用于文档认证的方法和令牌与流程

用于文档认证的方法和令牌
1.本发明涉及一种用于确证文档的方法，一种用于验证具有可视化标签的文档的方法，以及一种用于在物理文档上打印可视化标签的令牌。
2.伪造和仿冒物理文档(即主要是纸质文档)是一种普遍存在的犯罪，其对社会构成了持续威胁。它对各种各样的企业和机构造成损害。它造成了公民和政府机构之间的不信任。它损害了对法治的信任，并且对许多国家的健康经济发展产生了负面影响。
3.数码照片和打印设备领域的进步以及最先进的图像处理软件使犯罪分子更容易伪造文档，不仅是零星地伪造文档，有时甚至是更大规模地伪造文档。
4.用于文档认证目的的一些最常见类型的物理标记包括：使用手写签名、封印或戳标记，以及最近使用全息贴纸、特殊的不可见且不可擦除的墨水，以及甚至使用合成dna。所有这些不同类型的标记的目的是证明其所应用的文档的作者身份。
5.目前用于上述物理认证的验证过程很繁琐，因为它们通常涉及法医学和方法学，因此必须将疑似篡改的文档提交给实验室。随后，需要较长的交付时间才能弄清楚文档是否真实。
6.最近，基于数字的文档认证方法已经有了很大的发展。强大的加密算法、结合公用密钥和私人密钥的数字签名使在线文档事务成为可能，原则上比其物理事务更不易被伪造。
7.大多数现有技术基于二维矩阵码的使用，而与应用它们的上下文无关，并且仅基于第一次使用，在其中仅验证了该码本身的真实性。
8.us 8 037 310 b2公开了一种以集成统一的方式将数字认证方法学和物理(或视觉)认证方法学相结合的方法。除了提供数字认证的标记之外，该发明的系统还产生可以通过无帮助的人类视觉感知来验证的物理伪像。因此，该发明主张提供了提高文档认证中的信任级别的机会，同时保留了传统认证机制和数字认证机制的优点。该发明的限制是：需要至少一个辅助文档以及缺少令牌机制和系统来验证执行认证方法的人对原始文档的签名权限。该发明的另一个限制是：不能在不需要将其打印为物理文档的情况下验证完全电子文档或文档批次。
9.因此，需要一种快速、简单、负担得起且可靠的稳健的认证(和确证)方法和相应的验证方法。
10.us 2011/133887 a1公开了一种用于认证打印文档的方法。该认证是基于将文档与其电子副本进行比较。电子副本是使用嵌入在文档自身上所打印的条形码标签中的文档管理信息来获得的。文档管理信息可以包括文档id，并且可以被编码在二维条形码中。文档管理信息不包含与用于创建条形码的设备的身份相关的信息。没有技术措施来支持将条形码跟踪至其创建者。
11.us 10 110 385 b1公开了一种为物理文档提供签名方案的方法和系统。寻求验证签名文档的用户可以使用身份验证令牌来扫描包含来自该文档的文档标识的快速响应(qr)码。利用文档标识，他们可以从身份注册服务器检索文档的电子副本并对所显示的文档进行比较。
12.wo 2016/113694 a1公开了一种在文档上打印url的方案，该url提供对原始文档的副本的访问以进行验证。
13.us 2015/052615 a1公开了作为标签添加到文档的qr码，其包括用于检索文档副本的标识。
14.本发明的目的是，在被确证的文档和用于确证的特定可信物理令牌之间创建可验证的关联。
15.本发明提出了在开头所述的一种类型的方法，该方法包括：
16.使得注册令牌具有令牌身份，其中，令牌能够打印可视化标签，
17.至少基于令牌身份和时间戳来获得文档标识，
18.将文档标识编码成可视化标签，
19.将可视化标签应用于文档，
20.获得带有或不带有可视化标签的文档的副本，
21.与文档标识相关联地存储副本。
22.任选地，该方法可以包括：在存储副本之前，
23.使用令牌打印可视化标签，以及
24.检索并验证打印的可视化标签。
25.如果文档是物理文档，则可视化标签可以被打印在文档上，或者，如果文档是电子文档，则可视化标签可以被打印在任何(物理)基材上。
26.在一个实施方式中，该方法可以包括：在存储之前，对副本进行加密和/或加扰。存储的副本不是明文副本，而是文档的副本的加密和/或加扰版本。在这种情况下，加扰是指对数据执行的可逆(例如，确定性的)操作。例如，具有预定义的常数种子的随机数发生器可以用于加扰。
