-
STAND DER TECHNIK
-
1. Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft allgemein Sicherheitssysteme. Im
Besonderen betrifft sie eine verbesserte Sicherheitsvorrichtung,
die auf biometrischen Eigenschaften bzw. Merkmalen des Benutzers basiert.
-
2. Beschreibung des Stands der Technik
-
Verbesserungen
in Bezug auf die Miniaturisierung von Schaltungen, die Funktechnologie
und die Akku- bzw. Batterieleistung haben zu dem weit verbreiteten
Einsatz portabler Vorrichtungen deutlich größerer verteilter Systeme geführt. Ein
Beispiel für einen
derartigen Einsatz sind Mobiltelefone, die es Teilnehmern ermöglichen,
auf die Ressourcen von nationalen und globalen Telefonsystemen mit
einer Vorrichtung bzw. einem Gerät
zuzugreifen, das sie mit sich führen.
Ein normales Mobiltelefon ermöglicht den
Zugriff auf diese Ressourcen für
jede Person, die sich im Besitz des Mobiltelefons befindet. Bei
größeren Vorrichtungen
bzw. Geräten,
wie etwa Desktop-Computern, die sich in sicheren Bereichen befinden,
ist der Besitz keine Basis für
die Sicherheit. Bei kleinen, portablen Geräten jedoch, die leicht verloren gehen
oder gestohlen werden können,
ist diese Stufe der Sicherheit unzureichend.
-
Eine
herkömmliche
Methode zur Behandlung dieses Problems beinhaltet den Einsatz von Kennwörtern. Die
Sicherheit auf der Basis von Kennwörtern basiert bzw. beruht jedoch
vollständig
auf dem Schutz der Kennwörter.
Kennwörter
können
von unbefugten Personen auf verschiedene Art und Weise unerlaubt
erhalten bzw. in Erfahrung gebracht werden, wie zum Beispiel durch
Beobachtung einer Person bei der Eingabe des Kennwortes, durch elektronische Überwachung
der Kennworteingabe oder durch Abfangen eines neuen Kennworts, wenn
dieses dem vorgesehenen Benutzer bzw. Anwender zugestellt wird.
Da der Benutzer sich weiterhin in Besitz des Kennwortes befindet,
kann es passieren, dass der Sicherheitsverstoß erst eine gewisse Zeit nach der
unbefugten Benutzung durch eine unbefugte Person erkannt wird. Ein
weiteres Problem ist es, dass die rechtmäßigen Benutzer teilweise ihre
Kennwörter vergessen,
was zu Frustration, Unannehmlichkeiten und der Unternehmung von
Schritten führen
kann, die dazu dienen, dieses Problem zu vermeiden, und zwar wiederum
auf eine Art und Weise, welche die Sicherheit des Kennworts gefährden kann.
-
Ein
weiterer Ansatz wird durch das Subscriber Interface Module (SIM
bzw. SIM-Modul) dargestellt, das ein Kennwort mit einem Element
kombiniert, wie zum Beispiel einer maschinenlesbaren Kunststoffkarte,
die sowohl sichere Daten wie auch Verarbeitungsfähigkeit aufweist. Da sowohl
die Karte wie auch das Kennwort für einen Zugriff benötigt werden,
stellt dies eine höhere
Sicherheitsstufe gegenüber
einem Ansatz mit lediglich einem Kennwort bereit, wobei aber auch
dieser Ansatz unter zahlreichen der gleichen Probleme leidet.
-
Zu
den Problemen in Verbindung mit diesen herkömmlichen Ansätzen zählt es,
dass die Kennwörter
gestohlen oder vergessen werden können, wobei auch die Artefakte
bzw. Elemente verloren gehen, gestohlen, kopiert oder gefälscht werden
können.
Ein verbesserter Ansatz zur Steuerung bzw. Regelung des Zugriffs
verwendet biometrische Daten zum Identifizieren eines bestimmten
Benutzers, ohne dass Kennwörter
oder Artefakte bzw. Elemente erforderlich sind. Biometrische Daten
sind Daten, die ein einzigartiges physikalisches bzw. physisches
Merkmal des Benutzers beschreiben und die direkt von der Person
des Benutzers zu dem Zeitpunkt gelesen werden, zu dem der Zugriff
angefordert wird. Einige der bekannten biometrischen Ansätze identifizieren Benutzer über Fingerabdrücke, Netzhautabtastungen
und Sprachabdrücke.
Jedes Verfahren besitzt eigene Stärken und Schwachen, wobei sie
jedoch alle auf einzigartigen bzw. eindeutigen physischen Eigenschaften
des Benutzers basieren, die sich nur schwer duplizieren lassen und
die es nicht erfordern bzw. voraussetzen, dass sich der Benutzer
etwas merken muss. Aber auch Sicherheitssysteme auf der Basis der
Biometrie haben eine Schwache. Wenn die biometrischen Daten gewonnen
werden, so ist es möglich,
dass der Fingerabdruck, die Netzhautabtastung, die Sprache, etc.
gefälscht
oder dupliziert und in unerlaubter Weise dazu verwendet werden,
Zugang zu bzw. Zugriff auf das System zu erlangen.
-
Die
Abbildung aus 1 zeigt ein herkömmliches
biometrisches Sicherheitssystem 1. Ein Host-System 11 umfasst
einen Host-Prozessor 12, einen Speicher 13, eine
Lesevorrichtungs-Schnittstelle 14 mit
einer biometrischen Lesevorrichtung 16 und eine universelle
Schnittstelle 18 zu anderen Bestandteilen des Systems.
Der Speicher 13 kann verschiedenartige Speicher aufweisen,
wie etwa einen Direktzugriffsspeicher (RAM), einen Nur-Lesespeicher
(ROM) und einen Flash-Speicher. Der Flash-Speicher wird für gewöhnlich eingesetzt,
um gültige
biometrische Daten zu zugelassenen Benutzern zu speichern, und er
kann aktualisiert werden, wenn Benutzer hinzugefügt, entfernt bzw. gelöscht werden
oder wenn deren Daten modifiziert werden müssen. Die biometrischen Daten
können
in Rohform gegeben sein, wie etwa ein digitalisiertes Bild eines
Fingerabdrucks, wobei jedoch eine reduzierte Form wahrscheinlicher
ist, welche eine codierte „Abbildung" (Map) des Bilds
darstellt, das die passenden Punkte des Bilds in einem vordefinierten
digitalen Format definiert. Zu dem Zeitpunkt, zu dem der Zugriff
angefordert wird, verwendet bzw. erfasst die biometrische Lesevorrichtung 16 die
entsprechenden biometrischen Eingaben von dem Benutzer. Zum Beispiel
kann es sich bei der Lesevorrichtung 16 um eine Fingerabdruck-Lesevorrichtung,
einen Netzhaut-Scanner oder eine Sprachabdruck-Identifikationsvorrichtung
handeln. Die biometrische Lesevorrichtung 16 wandelt die
rohen biometrischen Daten in eine digitalisierte Abbildung um und
sendet die Abbildung über
die Lesevorrichtungs-Schnittstelle 14 an den Host-Prozessor 12,
der sie mit der Referenzabbildung in dem Flash-Speicher vergleicht.
