美国交通部、美国海关和美国国家保密部门已经启动了安全和保密贸易 航线计划：美国当局(a)希望能认定到达美国的集装箱在它们航行到美国期 间没有被调换(temper)；(b)希望能建立从货物的制造者一直到运输货物的 消费者的完整责任链；和(c)希望能认定货物/集装箱只在许可的-这意味 着保密的和安全的-贸易航线上航行。
虽然已经存在可用于提供电子集装箱封条-也称为电子垃圾箱的系统， 但当前还没有可用于解决所有问题的系统。将GPS(全球定位系统)接收器 装备在集装箱上并存储定出每个集装箱位置的GPS的连续踪迹的直观解决方 案并非在所有可能的运输工具上都行得通：例如，集装箱货船整齐地摆放着 只有最高层GPS接收器才能接收到信号的、堆成差不多十到十二层那么高和 同样层宽的集装箱。
在文献中找到一些处理不同集装箱封条概念的文献：
2003年10月1日从http：//www.ccdott.org/Deliverables/2001/task 3.15/task3.15_Summary.pdf网站上检索和存取的“有关电子集装箱封条技术 (任务2)的报告”(“Report on Electronic Container Seal Technologies(Task 2)”， Chel Stromgren，August 23，2002)描述了集装箱封条的技术进展：从没有电 源支持的无源封条开始，到今天电子封条已经很常见了。在Stromgren的文献 中电子封条被理解成记录集装箱上的门或关住门的门闩被未授权打开的调换 指示和标识设备。这样的电子封条提供了在装运过程中可以查询的电子标识 和被设计成创建运输过程中任何调换事件的记录。在指示调换事件的指示封 条与组合封条功能和锁功能的阻挡封条之间存在不同之处。存在提供内部电 源的有源封条和存在依靠外源提供的电力的无源封条。
根据Stromgren的文献，可以以询问的方式获得来自这样电子封条的查询 数据。可替代地，封条可以每隔一定时间就发送数据一次。可以存储在电子 封条中的数据是例如货物明细单或传感器数据。这里引入了电子封条包含将 行进路径的历史记录在电子封条中的GPS能力的新兴电子封条技术。
2003年7月17日从http：//ops.fhwa.dot.gov/freight/publications/ Security％20Technology％20Appendix，％204-25-02.doc网站上检索和存取的“提 高货物运输保密性和效率的技术”(“Technology to Enhance Freight Transportation Security and Productivity”，Michael Wolfl，Intermodal Freight Security and Technology Workshop-Long Beach CA，April 27-29，2002)对封 条技术给出了相似的综述。
WO 03/7221 A2引入了基于RFID标签技术的电子封条。
2003年10月6日从http：/www.higteck.com/cargo.htm上检索和存取的 “Hi-G-Tek”引入了商用电子封条。有关货物的信息通过手持式终端写入电子 封条中。在使用期间，安装在货车的驾驶室上的监视设备每隔预定时间就询 问电子封条一次，使封条发送回它的身份信息和状态。将这个数据转发到集 中控制中心。
拥有可用于支持集装箱装运过程中与提供保密文献有关的方面的概念是 人们所希望的。

按照本发明的一个方面，提供了证明集装箱的控制权限从运输链的第一 实体到运输链的第二实体的转移的方法，其中，第一实体将电子集装箱控制 证书转移到各个集装箱的电子封条中，该电子集装箱控制证书包含与第二实 体相关联的密钥，和该集装箱控制证书由第一实体数字签字。
将如上所述的方法的概念推广到处在运输链中的数个实体，本发明的另 一个方面提供了证明货物集装箱的控制权限从运输链的第一实体经过一个或 多个进一步的实体到运输链的最后一个实体的转移的方法，其中，转移控制 权限的每个实体在在实体之间转移控制权限的过程中将单独电子集装箱控制 证书转移到各个集装箱的电子封条中，该单独电子集装箱控制证书包含与运 输链中各个下一个实体相关联的密钥，和该各个集装箱控制证书由各个转移 实体数字签字。
当前的概念描述了集装箱的加密保密移交过程，把焦点集中在以保密方 式证明集装箱的控制权限在不同实体之间的转移上。作为这个基本概念的推 广，提供了证明货物集装箱沿着整个运输链从货物的供应者到消费者的移交 的过程。沿着这种路径，各种各样的实体在不同时间对货物集装箱实施控制。 控制权限从一个实体到下一个实体的转移通过发送基于非对称密钥密码术的 数字集装箱控制证书完成。
