加密密钥的分发的制作方法

文档序号：6671815阅读：334来源：国知局

专利名称：加密密钥的分发的制作方法
技术领域：
本发明涉及密钥，而且尤其但不排他地涉及加密密钥的分发。
技术背景存在许多需要数据的安全传输的应用，数据加密可被用于阻止对数据的未授权访问。传统的加密方案工作于以下两种方法的其中一种对称和非对称密钥方法。对称密钥系统使用相同的密钥用于数据的加密和解密。因此必须在加密数据的交换的参与者之间分发密钥。如果密钥不是安全地被分发的，则有可能第三方获得该密钥的拷贝并使用该拷贝利用该密钥访问所有加密的数据。非对称密钥系统工作于单向加密方案，其中一个公共密钥用于加密数据，加密的数据然后仅能够利用由数据的接收方保留的私人密钥来解密。因此可以自由地分发公共密钥，而且使用该密钥加密的任何数据都仅能够使用该私人密钥来解密，然而在这样的一个系统中，仍然希望公共密钥的分发以便接收该公共密钥的人能够确定其来自于安全通信的预期的接收方。如果情况不是那样的话，则存在一个笫三方创建一个看上去像是属于其他某人的公共密钥，然后利用该公共密钥及其相应的私人密钥访问打算给该密钥的明显的始发者的加密数据的可能性。在Gershenfeld， Science 297(5589):20026-2030, 2002年9月20 曰，中讨论了一种数据组包技术。所公开的该技术由此使用一种非常特别的视觉透明的三維令牌以便创建包装数据。发明内容本发明已经至少部分考虑到常规系统的问题和缺点。本发明至少部分是发明人有关利用由磁性材料制成的令牌应用授权技术的工作的结果，其中唯一性是通过影响令牌的磁响应的磁性材料中的不可复制的缺陷提供的(如PCT/GB03/03917, Cowburn中详细说明的)。作为此工作的一部分，磁性材料是以条形码(barcode) 形式制造的，即许多平行的条。像使用磁性阅读器通过扫过磁性区域读取各条的唯一磁响应一样，建立一个光扫描器以便通过在条形码上扫过一个激光束以及利用来自条形码条的变化的反射率的对照和它们在其上形成的物品来阅读条形码。由于条形码被以一种众所周知的自认证方案的类型用于编码唯一磁响应的数字签名，该信息是对磁特性的补充，例如上述针对纸币的描述(参见例如，Kravolec"Plastic tag makes foolproofTD"， Technology research news, 2 October 2002 )。令本发明人非常吃惊的是，发现在当使用这种光扫描器时，在其上支持磁性芯片的纸质背景材料对扫描器给出一个唯一的光响应。根据进一步的研究，证实了许多其它的没有准备的表面，诸如各种类型的硬纸板和塑料的表面，表现出同样的效果。此外，本发明人证实了该唯一特性至少部分是由于斑点引起的，但是也包括非斑点的作用。由此发现可能获得基于斑点的技术的所有优点而无需必须使用特别精制的令牌或特别准备任何其它形式的物品。特别地，已经发现许多类型的纸张、硬纸板和塑料从一个相干光束给出唯一特性的散射信号，使得能够从几乎任何的纸质文档或者包装物品获得唯一的数字签名。上述的用于安全装置的已知的斑点阅读器看来像是基于使用一个激光束照射整个令牌并且使用CCD成像结果斑点图的有效的立体角部分(参见例如GB2 221 870和US6，584，214)，由此获得由巨大的数据点阵列组成的令牌的斑点像。本发明人使用的阅读器不是以这种方式操作的。其使用四个成角度间隔以便仅从散射的激光束采集四个信号分量的单通道检测器(四个简单的光电晶体管)。激光束聚焦到仅覆盖表面的非常小的一部分10的点上。当在表面上扫过该点时通过该四个单通道检测器从表面上的不同的局部区域采集信号。由此由来自物品表面上的大量的(典型地有几百或几千个)不同局部区域的独立测量组成了来自该物品的特征响应。尽管使用了四个光电晶体管，但仅利用来自其中单独的一个光电晶体管的数据进行分析显示出能够从该单个通道得到唯一的特征响应！然而，如果在响应中包含四个通道的另外的通道则可获得更高的安全级别。根据第一个方面，本发明提供一种用于分发密钥的方法。该方法可包括利用基于安全令牌的固有特性的签名组包密钥；将该大包的密钥传送到接收方位置；以及利用基于该安全令牌的固有特性的签名拆包该密钥。由此能够以一种第三方截取传输但是无法拥有该安全令牌无法访问密钥的方式安全地传送密钥。在一些实例中，使用该密钥加密的数据可以与组包后的密钥一同传送以便接收方能够立即访问该加密的数据。在另一些实例中，密钥可以单独传送用于随后的加密或解密。这样的一种密钥可能是非对称加密密钥对的密钥。在一些实施例中，组包可以包括为密钥创建纠错码数据并利用签名组包该密钥和纠错码数据，而且拆包可以包括拆包该密钥和纠错码数据并使用该纠错码数据复原密钥内的任何错误。由此，来自同一个安全令牌的非一致的生物统计类型的签名可用于组包和拆包密钥，拆包后的密钥中不会出现错误。在一些实施例中，密钥可包括冗余数据，或者冗余数据可以被添加到密钥以便增强纠错过程的效率。在一些实施例中，组包可包括在密钥和签名之间执行一个逐位异或操作，而拆包可包括在组包后的密钥和签名之间执行一个逐位异或操作。由此可得到一个用于组包该密钥的易于重复的、可逆的过程，其并不会使得密钥或签名对监听组包后的密钥的传输的第三方可用。由于签名典型地是基于安全令牌的生物统计类型的分析的，組包步骤中使用的签名可能不同于拆包步骤中使用的签名。然而，两个签名都是基于同一个安全令牌的相同的固有特征的。在一些实例中，每个签名是如下创建的使安全令牌暴露于相干辐射；采集度量来自安全令牌的内在结构的相干辐射的散射的数据点集；以及根据该数据点集确定安全令牌的签名。根据第二个方面，本发明提供一种传送加密数据的方法。该方法可包括利用一个加密密钥加密数据；利用基于安全令牌的固有特性的签名组包一个解密密钥；将组包后的密钥和加密的数据传送到接收方位置；利用基于该安全令牌的固有特性的签名拆包该密钥；以及使用该拆包后的密钥解密数据。由此可以以一种拥有该安全令牌的授权的接收方能够访问必要的加密密钥以及数据，同时截取传输的第三方无法获得对密钥或数据的访问的方式以加密的形式安全地传送数据。在一些实例中，加密密钥和解密密钥是相同的。在另一些实例中，可以使用非对称加密/解密密钥对。在一些实施例中，可能执行诸如电子交易事务的事务。在这种事务中，加密数据可能与作为该事务的一部分的用于价值转移的金融信息有关。安全令牌可能是与价值转移有关的诸如银行卡、信用卡或忠诚卡。在一些实施例中，数据可以是响应于访问请求从数据库发出的数据。访问请求可能已经基于从数据库访问令牌获得的签名。数据库访问令牌可能是如安全令牌一样的实际物品，只是物品的不同的区域或分辨率被用于创建不同的签名。在一些实例中，一方可以维护安全令牌签名的数据库，而签名另一方与不同的人或实体通信。根据另一方面，本发明提供一种密钥分发系统。该系统包括可操作用于利用基于安全令牌的固有特性的签名组包密钥的密钥组包单元；可操作用于使得组包后的密钥通过其传送的信道；以及可操作包单元。:此，可以经由一个非保密信道将密钥传送到接收方并从而使用该密钥，第三方不可能通过监听该信道获得密钥的副本。根据另一方面，本发明可以提供一种加密数据传输系统。该系统可包括可操作用于利用加密密钥加密数据的加密单元；可操作用于利用基于安全令牌的固有特性的签名组包密钥的密钥组包单元；可操作用于使得组包后的密钥和加密的数据通过其传送的信道；可操作用于利用基于该安全令牌的固有特性的签名拆包密钥的密钥拆包单元；以及可操作用于利用该拆包后的密钥解密该数据的解密单元。由此，数据能够以一种使得接收方容易地访问加密数据的方式安全地传输。在一些实例中，一个密钥可传送用在一个以上的数据分组的访问中。例如，可以利用单个密钥安全地加密特殊的金融和数据访问事务，该单个密钥可以在使用它们的事务的开始被传送。在一些实施例中，通过规定相对于物品的相干光束的移动，确保相对于该物品的固有特性采集的各个不同数据涉及来自该物品的不同部分的散射。该移动可以通过使光束在保持固定的物品上移动的电机来提供。该电机可以是一个伺服电动机、空转电机、步进电机、或者任何适当的电机类型。作为选择，该驱动在低成本的阅读器种可能是手动的。例如，操作者可以通过将其上放置有该物品的支架移动穿过一个静态光束来使该光束扫描通过该物品。