-
Die
Erfindung betrifft den Bereich der Biometrie.
-
In
diesem technischen Bereich, der in der Akquisition, der Messung
und der Erkennung der physischen Merkmale eines Benutzers besteht,
sind bereits zahlreiche Erkennungsmethoden hinsichtlich stimmlicher
Merkmale, der Form des Gesichts oder der Iris des Auges eigene Merkmale
oder, in den häufigsten
Fällen,
der Merkmale der Fingerabdrücke
bekannt.
-
Die
Forschungsarbeiten zielen im Wesentlichen auf die Verbesserung der
Qualität
der Erkennung ab, das heißt
auf die möglichst
weitgehende Reduzierung der Anzahl der irrtümlichen Erkennungen oder Ablehnungen.
Andere Arbeiten zielen auf die Optimierung der Algorithmen durch
Minderung der für
ihre Umsetzung notwendigen Berechnungsleistung ab.
-
Im Übrigen besteht
eine häufig
für die
Identifizierung eines Benutzers eingesetzte Methode in der Präsentation
eines ebenfalls als PIN (aus dem Englischen „Personal Identification Number") geheimen Identifikationscodes.
Da die Multiplikation dieser Codes ihre Speicherung schwierig macht,
wäre die
Biometrie unter der Bedingung eine mögliche Alternative, dass sie
ein äquivalentes
Sicherheitsniveau bietet.
-
Einer
der privilegierten Nutzungsbereiche der geheimen Codes betrifft
tragbare elektronische Gegenstände,
insbesondere Chipkarten (Karten mit Speicher oder mit Mikroprozessor).
Derartige Gegenstände
werden im Allgemeinen in einen sehr hohen Sicherheitsgrad erfordernden
Anwendungen genutzt, wie zum Beispiel Debet-/Kredit-Bankenanwendungen
oder Zugangskontrollanwendungen. Dank der Struktur dieser Gegenstände sind
nämlich
keine geheimen Daten von außen
zugänglich,
was die Erreichung eines sehr hohen Schutzes erlaubt.
-
Die
Verbindung der durch die biometrischen Techniken gebotene Einfachheit
der Nutzung mit der durch die tragbaren elektronischen Gegenstände vom
Typ Chipkarte verliehene Sicherheit ist logisch.
-
In
diesem Sinne wurden daher zahlreiche Vorschläge eingebracht. Zu nennen wäre zum Beispiel
das französische
Patent FR-B-2 674 051 und WO-A-9801820.
-
Alle
vorhandenen biometrischen Verfahren und Systeme sind in drei Phasen
unterteilt, die in 1 dargestellt werden. Die erste
Phase (10) ist eine Akquisitionsphase biometrischer Daten
(15), in deren Verlauf ein Merkmal des Benutzers gemessen wird.
Die bei dieser Phase erhaltenen biometrischen Daten (15)
sind in den meisten Fällen
Bilder zur Wiedererkennung von Fingerabdrücken, der Iris oder der Form
des Gesichts, es kann sich im Fall der Stimmerkennung aber auch
um Tonsequenzen handeln.
-
Die
zweite Phase (20) ist eine das Extrahieren einer gebräuchlichen
Unterschrift (25) erlaubende Analysephase, das heißt einen
Satz repräsentativer
Daten ausgehend von den bei der Akquisitionsphase (10)
erhaltenen biometrischen Daten (15), in Bild oder Ton.
Diese zweite Phase (20) ist ausgesprochen komplex und erfordert
eine große
Berechnungsleistung. Der Prozentsatz der irrtümlichen Erkennungen oder Ablehnungen,
der ein Indikator für die
Qualität
und die Zuverlässigkeit
des Verfahrens oder des Systems ist, hängt direkt von den Algorithmen
ab, die umgesetzt werden werden. Da die Erfindung auf jeden Algorithmus
Anwendung findet, bezieht sie sich daher nicht auf die Verbesserung
dieser Algorithmen, die im Übrigen
Gegenstand zahlreicher Forschungen ist.
-
Auch
ist die Optimierung dieser Algorithmen zwecks Verringerung der Berechnungsleistung
für ihre Umsetzung
und ihre Ausführungsdauer
nicht der Gegenstand der Erfindung, obwohl sie ebenfalls Gegenstand
zahlreicher Forschungsarbeiten ist.
