用于标记制造的物品以检测未授权的再填充的方法和系统与流程

本发明涉及用于标记制造的物品的方法和装置，该制造的物品包括容器和用于该容器的封闭物(closure)。特别地，本发明解决了检测用假冒产品再填充容器的问题。

背景技术：

假冒是欺骗性地制造、改变或分配具有比真正的产品少的价值的产品的过程。可以被制造的任何东西都可以被假冒。假冒商品不仅包括衣服、珠宝、包、CD以及DVD，还包括婴幼儿配方奶粉、药物、烟草、电子设备和零部件、飞机和汽车零部件以及玩具。虽然有些人认为假冒是无害的犯罪，但是假冒有许多影响深远的后果。首先，取决于被假冒的产品的性质，诸如在假冒的婴幼儿配方奶粉、儿童玩具、药物、汽车零部件或电子商品的例子中，对于消费者而言，可能存在严肃的健康和安全关注。在几乎每一个实例中，假冒商品没有用与正品相同质量的材料来制造，也没有制造达到与正品同样高的水平。

此外，假冒危害品牌所有者的声誉并且降低消费者对受影响的品牌的信心。假冒还通过使制造商和零售商失去销售机会和失去实际的工作来危害品牌所有者和零售商。当购买者发现他们所购买的被认为是知名品牌售出的产品实际上不正宗时，消费者信心以及品牌价值可能受到伤害。危害不止于品牌所有者和消费者，因为假冒还剥夺了国家财政的关税和税收收入。

其中假冒是问题的一个具体的产业是酒产业。在酒产业中存在许多解决方案来应对假冒。一个途径是使用通过利用光谱测定法或扫频电场来分析酒瓶或其它容器的内容的方法。但是，这些途径是昂贵的，并且由于它们会引起危害，所以不适用于所有种类的封闭物和产品。另一途径是在瓶子和/或封闭物上使用特别的标签或饰带(banderole)。但是，这没有解决瓶子被使用且之后被假冒产品再填充的问题。

与假冒一样，容器的再填充还可以被用作避税的手段。已经用过的容器的再填充还会造成健康危害，因为假冒产品相对于正宗的产品可能质量差。

同样的问题存在于其它产业，诸如制药产业。

因此，对于提供用于标记制造的物品以允许物品被认证且允许检测已按照未授权的方式再填充的容器的方法和装置存在需求，其中制造的物品包括容器和相关联的封闭物，诸如酒瓶。

技术实现要素：

在本发明的第一方面中，提供了一种用于标记制造的物品的方法，所述制造的物品包括容器和用于该容器的能移除的封闭物，所述方法包括：

产生针对所述容器的第一代码；

产生针对所述封闭物的第二代码；

用第一代码标记所述容器；以及

用第二代码标记所述封闭物，

其中第一代码和第二代码不同但是相互关联，从而使得第一代码和第二代码中的一个的至少一部分能够从第一代码和第二代码中的另一个得出。

第一代码和第二代码可以根据同一物品特定标识符使用不同的代码产生过程或在相同的代码产生过程中使用不同的加密密钥被产生。

可以通过对第一代码或第二代码中的另一个执行密码过程来获得第一代码或第二代码的一部分。密码过程可以包括密码散列、密钥散列、对称加密、非对称加密或这些过程的任何组合。作为替代地，密码过程可以包括将第一代码或第二代码的所述另一个与秘密信息进行组合。可以从第一代码或第二代码的至少一部分得出所述秘密信息。

第一代码或第二代码或者第一代码和第二代码两者可以针对制造的物品编码生产细节。生产细节可以从一批制造的物品内唯一地标识所述制造的物品。

第一代码和第二代码中的一个的至少一部分可以通过在电子数据库中查找与第一代码和第二代码中的另一个相关联的数据来得出。

第一代码和第二代码中的一个或两者可以被放置为使得代码的一部分位于容器上并且代码的另一部分位于封闭物上。在封闭物被从容器移除时，该代码被破坏。

该方法可以在生产线中被执行，其中多个容器被填充并用封闭物来封闭。该方法可以包括用第一标记设备标记所述容器以及用第二标记设备标记所述封闭物。该方法可以包括监视通过生产线的容器以及控制第一标记设备和第二标记设备以确保对应的第一代码和第二代码被应用到同一制造的物品。换言之，第一标记设备和第二标记设备可以被控制，以确保每个最终制造的物品上的第一代码和第二代码彼此对应。封闭物可以在该封闭物被放置在容器上之前或之后由第二标记设备来标记。

