Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
AUTHORIZING SYSTEM, COMPARING DEVICE, AND METHOD FOR AUTHORIZING A SUBJECT
Document Type and Number:
WIPO Patent Application WO/2011/072717
Kind Code:
A1
Abstract:
The invention relates to the authorization of users. The described authorizing system enables protecting access to confidential data by means of a biometric key. The authorizing system comprises: - at least one key database with a plurality of data sets, each of which comprises at least one key identifying character string and at least one set of verifying biofragment data; - an interrogating unit for receiving at least one authorization request with respect to a subject; said interrogating unit is designed to receive at least one key identifying character string and to read out at least one corresponding data set comprising the set of verifying biofragment data from the at least one key database; - a generating unit for generating several sets of pseudo-biofragment data; - a transmitting unit for transmitting the sets of pseudo-biofragment data and verifying biofragment data to a comparing device, said comparing device comparing the verifying biofragment data and the pseudo-biofragment data to reference data in order to differentiate the pseudo-biofragment data from the verifying biofragment data; - a verifying device for receiving a verification code from the comparing device, said verifying device being designed to use the verification code to deduce whether the comparing device has identified the verifying biofragment data.

Inventors:
TRUGENBERGER, Carlo A. (Chemin Diodati 10, Cologny, CH-1223, CH)
GELDENHUYS, Albertus (Via Hermann Hesse 4, Montagnola, CH-6926, CH)
Application Number:
EP2009/067162
Publication Date:
June 23, 2011
Filing Date:
December 15, 2009
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
NOVELTY GROUP LIMITED (Oliaji Trade Centre, Victoria, Mahé, SC)
TRUGENBERGER, Carlo A. (Chemin Diodati 10, Cologny, CH-1223, CH)
GELDENHUYS, Albertus (Via Hermann Hesse 4, Montagnola, CH-6926, CH)
International Classes:
G07C9/00; G06F21/32
Foreign References:
US20090300737A12009-12-03
US7254619B22007-08-07
US5805719A1998-09-08
Attorney, Agent or Firm:
POPP, Eugen (Widenmayerstraße 48, München, 80538, DE)
Download PDF:
Claims:
Autorisierungssystem, Abgleicheinrichtung und Verfahren zur Autorisierung eines Subjekts

Ansprüche

1. Autorisierungssystem, umfassend:

- mindestens eine Schlüsseldatenbank (10, 20) mit einer Vielzahl von

Datensätzen mit jeweils mindestens einer Schiüsselidentifikationszeichenkette (ID1, ID2) und mindestens einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2);

- eine Abfrageeinheit (101) zum Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Abfrageeinheit zum Empfangen

mindestens einer Schlüsselidentifikationszeichenkette (ID1, ID2) und Auslesen mindestens eines korrespondierenden Datensatzes mit dem Satz von

Verifikationsbiofragmentdaten (Imgl', Img2') aus der mindestens einen Schlüsseldatenbank (10, 20) ausgebildet ist;

- eine Generierungseinheit (103) zum Generieren von mehreren Sätzen von Pseudobiofragmentdaten (Imgl', Img2');

- eine Übermittlungseinheit (105) zum Übermitteln der Sätze von

Pseudobiofragmentdaten (Imgl', Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) an eine Abgieicheinrichtung, wobei die Abgleicheinrichtung die Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Imgl', Img2') mit Referenzdaten (Temp) vergleicht, um die Pseudobiofragmentdaten (Imgl', Img2') von den Verifikationsbiofragmentdaten (Imgl, Img2) zu unterscheiden; - eine Verifikationseinheit (110) zum Empfangen eines Verifikationscodes von der Abgleicheinrichtung, wobei die Verifikationseinheit dazu ausgebildet ist, anhand des Verifikationscodes abzuleiten, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten (Imgl, Img2) erkannt hat.

2. Autorisierungssystem nach Anspruch 1,

g eken nzei ch n et d u rch

eine Zuordnungseinheit zum Zuordnen jeweils eines Indexwerts (Ri - Rn) zu jeweils einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Imgl1, Img2'),

wobei die Übermittlungseinheit (105) zum Übermitteln der Sätze von

Pseudobiofragmentdaten (Imgl', Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) mit den jeweiligen Indexwerten (Ri - Rn) ausgebildet ist, wobei der Verifikationscode mindestens einen Indexwert (Ri - Rn) enthält und die Verifikationseinheit (110) dazu ausgebildet ist, anhand des Indexwerts (Ri - Rn) im Verifikationscode festzustellen, ob die Abgleicheinrichtung die Verifikations¬ biofragmentdaten (Imgl, Img2) erkannt hat.

3. Autorisierungssystem nach Anspruch 1 oder 2, insbesondere nach Anspruch 2, d a d u rch g eken nze ich n et, dass

die Zuordnungseinheit eine Zufal!sgeneratoreinheit zum Generieren von zufälligen Indexwerten (Ri - Rn) umfasst.

4. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 2 oder 3,

d a d u rch g eken nze i ch n et, dass

die Verifikationseinheit (110) dazu ausgebildet ist, ein mittels des Indexwerts (Ri - Rn) des Satzes von Verifikationsbiofragmentdaten (Imgl, Img2)

verschlüsseltes Datenpaket im Verifikationscode zu entschlüsseln.

5. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 4,

g e ken nze ich net d u rc h

eine Hauptdatenbank (30) mit mittels einer Serverschlüsselzeichenkette (KeyS) verschlüsselten Benutzerdaten (Data) des Subjekts,

wobei die Vielzahl der Datensätze in der mindestens einen Schlüsseldatenbank (10, 20) jeweils mindestens eine mittels Benutzerschlüsselzeichenkette (KeyB) verschlüsselte Serverschlüsselzeichenkette (KeyS) oder mindestens ein mittels Benutzerschlüsselzeichenkette (KeyB) verschlüsseltes Serverschlüsselzeichen- kettenfragment (KeySl, KeyS2) umfasst, wobei das Datenpaket im Verifikationscode die Benutzerschlüsselzeichenkette (KeyB) enthält und die Verifikationseinheit (110) zum Entschlüsseln der Serverschlüsselzeichenkette (KeyS) bzw. des mindestens einen Serverschlüsselzeichenkettenfragments (KeySl, KeyS2) ausgebildet ist, um die Benutzerdaten (Data) zu entschlüsseln.

6. Autorisierungssystem nach einem der vorhergehenden Ansprüche,

geke n nze i ch n et d u rch

mindestens eine erste Schlüssefdatenbank (10, 20) mit einer Vielzahl von ersten Datensätzen und eine zweite Schlüsseldatenbank (10, 20) mit einer Vielzahl von zweiten Datensätzen, wobei die Datensätze jeweils mindestens eine Schlüssel- identifikationszeichenkette (ID1, ID2) und einen Satz von Verifikationsbiofrag- mentdaten (Imgl, Img2) umfassen, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette (ID1, ID2) bezüglich der ersten und der zweiten Schlüsseldatenbank (10, 20) ausgebildet ist, um entsprechende Datensätze aus der ersten und der zweiten Schlüsseldatenbank (10, 20) miteinander in Verbindung zu setzen.

7. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 6,

d ad u rch g eke n nze ich net, dass

die Datensätze der ersten und der zweiten Schlüsseldatenbank (10, 20) jeweils mindestens ein Serverschlüsselzeichenkettenfragment (KeySl, KeyS2) umfassen, wobei die Verifikationseinheit (110) zur Rekonstruktion einer Serverschlüsselzeichenkette (KeyS) aus mindestens einem Serverschlüsselzeichenketten- fragment (KeySl, KeyS2) aus der ersten und zweiten Schlüsseldatenbank (10, 20) ausgebildet ist.

8. Autorisierungssystem nach einem der vorhergehenden Ansprüche,

d ad u rch g e ken nzei ch n et, dass

die Abfrageeinheit einen Speicher zum Speichern von mindestens einem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) umfasst und zur Rekonstruktion eines Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) und dem Satz von empfangenen Verifikationsbio- fragmentdaten (Imgl, Img2) ausgebildet ist.

Autorisierungssystem nach einem der vorhergehenden Ansprüche,

d a d u rc h g e ke n n z e i c h n e t, dass

die Abfrageeinheit einen Speicher mit Benutzerschlüsselzeichenkette (KeyB) umfasst.

Verfahren zur Autorisierung eines Subjekts, umfassend die Schritte:

- Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Autorisierungsanfrage mindestens eine Schlüsselidentifikationszeichenkette (ID1, ID2) umfasst;

- Abfragen von mindestens einem der mindestens einen Schlüssel- identifikationszeichenkette (ID1, ID2) zugeordneten Satz von

Verifikationsbiofragmentdaten (Imgl, Img2);

- Generieren von mehreren Sätzen von Pseudobiofragmentdaten (Imgl',

Img2');

- Übermitteln der Sätze von Pseudobiofragmentdaten (Imgl1, Img2') und

Verifikationsbiofragmentdaten (Imgl, Img2) an eine Abgleicheinrichtung;

- Empfangen eines Verifikationscodes von der Abgleicheinrichtung;

- Dekodieren des Verifikationscodes, um festzustellen, ob die Abgleicheinrichtung die Sätze von Pseudobiofragmentdaten (Imgl1, Img2') von dem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) unterscheiden kann;

- Autorisieren des Subjekts, wenn der Verifikationscode angibt, dass die

Abgleicheinrichtung den Satz von Verifikationsbiofragmentdaten (Imgl, Img2) erkannt hat.

Verfahren nach Anspruch 10,

g e ke n n ze i c h n e t d u rc h

ein Zuordnen jeweils eines Indexwerts (Ri - Rn) zu jeweils einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Img l', Img2'), wobei das Übermitteln der Sätze von Pseudobiofragmentdaten (Img l1, Img2') und Verifikationsbiofragmentdaten (Img l, Img2) ein Übermitteln der Sätze von Pseudobiofragmentdaten (Img l1, Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) mit den zugeordneten Indexwerten (Ri - Rn) umfasst,

wobei das Dekodieren des Verifikationscodes ein Entpacken eines mittels des Indexwerts (Ri - Rn) der Verifikationsbiofragmentdaten (Img l, Img2)

verschlüsselten Datenpakets umfasst.

12. Verfahren nach einem der Ansprüche 10 oder 11,

d a d u r c h g e k e n n z e i c h n e t, dass

- mindestens zwei Schlüsselidentifikationszeichenketten (ID1, ID2) empfangen,

- mindestens zwei Sätze von Verifikationsbiofragmentdaten (Img l, Img2) mit zugeordneten, mittels einer Benutzerschlüsselzeichenkette (KeyB)

verschl üsselten Serverschfüsselzeichenkettenfragmenten (KeySl, KeyS2) abgefragt und

- anhand des Datenpakets, das die Benutzerschlüsselzeichenkette (KeyB) enthält, entschlüsselt werden, um Benutzerdaten (Data) mittels der Server- schlüsselzeichenkettenfragmente (KeySl, KeyS2) zu entschlüsseln und einen Zugang zu den Benutzerdaten (Data) zu autorisieren .

13. Abgleicheinrichtung zur Autorisierung eines Subjekts gegenüber einem

Autorisierungssystem, insbesondere einem Autorisierungssystem nach einem der Ansprüche 1-9, umfassend:

- einen Speicher zum Speichern mindestens eines Satzes von lokalen

Verifikationsbiofragmentdaten (ImgO);

- eine Empfangsschnittstede zum Empfangen mehrerer Sätze von

Biofragmentdaten,

umfassend Sätze von Pseudobiofragmentdaten (Imgl1, Img2') und mindestens einen Satz von weiteren Verifikationsbiofragmentdaten (Img l, Img2); - eine Leseeinrichtung zur Erfassung mindestens eines biometrischen

Referenzdatensatzes des Subjekts;

- eine Recheneinheit zum Rekonstruieren einer Vielzahl von Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) des Speichers in Verbindung mit den empfangenen Sätzen von Biofragmentdaten und zum Vergleichen des Referenzdatensatzes mit der Vielzahl von Vergleichstemplates, um den mindestens einen Satz von weiteren Verifikationsbiofragmentdaten (Imgl, Img2) zu identifizieren;

- eine Sendeschnittstelle zum Übermitteln eines Verifikationscodes, der angibt, welcher Satz von empfangenen Biofragmentdaten der mindestens eine weitere Satz von Verifikationsbiofragmentdaten (Imgl, Img2) ist.

14. Abgleicheinrichtung nach Anspruch 13,

g eke n nze ich n et d u rch

einen Speicher zum Speichern mindestens einer Benutzerschlüsselzeichenkette (KeyB), wobei die Sendeschnittstelle zum Übermitteln der Benutzerschlüsselzeichenkette (KeyB) ausgebildet ist.

15. Abgleicheinrichtung nach Anspruch 13 oder 14,

d ad u rch g eken nzei ch n et, dass

die Empfangsschnittstelle die Sätze von Biofragmentdaten mit zugeordneten Indexwerten (Ri, Rt) empfängt und die Recheneinheit dazu ausgebildet ist, jedem Vergleichstemplate den zugehörigen Indexwert (Ri, Rt) zuzuordnen, die Benutzerschlüsselzeichenkette (KeyB) mittels des dem Satz von weiteren Verifikationsbiofragmentdaten (Imgl, Img2) zugeordneten Indexwerts (Ri, Rt) zu verschlüsseln und als zumindest einen Teil des Verifikationscodes zu übertragen.

16. Abgleicheinrichtung nach einem der Ansprüche 13 bis 15,

da d u rch geken nzeich n et, dass

die Abgleicheinrichtung dazu ausgebildet ist mehrere Sätze von weiteren

Verifikationsbiofragmentdaten (Imgl, Img2) zu empfangen und aus diesen die Vielzahl von Vergleichstemplates zu rekonstruieren. Abgleicheinrichtung nach einem der Ansprüche 13 bis 16, ge ken nze ich n et - d u rch

eine Kamera oder einen Scanner zur Erfassung mindestens eines biometrischen Referenzdatensatzes des Subjekts.

