公开/公告号CN101133418A
专利类型发明专利
公开/公告日2008-02-27
原文格式PDF
申请/专利权人 阿诺托股份公司;
申请/专利号CN200580038619.0
申请日2005-10-10
分类号G06F21/00(20060101);H04L9/30(20060101);G06F3/033(20060101);
代理机构中国国际贸易促进委员会专利商标事务所;
代理人赵科
地址 瑞典隆德
入库时间 2023-12-17 19:49:57
法律状态公告日
法律状态信息
法律状态
2014-12-03
未缴年费专利权终止 IPC(主分类):G06F21/00 授权公告日:20110629 终止日期:20131010 申请日:20051010
专利权的终止
2011-06-29
授权
授权
2008-04-23
实质审查的生效
实质审查的生效
2008-02-27
公开
公开
相关申请的交叉引用
本申请要求2004年10月12日提交的美国临时专利申请No.60/617193、2005年6月30日提交的瑞典专利申请No.0501520-1、以及2005年7月5日提交的美国临时专利申请No.60/695851的优先权,所有这些申请通过引用被包含在此。
技术领域
本发明涉及用于对电子笔所记录的位置数据提供安全性的方法和系统。
背景技术
本发明的申请人已经开发了一种系统架构,其中采用具有配备有位置代码的书写表面的产品。在这种系统中,也被称为数字装置的电子笔被用于在书写表面上书写,同时能够记录经过位置编码的表面的位置。电子笔通过传感器检测位置代码,并计算对应于书写笔划的位置。
位置代码是能够对大量位置的坐标进行编码的位置编码模式(pattern)的一部分。因此,该模式可以被看作形成由该模式能够编码的所有位置所限定的虚拟表面或参考表面,虚拟表面上的不同位置专用于不同的功能或服务和/或执行者(actor)。虚拟表面通常被分为不同的子集,其中一个子集可以包括模式的有限区域。这些有限区域可以具有对应于物理页面大小的尺寸,并因此表示模式页面,每个模式页面用唯一的页面地址来代表。在这种情况下,每个绝对位置可以由页面地址和在相关模式页面中的局部位置来代表。
电子笔可以通过预先存储在笔中的用于定义虚拟表面上特定功能区域的所谓模板而具有该虚拟表面的知识。电子笔可以基于由这些模板所指示的功能来处理所记录的位置。
除了电子笔和多个经过位置编码的产品之外,系统还包括在该系统中用作应用服务处理器的多个应用服务器。应用服务处理器ASH代表电子笔来完成服务,诸如存储或转接数字信息、启动将信息或项目传送到接收者等等。
系统架构管理通过位置代码所定义的虚拟表面以及与该虚拟表面相关的信息,尤其是哪个ASH与什么位置相关联。通过将虚拟表面的不同区域与不同目标单元相关联,来自笔的信息可以被传送到正确的目标单元以进行处理。例如,系统可以包括中间服务器,其在接收到来自笔的一个或多个绝对位置或接收到页面地址时,标识正确ASH的相关网络地址,并将信息数据传送或路由给该网络地址。
中间服务器还可以将不同管理规则与虚拟表面上的不同区域相关联,例如通过页面地址标识,这些管理规则确定要如何管理或处理这些区域的位置数据。特别地,这些用于特定区域的管理规则可以在将位置数据传送到其计划目的地之前控制笔是否应当对位置数据加密,并且如果应该加密则还控制使用什么加密密钥。
上述虚拟表面和具有提供给数字装置、即电子笔的示例性操作、功能和服务的示例性整个系统架构在已公开专利申请US2002/0091711、US2003/0046256和US2003/0061188中被进一步描述,所有这些专利申请都由本发明的申请人提交并都通过引用被包含于此。要注意,其它类型的位置编码模式也可以同等地用于本发明的范围内,例如在US6570104、US6330976、US2004/0085287中所公开的那些。
这类系统的一个缺陷在于,如果与位置编码模式的特定区域的位置相关联的ASH希望笔使用特定加密密钥来加密位置数据,以便在系统中配置安全服务,则需要与上述类型的中间服务器交互,以便用该加密密钥配置相应的管理规则。
对于安全服务在上述系统中的配置和使用,本申请人已经找到这种配置和使用的大量相互独立且非排他的期望特性:
首先,应该期望,想要配置新服务—在该新服务中信息要以安全方式被传送和管理—的一方、诸如应用服务处理器的管理员可以在配置该服务时只基于与电子笔的交互而配置这种安全服务,而无需要求该方与系统架构的其它单元、诸如任何中间节点或服务器交互;