27.在此上下文中，本方法还可以包括：使用与令牌身份相关联的加密密钥来加密副本。在这种情况下，与文档标识相关联地存储的文档的副本是加密副本。为了访问文档的内容，加密副本需要用解密密钥来加密，解密密钥可以是与加密密钥相同的密钥或密码关联的解密密钥(例如，与用作加密密钥的公用密钥相对应的私人密钥)。
28.例如，用于确证文档的方法的任选实施方式可以包括：
29.使得注册令牌具有令牌身份，其中，令牌能够打印可视化标签，
30.至少基于令牌身份和时间戳来获得文档标识，
31.获取文档密钥，
32.将文档标识和文档密钥编码成可视化标签，
33.将可视化标签应用于文档，
34.获得带有或不带有可视化标签的文档的副本，
35.对副本进行加密，使得能够使用文档密钥对其进行解密，
36.与文档标识相关联地存储加密的副本。
37.进一步任选地，令牌可以与启用互联网的主机设备配对，主机设备允许以下中的一项或多项：
38.通过授权用户的生物识别、密码识别和/或个人身份识别码识别来安全登录到令牌，
39.向文档存储数据库发送文档标识，
40.从数据库中检索可视化标签，
41.向令牌发送可视化标签，
42.获取文档的图像或图像序列，
43.向文档存储数据库发送加密的和/或加扰的图像，
44.从文档存储数据库接收确认消息。
45.主机设备通常可以用作令牌的网关以获得对文档存储数据库的访问。文档存储数据库不限于单个数据库实例或位置，并且通常可以由文档存储服务提供。
46.在另一个实施方式中，文档可以是物理文档，并且获得文档的副本可以包括：在将可视化标签应用于文档之前或之后获取物理文档的图像。获取的物理文档的图像可以是数字图像；在这种情况下，副本与该图像的图像数据相对应。如果仅在将可视化标签应用于文档之后记录图像，则副本将包含可视化标签的表示，其可能包括编码在可视化标签中的任何信息；否则，副本中不需要出现这样的表示和其中被编码的信息。
47.将可视化标签应用于文档任选地包括：使用令牌在物理文档上打印可视化标签。令牌可以是打印设备，例如在目标介质上手动移动的手动打印机。
48.如果文档是电子文档，将可视化标签应用于文档任选地包括：修改电子文档以包括可视化标签。换句话说，修改文档的电子表示，使得例如当在屏幕上查看电子文档时，可视化标签被显示为电子文档的一部分或电子文档的附件或注释。
49.根据进一步的实施方式，与文档标识相关联地存储副本可以包括：将副本与文档标识一起传输到文档存储服务，其中，文档存储服务存储传输的副本以及与文档标识的关联。文档存储服务可以是集中托管服务。它可以由可信的第三方提供，例如物理令牌的供应商。文档存储服务还可以是分发式服务。被传输到文档存储服务的文档副本的实际数据存储可以由单独的存储系统提供，例如来自另一个第三方。在这种情况下，一方面的文档内容以及该内容(以传输的副本的形式)与文档标识之间的关联或链接可以由不同的系统存储，并且可能存储在不同的位置。文档存储服务可以在接受文档副本的传输之前要求认证。
50.文档存储服务可以包括块数据库，并且，存储传输的副本可以包括：创建块，块至少包含与前一个块的密码链接、文档标识的时间戳和传输的副本的密码散列。通常，数据库可以是记录列表，其中，列表中的每个项目被称为“块”。随后的块被密码链接。例如，每个块可以包含前一个块的密码散列。由于从块到块的这种链接，这样的数据库也被称为“块链”。通常，传输副本本身将不会是块的一部分，但是它可以经由密码散列与特定块相关联。文档的传输副本可以存储在相同的数据库或不同的数据库或系统中。文档的不同传输副本可以存储在不同的位置。同时，来自不同存储位置的副本可以与相同块数据库内的不同块链接(或相关联)。
51.同时，并且对应于上述用于确证的方法，本发明还提出了一种用于验证具有可视化标签的文档的方法，该方法包括：
52.从文档中检索可视化标签，
53.分析可视化标签以获得文档标识，
54.使用文档标识检索文档的副本，
55.提供副本以用于验证文档。
