DE69030101T2 - Verfahren zur automatischen überprüfung von personalidentität - Google Patents

Verfahren zur automatischen überprüfung von personalidentität

Info

Publication number
DE69030101T2
DE69030101T2 DE69030101T DE69030101T DE69030101T2 DE 69030101 T2 DE69030101 T2 DE 69030101T2 DE 69030101 T DE69030101 T DE 69030101T DE 69030101 T DE69030101 T DE 69030101T DE 69030101 T2 DE69030101 T2 DE 69030101T2
Authority
DE
Germany
Prior art keywords
keyword
answer
applicant
user
expressions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69030101T
Other languages
English (en)
Other versions
DE69030101D1 (de
Inventor
Christopher John Corni Watkins
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WATKINS CHRISTOPHER JOHN C
IVORY INVESTMENTS GIBRALTAR LT
Original Assignee
WATKINS CHRISTOPHER JOHN C
IVORY INVESTMENTS GIBRALTAR LT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WATKINS CHRISTOPHER JOHN C, IVORY INVESTMENTS GIBRALTAR LT filed Critical WATKINS CHRISTOPHER JOHN C
Publication of DE69030101D1 publication Critical patent/DE69030101D1/de
Application granted granted Critical
Publication of DE69030101T2 publication Critical patent/DE69030101T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/30Individual registration on entry or exit not involving the use of a pass
    • G07C9/32Individual registration on entry or exit not involving the use of a pass in combination with an identity check
    • G07C9/33Individual registration on entry or exit not involving the use of a pass in combination with an identity check by means of a password
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1016Devices or methods for securing the PIN and other transaction-data, e.g. by encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Collating Specific Patterns (AREA)
  • Control Of Vending Devices And Auxiliary Devices For Vending Devices (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zur maschinellen Verifizierung einer Personenidentität.
  • Es wird oft verlangt, daß Personen ihre Identität einer Maschine offenbaren, so daß die Maschine eine Identifizierung vornehmen kann. Beispielsweise entscheidet eine Maschine den Zugang von Personen zu Geld, Informationen, Gütern oder einem Ort, oder zur Steuerstelle einer Ausrüstung oder Rechenanlagen. Der Zugang zu Gebäuden oder Panzerschränken wird oft von Schlössern kontrolliert. Münzautomaten entscheiden über den Zugang von Personen zu Bankkonten. Computersysteme mit Mehrfachbenutzern entscheiden über den Zugang von Personen zu Informationen und Computereinrichtungen. Überall dort muß die Maschine aktiv oder passiv in der Lage sein, berechtigte Personen zu identifizieren und sie muß zwischen berechtigten Nutzern von unberechtigten Eindringlingen unterscheiden.
  • Die Maschine kann jede berechtigte Person als Individuum identifizieren oder sie kann auch nur feststellen, daß eine Person ein Mitglied einer bestimmten Gruppe von Berechtigten ist. Eine Person kann verschiedene Arten der Berechtigung haben, die auch in unterschiedlicher Weise von der gleichen Maschine verifiziert werden. Verschiedene Personen können die gleiche Berechtigung haben, die in der gleichen Weise verifiziert wird. In diesem Fall identifiziert die Maschine die Personen als Mitglieder einer bestimmten Gruppe.
  • Eine Person, die ihre Identität feststellen lassen will, ob sie nun falsch oder richtig ist, wird im folgenden als Anmelder bezeichnet. Eine berechtigte Person, die in einer bestimmten Weise ihre Identität unter Beweis stellt, wird im nachhinein als Nutzer bezeichnet. Ein Anmelder, der sich als Nutzer darzustellen versucht, oder eine Person, die den Versuch unternimmt, festzustellen, wie man sich als Nutzer vorstellen kann, wird im folgenden als Eindringling bezeichnet. Der Ausdruck "Erkennungsverfahren" wird anschließend benutzt und bezeichnet ein maschinelles Verfahren zum Verifizieren der Identität oder Berechtigung.
  • Es gibt drei Kategorien von Erkennungsverfahren, die sich nach Art der Vorlage von Beweisen für die Identität unterscheiden. So kann die Erkennung auf bestimmte charakteristische physikalische Merkmale der Nutzer beruhen oder auf bestimmte Gegenstände im Besitz des Benutzers oder auf bestimmte Informationen, die der Benutzer geheimhält.
  • Zur maschinellen Erkennung hat man sich auf mehrere physikalische Merkmale verlassen, beispielsweise die Stimme, die Form der Hand, Fingerabdrücke oder sogar das Muster der Blutgefäße im Auge. Diese Erkennung hat aber zwei schwerwiegende Nachteile. Der erste liegt darin, daß die nötige Vorrichtung zur Lösung dieser Aufgabe geeignet sein muß und dies kostet Geld. Der zweite Nachteil ist noch schwerwiegender. Die physikalischen Kennzeichen einer Person sind nämlich konstant und können nicht willkürlich geändert werden. Ist einmal ein Eindringling erfolgreich und fälscht die nötigen physikalischen Eigenschaften eines Nutzers, so daß er maschinell als Nutzer identifiziert werden kann, so läßt sich dieser Bruch der Sicherheit nicht beenden, außer man ändert das Erkennungsverfahren. Würde ein Erkennungsverfahren, das mit physikalischen Kennzeichen arbeitet, weite Verbreitung finden, so würden Eindringlinge sicherlich schnell Fälschungsverfahren entwickeln. Findet beispielsweise ein Erkennungsverfahren mit Fingerabdrücken weite Verbreitung, so würden sich sicherlich bald überall Verfahren finden, wie man Gummifinger mit falschen Abdrücken herstellt. Ein wirklicher oder auf Verdacht beruhender Bruch der Sicherheit ist sehr problematisch, weil ein Nutzer seine Fingerabdrücke nicht ändern kann, um Eindringlinge abzuhalten. Um einen hohen Sicherheitsgrad zu erreichen, wäre es deshalb nötig, ebenfalls ein anderes Erkennungsverfahren zu benutzen.
  • Eine maschinelle Erkennung bestimmt Gegenstände im Besitz des Nutzers, sei es ein Schlüssel oder eine Magnetkarte. Dies ist ebenfalls weit verbreitet. Der Nachteil ist jedoch offensichtlich, daß der Gegenstand gestohlen, gefunden, verliehen oder gefälscht werden kann. Der zeitweise Besitz des Gegenstandes ist oft kein ausreichendes Beweismittel der Identität. Auch dieses Verfahren sollte daher in Verbindung mit einem anderen Verfahren benutzt werden, wenn ein hoher Sicherheitsgrad erforderlich ist.
  • Der dritte Art von Erkennungsverfahren beruht darauf, daß die Identität dadurch nachgewiesen wird, daß vertrauliche Informationen demonstriert werden.
  • Jedes dieser Verfahren besteht aus drei Teilen: Die zur Erkennung dienenden Informationen müssen erzeugt werden; diese Informationen müssen Nutzern zugewiesen werden, so daß sie als Nachweis der Identität benutzt werden können und schließlich muß das Wissen des Nutzers um diese Information bei der maschinellen Verifizierung der Identität des Nutzers ermittelt werden.
  • Die Verifizierung dahingehend, daß der Anmelder die Information kennt, wird vom Anmelder ausgeführt, der die Information in einer bestimmten Art und Weise in die Maschine eingibt, wenn die Maschine zum Empfang bereit ist. Hat die Maschine die Information erhalten, so erfolgt die Überprüfung automatisch. Informationen können in die Maschine durch Einstellen von Zahlen eingegeben werden (wie bei Kombinationsschlössern), durch Drücken von Tasten auf einer Tastatur, Bewegen eines Zeigers, Sprechen in ein Mikrofon oder mit anderen Mitteln.
  • Es kann auch für den Anmelder erforderlich sein, mehrere unterschiedliche Informationen in die Maschine einzugeben. In diesem Fall ist es nützlich, daß die Maschine dem Anmelder anzeigt, welche Information sie als nächstes empfangen kann. Auf diese Weise muß die Maschine wiederholt ihren Betriebszustand anzeigen und erhält dann die vom Anmelder eingegebene Information, bis endlich genug Information eingegeben worden ist, damit die Maschine entscheiden kann, ob die Identifizierung erfolgreich war oder nicht. Die Abfolge der Anzeigen über den Zustand und die Eingabe der Information kann sich entsprechend der eingegebenen Information ändern und eine Anzahl von Alternativen ist zulässig, die ebenfalls gelegentlich verändert werden können.
