具有随机出现特征的防假冒和防篡改标签.pdf

具有随机出现特征的防假冒和防篡改标签
    【技术领域】

    本发明主要涉及具有防假冒和/或防篡改能力的标签，尤其涉及利用标签随机出现的特性(无论是嵌入的还是自然固有的)来限制假冒和/或篡改标签的未经授权的企图。

    背景技术

    标签的假冒和篡改使得产品市场商人和制造商每年在丢失收入和客户上损失数十亿美金。随着计算机技术的蓬勃发展，生成与真实物品相似的标签已经变得越来越容易。例如，扫描器可用于扫描用最小的成本可以反复生产的真实标签上的高分辨率图片。同样优惠券也能被扫描、修改(比如有更高的价值)、重复打印和兑换。

    最近几年已经使用了多种解决方案来阻止假冒和篡改的泛滥。保护标签的方案之一是条形码的结合。条形码一般是打印在标签上的机器可读代码。使用条形码扫描器，具有条形码的标签可以被快速地读取和认证。现有条形码编码的标签地一个问题是相同的标签可以被用在多种物品上。

    另一种现有解决方案是根据数据库(例如销售点(POS)系统)中存储的安全数据来检查扫描的条形码。然而，这种解决方案要求从市场商人(或者制造商)和商店获得的最新的数据的结合。这种解决方案要求多家实体有着及时和紧密的合作。同样，这种解决方案限制了其实施的灵活性，也不是一直可行的。

    然而，这些技术都有着共同的缺陷；即，对于给定的产品，所扫描的标签物理上是一样的。因此，即使生产合法标签的制造流程也许是高度精密的，然而这一般不会花费制假者很多时间来确定生产伪造的纺织品的方法。一旦标签被成功地复制一次，它就会被反复地再生产(比如，通过制造一个可以用低成本复制的原版拷贝)。即使标签在给定次数的使用之后在数据库中被列入黑名单，仍然不能保证首先被扫描的标签确实是真实的标签。

    因此，现有的解决方案不能提供相对难以复制并能以低廉价格生产的标签。

    【发明内容】

    揭示了技术以使能够利用标签的随机出现的特性(无论是嵌入的还是自然固有的)来提供防假冒和防篡改的标签。更具体地，扫描包括随机出现特性的标签来确定标签的特性。使用从扫描中获取的信息来提供识别标记，这种标记可以唯一地识别每种标签，然后对照已有的标签特性进行验证来确定标签是否是真实的。在描述的实现中，这种识别标记可以用密码来签署。

    【附图说明】

    参考附图来描述具体实施方式。在附图中，标号最左面的数字标记了该标号第一次出现的附图。在不同的附图中使用相同的标号表示相似或者相同的项目。

    图1示出了光纤束的示例性的侧视图。

    图2示出了具有光纤束的示例性标签。

    图3示出了对应于图2中的标签的物理光纤属性的示例性数学表示。

    图4示出了示例性防假冒和篡改标签的生产和验证方法。

    图5示出了示例性通用标签生产系统。

    图6示出了示例性应用标签生产系统。

    图7示出了使用密码散列函数的示例性应用证书生成方法。

    图8示出了示例性标签验证系统。

    图9示出了用于固定分区扫描的示例性系统。

    图10示出了逐行扫描系统的示例性侧视图。

    图11示出了示例性扫描器数据处理方法。

    图12和图13示出了同一标签的两幅连续提取的照片。

    图14示出了图12和图13照片中提取的数据点间的对应性。

    图15示出了对一个光纤标签的两次独立逐行扫描后的点匹配结果。

    图16示出了使用100×100像素矩阵和对应于20像素的光纤长度扫描的方形标签的示例性数字化计算的点分布函数。

    图17示出了通用计算机环境，它能用来实施本发明描述的关于使用随机嵌入的光纤来供应防假冒和/或防篡改标签的技术。

    【具体实施方式】

    下列揭示描述了用来提供防篡改和/或防假冒标签的技术。该标签包含了自然固有的或者是有意嵌入的物理特性的随机图案。该图案对于每种标签都是独一无二的，并且不能用合理的价格来完全复制(即，防假冒标签的期望属性)。关于该独一无二图案的信息用密码来签署，它可被打印在标签上、存储在例如智能芯片等附随的可读设备上、或者远程地提供(例如通过数据库)。

    当验证该标签的真实性时，只需要扫描该物理图案并且确认它是否和签署的信息匹配。公钥加密使得经签署的信息的验证能够使用公钥，而无需显示用来签署的对应的私有机密秘钥。

    标签的制造和验证在一种实现中也需要便宜的和现货供应的组件，同时能够抵御多种操作错误以及标签的自然磨损和破裂。此外，描述了一种压缩解决方案，它允许对扫描的标签图案进行有效编码。

    光纤束

    图1示出了光纤束(100)的示例性侧视图。诸如图1所示的光纤束(也被称作光导纤维束)可在多个实现中用来提供防假冒和/或防篡改标签(如此处参考剩余附图中进一步讨论的)。光纤束(100)可以由玻璃或者塑料构成，并且包含了核心部分102和覆盖层104。覆盖层104一般比核心层102薄。而且，某些当前的光纤束的厚度可以小至一微米。

    覆盖层104比核心层102有更高的折射率，以通过光纤束来传导输入光射线(106)，而没有很高泄露(108)。偶尔地，光线会以某个尖锐的角度进入光纤核心，使得以超过临界值的入射角击中覆盖层104。在这种情况下，光纤束会泄露光线(110)。一般而言，泄露量对于大多数的光纤是可以忽略的。即使相比通信级光纤质量差很多(但便宜得多)的照明级光纤(可在硬件商店中容易地购买到)往往不会生成值得注意的光泄漏。

    使用光纤束的标签

    图2示出了使用光纤束(比如202和204)的示例性标签200。该光纤束可具有不同的长度、厚度、颜色，并可能提供变化的特性，比如说，当照明的时候。在一个实现中，光纤束会被裁切、混合并被内嵌入标签200。例如，不同类型的光纤束(如，具有不同厚度、颜色、荧光等等)会被裁切成不同长度，并扔到箱柜中混合。这些混合的光纤束然后可用透明和可保护的物质(例如，用干净的胶水或者诸如环氧树脂等树脂)喷射到介质上，以在介质上形成随机嵌入的光纤束。

