Nothing Special   »   [go: up one dir, main page]

EP3518190A1 - Method and device for multi-factor authentication - Google Patents

Method and device for multi-factor authentication Download PDF

Info

Publication number
EP3518190A1
EP3518190A1 EP19154384.2A EP19154384A EP3518190A1 EP 3518190 A1 EP3518190 A1 EP 3518190A1 EP 19154384 A EP19154384 A EP 19154384A EP 3518190 A1 EP3518190 A1 EP 3518190A1
Authority
EP
European Patent Office
Prior art keywords
user
factor
processing unit
factor authentication
data processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP19154384.2A
Other languages
German (de)
French (fr)
Inventor
Jörg Fischer
Manfred Paeschke
Robert Musick
Lazar KULIKOVSKY
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bundesdruckerei GmbH
Original Assignee
Bundesdruckerei GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bundesdruckerei GmbH filed Critical Bundesdruckerei GmbH
Publication of EP3518190A1 publication Critical patent/EP3518190A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D7/00Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency
    • G07D7/004Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using digital security elements, e.g. information coded on a magnetic thread or strip
    • G07D7/0047Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using digital security elements, e.g. information coded on a magnetic thread or strip using checkcodes, e.g. coded numbers derived from serial number and denomination
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D7/00Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency
    • G07D7/003Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using security elements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D7/00Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency
    • G07D7/003Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using security elements
    • G07D7/0034Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using security elements using watermarks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07DHANDLING OF COINS OR VALUABLE PAPERS, e.g. TESTING, SORTING BY DENOMINATIONS, COUNTING, DISPENSING, CHANGING OR DEPOSITING
    • G07D7/00Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency
    • G07D7/06Testing specially adapted to determine the identity or genuineness of valuable papers or for segregating those which are unacceptable, e.g. banknotes that are alien to a currency using wave or particle radiation
    • G07D7/12Visible light, infrared or ultraviolet radiation

