安全特征的可追踪的标记转让专利
申请号 : CN201180044616.3
文献号 : CN103140867B
文献日 : 2017-11-14
发明人 : M.费德勒 , O.保罗
申请人 : 捷德货币技术有限责任公司
摘要 :
本发明涉及一种用于明确地追踪安全特征(1)的方法,首先将所述安全特征(1)的唯一的第一标记(C0)与所述安全特征(1)相关联(S1)。在所述安全特征(1)从转发者(P1,P2)向接收者(P1,P2,P3)传送时建立(S2)序列标记(C1,C2,C3),方法是以安全标记(1)各个接收者(P1,P2,P3)的保密密钥(SK1,SK2,SK3)加密已经与所述安全特征(1)相关联的标记(C0,C1,C2),即第一标记(C0)或者由此前传送所产生的序列标记(C1,C2)。然后,将所述序列标记(C1,C2,C3)与所述安全特征(1)相关联(S3,S3′),从而可以根据与其相关联的序列标记(C1,C2,C3)追踪、验证和分析(S5)安全特征(1)的所有传送。
权利要求 :
1.一种用于明确地追踪安全特征(1)的方法,其特征在于如下步骤:
-将所述安全特征(1)的唯一的第一标记(C0)与所述安全特征(1)相关联(S1);
-在所述安全特征(1)从转发者(P1,P2)向接收者(P1,P2,P3)传送时建立(S2)序列标记(C1,C2,C3),方式是以接收者(P1,P2,P3)的保密密钥(SK1,SK2,SK3)加密已经与所述安全特征(1)相关联的标记(C0,C1,C2);
-将所述序列标记(C1,C2,C3)与所述安全特征(1)相关联(S3,S3′),
其中,将所述接收者(P1,P2,P3)所建立的序列标记(C1,C2,C3)与所述接收者(P1,P2,P3)的公共密钥(PK1,PK2,PK3)一起传送到所述转发者(P1,P2),所述接收者(P1,P2,P3)的公共密钥(PK1,PK2,PK3)与刚才使用的接收者(P1,P2,P3)的保密密钥(SK1,SK2,SK3)相对应,从而所述转发者(P1,P2)通过所述公共密钥(PK1,PK2,PK3)来验证(S4)所建立的序列标记(C1,C2,C3);
其中,将包含预定量的液态或粉末状的安全特征(1)的容器(2),与所述第一标记(C0)和所述序列标记(C1,C2,C3)相关联(S1,S3,S3′),其中,通过与容器相关联的最后的标记(C0,C1,C2)的说明来打开所述容器(2)的闭锁机构(4),以便提取可分的安全特征(1)的部分量。
2.根据权利要求1所述的方法,其特征在于,通过加密与所述安全特征相关联的最后的标记(C0,C1,C2)建立所述序列标记(C1,C2,C3)。
3.根据权利要求1所述的方法,其特征在于,将与接收者(P1,P2,P3)的保密密钥(SK1,SK2,SK3)对应的用于随后验证序列标记(C1,C2,C3)的公共密钥(PK1,PK2,PK3)存储在可靠的位置(5)。
4.根据权利要求1所述的方法,其特征在于,如下地将所述第一标记(C0)与所述容器(2)相关联(S1):将所述第一标记(C0)这样固定地与所述容器(2)绑定,使得所述第一标记在不影响容器(2)的情况下不能与容器分离。
5.根据权利要求4所述的方法,其特征在于,如下地将所述序列标记(C1,C2,C3)与所述容器(2)相关联(S3,S3′):将所述序列标记(C1,C2,C3)与所述第一标记(C0)一起传送到可靠的位置(5)并且在那里这样存储(S3,S3′),使得通过第一标记(C0)的说明能够确定序列标记(C1,C2,C3)并且能够与容器(2)对应。
6.根据权利要求5所述的方法,其特征在于,如下地将所述第一标记(C0)和/或所述序列标记(C1,C2,C3)与容器(2)相关联:将所述第一标记(C0)和/或所述序列标记(C1,C2,C3)这样存储(S1,S3,S3′)在与容器(2)固定绑定的存储装置(3)中,使得所述存储装置(3)在不影响容器(2)的情况下不能与容器分离。