Wenn eine Übereinstimmung
vorliegt, leitet der Prozessor 12 den Zugriff auf die angeforderten
Ressourcen ein, für gewöhnlich über die
universelle Schnittstelle 18. Dieses Design bzw. diese
Konstruktion weist mindestens drei Hauptschwächen auf. 1) Der Übermittlungsabschnitt
zwischen der Lesevorrichtung 16 und der Schnittstelle 14 kann
die biometrische Abbildung einer Überwachung und einem Kopiervorgang
aussetzen. Die unerlaubter Weise kopierte Abbildung kann später direkt
der Lesevorrichtungs-Schnittstelle 14 zugeführt werden,
ohne dass es erforderlich ist, das tatsächliche biometrische Bild oder
die biometrischen Daten zu duplizieren, wodurch das System 11 dahingehend
getäuscht
wird, dass es annimmt, es lese gültige
Daten von einem befugten Benutzer. 2) Der Host-Prozessor 12 bearbeitet
für gewöhnlich Funktionen,
die nicht sicher sind, wie etwa operationelle Funktionen eines Mobiltelefons.
Der Host-Prozessor 12 ist somit anfällig in Bezug auf Hacking und
andere invasive missbräuchliche
Eingriffe. Er kann fälschlicher
Weise angewiesen werden, sichere Benutzerdaten über die universelle Schnittstelle 18 bereitzustellen
oder fehlerhafte Benutzerdaten in dem Flash-Speicher zu speichern.
Jede dieser Handlungen bzw. Maßnahmen
kann es einer unbefugten Person ermöglichen bzw. gestatten, das
System später auf
normale Weise über
die Lesevorrichtung 18 zu verwenden. 3) Auf den Flash-Speicher
(und somit auf sichere Daten) kann von außerhalb des Systems 11 über einen
gemeinsamen Bus 15 zugegriffen werden, der den Prozessor 12,
den Speicher 13 und die Schnittstellen 14, 18 miteinander
verbindet.
-
Diese
Schwächen
setzen das System ferner zerstörerischen
missbräuchlichen
Angriffen aus, deren Ziel es ist, normale Operationen zu stören anstatt eine
unbefugte Nutzung dieser Operationen zu erwirken.
-
Das
U.S. Patent US-A-6.070.796 offenbart eine
Zeigevorrichtung, die einen Eingang für persönliche Daten aufweist, so dass
eingegebene Daten mit persönlichen
Daten verglichen werden können,
die auf einer Chipkarte gespeichert sind, die ein Benutzer in die
Zeigevorrichtung einführen
kann. Auf diese Weise erfolgt eine persönliche Verifizierung in der Zeigevorrichtung,
und ein Hacker, der in einen Computer eindringt, mit dem die Zeigevorrichtung
verbunden ist, kann keinen Zugriff auf die persönlichen Daten erlangen, ohne
die Zeigevorrichtung zu adressieren.
-
Vorgesehen
ist gemäß einem
ersten Aspekt der vorliegenden Erfindung eine Vorrichtung gemäß dem gegenständlichen
Anspruch 1.
-
Vorgesehen
ist gemäß einem
zweiten Aspekt der vorliegenden Erfindung ein System gemäß dem gegenständlichen
Anspruch 5.
-
Weitere
Ausführungsbeispiele
der Erfindung sind in den Unteransprüchen enthalten.
-
KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
Es
zeigen:
-
1 eine
Vorrichtung gemäß dem Stand der
Technik;
-
2 eine
Vorrichtung gemäß der vorliegenden
Erfindung;
-
3 eine
detailliertere Ansicht der Vorrichtung aus 2; und
-
4 ein
System gemäß der vorliegenden Erfindung.
-
GENAUE BESCHREIBUNG DER ERFINDUNG
-
Die
Erfindung stellt eine unabhängige
bzw. eigenständige
Sicherheitsschaltung bereit, die sichere Daten in einem Speicher
verwaltet, auf die von außerhalb
der Sicherheitsschaltung nicht zugegriffen werden kann, die jedoch
verwendet werden können, um
Daten zu verifizieren bzw. zu bestätigen, die von außerhalb
der Sicherheitsschaltung bereitgestellt werden. Die Abbildung aus 2 zeigt
ein Ausführungsbeispiel
eines Systems 2 gemäß der vorliegenden
Erfindung. Der Host-Prozessor 20 kann einen nicht sicheren
Prozessor darstellen, wie etwa den Prozessor in einem Mobiltelefon,
der die Mobilfunkoperationen insgesamt steuert. Die sichere Schaltung 21 ist
eine einzelne integrierte Schaltung, die eine unabhängige Sicherheitsumgebung
in dem System 2 bereitstellt, und auf die von außerhalb
ohne Genehmigung nicht zugegriffen werden kann. Jede Datenübertragung
in die Schaltung 21 oder aus der Schaltung 21 kann
von der Schaltung 21 gesteuert werden. Die Schaltung 21 weist
ihren eigenen integrierten bzw. eingebetteten Prozessor 22 auf,
der so genannt wird, da er in die äußeren Begrenzungen der Schaltung 21 integriert
bzw. eingebettet ist. Der Prozessor 22 steuert ferner eine
Host-Schnittstelle 28 zu dem Host-Prozessor 20 und
eine Lesevorrichtungs-Schnittstelle 24 zu der biometrischen
Lesevorrichtung 23. Der eingebettete Prozessor 22 kann über einen
internen Bus 19 mit den Speichern 25, 26 und 27 arbeiten.