现在可以证明集装箱的控制权限从运输链的第一实体到运输链的第二实 体的转移。集装箱从移交实体到接管实体的物理移交最好及时地与用于证明 的数据从移交实体到电子封条的转移相关联。但是，集装箱控制证书信息到 电子封条的物理移交和写入不需要几乎同时地进行，因为证明权限的转移也 可以比发生集装箱的物理移交早或晚。对于像这样的证明，唯一必要的是证 明控制权限的任何转移，而不是转移发生在发生权限的实际转移的相同时间 上还是发生集装箱的实际转移的相同时间上。但是，证明要求可以更严格些， 以便只有当存储在电子封条中的记录表明在物理移交集装箱的几乎相同时间 上写入记录时，才接受控制权限的转移。尤其在这样的环境下，而且在更一 般的背景下，最好将每项写入时间记在电子封条的日志中，也就是说，指明 在什么时间各个项目被写入日志中并将其存储到日志中。该时间可以由电子 封条的内部时钟提供，或由提交实体提供，尤其当这样的外部时钟值得信赖 时。
加入运输链中的实体可以是例如集装箱供应者、货物的供应者、提供诸 如货船或货车之类的运输载体的不同实体、港口管理机构、库存周转管理机 构以及货物的接收者等，但不局限于这些。
为了证明控制权限的转移，控制权限转移实体-这里称为第一实体-将 电子集装箱控制证书转移到各个集装箱的电子封条中，其中，按照上面给出 的说明的控制权限被同时转移或将在以后转移。集装箱控制证书由发送实体 数字签字。存在许多本领域的普通技术人员熟悉的数字签字数据的方式。通 过解决数字签字-这个过程也称为核实过程，接收者可以亲自查明发送者实 际上就是他/她要求的那一个，和接收者可以进一步核实发送的信息未被调 换。一般说来，加密/解密过程分别用于数字签字和核实数字签字。
集装箱控制证书在其物理形式上包含至少包括与接管实体相关联的密码 信息的电子数据。因此，移交实体必须知道将集装箱的控制权限移交给谁， 以及随后实体的密码信息/数据看起来有多像。转移控制权限的实体最好可以 默认地或根据请求从可信证书管理机构那里接收与第二实体相关联的密钥。 移交实体传递属于接管实体的密码信息是至关紧要的，因为例如对于解密将 来从接管实体接收到的数据的电子封条，需要这个信息，这个数据由接管实 体利用它的专有-例如，它的秘密-密钥加密。因此，最好，移交实体传递 的密码信息包含解密随后实体加密或数字签字的数据的密钥。更一般地说， 与本发明的这个方面有关，当每个实体通过提出的方法证明控制权限到下一 个实体的转移时，每个移交实体将与下一个实体相关联的解密信息提供给电 子封条，以便使电子封条能够解密下一个实体传送的数据。同时，从封条的 角度来看，一旦接收到数字签字集装箱控制证书，封条必须拥有与已经存在 于电子封条的日志之中的集装箱控制证书的签字者相关联的解密信息，供解 密/核实之用。在没有存储的解密密钥或没有合适的解密密钥的情况下，签字 的核实就会失败。
因此，通过发送那里的适当集装箱控制证书证明电子封条中控制权限的 转移意味着给予另一个实体发送新集装箱控制证书并将它存储在电子封条的 日志中的权限。如果这个将集装箱控制证书转移到电子封条中的转移链因某 种原因中断了，由于例如封条在某个时刻不能解密以加密形式从一个实体接 收到的数据，或者，例如，简单地一些集装箱控制证书未被记录在封条的日 志中，通过访问电子封条可以核实权限的转移链是否适用。如果一个证书沿 着转移链的装入失败，依赖于这个证书的存在的所有随后通信也将失败。换 句话说，可信链不存在缺失环节，但在某一点上终止了。
与最后所述的实施例相反，在在封条的日志中将不记录不能通过封条核 实的信息的情况下，最好也可以记录接收到的每个集装箱控制证书。通过阅 读封条和分析签字的证书，可以检测任何不合适的证书。
每当在这种背景下叙述将一些信息/数据存储在日志中时，这个术语包含 以其裸的或解密的-因此，未加密的-形式存储数据，但这个术语也可以包 含，例如，故意地，或由于解密过程失败的原因，以其加密的形式存储各个 数据。如果任何集装箱控制证书都被存储起来，以后推想干扰集装箱运输的 任何尝试时可访问的信息最多。
最好存在参与实体之间商定的密码系统。在这种背景下，最好具备核实 接收到的集装箱控制证书的、在集装箱的电子封条中实现的相应解密功能。 最好，接收到的集装箱控制证书数字签字通过应用存储在日志中的解密信息 来核实。这样的解密信息通常不是一开始就存储在日志中一这将妨碍基本想 法-但应该由运输链的前一实体-倘若证明过程到此为止从未出现过问题， 最好由前一个实体-传递给日志。最好通过执行这个核实/解密功能，从日志 中搜索与发送实体相关联的解密信息。如果不能用存储在日志中解密信息解 密签字的集装箱控制证书，则认为核实失败。任何失败都可以通过分立的、 带时间标记的项目登记起来。基本上，基于数字签字的任何验证方案都可以 使用。但是，当对在前面段落中所述的内容规定更多细节时，最好将非对称 密钥系统用于数字签字集装箱控制证书。但是，当在参与实体之间商定这样 的系统时，为了在整个运输链上都相容，其信息是集装箱控制证书的一部分 的与运输链中的各个下一个实体相关联的密码信息应该遵从相同的非对象密 钥系统。在非常优选的实施例中，公开-秘密密钥系统用于数字签字集装箱 控制证书。最好，集装箱控制证书由发送实体利用与这个实体相关联的秘密 密钥签字。于是，最好使随后实体的公开密钥包括在集装箱控制证书中。在 这种情形中，为了签字核实，封条的日志应该已经提供了与发送实体相关联 的公开密钥。
