-
Die
vorliegende Anmeldung wird am 13. März 2003 eingereicht als internationale
PCT-Patentanmeldung
unter Geltendmachung der Priorität
aufgrund der US-Anmeldung Nr. 60/364 685, eingereicht am 15. März 2002,
und der US-Anmeldung, Nummer unbekannt, eingereicht am 7. März 2003,
im Namen von DataCard Corporation, einer nationalen US-Körperschaft, Anmelderin für die Benennung
aller Länder
mit Ausnahme der Vereinigten Staaten.
-
Gebiet der
Erfindung
-
Die
vorliegende Erfindung betrifft eine Einrichtung wie etwa Drucker,
die dazu verwendet werden, Daten tragende Identifikations- und Finanzdokumente
herzustellen, einschließlich
Plastikkarten wie etwa Geldkarten (beispielsweise Kredit- und Guthabenkarten),
Führerscheinen,
Personalausweisen und anderen ähnlichen
Karten, sowie andere Identifikations- und Finanzdokumente wie etwa
Reisepässe,
indem die Dokumente mit Informationen, die für den Halter des Dokuments
einmalig sind, und/oder mit anderen Dokumentinformationen personalisiert
werden. Insbesondere betrifft die Erfindung Verbesserungen der Sicherheit
in Verbindung mit der Verwendung solcher Einrichtungen, um den unberechtigten Gebrauch
der Einrichtung zu verhindern und dadurch die unberechtigte Herstellung
von Dokumenten zu verhindern.
-
Hintergrund
der Erfindung
-
Die
Herstellung und Ausgabe von Identifikations- und Finanzdokumenten
wie etwa Geldkarten (beispielsweise Kredit- und Guthabenkarten),
Führerscheinen,
Personalausweisen und anderen ähnlichen
Karten sowie Reisepässen
und dergleichen muss unter Hochsicherheitsbedingungen erfolgen, um
die Integrität
und Verteilung der ausgegebenen Dokumente zu gewährleisten. Die Sicherheitsaspekte
um die Ausgabe dieser Dokumenttypen umfassen das Verhindern von
Fälschungen
und Vervielfältigungen
von Dokumenten, der Ausgabe eines Dokuments an eine Person, die
nicht die Person ist, für
die das Dokument erstellt wurde, und der Ausgabe an unberechtigte
Personen wie etwa Kriminelle.
-
Diese
Dokumenttypen werden typischerweise von Kommunal- oder Bundesbehörden, von
Unternehmen, deren Geschäftsfeld
die Herstellung solcher Dokumente ist, und von Institutionen und
anderen Organen hergestellt, die solche Dokumente brauchen und die
die zur Herstellung solcher Dokumente erforderliche Einrichtung
erworben haben. Ohne Rücksicht
darauf, wer die Dokumente herstellt, besteht eine Notwendigkeit
zum Schutz vor betrügerisch
hergestellten Dokumenten.
-
Eine
Möglichkeit,
die unberechtigte und betrügerische
Herstellung von Identifikations- und
Finanzdokumenten zu kontrollieren, ist, den Zugang zu der Dokumentherstellungseinrichtung
und zu der Software, die für
die Bedienung der Einrichtung erforderlich ist, zu kontrollieren.
Wenn die Dokumentherstellungseinrichtung und/oder die Software jedoch gestohlen
wird oder wenn jemand betrügerisch
Zugang zu der Herstellungseinrichtung bekommt, kann es sein, dass
Dokumente unberechtigt hergestellt werden können.
-
Verbesserungen
bei der Kontrolle der unberechtigten Herstellung von Identifikations- und Finanzdokumenten
werden jedoch immer noch benötigt.
-
WO
99/49379 wird im vorliegenden Fall als der nächstkommende Stand der Technik
angesehen. Dieses Dokument beschreibt einen Drucker, bei dem das
Einführen
einer Passkarte erforderlich ist, um die Bedienung und den Ausdruck
von gesendeten Dokumenten zu ermöglichen.
