AT500802A2

AT500802A2 - Gesicherte biometrische überprüfung von identität-kreuzverweisen zur verwandten anwendungen

Info

Publication number: AT500802A2
Application number: AT0800905A
Authority: AT
Inventors: Tamio Saito; Takashi Aida; Wayne Drizin
Original assignee: Ivi Smart Technologies Inc
Priority date: 2002-09-10
Filing date: 2005-04-08
Publication date: 2006-03-15
Also published as: IL167360A; AP2005003281A0; EA008983B1; MD20050099A; RS20050213A; NO20051783L; LU91144B1; AT500802A3; MXPA05002752A; US20080019578A1; EA200500476A1; MD4012B2; BR0314428A; AU2003274967A1; US7278025B2; WO2004025545A3; EP1537526A2; PL375780A1; NZ539208A; DE10393215T5

Description

1

SICHERE BIOMETRISCHE BESTÄTIGUNG VON QUERVERWEISEN FÜR DIE IDENTITÄT BEI BETREFFENDEN APPLIKATIONEN

Dieser Antrag beruht auf der und beansprucht die Priorität von den einstweiligen Anträgen 60/409.716, 10. September 2002 (Zahl 7167-102P1), 60/409.715, 10. September 2002 (Zahl 7167-103P), 60/429.919, 27. November4 2002 (Zahl 7167-104P), 60/433.254, 13. Dezember 2002 (Zahl 7167-105P) und 60/484.692, 3. Juli 2003 (Zahl 7167-106P), auf die hier in ihrer Gesamtheit Bezug genommen werden soll.

HINTERGRUND

Die Computerisierung und besonders die Internettechnik haben einen größeren Zugang zu Daten , einschließlich von Finanzdaten, medizinischen Daten und persönlichen Daten, sowie mit Einrichtungen ermöglicht, um Finanz- oder andere Transaktionen auszuführen, bei denen vertrauliche Daten aktualisiert oder ausgetauscht werden.

Im Allgemeinen werden Passwörter verwendet, um die Vertraulichkeit derartiger Daten zu bewahren. Die Passwörter beruhen jedoch oft auf dem Geburtsdatum oder der Telefonnummer, die leicht zu erraten sind, wobei dies überhaupt nicht sicher ist. Weiters kann auch ein kompliziertes, zufällig erzeugtes Passwort oft leicht gestohlen werden. Auf einem Passwort beruhende Zugriffssysteme sind daher gegenüber kriminellen Angriffen verwundbar, woraus sich Gefahren und Schäden für die Industrie und die Wirtschaft, aber auch für Menschenleben ergeben. Es besteht daher der Bedarf nach einem verbesserten Verfahren zur Sicherung von Daten und zum Schutz dieser Daten vor einem unerlaubten Zugriff.

Biometrische Daten können genaue Details, die schwer zu gewinnen, aber leicht zu analysieren sind (beispielsweise als Folge von Minutien eines Fingerabdrucks) oder Gesamtmuster aufweisen, die leicht zu gewinnen, aber schwer zu analysieren sind (beispielsweise die räumlichen Merkmale von benachbarten Windungen eines Fingerabdrucks).

Es gibt verschlüsselte Algorithmen, die einen digitalen ···· ·· · · · » · · · · ··· · · • · « · · · · · · ···#····· · ·· ·« ·· ·· · ··· 2

Schlüssel benötigen, der nur berechtigten Benutzern zugänglich ist. Ohne den richtigen Schlüssel können die verschlüsselten Daten nur mit einem beträchtlichen Aufwand an Zeit und Ressourcen für die Verarbeitung in ein verwendbares Format entschlüsselt werden, und auch nur dann, wenn bestimmte Merkmale der unverschlüsselten Daten bekannt (oder zumindest voraussagbar) sind.

Die in Japan veröffentlichte Patentanmeldung JP 60-029868, 15. Februar 1985, im Namen von Tamio SAITO, lehrt ein individuelles Erkennungssystem, das eine Erkennungskarte mit einem integrierten Speicher verwendet, um chiffrierte biometrische Daten zu registrieren, die man vom Kartenhalter erhält. Die biometrischen Daten können einen Stimmabdruck, einen Fingerabdruck, eine körperliche Erscheinung und/oder eine biologische Prüfung aufweisen. Im Betrieb werden die Daten auf der Karte ausgelesen und dechiffriert, um sie mit entsprechenden Daten zu vergleichen, die von jener Person gewonnen werden, die die Karte vorzeigt. Ein derartiges System ermöglicht die eindeutige Erkennung einer Einzelperson mit einem hohen Genauigkeitsgrad. Da man die biometrischen Daten mit einem externen Gerät erhält und verarbeitet, ist es schwierig, die auf der Karte gespeicherte Information gegen eine mögliche Veränderung und/oder einen Identitätsdiebstahl zu schützen.

Es wurde eine verbesserte Erkennungskarte vorgeschlagen, die auf der Karte einen datengesteuerten Multiprozessor-Chip aufweist, um ein Hardware-Zugangsschutzsystem (firewall) zu liefern, das die auf der Karte gespeicherten biometrischen Daten sowohl verschlüsselt als auch isoliert, wodurch ein wesentlich größerer Schutz gegen eine unberechtigte Änderung der gespeicherten Daten geliefert wird. Der tatsächliche Übereinstimmungs-Vorgang wurde jedoch im selben externen Leserterminal durchgeführt, mit dem die biometrischen Daten direkt gewonnen wurden, womit er gegenüber betrügerischen Manipulationen von außen möglicherweise verwundbar war.

ZUSAMMENFASSUNG

Eine erste Ausführungsform einer hochsicheren Erkennungskarte weist nicht nur einen auf der Karte befindlichen Speicher für 3 die gespeicherten biometrischen Daten, sondern auch einen auf der Karte befindlichen Sensor auf, um die biometrischen Daten direkt zu gewinnen. Ein abgesetztes Beglaubigungs-System enthält eine sichere Datenbasis, die die biometrischen Daten auf-weist. Ein auf der Karte befindlicher Prozessor führt einen vorbereitenden Übereinstimmungs-Vorgang aus, um zu bestätigen, dass die gewonnenen biometrischen Daten mit den lokal gespeicherten biometrischen Daten übereinstimmen. Nur dann, wenn eine positive lokale Übereinstimmung gegeben ist, werden irgendwelche gewonnenen Daten oder irgendwelche sensiblen gespeicherten Daten zum abgesetzten Beglaubigungs-System für eine zusätzliche Bestätigung und eine weitere Verarbeitung übertragen. Als zusätzlicher Schutz gegen böswillige Angriffe unterscheiden sich die lokal gespeicherten Daten vorzugsweise von den abgesetzt gespeicherten Daten, wobei die lokale Übereinstimmung und die abgesetzte Übereinstimmung vorzugsweise unter Verwendung von verschiedenen Übereinstimmungs-Algorithmen ausgeführt werden. Auch dann, wenn die Karte, die lokal gespeicherten Daten und/oder das lokale Terminal, mit dem die Karte verbunden ist, beeinträchtigt sind, besteht eine große Wahrscheinlichkeit, dass das abgesetzte Beglaubigungs-System noch in der Lage ist, die versuchte Einmischung zu erkennen.

Eine zweite Ausführungsform weist weiters einen auf der Karte befindlichen Speicher für die gespeicherten biometrischen Daten, einen auf der Karte befindlichen Sensor, um die biometrischen Daten direkt zu gewinnen, sowie einen auf der Karte befindlichen Prozessor auf. Bei dieser Ausführungsform wird jedoch der gesamte Übereinstimmungs-Vorgang von dem auf der Karte befindlichen Prozessor ausgeführt, wobei sowohl die ursprünglich gewonnenen biometrischen Daten als auch irgendwelche andre "private" Informationen, die in dem auf der Karte befindlichen Speicher gespeichert sind, keinen externen Verfahren zugänglich gemacht werden. Statt dessen wird in Abhängigkeit von einer erfolgreichen Übereinstimmung zwischen den neu gewonnenen biometrischen Daten und den vorher gewonnenen biometrischen Daten eine Bestätigungs-Meldung erzeugt. Die Bestätigungs-Meldung veranlasst, dass die Karte ähnlich wie eine herkömmliche ISO-SmartCard arbeitet, wenn eine erfolgreiche /erfolglose Eingabe einer herkömmlichen persönlichen Identifizierungs-Nummer (personal Identification number, PIN) er- 4 folgt, wobei jedoch eine zusätzliche Sicherheit durch ein sichereres Bestätigungs-Verfahren gewährleistet ist. Bei diesen beiden oben erwähnten Ausführungsformen werden die gespeicherten biometrischen Daten sowie irgendwelche zugeordnete, lokal gespeicherte Verschlüsselungs-Algorithmen oder Schlüssel für die Verschlüsselung vorzugsweise auf die Karte zu jenem Zeitpunkt, an dem die Ausgabe an den Kartenhalter ursprünglich erfolgt, so geladen, dass irgendwelche nachfolgende externe Zugriffe abgeschreckt werden, wodurch die Unversehrtheit der gespeicherten biometrischen Daten und das gesamte Bestätigungs-Verfahren weiter verbessert werden.

Bei einer Ausführungsform arbeitet die ISO-SmartCard als Zugangsschutzsystem (firewall), um den Sicherheits-Prozessor, der zum Speichern und Verarbeiten der geschützten biometrischen Daten verwendet wird, vor böswilligen externen Angriffen über die ISO-SmartCard Schnittstelle zu schützen. Bei einer anderen Ausführungsform wird der Sicherheits-Prozessor zwischen die ISO-SmartCard Schnittstelle und einen unveränderten ISO-SmartCard Prozessor eingesetzt, wobei er irgendwelche externe Kommunikationen solange sperrt, bis der Fingerandruck des Benutzers mit einem vorher registrierten Fingerabdruck ü-bereinstimmt.

Bei einer bevorzugten Ausführungsform einer hochsicheren Erkennungskarte mit der Möglichkeit einer auf der Karte befindlichen Fingerabdruck-Übereinstimmung, erfolgt eine Echtzeit-Rückmeldung, während der Benutzer seinen Finger über den Fingerabdruck-Sensor bewegt, wodurch eine optimale Anordnung des Fingers über dem Sensor erleichtert wird. Diese Rückmeldung verringert nicht nur die Kompliziertheit bei der Berechnung, sondern sie liefert auch eine zusätzliche Einrichtung, um zwischen einem unerfahrenen Benutzer und einem betrügerischen Benutzer zu unterscheiden, wodurch die Möglichkeit von falschen Ablehnungen und/oder Annahmen weiter herabgesetzt wird. Bei einer anderen bevorzugten Ausführungsform wird der Fingerabdruck-Sensor in einem Träger gehalten, der ihm eine zusätzliche Steifigkeit verleiht.

Bei einer beispielhaften Applikation werden die gewonnenen biometrischen Daten und/oder eine Anzeige für die Identität ···* ·· ··· • · · « · ··· · · · · ···· ·

des Kartenhalters verschlüsselt und in ein Transaktions-Netzwerk eingegeben, das eine Finanzeinrichtung sowie einen eigenen Beglaubigungs-Server aufweist, bevor irgendeine Bewilligung für einen Online-Zugriff auf vertrauliche Daten oder irgendein automatischer Vorgang erfolgen, um eine sichere Transaktion zu vervollständigen. Bei einer anderen beispielhaften Applikation wird der Ausgang von der Karte dazu verwendet, um einen physischen Zugriff in einen sicheren Bereich zu erhalten. Bei beiden Applikationen kann eine Aufzeichnung von erfolgreichen und erfolglosen Zugriffsversuchen entweder auf der Karte oder auf einem externen Sicherheits-Server oder auf beiden festgehalten werden.