相干光束截面通常将为小于该物品的投影至少一个级别(优选至少两个级别)，使得可以采集到相当数量的独立数据点。可以提供聚焦装置用于将该相干光束聚焦到该物品上。该聚焦装置可以被配置成将相干光束带至延长焦点，在此情况下，该驱动器优选配置成在横越延长焦点的长轴的方向上移动该相干光束扫过该物品。一种延长焦点可以很方便地具备柱面透镜，或者等效的反射镜装置。在其它实施例中，可以确保这些数据点中的各个不同数据点与来自该物品的不同部分的散射相关，而且检测器装置包括多个检测器通道，这多个检测器通道被排列和配置成感测来自该物品的各个不同部分的散射。这可以借助定向检测器、利用光纤的信号的本地采集或其它测量来实现。借助定向检测器或者其它局部的信号采集，相干光束并不需要被聚焦。事实上，相干光束可以是静态的而且照射整个采集体积。定向检测器可以通过被融合到或者相对于检测器部件固定的聚焦透镜来实现。光纤可与微透镜结合使用。13当检测器装置仅由单个检测器通道组成时有可能制造易加工的阅读器。其它实施例使用一种检测器装置，该检测器装置包括组成角度分布并且可操作用于采集阅读体积的每个不同部分的一组数据点的检测器部件，优选为一小組几个检测器部件。当签名结合了来自于同一组的数据点之间的比较所带来的影响时提供增强的安全。这种比较可以方便地包含互相关。虽然工作用阅读器可以仅由一个检测器通道制成，还是优选至少2个通道。这就使得检测器信号之间的互相关得以实现。这对于与确定签名所相关的信号处理很有用，设想2 ~ 10个之间的检测器通道将适用于大部分的应用，当前2~4个被认为是装置简化和安全性之间的最佳平衡。检测器部件更有利的是被配置成位于与阅读体积相交的平面上，其中每一对中的每个部件都相对于相干光束轴成角度分布在该平面上，优选在光束轴的任一侧有一个或多个检测器部件。然而，非平面的检测器装置也是可接受的。已经发现从不同检测器获得的信号的互相关的用途能够给出有价值的数据用于增强安全等级以及用于允许签名能够随时更可靠地再现。互相关的实用性从科学观点上来说有些令人惊讶，因为斑点图案固有地是不相关(除了来自该图案中的相对的点的信号之外)。换言之，对于斑点图案而言通过定义来自不同检测器的信号之间的零互相关，只要它们不排列在与激励位置相交的公共平面上与激励位置偏移相同大小的角度。使用互相关作用的值因此指示散射信号的一个重要部分不是斑点。该非斑点作用将被视为直接散射的结果，或者来自复合平面的漫散射作用，如造纸纤维扭曲。当前斑点和非斑点散射信号作用的相对重要性不甚清楚。然而，从对数据所执行的试验来看，检测器并未测量纯斑点图案，而是测量具备斑点和非斑点成分的复合信号。将互相关成分结合到签名中同样对于增强安全性很有益处。这是因为即使可能利用高分辨率打印来制成在真正的物品的表面上再现也不能够匹配通过扫描该真正的物品所获得的互相关系数。在该实施例中，检测器通道由简单光电晶体管形式的离散检测器组件制成。也可以使用其它简单的离散组件，如PIN二极管或光电二极管。也可以使用诸如检测器阵列的集成检测器组件，虽然这将增大装置的成本和复杂度。从对要扫描的物品上的光束的照射角进行修正的初始试验来看，在实践中似乎可取的是光束是近似垂直入射到被扫描的平面上以便获得可以基本上无变化的从同一个表面反复测量的特性，即使在该物品在各自测量之间性能要降级的情况下。至少有一些已知的阅读器使用倾斜入射(参见GB 2 221 870 )。一旦理解了，这种影响似乎是显然的，但是显然根据某些现有技术的斑点阅读器的设计这不是马上就变得显而易见的，包括有GB 2 221 870的阅读器和本发明人制造的第一代原型阅读器。本发明人的具有倾斜入射的第一代原型阅读器在实验室条件下工作良好，但是对于被用作物品的纸张的性能降级相当敏感。例如，用手指摩擦纸张将足以引起在再次测量时出现相当大的差别。第二代原型阅读器使用垂直入射而且已经发现通过常规处理以及更多严重的事件，如通过各种类型的打印机(包括激光打印机)，通过光电复印机，书写、打印、故意在炉子上烧焦，以及压碎和重新平整，能够克服纸张的性能降级。因此，有利的是安装源以便将相干光束引导到阅读体积上，使得其能够以接近垂直入射来击打物品。通过近似垂直入射意味着士5、 10 或20度。作为选择，该光束可以被引导以便在该物品上具有倾斜入射。在光束扫描通过该物品时，这通常将导致负面影响。还应指出，在上面详细描述的阅读器中，检测器装置是反射排列的以检测从阅读体积散射的辐射背面。然而，如果该物品是透明的，则检测器可以是透射排列的。名的匹配。该数据库可以是构成阅读器装置的海量存储器件的一部分，或者可以是位于远程位置并且由阅读器通过电信链接访问。该电信链接可以釆取任何常规形式，包括无线和固定链接，而且可以通过因特网获得。数据采集和处理模块至少在一些工作模式下是可操作的以便在未发现匹配时允许将该签名添加到数据库中。在使用数据库时，除了存储该签名，将该数据库中的该签名与有关该物品的其它信息，如文档的扫描副本、护照持有人的照片、产品制造的地点和时间细节、或者可销售的商品的预定销售目的地的细节 (例如，跟踪灰色进口货)，也是很有用的。本发明允许识别由各种不同材料制成的物品，如纸张、硬纸板和塑料。通过内在结构是指通过其制造该物品本身固有具有的结构，从而为安全目的在具体提供的结构上加以区别，如由该物品中结合的记号或者是人造纤维所给出的结构。通过纸张或者硬纸板是指由木纸浆或者等效的纤维工艺制成的任何物品。纸张或硬纸板可以用涂层或者浸渍，或者用诸如玻璃纸的透明材料覆盖。如果表面的长期稳定性是特别考虑的因素，则该纸张可以用例如丙烯酸喷到透明涂层上来处理。数据点如此被采集作为由相关光束照射的位置的函数。这可以通过或者在物品上扫描局部相关光束来实现，或者通过利用定向检测器采集从该物品的不同部分散射的光来实现，或者通过二者的组合来实现。在大部分应用中设想该签名是数字签名。当前技术下数字签名的典型尺寸在200bits 8kbits的范围内，当前优选具有大约具有2kbk 的数字签名大小用于高安全性。本发明的另外的实现无需在数据库中存储数字签名而是通过用源自于签名的令牌来令牌权利令牌即可进行，其中该令牌符合机器可读的编码协i义。

下面参考附图仅通过举例来描述本发明的具体实施例。图l是阅读器设备的一个实例的原理侧视图；图2是示意图1的阅读器设备的阅读体积如何被采样的原理透视图；图3是图1的阅读器设备的功能组件的原理框图；图4是示意图1的阅读器设备的外形的透视图；图5是示意图1的阅读器的外形的另一实例的透视图；图6A是通过以可选阅读器配置的原理截面图；图6B是另一可选阅读器配置的透视图；图6C是另一可选阅读器配置的透视图；图7A示意了基于定向光采集和全面照明用于阅读器的一种可选成像设备的侧视图；图7B示意了用于阅读器的另一种可选成像设备的光学覆盖区的平面图，其中定向检测器被用于结合具有延长光束的局部照明；图8A是具有大约0.5x0.2mm的面积的图像覆盖的纸张表面的显微镜图像；图8B是具有大约0.02x0.02mm的面积的图像覆盖的塑料表面的显微镜图像；图9A是利用图1的阅读器来自单个光电检测器的原始数据，包括光电检测器信号和编码器信号；图9B示出了在利用编码器信号线性化并对幅度进行平均之后图9A的光电检测器数据；图9C示出了根据平均级别的数字化之后的图9B的数据；图IO是示意如何从扫描中生成物品的签名的流程图；图11是示意从扫描获得的物品的签名如何可以对照签名数据库来验证的流程图；图12是示意图ll的验证过程如何被改变以考虑扫描中的非理想性的流程图；图13A示意了从扫描中采集的互相关数据的一个实例；图13B示出了从扫描中采集的互相关数据的一个实例，其中被扫描的物品有失真；图13C示出了从扫描中采集的互相关数据的一个实例，其中被扫描的物品是以非线性速度扫描的；图14示出了一种用于验证的物品的原理性表示；图15是一种多扫描头扫描器的原理剪切透视图；图16是一种多扫描头位置扫描器的原理剪切透视图；图17原理性示出了一种用于组包加密密钥的系统；以及图18原理性示出了一种用于对组包加密密钥的拆包的系统。虽然本发明易受各种修正和可选形式的影响，通过举例在附图中示出了具体实施例而且在此进行了详细描述。然而应理解，对此的附图和详细描述并不打算将本发明限制于以上公开的特定形式，相反，本发明是要涵盖落入通过所附权利要求书定义的本发明的精神和范围内的所有修正、等同物以及替代方案。
