Anforderungsbasiertes Personenidentifikationsverfahren Requirement-based personal identification procedure
Die Erfindung betrifft ein anforderungsbasiertes Personenidentifikationsverfahren.The invention relates to a requirement-based personal identification method.
Zur Inanspruchnahme eines angebotenen Dienstes ist es bekannt, dass sich eine Person beim Dienstanbieter korrekt identifizieren und authentifizieren muss. Gerade bei der Inanspruchnahme eines nicht lokalen Dienstes besteht das Problem, dass über eine Entfernung hinweg, eine korrekte und zuverlässige Authentifikation einer anfragenden Person sichergestellt wer- den muss. Insbesondere besteht bei Inanspruchnahme eines Dienstes zumeist die Notwendigkeit, dass die Benützung des Dienstes selbst, oder die darüber angebotenen Leistungen, der anfragenden Person vergebührt werden müssen. Daher ist es von besonderer Bedeutung, dass nur eine korrekt identifizierte Person die bereitgestellten Dienstleistungen in Anspruch nehmen kann. Zur korrekten Authentifikation bzw. Identifikation einer Person ist es bekannt, ein eindeutiges Merkmal der Person zu erfassen und dieses mit einem Referenzmerkmal zu vergleichen. Ferner ist es bekannt, die Benutzung eines bereitgestellten Dienstes über eine Zugriffskennung zu verwalten. Es wird also eine Zugriffskennung und/oder eine eindeutige Benutzerkennung erfasst und bei Übereinstimmung mit einem Referenzmerkmal die Benutzung des Dienstes freigegeben.To claim a service offered, it is known that a person must correctly identify and authenticate with the service provider. Especially when using a non-local service there is the problem that over a distance, a correct and reliable authentication of a requesting person must be ensured. In particular, when using a service, there is usually a need for the use of the service itself, or the services offered above, to be charged to the requesting person. It is therefore of particular importance that only a properly identified person can avail himself of the services provided. For correct authentication or identification of a person, it is known to capture a unique feature of the person and to compare this with a reference feature. Furthermore, it is known to manage the use of a provided service via an access identifier. Thus, an access identifier and / or a unique user identifier is detected and released in accordance with a reference feature, the use of the service.
Das Dienstbereitstellungs-System kann nun eine Mehrzahl unterschiedlicher Dienste verwalten bzw. zur Verfügung stellen, wobei auch unterschiedliche Anforderungen an die Qualität bzw. Sicherheit der Authentifizierung einer Person gegeben sind. Beispielsweise ist für den Zugriff auf einen Nachrichtendienst zumeist eine geringere Sicherheitsstufe erforderlich, als dies für einen Zugriff auf ein Finanztransaktionssystem erforderlich ist. Bei bekannten Systemen musste eine Person für jeden Zugriff auf einen unterschiedlichen Dienst eine unterschiedliche Authentifizierungsprozedur durchlaufen, wobei die einzelnen Authentifikations- vorgänge zumeist auch an unterschiedlichen Erfassungsvorrichtungen durchgeführt werden mussten.The service providing system can now manage or make available a plurality of different services, whereby also different demands on the quality or security of the authentication of a person are given. For example, accessing a news service usually requires a lower level of security than is required to access a financial transaction system. In known systems, a person had to go through a different authentication procedure for each access to a different service, whereby the individual authentication processes usually had to be carried out on different detection devices.
Personenbezogene, individuelle Kennungen bergen aber auch die Gefahr, dass sie bei unregelmäßiger Verwendung in Vergessenheit geraten können und somit die Gefahr besteht, dass eine korrekte und eindeutige Identifikation bzw. Authentifikation einer Person unter Umstän-
den nicht immer zuverlässig möglich ist. Eine weit verbreitete Vorgehensweise besteht nun darin, dass nur wenige personenbezogene individuelle Kennungen verwendet werden, bspw. nur eine kleine Anzahl von Kennwörtern, wodurch die Sicherheitsfunktionalität der Identifi- kations- und Authentifikationsprüfung umgangen wird. Ein Angreifer könnte somit durch Ausspionage eines derartigen Kennwortes Zugriff auf eine Vielzahl unterschiedlicher Dienste erlangen und somit beträchtlichen Schaden anrichten.However, personal, individual identifications also bear the risk that they may be forgotten in the event of irregular use and thus there is a risk that a correct and unambiguous identification or authentication of a person may be avoided. which is not always reliable. A common practice now is to use only a few personal identifiers, for example, only a small number of passwords, thereby bypassing the security functionality of the authentication and authentication check. An attacker could thus gain access to a variety of different services by espionage of such a password and thus cause considerable damage.
Wird beispielsweise aufgrund einer zu geringen Verwendung eine personenbezogene Kennung vergessen, besteht bei bekannten Systemen kaum keine Möglichkeit den gewünschten Dienst in Anspruch zu nehmen, da zumeist kein Notfallszenario vorgesehen ist, um dennoch eine Authentifikation zu erreichen.If, for example, a person-related identifier is forgotten due to insufficient use, there is hardly any possibility of using the desired service in known systems, since in most cases no emergency scenario is provided in order nevertheless to achieve authentication.
Ferner basieren bekannte Authentifizierungsverfahren zumeist auf einer korrekten Wiedergabe einer vordefinierten personenbezogenen Kennung bzw. auf der korrekten Durchführung einer vordefinierten Handlungsabfolge durch die zu authentifizierende Person. In jedem Fall geht es dabei um die korrekte Wiedergabe einer vorher festgelegten Aktion, wobei ein potentieller Angreifer diese Handlungen ausspionieren kann und sich somit in missbräuchlicher Weise Zugriff auf das Dienstbereitstellungs-System verschaffen kann.Furthermore, known authentication methods are generally based on a correct reproduction of a predefined personal identifier or on the correct execution of a predefined sequence of actions by the person to be authenticated. In any case, it is about the correct reproduction of a predetermined action, whereby a potential attacker can spy on these actions and thus gain access to the service delivery system in an abusive way.
Bekannte Verfahren basieren zumeist auf einer so genannten 3 -Faktor- Authentifikation. Dabei werden zur Personenauthentifikation Merkmale herangezogen, die im Wesentlichen in direktem Bezug zur Person stehen. Von Nachteil ist dabei, dass diese Merkmale teilweise recht leicht ausspionierbar sind und somit nur ein geringes Maß an Sicherheit bei der Identifikation einer Person bieten. Auch sind bekannte Verfahren zumeist nicht flexibel genug, um unterschiedliche personenbezogene Kennungen zur Authentifikation einer Person heranzuziehen. Ferner kommt es bei einer fehlerhaften Erfassung einer personenbezogenen Kennung bzw. bei einem fehlerhaften Vergleich, bei bekannten Verfahren zumeist zu einem Abbruch des Authentifikationsvorgangs.Known methods are usually based on a so-called 3-factor authentication. In this case, features are used for personal authentication, which are essentially in direct relation to the person. The disadvantage here is that these features are sometimes quite easy to spy on and thus provide only a small degree of security in the identification of a person. Also, known methods are usually not flexible enough to use different personal identifiers to authenticate a person. Furthermore, in the case of an incorrect detection of a personal identifier or in the event of a faulty comparison, in the case of known methods, an abortion of the authentication process usually occurs.
Die Aufgabe der Erfindung liegt nun darin, ein Verfahren zur eindeutigen Identifikation und Authentifikation einer Person zu schaffen, wobei die Authentifikation nicht auf ein einzelnes personenbezogenes Merkmal beschränkt ist und wobei insbesondere die Nachteile des Standes der Technik behoben werden sollen.
Die Aufgabe der Erfindung wird durch die Verfahrensschritte gemäß Anspruch 1 gelöst.The object of the invention is now to provide a method for the unique identification and authentication of a person, wherein the authentication is not limited to a single person-related feature and in particular the disadvantages of the prior art should be solved. The object of the invention is achieved by the method steps according to claim 1.
In einem ersten Schritt wird vom Authentifikations-Kontrollsystem eine Authentifizierung- sanforderung eines Dienstbereitstellungs-Systems empfangen. Durch die Übermittlung der Authentifizierungsanforderung an ein Authentifikations-Kontrollsystem lässt sich die Durchführung der Personenauthentifikation bzw. -identifikation von der Dienstbereitstellung trennen, insbesondere kann somit ein Dienstbereitstellungs-System mit mehreren Authentifikati- ons-Kontrollsystemen zusammenarbeiten, bzw. kann ein Authentifikations-Kontrollsystem von mehreren Dienstbereitstellungs-Systemen eine Authentifikationsanforderung empfangen. Von Vorteil ist ferner, dass nur eine Authentifizierungsanforderung übertragen wird und somit die Durchführung der Personenidentifikation bzw. Authentifikation von der Durchführung der Dienstbereitstellung getrennt ist. Insbesondere ist es somit möglich, dass die einzelnen beteiligten Systeme separiert ausgebildet sein können. Die Authentifizierungsanforderung kann nun bspw. derart flexibel ausgebildet sein, dass nicht nur eine Authentifizierungsanfor- derung als solche übermittelt wird, auf die das Authentifikations-Kontrollsystem reagiert, sondern dass eine Anfrage betreffend des gewünschten Dienstes übertragen wird und somit das Authentifikations-Kontrollsystem darauf basierend, ein entsprechendes Erfassungsmittel aktivieren kann.In a first step, the authentication control system receives an authentication request from a service delivery system. By transmitting the authentication request to an authentication control system, the performance of the personal authentication or identification can be separated from the service provision; in particular, a service provisioning system can therefore cooperate with a plurality of authentication control systems, or an authentication control system can consist of several Service provisioning systems receive an authentication request. Another advantage is that only one authentication request is transmitted and thus the implementation of the personal identification or authentication is separate from the implementation of the service provision. In particular, it is thus possible for the individual systems involved to be formed separately. The authentication request can now be configured so flexibly, for example, that not only is an authentication request transmitted as such, to which the authentication control system reacts, but that a request relating to the desired service is transmitted and thus the authentication control system based thereon, can activate a corresponding detection means.
In einem weiteren Schritt wird die Authentifizierungsanforderung analysiert und daraus die erforderliche Authentifizierungsstufe ermittelt. Durch die vorteilhafte logische bzw. physikalische Trennung der Dienstbereitstellung von der Personenidentifikation bzw. - authentifikation ist durch Übermittlung der Authentifizierungsanforderung eine Angabe möglich, welchen Zuverlässigkeitsgrad die durchzuführende Authentifikation erreichen muss, um der Person Zugriff auf den bereitgestellten Dienst gewähren zu können. Ein bevorzugt universell ausgebildetes Authentifikations-Kontrollsystem ist also in der Lage, unterschiedliche personenbezogene Kennungen zu erfassen und somit einen unterschiedlichen Grad an Authenti- fizierungssicherheit durch das erfindungsgemäße Verfahren gewährleisten zu können. Insbesondere kann für sicherheitstechnisch unkritische Dienste eine einfach ausgebildete personen- bezogene Kennung erfasst werden, für sicherheitstechnisch hochkritische Dienste kann eine personenbezogene Kennung erfasst werden, die sich nur äußerst schwer ausspionieren bzw. verfälschen lässt.
- A -In a further step, the authentication request is analyzed and the required authentication level determined therefrom. Due to the advantageous logical or physical separation of the service provision of the person identification or authentication, an indication is possible by transmission of the authentication request, which degree of reliability the authentication to be performed must reach in order to grant the person access to the provided service. A preferably universally designed authentication control system is therefore able to record different personal identifiers and thus to be able to ensure a different degree of authentication security by the method according to the invention. In particular, for security-critical uncritical services a simply trained personal identifier can be detected, for security-critical services critical a personal identifier can be detected, which is extremely difficult to spy or falsify. - A -
Nachdem die erforderliche Authentifizierungsstufe ermittelt wurde, wird ein entsprechendes Erfassungsmittel einer Erfassungsvorrichtung aktiviert, um damit eine personenbezogene Kennung zu erfassen, die zumindest der geforderten Sicherheitsstufe entspricht. Die Erfassungsvorrichtung umfasst bevorzugt mehrere Erfassungsmittel, um somit eine Mehrzahl un- terschiedlicher personenbezogener Kennungen erfassen zu können, ohne dass eine weitereAfter the required authentication level has been determined, a corresponding detection means of a detection device is activated in order to acquire a personal identification corresponding at least to the required security level. The detection device preferably comprises a plurality of detection means in order to be able to detect a plurality of different personal identifiers without another one
Erfassungsvorrichtung erforderlich wäre. Diese integrierte Erfassungsvorrichtung hat im Hinblick auf sicherheitstechnische Belage den ganz besonderen Vorteil, dass diese besonders gesichert ausgebildet sein kann und damit ein hohes Maß an Verfälschungs- bzw. Manipulationssicherheit erreicht wird. Von Vorteil ist ferner die autarke Durchführung der Erfassung einer personenbezogenen Kennung durch das Authentifikations-Kontrollsystem und insbesondere durch die Erfassungsvorrichtung.Detection device would be required. With regard to safety-related covering, this integrated detection device has the very special advantage that it can be designed in a particularly secured manner and thus a high degree of tampering or manipulation security is achieved. Another advantage is the self-sufficient implementation of the detection of a personal identifier by the authentication control system and in particular by the detection device.
Die erfasste Kennung wird anschließend mit einem, in einer Speichereinheit hinterlegten, korrespondierenden Referenzmerkmal verglichen, wobei die Speichereinheit in der Erfassungs- Vorrichtung oder im Authentifikations-Kontrollsystem angeordnet sein kann. Der Vergleich kann nun dahingehend ausgebildet sein, dass neben einem exakten Vergleichsergebnis, auch ein Übereinstimmungsgrad ermittelt wird, wobei durch entsprechende Parametrierung festgelegt werden kann, welcher Übereinstimmungsgrad für ein korrektes Vergleichsergebnis erforderlich ist.The detected identifier is then compared with a corresponding reference feature stored in a memory unit, wherein the memory unit can be arranged in the detection device or in the authentication control system. The comparison can now be designed such that, in addition to an exact comparison result, a degree of agreement is also determined, it being possible by means of appropriate parameterization to determine which degree of agreement is required for a correct comparison result.
Bei Feststellung einer Übereinstimmung wird vom Authentifikations-Kontrollsystem ein Freigabesignal an das Dienstbereitstellungs-System abgegeben, worauf dieses den angeforderten Dienst der Person zugänglich macht. Insbesondere ist für den Betreiber des Dienstes gewährleistet, dass eine eventuell anfallende Benützungsgebühr eindeutig und unverwechselbar einer Person zugeordnet werden kann. Auch kann durch eine entsprechende Authentifikati- onsstufe sichergestellt werden, dass die Person bei Inanspruchnahme des bereitgestellten Dienstes, eine rechtsverbindlich zuordenbare Handlung vornimmt und dies eindeutig dokumentierbar ist.Upon detection of a match, the authentication control system issues a release signal to the service delivery system, whereupon it makes the requested service accessible to the person. In particular, it is ensured for the operator of the service that a possible usage fee can be unambiguously and unmistakably assigned to a person. It can also be ensured by means of an appropriate authentication level that the person, when using the provided service, undertakes a legally binding act and this can be clearly documented.