按照本发明的当前方面的不同实施例，可以在核实结果的支配下采取各 种各样的控制运作。例如，倘若将电子封条设计成控制集装箱的锁，集装箱 锁的状态可以受签字核实过程的结果支配。按照另一个实施例，如果签字的 核实失败，则电子封条可以发出警告。这个警告可以在集装箱或电子封条上 看见，或者，可以设计成通过一些通信接口发送到一些可信实体的消息的形 式。但是，信息的任何登记也可以受核实的结果支配，其中，如果核实成功 了，可以只将解密集装箱控制证书存储在电子封条的日志中。
电子封条最好包含已知电子封条包含的附加功能，譬如，监视像与电子 封条连接或与它通信的传感器报告的那样，诸如振动、温度以及辐射等的环 境参数。其它附加功能可以包含检索登记的信息。然后，依赖于谁试图访问， 将读取访问提供给不同种类的登记信息。
集装箱控制证书最好还包含集装箱的标识数据。这暗示着，可以将各种 权利与集装箱控制证书相关联例如从封条日志中读取证书踪迹的权利、读取 存储在封条日志中的货物明细单的权利或装入新证书的权利。电子封条可以 提供包括指定给不同实体的权利的列表的表格，其中，在将任何数据从封条 传递给任何请求实体之前检查这个表格。然后，如果请求实体具有按照“权利” 表从封条中读取这样信息的权利，将信息只传递给该请求实体。
按照本发明的另一个方面，提供了与集装箱的电子封条通信的计算单元， 该计算单元包含将数据传送到电子封条的接口；和控制单元，被设计成组装 电子集装箱控制证书，集装箱控制证书包含与不同于与计算单元相关联的实 体的实体相关联的密钥，代表相关实体数字签字集装箱控制证书，并且将数 字签字集装箱控制证书提交给接口。
这个方面从实体的角度反映了本发明和要求实现控制权限的转移的证明 所需的与运输链的实体相关联的装置。
本发明的如下方面要求计算单元的装置配对物，该配对物是集装箱的电 子封条。于是，提供了电子封条，该封条包含加入运输链中的实体可访问的 接口、记录数据的日志以及核实通过所述接口接收到的数据的控制单元，该 控制单元被设计成解密通过所述接口接收到的数字签字电子集装箱控制证 书，解密过程利用存储在日志中的解密信息，该解密信息与发送实体相关联。
将如上所述的与实体相关联的计算单元和与集装箱相关联的电子封条结 合在一起形成按照本发明的另一个方面提供的证明集装箱的控制权限从运输 链的第一实体到运输链的第二实体的转移的系统。
将这个系统推广到整个运输链和在证明过程中涉及所有参与实体，提供 了证明货物集装箱的控制权限从运输链的第一实体到运输链的最后一个实体 的转移的系统，运输链包含一个或多个进一步的参与实体，该系统包含与转 移控制权限的每个实体相关联的计算单元以及电子封条，该电子封条与集装 箱相关联。
像上面提供的那样的计算单元最好包含与证书管理机构通信的接口。然 后，它的控制单元可以被设计成向证书管理机构请求与不同实体相关联的密 钥。这些手段最好用于在获取有关随后实体的密钥的知识的过程中分别支持 计算单元和相关实体，该密钥是要发送到电子封条的集装箱控制证书的基本 部分。然后，可以将这个密钥与进一步的数据组装在一起-例如，并置在一 起-以便构建然后可以数字签字和发送的集装箱控制证书。
在证书管理机构传递加密或数字签字数据的情况下，最好，计算单元包 含存储与证书管理机构相关联的密钥，以便解密通过证书管理机构接口从证 书管理机构接收到的信息的日志。
在下文中，列出电子封条的优选实施例。上面针对引入的方法已经提到 许多优选实施例，这里只是完整地列出它们。但是，需要强调的是，针对方 法所述的实施例的所有特征和相应优点将被认为是与相应装置或系统相关联 公开的特征和优点，反之亦然。
最好，封条的控制单元将签字的集装箱控制证书存储在日志中。最好， 封条的控制单元被设计成如果不能用存储在日志中解密信息解密签字的集装 箱控制证书，则认为核实失败。按照电子封条的另一个优选实施例，封条的 控制单元被设计成控制相关集装箱的锁，和集装箱锁的状态受签字核实过程 的结果支配。按照电子封条的进一步实施例，相应控制单元被设计成如果认 为签字的核实失败，则发出警告。最好，控制单元被设计成如果核实成功了， 将集装箱控制证书存储在日志中。最好，在在发送实体上将秘密-公开密钥 签字机制用于签字集装箱控制证书的情况下，解密信息包含第一实体的公开 密钥。