-
Die
dritte Phase (30) besteht im Vergleich der bei der zweiten
Phase (20) erhaltenen gebräuchlichen Unterschrift (25)
mit einer zuvor bei der Registrierung des Benutzers definierten
Referenzunterschrift (35).
-
Obwohl
sie sehr viel weniger komplex ist als die zweite Phase (20),
insbesondere, was die notwendige Berechnungsleistung anbelangt,
ist diese dritte Phase (30) ebenfalls ein eigenständiger Studienbereich.
-
Die
tragbaren elektronischen Gegenstände vom
Typ Chipkarte sind mit Mikroprozessoren ausgestattet, deren Berechnungsleistung
immer noch begrenzt bleibt: Wie in 2 dargestellt,
kann der tragbare Gegenstand mit einem Sensor und einem Speicher
ausgerüstet
werden, so dass die Akquisitionsphase (10) und die Vergleichsphase
(30) durch den genannten Gegenstand umgesetzt werden; der
Prozessor des tragbaren Gegenstandes ist jedoch zur Umsetzung der
Analysephase (20) der biometrischen Daten (15)
und zur Extraktion der gebräuchlichen
Unterschrift (25) noch unfähig.
-
Zur
Umsetzung der genannten Phase (20) ist es notwendig, auf
den Prozessor eines Computers zurückzugreifen. Die Sicherheitsprobleme
treten bei dem Informationsaustausch (15, 25)
zwischen dem tragbaren Gegenstand und dem genannten Computer auf.
Der Computer ist nämlich
kein gesichertes System und es ist für einen Hacker ein Leichtes,
die sich in Umlauf befindenden Daten abzufangen, zum Beispiel mithilfe
eines Programms vom Typ „trojanisches
Pferd". Somit könnte ein
Hacker die biometrischen Daten (15), beziehungsweise die
aus der Extraktionsphase (20) stammende gebräuchliche
Unterschrift (25) beim ersten Austausch abfangen, um sie
später
missbräuchlich
zu nutzen, indem er sich für den
Benutzer ausgibt.
-
Die
eine biometrische Identifikation einsetzenden aktuellen Systeme
haben daher ein erhebliches Sicherheitsproblem.
-
Für dieses
Problem schlägt
die Erfindung eine Lösung
vor, die bei der Lektüre
der nachstehenden Beschreibung und der nicht einschränkenden Zeichnungen
deutlicher wird. In den Zeichnungen
-
stellt 1 die
drei Phasen eines biometrischen Identifikationsprozesses gemäß den Stand
der Technik dar
-
stellt 2 die
Verteilung der Aufgaben zwischen einem tragbaren elektronischen
Gegenstand und einem Computer dar
-
stellt 3 ein
erfindungsgemäßes biometrisches
Identifikationsverfahren das.
-
Ein
erfindungsgemäßes Verfahren
gemäß der Definition
durch die Merkmale des Anspruchs 1 erlaubt die Lösung der zuvor beschriebenen
Sicherheitsprobleme durch Hinzufügen
einer Überprüfungsphase
(40) der Herkunft der laufenden Unterschrift zu den Akquisitions-
(10), Analyse- (20) und Vergleichs- (30 und Überprüfungsphasen,
was die Gewissheit zulässt,
dass die gebräuchliche
Unterschrift effektiv das Ergebnis der Analyse der bei der Akquisitionsphase
erhaltenen biometrischen Daten ist. Diese Überprüfungsphase kann in zwei Stufen unterteilt
werden:
- – Eine
Authentifizierungsstufe, die die Gewissheit erlaubt, dass die bei
der Extraktionsphase (20) der gebräuchlichen Unterschrift (25)
genutzten biometrischen Daten, in Bild oder Ton, effektiv die biometrischen
Daten (15) sind, die bei der Akquisitionsphase (10)
durch den Sensor produziert wurden und nicht etwa falsche, von einem
Hacker zur Täuschung
des Systems gelieferte Daten.
