-
Die
Erfindung betrifft ein System zur Authentifizierung eines Objekts,
das entweder ein Lebewesen oder ein unbelebter Gegenstand sein kann.
Die Erfindung ist insbesondere, jedoch nicht ausschließlich, für ein System
zur persönlichen
Identifikation zum Verifizieren der Identität eines Menschen geeignet.
-
Einrichtungen
zur persönlichen
Identifikation, wie Pässe
und Führerscheine,
beinhalten typischerweise biografische Information, wie den Namen
und das Geburtsdatum, zur zugehörigen
Person. Üblicherweise wird
auch, um betrügerischen
Gebrauch der Einrichtung zur persönlichen Identifikation zu verhindern,
im Allgemeinen biometrische Information, die die zugehörige Person
auf effektive Weise repräsentiert,
auf der Einrichtung zur persönlichen
Identifikation gespeichert. Beispielsweise beinhalten Pässe und,
in vielen Ländern, Führerscheine
ein Bild der zugehörigen
Person. Als anderes Beispiel verfügen Kreditkarten im Allgemeinen über die
aufgeschriebene Unterschrift der zugehörigen Person.
-
US 6,363,485 offenbart eine
biometrische Authentifizierungseinrichtung, die unter Verwendung
erster Teilausgangsdaten, die aus empfangenen biometrischen Daten
erzeugt werden, und zweiten Teilausgangsdaten, die aus einem Speicher
innerhalb der Einrichtung zur biometrischen Authentifizierung abgerufen
werden, einen geheimen Schlüssel
erzeugt. Die zweiten Teilausgangsdaten zur Verschlüsselung
enthalten einen Fehlerkorrekturcode, der es ermöglicht, eine bestimmte Anzahl
von Fehlern in den ersten Teilausgangsdaten zur Verschlüsselung
zu korrigieren. Auf die zweiten Teilausgangsdaten zur Verschlüsselung
greift der Benutzer unter Eingabe einer persönlichen Identifikationsnummer
zu.
-
WO
98/50875 erörtert
ein biometrisches Zertifikat, in dem persönliche Daten gemeinsam mit
biometrischen Daten und einer digitalen Signatur gespeichert sind,
die unter Verwendung sowohl der persönlichen Daten aus auch der
biometrischen Daten erzeugt wird. Im Allgemeinen wird die digitale
Signatur durch Anwenden einer Hash-Funktion auf die persönlichen
Daten und die biometrischen Daten und anschließendes Verschlüsseln des
sich ergebenden Hashwerts unter Verwendung des privaten Schlüssels bei
einem asymmetrischen Verschlüsselungsalgorithmus
erzeugt.
-
Ein
Problem bei existierenden Einrichtungen zur persönlichen Identifikation, die
biometrische Daten enthalten, besteht darin, dass nach der Ausgabe
derselben betrügerischer
Gebrauch dadurch ausgeführt
wird, dass die biometrischen Daten durch solche für eine andere
Person ersetzt werden. Wenn beispielsweise die biometrischen Daten
aus einem Bild bestehen, wird das Bild der zugehörigen Person durch dasjenige
von irgendjemand anderem ersetzt.
-
Es
ist eine Aufgabe der Erfindung, ein Authentifizierungssystem zu
schaffen, das weniger anfällig
für betrügerischen
Gebrauch ist.
-
Gemäß einer
Erscheinungsform der Erfindung ist ein Verfahren zum Erzeugen von
Authentifizierungsdaten zur Authentifizierung eines Gegenstands,
geschaffen, das die folgenden Schritte umfasst:
das Empfangen
von physischen Daten, die physische Eigenschaften des Gegenstands
darstellen,
Verarbeiten der physischen Daten durch Ausführen einer
vorgegebenen Verarbeitungsoperation zum Erzeugen i) einer Bezugsnummer,
deren Wert den Gegenstand repräsentiert,
und ii) von Variabilitätskorrekturdaten zur
Verbesserung der Wiederholbarkeit der Erzeugung der Bezugsnummer,
Erzeugen
von Identifikationsdaten, die zumindest einen Teil der Bezugsnummer
und zumindest einen Teil der Variabilitätskorrekturdaten umfassen,
Verschlüsseln der
erzeugten Identifikationsdaten, wobei der Verschlüsselungsschritt
das Anwenden eines Einweg-Verschlüsselungsalgorithmus auf die
Identifikationsdaten zum Erzeugen eines Hashwerts und das Anwenden
eines Zweiwege-Verschlüsselungsalgorithmus
zum Verschlüsseln
des erzeugten Hashwerts umfasst, und
Erzeugen von Authentifizierungsdaten,
die die Variabilitätskorrekturdaten
und die verschlüsselten
Daten, aber nicht die Bezugsnummer, enthalten.
-
Gemäß einer
anderen Erscheinungsform der Erfindung ist ein Verfahren zur Authentifizierung
eines Gegenstands geschaffen, das die folgenden Schritte umfasst:
ein
Beziehen von Authentifizierungsdaten, die verschlüsselte Daten
umfassen, die einen Hinweis auf eine Bezugsnummer enthalten, deren
Wert einen Referenzgegenstand repräsentiert, und von Variabilitätskorrekturdaten,
die sich auf die Erzeugung der Bezugsnummer beziehen,
Entschlüsseln der
verschlüsselten
Daten zur Erzeugung entschlüsselter
Daten,
Empfangen von physischen Daten, die mit physischen Eigenschaften
des Gegenstands verknüpft
sind,
Verarbeiten der physischen Daten mittels der Variabilitätskorrekturdaten
zum Erzeugen einer Testnummer, und
Testen der Gleichheit der
Bezugsnummer und der Testnummer mittels der bezogenen Authentifizierungsdaten und
der erzeugten Testnummer zum Bestimmen der Authentizität des Testgegenstands,
wobei
das Testen das Erzeugen von Testidentifikationsdaten mittels zumindest
eines Teils der Testnummer und zumindest eines Teils der Variabilitätskorrekturdaten,
das Anwenden eines Einweg-Verschlüsselungsalgorithmus auf die
Testidentifikationsdaten zum Erzeugen eines Test-Hashwerts und das
Testen der Gleichheit des Test-Hashwerts und der entschlüsselten
Daten umfasst.
-
Gemäß einer
weiteren Erscheinungsform der Erfindung ist eine Vorrichtung zum
Erzeugen von Authentifizierungsdaten zum Authentifizieren eines
Gegenstands geschaffen, die Folgendes umfasst: ein Empfänger, der
dazu ausgelegt ist, physische Daten zu empfangen, die physische
Eigenschaften des Gegenstand repräsentieren,
einen Prozessor,
der dazu ausgelegt ist, eine vorgegebene Verarbeitungsoperation
an den physikalischen Daten zum Erzeugen i) einer Bezugsnummer,
deren Wert den Gegenstand repräsentiert,
und ii) von Variabilitätskorrekturdaten
zum Verbessern der Wiederholbarkeit der Erzeugung der Bezugsnummer
durchzuführen,
einen
Identifikationsdatengenerator, der dazu ausgelegt ist, Identifikationsdaten,
die zumindest einen Teil der Bezugsnummer und zumindest einen Teil
der Variabilitätskorrekturdaten
umfassen, zu erzeugen,
eine Verschlüsselungseinrichtung, die dazu
ausgelegt ist, die erzeugten Identifikationsdaten zum Erzeugen von
verschlüsselten
Daten zu verschlüsseln,
wobei die Verschlüsselungseinrichtung
dazu ausgelegt ist, einen Einweg-Verschlüsselungsalgorithmus auf die
Identifikationsdaten zum Erzeugen eines Hashwerts anzuwenden und
einen Zweiwege-Verschlüsselungsalgorithmus
zum Verschlüsseln
des erzeugten Hashwerts anzuwenden, und
einen Authentifizierungsdatengenerator,
der dazu ausgelegt ist, Authentifizierungsdaten, die die Variabilitätskorrekturdaten
und die verschlüsselten
Daten aber nicht die Bezugsnummer enthalten, zu erzeugen.
-
Gemäß einer
anderen Erscheinungsform der Erfindung ist eine Vorrichtung zum
Erzeugen von Authentifizierungsdaten zum Authentifizieren eines
Gegenstands geschaffen, die Folgendes umfasst:
eine Bezugseinrichtung,
die dazu dient, Authentifizierungsdaten, die verschlüsselte Daten
umfassen, die einen Hinweis auf eine Bezugsnummer enthalten, die
einen Referenzgegenstand repräsentiert,
und Variabilitätskorrekturdaten,
die sich auf die Erzeugung der Bezugsnummer beziehen, zu beziehen,
eine
Entschlüsselungseinrichtung,
die dazu ausgelegt ist, die verschlüsselten Daten zum Erzeugen
entschlüsselter
Daten zu entschlüsseln,
einen
Empfänger,
der dazu ausgelegt ist, physische Daten zu empfangen, die mit physischen
Eigenschaften des Gegenstands verknüpft sind,
einen Prozessor,
der dazu ausgelegt ist, die physischen Daten mittels der Variabilitätskorrekturdaten
zum Erzeugen einer Testnummer zu verarbeiten und
eine Testeinrichtung,
die dazu ausgelegt ist, die Gleichheit der Bezugsnummer und der
Testnummer mittels der bezogenen Authentifizierungsdaten und der
erzeugten Testnummer zum Bestimmen der Authentizität des Testgegenstands
zu überprüfen,
wobei
die Testeinrichtung einen Testidentifikationsdatengenerator umfasst,
der dazu ausgelegt ist, Testidentifikationsdaten mittels zumindest
eines Teils der Testnummer und zumindest eines Teils der Variabilitätskorrekturdaten
zu erzeugen, und eine Verschlüsselungseinrichtung,
die dazu ausgelegt ist, einen Einweg-Verschlüsselungsalgorithmus auf die
Testidentifikationsdaten zum Erzeugen eines Test-Hashwerts anzuwenden,
umfasst, wobei die Testeinrichtung dazu ausgelegt ist, die Gleichheit
des Test-Hashwerts und der entschlüsselten Daten zu überprüfen.
-
Diese
Variabilitätskorrekturdaten
können
Doppeldeutigkeitsauflösungsdaten,
die dazu verwendet werden, die Empfindlichkeit der Bezugsnummer
auf Variationen der physischen Daten zu verringern, und/oder Fehlerkorrekturdaten
enthalten, die durch einen Fehlererkennungs- und -korrekturalgorithmus
dazu verwendet werden, Fehler in der während des Verifikationsprozesses
erzeugten Zahl zu korrigieren.
-
Wenn
das Objekt als Lebewesen authentifiziert wird, kann die Bezugsnummer
aus biometrischen Daten hergeleitet werden, die einem charakteristischen
Merkmal des Lebewesens entsprechen. Beispielsweise können die
Authentifizierungsdaten aus einem Irismuster, einem Retinamuster
oder einem Fingerabdruck hergeleitet werden.
-
Bei
einer Ausführungsform
werden die Authentifizierungsdaten aus einem Bild des Objekts hergeleitet, das
auf einer Identifikationseinrichtung vorhanden ist.
-
Nun
werden Ausführungsformen
der Erfindung unter Bezugnahme auf die beigefügten Figuren beschrieben.
