篡改激活的可认证安全设备的制作方法

发明背景

如今，提供了各种防伪解决方案，通常使用安全设备。对于安全设备，存在多种技术，使其可应用于认证解决方案和防篡改密封。但是，几乎没有可用的、将认证的各个方面与密封的优点有效地结合在一起的解决方案。在许多解决方案中，认证是通过不间断的密封进行的，并且/或者一旦密封破损，就不再可能进行认证。在认证中，目标是确定某物，例如物体是源自真实来源，即其声称源自的来源。另一方面，设计密封使得人们能够确定密封(以及由此保护的物体或值)是否已被篡改，即密封是否损坏。特别是，没有允许自动独立地验证安全设备的真实性和完整性的解决方案。在安全设备应该可认证的应用中，无论是否已篡改同一安全设备，都需要此类具有独立的真实性和完整性证据的解决方案。甚至更是如此，如果对验证真实性和知道(真实的)安全设备已被篡改有特别的关注，则需要这样的解决方案。这意味着知道真实的密封已被破坏。拥有可以在任何情况下(即在其被篡改之前和之后)能够进行认证的安全设备可能是有益的。另外，将假冒的篡改的安全设备与真实的篡改的安全设备区分开可能是有益的。

因此，需要一种安全设备，该安全设备构造成使得能够使用包括照相机的可编程设备独立地并且自动地评估所述安全设备的真实性和完整性。

现有技术

自然地，存在可用的安全设备，其被描述为防篡改的认证设备。通常，只要未篡改安全特征，便能够对它们进行认证。通常，它们设计为使得篡改安全设备最终会破坏安全设备或导致负面的认证结果。因此，在安全设备被篡改之后，无法进行认证。

us2001/0005570a1公开了一种通过在基板上放置多层光学复合体来标记物品或文档的方法，该多层光学复合体由诸如条形码、照片或文字的识别部分以及由衍射光学标记构成的认证部分组成，所述部分一个接一个地堆积布置，使得它们在不破坏认证部分的情况下不能分开。该布置的声明目的是，篡改将破坏光学组件，即识别部分和认证部分。认证被篡改和破坏的光学复合体的可能性没有公开。此外，us2001/0005570a1提到需要认证部分来认证识别部分。

de102015003837a示出了一种方法和系统，该方法和系统通过密封元件保护物体来防止假冒，该密封元件包括天线结构，例如线圈，该线圈能够被看作是谐振电路。

为了更好地理解该问题，我们随后将使用一些示例用例：在许多国家，假酒是健康和税收损失的主要问题。通常，真实的酒瓶是从垃圾堆里捡来的，然后再装满假酒。在另一个场景中，打开真实的酒瓶、去掉正宗的酒(可能在黑市上出售)并且换成假酒。装有假酒的真实的酒瓶随后被摆上货架，不知情的消费者在货架上购买和消费。

作为防止这种情况发生的第一步，制造商已经采取了补充保护措施(例如，如us458817a中所提出的)，以强硬对待或阻止瓶子的重新装满。对于造假者来说，一个可能的办法是收获真实的瓶子，去掉原来的封闭件，重新装满瓶子，并配备一个仿制的封闭件。对于消费者而言，几乎不可能将真实的封闭件与模仿的封闭件区分开。因此，出现了对封闭件本身的认证解决方案的需求。这样就允许消费者验证某个特定的封闭件是否真实，即补充保护是否完整，或者该封闭件是否是仿制的，即可以假定该封闭件以及因此瓶中的物品已被篡改。

为了允许封闭件认证，基本上任何安全设备和自动认证系统都可以使用，例如在us2015/0188706a中的较早工作中所提出的。该示例性解决方案允许消费者通过使用包括照相机，例如智能手机的可编程设备来验证配备有安全设备的封闭件的真实性，无需任何其他设备。然而，即使他们的健康受到威胁，消费者通常也不愿意(大概是出于方便的原因)在消费受保护的物品(即瓶内的酒)之前认证这种安全设备。一种提高认证率的方法是通过为每次进行的认证提供好处或奖励来吸引消费者，这与众所周知的忠诚度计划的概念类似。有几种不同的业务模型。在一种模型中，对安全设备进行认证的每个人都可以得到奖励。但是，人们可能会开始去零售商那里，扫描现成的安全设备，以获取尽可能多的奖励，这当然是不可取的，并且从根本上使激励机制无效。因此，出于商业原因，提供这些奖励计划的品牌要么只能给予少量奖励。要么对于每个经过认证的安全设备，他们一次只发放一次奖励。在后一种情况下，这意味着合法购买者可能无法获得奖励，因为非法的非购买者已经“从”安全设备中获取了奖励。因此，如果他或她对相应的安全设备进行认证，则需要确保只有购买物体的人才有权获得奖励。在这种情况下，重要的是建立购买凭证或所有权要求。

