GELDENHUYS ALBERTUS (CH)
TRUGENBERGER CARLO A (CH)
GELDENHUYS ALBERTUS (CH)
US20090300737A1 | 2009-12-03 | |||
US7254619B2 | 2007-08-07 | |||
US5805719A | 1998-09-08 |
Autorisierungssystem, Abgleicheinrichtung und Verfahren zur Autorisierung eines Subjekts Ansprüche 1. Autorisierungssystem, umfassend: - mindestens eine Schlüsseldatenbank (10, 20) mit einer Vielzahl von Datensätzen mit jeweils mindestens einer Schiüsselidentifikationszeichenkette (ID1, ID2) und mindestens einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2); - eine Abfrageeinheit (101) zum Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette (ID1, ID2) und Auslesen mindestens eines korrespondierenden Datensatzes mit dem Satz von Verifikationsbiofragmentdaten (Imgl', Img2') aus der mindestens einen Schlüsseldatenbank (10, 20) ausgebildet ist; - eine Generierungseinheit (103) zum Generieren von mehreren Sätzen von Pseudobiofragmentdaten (Imgl', Img2'); - eine Übermittlungseinheit (105) zum Übermitteln der Sätze von Pseudobiofragmentdaten (Imgl', Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) an eine Abgieicheinrichtung, wobei die Abgleicheinrichtung die Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Imgl', Img2') mit Referenzdaten (Temp) vergleicht, um die Pseudobiofragmentdaten (Imgl', Img2') von den Verifikationsbiofragmentdaten (Imgl, Img2) zu unterscheiden; - eine Verifikationseinheit (110) zum Empfangen eines Verifikationscodes von der Abgleicheinrichtung, wobei die Verifikationseinheit dazu ausgebildet ist, anhand des Verifikationscodes abzuleiten, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten (Imgl, Img2) erkannt hat. 2. Autorisierungssystem nach Anspruch 1, g eken nzei ch n et d u rch eine Zuordnungseinheit zum Zuordnen jeweils eines Indexwerts (Ri - Rn) zu jeweils einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Imgl1, Img2'), wobei die Übermittlungseinheit (105) zum Übermitteln der Sätze von Pseudobiofragmentdaten (Imgl', Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) mit den jeweiligen Indexwerten (Ri - Rn) ausgebildet ist, wobei der Verifikationscode mindestens einen Indexwert (Ri - Rn) enthält und die Verifikationseinheit (110) dazu ausgebildet ist, anhand des Indexwerts (Ri - Rn) im Verifikationscode festzustellen, ob die Abgleicheinrichtung die Verifikations¬ biofragmentdaten (Imgl, Img2) erkannt hat. 3. Autorisierungssystem nach Anspruch 1 oder 2, insbesondere nach Anspruch 2, d a d u rch g eken nze ich n et, dass die Zuordnungseinheit eine Zufal!sgeneratoreinheit zum Generieren von zufälligen Indexwerten (Ri - Rn) umfasst. 4. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 2 oder 3, d a d u rch g eken nze i ch n et, dass die Verifikationseinheit (110) dazu ausgebildet ist, ein mittels des Indexwerts (Ri - Rn) des Satzes von Verifikationsbiofragmentdaten (Imgl, Img2) verschlüsseltes Datenpaket im Verifikationscode zu entschlüsseln. 5. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 4, g e ken nze ich net d u rc h eine Hauptdatenbank (30) mit mittels einer Serverschlüsselzeichenkette (KeyS) verschlüsselten Benutzerdaten (Data) des Subjekts, wobei die Vielzahl der Datensätze in der mindestens einen Schlüsseldatenbank (10, 20) jeweils mindestens eine mittels Benutzerschlüsselzeichenkette (KeyB) verschlüsselte Serverschlüsselzeichenkette (KeyS) oder mindestens ein mittels Benutzerschlüsselzeichenkette (KeyB) verschlüsseltes Serverschlüsselzeichen- kettenfragment (KeySl, KeyS2) umfasst, wobei das Datenpaket im Verifikationscode die Benutzerschlüsselzeichenkette (KeyB) enthält und die Verifikationseinheit (110) zum Entschlüsseln der Serverschlüsselzeichenkette (KeyS) bzw. des mindestens einen Serverschlüsselzeichenkettenfragments (KeySl, KeyS2) ausgebildet ist, um die Benutzerdaten (Data) zu entschlüsseln. 6. Autorisierungssystem nach einem der vorhergehenden Ansprüche, geke n nze i ch n et d u rch mindestens eine erste Schlüssefdatenbank (10, 20) mit einer Vielzahl von ersten Datensätzen und eine zweite Schlüsseldatenbank (10, 20) mit einer Vielzahl von zweiten Datensätzen, wobei die Datensätze jeweils mindestens eine Schlüssel- identifikationszeichenkette (ID1, ID2) und einen Satz von Verifikationsbiofrag- mentdaten (Imgl, Img2) umfassen, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette (ID1, ID2) bezüglich der ersten und der zweiten Schlüsseldatenbank (10, 20) ausgebildet ist, um entsprechende Datensätze aus der ersten und der zweiten Schlüsseldatenbank (10, 20) miteinander in Verbindung zu setzen. 7. Autorisierungssystem nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 6, d ad u rch g eke n nze ich net, dass die Datensätze der ersten und der zweiten Schlüsseldatenbank (10, 20) jeweils mindestens ein Serverschlüsselzeichenkettenfragment (KeySl, KeyS2) umfassen, wobei die Verifikationseinheit (110) zur Rekonstruktion einer Serverschlüsselzeichenkette (KeyS) aus mindestens einem Serverschlüsselzeichenketten- fragment (KeySl, KeyS2) aus der ersten und zweiten Schlüsseldatenbank (10, 20) ausgebildet ist. 8. Autorisierungssystem nach einem der vorhergehenden Ansprüche, d ad u rch g e ken nzei ch n et, dass die Abfrageeinheit einen Speicher zum Speichern von mindestens einem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) umfasst und zur Rekonstruktion eines Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) und dem Satz von empfangenen Verifikationsbio- fragmentdaten (Imgl, Img2) ausgebildet ist. Autorisierungssystem nach einem der vorhergehenden Ansprüche, d a d u rc h g e ke n n z e i c h n e t, dass die Abfrageeinheit einen Speicher mit Benutzerschlüsselzeichenkette (KeyB) umfasst. Verfahren zur Autorisierung eines Subjekts, umfassend die Schritte: - Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Autorisierungsanfrage mindestens eine Schlüsselidentifikationszeichenkette (ID1, ID2) umfasst; - Abfragen von mindestens einem der mindestens einen Schlüssel- identifikationszeichenkette (ID1, ID2) zugeordneten Satz von Verifikationsbiofragmentdaten (Imgl, Img2); - Generieren von mehreren Sätzen von Pseudobiofragmentdaten (Imgl', Img2'); - Übermitteln der Sätze von Pseudobiofragmentdaten (Imgl1, Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) an eine