Definitions

  • the present invention relates to a method for multi-factor authentication. Furthermore, the invention relates to an apparatus for carrying out the method for multi-factor authentication.
  • the WO 2013/034603 A1 describes a method for verifying a security document with a security feature in the form of a fluorescent printing element.
  • a method which is for identifying a user using a communication device.
  • the method provides that detected biometric features of an identification document of a user are transmitted to an electronic identification service.
  • Multi-factor authentication which uses multiple factors, is often complicated and not very flexible.
  • the object of the present invention based on the present state of the art, is to provide a simplified method for the multi-factor authentication of a user's identity, which enables flexible multi-factor authentication.
  • the object is achieved by a method for multi-factor authentication of an identity of a A user according to the appended claim 1 and an apparatus for carrying out the method according to the attached independent claim 7 or 8.
  • the method according to the invention serves to identify the identity of a user by means of a multi-factor authentication.
  • a first and at least one second factor suitable for authentication are selected, which can be processed or checked by a data processing unit.
  • the at least two factors serve to authenticate the user identity and are therefore part of the multi-factor authentication.
  • An entity can be tested by means of the method according to the invention.
  • a first single factor authentication is performed by the data processing unit, wherein the first factor is checked for authenticity and / or integrity.
  • Authenticity stands for authenticity or security, whereby, for example, the authenticity of a document is checked.
  • a "document” may, for example, be an identification, value or security document, in particular a sovereign document, in particular a paper-based and / or plastic-based and / or electronic document, such as a passport, identity card, visa, driver's license, vehicle registration document, vehicle registration document, Health card, or a company card or the like. his.
  • the term integrity stands for integrity, reliability, completeness, freedom from errors, whereby, for example, a falsification of an image can be detected and thus its use can be prevented.
  • the result of the first single-factor authentication of the first factor is output by the data processing unit.
  • Another procedural step sees that the result of the first single-factor authentication is checked by means of a further factor, wherein the second factor is checked for authenticity and / or integrity.
  • the further factor is checked by carrying out a second single-factor authentication with the aid of the data processing unit.
  • the result of the second single-factor authentication is output.
  • the output of the single-factor authentication takes place, for example, internally in the data processing unit to a calculation module or corresponding program unit carrying out the further step of confirming the identity of the user.
  • the identity of the user is confirmed by the data processing unit if the respective single-factor authentications of the first and the second factor have confirmed the authenticity of the user.
  • the multiple single-factor authentication forms part of multi-factor authentication and results in a combination. If at least one of the two single-factor authentications could not confirm the identity of the applicant, an error signal can be generated and output.
  • the method is designed as a single-stage process, wherein for the multi-factor authentication, the at least two factors are subjected to a single-factor authentication and the identity of the user is confirmed after successful authentication of the factors.
  • the multi-factor authentication can be based on a basic identity, which is for example a passport or an identity card.
  • the method of multi-factor authentication as a one-step process is data-sparing, since only the data necessary for authentication are stored in a digital memory store. The method comprises the method steps described above.
  • At least one additional identity determination factor is subjected to single-factor authentication, wherein the single-factor authentication is part of the multi-factor authentication.
  • three factors undergo single authentication and are used for multi-factor authentication. More preferably, five factors undergo single authentication and are used for multi-factor authentication. Alternatively, preferably, seven factors undergo single authentication and are used for multi-factor authentication.
  • the method is designed as a multi-stage process. Authentication may be on the basis of a primal identity that needs to be verified only once, for example, by personally verifying the identity by a designated controller, as described e.g. in the so-called POSTIDENT method is possible.
  • a digital ID or a digital identifier is generated from the authenticated factors or from the results of the multi-factor authentication and transmitted by the data processing unit to a secure memory area if the identity of the user, for example, as a result of the POSTIDENT authentication was confirmed.
  • the secure memory area is an intelligent data memory which is protected against foreign access, so that the digital identifier is also protected and the intelligent data memory serves as a digital vault.
  • a partial identity is generated from the stored digital identifier by the data processing unit at a later time.
  • a third single-factor authentication is performed on the data processing unit, in which a third factor is checked for authenticity and / or integrity. Furthermore, the data processing unit issues an output of a result of the third single-factor authentication.
  • the result of the third single-factor authentication with the generated partial identity is combined by the data processing unit into a combined digital ID.
  • the identity of the user is confirmed by the data processing unit with the aid of the combined digital ID.
  • the described method steps ensure fast, flexible authentication of the user identity.
  • POSTIDENT can once confirm the original identity and then generate a digital ID as an everyday ID, which can be used with another factor in numerous applications.
  • the digital identifier may be augmented with other factors that have undergone single-factor authentication.
  • the digital identifier can be continuously extended and adapted by the user, so that the digital identifier or its security is constantly growing.
  • the process steps are preferably carried out several times.
  • the digital ID becomes a secure external memory area via a secure communication link transmitted outside the data processing unit.
  • at least one of the factors is checked for integrity and authenticity so as to ensure the authenticity and integrity of each factor.
  • the single-factor authentications are based on reference data.
  • the reference data are preferably stored or stored in a digital data memory. Particularly preferably, the reference data are stored or stored encrypted in a digital data memory.
  • the reference data is associated with the respective factors used for authentication.
  • the reference data may be stored in an intelligent database system with intrinsic security.
  • the storage of the reference data preferably takes place in a central memory. Alternatively preferably, the storage of the reference data takes place in a decentralized memory. The storage can take place in an external memory, for example on a remote server.
  • the at least two factors from different groups can be selected and classified in these.
  • the groups to which the factors belong are possession, knowledge, trait and addition. Further groupings can be defined. Alternatively, preferably, the at least two factors from the same group are selectable and to be classified in this.
  • a ownership factor is assigned to the ownership group.
  • the possession factor is an object which is in the possession of the user and is usable by the user.
  • the ownership factor can be formed by ownership: a badge, a mobile phone, a wearable or a SmartWatch.
  • the ownership factor may be another unlisted type that is in the user's possession and which is usable by the user.
  • a knowledge factor is assigned to the knowledge group.
  • the knowledge factor is information that the user knows and can possibly reproduce.
  • the knowledge factor is information stored in a memory or a data processing unit.
  • the knowledge factor can be formed by knowledge: a number, a password, a gesture, an e-mail account, a social media account or the type and / or the number and / or the combination of the individual to the multimedia Factor authentication factors used. Other types of knowledge factors for the process, not listed here, may be used.
  • a feature factor is assigned to the characteristic group.
  • the feature factor is a physical characteristic of the user, so authentication can not be done without the user.
  • the feature factors preferably include characteristics of the user.
  • the feature factor may be formed by: a user's face, a user's iris, a user's fingerprint, a user's vein, a user's muscle, a user's gait, or a user's property. Further user characteristics as feature factors are possible.
  • the additional factor is assigned to the group Addition.
  • the additional factor can be formed by: a position, a history or a user behavior, or by a relationship with another identity, wherein the further identity is already authenticated.
  • the method according to the invention is a dynamic method, which has the advantage of a flexible choice of the factors used for the user identification by a user brings.
  • Single-factor authentication and thus verification of the individual factors selected in the process, is based on specific characteristics of the factors involved. Using sensors, the specific characteristics of the respective factors can be checked. The following are examples of the respective listed factors of the various groups. Alternative authentications and / or integrity checks of the individual factors are conceivable.
  • the identity document as a possession factor can be checked for authenticity and authenticity (authenticity and integrity) using a near video with LED or NFC.
  • the near video By means of the near video, the user identity is checked, whereby a video of the ID document is created together with the user.
  • the review By comparing a user photo, which is located on the identification document, with a recording of the face of the user, the review can be done.
  • the user photo of the ID document may be compared with a reference image.
  • the reference image can be stored in an internal or external memory.
  • the identification document can be checked for authenticity by means of an alternative data and security feature check (for example emission of specific radiation at a predetermined excitation). Data verification may be based on bibliographic data on the identity document.
  • an alternative data and security feature check for example emission of specific radiation at a predetermined excitation.
  • Data verification may be based on bibliographic data on the identity document.
  • the factors have security features.
  • the factors of a group are distinguishable from each other.
  • the factors may have several different security features.
  • an identity document may have a security element that can be excited by an electromagnetic radiation.
  • the mobile phone as a possession factor can be checked by validating the SIM or the IMEI of the mobile phone using a stored reference of the SIM and / or the IMEI for comparison. In particular, device-specific features are checked. Other mobile devices can also be used as a possession factor, for example a tablet.
  • the wearable or the smartwatch as a possession factor can be authenticated by checking the SNR (serial number of the device) or the ID of the respective device.
  • the knowledge factors preferably include encryptions, accounts or references.
  • the knowledge factor number, password or a gesture of the user can be checked and authenticated by a login or a login.
  • encryptions are checked by entering the appropriate data and comparing with reference data.
  • the knowledge factor e-mail account or social media account can be checked by means of the data processing unit by a link or a transmitted code.
  • Another knowledge factor namely the type, the number and / or the combination of the various factors that are used for the multi-factor authentication, can be compared with stored references.
  • the face and / or iris of the user as a feature factor can be authenticated by means of a smart live video or selfie video or a user video by comparison with a badge photograph or with badge data or with stored reference data.
  • the feature factor fingerprint and / or veins are to be recorded by sensor recordings and compared with card data or stored reference data.
  • the Feature factor of the user's property or gait of the user can be checked by data acquisition by means of acceleration sensors and or gyroscope and / or GPS and data comparison with a mobile terminal which acquires the required data and using reference data.
  • a suitable mobile terminal is for example a mobile phone or a smartwatch or a wearable.
  • the user's characteristics or gait can be checked by comparing reference data with data generated by video analysis of the user with a remote system or proximity system.
  • the position as an additional factor must be authenticated by comparing MNO and / or GPS data (geo-fencing).
  • the additional factor history and / or behavior is to be checked by comparing the last, stored login data, the last purchases or the favorite places of the user.
  • the additional factor guarantor and / or relationship is to be authenticated by confirmation by means of at least one further identity in real time or by means of a stored reference identity.
  • the detection of the respective features of the individual factors is preferably carried out with devices or devices designed for this purpose. Particularly preferably, the specific features of the individual factors are detected by means of sensors designed for this purpose.
  • the single-factor authentication is performed successively.
  • the single factor authentication can be performed concurrently.
  • factors for the multi-factor authentication are used, which are available to the user in a timely manner.
  • the inventive method preferably combines classical factors and new technologies for authenticating an identity, which advantageously results in a secure method for user identification.
  • An advantage of the method according to the invention is that there is a strong user authentication, since several factors are used for the authentication.
  • Another advantage of the method is that the method is user-friendly and the user can freely choose the factors, their number and combination. The user can primarily use the factors and devices available to him. Alternatively preferably, the type, number and combination of factors are automatically and / or dynamically selectable. It has proved to be advantageous that the user does not need any additional or additional devices for authentication of his identity.
  • dynamic multifactor authentication is to be understood as meaning, in particular, multifactor authentication, in which the type and number of factors are determined dynamically for each authentication request depending on the respectively required degree of authentication.
  • the method is therefore dynamic in the sense that the selection of the combination of features to be detected for a successful authentication of the user takes place upon receipt of the authentication request.
  • the selection can therefore take place individually, ie dynamically, for each authentication request.
  • the selection for identical authentication requests may be different. This increases the safety of the process.
  • the selection can be adapted or changed as a function of changed framework conditions or detection of irregularities (such as, for example, a request from a terminal other than usual).
  • a calculator For automatic selection of factors and their combination, number and type, a calculator can be used. Default values for the type, number and / or combination of the factors are preferably fed to the data processing unit. The verification of authenticity and / or integrity can also be called verification.
  • the device according to the invention is designed to execute the above-described method for multi-factor authentication of a user's identity on the basis of two factors with security features.
  • the device comprises at least one sensor which serves to detect the security features of the factors.
  • the sensor may be an image sensor, a motion sensor or accelerometer, a biometric sensor, or a position sensing sensor. Other types of sensors may be used in the multi-factor authentication device.
  • the sensor is designed to detect a signal of the security feature.
  • the device comprises a data processing unit.
  • the data processing unit receives the signal detected by the sensor.
  • the data processing unit subjects the detected signal to a single-factor authentication to confirm the identity of the user, if the results of both the first and the second single-factor authentication confirm the authenticity of the user.
  • An image sensor can be integrated in an image acquisition unit for taking a picture, an image series or a video his.
  • the image acquisition unit is, for example, a camera.
  • the motion sensor or acceleration sensor is preferably designed to record a movement or a gait of a user.
  • the biometric sensor is a sensor for receiving a fingerprint of the user.
  • the biometric sensor is a sensor designed to receive the iris of the user.
  • the biometric sensor may be configured to detect the muscle activity of the user.
  • the device for multi-factor authentication of a user's identity on the basis of a security document with user data and / or a security feature that reacts to electromagnetic radiation comprises an image acquisition unit, a lighting unit and a data processing unit.
  • the image capture unit is used to capture an image, a series of images or a video of the security document, wherein a signal or data record is generated, which serves to authenticate a first factor.
  • the signal or the data record which, for example, reflects a photograph of the security document, serves to authenticate the user identity.
  • the image acquisition unit may include one or more sensors.
  • the lighting unit is designed to generate electromagnetic radiation.
  • the illumination unit is to be arranged opposite the security document such that the electromagnetic radiation radiates to the security document, in particular to the security feature.
  • the security document can receive the electromagnetic radiation and is stimulated to react or to luminescence.
  • the data processing unit is used to perform a first single-factor authentication of the first factor based on the image, the image series or the video of the user data with
  • the data processing unit is used to carry out a second single-factor authentication on the basis of the luminescence-stimulated security feature.
  • the second single-factor authentication preferably takes place on the security document by means of the image, the series of images or the video of the security feature excited for luminescence by comparison with a reference value of the excited security feature. Furthermore, the data processing unit serves to confirm the identity of the user, if the results of the single-factor authentication confirm the authenticity of the user.
  • the lighting unit is spaced from the security document to order.
  • the lighting unit is preferably an LED light.
  • a security feature is applied to the security document.
  • the security feature is a luminescent material which can be excited by electromagnetic radiation for photoluminescence.
  • the security feature may be formed as a pattern.
  • the security feature is at least partially overlapping on a user photograph located on the security document.
  • the device for carrying out the method for multi-factor authentication is a mobile terminal.
  • the device for carrying out the method for multi-factor authentication is preferably a tablet.
  • the device for carrying out the method for multi-factor authentication is a smartphone.
  • the lighting unit may be a flash function of the mobile terminal.
  • the lighting unit is an LED light of a smartphone, with the LED light, a flash function of a camera is executable.
  • the output of the result of the multi-factor authentication is preferably via a display or a monitor of the device, in particular of the mobile terminal.
  • the output of the result of the multi-factor authentication is alternatively preferably via an acoustic interface of the device, in particular of the mobile terminal.
  • FIG. 1 shows a greatly simplified representation of an arrangement for carrying out a method step of a method according to the invention for multi-factor authentication of a user identity (in FIG. 2 shown), which is carried out with a device according to the invention.
  • the device is a mobile terminal, in particular a smartphone 01 of the user.
  • the smartphone 01 includes a camera (not shown) and a lighting unit (not shown) associated with the camera.
  • the camera of the smartphone 01 can be used to take a picture, a series of pictures or a video from an identity card 02.
  • the identity card 02 is a security document which is assigned to a user 07.
  • the identity card 02 includes not only a photo 03 or photo of the user 07 but also his personal data 04.
  • the identity card 02 comprises at least one security feature 06.
  • the security feature 06 may be a luminescent material applied to the identity card 02, which can be excited by electromagnetic radiation for photoluminescence.
  • the electromagnetic radiation can be generated by the illumination unit, for example an LED light, of the smartphone 01.
  • the security feature 06 is at least partially integrated into the photo 03 located on the identity card 02, for example by using luminescent pigments in a transparent protective layer covering the photo. This ensures the trustworthiness, integrity, identity card 02.
  • the verification of the authenticity, ie the authenticity, is carried out by checking the security feature 06 on the identity card 02, wherein the security feature 06 is measured, for example.
  • the verification and single-factor authentication of the security feature 06 as a first factor reflects a method step of the multi-factor authentication of the method according to the invention.
  • the personal data 04 of the user can be checked.
  • the personal data 04 or biographical data of the user 07 can be compared with reference data stored on a computer.
  • the identity card 02 is in the possession of the user and is a possession factor which can be used for the multi-factor authentication.
  • Another possession factor is the smartphone 01 of the user, which can also be used in a further process step for multi-factor authentication.
  • the single authentication of the smartphone 01 can by means of verification the device number with a stored reference number.
  • the multi-factor authentication described above is done by means of two ownership factors. If both factors are authenticated, the identity of the user is considered confirmed.
  • Fig. 2 shows an alternative method step of the method for multi-factor authentication, wherein the user 07 with a, in his possession, smartphone 01 and his ID card 02 performs a multi-factor authentication.
  • the verification of the authenticity and integrity of the identity card 02 and the smartphone 01 done, as to Fig. 1
  • a single authentication of the user 07 with the ID card 02, wherein the user 07 with the camera of the smartphone 01 generates a live video is carried out on the basis of a security feature 06 of the ID card 02 and the device number of the smartphone.
  • the face of the user 07 is compared to the live image with the photo 03, which is located on the identity card 02.