- – Anschließend muss überprüft werden,
dass die gebräuchliche
Unterschrift (25) effektiv aus der Analyse der biometrischen
Daten (15) und nicht einer falschen, von einem Hacker zur
Täuschung des
Systems gelieferten, gebräuchlichen
Unterschrift stammt.
-
Die
Vergleichsstufe (30) eines erfindungsgemäßen Verfahrens
wird vorteilhaft in einer tragbaren elektronischen Vorrichtung durchgeführt, in
der eine Referenzunterschrift (35) gespeichert ist. Die Überprüfungsphase
(40) kann ebenfalls in der genannten tragbaren elektronischen
Vorrichtung durchgeführt werden.
-
Eine
erfindungsgemäße tragbare
elektronische Vorrichtung vom Typ Chipkarte gemäß Definition durch die Merkmale
des Anspruchs 3 umfasst Akquisitionsmittel biometrischer Daten.
In einem ersten Umsetzungsbeispiel der Erfindung umfassen diese Akquisitionsmittel
einen Sensor, so dass die tragbare Vorrichtung Sicherheit über die
Herkunft der durch den Sensor erzeugten biometrischen Daten (15)
erhält,
um eine Identifikation durchzuführen,
da diese Daten nicht von außen
kommen, sondern im Gegenteil direkt in der tragbaren elektronischen
Vorrichtung generiert werden. Im Übrigen umfasst die tragbare Vorrichtung
ebenfalls wenigstens eine Referenzunterschrift (35) speichernde
Speichermittel sowie zum Vergleich einer gebräuchlichen Unterschrift (25)
mit der oder den in den Speichermitteln aufbewahrten Referenzunterschrift(en)
(35) geeignete Vergleichsmittel. Somit wird die Vergleichsstufe
(30) zwischen der Referenzunterschrift (35) und
einer gebräuchlichen
Unterschrift (25) innerhalb dieser tragbaren Vorrichtung
durchgeführt.
-
Die
elektronische Vorrichtung umfasst ebenfalls Überprüfungsmittel, die zur Überprüfung, dass die
gebräuchliche
Unterschrift (25) aus der Analyse der durch die Akquisitionsmittel
erworbenen biometrischen Daten (15) stammt, geeignet sind.
Erfindungsgemäß muss die
Vorrichtung sich vergewissern, dass die gebräuchliche Unterschrift (25)
effektiv aus der Analyse der durch den Sensor generierten biometrischen
Daten (15) stammt. Zu diesem Zweck werden die biometrischen
Daten (15) in einem Speicher des tragbaren Gegenstandes
aufbewahrt. Die biometrischen Daten (15) werden ebenfalls
auf eine leistungsfähigere
externe Vorrichtung übertragen, wie
zum Beispiel einen Computer, um zur die Extraktion der gebräuchlichen
Unterschrift (25) erlaubenden Analysephase (20) überzugehen.
Die gebräuchliche
Unterschrift (25) wird anschließend an den tragbaren Gegenstand
zurückgeschickt.
Dieser jedoch beschränkt
sich nicht nur auf den Vergleich der gebräuchlichen Unterschrift (25)
mit der Referenzunterschrift (35) des Benutzers, die zuvor
registriert wurde: Er führt
ebenfalls eine Überprüfungsstufe
aus, um festzustellen, ob die gebräuchliche Unterschrift (25), die
er erhalten hat, effektiv den nach der Akquisitionsphase (10)
im Speicher aufbewahrten biometrischen Daten (15) entspricht.
-
Eine
derartige Überprüfungsphase
(40) erfordert eine begrenzte Berechnungsleistung und kann
durchaus durch den Prozessor eines elektronischen Gegenstandes vom
Typ Chipkarte umgesetzt werden. Ein erfindungsgemäßes Verfahren
oder System erlaubt daher die totale Sicherung der Identifikation
des Benutzers.
