-
Die
Erfindung betrifft ein Verfahren zur Authentisierung eines Benutzers.
Weiterhin betrifft die Erfindung ein System mit einem tragbaren
Datenträger
und einem Endgerät.
-
Um
sicher zu stellen, dass ein tragbarer Datenträger, wie beispielsweise eine
Chipkarte, nur von einer dazu berechtigten Person genutzt wird,
ist bei vielen Anwendungsfällen
vorgesehen, die Nutzung der Chipkarte erst nach einer erfolgreichen
Authentisierung des Benutzers zuzulassen. Beispielsweise wird eine
Authentisierung in der Regel für
die Abwicklung von Transaktionen des bargeldlosen Zahlungsverkehrs
oder für
die Nutzung eines Mobilfunktelefons verlangt. In vielen Fällen erfolgt
die Authentisierung durch die Eingabe einer Geheimzahl, die üblicherweise
als PIN bezeichnet wird und ausschließlich dem Benutzer bekannt
ist. Um keine allzu hohen Anforderungen an die Merkfähigkeit
der Benutzer zu stellen, werden in der Praxis meist vierstellige
PINs verwendet. Zur Erzielung einer hohen Sicherheit ist zwar prinzipiell
eine möglichst
lange PIN anzustreben. Es hat sich aber gezeigt, dass sich manche
Benutzer bereits eine vierstellige PIN notieren und dadurch riskieren,
dass diese ausgespäht
wird. Bei einer längeren
PIN würde
sich ein größerer Prozentsatz
der Benutzer Notizen machen, so dass dadurch ein potentieller Gewinn
an Sicherheit wieder in Frage gestellt würde.
-
Die
mit dem Ausspähen
einer PIN verbundenen Risiken können
vermieden werden, wenn die Authentisierung nicht anhand einer PIN,
sondern über ein
biometrisches Merkmal des Benutzers erfolgt. So sind beispielsweise
aus der
DE 19811 332
A1 ein Verfahren und eine Vorrichtung zur Prüfung eines
biometrischen Merkmals bekannt. Bei dem bekannten Verfahren werden
sämtliche
sicherheitsrelevante Operationen, die für die Prüfung erforderlich sind, innerhalb
eines Datenträgers
durchgeführt,
in dem auch Referenzdaten für
das biometrische Merkmal gespeichert werden. Rechenintensive Opera tionen werden
ausgelagert, soweit die Sicherheit dadurch nicht beeinträchtigt wird.
Als biometrisches Merkmal kann beispielsweise ein Fingerabdruck,
der Augenhindergrund oder eine Sprechprobe dienen.
-
Aus
der
GB 2 346 239 A ist
es bekannt, einen Zugang zu einer Web-Seite, die in einer Java-Karte gespeichert
ist, erst nach einer erfolgreichen Authentisierung zu erlauben.
Die Authentisierung kann auf Basis einer PIN und/oder wenigstens
eines biometrischen Merkmals durchgeführt werden, das sich auf ein
Abbild des Gesichts, der Hand oder des Auges, auf die Stimmcharakteristik
oder auf einen Fingerabdruck bezieht.
-
Die
US 2003/0046554 A1 offenbart eine Chipkarte mit einem Sensor zur
Spracheingabe. Die Spracheingabe kann zu Authentisierungszwecken, zur
Eingabe von Kommandos usw. genutzt werden.
-
Aus
der
US 6,219,439 B1 ist
ein biometrisches Authentisierungssystem bekannt, das eine Chipkarte
und einen Chipkartenleser aufweist. Der Chipkartenleser verfügt über einen
Fingerabdruck-Sensor und vergleicht die damit erfassten Fingerabdruck-Daten
mit Referenzdaten, die in der Chipkarte gespeichert sind. Alternativ
zu den Fingerabdruckdaten können
auch andere biometrische Daten, wie beispielsweise der Augenhintergrund,
eine Stimmcharakteristik oder eine Speichelprobe erfasst werden.
-
Bei
der Verwendung biometrischer Merkmale für die Authentisierung des Benutzers
entfällt
zwar das Risiko, dass eine unberechtigte Authentisierung mittels
einer ausgespähten
PIN erfolgt. Allerdings ist eine zuverlässige Authentisierung mittels
eines biometrischen Merkmals ungleich schwieriger durchführbar als
eine PIN-gestützte
Authentisierung. Ein Problem besteht darin, dass biometrische Merkmale gewissen Änderungen
unterliegen. Der Authentisierungsmechanismus muss daher so ausgelegt
sein, dass er ein lediglich geändertes
Merkmal noch als echt erkennt, ein falsches Merkmal dagegen zuverlässig zurückweist.