Ein besonderer Vorteil des erfindungsgemäßen Verfahrens liegt nun darin, dass bei einer fehlerhaften Übereinstimmung ein weiteres Erfassungsmittel der Erfassungsvorrichtung aktiviert wird und die Verfahrensschritte zur Erfassung einer personenbezogenen Kennung, sowie der Vergleich mit einem korrespondierenden Referenzmerkmal, wiederholt werden. Bei der Er-
fassung einer personenbezogenen Kennung kann es aufgrund äußerer Einflüsse vorkommen, dass der anschließende Vergleich fehlschlägt, obwohl kein Manipulationsversuch vorliegt. Bei bekannten Verfahren würde die Authentifikation in diesem Fall abgebrochen und die Person hätte somit keinen Zugriff auf den angeforderten Dienst. Mit dem erfindungsgemäßen Verfahren ist es nun in vorteilhafter Weise möglich, ein weiteres personenbezogenes Merkmal zu erfassen, um so die fehlgeschlagene Authentifikation durch eine erneute Authentifikation, in diesem Fall allerdings mit einer sicherheitstechnisch höherwertigen personenbezogenen Kennung erneut durchzuführen. Durch die Ermittlung einer Authentifizierungsstufe ist festgelegt, welches Mindestmaß an Sicherheit die erfasste personenbezogene Kennung bieten muss, um den Dienst in Anspruch nehmen zu können. Mit dem erfindungsgemäßen Verfahren ist es nun jedoch in vorteilhafter Weise möglich, bspw. die sicherheitstechnisch nächst höherliegende personenbezogene Kennung zu erfassen, um so die Authentifikation für den angeforderten Dienst durchführen zu können. Gegebenenfalls kann die Vergleichsoperation in diesem Fall einen geringeren Überdeckungsgrad erforderlich machen, da lediglich ein fehlge- schlagener Vergleich einer sicherheitstechnisch niederwertigeren Authentifizierungsstufe behoben werden muss. In einer Weiterbildung ist es auch möglich, dass anstelle einer sicherheitstechnisch höherwertigen personenbezogenen Kennung, zumindest eine andere sicherheitstechnisch gleichwertige Kennung erfasst wird.A particular advantage of the method according to the invention lies in the fact that, in the case of an erroneous match, a further detection means of the detection device is activated and the method steps for detecting a person-related identifier as well as the comparison with a corresponding reference feature are repeated. At the Due to external influences, it may happen that the subsequent comparison fails, even though there is no attempt to tamper with it. In known methods, the authentication would be canceled in this case and the person would thus have no access to the requested service. With the method according to the invention, it is now possible in an advantageous manner to record another person-related feature, so as to perform the failed authentication again by re-authentication, in this case, however, with a security-related higher-value personal identifier. Identifying an authentication level determines the minimum level of security that the acquired personal identifier must provide in order to use the service. With the method according to the invention, however, it is now possible in an advantageous manner, for example, to record the security-related next higher-level personal identifier in order to be able to perform the authentication for the requested service. If necessary, the comparison operation in this case may require a lower degree of coverage, since only a failed comparison of a lower-security authentication level must be remedied. In a development, it is also possible that, instead of a higher-security personal identifier, at least one other security-equivalent identifier is detected.
Mit dem erfindungsgemäßen Verfahren ist es in vorteilhafter Weise möglich, eine irrtümlich fehlgeschlagene Erfassung bzw. eine fehlerhafte Übereinstimmung dadurch zu beheben, dass eine personenbezogene Kennung, bspw. eine höhere sicherheitstechnische Klassifizierung, erfasst wird. Bei einem tatsächlichen Missbrauchsversuch wird nun auch dieser erneute Au- thentifizierungsversuch fehlschlagen, wodurch eine Weiterbildung von Vorteil ist, nach der bei eventuell mehrfach wiederholter fehlerhafter Übereinstimmung, ein Fehlerkennzeichensignal als ein Alarmsignal abgegeben wird. Dieses Alarmsignal kann beispielsweise eine A- larmausgabevorrichtung aktivieren, die mit dem Authentifikations-Kontrollsystem und/oder mit der Erfassungsvorrichtung kommunikativ verbunden ist, und somit gegebenenfalls vorhandenes Wachpersonal auf den Missbrauchsversuch aufmerksam machen. Es ist aber auch möglich, dass ein derartiges Alarmsignal an das Dienstbereitstellungs-System und/oder an ein Alarmkontrollsystem übermittelt wird, wobei das jeweilige System entsprechende Schritte einleitet, um den Missbrauchsversuch zu unterbinden bzw. um beispielsweise einen Sicherheitsdienst zu alarmieren. Diese Weiterbildung hat insbesondere den Vorteil, dass eine irrtüm-
lich fehlerhafte Authentifizierung behoben werden kann, jedoch eine wiederholte, fehlerhafte Authentifizierung als Missbrauchs versuch erkennbar wird.With the method according to the invention, it is advantageously possible to correct a mistakenly failed detection or a faulty match by detecting a personal identifier, for example a higher safety-related classification. In the case of an actual abuse attempt, this renewed authentication attempt will now also fail, as a result of which a further development is advantageous, according to which an error flag signal is output as an alarm signal in the case of possibly repeated repeated erroneous matching. This alarm signal can, for example, activate an alarm output device that is communicatively connected to the authentication control system and / or to the detection device, and thus alert possibly existing security guards to the abuse attempt. But it is also possible that such an alarm signal to the service delivery system and / or an alarm control system is transmitted, the respective system initiates appropriate steps to prevent the abuse attempt or to alert, for example, a security service. This further development has the particular advantage that an erroneous faulty authentication can be remedied, but a repeated, incorrect authentication as abuse attempt is recognizable.
Mit der übermittelten Authentifizierungsanforderung kann gleichzeitig eine Sicherungskenn- zahl übermittelt werden, die direkt die Festlegung der Authentifizierungsstufe beeinflusst. Ein Manipulationsversuch zur Erreichung einer Authentifikation könnte beispielsweise darin bestehen, dass das Authentifikations-Kontrollsystem manipuliert wird und somit beispielsweise eine sicherheitstechnisch höherwertige Authentifizierungsstufe durch eine niederwertige Stufe ersetzt wird. Mit der anspruchsgemäßen Weiterbildung kann nun vom Dienstbereitstellungs- System ausgehend eine erforderliche Authentifizierungsstufe vorgegeben werden, um somit den Ermittlungsschritt durch das Authentifikations-Kontrollsystems zu umgehen. Insbesondere ist es somit auch möglich, nicht vorhersehbare Sicherheitsüberprüfungen durchzuführen, beispielsweise dadurch, dass zusammen mit einer sicherheitstechnisch niedrig priorisierten Authentifikationsanforderung eine Sicherungskennzahl einer sicherheitstechnisch hoch priori- sierten Identifizierungsanforderung übermittelt wird, um stichprobenartig die Identität bzw. Authentizität der anfragenden Person auf einem sicherheitstechnisch hohen Niveau zu überprüfen. Beispielsweise kann auch eine missbräuchliche Verwendung eines sicherheitstechnisch niedrig priorisierten Dienstes über einen längeren Zeitraum hinweg bzw. bei oftmaliger Inanspruchnahme einen entsprechenden Schaden produzieren. Durch zufällig stattfindende Sicherheitsprüfungen lassen sich auch solche Manipulationsversuche erkennen. Insbesondere ist es mit dieser Weiterbildung möglich, für jede Authentifizierungsanforderung eine individuell angepasste Sicherungskennzahl und damit eine individuelle Authentifizierungsstufe festlegen zu können. Beispielsweise kann ein Zufallsgenerator diese Sicherungskennzahl derart beeinflussen, dass quasi nicht vorhersehbar eine Authentifizierungsanforderung übertragen wird und so eine Authentifizierungsstufe festlegt, die deutlich über der, für den angeforderten Dienst erforderlichen, liegt. Der Zufallsgenerator kann bspw. auch die Statistik der vergangenen Authentifikationsvorgänge berücksichtigen und bei einer Person mit einem erhöhten Aufkommen fehlerhafter Authentifikationsversuche, eine häufigere sicherheitstechnisch höherwertige Authentifikationsstufe verlangen.With the transmitted authentication request, a security code can be transmitted at the same time, which directly influences the specification of the authentication level. A manipulation attempt to achieve an authentication could be, for example, that the authentication control system is manipulated and thus, for example, a higher level of security authentication level is replaced by a lower level. With the further development according to the invention, a required authentication level can now be predefined from the service provisioning system in order thus to bypass the determination step by the authentication control system. In particular, it is thus also possible to carry out unpredictable security checks, for example by transmitting a security code of a security-related highly prioritized authentication request together with a low-priority authentication request in order to sample the identity or authenticity of the requesting person at a high level of security to check. For example, an abusive use of a security-related low-priority service over a longer period of time or in case of frequent use to produce a corresponding loss. Random security checks also detect such manipulation attempts. In particular, it is possible with this development to be able to define an individually adapted security code and thus an individual authentication level for each authentication request. For example, a random number generator can influence this security code in such a way that an authentication request is transmitted, as it were unpredictably, and thus defines an authentication level that is significantly above that required for the requested service. The random number generator may, for example, also take into account the statistics of the past authentication processes and, in the case of a person with an increased number of faulty authentication attempts, require a more frequent higher level of authentication with regard to security.
Zur Authentifikation einer Person wird eine personenbezogene Kennung erfasst, die anschließend mit einem Referenzmerkmal zu vergleichen ist. Zur Erhöhung der Manipulationssicherheit kann das Authentifikations-Kontrollsystem derart ausgebildet sein, dass eine personenbe-
zogene Kennung nur für die Dauer des Authentifizierungsvorgangs, insbesondere für die Dauer des Vergleichvorgangs, in einem Speichermittel hinterlegt ist und anschließend sofort gelöscht wird. Nach der anspruchsgemäßen Weiterbildung wird mit der Authentifizierungsan- forderung ein Referenzsatz eines personenbezogenen Merkmals übermittelt und steht somit für den Vergleich zur Verfügung. Diese Ausbildung hat aber auch den weiteren Vorteil, dass das Authentifikations-Kontrollsystem erst dann eine personenbezogene Referenzkennung übermittelt bekommt, wenn sich die Person zum ersten Mal an diesem spezifischen Authenti- fikations-Kontrollsystem identifizieren möchte. Für ein verteiltes System, bei dem eine Mehrzahl von Authentifikations-Kontrollsystemen mit einem oder mehreren Dienstbereitstellungs- Systemen kommunikativ verbunden sind, hat dies den besonderen Vorteil, dass die Referenzmerkmale erst zum Zeitpunkt der durchzuführenden Authentifizierung übermittelt werden und somit die Gefahr wesentlich verringert wird, dass hinterlegte Referenzmerkmale gegebenenfalls ausspioniert werden könnten.To authenticate a person, a personal identifier is recorded, which is then to be compared with a reference feature. To increase the security against manipulation, the authentication control system can be designed such that a personal The identifier is stored in a storage medium only for the duration of the authentication process, in particular for the duration of the comparison process, and is subsequently deleted immediately. According to the further development, a reference sentence of a person-related feature is transmitted with the authentication request and is thus available for the comparison. However, this training also has the further advantage that the authentication control system does not receive a personal reference identifier until the person first wishes to identify with this specific authentication control system. For a distributed system in which a plurality of authentication control systems communicatively connected to one or more service providing systems, this has the particular advantage that the reference features are transmitted only at the time of the authentication to be performed and thus the risk is substantially reduced deposited reference features could possibly be spied on.
Wird zur Ermittlung der Authentifizierungsstufe die Authentifϊzierungsanforderung mit einem hinterlegten Sicherheits-Hierarchieprofil verglichen, ist dies insbesondere dahingehend von Vorteil, dass über das Hierarchieprofil die Authentifizierungsstufe ermittelt bzw. zugeordnet wird und somit auch eine individuell anpassbare Zuordnung möglich wird. Insbesondere kann somit das Sicherheits-Hierarchieprofil an das Authentifikations-Kontrollsystem angepasst werden und beispielsweise in einer Umgebung in der eine größere Gefahr einer Manipulation des Authentifikations-Kontrollsystems besteht, das Hierarchieprofil entsprechend angepasst werden, so dass grundsätzlich eine höhere Authentifizierungsstufe ermittelt wird. Diese Ausbildung hat den weiteren Vorteil, dass dieses Sicherheits-Hierarchiemodell individuell anpassbar ist und somit beispielsweise für jede Authentifϊzierungsanforderung ein individuelles Sicherheits-Hierarchieprofil angewendet werden kann. Insbesondere kann dieses Sicherheits- Hierarchieprofil beispielsweise von der Person selbst verwaltet werden und somit ein individualisierter Authentifizierungsvorgang geschaffen werden. Auch kann mittels dieses Si- cherheits-Hierarchieprofils festegelegt werden, welcher Übereinstimmungsgrad beim Vergleich der erfassten personenbezogenen Kennung mit dem Referenzmerkmal erreicht werden muss. Ferner lässt sich festlegen wie im Fall einer negativen Übereinstimmung fortgefahren werden soll, insbesondere welche personenbezogene Kennung zur Behebung des fehlerhaften Vergleichs herangezogen werden kann.
Nach einer Weiterbildung stellt [das Sicherheits-Hierarchieprofil eine Zuordnung zwischen dem Erfassungsmittel der Erfassungsvorrichtung und der Authentifizierungsstufe her. Mit der Authentifizierungsstufe wird prinzipiell festgelegt, welche sicherheitstechnische Anforderung an die durchzuführende Authentifikation gestellt wird, also welches Mindestmaß an Sicher- heit im Hinblick auf eine eindeutige Identifikation bzw. Authentifikation einer Person die erfasste personenbezogene Kennung sicherstellen muss. Diese Weiterbildung hat ferner den Vorteil, dass individuell ausgebildete Authentifikations-Kontrollsysteme vorhanden sein können, die gegebenenfalls auch personenbezogene Kennungen unterschiedlich erfassen können, jedoch aufgrund der geforderten und insbesondere allgemeingültigen Authentifizierungsstufe eine entsprechend sichere Personenauthentifikation gewährleistet ist.If the authentication requirement is compared to a stored security hierarchy profile to determine the authentication level, this is particularly advantageous in that the authentication level is determined or assigned via the hierarchy profile and thus an individually adaptable assignment becomes possible. In particular, therefore, the security hierarchy profile can be adapted to the authentication control system and, for example, in an environment in which there is a greater risk of manipulation of the authentication control system, the hierarchy profile to be adjusted accordingly, so that in principle a higher level of authentication is determined. This design has the further advantage that this security hierarchy model can be individually adapted and thus, for example, an individual security hierarchy profile can be used for each authentication request. In particular, this security hierarchy profile can be managed, for example, by the person himself and thus an individualized authentication process can be created. It can also be determined by means of this security hierarchy profile, which degree of agreement must be achieved when comparing the detected personal identifier with the reference feature. Furthermore, it is possible to determine how to proceed in the case of a negative match, in particular which personal identifier can be used to remedy the erroneous comparison. In a further development, the security hierarchy profile establishes an association between the detection means of the detection device and the authentication level. The authentication level basically determines which security-related requirement is placed on the authentication to be carried out, that is to say which minimum level of security with regard to a clear identification or authentication of a person must ensure the detected personal identifier. This further development has the further advantage that individually trained authentication control systems can be present, which may possibly also detect personal identifiers differently, but due to the required and, in particular, generally valid authentication level, correspondingly secure personal authentication is ensured.