7.根据权利要求4所述的方法,其特征在于,容器(2)的无线电装置将所述第一标记(C0)和/或所述序列标记(C1,C2,C3)传送到可靠位置(5)。
8.根据权利要求4所述的方法,其特征在于,将所述第一标记(C0)在建立任意可分的安全特征(1)的情况下与容器(2)相关联(S1)。
9.根据权利要求4所述的方法,其特征在于,将所述安全特征(1)安装在至少一个要保护的对象上,并且根据各自的第一标记(C0)和/或序列标记(C1,C2,C3)来确定在要保护的对象上安装的可分的安全特征(1)的量。
10.根据权利要求4所述的方法,其特征在于,以可分的安全特征(1)的量填充容器(2),该量对于在制造层和/或制造费用的范围内要利用安全特征(1)保护的对象是必要的。
11.根据权利要求1至10中任一项所述的方法,其特征在于,在每次传送所述安全特征(1)时建立安全特征(1)的序列特征(C1,C2,C3),并且根据与该安全特征(1)分别相关联的序列特征(C1,C2,C3)追踪安全特征(1)的所有传送。
说明书 :
安全特征的可追踪的标记
技术领域
[0001] 本发明涉及一种用于明确地追踪安全特征的方法、一种不可分的安全特征、一种用于容纳任意可分的安全特征的容器、以及一种用于明确地追踪这种安全特征的系统。
背景技术
[0002] 公知的是,采用各种各样的安全特征来保护有价值的对象和产品,例如,在奢侈品中,或者在以钞票、证明文件、银行卡、帐户卡或储蓄卡、身份证等为形式的有价证券中。这样的安全特征通常被固定地安装在产品上,并且保证或至少允许检查产品的真实性。这种安全特征例如引起难以伪造或难以复制的光学或其它方式的效果,并且大多也难以从真实产品转移到伪造产品。
[0003] 就安全特征的制造及其安装到有关产品而言,基本上区分为不可分但可数的安全特征和任意可分的安全特征。前者包括分开制造的并且作为整体安装在要保护的产品上的真实性印记、安全标签或光学可变的或电子的安全元件;而后者包括例如液态、粉末状或其它方式的任意可分的安全特征,诸如颜色、漆和其它非自身携带的在安装到产品上才呈现具体构造的物质或预制的自身携带的安全物质,诸如安全线、安全带、安全薄膜或在安装到产品之前必须与该产品匹配的类似物质。
[0004] 不可分的安全特征通常具有唯一的例如印刷、刻印或写入存储器的标识并且可以单独识别;而可分的安全特征按照预定的量或浓度安装到要保护的对象并且仅基于所引起的光学和其它方式的效果起作用。就此而言,不可分的安全特征的消耗或流通也可以通过保护的产品的数量来量化,而可分的安全特征的消耗或流通仅能以量说明来量化,例如通过重量消耗或面积消耗。
[0005] 但是,对于所有安全特征普遍的是,除了安全特征的实际技术规格首先由如下得到安全获益,即在制造、进一步处理时以及在安装到要保护的对象时受到严格控制,从而防止可分的安全特征的量或者不可分的安全特征被盗取、篡改或更换。
发明内容
[0006] 因此,本发明要解决的技术问题是,确保关于其寿命周期完备地追踪安全特征。
[0007] 上述技术问题通过具有独立权利要求的特征的方法和装置来解决。在其从属的权利要求中给出了本发明的优选的实施和扩展。
[0008] 按照本发明,将安全特征与唯一的第一标记相关联。在安全特征从转发者向接收者传送时建立序列标记(Folge-Kennzeichnung),并且其同样与安全特征相关联。通过利用接收者的保密的密码密钥来加密已经与安全特征关联的标记(即,要么第一标记,要么此前与安全特征相关联的序列标记)建立序列标记。
[0009] 即,每个序列标记一方面明确地追踪到此前已经与安全特征相关联的标记,而另一方面经由所使用的保密密钥明确地追踪到有关的接收者。因此,基于与安全特征相关联的序列标记可以关于安全特征的整个寿命周期对安全特征从转发者向接收者的每次传送进行明确地追踪和事后检查。