Dabei geht eine hohe Toleranz gegenüber Änderungen des Merkmals zwangsläufig zu
Lasten einer hohen Sicherheit und umgekehrt.
-
Der
Erfindung liegt die Aufgabe zugrunde, eine biometrische Authentisierung
eines Benutzers möglichst
zuverlässig
zu gestalten.
-
Diese
Aufgabe wird durch ein Verfahren mit der Merkmalskombination des
Anspruchs 1 und durch ein System mit der Merkmalskombination des Anspruchs
16 gelöst.
-
Beim
erfindungsgemäßen Verfahren
zur Authentisierung eines Benutzers mit Hilfe eines tragbaren Datenträgers, in
dem Referenzdaten für
mehrere biometrische Merkmale des Benutzers gespeichert sind, wird
wenigstens einer von mehreren Merkmalscodes, die je einem biometrischen
Merkmal des Benutzers zugeordnet sind, an den Benutzer ausgegeben
und das daraufhin vom Benutzer präsentierte wenigstens eine biometrische
Merkmal erfasst. Aus dem erfassten biometrischen Merkmal werden
Daten abgeleitet und unter Einbeziehung der gespeicherten Referenzdaten
ausgewertet. Auf Basis dieser Auswertung wird festgestellt, ob eine
erfolgreiche Authentisierung des Benutzers vorliegt.
-
Die
Erfindung hat den Vorteil, dass sie eine zuverlässige Authentisierung des Benutzers
ermöglicht.
Die Rate an ungerechtfertigter Weise abgelehnten Benutzern kann
sehr niedrig gehalten werden ohne ein nennenswertes Risiko einzugehen,
dass ein nicht berechtigter Benutzer erfolgreich authentisiert wird.
Ein Angriff wird dadurch erschwert, dass nicht stets das gleiche
bio metrische Merkmal verwendet wird, sondern über unterschiedliche Merkmalscodes unterschiedliche
biometrische Merkmale angefordert werden können.
-
Die
Ableitung der Daten aus dem erfassten biometrischen Merkmal wird
vorzugsweise außerhalb
des tragbaren Datenträgers
durchgeführt.
Dies hat den Vorteil, dass die Ressourcen des tragbaren Datenträgers nicht
unnötiger
Weise beansprucht werden. Um einen hohen Sicherheitsstandard und die
Vertraulichkeit persönlicher
Daten zu gewährleisten,
wird die Auswertung der aus dem erfassten biometrischen Merkmal
abgeleiten Daten vorzugsweise vom tragbaren Datenträger durchgeführt.
-
In
einer bevorzugten Ausführungsform
des erfindungsgemäßen Verfahrens
wird eine Folge von Merkmalscodes an den Benutzer ausgegeben und die
Auswertung auf Basis der daraufhin erfassten biometrischen Merkmale
durchgeführt.
Dadurch lassen sich eine höhere
Erkennungssicherheit und ein besserer Schutz gegen potentielle Angriffe
erreichen als mit einer Auswertung auf Basis eines einzigen biometrischen
Merkmals. Um es für
einen Angreifer unvorhersehbar zu machen, welcher Merkmalscode als nächstes ausgegeben
wird, kann eine zufallsbedingt vorgegebene Folge von Merkmalscodes
ausgegeben wird. Alternativ dazu ist es auch möglich, eine gemäß einem
festgelegten Schema vorgegebene von Merkmalscodes auszugeben. Dies
hat den Vorteil, dass das Schema beispielsweise im Hinblick auf eine
hohe Erkennungssicherheit optimiert sein kann oder anderen Aspekten
gezielt Rechnung tragen kann.
-
Besonders
vorteilhaft für
eine zuverlässige Funktionsweise
des erfindungsgemäßen Verfahrens ist
es, wenn die Ausgabe wenigstens eines Merkmalscodes von einem Zwischenergebnis
abhängig gemacht
wird, das auf Basis der bislang erfassten biometrischen Merkmale
ermittelt wird. Auf diese Weise können die jeweils herrschenden
Umstände
optimal berücksichtigt
werden. Weiterhin besteht die Möglichkeit,
dass wenigstens ein weiterer Merkmalscode ausgegeben wird, wenn
auf Basis der bislang erfassten biometrischen Merkmale eine ausreichend zuverlässige Entscheidung
bzgl. der Authentisierung des Benutzers nicht getroffen werden kann.
Dadurch kann das Verfahren bei optimalen Verhältnissen sehr schnell durchgeführt werden,
da dann die Ausgabe eines oder einiger weniger Merkmalscodes ausreicht.