Im Hinblick auf eine |Absicherung des Authentifikations-Kontrollsystems gegen unbefugte Manipulation ist eine Weiterbildung von Vorteil, nach der mit der Authentifizierungsanfrage eine Ablaufanweisung übermittelt wird. Durch diese Weiterbildung kann gewährleistet wer- den, dass eine Manipulation des Authentifikations- Kontrollsystems im Hinblick auf dieWith regard to securing the authentication control system against unauthorized manipulation, a further development is advantageous according to which a procedure is transmitted with the authentication request. This development can ensure that a manipulation of the authentication control system with respect to the
Durchführung der Erfassung einer personenbezogenen Kennung erschwert bzw. verunmög- licht wird, da die Ablaufanweisung zur Durchführung der Erfassung der Kennung mit der Authentifizierungsanfrage übermittelt wird und somit gegebenenfalls bei jeder Authentifizierungsanfrage die Ablaufanweisung erneut übermittelt wird. Insbesondere kann das Authenti- fikations-Kontrollsystem derart ausgebildet sein, dass die vom Dienstbereitstellungs-System übermittelte Information nur für die Dauer des Authentifϊkationsprozesses temporär abgelegt wird und danach unwiederbringlich gelöscht wird. Somit kann ein Angreifer nicht auf eventuell sicherheitskritische Information zugreifen.Carrying out the detection of a personal identifier is difficult or impossible, since the expiration statement for performing the detection of the identifier with the authentication request is transmitted and thus possibly the expiration command is transmitted again for each authentication request. In particular, the authentication control system can be designed in such a way that the information transmitted by the service providing system is temporarily stored only for the duration of the authentication process and is then irretrievably deleted. Thus, an attacker can not access any security-critical information.
Von Vorteil ist ferner eine Weiterbildung nach der das Authentifikations-Kontrollsystem die Funktionalität der Erfassungsvorrichtung steuert, da somit wiederum eine weitere Steigerung der Manipulationssicherheit erreicht wird. Die Erfassungsvorrichtung mit dem Erfassungsmittel ist zumeist erster Angriffspunkt für einen Manipulationsversuch, da diese Vorrichtung als letztes Glied der Kette zur Durchführung der Personenauthentifikation auch dem Zugriff durch nicht befugte Personen offen steht. Wird nun die Steuerung der Funktionalität der Er- fassungsvorrichtung durch das Authentifikations-Kontrollsystem gesteuert, wird es potentiellen Angreifern wesentlich erschwert, die an die Erfassung der personenbezogenen Kennung anschließende Vergleichsoperation zu manipulieren. Auch ist es mit dieser Weiterbildung
möglich, standardisierte und somit universell vewendbare Erfassungsvorrichtungen einzusetzen, da die konkrete Ablaufanweisung erst mit der Authentifizierungsanfrage übermittelt und anschließend vom Authentifikations-Kontrollsystem ausgeführt wird.A further advantage is a development according to which the authentication control system controls the functionality of the detection device, since in turn a further increase of the manipulation security is achieved. The detection device with the detection means is usually the first point of attack for a manipulation attempt, since this device is open as the last link in the chain for performing the personal authentication and access by unauthorized persons. If the control of the functionality of the detection device is now controlled by the authentication control system, it is considerably more difficult for potential attackers to manipulate the comparison operation subsequent to the detection of the personal identification. It is also with this training possible to use standardized and thus universally applicable detection devices, since the concrete procedure statement is transmitted only with the authentication request and then executed by the authentication control system.
Gemäß einer Weiterbildung könnte als personenbezogene Kennung eine alphanumerische Kennung erfasst werden. Eine derartige alphanumerische Kennung kann beispielsweise eine Zahlenkombination sein, ein so genannter PIN - Code, der über ein standardisiertes und somit weit verbreitetes und kostengünstiges Eingabemittel eingegeben werden kann bspw. mittels einer alphanumerischen Tastatur. Aus dem Bereich der automatischen Geldausgabevorrich- tungen ist bspw. eine Eingabevorrichtung bekannt, die mehrere Auswahltasten sowie einen Ziffernblock aufweist. Eine erweiterte Funktionalität und somit ein erhöhtes Maß an Sicherheit bietet beispielsweise eine Eingabevoπϊchtung, bei der neben Ziffern auch noch Buchstaben eingebbar sind, wodurch beispielsweise auch eine so genannte Passphrase eingebbar ist.According to a further development, an alphanumeric identifier could be entered as a personal identifier. Such an alphanumeric identifier can be, for example, a combination of numbers, a so-called PIN code, which can be input via a standardized and thus widely used and cost-effective input means, for example by means of an alphanumeric keyboard. From the field of automatic cash dispensing devices, for example, an input device is known which has a plurality of selection keys and a number pad. An extended functionality, and thus an increased level of security, for example, offers an input device in which letters can also be entered in addition to numbers, as a result of which, for example, a so-called passphrase can also be entered.
Eine personenbezogene Kennung, die aus dem Gedächtnis der Person abgerufen und über das Eingabemittel eingegeben wird, birgt insbesondere die Gefahr, dass ein potentieller Angreifer die Person bei der Eingabe beobachtet und somit die personenbezogene Kennung ausspioniert. Eine deutliche Steigerung der Authentifizierungssicherheit wird erreicht, wenn als personenbezogene Kennung ein biometrisches Merkmal erfasst wird, da biometrische Merkmale eindeutig einer Person zuordenbar sind und insbesondere nur äußerst schwierig manipuliert werden können. Auch ist bei der Erfassung die Gefahr einer unmittelbaren Manipulation wesentlich verringert, da zusammen mit dem biometrischen Merkmal beispielsweise auch Vitalzeichen erfasst werden können und somit eine außerordentlich hohe Authentifizierungssicherheit gegeben ist.A personal identification, which is retrieved from the memory of the person and entered via the input means, in particular, the risk that a potential attacker observes the person in the input and thus spied on the personal identifier. A significant increase in the security of authentication is achieved if a biometric feature is detected as a personal identifier, since biometric features are clearly attributable to a person and in particular can only be manipulated extremely difficult. Also, the risk of direct manipulation is significantly reduced in the detection, since together with the biometric feature, for example, vital signs can be detected and thus an extremely high authentication security is given.
Eine weitere Möglichkeit [eine Person sicher zu identifizieren bzw. zu authentifizieren besteht darin, dass als personenbezogene Kennung eine Abfolge von Handlungen erfasst wird, in der das Erfassungsmittel von der zu authentifizierenden Person bedient wird. Beispielsweise kann eine Bedienerhandlung darin bestehen, eine alphanumerische Kennung in einer bestimmten festgelegten Abfolge der einzelnen Typen einzugeben. Eine weitere Bedienhandlung könnte beispielsweise darin bestehen, dass bewusst ein oder mehrere Typ-Eingabefehler vorkommen, die durch Bedienen einer Lösch- bzw. Korrekturfunktion behoben werden. Wird beispielsweise eine Person bedroht und zur Eingabe der personenbezogenen Kennung gezwungen, kann
diese Person bewusst an festgelegten Stellen der Kennung einen oder keinen Fehler machen, wobei diese bewusste Fehlbedienung als eindeutige personenbezogene Kennung registriert wird, jedoch nicht nur eine Authentifikation einer Person durchfuhrt, sondern beispielsweise auch eine Alarmaktion auslöst, da die Person durch dieses bewusste Fehlverhalten diese Akti- on ausgelöst hat. Ebenso kann eine bewusste Fehlbedienung des Erfassungsmittels als personenbezogene Kennung erfasst und interpretiert werden, beispielsweise indem eine Bestätigungsfunktion vor der vollständigen Eingabe der alphanumerischen Kennung ausgelöst wird. In jedem Fall kann mit der anspruchsgemäßen Weiterbildung eine Person Aktionen auslösen, ohne dass dadurch ein potentieller Angreifer diese scheinbar zufällige Fehlbedienung als per- sonenbezogene Kennung interpretieren würde.Another possibility [to identify or authenticate a person with certainty is that the personal identifier is a sequence of actions in which the means of detection is operated by the person to be authenticated. For example, an operator action may be to enter an alphanumeric identifier in a particular predetermined sequence of each type. A further operator action could be, for example, that deliberately one or more type input errors occur, which are remedied by operating a deletion or correction function. For example, if a person is threatened and forced to enter the personal identifier, can this person consciously make one or no error at specified locations of the identifier, this deliberate misoperation being registered as a unique personal identifier, but not only carrying out an authentication of a person, but also triggering an alarm action, for example, since the person acts as a result of this deliberate misbehavior - on triggered. Likewise, a deliberate incorrect operation of the detection means can be detected and interpreted as a personal identifier, for example by a confirmation function is triggered before the complete input of the alphanumeric identifier. In any case, with the further development according to the invention, a person can initiate actions without a potential attacker thereby interpreting this seemingly accidental incorrect operation as a person-related identifier.
In eine ähnliche Richtung zielt eine Weiterbildung, nach der bei der Erfassung der personenbezogenen Kennung ein zeitlicher Ablauf der Bedienhandlungen erfasst wird. Wiederum am Beispiel der Erfassung einer alphanumerischen Kennung beschrieben, kann eine Person die einzelnen Typen in einer bestimmten, zeitlichen Abfolge eingeben. Beispielsweise kann an einer bestimmten Stelle eine längere Pause zwischen der Eingabe vorgesehen sein bzw. kann vorgesehen sein, dass die Kennung innerhalb einer bestimmten maximalen Zeitspanne angegeben werden muss. Im Bedrohungsfall kann die Person den festgelegten Zeitablauf bewusst nicht einhalten, um so eine scheinbar erfolgreiche Authentifizierung durchzuführen jedoch im Hintergrund eine entsprechende Alarmaktion auszulösen. Auch wird ein Angreifer, der eine personenbezogene Kennung ausspioniert hat zumeist nicht die dahinter liegenden Zeitabläufe erkennen und somit würde ein Manipulationsversuch scheitern.In a similar direction aims a further development, according to which a temporal sequence of the operator actions is detected when the personal identification. Again described using the example of the detection of an alphanumeric identifier, a person can enter the individual types in a specific chronological order. For example, at a certain point a longer pause between the input can be provided or it can be provided that the identifier must be specified within a certain maximum period of time. In the event of a threat, the person can deliberately not adhere to the specified time schedule in order to perform a seemingly successful authentication but trigger a corresponding alarm action in the background. Also, an attacker who has spied on a personal identifier will usually not recognize the underlying time sequences and thus a manipulation attempt would fail.
Insbesondere kann somit mit einer personenbezogenen Kennung, in Kombination mit einer Mehrzahl unterschiedlicher Bedienhandlungen und/oder unterschiedlicher Zeitabläufe eine Vielzahl möglicher Authentifizierungsvorgänge durchgeführt bzw. initiiert werden. Beispielsweise ist es möglich, dass durch Eingabe einer alphanumerischen Kennung in Kombination mit einer entsprechenden Bedienhandlung, vom Authentifikations-Kontrollsystem ein automatischer Rückruf auf eine mobile Kommunikationseinrichtung initiiert werden, der von der zu authentifizierenden Person in einer wohl definierten Art beantwortet werden muss. Erfolgt die Beantwortung der Rückfrage nicht in der festgelegten Art und Weise, beispielsweise dadurch, dass die Person den Rückruf nicht entgegennimmt, kann beispielsweise die Authentifikation scheinbar erfolgreich durchgeführt werden, jedoch wird im Hintergrund eine
entsprechende Alarmaktion ausgelöst. Mittels einer Positionsbestimmung durch die mobile Kommunikationseinrichtung kann dies zu einer Lokalisation der betreffenden Person durch die Authentifizierungseinrichrung führen, sodass der Person gezielt zur Hilfe gekommen werden kann. Gegebenenfalls kann ferner vorgesehen sein, dass die Erfassungsvorrichtung auch eine Nahbereichs-Kommunikationseinrichtung aufweist, sodass sich zur erfolgreichen Au- thentifikation der Benutzer mit der mobilen Kommunikationseinrichtung, welche eine entsprechende Kommunikationsgegenstelle aufweist, innerhalb einer gut festlegbaren und insbesondere geringen Distanz befinden muss.In particular, a multiplicity of possible authentication processes can thus be carried out or initiated with a personal identifier, in combination with a plurality of different operator actions and / or different time sequences. For example, by entering an alphanumeric identifier in combination with a corresponding operator action, it is possible for the authentication control system to initiate an automatic callback to a mobile communication device, which must be answered by the person to be authenticated in a well-defined manner. If the answering of the inquiry does not take place in the defined manner, for example because the person does not accept the callback, the authentication can apparently be carried out successfully, however, in the background a corresponding alarm action triggered. By means of a position determination by the mobile communication device, this can lead to a localization of the person concerned by the authentication device, so that the person can be targeted for assistance. Optionally, it may further be provided that the detection device also has a short-range communication device, so that for successful authentication of the user with the mobile communication device, which has a corresponding communication counterpart, must be within a well defined and especially small distance.
Die bisher beschriebenen personenbezogenen Kennungen basierten allesamt auf einer be- wussten Handlung der zu authentifizierenden Person. Daneben besteht ferner noch die Möglichkeit, ein unbewusstes Verhalten einer Person als personenbezogene Kennung zu erfassen, indem die Erfasssungsvorrichtung mittels einer Ein- Ausgabevorrichtung eine personalisierte Anfrage ausgibt und die Reaktion der Person darauf erfasst. Derartige Reaktionen sind kaum zu manipulieren, da diese auf einem unbewussten Reaktionsmodell der Person basieren, welches von einem potentiellen Angreifer nicht ausspioniert werden kann, da dadurch das Reaktionsmodell zumeist bereits verfälscht werden würde. Beispielsweise kann die Erfassungsvor- richtung eine Eingabeaufforderung ausgeben und mehrere Auswahlmöglichkeiten anbieten. Unabhängig von der aktuell präsentierten Eingabeaufforderung wird die Person intuitiv auf eine spezifische Klasse von Eingabeaufforderungen stets gleich reagieren, was sicherheitstechnisch gesehen einen hohen Authentifizierungsgrad darstellt. Die präsentierte Eingabeaufforderung wird bevorzugt aus einem Vorrat einer Mehrzahl möglicher unterschiedlicher Eingabeaufforderungen ausgewählt.The personal identifiers described so far were all based on a conscious action by the person to be authenticated. In addition, there is still the possibility to detect an unconscious behavior of a person as a personal identifier by the detection device by means of an input-output device issues a personalized request and detects the reaction of the person on it. Such reactions can hardly be manipulated, since these are based on an unconscious reaction model of the person, which can not be spied on by a potential attacker, since this would usually already falsify the reaction model. For example, the capturing device may issue a prompt and offer several choices. Regardless of the currently presented prompt, the person will intuitively respond to a specific class of prompts at once, which is a high level of authentication in terms of security. The presented prompt is preferably selected from a supply of a plurality of possible different prompts.
