公钥加密技术使用非对称算法，其中，对密钥的加密和解密不同，并仅 知道其中一个密钥不可能计算出另一个密钥。用户接收(或者，采用适当的硬 件或软件，可以自己生成)一对密钥，即两个大数。用户保留这对密钥之一为 私有，并从不公开它。另一个密钥则可以如同电话号码或类似的个人数据一 样安全地公开。由于该算法的特性以及生成密钥的方式，采用私钥加密的信 息只能采用公钥来解密，反之亦然。从而，发送者和接收者无需共享任何秘 密。
公钥加密技术允许若干可能性：
·任何知道用户公钥的人可以向该用户发送采用该密钥加密的消息，并 可以保证只有该用户-独自拥有私钥的用户-才可以对它进行解密。这 提供了保密性。
·该用户还可采用他的私钥对消息进行加密。这不能提供保密性，因为 任何知道其公钥的人都可以对它进行解密。但是他们可以对它进行解密 这一事实意味着消息一定来自该独自拥有私钥的用户。这提供了完整性 和认证，并还可用作认可(non-repudiation)的基础-签名的数字等效物。
·如果发送者采用其自己的私钥对消息进行签名然后采用接收者的公钥 对它进行加密，则一起提供了保密性、完整性、认证和认可。
实际上，事情事实上更加复杂。在第一个例子中，由于性能和运行的原 因，发送者将选择随机对称会话密钥，并使用对称密码对消息进行加密。公 钥将用来仅对会话密钥进行加密。类似地，在第二个例子中，用户将首先对 希望签名的消息“计算摘要(digest)”，并采用其私钥对该摘要进行加密；接收 者将重新计算该摘要，并将其值与他从用户解密出的值进行比较。摘要是从 任意长的消息中导出的具有较短固定长度的数学构造；其本质特性在于在知 道一消息和对应的摘要的情况下用相同的摘要不可能计算出另一消息。
所有的处理都通过软件完成；真人用户实际上不“做”任何这些操作。
重要的是要理解，公钥实际上不一定向全世界公布。它们可以根据商业 和隐私的需要而或宽或窄地被共享。
在现有技术中，可将多个公钥链接在一起形成公钥基础设施-PKI。这 些链接是称作证书的数据结构(或数据文件)。下面是它的工作方式：
·艾丽丝可决定向登记管理机构(RA)登记她的公钥(和身份信息)。(在本 现有技术描述中，使用常用人名“艾丽丝”和“鲍勃”来分别描述签名 方和信赖方(relying party)这两个角色)。
·使用由RA收集的信息，证书管理机构(CA)然后可以创建包含艾丽丝 的公钥以及标识艾丽丝的信息和有效期的计算机文件。CA采用其自己 的私钥对该文件进行签名，从而创建证书。
·CA的公钥又可以由另一CA来证明；并且那个CA的证书将由再另一 个CA来证明，等等，直到最终存在一个根，即，须以某种其它方式知 道其值的未签名(或自签名)公钥。
·由此，从根开始，有可能遍历证书链以得出公钥值。
以这种方式链接的公钥集形成公钥基础设施。最简单的PKI具有担当根 并对所有证书进行签名的单个CA。在现有技术中还可以使用交叉证明而不是 分级结构来构建PKI，但是最终结果大致相同。
拥有适当软件的任何人都可以是RA或CA；不管存在什么法律或商业约 束，由任何人进行授权并不存在任何技术要求。
重要的是要理解，将公钥链接成PKI不影响可以采用匹配私钥所做的任 何事情。对一些常见错误概念澄清如下：
·证书由信赖方而不是私钥的持有者“使用”。信赖方从证书中提取公钥， 用于加密或签名检查。
·创建数字签名或对接收的消息进行解密不需要证书。
·在证书中根本不需要指定用户以检查其他人的签名或向他们发送加密 消息。
·关于匹配公钥，即使是高级电子签名(如欧洲电子签名指导文件(EU Electronic Signatures Directive)所规定)也不要求存在证书。
在现有技术中实现PKI的典型方法如下：
·除了同意保管其私钥之外，艾丽丝还对引用“证书策略(policy)”和“证 书实践声明”的纸件申请表格进行普通手写签名。
·艾丽丝然后构造发送给其RA的PKCS#10对象，并对其签名。PKCS#10 是工业标准数据格式。
·RA比照它对艾丽丝了解的信息检查所接收对象的内容，并向CA发送 证书请求。
·CA签署世界上的任何鲍勃都可以依赖的证书，并将它发送给艾丽丝。 该证书很可能具有将来一年左右的截止日期。艾丽丝可能须记住要在证 书到期时续签证书，那时可能再次使用手写签名来达到此目的。
·当艾丽丝对任何事物进行数字签名时，她的软件将证书随同其签名块 和经过签名的对象一起发送给信赖方。
·当鲍勃接收到发送信息时，他(即其软件)首先检查证书，并检查它是否 在有效期内。如果他识别出“签发者”，并知道签发者的公钥，则他还可 以检查证书的签名。如果它计算，则他可以从证书中提取公钥，并检查 签名数据的签名。
·另一方面，当然，他可能不知道签发者的公钥。他现在需要链接到他 确实知道的公钥的证书链。也许艾丽丝向他发送该证书链，或者也许他 必须搜索公开目录来自己组装它。他也许须为访问目录付费或不付费。 鲍勃需要通过检查一个证书中的签发者名称与下一个证书中的主体名称 相同，所有证书上的所有签名合格，并且证书链内的有效期相互有意义 来处理证书链。当然存在这样的可能性，即不能构造同时包括原始证书 和采用他隐式知道的任何公钥签名的证书的证书链。
·另一方面，当然，原始证书或者证书链中的任何证书可能已被废除。 因此，鲍勃的软件现在必须依次进入包括在各证书中的因特网地址(URL -统一资源定位符)，从该URL中提取最新证书废除列表(CRL)，并检查 证书链中下一个证书的序列号没有出现。他也许须为访问各CRL付费或 不付费。
·作为最后三项的替代方案，鲍勃可以将证书传给验证管理机构 (validation authority，VA)，该机构将为他做大部分工作，并向他返回经过 签名的对原始证书有效性的通过/不通过响应。如果验证服务足够全面， 则它们可能能够比鲍勃自己更胜任。使用验证服务将很可能是需付费的。
·鲍勃对感兴趣的证书以及证书链的其余部分和CRL或者签名验证响应 进行归档。为了提防以后废除艾丽丝的证书，鲍勃还将从时间戳管理机 构获得签名数据签名块的时间戳以证明他在废除发生之前就已拥有它。
自从公钥加密技术发明以来，出现了允许世界上任何人有保证地检验任 何其他人的数字签名的统一基础设施的景象。采用该基础设施的电子交易将 获得完整性和认可的重要特性。
该景象的实现将授权给个人，因为他们能够随时随地对任何事物进行数 字签名。因此将提高商业竞争力-一个典型的已作为购买者参与一个电子市 场的公司可用同一身份作为销售者顺利地进入另一电子市场。该景象有改变 电子市场概念的性质-和经济学-的潜力。整个世界可能快速发展成单一的电子 市场-一体化电子经济。
现有技术不能容易地让参与公钥基础设施的主体具有在任何地方对任何 事物进行签名的能力。现有技术中的密钥对通常被看作“被管理身份”的一 部分，而不是独立于证明的个人资料的扩展。
现有技术的PKI在很大程度上只是在主体直接与单个成员(affiliate)相关 的被管理身份上下文中相关，并该身份只在该上下文内有意义。例如，作为 雇员、银行客户或对较大公司的销售商等的关系。在获取或生成密钥对之后， 该主体使单个商业伙伴(例如，银行或雇主或大客户)相信将主体的身份绑定于 其公钥。任何特定个体在任何时候都将有可能存在多个被管理身份。
采用现有技术提供统一基础设施的另一主要问题是CA的合同典型地是 与主体而不是与信赖方签订的。在传统CA商务中存在的一个现实是主体不 愿意支付“采用证书签发”的全部成本-或者可能是部分成本。
此外，还存在源于下面事实的不正当责任问题：CA的合同是与艾丽丝(在 证书中指定的主体)签订的，而不是与鲍勃(依赖于其正确性的一方)签订的。 在现有技术的PKI中，未绑定每证书的责任，因为无论是谁签署了证书都不 知道是谁信赖于它，直到出现问题。艾丽丝可以将相同证书发送给数以百万 计的鲍勃，而CA却不知累积了多少责任。证书的“价值”可以一再重新使 用而CA(该价值的源)却从不知道。
有关电子签名共同体框架的欧洲议会和参议会1999年12月13日的指导 文件1999/93/EC(“指导文件”)定义了本文中使用的很多术语。然而，“证书” 的定义在本文中比在该指导文件中更宽；指导文件中该词的使用对应于本文 中所用的术语“检验证书”。本文中的术语“数字签名”是用于实现指导文件 中的“高级电子签名”概念的技术。

根据本发明的第一方面，提供了一种用于将与被描述实体相关的数据供 应给信赖实体的方法，包括：生成由第一签名实体用电子签名签名的第一数 字证书，其包括：被描述实体的一个或多个属性；所述第一数字证书的一个 或多个属性，该属性包括用于标识所述第一签名实体的一个或多个属性；所 要供应的与所述被描述实体相关的数据的指示；要供应的数据的一个或多个 源的指示；以及用于标识一个或多个信赖实体的一个或多个属性，其中要向 所述信赖实体供应数据；所述信赖实体转发第一数字证书以进行处理；所述 源供应在该第一数字证书中指示的数据。
第一数字证书授权信赖实体以获得对被描述实体的个人数据的访问，被 描述实体的个人数据可能由源保存在数据仓库中，并在本文中可以称作授权 证书。被描述的实体和信赖实体可以是个人、个人组、特定角色的个人、公 司、组织、计算机应用或系统、自动机器等。
电子签名在指导文件中定义为附于或者在逻辑上与其他电子数据相关联 且用作认证方法的电子形式的数据。
第一数字证书可以包括信赖实体先前请求过所要包括的任何数据，如引 用、临时值(nonce)或其它数据。
源可以保存数据或者可以引用一个或多个数据源。
第一数字证书可以与用数字签名签名的对象一起发送，但也可以单独发 送。第一数字证书的签名实体可以是被描述的实体，从而第一数字证书是自 签名证书的形式。如果用数字签名签名的对象与第一数字证书一起发送，则 第一数字证书中的数字签名和电子签名可以使用不同的密钥对来进行签名。
与被描述实体相关的数据可以包括与由被描述实体控制的私钥相对应的 一个或多个公钥。
与被描述实体相关的数据可以借助第二数字证书供应给信赖实体，第二 数字证书由第二签名实体用电子签名进行签名，并包括：包括所要供应的数 据的被描述实体的一个或多个属性；包括标识第二签名实体的一个或多个属 性的第二数字证书的一个或多个属性；以及标识要向其供应数据的一个或多 个信赖实体的一个或多个属性。
第二数字证书在本文中可以称作定制证书。第一和第二数字证书可以采 用由用于带有使用公钥加密技术的电子签名的证书的国际和工业标准规定的 格式。第一和第二数字证书可以包括足以标识被描述实体以及信赖实体的属 性。这些可以是单个属性或多个属性的组合。例如，名称可能不足以唯一地 标识一实体，而名称、出生日期和地址的组合则通常能唯一地标识一实体。
第一数字证书可以授权信赖实体使用第一数字证书来获得第二数字证 书。信赖实体可以被授权获得标记为附条件(qualified)的第二数字证书。“附 条件证书”在指导文件中有定义。
第二数字证书可以包括第一数字证书的一个或多个属性。可将至少部分 第一数字证书的内容复制到第二数字证书中。
该方法可以包括信赖实体将第一数字证书转发给中间实体以从源获得数 据。中间实体可以为信赖实体提供服务，并对从源所供应的数据提供保证和 承担金融责任。中间实体可以生成第二数字证书。
第二数字证书可以包括与包括在第一数字证书中的标识信赖实体的一个 或多个属性不同的标识信赖实体的一个或多个属性。
第二数字证书可以包括与包括在第一数字证书中的标识被描述实体的一 个或多个属性不同的标识被描述实体的一个或多个属性。
被描述实体可以采用具有对应公钥的私钥生成数字签名，并且第一签名 实体可以在第一数字证书中包括数字签名或其加密摘要，而要供应给信赖实 体的数据则可以包括公钥。加密摘要可以使用哈希函数来获得。一旦信赖实 体从源接收到包括公钥的所指示的数据，就可以检验数字签名。
第一数字证书和第二数字证书可以包括有效期。第一数字证书或第二数 字证书的有效期可以是在其中生成数字签名的短时间段。例如，可以是1或 2秒。可以生成有效期开始于数字证书生成之前的数字证书。有效期可以在 过去、即生成数字证书之前，或在将来，或是跨越过去和将来的时间段。