[0010] 优选地,不是通过加密任意与安全特征相关联的标记来建立序列标记,而是通过加密与安全特征相关联的最后的标记、即通常利用已经构成转发者的序列标记,作为安全特征向其进一步传送。但是,安全特征的第一接收者在其制造之后从第一标记中建立第一序列标记。由此,在安全特征的寿命周期期间构造了完备的逻辑结构,例如序列标记的序列或序列标记树,从中可以重建所有的转发并且通过作为基础的第一标记明确地追踪到有关的安全特征。
[0011] 在安全特征从转发者向接收者转发时,优选由接收者本身建立序列标记并且传送给转发者。然后,转发者可以通过接收者的公共密钥验证所获得的序列标记的有效性。如果序列标记相应于利用接收者的公共密钥解密的转发者在获得安全特征时在他那一侧已经完成的序列标记,则序列标记是有效的。也就是,有效的序列标记建立了对于转发者的证明,使得转发者不再拥有安全特征并且符合规定地进一步传送到被授权的接收者。
[0012] 按照本发明设置的密码架构要求所有参与者(即安全特征的所有可能的接收者)在安全特征的寿命周期期间通过合适的密码的密钥对来构造,该密码的密钥对由保密的加密密钥和公共的解密密钥组成。可能的参与者也就是所有参与制造、进一步处理、操作或将安全特征安装到产品和/或将产品输出给交易者或最终消费者或对此负责的人员。
[0013] 优选地,在位于前面的“转入转出(Rollout)”过程的范围内,通过合适的密钥对来构造所有的参与者(即所有可能的接收者和转发者)。在此,也可以在可靠的位置中存储参与者的公共密钥,例如在后台系统中电子地存储等。于是,转发者可以从该后台系统获得接收者的公共密钥。
[0014] 在后台系统上,除了参与者的公共密钥之外还可以中央地存储序列标记,从而可以集中地实施有关的安全特征的寿命周期的追踪。在此,还中央地存储第一标记,从而每个序列标记可以与有关的安全特征相关联,例如通过对相应于第一标记的安全特征的标识的说明。如果序列标记不像第一标记那样固定地与安全特征绑定,则中央存储的序列标记分别经由相关的第一标记本身与安全特征明确地关联。
[0015] 如果安全特征是任意可分的,例如液态或粉末状的安全特征,则序列标记与如下的容器相关联:在该容器中保存可分的安全特征。由此,也可以在安全架构中合并以及与以真实性印记、安全标签或安全元件形式的常规的不可分的安全特征一样追踪并验证这样的安全特征,其不能明确地识别和计数并且其由此不能直接与第一和序列标记绑定。
[0016] 通过这种方式,可以不取决于是否是不可分或可分的安全特征,沿着有关的安全特征的寿命周期中央地监视灵敏的特征类型的进一步传送,以便根据一系列序列标记来识别和定位不允许的偏差,方法是确定安全特征的各个最后负责的接收者。
[0017] 在安全特征或容器与有关的第一标记之间的明确关联是具重要意义的,因为只有这样才能确保在随后的通过按步骤地检查序列标记的追踪的情况下存在与有关的安全特征的明确且在任何时候都可再现的关联。
[0018] 因此,将第一标记这样固定地与不可分的安全特征或与可分的安全特征的容器绑定,使得其在不影响不可分的安全特征或容器的情况下不能与其分离。适合于此的尤其是相应的印刷方法和刻印方法,利用其可以将第一标记不可变更地印刷或刻印到不可分的安全特征或容器。同样可能的是,不可分的安全特征或容器具有电子存储装置,例如关于安装在不可分的安全特征或容器上的微芯片,在该微芯片中这样存储第一标记,使得不破坏电子存储装置或芯片该第一标记就不可清除。
[0019] 如果不可分的安全特征或容器包括用于存储第一标记的存储装置,则其优选这样固定地与不可分的安全特征或容器绑定,使得存储装置在不影响不可分的安全特征或容器的情况下不能与其分离。在该存储装置中优选地还存储了在安全特征的寿命周期期间所产生的所有序列标记。同样,在那里还可以存储相关的公共密钥。在存储装置中存储的数据由此可以与在可靠的后台系统上存储的数据一致,从而一方面可以根据存在的安全特征或容器局部地实施安全特征的寿命周期的追踪,或者中央地从可靠的位置实施安全特征的寿命周期的追踪。
