-
HINTERGRUND DER ERFINDUNG
-
GEBIET DER ERFINDUNG
-
Die vorliegende Erfindung betrifft ein Verfahren und ein System zur Authentifzierung eines Nutzers einer Datenverarbeitungsanlage mit einem biometrischen Merkmal des Nutzers, wobei mindestens ein biometrisches Merkmal des Nutzers durch eine Erfassungseinrichtung der Datenverarbeitungsanlage erfasst wird und mit einer gespeicherten Vergleichsprobe verglichen wird, um bei einer Ähnlichkeit des mindestens einen erfassten biometrischen Merkmals mit der Vergleichsprobe die Authentifizierung vorzunehmen
-
STAND DER TECHNIK
-
In der digitalisierten Welt ist es für eine Vielzahl von Handlungen und Transaktionen von entscheidender Bedeutung die Identität einer Person, die an einem Datenverarbeitungsgerät Eingaben macht, zu verifizieren, um sicherzustellen, dass deren Handlungen, wie beispielsweise Bankgeschäfte (Online-banking), Einkäufe, Vermittlung von Schreiben und dergleichen, von einer autorisierten Person durchgeführt werden. Üblicherweise werden hierzu Verfahren wie PIN (Persönliche Identifikationsnummer) oder TAN (Transaktionsnummer) eingesetzt.
-
Es besteht jedoch beispielsweise beim Online-Banking das Problem, dass Kundencomputer, wie beispielsweise PCs, Laptops oder internetfähige Handys oftmals nicht ausreichend vor Hackerangriffen geschützt sind. Da die Bank keinen Einfluss auf den jeweiligen Kundencomputer hat, fällt es der Bank schwer, angemessene Sicherheitsstandards beim Onlinebanking zur Verfügung zu stellen. Es besteht somit die Gefahr, das sich Hacker Zugriff auf die PIN beschaffen und das Online-Kundenbankkonto kontinuierlich ausspähen. Auch die TANs können durch die Hacker abgegriffen werden und missbräuchlich verwendet werden. Zudem haben herkömmliche TAN-Listen den Nachteil, dass sie vom Kunden mitgeführt werden müssen und damit die Gefahr des Verlustes sehr hoch ist.
-
Um die Sicherheit bei Online-Bankangelegenheiten zu erhöhen, wurden in den letzten Jahren mTANs und smartTANs eingeführt. Für die Nutzung von mTANs sowie smartTANs ist jedoch ein zusätzliches Gerät wie beispielsweise ein Mobiltelefon für mTANs und ein Kartenlesegerät für smartTANs von Nöten, was zu einem erhöhten Aufwand und Unannehmlichkeiten für den Benutzer führt.
-
Um diesem Problem abzuhelfen ist bereits vorgeschlagen worden, Authentifizierungsverfahren auf Basis biometrischer Merkmale einzusetzen, bei denen biometrische Merkmale erfasst und mit einer hinterlegten Vergleichsprobe der biometrischen Merkmale verglichen werden. Biometrische Merkmale können zur Feststellung der Identität einer Person (Identifizierung) und zur Verifikation der behaupteten Identität einer Person (Authentifizierung) dienen. Trotz ihrer Vorteile werden biometrische Verfahren zur Authentifizierung in Computersystemen bislang wenig eingesetzt. Dies liegt daran, dass sie für die Authentifizierung Schwächen aufweisen.
-
Die erste Schwäche ist die nicht immer exakte Trennbarkeit zweier Personen anhand ihrer von einem Sensor zur Erfassung der biometrischen Merkmale erfassten Merkmalsdaten in Form einer Merkmalsprobe (Sample). Bei der Authentifizierung mit einem Passwort kann eine einfache Ja/Nein – Entscheidung getroffen werden, je nachdem ob das Passwort richtig oder falsch eingegeben wurde. Bei biometrischen Verfahren funktioniert das jedoch nicht. Die Möglichkeit, dass der Benutzer am Sensor ein Sample abliefert, das mit der als Referenzmuster gespeicherten Vergleichsprobe genau identisch ist, kommt sehr selten vor. Selbst wenn das zu erfassende biometrische Merkmal genau identisch mit der Vergleichsprobe ist, wird es durch Erfassungsungenauigkeiten des Sensors technisch zu Veränderungen kommen, durch die keine Identität der Merkmalsprobe (Sample) mit der Vergleichsprobe mehr gegeben ist. Dadurch wird die strenge Identität zerstört. Man muss sich deshalb in der Regel mit einer Ähnlichkeit innerhalb gewisser Toleranzen zufrieden geben. Ist das aktuell eingegebene Sample hinreichend ähnlich zum Referenzmuster, dann wird die behauptete Benutzeridentität als richtig anerkannt. Hinreichend bedeutet innerhalb eines Toleranzbereiches rund um das Referenzmuster. Sobald aber der Toleranzbereich