-
1 zeigt
eine in einem Authentifizierungssystem gemäß der Erfindung verwendete
Kennkarte;
-
2 zeigt
schematisch ein Kartenherstellsystem zum Herstellen der in der 1 dargestellten
Kennkarte;
-
3 zeigt
schematisch die Hauptfunktionskomponenten eines Verarbeitungssystems,
das einen Teil des in der 2 dargestellten
Herstellsystems bildet;
-
4 zeigt
die Hauptkomponenten eines Zahlengenerators und eines Prozessdatengenerators,
die einen Teil des in der 3 dargestellten
Verarbeitungssystems bilden;
-
5 zeigt
schematisch die Hauptkomponenten eines Merkmalsschablonegenerators,
eines Attributwertstabilisators und eines Doppeldeutigkeitsauflösungsvektor-Generators,
die einen Teil des Zahlengenerators und des in der 4 dargestellten
Prozessdatengenerators bilden;
-
6 ist
ein Flussdiagramm, das Betriebsabläufe zeigt, wie sie von einer
Gitteranwendeeinrichtung und einer Gitterzellengrauwert-Normiereinrichtung
ausgeführt
werden, die einen Teil des in der 5 dargestellten
Merkmalsschablonegenerators bilden;
-
7 ist
ein Flussdiagramm, das Betriebsabläufe zeigt, wie sie vom in der 4 dargestellten
Attributwertstabilisators ausgeführt
werden;
-
8A bis 8C sind
schematische Diagramme zum Veranschaulichen, wie der in der 4 dargestellte
Attributwertstabilisator Versatzwerte zum Stabilisieren einer durch
den Zahlengenerator erzeugten Zahl verwendet;
-
9 ist
ein Flussdiagramm, das Betriebsabläufe zeigt, wie sie durch einen
in der 4 veranschaulichten Bildwertgenerator ausgeführt werden;
-
10 ist
ein schematisches Diagramm, das die Hauptkomponenten eines Kartenlesers
zum Lesen der in der 1 dargestellten Kennkarte zeigt;
-
11 zeigt
schematisch die Hauptfunktionskomponenten eines Verarbeitungssystems,
das einen Teil des in der 10 dargestellten
Lesers bildet;
-
12 zeigt
schematisch die Hauptkomponenten eines Zahlengenerators, der einen
Teil des in der 11 dargestellten Verarbeitungssystems
bildet;
-
13 zeigt
schematisch die Hauptkomponenten eines Merkmalsschablonegenerators
und eines Attributwertstabilisators, die einen Teil des in der 12 dargestellten
Zahlengenerators bildet;
-
14 ist
ein Flussdiagramm, das Betriebsabläufe zeigt, wie sie durch eine
Gitteranwendeeinrichtung und eine Gitterzellengrauwert-Normiereinrichtung
ausgeführt
werden, die einen Teil des in der 13 dargestellten
Merkmalsschablonegenerators bilden;
-
15 ist
ein Flussdiagramm, das Betriebsabläufe zeigt, wie sie durch einen
Bildwertgenerator ausgeführt
werden, der einen Teil des in der 12 dargestellten
Zahlengenerators bildet;
-
16 zeigt
die Hauptkomponenten einer Kennkarte-Verifiziereinrichtung, die
einen Teil des in der 11 dargestellten Verarbeitungssystems
bildet;
-
17 zeigt
schematisch ein erstes zum in den 1 bis 16 dargestellten
Authentifizierungssystem alternatives Authentifizierungssystem;
-
18 zeigt
die Hauptkomponenten eines Registriersystems, das einen Teil des
in der 17 dargestellten Authentifizierungssystems
bildet;
-
19 zeigt
schematisch die Hauptkomponenten eines Authentifizierungsservers,
der einen Teil des in der 17 dargestellten
Authentifizierungssystems bildet;
-
20 zeigt
schematisch die Hauptkomponenten einer Passausgabeeinrichtung, die
einen Teil des in der 17 dargestellten Authentifizierungssystems
bildet;
-
21 zeigt
schematisch die Hauptfunktionskomponenten eines Verarbeitungssystems,
das einen Teil eines Kartenherstellsystems gemäß einem zweiten alternativen
Authentifizierungssystem bildet;
-
22 zeigt
schematisch die Hauptfunktionskomponenten eines Verarbeitungssystems,
das einen Teil eines Kartenlesers des zweiten alternativen Authentifizierungssystems
bildet;
-
23 zeigt
schematisch die Hauptkomponenten einer zur in der 16 dargestellten
Kennkarte-Verifiziereinrichtung alternativen Kennkarte-verifiziereinrichtung;
und
-
24 zeigt
schematisch ein Authentifizierungssystem, bei dem jedem erkannten
Gegenstand eine Kennzahl zugewiesen wird.
-
ERSTE AUSFÜHRUNGSFORM
-
ÜBERBLICK
-
Die 1 zeigt
eine Kennkarte 1, die in einem Authentifizierungssystem
gemäß der Erfindung
verwendet wird. Die Kennkarte 1 verfügt über ein innerhalb eines Rahmens 5 positioniertes
Bild 3 einer zugehörigen Person
sowie aufgeschriebene persönliche
Einzelheiten 7 (bei dieser Ausführungsform den Namen, die Adresse,
das Geburtsdatum und die Nationalität) für diese zugehörige Person.
Die Kennkarte 1 beinhaltet auch einen Strichcode 9,
der wie es nachfolgend detailliert erläutert wird, Authentifizierungsdaten
enthält,
die es ei nem Kartenleser ermöglichen,
zu verifizieren, dass die aufgeschriebenen persönlichen Einzelheiten 7 für die im
Bild 3 dargestellte Person gelten.
-
Die
Kennkarte 1 wird von einem Kartenherausgeber unter Verwendung
eines Kartenherstellsystems hergestellt. Wenn einmal die Kennkarte 1 ausgegeben
ist, benutzt die zugehörige
Person dieselbe dazu, ihre Kennung oder ihr Alter einem Dritten
gegenüber
zu beweisen. Insbesondere verwendet der Dritte einen Kartenleser
für Folgendes:
- (a) Verifizieren, dass die Kennkarte 1 vom
Kartenherausgeber herausgegeben wurde;
- (b) Prüfen,
dass die aufgeschriebenen persönlichen
Einzelheiten 7 auf der Kennkarte 1 nicht gefälscht sind; und
- (c) Verifizieren, dass das Bild 3 auf der Kennkarte
nicht gefälscht
wurde.
-
Nun
werden das Kartenherstellsystem und der Kartenleser detailliert
beschrieben.
-
KARTENHERSTELLSYSTEM
-
Die 2 ist
eine schematische, perspektivische Ansicht des vom Kartenherausgeber
verwendeten Kartenherstellsystems. Wie dargestellt, wird ein Foto 21 in
einem Scanner 23 platziert, der es abscannt, um entsprechende
elektronische Bilddaten I(x, y) zu erzeugen. Der Scanner 23 ist
mit einem Computersystem 35 verbunden, das über ein
Display 27, eine Tastatur 29, eine Maus 31 und
einen Computertower 33 verfügt, der Verarbeitungselektronik
aufnimmt und über
einen Schlitz 35 zum Aufnehmen einer Diskette 37 verfügt. Das Computersystem 25 ist
auch mit einem Kartendrucker 39 verbunden, der die Kennkarte 1 ausdruckt.
-
Die 3 zeigt
schematisch die Hauptfunktionskomponenten eines im Computersystem 25 enthaltenen
Verarbeitungssystems 51. Wie dargestellt, werden, wenn
das Foto 21 vom Scanner 23 abgescannt wird, die
ihm entsprechenden Bilddaten I(x, y) in einen Bildwandler 23 eingegeben,
der sie in ein Koordinatensystem wandelt, dessen Ursprung in der
linken unteren Ecke (wie in der 1 dargestellt)
des Rahmens 5 liegt, wobei die Achsen X und Y in der horizontalen
bzw. vertikalen Richtung vorliegen (wie es in der 1 dargestellt
ist). Der Scanner 23 führt
für das
Foto 21 mehrere Scanvorgänge aus, und die gewandelten
Bilddaten I'(x,
y) für die
mehreren Scanvorgänge
werden in einen Zahlengenerator 57 eingegeben, der, wie
es nachfolgend detaillierter beschrieben wird, einen für das Foto 21 repräsentativen
Bildwert erzeugt.
-
Bei
dieser Ausführungsform
modifiziert der Bildwandler 53 auch die für den ersten
Scanvorgang des Fotos gewandelten Bilddaten I'(x, y), um ein Gitter von Zellen, nachfolgend
als Makrozellen bezeichnet, mit zehn Zeilen und acht Spalten zu überlagern.
Der Bildwandler 53 schickt die modifizierten Bilddaten
M(x, y) an eine Benutzerschnittstelle 55, die dafür sorgt,
dass das Display 27 ein diesen entsprechendes Bild zeigt.
Die Benutzerschnittstelle 55 ermöglicht es auch einem Bediener
des Kartenherstellsystems, unter Verwendung der Maus 31,
die sechzehn Makrozellen auszuwählen,
die für
die im Foto 21 dargestellte Person als am charakteristischsten
erscheinen. Typischerweise enthalten diese Makrozellen charakteristische
Gesichtsmerkmale (wie den Mund, die Nase, die Augen und die Ohren)
der auf dem Foto 21 dargestellten Person. Die Benutzerschnittstelle 55 schickt
die ausgewählten
Makrozellen identifizierende Daten an den Zahlengenerator 57,
der nur die den ausgewählten
Makrozellen entsprechenden Teile der transformierten Bilddaten dazu
verwendet, die Bildzahl zu erzeugen.
-
Der
Zahlengenerator 57 ist mit einem Prozessdatengenerator 59 verbunden,
der Prozessdaten zum Einschließen
in den Strichcode 9 erzeugt. Die Prozessdaten enthalten
Information dahingehend, wie der Bildwert durch das Kartenherstellsystem
berechnet wurde. Die erzeugten Prozessdaten werden bei folgenden Kartelesevorgängen dazu
verwendet, die Wahrscheinlichkeit zu erhöhen, dass derselbe Bildwert
ermittelt wird. Der Grund, weswegen nur ausgewählte Teile der Bilddaten (d.
h. nur den ausgewählten
Makrozellen entsprechende Teile) zum Erzeugen des Bildwerts verwendet
werden, besteht darin, dass der Bildwert stärker der auf dem Foto 21 dargestellten
Person zugeordnet ist. Ferner wird dadurch, wie es ersichtlich ist,
die im Strichcode 9 abgespeicherte Datenmenge verringert.
Dies ist von Vorteil, da der Strichcode 9 nur eine begrenzte
Datenmenge speichern kann.
-
Der
Bediener des Kartenherstellsystems gibt auch, unter Verwendung der
Tastatur 29, persönliche Einzelheiten
betreffend die auf dem Foto 21 dargestellte Person in die
Benutzerschnittstelle 55 ein, der die persönlichen
Einzelheiten an einen Generator 61 für persönliche Daten weiterleitet,
der die persönlichen
Einzelheiten enthaltende persönliche
Daten erzeugt. Die durch den Generator 61 für persönliche Daten
erzeugten persönlichen
Daten, der vom Zahlen generator 57 ausgegebene Bildwert
und die vom Prozessdatengenerator 59 ausgegebenen Prozessdaten
werden in einen Kenndatengenerator 63 eingegeben, wo sie
kombiniert werden, um Identifikationsdaten zu erzeugen. Bei dieser
Ausführungsform
besteht diese Kombination aus einer Verkettung der persönlichen
Daten, des Bildwerts und der Prozessdaten.
-
Die
Identifikationsdaten werden an einen Digitale-Signatur-Generator 65 eingegeben,
der an ihnen einen Secure-Hashing-Algorithmus ausgeführt, um
einen Einweg-Hashwert zu erzeugen. Wie es der Fachmann erkennt,
verfügt
ein Secure-Hashing-Algorithmus über ein
determiniertes Ausgangssignal (d. h. für dieselben Eingangsdaten werden
immer dieselben Ausgangsdaten erzeugt), jedoch können die Eingangsdaten nicht
aus den Ausgangsdaten hergeleitet werden, weswegen es ein Einweg-Algorithmus
ist). Der Einweg-Hashwert wird unter Verwendung eines privaten Verschlüsselungsschlüssel Kpri, der unter Verwendung des RSA-Algorithmus erzeugt
wird, in Zuordnung zum Kartenherausgeber verschlüsselt, um eine digitale Signatur
zu erzeugen.
-
Die
vom Prozessdatengenerator 59 erzeugten Prozessdaten, die
vom Generator 61 für
persönliche Daten
erzeugten persönlichen
Daten und die durch den Digitale-Signatur-Generator 65 erzeugte
digitale Signatur bilden die Authentifizierungsdaten, und sie werden
in einen Strichcodegenerator 67 eingegeben, der Strichcodedaten
für den
Strichcode 9 erzeugt. Der Bildwert wird jedoch nicht in
die Authentifizierungsdaten eingegeben, um eine Fälschung
der Kennkarte 1 zu behindern. Bei dieser Ausführungsform
erzeugt der Strichcodegenerator 67 Strichcodedaten für einen
zweidimensionalen PDF417-Strichcode.
-
Die
vom Bildwandler 53 ausgegebenen transformierten Bilddaten
I'(x, y), die vom
Generator 61 für
persönliche
Daten ausgegebenen persönlichen
Daten und die vom Strichcodegenerator 67 ausgegebenen Strichcodedaten
werden in einen Bildprozessor 69 eingegeben, der Bilddaten
für die
Kennkarte 1 erzeugt. Der Bildprozessor 69 gibt
die Bilddaten für
die Kennkarte 1 an den Kartendrucker 39 aus.
-
Nun
wird die Art, gemäß der der
Zahlengenerator 57 den Bildwert erzeugt, unter Bezugnahme
auf die 4 bis 9 detaillierter
beschrieben.
