Die vorliegende Erfindung betrifft ein Verfahren und ein Termi- nal zur Eingabe von Instruktionen, insbesondere zur augengesteuerten Ein- gabe von Instruktionen an ein Datenverarbeitungssystem.

Es sind schon Systeme bekannt, die die Steuerung eines Geräts mit den Augen erlauben. Solche Systeme werden unter anderem ange- wendet, wenn sich eine Handsteuerung als unmöglich oder unpraktisch erweist, oder als zusätzlichen, schnellen Eingabekanal um Vorrichtungen zu steuern.

Das Dokument GB2281838 beschreibt eine Vorrichtung, die auf Blinzeln des Benutzers reagiert. Ein System zur Umweltsteuerung mit Hilfe des menschlichen Auges ist auch im Deutschen Gebrauchsmuster DE-U1- 29610766 beschrieben. EP-A2-816984 beschreibt ein System, das die Blick- richtung auf einem Bildschirm ermittelt, um die Bildteile zu bestimmen, für die sich der Betrachter interessiert.

Augenbewegungen sind manchmal schwer zu kontrollieren ; das Auge macht auch unwillkürliche Bewegungen, unter anderem Saccaden, die unter Umständen als Instruktion für die gesteuerte Vorrichtung interpretiert werden könnten. Diese Verfahren eignen sich daher kaum, um sicherheitskritische Instruktionen einzugeben.

In vielen Fällen ist die Nicht-Repudiation der Instruktion ein wichtiges Sicherheitskriterium. Vor allem bei Transaktionsverfahren ist es wichtig, dass die Transaktion nachträglich nicht abgestritten werden kann.

Es sind ausserdem Systeme bekannt, in welchen Augenparameter als biometrische Schlüssel verwendet werden, um den Zugriff auf Systeme oder Dienste zu erlauben. Es wurde unter anderem vorgeschlagen, das Motiv der Iris oder der Retina zu verwenden, um den Betrachter zu authen- tifizieren oder sogar, um ihn zu identifizieren.

Es ist eine Aufgabe dieser Erfindung, ein neues und besseres Verfahren anzubieten, mit welchem Instruktionen mit den Augen einge- geben werden können.

Ein anderes Ziel ist es, ein neues und besseres System anzubieten, mit welchem Instruktionen so eingegeben werden, dass die Absicht des Instruktionsgebers nicht bestritten werden kann (Nicht-Repudiation).

Ein anderes Ziel ist es, ein neues und besseres System anzubieten, mit welchem Instruktionen nur vom berechtigten Benutzer eingegeben werden können.

Gemäss der vorliegenden Erfindung werden diese Ziele ins- besondere durch die Elemente der unabhängigen Ansprüche erreicht.

Weitere vorteilhafte Ausführungsformen gehen ausserdem aus den ab- hängigen Ansprüchen und der Beschreibung hervor. insbesondere werden diese Ziele dadurch erreicht, dass Instruk- tionen mit Sequenzen von willentlichen Bewegungen von Augenteilen eingegeben werden, wobei die Sequenz, die zur Eingabe einer bestimmten Instruktion benötigt wird, für jeden Benutzer individuell ist.

Dies hat den Vorteil, dass Instruktionen nicht nur mit einer ein- fachen Augenbewegung eingegeben werden, die eventuell unbeabsichtigt gemacht werden könnte, sondern mit einer Sequenz von mehreren Bewe- gungen von Augenteilen, die nur willentlich gemacht werden können.

Somit wird die Nicht-Repudiation der Instruktion gewährleistet. Da die Sequenz zur Eingabe einer Instruktion für jeden Benutzer individuell ist, kann sie auch verwendet werden, um den Benutzer zu authentifizieren.

Auf diese Weise können somit auch sicherheitskritische Instruk- tionen eingegeben werden (beispielsweise Instruktionen für elektronische Transaktionen), die nicht abgestritten werden können und für die eine sichere Authentifizierung des Benutzers wichtig ist.