größer als ein Nullwert ist, und das muss er aus Praktikabilitätsgründen immer sein, entstehen „biometrische Zwillinge“. Das sind Personen, deren physiologische biometrischen Merkmale sich so wenig voneinander unterscheiden, dass ein Sample der einen Person häufig innerhalb des Toleranzbereiches des Referenzmusters der anderen Person liegt und umgekehrt. Die Folge ist, dass sie sich nicht mehr scharf trennen lassen und es zu falschen Authentifizierungen kommt. Leider sind von dem Zwillingseffekt besonders stark solche biometrische Verfahren betroffen, die nicht mit bildhaften statischen Merkmalen wie Gesicht oder Fingerprint arbeiten, sondern mit dynamischen Merkmalen, die ein individuelles Wesensmerkmal darstellen, also sogenannte Verhaltensbiometrien. Hierzu zählen z.B. der Klang der Sprache, das Tippverhalten auf Tastatur und Touchscreen oder der Gang eines Menschen. Die dynamischen Merkmale unterliegen Schwankungen, die von der augenblicklichen persönlichen Verfassung des Benutzers verursacht werden. Deshalb muss der Toleranzbereich bei dynamischen Biometrien größer sein als bei statischen. Das schwächt eine Reihe von Vorteilen, die dynamische Biometrien gegenüber statischen besitzen, wieder ab. Als zweite Schwäche von bekannten biometrischen Authentifizierungsverfahren ist zu nennen, dass die biometrischen Merkmale mehr oder weniger offen zutage liegen, wie z.B. das Gesicht oder der Fingerprint. Man kann sie nicht zuverlässig vor Diebstahl schützen. Ein Angreifer bringt das biometrische Merkmal des Benutzers in einer derartigen Form in seinen Besitz, in welchem es eingabefähig am biometrischen Sensor ist. Bei der Fingerprint-Biometrie sind diese Techniken hinlänglich bekannt. Der Angreifer stellt eine Merkmalsattrappe her und täuscht damit das Authentifizierungssystem. Auch bei dynamischen Biometrien ist dies möglich. Bei der Sprechererkennung z.B. zeichnet der Angreifer Sprechtexte des Benutzers auf. Dies kann er z.B. unbemerkt erreichen, wenn er eine Wanze im Telefonhörer des Benutzers installiert oder eine Schadsoftware-App auf dem Handy. Bei der Tippbiometrie, die das Tippverhalten von Menschen auf Tastaturen oder Touch-Displays nutzt, platziert er auf dem Benutzerendgerät unbemerkt Schadsoftware, welche die Eingabe auf der Tastatur oder dem Touchscreen mitschneidet (Keylogger). Nach hinlänglich langer Aufzeichnung liegen so viele Beobachtungen des biometrischen Merkmals vor, dass der Angreifer damit eine Software füttern kann, die als Merkmalsgenerator fungiert. Der Merkmalsgenerator liefert dem Angreifer simulierte Benutzersamples, die den originalen Samples täuschend ähnlich sind. Der Angreifer schlüpft mit den Attrappen oder den simulierten Samples in die Rolle eines biometrischen Zwillings. Er umgeht den Sensor und spielt direkt das Sample in der Form ein, wie es der Sensor liefern würde. Gegen einen derartigen Angriff ist das biometrische System an sich machtlos.
-
Die dritte Schwäche bekannter biometrischer Authentifizierungssysteme liegt darin, dass ein biometrisches Merkmal, wenn es einmal gehackt ist, also für eine fingierte Authentifizierung verwendet worden ist, ein für alle Mal für die biometrische Authentifizierung unbrauchbar ist. Während man ein gehacktes Passwort ändern kann, kann man sein Gesicht oder seinen Fingerabdruck nicht ändern. Wenn man bedenkt, dass in der Vergangenheit durch unrechtmäßig verschafftem Zutritt zu Servern, sogenannte Server-Hacks, Millionen von Kundendaten nebst Passwörtern offen gelegt wurden und mit ihnen ein reger Handel betrieben wird, dann kann man sich leicht vorstellen, welche Begehrlichkeiten biometrische Datenbanken wecken. Werden die Daten aus derartigen Datenbanken gestohlen, ist die weitere Verwendung biometrischer Erkennungsmerkmale umso schwerer, was die Akzeptanz derartiger biometrischer Erkennungssoftware erschwert.
-
Solange biometrische Systeme zur Authentifizierung eines Benutzers mit den drei oben genannten Schwächen behaftet sind, werden ihre Sicherheit und damit die Praxistauglichkeit relativ gering bleiben. Auf der anderen Seite besitzen sie das Potenzial, den längst veralteten und löchrig gewordenen Passwortschutz abzulösen.