Außerdem
liefert das Verfahren auch bei ungünstigen Verhältnissen
noch sehr gute Ergebnisse im Hinblick auf die Erkennungssicherheit.
Insbesondere kann wenigstens ein weiterer Merkmalscode ausgegeben
werden, wenn die Auswertung eines biometrischen Merkmals keine ausreichende Übereinstimmung
mit den gespeicherten Referenzdaten ergibt.
-
Eine
weitere Steigerung der Erkennungssicherheit lässt sich dadurch erzielen,
dass zusätzlich zu
den biometrischen Charakteristika der Informationsgehalt des erfassten
biometrischen Merkmals bei der Auswertung berücksichtigt wird.
-
Vorzugsweise
wird als biometrisches Merkmal eine Sprechprobe des Benutzers verwendet. Dies
hat den Vorteil, dass für
die Erfassung lediglich ein Mikrofon erforderlich ist, so dass der
Aufwand hierfür
sehr begrenzt ist. Außerdem
ist ein Mikrofon in manchen Geräten,
für die
das erfindungsgemäße Verfahren
einsetzbar ist, wie beispielsweise Mobilfunktelefone, ohnehin bereits
vorhanden. Ein weiterer Vorteil besteht in dem großen verfügbaren Variationsbereich
von Sprechproben. Außerdem
kann eine Sprechprobe problemlos mit einem Informationsgehalt versehen
werden.
-
Insbesondere
wird eine Sprechprobe des Benutzers für ein Wort oder eine Wortfolge
verwendet, wobei dem Wort bzw. der Wortfolge ein Merkmalscode zugeordnet
ist. Der Merkmalscode kann eine Klartextwiedergabe des Worts bzw.
der Wortfolge darstellen. Dadurch entfällt das Erfordernis, dass sich
der Benutzer die zu den einzelnen Merkmalscodes gehörenden Worte
oder Wortfolgen merken muss. Alternativ dazu kann der Merkmalscode
auch eine codierte Angabe für
das Wort bzw. für
die Wortfolge darstellen. Dies eröffnet die Möglichkeit einer zusätzlichen
Auswertung des Informationsgehalts der jeweils erfassten Sprechprobe.
-
Die
Merkmalscodes sind vorzugsweise im tragbaren Datenträger gespeichert.
-
Das
erfindungsgemäße System
weist einen tragbaren Datenträger
auf, in dem Referenzdaten für mehrere
biometrische Merkmale eines Benutzers gespeichert sind. Weiterhin
weist das erfindungsgemäße System
ein Endgerät
auf. Das Endgerät
verfügt über eine
erste Schnittstelle zur Ausgabe wenigstens eines von mehreren Merkmalscodes,
die je einem biometrischen Merkmal des Benutzers zugeordnet sind,
an den Benutzer. Zudem verfügt
das Endgerät über eine
zweite Schnittstelle zur Erfassung des daraufhin vom Benutzer präsentierten
biometrischen Merkmals. Schließlich
weist das erfindungsgemäße System
eine Analyseeinrichtung zur Ableitung von Daten aus dem erfassten
biometrischen Merkmal auf. Der tragbare Datenträger verfügt über Einrichtungen zur Auswertung
der abgeleiteten Daten unter Einbeziehung der gespeicherten Referenzdaten.
Mit diesen Auswerteeinrichtungen ist feststellbar, ob eine erfolgreiche
Authentisierung des Benutzers vorliegt.
-
Die
Analyseeinrichtung ist vorzugsweise in das Endgerät integriert.
Um trotz der begrenzten Ressourcen von tragbaren Datenträgern eine
gute Per formance zu erzielen, können
die Auswerteeinrichtungen des tragbaren Datenträgers auf einen durch die gespeicherten
Referenzdaten definierten Wertebereich abgestimmt sein.
-
Der
tragbare Datenträger
kann beispielsweise als eine Chipkarte ausgebildet sein. Bei dem
Endgerät
kann es sich insbesondere um ein Mobilfunktelefon handeln.
