EP1102216A2 - System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze - Google Patents

System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze Download PDF

Info

Publication number
EP1102216A2
EP1102216A2 EP99125349A EP99125349A EP1102216A2 EP 1102216 A2 EP1102216 A2 EP 1102216A2 EP 99125349 A EP99125349 A EP 99125349A EP 99125349 A EP99125349 A EP 99125349A EP 1102216 A2 EP1102216 A2 EP 1102216A2
Authority
EP
European Patent Office
Prior art keywords
data
identification medium
system user
entrance
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP99125349A
Other languages
English (en)
French (fr)
Other versions
EP1102216A3 (de
EP1102216B1 (de
Inventor
Markus Hellenthal
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ACCENTURE GMBH
Original Assignee
Accenture GmbH Germany
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Accenture GmbH Germany filed Critical Accenture GmbH Germany
Publication of EP1102216A2 publication Critical patent/EP1102216A2/de
Publication of EP1102216A3 publication Critical patent/EP1102216A3/de
Application granted granted Critical
Publication of EP1102216B1 publication Critical patent/EP1102216B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/10Movable barriers with registering means
    • G07C9/15Movable barriers with registering means with arrangements to prevent the passage of more than one individual at a time
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration

Definitions

  • the present invention relates to a system and a method for automated control of crossing a border.
  • Border controls e.g. B. at airports, but also in the field of land and ferry traffic time-critical for cross-border passenger traffic.
  • the effort is Control authorities - among other things because of the Schengen Agreement in the past Years has grown disproportionately to the number of travelers. Mobility that has been increasing for years of people and growing passenger numbers in international aviation are leading to new requirements in passenger transportation.
  • the invention is therefore based on the object, the speed of passenger traffic to increase.
  • the device for detecting Personal data of system users a device for automatic reading of personal data having.
  • the device for automatically reading the Personal data can be a scanner.
  • the device for recording biometric data advantageously comprises a device for recording a fingerprint and / or the retinal structure and / or the Facial features and / or the voice and / or language of a respective system user.
  • Another special embodiment of the system is characterized by a device for processing the recorded biometric data and converting it into one or several representative data characteristic (s), based on which a recognition of the System user in the control is possible.
  • the device for storing data is a device for encryption of personal and / or identification medium data and for generation of an identification medium-specific key.
  • the encryption device is a locally provided one Security module is or is in a background system that has an online data connection connected is
  • the device for storing the data preferably has a device for electrical Personalization of the encrypted data in the identification medium and / or a device for applying the personal data and, if necessary, a photo and the signature of the respective system user on the identification medium.
  • the personal data can be printed on the identification medium in thermal transfer be applied.
  • the device for storing the data advantageously has a device for pulling over of the identification medium with a laminate film. Through the laminate film the identification medium is forgery-proof.
  • the identification media are preferably smart cards.
  • At least one video camera is advantageously provided in the passage lock. This enables the passage gate to be monitored, in particular with regard to the Effective separation.
  • the device for reading the identification media stored data a device for calculating the identification medium-specific Key from the encrypted identification medium data and verification has the same. This makes it possible to carry out a card legitimation check.
  • the device for reading the stored on the identification medium Data preferably a device for decrypting the encrypted personal data and verification of the same for this enables a personal identification check.
  • Another special embodiment of the invention is characterized by a device for the generation and distribution of keys for data encryption and Monitoring system operation.
  • a device for the generation and distribution of keys for data encryption and Monitoring system operation fulfills the function of TrustCenter.
  • Another special embodiment of the invention is characterized by a device to manage and monitor the lifespan of all system users issued identification media.
  • a further special embodiment of the invention is characterized by a device for cryptographic encryption of between devices of the Systems and / or data transmitted between the system and external facilities. This is to protect against unauthorized access to the transmitted data.
  • the invention is based on the surprising finding that by integrating the Official controls in the overall process whereby part of the control is preferred in principle will speed up and simplify the handling of border traffic without affecting the quality of the control.
  • early control can control at the border with regard to the previously checked, unproblematic travelers can be simplified and shortened, creating a police and control forces can concentrate on potential perpetrators and dangers becomes.
  • the check carried out in advance allows a machine check of the unproblematic police cross-border passenger traffic with all the individual components, which also includes border control by police officers, namely personal comparison, Authenticity check of border crossing documents, search for searches, permission to cross the border. It takes into account all national, Schengen and EU requirements previously classified as unproblematic from the police point of view Application and on a voluntary basis by means of stored on their identification media Personal data and biometric data at the time of crossing the border are currently automated identified and checked by the police via an online search.
  • Figure 1 shows a top view of part of a system according to a particular embodiment the invention.
  • the part shown concerns the control of system users directly a border (e.g. national border).
  • Figure 1 shows a passage lock 10 with an entrance 12 and an output 14.
  • the input 12 and the output 14 are each with a Revolving door 16 or 18 provided.
  • a device is located in front of the revolving door 16 at the entrance 12 to isolate the system users (not shown).
  • the separation can be mechanical, but also z. B. be carried out optically.
  • a traffic light be used. If the traffic light is green, a single person is allowed to pass. When a person walks on red, a visual and / or audible alarm is triggered.
  • a card reader 20 is located between this device and the revolving door 16 for reading smart cards.
  • the revolving door 16 is locked and locked in the basic position thus the entrance 12.
  • a biometric data reader 22 In the passage lock 10 there is a biometric data reader 22.
  • the card reader 20 and the biometric data reader 22 are with a local Federal Border Guard server (not shown) connected.
  • a video camera 24 In the passage lock 10 there is also a video camera 24 for monitoring the mechanical Isolation of system users.
  • a system block which is provided with the reference number 26, relates to the application and issue of a card (so-called Enrollment Center).
  • the card in the form of a Smart Card 28 serves as a credential for every system user. It will be with Border crossing in the part of the system shown in Figure 1, which here as a decentralized automated Border control system 30 is checked.
  • the decentralized automated Border control system 30 includes a local server of the Federal Border Guard, which runs a Office server 32 of the Federal Border Guard with a search database 34 of the INPOL, a trust center 36, a central data management device 38 of the Federal Border Guard and the Enrollment Center 26.
  • the fingerprint of the potential system user is of a fingerprint reader (not shown). That won from the fingerprint reader Data is processed by the processing software into one or more representative Data characteristics converted based on which the system user is recognized again border control becomes possible. Then a test for duplicates is made, that is it is checked whether the applicant is already entered in the system. The previously recorded personal data are supplemented by the biometric data and given for encryption. This takes place either on the local system in a dedicated security module or in a background system, for which an online data connection is switched for this purpose becomes. The encrypted data is stored in a blank smart card in the Enrollment Center electrically personalized and the personal data on the smart card body in the Thermal transfer printing applied.
  • the capture software ensures that smart cards can only be legitimized if they do their bit Border control officer, only after successful completion of all necessary steps and are only issued to visa-free nationals of certain approved states, who are in possession of a valid travel document.
  • the card control includes all the processes involved in checking the cardholder of entry.
  • the card control takes place inside a passage gate 10 (see Figure 1), which the person to be checked must enter.
  • the passage gate itself can be easily integrated into the existing infrastructure that means that only minor structural changes are necessary.
  • the local one Server is used for process control and for communication with external computers.
  • a security module (not shown) for checking the authenticity of the Smart card and the personal data stored on it. Every authentic smart card has a smart card-specific key based on certain smart card data calculated by the security module in the card reader 20 and then verified can. Communication between the smart card and the security module in the card reader 20 is additionally protected with a temporary key that was previously between the smart card and the security module has been negotiated.
  • the personal data including biometric data from the smart card read and an attached signature (MAC) using the public key in the security module checked for authenticity.
  • MAC attached signature
  • the revolving door 16 can be rotated so that the person can get into the passage lock can.
  • the fingerprint is made in the passage lock 10 by means of the biometric data reader 22 of the system user and a comparison with those on his smart card stored biometric data. To do this, are obtained locally Data extracts are formed and compared with the data characteristics stored in the smart card.
  • the required personal data is saved via the local server of the Federal border guards forwarded to an INPOL wanted database for review.
  • the design of the passage lock, the type of separation technology used and the release at the exit of the passage lock can be dependent on e.g. B. ergonomics and the management of large traffic flows.
  • the Trust Center 36 serves as a central system component for the administration of all security-relevant Aspects of the system, in particular for the generation and distribution of Encryption and monitoring of ongoing system operations.
  • the central data management facility 38 of the Federal Border Guard serves for administration of all issued smart cards with functions for monitoring the card life cycle.
  • the Card management also includes the functions for processing applications, i.e. recording them personal data and biometric data.
  • a shell-like security architecture is required for comprehensive protection against these risks Protection of central information and functions advisable.
  • the goal of the architecture is the erection Several hurdles that a potential attacker must overcome to clear the system manipulate.
  • the core is the personal data together with the biometric data. These dates are considered as one unit in the system, i.e. biometric data are one element of the personal data record.
  • the personal data record is first used with the help of a secure Hash method, e.g. B. the SHA-1 algorithm, generates a cryptographic checksum. This 160 bit long value has the typical properties of a good hash algorithm that means that it is essentially collision-free. The result of the algorithm is called a part of cryptogram formation because the entire personal data record is used as the input date of the Encryption is too large.
  • the hash value compresses the content of the personal data record to a greatly reduced form. The hash value cannot refer to the original data getting closed. Changes in the personal data record necessarily result in a change in hash value.
  • the secure hash method is not an encryption method that means it doesn't use keys.
  • the second shell contains essential extracts from the personal data (e.g. name, date of birth and place of birth), in particular the data for the query in the INPOL wanted database, encrypted together with the hash value using a private key procedure.
  • a private key procedure depending on the further detailed coordination - RSA with a key length of at least 1,024 bits or elliptic curves with sufficient Key length can be used.
  • the personal data record be sent to the central instance for encryption and only then can it be transferred to the Smart card can be personalized (e.g. by online request).
  • the public key is required to decrypt the extract. This is in the control terminals. Decryption first provides the personal data for the INPOL query and the hash value. The hash value is calculated with a new one Hash value compared. In the case of equality, an unadulterated data record can be assumed become.
  • Each smart card in the system is given a unique serial number during manufacture. This Serial number is the basis of the cryptographic process that is actively used by the Smart Card are executed.
  • the smart card contains one by deriving the serial number Smartcard-specific authentication key obtained under a master key.
  • PRO mode is a variant of the read access introduced in ISO7816 which the data transmitted to the terminal by a message authentication code (MAC) can be saved.
  • MAC message authentication code
  • This MAC is generated dynamically with every read access, a so-called replay attack, i.e. re-importing data that has already been read, to exclude.
  • the MAC is generated within the operating system of the smart card using the card-specific authentication key and one supplied by the terminal Random number.
  • the terminal contains a security module (e.g. another Smart Card) a random number generator and the master key, which are used to derive the Smart card key is used under the smart card serial number.
  • the terminal checked independently and immediately after reading the smart card data the MAC and rejects a card with a faulty MAC.
  • the MAC generates dynamically through the smart card becomes.
  • the key required for this must be present in the smart card.
  • a manipulation the smart card, e.g. B. by duplication, requires access to this card key, which is only possible with a high financial outlay.
  • the data is read out analogously to the symmetrical method, with the deviation, that the MAC is generated by the asymmetric algorithm.
  • Another feature of the 5th shell is the intention of all security-relevant system facilities placed in the care of the border control authority. From the authority's point of view be guaranteed that access to these system facilities without their intervention and under is not possible under any circumstances. Not all system facilities actually need to do this located on the premises of the authority itself.
  • the technical operation could also be carried out by a representative of the authority, as long as by corresponding contractual Warranty clauses an unauthorized access by third parties (including the Operator) is impossible