ZEICHNUNGEN

In den Zeichnungen zeigt:

Fig. 1 eine Ausführungsform einer intelligenten Karte mit einer auf der Karte befindlichen biometrischen Bestätigung der Identität jener Person, die die Karte vorzeigt;

Fig. 2 ein Flussdiagramm, in dem ein beispielhaftes Verfahren dargestellt ist, um den Benutzer bei einer optimalen Anordnung eines Fingers auf dem Fingerabdruck-Sensor zu unterstützen;

Fig. 3 ein Funktions-Blockschaltbild eines biometrischen Bestätigungs-Systems, das sowohl eine lokale als auch eine abgesetzte Bestätigung der Identität einer Person liefern kann, die eine sichere Erkennungskarte vorzeigt; Fig. 4 ein Funktions-Blockschaltbild einer beispielhaften biometrischen Bestätigungs-Karte mit verschiedenen physischen Datenpfaden, die während dem ersten Laden der biometrischen Daten des Kartenhalters sowie während der Bestätigung der Identität des Kartenhalters zu einer abgesetzten Anwendung verwendet werden;

Fig. 5 eine alternative Ausführungsform der beispielhaften biometrischen Bestätigungs-Karte von Fig. 4, die für eine Verwendung mit einer unveränderten ISO-SmartCard CPU vorgesehen ist;

Fig. 6 ein Flussdiagramm, in dem die Kommunikation zwischen einer beispielhaften Applikation und einer beispielhaften Bestätigungs-Karte dargestellt ist, bei der 6 nur eine lokale Bestätigung der Identität des Kartenhalters ausgeführt wird;

Fig. 7 ein dem Flussdiagramm von Fig. 6 ähnliches Flussdiagramm, das jedoch für eine Verwendung mit der beispielhaften biometrischen Bestätigungs-Karte von Fig. 5 abgeändert wurde;

Fig. 8 eine zweite Ausführungsform einer intelligenten Karte mit einer auf der Karte befindlichen biometrischen Bestätigung, die entweder drahtlos oder über einen e-lektrischen Anschluss mit einem lokalen Terminal verbunden werden kann;

Fig. 9 einen Schnitt durch die Karte von Fig. 8;

Fig. 10 das Schaltbild eines beispielhaften Fingerabdruck-Sensors; und

Fig. 11 eine Ausführungsform eines Trägeraufbaus für den Sensor von Fig. 10.

AUSFÜHRLICHE BESCHREIBUNG

Intelligente Karte (smart card)

Der Ausdruck „intelligente Karte" oder „kluge Karte" wird hier im allgemeinen Sinn dazu verwendet, um irgendeinen physischen Gegenstand zu bezeichnen, der klein genug ist, dass man ihn in der Hand halten, um den Hals hängen oder anders mit sich tragen kann, wobei er einen Mikroprozessor aufweist, der eine digital kodierte Information speichern, verarbeiten und kommunizieren kann, die einen bestimmten Kartenhalter betrifft oder auf diesen Bezug hat. Ein bekanntes Beispiel einer derartigen intelligenten Karte ist die ISO-(international Standards Organization) -SmartCard, die die gleiche Größe und Form wie eine herkömmliche Kreditkarte besitzt, jedoch einen Flash-Speicher, um den Benutzer betreffende Daten zu speichern, sowie einen Mikroprozessor aufweist, der mit einem leistungsfähigen Verschlüsselungs-Algorithmus programmiert werden kann, der anzeigt, ob eine PIN (persönliche Identifizierungs-Nummer, personal Identification number), die von einem Benutzerterminal empfangen wurde, mit einer verschlüsselten PIN, die auf der Karte gespeichert ist, übereinstimmt oder nicht, wodurch ein größerer Grad des Vertrauens geliefert wird, dass jene Person, die die Karte vorzeigt, der wirkliche Kartenhalter ist, als 7 dies bei einem Bestätigungs-System möglich wäre, das lediglich auf einem optischen Vergleich von Unterschriften und/oder einer physischen Ähnlichkeit beruht.

Nunmehr soll auf Fig. 1 Bezug genommen werden, in der eine Ausführungsform einer intelligenten Karte mit einer auf der Karte befindlichen biometrischen Bestätigung dargestellt ist. Die Karte 100 besteht im Allgemeinen aus einem Kunststoff und besitzt das Gesamtaussehen einer herkömmlichen Kreditkarte mit etwa jenen Abmessungen, wie sie in der ISO 7816 mit etwa 53,98 x 85,6 mm und einer Dicke von etwa 0,76 mm oder mehr festge-legt sind. Ähnlich wie bei einer herkömmlichen Kreditkarte weist die Karte 100 einen freien oberen Bereich 102 auf, der sich in Querrichtung über die gesamte Breite der Karte erstreckt, um auf der Rückseite der Karte einen Magnetstreifen (wie er von ISO 7811-2 und 7811-6 festgelegt wird) zu tragen, auf dem eine herkömmlich kodierte alphanumerische Information über den Kartenhalter sowie irgendein zugeordnetes Konto gespeichert sein können, wodurch die Karte 100 in einem herkömmlichen Magnetstreifenleser verwendet werden kann. Da jedoch irgendwelche Daten, die im Magnetstreifen eingebettet sind, leicht verändert werden können, ist ein derartiger Magnetstreifen nur für eine Verwendung bei bestimmten Applikationen vorgesehen, wo die Notwendigkeit einer Rückwärtskompatibilität mit älteren Terminals auf Magnetstreifenbasis eine mögliche Beeinträchtigung der Sicherheit überwiegt, die ein Magnetstreifen in das System einbringt.

Der obere Bereich 102 kann auch dazu verwendet werden, um verschiedene Maßnahmen zur Verhinderung von Betrügereien zu tragen, beispielsweise ein fälschungssicheres Farbfoto des Kartenhalters und/oder ein Hologrammlogo des Kartenausgebers. Der untere Bereich 104 der Karte 100 kann auf herkömmliche Weise für eine geprägte Information (wie sie von ISO 7811-1 festgelegt wird) verwendet werden, beispielsweise für den Namen des Kartenhalters, für die Kennung eines Nummernkontos (oder Karte) sowie für ein Ablaufdatum, um die Karte 100 in einem herkömmlichen Kartendrucker verwenden zu können. • ·· • * · · · · • · I · « ··· · ··*· ···« • · · ·· · · · · II II Μ Μ · Μ· 8

Der obere Bereich 102 und der untere Bereich 104 sind durch einen mittleren Bereich 106 getrennt, in dem eine Reihe von 8 sichtbaren ISO-SmartCard Kontaktanschlüssen 108 eingebettet ist, die eine bequeme elektrische Verbindung zwischen der Karte und entsprechenden Kontakten auf einem Kartenleser liefern. Mit dieser Einrichtung können zwischen dem Leser und der Karte nicht nur Daten sondern auch eine Spannungsversorgung sowie Taktsignale und Steuersignale ausgetauscht werden, wie dies in ISO 7816-3 festgelegt ist.

Auf der rechten Seite des Bereichs 106 ist ein Sensorfeld 110 zu sehen, das dazu verwendet wird, um Fingerabdruck-Daten vom Finger des Kartenhalters zu gewinnen. Die Karte ist vorzugsweise mit einem ID-Kode, der für den Sensor 110 einmalig ist, oder einem anderen elektronischen Bauelement versehen, das in die Karte eingebettet ist, beispielsweise einem Kode im Format einer herkömmlichen IP- und/oder MAC-Adresse.

Weiters zeigt Fig. 1 vereinfacht verschiedene zusätzliche e-lektronische Bauelemente, die mit den Kontaktanschlüssen 108 und dem Sensor 110 Zusammenwirken, um eine größere Funktionalität und im Besonderen eine bessere Sicherheit zu liefern, als dies andernfalls möglich wäre.

Bei einer Ausführungsform ist der mit einer ISO-SmartCard kompatible Prozessor 112 direkt mit ISO-Kontaktanschlüssen 108 verbunden, um eine elektrische Verbindung mit einem externen, ISO-kompatiblen Kartenleser (nicht dargestellt) zu liefern, um dadurch nicht nur eine Spannungsversorgung für die auf der Karte befindliche Elektronik sondern auch eine Einrichtung zu liefern, um Daten zwischen der Karte und irgendeiner externen Kommunikations-Software, einer Sicherheits-Software, einer Transaktions-Software und/oder einer anderen Applikations-Software auszutauschen, die auf dem Kartenleser oder auf irgendwelchen zugeordneten Rechnereinrichtungen laufen, die mit dem Kartenleser vernetzt sind.

Obwohl bei der gezeigten Ausführungsform der Datenpfad zwischen der Karte 100 und dem externen Kartenleser als drahtgebundene Verbindung unter Verwendung einer ISO-genormten Smart-Cart-Kontaktanordnung dargestellt ist, ist ersichtlich, dass ···· ·· ··· • · · · · ··· · · ···· ···· · • ·· ·· ·· ·· · «· ·« ·· ·* * ·*· 9 bei anderen Ausführungsformen auch andere Übertragungstechniken verwendet werden können, beispielsweise USB oder RS 232C oder SPI (serielle) Verbindungen, möglicherweise drahtlos über HF-(Hochfrequenz), Mikrowellen- und/oder IR-(Infrarot)-Verbindungen.

Obwohl die beschriebene Ausführungsform die Spannungsversorgung vom Kartenleser erhält, können andere Ausführungsformen auch eine auf der Karte befindliche Spannungsversorgung besitzen, beispielsweise eine Solarzelle oder eine Batterie. Eine derartige auf der Karte befindliche Spannungsversorgung kann beispielsweise dann vorteilhaft sein, wenn die mechanische Schnittstelle zwischen der Karte 100 und einer bestimmten Art des Kartenlesers so aufgebaut ist, dass der Benutzer nicht auf den Fingerabdruck-Sensor 110 zugreifen kann, wenn die Kontakte 108 mit den entsprechenden Anschlüssen innerhalb des Kartenlesers verbunden sind, wodurch die Fingerabdruck-Daten des Benutzers dann gewonnen werden müssen, wenn die Karte 100 nicht direkt mit dem Kartenleser verdrahtet ist.

Sicherheits-Prozessor

Wie man sieht, liegt der Sicherheits-Prozessor 114 zwischen dem ISO-Prozessor 112 und dem Sensor 110, um eine sichere Verarbeitung und Speicherung der gewonnenen Daten sowie ein sicheres Zugangsschutzsystem ("firewall") zu liefern, um die Daten und die Programme, die in ihren dedizierten Speicher gespeichert sind, vor einem untauglichen Zugriffsversuch über den ISO-Prozessor 112 zu schützen, wie dies später beschrieben wird. Ein derartiges Zugangsschutzsystem (firewall) kann so aufgebaut sein, dass es nur verschlüsselte Daten durchlässt, die einen Schlüssel für die Verschlüsselung verwenden, der auf einer einmalig zugeordneten Netzwerkadresse beruht oder andernfalls für die spezielle Karte einmalig ist, beispielsweise Daten, die von einem vorher gespeicherten Fingerabdruck-Muster oder einer einmalig zugeordneten Gerätenummer, beispielsweise einer CPU-Nummer oder der Nummer eines Fingerabdruck-Sensors, hergeleitet sind. Bei einer anderen Ausführungsform lässt das Zugangsschutzsystem (firewall) nur Daten durch, die einmalige Erkennungsdaten von einer früheren Übertragung oder Daten enthalten. Bei noch weiteren Ausführungsformen besitzt das Zu- 10 gangsschutzsystem verschiedene Schlüssel für verschiedene Applikationen, wobei es diese Schlüssel dazu verwendet, um die Daten zu einem entsprechenden unterschiedlichen Prozessor oder Speicherplatz zu leiten.

Bei einer weiteren Ausführungsform (nicht dargestellt) ist der Sicherheits-Prozessor 114 direkt mit den ISO-Kontakten 108 verbunden und arbeitet als sicherer Wächter zwischen dem ISO-Prozessor 112 und den ISO-Kontakten 108. Ein derartiger alternativer Aufbau besitzt den Vorteil, dass die zusätzliche Sicherheit vom Sicherheits-Prozessor 114 und dem Sensor 110 gewährt wird, ohne irgendeinem Kompromiss von irgendwelchen Si-cherheitsmerkmalen, die bereits im ISO-Prozessor 112 enthalten sein können.

Der Sicherheits-Prozessor 114 weist vorzugsweise einen nicht-flüchtenden HalbleiterSpeicher oder Nicht-Halbleiterspeicher auf, beispielsweise einen FRAM, OTP, E2PROM, MRAM, MROM, um ein vorher registriertes Fingerabdruck-Muster und/oder andere persönliche biometrische Informationen zu speichern. Bei anderen Ausführungsformen können einige oder alle Funktionen des Sicherheits-Prozessors 114 im ISO-Prozessor 112 implementiert sein, und/oder es können einige oder alle Funktionen des ISO-Prozessors 112 im Sicherheits-Prozessor 114 implementiert sein. Eine derartige kombinierte Implementierung kann noch immer ein Zugangsschutzsystem für die Software (software-firewall) zwischen verschiedenen Funktionen besitzen, das dann besonders vorteilhaft ist, wenn die Einrichtung in ein Verfahren implementiert wurde, das keine spätere Abänderung der gespeicherten Software-Programme zulässt. Andererseits können beide Prozessoren 112, 114 getrennte Prozessoren in einer einzigen Mehrprozessor-Stufe sein, die so aufgebaut ist, dass sie jeden Prozessor vor irgendeiner Störung durch den anderen Prozess schützt, der in einem unterschiedlichen Prozessor abläuft. Ein Beispiel für eine derartige Mehrprozessor-Stufe ist der DDMP (datengesteuerter Mehrprozessor, data driven multiple processor) von Sharp, Japan.

