Verfahren und System zur Fälschungssicherung bei biometrischer Personenerkennung
Die Erfindung betrifft ein Verfahren und ein System zur Fälschungssicherung bei biometrischer Personenerkennung.
Es gibt Verfahren und Systeme zur biometrischen Personenerkennung, die sich auf eine Kombination aus Gesichtserkennung und Lippenbewegungserkennung stützen. Ein solches Verfahren ist z.B. in der deutschen Patentanmeldung 198 47 261 derselben Anmelderin beschrieben, auf die Bezug genommen wird. Bei der Personenerkennung unterscheidet man zwischen der Identifikation einer Person unter vielen - d.h. der Beantwortung der Frage „Wer ist die Person?" - und der Verifikation einer Person - d.h. dem Vergleich der Personendaten mit einem bestimmten Datensatz oder der Beantwortung der Frage „Ist die Person diejenige, die sie vorgibt zu sein?". Beide Fälle der Personenerkennung sind von der Erfindung umfaßt.
Biometrische Personenerkennungsverfahren gelten als besonders zuverlässig, weil sie personenspezifische Merkmale verwenden. Jedoch ist die biometrische Personenerkennung nicht vollständig gegen Fälschungen sicher. Eine besondere Gefahr geht aus von sogenannten „Re- play- Attacken", bei denen der biometrische Datensatz einer Person unberechtigt in ein System eingespielt wird, so daß das Erkennungssystem vermeintlich die biometrischen Daten einer Person erkennt und dieser beispielsweise Zutritt zu einem geschützten Bereich gewährt oder die Durchfuhrung einer bestimmten Transaktion ermöglicht.
Aus dem Stand der Technik sind auch Methoden zur Absicherung der personenspezifischen Zugangsdaten bekannt. Bei diesen Sicherungs verfahren muß beachtet werden, daß ein grundlegender Unterschied zwischen der biometrischen Personenerkennung und anderen üblichen Schutzmechanismen, wie der Vergabe einer Geheimzahl oder eines Passwortes, besteht. Während nämlich dann, wenn eine Geheimzahl oder ein Passwort in falsche Hände gerät, ein Mißbrauch dadurch verhindert werden kann, daß diese gesperrt und neu vergeben werden, ist es praktisch unmöglich, eine neue biometrische Zugangskennung zu vergeben, weil diese naturgemäß personenspeziflsch ist. Wenn z.B. der Datensatz eines Fingers bei einem Fingerab-
drucksystem unrechtmäßig ausgespäht wird, kann dieses Merkmal einer Person nicht neu vergeben werden. Das gleiche gilt für ein Gesichtserkennungssystem, weil zum Erkennen einer bestimmten Person kein anderes Gesicht als das eben dieser Person verwendet werden kann.
Um solche Arten des Mißbrauchs abzuwehren, werden heute bereits bei der Aufnahme der biometrischen Personendaten bestimmte Sicherheitsmaßnahmen ergriffen. Diese sind z.B. darauf gerichtet festzustellen, ob sich wirklich die Person vor dem Aufnahmegerät befindet, die erfaßt werden soll, oder nur eine „Kopie", wie eine fotografische Abbildung. Im Falle der Gesichtserkennung kann z.B. bei der Aufnahme darauf geachtet werden, daß intrinsische Bewegungen innerhalb des Gesichts vorhanden sind, um den Gebrauch eines Fotos auszuschließen. Es ist offensichtlich, daß solche Sicherheitsmaßnahmen nicht unüberwindbar sind, weil zur „Überlistung" des Systems beispielsweise anstelle eines Fotos auch eine Videoaufnahme verwendet werden könnte.
Noch schwieriger ist der Schutz bereits aufgenommener biometrischer Personendaten. Wenn eine unberechtigte Person in den Besitz der aufgezeichneten Personendaten kommt, besteht nahezu keine Möglichkeit zu verhindern, daß diese die Personendaten mißbräuchlich in ein Zugangsdatennetz einspeist und dadurch Zugang zu dem System erlangt.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein neues Verfahren und ein System zur biometrischen Personenerkennung anzugeben, die einen besseren Schutz gegen Fälschungen bieten.
Diese Aufgabe wird durch ein Verfahren mit den Merkmalen von Anspruch 1 sowie durch ein System mit den Merkmalen von Anspruch 10 gelöst.
Bei dem erfindungsgemäßen Verfahren und System wird vor, während oder nach der Erfassung der Personendaten, die der biometrischen Personenerkennung dienen, die Person veranlaßt, eine bestimmte Bewegung auszufuhren, und es wird überprüft, ob die Person diese Bewegung ausgeführt hat, bevor mit der Personenerkennung fortgefahren wird. Die Erfindung setzt somit ein interaktives Verfahren und System ein, um sicherzustellen, daß sich tatsächlich ein realer Benutzer, nämlich die Person, die z.B. Zutritt zu einem gesicherten Bereich erhalten möchte, vor dem Gerät befindet und nicht eine Kopie.
