-
HINTERGRUND
DER ERFINDUNG 1. Gebiet der Erfindung
-
Die
vorliegende Erfindung betrifft Sicherheitssysteme im allgemeinen
und bezieht sich speziell auf ein Sicherheitssystem, das Sicherheitsfreigabekarten
mit erweitertem Speicherraum und erhöhter Sicherheit für den darauf
befindlichen Informationsspeicher einsetzt, sowie auf ein Sicherheitssystem, das
den Zugriff auf Daten auf der Karte durch verschiedene Kartenlesegeräte und Operatoren
selektiv steuert, sowie einen selektiven gesteuerten Zugriff auf
die verschiedenen Bereiche einer Einrichtung durch einen Karteninhaber.
-
2. Stand der
Technik
-
Die
meisten Firmen und Regierungseinrichtungen setzen Sicherheitssysteme
ein, um den Zugriff auf Einrichtungen oder Daten, usw. zu überwachen. Üblicherweise
ist der Zugriff durch die Verwendung von Sicherheitsfreigabekarten
und/oder Passwort-Zugriff
geregelt. Viele konventionelle Sicherheitssysteme werden durch den
Einsatz von Kartenlesegeräten,
biometrischen Scannern und dergleichen elektronisch betrieben. Außerdem basieren
viele konventionelle Sicherheitssysteme auf einem Netzwerk. Diese
Systeme verwenden speziell einen zentralen Daten-Server, der Sicherheits-Zugangscodes und
Daten enthält,
die sich auf Mitarbeiter beziehen, die Zugang zu einer Einrichtung,
zu Daten usw. haben, wie etwa eine Sicherheits-Identifizierungsnummer,
die den Mitarbeitern zugeteilt ist, und/oder gespeicherte biometrische
Daten, die mit den Mitarbeitern assoziiert sind. Im allgemeinen
arbeiten diese konventionellen Sicherheitssysteme in einem zentralisierten
Netzwerkmodus, was die Entscheidung über den Zugang verzögern kann.
Außerdem
können
die in diesen Systemen verwendeten Sicherheitsfreigabekarten insofern
rudimentär
sein, als sie nur Token umfassen, die zur Identifizierung von Daten
verwendet werden, die mit dem im Server lokalisierten Benutzer assoziiert
sind, oder die Karten können
Prozessoren und einen Speicher umfassen, die leicht verfälscht werden
können.
Auch umfassen konventionelle Sicher heitssysteme typischerweise keinen
komplexen Entscheidungsprozeß bezüglich des
Zugangs zu Einrichtungen und Standorten. Insbesondere verwenden
die meisten Systeme nur einen Standard-Entscheidungsprozeß „Eingabe/keine Eingabe" und erlauben keine
dynamische Änderung der
Zugangskriterien. Schließlich
haben viele konventionelle Sicherheitssysteme nicht die Fähigkeit, den
Zugang zu verschiedenen Informationsebenen, die auf einer Sicherheitsfreigabekarte
gespeichert sind, durch verschiedene Sicherheits-Lesegeräte und Sicherheits-Beauftragte
zu begrenzen. Diese Probleme werden nachstehend ausführlicher
diskutiert.
-
Sicherheitsfreigabekarten
werden üblicherweise
an Einzelpersonen ausgehändigt,
denen der Zugang zu einer bestimmten Örtlichkeit, Objekt, Information,
elektronischen Medien und/oder irgendeinem anderen materiellen oder
immateriellen Objekt gestattet wurde, zu dem der Zugang begrenzt
ist. Beispielsweise geben Organisationen, die Objekte mit Zugangsbeschränkungen
umfassen, üblicherweise
Sicherheitsfreigabekarten an diejenigen Personen aus, denen der
Zugang nach Einschätzung
der Organisation gestattet ist. Deshalb können die Sicherheitsfreigabekarten
eine bestimmte Art von Information, Hinweis und/oder Mittel enthalten,
die der Person, die die Karte bei sich hat, den Zugang zu einem oder
mehreren gesperrten Objekten erlauben. Eine Karte kann beispielsweise
eine visuelle Information enthalten, so dass ein Sicherheitsdienst
oder andere Mitarbeiter die Karte visuell prüfen können, um sicherzustellen, dass
die Karte gültig
ist, und/oder die Karte kann eine Information enthalten, die den
automatischen Zugang zu dem gesperrten Objekt freigibt.
-
Üblicherweise
müssen
sich Einzelpersonen einer Art von Hintergrund-Überprüfung unterziehen, bevor eine
Sicherheitsfreigabekarte ausgehändigt wird,
wie etwa durch Vorlage von Nachweisen ihrer Identität, das heißt, einer
Geburtsurkunde, Nachweis der Anschrift, Führerschein, Sozialversicherungsausweis,
Visum, Reisepass und/oder jede andere Information, die die Identität der Person
belegt. Zusätzlich kann
von Einzelpersonen verlangt werden, dass sie detaillierte Angaben über ihren
Hintergrund, wie etwa Bildung, frühere Arbeitsstellungen, Zugehörigkeiten und/oder
jede andere Information bezüglich
des Werdegangs der Person vorlegen, die für die spezielle Hintergrund-Überprüfung relevant
sind. Sobald die gewünschte
Information über
die Person zusammengetragen ist, kann sie in jeder beliebigen Weise,
die für
die Organisation akzeptabel ist, nachgeprüft werden, um sicherzustellen,
dass die Information echt ist.
-
Einige
konventionelle Sicherheitskarten können Streifencodes, Magnetstreifen
und/oder andere ähnliche
Arten von Daten-Speicherinrichtungen umfassen, um Daten zu codieren,
die mit der Person assoziiert sind, die die Karte erhält. Die
Karten können auch
andere Arten von Daten zusätzlich
zu den oben beschriebenen elementaren Identitäts- und Zugangsdaten enthalten.
-
Bei
einigen Sicherheitssystemen wird eine biometrische Kennung des Karteninhabers
zur Überprüfung verwendet.
Bei diesen Systemen werden eine oder mehrere biometrische Kennungen
des Karteninhabers, wie etwa ein Fingerabdruck, eine Abtastung der
Netzhaut, ein Sprachprobe, eine DNA-Probe oder ähnliches, vom Karteninhaber
genommen und in einer zentralen Datenbank des Sicherheitssystems
gespeichert. Ein Token oder eine andere Kennung wird dann in Form
eines Streifencodes oder einer ähnlichen
codierten Einheit auf der Karte gespeichert. Wenn der Karteninhaber
die Karte einem Kartenlesegerät
vorlegt, wird bei diesem Vorgang das mit einer biometrischen Kennung
assoziierte Token gelesen. Das Sicherheitssystem benutzt das Token,
um dann die Netz-Datenbank abzufragen, um das mit dem Inhaber assoziierte
Token zu finden. Außerdem
werden die biometrischen Scan-Daten des Inhabers mit einem Biometrie-Scanner
gelesen, der mit dem Sicherheitssystem verbunden ist. Das Sicherheitssystem
vergleicht die gelesenen biometrischen Daten, die vom Scanner kommen,
mit den gespeicherten biometrischen Daten auf der Karte, um festzustellen,
ob die Person, die die Karte vorlegt, der registrierte Karteninhaber
ist.
-
Wie
bereits erwähnt
ist die biometrische Kennung üblicherweise
nicht direkt auf der Sicherheitskarte gespeichert. Stattdessen ist
ein Token auf der Karte gespeichert, und dieses Token liefert die
notwendige Information, um eine entfernte Datenbank abzufragen,
in der die mit dem Karteninhaber assoziierte biometrische Kennung
gespeichert ist. Deshalb kann ein Kartenlesegerät das auf der Karte gespeicherte
Token lesen und dann die passende entfernte Datenbank aufgrund der
von dem Token gelieferten Hinweise abfragen. In diesem Fall muss
das Kartenlesegerät
in kontinuierlicher oder halbkontinuierlicher Verbindung mit der
entfernten Datenbank stehen, um den Karteninhaber zu überprüfen. In
anderen Worten hängt
der Vergleich der gespeicherten biometrischen Daten mit den gelesenen
biometrischen Scan-Daten von der Möglichkeit des Kartenlesegeräts ab, mit
der entfernten Datenbank zu kommunizieren. Zusätzlich hängt die Integrität der gespeicherten
biometrischen Kennung von der Integrität der entfernten Datenbank ab.
Der biometrische Vergleich kann leicht gefährdet werden, weil die Verbindung
zwischen dem Kartenlesegerät
und der entfernten Datenbank blockiert werden kann, und/oder die
entfernte Datenbank kann absichtlich oder versehentlich verfälscht werden.
Ferner kann es zusätzliche
Verzögerungen
geben im Zusammenhang mit der Abfrage und dem Aufruf der biometrischen
Kennung aus der entfernten Datenbank. Auch kann die Notwendigkeit
einer Netzwerk-Verbindung für
Kartenlesegeräte
nicht praktikabel sein in Fällen,
in denen das Sicherheitssystem in einem entfernt gelegenen Sicherheitsprüfungs-Standort
eingesetzt wird.
-
Ein
weiterer Nachteil vieler konventioneller Sicherheitskartensysteme
liegt in der Speicherkapazität.
Die Datenmenge, die in diesen konventionellen Karten gespeichert
werden kann, kann durch die Datenmenge begrenzt sein, die in einem
Streifencode, Magnetstreifen und/oder einem ähnlichen Datenspeicher-Mittel
codiert werden kann, die auf die Vorderseite der Karte aufgedruckt
sind.
-
Kürzlich sind
Firmenkarten entwickelt worden, die eine CD-ROM für die Datenspeicherung
einsetzen. Diese Firmenkarten umfassen eine CD-ROM, die so geformt
ist, dass sie aussieht wie eine Karte. Auf einer Seite der CD-ROM
befinden sich Geschäftsdaten,
die mit dem Karteninhaber verbunden sind, wie etwa Name, Titel,
Firma, Adresse, Telefonnummer, usw. Diese Firmenkarten sind vorteilhaft,
da sie zusätzliche
Speicherung von Daten auf der CD-ROM zulassen. Zum Beispiel sind CD-ROM-Karten verwendet
worden, um Daten über eine
vom Karteninhaber vertretene Firma zu speichern. Diese Daten können von
einer Person, der die Firmenkarte vorgelegt wird, mittels eines
herkömmlichen
CD-ROM-Geräts
gelesen werden.
-
Obwohl
CD-ROM-Firmenkarten die Menge der Daten vergrößern, die auf einer Karte gespeichert werden
können,
sind diese herkömmlichen
Karten für die
Verwendung in einem Sicherheitssystem nicht geeignet. Insbesondere
umfassen diese konventionellen Firmenkarten zwar auf der Vorderseite
der Karte Informationen wie Name, Firma, Adresse, usw. und zusätzliche
auf der CD-ROM gespeicherte Vertriebsinformationen über die
Firma, aber es gibt üblicherweise
keine Information, weder auf die Karte gedruckt noch auf der Karte
gespeichert, die der Person, der die Karte vorgelegt wird, beweist,
dass die Karte dem Karteninhaber gehört. Deshalb gibt es, wenn eine
Person eine CD-ROM-Karte vorlegt, keine Möglichkeit sicherzustellen,
dass die CD-ROM-Karte dieser
Person gehört,
oder dass die auf der Karte befindlichen Daten mit der betreffenden
Person assoziiert sind.
-
Chipkarten
für den
Einsatz in Sicherheitssystemen wurden ebenfalls entwickelt. Chipkarten
umfassen entweder einen eingebetteten Speicher oder sowohl einen
eingebetteten Speicher als auch einen Prozessor. Diese Karten ermöglichen
das Speichern zusätzlicher
Informationsdaten auf der Sicherheitskarte. Außerdem kann der Prozessor für die Verarbeitung
von Daten eingesetzt werden, die sich in dem Speicher befinden.
Jedoch können
auch diese Karten mit ihnen zusammenhängende Sicherheitsprobleme
aufwerfen. Insbesondere sind Chipkarten dem Hacking zugänglich.
Sobald herausgefunden wird, wie der Speicher der Chipkarte gelesen
und beschrieben werden kann, kann auf die Sicherheitsdaten der Karte
leicht zugegriffen und diese geändert werden.
Dementsprechend könnte
die Karte entweder verfälscht
oder für
die Benutzung durch eine nicht-autorisierte Person geändert werden.
-
Zusätzlich zu
den mit den konventionellen Sicherheitsfreigabekarten verbundenen
Mängeln
gibt es auch Mängel
bei den Sicherheitssystemen selbst. Ein Problem ist die Beschränkung des
Datenzugriffs. Insbesondere kann es wünschenswert sein, dass eine
Sicherheitskarte einen breiten Datenbereich umfasst, wobei einige
der Daten sensibler sind als andere Datenbereiche. Beispielsweise
kann die Karte zusätzlich
zu den Daten zur Überprüfung des
Karteninhabers auch persönliche
Daten des Karteninhabers enthalten, wie etwa Datensätze zu Finanzen, Gesundheit
und Vorstrafen. In diesen Fällen
ist es wichtig, den Zugriff auf die persönlichen Daten zu beschränken, während gleichzeitig
der Zugriff auf die Daten zur Überprüfung des
Karteninhabers erlaubt ist. Leider ist dies bei vielen herkömmlichen
Sicherheitskarten nicht möglich.
Es gibt üblicherweise
keinen Weg, um sicherzustellen, dass das Bedienpersonal eines Kartenlesegeräts nicht
auf alle auf der Karte gespeicherten Daten zugreifen kann. Deshalb
ist üblicherweise
jeder, der die Karte lesen kann, autorisiert, alle auf der Karte
gespeicherten Daten anzuschauen, was die Art von Daten einschränken kann, zu
deren Speicherung auf der Karte der Karteninhaber seine Zustimmung
gibt, es sei denn, die einzige Person, die auf die in der Karte
enthaltenen Daten zugreift, ist der Karteninhaber.
-
Ein
zusätzliches
Problem bei vielen konventionellen Sicherheitssystemen ist die Flexibilität bei der
Entscheidung, wer und wer nicht Zugang zu einer Einrichtung oder
zu Daten oder zu irgendetwas anderem hat, das Sicherheitsanforderungen
unterliegt. Insbesondere funktionieren viele konventionelle Sicherheitssysteme
nach dem „Weiter/Halt"-Entscheidungsprinzip.
Die Liste derjenigen, die zu einer bestimmten Einrichtung, zu Daten
usw. Zugang haben dürfen,
ist im System fest programmiert und kann nicht dynamisch geändert werden.
Zum Beispiel kann eine Person ursprünglich die Genehmigung haben,
zu einem Bereich einer Einrichtung Zugang zu haben, aber nicht zu
einem anderen Bereich der Einrichtung. Bei vielen konventionellen
Sicherheitssystemen muss die Liste der Personen, denen Zugang zu
dem zweiten Bereich der Einrichtung gestattet ist, mit der Information über die
Person von Hand aktualisiert werden und dann dem Kartenlesegerät oder dem
Sicherheitsgate des Eingangs zum zweiten Bereich der Einrichtung
vorgelegt werden. Das kann zeitraubend sein, vor allem in Situationen,
wenn die Liste der Personen, denen der Zugang zu einer Einrichtung
gestattet ist, regelmäßig geändert wird.
-
Unter
Berücksichtigung
dieser Mängel
beim früheren
Stand der Technik besteht ein Bedarf für eine Sicherheitskarte, die
geeignet ist, große
Datenmengen zu tragen, während
sie auch Mittel enthält, die
Identität
eines Karteninhabers zu überprüfen. Karten
werden ebenfalls gebraucht, die verfälschungssicherer sind und erhöhte Datensicherheit bieten.
Zusätzlich
gibt es einen Bedarf für
eine solche Karte, die den Zugriff auf die auf verschiedenen Stufen
der Karte gespeicherten Daten beschränkt, nämlich auf der Grundlage der
Sicherheitsstufe der Person, die versucht, Zugang zu den Daten zu
erhalten.
-
Es
besteht auch ein Bedarf an Sicherheitssystemen, die keine Standleitung
zu einem Netzwerk erfordern, um die Sicherheitsinformation zu überprüfen, als
auch an Sicherheitssystemen, die eine dynamische Aktualisierung
der Informationen erlauben, die sich darauf beziehen, wer Zugang
zu den Einrichtungen haben darf.
-
Das
französische
Patent Nr. 2,805,911 beschreibt eine Prepaid-Karte auf einer digitalen
optischen CD. Die optische CD kann einen Streifencode, einen Chip,
einen Such-Code
und Anzeigen auf der Diskette enthalten. In einer Version kann die
Diskette Informationen bezüglich
der Finanzen des Inhabers enthalten.
-
Das
europäische
Patent Nr. 0 918 301 beschreibt einen Identifizierungs-Träger für das Speichern
biometrischer Daten. Der Identifizierungs-Träger hat die Form eines Blocks,
beispielsweise eine Chipkarte, die einen Mikroprozessor enthält. Charakteristische
Identifizierungsdaten werden aus den biometrischen Daten gebildet
und als graphische Identifizierungspunkte auf einem Identifizierungsfeld
auf der Oberseite des Trägers
angeordnet.
-
KURZE ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung behebt die vorstehend erwähnten wie auch viele andere
Problempunkte, die beim früheren
Stand der Technik festgestellt wurden. Viele der Vorteile des erfindungsgemäßen Sicherheitssystems
sind nachstehend zusammengefasst und später detailliert erläutert.