-
Wie
es in der 4 dargestellt ist, verfügt der Zahlengenerator 57 über einen
Merkmalsschablonegenerator 75, einen Attributwertstabilisator 77 und einen
Bildwertgenerator 79. Die transformierten Bilddaten I'(x, y) für jeden
Scanvorgang des Fotos 21 werden in den Merkmalsschablonegenerator 75 eingegeben,
der eine ihnen entsprechende Merkmalsschablone erzeugt. Eine Merkmalsschablone
ist eine Ansammlung von Bildartefakten innerhalb der Bilddaten,
die nachfolgend als Merkmale bezeichnet werden, wobei jedes Merkmal über eine
Anzahl von Eigenschaften, die nachfolgend als Attribute bezeichnet
werden, verfügt,
die über
einen zugehörigen
Attributwert verfügen.
-
Die
für mehrere
Scanvorgänge
des Fotos 21 vom Merkmalsschablonegenerator 57 erzeugten
Merkmalsschablonen werden in einen Attributwertstabilisator 77 eingegeben,
der die Attributwerte der Merkmalsschablonen verarbeitet und eine
stabilisierte Merkmalsschablone ausgibt. Bei dieser Ausführungsform
geben der Merkmalsschablonegenerator 57 und der Attributwertstabilisator 77 Daten
an einen Doppeldeutigkeitsauflösungsvektor-Generator 81 aus,
der einen Teil des Prozessdatengenerators 59 bildet. Der
Doppeldeutigkeitsauflösungsvektor-Generator 81 erzeugt
einen Doppeldeutigkeitsauflösungsvektor,
der bei einem anschließenden
Kartenlesevorgang dazu verwendet wird, die Wahrscheinlichkeit zu
verbessern, dass dieselbe stabilisierte Merkmalsschablone wiedergewonnen
wird.
-
Nun
werden der Betrieb des Merkmalsschablonegenerators 75,
des Attributwertstabilisators 77 und des Doppeldeutigkeitsauflösungsvektor-Generators 81 unter
Bezugnahme auf die 5 bis 8 detaillierter
beschrieben.
-
Wie
es in der 5 dargestellt ist, verfügt der Merkmalsschablonegenerator 75 über einen
RGB-Grauskala-Wandler 91, der die transformierten Bilddaten
I'(x – y) für jeden
Scanvorgang des Fotos 21 in Grauskaladaten wandelt. Der
RGB-Grauskala-Wandler 91 schickt die erzeugten Grauskaladaten
an eine Gitteranwendeeinrichtung 93, die ein Gitter von
Zellen, nachfolgend als Gitterzellen bezeichnet, um gegenüber den
bereits beschriebenen Makrozellen zu unterscheiden, mit vierzig
Zeilen und zweiunddreißig
Spalten auf die transformierten Bilddaten I'(x, y) anwendet. Die Gitteranwendeeinrichtung 93 ist
mit einer Gitterzellengrauwert-Normiereinrichtung 95 verbunden,
die für
jede Gitterzelle einen normierten Grauwert erzeugt. Die Gitteranwendeeinrichtung 93 ist
auch mit der Benutzerschnittstelle 55, von der sie die
ausgeschlossenen Makrozellen kennzeichnenden Daten empfängt, und
einem Ausschließungsvektorgenerator 97 verbunden,
der einen Teil des Doppeldeutigkeitsauflösungsvektor-Generators 81 bildet
und einen die ausgeschlossenen Makrozellen identifizieren den Ausschließungsvektor
erzeugt. Die von der Gitteranwendeeinrichtung 93 und vom
Gitterzellengrauwert-Normiereinrichtung ausgeführten Operationen sind in der 6 zusammengefasst.
-
Wie
es in der 6 dargestellt ist, wendet die
Gitteranwendeeinrichtung 93, in einem Schritt S21, das Gitter
auf die transformierten Bilddaten I'(x, y) an. Bei dieser Ausführungsform
bilden die transformierten Bilddaten ein 400-auf-320-Array von Pixeln,
so dass jede Gitterzelle einen 10-auf-10-Block von Pixeln umfasst. Die Gitteranwendeeinrichtung 93 schließt, in einem
Schritt S23, Gitterzellen aus, die keiner ausgewählten Makrozelle entsprechen,
wozu das von der Benutzerschnittstelle 55 empfangene Signal
verwendet wird. Dann schickt die Gitteranwendeeinrichtung 93,
in einem Schritt S25, Ausschließungsdaten,
die die ausgeschlossenen Makrozellen kennzeichnen, an den Ausschließungsvektorgenerator 97,
der einen Ausschließungsvektor mit
80 Informationsbits (eines für
jede Makrozelle) erzeugt, wobei der Bitwert "1" auszuschließende Makrozellen
anzeigt und der Bitwert "0" einzuschließende Makrozellen
anzeigt.
-
Die
Gitterzellengrauwert-Normiereinrichtung 95 berechnet dann,
in einem Schritt S27, durch Berechnen des mittleren Graupegels für alle Pixel
der restlichen Gitterzellen (d. h. der ausgewählten Makrozellen entsprechenden
Gitterzellen) der transformierten Bilddaten I'(t) einen mittleren Gesamtgraupegel
Gimage. Dann berechnet die Gitterzellengrauwert-Normiereinrichtung 95,
in einem Schritt S29, für
jede verbliebene Gitterzelle durch Berechnen des mittleren Graupegels
Gcell für
die die Gitterzelle bildenden 100 Pixel einen mittleren Graupegel,
und sie normiert diesen, in einem Schritt S31, für jede verbliebene Gitterzelle
durch Teilen des mittleren Graupegels Gcell für diese
durch den mittleren Graupegel Gimage für das Bild.
Dann ersetzt die Gitterzellengrauwert-Normiereinrichtung 95,
in einem Schritt S33, die 100 individuellen Pixelgraupegel in jeder
verbliebenen Gitterzelle durch den normierten mittleren Graupegel
für diese
Gitterzelle.
-
Die
in den Attributwertstabilisator eingegebene Merkmalsschablone enthält daher
256 Merkmale (d. h. die verbliebenen Gitterzellen) mit jeweils einem
Attribut (d. h. dem Graupegel) mit einem zugehörigen Attributwert (d. h. dem
normierten mittleren Graupegelwert).
-
Es
wird zur 5 zurückgekehrt, gemäß der der
Attributwertstabilisator 77 über Folgendes verfügt: eine
Attributquantisiereinrichtung 99, die die normierten mittleren
Graupegelwerte umskaliert, eine Attributwert-Einstelleinrichtung 101, die
jeden umskalierten, normierten Graupegelwert so einstellt, dass
er in einem Bereich im Verlauf zwischen zwei benachbarten ganzzahligen
Werten positioniert ist, und eine Attributwert-Abschneideinrichtunq 103,
die den eingestellten normierten Graupegelwert auf einen ganzzahligen
Wert abschneidet. Die Attributquantisiereinrichtung 99 ist
mit einem Einheitsvektorgenerator 105 verbunden, der einen Teil
des Doppeldeutigkeitsauflösungsvektor-Generators 91 bildet,
der einen Einheitsvektor erzeugt, der die Einheiten für die umskalierten,
normierten, mittleren Graupegelwerte kennzeichnet. Die Attributwert-Einstelleinrichtung 101 ist
mit einem Versatzvektorgenerator 107 verbunden, der einen
Teil des Doppeldeutigkeitsauflösungsvektor-Generators 81 bildet
und einen Versatzvektor erzeugt, der Versatzwerte angibt, die dazu
verwendet werden, die umskalierten, normierten Graupegelwerte einzustellen.
Die vom Attributwertstabilisator 77 ausgeführten Operationen
sind in der 7 zusammengefasst.
-
Wie
es in der 7 dargestellt ist, berechnet
die Attributwert-Quantisiereinrichtung 99 in
einem Schritt S43, nachdem sie in einem Schritt S41 mehrere Merkmalsschablonen
für jeweils
verschiedene Scanvorgänge des
Fotos 21 empfangen hat, durch Berechnen des mittleren normierten
Graupegelwerts für
jede verbliebene Gitterzelle eine mittlere Merkmalsschablone. Dann
berechnet die Attributquantisiereinrichtung 99, in einem Schritt
S45, den Median der normierten Graupegel für die mittlere Merkmalsschablone,
d. h. in solcher Weise, dass die Hälfte der Zellen der mittleren
Merkmalsschablone über
einen normierten Graupegel über
dem Median verfügen
und die Hälfte
der Zellen der mittleren Merkmalsschablone über einen normierten Graupegel
unter dem Median verfügen.
-
Dann
berechnet die Attributquantisiereinrichtung 99, in einem
Schritt S47, unter Verwendung des berechneten Medians einen Einheitswert.
Bei dieser Ausführungsform
ist die Einheitsgröße auf die
Hälfte
des berechneten Medians eingestellt. Dann führt die Attributquantisiereinrichtung 99,
in einem Schritt S49, eine Umskalierung des mittleren Graupegels
für jede
Zelle als Mehrfaches des Einheitswerts aus, um eine quantisierte Merkmalsschablone
zu erzeugen, und sie schickt den Einheitswert an den Einheitsvektorgenerator 105.
Bei dieser Ausführungsform
wird für
jeden normierten Graupegel derselbe Einheitswert angewandt.
-
Dann
wird die quantisierte Merkmalsschablone in die Attributwert-Einstelleinrichtung 101 eingegeben. Bei
dieser Ausführungsform
berechnet die Attributwert-Einstelleinrichtung 101, in
einem Schritt S51, für
jede Gitterzelle einen Versatzwert, der, wenn er zum mittleren Graupegel
für die
Gitterzelle addiert wird, denselben in einen Bereich im Verlauf
zwischen benachbarten ganzzahligen Vielfachen des Einheitswerts
bewegt. Bei dieser Ausführungsform
wählt die
Attributwert-Einstelleinrichtung 101 abhängig vom
Wert des mittleren Graupegels eine von drei verschiedenen Versatzgrößen aus,
von denen jede einem jeweiligen Versatzwert entspricht, wie es in
der Tabelle 1 angegeben ist.
-
Tabelle
1: Entsprechung zwischen Versatzwerten und Versatzgrößen
-
Insbesondere
dann, wenn der mittlere Graupegel für eine Gitterzelle zwischen
(N + 1/3), wobei N ein beliebiger ganzzahliger Wert ist, und (N
+ 2/3) fällt,
wie es in der 8A für den Wert 121 dargestellt
ist, ist der Versatzwert auf 1 einzustellen, und der normierte Graupegelwert
wird nicht eingestellt. Wenn der normierte Graupegelwert zwischen
N und (N + 1/3) fällt,
wie es in der 8B für den Wert 123 dargestellt
ist, wird der Versatzwert auf 2 eingestellt, und der normierte Graupegelwert
wird dadurch eingestellt, dass die Versatzgröße von 0,33 addiert wird, um
einen eingestellten Wert 125 mit einem Wert im Bereich
von (N + 1/3) und (N + 2/3) zu erzeugen. Wenn der normierte Graupegel
einen Wert zwischen (N + 2/3) und (N + 1) aufweist, wie es in der 8C für den Wert 127 dargestellt
ist, wird der Versatzwert auf 0 eingestellt, und der normierte Graupegelwert
wird dadurch eingestellt, dass die Versatzgröße von –0,33 addiert wird, um einen
eingestellten normierten Graupegelwert 129 zu erzeugen,
der im Bereich zwischen (N + 1/3) und (N + 2/3) fällt. Auf
diese Weise wird eine eingestellte Merkmalsschablone erzeugt.
-
Dann
schickt die Attributwert-Einstelleinrichtung 101 die Versatzwerte
für jede
Gitterzelle der quantisierten Merkmalsschablone an den Versatzvektorgenerator 57.
-
Die
Attributwert-Einstelleinrichtung 101 schickt die eingestellte
Merkmalsschablone an die Attributwert-Abschneideinrichtung 103,
die, in einem Schritt S55, eine stabilisierte Merkmalsschablone
dadurch erzeugt, dass jeder eingestellte mittlere Graupegel auf
einen ganzzahligen Wert abgeschnitten wird. Wenn beispielsweise
der Wert des eingestellten Graupegels im Bereich von (1 + 1/3) bis
(1 + 2/3) liegt, wird der eingestellte Graupegelwert 1 abgeschnitten.
