本发明涉及通信技术领域,尤其涉及一种设备认证方法。
背景技术:
数码扫描笔是一种新型输入设备,可完全按照自然的习惯在印有位置编码图像的纸上书写,书写时在纸面上可以留下书写笔迹,也可以采用无水的塑料笔芯。通过数码扫描笔的光学系统和数据处理模块实现位置编码图像的采集,通过上传到应用服务器进行位置编码图像数据的处理。
在实际应用中,不同的数码扫描笔可能具有不同的扫描权限,因而如何对数码扫描笔进行认证管理,以保证其在使用中能够具有相应的权限,是保证数据安全和有效性的基础。
技术实现要素:
本发明的目的是提供一种设备认证方法,解耦了数码笔设备和业务处理设备的直接绑定,能够提高数码笔设备与业务处理设备进行数据交互的安全性、便捷性,简化操作过程,提高兼容性和数据处理效率,并提升用户体验。
为实现上述目的,本发明实施例提供了一种设备认证方法,所述方法包括:
数码笔设备获取基底的位置编码图像,生成位置编码数据;所述位置编码数据中包括所述数码笔设备的第一数字签名;
所述数码笔设备获取所述数码笔设备的设备标识符,并对所述位置编码数据进行加密处理,将加密的位置编码数据和设备标识符发送给网络接口设备;
所述网络接口设备将所述加密的位置编码数据和设备标识符发送给查询服务器;
所述查询服务器对所述加密的位置编码数据进行解析,得到所述第一数字签名,并根据所述数字签名在所述查询服务器的数字签名库中查询是否具有所述第一数字签名;
当具有时,所述查询服务器生成认证收据和第二数字签名,所述认证收据具有时间戳;
所述查询服务器根据解析得到的位置编码数据确定对应的第一业务处理单元的信息;
所述查询服务器将所述第一业务处理单元的信息通过所述网络接口设备发送给所述数码笔设备,用以所述数码笔设备根据所述第一业务处理单元的信息将所述加密的位置编码数据发送给所述第一业务处理单元;并且
所述查询服务器将所述第二数字签名发送给所述第一业务处理单元,使得所述第一业务处理单元对所述第二数字签名进行存储,用以所述第一业务处理单元根据所述第二数字签名对所述位置编码数据中的第一数字签名进行验证。
优选的,所述方法还包括:
当所述查询服务器的数字签名库中不具有所述第一数字签名时,在所述查询服务器的数字签名库中添加所述第一数字签名。
优选的,在所述加密处理之前,所述方法还包括:
所述数码笔设备生成对称密钥;
建立并记录所述对称密钥与所述设备标识符的关联信息;
将所述对称密钥和所述设备标识符通过所述网络接口设备发送给所述查询服务器;
所述查询服务器对接收到的所述对称密钥以及所述对称密钥与所述设备标识符的关联关系进行记录和存储。
进一步优选的,所述对所述位置编码数据进行加密处理具体为:
根据所述对称密钥对所述位置编码数据进行加密。
进一步优选的,所述查询服务器对所述加密的位置编码数据进行解析具体为:
根据所述查询服务器中的对称密钥对所述加密的位置编码数据进行解密处理;
对解密处理后的位置编码数据进行数据解析。
优选的,在所述查询服务器根据解析得到的位置编码数据确定对应的第一业务处理单元的信息之后,所述方法还包括:
所述查询服务器根据所述第一业务处理单元的信息生成第三数字签名;
所述查询服务器将所述第三数字签名发送给所述数码笔设备,用以所述数码笔设备根据所述第三数字签名对所述第一业务处理单元进行验证。
优选的,所述方法还包括:向所述时间戳添加生命周期。
本发明实施例提供的设备认证方法,解耦了数码笔设备和业务处理设备的直接绑定,能够提高数码笔设备与业务处理设备进行数据交互的安全性、便捷性,简化操作过程,提高兼容性和数据处理效率,并提升用户体验。
附图说明
图1为本发明实施例提供的设备认证系统的示意图;
图2为本发明实施例提供的设备认证方法的方法流程图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
为了更好的理解本发明实施例提出的设备认证方法,首先对运行该方法的系统架构进行说明。
如图1所示,该系统包括:基底1、数码笔设备2、网络接口设备3、查询服务器4和多个业务处理单元5(具体包括业务处理单元51、业务处理单元52、业务处理单元53)。