  • Eine Reihenfolge von Anzeigen des Zustandes und Eingaben von Informationen, die zu einer maschinellen Identifizierung eines Anmelders als berechtigter Nutzer führen, wird im folgenden "Protokoll" genannt.
  • Mit anderen Worten identifiziert die Maschine einen Anmelder als Nutzer nur dann, wenn das Protokoll erfolgreich war.
  • Bisher gibt es mindestens drei bekannte auf Information beruhende Erkennungsverfahren: das Verfahren mit "Losungswort", mit "privater Funktion" und "persönlicher Frage".
  • Beim Losungswort-Verfahren hängt die geheime Mitteilung für die Erkennung von einem Losungswort ab, das für gewöhnlich eine Abfolge von Buchstaben ist.
  • Die einfachste Form des Losungswort-Verfahrens ist diejenige, bei dem ein einzelnes Losungswort benutzt wird, um Zugang zu erhalten. Ein Beispiel hierfür ist das Ziffemschloß an einem Fahrrad. Nur die Kenntnis der Kombination ermöglicht das Öffnen des Schlosses. Das Losungswort wird den berechtigten Nutzem gesagt oder gezeigt und sie sollen es geheimhalten. Alle Nutzer gebrauchen das gleiche Losungswort. Für den Zugang gibt ein Nutzer einfach das Losungswort ein, wenn die Maschine zur Identifizierung bereit ist.
  • Ein demgegenüber aufwendigeres Losungswort-System ist in der Lage, daß die Maschine zwischen verschiedenen Nutzem zwecks Identifizierung unterscheiden kann. Jeder Nutzer hat sein eigenes Losungswort, das für Nichtnutzer und andere Nutzer geheimgehalten werden muß.
  • Haben zwei Nutzer nicht das gleiche Losungswort, dann ist es möglich, daß die Maschine einfach jeden Nutzer mit dem eingegebenen Losungswort identifiziert. Dies hat aber den Nachteil, daß bei vielen Nutzern die Gefahr sehr stark ansteigt, daß ein Eindringlich das Losungswort eines Nutzers einfach errät.
  • Ein besseres und weit verbreitetes System für Nutzer besteht darin, daß diese sich in zwei Stufen identifizieren: nämlich eine "Identitätsprüfung" (man ist ein bestimmter Nutzer) und das Losungswort. Die Maschine akzeptiert den Anspruch des Anmelders, ein besonderer Nutzer zu sein, nur dann, wenn der Anmelder das ihm zugewiesene Losungswort eingibt. Bei diesem System sind die Losungsworte der Nutzer im allgemeinen nicht gleich, aber sie sind nicht notwendigerweise alle unterschiedlich.
  • Bei einem Münzautomaten erfolgt der Identitätsanspruch des Anmelders durch Einschieben einer Karte. Der Anmelder muß dann seinen Anspruch durch Eingaben der persönlichen Identifizierungsnummer (PIN) bestätigen, daß er der berechtigte Nutzer der Karte ist. Bei Computersystemen mit vielen Nutzern macht ein Anmelder seinen Identitätsanspruch dadurch geltend, daß er eine "Nutzeridentifizierung" eingibt, für gewöhnlich eine Abkürzung seines Namens. Dies ist gewöhnlich nicht streng vertraulich. Um den Anspruch zu bestätigen, muß der Anmelder dann das Nutzer-Losungswort eingeben.
  • Ein Losungswort-System ist sicher, wenn alle Nutzer ihre Losungsworte geheimhalten und wenn diese für Eindringlinge schwer zu erraten sind. Der sicherste Weg zum Geheimhalten des Losungswortes ist es, dieses im Gedächtnis zu behalten, nicht niederzuschreiben, nicht Dritten mitzuteilen und zu vermeiden, daß Dritte die Eingabe des Losungswortes beobachten. Außerdem sollten Losungsworte häufig gewechselt werden, so daß der Sicherheitsverlust nicht zu lange dauert.
  • Losungswort-Systeme sind im allgemeinen nicht unbedingt sicher. Dies liegt darin, daß Losungsworte von den Personen schlecht behalten und wiedergegeben werden. Dies führt zu mehreren Problemen.
  • Losungsworte werden entweder automatisch generiert oder jeder Nutzer wählt sein geheimes eigenes Losungswort. Automatisch generierte Losungsworte können zufällige Zahlen sein oder zufällige, sinnlose Worte wie PEGWIZ oder SUDBAT, die nur teilweise leicht zu erinnern sind.
  • Automatisch generierte Losungsworte werden willkürlich aus einer großen Anzahl möglicher Alternativen ausgewählt, so daß sie für Eindringlinge schwer zu erraten sind. Aber auch die Nutzer können sich nur schwer daran erinnern, so daß sie gewöhnlich aufgeschrieben werden.
  • Wenn aber Nutzer ihre eigenen geheimen Losungsworte wählen, so können sie sich an diese zwar leicht erinnern, sie können aber auch von Eindringlingen leicht erraten werden. So wählen die Nutzer oft Losungsworte, die eine persönliche Bedeutung haben und Kollegen fällt das Erraten leicht.
  • Je öfter die Losungsworte geändert werden, desto schlechter bleiben sie in der Erinnerung. So erinnert man sich oft nicht das aktuelle Losungswort, weil es im Gedächtnis mit früheren Losungsworten verwechselt wird. Dies hat einen einfachen Grund: Der Nutzer muß sich an das neue Losungswort unter beinahe genau den gleichen Bedingungen erinnern, wie es auch beim Erinnern der alten Losungsworte der Fall war. So sagt dem Nutzer die Maschine stets das gleiche: "Losungswort eingeben". Und dies ändert sich auch dann nicht, wenn das Losungswort geändert wird.
  • Ferner fällt das Erinnern des Losungswortes schwer, wenn verschiedene Losungsworte benutzt werden, um Zugang zu verschiedenen Geräten zu erhalten. Diese Losungsworte verwirren sich dann für den Nutzer.
  • Vergißt der Nutzer sein Losungswort, dann kann ihn die Maschine nicht identifizieren. Der Nutzer muß dann den Verwalter kontaktieren, der zur Ausgabe von neuen Losungsworten berechtigt ist. Das Zuteilen eines neuen Losungswortes an einen vergeßlichen Nutzer bringt weitere Sicherheitsrisiken mit sich, weil der Nutzer sich nun mit anderen Mitteln ausweisen muß. Ein Eindringling kann sich daher als Nutzer vorstellen und auf diese Weise ein neues Losungswort erhalten. Da außerdem dieses Verfahren für den vergeßlichen Nutzer unbequem ist, hat er den Anreiz, seine Losungsworte aufzuschreiben.
  • Ein weiteres Risiko liegt darin, daß ein Eindringling das Losungswort einfach dadurch erfahren kann, daß er den Nutzer bei der Eingabe beobachtet. Die Nutzer geben bei solchen Systemen ihr Losungswort an der Tastatur eines Computeranschlusses ein und so braucht der Eindringling nur den Nutzer bei der Eingabe zu beobachten.
  • Eine weitere Schwäche des Losungswortes liegt darin, daß ein Eindringling nur das Identifizierungsprotokoll eines Nutzers einmal gesehen haben muß, um sich dann als Nutzer auszugeben.
  • Diese Nachteile des Verfahrens mit Losungswort werden erfindungsgemäß dramatisch verringert.
  • Das "Privatfunktionsverfahren" ist bereits vorgeschlagen, aber selten, wenn überhaupt, benutzt worden. Im Protokoll macht der Nutzer seinen Anspruch auf Identität in der gleichen Weise geltend wie beim Losungswortverfahren. Anstelle eines Losungswortes wird jedem Nutzer eine mathematische Funktion zugewiesen, wie f(x) = 2x + 5. Anstelle der Aufforderung "Losungswort eingeben" sieht der Nutzer die Anzeige einer Nummer. Diese Nummer ist allgemein bei verschiedenen Gelegenheiten unterschiedlich. Der Nutzer muß dann die Funktion auf die Zahl anwenden (vorzugsweise durch Kopfrechnen) und muß das Resultat eingeben. Entspricht die eingegebene Nummer dem Rechenergebnis aus der Zahl und Funktion, dann erhält der Anmelder Zugang.
  • Der besondere Vorteil des Verfahrens liegt darin, daß es nicht möglich ist, diese nutzerbezogene Privattunktion durch Kenntnis von wenigen Protokollen zu ermitteln, weil viele mögliche Funktionen zu gleichen Resultaten mit den vorgegebenen Zahlen führen. Es sind aber nur wenige Personen glücklich, sich an mathematische Funktionen zu erinnern und Kopfrechnen ist mühsam.
  • So hat man auch das Verfahren mit "persönlichen Fragen" benutzt. Jedem Nutzer wird eine Reihe sehr persönlicher Fragen zugewiesen. Der Nutzer liefert dann Antworten auf die Fragen. Diese Antworten werden gespeichert, für gewöhnlich verschlüsselt. Beispiele sind "Geburtstag Ihrer Mutter?" oder "Name Ihres Hundes?". Während des Protokollablaufes zeigt die Maschine eine oder mehrere dem Nutzer zugewiesene Fragen an und der Nutzer gibt die Antworten ein. Diese werden automatisch geprüft und mit den gespeicherten Antworten verglichen. Liegt eine ausreichende Anzahl von richtigen Antworten vor, so wird die Identität akzeptiert.