按照本发明的进一步方面，提供了包含指出由电子封条的控制单元来完 成的步骤的方法。
对于提出的系统和相应的方法，存在列在下面的一些更多优选实施例：
可以按照优选实施例推广像提出的那样的系统，其中，该推广包含在所 需的时候用密码数据支持计算单元的证书管理机构。这样的证书管理机构可 以被具体化成控制权限转移过程所牵涉的所有密钥的持有者。这样的证书管 理机构可以被建立成可信管理机构，以便进行管理。
当每个实体按照发送其各个集装箱控制证书的方式时，最好将每个单独 集装箱控制证书存储在电子封条的日志中。
每个实体不能只发送其各个集装箱控制证书。为了证明和跟踪的目的， 可能需要一个或其它实体构建可用于电子封条的进一步数据。如下的优选实 施例反映了这样可能发送到电子封条和登记在那里的附加数据：
提供集装箱的实体最好发送有关集装箱的标识数据并将这样的标识数据 转移到电子封条中。电子封条将标识数据存储在它的日志中。这个信息最好 是发送到电子封条和登记在那里的一行中的第一个。运输链的第一实体多数 情况下是集装箱提供者。因此，集装箱提供者首先使用电子封条和发送集装 箱标识数据。正如前面指出的那样，集装箱标识数据最好也是集装箱控制证 书的一部分。例如，集装箱标识数据可以包含集装箱ID、集装箱提供者的地 址以及电话号码等。
另外，或可替代地，集装箱提供者组装电子集装箱提供者证书，用与证 书管理机构相关联的密钥数字签字这个集装箱提供者证书，并且将签字的集 装箱提供者证书转移到电子封条中。电子封条将集装箱提供者证书存储在它 的日志中。这样的集装箱提供者证书最好由证书管理机构发放。它供集装箱 提供者或首先出现在运输链中的任何其它实体使用和装入电子封条中，使运 输链从那里开始，这使发送到电子封条的所有随后信息都可以得到验证。在 集装箱提供者是运输链中这样的第一实体的情况下，这是可以以未验证方式 将某种东西装入电子封条中的唯一实体，也就是说，到它安装证书的时候， 还不存在其它证书，因此，不能验证它的安装。这样的集装箱提供者证书最 好包含集装箱提供者的标识数据以及它用证书管理机构的秘密签字的公开密 钥。
按照另一个优选实施例，供应货物的实体发放电子货物明细单，该货物 明细单包含有关要交付的货物的数据，数字签字货物明细单，并且将签字的 货物明细单转移到电子封条中。电子封条将货物明细单存储在它的日志中。 这个记入日志中的项目主要使运输链中的最后一个接收实体能够对照货物明 细单检查集装箱中的货物。
按照本发明的另一个方面，提供了证明集装箱走过的路径/踪迹，尤其以 后能够核实集装箱是否停留在预定路径上的装置、方法和系统。尤其当将本 发明的这些方面与证明控制权限的转移的方面结合在一起时，可以在它从发 送者到接收者的路线上为集装箱建立无缝证明链。但是，以适当的方式记录 集装箱的踪迹的方面也可以独立地为集装箱装运过程中与证明保密有关的方 面的总目标服务。
这个方面解决了集装箱跟踪的问题和保证了集装箱不会被运输到限定的 保密和安全贸易航线之外。于是，提供了记录集装箱的踪迹的地点记录设备、 该地点记录设备包含检测实际地点的地址检测器、记录地点数据的日志、与 要跟踪的远程集装箱的电子封条通信的接口以及设计成将地点信息记录到日 志中和通过接口与电子封条交换数据的控制单元。
由于特别在货船上集装箱本身未必访问全球定位系统的事实，最好配备 分立的地点记录设备，通常将地点记录设备安装在集装箱运载船或车辆上允 许访问地点检测系统的地方。每当断定电子封条和相关集装箱的地点分别远 离地点记录设备时，不言而喻，记录设备和电子封条位于同一船只或车辆上， 但分别位于该船只或车辆的不同地点上。
但是，通过位于船只上的设备简单地记录船只的踪迹未必意味着集装箱 走过的路线与船只走过的路线相同。集装箱在运输期间可能在某个地方被卸 掉了或被调换了。因此，本发明提供了与集装箱电子封条的通信链路。这样 的链路可以这样实现，当例如链路的范围限制在对于车辆-最好几米-或对 于船只-最好几十米内时，如果在记录项中看不见，则使集装箱在运输期间 的调换无法实现。
按照本发明的这个方面的第一种变体，地点记录器，例如，周期性地或 根据请求接收来自电子封条的集装箱标识信息。然后，将这个集装箱标识信 息与最好在接收集装箱标识信息的几乎相同时间上检测的地点信息相关联， 和与地点信息一起存储到日志中。
按照另一种变体，电子封条的接口用于将检测的地点数据发送到电子封 条。然后，封条保证这个地点信息在它的本地日志中，最好与时间标记在一 起。另外，可以将地点信息登记到地点记录器的日志中。