-
Es
wird zur 4 zurückgekehrt, gemäß der die
stabilisierte Merkmalsschablone in den Bildwertgenerator 79 eingegeben
wird, der die Attributwerte derselben verarbeitet, um den Bildwert
zu erzeugen. Bei dieser Ausführungsform
schickt der Bildwertgenerator 79 Daten auch an den Fehlerkorrekturvektor-Generator 83, der
einen Teil des Prozessdatengenerators bildet und einen Fehlerkorrekturvektor
erzeugt, der bei einem folgenden Lesevorgang dazu verwendet wird,
die Wahrscheinlichkeit zu verbessern, dass der Bildwert erzeugt wird.
Die vom Bildwertgenerator 79 ausgeführten Operationen sind in der 9 zusammengefasst.
-
Der
Bildwertgenerator 79 empfängt, in einem Schritt S69,
eine stabilisierte Merkmalsschablone, die 256 Werte (d. h. Gitterzellen)
enthält,
von denen jede über
ein Attribut (abgeschnittener mittlerer Graupegel) mit einem zugehörigen Wert
verfügt.
Bei einer derartigen großen
Anzahl von Werten kann selbst bei der beschriebenen Datenstabilisierung
die Wahrscheinlichkeit einer genauen Wiederholung aller Werte zu
niedrig für einen
zuverlässigen
Zahlengenerator sein. Jedoch werden bei dieser Ausführungsform
nur 64 dieser Werte dazu verwendet, den Bildwert zu erzeugen, wobei
die restlichen 192 Werte dazu verwendet werden, eine Fehlerkorrektur
auszuführen.
Dies verbessert die Zuverlässigkeit
der Zahlenerzeugung beträchtlich.
-
Insbesondere
wird der Bildwert unter Verwendung jedes vierten abgeschnittenen
Graupegelwerts (d. h. des ersten, des fünften, des neunten ... Werts)
erzeugt. Die zum Erzeugen des Bildwerts verwendeten Werte werden
nachfolgend als Datenwerte bezeichnet, wohingegen die restlichen
Werte als Redundanzwerte bezeichnet werden. Jedem Datenwert sind
drei Redundanzwerte zugeordnet, die unmittelbar auf ihn folgen.
-
Der
Bildwertgenerator 79 erzeugt, in einem Schritt S63, Fehlerkorrekturdaten
durch Anwenden einer bitweisen Exklusiv-Oder-Operation zwischen
jedem Redundanzwert und dem entsprechenden Datenwert, um einen Fehlerkorrekturwert
zu erzeugen. Eine typische Abfolge von Datenwerten, gefolgt von
drei Redundanzwerten, wäre:
10;11;01;01. Die entsprechenden drei Fehlerkorrekturwerte sind:
01;11;11. Es ist zu beachten, dass diese Fehlerkorrekturwerte selbst
keine Information zum zugehörigen
Datenwert liefern.
-
Der
Bildwertgenerator 79 schickt, in einem Schritt S65, die
Fehlerkorrekturdaten an den Fehlerkorrekturvektor-Generator 83,
und dann wird, im Schritt S67, der Bildwert dadurch erzeugt, dass
alle Datenwerte mit einer vorbestimmten Reihenfolge verkettet werden.
-
Wie
oben beschrieben, werden, während
des Kartenherstellprozesses, ein Doppeldeutigkeitsauflösungsvektor
(einschließlich
eines Ausschließungsvektors,
eines Einheitsvektors und eines Versatzvektors) und ein Fehlerkorrekturvektor,
die gemeinsam Prozessdaten bilden, erzeugt und im Strichcode 9 abgespeichert.
Nach dem Registrierprozess erhöht,
wenn dasselbe Bild abgescannt wird, die Verwendung der gespeicherten
Prozessdaten die Wahrscheinlichkeit, dass derselbe Bildwert erzeugt
wird.
-
KARTENLESESYSTEM
-
Nun
wird unter Bezugnahme auf die 10 bis 16 ein
Kartenleser 141 beschrieben.
-
Wie
es in der 10 dargestellt ist, verfügt der Kartenleser 141 über einen
Bildscanner 143, einen Strichcodeleser 195 und
ein Display 147, die mit einem Prozessor 149 verbunden
sind. Mit dem Prozessor 149 sind auch ein Festwertspeicher
(ROM) 151, der durch einen Prozessor implementierbare Anweisungen
speichert, wie sie während
des Betriebs des Kartenlesers 141 verwendet werden, und
ein Direktzugriffsspeicher (RAM) verbunden, der einen Arbeitsspeicher
zur Verwendung während
des Betriebs des Kartenlesers 141 bildet.
-
Im
Gebrauch scannt der Bildscanner 143 des Kartenlesers 141 das
Bild 3 auf der Kennkarte 1, und der Strichcodeleser 145 scannt
den Strichcode 9 auf ihr. Der Prozessor 199 verarbeitet
beide Sätze
gescannter Daten, um die persönlichen
Einzelheiten wiederzugewinnen und um zu verifizieren, dass das Bild 3 den
persönlichen
Einzelheiten zugeordnet ist, und das Display 147 zeigt
die gespeicherten persönlichen
Einzelheiten gemeinsam mit einem Hinweis dahingehend an, ob das
Bild 3 den persönlichen
Einzelheiten zugeordnet ist oder nicht. Der Benutzer des Kartenlesers 141 kann
daher prüfen,
dass weder das Bild 3 noch die aufgeschriebenen persönlichen
Einzelheiten 7 auf der Kennkarte 1 nach der Ausgabe
der Karte gefälscht
wurden.
-
Die
Art, gemäß der der
Prozessor 149 die gescannten Bilddaten vom Bildscanner 143 und
die gescannten Strichcodedaten vom Strichcodeleser 145 verarbeitet,
wird nun unter Bezugnahme auf die 11 bis 16 erläutert.
-
Die 11 ist
ein schematisches Blockdiagramm, das die Funktionskonfiguration
des Prozessors 149 zeigt. Wie dargestellt, werden die gescannten
Strichcodebilddaten in eine herkömmliche
Strichcodedaten-Wiederherstelleinrichtung 161 eingegeben,
die die im Strichcode 9 gespeicherten Authentifizierungsdaten
(d. h. die Prozessdaten 163, die persönlichen Daten 165 und
die digitale Signatur 167) wiedergewinnt.
-
Die
gescannten Bilddaten vom Bildscanner 143 werden in einen
Bildwandler 169 eingegeben, der eine herkömmliche
Bildverarbeitungsoperation anwendet, um den Rahmen 5 zu
erkennen, und der dann das Koordinatensystem für die Bilddaten so transformiert,
dass sich der Ursprung in der unteren linken Ecke des Rahmens 5 (wie
in der 1) befindet und sich die Achsen X und Y in der
horizontalen bzw. vertikalen Richtung erstrecken (wie es in der 1 dargestellt
ist). Die transformierten Bilddaten werden dann in einen Zahlengenerator 171 eingegeben,
der den Bildwert unter Verwendung der Prozessdaten 163 berechnet.
-
Der
durch den Zahlengenerator 171 berechnete Bildwert wird,
gemeinsam mit den persönlichen
Daten 165 und den aus dem Strichcode 9 rückgewonnenen
Prozessdaten 163, in einen Kenndatengenerator 173 eingegeben,
der, auf dieselbe Weise wie beim Kartenherstellsystem, den Bildwert,
die persönlichen
Einzelheiten und die Prozessdaten kombiniert, um die Kenndaten für die Kennkarte 1 zu
erzeugen.
-
Die
durch den Kenndatengenerator 173 erzeugten Kenndaten werden
dann, gemeinsam mit der aus dem Strichcode 9 rückgewonnenen
digitalen Signatur 167, in eine Kennkarten-Verifiziereinrichtung 175 eingegeben.
Die Kennkarten-Verifiziereinrichtung 175 verarbeitet
die Kenndaten und die digitale Signatur 167 und gibt ein
Verifiziersignal aus, das anzeigt, ob der Herausgeber der Kennkarte 1 verifiziert
wurde und ob das auf der Kennkarte 1 gezeigte Foto das
ursprüngliche
Foto ist oder nicht, wie es beim Herausgeben der Kennkarte verwendet
wurde. Die aus dem Strichcode 9 rückgewonnenen persönlichen
Daten 165 und das von der Kennkarten-Verifiziereinrichtung 175 ausgegebenen
Verifiziersignal werden in einen Anzeigedatengenerator 177 eingegeben,
der Anzeigedaten erzeugt, die dafür sorgen, dass das Display 147 die
persönlichen
Einzelheiten gemeinsam mit einer Kennung dahingehend anzeigt, ob
die Kennkarte 1 verifiziert wurde oder nicht.
-
Nun
wird der Zahlengenerator 171 unter Bezugnahme auf die 12 bis 15 detaillierter
beschrieben.
-
Wie
es in der 12 dargestellt ist, verfügt der Zahlengenerator 171 über einen
Merkmalsschablonegenerator 181, einen Attributwertstabilisator 173 und
einen Bildwertgenerator 185. Die durch den Bildwandler 169 ausgegebenen
transformierten Bilddaten werden in den Merkmalsschablonegenerator 181 eingegeben, der
unter Verwendung von Daten aus dem Doppeldeutigkeitsauflösungsvektor 187,
der Teil der Prozessdaten 163 bildet, eine entsprechende
Merkmalsschablone erzeugt. Die erzeugte Merkmalsschablone wird in
den Attributwertstabilisator 183 eingegeben, der dadurch
eine stabilisierte Merkmalsschablone erzeugt, dass er die Attributwertstabilisatoren
der Merkmalsschablone unter Verwendung von Daten vom Doppeldeutigkeitsauflösungsvektor 187 einstellt.
-
Die 13 zeigt
die Hauptfunktionskomponenten des Merkmalsschablonegenerators 181 und
des Attributwertstabilisators 183. Wie dargestellt, verfügt der Merkmalsschablonegenerator 181 über einen RGB-Grauskalawandler 201,
der die Farbbilddaten in eine Grauskala wandelt. Die Grauskala-Bilddaten
werden in eine Gitteranwendeeinrichtung 103 eingegeben,
die ein 40-auf-32-Gitter anwendet und diejenigen Gitterzellen ausschließt, die
den ausgeschlossenen Makrozellen entsprechen, die im Ausschließungsvektor 207 gekennzeichnet
sind, der einen Teil des Doppeldeutigkeitsauflösungsvektors 187 bildet.
Die durch die Gitteranwendeeinrichtung 203 ausgegebenen
Daten werden dann in eine Gitterzellengrauwert-Normiereinrichtung 205 eingegeben,
die für
jede der nicht aus geschlossenen Gitterzellen einen normierten mittleren
Graupegelwert berechnet, um eine Merkmalsschablone zu erzeugen.
-
Wie
oben angegeben, wird die vom Merkmalsschablonegenerator 181 ausgegebene
Merkmalsschablone in den Attributwertstabilisator 183 eingegeben,
der, wie es in der 13 dargestellt ist, über eine
Attributquantisiereinrichtung 209, eine Attributwert-Einstelleinrichtung 211 und
eine Attributwert-Abschneideinrichtung 213 verfügt. Die
durch den Attributwertstabilisator ausgeführten Operationen werden nun
unter Bezugnahme auf die 14 beschrieben.
-
Wenn
der Attributwertstabilisator 183, in einem Schritt S71,
eine Merkmalsschablone vom Merkmalsschablonegenerator 181 empfängt, erhält die Attributquantisiereinrichtung 209 den
Einheitswert vom Einheitsvektor 215, der einen Teil des
Doppeldeutigkeitsauflösungsvektors 187 bildet.
Die Attributquantisiereinrichtung skaliert dann, in einem Schritt
S73, unter Verwendung des Einheitswerts die normierten mittleren
Graupegelwerte für
jede Zelle. Die skalierte Merkmalsschablone wird dann in die Attributwert-Einstelleinrichtung 211 eingegeben,
die für
jede Gitterzelle den entsprechenden Versatzwert vom Versatzvektor 217 enthält, der
einen Teil des Doppeldeutigkeitsauflösungsvektors 187 bildet.
Die Attributwert-Einstelleinrichtung 211 stellt dann, in einem
Schritt S75, den quantisierten Wert für den normierten Graupegel
einer Gitterzelle dadurch ein, dass sie die dem gespeicherten Versatzwert
entsprechende Versatzgröße addiert.
Die eingestellte Merkmalsschablone wird in die Attributwert-Abschneideinrichtung 213 eingegeben,
die, in einem Schritt S77, die stabilisierte Merkmalsschablone durch
Abschneiden des mittleren Graupegelwerts für jede Gitterzelle auf einen
ganzzahligen Wert erzeugt.
