Biometrische Merkmale werden unter anderem zur Identifizierung bzw.

Verifizierung von berechtigten Personen im Zusammenhang mit Zugangs- oder Zugriffskontrollen sowie bei der Durchführung von Finanztransaktio- nen eingesetzt. So kann mit Hilfe biometrischer Merkmale beispielsweise sichergestellt werden, dass ein Datenträger, wie z. B. eine Chipkarte, die im Rahmen der oben genannten Kontrollen oder Transaktionen zum Einsatz kommt, nur von der dazu berechtigten Person benutzt werden kann, d. h. nur der berechtigten Person wird der Zugang oder Zugriff freigegeben bzw. nur die berechtigte Person kann die Transaktion durchführen. Hierzu wird vor der Freigabe der Benutzung des Datenträgers ein biometrisches Merk- mal, wie beispielsweise ein Fingerabdruck, eine Stimmprobe oder die Aus- gestaltung des Augenhintergrundes usw. messtechnisch erfasst, und nur im Falle eines positiven Vergleichs der Messwerte mit auf dem Datenträger ge- speicherten Referenzwerten wird der Zugang oder Zugriff bzw. die Trans- aktion des Datenträgers freigegeben. Die Benutzung des Datenträgers findet üblicherweise im Zusammenhang mit einem Endgerät statt, mit dem der Datenträger kommuniziert. Der Vergleich der messtechnisch erfassten bio- metrischen Daten mit gespeicherten Referenzwerten kann prinzipiell sowohl im Datenträger als auch im Endgerät stattfinden. Da die biometrischen Messdaten häufig sehr umfangreich sind, und auch die Auswertung dieser Daten komplexe Rechenoperationen erfordert, werden hierzu eine hohe Re- chenleistung und viel Speicherplatz benötigt. Diese Anforderungen können von heute verfügbaren Datenträgern nicht oder nur bedingt erfüllt werden, so dass die Auswertung der biometrischen Messdaten in der Regel im End- gerät durchgeführt wird und der Datenträger nur als Speicher für die Refe- renzwerte dient.

Ein derartiges Endgerät ist aus der DE 44 39 593 C2 bekannt. In diesem Do- kument ist eine Vorrichtung zur Zugangs-und Zugriffskontrolle offenbart, die über ein Mikrophon zur Spracherfassung und eine Leseeinrichtung für Chipkarten verfügt. Mit Hilfe des Mikrophons wird eine Sprachprobe auf- genommen und in einer Sprachanalyseeinheit auf sprachtypische Parameter reduziert. Die Sprachparameter werden in einer Auswertungseinheit mit Referenzwerten verglichen, die auf der Chipkarte gespeichert sind und zum Zweck des Vergleichs von der Chipkarte an die Einrichtung zur Zugangs- kontrolle übertragen werden. Ein Nachteil dieser bekannten Einrichtung be- steht darin, dass die auf der Chipkarte gespeicherten Referenzwerte nach außen gegeben werden, und somit die Gefahr bestehen könnte, dass unbe- rechtigte Dritte von diesen Referenzwerten Kenntnis erhalten.

Aus der DE 44 39 593 C2 ist es weiterhin bekannt, dass die Vorrichtung zur Zugangskontrolle, die aus einer Sprachprobe ermittelten Sprachparameter an die Chipkarte weitergibt und die Chipkarte die übermittelten Sprachpa- rameter mit gespeicherten Referenzwerten vergleicht. Diese Vorgehensweise hat zwar den Vorteil, dass die gespeicherten Referenzwerte die Chipkarte nicht verlassen, und somit auch nicht die Gefahr besteht, dass diese von un- berechtigten Dritten abgehört werden könnten. Da aber nunmehr an Stelle der Referenzwerte für die Sprachparameter die gemessenen Werte für die Sprachparameter zwischen der Einrichtung und der Chipkarte übertragen werden müssen, besteht die Gefahr, dass statt der Referenzwerte die gemes- senen Werte von einem unberechtigten Dritten abgehört werden. Eine Kenntnisnahme der Messwerte des berechtigten Benutzers durch einen un- berechtigten Dritten ist aber von ähnlicher Brisanz wie eine Kenntnisnahme der Referenzwerte.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrich- tung zur Prüfung eines biometrischen Merkmals anzugeben, die einen mög- lichst hohen Sicherheitsstandard bieten und gleichzeitig mit vertretbarem Aufwand zu realisieren sind.

Diese Aufgabe wird durch die Ansprüche 1 und 13 erfüllt.