虽然后一种变体以附加硬件为代价允许在任何给定航行期间分别为每个 集装箱核实保密和安全贸易航线要求(SSTL要求)，但第一种变体便于降低 每个集装箱的硬件成本，而将负担压在运输提供者头上。注意，这两种不同 变体可以结合在一起或单独使用。
最好，地点检测器包含例如在全球定位系统(GPS)的支持下，检测实 际地点的全球定位模块。
此外，最好使记录在地点信息记录器上的任何地点信息带上时间标记。
尤其，与如上所述的第二种变体有关，最好用数字签字签字发送到电子 封条的地点信息。
从封条的角度来看，本发明提供了用于集装箱的电子封条，该电子封条 包含与远程地点记录设备通信的接口以及核实通过所述接口接收到的数据的 控制单元，该控制单元被设计成解密通过所述接口接收到的数字签字地点数 据。
最好，封条包含日志，用于记录数据，尤其，如果通过存储在该日志中 的解密信息可以解密签字的地点数据，用于存储接收到的地点数据。
与地点记录的第一种变体对应的方法提供了如下步骤，在地点记录设备 上：检测实际地点；从集装箱的电子封条接收集装箱标识信息；并将地点数 据与集装箱标识信息一起记录在日志中。
与地点记录的第二种变体对应的方法提供了如下步骤，在地点记录设备 上：检测实际地点；将地点数据记录在日志中；并将这个地点数据转移到集 装箱的电子封条中；和在集装箱的电子封条上：接收地点数据；并将地点数 据记录在电子封条的在日志中。
最好，地点数据在发送到电子封条之前由处在运输链的第一级上的负责 运输的运载实体数字签字，和在电子封条上核实该签字。地点数据的数字签 字可以应用存储在电子封条的日志中的解密信息来核实，和由运输链的前一 实体传递给日志。如果用存储在日志中的解密信息不能解密签字的地点数据， 则认为核实失败。按照本方法的一种变型，只有当签字的核实成功时，才将 地点数据记录在电子封条的日志中。如果签字的核实失败，不将地点信息记 录在电子封条中。
地点数据最好与时间标记一起记录。
把注意力集中在评估记录上，在一个优选实施例中，提供了检查地点记 录设备的记录风险管理器。最好，将风险管理器具体化成自动执行评估步骤 的实体或设备。
风险管理器最好将地点记录设备的记录与封条日志的记录相比较。如果 地点记录设备的记录和集装箱的记录不同，风险管理器发出提示或采取任何 其它行动。这意味着集装箱的地点记录与地点记录器的地点记录不一致。因 此，集装箱和地点记录器很有可能走不同的路线到达目的地，或者，封条日 志和/或地点记录器日志被人操纵了。
与刻画本发明的每一种方法和它的实施例有关，本发明还提供了相应计 算机程序产品，该计算机程序产品包含当被装入处理器单元中时执行这样的 方法的计算机程序代码，其中，在在执行方法的过程中牵涉到几个实体的情 况下，术语处理器单元也可以理解为分布式处理器单元。
一般说来，在应用这样的地点记录设备的情况下，地点记录设备通常与 负责将集装箱运载到目的地的运载实体相关联。尤其，当为了提供地点记录 功能而推广证明集装箱的控制权限的转移的系统时，将地点记录设备加入已 经包含馈送带有集装箱控制证书的电子封条的计算单元和电子封条的系统 中。然后，用与将实现的受地点记录的变体支配的地点记录功能有关的特征 扩展电子封条。不言而喻，主要运载实体将加上地点记录设备。考虑牵涉到 数个实体和相关设备的系统，最好，使用至少一个地点记录设备，其中，为 了在单个设备中证明都在到集装箱目的地的路径上的地点，可以在运载实体 之间移交该地点记录设备。
附图说明
通过结合附图，对按照本发明的当前优选但是例示性的实施例进行如下 详细描述，可以更全面地了解本发明和它的实施例。
在附图中：
图1是集装箱的控制权限在集装箱提供者、工厂和货车之间的转移的第 一种情形；
图2是集装箱的控制权限从货车到管理机构的港口的转移的第二种情 形；
图3是例示控制权限从一个实体到下一个实体的转移、包括不同实体的 贸易航线的方块图；
图4是集装箱监视活动的情形；和
图5是系统的方块图。
优选实施例详述
图1和图2例示了集装箱的控制权限在不同实体之间的转移的情形。
图1示出了集装箱B从工厂A到货车C的加密保密移交过程，货车C 代表运载实体。公开-秘密密钥用于数字签字要转移的数据。
在工厂A可以用货物装填集装箱B并将已装填集装箱B移交给货车C 之前，集装箱提供实体必须将集装箱B提供给工厂A。这个集装箱提供者将 空集装箱B提供给工厂A。在图1中未明确显示出这个步骤。每个集装箱B 都配有电子封条。每个集装箱都拥有指定的唯一标识符ID。这个集装箱ID 也可以解释为电子封条ID，在多数情况下，由于ID标识包括其部件在内的 集装箱，它们没有什么差别。但是，尤其对于想识别运动进而识别不同集装 箱上的附件的自监视电子封条，集装箱ID和电子封条ID可以不同并且可以 共存。