56.该用于验证文档的方法特别适用于根据前述方法确证的文档。从文档中检索并被分析以获得文档标识的可视化标签通常与结合上述用于确证的方法所描述的可视化标签相同。
57.任选地，在用于验证文档的方法中，分析可视化标签可以包括：获得文档密钥，其中，检索的副本是加密的，并且该方法可以包括使用文档密钥对加密的副本进行解密以获得未加密的副本，其中，提供未加密的副本以用于验证文档。文档密钥可以与文档的副本分开地存储。例如，可以将文档密钥编码为可视化标签，并由此将其(也许专有地)存储在原始物理文档本身上。
58.根据用于验证具有可视化标签的文档的方法的一个实施方式，该方法可以包括：
59.从文档中检索可视化标签，
60.分析可视化标签以从可视化标签获得文档标识和文档密钥，
61.使用文档标识检索文档的加密副本，
62.使用文档密钥对加密副本进行解密，以获得未加密副本，
63.提供未加密副本以用于验证文档。
64.根据上述方法的另一个实施方式，文档可以是物理文档，并且，从文档中检索可视化标签可以包括：获取物理文档的图像或图像序列，以及在图像内定位可视化标签。图像或图像序列可以用相机(例如智能手机相机)获取。在图像内定位可视化标签可以包括：应用于该图像的图像数据的预处理和/或模式识别步骤。
65.进一步任选地，检索文档的副本可以包括：向文档存储服务发送带有文档标识的请求，以及从文档存储服务接收与文档标识相关联的文档的副本。对文档存储服务的访问可以限于经认证的用户；因此，接收文档的副本可以遵循主机设备与文档存储服务之间的认证过程。
66.在又一个实施方式中，提供副本以用于验证文档可以包括：在屏幕上显示副本以用于可视化比较。可替代地或另外地，提供用于验证文档的副本允许例如电子化地处理检索的副本，即确定副本的数字签名或其他数字属性。
67.更具体地，提供副本以用于验证文档可以任选地包括：在副本与带有可视化标签的文档的新副本之间执行比较，并发出比较的结果的信号，其中，获得新副本以用于比较验证的目的。这种自动比较便于对伪造和欺诈企图进行识别。
68.同时，并且与上述方法相对应，本发明还提出了一种用于可视化标签的令牌，该令牌包括保存令牌身份和打印单元的存储器，其中，令牌配置为接收可视化标签并打印接收的可视化标签，可视化标签编码有与令牌身份相关联的文档标识。任选地，令牌可以配置为接收可视化标签并打印接收的可视化标签，可视化标签编码有与令牌身份相关联的文档标识和文档密钥。保存令牌身份的存储器可以配置为使得身份不能以任何方式被擦除、移除或操纵。例如，身份可以由用数字表示的唯一设备标识来定义，例如具有多于40比特位或多于80比特位或96比特位。令牌身份不必限于单个数值；例如通过根据预定义的确定性算法读取和串接设备标识的不同部分(例如，单个比特位、半字或字)，可以存在多个同等有效的表示。该算法可以产生明确定义的有效令牌身份序列，使得下一令牌身份只能在知道从设备标识生成的两个或更多个先前令牌身份的情况下才能预测。因此，为了伪造有效的令牌身份，需要知道那些先前的令牌身份。如果例如通过文档存储服务注册了所使用的令牌身
份，则立即注意到的令牌身份的预期序列中的任何不规则性以及在该时刻之前和之后立即确证的文档可以被指示为潜在仿冒品。
69.令牌可以被配置为使得它验证与包括在被接收的可视化标签中的文档标识相关联的令牌身份是否与令牌本身的令牌身份(即保存在其存储器中的令牌身份)相对应。只有在该验证成功时，打印单元才被控制为打印接收的可视化标签。
70.打印单元可以配置为：在打印之后或者甚至在打印期间例如根据打印进程删除接收的可视化标签。打印单元可以配置为监控可视化标签的有限有效期，例如与可视化标签相关联的超时。这种超时可以例如相对于嵌入在可视化标签中的时间戳，以避免可视化标签的持续时间与可视化标签的打印之间的显著延迟。一旦超时期满，令牌就不可恢复地删除可视化标签的任何信息。