Neben dem erfindungsgemässen Transaktionsverfahren bezieht sich die vorliegende Erfindung insbesondere auch auf ein Terminal und einen Server zur Ausführung des Verfahrens.

Nachfolgend wird eine Ausführung der vorliegenden Erfindung anhand eines Beispieles beschrieben. Das Beispiel der Ausführung wird durch folgende beigelegten Figuren illustriert : Figur 1 zeigt ein Blockdiagramm, in welchem schematisch ein erfindungsgemässes Terminal und ein erfindungsgemässer Server, der über ein Kommunikationsnetz mit diesem Terminal verbunden ist, illustriert werden.

Figur 2 zeigt ein Beispiel eines Bildes mit einer Tastatur, das auf die Retina des Benutzers projiziert wird.

Figur 3 zeigt ein Beispiel eines dreidimensionalen Bildes mit einer Tastatur, das auf die Retina des Benutzers projiziert wird.

Figur 4 zeigt ein Datenflussdiagramm, in welchem schematisch die möglichen Verfahrenschritte für die Aufnahme der Sequenz für eine Instruktion in einem Ausführungsbeispiel der Erfindung dargestellt werden, und Figur 5 zeigt ein Datenflussdiagramm, in welchem schematisch die möglichen Verfahrenschritte für die Eingabe eines Befehls in einem Ausführungsbeispiel der Erfindung dargestellt werden.

In der Figur 1 bezieht sich die Bezugsziffer 1 auf den Benutzer eines Terminals 2, mit welchem Instruktionen für einen Fernserver 4 einge- geben und über ein Kommunikationsnetz 3 gesendet werden können. Das Terminal 2 ist vorzugsweise tragbar und kann in einer bevorzugten Variante aus einem Mobilfunktelefon, aus einem Palmtop, aus einem Lap- top, aus einem PDA (Personal Digital Assistant), aus einem mobile Assistant oder aus einer Kombination von verschiedenen miteinander verbundenen

Komponenten bestehen, wobei die Verbindung über eine kontaktbehaftete Schnittstelle, beispielsweise gemaß PC-Card, oder vorzugsweise über eine kontaktiose Schnittstelle, beispielsweise gemass IODA oder Bluetooth, erfolgen kann. In einer bevorzugten Variante enthält das Terminal eine nicht dargestellte Chipkarte, beispielsweise eine SIM- Karte (Subscriber Identification Module), in welcher benutzerspezifischen Daten abgelegt sind.

Das Terminal enthält ein Modul 20 zur Bestimmung von Be- wegungen von Augenteilen. Das Modul 20 besteht beispielsweise aus einem Augenrichtungsbestimmungsmodul (Eye Tracker), welches die aktuelle Betrachtungsrichtung basierend auf der Position der Pupille und/oder des Kopfes des Benutzers 1 bestimmen kann. Solche Augenbestimmungsmodule wurden unter anderem in der Patentanmeldung WO 94/09472 beschrieben. In einer Variante kann das Modul 20 auch andere Typen von willentlichen Augenteilenbewegungen bestimmen, beispielsweise Blinzeln, wie in der oben angegebenen Patentanmeldung GB2281838 beschrieben, Fokussierung usw. Je nach Variante können entweder Bewegungen nur eines Auges oder beider Augen ermittelt werden ; in diesem letzten Fall können auch schielende Augenbewegungen ermittelt werden.

Wenn ein einfaches Augenrichtungsbestimmungsmodul verwendet wird, welches die Kopfposition nicht erfasst, kann die absolute Blickrickrichtung nicht bestimmt werden. In diesem Fall werden vorzugsweise differentiellen Augenbewegungen registriert-beispielsweise oben links-oben rechts-Mitte-oben rechts.

Damit das Terminal nur auf Bewegungen von lebenden Wesen reagiert und nicht beispielsweise durch Vorstellung von animierten Bildern betrogen werden kann, werden vorzugsweise vom Modul 20 Körper- reaktionen ermittelt. In einer bevorzugten Variante wird ein von der Körpertemperatur abhängiger Parameter gemessen, beispielsweise die Reaktion der Retina auf eine durch das Terminal 2 verursachte Erwärmung.