-
Die
Erfindung wird nachstehend anhand der in der Zeichnung dargestellten
Ausführungsbeispiele erläutert. Als
tragbarer Datenträger
wird im Rahmen der Erläuterung
der Erfindung jeweils eine Chipkarte herangezogen. Es können allerdings
gleichermaßen auch
andersartig ausgebildete tragbare Datenträger verwendet werden. Dabei
ist als ein tragbarer Datenträger
im Sinn der Erfindung ein Rechnersystem anzusehen, bei dem die Ressourcen,
d. h. Speicherressourcen und/oder Rechenkapazität (Rechenleistung) begrenzt
sind, z.B. eine Chipkarte (Smart Card, Mikroprozessor-Chipkarte)
oder ein Token oder ein Chipmodul zum Einbau in eine Chipkarte oder
in ein Token. Der tragbare Datenträger hat einen Körper, in dem
eine CPU (ein Mikroprozessor) angeordnet ist, und der jede beliebige
standardisierte oder nicht standardisierte Gestalt haben kann, beispielsweise die
Gestalt einer flachen Chipkarte ohne Norm oder nach einer Norm wie
z.B. ISO 7810 (z.B. ID-1, ID-00, ID-000) oder die eines volumigen
Tokens. Der tragbare Datenträger
kann weiter eine oder mehrere beliebige Schnittstellen für eine kontaktlose
und/oder kontaktbehaftete Kommunikation mit einem Lesegerät oder Datenverarbeitungssystem
(z.B. Personal Computer, Workstation, Server) haben.
-
Es
zeigen:
-
1 eine
stark vereinfachte Blockdarstellung eines Ausführungsbeispiels für ein erfindungsgemäß ausgebildetes
System zur Authentisierung eines Benutzers,
-
2 ein
Flussdiagramm für
eine mögliche Variante
zur Durchführung
einer Authentisierung mit dem in 1 dargestellten
System und,
-
3 ein
Flussdiagramm für
eine mögliche Variante
des Ablaufs bei der Erstellung eines benutzerdefinierten Authentisierungsschemas.
-
1 zeigt
eine stark vereinfachte Blockdarstellung eines Ausführungsbeispiels
für ein
erfindungsgemäß ausgebildetes
System zur Authentisierung eines Benutzers. Das System weist eine
Chipkarte 1 und ein Endgerät 2 auf. Für die Chipkarte 1 und
das Endgerät 2 sind
jeweils einige Funktionsblöcke
dargestellt. Die Funktionsblöcke
sind teils als entsprechende Hardware-Komponente, teils als Software realisiert.
Durch Pfeile zwischen den Funktionsblöcken sind die Abläufe während der
Authentisierung verdeutlicht.
-
Die
Chipkarte 1 weist einen Datenspeicher 3, eine
Generierungseinheit 4 zur Generierung von Kennziffervektoren
und eine Vergleichseinheit 5 zur Durchführung von Vergleichsoperationen
oder sonstigen Auswerteoperationen auf. Das Endgerät 2,
das beispielsweise als ein Mobilfunktelefon ausgebildet sein kann,
weist eine erste Benutzerschnittstelle 6, eine Analyseeinrichtung 7 und
eine zweite Benutzerschnittstelle 8 auf. Die erste Benutzerschnittstelle 6 ist
beispielsweise als ein Display, die zweite Benutzerschnittstelle 8 beispielsweise
als ein Mikrofon ausgebildet. Die Analyseeinrichtung 7 kann
alternativ auch extern eingerichtet sein, z.B. im Hintergrundsystem
eines Netzwerkproviders.
-
Bevor
die im folgenden beschriebene Benutzerauthentisierung durchgeführt werden
kann, ist es erforderlich, im Datenspeicher 3 der Chipkarte 1 einen
Datensatz für
den Benutzer abzuspeichern. Soll die Chipkarte 1 für mehrere
Benutzer verwendbar sein, so ist im Datenspeicher 3 für jeden
Benutzer je ein Datensatz abzuspeichern. Im folgenden wird die Vorgehensweise
für einen
Benutzer beschrieben. Bei mehreren Benutzern wird für jeden
Benutzer analog vorgegangen. Der Datensatz für den Benutzer enthält eine
Reihe von Angaben zur Stimme des Benutzers, wie beispielsweise Stimmhöhe, Obertongehalt, Akzentuierung
usw. Diese Angaben können
entweder automatisch durch Auswertung des Sprechverhaltens des Benutzers
von einem geeigneten System ermittelt werden oder auf Basis manueller
Eingaben, die anschließend
verifiziert und ggf. verbessert werden.
-
Weiterhin
enthält
der Datensatz Angaben zu mehreren Wortfolgen, wobei die Wortfolgen
sich hinsichtlich der verwendeten Worte oder lediglich hinsichtlich
deren Reihenfolge unterscheiden können und jeweils auch aus einem
einzigen Wort bestehen können.
Eine dieser Angaben dient jeweils der Bezeichnung der Wortfolge,
beispielsweise um diese von den weiteren Wortfolgen unterscheiden
zu können.