Eine deutliche Steigerung der Authentifizierungssicherheit erhält man, wenn das Sicherheits- Hierarchiemodell von einem Authentifϊzierungssystem an das Authentifikations- Kontrollsystem übertragen wird, da somit eine Trennung der Authentifikation von der Bereitstellung eines in Anspruch zu nehmenden Dienstes erreicht wird. Insbesondere ist von Vorteil, dass das Authentifϊzierungssystem beispielsweise innerhalb eines hochsicheren Bereichs angeordnet werden kann, während für ein Dienstbereitstellungs-System zumeist geringere Sicherheitsanforderungen erforderlich sind. Insbesondere wird somit verhindert, dass durch Manipulation eines Dienstbereitstellungs-System ein Zugriff auf das Authentifikations- Kontrollsystem erreicht werden kann, um darüber in missbräuchlicher Absicht einen weiteren
Zugriff auf ein anderes, beispielsweise sicherheitstechnisch höherwertiges Dienstbereitstellungsystem zu erlagen.A significant increase in the security of authentication is obtained when the security hierarchy model is transmitted from an authentication system to the authentication control system, since thus a separation of the authentication from the provision of a service to be used is achieved. In particular, it is advantageous that the authentication system can be arranged, for example, within a highly secure area, while for a service provisioning system generally lower security requirements are required. In particular, it is thus prevented that access to the authentication control system can be achieved by manipulating a service provisioning system in order to misuse it in another one To gain access to another, for example higher-security service provisioning system.
Im Hinblick auf eine möglichst individuelle Anpassung des erfindungsgemäßen Verfahrens an die individuellen personenbezogenen Kennungen sowie an die individuellen Verhaltensweisen ist eine Weiterbildung von Vorteil, nach der das Sicherheits-Hierarchieprofil in einer Trainingsphase erstellt wird, wobei personenbezogene Kennungen als Referenzmerkmale erfasst und in einem Speichermittel hinterlegt werden. Bevorzugt wird dieses Speichermittel im Authentifizierungssystem angeordnet sein, wobei auch eine Anordnung im Dienstbe- reitstellungs-System möglich ist. Die Erfassung personenbezogener Kennungen in einer Trainingsphase hat den weiteren Vorteil, dass die dafür verwendete Erfassungsvorrichtung in einer sicherheitstechnisch besonders geschützten Umgebung angeordnet sein kann bzw. das ferner ein entsprechendes rechtliches Umfeld geschaffen werden kann, um die erfassten Kennungen auch rechtlich verbindlich ausbilden zu können. Insbesondere ist es in der Trainings- phase von Bedeutung, dass die Identität der Person eindeutig festgestellt wird und sich somit die erfassten Kennungen eindeutig dieser Person zuordnen lassen. Beispielsweise kann diese Authentifizierung durch ein Ausweisdokument erfolgen, welches einer juristischen Authorität wie bspw. einem Notar vorgelegt wird, der das Dokument mittels einer Kontrollvorrichtung, bspw. einem Passportreader, auf Gültigkeit prüft und anschließend personenbezogene Ken- nungen erfasst und diese rechtsverbindlich in einem Speichermittel hinterlegt. Die so erfassten Referenzmerkmale können nun bei der Produktion des Authentifikations-Kontrollsystems in diesem hinterlegt werden, es ist aber auch möglich diese in einem externen Speichermodul zu hinterlegen, welches zusammen mit dem Authentifikations-Kontrollsystem integriert angeordnet wird. Auch können die Referenzmerkmale über eine Kommunikationsverbindung an das Authentifikations-Kontrollsystem übermittelt werden.With regard to a possible individual adaptation of the method according to the invention to the individual personal identifiers and to the individual behaviors, a development is advantageous, according to which the security hierarchy profile is created in a training phase, wherein personal identifiers are recorded as reference features and stored in a storage means , Preferably, this storage means will be arranged in the authentication system, whereby an arrangement in the service providing system is also possible. The detection of personal identifiers in a training phase has the further advantage that the detection device used for this purpose can be arranged in a security environment particularly protected environment or further a corresponding legal environment can be created in order to form the detected identifiers legally binding. In particular, it is important in the training phase that the identity of the person is unambiguously determined and thus the detected identifiers can be unambiguously assigned to this person. For example, this authentication can be carried out by means of an identification document which is submitted to a legal authority, such as a notary, who checks the document for validity by means of a control device, for example a passport reader, and then records personal identifications and deposits them legally binding in a storage means , The thus detected reference features can now be deposited in the production of the authentication control system in this, but it is also possible to deposit them in an external memory module, which is arranged integrated with the authentication control system. Also, the reference features can be transmitted via a communication link to the authentication control system.
Für die Erweiterung der Möglichkeiten zur Personenauthentifizierung bzw. zur Erhöhung der Sicherheit einer derartigen Authentifikation ist es von Vorteil, wenn ein bewusstes Verhaltensmuster als personenbezogenes Referenzmerkmal erfasst wird, in dem eine spezifische Abfolge von Bedienhandlungen an der Erfassungsvorrichtung erfasst wird. Für eine alphanumerische Kennung besteht beispielsweise die Möglichkeit, die Kennung in der festgelegten Reihenfolge anzugeben, jedoch ist es auch möglich, die Kennung in umgekehrter oder unterschiedlicher Weise einzugeben und beispielsweise durch eine bewusste Fehleingabe angeben
zu können, um somit ein spezifisches Verhalten auslösen zu können. Insbesondere kann durch Kombination einer sicherheitstechnisch schwachen personenbezogenen Kennung mit einem bewussten Verhaltensmuster als personenbezogene Kennung eine wesentliche Steigerung der Authentifizierungssicherheit erreicht werden. Insbesondere sind somit auch bedingte Funktio- nen des Authentifikations-Kontrollsystems festlegbar, um bei einem Missbrauchsversuch Sicherungsmaßnahmen auslösen zu können.For the expansion of the possibilities for personal authentication or to increase the security of such an authentication, it is advantageous if a conscious behavioral pattern is detected as a personal reference feature, in which a specific sequence of operator actions is detected at the detection device. For an alphanumeric identifier, for example, it is possible to specify the identifier in the specified order, but it is also possible to enter the identifier in the reverse or different manner and specify, for example, by a deliberate incorrect input to be able to trigger a specific behavior. In particular, by combining a security-relevant weak personal identifier with a conscious behavioral pattern as a personal identifier, a substantial increase in authentication security can be achieved. In particular, conditional functions of the authentication control system can therefore also be defined in order to be able to trigger safeguards in the event of an abuse attempt.
Ebenso kann ein unbewusstes jVerhaltensmuster als personenbezogenes Referenzmerkmal erfasst werden, in dem die Person mittels einer Ein- und Ausgabevorrichtung eine Mehrzahl von Auswahlmöglichkeiten dargestellt bekommt und die jeweils getroffene Auswahl erfasst wird. Die Auswahlmöglichkeiten werden dabei bevorzugt aus einem Vorrat einfacher situationsbedingter Merkmalsbeschreibungen ausgewählt und dem Benutzer beispielsweise auf einer Anzeigevorrichtung präsentiert und die Reaktion mittels einer Tastatur bzw. eines Eingabemittels erfasst. Die Auswahlmöglichkeit ist derart ausgebildet, dass eine eindeutige und unzweifelhafte Auswahl sichergestellt ist.Likewise, an unconscious behavior pattern can be detected as a personal reference feature, in which the person is presented with a plurality of choices by means of an input and output device and the selection made in each case is recorded. The options are preferably selected from a supply of simple situational feature descriptions and presented to the user, for example on a display device and detects the reaction by means of a keyboard or an input means. The choice is made such that a clear and unambiguous selection is ensured.
Insbesondere ist es von Vorteil, wenn, aus den erfassten Auswahlergebnissen ein Reaktionsprofil erstellt wird, da sich aufgrund dieses Reaktionsprofils die Reaktion des Benutzers auf eine Auswahlmöglichkeit feststellen lässt, wenn diese Auswahlmöglichkeit dem Benutzer bei der späteren Authentifizierung zur Inanspruchnahme eines Dienstes präsentiert wird. Insbesondere lässt sich ein derartiges unbewusstes Verhaltensmuster im Wesentlichen nicht manipulieren, sodass bei der Erfassung eines unbewussten Verhaltensmusters als personenbezogene Kennung eine besonders hohe Sicherheitsstufe erzielen lässt. Auch ist eine derartige Weiterbildung dahingehend von besonderem Vorteil, dass ein potentieller Angreifer ein derartiges Reaktionsprofil durch Ausspionieren im Wesentlichen nicht erfassen kann.In particular, it is advantageous if a reaction profile is created from the selected selection results, since the reaction of the user to a selection option can be determined on the basis of this reaction profile if this option is presented to the user during the later authentication for the use of a service. In particular, such an unconscious behavior pattern can not essentially be manipulated so that a particularly high level of security can be achieved when acquiring an unconscious behavior pattern as a personal identifier. Such a development is also of particular advantage in that a potential attacker can not essentially capture such a reaction profile by spying.
Nach einer Weiterbildung sind Referenzmerkmale in der Speichereinheit des Authentifikati- ons-Kontrollsystems hinterlegt, was den Vorteil hat, dass dieses ohne Verbindung zu einem zentralen Authentifikationssystem betreibbar ist und damit völlig autark eine eindeutige und zuverlässige Personenauthentifikation durchführen kann. Diese Weiterbildung ist insbesondere dann von Vorteil, wenn beispielsweise eine zuverlässige Personenauthentifikation für ein so genanntes Einzelplatzsystem gefordert ist, bei dem sich das Dienstbereitstellungs-System und das Personenauthentifikationssystem an einem Ort befinden und keine kommunikative
Verbindung mit einem abgesetzten System erforderlich ist. Mit dieser Weiterbildung sind insbesondere so genannte „stand alone" - Systeme ausbildbar, die beispielsweise durch entsprechende mechanische Sicherungs- bzw. Schutzmaßnahmen einen ausreichenden Zugriffsschutz bieten und aufgrund der hohen Manipulationssicherheit ein hohes Maß an Authentifi- kationssicherheit bieten.According to a further development, reference features are stored in the memory unit of the authentication control system, which has the advantage that it can be operated without connection to a central authentication system and thus can carry out a completely independent and reliable personal authentication. This development is particularly advantageous if, for example, a reliable personal authentication is required for a so-called single-user system, in which the service provision system and the personal authentication system are located in one place and no communicative Connection with a remote system is required. With this development, in particular so-called "stand alone" - systems can be formed, which provide sufficient access protection, for example, by appropriate mechanical security or protective measures and offer a high degree of authentication security due to the high security against manipulation.
Von Vorteil ist ferner eine Weiterbildung, nach der nach Ablauf eines Zeitgebers am Dienstbereitstellungs-System oder am Authentifϊkations-Kontrollsystem, eine Authentifϊzie- rungsanforderung generiert wird, da somit gezielt eine erneute Authentifϊkation ausgelöst werden kann. Nach einer erfolgreichen Authentifϊkation kann ein Benutzer den bereit gestellten Dienst in Anspruch nehmen, insbesondere bis zur Abmeldung vom Dienstbereitstellungs- System bzw. vom Authentifikations-Kontrollsystem. Mit zunehmender Benutzungsdauer steigt jedoch die Gefahr einer Manipulation durch unbefugte Dritte. Insbesondere fällt der Grad der zuverlässigen Authentizität des angemeldeten Benutzers, aufgetragen über der Be- nutzungsdauer, stark ab, meist sogar nichtlinear. Mit der Weiterbildung kann nun sichergestellt werden, dass in regelmäßigen bzw. wahlfrei vorgebbaren Zeitintervallen, vom Benutzer eine erneute Authentifϊkation verlangt wird, sodass ein Zustand verhindert wird, in dem ein Benutzer lange Zeit am Dienstbereitstellungs-System angemeldet ist. Die anspruchsgemäße Authentifizierungsanforderung kann nun vom Dienstbereitstellungs-System übermittelt wer- den und entspricht damit einer Anforderung, wie sie zur initialen Authentifikation nach den erfϊndungsgemäßen Verfahrensschritten einlangt. Ferner kann die Authentifizierungsanforderung aber auch vom Authentifikations-Kontrollsystem selbst herstammen, wobei jedoch die Verarbeitung der Anfrage gleich erfolgt, als wenn diese vom Dienstbereitstellungs-System eingelangt wäre. Beispielsweise hat eine erneute Authentifizierungsanforderung durch das Authentifikations-Kontrollsystem den Vorteil, dass dieses System auf das lokal herrschende Sicherheitsumfeld Rücksicht nehmen kann und bspw. in einer unsicheren Umgebung, nur einen kurzen Gültigkeitszeitraum der Authentifikation erlaubt, ohne dass dies am Dienstbereitstellungs-System spezifisch hinterlegt sein müsste.Another advantage is a further development, according to which an authentication request is generated after the expiration of a timer on the service providing system or on the authentication control system, since a renewed authentication can thus be triggered in a targeted manner. After a successful authentication, a user can make use of the service provided, in particular until the logoff from the service providing system or the authentication control system. However, as the duration of use increases, the risk of manipulation by unauthorized third parties increases. In particular, the degree of reliable authenticity of the logged-in user, plotted over the useful life, drops sharply, in most cases even nonlinearly. With the development can now be ensured that at regular or optional predetermined time intervals, the user is required a re Authentifϊkation, so that a state is prevented in which a user is logged on the service provisioning system for a long time. The claimed authentication request can now be transmitted by the service provision system and thus corresponds to a request as it is obtained for the initial authentication according to the inventive method steps. Furthermore, the authentication request can also originate from the authentication control system itself, but the processing of the request is the same as if it had arrived from the service providing system. For example, a renewed authentication request by the authentication control system has the advantage that this system can take into account the locally prevailing security environment and, for example, in a non-secure environment, allows only a short validity period of the authentication without this being specifically stored on the service provisioning system would.
Des Weiteren kann nach jeiner Weiterbildung als personenbezogene Kennung auch ein Abbild der Person erfasst werden. Damit ist bspw. ein optisch visueller Vergleich möglich, insbesondere können mittels bekannter Bildanalyseverfahren aus dem erfassten Abbild eindeutige bzw. charakteristische Merkmale ermittelt werden. Abbilder die nach einem international an-
erkannten Standard erfasst wurde, beispielsweise nach dem der ICAO (International Civil Aviation Organization), lassen sich eindeutig analytisch aufbereiten und somit mit einem hohen Zuverlässigkeitsfaktor mit einem Referenzmerkmal vergleichen.Furthermore, according to a further development as a personal identifier, an image of the person can also be recorded. Thus, for example, an optical visual comparison is possible, in particular unambiguous or characteristic features can be determined by means of known image analysis methods from the acquired image. Images after an internationally recognized standard, for example according to the ICAO (International Civil Aviation Organization), can be clearly analyzed analytically and thus compared with a high reliability factor with a reference feature.