71.任选地，令牌可以配置为：在从与令牌连接的主机设备接收可视化标签以用于打印之前，对主机设备进行认证。在认证之后，可以建立令牌与主机设备之间的配对，例如由会话表示。仅当配对保持不间断直到令牌已成功接收到可视化标签，令牌才会接受用于打印的可视化标签的接收。通常，在该配对期间，由充当网关的主机设备将令牌身份从令牌传输到远程的可视化标签生成器。该可视化标签生成器可以配置为：将接收到的令牌身份与授权令牌身份的列表进行匹配，并且如果发现匹配，则生成可视化标签以及任选地也生成用于嵌入可视化标签中的文档标识。可替代地，文档标识可以例如由令牌生成，并与令牌身份一起传输到可视化标签生成器。
72.本公开任选地还提出一种系统，该系统包括如上所述的令牌、启用互联网的主机设备和文档存储数据库，其中，令牌与启用互联网的主机设备配对，其中，启用互联网的主机设备配置为提供以下中的一项或多项：通过授权用户的生物识别、密码识别和/或个人身份识别码识别来安全登录到令牌，向文档存储数据库发送文档标识，从文档存储数据库检索可视化标签，向令牌发送可视化标签，获取文档的图像或图像序列，向文档存储数据库发送加密的和/或加扰的图像，从文档存储数据库接收确认消息。
73.在一个任选的实施方式中，该系统的文档存储数据库可以由文档存储服务提供，并且文档存储服务配置为：接收和与文档标识相关联地存储文档的加密副本。
74.现在参考附图，其中，所述附图是为了说明本公开，而不是为了限制本公开。
75.图1示意性地示出了初始化令牌并将其用于确证带有可视化标签的文档的方法的过程的流程图；
76.图2至图7从用户角度示意性地示出了在图1所示的方法期间执行的步骤；
77.图8示意性地示出了用于验证具有可视化标签的文档的过程的流程图；
78.图9至图16从用户角度示意性地示出了在图8所示的方法期间执行的步骤；
79.图17示意性地示出了与图1所示的用于确证物理文档的方法类似的方法的序列图；
80.图18示意性地示出了与图17所示的适用于确证数字文档的方法类似的方法的序列图；以及
81.图19示意性地示出了与图8所示的用于验证具有可视化标签的文档的方法类似的方法的序列图。
82.图1示出了从获得根据本公开的令牌直到完成文档的确证的步骤序列。该序列是
示例性的理想步骤序列，出于说明的目的，该序列忽略基于情况相关条件、用户或技术故障或错误的任何替代路径。直到配置主机设备之前的初始步骤在第一次使用之前只需要执行一次。这些步骤属于初始化程序1(也对比图17)。
83.在第一步骤2中，此处称为“trustworthy company ltd”的发行者从可信供应商处购买物理令牌3(也称为“认证器”)。物理令牌3包括以唯一设备id形式保存令牌身份的存储。可信供应商在由可信供应商管理的安全数据库中将物理令牌的唯一设备id与发行者的帐户和身份链接4。随后，软件应用程序(称为“auth app”)被发送5至发行者。发行者将该软件应用程序分发6给公司内的授权用户，该授权用户将软件应用程序安装在其各自的个人设备7(例如，智能手机)上并通过输入其个人用户凭证登录到该软件应用程序。可以通过输入pin码和显示在个人设备7的屏幕9上的认证对话框8(参见图2)来执行登录以访问用于确证的软件应用程序。如图7中更详细示出的，在成功登录之后，在物理令牌3和个人设备7之间建立配对连接10(例如，加密的无线连接，例如使用蓝牙或wi-fi)。只要配对连接10保持完好，个人设备就将充当令牌3的主机设备。在配对连接10上，主机设备7检索11令牌身份。使用接收到的令牌身份，主机设备7将包括接收到的令牌身份以及个人设备7的身份的注册请求12发送至文档存储服务13。文档存储服务13将接收到的令牌身份与有效且可用的令牌身份列表进行匹配。它还验证14在软件应用程序处通过用户凭证识别的用户是否已经与注册的发行者相关联。如果匹配和验证成功，则文档存储服务13向主机设备7发送私人授权密钥15，以便将来与文档存储服务13进行认证。该步骤结束初始化程序1。
