CN101258502A

CN101258502A - 利用散斑图的处方鉴别

Info

Publication number: CN101258502A
Application number: CNA2006800325327A
Authority: CN
Inventors: R·P·考伯恩; J·D·R·布查南
Original assignee: Ingenia Technology Ltd
Current assignee: Ingenia Holdings UK Ltd
Priority date: 2005-07-27
Filing date: 2006-07-20
Publication date: 2008-09-03
Also published as: GB2428846B; GB2428846A; GB0515464D0

Abstract

本发明涉及一种核实用于控制药物分配的药物权利权标，比如处方(102)的真实性的系统。所述系统包括连接至少一个权标提供者终端(106)、系统服务器(120)和核实终端(130)的网络(104)。权标提供者终端(106)根据源于药物权利权标的散斑图形成可由服务器系统(120)保存的签名。随后可远程操作核实终端(130)，以重新产生该签名，以便通过将其与保存的签名进行比较，核实药物权利权标的真实性。系统(100)依赖于药物权利权标的固有物理性质来产生生成的每个权标的唯一签名。这使药物权利权标本身很难伪造。此外，通过网络传送的签名不需要包含和药物权利权标的内容，比如患者数据有关的任何细节，从而可使系统保存的签名数据是隐私中性的，以致即使签名数据被截取或者被复制，也不会危及患者的私密性。

Description

利用散斑图的处方鉴别

技术领域

本发明涉及处方鉴别。具体地说，本发明涉及核实用于控制配药的处方的真实性的系统和方法。

背景技术

在许多保健体系中，患者通常去看医生，以便获得治疗他们的疾病所需的各种药物的处方。通常处方采取医生通过添加与患者有关的信息(例如，诸如姓名、地址、现有过敏反应之类的个人信息)，以及和要开出的药物有关的信息(例如，药品/药剂类型、剂量、用法(dosingregime)等)而开出的纸质文件的形式，所述纸质文件还由医生签名以使之生效。

在获得有效处方之后，按照医生的诊断和随后的开药，可能要求患者把处方从医生的诊疗室带到药店或者其它药房，以便把处方换成一种或多种处方药。这样的药店可能位于远离医生的诊疗室的地点，从而可能意味着只能在开出处方之后较长一段时间才能提供处方。在开出处方和提供处方之间的时期，处方可能被篡改或者被替换，从而欺诈性地获得管制药物。这是相当易于修改或伪造的纸质处方的一个特殊问题，尤其是如果欺诈者可以使用真实的处方纸。

各种设备和系统因帮助准备和管理用于配药的处方而众所周知[1-6]，包括包含用于识别患者的安全特征的各种设备和系统[3-6]。

某些处方管理系统依赖于使用电子设备，比如智能卡向药剂师传递与待配的药物的类型和数量相关的信息[3-5]。由于智能卡能够提供固有的安全级别，因此使用智能卡来控制对药物的获得能够帮助避免对处方药的欺诈性获得，因为智能卡便于安全地写入处方信息，智能卡的持有人不能容易地修改处方信息。

但是，尽管智能卡系统在某些方面可能比传统的纸质处方系统更安全，纸质处方系统仍然普遍存在。于是，如果要广泛采用智能卡系统，那么需要大规模地更换现有的处方产生和管理系统。这会要求在新的医院设备方面的较大投资，并且要求医生采用新的工作实践(例如，使用电子签名来验证保存在智能卡中的处方数据)。因而，普遍采用基于智能卡的系统的前景目前既不实际，成本效率又不高。

因此，需要一种改进的利用现有各种处方来控制和管理对药物产品的获取的安全方案。

发明内容

按照本发明的第一方面，提供一种核实用于控制药物的分配的处方的真实性的系统。所述系统包括网络，用于在与之连接的装置之间形成一个或多个通信通道，设置在第一地点且与网络连接的权标提供者终端，权标提供者终端根据通过用相干辐射照射药物权利权标产生的散斑图，从在第一地点开出的药物权利权标产生第一签名。在各个实施例中，药物权利权标包含打印在纸上的处方。

所述系统还包括与网络连接的系统服务器，系统服务器保存从一个或多个权标提供者终端通过网络传送的多个签名，系统服务器还比较通过网络传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息。

另外，所述系统包括与网络连接且设置在远离第一地点的第二地点的核实终端。核实终端通过根据用相干辐射照射呈递的药物权利权标产生的散斑图，从呈递的药物权利权标产生第二签名，通过网络把第二签名传给系统服务器，通过网络接收响应消息，并且当响应消息指示第二签名和保存的签名相符时，把呈递的药物权利权标确定为真实的，核实在第二地点呈递的药物权利权标的真实性。

所述系统依赖于药物权利权标的固有物理性质来产生生成的每个权标的唯一签名。这使药物权利权标本身很难伪造，并且还提供一种即使利用真实的处方纸产生替代的药物权利权标，也能够稳健地拒绝替代的药物权利权标的系统。此外，通过网络传送的签名不需要包含和患者有关的任何细节，从而可使系统保存的签名数据是隐私中性的，以致即使签名数据被截取或者被复制，也不会危及患者的私密性。

按照本发明的第二方面，提供一种核实用于控制药物的分配的处方的真实性的方法。所述方法包括在第一地点开出药物权利权标，根据通过用相干辐射照射药物权利权标产生的散斑图，在第一地点产生第一签名，把第一签名传给系统服务器，把第一签名保存在系统服务器，在远离第一地点的第二地点，从呈递的药物权利权标产生第二签名，其中第二签名以通过用相干辐射照射呈递的药物权利权标而产生的散斑图为基础，把第二签名传给系统服务器，识别第二签名是否和服务器系统保存的任何签名相符，产生识别第二签名是否和保存的签名相符的响应消息，把响应消息传给第二地点，和当响应消息指示第二签名和保存的签名相符时，在第二地点核实呈递的权标是真实的。

附图说明

图1表示按照本发明的一个实施例的核实处方的真实性的系统；

图2表示按照本发明的核实处方的真实性的方法；

图3表示供本发明的各个实施例之用的阅读器设备；

图4表示图3的阅读器设备的阅读空间如何被采样的示意透视图；

图5表示图3的阅读器设备的功能组件的示意方框图；

图6表示图3的阅读器设备的透视图，表示该阅读器设备的外形；

图7表示供本发明的各个实施例之用的阅读器设备的备选物理构造；

图8表示供本发明的各个实施例之用的阅读器设备的另一备选物理构造；

图9表示供本发明的各个实施例之用的，包含在打印设备中的阅读器设备的示意图；

图10A是供本发明的各个实施例之用的阅读器设备的备选成像方案的示意侧视图；

图10B是供本发明的各个实施例之用的阅读器设备的另一备选成像方案的光学覆盖区的示意平面图，其中结合借助细长光束的局部照射，使用定向探测器；

图11是图像覆盖大约0.5×0.2毫米的面积的纸面的显微图；

图12A表示来自图3的阅读器设备的单个光电探测器的原始数据，所述原始数据由光电探测器信号和编码器信号组成；

图12B表示在利用编码器信号进行线性化和求振幅的平均值之后，图12A的光电探测器数据；

图12C表示在按照平均信号水平进行数字化，以提供可用于获得签名的数据之后，图12B的数据；

图13是表示按照本发明的各个实施例，如何根据通过用相干辐射照射处方产生的散斑图，产生签名的流程图；

图14是表示按照本发明的各个实施例，如何对照签名数据库核实从呈递的处方获得的签名，以确定呈递的处方是否真实的流程图；

图15是表示如何考虑到扫描中的非理想情况，变更图14的核实过程的流程图；

图16A表示从扫描搜集的互相关数据的例子；

图16B表示在被扫描物品变形的情况下，从扫描搜集的互相关数据的例子；

图16C表示在以非线性速度扫描被扫描物品的情况下，从扫描搜集的互相关数据的例子；

图17是供核实真实性的物品的示意图；

图18是多扫描头扫描仪的示意剖视图；

图19是多扫描头位置扫描仪的示意剖视图。

具体实施方式

图1表示核实药物权利权标(medicament entitlement token)，比如处方102的真实性的系统100。系统100包括通过网络104连接在一起的权标提供者终端106，系统服务器120和核实终端130。网络104可基于按照任意一种或多种所需传输协议(例如，因特网(TCP/IP)，短消息服务(SMS)消息接发，国际标准拨号网(ISDN)等)操作的可公开获得的专用固定或移动电话服务，专用电信链路等。操作上，网络104提供操作上与之耦接的设备之间的一个或多个通信信道。

权标提供者终端106设置在第一地点，例如医生的诊疗室。权标提供者终端106包含可提供用户界面140的处理器108，用户界面140使权标提供者终端106的用户能够开处方102。用户界面140在显示装置142上向用户呈现处方模板(未示出)。利用输入装置，比如键盘144和鼠标146，用户能够填写呈现在显示装置142上的处方模板。例如，医生能够添加与患者有关的数据，比如患者姓名、年龄和地址，以及和药物有关的数据，比如将向患者开出的药物类型、数量和用法，以便填写处方模板。

一旦处方模板已被填写，处理器108能够格式化产生处方102所需的数据。格式化的数据可被用于完成预先印好的处方表格(例如，其上可能打印有诊断细节，医生的姓名，处方识别号码等)，所述处方表格具有可用于打印的患者和药物相关数据的空白。格式化数据由处理器108传给(spool to)打印设备122，在打印设备，格式化数据被打印在纸张或者预先印好的处方表格上，从而产生处方102。

