Beschreibung
Verfahren zur Anpassung eines Referenzdatensatzes anhand mindestens eines Eingabedatensatzes durch einen Rechner
Die Erfindung betrifft ein Verfahren zur Anpassung eines Referenzdatensatzes anhand mindestens eines Eingabedatensatzes durch einen Rechner.
Bekannte Verfahren zur Verifikation des Teilnehmers, z.B. durch Eingabe eines Paßworts oder mittels einer Chipkarte, beruhen darauf , daß der Teilnehmer über nur ihm bekanntes Wissen verfügt (Paßwort) oder nur er das entsprechende Medium für die Gewährung des Zugangs (Chipkarte) besitzt.
Alternativ dazu bedient sich die Biometrie einer physiologischen oder einer verhaltenstypischen Eigentümlichkeit des Teilnehmers bei der automatischen Identitätsverifikation oder generell zur Authentifikation.
Physiologische Verfahren bedienen sich dabei menschlicher Eigentümlichkeit, die sich im Normalfall nicht oder nur wenig ändert. Entsprechende Merkmale weisen die Vorteile auf, daß sie nicht gestohlen und nur mit großer Mühe kopiert werden können.
Eine Unterschriftsverifikation ist ein biometrisches Verfahren. Dabei wird eine in einen Rechner eingegebene Unterschrift verarbeitet, unabhängig vom Textinhalt, mit dem Ziel, die Authentizität des Schreibers entweder zu bestätigen oder zu verneinen.
Aus [1] ist bekannt, eine Unterschrift mittels eines elektromagnetischen Tabletts in elektronischer Form zu erhalten. Eine derartige (elektronische) Unterschrift umfaßt mehrere Kenngrößen, z.B. Koordinateninformation, Druck und Geschwindigkeit jeweils zu diskreten Abtastzeitpunkten.
Eine Verifikation eines Eingabedatensatzes beruht auf einem Vergleich mit einem Referenzdatensatz. Im Fall einer Unterschriftsverifikation handelt es sich bei dem Referenzdatensatz um eine elektronische Unterschrift, im weiteren als "Referenzunterschrift" bezeichnet; der Eingabedatensatz ist eine aktuell angeforderte, beispielsweise mittels eines elektronischen Tabletts eingegebene Unterschrift.
Es ist allgemein bekannt, daß von Hand geschriebene Unterschriften derselben Person einander nicht exakt gleichen. Außerdem können sich wesentliche Merkmale der Unterschrift einer Person mit der Zeit ändern.
Aus [2] ist ein Verfahren zur Referenzdatenadaption bekannt. Allerdings ist dabei eine Gefahr der Fälscheradaption hoch.
Die Aufgabe der Erfindung besteht darin, Referenzdaten, die über die Zeit einer Veränderung unterliegen, automatisch dieser Veränderung anzupassen ohne dabei einer Fälscheradaption zu unterliegen.
Diese Aufgabe wird gemäß den Merkmalen des Patentanspruchs 1 gelöst.
Die Erfindung gibt ein Verfahren zur Anpassung eines Referenzdatensatzes anhand mindestens eines Eingabedatensatzes durch einen Rechner an. Dazu wird zunächst für den mindestens einen Eingabedatensatz ein Bewertungsmaß bestimmt, das eine Übereinstimmung mit dem einen Referenzdatensatz kennzeichnet . Wenn das Bewertungsmaß innerhalb eines vorgegebenen ersten Bereichs liegt, wird der Eingabedatensatz in einen Pufferspeicher eingetragen und ein neuer Referenzdatensatz ermittelt. Liegt das Bewertungsmaß innerhalb eines vorgegebenen zweiten Bereichs, so wird ein nächster Referenzdatensatz aus den Datensätzen des
Pufferspeichers ermittelt. Ist der nächste Referenzdatensatz "besser" als der (alte) Referenzdatensatz, so wird der nächste Referenzdatensatz anstelle des (alten) Referenzdatensatzes verwendet. Ist der nächste Referenzdatensatz hingegen "schlechter" als der (alte) Referenzdatensatz, so wird der nächste Referenzdatensatz verworfen. Liegt das Bewertungsmaß innerhalb eines dritten Bereichs, so bleibt der Referenzdatensatz unverändert bestehen.