Diese Angabe wird als Merkmalscode bezeichnet und kann entweder
dem Klartext der Wortfolge oder einem sonstigen Ausdruck entsprechen,
wobei ausschließlich
dem Benutzer bekannt ist, welche Wortfolge der Ausdruck bezeichnet.
Insbesondere besteht auch die Möglichkeit,
dass der Merkmalscode im Klartext abgefasst ist und zusätzlich zur Wortfolge
weitere Worte oder Silben enthält,
die bei der Authentisierung vom Benutzer nicht auszusprechen sind.
Bei der Festlegung, welche Teile des Merkmalscodes auszusprechen
sind und welche nicht, können
mnemotechnische Aspekte berücksichtigt
werden, damit sich der Benutzer dies leichter merken kann. Bei all
diesen Ausgestaltungen kann vorgesehen sein, dass die Merkmalscodes
und die zugehörigen
Wortfolgen vom Benutzer festgelegt werden.
-
Als
eine weitere Angabe zu den Wortfolgen ist jeweils deren Satzmelodie
vorgesehen. Zudem enthält
der Datensatz für
jede Wortfolge wenigstens einen Referenzkennziffervektor. Im folgenden
wird ein Ausführungsbeispiel
mit mehreren Referenzkennziffervektoren beschrieben. Die Referenzkennziffervektoren
stellen jeweils eine Art Extrakt der vom Benutzer gesprochenen Wortfolge
dar und enthalten Kennziffern, die für den Benutzer charakteristisch sind
und andere Werte annehmen, wenn die Wortfolge von einem Dritten
gesprochen wird. Die Referenzkennziffervektoren können auch
auf Basis einer mehrmaligen akustischen Eingabe der gleichen Wortfolge
erzeugt werden und mehrfach oder in Form eines gemittelten Ergebnisses
abgespeichert werden.
-
Zur
Durchführung
der Benutzerauthentisierung wird die Chipkarte 1 in das
Endgerät 2 eingeführt und
dabei vom Endgerät 2 im
Bereich eines Kontaktfeldes berührend
kontaktiert, so dass zwischen der Chipkarte 1 und dem Endgerät 2 eine
Datenverbindung ausgebildet wird. Die Datenverbindung kann auch
kontaktlos ausgebildet werden, wobei die Chipkarte 1 dann
abhängig
von der Reichweite der kontaktlosen Datenübertragung nicht in das Endgerät 2 eingeführt, sondern
diesem lediglich angenähert
wird. Über
die Datenverbindung zwischen der Chipkarte 1 und dem Endgerät 2 wird
der Merkmalscode für
eine der im Datenspeicher 3 der Chipkarte 1 gespeicherten
Wortfolgen an das Endgerät 2 übermittelt.
Das Endgerät 2 gibt
den Merkmalscode mit Hilfe seiner ersten Benutzerschnittstelle 6 an
den Benutzer aus. Bei der ersten Benutzerschnittstelle 6 kann
es sich beispielsweise um ein Display handeln, das den Merkmalscode
als Text darstellt. Ebenso kann die erste Benutzerschnittstelle 6 auch
als ein Lautsprecher ausgebildet sein, der den Merkmalscode akustisch
ausgibt.
-
Die
daraufhin vom Benutzer gesprochene Wortfolge wird mit der zweiten
Benutzerschnittstelle 8 erfasst, die insbesondere als ein
Mikrofon ausgebildet ist. Die erfassten akustischen Daten werden
der Analyseeinrichtung 7 zugeführt. Dabei kann die Analyseeinrichtung 7 alternativ
zur Darstellung der 1 auch außerhalb des Endgeräts 2 angeordnet
sein und bei einer entfernten Anordnung über eine online Verbindung
zugänglich
sein. Die Analyseeinrichtung 7 führt eine Vorauswertung der
akustischen Daten beispielsweise in Form einer kombinierten Frequenz- und
Sprachanalyse durch und erzeugt auf diese Weise als ein Zwischenergebnis
digitale Biometriedaten. Dabei ist es prinzipiell auch möglich, die
Analyseeinrichtung 7 so auszubilden, dass die im folgenden noch
näher beschriebene
Ermittlung von Kennziffervektoren aus den Biometriedaten von der
Analyseeinrichtung 7 durchgeführt wird. Vorzugsweise werden die
Biometriedaten jedoch von der Analyseeinrichtung 7 an die
Generierungseinheit 4 der Chipkarte 1 übermittelt.
