DE102022106241A1 - Contactless identification and authentication of a person - Google Patents

Contactless identification and authentication of a person Download PDF

Info

Publication number
DE102022106241A1
DE102022106241A1 DE102022106241.4A DE102022106241A DE102022106241A1 DE 102022106241 A1 DE102022106241 A1 DE 102022106241A1 DE 102022106241 A DE102022106241 A DE 102022106241A DE 102022106241 A1 DE102022106241 A1 DE 102022106241A1
Authority
DE
Germany
Prior art keywords
person
authentication
stored
data record
physical terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022106241.4A
Other languages
German (de)
Inventor
Alexander Dietrich
Lioba Suchenwirth
Jörn Vogel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsches Zentrum fuer Luft und Raumfahrt eV
Original Assignee
Deutsches Zentrum fuer Luft und Raumfahrt eV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsches Zentrum fuer Luft und Raumfahrt eV filed Critical Deutsches Zentrum fuer Luft und Raumfahrt eV
Priority to DE102022106241.4A priority Critical patent/DE102022106241A1/en
Publication of DE102022106241A1 publication Critical patent/DE102022106241A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/10Movable barriers with registering means

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

Die Erfindung betrifft ein System (1) zur Identifizierung und Authentifizierung einer Person, wobei in einer Datenbank (9) ein Datensatz zur Person abgelegt ist, der eine von der Person hinterlegte Authentifizierungsinformation in Form einer Spracheingabe und/oder Geste und/oder Mimik umfasst, wobei ein physisches Endgerät (3) die Person identifiziert und eine Vernetzungseinheit (5) mittels einer Verknüpfungstabelle die entsprechende Datenbank (9) kontaktiert, um die hinterlegte Authentifizierungsinformation an die Recheneinheit (7) zu übermitteln, wobei das physische Endgerät (3) eine kontaktlose Eingabe der Person erfasst und in Form einer erfassten Authentifizierungsinformation an die Recheneinheit (7) übermittelt, sodass diese die erfasste und die hinterlegte Authentifizierungsinformation vergleicht und bei Übereinstimmung die Person als authentifiziert bewertet.The invention relates to a system (1) for identifying and authenticating a person, a data record relating to the person being stored in a database (9), which includes authentication information stored by the person in the form of a voice input and/or gesture and/or facial expressions, wherein a physical terminal (3) identifies the person and a networking unit (5) contacts the corresponding database (9) using a linking table in order to transmit the stored authentication information to the computing unit (7), the physical terminal (3) providing a contactless input the person is recorded and transmitted in the form of recorded authentication information to the computing unit (7), so that it compares the recorded and the stored authentication information and, if there is a match, evaluates the person as authenticated.

Description

Die Erfindung betrifft ein System zur Identifizierung und Authentifizierung einer Person, sowie ein Verfahren zur Identifizierung und Authentifizierung einer Person.The invention relates to a system for identifying and authenticating a person, and a method for identifying and authenticating a person.

Im Folgenden werden die Begriffe Identifizierung und Authentifizierung wie folgt unterschieden: Die Identifizierung dient alleine zu dem Zweck, eine Person im Sinne eines Individuums von anderen Personen mittels einer bestimmten Methodik der Zuordnung unterscheiden zu können. Der Begriff der Identifizierung lässt dabei offen, ob die Zuordnung zu einem bestimmten Individuum korrekt erfolgt, oder beispielsweise betrügerisch oder anderweitig fehlerhaft. Erst durch die Authentifizierung wird die Zuordnung durch einen Beweis untermauert, sodass dann davon auszugehen ist, dass die Identifizierung korrekt erfolgt ist. Typischerweise erfolgt eine solche Authentifizierung durch den Abgleich des Bildes auf einem Personalausweis einer Person, den die Person vorzeigt. Der Name auf dem Personalausweis alleine würde zur Identifikation nach der obigen Definition ausreichen, noch nicht aber beweisen, dass es sich tatsächlich um den zur Person eindeutig zugehörigen Personalausweis handelt. Durch den Bildabgleich durch eine prüfende weitere Person wird sozusagen die Authentifizierung vorgenommen, das heißt die Bestätigung, dass die Identifizierung auch als verifiziert und wahr gilt. Ein anderes Beispiel zur Veranschaulichung der Unterscheidung der beiden Begriffe Identifizierung und Authentifizierung ergibt sich bei der Eingabe eines Benutzernamens und eines Passworts in die Oberfläche einer Webseite: Nach der oben vorgenommenen Einteilung der Begriffe entspricht die Eingabe des Benutzernamens der Identifizierung und die Eingabe des Passwortes der Authentifizierung, da davon auszugehen ist, dass alleine das Passwort durch seine geheime Handhabung hinreichend ist, um davon auszugehen, dass nur die alleine zum Innehaben der Zugangsdaten berechtigte Person das Passwort kennt, um somit den identifizierenden Benutzernamen auch zu authentifizieren.In the following, the terms identification and authentication are differentiated as follows: Identification serves the sole purpose of being able to distinguish a person in the sense of an individual from other persons using a specific allocation methodology. The term identification leaves open whether the assignment to a specific individual is correct or, for example, fraudulent or otherwise incorrect. Only through authentication is the assignment supported by evidence, so that it can then be assumed that the identification was made correctly. Typically, such authentication is carried out by comparing the image on a person's ID card, which the person shows. The name on the identity card alone would be sufficient for identification according to the above definition, but would not prove that it is actually the identity card that clearly belongs to the person. By comparing the images by another person checking, authentication is carried out, so to speak, i.e. confirmation that the identification is also considered verified and true. Another example to illustrate the distinction between the two terms identification and authentication occurs when entering a user name and a password into the interface of a website: According to the classification of terms made above, entering the user name corresponds to identification and entering the password corresponds to authentication , since it can be assumed that the password alone is sufficient due to its secret handling to assume that only the person authorized to hold the access data knows the password in order to also authenticate the identifying user name.

Im Stand der Technik sind diverse Verfahren zum Management von sensiblen, personenbezogenen Daten bekannt. Von der obigen Einteilung der Begriffe Identifizierung und Authentifizierung zwar abweichend, betrifft jedoch in diesem Zusammenhang die DE 10 2019 217 738 A1 ein Verfahren zur Steuerung und Kontrolle der Verteilung von verifizierten personenbezogenen Nutzer-Daten eines Nutzers auf einer Vielzahl von Anbieter-Servern, auf welchen die Nutzer-Daten in Nutzerdatenbanken vollständig oder verteilt gespeichert sind, wobei die Nutzer-Daten eine Vielzahl von Feldbezeichnern und diesen zugeordneten Feldinhalten aufweisen, mit einer über ein Netzwerk zugänglichen elektronischen Einrichtung mit einer Blockchain, wobei in der Blockchain chronologisch und irreversibel aufgereihte Transaktionen in Form von Datensätzen gespeichert sind, welche jeweils umfassen: einen Zeitstempel des Zeitpunkts des Speicherns des Datensatzes in der Blockchain; eine Nutzer-ID des Nutzers; eine Anbieter-ID eines der Anbieter zu welchem einer der Anbieter-Server zugeordnet ist; ein oder mehrere der Feldbezeichner der verifizierten Nutzer-Daten, aber nicht deren zugeordnete Feldinhalte; eine elektronische Nutzer-Signatur des Nutzers, welche aus einem privaten Nutzer-Schlüssel erstellt ist und welcher mittels einem in der Blockchain zuvor unter der Nutzer-ID hinterlegtem öffentlichen Nutzer-Schlüssel authentifizierbar ist, eine Information, dass der Nutzer einem bestimmten weiteren Neu-Anbieter den Zugriff oder die Bestätigung der Richtigkeit von den den Feldbezeichnern zugeordneten Feldinhalten durch den Anbieter gestattet und/oder einem bestimmten Anbieter den Zugriff auf den Feldbezeichnern zugeordneten Feldinhalten erlaubt und/oder verbietet, mit dem Schritt: Steuerung und Kontrolle der Verteilung von verifizierten personenbezogenen Nutzer-Daten eines Nutzers auf der Vielzahl von Anbieter-Servern im Umfang der in den Datensätzen der Blockchain gespeicherten Nutzer-ID, Anbieter-ID, den Feldbezeichnern zugeordneten Feldinhalten und der Information, welche dem Neu-Anbieter oder Anbieter die genannten technischen Maßnahmen gestattet oder verbietet.Various methods for managing sensitive, personal data are known in the prior art. Although different from the above classification of the terms identification and authentication, in this context it concerns DE 10 2019 217 738 A1 a method for controlling and controlling the distribution of verified personal user data of a user on a large number of provider servers on which the user data is stored completely or distributed in user databases, the user data having a large number of field identifiers and those assigned to them Field contents, with a network-accessible electronic device with a blockchain, wherein chronologically and irreversibly lined up transactions are stored in the blockchain in the form of data records, each comprising: a timestamp of the time of storage of the data record in the blockchain; a user ID of the user; a provider ID of one of the providers to which one of the provider servers is assigned; one or more of the field identifiers of the verified user data, but not their associated field contents; an electronic user signature of the user, which is created from a private user key and which can be authenticated using a public user key previously stored in the blockchain under the user ID, information that the user has assigned to a specific additional new provider allows the provider to access or confirm the correctness of the field contents assigned to the field identifiers and/or allows and/or prohibits a specific provider from accessing the field contents assigned to the field identifiers, with the step: controlling and monitoring the distribution of verified personal user data. Data of a user on the large number of provider servers to the extent of the user ID, provider ID stored in the data records of the blockchain, field contents assigned to the field identifiers and the information which allows or prohibits the new provider or provider from carrying out the technical measures mentioned.