在本实施例中，打印设备122还包括阅读器设备110。图9更详细地图解说明这种打印设备122的结构。

在打印之前，之间或者之后，阅读器设备110用相干辐射照射处方102，并获得和当辐射从处方散射时产生的散斑图有关的数据。使用散斑图辨别来识别处方使伪造极其困难，因为任何伪造者需要重建散斑图，如果他要哄骗系统100确定伪造物是真的话。

从散斑图获得的数据可对应于利用电荷耦合延迟(自拍)(delay)(CCD)照相机获得的散斑图的二维图像。但是，在图解说明的实施例中，使用一种备选的数据采集方案，其中获得的数据构成作为一个或多个散斑图的点样本而获得的一组数据点。下面结合图3-10说明使用后者的备选数据采集方案工作的阅读器设备的各种例子，阅读器设备的这些例子是有利的，因为它们不需要复杂的图像处理或者高度准确的图像配准以使识别有效。

处理器108根据获得的数据产生第一签名。下面结合图13更详细地说明根据获得的数据产生第一签名的过程。

一旦产生了第一签名，处理器108就能够通过网络104将其传给服务器系统102。由于系统100产生的签名依赖于形成处方102的基底(例如纸张)的固有物理性质，不一定依赖于写在处方102上的任何信息，因此，通过网络104传送的数据是隐私中性的(privacy neutral)：例如，签名数据独自不会暴露和患者或待配的药物有关的信息。

可选的是，权标提供者终端106可通过网络104向服务器系统102提供和处方102有关的其它信息。例如，在用户界面140输入的信息可加密地和签名一起传送。这样的信息可以是患者匿名的：例如，药物类型，剂量，处方创建日期/时间，处方有效日期/时间，地点，患者年龄，编号，现有疾病等。该信息可在系统服务器120或者其它地方匿名使用，以得到有用的医学统计信息，例如用于研究某些类型的药物的地理分配模式，供流行病学研究之用。在另一例子中，在患者是可直接或间接识别(例如，依据患者编号的分配)的情况下，系统服务器120可被用于自动检查处方的任何禁忌症，如果出现任何禁忌症，那么向权标提供者终端106发出警告。

在另一种可选的操作模式下，权标提供者终端106能够根据通过用相干辐射照射识别权标而产生的散斑图，产生持有人识别签名。可利用阅读器设备110，或者由设置在第一地点的另一阅读器设备产生持有人识别签名。持有人识别签名可通过网络104被传给服务器系统120。

设想的是可根据持有人独有的权标产生持有人识别签名，这种情况下，所述持有人可以是为其开出处方102的患者。这样的持有人权标可包括护照、身份证(ID)、医保卡等。这些权标可由医生在准备处方的第一地点扫描，并且当提供处方时再次被扫描，从而按照也是隐私中性的方式利用一对签名连接患者/持有人和处方。这种模式提供额外的安全级别，因为可要求随同处方102一起提供初始持有人权标，以便获得任何好处，例如药物的分配。

就要求患者向医生提供某种形式的身份证明，以便开得处方的可选操作模式来说，需要身份证明的事实本身足以阻止欺诈，因为想要把处方换成药物的任何人必须在药店提供他们自己的身份证明以供扫描。如果提供的身份证明未能匹配处方，那么持有人可能已验明他们自己(在他们的身份证明是真的情况下)，或者可能提供了虚假的身份证明。这样的情况可被记录。在身份证明是带照片的身份证明的情况下，作为一种威慑力，这种系统操作模式特别有效。此外，不一定需要利用斑纹分析来识别身份证明(即，鉴别处方和身份证明的方式不需要是相同的技术)。例如，可利用简单的条形码阅读器检查身份证明。

系统服务器120可保存通过网络104从一个或多个权标提供者终端106传送的多个签名。系统服务器120包含保存和管理签名的数据库124。本实施例中，数据库124可由Oracle^TM数据库软件和独立磁盘冗余阵列(RAID)存储装置形成，以提供额外的数据完整性。服务器系统102还可保存和比较通过网络104接收的其它信息或者持有人身份确认签名。

在远离第一地点的第二地点，核实终端130与网络104耦接。通过根据通过用相干辐射照射提供的处方而产生的散斑图，从药物权利权标产生的第二签名，核实终端130还可以核实在第二地点提供的处方的真实性。根据通过利用图3中所示那种阅读器设备134扫描提供的处方而获得的数据，产生第二签名，不过也可使用其它类型的阅读器设备。

核实终端130包括核实处理器132。核实处理器132以作为一个或多个散斑图的点样本而获得的一组数据点的形式，从阅读器设备134获得数据。一旦获得了足够的数据，核实处理器132就根据获得的数据产生第二签名。可选的是，除了第二签名之外，核实终端132还可被用于根据持有人权标产生持有人身份确认签名，以核实提供处方102的人的身份。

下面结合图13更详细地说明产生签名的过程。

第二签名，以及持有人识别签名(可选)由核实终端130通过网络104传给系统服务器120。系统服务器120比较传送的第二签名与保存在数据库124中的签名。如果第二签名和保存在数据库124中的签名不匹配，那么认为处方102不真实。如果匹配，那么认为处方102是真实的。

在还传送持有人识别签名的情况下，系统服务器120比较持有人识别签名和保存在数据库124中的持有人识别签名。如果持有人识别签名和保存在数据库中的签名不匹配，那么认为处方的持有人无权使用处方102。如果匹配，那么认为持有人有权使用处方102，可能由位于第二地点的操作人员目视检查持有人权标，或者通过反复核对保存在数据库124中的处方或患者信息与提供的处方或持有人的凭证上的信息。

下面结合图14详细说明匹配签名，以确定签名是否与保存在数据库124中的签名相符的过程。

系统服务器120产生响应消息，并通过网络104把响应消息传给核实终端130。响应消息的内容指示处方102是否真实，以及持有人是否有权利使用该处方102(可选)。消息的内容可被提供给核实终端130的用户，以便他们采取适当的行动：例如，兑付真实的处方，取消或者毁坏不真实的处方，需要的话，通知有关执法机关。

另外，服务器系统120可完全或者部分使处方无效。例如，当某一处方涉及一种以上的药物的分配，并且不是所有的药物都有时，药剂师可分配现有的药物，并使用核实终端130向服务器系统120指出对应处方只有部分有效。这样，当关于剩余的药物再次提供处方时，服务器系统120能够用消息向核实终端130指出只有这些药物待配。

另外，如果某些数据和对应签名一起被保存在数据库124中(例如，和初诊医生有关的数据，和向数据库提交的日期/时间)，那么易于阻拦超出任意指定日期的处方。例如，用于细菌感染的抗生素处方可能被规定在开出处方的一周内配药，而用于慢性疾病，比如哮喘的重复处方则被允许在从开出处方起的几个月内配药。

另外，在开出的处方和所配的药物或药品之间可确定一一对应性。可按照提供有用信息，但是仍然是隐私中性的方式产生审计追踪，因为创建审计追踪并不需要把患者数据保存在数据库中。

核实终端130或服务器系统120可自动跟踪第二地点的库存。例如，当某一药物的存货低于某一水平，或者在使用日期之前，库存中的药物一直未被分配，那么核实终端130可提醒药剂师。在另一例子中，服务器系统120可被用于跟踪库存，从而释放核实终端的资源。医药公司可使用这样的服务器系统120进行产品存货水平/分配水平等的地理分析，所述地理分析随后可用于行销，或者用于发现疾病趋势/疾病发生类型。当使用库存跟踪时，核实终端130或者服务器系统120还可通过网络自动向供应商发出定单，以便在库存中的一个或多个药物的存货低于预定量时补充库存，例如如果需要的话，通过成批地向特定的药物供应商定购药物。

可以设置在第一或第二地点的恰当配置的个人计算机(PC)的一部分的形式提供处理器108或者核实处理器132。通过按照这种方式配置一个或多个PC，除了向系统中增加各种阅读器设备之外，能够在不要求准备专用硬件的情况下使用现有设备。

此外，由于数字化签名只包含数量较少的数据(例如200比特至8千比特)，因此在系统服务器120的核实是一个相当快的过程。另外，由网络104提供的通信信道的带宽可以较低。例如，权标提供者终端106或核实终端130可以使用56k拨号调制解调器来连接网络104，从而能够在第一和第二地点使用廉价的标准设备。

在本申请人的各个同时待审的专利申请[7-14]中还说明了适于供按照本发明提供的系统之用的各种设备。

图2表示核实处方的真实性的方法。

在步骤D1，所述方法包括在第一地点开出药物权利权标，比如处方102。药物权利权标可由操作用户界面输入处方信息，以便填写处方的医生或者由产生手写处方的医生在第一地点开出。对于开处方来说，不需要从在第一地点外部的某一地点提供的任何外部产生的数据。换句话说，仅仅在第一地点就能够进行产生药物权利权标所需的所有开药步骤。