Um einen möglichst guten Schutz vor dem Missbrauch, einer missbräuchli- chen Anwendung des Datenträgers zu gewährleisten, ist es erforderlich, dass die Prüfung des biometrischen Merkmals vom Datenträger selbst und nicht etwa von dem Endgerät vorgenommen wird, mit dem der Datenträger im Rahmen seiner bestimmungsgemäßen Anwendung kommuniziert. Ein Pro- blem besteht jedoch insofern, als der Sensor oder die Sensoren zur Erfassung des biometrischen Merkmals in der Regel am Endgerät angebracht ist bzw. angebracht sind, und daher die Messwerte vom Endgerät zum Datenträger übertragen werden müssen. Ein weiteres Problem besteht darin, dass die Rechen-und Speicherkapazität heute üblicherweise eingesetzter Datenträ- ger, z. B. Chipkarten in der Regel nicht ausreichen, um ausgehend von den Messwerten des biometrischen Merkmals einen zuverlässigen Vergleich mit Referenzwerten in einer akzeptablen Zeit durchzuführen.

Die Erfindung löst diese Probleme dadurch, dass zum einen sämtliche si- cherheitsrelevanten Operationen innerhalb des Datenträgers durchgeführt werden und rechenintensive Operationen ausgelagert werden, soweit die Sicherheit dadurch nicht beeinträchtigt wird, und dass zum anderen im Rahmen dieser Auslagerung vom Datenträger vorgegeben wird, welche Da- ten in welcher Form vom Endgerät an den Datenträger übermittelt werden.

Statt jedes Mal den vollständigen Satz von Messwerten an den Datenträger zu senden, führt das Endgerät eine Vorauswertung der Messwerte durch, in

deren Rahmen auch eine Verknüpfung von aus den Messwerten erhaltenen Zwischenergebnissen mit Daten durchgeführt wird, die dem Endgerät von dem Datenträger übermittelt wurden. Nur das Ergebnis dieser Verknüpfung wird dann vom Endgerät an den Datenträger übermittelt, der dann anhand dieser Verknüpfungsergebnisse mit relativ geringem Aufwand feststellen kann, ob das messtechnisch erfasste biometrische Merkmal von einem be- rechtigten Benutzer stammt.

Die Auslagerung von rechenintensiven und nicht sicherheitsrelevanten Ope- rationen vom Datenträger in das Endgerät hat somit den Vorteil, dass der größte Teil des Rechenaufwands im Endgerät anfällt, das dafür entspre- chend ausgerüstet werden kann, und nur ein Bruchteil vom Datenträger selbst ausgeführt werden muss, ohne dass es zu einer Verringerung des Si- cherheitsstandards kommt. Weiterhin hat die Verknüpfung der Messwerte mit Daten des Datenträgers vor der Übertragung vom Endgerät zum Daten- träger den Vorteil, dass Manipulationsversuche mittels abgehörter Daten wesentlich erschwert werden. So kann der Datenträger beispielsweise seine Vorgaben für die Verknüpfung systematisch oder zufällig variieren und da- durch verhindern, dass eine Manipulation durch Wiedereinspielen der ab- gehörten Verknüpfungsergebnisse möglich ist. Insbesondere kann durch den Datenträger auch eine jeweils variierende Untermenge der vorausgewerteten Messwerte ausgewählt werden, so dass ein potentieller Angreifer immer nur Kenntnis von einem Teil der Messwerte erlangen könnte, und möglicherwei- se zudem nicht weiß, welcher Teil gerade vom Datenträger ausgewählt wur- de.

Zur besseren Veranschaulichung der Erfindung wird diese nachfolgend an- hand des biometrischen Merkmals"Fingerabdruck"für ein System, beste- hend aus einer Chipkarte und einem Endgerät, erläutert. Das beschriebene

Ausführungsbeispiel stellt dabei nur eine von vielen Realisierungsmöglich- keiten dar. Die Erfindung kann ebenso für beliebige andere biometrische Merkmale, wie beispielsweise Sprache, Augenhintergrund usw. eingesetzt werden. Außerdem können die Details der Realisierung, z. B. welche Charak- teristika des biometrischen Merkmals ausgewählt werden und wie diese Charakteristika dargestellt und ausgewertet werden, in weiten Grenzen vari- ieren.