由于可针对再填充者使得复制两个相互依赖的代码变得逻辑上不可能，所以未授权的再填充被检测。根据本发明的方法允许在首次填充期间直接的且在线的容器序列化。并且，其可以容易地被并入到被配置为允许跟踪通过供应链的产品批次的现有的跟踪和追踪系统(用于遵循法规、产品召回等)中。它是非常低成本的解决方案，因为它不需要任何特别的硬件或特别的标签(诸如饰带)的打印或应用。根据本发明的方法可以使用标准的产业打印和视觉系统来实现，使得它能被小型到中型制造商所负担。

与一些备选解决方案相比，本发明的方法还提供实质的材料节约和环境效益。采用本发明的方法，不需要生产、装运、处理和调和饰带，这意味着减少了纸张使用，并且不需要在安全墨水中使用的对环境有害的化学成分。

第一代码和第二代码中的至少一个可以是人类可读代码。第一代码和第二代码中的至少一个可以是机器可读代码。

容器可以包括瓶子，该封闭物可以包括盖。

在本发明的第二方面中，提供了一种认证制造的物品的方法，所述制造的物品包括容器和用于该容器的能移除的封闭物，所述制造的物品根据前述权利要求中的任一个被标记，所述方法包括：

读取第一代码和第二代码中的一个以及第一代码和第二代码中的另一个的至少一部分，

从第一代码和第二代码中的所述一个得出第一代码和第二代码中的所述另一个的一部分，

将第一代码和第二代码中的所述另一个的得出的一部分与第一代码和第二代码中的所述另一个的读取的一部分进行比较；以及

如果第一代码和第二代码中的所述另一个的得出的一部分与第一代码和第二代码中的所述另一个的读取的一部分相同，那么提供所述制造的物品是正宗的的指示。

在本发明的第三方面中，提供一种用于标记制造的物品的装置，所述制造的物品包括容器和用于该容器的能移除的封闭物，所述装置包括：

一个或多个计算机处理器，以用于产生针对所述容器的第一代码和针对所述封闭物的第二代码；

至少一个标记器，被配置为用第一代码标记所述容器以及用第二代码标记所述封闭物；

其中所述一个或多个计算机处理器被配置或被编程为产生第一代码和第二代码，使得第一代码和第二代码不同但是相互关联，从而使得第一代码和第二代码中的一个的至少一部分能够从第一代码和第二代码中的另一个得出。

该装置可以形成生产线的一部分，在所述生产线中，多个容器被填充并用封闭物来封闭以形成制造的物品，所述装置可以包括用于标记所述容器的第一标记设备和用于标记所述封闭物的第二标记设备。该装置还可以包括控制器以及一个或多个传感器，所述控制器以及一个或多个传感器被配置为监视通过生产线的容器以及控制第一标记设备和第二标记设备以确保对应的第一代码和第二代码被应用到同一制造的物品。

该容器可以包括瓶子，该封闭物可以包括盖。

第一代码或第二代码可以被放置在封闭物或容器上，使得在从该容器移除该封闭物期间，第一代码或第二代码被破坏。

在本发明的第四方面中，提供了一种制造的物品，包括容器和封闭物，其中所述容器被第一代码标记，所述封闭物被第二代码标记，其中第一代码和第二代码不同但是相互关联，从而使得第一代码和第二代码中的一个的至少一部分能够从第一代码和第二代码中的另一个得出。

该容器可以包括瓶子，该封闭物可以包括盖。

第一代码或第二代码可以被放置在封闭物或容器上，使得在从该容器移除该封闭物期间，第一代码或第二代码被破坏。

关于本发明的一个方面描述的特征可以被应用到本发明的其它方面。特别地，本发明的第三方面的一个或多个计算机处理器可以被配置或编程为根据本发明的第一方面来产生第一代码和第二代码。