Abgleicheinrichtung; - Empfangen eines Verifikationscodes von der Abgleicheinrichtung; - Dekodieren des Verifikationscodes, um festzustellen, ob die Abgleicheinrichtung die Sätze von Pseudobiofragmentdaten (Imgl1, Img2') von dem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) unterscheiden kann; - Autorisieren des Subjekts, wenn der Verifikationscode angibt, dass die Abgleicheinrichtung den Satz von Verifikationsbiofragmentdaten (Imgl, Img2) erkannt hat. Verfahren nach Anspruch 10, g e ke n n ze i c h n e t d u rc h ein Zuordnen jeweils eines Indexwerts (Ri - Rn) zu jeweils einem Satz von Verifikationsbiofragmentdaten (Imgl, Img2) und Pseudobiofragmentdaten (Img l', Img2'), wobei das Übermitteln der Sätze von Pseudobiofragmentdaten (Img l1, Img2') und Verifikationsbiofragmentdaten (Img l, Img2) ein Übermitteln der Sätze von Pseudobiofragmentdaten (Img l1, Img2') und Verifikationsbiofragmentdaten (Imgl, Img2) mit den zugeordneten Indexwerten (Ri - Rn) umfasst, wobei das Dekodieren des Verifikationscodes ein Entpacken eines mittels des Indexwerts (Ri - Rn) der Verifikationsbiofragmentdaten (Img l, Img2) verschlüsselten Datenpakets umfasst. 12. Verfahren nach einem der Ansprüche 10 oder 11, d a d u r c h g e k e n n z e i c h n e t, dass - mindestens zwei Schlüsselidentifikationszeichenketten (ID1, ID2) empfangen, - mindestens zwei Sätze von Verifikationsbiofragmentdaten (Img l, Img2) mit zugeordneten, mittels einer Benutzerschlüsselzeichenkette (KeyB) verschl üsselten Serverschfüsselzeichenkettenfragmenten (KeySl, KeyS2) abgefragt und - anhand des Datenpakets, das die Benutzerschlüsselzeichenkette (KeyB) enthält, entschlüsselt werden, um Benutzerdaten (Data) mittels der Server- schlüsselzeichenkettenfragmente (KeySl, KeyS2) zu entschlüsseln und einen Zugang zu den Benutzerdaten (Data) zu autorisieren . 13. Abgleicheinrichtung zur Autorisierung eines Subjekts gegenüber einem Autorisierungssystem, insbesondere einem Autorisierungssystem nach einem der Ansprüche 1-9, umfassend: - einen Speicher zum Speichern mindestens eines Satzes von lokalen Verifikationsbiofragmentdaten (ImgO); - eine Empfangsschnittstede zum Empfangen mehrerer Sätze von Biofragmentdaten, umfassend Sätze von Pseudobiofragmentdaten (Imgl1, Img2') und mindestens einen Satz von weiteren Verifikationsbiofragmentdaten (Img l, Img2); - eine Leseeinrichtung zur Erfassung mindestens eines biometrischen Referenzdatensatzes des Subjekts; - eine Recheneinheit zum Rekonstruieren einer Vielzahl von Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten (ImgO) des Speichers in Verbindung mit den empfangenen Sätzen von Biofragmentdaten und zum Vergleichen des Referenzdatensatzes mit der Vielzahl von Vergleichstemplates, um den mindestens einen Satz von weiteren Verifikationsbiofragmentdaten (Imgl, Img2) zu identifizieren; - eine Sendeschnittstelle zum Übermitteln eines Verifikationscodes, der angibt, welcher Satz von empfangenen Biofragmentdaten der mindestens eine weitere Satz von Verifikationsbiofragmentdaten (Imgl, Img2) ist. 14. Abgleicheinrichtung nach Anspruch 13, g eke n nze ich n et d u rch einen Speicher zum Speichern mindestens einer Benutzerschlüsselzeichenkette (KeyB), wobei die Sendeschnittstelle zum Übermitteln der Benutzerschlüsselzeichenkette (KeyB) ausgebildet ist. 15. Abgleicheinrichtung nach Anspruch 13 oder 14, d ad u rch g eken nzei ch n et, dass die Empfangsschnittstelle die Sätze von Biofragmentdaten mit zugeordneten Indexwerten (Ri, Rt) empfängt und die Recheneinheit dazu ausgebildet ist, jedem Vergleichstemplate den zugehörigen Indexwert (Ri, Rt) zuzuordnen, die Benutzerschlüsselzeichenkette (KeyB) mittels des dem Satz von weiteren Verifikationsbiofragmentdaten (Imgl, Img2) zugeordneten Indexwerts (Ri, Rt) zu verschlüsseln und als zumindest einen Teil des Verifikationscodes zu übertragen. 16. Abgleicheinrichtung nach einem der Ansprüche 13 bis 15, da d u rch geken nzeich n et, dass die Abgleicheinrichtung dazu ausgebildet ist mehrere Sätze von weiteren Verifikationsbiofragmentdaten (Imgl, Img2) zu empfangen und aus diesen die Vielzahl von Vergleichstemplates zu rekonstruieren. Abgleicheinrichtung nach einem der Ansprüche 13 bis 16, ge ken nze ich n et - d u rch eine Kamera oder einen Scanner zur Erfassung mindestens eines biometrischen Referenzdatensatzes des Subjekts. |
eines Subjekts
Beschreibung
Die Erfindung betrifft ein Autorisierungssystem zur Autorisierung einer Vielzahl von Subjekten, eine Abgleicheinrichtung und ein Verfahren zur Autorisierung eines
Subjekts.
Biometrische Erkennungsmethoden haben in den letzten Jahren einen enormen Aufschwung erlebt. Der technologische Fortschritt erlaubt in zunehmendem Maße die rasche Messung von biologischen Charakteristika und deren Auswertung mit vertretbarem Aufwand. Der Einsatz von Biometrie ist ein vielversprechender Ansatz, das Problem vieler Sicherheitskonzepte zu lösen. Hierbei stellt sich die Frage, wie man Identitäten und die dazu gehörigen Rechte mit dem richtigen physischen Subjekt (z.B. eine Person) in Verbindung bringen kann. In der globalisierten
Informationsgesellschaft ist die Lösung dieses Problems von zentraler Wichtigkeit. Beispielsweise können biometrische Daten (z.B. ein Fingerabdruck einer Person) auf deren Personalausweis gespeichert werden, um sicherzustellen, dass der Besitzer des Personalausweises auch der Inhaber dieses ist. Durch biometrische Messungen oder Scans können Fälschungen und widerrechtliche Aneignungen eines Personalausweises erkannt werden. Biometrische Charakteristika werden häufig unterschieden in aktiv/passiv, Verhaltens-, physiologisch-basiert oder dynamisch-statisch. Zu den langfristig stabilen verhaltensbasierten Charakteristika zählen die Stimme, die Handoder Unterschrift, das Tippverhalten und die Gangdynamik. Langfristig stabile physiologische Charakteristika sind beispielsweise der Fingerabdruck, die Iris oder die Handgeometrie. Als biometrische Charakteristika zur Autorisierung eines Subjekts werden unter anderem verwendet: Körpergröße, Iris, Retina, Fingerabdruck,
Gesichtsgeometrie, Handgefäßstruktur, Handgeometrie, Handlinienstruktur,
Nagelbettmuster, Stimme, Unterschrift, Tippverhalten, Lippenbewegung, Gangstil, Körpergeruch und DNA.