-
Die
vorliegende Erfindung bietet ein Sicherheitssystem, das eine Sicherheitsfreigabekarte
mit großer
Datenspeicherkapazität
verwendet und gleichzeitig verschiedene Merkmale zur Überprüfung der
Identität
des Karteninhabers vorsieht. Ferner hat die erfindungsgemäße Sicherheitsfreigabekarte
ein in sich geschlossenes Sicherheits-Checksystem, so dass das Kartenlesegerät des Sicherheitssystems, das
zur Überprüfung der
Karte eingesetzt ist, keine ständige
Netzwerkverbindung erfordert.
-
Das
Sicherheitssystem gemäß der vorliegenden
Erfindung hat insbesondere eine Sicherheitsfreigabekarte, die vielfältige Datensätze speichern kann.
Mindestens eine biometrische Kennung für die Identifizierung des Karteninhabers
ist in mindestens einem der Datensätze gespeichert. Andere Datensätze können eine
breite Palette von Informationen über den Karteninhaber umfassen,
wie etwa ein Persönlichkeitsprofil
des Inhabers, Bankdaten des Inhabers, Vorstrafenregister, usw. Zusätzlich ist
jeder Datensatz mit einer Sicherheitsstufe assoziiert, so dass verschiedene
Datentypen verschiedene Sicherheitsstufen haben können.
-
Die
Datensätze
können
je nach Typ der verwendeten Sicherheitskarte auf verschiedene Art
gespeichert werden. Zum Beispiel kann eine Sicherheitskarte verwendet
werden, die eine CD-ROM umfasst; in diesem Fall werden die Daten
auf der CD-ROM gespeichert. Die Karte umfasst zusätzlich ein
Datenspeichermedium, das auf der Oberfläche der Karte angeordnet ist,
wie etwa einen Streifencode, ein Hologramm, usw., welche die Daten
speichern.
-
Wie
bereits erwähnt
umfasst die erfindungsgemäße Sicherheitsfreigabekarte
mindestens eine darin gespeicherte biometrische Kennung des Karteninhabers.
Das ermöglicht
es dem mit der Karte assoziierten Sicherheitssystem, unabhängig von
einem Netzwerk zu arbeiten. Das Sicherheitssystem dieses Ausführungsbeispiels
umfasst spezifisch eine Vorrichtung zum Lesen der Karte und eine
Vorrichtung zum Scannen des biometrischen Erscheinungsbilds des
Benutzers. Bei der Bedienung wird ein biometrisches Erscheinungsbild
des Benutzers gescannt, und die früher gespeicherte Kennung des
Karteninhabers wird entweder, im Fall einer CD-ROM oder Chipkarte,
von den in der Karte gespeicherten Daten abgerufen, oder aus dem
Speichermedium auf der Oberseite der Karte, im Fall eines Streifencodes
oder Hologramms, die auf der Oberseite der Karte gespeichert sind.
Die gespeicherte und die gescannte biometrische Kennung werden dann
verglichen, um nachzuprüfen,
ob die Person, die die Karte vorlegt, der Karteninhaber ist. Aufgrund
der Speicherung der biometrischen Daten auf der Sicherheitsfreigabekarte
selbst ist es nicht erforderlich, dass das Sicherheitssystem bei
einer entfernten Datenbank, die sich in einem Netzwerk befindet,
anfragt, um diese Daten aufzufinden.
-
Das
bietet mehrere Vorteile. Zum einen ist es nicht notwendig, alle
biometrischen Daten aller Karteninhaber in der gleichen zentralen
Datenbank zu speichern, wo die Daten aller Karteninhaber verfälscht, gestohlen
oder auf andere Weise beschädigt werden
können.
Zum anderen ist es bei der erfindungsgemäßen Sicherheitsfreigabekarte
nicht erforderlich, Sicherheitsdaten über ein Netzwerk zu übertragen,
wo die Daten abgefangen werden können. Außerdem können Sicherheits-Checkpunkte
entweder vollständig
oder teilweise frei sein von einer Netzwerkverbindung, so dass die
Checkpunkte autonom sind und an entfernten Orten liegen können.
-
Wie
erwähnt
umfassen die erfindungsgemäßen Sicherheitsfreigabekarten
typischerweise eine breite Palette von darin gespeicherten Daten,
die auf den Karteninhaber bezogen oder mit dem Karteninhaber assoziiert
sind. Zusätzlich
zu den Daten, die dazu dienen, den Inhaber der Karte zu identifizieren, wie
biometrische Daten, kann die Sicherheitskarte Informationsdaten
bezüglich
des Karteninhabers enthalten. Diese Daten können allgemeine Daten über den
Benutzer umfassen, sie können
aber auch sensible Daten mit höherem
Sicherheitbedarf umfassen, wie Daten bezüglich Finanzen, medizinische
Angaben, Vorstrafen, usw. Angesichts der breiten Palette von Daten,
die auf der Karte angegeben sein können, ist es wichtig, den Zugriff
auf die Daten zu beschränken.
Im Hinblick darauf werden die Daten, die auf der erfindungsgemäßen Sicherheitskarte
gespeichert sind, auf verschiedenen Sicherheitsstufen gespeichert.
Der Zugang zu diesen Stufen ist dann beschränkt, damit andere diese Daten
nicht ansehen können.
In dem erfindungsgemäßen Sicherheitssystem
sind Operatoren und/oder Geräten
unterschiedliche Stufen für
den Zugang zugeordnet, so dass die Daten nur von denjenigen gelesen
werden können, die
für das
Lesen von Daten benannt sind, die auf bestimmten Stufen erscheinen.
-
Das
Sicherheitssystem gemäß der vorliegenden
Erfindung bietet auch die Möglichkeit,
die von einer Sicherheitsfreigabekarte gelesenen Daten zu anderen
Geräten
im Sicherheitssystem weiterzuleiten. Die Sicherheitsfreigabekarte
kann speziell Daten enthalten, die auf verschiedenen Sicherheitsstufen gespeichert
wurden, die durch Zugangs-Passworte beschränkt sind.
Ein Kartenlesegerät
kann alle Daten von der Karte ablesen, aber nur in der Lage sein,
aufgrund des beschränkten
Sicherheitszugangs bestimmte Datensätze zu lesen. Andere Datensätze können dagegen
zu anderen Geräten
des Sicherheitssystems weitergeleitet werden, die in der Lage sind,
die anderen Stufen beschränkt
zugänglicher Daten
zu lesen. Auf diese Weise können
vom Kartenlesegerät
Daten auf der Karte gefunden werden, und, obwohl sie vom Kartenlesegerät nicht
verstanden werden, können
diese Daten zu anderen Geräten
mit höherer
Sicherheitsstufe weitergeleitet werden, die zum Lesen der Daten
befugt sind.
-
Zum
Beispiel kann ein Kartenlesegerät
nur auf diejenigen Daten der Karte Zugriff haben, die notwendig
sind, um den Karteninhaber zu identifizieren und Zugang zu einer
Einrichtung zu genehmigen. Jedoch können Datensätze, die sich auf das Vorstrafenregister
des Karteninhabers beziehen, vom Kartenlesegerät zwar gelesen werden und,
obwohl vom Kartenlesegerät
nicht zu entschlüsseln,
zu einem anderen mit dem Lesegerät
verbundenen Gerät
weitergeleitet werden, wo der Datensatz geprüft wird, um festzustellen,
ob die Person ein Sicherheitsrisiko darstellt.
-
Ein
auf die Karte bezogenes Ereignisprotokoll kann ebenfalls auf der
Karte gespeichert sein. Beispielsweise kann ein Protokoll der Änderungen und
Ergänzungen
der Datensätze,
die Herstellung der Karte und/oder die biometrischen Kennungen, die
von den Karteninhabern aufgenommen wurden, auf der Karte gespeichert
sein. Dieses Prüfprotokoll erlaubt
es dem Sicherheitspersonal, die Verwendung der Karte wie auch mögliche Verletzungen
oder Versuche von Verletzungen der Sicherheit der Karte nachzuvollziehen.
-
Die
erfindungsgemäße Sicherheitsfreigabekarte
bietet auch die Möglichkeit,
Informationen bezüglich
Startdaten, Überprüfungszeitpunkten,
usw. zu speichern. Speziell kann die Karte ein Ablaufdatum enthalten,
das vom Kartenlesegerät
gelesen werden kann. Wenn die Karte das festgesetzte Ablaufdatum überschritten
hat, wird dem Inhaber der Zugang verweigert. Das ist wichtig, um
gegen Diebstahl der Karte vorzubeugen. Trotz der Tatsache, dass
die Karte gestohlen wurde, kann die Karte nur für eine begrenzte Zeit verwendet
werden. Außerdem
kann auf der Karte ein Startdatum vermerkt werden. Das Startdatum
gibt einen Zeitpunkt an, an dem die Karte gültig wird. Die Verwendung der
Karte vor dem Startzeitpunkt wird vom Sicherheitssystem zurückgewiesen.
Auch ein Ursprungsdatum kann auf der Karte gespeichert werden. Dieses
Ursprungsdatum könnte
in einem Schema verwendet werden, bei dem die zum Verschlüsseln der
Daten auf den Karten benutzten Verschlüsselungsverfahren in bestimmten Zeitabständen geändert werden.
Insbesondere können
bei einer Reihe von Zeitpunkten die zu diesen Zeitpunkten hergestellten
Karten unter Verwendung eines Verfahrens verschlüsselt werden, während ein getrenntes
Verfahren für
eine andere Reihe von Zeitpunkten benutzt wird. Wenn die Karte gelesen
wird, wird auch das Ursprungsdatum gelesen. Ausgehend vom Ursprungsdatum
wird das Kartenlesegerät
erkennen, welches Verschlüsselungsschema
eingesetzt werden muss, um die Daten auf der Karte zu lesen.
-
Um
die Integrität
der Daten zu wahren, verwendet das erfindungsgemäße Sicherheitssystem üblicherweise,
aber nicht immer, ein „einmal
beschreiben/vielmals lesen"-Verfahren für das Speichern
der Daten auf der Karte. Das „einmal
beschreiben/vielmals lesen"-Verfahren
verhindert, dass Sicherheitsdaten auf der Karte überschrieben werden, was von
jemand versucht werden könnte,
der sich mittels der Karte betrügerischen
Zugang verschaffen will.
-
Die
Daten auf der Karte können
mit mindestens einem von einer ganzen Reihe von Verschlüsselungsverfahren
verschlüsselt
werden. Insbesondere können
verschiedene Sätze
der Daten mit verschiedenen Verschlüsselungsverfahren verschlüsselt werden,
ausgehend von der Sicherheitsstufe, die den Sätzen der gespeicherten Daten
zugeordnet ist. Die Verschlüsselungsverfahren
können
verschiedenartige Algorithmen umfassen, die verwendet werden, um mindestens
einen Satz der auf der Karte gespeicherten Daten zu verschlüsseln. Die
Algorithmen können beispielsweise
Blockzahl-Verschlüsselungs-Algorithmen
sein.
-
Das
erfindungsgemäße Sicherheitssystem bietet
auch die Möglichkeit
dynamischer Änderungen an
der Liste derjenigen, die zugangsberechtigt sind zu bestimmten Bereichen
einer Einrichtung, zu Daten, usw. Insbesondere kann über ein
Netzwerk die Liste der Personen mit Zugangsberechtigung zu einem
bestimmten Bereich mit dem Kartenlesegerät aus der Ferne geändert oder
anderweitig aktualisiert und gespeichert werden. Sobald eine Karte
vom Lesegerät
eingelesen ist und der Inhaber überprüft wurde,
kann das Kartenlesegerät
auf die Liste zugreifen und feststellen, ob der Karteninhaber als
Zugangsberechtigter zu der Einrichtung aufgeführt ist. Wenn der Inhaber nicht
auf der Liste steht, wird der Zugang zur Einrichtung verwehrt.
-
Alternativ
hierzu kann die Sicherheitsstufe des gesicherten Bereichs und damit
die Liste der Karteninhaber mit Zugangsberechtigung geändert werden.
Wenn beispielsweise der gesicherte Bereich eine erste Sicherheitsstufe
hat, die nur einer kleinen Zahl von Karteninhabern Zugang erlaubt,
kann die mit dem gesicherten Bereich assoziierte Sicherheitsstufe
herabgesetzt werden, wodurch mehr Karteninhaber Zugang erhalten.
-
KURZE BESCHREIBUNG DER
ZEICHNUNGEN
-
Nach
dieser Beschreibung der Erfindung im allgemeinen werden nun die
beigefügten
Zeichnungen erläutert,
die nicht notwendig maßstabgerecht sind,
nämlich:
-
1 ist
eine Abbildung, die den Einsatz eines Sicherheitssystems gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung zeigt;
-
2 ist
eine Draufsicht auf den CD-ROM-Teil einer Sicherheitsfreigabekarte
gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung;
-
3 ist
eine Draufsicht auf ein Datenspeichermedium, das auf einer Oberfläche einer
Sicherheitsfreigabekarte liegt, gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung;
-
4 ist
eine schematische Darstellung einer Vielzahl von Kartenlesegeräten, die
in der Lage sind, mit einem Kontrollzentrum und/oder einem entfernten
Speicherelement zu kommunizieren, gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung;
-
5 ist
eine schematische Darstellung der Funktionen eines Kartenlesegeräts gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung; und
-
6 ist
eine Tabelle, die die Stufen in einer Sicherheitsfreigabekarte gespeicherter
Daten, potentieller Gruppen und Untergruppen von Datennutzern zeigt,
und zeigt, welche Untergruppen Zugang zu welchen Datenstufen erhalten,
gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung.
-
DETAILLIERTE BESCHREIBUNG
DER ERFINDUNG
-
Die
vorliegenden Erfindungen werden nun nachstehend ausführlicher
beschrieben mit Bezug auf die beigefügten Zeichnungen, in denen
einige, aber nicht alle Ausführungsbeispiele
der Erfindung gezeigt werden. Tatsächlich können diese Erfindungen in vielen
verschiedenen Formen ausgeführt
werden und sollten nicht so ausgelegt werden, als seien sie auf
die hier beschriebenen Ausführungsbeispiele beschränkt; diese
Ausführungsbeispiele
sind vielmehr dafür
gedacht, dass diese Offenlegung die geltenden gesetzlichen Anforderungen
erfüllt.
Gleiche Zahlen beziehen sich durchgängig auf die gleichen Elemente.
-
Die
vorliegende Erfindung liefert eine Sicherheitsfreigabekarte, die
viele der oben erwähnten
Probleme des früheren
Standes der Technik abstellt. Insbesondere stellt die vorliegende
Erfindung eine Sicherheitsfreigabekarte bereit, die eine große Datenspeicherkapazität bietet
und gleichzeitig auch verschiedene Eigenschaften für die Überprüfung der Identität des Karteninhabers
aufweist. Zusätzlich
ist die erfindungsgemäße Sicherheitsfreigabekarte
in Verbindung mit einem Kartenlesegerät in der Lage, Datensätze der
auf der Karte gespeicherten Daten verschiedenen Sicherheitsstufen
zuzuordnen und die Datenmenge zu begrenzen, die ein Kartenlesegerät und/oder
ein Operator des Kartenlesegeräts
anschauen und/oder auf die sie zugreifen können.
-
Die
vorliegende Erfindung betrifft allgemein ein Sicherheitssystem,
das in der Lage ist, die Identität
von Personen zu überprüfen, die
Zugang haben wollen zu beschränkt
zugänglichen
Informationen, Orten/Speicherplätzen
oder anderen materiellen oder immateriellen Objekten. Ein Ausführungsbeispiel
eines erfindungsgemäßen Sicherheitssystems ist
in 1 gezeigt, aber viele andere Ausführungsbeispiele
und Anwendungsmöglichkeiten
des Sicherheitssystem können
geschaffen werden, von denen viele hier nachstehend im Detail erklärt werden.
Beispielsweise kann eine Person 12 durch die Tür 14 eintreten
wollen. Die Person 12 kann eine Sicherheitsfreigabekarte 10 vorlegen,
die vom Kartenlesegerät 16 gelesen
werden kann. Das Kartenlesegerät 16 ist
auch in der Lage, einen Biometrie-Scan von der Person 12 aufzunehmen
und diese biometrischen Daten mit den biometrischen Daten zu vergleichen, die
auf der Karte gespeichert und mit dem Kartenbesitzer assoziiert
sind. Über
einen Monitor 18 kann ein Operator des Kartenlesegeräts dann
die Ergebnisse des biometrischen Vergleichs und denjenigen Teil
der auf der Karte gespeicherten Daten ablesen, auf die der Operator
zugreifen darf. Wenn der Biometrie-Scan der Person 12 mit
der biometrischen Kennung übereinstimmt,
die auf der Karte 10 gespeichert ist und wenn die vom Operator 20 lesbaren
Daten mit den Daten übereinstimmen,
die erforderlich sind, damit ein Karteninhaber durch die Tür 14 eintreten
darf, dann kann die Person 12 die Genehmigung erhalten, durch
die Tür 14 einzutreten.
Wenn andererseits der Biometrie-Scan der Person 12 nicht
mit der auf der Karte 10 gespeicherten biometrischen Kennung übereinstimmt
und/oder wenn die vom Operator 20 lesbaren Daten nicht
mit den Daten übereinstimmen, die
erforderlich sind, damit ein Karteninhaber Zutritt durch die Tür 14 erhält, dann
wird der Person 12 der Zutritt durch Tür 14 verwehrt. Alternativ
kann der Vergleich des Biometrie-Scans des Kartenbesitzers mit der
auf der Karte gespeicherten biometrischen Kennung elektronisch über einen
Computer oder spezialisierten Prozessor erfolgen.
-
Die
Karte 10 kann Identitätsdaten,
Felddaten und alle anderen Daten von Belang umfassen. Die Identitätsdaten
umfassen jeden Datentyp, der verwendet werden kann, um zu überprüfen, ob
derjenige, der die Karte vorlegt, auch tatsächlich der Kartenbesitzer ist.
So können
zum Beispiel die Identitätsdaten
den Namen, die Adresse und das Geburtsdatum des Kartenbesitzers
enthalten, sind aber nicht darauf beschränkt. Die Identitätsdaten
können
auch mindestens eine biometrische Kennung des Kartenbesitzers umfassen.
-
Die
Felddaten können
jede Art detaillierter Daten bezüglich
des Kartenbesitzers und/oder ein Objekt sein, für das der Kartenbesitzer verantwortlich ist.
Zum Beispiel können
die Felddaten die Führerscheinnummer,
Führerscheinbeschränkungen,
Wählerinformation
und Angaben über
die Beschäftigung des
Kartenbesitzers umfassen, sind aber nicht darauf beschränkt, und/oder
eine Geschichte des Objektes enthalten, ebenso Angaben zur Verwendung
des Objektes oder jede andere Art von Information bezüglich des
Objektes, für
das der Kartenbesitzer verantwortlich ist. Die Felddaten können mehrere
Stufen haben, und jede Stufe kann einer unterschiedlichen Sicherheitsstufe
zugeordnet sein. Beispielsweise können allgemeine Angaben zur
Beschäftigung,
wie der Name und die Anschrift des Arbeitgebers des Kartenbesitzers,
in einer ersten Stufe der Felddaten erfasst sein, während die
persönlichen
Daten des Kartenbesitzers mit den allgemeinen Angaben zur Beschäftigung
assoziiert sein können,
aber in einer höheren oder
mehreren höheren
Stufe/Stufen der Felddaten erfasst sind, die sicherer sind als die
erste Stufe. Zusätzlich
können
die Felddaten Daten mit hoher Geheimhaltung umfassen, die der höchsten Sicherheitsstufe
entsprechen. Die Daten, die der Geheimhaltung unterliegen, können die
internen Überwachungen
der Karte und mindestens eine biometrische Kennung des Karteninhabers
umfassen, sind aber nicht darauf beschränkt.
-
Die
Extra-Daten können
jede andere Art von Daten sein, die der Karteninhaber auf der Karte
speichern möchte.
Zum Beispiel können
die Extra-Daten Dokumente, Dateien, Karten oder eine andere Art von
Daten sein. Den Extra-Daten können
ebenfalls Sicherheitsstufen zugeteilt werden, wenn gewünscht.
-
Daten
werden üblicherweise
in Datensätze oder
Datenpakete unterteilt, wie dem Fachmann bekannt ist. Jeder Datensatz
kann mit einer aus einer Reihe von Sicherheitsstufen assoziiert
werden und jeder Datensatz kann komprimiert, kodiert und/oder ver schlüsselt werden,
wie nachstehend besprochen wird. Der Einfachheit halber werden die
Datensätze nachstehend
als „Daten" bezeichnet.
-
Der
Kartenbesitzer ist die Person, deren Identitätsdaten in der Karte gespeichert
sind. Die Felddaten und/oder Extra-Daten, die in der Karte 10 gespeichert
sind, können
mit dem Kartenbesitzer assoziiert sein. Wahlweise können die
Felddaten und/oder Extra-Daten
mit etwas, materiell oder immateriell, assoziiert sein, für das der
Kartenbesitzer verantwortlich ist. Zum Beispiel können die
in einer Karte gespeicherten Felddaten und/oder Extra-Daten mit
einem Schiff, einem Container, einer Organisation, einer ideellen
Vorstellung, elektronischen Medien oder einem Objekt anderer Art,
materiell oder immateriell, assoziiert sein, und der Kartenbesitzer
kann jede für
das Objekt verantwortliche Person sein. Zusätzlich kann bei einigen Ausführungsbeispielen
der Karte zur Überprüfung der
Identität
eines Besitzers der Karte 10 mehr als ein Besitzer der
Karte 10 angegeben sein. In diesem Fall gibt es auf der
Karte gespeicherte Identitätsdaten,
die mit jedem einzelnen Besitzer assoziiert sind.
-
Wie
vorstehend kurz beschrieben wurde, können die in der Karte 10 gespeicherten
Identitätsdaten
jede beliebige Form haben und irgendwelche ausgewählten Daten
sein, die verwendet werden, um den oder die Besitzer der Karte zu
identifizieren. Zum Beispiel können
den Kartenbesitzer betreffende biometrische Daten in der Karte gespeichert
sein. Die biometrischen Daten können
jede Art biometrischer Kennung sein, die den Fachleuten' bekannt ist. Beispielsweise
kann die biometrische Kennung aus einem oder mehreren der folgenden
Kennzeichen bestehen, wie etwa Fingerabdrücke, Abtasten der Netzhaut,
Sprachproben, DNA-Proben, eine Kombination von zwei oder mehreren
hiervon, oder jede andere Art von biometrischer Kennung. Die biometrischen Daten
können
in der Karte an einer Stelle gespeichert werden, die jederzeit leicht
zugänglich
ist, wenn die Karte zur Überprüfung der
Identität
des Kartenbesitzers vorgelegt wird, so dass die gespeicherte biometrische
Kennung mit dem Biometrie-Scan der Person verglichen werden kann,
die die Karte vorlegt, wie nachstehend ausführlicher beschrieben wird.
Zusätzlich
können
die biometrischen Daten in einem Kartenabschnitt gespeichert werden,
der hoher Geheimhaltung unterliegt und zu dem der Zugriff streng
beschränkt
ist, so dass die Integrität
dieser biometrischen Daten gewahrt ist. Zusätzlich können die leicht zugänglichen
biometrischen Daten mit den biometri schen Daten hoher Geheimhaltungsstufe
verglichen werden, um sicherzustellen, dass die Genauigkeit der
leicht zugänglichen
biometrischen Daten nicht verfälscht
wurde.
-
Wenn
der Biometrie-Scan der Person, die die Karte 10 vorlegt
(auch „Inhaber
der Karte" genannt)
mit einer in der Karte 10 gespeicherten biometrischen Kennung übereinstimmt,
dann kann der Person, die die Karte vorlegt, erlaubt werden, eine
Handlung auszuführen,
Zugang zu einem Ort oder einem Objekt zu bekommen, alle in der Karte
gespeicherten Daten benutzen zu können und/oder jede andere Art Funktion
auszuüben,
die durch die in der Karte gespeicherten Daten genehmigt wird. Wenn
der Biometrie-Scan der Person, die die Karte vorlegt, mit der in der
Karte gespeicherten biometrischen Kennung jedoch nicht übereinstimmt,
kann der Person, die die Karte vorlegt, jede Funktionsausübung untersagt werden,
die andernfalls dem Kartenbesitzer genehmigt würde.
-
Die 2 und 3 zeigen
eine Sicherheitsfreigabekarte 10 (nachstehend „Karte" genannt) entsprechend
einem Ausführungsbeispiel
der vorliegenden Erfindung. Die Karte dieses Ausführungsbeispiels
umfasst mehrere Merkmale zur Überprüfung der
Identität
eines Kartenbesitzers. Zum Beispiel ist die Karte 10 aus
einer CD-ROM 22 gebildet. Die CD-ROM kann nicht nur allgemeine
Felddaten und Identitätsdaten
enthalten, sondern sie kann Extra-Daten umfassen. Wie die 3 zeigt,
kann die Karte 10 auch ein Datenspeichermedium 24 umfassen,
das auf einer Seite der Karte liegt. Das Datenspeichermedium 24 kann
sowohl allgemeine Felddaten als auch Identitätsdaten enthalten.
-
Die
CD-ROM 22 kann jede Art von CD-Speicherelement sein, das
Fachleuten bekannt ist. Typischerweise hat die CD-ROM die Form der
Karte 10, wobei das Zentrum der CD-ROM 22 in der
Mitte der Karte 10 liegt. Die Karte 10 kann demnach
in ein Lesegerät
für CD-ROM
gesteckt werden, wo der CD-ROM-Teil der Karte gelesen werden kann,
wie nachstehend ausführlich
beschrieben wird. Bei einem bevorzugten Ausführungsbeispiel der vorliegenden
Erfindung können
in der CD-ROM gespeicherte Daten von denjenigen, die auf die CD-ROM
zugreifen, nur gelesen werden, die Daten können nicht entfernt, ausgewechselt
oder geändert
werden. Die auf die CD-ROM geschriebenen Daten sind in der CD-ROM
dauerhaft gespeichert. Demnach können neue
Daten auf die CD-ROM geschrieben werden, aber die alten Daten bleiben
ebenfalls auf der CD-ROM. Dieser Typ CD-ROM wird üblicherweise als
CDR bezeichnet. Eine CDR ist in der erfindungsgemäßen Sicherheitsfreigabekarte 10 vorteilhaft, weil
sie gewährleistet,
dass ein Verzeichnis aller in der Karte gespeicherten Daten dauerhaft
für künftige Bezugnahmen
erhalten bleibt. Man spricht manchmal von einer „einmal schreiben/oft lesen"-CDR. Zusätzlich kann
die CD-ROM einen Prüfpfad
haben, der den Ort und die Identität des Operators enthält, der die
ursprünglichen
Daten gespeichert hat, sowie jeden Operator, der nachfolgende Daten
in der CD-ROM gespeichert hat. Wenn es also jemals eine Frage bezüglich der
in einer Karte gespeicherten Daten gibt, dann können die Ursprünge der
Daten und die Umstände,
unter denen die Daten geschrieben wurden, leicht von der Karte abgerufen
werden. Diese Art der Datenspeicherung ist deshalb viel sicherer und
gegen Eingriffe gesichert als die Datenspeicherverfahren nach dem
früheren
Stand der Technik, wie etwa die auf dem Mikroprozessor basierende
Chipkarte, die keine Möglichkeiten
vorsehen, ein Manipulieren der in der Karte gespeicherten Daten
zu verhindern.
-
Selbstverständlich können andere
Verfahren zum Schreiben der Daten verwendet werden. Bei anderen
Ausführungsbeispielen
der vorliegenden Erfindung, wie etwa jene Ausführungen, die keine derart verschärfte Sicherheit
für die
in den Karten gespeicherten Daten gewährleisten, kann eine CD-ROM verwendet
werden, bei der es möglich
ist, außer
Daten zu lesen, geschriebene Daten zu löschen, auszuwechseln oder zu ändern. Dieser
CD-ROM-Typ wird üblicherweise
als CDRW bezeichnet.
-
Mit
Bezug auf 3 kann das Datenspeichermedium 24 an
irgendeiner Stelle der Karte untergebracht sein, solange es nicht
den CD-ROM-Teil der Karte blockiert. Zum Beispiel wird das Datenspeichermedium 24 üblicherweise
in kodiertem Format auf mindestens eine Seite der Karte gedruckt,
wie in 3 gezeigt ist. Für die Zwecke dieser Verwendung haben
die codierte Daten auf der Karte 10 ein allgemeines elektronisches
Datenspeicherformat. Das heißt,
codiert ist nicht gleichbedeutend mit verschlüsselt, was definiert ist als
ein Verändern
der Daten in der Weise, dass nur autorisierte Stellen auf sie zugreifen
können.
Die Daten, die sich auf dem Datenspeichermedium 24 befinden,
sind unter Verwendung irgendeiner den Fachleuten bekannten Methode
derart codiert, dass die Daten von einem Lesegerät, das zur Decodierung der
Daten in der Lage ist, verwendet werden können, wie nachstehend noch genauer
beschrieben wird. Beispielsweise kann das Datenspeichermedium mit
einem Streifenco de, wie einem PDF-417 Streifencode, codiert sein.
Wahlweise kann das Datenspeichermedium in einem Hologramm, einer
Reihe von codierten Punkten, einem Grafikbild, Magnetstreifen, usw.
gespeichert sein. Ähnlich
wie bei der obigen CDR-Diskussion ist ein Streifencode oder eine
andere Art Index, die nicht leicht geändert werden können, eine
vorteilhafte Methode zum Speichern von Daten, weil die Daten und die
Umstände,
die zur Erstellung der Daten führten, für eine künftige Bezugnahme
dauerhaft in der Karte gespeichert sind.
-
Zusätzlich zu
biometrischen Daten und anderen auf der Karte gespeicherten Daten
kann die CD-ROM 22 und/oder das Datenspeichermedium 24 eine
digitale Fotografie des Kartenbesitzers enthalten. Die Fotografie
kann als ein weiterer Prüfpunkt dafür verwendet
werden, dass die Person, die die Karte vorlegt, der Kartenbesitzer
ist, weil, wenn die Karte von einem Kartenlesegerät gelesen
wird, wie nachstehend im einzelnen beschrieben wird, ein Operator
auf das Bild des Kartenbesitzers zugreifen kann und das Bild mit
der Person, die die Karte vorlegt, visuell vergleichen kann. Alternativ
kann ein Kartenlesegerät
ein Bild der Person aufnehmen, die die Karte vorlegt, etwa mit einer
Kamera oder dergleichen, und dann dieses Bild mit dem digitalen
Foto des Kartenbesitzers vergleichen. Die digitale Fotografie ist
demnach üblicherweise
in der CD-ROM und/oder im Datenspeichermedium-Teil der Karte als Identitätsmerkmal
gespeichert, aber sie kann ebenso als Teil der Felddaten gespeichert
werden. Bei anderen Ausführungsbeispielen
der erfindungsgemäßen Karte 10 kann
ein Bild 26 des Kartenbesitzers auf einer Seite der Karte 10 vorgesehen
werden, wie in 3 gezeigt. Die Abbildung 26 kann
zusätzlich
zu oder als eine Alternative zu der Bild aufgenommen sein, das in
der CD-ROM und/oder dem Datenspeichermedium-Teil der Karte 10 gespeichert
ist.
-
Die
Karte 10 kann auf der Oberseite der Karte auch jede andere
Art von Daten enthalten, wie etwa Name, Telefonnummer und/oder Titel
des Kartenbesitzers, zusätzlich
zu dem Ablaufdatum und/oder dem Gültigkeitsdatum der Karte 10,
wie in Feld 28 auf einer Seite der Kartenausführung in 3 gezeigt
ist.
-
Wie
in den 2 und 3 gezeigt ist, ist es entscheidend,
dass die vorliegende Erfindung eine Sicherheitsfreigabekarte liefert,
bei der mehrere verschiedene Arten von Identitätsdaten zur Überprüfung des
Kartenbesitzers gespeichert sind. Das Verfahren zur Überprüfung des
Kartenbesitzers wird nachstehend eingehend beschrieben, einschließlich vielfältiger Aspekte
eines Gesamtsicherheitssystems (hier auch als „Identitätsprüfungssystem" bezeichnet) zur Erstellung der Karten
und zur Gewährleistung
der Sicherheit und des Zugangs mittels der Karten.
-
Die 2 und 3 zeigen
die erfindungsgemäße Sicherheitsfreigabekarte
als eine CD-ROM mit auf einer Seite aufgedruckter Information. Selbstverständlich ist
dies nur ein Ausführungsbeispiel
der Sicherheitsfreigabekarte.
-
Ein
erster Aspekt ist das Zusammenstellen und Speichern von mit dem
Besitzer verbundenen Daten, die bei der Erstellung der Sicherheitsfreigabekarte
Verwendung finden. Um die gewünschten
Daten in der Karte, wie etwa der CD-ROM und/oder dem Datenspeichermedium-Teil
der Karte, zu speichern, erhält
ein Operator eines Systems zur Überprüfung der
Identität
die Identitätsdaten
von einem zukünftigen
Kartenbesitzer und speichert diese Daten in einer Datenbank. Jede
den Fachleuten bekannte Art von Datenbank kann hierfür verwendet
werden, und auf die Datenbank kann über ein geeignetes Protokoll
zugegriffen werden. Bei einem Ausführungsbeispiel des erfindungsgemäßen Identitätsprüfungssystems
kann die Datenbank relational sein und die Datenbank kann über Open
Database Connectivity (ODBC)-Standardprotokolle zugänglich sein.
Die Datenbank kann sich am Sitz des Operators befinden oder sie
kann entfernt liegen und mit dem Sitz des Operators über ein
konventionelles oder drahtloses Netzwerk in Verbindung stehen, wie
etwa ein lokales Netz, ein Großraumnetz,
Intranet und/oder Internet.
-
4 zeigt
verschiedene Ausführungsbeispiele
eines Kartenlesegeräts 16,
eines davon ist ein konventioneller Computer 30, den ein
Operator benutzen kann, um auf eine Datenbank zuzugreifen, die sich
am gleichen Ort wie der Computer 30 oder die sich in einem
Kontrollzentrum 56 befindet. Das Kontrollzentrum 56 kann
jeder Ort sein, wo die Überprüfung der
Identität
potentieller Kartenbesitzer durchgeführt wird, wie unten ausführlicher
beschrieben wird. Das Kontrollzentrum 56 kann auch ein
Ort oder Element sein, wo eine zentrale Ablage der Identifizierungsdaten
geführt
wird, die mit allen oder mindestens einem Teil der Kartenbesitzer
und künftigen
Kartenbesitzern assoziiert sind. Wie nachstehend eingehender beschrieben
wird, können
das Potential der Kartenlesegeräte 16 und/oder
der Operatoren der Kartenlesegeräte
bezüglich
des Zu griffs auf Daten über
das Kontrollzentrum 56 nach Wunsch gesteuert und geändert werden.
-
Die
Daten können
vom künftigen
Kartenbesitzer auf jede den Fachleuten bekannte Weise erhalten werden.
Zum Beispiel kann der künftige
Kartenbesitzer dem Operator Dokumente vorlegen, wie eine Geburtsurkunde,
Beleg für
die Anschrift, Führerschein,
Reisepass, Visa oder andere amtliche Dokumente. Sobald der Operator
auf jede als zulässig
geltende Art feststellt, dass die von dem künftigen Kartenbesitzer beigebrachte
Information zu dieser Person gehört,
kann dann der Operator in der Datenbank einen Datensatz, wie etwa
eine Datei, anlegen, der die überprüften Identitätsdaten
umfasst, die mit dem künftigen
Kartenbesitzer assoziiert sind. Der Datensatz kann auch ein zu der
Karte gehörendes
Ablaufdatum enthalten, so dass die Karte nach Ablauf dieses Datums
ungültig
ist, und/oder ein zu der Karte gehörendes Gültigkeitsdatum, das einen zukünftigen Zeitpunkt
angibt, ab dem die Karte gültig
wird. Eine permanente oder langfristige Sicherheitsfreigabekarte,
die kein Ablaufdatum hat oder ein Ablaufdatum nach vielen Jahren,
kann für
Besitzer von Karten erstellt werden, die verschiedene Arten von
langfristigen Identitäts-
und Felddaten speichern. Zum Beispiel können bei bestimmten Ausführungsbeispielen der
erfindungsgemäßen Sicherheitsfreigabekarte Angaben
zum Führerschein,
zum Eintrag in das Wählerverzeichnis,
Angaben zur Beschäftigung
und andere Arten langfristiger Angaben unter den Felddaten erfasst
werden, die auf der Karte vorhanden sind. Sobald also alle Angaben,
die auf der Karte erfasst werden sollen, überprüft sind, kann eine permanente
oder langfristige Karte an den Kartenbesitzer ausgehändigt werden.
Alternativ kann für
kurzzeitige Verwendungszwecke, wie für Kurzbesucher in Bürogebäuden, Kurzbesucher
eines Landes und/oder während
der Zeit, in der die Angaben für
eine permanente oder langfristige Karte überprüft werden, eine befristete
Sicherheitsfreigabekarte ausgestellt werden, die nur die Identitäts- und/oder
Felddaten enthält,
die für
die kurzzeitige Verwendung der Karte notwendig sind.
-
Um
einen Datensatz in der Datenbank zu erstellen, gibt der Operator
die Identitätsdaten
in die Datenbank über
ein Interface ein, das jede Art von Computer 30, ein Prozessorelement
und/oder ein Dateneingabeelement sein kann, das verbunden ist mit
der Datenbank und/oder mit einem Netzwerk 32 oder dergleichen,
die in Verbindung stehen mit der Datenbank, etwa einer Datenbank,
die sich im Kontrollzentrum 56 befin det, wie in 4 gezeigt
ist. Zum Beispiel kann bei einem Ausführungsbeispiel des erfindungsgemäßen Systems
zur Identitätsprüfung das Operator-Interface
ein Computer sein, der irgendein modernes Betriebssystem benutzt,
wie etwa ein Microsoft Windows- oder Unix-Betriebssystem. Auch andere
Informationen können
im Datensatz aufgenommen sein, je nach der künftigen Verwendung der Karte,
den Anforderungen des speziellen Identitätsprüfungssystems, oder aus einem
anderen Grund. Wenn der Operator nicht nachweisen kann, dass die von
dem künftigen
Kartenbesitzer gemachten Angaben zu dieser betreffenden Person gehören, dann kann
der Person eine Sicherheitsfreigabekarte verweigert werden, eine
befristete Karte ausgegeben werden, die nur solange gültig ist,
bis die Überprüfung abgeschlossen
sein kann, und/oder weitere Informationen von der Person angefordert
werden.
-
Der
künftige
Kartenbesitzer gibt auch mindestens eine biometrische Kennung für die Speicherung
im Datensatz der Datenbank ab. Zum Beispiel kann bei einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Überprüfung der
Identität
der künftige
Kartenbesitzer mindestens einen Fingerabdruck über einen Fingerabdruck-Scanner abgeben, der
mit dem Operator-Interface zur Datenbank in Verbindung steht. Der
Fingerabdruck-Scanner kann ein beliebiger den Fachleuten bekannter
Scanner sein. Bei einem Ausführungsbeispiel
des erfindungsgemäßen Identätitsprüfungssystems
ist der Fingerabdruck-Scanner ein Secure Touch PC Scanner, der von
der Biometric Access Corporation (BAC) gekauft werden kann. Die
biometrische(n) Kennung(en), wie Abbildungen von Fingerabdrücken der
betreffenden Person, können
dann vom Scanner zum Operator-Interface übertragen werden. Die biometrische(n)
Kennung(en) können
in jeder den Fachleuten bekannten Weise über das Operator-Interface analysiert und/oder
für die
Speicherung vorbereitet werden. Zum Beispiel, falls die biometrischen
Kennungen Abbildungen von Fingerabdrücken sind, können von den
Abbildungen mittels BAC-Software oder einem anderen den Fachleuten
bekannten Software-Typ Kennzeichenschablonen extrahiert werden.
Die Kennzeichenschablonen entfernen Fremddaten von der Abbildung,
um den Vergleich der biometrischen Abbildungen zu erleichtern.
-
Auch
andere biometrische Kennungen als Fingerabdrücke oder zusätzliche
Kennungen hierzu können
verwendet werden. Zum Beispiel können Netzhaut-
oder Gesichts-Scannen,
DNA- oder Sprachproben, Herzschlag-Kennzeichen usw. des Kartenbesit zers
genommen und gespeichert werden. Diese verschiedenartigen biometrischen
Kennungen können
entweder unabhängig
voneinander oder in Kombination verwendet werden, um den Besitzer
der Sicherheitsfreigabekarte zu identifizieren.
-
Auch
eine oder mehrere Abbildungen des künftigen Kartenbesitzers können für die Aufnahme in
die Datenbankaufzeichnung aufgenommen werden. Diese Abbildungen
können
digital oder jede andere Art von Fotografie sein. Wenn eine Abbildung
digital ist, kann sie direkt an das Operator-Interface und die Datenbank übertragen
werden. Wenn eine Abbildung jedoch nicht digital ist, kann sie in
ein digitales Format eingelesen werden, wie den Fachleuten bekannt
ist, oder auf andere Weise in ein Format gebracht werden, das geeignet
ist, um an das Operator-Interface und die Datenbank übertragen
zu werden. Um das Bild des künftigen
Kartenbesitzers aufzunehmen, kann das Operator-Interface mit jedem den
Fachleuten bekannten Art Bild-Aufnahmegerät in Verbindung stehen.
-
Bei
einem Ausführungsbeispiel
eines erfindungsgemäßen Systems
zur Überprüfung der
Identität
kann das Bild des künftigen
Kartenbesitzers mit jedem TWAINkonformen Bilderfassungsgerät aufgenommen
werden. TWAIN ist eine Computer-Hardware
und Software sowohl für
das Festlegen eines Standardprotokolls als auch eines Anwendungsprogramm-Interface
(API) für
die Verbindung zwischen Software-Anwendungs-
und Bildanwendungs-Geräten
und ist erhältlich
von der Twain Working Group. Sobald ein Bild des künftigen
Kartenbesitzers erstellt worden ist, kann das Bild über TWAIN
oder jede andere den Fachleuten bekannte Technik zum Operator-Interface übertragen
werden. Das Bild kann dann analysiert und/oder zum Speichern in
der Karte auf jede den Fachleuten bekannte Weise über das
Operator-Interface für
die Speicherung aufbereitet werden. Zum Beispiel kann der Operator
das Bild beschneiden oder das zur Speicherung in der Datenbank und/oder
der Karte vorgesehene Bild auf andere Weise aufbereiten.
-
Zusätzlich können die
biometrische Kennung(en), Bilder und/oder andere Identitätsdaten,
die von der Person erfasst wurden, in einem Format aufbereitet werden,
das kompatibel ist mit vorhandenen Datenbanken der Strafverfolgungsbehörden mit
gespeicherten biometrischen Kennungen, Bildern und anderen Identitätsdaten.
Demnach können
die erfassten biometrischen Kennzeichen, Bilder und/oder andere
Identitätsda ten
mit der passenden Datenbank oder den passenden Datenbanken der Strafverfolgungsbehörden verglichen
werden, um, falls vorhanden, polizeiliche Erkenntnisse bezüglich der
Person zu erhalten. Außerdem
können
die von der Person erfassten biometrischen Kennzeichen, Bilder und/oder
andere Identitätsdaten
zu den zuständigen Datenbanken
der Strafverfolgungsbehörden übertragen
werden, um diese Datenbanken zu ergänzen oder zu aktualisieren,
falls gewünscht.
Bei diesen Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung steht
das Operator-Interface und/oder die Datenbank über ein konventionelles oder
drahtloses Netzwerk, wie etwa ein Großraumnetz, mit den Datenbanken
der Strafverfolgungsbehörden
in Verbindung.
-
Beispielsweise
ist bei einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung das
Operator-Interface und/oder die Datenbank verbunden mit dem Automatic
Fingerprint Identification Systems (AFIS) (Automatisches Fingerabdruck-Erkennungssystem),
das bei zahlreichen Strafverfolgungsbehörden der Bundesstaaten und/oder
des Bundes vorhanden ist. Wenn also ein Fingerabdruck oder mehrere
Fingerabdrücke
von einer Person vorliegen, die eine Sicherheitsfreigabekarte erhalten
möchte,
können
die Fingerabdrücke zum
Vergleich mit den in der Datenbank gespeicherten Fingerabdrücken zur
AFIS übertragen
werden. Dieses Vorgehen ermöglicht
bei der Überprüfung der Identität eines
künftigen
Kartenbesitzers auch ein anderes Verfahren, in dem die übertragenen
biometrischen Kennungen und/oder Abbildungen abgeglichen werden
mit vorhandenen Kennungen und/oder Bildern in den Datenbanken der
Strafverfolgungsbehörden,
und in dem festgestellt wird, ob die Person, die mit irgendeinem
passenden vorhandenen biometrischen Kennzeichen und/oder einem Bild
assoziiert ist, die gleiche Person ist wie diejenige, die dem Operator
eine biometrische Kennung und/oder ein Bild vorlegt.
-
Ein
weiterer wichtiger Aspekt der Sicherheitsfreigabekarte entsprechend
der vorliegenden Erfindung ist die Fähigkeit, die Daten bezüglich der Identität des Kartenbesitzers
auf der Karte selbst zu speichern. Insbesondere können, sobald
der Operator den Datensatz in die Datenbank eingegeben hat, oder
während
der Operator den Datensatz in die Datenbank eingibt, alle Daten
oder zumindest ein Teil der Daten, die in dem Datensatz enthalten
sind, in der Karte gespeichert werden, etwa in dem Speichermedium
der Karte (z.B. CD-ROM, Chipkartenspeicher, usw.) und/oder dem Datenspeicherabschnitt der
Sicherheitsfreigabekarte 10.
-
Bei
einigen Ausführungsbeispielen
ist es wesentlich, dass mindestens der Teil des Datensatzes, der
die biometrische Kennung enthält,
in oder auf der Karte gespeichert werden kann, um die Karte zu einem
autonomen System zu machen. Das gibt dem Sicherheitssystem die Möglichkeit,
den Kartenbesitzer zu überprüfen, ohne
auf Daten aus einer Netzwerk-Datenbank zugreifen zu müssen.
-
Zusätzlich zum
Erfassen, Überprüfen und Speichern
von Identitätsdaten,
wie oben beschrieben, kann der Operator auch Felddaten und Extra-Daten
in die Sicherheitsfreigabekarte aufnehmen, überprüfen und in der Karte speichern.
Wie oben erwähnt,
können
die Felddaten jede Art von Information einschließen, die für verschiedene Anwendungen
der Karte notwendig sein können.
Zusätzlich
können
die Felddaten auf der Grundlage der Sicherheitsstufe aufgetrennt
werden, die jedem in den Felddaten enthaltenen Datentyp zugeordnet
ist. Die verschiedenen Ausführungsbeispiele
der Sicherheitsfreigabekarten entsprechend der vorliegenden Erfindung
können mehrere
Kombinationen von Felddaten-Typen enthalten. Zum Beispiel können die
mit einer Person assoziierten Felddaten Angaben zum Führerschein, zum
Wähler-Verzeichnis,
zur Beschäftigung,
zum Bankkonto und alle anderen Arten gewünschter Angaben enthalten.
Bei anderen Ausführungsbeispielen der
Sicherheitsfreigabekarte 10 gemäß der vorliegenden Erfindung
können
die Felddaten mit einem Objekt (materiell oder immateriell) assoziiert
sein. Wenn beispielsweise die Felddaten mit einem Fahrzeug assoziiert
sind, können
die Felddaten die Angaben dazu enthalten, was und/oder wen das Fahrzeug befördert, das
Fahrtenbuch des Fahrzeugs und jede andere Information, die mit dem
Fahrzeug oder seinem Betrieb verbunden ist.
-
Jeder
An von Felddaten können
verschiedene Sicherheitsstufen zugeordnet sein, und die Daten innerhalb
jeder An von Felddaten können
ebenso verschiedene ihnen zugeordnete Sicherheitsstufen haben. Wie
nachstehend genauer erklärt
wird, kann jede Person, die in der Lage ist, die Karte zu lesen, nur
auf die Daten zugreifen, die für
den speziellen Fall direkt anwendbar sind, und zwar aufgrund der
Sicherheitsstufen, die jeder Art von Felddaten und auch innerhalb
jeder An von Felddaten zugeordnet sind. Zum Beispiel kann eine niedrigere
Datenstufe den Namen des Kartenbesitzers und möglicherweise ein digitales
Bild des Besitzers umfassen. Daten mit höherer Sicherheitsstufe können persönliche Angaben zum
Besitzer enthalten, wie die Adresse, Kon tonummern, usw. Daten noch
höherer
Sicherheitsstufe können
noch sensiblere Informationen enthalten. Eine Einschränkung bei
konventionellen Systemen ist, dass alle diese Daten typischerweise
jedem zugänglich
sind, der die Karte einliest, unabhängig von der Sensibilität der Daten.
Die vorliegende Erfindung jedoch verringert dieses Problem, indem
sie gewährleistet,
dass ein spezielles Kartenlesegerät und/oder der Operator eines
Kartenlesegeräts
nur Daten einer bestimmten Stufe oder bestimmter Stufen lesen kann,
wie nachstehend im einzelnen beschrieben wird.
-
Nicht
nur die Identitäts-,
Feld- und/oder andere Daten, sondern auch die Umstände der
Erstellung der Karte und der Datenspeicherung werden in der Karte 10 gespeichert
(nachstehend als „Erstellungsdaten" bezeichnet). Wenn
zum Beispiel ein Operator die Daten in die Karte einspeichert, können auch
die Angaben zur Identität
des Operators in der Karte gespeichert werden. Die Identität der Geräte, die
benutzt wurden, um die Daten des Kartenbesitzers in der Karte zu
speichern und um die Karte herzustellen, können ebenfalls in der Karte
gespeichert werden. Außerdem
kann die Identität
des Servers oder der Datenbank, von dem oder der die Daten des Kartenbesitzers
erhalten, verarbeitet oder gespeichert wurden, in der Karte gespeichert
werden. Das Erstellungsdatum und jede andere Art von Information
bezüglich
der Erstellung der Karte und der Speicherung der Daten in der Karte
kann ebenfalls in den in der Karte gespeicherten Daten enthalten
sein. Demnach können
alle Informationen, die zum Verfolgen der Erstellung der Karte und
der Speicherung der Daten auf der Karte benötigt werden, direkt in der Karte
gespeichert werden, so dass diese Information unmittelbar zugänglich ist,
wenn irgendwelche Fragen bezüglich
der Karte auftreten. Die Tatsache, dass alle Daten, einschließlich der
Erstellungsdaten, direkt auf der Karte gespeichert sind und kein
Zugriff auf eine separate Datenbank für diese Daten notwendig ist,
erhöht
die Geschwindigkeit und die Sicherheit des Sicherheitssystems gemäß der vorliegenden
Erfindung beträchtlich
im Vergleich zu konventionellen Sicherheitssystemen, die hinsichtlich
vieler der vom System benutzten Daten von separaten Datenbanken
abhängen.
-
Weil
die Sicherheitsfreigabekarte 10 gemäß der vorliegenden Erfindung
nicht nur einen CD-ROM-Bereich 22, sondern auch einen Datenspeichermedium-Bereich 24 umfassen
kann, wie oben beschrieben, kann der Zugriff auf bestimmte Daten
zusätzlich
noch weiter beschränkt
werden auf Grundlage der Stelle, auf der die Daten gespeichert sind,
des Typs des Kartenlesegeräts
und/oder der Identität
eines Operators des Kartenlesegeräts. Zum Beispiel können bei
einem Ausführungsbeispiel
der vorliegenden Erfindung Daten mit niedrigerer Sicherheitsstufe
im Datenspeichermedium-Abschnitt 24 gespeichert sein, der
auf der Vorderseite der Karte aufgedruckt ist, während Daten mit höherer Sicherheitsstufe
im CD-ROM-Bereich 22 gespeichert sein können. Ein spezielles Kartenlesegerät kann nur
ein Lesegerät
für das
Datenspeichermedium umfassen, wie ein Lesegerät für einen Streifencode, einen
Magnetstreifen oder dergleichen, so dass die einzigen Daten, auf
die das Kartenlesegerät
zugreifen kann, diejenigen Daten sind, die in dem Datenspeichermedium
gespeichert sind, das sich auf der Vorderseite der Karte befindet.
Außerdem
kann bei dem oben beschriebenen Beispiel ein bestimmter Operator
nur für den
Zugang zu den Daten mit niedrigerer Sicherheitsstufe befugt sein,
und demnach kann der Operator in der Lage sein, nur ein Kartenlesegerät für den Teil
der Karte mit dem Datenspeichermedium zu bedienen. So bringt das
Vorhandensein verschiedener Speichermedien auf der Karte ein weiteres
Sicherheitsmerkmal für
die Karten mit sich, das konventionelle Sicherheitsfreigabekarten
nicht besitzen.
-
Außerdem ist
die Sicherheitsfreigabekarte 10 gemäß der vorliegenden Erfindung
in der Lage, große
Mengen verschiedener Datentypen zu tragen, und alle für die Überprüfung der
Identität
benötigten Angaben
und alle anderen anzuwendenden Daten sind in der erfindungsgemäßen Sicherheitsfreigabekarte
enthalten. Es besteht keine Notwendigkeit, auf eine zentrale Datenbank
zuzugreifen, um die biometrischen Daten zu erhalten, mit denen der
Biometrie-Scan der Person, die die Karte vorlegt, verglichen werden
soll, oder um irgendwelche andere Daten zu erhalten, die ein Kartenlesegerät benötigen könnte. So
stellt die Karte in Verbindung mit einem Kartenlesegerät, wie es
nachstehend ausführlich
beschrieben wird, eine preiswertere, effizientere und zuverlässigere
Technik als konventionelle Techniken dar, um die Identität der Besitzer
von Sicherheitsfreigabekarten zu überprüfen.
-
Zusätzlich zu
Bereitstellung einer Sicherheitsfreigabekarte mit verschiedenartigen
Kennzeichen zur Überprüfung der
Identität
des Kartenbesitzers hat das Sicherheitsprüfungssystem mehrere Kennzeichen,
die dazu dienen, die Sicherheit der in der Karte gespeicherten Daten
zu gewährleisten.
Jedes dieser Kennzeichen wird nachstehend unter getrennten Überschriften
besprochen.
-
A. Komprimierung
-
Die
Daten, einschließlich
der biometrischen Daten, und wahlweise das Foto, die in der Karte
gespeichert sind, wie etwa in der CD-ROM 22 und/oder dem
Datenspeichermedium 24, können in jeder den Fachleuten
bekannten Art komprimiert werden. Zum Beispiel können die Daten digital mit
syntaktischer Komprimierung, einer Komprimierung auf der Grundlage
eines Wörterbuchs,
wie TextComp-Komprimierung, die von der Digital Data Research Company
erhältlich
ist, und/oder jeder arithmetischen Komprimierung verarbeitet werden.
Durch die Verwendung eines Komprimierungsschemas, um die in der
Karte gespeicherten Daten zu verdichten, kann die Karte die maximale
Datenmenge aufnehmen.
-
Wie
oben beschrieben, werden die in der Karte 10 gespeicherten
Daten üblicherweise
in Sätzen
oder Paketen gespeichert, um die Komprimierung der in der Karte
gespeicherten Daten weiter zu erleichtern. Die Datensätze können in
jeder den Fachleuten bekannten Weise angeordnet werden. Zum Beispiel
können
die Datensätze
in festgelegten Feldspeicherstellen angeordnet sein, die hinsichtlich effizienter
Speicherung und Verarbeitung Vorteile bieten, wobei aber Schwierigkeiten
auftreten, wenn Änderungen
an den Datensätzen
anstehen. Bei anderen Ausführungsbeispielen
der vorliegenden Erfindung kann die Anordnung der Daten unter Einschluß eines
linguistischen Artefakts erfolgen, wie Feldkennzeichen, Zeichen
für das
Ende des Datensatzes und/oder syntaktische und semantische Artefakte. Dieses
Verfahren ist wünschenswert,
weil es Flexibilität
bei Änderungen
an den Datensätzen
bietet. Jedes andere geeignete Verfahren kann für die Anordnung verwendet werden,
je nach den Erfordernissen des speziellen Einsatzes der Karte 10.
-
B. Verschlüsselung
-
Die
Daten, einschließlich
der biometrischen Daten und wahlweise das Foto, die in der Karte 10 gespeichert
sind, etwa der CD-ROM 22 und/oder dem Datenspeichermedium 24,
können
in jeder den Fachleuten bekannten Weise verschlüsselt werden. Bei einem Ausführungsbeispiel
der erfindungsgemäßen Karte 10 können die
Daten, wie vorste hend beschrieben, vor der Verschlüsselung
komprimiert werden. Bei alternativen Ausführungsbeispielen der vorliegenden
Erfindung können
die Daten ohne vorheriges Komprimieren verschlüsselt werden.
-
Jedes
den Fachleuten bekannte Verschlüsselungsverfahren
kann zum Verschlüsseln
der in der Karte gespeicherten Daten verwendet werden. Beispielsweise
kann jede Art von Verschlüsselungsalgorithmus
zum Verschlüsseln
der Daten benutzt werden und die Verschlüsselung kann einen Schlüssel enthalten.
Wenn die Verschlüsselung
einen Schlüssel
enthält,
können
der Inhalt und die Größe des Schlüssels in
regelmäßigen Zeitabständen geändert werden.
So können
verschiedenartige Verschlüsselungsverfahren
geschaffen werden, je nach der verwendeten Anzahl und dem verwendeten
Typ des Verschlüsselungs-Algorithmus,
ob ein Schlüssel
mit dem Algorithmus benutzt wird und, falls ja, je nach dem Inhalt
und der Größe des Schlüssels. Die
Verschlüsselungs-Algorithmen
können
dynamisch erzeugte Blockzahl-Verschlüsselungs-Algorithmen sein.
-
Das
oder die für
eine einzige Karte oder für einen
Kartensatz verwendeten Verschlüsselungsverfahren
können
als der Verschlüsselungs-Cocktail
bezeichnet werden. So können
mehrer Arten von Verschlüsselungs-Cocktails
geschaffen werden, so dass jede Karte oder jeder Kartensatz einen
unterschiedlichen Verschlüsselungs-Cocktail
hat. Die verschiedenen Verschlüsselungs-Cocktails
sind daher einzigartige Verschlüsselungs-Strukturen,
die für
diese Karte oder diesen Kartensatz bestimmt sind. Zum Beispiel hat
eine Karte oder ein Kartensatz, die für den Zugang zu einem bestimmten
Gebäude
einer Firma verwendet werden, einen unterschiedlichen Verschlüsselungs-Cocktail zu demjenigen
der Karte oder des Kartensatzes, die für den Zugang zu einem anderen Gebäude der
Firma verwendet werden. Diese Art der Zuordnung von Verschlüsselungen
schafft ein sehr sicheres Umfeld, denn selbst wenn die Verschlüsslungs-Struktur
für eine
Karte oder einen Kartensatz herausgefunden wird, bleibt die Sicherheit
der anderen Karten oder Kartensätze
erhalten, was bei Sicherheitssystemen nach dem früheren Stand
der Technik anders ist, vor allem bei denen, die Mikroprozessor-Karten
verwenden.
-
Zusätzlich kann
mehr als eine Art von Verschlüsselungsverfahren
verwendet werden, um verschiedene Sätze der auf der Karte gespeicherten
Daten zu verschlüsseln.
So kann ein unterschiedliches Verschlüsselungsverfahren den verschiedenartigen Daten
zugeordnet werden, die in der Karte gespeichert sind, beispielsweise
je nach der Sicherheitsstufe, die den Daten zugeordnet ist, und/oder
der Sensibilität
der Daten. Beispielsweise kann jede der verschiedenen Sicherheitsstufen,
die für
die Identitäts- und
Felddaten und/oder für
Extra-Daten gelten, die, in der Karte gespeichert sind, wie vorstehend
beschrieben, ein verschiedenes Verschlüsselungsverfahren zugeordnet
sein. Diese Konfiguration in Verbindung mit der Zuordnung der Fähigkeit,
dass potentielle Leser der in der Karte gespeicherten Daten nur
eine bestimmte Art der Verschlüsselung
oder der Verschlüsselungen
lesen können,
gewährleistet, dass
die Person, die die Karte liest, befugt ist, nur die Teile der in
der Karte gespeicherten Daten lesen und/oder auf diese zugreifen
zu können,
die für
die mit dem Leser verbundene Anwendung passend sind.
-
Wie
bereits erwähnt,
kann eine Sicherheitsfreigabekarte unterschiedliche Datenstufen
umfassen. Zum Beispiel können
Daten geringerer Sicherheitsstufe den Namen des Kartenbesitzers
und möglicherweise
ein digitales Bild des Besitzers umfassen. Daten mit höherer Sicherheitsstufe
können
persönliche
Angaben zum Besitzer, wie Adresse, Kontonummern, usw. umfassen.
Daten noch höherer
Sicherheitsstufe können
sensiblere Angaben enthalten. Eine Beschränkung bei konventionellen Systemen besteht
darin, dass alle diese Daten üblicherweise
für jeden
zugänglich
sind, der die Karte einliest, ohne Rücksicht auf die Sensibilität der Daten.
Die vorliegende Erfindung jedoch verringert dieses Problem. Insbesondere
ordnet das erfindungsgemäße System Daten,
die den Kartenbesitzer betreffen, in verschiedene Sicherheitsstufen
ein und erlaubt nur jenen Operatoren der Kartenlesegeräte Zugang
zu den Daten, die befugt sind zum Zugang zu der speziellen Sicherheitsstufe,
die mit den Daten assoziiert ist.
-
Zum
Beispiel können
bestimmte Kartenlesegeräte
und Operatoren oder Operatorengruppen für die Kartenlesegeräte nur auf
bestimmte in der Karte gespeicherte Datensätze zugreifen. Die Kartenlesegeräte können so
ausgelegt sein, dass sie nur eine bestimmte Art oder bestimmte Arten
der Verschlüsselungen
entschlüsseln
können,
was die Zugangsmöglichkeit
des Kartenlesegeräts
zu denjenigen Daten begrenzt, die mit anderen Arten der Verschlüsselung
verschlüsselt
sind. Außerdem
kann jedem Operator oder jeder Operatorengruppe die Möglichkeit zugewiesen
werden, nur jene Verschlüsselungsart für die Daten
zu lesen, auf die jeder Operator oder jede Operatorengruppe zugreifen
darf. Ungeachtet dessen, ob das Kartenlesegerät und/oder der Operator befugt
ist, eine bestimmte Verschlüsselungsart
zu lesen, können
die verschlüsselten
Daten mittels eines Verschlüsselungs-Lesegeräts 58 gelesen
werden, wie in 5 gezeigt ist.
-
Die
Identitätsdaten,
Felddaten und/oder Extra-Daten, die in der Karte gespeichert sind,
können mit
unterschiedlichen Verschlüsselungsverfahren verschlüsselt werden,
abhängig
von der Sicherheitsstufe, die dem speziellen Datentyp zugeordnet
ist. Bei dem in 1 gezeigten Beispiel ist beispielsweise
der Operator 20 so eingestuft, dass er nur die Verschlüsselung
von Daten der ersten Stufe lesen darf, wie etwa einen Teil der in
der Karte gespeicherten Identitätsdaten,
während
der Manager oder die Manager des Operators so eingestuft sind, dass
sie nicht nur die Verschlüsselung
der Daten der ersten Stufe lesen dürfen, sondern auch die Verschlüsselung(en)
von mindestens einem Teil der Daten, denen eine höhere Sicherheitsstufe
zugewiesen ist, was dem Manager oder den Managern helfen kann, das Risiko
abzuschätzen,
das ein Kartenbesitzer für
das Unternehmen darstellt. Bei anderen Ausführungsbeispielen des Sicherheitssystem
gemäß der vorliegenden
Erfindung können
die Grunddaten der Identität des
Kartenbesitzers, wie Name, Anschrift und biometrische Kennung, unverschlüsselt sein,
während
alle anderen Identitäts-,
Feld- und/oder Extra-Daten verschlüsselt sind. Demnach können einige
Kartenlesegeräte
und/oder Operatoren nicht die Befugnis haben, irgendeine Art von
Verschlüsselung
zu lesen, so dass nur die Grunddaten der Identität zugänglich sind, ohne dass es möglich ist,
auf verschlüsselte
Daten zuzugreifen
-
Außerdem können die
Verschlüsselungsverfahren
eine Verbindung zu der biometrischen Kennung des Kartenbesitzers
haben. Demnach können die
in der Karte enthaltenen Daten nur dann von einem Lesegerät entschlüsselt werden,
wie nachstehend im einzelnen beschrieben wird, wenn der Biometrie-Scan
der Person, die die Karte vorlegt, mit der biometrischen Kennung
des Kartenbesitzers übereinstimmt,
die mindestens im CD-ROM-Abschnitt der Karte 22 gespeichert
ist. Zusätzlich
ist durch die Verbindung des oder der Verschlüsselungsverfahrens für die in
der Karte gespeicherten Daten mit dem Biometrie-Scan des Kartenbesitzers
jedes Verschlüsselungsverfahren,
das für
jede einzelne Karte verwendet wird, unterschiedlich, was die Sicherheit
der auf der Karte enthaltenen Daten erhöht.
-
Bei
weiteren Ausführungsbeispielen
der vorliegenden Erfindung können
das oder die Verschlüsselungsverfahren
mit den Erstellungsdaten verbunden sein, die in der Karte gespeichert
sind. So ist die Verschlüsselung
der in jeder Karte gespeicherten Daten verschieden aufgrund der
unterschiedlichen Umstände
der Erstellung, die mit jeder Karte assoziiert sind.
-
Die
oben beschriebenen verschiedenartigen Verschlüsselungsverfahren bieten ein
sehr sicheres Umfeld, um die Kartendaten mit sensibler Sicherheit zu
speichern. Außerdem
ist nur eine Karte gefährdet, wenn
der Verschlüsselungs-Cocktail
für eine
Karte in unbefugter Weise entdeckt wird. Bei konventionellen Sicherheitsfreigabekarten,
bei denen alle Karten die gleiche Sicherheitsstruktur in der Karte
oder in einer Datenbank haben, wie Mikroprozessor-Karten, Chipkarten
und dergleichen, ist die Situation völlig verschieden, weil, falls
die Sicherheitsstruktur für
die Karten und/oder die Datenbank entdeckt wird, dann die Sicherheit
aller oder einer großen
Zahl der Karten gefährdet
ist.
-
Da
jede Karte potentiell verschiedene Anordnungen der Daten (wie unter
der Überschrift „Komprimierung" beschrieben ist)
und verschiedene Verfahren zur Verschlüsselung der Daten verwenden
kann, müssen
die in jeder Karte verwendete Datenordnung und Verschlüsselung
an die Kartenlesegeräte
in der Weise mitgeteilt werden, dass die Kartenlesegeräte in der
Lage sind, die geeigneten Datensätze,
die in der Karte gespeichert sind, zu finden und zu lesen. Bei einem
Ausführungsbeispiel
des erfindungsgemäßen Sicherheitssystems
kann eine Datenbank und/oder ein tabellarisches Verfahren verwendet werden,
um die Anordnung, Verschlüsselung
und jede andere Information aufzuzeichnen, die mit den Datensätzen zusammenhängt. Die
Datenbank und/oder Tabelle kann in der Karte 10 gespeichert werden.
Zusätzlich
kann jedem in einer Karte gespeicherten Datensatz eine ID-Nummer
zugeordnet werden, die benutzt werden kann, um die Information bezüglich des
Datensatzes in der Datenbank und/oder Tabelle zu finden.
-
Wenn
ein Kartenlesegerät
einen in der Karte gespeicherten Datensatz einliest, wird die ID-Nummer
aus dem Datensatz extrahiert. Dann greift das Kartenlesegerät auf die
Datenbank und/oder die Tabelle zu und verwendet die ID-Nummer, um
die Angaben bezüglich
der Anordnung des Datensatzes, der Verschlüsselung des Datensatzes sowie alle
anderen Angaben bezüglich
des Datensatzes zu finden. Wenn das Kartenlesegerät und/oder
der Operator, der sich im Kartenlesegerät angemeldet hat, dazu befugt
sind, die Verschlüsselungsart,
die dem Datensatz zugeordnet ist, zu entschlüsseln, dann kann das Kartenlesegerät den Datensatz
lesen. Ungeachtet dessen, ob das Kartenlesegerät den Datensatz liest, kann
es den Datensatz dann an eine andere nachgeordnete Anwendung übertragen,
wie hier nachstehend beschrieben wird.
-
C. Kartenlesegeräte
-
Das
Sicherheitssystem zur Überprüfung gemäß der vorliegenden
Erfindung kann ferner Kartenlesegeräte 16 umfassen, die
in der Lage sind, eine erfindungsgemäße Sicherheitsfreigabekarte 10 zu
lesen, um die Identität
des Kartenbesitzers zu überprüfen, und
die in bestimmten Fällen
zumindest auf einen Teil der Identitätsdaten, Felddaten und/oder
Extra-Daten zuzugreifen, die in der Karte gespeichert sind. Eine
schematische Darstellung eines Ausführungsbeispiels eines Kartenlesegeräts 16,
die einige Funktionen der Kartenlesegeräts zeigt, ist in 5 dargestellt.
Das Kartenlesegerät
kann ein CD-ROM-Lesegerät 34 enthalten,
das in der Lage ist, mindestens einen Teil der Daten zu lesen, die
in der CD-ROM der Karte 22 gespeichert sind. Insbesondere
ist das CD-ROM-Kartenlesegerät 34 in
der Lage, biometrische Daten des Kartenbesitzers zu lesen, die im
CD-ROM-Teil der Karte 22 gespeichert sind. Zusätzlich kann
das Kartenlesegerät 16 ein
Lesegerät 36 umfassen,
das in der Lage ist, mindestens einen Abschnitt des Datenspeichermediums
der Karte 24 zu lesen. So ist das Kartenlesegerät 36 in
der Lage, mindestens einen Teil der codierten Daten, die in dem
Datenspeichermedium gespeichert sind, zu decodieren. Wenn zum Beispiel
das Datenspeichermedium, das auf der Karte erscheint, ein Streifencode ist,
dann wird das Kartenlesegerät 16 gemäß der vorliegenden
Erfindung einen Streifencode-Scanner als Lesegerät enthalten.
-
Das
erfindungsgemäße Kartenlesegerät 16 kann
außerdem
mindestens einen Biometrie-Sensor 40 enthalten, um auf
eine biometrische Kennung eines Kartenbesitzers zugreifen zu können. Die
Art der Biometrie-Sensoren hängt
von der Art der biometrischen Daten ab, die eingelesen werden sollen.
Beispielsweise können
einer oder mehrere der Biometrie-Sensoren ein Fingerabdruck-Scanner,
ein Netzhaut-Scanner, ein Stimmerkennungs-Gerät, usw. sein.
-
Die
Kartenlesegeräte 16 umfassen
auch ein Prozessorelement 38, das die Daten vom CD-ROM-Lesegerät 34,
dem Lesegerät 36,
den Biometrie-Sensoren 40 und/oder jedem anderen Element
aufnimmt, das in der Lage ist, Daten von der Karte 10 und/oder
der Person zu erfassen, die die Karte vorlegt. Das Prozessorelement 38 ist
in der Lage, die biometrische Kennung des Kartenbesitzers, die in
der Karte gespeichert ist, mit dem Biometrie-Scan der die Karte
vorlegenden Person zu vergleichen, das vom Kartenlesegerät mittels
des geeigneten Typs des Biometrie-Sensors 40 aufgenommen wird.
Wenn der Vergleich einen Unterschied zwischen den zwei Biometrien
ergibt, der innerhalb einer gegebenen Toleranz liegt, dann wird
die Person, die die Karte vorlegt, vom Sicherheitssystem als der
Kartenbesitzer eingestuft. Der Toleranzgrad kann auf jeden gewünschten
Wert eingestellt werden. Zum Beispiel kann der Toleranzgrad auf
einen Wert eingestellt werden, der bei allen Ergebnissen, die nicht vollkommene Übereinstimmung
zeigen, verhindert, dass die Person, die die Karte vorlegt, als
Besitzer der Karte angesehen wird. Wahlweise kann der Toleranzgrad
auf einen Wert eingestellt sein, der ein gewisses Maß an Abweichung
zwischen den zwei Biometrien zuläßt.
-
Wenn
die Person, die die Karte 10 vorlegt, als Kartenbesitzer
akzeptiert wird, dann kann der Übereinstimmungs-Indikator 42 über einen
Sender 44 eine Übereinstimmungsmeldung
an den geeigneten Indikator übertragen,
der sich außerhalb
des Kartenlesegeräts 16 befindet.
Zum Beispiel kann der Indikator eine lichtaussendende Diode (LED)
sein, die eine spezifische Farbe aufleuchten läßt, um eine Übereinstimmung
anzuzeigen, oder er kann eine Anzeige in einem Display sein.
-
Die
Kartenlesegeräte 16 sind
auch in der Lage, ein Protokoll aller Zugangsversuche, erfolgreicher
und erfolgloser, durch Aufzeichnen der biometrischen Kennzeichen
der Person zu führen,
die Zugang zu erhalten versucht. Das Speicherelement oder Protokoll 46 kann
in einer Datenbank gespeichert werden, die sich am gleichen Ort
wie das Kartenlesegerät
befindet, und kann in bestimmten Zeitabständen in ein permanentes oder
zeitweiliges Speicherelement heruntergeladen werden, oder es kann
gelöscht
werden, je nach der speziellen Verwendung des Kartenlesegeräts. Demnach
können die
Kartenlesegeräte
autonom sein oder mit mindestens einem entfernten Speicherelement 48,
wie einer Datenbank, in Verbindung stehen, und zwar über jede
Art von Netzwerk 32, konventionell oder drahtlos, wie ein
lokales Netz, ein Großraumnetz,
ein Intranet und/oder das Internet, wie in 4 gezeigt
ist. Bei anderen Ausführungsbeispielen
der vorliegenden Erfindung müssen
die Kartenlesegeräte
nicht in der Lage sein, ein Protokoll von Zugangsversuchen vor Ort
zu speichern, auch nicht vorübergehend,
aber sie können über ein
Netzwerk in Verbindung stehen mit einem entfernten Speicherelement 48,
wie etwa einer Datenbank, wie oben beschrieben wurde. So können Daten
bezüglich
der Zugangsversuche zum Zeitpunkt des Versuchs direkt zu dem entfernten
Speicherelement 48 übertragen
werden. Die Protokolldaten 46, die die vorgelegten biometrischen
Kennzeichen einschließen,
können
analysiert werden, um alle Personen zu identifizieren, die gerade
versuchen, eine Sicherheitsfreigabekarte zu benutzen, die ihnen
nicht gehört.
Dann können,
falls erforderlich, geeignete Maßnahmen gegen diese Personen
ergriffen werden.
-
Die
Kartenlesegeräte 16 können bemannt oder
unbemannt sein, je nach dem Aufstellungsort des Kartenlesegeräts. Zum
Beispiel können
Ausführungsbeispiele
des Kartenlesegeräts
herkömmliche Computer
oder andere Arten von Geräten
sein, wie durch die Geräte 30, 50, 52 und 54 in 4 gezeigt ist.
Die Geräte
können
stationär
oder beweglich sein je nach dem speziellen Verwendungszweck des
Kartenlesegeräts 16.
-
Für ein bemanntes
Kartenlesegerät 16 kann ein
Operator des Kartenlesegeräts
nötig sein,
der sich beim Kartenlesegerät
anmeldet, das dann die Identität
des Operators aufzeichnet. Um sich anzumelden, müssen die potentiellen Operatoren
des Kartenlesegeräts
mindestens ein biometrisches Kennzeichen vorlegen, das mit den biometrischen Kennungen
des potentiellen Operators abgeglichen werden kann, die in dem Kartenlesegerät gespeichert
sind und/oder auf die das Kartenlesegerät zugreifen kann. Zum Beispiel
können
biometrische Kennungen eines portentiellen Operators in einem Speicherelement 48 gespeichert
sein, das vom Kartenlesegerät
getrennt ist, aber mit dem Kartenlesegerät in Verbindung steht. Bei
anderen Ausführungsbeispielen
des Kartenlesegeräts 16 können die
biometrischen Kennungen eines potentiellen Operators in einem in
dem Kartenlesegerät
enthaltenen Speicherelement gespeichert sein, so dass das Kartenlesegerät ein autonomes
Gerät ist,
das keinen Zugang zu einem entfernten Element benötigt. Jedes
Mal, wenn sich der Operator beim Kartenlesegerät anmeldet, muß er mindestens
ein biometrisches Kennzeichen vorlegen, das mit den biometrischen
Kennungen verglichen werden kann, die im Kartenlesegerät gespeichert
sind oder auf die das Kartenlesegerät zugreifen kann. Wenn das
biometrische Kennzeichen des Operators mit einer biometrischen Kennung übereinstimmt,
die im Kartenlesegerät
gespeichert ist und/oder auf die das Kartenlesegerät Zugriff
hat, kann dem Operator die Betätigung
des Kartenlesegeräts
genehmigt werden. Wenn das vom Operator vorgelegte biometrische
Kennzeichen nicht mit einer biometrischen Kennung übereinstimmt,
die im Kartenlesegerät
gespeichert ist und/oder die dem Kartenlesegerät zugänglich ist, kann dem Operator
der Zugang zum Kartenlesegerät
verweigert werden, er kann aufgefordert werden, ein anderes biometrisches
Kennzeichen beizubringen und/oder irgendeine andere Funktion, die
auf dem speziellen Verwendungszweck und/oder dem Aufstellungsort
des Kartenlesegeräts
beruht. Auch hier kann das Kartenlesegerät ein Protokoll der biometrischen
Daten speichern, die bei Nutzungsversuchen des Systems eingescannt
wurden, zwecks einer späteren
Analyse und Feststellung der Personen, die versuchen, in das System
einzubrechen.
-
Wie
bereits erwähnt,
kann eine Sicherheitsfreigabekarte verschiedene Sicherheitsstufen
für Daten
umfassen. Zum Beispiel können
Daten niedrigerer Sicherheitsstufe den Namen des Kartenbesitzers und
möglicherweise
ein digitales Bild von ihm umfassen. Daten höherer Sicherheitsstufe können persönliche Angaben
zum Kartenbesitzer enthalten wie die Anschrift, Nummern von Konten,
usw. Daten noch höherer
Sicherheitsstufe können
sensiblere Informationen enthalten. Eine Beschränkung bei konventionellen Systemen
liegt darin, dass alle diese Daten üblicherweise für jeden
zugänglich
sind, der die Karte einliest, ohne Rücksicht aus die Sensibilität der Daten.
Die vorliegende Erfindung bringt eine Verbesserung dieses Problems.
Insbesondere ordnet das erfindungsgemäße System Informationen bezüglich des
Kartenbesitzers in verschiedene Sicherheitsstufen ein und erlaubt
den Zugang zu dieser Information nur jenen Kartenlesegeräten und/oder
jenen Operatoren der Kartenlesegeräte, die die Befugnis haben, zu
dieser bestimmten Sicherheitsstufe Zugang zu haben, mit der die
Information verbunden ist.
-
So
können
zusätzlich
zur Speicherung der biometrischen Kennungen der potentiellen Operatoren
der Kartenlesegeräte
auch andere Daten, die mit den potentiellen Operatoren der Kartenlesegeräte oder
mit Operatoren-Gruppen der Kartenlesegeräte assoziiert sind, im Kartenlesegerät selbst
oder in einem entfernten Speicherelement gespeichert werden, mit
dem das Kartenlesegerät über irgendeinen Netzwerktyp 32 oder
derglei chen in Verbindung steht. Zum Beispiel kann bei einem Ausführungsbeispiel
der vorliegenden Erfindung eine Information bezüglich der Zugangsstufe zu den
auf der Karte gespeicherten Daten, nämlich Identitätsdaten,
Felddaten und/oder Extra-Daten, wie oben beschrieben, die jedem
potentiellen Operator oder jeder Operatoren-Gruppe eines bestimmten
Kartenlesegeräts
zugewiesen ist, auch da gespeichert werden, wo sie dem Kartenlesegerät zugänglich ist.
Demnach kann das Kartenlesegerät
nur bestimmte Teil der in der Karte enthaltenen Daten lesen, abhängig von
der Identität
und/oder Art des Operators, der beim Kartenlesegerät angemeldet
ist, und auf der Grundlage der Zugangsstufe, die dem Operator zugeordnet
ist.
-
Bei
einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung, das sich
in einem Flughafen befindet, kann zum Beispiel einem Operator oder
einer Operatoren-Gruppe eines Kartenlesegeräts, etwa einem Wachmann oder wachleuten,
die sich am Eingang des Flughafens befinden, eine Zugangsstufe zuerkannt
werden, die es dem Operator erlaubt, nur einen Teil der Identitätsdaten,
nämlich
biometrische Kennung, Name, Adresse, Geburtsdatum und/oder Gültigkeits-
und Ablaufdaten, von den auf der Karte gespeicherten Daten zu lesen.
Demnach kann das Wachpersonal nur die Ergebnisse des biometrischen
Vergleichs sehen, wie hier oben beschrieben, und mindestens einen
Teil der anderen Identitätsdaten
bezüglich
des Kartenbesitzers ansehen. Bei diesem Ausführungsbeispiel kann ein anderer
potentieller Operator oder eine Operatoren-Gruppe des Kartenlesegeräts, wie
etwa ein oder mehrere Flughafen-Manager,
eine Zugangsberechtigung zu einer Stufe haben, die den oder die
Manager dazu berechtigt, andere Teile der Identitätsdaten, Felddaten
und/oder Extra-Daten zu lesen, die in der Karte gespeichert sind.
Zum Beispiel können
bei Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung die
Identitätsdaten
verglichen werden mit einer Liste von Identitätsdaten von Personen, die identifiziert
wurden als Personen, von denen eine mögliche Gefährdung der Sicherheit des Flughafens/des
Flugzeugs ausgeht. Wenn die Person, die die Karte vorlegt, in die
Liste passt, dann kann sich ein Flughafen-Manager beim Kartenlesegerät anmelden,
das die biometrische Kennung des Flughafen-Managers mit der damit
verbundenen Berechtigung erkennt, auf weitere in der Karte gespeicherten
Daten zuzugreifen, und es dem Flughafen-Manager erlaubt, auf diejenigen
Teile der Daten zuzugreifen, die dem Flughafen-Manager dabei helfen können, das
Risiko abzuschätzen,
das von dieser bestimmten Person für den Flughafen/das Flugzeug ausgeht.
-
Bei
einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Überprüfung der
Identität
können
bestimmte Operatoren oder Operatoren-Gruppen der Kartenlesegeräte nur auf
bestimmte Teile der in der Karte gespeicherten Daten zugreifen, indem
jedem Operator oder jeder Operatoren-Gruppe die Befähigung zuerkannt
wird, nur die Art der Verschlüsselung
mittels eines Verschlüsselungs-Lesegeräts 58,
wie in 5 gezeigt, für
diejenigen Daten zu lesen, für
die jeder Operator oder jede Operatoren-Gruppe die Zugangsberechtigung hat.
Wie oben beschrieben, können
die Identitätsdaten,
Felddaten und/oder Extra-Daten, die in der Karte gespeichert sind,
mit verschiedenen Verfahren verschlüsselt werden, je nach der Sicherheitsstufe,
die dem speziellen Datentyp zugeordnet ist. Zum Beispiel können bei dem
oben beschriebenen Beispiel die Wachleute die Befugnis haben, nur
die Verschlüsselung
der Identitätsdaten
oder eines Teils der Identitätsdaten,
die auf der Karte enthalten sind, zu lesen, während der oder die Flughafen-Manager
die Befugnis haben können, nicht
nur die Verschlüsselung
eines Teils oder aller auf der Karte enthaltenen Identitätsdaten
zu lesen, sondern auch die Verschlüsselung(en) mindestens jener
Teile der in der Karte gespeicherten-Felddaten und/oder Extra-Daten, die
dem Flughafen-Manager dabei helfen können, das Risiko abzuschätzen, das ein
Kartenbesitzer für
den Flughafen/das Flugzeug darstellt.
-
Bei
weiteren Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitäsprüfung der können bestimmte
Operatoren der Kartenlesegerät die
Befähigung
haben, die in der Sicherheitsfreigabekarte 10 gespeicherten
Daten zu verändern,
das heißt,
auszutauschen, hinzuzufügen
und/oder zu löschen.
Zum Beispiel kann die Karte 10 eine CD-ROM 22,
wie etwa eine CDRW, zum Speichern der Identitätsdaten, Felddaten und/oder
Extra-Daten enthalten und ein Operator kann in der Lage sein, die
in der CD-ROM gespeicherten
Daten nicht nur zu lesen, sondern die Daten auch zu verändern durch
Austauschen, Löschen
und/oder Hinzufügen
zu den Daten. Bei anderen Ausführungsbeispielen
der vorliegenden Erfindung kann die Karte eine CD-ROM 22,
wie etwa eine CDR, zum Speichern der Identitätsdaten, Felddaten und/oder
Extra-Daten enthalten und ein Operator kann in der Lage sein, die
Daten nur zu lesen. Wenn der Operator befugt ist, Änderungen
an den in der CDR gespeicherten Daten vorzunehmen, beziehen sich
diese Änderungen
nur auf das Hinzufügen zu
den in der Karte gespeicherten Daten, ohne Änderung oder Löschen der
vorhandenen Daten, die in der Karte gespeichert sind. Selbstverständlich können andere
Verfahren zum Schreiben von Daten verwendet werden.
-
Bei
anderen Ausführungsbeispielen
der vorliegenden Erfindung, nämlich
denjenigen Ausführungsbeispielen,
die nicht eine so strenge Sicherheit für die in den Karten gespeicherten
Daten gewährleisten,
kann eine CD-ROM verwendet werden, bei der, außer dem Lesen, geschriebene
Daten gelöscht, ausgetauscht
oder verändert
werden dürfen.
Dieser CD-ROM-Typ wird üblicherweise
als CDRW bezeichnet.
-
Die
Kartenlesegeräte 16,
die von diesen Operatoren bedient werden, haben daher auch Einrichtungen
zum Einschreiben von Daten, wie etwa eine Tastatur 60 oder
eine andere Art Erfassungselement, um Informationen aufzunehmen,
und sie sind mit dem Potential ausgestattet, über einen Sender 44 die
modifizierten Daten in dem für
diese vorgesehenen Teil der Karte zu speichern. Die Befugnis, Änderungen
an den in einer Karte gespeicherten Daten vorzunehmen, kann mit
der biometrischen Kennung des individuellen Operators verbunden
sein, so dass der Operator, wenn er sich bei einem Kartenlesegerät anmeldet,
mindestens ein biometrisches Kennzeichen vorlegt, das mit der gespeicherten
biometrischen Kennung des potentiellen Operators abgeglichen wird,
wie oben beschrieben wurde, und das Kartenlesegerät erkennt,
dass der Operator die Befugnis hat, Änderungen an den in der Karte
gespeicherten Daten vorzunehmen. Bei einem Ausführungsbeispiel des erfindungsgemäßen Systems
zur Identitätsprüfung darf
der Operator keine Änderungen
an seiner oder ihrer eigenen Sicherheitsfreigabekarte vornehmen,
so dass jede Änderung,
die an einer Sicherheitsfreigabekarte durchgeführt wird, von einer dritten
Person überprüft werden
muss, bevor sie in der Karte gespeichert wird. Außerdem können bei
einigen Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung alle Änderungen,
die an den in der Karte gespeicherten Daten vorgenommen wurden,
zurückverfolgt
werden, so dass die genaue Abänderung
und der Operator, der die Abänderung
vorgenommen hat, identifiziert und in der Karte und/oder einem entfernten
Speicherelement gespeichert werden, falls die Einzelheiten bezüglich der
Abänderung
zu einem späteren
Zeitpunkt benötigt
werden. Wie oben bezüglich
der Karten beschrieben wurde, bei denen Daten in einer CDR gespeichert
sind, können
die Abänderungen
die früheren
in der Karte gespeicherten Daten nicht vollständig überschreiben, um die Änderung
an den in der Karte gespeicherten Daten weiterhin nachvollziehen zu
können,
so dass die Abänderungen
eine zusätzliche
Datenschicht über
die früheren
Daten legen und keine der früheren
Daten löschen.
So kann auf die früheren
Daten zu einem späteren
Zeitpunkt zugegriffen werden, falls die früheren Daten gebraucht werden
sollten.
-
Als
ein weiteres Sicherheits-Verfahren können die Kartenlesegeräte auch
in der Lage sein, die Sicherheitsfreigabekarten zu prüfen, um
die Integrität der
Karten zu überprüfen, bevor
einer Person der Zugang zu einem Ort oder Objekt gestattet wird
und bevor die in der Karte gespeicherten Karten bei verschiedenen
Anwendungen als verläßlich angesehen werden.
Demnach kann die Karte hoch gesicherte interne Kontrollen enthalten,
die von dem Kartenlesegerät überprüft werden
können.
Außerdem
kann das Kartenlesegerät
in der Lage sein, die Modifizierungsdaten zu prüfen, um sicherzustellen, dass
Abänderungen
an den in der Karte gespeicherten Daten gemäß den oben beschriebenen Verfahren
ausgeführt wurden.
Wenn irgendeine Diskrepanz bei den Daten oder den internen Kontrollen
der Karte auftritt, dann kann das Kartenlesegerät der Person den Zugang zu dem
gewünschten
Ort verweigern und, bei den bemannten Kartenlesegeräten, dem
Operator die Diskrepanz anzeigen. Wenn zum Beispiel das Kartenlesegerät eine Diskrepanz
bei den Daten oder den internen Kontrollen der Karte nachweist,
kann das Kartenlesegerät
spezielle Farben und/oder Symbole zeigen, um den Ort und/oder die
Art der Diskrepanz anzuzeigen. Eine solche Diskrepanz kann dem bemannten
oder unbemannten Kartenlesegerät
auch einen Impuls geben, um eine oder mehrere Aktionen auszulösen, wie
nachstehend ausführlicher
beschrieben wird.
-
Üblicherweise
sind die unbemannten Kartenlesegeräte nur in der Lage, zumindest
einen Teil der Identitätsdaten
von den auf der Karte gespeicherten Daten zu lesen, so dass die
unbemannten Kartenlesegeräte
den Zugang zu einem Ort oder einem Objekt (materiell oder immateriell)
erlauben oder verweigern können,
und zwar auf der Grundlage des Vergleichs zwischen der in der Karte
gespeicherten biometrischen Kennzeichen und dem Biometrie-Scan, das
das Kartenlesegerät
von der Person aufnimmt, die die Karte vorlegt. Bei anderen Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Überprüfung der
Identität
jedoch können
bemannte und/oder unbemannte Kartenlesegeräte auch in der Lage sein, alle
Identitätsdaten,
mindestens einen Teil der Felddaten und/oder die Extra-Daten zu
lesen, die in der Karte gespeichert sind, je nach der speziellen Anwendung
des Kartenlesegeräts.
In der gleichen Weise wie oben beschrieben, kann jedes Kartenlesegerät nur auf
bestimmte Teile der Identi tätsdaten, Felddaten
und/oder Extra-Daten zugreifen, die in der Karte gespeichert sind,
indem jedes Kartenlesegerät mit
der Fähigkeit
ausgestattet wird, nur die Verschlüsselungsart für diejenigen
Daten zu lesen, zu denen das betreffende Kartenlesegerät Zugriff
haben darf.
-
Der
Datentyp und/oder die Datenmenge, auf die ein Kartenlesegerät zugreifen
darf, kann so variiert werden, dass die Objekte, zu denen ein bestimmter
Kartenbesitzer Zugang hat, variiert werden können. Bei einem Ausführungsbeispiel
des erfindungsgemäßen Sicherheitssystems
kann ein zentraler Knoten, wie etwa das Kontrollzentrum 56,
mit einem oder mehreren Kartenlesegeräten 16 in dem Sicherheitssystem
in Verbindung stehen. Änderungen
hinsichtlich der Art des Zugangs, der einem bestimmten Karteninhaber
gestattet ist, können
dann am zentralen Knoten vorgenommen und an das betreffende Kartenlesegerät übermittelt
werden. Zum Beispiel kann Karteninhaber A ursprünglich befugt sein, alle Objekte
einer bestimmten Organisation zu betreten. Infolge von Änderungen
bei den Objekten und/oder von Änderungen
des Status des Karteninhabers A können sich die Zugangsgenehmigungen
des Karteninhabers A ändern,
so dass er nicht länger
befugt ist, durch Tür 5 der
Organisation zu gehen. Die Änderungen
an den Genehmigungen des Karteninhabers A können im zentralen Knoten vorgenommen
werden und der zentrale Knoten übermittelt
die Änderungen an
das betreffende Kartenlesegerät,
das bei diesem Beispiel das Kartenlesegerät an Tür 5 ist. Das Kartenlesegerät an Tür 5 wird
nun dem Karteninhaber A den Zutritt zu Tür 5 verweigern. In ähnlicher
Weise kann sich auch die Datenmenge und der Datentyp ändern, auf
die ein Operator eines Kartenlesegeräts zugreifen kann. Folglich
macht es dieses Sicherheitssystem möglich, Änderungen bezüglich des
Zugangs von Karteninhabern effizient durchzuführen, wobei auch gewährleistet
bleibt, dass die Zugangsentscheidungen auf der Stufe des Kartenlesegeräts erfolgen, statt
dass das Kartenlesegerät
jedes Mal, wenn eine Entscheidung getroffen werden muss, bei einer
entfernten Datenbank anfragen muss, wie es bei konventionellen Sicherheitssystemen
der Fall ist.
-
Deshalb
bieten die erfindungsgemäßen Sicherheitsfreigabekarten 10 in
Verbindung mit den Kartenlesegeräten 16 nicht
nur ein sichere, zuverlässige
und effiziente Technik, um zu bestimmen, ob eine Person, die eine
Sicherheitsfreigabekarte vorlegt, tatsächlich der Kartenbesitzer ist,
sondern sie gewährleisten
auch, dass das Kartenlesegerät und/oder
jede Person, die ein Kartenlesegerät bedient, nur auf die notwendigen
Da ten zugreifen kann. Demnach bleiben die privaten Angaben, die
mit dem Kartenbesitzer assoziiert sind, auch privat, und nur denjenigen
Lesegeräte
und/oder denjenigen Personen, die zum Zugriff auf die privaten Angaben
befugt sind, wird der Zugang hierzu gestattet. Zusätzlich können Änderungen
hinsichtlich des Datentyps und/oder der Datenmenge, die einem Kartenlesegerät und/oder
dem Operator eines Kartenlesegeräts zugänglich sind, über einen
zentralen Knoten ausgeführt
und an das oder die betreffende(n) Kartenlesegerät(e) übermittelt werden, so dass Änderungen wirksam
ausgeführt
werden, aber Entscheidungen bezüglich
des Zugangs kontinuierlich bei den Kartenlesegeräten liegen.
-
Bemannte
und/oder unbemannte Kartenlesegeräte 16 können auch
ein Display 62 umfassen, wie etwa den in 1 gezeigten
Monitor 18, um dem Operator und/oder der die Karte vorlegenden
Person Informationen anzuzeigen. Zum Beispiel können bei Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung, die
bemannte oder unbemannte Kartenlesegeräte 16 umfassen, die
Operatoren und/oder die Personen, die die Karte vorlegen, auf ein
Display schauen, das zumindest anzeigt, ob die in der Karte gespeicherten
biometrischen Kennungen mit dem Biometrie-Scan der die Karte vorlegenden
Person übereinstimmen.
Diese Anzeige kann darin bestehen, dass mindestens ein Abschnitt des
Display-Bildschirms aufgrund des Ergebnisses des biometrischen Vergleichs
in eine bestimmte Farbe wechselt, etwa grün, wenn die Biometrie übereinstimmt,
und rot, wenn die Biometrie nicht übereinstimmt. Alternativ oder
zusätzlich
zu der Farbe, die dem Operator auf dem Display gezeigt wird, können dem
Operator auch Worte, Symbole und/oder Gegenstände gezeigt werden, um die
Ergebnisse des biometrischen Vergleichs ausführlicher anzuzeigen. Beispielsweise
kann ein "ja", „okay", Daumen-nach-oben-Symbol
oder dergleichen auf dem Bildschirm erscheinen, wenn die biometrischen Kennzeichen übereinstimmen,
und ein „nein", „stop", Stopzeichen-Symbol
oder dergleichen kann auf dem Bildschirm erscheinen, wenn die biometrischen Kennzeichen
nicht übereinstimmen.
Bei anderen Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung, die
bemannte und/oder unbemannte Kartenlesegeräte 16 umfassen, kann zumindest
ein Teil der Identitätsdaten,
das heißt,
die biometrische Kennung, der Name, die Adresse und/oder das Geburtsdatum
des Kartenbesitzers, und/oder die Gültigkeits- und Ablaufdaten
der Karte, auf dem Display erscheinen, wenn das Kartenlesegerät die Identitätsdaten
liest. Aus Gründen
der Sicherheit und des Schutzes der Privatsphäre können die unbemannten und/oder
die bemannten Kartenlesegeräte 16 die
Menge der Identitätsdaten
beschränken,
die auf dem Display erscheinen. Wenn der bei einem bemannten Kartenlesegerät angemeldete Operator
zumindest einen Teil der Felddaten und/oder Extra-Daten auf der
Karte lesen darf, dann können
diese Daten für
den Operator über
den Bildschirm 62 ebenfalls erscheinen.
-
Je
nach dem Ergebnis des biometrischen Vergleichs kann das Kartenlesegerät bestimmte
Aktionen auslösen.
Bei einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung können bemannte
und/oder unbemannte Kartenlesegeräte 16 durch den Aktionsstarter 64 Aktionen
auslösen,
wie etwa hörbaren
oder stillen Alarm, wenn die biometrischen Kennzeichen nicht übereinstimmen und/oder
wenn die in der Karte gespeicherten Identitätsdaten mit Identitätsdaten übereinstimmen,
die mit Personen assoziiert sind, die aus irgendeinem Grund identifiziert
worden sind. Zum Beispiel können
die Kartenlesegeräte
in der Lage sein, Identitätsdaten
zu speichern oder auf sie zuzugreifen, die mit Personen assoziiert
sind, die identifiziert worden sind etwa aufgrund von bestimmten
Punkten, die mit der Person verbunden sind, oder aus irgendeinem
anderen Grund. Die Kartenlesegeräte
können
dann die in einer Karte gespeicherten Identitätsdaten mit den Identitätsdaten
vergleichen, die in Kartenlesegeräten entweder vor oder nach
dem biometrischen Vergleich gespeichert wurden, jedoch bevor der
Person, die die Karte vorlegt, der Zugang zu dem gewünschten
Ort oder Objekt gestattet wird, und auch bevor die auf der Karte
gespeicherten Daten als zuverlässig
gelten. Deshalb zeigt der stille oder hörbare Alarm dem Operator des
Kartenlesegeräts
an, dass die Person, die die Karte vorlegt, aufgrund der Anwendung
und/oder des Ortes des Kartenlesegeräts eingehender überprüft werden
sollte. Bei anderen Ausführungsbeispielen
des erfindungsgemäßen Systems
zur Identitätsprüfung können mittels
des Aktionsstarters 64 von dem Kartenlesegerät andere
Aktionen ausgelöst werden,
wie etwa die sofortige Verbindung zu einem Manager und/oder Strafverfolgungsbeamten,
nämlich
eine nachgeordnete Anwendung, wenn die biometrischen Kennzeichen
nicht übereinstimmen und/oder
wenn die in der Karte gespeicherten Identitätsdaten mit Identitätsdaten übereinstimmen,
die mit Personen assoziiert sind, die aus irgendeinem Grund identifiziert
worden sind. Die Maßnahme
dieser Art kann mit oder ohne den oben beschriebenen Alarm und/oder
irgendeine Maßnahme
anderer Art ausgelöst
werden.
-
Das
Kartenlesegerät
kann auch in der Lage sein, Instruktionen zu lesen, die in dem Kartenlesegerät, den individuellen
Sicherheitsfreigabekarten und/oder an einer anderen Stelle gespeichert
sind und für
das Kartenlesegerät
zugänglich
sind. Die Instruktionen können
die Art der Maßnahmen
enthalten, die auszulösen
sind aufgrund der Ergebnisse eines biometrischen Vergleichs, der
Analyse der Identitätsdaten
und/oder der Information, die von der Person gegeben wird, die die
Karte vorlegt. Zum Beispiel kann das Kartenlesegerät Instruktionen
lesen, die es anweisen, verschiedene Maßnahmen aufgrund der Art der
Biometriedaten auszulösen,
die von dem Kartenbesitzer gezeigt werden. Bei einem Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung kann
beispielsweise das Kartenlesegerät angewiesen
werden, normale Bedienvorgänge
auszuführen,
das heißt,
der Person, die die Karte vorlegt, den Zugang zu gestatten oder
zu verweigern aufgrund eines biometrischen Vergleichs, sobald die Person,
die die Karte vorlegt, dem Kartenlesegerät einen Zeigefinger-Abdruck
der rechten Hand zeigt. Wenn die Person jedoch einen Fingerabdruck
eines anderen Fingers zeigt, kann das Kartenlesegerät angewiesen
sein, sofort eine Person oder Organisation zu benachrichtigen, die
in der Situation helfen kann, wie etwa einen Manager und/oder Strafverfolgungsbeamte.
Diese Funktion bei Ausführungsbeispielen des
Kartenlesegeräts 16 kann
vorteilhaft sein in Situationen, in denen das Kartenlesegerät 16 in
der Lage ist, den Zugang zu wertvollen, sensiblen Informationen
und/oder Orten zu gestatten. In Situationen beispielsweise, wo das
Kartenlesegerät 16 dem
Kartenbesitzer den Zugang zu einem Bankkonto gestattet, kann der
Kartenbesitzer in normalen Situationen einen Zeigefinger-Abdruck
der rechten Hand vorweisen, wenn aber der Kartenbesitzer in Gefahr
ist, wenn etwa eine andere Person den Kartenbesitzer zwingt, den
Zugang zu dem Bankkonto so durchzuführen, dass die andere Person
Zugang dazu erhalten kann, dann kann der Kartenbesitzer einen Fingerabdruck
von einem anderen Finger abgeben, was das Kartenlesegerät dazu veranlasst,
sofort Strafverfolgungsbeamte zu benachrichtigen, das heißt, eine nachgeordnete
Anwendung auszulösen.
-
Wie 6 zeigt,
kann jedes vorhandene Sicherheitssystem entsprechend der vorliegenden
Erfindung so konfiguriert werden, dass nur bestimmte Kartenlesegeräte, bestimmte
Operatoren von Kartenlesegeräten,
bestimmte Karteninhaber und/oder bestimmte nachgeordnete Anwendungen
zu bestimmten Stufen und/oder Unter-Stufen der Daten Zugang haben,
die in der Karte 10 gespeichert sind. 6 zeigt
ein Sicherheitssystem, bei dem jede Karte mindestens 10 Stufen
für die
gespeicherten Daten ausweist, und jede Stufe kann noch mehr als
eine Unterstufe haben, wie mit den Stufen eins und 7 gezeigt
wird. Die potentiellen Benutzer oder Unterklassen von Benutzern
der in den Karten des Sicherheitssystems gespeicherten Daten werden
quer über
die Kopfzeile der Tabelle aufgelistet. Zum Beispiel gibt es drei
Unterklassen von Kartenlesegeräten
(CR1, CR", CR3),
drei Unterklassen von Operatoren der Kartenlesegeräte (OP1,
OP2, OP3), drei Unterklassen von Kartenbesitzern (CO1, CO2, CO3)
und drei Unterklassen von nachgeordneten Anwendungen (AP1, AP2,
AP3) als potentielle Benutzer der Daten, die auf den Karten des
in 6 dargestellten Sicherheitssystems gespeichert
sind. Andere Ausführungsbeispiele
des erfindungsgemäßen Sicherheitssystems können eine
unterschiedliche Anzahl, falls vorhanden, von Stufen, Unterstufen
und/oder Unterklassen von Benutzern umfassen. Bei weiteren Ausführungsbeispielen
können
die Klassen der Benutzer nicht in Unterklassen aufgeteilt sein,
sondern stattdessen kann jeder Benutzer einzeln aufgeführt sein.
-
Ein „X" in dem Kasten direkt
unter einer potentiellen Unterklasse von Benutzern zeigt an, dass die
Unterklasse die Stufe und/oder Unterstufe von Daten lesen kann,
die mit der Reihe verbunden ist, in der das X steht. Zum Beispiel,
wie in 6 gezeigt, kann CR1 alle Daten lesen, die in den
Stufen 1–4 einer
Karte 10 gespeichert sind, während OP3 nur Daten lesen kann,
die in Stufe 8 gespeichert sind. Dadurch, dass nur bestimmte
Datentypen in bestimmten Stufen und/oder Unterstufen gespeichert
sind, und dadurch, dass strategisch zugeordnet wird, welche potentiellen
Unterklassen von Benutzern welche Stufen und/oder Unterstufen lesen
können,
bietet das Sicherheitssystem gemäß der vorliegenden
Erfindung Flexibilität,
Effizienz und Datenschutz, die herkömmliche Sicherheitssysteme
nicht bieten. Während
das Sicherheitssystem gemäß der vorliegenden Erfindung
funktionieren kann, ohne Zugang zu einer entfernten Datenbank oder
einem Speicherelement irgendeiner Art haben zu müssen, ist es außerdem auch
in der Lage, die in einer Karte gespeicherten Daten an andere Benutzer
weiterzugeben, wie etwa an nachgeordnete Anwendungen des Sicherheitssystems,
die davon entfernt liegen können.
Wie zum Beispiel in 6 gezeigt, ist CR1 nicht in
der Lage, die in Stufe 10 einer Karte gespeicherten Daten
zu lesen, aber CR1 kann die Daten von Stufe 10 an AP2 übertragen,
wo die Daten der Stufe 10 gelesen werden können.
-
Zusätzlich bietet
das erfindungsgemäße Sicherheitssystem
die Möglichkeit,
bedingten Zugang zu bestimmten Stufen und/oder Unterstufen von in der
Karte gespeicherten Daten zu gestatten. Zum Beispiel kann ein Operator
oder ein Kartenbesitzer als Eigentümer einer oder mehrerer Datenstufen und/oder
Unterstufen bezeichnet sein. Nachdem das Kartenlesegerät anfangs
eine Karte eingelesen hat und die Überprüfung der Identität des Operators und/oder
des Kartenbesitzers durchführt,
indem es biometrische Kennzeichen abgleicht, wie oben beschrieben,
kann das Kartenlesegerät
den Eigentümer
einer Stufe und/oder Unterstufe von Daten auffordern, den Zugang
zu den Daten zu genehmigen oder zu verweigern. Bei einem Ausführungsbeispiel des
erfindungsgemäßen Sicherheitssystems
kann der Eigentümer
aufgefordert werden, eine andere biometrische Probe vorzulegen,
um die Zustimmung des Eigentümers
anzuzeigen. Bei dem in 6 gezeigten Beispiel kann CO3
eine Unterklasse von Kartenbesitzern sein, die verlangt haben, dass
sie von Fall zu Fall genehmigen können, ob ein anderer Benutzer
oder eine andere Unterklasse von Benutzern die Sozialversicherungsnummer
des Kartenbesitzers lesen darf. Angenommen, dass Stufe 9 die
Sozialversicherungsnummer des Kartenbesitzers enthält, dann
muss der Kartenbesitzer in der CO3-Unterklasse zustimmen, bevor
einem Operator der OP2-Unterklasse und/oder einer nachgeordneten
Anwendung in der AP2-Unterklasse der Zugang zu den Daten in Stufe 9 genehmigt
wird.
-
Die
Kartenlesegeräte 16 sind
daher in der Lage zu gewährleisten,
dass nur die passende Datenart von irgendeinem potentiellen Benutzer
des Sicherheitssystems gelesen, angeschaut und/oder auf sie zugegriffen
wird. Zusätzlich
können
sich die Instruktionen für
die Kartenlesegeräte,
die ein Prozessorelement enthalten, innerhalb der Kartenlesegeräte befinden,
so dass für
das Kartenlesegerät
keine Notwendigkeit besteht, wegen Instruktionen oder Daten zu einem
entfernten Gerät
Zugriff zu haben. Außerdem
sind die Kartenlesegeräte
in der Lage, die Versuche zu protokollieren, Sicherheitsfreigabekarten
zu benutzen, indem sie die biometrische Erscheinung speichern, die
dem Kartenlesegerät
gezeigt wird, so dass alle betrügerischen
Versuche, die Karten zu benutzen, leicht durch die Analyse der gespeicherten
biometrischen Kennungen festgestellt werden können. Demnach bieten die Kartenlesegeräte in Verbindung
mit den Sicherheitsfreigabekarten der vorliegenden Erfindung eine
sichere, flexible und billige Technik nicht nur für die Überprüfung der
Identität einer
Person, sondern auch für
die Ab sicherung, dass nur befugte Personen die Daten eines Kartenbesitzers
anschauen können
und/oder auf sie zugreifen dürfen.
-
D. Anwendungsbeispiele
-
Bestimmte
vorteilhafte Ausführungsbeispiele des
erfindungsgemäßen Systems
zur Identitätsprüfung werden
nun nachstehend beschrieben. Das System zur Identitätsprüfung bietet
eine breite Palette von Anwendungsmöglichkeiten, und diese speziellen
Ausführungsbeispiele
werden nur beispielhaft vorgestellt. Das System zur Identitätsprüfung kann beispielsweise
in Seehäfen,
Flughäfen,
zur Registrierung von Ausländern
(sowohl Studenten als auch Arbeitskräften), in Regierungs- und Privatgebäuden, Kraftwerken,
Wasserkraftanlagen und Gefängnissen eingesetzt
zu werden, um nur einige Möglichkeiten zu
nennen. Die Erklärung
dieser Ausführungsbeispiele
beinhaltet die oben gegebenen Beschreibungen des Identitätsprüfungs-Systems,
einschließlich der
Sicherheitsfreigabekarten, gemäß der vorliegenden
Erfindung.
-
Ein
Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung kann
bei jeder Anwendung eingesetzt werden, bei der Angestellte oder
andere Personen eine Hintergrund-Kontrolle passieren müssen, bevor
sie zu „gesperrten
Bereichen" Zugang
erhalten. Sobald eine Hintergrund-Kontrolle durchgeführt wurde
und die jeweiligen geltenden Verfahren durchlaufen wurden, kann für den Angestellten
oder die andere Person eine Sicherheitsfreigabekarte entsprechend
der vorliegenden Erfindung ausgestellt werden. Da die Sicherheitsfreigabekarte
eine biometrische Kennung des Karteninhabers speichert und da die
Person, die die Karte vorlegt, ein übereinstimmendes biometrisches Kennzeichen
abgeben muß,
bevor der Zutritt zu dem gesperrten Bereich gewährt wird, ist die Gefahr demnach
gering, dass eine Person, die keine Hintergrund-Kontrolle in Übereinstimmung mit den entsprechenden
Verfahren passiert hat, Zutritt zu den gesperrten Bereichen erhalten
kann. Diese Art der Anwendung kann für Seehäfen, Kraftwerke, Wasserkraftwerke,
Regierungs- und Privatgebäude,
Gefängnisse
und jeden anderen Ort eingesetzt werden, der bestimmte Bereiche
und/oder Objekte umfasst, die nur für eine ausgewählte Gruppe
von Leuten zugänglich
sein dürfen.
-
Bei
anderen Ausführungsbeispielen
kann von Personen verlangt werden, dass sie sich mit ihrer Sicherheitsfreigabekarte über das
Kartenlesegerät abmelden,
wenn sie den gesperrten Bereich verlassen. Bei diesem Ausführungsbeispiel
ist das System zur Identitätsprüfung in
der Lage, die Länge
der Zeit und/oder die Anzahl der Zutritte einer bestimmten Person
zu bestimmten Bereichen zu verfolgen. Dieser Datentyp kann bei mehreren
anderen nachgeordneten Anwendungen verwendet werden, wie etwa Anwendungsprogramme
für Abrechnungen
und/oder Anwendungsprogramme, die zeitliche Beschränkungen
bezüglich
der in einem bestimmten Bereich verbrachten Zeit durchsetzen, wie
etwa Beschränkungen
der Zeitdauer, während
der eine Person Strahlung ausgesetzt sein kann. Bei dem letzteren
Beispiel gibt das Kartenlesegerät
der betreffenden Person keinen Zugang mehr zu dem gesperrten Bereich,
sobald die Person die Zeitgrenze erreicht hat, selbst wenn die biometrischen
Kenneichen der Person mit den in der Karte enthaltenen biometrischen
Kennungen übereinstimmen.
Sobald die Person der Strahlung wieder ausgesetzt werden darf, gibt
das Kartenlesegerät
der Person den Zugang zu dem gesperrten Bereich wieder frei. Außerdem kann
es bei bestimmten Anwendungen wünschenswert
sein, einer Person den Zutritt zu einem bestimmten Bereich zu gestatten,
sie aber aus dem Bereich nicht hinausgehen zu lassen, zumindest
für eine
vorherbestimmte Zeitdauer. Das erfindungsgemäße Sicherheitssystem ist also auch
in der Lage, diese Anwendung zu realisieren.
-
Bei
einem anderen Ausführungsbeispiel
des erfindungsgemäßen Systems
zur Identitätsprüfung kann
eine Sicherheitsfreigabekarte anstelle einer Person mit einem Objekt
verbunden sein, entweder materiell oder immateriell. Beispielsweise
kann eine Sicherheitsfreigabekarte mit einer Verschiffung verbunden
sein, so dass die Karten Daten bezüglich der Verschiffung speichert,
wie etwa den Inhalt, die Herkunft, den Bestimmungsort, den Eigentümer und
alle anderen Daten bezüglich
der Verschiffung. Zusätzlich
speichert die Karte die Identitätsdaten
einer Person, die für
die Verschiffung verantwortlich ist, so dass das oder die biometrischen
Kennzeichen der Person in der Karte gespeichert sind und die Person einen
passenden Biometrie-Scan bieten muss, um für die Rechtsgültigkeit
der Verschiffung zu bürgen.
-
Das
erfindungsgemäße System
zur Identitätsprüfung kann
auch zur Identifizierung und Registrierung von Wählern eingesetzt werden. Beispielsweise
kann die Wahlregistrierung einer Person in der Karte gespeichert
sein und Stimmabgabelokale können
Kartenlesegeräte
haben. Wahlhelfer können
so als Operatoren der Kartenlesegeräte eingesetzt werden mit der
Möglichkeit,
nur die Teile der in den Sicherheitsfreigabekarten gespeicherten
Daten zu lesen, die das Wählerverzeichnis
betreffen. Daher kann eine Person seine oder ihre Karte einem Wahlhelfer
vorlegen, der ein Kartenlesegerät
bedient, das die auf der Karte gespeicherten biometrischen Kennzeichen
mit mindestens einem Biometrie-Scan vergleicht, den die Person zeigt.
Wenn die biometrischen Kennzeichen übereinstimmen und die Angaben
zur Wählerregistrierung
der Person überprüft worden
sind, dann kann die Person ihre Stimme in dem Wahllokal abgeben.
Damit verringert das erfindungsgemäße System zur Identitätsprüfung in
hohem Maß das
Risiko eines Wahlbetrugs, indem gewährleistet ist, dass die Person,
die ihre Stimme abgibt, auch die Person ist, die im Wählerverzeichnis registriert
ist.
-
Ausführungsbeispiele
des Identitätsprüfungs-Systems
entsprechend der vorliegenden Erfindung können auch für die Registrierung und die
weitere Lokalisierung von ausländischen
Staatsangehörigen
eingesetzt werden, und zwar von Studenten und von Arbeitskräften. Bei
dieser Anwendung kann die erfindungsgemäße Sicherheitsfreigabekarte
an jeden ausländischen
Staatsangehörigen
ausgegeben werden, und die Karte enthält Identitätsdaten hinsichtlich des betreffenden
Ausländers
einschließlich
mindestens einer gespeicherten biometrischen Kennung. Die Ausländer können aufgefordert
werden, sich in bestimmten Zeitabständen bei einer zuständigen amtlichen
Dienststelle zu melden, so dass die Regierung Informationen erhalten
kann bezüglich des
Status des ausländischen
Staatsangehörigen, um
so zu gewährleisten,
dass dieser weiterhin an einer Schule eingeschrieben ist und/oder
im Land arbeitet. Wenn sich ein ausländischer Staatsangehöriger bei
der zuständigen
Dienststelle meldet und die Karte vorlegt, kann ein Beamter in der
Dienststelle ein Kartenlesegerät
bedienen, um zumindest einen Teil der in der Karte enthaltenen Identitätsdaten
zu lesen und zu überprüfen, ob
mindestens ein biometrisches Kennzeichen der Person mit dem/den
in der Karte gespeicherten biometrischen Kennzeichen übereinstimmt.
Der Beamte kann dann den Status des ausländischen Staatsangehörigen aufgrund
von dessen Aktivitäten
feststellen. Ein Protokoll wird darüber erstellt, dass sich der
Ausländer
gemeldet hat, um zu dokumentieren, dass dieser seine oder ihre Verpflichtungen
erfüllt
hat. Wenn sich der ausländische
Staatsangehörige
nicht meldet oder wenn sich sein Status geändert hat, dann kann das erfindungsgemäße System
zur Identitätsprüfung diese
Information automatisch an die zuständigen Beamten weiterleiten,
so dass sie geeignete Maßnahmen
ergreifen können.
Bei diesem Ausführungsbeispiel
kann das Kartenlesegerät
mit einer zentralen Kontrolleinrichtung und/oder einer nachgeordneten
Anwendung in Verbin dung stehen, die die Informationen über den ausländischen
Staatsangehörigen
verwaltet, so dass das Kartenlesegerät die Daten bezüglich des
ausländischen
Staatsangehörigen
automatisch an die zuständige
Stelle weiterleiten kann.
-
Wie
aus der Vielzahl der oben beschriebenen Beispiele und der gesamten
vorstehenden Beschreibung hervorgeht, können die Sicherheitsfreigabekarten
und das Identitätsprüfungssystem
gemäß der vorliegenden
Erfindung bei einer großen
Zahl von Anwendungsmöglichkeiten
eingesetzt werden. Nicht nur, dass die Sicherheitsfreigabekarten
in Verbindung mit den Kartenlesegeräten in der Lage sind, die Identität einer
Person zu überprüfen, ohne
dass ein Zugriff auf eine entfernte Datenbank notwendig ist, sondern
das System ist auch in der Lage zu gewährleisten, dass die Operatoren
der Kartenlesegeräte nur
jene Teile der in der Karte enthaltenen Daten anschauen und/oder
auf sie zugreifen können,
für die sie
die Berechtigung haben. Außerdem
verfolgt die vorliegende Erfindung die Benutzung der Karten, indem
sie den Biometrie-Scan aufzeichnet, der durchgeführt wird, wenn eine Person
versucht, die Karte zu benutzen, so dass jeder betrügerische
Gebrauch der Karte leicht aufgedeckt und die verantwortliche Person
identifiziert wird. Daher bieten die Sicherheitsfreigabekarten und
das Identitätsprüfungs-System
gemäß der vorliegenden
Erfindung eine effiziente, sichere und genaue Technik, um sicherzustellen,
dass nur die richtigen Personen zu bestimmten Orten, Informationen,
Objekten und/oder jedem anderen Punkt Zugang erhalten, deren Schutz
gewünscht wird.
-
Viele
Modifizierungen und andere Ausführungsbeispiele
der hier beschriebenen Erfindungen werden Fachleuten auf diesem
Gebiet der Technik einfallen, zu dem diese Erfindungen gehören, wenn sie
von den Ausführungen
in den vorstehenden Beschreibungen und den damit verbundenen Zeichnungen
Kenntnis erhalten. Deshalb soll klargestellt werden, dass die Erfindungen
nicht auf die beschriebenen spezifischen Ausführungsbeispiele beschränkt sind
und dass Modifizierungen und andere Ausführungsbeispiele im Rahmen der
anhängenden
Patentansprüche
eingeschlossen sein sollen. Obwohl hierin Fachausdrücke verwendet
werden, werden diese nur im Sinne eines Gattungsbegriffs und in
beschreibender Funktion benutzt und nicht für Zwecke einer Beschränkung.