第二,还期望,为其配置安全服务的任何电子笔都能够信任安全服务,即相信在使用该服务时所传送的任何信息都不以被错误接收者利用而结束;
第三,由于电子笔应当能够使用多个服务,因此不同应用服务处理器应当能够对同一电子笔配置不同的安全服务,并且电子笔应当能够信任这些安全服务中的每一个;
第四,有利的是,电子笔可以信任安全服务的配置者本身,即不仅相信信息只被提供给安全服务的配置者,而且相信配置者有权从电子笔接收信息,或者配置者已经被系统架构证明有资格作为可以信任的配置者。
应当注意,每个上述特性都与是否满足其它特性无关地提供其自己的优点。上面和下面的术语“配置者”应当解释为配置服务的人,即配置方,通常是应用服务处理器。
发明内容
本发明的目的是在管理由电子笔所记录的位置数据时提供安全性,从而获得安全服务的上述特性中的至少一个。
该目的通过在独立权利要求中所定义的方法、计算机程序产品和系统而实现。优选实施例被定义在从属权利要求中。
按照本发明的实施例,电子笔将具有指向不同应用服务处理器的位置数据的位置编码模式的不同区域与各加密密钥相关联,该关联使得电子笔可以用相关的加密密钥对属于模式特定区域的被记录位置数据进行加密。
因此,通过关联,可以保证只有保持有对应于用于加密所记录位置数据的加密密钥的加密密钥的应用服务处理器(ASH)才能利用所记录的位置数据,对于任何其它接收者,加密数据保持保密状态。
模式区域与加密密钥之间的关联可以由各ASH或其管理员提供,由此配置安全服务。每个关联可以通过笔应用许可PAL而提供给笔,该PAL存储许可数据,包括定义模式区域的区域规范以及加密密钥,其中相应的加密密钥被安装在ASH中。通过为电子笔提供PAL,ASH能够在系统中配置其中信息被安全加密的服务,而不需要在配置该服务时与任何其它中间节点或服务器交互。
另一个一般优点在于,安全服务可以在只提供电子笔单向通信、即其中笔不能被配置用于其它架构部件、诸如中间服务器或ASH的安全通信的系统架构中实现。
在一个实施例中,非对称加密被用于将数据从笔发送给ASH。因此,PAL的加密密钥可以是非对称密钥对的公开密钥,并且ASH的加密密钥可以是所述密钥对的私有密钥。
按照一个实施例,使用PAL中的PAL验证数据,其中笔相对于其验证PAL的参数,以使有权管理位置编码模式的特定部分的控制执行者能够控制如何在该系统中使用该部分或其不同的子区域。PAL验证数据可以原则上在任何时候由控制执行者提供给ASH。当ASH希望配置服务时,其可以生成包括PAL验证数据的PAL,然后PAL被提供到一个或多个电子笔。例如,定义笔标识符范围的参数—该参数可以被包括在PAL中以及在PAL的PAL验证数据中—可以被用于控制特定一组允许对位置编码模式的特定部分进行操作的电子笔。类似地,定义有效期的参数允许控制位置编码模式的特定部分可以使用多长时间。有效期可以被定义为时间段,或者可替换地可以被定义为位置编码模式的特定部分可以与该服务一起使用的最大次数。
按照再一实施例,ASH可以在任何时候将要与PAL中的区域规范关联的其加密密钥提供给上述控制执行者。该控制执行者本身可以电子笔可以信任的执行者。该信任可以由于笔具有在制造商处或在笔的初始配置时安装的对应于可信执行者的相应私有加密密钥的公开加密密钥。采用其私有加密密钥,可信执行者将对从ASH所接收的加密密钥进行签名,并返回由此产生的数字签名。
可替换地,控制执行者只是中间控制执行者,笔只能信任具有对应于笔的公开密钥的私有密钥的另一方。在这后一种情况中,中间控制执行者又需要将其公开密钥传送到其它执行者,该其他执行者可以是笔信任的一方或者可以是另一个中间控制执行者。而中间控制执行者又接收由所述另一执行者在其为可信方或中间控制执行者的能力内所数字签名的其公开密钥。中间控制执行者利用其私有密钥对从ASH所接收的加密密钥进行数字签名。然后,所得到的签名与从所述另一执行者所接收的签名一起被传送到ASH。
ASH将所有接收的数字签名都包括在PAL中,从而导致笔可以使用其存储的可信方的公开密钥来验证包括在PAL中的数字签名链,这又导致验证包括在该PAL中并与区域规范相关联的ASH的加密密钥。通过这种方式,笔可以信任任何配置新服务的ASH,只要该ASH直接或间接地受到可信方的信任。
根据再一实施例,每个数字签名可以可替换地通过对包括在PAL中和PAL验证数据部分中的许可数据进行数字签名来产生。通过验证签名的许可数据参数,笔可以根据该参数所规定的内容来保证ASH有权配置服务。同时,这种机制使可信方可以控制允许ASH按照何种方式结合服务来使用特定模式区域。