解决该问题的一种众所周知的方法是设置例如密码，其在不打开包装，例如不打开瓶子的情况下实际上无法访问。许多市场营销活动都遵循这一原则。通常将代金券密码(通常为数字或字母数字)放在瓶盖内，标签内侧(仅在清空瓶子中的内容后才能看到)或在安全刮板中。仅当包装破损或被篡改时，才可以访问此密码，而在合理的情况下，此密码只能由合法购买者完成。

wo2011/127279a1提出了防篡改包装和唯一标识符的组合，能够将其用于认证目的。该唯一标识符无法从防篡改包装的外部检测到。因此，访问它不可避免地显示出篡改的迹象。因此，在操纵防篡改的包装之前不可能验证真实性。类似于该解决方案，其中通过安全设备的防篡改部分保护安全设备的可认证部分的所有其他解决方案不能在上述使用案例中使用。这是因为认证并非独立于防篡改。

wo2016/207549a1提出了一种解决方案，其中将能够用于认证目的的第一密码放置在防篡改包装(例如防伪包装)的外部，例如在瓶子外面，以及从瓶子外面无法访问地放置的第二密码。但是，没有提出用于自动检测防篡改的解决方案。甚至更是如此，也需要对只能在篡改/打开展示的瓶子之后才能检测到的第二密码进行认证。因此，同样利用该解决方案，在不篡改瓶子的情况下不可能独立地进行认证。

wo94/18087a1提出了一种解决方案，其中，在打开瓶子时不可逆地分离位于瓶盖外部的密码。所述密码可以在打开瓶子之前和之后用于认证，但是，没有帮助用户检测防篡改的可用的自动或机器辅助方法，最终需要用户指导或教育。同样，这种解决方案不能用于购买证据/索赔所有权用例，在这种情况下，访问附加值的权利必须以检测破损但真实的密封(即，已被篡改的真实安全设备)为前提进行约束。

wo01/53106a1还提出了一种方法，其中在打开防篡改容器(例如瓶子)之前不可访问安全设备的认证关键部分。

如所提到的，需要一种能够检查其真实性和完整性的安全密封。特别地，这些检查能够独立进行，例如尽管密封已经损坏，但仍能够认证真实性。有可用的防篡改安全设备，其也能够进行认证，但前提是它们没有损坏，即完整性和真实性相互依赖。此类防篡改的安全设备在篡改安全设备的前提下工作，例如将其从要保护的物体中移除会以某种方式破坏安全设备，从而使其无法再通过认证。

在不同的应用领域中，ch707871a2提出了一种用于对行李箱的访问进行计数的认证设备。通过防篡改安全特征保护该设备，以防止更换计数器。

防篡改安全设备通常设计为使得防篡改部分是公开的安全特征，但是，该特征例如通过光学工具未自动明确检测到。知道和评估明显的防篡改特征的状态只是用户的责任。

这种明显的防篡改安全特征的一个示例是防篡改标签，尤其是防篡改全息标签。这样的解决方案通常也被称为“无效全息图”。对于全息图，最显著的是，这些安全设备具有一定的结构，其特征在于，一旦对安全设备进行了篡改，便会看到无效图案。通常这是一种棋盘图案，全息图的部分被破坏，或者出现“失效”或“无效”一词(因此得名)。这种防篡改图案通常是通过机械触发或化学触发来激活的，例如通过从物体上取下安全设备来激活。另外，用安全设备密封的容器的开口会引起机械应力，因此改变温度(冷链)等也会造成机械应力。有一些方法可以篡改此类安全设备，而只会造成最小的篡改效果，或者完全不会激活防篡改结构。例如，可以用手术刀切开断点(wo2017/097962a1中提出了一种对策)，停用基于张力的触发器，例如当打开容器或瓶子时，通过切掉一条肉眼几乎看不见的细线等。因此，相对容易地伪造对防篡改特征的手动评估，仅仅是因为篡改可能被忽略或人眼无法察觉。安全设备是否已被篡改的决定仅取决于可能未受过教育的观察者，因此由于缺乏教育而可能无效。自然的方法是借助设备辅助的密封认证。

但是，许多设备辅助的安全密封解决方案严重依赖密封，一旦被篡改就被破坏。一种通常的方法是验证安全设备的真实性，并在可能的话声明安全设备的完整性也完整无缺，即它未被篡改。尤其是，如果可能以某种方式篡改特定的安全设备，使得不激活防篡改结构或效果微不足道，则这对于自动防篡改安全特征评估也固有地存在问题，并且不提供有效的完整性认证。对于容器和包装，us2017/0053200a1中提供了一种基于rfid的解决方案，该解决方案允许检测包装或容器的连续性。换句话说，一旦包装(因此密封)被破坏，它会基于断裂的rfid天线提供“开放”检测。