84.为了执行对文档的确证，用户在软件应用程序中输入16命令“创建认证戳”(参见图3)。例如，可以存在与之交互以发出命令的图形按钮。遵循该命令，在步骤17中，软件应用程序在主机设备7与令牌3之间建立(或重新建立)配对连接10，并创建文档标识，该文档标识任选地与文档密钥一起被发送36(参见图17)至文档存储服务13，文档密钥也由软件应用程序生成(或文档标识从文档密钥导出)。文档标识可以具有到文档存储服务13处的文档存储位置的随机链接的形式。任选地，软件应用程序可以从主机设备7加载令牌身份、位置坐标(例如，基于gps)、当前日期和时间以及编号(例如存储或系统信息)，并将该信息或该信息的一部分发送至带有文档标识的文档存储服务13。在本上下文中，编号是指对每个令牌的每次打印(或“戳”)操作进行计数(即，每个令牌的总次数)。这是累积的戳计数，其等于令牌已被施加可视化标签的次数。在下一步骤18中，文档存储服务13生成例如qr码形式的可视化标签。由于文档标识的随机性质和大小，可视化标签实际上是唯一的(尽管理论上来说由于巧合可以多次产生相同的可视化标签)。除了qr码之外，可视化标签可以用现有的图形来扩展，以使打印的可视化标签能够被识别。可视化标签可以包括从主机设备接收的附加信息。它还可以包括用于访问文档的加密副本的公用密钥。一旦准备好，可视化标签就被发送到主机设备7，并从主机设备7转发到令牌3以用于打印。可视化标签可以任选地直接在主机设备7上生成，使得：除了用于由可信令牌3打印之外，公用密钥从不离开主机设备7。在那种情况下，文档存储服务13可以被通知文档标识，但不会接收嵌入在可视化标签中的完整信息。
85.一旦令牌3接收到可视化标签以用于打印，用户使用物理令牌3将可视化标签24应用(即打印)21到物理文档25上(参见图4)。在打印期间以及当打印完成时，令牌3向主机设备7和软件应用程序报告22打印的状态。当软件应用程序接收到打印完成的通知时，它自动
启动23标签扫描视图30(参见图6)。在第一扫描步骤31中，请求用户扫描可视化标签，即引导相机，使得可视化标签处于主机设备7的相机的视场中。基于该第一扫描视图，软件应用程序通过从第一扫描图像中检测和提取可视化标签24并将其与可视化标签的生成版本进行比较来进行可视化标签24的验证28。如果该验证28成功，则软件应用程序启动文档扫描视图26(参见图5)。在第二扫描步骤27中，请求用户扫描整个文档。任选地，扫描可视化标签然后扫描整个文档的过程可以使用视频流而不是单独的照片/扫描来实现。使用视频流可以为该过程增加可靠性和安全性。基于第二扫描视图，软件应用程序对示出整个文档的第二扫描视图进行加扰和加密32，并将其在上传时传输33至先前在文档存储服务13中创建的链接。利用文档数据作为事务数据，块被创建106并被用密码散列链接到前一个块。当块创建和链接成功时，文档存储服务13在接收到确认35之后，软件应用程序通过显示确认视图34来确认该确证(参见图7)。
86.图17示出了根据本公开的用于确证文档的方法的附加方面和变型。具体地，在图17所示的示例中，在通过请求登录105来认证用户之后，主机设备7建立与令牌3的配对连接。在这种情况下，在根据图1的步骤18中生成的文档标识被传输36至文档存储服务13。文档存储服务13执行基于接收的文档标识生成可视化标签的步骤19(与图1所示的实施方式不同，其中可视化标签在主机设备7上生成)。在该示例中，在可视化标签中包括与私人授权密钥15密码关联的公用密钥。然后，任选地以加密形式将生成的可视化标签传输38回充当网关的主机设备7，并且任选地在解密和转换用于打印的图像格式之后，将可视化标签转发39至令牌3。然而，在已将可视化标签传输至令牌3之后，主机设备7不存储该可视化标签。令牌3在随机存取存储器(ram)中存储接收的可视化标签(或者更准确地说，表示待打印的可视化标签的图像信息)。类似于图1，用于将可视化标签应用于文档的打印步骤21由用户执行，并且在打印之后，令牌3不保存关于可视化标签的内容的信息。令牌3通知40主机设备7打印作业完成。在图17所示的示例中，然后，软件应用程序直接启动29标签扫描视图(即主机设备7的扫描功能)。用户扫描31可视化标签，并且主机设备7直接执行(最终)验证32。在这种情况下，不需要初步验证28。如果(最终)验证32成功，则软件应用程序启动23文档扫描视图26，并且用户扫描27文档的其余部分。扫描视图可以是不同的视图，或者它们可以是同一视频记录中的不同时间跨度。当扫描整个文档时，该方法如上所述地进行步骤33。文档存储服务13基于接收的文档信息而创建106块，以用于追加到由文档存储服务13维护或访问的块链。一旦将新的块追加到块链，文档存储服务13就将确认35发送到主机设备7。