本发明的其它特征及其优点将由于下面对本发明多个示例性实施例的详细描述而变得更加明显。可以理解,本领域的技术人员通过研究在此给出的一般教导以及下面的详细描述,可以很容易做出落在由所附权利要求所定义的发明范围内的各种改变、修正和不同特征组合。
附图说明
下面参照附图描述本发明的示例性实施例,其中:
图1A示意性示出本申请人开发的系统架构,其中包括本发明的示例性实施例;
图1B示出用于图1A的系统架构的虚拟位置表面的逻辑划分的例子;
图2是描述按照参照图1所述实施例的应用服务处理器的操作的流程图;
图3-4是描述按照参照图1所述实施例的电子笔的操作的流程图。
具体实施方式
图1A示出了本申请人开发的系统架构,其中实现本发明的实施例。该架构已在背景技术部分描述,下面将进一步详细描述。
图1A中的系统包括电子笔100或用户单元,以及包括书写表面120、121以及功能区或激活图标125的多个具有位置代码(未示出)的产品110。图中只示出一个电子笔和一个产品。该系统还包括网络连接单元130和两个应用服务处理器ASH1和ASH2,分别用150和160表示。应用服务处理器150和160是由第三方控制、用于管理可以被电子笔100使用的服务的服务器。每个应用服务处理器ASH1 150和ASH2160分别包括用151和161表示的处理装置,用于控制ASH以按照本发明运行。这些处理装置典型地借助于通常被包括在作为服务器运行的计算机中的单个或多个处理器实现。
此外,该系统包括可信方-即可以被电子笔100信任的一方-的服务器140,以及有权管理位置编码模式的特定部分的控制执行者145。控制执行者145本身可以是应用服务处理器,或者可以是用于使不同应用服务处理器在系统中针对由控制执行者145所管理的位置编码模式的那部分配置其服务的服务器。
在图1A中,网络连接单元130用移动站或膝上型电脑表示。但是,单元130可替换地可以是个人数字助理(PDA)、固定桌面计算机、LAN接入点或其它一些合适的电子设备。网络连接单元130可以包括设备应用,其中电子笔可以通过其与整个系统的其它部件通信。典型地,所述系统除了多个电子笔100和产品110之外还包括多个网络连接单元130和多个应用服务处理器150、160。
通过检测产品110上的编码模式的符号,电子笔能够确定可以由编码模式编码的整个虚拟表面的一个或多个绝对坐标。应当理解,虚拟表面非常大,典型地在1-107km2的范围内。
虚拟表面被逻辑地划分为可单独寻址的单元。在图1B中给出一个例子,其中虚拟表面180或其一部分被划分为页面单元的分层结构。特别地,虚拟表面180被分为多个段190,每个段190被分为多个板(shelf)191,每个板被191分为多个卷(book)192,每个卷192被分为多个页面单元或模式页面193。电子笔能够将所确定的绝对位置与位置编码模式的某区域或部分、以及与该区域或部分内的某局部位置相关。这种区域或部分在该例子中是某模式页面,其利用以下格式标识:段.板.卷.页面(例如1.2.3.4表示段1中板2上卷3的模式页面4)。该表达定义页面地址。因此,虚拟表面的全局坐标系统194中每个确定的绝对位置都代表可以被解释为页面地址形式的虚拟表面内逻辑位置和模式页面193内局部位置的位置数据,该局部位置在局部坐标系统195中给出。
下面,页面地址格式不仅用于标识特定的模式页面,而且还用于通过利用表达1.2.3.x、1.2.x.x或1.x.x.x来标识模式页面的范围,其中x分别表示特定卷、板和段的所有模式页面。在上述US 2003/0061188中进一步描述该寻址机制,该文献通过引入被参考。应当理解,虚拟表面的其他划分和其它寻址机制也同等地可行,并且这样的划分和寻址机制也落入本发明的范围中。
当用户在产品110的表面上移动电子笔100时,电子笔通过检测表面上的符号并确定相应的绝对坐标来记录信息。典型地,信息是页面地址和相关模式页面上的一系列位置。这是利用包含在电子笔100内的传感器和各种存储器和处理电路完成的。电子笔典型地存储允许电子笔基于所记录的绝对坐标推导出相关页面地址的定义数据。该信息或位置数据可以经由网络连接单元130、并且可以经由移动通信网络170被传递到中间服务器165。
如图1A所示,中间服务器165可以是与互联网连接并适用于基于页面地址将信息路由到相关ASH的网络地址的服务器。但是,该路由功能可替换地可以被包括在由网络连接单元130执行的设备应用中,该网络连接单元包括用于将信息引导到相关ASH的网络地址的路由表。