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Toxicology (AREA)
  • Collating Specific Patterns (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zur Multi-Faktor-Authentifizierung der Identität eines Anwenders (07). In einem ersten Verfahrensschritt werden ein erster und mindestens ein zweiter zur Authentifizierung geeigneter Faktor (01; 02) gewählt, die von einer Datenverarbeitungseinheit als Bestandteil der Multi-Faktor-Authentifizierung verarbeitet werden können. Im weiteren Verfahrensschritt wird eine erste Einzel-Faktor-Authentifizierung durchgeführt, bei welcher der erste Faktor (01; 02) auf Authentizität und/oder Integrität geprüft wird und von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der ersten Einzel-Faktor- Authentifizierung erfolgt. In einem weiteren Verfahrensschritt wird eine zweite Einzel-Faktor-Authentifizierung durchgeführt, bei welcher der zweite Faktor (01; 02) auf Authentizität und/oder Integrität geprüft wird und von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der zweiten Einzel-Faktor-Authentifizierung erfolgt. Weiterhin wird in einem Verfahrensschritt die Identität des Anwenders (07) bestätigt, sofern die Ergebnisse sowohl der ersten als auch der zweiten Einzel-Faktor-Authentifizierung die Authentizität des Anwenders bestätigt haben. Des Weiteren betrifft die Erfindung eine Vorrichtung zur Durchführung des Verfahrens zur Multi-Faktor-Authentifizierung.The present invention relates to a method for multi-factor authentication of the identity of a user (07). In a first method step, a first and at least a second factor (01; 02) suitable for authentication are selected, which can be processed by a data processing unit as part of the multi-factor authentication. In the further method step, a first single-factor authentication is carried out, in which the first factor (01; 02) is checked for authenticity and / or integrity and the data processing unit outputs a result of the first single-factor authentication. In a further method step, a second single-factor authentication is carried out, in which the second factor (01; 02) is checked for authenticity and / or integrity and the data processing unit outputs a result of the second single-factor authentication. Furthermore, the identity of the user (07) is confirmed in one method step, provided the results of both the first and the second single-factor authentication have confirmed the authenticity of the user. Furthermore, the invention relates to a device for performing the method for multi-factor authentication.

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Multi-Faktor-Authentifizierung. Weiterhin betrifft die Erfindung eine Vorrichtung zur Durchführung des Verfahrens zur Multi- Faktor-Authentifizierung.The present invention relates to a method for multi-factor authentication. Furthermore, the invention relates to an apparatus for carrying out the method for multi-factor authentication.

Bekanntermaßen wird zur Authentifizierung von Entitäten, beispielsweise von Sicherheitsdokumenten, mindestens ein sogenannter Faktor überprüft, wobei grundsätzlich zwischen den folgenden drei Gruppen von Faktoren unterschieden werden kann: Wissen, Besitz oder inhärente Merkmale. Inhärente Merkmale sind beispielsweise biometrische Eigenschaften. Werden mindestens zwei Faktoren bei der Prüfung kombiniert, wird damit eine starke Nutzerauthentifizierung ermöglicht. In der DIN ISO/IEC 29115, welche das "Level of Assurance (LOA)" beschreibt, werden die Entitäten in vier Level untergliedert. Die DIN/IEC 29115 bietet einen Rahmen zur Authentifizierung beliebiger Entitäten. Das LOA beschreibt den Grad des Vertrauens in die Prozesse, welche zur Authentifizierung führen und diese umfassen. Es gibt die Höhe der Sicherheit wieder, dass die Entität, welche eine bestimmte Identität beansprucht, tatsächlich die Entität ist, welche der Identität zugeordnet ist.As is known, for authentication of entities, for example security documents, at least one so-called factor is checked, it being possible in principle to distinguish between the following three groups of factors: knowledge, possession or inherent features. Inherent features are for example biometric properties. Combining at least two factors in the review will allow for strong user authentication. In DIN ISO / IEC 29115, which describes the "Level of Assurance (LOA)", the entities are subdivided into four levels. DIN / IEC 29115 provides a framework for authenticating arbitrary entities. The LOA describes the degree of trust in the processes that lead to and include authentication. It reflects the amount of security that the entity claiming a particular identity is indeed the entity associated with the identity.

Aus der DE 10 2015 219 393 A1 ist ein Verfahren zur Identifikation eines Gegenstandes bekannt, wobei ein Identifikationsmerkmal durch Bestrahlung in einem definierten Wellenlängenbereich sichtbar wird. Das Identifikationsmerkmal wird mit Bilddaten verglichen, so dass die Identität und/oder die Echtheit des Gegenstandes geprüft werden.From the DE 10 2015 219 393 A1 a method for the identification of an object is known, wherein an identification feature is visible by irradiation in a defined wavelength range. The identification feature is compared with image data so that the identity and / or the authenticity of the object are checked.

Die WO 2013/034603 A1 beschreibt ein Verfahren zur Verifikation eines Sicherheitsdokumentes mit einem Sicherheitsmerkmal in Form eines fluoreszierenden Druckelements.The WO 2013/034603 A1 describes a method for verifying a security document with a security feature in the form of a fluorescent printing element.

Aus der DE 10 2014 100 463 A1 ist ein Verfahren bekannt, welches dem Identifizieren eines Benutzers unter Verwendung eines Kommunikationsgerätes dient. Das Verfahren sieht vor, dass erfasste biometrische Merkmale eines Identifikationsdokumentes eines Benutzers an einen elektronischen Identifikationsdienst übermittelt werden.From the DE 10 2014 100 463 A1 For example, a method is known which is for identifying a user using a communication device. The method provides that detected biometric features of an identification document of a user are transmitted to an electronic identification service.

In der DE 10 2016 107 250 A1 wird ein Verfahren zur Multi- Faktor-Authentifizierung und/oder Identifizierung von Benutzern beschrieben. Der Benutzer wird mittels einer Computereingabe und Elektromyografie-Signalen authentifiziert bzw. identifiziert.In the DE 10 2016 107 250 A1 A method for multi-factor authentication and / or identification of users is described. The user is authenticated by computer input and electromyography signals.

Die Verwendung von nur einem Faktor zur Authentifizierung kommt regelmäßig zum Einsatz. Eine Authentifizierung mit einem weiteren Faktor, also eine sogenannte Multi-Faktor- Authentifizierung ist grundsätzlich bekannt. Dabei kommen mindestens zwei zuvor festgelegte Faktoren zur Authentifizierung einer Identität zur Anwendung. Multi-Faktor-Authentifizierungen, bei denen mehrere Faktoren zur Anwendung kommen, sind meist kompliziert und wenig flexibel.The use of only one factor for authentication is used regularly. An authentication with another factor, that is a so-called multi-factor authentication is known in principle. At least two predefined factors are used to authenticate an identity. Multi-factor authentication, which uses multiple factors, is often complicated and not very flexible.