Insbesondere wird in diesem Dokument aus dem Stand der Technik mithilfe einer Blockchain öffentlich zugänglich und verifiziert, und praktisch nicht verfälschbar abgespeichert, für welchen Nutzer welcher Anbieter welche Art der Nutzerdaten weitergeben bzw. anderweitig verwenden darf.In particular, this document from the prior art uses a blockchain to make it publicly accessible and verified, and stored in a practically non-falsifiable manner, for which user which provider may pass on which type of user data or use it in other ways.

Im Übrigen sind - ohne auf ein bestimmtes Dokument dem Stand der Technik Bezug zu nehmen - persönlich durchgeführte Identifizierungs- und Authentifizierungsverfahren bekannt, analog zu den eingangs erwähnten, bei denen beispielsweise das Bild auf einem Personalausweis mit dem tatsächlichen Erscheinungsbild einer Person verglichen wird. Hierfür ist jedoch eine prüfende Person notwendig, sowie beispielsweise ein Personalausweis oder Reisepass oder ein anderes behördlich ausgestelltes Dokument, welches die zu identifizierende und zu authentifizierende Person zu diesem Zweck mit sich führen muss. Daneben sind auch Verfahren bekannt, die mithilfe eines elektronischen Geräts und einer dort angeordneten Kamera wiederum insbesondere durch persönliche Überprüfung einer prüfenden Person des Kamerabildes und des Bildes auf einem solchen behördlichen Dokument erfolgt. Nachteilig ist hierfür ein von der zu identifizierenden und zu authentifizierenden Person jedoch ein oben genanntes elektronisches Gerät mit einer Kamera bereitzustellen.Furthermore - without referring to a specific prior art document - personally carried out identification and authentication procedures are known, analogous to those mentioned at the beginning, in which, for example, the image on an identity card is compared with the actual appearance of a person. However, this requires a checking person, as well as, for example, an identity card or passport or another officially issued document, which the person to be identified and authenticated must carry with them for this purpose. In addition, methods are also known which use an electronic device and a camera arranged there, in particular by personally checking the camera image and the image on such an official document by a person checking the image. However, the disadvantage for this is that the person to be identified and authenticated has to provide the above-mentioned electronic device with a camera.

Aufgabe der Erfindung ist es, die Identifizierung und Authentifizierung einer Person zu verbessern, insbesondere zu vereinfachen.The object of the invention is to improve, in particular to simplify, the identification and authentication of a person.

Die Erfindung ergibt sich aus den Merkmalen der unabhängigen Ansprüche. Vorteilhafte Weiterbildungen und Ausgestaltungen sind Gegenstand der abhängigen Ansprüche.The invention results from the features of the independent claims. Advantageous further developments and refinements are the subject of the dependent claims.

Ein erster Aspekt der Erfindung betrifft ein System zur Identifizierung und Authentifizierung einer Person, aufweisend ein physisches Endgerät, eine Vernetzungseinheit, eine Recheneinheit, und eine oder mehrere Datenbanken, in der zumindest ein Datensatz abgelegt und der Person zugeordnet ist, wobei der Datensatz eine, insbesondere von der Person im Voraus gewählte, gewünschte Art der Authentifizierung der Person sowie eine von der Person im Voraus definierte und hinterlegte Authentifizierungsinformation in der gewünschten Art der Authentifizierung umfasst, wobei die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person und/oder eine Fingerabdruckerfassung ist, wobei das physische Endgerät dazu ausgeführt ist, die Person zu identifizieren und auf Basis der Identifizierung eine Anfrage an die Vernetzungseinheit für die Verknüpfung der identifizierten Person zu dem der identifizierten Person zugeordneten Datensatz abzugeben, wobei die Vernetzungseinheit eine Verknüpfungstabelle mit abgespeicherten Verknüpfungen zwischen Personen und einer zugehörigen virtuellen Adresse eines Datensatzes einer jeweiligen Person aufweist und dazu ausgeführt ist, mittels einer entsprechenden Anfrage an die eine oder mehreren, den zur identifizierten Person zugehörigen Datensatz enthaltenden, Datenbanken zumindest die hinterlegte Authentifizierungsinformation an die Recheneinheit zu übermitteln, wobei das physische Endgerät dazu ausgeführt ist, eine Eingabe der Person für die Authentifizierung sensorisch zu erfassen und in Form einer erfassten Authentifizierungsinformation an die Recheneinheit zu übermitteln, und wobei die Recheneinheit dazu ausgeführt ist, die erfasste Authentifizierungsinformation mit der in dem der identifizierten Person zugeordneten Datensatz hinterlegten Authentifizierungsinformation zu vergleichen und bei positiver Überprüfung auf Übereinstimmung die identifizierte Person als authentifiziert zu bewerten.A first aspect of the invention relates to a system for identifying and authenticating a person, comprising a physical terminal, a networking unit, a computing unit, and one or more databases in which at least one data record is stored and assigned to the person, the data record being, in particular desired type of authentication of the person selected in advance by the person and authentication information defined and stored in advance by the person in the desired type of authentication, the type of authentication comprising a voice input, in particular a password or a passphrase, and / or is a gesture and/or a facial expression of the person and/or a fingerprint capture, wherein the physical terminal is designed to identify the person and, based on the identification, a request to the networking unit for linking the identified person to that assigned to the identified person to deliver a data record, wherein the networking unit has a link table with stored links between people and an associated virtual address of a data record of a respective person and is designed to do so by means of a corresponding query to the one or more databases containing the data record associated with the identified person to transmit stored authentication information to the computing unit, wherein the physical terminal is designed to sensorically detect an input from the person for authentication and to transmit it to the computing unit in the form of captured authentication information, and wherein the computing unit is designed to include the captured authentication information to compare the authentication information stored in the data record assigned to the identified person and, if the match is checked positively, to evaluate the identified person as authenticated.

Bevorzugt umfasst die Vernetzungseinheit die Recheneinheit zum Abgleich der hinterlegten Authentifizierungsinformation mit der erfassten Authentifizierungsinformation. The networking unit preferably includes the computing unit for comparing the stored authentication information with the recorded authentication information.