在步骤D2，根据用相干辐射照射提供的药物权利权标产生的散斑图，在第一地点产生第一签名。

在步骤D3，第一签名被传给系统服务器。

在步骤D4，第一签名被保存在系统服务器。

在步骤D5，在远离第一地点的第二地点，根据提供的药物权利权标，产生第二签名。第二签名以通过用相干辐射照射提供的药物权利权标产生的散斑图为基础。

在步骤D6，第二签名被传给系统服务器。

在步骤D7，执行识别第二签名是否和服务器系统保存的任意签名相符的步骤。

在步骤D8，产生识别第二签名是否和保存的签名相符的响应消息。

在步骤D9，响应消息被传给第二地点。

在步骤D10，当响应消息指示第二签名和保存的签名相符时，在第二地点执行证明提供的权标真实的步骤。

方法步骤D1-D10可由图1中所示的系统100实现。例如：步骤D1-D3可由图1中所示的权标提供者终端106执行；步骤D4、D7、D8和D9可由系统服务器120执行；步骤D5、D6和D10可由核实终端130执行。

图3表示阅读器设备134的第一例子。光学阅读器设备134用于从权标，例如放置在设备的阅读空间(reading volume)中的打印处方(未示出)测量签名。阅读空间由为外壳12中的一个狭缝的阅读窗孔10形成。外壳12包含设备的主要光学组件。所述狭缝的主轴沿x方向延伸(参见图3中的插入坐标轴)。

主要的光学组件是用于产生相干激光光束15的激光源14和由k个光电探测元件(本例中，k＝4)16a、16b、16c和16d构成的探测器排列16。激光光束15由柱面透镜18聚焦成沿y方向(垂直于图面)延伸并且处于阅读窗孔的平面中的细长焦点。在一个例证阅读器中，所述细长焦点的长轴尺寸约为2毫米，短轴尺寸约为40微米。这些光学组件包含在子配件20中。

在本例中，四个探测元件16a...d从光束轴开始按照交指排列的方式，偏置不同的角度分布在光束轴的两侧，以便收集在自存在于阅读空间中的权标的反射中散射的光线。在本例中，偏置角为-70°、-20°、+30°和+50°。光束轴两侧的角度被选择成并不相等，以便它们收集的数据点尽可能地独立。所有四个探测元件被排列在一个公共平面中。光电探测元件16a....d探测当相干光束从阅读空间散射时从置于外壳上的权标散射的光线。如图所示，激光源被安装成引导激光光束15，使其光束轴在z方向上，以致激光光束15将垂直入射地照在阅读窗孔中的权标。

通常，焦深最好较大，以致沿z方向布置的权标中的任何差异不会导致阅读窗孔平面中的光束尺寸的显著变化。在本例中，焦深约为0.5毫米，该焦深足够大，足以在能够在某种程度上控制权标相对于扫描仪的位置的情况下产生良好的结果。焦深、数值孔径和工作距离这些参数相互依赖，结果形成光斑尺寸和焦深之间的公知折衷。

驱动电动机22被布置在外壳12中，以便借助适当的轴承24或其它装置提供光学子配件20的线性运动，如箭头26所示。驱动电动机22从而用于在阅读窗孔10范围内x方向线性移动相干光束，以致光束15沿着相对于细长焦点的长轴的横向方向被扫描。由于相干光束15在其焦点处的尺寸被选定，以致具有在xz平面(附图的平面)中的横截面，所述横截面远远小于阅读空间在垂直于相干光束的平面(即，在设置阅读窗孔的壳壁的平面)中的投影，因此在驱动电动机22的动作之下，驱动电动机22的扫描会导致相干光束15对阅读空间的多个不同部分采样。

图4图解说明这种采样，是表示如何通过跨越阅读区扫描细长光束，对阅读区采样n次的示意透视图。当在驱动电动机的动作下，沿着阅读窗孔扫描聚焦的激光光束时，聚焦的激光光束的采样位置由编号1-n的相邻矩形表示，所述相邻的矩形对长度“l”和宽度“w”的区域采样。当沿着狭缝扫描驱动电动机时，进行数据收集以便在所述n个位置中的每个位置收集信号。从而，收集到一系列的k×n个数据点，这些数据点与自阅读空间的n个不同图示部分的散射相关。

另外示意图解说明的是在沿着x方向，即扫描方向，邻近狭缝10在外壳12的下侧形成的可选距离标记28。x方向上标记之间的例证间隔为300微米。这些标记由细长焦点的尾部采样，并在要求x方向上数据的线性化的情况下，提供这样的线性化，如下更详细所述。该测量由另外的光电晶体管19执行，所述光电晶体管19是用于收集来自与狭缝相邻的标记28的区域的光线的定向探测器。

在备选例子中，标记28可由专用编码器发射器/探测器模块19阅读，所述模块19是光学子配件20的一部分。编码器发射器/探测器模块用在条形码阅读器中。在一个例子中，可以使用基于聚焦发光二极管(LED)和光电探测器的Agilent HEDS-1500模块。模块信号被发给作为额外的探测器通道的PIC ADC(参见下面的图5的说明)。

就例证的40微米的最小焦点尺寸，以及2厘米的x方向上的扫描长度来说，n＝500，在k＝4的情况下产生2000个数据点。取决于所需安全级别，权标类型，探测器通道的数目“k”和其它因素的k×n的典型数值范围预期为100＜k×n＜10000。已发现增大探测器的数目k会改善对因触摸、印刷等而导致的权标表面退化的测量不灵敏性。在实践中，就至今使用的原型来说，单凭经验的方法是独立数据点的总数，即k×n应为500或更大，以便对于各种各样的表面产生可接受的高安全级别。当扫描仪预定只用在一种特定表面或者一组特定表面上时，可应用其它最小值(更大或者更小)。

图5表示图3的阅读器设备134的功能组件的示意方框图。电动机22通过电连接23与可编程中断控制器(PIC)30连接。探测器模块16的探测器16a...d通过相应的电连接线17a...d与模-数转换器(ADC)连接，模-数转换器(ADC)是PIC 30的一部分。类似的电连接线21连接标记阅读探测器19和PIC 30。显然代替电连接或者结合电连接，可以使用光学或无线连接。PIC 30通过数据连接32与处理器34连接。

在上述系统100中，处理器34和核实处理器132提供的功能可由相同的电子设备提供，因此是可编程的。例如，处理器34可以是桌上型或膝上型计算机系统的一部分。作为备选方案，可以使用其它智能设备，例如个人数字助手(PDA)或者专用电子器件。PIC 30和处理器34共同形成根据探测器16a...d收集的一组数据点用于确定权标的签名的数据采集和处理模块36。

在一些例子中，处理器34可以通过由网络104提供的可选网络接口连接38访问系统服务器数据库124。这种通过网络104的访问可借助无线通信，例如利用与因特网结合的移动电话服务，或者无线局域网(LAN)。

图6表示阅读器设备134的外形的透视图。外壳12和狭缝式的阅读窗孔10是明显的。辅助定位器42也是明显的，用于相对于阅读窗孔10把指定形式的权标定位在固定位置。在本例中，辅助定位器42呈直角托架的形式，诸如处方文件之类的权标的一角可位于其中。这确保每当需要扫描权标时，权标的相同部分总是可被置于阅读窗孔10中。对于具有轮廓分明的边角的权标，比如纸张，护照，身份证等，简单的直角托架或等同物就足够了。但是，可以提供其它形状的位置引导装置以接受不同形状的权标，比如圆形权标或者带曲面的权标。当将只扫描一种尺寸和形状的权标时，可设置一个狭缝来容纳该权标。

图7表示阅读器设备的备选物理结构，其中设置一个输稿器，以确保权标放置始终如一。在本例中，提供一个外壳60，权标馈送托盘61附于其上。托盘61可保持供阅读器扫描的一个或多个权标62。电动机能够驱动进给辊64传送权标62通过该装置，并越过如上所述的光学子配件20的扫描窗孔。从而，光学子配件20能够按照通过权标的移动产生光学子配件和权标之间的相对运动的方法，以上述方式扫描权标62。

通过使用这种阅读器设备，能够利用具有足够线性度的电动机控制被扫描物品的运动，而不必使用距离标记和线性化处理。阅读器设备可遵循文件扫描仪，影印机或者文件管理系统的任何常规格式。例如，这样的阅读器设备可被配置成处理行进给薄片(多个薄片由穿孔接合线连接在一起)以及或者改为处理单一薄片，双面权标等。

从而，上面说明了适合于扫描自动进给器装置中的权标的阅读器设备。根据进给装置的物理配置，该装置能够扫描一个或多个单张材料，连接在一起的多张材料，或者由不同材料，比如纸张或塑料构成的权标。

图8表示阅读器设备的另一备选物理结构。在本例中，用户使权标穿过阅读器设备。如图8A中所示，阅读器外壳70可配备用于插入供扫描的权标的狭缝71。光学子配件20可配备一个对着狭缝71的扫描窗孔，以便能够扫描通过狭缝的权标62。另外，在狭缝71中可设置导向元件72，以帮助把权标引导到距离光学子配件20的正确焦距和/或提供穿过狭缝的权标的恒速通道。

如图8B中所示，阅读器设备可被配置成当使权标沿贯穿外壳70的纵向狭槽移动时(如箭头所示)，扫描权标。另一方面，如图8C中所示，阅读器可被配置成当把权标插入延伸到阅读器外壳70中的狭槽或者从中取出权标时(如箭头所示)，扫描权标。这种类型的装置特别适合于扫描至少部分刚性的权标，例如卡片，塑料片或金属片。