[0020] 优选地,不可分的安全特征或容器包括无线电装置,利用该无线电装置可以将第一标记和/或序列标记传送到可靠的位置,或者可以由转发者要求中央存储的接收者的公共密钥。就此而言,还可能的是,除了无线电装置还设置定位装置,该定位装置例如允许经由GPS或GSM实现对不可分的安全特征或容器的位置定位。
[0021] 优选地,通过合适的终端设置构造参与者,即安全特征的所有可能的接收者,以便通过加密产生序列标记或通过解密来验证,以及以便实施其它必要的数据通信。在此,例如可以是相应于软件地构造移动式电话或者智能电话,可以是个人数字助理(PDA)、便携式电脑或者也可以是个人计算机,等等。
[0022] 相应地,用于明确地追踪安全特征的系统包括可靠的位置或后台服务器,以及多个不可分的安全特征和/或用于容纳任意可分的安全特征的容器。此外,还设置了通信架构,经由该通信架构可以在后台服务器与不可分的安全特征和/或用于可分的安全特征的容器之间进行电子地数据通信。为此,分别以电子通信装置构造可靠的后台服务器和安全特征/容器,例如通过移动无线电网等进行无线的数据传送。此外,参与者终端设备还能够参与系统并且被这样构造,使得其能够与安全特征/容器和/或后台系统进行数据通信。不可分的安全特征在其寿命周期期间建立序列标记链或一系列序列标记;而如果从转发者划分在容器中存在的安全特征的量的部分量并且进一步传送到两个或多个接收者,则在可分的安全特征中可以建立树形结构。来自于序列标记的该树形结构的叶表示在有关的时间点的所有参与者,该参与者占有安全特征的部分量以及由此的可分的安全特征的所有处于流通中的总的量。
[0023] 通过分析所建立的序列标记,例如通过可靠的位置,可以对消耗的特定特征类型的不可分的安全特征进行完整地总结。在此,考虑该类型的安全特征的所有序列标记。因为在不可分的安全特征中的标记还可以利用存储装置来分析,如果将安全特征安装在待保护的产品上并且进行流通,则除了对所安装的安全特征进行总结之外还可以追踪在流通中的安全特征。
[0024] 在可分的安全特征中可以通过总结根据序列标记确定总共消耗的所标记的产品的量或数量,从而可以揭露安全特征的原本在容器中装入的量与实际消耗的量之间的可能的差异。
[0025] 优选地,以特别的闭锁机构来构造任意可分的安全特征的容器,如果由提取者给出与容器相关联的最后的标记,则该闭锁机构仅允许提取安全特征的部分量。同时,通过与容器相关联的最后的标记或第一标记的说明,接收者也可以给出由此建立的序列标记,以便获得到容器中的安全特征的通道。优选地,以时间锁的形式构造容器的闭锁机构,从而仅在预定的时间段内能够从容器中进一步提取安全特征。
[0026] 优选地,在制造安全特征时以恰好预定的量填充容器,其例如对于特定的制造层和/或特定的制造费用和/或预定数量的利用安全特征要保护的对象是必要的,从而通过最后的总结可以得知安全特征的部分量是否被盗取,例如通过将原本在容器中充满的安全特征的量与相应保护的产品相比较。
附图说明
[0027] 本发明的其它特征和优点结合任意附图由下面对按照本发明的实施例以及其它实施替换的描述给出,附图中:
[0028] 图1示出了结合不可分的安全特征的本发明的第一优选实施方式;
[0029] 图2示出了结合不可分的安全特征的本发明的第二优选实施方式;和
[0030] 图3示出了结合任意可分的安全特征的另一种实施方式。
具体实施方式
[0031] 用于贵重的对象、钞票、有价证券等的高级且防伪的安全特征完全不能或仅以不可代替的高的开销来篡改或伪造,例如因为其光学可变的或其它效果仅难以甚至完全不可再现。但是这种安全特征的安全效果不是仅由其技术上的复杂性或难于伪造性而产生,而是也由如下产生:在其在制造和安装到待保护的产品的范围内的操作和处理中对其进行精确监视,从而避免了盗取、对伪造产品的滥用、或篡改和伪造。