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Lock And Its Accessories (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Collating Specific Patterns (AREA)
  • Diaphragms For Electromechanical Transducers (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

Personendaten und biometrische Daten der Systembenutzer werden erfasst und die Personendaten mit in einer Fahndungsdatenbank gespeicherten Persondaten verglichen. Bei negativer Fahndungsabfrage werden die Personendaten und biometrischen Daten in einem Identifikationsmedium gespeichert. Nach der Vereinzelung der Personen vor einer Durchgangsschleuse wird die Echtheit des Identifikationsmediums und der darauf gespeicherten Personendaten überprüft. Liegt keine Datenmanipulation vor, wird der Zugang zur Durchgangsschleuse geöffnet. Hier werden die biometrischen Daten der Person gelesen und mit den auf dem Identifikationsmedium gespeicherten biometrischen Daten verglichen. Handelt es sich um einen berechtigten Systembenutzer werden die Personendaten zu der Fahndungsdatenbank weitergeleitet und kontrolliert, ob der Systembenutzer auf der Fahndungsliste steht. Bei negativer Fahndungsabfrage wird schliesslich der Ausgang der Personenschleuse freigegeben. <IMAGE>

Description

Die vorliegende Erfindung betrifft ein System und ein Verfahren zur automatisierten Kontrolle des Passierens einer Grenze.
Grenzkontrollen z. B. an Flughäfen, aber auch im Bereich der Land- und Fährverkehre sind für den grenzüberschreitenden Personenverkehr zeitkritisch. Gleichzeitig ist der Aufwand der Kontrollbehörden ― unter anderem wegen des Schengener Abkommens in den vergangenen Jahren überproportional zur Anzahl der Reisenden gestiegen. Die seit Jahren steigende Mobilität der Menschen und wachsende Passagierzahlen im internationalen Flugverkehr führen zu neuen Anforderungen im Personenbeförderungswesen. Andererseits sind die personellen und finanziellen Ressourcen der staatlichen Kontrollbehörden, der Luftverkehrsunternehmen und der Flughafenbetreiber sowie die räumlichen Gegebenheiten auf vielen internationalen Verkehrsflughäfen zunehmend begrenzt.
Der Erfindung liegt somit die Aufgabe zugrunde, die Geschwindigkeit des Passagierverkehrs zu erhöhen.
Erfindungsgemäß wird diese Aufgabe gelöst durch ein System zur automatisierten Kontrolle des Passierens einer Grenze, mit:
  • einer Einrichtung zur Erfassung von Personendaten von Systembenutzern,
  • einer Einrichtung zur Erfassung von biometrischen Daten der Systembenutzer,
  • einer Einrichtung zur Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank und Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
  • einer Einrichtung zum Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
  • einer vor einer Grenze angeordneten Durchgangsschleuse zum Regulieren des Durchgangs der Systembenutzer mit einem Eingang und einem Ausgang, wobei der Eingang und der Ausgang in Grundstellung verschlossen sind,
  • einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Vereinzelung der Systembenutzer,
  • einer hinter der Vereinzelungseinrichtung, aber vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten,
  • einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Überprüfung der Echtheit der Identifikationsmedien,
  • einer vor dem Eingang der Durchgangsschleuse angeordneten Einrichtung zur Überprüfung des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identifikationsmedium,
  • einer Einrichtung zum Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt wurden.
  • einer in der Durchgangsschleuse befindlichen Einrichtung zum Erfassen von biometrischen Daten eines hineingelassenen Systembenutzers,
  • einer Einrichtung zum Vergleich der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
  • einer Einrichtung zum Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
  • einer Einrichtung zur Weitergabe der Personendaten an die Fahndungsdatenbank und zur Abfrage, ob der Systembenutzer auf einer Fahndungsliste steht, und
  • einer Einrichtung zum Öffnen des Ausgangs der Durchgangsschleuse und Ermöglichen eines Grenzübertritts des Systembenutzers, wenn das Ergebnis der Fahndungsabfrage negativ ist, und zur Auslösung eines Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
Weiterhin wird die Aufgabe gelöst durch ein Verfahren zur automatisierten Kontrolle des Passierens einer Grenze, das die folgenden Schritte umfaßt:
  • Erfassen von Personendaten von Systembenutzern,
  • Erfassen von biometrischen Daten der Systembenutzer,
  • Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank und Vornahme einer Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
  • Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
  • Vereinzelung der einen Grenzübertrittsversuch unternehmenden Systembenutzer vor einer Durchgangsschleuse mit einem Eingang und einem Ausgang, wobei der Eingang und der Ausgang in Grundstellung geschlossen sind,
  • Lesen der auf dem Identifikationsmedium gespeicherten Daten,
  • Überprüfung der Echtheit des jeweiligen Identifikationsmediums,
  • Überprüfen des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identififkationsmedium,
  • Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt werden,
  • Erfassen von biometrischen Daten eines in die Durchgangsschleuse hineingelassenen Systembenutzers,
  • Vergleichen der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
  • Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
  • Weitergeben der Personendaten an die Fahndungsdatenbank und Abfragen, ob der Systembenutzer auf einer Fahndungsliste steht, und
  • Öffnen des Ausgangs der Druchgangsschleuse, wenn das Ergebnis der Fahndungsabfrage negativ ist, bzw. Auslösen eine Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
Insbesondere kann bei dem System vorgesehen sein, daß die Einrichtung zur Erfassung von Personendaten von Systembenutzern eine Einrichtung zum automatischen Einlesen der Personendaten aufweist. Beispielsweise kann die Einrichtung zum automatischen Einlesen der Personendaten ein Scanner sein.
Vorteilhafterweise umfaßt die Einrichtung zur Erfassung von biometrischen Daten eine Einrichtung zur Erfassung eines Fingerabdruckes und/oder der Netzhautstruktur und/oder der Gesichtsmerkmale und/oder der Stimme und/oder Sprache eines jeweiligen Systembenutzers.
Eine weitere besondere Ansführungsform des Systems ist gekennzeichnet durch eine Einrichtung zur Verarbeitung der erfaßten biometrischen Daten und Umrechnung in ein oder mehrere repräsentative(s) Datenmerkmal(e), anhand dessen/derer eine Wiedererkennung des Systembenutzers bei der Kontrolle möglich ist.
Auch kann vorgesehen sein, daß die Einrichtung zur Speicherung von Daten eine Einrichtung zur Verschlüsselung der Personen- und/oder Identifikationsmediumdaten und zur Erzeugung eines identifikationsmediumspezifischen Schlüssels aufweist.
Ferner kann auch vorgesehen sein, daß die Verschlüsselungseinrichtung ein lokal vorgesehenes Sicherheitsmodul ist oder sich in einem Hintergrundsystem befindet, das über eine On-Line-Datenverbindung verbunden ist
Vorzugsweise weist die Einrichtung zur Speicherung der Daten eine Einrichtung zur elektrischen Personalisierung der verschlüsselten Daten in dem Identifikationsmedium und/oder eine Einrichtung zum Aufbringen der Personendaten und gegebenenfalls eines Fotos sowie der Unterschrift des jeweiligen Systembenutzers auf das Identifikationsmedium auf. Beispielsweise können die Personendaten im Thermotransfer-Druck auf das Identifikationsmedium aufgebracht werden.
Günstigerweise weist die Einrichtung zur Speicherung der Daten eine Einrichtung zum Überziehen des Identifikationsmediums mit einer Laminatfolie auf. Durch die Laminatfolie wird das Identifikationsmedium fälschungssicher.
Vorzugsweise sind die Identifikationsmedien Smart Cards.
Günstigerweise ist in der Durchgangsschleuse mindestens eine Videokamera vorgesehen. Dies ermöglicht eine Überwachung der Durchgangsschleuse insbesondere hinsichtlich der Vornahme einer wirksamen Vereinzelung.
Weiterhin kann vorgesehen sein, daß die Einrichtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten eine Einrichtung zum Berechnen des identifikationsmediumspezifischen Schlüssels aus den verschlüsselten Identifikationsmediumdaten und Verifikation desselben aufweist. Damit ist die Vornahme einer Kartenlegitimationsprüfung möglich.
Weiterhin weist die Einrichtung zum Lesen der auf dem Identifikationsmedium gespeicherten Daten vorzugsweise eine Einrichtung zum Entschlüsseln der verschlüsselten Personendaten und Verifikation derselben auf Dies ermöglicht eine Personenlegitimationsprüfung.