EP 1 091 275 beschreibt
ein Verfahren zum sicheren Drucken, bei dem ein Druckauftrag mit
einem Passwort verschlüsselt
wird, dieser anschließend
an einen vernetzten Drucker gesendet und verwendet wird, um nur
dem vorgesehenen Benutzer das Drucken des Dokuments zu gestatten.
-
Keines
der Dokumente erwähnt
jedoch das Vorsehen eines sicheren Passworts in einem Drucker, bevor
dieser einen ersten Ort (wie etwa ein Herstellungswerk) verlässt, wobei
dann das Passwort dem Benutzer auf einem sicheren Weg zur Verfügung gestellt
wird. Dadurch wird das Problem gelöst, dass Hochsicherheitsdrucker
in die Hände
Dritter gelangen und gefälschte
Dokumente gedruckt werden.
-
Zusammenfassung der Erfindung
-
Die
Erfindung betrifft Verbesserungen der Sicherheit in Bezug auf die
Verwendung von Einrichtungen zur Herstellung Identifikations- und/oder
Finanzdokumenten. Die Erfindung findet insbesondere Anwendung bei
Druckern, die zur Herstellung von Plastikkarten wie etwa Geldkarten
und Identifikationskarten verwendet werden. Die Erfindung kann jedoch
auch bei anderen Typen von Einrichtungen zur Herstellung von Identifikations-
und Finanzdokumenten angewandt werden, bei denen es erforderlich
ist, die unberechtigte Herstellung solcher Dokumente zu verhindern.
-
Insbesondere
verhindert die Erfindung die unberechtigte Herstellung von Identifikations-
und Finanzdokumenten durch die Verwendung einer gestohlenen oder
betrügerisch
erhaltenen Dokumentherstellungseinrichtung oder Software.
-
Dieses
Problem wird durch das Verfahren nach Anspruch 1 gelöst, wobei
ein Verfahren zum Verhindern von unberechtigter Bedienung einer
Einrichtung zum Herstellen von personalisierten Dokumenten bereitgestellt
wird. Dieses Verfahren weist die folgenden Schritte auf:
an
einer ersten Stelle und vor Lieferung der Dokumentherstellungseinrichtung
an einen Benutzer der Einrichtung werden Berechtigungsdaten, die
erforderlich sind, um die Bedienung der Einrichtung freizugeben,
im Speicher der Einrichtung gespeichert. Die Berechtigungsdaten
werden bei einem Zentraleinschalten und bei nachfolgenden Einschaltvorgängen der
Einrichtung benötigt,
um die Bedienung der Einrichtung freizugeben.
-
Die
Einrichtung wird von der ersten Stelle an den Benutzer der Einrichtung
an einer zweiten Stelle geliefert; und die Berechtigungsdaten betreffende
Informationen werden an einen Bevollmächtigten des Benutzers der
Einrichtung an der zweiten Stelle geliefert.
-
Die
Berechtigungsdaten werden dann in die Einrichtung eingegeben und
mit den gespeicherten Berechtigungsdaten verglichen. Die Einrichtung
wird anschließend
entsperrt, bis die Einrichtung einen Aus-Ein-Schaltvorgang durchlaufen
hat oder auf Befehl erneut gesperrt wird, um die Bedienung der Einrichtung
zu ermöglichen,
wenn die eingegebenen Berechtigungsdaten mit den gespeicherten Berechtigungsdaten übereinstimmen.
-
Nach
einem Aspekt der Erfindung werden die in dem Speicher gespeicherten
Berechtigungsdaten zuerst werksseitig von dem Hersteller der Einrichtung
in die Einrichtung eingegeben. Die Berechtigungsdaten können ein
Passwort sein, das durch einen Zufallserzeugungsvorgang, beispielsweise
einen Zufallszahlerzeugungsvorgang, erzeugt wird. Alternativ können die
Berechtigungsdaten biometrische Daten von einem berechtigten Benutzer
(berechtigten Benutzern) der Einrichtung sein.
-
Um
die Sicherheit weiter zu verbessern, wird der Benutzer bevorzugt
zur Eingabe der Berechtigungsdaten jedes Mal dann aufgefordert,
wenn die Einrichtung abgeschaltet oder von ihrer Energieversorgung
getrennt wird.