Einen weiteren Faktor zur Steigerung der Authentifikationssicherheit erhält man, wenn das erfasste Abbild an eine mobile Kommunikationsvorrichrung übermittelt wird. Beispielsweise kann individuell für jeden Benutzer ein Personenkreis definiert werden, dessen Mitglieder bereit sind, eine optisch visuelle Authentifikation einer Person durchzuführen und die Authentizität derselben zu bestätigen. Automatisierte Authentifikationssysteme führen die Authenti- fikation einer Person nach streng festgelegten Regeln durch, eine individuelle Bewertung des Umfelds bzw. der Situation unterbleibt. Mit dieser Weiterbildung wird nun ein menschlicher Bewertungsfaktor eingeführt, insbesondere wird somit eine Bewertung der Situation möglich, in der die Authentifϊkationsanfrage erfolgt. Beispielsweise kann eine Person zur Authentifikation gezwungen werden und würde so möglicherweise eine korrekte personenbezogene Ken- nung eingeben. Mit der anspruchsgemäßen Weiterbildung wird das Abbild mittels eines Datendienstes wie bspw. MMS an eine mobile Kommunikationsvorrichtung übermittelt, woraufhin der Empfänger erkennen kann, dass die Person bedroht wird und somit nachfolgend Maßnahmen zum Schutz der bedrohten Person auslösen kann. Durch die Einbeziehung eines Personen-Netzwerks wird eine deutliche Steigerung der Authentifikationssicherheit erreicht, da jede Person dieses Netzwerks, als authentifϊzerende- als auch als zu authentifizierende Instanz, eine hohe Sicherheit anstrebt und somit ein besonderes Augenmerk auf eine zuverlässige Durchführung Authentifikation legen wird. Beispielsweise kann eine derartige Authentifi- kationsmethode über ein Bonussystem abgewickelt bzw. vergebührt werden.Another factor to increase the security of authentication is obtained when the captured image is transmitted to a mobile Kommunikationsvorrichrung. For example, a group of individuals can be defined individually for each user whose members are willing to perform a visual visual authentication of a person and to confirm the authenticity of the same. Automated authentication systems carry out the authentication of a person according to strictly defined rules; an individual evaluation of the environment or the situation is omitted. With this development, a human weighting factor is now introduced, in particular an assessment of the situation is possible in which the Authentifϊkationsanfrage takes place. For example, a person may be forced to authenticate and thus possibly enter a correct personal identification. With the further development, the image is transmitted by means of a data service such as. MMS to a mobile communication device, whereupon the recipient can recognize that the person is threatened and thus subsequently can trigger measures to protect the threatened person. The inclusion of a personal network achieves a significant increase in authentication security, since every person in this network, as an authenticating entity as well as an entity to be authenticated, strives for high security and thus pays particular attention to a reliable implementation of authentication. For example, such an authentication method can be handled or charged via a bonus system.
Zum besseren Verständnis der Erfindung wird diese anhand der nachfolgenden Figuren näher erläutert.For a better understanding of the invention, this will be explained in more detail with reference to the following figures.
Es zeigen jeweils in stark schematisch vereinfachter Darstellung:Each shows in a highly schematically simplified representation:
Fig. 1 das erfindungsgemäße Verfahren anhand einer beispielhaften Vorrichtung;1 shows the method according to the invention with reference to an exemplary device;
Fig. 2 ein Ablaufdiagramm des erfindungsgemäßen Verfahrens;
Fig. 3 ein weiteres mögliches System zur Durchführung des erfindungsgemäßen Verfahrens.2 shows a flow chart of the method according to the invention; Fig. 3 shows another possible system for carrying out the method according to the invention.
Einführend sei festgehalten, dass in den unterschiedlich beschriebenen Ausführungsformen gleiche Teile mit gleichen Bezugszeichen bzw. gleichen Bauteilbezeichnungen versehen werden, wobei die in der gesamten Beschreibung enthaltenen Offenbarungen sinngemäß auf gleiche Teile mit gleichen Bezugszeichen bzw. gleichen Bauteilbezeichnungen übertragen werden können. Auch sind die in der Beschreibung gewählten Lageangaben, wie z.B. oben, unten, seitlich usw. auf die unmittelbar beschriebene sowie dargestellte Figur bezogen und sind bei einer Lageänderung sinngemäß auf die neue Lage zu übertragen. Weiters können auch Einzelmerkmale oder Merkmalskombinationen aus den gezeigten und beschriebenen unterschiedlichen Ausführungsbeispielen für sich eigenständige, erfinderische oder erfϊndungsge- mäße Lösungen darstellen.By way of introduction, it should be noted that in the differently described embodiments, the same parts are provided with the same reference numerals or the same component names, wherein the disclosures contained in the entire description can be mutatis mutandis to the same parts with the same reference numerals or component names. Also, the location information chosen in the description, such as top, bottom, side, etc. related to the immediately described and illustrated figure and are to be transferred to the new situation mutatis mutandis when a change in position. Furthermore, individual features or combinations of features from the different exemplary embodiments shown and described may also represent separate, inventive or erfϊndungsge- Permitted solutions.
Sämtliche Angaben zu Wertebereichen in gegenständlicher Beschreibung sind so zu verstehen, dass diese beliebige und alle Teilbereiche daraus mit umfassen, z.B. ist die Angabe 1 bis 10 so zu verstehen, dass sämtliche Teilbereiche, ausgehend von der unteren Grenze 1 und der oberen Grenze 10 mitumfasst sind, d.h. sämtliche Teilbereich beginnen mit einer unteren Grenze von 1 oder größer und enden bei einer oberen Grenze von 10 oder weniger, z.B. 1 bis 1,7, oder 3,2 bis 8,1 oder 5,5 bis 10.All statements on ranges of values in the description of the present invention should be understood to include any and all sub-ranges thereof, e.g. the indication 1 to 10 should be understood to include all sub-ranges, starting from the lower limit 1 and the upper limit 10, i. all subregions begin with a lower limit of 1 or greater and end at an upper limit of 10 or less, e.g. 1 to 1.7, or 3.2 to 8.1 or 5.5 to 10.
Fig. 1 zeigt die erfϊndungsgemäßen Verfahrensschritte anhand einer beispielhaften Vorrichtung zur Durchführung des Verfahrens. Diese Vorrichtung umfasst zumindest ein Authentifi- kations-Kontrollsystem 1 , welches kommunikativ mit einer Erfassungsvorrichtung 2 verbun- den ist und wobei die Erfassungsvorrichtung 2 mehrere Erfassungsmittel 3 aufweist. Das Au- thentifikations-Kontrollsystem 1 ist über ein Kommunikationsnetzwerk 4 mit zumindest einem Dienstbereitstellungs-System 5 verbunden, gegebenenfalls ist ein Authentifizierungs- system 6 vorhanden, welches mit dem Authentifikations-Kontrollsystem 1 und/oder dem Dienstbereitstellungs-System 5 kommunikativ verbunden ist.1 shows the method steps according to the invention on the basis of an exemplary device for carrying out the method. This device comprises at least one authentication control system 1, which is communicatively connected to a detection device 2, and wherein the detection device 2 has a plurality of detection means 3. The authentication control system 1 is connected to at least one service provisioning system 5 via a communication network 4, optionally an authentication system 6 is present, which is communicatively connected to the authentication control system 1 and / or the service provisioning system 5.
Das erfindungsgemäße Verfahren wird insbesondere dazu verwendet, für eine angeforderte Dienstleistung eines Dienstanbieters zu gewährleisten, dass der Benutzer der die Dienstleistung angefordert hat, eindeutig und unverwechselbar authentifiziert und identifiziert wird. Des
Weiteren ist mit dem erfindungsgemäßen Verfahren eine individuell vorgebbare Authentifika- tion einer Person im Hinblick auf die Erfassungssicherheit möglich. Insbesondere ist dies von Bedeutung, da die Dienstleistung beispielsweise eine Finanztransaktion sein kann, oder auch rechtlich verbindliche Vorgänge umfasst. Der Benutzer wird also beim Dienstleistungsanbie- ter einen entsprechenden Vorgang auslösen, wobei diese Dienstanforderung nicht Gegenstand der Erfindung ist und daher hier nicht weiter ausgeführt wird. Beispielhaft könnte eine derartige Dienstanforderung dadurch ausgelöst werden, dass ein Benutzer auf einer Anforderungs- vorrichtung die beispielsweise Teil oder Zusatz der Erfassungsvorrichtung 2 sein kann, eine Bedienhandlung vornimmt, die an ein Dienstbereitstellungs-System 5 übermittelt wird und an diesem die entsprechenden Vorgänge auslöst. Im Hinblick auf die Zuverlässigkeit der Au- thentifikation einer Person sollte in einer ersten Überlegung immer mit der höchstmöglichen Sicherheitsstufe gearbeitet werden. Da personenbezogene Merkmale zur Erreichung dieser Sicherheitsstufe aufwändig und unter Umständen schwierig zu erfassen sind, ist es von ganz besonderem Vorteil, wenn die zu erfassenden Merkmale auf die erforderliche Sicherheitsstufe des angefragten Dienstes abgestimmt sind und somit für sicherheitstechnisch unkritischeIn particular, the method according to the invention is used to ensure, for a requested service of a service provider, that the user who requested the service is uniquely and unmistakably authenticated and identified. Of Furthermore, with the method according to the invention, an individually definable authentication of a person with regard to the detection reliability is possible. In particular, this is important because the service may be a financial transaction, for example, or includes legally binding transactions. The user will therefore initiate a corresponding procedure at the service provider, whereby this service request is not the subject of the invention and therefore will not be explained further here. By way of example, such a service request could be triggered by the fact that a user on a request device, which may be, for example, part or addition of the capture device 2, carries out a control action which is transmitted to a service provisioning system 5 and triggers the corresponding operations there. With regard to the reliability of the authentication of a person, the first step should always be to work with the highest possible level of security. Since personal characteristics to achieve this level of security are complex and difficult to detect under certain circumstances, it is of particular advantage if the characteristics to be recorded are matched to the required security level of the requested service and thus uncritical for safety
Dienste, auch schwächere personenbezogene Kennungen erfasst werden. Das erfindungsge- mäße Verfahren bietet nun die Möglichkeit, integriert unterschiedliche Authentifizierungsstu- fen und eine Mängelbehebung im Fall einer fehlerhaften Vergleichsprüfung bereitstellen zu können.Services, including weaker personal identifiers. The method according to the invention now offers the possibility of being able to provide integrated different authentication levels and a correction of defects in the event of an incorrect comparison check.
In einem ersten Schritt des erfindungsgemäßen Verfahrens wird von einem Dienstbereitstellungs-System 5 eine Authentifizierungsanforderung 7 an das Authentifikations- Kontrollsystem 1 übertragen. Durch Analyse der übertragenen Authentifizierunganforderung 7 ermittelt das Authentifikations-Kontrollsystem 1 eine erforderliche Authentifizierungsstufe 9. Diese Authentifizierungsstufe legt fest, welches Niveau an Erfassungssicherheit die zu erfassende personenbezogene Kennung aufweisen muss, um den angeforderten Dienst in Anspruch nehmen zu dürfen. Inbesondere legt die Authentifizierungsstufe 9 somit fest, welches Erfassungsmittel 3 der Erfassungsvorrichtung 2 im nächsten erfindungsgemäßen Verfahrensschritt aktiviert werden muss, um eine personenbezogene Kennung zu erfassen. Für einen Dienst mit einer geringen sicherheitstechnischen Relevanz kann eine personenbezogene Kennung beispielsweise als alphanumerische Kennung erfasst werden, die über ein alphanumerisches Eingabemittel 10 beispielsweise eine Tastatur, eingegeben wird. Für sicherheitstechnisch höherwertige Dienste können biometrische Merkmale erfasst werden, beispielsweise
kann mittels einer optischen Bilderfassungsvorrichtung 11 ein Abbild des Gesichts der Person oder ein Abbild der Iris erfasst werden, mit einem so genannten Fingerabdruckscanner 12 können ferner die Fingerminutien erfasst werden. Die Erfassungsvorrichtung 2 kann auch eine audiovisuelle Ein- Ausgabevorrichtung 13 aufweisen, um beispielsweise ein unbewusstes und/oder ein bewußtes Benutzerverhalten als personenbezogene Kennung erfassen zu können.In a first step of the method according to the invention, an authentication request 7 is transmitted to the authentication control system 1 by a service provisioning system 5. By analyzing the transmitted authentication request 7, the authentication control system 1 determines a required authentication level 9. This authentication level determines what level of detection security the personal identification to be acquired must have in order to be able to use the requested service. In particular, the authentication stage 9 thus determines which detection means 3 of the detection device 2 must be activated in the next method step according to the invention in order to detect a personal identifier. For a service with a low security relevance, a personal identifier can be detected, for example, as an alphanumeric identifier, which is entered via an alphanumeric input means 10, for example a keyboard. For higher-quality services, biometric features can be detected, for example For example, an image of the person's face or an image of the iris can be detected by means of an optical image capture device 11; with a so-called fingerprint scanner 12, the finger minutiae can also be detected. The detection device 2 can also have an audiovisual input-output device 13 in order, for example, to be able to detect an unconscious and / or a conscious user behavior as a personal identifier.
Die erfasste benutzerbezogene Kennung wird mit einem oder mehreren korrespondierenden Referenzmerkmalen verglichen, wobei dieses korrespondierende Referenzmerkmal 14 in einem Speichermittel 15 des Authentifikations-Kontrollsystems 1 angeordnet sein kann. Das Referenzmerkmal 14 kann jedoch auch in einem Speichermittel 16 des Authentifizierungs- systems 6 angeordnet sein, wobei diese Ausbildung den Vorteil hat, dass das Authentifizie- rungssystem 6 besonders gesichert bzw. besonders geschützt ausgebildet sein kann und somit eine sehr hohe Manipulationssicherheit bietet. Die Anordnung der Referenzmerkmale 14 im Speichermittel 15 des Authentifϊkations-Kontrollsystems 1 hat den Vorteil, dass das Authenti- fikations-Kontrollsystem den Vergleich der erfassten Kennung mit dem Referenzmerkmal selbst durchführen kann und somit die Authentifizierung bzw. Identifikation einer Person ohne zusätzliche Systeme möglich ist.The detected user-related identifier is compared with one or more corresponding reference features, wherein this corresponding reference feature 14 can be arranged in a memory means 15 of the authentication control system 1. However, the reference feature 14 can also be arranged in a memory means 16 of the authentication system 6, this design having the advantage that the authentication system 6 can be designed to be particularly secure or specially protected and thus offers a very high security against manipulation. The arrangement of the reference features 14 in the storage means 15 of the authentication control system 1 has the advantage that the authentication control system can perform the comparison of the detected identifier with the reference feature itself and thus the authentication or identification of a person without additional systems is possible.
Der Vergleich der erfassten Kennung mit dem korrespondierenden Referenzmerkmal wird zumeist erfolgreich sein, wobei in diesem Fall vom Authentifikations-Kontrollsystem 1 ein Freigabesignal 17 an das Dienstbereitstellungs-System 5 abgegeben 18 wird.The comparison of the detected identifier with the corresponding reference feature will for the most part be successful, in which case an enable signal 17 is output by the authentication control system 1 to the service providing system 5.
Der wesentliche Unterschied des erfindungsgemäßen Verfahrens gegenüber bekannten Verfahren liegt nun auch in den weiteren Schritten die durchgeführt werden, wenn der Vergleich der erfassten Kennung mit dem korrespondierenden Referenzmerkmal fehlschlägt. Bei bekannten Verfahren würde in diesem Fall die Authentifizierung abgebrochen und dem Benutzer der Zugriff auf das Dienstbereitstellungs-System 5 verweigert. Um sich erneut authentifizieren zu können müsste der Benutzer daher eine erneute Dienstanforderungsanfrage 7 auslösen. Dem gegenüber hat das erfindungsgemäße Verfahren den besonderen Vorteil, dass im Fall eines fehlerhaften Vergleichs automatisch ein weiteres Erfassungsmittel 3 der Erfassungsvorrichtung 2 aktiviert wird, um die entsprechenden erfindungsgemäßen Verfahrensschritte zu wiederholen und insbesondere eine weitere personenbezogene Kennung zu erfassen.