[0032] 就此而言必要的是,对高质量的安全特征的制造、操作、安装到对象以及所有其它方式的使用进行适当地保护,更确切地说,尽可能地关于有关安全特征的整个寿命周期即从其制造至少直到安装到待保护对象和/或直到所保护的对象交付到最终消费者进行适当地保护,此外甚至可以直到所保护的对象在商业中自由流通。
[0033] 在此,在不可分但可数的、即离散的安全特征(诸如真实性印记、安全标签或光学可变的、电子的或其它相关且事先制造的安全元件)与不通过计数而是量化为安全特征的量、体积、重量或面积的任意可分的安全特征(诸如安全色或安全漆、粉末、液体或在安装到有关产品时才预制的安全线、安全带、安全薄膜或类似)之间进行区分。
[0034] 对这种安全特征的操作所进行监视和控制,在安全特征的寿命周期中如下的以及其它的阶段上延伸,但其不限于此:
[0035] ·通过被授权的人员或公司在配件厂预订一定数量或量的安全特征;
[0036] ·购置安全特征的特殊成分以用于制造该安全特征;
[0037] ·在受保护的环境中制造安全特征;
[0038] ·清除来自于制造阶段的次品和其余剩下的特征量;
[0039] ·安全地贮存安全特征并将其提供到将安全特征安装到待保护的产品的位置;
[0040] ·将安全特征防止滥用地安装或引入产品制造;和
[0041] ·受监控地清除安装了安全特征的错误产品以及安全特征的剩余量。
[0042] 图1示出了本发明的实施方式,其中,为不可分的安全特征1(例如真实性印记或安全标签)配备了第一标记C0(步骤1),该第一标记在不影响或者完全破坏安全特征1的情况下不能从该安全特征1中去除。可以将第一标记C0适当地印刷、刻印、压印到安全特征1上或者通过其它方式的安装或固定技术不可撤销地固定到安全特征1。
[0043] 在“转入转出(Rollout)”过程的范围内以密码的密钥对来装备所有被授权的参与者P1、P2、P3,即,在安全特征1的寿命周期的范围内能够接触、获得或传递其的人员、组织或其它实体,该密码的密钥对由保密密钥SK1、SK2、SK3和分别相关的公共密钥PK1、PK1、PK1组成。在寿命周期中建立标记的序列,以第一标记C0起始并且从其推导出序列标记(Folge-Kennzeichnung)C1、C2、C3,后者分别由前一次的第一或序列标记C0、C1、C2通过密码运算得到。
[0044] 根据标记序列C0、C1、C2、C3可以完整地追踪并重建安全特征1的寿命周期,从而在安全特征1的操作中的偏差或不规律性可以被识别、定位并且与有关的参与者P1、P2、P3相对应。安全特征1的不中断的标记序列C0、C1、C2、C3揭示了操作是正确且符合规定的并且排除了滥用。
[0045] 第一标记C0以及所有序列标记C1、C2、C3与安全特征1明确关联,从而随后可以通过标记序列C0、C1、C2、C3明确地对安全特征1的寿命周期进行分析。而第一标记C0与安全特征1固定绑定,通过序列标记C1、C2、C3与有关的第一标记C0的明确关联能够将序列标记C1、C2、C3与安全特征1对应。在此,每个序列标记C1、C2、C3与安全特征1的物理上的明确关联,例如通过将序列标记C1、C2、C3直接安装到安全特征1,不是强制必须的。事实上如图1所示的那样,序列标记C1、C2、C3都相同地存储到后台服务器5或者说存储到存储器6中,因为序列标记C1、C2、C3经由与第一标记C0的逻辑关联在任何时候都与安全特征1对应。
[0046] 通过在从转发者P1向接收者P2传送安全特征1时接收者P2以其保密密钥SK2加密最终与安全特征1关联的标记C1并且由此建立序列标记C2(步骤S2),来建立该逻辑关联。然后,将序列标记C2例如经由无线的数据通信连接发送到后台服务器5(步骤S3),并且在那里结合第一标记C0和已经存储的序列标记C1存入存储器6。