Gemäß dem erfindungsgemäßen Verfahren wird zunächst ein Fingerab- druck messtechnisch erfasst, und durch eine geeignete Extraktionsfunktion werden aus den Messwerten die Charakteristika des Fingerabdrucks ermit- telt. Die Charakteristika können beispielsweise in Koordinaten und Art der Minuzien des Fingerabdrucks bestehen. Bei den Minuzien handelt es sich um charakteristische Punkte oder Formen etc. der Fingerabdrucklinien, wie beispielsweise Linienverzweigungen oder Linienendpunkte. Die Chipkarte gibt dem Endgerät z. B. die Koordinaten der aus den Messwerten ermittelten Minuzien vor, für die die Minuzienarten ausgewertet werden sollen. Das Endgerät verknüpft daraufhin die vorgegebenen Koordinaten mit dem aus den Messwerten ermittelten Datenmaterial für die Minuzien, ermittelt dar- aus die Art der an den vorgegebenen Koordinaten ermittelten Minuzien und leitet das Ergebnis an die Chipkarte weiter. Die Chipkarte prüft die übermit- telten Minuziendaten und stellt fest, ob das biometrische Merkmal von ei- nem berechtigten Benutzer stammt. Diese Prüfung kann beispielsweise durch Vergleich mit vorab auf der Chipkarte gespeicherten Referenzwerten erfolgen.

Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindungen werden nachfolgend anhand der in der Zeichnung dargestellten Ausführungsformen beschrieben.

Es zeigen Fig. 1 eine Chipkarte in Aufsicht, Fig. 2 ein Blockschaltbild des integrierten Schaltkreises der Chipkarte aus Fig. 1, Fig. 3 ein Blockschaltbild eines Endgeräts, Fig. 4 einen stark vergrößerten Ausschnitt aus einem Fingerabdruck, Fig. 5 einen Datensatz für die Charakteristika eines Fingerabdrucks, Fig. 6 eine Darstellung des Ablaufs des erfindungsgemäßen Verfah- rens, Fig. 7 eine Darstellung des erfindungsgemäßen Verfahrens unter Zuhilfenahme von Vektoren und Matrizen.

Fig. 1 zeigt eine Chipkarte 1 als ein Beispiel für einen Datenträger in Auf- sicht. Die Chipkarte 1 besteht aus einem Kartenkörper 2 und einem Chip- modul 3, das in einer Aussparung des Kartenkörpers 2 angeordnet ist. Das Chipmodul 3 besteht aus einem Kontaktfeld 4 und einem integrierten Schaltkreis 5, der unterhalb des Kontaktfeldes 4 angeordnet ist. Die Abmes- sungen der Chipkarte 1 sind durch die ISO-Norm 7810 festgelegt und die Funktionsweise des integrierten Schaltkreises 5 ist kompatibel zur ISO-Norm 7816. Die Chipkarte 1 kann beispielsweise als Ausweis für eine Zugangskon- trolle zu einem Gebäude vorgesehen sein oder als eine Berechtigungskarte für den Zugang zu einem elektrischen Gerät, beispielsweise einem Compu-

ter. Weiterhin kann es sich bei der Chipkarte 1 um eine Bankkarte, eine Kreditkarte, eine Scheckkarte oder ähnliches handeln, mit deren Hilfe Fi- nanztransaktionen durchgeführt werden können.

Neben der in Fig. 1 dargestellten genormten Chipkarte 1 kann die Erfindung auch in Zusammenhang mit anderen Chipkarten oder beliebigen anderen Datenträgern eingesetzt werden, die in der Lage sind, Daten zu speichern.

Die Fig. 2 zeigt ein Blockschaltbild des integrierten Schaltkreises 5 der in Fig.

1 dargestellten Chipkarte 1. Bei dem integrierten Schaltkreis 5 handelt es sich um einen Mikroprozessor, der in der Lage ist, selbständig Berechnungen durchzuführen. Der integrierte Schaltkreis 5 besteht aus einer Zentraleinheit 6, einem Speicher 7 und einer Ein-/Ausgabeinheit 8. Die Zentraleinheit 6 ist zum Zwecke des Datenaustausches sowohl mit dem Speicher 7 als auch mit der Ein-/Ausgabeeinheit 8 verbunden. Die Zentraleinheit 6 steuert die Funktionsweise des integrierten Schaltkreises 5 und greift dabei in der Regel auf Befehle zurück, die im Speicher 7 abgelegt sind. Der Speicher 7 kann als nichtflüchtiger Speicher, in der Regel ROM oder EEPROM oder als flüchtiger Speicher, RAM ausgeführt sein. In der Regel sind sowohl ein flüchtiger als auch ein nichtflüchtiger Speicher gleichzeitig vorhanden. Die von der Zen- traleinheit 6 ausgeführten Befehle sind in der Regel im ROM abgelegt, zum Teil auch im EEPROM. Im EEPROM sind darüber hinaus auch die Refe- renzwerte für die PIN bzw. für das biometrische Merkmal und weitere für die Anwendung benötigte Daten abgelegt. Der RAM dient als Arbeitsspei- cher, in dem gerade benötigte Daten temporär zwischengespeichert werden.

Der Datenaustausch zwischen dem integrierten Schaltkreis 5 und der Au- ßenwelt erfolgt über die Ein-/Ausgabeeinheit 8, die beispielsweise eine se- rielle Schnittstelle darstellt, und mit dem für die Ein-/Ausgabe von Daten

vorgesehenen Kontakt des Kontaktfeldes 4 elektrisch leitend verbunden ist.