Die Aufgabe der vorliegenden Erfindung besteht ausgehend vom vorliegenden Stand der Technik darin, ein vereinfachtes Verfahren zur Multi-Faktor-Authentifizierung der Identität eines Anwenders bereitzustellen, welches eine flexible Multi- Faktor-Authentifizierung ermöglicht.The object of the present invention, based on the present state of the art, is to provide a simplified method for the multi-factor authentication of a user's identity, which enables flexible multi-factor authentication.

Erfindungsgemäß erfolgt die Lösung der Aufgabe durch ein Verfahren zur Multi-Faktor-Authentifizierung einer Identität eines Anwenders gemäß dem beigefügten Anspruch 1 und durch eine Vorrichtung zur Durchführung des Verfahrens gemäß dem beigefügten nebengeordneten Anspruch 7 oder 8.According to the invention, the object is achieved by a method for multi-factor authentication of an identity of a A user according to the appended claim 1 and an apparatus for carrying out the method according to the attached independent claim 7 or 8.

Das erfindungsgemäße Verfahren dient der Identitätsfeststellung eines Anwenders mittels einer Multi- Faktor-Authentifizierung. In einem ersten Verfahrensschritt werden ein erster und mindestens ein zweiter zur Authentifizierung geeigneter Faktor ausgewählt, welche durch eine Datenverarbeitungseinheit verarbeitet bzw. geprüft werden können. Die mindestens zwei Faktoren dienen der Authentifizierung der Anwenderidentität und sind demnach Bestandteil der Multi-Faktor-Authentifizierung. Es kann eine Entität mittels des erfindungsgemäßen Verfahrens geprüft werden. In einem weiteren Verfahrensschritt wird eine erste Einzel-Faktor-Authentifizierung mittels der Datenverarbeitungseinheit durchgeführt, wobei der erste Faktor auf Authentizität und/oder auf Integrität geprüft wird. Authentizität steht für die Echtheit bzw. Sicherheit, wobei beispielsweise die Echtheit eines Dokumentes geprüft wird. Ein "Dokument" kann bspw. ein Ausweis-, Wert- oder Sicherheitsdokument, insbesondere ein hoheitliches Dokument, insbesondere ein papierbasiertes und/oder kunststoffbasiertes und/oder elektronisches Dokument, wie zum Beispiel ein Reisepass, Personalausweis, Visum, Führerschein, Fahrzeugschein, Fahrzeugbrief, Gesundheitskarte, oder ein Firmenausweis o.dgl. sein.The method according to the invention serves to identify the identity of a user by means of a multi-factor authentication. In a first method step, a first and at least one second factor suitable for authentication are selected, which can be processed or checked by a data processing unit. The at least two factors serve to authenticate the user identity and are therefore part of the multi-factor authentication. An entity can be tested by means of the method according to the invention. In a further method step, a first single factor authentication is performed by the data processing unit, wherein the first factor is checked for authenticity and / or integrity. Authenticity stands for authenticity or security, whereby, for example, the authenticity of a document is checked. A "document" may, for example, be an identification, value or security document, in particular a sovereign document, in particular a paper-based and / or plastic-based and / or electronic document, such as a passport, identity card, visa, driver's license, vehicle registration document, vehicle registration document, Health card, or a company card or the like. his.

Der Begriff Integrität steht für Unversehrtheit, Zuverlässigkeit, Vollständigkeit, Fehlerfreiheit, wobei beispielsweise ein Verfälschen eines Bildes festgestellt und damit dessen Verwendung verhindert werden kann. Anschließend wird in einem weiteren Verfahrensschritt das Ergebnis der ersten Einzel- Faktor-Authentifizierung des ersten Faktors von der Datenverarbeitungseinheit ausgegeben. Ein weiterer Verfahrensschritt sieht vor, dass das Ergebnis der ersten Einzel-Faktor-Authentifikation mittels eines weiteren Faktors überprüft wird, wobei der zweite Faktor auf Authentizität und/oder Integrität überprüft wird. Die Überprüfung des weiteren Faktors erfolgt durch Ausführen einer zweiten Einzel- Faktor-Authentifizierung mit Hilfe der Datenverarbeitungseinheit. Anschließend wird das Ergebnis der zweiten Einzel-Faktor-Authentifizierung ausgegeben. Die Ausgabe der Einzel-Faktor-Authentifizierungen erfolgt bspw. intern in der Datenverarbeitungseinheit an ein den weiteren Schritt der Bestätigung der Identität des Anwenders durchführenden Berechnungsmodul bzw. entsprechende Programmeinheit.The term integrity stands for integrity, reliability, completeness, freedom from errors, whereby, for example, a falsification of an image can be detected and thus its use can be prevented. Subsequently, in a further method step, the result of the first single-factor authentication of the first factor is output by the data processing unit. Another procedural step sees that the result of the first single-factor authentication is checked by means of a further factor, wherein the second factor is checked for authenticity and / or integrity. The further factor is checked by carrying out a second single-factor authentication with the aid of the data processing unit. Subsequently, the result of the second single-factor authentication is output. The output of the single-factor authentication takes place, for example, internally in the data processing unit to a calculation module or corresponding program unit carrying out the further step of confirming the identity of the user.

In einem weiteren Verfahrensschritt wird die Identität des Anwenders durch die Datenverarbeitungseinheit bestätigt, wenn die jeweiligen Einzel-Faktor-Authentifizierungen des ersten und des zweiten Faktors die Authentizität des Anwenders bestätigt haben. Die mehreren Einzel-Faktor-Authentifizierungen sind Bestandteil der Multi-Faktor-Authentifizierung und ergeben diese zusammengenommen. Sofern mindestens eine der beiden Einzel-Faktor-Authentifizierungen die Identität des Anmelders nicht bestätigen konnte, kann ein Fehlersignal generiert und ausgegeben werden.In a further method step, the identity of the user is confirmed by the data processing unit if the respective single-factor authentications of the first and the second factor have confirmed the authenticity of the user. The multiple single-factor authentication forms part of multi-factor authentication and results in a combination. If at least one of the two single-factor authentications could not confirm the identity of the applicant, an error signal can be generated and output.

In einer Ausführungsform des Verfahrens ist das Verfahren als einstufiger Prozess ausgebildet, wobei für die Multi-Faktor-Authentifizierung die mindestens zwei Faktoren einer Einzel-Faktor-Authentifizierung unterzogen werden und nach erfolgreicher Authentifizierung der Faktoren die Identität des Anwenders bestätigt wird. Die Multi-Faktor-Authentifizierung kann auf Basis einer Uridentität erfolgen, welche beispielsweise ein Reisepass oder ein Personalausweis ist. Das Verfahren der Multi-Faktor-Authentifizierung als einstufiger Prozess ist datensparsam, da lediglich die Daten, welche zur Authentifizierung notwendig sind, gespeichert in einem digitalen Speicher zu hinterlegen sind. Das Verfahren umfasst die zuvor beschriebenen Verfahrensschritte.In one embodiment of the method, the method is designed as a single-stage process, wherein for the multi-factor authentication, the at least two factors are subjected to a single-factor authentication and the identity of the user is confirmed after successful authentication of the factors. The multi-factor authentication can be based on a basic identity, which is for example a passport or an identity card. The method of multi-factor authentication as a one-step process is data-sparing, since only the data necessary for authentication are stored in a digital memory store. The method comprises the method steps described above.

In einem weiteren alternativen Verfahrensschritt wird mindestens ein zusätzlicher Faktor zur Identitätsfeststellung einer Einzel-Faktor-Authentifizierung unterzogen, wobei die Einzel-Faktor-Authentifizierung Bestandteil der Multi-Faktor- Authentifizierung ist.In a further alternative method step, at least one additional identity determination factor is subjected to single-factor authentication, wherein the single-factor authentication is part of the multi-factor authentication.

Vorzugsweise werden drei Faktoren einer Einzel-Authentifizierung unterzogen und zur Multi-Faktor- Authentifizierung verwendet. Besonders bevorzugt werden fünf Faktoren einer Einzel-Authentifizierung unterzogen und zur Multi-Faktor-Authentifizierung verwendet. Alternativ bevorzugt werden sieben Faktoren einer Einzel-Authentifizierung unterzogen und zur Multi-Faktor-Authentifizierung verwendet.Preferably, three factors undergo single authentication and are used for multi-factor authentication. More preferably, five factors undergo single authentication and are used for multi-factor authentication. Alternatively, preferably, seven factors undergo single authentication and are used for multi-factor authentication.