Alternativ dazu umfasst zumindest eine der Datenbanken die Recheneinheit. Bevorzugt ist jeder Datensatz auf der einen oder mehreren Datenbanken verschlüsselt abgespeichert, um bestehenden Datenschutzvorschriften zu entsprechen sowie Haftungsfragen bei Hackerangriffen vorzubeugen.Alternatively, at least one of the databases includes the computing unit. Each data set is preferably stored in encrypted form on one or more databases in order to comply with existing data protection regulations and to prevent liability issues in the event of hacker attacks.

Bevorzugt erfolgt die Kommunikation zwischen dem physischen Endgerät sowie der Vernetzungseinheit verschlüsselt. Ferner erfolgt bevorzugt die Kommunikation zwischen der Vernetzungseinheit und der zumindest einen Datenbank verschlüsselt. Hierbei kommt bevorzugt jeweils eine asymmetrische Verschlüsselung zum Einsatz, bei der die jeweiligen Verschlüsselungspartner nur ihre öffentlichen Schlüssel austauschen, ohne private Schlüssel austauschen zu müssen.The communication between the physical terminal device and the networking unit is preferably encrypted. Furthermore, the communication between the networking unit and the at least one database is preferably encrypted. Asymmetric encryption is preferably used here, in which the respective encryption partners only exchange their public keys without having to exchange private keys.

Auch kann vorgesehen sein, dass ein zur Person zugehöriges Schlüsselpaar aus öffentlichem Schlüssel und privatem Schlüssel verwendet wird. Insbesondere ist hierbei das physische Endgerät dazu ausgeführt, die Person durch eine von der Person mitgeführte Identifikationseinrichtung drahtlos durch die Übermittlung öffentlichen Schlüssels zu identifizieren. Ist ferner in der zumindest einen Datenbank der zugehörige private Schlüssel der Person abgelegt, so ist die zumindest eine Datenbank insbesondere dazu in der Lage, mithilfe des privaten Schlüssels der Person die hinterlegte Identifizierungsinformation an die Recheneinheit zu übermitteln, und wenn gewünscht, auch personenbezogene Daten der identifizierten Person von der zumindest einen Datenbank zur weiteren Verwendung am physischen Endgerät verschlüsselt zum physischen Endgerät oder zur insbesondere verschlüsselten Weitergabe an eine externe Einheit freizugeben.Provision can also be made for a key pair consisting of a public key and a private key belonging to the person to be used. In particular, the physical terminal device is designed to identify the person wirelessly by transmitting a public key using an identification device carried by the person. Furthermore, if the associated private key of the person is stored in the at least one database, the at least one database is in particular able to use the person's private key to transmit the stored identification information to the computing unit, and if desired, also personal data of the person identified person from the at least one database for further use on the physical terminal device in encrypted form to the physical terminal device or for, in particular, encrypted forwarding to an external unit.

Alternativ zur oben genannten Identifizierung der Person durch das physische Endgerät mittels drahtloser Übermittlung eines öffentlichen Schlüssels (eines sogenannten „public keys“) eines Schlüsselpaars für eine asymmetrische Verschlüsselung kann eine solche Identifizierung durch Spracheingabe der Person am physischen Endgerät, beispielsweise durch Nennung ihres Namens oder einer eindeutigen Identifikationsnummer, erfolgen. Wiederum alternativ hierzu kann die Identifizierung der Person durch Gesichtserkennung mittels einer Kamera des physischen Endgeräts erfolgen. Weitere, bevorzugt kontaktlose, Informationsübertragungen von der Person an das physische Endgerät sind möglich.As an alternative to the above-mentioned identification of the person by the physical end device by means of wireless transmission of a public key (a so-called “public key”) of a key pair for asymmetric encryption, such identification can be made by the person's voice input on the physical end device, for example by mentioning their name or a unique identification number. Alternatively, the person can be identified through facial recognition using a camera on the physical device. Further, preferably contactless, information transmissions from the person to the physical device are possible.

Insbesondere ist die zumindest eine Datenbank nicht Teil der Vernetzungseinheit, sondern physisch und logisch von dieser getrennt. Weiterhin bevorzugt bestehen Unterschiede in den Zugriffsrechten, insbesondere den netzwerktechnischen Zugriffsrechten, zwischen der einen oder mehreren Datenbanken und der Vernetzungseinheit dahingehend, dass insbesondere eine Vielzahl von physischen Endgeräten uneingeschränkten Zugriff auf die Vernetzungseinheit hat, nicht jedoch direkten Zugriff auf die eine oder mehrere Datenbanken, wohingegen die Vernetzungseinheit, und besonders bevorzugt nur die Vernetzungseinheit, Zugriff auf die eine oder mehrere Datenbanken hat.In particular, the at least one database is not part of the networking unit, but is physically and logically separated from it. Furthermore, there are preferably differences in the access rights, in particular the network access rights, between the one or more databases and the networking unit in such a way that in particular a large number of physical terminal devices have unrestricted access to the networking unit, but not direct Access to the one or more databases, whereas the networking unit, and particularly preferably only the networking unit, has access to the one or more databases.

Die eine oder mehrere Datenbanken können im Sinne von einer einzelnen logisch abgrenzbaren Datenbank in einer physischen Einheit, oder aber als eine Datenbank mit verteilten physischen Speichermedien verstanden werden, oder auch als logisch voneinander getrennte und unabhängige Datenbanken, die beispielsweise von verschiedenen Betreibern unterhalten werden. Im letzteren Fall erhält das System eine noch höhere Flexibilität, da die Identifizierung und die Authentifizierung vorteilhaft für eine beliebig große Zahl von Anbietern, Vertragspartnern und anderen Einheiten und Personen jeweils auf ihre eigene Art vorgenommen werden kann. Bevorzugt bleibt jedoch die Vernetzungseinheit für alle diese Anbieter und alle Datenbanken ein und dieselbe.The one or more databases can be understood in the sense of a single logically delimitable database in a physical unit, or as a database with distributed physical storage media, or as logically separate and independent databases that are maintained, for example, by different operators. In the latter case, the system gains even greater flexibility, since identification and authentication can advantageously be carried out in their own way for any number of providers, contractual partners and other entities and people. However, the networking unit for all of these providers and all databases preferably remains one and the same.

Es ist eine vorteilhafte Wirkung der Erfindung, dass die Identifizierung sowie insbesondere die Authentifizierung ohne aktive Bedienung eines technischen Geräts wie eines Smartphones erfolgt, noch ein behördlich ausgestelltes Dokument mitzuführen ist. Auch eine selbst mitgeführte Kamera an einem elektronischen Gerät seitens der zu identifizierenden Person ist nicht notwendig. Des Weiteren kann sowohl die Identifizierung als auch die Authentifizierung kontaktlos erfolgen, was angenehmer für die Person ist und zusätzlich hygienischer ist. Durch die zwei nacheinander einzuleitenden Schritte der Person ist das Verfahren für die Identifizierung und Authentifizierung sehr sicher und gleichzeitig für die Person einfach nachzuvollziehen (Erstens: Hinterlegung der Authentifizierungsinformation; Zweitens: Bestätigung der Authentifizierungsinformation in physischer Präsenz der Person im Bereich des / am physischen Endgerät mit Hilfe einer Spracheingabe, Mimik, Gestik wie einem mit den Fingern symbolisiertes „OK“-Zeichen oder Ähnliches). Daher ist das Ergebnis der Authentifizierung sehr fälschungssicher. Weiterhin vorteilhaft speichert die Vernetzungseinheit keine sensiblen, kritischen und personenbezogenen Daten einer Person, sondern dient lediglich als Vermittler zwischen dem physischen Endgerät und der einen oder mehreren Datenbanken. Die Vernetzungseinheit dient daher insbesondere dem Zweck der Verknüpfung von Datenströmen und der Zusammenführung von dem benutzten physischen Endgerät und zumindest einer anzusprechenden Datenbank zur Anfrage des gewünschten Datensatzes.It is an advantageous effect of the invention that the identification and in particular the authentication takes place without actively operating a technical device such as a smartphone, nor does it have to carry an officially issued document. It is also not necessary for the person to be identified to carry a camera on an electronic device with them. Furthermore, both identification and authentication can be carried out contactless, which is more pleasant for the person and is also more hygienic. Because the person has to take two steps one after the other, the process for identification and authentication is very secure and at the same time easy for the person to understand (first: deposit of the authentication information; second: confirmation of the authentication information in the physical presence of the person in the area of/on the physical end device). With the help of voice input, facial expressions, gestures such as an “OK” sign symbolized with the fingers or similar). Therefore, the result of the authentication is very secure against forgery. Furthermore, the networking unit advantageously does not store any sensitive, critical and personal data of a person, but only serves as an intermediary between the physical terminal device and the one or more databases. The networking unit therefore serves in particular for the purpose of linking data streams and merging the physical terminal device used and at least one database to be addressed in order to query the desired data record.