Die Generierungseinheit 4 erzeugt aus den Biometriedaten
Kennziffervektoren. Durch die Ermittlung der Kennziffervektoren
in der Chipkarte 1 kann nach außen eine Anonymität des Benutzers auch
dann gewahrt werden, wenn die Analyseeinrichtung 7 nicht
in das Endgerät 2 integriert
ist und die Vorauswertung der akustischen Daten somit extern erfolgt.
Die Erzeugung der Kennziffervektoren erfolgt auf analoge Weise wie
die Erzeugung der Referenzkennziffervektoren.
-
Die
Kennziffervektoren werden von der Generierungseinheit 4 an
die Vergleichseinheit 5 weitergeleitet. Weiterhin werden
der Vergleichseinheit 5 von dem im Datenspeicher 3 der
Chipkarte 1 gespeicherten Datensatz Referenzkennziffervektoren
zugeführt.
Die Vergleichseinheit 5 prüft, ob die Kennzif fervektoren
und die Referenzkennziffervektoren vom selben Benutzer stammen.
Für diese
Prüfung
stehen im Rahmen der Erfindung unterschiedliche Vorgehensweisen
zur Verfügung.
Falls für
die Bezeichnung der Wortfolgen Merkmalscodes verwendet werden, die
dem Klartext der Wortfolgen entsprechen, beschränkt sich die Prüfung auf
die stimmlichen Besonderheiten. Andernfalls wird zusätzlich die
inhaltliche Richtigkeit der vom Benutzer gesprochenen Wortfolgen
geprüft
und dadurch die Zuverlässigkeit
der Authentisierung gesteigert. Dabei kann beispielsweise ermittelt
werden, wie viele Worte richtig eingegeben wurden.
-
Ob
eine ausreichende Übereinstimmung zwischen
den Kenziffervektoren und den Referenzkennziffervektoren vorliegt,
kann beispielsweise durch einen direkten Vergleich ermittelt werden.
Ein Variante für
die Durchführung
eines direkten Vergleichs sieht vor, ein mathematisches Maß als Funktion
eines Kennziffervektors derart zu definieren, dass dessen Werte
für zwei
Kennziffervektoren umso näher
beieinander liegen, je ähnlicher
die zugehörigen
akustischen Daten sind. Zur Durchführung des Vergleichs wird dann
jeweils dieses mathematische Maß für den aktuell
ermittelten Kennziffervektor berechnet und mit dem mathematischen
Maß des
zugehörigen
Referenzkennziffervektors verglichen. Bei einer Abweichung unterhalb
eines zulässigen
Maximalwerts wird festgestellt, dass die dem Referenzkennziffervektor
und dem aktuell ermittelten Kennziffervektor zugrunde liegenden
akustischen Daten derselben Person zuzuordnen sind. Die Authentisierung des
Benutzers ist somit erfolgreich. Andernfalls, d. h. bei einer den
Maximalwert überschreitenden
Abweichung, wird davon ausgegangen, dass der Benutzer nicht authentisch
ist.
-
Ebenso
kann die Übereinstimmung
zwischen dem aktuell ermittelten Kennziffervektor und dem Referenzkennziffervektor
mittels eines indirekten Ver gleichs geprüft werden. Im Rahmen des indirekten
Vergleichs werden der aktuell ermittelte Kennziffervektor und der
Referenzkennziffervektor in ein Rechenverfahren einbezogen. Das
Rechenverfahren beinhaltet ein Fehlerkorrekturverfahren und erzeugt ein
bestimmtes Ergebnis, wenn der aktuell ermittelte Kennziffervektor
und der Referenzkennziffervektor identisch oder ähnlich sind. Unabhängig davon,
ob Identität,
eine nahezu identische Übereinstimmung oder
eine Übereinstimmung
an der Grenze des zulässigen Ähnlichkeitsbereichs
vorliegt, wird stets das gleiche Ergebnis erzeugt. Es liegt somit
eine erfolgreiche Authentisierung des Benutzers vor, wenn dieses
bestimmte Ergebnis erzeugt wird. Bei einem abweichenden Ergebnis
ist die Authentisierung des Benutzers nicht erfolgreich.
-
Um
eine möglichst
zuverlässige
Authentisierung zu erreichen, ist im Rahmen der Erfindung vorgesehen,
die Prüfung
in der Vergleichseinheit 5 der Chipkarte 1 auf
Basis von mehreren Kennziffervektoren durchzuführen, die für mehrere Wortfolgen ermittelt
wurden. Die zugehörigen
Merkmalscodes werden von der Chipkarte 1 im Rahmen der
in der Chipkarte 1 verfügbaren
Wortfolgen vorgegeben. Die Auswahl der Merkmalscodes kann dabei
zufällig
erfolgen. Ebenso ist es auch möglich,
dass die Auswahl der Merkmalscodes gemäß einem Algorithmus oder einer
vorgegeben Reihenfolge durchgeführt
wird.