据我们所知，目前没有可用的、允许通过使用包括摄像头的可编程设备，特别是不需要任何其他设备的安全设备独立地验证其真实性和完整性。

总而言之，现有技术为被称为防篡改的安全设备，如果对安全设备的篡改导致破坏所述安全设备，则认证不再可能或具有负面结果(给定被篡改的安全设备是真实的)。

技术实现要素：

因此，本发明的目的是提供一种防篡改的安全设备和允许独立地确认安全设备的完整性和真实性的方法。

因此，即使安全设备已被篡改，也可以对其进行认证。如果完整性和真实性这两个方面都至关重要，则这一点特别有用，但出于不同的目的。如开头所述，状态“真实，但未给出完整性”能够被视为购买真实物品的证据。这进而可以用来授予特权，以访问安全设备后的某个附加值。因此，如果现在将附加值放在认证过程之后，如果只有在发生篡改(即安全设备已被正确篡改)后才能获取此值，则是有益的。从这个意义上说，人们还可以将所提出的发明称为篡改激活的可认证安全设备。

可以接受的是，对于液体瓶使用示例，一旦密封破裂，破坏用于获取附加值的选择通常可能有助于使消费者在打开包装或容器之前验证真实性和完整性。但是，在一般情况下，可能希望也允许或仅允许消费者在已打开包装或容器、从而破坏安全设备的完整性后获取附加值。自然地，这应该仅对于真实的安全设备是可能的，因此，再次重复，用于保护该附加值的安全设备是篡改激活的可认证的安全设备。为了确保被篡改的安全设备确实是真实的，即使在正确篡改安全设备之后，自动认证应该仍然是可能的。因此，在被篡改时会自行损坏的防篡改安全设备将不适用于此类应用设置。

在下文中，我们提出了防篡改安全设备和允许独立地验证该安全设备的真实性和完整性的方法。我们还将介绍本发明的几个实施例，其中之一是将本发明用作篡改激活的可认证安全设备，其特征在于，所述安全设备能够用于保护只有在真实的安全设备已被正确篡改后才可访问的附加值。

为了实现上述目的，本发明提供了一种具有至少两个安全特征的安全设备，其中，所述安全特征中的至少一个是防篡改安全特征，其配置为在机械篡改安全设备时不可逆地改变，并且所述安全特征中的至少另一个是鲁棒安全特征，其对于抗机械篡改所述安全设备是鲁棒的，其中，至少在安全设备的完整状态下，能够利用包括照相机的可编程设备从安全设备的至少一个图像中提取所述至少两个安全特征。安全特征优选地是光学安全特征，允许视觉提取。为实现提取，在安全设备完整状态下安全特征可见。安全设备的完整状态是给出安全设备的完整性的状态。术语“安全特征”是指安全设备的特征或特性。优选地，具有所述特征或特性的安全设备的结构至少在经济规模上难以复制，从而证明术语“安全”。安全特征可以是光学特性(颜色或亮度)、可变光学特性(颜色随视角变化)、参考点之间的距离、网格的间距、线的结构(实线、虚线等)、视觉密码或符号(字母、条形码等)、封闭框围成的区域或参考点之间的区域、解码视觉密码时遇到的错误率(例如具有纠错信息的qr码)等等。防篡改安全特征是这样的特征，当安全设备完整时具有第一值或呈现第一状态，并且当安全设备被篡改时具有第二值或呈现第二状态。第一值和第二值以及第一状态和第二状态是指能够利用包括照相机的可编程设备(例如，智能电话)从安全设备的至少一个图像中提取的特性。防篡改安全特征配置为在对安全设备进行机械篡改时不可逆地改变，这意味着不可能(至少不是用合理的努力)由于机械篡改而使安全设备经历的改变逆转，使得防篡改安全特征再次具有第一值或呈现第一状态。例如，防篡改安全特征可能是在拉伸箔纸或收缩箔纸上印刷的行距：一旦箔纸已被篡改并变形，实际上不可能精确地恢复原始间距，以至于可编程设备将检测不到差异。另一个示例是在交错的棋盘图案上进行鲁棒安全特征的对齐：一旦通过机械篡改已将棋盘图案分开，实际上不可能恢复原始的对齐方式，以至于可编程设备将检测不到差异。术语“鲁棒安全特征”是指此安全特征相对于防篡改安全特征相对更稳定且更强。这并不意味着安全特征对于机械篡改是不可变的，而是在安全设备的目的和功能之内的常规机械篡改使鲁棒安全特征保持不变。

优选地，能够在安全设备处于篡改状态下，利用包括照相机的可编程设备从安全设备的至少一个图像中提取至少两个安全特征(即，包括防篡改安全特征和鲁棒安全特征)。这意味着在该优选实施例中，利用包括照相机的可编程设备，即在视觉上可检测到，不仅能够提取如上定义的防篡改安全特征的第一值或第一状态，而且能够提取第二值或第二状态。此处的优点是，能够对安全设备的“篡改”状态做出肯定的视觉确认，从而使得利用实际未篡改的安全设备伪造此状态变得更加困难(例如，通过覆盖安全设备的部分、移除安全设备的部分等)。

已经证明有利的是，在安全设备的完整状态下，安全设备的至少一个防篡改安全特征呈现预定的值或状态。换句话说，在这种情况下预先确定如上定义的第一值或第一状态。这使得检测和肯定地确定安全设备的“完整”状态相对容易。