图9表示包含在打印设备122中的阅读器设备110的示意图。该阅读器设备能够包含上述那种类型的光学子配件20。除了包含形成阅读器设备110的组件，比如所述光学子配件和任意相关电子器件之外，打印机122可以是常规的打印机。

为了示意地表示进纸机构，只表示了最后的导辊对109。要认识到该进纸机构包括另外的导辊和其它机械零件。在一个原型例子中，为了方便起见，如图所示，构成阅读器设备110的一部分的扫描头被直接安装在最后的导辊对之后。要认识到扫描头可被安装在纸张的进给路线上的许多不同位置。此外，尽管图示的是激光打印机，不过可以使用任意类型的打印设备。除其它形式的打印机，比如喷墨打印机，热敏打印机或者点阵打印机之外，打印设备也可以通常不被看作打印机的任意其它类型的打印设备，比如网络影印机。

从而，现在说明了适合于打印和扫描权标的设备的例子。从而，权标可在产生过程中被扫描，以便避免在产生和扫描之间，权标被改变的可能性。这种安排还能够降低拥有这种设备所需的费用，因为向打印机添加扫描单元所需的增加费用小于专用扫描设备的费用。

上面说明的例子以借助小横截面的相干光束的局部激发，和接受在包括局部激发区域的更大区域内散射的光信号的探测器为基础。可以设计一种功能等同的光学系统，该光学系统改为以只从局部区域收集光线的定向探测器和更大区域的激发为基础。

图10A以侧视图的形式示意表示基于定向光收集和借助相干光束的覆盖照射的阅读器设备的一种备选成像方案。结合柱面微透镜阵列46安排一个阵列探测器48，以致探测器阵列48的各个相邻带只收集来自阅读空间中的对应相邻带的光线。参见图4，每个柱面微透镜被安排成收集来自n个采样带之一的光信号。从而，相干照射能够和整个阅读空间(图中未示出)的覆盖照射一起发生。

在一些情况下，也可使用结合局部激发和局部探测的混合系统。

图10B以平面图的形式示意表示阅读器设备的另一备选成像方案的光学覆盖区，在所述阅读器设备中，结合借助细长光束的局部照射，使用定向探测器。本例可被认为是图3的例子的发展，在图3的例子中，设置了定向探测器。

在本例中，提供三排定向探测器，每排的目的在于从沿“l×w”激发带的不同部分收集光线。出自阅读空间的平面的收集区用虚线圆圈表示，以致第一排的，例如2个探测器从激发带的上部收集光信号，第二排的探测器从激发带的中部收集光信号，第三排的探测器从激发带的下部收集光信号。每排探测器被表示成具有直径约为1/m的圆形收集区，其中m是激发带的分部的数目，在本例中，m＝3。这样，对于给定的扫描长度l，独立数据点的数目可被增大到m倍。如下进一步所述，不同的多排定向探测器中的一排或多排可被用于除收集对散斑图采样的光信号之外的其它用途。例如，多排定向探测器中的一排可被用于按照最适合于条形码扫描的方式收集光信号。如果情况是这样，那么一般来说，该排探测器只包含一个探测器就足够了，因为当只关于对比度进行扫描时，获得互相关性没有任何好处。

图11是在图像覆盖大约0.5×0.2毫米的面积的情况下，纸面的显微图像。图11图解说明在许多情况下，宏观上平坦的表面，例如纸面在微观尺度下是高度结构化的。对于纸张来说，作为构成纸张的木纤维或其它纤维的多分支网络的结果，纸面微观上是高度结构化的。

图11还说明木纤维的特征长度尺度，所述特征长度尺度约为10微米。该尺寸与本例的相干光束的光学波长具有导致衍射，从而产生斑纹，而且还导致具有取决于纤维取向的分布图的漫散射的正确关系。从而，要认识到如果为特定的一类权标设计阅读器，那么可使激光的波长适合于待扫描的这类权标的结构特征尺寸。

另外根据图11，每张纸的局部表面结构显然也是唯一的，因为它取决于每根木纤维是如何排列的。从而，一张纸不异于专门产生的权标，因为它具有由于它是由受自然法则支配的工艺过程产生的，因而独特的结构。这同样适用于许多其它类型的权标。

换句话说，当能够直接从各种各样的日常权标测量唯一的特性时，为产生专门准备的权标而费力费钱实质上是没有意义的。下面说明利用权标表面(在透射的情况下，权标内部)的自然结构的散射信号的数据收集和数值处理。

前面说明了各种阅读器设备的主要结构组件和功能组件，下面说明用于确定签名的数值处理。显然在各个实施例中，借助从属于PIC的一些元件，该数值处理在很大程度上可用运行于处理器上的计算机程序实现。在备选例子中，数值处理可由用硬件、软件和固件的各种组合实现的一个或多个专用数值处理装置执行。

图12A表示来自图3的阅读器设备的单个光电探测器16a...d的原始数据。图12A画出信号强度I(任意单位(a.u.))对点数n(参见图4)的关系曲线。在I＝0-250之间波动的较高迹线是来自光电探测器16a的原始信号数据。较低迹线是从标记28(参见图4)拾取的编码器信号，它在I＝50附近。

图12B表示在利用编码器信号进行线性化之后，图12A的光电探测器数据(注意，尽管x轴的比例不同于图12A，不过这无关紧要)。如上所述，在权标相对于扫描仪的运动足够线性的情况下，不需要利用相对于对准标记的线性化。另外，计算了强度的平均值，并从强度值中减去了所述平均值。从而，处理后的数据值在0的上下方波动。

图12C表示数字化后的图12B的数据。采用的数字化方案是简单的双态数字化方案，其中任何正的强度值被设置成1a.u.，任何负的强度值被设置成0a.u.。要认识到也可使用多态数字化，或者也可使用许多其它可能的数字化方法中的任何一种。数字化的重要的主要特征仅仅是始终如一地应用相同的数字化方案。

图13是表示如何根据用相干辐射照射权标产生的散斑图产生签名的流程图。

步骤S1是数据采集步骤，其中在整个扫描期间，大约每隔1毫秒获得在每个光电探测器的光学强度。同时，作为时间的函数获得编码器信号。注意如果扫描电动机具有高的线性化精度(例如，如步进电动机那样)，那么可以不要求数据的线性化。所述数据由从ADC 31获取数据的PIC 30获得。数据点实时地从PIC 30传给处理器34。另一方面，数据点可被保存在PIC 30中的存储器中，随后在扫描结束时被传给处理器34。下面，在每次扫描中收集的每个探测器通道的数据点的数目n被定义为N。此外，值a_k(i)被定义成来自光电探测器k的第i个保存强度值，i从1到N。图12A中图解说明了从这样的扫描获得的两个原始数据集的例子。

步骤S2使用数值内插来局部展开和缩小a_k(i)，以致编码器转换在时间上是间隔均匀的。这校正了电动机速度的局部变化。步骤S2可由计算机程序在处理器34中执行。

步骤S3是可选步骤。如果被执行的话，那么步骤S3关于时间对数据进行数值微分。另外可取的是对数据应用弱平滑函数。微分对高度结构化的表面有用，因为它用于相对于相关(斑纹)成分衰减信号的非相关成分。

步骤S4是其中对于每个光电探测器，在N个数据点的范围内得到记录信号的平均值的步骤。对于每个光电探测器，从所有数据点中减去该平均值，以致数据分布在0强度周围。参见图12B，图12B表示在线性化和减去计算平均值后的扫描数据集的例子。

步骤S5数字化模拟光电探测器数据，从而计算代表该扫描的数字签名。通过应用下述规则：a_k(i)＞0映射成二进制“1”，a_k(i)≤0映射成二进制“0”获得数字签名。数字化的数据集被定义成d_k(i)，其中i从1到N。除了刚刚说明的强度数据的数字化签名之外，权标的签名还可包含另外的成分。下面说明这些另外的可选签名成分。

步骤S6是其中创建较小的“缩略图”数字签名的可选步骤。这是通过求相邻的多组m个读数的平均值，或者最好通过挑选每个第c个数据点(c是缩略的压缩因子)来实现的。后者更可取，因为求平均值会不成比例地放大噪声。随后对减小的数据集应用步骤S5中使用的相同数字化规则。缩略图数字化被定义成tk(i)，其中i为1到N/c，c是压缩系数。

步骤S7是当存在多个探测器通道时适用的可选步骤。该附加成分是在从不同的光电探测器获得的强度数据之间计算的互相关成分。就2个通道来说，存在一个可能的互相关系数，就3个通道来说，存在多达3个的互相关系数，就4个通道来说，存在多达6个的互相关系数，等等。互相关系数是有用的，因为已发现它们是材料类型的良好指示符。例如，对于一种特殊类型的文件，比如指定类型的护照，或者激光打印纸来说，互相关系数看来总是位于可预测的范围中。在ak(i)和al(i)之间能够计算归一化的互相关性，其中k≠l并且k，l在所有的光电探测器通道数目内变化。归一化互相关函数Γ被定义成：

Γ (k, l) = \frac{Σ_{i = 1}^{N} a_{k} (i) a_{l} (i)}{\sqrt{(Σ_{i = 1}^{N} a_{k} {(i)}^{2}) (Σ_{i = 1}^{N} a_{l} {(i)}^{2})}}