Der Programmspeicher 26 kann einen programmierbaren Nur-Lesespeicher
(PROM) oder einen anderen nichtflüchtigen Speicher darstellen,
der die Befehle für
den Betrieb des Prozessors 22 aufweist. Der RAM 25 kann
als Arbeitsraum verwendet werden, während sich der Prozessor im
Betrieb befindet, wobei er jedoch nicht zum Speichern permanenter
Daten verwendet werden sollte, da der RAM 25 seinen Inhalt
verliert, wenn sich der Akku der Vorrichtung 2 entlädt oder
dessen Verbindung getrennt wird. Der Flash-Speicher 27 kann
für Daten verwendet
werden, die sich periodisch verändern,
die jedoch einem Stromausfall standhalten müssen. In dem Flash-Speicher 27 können benutzerspezifische Daten
gespeichert werden, wie zum Beispiel biometrische Referenzdaten
für jeden
Benutzer, der befugt ist, das System zu verwenden. Zwar sind der
RAM 25, der Programmspeicher 26 und der Flash-Speicher 27 als
drei unterschiedliche Speicherarten dargestellt, wobei jedoch zwei
oder mehr dieser Speicher in einem einzigen Speichertyp konsolidiert
werden können.
Zum Beispiel kann der Flash-Speicher an Stelle des RAM 25 und/oder
des Programmspeichers 26 eingesetzt werden. In der vorliegenden
Offenbarung wird zwar einheitlich der Einsatz eines Flash-Speichers
beschrieben, wobei aber auch andersartige beschreibbare nichtflüchtige Speicher
eingesetzt werden können,
ohne dabei vom Umfang der vorliegenden Erfindung abzuweichen.
-
Die
Haupt-Flash-Anordnung 29 kann einen separaten beschreibbaren
nichtflüchtigen
Speicher bereitstellen, der für
nicht sichere Daten bzw. unsichere Daten eingesetzt werden kann,
und wobei darauf durch den Host-Prozessor 20 über die Flash-Host-Schnittstelle 30 zugegriffen
werden kann. In der Abbildung nutzen die Host-Schnittstelle 28 und die
Flash-Host-Schnittstelle 30 zwar
einen gemeinsamen Bus, wobei sie aber auch mit vollständig separaten
Verbindungen implementiert werden können. In einem Ausführungsbeispiel
kann die Haupt-Flash-Anordnung 29 funktional
von den Sicherheitsfunktionen in der integrierten Schaltung 21 getrennt
sein. In einem weiteren Ausführungsbeispiel kann
der eingebettete Prozessor 22 in der Lage sein, die ganze
oder einen Teil der Haupt-Flash-Anordnung 29 freizugeben,
wenn ein Benutzer authentifiziert wird, und wobei er die ganze oder
einen Teil der Haupt-Flash-Anordnung 29 unter
anderen Bedingungen deaktivieren kann.
-
Die
sichere Schaltung 21 ist eine einzelne integrierte Schaltung,
die eine sichere Begrenzung bereitstellt, welche die Sicherheitsfunktionen
umgeben, da auf den Ablauf dieser Funktionen nicht von außerhalb
der Schaltung 21 zugegriffen werden kann, und wobei die
darin enthaltenen sicheren Daten nicht gelesen oder geschrieben
werden können
außer
unter besonderen, beschränkten
Bedingungen, welche die Schaltung steuert. Damit das System nützlich ist, muss
allerdings eine bestimmte Art anfänglicher Benutzerinformationen
in die Schaltung 21 geschrieben werden. Zur Bereitstellung
eines Ausgangspunkts für die
Eingabe der Benutzerinformationen können in einem Ausführungsbeispiel
relevante Benutzerdaten anfänglich
unter geregelten Bedingungen in dem Flash-Speicher 27 gespeichert
werden, bevor die Vorrichtung 2 in Betrieb genommen wird.
Zum Beispiel kann dieses anfängliche
Setup eine biometrische Abbildung und Funktionalität für einen
Systemadministrator erzeugen, der danach als einziger in der Lage
ist, die Eingabe neuer Benutzerdaten zu autorisieren. Alternativ
kann der erste Benutzer, der biometrische Daten eingibt, automatisch
als Systemadministrator festgelegt werden. Verfahren zur Eingabe
anfänglicher
Benutzerinformationen in ein Sicherheitssystem sind im Fach allgemein
bekannt.
-
Nachdem
Benutzerdaten in das System eingegeben worden sind und ein potenzieller
Benutzer versucht, das System zu nutzen durch Eingabe seiner oder
ihrer biometrischen Daten über
die Lesevorrichtungs-Schnittstelle 24, kann die sichere
Schaltung 21 einfach eine Anzeige verifiziert/nicht verifiziert
(und möglicherweise
eine Anzeige der genehmigten Rechte) für diesen Benutzer über die
Schnittstelle 28 an den Host 20 bereitstellen.
Die gespeicherten Referenzdaten für den Benutzer sind somit nicht
einsehbar und können
nicht von einer Vorrichtung außerhalb
der Schaltung 21 aus der Schaltung 21 gelesen
werden.
-
Dies
weist erhebliche Vorteile gegenüber dem
dem Stand der Technik entsprechenden System aus 1 auf.
In der Abbildung aus 1 wird eine gewisse Form geheimer
bzw. vertraulicher Daten, wie etwa eine Fingerabdruckabbildung,
in dem Flash-Speicher gespeichert, auf den über die Schnittstelle 18 durch
andere Vorrichtungen zugegriffen werden kann. Darüber hinaus
ist der Host-Prozessor 12 nicht sicher und kann missbraucht
werden. Er kann angewiesen werden, die geheimen bzw. vertraulichen
Daten über
die Schnittstelle 18 externen Vorrichtungen auszusetzen,
und er kann angewiesen werden, eine gefälschte Benutzerdatei in dem Flash-Speicher
zu speichern. Wenn auf die Steuerschaltungen des Flash-Speichers über den
gemeinsam genutzten Bus zugegriffen werden kann, können gefälschte Daten
direkt in den Flash-Speicher geschrieben werden, ohne dass der Host-Prozessor 12 davon
Kenntnis hat oder daran beteiligt ist.
-
Zum
Vergleich werden in dem System aus der Abbildung aus 2 die
sicheren Daten in dem versteckten Flash-Speicher 27 gespeichert,
der keinen Bus mit einer externen Schnittstelle gemeinsam nutzt
und somit von jeder externen Vorrichtung gelesen werden kann. Darüber hinaus
kann der eingebettete Prozessor 22 vollständig für die Bereitstellung der
Sicherheitsfunktionen vorgesehen sein, die von der Sicherheitsschaltung 21 ausgeführt werden.
Der eingebettete Prozessor 22 kann somit durch einen nicht
modifizierbaren Code gesteuert werden, der nicht anfällig ist
für Hacking-Versuche
oder andere missbräuchliche
Eingriffsversuche in Bezug auf die Sicherheitsfunktionen. Alle nicht
sicheren bzw. unsicheren Funktionen können von dem Host-Prozessor 20 ausgeführt werden,
der auf keine Sicherheitsfunktionen oder sicheren Daten in der Sicherheitsschaltung 21 zugreifen
kann.