In einer alternativen Ausführungsform ist das Verfahren als mehrstufiger Prozess ausgebildet. Die Authentifizierung kann auf Basis einer Uridentität erfolgen, die nur einmalig verifiziert werden muss, beispielsweise durch persönliche Überprüfung der Identität durch eine beauftragte Kontrollperson, wie es z.B. beim sogenannten POSTIDENT Verfahren möglich ist. In einem weiteren Verfahrensschritt wird aus den authentifizierten Faktoren bzw. aus den Ergebnissen der Multi-Faktor-Authentifizierung eine digitale ID bzw. ein digitaler Identifikator erzeugt und durch die Datenverarbeitungseinheit in einen gesicherten Speicherbereich übertragen, wenn die Identität des Anwenders beispielsweise als Ergebnis der POSTIDENT Authentifizierung bestätigt wurde.In an alternative embodiment, the method is designed as a multi-stage process. Authentication may be on the basis of a primal identity that needs to be verified only once, for example, by personally verifying the identity by a designated controller, as described e.g. in the so-called POSTIDENT method is possible. In a further method step, a digital ID or a digital identifier is generated from the authenticated factors or from the results of the multi-factor authentication and transmitted by the data processing unit to a secure memory area if the identity of the user, for example, as a result of the POSTIDENT authentication was confirmed.

Bevorzugt ist der gesicherte Speicherbereich ein intelligenter Datenspeicher, der vor Fremdzugriffen geschützt ist, so dass auch der digitale Identifikator geschützt ist und der intelligente Datenspeicher als digitaler Tresor dient. In einem weiteren Verfahrensschritt wird eine Teilidentität aus dem gespeicherten digitalen Identifikator durch die Datenverarbeitungseinheit zu einem späteren Zeitpunkt erzeugt. In einem weiteren Verfahrensschritt wird eine dritte Einzel- Faktor-Authentifizierung auf der Datenverarbeitungseinheit durchgeführt, bei welcher ein dritter Faktor auf Authentizität und/oder Integrität geprüft wird. Weiterhin erfolgt von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der dritten Einzel-Faktor-Authentifizierung. In einem anschließenden Verfahrensschritt wird das Ergebnis der dritten Einzel-Faktor-Authentifizierung mit der erzeugten Teilidentität durch die Datenverarbeitungseinheit zu einer kombinierten digitalen ID kombiniert. Im weiteren Verfahrensschritt wird die Identität des Anwenders durch die Datenverarbeitungseinheit mit Hilfe der kombinierten digitalen ID bestätigt. Durch die beschriebenen Verfahrensschritte wird eine schnelle, flexible Authentifizierung der Anwenderidentität gewährleistet. Im bereits erwähnten Beispielfall kann durch POSTIDENT einmalig die Uridentität bestätigt und daraufhin eine digitale ID als Alltags ID erzeugt werden, die mit einem weiteren Faktor in zahlreichen Anwendungen verwendet werden kann.Preferably, the secure memory area is an intelligent data memory which is protected against foreign access, so that the digital identifier is also protected and the intelligent data memory serves as a digital vault. In a further method step, a partial identity is generated from the stored digital identifier by the data processing unit at a later time. In a further method step, a third single-factor authentication is performed on the data processing unit, in which a third factor is checked for authenticity and / or integrity. Furthermore, the data processing unit issues an output of a result of the third single-factor authentication. In a subsequent method step, the result of the third single-factor authentication with the generated partial identity is combined by the data processing unit into a combined digital ID. In the further method step, the identity of the user is confirmed by the data processing unit with the aid of the combined digital ID. The described method steps ensure fast, flexible authentication of the user identity. In the example case already mentioned, POSTIDENT can once confirm the original identity and then generate a digital ID as an everyday ID, which can be used with another factor in numerous applications.

Der digitale Identifikator kann mit weiteren Faktoren, welche eine Einzel-Faktor-Authentifizierung durchlaufen haben, erweitert werden. Der digitale Identifikator kann stetig durch den Anwender erweitert und angepasst werden, so dass der digitale Identifikator bzw. dessen Sicherheit stetig wächst.The digital identifier may be augmented with other factors that have undergone single-factor authentication. The digital identifier can be continuously extended and adapted by the user, so that the digital identifier or its security is constantly growing.

Bevorzugt werden die Verfahrensschritte mehrfach durchgeführt. Vorzugsweise wird die digitale ID über eine sichere Kommunikationsverbindung auf einen gesicherten externen Speicherbereich außerhalb der Datenverarbeitungseinheit übertragen. Vorzugsweise wird mindestens einer der Faktoren auf Integrität und Authentizität geprüft, so dass die Echtheit und die Unverfälschtheit jedes Faktors gewährleistet sind.The process steps are preferably carried out several times. Preferably, the digital ID becomes a secure external memory area via a secure communication link transmitted outside the data processing unit. Preferably, at least one of the factors is checked for integrity and authenticity so as to ensure the authenticity and integrity of each factor.

In einer bevorzugten Ausführungsform erfolgen die Einzel- Faktor-Authentifizierungen anhand von Referenzdaten.In a preferred embodiment, the single-factor authentications are based on reference data.

Vorzugsweise sind die Referenzdaten in einem digitalen Datenspeicher gespeichert bzw. hinterlegt. Besonders bevorzugt sind die Referenzdaten in einem digitalen Datenspeicher verschlüsselt gespeichert bzw. hinterlegt. Die Referenzdaten sind den jeweiligen Faktoren, welche zur Authentifizierung verwendet werden, zugeordnet. Beispielsweise können die Referenzdaten in einem intelligenten Datenbanksystem mit einer intrinsischen Sicherheit gespeichert sein. Bevorzugt erfolgt die Speicherung der Referenzdaten in einem zentralen Speicher. Alternativ bevorzugt erfolgt die Speicherung der Referenzdaten in einem dezentralen Speicher. Die Speicherung kann in einem externen Speicher, beispielsweise auf einem entfernt liegenden Server erfolgen.The reference data are preferably stored or stored in a digital data memory. Particularly preferably, the reference data are stored or stored encrypted in a digital data memory. The reference data is associated with the respective factors used for authentication. For example, the reference data may be stored in an intelligent database system with intrinsic security. The storage of the reference data preferably takes place in a central memory. Alternatively preferably, the storage of the reference data takes place in a decentralized memory. The storage can take place in an external memory, for example on a remote server.

Besonders bevorzugt sind die mindestens zwei Faktoren aus unterschiedlichen Gruppen wählbar und in diese einzuordnen. Die Gruppen, zu welchen die Faktoren zuzuordnen sind, sind: Besitz, Wissen, Merkmal und Zusatz. Weitere Gruppierungen können definiert werden. Alternativ bevorzugt sind die mindestens zwei Faktoren aus der gleichen Gruppe wählbar und in diese einzuordnen.Particularly preferably, the at least two factors from different groups can be selected and classified in these. The groups to which the factors belong are possession, knowledge, trait and addition. Further groupings can be defined. Alternatively, preferably, the at least two factors from the same group are selectable and to be classified in this.

Ein Besitz-Faktor ist der Gruppe Besitz zugeordnet. Der Besitz-Faktor ist ein Gegenstand, welcher sich in dem Besitz des Anwenders befindet und durch den Anwender nutzbar ist. Der Besitz-Faktor kann gebildet sein durch den Besitz: eines Ausweisdokuments, eines Mobiltelefons, eines Wearable oder einer Smartwatch. Alternativ kann der Besitz-Faktor einer anderen nicht aufgeführten Art sein, welche in dem Besitz des Anwenders befindlich ist und welche durch den Anwender nutzbar ist.A ownership factor is assigned to the ownership group. The possession factor is an object which is in the possession of the user and is usable by the user. The ownership factor can be formed by ownership: a badge, a mobile phone, a wearable or a SmartWatch. Alternatively, the ownership factor may be another unlisted type that is in the user's possession and which is usable by the user.

Ein Wissens-Faktor ist der Gruppe Wissen zugeordnet. Der Wissens-Faktor ist eine Information, welche der Anwender kennt und ggf. wiedergeben kann. Alternativ ist der Wissens-Faktor eine in einem Speicher oder einer Datenverarbeitungseinheit hinterlegte Information. Der Wissens-Faktor kann gebildet sein durch Kenntnis: einer Nummer, eines Passworts, einer Geste, eines E-Mail-Accounts, eines Social-Media-Accounts oder die Art und/oder die Anzahl und/oder die Kombination der einzelnen zur Multi-Faktor-Authentifizierung verwendeten Faktoren. Es können andere, hier nicht aufgeführte, Arten von Wissens- Faktoren für das Verfahren zur Anwendung kommen.A knowledge factor is assigned to the knowledge group. The knowledge factor is information that the user knows and can possibly reproduce. Alternatively, the knowledge factor is information stored in a memory or a data processing unit. The knowledge factor can be formed by knowledge: a number, a password, a gesture, an e-mail account, a social media account or the type and / or the number and / or the combination of the individual to the multimedia Factor authentication factors used. Other types of knowledge factors for the process, not listed here, may be used.