-
Das
Identifikationsverfahren beginnt nämlich notwendigerweise mit
der Akquisition von biometrischen Daten (10), in Bild oder
Ton, und ihrer Speicherung in einem unzugänglichen Speicher. Diese Akquisitions-
(10) und Aufbewahrungsstufe eines Bildes oder eines Tons
ist dank der üblicherweise
in tragbaren elektronischen Gegenständen vom Typ Chipkarte genutzten
Techniken absolut gesichert. Bei dem Austausch zwischen dem tragbaren
Gegenstand und der Analysevorrichtung kann ein Hacker immer noch die
biometrischen Daten (15) und/oder die gebräuchliche
Unterschrift (25) abfangen, die mit diesen Daten verbunden
sind. Allerdings kann er später
die biometrischen Daten (15), die er ausspioniert hat,
nicht in den Speicher des tragbaren elektronischen Gegenstandes
laden. Infolgedessen kann ein Hacker auch die gebräuchliche
Unterschrift (25) nicht nutzen, die er ausspioniert hat,
da sie nicht den im tragbaren elektronischen Gegenstand zu Beginn
des Identifikationsprozesses gespeicherten biometrischen Daten entspricht.
-
In
einer Umsetzungsvariante gehört
der Sensor nicht zur tragbaren elektronischen Vorrichtung. Da der
Sensor mit der tragbaren elektronischen Vorrichtung nicht fest verbunden
ist, müssen
die erworbenen biometrischen Daten (25) auf die genannte tragbare elektronische
Vorrichtung übertragen
werden, damit sie sie speichert, so dass überprüft werden kann, dass die gebräuchliche
Unterschrift (25) effektiv das Ergebnis der Analyse der
genannten Daten (15) ist.
-
Zu
diesem Zweck umfassen die Akquisitionsmittel der tragbaren elektronischen
Vorrichtung zur Aufnahme der aus dem nicht mit der tragbaren elektronischen
Vorrichtung fest verbundenen Sensor stammenden biometrischen Daten
(15) geeignete Kommunikationsmittel.
-
Die
Herkunft der durch die Kommunikationsmittel empfangenen Daten muss
garantiert sein, um jeglichen Missbrauch zu verhindern. In dem Fall
eines zum Beispiel zu einem Bankschalter oder einer Sicherheitsschleuse
gehörenden
festen Sensors kann eine physische Sicherheit genügen, um
zu gewährleisten,
dass die durch die tragbare elektronische Vorrichtung empfangenen
Daten effektiv die sind, die soeben vom Sensor erworben wurden.
In den anderen Fällen,
zum Beispiel im Fall eines mobilen Sensors oder wenn der Austausch über einen
PC erfolgt, umfassen die Akquisitionsmittel. des tragbaren elektronischen
Gegenstandes Überprüfungsmittel.
Diese Überprüfungsmittel.
erlauben die Garantie der Herkunft der von der tragbaren Vorrichtung
empfangenen Daten durch die Umsetzung der herkömmlichen Techniken, zum Beispiel
eines übliche
Zertifikate oder Kryptographietechniken nutzenden gesicherten Austauschprotokolls
im Bereich der tragbaren elektronischen Gegenstände vom Typ Chipkarte.
-
In
einer anderen Umsetzungsvariante der Erfindung werden die aus der
Akquisitionsphase (10) stammenden biometrischen Daten (15),
ganz gleich, ob der Sensor mit dem tragbaren elektronischen Gegenstand
fest verbunden ist oder nicht, nicht in einem Speicher gespeichert,
um die Überprüfung der
Herkunft der bei der Analysephase (20) erhaltenen gebräuchlichen
Unterschrift vorzunehmen. Zur Gewährleistung der beiden, die
Lösung
der aufgeworfenen Sicherheitsprobleme (Überprüfung, dass die empfangenen
biometrischen Daten effektiv bei der Akquisitionsphase (10)
vom Sensor produziert wurden und Überprüfung, dass die gebräuchliche
Unterschrift (25) effektiv aus der Analyse (20)
dieser biometrischen Daten stammt) erlaubenden Funktionen, wird
eine Wasserzeichen- oder „Tag"-Technik eingesetzt,
die im Englischen auch „Watermarking" genannt wird.
-
Diese
Technik, die häufig
zum Schutz von Urheberrechten dient, erlaubt das Einfügen von
Identifikationsinformationen innerhalb von Daten, deren Identifikation
ermöglicht
werden soll. Die Daten werden bevorzugt auf nicht feststellbare
Weise eingefügt.