现在将参照附图，以仅示例的方式描述本发明的实施例。

附图说明

图1是根据本发明被标记的容器和封闭物的示意性视图；

图2是根据本发明的标记系统的示意性视图；

图3是根据本发明的标记和认证系统的示意性视图；

图4是示出根据本发明的认证过程的流程图。

具体实施方式

图1示出了用于诸如药品或酒精饮品的产品的容器10。该容器10是具有被封闭物12封闭的开放瓶颈的瓶子。第一标签14被粘附到容器14并且包括第一代码16。第一代码具有编码相同信息的机器可读部分和人类可读部分。第二代码18被印刷在密封封闭物12的封皮上。第二代码是从第一代码16得出的或与第一代码16有关的机器可读代码。为了移除封闭物，封皮必须被打开，这于是使得第二代码不可读。

图2是用于在生产中心内标记图1所示的类型的容器的示意性视图。瓶子10被填充并且在处理器20处产生针对该瓶子的唯一产品标识符(Unique product identifier)。该唯一产品标识符可以包括用于瓶子中的产品的生产细节。生产细节可以包括生产时间、产品细节、生产或填充线的细节和批号。该UPI被发送到代码产生器22，该代码产生器22使用该UPI和生产者已知的秘密信息来产生第一代码。可以使用任何合适的技术来产生第一代码，以下描述一些示例。

第一代码被发送到标记器(在该情况下，标记器为打印机24)，并被打印到被应用到瓶子10的标签14上。代码产生器22使用该UPI和仅制造商已知的不同的秘密信息来产生第二代码。该第二代码18由标记器26应用到封闭物12。

作为替代地，第一代码或第一代码的一部分可以由读取器设备随后读取并然后解码，读取器设备诸如光学扫描器。第二代码产生器然后使用所读取和解码的第一代码来产生第二代码16。第二代码产生器可以对第一代码的一部分执行散列函数或可以按照另一方式产生第二代码，以下描述其示例。

为了确保相应的第一代码和第二代码应用到同一最终制造的物品，控制单元30和一个或多个传感器32一起被使用以在生产中心内跟踪容器和封闭物。该控制单元控制打印机26以确保正确的代码被应用到每个封闭物。

为了确保跟踪和追踪操作，UPI或其它信息可以被本地存储或者距离生产中心远程地存储。

为了验证容器是正宗的且没有被再填充，验证方可以根据第一代码重构第二代码(或可以从第二代码得出的信息)并将重构的第二代码与读取的第二代码进行比较。如果它们不是相同的，那么封闭物和容器不匹配并且可以推断容器已被再填充。此外，可以检测第一代码或第二代码或二者，以通过将它们或它们的部分与由生产者持有的数据进行比较或将它们或它们的部分发送至生产者的验证中心来确定它们是否是真正的代码。

在该实施例中，第二代码从UPI而不是第一代码直接得出，但是，第一代码和第二代码可以可替代地以另一种方式彼此相关。例如，第二代码可以直接由第一代码产生。作为替代地，第二代码可以根据同一UPI以及额外的信息但是使用不同的加密技术或利用额外的加密过程得出。可以使用允许验证方从第一代码得出第二代码的任何相互关系。

在本实施例中，第一代码和第二代码被标记到容器和封闭物上。第一代码被打印到粘附标签上，第二代码被打印到封闭物封条(诸如瓶颈上的箔片)上。但是，可以使用任何合适的标记设备，例如但是不限于，连续式喷印机、按需型喷印机、全息打印机、激光打印机或允许在各个容器和封闭物上打印或标记产生的代码的任何其它打印机或标记器。所产生的代码的打印或标记可以直接在每个物品上、在标签上或以任何其它方便的方式进行。在一个实施例中，所产生的代码由激光束打印在沉积在容器或封闭物上的、对激光敏感的材料层上。该方法允许代码通过透明的包装层被压印。

图3是根据本发明的一个实施例的系统的示意性视图。在该实施例中，系统101包括一个或多个生产中心103、105、107，以用于生产被填充的容器109。优选地，按批进行生产，每批致力于生产一定数量的各个被填充的容器。如果存在两个或更多个生产中心，那么它们可能物理上位于同一制造地点或不同的制造地点。在该优选实施例中，该系统包括生产中心103、105、107，但是本发明可以实际上在进口点、配送点、购买者、批发商或供应链中任何其它的点处被执行。

如参照图2所描述的，每个生产中心包括代码产生器111，以用于产生被用于所制造的物品109的代码。优选地，代码产生器111是专用于特定的生产中心的完全自主的计算机或微控制器。

