这些指令 在任何顺序中可以得到调用。当没有正本出现在路线中时交互指令只能 顺序调用。

I6.一条路线由一个或更多的交互指令组成--如果不存在正本，交 互指令就顺序地执行。

I7.一条路线可以继承一条存在的路线--子集路线继承主路线的规 则，正本和路线。

交互指令

II1.交互指令的目的--交互指令在引起E-PIA(实际是，E-AutoPIA 和E-PIA)之间发生交互的整个系统中是单个的点。每条交互指令描述 将要发生的交互和可能发生的规则下。还有一个要点应该注意交互指令 的执行仅仅是交换信息资源的一种方法。

II2.每个交互指令是一个5-字节组

1)  电子群体名字

2)  交互协议名字

3)  参数的分配

4)  对于直接要发生共享的优先权规则的集合

5)  对于由第三者(传输共享)要发生E-PIA文本共享的传输优 先权规则的集合。

6)  最大交互指令数

II3.一个交互协议的执行根据运行时间输入参数值创建一个E- AutoPIA文本。这个E-AutoPIA文本是给出了什么以及与交互的E-PIA 共享什么--然而，如果所有输入参数值都是以前获得的E-PIA文本， 则不生成E-AutoPIA文本。代替地该信息是沿着以原始获得的E- AutoPIA格式传输。

II4.该共享的E-AutoPIA文本，其基本信息的每一条已经用E- AutoPIA的私人密钥加密--当对主E-AutoPIA的信息汇编时，这个 加密发生在E-PIA的个人用户工作站。随后，另外的E-PIA或处理能 够利用在其 证明中发现的E-PIA文本的公共密钥解密。

注意因为私人密钥从来不在服务器上，常用以一个E-PIA文本传输 数据的输入或输出参数可能要求被严格地限制在丰富的表达式中，因为 通常，一个表达结果将需要用私人密钥再加密。

II5.该 优先权规则必须满足要执行的交互指令--他们是除了为路 线的规则集合之外又是为执行E-AutoPIA的规则集合。

II6.该 传输优先权规则被备份并且放在由于交互指令执行变成共享 E-PIA文本的 优先权规则中。

II7.只有E-PIA的最大交互指令将参与一个交互指令的执行--这 个数值可以是无穷大。

II8.一个交互协议必须能够产生一个表示具有已经填写参数的交互 指令的HTML格式。

II9.有一个更新E-AutoPIA中的最新信息到其主E-PIA的特殊 “更新主”交互指令--一个隐含的“更新主”交互指令在路线终端执 行。注意这个特殊的交互指令需要该E-AutoPIA物理地访问它的主E- PIA。

阐明交互协议与交互指令之间的关系

一个交互协议基本保持对一个交互指令的临时关系。一个交互协议 由要“填写”的参数的一个签字表示，同时交互指令副本除了有“填写” 的参数外是相同的。

交互协议与交互指令是两个创作时间实体。交互协议表示由一个电 子代理提供的服务和是与一个电子代理一起被编写的。交互指令是在一 条路线的构成期间为一个E-AutoPIA而编写的。每个交互指令表示一 个“请求交互”或交互协议的调用。

还有，图19显示的是部分交互协议的优先权规则。每个优先权规则 是一组规则对象。如前所述，每个规则是一个使用规则编译程序去处理 的表达式字符串。为了适应要执行的一个交互协议所有优先权规则中的 规则必须是真。如前所述，这些规则能够定位我自己(交互协议交互的 提供者)和你自己(该E-AutoPIA请求的交互)两者。还可以显示具有 有效的规则对象的参数对象。这些规则只能应用到实际被传输的参数。

图18还显示一些如具有优先权规则的交互指令。这些组规则可以由 一个E-AutoPIA编辑者添加，在他正在建立一条路线时和已经决定某些 规则应该保持不管涉及到的交互指令的交互协议优先权规则时。