  • Ein Vorteil liegt darin, daß Nutzer selten die Antworten auf diese Fragen vergessen. Andererseits können auch andere Personen als der Nutzer die Antworten kennen oder feststellen. Ein weiterer Nachteil liegt darin, daß es für Personen lästig ist, persönliche Fragen häufig zu beantworten, um sich zu identifizieren.
  • So stellt sich heraus, daß kein bekanntes Erkennungsverfahren basierend auf Protokollen völlig zufriedenstellend ist. Die Erfindung schafft ein Erkennungsverfahren, mit dem die Unterscheidungsinformation sowohl automatisch erzeugt wird als auch für die Nutzer leicht zu erinnern ist. Bei der Erfindung ist es für Eindringlinge schwierig, die Unterscheidungsinformation durch Einsehen von Protokollen zu ermitteln. Ein weiterer Vorteil ist der, daß die Maschine immer noch einen Nutzer identifizieren kann, auch wenn er Teile der Unterscheidungsinformation vergessen hat. Somit ist die Sicherheit bei dem erfindungsgemäßen Verfahren größer als bei den bisher vorgeschlagenen Protokollverfahren. In vielen Fällen kann das erfindungsgemäße Verfahren die Erkennungsverfahren ersetzen, die auf physikalischen Eigenschaften oder bestimmten Gegenständen basieren.
  • Die Erfindung schafft ein Erkennungsverfahren mit einem automatischen Generieren von Unterscheidungsinformationen, die den Nutzern zugewiesen werden, worauf die Nutzer später mit einem Verfahren identifiziert werden, das von einem Protokoll Gebrauch macht, in das der Nutzer die Unterscheidungsinformation in die Maschine eingibt. Diese Unterscheidungsinformation liegt in einer Gedankenverbindung zwischen einem Stichwort und einer Antwort: Eine solche Gedankenverbindung wird im folgenden als "Stichwort/Antwort-Paar" bezeichnet. Mindestens eines dieser automatisch erzeugten Stichwort/Antwort-Paare wird jedem Nutzer zugeteilt. Die spätere Identifizierung eines Anmelders als Nutzer erfolgt mit einem Protokoll, währenddessen die Maschine dem Anmelder die Stichworte aus mindestens einem Stichwort/Antwort-Paar vorlegt, die dem Nutzer zugewiesen sind. Die Maschine akzeptiert für jedes Stichwort eine Antwort. Die Maschine identifiziert den Anmelder als Nutzer, wenn der Anmelder die richtigen Antworten auf eine ausreichende Zahl von Stichworten liefert, wobei die richtige Antwort auf ein Stichwort die Antwort ist, die zu dem Stichwort eines Stichwort/Antwort-Paares gehört, das dem Nutzer zugewiesen ist. Die Anzahl der während eines Protokolls vorgelegten Stichworte kann fest oder veränderlich sein. Die Zahl der richtigen Antworten zur Erkennung einer Identität kann fest, aber auch veränderlich sein und kann ferner von der Zahl der falschen Antworten abhängig sein, die der Anmelder während des Protokolls gegeben hat.
  • Der Hauptvorteil der Erfindung gegenüber dem Losungswortverfahren liegt darin, daß das menschliche Gedächtnis für Gedankenverbindungen in den Stichwort/Antwort-Paaren, insbesondere bildhaften Stichwort/Antwort-Paaren, dauerhaft und zuverlässig ist. Wird das Stichwort eines vorher im Gedächtnis eingespeicherten Stichwort/Antwort-Paares vorgelegt, so ist dies eine starke Gedächtnishilfe, daß man sich an die Antwort erinnert. Ferner kann jedem Nutzer eine Zahl verschiedener Stichwort/Antwort-Paare zugewiesen werden, die zusammengenommen eine Menge an Unterscheidungsinformation bilden. Auch wenn sich ein Nutzer nicht an alle zugewiesenen Stichwort/Antwort-Paare erinnern kann, so wird er beinahe sicher soviele im Gedächtnis behalten, daß er identifizierbar ist. Deshalb ist für den Nutzer die Versuchung gering, die Stichwort/Antwort-Paare aufzuschreiben und es wird selten der Fall eintreten, daß der Nutzer soviele Stichwort/Antwort-Paare vergißt, daß ihn die Maschine nicht mehr positiv identifizieren kann. Ein weiterer Vorteil liegt darin, daß jedesmal, wenn ein Nutzer identifiziert wird, eine verschiedene Auswahl von Stichwort/Antwort-Paaren vorgelegt wird und auch in verschiedener Reihenfolge. Ein Eindringling müßte so verschiedene Protokolle einsehen und müßte sich eine Zahl von Stichwort/Antwort-Paaren notieren, um sicherzugehen, daß er sich als Nutzer ausgeben kann.
  • Ausführungsbeispiele der Erfindung werden nun erläutert.
  • So wird die Erfindung in einer Ausführungsform in einem Computersystem für viele Nutzer verwendet, bei dem der Zugang eines Anmelders an die Anlage und an die gespeicherten Informationen vom Computersystem abhängig ist, das den Anmelder als berechtigten Nutzer identifiziert.
  • In einer Ausführungsform der Erfindung sind die Stichworte und Antworten Wörter oder Phrasen. Ein Satz möglicher Stichworte, im folgenden Stichwortsatz genannt, und ein Satz möglicher Antworten, also Antwortsatz, werden in der Maschine gespeichert. Ein Stichwort/Antwort-Paar wird durch automatische Auswahl eines Stichworts aus dem Stichwortsatz und einer Antwort aus dem Antwortsatz generiert.
  • Der Antwort- und Stichwortsatz sollte so aufgebaut sein, daß sich ein Nutzer leicht mit Hilfe einer Gedankenbrücke an die Assoziierung von Stichwort und Antwort erinnern kann. Mit anderen Worten, ein Stichwort/Antwort-Paar sollte aus Stichwort und Antwort bestehen, an die sich der Nutzer leicht erinnern kann.
  • An solche Brücken kann man sich leicht erinnern, wenn der Stichwortsatz und der Antwortsatz aus bildhaften Worten oder Phrasen bestehen (Stichwortsatz und Antwortsatz können sich überlappen). In der cognitiven Psychologie ist es bekannt, daß das Gedächtnis leicht Gedankenbrücken zwischen bildhaften Wörtern behalten und wiedergeben kann. Solche Assoziierungen werden vom Gedächtnis ohne Verwechslung behalten, vorausgesetzt, daß die Stichworte alle verschieden sind.
  • Ein bildhaftes Wort, Phrase oder Satz ist so definiert, daß es leicht mit einem charakteristischen Bild assoziiert werden kann. Beispiele solcher bildhafter Wörter und Phrasen sind "Wolf", "Schloß", "brauner Zucker", "Clown", "Lichtblitz" "Freiheitsstatue". Beispiele von Wörtern und Phrasen, die nicht ohne weiteres bildhaft sind, folgende "feststellen", "entfernt", "irren", "gegensätzlich", "säkular", "Moment", "ein Grund zum Glauben". Bildhaftigkeit ist zu einem bestimmten Grad eine subjektive Eigenschaft und ist ferner eine Sache für eine Abstufung. Trotzdem ist es möglich, viele Wörter und Phrasen zu finden, die als sehr bildhaft einzustufen sind. Verfahren zum Aufstellen von linguistischen Ausdrücken, die man als sehr bildhaft einstufen wird, folgen nun.
  • Die Ausdrücke im Stichwortsatz und Antwortsatz sollten so beschaffen sein, daß die angesprochenen Nutzer diese sehr bildhaft finden. Dies hängt in hohem Maße von der kulturellen Herkunft des Nutzers ab und von Sprachen oder Dialekten, die er spricht. Es ist deshalb nicht möglich, definitive Listen von Stichworten und Antworten zu geben, die auf alle Nutzer jetzt und zukünftig passen. Es ist aber möglich, Listen mit linguistischen Ausdrücken aufzustellen, die für eine Nutzergruppe bildhaft sind, wenn man die Ausdrücke nach folgenden Kriterien auswählt.
  • Damit ein Nutzer einen Ausdruck bildhaft einstufen kann, muß er ein genaues Verständnis seiner Bedeutung haben. So ist das Wort "Sextant" für eine Person nicht ohne weiteres bildhaft, die das Wort nicht kennt, oder für jemanden, der zwar das Wort kennt, aber nicht weiß, wie ein Sextant aussieht. Für einen englischen Seemann ist aber das Wort "Sextant" stark bildhaft.
  • Ferner sollten die folgenden Kategorien von Wörtern und Phrasen bildhaft sein:
  • Namen und Beschreibungen von bekannten Gegenständen, wie "Auto", "Tisch", "Gabel", "Leuchtturm", "Bierglas".
  • Worte und Phrasen zur Beschreibung von Leuten, Tieren oder Pflanzen, wie "Clown", "Baby", "Katze", "Giraffe", "Rose", "Soldat".
  • Bezeichnungen von gut bekannten (möglicherweise fiktiven) Menschen oder Plätzen wie "Sherlock Holmes", "Venedig", "Eiffelturm".