此外，在安全设备的篡改状态下，安全设备的至少一个防篡改安全特征可以呈现预定值或状态、或在预定范围内的值。换句话说，在这种情况下或至少在预定范围内如上定义的第二值或第二状态已预先确定。这使得检测和肯定地确认安全设备的“篡改”状态相对容易。

在附接到物体(或产品或物品)上的安全设备的优选应用中，至少一个防篡改安全特征和至少一个鲁棒安全特征是结构的特征，该结构被划分为至少两个部分，其中至少一个部分对物体具有更强的粘附力，并且至少另一个部分对安全设备的载体材料具有更强的粘附力，并且如果该安全设备被篡改，则该结构部分破坏该安全设备或使其分裂，其中至少两个部分之间分配了至少一个鲁棒安全特征，从而能够认证剩余在物体上的至少一个部分和/或至少另一个部分。这是上述关于交错的棋盘图案的原理的优选实施例，即，通过粘附到安全设备的不同部分来实现图案或部分的分离，其需要分开以接近物体或产品。

有利地，至少两个安全特征是安全设备的部分或完全重叠的部分(或面积或区域)的特性。换句话说，鲁棒安全特征和防篡改安全特征不归因于安全设备的几何上可分离的部分。这使得通过改变用于提取安全特征的图像来欺骗认证更加困难。它保证防篡改安全特征被记录并且能够与鲁棒安全特征一起被提取。例如，当基于鲁棒安全特征的相对布置来定义防篡改安全特征时，在安全设备的表示两个安全特征的部分中固有地并且必然存在重叠。

为了提高安全设备的安全性以防假冒，即伪造安全设备的生产，至少一个安全特征能够是随机的或唯一的安全特征。这些随机或唯一的安全特征能够注册，通常，复制这些特征比合法生产要困难得多。

优选地，安全设备包括标识符。标识符能够是易于识别和再现的简单数据。它允许识别用于追踪目的安全设备、认证或记录可与其附接的安全设备或物体或产品。此外，所述随机或唯一的安全特征可以被注册到简单数据，并且如果需要能够在认证期间被访问。

本发明还提供如上所述的一种用于验证安全设备的方法，该方法包括：

-记录安全设备的至少一个图像；

-从至少一个记录的图像中提取至少两个安全特征；

-将至少一个提取的鲁棒安全特征的值与预定值进行比较，如果比较值匹配，则通知安全设备的真实性；以及

-将至少一个提取的防篡改安全特征的值与对应于安全设备的完整状态的预定值或状态进行比较，如果比较发现匹配，则通知安全设备的完整性。

这里的“完整性”是指安全设备以及其通常附接的物体或产品的完整状态。重要的是要注意，上述方法允许肯定地确认真实性和完整性，但不能肯定地确认安全设备的“篡改”状态(只能发现无法确认完整性)。

因此，一种优选的方法还包括：

-将至少一个提取的防篡改安全特征的值与预定值或状态或预定范围的值进行比较，如果比较找到匹配，则对应于安全设备的篡改状态，通知安全设备的篡改。

为了提高本方法的安全性，能够将防篡改安全特征与鲁棒安全特征结合以验证真实性：有利地，该方法的特征在于，在通知真实性之前，检查至少一个提取的防篡改安全特征是否与对应于安全设备的完整状态的预定值或状态匹配，或者是否与对应于安全设备的篡改状态的预定值或状态或预定范围的值匹配，并且仅当找到这些匹配项之一时才通知真实性。

事实证明，采用至少一个防篡改安全特征的提取和/或预定值来支持对至少一个鲁棒安全特征的提取和/或认证是有利的。这能够通过产生防篡改安全特征来实现，使得它们与鲁棒安全特征(例如，不同的视觉表示)有关。以此方式，能够将防篡改安全特征用于以任何其他方式重建/补偿或辅助鲁棒安全特征的提取，从而使得提取更加容易和快捷。这可以立即检测出防篡改特征是否呈现其第一值或第一状态，指示完好或未篡改的安全设备(在这种情况下，与鲁棒安全特征相对应的信息要比防篡改安全特征已被篡改时更完整)。

为了获得不同安全特征的参考值或状态，该方法优选地包括：

-在比较步骤之前，从至少一个记录的图像中提取安全设备的标识符，并从存储器检索与安全设备处于完整或篡改状态下的防篡改安全特征的值或状态相对应的、并且与提取的标识符关联的预定值或状态或预定范围的值。存储器可以是本地存储器或数据库，也可以是远程数据库或储存器，例如可通过网络服务访问。

最后，本发明还提供了一种可编程设备，该可编程设备包括照相机并且配置为执行如上所述的方法的步骤，并基于真实性和完整性的结果的组合来指示安全设备的真实性和/或完整性和/或触发特定动作。