系统101进一步包括验证中心114，该验证中心114包括密钥产生器115和中心服务器117，该密钥产生器115用于产生用于被填充的容器的标记和认证的密钥209、211。在该实施例中，代码产生器111可以经由安全的因特网连接119和生产中心本地的服务器121或通过其它数据通信手段与验证中心114通信。作为替代地，代码产生器111可以经由专用于一个或多个生产中心的制造入口来与验证中心通信。

密钥产生器115产生密码密钥，本文将其称为静态密钥。该密钥产生器115产生该静态密钥的未加密版本和该静态密钥的加密版本。该静态密钥的未加密版本(在本文中被称为活跃的静态密钥209)在图3中以实线边界被示出。该静态密钥的加密版本(在本文中被称为不活跃的静态密钥211)在图3中以虚线边界被示出。活跃的静态密钥209(即，该静态密钥的未加密版本)在密钥产生器115处产生并因此可以由中心服务器117访问。密钥产生器115将不活跃的静态密钥211发送到生产中心103、105、107处的代码产生器111。

不活跃的静态密钥211可以从密钥产生器115发送至非易失性数据支持(例如，CD-Rom、DVD-Rom或可移除的硬盘)上的代码产生器111。数据支持物理地转移到生产中心103、105、107处的代码产生器111。作为替代地，不活跃的静态密钥211可以从密钥产生器115经由安全的网络连接发送至代码产生器111，网络连接例如涉及加密的网络连接。这可以响应于来自代码产生器111的请求。这确保了静态密钥的真实性、机密性和完整性。

密钥产生器115还产生激活代码213，该激活代码213包括用于解码不活跃的静态密钥211以形成活跃的静态密钥209的密钥或代码。该激活代码213还可由中心服务器117访问。优选地，活跃的静态密钥209和激活代码213与它们被分配到的生产中心103、105、107的标识一起被存储。

在一个实施例中，静态密钥包括多个部分。主要部分可以是多个秘密代码，例如盐矩阵(salt matrix)。盐矩阵可以是例如一长串的随机或伪随机位数的字符。该多个部分可以进一步包括用于静态密钥的唯一标识符、定义该静态密钥将如何与动态密钥结合(以下讨论)的序列化代码、与该静态密钥的唯一标识符相关联的数字密码证书以及包含以上所产生的数字密码证书的静态密钥规则或许可证。

优选地，该不活跃的静态密钥(即，该静态密钥的加密版本)，特别是多个秘密代码，使用强密码被加密。合适的密码的示例是三重DES(数据加密标准)分组密码或三重DES/Rijandel分组密码。两者将数据编码标准密码算法三次应用到每个数据分组，三重DES/Rijandel是由IBM研发的三重DES的小变型。在这种情况下，三重DES或三重Des/Rijandel密钥包括激活代码213。因此，在优选的实施例中，活跃的静态密钥209被解码，不活跃的密钥211使用三重DES或三重Des/Rijandel密钥被加密，激活代码213包括该三重DES或三重Des/Rijandel密钥。

由代码产生器111接收的不活跃的静态密钥211被登记。这是由代码产生器111向验证中心114发送关于接收的静态密钥的信息215和任何相关的机器信息(未示出)来实现的。如图3所示，这优选地经由安全的因特网连接119来发送，但是可以由另一合适的路线来发送。验证中心114将激活代码213发送回到代码产生器111。激活代码213允许不活跃的静态密钥211被激活，这在217处被示意性地示出。如图3所示，该激活代码213优选地还经由安全的因特网连接119来发送。登记过程优选地被布置为使得活跃的静态密钥209不在因特网上被传送。

登记过程可以采用常规的公钥/私钥对交换机制。这可以使用与形成该静态密钥的一部分的数字密码证书相关联的非对称密钥对，如以上讨论的那样。在这种情况下，非对称密钥对的公钥可以是由第三方(例如，政府管理机构)发布的密钥的形式。关于从代码产生器111发送至验证中心114的所接收的静态密钥的信息215可以包括形成该静态密钥的一部分的、针对该静态密钥的唯一标识符，如以上所讨论的那样。同样从代码产生器111发送至验证中心114的相关机器信息(未示出)可以包括针对代码产生器111或生产中心的唯一标识符或证书。该唯一标识符可以包括关于已被之前授权以进行生产的生产中心和代码产生器的位置和身份的信息。优选地，静态密钥唯一标识符和代码产生器或生产中心标识符使用与静态密钥的证书相关联的非对称密钥对的公钥被加密。

