Beschreibung
Verfahren zur Weitergabe einer biometrisch definierten Zugangsberechtigung sowie Zugangskontrollsystem mit biometrisch definierter Zugangskontrolle
Die Erfindung betrifft ein Verfahren zur Weitergabe einer biometrisch definierten Zugangsberechtigung von einer Master- Person auf eine weitere Person. Die Erfindung betrifft weiter ein Zugangskontrollsystem mit biometrisch definierter Zugangskontrolle .
Elektronisch gesteuerte Zugangskontrollsysteme haben weite Verbreitung gefunden. Solche Zugangskontrollsysteme bestehen beispielsweise darin, daß eine zugangsberechtigte Person eine nur ihr bekannte Personenidentifizierungsnummer (PIN) kennt und diese zusammen mit einer Karte in eine Eingabeeinheit eingibt. Das System vergleicht dann die PIN mit einer auf der Karte enthaltenen Codierung und gibt den Zugang bei positivem Vergleich frei. In Kraftfahrzeugen werden beispielsweise Systeme eingesetzt, bei denen die zugangsberechtigte Person über einen Transponder verfügt, der ein codiertes Signal sendet, das im Kraftfahrzeug mit einer dort gespeicherten Information verglichen wird. Bei positivem Vergleich wird der Be- trieb des Kraftfahrzeugs freigegeben.
Aus der DE 43 06 054 AI ist eine Kommunikationsanlage mit einer hierarisch administrierbaren, kennungsorientierten Freigabesteuerung bekannt. Einzelne Leistungsmerkmale der Pro- gramm gesteuerten Kommunikationsanlage können nur vom Hersteller freigegeben werden. Innerhalb der vom Hersteller
freigegebenen Leistungsmerkmale besteht eine hierarchisch organisierte Zugangsberechtigung, wobei hierarisch übergeordnete Benutzer Veränderungen für hierarisch untergeordnete Benutzer vornehmen können. Zum Schutz vor Zugriffen durch Unbe- rechtigte sind den einzelnen Benutzern Paßwörter zugeordnet, die vor einer Benutzungsfreigabe überprüft werden.
Eine Eigenart der beschriebenen Zugangskontrollsysteme liegt darin, daß eine berechtigte Person sich entweder die PIN mer- ken muß oder ein zusätzliches Bauteil benötigt, auf dem eine Codierung gespeichert ist. Um dies zu vermeiden, wurden Zugangskontrollsysteme vorgeschlagen, bei denen sich eine Person beispielsweise dadurch identifiziert, daß sie einen Finger oder den Daumen auf ein Sensorfeld legt, das das Hautril- lenmuster bzw. ein Fingermuster erfaßt. Entsprechende Verfahren bzw. Geräte sind in der DE 42 22 387 C2 und in der US 3,639,905 beschrieben. Das Hautrillenmuster wird dann mit dem vorher abgespeicherten Hautrillenmuster der Person verglichen. Bei positivem Vergleich wird der Zugang frei gegeben.
Ein Problem, das sich bei dem letztgenannten, ein personenindividuelles, biometrisches Merkmal abfragenden Zugangskontrollsystem stellt, besteht darin, daß die Zugangsberechtigung nicht kontrolliert auf eine weitere Person übertragen werden kann; die Anwendung solcher Systeme beispielsweise für ein Kraftfahrzeug stößt daher auf Probleme. Ein Kraftfahrzeug soll innerhalb einer Familie beispielsweise von mehreren Personen benutzbar sein oder es soll bei einem Werkstattaufenthalt, einem Hotelaufenthalt usw. von anderen Personen zumin- dest begrenzt bedienbar sein.
Der Erfindung liegt die Aufgabe zugrunde, ein in seiner Durchführung einfaches Verfahren zur Weitergabe einer personenindividuellen, biometrisch definierte Zugangsberechtigung sowie ein System mit personenindividueller, biometrisch defi- nierter Zugangsberechtigung zu schaffen, das eine Weitergabe der Zugangsberechtigung in einfacher Weise gestattet.
Der das Verfahren betreffende Teil der Erfindungsaufgabe wird mit den Merkmalen des Anspruchs 1 gelöst. Danach erfolgt die Weitergabe einer biometrisch definierten Zugangsberechtigung derart, daß eine berechtigte Person eine Anweisung zur Weitergabe der Zugangsberechtigung an eine weitere Person eingibt, anschließend das personenindividuelle, biometrische Merkmal der weiteren Person eingelesen und gespeichert wird, so daß die berechtigte weitere Person erkennbar ist. Sicherheit ist dadurch gegeben, daß das Einlesen individueller Merkmale der weiteren Person nur nach ausdrücklicher Anweisung durch eine berechtigte Person erfolgen kann. Dabei erfolgt eine Überprüfung, ob die die Weitergabe der Zugangsbe- rechtigung eingebende Person dazu berechtigt ist, durch Überprüfung von deren personenindividuellem, biometrischem Merkmal anhand eines Vergleiches mit gespeicherten Daten. Die Überprüfung kann nach und/oder vor der Eingabe der Anweisung zur Weitergabe der Zugangsberechtigung erfolgen. Die Durch- führung ist außerordentlich bequem, da keinerlei Hilfsmittel erforderlich sind, die eine Person bei sich tragen muß.