-
Neben
ihren anderen Funktionen stellt die Schaltung 21 im Wesentlichen
eine Speichervorrichtung mit Nur-Schreibzugriff bereit. Nachdem
die ursprünglichen
bzw. Ausgangsdaten unter geregelten bzw. gesteuerten Bedingungen
in die Schaltung 21 geschrieben worden sind, lässt es die
Schaltung 21 nicht zu, dass die Sicherheitsdaten ganz oder
teilweise durch externe Vorrichtungen ausgelesen werden, und sie
lässt ferner
keine weitere Eingabe von Sicherheitsdaten außer gesteuert durch die Schaltung 21 zu.
Da sich die ganze Schaltung 21 in einer einzigen integrierten
Schaltung befindet, gibt es keine zugänglichen Stifte bzw. Pins oder
Schnittstellenverbindungen, welche die sicheren Daten offen legen
oder es ermöglichen,
dass diese von einer externen Vorrichtung gelesen oder modifiziert
werden. Dies macht die Vorrichtung 2 praktisch unangreifbar
durch Sicherheitsangriffe. Dabei werden nicht nur die sicheren bzw.
geheimen Daten geschützt,
vielmehr können
entsprechende Prüfungen
der Eingabedaten es verhindern, dass zerstörerische Daten in die Schaltung 21 eingegeben
werden.
-
Die
Abbildung aus 3 zeigt eine nähere Ansicht
der Sicherheitsschaltung 21. Der eingebettete Prozessor 22 weist über einen
gemeinsamen internen Bus, auf en externe Vorrichtung nicht zugreifen können, Schnittstellenverbindungen
mit dem versteckten Flash-Speicher 27,
dem Programmspeicher 26, dem RAM 25, einem Zufallszahlengenerator (RNG) 38,
einem Multiplizierer/Akkumulator 39, einem Algorithmusbeschleuniger 37,
einem biometrischen Beschleuniger 41, einem monotonen Zähler 40 und
einem Überwachungszeitgeber 36 auf.
Die ersten drei Vorrichtungen entsprechen denen aus der Abbildung
aus 2; wobei die restlichen Vorrichtungen eingesetzt
werden, um sicherheitsrelevante Funktionen auszuführen, und
wobei diese nachstehend im Text näher beschrieben werden. Wie
dies ebenfalls in der Abbildung aus 2 dargestellt
ist, ist der Prozessor 22 mit der Lesevorrichtungs-Schnittstelle 24 und
der Host-Schnittstelle 28 gekoppelt.
-
Der
Grundtakt 31 stellt eine Taktquelle für die Schaltung 21 bereit.
Ein Ausführungsbeispiel
stellt einen Takt von 70 Megahertz (MHz) an den Prozessor 22 bereit.
Die Taktdivisionsschaltung 33 kann den Grundtakt auf eine
langsamere Rate reduzieren, zur Verwendung als eine Taktquelle für den Überwachungszeitgeber 36 und
andere Funktionen, wie etwa eine Alarmlogik 34. Der Taktdetektor 32 kann bestimmen,
ob der Grundtakt 31 aktiv ist und sich innerhalb der vorbestimmten
Frequenzgrenzwerte befindet, während
ein Unterspannungs-/Überspannungs-Detektor
(UV/OV-Detektor) 35 die Spannungswerte in der Schaltung 21 überwachen
kann. Die Alarmlogik 34 kann verschiedene Arten von Alarmsignalen
von anderen Bestandteilen bzw. Teilen der Schaltung 21 empfangen
und eine konsolidierte Alarmanzeige an den Prozessor 22 und
an andere Schaltungen bereitstellen.
-
Die
Funktionen der Schaltung 21 werden nachstehend näher beschrieben.
-
Prozessor
-
Der
eingebettete Prozessor 22 kann Befehle verarbeiten und
eine Flash-Speicherverwaltung ausführen. In einem Ausführungsbeispiel
verarbeitet der Prozessor 22 Standard-SIM-Befehle, so dass
bereits vorhandene ältere
Software in dem System eingesetzt werden kann. Der Prozessor 22 kann
eine gewisse mit einer Verschlüsselung
bzw. Kryptografie verbundene Verarbeitung ausführen, wie zum Beispiel einen
Hashing-Algorithmus oder einen kryptografischen Algorithmus. Der
Prozessor kann ausreichende Leistung besitzen, um diese Algorithmen
in Echtzeit auszuführen,
ohne dass sich dies auf die Leistung auswirkt. Der Prozessor 22 kann
auch eine Speichermanagementeinheit (MMU als englische Abkürzung von
Memory Management Unit) auweisen. Die MMU ist eine besonders wünschenswerte Komponente
in Sicherheitsstrukturen. Sie kann eine Trennung zwischen Code und
Daten durchsetzen und die Daten für einen Verarbeitungskontext
von Daten für
einen anderen Verarbeitungskontext trennen. Diese Trennung kann
eingesetzt werden, um sicherzustellen, dass keine privaten Daten
versehentlich mit nicht privaten Daten vermischt werden, die in der
Folge aus der sicheren Schaltung 21 nach außen übermittelt
werden.
-
Host-Schnittstelle
-
Die
Host-Schnittstelle 28 kann eine Schnittstelle mit dem Host-Prozessor 20 aus 2 bereitstellen.
Diese Schnittstelle kann verschiedenartig sein, wie etwa parallel
oder in Reihe geschaltet, mit einer hohen oder niedrigen Geschwindigkeit,
etc. Um die Kompatibilität
mit bestehenden Host-Vorrichtungen aufrecht zu erhalten, kann die
Host-Schnittstelle 28 die gerade in bestehenden Host-Systemen
verwendete Schnittstelle duplizieren.
-
In
einem Ausführungsbeispiel
können Übertragungen
zwischen dem Host-Prozessor 20 und dem eingebetteten Prozessor 22 mit
jeweils einem Byte (oder einer anderen Dateneinheit) gleichzeitig mit
entsprechenden Quittungssignalen (Handshaking-Signalen) ausgeführt werden.
In einem anderen Ausführungsbeispiel
kann ein First-in-First-out-Puffer (FIFO) in der Schnittstelle 28 eingesetzt
werden, um mehrere Bytes zu puffern, was es ermöglicht, dass einer der Prozessoren
oder beide Prozessoren effizient in einem Burst-Modus arbeiten.