Da aus der übermittelten Authentifizierungsanforderung 7 eine Authentifizierungsstufe 9 ermittelt wurde, ist damit auch die erforderliche Zuverlässigkeit der erfassten personenbezogenen Kennung festgelegt. Aufgrund statistisch unabhängiger Vorkommnisse kann es vorkommen, dass der Vergleich fehlschlägt, obwohl es sich um keinen Manipulationsversuch handelt. Durch das erfindungsgemäße Verfahren ist nun beispielsweise vorgesehen, dass eine personenbezogene Kennung mit einem Merkmal oder mehreren weiteren Merkmalen, oder mit einer nächst höheren Sicherheitsstufe erfasst wird, um damit den fehlgeschlagenen Vergleich zu beheben. Beispielsweise kann es bei der Eingabe einer alphanumerischen Kennung zu einer unbeabsichtigten Fehleingabe kommen, wodurch der darauf folgende Vergleich fehl- schlagen wird. In einer Weiterbildung könnte der Benutzer dazu aufgefordert werden, die Kennung erneut einzugeben. Erfindungsgemäß kann jedoch insbesondere vorgesehen sein, dass vom Authentifikations-Kontrollsystem 1 ein weiteres Erfassungsmittel 3 der Erfassungsvorrichtung 2 aktiviert wird und anschließend die entsprechenden Verfahrensschritte erneut durchgeführt werden.The essential difference of the method according to the invention over known methods now lies in the further steps that are performed when the comparison of the detected identifier with the corresponding reference feature fails. In known methods, in this case the authentication would be aborted and the user denied access to the service providing system 5. Therefore, to be able to authenticate again, the user would have to initiate a renewed service request 7. On the other hand, the method according to the invention has the particular advantage that, in the event of a faulty comparison, a further detection means 3 of the detection device 2 is automatically activated in order to repeat the corresponding method steps according to the invention and in particular to detect a further person-related identifier. Since an authentication level 9 has been determined from the transmitted authentication request 7, the required reliability of the detected personal identifier is thus also established. Due to statistically independent occurrences, it may happen that the comparison fails, although it is not a manipulation attempt. By means of the method according to the invention, it is now provided, for example, that a person-related identifier with one or more further features or with a next higher security level is detected in order to thus remedy the failed comparison. For example, entering an alphanumeric identifier may result in unintentional misentry, which will cause the subsequent comparison to fail. In a further development, the user could be requested to enter the identifier again. According to the invention, however, it can be provided, in particular, that a further detection means 3 of the detection device 2 is activated by the authentication control system 1 and then the corresponding method steps are carried out again.
Insbesondere kann somit durch Erfassung einer höherwertigen personenbezogenen Kennung, also einer Kennung mit einer höheren Authentifizierungsstufe 9, ein fehlerhafter Vergleich einer niederwertigereren erfassten personenbezogenen Kennung behoben werden, wobei es von besonderem Vorteil ist, wenn die Übereinstimmungskriterien des Vergleichs individuell anpassbar sind, sodass eine höherwertige personenbezogene Kennung zur Behebung eines mangelhaften Vergleichs einer niederwertigeren personenbezogenen Kennung einen geringeren Übereinstimmungsgrad aufweisen muss, als dies für eine, der höheren Authentifizierungsstufe entsprechende Vergleichsoperation erforderlich wäre. Es können auch mehrere niederwertige Kennungen zusammen eine höherwertige Kennung ersetzen, wenn sie in ihrer Summe sicherheitsmässig betrachtet mit dieser gleichwertig sind, was vorgängig festgelegt werden kann. Das erfindungsgemäße Verfahren kann nun insbesondere sooft wiederholt eine personenbezogene Kennung erfassen, als sicherheitstechnisch höhere Authentifizierungsstu- fen verfügbar sind. Schlägt der Vergleich einer personenbezogenen Kennung mit einem hinterlegten Referenzmerkmal wiederholt fehl, wird vom Authentifikations-Kontrollsystem 1 ein Fehlerkennzeichnungssignal als Alarmsignal abgegeben. Dieses Alarmsignal kann beispielsweise an das Dienstbereitstellungs-System 5 übermittelt werden, es ist jedoch auch eine Ü- bermittlung an das Authentifizierungssystem 6 bzw. ein gegebenenfalls vorhandenes Alarmkontrollsystem möglich. Dieses Alarmsignal kann nun derart ausgewertet werden, dass die
aktuell laufende Personenauthentifikation abgebrochen wird und beispielsweise an eine Si- cherheits-Kontrolleinrichtung eine Alarmierung erfolgt, die entsprechende Sicherungsmaßnahmen auslöst, beispielsweise kann ein entsprechendes Sicherheitspersonal alarmiert werden. Das Alarmsignal kann jedoch auch derart ausgewertet werden, dass die Authentifizie- rungsanfrage scheinbar erfolgreich war und somit ein potentieller Angreifer dahingehend in die Irre geführt wird, dass dieser der Meinung ist, der Manipulationsversuch war erfolgreich, während im Hintergrund bereits entsprechende Alarm- bzw. Sicherungsmaßnahmen getroffen werden.In particular, therefore, by detecting a higher-value personal identifier, ie an identifier with a higher authentication level 9, an erroneous comparison of a lower valued detected personal identifier can be resolved, it being particularly advantageous if the match criteria of the comparison are individually customizable, so a higher-value personal Must have a lower level of matching to correct a poorer comparison of a lower-value personal identifier than would be required for a comparison operation corresponding to the higher level of authentication. It is also possible for a number of lower-value identifiers to replace a higher-value identifier if, in terms of safety, they are equivalent in their total to this, which can be determined in advance. The method according to the invention can now, in particular, repeat a personal identification number as often as higher authentication levels are available. If the comparison of a personal identification with a stored reference feature repeatedly fails, the authentication control system 1 issues an error identification signal as an alarm signal. This alarm signal can be transmitted to the service provision system 5, for example, but it is also possible to transmit to the authentication system 6 or an optionally present alarm control system. This alarm signal can now be evaluated in such a way that the currently running personal authentication is aborted and, for example, an alarm is given to a security control device, which triggers corresponding security measures, for example, a corresponding security personnel are alerted. However, the alarm signal can also be evaluated in such a way that the authentication request was apparently successful and thus a potential attacker is misled to the effect that the latter is of the opinion that the manipulation attempt was successful, while in the background corresponding alarm or security measures to be hit.
Fig. 2 zeigt eine vereinfachte Darstellung des Ablaufs des erfindungsgemäßen Verfahrens.2 shows a simplified representation of the sequence of the method according to the invention.
Von einem Dienstbereitstellungs-System 5 wird eine Authentifizierungsanforderung 7 an das Authentifikations-Kontrollsystem 1 übermittelt. Diese Authentifizierungsanforderung 7 um- fasst beispielsweise eine Kennung des anfordernden Dienstbereitstellungs-Systems 5 und weißt insbesondere eine Kennung auf, die es ermöglicht, die entsprechende Authentifizie- rungsstufe 9 zu ermitteln. Im Verfahrensschritt der Ermittlung der Authentifizierungsstufe 19 wird die Authentifizierungsanforderung 7 dahingehend analysiert bzw. aufbereitet, dass beispielsweise durch Vergleich mit einem hinterlegten Sicherheits-Hierarchieprofil 20 die entsprechende Authentifizierungsstufe 9 ermittelt wird. Für eine möglichst universelle Einsetz- barkeit des erfindungsgemäßen Verfahrens wird die Authentifizierungsanforderung 7 bevor- zugt unspezifisch ausgebildet sein und somit beispielsweise nur eine genetische Dienstbeschreibung bzw. Sicherheitsanforderung übermitteln. Die konkrete Umsetzung der erforderlichen Sicherheitsstufe der Authentifizierungsanforderung 7 geschieht bevorzugt durch das Authentifikations-Kontrollsystem 1 insbesondere wird dadurch die Beziehung hergestellt, welche personenbezogene Kennung von der Erfassungsvorrichtung 2 erfasst werden muss, um die durch das Sicherheits-Hierarchieprofil 20 festgelegte Authentifizierungsstufe 9 zumindest erreichen zu können.An authentication request 7 is transmitted to the authentication control system 1 by a service provisioning system 5. This authentication request 7 comprises, for example, an identifier of the requesting service providing system 5 and, in particular, identifies an identifier which makes it possible to determine the corresponding authentication stage 9. In the method step of determining the authentication stage 19, the authentication request 7 is analyzed or prepared in such a way that, for example, the corresponding authentication stage 9 is determined by comparison with a stored security hierarchy profile 20. For as universal a usability as possible of the method according to the invention, the authentication request 7 will preferably be non-specific and thus, for example, only transmit a genetic service description or security request. The concrete implementation of the required security level of the authentication request 7 is preferably done by the authentication control system 1 in particular the relationship is established, which personal identifier must be detected by the detection device 2 in order to at least reach the specified by the security hierarchy profile 20 authentication level ,
Nachdem die Authentifizierungsstufe 9 ermittelt wurde 19, wird im nächsten Verfahrensschritt 21 ein Erfassungsmittel 3 der Erfassungsvorrichtung 2 aktiviert, wobei durch die Au- thentifizierungsstufe festgelegt ist, welches Erfassungsmittel aktiviert werden muss, um ein personenbezogenes Merkmal der entsprechenden Sicherheitsstufe bzw. Zuverlässigkeit erfassen zu können. Hier zeigt sich bereits einer der wesentlichen Vorteile des erfindungsgemäßen Verfahrens, als das mit einer Vorrichtung die zur Durchführung des erfindungsgemäßen Ver-
fahrens ausgebildet ist, personenbezogene Kennungen derart erfasst werden können, dass eine unterschiedlich hohe Sicherheitsstufe erreichbar wird.After the authentication stage 9 has been determined 19, a detection means 3 of the detection device 2 is activated in the next method step 21, wherein the authentication step determines which detection means has to be activated in order to be able to detect a person-related feature of the corresponding security level or reliability. This already shows one of the essential advantages of the method according to the invention, as compared with a device which is used to carry out the method according to the invention. fahrens is formed, personal identifiers can be detected in such a way that a different level of security is reached.
Das aktivierte Erfassungmittel 3 der Erfassungsvorrichtung 2 erfasst in einem weiteren Ver- fahrensschritt 22 eine personenbezogene Kennung, die in einem anschließenden Vergleichsschritt 23 mit einem hinterlegten, korrespondierenden Referenzmerkmal 24 verglichen wird. Das Referenzmerkmal 24, insbesondere jedoch eine Mehrzahl von Referenzmerkmalen, ist in einem Speichermittel abgelegt, welcher bevorzugt beim Authentifikations-Kontrollsystem 1 angeordnet ist. Der Speicher mit den Referenzmerkmalen kann jedoch auch bei einem exter- nen Authentifϊzierungssystem angeordnet sein. Dieses Referenzmerkmal 24 stellt einenThe activated detection means 3 of the detection device 2 detects in a further method step 22 a personal identifier, which is compared in a subsequent comparison step 23 with a stored, corresponding reference feature 24. The reference feature 24, but in particular a plurality of reference features, is stored in a storage means, which is preferably arranged in the authentication control system 1. However, the memory with the reference features can also be arranged with an external authentication system. This reference feature 24 provides a
Schlüssel dar, um bspw. auf ein Dienstbereitstellungs-System zugreifen zu können. Daher ist es von besonderer Bedeutung, dass der Zugriff auf diese Referenzmerkmale derart gesichert ist, dass eine Manipulation weitestgehend verhindert wird und somit die Authentizität der Referenzmerkmale zuverlässig gegeben ist, was insbesondere für den Vergleich 23 ganz we- sentlich ist.Key to, for example, to access a service delivery system. Therefore, it is of particular importance that the access to these reference features is secured in such a way that manipulation is largely prevented and thus the authenticity of the reference features is reliably given, which is very important in particular for comparison 23.
War der Vergleich 23 der erfassten personenbezogenen Kennung mit dem hinterlegten Referenzmerkmal erfolgreich, wird ein so genanntes Freigabesignal 17 an das anfordernde Dienstbereitstellungs-System übermittelt, worauf dieses aufgrund der festgestellten Identität und Authentizität der Person, den gewünschten Dienst bereitstellen kann. Schlägt der Vergleich fehl, stimmt also die personenbezogene Kennung nicht mit dem Referenzmerkmal ü- berein 25, ist es gegenüber bekannten Verfahren mit dem erfindungsgemäßen Verfahren nun möglich, einen erneuten Authentifikationsdurchlauf zu initiieren. Dazu wird in einer Vergleichsoperation 26 festgestellt, ob die ermittelte Authentifϊzierung einen erneuten Durchlauf der Authentifikationsschritte zulässt. Wurde beispielsweise eine sicherheitstechnisch hohe Authentifizierungsstufe ermittelt, kann ein fehlerhafter Vergleich beispielsweise nicht durch eine sicherheitstechnisch höherwertige Authentifizierungsstufe behoben werden. In diesem Fall kann vorgesehen sein, die personenbezogene Kennung erneut zu erfassen und auch den Vergleich erneut durchzuführen, oder mehrere, sicherheitstechnisch weniger hochwertige Kennungen zu summieren. Kommt es wiederum zu einem fehlerhaften Vergleich kann vorgesehen sein, dass ein Fehlersignal 27 abgegeben wird und die Authentifizierung der Person somit fehlgeschlagen ist.