这种可以包括比只有集装箱ID多得多的信息的标识数据通常由集装箱 提供者发放。此外，集装箱提供者拥有其功能在前面段落之一中已经描述过 的电子集装箱提供者证书。标识数据以及集装箱提供者证书已经转移到集装 箱封条的永久存储器中-该存储器也称为日志-并存储在那里。
另外，对于工厂要装填的每个集装箱，集装箱提供者为了支持工厂而拥 有集装箱控制证书-也称为工厂集装箱控制证书，该证书使工厂能够在运输 链中继续下去并在以后在它那个部分上成功地转移证书。可替代地，集装箱 提供者可以向工厂发放长期集装箱控制证书。这样的长期集装箱控制证书可 以包含集装箱的ID以及ID屏蔽器，或描述一批集装箱的正规表达式。另一 种可能是仅仅包括允许工厂进行集装箱移交的时间跨度。任何这样的工厂集 装箱控制证书都由集装箱提供者转移到电子封条中并存储在那里。
可选地，如图1和2中的虚线方框所示，除了将集装箱控制证书转移到 电子封条中之外，也可以由转移控制权限的实体将任何集装箱控制证书的副 本直接给予接受控制权限的实体。
一般说来，每个集装箱控制证书包含允许进行移交的另一个实体的公开 密钥-也就是说：存储新控制证书-和要装载的集装箱的集装箱ID。这意味 着集装箱提供者为了支持工厂而拥有的集装箱控制证书包含工厂的公开密钥 作为密码数据，因为工厂将是需要进行集装箱移交的下一个实体，因此，必 须将集装箱的控制权限转移给在这个特定情况下将是提供货车C的运载实体 的随后实体。
货车C是本实施例中选择的运输工具。其它运输工具可以是例如火车、 货船等。运载实体为每种运输工具提供地点记录设备-在这个特定实施例中， 也称为GPS信标盒-以及公开-秘密密钥对。
在将货物装入集装箱中之后，工厂A将如下数据存储到集装箱的电子封 条中，这些数据也统称为集装箱装载明细单：用工厂自己的秘密密钥签字的 货物明细单-即，装箱单；和发放给货车的集装箱控制证书，也称为货车集 装箱控制证书。这个货车集装箱控制证书是根据GPS信标盒的公开-秘密密 钥对生成的，并且是通过工厂的秘密密钥签字的，在本实施例中，GPS信标 盒的公开-秘密密钥对代表分别与货车和运载实体相关联的公开-秘密密钥 对。另外，工厂A将货车的新生成集装箱控制证书和集装箱ID存储到货车 的GPS信标盒中。因为电子封条可以用货车的控制证书核实签字的GPS强制 回应，货车的GPS信标盒可以更新集装箱的电子封条。
图2例示了控制权限在运输链中得到进一步转移的情形：在下一个移交 站-例如，装运港口，货车为作为港口管理机构D的接管实体准备适当集装 箱控制证书，并且将它装入电子封条中。由于工厂以前存储在电子封条中的 货车集装箱控制证书，电子封条将接受这个新集装箱控制证书。
货车C将新生成的港口管理机构集装箱控制证书和集装箱ID存储到港 口管理机构的GPS信标盒中。因为电子封条可以用港口管理机构的集装箱控 制证书核实签字的GPS强制回应，尤其由于存储成包括在这个证书中的与港 口管理机构相关联的公开密钥，港口管理机构的GPS信标盒可以更新集装箱 的电子封条。
除了存储所有接收到的集装箱控制证书之外，电子封条还保持所有集装 箱控制证书变化的带时间标记日志。
诸如港口管理机构、货船、货车等存在网络连通性的实体可以在任何时 刻查询集装箱的电子封条，和不仅追溯GPS位置而且追溯控制链。集装箱提 供者对它的集装箱保留最终权限。
图3示出了例示控制权限从一个实体到下一个实体的转移、包括不同实 体的贸易航线的方块图。在图3中，考虑了牵涉到五种实体的移交情形。
首先引入参与实体：存在一个集装箱提供实体。集装箱提供者制造货物 集装箱并将空集装箱提供给货物的供应者。每个集装箱都包含电子封条。注 意，除了针对这个实施例描述的功能之外，电子封条可以起集装箱锁的控制 器和/或监视器的作用。在这种功用中，电子封条实际上可以根据与数字证书 相关联的权利控制对集装箱锁的操作，或它只监视这些操作并将它们记录在 防调换存储器中，供以后核实用。
供应者将货物装入货物集装箱中，以便运输给消费者。
载体是沿着从供应者到消费者的运输链的联系物。载体向集装箱的电子 封条广播经过验证的、带时间标记的位置坐标，即所谓的踪迹点，以便建立 可以对照贸易航线策略检查的集装箱的端到端跟踪历史。下面结合如图4所 示的情形给出地点记录的详细实现的例子。
核实实体通过将跟踪历史与贸易航线策略相比较检查集装箱走过的运输 路线。消费者从货物集装箱中卸下货物，供消费和/或进一步分配用。
为了更好地理解图4的方块图，首先说明用在本图中的与加密活动有关 的符号。如下的符号分别用于表示秘密-公开密钥对和签字消息：
属于实体“entity”的秘密-公开密钥对：
|PU entity，PR entity| ，
其中，指标“U”代表“公开”，和指标“R”代表“秘密”。
如下的符号用于表示签字消息，例如，用实体“entity”的秘密密钥签字消 息“Msg”：
PR entity(Msg)。