具体实施方式
为了在诸如电子商务环境的环境中提供安全和认证服务，一种用于唯一识别物品的系统可以被用于降低欺骗的可能性，以及对于提供商和终端用户而言增强电子商务系统的实际和感觉的可靠性。现在将参考图l到ll描述适合于进行这种物品识别的系统的实例。图1示出了阅读器设备l的第一个实例的原理侧视图。光学阅读器设备1是用于测量来自于该设备的阅读体积内排列的物品(未示出) 的特征。该阅读体积是由阅读孔径IO所形成的，阅读孔径10是外壳 12中的一个缝隙。外壳12包含有该设备的主要光学组件。该缝隙主要在x方向上伸展(见附图中的插入轴)。主要的光学组件是用于生成相干激光束15的激光源14和由多个(k个)光电检测器部件组成的检测器装置16，在本例中k-4，且令牌为16a、 16b、 16c和16d。激光束15被柱面透镜18聚焦为在y方向(垂直于附图的平面)延伸的延长焦点，而且位于阅读孔径的平面上。在阅读器的一个实例中，延长焦点的长轴尺寸为大约2mm而短轴尺寸为大约40微米。这些光学组件被包含在子组件20中。在本实例中，4个检测器部件16a...d 分布在光束轴的任何一侧，并且在相互交叉的排列中与光束轴成不同角度的偏移，以便采集从出现在阅读体积中的物品因反射而散射的光。在本实例中，偏移角为-70、 -20、 +30、 +50度。选择光束轴的任何一侧的角度不相等使得它们采集的数据点尽可能独立。所有4个检测器部件都是在同一平面上排列的。光电检测器部件16a...d检测当相干光束从阅读体积散射时从外壳上放置的物品所散射的光。如图所示，该激光源被安装用于将具有其光束轴的激光束15引导到z方向，使得其将以正入射击打阅读孔径中的物品。通常期望焦点的深度很大，使得位于z方向上的物品中的任何差别都不会导致阅读孔径平面上的光束的大小的显著变化。在本实例中，焦点的深度大约为0.5mm，这对于产生一个好的结果已经足够大了，此时物品相对于扫描器的位置可以被控制到某种程度。焦点深度、数值孔径以及工作距离等参数是相互依赖的，导致光斑尺寸和焦点深度之间存在z〉知的折衷。驱动电机22被布置在外壳12中用于通过适当的承载24或其它装置来提供光学子组件20的线性移动，如箭头26所示。驱动电机22 因此用于在x方向上线性移动该相干光束通过阅读孔径10，使得光束 15在横越延长焦点的长轴的方向上被扫描。由于相干光束15在其焦点处被测量尺寸以便在xz (附图平面)的截面积要比垂直于相干光束的平面上的阅读体积的投影小得多，即在设置阅读孔径的外壳壁的平面上，驱动电机22的扫描将使得相干光束15在驱动电机22的作用下采样阅读体积的多个不同部分。图2被包含用于示意这种采样而且其是示意如何通过扫描穿过阅读区域的延长光束来采样阅读区域n次的原理透视图。聚焦的激光束在驱动器的作用下沿着阅读孔径被扫描时的采样位置由标号为l到n的相邻矩形表示，其采样了长度为"l"宽度为"w"的一个区域。进行数据采集以便在沿该缝隙扫描驱动器时采集所述n个位置的每一个位置处的信号。因此，采集到了一系列的kxn个数据点，其与来自该阅读体积的所示意的n个不同部分的散射相关。图2还原理性示意了在与缝隙IO相邻的外壳12下侧沿x方向，即扫描方向，形成的光学距离令牌28。在x方向，这些令牌之间的间隔的一个实例为300微米。这些令牌由延长焦点的尾部采样并且规定了在需要这种线性化的情形下在x方向上数据的线性化，下面将对此进行更为详细的描述。该测量是通过附加的光电晶体管19进行的，光电晶体管19是一种定向检测器，被配置用于釆集来自与该缝隙相邻的令牌28的区域的光。在可选实例中，令牌28可以由作为光学子组件20的一部分的专用编码器发射器/检测器模块19来阅读。编码器发射器/检测器模块被用于条形码阅读器中。在一个实例中，可以使用基于聚焦光电二极管(LED)和光电检测器的Agilent HEDS-1500模块。该模块信号被馈入PIC ADC作为额外的检测器通道(见以下对图3的讨论)。借助于示例的40微米的焦点的较小尺寸，以及x方向上2cm的扫描长度，n=500，由此给出2000个数据点(k=4 )。对于kxn的值的典型范围取决于期望的安全等级、物品类型、检测器通道数'k，以及其它因素，预期为100 < kxn < 10,000。已经发现检测器数量k的增大还提高了测量对经过处理、打印等的物品的表面降级的不敏感性。实践中，根据迄今所用过的原型，经验法则是独立的数据点的总数，即 kxn,应为500或更大以便给出各种表面可接收的安全等级。在扫描器被预定用于仅仅一种特定的表面类型或一组表面类型时也可以使用其它最小值(或者较高或者较低)。图3是阅读器设备的功能组件的原理框图。电机22通过电链接 23与可编程中断控制器(P1C )30相连。检测器模块16的检测器16a…d 通过相应的电连接线17a...d与作为PIC 30 —部分的模-数变换器(ADC )相连。一种类似的电连接线21将令牌阅读检测器19连接到PIC 30。应理解的是，可以取代电链接或结合电链接来使用光学或无线链接。PIC30通过数据连接32与个人计算机(PC)34对接。PC 34 可以是桌面型计算机或膝上型计算机。作为PC—种替代方案，可以使用其它智能设备，例如个人数字助理(PDA)，或者专用电子电路单元。PIC 30和PC 34共同构成一种数据采集和处理模块36，用于根据由检测器16a...d采集的一组数据点确定物品的签名。在一些实例中，PC 34可以通过接口连接38访问数据库(dB) 40。数据库40可以驻留在PC 34的存储器中或者存储在其驱动器上。作为选择，数据库40可以远离PC 34并且通过利用例如移动电话业务或无线局域网(LAN)结合因特网通过无线连接来访问。此外，数据库40可以本地存储在PC 34上，但是从远程源周期性地下栽。数据库可以由远程实体来管理，该实体可以仅仅对特定的PC34提供对全部数据库的一部分的访问，和/或可以基于安全策略限制访问该数据库。数据库40可包含先前记录的签名库。PC 34可以被编程使得在使用中其可以访问数据库40并且进行比较以确立数据库40是否包含与放置在阅读体积内的物品的签名的匹配。PC 34还可以被编程以允许在未找到匹配时将该签名加入到数据库中。PC和数据库之间的数据流被处理的方式可以取决于PC的位置以及PC的操作者和数据库的操作者之间的关系。例如，如果PC和阅读器都用于确认物品的真实性，则PC将不需要能够将新的物品加入到数据库中，而且事实上其不直接访问数据，相反其将该签名提供给数据库用于比较。在这种装置中，数据库可以提供真实性结果给PC 以指示该物品是否为真实的。另一方面，如果PC和阅读器都用于记录或者验证数据库内的一个物品，则该签名可以被提供给数据库用于存储在其中，而且可以不需要比较。在此情形中，可以进行比较以避免单个物品进入数据库两次。图4是示意阅读器设备1的外形的透视图。外壳12和缝隙型阅读孔径10都是显见的。物理位置辅助装置42也是显见的，而且被提供用于相对阅读孔径10将给定形状的物品放置在固定的位置上。在本实例中，物理位置辅助装置42为直角支架的形状，其中可以定位文档或者包装盒的角。这确保每当物品需要被扫描时其相同的一部分可以定位于阅读孔径10中。简单的角形支架或其等效物足以用于有明显边界角的物品，如纸张、护照、ID卡以及包装盒。也可以提供其它形状的位置引导以接受不同形状的物品，如包含CD和DVD的圆形物品或者具有曲面的物品，如柱面包装容器。在仅扫描物品的一种尺寸和形状时可以提供一种缝隙用于接纳该物品。因此，已经描述了适合用于物品真实性的远程验证的安全机构中的扫描和签名生成设备的实例。这种系统可以部署用于允许物品在不只一个位置上被扫描，而且对于要进行的检测确保物品在这两种情况下都是同一物品，而且可选的对于进行的检查确保在最初和后续扫描期间物品没有被窜改。图5示出了在提供文档馈送器以确保物品的放置恒定的情形下用于阅读器的一种可选物理配置的实例。在本实例中，提供外壳60，其具有与之相连的物品馈送盘61。盘61可以夹持一个或多个物品62 用于由阅读器扫描。电机可以驱动馈送辊64以将物品62传送通过该装置并且穿越上述的光学子组件20的扫描孔径。因此，物品62可以以上述方式由光学子组件20扫描，由此光学子组件和物品之间的相对运动可以通过物品的移动来产生。