因此,通过用户在位置编码模式的特定部分上操作电子笔,来至少部分地控制电子笔的功能。电子笔存储定义要如何解释从位置编码模式的不同部分所记录的信息的不同模板。例如,页面分层结构中的特定子集、例如段190或板191,可以与一模板相关联,因此该模板对于该特定子集内的所有模式页面193都有效。模板定义可以影响电子笔操作的任何功能区(“pidget”)的尺寸、放置(在坐标系统195中)和功能。
在模板中,未被模式页面内的pidget占据的所有位置被定义为属于画图区。在画图区中所检测到的位置被电子笔解释以被记录和存储为笔划。
当电子笔100的用户希望启动信息传输时,他可以“敲击(tick)”发送区125。然后,借助于模板,发送区125的至少一个位置的记录被电子笔100识别为与具体发送指令相关联的发送pidget内的位置。
其它pidget可以定义设备选择区,其识别将被电子笔使用的网络连接单元130,即其应该是PC、移动设备还是LAN接入点等等。此外,模板可以将多个pidget的功能组合到一个pidget中。例如,对应于发送区125的pidget可以被定义为与作为网络连接单元的移动电话相关联。
如下面将详细解释的,电子笔优选存储笔应用许可PAL,其定义模式区规格说明和公开加密密钥之间的特定关联。典型地,在某模式部分(例如段或板)内,该部分中不同区域(例如模式页面或卷)借助于几个PAL而与不同的公开加密密钥相关联。有利地,用于这种特定模式部分的模板被配置为使得其可以被动态地与多个不同PAL相关联或包括多个不同PAL,其中每个PAL定义用于该模式部分中各区域的公开加密密钥。典型地,PAL在导致PAL或由电子笔从PAL所推导出的数据被存储在笔存储器中的特定升级会话中被安装在电子笔中。此后,电子笔能够在由这样安装的PAL数据所支持的所有模式页面上执行安全服务。
在一个实施例中,电子笔100具有定义通过其记录图像的窗口或开口的笔状外壳或壳体。外壳包含照相机系统、电子系统和电源。
照相机系统包括至少一个照明光源、透镜排列和光学图像读取器(都没示出)。光源、合适的是发光二极管(LED)或激光二极管照射可以借助于红外辐射通过窗口观察的区域的一部分。被观察区域的图像借助于透镜排列被投影在图像读取器上。图像读取器可以是二维CCD或CMOS检测器,其以固定或可变的速率—典型地大约是70-100Hz-被触发以获取图像。
电子系统包括与存储装置106连接的处理装置105。处理装置负责电子笔中的不同功能,并且有利地可以通过市场上可买到的微处理器、诸如CPU(中央处理单元)、通过DSP(数字信号处理器)或通过一写其它可编程逻辑器件、诸如FPGA(现场可编程门阵列)或替换的ASIC(特定用途集成电路)、离散模拟和数字部件或者上述部件的某种组合来实现。存储装置106可以包括不同类型的存储器,诸如工作存储器(例如RAM)和程序代码和永久存储器(非易失性存储器,例如闪存)。相关软件被存储在存储装置106中,并由处理装置105执行,以便提供处理电子笔的一般操作以及处理按照本发明的笔操作的笔控制系统。存储装置106保存公开加密密钥,其中公开加密密钥在笔制造或初始配置时已经被提供给电子笔。该公开密钥对应于由系统中的执行者所拥有的私有密钥。依靠于这个具有匹配密钥的私有/公开密钥对,该执行者被电子笔认为是系统中的可信方140。
笔100的外壳还携带允许用户通过将颜料型标记墨水沉积在表面上来在表面上物理地书写或绘画的笔尖(pen point)。笔尖中的标记墨水对照射辐射是透明的,以便避免干扰电子笔中的光电检测。接触传感器可操作地与笔尖连接,以检测笔何时放在上面(下笔)和/或拿走(笔提升),并且可选地允许确定施加力。基于接触传感器的输出,控制照相机系统以获取笔下降和笔提升之间的图像。所得到的时间连贯位置序列形成笔划的电子表示。
笔的电子系统还包括由处理装置105控制的通信接口,用于向网络连接单元130输出具有信息数据的文件108。应当注意,网络连接单元不必是本地单元,而可以由远程单元、诸如网络服务器等实现。因此,通信接口可以提供用于有线或无线短程通信的部件(例如USB,RS232,无线电发射,红外线发射,超声波发射,感应耦合等)、和/或用于有线或无线远程通信的部件,典型地经由计算机、电话或卫星通信网络。
另外,笔可以包括一个或多个按钮(未示出),利用这些按钮可以激活和/或控制该笔。
典型地,电子笔100被配置为产生上述具有所有相关信息数据的文件108。这样的信息数据可以包括已从位置编码表面所读取的位置数据、以及与笔所存储的不同特性相关的数据。然后,文件被传送到网络连接单元130,用于路由到接收ASH,其中可以经由中间服务器165。将文件传送到网络连接单元130可以通过“敲击”发送区125来实现,或者在将电子笔连接到网络连接单元130时自动执行。可替换地,文件的传送可以在笔登记语音命令时或按下笔上的按钮时被执行。