-
OFFENBARUNG DER ERFINDUNG
-
AUFGABE DER ERFINDUNG
-
Es ist deshalb Aufgabe der vorliegenden Erfindung, ein Verfahren und System zur Benutzerauthentifizierung für elektronische Systeme bereitzustellen, welches die Probleme des Standes der Technik überwindet und eine zuverlässige und sichere Authentifizierung von Nutzern eines elektronischen Systems ermöglicht. Insbesondere ist es Aufgabe der vorliegenden Erfindung, biometrische Authentifizierungsverfahren und -systeme so weiter zu entwickeln, dass erstens biometrische Zwillinge scharf getrennt werden können, zweitens insbesondere in wichtigen Anwendungsfeldern der Merkmalsdiebstahl obsolet wird, weil er dem Angreifer nichts mehr nützt, und drittens zu vermeiden, dass originale biometrische Profile irgendwo gespeichert werden. Die oben erwähnten wichtigen Anwendungsfelder sind Authentifizierungssysteme im Client-Server-Umfeld oder als Authentication-as-a-Service im Cloud-Umfeld.
-
TECHNISCHE LÖSUNG
-
Diese Aufgabe wird gelöst durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie ein System mit den Merkmalen des Anspruchs 7. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche.
-
Die vorliegende Erfindung schlägt zur Verbesserung von Authentifizierungsverfahren bzw. -systemen auf Basis von biometrischen Merkmalen vor, mindestens ein biometrisches Merkmal, welches zur Authentifizierung verwendet wird, einer Transformation zu unterziehen, sodass durch eine individuelle, benutzerdefinierte Transformation des oder der biometrischen Merkmale eine bessere Trennung von biometrischen Profilen und eine Erhöhung der Sicherheit des Authentifizierungsvorgangs erreicht wird.
-
Bei dem erfindungsgemäßen Verfahren bzw. System zur Authentifizierung eines Nutzers einer Datenverarbeitungsanlage wird mindestens ein biometrisches Merkmal des Nutzers durch eine Erfassungseinrichtung der Datenverarbeitungsanlage erfasst. Unter einem biometrischen Merkmal wird mindestens ein Merkmal verstanden, welches eine biometrische Eigenschaft des Nutzers beschreibt, wie beispielswiese das Aussehen des Gesichts des Nutzers, die Erscheinungsform der Sprache, das Tippverhalten auf Tastaturen, Touchpads, berührungsempfindlichen Bildschirmen und dergleichen sowie Fingerabdrücke oder Handlinienformen. Das entsprechende biometrische Merkmal kann diese Eigenschaft durch einen oder mehrere Parameter beschreiben, wie beispielsweise die biometrische Eigenschaft der Gesichtsform durch den Parameter des Augenabstands, der Nasenlänge usw. Entsprechend wird unter einem biometrischen Merkmal ein einzelner Parameter verstanden, der eine biometrische Eigenschaft beschreibt. Bei der Verwendung von biometrischen Eigenschaften, wie beispielsweise der Gesichtserkennung oder dem Tippverhalten, können entsprechend eine Vielzahl von biometrischen Merkmalen erfasst werden.
-
Das mindestens eine von der Erfassungseinrichtung der Datenverarbeitungsanlage erfasste biometrische Merkmal wird für die Durchführung der Authentifizierung mit einer Vergleichsprobe verglichen, die für den Nutzer abgespeichert ist und ein oder mehrere vergleichbare biometrische Merkmale umfasst. Liegt die Vergleichsprobe und das erfasste biometrische Merkmal in einem Ähnlichkeitsbereich, der vorgegeben ist, so ist die Authentifizierung erfolgreich.
-
Ähnlichkeiten können entweder direkt über geometrische Distanzfunktionen definiert sein, aber auch mittels anderer Verfahren der Mustererkennung, wie z. B. künstlicher neuronaler Netze oder Methoden der statistischen Testtheorie. Diese arbeiten manches Mal nicht nur mit den biometrischen Merkmalen, sondern zusätzlich mit aus ihnen abgeleiteten personenindividuellen Parametern. Dies sind z. B. statistische Kennzahlen wie die Momente von Wahrscheinlichkeitsverteilungen der beobachteten Benutzermerkmale oder Gewichte eines künstlich neuronalen Netztes. In der Gesamtheit bilden Parameter und/oder Benutzermerkmale (Samples) ein biometrisches Profil. Wenn deshalb im Folgenden von einem Vergleich mit einer Vergleichsprobe die Rede ist, dann ist dies unter diesem umfassenden Aspekt zu verstehen, der eine Ähnlichkeitsaussage zum biometrischen Profil eines Benutzters beinhaltet.
-
Bei dem nunmehr verbesserten Verfahren gemäß der Erfindung erfolgt der Vergleich jedoch nicht anhand des biometrischen Merkmals an sich, sondern das biometrische Merkmal wird einer Transformation unterzogen bevor es mit der Vergleichsprobe verglichen wird, die selbst ebenfalls transformiert ist. Da die Transformation individuell für jeden Nutzer unterschiedlich durchgeführt werden kann, kann zum einen erreicht werden, dass nahe beieinanderliegende biometrische Merkmale, die zu einer falschen Authentifizierung führen könnten, weiter voneinander getrennt werden können, und zum anderen kann vermieden werden, dass durch Manipulation eine unberechtigte Authentifizierung stattfindet, da für den Angreifer, der eine Manipulation durchführen möchte, nicht nur das biometrische Merkmal vorliegen muss, sondern auch die der individuellen Transformation zugrunde liegenden Transformationsparameter. Damit wird eine Manipulation deutlich erschwert.