在第一数字证书中所指示的数据可以包括从在第一数字证书中标识的被 描述实体到在第一数字证书中标识的信赖实体的支付或债务款的确认。第二 签名实体可以在第二数字证书中指示在第一数字证书中作为欠款(due)指示的 债务的担保(guarantee)。
先前供应的数据中的变化可以通过供应标识与先前供应的数据相关的第 二数字证书的列表来指示。列表可以标识指定不再被授权供应给信赖实体的 数据的第一或第二数字证书。该列表的生成可以包括标识该列表所涉及的信 赖实体的一个或多个属性。该列表可以是证书废除列表。
该方法可以包括生成和存储第二数字证书的列表，该列表由标识信赖实 体的一个或多个属性索引，从而可以识别列表中与信赖实体相关的所有第二 数字证书。
根据本发明的第二方面，提供了一种用于将与被描述实体相关的数据供 应给信赖实体的系统，该系统包括：第一签名实体应用，信赖实体应用和数 据仓库，其中，数据仓库保存与被描述实体相关的数据；所述第一签名实体 应用具有用于生成由所述第一签名实体应用用电子签名签名的第一数字证书 的装置，其中，所述第一数字证书包括：所述被描述实体的一个或多个属性； 所述第一数字证书的一个或多个属性，该属性包括用于标识所述第一签名实 体应用中的第一签名实体的一个或多个属性；所要供应的与所述被描述实体 相关的数据的指示；要供应的数据的一个或多个源的指示；以及标识一个或 多个所述信赖实体的一个或多个属性，其中要向所述信赖实体供应数据；所 述信赖实体应用具有用于转发第一数字证书以进行处理的装置；以及用于从 所述数据仓库供应在第一数字证书中指示的数据的装置。
该系统可以利用跨网络(例如因特网)的安全消息系统来提供。被描述 实体和信赖实体可以使用软件应用来生成消息和证书并对其签名。所要提供 的数据可由源保存在数据仓库中，而数据仓库可以是电子数据库。源可以拥 有数据仓库，或引用一个或多个其它源。第一签名实体可以是被描述实体。 该系统可以包括保存与被描述实体相关的数据的多个数据仓库。
第一数字证书可以包括信赖实体先前请求过所要包括的任何数据如引 用、临时值或其它数据。
可以提供第二数字证书来将与被描述实体相关的数据供应给信赖实体应 用，第二数字证书由第二签名实体应用用电子签名进行签名，并包括：包括 所要供应的数据的被描述实体的一个或多个属性；包括标识第二签名实体的 一个或多个属性的第二数字证书的一个或多个属性；以及标识要向其供应数 据的一个或多个信赖实体的一个或多个属性。
第一数字证书可以授权信赖实体使用第一数字证书来获得第二数字证 书。信赖实体可以被授权获得标记为附条件的第二数字证书。第二数字证书 可以包括第一数字证书的一个或多个属性。至少部分第一数字证书的内容可 被复制到第二数字证书中。
该系统可以包括中间实体应用，信赖实体应用将数字证书转发给它，以 从数据仓库获得数据。该中间实体可使用软件应用以在信赖实体和源之间起 作用。中间实体应用可以生成第二数字证书。
第二数字证书可以包括与包括在第一数字证书中的标识信赖实体的一个 或多个属性不同的标识信赖实体的一个或多个属性。
第二数字证书可以包括与包括在第一数字证书中的标识被描述实体的一 个或多个属性不同的标识被描述实体的一个或多个属性。
被描述实体可以采用具有对应公钥的私钥来生成数字签名，并且第一签 名实体可以在第一数字证书中包括数字签名或其加密摘要，而要供应给信赖 实体的数据可以包括公钥。加密摘要可以使用哈希函数来获得。一旦信赖实 体从源接收到包括公钥的所指示的数据，就可以检验数字签名。
第一数字证书和第二数字证书可以包括有效期。第一数字证书或第二数 字证书的有效期可以是在其中生成数字签名的短时间段。可以生成其有效期 在生成数字证书之前开始的数字证书。有效期可以在过去、即生成数字证书 之前，或在将来，或是跨越过去和将来的时间段。
在第一数字证书中所指示的数据可以包括从在第一数字证书中标识的被 描述实体到在第一数字证书中标识的信赖实体的支付或债务款的确认。第二 签名实体可以在第二数字证书中指示在第一数字证书中作为欠款(due)指示的 债务的担保。
先前供应的数据中的变化可以通过供应标识与先前供应的数据相关的第 二数字证书的列表来指示。列表可以标识指定不再被授权供应给信赖实体的 数据的第一或第二数字证书。该列表的生成可以包括标识该列表所涉及的信 赖实体的一个或多个属性。该列表可以是证书废除列表。
数据仓库可以具有为包括在数据仓库中的数据项确定有关引用了该项的 第一数字证书或包含在其中的信息，或者有关提供该项值的第二数字证书或 包含在其中的信息的装置。刚才所述的证书列表可以通过该装置来生成。
中间实体应用可以包括存储装置，用于存储由在第二数字证书中标识的 信赖实体引用的第二数字证书。
该系统可以包括代理实体应用，信赖实体应用或中间实体应用可以向其 转发第一数字证书，以获得指定下一步应将第一证书转发给哪个数据仓库或 其它代理实体应用的信息。
根据本发明的第三方面，提供了一种基于数字证书提供数字签名的方法， 包括：使用对应于一公钥的私钥生成数字签名，签名数据包括：标识所要生 成的所述数字证书的一个或多个属性；生成由签名实体用电子签名签名的、 并包括以下内容的所述数字证书：被描述实体的一个或多个属性，根据该属 性能够获得该公钥；所述数字证书的一个或多个属性，该属性包括用于标识 所述签名实体的一个或多个属性；以及早于该数字证书生成时间开始的该数 字证书的所指示的有效期；其中，在生成所述数字签名之后生成所述数字证 书。
对对象可以采用前向引用尚未生成的数字证书的数字签名来签名，然后 生成后向引用该数字签名并具有包括数字签名生成时间的有效期的数字证 书。
可以生成标识同一数字证书的多个数字签名。签名实体可以是被描述实 体。
数字证书的有效期可以是生成数字签名的短时间段。
在数字签名中给定的标识所要生成的数字证书的一个或多个属性可以包 括序列号。可以记录能够用于下一个要生成的数字证书的最低可用序列号或 者使用每个私钥的最后使用的序列号。
根据本发明的第四方面，提供了一种基于数字证书提供数字签名的系统， 该系统包括：被描述实体应用，具有用于使用对应于一公钥的私钥生成数字 签名的装置，签名数据包括：标识所要生成的数字证书的一个或多个属性； 签名实体应用，具有用于生成带有电子签名并包括以下内容的数字证书的装 置：被描述实体的一个或多个属性，根据该属性能够获得该公钥；所述数字 证书的一个或多个属性，该属性包括用于标识签名实体的一个或多个属性； 以及早于该数字证书生成时间开始的该数字证书的所指示的有效期；其中， 在生成所述数字签名之后生成所述数字证书。可以利用本发明第三方面特性 中的一个或多个来提供一种系统。
本发明的另一个目的是提供一种转让电子财产所有权从而使所有权得到 保护并可以通过自动手段证明的方法和系统。
根据本发明的第五方面，提供了一种用于转让电子财产所有权的系统， 包括：由第一实体用电子签名签名的电子财产；由所述第一实体用生成并用 电子签名签名的数字证书，该数字证书包括对向该第一实体转让所述电子财 产的第二实体的指示，以及对要从源供应给该第二实体的数据的指示或者该 数据本身，其中，所述电子财产和所述数字证书包括将所述电子财产与所述 数字证书相连接的链接模块。
术语“数字证书”应广义地解释为用来包含信息且可以被签名的任何数 据结构。该数据结构可以是例如X509v.3证书、XML结构或两者的结合。
链接手段可以是根据数字证书的序列号和引用转让的标识符生成的比特 流，该比特流包含在电子财产中，并且该比特流或其指示包含在数字证书中。 可替代地，该链接手段可以是带有水印密钥的数字水印，其中，水印包含在 电子财产中，而水印密钥或其指示包含在数字证书中。
电子财产可由第一实体使用公钥/私钥对的私钥来签名，而对应的公钥或 其指示在数字证书中提供。
电子财产可由第一实体使用第二实体的公钥/私钥对的公钥进行加密。电 子财产可由第一实体通过会话密钥使用对称密码加密，而会话密钥则使用第 二实体的私钥/公钥对的公钥进行加密。
数字证书可以具有早于该数字证书生成时间开始的有效期。
数字证书可以具有与转让电子财产中的权利期间的时间段相关的第二有 效期。
可以提供第二数字证书，其由第三实体用电子签名签名，并包括以下项： 第一实体的指示；第二实体的指示；第三实体的指示；以及所要供应的数据。 所要供应的数据可以包括第一实体的私钥/公钥对的公钥。
电子财产的转让可由具有由电子财产标识的帐户的各实体跟踪，当转让 电子财产时帐户增加或减少一个单位。帐户可以由电子财产的哈希值来标识。
根据本发明的第六方面，提供了一种用于将电子财产的所有权从第一实 体转让给第二实体的方法，包括：所述第一实体用电子签名对所述电子财产 签名；生成由所述第一实体用电子签名签名的数字证书，该数字证书包括对 所述第二实体的指示以及要从源供应给该第二实体的数据的指示或者该数据 本身，其中，该电子财产和该数字证书包括将该电子财产与该数字证书相连 接的链接模块。
该方法可以包括第一实体将电子财产和数字证书发送给第二实体。
链接手段可以是根据数字证书的序列号和引用转让的标识符生成的比特 流，该比特流包含在电子财产中，并且该比特流或其指示包含在数字证书中。 可替代地，链接手段是带有水印密钥的数字水印，其中，该水印包含在电子 财产中，而水印密钥或其指示则包含在数字证书中。
该方法可以包括第一实体使用公钥/私钥对的私钥对电子财产进行签名， 而对应的公钥或其指示在数字证书中提供。
该方法可以包括第一实体使用第二实体的公钥/私钥对的公钥对电子财 产进行加密。该方法可以包括第一实体通过会话密钥使用对称密码对电子财 产进行加密，并使用第二实体的私钥/公钥对的公钥对会话密钥进行加密。
数字证书可以具有早于数字证书生成时间开始的有效期。
数字证书可以具有与转让电子财产中的权利期间的时间段相关的第二有 效期。
该方法可以包括第二实体获得由第三实体采用电子签名签名的第二数字 证书，其包括：第一实体的指示；第二实体的指示；第三实体的指示；以及 所要供应的数据。所要供应的数据可以包括第一实体的私钥/公钥对的公钥。
电子财产转让可以由具有由电子财产标识的帐户的各实体跟踪，当转让 电子财产时帐户增加或减少一个单位。帐户可以由电子财产的哈希值来标识。
本发明的另一个目的是提供一种用于电子投票的方法和系统。
根据本发明的第七方面，提供了一种用于电子投票的方法，其中存在认 证体、计数体和多个投票者；所述投票者生成数字证书，该数字证书包括要 供应给所述认证体以唯一标识投票者的标识数据的指示和对一个或多个所还 标识数据源的引用，该数字证书还包括投票密钥的指示，和/或该数字证书包 括所述标识数据本身；投票者用电子签名对该数字证书签名；对该数字证书 加密以仅由该认证体阅读；投票者生成包括投票的投票消息；对该投票消息 进行加密以仅由所述计数体阅读；以及组合该加密后的数字证书和该加密后 的投票消息以生成签名块；其中，所述加密数字证书、加密投票消息和签名 块被发送给所述认证体。
在一些投票系统中，需要从标识数据的外部源进行确认，并且数字证书 可以包括标识数据和对投票者投票权的确认的指示，以及对可以提供标识数 据和确认的一个或多个源的引用。可替代地，如果投票系统允许由投票者声 称其标识，则数字证书可以仅包括标识数据本身。标识数据以及标识数据的 指示和引用都可以包括在数字证书中。
标识数据可以包括以下项中的一项或多项：姓名、地址、出生日期、国 籍、居住期限、不属于投票者禁止类。
投票者可在投票消息中以由投票者应用以标识其投票的标识符的形式包 括临时值。投票者可在投票消息中包括随机扰乱因素(random spoiler)。
数字证书可用认证体的保密性公钥/私钥对的公钥来加密。投票消息可用 计数体的保密性公钥/私钥对的公钥来加密。
完整块可以通过获得加密数字证书的摘要、获得加密投票消息的摘要并 组合这些摘要来形成。可对这些摘要进行组合，从该组合获得另外的摘要并 对结果摘要进行加密。对该摘要可用投票者用来投票的公开/私有签名密钥对 的私钥进行加密以提供签名块。投票密钥可以是投票者用于投票的公开/私有 签名密钥对的公钥。
认证体可以确认数字证书和加密投票消息是投票者发送给它们的并由签 名块链接。认证体可对数字证书解密，获得投票密钥并用它来对签名块进行 解密，认证体还可使用与投票者使用的相同的方法来组合加密数字证书与加 密投票消息，并将结果与解密的签名块进行比较。