  • Namen oder Beschreibungen von eindrucksvollen Attributen, wie "purpur", "klebrig", "zerknirscht".
  • Namen oder Beschreibungen von Substanzen wie "Teer", "Käse", "Granit".
  • Namen oder Beschreibungen physikalischer Vorgänge wie "Laufen", "Schleifen", "Fleisch grillen", "Glas brechen".
  • Namen oder Beschreibungen von besonderen Ereignissen wie "Sonnenuntergang", "Finale", "ein Soldat grüßt", "ein nebliger Morgen im Herbst im Blättern auf dem Boden" oder "der Junge stand auf dem brennenden Deck".
  • Diese Kategorien schließen sich gegenseitig nicht aus. Die meisten bildhaften Ausdrücke sind Beschreibungen physikalischer Ganzheiten in dem Sinn, daß sie sich auf Gegenstände, Menschen, Tiere, Pflanzen, Substanzen beziehen oder diese beschreiben, wobei diese Gesamtheiten weiter spezifiziert werden können, wenn sie mit einem Vorgang, Ereignis oder Prozeß verknüpft sind, also bildhafte Ausdrücke wie "ein Soldat grüßt", "Strohfeuer", "verschüttete Milch", "der Tiger springt". Einzelne Wörter wie Meer, Mond, Schiff, Kerker, können ebenfalls Ausdrücke physikalischer Ganzheiten sein, ob nun diese nur einmal existiert wie "Sonne" oder allgemein wie in "Schiff".
  • Ein drittes Kriterium für Bildhaftigkeit liegt darin, daß ein Wort nicht eine zu allgemeine Bedeutung haben sollte. So sind beispielsweise "Wohnung", "Möbel", "Metgerei", "Angestellter" und "Tier" weniger bildhaft als "Bungalow", "Stuhl", "Messer", "Verkäufer" und "Hase". Ein allgemeiner Ausdruck muß nicht stark bildhaft sein, wenn man ihn nicht zu einer gewissen Ähnlichkeit der Erscheinung unterscheiden kann.
  • Die obigen drei Kriterien für Bildhaftigkeit sollten ausreichen, daß man sichergeht, daß ein diese Kriterien erfüllender Ausdruck für die meisten Nutzer ausreichend bildhaft ist. Wenn aber beim Aufbau eines Satzes bildhafter Ausdrücke festgestellt wird, daß die Kriterien nur schwer mit Genauigkeit angewendet werden können, dann sollte man ein zusätzliches Verfahren zur Auswahl solcher Wörter benutzen, die für die Nutzer leichter bildhaft sind, wie folgt:
  • Es sollte eine Zufallsauswahl von Nutzern der Maschine oder eine Zufallsauswahl von Personen mit ähnlicher Bildung und kultureller Herkunft als Zielgruppe ausgewählt werden. Diese ausgewählten Personen sollten auch die gleichen Dialekte der gleichen Sprache wie die Zielgruppe sprechen. Ein Vorrat von gut bekannten Wörtern in den von der Zielgruppe gesprochenen Dialekten sollte entsprechend den obigen drei Kriterien ausgewählt werden und die ausgewählten Personen sollten befragt werden, wie bildhaft sie jedes Wort in dem Vorrat einschätzen.
  • Einschätzungen hinsichtlich des Ranges der Bildhaftigkeit der Wörter und Ausdrücke werden wie folgt vorgenommen. Jede Person erhält eine Liste von Ausdrücken und wird befragt, wie leicht es ist, sich ein Bild von der Bedeutung des Ausdruckes zu schaffen. Die Einschätzungen sollten in einer Skala von 1 bis 5 bewertet werden. Der Wert 1 bedeutet Schwierigkeiten bei der Bildvorstellung und 5 eine einfache Bildvorstellung. Die Einschätzungen der Personen werden dann analysiert, wobei man bekannte Verfahren der Psychologie benutzt und man wird dann jede Ausdrücke wählen, die von den angesprochenen Personen als bildhaft angesehen wurden.
  • Ist die Zielgruppe der Nutzer linguistisch und kulturell heterogen, so kann es nötig sein, verschiedene Vorräte bildhafter Ausdrücke für unterschiedliche Untergruppen der Zielgruppe zusammenzustellen.
  • Ein Stichwortsatz und ein Antwortsatz können in folgender Weise aufgebaut werden. Beide Sätzen sollten Sammlungen bildhafter Ausdrücke sein.
  • Stichworte sollten eindeutig und spezifisch sein. Wenn auch beispielsweise "Murmel" sehr bildhaft ist, so ist es doch als Stichwort nicht geeignet, weil dieser Ausdruck zweideutig ist, da er ein Tier oder eine kleine Glaskugel bedeuten kann. Diese Zweideutigkeit führt zu Schwierigkeiten, sich an eine Antwort zu erinnern, die mit "Murmel" assoziiert ist, weil der Nutzer das Stichwort "Murmel" unterschiedlich interpretieren kann, je nachdem, ob er an das Tier denkt oder die kleine Glaskugel.
  • Passende Ausdrücke für Stichworte sind beispielsweise "Lehnstuhl", "Kiefer", "Makrele", "Schnee am Bergesgipfel".
  • Passende Antworten lassen sich wie folgt wählen. Auch die Antworten sollten bildhaft sein. Sie sollten kurz sein, so daß sie schnell eingegeben werden können. Sie sollten leicht zu buchstabieren sein (Giraffe ist keine gute Antwort). Es sollte sich um allgemeine Ausdrücke handeln, damit man sich leicht erinnern kann. Zweideutigkeit macht nichts. Ferner sollten keine anderen, ebenfalls gebräuchliche kurze Ausdrücke gewählt werden, die ähnliche Bedeutung haben, weil in der Erinnerung Verwechslungen passieren können, wenn für die Antworten gebräuchliche Synonyme existieren. Beispielsweise sind in "Landstraße", "Fahrweg" und "Straße" zu ähnlich, um sie als Antwort zuzulassen. "Karotte" ist aber ein Wort ohne nahes Synonym und ist deshalb als Antwort durchaus geeignet.
  • Beispiele für passende Ausdrücke als Antworten sind "Ei", "Tasse", "Stift", "Ratte", "Auge", "Frau", "Stuhl", "Wasser", "Mond", "Fisch", "Rose", "Gabel".
  • So ist es möglich, eine Sammlung von mehr als 1.000 Wörtern zu bilden, die für Antworten passen und für Nutzer mit der Muttersprache Englisch gelten.
  • Es ist bekannt, daß es für Personen leicht ist, sich an Assoziationen zwischen Stichwort und Antwort zu erinnern, wenn Stichwort und Antwort bildhafte Ausdrücke sind. Nutzer sollten angewiesen werden, die Assoziation im Gedächtnis so vorzunehmen, daß sie ein Sinnbild konstruieren, indem Stichwort und Antwort interagieren oder daß sie einen Satz bilden, der Stichwort und Antwort enthält und diese Wörter verbindet. Eine Assoziation von bildhaften Wörtern oder Ausdrücken ist auch dann erinnerungsfähig, wenn keine konventionelle oder plausible Assoziation zwischen ihnen besteht.
  • Um beispielsweise eine Assoziation von "Wolf" und "Krone" zu memorieren, sollte sich eine Person einen bekrönten Wolf vorstellen oder man merkt sich den Satz "der Wolf trägt die Krone". Das Bild oder der Satz zum Einspeichern der Assoziation im Gedächtnis kann real oder phantastisch sein. Der Satz oder das Sinnbild, das eine Person benutzt, soll dem Gedächtnis eine Assoziation liefern, an die man sich nicht selbst zu erinnern braucht: Der Vorgang, ein Sinnbild oder einen Satz zu konstruieren, dient nur als Hilfe, sich die Assoziierung zu merken. Dieses Gedächtnisphänomen ist seit langem bekannt und wurde von Psychologen studiert.
  • Eine Assoziierung merkt man sich im Gedächtnis in dem Sinne, daß bei Vorlage des Stichwortes die Antwort leicht fällt. Hat sich beispielsweise eine Person die Assoziation von "Wolf" und "Krone" gemerkt und wird dann die Person befragt, sich an das mit "Wolf" assoziierte Wort zu erinnern, dann kann sich die Person leicht an das Wort "Krone" erinnern, vorausgesetzt, daß die Assoziierung von "Wolf" und irgendwelchen anderen Antworten nicht im Gedächtnis gespeichert wurde.
  • Ein einmal generiertes Stichwort/Antwort-Paar wird einem Nutzer durch Anzeigen des Stichwortes und der Antwort vermittelt. Dies kann beispielsweise mit einem automatisch gedruckten Papierstreifen erfolgen, oder durch Anzeige des Stichwortes und der Antwort auf einem Bildschirm.
  • Ein alternatives Verfahren zum automatischen Generieren und Zuweisen von Stichwort/Antwort-Paaren geht wie folgt. Ein Antwortsatz ist in der Maschine, wie zuvor, aber kein Stichwortsatz. Wenn für einen Nutzer ein Stichwort/Antwort-Paar generiert werden soll, so wählt der Nutzer ein Stichwort und gibt es in die Maschine ein und die Maschine wählt dann automatisch eine Antwort aus dem Antwortsatz aus und legt sie dem Nutzer vor.
  • Vorzugsweise wird eine Einrichtung für den Nutzer vorgesehen, die ihn in die Lage versetzt zu bestimmen, ob er das ihm zugewiesene Stichwort/Antwort-Paar akzeptieren oder zurückweisen will. Akzeptiert er das Stichwort/Antwort-Paar, dann erfolgt eine Aufzeichnung einer Assoziierung zwischen Nutzer, Stichwort und Antwort, im folgenden Nutzer-Stichwort-Antwort-Rekord genannt, in der Maschine.