-
Weiterhin
besteht im Rahmen der Erfindung die Möglichkeit, das Auftreten von
Kennziffervektoren, die eine schlechte Übereinstimmung mit den zugehörigen Referenzkennziffervektoren
liefern, bis zu einem gewissen Grad zu tolerieren, um ungerechtfertigte
Zurückweisungen
zu vermeiden. Wie weit diese Toleranz jeweils gehen kann, hängt von
den Sicherheitserfordernissen der jeweiligen Anwendung ab. In der
Regel wird eine erfolgreiche Authentisierung nur dann festgestellt
werden, wenn dies aufgrund der sonstigen er mittelten Kennziffervektoren
mit hoher Wahrscheinlichkeit als zutreffend anzusehen ist. Dabei
besteht insbesondere auch die Möglichkeit,
den weiteren Ablauf der Authentisierung vom bislang vorliegenden
Prüfungsergebnis
der Vergleichseinheit 5 abhängig zu machen. Besteht noch
eine Unsicherheit bezüglich
der Authentizität
des Benutzers, so können
von der Chipkarte 1 gezielt weitere Merkmalscodes vorgegeben
werden, um mit Hilfe der daraufhin ermittelten Kennziffervektoren
eine zuverlässige
Feststellung bezüglich
der Authentizität
zu treffen.
-
Nach
einer erfolgreichen Authentisierung kann vorgesehen werden, die
Referenzkennziffervektoren einer anderen Person in den Datenspeicher 3 der
Chipkarte 1 einzuschreiben. Dies kann im Austausch mit
den Referenzkennziffervektoren des aktuell authentisierten Benutzers
geschehen oder es kann eine zusätzliche
Eintragung erfolgen.
-
Für eine Authentisierung
der Chipkarte 1, beispielsweise gegenüber einem Netzwerk, werden keine
biometrischen Daten verwendet, sondern beispielsweise eine Identifikationsnummer
der Chipkarte 1.
-
Angesichts
der begrenzten Ressourcen der Chipkarte 1 kann vorgesehen
werden, dass die Vergleichseinheit 5 auf die Wortfolgen
optimiert wird, die im Datenspeicher 3 der Chipkarte 1 gespeichert
sind. Dadurch kann die Vergleichseinheit 5 gegenüber einer
Ausführung,
die für
beliebige Wortfolgen verwendbar ist, erheblich vereinfacht werden.
-
2 zeigt
ein Flussdiagramm für
eine mögliche
Variante zur Durchführung
einer Authentisierung mit dem in 1 dargestellten
System. Die dargestellte Variante bezieht sich auf eine für die Nutzung
eines Mobilfunktelefons vorgesehene Authentisierung. Das Mobilfunktelefon
ist ein mögliches
Aus führungsbeispiel
des in 1 dargestellten Endgeräts 2. In das Mobilfunktelefon
ist ein Sicherheitsmodul eingesteckt, das eine unberechtigte Nutzung
des Mobilfunktelefons verhindert und auch als Subscriber Identity
Module, kurz SIM, bezeichnet wird. Das Sicherheitsmodul stellt ein
mögliches
Ausführungsbeispiel
der in 1 gezeigten Chipkarte 1 dar.
-
Der
Durchlauf des Flussdiagramms beginnt mit einem Schritt S1, in dem
das Mobilfunktelefon vom Benutzer eingeschaltet wird. An Schritt
S1 schließt
sich ein Schritt S2 an, in dem das Mobilfunktelefon dem Benutzer
die im folgenden durchgeführte Authentisierung
durch eine entsprechende Anzeige auf seinem Display ankündigt. Auf
Schritt S2 folgt ein Schritt S3, in dem das Mobilfunktelefon zur
Eingabe einer Sprechprobe für
einen ersten Merkmalscode auffordert. Diese Aufforderung wird inklusive
des ersten Merkmalscodes am Display des Mobilfunktelefons dargestellt.
Als erster Merkmalscode dient beispielsweise der Ausdruck „ROSE". Im Anschluss an Schritt
S3 wird ein Schritt S4 ausgeführt,
in dem der Benutzer die für
den ersten Merkmalscode vorgesehene Sprechprobe in das Mikrofon
des Mobilfunktelefons spricht. Beispielsweise handelt es sich bei
dieser Sprechprobe um das Wort „BLUME".
-
Bei
der dargestellten Variante des Ablaufs schließt sich an Schritt S4 ein Schritt
S5 an, in dem auf dem Display eine zweite Eingabeaufforderung inklusive
eines zweiten Merkmalscodes angezeigt wird. Der zweite Merkmalscode
lautet beispielsweise „EICHE". Danach spricht
der Benutzer in einem Schritt S6 die für den zweiten Merkmalscode
vorgesehene Sprechprobe in das Mikrofon des Mobilfunktelefons. Hierbei
handelt es sich beispielsweise um das Wort „BAUM". Danach können sich noch weitere Eingabeeinforderungen
anschließen,
die vom Benutzer jeweils entsprechend beantwortet werden. Alternativ
dazu ist es auch möglich,
die Schritte S5 und S6 entfallen zu lassen und die sich anschließende Auswertung
lediglich auf Basis einer einzigen Sprechprobe des Benutzers durchzuführen. Die
Auswertung der wenigstens einen Sprechprobe des Benutzers wird in
einem Schritt S7 auf die bereits bei 1 beschriebene
Weise durchgeführt.
Wenn im Rahmen der Auswertung eine erfolgreiche Authentisierung des
Benutzers festgestellt wird, wird die Nutzung des Mobilfunktelefons
zugelassen. Andernfalls wird die Nutzung abgewiesen. Zweckmäßig erfolgt
die Feststellung einer Abweisung durch Akkumulation von Fehlerhaftigkeitsbewertungen
bei der Ausführung der
Authentisierungsschritte S2 bis S7. Überschreitet die Summe der
Fehlerhaftigkeitsbewertungen einen Grenzwert, erfolgt die Abweisung.
Um die wirkliche Abweisungsursache zu verschleiern, erfolgt die
Abweisung dabei zweckmäßig nicht
unmittelbar nach Feststellung der Grenzwertüberschreitung, sondern zu einem
zufälligen
späteren
Zeitpunkt oder erst am Ende des Verfahrens. Mit Schritt S7 ist der
Durchlauf des Flussdiagramms beendet.
-
Bei
einer Abwandlung des beschriebenen Ablaufs werden die Ausgaben an
den Benutzer anstelle oder ergänzend
zur Anzeige auf dem Display jeweils akustisch über einen Lautsprecher des
Mobilfunktelefons ausgegeben.
-
3 zeigt
ein Flussdiagramm für
eine mögliche
Variante des Ablaufs bei der Erstellung eines benutzerdefinierten
Authentisierungsschemas. Das Flussdiagramm bezieht sich auf einen
Fall, bei dem bislang eine Authentisierung mittels einer PIN durchgeführt wurde
und beginnt mit einem Schritt S8, in dem abgefragt wird, ob zukünftig eine
Authentisierung mittels biometrischer Merkmale durchgeführt werden
soll. Falls der Benutzer dies nicht wünscht, ist der Durchlauf des
Flussdiagramms beendet. Andernfalls schließt sich an Schritt S8 ein Schritt
S9 an, in dem ermittelt wird, ob die PIN weiterhin gelten soll und
dies entsprechend vermerkt wird. Dann wird ein Schritt S10 ausgeführt, in
dem der Benutzer die Anzahl von Paaren aus je einem Merkmalscode
und einer dem Merkmalscode zugeordneten Wortfolge festlegt. Auf
Schritt S10 folgt ein Schritt S11, in dem die Merkmalscodes eingegeben
und die Sprechprobe für die
jeweils zugehörige
Wortfolge aufgezeichnet und auf die bereits beschriebene Weise zu
einem oder mehreren Referenzkennziffervektoren weiterverarbeitet
wird. Danach wird ein Schritt S12 ausgeführt, in dem die Bedingungen
für eine
erfolgreiche Authentisierung festgelegt werden. Dabei werden beispielsweise
die Zahl der mindestens erforderlichen richtig eingegebenen Wortfolgen
sowie die Zahl der maximal zulässigen
Fehler festgelegt. Mit Schritt S12 ist der Durchlauf des Flussdiagramms
beendet.
-
Im
Rahmen der Erfindung wird als biometrisches Merkmal bevorzugt eine
Sprechprobe des Benutzers verwendet. Allerdings ist die Erfindung
nicht darauf begrenzt, sondern es können auch andere biometrische
Merkmale, wie beispielsweise ein Fingerabdruck, eine Schriftprobe,
ein Abbild des Augenhintergrunds usw., insbesondere in Kombination
mit Sprechproben, zum Einsatz kommen. Weiterhin besteht die Möglichkeit
der Kombination mit anderen Authentisierungsverfahren, beispielsweise
einer Authentisierung auf Basis einer Geheimzahl (PIN).