Description:
Autorisierungssystem, Abgieicheinrichtung und Verfahren zur Autorisierung

eines Subjekts

Beschreibung

Die Erfindung betrifft ein Autorisierungssystem zur Autorisierung einer Vielzahl von Subjekten, eine Abgleicheinrichtung und ein Verfahren zur Autorisierung eines

Subjekts.

Biometrische Erkennungsmethoden haben in den letzten Jahren einen enormen Aufschwung erlebt. Der technologische Fortschritt erlaubt in zunehmendem Maße die rasche Messung von biologischen Charakteristika und deren Auswertung mit vertretbarem Aufwand. Der Einsatz von Biometrie ist ein vielversprechender Ansatz, das Problem vieler Sicherheitskonzepte zu lösen. Hierbei stellt sich die Frage, wie man Identitäten und die dazu gehörigen Rechte mit dem richtigen physischen Subjekt (z.B. eine Person) in Verbindung bringen kann. In der globalisierten

Informationsgesellschaft ist die Lösung dieses Problems von zentraler Wichtigkeit. Beispielsweise können biometrische Daten (z.B. ein Fingerabdruck einer Person) auf deren Personalausweis gespeichert werden, um sicherzustellen, dass der Besitzer des Personalausweises auch der Inhaber dieses ist. Durch biometrische Messungen oder Scans können Fälschungen und widerrechtliche Aneignungen eines Personalausweises erkannt werden. Biometrische Charakteristika werden häufig unterschieden in aktiv/passiv, Verhaltens-, physiologisch-basiert oder dynamisch-statisch. Zu den langfristig stabilen verhaltensbasierten Charakteristika zählen die Stimme, die Handoder Unterschrift, das Tippverhalten und die Gangdynamik. Langfristig stabile physiologische Charakteristika sind beispielsweise der Fingerabdruck, die Iris oder die Handgeometrie. Als biometrische Charakteristika zur Autorisierung eines Subjekts werden unter anderem verwendet: Körpergröße, Iris, Retina, Fingerabdruck,

Gesichtsgeometrie, Handgefäßstruktur, Handgeometrie, Handlinienstruktur,

Nagelbettmuster, Stimme, Unterschrift, Tippverhalten, Lippenbewegung, Gangstil, Körpergeruch und DNA.

Ein biometrisches Erkennungssystem zur Autorisierung einer Person ist aus der WO 00/74001 AI bekannt. Hier werden biometrische Daten auf einer

Identifikationseinrichtung, beispielsweise einer ID-Karte oder einem Personalausweis, gespeichert. Um die Authentifizierung der Person vorzunehmen und somit deren Autorisierung festzustellen, legt diese ihre Identifikationseinrichtung vor. Die darauf gespeicherten biometrischen Daten werden von einer Abgleicheinrichtung erfasst und mit den entsprechenden biometrischen Charakteristika der Person verglichen.

Beispielsweise kann anhand eines Iris-Scans ein so genanntes Live-Template mit entsprechenden Referenzdaten erzeugt werden und mit gespeicherten biometrischen Daten so genannte Vergleichsdaten verglichen werden. Der Person wird nur dann eine bestimmte Autorisierung zugesprochen, wenn die geometrischen Charakteristika der Person mit den gespeicherten biometrischen Daten übereinstimmen. Ein Nachteil des in der WO 00/74001 AI beschriebenen Verfahrens besteht darin, dass der Speicher auf der Identifikationseinrichtung nicht abschließend gegen eine Fälschung

abgesichert ist. Theoretisch ist es möglich, die Daten derart zu verfälschen, dass sich ein Dritter mit diesen Daten authentifizieren kann.

Des Weiteren dürfen die biometrischen Daten aus datenschutzrechtlichen Gründen in verschiedenen Ländern weder vervielfältigt noch zwischengespeichert werden. Ein Grund hierfür besteht darin, dass sich aus unterschiedlichen biometrischen Daten Informationen über Personen ableiten lassen, die deren Privatsphäre unterliegen (beispielsweise Krankheiten). Auch aus sicherheitstechnischen Aspekten möchte man das Speichern vollständiger biometrischer Daten vermeiden, da diese ein

Sicherheitsrisiko darstellen. Theoretisch lassen sich zur Autorisierung notwendige biometrische Charakteristika rekonstruieren und fälschen, so dass Sicherheitssperren, z.B. mitteis eines falschen Fingerabdrucks, umgangen werden können.

Aus der WO 2005/064547 AI ist es bekannt, biometrische Vergleichsdaten zu verschlüsseln und über mehrere Einrichtungen, z.B. einen Server und eine

Identifikationseinrichtung in Form einer Chipkarte, aufzuteilen. Eine Authentifizierung erfolgt an einem Terminal, in das die zu authentifizierende Person ihre Chipkarte einfügt und das biometrische Vergleichsdaten der Person erfasst. Es ist möglich, dass ein gekapertes Authentifizierungsterminal biometrische Daten von Personen ausspäht.

Aus der EP 1 796 018 A2 ist es bekannt, biometrische Daten auf der

Identifikationseinrichtung zu verschlüsseln. Dennoch ergibt sich das oben genannte Sicherheitsrisiko. Die EP 0 884 670 AI beschäftigt sich zwar nicht mit biometrischen Daten, schlägt jedoch vor, personenbezogene Daten zu verschlüsseln und derart über ein Informationssystem zu verteilen, dass das Zuordnen einer Person zu einem bestimmten Datensatz nur dann möglich ist, wenn entsprechende

Sicherheitsinformationen vorliegen.

Aus der WO 2006/111205 AI ist ein Speichersystem bekannt, das sicherheitsrelevante Daten anhand einer biometrischen Autorisierung absichert. Weitere relevante

Informationen bezüglich biometrischer Authentifizierung sind aus der CN101330386, CN101321069, EP 1 258 840 AI, WO 03/00213 AI, WO 2008/152393 A2 und EP 1 901 194 A2 bekannt.

Ausgehend von diesem Stand der Technik, insbesondere von der WO 2005/064547 AI, ist es Aufgabe der vorliegenden Erfindung, ein sicheres und zuverlässiges

Autorisierungssystem bereitzustellen. Insbesondere soll ein Autorisierungssystem bereitgestellt werden, das einen sehr hohen Datenschutz gewährleistet und eine sichere Authentifizierung und Autorisierung eines Subjekts ermöglicht.

Des Weiteren soll eine Abgleicheinrichtung zur Autorisierung eines Subjekts sowie ein entsprechendes Verfahren angegeben werden.

Die Aufgabe wird durch ein Autorisierungssystem nach Anspruch 1, ein Verfahren nach Anspruch 10 und eine Abgleicheinrichtung nach Anspruch 13 gelöst.