一般说来，保密移交过程保证了一旦集装箱离开货物供应者所在的地方， 电子封条就可以所有集装箱控制证书的经验证带时间标记日志以及来自运输 集装箱的载体的GPS信标的带时间标记位置坐标的经验证踪迹。诸如港口管 理机构、货船、货车等存在网络连通性的实体可以在任何时刻查询集装箱的 电子封条，和不仅追溯GPS位置而且追溯控制链。集装箱提供者对它的集装 箱保留最终权限。
图4在顶端示出了证书管理机构CA，在第一行示出了管理货物集装箱的 实体，和在第二行示出了当已经将控制权限转移给实体时像它自身展示的那 样的电子封条的内容。
证书管理机构是实体信赖的证书提供者，在本例中，实体是集装箱提供 者、供应者和载体。假设这些实体在发生移交的时候与证书管理机构存在网 络连通性。证书管理机构可以为参与实体“始发”和/或管理证书或证书的一部 分。例如，证书管理机构可以为参与实体发放公开-秘密密钥对，将公开密 钥与发给证书的本体相关联，和以保密方式将秘密交给各个实体。可替代地， 每个实体本身可以创建它的密钥对并将公开密钥传送给证书管理机构，供证 书和进一步分配用。由于实际原因和规模可伸缩性，不假设集装箱的电子封 条与证书管理机构存在直接连通性。控制权限沿着集装箱运输路径传播的可 信链必须通过载体之间的适当移交来保持。
整个移交过程从集装箱提供者和电子封条之间的自举步骤1开始，并沿 运输路径而下，继续到步骤2和3中从集装箱提供者到供应者、步骤4和5 中从供应者到载体1以及步骤7和8中从载体1到载体2等的实际移交。在 步骤6和9中为载体示出了影响记录在电子封条中的踪迹的GPS信标位置坐 标。传播控制权限的技术手段是称为集装箱控制证书的数字证书。
集装箱控制证书包括集装箱的ID和用转移实体的秘密密钥签字、将控制 权限-基本上可理解为发放和存储新集装箱控制证书的权限-转移给它的实 体的公开密钥。
与集装箱控制证书相关联的是给予证书的负责者的一组权利。这样的权 利是例如从电子封条中读取踪迹或货物明细单或将新证书装入电子封条中的 权利。后者是必须给予移交过程中所牵涉的所有实体的权利。
自举序列由单个初始化步骤1组成：集装箱提供者将唯一集装箱ID和用 证书管理机构的秘密密钥签字的它自己的集装箱提供者证书装入电子封条 中。实质上，集装箱提供者构成下面的移交过程作为结果建立的基于证书可 信链的根源。
移交序列将控制权限从拥有权限的一方转移给获取权限的下一方。它包 含如下步骤：
在实体之间，譬如，在步骤2、4和7中：转移权限的实体发放代表获取 权限的实体用它自己的秘密密钥签字的集装箱控制证书。在本实施例中箭头 2、4和7不是表示证书在实体之间的物理移交，而是例示转移控制权限的实 体为了支持随后的实体生成集装箱控制证书，该集装箱控制证书只在步骤3、 5和8中被物理转移到电子封条：转移权限的实体将发放的集装箱控制证书 的副本装入电子封条中。
在沿着到消费者的运输路径的每对相继集装箱管理实体之间重复这种移 交序列。它保证了集装箱的电子封条可以记录不间断的经过验证的踪迹。
引入的系统的地点记录能力：在步骤6和7所指的信标传输序列中，与 运载实体相关联的和处在运输工具上的地点记录设备周期性地向集装箱的电 子封条发放带时间标记的经验证位置坐标。
给定在前面各节中描述的移交过程，可以以针对在图3中描绘的和从1 到9编号的步骤说明的如下方式核实控制权限的真实性和踪迹点：集装箱提 供者是可信实体，即，唯一ID和内容提供者证书的安装不依赖于验证-步骤 1。供应者对集装箱提供者的信赖基于可以从证书管理机构获得的内容提供者 证书-步骤2。电子封条对供应者的信赖基于在步骤1中安装的内容提供者 证书。获取实体对转移实体的依赖基于获取实体可以从证书管理机构得到的 转移实体证书-步骤4/7。电子封条对转移实体的信赖基于在步骤3/5-步骤 5/7中安装的转移实体证书。电子封条对信标传输的依赖基于在步骤5/8-步 骤6/9中安装的载体证书。
集装箱装载和卸载分别由供应者和消费者完成。这些实体被授予物理打 开电子封条，进而打开集装箱的权利。
货物明细单是供应者装载到集装箱中的货物的详细目录。供应者将用它 的秘密密钥签字的货物明细单的副本存储在电子封条中。消费者可以从电子 封条中检索货物明细单，以便检查集装箱负载的完整性。
图4示出了集装箱监视活动的进一步情形。基本上，存在两种不同的可 以结合在一起或单独使用的引入集装箱地点记录方式。当然，这些方式的每 一种可以与本文件前面阐述的证明控制权限的转移的不同方式的任何一种结 合在一起。
按照图4的实施例的基本构件对于两种集装箱地点记录方式是相同的： 存在集装箱100、集装箱货船400、来源地港口200以及目的地港口300。假 设全球定位系统是可用的，全球定位系统提供全球性位置坐标服务，譬如， GPS系统。