电子笔例如可以被设计为借助于作为本领域技术人员公知的标准协议的OBEX推压(push)(对象交换协议)而将具有信息数据的文件推到网络连接单元130的装置应用。可替换地,电子笔可以允许装置应用将文件从笔中拉出(pull)。例如,文件可以被存储在存储装置106的文件系统中,其中文件系统可以由装置应用经由例如USB(通用串行总线)、FTP(文件传输协议)、HTTP(超文本传输协议)或其它任何合适的协议来访问。
电子笔100所输出的文件108通常至少包括页面数据部分和特征数据部分。具有包括这些部分的格式的文件已由本申请人定义,并已经被命名为“笔产生坐标文件(Pen Generated Co-ordinate file)”或PGC文件,从而使其成为本申请人的专用格式。特征数据部分包括存储在笔中的特征参数,例如笔的唯一标识、笔所使用的软件的版本、笔制造商的标识、以及各种特定于电子笔用户的信息,诸如他的姓名、发票地址、电子邮件地址等等。将文件路由到ASH可以基于页面地址。但是,文件的路由可替换地可以基于文件中特征数据的任意其它参数。例如,中间服务器165或者可替换的网络连接单元130可以包括路由表,其将笔的标识或用户的电子邮件地址翻译为某ASH的网络地址。
在2005年6月29日提交的本申请人的共同未决国际专利申请PCT/SE2005/001025中进一步描述PGC文件格式以及笔的用于产生和暴露(expose)该文件的控制软件和电路,该专利申请通过引用被合并于此。
考虑文件108中信息数据的安全传送,笔从中记录位置数据的位置编码模式的特定区域与特定的公共加密密钥相关联。模式的不同区域和不同公开密钥之间的关联可以由相应ASH 150、160或其管理员提供,从而配置安全服务。每个关联通过笔应用许可PAL被提供给笔,其中PAL存储定义模式区域和公开密钥的模式区域规范,相应的私有密钥被安装在ASH中。这些密钥可以被用于根据任何已知的公开密钥算法的加密/解密,诸如Diffie-Hellman(DH)算法或Rivest-Shamir-Adleman(RSA)算法。
在介绍根据本发明的实施例的ASH和电子笔的示例操作之前,介绍和简要描述定义PAL格式的数据结构。
PAL的一般结构如下所示:
PAL验证数据字段包括从控制模式相关部分的执行者所接收的数据。该控制执行者或授权器有权控制该执行者模式部分的PAL的产生。举例而言,生成用于包括在执行者模式部分中的模式区域的PAL的ASH在PAL的该字段中包括提供由控制执行者所确定的许可界限(license boundary)的数据,诸如模式区域规范、笔标识符的范围、有效期等。PAL验证数据字段的参数对应于包含在PAL的许可数据字段中的参数。而且,PAL验证数据包括控制执行者的非对称密钥对的公开密钥、以及从控制执行者所接收的数字签名,如下面将进一步描述的那样。
控制执行者提供给ASH的PAL验证数据具有与上述PAL结构相同的字段,即其又包括字段:公开密钥、许可数据和签名,以及如果存在上级控制执行者,则还包括从上级控制执行者所接收的其它PAL验证数据。该上级控制执行者有权至少控制上述执行者模式部分,并且可以允许下级控制执行者、即上面讨论的控制执行者还控制该部分。可替换地,如果上面讨论的控制执行者是已从笔所信任的一方获得控制执行者模式部分的权利的第一执行者,或者如果该控制执行者是可信方本身,则PAL验证数据不包括其它PAL验证数据,但该字段具有“空”值。
因此,可以存在用于某模式区域的控制执行者的分层结构,例如通过每个执行者控制上述页面分层结构中各级别上的相关模式部分。通过控制执行者的分层结构,PAL的PAL验证数据字段可以包括PAL验证数据链,其中链中的每个链路涉及分层结构中的相应控制执行者。例如,PAL验证数据的每个链路可以定义相应控制执行者的许可界限和公开密钥、以及从分层结构中各上级控制执行者所接收的数字签名。
现在回到PAL结构,PAL的公开密钥字段包括由ASH所产生或存储在ASH处的私有/公开加密密钥对的公开密钥。该ASH公开密钥隐含地与许可数据字段中模式区域规范参数相关联。该区域规范定义允许电子笔在使用安全服务时在其中记录位置数据的模式区域。通过一个或多个页面地址或页面地址范围定义模式区域。许可数据字段可以包括多个其它许可界限参数,诸如有效期(例如从一个日期到另一日期)和笔标识符的范围。
PAL的签名字段包括ASH公开密钥的数字签名,并且可能还包括PAL的许可数据的数字签名。该签名由控制执行者利用它的非对称加密密钥对的私有密钥产生。