-
Da das mindestens eine biometrische Merkmal oder die mehreren biometrischen Merkmale jeweils durch einen Punkt in einem euklidischen Merkmalsraum definiert sein können, kann eine entsprechende Transformation, die ähnlichkeitserhaltend sein muss, in einfacher Weise durchgeführt werden. So kann eine derartige Transformation aus einer Gruppe ausgewählt werden, die eine Translation, Drehung, Streckung und Stauchung des entsprechenden Punkts im euklidischen Merkmalsraum umfasst.
-
Zur Durchführung einer entsprechenden Authentifizierung kann ein entsprechendes Authentifizierungssystem mindestens eine Datenverarbeitungsanlage mit mindestens einer Erfassungseinrichtung zur Erfassung mindestens eines biometrischen Merkmals umfassen, wobei das System weiterhin eine Speichereinheit zur Speicherung mindestens einer Vergleichsprobe und ein Ähnlichkeitsbestimmungsmodul aufweist, um mit dem Ähnlichkeitsbestimmungsmodul zu bestimmen, ob ein von der Erfassungseinrichtung erfasstes biometrisches Merkmal ähnlich der gespeicherten Vergleichsprobe ist. Ferner umfasst ein entsprechendes Authentifizierungssystem eine Transformationseinheit, mit deren Hilfe das biometrische Merkmal einer Transformation unterzogen werden kann, bevor es mit der Vergleichsprobe verglichen wird.
-
Das Authentifizierungssystem kann in einem einzigen Gerät, beispielsweise einem Laptop, einem Tablet-Computer, einem Smartphone oder dergleichen integriert sein oder auf mindestens zwei Geräten oder Anlagen, die über ein Netzwerk miteinander verbunden sind, verteilt angeordnet sein, und zwar zum einen auf der Datenverarbeitungsanlage mit dem Erfassungssystem, an dem der zu authentifizierende Nutzer arbeitet, sowie einem Server, der getrennt von der Datenverarbeitungsanlage des Nutzers arbeitet und das Ähnlichkeitsbestimmungsmodul umfassen kann, um die Authentifizierung vorzunehmen und aufgrund der Authentifizierung einen Zugang zu einem Rechner zu ermöglichen oder eine bestimmte Handlung zu erlauben.
-
Bei einer getrennten Architektur, bei der das Authentifizierungssystem auf mindestens zwei unterschiedlichen Rechnersystemen verwirklicht ist, kann die Transformationseinheit in der Datenverarbeitungsanlage des Nutzers, der authentifiziert werden will, angeordnet sein, wobei auch die Anordnung in einem separaten Zusatzgerät, welches mit der Datenverarbeitungsanlage des Nutzers verbindbar ist, wie z. B. einem USB-Stick, vorgesehen sein kann. Insbesondere kann ein Teil der Transformationseinheit in Form eines Transformationsschlüssels, der die Transformation individuell für einen Nutzer definiert, separat vorgesehen sein, beispielsweise auf einem USB-Stick, um es dem Nutzer zu ermöglichen den Transformationsschlüssel mobil bei verschiedenen Geräten einzusetzen.
-
Um die Sicherheit weiter zu erhöhen und die Ausforschung des Transformationsschlüssel bzw. der Transformationsparameter, mit denen die Transformation durchgeführt wird, wie z.B. eine Translation, zu erschweren, kann weiterhin ein Verschlüsselungssystem vorgesehen sein, welches sowohl die verschlüsselte Speicherung der Transformationsparameter, also des Transformationsschlüssels, und/oder der Vergleichsprobe ermöglicht. Außerdem kann eine Verschlüsselung des erfassten biometrischen Merkmals insbesondere für den Versand von der Erfassungseinrichtung zum Ähnlichkeitsbestimmungsmodul vorgesehen sein, damit die transformierten, erfassten biometrischen Merkmale schwerer zugänglich sind.
-
Darüber hinaus kann das Authentifizierungssystem eine Zähleinheit aufweisen, mit der die Anzahl der Authentifizierungsversuche und/oder Transformationen erfasst werden kann. Erlaubt man nur wenige Versuche, lässt sich verhindern, dass durch eine Vielzahl von Transformationen oder Authentifizierungsversuche Informationen über die Transformation erhalten oder der Transformationsschlüssel ermittelt werden kann.
-
FIGUREN
-
Die beigefügten Zeichnungen zeigen in rein schematischer Weise in
-
1 eine Darstellung einer getrennten Architektur mit einer Datenverarbeitungsanlage des Nutzers und einem Server, auf denen die Erfindung verwirklicht werden kann, und in
-
2 ein Diagramm zur Erläuterung des euklidischen Merkmalsraums mit zwei biometrischen Merkmalen und der Durchführung der Transformation für zwei unterschiedliche Nutzer.