-
Es
wird zur 12 zurückgekehrt, gemäß der die
stabilisierte Merkmalsschablone in den Bildwertgenerator 185 eingegeben
wird, der unter Verwendung des Fehlerkorrekturvektors 189 einen
Bildwert erzeugt. Die vom Bildwertgenerator 185 ausgeführten Operationen
werden nun unter Bezugnahme auf die 15 beschrieben.
-
Wie
dargestellt, korrigiert der Bildwertgenerator 185 in einem
Schritt S83, nachdem er in einem Schritt S81 die stabilisierte Merkmalsschablone
vom Attributwertstabilisator 183 empfangen hat, den Attributwert
unter Verwendung der im Fehlerkorrekturvektor 189 gespeicherten
Fehlerkorrekturdaten, um einen entsprechenden Korrekturwert zu erzeugen.
Insbesondere ist jeder der Daten werte (d. h. der mittleren Graupegelwerte
für die
erste, fünfte,
neunte, ... Gitterzelle) unverändert,
wohingegen an jedem der Redundanzwerte und dem entsprechenden Fehlerkorrekturwert,
wie er im Fehlerkorrekturvektor 189 gespeichert ist, eine
bitweise Exklusiv-Oder-Operation ausgeführt wird. Auf diese Weise sollte
jeder Datenwert mit den drei entsprechenden Redundanzwerten identisch
sein. Wenn dies nicht der Fall ist, wird für den Datenwert und die drei
zugeordneten Korrekturwerte eine Abstimmoperation ausgeführt, und
der Datenwert wird auf denjenigen mittleren Graupegelwert eingestellt,
der am häufigsten
auftritt.
-
Die 16 zeigt
die Hauptkomponenten der Kennkarten-Verifiziereinrichtung 175 auf
detailliertere Weise. Wie dargestellt, werden die Kenndaten vom
Kenndatengenerator 173 in eine Einheit 221 für einen
Secure-Hashing-Algorithmus eingegeben, die denselben Secure-Hashing-Algorithmus
anwendet, wie er im Kartenherstellsystem angewandt wurde. Die aus
dem Strichcode 9 wiedergewonnene digitale Signatur 167 wird in
eine Entschlüsselungseinheit 223 eingegeben,
die die digitale Signatur 167 unter Verwendung des öffentlichen
Schlüssels
Kpub für
den Kartenherausgeber entschlüsselt.
-
Der
durch die Einheit 221 für
den Secure-Hashing-Algorithmus ausgegebene Einweg-Hashwert und die
von der Entschlüsselungseinheit 223 ausgegebene
entschlüsselte
digitale Signatur werden dann in einen Komparator 433 eingegeben,
wo sie verglichen werden. Wenn die Kennkarte 1 vom Kartenherausgeber
hergestellt wurde und das Bild 3 auf ihr dem durch den
Kartenherausgeber verwendeten Foto 21 entspricht, ist der
von der Einheit 221 für
einen Secure-Hashing-Algorithmus
ausgegebene Einweg-Hashwert identisch mit der durch die Entschlüsselungseinheit 223 ausgegebenen
entschlüsselten
digitalen Signatur, und der Komparator 227 gibt den logischen
Pegel WAHR aus, während
er anderenfalls den logischen Pegel FALSCH ausgibt.
-
Wie
oben beschrieben, beinhalten die Kenndaten die Prozessdaten. Daher
kann selbst dann, wenn der Bildwert bekannt wird, ein Fälscher nicht
einfach neue Prozessdaten speichern, was dafür sorgt, dass ein anderes Bild
den Bildwert liefert, da die Änderung
der Prozessdaten durch die Kennkarten-Verifiziereinrichtung 175 erkannt
wird.
-
ZWEITE AUSFÜHRUNGSFORM
-
Bei
der ersten Ausführungsform
werden Authentifizierungsdaten auf einer Kennkarte gespeichert,
die von der zugehörigen
Person mitzuführen
ist. Ein Problem bei Kennkarten besteht darin, dass sie verlorengehen
oder vergessen werden kann.
-
Nun
wird unter Bezugnahme auf die 17 bis 20 eine
zweite Ausführungsform
beschrieben, bei der die Authentifizierungsdaten in einer zentralen
Datenbank statt einer Kennkarte gespeichert sind, so dass die Identität einer
registrierten Person ohne Kennkarte verifiziert werden kann.
-
Bei
dieser Ausführungsform
wird das Authentifizierungssystem von einer großen Firma dazu verwendet, den
Zugang zu mehreren Gebäuden
im Besitz der Firma zu kontrollieren. Insbesondere verfügt, wie
es in der 17 dargestellt ist, die Firma über ein
Hauptbüro 251 und
Unterbüros 253A, 253B.
Das Hauptbüro 251 verfügt über ein
Registriersystem 255, das Authentifizierungsdaten erzeugt,
die in einem Authentifizierungsserver 257 gespeichert werden.
Das Hauptbüro 251 und
die Unterbüros 253A, 253B verfügen jeweils über jeweilige
Passausgabeeinrichtungen 259A, 259B, 259C,
die Pässe
ausgeben können,
die den Zugang zu Teilen des Hauptbüros 251 und der Unterbüros 253 für eine Einzelperson
ermöglichen,
deren Identität
verifiziert wurde, wozu die im Authentifizierungsserver 257 gespeicherten
Authentifizierungsdaten verwendet werden. Die Passausgabeeinrichtung 259a des
Hauptbüros 251 ist
direkt mit dem Authentifizierungsserver 257 verbunden, und
die Passausgabeeinrichtungen 259B, 259C der Unterbüros 253A, 253B sind über ein
Computernetzwerk 261, das bei dieser Ausführungsform
ein Weitbereichsnetz ist, mit dem Authentifizierungsserver 257 verbunden.
-
Bei
dieser Ausführungsform
werden die Authentifizierungsdaten unter Verwendung eines biometrischen
Werts erzeugt, der für
die Iris einer Einzelperson repräsentativ
ist. Die 18 zeigt die Hauptkomponenten
des Registriersystems 255. Wie dargestellt, verfügt das Registriersystem 255 über einen
Irisscanner 271, ein Display 273, eine Tastatur 275 und
eine Maus 277, die mit einem Verarbeitungssystem 279 verbunden sind.
-
Der
Irisscanner 271 scannt die Iris einer Einzelperson, und
er schickt entsprechende Bilddaten I(x, y) an einen Bildwandler 281,
der einen Teil der Ver arbeitungsschaltung 279 bildet. Der
Bildwandler 281 analysiert die Bilddaten I(x, y), um denjenigen
Teil derselben zu entnehmen, der der Iris entspricht, und dann verarbeitet er
den entnommenen Teil in solcher Weise, dass er mit einer Standardausrichtung
vorliegt. Während
dieser Verarbeitung werden Ausrichtungsdaten erzeugt und an einen
Prozessdatengenerator 283 übertragen. Die durch den Bildwandler 281 ausgegebenen
transformierten Bilddaten werden in einen Zahlengenerator 285 eingegeben,
der einen der Iris der Einzelperson entsprechenden biometrischen
Wert erzeugt. Weitere Einzelheiten dazu, wie der biometrische Wert
und die Prozessdaten aus den Bilddaten I(x, y) vom Irisscanner 281 erzeugt
werden, finden sich in der internationalen Patentanmeldung WO 02/098053,
deren Inhalt hier durch Bezugnahme eingeschlossen wird.
-
Das
Display 273, die Tastatur 275 und die Maus 277 sind über eine
Benutzerschnittstelle 287 mit einem Persönliche-Daten-Generator 289 verbunden.
Während
der Registrierung fordert der Persönliche-Daten-Generator 289 persönliche Information
zur registrierten Einzelperson unter Verwendung des Displays 273 an,
er empfängt über die
Tastatur 275 und die Maus 277 eingegebene persönliche Information,
und er erzeugt entsprechende persönliche Daten.
-
Die
vom Persönliche-Daten-Generator 283 ausgegebenen
Prozessdaten, der vom Zahlengenerator 285 ausgegebene biometrische
Wert und die vom Persönliche-Daten-Generator 289 ausgegebenen
persönlichen
Daten werden in einen Kenndatengenerator 291 eingegeben,
der Kenndaten durch Verketten der Prozessdaten, des biometrischen
Werts und der persönlichen
Daten erzeugt. Die Kenndaten werden dann an einen Digitale-Signatur-Generator 293 ausgegeben,
der eine digitale Signatur durch Erzeugen eines Einweg-Hashwerts
der Kenndaten unter Verwendung des Secure-Hashing-Algorithmus erzeugt
und dann diesen mit einem dem Registriersystem zugeordneten privaten
Schlüssel
verschlüsselt.
-
Die
durch den Digitale-Signatur-Generator 293 erzeugte digitale
Signatur wird dann, gemeinsam mit den Prozessdaten und den persönlichen
Daten, in einen Authentifizierungsdatengenerator 295 eingegeben, der
die persönlichen
Daten, die Prozessdaten und die digitale Signatur kombiniert, um
Authentifizierungsdaten zu erzeugen. Die Authentifizierungsdaten
werden dann über
eine Kommunikationseinheit 297 an den Authentifizierungsserver 257 ausgegeben.
-
Wie
es in der 19 dargestellt ist, verfügt der Authentifizierungsserver 257 über eine
Kommunikationseinheit 301, die Kommunikationsvorgänge mit
dem Registriersystem 255 und den Passausgabeeinrichtungen 259 kontrolliert,
eine Steuerung 303 und eine Datenbank 305. Wenn
die Steuerung 303 die Authentifizierungsdaten über die
Kommunikationseinheit 301 vom Registriersystem 255 empfängt, speichert
sie diese in die Datenbank 305 ein.
-
Nachdem
die Authentifizierungsdaten für
eine Einzelperson durch das Registriersystem 255 erzeugt und
im Authentifizierungsserver 257 abgespeichert wurden, kann
die Einzelperson unter Verwendung einer der Passausgabeeinrichtungen 259 einen
Pass erhalten. Die 20 zeigt die Hauptkomponenten
einer der Passausgabeeinrichtungen 259. Wie dargestellt,
verfügt
die Passausgabeeinrichtung 259 über eine Kommunikationseinheit 311,
die Kommunikationsvorgänge
mit dem Authentifizierungsserver 257 kontrolliert. Eine
Benutzerschnittstelle 313 ist mit der Kommunikationseinheit 311 verbunden,
und während
eines Bedienvorgangs gibt eine Einzelperson persönliche Information unter Verwendung
derselben ein. Die persönliche
Information wird durch die Kommunikationseinheit 311 an
den Authentifizierungsserver 257 übertragen, der die Authentifizierungsdaten
(d. h. die persönlichen
Daten, die Prozessdaten und die digitale Signatur), die der eingegebenen
persönlichen
Information entsprechen, aus der Datenbank 305 abruft.
-
Die
Passausgabeeinrichtung 259 verfügt auch über einen Irisscanner 315,
der die Iris der Einzelperson abscannt und die sich ergebenden Bilddaten
an einen Bildwandler 317 ausgibt, der sie unter Verwendung der
Ausrichtungsdaten innerhalb der abgerufenen Prozessdaten 319 verarbeitet,
um transformierte Bilddaten zu erzeugen. Die transformierten Bilddaten
werden in einen Zahlengenerator 321 eingegeben, der unter
Verwendung der Prozessdaten 319 einen für die Iris der Einzelperson
repräsentierenden
biometrischen Wert erzeugt. Der durch den Zahlengenerator 321 erzeugte
biometrische Wert wird, gemeinsam mit den Prozessdaten 319 und
den aus dem Authentifizierungsserver 257 abgerufenen persönlichen
Daten 323, in einen Authentifizierungsdatengenerator 325 eingegeben,
der Authentifizierungsdaten auf dieselbe Weise wie der Authentifizierungsdatengenerator 295 des
Registriersystems 255 erzeugt.
-
Die
durch den Authentifizierungsdatengenerator 325 erzeugten
Authentifizierungsdaten werden gemeinsam mit der aus dem Authentifizierungsserver 257 abgerufenen
digitalen Signatur 329 in eine Kennungsverifiziereinrichtung 327 eingegeben.
Die Kennungsverifiziereinrichtung 327 wendet den Secure-Hashing-Algorithmus auf die
durch den Authentifizierungsdatengenerator 325 ausgegebe nen
Authentifizierungsdaten an, um einen testweisen Einweg-Hashwert
zu erzeugen, und sie entschlüsselt
die digitale Signatur 329 unter Verwendung des öffentlichen
Schlüssels
des Registriersystems 255, um einen Referenz-Einweg-Hashwert zu erzeugen.