    在一个实现中，该透明和可保护的物质被设想用来限制光纤的运动，以确保标签维持其随机出现的特性。该介质会被按规格裁切或者在嵌入阶段后裁切。该介质也能由纸张、塑料、光纤以及类似物构成。在一个实现中，该介质可以灵活地使得标签具有耐久性，比方说当标签附加在灵活的物料或者产品包装上之后。

    图3示出了对应于图2的标签200的物理光纤属性的示例性数学表示。图2中，标签200的每一光纤束可由一对点(例如，光纤束的两个端点)以及连接在两点之间的虚线来表示。例如，光纤束202和204分别由对302和一对304来表示。因此，一个光纤束可以被简单地认为是一对光隧道的两个端点。

    在一个实现中，标签上每一光纤束的两个端点的坐标被用作随机出现的特性，以提供防假冒和/或防篡改的标签。然而，可设想光纤束的其它特性也能被利用，例如光纤束的曲率、相对光强度、荧光、颜色、厚度(比如由光纤束每一端的宽度所测量的)等等。在一个实现中，可通过照亮标签看到光纤束的两个端点，以确认坐标。

    这些坐标构成了用随机光纤装载的介质的唯一属性。如果光纤被随机地放置在介质中，则这些坐标可用作随机数。此外，常规复制技术不能重复产生光纤的光传导特征。因此，具有嵌入光纤的标签相对难以复制。这两种属性—唯一性和防拷贝性—可用于提供防假冒和防篡改加标签的解决方案，它将会在此处例如参考图4-6来进一步讨论。

    安全标签的生产和验证

    图4示出了示例性防假冒和防篡改标签的生产和验证方法400。方法400扫描一未加工的标签(402)，比如参考图2和图3所讨论的，以提供关于未加工标签的物理特性的数据(例如标签上光纤束两个端点的坐标)。扫描后的数据被可任选地压缩(404)，以减少所要求的存储容量，这会在下面参考题为“光纤数据压缩”一节来进一步讨论。所扫描的未加工标签(402)的数据被编码(406)，以提供加密的介质证书(MC)。设想该介质证书安全地识别标签上的唯一的光纤图案。在一个实现中，该介质证书可以用私钥来加密地签署，如参考图5进一步讨论的。

    应用证书被可任选地绑定到例如标签和/或介质证书(408)，以提供应用专用数据(比如，序列号、认证码、校验值等等)。在一个实现中，应用证书可用应用专用私钥来加密地签署，如参考图6进一步讨论的。因此，每一标签可用两种证书来编码(即，介质证书和应用证书)。

    提供(410)一个或多个证书(即，介质证书和应用证书)的识别标记。该识别标记可被提供为一维或二维条形码、智能标签(比如射频身份(RFID)或者智能芯片)等等。该标记的提供可直接在标签上完成，或者通过包含链接到自然标签图案、介质证书和/或应用证书的相关数据的数据库来远程地完成。已编码标签(比如通过识别标记提供的)然后可例如通过验证介质证书和/或应用证书(比如用介质和/或应用专用的公钥)来验证(412)，如参考图8进一步讨论的。

    通用标签生产

    图5示出了示例性通用标签生产系统500。系统500处理未加工的标签(502)(如参考图2讨论的标签)，并产生底层光纤束图案的高加密的证书。未加工标签(502)通过通用介质扫描器(504)，它分析标签上存在的光纤束图案，并且产生一组对应于该图案的几何数据(比如坐标)。该图案数据被馈给通用标签编码器(506)，以生成能够安全并明白无误地识别标签上的唯一光纤图案的加密介质证书(如参考图4的阶段404所讨论的)。因此，在证书和标签之间有一对一的对应性。在一个实现中，生成该证书要求一种私钥(508)，该私钥只在制造通用标签的地方才可用。

    该标签的证书(比如MC)然后被发送到可以是任何现货供应打印机的通用标签打印机，以直接在标签本身上打印出证书，来产生具有证书(512)的通用标签。如同参考图4所讨论的，该证书可被打印为一维或二维条形码。它也能被嵌入智能标签中(例如RFID)，这种情况下，通用标签打印机(510)是智能标签打印机。因此，最终的产品是包含加密标签介质证书(MC)的通用标签(512)。

    在一个实现中，通用标签(512)是一种自证明(self-certifying)实体，因为介质证书是唯一并明白无误地绑定到标签的。如果不知道介质私钥，假造者不能生产出具有有效介质证书的通用标签。该密钥属性使得应用销售商可以将通用标签扩展到应用专用的、自认证(self-authenticating)的应用标签，这将参考图6进一步讨论。

    应用标签生产

    图6示出了示例性应用标签生产系统600。该标签可由单独的销售商或由生产通用标签的同一销售商来生产。标签扫描器(602)从通用标签(512)上读取介质证书(MC)。扫描器可对照嵌入在标签中的光纤图案来确认介质证书，或不确认介质证书。该介质证书(MC)然后被发送到应用标签编码器(604)，该编码器采用应用数据(606)(例如，产品序列号或者出纳员支票的数字信息)和销售商专用的私钥(608)，来生成一高加密的应用证书(AC)。该应用证书唯一并安全地识别应用数据和介质证书(并进而识别物理标签本身)。该证书然后由应用标签打印机(610)打印(或者嵌入)到标签本身(或者如参考图4中阶段410所讨论的那样远程地打印)。

    如此产生的应用标签(612)包含了两个证书：介质证书(MC)和应用证书(AC)。它们一起唯一且安全地将应用数据和物理标签绑定在一起。将标签介质和应用数据绑定在一起的应用证书十分有用。例如，银行支票的制造商能够生产带有可信的标签介质证书的空白出纳员支票。当签发一张出纳员支票时，银行能够简单的生成包含标签介质证书以及支票金额和收款人的应用证书。由于复制光纤图案极其困难，假造者将不能复制支票。假造者也不能生成自己的带有合适标签介质证书的通用支票，因为他不拥有通用标签私钥(508)。此外，即使他拥有了带有可信介质证书的空白支票，他也不能打印他自己的出纳员支票，因为他缺少银行的私钥(608)。