投票者的序列号可以由认证体签发。认证体可以构造包括以下项的消息： 投票者序列号、数字证书的摘要、投票密钥，该消息由认证体进行加密。认 证体可向计数体发送该消息、加密的投票消息和签名块。
计数体可对该消息解密，并可用该消息的加密数字证书的摘要和投票密 钥来确认投票消息是由认证体分配了序列号的未变原始投票。计数体可对投 票者的投票进行解密和记录。
根据本发明的第八方面，提供了一种用于电子投票的系统，其中，存在 认证体、计数体和多个投票者；该系统包括：由所述投票者生成的数字证书， 该数字证书包括要供应给所述认证体以唯一标识投票者的标识数据的指示和 对一个或多个所述标识数据的源的引用，该数字证书还包括对投票密钥的指 示，和/或该数字证书包括所述标识数据本身；由所述投票者用电子签名签名 的数字证书；所述数字证书经过加密以仅由所述认证体阅读；由所述投票者 生成的包括投票的投票消息；所述投票消息经过加密以仅由所述计数体阅读； 以及组合该加密后的数字证书和该加密后的投票消息的签名块；其中，所述 加密数字证书、所述加密投票消息和所述签名块被发送给所述认证体。
在一些投票系统中，需要从标识数据的外部源进行确认，并且数字证书 可以包括对标识数据的指示和对投票者的投票权的确认，以及对可以提供标 识数据和确认的一个或多个源的引用。在其它投票系统中，由投票者声称标 识数据是足够的，而数字证书可以仅包括标识数据本身。标识数据以及对标 识数据的指示和引用都可以包括在数字证书中。
标识数据可以包括以下项中的一项或多项：姓名、地址、出生日期、国 籍、居住期限、不属于投票者禁止类。
数字证书可以是X.509v.3证书。
投票消息可以包括由投票者应用以标识其投票的标识符形式的临时值。 投票消息可以包括随机扰乱因素。
数字证书可用认证体的保密性公钥/私钥对的公钥来加密。投票消息可用 计数体的保密性公钥/私钥对的公钥来加密。
完整块可以通过获得加密数字证书的摘要、获得加密投票消息的摘要并 组合这些摘要来形成。可以组合这些摘要，获得该组合的另外的摘要并对结 果摘要进行加密。该摘要可用投票者用于投票的公钥/私钥对的私钥进行加密 以提供签名块。投票密钥可以是投票者用于投票的签名公钥/私钥对的公钥。
数字证书和加密投票消息可被确认是投票者发送它们的并可以由签名块 链接。可对数字证书进行解密，可获得投票密钥并用它对签名块进行解密， 还可使用与投票者使用的相同的方法来组合加密数字证书和加密投票消息， 并将结果与解密的签名块进行比较。
投票者的序列号可以由认证体签发。认证体可以构造包括以下项的消息： 投票者的序列号、数字证书的摘要、投票密钥，该消息由认证体进行加密。 该消息、加密投票消息和签名块可由认证体发送给计数体。
该消息可由计数体解密，并可用该消息的加密数字证书的摘要和投票密 钥来确认投票消息是由认证体分配了序列号的未变原始投票。投票者的投票 可以由计数体进行解密和记录。
所提出的可通过本发明实现的“授权基础设施”描述了以下意义上的公 钥基础设施(PKI)，即它允许信赖方建立与由被标识主体持有的私钥匹配的公 钥的值，并扩展现有技术的PKI构造，包括由证书管理机构(CA)签署的证书 和证书废除列表(CRL)。本发明本身依赖于公钥加密技术，但是从根本上向关 于可工作PKI模型中密钥和证书的角色的传统知识提出挑战。
本发明的授权方法较之PKI现有技术允许在隐私增强框架内证实较宽范 围的个人数据项-不仅是公钥，其中，隐私增强框架授权主体控制谁可以访 问其个人数据以及采用何种方式和在什么时候。本发明允许交付(deliver)任何 可靠个人数据而不仅仅是公钥的方法。换句话说，就是将个人数据的购买者 和销售者聚集在一起的电子市场架构；该市场的经纪人是数据主体本身；除 了与该数据相关的主体的显式授权之外，没有个人数据在授权基础设施中移 动。
本发明还提供一种与个人数据框架集成在一起的支付机制。想象一下由 艾丽丝授权销售的“艾丽丝确实能够向你支付总共”形式的一条个人数 据。通常，在出售个人数据时，不改变从其获得它的数据库。但这种情况必 须是例外，而由艾丽丝个人信息的销售者控制的一些数据库属性必须准确地 -或在涉及佣金或利息的情况下近似地-以100改变。现在只是作出想象的 一个小跳跃，把支付看作在出售时改变的一条个人数据。从而，本发明还允 许一种安全支付架构。通过扩展，还可使用该基础设施来确认从签名者到信 赖方的债务款，甚至指示该债务的担保。
附图说明
下面，参照附图仅举例描述本发明的实施例，其中：
图1是现有技术的数据交付系统的示意图；
图2是图1的系统的流程图；
图3是根据本发明的数据交付系统的示意图；
图4是图3中整个系统的流程图；
图5是根据本发明的系统的一部分的示意图；
图6是图3的系统的一部分的流程图；
图7是根据本发明的系统的示意图；
图8A和8B是根据本发明的一方面的具有相关授权证书的电子财产的两 种形式的图；
图8C是根据本发明一方面的授权证书及其相关定制证书的图；
图9是根据本发明一方面的转让电子财产所有权的第一方法的流程图；
图10是根据本发明一方面的带有相关授权证书的电子财产的另一种形 式；
图11是根据本发明一方面的转让电子财产所有权的第二方法的流程图；
图12A和12B是根据本发明多方面的电子投票系统的示意图；
图13是根据本发明一方面的电子投票方法的图；
图14是根据本发明一方面的投票确认方法的图；以及
图15是根据本发明一方面的投票记录方法的图。

参照图1，其中示出了现有技术公知的以证书的形式交付数据对象的传 统系统。图1示出系统的第一用户艾丽丝102和第二用户鲍勃104。还提供 了登记管理机构(RA)106、证书管理机构(CA)108和验证管理机构(VA)110。
在现有技术的系统中，所要交付的数据对象是用于公钥加密技术中的证 书。在公钥加密技术中，公钥证书将公钥值与证书主体相关联。证书主体是 控制对应私钥的特定个人、角色、设备或其它实体。
公钥证书是由称作证书管理机构的个人或实体以数字方式签署的。
登记管理机构(RA)在传统上管理证书管理机构(CA)与其订户或证书申 请者之间的交互。对于一个CA，可以存在多个RA。签发证书可能涉及通过 出示身份文件来检验申请者身份的亲自到场(personal presence)。RA本身不签 发证书，但是可以验证、同意或拒绝证书申请。
在现有技术中，交付证书的方法以艾丽丝的自签名令牌(token)(PKCS#10) 112开始。PKCS#10定义向CA请求签发证书的消息的格式。PKCS#10令牌 112允许请求实体、即艾丽丝102提供其公钥以及请求包括在证书中的其它 值。艾丽丝102将令牌112发送给RA 106，RA 106将它转换成证书请求114。 证书请求由RA发送给CA 108。CA 108将它转换成发送给艾丽丝102的证书 116。艾丽丝102不加改变地将证书116发送给鲍勃104。鲍勃然后不加改变 地将该证书发送给验证管理机构(VA)110，验证管理机构(VA)110将它转换成 送往鲍勃104的验证响应118。图1以括号中给出的数字示出这些操作的次 序。
图2示出上述现有技术的传统系统200的流程图。艾丽丝在第一步骤201 创建自签名令牌，并在202发送给RA。RA将该令牌转换成证书请求203， 并在204将证书请求发送给CA。CA将证书请求转换成证书205，并将证书 发送给艾丽丝206。艾丽丝将证书发送给鲍勃207。鲍勃需要验证该证书，从 而他将该证书发送给VA 208。VA将证书转换成确认或否认证书有效的验证 响应209。验证响应由VA发送给鲍勃210。
在本发明的所述实施例中，一种方法和系统被称作授权方法或系统。图 3示出该系统，其中，为了比较起见使用与图1相同的结构。本实施例是按 照交付用于公钥加密技术中的证书来描述的；然而，可以清楚看到，本发明 不限于仅为此特定用途的证书交付。艾丽丝302是被描述实体，而鲍勃304 是信赖实体。
参照图3，艾丽丝302先前向RA 306作过登记320，并且RA 306具有 关于艾丽丝302的信息。艾丽丝302将自签名令牌312发送给鲍勃304。鲍 勃304不加改变地将令牌312发送给CA 308。CA 308将该令牌转换成送往一 个(或多个)RA 306的请求314。RA 306将该请求转换成送往CA 308的响应 316。CA 308将它转换成发送给鲍勃304的预验证的证书318。由于证书是预 验证的，因此鲍勃304无需VA验证证书的显式服务。VA 310的功能与CA 308 组合在一起。图3用括号中的数字表示这些操作的次序。
图4以流程图示出所述实施例的方法400。在第一步骤401，艾丽丝创建 自签名令牌。艾丽丝将该令牌发送给鲍勃402。鲍勃将该令牌发送给CA 403。 CA将该令牌转换成数据请求404，并将该请求发送给RA405。RA将该请求 转换成响应406，并将该响应发送给CA407。CA将该响应转换成预验证的证 书408，并将预验证的证书发送给鲍勃409。
现有技术的传统系统和本系统的所述实施例都执行三次转换。两个系统 都以艾丽丝对令牌进行自签名开始，并以鲍勃处理拥有以艾丽丝为主体的已 验证证书结束。但是艾丽丝-到-鲍勃部分是所述实施例的授权系统中的五个步 骤的第一步骤，而在传统系统中是其六个步骤的第四步骤。
这一顺序差别产生深远的意义。在授权系统300中，艾丽丝302能够以 每次交易的粒度选择要声称她身份(作为雇员、纳税人、银行客户、假名、...) 中的哪一个，以及要公开要授权其RA 306-或者多个RA-的她的属性(个人 数据项)中的哪一个。由于鲍勃304现在以客户的角色与CA 308发生关系， 因此证书策略反映他所愿意支付的，从而允许改进的PKI商业模式，其中， 责任得以明晰和控制。由于在艾丽丝进行其第一次签名之前没有任何对证书 的要求，因此她可以以数字方式而不是以手写形式签署其RA协议。
授权系统300在思想倾向上将证书作为被管理的身份的一部分的观念转 变为通过数据主体(艾丽丝302)授权RA向信赖方(鲍勃304)公开已验证的个 人数据的机制。公钥值仅成为通过该过程交付的另一条已验证个人数据。
现在更详细地考虑所述实施例的授权系统。
数据库
授权系统的所述实施例假定个人数据保存在一个或多个源的数据库中。 (所用术语数据库包括目录)数据库对真实世界中发生的事情进行建模。数据库 中的变化反映真实世界中的变化。本实施例仅应用于标识主体的那些数据库 条目-即在条目中有足够信息来将主体与该数据库中的所有其他主体区分开。 不要求数据库必须是数字的-也包括硬拷贝数据库。
通常，可以预期存在多种方式来标识主体。下面是从艾丽丝.爱瑟琳(Alice Earthling)的雇主艾克米·SA(Acme SA)的人事数据库中艾丽丝条目的假想摘 录：
姓名                             艾丽丝.爱瑟琳
出生日期                         19631117
家庭地址                         65 Southview Road
雇员号码                         65193
艾丽丝在国家税务局的唯一号码(艾  DF456781A
克米持有该信息以缴纳代扣所得税)
艾丽丝的银行                     RutlandBank
艾丽丝的银行账号(艾克米持有该信  01081208
息以每月向艾丽丝支付薪水)
艾丽丝的工作电子邮件地址         alice.earthling@acme.com
艾丽丝的家庭电子邮件地址         Alice@earthling.name
艾丽丝的工作电话号码             +99 12 3000 3274
艾丽丝的蜂窝电话号码             +99 73 0578 2407
艾丽丝的家庭电话号码             +99 13 2553 8109
艾丽丝的登记域名                 alice.earthling.name
与艾丽丝控制的私钥相匹配的公钥   956DF57E4...