Ein Merkmals-Faktor ist der Gruppe Merkmal zugeordnet. Der Merkmals-Faktor ist ein körperliches bzw. physisches Merkmal des Anwenders, so dass eine Authentifizierung nicht ohne den Anwender erfolgen kann. Die Merkmals-Faktoren umfassen vorzugsweise Eigenschaften des Anwenders. Der Merkmals-Faktor kann gebildet sein durch: ein Anwender-Gesicht, eine Anwender-Iris, ein Anwender-Fingerabdruck, eine Anwender-Vene, ein Anwender-Muskel, ein Anwender-Gang oder eine Anwender- Eigenschaft. Weitere Anwender-Merkmale als Merkmals-Faktoren sind möglich.A feature factor is assigned to the characteristic group. The feature factor is a physical characteristic of the user, so authentication can not be done without the user. The feature factors preferably include characteristics of the user. The feature factor may be formed by: a user's face, a user's iris, a user's fingerprint, a user's vein, a user's muscle, a user's gait, or a user's property. Further user characteristics as feature factors are possible.

Ein Zusatz-Faktor ist der Gruppe Zusatz zugeordnet. Der Zusatz-Faktor kann gebildet sein durch: eine Position, eine Historie oder ein Anwenderverhalten, oder durch einen Bürgen bzw. eine Beziehung mit einer weiteren Identität, wobei die weitere Identität bereits authentifiziert ist.An additional factor is assigned to the group Addition. The additional factor can be formed by: a position, a history or a user behavior, or by a relationship with another identity, wherein the further identity is already authenticated.

Das erfindungsgemäße Verfahren ist ein dynamisches Verfahren, was den Vorteil der flexiblen Wahl der für die Anwenderidentifikation verwendeten Faktoren durch einen Anwender mit sich bringt.The method according to the invention is a dynamic method, which has the advantage of a flexible choice of the factors used for the user identification by a user brings.

Die Einzel-Faktor-Authentifizierung und somit die Überprüfung der einzelnen gewählten, im Verfahren zur Anwendung kommenden Faktoren erfolgt anhand spezifischer Merkmale der jeweiligen Faktoren. Mittels Sensoren können die spezifischen Merkmale der jeweiligen Faktoren überprüft werden. Nachfolgend sind Beispiele für die jeweiligen aufgeführten Faktoren der verschiedenen Gruppen genannt. Alternative Authentifizierungen und/oder Integritätsprüfungen der Einzel-Faktoren sind denkbar.Single-factor authentication, and thus verification of the individual factors selected in the process, is based on specific characteristics of the factors involved. Using sensors, the specific characteristics of the respective factors can be checked. The following are examples of the respective listed factors of the various groups. Alternative authentications and / or integrity checks of the individual factors are conceivable.

Das Ausweisdokument als Besitz-Faktor kann mit einem Nahvideo mit LED oder NFC auf Unverfälschtheit und Echtheit (Authentizität und Integrität) überprüft werden. Mittels des Nahvideos wird die Anwenderidentität überprüft, wobei ein Video des Ausweisdokumentes zusammen mit dem Anwender erstellt wird. Mittels Vergleich eines Anwenderfotos, welches auf dem Ausweisdokument befindlich ist, mit einer Aufnahme des Gesichtes des Anwenders kann die Überprüfung erfolgen. Alternativ kann das Anwenderfoto des Ausweisdokumentes mit einem Referenzbild verglichen wird. Das Referenzbild kann in einem internen oder externen Speicher hinterlegt sein.The identity document as a possession factor can be checked for authenticity and authenticity (authenticity and integrity) using a near video with LED or NFC. By means of the near video, the user identity is checked, whereby a video of the ID document is created together with the user. By comparing a user photo, which is located on the identification document, with a recording of the face of the user, the review can be done. Alternatively, the user photo of the ID document may be compared with a reference image. The reference image can be stored in an internal or external memory.

Weiterhin kann das Ausweisdokument mittels einer alternativen Daten- und Sicherheitsmerkmalsprüfung (z.B. Emission bestimmter Strahlung bei vorbestimmter Anregung) auf Unverfälschtheit und Echtheit überprüft werden. Die Datenprüfung kann anhand auf dem Ausweisdokument befindlicher bibliografischer Daten erfolgen.Furthermore, the identification document can be checked for authenticity by means of an alternative data and security feature check (for example emission of specific radiation at a predetermined excitation). Data verification may be based on bibliographic data on the identity document.

Vorzugsweise besitzen die Faktoren Sicherheitsmerkmale. Mittels der Sicherheitsmerkmale sind die Faktoren einer Gruppe voneinander unterscheidbar. Alternativ bevorzugt weisen die Faktoren mehrere verschiedene Sicherheitsmerkmale auf.Preferably, the factors have security features. By means of the security features, the factors of a group are distinguishable from each other. Alternatively, the factors may have several different security features.

Beispielsweise kann ein Ausweisdokument ein mit einer elektromagnetischen Strahlung anregbares Sicherheitselement aufweisen.For example, an identity document may have a security element that can be excited by an electromagnetic radiation.

Das Mobiltelefon als Besitz-Faktor kann überprüft werden, indem die SIM oder die IMEI des Mobiltelefons validiert werden, wobei eine hinterlegte Referenz der SIM und/oder der IMEI zum Vergleich zum Einsatz kommt. Insbesondere werden gerätespezifische Merkmale überprüft. Andere mobile Endgeräte sind als Besitz-Faktor ebenso einsetzbar, beispielsweise ein Tablet. Das Wearable oder die Smartwatch als Besitz-Faktor kann durch Überprüfung der SNR (Seriennummer des Geräts) oder der ID des jeweiligen Gerätes authentifiziert werden.The mobile phone as a possession factor can be checked by validating the SIM or the IMEI of the mobile phone using a stored reference of the SIM and / or the IMEI for comparison. In particular, device-specific features are checked. Other mobile devices can also be used as a possession factor, for example a tablet. The wearable or the smartwatch as a possession factor can be authenticated by checking the SNR (serial number of the device) or the ID of the respective device.

Die Wissens-Faktoren umfassen bevorzugt Verschlüsselungen, Accounts oder Referenzen. Der Wissens-Faktor Nummer, Passwort oder eine Geste des Anwenders kann durch ein Login bzw. eine Anmeldung überprüft und authentifiziert werden. Bevorzugt werden Verschlüsselungen durch Eingabe der entsprechenden Daten und Vergleich mit Referenzdaten geprüft. Der Wissens- Faktor E-Mail-Account oder Social-Media-Account kann mit Hilfe der Datenverarbeitungseinheit durch einen Link oder einen übertragenen Code überprüft werden. Ein weiterer Wissens- Faktor, nämlich die Art, die Anzahl und/oder die Kombination der verschiedenen Faktoren, welche zur Multi-Faktor- Authentifizierung zur Anwendung kommen, kann mit hinterlegten Referenzen verglichen werden.The knowledge factors preferably include encryptions, accounts or references. The knowledge factor number, password or a gesture of the user can be checked and authenticated by a login or a login. Preferably, encryptions are checked by entering the appropriate data and comparing with reference data. The knowledge factor e-mail account or social media account can be checked by means of the data processing unit by a link or a transmitted code. Another knowledge factor, namely the type, the number and / or the combination of the various factors that are used for the multi-factor authentication, can be compared with stored references.