    应用证书生成

    图7示出了使用加密散列函数(例如消息摘要(MD5))的示例性应用证书生成方法700。当然，其它高加密散列函数或者加密能够起作用。应用标签编码器(604)采用标签介质证书的散列702、将该散列值(HMC)追加到应用数据(AD)606，以形成扩展应用数据(EAD)(704)。该应用-标签私钥Kappl-priv(608)用于生产EAD的加密签名(SIGEAD)(706)。然后通过串接应用数据(AD)、介质证书的散列(HMC)和EAD签名(SIGEAD)来提供(708)应用证书(AC)(例如，AC＝AD+HMC+SIGEAD)。

    标签验证

    图8示出了示例性标签验证系统800。在一个实现中，系统800使用一种两阶段的验证过程。首先，系统800对照介质证书来验证应用证书。其次，系统800对照物理标签来验证介质证书。虽然这两个阶段逻辑上是独立的，但是实际上它们可在单个装置中实现。

    验证系统800包含两个扫描器：介质扫描器(802)和一个标签扫描器(804)(条形码扫描器，或者如果它的证书是存储在RFID芯片中，则为智能标签扫描器，如RFID阅读器)。该介质扫描器(802)可以和参考图5讨论的通用介质扫描器504是相同的。扫描器802和804从应用标签(614)上检索光纤图案(P)、介质证书(MC)和应用证书(AC)。

    使用通用标签公钥(806)来验证介质证书(MC)，并对照光纤图案(P)(808)来核查它。如果任意一种核查失败，则该标签被宣告是无效的。同样，使用应用公钥(812)来确认应用证书(AC)。此外，应用证书(AC)和介质证书(MC)的对应性也被确认(810)。具体地，如果使用参考图7描述的生成应用证书的方法，则应用证书的验证要求确认EAD签名(SIGEAD)对应于应用数据(AD)和介质证书(HMC)的散列，并确认HMC对应于介质证书(MC)。如果该标签通过了测试810，那么标签被声明为真实的，否则就是仿造的。

    伪造的成本

    假定生成有效的介质证书和应用证书的密钥被安全地存放在假造者取不到的地方。那么对于假造者生成看上去真实的基于光纤的标签—能够通过参考图8描述的验证过程的标签—剩余的唯一可行的办法是几乎完全地复制已有的真实标签，其意味着复制在真实标签中发现的光纤图案。复制的成本有三部分：建造复制系统的成本(建造成本)、复制标签的成本(复制成本)和获得真实标签图案的成本(原版预制作成本)。

    建造成本COSTsetup是一次性成本。它的数量取决于为假造目的所生产的机械装置的完善度。每一标签复制成本COSTreplication是重复性成本。在COSTsetup和COSTreplication之间有一个大致的反比关系。一般而言，复制机械装置越拙劣，复制单独的标签就费时和更昂贵。

    在一个极端情况下，可以手工仔细地来完成真实标签的复制。建造成本实际上就是0；而复制成本就会非常高，因为假造者需要雇佣人将光纤束放置在精确的位置。对付这些拙劣的假造者，合法标签制造商可以通过简单地提高每一标签中的光纤束的数量来强制将COSTreplication变为任意高(以及耗时)。

    在另一种其端情况下，假造者能够生产高精密的机器，它能够自动将光纤裁切到期望的长度，然后将它们放置到如同真实标签一样精确的位置。这种机器毫无疑问会花费成百上千甚至上百万美金。对于任何一种情况，每一标签的分摊成本对于假造者都必定是高的，而对于合法生产商每一标签的成本是非常低的。成本-收益分析表明大量假造大量销售的产品几乎无利可图。

    此外，由于光纤束的随机嵌入的本性，每一真实的标签都是独一无二的，因此出现两个或多个相同物理标签(具有相同的介质证书)毫无疑问地表明有标签是假造的。为了躲避检测，假造者被迫要从真实的标签中获得大量的光纤图案，用以确保出货中有足够多的种类的光纤图案。原版预制作成本COSTmaster以与假造者复制品数量大致成比例地增加。因此，为了获得原版预制作光纤图案和证书而购买合法的产品是相当昂贵的方法。同样，取走合法的拷贝(不支付或者偷窃)会卷入犯罪组织，并且如果产品标签通过分销渠道已经注册在数据库中，那么有可能被追捕到。

    成本分析表明由于高成本、大量人力、有时候还会卷入犯罪活动，对于拥有少量或者适当资源的任何人，假造基于光纤的标签都是非常困难的，并且大规模假造在经济上也是不现实和有风险的。简而言之，该标签系统显著地提高了有利可图假造的门槛。

    示例性应用场景

    由于本发明讨论的标签系统确保每一个别的标签都是独一无二且很难被复制的，因此这些标签适用于需要防假造和/或防篡改的各种各样的应用。

    一般而言，本发明描述的技术适用于对于大规模假造敏感的任何标签和类似标签的实体。例子包括个人和银行支票、银行单据(比如流通货币)、诸如软件产品的真实证书以及药品标签等产品标签、以及诸如司机的执照和护照等ID。

    产品标签。假造使得许多主要的行业，比如软件行业，服饰行业和制药行业蒙受数十亿美金收入的损失。假冒品的劣质威胁到了忠诚的客户。

    这个问题在制药行业有尖锐的代表性，假造的药品会导致生命危险的情况。本发明讨论的技术适用于制造用于大量销售产品的真实的仿假冒标签。比如，假定有家叫Perfect Health的公司拥有一种在全球药房销售的专利药品X。Perfect Health从第三方标签制造商Universal Labels购买了大量嵌入光纤的通用标签，每一标签用参考图5所描述的介质证书的来印记。Universal Labels是一家确立的且可信赖的安全标签销售商。其用于验证介质证书的公钥在可信赖的第三方实体注册。