的值
包含艾丽丝整个面部照片的JPEG     AD53827D5C88E575EAB6678...
文件
包含艾丽丝手写签名的数字化图像   FE4368AB543C55FDE653FB6...
的TIFF文件
假名                             756384928475
艾丽丝的薪 水               
艾丽丝在艾克米的外部采购限额
艾丽丝.爱瑟琳的数据库条目中的数据包括提供标识、认证、位置和授权 的属性。注意，假名也被允许作为标识符。
由于艾丽丝/艾克米的例子包括若干数据项，因此有可能用不同的标识符 获得该条目的若干视图(view)。因此，对每个视图都有一主标识符和一谓词 (predicate)。该谓词包含该条目的除表征视图的主标识符中的那些属性之外的 所有其他属性。可能需要使用多个属性(例如，银行和帐号)的组合来构造单个 主标识符，或者单个属性(例如，人事号码)就可能足够。在本例中，艾丽丝的 薪水将总是谓词的一部分。其工作电子邮件地址在所有视图中总是谓词的一 部分，除了以其工作电子邮件地址为主标识符的视图以外。
注意公钥值为主标识符的可能性-实际假设相同密钥对不会被生成两 次。
本描述是针对一般情况。该系统还允许只有一个可能的视图的条目的较 简单情况，因为它只有一个可作为主标识符的属性或属性集。
上述形式的数据库已广泛存在于全世界的政府部门和机构、大公司和大 多数其它类型的组织中。
证书
存储个人数据的一种方式是采用证书的形式。在所述实施例中，关于个 人，证书可被看作是经过数字签名的数据库条目摘录。这可以进一步扩展到 包括与非个人的实体相关的证书。在所述系统中，证书是通过其使数据库条 目在运行各数据库的组织之外可见的机制。
所述实施例中的证书须包含单个条目的单个视图的信息。如后所述，它 还可以包含其它信息。这是证书与数据库条目之间的关键区别。数据库条目 对所有视图同样可能。而在证书中，标识符仅限于一单个视图。
证书必须包含与所选视图相关的完整主标识符。证书中的该标识符被称 作“区别名称(distinguished name)”。证书还可包含所选视图的谓词信息，即 全部谓词或其任何切合实际的(sensible)子集。仅包含区别名称的证书价值不 大。
具体地说，谓词信息可以包含认证符(包括公钥值)、定位符、授权符和 非主标识符。
在包括一个或多个非主标识符的情况下，它们可以用作冗余检查机制。 例如，在以银行账号为主标识符的证书中，银行可以使用其他标识符中的一 个或多个(比方说，常用名)来进行双重检查以防止误识。
从现有技术公知的传统证书标识主体或者被描述实体，但是不标识任何 特定信赖方或实体。信赖实体是证书的使用者，即，信赖于证书内容准确性 的某人。
因而，该模型的分类形成如下：
·包含作为认证符的与用于创建数字签名的私钥相匹配的公钥的证书被 分类为检验证书。
·检验证书签发给公众或者不签发给公众，是附条件的或不附条件的。 该区别是重要的，因为欧洲联盟电子签名指导文件对每类的处理是不同 的。
·该模型将证书分配给三个另外类之一。这些类是传统、授权和定制。 关于这些类的详细信息将在后面给出，但是概括如下：
·传统证书标识主体，但不标识任何特定信赖方。信赖方是证书的使 用者，也就是，信赖于证书内容正确性的某人。这类证书广泛地存在于 现有技术中。
·定制证书标识信赖方和主体，并且签署证书的实体不是证书的主体。
·授权证书标识信赖方和主体，并由主体签署。
授权证书和定制证书是瞬时或长期的(传统证书总是长期的)。瞬时证书 的有效期短到足以实际防止用相同的私钥在该时间内创建一个以上的签名。 在长期证书的有效期内有可能用相同的私钥创建多个这样的签名。
在该模型中，所有授权和定制检验证书都被分类为签发给公众的。在该 模型中，定制证书可以是附条件的或者是不附条件的，而授权证书则决不是 附条件的。
登记管理机构
登记管理机构(RA)的传统观念在所述系统中以要供应的数据的源的形式 保持不变。在本实施例中，对给定主体的登记管理机构定义如下：
·数据库的控制者....
·与该主体经过商定成为关于该主体RA的RA...
·以及在该主体的数据库条目中包含该主体的公共检验密钥的值。 对于给定的主体，RA是直接RA(DRA)或者间接RA(IRA)。区别如下：
·直接RA持有主体的公钥值作为主数据，根据真实世界的事件更新它。 为了实现此，DRA很可能与主体有某种合同以涵盖在对应的私钥丢失或 泄露的情况下的通知。
·间接RA缓存了包含公钥值的长期定制证书，并可以访问允许检查该 证书继续有效的当前证书废除列表(CRL)(CRL将在下面作进一步的说 明)。
同一组织对于一个主体可能是DRA，而对于另一个主体则可能是IRA。
没有主体可以在不具有至少一个DRA的情况下具有IRA，尽管主体可 能具有DRA而没有IRA。这是因为在基础设施中必须有某处来自举(bootstrap) 公钥值。除非主体在第一位置具有DRA，否则不可能有长期定制证书让任何 IRA缓存。如果主体停止了与其最后一个DRA的关系，则很有可能所有相关 的长期定制证书都会非常快地出现在IRA检查的CRL中，从而该主体也非常 快地停止任何IRA关系。
在所述系统中不禁止主体具有多个DRA-因为主体具有多个密钥对或 者因为一个或多个密钥对由一个或多个DRA跟踪。
DRA通过其确定主体的公钥值的机制不属于本文描述的范围，也不是本 发明的一部分。但在现有技术中存在大量如何实现该关系的例子。事实上， 任何RA(DRA或IRA)必须具有某种方法来建立它对每个主体“实际地(for real)”保存的所有数据项的值，而不仅仅是公钥的值。同样，在该领域也存 在大量的现有技术。(“实际地”是指“不在由其他人签署的证书中”)。
该未详述机制的正确操作对于整个模型的意义是不言自明的。在模型中 的别处发生的任何事情依赖于该部分的正确完成。
图5示出所述系统的RA 500的图示。RA拥有数据库504。506、507、 508、509是该数据库的单个视图。每个视图506、507、508、509具有作为 主标识符的用于该视图的区别名称510、512、513、514。视图506、507、508、 509还可以包括数据库所选视图的谓词的属性，包括公钥值、定位符、授权 符等。在所述系统中，RA具有以下能力。
RA(任意类别)以数据库控制器的角色，无论是什么原因，都能维护和处 理其对每个主体保存的数据，除了作为RA外，它还保持数据。因此，例如， 艾丽丝.爱瑟琳的雇主艾克米的人事部门将不断地对雇员数据库处理月工资 单。
RA(任何类别)可以接收和处理由主体数字签名的条目更新。RA知道主 体的公钥(因为作为DRA它跟踪该密钥，或者作为IRA它可以对照CRL验证 缓存的证书)，因此它总是能够检查签名。
重要的是，RA可以发送消息给证书管理机构(CA)，而这可能导致CA 签署或废除数字证书。
所述系统预测很多组织(也许是公共部门的大部分组织)将成为RA。 在这种情况下，成为RA是成为其他某物附带的。对于其整个经营使命是RA 的组织在系统没有特定要求，但是该组织显然是可能的。
签名设备
该模型将数字签名抽象成称作签名设备的有限状态机的操作。签名设备 可以访问对应于统一时间的通常标准表示法、并以一秒的粒度增加的本地时 间源。该状态机的状态定义如下：
·密钥对的值，可以随着时间发生变化；
·授权证书序列号的值，它是在每个签名操作之前或之后增加的整数；
·(可选)由要包括在授权证书中的数据构成的允许智能猜测的一组值。
如何实现状态机及其状态不在本模型中定义，且不是本发明的一部分， 但是考虑一下智能卡或无线设备可以证明是有帮助的。以不同于一的数量增 加序列号以搅乱艾丽丝进行签名操作的速率存在较小的保密优点。
签名操作可能如下进行：
·该设备获得本地时间值。
·该设备增大授权证书(EC)序列号。
·对于要依次签名的零个或更多对象中的每一个，将每个对象显示给艾丽丝， 并接收她是否签名的决定。
·对于艾丽丝要签名的每个对象，如果有的话，该设备计算由以下项组 成的数据结构的签名块：
·要签名的对象
·用序列号和艾丽丝的公钥值的哈希值对将要创建的EC的引用；以 及
·可能的其它信息。
·然后，该设备显示具有要包括在EC中的值的智能猜测以及EC序列号 的EC确认屏幕。这些智能猜测是根据当调用它时在设备外部提供的信 息以及内部保存的可选值来计算的。
·该设备根据艾丽丝所提供(或者从智能猜测接受)的信息以及签名对象 的签名块构建EC。EC的有效期被设成以在操作开始(上面第一项)时所 获得的时间开始，并以在操作结束时记录的统一时间之后一秒结束，或 者，在艾丽丝同意的情况下为更长时间段。设备将艾丽丝的签名附加到 EC。
授权证书
作为对现有技术中所述的证书的替代方案，所述系统允许艾丽丝的软件 向鲍勃发送授权证书。该替代机制具有一些独特的优点，使艾丽丝无需以传 统证书(或者，实际上，任何数字证书)“签发”。
虽然艾丽丝不以证书“签发”，但是她的软件仍然发送带有她所签名的每 个对象的证书，但是它总是艾丽丝的软件为她构建的证书，并且她在对要签 名的对象签名之后立即亲自为其签名。整个事务有时可以完全封装在单独的 自签名证书中，从而使得对相关对象的签名没有必要。所述系统把这些特殊 自签名证书称作“授权证书”。
授权证书可被看作是一种机制，通过该机制用户授权其他人获得对他们 个人数据的访问，包括可以认为是普通个人数据项的他们的公钥。
授权证书的生成包括以下步骤。若有的话，首先对所要签名的对象进行 签名，其中，对将要创建的授权证书的前向引用包括在所要签名的数据中。 然后，创建授权证书并对其签名，其中授权证书具有对签名对象的签名块(若 有的话)的后向引用。
以下信息包含在授权证书中：
·艾丽丝声称的作为“签发者”的区别名称。
·作为主体的相同的区别名称。
·信赖方的区别名称。
·可以将艾丽丝的区别名称解析成公钥值(或者一个或多个该值)的RA 的区别名称。
·在签名操作开始的时间之前一秒开始并不早于该时间之后两秒结束的 有效期。
·(可选地)一组属性定义。
·对于每个属性定义，声称值或者保存主体的该属性值的RA的区别名 称。
·(可选地)保存作为主体公钥值的特定属性的RA的区别名称。
·(若有的话)先前签名对象的签名块。
·(若有的话)由信赖方提供的随机临时值或其他信息。临时值典型地是到 其生成时其值不可预测的一个大数。
·(可选地)主体的公钥或主体的多个公钥之一，或者对重要的密钥的引 用。
·(可选地)策略信息。艾丽丝可能包括目的声明，她同意为此目的使用在授权 证书中声称或引用的个人信息，或者她声明不可将其用于该目的。她还可以 表示她同意以后使用EC生成定制的附条件证书。
·所有上述项的主体签名。存在可以省略该签名的情形(基本上是那些授 权证书的签名从不被检验的情形)，但对这些情形不作进一步讨论。