Ein biometrisches Erkennungssystem zur Autorisierung einer Person ist aus der WO 00/74001 AI bekannt. Hier werden biometrische Daten auf einer
Identifikationseinrichtung, beispielsweise einer ID-Karte oder einem Personalausweis, gespeichert. Um die Authentifizierung der Person vorzunehmen und somit deren Autorisierung festzustellen, legt diese ihre Identifikationseinrichtung vor. Die darauf gespeicherten biometrischen Daten werden von einer Abgleicheinrichtung erfasst und mit den entsprechenden biometrischen Charakteristika der Person verglichen.
Beispielsweise kann anhand eines Iris-Scans ein so genanntes Live-Template mit entsprechenden Referenzdaten erzeugt werden und mit gespeicherten biometrischen Daten so genannte Vergleichsdaten verglichen werden. Der Person wird nur dann eine bestimmte Autorisierung zugesprochen, wenn die geometrischen Charakteristika der Person mit den gespeicherten biometrischen Daten übereinstimmen. Ein Nachteil des in der WO 00/74001 AI beschriebenen Verfahrens besteht darin, dass der Speicher auf der Identifikationseinrichtung nicht abschließend gegen eine Fälschung
abgesichert ist. Theoretisch ist es möglich, die Daten derart zu verfälschen, dass sich ein Dritter mit diesen Daten authentifizieren kann.
Des Weiteren dürfen die biometrischen Daten aus datenschutzrechtlichen Gründen in verschiedenen Ländern weder vervielfältigt noch zwischengespeichert werden. Ein Grund hierfür besteht darin, dass sich aus unterschiedlichen biometrischen Daten Informationen über Personen ableiten lassen, die deren Privatsphäre unterliegen (beispielsweise Krankheiten). Auch aus sicherheitstechnischen Aspekten möchte man das Speichern vollständiger biometrischer Daten vermeiden, da diese ein
Sicherheitsrisiko darstellen. Theoretisch lassen sich zur Autorisierung notwendige biometrische Charakteristika rekonstruieren und fälschen, so dass Sicherheitssperren, z.B. mitteis eines falschen Fingerabdrucks, umgangen werden können.
Aus der WO 2005/064547 AI ist es bekannt, biometrische Vergleichsdaten zu verschlüsseln und über mehrere Einrichtungen, z.B. einen Server und eine
Identifikationseinrichtung in Form einer Chipkarte, aufzuteilen. Eine Authentifizierung erfolgt an einem Terminal, in das die zu authentifizierende Person ihre Chipkarte einfügt und das biometrische Vergleichsdaten der Person erfasst. Es ist möglich, dass ein gekapertes Authentifizierungsterminal biometrische Daten von Personen ausspäht.
Aus der EP 1 796 018 A2 ist es bekannt, biometrische Daten auf der
Identifikationseinrichtung zu verschlüsseln. Dennoch ergibt sich das oben genannte Sicherheitsrisiko. Die EP 0 884 670 AI beschäftigt sich zwar nicht mit biometrischen Daten, schlägt jedoch vor, personenbezogene Daten zu verschlüsseln und derart über ein Informationssystem zu verteilen, dass das Zuordnen einer Person zu einem bestimmten Datensatz nur dann möglich ist, wenn entsprechende
Sicherheitsinformationen vorliegen.
Aus der WO 2006/111205 AI ist ein Speichersystem bekannt, das sicherheitsrelevante Daten anhand einer biometrischen Autorisierung absichert. Weitere relevante
Informationen bezüglich biometrischer Authentifizierung sind aus der CN101330386, CN101321069, EP 1 258 840 AI, WO 03/00213 AI, WO 2008/152393 A2 und EP 1 901 194 A2 bekannt.
Ausgehend von diesem Stand der Technik, insbesondere von der WO 2005/064547 AI, ist es Aufgabe der vorliegenden Erfindung, ein sicheres und zuverlässiges
Autorisierungssystem bereitzustellen. Insbesondere soll ein Autorisierungssystem bereitgestellt werden, das einen sehr hohen Datenschutz gewährleistet und eine sichere Authentifizierung und Autorisierung eines Subjekts ermöglicht.
Des Weiteren soll eine Abgleicheinrichtung zur Autorisierung eines Subjekts sowie ein entsprechendes Verfahren angegeben werden.
Die Aufgabe wird durch ein Autorisierungssystem nach Anspruch 1, ein Verfahren nach Anspruch 10 und eine Abgleicheinrichtung nach Anspruch 13 gelöst.
Insbesondere wird die Aufgabe durch ein Autorisierungssystem gelöst, das umfasst:
- mindestens eine Schlüsseldatenbank mit einer Vielzahl von Datensätzen mit jeweils mindestens einer Schlüsselidentifikationszeichenkette
und mindestens einem Satz von Verifikationsbiofragmentdaten;
- eine Abfrageeinheit zum Empfangen einer Autorisierungsanfrage
bezüglich eines Subjekts, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette und Auslesen
mindestens eines korrespondierenden Datensatzes mit dem Satz von
Verifikationsbiofragmentdaten aus der mindestens einen Schlüsseldatenbank ausgebildet ist;
- eine Generierungseinheit zum Generieren mehrerer Sätze von
Pseudobiofragmentdaten;
- eine Übermittlungseinheit zum Übermitteln der Sätze von
Pseudobiofragmentdaten und Verifikationsbiofragmentdaten an eine
Abgleicheinrichtung, wobei die Abgleicheinrichtung die
Verifikationsbiofragmentdaten und Pseudobiofragmentdaten mit Referenzdaten vergleicht, um die Pseudobiofragmentdaten von den
Verifikationsbiofragmentdaten zu unterscheiden;
- eine Verifikationseinheit zum Empfangen eines Verifikationscodes von
der Abgleicheinrichtung, wobei die Verifikationseinheit dazu ausgebildet ist, anhand des Verifikationscodes abzuleiten, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten erkannt hat.