    Perfect Health使用参考图6讨论的方法在每一通用标签上印记产品专用的应用证书。然后把这一真实标签放入分销到药房的每一药瓶(盒)中。此外，PerfectHealth也从Universal Labels购买了大量的验证系统(如，查阅图8)，并且配置这些系统使用自己的公钥用来验证应用证书。其中一些装置被安装在销售PerfectHealth的药品X的药房中。

    鼓励消费者和药房使用这些安装的验证装置来扫描他们的药品X包装，以确定包装的真实性。此外，验证装置被链接到一全球数据库，使得无论何时消费者验证了Perfect Health的药品包装，嵌入的应用证书(或者序列号)就会在这个数据库中注册。

    当另一消费者试图验证所购买的仿冒品或者篡改品时，重复使用被PerfectHealth扔弃的真实标签的假造包装将会立即被抓住。Perfect Health把剩余的验证装置交给私人调查者和法律执行机构，比如美国海关。如今，消费者能够在任何药房验证他们Perfect Health药品的真实性。法律执行机构有更多信心搜捕可疑的药品装船和仓库。

    识别。假造识别会引起许多安全考虑事项。一些显著的例子包括司机的执照、护照、工作认可卡和员工身份证。本发明描述的技术使得假造ID非常困难，同时保持其它成本非常低。

    比如，美国政府使用嵌入了光纤的特殊纸张来制造护照。护照中的一页或者几页，或者这些页面上一小部分被标记为标签区域。只要一个美国公民要求一份护照，政府生成一份绑定到标签区域中护照的光纤图案的护照证书。该证书被直接打印在护照上，或者存储在嵌入在护照中的存储芯片中。

    在移民检查站，政府使用前面所述的验证装置来检查护照的真实性。对比这种将护照持有者的信息在护照内安全编码的基于密码的护照，这种模式确保假造者不能生产出和现有护照完全相同的拷贝。政府能够简单地增加嵌入在护照内的光纤数量和验证装置的准确度，使得要物理地复制一张真实的护照几乎不可能。因此，使用假冒护照的冒名顶替能够被消除。

    通过向很容易被验证装置查询的政府数据库注册护照的序列号(它可被包含在护照的应用证书中)，也能处理丢失的护照。

    银行单据。银行单据(或者流通货币)的假造会对独立自主的经济和社会稳定造成显著的危害。已经在当前设计的流通货币中引入了许多安全特征。然而，这些新特性中的大多数能够被有经验的假冒者扫描和复制。采用本发明所述的技术，能够直截了当地创建安全的银行单据(如参考图6所讨论的)。银行单据验证器(如，以图8所描述的相同或相似的方式建造)由于其相对低廉的成本，可以由大多数商店购买。该验证器也能被建造在自动售货机中。

    银行和个人支票。嵌入光纤的支票不能被简单地伪造。当银行使用本发明所述的技术签发出纳员支票时，诸如收款人、金额以及签发日期等支票数据能够被编码在应用证书中。这样做阻止了个人复制或者制造他自己的出纳员支票。

    比如，客户X申请银行Y签发金额D的出纳员支票，收款人处留空。银行Y在包含介质证书的空白通用支票上打印支票。该空白支票由众所周知的销售商Z制造。银行Y也在该支票上打印包括关于客户X和金额D的信息的应用证书。使用银行的私钥K1对应用证书编码。然后客户X向实体U发送该支票。U现在能使用空白支票销售商Z的公钥和银行Y的公钥来确认该支票。

    因此，由于先前概括的原因(如，参考图6)，客户不能复制该支票两次。高度加密的应用证书也阻止客户制造她自己的银行支票。

    法律文件。法律团体经常要求原始文件。当前的签名作为在原始和假冒文件之间进行区分的最主要的方法。但是这些文件还是易于伪造。打印的纸张可以被内嵌光纤(比如，从纸张销售商处获得)。律师事务所能够简单地在这种纸张上打印法律文件并且印记包括关于文件的重要信息，即日期、时间、参与方等的应用证书。

    反篡改应用。由于完全相同的标签是很难被制造的，因此基于光纤的标签被认为是不能调换的。这种属性使得本发明讨论的加标签系统高度适用于要求篡改证据的应用。

    比如，装运集装箱能用嵌入光纤的标签(或者带)来密封。船运公司和/或诸如海关和港务局等当局可在密封标签上打印额外的证书，以表明其内容已经通过了某种检查。由于如此系上了这些封条，任何以暴力打开容器的企图都必定会损坏封条。在目的地，客户、港务局或者船运公司的当地办事处能使用验证装置(如同参考图8所讨论的)来检查封条是否是原装的，以查明容器是否被篡改过。

    篡改明显的容器封条能够为普通船运公司增加价值。它们也能用来保护越洋运输以提高国家安全。

    标签扫描器系统

    在一个实现中，一次只照亮两个光纤束通路中的一个。结果，例如，相对于任意选择起因，每一光纤束可以由四个坐标表示(例如，因为标签表面是二维的，对该束的每一通路用两个坐标表示)。因此，光纤图案完整的映像(或者捕获函数)可以写成：

    M4(P)={(x11,y11,x12,y12),...,(xn1,yn1,xn2,yn2)}]]>

    在上述公式中，(x1k，y1k，x2k，y2k)是第k个光纤束的坐标，P是标签上的光纤图案。如公式所示，这是光纤图案和它的映像之间一对一的对应性。在M4中的上标4表明光纤图案的映像是一个四维函数，因为单个光纤束的几何位置要求4个坐标数字来完整描述(如果忽略光纤束的形状)。

    M4捕获函数的一个缺点是需要很复杂的扫描装置。更具体地，为了捕获光纤束的完整坐标，一次必须照亮两个光纤束通路中的一个。照亮标签上大于光纤尖端的尺寸的区域导致测量精度的降低以及阅读错误，因为在同一时刻可能会有一个以上光纤束被照亮。因此，M4捕获函数要求使用非常小的点光源。点光源能够跨标签表面移动。