-
Nach
einem anderen Aspekt der Erfindung wird nach einer vorbestimmten
Anzahl von fehlgeschlagenen Versuchen, die richtigen Berechtigungsdaten
einzugeben, die Einrichtung gesperrt.
-
Nach
einem weiteren Aspekt der Erfindung können die in dem Einrichtungsspeicher
gespeicherten Berechtigungsdaten geändert werden, bevorzugt nach
freier Wahl durch den Bevollmächtigten
des Benutzers der Einrichtung. Dies würde geordnete und/oder periodische Änderungen
der Berechtigungsdaten durch den Benutzer der Einrichtung ermöglichen,
um zu verhindern, dass ehemalige Angestellte und Partner die Einrichtung
bedienen.
-
Zum
besseren Verständnis
der Erfindung, ihrer Vorteile und Ziele, die durch ihren Gebrauch
erreicht werden, ist auf die Zeichnungen, die einen weiteren Teil
der vorliegenden Unterlagen bilden, und die beigefügte Beschreibung
Bezug zu nehmen, in der eine bevorzugte Ausführungsform der Erfindung beschrieben
ist.
-
Kurze Beschreibung
der Zeichnungen
-
1 ist
eine schematische Darstellung der vorliegenden Erfindung.
-
2 zeigt
das Verfahren der vorliegenden Erfindung.
-
3 zeigt
die Dokumentherstellungseinrichtung der vorliegenden Erfindung.
-
Genaue Beschreibung
der Erfindung
-
Die
Erfindung betrifft Verbesserungen der Sicherheit in Bezug auf die
Verwendung einer Einrichtung zur Herstellung von Daten tragenden
Identifikations- und/oder Finanzdokumenten. Die Erfindung findet
insbesondere Anwendung bei Druckern, die zur Herstellung von Plastikkarten
wie etwa Geldkarten (beispielsweise Kredit- und Guthabenkarten), Führerscheinen
und Identifikationskarten verwendet werden. Die Erfindung kann jedoch
auch bei anderen Typen von Einrichtungen zur Herstellung von Identifikations-
und/oder Finanzdokumenten angewandt werden, einschließlich Einrichtungen
zur Herstellung von Reisepässen,
bei denen es erforderlich ist, die unberechtigte Herstellung von
Dokumenten zu verhindern.
-
Der
Einfachheit halber können
die Typen von Dokumenten, bei denen die Erfindung anwendbar ist, als "personalisierte Dokumente" bezeichnet werden. Es
versteht sich, dass der in der Beschreibung und den Ansprüchen verwendete
Begriff "personalisierte Dokumente" und dergleichen
sich auf Daten tragende Identifikations- oder Finanzdokumente bezieht, einschließlich der
hier beschriebenen spezifischen Dokumenttypen.
-
Die
Erfindung verhindert die Bedienung einer gestohlenen oder betrügerisch
erhaltenen Dokumentherstellungseinrichtung dadurch, dass die richtigen Berechtigungsdaten
benötigt
werden, um die Einrichtung vor dem Gebrauch zu entsperren. Ohne
die richtigen Berechtigungsdaten bleibt die Einrichtung gesperrt,
wodurch die Herstellung eines personalisierten Dokuments verhindert
wird.
-
Die
hier verwendeten Begriffe "personalisieren", "Personalisierung" usw. umfassen ein
oder mehrere (monochromatische und mehrfarbige) Druckzeichen und/oder
Abbildungen auf einem Dokument, das Versehen eines Dokuments mit
Prägezeichen,
das Programmieren eines Magnetstreifens auf dem Dokument, das Programmieren
eines in dem Dokument eingebetteten integrierten Schaltungschips,
das Laminieren des Dokuments mit einem Schichtmaterial, das gedruckte
Daten enthält,
das Aufbringen von Informationen auf das Dokument unter Verwendung
eines Lasers und Kombinationen davon. Die verschiedenen Mechanismen
zum Durchführen
dieser Personalisierungsfunktionen sind in der Technik wohl bekannt.