Eine weitere besondere Ausführungsform der Erfindung ist gekennzeichnet durch eine Einrichtung zur Erzeugung und Verteilung von Schlüsseln für die Datenverschlüsselungen und Überwachung des Systembetriebes. Eine derartige Einrichtung erfüllt die Funktion eines TrustCenter.
Eine weitere besondere Ausführungsform der Erfindung ist gekennzeichnet durch eine Einrichtung zur Verwaltung und Überwachung insbesondere der Lebensdauer aller an Systembenutzer ausgegebener Identifikationsmedien.
Schließlich ist eine weitere besondere Ausführungsform der Erfindung gekennzeichnet durch eine Einrichtung zur kryptographischen Verschlüsselung von zwischen Einrichtungen des Systems und/oder zwischen dem System und externen Einrichtungen übertragenen Daten. Dies soll vor einem unerlaubten Zugriff auf die übertragenen Daten schützen.
Die Unteransprüche 17 bis 26 betreffen vorteilhafte Weiterentwicklungen des erfindungsgemäßen Verfahrens.
Der Erfindung liegt die überraschende Erkenntnis zugrunde, daß durch eine Integration der behördlichen Kontrollen in den Gesamtablauf wobei ein Teil der Kontrolle im Prinzip vorgezogen wird, eine Beschleunigung und Vereinfachung der Abwicklung des Grenzverkehrs erzielt wird, ohne daß darunter die Qualität der Kontrolle leidet. Durch die zumindest zum Teil vorgezogene Kontrolle kann die Kontrolle an der Grenze hinsichtlich der bereits vorab kontrollierten, unproblematischen Reisenden vereinfacht und verkürzt werden, wodurch eine Konzentration der Polizei- und Kontrollkräfte auf potentielle Täter und Gefahren möglich wird.
Die vorab durchgeführte Kontrolle erlaubt eine maschinelle Überprüfung des polizeilich unproblematischen grenzüberschreitenden Reisendenverkehrs mit all den Einzelkomponenten, die auch eine Grenzkontrolle durch Polizeibeamte beinhaltet, nämlich Personenvergleich, Echtheitsprüfung von Grenzübertrittsdokumenten, Fahndungsabfrage, Gestattung des Grenzübertritts. Dabei werden unter Berücksichtigung aller nationalen, Schengener und EU-Anforderungen zuvor aus polizeilicher Sicht unproblematische eingestufte Reisende nach Antragstellung und auf freiwilliger Basis mittels auf ihren Identifikationsmedien gespeicherten Personendaten und biometrischen Daten beim Grenzübertritt jeweils aktuell maschinell identifiziert und über eine On-Line-Fahndungsabfrage polizeilich überpüft.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den Ansprüchen und aus der nachstehenden Beschreibung, in der ein Ausführungsbeispiel anhand der schematischen Zeichnungen im einzelnen erläutert ist. Dabei zeigt:
  • Figur 1 eine Draufsicht eines Teils eines Systems gemäß einer besonderen Ausführungsform der vorliegenden Erfindung; und
  • Figur 2 schematisch wesentliche Einrichtungen und Einrichtungsblöke des Systems;
    • Figur 1 zeigt eine Draufsicht eines Teils eines Systems gemäß einer besonderen Ausführungsform der Erfindung. Der gezeigte Teil betrifft die Kontrolle von Systembenutzern direkt an einer Grenze (z. B. Landesgrenze). Figur 1 zeigt eine Durchgangsschleuse 10 mit einem Eingang 12 und einem Ausgang 14. Der Eingang 12 und der Ausgang 14 sind jeweils mit einer Drehtür 16 bzw. 18 versehen. Vor der Drehtür 16 am Eingang 12 befindet sich eine Einrichtung zur Vereinzelung der Systembenutzer (nicht gezeigt). Die Vereinzelung kann mechanisch, aber auch z. B. optisch durchgeführt werden. Beispielsweise kann dazu eine Ampel verwendet werden. Wenn die Ampel auf Grün steht darf eine einzelne Person passieren. Wenn eine Person bei Rot weitergeht, wird ein optischer und/oder akustischer Alarm ausgelöst. Zwischen dieser Einrichtung und der Drehtür 16 befindet sich ein Kartenlesegerät 20 zum Lesen von Smart Cards. Die Drehtür 16 ist in Grundstellung arretiert und verschließt somit den Eingang 12. In der Durchgangsschleuse 10 befindet sich ein Biometriedatenlesegerät 22. Das Kartenlesegerät 20 und das Biometriedatenlesegerät 22 sind mit einem lokalen Server des Bundesgrenzschutzes (nicht gezeigt) verbunden. In der Durchgangsschleuse 10 befindet sich darüber hinaus noch eine Videokamera 24 zur Überwachung der mechanischen Vereinzelung der Systembenutzer.
    In Figur 2 sind schematisch die wesentlichen Einrichtungen einzeln bzw. in Blöcken des Systems gezeigt. Ein Systemblock, der mit dem Bezugszeichen 26 versehen ist, betrifft die Beantragung und Ausgabe einer Karte (sogenanntes Enrolment Center). Die Karte in Form einer Smart Card 28 dient als Berechtigungsausweis für jeden Systembenutzer. Sie wird beim Grenzübertritt in dem in Figur 1 gezeigten Teil des Systems, der hier als dezentrales automatisiertes Grenzkontrollsystem 30 bezeichnet ist, überprüft. Das dezentrale automatisierte Grenzkontrollsystem 30 umfaßt einen lokalen Server des Bundesgrenzschutzes, der über einen Dienststellen-Server 32 des Bundesgrenzschutzes mit einer Fahndungsdatenbank 34 der INPOL, einem Trust Center 36, einer zentralen Datenverwaltungseinrichtung 38 des Bundesgrenzschutzes und dem Enrolment Center 26 in Verbindung steht.
    In dem Enrolment Center 26 kann eine Kartenbeantragung vorgenommen werden. Diese umfaßt alle Prozeßschritte, die zur Erfassung der potentiellen Systembenutzer, also insbesondere die Erfassung ihrer Personen- und biometrischen Daten, notwendig sind. Es können mehrere Enrolment Center vorgesehen sein, die an verschiedenen Orten errichtet sind. Zur Kartenbeantragung legen die potentiellen Systembenutzer ihr Grenzübertrittsdokument vor, von dem der Bediener eines PCs, auf dem die Erfassungssoftware läuft, die Daten automatisch oder manuell erfaßt. Der Datensatz wird auf einem Formblatt ausgedruckt und vom antragstellenden, potentiellen Systembenutzer unterschrieben. Das Formblatt enthält unter anderem folgende weitere Angaben:
    • eine Beschreibung des Systems,
    • die Personalien des potentiellen Systembenutzers,
    • die Bedingungen für die freiwillige Teilnahme am System,
    • die notwendigen datenschutzrechtlichen Erklärungen zur Erhebung, Speicherung, Übermittlung und Verarbeitung der Personendaten des antragstellenden, potentiellen Systembenutzers im Zusammenhang mit der automatisierten Grenzkontrolle,
    • einen Hinweis auf die Pflicht des Systembenutzers, bei jedem Grenzübertritt ein gültiges Grenzübertrittsdokument mit sich zu führen, und
    • Hinweise zu den anerkannten Reisezwecken, für die das System genutzt werden darf.
    In einem nächsten Schritt wird der Fingerabdruck des potentiellen Systembenutzers mittels eines Fingerabdrucklesegerätes (nicht gezeigt) erfaßt. Die vom Fingerabdrucklesegerät gewonnen Daten werden durch die Verarbeitungssoftware in ein oder mehrere repräsentative Datenmerkmale umgerechnet anhand derer eine Wiedererkennung des Systembenutzers bei der Grenzkontrolle möglich wird. Dann wird ein Test auf Duplikate vorgenommen, das heißt es wird überprüft, ob der Antragsteller bereits im System erfaßt ist. Die zuvor erfaßten Personendaten werden um die biometrischen Daten ergänzt und zur Verschlüsselung gegeben. Diese erfolgt entweder am lokalen System in einem dafür vorgesehenen Sicherheitsmodul oder in einem Hintergrundsystem, zu welchem für diesen Zweck eine On-Line-Datenverbindung geschaltet wird. Die verschlüsselten Daten werden im Enrolment Center in einen Smart Card-Rohling elektrisch personalisiert und die Personendaten auf dem Smart-Card-Körper im Thermotransfer-Druck aufgebracht. Zusätzlich können gegebenenfalls ein Foto des Systembenutzers sowie seine Personalien (beides erforderlichenfalls als Grundlage für eine manuelle Überprüfung, z. B. im Rahmen von Stichprobenkontrollen), seine Unterschrift und der Name des ausstellenden Enrolment Centers aufgedruckt werden. Anschließend wird der Smart-Card-Körper mit einer fälschungssicheren Laminatfolie überzogen. All diese Schritte laufen in einer Maschine ab und werden vom PC überwacht. Nach einer Funktionskontrolle an einem Terminal im Enrolment Center wird die Smart Card dem Systembenutzer ausgehändigt. Das gesamte Enrolment dauert weniger als 10 Minuten. Die Kartenbeantragung und ―ausgabe kann auch gleichzeitig mit der erstmaligen Benutzung des Systems an der Grenze vor Ort vorgenommen werden.
    Alle hoheitlichen Schritte ― die Durchführung der vorgezogenen Grenzkontrolle entsprechend der nationalen, Schengener und EU-Anforderungen und die Freigabe der Smart Card ― sind einem Beamten der Grenzkontrollbehörde vorbehalten. Er wird gegebenenfalls unterstützt durch Personal bzw. Beauftragte des Betreibers. Für die Mitarbeiter in den Enrolment Center werden ebenfalls geeignete Zugangskontrollen vorgesehen.