-
Die
Host-Schnittstelle 28 kann auch andere Signale aufweisen,
wie etwa einen oder mehrere Stifte bzw. Pins, um Alarminformationen
bzw. Warninformationen von der Alarmlogik 34 zu übertragen
und um ein externes Taktsignal (nicht abgebildet) in der Schaltung 21 zu
empfangen. Der Betrieb der Host-Schnittstelle 28 kann gesteuert
durch den eingebetteten Prozessor 22 erfolgen, der in der
Lage sein kann, die Host-Schnittstelle 28 ganz oder teilweise
freizugeben bzw. zu sperren, um den Datenfluss und den Fluss anderer
Signale zu steuern, die z oder von dem Host-Prozessor 20 übertragen
werden.
-
Programmspeicher
-
Der
Programmspeicher 26 enthält die Anweisungen zur Ausführung der
Funktionen, die der Prozessor 22 ausführt. Zum Schutz der Sicherheit
des Systems kann der Programmspeicher 26 so gestaltet werden,
dass er nicht modifiziert werden kann, während er sich in dem System
befindet. Dabei kann es sich um einen permanenten Speicher handeln,
wie etwa einen PROM, wobei es sich aber auch um einen semipermanenten
Speicher wie etwa einen EPROM oder einen Flash-Speicher handeln
kann.
-
Flash-Speicher
-
Der
Flash-Speicher 27 wird zum Speichern von Daten eingesetzt,
die sich von Zeit zu Zeit ändern können, welche
jedoch einem Stromausfall standhalten müssen. Der Flash-Speicher eignet
sich gut für diesen
Zweck in portablen Vorrichtungen, da er auf Spannungen arbeitet,
die in portablen Vorrichtungen für
gewöhnlich
zur Verfügung
stehen. Der Flash-Speicher kann nur blockweise gelöscht werden,
so dass ausreichende Flash-Speichervolumina verwendet werden, um
sicherzustellen, dass bei einer Veränderung der Daten der ganze
Block, der die Änderung
aufweist, in einen leeren Block kopiert werden kann. Der alte Block
wird danach gelöscht,
um einen leeren Block für
die nächste Änderung
bereitzustellen.
-
Neben
der hierin vorgesehenen einheitlichen Beschreibung als Flash-Speicher
können
auch andersartige nichtflüchtige
Speicher verwendet werden, die in der Schaltung programmierbar sind,
und wobei auch diese dem Umfang der Erfindung entsprechen.
-
Die
Haupt-Flash-Anordnung 29 kann für nicht geheime bzw. nicht
sichere Informationen eingesetzt werden, und wobei ein Zugriff durch
den Host-Prozessor 20 über
die Flash-Host-Schnittstelle 30 möglich ist.
Die Haupt-Flash-Anordnung 29 und ihre Schnittstelle 30 sind
zwar funktional von dem Rest der Schaltung 21 getrennt,
jedoch kann deren Platzierung auf der gleichen integrierten Schaltung als
verstreckter Flash-Speicher 27 eine effiziente Nutzung
des vorhandenen Platzes auf der integrierten Schaltung ermöglichen
sowie die Anzahl der Chips insgesamt reduzieren und die Fertigungseffizienzen
verbessern. Die Schnittstelle 30 kann dem gleichen Schnittstellentyp
wie die Host-Schnittstelle 28 entsprechen und auch eine
Verbindung mit einem gemeinsamen Bus aufweisen, wie dies in 2 dargestellt
ist. Die Schnittstellen 28 und 30 können auch verschiedenartig
sein und/oder keine gemeinsamen Verbindungen in dem System aufweisen.
-
RAM-Speicher
-
Der
Direktzugriffsspeicher 25 wird als Arbeitsspeicher verwendet,
während
das System arbeitet. Da der Inhalt des RAM-Speichers nicht verloren geht,
wenn die Stromversorgung von den RAM-Schaltungen entfernt wird,
sollten die Daten in dem RAM keine Informationen enthalten, die
nicht verloren gehen dürfen
oder die nach Wiederaufnahme der Stromversorgung nicht wiederhergestellt
werden können.
-
Zufallszahlengenerator
-
Eine
Verschlüsselung
kann für
Kommunikationen zwischen der sicheren Schaltung 21 und
andern Vorrichtungen eingesetzt werden. Viele Arten der Verschlüsselung
erfordern die Erzeugung von echten Zufallszahlen. Ein Hardware-Generator,
wie etwa RNG 38 kann gegenüber Software-RNGs deutlich
bessere Leistungen liefern. Hardware-RNGs sind im Fach allgemein
bekannt. Bestimmte Standards bzw. Normen setzen es voraus, dass
die Zufälligkeit der
RNG-Ergebnisse in der Schaltung geprüft wird. Dies kann es erfordern,
dass ungefähr
2.500 Bit RAM-Speicher (oder alternativ Flash-Speicher) für die Analysefunktion
reserviert werden.
-
Multiplizierer/Akkumulator
-
Für die Ausführung der
Verschlüsselungsfunktion
kann der Multiplizierer/Akkumulator (M/A) 39 die schnelle
Potenzierung und Modulo-Reduzierung unterstützen und für diese Funktionen optimiert
werden. Er muss für
universelle Rechenoperationen nicht verwendet werden, die in dem
Prozessor 22 ausgeführt
werden können.
Das Design der M/A-Funktion steht in engem Verhältnis zu dem Design bzw. Aufbau
des eingebetteten Prozessors. Wenn es sich bei dem Prozessor 22 um
einen digitalen Signalprozessor (DSP handelt, so kann der M/A des
DSP eingesetzt werden, und wobei ein separater M/A 39 an
dem Bus überflüssig sein
kann.
-
Algorithmusbeschleuniger
-
Der
Algorithmusbeschleuniger 37 ist für den verwendeten kryptografischen
Algorithmus spezifisch. Diese dedizierte Hardware erfordert deutlich weniger
Verarbeitungszeit für
die Ausführung
des Algorithmus als ein Prozessor. Der Algorithmusbeschleuniger 37 unterscheidet
sich in Bezug auf Funktion und Implementierung von dem M/A 39.
Der M/A kann für
eine Beschleunigung der Multiplikations- und Potenzierungsoperationen
eingesetzt werden, die bei asymmetrischen Algorithmen zum Einsatz kommen,
wie etwa der Verschlüsselung
eines öffentlichen
Schlüssels.
Der Algorithmusbeschleuniger beschleunigt symmetrische Algorithmen,
die häufig
eingesetzt werden, um eine Nachricht vertraulich zu machen. Sowohl
die Erfordernis als auch das spezifische Design des M/A 39 und
des Beschleunigers 37 sind von dem bzw. den speziellen
kryptografischen Algorithmen abhängig,
die in der Schaltung zum Einsatz kommen. Der RNG 38, der
M/A 39 und der Algorithmusbeschleuniger 37 können auch
zur Authentifizierung und Verschlüsselung von Daten eingesetzt werden,
die in eine beliebige Richtung zwischen der Schaltung 21 und
der biometrischen Lesevorrichtung 23 verlaufen.