Für das erfindungsgemäe Verfahren ist es nicht zwingend erforderlich, dass der Datenaustausch zwischen dem integrierten Schaltkreis 5 und der Au- ßenwelt über das Kontaktfeld 4 abgewickelt wird. Stattdessen kann auch eine kontaktlose Chipkarte zum Einsatz kommen, bei der der Datenaus- tausch nicht über das Kontaktfeld 4 erfolgt, sondern beispielsweise über eine Antennenspule oder über elektrische Koppelflächen.

Obwohl dies in Fig. 1 nicht explizit dargestellt ist, kann die Chipkarte 1 über einen Fingerabdrucksensor zur messtechnischen Erfassung des Fingerab- drucks verfügen. Dieser Sensor wäre dann an einer geeigneten Stelle des Kartenkörpers 2 angebracht. In der Regel wird der Fingerabdrucksensor je- doch am Endgerät angebracht sein, wie dies in Fig. 3 dargestellt ist, da zur Integration in Chipkarten 1 geeignete Fingerabdrucksensoren derzeit noch nicht oder nur sehr bedingt verfügbar sind.

Fig. 3 zeigt ein Blockschaltbild eines Endgeräts 9, mit dem die Chipkarte 1 in Datenaustausch tritt. Das Endgerät 9 weist einen integrierten Schaltkreis 10 sowie einen Fingerabdrucksensor 11, eine Tastatur 12 und eine Anzeige 13 auf. Der Fingerabdrucksensor 11 kann bei der Variante der Erfindung, bei der die Chipkarte über einen eigenen Fingerabdrucksensor verfügt, entfal- len. Der integrierte Schaltkreis 10 des Endgeräts 9 weist in Analogie zum integrierten Schaltkreis 5 der Chipkarte 1 eine Zentraleinheit 14 auf, die mit einem Speicher 15 und einer Ein-/Ausgabeeinheit 16 verbunden ist. Weiter- hin ist die Zentraleinheit 14 auch mit dem Fingerabdrucksensor 11, mit der Tastatur 12 und der Anzeige 13 verbunden.

Mit Hilfe des Fingerabdrucksensors 11 kann ein Fingerabdruck des Benut- zers messtechnisch erfasst werden. Die so ermittelten Daten können dann in

der Zentraleinheit 14 weiterverarbeitet werden und das Ergebnis dieser Ver- arbeitung kann über die Ein-/Ausgabeeinheit 16 an die entsprechende Ein-/ Ausgabeeinheit 8 des integrierten Schaltkreises 5 der Chipkarte 1 übermittelt werden. Ebenso kann die Zentraleinheit 14 über die beiden Ein-/Ausgabe- einheiten 8 und 16 Daten vom integrierten Schaltkreis 5 der Chipkarte 1 empfangen. Über die Tastatur 12 kann der Benutzer für die jeweilige An- wendung benötigte Daten manuell eingeben. Welche Dateneingabe jeweils erforderlich ist, kann dabei auf der Anzeige 13 angezeigt werden.

Um eine missbräuchliche Verwendung der Chipkarte 1 durch einen unbe- rechtigten Dritten zu verhindern, beispielsweise bei Verlust-oder Diebstahl der Chipkarte 1 ist die Benutzung der Chipkarte 1 nur nach einer zuvor er- folgten positiven Identifizierung bzw. Verifizierung eines biometrischen Merkmals des Benutzers, im folgenden Beispiel des Fingerabdrucks, mög- lich. Die Identifizierung über ein biometrisches Merkmal ersetzt oder er- gänzt die bei Chipkarten 1 übliche Authentifizierung des Benutzers durch Eingabe einer geheimen persönlichen Identifikationsnummer (PIN). Ein Re- ferenzwert für diese Identifikationsnummer ist im Speicher 7 des integrier- ten Schaltkreises 5 von außen unzugänglich gespeichert und wird mit der eingegebenen Identifikationsnummer verglichen. Analog hierzu sind bei der Erfindung im Speicher 7 des integrierten Schaltkreises 5 Referenzwerte für das biometrische Merkmal gespeichert, auf die bei einer Prüfung der Mess- werte zurückgegriffen wird. Fällt der PIN-Vergleich bzw. die Prüfung des biometrischen Merkmals positiv aus, so wird die Chipkarte 1 für die Benut- zung freigegeben. Andernfalls werden in der Regel noch eine bestimmte An- zahl von weiteren Versuchen zugelassen und falls auch diese Versuche nicht positiv verlaufen, wird die Chipkarte gesperrt.