第一种变体使用在每个集装箱内部的防调换嵌入式计算机以及电子封 条。每个电子封条最好包含网络接口-无线的或有线的，譬如，单线串行总 线等、也称为日志的非易失性存储器以及诸如公开密钥密码术之类进行密码 运算的支持系统。每个电子封条还监视相应集装箱100的完整性。
集装箱100最初存放在来源地港口200-在图4中，鹿特丹港口。当将 集装箱100装载在集装箱货船400的甲板上时，来源地港口200在步骤210 中将集装箱货船400的集装箱控制证书安装在集装箱的电子封条中，从而将 对集装箱的责任转移到船只上。这个集装箱控制证书包含各个集装箱的ID和 集装箱货船400所代表的载体的公开密钥。
每个电子封条通过网络420与货船的甲板上的防调换GPS信标盒410连 接。在从来源地港口200到目的地港口300-在图4中，纽约港口的航行期 间，GPS信标盒410周期性地取出GPS读数并将读数与时间标记一起存储在 它的非易失性存储器中，并且将密码签字GPS位置信息发送到附在集装箱100 上的电子封条。这些发送物用与载体/集装箱货船相关联的秘密密钥签字，因 此，也与也称为地点记录设备的GPS信标盒410相关联。每个电子封条通过 适当解密GPS数据-这被理解成利用存储在封条日志中的载体公开密钥确认 GPS信标盒410的数字签字和通过来自来源地港口200的集装箱控制证书转 移到封条日志中，核实GPS位置信息的确来自GPS信标盒410。如果地点数 据成功地得到核实，电子封条将GPS位置信息存储在它的非易失性存储器/ 日志中。
一旦到达目的地港口300，目的地港口300就从GPS信标盒410中检索 签字GPS读数的列表，以及状态信息-这可以包括GPS信标盒410是否一直 在工作以及它是否未受到调换等。然后，目的地港口300按照GPS信标盒410 停留在某许可航路内的数据，检查旅程是否是连续进程等。风险管理系统可 以用于自动检查数据中的异常。如果检索的GPS踪迹是健全的，则可以卸下 集装箱100；当卸下每个集装箱100时，在步骤320中，将目的地港口管理 机构的集装箱控制证书装入每个集装箱100的电子封条中，并从中检索存储 的GPS踪迹。如果从每个电子封条中检索的GPS踪迹与从船只400的GPS 信标盒410中检索的踪迹相同，那么，结论是集装箱100在它的航行期间一 直停留在集装箱货船400上，因此，在许可的航路内。
第二种变体让电子封条通过网络420将密码签字时间标记和ID发送到 GPS信标盒410。GPS信标盒410将每个时间标记和ID存储在它的非易失性 存储器中。一旦到达，目的地港口管理机构就检索GPS踪迹以及电子封条ID 和时间标记的列表，并核实所有电子封条，进而包含它们的集装箱100在航 行期间是否始终存在，以及船只是否没有偏离许可的航线。
第一种变体具有可以在任何时候分别查询每个集装箱100和检索它的历 史的优点。第二种变体具有电子封条不需要那么多的存储器和GPS信标盒410 一直拥有出现在船只上集装箱100的准确列表的优点。
为了得到最佳结果，可以将第一种变体和第二种变体结合在一起：那样， 如有必要，可以单独查询每个集装箱100，并且，在任何时刻都可以知道哪 些集装箱100出现在集装箱货船400上。
地点记录机制可以按几种方式推广：
GPS信标盒410上的查询接口可以允许第三方通过卫星链路-或在沿海 水域的移动电话链路-检索当前登记和存在的集装箱100的列表-后勤规划 和保险业对此感兴趣。
整个货物运输链可以涵盖来源地-即装填集装箱的实体-到归宿地-即 接收者。
仅仅利用第二种变体和RFID标签的简化形式可以与邮政/快递系统一起 用于服务质量QoS/跟踪的目的。
图5示出了在和与集装箱相关联的电子封条11的通信中与运输链的实体 相关联的计算单元10。计算单元10包含将数据转移到电子封条11中的接口， 尤其该数据是集装箱控制证书。控制单元102组装证书，其中，术语组装包 括计算单元就这一点而论通过适当接口103从像如图5所引用的带有标号12 的证书管理机构那样的另一个管理机构接收证书，然后用相关实体的秘密密 钥数字签字证书的情形。将签字证书发送到接口101，再将它从接口101发 送到电子封条11的相应接口110。电子封条包含控制单元111和日志112。 封条的控制单元111借助于已经存储在日志112中的解密数据核实从接口110 接收到的数据。在核实成功的情况下，控制单元使加密数据存储在日志112 中。
控制单元111可以通过适当接口和在核实过程的结果的支配下控制例如 相关集装箱的时钟13。
通过另一个接口113，控制单元111可以与地点信息记录器14通信。
针对所牵涉的一个或多个装置叙述的任何控制单元可以被实现成纯硬件 实施例、软件和硬件实现功能的组合或在控制器硬件上执行的纯软件功能。