Gemäß einer vorteilhaften Ausführungsform ist das physische Endgerät ein aktuiertes System, insbesondere eines aus: Robotermanipulator, automatisiertes Fahrzeug, versperrbares Zugangssystem zu einer betretbaren oder befahrbaren Einrichtung, Automat zur Freigabe von Gegenständen. Damit unterscheidet sich das physische Endgerät von einem regulären Anwender-Rechner, wie er beispielsweise in Büros verwendet wird.According to an advantageous embodiment, the physical terminal is an actuated system, in particular one of: robot manipulator, automated vehicle, lockable access system to an accessible or driveable facility, machine for releasing objects. This makes the physical end device different from a regular user computer, such as the one used in offices.

Gemäß einer vorteilhaften Ausführungsform ist die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person, wobei das physische Endgerät dazu ausgeführt ist, eine kontaktlose Eingabe der Person für die Authentifizierung sensorisch zu erfassen. Die kontaktlose Eingabe ist vorteilhaft angenehmer und hygienischer für die Person.According to an advantageous embodiment, the type of authentication is a voice input, in particular a password or a passphrase, and/or a gesture and/or a facial expression of the person, wherein the physical terminal is designed to sensorically transmit a contactless input from the person for authentication capture. Contactless entry is advantageously more pleasant and hygienic for the person.

Gemäß einer weiteren vorteilhaften Ausführungsform sind die eine oder mehreren Datenbanken jeweils dazu ausgeführt, Anfragen, insbesondere netzwerktechnische Anfragen, alleinig von der Vernetzungseinheit zu akzeptieren. Dies ist vergleichbar mit einer im Stand der Technik bekannten Firewall, in der die Anfragen bestimmter Adressen zugelassen werden, und alle anderen Anfragen abgelehnt werden. Dementsprechend weist gemäß dieser Ausführungsform die jeweilige Datenbank einen solchen Filter auf, um nur netzwerktechnische Anfragen zur Ausgabe eines Datensatzes von der Vernetzungseinheit zu bearbeiten.According to a further advantageous embodiment, the one or more databases are each designed to accept requests, in particular network-related requests, solely from the networking unit. This is comparable to a firewall known in the art, in which requests from certain addresses are permitted and all other requests are rejected. Accordingly, according to this embodiment, the respective database has such a filter in order to only process network requests for the output of a data record from the networking unit.

Gemäß einer weiteren vorteilhaften Ausführungsform ist das physische Endgerät dazu ausgeführt, die Person mittels einer von der Person mitgeführten drahtlosen Identifikationseinrichtung zu identifizieren.According to a further advantageous embodiment, the physical terminal is designed to identify the person using a wireless identification device carried by the person.

Die Identifikationseinrichtung zur drahtlosen Übermittlung einer Information zur Identifikation der Person kann beispielsweise ein von der Person mitgeführtes Smartphone mit Bluetooth-Modul, WLAN-Modul, Nah-Feld-Kommunikations-Modul, oder Funkdaten-Modul nach beispielsweise einem der Standards 3G, 4G oder 5G oder ähnlichen sein. Alternativ hierzu ist die Identifikationseinrichtung ein speziell zu diesem Zweck mitgeführter Transponder.The identification device for the wireless transmission of information to identify the person can, for example, be a smartphone carried by the person with a Bluetooth module, WLAN module, near-field communication module, or radio data module according to, for example, one of the 3G, 4G or 5G standards or similar. Alternatively, the identification device is a transponder carried specifically for this purpose.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Vernetzungseinheit dazu ausgeführt, in einer Blockchain den Authentifizierungsvorgang der identifizierten Person in chronologisch und irreversibel aufgereihten Daten oder in einem Tangle zu dokumentieren.According to a further advantageous embodiment, the networking unit is designed to document the authentication process of the identified person in a blockchain in chronologically and irreversibly lined up data or in a tangle.

Eine Blockchain ist eine dynamische Liste von Datensätzen, die durch kontinuierliches Hinzufügen von neuen Datensätzen wächst, während mittels kryptographischer Methoden mit jedem neuen hinzukommenden Datensatz für die gesamte Liste ein neuer Prüfiniert erzeugt wird und in die Liste aufgenommen wird, sodass verifizierbar die Verkettung der Datensätze erfolgt. Es ist daher unmöglich, in älteren Datensätzen unerkannte Manipulationen vorzunehmen. Diese Dokumentation erlaubt die spätere Beweisbarkeit des Authentifizierungsvorgangs.A blockchain is a dynamic list of records that grows by continuously adding new records, while using cryptographic methods, with each new record added, a new verified record is created for the entire list and is added to the list, so that the chaining can be verified of the data sets. It is therefore impossible to carry out undetected manipulations in older data sets. This documentation allows the authentication process to be proven later.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Vernetzungseinheit dazu ausgeführt, dem der identifizierten Person zugeordneten Datensatz die gewünschte Art der Authentifizierung für die identifizierte Person zu entnehmen und an das physische Endgerät zu übermitteln, wobei das physische Endgerät dazu ausgeführt ist, eine Information über die vordefinierte Art der Authentifizierung an die Person auszugeben und/oder nur eine Eingabe der Person innerhalb der vordefinierten Art zu akzeptieren.According to a further advantageous embodiment, the networking unit is designed to extract the desired type of authentication for the identified person from the data record assigned to the identified person and to transmit it to the physical terminal, the physical terminal being designed to provide information about the predefined type to issue the authentication to the person and/or to only accept an input from the person within the predefined type.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Vernetzungseinheit eine nur logisch abgrenzbare Einheit anstatt auf klar vorgegebenen Rechnern implementiert zu sein, sondern ist vielmehr dezentral auf einer Vielzahl von Computern, insbesondere beliebigen privaten Anwenderrechnern, implementiert und die Informationen der Vernetzungseinheit über die Verknüpfung einer jeweiligen Person zu einem jeweiligen Datensatz zwischen den Computern wird konsistent und aktuell durch wechselseitige Aktualisierungen gehalten.According to a further advantageous embodiment, the networking unit is a unit that can only be defined logically instead of being implemented on clearly specified computers, but rather is implemented decentrally on a large number of computers, in particular any private user computers, and the information is sent to the networking unit via the link to a respective person A respective data set between the computers is kept consistent and up-to-date through mutual updates.

Durch die Verwendung einer Vernetzungseinheit als dezentral gehostete Infrastruktur ist die Nachvollziehbarkeit des Authentifizierungs-Prozesses fälschungssicher gewährleistet. So kann auch ein Betreiber des physischen Endgeräts beweisen, dass die Authentifizierung ordnungsgemäß stattgefunden hat. Dies ist bei handschriftlichen Unterschriften beispielsweise nicht der Fall.By using a networking unit as a decentralized hosted infrastructure, the traceability of the authentication process is guaranteed in a forgery-proof manner. In this way, an operator of the physical device can also prove that the authentication took place properly. This is not the case with handwritten signatures, for example.

Gemäß einer weiteren vorteilhaften Ausführungsform ist die Vernetzungseinheit physisch und unmittelbar mit zumindest einer Datenbank verbunden und in einer physischgemeinsamen Einheit mit der einen oder mehreren Datenbanken angeordnet.According to a further advantageous embodiment, the networking unit is physically and directly connected to at least one database and is arranged in a physically common unit with the one or more databases.