可选地，该模型提供保存所要提供的数据的RA中的一个或多个在授权 证书中被间接引用，而不是通过区别名称引用的可能性。EC可能标识知道对 于每个属性将要使用哪一个RA的代理服务。显然，对于在原理上可能实现 的这样的间接的量(一个代理指向另一个代理，等等)没有限制。
当鲍勃从艾丽丝接收到授权证书和任何签名的对象时，其有四种选择：
1.鲍勃可以仅简单地相信艾丽丝所声称，甚至不用费心检查授权证书的 签名。
最简单地，所述系统作用如发送未认证的个人数据的方法。在鲍勃是政 府机构且艾丽丝想要被邮寄信息传单的情况下，如果她隐瞒姓名和家庭地址， 不会有太大问题。授权证书的这一简单使用还可以提供与浏览器cookie有几 分相同的优点。
更通常地，如果存在伴随签名对象，在鲍勃缓存了包含艾丽丝的公钥的 长期定制证书的情况下，鲍勃可以不用费心检查授权证书的签名。他将简单 地从授权证书中抽出艾丽丝的区别名称，找到相关的长期定制证书，并从中 提取她的公钥以检查签名对象的签名。
2.或者，鲍勃可以使用公钥的声称值来检查签名，并且如果签名合格则 简单地相信声称信息的其他部分(若有的话)。
这具有某种用途，因为如果鲍勃缓存授权证书，则它可以在密钥废除不 重要的应用中提供会话机制。即，鲍勃将把艾丽丝对他网站的首次访问与她 的第二次和以后的访问相关联，而无需确定地知道除了艾丽丝的公钥值之外 她的其它个人数据。鲍勃可以通过为每次访问提供临时值或者通过检查增加 授权证书序列号来防止重放攻击。如果艾丽丝在任何一次访问中声称某其他 标识符(甚至是假名)，则她无需在随后的访问中声称其公钥。然而，该机制不 能从艾丽丝的签名设备遭到泄密或者艾丽丝改换(roll over)她的密钥恢复。在 第一种情况下，其他人可以接管“会话”；在第二情况下，会话在不向鲍勃作 任何带内(in-band)说明的情况下结束。
尽管存在限制，但是与基于口令的网站登录方案相比，该机制具有相当 大的优点。
3.另一种可能性是鲍勃使用他已缓存在长期定制证书上或以某种其他 方式知道(例如，由于他是她的DRA)的艾丽丝的公钥值，检查授权证书的签 名。
这提供一种可以应付废除的认证方法。再次，鲍勃可以使用临时值或序 列号进行检查来防止重放。鲍勃还可以乐于在不作进一步确认的情况下相信 授权证书中声称的信息(若有的话)与他缓存的或者以其它方式知道的信息不 同。
这样使用授权证书提供了让主体通知RA需要对其数据库进行变更的方 法。授权证书的归档提供由主体签名的审计记录。
4.最重要的是，鲍勃可以使用授权基础设施来将适当签名的授权证书转 换成定制证书(或者，实际上，多个定制证书)。这是所述系统的关键部分，将 在下面作说明。如果鲍勃采取该路径，则他要谨慎地检查艾丽丝是否已将对 象签名块(若有的话)正确地复制到授权证书。
定制证书
正如艾丽丝与一个或多个RA具有合同一样，如果鲍勃想要将授权证书 转换成定制证书，则他需要与一个或多个CA具有合同。该过程是直接的。 在授权证书到期之前的任何时间(或者，在瞬时授权证书刚到期之后)，鲍勃可 以他愿意的次数，向CA发送他所接收的授权证书，CA签署并返回针对鲍勃 的需求而定制的等效定制证书。在系统中对于鲍勃对CA的选择、或者多少 次(假设在瞬时授权证书的情况下他是快速的)、或者将相同的授权证书发送给 多少不同的CA没有限制。
CA所做的事情是执行艾丽丝的命令，假设她在创建授权证书时对要与 鲍勃共享的某些她的个人数据给出这些命令。她的公钥是可以这种方式共享 的一条个人数据。
下面描述方法步骤。如果出现任何问题，则过程结束，且鲍勃的请求以 原因代码被拒绝。CA生成正在准备的定制证书的序列号，并复制授权证书序 列号、授权证书的哈希值、对象签名块(若有的话)以及临时值(若有的话)作为 定制证书中的属性。CA将其自己的区别名称随同时间戳一起复制到签发者字 段。
对于长期授权证书，CA检查授权证书的有效期不在可能的组装和签署 定制证书的时间之前到期。对于瞬时授权证书，CA检查自从签署授权证书以 来只过去适量的时间。“适量”是指自从艾丽丝签署授权证书以来其个人数据 不太可能发生变化。
对于长期授权证书和瞬时授权证书(对于其适量的时间尚未过去)，则CA 将定制证书的有效期开始时间设为与授权证书的开始时间相同。否则(显然， 这将仅适用于长期定制证书)，有效期开始时间将设成CA时钟的时间。作为 选项，为了支持存储转发事务，将开始时间设成显著更早的时间可能是有用 的。
定制证书有效期结束时间将设成授权证书有效期结束时间，或者鲍勃所 指定的更早时间。
CA检查在授权证书中指定鲍勃为信赖方，并在定制证书中指定鲍勃为 信赖方。在既定规则内，允许鲍勃名称的表示有一定的变化。(这类似于银行 将支票上的受款人姓名与帐户持有人姓名相匹配的灵活性)。
CA检查授权证书主体名称与“签发者”名称是否相同，并将该值复制到 定制证书的主体字段中。同样，在既定规则内，允许艾丽丝的名称存在变化。
CA忽略(也就是，将它们视作好象不存在一样)授权证书中已声称而不是 引用RA的任何属性。授权证书中的声称属性值有益于艾丽丝与鲍勃之间不 涉及CA的通信部分。声称公钥值在该基础设施中确实具有其用途，下面将 对此进行说明。
然后，CA将授权证书提供给在授权证书中标识的、能够将艾丽丝的区 别名称解析成其公钥的RA。如果这是长期授权证书，则RA将首先检查艾丽 丝是否已废除它。对此RA如何做将在后面说明。(定制证书的瞬时或长期状 态是无关的)。在任何情况下，RA都检查授权证书的有效期。
RA咨询其数据库，提取公钥值，并检查授权证书。如果它知道艾丽丝 的多个公钥，则它将在艾丽丝在授权证书中包括的提示(例如，声明公钥的值 或其哈希值)的指导下依次尝试每个公钥，直到授权证书的签名合格。
RA仅对长期定制证书将下面形式的标签(“DN标志(区别名称标志)”、 CA的区别名称、定制证书序列号、到期日期)添加到组成该区别名称的属性 中的每一个。而对于瞬时定制证书，不添加任何标签。(授权证书的瞬时或长 期状态对于该决定无关。)
RA检查授权证书以查看它是否被指定为用于包括公钥在内的谓词属性 中的任何属性的RA。它从其数据库中抽出艾丽丝已授权的任何值。RA仅对 长期定制证书将该形式的标签(“att标志(属性标志)”、CA的区别名称、定制 证书序列号、到期日期)添加到每个属性。而对于瞬时定制证书，不添加任何 标签。(授权证书的瞬时或长期状态对于该决定无关。)
对于长期定制证书，RA缓存授权证书，并记录授权证书与定制证书序 列号之间的映射、到期日期和“签发者”。
RA将下列信息回送给CA：
·艾丽丝的公钥值。
·它所负责的任何谓词属性的值。
如果在谓词属性中包括公钥值，并且艾丽丝具有多个公钥，则RA将根 据艾丽丝所声称的公钥值或哈希值选择其中一个。这可能是与上面返回的公 钥值相同或不同的值，因为艾丽丝可能通过使用一个私钥的签名同意创建包 含相应于她的另一个私钥的公钥的定制证书。
CA现在能够检查授权证书的签名，并这样做。如果还存在多个RA有待 咨询，则CA将授权证书随同由第一RA返回的第一公钥值一起并行地发送 给它们。这些RA检查授权证书，同样包括其到期和废除状态，使用授权证 书中的区别名称或者公钥值来识别主体，并返回这些值。如同前面，对于长 期定制证书，它们标注“att标志”属性，缓存授权证书，并将授权证书映射 到定制证书。
注意，要包括在公钥定制证书中的公钥可以由最初将艾丽丝的区别名称 解析成其公钥的RA以外的不同RA来提供。
随着所有属性信息的返回，CA现在对证书进行标记以表示鲍勃所请求 的证书策略。具体而言，如果鲍勃请求了附条件证书，并且CA乐于这是可 能的，则CA标记证书是附条件的，其中，责任限额是鲍勃所请求的和CA 愿意提供中的较低者。艾丽丝在EC中设置的策略还将约束是否可以生成定 制附条件证书。
鲍勃为了获得想要的策略和责任，甚至可以单独地将授权证书提交给两 个或多个CA，或者同一CA多次，用一个策略的强项来弥补另一个策略的弱 项，以使用一个定制证书来加强另一个定制证书，或者将附条件证书责任分 散到两个或多个CA上。
对于CA在定制证书中定义的策略，存在一个重要约束。艾丽丝在原始 授权证书中定义的任何个人数据策略限制转入定制证书。
最后，CA通知将艾丽丝的区别名称解析成其公钥的RA向鲍勃传输定制 证书这一事实。CA将提供授权证书的序列号和长期定制证书，并告知长期定 制证书是否是附条件的(从而，艾丽丝知道其签名是否被升级到如在欧洲电子 签名指导文件的第5.1条款中所规定的附条件状态)。RA不被具体告知有关 策略的任何其他事情，并且不被告诉任何责任限额的数量(鲍勃将什么价值附 于他与艾丽丝的关系与艾丽丝无关)。
显然，鲍勃可以选择仅请求要包括的可能的谓词属性的子集。
图6示出由CA执行的方法600的流程图。方法600以鲍勃将授权证书 发送给CA 601开始。在步骤602，CA为新的定制证书生成序列号，检查授 权证书的数据是否一致，并将该数据复制到定制证书中，并输入其名称作为 定制证书的签发者。如果任何数据不一致603，则拒绝授权证书，并将其返 回给鲍勃604。
CA通过首先确定证书是瞬时的还是长期的来检查授权证书的有效性 605。如果授权证书是瞬时的，则检查自从生成它以来的时间，以确保这是在 预定时间内606。如果授权证书是长期的，则检查有效期607。如果授权证书 超出其有效期，则拒绝授权证书并将其返回给鲍勃604。
然后，CA设置定制证书的有效期608，并将定制证书发送给RA 609。 RA处理定制证书，并将艾丽丝的公钥发送给CA 610。CA采用公钥检查授权 证书的签名611。如果在授权证书所引用的数据中有一些保存在其它RA中， 则CA将向这些其他RA发送请求以获得数据。CA签署定制证书，并将它发 送给鲍勃612。CA还通知RA数据已发送给鲍勃。
定制证书废除列表
正如系统提供定制证书一样，也存在定制证书废除列表。它们仅应用于 长期定制证书，因为瞬时定制证书在生成它们的一秒内到期，因此废除它们 不会出现问题。
通过将要说明的机制，假设在CA所签署的长期定制证书到期之前包括 在该证书中的信息发生变化，则CA将知道该变化。另外，艾丽丝可以随时 废除她所签署的任何授权证书，这意味着对应的长期定制证书也必须被废除。 鲍勃还可以请求废除其中指定他为信赖方的任何长期定制证书。
CA为其每一个客户维护单独的定制证书废除列表(CRL)，并且每个客户 仅可以查看其自己的CRL。鲍勃可以随时根据需要咨询其CRL，可以指定他 想要更新CRL的通常频率，并且甚至可以随时强制创建新CRL。鲍勃还可以 要求每当有新CRL时通知其以作检查。鲍勃可以对CRL进行归档，以便他 可以在以后证明特定的长期定制证书在任何特定时间是未被废除的。