如上所述,PAL验证数据字段又包括与PAL结构相同的字段。但是,其公开密钥不被笔用于加密任何记录的位置数据,而被用于验证PAL的数字签名。下面将进一步介绍在验证PAL时笔对PAL验证数据的使用。
在上述一种变形中,相关ASH的明确目的地地址也被包括在PAL中,并因此隐含地与其中的区域规范相关联。目的地地址可以作为网络地址给出,诸如URL(统一资源定位符)、电子邮件地址、IP(互联网协议)地址等。通过在PAL中包含这种地址,可以简化系统架构中的路由。在一个示例中,笔可以将PGC文件108直接推送到相关ASH。在另一例子中,笔可以在文件108中包含明确的目的地地址,以允许中间服务器165或网络连接单元130直接操作该地址以将文件路由到相关ASH。由此减少对在系统中维持路由表的需要。
参照图2,下面描述包括在图1A的系统中的ASH的示例操作,该操作涉及安全服务在系统中的配置。
下面将操作描述为由ASH执行。但是,应当理解,一些行为可以由ASH的管理员利用合适的编程工具执行,以作为具有自动执行这些行为的ASH的替换。
希望立即或在将来某个时间配置服务的ASH、例如ASH1 150生成私有/公开加密密钥对并存储私有密钥(步骤200)。ASH1 150然后将公开密钥传送到控制执行者、例如执行者145,其中ASH1知道该执行者有权进行控制并有权为覆盖ASH1希望将其与其服务相关联的模式区域的位置编码模式部分发出笔应用许可(步骤210)。控制执行者具有自己的私有/公开加密密钥对。利用其私有密钥,控制执行者145对从ASH1所接收的公开密钥进行数字签名,并将签名后的密钥返回到ASH1(步骤220)。接着,ASH1从控制执行者获得PAL验证数据(步骤230)。在控制执行者145不是笔信任的一方时,PAL验证数据将包括控制执行者145的公开密钥的数字签名,这是由可信方140利用对应于事先存储在电子笔中的公开密钥的私有密钥来产生的。可替换地,PAL验证数据包括这种数字签名的链,其从可信方140所产生的数字签名开始,包括中间控制执行者(未示出)的数字签名的公开密钥,并以另一个中间控制执行者(未示出)所产生的数字签名结束,包括控制执行者145的数字签名的公开加密密钥。ASH1 150现在能够在任何时候生成PAL,包括由控制执行者145数字签名的公开密钥,并且如果需要则还包括具有数字签名链的PAL验证数据。该PAL然后可以被提供给电子笔并由该电子笔验证。
现在假定ASH1希望配置新的安全服务。ASH1选择用于该服务的模板,并按照一个或多个页面地址的形式定义与该服务一起使用的模式区域规范,例如覆盖被打印在产品110表面上的模式区域120的页面地址。区域规范通过按照具有上述PAL格式的数据结构存储区域规范和公开密钥,而与ASH1的私有/公开加密密钥对的公开密钥相关联(步骤240)。接着,除区域规范之外的许可参数、并且可能还有所谓的cookie可以被存储在PAL中(步骤250)。这样的许可参数的例子已在上面讨论。许可参数的值或范围不能超过PAL验证数据中相应参数的值或范围。如果超过,则电子笔以后就不能在安装PAL期间验证PAL。典型地,cookie可以定义要与从由模式区域规范所定义的位置编码模式所记录的位置数据一起发送的信息。这样的信息可以包括存储在笔中的上述特征参数中的一个或多个。
ASH1 150然后将PAL验证数据存储在PAL中(步骤260)。即使没有在图2的流程图中示出,ASH1也可以将存储在PAL中的许可数据参数传送到控制执行者145,从而执行者可以用其私有密钥签名这些参数,并将所得到的数字签名返回给ASH1。可以理解,该操作可以使得该数字签名是控制执行者145同时既对公开密钥又对PAL的许可数据参数进行签名的结果。接着,ASH1存储控制执行者145所生成的并被传送到ASH1的数字签名(步骤270)。PAL现在被完成,并可以作为文件提供给电子笔100使用(步骤280)。
下面参照图3和图4描述包括在图1A系统中的电子笔100的示例操作。
希望使用由ASH、诸如ASH1 150所提供的特定服务的笔、诸如电子笔100的用户启动相应笔应用许可PAL的安装。这例如通过以下方式实现:使用网络连接单元130浏览不同服务并选择对应的PAL以通过点击浏览器窗口中的链接来下载,然后网络连接单元130将PAL传送到电子笔100以存储在存储装置106中。将PAL文件下载到笔中的其他方式对本领域技术人员是公知的。在接收到PAL后,电子笔安装并验证笔中的PAL(步骤300)。