可被保存以供以后核实之用的互相关函数的另一方面是互相关函数中尖峰的宽度，例如半最大值处全宽(FWHM)。下面进一步说明互相关系数在核实处理中的使用。

步骤S8是另一可选步骤，步骤S8将计算表示信号强度分布的简单强度平均值。该平均值可以是不同探测器的每个平均值的总平均值，或者可以是每个探测器的平均值，例如ak(i)的均方根(rms)值。如果如上述阅读器中那样，探测器被成对地排列在法向入射的两侧，那么可以使用每对探测器的平均值。已发现该强度值是关于材料类型的良好的粗略过滤条件，因为它是样本的总反射率和粗糙度的简单指示。例如，可把除去平均值，即DC背景后的非归一化rms值用作该强度值。

扫描权标获得的签名数据可对照保存在签名数据库中的记录进行比较以便核实，和/或写入数据库中以增加一条新的签名记录，从而扩充现有数据库。

新的数据库记录将包括在步骤S5中获得的数字签名。可选的是，该数据库记录可由在步骤S6中关于每个光电探测器通道获得的更小的数字签名缩略图，在步骤S7中获得的互相关系数和在步骤S8中获得的平均值中的一个或多个补充。另一方面，缩略图可被保存在它们自己的适合于快速搜索的单独数据库上，其余的数据(包括缩略图)被保存在主数据库上。

上面说明的产生签名的过程可被用于在权标提供者终端106或核实终端130产生签名。

图14是表示如何对照签名数据库核实从提供的处方获得的签名，以确定提供的处方是否真实的流程图。

在一种简单的实现中，可以简单地搜索数据库124，以根据整个签名数据集找出匹配对象。但是，为了加速核实过程，该过程可以使用较小的缩略图和基于计算的平均值和互相关系数的预筛选，如下所述。

核实步骤V1是核实过程的第一步骤。在步骤1之后，系统服务器120从核实终端130接收签名或者按照上面关于扫描步骤S1-S8说明的过程产生的签名的缩略图。

核实步骤V2获得每个缩略图条目，并评估它和tk(i+j)之间的匹配位的数目，其中j是被改变以补偿扫描区的放置误差的位偏移。j的值被确定，从而确定给出最大的匹配位数的缩略图条目。这是用于进一步处理的“命中记录”。

核实步骤V3是在分析关于该记录保存的完整数字签名之前，对照扫描的数字签名执行的可选的预筛选测试。在该预筛选中，对照命中的数据库记录中的对应保存值，比较在扫描步骤S8中获得的rms值。如果相应的平均值在预定范围内并不一致，那么拒绝进一步处理该“命中记录”。权标随后被拒绝，因为未被核实(即，跳到核实步骤V6，并发出指示该权标不能被鉴别的响应消息)。

核实步骤V4是在分析完整的数字签名之前进行的另一可选的预筛选测试。在该预筛选中，对照在命中的数据库记录中的对应保存值，比较在扫描步骤S7中获得的互相关系数。如果相应的互相关系数在预定范围内并不一致，那么拒绝进一步处理该“命中记录”。权标随后被拒绝，因为未被核实(即，跳到核实步骤V6，并发出指示该权标不能被鉴别的响应消息)。

在核实步骤V4可执行的利用互相关系数的另一检查是检查互相关函数中尖峰的宽度，这里通过比较从扫描步骤S7中的初始扫描保存的值和重新扫描的值，评估互相关函数：

Γ_{k, l} (j) = \frac{Σ_{i = 1}^{N} a_{k} (i) a_{l} (i + j)}{\sqrt{(Σ_{i = 1}^{N} a_{k} {(i)}^{2}) (Σ_{i = 1}^{N} a_{l} {(i)}^{2})}}

如果重新扫描的尖峰的宽度明显大于初始扫描的宽度，那么这可被看作重新扫描的权标已被篡改或者可疑的指示信号。例如，这种检查应挫败试图通过打印具有光电探测器预期从正被扫描的表面获得的相同强度变化的条形码或其它图案欺骗系统的欺诈者。

核实步骤V5是在扫描步骤S5中获得的扫描数字签名和命中的数据库记录中的对应保存值之间的主要比较。保存的完整的数字化签名d_k ^db(i)被分成k个探测器通道上n块的q个相邻位，即每块有qk位。q的典型值为4，k的典型值为4，从而一般得到16位/块。随后对照保存的数字签名d_k ^db(i+j)中的qk个对应位匹配这qk个位。如果该块内匹配位的数目大于或等于预定阈值z_thresh，那么匹配块的数目被加1。z_thresh的典型值为13。对所有n个块重复该过程。对不同的偏移值j重复整个过程，以补偿被扫描区的放置误差，直到找到匹配块的最大数目为止。通过定义M为匹配块的最大数目，通过评估下式计算意外匹配的概率：

p (M) = Σ_{w = n - M}^{n} s^{w} {(1 - s)}^{n - w} C_{w}^{n}

其中s是任意两个块之间的意外匹配的概率(它又取决于z_threshold的选择值)，M是匹配块的数目，p(M)是M个或者更多块意外匹配的概率。通过根据相似材料的不同对象的扫描，例如纸质文件的多次扫描等，在数据库内比较各个块，确定s的值。

对于q＝4，k＝4和z_threshold＝13的情况，s的典型值为0.1。如果qk位完全独立，那么对于z_threshold＝13，概率论会给出s＝0.01。依经验找出较大值的事实是因为k个探测器通道之间的相关性，以及由有限的激光光斑宽度引起的块中相邻位之间的相关性的缘故。当对照一张纸的数据库条目比较时，该张纸的典型扫描在总共510个块中产生大约314个匹配块。对上面的等式设置M＝314，n＝510，s＝0.1，可给出10^-177的意外匹配概率。

核实步骤V6用响应消息发出核实过程的结果。在核实步骤V5中获得的概率结果可用在通过/失败测试中，其中基准点是预先定义的概率阈值。这种情况下，概率阈值可由系统设置在某一级别，或者可以是在系统服务器的管理人员选择的某一级别设置的可变参数。另一方面，概率结果可被输出，以概率本身的原始形式，或者以利用相对术语(例如，不匹配/匹配较差/匹配良好/匹配优秀)或者其它分类的改进形式指示置信水平。

要认识到许多变化是可能的。例如，代替把互相关系数看作预筛选成分，它们可和数字化强度数据一起被视为主签名的一部分。例如，互相关系数可被数字化，并添加到数字化强度数据中。互相关系数也可被单独数字化，并被用于产生位串或类似物，随后可按照上面关于数字化强度数据的缩略图说明的相同方式搜索所述位串，以便找出命中记录。

从而，现在说明了扫描权标，比如处方，以获得基于权标的固有性质的签名的方案的许多例子。还说明了如何根据在扫描期间收集的数据产生签名，如何比较该签名与相同或不同权标的后续扫描，以提供在后续扫描中扫描的是相同权标的可能性有多大的量度，以便核实提供的权标的真实性的例子。

在一些例子中，从扫描的物品提取签名的方法可被优化，以便提供物品的可靠识别，而不管例如伸展或收缩对该物品造成的变形。物品的这种伸展或收缩可由水对纸质物品或者纸板物品的损害引起。

另外，如果物品对扫描仪中的传感器的相对速度是非线性的，那么对扫描仪来说，该物品仿佛被伸长或缩短。例如，如果物品正在沿着传送系统移动，或者如果拿着物品的人正在使该物品通过扫描仪，那么会发生这种情况。可能发生这种情况的可能情形的例子是人利用扫描仪，比如上面参考图8A、8B和8C说明的扫描仪扫描银行卡的情形。

如上所述，当扫描仪以在扫描仪单元内相对于贴着扫描仪或者在扫描仪中保持固定的物品移动的扫描头为基础时，可选的距离标记28可提供线性化引导，以解决扫描头的运动方面的任何非线性。在物品由人移动的情况下，这些非线性会被大大放大。

为了解决由这些非线性影响引起的识别问题，可以调整物品的扫描的分析阶段。从而，下面参考图15说明改进的验证程序。本例中实现的过程使用数据的分块分析来解决非线性问题。

按照图15执行的过程可包括参考图10说明的平滑和微分数据的步骤，计算和减去平均值的步骤，和获得签名和缩略图的数字化步骤中的一些或全部，但是这些步骤在图15中未被示出，以便不会使图15的内容变得模糊。

如图15中所示，通过进行物品的扫描，以获得描述物品的固有性质的数据，在步骤S21开始利用分块分析的验证扫描的扫描过程。扫描数据随后在步骤S22被分成相连的多个块(这可在数字化和任何平滑/微分或类似操作之前或之后进行)。在一个例子中，54毫米的扫描长度被分成8个长度相等的块。于是，每个块代表被扫描物品的被扫描区的一个子段。

对于每个块，在步骤S23，对照物品意图与之比较的每个保存签名的对等块，进行互相关计算。这可利用缩略图方法来实现，每个块一个缩略图。随后分析这些互相关计算的结果，以识别互相关尖峰的位置。随后在步骤S24比较互相关尖峰的位置，和在物品的初始扫描与后续扫描之间存在极佳线性关系的情况下互相关尖峰的预期位置。

这种关系可用图表来表示，如图16A、16B和16C中所示。在图16A的例子中，互相关尖峰正好在预期的位置，以致扫描头相对于物品的运动一直是完全线性的，物品未经历伸展或收缩。从而，实际尖峰位置和预定尖峰的关系曲线图得到一条直线，该直线通过原点，并且斜率为1。