    Darüber hinaus stellt die Erfassungssoftware sicher, daß Smart Cards nur mit Zutun legitimierter Grenzkontrollbeamter, nur nach erfolgreichem Verlaufen aller erforderlichen Schritte und nur für visumsbefreite Angehörige bestimmter zugelassener Staaten ausgestellt werden, die im Besitz eines gültigen Reisedokumentes sind.
    Die K.artenkontrolle umfaßt alle Prozesse, die bei der Prüfung des Karteninhabers im Rahmen der Einreise durchgeführt werden. Die Kartenkontrolle findet innerhalb einer Durchgangsschleuse 10 (siehe Figur 1) statt, welche die zu kontrollierende Person betreten muß.
    Die Durchgangsschleuse selbst kann problemlos in die bestehende Infrastruktur integriert werden, das heißt es sind nur geringfügige bauliche Veränderungen notwendig. Der lokale Server dient zur Ablaufsteuerung und zur Kommunikation mit externen Rechnern.
    Vor der Durchgangsschleuse 10 findet zunächst eine mechanische Vereinzelung mittels einer Einrichtung zur mechanischen Vereinzelung (nicht gezeigt) statt, um das Eintreten von Unberechtigten sowie mehreren Personen zur gleichen Zeit zu verhindern. Diese Maßnahme wird durch den Einsatz einer Videokamera 24 in der Durchgangsschleuse 10 und entsprechender Bildauswertungssoftware ergänzt
    Hinter der Einrichtung zur Vereinzelung, aber vor dein Eingang 12 wird die zu überprüfende Person zum Einführen der Smart Card in ein Kartenlesegerät 20 aufgefordert. In dem Kartenlesegerät 20 befindet sich ein Sicherheitsmodul (nicht gezeigt) zur Echtheitsüberprüfung der Smart Card sowie der darauf gespeicherten Personendaten. Jede authentische Smart Card besitzt einen Smart Card-spezifischen Schlüssel, der basierend auf bestimmten Smart Card Daten von dem Sicherheitsmodul im Kartenlesegerät 20 berechnet und sodann verifiziert werden kann. Die Kommunikation zwischen der Smart Card und dem Sicherbeitsmodul in dem Kartenlesegerät 20 wird zusätzlich mit einem temporären Schlüssel geschützt, der vorher zwischen der Smart Card und dem Sicherheitsmodul ausgehandelt worden ist.
    Danach werden die Personendaten einschließlich biometrischen Daten aus der Smart Card gelesen und eine angehängte Signatur (MAC) mit Hilfe des öffentlichen Schlüssels im Sicherheitsmodul auf Echtheit überprüft. So können illegale Datenmanipulationen sicher erkannt werden.
    Wenn die Echtheit der Karte und das Vorliegen keiner Datenmanipulation verifiziert worden sind, läßt sich die Drehtür 16 drehen, so daß die Person in die Durchgangsschleuse gelangen kann. In der Durchgangsschleuse 10 wird mittels des Biometriedatenlesegerätes 22 der Fingerabdruck des Systembenutzers erhoben und ein Vergleich mit den auf seiner Smart Card gespeicherten biometrischen Daten vorgenommen. Dazu werden aus den lokal gewonnen Daten Extrakte gebildet und mit den in der Smart Card gespeicherten Datenmerkmalen verglichen.
    Durch dieses zweistufige Überprüfungsverfahren am Eingang der Durchgangsschleuse und innerhalb derselben wird zweierlei erreicht:
    • es wird festgestellt, daß es sich bei der Person, der aufgrund der am Eingang der Durchgangsschleuse geprüften Smart Card der Einlaß gewährt wurde, um einen berechtigten Systembenutzer handelt,
    • unberechtigten Personen wird der Eintritt in die Durchgangsschleuse verwehrt; hier dürfte es ausreichen, auf einem Bildschirm am Kartenlesegerät am Eingang der Durchgangsschleuse einen Hinweis zu geben, sich der regulären Grenzkontrolle zu unterziehen.
    • Mißbräuchliche Benutzer oder durch das System fälschlicherweise zurückgewiesene Berechtigte (dies läßt sich durch kein technisches System zu 100 % ausschließen) werden spätestens in der Durchgangsschleuse zuverlässig festgestellt Hier wäre ― nach einer entsprechenden automatischen Alarmauslösung durch das System ― ein Eingreifen durch die Grenzkontrollbehörde oder einen Beauftragten erforderlich, um die Person aus der Durchgangsschleuse zu befreien und einer regulären Grenzkontrolle zuzuführen.
    Im nächsten Schritt werden die erforderlichen Personendaten über den lokalen Server des Bundesgrenzschutzes zur Überprüfung an eine Fahndungsdatenbank der INPOL weitergeleitet.
    Wenn alle vorab beschriebenen Schritte beanstandungslos durchlaufen werden, wird der Ausgang der Durchgangsschleuse freigegeben. Im Falle einer Beanstandung oder eines fehlerhaften Verhaltens des System wird ein Alarm ausgelöst und mit der Überprüfung der Person durch Personal des Bundesgrenzschutzes fortgefahren.
    Die Gestaltung der Durchgangsschleuse, die Art der verwendeten Vereinzelungstechnik und der Freigabe am Ausgang der Durchgangsschleuse können in Abhängigkeit von z. B. der Ergonomie und der Führung großer Verkehrsströme bestimmt werden.
    Das Trust Center 36 dient als zentrale Systemkomponente zur Verwaltung aller sicherheitsrelevanten Aspekte des Systems, also insbesondere zur Erzeugung und Verteilung von Schlüsseln und Überwachung des laufenden Systembetriebes.
    Die zentrale Datenverwaltungseinrichtung 38 des Bundesgrenzschutzes dient zur Verwaltung aller ausgegebenen Smart Cards mit Funktionen zur Überwachung des Card Life Cycle. Die Kartenverwaltung beinhaltet auch die Funktionen zur Antragsbearbeitung, also der Erfassung der Personendaten und der biometrischen Daten.
    Die besondere Sensibilität der Daten der Smart Cards und der damit verbundenen Funktionalität erfordern cm hohes Maß an Schutz gegen:
    • Verfälschung der Personendaten auf der Smart Card
    • Verfälschung der biometrischen Daten
    • Verfälschung der Verbindung zwischen biometrischen Daten und den Personaldaten
    • Manipulationen an einem Kontrollterminal
    • Manipulationen bei der Erfassung der Personendaten bzw. der biometrischen Daten und
    • Angriffe auf die kryptographischen Funktionen im System.
    Zur umfassenden Absicherung dieser Risiken ist eine schalenartige Sicherheitsarchitektur zur Absicherung zentraler Informationen und Funktionen ratsam. Ziel der Architektur ist, die Errichtung mehrerer Hürden, die ein potentieller Angreifer Überwinden muß, um das System zu manipulieren.
    Den Kern bilden die Personendaten zusammen mit den biometrischen Daten. Diese Daten werden im System als eine Einheit betrachtet, das heißt biometrische Daten sind ein Element des Personendatensatzes. Über den Personendatensatz wird zunächst mit Hilfe eines Secure Hash-Verfahrens, z. B. dem SHA-1 Algorithmus, eine kryptographische Prüfsumme erzeugt. Dieser 160 Bit lange Wert hat die typischen Eigenschaften eines guten Hash-Algorithmus, das heißt, er ist im wesentlichen kollisionsfrei. Das Ergebnis des Algorithmus wird als ein Teil der Kryptogrammbildung verwendet, da der gesamte Personendatensatz als Eingabedatum der Verschlüsselung zu groß ist. Der Hash-Wert komprimiert den Inhalt des Personendatensatzes auf eine stark reduzierte Form. Dabei kann vom Hash-Wert nicht auf die ursprünglichen Daten geschlossen werden. Änderungen im Personendatensatz ergeben zwangsläufig eine Änderung im Hash-Wert. Das Secure Hash-Verfahren ist kein Verschlüsselungsverfahren, das heißt, es verwendet keine Schlüssel.
    In der zweiten Schale werden wesentliche Extrakte aus den Personendaten (z. B. Name, Geburtsdatum und Geburtsort), insbesondere also die Daten für die Abfrage bei der INPOL-Fahndungsdatenbank, zusammen mit dem Hash-Wert mit einem Private Key-Verfahren verschlüsselt. Als Private Key-Verfahren sollen ― abhängig von der weiteren Detailabstimmung ― RSA mit einer Schlüssellänge von mindestens 1.024 Bit oder elliptische Kurven mit hinreichender Schlüssellänge genutzt werden.
    Für die Verschlüsselung des Extraktes wird der private Schlüssel einer Ausgabestelle oder der private Schlüssel einer zentralen Instanz verwendet Im letzteren Fall muß der Personendatensatz zur Verschlüsselung an die zentrale Instanz versandt werden und er kann erst dann in die Smart Card personalisiert werden (z. B. durch On-Line-Anfrage).
    Für die Entschlüsselung des Extraktes wird der öffentliche Schlüssel benötigt. Dieser wird in den Kontrollterminals hinterlegt. Eine Entschlüsselung liefert zunächst die Personendaten für die INPOL-Abfrage und den Hash-Wert. Der Hash-Wert wird mit einem erneut berechneten Hash-Wert verglichen. Bei Gleichheit kann von einem unverfälschten Datensatz ausgegangen werden.
    Innerhalb des Verfahrens sind eine Reihe von Varianten möglich, deren Nutzung von den konkreten Rahmenbedingungen abhängt:
    • Eine eindeutige Smart Card-Nummer könnte in den Personendatensatz aufgenommen und dadurch mit diesem verknüpft werden. Eine Übertragung der Daten auf ein andere Smart Card wäre damit nicht möglich. Eine sinnvolle Nutzung dieser Option setzt eine On-Line-Personalisierung voraus, bei der Personendaten und die Smart Card-Nummer verschlüsselt und direkt in die Smart Card personalisiert werden.
    • Die Verschlüsselung des Personendatensatzes kann mit dem privaten Schlüssel der Ausgabestelle durchgeführt werden. Diese würde dann ihren öffentlichen Schlüssel in der Smart Card speichern. Eine Kontrollstation würde dann zur Verifikation des Extraktes den von der Smart Card gelieferten Öffentlichen Schlüssel der Ausgabestelle nutzen. Zur Verhinderung des Mißbrauches, etwa der Einspielung von gefälschten öffentlichen Schlüsseln einer Ausgabestelle, müssen die Schlüsselpaare der Ausgabestelle von einer zentralen Instanz elektronisch signiert werden. Ein solches Verfahren erlaubt die Ausgabe der Smart Card ohne Zugriff und Authorisierung durch ein Zentralsystem.
    Jede Smart Card im System erhält bei der Herstellung eine eindeutige Seriennummer. Diese Serienmummer ist Grundlage der kryptographischen Verfahren, die aktiv durch die Smart Card ausgeführt werden. Die Smart Card enthält einen durch Ableitung der Seriennummer unter einem Masterschlüssel gewonnen smartcardspezifischen Schlüssel zur Authentisierung.
    Die Authentisierung erfolgt implizit durch das Auslesen der Personendaten im sogenannten PRO-Mode. Der PRO-Mode ist eine in ISO7816 eingeführte Variante des Lesezugriffs, bei dem die an das Terminal übertragenen Daten durch einen Message Authentication Code (MAC) gesichert werden. Dieser MAC wird dynamisch bei jedem Lesezugriff neu erzeugt, um einen sogenannten Replay-Angriff, also das erneute Einspielen bereits gelesener Daten, auszuschließen.
    Die Erzeugung des MAC erfolgt innerhalb des Betriebssystems der Smart Card unter Nutzung des kartenindividuellen Authentisierungsschlüssels und einer durch das Terminal gelieferten Zufallszahl. Das Terminal enthält hierzu in einem Sicherheitsmodul (z. B. eine weitere Smart Card) einen Zufallszahlengenerator und den Masterschlüssel, welche für die Ableitung des Smart Card-Schlüssels unter der Smart Card-Seriennummer benutzt wird. Das Terminal überprüft selbständig und unmittelbar nach dem Auslesen der Smart Card-Daten den MAC und weist eine Karte mit fehlerhaftem MAC ab.
    Wichtig ist in diesem Zusammenhang, daß der MAC dynamisch durch die Smart Card erzeugt wird. Der dazu notwendige Schlüssel muß in der Smart Card vorhanden sein. Eine Manipulation der Smart Card, z. B. durch Duplizieren, erfordert Zugriff auf diesen Kartenschlüssel, welches nur unter hohem finanziellen Aufwand möglich ist.
    Auch für diese Schutzstufe gibt es eine Variante, die jedoch eine leistungsfähigere Smart Card voraussetzt. Statt einem symmetrischen Verfahren für die MAC-Bildung (in der Regel Triple DES) kann das asymmetrische Verfahren der elliptischen Kurven Anwendung finden. Bei diesem Verfahren wird in der Karte der private, kartenindividuelle Schlüssel auslesegeschützt gespeichert und der öffentliche Schlüssel lesbar gemacht. Der öffentliche Schlüssel muß dazu mit dem privaten Schlüssel des Systembetreibers signiert werden. Ein Kontrollterminal braucht nun nur den weniger sicherheitskritischen, öffentlichen Schlüssel des Systembetreibers zu speichern und mit ihm die Echtheit des kartenindividuellen öffentlichen Schlüssel zu überprüfen.
    Das Auslesen der Daten erfolgt analog dem symmetrischen Verfahren, mit der Abweichung, daß der MAC durch den asymmetrischen Algorithmus erzeugt wird.
    Solche Verfahren auf Basis asymmetrischer Kryptographie finden aufgrund ihrer hohen Anforderungen an die Rechenleistung nur begrenzten Einsatz in Smart Cards. Im Detail muß hier sicher noch das Antwort-Zeitverhalten einer solchen Lösung betrachtet werden.
    Die Übertragung der Daten zwischen Einrichtungen des Systems, insbesondere die Übertragung der Daten bei der Kartenausgabe soll durch kryptographische Verfahren abgesichert werden. Hierzu bieten sich Verfahren der Line-Verschlüsselung an, mit denen sich geschützte, transparente Datenkanäle aufbauen lassen.
    Mit diesen Verfahren läßt sich die Integrität der Daten und die Vertraulichkeit sicherstellen. Letztere ist insbesondere bei der Erzeugung und Verteilung der Systemschlüssel von Bedeutung.
    Ein wesentlicher, oft unterschätzter Mechanismus zur Sicherung von Informationssystemen ist die Einbettung der technischen Systeme in eine zuverlässige Ablauforganisation (5. Schale). Die besten und längsten Schlüsselverfahren der Welt nützen nichts, wenn die Schlüssel einfach zugänglich sind. Technische Verfahren können hier nur einen begrenzten Schutz herstellen, einem Angriff von innen sind sie oft schutzlos ausgeliefert.
    Ein weiteres Merkmal der 5. Schale ist die Absicht, alle sicherheitsrelevanten Systemeinrichtungen in die Obhut der Grenzkontrollbehörde zu stellen. Dadurch soll aus Sicht der Behörde gewährleistet werden, daß ein Zugriff auf diese Systemeinrichtungen ohne ihr Zutun und unter keinen Umständen möglich ist. Dazu müssen sich nicht alle Systemeinrichtungen tatsächlich in den Räumlichkeiten der Behörde selbst befinden. Der technischen Betrieb könnte auch bei einem Beauftragten der Behörde durchgeführt werden, solange durch entsprechende vertragliche Gewährleistungsklauseln ein unerlaubter Zugriff durch Dritte (einschließlich dem Betreiber) unmöglich ist
    Eine zusätzliche organisatorische Schutzvorkehrung besteht darin, daß alle hoheitlichen Schritte ― das heißt die Durchführung der vorgezogenen Grenzkontrolle entsprechend den nationalen, Schengener und EU-Anforderungen und die Freigabe der Smart Card ― einem Beamten der Grenzkontrollbehörde vorbehalten sind. Für ihn sowie für die anderen Mitarbeiter in dem Enrolment Center bestehen geeignete Zugangskontrollen.
    Darüber hinaus stellt die Erfassungssoftware sicher, daß Smart Cards
    • nur auf der Basis im System bereits bekannter Smart Card-Rohlinge (jeder Smart Card-Rohling besitzt eine ein-eindeutige Kartennummer),
    • nur mit Zutun im System legitimierter Grenzkontrollbeamter,
    • nur nach erfolgreichem Durchlaufen aller erforderlichen Schritte und
    • nur für Angehörige bestimmter zugelassener Staaten ausgestellt werden, die im Besitz eines gültigen Reisedokumentes sind.
    Die erfindungsgemäßen Systeme haben einige Vorteile, die es von verschiedenen anderen, bislang erfolglosen Versuchen zur flächendeckenden Einführung automatisierter Grenzkontrollen unterscheiden:
    • Das System stellt eine wirksame und sparsame Möglichkeit dar, Grenzkontrollbehörden effizienter zu machen. Das System erlaubt es den Grenzkontrollkräften, sich auf einen eher polizeilich relevanten Personenkreis zu fokussieren. Damit können sie mit weniger Aufwand mehr für Sicherheit und Service leisten.
    • Die gemäß einer besonderen Ausführungsform der Erfindung eingesetzte Smart Card erlaubt die Speicherung auch sensibler Daten ohne das Risiko eines Mißbrauchs durch unerlaubte Veränderungen oder von Fälschungen.
    • Das Verfahren erlaubt kürzestmögliche Transaktionszeiten (im wesentlichen nur abhängig vom Antwort-Zeitverhalten der Abfrage bei der INPOL-Fahndungsdatenbank).
    • Das Verfahren erlaubt geringstmögliche Transaktionskosten.
    • Das Verfahren birgt keine datenschutzrechtliche Problematik (der Besitzer trägt seine vor unberechtigtem Zugriff sicher geschützten personenbezogenen Daten mit sich).
    • Die in einer besonderen Ausführungsform der Erfindung verwendete Smart Card enthält ausreichende Speicherkapazität für diese und gegebenenfalls weitere zukünftige Anwendungen mit zusätzlichen Nutzpotentialen.
    • Auf der gemäß einer besonderen Ausführungsform der Erfindung verwendeten Smart Card befindet sich ausreichend Platz, um gegebenenfalls weitere Sicherheitsmerkmale (z. B. maschinenlesbares Hologramm mit Mikroschrift) oder andere Speichervarianten gleichzeitig zu nutzen.
    Die in der vorstehenden Beschreibung, in den Zeichnungen sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung der Erfindung in ihren verschiedenen Ausführungsformen wesentliche sein.
    Bezugszeichenliste
    8
    Grenze
    10
    Durchgangsschleuse
    12
    Eingang
    14
    Ausgang
    16,18
    Drehtür
    20
    Kartenlesegerät
    22
    Biometriedatenlesegerät
    24
    Videokamera
    26
    Enrolment Center
    28
    Smart Card
    30
    dezentrales automatisiertes Grenzkontrollsystem
    32
    Dienststellen-Server
    34
    Fahndungsdatenbank
    36
    Trust Center
    38
    zentrale Datenverwaltungseinrichtung