一旦验证中心114接收到加密的静态密钥唯一标识符和代码产生器或生产中心标识符，验证中心114就可以使用与静态密钥的证书相关联的非对称密钥对的私钥来解密。验证中心可以然后检查静态密钥唯一标识符和代码产生器或生产中心标识符是有效的。然后，验证中心114将激活代码213发送回到代码产生器111。如已提到的，优选地，激活代码213是三重DES或三重DES/Rijandel密码的形式。验证中心使用与静态密钥的证书相关联的非对称密钥对的公钥来加密激活代码(例如，三重DES或三重DES/Rijandel密码)。这允许激活代码(例如，三重DES或三重DES/Rijandel密码)由代码产生器使用与静态密钥的证书相关联的非对称密钥对的私钥来解密。然后，不活跃的静态密钥211可以使用解密的激活代码213来激活，从而形成活跃的静态密钥209。

一旦代码产生器111处的不活跃的静态密钥211已被激活，生产中心就能够在代码产生器111处产生用于容器和封闭物的代码。

代码产生器111针对每批容器产生新的密钥，本文将其称为动态密钥。动态密钥219优选地是随机秘密代码，诸如随机数。代码产生器使用针对一批的动态密钥219以及活跃的静态密钥209以产生秘密密钥223。秘密密钥223然后与针对每个物品的唯一产品标识符(UPI)组合使用，以产生要被标记到该批中的制造的物品上的代码221(例如，字母数字代码)。在该实施例中，针对每个物品的UPI包括标识生产时间的生产细节以及增量计数器值以区分由同一生产中心在单个时间段内生产的物品。

代码产生器使用UPI与该秘密密钥的组合的密码散列函数。这针对容器或封闭物创建了数字指纹，本文将其称为“噪声值”，这些噪声值被用于产生被标记在容器和封闭物上的代码221。除了通常使用的密码散列函数，还有多种技术可用于产生散列值或噪声值，包括但不限于：移位、置换、表置换和索引。

为了产生容器噪声值，秘密密钥首先从活跃的静态密钥、针对容器的动态密钥和UPI得出。动态密钥219和活跃的静态密钥209仅被验证中心114和代码产生器111已知。动态密钥和UPI被用于根据静态密钥内的序列化代码来从该静态密钥中包含的盐矩阵中提取秘密密钥。秘密密钥223和UPI 221然后被散列化以产生容器噪声值。针对封闭物，接着进行使用不同的动态密钥的相同过程。用于产生容器噪声值的散列函数可以与用于产生封闭物噪声值的散列函数相同或不同。

为了产生被放置在容器上的第一代码，容器噪声值和UPI被结合并然后由代码产生器混淆密钥(CGOK)231加密以产生第一标识符。CGOK是代码产生器特有的，并且被预先加载到代码产生器上。第一标识符然后与代码产生器标识符相结合。代码产生器标识符(CGID)允许CGOK在认证过程被获得。第一标识符和CGID的组合然后使用全局密钥被加密，以产生第一代码16。全局密钥235是所有的生产中心共有的，并且可以是验证中心已知的对称或非对称密钥对的一部分。第一代码然后使用标记器113被标记在容器上。

为了产生被放置在容器上的第二代码，封闭物噪声值和UPI被结合并然后由代码产生器混淆密钥(CGOK)231加密以产生第二标识符。CGOK是代码产生器特有的，并且被预先加载到代码产生器上。第二标识符然后与CGID相结合。第二标识符和CGID的组合然后使用全局密钥被加密，以产生第二代码16。第二代码然后被标记在容器上。

代码产生器111或生产中心103、105和107记录被标记到容器和/或封闭物上的代码。此外，代码产生器111将针对每一批的动态密钥219与关于该批的信息(未示出)一起发送到验证中心114。这可以经由安全的因特网连接119来执行。关于该批的信息可以包括各种信息片，例如但是不限于品牌、期望的市场或期望的目的地。动态密钥219不需要被实时发送到验证中心114，并且可以在任何合适的时间处(例如，每月)被传送到验证中心。发送到验证中心114的动态密钥219被存储在验证中心处的或从验证中心可访问的数据库(例如，中心服务器117处的数据库)中。针对每一批的动态密钥219优选地与同时发送到验证中心114的批信息一起被存储。