Zusammen mit der Authentifizierungsanforderung 7 kann eine Sicherungskennzahl übermittelt werden, die direkt in die Authentifϊzierungskennzahl 9 einfließt. Ferner kann die Authen- tifizierungskennzahl durch eine Zuordnungstabelle ermittelt werden, in dem eine Zuordnung zwischen einem Dienstbereitstellungs-System bzw. einer Klasse von Dienstbereitstellungs- Systemen und einer entsprechenden Authentifizierungsstufe hergestellt wird. Mit dem Si- cherheits-Hierarchieprofil 20 ist jedoch noch eine wesentlich feinere Abstufung der Authentifizierungsstufe und des dadurch festgelegten Verfahrensablaufs möglich. Für eine Authentifizierungsstufe, beispielsweise A bis E, können nun mehrere Optionen festgelegt werden, die einerseits die Anforderungen bei der Erfassung der personenbezogenen Kennung und ande- rerseits das Verhalten des erfindungsgemäßen Verfahrens bei einem fehlgeschlagenen Vergleich der erfassten Kennung mit dem hinterlegten Referenzmerkmal festlegen. Beispielsweise kann dadurch festgelegt sein, welche Erfassungsmittel der Erfassungsvorrichtung zur Erreichung einer spezifischen Authentifizierungsstufe erforderlich sind. Somit kann beispielsweise eine personenbezogene Kennung mit einem spezifischen Erfassungsmittel erfasst wer- den und erfüllt dadurch die geforderten Sicherheitsanforderungen. Es ist jedoch auch möglich, dass beispielsweise ein oder mehrere Erfassungsmittel mit einer sicherheitstechnisch geringeren Erfassungssicherheit zusammengenommen werden können, um so die geforderte Erfassungssicherheit zu erreichen. Wie bereits zuvor erwähnt, kann auch eine sicherheitstechnisch höherwertige personenbezogene Kennung erfasst werden, um so die geforderte Authentifizie- rungsstufe zu gewährleisten. Auch kann über das Sicherheits-Hierarchiprofil 20 festgelegt werden, wie exakt die Übereinstimmung der personenbezogenen Kennung mit dem Referenzmerkmal beim Vergleich 23 durchgeführt werden muss bzw. welcher Übereinstimmungsgrad mindestens erreicht werden muss. Auch kann über das Sicherheits- Hierarchieprofil 20 festgelegt werden, welches Erfassungsmittel der Erfassungsvorrichtung für welche Authentifizierungsstufe zulässig ist und für welche Authentifizierungsstufe eine erneute Authentifikation erlaubt ist.If the comparison 23 of the recorded personal identification with the stored reference feature was successful, a so-called release signal 17 is transmitted to the requesting service providing system, whereupon the latter can provide the desired service on the basis of the identified identity and authenticity of the person. If the comparison fails, ie the personal identifier does not match the reference feature 25, it is now possible to initiate a renewed authentication pass compared with known methods using the method according to the invention. For this purpose, it is determined in a comparison operation 26 whether the ascertained authentication permits a renewed passage of the authentication steps. If, for example, a security-related high authentication level has been determined, a faulty comparison, for example, can not be remedied by a higher-level authentication level. In this case, it may be provided to recapture the personal identifier and to perform the comparison again, or to sum up several, less secure, security-related identifiers. If it again comes to a faulty comparison can be provided that an error signal 27 is issued and the authentication of the person thus failed. Together with the authentication request 7, a security code can be transmitted, which flows directly into the Authentifϊzierungskennzahl 9. Furthermore, the authentication key can be determined by an allocation table in which an association is established between a service providing system or a class of service provisioning systems and a corresponding authentication stage. With the security hierarchy profile 20, however, a much finer gradation of the authentication level and the procedure defined thereby is possible. For an authentication level, for example A to E, several options can now be defined which on the one hand define the requirements for the detection of the personal identifier and, on the other hand, the behavior of the method according to the invention in the case of an unsuccessful comparison of the detected identifier with the stored reference feature. For example, it may be determined by which detection means of the detection device are required to achieve a specific level of authentication. Thus, for example, a personal identification with a specific detection means can be detected and thereby meets the required security requirements. However, it is also possible that, for example, one or more detection means can be combined with a safety-related lower detection reliability so as to achieve the required detection reliability. As already mentioned above, a security-related higher-value personal identifier can also be detected so as to ensure the required authentication level. It can also be determined via the security hierarchy profile 20 how exactly the correspondence of the personal identifier with the reference feature must be carried out during the comparison 23 or which degree of matching must at least be achieved. It can also be determined via the security hierarchy profile 20 which detection means of the detection device is permitted for which authentication level and for which authentication level a renewed authentication is permitted.
Das erfindungsgemäße Verfahren stellt somit eine Erweiterung der bekannten 3 - Faktor - Authentifikationsverfahren dar. Diese Verfahren nutzen bzw. verwenden als personenbezoge- ne Kennung bspw. folgende Merkmalklassen:The method according to the invention thus represents an extension of the known 3-factor authentication methods. These methods use or use, for example, the following feature classes as a person-related identifier:
What I am: Ein Merkmal das der Person eigen ist: körperliche Merkmale wie beispielsweise Stimme, Fingerabdruck, Iris, Handfläche, Gesicht;
What I know: Ein Merkmal das nur die Person kennt: eine Kennziffer/Passwort und/oder eine Passphrase; persönliche Informationen und Vorlieben;What I am: A characteristic of the person: physical characteristics such as voice, fingerprint, iris, palm, face; What I know: A feature that only the person knows: a code / password and / or passphrase; personal information and preferences;
What I have: Ein Merkmal das die Person besitzt: eine Schlüsselkarte oder ein Token, insbe- sondere jegliche Vorrichtung die zur Hinterlegung eines Schlüsselmerkmals ausgebildet ist, oder die selbst ein Schlüsselmerkmal ist; eine Bank- bzw. Kreditkarte oder ein Ausweis.What I have: A feature the person possesses: a key card or a token, in particular any device which is designed to deposit a key feature or which itself is a key feature; a bank or credit card or ID.
Bekannte Verfahren zur Authentifikation einer Person basieren zumeist auf der Überprüfung eines Merkmals durch einen Vergleich mit einem hinterlegten Referenzmerkmal. Bei einem fehlerhaften Vergleich wird üblicherweise der Authentifikationsvorgang wiederholt, wobei bei einem erneuten fehlerhaften Vergleich der Authentifikationsvorgang abgebrochen wird und somit dem Benutzer der Zugriff auf den angeforderten Dienst verweigert wird. Ferner sind die Erfassungsvorrichtungen zur Durchführung der bekannten Authentifizierungsverfah- ren zumeist derart ausgebildet, nur ein Merkmal bzw. eine Merkmalklasse erfassen zu kön- nen, ein Austausch bzw. ein Wechsel von Merkmalen bzw. Merkmalklassen ist zumeist nicht möglich.Known methods for authenticating a person are usually based on the verification of a feature by comparison with a stored reference feature. In the case of a faulty comparison, the authentication process is usually repeated, whereby the authentication process is aborted in the event of a new faulty comparison, and thus the user is denied access to the requested service. Furthermore, the detection devices for carrying out the known authentication methods are usually designed to be able to detect only one feature or a feature class; an exchange or change of features or feature classes is for the most part not possible.
Zusätzlich zu den drei bekannten Faktoren bzw. Merkmalklassen bietet das erfindungsgemäße Verfahren nun zwei zusätzliche Klassen an, die als eigenständige personenbezogene Kennung erfassbar sind und/oder in Kombination mit einem oder mehreren Merkmalen der bekannten Klassen Verwendung finden. Eine neue Merkmalklasse wie sie beim erfindungsgemäßen Verfahren Anwendung findet, ist durch ein bewusstes Verhalten der Person bei der Präsentation bzw. Eingabe eines Merkmals gekennzeichnet. Wie bereits zuvor erwähnt, kann eine bewuss- te Aktion bzw. ein bewusstes Verhalten darin bestehen, Pausen und Unterbrechungen im Er- fassungsvorgang zu setzen bzw. bewusste Fehleingaben zu machen, oder die Eingabereihenfolge zu ändern, beispielsweise durch Benutzen einer Skip-Funktion bei der Eingabe der Kennung. Somit kann beispielsweise die korrekte Eingabe einer persönlichen Identifikationsken- nung (PIN) dadurch gekennzeichnet sein, dass genau eine Fehleingabe mit anschließender Korrektur vorgesehen ist. Wird eine Person bedroht, kann diese beispielsweise die Kennung ohne Fehler eingeben, was vom Authentifikations-Kontrollsystem aufgrund des hinterlegten Sicherheits-Hierarchieprofils eindeutig als Alarmsignal erkennbar ist. Dieses bewusste Verhalten bei der Erfassung einer personenbezogenen Kennung erweitert die erreichbaren Sicherheitsstufen der bekannten drei Faktoren bzw. Merkmalklassen zur Authentifikation einer
Person ganz beträchtlich. Insbesondere hat die Erfassung eines bewussten Verhaltens den ganz besonderen Vorteil, dass eine derartige personenbezogene Kennung von einem potentiellen Angreifer im Wesentlichen nicht ausspionierbar ist, da ein solches Verhalten bzw. eine derartige Aktion nur schwer von einem üblichen Verhalten einer Person zu unterscheiden ist. Ein potentieller Angreifer würde beispielsweise eine Fehleingabe als Zufall interpretieren und somit nicht erkennen, dass diese scheinbar zufällige Fehleingabe Teil einer personenbezogenen Kennung ist. Auch könnten mehrere Arten von Fehleingaben vom Benutzer aktiviert werden, so dass eine jede im Authentifizierungsprozess als gültig hinterlegt wäre und abwechslungsweise oder kombiniert vom Benutzer eingegeben werden könnte.In addition to the three known factors or feature classes, the method according to the invention now offers two additional classes which can be detected as an independent personal identifier and / or are used in combination with one or more features of the known classes. A new feature class as used in the method according to the invention is characterized by a conscious behavior of the person in the presentation or input of a feature. As previously mentioned, conscious action may be to make pauses and breaks in the capture process, or to make deliberate misses, or to change the order of input, for example, by using a skip function in the capture process Input of the identifier. Thus, for example, the correct input of a personal identification code (PIN) can be characterized in that exactly one wrong entry with subsequent correction is provided. If a person is threatened, this can, for example, enter the identifier without error, which can be clearly recognized as an alarm signal by the authentication control system on the basis of the stored security hierarchy profile. This conscious behavior in the acquisition of a personal identifier extends the achievable security levels of the known three factors or feature classes for the authentication of a person Person quite considerably. In particular, the detection of a conscious behavior has the very special advantage that such a personal identifier is essentially not spied on by a potential attacker, since such behavior or action is difficult to distinguish from a normal behavior of a person. For example, a potential attacker would interpret a misentry as coincidental and thus not recognize that this seemingly random misentry is part of a personal identifier. Also, several types of misspells could be activated by the user, so that each would be valid in the authentication process and could be entered by the user in a different or a combination.
Insbesondere kann der Benutzer selbst festlegen, beispielsweise über ein Konfigurationswerkzeug, welche Typen personenbezogener Kennungen gruppiert als Auswahlmöglichkeit an der Erfassungsvorrichtung (2) präsentiert werden. Ferner kann der Benutzer eine Zuordnung zwischen einem oder mehreren Dienstbereitstellungssystemen und einer derartigen Authentifika- tionsgruppe festlegen, sodass bei der Authentifikation dem Benutzer bspw. mehrere solcher Gruppen dargeboten werden, wobei nur eine zur Authentifikation am angeforderten Dienst gültig bzw. zugelassen ist. Somit kann durch die Festlegung eines derartigen initialen Anmeldeprofils bereits eine weitere personenbezogene Kennung ausgebildet werden, da der Benutzer bspw. im Bedrohungsfall bewusst die falsche Gruppe auswählen kann und somit wieder- um Alarm- bzw. Sicherungsmaßnahmen auslösen kann.In particular, the user himself can specify, for example via a configuration tool, which types of personal identifiers are grouped as a selection option at the detection device (2). Furthermore, the user can specify an association between one or more service provisioning systems and such an authentication group, so that, for example, several such groups are presented to the user during authentication, whereby only one is valid or permitted for authentication on the requested service. Thus, by the definition of such an initial login profile already another personal identifier can be formed, since the user can, for example, deliberately select the wrong group in the event of a threat and thus can again trigger alarm or security measures.
Neben einem bewussten Verhalten als Merkmalklasse zur Authentifikation einer Person, bietet das erfindungsgemäße Verfahren eine weitere Merkmalklasse, mit der auch ein unbewuss- tes Verhalten der Person zur Authentifikation derselben herangezogen werden kann. Während die Merkmale der bekannten drei Klassen ausspioniert und gegebenenfalls nachgebildet werden können und dies auch unter sehr spezifischen Umständen auch für die vierte Klasse möglich ist, ist dies bei einem unbewussten Verhalten kaum möglich, da ein derartiges Verhaltensmuster ganz spezifisch jeder Person zu Eigen ist und somit bereits durch einen Spionageversuch verfälscht werden würde. Ein derartiges unbewusstes Verhaltensmuster kann in einer Trainingsphase dadurch ermittelt werden, dass die Reaktion bzw. das Verhalten der Person auf eine Mehrzahl standardisierter, insbesondere nach psychologischen Grundlagen, erstellter Fragen bzw. Auswahlmöglichkeiten erfasst wird. Zur Erstellung eines persönlichen Verhaltensmusters sind aus dem Fachgebiet der Verhaltensforschung eine Mehrzahl unterschiedli-
cher Test- bzw. Evaluierungsmethoden bekannt, auf die hier nicht weiter eingegangen wird. Insbesondere wird eine Person durch ihr Verhalten authentifizierbar, wobei dieses grundlegende Verhalten tief im Unterbewusstsein der Person verankert ist und somit eine außerordentlich hohe Authentifϊzierungssicherheit gegeben ist.In addition to a conscious behavior as a feature class for the authentication of a person, the method according to the invention offers a further feature class with which an unconscious behavior of the person for the authentication of the same can be used. While the features of the known three classes can be spied on and, if necessary, reproduced, and this is also possible under very specific circumstances for the fourth class, this is hardly possible with unconscious behavior, since such a behavioral pattern is very specific to each person and thus would already be falsified by a spy attempt. Such an unconscious behavioral pattern can be determined in a training phase by detecting the reaction or the behavior of the person on a multiplicity of standardized, in particular psychological foundations, questions or selection options. To develop a personal behavioral pattern, a number of different cher test or evaluation methods known, which will not be discussed here. In particular, a person becomes authenticated by their behavior, whereby this basic behavior is deeply anchored in the subconscious of the person and thus an extraordinarily high authentification security is given.
Eine Klasse personenbezogener Kennungen kann auch darin bestehen, dass die Art der gewählten Authentifikationsklasse, gesteuert beispielsweise durch das Sicherheits- Hierarchieprofil, als personenbezogene Kennung herangezogen wird. Beispielsweise kann vom Authentifikations-Kontrollsystem für den vom Benutzer angeforderten Dienst eine nicht korrekte Authentifikationsklasse bzw. Authentifizierungsstufe vorgegeben werden, beispielsweise in dem für die Anforderung eines Finanztransaktionsdienstes eine sicherheitstechnisch niederwertige Kennung erfasst werden soll. Zur korrekten Authentifikation der Person müsste diese beispielsweise den Authentifikationsvorgang abbrechen und erneut auslösen, oder die vorgegebene Authentifikationsklasse ablehnen und eine neue, insbesondere sicherheitstech- nisch höherwertige Klasse anfordern.A class of personal identifications may also consist of using the type of the selected authentication class, controlled for example by the security hierarchy profile, as a personal identifier. For example, an incorrect authentication class or authentication level can be specified by the authentication control system for the service requested by the user, for example, in which a security-relevant low-value identifier is to be detected for the request of a financial transaction service. For correct authentication of the person, for example, this person would have to abort the authentication process and trigger it again, or refuse the specified authentication class and request a new, in particular safety-grade, higher-grade class.
Ferner kann mit einer Benutzergruppierung eine zusätzliche Hierarchieebene eingeführt werden, wobei sich ein Benutzer wahlfrei einer Gruppe zuordnen bzw. von dieser abmelden kann. Eine derartige Gruppierung lässt sich nun so ausbilden, dass für jede Gruppe spezifische Merkmale hinterlegt sind, die dem einzelnen Benutzer bekannt sind. Die Gruppierung wird bevorzugt derart vorgenommen werden, dass sich die einzelnen Gruppenmitglieder im Wesentlichen kennen und somit auch von personenspezifischen Details Kenntnis haben, die einem potentiellen Angreifer jedenfalls nicht zur Verfügung stehen. Beispielsweise könnte eine gruppenbezogene Kennung darin bestehen, dass der sich authentifizierende Benutzer die Kennung einer mobilen Kommunikationsvorrichtung eines Benutzers der Gruppe angeben muss.Furthermore, an additional hierarchy level can be introduced with a user grouping, whereby a user can optionally allocate or log off from a group. Such a grouping can now be designed such that specific features are stored for each group that are known to the individual user. The grouping is preferably carried out in such a way that the individual group members essentially know each other and thus also have knowledge of person-specific details that are in any case not available to a potential attacker. For example, a group-related identifier could be that the authenticating user must specify the identifier of a mobile communication device of a user of the group.