Gemäß einer weiteren vorteilhaften Ausführungsform umfasst der Datensatz zusätzliche personenbezogene Daten der Person, die erst nach erfolgreicher Authentifizierung der identifizierten Person von der einen oder mehreren Datenbanken zur weiteren Verwendung am physischen Endgerät oder zur Weitergabe an eine externe Einheit freigegeben werden.According to a further advantageous embodiment, the data record includes additional personal data of the person, which is only released from the one or more databases for further use on the physical terminal or for forwarding to an external unit after successful authentication of the identified person.

Gemäß einer weiteren vorteilhaften Ausführungsform umfasst die kontaktlose Eingabe der Person für die Authentifizierung eine Spracheingabe zur Auswahl von freizugebenden Daten aus den zusätzlichen personenbezogene Daten, wobei die Recheneinheit dazu ausgeführt ist, ein Kommando an die eine oder mehrere Datenbanken zur Freigabe der Daten gemäß der Spracheingabe der Person zu übermitteln.According to a further advantageous embodiment, the person's contactless input for authentication includes a voice input for selecting data to be released from the additional personal data, the computing unit being designed to send a command to the one or more databases to release the data according to the voice input of the person to transmit.

Mittels dieser Ausführungsform erfolgt die Zustimmung der zu authentifizierenden Person zur Freigabe bestimmter personenbezogener Daten intuitiv und schnell, zum Beispiel über Sprache und/oder Gestik. Hierbei erfolgt eine Konkretisierung der freizugebenden Daten, zum Beispiel durch die Spracheingabe der Person „gib nur Name und Adresse frei“, oder „gib mein Alter frei“.Using this embodiment, the consent of the person to be authenticated to the release of certain personal data occurs intuitively and quickly, for example via speech and/or gestures. This involves specifying the data to be released, for example by the person's voice input “only release name and address” or “release my age”.

Ein weiterer Aspekt der Erfindung betrifft ein Verfahren, insbesondere ein computerimplementiertes Verfahren, zur Identifizierung und Authentifizierung einer Person, aufweisend die Schritte:

  • - Identifizieren einer Person durch ein physisches Endgerät,
  • - auf Basis der Identifizierung: Abgeben einer Anfrage an eine Vernetzungseinheit für die Verknüpfung der identifizierten Person zu einem der identifizierten Person zugeordneten Datensatz durch das physische Endgerät, wobei der Datensatz in einer oder mehreren Datenbanken abgelegt ist und eine, insbesondere von der Person im Voraus gewählte, gewünschte Art einer Authentifizierung der Person sowie eine von der Person im Voraus definierte und hinterlegte Authentifizierungsinformation in der gewünschten Art der Authentifizierung aufweist, wobei die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person und/oder eine Fingerabdruckerfassung ist,
  • - Zuordnen der identifizierten Person zu dem zur Person zugehörigen Datensatz mittels einer entsprechenden Anfrage an die eine oder mehreren Datenbanken durch die Vernetzungseinheit, wobei die Vernetzungseinheit eine Verknüpfungstabelle mit abgespeicherten Verknüpfungen zwischen Personen und einer zugehörigen virtuellen Adresse eines Datensatzes einer jeweiligen Person aufweist, und Übermitteln zumindest der hinterlegten Authentifizierungsinformation der identifizierten Person an die Recheneinheit,
  • - Sensorisches Erfassen einer Eingabe der Person für die Authentifizierung durch das physische Endgerät, und Übermitteln der erfassten Eingabe in Form einer erfassten Authentifizierungsinformation an die Recheneinheit, und
  • - Vergleichen der erfassten Authentifizierungsinformation mit der hinterlegten Authentifizierungsinformation der identifizierten Person durch die Recheneinheit, und Bewerten der identifizierten Person als authentifiziert bei positiver Überprüfung auf Übereinstimmung durch die Recheneinheit.
A further aspect of the invention relates to a method, in particular a computer-implemented method, for identifying and authenticating a person, comprising the steps:
  • - identifying a person through a physical device,
  • - on the basis of identification: submitting a request to a networking unit for the linking of the identified person to a data record assigned to the identified person by the physical terminal, the data record being stored in one or more databases and one, in particular, selected in advance by the person , desired type of authentication of the person and authentication information defined and stored by the person in advance in the desired type of authentication, the type of authentication being a voice input, in particular a password or a passphrase, and / or a gesture and / or a facial expressions of the person and/or a fingerprint capture,
  • - Assigning the identified person to the data record associated with the person by means of a corresponding query to the one or more databases by the networking unit, the networking unit having a link table with stored links between people and an associated virtual address of a data record of a respective person, and transmitting at least the stored authentication information of the identified person to the computing unit,
  • - Sensory capture of an input from the person for authentication by the physical terminal, and transmission of the captured input in the form of captured authentication information to the computing unit, and
  • - Comparing the recorded authentication information with the stored authentication information of the identified person by the computing unit, and evaluating the identified person as authenticated at posi tive check for compliance by the computing unit.

Vorteile und bevorzugte Weiterbildungen des vorgeschlagenen Verfahrens ergeben sich durch eine analoge und sinngemäße Übertragung der im Zusammenhang mit dem vorgeschlagenen System vorstehend gemachten Ausführungen.Advantages and preferred developments of the proposed method result from an analogous and meaningful transfer of the statements made above in connection with the proposed system.

Weitere Vorteile, Merkmale und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung, in der - gegebenenfalls unter Bezug auf die Zeichnung - zumindest ein Ausführungsbeispiel im Einzelnen beschrieben ist. Gleiche, ähnliche und/oder funktionsgleiche Teile sind mit gleichen Bezugszeichen versehen.Further advantages, features and details emerge from the following description, in which at least one exemplary embodiment is described in detail - if necessary with reference to the drawing. Identical, similar and/or functionally identical parts are provided with the same reference numerals.

Es zeigen:

  • 1: Ein Verfahren zur Identifizierung und Authentifizierung einer Person gemäß einem Ausführungsbeispiel der Erfindung.
  • 2: Ein System, welches vom Verfahren nach 1 in einer vorgegebenen Situation genutzt wird.
Show it:
  • 1 : A method for identifying and authenticating a person according to an embodiment of the invention.
  • 2 : A system based on the procedure 1 used in a given situation.

Die Darstellungen in den Figuren sind schematisch und nicht maßstäblich.The representations in the figures are schematic and not to scale.

1 zeigt ein Verfahren zur Identifizierung und Authentifizierung einer Person. Das Verfahren wird auf einem System 1 ausgeführt und in einer Situation angewendet, wie in 2 dargestellt. Die Beschreibung der beiden Figuren wird deshalb im Folgenden zusammengefasst und es kann zum besseren Verständnis der folgenden Beschreibung sowohl die 1 als auch die 2 herangezogen werden. Die Situation gestaltet sich wie folgt: Am Eingang einer Veranstaltung, für die Buchungen für den Zutritt nur im Vorverkauf käuflich zu erwerben waren und für welche eine untere Altersschranke von achtzehn Jahren gilt, ist die Umzäunung des Geländes für die Veranstaltung durch einen Zutrittsweg unterbrochen. Der Zutrittsweg wird durch ein versperrbares Drehkreuz abgesperrt. Eine Person, die bis Ende der Frist für den Ticketverkauf eine entsprechende Buchung online vorgenommen hat, um eine personengebundene Buchung durchzuführen, hat sich mittels des Systems 1 am Drehkreuz zu identifizieren und zu authentifizieren. Ist dieser Prozess erfolgreich abgeschlossen, entriegelt das Drehkreuz und der Person wird der Zugang zum Gelände für die Veranstaltung gewährt. Nachdem der Zugang der Person erfolgt ist, das heißt die Person das entriegelte Drehkreuz durchschritten hat, verriegelt das Drehkreuz wieder. Um diesen Vorgang durchführen zu können hat die Person im Zuge ihrer online-Buchung zwei Wochen vor dem Tag der Veranstaltung zur Teilnahme an der Veranstaltung bereits eine gewünschte Art der Authentifizierung der Person als „Spracheingabe“ definiert. Gleichzeitig hat sie nach dem Gedanken eines Passwortes eine Spracheingabe im Buchungsportal hinterlegt, welcher eine maximale Länge von fünfzehn Sekunden aufweisen durfte. Diese hinterlegte Spracheingabe wird im Buchungsportal durch Spracherkennung analysiert und die so transformierten Daten von in der Datenbank 9 als Authentifizierungsinformation abgelegt, sodass ein nicht exakt aber im Wortlaut gleich wiedergegebene Spracheingabe von der Recheneinheit 7 wiedererkannt werden wird. In der Datenbank 9 ist außerdem das der Person zugeordnete Alter hinterlegt, welches in der Vergangenheit mittels Personalausweisabgleich verifiziert wurde. Die hinterlegte Spracheingabe dient als hinterlegte Authentifizierungsinformation als Teil des Datensatzes in der Datenbank 9, wobei der Datensatz außerdem die Art der Authentifizierung als „Spracheingabe“ enthält. In einem ersten Schritt erfolgt kurz vor Beginn der Veranstaltung das Identifizieren S1 einer Person durch das physische Endgerät 3, welches in diesem Ausführungsbeispiel ein Bluetooth-Kommunikationsmodul sowie das Drehkreuz umfasst. Die Person führt ein Smartphone mit einem mobilen Bluetooth-Kommunikationsmodul in der Funktion einer drahtlosen Identifikationseinrichtung mit sich. Hierbei sendet das Smartphone der Person eine Signatur an das Bluetooth-Kommunikationsmodul des physischen Endgeräts 3, wobei die Signatur einmalig unter allen ausgegebenen Buchungen für die Veranstaltung ist und wobei die Signatur eindeutig der Person zuordenbar ist. Die Signatur enthält außerdem eine netzwerktechnische Adresse der Vernetzungseinheit 5, welche ein „Distributed Ledger“ einer Blockchain oder eines Tangle aufweist. Die Verwendung eines solchen „Distributed Ledger“ in der Vernetzungseinheit 5 erlaubt vorteilhaft, im Nachhinein den Authentifizierungsvorgang beweisen zu können. Damit ist der Schritt der Identifikation der Person an dem physischen Endgerät 3 abgeschlossen. Auf Basis der Identifizierung erfolgt nun das Abgeben S2 einer Anfrage an die Vernetzungseinheit 5 der Recheneinheit 7 für die Verknüpfung der identifizierten Person zu einem der identifizierten Person zugeordneten Datensatz und der virtuellen Adresse der den Datensatz speichernden Datenbank 9 durch die Recheneinheit 7 des physischen Endgeräts 3. Hiernach erfolgt das Zuordnen S3 der identifizierten Person zu dem zur Person zugehörigen Datensatz mittels einer entsprechenden Anfrage an die Datenbanken 9 durch die Vernetzungseinheit 5, wobei die Vernetzungseinheit 5 zu dem Zweck dieser Verknüpfung eine Verknüpfungstabelle mit abgespeicherten Verknüpfungen zwischen Personen und einer zugehörigen virtuellen Adresse der jeweiligen Datensätze der Personen aufweist. Die hinterlegte Authentifizierungsinformation der identifizierten Person wird schließlich verschlüsselt von der Datenbank 9 an die Recheneinheit 7 übermittelt. Nach dem Erfassen S4 einer Spracheingabe der Person für die Authentifizierung nach einer entsprechenden Aufforderung durch die Recheneinheit 7 an einer Anzeigeeinheit wird vom Mikrofon die erfasste Sprachnachricht an das physische Endgerät 3 übermittelt, durch ein Spracherkennungssystem analysiert und in der Funktion einer erfassten Authentifizierungsinformation mit der hinterlegten Authentifizierungsinformation der identifizierten Person durch die Recheneinheit 7 verglichen. Fällt die Überprüfung auf Übereinstimmung durch die Recheneinheit 7 positiv aus, wird die identifizierte Person als authentifiziert bewertet und ihr wird der Zugang durch das Drehkreuz gewährt. 1 shows a method for identifying and authenticating a person. The method is carried out on a system 1 and applied in a situation as in 2 shown. The description of the two figures is therefore summarized below and for a better understanding of the following description both the 1 as well as that 2 be used. The situation is as follows: At the entrance to an event for which bookings for access could only be purchased in advance and for which a lower age limit of eighteen years applies, the fencing around the area for the event is interrupted by an access path. The access route is blocked off by a lockable turnstile. A person who has made a corresponding booking online by the end of the ticket sales deadline in order to make a personal booking must identify and authenticate themselves at the turnstile using system 1. Once this process is successfully completed, the turnstile unlocks and the person is granted access to the site for the event. After the person has gained access, i.e. the person has passed through the unlocked turnstile, the turnstile locks again. In order to be able to carry out this process, the person has already defined a desired type of authentication for the person as “voice input” when booking online two weeks before the day of the event to participate in the event. At the same time, after thinking of a password, she stored a voice input in the booking portal, which could have a maximum length of fifteen seconds. This stored voice input is analyzed in the booking portal by voice recognition and the data transformed in this way is stored in the database 9 as authentication information, so that a voice entry that is not exactly reproduced but is reproduced in the same wording will be recognized by the computing unit 7. The age assigned to the person, which was verified in the past by comparing ID cards, is also stored in the database 9. The stored voice input serves as stored authentication information as part of the data record in the database 9, the data record also containing the type of authentication as “voice input”. In a first step, shortly before the start of the event, a person is identified S1 by the physical terminal 3, which in this exemplary embodiment includes a Bluetooth communication module and the turnstile. The person carries a smartphone with a mobile Bluetooth communication module in the function of a wireless identification device. Here, the person's smartphone sends a signature to the Bluetooth communication module of the physical terminal 3, whereby the signature is unique among all bookings issued for the event and where the signature can be clearly assigned to the person. The signature also contains a network address of the networking unit 5, which has a “distributed ledger” of a blockchain or a tangle. The use of such a “distributed ledger” in the networking unit 5 advantageously allows the authentication process to be proven afterwards. This completes the step of identifying the person on the physical terminal 3. Based on the identification, a request S2 is now sent to the networking unit 5 of the computing unit 7 for the linking of the identified person to a data record assigned to the identified person and the virtual address of the database 9 storing the data record by the computing unit 7 of the physical terminal 3. The identified person is then assigned S3 to the data record associated with the person by means of a corresponding query to the databases 9 by the networking unit 5, with the networking unit 5 for the purpose of this linking a linking table with stored links between persons and an associated virtual address of the respective one records of the people. The stored authentication information of the identified person is finally transmitted in encrypted form from the database 9 to the computing unit 7. After capturing S4 a voice input from the person for the authentication after a corresponding request by the computing unit 7 on a display unit, the recorded voice message is transmitted from the microphone to the physical terminal 3, analyzed by a voice recognition system and compared in the function of a captured authentication information with the stored authentication information of the identified person by the computing unit 7. If the check for agreement by the computing unit 7 is positive, the identified person is assessed as authenticated and is granted access through the turnstile.