Bei einer ersten bevorzugten Ausfuhrungsform der Erfindung wird hierfür mittels einer Videokamera die Augenposition und damit die Blickrichtung einer Person bestimmt. Es wird z.B. auf einem Bildschirm ein beliebiges Objekt vorgegeben, auf das die Person blicken soll, und durch Erfassen der Augenstellung kann erkannt werden, ob die Person tatsächlich in die vorgegebene Blickrichtung sieht. Durch Vorgeben mehrerer solcher zufällig positionierter Objekte und Überprüfen, ob sich die Blickrichtung der Person entsprechend den Objektpositionen ändert, kann sichergestellt werden, daß sich eine lebende Person vor dem Erkennungssystem befindet und nicht eine Kopie des biometrischen Datensatzes dieser Person eingespielt wird.
Bei einer alternativen Ausfuhrungsform der Erfindung kann anstelle der Augenstellung auch die Position eines Fingers auf einem Digitalisiertablett oder dergleichen erfaßt werden. Hierzu kann auf dem Tablett an verschiedenen Stellen eine Markierung angezeigt und erfaßt werden, ob der Benutzer seinen Finger auf die verschiedenen Markierungspositionen legt.
Erst wenn die durch das System gesteuerten Bewegungen des Benutzers den vorgegebenen Positionen richtig folgen, werden die mittels Video oder anderer Erfassungsmittel aufgezeichneten biometrischen Daten (des Gesichtes, des Fingerabdrucks oder dergleichen) anhand gespeicherter Referenzdaten überprüft, um festzustellen, ob es sich bei dem Benutzer um eine autorisierte Person handelt.
Bei dem erfindungsgemäßen Verfahren und System ist es praktisch unmöglich, einen fertigen biometrischen Datensatz mißbräuchlich für eine „Replay-Attacke" einzusetzen. Durch die zufällige Vorgabe von Objekten, denen die Bewegung der Testperson folgen muß, kann die Überprüfung nur eine tatsächlich vorhandene Person bestehen. Vorzugsweise werden nacheinander mehrere Objekte an verschiedenen Positionen vorgegeben, um eine zufällige Übereinstimmung der Blickrichtung, Handposition oder dergleichen mit der Objektposition auszuschließen.
Die Erfindung ist im folgenden anhand bevorzugter Ausführungsformen mit Bezug auf die Zeichnung näher erläutert. In den Figuren zeigen:
Fig. 1 ein Flußdiagramm einer bevorzugten Ausfuhrungsform des erfindungsgemäßen Verfahrens; und
Fig. 2 eine schematische Blockdiagrammdarstellung des erfindungsgemäßen Systems zur biometrischen Personenerkennung.
Fig. 1 zeigt eine bevorzugte Ausfuhrungsform des erfindungsgemäßen Verfahrens.
In einem ersten Schritt 8 wird ein Fehlerzähler j auf 0 gesetzt, und die Anzahl J der zulässigen Fehlversuche wird z.B. auf 3 festgelegt. Im Schritt 10 wird ein Testiterationszähler n auf 0 gesetzt, und die Anzahl N der Testdurchläufe wird z.B. auf 3 gesetzt, wobei jede andere geeignete Zahl gewählt werden kann. Im Schritt 12 wird das Videobild einer Testperson aufgezeichnet und in digitaler Form abgespeichert. Dann wird im Schritt 14 auf einem Bildschirm an einer zufälligen Position ein Objekt angezeigt, und die Testperson wird aufgefordert, auf das Objekt zu blicken.
Im Schritt 16 wird das Augenpaar der Testperson erfaßt, d.h. mittels Video aufgezeichnet und in digitale Form umgewandelt, und die Blickrichtung wird bestimmt. Hierzu kann z.B. das in dem Patent DE 196 322 37 beschriebene Verfahren verwendet werden.
Im Schritt 18 wird überprüft, ob die Blickrichtung der Testperson zu dem auf dem Bildschirm angezeigten Objekt geht, wobei ein bestimmtes Zeitintervall vorgegeben werden kann, innerhalb dessen die Blickrichtung in der richtigen Richtung liegen muß. Falls sie dies nicht tut, geht der Verfahrensablauf zurück über die Schritte 32 und 34 zum Schritt 10, so daß der Iterationszähler n auf 0 gesetzt bleibt; der gesamte Erkennungsvorgang wird neu gestartet. Im Schritt 32 wird der Fehlerzähler um 1 erhöht, und im Schritt 34 wird geprüft, ob die Blickrichtung bereits J (=3) Mal nicht zu dem angezeigten Objekt gegangen ist. Wenn j<J, wird im Schritt 10 eine erneute Lenkung und Erfassung der Blickrichtung gestartet. Wenn jedoch bereits J (=3) Fehlversuche erfolgt sind, wird die Erkennungsschleife über eine Alarmstufe 36 verlassen. Eine Bedienungsperson oder ein Programm werden benachrichtigt, die dann geeignete Maßnahmen einleiten können.