-
AUSFÜHRUNGSBEISPIEL
-
Weitere Vorteile, Kennzeichen und Merkmale der vorliegenden Erfindung werden bei der nachfolgenden detaillierten Beschreibung eines Ausführungsbeispiels deutlich. Allerdings ist die Erfindung nicht auf dieses Ausführungsbeispiel beschränkt.
-
Die 1 zeigt in einer rein schematischen Darstellung eine Datenverarbeitungsanlage in Form eines PC-Systems 1 mit einem PC (Personal Computer) 5, einer Tastatur 4 zur Eingabe von Befehlen für den PC 5 sowie einem Monitor 3 zur Anzeige von entsprechenden Ausgaben des PCs 5. Hierzu ist der PC 5 über geeignete Verbindungen 8, 9 mit der Tastatur 4 bzw. dem Monitor 3 verbunden. Die Datenverarbeitungsanlage in Form eines PC-Systems 1 ist über ein Netzwerk 12 mit einem Server 2 verbunden, mit dem das PC-System 1 Informationen austauschen kann und beispielsweise Dienstleistungen, die durch den Server 2 angeboten werden, in Anspruch nehmen kann, wie beispielsweise Onlinehandelsgeschäfte oder Onlinebankgeschäfte. Zu diesem Zweck möchte der Server 2 die Identität des Nutzers, der das PC-System 1 für die Online-Aktivität nutzt, verifizieren. Entsprechend ist ein erfindungsgemäßes Authentifizierungssystem implementiert, wobei der PC 5 eine Erfassungseinrichtung 6 aufweist, um mindestens ein biometrisches Merkmal des Nutzers des PC-Systems 1 zu erfassen, sowie weiterhin eine Transformationseinheit 7, die dazu dient das oder die erfassten biometrischen Merkmale zu transformieren.
-
Der Server 2 weist ein Ähnlichkeitsbestimmungsmodul 10 sowie einen Speicher 11 auf. Das Ähnlichkeitsbestimmungsmodul 10 dient dazu, eine von der Erfassungseinrichtung 6 erfasste Merkmalsprobe des Nutzers, die mit der Transformationseinheit 7 transformiert worden ist und über das Netzwerk 12 an den Server 2 geschickt worden ist, mit einer Vergleichsprobe, die in dem Speicher 11 hinterlegt ist, zu vergleichen, um festzustellen, ob eine ausreichende Ähnlichkeit vorliegt, sodass eine Authentifizierung des Nutzers des PC-Systems 5 vorgenommen werden kann.
-
Gemäß der Erfindung wird das von der Erfassungseinrichtung 6 erfasste Sample, bevor es zum Authentifizieren an den Server geschickt wird, auf dem Endgerät in Form des PC-Systems 1 in geeigneter, Benutzer-individueller Weise transformiert. Wie bereits erwähnt, ist in dem PC-System 1 die Erfassungseinrichtung 6 des biometrischen Systems installiert. Sie besteht aus einer Software, dem Biometrie-Client, und einem Hardwaresensor, der das biometrische Merkmal erfasst, z.B. Sensoren zur Erfassung des Tippverhaltens in der Tastatur 4. Bevor das Sample an den Biometrie-Server weiter gereicht wird, bei dem das Ähnlichkeitsbestimmungsmodul 10 realisiert ist, wird die Transformation von der Transformationseinheit 7, die in der Clientsoftware realisiert ist, durchgeführt. Bei dem Biometrie-Server und dem Biometrie-Client kann es sich um logische Architekturkomponenten des biometrischen Systems handeln. Im gezeigten Beispiel ist der Biometrie-Server im Server 2 verwirklicht, während der Biometrie-Client im PC-System 1 realisiert ist. Biometrie-Server und Biometrie-Client können jedoch auch auf ein und demselben Gerät installiert sein, welches eine Möglichkeit zur elektronischen Datenverarbeitung besitzt, wie z.B. auf einem PC, Tablet PC, Smartphone, etc..
-
Wie die Transformation geschieht, zeigt das folgende Beispiel.
-
Das vom Sensor erfasste Sample liegt ohne Beschränkung der Allgemeinheit in Form eines Zahlenvektors S vor, der das oder die erfassten biometrischen Merkmale repräsentiert, beispielsweise durch Angaben über Werte zur Gesichtsgeometrie oder zum Tippverhalten. In der 2 wird das Sample von zwei Zahlenwerten repräsentiert. Also ist hier S = (s1, s2). Im euklidischen Merkmalsraum entspricht jedem Sample ein Punkt. Gibt der Benutzer mehrere Samples ein, z.B. im Rahmen des Enrollment-Prozesses, entsteht im Merkmalsraum ein benutzerindividuelles Merkmalscluster. Liegt das eingegebene Sample innerhalb des Clusters oder im Rahmen der Toleranz nicht weit davon entfernt, dann wird die Identität des Benutzers verifiziert, andernfalls nicht.
-
Die Ähnlichkeit biometrischer Zwillinge drückt sich im Merkmalsraum dadurch aus, dass die beiden Cluster so nahe beieinander liegen, dass es zu Falschakzeptanzen kommt. Wenn nun jedes Cluster im Merkmalsraum in geeigneter Weise in eine andere Richtung verschoben wird, dann werden automatisch Cluster von biometrischen Zwillingen separiert (siehe 2).
-
Wichtig ist, dass bei der Separation die Entscheidungslogik, also die Ähnlichkeitsbestimmung, nicht beeinträchtigt wird. So darf es nicht passieren, dass ein Sample vor der Transformation abgelehnt, jedoch nach der Transformation akzeptiert wird. Der innere Zusammenhalt des Clusters darf nicht verloren gehen (Ähnliches bleibt ähnlich). Die Transformation muss somit ähnlichkeitserhaltend sein. Das heißt: ist das Originalsample Sc ähnlicher zu Sa als es das Sample Sb ist, dann gilt das auch für die transformierten Samples. Oder mathematisch ausgedrückt:
Sei trans die Transformation, die jedes Sample S auf ein Sample S‘ abbildet
s‘i = trans(si) für alle Komponenten des Samples S = (s1, s2, ..., sn)
und sei dist ein Ähnlichkeitsmaß zwischen zwei Samples Sa und Sb, also
dist(Sa, Sb) >= 0 und dist(Sa, Sa) = 0 für alle Samples des Merkmalsraumes.
Dann ist die Transformation trans ähnlichkeitserhaltend, wenn gilt
falls dist(Sa, Sb) > dist(Sa, Sc), dann auch dist (S‘a, S‘b) > dist(S‘a, S’c).
-
Ähnlichkeitserhaltende Transformationen beeinträchtigen die Entscheidungslogik (Ähnlichkeitsbestimmung) nicht, denn nicht nur Ähnliches bleibt ähnlich, sondern auch Unähnliches bleibt unähnlich. Alle Samples, die bis dato vom Entscheider akzeptiert wurden, bilden die augenblickliche Repräsentation des biometrischen Merkmals in der Server-Datenbank. Nimmt man noch den Toleranzbereich hinzu, erhält man eine Punktewolke rund um das Cluster. Alle Samples innerhalb und auf dem Rand der Punktewolke werden vom Entscheider akzeptiert. Sie sind sich also in gewisser Weise untereinander und damit auch in ihrer Gesamtheit ähnlich. Wird bei der Authentifizierung ein Sample S1 gerade noch akzeptiert, weil es auf dem Rand der Punktewolke liegt und das Sample S2 abgelehnt, weil es außerhalb davon liegt, dann wird S2 auch nach der Transformation abgelehnt, denn S‘2 bleibt unähnlicher als der Randpunkt S‘1.
-
Ähnlichkeitserhaltend sind z.B. alle komponentenweise streng monotonen Transformationen. Für praktische Zwecke bieten sich als Verschiebungen einfache Translationen an. Das sind Verschiebungen um einen konstanten Shift-Vektor D = (d1, d2, ..., dn):
S‘: = S + D für alle Merkmalsvektoren S.
-
Daneben sind Drehungen, Streckungen, Stauchungen von S oder deren Kombinationen geeignet.
-
Am einfachsten ist es, wenn für die Transformation ein benutzerindividueller Transformationsschlüssel TKEY erzeugt wird. Ein Beispiel hierfür ist
TKEY = (A, B), wobei s’i: = ai + bi·si
-
Der Transformationsschlüssel TKEY wird clientseitig erzeugt. Er wird im Client-Programmcode hinterlegt oder lokal auf dem Endgerät oder auf einer separaten Hardware, z.B. einem USB-Stick, möglichst ausspähsicher gespeichert. Er verlässt nie den Client bzw. den USB-Stick.
-
Im Falle der Verwendung der Tippbiometrie könnte der Transformationsschlüssel TKEY so auf das Tippprofil zugeschnitten werden, dass die transformierten Samples möglichst wenig vom individuellen Tippverhalten verraten. Dies ist z.B. der Fall, wenn für alle Einzelmerkmale i die transformierten Beobachtungen s’i um denselben Mittelwert schwanken und mit derselben Varianz streuen.
-
Allgemein sollte man aus Sicherheitsgründen jedoch ähnlich wie beim Passwortschutz von Zeit zu Zeit den TKEY ändern, um eine Bestimmung des Transformationsschlüssels TKEY aus mehreren transformierten Samples zu vermeiden oder zu erschweren.
-
In diesem Zusammenhang ist es wichtig zu betonen, dass die Transformation keine Verschlüsselung ist. Der Angreifer kann, wenn er sich den Zugang zum Benutzer-Endgerät, also im Ausführungsbeispiel zum PC-System 1, verschafft hat, durch Ausprobieren, indem er einige Samples S eingibt und beobachtet, wie deren Wert S‘ aussieht, die Transformationsvorschrift berechnen. Dies ist eine Wesenheit der Transformation. Sie lässt sich nicht vermeiden. Im Gegensatz dazu besteht die Wesenheit der Verschlüsselung darin, Ähnlichkeiten zu zerstören, z.B. mittels Modulo-Techniken. Je besser dies gelingt, desto sicherer ist ein kryptografisches Verfahren.
-
Da die Ermittlung der Transformationsvorschrift und somit des Transformationsschlüssels nicht ausgeschlossen werden kann, sollten deshalb möglichst Vorkehrungen getroffen werden, um das Ausprobieren zu erschweren, wie beispielsweise die Beschränkung auf eine bestimmte Anzahl von Samples, die transformiert werden. Dazu kann eine Zähleinheit 13 vorgesehen sein, die die Anzahl der Transformationen bestimmt und nach Erreichen eines Grenzwerts die Erstellung eines neuen Transformationsschlüssels fordert oder einen Warnhinweis ausgibt und die Authentifizierung für eine bestimmte Zeitdauer sperrt. Dies kann abhängig oder unabhängig vom Erfolg der Authentifizierung erfolgen.
-
Beispielsweise kann die Anzahl der Eingaben am Client auch stark limitiert werden bis eine erfolgreiche Authentifizierung stattfindet. Bei jedem Login kann ein Zähler mitzählen, wie oft der Benutzer ein Sample eingegeben hat, bis die Authentifizierung erfolgreich abgeschlossen ist. Ist sie das, meldet dies der Server dem Client. Der Zähler wird dann wieder auf null zurückgesetzt. Überschreitet die Anzahl der Eingaben einen voreingestellten Wert, z.B. sechs, sperrt sich der Client für etliche Zeit, setzt den Zähler erst danach auf null zurück und hebt die Sperre auf.
-
Eine weitere Möglichkeit besteht darin, ein transformiertes Sample vor einem Zugriff zu schützen, indem das transformierte Sample noch im Client verschlüsselt wird, z.B. mit dem öffentlichen Schlüssel des Servers, und erst dann an den Server übertragen wird, wo es wieder entschlüsselt werden kann, wenn es zu Vergleichszwecken benötigt wird. Weiterhin kann auch die biometrische Vergleichsprobe verschlüsselt gespeichert werden und nur dann entschlüsselt werden, wenn ein Vergleich mit einem Sample erforderlich ist.
-
Wenn der Benutzer auf mehreren Datenverarbeitungsgeräten, wie z. B. verschiedenen Arbeitsplätzen innerhalb einer Firma, tätig ist, dann kann der Transformationsschlüssel TKEY auf einem USB-Stick o.ä. gespeichert sein, damit man den Transformationsschlüssel TKEY einfach mitnehmen kann.
-
Damit der Angreifer erfolgreich ist, muss er drei Hürden überwinden. Erstens muss er sich den Zugang zum Benutzer-Endgerät verschaffen. Bei Client-Server und Cloud-Architekturen kann dies schwierig sein. Zweitens muss er den Transformationsschlüssel mit wenigen Versuchen ermitteln. Angesichts des astronomisch großen Schlüsselraumes wäre dies ein extremer Zufall. Drittens muss er im Besitz eines Zwillings- oder Original-Samples sein. Mit diesen drei Hürden ist eine hohe Sicherheit für die richtige Authentifizierung gegeben.
-
Bei biometrischen Systemen findet man Standalone-Lösungen und Lösungen mit verteilter Architektur z.B. als Client-Server-Lösung oder als Software-as-a-Service. Standalone-Lösungen sind z.B. Fingerprint-Biometrien auf Notebooks und Smartphones, die mit einem Fingerprint-Sensor ausgestattet sind. Dort sind die Erfassungseinrichtung sowie das Ähnlichkeitsbestimmungsmodul auf dem Endgerät untergebracht.
-
Verteilte Architekturen besitzen eine sehr hohe praktische Bedeutung in Firmennetzwerken. So arbeitet z.B. der Passwortschutz in Firmennetzen oder in Internet-Applikationen nach dem Client-Server-Prinzip. Der Erfassungs-Client läuft auf dem Endgerät. Der Authentifizierungsserver mit seiner Entscheidungslogik ist in einer besonders geschützten Umgebung im Firmenrechenzentrum installiert. Derartige Authentifizierungsarchitekturen sind gegen Angriffe mit gestohlenen biometrischen Merkmalen besonders gefährdet. Dort gibt es nämlich sehr viele Endgeräte, auf denen sich die Mitarbeiter oder die Nutzer eines Web-Portals einloggen. Auf einem jeden davon kann der Angreifer einen Angriff starten. Bei Standalone-Biometrien hingegen existiert nur ein einziges Endgerät als Angriffspunkt. Der Angreifer braucht den physikalischen Zugriff zu diesem Gerät.
-
Welchen Nutzeffekt die Erfindung für biometrische Systeme insbesondere mit einer verteilten Architektur im Client-Server-Umfeld oder als Authentication-as-a-Service im Cloud-Umfeld besitzt, zeigt folgendes Beispiel. Der Angreifer, ein Kollege in derselben Firmenabteilung, besorgt sich, wie oben beschrieben, eine Merkmalsattrappe bzw. ein simuliertes Originalmerkmal und spielt es auf dem Client auf seinem Endgerät auf seinem Firmenarbeitsplatz ein, oder aber auf jedem beliebigen Arbeitsplatz in der Firma, auf dem der biometrische Client verfügbar ist. Die vorgestellte Erfindung verhindert eine Falschakzeptanz, weil das Sample nicht in der benutzerindividuellen Weise transformiert ist. Sie vereitelt also eine derartige Attacke im ganzen Firmennetz mit Ausnahme des Arbeitsplatzrechners des Benutzers. Bei tippbiometrischen Authentifizierungen in Web-Applikationen gilt dies sogar für alle Endgeräte der Nutzer in der Web Community mit Ausnahme des Benutzers-Endgerätes oder beim Besitz des Transformationsschlüssels.
-
Man könnte den Angriff mit gestohlenen bzw. simulierten Samples auch zusätzlich dadurch abwehren, wenn man zusätzlich zur Sample-Eingabe noch ein weiteres Authentifizierungsmerkmal verlangt, z.B. ein Passwort. Anstatt des Passworts kann dem Sample auch eine Gerätekennung oder eine Chipkennung mitgegeben werden. Das wehrt Angriffe von anderen Endgeräten aus ab. Die Bindung der Schutzlogik an ein Endgerät bringt aber auch Nachteile mit sich. Es verhindert die Mobilität.
-
Mit der vorliegenden Erfindung lassen sich die nachfolgenden Vorteile erzielen. Der Transformationsschlüssel separiert die Cluster der Samples in einem hoch dimensionalen euklidischen Raum. Jedes Einzelmerkmal steht für eine Dimension. Bei Gesichtserkennung, Fingerprint- und Tippbiometrie z.B. sind dies in der Regel weit über 15 Dimensionen. Damit ist der Merkmalsraum quasi fast leer. Der Raum für den Transformationsschlüssel besitzt genauso viele Dimensionen wie der Merkmalsraum. Damit kann man auch die Profile biometrischer Zwillinge mit extrem hoher Wahrscheinlichkeit überlappungsfrei separieren. Die Falschakzeptanzrate wird um etliche Zehnerpotenzen verkleinert.
-
Neben der Falschakzeptanz kämpfen biometrische Systeme auch mit der Falschrückweisung. Sie geschieht umso häufiger, je geringer die Ähnlichkeitstoleranz ist. Die Toleranz zu erhöhen, ist aber dann kein Ausweg, wenn damit die Sicherheit verringert wird, denn je toleranter das System ist, umso häufiger kommt es zu Falschakzeptanzen. Wenn jedoch die transformierten Samples gut separiert sind, dann gibt es praktisch keine sich überlappenden Punktewolken mehr. Man kann die Toleranzen ohne nennenswerte Einbuße der Trennschärfe lockern. Damit sinkt die Falschrückweisungsrate und die Benutzerfreundlichkeit wird erhöht.
-
Da der Merkmalsdiebstahl nicht zuverlässig verhindert werden kann, muss man damit umgehen. Aber die Erfindung macht biometrische Authentifizierungsverfahren weitestgehend unempfindlich dagegen. Es nützt einem Angreifer nichts, wenn er sich Samples aneignet oder künstlich erzeugt, denn das originale biometrische Profil ist dem Authentifizierungsserver gar nicht bekannt. Zusätzlich zum biometrischen Merkmal muss sich der Angreifer auch noch den Transformationsschlüssel aneignen, also Zugang zum Benutzerendgerät verschaffen. Speziell die Tippbiometrie, die hinsichtlich des Merkmalsdiebstahls besonders gefährdet ist, wird mit der Erfindung wesentlich geschützt.
-
Wenn dem Angreifer z.B. bei der Gesichtserkennung, ein Merkmalsdiebstahl gelingt, dann schließt er den Benutzer ein für alle Mal von der Verwendung dieser Biometrie aus, denn er hat nur ein einziges Gesicht. Arbeitet das biometrische System mit transformierten Samples, dann kann der Benutzer durch ein neues Enrollment mit einem geänderten Transformationsschlüssel jederzeit ein neues Profil anlegen und diese Technologie weiterhin nutzen. Auf diese Weise wird die biometrische Authentifizierung zu einer nachhaltigen Technologie.
-
Obwohl die vorliegende Erfindung anhand der Ausführungsbeispiele detailliert beschrieben worden ist, ist für den Fachmann selbstverständlich, dass die Erfindung nicht auf diese Ausführungsbeispiele beschränkt ist, sondern dass vielmehr Abwandlungen in der Weise möglich sind, dass einzelne Merkmale weggelassen oder andersartige Kombinationen von Merkmalen verwirklich werden können, solange der Schutzbereich der beigefügten Ansprüche nicht verlassen wird. Insbesondere schließt die vorliegende Offenbarung sämtliche Kombinationen der vorgestellten Einzelmerkmale mit ein.