Obwohl sowohl diese verschiedenen Sensoren und Kontakte als auch andere elektronische Bauelemente, wie auch die gedruckten Schaltkreise oder eine andere elektrische Verdrahtung, über ···· · · · ·· ···· ···· · · ···· ···· · ·······«· 9 • 9 ·· 99 ·· 9 ··· 11 die sie miteinander verbunden sind, vorzugsweise vollständig innerhalb des Körpers der Karte 100 enthalten sind, so dass sie vor einem Verschleiß und externen Verschmutzungen geschützt sind, schützt sie die bevorzugte Anordnung im mittleren Bereich 106 zwischen dem oberen Bereich 102 und dem unteren Bereich 104 vor einer möglichen Beschädigung durch die herkömmlichen Magnetstreifen-Leser, Präge- und Druckeinrich tungen, die mit anderen Bereichen eine mechanische Schnittstelle besitzen. LED-Rückmeldung

Leuchtdioden (LEDs) 116a, 116b werden vom Sicherheits-

Prozessor 114 angesteuert und liefern dem Benutzer eine sichtbare Rückmeldung. Bei der gezeigten Ausführungsform sind sie im unteren Bereich 104 angeordnet, vorzugsweise an einer Stelle an jener Seitenkante der Karte, die von den Kontaktanschlüssen 108 entfernt liegt. In jedem Fall sind die LEDs 116a, 116b vorzugsweise dort angeordnet, wo sie während eines Prägevorgangs nicht beschädigt werden können und wo sie sichtbar sind, wenn die Karte in einen herkömmlichen ISO-SmartCard Leser eingeführt ist, und/oder während der Finger des Benutzers über dem Fingerabdruck-Sensor 110 angeordnet wird. Beispielsweise: im Bestätigungsbetrieb: - ROT blinkt: warten auf den Finger - Blinken hört auf: Finger ist auf dem Sensor angeordnet - ROT blinkt einmal: keine Übereinstimmung möglich, Fin ger muss bewegt werden - GRÜN blinkt einmal lang: Übereinstimmung, Finger kann ent fernt werden im Registrierbetrieb: - GRÜN blinkt: - Blinken hört auf: - ROT blinkt einmal: - GRÜN blinkt einmal: warten auf den Finger Finger ist auf dem Sensor angeordnet kein Registrieren möglich, Finger muss bewegt werden registriert, Finger kann entfernt werden ···· ·· · · · ···· ···· · · #··· ···· · ····*·««· · • · ·· ·· «· · Μ· 12 im Löschbetrieb: - GRÜN und ROT blinken: bereit zum Löschen - GRÜN blinkt einmal: gelöscht

Dem Benutzer stehen viele Möglichkeiten offen, wie er seinen Finger für eine erfolgreiche Übereinstimmung oder Registrierung anordnen kann, bevor eine Ablehnungs-Meldung übertragen wird. Bei einer Ausführungsform wird eine Ablehnungs-Meldung zum Beglaubigungs-Server nur dann übertragen, wenn der Benutzer seinen Finger entfernt hat, bevor die grüne ok-Anzeige empfangen wurde, oder wenn ein vorgegebenes Zeitlimit überschritten wurde. Ein derartiger Prozess erzieht den Benutzer nicht nur dazu, dass er seinen Finger optimal über dem Sensor anordnet, wobei dies nicht nur die Kompliziertheit der Berechnung herabsetzt, sondern er ermöglicht auch die Verwendung von genauer unterscheidenden Schwellenwerten. Diese sichtbare Rückmeldung liefert weiters eine psychologische Grundlage für eine Unterscheidung zwischen einem unerfahrenen Benutzer (der es typisch weiter versucht, bis er die richtige Anordnung erreicht) und einem betrügerischen Benutzer (der typisch keine Aufmerksamkeit erregen will und weggeht, bevor seine böswilligen Absichten erkannt werden). Das Endergebnis besteht in einer beträchtlichen Herabsetzung der Möglichkeit von falschen Ablehnungen und/oder falschen Annahmen.

Fig. 2 zeigt ein beispielhaftes Verfahren, um den Benutzer darin zu unterstützen, wenn er seinen Finger auf dem Sensor 110 anordnet. Im Block 150 blinkt die ROTE-LED 116b. Wenn einmal ein Finger abgetastet wurde (Block 152), hört die LED zu blinken auf und es erfolgt eine Prüfung (Block 154) der Bildqualität (festgelegte längliche Bereiche, die den Erhebungen und Vertiefungen der Fingerhaut entsprechen). Wenn die Qualität unzureichend ist (NEIN-Zweig 156), informiert ein einmaliges Blinken der ROT-LED 116b den Benutzer, dass er seinen Finger auf eine andere Stelle bewegen muss (Block 158). Im anderen Fall (JA-Zweig 160) wird eine zweite Prüfung (Block 162) durchgeführt, um festzustellen, ob der selbe Finger in der selben Stellung angeordnet ist, die dazu verwendet wurde, um den Benutzer zu registrieren, so dass ein relativ einfacher Übereinstimmungs-Algorithmus bestätigen kann, dass die direkten Daten innerhalb eines vorgegebenen Schwellenwerts den ge- Ι· ·· ···· ·· ·Μ» · ···· « · · ·· • ·· · « Mf · · • ♦ · · ·#*· · «·······* « ♦ · ·· * · Μ · ΜΙ 13 speicherten Daten entsprechen, wodurch bestätigt wird, dass der direkte Finger der selbe Finger ist, der ursprünglich registriert wurde (JA-Zweig 164), und die GRÜN-LED 116a wird ausreichend lang (Block 168) in Betrieb gesetzt (Block 166), um zu bestätigen, dass eine erfolgreiche Übereinstimmung durchgeführt wurde und der Benutzer jetzt seinen Finger entfernen kann. Wenn andererseits der Übereinstimmungs-Schwellenwert nicht angetroffen wird (NEIN-Zweig 170), informiert ein einziges Blinken der ROT-LED 116b (Block 158) den Benutzer, dass er seinen Finger auf eine andere Stelle bewegen muss, und der Vorgang wird wiederholt.

Beispielhafte Netzwerkarchitekturen

Nunmehr wird auf Fig. 3 Bezug genommen, in der eine mögliche Ausführungsform eines biometrischen Bestätigungs-Systems dargestellt ist, das sowohl eine lokale als auch eine abgesetzte Bestätigung der Identität einer Person ausführen kann, die eine sichere Erkennungskarte vorzeigt. Das System weist drei Hauptkomponenten auf: ein Client-Terminal 200, einen Applikations-Server 202 und einen Beglaubigungs-Server 204. Das Client-Terminal 200 arbeitet so, dass es den Fingerabdruck eines Benutzers direkt abnehmen und lokal verarbeiten kann, um die lokal verarbeiteten Daten zu verschlüsseln, und eine sichere Kommunikation mit dem Applikations-Server und dem Beglaubigungs-Server hersteilen kann, vorzugsweise über das Internet, unter Verwendung des IP/TCP-Adressenschemas und Ü-bertragungsprotokolls, wobei ein Schutz gegen einen böswilligen Zugriff durch herkömmliche IP-Zugangsschutzsysteme (fire-walls) 206 geliefert wird. Bei anderen Ausführungsformen können die Zugangsschutzsysteme 206 von Filtern und Verschlüsse-lungs-Kodierern/Dekodierern gebildet werden, die übertragene Daten kodieren, nachdem bestätigt wurde, dass es sich um genehmigte Daten handelt, und die empfangene Daten dekodieren, bevor entschieden wird, ob es sich tatsächlich um genehmigte Daten handelt, beispielsweise unter Verwendung eines Verschlüsselungs-Algorithmus, wie z.B. DES128. Damit kann das Zugangsschutzsystem 206 Daten nicht nur auf Grund des Nachrichtenkopfs sondern auch auf Grund des Nachrichteninhalts als genehmigte oder möglicherweise böswillige Daten beurteilen. ·«·· · · ··· +··· ···· · · • « · I · · · · · • · # · · ·# * · · ·· ·♦ ·· ·· » ··· 14

Das Client-Terminal 200 kann als Gerät eines dedizierten Netzes ausgeführt sein, oder es kann als Software ausgeführt sein, die auf einem programmierbaren Desktop, Notebook oder einer anderen Workstation oder einem Personalcomputer installiert ist, die mit einem gängigen Betriebssystem betrieben werden, beispielsweise Windows XXX, OS X, Solaris XX, Linux oder Free BSD. Das Client-Terminal 200 weist vorzugsweise auf den letzten Stand gebrachte "negative" Datenbasen auf (beispielsweise Kenndaten von verlorenen oder gestohlenen Karten oder Einschränkungen bei einer bestimmten Karte oder Kartengruppen), die ein zusätzliches Maß an Sicherheit gewähren.

Der Applikations-Server 202 arbeitet so, dass er eine Transaktion ausführt oder anders auf Befehle vom abgesetzten Benutzer am Client-Terminal 200 antwortet, nachdem die Identität des Benutzers vom Beglaubigungs-Server 204 festgestellt wurde. Der Beglaubigungs-Server 204 arbeitet so, dass er eine sichere Kommunikation sowohl mit dem Client-Terminal 200 als auch mit dem Applikations-Server 202 herstellt, um beglaubigte Fingerabdruck-Daten sowie andere Informationen zu speichern, die früher registrierte Benutzer betreffen, um die gespeicherten Daten mit den verschlüsselten direkten Daten zu vergleichen, die vom Client-Terminal 200 empfangen werden, und den Applikations-Server 202 zu benachrichtigen, ob die bestimmten direkten Fingerabdruck-Daten mit den bestimmten gespeicherten Fingerabdruck-Daten übereinstimmen.

Genauer gesagt: das Client-Terminal 200 enthält weiters zwei Hauptkomponenten: einen ortsfesten Kartenleser 208, wobei diese Komponente ein Internet-Browserterminal 210 und eine Kartenleser-Schnittstelle 108a aufweist (bei der es sich um ein einfaches USB-Kabel handeln kann, das in einer Reihe von e-lektrischen Anschlüssen endet, um eine entsprechende elektrische Verbindung mit den ISO-SmartCard Kontaktanschlüssen 108 herzustellen), sowie eine tragbare Komponente der intelligenten Karte 100'. Bei einer Ausführungsform kann die tragbare Komponente 100' die oben beschriebene intelligente Karte 100 einschließlich des Fingerabdruck-Sensors 110, des Sicherheits-Prozessors 114 und des ISO-SmartCard Prozessors 112 sein.

Der Applikations-Server 202 enthält weiters eine Internetser-

* ·· · · · · # • · * · · · · • ·· · · · 4 » Μ ·· lt · · 15 ver-Schnittstelle, die das Zugangsschutzsystem 206 und den Internet-Browser 214 aufweist, sowie ein Transaktionen-Applikationsmodul 216 und ein Gültigkeits-Modul 218. Wenn der Applikations-Server und das Applikations-Modul 216 Legacy-Einrichtungen sind, die nicht dafür aufgebaut sind, dass sie extern mit dem IP/TCP-Protokoll kommunizieren, kann das Zugangsschutzsystem 206 durch einen geeigneten Protokollumsetzer ersetzt werden, der das Gültigkeits-Modul 218 enthält und eine feste IP-Adresse besitzt. Der Applikationsservice-Server kann beispielsweise von einem Dritten betrieben werden, der willig ist, Dienste über das Internet für einen berechtigten Benutzer bereitzustellen.

Der Beglaubigungs-Server 204 enthält weiters eine Internetserver-Schnittstelle 220, ein Verarbeitungs-Modul 222, das einen Fingerabdruck-Übereinstimmungsalgorithmus 224 aufweist, sowie eine Datenbasis 226, um Fingerabdruck-Informationen und andere beglaubigte Informationen zu speichern, die von Einzelpersonen dann gesammelt wurden, wenn diese Einzelpersonen im System registriert wurden und ihre Identität zur Zufriedenheit des Systemoperators verbürgt ist. Als weitere Erhöhung der Sicherheit werden die gespeicherten Daten für irgendeine bestimmte Einzelperson vorzugsweise nicht auf dem Applikations-Server als einzige Folge einer Information gespeichert, sondern es wird eher jeder Wert getrennt gespeichert, wobei auf irgendwelche benötigte Indizes oder Verhältnisse, mit denen diese Werte verbunden sind, nur über einen entsprechenden Schlüssel zugegriffen werden kann, der als Teil der privaten Daten der Einzelperson im Beglaubigungs-Server bereitgehalten wird.