利用这种系统，被扫描物品的运动可以利用电机以足够的线性来控制，使得距离令牌和线性化处理的使用是多余的。该设备可以遵循用于文档扫描器、光电复印机或者文档管理系统的任何常规格式。这种扫描器可以被配置成处理换行纸 (其中通过例如穿孔连接将多张纸连在一起)以及或者取而代之的是手动单页送纸。因此，已经描述了在自动送纸器类型的装置中适合用于扫描物品的设备。根据送纸设备的物理排列，扫描器可能扫描材料的单张或多张，或者材料的连续纸张，或者诸如包装纸箱的三维物品。图6示出了用于阅读器的另一种可选物理配置的实例。在本实例中，物品由用户移过阅读器。如图6A所示，阅读器外壳70可以配备有缝隙71用于插入物品以扫描。光学子组件20可以配备有定向到缝隙71内的扫描孔径以便能够扫描通过该缝隙的物品62。另外，可以在缝隙71中提供导引部件72以帮助引导物品到距离光学子组件20 的正确的焦距距离，和/或规定该物品通过该缝隙的恒定速度通路。如图6B所示，阅读器可以配置成在沿纵向缝隙移动通过外壳70 时扫描该物品，如箭头所示。作为选择，如图6C所示，阅读器可以配置成在被插入到或者从延伸到阅读器外壳70中的缝隙去除时扫描该物品，如箭头所示。这种类型的扫描器尤其适用于扫描至少部分为刚性的物品，如卡片、塑料、或者金属片。这种片状物品可以是例如塑料物品，如信用卡或其它银行卡。因此，已经描述了用于手工启动物品的扫描的一种装置。这可以用于扫描银行卡和/或信用卡。由此卡片可以在取出卡以使用的终端处被扫描，而且从该卡片中取出的签名可以与所存储的用于该卡片的签名进行比较以检查该卡片的真实性和未窜改特性。这种装置也可以用于例如阅读军用型金属ID标签的环境中(这些标签经常也由变态反应患者携带以警告他人他们的变态反应)。这使得医护人员能够治疗病人以确保该被治疗的病人事实上就是该标签的持有人。同样，在事故情形中，可以扫描所发现的标签用于真实性检查以确保在通知家人和/或同事之前已经正确地识别了事故。上述的实例基于局部激励，具有小截面的相干光束结合了接收在包括该激励的局部区域的更大区域上散射的光信号的检测器。有可能设计一种在功能上等同的光学系统，它取而代之的是基于仅从局部区域采集光的定向检测器结合较大区域的激励。图7A示出了用于阅读器的成像设备的原理侧视图，其基于定向光采集和使用相千光束的全面照明。阵列检测器48与柱面微透镜阵列46 —起排列使得检测器阵列48的相邻带仅采集来自阅读体积中相应的相邻带的光。参考图2，每个柱面微透镜被配置成采集来自n个采样带之一的光信号。于是相干照明可以以整个阅读体积的全面照明来发生(图中未示出)。在一些情况下也可以使用具有局部激励和局部检测的组合的混合系统。图7B原理性示出了用于阅读器的这种混合成像设备的光学覆盖区的平面图，其中定向检测器与具有延长光束的局部照明结合使用。这个实例可以认为是其中提供有定向检测器的图1的一种实例的改进。在此实例中，提供了三组定向检测器，每一组都目标在于采集来自沿'lxw，激励带的不同部分的光。来自阅读体积的平面的采集区域是以点线圆表示的，使得第一组，例如2个，检测器采集来自该激励带的上部的光信号，第二组检测器采集来自该激励带的中部的光信号，而第三组检测器采集来自该激励带的下部的光信号。每一组检测器都显示具有近似1/m的直径的圆形采集区域，其中m是该激励带的细分数量，本例中m=3。通过这种方式，对于给定的扫描长度l，可以通过系数m增大独立数据点的数量。下面将进一步描述，不同组的定向检测器中的一个或多个可以用于除采集抽样斑点图案的光信号以外的目的。例如，其中一组可以用于以优化用于条形码扫描的方式采集光信号。如果正是这种情况，则该组仅包含一个检测器一般就足够了，因为在仅扫描用于比对时在获得互相关上没有什么优势。已经描述了各种阅读器设备的主要结构组件和功能组件。下面将描述用于确定签名的数值处理。将理解的是，利用附属于PIC 30的一些部件，对于在PC上运行的计算机程序中的大部分都可以实现这种数值处理。在可选实例中，该数值处理可以由硬件或固件的专用数值处理装置来执行。图8A是覆盖有大约0.5x0.2mm的区域的图像的纸张表面的显微镜图像。该图被包含用于示意诸如来自纸张的肉眼可见的平表面在许多情况下被高度结构化为显微镜比例。对于纸张，表面被显微地被高度结构化为构成纸张的木材或其它纤维的交织网络的结果。该图还示意了大约10微米的木材纤维的特性长度比例。这种尺寸具有与本实例的相干光束的光学长度的正确关系以引起衍射并由此引起斑点，而且引起轮廓取决于光纤定向的漫散射。因此，可以理解的是，如果阅读器被设计用于特定类型的商品，则可以设计激光的波长以适用于要扫描的商品的结构形体尺寸。而且从该图显然可以看出每张纸的局部表面结构是唯一的，因为它取决于如何排列各个木材纤维。因此，一张纸与特别创造的令牌没有什么不同，如现有技术的特殊树脂令牌或者磁材料沉积，因为它具有唯一的结构作为它由自然规律支配的工艺所制成的结果。这同样也适用于许多其它类型的物品。图8B示出了塑料表面的等同图像。这种原子力显微镜图像明显地示出了肉眼可见的光滑塑料表面的物品表面。从图中可以推测这种表面比图8A所示的纸张表面更平滑，但是即使是这种级别的表面起伏也可以利用本实例的签名生成方案来唯一识别。换言之，当可以从各种各样的日常用品以直接的方式测试唯一特性时，对制造特别制成的令牌付出努力和花费基本上是无意义的。现在描述采用物品表面(在透射情况下为内部)的自然结构的优点的散射信号的数据采集和数值处理。图9A示出了来自于图1的阅读器的光电检测器16a…d其中之一的原始数据。该图描绘了信号强度I是相对于点数n (图2)的任意埃单位(a.u.)。在1=0~250之间波动的较高迹线是来自于光电检测器16a的原始信号数据。较低迹线是从令牌28 (见图2 )选取的编码器信号，I约为50。图9B示出了在用编码器信号线性化之后图9A的光电检测器数据(注意虽然x轴是在与图9A不同的比例尺上，这也没有什么关系)。如上所述，当物品相对于扫描器的移动足够线性时，可能不需要利用相对于对准令牌的线性化。另外，已经计算了强度的平均值并且从强度值中提取出来。因此，处理后的数据值是在O上下波动。图9C示出了数字化后图9B的数据。所采用的数字化方案是简单的二进制1，其中任何一个正的强度值都被设置为1而任何一个负强度值都被设置为0。应理解的是，可以改用多状态数字化，或者许多其它可能的数字化方案中的任何一种。数字化的主要的重要签名只不过是一致地应用同样的数字化方案。图IO是示意如何从扫描中生成物品的签名的流程图。步骤S1是数据采集步骤，在此期间在扫描的整个长度期间每隔大约lms采集每个光电检测器处的光电强度。同时，采集信号作为时间的函数。应指出，如果扫描电机具有高度的线性化精度(例如，如同步进电机那样)则不需要对数据进行线性化。数据由PIC30釆集，以从ADC 31中取出数据。数据点以实时方式从PIC 30传送到PC 34。作为选择，数据点可以存储在PIC 30的存储器中，然后在扫描结束时传递到PC 34。在每次扫描中采集的每个检测器通道的数据点的数量n在下文中被定义为N。此外，值ak(i)被定义为来自光电检测器k 的第i个存储的强度值，在此i为从l到N。图9A示意了从这种扫描中获得的两个原始数据集的实例。步骤S2利用数值内插来局部扩大和缩小ak(i)使得编码器过渡在时间上能够均匀间隔。这能够校正电机速度中的局部变化。该步骤可以通过计算机程序在PC 34中执行的。步骤S3是任选步骤。如果执行该步骤，该步骤将相对于时间对数据进行数值差分。还可能希望对数据应用弱平滑函数。差分对高结构化的表面很有用，因为它用于衰减来自相对于相关(斑点)成分的信号中的不相关成分。步骤S4是这样一种步骤，在该步骤中，针对每个光电检测器在 N个数据点上取记录的信号的平均值。对于每个光电检测器，该平均值是从所有数据点中扣除使得数据在0强度附近分布。参考图9B，其示出了在线性化和扣除计算后的平均值之后的扫描数据集的一个实例。步骤S5对模拟光电检测器数据数字化以计算代表该扫描的数字签名。该数字签名是通过应用以下规则获得的如果a"i)X)则映射到二进制'l，， 3"1)<=0则映射到二进制'0，。该数字化的数据集被定义为 dk(i),其中i为l N。除了刚才描述的强度数据的数字化签名，该物品的签名还可以结合其它的成分。现在将描述这些另外的可选的签名成分。