Insbesondere wird die Aufgabe durch ein Autorisierungssystem gelöst, das umfasst:

- mindestens eine Schlüsseldatenbank mit einer Vielzahl von Datensätzen mit jeweils mindestens einer Schlüsselidentifikationszeichenkette

und mindestens einem Satz von Verifikationsbiofragmentdaten;

- eine Abfrageeinheit zum Empfangen einer Autorisierungsanfrage

bezüglich eines Subjekts, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette und Auslesen

mindestens eines korrespondierenden Datensatzes mit dem Satz von

Verifikationsbiofragmentdaten aus der mindestens einen Schlüsseldatenbank ausgebildet ist;

- eine Generierungseinheit zum Generieren mehrerer Sätze von

Pseudobiofragmentdaten;

- eine Übermittlungseinheit zum Übermitteln der Sätze von

Pseudobiofragmentdaten und Verifikationsbiofragmentdaten an eine

Abgleicheinrichtung, wobei die Abgleicheinrichtung die

Verifikationsbiofragmentdaten und Pseudobiofragmentdaten mit Referenzdaten vergleicht, um die Pseudobiofragmentdaten von den

Verifikationsbiofragmentdaten zu unterscheiden;

- eine Verifikationseinheit zum Empfangen eines Verifikationscodes von

der Abgleicheinrichtung, wobei die Verifikationseinheit dazu ausgebildet ist, anhand des Verifikationscodes abzuleiten, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten erkannt hat.

Ein wesentlicher Punkt der vorliegenden Erfindung besteht darin, dass das

Autorisierungssystem zu keinem Zeitpunkt die vollständigen Referenzdaten eines Subjekts erfassen muss oder kann. Die Referenzdaten können beispielsweise Daten sein, die durch das digitale Abnehmen eines Fingerabdrucks entstanden sind. Diese Referenzdaten können durch eine Abgleicheinrichtung erfasst werden, die

möglicherweise dem Subjekt gehört. Dennoch ist es quasi unmöglich, die

Sicherheitsmechanismen des Autorisierungssystems zu umgehen, um Zugang zu sicherheitsrelevanten Daten, einem Gebäude, etc. zu erlangen. Die Abfrageeinheit empfängt also beispielsweise von der Abgleicheinrichtung eine Anfrage, dergemäß sich ein bestimmtes Subjekt für einen bestimmten Vorgang autorisieren möchte. Das Autorisierungssystem fragt in der Schlüsseldatenbank Verifikationsbiofragmentdaten ab, die anhand der Schlüsselidentifikationszeichenkette dem Subjekt zugeordnet werden können. Zur Anonymisierung der Verifikationsbiofragmentdaten werden weitere Pseudobiofragmentdaten erzeugt. Die Übermittlungseinheit übermittelt Sätze von Biofragmentdaten, umfassend die Sätze von Pseudobiofragmentdaten und

Verifikationsbiofragmentdaten, an die Abgieicheinrichtung. Diese rekonstruiert anhand der Sätze von Biofragmentdaten Vergleichstemplates und vergleicht diese mit erfassten Referenzdaten. Beispielsweise kann die Abgieicheinrichtung einen

Irisscanner umfassen. Anhand des Vergleichs ist es der Abgieicheinrichtung - wenn es sich um ein autorisiertes Subjekt handelt - möglich, Pseudobiofragmentdaten von Verifikationsbiofragmentdaten zu unterscheiden. Dementsprechend wird eine Antwort für das Autorisierungssystem generiert, wobei die Verifikationseinheit anhand der Antwort, nämlich dem empfangenen Verifikationscode, feststellen kann, ob die Abgleicheinrichtung, die Verifikationsbiofragmentdaten erkannt hat.

In einem Ausführungsbeispiel umfasst das Autorisierungssystem eine

Zuordnungseinheit zum Zuordnen jeweils eines Indexwertes zu den

Verifikationsbiofragmentdaten und der Vielzahl von Pseudobiofragmentdaten, wobei die Übermittlungseinheit zum Übermitteln der Vielzahl von Pseudobiofragmentdaten und der Biofragmentdaten mit dem jeweiligen zugeordneten Indexwert ausgebildet ist, wobei der Verifikationscode mindestens einen Indexwert enthält und die

Verifikationseinheit dazu ausgebildet ist, anhand des Indexwerts im Verifikationscode festzustellen, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten erkannt hat. Der Indexwert wird also verwendet, um die einzelnen Biofragmentdaten zu kennzeichnen und das Ergebnis der Vergleiche, die durch die Abgleicheinrichtungen durchgeführt werden, zu erfassen. Der empfangene Verifikationscode kann den Indexwert unmittelbar enthalten. Erfindungsgemäß ist es auch möglich, einen

Verifikationscode zu übermitteln, der es der Verifikationseinheit ermöglicht, den spezifischen Indexwert zu ermitteln.

Die Zuordnungseinheit kann eine Zufallsgeneratoreinheit zum Generieren von zufälligen Indexwerten umfassen. Die Verifikationseinheit kann dazu ausgebildet sein, ein mittels des Indexwerts der Verifikationsbiofragmentdaten verschlüsseltes

Datenpaket im Verifikationscode zu entschlüsseln. Der vorzugsweise zufällig generierte Indexwert, der im Verifikationscode enthalten ist, kann also dazu verwendet werden, von der Abgleicheinrichtung an das Autorisierungssystem kommunizierte Datenpakete zu verschlüsseln. Somit ist es auch nicht notwendig, dass der Verifikationscode den Indexwert explizit enthält. Vielmehr kann die

Verifikationseinheit bei der Entschlüsselung feststellen, ob der richtige Indexwert, nämlich der Indexwert der dem Satz von Verifikationsbiofragmentdaten zugeordnet ist, verwendet wurde. Durch das zufällige Erzeugen der Indexwerte wird die

Kommunikation zwischen den einzelnen Komponenten also erfolgreich abgesichert. In einem Ausführungsbeispiel kann das Autorisierungssystem eine Hauptdatenbank mit mittels einer Serverschlüsselzeichenkette verschlüsselte Benutzerdaten des Subjekts umfassen, wobei die Vielzahl der Datensätze in der mindestens einen Schlüsseldatenbank jeweils mindestens eine mittels der Benutzerschlüsselzeichenkette verschlüsselte Serverschlüsselzeichenkette oder mindestens ein mittels

Benutzerschlüsselzeichenkette verschlüsseltes Serverschlüsselzeichenkettenfragment umfasst, wobei das Datenpaket im Verifikationscode die

Benutzerschlüsselzeichenkette enthält und die Verifikationseinheit zum Entschlüsseln der Serverschlüsselzeichenkette bzw. des mindestens einen

Serverschiüsselzeichenkettenfragments ausgebildet ist, um die Benutzerdaten zu entschlüsseln. Die Abgleicheinrichtung übermittelt also in verschlüsselter Form die Benutzerschlüsselzeichenkette, die wiederum dazu verwendet werden kann, in der oder den Schlüsseldatenbanken enthaltene Serverschlüsselzeichenkettenfragmente zu entschlüsseln. Die Serverschlüsselzeichenkettenfragmente dienen dann dazu, die Benutzerdaten in der Hauptdatenbank zu entschlüsseln. Somit kann nur ein

autorisierter Benutzer Zugriff zu diesen Benutzerdaten erhalten. Auch wenn das gesamte Autorisierungssystem unter fremde Kontrolle gerät, können die

Benutzerdaten nicht ausgelesen werden. Hierfür wäre es vielmehr notwendig, die Benutzerschlüsselzeichenkette zu erhalten, die aber vorzugsweise nicht im

Autorisierungssystem gespeichert ist. Vielmehr kann die

Benutzerschlüsselzeichenkette auf einer tragbaren Identifikationseinrichtung oder der Abgleicheinrichtung hinterlegt werden.