Gesicht und/oder Iris des Anwenders als Merkmals-Faktor können mittels einem intelligenten Live-Video oder Selfie-Video bzw. einem Anwendervideo durch Vergleich mit einem Ausweislichtbild oder mit Ausweisdaten oder mit hinterlegten Referenzdaten authentifiziert werden. Der Merkmals-Faktor Fingerabdruck und/oder Venen sind durch Sensoraufnahmen zu erfassen und mit Ausweisdaten oder hinterlegten Referenzdaten zu vergleichen. Der Merkmals-Faktor der Anwendereigenschaft oder des Ganges des Anwenders kann durch eine Datenaufnahme mittels Beschleunigungssensoren und oder Gyroskop und oder GPS und Datenvergleich mit einem mobilen Endgerät, welches die erforderlichen Daten erfasst, und unter Verwendung von Referenzdaten überprüft werden. Ein dafür geeignetes mobiles Endgerät ist beispielsweise ein Mobiltelefon oder eine Smartwatch oder ein Wearable. Alternativ können die Eigenschaften oder der Gang des Anwenders durch Vergleich von Referenzdaten mit Daten, welche per Videoanalyse des Anwenders mit einem Fernsystem oder Nahsystem erstellt wurden, überprüft werden.The face and / or iris of the user as a feature factor can be authenticated by means of a smart live video or selfie video or a user video by comparison with a badge photograph or with badge data or with stored reference data. The feature factor fingerprint and / or veins are to be recorded by sensor recordings and compared with card data or stored reference data. The Feature factor of the user's property or gait of the user can be checked by data acquisition by means of acceleration sensors and or gyroscope and / or GPS and data comparison with a mobile terminal which acquires the required data and using reference data. A suitable mobile terminal is for example a mobile phone or a smartwatch or a wearable. Alternatively, the user's characteristics or gait can be checked by comparing reference data with data generated by video analysis of the user with a remote system or proximity system.

Die Position als Zusatz-Faktor ist durch einen Vergleich von MNO- und/oder GPS-Daten zu authentifizieren (Geo-Fencing). Der Zusatz-Faktor Historie und/oder Verhalten ist durch Vergleich der letzten, hinterlegten Login-Daten, der letzten Einkäufe oder der Lieblingsorte des Anwenders zu überprüfen. Der Zusatz-Faktor Bürge und/oder Beziehung ist durch Bestätigung mittels mindestens einer weiteren Identität in Echtzeit oder mittels einer hinterlegten Referenzidentität zu authentifizieren.The position as an additional factor must be authenticated by comparing MNO and / or GPS data (geo-fencing). The additional factor history and / or behavior is to be checked by comparing the last, stored login data, the last purchases or the favorite places of the user. The additional factor guarantor and / or relationship is to be authenticated by confirmation by means of at least one further identity in real time or by means of a stored reference identity.

Die Erfassung der jeweiligen Merkmale der Einzel-Faktoren erfolgt vorzugsweise mit dafür ausgelegten Geräten oder Vorrichtungen. Besonders bevorzugt werden die spezifischen Merkmale der Einzel-Faktoren mittels dafür ausgelegten Sensoren erfasst.The detection of the respective features of the individual factors is preferably carried out with devices or devices designed for this purpose. Particularly preferably, the specific features of the individual factors are detected by means of sensors designed for this purpose.

Vorzugsweise werden die Einzel-Faktor-Authentifizierungen nacheinander bzw. zeitlich beabstandet ausgeführt. Alternativ können die Einzel-Faktor-Authentifizierungen gleichzeitig ausgeführt werden.Preferably, the single-factor authentication is performed successively. Alternatively, the single factor authentication can be performed concurrently.

Vorzugsweise werden Faktoren für die Multi-Faktor- Authentifizierung verwendet, welche dem Anwender zeitnah zur Verfügung stehen.Preferably, factors for the multi-factor authentication are used, which are available to the user in a timely manner.

Durch das erfindungsgemäße Verfahren werden bevorzugt klassische Faktoren und neue Technologien zur Authentifizierung einer Identität kombiniert, wodurch sich vorteilhafterweise ein sicheres Verfahren zur Anwenderidentifikation ergibt. Ein Vorteil des erfindungsgemäßen Verfahrens ist, dass eine starke Anwenderauthentifizierung vorliegt, da mehrere Faktoren zur Authentifizierung verwendet werden. Ein weiterer Vorteil des Verfahrens ist es, dass das Verfahren benutzerfreundlich ist und der Anwender die Faktoren, deren Anzahl und Kombination frei wählen kann. Dabei kann der Anwender vorrangig die ihm zur Verfügung stehenden Faktoren und Geräte verwenden. Alternativ bevorzugt sind die Art, die Anzahl und die Kombination der Faktoren automatisch und/oder dynamisch wählbar. Als vorteilhaft hat es sich erwiesen, dass der Anwender keine weiteren bzw. zusätzlichen Geräte zu Authentifizierung seiner Identität benötigt. Unter einer dynamischen Multifaktorauthentifizierung ist im Rahmen dieser Anmeldung insbesondere eine Multifaktorauthentifizierung zu verstehen, bei der die Art und Anzahl der Faktoren in Abhängigkeit von dem jeweils erforderlichen Authentifizierungsgrad für jede Authentifizierungsanfrage dynamisch festgelegt werden. Das Verfahren ist also in dem Sinne dynamisch, dass die Auswahl der für eine erfolgreiche Authentifizierung des Nutzers nachzuweisende Kombination von Merkmalen auf ein Empfangen der Authentifizierungsanfrage hin erfolgt. Im Gegensatz zu einem statischen Verfahren kann die Auswahl mithin für jede Authentifizierungsanfrage individuell, also dynamisch, erfolgen. Insbesondere kann die Auswahl für identische Authentifizierungsanfragen unterschiedlich sein. Dies erhöht die Sicherheit des Verfahrens. Selbst wenn die bei einer ersten Authentifizierungsanfrage zur erfolgreichen Authentifizierung notwendigen Messwerte durch Diebstahl und/oder Manipulation in die Hände eines Unberechtigten gelangen sollten, kann dieser sich selbst bei einer identischen Authentifizierungsanfrage nicht erfolgreich authentifizieren, wenn sich die nachzuweisende Kombination von Merkmalen dynamisch ändert. Des weiteren kann bspw. die Auswahl abhängig von geänderten Rahmenbedingungen oder einer Erkennung von Unregelmäßigkeiten (wie bspw. einer Anfrage von einem anderen Endgerät, als üblich) angepasst bzw. geändert werden.The inventive method preferably combines classical factors and new technologies for authenticating an identity, which advantageously results in a secure method for user identification. An advantage of the method according to the invention is that there is a strong user authentication, since several factors are used for the authentication. Another advantage of the method is that the method is user-friendly and the user can freely choose the factors, their number and combination. The user can primarily use the factors and devices available to him. Alternatively preferably, the type, number and combination of factors are automatically and / or dynamically selectable. It has proved to be advantageous that the user does not need any additional or additional devices for authentication of his identity. For the purposes of this application, dynamic multifactor authentication is to be understood as meaning, in particular, multifactor authentication, in which the type and number of factors are determined dynamically for each authentication request depending on the respectively required degree of authentication. The method is therefore dynamic in the sense that the selection of the combination of features to be detected for a successful authentication of the user takes place upon receipt of the authentication request. In contrast to a static method, the selection can therefore take place individually, ie dynamically, for each authentication request. In particular, the selection for identical authentication requests may be different. This increases the safety of the process. Even if the metrics necessary for successful authentification in a first authentication request were to be transferred to the hands of an unauthorized party due to theft and / or tampering, it can not succeed even if the authentication request is identical authenticate when the combination of features to be detected changes dynamically. Furthermore, for example, the selection can be adapted or changed as a function of changed framework conditions or detection of irregularities (such as, for example, a request from a terminal other than usual).

Zur automatischen Wahl der Faktoren und deren Kombination, Anzahl und Art, kann ein Rechner zur Anwendung kommen. Vorzugsweise werden der Datenverarbeitungseinheit Vorgabewerte zur Art, Anzahl und/oder Kombination der Faktoren eingespeist. Die Prüfung der Authentizität und/oder der Integrität kann auch als Verifikation bezeichnet werden.For automatic selection of factors and their combination, number and type, a calculator can be used. Default values for the type, number and / or combination of the factors are preferably fed to the data processing unit. The verification of authenticity and / or integrity can also be called verification.

Die erfindungsgemäße Vorrichtung ist dazu ausgebildet das zuvor beschriebene Verfahren zur Multi-Faktor- Authentifizierung einer Identität eines Anwenders anhand zweier Faktoren mit Sicherheitsmerkmalen auszuführen. Die Vorrichtung umfasst mindestens einen Sensor, welcher der Erfassung der Sicherheitsmerkmale der Faktoren dient. Der Sensor kann sein: ein Bildsensor, ein Bewegungssensor oder Beschleunigungssensor, ein biometrischer Sensor oder ein Positionserfassungssensor. Andere Sensorarten können in der Vorrichtung zur Multi-Faktor-Authentifizierung zur Anwendung kommen. Der Sensor ist dazu ausgebildet, ein Signal des Sicherheitsmerkmals zu erfassen. Weiterhin umfasst die Vorrichtung eine Datenverarbeitungseinheit. Die Datenverarbeitungseinheit empfängt das von dem Sensor erfasste Signal. Weiterhin unterzieht die Datenverarbeitungseinheit das erfasste Signal jeweils einer Einzel-Faktor-Authentifizierung um die Identität des Anwenders zu bestätigen, sofern die Ergebnisse sowohl der ersten als auch der zweiten Einzel-Faktor-Authentifizierung die Authentizität des Anwenders bestätigen.The device according to the invention is designed to execute the above-described method for multi-factor authentication of a user's identity on the basis of two factors with security features. The device comprises at least one sensor which serves to detect the security features of the factors. The sensor may be an image sensor, a motion sensor or accelerometer, a biometric sensor, or a position sensing sensor. Other types of sensors may be used in the multi-factor authentication device. The sensor is designed to detect a signal of the security feature. Furthermore, the device comprises a data processing unit. The data processing unit receives the signal detected by the sensor. Furthermore, the data processing unit subjects the detected signal to a single-factor authentication to confirm the identity of the user, if the results of both the first and the second single-factor authentication confirm the authenticity of the user.