基底1的表面具有编码图像,基底1具体可以为编码纸,也可以是电子显示设备等装置。编码图案至少占据基底1表面的一部分,通过数码笔设备2光学可读。
网络接口设备3是数码笔设备2接入网络的端口设备,比如可以是路由器。
查询服务器4对数码笔设备2和业务处理单元5之间的匹配规则进行记录,并遵循匹配规则为数码笔设备2分配对应的业务处理单元5,通过业务处理单元5对所接收到的位置编码数据进行处理。
在系统中,业务处理单元可以为应用服务器,业务处理单元5为多个,在图中示出为3个,不同的业务处理单元在所执行的处理功能或流程上可以有所不同,比如可以是对应不同类型的数码笔设备2或者不同软件版本的数码笔设备2,或者也可以是对应于设定不同用户类型的数码笔设备2等等。
上面已经简要介绍了应用本发明设备认证方法的系统架构,下面结合图2对本发明提供的设备认证方法进行说明。
图2为本发明实施例提供的设备认证方法的方法流程图,结合图2所示,本发明提供的设备认证方法主要包括如下步骤:
步骤210,数码笔设备获取基底的位置编码图像,生成位置编码数据;
其中,位置编码数据中包括数码笔设备的第一数字签名。第一数字签名是预设在数码笔设备中的,每个数码笔设备具有一个第一数字签名,且每个数码笔设备的第一数字签名不同。具体的,可以是在数码笔设备出厂前预设的,也可以是使用数码笔设备的用户在使用之前,预设在数码笔设备中的。
位置编码图像的获取,并不是一次获取基底上的全部编码图案,而是根据数码笔设备的光学视野范围内获取相应部分的位置编码图像。具体的,位置编码图像内具有多个用于确定位置信息的标记符号,不同基底的标记符号可以不同,比如可以通过三角形、圆形或正方形等表示标记符号。
步骤220,数码笔设备获取数码笔设备的设备标识符,并对位置编码数据进行加密处理,将加密的位置编码数据和设备标识符发送给网络接口设备;
其中,设备标示符是用于标识数码笔设备的,设备标示符是在数码笔设备出厂前设置的,并储存在数码笔设备中;设备标识符可以包括数字、字母或符号中的一种或多种。每个数码笔设备具有唯一的设备标识符,且每个数码笔设备的设备标识符各不相同。
网络接口设备是数码笔设备接入网络的端口设备,比如可以是路由器。数码笔设备与网络接口设备之间可以是无线连接,也可以是有线连接。
加密的位置编码数据和设备标识符的发送,可以是在加密处理之后自动触发的,也可以是用户在数码笔设备上触发的。
在优选的实施例中,为了保证位置编码数据的安全性,采用对称秘钥对位置编码数据进行加密。具体的,在加密处理之前,数码笔设备生成对称密钥;建立并记录对称密钥与设备标识符的关联信息;将对称密钥和设备标识符通过网络接口设备发送给查询服务器;查询服务器对接收到的对称密钥以及对称密钥与设备标识符的关联关系进行记录和存储。
进一步的,查询服务器将对称密钥以及对称密钥与设备标识符的关联关系储存在秘钥管理库中,在查询服务器的秘钥管理库储存中储存所有的称密钥与设备标识符的关联关系。
步骤230,网络接口设备将加密的位置编码数据和设备标识符发送给查询服务器;
具体的,网络接口设备具有接口标识码;网络接口设备在发送加密的位置编码数据和设备标识符的同时,建立了接口标识码和设备标识符的关联关系,并将关联关系发送给查询服务器,查询服务器对关联关系进行储存,这样服务器在向数码笔设备返回信息时,就能找到与数码笔设备相关联的网络接口设备。
其中,一个网络接口设备可以同时关联多个数码笔设备,一个接口标识码与多个设备标示符可以同时建立关联关系。
步骤240,查询服务器对加密的位置编码数据进行解析,得到第一数字签名,并根据数字签名在查询服务器的数字签名库中查询是否具有第一数字签名;
其中,在查询服务器的数字签名库中记录注册过的所有数码笔设备的第一数字签名。
具体的,查询服务器根据设备标识符在秘钥管理库中查询相对应的对称密钥,再根据对称秘钥对加密的位置编码数据进行解密处理;对解密处理后的位置编码数据进行数据解析,从而得到位置编码数据中的第一数字签名;再在查询服务器的数字签名库中查找是否具有第一数字签名。