电子群体

C1.电子群体的目的--一个电子群体为E-PIA和其他电子群体提 供一个分组的概念。在这方面，一个电子群体还为分组的对象提供安全。

C2.一个电子群体是一个电子人物--一个电子群体保持一个生命 概念的电子都市的见解，在这个概念中目的是共享信息和与一般的电子 人物交互。

C3.一个电子群体必须有一个名字。

C4.一个电子群体包含零个或多个E-PIA--这些E-PIA驻留在 一起，因为它们在共享信息内共享相同的对象。因此，寻找特殊的E-PIA 的E-AutoPIA将知道那个电子群体要访问。

C5.电子群体可以包含其他电子群体以便它们能够被分层安排--被 包含的电子群体，依次地，每个又可以包含一个或多个电子群体。然而， 这个分层必须被限制在一个电子群体不能被多个主电子群体包含。

C6.每个电子群体由电子群体已经决定使其可利用的电子代理构 成。

C7.每个电子群体不包含交互指令因为它们可能不交互。

电子代理

BR1.电子代理的目的--一个电子代理是为所有的内部-PIA交互 的请求。电子代理保证包含在一个交互中的所有E-PIA有权利根据交互 协议以要执行的交互方式来交互。

BR2.每个电子代理拥有一个或多个交互协议。

BR3.一个电子代理包含执行所有它自己的交互协议的子系统。

BR4.一个E-AutoPIA只能与一个具有伴随由现行交互指令确定 交互协议的电子代理的电子群体中一个E-PIA交互。

BR5.一个电子代理必须为其每个交互协议产生一个唯一的信任令 牌。

BR6.交互指令只能是通过从一个电子代理获得相应的交互协议编 写。

BR7.电子代理在E-PIA与E-AutoPIA之间传输该交互如下：

1)  确认E-AutoPIA满足电子群体的 优先权规则。

2)  确认E-AutoPIA具有一个对应于执行的交互协议的可解密信 任令牌。

3)  确认E-AutoPIA的 优先权规则。

4)  确认E-AutoPIA的路线 优先权规则。

5)  确认E-AutoPIA的现行交互指令的 优先权规则。

6)  确认任何传输交换将要作为输入或输出参数的E-PIA文本的 优先权规则。

7)  调用对应于交互协议实现的电子代理的入口点--只有E- AutoPIA交互指令的(6)中通过确认的参数被通过进入。

8)  确定包含在交互中的E-PIA的特殊收集--这个根据三个条 件：

a)    通过上面5确认任务3。

b)    通过在可执行电子代理内的一个电子都市API调用提供一 个附加选择规则。

c)    根据a)和b)选择的E-P IA的 优先权规则。

9)    该电子代理的实现被执行--如果任何失败发生，该交互指令不 会成功地完成。

10)   只有E-PIA交互协议通过确认的参数被通过输出。

BR8.每个电子代理提供一个“交互协议目录”服务--这个服务 答复由电子代理提供的描述所有交互协议的一个产生的HTML文本。

BR9.每个电子代理提供一个“获得交互权利协议”服务--这个服 务答复具有信任令牌的交互协议。重要的是要注意这个服务可以由电子 代理以任何方式执行。例如，对于一个交互协议不得不确认它是谁与/或 谁要为获得权利付费，这个服务可以是人期望的权利。电子代理可以为 任何理由拒绝一个信任令牌。

BR10.电子代理可以直接地交互不管他们属于电子群体的电子群体 优先权--然而，与一个电子代理的交互不需要任何电子群体的要服从的 优先权。

参照一个优选实施例已经描述和图解了我们发明的原理，在不违背 这些原理的条件下明显的是本发明可以在安排与细节上修改。同样地， 大家应该认识到详细的实施例仅仅是说明性的并且应该没有作为我们发 明范围的限制。更确切些，我们根据可能落在下面权利要求的范围与精 神和同等物，申请保护落在其内我们发明所有实施例。