-
Biometrischer Beschleuniger
-
Die
Funktion des biometrischen Beschleunigers 41 kann der des
Algorithmusbeschleunigers 37 entsprechen, mit der Ausnahme,
dass es dessen Zweck ist, die Verarbeitung biometrischer Daten zu beschleunigen.
Die Umwandlung roher biometrischer Daten in eine biometrische Abbildung
kann eine intensive, sich wiederholende Verarbeitung umfassen, die
am Besten von einem Hardware-Beschleuniger ausgeführt wird,
der speziell für
die jeweils erforderliche Verarbeitung entwickelt worden ist.
-
Unterspannungs-/Überspannungsdetektierung
-
Der
Unterspannungs-/Überspannungs-Detektor
(UV/OV-Detektor) 35 kann das System vor einer Klasse der
kryptografischen Angriffe auf der Basis der Variierung der Spannungseingaben
schützen. Diese
Angriffe steuern bzw. treiben die Versorgungsspannung außerhalb
des festgelegten Betriebsbereichs für die Vorrichtung in dem Versuch,
es zu erzwingen, dass das angegriffene Subjekt fehlerhaft arbeitet,
so dass Klartext oder Schlüssel
freigegeben bzw. offen gelegt werden. Der UV/OV 35 kann
diese Spannungsbedingungen außerhalb
des Bereichs detektieren und den Prozessor 22 alarmieren,
der Maßnahmen
ergreifen kann, um den Betrieb anzuhalten, bevor geheime Informationen
offen gelegt werden können.
Dies schützt
das System ferner vor einem ungesteuerten Zusammenbruch bzw. Ausfall,
wenn die Stromversorgung schlechter wird oder ausfällt. In einem
Ausführungsbeispiel
werden Komparatoren eingesetzt, um die Eingangsspannung im Vergleich zu
Referenzspannungen zu überwachen.
Die Referenzspannungen werden unter Verwendung von Präzisionswiderständen als
Spannungsteiler zur Vorspannung eines Operationsverstärkers festgelegt.
-
Takt
-
Der
Grundtakt 31 kann eine Taktquelle für die Schaltung 21 bereitstellen.
In einem Ausführungsbeispiel
ist der Grundtakt 31 ein interner Takt, der mit 70 MHz
arbeitet. Er kann direkt dem Prozessor 22 als Prozessortakt
zugeführt
werden. Er kann auch durch eine Taktdivisionsschaltung 33 auf
niedrigere Frequenzen reduziert werden, um etwa den Überwachungszeitgeber 36 und
die Alarmlogik 34 zu betreiben. Der Einsatz eines internen
Takts an Stelle eines externen Takts verhindert es, dass ein dedizierter
Angreifer die Schaltung durch Steuerung des Takts manipuliert.
-
Taktdetektor
-
Der
Taktdetektor 32 kann die Frequenz des Taktsignals überwachen.
Wenn die Taktfrequenz außerhalb
des vorab festgelegten Bereichs liegt, kann ein Alarm erzeugt werden,
so dass der Prozessor die entsprechenden Maßnahmen ergreifen kann, um
herunterzufahren oder die privaten Informationen anderweitig zu
schützen.
Der Detektor ist primär
von Nutzen, wenn eine externe Taktquelle verwendet wird.
-
Überwachungszeitgeber
-
Der Überwachungszeitgeber 36 kann
die Programmausführung
und Datenübertragungen überwachen.
Das Programm kann so gestaltet sein, dass des den Zeitgeber vorab
mit vorbestimmten Werten lädt,
entweder in periodischen Intervallen oder zu Beginn einer bestimmten
Routine. Wenn das Programm wie erwartet arbeitet, wird der Zeitgeber immer
wieder geladen oder vor Zeitablauf angehalten. Wenn der Zeitgeber
abläuft,
zeigt er an, dass eine unerwartete Veränderung in der Programmausführung aufgetreten
ist, und es kann ein Alarm erzeugt werden. Der Überwachungszeitgeber 36 kann auch
zur Überwachung
von Ereignissen eingesetzt werden, die von externen Operationen
abhängig sind,
wie zum Beispiel Datenübertragungen
zwischen der Schaltung 21 und einer anderen Vorrichtung.
Da Überwachungszeitgeber
normalerweise die Zeit in Millisekunden anstatt in Mikrosekunden
oder Nanosekunden messen, kann der Grundtakt 31 auf einen
Takt mit einer niedrigeren Frequenz reduziert werden, um eine nützlichere
Zeitbasis für
den Überwachungszeitgeber
bereitzustellen.
-
Alarmlogik
-
Ein
Alarm- bzw. Warnsystem ist für
jedes Sicherheitsdesign wichtig, da es vor Fehlern bzw. Ausfällen oder
böswilligen
Angriffen schützt,
indem das System alarmiert wird, zusätzliche Schutzmaßnahmen
zu ergreifen. Die Alarmlogik 34 stellt einen Konsolidierungspunkt
für die
verschiedenen Alarme bereit, die erzeugt werden können, und
sendet entsprechende Signale an den Prozessor 22, so dass
dieser Maßnahmen
ergreifen kann, um einen Verlust privater Informationen oder sonstiger
Daten zu verhindern. Wie dies in der Abbildung aus 3 dargestellt ist,
können
Alarmsignale auch an die Host-Schnittstelle 28 gesendet
werden und von dort zu dem Host-System, und wobei sie auch direkt
an externe Vorrichtungen bereitgestellt werden können.
-
Zusätzlich zu
den in den vorstehenden Abschnitten beschriebenen Alarmen kann die
Alarmlogik 34 ferner die folgenden Alarme bzw. Warnungen verarbeiten:
- 1) Alarm für
ungültigen
Schlüssel – Dieser überwacht
die kryptografischen Schlüssel
und erzeugt einen Alarm, wenn ein fehlerhafter bzw. ungültiger Schlüssel auftritt.
Die spezielle Identifikation ungültiger
Schlüssel
ist für
jeden Algorithmus einzigartig.
- 2) Alarm für
manuelle Schlüsseleingabe – Dieser überwacht
die Gültigkeit
der manuell geladenen bzw. eingegebenen Schlüssel. Manuell geladene Schlüssel sollten
einen Fehlererkennungscode aufweisen, wie etwa einen Paritätscode,
oder sie sollten Eintragsduplikate verwenden, um die Richtigkeit
der eingegebenen Schlüssel
zu verifizieren.