-
Dann
erfolgt ein Vergleich auf Gleichheit des Test- und des Referenz-Einweg-Hashwerts, um zu
verifizieren, ob die durch die Einzelperson eingegebene persönliche Information
korrekt ist. Wenn der Test- und der Referenz-Einweg-Hashwert identisch
sind, schickt die Kennungsverifiziereinrichtung 327 ein
Steuerungssignal an einen Bildprozessor 329, um Bilddaten
zu erzeugen, die die vom Authentifizierungsserver 257 empfangenen
persönlichen
Daten 327 beinhalten, mit anschließender Ausgabe an einen Kartendrucker 321,
der eine Passkarte für
die Einzelperson druckt, die die persönliche Daten 323 enthält. Wenn
der erste und der zweite Einweg-Hashwert nicht identisch sind, gibt
die Kennungsverifiziereinrichtung 327 das Steuerungssignal nicht
aus, das den Druckvorgang der Passkarte startet.
-
Es
ist zu beachten, dass bei dieser Ausführungsform, wenn eine Einzelperson,
nach einem Registrierprozess, eine Passkarte vergisst oder verliert,
sie dazu in der Lage ist, dadurch eine andere Passkarte zu erhalten,
dass sie zu irgendeiner der Passausgabeeinrichtungen 259 im
Hauptgebäude 251 und
den Untergebäuden 253 zurückkehrt.
-
DRITTE AUSFÜHRUNGSFORM
-
Bei
der ersten Ausführungsform
wird der Bildwert in die Kenndaten eingeschlossen, diese werden durch
einen Hashing-Algorithmus verarbeitet, um einen Einweg-Hashwert
zu erzeugen, und dieser wird unter Verwendung eines privaten Schlüssels verschlüsselt, um
eine digitale Signatur zu erzeugen. Der Grund für die Anwendung des Hashing-Algorithmus
besteht darin, zu gewährleisten,
dass der Bildwert nicht aus der digitalen Signatur rückgewinnbar
ist, wodurch die Sicherheit verbessert ist.
-
Der
Bildwert muss nicht in den Kenndaten enthalten sein. Nun wird unter
Bezugnahme auf die 21 und 22 eine
dritte Ausführungsform
beschrieben, bei der der zu registrierenden Einzelperson eine Kennzahl
zugewiesen wird und in die Kenndaten und die Authentifizierungsdaten
ein Abbildungsschlüssel
eingeschlossen wird, der die Kennzahl mit dem Bildwert verknüpft. In
den 21 und 22 sind
Komponenten, die mit entsprechenden Komponenten bei der ersten Ausführungsform
identisch sind, mit denselben Zahlen gekennzeichnet, und sie werden
nicht erneut detailliert beschrieben.
-
Wie
es in der 21 dargestellt ist, beinhaltet
bei dieser Ausführungsform
das Verarbeitungssystem 351 des Kartenherstellsystems einen
Kennzahlengenerator 353, der eine der zu registrierenden
Einzelperson entsprechende Kennzahl erzeugt. Bei dieser Ausführungsform
ist der Kennzahlengenerator ein herkömmlicher Zufallszahlengenerator.
Die durch den Kennzahlengenerator 353 erzeugte Kennzahl
wird gemeinsam mit dem durch den Zahlengenerator 57 ausgegebenen
Bildwert in eine Verschlüsselungseinheit 355 eingegeben.
Die Verschlüsselungseinheit 355 wendet
unter Verwendung des Bildwerts als Verschlüsselungsschlüssel einen symmetrischen
Verschlüsselungsalgorithmus
an, um die Kennzahl zu verschlüsseln,
wobei die sich ergebenden verschlüsselten Daten einen Abbildungsschlüssel bilden.
Bei dieser Ausführungsform
wendet die Verschlüsselungseinheit 355 einen
DES3-Verschlüsselungsalgorithmus
an.
-
Der
Fachmann erkennt, dass der Abbildungsschlüssel, beim Fehlen von Kenndaten,
keine Information herausgibt, die den Bildwert betrifft.
-
Der
von der Verschlüsselungseinheit 355 ausgegebene
Abbildungsschlüssel
wird gemeinsam mit den durch den Prozessdatengenerator 59 erzeugten
Prozessdaten und der durch den Kennzahlengenerator 353 erzeugten
Kennzahl in den Kenndatengenerator 63 eingegeben. Der Kenndatengenerator 63 kombiniert
die Prozessdaten, die Kennzahl und den Abbildungsschlüssel, um
Kenndaten zu erzeugen, die an den Digitale-Signatur-Generator 65 ausgegeben
werden, der auf dieselbe Weise wie bei der ersten Ausführungsform
eine digitale Signatur erzeugt. Der Abbildungsschlüssel wird
auch gemeinsam mit den Prozessdaten, den persönlichen Daten und der digitalen
Signatur in einen Strichcodegenerator 357 eingegeben. Dieser
Strichcodegenerator 357 erzeugt Bilddaten für einen
Strichcode, der die Prozessdaten, die Kennzahl, die verschlüsselten
Daten und die digitale Signatur transportiert, und er gibt die Strichcodedaten
an den Bildprozessor 69 aus.
-
Wie
es in der 22 dargestellt ist, führt die
Strichcodedaten-Rückgewinnungseinrichtung 161 während der
Verifizierung eine Rückgewinnung
für die
Prozessdaten 163, die persönlichen Daten 165,
den Abbildungsschlüssel 361 und
die digitale Signatur 363 aus. Wie bei der ersten Ausführungsform werden
die Prozessdaten 163 vom Zahlengenerator 171 dazu
verwendet, einen Bildwert rückzugewinnen,
der gemeinsam mit dem Abbildungsschlüssel 361 in eine Entschlüsselungseinheit 365 eingegeben
wird. Die Entschlüsselungseinheit 365 wendet
denselben Verschlüsselungsalgorithmus
an, wie er während
der Registrierung verwendet wurde (d. h., bei dieser Ausführungsform,
den DES3-Verschlüsselungsalgorithmus),
wobei der Bildwert als Verschlüsselungsschlüssel verwendet
wird, um den Abbildungsschlüssel
zu entschlüsseln,
mit dem Ergebnis, dass durch die Entschlüsselungsoperation eine Testkennzahl
erzeugt wird.
-
Die
Testkennzahl wird, gemeinsam mit den Prozessdaten 163,
dem Abbildungsschlüssel
und den persönlichen
Daten 165, in einen Kenndatengenerator 173 eingegeben,
der die Testkenndaten erzeugt. Die Testkenndaten werden gemeinsam
mit der digitalen Signatur 363 in eine Kennkarte-Verifiziereinrichtung 175 eingegeben.
Die Kennkarte-Verifiziereinrichtung 175 erzeugt durch Anwenden
eines Secure-Hashing-Algorithmus auf die Testkennzahl einen Test-Einweg-Hashwert, und sie
erzeugt durch Entschlüsseln
der digitalen Signatur unter Verwendung des öffentlichen Schlüssels der
Ausgabeorganisation einen Referenz-Einweg-Hashwert. Dann wird auf
Gleichheit des Test-Einweg-Hashwerts und des Referenz-Einweg-Hashwerts
getestet, um die Identität
der Entschlüsselungseinheit
auf dieselbe Weise zu verifizieren, wie dies bei der ersten Ausführungsform
beschrieben wurde.
-
MODIFIZIERUNGEN
UND WEITERE AUSFÜHRUNGSFORMEN
-
Bei
der dritten Ausführungsform
werden der Test- und der Referenz-Einweg-Hashwert dadurch erzeugt, dass ein Hashing-Algorithmus
auf Kenndaten angewandt wird, die den Bildwert nicht enthalten,
weswegen der während
der Registrierung erhaltene Bildwert nicht mit dem während der
Verifizierung zum Verifizieren der Authentizität des Objekts erhaltenen Bildwert
verglichen wird. Dies ist möglich,
da, abweichend von bisherigen Identifikationssystemen, damit während der
Verifizierung ein sicheres Ergebnis auftritt, der während der Verifizierung
erhaltene Bildwert demjenigen, der während der Registrierung erhalten
wird, gleich sein muss, nicht nur ähnlich sein muss. Dies erlaubt
einen größeren Freiheitsgrad
bei der Art, gemäß der die
Verifizierung ausgeführt
wird.
-
Nun
wird unter Bezugnahme auf die 23 eine
alternative Kennkarte-Verifiziereinrichtung für die erste und dritte Ausführungsform
beschrieben. In der 23 sind Komponenten, die identisch
mit entsprechenden Komponenten in der 16, mit
denselben Bezugszahlen gekennzeichnet, und sie werden nicht erneut detailliert
beschrieben.
-
Wie
es in der 23 dargestellt ist, beinhaltet
die alternative Kennkarte-Verifiziereinrichtung 371 einen Zufallszahlengenerator 373,
der dieselbe Zufallszahl an die erste und die zweite Verschlüsselungseinheit 375a und 375b ausgibt,
die beide denselben Verschlüsselungsalgorithmus
anwenden (bei dieser Ausführungsform den
Verschlüsselungsalgorithmus
gemäß DES3).
Die erste Verschlüsselungseinheit 375a verschlüsselt die vom
Zufallszahlengenerator 373 ausgegebene Zufallszahl unter
Verwendung des von der Secure-Hashing-Einheit 221 ausgegebenen
Test-Einwert-Hashwerts als Verschlüsselungsschlüssel. Die
zweite Verschlüsselungseinheit 375b verschlüsselt die
vom Zufallszahlengenerator 373 ausgegebene Zufallszahl
unter Verwendung des von der Entschlüsselungseinheit 223 ausgegebenen
Referenz-Einweg-Hashwerts als Verschlüsselungsschlüssel. Dann
wird unter Verwendung des Komparators 227 auf Gleichheit
der Ausgangssignale der ersten und der zweiten Verschlüsselungseinheit 375 geprüft.
-
Bei
einer alternativen Ausführungsform
wird die vom Zufallszahlengenerator 373 ausgegebene Zufallszahl
als Erstes unter Verwendung des von der Secure-Hashing-Einheit 221 ausgegebenen
Test-Einweg-Hashwerts als Verschlüsselungsschlüssel verschlüsselt, und
dann erfolgt eine Entschlüsselung
unter Verwendung des durch die Entschlüsselungseinheit 223 ausgegebenen
Referenz-Einweg-Hashwerts
als Verschlüsselungsschlüssel. Dann
wird unter Verwendung eines Komparators auf Gleichheit der entschlüsselten Daten
und der ursprünglichen
Zufallszahl verglichen.
-
Obwohl
bei der dritten Ausführungsform
der Abbildungsschlüssel
und die Prozessdaten in die Kenndaten eingeschlossen werden, ist
dies nicht wesentlich. Es ist jedoch bevorzugt, um die Prozessdaten
und den Abbildungsschlüssel "fälschungssicher" zu machen, d. h.
um die Erkennung irgendeines Fälschungsversuchs an
den Prozessdaten und dem Abbildungsschlüssel zu ermöglichen. Bei einer alternativen
Ausführungsform wird
dies dadurch bewerkstelligt, dass die Prozessdaten und der Abbildungsschlüssel kombiniert
werden und die kombinierten Daten unter Verwendung des privaten
Schlüssels
der Ausgabeorganisation verschlüsselt werden.
Auf diese Weise können
die Prozessdaten und der Abbildungsschlüssel während der Verifizierung unter
Verwendung des öffentlichen
Schlüssels
der Ausgabeorganisation abgerufen werden, jedoch ist es beinahe unmöglich, die
Prozessdaten und die Abbildungsdaten, wie sie während der Registrierung erzeugt
werden, ohne Kenntnis des privaten Schlüssels der Ausgabeorganisation
zu fälschen.
-
Bei
den oben beschriebenen Ausführungsformen
erlauben die Authentifizierungsdaten eine Verifizierung persönlicher
Einzelheiten, wie des Namens und der Adresse, einer Einzelperson.
Es ist ersichtlich, dass bei einigen Anwendungen nur die Berechtigung
der Einzelperson, eine Handlung auszuführen, wie in einen eingeschränkten Bereich
einzutreten, getestet werden muss, weswegen eine Speicherung persönlicher
Daten innerhalb der Authentifizierungsdaten nicht wesentlich ist.
-
Bei
einer alternativen Ausführungsform
bestehen die in der Kennkarte gespeicherten persönlichen Daten aus einer Bezugsnummer
für eine
entfernte Datenbank, die persönliche
Einzelheiten für
die Einzelperson speichert, die der Kennkarte zugeordnet ist. Beispielsweise
kann die Bezugsnummer eine nationale Versicherungsnummer oder eine
Sozialversicherungsnummer sein, die es ermöglicht, Einzelheiten zur Einzelperson aus
einer Datenbank abzurufen. Auf diese Weise ist die Menge persönlicher
Daten verringert, die in der Kennkarte zu speichern sind.