在已经将特定服务的PAL安装到笔中之后,笔可以开始使用该服务。典型地,服务的使用从笔记录来自产品100上模式区域的位置数据开始,其中该模式区域是打算与该服务一起使用的(步骤310)。在从表面记录了位置数据之后,用户可以敲击发送区125以启动将所记录信息传送到提供服务的ASH,例如ASH1 150。如上所述,区域120的记录的位置数据或坐标将标识特定页面地址。然后,借助于所包括的处理装置105,笔通过PAL中的模式区域规范而为与页面地址相关联的PAL检查其存储的PAL(步骤320)。
然后,处理装置105从这样识别的PAL中推导公开密钥,并使用该公开密钥来加密要被传送到ASH1的信息数据(步骤330)。这种加密可以通过多种方式完成。按照一个实施例,为了使计算复杂度最小化,笔生成并使用随机会话密钥,诸如用于加密信息数据的对称密钥。然后,利用PAL的公开密钥加密该随机会话密钥。通过这种方式,ASH1随后能够使用其安装的私有密钥来解密加密的会话密钥,并且然后使用解密后的会话密钥来解密加密的信息数据。
然后,用公开密钥所加密的信息数据被存储在笔产生坐标文件、PGC文件中以路由到ASH1(步骤340),该文件上面已经描述过。路由通过中间服务器165或者网络连接单元130完成,如上所述。为了实现路由,位置数据的页面地址可以不加密地被存储在PGC文件中,由此支持基于页面地址的路由。但是,本领域技术人员可以理解,路由可以基于可以被不加密地存储在PGC文件中的多个替换参数来执行,例诸如从笔所检索出的笔特征参数之一,例如唯一笔标识符或笔用户的电子邮件地址。另外,可以基于从PAL所推导出并被存储在PCG文件中的明确目的地地址来执行路由。
典型地,电子笔可以安装另一第二PAL,以便能使用由ASH2 160所提供的对于位置编码模式的其它区域、诸如图1A中用附图标记121所表示的模式区域的服务。第二PAL的安装以及ASH2所提供的服务的使用与上面针对ASH1所描述的一样。电子笔可以安装多个其他PAL以与对于多个模式区域的多个服务结合使用。
参照图4的流程图,下面进一步描述图3中涉及PAL的安装和验证的步骤300。
PAL的安装和验证(步骤400)通过笔从PAL中提取PAL验证数据(步骤410)而开始。然后,笔将PAL的每个许可数据参数与PAL验证数据的对应参数相比较(步骤420),并且检查每个许可数据参数是否不超过PAL验证数据的对应参数的界限(即其是子集)(步骤430)。如果任何许可数据参数超过该界限,则笔放弃PAL的安装(步骤470)。如果不超过,则安装继续。在此,笔可能还需要验证其笔标识符是否落入由PAL的许可数据所设置的笔标识符范围内,和/或笔中时间电路所给出的当前时间是否落入由PAL的许可数据所设置的有效期内。
继续安装中的下个步骤涉及从PAL中提取公开密钥的数字签名(步骤440)。通过在具有公开密钥的数字签名的PAL验证数据链上迭代并且在该链的每个链路中验证公开密钥,来验证PAL的该公开密钥(步骤450)。迭代从利用事先存储在笔中的可信方的公开密钥验证最上端PAL验证数据的已经被笔信任的一方数字签名的公开密钥开始。然后,这样验证的公开密钥被用于验证PAL验证数据链中数字签名的下一个公开密钥,直到PAL的公开密钥本身可以被验证为止。每个这种验证步骤可以基于解密和计算校验和来执行,如本领域技术人员公知的那样。如果链中的公开密钥不能被验证(步骤460),则放弃安装(步骤470)。
可替换地,步骤450中的迭代可以包括对于链中每个链路并从最顶端链路开始检查PAL验证数据的许可数据字段中每个参数是否是前一链路的PAL验证数据中相应参数的子集,其中该验证数据被包含在当前链路的PAL验证数据中。而且,每个链路的这种许可数据参数可以与公开密钥一起被加密,其中每个链路中参数的验证还包括解密参数并将其与明文中的参数比较。如果链路中的任何参数没有通过验证,则放弃安装。为了能通过这种方式验证最顶端的链路,迭代从设置参数“模式区域规范”=“整个模式”、“笔标识符的范围”=“所有笔”、“有效期”=“永远”开始。
可替换地,上述验证可以在外部应用中执行,例如在与笔连接的下载站中执行,该下载站根据上述方法接收和验证每个PAL。在成功验证之后,外部应用可以向笔提供所有或选定的PAL数据。
最后,参照图1A讨论进一步描述本发明示例性实施例的一个简单例子。