在图16B的例子中，互相关尖峰比预期的更靠近在一起，以致最佳拟合线的斜率小于1。从而，当初始扫描时，该物品已相对于其物理特性收缩。另外，最佳拟合线未通过该图的原点。从而与其在初始扫描时的位置相比，物品相对于扫描头被移动。

在图16C的例子中，互相关尖峰不形成直线。在本例中，它们近似拟合成表示y²函数的曲线。从而，在该扫描期间，物品相对于扫描头的移动已被减慢。另外，由于最佳拟合曲线未通过原点，因此物品显然已相对于其初始扫描时的位置被移动。

可对互相关尖峰的点图，测试拟合各种函数以找出最佳拟合函数。从而，可以使用考虑到伸长，收缩，未对准，加速，减速和它们的组合的曲线。

一旦在步骤S25确定了最佳拟合函数，那么在步骤S26可以确定一组变化参数，所述一组变化参数表示每个互相关尖峰偏离其预期位置多少。随后在步骤S27，可把这些补偿参数应用于在步骤S21获得的扫描数据，以便基本消除收缩，伸展，未对准，加速或减速对扫描数据的影响。在步骤S25获得的最佳拟合函数与扫描数据越适应，补偿效果就越好。

随后如步骤S22中一样，在步骤S28把补偿后的扫描数据分成相连的多块。随后在步骤S29使各个块单独地与保存签名的数据的相应块互相关，从而获得互相关系数。这时，在步骤S29分析互相关尖峰的量值，以确定唯一性系数。从而能够确定扫描的物品是否与当产生保存签名时所扫描的物品相同。

因此，上面说明了补偿被扫描物品中的物理变形，以及补偿物品相对于扫描仪的运动的非线性的方法例子。利用该方法，可对照从物品的先前扫描获得的该物品的保存签名，检查被扫描物品，从而高度可信地确定在进行稍后的扫描时是否存在相同的物品。从而，能够可靠地识别由易变形材料构成的物品。另外，可以使用其中扫描仪相对于物品的运动不是线性的扫描仪，从而允许使用无运动控制元件的低成本扫描仪。

在一些扫描仪设备中，也可能难以确定被扫描区的起始位置。在上面讨论的例子中，对图8B的例子来说这是最成问题的，在图8B的例子中，待扫描的物品通过狭缝，以致扫描头会“看到”比预定扫描区更多的物品部分。克服这种困难的一种方法是把扫描区定义成始于物品的边缘。由于当使物品通过先前是空闲空间的地方时，在扫描头接收的数据将经历明显的阶跃变化，因此在扫描头取回的数据可被用于确定扫描始于何处。

在本例中，在将物品应用于扫描仪之前，扫描头是可操作的。从而一开始，扫描头接收与在扫描头前面的未占用空间对应的数据。当物品在扫描头前面通过时，扫描头接收的数据立即变成描述该物品的数据。从而，可监视数据以确定物品开始于何处，并且能够丢弃在此之前的所有数据。可按照多种方式确定扫描区相对于物品前缘的位置和长度。最简单的一种方式是使扫描区为物品的整个长度，以致通过再次拾取对应于空闲空间的数据的扫描头能够检测出物品的末端。另一种方法是在距离所述前缘预定数目的扫描读数处开始和/或停止记录的数据。假定物品总是以大约相同的速度通过扫描头，这会形成一致的扫描区。另一种备选方案是使用物品上的实际标记来开始和停止扫描区，不过这需要更多的数据处理工作来确定哪个捕捉数据对应于扫描区，哪个数据可被丢弃。

从而，上面说明了扫描物品，以收集基于物品的固有性质的数据，补偿对物品的损害或者扫描过程中的非线性(需要的话)，并比较该物品和基于物品的前次扫描的保存签名，以确定两次扫描物品是否相同的许多技术。

利用根据物品的固有性质产生的签名的分块分析能够检测的物品的另一特性是对物品的局部损害。例如，这种技术可被用于检测在初始记录扫描之后产生的对物品的修改。

例如，许多文件，比如护照、身份证和驾驶执照包括持有人的照片。如果这种物品的真实性扫描包括照片的部分，那么对照片作出的任何改变将被检测出。任意以把签名分成10个块为例，这10个块中的3个块可能覆盖文件上的照片，其它7个块覆盖文件的另一部分，比如背景材料。如果照片被更换，那么对于没有发生任何修改的这7个块，文件的后续重扫应提供良好的匹配，但是更换的照片将产生极差的匹配。通过了解这3个块对应于照片，那么所有这3个块产生极差匹配的事实可被用于自动使文件的验证失败，而不考虑整个签名范围内的平均分。

另外，许多文件包括一个人或多个人的书面说明，例如由护照、驾驶执照或者身份证识别的某人的姓名，或者银行账户持有人的姓名。许多文件还包括填写持有人或者证明人的书面签名的地方。利用从文件获得的供验证的签名的分块分析，能够检测改变打印或写在文件上的姓名或者其它重要单词或数字的修改。与更改后的打印或书写内容的位置对应的块应该产生质量比没有发生任何修改的块差得多的匹配。从而，能够检测被修改的姓名或书面签名，即使文件的整体匹配高到足以获得通过结果，该文件也不能通过验证测试。

图17中表示了身份证300的一个例子。身份证300包括打印的持有人姓名302，持有人的照片304，持有人的签名306(所述签名可写在身份证上，或者根据书面签名的扫描结果或以电子方式捕捉的签名打印在身份证上)，和打印的身份证编号308。为了防止对身份证的欺骗性更改，根据身份证的固有性质产生签名的扫描区可包括这些元素中的一个或多个。图15中标出了各个例证的扫描区，以图解说明各种可能性。例证的扫描区321包括部分打印姓名302和部分照片304。例证的扫描区322包括部分打印姓名。例证的扫描区323包括部分签名306。例证的扫描区324包括部分身份证编号308。

为扫描区选择的区域和元素可取决于许多因素，包括欺诈者最有可能试图更改的文件元素。例如，对于包括照片的任意文件，最可能的更改目标通常是照片，因为照片直观地识别持有人。从而，这种文件的扫描区最好被选择成包括一部分的照片。可能受到欺骗性修改的另一元素是持有人的签名，因为一个人易于装作具有他人的姓名，但是较难以摹仿另一人的签名。于是对于署名文件，尤其是不包括照片的署名文件，扫描区最好包括文件上的一部分签名。

于是在一般情况下，物品的真实性测试可包括对就整个签名来说，核实签名和记录签名间的质量足够高的匹配，以及在签名的至少所选各个块的范围内质量足够高的匹配的测试。从而，可以选择对评估物品的真实性来说重要的区域，因为它们对获得肯定鉴别结果至关重要。

在一些例子中，可允许除被选为关键块之外的各个块呈现较差的匹配结果。从而，尽管被撕破或者有些部分受损，只要关键块提供良好的匹配，并且签名整体提供良好的匹配，那么文件就可被视作真实的。

从而，上面说明了识别对物品的局部损害，拒绝在其预定区域中存在局部损害或更改的假物品的系统、方法和设备的许多例子。其它区域中的损害或更改可被忽略，从而使文件可被视为真实的。

当使用生物统计技术，比如上面参考图1-17说明的识别技术来核实物品的真实性或身份时，会出现基于生物统计特性的签名的再现性方面的困难。特别地，像生物签名产生系统在根据物品产生的每个签名中返回稍微不同结果的固有倾向一样，当物品在不同的签名产生设备和不同的时间经历签名产生过程时，有可能在每种情况下呈现物品的稍微不同的部分，使可靠核实变得更困难。

下面说明克服这些困难的系统、方法和设备的例子。首先，参考图18，说明用于数据库创建的多扫描头签名产生设备。

如图18中所示，阅读器单元400可包括两个光学子配件20，每个光学子配件20产生存在于阅读器单元的阅读空间402中的物品的签名。从而，呈递的供扫描之用，以便在物品数据库(稍后对照该物品数据库可核实物品)中产生其签名记录的物品可被扫描两次，产生空间上相互偏移可能的对准误差量的两个签名。从而，供识别或核实真实性的物品的后续扫描可与这两个保存的签名相比较。在一些例子中，与这两个保存签名之一的匹配可被视为成功匹配。

在一些例子中，可以使用更多的读出头，以致为每个物品产生三个、四个或者更多签名。每个扫描头可相对于其它扫描头被偏置，以便从与预定扫描位置邻近的多个位置提供签名。从而，能够提供对核实扫描时的物品未对准的更大鲁棒性。

可根据各种因素，比如物品的被扫描部分的宽度、被扫描尺寸和物品的总尺寸有关、核实扫描期间可能的未对准量和物品材料，选择扫描头之间的偏移量。

从而，上面说明了扫描物品，以创建一个签名数据库的系统，对照该签名数据库能够检查物品，以核实该物品的身份和/或真实性。

下面参考图19说明在物品数据库中提供多个签名的另一系统的例子。

如图19中所示，阅读器单元400′可具有单个光学子配件20和一个对准调节单元404。使用中，对准调节单元404能够更改光学子配件20相对于阅读器单元的阅读空间402的对准。从而，光学子配件20能够在不同的位置多次扫描置于阅读空间中的物品，以便产生该物品的多个签名。在本例中，对准调节单元404能够调节光学子配件，从而从两个不同的位置进行读取。从而，供识别或核实真实性的物品的后续扫描可与这两个保存的签名相比较。在一些例子中，与这两个保存签名之一的匹配可被视为成功匹配。