-
Die 2 veranschaulicht
schematisch ein Authentifizierungsschema, das eine weitere Ausführungsform
der Erfindung bildet. Wie dargestellt, wird, beim Registrierprozess,
ein Bild der Iris eines Auges einer zu registrierenden Einzelperson
durch einen Scanner eingescannt (Schritt E1), und die sich ergebenden
Bilddaten werden verarbeitet, um eine Biometriezahl zu erzeugen
(Schritt E3). Bei dieser Ausführungsform
ist die Wiederholbarkeit betreffend die erzeugte Biometriezahl unter
Verwendung der Techniken zum Erzeugen wiederholbarer Zahlen, wie
sie in der internationalen Patentanmeldung WO 02/098053 beschrieben
sind, verbessert. Es wird eine Kennzahl erzeugt (Schritt E5), die
völlig
wahlfrei ist und in keiner Weise von der zu registrierenden Person
abhängt.
Bei dieser Ausführungsform
wird die Kennzahl unter Verwendung eines Zufallszahlengenerators
erzeugt. Dann wird Transformationsinformation erzeugt (Schritt E7),
die anzeigt, wie die Biometriezahl in die Kennzahl zu transformieren
ist, und diese Transformationsinformation wird ge meinsam mit der Kennzahl
der zu registrierenden Person als Authentifizierungsinformation
zur Verwendung bei einem folgenden Verifizierprozess abgespeichert.
-
Beim
Verifizierprozess wird das Bild der Iris eingescannt (Schritt V1),
und es wird eine Biometriezahl erzeugt (Schritt V3), was auf dieselbe
Weise wie während
des Registrierprozesses erfolgt. Dann werden die Biometriedaten
unter Verwendung der gespeicherten Transformationsdaten transformiert
(Schritt V5), um eine Kennzahl zu erzeugen. Diese erzeugte Kennzahl
wird dann mit einer vorbestimmten Kennzahl verglichen (Schritt V7),
und es erfolgt eine Entscheidung dahingehend, ob die Person, deren
Iris abgescannt wurde, dieselbe wie diejenige Person ist oder nicht,
deren Iris während
der Registrierung abgescannt wurde (Schritt V5). Insbesondere wird
bei dieser Ausführungsform,
wenn die erzeugte Kennzahl und die vorab gespeicherte Kennzahl identisch
sind, bestätigt,
dass die Person dieselbe wie die während der Registrierung ist.
Wenn jedoch die erzeugte Kennzahl und die vorab gespeicherte Kennzahl
nicht gleich sind, zeigt dies, dass die Person von der registrierten
Person verschieden ist.
-
Bei
der zweiten Ausführungsform
werden die Authentifizierungsdaten in einer entfernten Datenbank gespeichert.
Bei einer alternativen Ausführungsform
werden die gespeicherten Authentifizierungsdaten dazu verwendet,
die Identität
einer Partei in einer Videokonferenz zu authentifizieren. Insbesondere
liefert die Partei zu Beginn der Videokonferenz Identifikationsinformation,
die es ermöglicht,
Authentifizierungsinformation zur Partei aus der entfernten Datenbank
abzurufen. Das Video- und/oder Audiosignal für die Videokonferenz wird dann
analysiert, um biometrische Daten herzuleiten, die für die Partei
repräsentativ
sind. Die biometrischen Daten werden unter Verwendung von Prozessdaten
verarbeitet, wie sie in den Authentifizierungsdaten enthalten sind,
um eine Biometriezahl zu erzeugen, und dann wird diese unter Verwendung
der Authentifizierungsdaten mit einer Referenz-Biometriezahl verglichen,
um die Identität
der Partei zu authentifizieren.
-
Wie
es bei der ersten und der dritten Ausführungsform beschrieben ist,
ist es durch Erzeugen von Authentifizierungsdaten unter Verwendung
eines Bildwerts möglich,
die Erkennung irgendeines Fälschungsversuchs
am Bild 3 auf der Kennkarte 1 zu ermöglichen.
Vorzugsweise werden die Prozessdaten auch bei der Erzeugung der
Authentifizierungsdaten verwendet, da es dadurch möglich ist, jeglichen
Fälschungsversuch
an den in der Kennkarte 1 gespeicherten Prozessdaten zu
erkennen. Vorzugsweise werden die persönlichen Daten auch bei der
Erzeugung der Authentifizierungsdaten verwendet, da es dadurch möglich ist,
eine Fälschung an
den persönlichen
Einzelheiten auf der Kennkarte 1 zu erkennen.
-
Obwohl
bei den beschriebenen Ausführungsformen
ein biometrischer Wert mit Prozessdaten und persönlichen Daten verkettet wird,
um die Identifikation zu erzeugen, sind andere Kombinationsformen
(beispielsweise Addition) möglich.
Ferner müssen
nur ausgewählte
Teile des biometrischen Werts, der Prozessdaten und der persönlichen
Daten verwendet werden.
-
Bei
der ersten bis dritten Ausführungsform
wird ein aus den Identifikationsdaten hergeleiteter Einweg-Hashwert
unter Verwendung des RSA-Algorithmus verschlüsselt. Es ist zu beachten,
dass andere Verschlüsselungsalgorithmen
verwendet werden können,
jedoch ist es bevorzugt, den privaten Schlüssel eines asymmetrischen Verschlüsselungsalgorithmus
zu verwenden, da dadurch die Sicherheit des Authentifizierungssystems
dadurch verbessert wird, dass es möglich ist, den Einweg-Hashwert
unter Verwendung eines öffentlichen
Schlüssels
wiederzugewinnen, während
eine Fälschung
am Inhalt des Einweg-Hashwerts verhindert ist.
-
Es
ist nicht wesentlich, den Hashing-Algorithmus vor der Verschlüsselung
auf die Identifikationsdaten anzuwenden. Jedoch ist es bevorzugt,
dies auszuführen,
wenn zur Kennung Daten gehören,
deren Geheimhaltung zu schützen
ist. Beispielsweise ist die Verwendung des Hashing-Algorithmus bevorzugt,
wenn die Kenndaten die gesamte Biometriezahl oder Bildzahl, oder
einen Teil derselben, anzeigen.
-
Bei
der ersten Ausführungsform
werden biometrische Daten für
einen Benutzer der Kennkarte, in Form eines Bilds, auf der Kennkarte 1 gespeichert.
Dann kann ein Bediener des Kartenlesers 141 das auf dem Bild
dargestellte Gesicht mit dem Gesicht des Benutzers vergleichen.
Jedoch können
auch andere Arten biometrischer Daten verwendet werden. Beispielsweise
könnten
ein Fingerabdruck, eine gescannte Iris oder eine gescannte Retina
verwendet werden.
-
Bei
einer alternativen Ausführungsform
vergleicht der Kartenleser automatisch das auf dem Bild dargestellte
Gesicht mit dem Gesicht des Benutzers. Insbe sondere beinhaltet der
Kartenleser eine Kamera, die ein Bild des Gesichts des Benutzers
aufzeichnet und die sich ergebenden Bilddaten mit Bilddaten für das Bild auf
der Kennkarte 1 vergleicht.
-
Für einige
Arten biometrischer Daten speichert die Kennkarte 1 nicht
dieselben, sondern vielmehr erhält
das Kartenherstellsystem und der Kartenleser die biometrischen Daten
direkt vom Benutzer der Kennkarte 1. Dies ist beispielsweise
dann der Fall, wenn ein Fingerabdruck, eine gescannte Iris oder
eine gescannte Retina verwendet wird.
-
Wenn
als biometrische Daten ein Fingerabdruck verwendet wird, wird der
Scanner 23 des Kartenherstellsystems gemäß der ersten
Ausführungsform
durch einen Fingerabdrucksensor ersetzt, und der Bildscanner 143 des
Kartenlesers 141 der ersten Ausführungsform wird durch einen
Fingerabdrucksensor ersetzt. In ähnlicher
Weise werden, wenn als biometrische Daten eine gescannte Iris verwendet
wird, der Scanner 23 des Kartenherstellsystems und der
Bildscanner 143 des Kartenlesers 141 durch Irisscanner
ersetzt, und wenn als biometrische Daten eine gescannte Retina verwendet
wird, werden der Scanner 23 des Kartenherstellsystems und
der Bildscanner 143 des Kartenlesers 141 durch
Retinascanner ersetzt.
-
Die
internationalen Patentanmeldungen PCT/GB02/00626 und PCT/GB02/02512,
deren Inhalte hier unter Bezugnahme eingeschlossen werden, beschreiben,
wie ein biometrischer Wert erhalten werden kann, der für einen
Fingerabdruck sowie eine Iris oder eine Retina repräsentativ
ist.
-
Bei
der ersten Ausführungsform
wird der Rahmen 5 um das Bild des Benutzers herum dazu
verwendet, durch den Kartenleser ein Referenz-Koordinatensystem
zu erstellen. Alternativ könnten
andere Merkmale auf der Karte dazu verwendet werden, das Referenz-Koordinatensystem
zu erstellen. Wenn auf der Kennkarte keine zweckdienlichen Merkmale
vorhanden sind, könnte
die Kontur der Kennkarte dazu verwendet werden, ein Referenz-Koordinatensystem
zu bilden. Bei einer Ausführungsform
werden innerhalb des Strichcodes Ausrichtungsdaten gespeichert,
die den Ort des Bilds in Bezug auf einen Bezugspunkt auf der Karte
kennzeichnen, um die Verarbeitung zu erleichtern.
-
Die
Erfindung findet auch bei der Identifikation anderer Lebewesen als
von Menschen Anwendbarkeit. Beispielsweise könnte die Erfindung für Kleintierpäs se verwendet
werden. Ferner könnte
die Erfindung auch bei unbelebten Gegenständen, wie Schmucksteinen, angewandt
werden, die über
ein eindeutiges, charakterisierendes, physikalisches Merkmal verfügen, das
gemessen werden kann, um physische Daten zu bestimmen, und diese
physischen Daten werden verarbeitet, um einen physikalischen Wert
zu bestimmen, der für den
unbelebten Gegenstand repräsentativ
ist, wie auch Prozessdaten, was auf dieselbe Weise wie für die biometrischen
Daten bei den Ausführungsformen
erfolgt.
-
Bei
den dargestellten Ausführungsformen
wird die Wiederholbarkeit eines biometrischen Werts durch systematische
Adaption auf eine Weise verbessert, bei der Eigenschaften des Bilds
entsprechend Prozessdaten gemessen werden, die durch einen Trainingsprozess
erzeugt werden. Die Art, gemäß der die
Verarbeitung der Bilddaten ausgeführt wird, um zu einem Bildwert
zu gelangen, ist grundsätzlich
von herkömmlichen
Messsystemen verschieden.
-
Herkömmlicherweise
ist die Art, gemäß der eine
Messung ausgeführt
wird, durch das Erfordernis beschränkt, dass die sich ergebende
Zahl einem Messstandard genügt.
Beispielsweise wird ein Abstand herkömmlicherweise so gemessen,
dass er dem internationalen System von Messeinheiten (dem SI-System)
genügt,
damit der Abstandswert mit anderen Abstandswerten verglichen werden
kann. Das herkömmliche
Messsystem konzentriert sich darauf, die Genauigkeit der Messung
innerhalb der Einschränkungen
durch den Messstandard zu maximieren.
-
Beim
in den veranschaulichten Ausführungsformen
beschriebenen Identifikationssystem wurde erkannt, dass dann, wenn
ein biometrischer Wert erzeugt wird, die Genauigkeit desselben im
Vergleich zu einem Messstandard unwesentlich ist, dagegen die Wiederholbarkeit
desselben wesentlich ist. Daher wurden die herkömmlichen Einschränkungen
in Zusammenhang mit dem Erhalten genauer Messwerte verworfen, und
es wurden stattdessen Techniken zum Verbessern der Wiederholbarkeit
des biometrischen Werts entwickelt.
-
Insbesondere
wird, bei der dargestellten Ausführungsform,
während
des Kartenherstellprozesses, eine Anzahl von Messungen an den biometrischen
Daten (dem Foto 21) ausgeführt, und dann wird die Empfindlichkeit
des biometrischen Werts (des Bildwerts) auf Variationen der Messwerte
analysiert. Dann ermittelt das Kartenherstellsystem Prozessanweisungen
(den Doppeldeutigkeitsauflösungsvektor),
der die Messwerte modifiziert, um die Empfindlichkeit des biometrischen
Werts auf Änderungen
der Messwerte zu verringern.