87.图8示出了用于验证具有可视化标签42的文档41的简单方法的示例性版本。验证的目的是确定可视化标签42的来源，并且作为扩展，验证携带可视化标签42的文档41的内容的完整性。这里详细描述的方法可以由具有显示器44、相机和数据连接的个人设备43(例如，智能手机)来执行。
88.用户接收45文档41并想要验证文档41的真实性。为了执行验证，可以在个人设备43上安装验证应用程序(例如，称为“ver app”)。用户检查46验证应用程序在他们的个人设备43上是否可用。在否定47中，用户遵循可视化标签42中给出的指令，并利用链接扫描48单独的qr码(即，与基于文档标识的安全qr码分开)，以启动安装程序，从而在个人设备43上配置验证应用程序。
89.如果验证应用程序从一开始就存在或已被成功安装，则用户在验证应用程序中输
入49验证命令，例如通过按下标有“验证文档的真实性”的按钮。由该命令触发，应用程序启动50标签扫描视图51。请求52并指示用户扫描可视化标签42的安全qr码。只要识别了安全qr码并确定了文档标识，验证应用程序就开始从文档存储服务13下载53文档的副本。可以对下载的副本进行加密。验证应用程序开始用注册的个人设备43的私人密钥和嵌入在可视化标签42中的文档密钥对加密副本进行解密54。并行地，应用程序输入55文档扫描视图56，并且提示57用户扫描待验证的整个文档。一旦扫描的整个副本可用并且下载的副本被解密，则验证应用程序比较58同一文档的两个版本，以便确定这两个版本是否匹配。该比较可以考虑附加的产品信息，例如位置或时间戳信息。
90.如果两个版本足够匹配59，则验证成功，并且验证应用程序显示60验证方法的确认61。如果自动比较没有发现(足够的)匹配，则验证应用程序在失败报告63中向用户提供62通过分别标记的按钮而命令“手动检查文档”的可能。如果用户决定执行手动检查，这是优选的。向用户显示扫描的副本70(参见图14)，并且用户可以并排放置硬副本71以便对它们进行比较69。从文档存储服务下载官方版本，并且任选地对其进行签名和/或加密。如果完整文档匹配68，则验证过程完成64。否则，如果需要(参见图15)，可以提供65验证应用程序以在详细视图72和/或位置视图73中显示与戳产品相关的附加的详细信息(以显示可视化标签和令牌3的创建位置)，以便于手动验证。验证应用程序检索66与特定令牌相关联的所有详细信息。有益的是，本公开可以被配置用于用户在文档67中做出他们自己的关于文档的真实性的判断。这是验证方法中的最后一步。
91.如图16所示，原则上相同的方法步骤适用于扫描电子文档。此外，可以以与上述相同的方式验证这种类型的文档的可视化标签。特别地，个人设备43被示出为具有标签扫描视图51，其中个人设备43的相机对准文档查看设备75(例如，平板电脑、膝上型电脑或个人计算机)的屏幕74。可视化标签42与文档41一起显示在所述屏幕74上，在这种情况下文档41是电子文档。
92.相应地，图18示出了根据本公开的用于确证文档的方法的另一变型。具体地，在图18所示的示例中，将待确证的文档是在文档编辑设备76上存储和处理的电子文档。在初始化程序1期间，在文档编辑设备76上安装77文档认证应用程序。令牌3、主机设备7和文档存储服务13之间的配对和消息与结合图17所描述的相似。此外，只有在程序结束时，私人授权密钥15的副本才(任选地经由主机设备7)被传输至文档编辑设备76。