Ein wesentlicher Punkt der vorliegenden Erfindung besteht darin, dass das
Autorisierungssystem zu keinem Zeitpunkt die vollständigen Referenzdaten eines Subjekts erfassen muss oder kann. Die Referenzdaten können beispielsweise Daten sein, die durch das digitale Abnehmen eines Fingerabdrucks entstanden sind. Diese Referenzdaten können durch eine Abgleicheinrichtung erfasst werden, die
möglicherweise dem Subjekt gehört. Dennoch ist es quasi unmöglich, die
Sicherheitsmechanismen des Autorisierungssystems zu umgehen, um Zugang zu sicherheitsrelevanten Daten, einem Gebäude, etc. zu erlangen. Die Abfrageeinheit empfängt also beispielsweise von der Abgleicheinrichtung eine Anfrage, dergemäß sich ein bestimmtes Subjekt für einen bestimmten Vorgang autorisieren möchte. Das Autorisierungssystem fragt in der Schlüsseldatenbank Verifikationsbiofragmentdaten ab, die anhand der Schlüsselidentifikationszeichenkette dem Subjekt zugeordnet werden können. Zur Anonymisierung der Verifikationsbiofragmentdaten werden weitere Pseudobiofragmentdaten erzeugt. Die Übermittlungseinheit übermittelt Sätze von Biofragmentdaten, umfassend die Sätze von Pseudobiofragmentdaten und
Verifikationsbiofragmentdaten, an die Abgieicheinrichtung. Diese rekonstruiert anhand der Sätze von Biofragmentdaten Vergleichstemplates und vergleicht diese mit erfassten Referenzdaten. Beispielsweise kann die Abgieicheinrichtung einen
Irisscanner umfassen. Anhand des Vergleichs ist es der Abgieicheinrichtung - wenn es sich um ein autorisiertes Subjekt handelt - möglich, Pseudobiofragmentdaten von Verifikationsbiofragmentdaten zu unterscheiden. Dementsprechend wird eine Antwort für das Autorisierungssystem generiert, wobei die Verifikationseinheit anhand der Antwort, nämlich dem empfangenen Verifikationscode, feststellen kann, ob die Abgleicheinrichtung, die Verifikationsbiofragmentdaten erkannt hat.
In einem Ausführungsbeispiel umfasst das Autorisierungssystem eine
Zuordnungseinheit zum Zuordnen jeweils eines Indexwertes zu den
Verifikationsbiofragmentdaten und der Vielzahl von Pseudobiofragmentdaten, wobei die Übermittlungseinheit zum Übermitteln der Vielzahl von Pseudobiofragmentdaten und der Biofragmentdaten mit dem jeweiligen zugeordneten Indexwert ausgebildet ist, wobei der Verifikationscode mindestens einen Indexwert enthält und die
Verifikationseinheit dazu ausgebildet ist, anhand des Indexwerts im Verifikationscode festzustellen, ob die Abgleicheinrichtung die Verifikationsbiofragmentdaten erkannt hat. Der Indexwert wird also verwendet, um die einzelnen Biofragmentdaten zu kennzeichnen und das Ergebnis der Vergleiche, die durch die Abgleicheinrichtungen durchgeführt werden, zu erfassen. Der empfangene Verifikationscode kann den Indexwert unmittelbar enthalten. Erfindungsgemäß ist es auch möglich, einen
Verifikationscode zu übermitteln, der es der Verifikationseinheit ermöglicht, den spezifischen Indexwert zu ermitteln.
Die Zuordnungseinheit kann eine Zufallsgeneratoreinheit zum Generieren von zufälligen Indexwerten umfassen. Die Verifikationseinheit kann dazu ausgebildet sein, ein mittels des Indexwerts der Verifikationsbiofragmentdaten verschlüsseltes
Datenpaket im Verifikationscode zu entschlüsseln. Der vorzugsweise zufällig generierte Indexwert, der im Verifikationscode enthalten ist, kann also dazu verwendet werden, von der Abgleicheinrichtung an das Autorisierungssystem kommunizierte Datenpakete zu verschlüsseln. Somit ist es auch nicht notwendig, dass der Verifikationscode den Indexwert explizit enthält. Vielmehr kann die
Verifikationseinheit bei der Entschlüsselung feststellen, ob der richtige Indexwert, nämlich der Indexwert der dem Satz von Verifikationsbiofragmentdaten zugeordnet ist, verwendet wurde. Durch das zufällige Erzeugen der Indexwerte wird die
Kommunikation zwischen den einzelnen Komponenten also erfolgreich abgesichert. In einem Ausführungsbeispiel kann das Autorisierungssystem eine Hauptdatenbank mit mittels einer Serverschlüsselzeichenkette verschlüsselte Benutzerdaten des Subjekts umfassen, wobei die Vielzahl der Datensätze in der mindestens einen Schlüsseldatenbank jeweils mindestens eine mittels der Benutzerschlüsselzeichenkette verschlüsselte Serverschlüsselzeichenkette oder mindestens ein mittels
Benutzerschlüsselzeichenkette verschlüsseltes Serverschlüsselzeichenkettenfragment umfasst, wobei das Datenpaket im Verifikationscode die
Benutzerschlüsselzeichenkette enthält und die Verifikationseinheit zum Entschlüsseln der Serverschlüsselzeichenkette bzw. des mindestens einen
Serverschiüsselzeichenkettenfragments ausgebildet ist, um die Benutzerdaten zu entschlüsseln. Die Abgleicheinrichtung übermittelt also in verschlüsselter Form die Benutzerschlüsselzeichenkette, die wiederum dazu verwendet werden kann, in der oder den Schlüsseldatenbanken enthaltene Serverschlüsselzeichenkettenfragmente zu entschlüsseln. Die Serverschlüsselzeichenkettenfragmente dienen dann dazu, die Benutzerdaten in der Hauptdatenbank zu entschlüsseln. Somit kann nur ein
autorisierter Benutzer Zugriff zu diesen Benutzerdaten erhalten. Auch wenn das gesamte Autorisierungssystem unter fremde Kontrolle gerät, können die
Benutzerdaten nicht ausgelesen werden. Hierfür wäre es vielmehr notwendig, die Benutzerschlüsselzeichenkette zu erhalten, die aber vorzugsweise nicht im
Autorisierungssystem gespeichert ist. Vielmehr kann die
Benutzerschlüsselzeichenkette auf einer tragbaren Identifikationseinrichtung oder der Abgleicheinrichtung hinterlegt werden.