每当一证书序列号出现在CRL中时，鲍勃将要对被废除的证书进行归 档。如果与被废除的长期定制证书匹配的授权证书仍未到期，则鲍勃可以重 新提交匹配授权证书，并试图获得具有更新的内容的新长期定制证书。他是 否成功依赖于废除原因，而鲍勃可以在其CRL中查看废除原因代码。
显然，如果艾丽丝废除了授权证书，则该基础设施无法为鲍勃产生长期 定制证书。艾丽丝撤消了对其个人数据的特定授权。而如果艾丽丝的区别名 称被删除，则长期定制证书是不可恢复的。
如果只是属性或公钥的值发生变化，或者如果艾丽丝仅简单地改变了将 其个人数据分配给RA的方式，则通常可以重新提交授权证书，并获得对该 授权证书的剩余时间有效的替代长期定制证书。
鲍勃可在授权证书到期之前的任何时间请求长期定制证书。鲍勃甚至可 以与CA签订合同以让CA在每次发生废除时自动处理新请求，而无需鲍勃 发起该行为。鲍勃可以在授权证书的生命期内将相同的授权证书提供给不同 的CA。
这样，当艾丽丝改换其密钥对，或者在结婚时改变其姓名，或者从艾克 米得到增加的采购限额，或者改变银行、或者搬家，或者改变电话号码，或 者甚至更换雇主时，在全世界范围内以她为主体的长期定制证书将迅速被废 除和替代。鲍勃的地址簿将总是最新的。艾丽丝只需告诉她的一个RA情况 的变化，而她授权知道这些情况的每一个人都将迅速知道所发生的事情。这 适用于未到期的长期定制证书中的每一条数据：标识符、谓词、认证符、授 权符、定位符。
CA每次废除长期定制证书时，将被废除的长期定制证书的序列号标示 给将艾丽丝的区别名称解析成其公钥的RA。
下面详细描述该方法是如何工作的：
·艾丽丝可选地能够通过其软件功能维护称作授权证书废除列表(ECRL) 的结构。她随时可向她的任一个RA提供列出她希望废除的先前生成但 仍然有效的长期授权证书的序列号的ECRL。(瞬时授权证书在创建之后 很快就到期，因此废除它们不会出现问题)。
当任一RA接收到ECRL时，该RA从列表中提取它为艾丽丝处理过的 所有授权证书的序列号，查看其映射表以找到匹配CA名称和定制证书 序列号，并将签名消息发送给每个CA，指示根据“授权证书废除”的 废除。
如果特定授权证书指定多个RA，则艾丽丝可将ECRL发送给它们中的 任一个。这使她能够以RA的粒度废除部分授权证书。甚至还可能允许 以属性的粒度进行废除。这需要废除代码“部分授权证书废除”。
·如果艾丽丝决定将一项其个人数据从一个RA移到另一个RA，该RA 将查看该数据项上的标签，提取未到期定制证书的序列号，并用“改变 RA”的原因代码向相关的CA发送签名的废除消息。
·每当一条艾丽丝的数据改变在其数据库中的值时，RA将检查所附标 签，并为每个定制证书发送签名的废除消息。对于其中设置了DN标志 的定制证书，废除原因是“身份被删除”。而在设置了att标志的情况下， 原因则是“属性改变”。
·最后，如果RA通过未在系统中定义的方法了解到主体的死亡，则这 将导致以“主体死亡”的原因代码废除该主体的所有未到期定制证书。
只有当废除原因是“部分授权证书废除”、“RA改变”或“属性改变” 时，才值得重新提交未到期的授权证书。
图7示出加有证书废除列表的图3的图。授权证书废除列表701由艾丽 丝302发送给RA 306。RA 306具有映射表702，其中所有授权证书和定制证 书的记录根据它们的序列号来保持，以及保存了向其供应了数据的CA的记 录。RA 306可以向CA通知由于艾丽丝302的废除请求而应进一步废除的任 何定制证书。CA 310为每个信赖实体如鲍勃304保存证书废除列表703。
基础设施
授权基础设施包括链接向其客户提供授权服务的一组RA和CA的安全 (即签名和加密)消息和事务系统。实现这种事务系统的方法在现有技术中是公 知的。
当CA和RA在它们自身之间安全通信时，它们又可以采用与所述的艾 丽丝和鲍勃所采用的相同的机制。
电子财产所有权
下面描述一种转让电子财产所有权从而使所有权得到保护并能够通过自 动手段证明的方法和系统。所述技术假定存在如前所述的授权基础设施。
对于自动系统，尤其是在它们是普遍的并相互通信的情况下，能够实质 上检查电子财产的合法所有权而尽可能地无需人的干预。
电子财产是用于任何能够以电子方式表示的财产的通用术语。仅作为示 例，电子财产可以包括金融凭证如公债和其它有价证券、土地产权、音乐、 图像、多媒体作品等。对这样的电子财产进行复制在技术上是直接的。因此， 如果能够自动检查一特定实例因被另一实体赋给一实体而使该实体拥有它 时，则电子财产能够以电子方式进行交易和交付。
电子财产可以具有两种类型。
类型I：观看或回放电子财产的能力不是问题。例如，如果公债或土地 产权被任何人看见，这不存在商业问题-问题是确保公债是由艾丽丝转让给 鲍勃的。
类型II：回放能力是问题。除非在合法所有者的授权下，否则图像不应 是可显示的，而音乐不应是可播放的。
所述转让电子财产所有权的方法和系统适用于这两种类型，但是用不同 的方式。
让艾丽丝将某电子财产的所有权转让给鲍勃。本上下文中的所有权用来 包括绝对产权、租赁、出租、使用许可和其它形式的财产使用权的全部或部 分所有权。艾丽丝使用授权基础设施的工具。艾丽丝用数字签名对电子财产 签名，并为鲍勃创建授权证书(EC)。签名电子财产和EC通过链接绑定。
链接可以是：
根据EC的序列号和为该特定转让生成的随机数创建并存储在签 名电子财产和EC中的比特串。(EC的序列号本身是不够的，因为有可 能对两个不同鲍勃的两个证书的序列号是相同的)。
与电子财产的水印相关联的比特串。假定电子财产使用可以根据 密钥而不同的水印技术。则使用密钥作为链接，并将其存储在EC中。
参照图8A，示出了链接的第一形式。电子财产801包括EC序列号803 和随机数804形式的链接802。序列号803和随机数804可以多种方式组合 在一起以生成链接，例如，使用单向函数等。对电子财产801和链接802用 由艾丽丝的私钥/公钥对的公钥生成的签名块805来进行数字签名。
这样的数字签名通过使用艾丽丝的私钥对包括链接802的电子财产801 进行加密来生成。如上所述，实际上，艾丽丝可以对包括链接802的电子财 产801计算摘要，并采用她的私钥对摘要进行加密。
相关EC 806由艾丽丝为鲍勃创建，这允许鲍勃获得艾丽丝的公钥，从而 检验电子财产801的数字签名。除了前面描述过的对EC的通常要求之外， EC 806还包括与电子财产801中的链接802相对应的链接807。链接807由 EC 806的序列号803和随机数804来生成。
图8B示出链接的第二形式。电子财产801包括包含在电子财产801中 的水印808形式的链接802。水印808具有水印密钥809。
传统水印长期用于通过在文档的纸张内嵌入几乎不可见的标记来认证文 档。类似地，电子水印可以通过在电子数据内嵌入隐藏数据模式来认证电子 文档特别是图像。
此时，对包括链接802的电子财产801以水印808的形式由艾丽丝使用 其私钥生成的签名块805来数字签名。
以类似于图8A的方式，相关的EC 806由艾丽丝为鲍勃创建，这允许鲍 勃获得艾丽丝的公钥，从而检验电子财产801的数字签名。除了通常的EC 要求之外，EC 806还包括与电子财产801中的链接802相对应的链接807， 并且在这种情况下链接807是水印密钥809。
数字签名和相关EC的生成在上面的“签名设备”和“授权证书”章节 中已进行过详细描述。
在本实施例中，EC 806包括以下内容：
·由艾丽丝声称的名称。该名称可以是包括假名的任何名称。
·信赖方的名称(鲍勃)。
·一个或多个属性标识符以及保存这些属性值的RA的名称。
·艾丽丝对电子财产进行签名的有效期。
·链接手段。
·可以可选地包括授权证书的主体名称。这可以是艾丽丝的名称，如果 她以给定能力起作用的话。
·还可以包括所有权的有效期。这可以是有限使用期或者具有无限期的 永久性所有权转让。
·艾丽丝对上面所有项的签名。
EC 806授权鲍勃获得在EC 806中定义的属性的值。这些属性包括艾丽 丝的公钥值和作为电子财产所有者记录的艾丽丝的名称。附加属性也可以由 艾丽丝授权。应该理解，属性具有名称或标识符和属性值。EC 806包含属性 标识符，并且属性值由RA源供应给信赖方。
EC 806包含电子财产801受让人的名称鲍勃，并可以包含转让人名称艾 丽丝。自动系统可以使用授权基础设施的设施来检查转让是真实未被伪造的 并确定所需的艾丽丝和鲍勃的任何属性(只要它们被艾丽丝授权)。这通过鲍勃 获得定制证书来完成。
一旦鲍勃接收到EC 806，他就根据该EC 806获得定制证书。定制证书 在上面的“定制证书”章节中进行过描述。如果鲍勃从其获得定制证书的CA 提供责任限额，则定制证书是附条件的。附条件证书在欧洲电子签名指导文 件(指导文件1999/93/EC)中有定义。在本实施例中，定制证书可以包括以下 内容：
·在签名时在EC中授权的艾丽丝的一个或多个属性值包括艾丽丝的公 钥。
·CA的名称。
·从EC获得的信赖方的名称(鲍勃)。
·与艾丽丝的签名有效期相对应的证书有效期。
·从EC获得的电子财产所有权的有效期。
·若有的话，限制条件值。
·CA对以上所有项的签名。
·链接手段也可以从EC复制并包括在定制证书中。
鲍勃存储附条件定制证书作为电子财产所有权的证书。所有上面步骤自 动发生而无需人的干预。
图8C示出授权证书806和定制证书810的示意图。EC 806包括传输到 定制证书810的某些信息项。这些信息项包括信赖方的名称(在本例中为鲍 勃)811、链接807、EC 806的序列号812以及艾丽丝对EC 806的签名的有效 期815(为了确保艾丽丝在签名时候公钥正确)。EC 806授权鲍勃在定制证书 810中获得在EC 806中标识的属性816的值。在定制证书810中给出的属性 值是艾丽丝的可靠名称817(电子财产当前保持有效的名称)以及艾丽丝的公 钥818。EC 806由艾丽丝813使用她的私钥来签署，而定制证书810由CA 814 签署。
图9示出自动转让电子财产的方法的第一实施例的流程图。该方法通过 由艾丽丝或鲍勃激活软件来执行。
参照图9，在步骤901，生成链接，并将链接的一部分存储在要转让的电 子财产中。链接可以引用将要创建的授权证书来生成，例如，链接可以包含 授权证书的序列号。在下一步骤902，艾丽丝使用她的私钥对电子财产签名。 在步骤903，艾丽丝生成指定鲍勃为信赖实体的授权证书并包括链接的授权 证书。授权证书还包括授权鲍勃获得其属性值的属性标识符。属性值包括艾 丽丝的公钥。艾丽丝然后将电子财产和授权证书发送给鲍勃904。
鲍勃接收电子财产和授权证书，并将授权证书发送给CA，以获得定制 证书905。鲍勃存储定制证书906作为电子财产所有权的证书。定制证书包 括艾丽丝的公钥的详细信息，它允许鲍勃确认实际上是艾丽丝对电子财产进 行了签名。定制证书还包括链接的详细信息，它将电子财产绑定于附条件定 制证书从而确认它是经过转让的那个电子财产。