在一些例子中，可以使用更多的读出头位置，以致为每个物品产生三个、四个或者更多签名。每个扫描头位置可相对于其它扫描头位置被偏置，以便从与预定扫描位置邻近的多个位置提供签名。从而，能够提供对核实扫描时的物品未对准的更大鲁棒性。

可根据各种因素，比如物品的被扫描部分的宽度、被扫描尺寸和物品的总尺寸有关、核实扫描期间可能的未对准量和物品材料，选择扫描头位置之间的偏移量。

从而，上面说明了扫描物品以创建一个签名数据库的系统的另一例子，对照该签名数据库能够检查物品，以核实该物品的身份和/或真实性。

尽管上面说明了用于记录扫描(即，创建参考签名的物品的扫描，稍后对照该参考签名能够验证物品)的扫描仪可以使用多个扫描头和/或扫描头位置产生物品的多个签名，不过也可把类似的系统用于稍后的验证扫描。

例如，供验证扫描之用的扫描仪可具有多个读出头，从而使得能够产生多个验证扫描签名。这些签名中的每个签名可与记录签名的数据库相比较，所述数据库本身可能包含每个记录物品的多个签名。尽管每个物品的不同签名可能表现出变化，不过由于这些签名全部仍然极不同于任何其它物品的任意签名，因此，任意一个记录扫描签名和任意一个验证扫描签名间的匹配应就物品的身份和/或真实性提供足够的置信度。

可以和上面参考图18所述几乎一样地布置多读出头验证扫描仪。同样地，可以和上面参考图18所述几乎一样地布置多读出头位置验证扫描仪。另外，对于记录和验证扫描仪，组合的多扫描头和每个扫描头多个扫描头位置的系统可被组合成单一设备。

虽然本发明容许各种修改和备选形式，不过附图中举例表示了具体实施例，并且这里详细说明了这些具体实施例。但是应明白，附图和对应的详细说明并不意图把本发明局限于公开的特定形式，相反，本发明将覆盖属于附加权利要求限定的本发明的范围的所有修改、等同物和备选方案。

例如，本领域的技术人员知道由所述系统执行的或者由这里说明的方法实现的各种操作可由一个或多个硬件、固件和软件元件提供。例如，常规的计算机系统可被编程，以便实现核实处理器、系统服务器和权标提供者终端。

本领域的技术人员还会知道权标提供者终端可被用于扫描权标，比如医生手写的处方，以便提供签名，而不用使用权标提供者终端产生权标。例如，权标提供者终端可以只按照签名扫描模式操作。

另外，位于不同地点的许多权标提供者终端显然可与网络连接。例如，许多药房可能都配有权标提供者终端。这样的权标提供者终端可以是现有的计算机系统，所述现有的计算机系统由软件配置成增加必要的功能性，以起按照本发明的系统的一部分的作用。

此外，为了更安全，对本领域的技术人员来说，显然可在开出权标之后，从权标的区域获得签名。例如，可在把信息打印在处方的区域中之后，或者在医生在该区域署上手写签名之后，从处方的区域获得签名。

从另一方面来看，本发明提供一种核实处方的真实性，以控制对处方药的获得的系统，所述系统包括设置在第一地点并且与网络连接的处方发出者终端，处方发出者终端在第一地点工作，根据通过用相干辐射照射处方产生的散斑图，从在第一地点书写、打印或以其它方式开出的处方产生第一签名，与网络耦接的鉴别服务器，鉴别服务器保存从一个或多个处方发出者终端通过网络传送的多个处方签名，鉴别服务器还比较通过网络传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息，和与网络连接且设置在远离第一地点的第二地点的药房终端，药房终端通过根据呈递的处方产生第二签名，通过网络把第二签名传给鉴别服务器，通过网络接收响应消息，并且当在鉴别服务器存在与第二签名匹配的签名时把呈递的处方确定为真实的，核实在第二地点呈递的处方的真实性。

从另一方面来看，本发明提供一种核实处方的真实性，以控制对处方药的获得的方法，所述方法包括在第一地点开出处方，根据通过用相干辐射照射处方产生的散斑图，在第一地点产生第一签名，把第一签名传给鉴别服务器，把第一签名保存在鉴别服务器，在远离第一地点的第二地点，根据呈递的处方产生第二签名，其中第二签名以通过用相干辐射照射呈递的处方而产生的散斑图为基础，把第二签名传给鉴别服务器，识别第二签名是否与鉴别服务器保存的任何签名匹配，当在鉴别服务器存在匹配的签名时，核实呈递的处方是真实的。

从另一方面来看，本发明提供一种核实用于控制药物的分配的处方的真实性的系统，所述系统包括网络装置，用于在与之连接的装置之间形成一个或多个通信通道，设置在第一地点且与网络装置连接的权标提供者装置，权标提供者装置根据通过用相干辐射照射药物权利权标产生的散斑图，从在第一地点开出的药物权利权标产生第一签名，与网络装置连接的系统服务器，系统服务器保存从一个或多个权标提供者装置通过网络装置传送的多个签名，系统服务器还比较通过网络装置传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息，和与网络装置连接且设置在远离第一地点的第二地点的核实装置，核实装置通过根据用相干辐射照射呈递的药物权利权标产生的散斑图，从呈递的药物权利权标产生第二签名，通过网络装置把第二签名传给系统服务器，通过网络装置接收响应消息，并且当响应消息指示第二签名和保存的签名相符时，把呈递的药物权利权标确定为真实的，来核实在第二地点呈递的药物权利权标的真实性。

从另一方面来看，本发明提供一种核实用于控制药物的分配的处方的真实性的方法，所述方法包括在第一地点开出药物权利权标的步骤，根据通过用相干辐射照射药物权利权标产生的散斑图，在第一地点产生第一签名的步骤，把第一签名传给系统服务器的步骤，把第一签名保存在系统服务器的步骤，在远离第一地点的第二地点，从呈递的药物权利权标产生第二签名的步骤，把第二签名传给系统服务器的步骤，识别第二签名是否和服务器系统保存的任何签名相符的步骤，产生识别第二签名是否和保存的签名相符的响应消息的步骤，把响应消息传给第二地点的步骤，和当响应消息指示第二签名和保存的签名相符时，在第二地点核实呈递的权标是真实的步骤。

从另一方面来看，本发明提供一种权标提供者终端，所述权标提供者终端根据通过用相干辐射照射药方产生的散斑图，从药方产生签名，并把该签名传给远程服务器保存，供稍后当药方被提交以获得处方药时，识别该药方之用。

参考文献

1.JP-2003162581

2.GB-A-2360977

3.JP-2004212504

4.AU-A1-2004203532

5.US-A1-0232219

6.GB-A-2398270

7.GB0420524.1

8.US60/610075

9.GB0405641.2

10.US60/601463

11.GB0418138.4

12.GB0509635.9

13.GB0418178.0

14.GB0418173.1

当许可时，上述参考文献的内容也作为参考整体包含在本申请中。

Claims

1、一种核实用于控制药物的分配的处方的真实性的系统，所述系统包括：

网络，用于在可操作地与该网络连接的各装置之间提供一个或多个通信通道；

设置在第一地点且可操作地与网络连接的权标提供者终端，权标提供者终端根据通过用相干辐射顺序照射药物权利权标的多个区域产生的散斑图，可操作地从在第一地点开出的药物权利权标产生第一签名；

与网络连接的系统服务器，该系统服务器可操作地保存从一个或多个权标提供者终端通过网络传送的多个签名，系统服务器还可操作地比较通过网络传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息；和

与网络连接且设置在远离第一地点的第二地点的核实终端，该核实终端通过根据用相干辐射顺序照射呈递的药物权利权标的多个区域产生的散斑图，从呈递的药物权利权标产生第二签名，通过网络把第二签名传给系统服务器、通过网络接收响应消息、并且当响应消息指示第二签名和保存的签名匹配时把呈递的药物权利权标确定为真实的，可操作地核实在第二地点呈递的药物权利权标的真实性。

2、按照权利要求1所述的系统，其中权标提供者终端还包括一个阅读器设备，其中阅读器设备包括：

接受药物权利权标的阅读空间；

在阅读空间内产生相干辐射的光源；和

被安排成从当相干辐射从阅读空间散射时获得的信号中收集一组数据点的探测器排列，其中不同的数据点与来自阅读空间的不同部分的散射相关。

3、按照权利要求2所述的系统，其中阅读器设备被包含在打印机设备中，所述打印机设备还包括：

用于打印药物权利权标的打印头；和

可操作地传送药物权利权标通过打印头和阅读器设备的进给机构。

4、按照权利要求2或3所述的系统，其中权标提供者终端包括可操作地根据所述一组数据点确定第一签名的处理器。

5、按照权利要求1-4中任一项所述的系统，其中权标提供者终端还可操作地在第一地点提供用于开出药物权利权标的用户界面。

6、按照权利要求1-5中任一项所述的系统，其中权标提供者终端还可操作地通过网络向服务器系统提供与药物权利权标有关的附加信息。

7、按照权利要求1-6中任一项所述的系统，其中权标提供者终端可操作地根据用相干辐射顺序照射识别权标的多个区域而产生的散斑图，产生持有人识别签名。

8、按照权利要求7所述的系统，其中当在第二地点提供所述识别权标时，核实终端还可操作地从所述识别权标读取持有人识别签名。

9、按照权利要求1-8中任一项所述的系统，当其中一个或多个处方项已被配出核实终端时，还可操作地向服务器系统进行指示，以使服务器系统能够除去、无效或部分无效与该处方对应的保存签名。