Das erfindungsgemäße Verfahren bietet nun eine bedeutende Steigerung der individuell anpassbaren Sicherheitsstufe bei der Authentifikation einer Person, insbesondere im Hinblick auf die Möglichkeit der auslösbaren Aktionen, ohne dass dafür eine Vielzahl unterschiedlicher personenbezogener Kennungen festgelegt werden müssen. Je größer die Anzahl unterschiedlicher personenbezogener Kennungen ist, die sich eine Person merken muss, desto größer ist die Gefahr, dass die mögliche Vielzahl ignoriert wird und nur einige wenige personen-
bezogene Kennungen verwendet werden. Somit hat es ein potentieller Angreifer zumeist recht leicht, diese Kennungen auszuspionieren und somit Zugriff auf eine Vielzahl unterschiedlicher Dienste zu erlangen. Mit dem erfindungsgemäßen Verfahren ist es nun möglich, mit einer geringen Anzahl personenbezogener Kennungen, in Kombination mit den weiteren Au- thentifikations- bzw. Merkmalklassen, eine ganz besondere Steigerung der Identifikationssicherheit zu erlagen und gleichzeitig die Chance auf ein bewusstes Aushorchen der personenbezogenen Kennungen durch Dritte zu minimieren.The method according to the invention now offers a significant increase in the individually adaptable security level in the authentication of a person, in particular with regard to the possibility of triggering actions, without having to specify a multiplicity of different personal identifiers. The greater the number of different personal identifiers that a person needs to remember, the greater the risk that the potential multiplicity will be ignored and only a few people related identifiers are used. Thus, a potential attacker usually has quite easily to spy on these identifiers and thus to gain access to a variety of different services. With the method according to the invention, it is now possible, with a small number of personal identifiers, in combination with the further authentification or feature classes, to incur a very special increase in identification security and, at the same time, the chance of consciously listening to the personal identifiers by third parties to minimize.
Der ganz wesentliche Vorteil des erfindungsgemäßen Verfahrens liegt nun darin, dass die Authentifikation einer Person durch Erfassung personenbezogener Kennungen erfolgen kann, die von einem potentiellen Angreifer im Wesentlichen nicht ausspionierbar sind. Ferner hat eine bedrohte Person die Möglichkeit, bewusst eine falsche Auswahl bzw. Eingabe zu tätigen, ohne das dies für einen Angreifer ersichtlich ist, um so ggf. Sicherungsmaßnahmen in Gang zu setzen. Von ganz besonderem Vorteil ist ferner, dass die Authentifikation auf Basis der Erfassung personenbezogener Kennungen derart flexibel ausgebildet ist, dass die erforderliche Sicherheitsstufe der Authentifikation nicht nur durch die Erfassung einer vorgesehenen personenbezogenen Kennung möglich ist, sondern dass auch sicherheitstechnisch höherwerti- ge und/oder mehrere sicherheitstechnisch niederwertige personenbezogene Kennungen herangezogen werden können. Zur Umgehung des erfindungsgemäßen Authentifikationsverfahrens müsste ein potentieller Angreifer daher eine Mehrzahl unterschiedlicher Kennungen ausspionieren, was äußerst unwahrscheinlich ist und üblicherweise in keiner Relation zum erreichbaren Nutzen bzw. zur Gefahr einer Erkennung des Manipulationsversuchs steht.The very essential advantage of the method according to the invention lies in the fact that the authentication of a person can be carried out by detecting personal identifiers that are essentially not spied on by a potential attacker. Furthermore, an endangered person has the opportunity to consciously make a wrong selection or input, without this being apparent to an attacker, so as to initiate security measures if necessary. Of particular advantage is further that the authentication based on the detection of personal identifiers is designed so flexible that the required security level of authentication is not only possible through the detection of a personal identifier provided, but also higher-security ge and / or more safety-related lower-value personal identifiers can be used. To circumvent the authentication method according to the invention, therefore, a potential attacker would have to spy on a plurality of different identifiers, which is extremely unlikely and usually stands in no relation to the achievable benefit or the risk of detection of the manipulation attempt.
Des Weiteren ermöglicht dieses Verfahren innerhalb desselben Umfeldes, bspw. in einer Be- triebsstätte mit einem POS-Gerät (Point of SaIe), unterschiedlich sichere Authentifikationen vorzunehmen. Für die Abwicklung einer Transaktion mit einem geringen Volumen bzw. mit einem geringen Geldwert reicht die Erfassung einer sicherheitstechnisch niederwertigen personenbezogenen Kennung. Im Gegensatz dazu kann für ein großes Transaktionsvolumen bzw. für einen großen Geldwert die Erfassung einer sicherheitstechnisch hochwertigen personenbe- zogenen Kennung gefordert sein. Die Regeln für eine solche Festlegung der Sicherheitsstufen können am Dienstbereitstellungs-System und/oder am Authentifikations-Kontrollsystem hinterlegt sein. Ferner können diese Sicherheitsstufen mit weiteren erfindungsgemäßen Regel kombiniert werden, ferner kann ein Zufallsgeneratoren vorhanden sein, mit dem wahlfrei
Stichproben gezogen werden, in dem sich ein Benutzer mit einer höheren Sicherheitsstufe authentifizieren muss, als dies für den angeforderten Dienst erforderlich wäre. Es kann also durchaus vorkommen, dass derselbe Benutzer bei Abwicklung derselben Transaktion, in derselben Betriebsstätte zwei verschiedenen Authentifizierungsabläufen folgen muss.Furthermore, this method enables different secure authentications within the same environment, for example in an establishment with a POS device (point of sale). For the execution of a transaction with a low volume or with a low monetary value, the collection of a low-security personal identifier suffices. In contrast, for a large transaction volume or for a large monetary value, the collection of a security-related high-quality personal identifier may be required. The rules for such a determination of the security levels can be stored on the service providing system and / or on the authentication control system. Furthermore, these security levels can be combined with other rule according to the invention, further, a random number generators may be present, with the optional Sampling in which a user with a higher security level must authenticate himself than would be required for the requested service. It can therefore happen that the same user has to follow two different authentication processes when processing the same transaction in the same establishment.
Fig. 3 zeigt eine weitere mögliche Vorrichtung zur Durchführung des erfindungsgemäßen Verfahrens. Dabei werden das Authentifikations-Kontrollsystem und das Authentifizierungs- system in ein Authentifikations-Steuerungsystem 28 integriert, welches somit alle wesentli- chen sicherheitskritischen Vorrichtungen zu Durchführung des erfindungsgemäßen Verfah- rens umfasst. Insbesondere wird somit erreicht, dass auf der Erfassungsvorrichtung 2 keine sicherheitstechnisch relevanten Daten wie beispielsweise Referenzmerkmale hinterlegt sind und das ferner die Vergleichsprüfung in einem besonders gesicherten Authentifikations- Steuerungssystem 28 durchgeführt werden kann. Die Erfassungsvorrichtung 2 weist dazu eine Kommunikationsschnittstelle 29 auf, über die eine Kommunikationsverbindung mit dem Au- thentifikations-Steuerungssystem 28 hergestellt werden kann. Zur Durchführung der Erfassung der personenbezogenen Kennung kann es beispielsweise vorgesehen sein, dass das vom Authentifikations-Steuerungssystem 28 hinterlegte Steuerungsanweisungen an die Erfas- sungsvoπϊchtung 2 übermittelt werden und dort in einem Ausführungsmodul 31 temporär hinterlegt werden und von diesem zur Steuerung der Erfassungsmittel der Erfassungvoπϊch- tung 2 ausgeführt werden. Das Ausführungsmodul 31 kann beispielsweise derart ausgebildet sein, dass es eine Signaturprüfung der übertragenen Steuerungsanweisungen 30 durchführt, wodurch eine bewusste Manipulation der Erfassungsvorrichtung durch Einspielen einer nicht korrekt signierten Steueranweisung weitestgehend verhindert wird.Fig. 3 shows another possible device for carrying out the method according to the invention. In this case, the authentication control system and the authentication system are integrated into an authentication control system 28, which thus comprises all essential safety-critical devices for carrying out the method according to the invention. In particular, it is thus achieved that no security-relevant data such as, for example, reference features are stored on the detection device 2 and that, furthermore, the comparison check can be carried out in a particularly secure authentication control system 28. For this purpose, the detection device 2 has a communication interface 29, via which a communication connection with the authentication control system 28 can be established. To carry out the detection of the personal identification, it may be provided, for example, that the control instructions stored by the authentication control system 28 are transmitted to the acquisition device 2 and temporarily stored there in an execution module 31 and from this for controlling the detection means of the detection device 2 are executed. By way of example, the execution module 31 may be designed such that it carries out a signature check of the transmitted control instructions 30, as a result of which a deliberate manipulation of the detection apparatus is prevented as far as possible by introducing an incorrectly signed control instruction.
Insbesondere hat diese Ausbildung den Vorteil, dass technisch sehr einfache und damit kostengünstige Erfassungsvorrichtungen 2 einsetzbar sind, da die Steuerung des Ablaufs, sowie die Durchführung der Vergleichsoperation der erfassten personenbezogenen Kennung mit hinterlegten Referenzmerkmalen 14 von einem zentralen Authentifikationssteuerungssystem 28 durchgeführt wird und somit die Erfassungsvorrichtung keine wesentlichen sicherheitskri- tischen und manipulierbaren Komponenten aufweist.In particular, this training has the advantage that technically very simple and thus cost-effective detection devices 2 can be used, since the control of the process, as well as the performance of the comparison operation of the detected personal identifier with stored reference features 14 is performed by a central authentication control system 28 and thus the detection device no essential safety-critical and manipulatable components.
Die Authentifizierungsanforderung wird bei dieser Ausbildung vom Dienstbereitstellungs- System 5 an das Authentifikationssteuerungssystem 28 übermittelt. Dieses führt anschließend
die erfindungsgemäßen Verfahrensschritte durch und übermittelt bei erfolgreicher Authentifi- kation der Person ein Freigabesignal an das anfragende Dienstbereitstellungs-System 5.The authentication request is transmitted in this training by the service providing system 5 to the authentication control system 28. This leads then the method steps according to the invention and transmitted on successful authentication of the person a release signal to the requesting service providing system. 5
Die Ausführungsbeispiele zeigen mögliche Ausführungsvarianten des anforderungsbasierten Personenidentifikationsverfahrens, wobei an dieser Stelle bemerkt sei, dass die Erfindung nicht auf die speziell dargestellten Ausführungsvarianten derselben eingeschränkt ist, sondern vielmehr auch diverse Kombinationen der einzelnen Ausfuhrungsvarianten untereinander möglich sind und diese Variationsmöglichkeit aufgrund der Lehre zum technischen Handeln durch gegenständliche Erfindung im Können des auf diesem technischen Gebiet tätigen Fachmannes liegt. Es sind also auch sämtliche denkbaren Ausführungsvarianten, die durch Kombinationen einzelner Details der dargestellten und beschriebenen Ausführungsvariante möglich sind, vom Schutzumfang mit umfasst.The embodiments show possible embodiments of the requirement-based personal identification method, it being noted at this point that the invention is not limited to the specifically illustrated embodiments thereof, but rather also various combinations of the individual variants are possible with each other and this possibility of variation due to the teaching of technical action representational invention in the skill of those skilled in this technical field. So are all conceivable embodiments, which are possible by combinations of individual details of the illustrated and described embodiment variant, includes the scope of protection.
In der Fig. 3 ist eine weitere und gegebenenfalls für sich eigenständige Ausfuhrungsform des anforderungsbasierten Personenidentifikationsverfahrens gezeigt, wobei wiederum für gleiche Teile gleiche Bezugszeichen bzw. Bauteilbezeichnungen wie in den vorangegangenen Fig. 1 und 2 verwendet werden. Um unnötige Wiederholungen zu vermeiden, wird auf die detaillierte Beschreibung in den vorangegangenen Figuren hingewiesen bzw. Bezug genommen.FIG. 3 shows a further embodiment of the requirement-based personal identification method which is possibly independent of itself, again using the same reference numerals or component designations for the same parts as in the preceding FIGS. 1 and 2. To avoid unnecessary repetition, reference is made to the detailed description in the preceding figures.
Der Ordnung halber sei abschließend daraufhingewiesen, dass zum besseren Verständnis des Aufbaus des anforderungsbasierten Personenidentifikationsverfahrens diese bzw. deren Bestandteile teilweise unmaßstäblich und/oder vergrößert und/oder verkleinert dargestellt wurden.For the sake of order, it should finally be pointed out that, for a better understanding of the structure of the requirement-based personal identification method, these or their components have been partially displayed out of scale and / or enlarged and / or reduced in size.
Die den eigenständigen erfinderischen Lösungen zugrundeliegende Aufgabe kann der Beschreibung entnommen werden.The task underlying the independent inventive solutions can be taken from the description.
Vor allem können die einzelnen in den Fig. 1 bis 3 gezeigten Ausführungen den Gegenstand von eigenständigen, erfindungsgemäßen Lösungen bilden. Die diesbezüglichen, erfindungs- gemäßen Aufgaben und Lösungen sind den Detailbeschreibungen dieser Figuren zu entnehmen.
BezugszeichenaufstellungAbove all, the individual embodiments shown in FIGS. 1 to 3 can form the subject of independent solutions according to the invention. The relevant tasks and solutions according to the invention can be found in the detailed descriptions of these figures. REFERENCE NUMBERS
1 Authentifikations-Kontrollsystem 2 Erfassungsvorrichtung1 authentication control system 2 detection device
3 Erfassungsmittel3 detection means
4 Kommunikationsnetzwerk4 communication network
5 Dienstbereitstellungs-System 6 Authentifizierungssystem5 Service Provisioning System 6 Authentication System
7 Authentifizierungsanforderung7 Authentication request
8 Übertragung der Authentifizierungsanforderung8 Transmission of the authentication request
9 Authentifizierungsstufe 10 Alphanumerisches Eingabemittel,9 Authentication level 10 Alphanumeric input means,
Tastaturkeyboard
11 Optische Bilderfassungsvorrichtung11 Optical image capture device
12 Fingerabdruckscanner 13 Audiovisuelle Ein- Ausgabevorrichtung12 Fingerprint scanner 13 Audiovisual input device
14 Referenzmerkmal14 reference feature
15 Speichermittel 16 Speichermittel15 storage means 16 storage means
17 Freigabesignal17 enable signal
18 Abgabe eines Freigabesignals18 delivery of a release signal
19 Ermitteln der Authentifizierungsstufe 20 Sicherheits-Hierarchieprofil19 Determine Authentication Level 20 Security Hierarchy Profile
21 Aktivieren eines Erfassungsmittel21 Activate a detection means
22 Erfassen einer personenbezogenen Kennung 23 Vergleich mit Referenzmerkmal22 Entering a personal ID 23 Comparison with reference feature
24 Hinterlegte Referenzmerkmale24 stored reference features
25 Fehlerhafte Übereinstimmung25 Incorrect match
26 Vergleich 27 Fehlersignal26 Comparison 27 Error signal
28 Authentifikations-Steuerungssystem28 authentication control system
29 Kommunikationsschnittstelle29 communication interface
30 Steuerungsanweisungen 31 Ausführungsmodul
30 control instructions 31 execution module