[0047] 此外,由接收者P2所建立的序列标记C2与接收者P2的公共密钥PK2一起被传送到转发者P1,该接收者P2的公共密钥PK2与刚才使用的接收者P2的保密密钥SK2相对应,从而该转发者P1可以通过以接收者P2的公共密钥PK2解密来检查序列标记C2的有效性(步骤S4)。然后,所解密的序列标记C2必须与此前由转发者P1所产生的序列标记C1一致。序列标记C2可以由转发者P1存档,因为转发者将该序列标记用作交付证明,利用该交付证明可以证明安全特征1已经被正常地传递到接收者P2。
[0048] 在后台系统5中,将所有标记,即第一标记C0和所有序列标记C1、C2、C3,以及附加的相关的公共密钥PK1、PK2、PK3存入存储器6,以便在追踪安全特征1的寿命周期时连续地检查标记序列C0、C1、C2、C3,并且追踪到第一标记C0以及由此追踪到安全特征1(步骤S5)。
[0049] 为了与后台服务器5进行数据通信,参与者P1、P2优选地具有合适的终端,例如移动助理、移动无线电设备、手提式电脑等,其被构造为建立序列标记C1、C2、通过转发者P1能够密码地检查接收者P2的序列标记C2以及与后台服务器5执行必要的数据通信,从而至少将序列标记C1、C2、C3传送到该后台服务器5。相反,公共密钥PK1、PK2、PK3在“转入转出”过程的范围内一方面已经与相关的保密密钥SK1、SK2、SK3一起被传送到参与者P1、P2、P3或其终端,并且另一方面传送给后台服务器5。
[0050] 通过以保密密钥SK1、SK2、SK3加密建立序列标记C1、C2、C3在技术上相应于建立密码的签名,该密码的签名可以通过各个包括相关的公共密钥PK1、PK2、PK3的任意其它位置来验证。为了进一步保护序列标记C2,可以由接收者P2附加地以转发者P1的公共密钥PK1来加密该序列标记C2,从而转发者P1仅能够以其保密密钥SK1来解密所加密的序列标记C2,并且以接收者P2的公共密钥PK2来验证其来源。
[0051] 作为图1的实施方式的替换,图2示出了安全特征1的第一标记C0不是印刷、刻印或者通过其它方式能够合适地安装到安全特征1的实施方式。安全特征1事实上包括存储装置3,例如作为与安全特征1固定绑定的微芯片的部件,在传送安全特征1时在该存储装置3中存入第一标记C0(步骤1)以及所有序列标记C1、C2、C3(步骤3)。
[0052] 由此,可以根据在安全特征1中所存储的数据进行对在寿命周期的过程中安全特征1从转发者P1传递到接收者P2的局部检查。为此在存储装置3中也存入各个公共密钥PK1、PK2、PK3,利用其相关的保密密钥SK1、SK2、SK3来产生序列标记C1、C2、C3。
[0053] 附加地,可以将标记C0、C1、C2、C3和必要时公共密钥PK1、PK2、PK3通过安全特征1的无线电装置发送到后台系统5并且存入存储器6(步骤3′)。替换地,也可以将序列标记C1、C2、C3和/或公共密钥PK1、PK2、PK3直接由参与者P1、P2、P3例如通过合适的便携式的终端发送到后台服务器5。
[0054] 由此,除了根据存储装置3中数据的局部检查也可以进行根据存储器6中数据的中央检查。为此目的,利用无线的数据通信装置,例如移动无线电装置等,来构造安全特征1和/或参与者P1、P2的终端。在该实施方式中,安全特征1尤其是电子标签、RFID标签或其它合适的电子装置。
[0055] 图3示出了在使用任意可分的安全特征1的情况下按照图1和图2的两种实施方式的变形,例如液态或粉末状的安全色或安全漆或者任意预制的安全线、安全带、安全薄膜或其它方式的安全应用,其不是技术上预定的大小或尺寸,而是在安装到待保护的对象时才被带入最终的形状,按照最终的形状其应该作为对象的安全元件而起作用。