Wenn andererseits die Blickrichtung zu dem auf dem Bildschirm angezeigten Objekt geht, wird im Schritt 20 der Iterationszähler n um 1 erhöht; n = n+1. Im Schritt 22 wird dann überprüft, ob der Iterationszähler n bereits die maximale Anzahl N (=3) der Durchläufe erreicht hat. Wenn dies nicht der Fall ist, geht der Ablauf zurück zum Schritt 12, wo erneut das Bild der Testperson aufgenommen und abgespeichert und dann in den Schritten 14 bis 18 die
Blickrichtung überprüft wird. Bei diesem und jedem weiteren Durchlauf wird das Objekt jeweils bei einer anderen Position auf dem Bildschirm angezeigt.
Wenn die vorgegebene Anzahl der Testdurchläufe erfolgreich abgeschlossen wurde, d.h. wenn im vorliegenden Fall n = N = 3, ist die Sicherheitsüberprüfung positiv beendet, und das Verfahren fährt im Schritt 24 mit der biometrischen Erkennung fort, die beispielsweise wie in der Patentanmeldung DE 198 47 261 beschrieben ablaufen kann.
Fig. 2 zeigt eine sehr vereinfachte Darstellung des erfindungsgemäßen Systems zur Personenerkennung gemäß einer bevorzugten Ausfuhrungsform mit seinen Grundelementen. Das System umfaßt einen Monitor 26, eine Kamera 28 und eine Steuer- und Auswerteeinheit 30. Auf dem Monitor 26 wird ein Objekt 32 bei einer willkürlich wählbaren Position angezeigt, um die Blickrichtung einer Testperson (nicht gezeigt) zu lenken. Mit der Kamera 28 kann ein Videobild der Testperson, und insbesondere das Gesicht der Testperson bzw. noch spezieller der Augen der Testperson aufgenommen werden, das digitalisiert und in der Steuer- und Auswerteeinheit 30 gemäß dem oben beschriebenen Verfahren verarbeitet wird.
Die Erfindung hat den großen Vorteil, daß sie mit Standardhardware, wie einem üblichen PC mit Monitor sowie einer Videokamera, realisierbar ist und daß sie keine Spezialumgebung benötigt. Durch Vorgeben einer größeren Anzahl von zufällig gewählten Objektpositionen auf dem Monitor kann ein beliebig hoher Grad an Sicherheit geschaffen werden.
Selbstverständlich sind, wie eingangs erwähnt, auch andere biometrische Erfassungsmethoden als die optische Abtastung einer Testperson möglich, z.B. die Aufnahme eines Fingerabdrucks bei verschiedenen, vorgebbaren Positionen auf einem Anzeige- und Erfassungsschirm mittels thermischer, kapazitiver oder anderer Verfahren.
Das erfindungsgemäße Verfahren und System kann in der Zukunft für die automatische und biometrische Zugangskontrolle verwendet werden. Eine vorgeschaltete, nachgeschaltete oder in den Erkennungsprozeß eingestreute Prozedur zur Überprüfung der Blickrichtung der Augen, der Position eines Fingers oder dergleichen stellt sicher, daß die Personenerkennung tatsächlich mit einer lebenden Person durchgeführt wird. Durch Vergleichen der dabei entstehenden Personendaten mit Referenzdaten wird sichergestellt, daß es sich um eine gewünschte bzw. autorisierte Person handelt.
Vorstehend wurden lediglich die Grundzüge der Erfindung erläutert, ohne auf die Einzelheiten der an sich bekannten Verfahren zur biometrischen Personenerkennung einzugehen. Solche sind z.B. in der in Bezug genommenen Patentanmeldung DE 198 47 261 oder auch in den darin genannten Veröffentlichungen beschrieben. Es liegt im Können des Durchschnittsfachmanns, ein für den jeweiligen Anwendungsfall geeignetes Personenerkennungsverfahren zu wählen.
Die in der vorstehenden Beschreibung, den Ansprüchen und der Zeichnung offenbarten Merkmale können sowohl einzeln als auch in beliebiger Kombination für die Verwirklichung der Erfindung in ihren verschiedenen Ausgestaltungen von Bedeutung sein.