-
Wie
es bei der ersten Ausführungsform
beschrieben ist, kann ein stabiler Satz von Merkmalen dadurch erhalten
werden, dass eine beliebige (in demjenigen Sinn, dass keine Beziehung
zu den analogen Daten besteht) Unterteilung der analogen Daten in
getrennte Teile angewandt wird (beispielsweise wird bei einem zweidimensionalen
Array von Bilddaten ein Gitter angewandt). Anstatt dass eine beliebige
Segregation der analogen Daten ausgeführt wird, könnten die Daten entsprechend
dem Informationsinhalt derselben segregiert werden, um Merkmale
zu erzeugen. Beispielsweise könnten
die Größen der
Gitterzellen über
das zweidimensionale Datenarray hinweg abhängig von der Art variiert werden,
gemäß der die
Daten über
es hinweg variieren. Alternativ könnten die Merkmale von sich
aus einen Teil des Informationsinhalts der biometrischen Daten bilden
(beispielsweise Minutiae innerhalb eines Fingerabdrucks).
-
Bei
der ersten Ausführungsform
wendet der Merkmalsschablonegenerator das Gitter an, und er schließt Gitterzellen
vor der Normierung der Gitterzellengrauwerte aus. Alternativ könnten die
Grauwerte normiert werden, bevor das Gitter unter Verwendung von
Graupegelwerten für
das gesamte Bild angewandt wird.
-
Bei
der ersten Ausführungsform
wird der Attributwert durch Ausführen
eines Abschneidens eines Messwerts auf einen ganzzahligen Wert bestimmt.
Dies bedeutet, dass die Doppeldeutigkeit des Attributwerts dann
am größten ist,
wenn der Messwert nahe an einem ganzzahligen Wert liegt, da dann
die Wahrscheinlichkeit, dass der Messwert bei einer folgenden Messung
kleiner als der ganzzahlige Wert ist, ungefähr der Wahrscheinlichkeit entspricht,
dass der Messwert größer als
der Messwert ist. Daher wird bei der ersten Ausführungsform der Messwert so
versetzt, dass er ungefähr
in der Mitte zwischen zwei ganzzahligen Pegeln liegt. Bei einer
alternativen Ausführungsform
wird der Attributwert dadurch bestimmt, dass ein Messwert auf den nächstliegenden
ganzzahligen Wert gerundet wird. In diesem Fall tritt die größte Doppeldeutigkeit
für Messwerte
ungefähr
in der Mitte zwischen zwei benachbarten ganzzahligen Werten auf,
weswegen ein Versatzvektor zum Verschieben des Messwerts zu einem
ganzzahligen Wert hin erzeugt wird. Im Allgemeinen kann der Bereich
von Messwerten, die einem Attributwert entsprechen, wahlfrei eingestellt
werden.
-
Bei
der ersten Ausführungsform
wird, um den Wert der im Doppeldeutigkeitsauflösungsvektor gespeicherten Daten
abzusenken, ein Kleinversatzvektor verwendet, der einen Versatzvektor
in Form einer Zahl auf der Basis drei speichert, um den Messwert
so zu verschieben, dass er im Bereich von 0,33 Einheiten liegt.
Es ist zu beachten, dass eine Zahl auf der Basis zwei dazu verwendet
werden könnte,
den Messwert so zu verschieben, dass er in einem Bereich von 0,5
Einheiten liegt, und eine Zahl auf der Basis vier dazu verwendet werden
könnte,
den Messwert so zu verschieben, dass er in einem Bereich von 0,25
Einheiten liegt, usw. Je höher
die für
den Versatzwert verwendete Basis ist, um so größer ist die Wiederholbarkeit
des biometrischen Werts. Jedoch ist die im Versatzvektor zu speichernde
Datenmenge um so größer, je
höher die
für den
Versatzwert verwendete Basis ist.
-
Bei
einer Ausführungsform
kann das Kartenherstellsystem die für den Versatzvektor für verschiedene Basiszahlen
benötigte
Datenmenge berechnen und dann die höchste Basiszahl, die abspeicherbar
ist, auswählen.
In diesem Fall wird die für
den Versatzvektor verwendete Basiszahl vorzugsweise als Teil des
Doppeldeutigkeitsauflösungsvektors
abgespeichert.
-
Bei
der ersten Ausführungsform
sind jedem zum Bestimmen der Zahl (jedes Datenwerts) verwendeten Attributwert
drei Fehlerkorrekturwerte zugeordnet. Jedoch sind die höher signifikanten
Bits des Datenwerts stabiler als die niedriger signifikanten Bits,
und daher kann die Verwendung der Fehlerkorrekturdaten effizienter
gemacht werden. Bei einer alternative Ausführungsform werden getrennte
Fehlerkorrekturdaten für
jedes Bit eines Datenwerts verwendet, wobei die Menge der Fehlerkorrekturbits
pro Datenbit vom höchstsignifikanten
Bit zum geringstsignifikanten Datenbit zunimmt.
-
Eine
Alternative zur Verwendung des beschriebenen Fehlerkorrekturvektors
besteht im Erzeugen mehrerer Chargen analoger Daten zum Erzeugen
mehrerer stabilisierter Merkmalsschablonen, mit anschließender Verwendung
eines Abstimmschemas zum Erkennen der am häufigsten auftretenden Attributwerte über die
mehreren stabilisierten Merkmalsschablonen hinweg.
-
Beim
beschriebenen Kartenherstellsystem wählt ein Bediener aus, welche
Teile eines Bilds zum Erzeugen des Bildwerts zu verwenden sind.
Alternativ würden
herkömmliche
Bildverarbeitungsoperationen ausgeführt werden, um Makrozellen
zu erkennen, die charakteristische Gesichtsmerkmale enthalten.
-
Es
ist zu beachten, dass die Gittergrößen für die Makrozellen und die Gitterzellen
variiert werden können.
Vorzugsweise enthält
eine Makrozelle eine ge naue Anzahl von Gitterzellen, da dies die
ausgeführte
Verarbeitung vereinfacht. Jedoch ist dies nicht wesentlich, da beispielsweise
die Gitteranwendeeinrichtung alle Gitterzellen ausschließen könnte, die
nicht vollständig
in eine einzelne Makrozelle fallen.
-
Wie
bei der ersten Ausführungsform
beschrieben, ist ein wiederholbarer biometrischer Wert unter Verwendung
eines Doppeldeutigkeitsauflösungsvektors
und eines Fehlerkorrekturvektors erzielbar. Bei anderen Ausführungsformen
wird nur der Fehlerkorrekturvektor verwendet.
-
Ein
alternatives Beispiel eines Systems zum Erhalten einer wiederholbaren
Zahl aus einem Bild einer Iris unter Verwendung einer Fehlerkorrekturcodierung
ist im Artikel "On
the relation of error correction and cryptography to an offline
biometric based identification scheme", WCC99, Workshop on Coding and Cryptography, Januar
1999, Paris, Frankreich beschrieben. Gemäß diesem Artikel wird ein biometrischer
Wert erzeugt, und dann wird ein herkömmlicher Fehlererkennungs-
und -korrekturalgorithmus dazu verwendet, Fehlerkorrekturdaten zu
erzeugen. Diese Fehlerkorrekturdaten werden dann zum Gebrauch bei
anschließenden
Messungen des biometrischen Werts abgespeichert.
-
Bei
der ersten Ausführungsform
zeigt die Kennkarte 1 aufgeschriebene persönliche Einzelheiten 7, und
sie verfügt
auch über
die im Strichcode 9 abgespeicherten persönlichen
Einzelheiten. Es ist zu beachten, dass die aufgeschriebenen persönlichen
Einzelheiten nicht wesentlich sind, wenn der Kartenleser 1 die
persönlichen
Einzelheiten anzeigt.
-
Bei
der ersten bis dritten Ausführungsform
ist eine Identifikationseinrichtung in Form einer Kennkarte hergestellt.
Es ist zu beachten, dass auf dieselbe Weise ein Pass, ein Führerschein,
eine Bibliothekskarte oder eine Kreditkarte hergestellt werden könnten, die
die Merkmale der veranschaulichten Kennkarte enthalten.
-
Bei
einer Ausführungsform
werden Authentifizierungsdaten für
eine vorhandene Kennkarte erzeugt. Die Authentifizierungsdaten können zu
einer vorhandenen Kennkarte hinzugefügt oder angefügt werden,
auf einem gesonderten Träger
abgespeichert werden, oder gemeinsam mit Authentifizierungsdaten
in Zuordnung zu anderen Kennkarten in einer zentralen Datenbank
abgespeichert werden.
-
Es
ist auch möglich,
dass einer Identifikationseinrichtung mehrere Ausgabeorganisationen
zugeordnet sind, wobei jede Ausgabeorganisation jeweils verschiedene
Authentifizierungsdaten erzeugt und auf der Kennkarte, oder einem
separaten Dokument, speichert. Beispielsweise könnten Visastempel für einen
Pass eine digitale Signatur enthalten, die unter Verwendung des
Bilds im Pass hergeleitet wurde. Auf diese Weise trägt, wenn
eine Visumsausgabeorganisation mit der Echtheit des Passes einverstanden
ist, der Visumsstempel dazu bei, jeglichen Fälschungsversuch am Pass nach
der Ausgabe des Visums zu erkennen.
-
Bei
der ersten und dritten Ausführungsform
werden die persönlichen
Daten, die Prozessdaten und die digitale Signatur in einem Strichcode
auf einer Karte gespeichert. Jedoch könnten andere Trägerformen
verwendet werden. Beispielsweise könnte die Identifikationseinrichtung
in Form einer Smart Card oder eines Hochfrequenz-ID(RFID)-Etiketts
vorliegen, in welchem Fall die persönlichen Daten, die Prozessdaten
und die digitale Signatur in einem elektronischen Speicher gespeichert
werden könnten.
-
Beim
Kartenleser gemäß der ersten
Ausführungsform
wird ein zugehöriger
Strichcodeleser dazu verwendet, den Strichcode 9 auf der
Kennkarte 1 zu lesen. Bei einer alternativen Ausführungsform
scannt der Bildscanner die gesamte Kennkarte 1, und eine
Mustererkennungssoftware sucht die im Strichcode 9 gespeicherten
Daten heraus.
-
Die
Verarbeitung der biometrischen Daten kann entweder durch eine Hardwarevorrichtung,
auf einem Computer laufende Software oder durch Unterteilung zwischen
einer Hardwarevorrichtung und auf einem Computer laufende Software
ausgeführt
werden. Da viele Verarbeitungsoperationen für verschiedene Quellen analoger
Daten geeignet sind, ist die Erfindung zur Realisierung in Software
unter Verwendung einer objektorientierten Programmiersprache wie
Java oder C++ gut geeignet.
-
Wie
beschrieben, erstreckt sich die Erfindung nicht nur auf Computergeräte und in
solchen ausgeführte
Prozesse, sondern auch auf Computerprogramme, insbesondere Computerprogramme
auf oder in einem Träger,
die dazu ausgebildet sind, die Erfindung zu realisieren. Das Computerprogramm
kann in Form eines Quellcodes, eines Objektcodes, eines Codes zwischen
einem Quell- und einem Objektcode, wie in teilweise kompilierter
Form, oder in jeder beliebigen an deren Form vorliegen, die zur Verwendung
bei der Realisierung der Prozesse gemäß der Erfindung geeignet ist.
-
Der
Träger
kann eine Einheit oder eine Vorrichtung sein, die ein Programm transportieren
kann. Beispielsweise kann der Träger
aus einem Speichermedium wie einem ROM, beispielsweise einem CD-ROM oder
einem Halbleiter-ROM, bestehen, oder aus einem magnetischen Aufzeichnungsträger, beispielsweise
einer Diskette oder einer Festplatte. Ferner kann der Träger ein übertragbarer
Träger
wie ein elektrisches oder optisches Signal sein, das durch ein elektrisches
oder optisches Kabel oder durch Funk oder andere Maßnahmen
transportiert werden kann. Wenn das Programm in einem Signal verkörpert wird,
das direkt durch ein Kabel oder eine andere Vorrichtung oder Maßnahme transportierbar
ist, kann der Träger
aus einem derartigen Kabel oder einer anderen Vorrichtung oder Maßnahme bestehen.
Alternativ kann der Träger
ein integrierter Schaltkreis sein, in den das Programm eingebettet
ist, wobei er dazu ausgebildet ist, die relevanten Prozesse auszuführen, oder
er bei der Ausführung
derselben verwendbar ist.