Obwohl die Erfindung im Detail durch bevorzugte Ausführungsbeispiele näher illustriert und erläutert wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Es ist daher klar, dass eine Vielzahl von Variationsmöglichkeiten existiert. Es ist ebenfalls klar, dass beispielhaft genannte Ausführungsformen wirklich nur Beispiele darstellen, die nicht in irgendeiner Weise als Begrenzung etwa des Schutzbereichs, der Anwendungsmöglichkeiten oder der Konfiguration der Erfindung aufzufassen sind. Vielmehr versetzen die vorhergehende Beschreibung und die Figurenbeschreibung den Fachmann in die Lage, die beispielhaften Ausführungsformen konkret umzusetzen, wobei der Fachmann in Kenntnis des offenbarten Erfindungsgedankens vielfältige Änderungen, beispielsweise hinsichtlich der Funktion oder der Anordnung einzelner, in einer beispielhaften Ausführungsform genannter Elemente, vornehmen kann, ohne den Schutzbereich zu verlassen, der durch die Ansprüche und deren rechtliche Entsprechungen, wie etwa weitergehende Erläuterungen in der Beschreibung, definiert wird.Although the invention has been illustrated and explained in detail by preferred embodiments, the invention is not limited by the examples disclosed and other variations may be derived therefrom by those skilled in the art without departing from the scope of the invention. It is therefore clear that a large number of possible variations exist. It is also to be understood that exemplary embodiments are truly examples only and should not be construed in any way as limiting the scope, application, or configuration of the invention. Rather, the preceding description and the description of the figures enable the person skilled in the art to concretely implement the exemplary embodiments, whereby the person skilled in the art can make a variety of changes with knowledge of the disclosed inventive concept, for example with regard to the function or the arrangement of individual elements mentioned in an exemplary embodiment, without departing from the scope of protection defined by the claims and their legal equivalents, such as further explanations in the description.

BezugszeichenlisteReference symbol list

11
Systemsystem
33
EndgerätEnd device
55
VernetzungseinheitNetworking unit
77
RecheneinheitComputing unit
99
Datenbank Database
S1S1
IdentifizierenIdentify
S2S2
AbgebenHand over
S3S3
ZuordnenAssign
S4S4
ErfassenCapture
S5S5
VergleichenCompare

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102019217738 A1 [0003]DE 102019217738 A1 [0003]

Claims (10)

System (1) zur Identifizierung und Authentifizierung einer Person, aufweisend ein physisches Endgerät (3), eine Vernetzungseinheit (5), eine Recheneinheit (7), und eine oder mehrere Datenbanken (9), in der zumindest ein Datensatz abgelegt und der Person zugeordnet ist, wobei der Datensatz eine, insbesondere von der Person im Voraus gewählte, gewünschte Art der Authentifizierung der Person sowie eine von der Person im Voraus definierte und hinterlegte Authentifizierungsinformation in der gewünschten Art der Authentifizierung umfasst, wobei die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person und/oder eine Fingerabdruckerfassung ist, wobei das physische Endgerät (3) dazu ausgeführt ist, die Person zu identifizieren und auf Basis der Identifizierung eine Anfrage an die Vernetzungseinheit (5) für die Verknüpfung der identifizierten Person zu dem der identifizierten Person zugeordneten Datensatz abzugeben, wobei die Vernetzungseinheit (5) eine Verknüpfungstabelle mit abgespeicherten Verknüpfungen zwischen Personen und einer zugehörigen virtuellen Adresse eines Datensatzes einer jeweiligen Person aufweist und dazu ausgeführt ist, mittels einer entsprechenden Anfrage an die eine oder mehreren, den zur identifizierten Person zugehörigen Datensatz enthaltenden, Datenbanken (9) zumindest die hinterlegte Authentifizierungsinformation an die Recheneinheit (7) zu übermitteln, wobei das physische Endgerät (3) dazu ausgeführt ist, eine Eingabe der Person für die Authentifizierung sensorisch zu erfassen und in Form einer erfassten Authentifizierungsinformation an die Recheneinheit (7) zu übermitteln, und wobei die Recheneinheit (7) dazu ausgeführt ist, die erfasste Authentifizierungsinformation mit der in dem der identifizierten Person zugeordneten Datensatz hinterlegten Authentifizierungsinformation zu vergleichen und bei positiver Überprüfung auf Übereinstimmung die identifizierte Person als authentifiziert zu bewerten.System (1) for identifying and authenticating a person, comprising a physical terminal (3), a networking unit (5), a computing unit (7), and one or more databases (9) in which at least one data record is stored and assigned to the person is, wherein the data record comprises a desired type of authentication of the person, in particular selected by the person in advance, as well as authentication information defined and stored in advance by the person in the desired type of authentication, the type of authentication being a voice input, in particular a Password or a passphrase, and/or a gesture and/or a facial expression of the person and/or a fingerprint capture, wherein the physical terminal (3) is designed to identify the person and, based on the identification, sends a request to the networking unit ( 5) for linking the identified person to the data record assigned to the identified person, wherein the networking unit (5) has a link table with stored links between people and an associated virtual address of a data record of a respective person and is designed to do so by means of a corresponding query to transmit at least the stored authentication information to the computing unit (7) to the one or more databases (9) containing the data record associated with the identified person, the physical terminal (3) being designed to sensorically input the person for authentication to capture and transmit it to the computing unit (7) in the form of captured authentication information, and wherein the computing unit (7) is designed to compare the captured authentication information with the authentication information stored in the data record assigned to the identified person and, if checked positively, for a match to evaluate the identified person as authenticated. System (1) nach Anspruch 1, wobei das physische Endgerät (3) ein aktuiertes System (1) ist, insbesondere eines aus: Robotermanipulator, automatisiertes Fahrzeug, versperrbares Zugangssystem zu einer betretbaren oder befahrbaren Einrichtung, Automat zur Freigabe von Gegenständen.System (1) after Claim 1 , wherein the physical terminal (3) is an actuated system (1), in particular one of: robot manipulator, automated vehicle, lockable access system to an accessible or driveable facility, machine for releasing objects. System (1) nach einem der vorhergehenden Ansprüche, wobei die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person ist, wobei das physische Endgerät (3) dazu ausgeführt ist, eine kontaktlose Eingabe der Person für die Authentifizierung sensorisch zu erfassen.System (1) according to one of the preceding claims, wherein the type of authentication is a voice input, in particular a password or a passphrase, and/or a gesture and/or a facial expression of the person, the physical terminal (3) being designed to do so. to sensorically record a contactless entry from the person for authentication. System (1) nach einem der vorhergehenden Ansprüche, wobei das physische Endgerät (3) dazu ausgeführt ist, die Person mittels einer von der Person mitgeführten drahtlosen Identifikationseinrichtung zu identifizieren.System (1) according to one of the preceding claims, wherein the physical terminal (3) is designed to identify the person by means of a wireless identification device carried by the person. System (1) nach einem der vorhergehenden Ansprüche, wobei die Vernetzungseinheit (5) dazu ausgeführt ist, in einer Blockchain den Authentifizierungsvorgang der identifizierten Person in chronologisch und irreversibel aufgereihten Daten oder in einem Tangle zu dokumentieren.System (1) according to one of the preceding claims, wherein the networking unit (5) is designed to document the authentication process of the identified person in a blockchain in chronologically and irreversibly lined up data or in a tangle. System (1) nach einem der vorhergehenden Ansprüche, wobei die Vernetzungseinheit (5) dazu ausgeführt ist, dem der identifizierten Person zugeordneten Datensatz die gewünschte Art der Authentifizierung für die identifizierte Person zu entnehmen und an das physische Endgerät (3) zu übermitteln, wobei das physische Endgerät (3) dazu ausgeführt ist, eine Information über die vordefinierte Art der Authentifizierung an die Person auszugeben und/oder nur eine Eingabe der Person innerhalb der vordefinierten Art zu akzeptieren.System (1) according to one of the preceding claims, wherein the networking unit (5) is designed to extract the desired type of authentication for the identified person from the data record assigned to the identified person and to transmit it to the physical terminal (3), whereby the physical terminal (3) is designed to output information about the predefined type of authentication to the person and / or only accept input from the person within the predefined type. System (1) nach einem der vorhergehenden Ansprüche, wobei die Vernetzungseinheit (5) dezentral auf einer Vielzahl von Computern implementiert ist und die Informationen der Vernetzungseinheit (5) über die Verknüpfung einer jeweiligen Person zu einem jeweiligen Datensatz zwischen den Computern konsistent und aktuell durch wechselseitige Aktualisierungen gehalten wird.System (1) according to one of the preceding claims, wherein the networking unit (5) is implemented decentrally on a large number of computers and the information from the networking unit (5) about the linking of a respective person to a respective data record between the computers is consistent and up-to-date through mutual Updates are kept. System (1) nach einem der vorhergehenden Ansprüche, wobei der Datensatz zusätzliche personenbezogene Daten der Person umfasst, die erst nach erfolgreicher Authentifizierung der identifizierten Person von der einen oder mehreren Datenbanken (9) zur weiteren Verwendung am physischen Endgerät (3) oder zur Weitergabe an eine externe Einheit freigegeben werden.System (1) according to one of the preceding claims, wherein the data record comprises additional personal data of the person which is only available from the one or more databases (9) for further use on the physical terminal (3) or for forwarding to after successful authentication of the identified person an external unit can be released. System (1) nach Anspruch 8, wobei die Eingabe der Person für die Authentifizierung eine Eingabe, insbesondere eine Spracheingabe, zur Auswahl von freizugebenden Daten aus den zusätzlichen personenbezogene Daten umfasst, wobei die Recheneinheit dazu ausgeführt ist, ein Kommando an die eine oder mehrere Datenbanken (9) zur Freigabe der Daten gemäß der Eingabe der Person zu übermitteln.System (1) after Claim 8 , wherein the person's input for authentication includes an input, in particular a voice input, for selecting data to be released from the additional personal data, the computing unit being designed to send a command to the one or more databases (9) to release the data according to the person's input. Verfahren zur Identifizierung und Authentifizierung einer Person, aufweisend die Schritte: - Identifizieren (S1) einer Person durch ein physisches Endgerät (3), - auf Basis der Identifizierung: Abgeben (S2) einer Anfrage an eine Vernetzungseinheit (5) für die Verknüpfung der identifizierten Person zu einem der identifizierten Person zugeordneten Datensatz durch das physische Endgerät (3), wobei der Datensatz in einer oder mehreren Datenbanken (9) abgelegt ist und eine, insbesondere von der Person im Voraus gewählte, gewünschte Art einer Authentifizierung der Person sowie eine von der Person im Voraus definierte und hinterlegte Authentifizierungsinformation in der gewünschten Art der Authentifizierung aufweist, wobei die Art der Authentifizierung eine Spracheingabe, insbesondere ein Passwort oder eine Passphrase, und/oder eine Geste und/oder eine Mimik der Person und/oder eine Fingerabdruckerfassung ist, - Zuordnen (S3) der identifizierten Person zu dem zur Person zugehörigen Datensatz mittels einer entsprechenden Anfrage an die eine oder mehreren Datenbanken (9) durch die Vernetzungseinheit (5), wobei die Vernetzungseinheit (5) eine Verknüpfungstabelle mit abgespeicherten Verknüpfungen zwischen Personen und einer zugehörigen virtuellen Adresse eines Datensatzes einer jeweiligen Person aufweist, und Übermitteln zumindest der hinterlegten Authentifizierungsinformation der identifizierten Person an die Recheneinheit (7), - Sensorisches Erfassen (S4) einer Eingabe der Person für die Authentifizierung durch das physische Endgerät (3), und Übermitteln der erfassten Eingabe in Form einer erfassten Authentifizierungsinformation an die Recheneinheit (7), und - Vergleichen (S5) der erfassten Authentifizierungsinformation mit der hinterlegten Authentifizierungsinformation der identifizierten Person durch die Recheneinheit (7), und Bewerten der identifizierten Person als authentifiziert bei positiver Überprüfung auf Übereinstimmung durch die Recheneinheit (7).Method for identifying and authenticating a person, comprising the steps: - identifying (S1) a person through a physical terminal (3), - based on the identification: submitting (S2) a request to a networking unit (5) for linking the identified person to one of the identified person through the physical terminal (3), the data record being stored in one or more databases (9) and a desired type of authentication of the person, in particular selected by the person in advance, and one defined in advance by the person and has stored authentication information in the desired type of authentication, the type of authentication being a voice input, in particular a password or a passphrase, and/or a gesture and/or a facial expression of the person and/or a fingerprint capture, - assigning (S3) the identified person to the data record associated with the person by means of a corresponding query to the one or more databases (9) through the networking unit (5), the networking unit (5) containing a link table with stored links between persons and an associated virtual address of a data record respective person, and transmitting at least the stored authentication information of the identified person to the computing unit (7), - sensory detection (S4) of an input from the person for authentication by the physical terminal (3), and transmitting the recorded input in the form of a recorded one Authentication information to the computing unit (7), and - comparing (S5) the acquired authentication information with the stored authentication information of the identified person by the computing unit (7), and evaluating the identified person as authenticated if the computing unit (7) checks positively for agreement.
DE102022106241.4A 2022-03-17 2022-03-17 Contactless identification and authentication of a person Pending DE102022106241A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022106241.4A DE102022106241A1 (en) 2022-03-17 2022-03-17 Contactless identification and authentication of a person