转让方法的本第一实施例对于类型I电子财产是足够的。该技术可以用 于例如完全自动化与金融凭证、土地产权等的转让相关联的文书工作(内勤功 能)。另外，该设备可以编程为拒绝运行未被正确转让给设备当前用户的软件 (或者显示图像或播放音乐)。
转让方法的该第一实施例对于类型II电子财产不是完全足够的，因为将 有可能将设备编程成忽略所有权(如果设备完全处于用户控制之下)，并回放该 材料。
电子财产转让方法的第二实施例是针对类型II电子财产来描述的，其中， 只有来自合法所有者的授权下的实体才能回放电子财产。
在本实施例中，鲍勃向艾丽丝发送授权证书请求。该请求本身可以是对 鲍勃之公钥的授权证书，或者如果鲍勃的身份无需被艾丽丝检验，则可以简 单地声明鲍勃的公钥。如果鲍勃使用授权证书，则艾丽丝可以使用该请求以 在授权基础设施中从CA确定鲍勃的公钥。
然后，艾丽丝使用鲍勃的公钥以采用高效机制对电子财产进行加密。例 如，艾丽丝可以选择随机对称会话密钥，并使用对称密码对电子财产加密。 鲍勃的公钥仅用来对会话密钥进行加密。
如同第一实施例，在电子财产中提供链接，并且也由艾丽丝用她的私钥 对电子财产进行签名。
可替代地，艾丽丝还可以在用鲍勃的公钥对电子财产加密之前对它进行 签名。
如同第一实施例，艾丽丝生成EC并指定鲍勃为信赖方。艾丽丝在EC 中包括链接的详细信息和加密的会话密钥。
如同第一实施例，一旦鲍勃接收到EC，他就从CA获得定制证书。链接 和加密的会话密钥可以从EC复制到定制证书，从而使定制证书成为所有权 证书，并包含所有所需信息。鲍勃可以通过使用他的私钥对会话密钥进行解 密来获得它，并且鲍勃可以使用会话密钥对电子财产进行解密来回放它。
由于电子财产经过加密，因此使得由鲍勃以外的任何其他人的回放在计 算上是不可能的。但是在存在鲍勃的签名设备的情况下，可以从所有权证书 中获得密钥，对它进行解密，并使用它来对电子财产进行解密以进行回放。
图10示出在转让电子财产的第二实施例中使用的电子财产和对应授权 证书的一种形式。
电子财产1001包括上面参照图8A和8B所述的形式之一的链接1002。 电子财产1001通过会话密钥使用对称密码来加密。包括链接1002的加密电 子财产1003使用由艾丽丝用其私钥生成的签名块1005来数字签名。如上所 述，实际上，艾丽丝可以对包括链接1002的加密电子财产1001计算摘要， 并用她的私钥对摘要进行加密。
相关的EC 1006由艾丽丝为鲍勃创建。EC 1006允许鲍勃获得由艾丽丝 在EC 1006中指定的特定属性值包括艾丽丝的公钥1009。EC包括链接1007 的对应部分和用鲍勃的公钥1008加密的加密对称会话密钥1004。鲍勃知道 他的私钥，因此他可以对对称会话密钥1004进行解密，并对电子财产1001 进行解密。
参照图11，示出电子财产转让方法的第二实施例的流程图。鲍勃向艾丽 丝发送包括鲍勃之公钥的请求1101。艾丽丝确定鲍勃的公钥1102。然后，艾 丽丝生成链接1103，并将链接存储在电子财产中。艾丽丝通过会话密钥使用 对称密码对包括链接的电子财产进行加密1104。艾丽丝用鲍勃的公钥对会话 密钥进行加密1105。艾丽丝用她的私钥对电子财产签名1106。
艾丽丝生成EC 1107并在EC中包括链接和加密会话密钥。EC授权鲍勃 获得艾丽丝的公钥。艾丽丝将经过签名和加密的电子财产与EC一起发送给 鲍勃1108。鲍勃获得定制证书1109，并将它作为电子财产所有权的证书存储。
由于鲍勃知道他的私钥，因此鲍勃可以对电子财产进行解密1110，并可 以对对称会话密钥进行解密，然后对电子财产进行解密。
电子财产所有权的转让
在使用上述方法转让电子财产所有权从而使所有权得到保护并可以通过 自动手段证明的环境中，需要一种防止多次转让相同电子财产的所有权转让 方法(例如，通过销售)。
对该问题将进行更明确的描述。假定鲍勃具有由艾丽丝适当转让给他的 某电子财产XYZ(它可以是电影或者金融凭证如公债-以比特串表达的任何事 情)。鲍勃具有如上所述的所有权证书，即带有与电子财产XYZ的链接且指 定鲍勃为目标的附条件定制证书。鲍勃现在具有手段证明他对XYZ的所有 权，其中，证明可以通过完全自动的手段来实现。然而，假定鲍勃希望转让 他的财产XYZ。用什么来防止他转让给卡罗尔、克劳丁、克洛伊多人？-出 售它多次，因为有可能不花成本地克隆电子财产及其所有权证书。
本方法描述一种防止这种欺诈并允许跟踪所有权的技术，其中，主管当 局需要这样做来进行犯罪调查。
假定存在授权基础设施，在其内包含两种参与者(actor)：登记管理机构 (RA)，可以称作可信信息提供者；以及证书管理机构(CA)，可以称作可信信 息证明者。
还需要称作可信交易代理(Trusted Transaction Agent，TTA)的另一个参与 者。该组织负责跟踪由鲍勃执行的有关‘财产’的交易并报告‘财产’的结 余-换句话说，记帐。这些‘财产’可以是‘英镑’、‘欧元’、‘美元’或其他 ‘财产’，只要它们具有唯一标识符即可。TTA将保存它所接收的所有交易指 令，在任何时刻报告结余，并在需要时能够打印交易报告(即创建帐单)。
当授权基础设施与任何形式的资金转让功能一起使用时，无论如何都需 要该额外的参与者。TTA可以是持有鲍勃(和艾丽丝)的资金并当艾丽丝或鲍 勃指示时将这些资金转移到另一或同一TTA内的鲍勃或艾丽丝的帐户的银行 或类似组织。由RA或CA运行的‘交易帐户’是TTA的一个例子，尽管其 功能可能有限。设置并运行TTA以及在它们之间进行资金转移的过程是很好 理解的，并且存在很多现有系统来完成此。
第二，必须说明TTA如何对电子财产即XYZ记帐。该技术是获得电子 财产的哈希值#XYZ，并用它作为对其记帐的‘财产’的标识符。哈希函数是 将任意长度的明文映射成作为‘摘要’的相对较小的固定长度比特串的单向 函数。
哈希函数具有如果明文以任何方式发生变化则通过哈希函数产生完全不 同摘要值的特性。另外，还不应有可能生成具有相同摘要的两种形式的明文。 给定XYZ，计算#XYZ(明文的哈希值)应是容易的。给定#XYZ，得出XYZ(原 始明文)在实际上应是不可能的。
这方面的例子可以是以名称是#XYZ的单一货币记录的帐户。该标识符 实际上是XYZ的唯一标识符-冲突的机会是数万亿万亿分之一。
因此当鲍勃获得电子财产XYZ的合法所有权时，他的TTA用#XYZ作 为标识符为他开设XYZ的帐户。他的TTA在该帐户中为鲍勃记入1。
当克洛伊希望从鲍勃购买时，她将从鲍勃接收授权证书，它实际上是来 自鲍勃的将所有权从他转让给克洛伊的有效指令。克洛伊以正常方式通过其 CA将EC传入授权基础设施以进行解析。
这将驱使从标识符#XYZ下的鲍勃在其TTA内的帐户到在克洛伊的TTA 内为其设置的具有标识符#XYZ的帐户的转让，将鲍勃的结余减1，并将克洛 伊的结余增1。
鲍勃的附条件定制证书形式的原始所有权证书将被废除。如果鲍勃已经 出售了电子财产XYZ，则该转让指令将失败-鲍勃的TTA将拒绝该转让指 令，因为他在标识符#XYZ下的帐户结余为零。由于鲍勃的所有权证书已被 废除，他可能更早就失败，因为该过程向鲍勃的CA检查CRL(该步骤更快， 但是不那么可靠，因为鲍勃可能试图在CRL的延迟时间内出售XYZ若干次)。
如果转让指令成功，则克洛伊的CA将根据请求为克洛伊生成附条件定 制证书，即克洛伊需要的所有权证书。克洛伊在其TTA内标识符#XYZ下的 帐户的结余将为1，其中保存转让指令以用于审计的目的和必要时产生帐单。
它与艾丽丝工作的方式是不同的，因为艾丽丝首创(originate)了该电子财 产。艾丽丝在其TTA内的帐户不增加，因为她购买或者由于某种其他原因转 让了XYZ。从而，艾丽丝通过声称她的所有权来设置其TTA内的结余。这在 实际上等同于她声明电子财产的版权，而声称是所有权现在工作的方式-也 就是，艾丽丝声称版权，并且除非某人对它提出疑问，否则视为持有-即她 在使用之前不需要证明它。需要注意，在例如金融凭证的情况下，当鲍勃安 排转让给他时，预期他实行“买方负责(caveat emptor)”：他可以从授权基础 设施了解艾丽丝声称了所有权，而不是从其他人转让给她的；而这应该与金 融凭证的内容一致。
下面表1示出当电子财产的所有权在各方之间转让时艾丽丝、鲍勃和克 洛伊名下的帐户结余。
表1
  艾丽丝关于#XYZ   的TTA帐户   鲍勃关于#XYZ   的TTA帐户   克洛伊关于#XYZ   的TTA帐户   原始声称所有权   1   0   0   从艾丽丝转让给   鲍勃   0   1   0
  从鲍勃转让给克   洛伊  0   0   1
另外，每个TTA在文件上保存了每次指示的转让交易(授权证书)，从而 在技术上可以从每一点向后回溯至创始者和向前追踪至当前所有者。该踪迹 对于辩论主管当局(the competent authorities for forensics)具有很大重要性。
电子投票
电子投票有三个方面：
1.计数的可靠性。这是大多数加密技术研究所关注的领域。现在已有多 种可用解决方案，它们以非常高的计算量为代价实现非常高级别的加密强度。
2.接口处错误的可能性。由于2000年11月美国总统选举中出现的困难 而使很多思考关注于此。
3.投票者的远程认证。识别和认证投票者被认识到是重要的，但在这一 领域没有什么实质性的进展。前面所述的授权基础设施可以有助于此，但是 问题仍然是困难的。
所述方法和系统主要涉及认证和保密性之间的接口，并通过授权基础设 施处理身份和认证问题。
电子投票系统的目标
与计数可靠性相关的目标
1.没有人可以投票多于一次。这可以通过使每个投票者都必须伴随投票 具有唯一的序列号来实现。为了防止计数组织(CO)制造额外的选票，由独立 的认证机构(AA)签发序列号。为了防止认证机构向不存在的投票者提供序列 号，可以公布投票者的姓名(而不是序列号)。
2.没有人可以知道特定人投票选举谁，这可以如下实现：
a).通过用计数组织的公钥对投票加密来保护传输中的投票。
b).通过分离计数组织与认证机构来防止计数组织中的任何人发现。
(通过“匿名分发”序列号，可以实行分离的替代方案，但是在计算能力 上这是非常昂贵的，并且从当前系统进行转变、而不是修改是非常困难的。)
3.选票一旦投出，就没有人可以改变它。这可以通过与投票一起包括由 投票者签名的加密摘要来实现。
4.公众信任投票数据不用于投票之外的任何其它目的。在电子投票方案 中，可能存在关于计数组织和认证机构之间的串通危险的疑问。
5.投票者可以检查他或她的投票是否被计数。在电子系统中，如果投票 者与其投票一起包括进行他或她自己的选择的临时值，则可以公布对应于候 选者的投票的临时值表，其仅对各个投票者有意义。临时值是由一方(在本 例中为投票者)提供的随机数或其它信息。临时值典型地是在其产生之时其 值不可预测的大数。