步骤S6是一个任选步骤，在该步骤中创建较小的'缩微，数字签名。这是通过或者将相邻的m个读数組一起平均，或者更优选地通过选取每第c个数据点实现的，c是该'缩微，的压缩系数。优选后者是因为这种平均能够不成比例地放大噪声。在步骤S5中使用的相同数字化规则然后应用于缩小的数据集。该缩微数字化被定义为tk(i)，其中 i为1到N/c，而c是压缩系数。
步骤S7是当存在多个检测器通道时的一个可应用的可选步骤。附加成分是从各个光电检测器获得的强度数据之间计算的互相关成分。有2个通道则有一个可能的互相关系数，3个通道则达到3个，4 个通道则达到6个等等。互相关系数是有益的，因为已经发现它们是材料类型的良好指示器。例如，对于特定类型的文档，诸如给定类型的护照、或者激光打印纸，互相关系数总是看上去位于可预测范围内。归一化的互相关可以在ak(i)和a,(i)之间计算，在此k^1，而且所有光电检测器通道编号对于k、 l都是变化的。归一化的互相关函数被定义为
可以被存储用于随后的验证的互相关函数的另一方面是峰值在互相关函数中的宽度，例如半最大值全宽度(FWHM)。下面进一步描述互相关系数在验证处理中的使用。
步骤S8是用于计算指示信号强度分布的简单强度平均值的另一任选步骤。这可以是对于不同检测器的每一个平均值的总体平均值，或者对于每个检测器的平均值，如ak(i)的均方根值(rms)。如果检测器是成对排列在垂直入射的任何一侧，就如同在上面描述的阅读器中的那样，则每一对检测器的平均值都可以使用。已经发现强度值是用于材料类型的良好的粗过滤器，因为它是采样的总体反射率和粗糙度的简单表示。例如，可以用去除平均值后的非归一化的rms值作为强度值，即DC背景。
通过扫描物品所获得的签名数据可以与签名数据库中保存的记录进行比较用于验证目的，和/或写入到数据库中以添加该签名的一个新记录以便扩展现有数据库。
一个新的数据库记录将包括在步骤S5中获得的数字签名。这可任选地通过在步骤S6为每个检测器通道获得的较小缩微型式、在步骤S7获得的互相关系数、以及在步骤S8获得的平均值中的一个或多个来补充。作为选择，可以将缩微存储在它们自己的优化用于快速搜索的分离数据库中，而余下的数据(包括该缩微)存储在主要数据库中。
图11是示意如何相对签名数据库验证从扫描获得的物品的签名的流程图。
在一个简单实现中，可以仅仅搜索数据库以基于完整的签名数据集来找到匹配。然而，为了加快验证过程，可以利用较小的缩微和基于刚刚描述的计算的平均值和互相关系数来预筛选。
验证步骤V1是该验证过程的第一个步骤，它用于根据上面描述的过程扫描物品，即执行扫描步骤Sl到S8。
验证步骤V2取每一个缩微条目并评价其和tk(i+j)之间的匹配比特的数量，其中j为比特偏移，并且可以变化以补偿扫描区域的布局上的误差。j的值被确定然后确定给出匹配比特的最大数量的缩微条目。这就是用于进一步处理的'命中，。
验证步骤V3是在相对扫描的数字签名分析为该记录存储的完整数字签名之前执行的可选的预筛选测试。在该预筛选中，在扫描步骤 S8中获得的rms值与数据库中命中记录相应的存储值相比较。如果相应的平均值不在预定义的范围之内则该'命中，拒绝进一步的处理。物品然后作为未验证被拒绝(即，跳至验证步骤V6并发布失败结果)。
验证步骤V4是在分析整个数字签名之前执行的另外的可选预筛选测试。在该预筛选中，在扫描步骤S7中获得的互相关系数与数据库中命中记录相应的存储值相比较。如果相应的互相关系数不在预定义的范围之内则该'命中，拒绝进一步的处理。物品然后作为未验证被
拒绝(即，跳至验证步骤V6并发布失败结果)。
可以在验证步骤V4中利用互相关系数执行的另一个检测是检测互相关函数中的峰值宽度，其中通过比较来自上述扫描步骤S7的原始扫描存储的值和重新扫描的值估计互相关函数
如果重新扫描的峰值的宽度显著高于原始扫描的宽度，则其可以被釆用作为指示重新扫描的物品已经被窜改或者否则是可疑的。例如，该检查应当打击试图通过打印具有来自被扫描的表面的光电检测器所希望的相同强度变化的条形码或者其它图案来愚弄系统的欺诈。
验证步骤V5是扫描步骤V5中获得的扫描数字签名与数据库中命中记录中相应的存储值之间的主要比较。全存储的数字化签名dkdb(i) 被分解为k个检测器通道上的q个相邻比特的n个块，即每个块有 qk个比特。q的一个典型值为4且k的一个典型值为4,使得每个块典型地为16比特。该qk个比特然后相对于存储的数字签名dkdb(i+j) 中qk个相应的比特进行匹配。如果该块内匹配比特的数量大于或等
于某个预定的阈值Zthresh，那么匹配块的数量加l。 Zthresh的一个典型
值为13。针对所有的n个块重复该过程。针对j的不同偏移值重复该
整个过程，以便补偿扫描区域的位置内的误差，直到找到一个最大数
量的匹配块。定义M为匹配块的该最大数量，通过估算下述公式计算随机匹配的概率
其中s为任何两个块之间随机匹配的概率(其反之依赖于所选择的Zthresh。ld值)，M为匹配块的数量而p(M)为随机匹配M或更多块的概率。s的值通过比较来自类似材料的不同目标的扫描的的数据库内的块确定，例如，纸质文档的扫描数量等。对于q=4，k=4且
<formula>formula see original document page 29</formula>Zthresh。ld=13的情况，s的典型值为O.l。如果qk比特完全独立，那么概率论将针对Zthresh。，d=13给出s=0.01。凭经验发现更大的值的事实是由于k个检测器通道之间的相关性而且由于有限的激光点宽度的块中的相邻比特之间的相关性。当与该页纸的数据库条目比较时，该页紙的典型扫描产生总数510个块中的大约314个匹配块。针对上述公式设置M-314, n=510， s=0.1给出的随机匹配的概率为10"77。
验证步骤V6发布验证过程的结果。验证步骤V5中获得的概率结果可以用在其中基准点是一个预定义的概率阈值的通过/不通过测试中。在此情况下，概率阈值可能由系统设置在一个级别，或者可能是设置在由用户选择的一个级别的可变参数。或者，概率结果可以输出给用户作为置信度级别，或者以原始形式作为概率自身，或者以利用相对项的修改的形式(例如，无匹配/弱匹配/良好的匹配/极好的匹配)或者其它的分类。
将理解的是许多变型是可能的。例如，取代将互相关系数作为预筛选成分，它们与数字化强度数据一同被视作主要签名的一部分。例如，互相关系数可能被数字化并加入到数字化的强度数据。互相关系数还能够在它们自身之上数字化并用于生成位串等等，位串随后将针
到命中记录。
因此，已经描述了用于扫描物品以获得基于该物品的固有特性的签名的许多实例方案。同样还描述了如何能够根据扫描期间采集的数据生成该签名，以及该签名如何与该同一或不同物品的随后的扫描进行比较以便提供一个在随后的扫描中被扫描是该同一个物品的多么相似的测量。
这样的系统有许多应用，这些应用当中是用于欺诈预防和物品追踪能力的安全和置倌度筛选。
在一些实例中，可以优化用于从扫描的物品提取签名的该方法以便提供物品的可靠识别，即使是由于例如拉伸或收缩导致的该物品的变型。物品的这种拉伸或收缩可能是例如由于对基于紙张或硬纸板的物品的水渍引起的。
同样，如果物品相对于扫描器内的传感器的相对速度是非线性的，则物品对扫描器看起来像是被拉伸或收缩。如果例如该物品是被沿传送带系统移动，或者如果该物品是通过手持该物品穿过扫描器时就可能发生这种情况。发生这种情况的类似场景的一个实例是例如使
用诸如参考上述的图6A、 6B和6C描述的扫描器手动扫描银行卡。
如上所述，其中扫描器基于一个扫描头，该扫描头在该扫描器单元内相对于靠着扫描器或在扫描器内固定保持的物品移动，于是可以通过可选的距离令牌28提供线性化引导以便解决扫描头的运动中的任何的非线性问题。在此物品是由人来移动的，这些非线性可能被大大放大。
为了解决可能由这些非线性影响导致的识别问题，有可能调节物品的扫描的分析阶段。因此现在将参考图12描述一个修正的确认过程，在这个实例中实现的该过程使用数据的块状态分析以便解决非线性问题。