Dabei ist ein erster Datensatz "besser" als ein zweiter Datensatz, wenn ein durch ein Bewertungsmaß definierter Abstand des ersten Datensatzes zu dem Referenzdatensatz kürzer (also besser mit dem Referenzdatensatz übereinstimmt) als der Abstand von dem zweiten Datensatz zu dem
Referenzdatensatz ist. Analog dazu ist dann der zweite Datensatz "schlechter" als der erste Datensatz.
Vorzugsweise wird der Referenzdatensatz bestimmt, indem vorgebbare Kenngrößen einer vorgebbaren Anzahl an Datensätzen gemittelt werden. Dabei gibt es, wie aus [1] bekannt ist, zu jedem Abtastzeitpunkt einen Datensatz (Vektor) , der die Kenngrößen für diesen AbtastZeitpunkt enthält . Unter Berücksichtigung aller oder eines Teils dieser Kenngrößen wird ein Referenzdatensatz durch Mittelung der Werte ermittelt .
Dazu alternativ kann der Referenzdatensatz aus einer Menge von Originaldatensätzen, also Datensätzen, bei denen sichergestellt ist, daß sie vom autorisierten Teilnehmer stammen, ausgewählt werden, der in dem durch die Kenngrößen bestimmten Merkmalsraum die beste Beschreibung der Originaldatensätze darstellt.
Diese beiden Möglichkeiten sind ohne Einschränkung lediglich zwei Alternativen zur Referenzdatensatzbestimmung . Es sind
vielerlei andere Möglichkeiten denkbar, die in der Erfindung ebenso Verwendung finden können.
Eine Weiterbildung des Pufferspeichers ist ein Ringpuffer, der eine vorgebbare Anzahl an Datensätzen enthält. Ein
Ringpuffer zeichnet sich dadurch aus, daß darin der älteste Datensatz gelöscht wird, sobald ein neuer Datensatz hinzugefügt wird. Dies gilt natürlich unter der. Voraussetzung, daß der Ringpuffer voll ist, da ansonsten der neue Datensatz einfach hinzugefügt wird.
Eine nächste Weiterbildung der Erfindung besteht darin, den Eingabedatensatz als einen Originaldatensatz zu verifizieren, falls das Bewertungsmaß innerhalb des ersten Bereichs oder des zweiten Bereichs liegt. Liegt das Bewertungsmaß für den Eingabedatensatz außerhalb des ersten oder des zweiten Bereichs, so ist eine Verifikation des Eingabedatensatzes zu verneinen; der Eingabedatensatz wird als eine Fälschung betrachtet .
Eine andere Weiterbildung besteht darin, daß
Originaldatensätze gemäß einer Wahrscheinlichkeitsverteilung beschrieben werden. Eine derartige Wahrscheinlichkeitsverteilung kann eine Normalverteilung mit einem Erwartungswert und einer Standardabweichung sein.
Ferner ist im Rahmen einer zusätzlichen Weiterbildung der Referenzdatensatz durch den Erwartungswert der Originaldatensätze bestimmt.
Schließlich kann eine Unterteilung der einzelnen Bereiche durch folgende Notation bestimmt sein:
Erster Bereich: BEW e [θ; μ + ^ • σ] ,
Zweiter Bereich: BEW e [μ + α^ • σ; μ + 0:2 ■ σ] ,
Dritter Bereich: BEW e [μ + 02 • σ; 00] , wobei
BEW das Bewertungsmaß, μ den Erwartungswert , σ die Standardabweichung, α-]_ einen vorgebbarer Parameter, mit dem eine obere
Schranke des ersten Bereichs bestimmt wird, α2 einen vorgebbaren Parameter, mit dem eine obere Schranke des zweiten Bereichs bestimmt wird, bezeichnen.
Auch ist es möglich zusätzlich den Wertebereich des Berwertungsmaßes in einen vierten Bereich zu unterteilen, der zwischen dem zweiten und dem dritten Bereich liegt und mittels vorgebbarer Schwellen bestimmt ist. In diesem Bereich können Originaldatensätze liegen, die als solche erkannt werden, ohne daß der Referenzdatensatz verändert wird.
Im Rahmen einer Anwendung der Erfindung kann es sich bei den erwähnten Datensätzen um Unterschriften handeln, die elektronisch aufgenommen und abgespeichert werden und die eine vorgebbare Menge von Kenngrößen umfassen (siehe auch Beschreibungseinleitung) .
Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnungen dargestellt und erläutert.
Es zeigen
Fig.l ein Blockdiagramm, das Schritte eines Verfahrens zur Anpassung mindestens eines Referenzdatensatzes anhand mindestens eines Eingabedatensatzes enthält, Fig.2 eine Skizze, die unterschiedliche Bereiche in einem Bewertungsraum zur Verifikation einer Unterschrift zeigt , Fig.3 eine Skizze, die aufbauend auf Fig.2 einen zusätzlichen Bereich innerhalb des Bewertungsraums zeigt.
Nachfolgend wird ein Ausführungsbeispiel, das sich mit der Anwendung "Unterschriftsverifikation" befaßt, dargestellt.
Bevor ein Teilnehmer mittels seiner Unterschrift elektronisch verifiziert werden kann, wird aus einer Reihe von Unterschriften eine Referenzunterschrift (Referenzdatensatz) ermittelt. Dies geschieht durch eines der oben erwähnten Verfahren zur Referenzdatensatzbestimmung. Dabei wird aus mehreren geleisteten Unterschriften, die nachweislich vom
Teilnehmer selbst stammen (authentische Unterschriften) , eine Referenzunterschrift ermittelt.
Die mittels Referenzdatensatzbestimmung eingangs gefundene Referenzunterschrift basiert auf den Originaldatensätzen, die der Teilnehmer zum Anlegen des Referenzdatensatzes gemacht hat. Diese Originaldatensätze (Unterschriften) sind sich ähnlicher als eine Unterschrift, die zu einem späteren Zeitpunkt von diesem Teilnehmer abgegeben wird. Weiterhin unterliegt eine Unterschrift einer langfristigen Veränderung bedingt durch das Schreibverhalten des Teilnehmers. Demzufolge wird ein authentischer Teilnehmer, wenn sich seine Unterschrift beispielsweise über Jahre verändert hat, mit einer wachsenden Zurückweisungsrate rechnen müssen, bis er schließlich von dem System eines Tages überhaupt nicht mehr als autorisierter Teilnehmer erkannt wird, falls keine wie in dieser Erfindung beschriebene Anpassung an die "natürliche"
Veränderung in der Unterschrift des Teilnehmers stattgefunden hat.
Die Lösung besteht, wie oben erwähnt, darin, daß einer schleichenden Veränderung der Unterschrift durch Anpassung der Referenzunterschrift begegnet wird. Dabei entsteht ein Problem der Fälscheradaption, d.h. es muß sichergestellt sein, daß eine Anpassung nicht auf die Eigenheiten einer Unterschrift eines potentiellen Fälschers hin adaptiert wird.
Die Erfindung stellt ein Verfahren zur Adaption der Referenzunterschrift vor, das sicherheitsrelevante Kriterien berücksichtigt und Veränderungen im Unterschriftsverhalten des Originalteilnehmers kompensiert.
FIGUR 1:
In Fig.l werden anhand eines Blockdiagramms Schritte des
Verfahrens zur Adaption der Referenzunterschrift
(Referenzdatensatz) dargestellt. Vorausgesetzt wird, daß, wie oben ausführlich dargelegt ist, eine Referenzunterschrift aus einer Menge von Originaldatensätzen ermittelt wurde
(Referenzdatensatzbestimmung) .
In einem Schritt la wird ein neuer Eingabedatensatz hinzugefügt, d.h. eine Unterschrift wird geleistet und elektronisch erfaßt. Im Schritt lb wird die elektronische Unterschrift bewertet. Hierzu wird mittels eines geeigneten Verfahrens ein Abstand zur Referenzunterschrift bestimmt und als ein Bewertungsmaß BEW gespeichert. Liegt das Bewertungsmaß BEW in einem ersten Bereich, nachfolgend als Aktualisierungsbereich bezeichnet, so wird die Unterschrift verifiziert und in einen Pufferspeicher eingetragen.
Der Pufferspeicher ist vorzugsweise ein Ringpuffer, d.h. er verfügt über eine vorgebbare Anzahl an freien
Speicherplätzen, wobei, wenn alle Speicherplätze im Ringpuffer belegt sind, mit dem Hinzufügen eines neuen
Datensatzes in den Ringpuffer der älteste Datensatz gelöscht wird. Sind nicht alle Speicherplätze des Ringpuffers belegt, so entfällt das Löschen eines Datensatzes, der neue Datensatz wird nur in den Ringpuffer eingefügt.
Im Schritt le wird die Unterschrift in den Pufferspeicher eingetragen und der Referenzdatensatz angepaßt. Dabei wird erreicht, daß eine Unterschrift (Eingabedatensatz), die in dem Aktualisierungsbereich, also mit einem vorgebbaren Abstand zu einer Fälschung, liegt, eine Adaption einleitet. "Gute" Unterschriften werden zu einer "natürlichen" Veränderung der Unterschrift des autorisierten Teilnehmers herangezogen. Diese Anpassung der Referenzunterschrift wird nachfolgend näher erläutert:
Generell besteht eine Referenzunterschrift aus vielen Unterschriften, wobei die Referenzunterschrift eine Gewichtung entsprechend der Anzahl der ihr zugrundeliegenden Unterschriften enthält. Wurde eine Referenzunterschrift Uref beispielsweise aus 10 Unterschriften gewonnen und kommt eine weitere Unterschrift U hinzu, so findet eine Anpassung zu einer neuen Referenzunterschrift Uref neu derart statt, daß gilt:
Uref,neu = ^Uref + ^U (1) .
Entscheidend dabei ist die Gewichtung der (alten) Referenzunterschrift, die der Anzahl (hier 10) der ihr zugrundeliegenden Originalunterschriften entspricht. Wird eine weitere Anpassung der neuen Referenzunterschrift
Uref neu in eine weitere Referenzunterschrift Uref neu' vorgenommen mittels einer weiteren Originalunterschrift U' , so gilt analog zu Gleichung (l) :
11 l uref,neu' ~" 7T uref,neu +77u1 (2) •
So setzt sich die Anpassung immer weiter fort, wobei das Gewicht der neu hinzukommenden Unterschrift U-j_ ' immer weiter abnimmt (vergleiche U mit U' ) . Abhilfe schafft hier eine Schwelle SW, die eine vorgebbares Mindestgewicht jeder hinzukommenden Unterschrift Uj_ ' gewährleistet:
SW - 1 1
Uref 'i' = SW uref'i + —SW ui' <3 •
Liegt das Bewertungsmaß in einem zweiten Bereich (siehe
Schritt lc) , fortan als Re erenzbildungsbereich bezeichnet, wird eine nächste Referenzunterschrift gemäß dem Verfahren zur Referenzdatensatzbestimmung gebildet (Schritt lg) , wobei dazu die Datensätze des Pufferspeichers verwendet werden, und dieser nächste Referenzdatensatz mit dem (alten)
Referenzdatensatz verglichen (Schritt lh) . Ist der nächste Referenzdatensatz besser als der alte Referenzdatensatz, so wird der nächste Referenzdatensatz verwendet, der (alte) Referenzdatensatz wird verworfen (Schritt li) .
Ist der nächste Referenzdatensatz nicht besser als der (alte) Referenzdatensatz (Schritt lh) , so wird keine weitere Anpassung vorgenommen. Der (alte) Referenzdatensatz bleibt bestehen.
Liegt das Bewertungsmaß nicht innerhalb des Referenzbildungsbereichs, so wird im Schritt lk die Unterschrift nicht verifiziert, es findet natürlich auch keinerlei Adaption eines Referenzdatensatzes statt. In diesem Fall wird der Teilnehmer nicht verifiziert, sei es, daß er eine schlechte Unterschrift abgegeben hat, oder sei es, daß es sich um eine Fälschung handelt.
Der Vollständigkeit halber ist in Fig.l ein Endzustand Im angegeben, der anzeigt, daß das dargestellte Verfahren dort
terminiert. Die verschiedenen Äste im Blockdiagramm von Fig.l enden alle in diesem Endzustand Im.
FIGUR 2 :
In Fig.2 sind in einem zweidimensionalen Diagramm eine Anzahl der Unterschriften AU auf der Ordinate und das Bewertungsmaß BEW auf der Abszisse angetragen. Die Originaldatensätze sind nach einer Wahrscheinlichkeitsverteilung angenommen (Normalverteilung ) .
Die Verteilung der Originaldatensätze ist bestimmt durch den Erwartungswert μ. Die oben beschriebenen drei Bereiche werden hier veranschaulicht, wobei gilt:
erster Bereich Aktualisierungsbereich AB mit BEW e [θ; μ + x • σ] ,
zweiter Bereich Referenzbildungsbereich RBB mit BEW e fμ + α^ • σ; μ + α2 • σ] ,
dritter Bereich Fälschungsbereich FB mit BEW e [μ + α2 • σ; ...] .
Im Aktualisierungsbereich AB liegende Eingabedaten führen zu einer Adaption (erneute Referenzdatensatzbestimmung) , während bei Eingabedaten aus dem Referenzbildungsbereich zuerst überprüft wird, ob dadurch in die "richtige" Richtung, also hin zu den Originaldatensätzen und nicht zu den Fälschungen adaptiert wird, ehe eine Referenzdatensatzbestimmung initiiert wird.
Der Aktualisierungsbereich AB dient zum Abfangen langsamer Veränderung in der Unterschrift eines autorisierten Teilnehmers, während im Referenzbildungsbereich RBB stärkere Schwankungen (Veränderungen) in der Unterschrift berücksichtigt werden. Da der Pufferspeicher nur
Unterschriften aus dem Aktualisierungsbereichs enthält, wird eine Adaption zum Fälscher hin deutlich erschwert.
Die vorgebbaren Parameter α-|_ und α werden derart angegeben, daß zum einen keine Fälschungen in die laufende Adaption gelangen (abhängig von α-j_) und zum anderen die
Gleichfehlerrate zwischen Originalen und Fälschungen möglichst klein wird (abhängig von α2) .
FIGUR 3 :
In Fig.3 wird zusätzlich zu Fig.2 und den dort eingeführten Bezeichnungen ein vierter Bereich (Erkennungsbereich EB) dargestellt. Bei Unterschriften, deren Bewertungsmaß in diesem Bereich liegt, handelt es sich noch um Originalunterschriften, es wird aber keine Referenzbildung evaluiert (wie im Referenzbildungsbereich RBB) und auch keine Anpassung (wie im Aktualisierungsbereich AB) vorgenommen. Die Unterschrift wird verifiziert, die vorhandene Referenzunterschrift erfährt keine Veränderung.
Im Rahmen dieses Dokuments wurden folgende Veröffentlichungen zitiert :
[1] Deutsche Patentschrift 195 11 470.1-53
[2] T.K. orthington, T.J.Chainer, J.D.Williford, S . C . Gunderen : IBM Dynamic Signature Verification, Computer Society, IFIP 1985, S.129-154.