Im vorliegenden Fall müssen
die Identifikationsdaten derart eingefügt werden, dass sie bei der
Analysephase (20) nicht verschwinden. Das Einfügeverfahren
wird daher vom Typ der zu analysierenden Daten (Audio oder Video)
und von der Verarbeitung abhängen,
der diese Daten bei ihrer Analyse unterzogen werden.
-
Diese
Anpassung des Einfügeverfahrens wirft
keine besonderen Probleme auf, wenn der Sensor und die Analysevorrichtung
aufeinander abgestimmt sind, das heißt, speziell konzipiert wurden,
um zusammenzuarbeiten. Das ist insbesondere der Fall, wenn der Sensor
und die Analysevorrichtung alle beide Teil eines festen Postens
sind, wie zum Beispiel einem automatischen Bankschalter oder einem
Zugangskontrollposten. Die Erzeugung des Wasserzeichens setzt die
Erzeugung eines für
jede Nutzung unterschiedlichen Wasserzeichens erlaubende herkömmliche
Techniken um. Somit werden bei zwei aufeinander folgenden Nutzungen
eines und desselben Systems mit demselben tragbaren Gegenstand zwei
unterschiedliche Wasserzeichen auf ein und demselben vom Sensor
gelieferten Satz biometrischer Daten (15), in Bild oder
Ton, überlagert.
Auf diese Weise können
diese Daten nicht missbräuchlich
noch einmal genutzt werden, wenn es einem Hacker gelingt, die Daten
mit ihrem Wasserzeichen im Verlauf ihrer Übertragung abzufangen, weil
das Wasserzeichen, das ihnen zugeordnet ist, nicht mehr gültig ist.
-
Der
tragbare elektronische Gegenstand muss natürlich in der Lage sein, das
Wasserzeichen festzustellen und seine Gültigkeit zu überprüfen.
-
Wenn
die biometrischen Daten (15), die eingesetzt werden, einen
Fingerabdruck darstellen, dessen Analyse eine Extraktion von Umrissen
und die Feststellung der Besonderheiten, wie Schnittpunkte oder
Endpunkte, umfasst, kann die Markierung des Bildes durch Einfügen der
Schein-Besonderheiten an Stellen durchgeführt werden, die sich bei jedem
Identifikationsversuch ändern.
-
Die
in den vorher ausgeführten
verschiedenen Umsetzungsformen der Erfindung beschriebenen Verfahren
können
kombiniert werden. Somit kann eine Wasserzeichentechnik zur Sicherung
der Übertragung
der biometrischen Daten (15) zwischen der Sonde und einem
tragbaren elektronischen Gegenstand eingesetzt werden, wobei der
genannte elektronische Gegenstand dann die genannten Daten in einem
Speicher speichert, um überprüfen zu können, dass
er mit der nach der Analysephase (20) erhaltenen gebräuchlichen
Unterschrift (25) übereinstimmt.
In diesem Fall kann die Analyse das Wasserzeichen zerstören, ohne
die Sicherheit zu mindern, und die Wasserzeichentechnik kann sogar
durch eine kryptographische Zertifizierungstechnik ersetzt werden.
Im Allgemeinen kann jede Sicherung eingesetzt werden, ganz gleich,
ob sie physisch oder logisch ist: Sie braucht nur die Überprüfungsfunktion
zu gewährleisten,
die nachweist, dass das vom tragbaren elektronischen Gegenstand
empfangene Bild effektiv das Bild ist, das von der Sonde generiert
wurde.
-
Somit
benutzt man in dem Fall, in dem der Sensor nicht mit dem tragbaren
elektronischen Gegenstand fest befestigt ist, eine elektronische
Akquisitionsvorrichtung biometrischer Daten (15) mit einem
ebenfalls Kommunikationsmittel zum Austausch der Daten mit einer
tragbaren elektronischen Vorrichtung vom Typ Chipkarte sowie zur
Authentifizierung der übertragenen
Daten geeigneten Authentifizierungsmittel umfassenden Sensor.
-
Wie
zuvor ausgeführt,
können
Authentifizierungsmittel geeignet sein, Identifizierungsdaten vom Typ
Wasserzeichen in die übertragenen
Daten einzufügen
oder sie können
Zertifizierungsmittel und/oder Chiffrierungs- und Dechiffrierungsmittel
der übertragenen
Daten umfassen.