  • Sobald ein Stichwort/Antwort-Paar einem Nutzer zugewiesen worden ist, so gehört es zu den "laufenden" Stichwort/Antwort-Paaren des Nutzers, das dem Nutzer zugewiesen worden ist und das für nachfolgende Identifizierungen eines Anmelders als Nutzer benutzt werden kann.
  • Um zu vermeiden, daß die Sammlung von laufenden Stichwort/Antwort-Paaren für den Nutzer ständig ohne Einschränkung anwächst, ist es nötig, daß einige solcher Stichwort/Antwort-Paare periodisch eliminiert werden. Ist ein solches Stichwort/Antwort-Paar einmal eliminiert, so wird es nicht mehr zur Identifizierung eines Anmelders benutzt, außer in dem unwahrscheinlichen Fall, daß das gleiche Stichwort/Antwort-Paar wiederum dem gleichen Nutzer zugeteilt wird.
  • Verschiedene Anordnungen zum Ausführen der Zuweisung und zum Eliminieren von Stichwort/Antwort-Paaren sind möglich. Die Zuweisung von Stichwort/Antwort-Paaren kann automatisch durch die Maschine erfolgen oder unter Mitwirkung des Nutzers. Eine mögliche Form der automatischen Eingabe in einer Maschine liegt darin, die Zuweisung von neuen Stichwort/Antwort-Paaren an Nutzer in bestimmten festen Zeitintervallen vorzunehmen oder nachdem eine bestimmte Zahl von Identifizierungen vorgenommen wurde. Alternativ oder zusätzlich kann für den Nutzer vorgesehen sein, daß er die Zuweisung eines neuen Stichwort/Antwort-Paares verlangt.
  • Auch das Eliminieren von Stichwort/Antwort-Paaren kann vom Benutzer oder maschinell gesteuert werden. Eine Einrichtung kann für den Nutzer vorgesehen sein, um alle Stichworte seiner laufenden Stichwort/Antwort-Paare zu betrachten und dann weist er die Maschine an, bestimmte Paare zu löschen. Es kann aber auch die Maschine eingerichtet sein, ein Stichwort/Antwort-Paar nach einer bestimmten Zeitspanne zu löschen oder nachdem es mehrfach benutzt wurde.
  • Liegt die Zuweisung und das Löschen beim Nutzer, so kann es für die Maschine nötig sein, eine untere und vielleicht auch eine obere Grenze für die Anzahl von Stichwort/Antwort-Paaren vorzugeben.
  • Es ist wichtig, daß das gleiche Stichwort nicht bei zwei Stichwort/Antwort- Paaren vorhanden ist. Um den Gedächtniseffekt von Stichworten beizubehalten, ist es auch bevorzugt, daß eine Zeitdauer zwischen dem Löschen eines Stichwort/- Antwort-Paares und der Zuweisung eines anderen Stichwort/Antwort-Paares mit gleichem Stichwort verstreicht.
  • Die Identität eines Anmelders wird mittels eines Informationsaustausch-Protokolls verifiziert. Wie beim Losungswortsystem zeigt die Maschine an, daß der Anmelder einen Anspruch auf Identität erhebt. Der Anmelder gibt eine Nutzeridentifikation ein oder schiebt eine Magnetkarte ein o.ä., um sich als Nutzer erkennen zu geben.
  • Die Maschine wählt dann mindestens ein Stichwort/Antwort-Paar aus, das für den vorgestellten Nutzer gültig ist und die Maschine verifiziert dann die Kenntnis des Anmelders dieser Stichwort/Antwort-Paare. Dies erfolgt durch Anzeige des Stichwortes für den Anmelder, worauf die Antwort vom Anmelder eingeht und dann die Antwort mit der Antwort im Stichwort/Antwort-Paar automatisch verglichen wird.
  • Lautet beispielsweise ein Stichwort/Antwort-Paar für den Nutzer "Narzisse- Fisch", dann kann die Maschine dieses Paar auswählen und anzeigen mit der Angabe "Geben Sie eine Antwort auf "Narzisse" oder aber auch ganz einfach "Narzisse". Dies zeigt dem Anmelder an, daß er dann "Fisch" eingibt.
  • Alternativ kann die Maschine eine Nachricht anzeigen, wie "Taste drücken für Stichwort und dann Antwort eingeben". Der Anmelder drückt dann eine Taste, worauf die Maschine das Stichwort liefert. Das Stichwort kann entweder solange angezeigt werden, wie es vom Anmelder bestimmt ist (z.B. solange die Taste niedergedrückt bleibt) oder für eine feste Zeitspanne, z.B. 1 s. Dieses Verfahren zur Vorgabe des Stichwortes auf Verlangen hat den Vorteil, daß es für einen Bindring ling schwieriger ist, beide Vorgänge zu sehen, nämlich das anzeigte Stichwort und die im Protokoll eingegebene Antwort. Hat jeder Nutzer mehrere laufende Stichwort/Antwort-Paare, dann muß ein Eindringling wissen, welche Stichworte mit welchen Antworten assoziiert sind, um sich als Nutzer auszugeben. Werden die Stichworte nur kurz angezeigt und auf Verlangen während des Protokolls, daßnn ist es für einen Eindringlich schwierig, dieses Wissen durch gelegentliche Beobachtung eines Nutzers zu erlangen, der sich selbst an der Maschine identifiziert.
  • Die Maschine verifiziert die Antwort des Anmelders auf jedes während des Protokolls vorgelegte Stichwort.
  • Die einfachste Methode besteht für die Maschine darin, zu bestimmen, ob die Antwort mit der Antwort in dem Nutzer Stichwort/Antwort-Rekord identisch ist. Mit dieser Methode hat die Verifizierung nur zwei mögliche Ergebnisse: Erfolg, wenn die gegebene mit der gespeicherten Antwort identisch ist, sonst Mißerfolg.
  • Ein Nachteil dieser einfachen Methode liegt darin, daß Nutzer oft mit Worten antworten, die der Bedeutung nach den richtigen Antworten nahekommen. Nutzer erinnern sich an die bildhafte Bedeutung der Antwort und nicht nötigerweise an das richtige Wort, das die Bedeutung widergibt. Ist beispielsweise die richtige Antwort "Stein", dann könnte ein Nutzer auch antworten "Felsen" oder "Forelle" oder "Fisch" könnten für "Lachs" stehen. Obwohl solche Antworten nicht mit den richtigen Antworten identisch sind, können sie doch einen Nachweis dafür liefern, daß der Anmelder das Stichwort/Antwort-Paar kennt. Berücksichtigt man diese teilweise richtigen Antworten, so ist es möglich, Nutzer zuverlässiger und mit kürzeren Protokollen zu identifizieren.
  • Teilweise richtige Antworten können von gespeicherten Tabellen wahrscheinlicher Antworten festgestellt werden, die Nutzer aufjede Antwort geben können. So sind mögliche Antworten für "Fahrstraße" auch folgende Begriffe wie "Straße", "Fahrstreifen" oder "Landstraße". Für jede gespeicherte Antwort und jede gegebene Antwort erfolgt eine numerische Bewertung. Die gespeicherte Information, wie sie benötigt wird, besteht deshalb aus einem Treffer-Rekord von gespeicherten und gegebenen Antworten, so daß zu jeder Antwort eine mögliche Antwort und die Trefferbewertung gehört. Die Anzahl der möglichen Antworten ist natürlich sehr hoch und es ist unpraktisch und unnötig, die Treffer für alle möglichen gegebenen Antworten zu speichern. Es ist nur nötig, bestimmte Trefferlisten für eine kleine Anzahl von sehr wahrscheinlichen gegebenen Antworten zu führen und auch die Fehlerzahl zu bewerten.
  • Die Trefferliste für eine gegebene Antwort wird wie folgt berechnet. Soll die korrekte gespeicherte Antwort ein S sein und gibt der Anmelder die Antwort R ein, und wird eine Trefferaufzeichnung für die gespeicherte Antwort S und die gegebene Antwort R vorgehalten, dann wird der Treffer in der Aufzeichnung spezifiziert. Wird keine Trefferaufzeichnung für S und R vorgehalten, dann erhält die Bewertung den Fehler für S.
  • Unterschiedliche Kriterien zum Wählen numerischer Werte der Treffer sind möglich. Alle vernünftigen Kriterien haben zwei Eigenschaften. Zuerst sollten gegebene Antworten, die gemeinhin für eine gespeicherte Antwort substituiert werden, hohe Trefferwertungen für die gespeicherte Antwort besitzen und gegebene Antworten, die selten für die gespeicherte Antwort substituiert werden, sollten niedrige Wertungsziffern für die Antworten besitzen. Zweitens sollte eine gegebene Antwort, die gemeinhin für viele gespeicherten Antworten substituiert werden kann und insbesondere für die gespeicherte Antwort S, eine niedrigere Bewertung für die gespeicherte Antwort S als eine andere gegebene Antwort haben, die gleich wahrscheinlich für S substituiert wird, die aber selten für eine gespeicherte Antwort substituiert wird, die nicht S ist.
  • Im Laufe eines Identifizierungsprotokolls kann die Maschine testen, ob der Anmelder mehr als ein Stichwort/Antwort-Paar kennt. Nachdem der Anmelder seinen Anspruch auf Identität gestellt hat, kann die Maschine eine Abfolge von laufenden Stichwort/Antwort-Paaren für den Nutzer auswählen und sie kann in der bereits beschriebenen Weise prüfen, ob der Anmelder jedes Stichwort/Antwort-Paar kennt. Solange der Test läuft, führt die Maschine eine Aufzeichnung der Zahl der getesteten Stichwort/Antwort-Paare und der Gesamttreffer, die die Person erzielt hat. Wird die einfache Identifizierungsmethode benutzt, so führt die Maschine eine Zählung der Anzahl der erfolgreichen Identifizierungen aus, anstatt eine Gesamtwertung zu führen.
  • Die Maschine akzeptiert oder verwirft den Identitätsanspruch eines Anmelders, abhängig davon, ob die Gesamtwertung des Anmelders (Gesamtzahl der richtigen Antworten) über einen Akzeptanz-Schwellwert ansteigt oder unter einen Zurückweisungs-Schwellwert abfällt. Die Höhe dieser beiden Schwellwerte kann abhängig von der Anzahl der Stichwort/Antwort-Paare variieren. Beispielsweise können die Schwellwerte so gesetzt werden, daß beim einfachen Identifizierungsverfahren die Maschine den Anspruch des Anmelders auf Identität nur dann akzeptiert, wenn beide der ersten zwei Antworten richtig waren, oder drei Antworten richtig aus den ersten vier Antworten oder vier Antworten aus den ersten sechs Antworten, andernfalls der Anspruch zurückgewiesen wird.
  • Eine alternative Methode zum Testen eines Anmelders auf mehrere Stichwort/Antwort-Paare erfolgt durch gleichzeitiges Vorlegen verschiedener Stichworte. Der Anmelder kann dann antworten, indem er die entsprechenden Antworten in der richtigen Reihenfolge eingibt.
  • Eine Einrichtung zum Durchführen des Verfahrens für eine Nutzergruppe in der beschriebenen Weise sollte mit einem Computer, Tastatur und Bildschirm erfolgen, wobei das Programm die vorbeschriebenen Funktionen ausführt. Die Programmierung kann einfach von Durchschnittsfachleuten ausgeführt werden, die mit gegenwärtigen Losungswortsystemen vertraut sind.
  • Die Erfindung kann auch bei einem Kombinationsschloß angewendet werden, bei dem das Einschieben einer Karte die mechanische Drehung von einer oder mehreren Wählscheiben veranlaßt, um so ein oder mehrere Symbole zur Anzeige zu bringen, welche das Stichwort darstellen. Der Benutzer wird dann aufgefordert, die Wählscheibe oder Wählscheiben zu anderen Symbolen zu verdrehen, um so die richtige Antwort zu geben.
  • Ein Ausführungsbeispiel der Erfindung zum Ausführen des Verfahrens soll nun anhand der Zeichnung erläutert werden. Es zeigen:
  • Fig. 1 ein Blockschaltbild einer Einrichtung zum Durchführen des Verfahrens;
  • Fig. 2 ein Flußdiagramm, das den Betrieb der Einrichtung in Fig. 1 wiedergibt und
  • Fig. 3 ein Flußdiagramm, das zeigt, wie die Stichwort/Antwort-Paare generiert und zugewiesen werden.
  • In Fig. 1 besteht die Einrichtung aus einer Eingabe 1, wie einer Tastatur, die an einen Prozessor 2 angeschlossen ist, der wiederum mit einem Monitor 3 verbunden ist. Der Prozessor 2 wird mit einem Speicher 4 verbunden, der neben oder entfernt dem Prozessor steht und mit ihm über eine Telefonleitung o.ä. verbunden ist. Der Prozessor 2 generiert ein Ausgangssignal auf einer Leitung 5 in Übereinstimmung damit, ob ein Nutzer an der Eingabe 1 identifiziert worden ist.
  • Der Speicher 4 enthält einen Satz von Nutzer Stichwort/Antwort-Rekords (UCR) für jeden möglichen Nutzer des Systems. Jeder UCR-Rekord besitzt vier Felder, nämlich:
  • Nutzeridee : Nutzeridee des Nutzers
  • Stichwort : das Stichwort
  • Antwort : die Antwort
  • n_Durchläufe: die Anzahl, wie oft der Rekord während der Identifizierungsprotokolle benutzt worden ist.
  • Der Prozessor 2 hat zwei voreingestellte Parameter, nämlich max_Anforderungen : die maximale Zahl der Stichworte, die im Laufe eines Identifizierungsprotokolls vorgelegt werden kann,
  • Schwellwert(n): Schwellwert(n) wird für n so definiert, daß 1 ≤ n ≤ max_Anforderungen. 0 ≤ Schwellwert(n) ≤ n.
  • Schwellwert(n) ist die minimale Zahl der richtigen gegebenen Antworten, die für eine erfolgreiche Identifizierung erforderlich sind, nachdem n Stichworte vorgelegt worden sind.
  • Am Anfang weist der CPU 2 den Monitor 3 an, eine Nutzeridee vom Anmelder zu verlangen (Schritt 10 in Fig. 1) und der Anmelder gibt seine Nutzeridee über die Eingabe 1 ein. Der Prozessor 2 holt dann aus dem Speicher 4 alle UCR-Rekords, deren Nutzeridee-Feld zu der eingegebenen Nutzeridee paßt (Schritt 11). Der Prozessor 2 shuffles dann die Liste in einer willkürlichen Reihenfolge (Schritt 12) und setzt die Variable n auf 1 und die Variable c auf 0 (Schritt 13).
  • Der Prozessor 2 tritt dann in eine Schleife ein, in der der Schritt 14 bestimmt, ob der n-te UCR Rekord existiert und wenn nicht, zeigt der Prozessor 2 auf der Leitung 5 an, daß die Identifizierung abgebrochen wurde (Schritt 15). Wenn aber der Rekord existiert, dann zeigt der Prozessor 2 das Stichwort an, daß dem n-ten Rekord am Monitor entspricht (Schritt 16). Der Anmelder gibt dann eine Antwort auf das Stichwort über die Eingabe 1 ein und der Prozessor 2 vergleicht die eingegebene Antwort mit der gespeicherten Antwort im UCR Rekord (Schritt 17). Passen die gegebene und die gespeicherte Antwort überein, so wird die Variable C um 1 erhöht (Schritt 18). Ferner wird das n_Nutzerfeld des UCR Rekords um 1 erhöht (Schritt 19).
  • Im Schritt 20 wird der laufende Wert der Variablen c mit dem voreingestell ten Schwellwert (n) verglichen und wenn er größer oder gleich ist als der Schwellwert, so ist die Identifizierung erfolgreich und ein passendes Signal wird auf der Leitung 5 ausgegeben
  • Ist c kleiner als der Schwellwert (n), dann vergleicht der Prozessor im Schritt 21 den laufenden Wert n mit den voreingestellten max_Anforderungen. Ist n größer oder gleich den max_Anforderungen, dann ist die Identifizierung unmöglich, während sonst n um 1 erhöht wird (Schritt 22) und das Verfahren zum Schritt 14 zurückkehrt.
  • Fig. 3 zeigt den Betrieb des Systems, wenn ein neues Stichwort/Antwort-Paar eingestellt werden soll. Am Anfang wird ein Parameter für n_Rekords aufgestellt, der eine Anzahl von UCR Rekords zur Speicherung für jeden Nutzer repräsentiert.
  • Will ein Nutzer einen neuen UCR Rekord auf seine Liste bringen, so gibt er seine Nutzeridee ein und der Prozessor 2 holt eine Liste der UCR Rekords für den Nutzer aus dem Speicher 4 (Schritt 30). Der Prozessor 2 prüft dann, ob die laufende Nummer der Rekords in der Liste kleiner ist als die Parameter n_Rekords im Schritt 31 und ist dies nicht der Fall, so wird der Nutzer gefragt, ob er einen neuen UCR Rekord auswählen will (Schritt 32). Will er nicht, so stoppt das Verfahren. Will aber der Nutzer einen neuen UCR_Rekord wählen oder ist die Zahl der Rekords kleiner als n_Rekords, so wählt der Prozessor 2 willkürlich ein Stichwort aus einer Stichwortliste im Speicher 4 (Schritt 33). Der Prozessor prüft dann, ob das Stichwort bereits als Stichwort oder Antwort in einem der Nutzer UCR_Rekords auftritt (Schritt 34) und ist dies der Fall, wählt er dann ein anderes Stichwort. Ist dies nicht der Fall, dann wählt der Prozessor willkürlich eine Antwort aus der Antwortliste im Speicher 4 (Schritt 35) und das ausgewählte Stichwort und die Antwort werden am Monitor 3 angezeigt (Schritt 36).
  • Dann fordert der Prozessor den Nutzer auf, zu entscheiden, ob der das neue Stichwort/Antwort-Paar akzeptiert (Schritt 37) und wenn nicht, so stoppt der Vorgang. Akzeptiert er aber das Paar, so wird ein neuer UCR_Rekord gebildet (Schritt 38). Ist die Anzahl der UCR_Rekords in der Liste bereits größer oder gleich dem Parameter n_Rekords, dann wird einer der UCR_Rekords entfernt (Schritt 39) und ein neuer UCR_Rekord wird hinzugefügt (Schritt 40). Ist die Zahl der UCR_ Rekords, die jetzt gespeichert ist, kleiner als n_Rekords, so kehrt das Verfahren zum Schritt 32 zurück, ansonsten endet der Vorgang (Schritt 41).

Claims (21)

1. Verfahren zum maschinellen Verifizieren einer Personenidentität, bei dem mindestens ein Stichwort/Antwort-Paar einer berechtigten Person über ein Zuweisungssystem zugewiesen worden ist, das Speichermittel zum Speichern bestimmter, als Stichworte und Antworten passender Ausdrücke und Wahlmittel zum Auswählen mindestens eines Ausdrucks aus den Speichermitteln und zum Aufzeichnen eines Paares von Ausdrücken als ein Stichwort/Antwort-Paar aufweist, wobei mindestens ein Ausdruck aus dem Satz bestimmter Ausdrücke ausgewählt ist, die einer bestimmten Person zugewiesen sind, wobei das Verfahren beinhaltet, daß für mindestens ein der berechtigten Person vorher zugewiesenes Stichwort/Antwort- Paar das Stichwort des Stichwort/Antwort-Paares dem Anmelder vorgelegt wird und die vom Anmelder eingegebene Antwort dadurch verifiziert wird, daß sie mit der Antwort aus dem Stichwort/Antwort-Paar verglichen wird.
2. Verfahren nach Anspruch 1, bei dem jeder Person eine Gruppe von Ausdruckspaaren zugewiesen ist, wobei ein zweites Stichwort aus der Gruppe vorgelegt wird, wenn die Antwort des Anmelders auf das zuerst vorgelegte Stichwort falsch ist.
3. Verfahren nach Anspruch 2, bei dem während der Verifizierung einer Anmelderidentität als berechtigter Nutzer eine Anzahl von dem Nutzer zugewiesenen Stichwort/Antwort-Paaren automatisch ausgewählt wird und die Antworten dem Anmelder vorgelegt werden und die Antworten des Anmelders mit den jeweiligen Antworten verglichen werden und die Annahme der Anmelderidentität als Nutzer davon abhängt, daß eine ausreichende Anzahl von Anmelderantworten als die gleiche wie die jeweiligen Antworten verifiziert werden.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Gesamtzahl der während der Verifizierung einer Anmelderidentität vorgelegten Stichworte abhängig ist von der Anzahl der vom Anmelder gegebenen falschen Antworten.
5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem nicht alle Nutzer Stichwort/Antwort-Paare mit den gleichen Stichworten haben.
6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jedes während der Verifizierung einer Anmelderidentität vorgelegte Stichwort während einer konstanten Zeitdauer vorgelegt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem während der Verifizierung einer Anmelderidentität jedes Stichwort nur auf Verlangen des Anmelders vorgelegt wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem jedes Stichwort nur während einer Zeitdauer vorgelegt wird, die vom Anmelder beim Drücken einer Taste bestimmt wird.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem beide Ausdrücke des Paares aus den Speichermitteln gewählt werden.
10. Verfahren nach einem der Ansprüche 1 bis 8, bei dem die Person einen der Ausdrücke eingibt und der andere automatisch zugewiesen wird.
11. Verfahren nach Anspruch 10, bei dem die Ausdrücke innerhalb einer Gruppe nicht wiederholt werden.
12. Verfahren nach einem vorhergehenden Anspruch, bei dem getrennte Speicher für die Stichwort-Ausdrücke und Antwort-Ausdrücke vorgesehen sind.
13. Verfahren nach einem vorhergehenden Anspruch, bei dem die Stichworte aus Wörtern, Phrasen oder Sätzen bestehen.
14. Verfahren nach einem vorhergehenden Anspruch, bei dem die Stichworte aus Hauptwörtern oder Hauptwortphrasen bestehen.
15. Verfahren nach einem vorhergehenden Anspruch, bei dem die Stichworte Beschreibungen von physikalischen Begriffen sind.
16. Verfahren nach einem vorhergehenden Anspruch, bei dem die Stichworte bildhafte, linguistische Ausdrücke sind.
17. Verfahren nach einem vorhergehenden Anspruch, bei dem die Stichworte bildhafte Darstellungen sind.
18. Verfahren nach einem vorhergehenden Anspruch, bei dem die Antworten Wörter, Phrasen oder Sätze sind.
19. Verfahren nach einem vorhergehenden Anspruch, bei dem die Antworten Hauptwörter und Hauptwortphrasen sind.
20. Verfahren nach einem vorhergehenden Anspruch, bei dem die Antworten Beschreibungen von physikalischen Begriffen sind.
21. Verfahren nach einem vorhergehenden Anspruch, bei dem die Antworten bildhafte linguistische Ausdrücke sind.
DE69030101T 1989-12-08 1990-12-07 Verfahren zur automatischen überprüfung von personalidentität Expired - Fee Related DE69030101T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB898927855A GB8927855D0 (en) 1989-12-08 1989-12-08 A method of automatic verification of personal identity
PCT/GB1990/001908 WO1991009383A1 (en) 1989-12-08 1990-12-07 A method of automatic verification of personal identity