    可选地，可使用微小光源的一个固定网格来模拟小的点光源。因为需要精确的发动机来激励点光源，因此前面所述的方法增加了扫描器的成本。也因为点光源需要以精细的程度覆盖标签表面，因此捕获光纤图案所花费的时间将显著增加。该方法也要求昂贵的照明器件来维持高测量精度。比如，为了在毫米内测量光纤坐标，需要在每一平方毫米的区域内放置光源。这是个相对更昂贵且不能采纳的建议。

    在各种实现中，有两种方法可以用来扫描嵌入光纤的标签，而同时维持有效性和防假冒(和/或防篡改)时：固定分区扫描和逐行扫描(sweep-line scanning)。对固定分区扫描，标签被划分成假想的铺砌块(tile)，它们连续地被单独照亮。对逐行扫描，同一标签被扫描两次。对每次扫描所捕获的数进行相关。这两种方法在下面参考图9和10进一步讨论。

    固定分区扫描

    图9示出了用于固定分区扫描的示例性系统900。如图所示，标签可被划分成M×N的假想铺砌块(图9中是2×3)。连续地单独照亮这些铺砌块(902-912)。铺砌块之一(910)被照亮，而当其它铺砌块(902-908和912)保持暗。被照亮的光纤通路在铺砌块904、906、908和912中出现，并由小点(比如914和916)表示。未被照亮的光纤通路出现在铺砌块902、904、906、908和912中，并由两端没有点的线(即918和920)表示。

    这种排列的扫描器包含了M×N的扫描块；每一块可包括一个照相机和一个或多个照明装置。可用不透明的壁将块隔开，使得从照亮子部分的块(开块(onblock))出来的光线不会泄露到其它暗块(关块(off block))。连续地，M×N扫描块的每一个打开它自己的内部照明(被称作曝光)，而其它块保持它们的照明关闭并且使用照相机来捕获被照亮的光纤通路。该扫描过程的结果—细分捕获函数Msub-div(P)能表达如下：    

               Msub-div(P)＝{L1，L2，...，LM×N}，

    在上述公式中，Lk是当第k个假象块中的光被照亮时光纤通路坐标的列表，Lk＝{C1k，C2k，...，Cqk}，其中Cik(i≠k)是当第k个块被照亮时在第i个假象块中捕获的光纤通路的坐标列表，并且Cik＝{(x1k，i，y1k，i)，(x2k，i，y2k，i)，...}。

    如同参考图9所讨论的，可使用一组照相机和灯泡来实现细分捕获函数。由于每一假象块覆盖一块相对较小的区域，因此诸如消费者网络照相机等低分辨率照相机就能满足减少整个系统成本的需要。在细分扫描中，简化函数R适用于在每次曝光时捕获的光纤坐标的每一列表：

    R(Msub-div(P))＝{R(C21)，R(C31)，...，R(Cik)，...}，

    在上述公式中，Cik(i≠k)是在第k次曝光时由第i个假象块捕获的数据。

    验证过程涉及比较每次曝光时获取的数据。假设R(M(P))是在制造标签时获得的，R(M’(P))是实际取得的，那么对于所有的(i，k)对(i≠k)，当且仅当R(Cik)＝R(C’ik)时，该标签能被声明是真实的。

    在将压缩和/或散列应用于光纤数据的实现中，简化函数R被应用到每次曝光时捕获的光纤坐标列表。在下文参考名为“光纤数据压缩”的一节进一步讨论示例性压缩技术。

    在R是恒等函数的情况下，即R(A)≡A，对于所有的(i，k)对(i≠k)，验证等价于比较Cik和C’ik。每一Cik可以是对假象块局部的用二维坐标系统表达的点集合。在一个实现中，比较Cik和C’ik大约是匹配两个点集合。当且仅当存在一个刚性运动变换T(旋转、平移，透视偏斜)，使得C’ik中至少有P数量的点在Cik中有唯一匹配的点，并且P表示Cik和C’ik中均存在的大量点，那么这两个点集合能被声明为等价。因此，给定两组曝光数据M和M’，其中M＝{Cik，对i和k，i≠k}，而M’＝{C’ik，对i和k，i≠k}，如果下述是正确的话，对于匹配误差半径ε和匹配百分比ρ，M和M’被认为是等价的：

    对于所有的i和k对，其中i表示曝光块，k表示假象块，那么存在一个刚体照相机变换T，使得：

    1.在C’ik中有满足匹配标准的D个点{p1，p2，...，pD}：在Cik中就存在D个点的集合{q1，q2，...，qD}，使得‖qj-T(pj)‖＜ε，其中‖x-y‖表示点x和点y之间L2距离。

    2.D＞ρ·(|Cik|+|C’ik|)/2，其中|X|表示集合X中点的数量。

    通过诸如星座匹配、点模式匹配等技术的应用，可完成找出刚体照相机变换T。

    逐行扫描

    通过使用一维运动的方式动态扫描标签表面，逐行扫描对固定分区扫描加以改进。如此，它能更有力的抵制造假攻击。    

    图10示出了逐行扫描系统1000的示例性边视图。系统1000包括了照明室(1002)和成像室(1004)。照明室(1002)可包括许多绿色极亮的发光二极管(1006)来强烈地照亮标签(1010)上狭窄的矩形条(即照明窗口1008)。光线通过其末端放置在照明窗口(1008)里面的光纤束(1012)，并在成像室(1014)下面的区域(如在成像窗口1016中)露出。被照亮的光纤束的位置可由消费者级别的摄影机(1018)捕获。此外，成像室(1004)包括许多持续照亮标签表面(1010)的低亮度的红色LED(未示出)。可使用这种导向图案根据被捕获的视频数据来精确地定位光纤末端。

    在一个实现中，当扫描器沿着一个方向(1020)在标签表面上移动时，所有照明LED(比如绿色和红色)一直被开着。摄影机(1018)持续拍摄直接放置在成像窗口(1016)中的标签区域的照片。捕获的视频数据包含了红光照明下的标签表面和绿色的发光光纤末端。当然，其它颜色的组合(或者相同颜色)也能用来照亮导向和/或光纤末端。视频数据被馈给提取光纤位置的计算机(例如参考图17所讨论的计算环境)。在一个实现中，不同的LED的颜色(比如对光纤末端和导向)使得照相机/计算机能更容易地在打印在标签上的导向图案和发光的光纤末端之间进行区分。