In einer anderen Variante wird die Reaktion der Iris auf durch das Terminal

2 verursachte Lichtvariationen ermittelt. Auf diese Weise kann geprüft werden, ob das ermittelte Bild des Auges wirklich zu einem Menschen gehört.

Das Terminal 2 umfasst ausserdem Bildwiedergabemittel 21, die sichtbare Bilder für den Benutzer 1 wiedergeben können. In einer ersten Variante bestehen die Bildwiedergabemittel 21 aus einer konventionellen Anzeige, beispielsweise aus einer CRT-, Flüssigkristall-oder Plasma-Anzeige.

In einer bevorzugten Variante bestehen sie aus einem sogenannten Micro- display mit einem passenden Linsensystem, vorzugsweise aus einer virtu- ellen retinalen Anzeigevorrichtung (VRD, Virtual Retinal Display), die das dargestellte Bild direkt auf die Retina eines oder beider Augen des Be- nutzers 1 projiziert.

Virtuelle retinale Anzeigevorrichtungen wurden beispielsweise in den Patentanmeldungen W094/09472, W097/37339 und W098/13720 beschrieben und brauchen demzufolge nicht mehr beschrieben zu werden.

Die VRD-Vorrichtung wird von einem Videokontroller 22 gesteuert, um Bildsignale, die einem zweidimensionalen oder dreidimensionalen Bild entsprechen, auf die Fovea des Benutzerauges zu projizieren.

Das Terminal 2 wird von Datenverarbeitungsmitteln 23, beispiels- weise in der Form eines Prozessors 23 mit einem nicht dargestellten Speicherbereich, gesteuert. Der Prozessor 23 steuert insbesondere den Videokontroller 22 und bearbeitet die Daten vom Augenteil-Bewegungs- bestimmungsmodul 20. Ein Software und/oder Hardware-Modul 230 im Prozessor 23 oder mit diesem Prozessor verbunden, ist für die Sicherung der Datenübertragung mit externen Vorrichtungen 4 zuständig, indem zum Beispiel ein sicherer Kommunikationskanal aufgebaut wird, wie später erläutert.

Der Fachmann wird verstehen, dass die Datenverarbeitungs- mittel 23 und das Sicherheitsmodul 230 aus einem einzigen Chip oder aus einer Vielzahl von miteinander logisch verbundenen Komponenten herge- stellt werden können. In einer bevorzugten Variante, in welcher das Termi-

nal 2 aus einem Mobiltelefon besteht, umfassen die Datenverarbeitungs- mittel 23 vorzugsweise Komponenten im Mobiltelefon sowie Komponen- ten in der entfernbaren Chipkarte (SIM-Karte), die mit diesem Mobiltelefon verbunden wird. In einer bevorzugten Variante befinden sich insbesondere sicherheitskritische Komponenten, die vom Sicherheitsmodul 230 verwendet werden, in der Chipkarte.

Das Terminal umfasst ausserdem einen Kommunikationsteil 24, mit welchem es sich mit einem Kommunikationsnetz 3 verbinden kann. Der Kommunikationsteil 24 besteht vorzugsweise aus einem GSM oder UMTS- Kommunikationsteil, aus einem Modem, oder aus einer kontaktlosen Schnittstelle im Nahbereich, beispielsweise gemäss IrDA, Bluetooth, HomeRF oder DECT.