6.没有人可以复制另一投票者的选票。临时值系统防止这一点。
7.没有人可以出售他或她的选票。在电子系统中，这需要在投票软件中 包括随机扰乱因素。
与接口处错误的可能性相关的目标
8.每一个人的投票都通过。不是每一个向AA请求序列号的人都会考虑 投票。CO如何区别这些人与其投票在投递中丢失的情况？工业强度可靠交付 中间件如MQSeries(国际商业机器公司的注册商标)将是一个选择。
9.没有选票由于裂变(crack)而失败和丢失。从投票者到CO的路径上很 可能有消息在形式上发生改变的地方。这须不能影响投票消息，可靠交付中 间件再次解决这一问题。
10.在系统崩溃的情况下重新计数是可能的。这意味着必须脱机获得投 票消息和使它们有意义的足够的辅助信息。一个优点是审计以及重新计数变 得可能。
11.从现有纸张系统到电子系统必须顺利地转变。所有投票站可能都必 须具有用于办公人员的终端，使它们的选民名册仅包括尚未向AA请求序列 号的人(并且理想地，排除任何登记了死亡的人)。
与投票者的远程认证相关的目标
12.只有授权投票者才可以投票。使用授权基础设施，可以不是根据固 定选民名册而是根据身份、年龄、住址、国籍以及未被禁止投票来授权某人 进行投票。
13.在本系统下将至少同样好地确定身份。将要使用的身份的基础是策 略问题。必须决定姓名、地址和出生日期是否足够。国籍以及不是禁止类之 一也需要被授权。
14.选民名册应该消失。当每个人可以在没有选民名册的情况下确定他 或她的身份时，不再需要该文档本身。
参照图12到15，现在描述实现上述目标的用于电子投票的方法和系统 的简化例子。
图12A和12B示出电子投票系统1200，其中提供了认证机构(AA)1201 和独立的计数组织(CO)1202。图中示出了多个投票者1203、1204、1205、1206。 在图12A中，投票者1203、1204、1205、1206与AA 1201和CO 1202通信。 在图12B中，投票者1203、1204、1205、1206仅发送消息给AA 1201，而以 CO 1202为目的地的消息则由AA 1201代表投票者1203、1204、1205、1206 转发。
图12A所示的流程是投票者艾丽丝1203首先向AA 1201请求一个序列 号，AA 1201将其授权给她的姓名、地址、出生日期、国籍以及禁止类记录。 AA 1201获得对这些信息的确认，并向艾丽丝发送她的序列号。然后，她用 该序列号、临时值、扰乱因素和投票构造投票消息，然后将其发送给CO 1202。
然而，这样做的缺点是艾丽丝在接收她的序列号并能够投票之前必须等 待AA 1201确认她的身份。另一缺点是艾丽丝必须发送消息给AA 1201和CO 1202两者。
在图12B的情况下，艾丽丝1203通过AA 1201将她的消息发送给CO 1202。这样做的优点是艾丽丝1203仅采取一个行动来完成她的投票，并且 CO 1202无法用艾丽丝1203的电子地址来跟踪她。
然而，AA 1201必须不能阅读选票。因此，选票必须加密，从而让CO 1202 而不是AA 1201可以阅读它。这是在此提出的方法和系统。
参照图13，提供了所示出的投票方法的图。在该图中，以圆角虚线方框 示出操作。以实线方框示出对象。
艾丽丝(作为投票者的例子)生成指定AA作为信赖实体的授权证书1301， 并且艾丽丝在授权证书1301中授权(也可以声称)她的姓名、地址、出生日期、 国籍和禁止类记录。这是足以唯一标识艾丽丝的数据。艾丽丝还在授权证书 1301中声称艾丽丝将要用于对其投票单进行签名的私钥/公钥对的公钥1302。
授权证书在“授权证书”章节中进行过详细描述。本节说明证书生成者 可以如何声称数据，在这种情况下，数据出现在证书中，以及证书生成者可 以如何授权数据，在这种情况下，在证书中给出数据指示，而证书授权信赖 方从另一个源获得数据。
授权证书1301还可包含处理证书所需的技术数据，例如，所用加密函数。
授权证书1301由艾丽丝用她的私有/公开签名密钥对的私钥进行签名以 确认授权证书1301的真实性。
授权证书可以是X.509v.3证书。
艾丽丝使用AA的私有/公开保密性密钥对的公钥来对授权证书1301进 行加密。这产生加密授权证书1304。各方可以具有多个私钥公钥对，例如， 保密性密钥对和签名密钥对。
艾丽丝还创建不包含序列号但包含临时值、扰乱因素和选票的投票消息 1305。临时值是由一方(在本例中为艾丽丝)提供的随机数或其它信息。临 时值是直到其产生之时其值不可预测的大数。
所述方法和系统不要求艾丽丝(作为投票者的例子)生成临时值。如果她 想检查她的投票是否已被记录，这对她是有用的。如果她不希望检查她的投 票是否已被记录，则临时值是无关紧要的。该方法的不同实现如下：
·一种实现可以向艾丽丝提供选项，并如果她希望，为她选择一个随机 临时值，否则使用零临时值-其优点是无需公布零临时值，而仅公布那 些关心者的临时值。
·另一种实现无论如何都生成临时值并将它发送给AA和CO，并将它记 录在艾丽丝的计算机上-其优点是艾丽丝可少答一个问题。
艾丽丝使用CO的私有/公开保密性密钥对的公钥对投票消息1305进行 加密1306。这产生加密的投票消息1307。
然后，艾丽丝对加密授权证书1304应用哈希函数1308，从而产生加密 授权证书的摘要1309。
哈希函数是将任意长度的明文映射成作为‘摘要’的相对较小的固定长 度比特串的单向函数。哈希函数具有如果明文以任何方式发生变化则通过哈 希函数产生完全不同摘要值的特性。另外，还不应有可能生成具有相同摘要 的两种形式的明文。给定P，计算#P(明文的哈希值)应是容易的。而给定#P， 得出P(原始明文)在实际上应是不可能的。有各种不同类型的哈希函数可用。
类似地，艾丽丝对加密投票消息1307应用哈希函数1310，从而产生加 密投票消息的摘要1311。两个摘要1309、1311连接1312在一起以获得两个 摘要1309、1311的合成连接体1313。哈希函数1314应用于两个摘要1309、 1311的连接体1313，从而产生连接体1313的摘要1315。这将产生完整块。
连接体1313的摘要1315使用艾丽丝用于投票的密钥对的私钥来进行加 密1316。这是在授权证书1301中向AA声称了其公钥的相同密钥对。加密摘 要1315的结果是签名块1317。
艾丽丝将加密授权证书1304、加密投票消息1307和签名块1317发送 1318给AA。艾丽丝现在可以注销。她无需等待序列号，并且她无需发送任 何东西给CO。
现在参照图14，描述了当从艾丽丝接收到加密授权证书1304、加密投票 消息1307和签名块1317时由AA执行的方法。
AA使用AA的私有保密性密钥对加密授权证书1304进行解密1401。 AA使用授权证书1301和授权基础设施来确定艾丽丝的身份及其投票权 1402。AA还获得艾丽丝在授权证书1301中所声称的其用于投票的公钥1302。
AA不能阅读加密投票消息1307。然而，AA能够确认两条消息是艾丽 丝发送它们的，并由AA接收到的签名块1317链接在一起。
该确认通过同样执行由艾丽丝执行的应用哈希函数并连接摘要的过程来 实现。AA对加密授权证书1304应用哈希函数1408，从而产生加密授权证书 的摘要1409。类似地，AA对加密投票消息1307应用哈希函数1410，从而产 生加密投票消息的摘要1411。两个摘要1409、1411连接在一起1412以获得 两个摘要1409、1411的合成连接体1413。对两个摘要1409、1411的连接体 1413应用哈希函数1414，从而产生连接体1413的摘要1415。
由AA接收的签名块1317使用从验证授权证书1301获得1402的艾丽丝 用于投票的公钥1302进行解密1403。解密签名块是连接体的摘要1404。
可以比较1405连接体的两个摘要1415、1404，如果它们相同，则可向 AA提供两个消息都是艾丽丝发送它们的并由签名块1317链接的确认。
然后，AA将序列号分配给艾丽丝，并构造包含以下项的消息：艾丽丝 的序列号、艾丽丝用于投票的声称公钥、以及艾丽丝的加密授权证书的摘要。 AA使用AA的私有签名密钥对该消息签名，并将该消息随同艾丽丝的投票消 息1307和其签名块1317一起发送给CO。
现在参照图15，描述了当接收到全从AA转发的加密投票消息1307、由 AA签名的消息1500(在前面段落中描述过)以及签名块1317时由CO执行的 方法。
投票消息1307使用CO的私有保密性密钥来解密1501以获得1502艾丽 丝的投票以及她的临时值和扰乱因素。
由AA签名的消息1500被用AA的公钥解密1506，从而产生授权证书 的摘要1509、艾丽丝的序列号1507、以及艾丽丝用于投票的公钥1302。
CO可以确认投票消息1307是艾丽丝发送它的，并由签名块1317链接 到由AA发送的授权证书的摘要1509。
该确认通过同样执行由艾丽丝和AA执行的应用哈希函数并连接摘要的 过程来实现。CO具有消息1500的加密授权证书摘要1509。CO对加密投票 消息1307应用哈希函数1510，从而产生加密投票消息的摘要1511。两个摘 要1509、1511连接在一起1512以获得两个摘要1509、1511的合成连接体 1513。对两个摘要1509、1511的连接体1513应用哈希函数1514，从而产生 连接体1413的摘要1515。
由CO接收的签名块1317用从AA的消息1500获得的艾丽丝用于投票 的公钥1302解密1503。解密签名块是连接体的摘要1504。
可以比较1505连接体的两个摘要1515、1504，并且如果它们相同，则 向CO提供投票消息1307是未经修改的原始投票并由AA分配了序列号的确 认。
将从来自AA的消息1500获得的艾丽丝1507的序列号与艾丽丝的选票、 临时值和扰乱因素组合1502，并进行记录1508。
如同前面，AA应公布(至少向审计组)投票人的身份。该清单上的人数决 不应少于投票数。
这样，可以使用一条消息来进行投票的认证和计数。由投票者执行的过 程是直接的，因为只需发送一次通信给单方即认证机构。认证机构与计数机 构通信。由于认证机构与计数机构之间的网络可以快于投票者将使用的因特 网，因此这将加速通信。
应该理解，在使用术语加密的情况下，这并不一定意味着结果是保密的， 因为用私钥加密的数据可以被持有对应公钥(可能是广泛可获得的)的任何 人解密。
在所述方法和系统内可以使用不同的哈希函数，只要所用函数在各方之 间商定好即可。
由不同方使用的公钥/私钥技术可以不同，只要其他方知道正在使用哪一 技术并可实现该技术即可。
所述方法和系统涉及执行诸如加密操作的各方；然而，应该理解，该方 法的计算机软件实现代表各方执行这些功能。
在不脱离本发明的范围的情况下可以对前文进行改进和修改。