Das Autorisierungssystem kann mindestens eine erste Schlüsseldatenbank mit einer Vielzahl von ersten Datensätzen und eine zweite Schlüsseldatenbank mit einer Vielzahl von zweiten Datensätzen umfassen, wobei die Datensätze jeweils mindestens eine Schlüsselidentifikationszeichenkette und einen Satz von
Verifikationsbiofragmentdaten umfassen, wobei die Abfrageeinheit zum Empfangen mindestens einer Schlüsselidentifikationszeichenkette bezüglich der ersten und der zweiten Schlüsseldatenbank ausgebildet ist, um entsprechende Datensätze aus der ersten und der zweiten Schlüsseldatenbank miteinander in Verbindung zu setzen. Vorzugsweise sind Verifikationsbiofragmentdaten aus der ersten Schlüsseldatenbank und aus der zweiten Schlüsseldatenbank notwendig, um einen erfolgreichen Vergleich mit den Referenzdaten vorzunehmen. Die vorliegende Anmeldung schlägt vor, diese Verifikationsbiofragmentdaten ohne jegliche Korrelation auf mindestens zwei
Schlüsseldatenbanken zu verteilen. Die Korrelation zwischen den einzelnen
notwendigen Datensätzen kann nur mittels der Abgleicheinrichtung erfolgen. Somit ist es nicht möglich, die einzelnen Verifikationsbiofragmentdaten, die sich auf ein bestimmtes Subjekt beziehen, auszuwerten, ohne dass entsprechende Informationen von der Abgieicheinrichtung vorliegen.
Die Datensätze der ersten und zweiten Schlüsseldatenbank können jeweils mindestens ein Schlüsselzeichenkettenfragment umfassen, wobei die Verifikationseinheit zur Rekonstruktion einer Serverschlüsselzeichenkette aus mindestens einem
Serverschlüsselzeichenkettenfragment aus der ersten und der zweiten
Schlüsseldatenbank ausgebildet ist. Die vorliegende Anmeldung sieht also nicht nur vor, die Serverschlüsselzeichenkette oder die Serverschlüsselzeichenkettenfragmente zu verschlüsseln, sondern teilt die Serverschlüsselzeichenkette auch in mindestens zwei Abschnitte auf, so dass zusätzliche Informationen notwendig sind, um die Serverschlüsselzeichenkette für die Benutzerdaten zu rekonstruieren.
Die Abfrageeinheit kann einen Speicher mit lokalen Verifikationsbiofragmentdaten oder Sätzen von lokalen Biofragmentdaten umfassen und zur Rekonstruktion eines Vergleichstemplates aus den lokalen Verifikationsbiofragmentdaten und den
Verifikationsbiofragmentdaten der Schlüsseldatenbanken ausgebildet sein.
Vorzugsweise lässt sich also kein vollständiges Vergleichstemplate aus den
Verifikationsbiofragmentdaten in den Schlüsseldatenbanken erzeugen. Somit können diese Daten nicht sinnvoll verwendet werden.
Die oben genannte Aufgabe wird ebenfalls durch ein Verfahren zur Autorisierung eines Subjekts gelöst, wobei das Verfahren die folgenden Schritte umfasst:
- Empfangen einer Autorisierungsanfrage bezüglich eines Subjekts, wobei die Autorisierungsanfrage mindestens eine Schlüsselidentifikationszeichenkette umfasst;
- Abfragen eines der mindestens einen Schlüsselidentifikationszeichenkette zugeordneten Satzes von Verifikationsbiofragmentdaten;
- Generieren von Sätzen von Pseudobiofragmentdaten;
- Übermitteln der Sätze von Pseudobiofragmentdaten und
Verifikationsbiofragmentdaten an eine Abgleicheinrichtung; - Empfangen eines Verifikationscodes von der Abgleicheinrichtung;
- Dekodieren des Verifikationscodes, um festzustellen, ob die
Abgleicheinrichtung die Pseudobiofragmentdaten von den
Verifikationsbiofragmentdaten unterscheiden kann;
- Autorisieren des Subjekts, wenn der Verifikationscode angibt, dass die
Abgleicheinrichtung die Verifikationsbiofragmentdaten bzw. den Satz von Verifikationsbiofragmentdaten erkannt hat.
Für das Verfahren ergeben sich ähnliche Vorteiie, wie diese bereits im Zusammenhang mit dem Autorisierungssystem beschrieben wurden.
Des Weiteren wird die genannte Aufgabe durch eine Abgleicheinrichtung zur
Autorisierung eines Subjekts gegenüber einem Autorisierungssystem, insbesondere einem Autorisierungssystem wie das vorab beschriebene, gelöst, wobei die
Abgleicheinrichtung umfasst:
- einen Speicher zum Speichern mindestens eines Satzes von lokalen
Verifikationsbiofragmentdaten;
- eine Empfangsschnittstelle zum Empfangen von mehreren Sätzen von
Biofragmentdaten, umfassend Sätze von Pseudobiofragmentdaten und weiteren Verifikationsbiofragmentdaten;
- eine Leseeinrichtung zur Erfassung mindestens eines biometrischen
Referenzdatensatzes des Subjekts;
- eine Recheneinheit zum Rekonstruieren einer Vielzahl von Vergleichstemplates aus dem Satz von lokalen Verifikationsbiofragmentdaten des Speichers in Verbindung mit den Sätzen von empfangenen Biofragmentdaten und zum Vergleichen des Referenzdatensatzes mit der Vielzahl von
Vergleichstemplates, um den mindestens einen Satz von weiteren
Verifikationsbiofragmentdaten zu identifizieren; - eine Sendeschnittstelle zum Übermittein eines Verifikationscodes, der angibt, welcher der Sätze von empfangenen Biofragmentdaten der mindestens eine Satz von weiteren Verifikationsbiofragmentdaten ist.
Die Abgleicheinrichtung kann jede Art von mobile Recheneinheit sein, die dazu geeignet ist, von einem Subjekt transportiert zu werden. Vorzugsweise handelt es sich hierbei um ein Mobiltelefon, Die Abgleicheinrichtung hat einen Speicher zum
Speichern von zumindest einem Satz von lokalen Verifikationsbiofragmentdaten, der bei einem Autorisierungsprozess mit einer Vielzahl von empfangenen Biofragmenten oder Sätzen von Biofragmentdaten verknüpft wird, um so genannte
Vergleichstemplates zu generieren. Diese Vergleichstemplates werden mit einem Referenzdatensatz verglichen, der vorzugsweise durch die Abgleicheinrichtung gewonnen wird. Somit ist es der Abgleicheinrichtung möglich, Pseudobiofragmente von Verifikationsbiofragmenten zu unterscheiden und eine entsprechende Ausgabe für das Autorisierungssystem bereitzustellen. Dadurch, dass die Abgleicheinrichtung eine eigene Leseeinrichtung zur Erfassung mindestens eines biometrischen
Referenzdatensatzes besitzt, kann der Benutzer der Einrichtung sicher sein, dass seine vollständigen Referenzdaten nicht in falsche Hände geraten. Vorzugsweise ist die Abgleicheinrichtung so konfiguriert, dass die Referenzdaten unmittelbar nach einem Autorisierungsversuch vernichtet werden. Die Privatsphäre des Benutzers kann somit gewahrt werden.