Fig. 4 zeigt einen stark vergrößerten Ausschnitt aus einem Fingerabdruck.

Der Fingerabdruck setzt sich aus einer Reihe von mehr oder weniger stark geschwungenen Linien zusammen, die innerhalb des gezeigten Ausschnitts als durchgehende Linie verlaufen, sich verzweigen oder einen Endpunkt aufweisen. Für die Fingerabdruckprüfung können beispielsweise die Koor- dinaten der Verzweigungen und der Endpunkte als zu prüfende Charakteri- stika herangezogen werden, da ein derartiger Datensatz ein individuelles Merkmal der Person darstellt, von der der Fingerabdruck stammt. Um die Koordinaten der Charakteristika des Fingerabdrucks zu ermitteln, wurde der in Fig. 4 dargestellte Ausschnitt des Fingerabdrucks mit einem Koordi- natensystem versehen, und es wurden beispielhaft die Koordinaten xl und yl einer Linienverzweigung 17 sowie die Koordinaten x2 und y2 eines Lini- enendpunktes 18 eingezeichnet. Ein kompletter Datensatz für einen Finger- abdruck besteht aus einer ganzen Reihe solcher Koordinatenpaare, für die zudem jeweils die Art des Charakteristikums (Verzweigung, Endpunkt, ge- gebenenfalls weitere) angegeben ist. Die Struktur eines derartigen Datensat- zes ist in Fig. 5 dargestellt.

Fig. 5 zeigt eine mögliche Struktur eines Datensatzes refdata, der die Charak- teristika eines Fingerabdrucks repräsentiert. Die erste Zeile der in Fig. 5 dar- gestellten Zahlenmatrix gibt die laufende Nummer der einzelnen Koordina- tenpaare an. In der zweiten und der dritten Zeile werden die x-und y- Koordinate zur Festlegung der Positionen der Charakteristika des Fingerab- drucks aufgeführt. In der vierten Zeile wird jeweils durch einen Wert z für die einzelnen Koordinatenpaare angegeben, von welcher Art die Charakteri- stika des Fingerabdrucks sind, d. h. ob es sich jeweils um eine Verzweigung oder um einen Endpunkt usw. handelt. Der Datensatz besteht aus insgesamt n Einträgen, wobei jeder Eintrag vier Werte (laufende Nummer, x- Koordinate, y-Koordinate, Art des Charakteristikums) umfasst.

In Fig. 6 ist das erfindungsgemäße Verfahren zur Prüfung eines Fingerab- drucks dargestellt. Auf der linken Seite der Fig. 6 sind die Verfahrensschritte dargestellt, die im Endgerät 9 durchgeführt werden und auf der rechten Sei- te die Verfahrensschritte, die im Datenträger und damit im vorliegenden Beispiel in der Chipkarte 1 durchgeführt werden. Die Pfeile zwischen der linken und rechten Seite der Fig. 6 deuten einen Datentransport zwischen Endgerät 9 und Chipkarte 1 an.

Im Vorfeld des erfindungsgemäßen Prüfverfahrens, beispielsweise bei der Personalisierung der Chipkarte 1 durch den Kartenherausgeber, werden in der Chipkarte 1 eine Reihe von Daten und mathematischen Funktionen ge- speichert, die für die Durchführung des Verfahrens benötigt werden. Wie weiter unten noch im Einzelnen beschrieben, hängt es von der Ausführungs- form der Erfindung ab, um welche Daten es sich dabei im Einzelnen handelt.

Verfahrensschritte, die für eine Ausführungsform spezifisch sind, sind in Fig.

6 durch den Buchstaben A für eine erste Ausführungsform und durch den Buchstaben B für eine zweite Ausführungsform gekennzeichnet.

Das eigentliche Prüfverfahren beginnt mit der Erfassung des Fingerabdrucks des Karteninhabers durch das Endgerät 9. Hierzu ist es erforderlich, dass der Karteninhaber einen Finger, beispielsweise den Zeigefinger auf den Finger- abdrucksensor 11 des Endgeräts 9 auflegt. Die Trennung zwischen der In- itialisierung und der Prüfung im engeren Sinn wird in Fig. 6 durch eine waagrechte Linie verdeutlicht. Die im Rahmen der Fingerabdruckerfassung ermittelten Messwerte des Fingerabdrucks werden durch den Datensatz sens repräsentiert. Das Format und genaue Aussehen dieses Datensatzes sens spielt für die weitere Betrachtung keine Rolle. Wichtig ist lediglich, dass das Endgerät 9 über ein Funktion calc verfügt, mit der aus dem Messdatensatz sens ein Datensatz verdata ermittelt werden kann, der in seiner Struktur

dem Datensatz refdata entspricht, d. h. im Datensatz verdata sind für den aktuell gemessenen Fingerabdruck die Koordinaten und die Art der Charak- teristika des Fingerabdrucks vermerkt.