    扫描器数据处理

    可使用成像处理和几何匹配算法的组合来处理所扫描的光纤数据，这能容许检测错误和标签的磨损和撕坏。

    图11示出了示例性扫描器数据处理方法1100。方法1100适用于发光标签的一个或多个捕获的视频数据(如参考图10所讨论的)。从每一视频照片中提取出导向图案(1102)和发光光纤末端(1104)的位置。如参考图10所讨论的，在一个实现中，使用单独的照明频谱(比如绿色和红色)简化并加速了光纤末端和导向图案的提取。

    基于提取的数据(1106)，可确定一精确的运动变换T。设想该变换函数T捕获两张照片间的相机的相对运动，并确定了一张照片中的样点如何映射到前一张照片的坐标系统。连续的照片(例如，两张照片)的结果可被相关，并能建立点的一致映像(1108)。可通过将连续的相片拼接在一起，来形成光纤图案的二维映像。这产生了其左侧末端恰巧在照明带下面的光纤束的右侧末端的相片序列。只要照相机的帧速率和扫描器移动的速率是可比拟的，那么这种方法就能捕获大多数或所有的光纤通道。

    图12和图13示出了同一标签(1010)的两个提取的连续相片。图12和13的每一个都示出了照明窗口和成像窗口(分别为1008和1016)。图14示出了图12和13的照片的所提取的数据点的对应性。这两张照片(图12和13)的每一张都捕获了三条光纤通路，其中两条来自于相同的光纤束(例如，由图14的虚线箭头1402标记)。类似地，如图所示，对应性也存在于这两张照片中的导向记号对之间。

    根据所提取的数据，可确定两张连续的相片(如图12和图13的照片)之间的运动变换T。该变换函数T捕获两张照片间相机的相对运动，并确定了一张照片中的样点如何映射到前一张照片的坐标系统。

    比如，给定N张连续的相片，其每一张都捕获了点集合Qk＝{Pk1，Pk2，...}，其中k＝1...N，以及N-1个运动变换Tk→k+1，其中k＝1...N-1，所有的点都被变换到全局坐标系统。不失一般性，可选择第一张相片的坐标系统作为全局坐标系统。使用下列的公式，将点集合Qk(k＞1)中的每一点变换到该坐标系统：

    pj’＝T1→2(T2→3(...TN-1→N(pj)))     (公式1)

    给定在两张连续的相片之间共享的足够多的点，能推导出如下的相机运动变换函数T。假设两张连续的相片捕获了两组光纤通路(点)，Q1和Q2，其每一组包含了点集合，用二维坐标来表达：

                     Q1＝{(x11，y11)，...，(x1m，y1m)}

                     Q2＝{(x21，y21)，...，(x2n，y2n)}

    给定匹配容限δ，能找到相机运动变换T和一个非空匹配M，其中M包含了从P1的子集到P2的等大子集的一对一的匹配：

    M＝{(x1j1，y1j1)→(x2k1，y2k1)，...，(x1jL，y1jL)→(x2kL，y2kL)}，其中对于所有的1≤I≤L，L＝M的大小，有(x1ji，y1ji)εP1且(x2ki，y2ki)εP2，使得‖T(x1ji，y1ji)，(x2ki，y2ki)‖＜δ，其中‖(x，y)，(u，v)‖是点(x，y)和(u，v)之间L2欧几里得距离。

    根据给定的匹配M，可估算出运动变换T的参数，这能由一个3×3的仿射矩阵描述：

    T=R11R12TxR21R22Tyt1t21]]>

    Rij参数捕获了照片间相机的相对旋转，Tx和Ty表示相机的水平和垂直平移的参数。t1和t2参数捕捉相机相对于标签表面的微小倾斜。当对着一个平坦的标签表面按下扫描器时，这两个参数可以被认为是零。

    为了将第二张相片的样点变换到第一张照片的坐标系统，可将变换矩阵T乘以样点坐标：

    Xk11′Yk11′1=T·Xk12Yk121]]>

    由于Q1和Q2间的匹配M，下列线形方程式结果为：

    Xj12Yj121=T·Xk12Yk121]]>

    由于无倾斜变换矩阵T包含了6个自由参数，只需要两张照片间的三对匹配点来计算运动变换。可将导向图案放置在标签上，以提供足够多的匹配点对，使得扫描器能够容许在两张连续相片间只共享一条或者两条光纤通路的情况。

    一旦找出了精确的运动变换T，可对两张连续的照片Q1和Q2的结果进行相关，并可建立点的单个一致映像。可一次扫描中在所有的照片上执行该过程(公式1)。最终结果是标签内所有光纤末端(右侧)的单个、一致性映像。虽然可将同一扫描过程用于相反的方向以获得左侧的光纤末端，然而右侧光纤末端的映像就能提供足够的反假冒抵抗力。

    验证过程

    在标签生产阶段(如，参考图5和图6所讨论的)，扫描器产生光纤末端的单个参考映像。该映像可被压缩，如在下面参考题为“光纤数据压缩”的一节进一步讨论的，并被密码地编码为介质证书。在标签验证阶段(如参考图8所讨论的)，可再次应用该扫描过程来产生底层的光纤图案的第二映像。可应用同一点匹配方法(如参考图11所讨论的)来确定两个映像是否描述了相一光纤图案。

    图15示出了光纤标签的两次独立逐行扫描(由线1502分割)后的点匹配结果1500。由叉标记的点是由检测器捕获的光纤通路。连接线1502上下的叉的线表示了捕获的光纤末端的两个映射间的几何匹配(1504)。图15也包括了不匹配的光纤通路(1506)和导向图案(1508)。