Die Abgleicheinrichtung kann einen Speicher zum Speichern mindestens einer
Benutzerschlüsselzeichenkette umfassen, wobei die Sendeschnittstelle zum
Übermitteln der Benutzerschlüsselzeichenkette ausgebildet ist. Diese
Benutzerschlüsselzeichenkette kann dafür verwendet werden, relevante Daten, die sich auf das Subjekt beziehen, zu entschlüsseln. Weitere vorteilhafte Ausgestaltungen der erfindungsgemäßen Abgleicheinrichtung, des Autorisierungssystems sowie des beschriebenen Verfahrens ergeben sich anhand der Unteransprüche.
Nachfolgend wird die Erfindung mittels mehrerer Ausführungsbeispiele beschrieben, die anhand von Abbildungen näher erläutert werden. Hierbei zeigen :
Fig. 1 ein Autorisierungssystem, das in kommunikativer Verbindung mit einem
Authentifizierungsterminal steht;
Fig. 2 eine Abgleicheinrichtung in Form eines Mobiltelefons; Fig. 3 ein aus Verifikationsbiofragmenten gewonnenes Vergleichstemplate beim Vergleich mit einem Live-Template;
Fig. 4 ein teilweise aus Pseudobiofragmentdaten erzeugtes
Vergleichstemplate beim Vergleich mit einem Live-Template;
Fig. 5 eine Datenkommunikation zwischen dem Mobiitelefon aus Fig. 2 und dem Autorisierungssystem aus Fig. 1.
In der nachfolgenden Beschreibung werden für gleiche und gleich wirkende Teile dieselben Bezugsziffern verwendet.
Fig. 1 zeigt das erfindungsgemäße Autorisierungssystem, das ein Authentifizierungs- Gateway 100 hat. An dieses Authentifizierungs-Gateway 100 sind insgesamt drei Datenbanken, nämlich eine erste Schlüsseldatenbank 10, eine zweite
Schlüsseldatenbank 20 und eine Hauptdatenbank 30 angeschlossen. Die einzelnen Datenbanken 10, 20, 30 umfassen jeweils Tabellen, in denen in mehreren
Datensätzen Informationen von Personen hinterlegt sind. Im beschriebenen
Ausführungsbeispiel enthält die Hauptdatenbank 30 verschlüsselte Benutzerdaten Data, die jeweils über eine Benutzer-Identifikationsnummer M identifiziert werden können. Das Autorisierungssystem dient dazu, den Zugriff auf diese Benutzerdaten Data gegen einen ungewollten Zugriff von Dritten abzusichern. In der
Hauptdatenbank 30 sind also die Benutzerdaten Data so verschlüsselt, dass sich diese lediglich unter der Anwendung eines Serverschlüssels KeyS entschlüssein lassen. Die vorliegende Anmeldung wählt für die entsprechend verschlüsselten Benutzerdaten Data die Bezeichnung„KeyS'(Data)".
Bei der Verschlüsslung wird also:
Data KeyS " > KeyS' (Data)
KeyS "1 wird hier so gewählt, dass die Benutzerdaten Data folgendermaßen
entschlüsselt werden können:
KeyS' (Data) Ke S > Data
Der Serverschlüssel KeyS, der zum Entschlüsseln der Daten notwendig ist, wurde erfindungsgemäß in zwei Serverschlüsselfragmente KeySl und KeyS2 aufgeteilt. Um die Benutzerdaten Data zu entschlüsseln, sind beide Serverschlüsselfragmente KeySl, KeyS2 notwendig. Beispielsweise können die Serversehl üsselfragmente nach folgendem Schema miteinander verkettet werden: KeySl + KeyS2 = KeyS.
Die beiden Serverschlüsselfragmente KeySl, KeyS2 für einen bestimmten Datensatz der Hauptdatenbank 30 werden jeweils getrennt voneinander ohne jegliche
Korrelation in der ersten und zweiten Schlüsseldatenbank 10, 20 gespeichert. In Verbindung mit den Serverschlüsselfragmenten KeySl, keyS2, werden in den
Schlüsseldatenbanken 10, 20 jeweils eine Schlüsseldatenbankidentifikationsnummer ID1, ID2 und Sätze von Verifikationsbiofragmentdaten Imgl, Img2 gespeichert. Die erste Schlüsseldatenbank 10 enthält also mehrere Datensätze mit einer ersten Schlüsselidentifikationsnummer ID1, ersten Verifikationsbiofragmentdaten Imgl und mittels eines Benutzerschlüssels KeyB verschlüsselte erste Serverschlüsselfragmente KeyB' (KeySl). Ebenso enthält die zweite Schlüsseldatenbank 20 eine Vielzahl von Datensätzen mit zweiten Schlüsselidentifikationsnummern ID2, zweiten
Verifikationsbiofragmentdaten Img2 und zweite mittels des Benutzerschlüssels KeyB verschlüsselte Serverschlüsselfragmente KeyB' (KeyS2). Die erste Schlüsseldatenbank 10, die zweite Schlüsseldatenbank 20 und die Hauptdatenbank 30 enthalten jeweils mindestens einen Datensatz, der sich auf dieselbe Person bezieht. Die Zuordnung der einzelnen Datensätze zu einer bestimmten Person ist jedoch anhand der hinterlegten Daten nicht möglich. Das Authentifizierungs-Gateway 100 kann mit einem
Authentifizierungsterminal 200 in kommunikativer Verbindung stehen, um einer bestimmten Person den Zugang zu ihren Benutzerdaten Data zu ermöglichen.
Alternativ können entsprechende Autorisierungsanfragen unmittelbar von einem Mobiltelefon 300 abgesandt werden, das mit dem Authentifizierungs-Gateway 100 in kommunikativer Verbindung steht. Eine Kommunikation kann drahtgebunden oder drahtlos stattfinden. Hierbei können sämtliche bekannte Kommunikationsstandards verwendet werden, da das vorgeschlagene Autorisierungsverfahren eine inhärente Absicherung der genutzten Kommunikationswege umfasst. Das Mobiltelefon 300 wird anmeldungsgemäß als Abgleicheinrichtung gesehen und kann in Verbindung mit dem Authentifizierungs-Gateway 100 sämtliche Schritte vornehmen, die notwendig sind, um einer Person, die vorzugsweise Inhaber des Mobiltelefons 300 ist, den Zugriff auf dessen Benutzerdaten Data in der Hauptdatenbank 30 zu ermöglichen. Das
Mobiltelefon 300 umfasst eine Recheneinheit 303, eine Kommunikationseinheit 304 zur Kommunikation mit dem Authentifizierungs-Gateway 100 und einen Speicher 301. Auf diesem Speicher 301 sind für den Benutzer des Mobiltelefons 300 die erste Schlüsseldatenbankidentifikationsnummer ID1, die zweite
Schlüsseldatenbankidentifikationsnummer ID2, die Benutzeridentifikationsnummer M, lokale Verifikationsbiofragmentdaten ImgO sowie der Benutzerschlüssel KeyB hinterlegt.