Anordnung

Bei bestimmten Ausführungsformen können der ortsfeste Leser 208 und/oder die tragbare Karte 100" auch mit einem integrierten "GPS"-(globaler Ortungssatellit, global positioning satel-lite)-Empfänger 212 ausgestattet sein, der eine nützliche Information über den momentanen Ort des Lesers und der Karte zum oder etwa zum Zeitpunkt liefern kann, an dem eine bestimmte Transaktion erfolgt. Im Besonderen können die Ortsdaten vom GPS-Empfänger 212 dazu verwendet werden, um den Leser und/oder die Karte dann (entweder dauernd oder vorübergehend) außer Be- I» ·· ···· «· ···· · ···· ·· · ·· • · · · · ··« · · • · * v ···· · «····*··« · ♦ · * * ·· ·· « * φ · 16 trieb zu setzen, wenn sie an einen Ort gebracht werden, an dem ihre Verwendung keine Berechtigung besitzt. Der Ort kann auch anders als mit dem GPS bestimmt werden, beispielsweise unter Verwendung des PHS-(japanisches Mobiltelefon)-Anrufortungs-Verfahrens, oder mit Ortungssensoren, die auf lokale Änderungen im elektromagnetischen Feld der Erde ansprechen. Wenn es sich um eine mit GPS ausgerüstete Karte handelt, sind die verschiedenen GPS-Bauelemente, einschließlich der Antenne, der Signalverstärkung, dem A/D-Umsetzer und den Abtast/Halte-Stufen, sowie der digitale Prozessor zur Berechnung des Orts vorzugsweise als Teil eines einzigen integrierten Schaltkreises oder als diskrete Bauelemente auf einer einzigen Schaltkreisplatte untergebracht, die in den Körper der Karte integriert, in diesen eingebettet oder auf diesen geschichtet ist.

Kartenarchitektur für eine ISO-Karte mit auf der Karte befindlichen anpassenden ISO-Prozessor Schnittstellen

Fig. 4 zeigt ein Funktions-Blockschaltbild einer beispielhaften, mit der ISO-SmartCard kompatiblen biometrischen Bestätigungskarte 100 oder 100' mit verschiedenen physischen Datenpfaden, die während der ersten Ladung der biometrischen Daten des Kartenhalters und während der Bestätigung der Identität des Kartenhalters an einer abgesetzten Applikation verwendet werden.

Im Besonderen sind zusätzlich zum oben beschriebenen ISO-Prozessor 112, zum Sicherheits-Prozessor 114, zum Fingerabdruck-Sensor 110, zu den LEDs 116a, 116b und zum optionalen GPS-Empfänger 212, wobei nur der ISO-Prozessor 112 direkt mit dem Kartenleser 208 über die ISO-SmartCard Kontaktanschlüsse 108 verbunden ist, ein getrenntes Lademodul 300 sowie eine zugeordnete temporäre Verbindung 302 dargestellt, die während der ersten Registrierung des Benutzers eine direkte Kommunikation mit dem Sicherheits-Prozessor 114 liefert. Es sei darauf hingewiesen, dass der ISO-Prozessor 112 mit dem Sicherheits-Prozessor 114 über E/A-Anschlüsse 304, 306 kommuniziert, während die temporäre Ladeverbindung 302 mit einem getrennten E/A-Anschluss 308 verbunden ist. Der Sicherheits-Prozessor ist vorzugsweise so programmiert, dass auf sensible, die Sicherheit betreffende Daten oder Software nur vom Anschluss 308 und • · · · t «·· · · • · t » ·«·· · ····#·♦·« · ·· ·* ·· ·· t> ··· 17 nicht vpn den Anschlüssen 304 und 306 zugegriffen werden kann, wodurch jede Möglichkeit ausgeschlossen wird, dass ein böswilliger Zugriff auf diese sensiblen Daten erfolgt, nachdem die Verbindung 302 außer Betrieb gesetzt wurde.

Die meisten im Handel erhältlichen ISO-Prozessoren haben zumindest zwei E/A-Anschlüsse, während einige zumindest drei besitzen. Nur einer dieser Anschlüsse (E/A-l) ist für die herkömmliche serielle Datenverbindung 108 der ISO-SmartCard mit dem externen ISO-kompatiblen Kartenleser 208 vorgesehen. Der zusätzliche eine oder die beiden E/A-Anschlüsse liefern vorzugsweise eine dedizierte festverdrahtete Kommunikation zwischen dem ISO-Prozessor 112 und dem Sicherheits-Prozessor 114, die als Hardware-Zugangsschutzsystem dient, um irgendwelche böswilligen Versuche zu unterbinden, den Sicherheits-Prozessor 114 neu zu programmieren oder Zugriff zu irgendeiner sensiblen Information zu gewinnen, die vorher mit dem Sensor 110 gewonnen wurde oder auf andere Art im Prozessor 114 gespeichert werden kann. Im besonderen Fall eines ISO-Prozessors mit mehr als zwei E/A-Leitungen ist es möglich, mehr als zwei Zustände einer statischen Statusinformation auf dem dedizierten Kommunikationspfad zwischen dem ISO-Prozessor und dem Sicherheits-Prozessor darzustellen, beispielsweise 1) bereit, 2) besetzt, 3) Fehler, 4) Durchlauf, auch wenn der Sicherheits-Prozessor vollständig heruntergefahren ist. Auch wenn nur ein E/A-Anschluss bereitsteht, können diese vier Zustände selbstverständlich als serielle Daten dynamisch übertragen werden.

Unter diesen möglichen Befehlen und Daten, die zwischen der ISO-CPU und der Sicherheits-CPU über die ISO-Schnittstellen E/A-2 und E/A-3 übertragen werden, gibt es folgende: - Befehle zum Registrieren oder Beglaubigen eines Benutzers, zu dem die Sicherheits-CPU ein Ergebnis der Registrierung oder ein Ergebnis der Beglaubigung für eine lokale Speicherung und/oder Übertragung zu einer abgesetzten Applikation sendet; - eine Fingerabdruck-Information kann als Schablone (Bezugswert) von der Sicherheits-CPU zur ISO-CPU gesendet werden, um sie im ISO-SmartCard Speicher für eine Übertragung zu abgesetzten Applikationen zu speichern. Für eine erhöhte Sicherheit von sensiblen persönlichen Informationen können die Bezugsdaten von der • f · · ·· · · · ···· · · · · I « • · · · ···· · • · · · · · # ·· · ·· ♦ * ·· ·· · ·· · 18 formationen können die Bezugsdaten von der Sicherheits-CPU verschlüsselt werden, bevor sie zur ISO-CPU gesendet werden.

Die Ladeverbindung 302 liefert eine direkte Verbindung mit der Sicherheits-CPU 114, die irgendeinen Schutz durch ein Zugangsschutzsystem umgeht, das die ISO-Verbindung und die zugeordneten dedizierten E/A-Anschlüsse 304 und 306 bieten, während möglicherweise die Kommunikation zwischen der ISO-CPU 112 und dem ISO-Leser 208 aufrecht erhalten wird, so dass auch für die Sicherheits-CPU 114 eine Spannungsversorgung bereitsteht. Die Verbindung wird hauptsächlich während der ersten Registrierung der Karte für einen bestimmten Benutzer verwendet und sollte gegen einen unberechtigten Zugriff geschützt sein.

Fig. 5 zeigt eine alternative Ausführungsform einer beispielhaften biometrischen Bestätigungskarte von Fig. 4, die für eine Verwendung mit einer unveränderten ISO-SmartCard CPU vorgesehen ist. Im Besonderen muss die ISO-CPU 112' nicht mehr irgendwelche Netzwerkfunktionen zwischen dem Kartenleser 208 und der Sicherheits-CPU 114' ausführen, entweder im normalen Betrieb oder während des Ladens, womit sie irgendein ISO-erprobter Chip sein kann, der nicht abgeändert wurde und nur so verwendet wird, dass es sowohl für den Kartenleser 208 als auch für irgendeine externe Applikation transparent ist. Bei einer derartigen alternativen Ausführungsform arbeitet die Sicherheits-CPU 114' als transparentes Zugangsschutzsystem zwischen der ISO-CPU 112' und einer externen Applikation, wenn der abgenommene Fingerabdruck mit dem gespeicherten Fingerabdruck übereinstimmt, wobei sie jede derartige Kommunikation unterbindet, wenn der abgenommene Fingerabdruck nicht mit dem gespeicherten Fingerabdruck übereinstimmt.

Initialisieren einer Karte und Schutz der gespeicherten Daten Guillotine

Bei einer Ausführungsform besitzt die original hergestellte Karte eine vorspringende Verlängerung mit einem gedruckten Schaltkreis, der eine direkte Verbindung mit der Sicherheits-CPU sowie zumindest zu Teilen der ISO-Schnittstelle und/oder zu einem diskreten, auf der Karte befindlichen Speicher her- • * · * ·· f ·| • · · · ···· · · • t * » ·«·· « ········· · ·· ·· ·· ·· · ··· 19 stellt. Diese diskrete Verbindungs-Schnittstelle wird nur zum Prüfen der Karte und zum Registrieren der Fingerabdruck-Daten verwendet und weist das Signal auf, mit dem das Registrierverfahren in Betrieb gesetzt wird. Nachdem die Registrierung beendet ist, wird diese Schaltkreisverlängerung mechanisch abgetrennt, so dass keine weitere Registrierung möglich ist, wobei auf den Speicher der Sicherheits-CPU nur über die ISO-CPU und das oben erwähnte Zugangsschutzsystem zwischen der ISO-CPU und der Sicherheits-CPU zugegriffen werden kann.

Schmelzsicherung

Bei einer anderen Ausführungsform besitzt die Sicherheits-CPU einen Speicher, auf den nicht mehr zugegriffen werden kann, wenn das registrierte Fingerabdruck-Muster einmal eingeschrieben wurde. Ein Beispiel für einen derartigen Speicher ist der Einmal-PROM ("OTP", one time PROM), der im Aufbau einem EEPROM ähnlich, jedoch für UV undurchlässig ist und damit nicht gelöscht werden kann. Ein anderes Beispiel dafür ist ein Flash-ROM, der nach der Beendigung der Registrierung nur auslesbar gemacht wird, indem beispielsweise ein ausreichend starker Strom an den Einschalt- oder Adressen- oder Datensignal-Pfad angelegt wird, um eine physische Unterbrechung ("Schmelzsicherung") in diesem Signalpfad auszubilden.

Beispielhafte Beglaubigungs-Verfahren

Bei einer Ausführungsform enthält ein beispielhaftes Beglaubigungs-Verfahren das Gewinnen von physischen Fingerabdruck-Daten, beispielsweise unter Verwendung eines optischen Verfahrens, eines Druckverfahrens, eines leitenden oder eines kapazitiven Verfahrens, eines akustischen oder eines elastischen Verfahrens oder eines fotografischen Verfahrens am Client-Terminal, das von der zugreifenden Person verwendet wird, um eine Verbindung mit dem Applikationsservice-Server herzustellen, wobei die Daten dann (vorzugsweise in verschlüsselter Form) zu einem getrennten Fingerabdruckbeglaubigungs-Server übertragen werden. Der Fingerabdruckbeglaubigungs-Server vergleicht die abgenommenen Fingerabdruck-Daten mit einer Fingerabdruck-Datei, die die registrierten Fingerabdruck-Daten des Benutzers enthält, unter Verwendung einer Beglaubigungs- ··*· « * · ·· • · · · ···· · * • · · * «··· · • ·· · · ·· ·· · ·· ·· Μ Μ · ··· 20

Software, wobei der Beglaubigungs-Server dann, wenn die Daten übereinstimmen, einen Einschaltbefehl an den Applikationsservice-Server sendet.