    超过预定义阀值(即，决策阈值)的高匹配百分比表示该标签是真实的；低匹配百分比表示是假冒的。在一个实现中，同一标签的两次扫描间的点匹配百分比(即阳性匹配率(positive-mathing rate))通常位于70％和85％之间；而两个不同的标签的扫描间的匹配百分比(即阴性(negative-matching rate)匹配率)大约在10％-15％。差异通常在2-5％之间。这表明可在50％附近的地方选取导致低于1.2·10-12假阳性率(false-positive rate)和低于2.9·10-7的假阴性率(false-negative rate)的决策阈值。

    无需对系统作很大的改变就能进一步降低假阳性率和假阴性率。匹配误差的一个主要组成部分是摄像机镜头的内在失真。使用软件校准对于缓和摄像机的失真是有益的。同样，可应用现有的摄像机校准技术以将阳性匹配率提高到95％附近，并将阴性匹配率降低到5％附近。

    此外，在一个实现中，本发明描述的扫描器系统只需要一台消费者级别的个人电脑(PC)照相机，它当前花费在30美金到50美金之间。可选地，可使用具有非常高分辨率的固定摄像机来覆盖整个标签表面。然而，实际上这种方案会造成很昂贵的扫描器系统，因为高分辨率照相机通常要比低分辨率PC照相机贵几个数量级。而且，为了实时地处理从固定高分辨率照相机得到的高容量视频数据，扫描器系统需要强大的处理器，这会进一步增加整个系统成本。

    此外，有很多方法可以处理从逐行扫描器中捕获的数据。一种有经验的方法是在捕获时将捕获的光纤末端位置与扫描器的位置作匹配。实际上这产生了一其“维数”非常接近三的光纤映像。由于单个光纤束的两条通路，右侧一条的位置被精确地记录(二维)，并且由扫描器的位置大致记录了另一条。由于发光带有一定的宽度，左侧通路的水平位置被捕获成一个近似值，其误差等于发光带一半的宽度。所以，发光带越窄，捕获的数据的维数就越接近于三。从而，标签特性的映像可具有二维、三维或者四维。

    在另外的实现中，代替获取近似三维映像，可以计算右侧光纤末端的二维映像。即使如此得到的映像是二维点集合，扫描运动本质提供充分的保证，廉价的假冒企图(例如，缺少光纤束的仿真)将通不过验证(如参考图8所讨论的)。

    光纤数据压缩

    在各种实现中，可使用压缩给定标签上的光纤位置的两类算法。两类算法都包括下面三个阶段：    

    1.计算PDF。[两类]对横跨标签的实际状态的像素照明计算概率分布函数(PDF)。该阶段取决于制造过程和光纤在标签区域上的期望分布。可分析地计算PDF，以在制造前估计系统行为。然而，为了最佳结果，应当统计地分析制造线上的输出来计算精确的PDF。图16中示出了使用100×100像素矩阵和对应于20像素的光纤长度所扫描的方形标签的数字化计算出的PDF的一个例子。

    2.点对点矢量编码

    a.[类I]可编码光纤末端点间的矢量来使用尽可能少的比特。可使用一个算数编码器来独立地对每个矢量编码。对标签区域中给定的“锚(anchor)”像素A，可使用下列方法编码指向该区域中另一个截然不同的像素的矢量。按照到A的距离的降序对区域中所有的像素(除了A)排序。有同样距离的像素根据它们被照亮的似然性来排序。排序的列表中的像素可被表示为P＝{P1...Pn}表示。使用与Pi是P中第一个或者第二个被照亮的对数似然性相等的比特数来编码排序列表中的每一像素Pi。

    b.[类II]假设有一条路径通过标签上所有被照亮的像素。该路径是矢量列表，其中一个矢量的终点就是下一个矢量的源。对于给定的被照亮的像素A的K个最接近的被照亮的像素，可构建所有K(K-1)矢量元素，它们将A作为元组中第一个矢量和第二个矢量的终点。对于元组中给定的第一个矢量，用下列方法来编码下一个矢量。B被表示成元组中第一个矢量的源像素。所有距离B比A更近的像素被从编码中排除，并且标签区域内剩下的像素就如同类I编码器的方式将之排序成列表P。然后，使用与Pi是P中第一个被照亮的对数似然性相等的比特数来编码P中的像素Pi。

    3.寻找能用有限比特预算来描述的最长路径

    a.[类I]最优化问题可以被模型化为一种非对称“货郎担”问题的变体。使用图表G为该问题建模；其每一节点表示一个被照亮的像素；两个节点间每条边的权重表示用于表示该矢量的比特数。G中需要一条路径，使得对于有限的比特预算，可访问到尽可能多的节点。这是一个NP难题(即，比能够在多项式时间内使用非确定图灵机解决的问题从本质上更难的复杂类决策问题)。

    b.[类II]最优化问题可以被模型化为非对称“货郎担”问题的另一种变体。这种模型和类I模型很相似，除了边权重的改变是取决于根据类II的编码模式的描述而采用的路径之外。这也是一个NP难题。

    点子集压缩算法是通用标签系统中关键的因素，因为锻造标签的费用是与编码算法所达到的压缩率成指数级比例的。类I的技术能达到比直接压缩技术好15-25％的压缩率，而期望类II在压缩率上有额外的15-25％的飞跃。

    硬件实现

    图17示出了一个通用计算机环境1700，它可用来实现此处相对于使用随机嵌入的光纤供应防假冒和/或防篡改标签所描述的技术。计算机环境1700仅为计算环境的一个示例，并非暗示对计算机和网络体系结构使用范围和功能的局限。也不应将计算机环境1700解释为对示例性计算机环境1700中示出的任一组件或其组合具有依赖或需求。

    计算机环境1700包括计算机1702形式的通用计算装置。计算机1702的组件可包括但不限于，一个或多个处理器或处理单元1704(可任选地包括加密处理器或者协处理器)、系统存储器1706、以及将包括系统存储器1704的各类系统组件耦合至处理单元1706的系统总线1708。

    系统总线1708表示是若干种总线结构类型的任一种的一个或多个，包括存储器总线或存储器控制器、外围总线，加速图形卡以及使用各类总线体系结构的处理器或局部总线。作为示例，这类体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线以及外围部件互连(PCI)总线，也称为Mezzanine总线。