10、按照权利要求1-9中任一项所述的系统，其中核实终端还可操作地自动跟踪第二地点的存货。

11、按照权利要求10所述的系统，其中当所述存货中的一个或多个项目的库存低于预定量时，核实终端还可操作地自动通过网络向供应商发出定单，以补充库存。

12、按照权利要求1-11中任一项所述的系统，其中药物权利权标包括打印在纸上的处方。

13、一种用于配置权利要求1-12中任一项的权标提供者终端的计算机程序产品。

14、一种用于配置权利要求1-12中任一项的核实终端的计算机程序产品。

15、一种用于配置权利要求1-12中任一项的系统服务器的计算机程序产品。

16、权利要求1-12中任一项的系统在核实于第二地点提供的药物权利权标的真实性方面的用途。

17、权利要求1-12中任一项的系统在确定药物权利权标是否已被篡改方面的用途。

18、权利要求1-12中任一项的系统在确定药物权利权标的持有人是否被准许使用该药物权利权标方面的用途。

19、一种核实用于控制药物的分配的处方的真实性的方法，所述方法包括：

在第一地点开出药物权利权标；

根据通过用相干辐射顺序照射药物权利权标的多个区域产生的散斑图，在第一地点产生第一签名；

把第一签名传送给系统服务器；

把第一签名保存在系统服务器；

在远离第一地点的第二地点，从呈递的药物权利权标产生第二签名，其中第二签名以通过用相干辐射顺序照射呈递的药物权利权标的多个区域而产生的散斑图为基础；

把第二签名传送给系统服务器；

识别第二签名是否和服务器系统保存的任何签名匹配；

产生识别第二签名是否和保存的签名匹配的响应消息；

把响应消息传送给第二地点；和

当响应消息指示第二签名和保存的签名匹配时，在第二地点核实呈递的权标是真实的。

20、按照权利要求19所述的方法，其中产生第一或第二签名还包括从当相干辐射从用于接受权标的阅读空间散射时获得的信号中收集一组数据点，其中不同的数据点与来自阅读空间的不同部分的散射相关。

21、按照权利要求19或20所述的方法，其中药物权利权标是打印产生的。

22、按照权利要求19-21中任一项所述的方法，还包括在第一地点提供可操作地开出药物权利权标的用户界面。

23、按照权利要求19-22中任一项所述的方法，还包括从第一地点向服务器系统传送与药物权利权标有关的附加信息。

24、按照权利要求19-23中任一项所述的方法，还包括：

在第一地点产生持有人识别签名，其中持有人识别签名以通过用相干辐射顺序照射识别权标的多个区域而产生的散斑图为基础；和

把持有人识别签名传送给服务器系统。

25、按照权利要求24所述的方法，还包括当在第二地点呈递识别权标时，从呈递的识别标记读取持有人识别签名，并通过比较读取的持有人识别签名与服务器系统保存的持有人识别签名，验证呈递的识别权标的真实性。

26、按照权利要求19-25中任一项所述的方法，还包括当一个或多个处方项已被配出时，通知服务器系统，以致服务器系统能够除去、无效或部分无效与该处方对应的保存签名。

27、按照权利要求19-26中任一项所述的方法，还包括自动跟踪第二地点的存货。

28、按照权利要求27所述的方法，还包括当所述存货中的一个或多个项目的库存低于预定量时，自动向供应商发出定单，以补充库存。

29、按照权利要求19-28中任一项所述的方法，其中药物权利权标包括打印在纸上的处方。

30、一种可操作地实现权利要求19-29中任一项的方法的计算机程序产品。

31、一种用于核实处方的真实性以控制对处方药的获得的系统，所述系统包括：

设置在第一地点并且与网络可操作地连接的处方发出者终端，处方发出者终端在第一地点工作，根据通过用相干辐射顺序照射处方的多个区域产生的散斑图，从在第一地点开出的处方产生第一签名；

可操作地与网络连接的鉴别服务器，鉴别服务器可操作地保存从一个或多个处方发出者终端通过网络传送的多个处方签名，鉴别服务器还可操作地比较通过网络传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息；和

可操作地与网络连接且设置在远离第一地点的第二地点的药房终端，药房终端通过根据呈递的处方产生第二签名、通过网络把第二签名传送给鉴别服务器、通过网络接收响应消息、并且当在鉴别服务器出现与第二签名匹配的签名时把呈递的处方确定为真实的，可操作地核实在第二地点呈递的处方的真实性。

32、一种用于核实处方的真实性以控制对处方药的获得的方法，所述方法包括：

在第一地点开出处方；

根据通过用相干辐射顺序照射处方的多个区域产生的散斑图，在第一地点产生第一签名；

把第一签名传送给鉴别服务器；

把第一签名保存在鉴别服务器；

在远离第一地点的第二地点，根据呈递的处方产生第二签名，其中第二签名以通过用相干辐射顺序照射呈递的处方的多个区域而产生的散斑图为基础；

把第二签名传送给鉴别服务器；

识别第二签名是否与鉴别服务器保存的任何签名匹配；和

当在鉴别服务器存在匹配的签名时，核实呈递的处方是真实的。

33、一种用于核实用来控制药物的分配的处方的真实性的系统，所述系统包括：

网络装置，用于在与之连接的各装置之间提供一个或多个通信通道；

设置在第一地点且可操作地与网络装置连接的权标提供者装置，权标提供者装置根据通过用相干辐射顺序照射药物权利权标的多个区域而产生的散斑图，可操作地从在第一地点开出的药物权利权标产生第一签名；

与网络装置可操作地连接的系统服务器装置，系统服务器装置可操作地保存从一个或多个权标提供者装置通过网络装置传送的多个签名，系统服务器装置还可操作地比较通过网络装置传送的签名与保存的签名，并传送指示传送的签名是否被认为与任何保存的签名匹配的响应消息；和

与网络装置连接且设置在远离第一地点的第二地点的核实装置，核实装置通过根据用相干辐射顺序照射呈递的药物权利权标的多个区域而产生的散斑图从呈递的药物权利权标产生第二签名、通过网络装置把第二签名传送给系统服务器装置、通过网络装置接收响应消息、并且当响应消息指示第二签名和保存的签名匹配时把呈递的药物权利权标确定为真实的，核实在第二地点呈递的药物权利权标的真实性。

34、一种核实用来控制药物的分配的处方的真实性的方法，所述方法包括下述步骤：

在第一地点开出药物权利权标的步骤；

根据通过用相干辐射顺序照射药物权利权标的多个区域而产生的散斑图，在第一地点产生第一签名的步骤；

把第一签名传送给系统服务器的步骤；

把第一签名保存在系统服务器的步骤；

在远离第一地点的第二地点，从呈递的药物权利权标产生第二签名的步骤；

把第二签名传送给系统服务器的步骤；

识别第二签名是否和服务器系统保存的任何签名匹配的步骤；

产生识别第二签名是否和保存的签名匹配的响应消息的步骤；

把响应消息传送给第二地点的步骤；和

当响应消息指示第二签名和保存的签名匹配时，在第二地点核实呈递的权标是真实的步骤。

35、一种权标提供者终端，可操作地：

根据通过用相干辐射顺序照射药方的多个区域而产生的散斑图，从药方产生签名；和

把该签名传送给远程服务器保存，供稍后当药方被提交以获得处方药时，识别该药方之用。

36、按照权利要求35所述的权标提供者终端，包括一个阅读器设备，其中阅读器设备包括：

接受药方的阅读空间；

在阅读空间内产生相干辐射的光源；和

被安排成从当相干辐射自阅读空间散射时获得的信号中收集一组数据点的探测器排列，其中不同的数据点与来自阅读空间的不同部分的散射相关。

37、按照权利要求36所述的权标提供者终端，其中阅读器设备被包含在打印机设备中，所述打印机设备还包括：

用于打印药方的打印头；和

可操作地传送药方通过打印头和阅读器设备的进给机构。

38、按照权利要求36所述的权标提供者终端，其中权标提供者终端包括可操作地根据所述一组数据点确定签名的处理器。

39、按照权利要求35所述的权标提供者终端，还可操作地提供用于产生药方的用户界面。

40、按照权利要求35所述的权标提供者终端，还可操作地通过网络向服务器系统提供与药方有关的附加信息。

41、按照权利要求35所述的权标提供者终端，还根据用相干辐射顺序照射识别权标的多个区域而产生的散斑图，产生持有人识别签名，并把持有人识别签名传送给服务器系统。

42、按照权利要求35所述的权标提供者终端在产生稍后当处方被提交以获得处方药时识别所述处方之用的签名方面的用途。

43、一种实质上如前参考附图所述的，核实用于控制药物分配的处方的真实性的系统。

44、一种实质上如前参考附图所述的，核实用于控制药物分配的处方的真实性的方法。