根据图12实现的该过程可以包括参考图10描述的但是未在图 12中示出的以便不会混淆该图的内容的一些或所有的平滑和差分数据、计算和扣除平均值、以及数字化以获得签名和缩微的步骤。
如图12所示，使用针对块状态分析的确认扫描的扫描过程通过执行物品的扫描以获取描述该物品的固有特性的数据开始于步骤 S21。该扫描的数据接着在步骤S22被划分为连续的块(该操作可在数字化和任何平滑/差分等之前或之后执行)。在一个实例中，一个长度未54mm的扫描被分为8个等长的块。每个块因此代表扫描的物品的扫描区域的一小段。
针对每一个块，为每个存储的签名相对等效的块执行互相关，在步骤S23打算使用该互相关比较该物品。这可以使用对每个块有一个缩微的缩微方法来执行。接着分析这些互相关计算的结果以便识别互相关峰值的位置。接着在步骤S24将互相关峰值的位置与物品的原始和随后的扫描之间存在的完美线性关系的情形所期望的峰值位置相比较。这种关系可以如图13A、 13B和13C中所示的图形化表示。在图 13A的实例中，互相关峰值完全是所预期的，以致扫描头相对于物品的运动是完美的线性而且该物品没有经历拉伸和收缩。因此，真实峰值位置相对期望的峰值的曲线结果是一条直线，该直线穿过原点并且斜率为1。在图13B的实例中，互相关峰值比所期望的要更为靠近些，以致最佳匹配线的斜率小于1。因此，该物品相对于初始扫描的其的物理特性已经收缩。同样，最佳匹配线不经过图的原点。因此，相比其初始扫描的位置，物品相对于扫描头被偏移。在图13C的实例中，互相关峰值并未形成一条直线。在这个实例中，它们近似符合表示一个yZ函数的曲线。因此，物品相对于扫描头的移动在扫描期间变慢。同样，最佳匹配曲线并不穿过原点，明显的是该物品相对于其原始扫描的位置偏移了。函数的变化可以是对互相关峰值的曲线点的测试匹配以便找到最佳匹配的函数。因此，可以使用解释拉伸、收缩、未对准、加速、减速、以及它们的组合的曲线。一旦在步骤S25识别了最佳匹配的函数，则可以在步骤S26确定表示每个互相关峰值从其预期的位置偏移了多少的一组变化参数。在步骤S27，这些补偿参数然后可以被应用到在步骤S21获取的来自于扫描的数据以便基本上消除来自扫描的数据之上的拉伸、收缩、未对准、加速或减速的影响。如将理解的，在步骤S25获得的最佳匹配函数与扫描数据匹配得越好，则补偿效果将越佳。补偿的扫描数据接着如同步骤S22中的那样在步骤S28中被分为连续的块。这些块接着在步骤S29与来自存储的签名的数据的各自的块单独地互相关以便获得互相关系数。在步骤S29，这一次将分析互相关峰值的幅度以便确定唯一因子。因此，可以确定所扫描的物品是否是当存储的签名被创建时所扫描的同一件物品。因此，已经描述了用于补偿扫描物品中的物理变形，以及物品相对扫描器运动中的非线性的方法的一个实例。利用该方法，扫描的物品可以相对针对该物品存储的由该物品的较早扫描获得的签名执行检查，以便以较高级别的可信度确定在随后的扫描中出现的是否为同一个物品。由此可以容易地识别由易于失真的材料构成的物品。同样，可以使用相对物品的移动可能是非线性的扫描器，由此允许使用不具备运动控制部件的低成本的扫描器。在一些扫描器设备中，还有可能难于确定扫描区域是从哪里开始和结束的。就上面讨论的实例来说，这种情况对于图6B的实例最容易出问题，在那里物品将通过一个缝隙被扫描，使得扫描头可能"看到"物品的区域要比预期的扫描区域更大。一种解决此问题的方法将是当在物品的边缘开始时定义扫描区域。当物品通过之前为自由空间的区域时，随着在扫描头接收到数据将经历一个清除步骤变化，在扫描头重新得到的数据可用于确定扫描在何处开始的。在本实例中，扫描头可先于物品对扫描器操作。由此一开始扫描头就接收到对应于扫描头前面的未占据的空间的数据。随着物品经过扫描头前面时，由扫描头接收的数据立即改变为描述该物品的数据。因此，该数据可以监测物品是从哪里开始的而且该数据之前的所有数据都可以丢弃。可以以许多方式来确定扫描区域相对于物品前沿的位置和长度。最简单的方式是使扫描区域为整个物品的长度，使得可以通过扫描头再次拾取到对应于自由空间的数据来检测末端。另一种方法是启动和/或停止记录的数据一个从前沿开始的预定义数量的扫描读数。假定物品总是以大致相同的速度移动经过扫描头，这将导致一致的扫描区域。另一种可选方法是使用物品上实际的令牌来启动和停止扫描区域，尽管这将需要更多的工作，就数据处理来说，以便确定哪些捕获的数据相应于扫描区域以及哪些数据可以被丢弃。因此，已经描述了用于扫描物品以采集基于该物品的固有特性的数据的多种技术，如果需要的话对物品的损坏或者扫描过程中的非线性进行补偿，以及将物品与存储的基于物品之前的扫描的签名进行比较以便确定两次扫描给出的是否为同一个物品。33可以利用基于物品的固有特性生成的签名的块状态分析检测的物品的另一个特性为物品的局部损坏。例如，这样的一种技术可用于检测在初始记录扫描之后对物品所作的改变。例如，诸如护照、ID卡和驾照的许多证件包含持有人的照片. 如果这样的一种物品的真实性扫描包含照片的一部分，那么将检测到任何对该照片的改变。以将签名划分为10个块的一个任意的例子来说，这些块的其中3个可以包括证件上的照片而其它的7个块包括该证件的另外的部分，如背景材料。如果该照片被更换，则可以期望该证件的随后的重新扫描对没有发生改变的7个块提供良好的匹配，但是更换的照片将提供非常差的匹配。通过认出这些块相应于该照片，所有这3个块提供一个非常差的匹配可以用于自动使得证件的验证失败，而无论整个签名上的平均得分如何。同样，许多证件包含一个或多个人员的写入指示，例如根据护照、驾照或身份证识别的人员姓名，或者银行帐户持有人的姓名。许多证件还包含持有人或证明者的写入签名的地方。利用从那里获得的签名的块状态分析可以检测对名称或其它重要字或者打印到或写入到证件上的号码的修改的更动。相应于已经改变了的打印或书写的位置的块可能期望产生相比没有发生改变的地方的块低得多的质量匹配。因此，可以检测到名称或书写的签名被修改而且即使是证件的整体匹配足够的高以获得一个通过结果，该证件也将不能通过验证测试。图14中示出了身份证300的一个实例。身份证300包括打印的持有人姓名302,持有人的照片304，持有人的签名306 (签名可能书写到卡上，或者是;f艮据书写的签名扫描或电子捕获的签名打印的)，以及打印的卡号308。为了使身份证免于欺骗性修改，用于生成基于该卡的固有特性的签名的扫描区域可以包含一个或多个这些单元.图 14中令牌了各种各样的示例的扫描区域以便示意各种可能性。示例扫描区域321包括部分的打印的姓名302和部分的照片304。示例扫描区域322包括部分的打印的姓名。示例扫描区域323包括部分的签名 306。示例扫描区域324包括部分的卡号308。所选择的用于扫描的区域和单元可依赖于许多的因素，包括证件的欺诈者最可能试图修改的单元。例如，对于任何包含照片的证件来说最可能修改的目标通常将是照片，因为照片是持有人外表上的识别。因此，对于这种证件的一个扫描区域选择包含部分的照片可能是有利的。其它的可能遭受欺骗性修改的单元是持有人的签名，因为对于某人来说伪装有一个与他们自己不同的姓名比较容易，但要复制另一个人的签名比较困难。因此，对于签署的证件，特别是那些不包含照片的证件，扫描区域包含证件上的签名的一部分是有利的。因此，在一般的情形下，可以看出针对物品的真实性的测试可以包括针对验证签名和对整个签名的记录签名之间的足够的高质量的匹配的测试，以及至少所选择的签名的块之上的足够的高匹配。因此，对于访问物品的真实性重要的区域可以被选择作为达到肯定真实结果的关键。在一些实例中，可能允许除那些选择的关键块之外的块表现出较弱的匹配结果。因此，尽管被撕裂或者有些部分损坏了，也可以接受证件作为真实的，只要关键的块提供了良好的匹配而且签名作为一个整体提供了良好的匹配。因此，已经描述了用于识别对物品的局部损坏，以及用于拒绝其预定区域内有局部损坏或改变的不真实的物品的系统、方法和设备的多个实例。其它区域内的损坏或修改被忽略，由此允许证件被识别为真实的。当使用诸如参考上面的图l到14描述的同一性技术的生物统计技术用于真实性或者物品的同一性的验证时，由于基于生物统计特征的签名的可生产性可能出现困难。