当具有时,执行步骤250,查询服务器生成认证收据和第二数字签名;
具体的,该认证数据是基于第一数字签名生成的,第二数字签名与认证数据是相关联的。认证收据具有时间戳,查询服务器可以对时间戳添加生命周期,时间戳的生命周期可以是根据位置编码数据进行设定的,时间戳的生命周期说明认证收据是在一段时间阈值内具有时效性,当超出时间阈值,认证收据就会无效,与此同时,第二数字签名也无效,从而保证位置编码数据在传输过程中的安全性。
查询服务器在生成认证收据和第二数字签名后,对认证收据和第二数字签名进行储存。
在步骤240之后,当数字签名库不具有第一数字签名时,执行步骤280在查询服务器的数字签名库中添加第一数字签名。
步骤260,查询服务器根据解析得到的位置编码数据确定对应的第一业务处理单元的信息;
其中,第一业务处理单元的信息是指与解析得到的位置编码相对应的业务处理单元的信息。
在系统中业务处理单元为多个,业务处理单元可以是应用服务器,不同的业务处理单元在所执行的处理功能或流程上可以有所不同,比如可以是对应不同类型的数码笔设备或者不同软件版本的数码笔设备,或者也可以是对应于设定不同用户类型的数码笔设备等等。
在一个具体的例子中,查询服务器可以根据解析得到的位置编码数据中的标记符号的形状,确定与基底相匹配的业务处理单元。比如,标记符号为三角形、正方形、圆形,能识别和处理三角形标记符号是第一软件版本的数码笔设备,与第一软件版本的数码笔设备相匹配的是第一业务处理单元的信息;能识别和处理正方形标记符号是第二软件版本的数码笔设备,与第二软件版本的数码笔设备相匹配的是第二业务处理单元的信息;能识别和处理圆形标记符号是第三软件版本的数码笔设备,与第三软件版本的数码笔设备相匹配的是第三业务处理单元的信息。
在另一个具体的例子中,基底上可以根据不同功能分成不同的功能区域,每个区域对应的位置编码图像不同,生成的位置编码数据也是不同的;处理不同位置编码数据的业务处理单元也是不同的。因此,数码笔设备需要将位置编码数据传输到相对应的业务处理单元进行处理;查询服务器根据解析得到的位置编码数据确定相对应的业务处理单元的信息。
步骤270,查询服务器将第一业务处理单元的信息通过网络接口设备发送给数码笔设备;并且查询服务器将第二数字签名发送给第一业务处理单元,使得第一业务处理单元对第二数字签名进行存储;
具体的,查询服务器根据数码笔设备的设备标识符,查询相关联的网络接口设备的接口标识码,根据接口标识码将第一业务处理单元的信息传输给网络接口设备,网络接口设备再根据设备标识符将第一业务处理单元的信息发送至数码笔设备,数码笔设备根据第一业务处理单元的信息将加密的位置编码数据发送给第一业务处理单元。
并且,查询服务器将生成的第二数字签名发送给第一业务处理单元,第一业务处理单元对接收到的第二数字签名进行储存,第一业务处理单元根据第二数字签名对位置编码数据中的第一数字签名进行验证,验证成功时才能进行数据的处理,从而使第一业务处理单元具有处理所对应的数码笔设备的位置编码数据权限。
在优选的实施例中,数码笔设备和应用服务器之间的权限认证还可以双向的,具体的,在步骤260之后,查询服务器根据第一业务处理单元的信息生成第三数字签名;查询服务器将第三数字签名发送给数码笔设备,数码笔设备根据第三数字签名对第一业务处理单元进行验证。
其中,第三数字签名基于第一业务处理单元生成的,数码笔设备将接收到的第三数字签名进行储存,一个数码笔可以根据需要储存一个或多个第三数字签名,第三数字签名向对应的应用服务器,才有权限向储存第三数字签名的数码笔设备发送数据;当应用服务器通过网络接口设备向数码笔设备发送数据时,必须通过第三数字签名的验证,数码笔设备才能接收应用服务器发送的数据。
本发明实施例提供的一种设备认证方法,解耦了数码笔设备和业务处理设备的直接绑定,能够提高数码笔设备与业务处理设备进行数据交互的安全性、便捷性,简化操作过程,提高兼容性和数据处理效率,并提升用户体验。
专业人员应该还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。