[0056] 在容器2中装入了任意可分的安全特征1,该容器2与安全特征1的第一标记C0固定绑定(步骤S1),因为在液体的安全特征1上不能安装第一标记C0。对此适用印刷方法或刻印方法。附加地,第一标记C0也可以存储在与容器固定绑定的存储装置3中,由此第一标记C0一方面从外部可见并且另一方面可以电子地分析。
[0057] 当由参与者P1、P2从容器2中提取部分量的安全特征1,例如以便将其安装到一个或多个待保护的对象时,在步骤S2中,分别直接由第一标记C0建立具有相应的保密密钥SK1、SK2的序列标记C1、C2。由此,在任意可分的安全特征1中不一定建立按步骤扩展的标记序列C0、C1、C2、C3,在该标记序列中每个标记由直接前面的标记推导出。而是得出树形结构(在存储器6中表示),例如通过接收者P1从容器2中获得部分量的安全特征1并且产生序列标记C1,而参与者P2同样直接从容器2中获得部分量并且产生序列标记C2,该序列标记C2在此与序列标记C1没有直接关系。但是,由参与者P2从容器2中获得的部分量的安全特征1可以在相应地处理之后再由参与者P3接受,后者在他那一侧从人员P2的序列标记C2中建立人员P3的序列标记C3,从而建立在后台系统5的存储器6中表示的树形结构。同样,在任意可分的安全特征1的情况下,序列标记C1、C2、C3仍可以可靠地存储在容器2的存储装置3中(步骤3)或者存储在后台系统5的存储器6中(步骤3′)。当然,也可以将序列标记C1、C2、C3既存储在容器2的存储装置3中也存储在后台系统5的存储器6中,从而能够既局部也全局地验证并追踪安全特征1。
[0058] 根据在存储装置3或存储器6中的序列标记C1、C2、C3可以分别确定对安全特征1负责的参与者P1、P2、P3,方法是引入序列标记C1、C3的公共密钥PK1、PK3,这些序列标记C1、C3建立为树形结构的叶并且显示出有关的参与者P1、P3还拥有特定量的安全特征1。
[0059] 与从所有从容器2中获得的部分量的安全特征1完备地做出结论一样,在步骤S5,通过后台系统5的控制装置7能够完备地追踪所有从容器2中获得的部分量的安全特征1,从而检查全部在容器2中首先存在的安全特征1的量是否还用于对象和产品的保护,而不会被未经授权地盗取部分量的安全特征1。例如,可以根据在存储器6中存储的树形结构来检查,由树的叶所代表的所有部分量的安全特征1的和是否相应于容器2中的安全特征1的输出量。
[0060] 在此具有优势的是,保密密钥SK1、SK2、SK3包括关于各个参与者P1、P2、P3的特定重要的信息,例如其功能、工作位置等等,从而该信息也被输入序列标记C1、C2、C3中并且可以被检查。
[0061] 可以中央地通过后台系统5或其控制装置7来进行这种分析(步骤S5),或者,在归还空的容器2之后根据在存储装置3中存储的序列标记C1、C2、C3和相应的公共密钥PK1、PK2、PK3来进行这种分析。
[0062] 优选地,容器2还包括闭锁装置4,如果有关的人员P1、P2、P3出示利用第一标记C0和/或其保密密钥SK1、SK2、SK3最后建立的序列标记C1、C2证明其合法,则可以打开该闭锁装置来提取另一部分量的安全特征1。只要在图3中的参与者P3还需要来自于容器2的另一部分量的安全特征1,其例如就可以出示在存储装置3中已经存在的序列标记C2和/或其保密密钥SK3相对于闭锁装置4来证明其合法。
[0063] 附加地,容器2还具有定位装置,由此例如可以由后台系统5通过合适的通信协议,例如GPS或GSM来确定其位置。优选地,该定位装置与存储装置3或相应的微芯片相关联,该微芯片包括存储装置3和定位装置以及必要时无线电装置。优选地,还可以按照时间控制闭锁装置4,从而仅在最后提取的特定时间间隔之内能够进一步提取部分量的安全特征1。为了进一步保护,容器2还被构造为具有颜色球(Farbbombe)。