Das Autorisierungssystem kann mindestens eine erste Schlüsseldatenbank mit einer Vielzahl von ersten Datensätzen und eine zweite Schlüsseldatenbank mit einer Vielzahl von zweiten Datensätzen umfassen, wobei die Datensätze jeweils mindestens eine Schlüsselidentifikationszeichenkette und einen Satz von

Verifikationsbiofragmentdaten umfassen, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette bezüglich der ersten und der zweiten Schlüsseldatenbank ausgebildet ist, um entsprechende Datensätze aus der ersten und der zweiten Schlüsseldatenbank miteinander in Verbindung zu setzen. Vorzugsweise sind Verifikationsbiofragmentdaten aus der ersten Schlüsseldatenbank und aus der zweiten Schlüsseldatenbank notwendig, um einen erfolgreichen Vergleich mit den Referenzdaten vorzunehmen. Die vorliegende Anmeldung schlägt vor, diese Verifikationsbiofragmentdaten ohne jegliche Korrelation auf mindestens zwei

Schlüsseldatenbanken zu verteilen. Die Korrelation zwischen den einzelnen

notwendigen Datensätzen kann nur mittels der Abgleicheinrichtung erfolgen. Somit ist es nicht möglich, die einzelnen Verifikationsbiofragmentdaten, die sich auf ein bestimmtes Subjekt beziehen, auszuwerten, ohne dass entsprechende Informationen von der Abgieicheinrichtung vorliegen.

Die Datensätze der ersten und zweiten Schlüsseldatenbank können jeweils mindestens ein Schlüsselzeichenkettenfragment umfassen, wobei die Verifikationseinheit zur Rekonstruktion einer Serverschlüsselzeichenkette aus mindestens einem

Serverschlüsselzeichenkettenfragment aus der ersten und der zweiten

Schlüsseldatenbank ausgebildet ist. Die vorliegende Anmeldung sieht also nicht nur vor, die Serverschlüsselzeichenkette oder die Serverschlüsselzeichenkettenfragmente zu verschlüsseln, sondern teilt die Serverschlüsselzeichenkette auch in mindestens zwei Abschnitte auf, so dass zusätzliche Informationen notwendig sind, um die Serverschlüsselzeichenkette für die Benutzerdaten zu rekonstruieren.

Die Abfrageeinheit kann einen Speicher mit lokalen Verifikationsbiofragmentdaten oder Sätzen von lokalen Biofragmentdaten umfassen und zur Rekonstruktion eines Vergleichstemplates aus den lokalen Verifikationsbiofragmentdaten und den

Verifikationsbiofragmentdaten der Schlüsseldatenbanken ausgebildet sein.

Vorzugsweise lässt sich also kein vollständiges Vergleichstemplate aus den

Verifikationsbiofragmentdaten in den Schlüsseldatenbanken erzeugen. Somit können diese Daten nicht sinnvoll verwendet werden.

Die oben genannte Aufgabe wird ebenfalls durch ein Verfahren zur Autorisierung eines Subjekts gelöst, wobei das Verfahren die folgenden Schritte umfasst:

- Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Autorisierungsanfrage mindestens eine Schlüsselidentifikationszeichenkette umfasst;

- Abfragen eines der mindestens einen Schlüsselidentifikationszeichenkette zugeordneten Satzes von Verifikationsbiofragmentdaten;

- Generieren von Sätzen von Pseudobiofragmentdaten;

- Übermitteln der Sätze von Pseudobiofragmentdaten und

Verifikationsbiofragmentdaten an eine Abgleicheinrichtung; - Empfangen eines Verifikationscodes von der Abgleicheinrichtung;

- Dekodieren des Verifikationscodes, um festzustellen, ob die

Abgleicheinrichtung die Pseudobiofragmentdaten von den

Verifikationsbiofragmentdaten unterscheiden kann;

- Autorisieren des Subjekts, wenn der Verifikationscode angibt, dass die

Abgleicheinrichtung die Verifikationsbiofragmentdaten bzw. den Satz von Verifikationsbiofragmentdaten erkannt hat.

Für das Verfahren ergeben sich ähnliche Vorteiie, wie diese bereits im Zusammenhang mit dem Autorisierungssystem beschrieben wurden.

Des Weiteren wird die genannte Aufgabe durch eine Abgleicheinrichtung zur

Autorisierung eines Subjekts gegenüber einem Autorisierungssystem, insbesondere einem Autorisierungssystem wie das vorab beschriebene, gelöst, wobei die

Abgleicheinrichtung umfasst:

- einen Speicher zum Speichern mindestens eines Satzes von lokalen

Verifikationsbiofragmentdaten;

- eine Empfangsschnittstelle zum Empfangen von mehreren Sätzen von

Biofragmentdaten, umfassend Sätze von Pseudobiofragmentdaten und weiteren Verifikationsbiofragmentdaten;

- eine Leseeinrichtung zur Erfassung mindestens eines biometrischen

Referenzdatensatzes des Subjekts;

- eine Recheneinheit zum Rekonstruieren einer Vielzahl von Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten des Speichers in Verbindung mit den Sätzen von empfangenen Biofragmentdaten und zum Vergleichen des Referenzdatensatzes mit der Vielzahl von

Vergleichstemplates, um den mindestens einen Satz von weiteren

Verifikationsbiofragmentdaten zu identifizieren; - eine Sendeschnittstelle zum Übermittein eines Verifikationscodes, der angibt, welcher der Sätze von empfangenen Biofragmentdaten der mindestens eine Satz von weiteren Verifikationsbiofragmentdaten ist.

Die Abgleicheinrichtung kann jede Art von mobile Recheneinheit sein, die dazu geeignet ist, von einem Subjekt transportiert zu werden. Vorzugsweise handelt es sich hierbei um ein Mobiltelefon, Die Abgleicheinrichtung hat einen Speicher zum

Speichern von zumindest einem Satz von lokalen Verifikationsbiofragmentdaten, der bei einem Autorisierungsprozess mit einer Vielzahl von empfangenen Biofragmenten oder Sätzen von Biofragmentdaten verknüpft wird, um so genannte

Vergleichstemplates zu generieren. Diese Vergleichstemplates werden mit einem Referenzdatensatz verglichen, der vorzugsweise durch die Abgleicheinrichtung gewonnen wird. Somit ist es der Abgleicheinrichtung möglich, Pseudobiofragmente von Verifikationsbiofragmenten zu unterscheiden und eine entsprechende Ausgabe für das Autorisierungssystem bereitzustellen. Dadurch, dass die Abgleicheinrichtung eine eigene Leseeinrichtung zur Erfassung mindestens eines biometrischen

Referenzdatensatzes besitzt, kann der Benutzer der Einrichtung sicher sein, dass seine vollständigen Referenzdaten nicht in falsche Hände geraten. Vorzugsweise ist die Abgleicheinrichtung so konfiguriert, dass die Referenzdaten unmittelbar nach einem Autorisierungsversuch vernichtet werden. Die Privatsphäre des Benutzers kann somit gewahrt werden.