Das Kommunikationsnetz 3 ist beispielsweise ein Mobilfunknetz, beispielsweise gemäss GSM oder UMTS, könnte aber auch das Interne sein oder aus mehreren Netzen bestehen. Über das Kommunikationsnetz 3 kann sich das Terminal mit einem Fernserver 4 verbinden, beispielsweise mit einem http oder WAP-Server, der vom Betreiber des Kommunikationsnetzes 3 und/oder von einem Dienstanbieter verwaltet wird. Die Datenübertragung zwischen dem Terminal 2 und dem Fernserver 4 wird vorzugsweise End-zu-End gesichert, beispielsweise mit dem Protokoll SSL (Secure Sockets Layer), TLS (Transport Layer Security) und/oder WTLS (Wireless Transport Layer Security). Daten, die vom Terminal 2 zum Server 4 gesendet werden, werden vorzugsweise vom Sicherheitsmodul 230 elektronisch signiert, vorzugsweise mit einem elektronischen privaten Schlüssel, der in einem elektronischen Zertifikat in der SIM-Karte oder im Sicherheitsmodul 230 abgelegt ist.

Das Terminal 2 umfasst vorzugsweise zusätzliche nicht darge- stellte Dateneingabemittel, beispielsweise eine Tastatur, eine Maus, ein Rollelement, ein Mikrophon usw., mit welchen die Applikation im Prozessor 23 gesteuert werden kann.

Der Benutzer 1 kann eine Session mit dem Server 4 aufbauen, in- dem er die entsprechende URL-Adresse oder Telefonnummer in sein Termi- nal 2 eingibt. Eine Session kann beispielsweise aufgebaut werden, um eine Transaktion zwischen dem Benutzer 1 und dem Dienstanbieter, der den Server betreibt, durchzuführen, beispielsweise um ein Produkt oder eine Dienstleistung des Dienstanbieters 4 zu bestellen und/oder zu bezahlen.

Während einer Session werden in der Regel Bilddaten des Servers 4 (beispielsweise HTML-Seiten oder WAP-Karten mit einem Bildinhalt) an das Terminal 2 übertragen und dem Benutzer 1 wiedergegeben. Minde- stens gewisse Bilddaten enthalten vorzugsweise GUI-Objekte (Graphical User Interface), beispielsweise Hyperlinks, Kontrollkästchen, Radioknöpfe usw., die vom Benutzer selektiert oder aktiviert werden können, um eine bestimmte Instruktion einzugeben, beispielsweise um eine andere Seite zu laden oder um eine Transaktion zu bestätigen.

Mindestens gewisse GUI-Objekte können mit den Augen selek- tiert oder aktiviert werden, um eine Instruktion einzugeben (beispielsweise indem mindestens ein Auge während mindestens einer vordefinierten Zeit in diese Richtung gerichtet ist). Vorzugsweise wird ein visuelles und/oder akustisches Feedback gegeben, sobald das Objekt selektiert worden ist.

Der Fernserver 4 des Dienstanbieters umfasst eine Benutzerprofil- Datenbank 40, in welcher Profildaten für jeden Benutzer registriert sind.

Die abgelegten Profildaten umfassen unter anderem für jeden Benutzer die benutzerspezifischen Sequenzen von Augenbewegungen.

Die Figur 2 zeigt schematisch einen Benutzer 1 mit einer Aus- führungsvariante des erfindungsgemässen Terminals, das hier in einer Brille integriert ist. Die Brille enthält einen Mobilfunkteil 24, eine VRD-Anzeige- vorrichtung 21, welche Bilder auf die Retina des Benutzers 1 projizieren kann, und ein Eye-Trackingssystem. Das Bezugszeichen 5 zeigt das projizierte Bild. Im dargestellten Beispiel umfasst dieses Bild eine Vielzahl von GUI-Objekten 50, die hier den Tasten einer virtuellen numerischen

Tastatur entsprechen. Eine Taste"C"ermöglicht das Korrigieren der erfassten Daten während die Taste"ok"das Bestätigen erlaubt.

Erfindungsgemäss werden mindestens gewisse Instruktionen mit Sequenzen von willentlichen Bewegungen von Augenteilen eingegeben, wobei die Sequenz, die zur Eingabe einer bestimmten Instruktion benötigt wird, für jeden Benutzer individuell ist. Im dargestellten Beispiel werden gewisse Instruktionen durch Augenselektion einer benutzerspezifischen Sequenz von Tasten 50 eingegeben.