Möchte der Benutzer des Mobiltelefons 300 nun auf seine Benutzerdaten Data in der Hauptdatenbank 30 zugreifen, so führt er ein entsprechendes Programm auf dem Mobiltelefon 300 aus. Das Mobiltelefon 300 übermittelt eine Autorisierungsanfrage an das Authentifizierungs-Gateway 100, die die erste
Schlüsseldatenbankidentifikationsnummer ID1 und die zweite
Schlüsseldatenbankidentifikationsnummer ID2 enthält. Das Authentifizierungs- Gateway 100 empfängt diese Autorisierungsanfrage mittels einer Abfrageeinheit 101 (vgl. Fig. 5) und liest anhand der Schlüsseldatenbankidentifikationsnummern ID1, ID2, die zugeordneten Sätze von Verifikationsbiofragmentdaten Imgl, Img2 aus. Eine Generierungseinheit 103 im Authentifizierungs-Gateway 100 generiert dann eine Vielzahl von Sätzen von Pseudobiofragmentdaten Imgl, Img2. Im vorliegenden Ausführungsbeispiel werden n-1 Paare von Pseudobiofragmentdaten erzeugt und jeweils mit einem Indexwert i bis R t- i, R t+ i bis R n versehen. Den
Verifikationsbiofragmentdaten Imgl, Img2 aus den Schlüsseldatenbanken 10, 20 wird der Indexwert R t zugeordnet. Eine Übermittlungseinheit 105 übermittelt die n Paare von Biofragmentdaten (Pseudobiofragmentdaten und Verifikationsbiofragmentdaten) zusammen mit den zugeordneten Indexwerten R bis R n an das Mobiltelefon 300. Die Zuordnung der Biofragmentdaten oder Biofragmentdatensätze zu den Indexwerten Ri bis R n erfolgt zufällig. Das Mobiltelefon 300 rekonstruiert anhand der übermittelten Daten eine Vielzahl von Vergleichstempiates, wobei jedem der Vergleichstemplates einer der Indexwerte i bis R n zugeordnet werden kann. In den Fig . 3 und 4 sind entsprechende Vergleichstemplates beispielhaft dargestellt. So setzt sich, wie in Fig. 4gezeigt, das Vergleichstemplate mit dem Indexwert Ri aus den empfangenen Sätzen von Pseudobiofragmentdaten Imgl', Img2' und dem lokalen Satz von
Verifikationsbiofragmentdaten ImgO von dem Speicher 301 zusammen. Demgemäß setzt sich das Vergfeichstemplate bezüglich des Indexwerts R t aus den übermittelten Verifikationsbiofragmentdaten Imgl, Img2 und den lokalen
Verifikationsbiofragmentdaten ImgO zusammen. Die Vergleichstemplates können beispielsweise Abbildungen eines Fingerabdrucks des Benutzers des Mobiltelefons 300 sein. Es sollte für den hier tätigen Fachmann offensichtlich sein, dass die einzelnen Biofragmentdaten nicht in der Art wie in den Fig. 3 und 4 gezeigt, zu einem
Vergleichstemplate zusammengeführt werden müssen. Vorzugsweise sind die
Informationen der entstehenden Vergleichstemplates derart in den Biofragmentdaten kodiert, dass einzelne Biofragmentdaten keine relevanten Informationen bezüglich des Benutzers bereitstellen. Beispielsweise können die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 und die entsprechend korrespondiert ausgebildeten
Pseudobiofragmentdaten Imgl', Img2' Rastergrafiken mit 100 x 100 Bildpunkten sein. Ein Vergleichstemplate lässt sich beispielsweise durch die XOR-Verknüpfung der lokalen Verifikationsbiofragmentdaten ImgO mit den empfangenen
Verifikationsbiofragmentdaten Imgl, Img2 generieren. Somit sind die einzelnen Daten ohne die entsprechend korrespondierenden Daten nutzlos. Nach der Rekonstruktion der n Vergleichstemplates fordert das Mobiltelefon 300 den Benutzer auf, einen Zeigefinger auf eine hierfür am Mobiltelefon 300 vorgesehene Leseeinrichtung zu legen. Das Mobiltelefon 300 liest die entsprechenden biometrischen Daten ein und erzeugt einen Referenzdatensatz in Form eines Live-Templates Temp. Das Live- Template Temp wird mit jedem der Vergleichstemplates verglichen. Dem Mobiltelefon ist es möglich, zwischen Vergleichstemplates, die aus Pseudobiofragmentdaten Imgl', Img2' erzeugt wurden, und echten Vergleichstemplates, die aus den übertragenen Verifikationsbiofragmentdaten Imgl, Img2 erzeugt wurden, zu unterscheiden. Das Mobiltelefon 300 stellt also fest, dass das Vergleichstemplate, das dem Indexwert R t zugeordnet ist, das„echte' * Vergleichstemplate ist.
Das Mobiltelefon 300 verwendet den Indexwert R t , um den Benutzerschlüssel KeyB zu verschlüsseln. Das Mobiltelefon 300 übermittelt den verschlüsselten Benutzerschlüssel KeyB an eine Verifikationseinheit 110 des Authentifizierungs-Gateways 100. Die Verifikationseinheit 110 hat sich den Indexwert R t als den Indexwert, der den
Verifikationsbiofragmentdaten Imgl, Img2 zugeordnet wurde, gemerkt und kann daher den Benutzerschlüssel KeyB entschlüsseln. Somit ist es der Verifikationseinheit 110 allein anhand des verschlüsselten Benutzerschlüssels KeyB möglich festzustellen, ob das Mobiltelefon 300 die Verifikationsbiofragmente Imgl, Img2 erkannt hat. Eine erfolgreiche Autorisierung ist nur dann möglich, wenn der Benutzerschlüssel KeyB korrekt entschlüsselt werden kann. Zusätzlich kann der Indexwert R t als Bestätigung im Verifikationscode enthalten sein.
Die Verifikationseinheit 110 entpackt den Benutzerschfüssel KeyB und liest die Werte KeyB' (KeySl), KeyB' (KeyS2) aus den Schlüsseldatenbanken 20 aus und entschlüsselt mittels des Benutzerschlüssels KeyB die Serverschlüsselfragmente KeySl, KeyS2. Anhand der Serverschlüsselfragmente KeySl, KeyS2 wird der Serverschlüssel KeyS rekonstruiert. Auf Anfrage oder als Teil des Verifikationscodes empfängt die
Verifikationseinheit 110 die Benutzeridentifikationsnummer M und kann aus der Hauptdatenbank 30 die verschlüsselten Benutzerdaten KeyS' (Data) auslesen und entschlüsseln. Somit erhält das Authentifizierungs-Gateway 100 Zugriff auf die Benutzerdaten Data. Diese können nun an das Mobiltelefon 300 weitergegeben werden.
Vorab wurde ein Ausführungsbeispiel beschrieben, bei dem das erfindungsgemäße Autorisierungssystem dazu verwendet wurde, um den Zugriff auf bestimmte Daten, nämlich die Benutzerdaten Data abzusichern. Es sollte für den hier tätigen Fachmann einfach nachvollziehbar sein, dass der beschriebene Mechanismus auch dazu verwendet werden kann, einem bestimmten Benutzer Zugang zu einem Gebäude oder zu einer Maschine zu ermöglichen. Des Weiteren kann der beschriebene Mechanismus dazu verwendet werden, um den Benutzer zu authentifizieren. Das beschriebene Mobiltelefon 300 kann also als eine Art Identifikationseinrichtung dienen.
Vorab wurde ein Ausführungsbeispiel beschrieben, bei dem der Benutzerschlüssel KeyB im Speicher 301 des Mobilteiefons gespeichert ist. Es ist denkbar, als
Benutzerschlüssel das„echte" Vergleichstemplate oder einen Datensatz, der aus diesen durch eine vorgegebenen Abbildung (z.B. eine Haschfunktion) erzeugt wurde, zu verwenden.
In dem vorab beschriebenen Ausführungsbeispiel kommuniziert das Mobiltelefon 300 unmittelbar mit dem Authentifizierungs-Gateway 100. Es ist jedoch auch möglich, dass das Mobiltelefon 300 mit einem Authentifizierungsterminal 200 kommuniziert. Des Weiteren kann das Authentifizierungsterminal 200 weitere Funktionen
übernehmen. Beispielsweise kann es als eine Art Abgleicheinrichtung fungieren, wobei die Daten, die in dem vorab beschriebenen Ausführungsbeispiel auf dem Mobiltelefon 300 gespeichert waren, über eine Chipkarte eingelesen werden. Somit kann das Authentifizierungsterminal 200 für mehrere Personen als Leseeinrichtung zur
Erfassung der Referenzdaten dienen. Es ist denkbar, dass das
Authentifizierungsterminal 200 einen Teil der von dem Mobiltelefon 300
durchgeführten Schritte oder alle Schritte übernimmt. Erfindungsgemäß kann eine Identifizierungseinrichtung mit einem integrierten Schaltkreis ausgestattet werden, so dass zumindest ein Teil der oben genannten Schritte auf der
Identifikationseinrichtung des Benutzers und nicht auf dem allgemein zugänglichen Authentifizierungsterminal 200 durchgeführt werden.
In dem vorab beschriebenen Ausführungsbeispiel sind die zur Rekonstruktion eines Vergleichstemplates notwendigen Biofragmentdaten ImgO, Imgl, Img2 über drei Speicher, nämlich Schlüsseldatenbanken 10, 20 und den Speicher 301, verteilt. Es ist denkbar, an dieser Stelle lediglich eine Aufteilung in zwei Teile vorzunehmen.
Natürlich ist es auch ohne Weiteres möglich, eine wesentlich größere Anzahl von Verifikationsbiofragmenten ImgO, Imgl, Img2 zu erzeugen und über weitere
Datenbanken und Speicher zu verteilen. An dieser Stelle sei auch angemerkt, dass lediglich zur Verdeutlichung der Erfindung eine Unterscheidung in verschiedene Datenbanken vorgenommen wurde. Theoretisch ist es möglich, sämtliche für die Erfindung relevanten Tabellen, nämlich die Tabellen aus den Schlüsseldatenbanken 10, 20 und der Hauptdatenbank 30 auf einem Datenbanksystem zu hinterlegen.
Natürlich ist eine geografische Verteilung der einzelnen Daten zu bevorzugen, da der Zugriff auf die einzelnen Datensätze hierdurch erschwert wird.
Theoretisch ist es auch möglich, die Referenzdaten in mehrere
Verifikationsbiofragmentdatensätze aufzuteilen, wobei jeweils lediglich eine
Untermenge dieser Verifikationsbiofragmentdatensätze notwendig ist, um die
Referenzdaten zu rekonstruieren. Somit wäre es möglich, eine gewisse Redundanz zu schaffen, die eine erfolgreiche Autorisierung auch dann ermöglicht, wenn lediglich eine Teilmenge der Schlüsseldatenbanken 10, 20 zur Verfügung stehen.
Des Weiteren ist es theoretisch auch möglich, die Benutzerdaten Data über mehrere Tabellen oder Datenbanken zu verteilen und mehrere Serverschlüsselfragmente KeySl, KeyS2 einzurichten, wobei jeweils eine Untermenge der
Serverschlüsselfragmente KeySl, KeyS2 notwendig ist, um einzelne Benutzerdaten Data von den mehreren Hauptdatenbanken 30 abzufragen.
Im beschriebenen Ausführungsbeispiel wurden charakteristische Daten für die
Verifikationsbiofragmentdaten ImgO, Imgl, Img2 aus einer Abbildung eines
Fingerabdrucks gewonnen. Es sollte für den Fachmann offensichtlich sein, dass sich das genannte Verfahren auf jede Art von biometrischen Charakteristika (z.B. Iris, Retina, Gesichtsgeometrie, Handgefäßstruktur, Handgeometrie, Handlinienstruktur) anwendbar ist. Hierbei ist es auch nicht zwingend notwendig ist bildgebende
Methoden anzuwenden, um die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 oder die Referenzdaten zu erzeugen. Vielmehr können die Verifikationsbiofragmentdaten ImgO, Imgl, Img2 bzw. die diesen Datensätzen zugrundeliegenden Daten und die Referenzdaten beliebig ausgestaltete und gewonnene Datensätze sein, die geeignete biometrische Charakteristika zuverlässig zu beschreiben. Bezugszeichenliste
10 Schlüsseldatenbank
20 Schlüsseldatenbank
30 Hauptdatenbank
100 Authentifizierungs-Gateway
101 Abfrageeinheit
103 Generierungseinheit
105 Übermittlungseinheit
110 Verifikationseinheit
200 Authentifizierungsterminal
300 Mobiltelefon
301 Speicher
303 Recheneinheit
304 Kommunikationseinheit
ID1 Schlüsseldatenbankidentifkationsnummer
ID2 Schlüsseldatenbankidentifkationsnummer
M Benutzer-Identifikationsnummer
ImgO, Imgl, Img2 Verifikationsbiofragmentdaten
Imgl', Img2' Pseudobiofragmentdaten
KeyB Benutzerschlüssel
KeyS Serverschlüssel
KeySl, KeyS2 Serverschlüsselfragment
Data Benutzerdaten
Temp Live-Template
Ri bis R n indexwert
Next Patent: PULPING PROCESS