- 3) Randomisierungsalarm – Dieser
prüft die
Ausgabe des RNG 38 und verifiziert, dass die Ausgabe statistisch
zufällig
ist. Verschiedene bekannte Tests können für diese Verifizierung eingesetzt werden,
sowohl beim Hochfahren bzw. Einschalten als auch an unterschiedlichen
Stellen des Betriebs.
- 4) Software-/Firmware-Alarm – Beim Hochfahren bzw. Einschalten
kann das Programm geprüft werden,
um zu verifizieren, dass es nicht korrumpiert ist. Dies kann durch
einen Fehlererkennungscode (EDC als englische Abkürzung von
Error Detection Code) oder durch eine auf den Programminhalt angewandte
digitale Signatur erfolgen.
- 5) Selbsttests – Verschiedene
Systemselbsttests können
beim Hochfahren bzw. Einschalten, nach einem Reset bzw. Neustart
oder nach Aufforderung durch den Host ausgeführt werden. Selbsttests können einen
Befehlssatztest, einen Flash-Speicher-Test, einen RAM-Test und einen Test
unbekannte Antwort mit dem M/A 39 aufweisen.
-
Monotoner Zähler
-
Der
monotone Zähler 40 ist
in der Abbildung mit dem internen Bus verbunden, kann aber auch
mit anderen Verbindungen implementiert werden, oder er kann in Software
oder Firmware implementiert werden. Ein monotoner Zähler ist
ein Zähler,
der nur heraufzählen
(oder nur herabzählen)
kann und der niemals eine Zahl wiederholt, was impliziert, dass
er nie zurückgesetzt
werden oder nie zu dessen ursprünglichen
bzw. anfänglichen
Zählwert
zurückspringen
darf. Der monotone Zähler 40 kann
eingesetzt werden, um eine eindeutige Identifikationszahl für jede Kommunikation
zu/von der Schaltung 21 bereitzustellen. Dies verhindert
es, dass eine Kommunikation aufgezeichnet und später wiedergegeben wird, um
eine legitime bzw. rechtmäßige Kommunikation
zu simulieren. Da der in Verbindung mit der aufgezeichneten Kommunikation
verwendete Zählerwert
nicht mehr mit dem aktuellen Zählerwert übereinstimmen
würde,
kann diese Art des Angriffs auf die Sicherheit detektiert werden,
sobald die aufgezeichnete Kommunikation zu der Schaltung 21 übertragen
wird. Zusätzliche
Sicherheit kann erreicht werden, indem der Zähler nicht-lineare Schritte
aufweisen kann, so dass der aktuelle Zählerwert nicht einfach dadurch
erraten werden kann, dass die Anzahl der seit der aufgezeichneten Übertragung
erfolgten Kommunikationen gezählt
wird.
-
Auf
die Sicherheitsinhalte der Schaltung 21 kann zwar allgemein
nicht von außerhalb
der Schaltung zugegriffen werden, noch können sie von außerhalb
der Schaltung modifiziert werden, jedoch kann das Programm der eingebetteten
CPU 22 in einem Ausführungsbeispiel
modifiziert oder ersetzt werden, indem ein neues Programm in die
sichere Schaltung 21 geladen wird. Das heruntergeladene
Programm kann durch die eingebettete CPU 22 authentifiziert werden,
bevor es akzeptiert und verwendet wird, um die Einführung eines
unbefugten Programms, das die Sicherheit des Systems kompromittiert,
zu verhindern. Das Herunterladen kann über die Host-Schnittstelle 28 oder über eine
separate Sicherheitsschnittstelle (nicht abgebildet) erfolgen.
-
In
einem Ausführungsbeispiel
kann einem befugten Benutzer der direkte Zugriff auf den Inhalt des
versteckten Flash-Speichers 27 gewährt werden, wenn dieser Benutzer
vorher authentifiziert worden ist.
-
Systembetrieb
-
Der
Flash-Speicher 27 kann eingesetzt werden, um die sichere
biometrische Abbildung zu speichern, die jeden befugten Benutzer
identifiziert. Immer wenn ein Benutzer den Zugriff auf das System anfordert,
können
seine oder ihre biometrischen Daten durch die biometrische Lesevorrichtung 23 gelesen
und über
die Lesevorrichtungs-Schnittstelle 24 bereitgestellt werden.
Die biometrischen Daten können
mit den gespeicherten biometrischen Daten aller befugten Benutzer
in dem System verglichen werden. Wenn eine Übereinstimmung festgestellt
wird, kann eine Nachricht „Benutzer
verifiziert" über die Host-Schnittstelle 28 an
den Host-Prozessor 20 gesendet werden, was es dem Host-Prozessor 20 ermöglicht,
die angeforderte Operation einzuleiten. In einem Ausführungsbeispiel
wird dem Host auch mitgeteilt, welche Funktionen oder Ressourcen
der jeweilige Benutzer befugt ist zu nutzen.
-
Sobald
sichere Benutzerdaten in einer Datei in dem versteckten Flash-Speicher 27 platziert
worden sind, kann keine Vorrichtung außerhalb der Begrenzungen der
sicheren Schaltung 21 auf diese Benutzerdaten zugreifen.
Der Bus 19, der mit dem versteckten Flash-Speicher 27 verbunden
ist, weist keinen externen Anschluss auf. Der eingebettete bzw. integrierte Prozessor 22 ist
die einzige Vorrichtung, die sowohl mit dem versteckten Flash-Speicher 27 als
auch mit der äußeren Umgebung
bzw. Außenwelt verbunden
ist, und die Operation bzw. der Betrieb des Prozessors 22 kann
eingeschränkt
werden, indem dessen Betriebs- bzw. Operationscode in dem PROM platziert
wird, so dass der Code nicht modifiziert werden kann, um die Operationen
des Prozessors 22 zu verändern. Alternativ kann der
Prozessor 22 das Herunterladen von neuem Operationscode zulassen,
vorausgesetzt, dass der Prozessor 22 den neuen Code authentifiziert,
bevor dieser angenommen oder eingesetzt wird.
-
Die
meisten biometrischen Lesevorrichtungen übermitteln die rohen biometrischen
Daten nicht zu Vergleichszwecken, vielmehr wandeln sie sie in Daten
um, die sich auf die relevantesten Parameter beziehen. Zum Beispiel
kann das digitalisierte Bild eines Fingerabdrucks mehrere tausend
Datenbytes voraussetzen. Die Fingerabdruckstechnologie konzentriert
sich jedoch auf die Anordnung, Ausrichtung und Beschaffenheit bestimmter
Merkmale eines Fingerabdrucks, die auf wenige hundert Bytes reduziert werden
können.