    Claims (26)

    1. System zur automatisierten Kontrolle des Passierens einer Grenze, mit:
      einer Einrichtung zur Erfassung von Personendaten von Systembenutzern,
      einer Einrichtung zur Erfassung von biometrischen Daten der Systembenutzer,
      einer Einrichtung zur Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank (34) und Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
      einer Einrichtung zum Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
      einer vor einer Grenze (8) angeordneten Durchgangsschleuse (10) zum Regulieren des Durchgangs der Systembenutzer mit einem Eingang (12) und einem Ausgang (14), wobei der Eingang (12) und der Ausgang (14) in Grundstellung verschlossen sind,
      einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Vereinzelung der Systembenutzer,
      einer hinter der Vereinzelungseinrichtung, aber vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten,
      einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Überprüfung der Echtheit der Identifikationsmedien,
      einer vor dem Eingang (12) der Durchgangsschleuse (10) angeordneten Einrichtung zur Überprüfung des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identifikationsmedium,
      einer Einrichtung zum Öffnen des Eingangs (12) der Durchgangsschleuse (10), wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt wurden,
      einer in der Durchgangsschleuse (10) befindlichen Einrichtung zum Erfassen von biometrischen Daten eines hineingelassenen Systembenutzers,
      einer Einrichtung zum Vergleich der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
      einer Einrichtung zum Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
      einer Einrichtung zur Weitergabe der Personendaten an die Fahndungsdatenbank (34) und zur Abfrage, ob der Systembenutzer auf einer Fahndungsliste steht, und
      einer Einrichtung zum Öffnen des Ausgangs der Durchgangsschleuse (10) und Ermöglichen eines Grenzübertritts des Systembenutzers, wenn das Ergebnis der Fahndungsabfrage negativ ist, und zur Auslösung eines Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
    2. System nach Anspruch 1, dadurch gekennzeichnet, daß die Einrichtung zur Erfassung von Personendaten von Systembenutzern eine Einrichtung zum automatischen Einlesen der Personendaten aufweist.
    3. System nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Einrichtung zur Erfassung von biometrischen Daten eine Einrichtung zur Erfassung eines Fingerabdruckes und/oder der Netzhautstruktur und/oder der Gesichtsmerkmale und/oder der Stimme und/oder Sprache eines jeweiligen Systembenutzers aufweist.
    4. System nach einem der Ansprüche 1 bis 3, gekennzeichnet durch eine Einrichtung zur Verarbeitung der erfaßten biometrischen Daten und Umrechnung in ein oder mehrere repräsentative(s) Datenmerkmal(e), anhand dessen/derer eine Wiedererkennung des Systembenutzers bei der Kontrolle möglich ist.
    5. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Einrichtung zur Speicherung von Daten eine Einrichtung zur Verschlüsselung der Personen und/oder Identifikationsmediumdaten und zur Erzeugung eines identifikationsmediumspezifischen Schlüssels aufweist.
    6. System nach Anspruch 5, dadurch gekennzeichnet, daß die Verschlüsselungseinrichtung ein lokal vorgesehenes Sicherheitsmodul ist oder sich in einem Hintergrundsystem befindet, das über eine On-Line-Datenverbindung verbunden ist.
    7. System nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die Einrichtung zur Speicherung der Daten eine Einrichtung zur elektrischen Personalisierung der verschlüsselten Daten in dem Identifikationsmedium und/oder eine Einrichtung zum Aufbringen der Personendaten und gegebenenfalls eines Fotos sowie der Unterschrift des jeweiligen Systembenutzers auf das Identifikationsmedium aufweist.
    8. System nach Anspruch 7, dadurch gekennzeichnet, daß die Einrichtung zur Speicherung der Daten eine Einrichtung zum Überziehen des Identifikationsmediums mit einer Laminatfolie aufweist.
    9. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Identifikationsmedien Smart Cards (28) sind.
    10. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß in der Durchgangsschleuse (10) mindestens eine Videokamera (24) vorgesehen ist.
    11. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Einrichtung zum Lesen der auf den Identifikationsmedien gespeicherten Daten eine Einrichtung zum Berechnen des identifikationsmediumspezifischen Schlüssels aus den verschlüsselten Identifikationsmediumdaten und Verifikation desselben aufweist
    12. System nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, daß die Einrichtung zum Lesen der auf dem Identifikationsmedium gespeicherten Daten eine Einrichtung zum Entschlüsseln der verschlüsselten Personendaten und Verifikation derselben aufweist.
    13. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrichtung zur Erzeugung und Verteilung von Schlüsseln für die Datenverschlüsselungen und Überwachung des Systembetriebes.
    14. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrichtung zur Verwaltung und Überwachung insbesondere der Lebensdauer aller an Systembenutzer ausgegebener Identifikationsmedien.
    15. System nach einem der vorangehenden Ansprüche, gekennzeichnet durch eine Einrichtung zur kryptographischen Verschlüsselung von zwischen Einrichtungen des Systems und/oder zwischen aus dem System und externen Einrichtungen übertragenen Daten.
    16. Verfahren zur automatisierten Kontrolle des Passierens einer Grenze, das die folgenden Schritte umfaßt:
      Erfassen von Personendaten von Systembenutzern,
      Erfassen von biometrischen Daten der Systembenutzer,
      Weitergabe der Personendaten der Systembenutzer an eine Fahndungsdatenbank und Vornahme einer Abfrage, ob der jeweilige Systembenutzer auf einer Fahndungsliste steht,
      Speichern von Daten, die die Personendaten und biometrischen Daten des jeweiligen Systembenutzers umfassen, auf einem für jeden Systembenutzer vorgesehenen Identifikationsmedium und gegebenenfalls identifikationsmediumspezifischer Daten, wenn das Ergebnis der Fahndungsabfrage negativ ist,
      Vereinzelung der einen Grenzübertrittsversuch unternehmenden Systembenutzer vor einer Durchgangsschleuse mit einem Eingang und einem Ausgang, wobei der Eingang und der Ausgang in Grundstellung geschlossen sind,
      Lesen der auf dem Identifikationsmedium gespeicherten Daten,
      Überprüfung der Echtheit des jeweiligen Identifikationsmediums,
      Überprüfen des Vorliegens einer Manipulation der Daten auf dem jeweiligen Identififkationsmedium,
      Öffnen des Eingangs der Durchgangsschleuse, wenn die Echtheit des jeweiligen Identifikationsmediums und keine Manipulation der Daten auf dem jeweiligen Identifikationsmedium festgestellt werden,
      Erfassen von biometrischen Daten eines in die Durchgangsschleuse hineingelassenen Systembenutzers,
      Vergleichen der erfaßten biometrischen Daten mit den auf dem Identifikationsmedium des hineingelassenen Systembenutzers gespeicherten biometrischen Daten,
      Auslösen eines Alarmsignals, wenn die erfaßten und die auf dem jeweiligen Identifikationsmedium gespeicherten biometrischen Daten nicht übereinstimmen,
      Weitergeben der Personendaten an die Fahndungsdatenbank und Abfragen, ob der Systembenutzer auf einer Fahndungsliste steht, und
      Öffnen des Ausgangs der Druchgangsschleuse, wenn das Ergebnis der Fahndungsabfrage negativ ist, bzw. Auslösen eine Alarmsignals, wenn das Ergebnis der Fahndungsabfrage positiv ist.
    17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, daß die Personendaten der Systembenutzer durch automatisches Einlesen erfaßt werden.
    18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, daß der Fingerabdruck und/oder die Netzbautstruktur und/oder die Gesichtsmerkmale und/oder die Stimme und/oder die Sprache eines jeweiligen Systembenutzers erfaßt wird/werden.
    19. Verfahren nach einem der Ansprüche 16 bis 18, dadurch gekennzeichnet, daß die erfaßten biometrischen Daten verarbeitet und in einer oder mehrere repräsentative(s) Datenmerkmal(e) umgerechnet werden, anhand dessen/derer eine Wiedererkennung des Systembenutzers bei der Kontrolle möglich ist.
    20. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, daß die Personen- und/oder Identifikationsmediumdaten verschlüsselt werden und ein identifikationsmediumspezifischer Schlüssel erzeugt wird.
    21. Verfahren nach einem der Ansprüche 16 bis 20, dadurch gekennzeichnet, daß die verschlüsselten Daten in dem Identifikationsmedium elektrische personalisiert und/oder die Personendaten und gegebenenfalls ein Foto sowie Unterschriften des jeweiligen Systembenutzers auf das Identifikationsmedium aufgebracht werden.
    22. Verfahren nach einem der Ansprüche 16 bis 21, dadurch gekennzeichnet, daß die Identifikationsmedien mit einer Laminatfolie überzogen werden.
    23. Verfahren nach einem der Ansprüche 16 bis 22, dadurch gekennzeichnet, daß als Identifikationsmedium Smart Cards verwendet werden.
    24. Verfahren nach einem der Ansprüche 16 bis 23, dadurch gekennzeichnet, daß die Durchgangsschleuse mittels einer Videokamera überwacht wird.
    25. Verfahren nach einem der Ansprüche 16 bis 24, dadurch gekennzeichnet, daß aus den verschlüsselten Identifikationsmediumdaten ein identifikationsmediumspezifischer Schlüssel berechnet und verifiziert wird.
    26. Verfahren nach einem der Ansprüche 16 bis 25, dadurch gekennzeichnet, daß die verschlüsselten Personendaten entschlüsselt und verifiziert werden.
    EP99125349A 1999-11-19 1999-12-21 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze Expired - Lifetime EP1102216B1 (de)