-
Die
bevorzugte Ausführungsform
der Erfindung wird in Verbindung mit einem Drucker beschrieben,
der dazu verwendet wird, eine Identifikations- und/oder Geldkarte
aus Kunststoff herzustellen, indem Kartenhalterinformationen auf
die Karte gedruckt werden. Die hier beschriebenen erfinderischen
Konzepte können
auch bei anderen personalisierten Dokumentherstellungseinrichtungen
angewandt werden.
-
Wie
die 1 und 3 zeigen, wird der Drucker 10 in
einem Herstellerwerk 12 hergestellt. Während der Herstellung oder
nach Beendigung der Herstellung, jedoch vor Lieferung an den vorgesehenen
Benutzer der Einrichtung werden Berechtigungsdaten in einen Speicher 14 des
Druckers 10 geladen. Die Berechtigungsdaten können ein
Passwort oder andere Berechtigungsdaten sein (wie etwa biometrische
Daten, wie noch beschrieben wird). Wenn ein Kunde den Drucker 10 bestellt,
wird der Drucker 10 an den Kunden geliefert, wobei es sich
um den vorgesehenen Gebrauchsort 16 des Druckers handeln kann.
Separat werden Informationen, die die Berechtigungsdaten betreffen,
welche zur Bedienung des Druckers 10 erforderlich sind,
an einen ausgewiesenen Bevollmächtigten
des Kunden geliefert, wie etwa einen Sicherheitsbeauftragten oder
eine andere von dem Kunden benannte Person. Die Lieferung der Berechtigungsdateninformationen
erfolgt bevorzugt mit der Post und stärker bevorzugt als Einschreiben.
Es könnten
jedoch andere sichere Liefermethoden verwendet werden, wie etwa
verschlüsselte
Datenkommunikationen über
sichere Landleitungen oder drahtlose Mittel.
-
Die
Berechtigungsdateninformationen, die geliefert werden, können das
in dem Druckerspeicher gespeicherte Passwort sein, wenn die gespeicherten
Berechtigungsdaten ein Passwort sind. Alternativ können dann,
wenn die gespeicherten Berechtigungsdaten biometrische Daten sind,
die Berechtigungsdateninformationen, die geliefert werden, der Name
der Person (oder der Menschen) sein, deren biometrische Daten in
dem Speicher gespeichert sind.
-
Bei
der bevorzugten Ausführungsform
sind die Berechtigungsdaten ein Passwort. Das Passwort ist bevorzugt
ein Zufallspasswort, das durch einen in der Technik bekannten Zufallserzeugungsvorgang erzeugt
wird. Das Zufallspasswort besteht bevorzugt aus alphanumerischen
Zeichen.
-
Alternativ
kann das Passwort durch einen Algorithmus auf der Basis von Informationen
erzeugt werden, die für
den Drucker 10 spezifisch (d. h. einmalig) und rückverfolgbar
sind. Beispielsweise können
die Seriennummer des Druckers, das Herstellungsdatum des Druckers
und andere für
den Drucker spezifische Informationen entweder allein oder in Kombination
verwendet werden, um das Druckerpasswort zu erzeugen. Es ist zu
beachten, dass das Passwort, falls gewünscht, auf Informationen beruhen
könnte,
die keine druckerspezifischen Informationen sind.
-
Das
Passwort besteht bevorzugt aus alphanumerischen Zeichen ohne Zwischenräume zwischen
den Zeichen, ohne Interpunktion und ohne Steuerzeichen. Die Anzahl
der Zeichen ist bevorzugt zwanzig oder weniger. Andere Passwortzeichen
sowie eine kleinere oder größere Anzahl
von Passwortzeichen könnten
ebenfalls verwendet werden.
-
Als
eine Alternative zur Verwendung eines Passworts oder zusätzlich zu
dem Passwort ist zur weiteren Steigerung der Sicherheit darin gedacht, dass
der Drucker 10 mit weiteren Sicherheitsmerkmalen ausgerüstet sein
kann. Beispielsweise kann der Drucker 10 mit einer biometrischen
Schnittstelleneinrichtung 44 integral versehen oder daran
angeschlossen sein, wie etwa an einen Fingerabdrucksensor oder einen
Irisscanner. Die biometrische Schnittstelleneinrichtung empfängt biometrische
Berechtigungsdaten wie etwa einen Fingerabdruck des Bedieners und
sendet die biometrischen Daten an die Steuereinheit 18 zum
Vergleich mit in dem Speicher gespeicherten biometrischen Berechtigungsdaten.
Die Bedienung des Druckers würde
verhindert werden, wenn die biometrischen Daten mit den gespeicherten
biometrischen Daten nicht übereinstimmen.
Die biometrischen Daten in dem Speicher sind bevorzugt auf bestimmte
Personen begrenzt, beispielsweise einen Sicherheitsbeauftragten
oder anderen Bevollmächtigten
des Benutzers der Einrichtung. Bei einer anderen alternativen Ausführungsform
kann der Drucker mit einem globalen Positioniersystem (GPS-Technologie) 46 integral
versehen oder daran angeschlossen sein. Wenn der Drucker aus einem
bezeichneten Gebiet gemäß der Bestimmung
durch die GPS-Technologie entfernt wird, was einen möglichen
Diebstahl des Druckers anzeigt, kann der Drucker gesperrt werden.
-
Beim
ersten Hochfahren des Druckers 10 durch den Kunden verlangt
der Drucker 10 über
die Druckersteuereinheit 18 (3) die Eingabe
der Berechtigungsdaten, bevor irgendwelche Operationen der Personalisierungseinrichtung 20 des
Druckers 10 beginnen. Bei der bevorzugten Ausführungsform
ist die Personalisierungseinrichtung 20 mindestens eine Druckereinrichtung,
die monochromatisches oder mehrfarbiges Drucken ausführt. Die
gleiche Aufforderung zur Eingabe der Berechtigungsdaten erfolgt
bei nachfolgenden Hochfahrvorgängen
des Druckers 10. Die Berechtigungsdaten werden über eine
Aufforderung zur Eingabe der Berechtigungsdaten verlangt, die an
einer Druckerschnittstelle 22 wie etwa einem PC oder einem
von dem Drucker 10 separaten Zustandsmonitor angezeigt
wird. Die Druckerschnittstelle 22 könnte auch in den Drucker selbst
eingebaut sein, beispielsweise als Flüssigkristallanzeige oder eine ähnliche
Anzeige.
-
Der
Drucker 10 ist so ausgebildet, dass er in einem gesperrten
Zustand hochfährt,
in dem Operationen der Personalisierungseinrichtung 20 verhindert
werden, bis die richtigen Berechtigungsdaten eingegeben sind. Ohne
die richtigen Berechtigungsdaten arbeitet der Drucker 10 also
nicht, und es werden keine Karten hergestellt. Ferner führt eine
Trennung oder Abschaltung des Druckers 10 vom Netz den
Drucker in den gesperrten Zustand zurück und erfordert die Eingabe
der richtigen Berechtigungsdaten zum Entsperren des Druckers 10,
um die Bedienung der Personalisierungseinrichtung 20 des
Druckers 10 zuzulassen. Wenn ein Druckauftrag an den Drucker
gesendet wird, bevor er entsperrt ist, wird durch die Schnittstelle 22 "Drucker gesperrt" angezeigt.
-
Wenn
die Berechtigungsdaten ein Passwort sind, erfolgt die Eingabe des
Passworts über
die Schnittstelle 22 oder eine andere Eingabeeinrichtung,
die das eingegebene Passwort an die Druckersteuereinheit 18 zum
Vergleich mit dem in dem Speicher 14 gespeicherten Passwort
sendet. Wenn das eingegebene Passwort mit dem gespeicherten Passwort übereinstimmt,
wird der Drucker entsperrt, und die Personalisierungseinrichtung 20 kann
wirksam sein. Der Drucker 10 bleibt entsperrt, bis er einen Aus-Ein-Schaltvorgang
durchlaufen hat oder auf Befehl erneut gesperrt wird. Wenn das eingegebene Passwort
mit dem gespeicherten Passwort nicht übereinstimmt, sendet der Drucker
ein Fehlersignal "falsches
Passwort", und der
Drucker bleibt gesperrt. Bei einer bevorzugten Ausführungsform
wird der Drucker 10 nach einer vorbestimmten Anzahl von fehlgeschlagenen
Versuchen, das richtige Passwort einzugeben, gesperrt. Um den Druckerbetrieb
zu ermöglichen,
ist es dann erforderlich, den Drucker zu einer autorisierten Servicestelle
zurückzubringen oder
vor Ort ein Servicegespräch
unter Verwendung einer sicheren Kommunikation zwischen dem Bevollmächtigen
des Kunden und dem Hersteller zu führen.
-
Bei
einer bevorzugten Ausführungsform kann
bei erfolgreicher Eingabe des ursprünglichen Druckerpassworts der
Kunde, bevorzugt der Bevollmächtigte
des Kunden, das in dem Druckerspeicher 14 gespeicherte
Passwort ändern.
Die Passwortänderung
erfolgt bevorzugt unter Verwendung der Druckerschnittstelle 22.
Dies ermöglicht
geordnete und periodische Änderungen
des Druckerpassworts, um eine Bedienung des Druckers 10 durch
ehemalige Angestellte und Partner zu verhindern.
-
Unter
Bezugnahme auf 2 wird nachstehend das Verfahren
der vorliegenden Erfindung beschrieben. Das Verfahren wird in Bezug
auf die Verwendung eines Passworts als die Berechtigungsdaten beschrieben.
Es ist jedoch zu beachten, dass ein ähnliches Verfahren anwendbar
ist, wenn die Berechtigungsdaten biometrische Daten oder eine Kombination
aus einem Passwort und biometrischen Daten umfassen.
-
Zunächst wird
in Schritt 30 das Passwort in dem Herstellerwerk 12 oder
an einer anderen geeigneten Stelle vor der Lieferung an den vorgesehenen Benutzer
der Einrichtung erzeugt, und das Passwort wird in dem Druckerspeicher
gespeichert. Der Drucker 10 wird dann in Schritt 32 an
den Kunden geliefert. In Schritt 34 wird das Passwort dann
auf einem sicheren Weg, beispielsweise als Einschreiben, an einen
Bevollmächtigten
des Kunden geliefert. Der Drucker 10 wird dann in einen
gesperrten Zustand hochgefahren, und in Schritt 36 wird
der Benutzer zur Eingabe des Passworts aufgefordert. Der Benutzer gibt
dann das Passwort unter Verwendung der Schnittstelle 22 ein,
und das eingegebene Passwort wird an die Druckersteuereinheit 18 gesendet.
Das eingegebene Passwort wird dann in Schritt 38 mit dem
in dem Speicher gespeicherten Passwort verglichen. Wenn in Schritt 40 das
eingegebene Passwort mit dem gespeicherten Passwort übereinstimmt,
wird der Drucker entsperrt oder freigegeben, und die Personalisierungseinrichtung 20 kann
zu arbeiten beginnen. Wenn in Schritt 40 das eingegebene
Passwort mit dem gespeicherten Passwort nicht übereinstimmt, bleibt der Drucker
gesperrt, und der Benutzer wird noch einmal zur Eingabe des Passworts
aufgefordert. Nach einer vorbestimmten Anzahl von Nichtübereinstimmungen
zwischen dem eingegebenen Passwort und dem gespeicherten Passwort
wird der Drucker gesperrt, und es müssen die vorstehend angegebenen
Verfahrensschritte befolgt werden (d. h. Zurückbringen des Druckers zu der
Servicestelle oder Servicegespräch
vor Ort), um den Drucker erneut freizugeben.
-
Die
vorstehende Beschreibung sowie die obigen Beispiele und Daten geben
eine vollständige Beschreibung
der Erfindung. Viele Ausführungsformen
der Erfindung, die hier nicht ausdrücklich beschrieben sind, sind
möglich,
ohne vom Umfang der Ansprüche
abzuweichen.