Publications (2)

Publication Number Publication Date
DE69030101D1 DE69030101D1 (de) 1997-04-10
DE69030101T2 true DE69030101T2 (de) 1997-06-12

Family

ID=10667681

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69030101T Expired - Fee Related DE69030101T2 (de) 1989-12-08 1990-12-07 Verfahren zur automatischen überprüfung von personalidentität

Country Status (6)

Country Link
EP (1) EP0504249B1 (de)
JP (1) JPH05504429A (de)
AT (1) ATE149720T1 (de)
DE (1) DE69030101T2 (de)
GB (1) GB8927855D0 (de)
WO (1) WO1991009383A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9828208D0 (en) * 1998-12-21 1999-02-17 Gardner Richard M Secure payment card
WO2001069543A1 (en) * 2000-03-14 2001-09-20 British Telecommunications Public Limited Company Secure services
CA2399946A1 (en) * 2000-03-14 2001-08-20 British Telecommunications Public Limited Company An identification code format
EP1134703A1 (de) * 2000-03-14 2001-09-19 BRITISH TELECOMMUNICATIONS public limited company Gesicherte Dienstleistungen
FR2824208A1 (fr) * 2001-04-26 2002-10-31 Schlumberger Systems & Service Procede et dispositif d'attribution d'un code d'authentification
JP4011874B2 (ja) * 2001-05-29 2007-11-21 村田機械株式会社 パスワードの再生装置、及びそのプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6191790A (ja) * 1984-10-12 1986-05-09 カシオ計算機株式会社 カ−ド照合装置
JP2856393B2 (ja) * 1987-02-17 1999-02-10 株式会社東芝 携帯可能電子装置
JPS63238663A (ja) * 1987-03-26 1988-10-04 Mitsubishi Electric Corp 情報伝送システム

Also Published As

Publication number Publication date
DE69030101D1 (de) 1997-04-10
ATE149720T1 (de) 1997-03-15
EP0504249B1 (de) 1997-03-05
JPH05504429A (ja) 1993-07-08
WO1991009383A1 (en) 1991-06-27
GB8927855D0 (en) 1990-02-14
EP0504249A1 (de) 1992-09-23

Similar Documents

Publication Publication Date Title
US5719560A (en) Method of automatic verification of personal identity
Norris The Exemplary Exception: Philosophical and Political Decisions in Giorgio Agamben's Homo Sacer
Geisler Christian apologetics
Evans Faith beyond reason: A Kierkegaardian account
Shiffrin The first amendment, democracy, and romance
Salam The Hoax phenomenon in indonesian society: Observing anti-diversity memes since 2014
EP0917678B1 (de) Verfahren zur verifizierung der identität eines benutzers einer mit einer tastatur zur erzeugung alphanumerischer zeichen zu bedienenden datenverarbeitungsanlage
Spanos et al. Are hypnotically induced pseudomemories resistant to cross-examination?
Peynircioǧlu A feeling-of-recognition without identification
DE69030101T2 (de) Verfahren zur automatischen überprüfung von personalidentität
DE2254597A1 (de) Verfahren zum identifizieren von einzelpersonen unter verwendung ausgewaehlter koerpermerkmale
Flowe An exploration of visual behaviour in eyewitness identification tests
Otero Noam Chomsky: Critical Assessments
Erickson The postmodern world: Discerning the times and the spirit of our age
Clanton Religion and democratic citizenship: Inquiry and conviction in the American public square
DE19848501A1 (de) Verfahren zur Identitätsprüfung
Case From the Mirror of Reason to the Measure of Justice
Avery Fredric Jameson, Richard Wright, and the Black National Allegory
Ammar The Representation of African Americans in Donald Trump’s Presidential Messages on Juneteenth: A CDA Study
Swensen Gods, angels, and narrators: A metaphysics of narrative in Thomas Mann's" Joseph und seine Bruder"
Shorten THE EPISTEMOLOGICAL AND ONTOLOGICAL CONSEQUENCES OF ARISTOTLE'S THEORY OF PERCEPTION.
Shurlan The principle of complementarity in the Rome statute
Forrester Political justice and Christian theology
McClendon Constructing Noah as Black: A Contemporary Myth about ‘Historical’Origins of a Biblical Character
Branan The prince in Racinian tragedy: Bossuetian and Machiavellian politics.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee