-
Die
vorliegende Erfindung betrifft ein Verfahren zum Vorsehen einer
automatischen Sicherheitsüberprüfung. Die
Erfindung ist insbesondere, aber nicht ausschließlich, in Zusammenhang mit
der Sicherheit von Computern nützlich,
auf die über
Telekommunikationsverbindungen zugegriffen wird.
-
Auf
der grundlegendsten Ebene umfasst das Vorsehen einer Sicherheitsüberprüfung eine
Person, die nur Personen passieren lässt, die sie erkennt. Jedoch
wird dieses grundlegende System undurchführbar, wenn eine so große Anzahl
von Personen autorisiert ist, dass es nicht möglich ist, dass jede von ihnen
von der Person erkannt wird, welche die Sicherheitsüberprüfung vorsieht.
Aus diesem Grund werden derartige Überprüfungen oft durch Ausgabe einer
tragbaren Vorrichtung an all die Personen implementiert, die zum
Passieren der Überprüfung autorisiert
sind, die anzeigt, dass sie autorisiert sind. Um zu verhindern,
dass die tragbaren Vorrichtungen von anderen Personen als denen,
an die sie ausgegeben wurden, verwendet werden, können die
tragbaren Vorrichtungen spezifisch für die Person gemacht werden.
Zum Beispiel können
die Vorrichtungen mit einer Fotografie der autorisierten Person
versehen werden oder von der autorisierten Person signiert werden.
Ein Beispiel für
ersteres ist ein Pass, der eine Fotografie seines Besitzers aufweist,
und ein Beispiel des letzteren ist eine Scheckgarantiekarte, die
von dem Besitzer signiert wird. Vorausgesetzt eine Person entscheidet,
dass es eine ausreichende Ähnlichkeit
zwischen der Fotografie und dem Äußeren der
Person oder zwischen der Signatur der Person und der Signatur auf
der Karte gibt, wird dem Besitzer des Passes oder der Scheckgaran tiekarte
erlaubt, die relevante Sicherheitsüberprüfung zu passieren, um in den
gegebenen Beispielen eine nationale Grenze zu überschreiten oder Geld von
einem Konto abzuheben.
-
In
vielen Fällen
ist es wünschenswert,
das Vorsehen einer Sicherheitsüberprüfung zu
automatisieren. Dies wird normalerweise erreicht, indem jedem autorisierten
Benutzer eine Datensequenz zugewiesen wird, die dieser sich merken
muss. Zum Beispiel kann einem Besitzer eines Bankkontos eine persönliche Geheimzahl
(PIN – personal
identification number) zugewiesen werden und einer Person, die autorisiert
ist, auf einen Computer zuzugreifen, kann ein Passwort zugewiesen
werden.
-
Vor
kurzem wurden Sicherheitsüberprüfungen entwickelt,
die eine Erfassung von Daten beinhalten, die zumindest zum Teil
von einer Biometrik abhängig
sind, d.h. ein statistisches oder quantitatives Maß eines
biologischen Merkmals einer Person. Zum Beispiel offenbart das U.S.-Patent
Nr. 5,291,560 eine Vorrichtung, welche das Auge einer Person abbildet,
um Daten zu erhalten, welche die von seiner Iris gezeigte räumliche
Helligkeitsverteilung darstellen; sie konvertiert diese Bilddaten
in einen „Iris-Code", der dann mit gespeicherten
Iris-Codes von autorisierten Benutzern verglichen wird. Die Erfassung von
anderen Biometriken, wie Signaturen und Fingerabdrücke, wurde
vorgeschlagen. Zum Beispiel offenbart das U.S.-Patent 4,993,068
ein nicht zu fälschendes
persönliches
Identifizierungssystem, das codierte Einwegversionen von biometrischen
Berechtigungsnachweisen (Aufnahme eines Gesichts, Scan einer Netzhaut,
Stimm- und Fingerabdrücke) erzeugt
und diese Berechtigungsnachweise (credentials) auf einer tragbaren
Speichervorrichtung in der Größe einer
Kreditkarte speichert. An einem entfernten Zugangsort präsentiert
der Benutzer die Vorrichtung und die Berechtigungsnachweise werden
gelesen. Der Benutzer gibt dann physikalisch sei ne Biometriken in
dem entfernten Ort ein und ein Vergleich mit den von einer Speichervorrichtung
erhaltenen Berechtigungsnachweisen wird durchgeführt.
-
Es
entsteht ein Problem, wenn die in einer automatischen Sicherheitsüberprüfung verwendete Datensequenz
in den Besitz einer nicht autorisierten Person kommt, da er oder
sie dann die Datensequenz verwenden kann, um die Sicherheitsüberprüfung zu überwinden.
-
Ein
Weg, über
den die Sicherheitsüberprüfung überwunden
werden kann, ist, wenn eine nicht autorisierte Person, die ein Passwort,
eine PIN oder einen Iris-Code eines autorisierten Benutzers erlangt,
wenn diese über
eine Kommunikationsverbindung übertragen
werden, wenn der Benutzer eine Sicherheitsüberprüfung zu passieren versucht.
Das Passwort, die PIN oder der Iris-Code kann dann anschließend von
der nicht autorisierten Person nochmals gesendet werden, um ihm
ein Passieren der Sicherheitsüberprüfung zu
ermöglichen.
Der Begriff „Kommunikationsverbindung" soll hier Telefonleitungen
(Kupferkabel oder Glasfaser), Funk- oder andere drahtlose Kommunikationsverbindungen,
jede Verkabelung zwischen elektronischen Vorrichtungen in getrennten
Gehäusen
und andere ähnliche
Typen von Verbindungen umfassen. Eine derartige Verkabelung kann
unter Verwendung einer Aufzeichnungsvorrichtung, die an der Kommunikationsverbindung
angebracht ist, oder eventuell durch Überwachen von elektromagnetischer
Strahlung überwacht
werden, die von der Verbindung ausstrahlt.
-
Ein ähnliches
Problem entsteht, wenn eine tragbare Vorrichtung mit einer darauf
gespeicherten Datensequenz, die von autorisierten Benutzern mitgeführt wird, – z.B. eine
auf einer Bankkarte gespeicherte PIN – gestohlen und gelesen wird.
-
Ein
standardmäßiger Ansatz
für diese
Probleme ist, das Passwort oder die PIN unter Verwendung eines Verschlüsselungsalgorithmus
zu codieren. Jedoch verlassen sich viele kommerzielle Systeme auf
Verschlüsselungstechniken,
von denen bekannt ist, dass sie durch einen kompetenten Kryptoanalyse-Spezialist
angreifbar sind. Darüber
hinaus stützt
sich die empfundene Sicherheit von fortschrittlicheren Verschlüsselungstechniken,
wie eine RSA-Verschlüsselung,
auf einer zugrunde liegenden Annahme, dass bestimmte mathematische
Operationen rechnerisch unmöglich
durchführbar
sind.
-
Es
ist auch bekannt, eine Datensequenz unter Verwendung einer so genannten
Einweg-Hash-Funktion zu verarbeiten. Die Funktion verarbeitet die
Datensequenz, um eine verkürzte
Datensequenz zu liefern, die ausreichend ist, um von der Datensequenz „einen
Fingerabdruck zu machen (fingerprint)". Zum Beispiel kann das Problem eines Speicherns
von Passwörtern
auf einem zentralen Server vermieden werden, indem stattdessen die verkürzten Datensequenzen
gespeichert werden, die das Ergebnis einer Bearbeitung der Passwörter unter Verwendung
einer Einweg-Hash-Funktion sind – wenn die verkürzten Datensequenzen übereinstimmen,
ist es angemessen anzunehmen, dass ein gültiges Passwort von dem Benutzer
eingegeben wurde. Dies ermöglicht
das Vorsehen einer Passwort-Sicherheit, ohne einer Speicherung der
Passwörter selbst
auf dem zentralen Server zu erfordern.
-
Sowohl
die Verschlüsselungsalgorithmen
als auch die Einweg-Hash-Funktionen
enthalten einen signifikanten Verarbeitungs-Overhead, und keiner der
beiden kann eine Sicherheit garantieren. Der Verarbeitungs-Overhead
ist in kommerziellen Systemen unerwünscht, da er sowohl die Rate
reduziert, mit der Daten übertragen
werden können,
als auch die Kosten von Einrichtungen erhöht.
-
Gemäß einem
Aspekt der vorliegenden Erfindung ist vorgesehen ein Verfahren zum
Vorsehen einer automatischen Sicherheitsüberprüfung, wobei dieses Verfahren
die Schritte aufweist: Betreiben einer Benutzerdaten-Erfassungsvorrichtung,
um:
- (a) von einem Benutzer, der die Sicherheitsüberprüfung zu
passieren versucht, einen Benutzer-Datensatz zu erlangen;
- (b) einen Benutzer-Teildatensatz zu erzeugen, wobei das Erzeugen
die Auswahl aus einem Benutzer-Datensatz umfasst, wobei die Auswahl zwischen
Versuchen, die Sicherheitsüberprüfung zu
passieren, variiert;
Übertragen
des Teildatensatzes über
eine Kommunikationsverbindung an eine Authentisierungsvorrichtung,
die betriebsfähig
ist, einen akzeptablen Datensatz oder mehrere akzeptable Datensätze zu liefern;
und
Betreiben der Authentisierungsvorrichtung, um den Benutzer-Teildatensatz mit
dem akzeptablen Datensatz zu vergleichen, um festzustellen, ob der
Benutzer eine zum Passieren der Sicherheitsüberprüfung autorisierte Person ist.
-
Gemäß einem
zweiten Aspekt der vorliegenden Erfindung ist vorgesehen eine tragbare
Vorrichtung, die verwendet wird, um einer autorisierten Person das
Passieren einer Sicherheitsüberprüfung zu ermöglichen,
wobei die Vorrichtung Speichermittel aufweist, die einen akzeptablen
Datensatz mit Elementen speichern, die aus einem zu der autorisierten Person
gehörenden
Benutzer-Datensatz gewählt werden,
wobei keines der verbleibenden Elemente in dem Benutzer-Datensatz codiert
wird.
-
Durch Übertragungen
von Daten, die auf ausgewählten
Elementen aus einem größeren zu
einer oder mehreren autorisierten Personen) gehörenden Benutzer-Datensatz basieren,
und wenn der Rest der Benutzerdaten nicht aus den übertragenen Daten
erlangt werden kann, kann eine Sicherheit nach einer Sicherheitslücke durch Ändern der
Eigenschaft der Auswahl wiederhergestellt werden, ohne den großen Benutzer-Datensatz
selbst zu ändern.
-
Auf
eine ähnliche
Weise kann durch Speichern von nur ausgewählten Elementen aus einem größeren zu
einer oder mehreren autorisierten Personen) gehörenden Benutzer-Datensatz auf
einer tragbaren Vorrichtung eine Sicherheit des Systems wiederhergestellt
werden, auch wenn die tragbare Vorrichtung gestohlen wird, durch
Ausgabe einer weiteren tragbaren Vorrichtung an den autorisierten Benutzer,
die eine andere Auswahl von Elementen aus dem größeren Benutzer-Datensatz aufweist.
Die Vorrichtung, die mit der tragbaren Vorrichtung zusammenwirkt,
um die Sicherheitsüberprüfung vorzusehen,
kann dann neu konfiguriert werden, um nur die neue Auswahl aus dem
größeren Benutzer-Datensatz
zu akzeptieren. Auf diese Weise kann eine Sicherheit wiederhergestellt
werden, ohne dass der größere Benutzer-Datensatz
selbst geändert
werden muss. Dies ist wichtig in Bezug auf viele Biometriken, da
sie bleibende biologische Charakteristiken einer Person darstellen
und somit nicht einfach verändert werden
können.
-
Ferner
erfordert die in der vorliegenden Erfindung durchgeführte Auswahl
weniger Verarbeitung als komplexere Einweg-Hash-Funktionen. Die Komplexität von Einweg-Hash-Funktionen
macht es schwierig, nachzuweisen, dass die ursprüngliche Datensequenz nicht
aus der verkürzten
Datensequenz erlangt werden kann, wohingegen eine einfache Auswahl
von m Elementen aus einem Datensatz mit n unabhängigen Elementen (wobei n > m) offensichtlich
eine abhörende Person
daran hindert, die ursprüngliche
Datensequenz herzustellen. Wesentlich ist, dass die von einem bestimmten
Benutzer erlangten Benutzerbiometrik-Datensätze aufgrund einer Variation
des gemessenen biologischen Merkmals des Benutzers oder Variationen
in dem Messvorgang selbst leicht variieren können. Da nur gering unterschiedliche
Benutzerbiometrik-Datensätze
zu signifikant unterschiedlichen Hashes dieser Sätze führen können, ist ein Vergleich mit
Hashes von akzeptablen biometrischen Datensätzen sehr problematisch.
-
Vorzugsweise
weist das Verfahren den Schritt des automatischen Änderns des
Auswahlvorgangs bei der Erlangung des Benutzer-Teildatensatzes auf, in Abhängigkeit
von der Zeit (zum Beispiel der Übertragung).
Dieses Merkmal hat das Ergebnis, dass eine abhörende Person, welche die Teildatensequenz
nochmals sendet, die sie vorher abgefangen hat, weniger wahrscheinlich
die Sicherheitsüberprüfung überwinden
kann. Die Abhängigkeit
von der Zeit der Übertragung
kann eine Abhängigkeit
von der Tageszeit oder dem Datum sein oder die Auswahl kann gemäß einer
pseudo-zufälligen
Sequenz gemacht werden, die von der Benutzerdaten-Erfassungsvorrichtung
und der Authentisierungsvorrichtung synchron befolgt wird.
-
In
einigen Ausführungsbeispielen
kann die Eigenschaft der Auswahl der Benutzerdaten-Erfassungsvorrichtung
durch die Übertragung
eines Signals von der Authentisierungsvorrichtung an diese Vorrichtung
angezeigt werden. Ein derartiges Verfahren kann eine effizientere
Implementierung einer Vorrichtung ermöglichen, die das Verfahren
der vorliegenden Erfindung ausführt.
-
Wenn
die Benutzerdaten, die codiert werden, eine Biometrik darstellen,
dann wird die Sicherheit erhöht,
da Biometriken von Natur aus zumindest zum Teil von den biologischen
Merkmalen von autorisierten Benutzern abhängen. Somit müssen sie
nicht auswendig gelernt werden. Ein besonderer Vorteil der eine
Biometrik darstellenden Benutzerdaten liegt darin, dass Biometriken
darstellende Datensätze
typischerweise eine große
Anzahl von unabhängigen Datenelementen
aufweisen und somit besonders geeignet sind zur Verwendung mit dem
Verfahren der vorliegenden Erfindung.
-
Wenn
die gewählte
Biometrik zum Beispiel eine Bild-Biometrik ist, z.B. eine Biometrik,
welche das Aussehen des Gesichts des Benutzers oder die räumliche
Helligkeitsverteilung über
seine Iris darstellt, ist es nicht erforderlich, dass der Benutzer
in einen physikalischen Kontakt mit der Benutzerdaten-Erfassungsvorrichtung
tritt. Dadurch wird die Benutzerdaten-Erfassungsvorrichtung einfacher
zu benutzen und eine schnellere Verarbeitung von Sicherheitsüberprüfungen wird
möglich.
-
Ein
besonderer Vorteil der Verwendung des Helligkeitsmusters einer Iris
der Irise des Benutzers liegt darin, dass die Iris eine eindeutigere
Identifizierung als ein Fingerabdruck ist und ohne unakzeptables
Risiko für
jeden möglichen
Betrüger
fast unmöglich
zu verändern
ist.
-
Zusätzlich zu
Obigem kann der Benutzer-Teildatensatz vor einer Übertragung
codiert werden. Wie oben vorgeschlagen, ist die Technik der vorliegenden
Erfindung robuster als eine einfache Verschlüsselung, da, auch wenn der
Benutzer-Teilsatz decodiert würde,
der vollständige
Benutzer-Datensatz der Person, welche die Sicherheitsüberprüfung zu überwinden
versucht, nicht zur Verfügung
stehen würde.
-
Gemäß einem
dritten Aspekt der vorliegenden Erfindung ist vorgesehen: ein Sicherheitsüberprüfungs-Endgerät, mit einer
Benutzerteildaten-Erfassungsvorrichtung, die betriebsfähig ist,
um:
- (a) von einem Benutzer, der die Sicherheitsüberprüfung zu
passieren versucht, einen Benutzer-Datensatz zu erlangen; und
- (b) einen Benutzer-Teildatensatz aus dem Benutzer-Datensatz
zu erzeugen, wobei das Erzeugen die Auswahl von einigen, aber nicht
allen Elementen aus dem Benutzer-Datensatz umfasst.
-
Durch
Vorsehen eines Endgeräts,
das nur einen Benutzer-Teildatensatz überträgt, wird
die Sicherheit erhöht,
da eine abhörende
Person, die ein von dem Endgerät
ausgegebenes Signal abhört,
keine Kenntnis des vollständigen
Benutzer-Datensatzes erlangen kann. Somit wird die Sicherheit eines
Kommunikationsnetzwerks mit einem oder mehreren Endgeräten) erhöht. Das
Endgerät
kann auch mit einer Auswahlfähigkeit
versehen werden, ohne signifikant seine Kosten zu erhöhen oder
seine Geschwindigkeit zu verringern.
-
Vorzugsweise
ist die Benutzerteildaten-Erfassungsvorrichtung betriebsfähig, einen
Benutzer-Datensatz zu erfassen, und ist direkt mit einem oder mehreren
Verarbeitungsmittel(n) verbunden, das/die betriebsfähig ist/sind,
Elemente aus dem Benutzer-Datensatz auszuwählen, um einen Benutzer-Teildatensatz
zu erzeugen.
-
Durch
Bereitstellen einer direkten Verbindung zwischen der Erfassungsvorrichtung
und den Verarbeitungsmitteln wird die Sicherheit jeglicher Kommunikation
des Benutzer-Datensatzes erhöht. Zum
Beispiel kann die Erfassung des Benutzer-Datensatzes und die Verarbeitung
in derselben integrierten Schaltung stattfinden.
-
Um
ein Endgerät
vorzusehen, das auch als ein Endgerät zur Sicherheitsüberprüfung in
einer Situation nützlich
ist, in der ein hoher Grad an Sicherheit nicht erforderlich ist,
kann die Vorrichtung weiter aufweisen:
eine Lesevorrichtung
zum Lesen eines akzeptablen Datensatzes, der auf einer tragbaren
Vorrichtung gespeichert ist, wobei die tragbare Vorrichtung Speichermittel
aufweist, die einen akzeptablen Datensatz speichern, der aus einigen,
aber nicht allen Elementen eines Datensatzes erlangt wird, der zu
einem autorisierten Benutzer gehört;
ein Vergleichsmittel zum Vergleichen des Benutzer-Teildatensatzes
mit dem akzeptablen Datensatz; und
ein Authentizitätssignal-Erzeugungsmittel,
das betriebsfähig
ist, ein Signal zu erzeugen, das auf der Grundlage des von dem Vergleichsmittel
durchgeführten
Vergleichs anzeigt, ob der Benutzer eine autorisierte Person ist.
-
Eine
derartige Vorrichtung kann als „Point of Sale" ("Ort des Verkaufs")-Vorrichtung verwendet werden.
Dann kann, um eine Transaktion zu autorisieren, die den Transfer
von beispielsweise weniger als fünfzig
Pfund betrifft, der Vergleich durchgeführt werden zwischen der erfassten
Benutzer-Teildaten und dem akzeptablen Datensatz, der auf der tragbaren
Vorrichtung gespeichert ist (in herkömmlichen Systemen ist dies
normalerweise eine Kreditkarte, die einen magnetischen Streifen
mit gespeicherten Daten aufweist), ohne dass eine Kommunikation
mit einer Authentisierungsvorrichtung erforderlich ist.
-
Jedoch
sind derartige Endgeräte
für nicht
autorisierte Personen leichter zugänglich als die zentral verwaltete
Authentisierungsvorrichtung und deswegen weist die Vorrichtung ferner
auf einen Eingang zur Eingabe eines Signals von der Authentisierungsvorrichtung,
das anzeigt, wie der Benutzer-Teildatensatz aus dem Benutzer-Datensatz erlangt
wird, und einen Ausgang zur Ausgabe des derart erlangten Benutzer-Teildatensatzes
an die Authentisierungsvorrichtung.
-
Gemäß einem
vierten Aspekt der vorliegenden Erfindung ist eine Authentisierungsvorrichtung vorgesehen,
mit:
einem Benutzer-Teildatensatz-Eingabemittel;
einem
Authentisierungssignal-Ausgabemittel;
einem Speichermedium
oder mehreren Speichermedien, die gespeichert haben einen gespeicherten
Datensatz oder mehrere gespeicherte Datensätze und prozessorlesbaren Code,
der zur Verifizierung ausführbar
ist, dass ein entfernter Benutzer eine autorisierte Person ist,
wobei der Code aufweist:
Benutzer-Teildatensatz-Eingabecode,
der ausführbar
ist, um einen Benutzer-Teildatensatz über die Eingabemittel zu lesen;
„akzeptabler
Datensatz"-Erfassungscode,
der ausführbar
ist, um einen akzeptablen Datensatz oder mehrere akzeptable Datensätze auf
der Grundlage eines oder mehrerer der gespeicherten Datensätze vorzusehen;
Datensatz-Vergleichscode,
der zur Feststellung ausführbar
ist, ob der Benutzer-Teildatensatz und der akzeptable Datensatz
ausreichend ähnlich
sind, um zu verifizieren, dass der entfernte Benutzer eine autorisierte
Person ist; und
Authentisierungssignal-Erzeugungscode, der
zu veranlassen ausführbar
ist, dass ein Authentisierungssignal über die Ausgabemittel ausgegeben
wird, wenn die Datensätze
ausreichend ähnlich
sind.
-
Gemäß einem
fünften
Aspekt der vorliegenden Erfindung ist vorgesehen ein Kommunikationsnetzwerk,
mit:
einer oder mehreren Authentisierungsvorrichtung(en) gemäß dem vierten
Aspekt der vorliegenden Erfindung;
einem oder mehreren Endgeräten) zur
Sicherheitsüberprüfung gemäß dem dritten
Aspekt der vorliegenden Erfindung; und
einer oder mehreren
Datenkommunikationsverbindung(en) zwischen den Authentisierungsvorrichtungen
und den Endgeräten.
-
Ausführungsbeispiele
der vorliegenden Erfindung werden nun auf beispielhafte Weise unter Bezugnahme
auf die folgenden Zeichnungen beschrieben, wobei:
-
1 ein
erstes Ausführungsbeispiel
der vorliegenden Erfindung betrifft und schematisch einen Computer
eines Benutzers darstellt, der mit einem Firmenserver über einen
dazwischenliegenden Routing-Computer
verbunden ist;
-
2 eine
schematische Darstellung einer Bilderfassungsvorrichtung zur Verwendung
in Zusammenhang mit dem ersten Ausführungsbeispiel ist;
-
3 ein
schematisches Diagramm ist, das eine mögliche Hardware-Architektur für die Bilderfassungsvorrichtung
darstellt;
-
4 ein
Ablaufdiagramm einer entfernten Login-Operation ist, die auf der
Vorrichtung von 1 durchgeführt wird;
-
5 ein
Ablaufdiagramm ist, das den Schritt der Erfassung und Übertragung
des Iris-Codes von 4 darstellt;
-
6 ein
zweites Ausführungsbeispiel
der vorliegenden Erfindung betrifft und ein Kommunikationsnetzwerk
zur Verwendung durch ein Finanztransaktions-Dienstleistungsunternehmen
zeigt;
-
7 zusätzliche
Elemente zeigt, die in ein „Point
of Sale"-Endgerät in dem
Kommunikationsnetzwerk integriert würden;
-
8 ein
Ablaufdiagramm ist, das den Betrieb der Elemente des zweiten Ausführungsbeispiels der
vorliegenden Erfindung bei der Verwendung in Zusammenhang mit einer
finanziellen Transaktion von geringem Wert zeigt;
-
9 ein
Ablaufdiagramm ist, das den Betrieb der Elemente des Netzwerks bei
der Verwendung in Zusammenhang mit einer finanziellen Transaktion
von höherem
Wert zeigt; und
-
10 ein
Ablaufdiagramm ist, das eine weitere Reihe von Operationen zeigt,
die zusätzlich
befolgt werden, um die Gewissheit der Authentisierung des Benutzers
zu erhöhen.
-
1 zeigt
den Personalcomputer (PC) 10 eines Benutzers, der zusätzlich zu
herkömmlichen Eingabe/Ausgabe-Vorrichtungen
und zugehörigen Schnittstellen
einen Infrarot-Empfänger 22 und
Sender 23 und eine Infrarot-Signal-Schnittstellen-Karte (nicht
gezeigt) aufweist. Diese zusätzlichen
Komponenten ermöglichen
eine Kommunikation von Daten zwischen dem Benutzer-PC 10 und
einer Bilderfassungsvorrichtung 12.
-
Der
PC 10 des Benutzers ist über ein Modem 14 und
eine Telekommunikationsleitung 16 mit einem dazwischenliegenden
Routing-Computer 18 verbunden,
der Signale von dem PC 10 des Benutzers an einen Server 20 leitet.
Der Server 20 kann zum Beispiel einem Unternehmen gehören und
Speichermittel aufweisen, die Dateien enthalten, die von signifikantem Wert
für das
Unternehmen sind. Wenn jedoch der Benutzer des PCs 10 ein
Angestellter dieses Unternehmens ist, dann hat die Bereitstellung
einer Kommunikationsverbindung zwischen dem PC 10 und dem Server 20 den
Vorteil, dass der Angestellte von Zuhause aus arbeiten kann.
-
Eine Übertragung
von Daten zwischen der Bilderfassungsvorrichtung 12 und
dem Benutzer-PC 10 umfasst weder eine Verschlüsselung
noch das Verfahren der vorliegenden Erfindung, da diese Verbindung
in Vergleich zu der Telekommunikationsleitung 16 als relativ
sicher angesehen wird. Anlass zur Sorge gibt der Routing-Computer 18,
der so genannte „Sniffer"-Programme ausführen kann,
um Passwörter
oder Ähnliches
zu speichern, wenn sie an den Server 20 übertragen
werden.
-
Im
Detail befindet sich die Bilderfassungsvorrichtung (12 und 2)
in einem geeigneten Gehäuse 126.
Ein Benutzer positioniert sein Auge 110, indem er sein
Gesicht auf geeignete Weise gegen eine Öffnung für das Auge (Augenmuschel) 115 an einem
hinteren Fenster 120 des Gehäuses 126 platziert.
Die Augenmuschel wirkt sowohl als ein Mittel zum Minimieren der
Menge von Umgebungslicht, das in die Vorrichtung eindringt, als
auch als das Mittel zum Ausrichten des Auges des Benutzers mit dem Fenster.
-
Die
Augenmuschel 115 ist an einer in dem Gehäuse 126 ausgebildeten
Hülse 130 befestigt,
die einen festen Abstand zwischen dem Auge 110 und einer
Fixfokus-Kamera mit ladungsgekoppeltem Speicher (CCD – charge
coupled device) 135 bildet. Die Hülse 130 liefert eine
Sichtlinie für
den Benutzer, von dem hinteren Fenster 120 zu einem vorderen Fenster 140 durch
das Gehäuse 126.
-
Der
optische Pfad zwischen dem Auge 110 und der Kamera 135 begrenzt
einen Winkel von 90° aufgrund
eines teilweise reflektierenden Spiegels 145, der in einem
Winkel von 45° zu
der Sichtlinie durch die Hülse 130 angeordnet
ist.
-
Eine
Infrarot-(IR)-Beleuchtungsquelle 150 befindet sich zwischen
dem Spiegel 145 und dem Auge 110, um das Auge
zu beleuchten. Die Quelle hat eine zugehörige Abschirmung 155,
um zu verhindern, dass das IR-Licht von der Quelle 150 direkt über den
Spiegel 145 zu der Kamera 135 geht.
-
Ein
IR-Sender 160 und -Empfänger 162 befinden
sich in Linie mit der Sichtlinie durch die Hülse 130 an der Vorderseite
des Gehäuses 126,
und ein Auslöseknopf 165 befindet
sich an dem Gehäuse, damit
der Benutzer steuern kann, wann das Bild seiner Iris erfasst wird.
-
Die
Vorderseite der Hülse 130 umfasst
einen IR-Filter 170, um die Menge von IR-Streustrahlung
zu minimieren, die in die Vorrichtung eindringt. Die CCD-Kamera 135 ist
vor sichtbarem Streulicht durch einen Filter 175 für sichtbares
Licht geschützt,
der zwischen der Kamera und der Hülse angeordnet ist. Die CCD-Kamera
ist eine standardmäßige Schwarz-Weiß-Kamera,
die auch auf optische IR-Strahlung
empfindlich ist.
-
Die
Vorrichtung umfasst auch geeignete elektronische Schaltungen 180,
die in dem Gehäuse enthalten
sind (detaillierter in Bezug auf 3 beschrieben).
-
Eine
in der Hülse
positionierte optische Anzeige 185 weist eine rote Leuchtdiode
(LED – light-emitting
diode) und eine grüne
Leuchtdiode auf, die sich in dem Sichtfeld des Benutzers befinden.
-
Der
teilweise reflektierende Spiegel 145 weist eine Glasscheibe
mit einer Oberflächenbeschichtung
auf, die optische IR- und Infrarotnahe (NIR – near-infrared) Strahlung
reflektiert und sichtbares Licht durchlässt. Scheiben dieses Typs sind manchmal
als wärmereflektierende
Filter oder „hot-mirrors" bekannt. Ein Vorteil
dieses Spiegeltyps liegt darin, dass zumindest bis zu einem gewissen Grad
der Spiegel auch als ein Filter für IR-Strahlung, die das Auge
erreicht, und für
sichtbares Licht, das die Kamera erreicht, wirkt.
-
Die
gesamte Größe der Vorrichtung
hängt hauptsächlich ab
von der Größe der Öffnung für das Auge 120 und
von dem von einem Benut zer der Vorrichtung erforderlichen Grad an
Komfort und einfacher Handhabung. Die Hardware für die Vorrichtung ist auf einem
einzelnen anwendungsspezifischen Schaltkreis (ASIC – application-specific
integrated circuit) entwickelt, wobei dessen Größe kein begrenzender Faktor
für die
Größe der Vorrichtung
ist. Ebenso können
bekannte CCD-Kameras Abmessungen im Bereich von Millimetern aufweisen
und sind auch kein begrenzender Faktor für die Größe der Vorrichtung.
-
3 zeigt
eine mögliche
Anordnung einer Hardware-Architektur für die Schaltungen 180.
Wie bereits erwähnt,
ist die Hardware zur Verarbeitung vorzugsweise auf einem einzelnen
ASIC konstruiert. Die Vorrichtung wird von einem Prozessor 200 gesteuert,
der eine in dem Festspeicher (ROM – read-only memory) 205 gespeicherte
Software ablaufen lässt.
Die Software in dem ROM 205 ist ausführbar, um auf Bilddaten, die
von der CCD-Kamera 135 aufgenommen wurden, unter Verwendung
der in dem U.S. Patent Nr. 5,291,560 beschriebenen Algorithmen zu
arbeiten, wodurch ein Iriscode mit 256 Bytes erzeugt wird. Der Prozessor 200 ist über einen Bus 210 mit
dem ROM 205, einem Block des Arbeitsspeichers (RAM – random
access memory) 215 und einer Ein-/Ausgabe(E/A)-Steuereinrichtung 220 verbunden.
Der RAM ist groß genug,
um zumindest ein erfasstes Bild eines Auges zu speichern. Die E/A-Steuereinrichtung 220 ist über geeignete
Schaltungen und Treiber (nicht gezeigt) mit dem IR-Sender 160 und
-Empfänger 162,
der CCD-Kamera 135, dem Auslöser 165, der IR-Beleuchtungsquelle 150 und
der optischen Anzeige 185 verbunden. Die gesamte Vorrichtung
wird von einer geeigneten Batterie (nicht gezeigt) betrieben.
-
Der
Prozessor 200 reagiert auf Signale, die er von dem Auslöser 165,
dem IR-Empfänger 162 und
der CCD-Kamera 135 empfängt.
Ebenso steuert der Prozessor den IR-Sender 160, die IR-Beleuchtungsquelle,
den Betrieb der CCD-Kamera und die optische Anzeige 185.
-
Der
Infrarot-Empfänger 22 und
-Sender 23 sind außen
an dem PC 10 des Benutzers angebracht und sind über ein
mit einem der Ausgangsanschlüsse des
PCs verbundenes Kabel mit der Infrarot-Signal-Schnittstellen-Karte (nicht gezeigt)
verbunden. Die anderen Vorrichtungen, d.h. das Modem 14,
die Übertragungsleitung 16,
der Routing-Computer 18 und der Server 20 sind
standardmäßig. Der
PC 10 des Benutzers und der Server 20 speichern
Softwareprogramme, die jeweils von dem PC und dem Server ausführbar sind,
um die geeigneten Verarbeitungsschritte auszuführen, die im Folgenden unter Bezugnahme
auf 4 erläutert
werden. Fachleute der Programmierung können einfach geeigneten Code
liefern, um diese Verarbeitungsschritte auszuführen.
-
Unter
Bezugnahme auf 4, wenn der Benutzer eine Anforderung
zum Einloggen auf den Server über
seinen PC 10 stellt, wird der PC 10 gesteuert,
um ein Signal über
das Modem auszugeben, das einen Zugriff auf den Server 20 anfordert
(Schritt 30). Bei Empfang der Anforderung antwortet der
Server 20 mit einer Anforderung an den PC, einen teilweisen Iriscode
an den Server 20 zu übertragen.
Dieser erforderliche teilweise Iriscode wird angegeben, indem der
Server eine Nummer #N zwischen eins und acht mit der Anforderung überträgt (Schritt 32).
-
In
Schritt 34 wird, wenn der PC die Antwort von dem Server 20 empfängt, eine
Meldung auf dem Bildschirm des PCs angezeigt, die den Benutzer auffordert,
die Bilderfassungsvorrichtung zu betätigen, damit sein Iriscode
von seinem PC 10 erhalten werden kann. In Schritt 36 (detaillierter
im Folgenden unter Bezugnahme auf 5 beschrie ben)
wird der Iriscode von der Bilderfassungsvorrichtung 12 an
den PC 10 gesendet.
-
Ein
in dem RAM des PCs 10 gespeichertes Programm wird dann
ausgeführt,
um aus dem übertragenen
Iriscode den teilweisen Iriscode zu erlangen, der von dem Server 20 angefordert
wurde. Dieses Programm bewirkt, dass das N-te Bit jedes Bytes des
Iriscodes mit 256 Bytes ausgewählt
wird, um einen teilweisen Iriscode mit 32 Bytes zu liefern. Wenn zum
Beispiel der Server 20 einen teilweisen Iriscode # 1 in
Schritt 32 anfordert, dann wählt der PC das erste Bit jedes
Bytes des von dem Benutzer erhaltenen Iriscodes, wobei die Reihenfolge
der Bits in dem Iriscode dieselbe ist wie die Reihenfolge der Bytes
in dem vollständigen
Iriscode, aus dem sie entnommen werden. Wenn der teilweise Iriscode
erlangt wurde, wird er verschlüsselt
(Schritt 39) und dann über
das Modem 14 und den Routing-Computer 18 an den Server 20 übertragen
(Schritt 40).
-
Bei
Empfang wird der verschlüsselte
teilweise Iriscode entschlüsselt
(Schritt 41) und in Schritt 42 führt der
Server 20 ein Programm aus, das betriebsfähig ist,
den von dem PC 10 empfangenen teilweisen Iriscode mit gespeicherten
akzeptablen Codes zu vergleichen, die vorher von den Iriscodes von
autorisierten Benutzern auf ähnliche
Weise erlangt wurden, wie das Erlangen des Benutzer-Teiliriscodes aus
dem Iriscode des Benutzers, d.h. bei welchem Erlangen dasselbe N-te
Bit aus jedem Byte des vollständigen
Iriscodes ausgewählt
wurde. Das Programm gibt eine Zugangsentscheidung aus (Schritt 44),
die anzeigend ist, ob der gesendete teilweise Iriscode ausreichend ähnlich ist
zu einem der ähnlich erzeugten
gespeicherten akzeptablen Codes, um einen Zugang zu dem Server 20 zu
erteilen. Wenn die beiden Codes nicht ausreichend ähnlich sind,
wird ein diese Entscheidung darstellendes Signal über das
Netzwerk an den PC 10 gesendet, um anzuzeigen, dass ein
Zugriff auf den Server verweigert wird. Der PC zeigt eine Meldung
mit diesem Inhalt an (Schritt 48). Wenn die beiden Codes
ausreichend ähnlich
sind, dann wird die Steuerung des Servers 20 durch den
PC 10 ermöglicht.
-
Es
dürfte
für Fachleute
offensichtlich sein, wie das vorliegende Ausführungsbeispiel verbessert werden
kann, um sowohl einen Benutzernamen als auch einen teilweisen Iriscode
des Benutzers anzufordern. Dies beschleunigt den entfernten Anmeldungsvorgang,
da der Server nur einen Vergleich mit einem der in der Datenbank
gespeicherten Iriscodes durchführen
muss.
-
Das
Erlangen des ausgewählten
teilweisen Iriscodes aus dem erfassten vollständigen Iriscode in Schritt 38 wird
nun detaillierter unter Bezugnahme auf 5 diskutiert.
-
Das
Ablaufdiagramm in 5 stellt einen möglichen
Vorgang für
die Erfassung und Übertragung
von vollständigen
Iriscodes von der Bilderfassungsvorrichtung 12 an den PC 10 des
Benutzers dar.
-
In
Schritt 300 befindet sich die Abbildungsvorrichtung in
einem Zustand, in dem die mit dem PC 10 verbundene Anzeige
anzeigt, dass der Benutzer seinen Iriscode eingeben soll, und ein
Drücken
des Auslösers
wird erwartet, um den Vorgang zu starten. Der Benutzer positioniert
zuerst die Augenmuschel 115 gegen sein Auge und richtet
die Bilderfassungsvorrichtung 12 aus, indem er sie derart
einstellt, dass er den außen
an dem PC 10 befestigten Empfänger 22 sehen kann,
indem er durch das Innere des Gehäuses 126 blickt. Wenn
dann der Benutzer den Auslöser 165 drückt, erzeugt
der Auslöser
ein Signal, das von dem Prozessor empfangen wird. Der Prozessor steuert
dann den IR-Sender, um in Schritt 305 ein Signal an den
PC 10 des Benutzers zu senden, um eine Kommunikation zu
begin nen. Als Antwort sendet der PC 10 des Benutzers eine
Rückmeldung
an die Abbildungsvorrichtung 12.
-
Wenn
die Rückmeldung
von der Abbildungsvorrichtung 12 in Schritt 315 nicht
empfangen wird, zum Beispiel als Ergebnis, da der PC 10 des
Benutzers das erste Signal nicht empfangen hat, leuchtet die rote
LED der optischen Anzeige 185 (Schritt 320), um
einen Fehler anzuzeigen und den Benutzer zu informieren, den Vorgang
durch nochmaliges Drücken des
Auslösers
neu zu starten.
-
Wenn
eine Rückmeldung
von der Abbildungsvorrichtung 12 empfangen wird, signalisiert
in Schritt 325 das Verarbeitungsmittel der CCD-Kamera 135,
dass ein Bild aufgenommen werden soll. Das aufgenommene Bild wird
in dem RAM 215 gespeichert. In Schritt 330 bestimmt
der Prozessor 200, ob das gespeicherte Bild zur Codierung
geeignet ist. Wenn das Bild nicht geeignet ist, signalisiert der
Prozessor 200 der Kamera 135, ein weiteres Bild
aufzunehmen.
-
Der
Schritt der Erfassung eines Bildes umfasst eine Steuerung der Beleuchtungsquelle 150. Die
Beleuchtungsquelle 150 ist mit einem Regelkreis verbunden,
wodurch der Prozessor 200 die Lichtintensität der Quelle 150 abhängig zum
Beispiel von der Farbe der Iris des Benutzers variieren kann: eine hellblaue
Iris reflektiert viel mehr Licht und benötigt weniger Beleuchtung als
eine dunkelbraune Iris. Mehrere hintereinander aufgenommene Bilder, ähnlich einer
Videosequenz, können
für den
Prozessor 200 erforderlich sein und der Prozessor 200 kann eine
Software ausführen,
um die optimale Beleuchtung für
das Auge zu bestimmen, bevor ein geeignetes Bild erfasst wird.
-
Ein
Erfassen mehrerer Bilder kann auch Probleme überwinden, wie zum Beispiel,
wenn der Benutzer zu dem Zeitpunkt blinzelt, an dem ein Bild aufgenommen
wird. Bekannte digitale Signalverarbeitungs techniken können verwendet
werden, um festzustellen, welches Bild das Beste ist, und um nicht geeignete
Bilder zurückzuweisen.
-
Wenn
ein geeignetes Bild erlangt wird, werden die Bilddaten aus dem RAM 215 abgerufen
und verarbeitet, um in Schritt 335 einen Iriscode unter Verwendung
des in dem ROM gespeicherten Iriscode-Erzeugungsalgorithmus (Schritt 315)
zu bilden. Der resultierende 256-Bytes-Iriscode wird in dem RAM 215 gespeichert.
Der Iriscode wird dann durch den IR-Sender 160 in Schritt 345 an
den PC 10 des Benutzers gesendet.
-
Wenn
die Daten erfolgreich von dem PC 10 des Benutzers empfangen
werden, sendet der Sender 23 ein „Erfolgs"-Signal an die Bildverarbeitungsvorrichtung 12 (Schritt 350).
Der Prozessor 200 verursacht wiederum, dass die grüne LED der
optischen Anzeige 185 aufleuchtet, um dem Benutzer in Schritt 360 anzuzeigen,
dass das Verfahren erfolgreich war. Ein wiederholter Fehler bei
der Übertragung
der Daten, zum Beispiel nach fünf
Versuchen, verursacht, dass die rote LED der optischen Anzeige aufleuchtet (Schritt 355),
und führt
dazu, dass der Benutzer den gesamten Vorgang neu beginnen muss.
-
Es
wird offensichtlich, wie durch Übertragen nur
eines ausgewählten
Achtels des Iriscodes des Benutzers die Chancen, dass eine nicht
berechtigte Person sich an dem Server 20 ohne Zugriffsberechtigung
anmelden kann, sehr reduziert werden.
-
Ein
weiteres Ausführungsbeispiel
der vorliegenden Erfindung, d.h. eine Autorisierungsvorrichtung
für finanzielle
Transaktionen, wird in 6 dargestellt. Die Vorrichtung
weist ein privates Kommunikationsnetzwerk 50 auf, das gemäß dem X25-Standard
konstruiert ist und über
eine Verbindung 52 mit asynchronem Übertragungsmodus (ATM – asynchronous
transfer mode) mit einer UNIX-Workstation 54 verbunden
ist, die eine Festplatte 56 mit einer hohen Speicherkapazität aufweist.
Die Festplatte 56 speichert die Iriscodes aller autorisierter
Kunden des Dienstleistungsunternehmens, von denen alle anfangs mit
einer Plastikkarte versehen werden, die einen magnetischen Streifen
aufweist, der einen codierten teilweisen Iriscode speichert. Dieser
teilweise Iriscode weist anfangs das erste Bit jedes Bytes des gespeicherten
Iriscodes auf, die zweite Ausgabe der Karte (wenn die Karte ungültig wird
oder gestohlen wird) codiert jedes zweite Bit des Iriscodes, die
dritte ausgegebene Karte codiert jedes dritte Bit und so weiter.
Die magnetische Karte codiert auch die Kontonummer des Benutzers
und die Eigenschaft der Auswahl aus dem vollständigen Iriscode.
-
Das
private Datennetzwerk 50 ist ebenso mit einer Vielzahl
von „Point
of Sale"-Vorrichtungen 58 verbunden,
die an Verkaufsstellen installiert sind. Diese „Point of Sale"-Vorrichtungen umfassen
herkömmliche
Merkmale, wie einen LCD-Bildschirm (LCD – liquid crystal display),
eine Tastatur zur Eingabe, unter anderem, des Wertes der Transaktion,
einen Drucker zum Drucken von Autorisierungszetteln und eine Kartenlesevorrichtung
zum Lesen von Daten aus dem magnetischen Streifen auf der Karte
eines Benutzers. Jedes Endgerät 58 hat
ebenso einen Ausgang zum Übertragen
von Daten an das Netzwerk 50.
-
Die „Point
of Sale"-Vorrichtungen 58 der
vorliegenden Erfindung weisen eine Anzahl von zusätzlichen
Merkmalen auf. 7 stellt diese zusätzlichen Komponenten
dar und zeigt, wie sie über
einen Datenbus 60 verbunden werden können, der in der „Point
of Sale"-Vorrichtung 58 installiert
ist. Eine Übertragung
von mehr als zwei Bytes von Daten wird unter Verwendung von breiten
Pfeilen dargestellt, wohingegen eine Übertragung von weniger als
zwei Bytes von Daten unter Verwendung von schmalen Pfeilen dargestellt
wird. Der Datenbus 60 ist über ein Verschlüsselungs-/Entschlüsselungs-Modul 63 mit einer
Netzwerk-Schnittstelle 62 verbunden, wodurch die Übertragung
von Signalen an das und aus dem X25-Netzwerk 50 ermöglicht wird.
-
Wie
oben erwähnt
haben die magnetischen Streifen auf den Karten, die an die autorisierten
Benutzer der Vorrichtung ausgegeben werden, einen codierten teilweisen
Iriscode mit 32-Bytes und die entsprechenden Kontonummern darauf
gespeichert. Die „Point
of Sale"-Vorrichtung weist
eine Kartenlesevorrichtung 64 auf, die betriebsfähig ist,
die Daten auf der Karte zu lesen und sie auf den Datenbus zu platzieren,
wo sie von dem Verschlüsselungs-/Entschlüsselungs-Modul 63 entschlüsselt werden
können.
Die zusätzlichen
Komponenten weisen auch eine Kamera mit ladungsgekoppeltem Speicher
(CCD – charge coupled
device) 66 mit einem Autofokus-Mechanismus auf, die betriebsfähig ist,
ein Bild des Benutzers in digitaler Form aufzunehmen und dieses
an den Datenbus 60 zu leiten. Wenn erwünscht, kann der Autofokus-Mechanismus
aufgehoben werden, indem ein Signal an die in der Kamera 66 enthaltene
Brennweite-Steuerungseinheit 68 gesendet
wird. Das Brennweite-Steuerungssignal
kann über
den Datenbus 60 übertragen
werden. Ein anwendungsspezifischer Schaltkreis (ASIC – application-specific
integrated circuit) 70 enthält Hardware, die betriebsfähig ist,
das von der Kamera 66 aufgenommene digitale Bild einzugeben,
die rechte Iris des Benutzers in dem Bild zu identifizieren und
anschließend
einen 256-Byte-Iriscode zu erzeugen (wiederum unter Verwendung eines ähnlichen
Verfahrens zu dem in dem U.S. Patent Nr. 5,291,560 offenbarten Verfahren)
und den resultierenden Iriscode in einen von zwei Teil-Iriscode-Erlangungsmodulen 72, 74 einzugeben. Ein
erstes dieser Module, 72, ist betriebsfähig, einen drei-Bit-Binärwert von
dem Datenbus 60 einzulesen und einen 32-Byte-Teil-Iriscode,
der auf eine ähnliche Weise
erzeugt wird wie der teilweise Iriscode, der in Zu sammenhang mit
dem ersten Ausführungsbeispiel erzeugt
wurde, mit den gemäß dem drei-Bit-Wert
gewählten
Bits auf den Datenbus 60 auszugeben. Das zweite Modul 74 ist
betriebsfähig,
einen dreizehn-Bit-Wert von dem Datenbus 60 einzulesen
und einen 160-Byte-Teil-Iriscode
auf den Datenbus 60 auszugeben. Die Vorrichtung 58 weist
ferner eine RAM-Einheit 76 auf zum Speichern digitaler
Bilddaten, teilweiser Iriscodes, akzeptabler Codes, die über das
Netzwerk übertragen
und unter Verwendung der Kartenlesevorrichtung 64 erlangt
wurden. Schließlich weist
die Vorrichtung eine Vergleichseinheit 78 auf, die betriebsfähig ist,
akzeptable Datensätze
von der Kartenlesevorrichtung 64, die über den Datenbus 60 übertragen
werden, und teilweise Iriscodes, die über den Datenbus 60 von
dem ASIC 70 übertragen
werden, einzulesen.
-
Bei
der Durchführung
einer finanziellen Transaktion von geringem Wert (8)
gibt der Benutzer dem Verkäufer
seine Karte, die dann durch die Lesevorrichtung der Endgerät-Vorrichtung 58 gezogen
wird. Die Lesevorrichtung 64 gibt den auf der Karte gespeicherten
codierten akzeptablen Datensatz auf den Datenbus 60 aus
(Schritt 80). Die Daten werden dann von dem Entschlüsselungs-Modul 63 entschlüsselt (Schritt 81)
und in dem RAM 76 gespeichert. Anschließend tippt der Verkäufer den
Wert der Transaktion ein, der wiederum in dem RAM 76 gespeichert
wird. Anschließend
kommuniziert die Vorrichtung über
das Netzwerk 50 mit dem Server 54, um festzustellen,
ob der Benutzer ein ausreichendes Guthaben besitzt, um die Transaktion
zu finanzieren. (Die beteiligten Schritte sind ähnlich zu den in herkömmlichen
Vorrichtungen ausgeführten
Schritten und werden nicht dargestellt). Vorausgesetzt der Benutzer
hat ein ausreichendes Guthaben, dann wird die Kamera 66 gesteuert,
um ein Bild der Iris des Benutzers aufzunehmen (Schritt 82).
Die dieses Bild darstellenden digitalen Daten werden dann auf den Datenbus 60 und
in den ASIC 70 geladen. Der ASIC 70 erzeugt einen
256-Byte-Iriscode und leitet ihn an das Modul 72, das den
teilweisen Iriscode erzeugt, der von der Ausgabenummer der Karte
angezeigt wird, wobei diese Nummer aus dem RAM 76 abgerufen
wird (Schritt 84).
-
Der
auf diese Weise erzeugte teilweise Iriscode wird dann auf den Datenbus
und in die Vergleichseinheit 78 ausgegeben, wo er mit dem
akzeptablen Datensatz verglichen wird, der von der in dem RAM 76 installierten
Kartenlesevorrichtung 64 erlangt wird (Schritt 85).
Wenn der teilweise Iriscode ausreichend ähnlich zu dem akzeptablen Datensatz ist,
dann wird die Transaktion von geringem Wert genehmigt und der Verkäufer kann
die Transaktion abschließen.
Wenn die beiden Datensätze
nicht ausreichend ähnlich
sind, wird die Transaktion verweigert (Schritt 87).
-
In
obiger Beschreibung ist offensichtlich, dass das Verfahren der Überprüfung des
Iriscodes die aktuelle Technik einer Benutzer-Authentisierung ersetzt, d.h. eines
Vergleichs von Unterschriften. Jedoch kann die Sicherheit der Transaktion
weiter erhöht
werden, wenn die Schritte von 9 statt
der Schritte von 8 ausgeführt werden.
-
In
dem in 9 dargestellten Verfahren wird der teilweise Iriscode
(in diesem Fall mit #X bezeichnet) erlangt, indem fünf aus den
jeweils acht Bits von jedem Byte des 256-Byte-Iriscode ausgewählt werden.
Es ist offensichtlich, dass die Auswahl auf 56 unterschiedliche
Weisen gemacht werden kann und die fünf ausgewählten Bits können dann
in 120 unterschiedlichen Weisen geordnet werden, was zu 6720 möglichen
Weisen einer Erlangung eines teilweisen Iriscodes führt. Somit
ist der Wert, der die Auswahl spezifiziert, ein dreizehn-Bit-Binärwert, der
eine von dem Server 54 pseudo-zufällig ausgewählte Zahl zwischen 1 und 6720
darstellt. Dieser dreizehn-Bit-Wert wird von dem Server in Schritt 89 über das
Netzwerk übertragen
und bei Ankunft an der „Point
of Sale"-Vorrichtung
in dem RAM 76 gespeichert.
-
Um
den Transaktionsvorgang zu starten, zieht der Verkäufer die
Karte des Benutzers durch die Kartenlesevorrichtung 64,
die Daten, welche die Kontonummer des Benutzers betreffen, von dem
magnetischen Streifen auf der Karte liest. Die Kontonummer wird
dann in dem RAM 76 gespeichert. Anschließend tippt
der Verkäufer
den Wert der Transaktion unter Verwendung der Tastatur ein. Diese
beiden Elemente von Information werden auf bekannte Weise an den Server 54 gesendet
(Schritt 88), der antwortet, indem er entweder ein Signal
sendet, das anzeigt, dass kein ausreichendes Guthaben für die Transaktion
verfügbar
ist, oder alternativ ein dreizehn-Bit-Signal überträgt, das die Weise anzeigt,
auf die ein teilweiser Iriscode #X erlangt werden soll (Schritt 89).
Bei Empfang an der „Point
of Sale"-Vorrichtung wird
der dreizehn-Bit-Binärwert
in dem RAM 76 gespeichert und die Kamera 66 wird
gesteuert, um ein Bild der Iris des Benutzers aufzunehmen (Schritt 90).
Die das digitale Bild darstellenden Daten werden dann an den Iriscode-Erzeugungs-ASIC 70 übertragen,
wo die eingegebenen digitalen Daten verarbeitet werden, um einen
256-Byte-Iriscode zu liefern (Schritt 91). Dieser Iriscode
wird dann in das Teil-Iriscode-Modul 74 eingegeben, das
auch den dreizehn-Bit-Wert
von dem RAM 76 erhält.
Der Iriscode wird von dem Modul gemäß dem dreizehn-Bit-Wert bearbeitet,
um den angeforderten Iriscode zu liefern (Schritt 92).
Fachleute können
die Hardware in dem ASIC derart entwickeln, dass dieser veranlasst
wird, die erforderliche Operation auszuführen. Der angeforderte teilweise
Iriscode wird dann über
den Datenbus 60 an das Verschlüsselungs-/Entschlüsselungs-Modul 63 gesendet,
wo er verschlüsselt
wird (Schritt 93), und anschließend über die Netzwerk-Schnittstelle 62 und
zurück
an den Server 54 übertragen
(Schritt 94).
-
In
der Zwischenzeit wird eine Software in dem Server 54 ausgeführt, um
den Computer zu veranlassen, einen akzeptablen Datensatz für den Inhaber
des Kontos zu berechnen, indem der registrierte 256-Byte-Iriscode, der
als Teil der auf der Festplatte (6, 56) gespeicherten Datenbank für diesen
Benutzer gespeichert ist, genommen wird und ähnliche Operationen (Schritt 95)
auf dem registrierten Iriscode ausgeführt werden wie die, die an
der „Point
of Sale"-Vorrichtung 58 auf
dem erfassten Iriscode ausgeführt
werden. Es ist für
Fachleute offensichtlich, dass diese Operation stattdessen unter
Verwendung von Hardware ausgeführt
werden kann, die ähnlich zu
dem Modul 74 ist, das sich in dem ASIC 70 in der „Point
of Sale"-Vorrichtung befindet.
-
Der
Server 54 entschlüsselt
dann den codierten teilweisen Iriscode, der von der „Point
of Sale"-Vorrichtung übertragen
wird (Schritt 96), und führt einen Vergleich zwischen
dem übertragenen
teilweisen Iriscode und dem akzeptablen Code durch, den er gerade
berechnet hat (Schritt 97). Der Server 54 überträgt ein Signal,
welches das Ergebnis dieses Vergleichs anzeigt (Schritt 98).
Wenn die beiden Codes ausreichend ähnlich sind, gibt der Server
ein Signal aus, das eine Bewilligung der Transaktion darstellt und
das von der „Point
of Sale"-Vorrichtung empfangen
wird (Schritt 99), wodurch die Transaktion fortgesetzt
werden kann. Wenn jedoch der Computer ein Signal überträgt, das
eine Ablehnung der Transaktion darstellt, dann zeigt die „Point
of Sale"-Vorrichtung 58 in
Schritt 100 eine Ablehnung der Transaktion an.
-
In
dem obigen Verfahren wird der dreizehn-Bit-Wert von dem Server 54 pseudo-zufällig erlangt.
Jedoch sind alternative Anordnungen vorstellbar, in denen der Wert
abhängig
ist von der Zeit der Anforderung. Zum Beispiel kann die „Point
of Sale"-Vorrichtung 58 in
Schritt 88 an den Server zusätzlich eine Anzeige der Zeit
und des Datums der Anforderung senden. Sowohl der Server als auch
die „Point
of Sale"-Vorrichtung
können
synchron einer Reihe von Zahlen zwischen 1 und 6720 folgen, wobei jeder
einen teilweisen Iriscode gemäß der Zahl
erlangt, die zum Zeitpunkt der Anforderung gültig ist. Die Reihe kann einfach
bedeuten, dass die Zahl alle fünf
Minuten um 1 inkrementiert wird, oder sie kann eine pseudo-zufällige Reihe
sein, der von sowohl dem Server 54 als auch der „Point
of Sale"-Vorrichtung 58 gefolgt
wird. Viele andere Möglichkeiten
werden für
Fachleute offensichtlich sein.
-
Das
in 9 dargestellte Verfahren kann modifiziert werden,
indem der von dem Server 54 ausgeführte Vergleich (Schritte 96–98)
weggelassen wird und stattdessen der von dem Server erlangte akzeptable
Code an die „Point
of Sale"-Vorrichtung 58 übertragen
wird, wobei der Vergleich dann von der Vergleichseinheit 78 ausgeführt wird.
-
Um
der Transaktion noch einen weiteren Grad an Sicherheit hinzuzufügen, können die
in 10 gezeigten zusätzlichen Schritte ausgeführt werden.
Diese Schritte können
zum Beispiel statt des in 8 gezeigten
Schritts 86 ausgeführt
werden oder nachdem die Transaktion in Schritt 99 von 9 bewilligt
wurde.
-
Nachdem
unter Verwendung der oben beschriebenen Verfahren unter Bezugnahme
auf die 8 und 9 ein erstes
Maß an
Gewissheit geschaffen wurde, dass der Benutzer authentisch ist, kann
die Sicherheit weiter erhöht
werden, indem vorgesehen wird, dass der Server eine Anforderung überträgt, dass
die „Point
of Sale"-Vorrichtung
einen teilweisen Iriscode #X liefert, der von einem Bild erlangt
wird, in welchem die Brennweite der Optik der Kamera 66 von
der Steuerungseinheit 68 für die Brennweite statt automatisch
eingestellt wird. In diesem Fall sendet in Schritt 101 der
Server 54 ein Signal über
das Netzwerk an die „Point
of Sale"-Vorrichtung 58,
das ein Signal, das eine gewünschte
Brennweite anzeigt, und das Signal umfasst, das anzeigt, welcher
der teilweisen Iriscodes erforderlich ist. In dem vorliegenden Beispiel
zeigt das Signal an, dass die Brennweite 1.2-mal dem Wert, der von dem Autofokus-Mechanismus
berechnet wurde, erhöht
werden soll.
-
Diese
Werte werden von der „Point
of Sale"-Vorrichtung 58 eingegeben,
wobei die Nummer des teilweisen Iriscodes in dem RAM 76 gespeichert wird
und der Brennweite-Code an die Steuerungseinheit 68 für die Brennweite übertragen
wird. Die Steuerungseinheit für
die Brennweite ist dann betriebsfähig, die Optik der Kamera auf
die neue Brennweite anzupassen (Schritt 102), anschließend wird
ein Bild der Iris des Benutzers aufgenommen. Der bestimmte teilweise
Iriscode wird dann erlangt, verschlüsselt und übertragen (Schritt 103),
wie oben unter Bezugnahme auf die Schritte 82 bis 84 von 8 erläutert wurde.
In der Zwischenzeit berechnet der Server 54 einen akzeptablen
Datensatz (Schritt 104), wie oben unter Bezugnahme auf
Schritt 95 von 9 erläutert wurde.
-
Der
Server lässt
dann einen Algorithmus ablaufen (Schritt 105), um die erlangten
teilweisen Iriscodes zu vergleichen, und bestimmt, ob der übertragene
teilweise Iriscode weniger hohe räumliche Frequenzinformation
enthält
als der akzeptable Datensatz. Wenn ja, kann das als Anzeige der
Sicherheit von einem Ende zum anderen Ende (end-to-end) des Netzwerks genommen werden
und ein Signal, das die Bewilligung der Transaktion darstellt, wird
in Schritt 107 ausgegeben. Alternativ wird, wenn der erwartete
Verlust einer höheren
räumlichen
Frequenzinformation nicht zu erkennen ist, in Schritt 106 ein Signal
ausgegeben, das die Ablehnung der Transaktion darstellt.