Bei einer anderen Ausführungsform greift der Benutzer auf den gesicherten WEB-Browser des Fingerabdruckbeglaubigungs-Servers zu, der Dateien von Fingerabdrücken enthält, in denen alle Fingerabdrücke zusammen mit individuellen Daten vorregistriert sind, beispielsweise mit dem Namen, der Adresse und dem Geburtsdatum. Der gesicherte Fingerabdruckbeglaubigungs-Server, auf den der Benutzer über ein sicheres Protokoll, beispielsweise im HTTPS-Format, zugreift, sendet dann einen Befehl zum Client-Terminal, um den Fingerabdruck des Benutzers am Client-Terminal abzunehmen. In Abhängigkeit von den Befehlen, die vom Browser des Client-Terminals angezeigt werden, legt der Benutzer seinen ausgewählten Finger auf den Fingerabdruck-Sensor, wobei die im Client-Terminal sitzende Software für das Abnehmen des Fingerabdrucks einen digitalen Fingerabdruck abnimmt, beispielsweise ein auf Bildpunkten beruhendes Bild mit einer Auflösung von 25 Mikron mal 70 Mikron und einer Fläche von 12,5 mm mal 25 mm, wobei er weiters eine 8-Bit Grauskala besitzt .

Der sichere Fingerabdruckbeglaubigungs-Server empfängt die Fingerabdruck-Daten zusammen mit der ID des Benutzers sowie eine IP-Internetadresse und/oder einen Individualkode des Fingerabdruck-Sensors (MAC-Adresse) und/oder ein Cookie und/oder einen Einmalkode oder eine andere Information, mit der die bestimme Einzelperson oder das Terminal (beispielsweise Details einer früheren Konversation zwischen dem Client-Terminal und dem gesicherten Fingerabdruckbeglaubigungs-Server) erkannt wird, worauf er die empfangenen Fingerabdruck-Daten mit einer Fingerabdruck-Datei vergleicht, bei der es sich um die vorregistrierten Fingerabdruck-Daten zusammen mit der ID des Benutzers handelt, einer individuellen Information, beispielsweise dem Namen, dem Geburtsdatum, einem Vorstrafenregister, dem Führerschein, der Sozialversicherungsnummer usw., unter Verwendung der Beglaubigungs-Software, wobei es sich um einen Mi-nutien-Vergleich oder um einen Vergleich mit einer schnellen Fourier-Transformation handeln kann. ···· ·· · ·♦ • · · · · ··· · · • · · · ···· ·

• · · ·· ·· ·· I ·· ·· ·· «· ♦ ··· 21

Am Beginn des Beglaubigungs-Vorgangs unterrichtet der Webserver 214 für die betreffende Applikation den Benutzer optisch oder akustisch, dass er seinen Finger auf den Sensor zum Abnehmen des Fingerabdrucks 110 legen und seine Maustaste oder eine Taste des Tastenfelds drücken soll, um dadurch die Software zum Abnehmen des Fingerabdrucks im Sicherheits-Prozessor 114 in Betrieb zu setzen. Daraufhin werden die gewonnenen Fingerabdruck-Daten des Benutzers in einem verschlüsselten Format (beispielsweise unter Verwendung des sicheren RSA-verschlüsselten Übertragungsprotokolls HTTPS) über den ISO-Prozessor 112 und den Web-Browser 210 des Client-Terminals 200 zum Web-Server 220 des Fingerabdruckbeglaubigungs-Servers 204 gesandt. Wenn die gewonnenen Daten mit den entsprechenden Daten in seiner Datenbasis 226 erfolgreich in Übereinstimmung gebracht wurden, erklärt der Fingerabdruckbeglaubigungs-Server 204 die Identität des Benutzers für gültig, sowohl zum Client-Terminal 200 als auch zum Applikations-Server 202.

Eine beispielhaft bevorzugte Ausführungsform, die ein Dreiwe-ge-Beglaubigungsprotokoll und ein einmaliges Passwort als Kodierfolge von Hash-Zeichen verwendet, soll nunmehr im Zusammenhang mit Fig. 3 beschrieben werden. - Der Web-Browser 210 des Client-Terminals 200 greift auf die entsprechende Web-Schnittstelle 214 des Applikations-Servers 202 mit einer Anforderung zu, auf das Applikations-Verfahren 216 zuzugreifen. - Die Web-Schnittstelle 214 des Applikations-Servers 202 antwortet mit einer Log-In Information und betreffenden Befehlen, um auf das Applikations-Verfahren 216 zuzugreifen. - Das Client-Terminal 200 unterrichtet den ISO-Prozessor 112, den Sicherheits-Prozessor 114 in Betrieb zu setzen. - Der ISO-Prozessor 112 stößt den Sicherheits-Prozessor 114 an. - Der Sicherheits-Prozessor 114 erwartet die Fingerabdruck-Daten vom Fingerabdruck-Sensor 110, wobei er dann, wenn gültige Daten empfangen werden, ein digitales Fingerabdruck-Muster abgibt, das über den ISO-Prozessor 112 zum Web-Browser 210 weitergeleitet wird. - Der Web-Browser 210 sendet eine verschlüsselte Version des abgegebene Fingerabdruck-Musters zum Beglaubigungs- ··«· · · ·*· I t · · ···· · · • « · * ···· · ········· · ·· ·· ·· ·· t ··· 22

Server 204, der eine betreffende Information über die involvierte Karte 100' und den Kartenleser 208 beigefügt (oder damit verschlüsselt) ist, beispielsweise die ID des Benutzers, die IP-Adresse des Client-Terminals 200 und/oder ein festverdrahteter ID-Kode (MAC-Adresse) des Sensors 110.

Die Web-Schnittstelle 220 des Beglaubigungs-Servers 204 gibt beim Empfang des abgegebenen Fingerabdruck-Musters zusammen mit der anderen Information vom Client-Terminal 200 die Information zum Fingerabdruckübereinstimmungs-Prozessor 222 weiter.

Unter der Steuerung der Übereinstimmungs-Software 224 verwendet der Fingerabdruckübereinstimmungs-Prozessor 222 die empfangene ID des Benutzers oder eine andere für den Benutzer spezifische, betreffende Information, um ein entsprechendes Bezugs-Fingerabdruckmuster aus der Datenbasis 226 heraus zu holen, wobei er das gewonnene Fingerabdruck-Muster mit dem Bezugs-Fingerabdruckmuster vergleicht.

Das Ergebnis (übereinstimmend oder nicht übereinstimmend) wird in einem Vergangenheitsspeicher zusammen mit der betreffenden Information gespeichert, die das Terminal 200, die ID-Karte des Benutzers 100' und die anfordernde Applikation 216 kennzeichnet, wobei eine Steuerung zur Schnittstelle des Beglaubigungs-Servers 220 zurück geschickt wird.

Wenn das Ergebnis eine Übereinstimmung ergibt, erzeugt die Web-Schnittstelle des Beglaubigungs-Servers 220 dann ein einmaliges Passwort in Form einer Challenge-Zeichenfolge, die zum Client-Terminal 200 übertragen wird, wobei er verwendet, dass die Challenge-Zeichenfolge ein Hash-Kode ist, um die betreffende Information zu verschlüsseln, die er als entsprechende Challenge-Antwort für mögliche zukünftige Bezugswerte sichert.

Das Client-Terminal 200 verwendet die empfangene Chal-lenge-Zeichenfolge als Hash-Kode, um eine vorher gespeicherte, unverschlüsselte Kopie der betreffenden Information zu verschlüsseln, die dann zur Web-Schnittstelle 214 des Applikations-Servers 202 als Teil seiner Antwort • ••· ·· · ·· • · · · · ··· 9 9 9 9 9 9 9 9 9 9 9 9 99 99 99 99 9 99 99 ·· ·« 9 ··· 23 auf den wiederkehrenden Log-In versuch weitergeleitet wird. - Die Web-Schnittstelle 214 des Applikations-Servers 202 gibt beim Empfang der betreffenden Hash-umgesetzten Information diese zum Applikations-Service 216 weiter, wo sie mit einem Log-On Versuch vom diesem Client-Server verknüpft und zur Bestätigung des übereinstimmenden Ergebnisses die betreffende empfangene Information weiterleitet, die vom Client-Terminal unter Verwendung der Challenge-Zeichenfolge Hash-umgesetzt wurde, die der Beglaubigungs-Server als Challenge-Antwort liefert. - Die Web-Schnittstelle 220 des Beglaubigungs-Servers 204 gibt beim Empfang der Challenge-Antwort vom Applikations-Server diese Antwort zum Beglaubigungs-Prozessor 222 weiter, der sie mit seiner vorher gesicherten Bezugskopie der erwarteten Challenge-Antwort vergleicht, um festzustellen, ob die Identität des Benutzers tatsächlich beglaubigt wurde. - Irgendeine beglaubigte Information über die Identität des Benutzers, die von diesem Vergleich stammt, wird dann zum Applikations-Verfahren 216 über die Webschnittstelle des Beglaubigungsservers 220 und die Gültigkeits-Schnittstelle 218 des Applikations-Servers 202 zurück geleitet. - Die Gültigkeits-Schnittstelle 218 verwendet die Beglaubigung, um die Identität des Benutzers zu bestätigen, wie sie im ursprünglichen Log-On Versuch für gültig erklärt wurde. - Wenn die Identität des Benutzers einmal bestätigt wurde, geht das Beglaubigungs-Verfahren 216 weiter, um direkt mit dem Web-Browser 210 des Client-Terminals 200 über die Web-Schnittstelle 214 des Applikations-Servers 202 zu kommunizieren.

Fig. 6 zeigt ein alternatives Beglaubigungs-Verfahren, bei dem die gesamte Übereinstimmung auf der ISO-kompatiblen Karte von Fig. 4 von der Sicherheits-CPU 114 durchgeführt und kein externer Beglaubigungs-Server 204 verwendet wird. Die linke Seite von Fig. 6 zeigt die Funktionen, die der Applikations- ♦ · · · · · · ·· • · · · · ··· · # • * · · ···· · ········« · • t ·· ·· ·· · ·♦♦ 24

Server 202 ausführt, während die rechte Seite jene Funktionen zeigt, die von der ISO-SmartCard 100 ausgeführt werden.

Wenn eine SmartCard 100 in den Kartenleser 208 eingeführt wird, sendet der Kartenleser sowohl zur ISO-CPU (Start-Block 502) als auch zur Fingerabdruck-CPU 114 (Fingerabdruckbestäti-gungs-Block 504) ein Rücksetz-Signal RST, wobei beide eine Spannung VCC vom Kartenleser 208 empfangen. Die ISO-CPU antwortet dann mit einer ATR-(Antwort zum Rücksetzen, answer-to-reset)-Meldung und kommuniziert nach Bedarf PPS (Protokoll-und Parameterauswahl, protocoll and parameters selection) (Block 506). Gleichzeitig geht die Fingerabdruck-CPU in den Wartezustand, um Fingerabdruck-Daten zu empfangen, wobei sie das Beglaubigungs-Verfahren ausführt (Block 504), wenn Daten vom Sensor 110 empfangen werden.

Wenn der ursprüngliche Anforderungsbefehl von der Applikation 216 zur ISO-CPU 112 gesandt wird (Block 508), zweifelt die Si-cherheits-CPU (Block 510) den Beglaubigungs-Status an. Wenn die Antwort positiv ist, antwortet die ISO-CPU auf die Applikation, indem sie den angeforderten Befehl ausführt (Block 512). Andernfalls (entweder bei einer Fehlermeldung oder bei keiner Antwort von der Sicherheits-CPU 114) gibt sie keine Antwort auf den angeforderten Befehl, sondern wartet auf eine neue erste Anforderung (Block 508b).

Unter der Annahme, dass der Fingerabdruck bestätigt und die erste Antwort zeitlich empfangen sowie festgestellt wurde, dass sie auf die Applikation 216 anspricht (Block 514), wird der Anforderung/Antwort-Vorgang fortgesetzt (Blöcke 516, 518, 520), bis eine vorgegebene Bestätigungs-Auszeit überschritten wurde, während der keine Anforderungen von der Applikation empfangen werden (Block 522), oder die Applikation hat keine erwartete Antwort erhalten (Block 524).