Die Abgleicheinrichtung kann einen Speicher zum Speichern mindestens einer

Benutzerschlüsselzeichenkette umfassen, wobei die Sendeschnittstelle zum

Übermitteln der Benutzerschlüsselzeichenkette ausgebildet ist. Diese

Benutzerschlüsselzeichenkette kann dafür verwendet werden, relevante Daten, die sich auf das Subjekt beziehen, zu entschlüsseln. Weitere vorteilhafte Ausgestaltungen der erfindungsgemäßen Abgleicheinrichtung, des Autorisierungssystems sowie des beschriebenen Verfahrens ergeben sich anhand der Unteransprüche.

Nachfolgend wird die Erfindung mittels mehrerer Ausführungsbeispiele beschrieben, die anhand von Abbildungen näher erläutert werden. Hierbei zeigen :

Fig. 1 ein Autorisierungssystem, das in kommunikativer Verbindung mit einem

Authentifizierungsterminal steht;

Fig. 2 eine Abgleicheinrichtung in Form eines Mobiltelefons; Fig. 3 ein aus Verifikationsbiofragmenten gewonnenes Vergleichstemplate beim Vergleich mit einem Live-Template;

Fig. 4 ein teilweise aus Pseudobiofragmentdaten erzeugtes

Vergleichstemplate beim Vergleich mit einem Live-Template;

Fig. 5 eine Datenkommunikation zwischen dem Mobiitelefon aus Fig. 2 und dem Autorisierungssystem aus Fig. 1.

In der nachfolgenden Beschreibung werden für gleiche und gleich wirkende Teile dieselben Bezugsziffern verwendet.

Fig. 1 zeigt das erfindungsgemäße Autorisierungssystem, das ein Authentifizierungs- Gateway 100 hat. An dieses Authentifizierungs-Gateway 100 sind insgesamt drei Datenbanken, nämlich eine erste Schlüsseldatenbank 10, eine zweite

Schlüsseldatenbank 20 und eine Hauptdatenbank 30 angeschlossen. Die einzelnen Datenbanken 10, 20, 30 umfassen jeweils Tabellen, in denen in mehreren

Datensätzen Informationen von Personen hinterlegt sind. Im beschriebenen

Ausführungsbeispiel enthält die Hauptdatenbank 30 verschlüsselte Benutzerdaten Data, die jeweils über eine Benutzer-Identifikationsnummer M identifiziert werden können. Das Autorisierungssystem dient dazu, den Zugriff auf diese Benutzerdaten Data gegen einen ungewollten Zugriff von Dritten abzusichern. In der

Hauptdatenbank 30 sind also die Benutzerdaten Data so verschlüsselt, dass sich diese lediglich unter der Anwendung eines Serverschlüssels KeyS entschlüssein lassen. Die vorliegende Anmeldung wählt für die entsprechend verschlüsselten Benutzerdaten Data die Bezeichnung„KeyS'(Data)".

Bei der Verschlüsslung wird also:

Data KeyS " > KeyS' (Data)

KeyS "1 wird hier so gewählt, dass die Benutzerdaten Data folgendermaßen

entschlüsselt werden können:

KeyS' (Data) Ke S > Data

Der Serverschlüssel KeyS, der zum Entschlüsseln der Daten notwendig ist, wurde erfindungsgemäß in zwei Serverschlüsselfragmente KeySl und KeyS2 aufgeteilt. Um die Benutzerdaten Data zu entschlüsseln, sind beide Serverschlüsselfragmente KeySl, KeyS2 notwendig. Beispielsweise können die Serversehl üsselfragmente nach folgendem Schema miteinander verkettet werden: KeySl + KeyS2 = KeyS.

Die beiden Serverschlüsselfragmente KeySl, KeyS2 für einen bestimmten Datensatz der Hauptdatenbank 30 werden jeweils getrennt voneinander ohne jegliche

Korrelation in der ersten und zweiten Schlüsseldatenbank 10, 20 gespeichert. In Verbindung mit den Serverschlüsselfragmenten KeySl, keyS2, werden in den

Schlüsseldatenbanken 10, 20 jeweils eine Schlüsseldatenbankidentifikationsnummer ID1, ID2 und Sätze von Verifikationsbiofragmentdaten Imgl, Img2 gespeichert. Die erste Schlüsseldatenbank 10 enthält also mehrere Datensätze mit einer ersten Schlüsselidentifikationsnummer ID1, ersten Verifikationsbiofragmentdaten Imgl und mittels eines Benutzerschlüssels KeyB verschlüsselte erste Serverschlüsselfragmente KeyB' (KeySl). Ebenso enthält die zweite Schlüsseldatenbank 20 eine Vielzahl von Datensätzen mit zweiten Schlüsselidentifikationsnummern ID2, zweiten

Verifikationsbiofragmentdaten Img2 und zweite mittels des Benutzerschlüssels KeyB verschlüsselte Serverschlüsselfragmente KeyB' (KeyS2). Die erste Schlüsseldatenbank 10, die zweite Schlüsseldatenbank 20 und die Hauptdatenbank 30 enthalten jeweils mindestens einen Datensatz, der sich auf dieselbe Person bezieht. Die Zuordnung der einzelnen Datensätze zu einer bestimmten Person ist jedoch anhand der hinterlegten Daten nicht möglich. Das Authentifizierungs-Gateway 100 kann mit einem

Authentifizierungsterminal 200 in kommunikativer Verbindung stehen, um einer bestimmten Person den Zugang zu ihren Benutzerdaten Data zu ermöglichen.

Alternativ können entsprechende Autorisierungsanfragen unmittelbar von einem Mobiltelefon 300 abgesandt werden, das mit dem Authentifizierungs-Gateway 100 in kommunikativer Verbindung steht. Eine Kommunikation kann drahtgebunden oder drahtlos stattfinden. Hierbei können sämtliche bekannte Kommunikationsstandards verwendet werden, da das vorgeschlagene Autorisierungsverfahren eine inhärente Absicherung der genutzten Kommunikationswege umfasst. Das Mobiltelefon 300 wird anmeldungsgemäß als Abgleicheinrichtung gesehen und kann in Verbindung mit dem Authentifizierungs-Gateway 100 sämtliche Schritte vornehmen, die notwendig sind, um einer Person, die vorzugsweise Inhaber des Mobiltelefons 300 ist, den Zugriff auf dessen Benutzerdaten Data in der Hauptdatenbank 30 zu ermöglichen. Das

Mobiltelefon 300 umfasst eine Recheneinheit 303, eine Kommunikationseinheit 304 zur Kommunikation mit dem Authentifizierungs-Gateway 100 und einen Speicher 301. Auf diesem Speicher 301 sind für den Benutzer des Mobiltelefons 300 die erste Schlüsseldatenbankidentifikationsnummer ID1, die zweite

Schlüsseldatenbankidentifikationsnummer ID2, die Benutzeridentifikationsnummer M, lokale Verifikationsbiofragmentdaten ImgO sowie der Benutzerschlüssel KeyB hinterlegt.