    计算机1702通常包括各种计算机可读介质。计算机可读介质可以是可由计算机1702访问的任一可用介质，包括易失和非易失介质、可移动和不可移动介质。

    系统存储器1706包括以易失存储器形式的计算机存储介质，如随机存取存储器(RAM)1710，或者非易失存储器，如只读存储器1712。基本输入/输出系统1714(BIOS)包括如在启动时帮助在计算机1702内的元件之间传输信息的基本例程，储存在ROM 1712中。RAM 1710通常包含处理单元1704立即可访问或者当前正在操作的数据和/或程序模块。

    计算机1702也可包括其它可移动/不可移动、易失/非易失计算机存储介质。通过示例，图17示出了对不可移动、非易失磁介质(未示出)进行读写的硬盘驱动器1716、对可移动、非易失磁盘1720进行读写的磁盘驱动器1718以及对可移动、非易失光盘1724，如CD ROM或其它光介质进行读写的光盘驱动器1724。硬盘驱动器1716、磁盘驱动器1718和光盘驱动器1722的每一个通过一种或几种数据介质接口1725连接到系统总线1708。作为选择，硬盘驱动器1716、磁盘驱动器1718和光盘驱动器1722可通过一个或多个接口(未示出)连接到系统总线1708。

    驱动器及其相关的计算机可读介质为计算机1702提供了计算机可读指令、数据结构、程序模块和其它数据的非易失存储。尽管示例示出了硬盘1716、可移动磁盘1720以及可移动光盘1724，然而可以理解，用于储存可由计算机访问的数据的其它类型的计算机可读介质，比如盒式磁带或其它磁性存储装置、闪存卡、CD-ROM、数字多功能盘(DVD)和其它光存储器、随机存取存储器(RAM)、只读存储器(ROM)、电可擦写可编程只读存储器(EEPROM)等等，都能用来实现示例性计算系统和环境。

    任意数量的程序模块可储存在硬盘1716、磁盘1720、光盘1724、ROM 1712或RAM 1710中，作为示例，包括操作系统1726、一个或多个应用程序1728、其它程序模块1730以及程序数据1732。每个这样的系统1726、一个或多个应用程序1728、其它程序模块1730以及程序数据1732(或其某一组合)能够实现支持分布式文件系统的所有或部分常驻组件。

    用户可以通过诸如键盘1734和定点设备1736(比如鼠标)等输入设备向计算机1702输入命令和信息。其它输入设备1738(未具体示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星电视天线、串行端口和扫描仪和/或其类似物。这些和其它输入设备通常通过耦合至系统总线1708的输入/输出接口1740连接到处理单元1704，但也可以通过其它接口和总线结构连接，如并行端口、游戏端口或通用串行总线(USB)。

    监视器1742或其它类型的显示设备也通过接口，如视频适配器1744连接到系统总线1708。除监视器1742之外，其它输出外围设备可包括诸如扬声器(未示出)和打印机1746等组件，它们通过输入/输出接口1740连接到计算机1702。

    计算机1702可以在使用到一个或多个远程计算机，如远程计算装置1748的逻辑连接的网络化环境中操作。作为示例，远程计算装置可以是个人计算机、便携式计算机、服务器、路由器、网络计算机、对等设备或其它公用网络节点、游戏控制台等等。示出远程计算装置1748为能包括在此处相对于计算机1702所描述的大多数或者全部元件和特征的便携式计算机8。

    计算机1702和远程计算机1748之间的逻辑连接被描述为局域网(LAN)1750和通用广域网(WAN)1752。这类网络环境常见于办公室、企业范围计算机网络、内联网以及因特网。

    当在LAN网络环境中实现时，计算机1702通过网络接口或适配器1754连接至局域网1750。当在WAN网络环境中实现时，计算机1702可包括调制解调器1756或在广域网1752上建立通信的装置。调制解调器1756可以是内置或外置的，通过输入/输出接口1740或其它适当机制连接至系统总线1708。可以理解，示出的网络连接是示例性的，也可以使用在计算机1702和1748间建立通信链路的其它装置。

    在网络化环境中，如同所示出的的计算环境1700，相对于计算环境1700描述的程序模块或其部分可储存在远程存储器存储设备中。作为示例，远程应用程序1758驻留于远程计算机1748的存储器设备中。虽然可认识到这种程序和组件在不同的时刻驻留在计算设备1702的不同的存储组件中，并由计算机的数据处理器执行，然而为说明目的，在这里依然将如操作系统这样的应用程序和其它可执行程序组件示出为离散的块。

    可在如一台或多台计算机或者其它装置执行的程序模块等计算机可执行指令的一般上下文环境中描述各种模块和技术。一般而言，程序模块包括例程、程序、对象、组件、数据结构等等，执行特定的任务或实现特定的抽象数据类型。通常，如不同的实现所期望的，程序模块的功能是可组合或分布。

    这些模块和技术的实现可在某种形式的计算机可读介质上存储或传输。计算机可读介质可以是由计算机访问的任一可用介质。作为示例而非局限，计算机可读介质包括“计算机存储介质”和“通信介质”。

    “计算机存储介质”包括以用于储存诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任一方法或技术实现的易失和非易失，可移动和不可移动介质。计算机存储介质包括但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储设备、或可以用来储存所期望的信息并可由计算机访问的任一其它介质。

    “通信介质”通常在诸如载波或其它传输机制的已调制数据信号中包含计算机可读指令、数据结构、程序模块或其它数据。通信介质也包括任一信息传送介质。术语“已调制数据信号”指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。作为示例而非局限，通信介质包括有线介质，如有线网络或直接连线连接，以及无线介质，如声学、RF、红外和其它无线介质。上述任一的组合也应当包括在计算机可读介质的范围之内。

    结论

    虽然用对结构特征和/或方法动作专用的语言描述了本发明，但是要理解，在所附权利要求书中定义的本发明不必局限于所描述的特征和动作。相反，揭露具体的特征和动作作为实现发明的示例性形式。