Die Figur 4 zeigt ein Datenflussdiagramm, in welchem schema- tisch die möglichen Verfahrenschritte für die Aufnahme 100 der benutzer- spezifischen Sequenz für eine Instruktion in der Lernphase dargestellt werden. In einem ersten Schritt 101 wird die Instruktion vom Benutzer selektiert, die mit einer Sequenz von Augenbewegungen eingegeben wird.

Können mehrere Instruktionen für eine bestimmte Anwendung codiert werden, kann die gewünschte Instruktion beispielsweise aus einer Liste gewährt werden, die vom Server 4 bereitgestellt wird.

Im Schritt 102 gibt der Benutzer die Sequenz von Augenbe- wegungen ein, die mit der ausgewähiten Instruktion assoziiert werden soll.

Die Sequenz kann beispielsweise folgende Typen von Bewegungen von Augenteilen enthalten : Vordefinierte Blickrichtungen, vorzugsweise in die Rich- tung von GUI-Objekten, beispielsweise von virtuellen Tasten 50. Auf diese Weise kann ein numerischer Code einfach durch Betrachten der entsprechenden Tasten eingegeben werden.

Blinzelbewegungen eines bestimmten Auges oder beider Augen.

Willentliche schielende Augenbewegungen.

'Fokussierung der Augen auf eine bestimmte Distanz. Es ist damit beispielsweise möglich, verschiedene unterschiedlich weit entfernte GUI-Objekte auszuwählen. Auf der Figur 3 wird als Beispiel eine dreidimensionale virtuelle Tastatur dargestellt, die dem Benutzer wiedergegeben werden kann ; der Benutzer kann eine Taste auswählen, indem er die Blickrichtung und die Fokussierung anpasst.

'usw.

Jede einzelne, als solche anerkannte Augenbewegung wird vorzugsweise während dieser Lernphase vom Prozessor 23 bestätigt. Das Ende der Sequenz wird vorzugsweise vom Benutzer durch Selektion der virtuellen Taste"ok"oder durch eine spezielle, vordefinierte Augen- bewegung, bestimmt. Die gesamte Sequenz wird vorzugsweise ein zweites Mal bestätigt (Schritt 103), oder solange nötig, bis vordefinierten Kriterien über die Wiederholungsqualität erfüllt sind.

Im Schritt 104 wird die Bestätigung mit der ersten Sequenz ver- glichen. Sind die beiden Sequenzen unterschiedlich, wird der Benutzer auf- gefordert, den gesamten Prozess zu wiederholen (Pfeil 105). Je nach Sicher- heitsanforderungen kann vom Benutzer verlangt werden, eine minimale Anzahl von Augenbewegungen pro Sequenz oder mindestens zwei unterschiedliche Typen von Augenbewegungen einzugeben. Wird hingegen die Sequenz akzeptiert, wird sie von den Datenverarbeitungsmitteln 23 codiert, beispielsweise einfach als numerische Sequenz, in einen Beleg verpackt, der anhand des Sicherheitsmoduls 230 vorzugsweise signiert und verschlüsselt (Schritt 106) wird. Im Verfahrenschritt 107 wird dieser Beleg durch das Kommunikationsnetz 3 übertragen und vom Server 4 des Dienstanbieters empfangen und entschlüsselt. Im Verfahrenschritt 108 wird dann die ent- schlüsselte Sequenz mit dem Benutzer 1 und mit der ausgewähiten Instruk- tion verknüpft und in der Benutzerprofildatenbank 40 abgelegt.

In einer Variante kann die aufgenommene Sequenz auch im Terminal 2 statt in einem Fernserver abgelegt werden.

Die Signatur im Schritt 106 dient vor allem dazu, den Benutzer 1 zuverlässig zu authentifizieren. In einer Variante wird der Beleg mit dem privaten elektronischen Schlüssel des Benutzers elektronisch signiert ; der Server 4 verfügt über den entsprechenden öffentlichen Benutzerschlüssel, mit welchem die empfangene Signatur geprüft werden kann. In einer anderen Variante wird der Beleg mit biometrischen Parametern des Be- nutzers, beispielsweise mit einem (mit einer nicht dargestellten Retina-Bild- aufnahmeeinheit aufgenommenen) Bild der Retina und/oder der Iris des Benutzers verknüpft, die auch zum Server 4 gesendet werden, und mit welchen die Identität des Benutzers zuverlässig geprüft werden kann. Es ist auch möglich, diese beiden Signierungsverfahren gleichzeitig einzusetzen.

Wie schon erwähnt, kann ausserdem ein von der Körpertempera- tur abhängiger Parameter ermittelt werden und mit dem Beleg verknüpft werden, damit geprüft werden kann, ob das Terminal 2 wirklich von einem Menschen bedient wird und nicht von einer wiedergegebenen Bildsequenz betrogen wird.

Die Figur 5 zeigt ein Datenflussdiagramm, in welchem schema- tisch die Verfahrenschritte für die Eingabe 109 einer Instruktion mit einer Sequenz von willentlichen Augenbewegungen dargestellt werden. Die Sequenz der Augenbewegungen, die für eine bestimmte Instruktion be- nötigt wird, wird im Schritt 110 vom Benutzer 1 eingegeben und im Schritt 111 bestätigt, beispielsweise mit einem Blinzeln oder mit einer anderen speziellen Augenbewegung. Die eingegebene Sequenz wird im Schritt 112 codiert, anhand des Sicherheitsmoduls 230 elektronisch signiert und vor- zugsweise verschlüsselt, wobei die Signatur auch biometrische Merkmale des Benutzers enthalten kann. Die signierte Sequenz wird im Schritt 113 durch das Kommunikationsnetz 3 an den Fernserver 4 übertragen, wo sie entschlüsselt wird und wo die Signatur geprüft wird. Ist die Signatur korrekt, wird beim Schritt 114 in der Datenbank 40 geprüft, ob die

empfangene Sequenz einer abgelegten Sequenz des Benutzers entspricht (Matching).

Wird keine Instruktion in der Datenbank gefunden, die der empfangenen Sequenz entspricht, wird der Benutzer 1 beim Verfahrens- schritt 115 aufgefordert, eine neue Sequenz einzugeben (Pfeil 116). Wird hingegen ein Match gefunden, kann die vom Benutzer definierte Instruk- tion aus der Datenbank herausgeholt werden (Schritt 117) und, je nach Instruktion oder nach Variante, entweder vom Server 4 ausgeführt oder an das Terminal 2 übertragen werden.

In der Variante, in welcher die während der Lernphase aufgenommene Sequenz nur im Terminal 2 abgelegt worden ist, wird die in der Benutzungsphase eingegebene Sequenz mit aller im Terminal abgelegten Sequenzen verglichen.

Der Fachmann wird verstehen, dass die verschiedensten Instruk- tionen je nach Anwendung eingegeben werden können. Das erfindungs- gemässe Verfahren eignet sich insbesondere dazu, Geheimnisse (beispiels- weise Passwörter oder PIN-Nummer) einzugeben. Es können aber auch andere Instruktionen (unter anderem Transaktionsbestätigungen mit"JA" oder"NEIN", oder komplexere Abfragen, die auch Text und/oder Zahlen als Variable enthalten können) mit diesem Verfahren eingegeben werden.

In dieser beschriebenen Ausführungsvariante wird die vom Be- nutzer eingegebene Sequenz im Fernserver 4 eines Dienstanbieters geprüft.

In einer Variante der Erfindung wird die Sequenz von Augenbewegungen im Terminal 2 oder im Kommunikationsnetz 3 geprüft. In diesem Fall könnte die individuelle Prüfsequenz im Terminal 2 oder vorzugsweise in der Identifizierungskarte in diesem Terminal abgelegt werden. Es ist auch möglich, mit demselben System je nach Anwendung das Prüfen im Terminal 2 oder in einem Fernserver 4 zu erlauben.