In einem nächsten Schritt übermittelt die Chipkarte 1 einen Datensatz refda- tal an das Endgerät. Der Datensatz refdatal wurde zuvor, ebenso wie ein Datensatz refdata2 aus dem Datensatz refdata ermittelt, indem auf den Da- tensatz refdata eine Extraktionsfunktion extrl bzw. extr2 angewendet wird.

Die Speicherung von refdata 1 und refdata2, insbesondere aber refdata wird üblicherweise in verschlüsselter Form erfolgen. Bezüglich der Einzelheiten zur Ermittlung der Datensätze refdatal und refdata2 ist zwischen zwei Aus- führungsformen der Erfindung zu unterscheiden.

Gemäß einer ersten Ausführungsform (Buchstabe A) ist der Datensatz refda- ta, dessen Format in Fig. 5 abgebildet ist, komplett in der Chipkarte 1 gespei- chert. Dieser Datensatz wurde beispielsweise vorab von der kartenherausge- benden Stelle aus Messdaten des Fingerabdrucks des zukünftigen Kartenin- habers erzeugt und im Speicher 7 der Chipkarte 1 abgelegt. Die Extraktions- funktionen extrl und extr2 werden immer dann auf den Datensatz refdata angewendet, wenn der Datensatz refdatal bzw. refdata2 benötigt wird und nicht bereits verfügbar ist. Im Falle des hier beschriebenen Beispiels einer Fingerabdruckprüfung anhand von Charakteristika des Fingerabdrucks be- schreibt der Datensatz refdatal die Koordinaten x und y der Charakteristika des Fingerabdrucks, die geprüft werden sollen. Der Datensatz refdata2 be- schreibt jeweils die Art der Charakteristika für die einzelnen Koordinaten.

Mit anderen Worten, der Datensatz refdatal weist die Zeilen 1 bis 3 des in Fig. 5 dargestellten Datensatzes refdata auf und der Datensatz refdata2 die Zeilen 1 und 4. Dabei ist insbesondere noch darauf hinzuweisen, dass der Datensatz refdatal und als Folge davon auch der Datensatz refdata2 in der

Regel nicht alle laufenden Nummern des Datensatzes refdata umfassen, d. h. die Datensätze refdatal und refdata2 repräsentieren jeweils nur eine Unter- menge der im Datensatz refdata jeweils mit einer laufenden Nummer verse- henen einzelnen Charakteristika des Fingerabdrucks. Dies ist für das im Fol- genden beschriebene erfindungsgemäße Verfahren von großer Bedeutung, da mit Hilfe des Datensatzes refdatal ausgewählt werden kann, welche Cha- rakteristika des Fingerabdrucks geprüft werden sollen.

Bei einer zweiten Ausführungsform (Buchstabe B) der Erfindung ist der Da- tensatz refdata nicht in der Chipkarte 1 gespeichert. Stattdessen sind ledig- lich die aus ihm abgeleiteten Datensätze refdatal und refdata2 im Speicher 7 der Chipkarte 1 gespeichert. Die gespeicherten Datensätze refdatal und ref- data2 werden in diesem Fall in der Regel jedoch sämtliche laufende Num- mern des Datensatzes refdata umfassen, und es wird dann jeweils erst bei der Fingerabdruckprüfung aus diesen vollständigen Datensätzen refdatal und refdata2 jeweils eine Untermenge für die Prüfung ausgewählt.

Das Bereitstellen der Datensätze refdatal und refdata2 kann somit sowohl gemäiR der ersten Ausführungsform durch Extrahieren und Bilden von Un- termengen aus dem gespeicherten Datensatz refdata als auch gemäß der zweiten Ausführungsform durch Bilden von Untermengen aus den gespei- cherten Datensätzen refdatal und refdata2 erfolgen. In jedem Fall handelt es sich bei den für das weitere Verfahren verwendeten Datensätzen refdatal und refdata2 um die Untermengen, die durch Auswählen bestimmter lau- fender Nummern hervorgegangen sind und in der Regel somit nicht mehr um Datensätze, die alle laufenden Nummern aufweisen.

Für das vorliegende Beispiel bedeutet die Übermittlung des Datensatzes ref- datal von der Chipkarte 1 an das Endgerät 9, dass die Chipkarte 1 dem End-

gerät 9 mitteilt, für welche Koordinaten der gemessene Fingerabdruck auf seine Charakteristika hin geprüft werden soll.

Die Auswahl der zu prüfenden Charakteristika, die von der Chipkarte 1 ge- troffen wird, kann nach unterschiedlichen Kriterien vorgenommen werden.

So kann im Sinne einer möglichst effizienten und zuverlässigen Prüfung ver- sucht werden, besonders signifikante bzw. deutlich erkennbare Charakteri- stika auszuwählen. Weiterhin kann die Auswahl zufallsbedingt oder nach einer geheimen Systematik variiert werden, um einen Missbrauch durch Ab- hören der übertragenenen Daten durch unberechtigte Dritte zu verhindern oder zumindest zu erschweren. Weiterhin kann die Auswahl auch von der aktuellen Anwendung abhängen, so dass beispielsweise bei einer Anwen- dung, in deren Rahmen nur geringe Geldbeträge transferiert werden und somit im Betrugsfall nur ein geringer Schaden angerichtet werden kann, eine geringere Anzahl von Charakteristika ausgewählt wird, als in einem Fall, bei dem höhere Beträge transferiert werden. Auf diese Art und Weise kann der getriebene Aufwand jeweils sehr gut an den erforderlichen Sicherheitsstan- dard angepasst werden. Um einen Angriff generell zu erschweren, ist es in allen Fällen natürlich auch möglich, dass der Datensatz refdatal und auch weitere zwischen der Chipkarte 1 und dem Endgerät 9 übermittelte Daten in verschlüsselter Form übertragen werden.

Im Endgerät 9 wird der übertragene Datensatz refdatal mit Hilfe einer Funktion f mit dem Datensatz verdata verknüpft und auf diese Art und Wei- se ein Datensatz verdata2 erzeugt. Anschaulich gesprochen, wird für jedes der mit dem Datensatz refdatal übertragenen Koordinatenpaare die Art des Charakteristikums des Fingerabdrucks ermittelt. Der so ermittelte Datensatz verdata2 gibt somit jeweils für die vorgegebenen Koordinaten die Art des gefundenen Charakteristikums an bzw. eine bestimmte Art der Codierung,

die besagt, dass für spezielle vorgegebene Koordinaten kein Charakteristi- kum ermittelt werden konnten, und weist somit die Zeilen 1 und 4 der Ma- trix aus Fig. 5 auf. Die Berechnung der Funktion f wäre in einer Chipkarte 1 aufgrund von Speicher-und/oder Zeitkomplexität nicht oder nur mit er- heblichem Mehraufwand mögich, da die Funktion f auch ein Ähnlichkeits- verfahren beinhaltet.

Anschließend wird der Datensatz verdata2 vom Endgerät 9 an die Chipkarte 1 übertragen. Die Chipkarte 1 prüft den Datensatz verdata2 und abhängig vom Ergebnis dieser Prüfung wird der Fingerabdruck als authentisches bio- metrisches Merkmal akzeptiert oder auch nicht. Bei der Prüfung kann es sich beispielsweise um einen Vergleich des aus der Messung ermittelten Daten- satzes verdata2 mit dem Referenzdatensatz refdata2 handeln. Dieser Ver- gleich kann so durchgeführt werden, dass für jede laufende Nummer des Referenzdatensatzes refdata2 die Art des Charakteristikums des Fingerab- drucks mit dem entsprechenden Wert eines aus den Messwerten ermittelten Datensatzes verdata2 verglichen wird. Der gemessene Fingerabdruck kann dann als authentisch akzeptiert werden, wenn zum einen die Anzahl der gefundenen Charakteristika im Datensatz verdata2 entweder absolut oder prozentual einen vorgebbaren Schwellwert überschreitet und zum anderen die Übereinstimmung zwischen den Datensätzen verdata2 und refdata2 ei- nen weiteren vorgebbaren Schwellwert überschreitet. Die dazu erforderli- chen Vergleichsoperationen lassen sich mit relativ geringem Rechen-und Speicheraufwand durchführen und sind dadurch von der Chipkarte 1 pro- blemlos abwickelbar. Daneben können auch eine Vielzahl anderer Auswer- teverfahren eingesetzt werden. So kann beispielsweise die Auswertung der Anzahl der gefundenen Charakteristika völlig unterbleiben und es kann le- diglich die Übereinstimmung zwischen den Datensätzen verdata2 und refda- ta2 geprüft werden, wobei in diese Prüfung in der Regel die Anzahl der ge-

fundenen Charakteristika insofern eingeht, als für jedes nicht gefundene Charakteristikum eine Nichtübereinstimmung festgestellt wird.

Neben der geschilderten Einsatzmöglichkeit im Zusammenhang mit einer Fingerabdruckprüfung lässt sich das erfindungsgemäße Verfahren auch bei anderen biometrischen Merkmalen einsetzen, beispielsweise zum Prüfen von Sprachproben oder von Messungen des Augenhintergrunds usw.

Das dem erfindungsgemäßen Verfahren zugrundeliegende Prinzip lässt sich in allgemeinerer Form unter Zuhilfenahme von mathematischen Symbolen beschreiben. Bei dieser Beschreibung wird davon ausgegangen, dass die biometrischen Daten, und zwar sowohl Messwerte als auch Referenzwerte, nach einer gewissen Vorverarbeitung in Form von Vektoren vorliegen. Diese Vektoren werden als x (Messwerte) und y (Referenzwerte) bezeichnet. Im Rahmen des erfindungsgemäßen Verfahrens wird auf der Basis eines Ver- gleichs der beiden Vektoren x und y ermittelt, ob das gemessene biometri- sche Merkmal mit großer Wahrscheinlichkeit authentisch ist. Eine relativ einfache Möglichkeit des Vergleichs besteht in der Berechnung des Euklidi- schen Abstandes. Alternativ zu diesem Vergleichsverfahren kann auch die Norm über positiv definite Matrizen gebildet werden, und auf diese Art und Weise der Vektor x der Messwerte mit den Vektor y der Referenzwerte verglichen werden. Hierzu wird zunächst der Differenzvektor z aus den Vektoren x und y gebildet und dann die Norm des Vektor z gemäß der For- mel llZll2= ZT Az gebildet. Die Matrix A dient dazu, die einzelnen Komponenten des Diffe- renzvektors z unterschiedlich stark zu gewichten.

Damit gemäß dem erfindungsgemäßen Verfahren eine Arbeitsteilung zwi- schen dem Endgerät und dem Datenträger vorgenommen werden kann, wird die Matrix A in eine orthogonale Matrix T und eine Diagonalmatrix D aufgespalten, so dass gilt : A = TT D T.

Somit ergibt sich das Quadrat der Norm zu : DTz||z||2=zTTT = (Tz) T D (Tz) = (Tx-Ty) T D (Tx-Ty) = (Tx-Ty) T D (Tx-Ty) wobei dii die Diagonalelemente der Matrix D darstellen.

Unter Berücksichtigung dieser Aufspaltung wird das erfindungsgemaße Verfahren durchgeführt, indem die Matrix A für die Gewichtung und der Vektor y für die Referenzwerte vorgegeben werden. Daraus werden durch geeignete Funktionen die orthogonale Matrix T, das Produkt aus der ortho- gonalen Matrix T und dem Referenzvektor y und die Diagonalmatrix D er- mittelt und im Datenträger 1 gespeichert.

Die Vorgehensweise bei einer Prüfung des biometrischen Merkmals ist in Fig. 7 dargestellt. Entsprechend Fig. 6 sind auch bei Fig. 7 die im Endgerät 9 durchgefiihrten Schritte auf der linken Bildseite dargestellt und die im Da- tenträger durchgeführten Schritte auf der rechten Bildseite. Voraussetzung

für das erfindungsgemäße Verfahren ist, dass die Matrizen T und D sowie das Produkt aus der Matrix T und dem Referenzvektor y vorab im Datenträ- ger 1 gespeichert wurden. Das eigentliche Prüfverfahren beginnt damit, dass das biometrische Merkmal vom Endgerät 9 erfasst wird. Das Ergebnis dieser Datenerfassung ist der Datensatz sens. Aus dem Datensatz sens wird unter Zuhilfenahme einer geeigneten Funktion calc der Vektor x der Messwerte ermittelt. Anschließend übermittelt der Datenträger 1 die orthogonale Ma- trix T an das Endgerät 9. Im Endgerät 9 wird das Produkt aus der Matrix T und dem Vektor x gebildet und an den Datenträger 1 übermittelt. Zur Be- rechnung der Norm des Differenzvektors z sind im Datenträger 1 lediglich noch Multiplikationen mit einer Diagonalmatrix erforderlich, so dass der Datenträger 1 zur Berechnung der Norm des Vektors z bei einer quadrati- schen Matrix der Dimension n letztendlich nur n Multiplikationen bzw.

Quadrierungen durchführen muss. Würde man die Norm des Vektors z di- rekt und ohne Übertragung der orthogonalen Matrix T an das Datenendge- rät 9 berechnen, wären im Datenträger n2 Multiplikationen erforderlich, d. h. durch das erfindungsgemäße Verfahren kann der Rechenaufwand im Daten- träger 1 erheblich reduziert werden. Auch bei dieser allgemeinen Vorge- hensweise werden sämtliche sicherheitsrelevanten Operationen im Daten- träger 1 durchgeführt. Die an das Datenendgerät 9 übertragene orthogonale Matrix T hängt zwar vom Vektor y der Referenzdaten ab, reicht aber nicht zur Rekonstruktion des Vektors y aus. Die bezüglich der Sicherheit kritische Diagonalmatrix D verbleibt im Datenträger 1.