Die Unteransprüche 2 bis 5 sind auf vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens gerichtet.
Der das System betreffende Teil der Erfindungsaufgabe wird mit den Merkmalen des Anspruchs 6 gelöst.
Die Unteransprüche 7 bis 9 bilden das erfindungsgemäße System in vorteilhafter Weise weiter.
Die Erfindung ist für alle biometrisch definierten Zugangskontrollsysteme einsetzbar, insbesondere für solche Systeme, bei denen sich die Anzahl der Nutzer häufig ändert und die Nutzungsmöglichkeiten personenindividuell durch "Master- Personen" kontrolliert werden soll, die über die volle Zugangsberechtigung verfügen, z.B. auch Hotels, Computersysteme, Telephonsysteme usw..
Die Erfindung wird im folgenden anhand schematischer Zeichnungen beispielsweise und mit weiteren Einzelheiten erläutert.
Es stellen dar:
Fig. 1 eine Aufsicht auf ein Kraftfahrzeug,
Fig. 2 eine Stirnansicht einer Eingabeeinheit und
Fig. 3 ein Ablaufdiagramm einer Weitergabe einer personenindividuellen, biometrisch definierten Zugangsberechtigung.
Gemäß Fig. 1 weist ein Zugangskontrollsystem für ein Objekt, insbesondere ein Kraftfahrzeug, ein mit einem Rechner und zugehörigen Speichern versehenes Steuergerät 2 auf, das über Datenleitungen 3 mit einem oder mehreren Betätigungsmodulen verbunden ist, im dargestellten Beispiel mit zwei Türmodulen 4, einem Kofferraummodul 6 und einem Chassismodul 8.
Fig. 2 zeigt die Aufsicht auf das Chassismodul 8. Das Chassismodul 8 weist ein Display 10, ein Sensorfeld 12 und Bedientasten 14 auf. Alternativ enthält das Chassismodul nur das Sensorfeld sowie ein Interface und ggf. eine Codierung. Zur Steuerung kann ein separates Steuergerät oder der fahrzeugeigene Bordcomputer verwendet werden. Als Display kann ein im Fahrzeug vorhandenes Display benutzt werden.
Die anderen Module enthalten lediglich ein Sensorfeld sowie gegebenenfalls eine Betätigungstaste.
Die Funktion des Zugangkontrollsystems ist derart, daß beispielsweise beim Erwerb des Fahrzeugs unter Kontrolle des Herstellers ein im Steuergerät enthaltener Speicher mit dem gespeicherten Fingermuster des Fahrzeugkäufers und/oder einer von dieser autorisierten Personen als Master-Person geladen wird. Dabei kann das gespeicherte Muster zur weiteren Erhöhung der Sicherheit verschlüsselt werden.
Wenn die autorisierte Person das Fahrzeug benutzen will, legt sie den Finger, dessen Muster gespeichert ist, auf das Sensorfeld des Türmoduls 4, woraufhin das Fingermuster ausgelesen wird und mit dem im Steuergerät gespeicherten Fingermu- ster verglichen wird. Bei positivem Vergleich wird der Zugang in das Fahrzeug freigegeben. Soll das Fahrzeug in Betrieb gesetzt werden, legt die berechtigte Person wiederum ihren Finger auf das Sensorfeld 12 des Chassismoduls 8. Nach positivem Vergleich wird dann die Bedienbarkeit der Betriebsfunktionen des Fahrzeugs freigegeben.
Wünscht die unter Kontrolle des Herstellers eingegebene berechtigte Person - es versteht sich, daß auch mehrere Master- Personen eingegeben sein können -, daß eine weitere Person zum Betreiben des Fahrzeugs berechtigt wird, so kann dies
entsprechend dem in Fig. 3 dargestellten Ablaufdiagramm geschehen:
Aus dem Ruhezustand des Systems heraus (Stufe 30) wählt die Master-Person eine der Bedientasten 14 an, mit der in Stufe 32 die Anweisung zur Weitergabe der Zugangsberechtigung an eine weitere Person eingegeben wird. In Stufe 34 fordert das System beispielsweise über das Display 10 die Master-Person zur Auswahl einer Voreinstellung auf, mit der der Hierarchie- level der Berechtigung bestimmt werden kann, d.h. ob die weitere Person den gleichen Berechtigungsumfang wie die Master- Person oder einen geringeren Berechtigungsumfang erhalten soll. Anschließend wird in Stufe 36 überprüft, ob die Master- Person ihren Finger auf das Sensorfeld 12 legt. Ist dies der Fall, so wird in Stufe 38 überprüft, ob das vom Sensorfeld 12 eingelesene Fingermuster mit einem gespeicherten Fingermuster übereinstimmt, um in Stufe 38 die Person zu identifizieren und festzustellen, ob es sich um eine Master-Person handelt. Ist dies der Fall, so wird in Stufe 40 die Anweisung zur Wei- tergabe der Zugangsberechtigung als berechtigt identifiziert und das System geht zur Stufe 42 über. Ist das nicht der Fall, so kehrt das System in seinen Ausgangszustand (Stufe 30) zurück.
Handelt es sich um eine berechtigte Anweisung zur Weitergabe der Zugangsberechtigung, so wird in Stufe 42 das Einlernen des neuen Berechtigten bzw. der anderen Person ausgelöst, die ihren Finger auf das Sensorfeld 12 auflegen muß, damit das Fingermuster eingelesen werden kann. In Stufe 44 wird ent- schieden, ob das Fingermuster des neuen Berechtigten einwandfrei eingelesen ist. Ist dies nicht der Fall, so kann nach Überprüfung, ob eine zur Eingabe zur Verfügung stehende Zeitdauer überschritten ist, in Stufe 46 der Finger in Stufe 48 erneut auf das Sensorfeld 12 gelegt werden und das System
geht wiederum zur Stufe 44 über. Ist die zulässige Zeitdauer überschritten, so kehrt das System zur Stufe 30 zurück.
Wenn in Stufe 44 festgestellt wird, daß das Fingermuster korrekt eingelesen ist, wird in Stufe 50 überprüft, ob eine Übergabezeitdauer vorgegeben ist, innerhalb derer ein neuer Berechtigter nach Stufe 32 eingelesen sein muß. Ist eine Übergabezeit vorgegeben, so wird in Stufe 52 deren Einhaltung überprüft. Falls die Zeit nicht eingehalten ist, kehrt das System zur Stufe 30 zurück. Falls die Zeit eingehalten ist, wird in Stufe 54 der neue Benutzer als zugangsberechtigt registriert und das System kehrt zur Stufe 30 zurück.
Wenn in Stufe 50 festgestellt wird, daß keine Übergabezeit vorgegeben ist (was in der Stufe 34 erfolgt ist) , so muß sich in Stufe 56 die Master-Person ähnlich wie in den Stufen 36 und 38 erneut identifizieren, woraufhin in Stufe 58 die Berechtigung zur Eingabe einer Anweisung zur Weitergabe der Zugangsberechtigung erneut überprüft wird. Bei positivem Ergeb- nis der Überprüfung geht das System zur Stufe 54 über, wo der neue Benutzer als zugangsberechtigt erkannt wird. Erfolgt die erneute Verifikation in Stufe 56 nicht mit positivem Ergebnis in Stufe 58, so kehrt das System zur Stufe 30 zurück, ohne daß die Zugangsberechtigung des neuen Nutzers anerkannt ist.
Wenn in Stufe 36 die Master-Person ihren Finger nicht auf das Sensorfeld 12 auflegt, so werden in den Stufen 60 und 62 der Hierarchielevel der Berechtigung sowie die Einschränkung der Berechtigung eingegeben, wobei diese Eingaben gegebenenfalls unter optischer Anleitung mittels des Display 10 erfolgen können.
In Stufe 64 muß nach der Eingabe der Beschränkungen die Master-Person ihren Finger auf das Sensorfeld 12 auflegen. Geschieht dies, so springt das System in Stufe 38. Geschieht
dies nicht, so erfolgt über das Display 10 in Stufe 66 die Aufforderung, den Finger aufzulegen. Wird in Stufe 68 der Finger anschließend aufgelegt, so springt das System zur Stufe 38. Wird er nicht aufgelegt, so wird in Stufe 70 über- prüft, ob eine Eingabezeitdauer überschritten ist. Ist dies nicht der Fall, so erfolgt eine erneute Aufforderung gemäß Stufe 66. Ist dies der Fall, so kehrt das System in seinen Ruhezustand gemäß Stufe 30 zurück.
Beispiele für die in Stufe 60 anzuwählenden Hierarchielevels sind:
Der Neubenutzer wird
- eine neue Master-Person mit der Möglichkeit zur Weitergabe von Benutzungsrechten, eine Master-Person mit Werkstattzugriff und Zugriff auf die Schnittstelle zu einer Wegfahrsperre des Fahrzeugs, - eine Master-Person mit der Möglichkeit, andere Benutzer zu löschen.
Der Neubenutzer
- kann den Immobilizer zum Starten des Motors freigeben (eine solche herkömmliche Wegfahrsperre kann mit konventionellen Identifizierungsmitteln angesteuert werden, die einzelne Personen haben) , hat Zugriff auf elektrische Geräte im Fahrzeug, - hat eine beschränkte Auswahl von Türen und Klappen (kann z.B. nicht den Kofferraum oder den Tankdeckel betätigen) .
Mögliche Arten der Einschränkung der Stufe 62 sind:
Unbeschränkte Nutzung bis der neue Benutzer von einer Master-Person mit Löschzugriff gelöscht wird, Zeitliche Beschränkung (keine Beschränkung, 1 Tag, 1 Stunde usw. ) , - Streckenbeschränkung (unbeschränkt, 100 km, 50 km) , Anzahl der Startvorgänge beschränkt oder Geographische Beschränkung (z.B. über Interface zu einem GPS-System) .
Sowohl die hierarchischen Levels als auch die Arten der Einschränkung können in vielfältiger Weise modifiziert werden.
Mögliche typische Voreinstellungen, die unmittelbar über Tasten angewählt werden können, sind beispielsweise:
Berechtigung, 12 Stunden mit dem Fahrzeug zu fahren ohne Zugriff auf irgendwelche Master-Funktionen und ohne Zugriff auf den Kofferraum; die Benutzungsweitergabe läuft zeitgesteuert; der neue Nutzer hat 5 Minuten Zeit, um sich im Fahrzeug anzu- melden; nach einer Fahrtstrecke von 5 Kilometern verliert der neue Nutzer seine Berechtigung.
Bei Mietwagen kann eine typische Einschränkung darin bestehen, daß der neue Benutzer mit dem Fahrzeug 28 Stunden fahren kann, keinen Zugriff auf Master-Funktionen hat, den Kofferraum benutzen kann. Der neue Benutzer hat 15 Minuten Zeit, um sich im Fahrzeug anzumelden.
Für Kinder ist eine typische Einschränkung, daß lediglich Zu- griff auf alle Türen und elektrische Geräte besteht, jedoch kein Motorstart möglich ist.
Eine typische private Beschränkung für Kinder mit Führerschein liegt beispielsweise in einer Kilometerbeschränkung auf 200 Kilometer.
Für Werkstattaufenthalte kann es vorteilhaft sein, eine Übergabezeit von 24 Stunden einzustellen, während der sich mehrere Benutzer anmelden bzw. identifizieren und dadurch Fahr- berechtigung haben.
Auch das Ablaufdiagramm der Fig. 3 kann in vielfältiger Weise geändert werden; beispielsweise können die Stufen 56 und 58 entfallen oder weitere Stufen eingebaut sein. Um aus der Stu- fe 30 herauszukommen, kann bereits dort eine Berechtigungsüberprüfung durch Auflegen des Fingers erforderlich ist.
Die Bedieneinheit, die im dargestellten Beispiel in das Chassismodul 8 integriert ist, kann auch als eigene Eingabe- einheit ausgebildet sein, die im Fahrzeug fest angeordnet ist oder mitgenommen werden kann. Die Mitnehmbarkeit der Eingabeeinheit hat den Vorteil, daß eine beispielsweise kranke Master-Person die Zugangsberechtigung an weitere Personen weitergeben kann. Es versteht sich, daß bei mitnehmbarer Ein- gabeeinheit große Umfange des Steuergerätes 2 in die Eingabeeinheit integriert sind und durch entsprechende Codierungen sichergestellt ist, daß die Eingabeeinheit nur für das jeweilige Fahrzeug verwendet werden kann.
Das personenindividuelle, biometrische Merkmal, mit dem die Berechtigung einer Person erkannt wird, muß nicht notwendigerweise das Hautrillenbild (Fingerabdruck) eines Fingers sein. Von dem Sensorfeld 12 kann optisch beispielsweise die Augenpartie der Person erfaßt werden. Anstatt des Sensorfel- des 12 kann auch mit einem Mikrofon gearbeitet werden, das die Sprache des Benutzers individuell erkennt usw..
Die Zugangs- bzw. Berechtigungskontrolle kann derart ausgebildet sein, daß biometrische Daten nur zum Losfahren verwen- det werden. Auf diese Weise muß kein von außerhalb des Fahr-
zeugs zugängliche Sensorfeld vorgesehen sein. Die Zugangskontrolle erfolgt dann konventionell über Schlüssel, Fernsteuerung, Karte usw., ggf. unter Ausrüstung mit einem Transponder .