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022106241.4A DE102022106241A1 (en) 2022-03-17 2022-03-17 Contactless identification and authentication of a person

Publications (1)

Publication Number Publication Date
DE102022106241A1 true DE102022106241A1 (en) 2023-09-21

Family

ID=87849252

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022106241.4A Pending DE102022106241A1 (en) 2022-03-17 2022-03-17 Contactless identification and authentication of a person

Country Status (1)

Country Link
DE (1) DE102022106241A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190147672A1 (en) 2016-10-20 2019-05-16 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor physical authentication
DE102019114850A1 (en) 2019-06-03 2020-12-03 Abus Security-Center Gmbh & Co. Kg Wall-mountable authentication device
DE102019217738A1 (en) 2019-11-18 2021-05-20 Cocus Ag Computer-implemented method for controlling and monitoring the distribution of verified personal user data of a user on a large number of provider servers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190147672A1 (en) 2016-10-20 2019-05-16 Jpmorgan Chase Bank, N.A. Systems and methods for multifactor physical authentication
DE102019114850A1 (en) 2019-06-03 2020-12-03 Abus Security-Center Gmbh & Co. Kg Wall-mountable authentication device
DE102019217738A1 (en) 2019-11-18 2021-05-20 Cocus Ag Computer-implemented method for controlling and monitoring the distribution of verified personal user data of a user on a large number of provider servers

Similar Documents

Publication Publication Date Title
EP3057025B1 (en) Computer-implemented method for controlling access
DE102014101495B4 (en) Method of access to a physically secure rack and computer network infrastructure
EP3033708B1 (en) Method for evaluating a document
DE112012000185T5 (en) Apparatus and method for identity authentication
EP3327679A1 (en) Method for access control of a group of persons using multiple readers and multiple tokens
WO2013127625A1 (en) Method for identifying a person
EP3471068A1 (en) Distributed system for managing personal information, method and computer program product
EP2820624B1 (en) Method for identifying a person
EP2996299B1 (en) Method and assembly for authorising an action on a self-service system
WO2003044637A1 (en) Method and system for the protected storage and readout of useful data
DE102007012965A1 (en) Method for authenticating a person to a control device
DE102022106241A1 (en) Contactless identification and authentication of a person
EP2137705B1 (en) Method for transmitting data regarding an individual to a control device
EP3657750B1 (en) Method for the authentication of a pair of data glasses in a data network
WO2020126675A1 (en) Processing system
DE102017123671B4 (en) System and procedure for managing personal data
DE102022114588A1 (en) Method and system for authenticating a person
DE102008004480A1 (en) System for processing value units
DE102010048894B4 (en) Method and system for generating an access authorization in a restricted access electronically controlled device
EP4102832A1 (en) Video conferencing system for performing a video conference and for passing resolutions
EP2645670A1 (en) Provision of the identity attributes of a user
DE102019109343A1 (en) Method and device for transmitting digital data
EP3552189A1 (en) Chip implant with two-factor authentication
DE102006014163A1 (en) Method for authentication of meeting, involves obtaining biometric information period of two member, where biometric information and meeting authentication message are stored in data base

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication