DE19961403C2 - System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze - Google Patents

System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze

Info

Publication number
DE19961403C2
DE19961403C2 DE19961403A DE19961403A DE19961403C2 DE 19961403 C2 DE19961403 C2 DE 19961403C2 DE 19961403 A DE19961403 A DE 19961403A DE 19961403 A DE19961403 A DE 19961403A DE 19961403 C2 DE19961403 C2 DE 19961403C2
Authority
DE
Germany
Prior art keywords
data
identification medium
entrance
personal data
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19961403A
Other languages
English (en)
Other versions
DE19961403A1 (de
Inventor
Markus Hellenthal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Accenture Global Services Ltd
Original Assignee
Accenture GmbH Germany
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to DE19961403A priority Critical patent/DE19961403C2/de
Application filed by Accenture GmbH Germany filed Critical Accenture GmbH Germany
Priority to PCT/DE2000/004004 priority patent/WO2001039133A1/de
Priority to CA2392264A priority patent/CA2392264C/en
Priority to AU25025/01A priority patent/AU778154B2/en
Priority to US10/130,377 priority patent/US7272721B1/en
Priority to JP2001540724A priority patent/JP4383704B2/ja
Priority to CNB008173516A priority patent/CN1158634C/zh
Publication of DE19961403A1 publication Critical patent/DE19961403A1/de
Application granted granted Critical
Publication of DE19961403C2 publication Critical patent/DE19961403C2/de
Priority to HK03105820A priority patent/HK1053528A1/xx
Priority to US11/900,677 priority patent/US7809951B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/10Movable barriers with registering means
    • G07C9/15Movable barriers with registering means with arrangements to prevent the passage of more than one individual at a time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Lock And Its Accessories (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Collating Specific Patterns (AREA)
  • Diaphragms For Electromechanical Transducers (AREA)

Description

Die vorliegende Erfindung betrifft ein System und ein Verfahren zur automatisierten Kon­ trolle des Passierens einer Grenze.
Grenzkontrollen z. B. an Flughäfen, aber auch im Bereich der Land- und Fährverkehre sind für den grenzüberschreitenden Personenverkehr zeitkritisch. Gleichzeitig ist der Aufwand der Kontrollbehörden - unter anderem wegen des Schengener Abkommens in den vergangenen Jahren überproportional zur Anzahl der Reisenden gestiegen. Die seit Jahren steigende Mobi­ lität der Menschen und wachsende Passagierzahlen im internationalen Flugverkehr führen zu neuen Anforderungen im Personenbeförderungswesen. Andererseits sind die personellen und finanziellen Ressourcen der staatlichen Kontrollbehörden, der Luftverkehrsunternehmen und der Flughafenbetreiber sowie die räumlichen Gegebenheiten auf vielen internationalen Ver­ kehrsflughäfen zunehmend begrenzt.
Aus der DE 692 28 388 T2 sind ein Verfahren und eine Vorrichtung zur Überwachung, insbesondere zur Zeit- und/oder Durchgangskontrolle bekannt. Bei dem bekannten Ver­ fahren handelt es sich um ein Überwachungsverfahren unter Einbeziehung individueller Anwesenheits- bzw. Stempeldaten, in denen Individuen, wie etwa Personen, in Kontakt mit einer Stempeleinheit treten und hierdurch Informationen dieser Einheit zuführen, in welcher diese Informationen bevorzugterweise kompiliert werden, wobei durch das An­ ordnen bestehender Einheiten in einem dezentralisierten System, in dem jede Einheit physikalisch von den restlichen Einheiten getrennt werden kann und außerdem jedes Individuum selbst einen aktualisierbaren Informationsträger trägt, der eindeutige und für dieses Individuum persönliche Informationen beinhaltet, wobei das Aktualisieren des Informationsträgers durchgeführt werden kann durch Kontakt mit einer Stempeleinheit und wobei der Informationsträger mit zusätzlichen Informationen versehen und dazu in der Lage ist, diese zu tragen, wobei die zusätzlichen Informationen dafür vorgesehen sind, der Stempeleinheit zugeführt zu werden, wie etwa Informationen, die für Durch­ gangskontrollzwecke geeignet sind. Bei dem bekannten System handelt es sich um ein Überwachungssystem beinhaltend individuelle Anwesenheitsdaten, mit zumindest einer Stempeleinheit, der Informationen durch Individuen, wie beispielsweise Personen durchgeführt werden durch Kontakt mit der Stempeleinheit, wobei das System bevor­ zugterweise auch Vorrichtungen zur Kompilierung dieser Informationen beinhaltet, ferner vorhandene Stempeleinheiten in einem dezentralisierten System angeordnet sind, in welchem jede Einheit physikalisch von den restlichen Einheiten des Systems getrennt werden kann und das System darüber hinaus individuell aktualisierbare Information­ sträger beinhaltet, durch die jeweiligen Individuen Anwesenheitsinformationen tragen, die eindeutig für dieses jeweilige Individuum sind, wobei das Aktualisieren der Infor­ mationen bei Kontakt mit einer Stempeleinheit durchgeführt wird, die dazu vorgesehen ist, das Aktualisieren durchzuführen, und wobei der Informationsträger dazu vorgesehen ist, zusätzliche Informationen zu tragen, die dafür vorgesehen sind, einer Stempeleinheit zugeführt zu werden, wie beispielsweise Informationen, die für Durchgangskontroll­ zwecke geeignet sind.
Aus der US-5,585,614 ist eine Zugangskontrollvorrichtung bekannt, die wenigstens eine lokale Kontrollvorrichtung, die mit einer zentralen Kontrollvorrichtung verbunden ist und einen lokalen Computer enthält, eine Ausgabestation für Kontrollkarten und eine schließbare Eintrittsanlage aufweist. An der Ausgabestation werden tragbare Kontroll­ karten ausgegeben, wobei eine elektronische Identitätsnummer bei jeder Ausgabe ge­ speichert wird. Eine Sendevorrichtung, die an der Eintrittsanlage angebracht ist, sendet eine durchgehende Reihe von Signalen, die Identitätsnummern entsprechen, die von dem lokalen Computer als gültig erkannt worden sind. Sobald der Vergleichsschaltkreis eine Übereinstimmung zwischen gesendeten und gespeicherten Identitätsnummern fest­ stellt, wird der Sendeschaltkreis der Kontrollkarte aktiviert, um ein Freigabesignal zu senden und die Eintrittsanlage zu öffnen, wodurch die Energie zum Senden des Freiga­ besignals von den von der Sendevorrichtung gesendeten Signalen genommen wird.
Aus der DE 198 18 229 A1 ergibt sich ein Verfahren zur Personenidentifizierung an­ hand von deren Hand- und/oder Fingerlinien, wobei diese optisch berührungslos erfaßt werden und mittels digitaler Bildverarbeitung eine numerische Kennung errechnet wird, die den Vergleich mit gleichartigen abgelegten Daten erlaubt. Ferner wird dort eine Vorrichtung zur Durchführung des Verfahrens beschrieben, die eine Kamera mit Bil­ dempfänger aufweist, deren Objektiv auf die Gegenstandsebene scharfgestellt ist.
Der Erfindung liegt somit die Aufgabe zugrunde, die Geschwindigkeit des Passagierverkehrs zu erhöhen.
Erfindungsgemäß wird diese Aufgabe gelöst durch ein System zur automatisierten Kontrolle des Passierens einer Grenze, mit:
  • - einer Einrichtung zur Erfassung von Personendaten von Systembenutzern,
  • - einer Einrichtung zur Erfassung von biometrischen Daten der Systembenutzer,
  • - einer Einrichtung zur Weitergabe der Personendaten der Systembenutzer an eine Fahn­ dungsdatenbank und Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
  • - einer Einrichtung zum Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
  • - einer vor einer Grenze angeordneten Durchgangsschleuse zum Regulieren des Durchgangs der Systembenutzer mit einem Eingang und einem Ausgang, wobei der Eingang und der Aus­ gang in Grundstellung verschlossen sind,
  • - einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Vereinzelung der Systembenutzer,
  • - einer hinter der Vereinzelungseinrichtung, aber vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten,
  • - einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Überprüfung der Echtheit der Identifikationsmedien,
  • - einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Überprüfung des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identifikationsmedium,
  • - einer Einrichtung zum Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt wurden,
  • - einer in der Durchgangsschleuse befindlichen Einrichtung zum Erfassen von biometrischen Daten eines hineingelassenen Systembenutzers,
  • - einer Einrichtung zum Vergleich der erfaßten biometrischen Daten mit den auf dem Identifi­ kationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
  • - einer Einrichtung zum Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem je­ weiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
  • - einer Einrichtung zur Weitergabe der Personendaten an die Fahndungsdatenbank und zur Abfrage, ob der Systembenutzer auf einer Fahndungsliste steht, und
  • - einer Einrichtung zum Öffnen des Ausgangs der Durchgangsschleuse und Ermöglichen ei­ nes Grenzübertritts des Systembenutzers, wenn das Ergebnis der Fahndungsabfrage negativ ist, und zur Auslösung eines Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
Weiterhin wird die Aufgabe gelöst durch ein Verfahren zur automatisierten Kontrolle des Passierens einer Grenze, das die folgenden Schritte umfaßt:
  • - Erfassen von Personendaten von Systembenutzern,
  • - Erfassen von biometrischen Daten der Systembenutzer,
  • - Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank und Vor­ nahme einer Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
  • - Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Sy­ stembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikati­ onsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Er­ gebnis der Fahndungsabfrage negativ ist,
  • - Vereinzelung der einen Grenzübertrittsversuch unternehmenden Systembenutzer vor einer Durchgangsschleuse mit einem Eingang und einem Ausgang, wobei der Eingang und der Ausgang in Grundstellung geschlossen sind,
  • - Lesen der auf dem Identifikationsmedium gespeicherten Daten,
  • - Überprüfung der Echtheit des jeweiligen Identifikationsmediums,
  • - Überprüfen des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identififka­ tionsmedium,
  • - Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identifi­ kationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsme­ dium festgestellt werden,
  • - Erfassen von biometrischen Daten eines in die Durchgangsschleuse hineingelassenen Sy­ stembenutzers,
  • - Vergleichen der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
  • - Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifika­ tionsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
  • - Weitergeben der Personendaten an die Fahndungsdatenbank und Abfragen, ob der Sy­ stembenutzer auf einer Fahndungsliste steht, und
  • - Öffnen des Ausgangs der Druchgangsschleuse, wenn das Ergebnis der Fahndungsabfrage negativ ist, bzw. Auslösen eine Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
Insbesondere kann bei dem System vorgesehen sein, daß die Einrichtung zur Erfassung von Personendaten von Systembenutzern eine Einrichtung zum automatischen Einlesen der Perso­ nendaten aufweist. Beispielsweise kann die Einrichtung zum automatischen Einlesen der Per­ sonendaten ein Scanner sein.
Vorteilhafterweise umfaßt die Einrichtung zur Erfassung von biometrischen Daten eine Ein­ richtung zur Erfassung eines Fingerabdruckes und/oder der Netzhautstruktur und/oder der Gesichtsmerkmale und/oder der Stimme und/oder Sprache eines jeweiligen Systembenutzers.
Eine weitere besondere Ausführungsform des Systems ist gekennzeichnet durch eine Ein­ richtung zur Verarbeitung der erfaßten biometrischen Daten und Umrechnung in ein oder mehrere repräsentative(s) Datenmerkmal(e), anhand dessen/derer eine Wiedererkennung des Systembenutzers bei der Kontrolle möglich ist.
Auch kann vorgesehen sein, daß die Einrichtung zur Speicherung von Daten eine Einrichtung zur Verschlüsselung der Personen- und/oder Identifikationsmediumdaten und zur Erzeugung eines identifikationsmediumspezifischen Schlüssels aufweist.
Ferner kann auch vorgesehen sein, daß die Verschlüsselungseinrichtung ein lokal vorgesehe­ nes Sicherheitsmodul ist oder sich in einem Hintergrundsystem befindet, das über eine On- Line-Datenverbindung verbunden ist.
Vorzugsweise weist die Einrichtung zur Speicherung der Daten eine Einrichtung zur elektri­ schen Personalisierung der verschlüsselten Daten in dem Identifikationsmedium und/oder eine Einrichtung zum Aufbringen der Personendaten und gegebenenfalls eines Fotos sowie der Unterschrift des jeweiligen Systembenutzers auf das Identifikationsmedium auf. Beispiels­ weise können die Personendaten im Thermotransfer-Druck auf das Identifikationsmedium aufgebracht werden.
Günstigerweise weist die Einrichtung zur Speicherung der Daten eine Einrichtung zum Über­ ziehen des Identifikationsmediums mit einer Laminatfolie auf. Durch die Laminatfolie wird das Identifikationsmedium fälschungssicher.
Vorzugsweise sind die Identifikationsmedien Smart Cards.
Günstigerweise ist in der Durchgangsschleuse mindestens eine Videokamera vorgesehen. Dies ermöglicht eine Überwachung der Durchgangsschleuse insbesondere hinsichtlich der Vornahme einer wirksamen Vereinzelung.
Weiterhin kann vorgesehen sein, daß die Einrichtung zum Lesen der auf den Identifikations­ medien gespeicherten Daten eine Einrichtung zum Berechnen des identifikationsmediumspe­ zifischen Schlüssels aus den verschlüsselten Identifikationsmediumdaten und Verifikation desselben aufweist. Damit ist die Vornahme einer Kartenlegitimationsprüfung möglich.
Weiterhin weist die Einrichtung zum Lesen der auf dem Identifikationsmedium gespeicherten Daten vorzugsweise eine Einrichtung zum Entschlüsseln der verschlüsselten Personendaten und Verifikation derselben auf. Dies ermöglicht eine Personenlegitimationsprüfung.
Eine weitere besondere Ausführungsform der Erfindung ist gekennzeichnet durch eine Ein­ richtung zur Erzeugung und Verteilung von Schlüsseln für die Datenverschlüsselungen und Überwachung des Systembetriebes. Eine derartige Einrichtung erfüllt die Funktion eines TrustCenter.
Eine weitere besondere Ausführungsform der Erfindung ist gekennzeichnet durch eine Ein­ richtung zur Verwaltung und Überwachung insbesondere der Lebensdauer aller an Systembe­ nutzer ausgegebener Identifikationsmedien.
Schließlich ist eine weitere besondere Ausführungsform der Erfindung gekennzeichnet durch eine Einrichtung zur kryptographischen Verschlüsselung von zwischen Einrichtungen des Systems und/oder zwischen dem System und externen Einrichtungen übertragenen Daten. Dies soll vor einem unerlaubten Zugriff auf die übertragenen Daten schützen.
Die Unteransprüche 17 bis 26 betreffen vorteilhafte Weiterentwicklungen des erfindungsge­ mäßen Verfahrens.
Der Erfindung liegt die überraschende Erkenntnis zugrunde, daß durch eine Integration der behördlichen Kontrollen in den Gesamtablauf, wobei ein Teil der Kontrolle im Prinzip vorge­ zogen wird, eine Beschleunigung und Vereinfachung der Abwicklung des Grenzverkehrs erzielt wird, ohne daß darunter die Qualität der Kontrolle leidet. Durch die zumindest zum Teil vorgezogene Kontrolle kann die Kontrolle an der Grenze hinsichtlich der bereits vorab kon­ trollierten, unproblematischen Reisenden vereinfacht und verkürzt werden, wodurch eine Konzentration der Polizei- und Kontrollkräfte auf potentielle Täter und Gefahren möglich wird.
Die vorab durchgeführte Kontrolle erlaubt eine maschinelle Überprüfung des polizeilich un­ problematischen grenzüberschreitenden Reisendenverkehrs mit all den Einzelkomponenten, die auch eine Grenzkontrolle durch Polizeibeamte beinhaltet, nämlich Personenvergleich, Echtheitsprüfung von Grenzübertrittsdokumenten, Fahndungsabfrage, Gestaltung des Grenz­ übertritts. Dabei werden unter Berücksichtigung aller nationalen, Schengener und EU- Anforderungen zuvor aus polizeilicher Sicht unproblematische eingestufte Reisende nach Antragstellung und auf freiwilliger Basis mittels auf ihren Identifikationsmedien gespeicher­ ten Personendaten und biometrischen Daten beim Grenzübertritt jeweils aktuell maschinell identifiziert und über eine On-Line-Fahndungsabfrage polizeilich überpüft.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Ansprüchen und aus der nachstehenden Beschreibung, in der ein Ausführungsbeispiel anhand der schematischen Zeichnungen im einzelnen erläutert ist. Dabei zeigt:
Fig. 1 eine Draufsicht eines Teils eines Systems gemäß einer besonderen Ausfüh­ rungsform der vorliegenden Erfindung; und
Fig. 2 schematisch wesentliche Einrichtungen und Einrichtungsblöcke des Systems;
Fig. 1 zeigt eine Draufsicht eines Teils eines Systems gemäß einer besonderen Ausführungs­ form der Erfindung. Der gezeigte Teil betrifft die Kontrolle von Systembenutzern direkt an einer Grenze (z. B. Landesgrenze). Fig. 1 zeigt eine Durchgangsschleuse 10 mit einem Ein­ gang 12 und einem Ausgang 14. Der Eingang 12 und der Ausgang 14 sind jeweils mit einer Drehtür 16 bzw. 18 versehen. Vor der Drehtür 16 am Eingang 12 befindet sich eine Einrich­ tung zur Vereinzelung der Systembenutzer (nicht gezeigt). Die Vereinzelung kann mecha­ nisch, aber auch z. B. optisch durchgeführt werden. Beispielsweise kann dazu eine Ampel verwendet werden. Wenn die Ampel auf Grün steht, darf eine einzelne Person passieren. Wenn eine Person bei Rot weitergeht, wird ein optischer und/oder akustischer Alarm ausge­ löst. Zwischen dieser Einrichtung und der Drehtür 16 befindet sich ein Kartenlesegerät 20 zum Lesen von Smart Cards. Die Drehtür 16 ist in Grundstellung arretiert und verschließt somit den Eingang 12. In der Durchgangsschleuse 10 befindet sich ein Biometriedatenlesege­ rät 22. Das Kartenlesegerät 20 und das Biometriedatenlesegerät 22 sind mit einem lokalen Server des Bundesgrenzschutzes (nicht gezeigt) verbunden. In der Durchgangsschleuse 10 befindet sich darüber hinaus noch eine Videokamera 24 zur Überwachung der mechanischen Vereinzelung der Systembenutzer.
In Fig. 2 sind schematisch die wesentlichen Einrichtungen einzeln bzw. in Blöcken des Sy­ stems gezeigt. Ein Systemblock, der mit dem Bezugszeichen 26 versehen ist, betrifft die Be­ antragung und Ausgabe einer Karte (sogenanntes Enrolment Center). Die Karte in Form einer Smart Card 28 dient als Berechtigungsausweis für jeden Systembenutzer. Sie wird beim Grenzübertritt in dem in Fig. 1 gezeigten Teil des Systems, der hier als dezentrales automati­ siertes Grenzkontrollsystem 30 bezeichnet ist, überprüft. Das dezentrale automatisierte Grenzkontrollsystem 30 umfaßt einen lokalen Server des Bundesgrenzschutzes, der über ei­ nen Dienststellen-Server 32 des Bundesgrenzschutzes mit einer Fahndungsdatenbank 34 der INPOL, einem Trust Center 36, einer zentralen Datenverwaltungseinrichtung 38 des Bundes­ grenzschutzes und dem Enrolment Center 26 in Verbindung steht.
In dem Enrolment Center 26 kann eine Kartenbeantragung vorgenommen werden. Diese um­ faßt alle Prozeßschritte, die zur Erfassung der potentiellen Systembenutzer, also insbesondere die Erfassung ihrer Personen- und biometrischen Daten, notwendig sind. Es können mehrere Enrolment Center vorgesehen sein, die an verschiedenen Orten errichtet sind. Zur Kartenbe­ antragung legen die potentiellen Systembenutzer ihr Grenzübertrittsdokument vor, von dem der Bediener eines PCs, auf dem die Erfassungssoftware läuft, die Daten automatisch oder manuell erfaßt. Der Datensatz wird auf einem Formblatt ausgedruckt und vom antragstellen­ den, potentiellen Systembenutzer unterschrieben. Das Formblatt enthält unter anderem fol­ gende weitere Angaben:
  • - eine Beschreibung des Systems,
  • - die Personalien des potentiellen Systembenutzers,
  • - die Bedingungen für die freiwillige Teilnahme am System,
  • - die notwendigen datenschutzrechtlichen Erklärungen zur Erhebung, Speicherung, Über­ mittlung und Verarbeitung der Personendaten des antragstellenden, potentiellen System­ benutzers im Zusammenhang mit der automatisierten Grenzkontrolle,
  • - einen Hinweis auf die Pflicht des Systembenutzers, bei jedem Grenzübertritt ein gültiges Grenzübertrittsdokument mit sich zu führen, und
  • - Hinweise zu den anerkannten Reisezwecken, für die das System genutzt werden darf.
In einem nächsten Schritt wird der Fingerabdruck des potentiellen Systembenutzers mittels eines Fingerabdrucklesegerätes (nicht gezeigt) erfaßt. Die vom Fingerabdrucklesegerät ge­ wonnen Daten werden durch die Verarbeitungssoftware in ein oder mehrere repräsentative Datenmerkmale umgerechnet, anhand derer eine Wiedererkennung des Systembenutzers bei der Grenzkontrolle möglich wird. Dann wird ein Test auf Duplikate vorgenommen, das heißt es wird überprüft, ob der Antragsteller bereits im System erfaßt ist. Die zuvor erfaßten Perso­ nendaten werden um die biometrischen Daten ergänzt und zur Verschlüsselung gegeben. Die­ se erfolgt entweder am lokalen System in einem dafür vorgesehenen Sicherheitsmodul oder in einem Hintergrundsystem, zu welchem Dir diesen Zweck eine On-Line-Datenverbindung geschaltet wird. Die verschlüsselten Daten werden im Enrolment Center in einen Smart Card- Rohling elektrisch personalisiert und die Personendaten auf dem Smart-Card-Körper im Thermotransfer-Druck aufgebracht. Zusätzlich können gegebenenfalls ein Foto des System­ benutzers sowie seine Personalien (beides erforderlichenfalls als Grundlage für eine manuelle Überprüfung, z. B. im Rahmen von Stichprobenkontrollen), seine Unterschrift und der Name des ausstellenden Enrolment Centers aufgedruckt werden. Anschließend wird der Smart- Card-Körper mit einer fälschungssicheren Laminatfolie überzogen. All diese Schritte laufen in einer Maschine ab und werden vom PC überwacht. Nach einer Funktionskontrolle an ei­ nem Terminal im Enrolment Center wird die Smart Card dem Systembenutzer ausgehändigt. Das gesamte Enrolment dauert weniger als 10 Minuten. Die Kartenbeantragung und -ausgabe kann auch gleichzeitig mit der erstmaligen Benutzung des Systems an der Grenze vor Ort vorgenommen werden.
Alle hoheitlichen Schritte - die Durchführung der vorgezogenen Grenzkontrolle entsprechend der nationalen, Schengener und EU-Anforderungen und die Freigabe der Smart Card - sind einem Beamten der Grenzkontrollbehörde vorbehalten. Er wird gegebenenfalls unterstützt durch Personal bzw. Beauftragte des Betreibers. Für die Mitarbeiter in den Enrolment Center werden ebenfalls geeignete Zugangskontrollen vorgesehen.
Darüber hinaus stellt die Erfassungssoftware sicher, daß Smart Cards nur mit Zutun legiti­ mierter Grenzkontrollbeamter, nur nach erfolgreichem Verlaufen aller erforderlichen Schritte und nur für visumsbefreite Angehörige bestimmter zugelassener Staaten ausgestellt werden, die im Besitz eines gültigen Reisedokumentes sind.
Die Kartenkontrolle umfaßt alle Prozesse, die bei der Prüfung des Karteninhabers im Rahmen der Einreise durchgeführt werden. Die Kartenkontrolle findet innerhalb einer Durchgangs­ schleuse 10 (siehe Fig. 1) statt, welche die zu kontrollierende Person betreten muß.
Die Durchgangsschleuse selbst kann problemlos in die bestehende Infrastruktur integriert werden, das heißt es sind nur geringfügige bauliche Veränderungen notwendig. Der lokale Server dient zur Ablaufsteuerung und zur Kommunikation mit externen Rechnern.
Vor der Durchgangsschleuse 10 findet zunächst eine mechanische Vereinzelung mittels einer Einrichtung zur mechanischen Vereinzelung (nicht gezeigt) statt, um das Eintreten von Unbe­ rechtigten sowie mehreren Personen zur gleichen Zeit zu verhindern. Diese Maßnahme wird durch den Einsatz einer Videokamera 24 in der Durchgangsschleuse 10 und entsprechender Bildauswertungssoftware ergänzt.
Hinter der Einrichtung zur Vereinzelung, aber vor dem Eingang 12 wird die zu überprüfende Person zum Einführen der Smart Card in ein Kartenlesegerät 20 aufgefordert. In dem Karten­ lesegerät 20 befindet sich ein Sicherheitsmodul (nicht gezeigt) zur Echtheitsüberprüfung der Smart Card sowie der darauf gespeicherten Personendaten. Jede authentische Smart Card be­ sitzt einen Smart Card-spezifischen Schlüssel, der basierend auf bestimmten Smart Card Da­ ten von dem Sicherheitsmodul im Kartenlesegerät 20 berechnet und sodann verifiziert werden kann. Die Kommunikation zwischen der Smart Card und dem Sicherheitsmodul in dem Kar­ tenlesegerät 20 wird zusätzlich mit einem temporären Schlüssel geschützt, der vorher zwi­ schen der Smart Card und dem Sicherheitsmodul ausgehandelt worden ist.
Danach werden die Personendaten einschließlich biometrischen Daten aus der Smart Card gelesen und eine angehängte Signatur (MAC) mit Hilfe des öffentlichen Schlüssels im Si­ cherheitsmodul auf Echtheit überprüft. So können illegale Datenmanipulationen sicher er­ kannt werden.
Wenn die Echtheit der Karte und das Vorliegen keiner Datenmanipulation verifiziert worden sind, läßt sich die Drehtür 16 drehen, so daß die Person in die Durchgangsschleuse gelangen kann. In der Durchgangsschleuse 10 wird mittels des Biometriedatenlesegerätes 22 der Fin­ gerabdruck des Systembenutzers erhoben und ein Vergleich mit den auf seiner Smart Card gespeicherten biometrischen Daten vorgenommen. Dazu werden aus den lokal gewonnen Daten Extrakte gebildet und mit den in der Smart Card gespeicherten Datenmerkmalen ver­ glichen.
Durch dieses zweistufige Überprüfungsverfahren am Eingang der Durchgangsschleuse und innerhalb derselben wird zweierlei erreicht:
  • - es wird festgestellt, daß es sich bei der Person, der aufgrund der am Eingang der Durch­ gangsschleuse geprüften Smart Card der Einlaß gewährt wurde, um einen berechtigten Systembenutzer handelt;
  • - unberechtigten Personen wird der Eintritt in die Durchgangsschleuse verwehrt; hier dürfte es ausreichen, auf einem Bildschirm am Kartenlesegerät am Eingang der Durchgangs­ schleuse einen Hinweis zu geben, sich der regulären Grenzkontrolle zu unterziehen.
  • - Mißbräuchliche Benutzer oder durch das System fälschlicherweise zurückgewiesene Be­ rechtigte (dies läßt sich durch kein technisches System zu 100% ausschließen) werden spätestens in der Durchgangsschleuse zuverlässig festgestellt. Hier wäre - nach einer ent­ sprechenden automatischen Alarmauslösung durch das System - ein Eingreifen durch die Grenzkontrollbehörde oder einen Beauftragten erforderlich, um die Person aus der Durch­ gangsschleuse zu befreien und einer regulären Grenzkontrolle zuzuführen.
Im nächsten Schritt werden die erforderlichen Personendaten über den lokalen Server des Bundesgrenzschutzes zur Überprüfung an eine Fahndungsdatenbank der INPOL weitergelei­ tet.
Wenn alle vorab beschriebenen Schritte beanstandungslos durchlaufen werden, wird der Aus­ gang der Durchgangsschleuse freigegeben. Im Falle einer Beanstandung oder eines fehlerhaften Verhaltens des System wird ein Alarm ausgelöst und mit der Überprüfung der Person durch Personal des Bundesgrenzschutzes fortgefahren.
Die Gestaltung der Durchgangsschleuse, die Art der verwendeten Vereinzelungstechnik und der Freigabe am Ausgang der Durchgangsschleuse können in Abhängigkeit von z. B. der Er­ gonomie und der Führung großer Verkehrsströme bestimmt werden.
Das Trust Center 36 dient als zentrale Systemkomponente zur Verwaltung aller sicherheitsre­ levanten Aspekte des Systems, also insbesondere zur Erzeugung und Verteilung von Schlüs­ seln und Überwachung des laufenden Systembetriebes.
Die zentrale Datenverwaltungseinrichtung 38 des Bundesgrenzschutzes dient zur Verwaltung aller ausgegebenen Smart Cards mit Funktionen zur Überwachung des Card Life Cycle. Die Kartenverwaltung beinhaltet auch die Funktionen zur Antragsbearbeitung, also der Erfassung der Personendaten und der biometrischen Daten.
Die besondere Sensibilität der Daten der Smart Cards und der damit verbundenen Funktiona­ lität erfordern ein hohes Maß an Schutz gegen:
  • - Verfälschung der Personendaten auf der Smart Card
  • - Verfälschung der biometrischen Daten
  • - Verfälschung der Verbindung zwischen biometrischen Daten und den Personaldaten
  • - Manipulationen an einem Kontrollterminal
  • - Manipulationen bei der Erfassung der Personendaten bzw. der biometrischen Daten und
  • - Angriffe auf die kryptographischen Funktionen im System.
Zur umfassenden Absicherung dieser Risiken ist eine schalenartige Sicherheitsarchitektur zur Absicherung zentraler Informationen und Funktionen ratsam. Ziel der Architektur ist, die Er­ richtung mehrerer Hürden, die ein potentieller Angreifer überwinden muß, um das System zu manipulieren.
Den Kern bilden die Personendaten zusammen mit den biometrischen Daten. Diese Daten werden im System als eine Einheit betrachtet, das heißt biometrische Daten sind ein Element des Personendatensatzes. Über den Personendatensatz wird zunächst mit Hilfe eines Secure Hash-Verfahrens, z. B. dem SHA-1 Algorithmus, eine kryptographische Prüfsumme erzeugt. Dieser 160 Bit lange Wert hat die typischen Eigenschaften eines guten Hash-Algorithmus, das heißt, er ist im wesentlichen kollisionsfrei. Das Ergebnis des Algorithmus wird als ein Teil der Kryptogrammbildung verwendet, da der gesamte Personendatensatz als Eingabedatum der Verschlüsselung zu groß ist. Der Hash-Wert komprimiert den Inhalt des Personendatensatzes auf eine stark reduzierte Form. Dabei kann vom Hash-Wert nicht auf die ursprünglichen Da­ ten geschlossen werden. Änderungen im Personendatensatz ergeben zwangsläufig eine Ände­ rung im Hash-Wert. Das Secure Hash-Verfahren ist kein Verschlüsselungsverfahren, das heißt, es verwendet keine Schlüssel.
In der zweiten Schale werden wesentliche Extrakte aus den Personendaten (z. B. Name, Ge­ burtsdatum und Geburtsort), insbesondere also die Daten für die Abfrage bei der INPOL- Fahndungsdatenbank, zusammen mit dem Hash-Wert mit einem Private Key-Verfahren ver­ schlüsselt. Als Private Key-Verfahren sollen - abhängig von der weiteren Detailabstimmung - RSA mit einer Schlüssellänge von mindestens 1.024 Bit oder elliptische Kurven mit hinrei­ chender Schlüssellänge genutzt werden.
Für die Verschlüsselung des Extraktes wird der private Schlüssel einer Ausgabestelle oder der private Schlüssel einer zentralen Instanz verwendet. Im letzteren Fall muß der Personendatensatz zur Verschlüsselung an die zentrale Instanz versandt werden und er kann erst dann in die Smart Card personalisiert werden (z. B. durch On-Line-Anfrage).
Für die Entschlüsselung des Extraktes wird der öffentliche Schlüssel benötigt. Dieser wird in den Kontrollterminals hinterlegt. Eine Entschlüsselung liefert zunächst die Personendaten für die INPOL-Abfrage und den Hash-Wert. Der Hash-Wert wird mit einem erneut berechneten Hash-Wert verglichen. Bei Gleichheit kann von einem unverfälschten Datensatz ausgegangen werden.
Innerhalb des Verfahrens sind eine Reihe von Varianten möglich, deren Nutzung von den konkreten Rahmenbedingungen abhängt:
  • - Eine eindeutige Smart Card-Nummer könnte in den Personendatensatz aufgenommen und dadurch mit diesem verknüpft werden. Eine Übertragung der Daten auf ein andere Smart Card wäre damit nicht möglich. Eine sinnvolle Nutzung dieser Option setzt eine On-Line- Personalisierung voraus, bei der Personendaten und die Smart Card-Nummer verschlüsselt und direkt in die Smart Card personalisiert werden.
  • - Die Verschlüsselung des Personendatensatzes kann mit dem privaten Schlüssel der Aus­ gabestelle durchgeführt werden. Diese würde dann ihren öffentlichen Schlüssel in der Smart Card speichern. Eine Kontrollstation würde dann zur Verifikation des Extraktes den von der Smart Card gelieferten öffentlichen Schlüssel der Ausgabestelle nutzen. Zur Ver­ hinderung des Mißbrauches, etwa der Einspielung von gefälschten öffentlichen Schlüsseln einer Ausgabestelle, müssen die Schlüsselpaare der Ausgabestelle von einer zentralen In­ stanz elektronisch signiert werden. Ein solches Verfahren erlaubt die Ausgabe der Smart Card ohne Zugriff und Authorisierung durch ein Zentralsystem.
Jede Smart Card im System erhält bei der Herstellung eine eindeutige Seriennummer. Diese Seriennummer ist Grundlage der kryptographischen Verfahren, die aktiv durch die Smart Card ausgeführt werden. Die Smart Card enthält einen durch Ableitung der Seriennummer unter einem Masterschlüssel gewonnen smartcardspezifischen Schlüssel zur Authentisierung.
Die Authentisierung erfolgt implizit durch das Auslesen der Personendaten im sogenannten PRO-Mode. Der PRO-Mode ist eine in ISO 7816 eingeführte Variante des Lesezugriffs, bei dem die an das Terminal übertragenen Daten durch einen Message Authentication Code (MAC) gesichert werden. Dieser MAC wird dynamisch bei jedem Lesezugriff neu erzeugt, um einen sogenannten Replay-Angriff, also das erneute Einspielen bereits gelesener Daten, auszuschließen.
Die Erzeugung des MAC erfolgt innerhalb des Betriebssystems der Smart Card unter Nutzung des kartenindividuellen Authentisierungsschlüssels und einer durch das Terminal gelieferten Zufallszahl. Das Terminal enthält hierzu in einem Sicherheitsmodul (z. B. eine weitere Smart Card) einen Zufallszahlengenerator und den Masterschlüssel, welche für die Ableitung des Smart Card-Schlüssels unter der Smart Card-Seriennummer benutzt wird. Das Terminal über­ prüft selbständig und unmittelbar nach dem Auslesen der Smart Card-Daten den MAC und weist eine Karte mit fehlerhaftem MAC ab.
Wichtig ist in diesem Zusammenhang, daß der MAC dynamisch durch die Smart Card erzeugt wird. Der dazu notwendige Schlüssel muß in der Smart Card vorhanden sein. Eine Manipula­ tion der Smart Card, z. B. durch Duplizieren, erfordert Zugriff auf diesen Kartenschlüssel, welches nur unter hohem finanziellen Aufwand möglich ist.
Auch für diese Schutzstufe gibt es eine Variante, die jedoch eine leistungsfähigere Smart Card voraussetzt. Statt einem symmetrischen Verfahren für die MAC-Bildung (in der Regel Triple DES) kann das asymmetrische Verfahren der elliptischen Kurven Anwendung finden. Bei diesem Verfahren wird in der Karte der private, kartenindividuelle Schlüssel auslesegeschützt gespeichert und der öffentliche Schlüssel lesbar gemacht. Der öffentliche Schlüssel muß dazu mit dem privaten Schlüssel des Systembetreibers signiert werden. Ein Kontrollterminal braucht nun nur den weniger sicherheitskritischen, öffentlichen Schlüssel des Systembetrei­ bers zu speichern und mit ihm die Echtheit des kartenindividuellen öffentlichen Schlüssel zu überprüfen.
Das Auslesen der Daten erfolgt analog dem symmetrischen Verfahren, mit der Abweichung, daß der MAC durch den asymmetrischen Algorithmus erzeugt wird.
Solche Verfahren auf Basis asymmetrischer Kryptographie finden aufgrund ihrer hohen An­ forderungen an die Rechenleistung nur begrenzten Einsatz in Smart Cards. Im Detail muß hier sicher noch das Antwort-Zeitverhalten einer solchen Lösung betrachtet werden.
Die Übertragung der Daten zwischen Einrichtungen des Systems, insbesondere die Übertra­ gung der Daten bei der Kartenausgabe soll durch kryptographische Verfahren abgesichert werden. Hierzu bieten sich Verfahren der Line-Verschlüsselung an, mit denen sich geschütz­ te, transparente Datenkanäle aufbauen lassen.
Mit diesen Verfahren läßt sich die Integrität der Daten und die Vertraulichkeit sicherstellen. Letztere ist insbesondere bei der Erzeugung und Verteilung der Systemschlüssel von Bedeu­ tung.
Ein wesentlicher, oft unterschätzter Mechanismus zur Sicherung von Informationssystemen ist die Einbettung der technischen Systeme in eine zuverlässige Ablauforganisation (5. Scha­ le). Die besten und längsten Schlüsselverfahren der Welt nützen nichts, wenn die Schlüssel einfach zugänglich sind. Technische Verfahren können hier nur einen begrenzten Schutz her­ stellen, einem Angriff von innen sind sie oft schutzlos ausgeliefert.
Ein weiteres Merkmal der 5. Schale ist die Absicht, alle sicherheitsrelevanten Systemeinrich­ tungen in die Obhut der Grenzkontrollbehörde zu stellen. Dadurch soll aus Sicht der Behörde gewährleistet werden, daß ein Zugriff auf diese Systemeinrichtungen ohne ihr Zutun und unter keinen Umständen möglich ist. Dazu müssen sich nicht alle Systemeinrichtungen tatsäch­ lich in den Räumlichkeiten der Behörde selbst befinden. Der technischen Betrieb könnte auch bei einem Beauftragten der Behörde durchgeführt werden, solange durch entsprechende ver­ tragliche Gewährleistungsklauseln ein unerlaubter Zugriff durch Dritte (einschließlich dem Betreiber) unmöglich ist.
Eine zusätzliche organisatorische Schutzvorkehrung besteht darin, daß alle hoheitlichen Schritte - das heißt die Durchführung der vorgezogenen Grenzkontrolle entsprechend den nationalen, Schengener und EU-Anforderungen und die Freigabe der Smart Card - einem Beamten der Grenzkontrollbehörde vorbehalten sind. Für ihn sowie für die anderen Mitarbei­ ter in dem Enrolment Center bestehen geeignete Zugangskontrollen.
Darüber hinaus stellt die Erfassungssoftware sicher, daß Smart Cards
  • - nur auf der Basis im System bereits bekannter Smart Card-Rohlinge (jeder Smart Card- Rohling besitzt eine ein-eindeutige Kartennummer),
  • - nur mit Zutun im System legitimierter Grenzkontrollbeamter,
  • - nur nach erfolgreichem Durchlaufen aller erforderlichen Schritte und
  • - nur für Angehörige bestimmter zugelassener Staaten ausgestellt werden, die im Besitz eines gültigen Reisedokumentes sind.
Die erfindungsgemäßen Systeme haben einige Vorteile, die es von verschiedenen anderen, bislang erfolglosen Versuchen zur flächendeckenden Einführung automatisierter Grenzkon­ trollen unterscheiden:
  • - Das System stellt eine wirksame und sparsame Möglichkeit dar, Grenzkontrollbehörden effizienter zu machen. Das System erlaubt es den Grenzkontrollkräften, sich auf einen eher polizeilich relevanten Personenkreis zu fokussieren. Damit können sie mit weniger Aufwand mehr für Sicherheit und Service leisten.
  • - Die gemäß einer besonderen Ausführungsform der Erfindung eingesetzte Smart Card er­ laubt die Speicherung auch sensibler Daten ohne das Risiko eines Mißbrauchs durch un­ erlaubte Veränderungen oder von Fälschungen.
  • - Das Verfahren erlaubt kürzestmögliche Transaktionszeiten (im wesentlichen nur abhängig vom Antwort-Zeitverhalten der Abfrage bei der INPOL-Fahndungsdatenbank).
  • - Das Verfahren erlaubt geringstmögliche Transaktionskosten.
  • - Das Verfahren birgt keine datenschutzrechtliche Problematik (der Besitzer trägt seine vor unberechtigtem Zugriff sicher geschützten personenbezogenen Daten mit sich).
  • - Die in einer besonderen Ausführungsform der Erfindung verwendete Smart Card enthält ausreichende Speicherkapazität für diese und gegebenenfalls weitere zukünftige Anwen­ dungen mit zusätzlichen Nutzpotentialen.
  • - Auf der gemäß einer besonderen Ausführungsform der Erfindung verwendeten Smart Card befindet sich ausreichend Platz, um gegebenenfalls weitere Sicherheitsmerkmale (z. B. maschinenlesbares Hologramm mit Mikroschrift) oder andere Speichervarianten gleichzeitig zu nutzen.
Die in der vorstehenden Beschreibung, in den Zeichnungen sowie in den Ansprüchen offen­ barten Merkmale der Erfindung können sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung der Erfindung in ihren verschiedenen Ausführungsformen wesentliche sein.
Bezugszeichenliste
8
Grenze
10
Durchgangsschleuse
12
Eingang
14
Ausgang
16
,
18
Drehtür
20
Kartenlesegerät
22
Biometriedatenlesegerät
24
Videokamera
26
Enrolment Center
28
Smart Card
30
dezentrales automatisiertes Grenzkontrollsystem
32
Dienststellen-Server
34
Fahndungsdatenbank
36
Trust Center
38
zentrale Datenverwaltungseinrichtung

Claims (26)

1. System zur automatisierten Kontrolle des Passierens einer Grenze, mit:
einer Einrichtung zur Erfassung von Personendaten von Systembenutzern,
einer Einrichtung zur Erfassung von biometrischen Daten der Systembenutzer,
einer Einrichtung zur Weitergabe der Personendaten der Systembenutzer an eine Fahn­ dungsdatenbank (34) und Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungs­ liste steht,
einer Einrichtung zum Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifi­ scher Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
einer vor einer Grenze (8) angeordneten Durchgangsschleuse (10) zum Regulieren des Durchgangs der Systembenutzer mit einem Eingang (12) und einem Ausgang (14), wobei der Eingang (12) und der Ausgang (14) in Grundstellung verschlossen sind,
einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Vereinzelung der Systembenutzer,
einer hinter der Vereinzelungseinrichtung, aber vor dem Eingang (12) der Durchgangs­ schleuse (10) angeordneten Einrichtung zum Lesen der auf den Identifikationsmedien ge­ speicherten Daten,
einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Überprüfung der Echtheit der Identifikationsmedien,
einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Überprüfung des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identifika­ tionsmedium,
einer Einrichtung zum Öffnen des Eingangs (12) der Durchgangsschleuse (10), wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt wurden,
einer in der Durchgangsschleuse (10) befindlichen Einrichtung zum Erfassen von bio­ metrischen Daten eines hineingelassenen Systembenutzers,
einer Einrichtung zum Vergleich der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometri­ schen Daten,
einer Einrichtung zum Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstim­ men,
einer Einrichtung zur Weitergabe der Personendaten an die Fahndungsdatenbank (34) und zur Abfrage, ob der Systembenutzer auf einer Fahndungsliste steht, und
einer Einrichtung zum Öffnen des Ausgangs der Durchgangsschleuse (10) und Ermögli­ chen eines Grenzübertritts des Systembenutzers, wenn das Ergebnis der Fahndungsabfra­ ge negativ ist, und zur Auslösung eines Alarmsignals, wenn das Ergebnis der Fahndungs­ abfrage positiv ist.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß die Einrichtung zur Erfassung von Personendaten von Systembenutzern eine Einrichtung zum automatischen Einlesen der Personendaten aufweist.
3. System nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Einrichtung zur Erfas­ sung von biometrischen Daten eine Einrichtung zur Erfassung eines Fingerabdruckes und/oder der Netzhautstruktur und/oder der Gesichtsmerkmale und/oder der Stimme und/oder Sprache eines jeweiligen Systembenutzers aufweist.
4. System nach einem der Ansprüche 1 bis 3, gekennzeichnet durch eine Einrichtung zur Verarbeitung der erfaßten biometrischen Daten und Umrechnung in ein oder mehrere repräsentative(s) Datenmerkmal(e), anhand dessen/derer eine Wiedererkennung des Sy­ stembenutzers bei der Kontrolle möglich ist.
5. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Ein­ richtung zur Speicherung von Daten eine Einrichtung zur Verschlüsselung der Personen und/oder Identifikationsmediumdaten und zur Erzeugung eines identifikationsmedium­ spezifischen Schlüssels aufweist.
6. System nach Anspruch 5, dadurch gekennzeichnet, daß die Verschlüsselungseinrichtung ein lokal vorgesehenes Sicherheitsmodul ist oder sich in einem Hintergrundsystem befin­ det, das über eine On-Line-Datenverbindung verbunden ist.
7. System nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die Einrichtung zur Spei­ cherung der Daten eine Einrichtung zur elektrischen Personalisierung der verschlüsselten Daten in dem Identifikationsmedium und/oder eine Einrichtung zum Aufbringen der Per­ sonendaten und gegebenenfalls eines Fotos sowie der Unterschrift des jeweiligen System­ benutzers auf das Identifikationsmedium aufweist.
8. System nach Anspruch 7, dadurch gekennzeichnet, daß die Einrichtung zur Speicherung der Daten eine Einrichtung zum Überziehen des Identifikationsmediums mit einer Lami­ natfolie aufweist.
9. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Identifikationsmedien Smart Cards (28) sind.
10. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß in der Durchgangsschleuse (10) mindestens eine Videokamera (24) vorgesehen ist.
11. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Ein­ richtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten eine Einrich­ tung zum Berechnen des identifikationsmediumspezifischen Schlüssels aus den verschlüs­ selten Identifikationsmediumdaten und Verifikation desselben aufweist.
12. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Ein­ richtung zum Lesen der auf dem Identifikationsmedium gespeicherten Daten eine Ein­ richtung zum Entschlüsseln der verschlüsselten Personendaten und Verifikation derselben aufweist.
13. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrich­ tung zur Erzeugung und Verteilung von Schlüsseln für die Datenverschlüsselungen und Überwachung des Systembetriebes.
14. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrich­ tung zur Verwaltung und Überwachung insbesondere der Lebensdauer aller an Systembe­ nutzer ausgegebener Identifikationsmedien.
15. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrich­ tung zur kryptographischen Verschlüsselung von zwischen Einrichtungen des Systems und/oder zwischen aus dem System und externen Einrichtungen übertragenen Daten.
16. Verfahren zur automatisierten Kontrolle des Passierens einer Grenze, das die folgenden Schritte umfaßt:
  • - Erfassen von Personendaten von Systembenutzern,
  • - Erfassen von biometrischen Daten der Systembenutzer,
  • - Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank und Vornahme einer Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
  • - Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Sy­ stembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikati­ onsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Er­ gebnis der Fahndungsabfrage negativ ist,
  • - Vereinzelung der einen Grenzübertrittsversuch unternehmenden Systembenutzer vor ei­ ner Durchgangsschleuse mit einem Eingang und einem Ausgang, wobei der Eingang und der Ausgang in Grundstellung geschlossen sind,
  • - Lesen der auf dem Identifikationsmedium gespeicherten Daten,
  • - Überprüfung der Echtheit des jeweiligen Identifikationsmediums,
  • - Überprüfen des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identifif­ kationsmedium,
  • - Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identi­ fikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikations­ medium festgestellt werden,
  • - Erfassen von biometrischen Daten eines in die Durchgangsschleuse hineingelassenen Systembenutzers,
  • - Vergleichen der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
  • - Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
  • - Weitergeben der Personendaten an die Fahndungsdatenbank und Abfragen, ob der Sy­ stembenutzer auf einer Fahndungsliste steht, und
  • - Öffnen des Ausgangs der Druchgangsschleuse, wenn das Ergebnis der Fahndungsabfra­ ge negativ ist, bzw. Auslösen eine Alarmsignals, wenn das Ergebnis der Fahndungsabfra­ ge positiv ist.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß die Personendaten der Sy­ stembenutzer durch automatisches Einlesen erfaßt werden.
18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, daß der Fingerabdruck und/oder die Netzhautstruktur und/oder die Gesichtsmerkmale und/oder die Stimme und/oder die Sprache eines jeweiligen Systembenutzers erfaßt wird/werden.
19. Verfahren nach einem der Ansprüche 16 bis 18, dadurch gekennzeichnet, daß die erfaßten biometrischen Daten verarbeitet und in einer oder mehrere repräsentative(s) Datenmerk­ mal(e) umgerechnet werden, anhand dessen/derer eine Wiedererkennung des Systembe­ nutzers bei der Kontrolle möglich ist.
20. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, daß die Perso­ nen- und/oder Identifikationsmediumdaten verschlüsselt werden und ein identifikations­ mediumspezifischer Schlüssel erzeugt wird.
21. Verfahren nach einem der Ansprüche 16 bis 20, dadurch gekennzeichnet, daß die ver­ schlüsselten Daten in dem Identifikationsmedium elektrisch personalisiert und/oder die Personendaten und gegebenenfalls ein Foto sowie Unterschriften des jeweiligen System­ benutzers auf das Identifikationsmedium aufgebracht werden.
22. Verfahren nach einem der Ansprüche 16 bis 21, dadurch gekennzeichnet, daß die Identifi­ kationsmedien mit einer Laminatfolie überzogen werden.
23. Verfahren nach einem der Ansprüche 16 bis 22, dadurch gekennzeichnet, daß als Identifi­ kationsmedium Smart Cards verwendet werden.
24. Verfahren nach einem der Ansprüche 16 bis 23, dadurch gekennzeichnet, daß die Durch­ gangsschleuse mittels einer Videokamera überwacht wird.
25. Verfahren nach einem der Ansprüche 16 bis 24, dadurch gekennzeichnet, daß aus den verschlüsselten Identifikationsmediumdaten ein identifikationsmediumspezifischer Schlüssel berechnet und verifiziert wird.
26. Verfahren nach einem der Ansprüche 16 bis 25, dadurch gekennzeichnet, daß die ver­ schlüsselten Personendaten entschlüsselt und verifiziert werden.
DE19961403A 1999-11-19 1999-12-20 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze Expired - Lifetime DE19961403C2 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
DE19961403A DE19961403C2 (de) 1999-11-19 1999-12-20 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
CA2392264A CA2392264C (en) 1999-11-19 2000-11-14 System and method for automatically controlling the crossing of a border
AU25025/01A AU778154B2 (en) 1999-11-19 2000-11-14 System and method for automatically controlling the crossing of a border
US10/130,377 US7272721B1 (en) 1999-11-19 2000-11-14 System and method for automated border-crossing checks
PCT/DE2000/004004 WO2001039133A1 (de) 1999-11-19 2000-11-14 System und verfahren zur automatisierten kontrolle des passierens einer grenze
JP2001540724A JP4383704B2 (ja) 1999-11-19 2000-11-14 国境の通過の自動検問のためのシステムおよび方法
CNB008173516A CN1158634C (zh) 1999-11-19 2000-11-14 用于自动过界检查的系统和方法
HK03105820A HK1053528A1 (en) 1999-11-19 2003-08-14 System and method for automatically controlling the crossing of a border.
US11/900,677 US7809951B2 (en) 1999-11-19 2007-09-13 System and method for automated border-crossing checks

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19957283 1999-11-19
DE19961403A DE19961403C2 (de) 1999-11-19 1999-12-20 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze

Publications (2)

Publication Number Publication Date
DE19961403A1 DE19961403A1 (de) 2001-08-02
DE19961403C2 true DE19961403C2 (de) 2002-09-19

Family

ID=7930650

Family Applications (3)

Application Number Title Priority Date Filing Date
DE19961403A Expired - Lifetime DE19961403C2 (de) 1999-11-19 1999-12-20 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
DE29922252U Expired - Lifetime DE29922252U1 (de) 1999-11-19 1999-12-20 System zur automatischen Kontrolle des Passierens einer Grenze
DE59913780T Expired - Lifetime DE59913780D1 (de) 1999-11-19 1999-12-21 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze

Family Applications After (2)

Application Number Title Priority Date Filing Date
DE29922252U Expired - Lifetime DE29922252U1 (de) 1999-11-19 1999-12-20 System zur automatischen Kontrolle des Passierens einer Grenze
DE59913780T Expired - Lifetime DE59913780D1 (de) 1999-11-19 1999-12-21 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze

Country Status (3)

Country Link
EP (1) EP1102216B1 (de)
AT (1) ATE336766T1 (de)
DE (3) DE19961403C2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005038092A1 (de) * 2005-08-11 2007-02-15 Giesecke & Devrient Gmbh Verfahren und Einrichtung zur Prüfung eines elektronischen Passes

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3938303B2 (ja) * 2001-12-07 2007-06-27 株式会社日立製作所 出国審査系システム、出国審査方法、入国審査系システム、及び入国審査方法
AU2002227360A1 (en) 2001-12-13 2003-06-30 Unisys Corporation Split interface handling of border crossing data
DE10163123A1 (de) * 2001-12-20 2003-07-03 Transas S R O Vorrichtung und Verfahren für Zugangskontrollen mit Identitätsüberprüfung und gleichzeitiger Überprüfung auf sicherheitsrelevante Gegenstände
EP1347420A3 (de) * 2002-03-22 2005-02-16 VSS Veranstaltungs Sicherheits-Systeme GmbH Biometrische Zugangskontrolleinrichtung
US20040078335A1 (en) * 2002-08-29 2004-04-22 Calvesio Raymond V. Transportation security system and method that supports international travel
AU2003293125A1 (en) * 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
FR2867881B1 (fr) 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
FR2879050A1 (fr) * 2004-12-08 2006-06-09 Roger Felix Sejalon Procede permettant de connaitre: l'origine d'un produit ou objet, de verifier l'authenticite de documents officiels, d'interdire un achat ou retrait sur compte bancaire insuffisamment approvisionne
WO2007068004A1 (en) * 2005-12-08 2007-06-14 Peter Charles Booth-Jones A security system for permitting or inhibiting access to a secure area
DE102008016516B3 (de) * 2008-01-24 2009-05-20 Kaba Gallenschütz GmbH Zugangskontrollvorrichtung
DE202009010858U1 (de) 2009-08-11 2009-10-22 Magnetic Autocontrol Gmbh Durchgangs- oder Durchfahrtssperranlage mit einer Vorrichtung zur Überwachung des Durchgangs- oder Durchfahrtsbereichs
DE202018101858U1 (de) 2018-04-05 2018-04-17 Bemm Gmbh Heizkörper

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5585614A (en) * 1989-05-18 1996-12-17 Dr. Vonballmoos Ag Access control device
DE69228388T2 (de) * 1991-09-20 1999-08-26 Eriksson Verfahren und vorrichtung zur überwachung, insbesondere zur zeit- und/oder durchgangskontrolle
DE19818229A1 (de) * 1998-04-24 1999-10-28 Hauke Rudolf System zur berührungslosen Hand- und Fingerlinien-Erkennung

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4586441A (en) * 1982-06-08 1986-05-06 Related Energy & Security Systems, Inc. Security system for selectively allowing passage from a non-secure region to a secure region
DE3623792C1 (de) * 1986-07-15 1987-12-10 Messerschmitt Boelkow Blohm Einrichtung zur Feststellung der Personenzahl und Richtung innerhalb eines zu ueberwachenden Raumes oder einer Durchgangsschleuse
JP2793658B2 (ja) * 1988-12-28 1998-09-03 沖電気工業株式会社 自動審査装置
US4993068A (en) * 1989-11-27 1991-02-12 Motorola, Inc. Unforgeable personal identification system
US5400722A (en) * 1992-11-25 1995-03-28 American Engineering Corporation Security module
US5815252A (en) * 1995-09-05 1998-09-29 Canon Kabushiki Kaisha Biometric identification process and system utilizing multiple parameters scans for reduction of false negatives
US6317544B1 (en) * 1997-09-25 2001-11-13 Raytheon Company Distributed mobile biometric identification system with a centralized server and mobile workstations

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5585614A (en) * 1989-05-18 1996-12-17 Dr. Vonballmoos Ag Access control device
DE69228388T2 (de) * 1991-09-20 1999-08-26 Eriksson Verfahren und vorrichtung zur überwachung, insbesondere zur zeit- und/oder durchgangskontrolle
DE19818229A1 (de) * 1998-04-24 1999-10-28 Hauke Rudolf System zur berührungslosen Hand- und Fingerlinien-Erkennung

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005038092A1 (de) * 2005-08-11 2007-02-15 Giesecke & Devrient Gmbh Verfahren und Einrichtung zur Prüfung eines elektronischen Passes
US8857717B2 (en) 2005-08-11 2014-10-14 Giesecke & Devrient Gmbh Method and device for checking an electronic passport

Also Published As

Publication number Publication date
DE59913780D1 (de) 2006-09-28
EP1102216B1 (de) 2006-08-16
DE29922252U1 (de) 2000-03-23
DE19961403A1 (de) 2001-08-02
EP1102216A2 (de) 2001-05-23
EP1102216A3 (de) 2001-05-30
ATE336766T1 (de) 2006-09-15

Similar Documents

Publication Publication Date Title
WO2001039133A1 (de) System und verfahren zur automatisierten kontrolle des passierens einer grenze
DE69605627T2 (de) Anonymes Informationsverwaltungssystem für Statistiken, insbesondere für elektronische Wahlverfahren oder periodische Verbrauchsstücklisten
DE60218057T2 (de) Sichere handhabung von gespeicherten wertdaten objekten
EP0063794B1 (de) Gerät und Verfahren zur Identitätsüberprüfung
EP0842500B1 (de) Sperrvorrichtung für zeitlich begrenzt zu nutzende nutzobjekte
DE19961403C2 (de) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
WO2009049918A1 (de) Personenkontrollsystem und verfahren zum durchführen einer personenkontrolle
DE2949351A1 (de) Verfahren und vorrichtung zur absicherung von dokumenten sowie dabei verwendetes dokument
EP3182317A1 (de) Vorrichtung und verfahren für die personalisierte bereitstellung eines schlüssels
WO2020074413A1 (de) Besucherverwaltungssystem
EP1686541A2 (de) Identifizierungssystem
EP0724343B1 (de) Verfahren zum Nachweis einer Manipulation an zu übertragenen Daten
DE69405811T2 (de) Vorrichtung zum Überwachen und Steuern eines differenziellen Zutritts verzehen mit mindestens zwei Abteilen in einem Innenraum
EP2996299B1 (de) Verfahren und Anordnung zur Autorisierung einer Aktion an einem Selbstbedienungssystem
DE19718547A1 (de) System zum gesicherten Lesen und Bearbeiten von Daten auf intelligenten Datenträgern
EP2364491A1 (de) Identifikationsmerkmal
EP3252697B1 (de) Validatorvorrichtung für ein ticketsystem
WO1999026182A2 (de) Authentifizierungssystem für elektronische dateien
DE10134336A1 (de) Ticket System
EP4300384A1 (de) Hintergrundsystem für ein personentransportsystem
WO2002063824A1 (de) Telekommunikationsprotokoll, -system und -vorrichtungen zur anonymen und authentischen abwicklung einer elektronischen wahl
DE102007051398A1 (de) Verfahren zur auf einer PIN basierenden Sicherung eines tragbaren Datenträgers gegen unberechtigte Nutzung
DE202015100748U1 (de) Vorrichtung für die Kontrolle von Fahrzeugen, insbesondere Kraftfahrzeugen
WO2022069065A1 (de) Verfahren und system zum gesicherten transport von gepäckstücken

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: ACCENTURE GMBH, 65843 SULZBACH, DE

D2 Grant after examination
8327 Change in the person/name/address of the patent owner

Owner name: ACCENTURE GMBH, 61476 KRONBERG, DE

8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: ACCENTURE GLOBAL SERVICES GMBH, SCHAFFHAUSEN, CH

8328 Change in the person/name/address of the agent

Representative=s name: MUELLER-BORE & PARTNER, PATENTANWAELTE, EUROPEAN P

R081 Change of applicant/patentee

Owner name: ACCENTURE GLOBAL SERVICES LIMITED, IE

Free format text: FORMER OWNER: ACCENTURE GLOBAL SERVICES GMBH, SCHAFFHAUSEN, CH

Effective date: 20110518

R071 Expiry of right