Diese wenigen hundert Bytes definieren eine „Abbildung" des Fingerabdrucks, und eben diese
Abbildung wird gespeichert und später als Referenz zu Vergleichszwecken
verwendet. Wenn ein Benutzer den Zugriff auf das System anfordert,
so wird sein zuletzt eingegebener Fingerabdruck ebenfalls in eine
Abbildung umgewandelt, die danach mit den aktuell in dem versteckten
Flash-Speicher 47 gespeicherten Abbildungen verglichen
wird, um zu bestimmen, ob der Benutzer befugt ist.
-
In
herkömmlichen
Systemen wird die Fingerabdruckabbildung des Benutzers in der biometrischen
Lesevorrichtung 23 erzeugt. Allerdings behandeln gesetzliche
Vorschriften in Bezug auf den Datenschutz diese Daten als außerordentlich
vertrauliche Daten, und die Erzeugung der Abbildung sollte ausschließlich in
einer sicheren Umgebung erfolgen. Abhängig von dem Aufbau des Systems
kann der Übermittlungsabschnitt
zwischen der biometrischen Lesevorrichtung 23 und der Lesevorrichtungs-Schnittstelle 24 überwacht
werden, und die Abbildung des Fingerabdrucks sollte in diesem Fall nicht
auf dem Übermittlungsabschnitt
erscheinen. Aus diesem Grund erzeugt ein Ausführungsbeispiel der Erfindung
biometrische Abbildungen in der Schaltung 21, wobei der
Prozessor 22 und die Speicher auf dem Bus 19 nach
Bedarf eingesetzt werden. Die resultierende Abbildung ist somit
zu keiner Zeit einer externen Schnittstelle der sicheren Schaltung 21 ausgesetzt
und kann durch keine externe Vorrichtung gelesen werden.
-
Andersartige
biometrische Daten können ähnlich behandelt
werden. Sprachdaten können
in relevante Frequenz-, Amplituden- und Zeitkomponenten umgewandelt
werden, die später über einen Algorithmus
verarbeitet werden können,
um einen Sprachabdruck der Sprache des Sprechers zu erzeugen. Eine
Netzhautabtastung kann ein Bild des Auges des Benutzers erzeugen,
das danach verarbeitet wird, um eine Netzhautabbildung zu erzeugen,
welche die Eigenschaften der Netzhaut des Benutzers beschreibt.
Jede Technologie besitzt zwar ihre eigenen identifizierenden Eigenschaften,
jedoch können diese
jeweils durch ein System gemäß der Erfindung verarbeitet
werden, indem die folgenden Schritte befolgt werden: 1) die Registrierung
eines Benutzers durch Lesen der relevanten biometrischen Daten, wobei
die Daten in eine Abbildung umgesetzt werden, und wobei die Abbildung
in einem nichtflüchtigen
Speicher gespeichert wird; 2) das Identifizieren eines befugten
Benutzers durch Lesen der relevanten biometrischen Daten der die
Anforderung ausgegebenen Person, wobei diese Daten in eine Abbildung
umgewandelt werden, und wobei die Abbildung mit den vorher gespeicherten
Abbildungen verglichen wird; 3) beim Feststellen einer Übereinstimmung,
das Senden einer Nachricht an ein Host-System, wobei die Nachricht
die die Anforderung ausgebende Person als einen autorisierten Benutzer
bezeichnet, und wobei in bestimmten Ausführungsbeispielen der Umfang
bestimmt wird, in dem der Benutzer auf das System zugriffsberechtigt
ist; und 4) wenn keine Übereinstimmung
festgestellt wird, das Senden einer Nachricht an das Host-System,
dass es sich bei der anfordernden Person nicht um einen autorisierten
Benutzer handelt.
-
Die
Abbildung aus 4 zeigt ein bestimmtes Ausführungsbeispiel
auf Systemebene, wobei das vorstehend genannte Sicherheitssystem
in einem Mobiltelefon 4 platziert wird, wobei eine Fingerabdruck-Lesevorrichtung 23 in
das Mobiltelefon 4 zum Zweck der Identifikation eines Benutzers
integriert ist. Die Lesevorrichtung kann bequem an dem Mobiltelefon
platziert werden, um den Fingerabdruck einer Person zu lesen, die
das Telefon hält.
Der Benutzer kann anfänglich
in dem Telefon durch einen vorab autorisierten Systemadministrator
registriert werden, welcher das System anweist, die Daumenabdrucksdaten
des neuen Benutzers in die Datenbank des Systems der autorisierten
Benutzer einzutragen. Die erste Person, die ihren Abdruck in das
Telefon eingibt, kann automatisch als Systemadministrator benannt
werden. Alternativ kann eine separate Einrichtung bereitgestellt
werden, um die Abbildung des Fingerabdrucks zu erzeugen, wobei diese
Abbildung danach über
einen designierten Kanal in das System geladen wird.
-
Unabhängig davon,
wie die Datenbank geladen wird, kann ein Benutzer, der einen Zugriff
anfordert, seinen Daumenabdruck über
der Fingerabdruck-Lesevorrichtung 23 platzieren, die das
Bild digitalisiert und es über
die Benutzerschnittstelle 24 zu dem Prozessor 22 sendet.
Der Prozessor 22 kann später die Abbildung des Fingerabdrucks
für das
Bild erzeugen und diese mit einer oder mehreren Abbildungen vergleichen,
die in dem nichtflüchtigen
Speicher 27 gespeichert sind. Jede gespeicherte Abbildung
kann ferner eine zugeordnete Liste von Ressourcen aufweisen, die
der Benutzer berechtigt ist zu nutzen. Wenn der Vergleich erfolgreich
ist (d.h. wenn die Abbildung einer in dem Speicher gespeicherten Abbildung
entspricht), kann der Prozessor 22 ein Signal an den Host-Prozessor 20 senden,
das anzeigt, dass die anfordernde Person ein autorisierter Benutzer
ist, und wobei das Signal anzeigt, welche Ressourcen der Benutzer
berechtigt ist zu nutzen. Der Host-Prozessor 20 kann danach
die angeforderten Dienste freigeben, wie etwa die Telefonnummer über die
Tastatur 45 des Mobiltelefons akzeptieren und Kommunikationsschaltungen 46 verwenden,
um die Nummer über
das Mobilfunknetz zu übermitteln.
-
In
einem für
die Identifikation von Sprachabdrücken entwickelten System kann
das vorhandene Mikrofon in dem Mobiltelefon für die biometrische Lesevorrichtung
verwendet werden. Eine gewisse Form der Zufallswortaufforderung
kann erforderlich sein, um das Problem zu vermeiden, dass eine aufgezeichnete
Sprache unzulässiger
Weise Zugriff auf das System erlangt.
-
Die
Erfindung kann in Hardware implementiert werden.