Fig. 7 ist dem Flussdiagramm von Fig. 6 ähnlich, es wurde jedoch für eine Verwendung mit der beispielhaften biometrischen Bestätigungskarte von Fig. 5 abgeändert. Ganz links zeigt Fig. 7 die vom Applikations-Server 202 ausgeführten Funktionen, die nächste Spalte entspricht dem Leser 208, die nächste Spalte zeigt die ISO-Kontakte 108, die nächste Spalte zeigt die von 25 der Sicherheits-CPU 114 ausgeführten Funktionen, während ganz rechts jene Funktionen dargestellt sind, die von einer unveränderten ISO-SmartCard CPU 112 ausgeführt werden. - Wenn entweder eine SmartCard in einen Kartenleser eingeführt wird oder die Applikations-Software den Betrieb eines Kartenlese-Geräts startet, wird vom Kartenleser 208 zur Sicherheits-CPU 114 ein Rücksetz-Signal 550 abgegeben. - Bald nachdem die Sicherheits-CPU das Rücksetz-Signal 550 empfängt, sendet sie ein entsprechendes Rücksetz-Signal 552 zur ISO-CPU 112. Gleichzeitig erwartet die Sicherheits-CPU Fingerabdruck-Daten vom Fingerabdruck-Sensor. - Beim Empfang des Rücksetz-Signals 552 führt die ISO-CPU eine ATR-(Antwort zum Rücksetzen, answer-to-reset)-Antwort 554 aus, worauf sie bei Bedarf eine PPS (Protokoll- und Parameterauswahl, protocol and parameters se-lection) ausführt. - Sobald die Sicherheits-CPU rll4 die ATR (Antwort zum Rücksetzen, answer-to-reset) von der ISO-CPU empfängt, überträgt sie diese zum Kartenleser (Block 556), einschließlich von irgendwelchen zugeordneten PPS-Befehlen. - Wenn die Sicherheits-CPU Fingerabdruck-Daten empfängt, führt sie in der Zwischenzeit den oben beschriebenen Beglaubigungs-Vorgang aus. Wenn die Prüfungsergebnisse der Beglaubigung zu einem WEITER führen, wird der Wei-ter-Status für ein bestimmtes Zeitintervall beibehalten. Wenn das Ergebnis FEHLER ist, erwartet die Sicherheits-CPU neue Fingerabdruck-Daten. - Beim Ausführen der Applikation wird eine Befehlanforderung 558 an die Sicherheits-CPU abgegeben, die eine Befehlsanforderung 560 zur ISO-CPU überträgt, wobei sie weiters ihre richtige Antwort 562 zum Kartenleser nur dann überträgt, wenn die Sicherheits-CPU sich weiterhin im oben erwähnten WEITER-Zustand befindet, oder wenn die letzte richtige Antwort das Mehr-Daten Bit gesetzt hat (Prüfblock 564). - Andernfalls (NEIN-Zweig 566) erzeugt die Fingerabdruck-CPU eine Dummy-Anforderung 568 und überträgt diese zur ISO-CPU, wobei sie auch die resultierende ERR-Antwort • ♦ • · • · • · • ·♦· • · t t • ·· ········· · ·♦ ·· ·· ♦· · ··· 26 570 zum Kartenleser 216 überträgt, wodurch eine geeignete Synchronisation zwischen den Sequenznummern in den Anforderungen und den Antworten beibehalten wird.

Verschlüsselung und Sicherheit

Vor der Übertragung über irgendein externes Netzwerk werden irgendwelche sensiblen Daten und/oder das Beglaubigungs-Ergebnis vorzugsweise verschlüsselt, möglicherweise unter Verwendung einer DES-Kodierung oder einer Twofish-Verschlüsselung. Der Schlüssel für die Verschlüsselung kann auf gewonnenen oder gespeicherten Fingerabdruck-Daten, dem ID-Kode des Benutzers, einem dem Sensor einmalig zugeordneten Kode, einer Speicheradresse, benachbarten Daten im Speicher, anderen funktionell in Beziehung stehenden Daten, einer früheren Konversation (Transaktion), einer IP-Adresse oder auf einem zugeordneten Passwort beruhen. Andererseits können sensible Daten über das Internet unter Verwendung des sicheren HTTPS-Protokolls versandt werden.

Um eine noch größere Sicherheit zu erreichen, kann ein virtueller, privater Gateway-Rechner, beispielsweise eine Hardware-DES-Verschlüsselung und Entschlüsselung, zwischen dem sicheren Fingerabdruckbeglaubigungs-Server und der Netzwerkverbindung und damit zwischen dem Applikationsservice-Server und der Netzwerkverbindung eingesetzt werden. Wenn ein derartiger virtueller Gateway-Rechner oder ein virtuelles privates Netzwerk ("VPN", virtual private network) verwendet werden, sind die sensiblen Daten zusätzlich durch ein zusätzliches Verschlüsselungsniveau geschützt, beispielsweise sowohl durch DES 128 (typisch im VPN verwendet) und RSA (bei HTTPS verwendet). Für besonders sichere Applikationen können alle Kommunikationen in zusätzliche Sicherheitsniveaus verpackt werden. Im Besonderen können Nachrichtenköpfe auf einem niedrigeren Niveau auf ein höheres Niveau verschlüsselt werden.

Drahtlose Kommunikation

Andere Ausführungsformen können eine duale Schnittstelle sowohl für einen drahtgebundenen (ISO 7816) als auch einen drahtlosen (ISO 1443 A oder B) Betrieb aufweisen und Vorzugs- 27 weise eine Multischnittsteilen-Spannungsstufe besitzen, die einen Zwischenbetrieb zwischen ISO 7816 drahtgebundenen Systemen, ISO 1443 A, ISO 1443B, ISO 15693 und drahtlosen HID-Eingabesystemen (unter anderem) ermöglicht, die sich alle auf der Karte befinden. Andererseits kann die Karte Einrichtungen für andere drahtlose Kommunikationstechniken aufweisen, beispielsweise Bluetooth (Nahbereich) oder Mobiltelefon (mittlerer Bereich) oder Mikrowellen (Fernbereich).

Nunmehr wird auf Fig. 8 Bezug genommen, in der eine intelligente Karte mit einer auf der Karte befindlichen biometrischen Bestätigung dargestellt ist, die mit einem lokalen Terminal entweder drahtlos oder über einen elektrischen Anschluss verbunden werden kann. Großteils ist sie in ihrem Aufbau und in ihrer Architektur der oben beschriebenen Ausführungsform von Fig. 1 ähnlich, wobei mit den gleichen Bezugsziffern (möglicherweise durch ein einziges Anführungszeichen unterschieden) gleichartige Bauelemente bezeichnet sind. Im Besonderen ist die ISO-CPU 112 an einer anderen Stelle dargestellt (unterhalb statt eher neben einer Seite der Kontakte 108), doch besitzt sie die selbe Funktionalität, wie sie oben beschrieben wurde.

Eine ISO-Antenne 132 enthält zwei Schleifen, die im Allgemeinen um den Rand der Karte 100 angeordnet sind, und liefert eine ISO-kompatible, drahtlose Schnittstelle zur ISO-CPU 112 sowohl für Daten als auch für die Stromversorgung, wie dies ähnlich die drahtgebundene elektrische Schnittstelle 108 liefert. Zusätzlich liefert eine Sicherheits-Antenne 134 (beim gezeigten Beispiel innerhalb der Antenne 132 und nur aus einer einzigen Schleife aufgebaut) eine getrennt Spannungsquelle für die Sicherheits-CPU 114 über einen Gleichspannungswandler 120. Da es hier keine direkte Verbindung für drahtlose Daten ausgenommen über die ISO-CPU 112 gibt, sind die sensiblen Daten, die in der Sicherheits-CPU 114 gespeichert sind, durch eine derartige drahtlose Schnittstelle nicht gefährdet. Andererseits kann, wie dies oben im Zusammenhang mit jenen Ausführungsformen erwähnt wurde, die nur drahtgebundene Verbindungen zum externen Leser und dem externen Netzwerk besitzen, die Funktionalität der beiden Prozessoren kombiniert werden, oder die externe Schnittstelle kann über die Sicherheits-CPU 114 statt über die ISO-CPU 112 erfolgen, wobei geeignete drahtlose • · · · · « · ·· *9·· · · ·· f · • t · · f · · · « ··»··«*»» * ·· ·· ♦ · I« * *·· 28

Sicherheitsmaßnahmen in die auf diese Weise abgeänderte Architektur eingeführt werden müssen.

Fig. 9 zeigt einen Schnitt durch die Karte von Fig.8. Es sei darauf hingewiesen, dass die meisten der beschriebenen Bauelemente in einem zentralen Kern 126 enthalten sind, wobei nur Kontaktanschlüsse 108 durch die obere Schutzschicht 122 verlaufen. Auf den operativen Bereich des Sensors 110 kann über ein oberes Fenster in der oberen Schicht 122 und ein unteres Fenster im gedruckten Schaltkreis (PCB, printed Circuit board) 134 zugegriffen werden, der zwischen der oberen Schicht 122 und dem Mittelkern 126 angeordnet ist und die erforderlichen elektrischen Verbindungen zwischen den verschiedenen elektronischen Bauelementen liefert, sowie einen Masseanschluss für elektrostatische Entladungen, der den aktiven Bereich des Sensors 110 umgibt.

Weiters sind eine untere Schicht 124 und ein Magnetstreifen 128 zu sehen.

Fingerabdruck-Sensor

Fig. 10 zeigt das beispielhafte Schaltbild für den Sensor 110, bei dem eine Anordnung 400 von Sensorzellen 402 in Reihen 404 und Spalten 406 ausgerichtet ist. Wie man sieht, weist jede Zelle 402 eine Aktivierungselektrode 410 und einen Wandler 412 auf. Ein Fingerabdruck wird von den Erhebungen und Vertiefungen der Haut auf einem Finger gebildet. Jeder Sensorzellen-Wandler 412 erfährt eine mechanische und/oder elektrische Veränderung, wenn eine dieser Erhebungen die unmittelbare Nähe der Zelle 402 innerhalb der Anordnung 400 berührt, wodurch ein digitales Bild des Fingerabdrucks geliefert wird, das auf Mikro-Druckänderungen über der Sensorfläche beruht, die von den Erhebungen und Vertiefungen auf der Fingerspitze hervorgerufen werden. Es sei darauf hingewiesen, dass, obwohl jeder Wandler 412 als ein einziger variabler Kondensator dargestellt ist, es verschiedenartige Typen von Wandlern gibt, die auf das Vorhandensein von diesen Erhebungen der menschlichen Haut ansprechen können: bei dem bestimmten Beispiel eines druckempfindlichen Piezo-Dünnfilmtransistors wird der Film in der Nähe der Zelle verformt, wobei er eine Ladung erzeugt, die in einem Kondensa- ···· ·· ··· *·*· ·*·· · · ···· ···» · I »· · # ·· · · ·· ·· ·· ·· · ··· 29 tor gespeichert wird, der mit dieser Zelle verbunden ist. Die Spannung am Kondensator ist damit eine Funktion der mechanischen Spannung, die durch die Verformung des Piezo-Materials ausgebildet wird, die ihrerseits wiederum eine Funktion davon ist, ob sich über der Zelle eine Erhebung oder eine Vertiefung befindet. Wenn ein Signal vom zugeordneten Spaltentreiber 414 die Steuerelektrode 410 auf EIN schaltet und der zugeordnete Reihentreiber 416 an Masse liegt, erscheint diese Spannung auf der Ausgangsleitung der Reihe 418, wobei sie im Ausgangstreiber 420 in ein digitales 8-Bit Signal umgesetzt wird. Um die Abtastung der Verformung des Piezo-Materials zu maximieren, kann das piezoelektrische Material auf einem elastischen Material ausgebildet werden, beispielsweise einem Polyamid, oder es kann einfach ein piezoelektrisches Polyamidmaterial sein. Andere beispielhafte analoge Wandlertechniken, die mit einer ähnlichen Anordnung ausgeführt werden können, weisen einen variablen Widerstand und eine variable Kapazität auf. Andererseits kann jede Zelle aus einem einfachen digitalen Schalter bestehen, der nur eine einzige Bit-Information liefert. In diesem Fall können zusätzliche Bits der Information dadurch erzeugt werden, dass mehr Zellen im selben Bereich vorgesehen werden, oder dass alle Zellen mit einer höheren Frequenz abgetastet werden. Bei einer derartigen alternativen Ausführungsform sind keinerlei A/D-Umsetzer erforderlich.

Bei einer beispielhaften Ausführungsform ist der Sensor nur 0,33 mm dünn und haltbar genug, dass er in eine SmartCard eingebettet werden kann, wobei er von statischer Elektrizität, von den Bauelementen oder den Zuständen (nass, trocken, heiß, kalt) der Haut des Benutzers nicht beeinflusst wird. Eine typische einheitliche Zellengröße des Sensors 110 beträgt 25 Mikron mal 70 Mikron und ein typischer Zellensprung 25 Mikron mal 70 Mikron. Der beispielhafte Sensor besitzt eine rechteckige Sensor-Fläche von 12,5 mm mal 25 mm und eine mehrstufige 8-Bit Empfindlichkeit. Ein derartiger Sensor kann mit einer Anordnung von Dünnfilmtransistoren TFT (thin film transistor) und druckempfindlichen Kondensatoren hergestellt werden, wie sie beispielsweise von einem Dünnfilm-Piezomaterial gebildet werden, beispielsweise von Titanbariumoxyd oder Strontiumbariumoxyd, wobei er eine obere Elektrode aufweist, die den gesamten Abtastbereich bedeckt und schützt. Wenn eine mechanische 30

Beanspruchung aufgebracht wird, wird im Dünnfilm-Piezokondensator eine entsprechende Ladung erzeugt und gespeichert. Andererseits kann ein auf Druck beruhender Sensor als Anordnung von Dünnfilmtransistoren TFT zusammen mit Dünnfilm-Kondensatoren und druckempfindlichen Kondensatoren, wie sie beispielsweise von einer Folie aus einem druckübertragenden Material gebildet werden, beispielsweise einer Gummifolie mit verteilten Kohlefasern, einem Metall (z.B. Kupfer oder Zinn oder Silber), einem auf beschichteten Kohlefasern oder Glasfasern beruhenden Papier, oder einem elastischen Material (z.B. Silikon) mit verteiltem Metall, sowie einer oberen Elektrodenfolie hergestellt werden, die den gesamten Sensorbereich bedeckt.

Die Reihen- und Spaltentreiber 416, 414 mit dem besonders festgelegten Fingerabdruck-Sensorelement 402 geben die elektrischen Daten zur Ausgangsstufe 420 ab, wodurch der physische Eingang, der den Fingerabdruck des Benutzers darstellt, in a-naloge elektrische Daten umgesetzt wird. Ein A/D-Umsetzer in der Ausgangsstufe 420 setzt dann das analoge elektrische Signal in ein digitales elektrisches Signal um. Jeder Dünnfilmtransistor verbindet wahlweise eine mehrfach genutzte Reihen-Innenverbindung mit der Spannung seines zugeordneten Kondensators, so dass die Spannung auf jedem Kondensator ausgelesen und damit die Verformung jeder Zelle gemessen werden kann. Eine ganze Spalte von Dünnfilmtransistoren wird vorzugsweise gleichzeitig umgeschaltet, wodurch eine Anzahl von Zellen (beispielsweise 8) in einer ausgewählten Spalte parallel auf zwei verschiedenen Reihen-Innenverbindungen ausgelesen werden kann. Die Innenverbindung von mehrfachen Steuerelektroden zu Reihen und Spalten verringert die Anzahl von Innenverbindungen, während das parallele Auslesen von mehreren Zellen von verschiedenen Reihen der selben Spalte die Auslesezeit für die gesamte Anordnung herabsetzt. Die Ausgangsspannung vom Sensor kann mit einem geeigneten Differenzialverstärker verstärkt werden. Der Ausgang eines derartigen Verstärkers kann für eine Analog/Digital-Umsetzung (A/D-Umsetzer) abgetastet und gehalten werden.

Bei dem Substrat kann es sich um Glas (z.B. nichtalkalisches Glas), nichtrostenden Stahl, Aluminium, Keramik (z.B. Alumini- • • • · · • • ·· ♦ · • · · ··· • • ♦ • • · · • t • • • • • · · · • · ♦ • ·· ·· ·· # ·· · 31 umoxyd), Papier, glasfaserverstärktes Epoxyd handeln, doch wird eine dünne Folie aus kristallinem Silizium bevorzugt. Das Material des Dünnfilmhalbleiters kann amorphes Silizium, Polysilizium, Diamant oder irgendein anderer Halbleiter-Dünnfilm sein. Das piezoelektrische Material kann eine piezoelektrische Keramik, beispielsweise Blei-Zirkonat-Titanat-(PZT)-Dünnfilme, die vorzugsweise in ihrer Dicke zwischen 0,1 bis 50,0 Mikron liegen, oder ein polymeres, piezoelektrisches Polyamid-Dünnfilmmaterial sein. Das Innenverbindungsmaterial kann Ti/Ni/Cu, Al, Cr/Ni/Au, Ti/Ni/Au, Al/Au, W/Cu, W/Au, W/Au sein.

Fig. 11 zeigt einen Trägeraufbau für einen Sensor, der von einem dünnen Substrat aus kristallinem Silizium gebildet wird. Kristallines Silizium besitzt hervorragende elektrische Eigenschaften und erleichtert das Integrieren der Sensoranordnung mit den erforderlichen Treiber- und Ausgangsstufen, wobei sich jedoch eine relativ große und dünne Schicht aus Silizium verbiegt und bricht, wenn sie einem örtlich begrenzten Oberflächendruck ausgesetzt wird. Der gezeigte Träger liefert einen viel steiferen Aufbau, als dies bei einer Siliziumschicht mit der selben Gesamtdicke der Fall wäre.

Wie man sieht, besitzt die monolithische Schicht aus Silizium 430 eine Dicke von etwa 0,1 mm, wobei sie von einem gleich dicken Rahmen 432 aus glasfaserverstärktem Epoxyd umgeben ist, der an einer Rückwand 434 befestigt ist, die ebenfalls einen Aufbau aus glasfaserverstärktem Epoxyd besitzt und etwa 0,05 mm dick ist. Der Rahmen 432 und die Rückwand 434 können leicht unter Verwendung eines herkömmlichen Verfahrens für gedruckte Schaltkreise (PCB, printed circuit board) aufgebaut werden. Im Besonderen sind die obere und die untere Fläche der Rückwand 434 mit dünnen Kupferschichten 436 überzogen, die durch einen glasfaserverstärkten Epoxyd-Kern getrennt sind. Der Rahmen 432 weist an seinem Außenrand eine Anzahl von Lötanschlüssen 440 auf, um eine Verbindung mit dem Sicherheits-Prozessor 114 herzustellen. Der dünne Silizium-Chip 430 wird mit Epoxyd auf den Rahmen 432 und die Wand 434 geklebt, wobei die aktiven Bereiche elektrisch mit den entsprechenden elektrischen Punkten im Rahmen 430 über eine herkömmliche Verdrahtung 422 an den freiliegenden Außenrandteilen 444 des Siliziums 430 verbunden wer- • · · · ·· ··· ··»· ···· · · • · * · · · · · * ♦·····*»« f ♦ · ·· · # · * · ·«· 32 den, die die obere Schutzelektrode 446 umgeben. Übereinstimmungs-Algorithmen Für eine lokale Verarbeitung auf der Karte, bei der die Verarbeitungsspannung begrenzt ist und nur eine einfache 1:1 Übereinstimmung mit einem einzigen Bezugswert versucht wird, kann die Software für die Übereinstimmung des Fingerabdrucks auf einem relativ einfachen Vorwärtsvergleich von Minutien beruhen, die von zwei Mustern stammen. Beispielsweise kann das Bild der Grauskala eines Fingerabdrucks auf zwei Werte reduziert werden, auf weiß und schwarz, wobei dreidimensionale Erhebungen in zweidimensionale dünne Linien (Vektoren) umgesetzt werden. Die Genauigkeit des Verfahrens hängt damit, neben anderen Problemen, von Verwischungen, einem Verkleben, einer Verzerrung, einem teilweise Fehlen von Liniensegmenten sowie von anderen Einwirkungen ab. Obwohl das Minutien-Verfahren im Prinzip weniger genau ist, erfordert es weniger Rechenressourcen und bietet die Möglichkeit einer Kompatibilität mit vielen bestehenden Datenbasen. Für eine leistungsstarkere Verarbeitung auf einem abgesetzten Beglaubigungs-Server, bei dem eine Spannungsversorgung für die Verarbeitung zur Verfügung steht und eine genauere Unterscheidung erforderlich sein kann, kann dies beispielsweise ein "POC"-(reine Phasenkorrelation, phase only correlation)-Übereinstimmungs-Algorithmus sein. Bei der POC handelt es sich um einen Erkennungs-Algorithmus, der auf einer makroskopischen Übereinstimmung von ganzen Bildern beruht. Die POC stimmt umgekehrt eine strukturelle Information über einen breiten Bereich überein - von Details zum gesamten Bild. Damit ist die POC in der Lage, eine stabile Genauigkeit gegenüber Störungen zu liefern, beispielsweise gegenüber Verklebungen und teilweisen Lücken. Im Prinzip ist das POC-Verfahren frei von nachteiligen Auswirkungen auf eine Positionsverschiebung und Unterschieden in der Helligkeit, es ist schnell (etwa 0,1 Sekunden für eine Offline-Übereinstimmung) und es ist sehr genau. Die POC-Software kann beispielsweise einen Raumfrequenz-Vergleich der beiden Fingerabdruck-Muster unter Verwendung einer zweidimensionalen ersten Fourier-Transformation ("2DFFT") ausführen. Die 2DFFT setzt eine Anordnung von digitalen Daten, die eine 33 physische, zweidimensionale Ausbreitung des Fingerabdrucks darstellen, in einen Frequenzraum um. Anders ausgedrückt: es handelt sich um eine Rückwärts-Raumaufteilung, bei der ein Muster mit höherer Dichte eine höhere Raumfrequenz besitzt. Eine Rotationstransformation kann dazu verwendet werden, um die Frequenzraummuster-Übereinstimmung anzupassen. Die POC-Muster Anpassung besitzt den weiteren Vorteil einer Minutien-vektor-Anpassung, da sie von gewöhnlichen Fehlern im aufgezeichneten Fingerabdruck-Muster nicht irregeführt wird, die die POC als Störung erkennen würde, wobei jedoch eine Minu-tien-Analyse sie als bedeutungsvolle Daten interpretieren würde.

Bei besonders anspruchsvollen Applikationen kann ein Hybridansatz eine größere Genauigkeit und Sicherheit als eines der beiden Verfahren allein bieten. Beispielsweise kann ein Minu-tienverfahren am Ort der Erfassung verwendet werden, während das POC-Verfahren auf einem abgesetzten Server laufen kann. Bei einem anderen Beispiel kann das Übereinstimmungs-Verfahren sowohl die Minutien als auch die räumlichen Verhältnisse analysieren, um ein kombiniertes Ergebnis zu erzeugen, das die Resultate von beiden berücksichtigt.

Applikationen

Die oben beschriebene Technik liefert ein hohes Sicherheitsniveau für viele Applikationen, sowohl im Bereich der Wirtschaft als auch im öffentlichen Bereich. In Abhängigkeit von den Anforderungen an jede Applikation kann eine Vielzahl von sicheren Applikationen gemeinsam vorhanden sein und auf der selben Karte und/oder auf dem selben Beglaubigungs-Server in Betrieb stehen. Bei einer Ausführungsform kann eine einzelne Karte bis zu 24 unabhängige und sichere Applikationen enthalten. Beispielsweise ermöglicht/verweigert die Technik den Zugang (physisch und/oder logisch), erkennt den genauen Ort und/oder die Bewegung des Personals und/oder überwachten Personen, während gleichzeitig andere sichere Applikationen in Betrieb stehen, von denen jede vollständig und sicher von den anderen getrennt ist.

Unter den Applikationen, die derzeit ins Auge gefasst sind, ♦ · · · · · • · · · ···· · · ···♦ · · « · · ··*·«··** ι ·· ♦· ·· «« · #·» 34 gibt es folgende: - Flughafen ID-Zutritt - Gebäudesicherheit - Zutritt zum Hotelzimmer und Abrechnung - Spital - Online-Spiele - Heruntergeladene Unterhaltungsmedien - Geburtsurkunde - Computerzugriff - Führerschein - Transportarbeiter Identitäts- und Berechtigungsnachweis (TWIC) - Elektronische Brieftasche - Medizinische Information in Notfällen - Sprengmittelkonzession - Zugang zu öffentlichen und militärischen Anlagen - Konzession für gefährliche Stoffe (HAZMAT) - Karte für Krankenversicherung und Leistungen - Zugang zu Parkplätzen - Reisepass - Pilotenlizenz - Hafen ID-Zutritt - Versicherungsnachweis - Sozialversicherungskarte - Karte für beglaubigte Handlungsreisenden - Visum oder Einreise/Ausreise-Genehmigung - Wählerverzeichnis-Karte - Karte für Fürsorge und Lebensmittelmarken Für viele dieser Applikationen liefert der auf der Karte befindliche Speicher vorzugsweise auch eine sichere Abspeicherung von verschiedenartigen privaten, persönlichen Informationen, auf die nur dann zugegriffen werden kann, wenn der registrierte Kartenhalter seine Identität nachgewiesen und einen derartigen Zugriff bewilligt hat. Beispiele für eine derartige private Information sind: - Behördeninformationen, z.B. Name, Adresse, Geburtsdatum, Geburtsort, Nationalität, Religionsbekenntnis, Mitgliedschaft in Organisationen, Sozialversicherungsnummer, Führerscheinnummer, Reisepassnummer und eine Einreiseinformation, z.B. Art des Visums, Ablaufdatum des Visums, Staatsangehörigkeit usw. t • • · · • • • 9 • • • · · * · · • • • • • 1 · • 9 • • • • ♦ · · • 9 # • • · • · «9 • · 0 999 35 - Finanzinformationen, z.B. elektrische Brieftasche, Informationen über die Kreditkarte Visa, MasterCard, American Express usw., Bankinformationen, z.B. Name der Bank, Saldo der Bank, Informationen über Geldtransaktionen, Steuernummer, Aufzeichnungen über Konkurse, Informationen über Geldtransaktionen usw. - Physiologische Informationen oder Gesundheitsinformationen, z.B. biometrische Informationen für die Identifizierung von Einzelpersonen, z.B. Größe, Gewicht, Fingerabdrücke, Iris, Retina, Handgröße, Knochenbau, Stimme, DNA; Blutgruppe; Ergebnisse von medizinischen Diagnosen; medizinische Vorgeschichte; medizinische Behandlungen; Informationen über Versicherungen; psychologische und physiologische Reaktionen auf bestimmte Reize usw. - Informationen über Vorfälle, z.B. Aufzeichnungen über strafbare Handlungen, Verbrechen, Vergehen, Übertretungen. - Informationen in Notfällen, z.B. Friedhof, relative und andere Kontaktinformationen, Informationen über Rechtsanwälte, Informationen über die Religion. - Ausbildung, Berufsleben einschließlich Schulbesuch, akademischer Grad, Beschäftigung bei einer Firma im Hinblick auf FDD. - Geschichte über Datenzugriffe (speichert die Daten der Zugriffsgeschichte in und außerhalb der Karte). - Die Identität betreffende Informationen, z.B. das Muster des Fingerabdrucks, verarbeitete Fingerabdruck-Muster, Ergebnisse des Fingerabdruck-Musters. - Passwörter, z.B. ein dauerndes Passwort, ein temporäres Passwort und/oder ein einmaliges Passwort. - Schlüssel für die Verschlüsselung, z.B. ein öffentlicher Schlüssel, ein privater Schlüssel und/oder ein einmaliger Schlüssel.

Ein beispielhaftes Registriersystem für Karten soll nunmehr beschrieben werden.

Der Antragsteller: füllt einen Antrag aus und legt ihn, vorzugsweise einschließlich einer Fotografie und einem Fingerabdruck vor. Bei den meisten Antragstellern sollte eine Prüfung ihrer Dokumente über ihre Herkunft sowie eine einfache Quer- 36 prüfung der vorgelegten Informationen gegenüber einer oder mehreren öffentlichen oder kommerziellen Datenbasen ausreichen, um die wahre Identität der Einzelperson festzustellen.

Nachdem seine Identität bestätigt wurde, geht der Antragsteller zu einer Ausgabestation, wo irgendeine Information, die vom Kartenausgeber als notwendig angesehen wird, auf die Karte geladen wird. Der Antragsteller gibt seinen Fingerabdruck auf dem Sensor auf der Karte ab. Wenn der Fingerabdruck einmal zufriedenstellend auf dem Sensor angeordnet ist und auf die Karte geladen wurde, erhält die Lasche auf der Karte einen elektrischen Spannungsstoß, mit dem bestimmte Schmelzsicherungen durchgebrannt werden, wodurch jedermann daran gehindert wird, dass in diesen bestimmten Bereich der Karte wieder etwas eingeschrieben werden kann. Daraufhin wird die kleine Lasche ab-geschnitten/geköpft (ähnlich einer Nabelschnur). An dieser Stelle kann die Karte nur über den ISO-Kontaktleser oder das ISO-Drahtlossystem ausgelesen oder beschrieben werden.

Wenn es sich um einen vernetzten Beglaubigungs-Server handelt, werden einige oder alle Daten, die auf die Karte geladen wurden, auch in verschlüsselter Form zum abgesetzten Server übertragen, möglicherweise ergänzt mit zusätzlichen Daten, die normalerweise nicht auf der Karte gespeichert sind, aber für bestimmte hochsichere Applikationen benötigt werden.

Claims

37 ANSPRÜCHE 1. Intelligente Erkennungskarte, wobei die Karte enthält: einen auf der Karte befindlichen Speicher, um Bezugsdaten zu speichern, einen auf der Karte befindlichen Sensor, um biometrische Daten direkt zu gewinnen, einen auf der Karte befindlichen Mikroprozessor, um die gewonnenen biometrischen Daten mit entsprechend gespeicherten Bezugsdaten innerhalb eines vorgegebenen Schwellenwerts zu vergleichen und nur dann eine Bestätigungs-Meldung zu erzeugen, wenn innerhalb eines vorgegebenen Schwellenwerts eine Übereinstimmung besteht, und eine Einrichtung, um die Bestätigungs-Meldung mit einem externen Netzwerk zu kommunizieren.
2. Erkennungskarte gemäß Anspruch 1, wobei die Bestätigungs-Meldung zumindest Auszüge aus den gespeicherten Bezugsdaten aufweist.
3. Erkennungskarte gemäß Anspruch 2, wobei die Bestätigungs-Meldung zumindest Auszüge aus den gewonnenen biometrischen Daten aufweist.
4. Erkennungskarte gemäß Anspruch 3, wobei die Bestätigungs-Meldung zu einem abgesetzten Beglaubigungs-System übertragen wird, um eine zusätzliche Bestätigung durchzuführen.
5. Erkennungskarte gemäß Anspruch 4, wobei das abgesetzte Beglaubigungs-System abgesetzt gespeicherte Bezugsdaten aufweist, die sich von den lokal gespeicherten Bezugsdaten unterscheiden.
6. Erkennungskarte gemäß Anspruch 4, wobei der auf der Karte befindliche Mikroprozessor einen anderen Übereinstimmungs-Algorithmus verwendet, als er beim abgesetzten Beglaubigungs-System verwendet wird.
7. Erkennungskarte gemäß Anspruch 2, wobei das gesamte Übereinstimmungs-Verfahren von dem auf der Karte befindlichen 38 Prozessor ausgeführt wird und keine gewonnenen biometrischen Datenwerte zum Netzwerk übertragen werden.
8. Erkennungskarte gemäß Anspruch 2, wobei sowohl die zuerst gewonnenen biometrischen Daten als auch irgendwelche andere "private" Informationen, die in dem auf der Karte befindlichen Speicher gespeichert sind, nicht für irgendwelche externe Prozesse zur Verfügung stehen.
9. Erkennungskarte gemäß Anspruch 2, wobei die Karte mit einer ISO-SmartCard kompatibel ist.
10. Erkennungskarte gemäß Anspruch 9, wobei die Karte weiters einen ISO-SmartCard Prozessor enthält.
11. Erkennungskarte gemäß Anspruch 10, wobei der Sicherheits-Prozessor, der zum Speichern und Verarbeiten der geschützten biometrischen Daten verwendet wird, funktionell vom ISO-SmartCard Prozessor durch ein Zugangsschutzsystem (fi-rewall) getrennt ist.
12. Erkennungskarte gemäß Anspruch 10, wobei alle externen Daten zum und vom Sicherheits-Prozessor über den ISO-SmartCard Prozessor laufen.
13. Erkennungskarte gemäß Anspruch 10, wobei alle externen Daten zum und vom ISO-SmartCard Prozessor über den Sicherheits-Prozessor laufen.
14. Erkennungskarte gemäß Anspruch 10, wobei der Sicherheits-Prozessor einen ersten Anschluss, der dazu verwendet wird, um Daten während eines Ladevorgangs zu laden, sowie einen zweiten Anschluss besitzt, der mit einem externen Netzwerk verbunden ist.
15. Erkennungskarte gemäß Anspruch, wobei der erste Anschluss dauernd außer Betrieb gesetzt wird, nachdem der Ladevorgang beendet wurde. 39
16. Erkennungskarte gemäß Anspruch 10, wobei der Sicherheits-Prozessor, der zum Speichern und Verarbeiten der geschützten biometrischen Daten dient, funktionell vom ISO-SmartCard Prozessor durch ein Zugangsschutzsystem (fire-wall) getrennt ist.
17. Erkennungskarte gemäß Anspruch 10, wobei: die Karte einen oberen Magnetstreifen-Bereich und einen unteren geprägten Bereich enthält; der biometrische Sensor ein Fingerabdruck-Sensor ist; und sowohl der Sicherheits-Prozessor, als auch der ISO-SmartCard Prozessor und der Fingerabdruck-Sensor in einem mittleren Bereich zwischen dem oberen Bereich und dem unteren Bereich angeordnet sind.
18. Erkennungskarte gemäß Anspruch 2, wobei die biometrischen Daten Fingerabdruck-Daten aufweisen und der Sensor ein Fingerabdruck-Sensor ist, der Daten vom Finger eines Benutzers gewinnt, der auf dem Sensor angeordnet ist.
19. Erkennungskarte gemäß Anspruch 18, wobei eine Echtzeit-Rückfrage erfolgt, während der Benutzer seinen Finger über dem Fingerabdruck-Sensor bewegt, wodurch eine optimale Anordnung des Fingers über dem Sensor erleichtert wird.
20. Erkennungskarte gemäß Anspruch 18, wobei der Übereinstimmungs-Vorgang einen Hybrid-Übereinstimmungsalgorithmus verwendet, der sowohl Minutien als auch das gesamte räumliche Verhältnis in den gewonnenen biometrischen Daten berücksichtigt.
21. Erkennungskarte gemäß Anspruch 18, wobei der Fingerabdruck-Sensor eine Folie aus kristallinem Silizium enthält, die von einer Rückwand getragen wird.
22. Erkennungskarte gemäß Anspruch 21, wobei die Rückwand eine glasfaserverstärkte Epoxyd-Schicht enthält, die zwischen zwei Metallschichten eingeschlossen ist. 40
23. Erkennungskarte gemäß Anspruch 18, wobei die Rückwand mit einem Trägerrahmen verstärkt ist.
24. Erkennungskarte gemäß Anspruch 1, wobei die Karte weiters eine Einrichtung enthält, um die Verwendung der Karte auf einen vorgegebenen Ort zu beschränken, zumindest für einige der gewonnenen Daten.
25. Erkennungskarte gemäß Anspruch 1, wobei zumindest einige der gewonnenen biometrischen Daten und der Bezugsdaten zu einem getrennten Beglaubigungs-Server übertragen werden, um die Identität eines Benutzers sicher zu bestätigen, bevor irgendeine Bewilligung eines Online-Zugriffs auf einen Applikations-Server erfolgt, um sichere Finanztransaktionen zu verarbeiten, die diesen Benutzer betreffen.
26. Erkennungskarte gemäß Anspruch 25, wobei in Abhängigkeit von einer Übereinstimmungs-Anforderung, die einen bestimmten eingeloggten Versuch bei einem bestimmten Applikations-Server betrifft, der eine positive Übereinstimmung beim Beglaubigungs-Server erzeugt, ein sicheres Dreiwege-Beglaubigungsprotokoll ausgeführt wird, bei dem der Beglaubigungs-Server eine Challenge-Zeichenfolge zur Erkennungskarte aussendet, wobei die Erkennungskarte dann die Challenge-Zeichenfolge und die Übereinstimmungs-Anforderung dazu verwendet, um eine Challenge-Antwort zu erzeugen, die dann zum Applikations-Server weitergeleitet wird, wobei der Applikations-Server dann die Challenge-Antwort zum Beglaubigungs-Server weiterleitet, der dann beglaubigt, ob die Challenge-Antwort gültig ist.
27. Erkennungskarte gemäß Anspruch 1, wobei der Ausgang von der Karte dazu verwendet wird, um einen physischen Zugriff in einen sicheren Bereich zu erhalten.
28. Erkennungskarte gemäß Anspruch 27, wobei ein Bericht von erfolgreichen und erfolglosen Zugriffsversuchen auf der Karte festgehalten wird. Wien, am