假定控制执行者145已经同意可信方140在10年期间、例如从2005年1月1日至2014年12月31日控制位置编码模式的一个完整段的使用,例如段17。利用上述表达,所涉及的段可以被标识为17.*.*.*,由此利用通配符“*”表示该段的所有板、这些板的所有卷、以及所有卷的所有模式页面。还假定控制执行者145在其它方面应当完全控制段17,即除了这10年有效期之外,对其使用应当没有任何限制。为了从可信方140获得PAL验证数据,控制执行者145向可信方传送其非对称密钥对的公开密钥。此外,控制执行者可以传送一组许可数据参数。响应于此,控制执行者145将利用与预先存储在系统中所有笔100中的公开密钥相对应的私有密钥来接收可信方140所产生的数字签名。可信方利用其私有密钥产生签名,以对控制执行者的公开密钥以及可能还对控制执行者的许可数据进行签名。控制执行者145然后组合一组具有上述字段的PAL验证数据,并且所得到的PAL验证数据如下所示:
在该例子中,许可数据包括附加参数“安全级别”、“独立”和“子许可”。“安全级别”参数为随后产生的PAL的安全性设置界限,即允许从结合使用服务的笔所传送的数据不加密以及加密。“独立”参数指示是否可以生成PAL,而不包括公开密钥的数字签名和PAL的许可数据,假定PAL验证数据被包括在所生成的PAL中。该选项允许ASH在不与控制执行者交互的情况下生成PAL,从而以降低安全性为代价简化配置。最后,“子许可”参数指示控制执行者是否可以允许另一执行者或ASH生成相关许可界限内的PAL验证数据。
现在,控制执行者145可以将PAL验证数据分发到可能的服务配置者,即可能的ASH。
现在假定ASH1先前已经接收了上述PAL验证数据,并且现在希望生成用于要与段17相关联的服务的PAL。ASH1然后可以在任何时候生成具有不超过PAL验证数据的界限的许可数据参数的PAL。如果PAL包括超过这些界限的参数,则电子笔中PAL的验证失败。ASH1所产生的PAL的字段可以具有以下数据:
可以看到,由于“独立”参数的值为“是”,因此ASH1不需要包括PAL中许可数据和其公开密钥的数字签名。这使得ASH1可以随时生成PAL,而无需与控制执行者145或可信方140交互。
在验证笔中的上述PAL后,笔使用其预先存储的公开密钥验证PAL验证数据的数字签名,从PAL验证数据中检索许可数据,然后检查PAL的许可数据的每个参数是否不超过PAL验证数据中相应许可数据参数的界限。在验证之后,笔使用PAL的公开密钥来对从段17所记录的所有输出位置数据加密。
应当注意,上面对本发明不同实施例的详细描述只是通过举例方式给出,因此它们不是要限制在所附权利要求中所定义的发明范围。此外,应当理解,本领域的技术人员通过研究权利要求和详细描述就可以很容易做出落在所附权利要求范围中的各种改变和修正。
例如,应当理解,本发明的原则是可应用的,而不管系统架构中笔的通信方法如何。例如,代替输出文件,笔可以实时地将所记录的数据输出到系统架构。笔还可以能够利用双向协议与架构部件通信。
此外,上述非对称加密技术(公开密钥算法)可以被替换为对称加密技术,例如基于DES、RSA或IDEA算法。例如,笔和ASH可以经由安装在笔中的PAL来共享对称加密密钥。类似地,包括在PAL中的一个或多个数字签名可以基于对称加密。
应当理解,PAL可以具有任何合适的格式。PAL可以包含由用于验证PAL和存储相关PAL数据的笔控制系统执行、或者由与笔连接的下载站中的外部应用执行的目标代码或脚本,其验证PAL并向笔控制系统或直接向笔存储器提供相关的PAL数据。可替换地或附加地,PAL可以包含信息共享格式的数据,其可以加有标记或没有标记、字符编码或未字符编码(例如二进制),以便通过外部应用和/或笔控制系统进行类似处理。
在上述实施例中,位置编码模式的划分是动态的,因为模式只对利用存储在笔存储器中的定义数据被转换为逻辑位置的绝对位置编码。在一个替换实施例中,通过在模式中编码,模式的划分可以是静态的。例如,US6330976公开了一种编码模式,其中编码单元(coding cell)平铺在产品表面上,每个单元既对局部位置又对页面标识符编码。因此,笔能够直接从编码在模式中的数据推断出其逻辑位置。
上述实施例可以包括提供不同优点的特征,而不必与加密密钥在系统架构中的分布相结合。这些特征包括但不限于所公开的以下概念:通过将许可文件的参数与界限数据的对应参数相匹配而基于控制执行者所设置的界限数据验证许可文件;在许可文件中包括可信方的数字签名以允许笔验证许可文件;使用数字签名链来验证许可文件,其中链代表控制执行者的分层结构;和利用控制执行者所提供的验证数据来授权生成许可文件。
机译: 电子笔输入系统,接收设备,电子笔,主机设备,接收方法,电子笔输入方法,电子笔位置获取方法和信息存储介质
机译: 用于安全管理来自电子笔的信息的方法和系统
机译: 用于安全管理来自电子笔的信息的方法和系统