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    DE19957283 1999-11-19
    DE19957283 1999-11-19

    Publications (3)

    Publication Number Publication Date
    EP1102216A2 true EP1102216A2 (de) 2001-05-23
    EP1102216A3 EP1102216A3 (de) 2001-05-30
    EP1102216B1 EP1102216B1 (de) 2006-08-16

    Family

    ID=7930650

    Family Applications (1)

    Application Number Title Priority Date Filing Date
    EP99125349A Expired - Lifetime EP1102216B1 (de) 1999-11-19 1999-12-21 System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze

    Country Status (3)

    Country Link
    EP (1) EP1102216B1 (de)
    AT (1) ATE336766T1 (de)
    DE (3) DE29922252U1 (de)

    Cited By (6)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP1318482A2 (de) * 2001-12-07 2003-06-11 Hitachi, Ltd. Kontrolle von Auswanderung und Einwanderung
    WO2003052741A1 (en) 2001-12-13 2003-06-26 Unisys Corporation Split interface handling of border crossing data
    EP1347420A2 (de) * 2002-03-22 2003-09-24 VSS Veranstaltungs Sicherheits-Systeme GmbH Biometrische Zugangskontrolleinrichtung
    EP1639736A2 (de) * 2003-06-13 2006-03-29 Unisys Corporation Transport-sicherheitssystem und verfahren zur unterstützung von internationalen reisen
    FR2879050A1 (fr) * 2004-12-08 2006-06-09 Roger Felix Sejalon Procede permettant de connaitre: l'origine d'un produit ou objet, de verifier l'authenticite de documents officiels, d'interdire un achat ou retrait sur compte bancaire insuffisamment approvisionne
    WO2009092375A1 (de) * 2008-01-24 2009-07-30 Kaba Gallenschütz GmbH Zugangskontrollvorrichtung

    Families Citing this family (7)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE10163123A1 (de) * 2001-12-20 2003-07-03 Transas S R O Vorrichtung und Verfahren für Zugangskontrollen mit Identitätsüberprüfung und gleichzeitiger Überprüfung auf sicherheitsrelevante Gegenstände
    AU2003293125A1 (en) 2002-11-27 2004-06-23 Rsa Security Inc Identity authentication system and method
    FR2867881B1 (fr) * 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
    DE102005038092A1 (de) * 2005-08-11 2007-02-15 Giesecke & Devrient Gmbh Verfahren und Einrichtung zur Prüfung eines elektronischen Passes
    WO2007068004A1 (en) * 2005-12-08 2007-06-14 Peter Charles Booth-Jones A security system for permitting or inhibiting access to a secure area
    DE202009010858U1 (de) 2009-08-11 2009-10-22 Magnetic Autocontrol Gmbh Durchgangs- oder Durchfahrtssperranlage mit einer Vorrichtung zur Überwachung des Durchgangs- oder Durchfahrtsbereichs
    DE202018101858U1 (de) 2018-04-05 2018-04-17 Bemm Gmbh Heizkörper

    Citations (7)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4586441A (en) * 1982-06-08 1986-05-06 Related Energy & Security Systems, Inc. Security system for selectively allowing passage from a non-secure region to a secure region
    US4847485A (en) * 1986-07-15 1989-07-11 Raphael Koelsch Arrangement for determining the number of persons and a direction within a space to be monitored or a pass-through
    US4993068A (en) * 1989-11-27 1991-02-12 Motorola, Inc. Unforgeable personal identification system
    US5095196A (en) * 1988-12-28 1992-03-10 Oki Electric Industry Co., Ltd. Security system with imaging function
    EP0599291A2 (de) * 1992-11-25 1994-06-01 American Engineering Corporation Sicherheitsmodul
    EP0762340A2 (de) * 1995-09-05 1997-03-12 Canon Kabushiki Kaisha Biometrisches Identifizierungsverfahren und -system
    WO1999016024A1 (en) * 1997-09-25 1999-04-01 Raytheon Company Mobile biometric identification system

    Family Cites Families (3)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    CH678460A5 (de) * 1989-05-18 1991-09-13 Ballmoos Ag Von
    SE467759B (sv) * 1991-09-20 1992-09-07 Lennart Eriksson Foerfarande och system foer oevervakning av tids- eller passagekontroll
    DE19818229A1 (de) * 1998-04-24 1999-10-28 Hauke Rudolf System zur berührungslosen Hand- und Fingerlinien-Erkennung