Möchte der Benutzer des Mobiltelefons 300 nun auf seine Benutzerdaten Data in der Hauptdatenbank 30 zugreifen, so führt er ein entsprechendes Programm auf dem Mobiltelefon 300 aus. Das Mobiltelefon 300 übermittelt eine Autorisierungsanfrage an das Authentifizierungs-Gateway 100, die die erste

Schlüsseldatenbankidentifikationsnummer ID1 und die zweite

Schlüsseldatenbankidentifikationsnummer ID2 enthält. Das Authentifizierungs- Gateway 100 empfängt diese Autorisierungsanfrage mittels einer Abfrageeinheit 101 (vgl. Fig. 5) und liest anhand der Schlüsseldatenbankidentifikationsnummern ID1, ID2, die zugeordneten Sätze von Verifikationsbiofragmentdaten Imgl, Img2 aus. Eine Generierungseinheit 103 im Authentifizierungs-Gateway 100 generiert dann eine Vielzahl von Sätzen von Pseudobiofragmentdaten Imgl, Img2. Im vorliegenden Ausführungsbeispiel werden n-1 Paare von Pseudobiofragmentdaten erzeugt und jeweils mit einem Indexwert i bis R t- i, R t+ i bis R n versehen. Den

Verifikationsbiofragmentdaten Imgl, Img2 aus den Schlüsseldatenbanken 10, 20 wird der Indexwert R t zugeordnet. Eine Übermittlungseinheit 105 übermittelt die n Paare von Biofragmentdaten (Pseudobiofragmentdaten und Verifikationsbiofragmentdaten) zusammen mit den zugeordneten Indexwerten R bis R n an das Mobiltelefon 300. Die Zuordnung der Biofragmentdaten oder Biofragmentdatensätze zu den Indexwerten Ri bis R n erfolgt zufällig. Das Mobiltelefon 300 rekonstruiert anhand der übermittelten Daten eine Vielzahl von Vergleichstempiates, wobei jedem der Vergleichstemplates einer der Indexwerte i bis R n zugeordnet werden kann. In den Fig . 3 und 4 sind entsprechende Vergleichstemplates beispielhaft dargestellt. So setzt sich, wie in Fig. 4gezeigt, das Vergleichstemplate mit dem Indexwert Ri aus den empfangenen Sätzen von Pseudobiofragmentdaten Imgl', Img2' und dem lokalen Satz von

Verifikationsbiofragmentdaten ImgO von dem Speicher 301 zusammen. Demgemäß setzt sich das Vergfeichstemplate bezüglich des Indexwerts R t aus den übermittelten Verifikationsbiofragmentdaten Imgl, Img2 und den lokalen

Verifikationsbiofragmentdaten ImgO zusammen. Die Vergleichstemplates können beispielsweise Abbildungen eines Fingerabdrucks des Benutzers des Mobiltelefons 300 sein. Es sollte für den hier tätigen Fachmann offensichtlich sein, dass die einzelnen Biofragmentdaten nicht in der Art wie in den Fig. 3 und 4 gezeigt, zu einem

Vergleichstemplate zusammengeführt werden müssen. Vorzugsweise sind die

Informationen der entstehenden Vergleichstemplates derart in den Biofragmentdaten kodiert, dass einzelne Biofragmentdaten keine relevanten Informationen bezüglich des Benutzers bereitstellen. Beispielsweise können die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 und die entsprechend korrespondiert ausgebildeten

Pseudobiofragmentdaten Imgl', Img2' Rastergrafiken mit 100 x 100 Bildpunkten sein. Ein Vergleichstemplate lässt sich beispielsweise durch die XOR-Verknüpfung der lokalen Verifikationsbiofragmentdaten ImgO mit den empfangenen

Verifikationsbiofragmentdaten Imgl, Img2 generieren. Somit sind die einzelnen Daten ohne die entsprechend korrespondierenden Daten nutzlos. Nach der Rekonstruktion der n Vergleichstemplates fordert das Mobiltelefon 300 den Benutzer auf, einen Zeigefinger auf eine hierfür am Mobiltelefon 300 vorgesehene Leseeinrichtung zu legen. Das Mobiltelefon 300 liest die entsprechenden biometrischen Daten ein und erzeugt einen Referenzdatensatz in Form eines Live-Templates Temp. Das Live- Template Temp wird mit jedem der Vergleichstemplates verglichen. Dem Mobiltelefon ist es möglich, zwischen Vergleichstemplates, die aus Pseudobiofragmentdaten Imgl', Img2' erzeugt wurden, und echten Vergleichstemplates, die aus den übertragenen Verifikationsbiofragmentdaten Imgl, Img2 erzeugt wurden, zu unterscheiden. Das Mobiltelefon 300 stellt also fest, dass das Vergleichstemplate, das dem Indexwert R t zugeordnet ist, das„echte' * Vergleichstemplate ist.

Das Mobiltelefon 300 verwendet den Indexwert R t , um den Benutzerschlüssel KeyB zu verschlüsseln. Das Mobiltelefon 300 übermittelt den verschlüsselten Benutzerschlüssel KeyB an eine Verifikationseinheit 110 des Authentifizierungs-Gateways 100. Die Verifikationseinheit 110 hat sich den Indexwert R t als den Indexwert, der den

Verifikationsbiofragmentdaten Imgl, Img2 zugeordnet wurde, gemerkt und kann daher den Benutzerschlüssel KeyB entschlüsseln. Somit ist es der Verifikationseinheit 110 allein anhand des verschlüsselten Benutzerschlüssels KeyB möglich festzustellen, ob das Mobiltelefon 300 die Verifikationsbiofragmente Imgl, Img2 erkannt hat. Eine erfolgreiche Autorisierung ist nur dann möglich, wenn der Benutzerschlüssel KeyB korrekt entschlüsselt werden kann. Zusätzlich kann der Indexwert R t als Bestätigung im Verifikationscode enthalten sein.

Die Verifikationseinheit 110 entpackt den Benutzerschfüssel KeyB und liest die Werte KeyB' (KeySl), KeyB' (KeyS2) aus den Schlüsseldatenbanken 20 aus und entschlüsselt mittels des Benutzerschlüssels KeyB die Serverschlüsselfragmente KeySl, KeyS2. Anhand der Serverschlüsselfragmente KeySl, KeyS2 wird der Serverschlüssel KeyS rekonstruiert. Auf Anfrage oder als Teil des Verifikationscodes empfängt die

Verifikationseinheit 110 die Benutzeridentifikationsnummer M und kann aus der Hauptdatenbank 30 die verschlüsselten Benutzerdaten KeyS' (Data) auslesen und entschlüsseln. Somit erhält das Authentifizierungs-Gateway 100 Zugriff auf die Benutzerdaten Data. Diese können nun an das Mobiltelefon 300 weitergegeben werden.

Vorab wurde ein Ausführungsbeispiel beschrieben, bei dem das erfindungsgemäße Autorisierungssystem dazu verwendet wurde, um den Zugriff auf bestimmte Daten, nämlich die Benutzerdaten Data abzusichern. Es sollte für den hier tätigen Fachmann einfach nachvollziehbar sein, dass der beschriebene Mechanismus auch dazu verwendet werden kann, einem bestimmten Benutzer Zugang zu einem Gebäude oder zu einer Maschine zu ermöglichen. Des Weiteren kann der beschriebene Mechanismus dazu verwendet werden, um den Benutzer zu authentifizieren. Das beschriebene Mobiltelefon 300 kann also als eine Art Identifikationseinrichtung dienen.

Vorab wurde ein Ausführungsbeispiel beschrieben, bei dem der Benutzerschlüssel KeyB im Speicher 301 des Mobilteiefons gespeichert ist. Es ist denkbar, als

Benutzerschlüssel das„echte" Vergleichstemplate oder einen Datensatz, der aus diesen durch eine vorgegebenen Abbildung (z.B. eine Haschfunktion) erzeugt wurde, zu verwenden.

In dem vorab beschriebenen Ausführungsbeispiel kommuniziert das Mobiltelefon 300 unmittelbar mit dem Authentifizierungs-Gateway 100. Es ist jedoch auch möglich, dass das Mobiltelefon 300 mit einem Authentifizierungsterminal 200 kommuniziert. Des Weiteren kann das Authentifizierungsterminal 200 weitere Funktionen

übernehmen. Beispielsweise kann es als eine Art Abgleicheinrichtung fungieren, wobei die Daten, die in dem vorab beschriebenen Ausführungsbeispiel auf dem Mobiltelefon 300 gespeichert waren, über eine Chipkarte eingelesen werden. Somit kann das Authentifizierungsterminal 200 für mehrere Personen als Leseeinrichtung zur

Erfassung der Referenzdaten dienen. Es ist denkbar, dass das

Authentifizierungsterminal 200 einen Teil der von dem Mobiltelefon 300

durchgeführten Schritte oder alle Schritte übernimmt. Erfindungsgemäß kann eine Identifizierungseinrichtung mit einem integrierten Schaltkreis ausgestattet werden, so dass zumindest ein Teil der oben genannten Schritte auf der

Identifikationseinrichtung des Benutzers und nicht auf dem allgemein zugänglichen Authentifizierungsterminal 200 durchgeführt werden.

In dem vorab beschriebenen Ausführungsbeispiel sind die zur Rekonstruktion eines Vergleichstemplates notwendigen Biofragmentdaten ImgO, Imgl, Img2 über drei Speicher, nämlich Schlüsseldatenbanken 10, 20 und den Speicher 301, verteilt. Es ist denkbar, an dieser Stelle lediglich eine Aufteilung in zwei Teile vorzunehmen.

Natürlich ist es auch ohne Weiteres möglich, eine wesentlich größere Anzahl von Verifikationsbiofragmenten ImgO, Imgl, Img2 zu erzeugen und über weitere

Datenbanken und Speicher zu verteilen. An dieser Stelle sei auch angemerkt, dass lediglich zur Verdeutlichung der Erfindung eine Unterscheidung in verschiedene Datenbanken vorgenommen wurde. Theoretisch ist es möglich, sämtliche für die Erfindung relevanten Tabellen, nämlich die Tabellen aus den Schlüsseldatenbanken 10, 20 und der Hauptdatenbank 30 auf einem Datenbanksystem zu hinterlegen.

Natürlich ist eine geografische Verteilung der einzelnen Daten zu bevorzugen, da der Zugriff auf die einzelnen Datensätze hierdurch erschwert wird.

Theoretisch ist es auch möglich, die Referenzdaten in mehrere

Verifikationsbiofragmentdatensätze aufzuteilen, wobei jeweils lediglich eine

Untermenge dieser Verifikationsbiofragmentdatensätze notwendig ist, um die

Referenzdaten zu rekonstruieren. Somit wäre es möglich, eine gewisse Redundanz zu schaffen, die eine erfolgreiche Autorisierung auch dann ermöglicht, wenn lediglich eine Teilmenge der Schlüsseldatenbanken 10, 20 zur Verfügung stehen.

Des Weiteren ist es theoretisch auch möglich, die Benutzerdaten Data über mehrere Tabellen oder Datenbanken zu verteilen und mehrere Serverschlüsselfragmente KeySl, KeyS2 einzurichten, wobei jeweils eine Untermenge der

Serverschlüsselfragmente KeySl, KeyS2 notwendig ist, um einzelne Benutzerdaten Data von den mehreren Hauptdatenbanken 30 abzufragen.

Im beschriebenen Ausführungsbeispiel wurden charakteristische Daten für die

Verifikationsbiofragmentdaten ImgO, Imgl, Img2 aus einer Abbildung eines

Fingerabdrucks gewonnen. Es sollte für den Fachmann offensichtlich sein, dass sich das genannte Verfahren auf jede Art von biometrischen Charakteristika (z.B. Iris, Retina, Gesichtsgeometrie, Handgefäßstruktur, Handgeometrie, Handlinienstruktur) anwendbar ist. Hierbei ist es auch nicht zwingend notwendig ist bildgebende

Methoden anzuwenden, um die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 oder die Referenzdaten zu erzeugen. Vielmehr können die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 bzw. die diesen Datensätzen zugrundeliegenden Daten und die Referenzdaten beliebig ausgestaltete und gewonnene Datensätze sein, die geeignete biometrische Charakteristika zuverlässig zu beschreiben. Bezugszeichenliste

10 Schlüsseldatenbank

20 Schlüsseldatenbank

30 Hauptdatenbank

100 Authentifizierungs-Gateway

101 Abfrageeinheit

103 Generierungseinheit

105 Übermittlungseinheit

110 Verifikationseinheit

200 Authentifizierungsterminal

300 Mobiltelefon

301 Speicher

303 Recheneinheit

304 Kommunikationseinheit

ID1 Schlüsseldatenbankidentifkationsnummer

ID2 Schlüsseldatenbankidentifkationsnummer

M Benutzer-Identifikationsnummer

ImgO, Imgl, Img2 Verifikationsbiofragmentdaten

Imgl', Img2' Pseudobiofragmentdaten

KeyB Benutzerschlüssel

KeyS Serverschlüssel

KeySl, KeyS2 Serverschlüsselfragment

Data Benutzerdaten

Temp Live-Template

Ri bis R n indexwert