93.用于执行实际确证的步骤(即一旦初始化程序1完成)开始于授权用户利用他们的凭证在文档编辑设备76处登录78。由用户命令触发，文档编辑设备76向文档存储服务13发送认证请求并执行电子文档的确证。不以特定顺序，而是大致同时地，用户还在主机设备7处执行登录105，类似于结合图17所描述的。通过每个登录78、105，授予对私人授权密钥15的访问，并且利用该访问，主机设备7以及任选地还有文档编辑设备76与令牌3建立配对连接10、79。从传输36文档标识直到扫描31打印的可视化标签和执行验证32的接下来的步骤与结合图17所描述的相同，除了可视化标签不打印到待确证的文件上，而是打印在任意可用的基材(例如，任何纸)上并从那里被扫描。该打印过程用作令牌3实际上已经在用户的控制下执行确证的物理确认。并行地，可视化标签从文档存储服务13被传输80到文档编辑设备76，任选地用授权密钥15保护(例如，用公用密钥加密)。该传输可以经由通用数据连接(例如，经由云)来执行，或者可替代地可以通过主机设备7和/或令牌3来代理。文档编辑设
备76将可视化标签置于电子文档中，然后对得到的带标签的电子文档进行加扰和加密81。一旦验证32成功，主机设备7就向文档编辑设备76传输确认消息82。可替代地，扫描31不需要用主机设备7来执行，而是可以由连接到文档编辑设备76的通用文档扫描仪来执行。在这种情况下，验证32可以由文档编辑设备786本地执行。在接收到所述确认(或本地验证)之后，文档编辑设备76将电子文档的带标签版本发送83至文档存储服务13，用于在块链数据库中创建106块。一旦将块追加到数据库，文档存储服务13就向文档编辑设备76确认84完成了电子文档的确证。基于该确认，文档编辑设备76可以打印85电子文档的带标签版本和/或开始数字分发(例如，经由电子邮件)。
94.图19更详细地示出了用于验证具有可视化标签42的文档41(物理的或电子的)的方法的两种变型。在初始化程序86期间(这自然是每个个人设备43的一次性过程)，用户在个人设备43上安装48(参见图8)验证应用程序。当用户输入49验证命令时，应用程序启动50标签扫描视图，标签扫描视图可以是视频扫描功能(即，带有自动文档识别和捕获的实时预览)。个人设备43扫描52文档41上的可视化标签42。可视化标签42可以是具有编码数据内容的qr码。个人设备43将可视化标签(或其数据内容)发送87至文档存储服务13。文档存储服务13将可视化标签以及例如包含在接收的可视化标签中的文档标识与识别的文档的存储副本或该副本的存储表示(例如，散列)进行匹配。利用该信息，文档存储服务13在其块数据库中搜索88包括该同一副本的加密散列的块。如果找到匹配块，则文档存储服务13将确认89与相关联的副本(或与链接到所述副本的链接)一起发送至个人设备43。同时，个人设备43在本地验证90可视化标签42的格式，并继续扫描91文档41的任何其他部分。在从文档存储服务13接收副本之后，个人设备43解密并重构92(即，解扰)所接收的副本。在图19所示的方法的第一变型93中，例如由于缺乏网络覆盖和在线访问而离线执行验证。在这种情况下，上述步骤限于可视化标签42的本地验证90。此后，在个人设备43上显示94嵌入在可视化标签42中的数据内容，用于参考和手动验证。在本示例中，显示的数据包括关于确证的信息(例如，关于发行者/授权、位置、日期和时间)。用户可以验证所显示信息的合理性。
95.在第二变型95中，通过对文档存储服务13的访问(例如，在线访问)来执行用于验证的方法。在这种情况下，个人设备43基于接收的文档副本，在扫描的文档(在步骤91)与接收的副本之间执行第一级自动图像比较96。将该比较的结果显示97给用户以供参考。此外，匹配结果被传输98到文档存储服务13。新扫描的副本也被传输99到文档存储服务13。文档存储服务13在确证期间注册的文档副本与刚从个人设备43接收的新副本之间执行第二级自动图像比较100。然后，它向个人设备43发送101该第二级比较的结果以获得用户的信息。在这些远程步骤期间，个人设备43本地显示102先前从文档存储服务13接收的接收的文档副本，以允许与待验证的文档进行手动比较103。最后，在个人设备43接收到第二级图像比较的结果之后，它也显示104该结果以供用户考虑。如果两个自动图像比较产生高于特定阈值的相似性，则个人设备43指示该确认61(参见图12)。