附图说明

将基于附图详细说明本发明。这些附图示出了本发明的示例性实施例：

图1示意性地示出了具有根据本发明的安全设备的开瓶指示器；

图2示意性地示出了根据本发明的具有安全设备的箔包装纸；

图3示意性地示出了带有标签的包装，该包装包括安全设备，该安全设备包括在移除标签之前和之后的交错的棋盘图案；

图4示意性地示出了图3的实施例的第一变型，其中一个棋盘图案消失了；

图5示意性地示出了图3的实施例的第二变型，其中，棋盘图案使安全箔片碎裂；

图6示意性地示出了相对于相同基础材料的棋盘图案的不同布置；以及

图7示出了根据本发明的用于验证安全设备的方法。

具体实施方式

为了设计一种允许独立验证真实性和完整性的安全设备，其必须独立验证至少两个方面，因此需要至少两个安全特征。

在通常的认证或认证应用中，使用了可编程设备，该可编程设备使用传感器从安全设备中提取某些特征。在本发明中，我们关注能够使用包括照相机的可编程设备提取的特征。例如，可以使用智能手机或平板电脑。然后将提取的特征与预定特征进行比较，以描述安全设备应该是什么样子。如果提取的特征与预定特征匹配，则表明结果是肯定的。

这些安全特征的性质是多种多样的。在许多应用中，使用静态安全特征，这些特征是预先确定的，并由特定安全设备的所有实体共享。具有静态安全保护特征的安全保护设备的示例为钞票上的全息图、缩微印刷或水印。某些类型的所有钞票都应该具有那些特定安全设备的有效实体。能够通过提取安全特征来认证安全设备，例如观察特定的图案，然后将提取的特征与预定值(即其应该具有的图案)进行比较。

在其他应用中，使用唯一或随机安全特征(请参阅us2016/0297231a)。在这样的应用中，通常在生产安全设备的特定实体期间提取预定特征，并且通常与标识符一起将预定特征存储在存储器，例如数据库中。数据库能够是集中式的、或存储在例如安全设备旁边的机器可读密码(请参阅us2015/0188706a)中。为了进行认证，从安全设备中提取特征以及标识符，利用标识符从数据库中检索预定的特征并将其与提取的特征进行比较。如果它们匹配，则安全设备是真实的或完整的。

非常相似的，可以对包括认证和完整性部分的安全密封的认证进行建模。为了便于概念理解，我们可以使用另一个示例。古代的蜡封被用来保护信的内容等等。如果密封已损坏，则只能读信。如果接收者收到了一封信，他会通过检查密封上的标志(是否与发送者的图章环匹配)来认证该信的真实性，并针对其完整性检查密封，即检测该密封是否已破损。如果密封没有被篡改，他就会知道自己是第一个阅读该信的人。否则，基于密封，他可能仍然能够验证发送者的真实性，因为标志可能会被切成两半，但仍然可以识别。但是，与此同时，接收者知道由于密封被破坏，这封信已经被打开。因此，这封信的内容可能已经被公开。

所提出的发明在概念上很像古代的蜡封。它至少具有两个安全特征；一个是鲁棒防篡改(对应于密封上的标志)，以及至少另一个，其保证以不可逆的方式机械改变，并因此防篡改，即表明篡改(对应于密封蜡损坏)。接收者必须手动提取特征(例如，密封的标志和状况)，并且(通常是在不知不觉中)将其与两个安全特征的预定值(例如，特定的标志和“未破坏”)进行比较。但是，有一个重要的区别；使用古老的蜡封，接收者必须事先了解该信息，以验证蜡封的真实性。因此，他需要受过教育，并且成为专家来验证蜡封的真实性。当今的安全设备几乎相同。作为示例，必须知道(或学习)全息图应表现出的特定行为，以便验证全息图是否真实。这种知识通常是缺失的，即消费者通常不具有该知识。因此，我们建议使用包括照相机的可编程设备，该可编程设备能够查找预定值，并因此允许用户在没有任何先验知识或教育的情况下验证所提出的安全设备的真实性和完整性。类似的，如开头所提到，即使到今天防篡改大多以视觉方式显示，例如通过部分破坏安全设备(棋盘图案、“无效”图案)或以某种方式破坏它，使其不再能够自动进行认证。

令人惊讶的是，就我们所知，目前没有可用的安全设备，该安全设备能够用与古代蜡封相同的方式通过包括照相机并使用光学装置的可编程设备进行认证。因此，没有可用的技术，该技术允许单独地验证真实性，即安全设备是否源自真正的卖方，以及其完整性，即安全设备是否已被篡改。本发明与现有技术之间的主要区别在于，即使安全设备已经被篡改，安全设备的真实性仍然能够被认证。虽然在现有技术中，安全密封或安全设备的认证系统通常具有两个值，即完整或破损，分别为真实或假冒，但本发明引入了一种新颖的多状态认证系统，其包括结果“真实且完整”、“真实且不完整”、“假冒与完整”以及“假冒且不完整”。实际上，后两种状态的分离是无关紧要的，有效地形成了三态认证系统。

目的是设计一种包括至少两个安全特征的安全设备，其特征在于，它具有至少一个防篡改的安全特征和鲁棒防篡改的至少另一个安全特征。防篡改安全特征的特征在于，篡改安全设备会导致此安全特征发生不可逆的改变。该至少一个鲁棒安全特征的特征在于，它不受篡改的影响，或不受这种方式影响，使得该安全特征的附带改变能够被补偿(例如，通过数据)或被忽略。

图1示出了根据本发明的安全设备1的应用。安全设备1包括布置在瓶子的盖3(未示出)上的全息图部分2和布置在瓶子的颈部5上的参考部分4。全息图部分2的光学特性6(由波型表示)形成了安全设备1的鲁棒安全特征。作为全息图部分2的替代，可以使用箔片部分的箔图案。全息图部分2的边界与参考部分4的边界之间的距离7、8(在图中用双头箭头表示)形成了安全设备1的防篡改安全特征。由于安全设备的部分2、5布置在瓶子的同一侧，因此使用智能手机的摄像头拍摄的单个图像能够捕获部分2、5以及它们的距离7、8。全息图部分2的光学性质可能需要第二图像，以允许认证可变的光学特性。然后，能够从这两个图像中提取这两个安全特征。

如us9,114,912中所公开的，盖3和颈部5以及安全设备1能够是开瓶指示的一部分。在瓶子的原始状态下，盖3以预定深度布置到瓶子的颈部中。该预定深度导致全息图部分2与参考部分4之间的距离7的预定第一值。一旦将盖3从颈部5上拉下，实际上就不可能恢复原始距离7，而是呈现不同的距离8。该不同的距离8对应于防篡改安全特征的第二值。它在由盖3完全插入瓶中的情况所限定的最小距离与由盖在全息图部分2下方的延伸所限制的最大距离之间的预定范围内。

图2示出了根据本发明的安全设备11的另一实施例。在此，安全设备11包括印刷在包装产品的箔10上的箔图案12。箔图案12的元件14是安全设备11的鲁棒安全特征。为了获取产品，箔片10通过拉伸被机械地篡改。拉伸后，它不会恢复到其原始形状，而是保持为延伸形状13。箔10、13的变形还使箔图案12变形，从而改变箔图案12的元件14的相对布置。防篡改安全特征是元件14形成的网格的变形(表示为波浪)。例如，防篡改安全特征的第一值能够是元件14之间的预定间隔。如果该间隔在任意两个元件14之间变形，则表明机械篡改了安全设备11，并且将不再确认其完整性。但是，元件14本身仍然存在，因此允许对安全设备1进行认证。

在下文中，我们将提供用于构建至少一个鲁棒的和至少一个防篡改安全特征的一些附加示例，其可以在有益的情况下用于本发明。

防篡改和鲁棒安全特征的构建

如图3所示，安全设备19的特征在于其能够附接到某个物体20。在优选的设置中，安全设备还附接到载体材料24，例如该安全设备是安全标签21的一部分。所述安全设备19可以细分为两个或更多个部分，其中，第一部分22的特征在于其对物体的粘附力更强，而第二部分23的特征在于其对载体材料的粘附力更强。当安全标签21从物体20上移除时，以对物体具有更强粘附力为特征的第一部分22保留在物体20上。第二部分23的特征在于与载体24具有更强的粘附力，该第二部分与载体材料24一起从物体20上去除。在该示例中，鲁棒安全特征由第一部分22的部分形成，例如箔图案或全息图图案。防篡改安全特征能够是安全设备的图案填充区域(用于“完整”状态)以及棋盘边界相对于安全设备19的边界的布置(用于“篡改”状态；参见图6以了解不同的可能性)，或安全设备19的框架结构，或两者。因此，安全特征是安全设备19的完全重叠部分的特性。

对于实际应用，可获得许多适合用于构造具有不同粘附力或表面张力的结构的材料和技术。这些通常被称为防篡改/抗篡改全息材料或无效全息图，并且被认为是最新技术(例如参见示例us6087075a、us8944470b2或wo2012/035546a2)。

在另一实施例中，该安全设备的特征可在于，一旦被机械地篡改，其不可逆地几何变形。然后，所述不可逆的几何变形被包括照相机的可编程设备检测到。例如，在ep1538554a2中提出的材料(特别是指机械应力方面)。

在如图4所示的另一有益设置中，第一部分22的特征可能在于，去除标签21导致安全设备19的第一部分22消失，而第二部分23保留在载体材料24上。例如，这能够借助于两个或更多个部分22、23中不同的表面张力来实现。

当安全设备从物体上移开(即被篡改)时出现的图案通常称为“无效图案”。在图3-5中，示出了棋盘无效图案。这种图案自然会引起安全设备不可逆的机械变化。一旦通过机械操作激活了无效图案，并且安全设备基本上被分成了两个或更多部分，则实际上不可能重新组装这两个或更多部分。例如，这是由于沿部分边界的缺陷所致。甚至如此，如图4所示，第一部分最终可能会自我破坏并分别消失。如图3和图4所示，如果将标签从物体上移除，则会出现无效图案，并且基本上会将安全设备“拆分”为两部分。保留在物体上的第一部分和从物体上移除且仍连接到载体材料的第二部分。现在有几个选项可以验证这种安全设备的真实性和完整性。作为防篡改安全特征，例如可以使用中断的概念。替代地或附加地，可以检测无效图案本身。现在拆分的安全设备的两个部分仍具有原始安全设备完整区域的一部分。这些区域不受篡改的影响。例如，如果安全设备是ovd，则那些未受影响区域内的光学特性仍与篡改之前相同。因此它们对于抗篡改具有鲁棒性，因此可以用作鲁棒安全特征。

能够构造无效图案，使得一旦对其进行机械操纵(即被篡改)，安全设备满足具有至少一个不变的安全特征(即鲁棒安全特征)和至少一个变更的安全特征(即防篡改安全特征)的特征。至少两个安全特征可能也部分或完全重叠。作为示例(参见图5)，我们假设安全设备是由一种特殊设计的片状产品制成的，如欧洲专利申请号16188357.4所记载，在此引用作为参考。所述片状产品的特征在于其具有标记区域26，所述标记区域优选是具有前向纠错编码的机器可读2d密码，例如与数据矩阵代码(datamatrix-codes)中的里所码(reed-solomon)相似。这种取决于冗余信息的数量的编码允许销毁一定百分比的密码，同时仍可以对其进行可靠且正确的解码。因此，标记区域26虽然受到篡改的影响，但仍然对篡改具有鲁棒性。如何构造防篡改安全特征有多种可能性。直接地，如果可以看到无效图案，则可以检测到。可替代地，当解码这样的机器可读标记区域时，在通常的实施方式中，测量解码错误率。当从已被篡改的安全设备读取数据时，与从完整的安全设备读取数据时相比，解码错误率预计会更高。这是因为无效图案会破坏部分密码，从而导致模块的分类错误(白色/黑色)率更高(模块是2d密码的黑白点)。

在实际应用中，对于具有至少部分重叠的安全特征的这种安全设备，使用包括照相机的可编程设备来检测防篡改安全特征的特性可能是有益的。然后，可以使用这些特性来推断鲁棒安全特征的哪些部分也可能受到篡改的影响。因此，在提取鲁棒安全特征的特性时，此信息可用于掩盖受影响的区域，否则可能会对检测精度和性能产生负面影响。所述信息还可以用于查找安全设备原材料的预定特性。例如，在一个优选的实施例中，可以使用如上所述的特殊设计的片状材料，其包括标记区域26，该标记区域可以用于查找安全设备的相邻安全图案25的视觉特性。优选地，安全设备以包括一个以上标记区域26的方式构造。假定，图5中所示的棋盘无效图案可破坏标记区域26的很大一部分。在优选实施例中，所述标记区域26可以设计有前向纠错码，这使得它们对于一定程度的损坏是鲁棒的。只要所述标记区域26之一能够被包括照相机的可编程设备解码，则可以确定片状产品中的相邻部分的预定视觉特性。因此，从至少一个可解码标记区域26得知安全设备的视觉预定特性。因此，为了进行认证，能够在不受机械篡改影响的那些区域(即鲁棒安全特征)中准确地认证安全设备的光学特性。这样可以将鲁棒安全特征的特性的提取从提取或识别任务转换为认证任务。在图像处理和计算机视觉领域中，众所周知，认证任务(即某个图像是否与模板匹配)比识别任务要高效、鲁棒且不易出错，其中在模板的大型数据库中必须找到正确的模板。在该优选实施例中，从至少一个防篡改安全特征提取的特性用于补偿机械篡改对至少一个鲁棒安全特征的(不期望的)影响，因此使认证过程更容易。

该概念能够适用于条形码、2d密码等。在这样的设置中，可能需要注意的是，条形码等通常使用前向纠错编码，例如里所码。这将密码分成多个密码字，每个密码字分布在密码区域中并编码冗余信息。因此，如果部分密码被破坏，由于冗余信息，仍然有可能检索实际内容。但是，解码时可能会遇到明显更高的错误率。因此，密码内容可以充当鲁棒安全特征，而错误率由于安全设备即条形码的篡改而明显增加。如果应用阈值或错误率与其他参数(图像质量、焦点、曝光等)相关，则能够使用例如简单的阈值检测到与预定平均错误率的偏差。然后，这可以用作防篡改安全特征，其中，由与完整或未破坏密码的预期平均解码错误率匹配的提取的解码错误率指示对应于完整安全设备的完整状态。在第二“篡改”状态下，解码错误率超过所述阈值或与基于安全设备由于操纵或机械压力而预期改变的特性而预先确定的值匹配。

如上所述，本发明可用于控制对附加值的访问，例如向安全设备注册或受其保护的特权。仅当安全设备处于“真实且已被篡改”或“真实且不完整”状态时，才应访问该值。因此，与大多数安全解决方案相反，篡改安全设备是一件好事(也是必要的事情)，以便使附加值可访问。因此，以某种方式设计防篡改安全特征可能会有所帮助，以便它提供额外的安全性。这可以通过验证是否例如无效图案相对于参考标记具有正确的尺寸、图案、轮廓和/或偏移。此类参考标记可以是安全设备的轮廓、安全级别的任何部分、附加放置的参考标记等。

在优选的设置中，所使用的安全设备的特征在于其具有唯一的特征。在这样的设置中，唯一的特征通常是预先确定的(例如在生产中)，并与标识符一起存储在数据库中。当认证所述安全设备时，检索标识符(例如，通过光学手段从2d密码、条形码等)，从数据库请求的预定特征以及例如从安全设备通过光学手段提取的特征。如果提取的特征与预定特征匹配，则认证结果为肯定的。利用防篡改安全特征可以使用非常相似的方法。如果以唯一的方式构造防篡改安全特征，则可以预先确定其特征并将其存储在数据库中。例如，如果安全设备由具有如上所述的标记区域26和安全图案25的片状产品(参见图5)制成，则图5中所示的棋盘无效图案相对于例如片状产品的标记区域26的偏移可以在生产中确定。该偏移可能是周期性的，因此由所述安全设备的多个实体共享该偏移。

图6示出了与图3所示的安全设备相似的两个安全设备19，相对于安全设备19的最左和最上点在x和y方向上具有不同的图案偏移27、28。这些偏移量x、y对应于防篡改安全特征的第二状态，即“篡改”安全设备中的防篡改安全特征的预期状态。通过提取偏移量x、y，能够确认篡改状态。仅当安全设备的对物体20的粘附力比对基板的粘附力强的部分22露出时(见图3)，即在对安全设备19进行机械篡改之后，才能够提取偏移量x、y。偏移量x、y也是安全特征，因为它们难以复制，尤其是如果使用以安全设备的标识符(未示出)注册的随机偏移时。

在替代设置中，图案可以随机变化或改变。特别地，如果唯一的安全特征被用于至少一个鲁棒安全特征，则安全设备可能已经包括标识符。然后在生产期间预先确定可变或随机图案的特征，即防篡改安全特征的唯一值。例如通过光学手段或通过生产参数，并与至少一个鲁棒安全特征中的预定值一起存储在标识符旁边(未显示)。

最后，图7示出了所涉及的步骤的可能实施例以及通过利用包括照相机33的可编程设备检查所提出的安全设备19来获得的结果。假设真实的安全设备19具有针对鲁棒安全功能r.sf35和防篡改安全功能te.sf36的预定值。鲁棒安全特征可具有描述图案信息和光学特性以及轮廓形状的特性。防篡改特征36可以例如由这样的特征来描述，该特征在于，其包含标记区域的信息内容，或在解码标记区域时的纠错率，或关于包括至少两个部分的无效图案分布的信息，其中至少一个部分22对物体的粘附力更强，而另一部分23对基板材料的粘附力较强。

如果在其原始状态30下检查了安全设备19，则包括照相机33的可编程设备可以提取鲁棒特征35的特性，例如图案信息和光学特性，以及在此状态下可见的防篡改安全特征36的第一值(例如标记区域的完整性)。因此，包括照相机33的可编程设备可以确定针对鲁棒安全特征35的特性匹配37和针对防篡改安全特征36的特定匹配i38(根据第一值或状态)。因此，可以告知用户安全设备19是真实的42，但是由于不能携带购买证明，因此他没有特权进行特定的动作。然后，他可能会被要求打开包装或容器，其机械地操纵安全设备，即被正确篡改。

如果现在同一安全设备19被篡改31，则它不可逆地转换为篡改状态32。如果现在通过包括照相机33的可编程设备对其进行检查，则仍可能使用前面详细说明的策略和技术来检索鲁棒安全特征35的特性。然而，由不同部分22、23形成的无效图案已经变得可见，因此包括照相机33的可编程设备能够提取防篡改安全特征36的第二值(例如无效图案关于标记区域的对准)。由于鲁棒安全特征35的特性匹配37，并且防篡改安全特征36也匹配ii39其预定的第二值。因此，我们知道我们拥有已被篡改的真实的安全设备，能够将其视为购买证据43。因此，用户可能会获得执行特定动作43的特权。

未示出；尽管对鲁棒安全特征35做出明智的选择，几乎不可能假冒鲁棒安全特征35，但是我们要移情由部分22、23形成的可见的无效图案，例如可从预定位置偏移(如图6所示)。因此，在这种情况下，防篡改安全特征36也将导致不匹配，最终阻止购买证据43。如果包括照相机33的可编程设备配置为使得它能够区分防篡改安全特36是否由于其属性无法提取而失配或由于其具有错误的特性而失配，则这可能是有趣的方面。在这种设置下，也可以在安全设备的真实性判定中考虑(例如以加权方式)防篡改的安全功能。

在第三设置中，由包括照相机33的可编程设备检查非真实的安全设备45。显然，鲁棒安全特征35的提取特性将不匹配40其预定值。这已经表明是假冒44的结果，但是，出于完整性的考虑，对防篡改安全特征36的独立认证也导致不匹配的特性38。

因此，能够使用提出的安全设备来实现“购买证据”用例，并分别触发由真实但被篡改的安全设备所预定的某个动作。在这种情况下，篡改安全设备能够被视为“激活”它。