优选地，在特定生产中心103、105、107处的代码产生器111停止工作时，活跃的动态密钥209被删除。这防止了恶意用户在没有适当注册的情况下获得对活跃的静态密钥209的访问。可以提供用于禁用代码产生器111以及防止代码产生器111的未授权使用的额外的手段。

在所描述的实施例中，用于容器和对应的封闭物的代码基于同一UPI但是使用不同的动态密钥。存在许多备选方法来基于同一UPI产生第一代码和第二代码。例如，第二代码可以使用与第一代码相同的动态密钥但是使用不同的散列函数或不同的混淆技术来产生。作为替代地，第二代码可以基于与第一代码相同的UPI以及相同或不同的秘密密钥，但是可以使用完全不同的加密过程来产生。作为替代地，第二代码可以使用进一步的加密或混淆步骤来直接从第一代码产生。作为替代地，第二代码可以对应于第一标识符，即，第二代码可以是第一代码的经历较少加密阶段的版本。

图4是根据本发明的认证过程的流程图。在步骤400中，第一代码由用户601(在图3中示出)从容器读取，并且将它发送到验证中心114。用户601可以通过任何合适的手段(诸如，安全的或非安全的因特网连接)将代码发送到验证中心114。

验证中心接收第一代码。第一代码在步骤410中使用全局密钥(或者，如果使用非对称密钥，则为密钥对中的相应密钥)被解码，以揭露第一标识符。CGID也被揭露。使用查找表，然后从CGID获得CGOK。第一ID然后使用CGOK被解密，以揭露第一噪声和UPI。在步骤420中，针对容器和针对封闭物两者的活跃的静态密钥209和动态密钥219基于UPI被检索。第一噪声可以在步骤430中被重建，第二噪声在步骤440中被重建。为了认证物品，所重建的第一噪声可以在步骤480中与从读取的第一代码检索的第一噪声进行比较。额外地，为了检测未授权的再填充，从所读取的第一代码重建的第二噪声可以与第二噪声的读取值进行比较。在步骤450中，认证从用户接收针对第二代码的读取值。第二噪声然后使用全局密钥和CGOK从第二噪声的读取值中被检索。如果根据读取第二代码获得的第二噪声的值与从第一代码产生的第二噪声的值匹配，那么容器与封闭物可以被认为匹配并且没有发生再填充。

当然，能够使用不同的认证过程，并且所使用的过程取决于已经被使用的标记过程。

如本文所使用的，“加密”指的是如下过程，该过程使用算法将信息进行变形以使该信息对于除掌握加密密钥形式的特殊知识的人之外的任何人是不可读的。解密是相反过程。“加密密钥”是与加密算法一起使用以加密或解密信息的信息片。加密密钥通常是数字或字母数字序列或值。

如本文所使用的，术语“秘密密钥”用于描述被用于带密钥散列的密钥，该密钥是使用唯一产品标识符和一个或多个额外的密钥或数据片产生的。在该秘密密钥产生的时间处，它不被除了创建该秘密密钥的人之外的任何其它人已知。上下文中的术语“秘密密钥”不限于指非对称加密体制的上下文中的私钥。

如本文所使用的，“散列函数”是将输入数据映射到被称为散列值的固定大小的输出(通常比输入数据小)的函数。散列函数通常将信息进行替换或转置或者替换以及转置，以创建散列值或噪声值。优选地，散列函数是密码散列函数。密码散列函数产生输入数据的指纹或校验和。如果使用同一密码散列函数，两条数据产生同一散列值，那么这两条数据可以被认为是相同的。有利地，散列函数是单向散列函数，这指的是从散列值获得输入数据是计算上不可能的。这些性质可以被用在认证过程中，如将要描述的那样。散列函数可以通过将秘密密钥与输入消息进行组合来被密钥加密，从而创建带密钥的散列值或噪声。

如本文所使用的，术语“噪声值”指的是散列值，或带密钥的散列值，或直接从散列值和秘密密钥获得的值或字符序列。