特别地，如生物统计签名生成系统的固有趋势在每次根据一个物品生成签名都返回稍微不同的结果一样，物品在不同的签名生成设备以及在不同时间经历签名生成过程时都有可能是该物品的稍微不同的部分呈现在每个场合，由此造成可靠的验证更加困难。现在将描述用于解决这些困难的系统、方法和设备的实例。首先将参考图15描述一个用于数据库创建的多扫描头签名生成设备。如图15所示，阅读器单元100可包括两个光学子组件20，每个都操作用于为出现在阅读器单元的阅读体积102内的物品的签名。因此，提交物品用于扫描以创建用于在物品数据库内记录物品的签名，对照该签名该物品可在随后得到验证，该物品可以被扫描两次，以便创建空间上相互偏移一个可能的对准误差量的两个签名。由此，在为了识别或真实性验证的物品随后的扫描中可以对照两个存储的签名执行匹配。在一些实例中，匹配两个存储的签名的其中一个就可以被认为是成功的匹配。在一些实例中，可以使用另外的阅读头，诸如为每个物品创建3 个、4个或更多的签名。每个扫描头可与其它扫描头相互偏移以便提供来自预期的扫描位置的相邻位置的签名。由此可以为验证扫描上的物品未对准提供更强的健壮性。扫描头之间的偏移可以根据诸如物品的扫描部分的宽度、扫描尺寸相对于物品的总体尺寸、验证扫描期间可能的未对准的量、以及物品材料等的因素来选择。因此，已经描述了一种用于扫描物品以创建签名数据库，对照该签名数据库可以检查物品以便验证物品的同一性和/或真实性的系统。现在将参考图16描述用于在物品数据库中提供多个签名的另一个系统的实例。如图16所示，阅读器单元100，可以有单个光学子组件20和一个对准调整单元104。在使用中，对准调整单元104可以改变光学子组件20相对于阅读器单元的阅读体积102的对准。因此，通过光学子组件20在不同位置可以多次扫描放在阅读体积内的物品以^l创建该物品的多个签名。在本实例中，对准调整单元104可以调整光学子组件从两个不同的位置读取。因此，随后为了同一性或真实性验证目的的物品的扫描可以相对该两个存储的签名来匹配。在一些实例中，相对两个签名中的其中一个的匹配就可以认为是成功的匹配。在一些实例中，可以使用更多的阅读头位置为每个物品创建如3个、4个或者更多的签名。每个扫描头位置可与其它的偏移以便根据相邻预期的扫描位置的位置提供签名。因此，可以提供验证扫描中物品未对准的更强的健壮性。扫描头位置之间的偏移可以根据诸如物品的扫描部分的宽度、扫描尺寸相对于物品的总体尺寸、验证扫描期间可能的未对准的量、以及物品材料等的因素来选择。因此，已经描述了一种用于扫描物品以创建签名数据库，对照该签名数据库可以检查物品以便验证物品的同一性和/或真实性的系统。尽管上面已经描述了一种用于记录扫描的扫描器(即，扫描物品以创建参考签名，对照该参考签名可以在随后验证该物品)可以使用多扫描头和/或扫描头位置以便创建物品的多个签名，也可能针对随后的验证扫描使用类似的系统。例如，验证扫描中使用的扫描器可以有多个扫描头以便能够生成多个验证扫描签名。这些验证签名的每一个都可以与所记录的签名的数据库相比较，该数据库自身可能包含每个该记录的物品的多个签名。由于尽管事实上每个物品的不同的签名都可能变化，所有的这些签名将仍然与任何其它物品的任何签名极其的不同，任何一个记录扫描签名与任何一个验证扫描签名之间的一个匹配应该提供物品的同一性和/或真实性的足够的置信度。多阅读头验证扫描器可以差不多像上面参考图15描述的那样布置。同样，多个阅读头位置验证扫描器可以差不多像上面参考图16 描述的那样布置。此外，对于记录和验证扫描器二者，结合了多扫描头和每个扫描头多个扫描头位置的系统可以被结合到单个装置中。如上所述，用于加密的密钥分发是一个其中非常希望为分发准备可靠和安全设备的领域。在下面的实例中，将讨论用于加密密钥的安全分发的系统、设备和方法以及针对数据而非加密密钥的安全分发的实例，这种其它的数据可能包括诸如注册信息的识别信息以及数据库查询信息。参考图17，加密密钥200可以被组包用于安全传输使得仅仅唯一安全令牌的持有人能够重新获得该密钥。为实现这一目的，在本实例中，纠错位被添加到密钥(202)。在一些实例中，在添加纠错位之前可以将附加的随机数据添加到密钥。然后，例如，如上迷参考图 1到6讨论的根据安全令牌的扫描计算一个签名204，该签名与密钥加上纠错数据202进行异或(206)。该异或操作基于逐位异或执行以便创建一个组包后的密钥208。由此，已经以授权的接收方能够重新获得密钥的方式组包了加密密钥，但是窃听该组包密钥的第三方无法据此获得密钥。参考图18，现在将描述一种用于由授权的接收方拆包密钥的方法。组包密钥208与例如如上面参考图1到16讨论的根据安全令牌的扫描计算的签名212进行异或(214)，以获得带有纠错位的加密密钥(216) 该复原的带有纠错位的加密密钥可能包含与带有纠错位202的原始加密密钥有关的误差，因为即使是用于组包和拆包的签名是利用相同的方法根据相同的安全令牌产生的，它们也可能不一致。因此，纠错位被用于校正(218)密钥内出现的任何的此类误差，使得再现与最初组包用于传输的加密密钥100 —致的加密密钥220。纠错编码强度和系统可以基于安全令牌签名中预期的误码率来选择。在附加的随机数据被添加到密钥中，或者密钥固有地包含冗余信息的实例中，可以增强纠错编码的操作。纠错编码和冗余信息允许诸如上面参考图1到16的任何一个陈述的生物统计类型的签名与诸如加密密钥的非错误容许的系统一同使用。同一个物品不只一次产生完全相同的生物统计的签名的概率非常的小是基于生物统计的识别系统的基本行为，即使是当在同一个物品上使用同一个过程。由此可以考虑到同一物品的两个生物统计特征之间的差别以便创建一个无误差的系统用于保证不能容许错误的系统的安全。在一些实例中，组包后的密钥可能被单独传送使得密钥被作为独立的对象分发。这可以被用于以一种使得接收方能够确信密钥的发起人的方式分发来自公共/私人密钥对的密钥。在其它的实例中，组包后的密钥可以与已利用该密钥加密了的数据一同发送，使得数据的接收方具备在解密该数据中使用的解密密钥。这种系统允许从容地使用短使用寿命的加密密钥，每个密钥在支持新的密钥被废弃之前被用于如一个数据包那样少的数据。加密密钥的如此频繁的变换不会给数据接收方带来任何的不便，因为安全令牌允许访问和使用新的密钥而无需用户输入以追踪新的密钥。在一些实例中，用于组包的签名或者用于拆包的签名可能是由组包和拆包实体存储的事先创建的签名。在一些实例中，实体可能维护一个大型的签名数据库，该数据库包含与许多不同的安全令牌有关的签名。因此，例如金融服务实体(如银行)可能为许多的客户的安全令牌存储签名，允许实体进入与其的客户的基于个人的安全加密的通信。在本实例的系统、方法和设备中可以使用任何物品作为安全令牌，特别地，令牌可以主要是二维的而且可以是光学不透明的或者半透明的。这种物品的使用在上面参考图l到16更为详细地展示了。用于提供对密钥的安全访问的安全令牌可以是任何的物品，根据该物品可能创建必要的签名。例如通常携带的诸如银行卡、信用卡和忠诚卡的物品可能被用作访问令牌，不管该信息是否与该银行或忠诚计划有关的信息相关。或者，可以使用完全不明显的访问令牌。例子可能包括业务名片或其它类似的物品。使用这种不明显的访问令牌可对所有者的数据的访问的机会。由此可以避免通常与明显重要的物品和证件(如银行卡和令牌有"机密"的包泉)有关的"偷走了我(steal me)"的问题。因此可以安全地分发加密密钥以便允许预期的接收方提取密钥以使用，同时任何接收该密钥的第三方无法得到真实的密钥。在一些实例中，可能进行数据库访问请求，必要的话使用数据库注册和适当的查询。来自数据库的响应可能利用如上所述带有附加的加密数据的组包密钥来传送。在一个实例中，一个基于数据库访问令牌的固有特性的签名可能被用作数据库注册和/或查询。通过使得数据库中的每个数据记录与一个签名相关联，并且使签名成为一个可搜索的字段，所提交的签名可以被用作注册和搜索查询。在一些实例中，系统管理员访问、管理检查访问和合法或关鍵调查访问的可能的例外，签名可能仅在可搜索字段之上。此外或者作为替代，提交用于搜索和/或注册目的的签名实际上差不多就像上面概述的用于组包加密密钥被用于组包一个数据库访问密钥。该访问密钥接着可能利用针对复原。结果的数据库记录可能接着利用该安全令牌的签名被返回以便组包一个加密密钥用于解密所返回的数据。在一些实例中，数据库访问令牌和安全令牌可能是同一个有形物品。通过扫描该物品的不同区域，和/或通过以不同的分辨率扫描可以根据该物品生成不同的签名。尽管上面已经相当详细地描述了各个实施例，对本领域的技术人员来讲一旦完全理解了上述公开的内容则各种各样的变更和修正将变得明显。下面的权利要求书意图被理解为包含所有的这种变更和修正以及它们的等同物。
权利要求
1.一种用于分发密钥的方法，所述方法包括利用基于安全令牌的固有特性的签名，组包密钥；将所述组包后的密钥发送到接收方位置；以及利用基于所述安全令牌的所述固有特性的签名，拆包所述密钥。
2. 根据权利要求l的方法，其中所述组包包括创建针对所述密钥的纠错码数据，并且利用所述签名，组包所述密钥和纠错码数据。
3. 根据权利要求2的方法，其中所述拆包包括拆包所述密钥和纠错码数据，并且利用所述纠错码数据复原所述密钥中的任何错误。
4. 根据权利要求l、 2或3的方法，其中所述组包包括在所述密钥和签名之间执行逐位异或操作。
5. 根据权利要求4的方法，其中所述拆包包括在所述组包后的密钥和签名之间执行逐位异或操作。
6. 根据前述权利要求中的任何一项的方法，其中在所述组包步骤中使用的签名不同于在所述拆包步骤中使用的签名。
7. 根据权利要求6的方法，其中这两个签名都是基于同一个安全令牌的相同固有特性的。
8. 根据前述权利要求中的任何一项的方法，其中所述签名是如下创建的使安全令牌暴露于相干辐射；采集度量来自所述安全令牌的内在结构的相干辐射的散射的数据点集；以及根据所述数据点集，确定所述安全令牌的签名。
9. 根据前述权利要求中的任何一项的方法，其中所述密钥为加密密钥。
10. 根据前述权利要求中的任何一项的方法，其中所述密钥是非对称加密密钥对的密钥。
11. 根据前述权利要求中的任何一项的方法，其中所述安全令牌基本上是二维的。
12. 根据前述权利要求中的任何一项的方法，其中所述安全令牌是光学不透明的。
13. —种传输加密数据的方法，包括利用加密密钥加密数据；利用基于安全令牌的固有特性的签名，组包密钥；将所述组包后的密钥和加密的数据传送到接收方位置；利用基于所述安全令牌的所述固有特性的签名，拆包所述密钥；以及利用所述拆包后的密钥解密所述数据。
14. 根据权利要求13的方法，其中所述组包包括创建针对所述密钥的纠错码数据，并且利用所述签名，组包所述密钥和所述纠错码数据，并且所述拆包包括拆包所述密钥和所述纠错码数据，并且利用所述纠错码数据复原所述密钥中的任何错误。
15. 根据权利要求13或14的方法，其中所述组包包括在所述密钥和所述签名之间执行逐位异或操作，并且所述拆包包括在所述组包后的密钥和所述签名之间执行逐位异或操作。
16. 根据权利要求13、 14或15的方法，其中在所述组包步骤中使用的签名不同于所述拆包步骤中使用的签名，并且这两个签名都是基于同一个安全令牌的相同固有特性的。
17. 根据权利要求13到16中的任何一个的方法，其中所述签名是如下创建的使安全令牌暴露于相千辐射；采集度量来自所述安全令牌的内在结构的相干辐射的散射的数据点集；以及根据所述数据点集，确定所述安全令牌的签名。
18. 根据权利要求13到17中的任何一个的方法，其中所述数据涉及与所述密钥的组包相关的一方和与所述密钥的拆包相关的一方之间的事务。
19. 根据权利要求18的方法，其中所述事务在物理位置分隔的多方之间实施。
20. 根据权利要求18或19的方法，其中所述数据涉及各方之间的价值转移。
21. 根据权利要求18、 19或20的方法，其中所述安全令牌是与其中的一方相关的实际物品。
22. 根据权利要求21的方法，其中所述组包步骤中使用的签名i存储在签名数据库中。、
23. 根据权利要求13到22中的任何一个的方法，其中所述组包组包或拆包的时，;据所述安全令牌创建的。、
24. 根据权利要求13到23中的任何一个的方法，其中在加密之前从数据库提取所述数据。
25. 根据权利要求24的方法，其中基于数据库访问令牌的固有特性的签名已经预先提交作为对所述数据库的搜索查询的一部分。
26. 根据权利要求25的方法，其中所述数据库访问令牌和所述安全令牌是同一个物理实体。
27. 根据权利要求13到26中的任何一个的方法，其中所述安全令牌基本上是二维的。
28. 根据权利要求13到27中的任何一个的方法，其中所述安全令牌是光学不透明的。
29. —种密钥分发系统，包括可操作用于利用基于安全令牌的固有特性的签名，组包密钥的密钥组包单元；可操作用于使得所述组包后的密钥通过其传送的信道；以及可操作用于利用基于所述安全令牌的所述固有特性的签名，拆包所述密钥的密钥拆包单元。
30. 根据权利要求29的系统，其中所述密钥组包单元可操作用于创建针对所述密钥的纠错码数据，并且利用所述签名组包所述密钥和所述纠错码数据。
31. 根据权利要求30的系统，其中所述密钥拆包单元可操作用于拆包所述密钥和所述纠错码数据，并且利用所述纠错码数据复原所述密钥中的任何错误。
32. 根据权利要求29、 30或31的系统，其中所述密钥组包单元可操作用于通过在所述密钥和签名之间执行逐位异或操作执行所述组包。
33. 根据权利要求32的系统，其中所述密钥拆包单元可操作用于通过在所述组包后的密钥和签名之间执行逐位异或操作执行所述拆包。
34. 根据权利要求29到33中的任何一个的系统，其中在所述组包步骤中使用的签名不同于所述拆包步骤中使用的签名。
35. 根据权利要求34的系统，其中这两个签名都是基于同一个安全令牌的相同固有特性的。
36. 根据权利要求29到35中的任何一个的系统，其中所述签名是如下创建的使安全令牌暴露于相干辐射；采集度量来自所述安全令牌的内在结构的相干辐射的散射的数据点集；以及根据所述数据点集，确定所述安全令牌的签名。
37. 根据权利要求29到36中的任何一个的系统，其中所述密钥为加密密钥。
38. 根据权利要求29到37中的任何一个的系统，其中所述密钥是非对称加密密钥对的密钥。
39. 根据权利要求29到38中的任何一个任何一项的系统，其中所述安全令牌基本上是二维的。
40. 根据权利要求29到39中的任何一个的系统，其中所述安全令牌是光学不透明的。
41. 一种加密数据传输系统，包括可操作用于使用加密密钥加密数据的加密单元；可操作用于利用基于安全令牌的固有特性的签名，组包所述密钥的组包单元；可操作用于使得所述组包后的密钥和加密的数据通过其传送的信道；可操作用于利用基于所述安全令牌的所述固有特性的签名，拆包所述密钥的拆包单元；以及可操作用于使用所述拆包后的密钥，解密所述数据的解密单元。
42. 根据权利要求41的系统，其中所述安全令牌基本上是二维的。
43. 根据权利要求41或42的系统，其中所述安全令牌是光学不透明的。
44. 一种基本上如在上文参考图16或17描述的系统。
45. —种基本上如在上文描述的设备。
46. —种基本上如在上文描述的方法。
全文摘要
一种密钥分发系统，该系统可包括可操作用于利用基于安全令牌的固有特性的签名，组包密钥的密钥组包单元；可操作用于使得组包后的密钥通过其传送的信道；以及可操作用于利用基于该安全令牌的固有特性的签名，拆包该密钥的密钥拆包单元。由此，可以经由一个非保密信道将密钥传送到接收方并从而使用该密钥，第三方不可能通过监听该信道获得密钥的副本。
文档编号G07F7/10GK101326551SQ200680033134
公开日2008年12月17日申请日期2006年7月19日优先权日2005年7月27日
发明者J·D·R·布坎南, R·P·考博恩申请人:英根亚技术有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：R.P.考博恩;J.D.R.布坎南
技术所有人：英根亚技术有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、李老师：1.计算力学 2.无损检测
2、毕老师：机构动力学与控制
3、王老师：1.计算机网络安全 2.计算机仿真技术
4、张老师：1.机械设计的应力分析、强度校核的计算机仿真 2.生物反应器研制 3.生物力学
5、孙老师：1.机机器人技术 2.机器视觉 3.网络控制系统
如您是高校老师，可以点此联系我们加入专家库。