    Patent Citations (7)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US4586441A (en) * 1982-06-08 1986-05-06 Related Energy & Security Systems, Inc. Security system for selectively allowing passage from a non-secure region to a secure region
    US4847485A (en) * 1986-07-15 1989-07-11 Raphael Koelsch Arrangement for determining the number of persons and a direction within a space to be monitored or a pass-through
    US5095196A (en) * 1988-12-28 1992-03-10 Oki Electric Industry Co., Ltd. Security system with imaging function
    US4993068A (en) * 1989-11-27 1991-02-12 Motorola, Inc. Unforgeable personal identification system
    EP0599291A2 (de) * 1992-11-25 1994-06-01 American Engineering Corporation Sicherheitsmodul
    EP0762340A2 (de) * 1995-09-05 1997-03-12 Canon Kabushiki Kaisha Biometrisches Identifizierungsverfahren und -system
    WO1999016024A1 (en) * 1997-09-25 1999-04-01 Raytheon Company Mobile biometric identification system

    Cited By (16)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US7190254B2 (en) 2001-12-07 2007-03-13 Hitachi, Ltd. Emigrant reception system, emigrant gate system, emigrant control system, emigrant control method, passport applicant information management method, layout of emigrant gate, immigrant reception system, immigrant gate system, immigrant control system, immigrant control method, layout of immigrant gate system, and passport
    EP1318482A3 (de) * 2001-12-07 2004-02-04 Hitachi, Ltd. Kontrolle von Auswanderung und Einwanderung
    EP1318482A2 (de) * 2001-12-07 2003-06-11 Hitachi, Ltd. Kontrolle von Auswanderung und Einwanderung
    CN1426015B (zh) * 2001-12-07 2010-05-26 株式会社日立制作所 出、入境受理、门控和审查系统及其方法以及护照
    WO2003052741A1 (en) 2001-12-13 2003-06-26 Unisys Corporation Split interface handling of border crossing data
    EP1454314A1 (de) * 2001-12-13 2004-09-08 Unisys Corporation Aufgeteilte schnittstellenbehandlung grenzüberschreitender daten
    EP1454314A4 (de) * 2001-12-13 2005-03-02 Unisys Corp Aufgeteilte schnittstellenbehandlung grenzüberschreitender daten
    EP1347420A2 (de) * 2002-03-22 2003-09-24 VSS Veranstaltungs Sicherheits-Systeme GmbH Biometrische Zugangskontrolleinrichtung
    EP1347420A3 (de) * 2002-03-22 2005-02-16 VSS Veranstaltungs Sicherheits-Systeme GmbH Biometrische Zugangskontrolleinrichtung
    EP1639736A4 (de) * 2003-06-13 2011-07-27 Unisys Corp Transport-sicherheitssystem und verfahren zur unterstützung von internationalen reisen
    EP1639736A2 (de) * 2003-06-13 2006-03-29 Unisys Corporation Transport-sicherheitssystem und verfahren zur unterstützung von internationalen reisen
    FR2879050A1 (fr) * 2004-12-08 2006-06-09 Roger Felix Sejalon Procede permettant de connaitre: l'origine d'un produit ou objet, de verifier l'authenticite de documents officiels, d'interdire un achat ou retrait sur compte bancaire insuffisamment approvisionne
    WO2009092375A1 (de) * 2008-01-24 2009-07-30 Kaba Gallenschütz GmbH Zugangskontrollvorrichtung
    CN101911132B (zh) * 2008-01-24 2013-01-30 凯拔格伦仕慈股份有限公司 入口控制装置
    US8593250B2 (en) 2008-01-24 2013-11-26 Kaba Gallenschuetz Gmbh Access control device
    AU2009207918B2 (en) * 2008-01-24 2014-04-17 Kaba Gallenschutz Gmbh Access control device

    Also Published As

    Publication number Publication date
    DE29922252U1 (de) 2000-03-23
    ATE336766T1 (de) 2006-09-15
    EP1102216A3 (de) 2001-05-30
    DE19961403C2 (de) 2002-09-19
    DE19961403A1 (de) 2001-08-02
    DE59913780D1 (de) 2006-09-28
    EP1102216B1 (de) 2006-08-16

    Similar Documents

    Publication Publication Date Title
    WO2001039133A1 (de) System und verfahren zur automatisierten kontrolle des passierens einer grenze
    DE2738113A1 (de) Vorrichtung zur durchfuehrung von bearbeitungsvorgaengen mit einem in eine aufnahmeeinrichtung der vorrichtung eingebbaren identifikanden
    EP1102216B1 (de) System und Verfahren zur automatisierten Kontrolle des Passierens einer Grenze
    DE3122534C1 (de) Verfahren zur Erzeugung sowie Kontrolle von Dokumenten, sowie Dokument und Vorrichtung zur Durchführung des Verfahrens
    DE3103514A1 (de) Verfahren und vorrichtung zum steuern einer gesicherten transaktion
    EP2710561B1 (de) Vorrichtung zur zugangskontrolle, zugangskontrollsystem und verfahren zur zugangskontrolle
    WO2009049918A1 (de) Personenkontrollsystem und verfahren zum durchführen einer personenkontrolle
    EP0006498B1 (de) Verfahren und Einrichtung zur Absicherung von Dokumenten
    DE2949351A1 (de) Verfahren und vorrichtung zur absicherung von dokumenten sowie dabei verwendetes dokument
    EP3182317A1 (de) Vorrichtung und verfahren für die personalisierte bereitstellung eines schlüssels
    EP3864634A1 (de) Besucherverwaltungssystem
    EP1997082A1 (de) Verfahren und apparatur zur sicheren verarbeitung von schützenswerten informationen
    DE19502657C1 (de) Verfahren und Vorrichtung zum Nachweis einer Manipulation an übertragenen Daten
    EP1686541A2 (de) Identifizierungssystem
    DE3013211A1 (de) Verfahren zur handhabung einer persoenlichen indentifikationsnummer (pin) im zusammenhang mit einer ausweiskarte
    EP2820624B1 (de) Verfahren zum identifizieren einer person
    WO2010040162A1 (de) Identifikationsmerkmal
    DE102018205917A1 (de) Vorrichtung zur Vervielfältigung und Sicherung von Daten eines Fahrtenregistriersystems im Schienenverkehr
    EP3252697A1 (de) Validatorvorrichung für ein ticketsystem
    WO1999026182A2 (de) Authentifizierungssystem für elektronische dateien
    EP1519307A1 (de) Kennzeichnungsvorrichtung für Ausweisdokumente und entsprechendes Kennzeichnungsverfahren
    WO2002063824A1 (de) Telekommunikationsprotokoll, -system und -vorrichtungen zur anonymen und authentischen abwicklung einer elektronischen wahl
    EP4300384A1 (de) Hintergrundsystem für ein personentransportsystem
    DE102022124561A1 (de) Verfahren zur präzisen Gesichtserkennung und Detektion von Gesichtsbildmanipulationen
    DE102022123056A1 (de) Verfahren zur präzisen Gesichtserkennung und Detektion von Gesichtsbildmanipulationen

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    17P Request for examination filed

    Effective date: 20011102

    AKX Designation fees paid

    Free format text: AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: ACCENTURE GMBH

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LI LU MC NL PT SE

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: NL

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20060816

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRE;WARNING: LAPSES OF ITALIAN PATENTS WITH EFFECTIVE DATE BEFORE 2007 MAY HAVE OCCURRED AT ANY TIME BEFORE 2007. THE CORRECT EFFECTIVE DATE MAY BE DIFFERENT FROM THE ONE RECORDED.SCRIBED TIME-LIMIT

    Effective date: 20060816

    Ref country code: IE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20060816

    Ref country code: FI

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20060816

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: FG4D

    Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

    REF Corresponds to:

    Ref document number: 59913780

    Country of ref document: DE

    Date of ref document: 20060928

    Kind code of ref document: P

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: SE

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20061116

    Ref country code: DK

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20061116

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: ES

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20061127

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: MC

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061231

    Ref country code: LI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061231

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061231

    Ref country code: BE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061231

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: PT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20070116

    NLV1 Nl: lapsed or annulled due to failure to fulfill the requirements of art. 29p and 29m of the patents act
    REG Reference to a national code

    Ref country code: IE

    Ref legal event code: FD4D

    ET Fr: translation filed
    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20070518

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    BERE Be: lapsed

    Owner name: ACCENTURE G.M.B.H.

    Effective date: 20061231

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: AT

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061221

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GR

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20061117

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: LU

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20061221

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: CY

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20060816

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: 732E

    Free format text: REGISTERED BETWEEN 20100930 AND 20101006

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: TP

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: 732E

    Free format text: REGISTERED BETWEEN 20101118 AND 20101124

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: TP

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R081

    Ref document number: 59913780

    Country of ref document: DE

    Owner name: ACCENTURE GLOBAL SERVICES LIMITED, IE

    Free format text: FORMER OWNER: ACCENTURE GLOBAL SERVICES GMBH, SCHAFFHAUSEN, CH

    Effective date: 20110518

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 17

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 18

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 19

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: DE

    Payment date: 20181211

    Year of fee payment: 20

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: GB

    Payment date: 20181219

    Year of fee payment: 20

    Ref country code: FR

    Payment date: 20181122

    Year of fee payment: 20

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R071

    Ref document number: 59913780

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: PE20

    Expiry date: 20191220

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

    Effective date: 20191220