Ein Bildsensor kann in einer Bildaufnahmeeinheit zur Aufnahme eines Bildes, einer Bildserie oder eines Videos integriert sein. Die Bildaufnahmeeinheit ist beispielsweise eine Kamera. Der Bewegungssensor oder Beschleunigungssensor ist bevorzugt zur Aufnahme einer Bewegung oder einer Gangart eines Anwenders ausgebildet. Vorzugsweise ist der biometrische Sensor ein Sensor zu Aufnahme eines Fingerabdrucks des Anwenders. Alternativ bevorzugt ist der biometrische Sensor ein Sensor zu Aufnahme der Iris des Anwenders ausgebildet. Weiterhin kann der biometrische Sensor dazu ausgebildet sein, die Muskelaktivität des Anwenders zu erfassen.An image sensor can be integrated in an image acquisition unit for taking a picture, an image series or a video his. The image acquisition unit is, for example, a camera. The motion sensor or acceleration sensor is preferably designed to record a movement or a gait of a user. Preferably, the biometric sensor is a sensor for receiving a fingerprint of the user. Alternatively preferably, the biometric sensor is a sensor designed to receive the iris of the user. Furthermore, the biometric sensor may be configured to detect the muscle activity of the user.

In einer alternativen Ausführungsform umfasst die Vorrichtung zur Multi-Faktor-Authentifizierung der Identität eines Anwenders anhand eines Sicherheitsdokumentes mit Anwenderdaten und/oder einem auf elektromagnetische Strahlung reagierendem Sicherheitsmerkmal eine Bildaufnahmeeinheit, eine Beleuchtungseinheit und eine Datenverarbeitungseinheit. Die Bildaufnahmeeinheit dient der Aufnahme eines Bildes, einer Bildserie oder eines Videos des Sicherheitsdokumentes, wobei ein Signal oder Datensatz erzeugt wird, der der Authentifizierung eines ersten Faktors dient. Das Signal oder der Datensatz, welche beispielsweise ein Foto des Sicherheitsdokumentes wiederspiegelt, dient der Authentifizierung der Anwenderidentität. Die Bildaufnahmeeinheit kann einen oder mehrere Sensoren umfassen. Die Beleuchtungseinheit ist dazu ausgebildet eine elektromagnetische Strahlung zu erzeugen. Die Beleuchtungseinheit ist so gegenüber dem Sicherheitsdokument anzuordnen, dass die elektromagnetische Strahlung auf das Sicherheitsdokument, insbesondere auf das Sicherheitsmerkmal einstrahlt. Das Sicherheitsdokument kann die elektromagnetische Strahlung empfangen und wird zur Reaktion bzw. zur Lumineszenz angeregt. Die Datenverarbeitungseinheit dient dem Ausführen einer ersten Einzel-Faktor-Authentifizierung des ersten Faktors anhand des Bildes, der Bilderserie oder des Videos der Anwenderdaten mit hinterlegten Referenzdaten.In an alternative embodiment, the device for multi-factor authentication of a user's identity on the basis of a security document with user data and / or a security feature that reacts to electromagnetic radiation comprises an image acquisition unit, a lighting unit and a data processing unit. The image capture unit is used to capture an image, a series of images or a video of the security document, wherein a signal or data record is generated, which serves to authenticate a first factor. The signal or the data record, which, for example, reflects a photograph of the security document, serves to authenticate the user identity. The image acquisition unit may include one or more sensors. The lighting unit is designed to generate electromagnetic radiation. The illumination unit is to be arranged opposite the security document such that the electromagnetic radiation radiates to the security document, in particular to the security feature. The security document can receive the electromagnetic radiation and is stimulated to react or to luminescence. The data processing unit is used to perform a first single-factor authentication of the first factor based on the image, the image series or the video of the user data with stored reference data.

Weiterhin dient die Datenverarbeitungseinheit dem Ausführen einer zweiten Einzel-Faktor-Authentifizierung anhand des zur Lumineszenz angeregten Sicherheitsmerkmals.Furthermore, the data processing unit is used to carry out a second single-factor authentication on the basis of the luminescence-stimulated security feature.

Vorzugsweise erfolgt die zweite Einzel-Faktor- Authentifizierung anhand des Bildes, der Bilderserie oder des Videos des zur Lumineszenz angeregten Sicherheitsmerkmals auf dem Sicherheitsdokument mittels Vergleich mit einem Referenzwert des angeregten Sicherheitsmerkmals. Weiterhin dient die Datenverarbeitungseinheit der Bestätigung der Identität des Anwenders, sofern die Ergebnisse der Einzel- Faktor-Authentifizierungen die Authentizität des Anwenders bestätigen.The second single-factor authentication preferably takes place on the security document by means of the image, the series of images or the video of the security feature excited for luminescence by comparison with a reference value of the excited security feature. Furthermore, the data processing unit serves to confirm the identity of the user, if the results of the single-factor authentication confirm the authenticity of the user.

Bevorzugt ist die Beleuchtungseinheit beabstandet gegenüber dem Sicherheitsdokument anzuordnen. Die Beleuchtungseinheit ist bevorzugt ein LED-Licht. Bevorzugt ist auf dem Sicherheitsdokument ein Sicherheitsmerkmal aufgebracht. Vorzugsweise ist das Sicherheitsmerkmal ein Lumineszenzmaterial, welches durch elektromagnetische Strahlung zur Photolumineszenz anregbar ist. Das Sicherheitsmerkmal kann als ein Muster ausgebildet sein. Bevorzugt ist das Sicherheitsmerkmal zumindest teilweise auf einem auf dem Sicherheitsdokument befindlichen Anwenderfoto überlappend angeordnet.Preferably, the lighting unit is spaced from the security document to order. The lighting unit is preferably an LED light. Preferably, a security feature is applied to the security document. Preferably, the security feature is a luminescent material which can be excited by electromagnetic radiation for photoluminescence. The security feature may be formed as a pattern. Preferably, the security feature is at least partially overlapping on a user photograph located on the security document.

Bevorzugt ist die Vorrichtung zum Ausführen des Verfahrens zur Multi-Faktor-Authentifizierung ein mobiles Endgerät. Alternativ bevorzugt ist die Vorrichtung zum Ausführen des Verfahrens zur Multi-Faktor-Authentifizierung ein Tablet. Besonders bevorzugt ist die Vorrichtung zum Ausführen des Verfahrens zur Multi-Faktor-Authentifizierung ein Smartphone ist. Die Beleuchtungseinheit kann eine Blitzfunktion des mobilen Endgerätes sein. Vorzugsweise ist die Beleuchtungseinheit ein LED-Licht eines Smartphones, wobei mit dem LED-Licht eine Blitzfunktion einer Kamera ausführbar ist. Die Ausgabe des Ergebnisses der Multi-Faktor-Authentifizierung erfolgt bevorzugt über ein Display bzw. einen Monitor der Vorrichtung, insbesondere des mobilen Endgerätes. Die Ausgabe des Ergebnisses der Multi-Faktor-Authentifizierung erfolgt alternativ bevorzugt über eine akustische Schnittstelle der Vorrichtung, insbesondere des mobilen Endgerätes.Preferably, the device for carrying out the method for multi-factor authentication is a mobile terminal. Alternatively, the device for carrying out the method for multi-factor authentication is preferably a tablet. Particularly preferably, the device for carrying out the method for multi-factor authentication is a smartphone. The lighting unit may be a flash function of the mobile terminal. Preferably, the lighting unit is an LED light of a smartphone, with the LED light, a flash function of a camera is executable. The output of the result of the multi-factor authentication is preferably via a display or a monitor of the device, in particular of the mobile terminal. The output of the result of the multi-factor authentication is alternatively preferably via an acoustic interface of the device, in particular of the mobile terminal.

Weitere Vorteile und Einzelheiten der vorliegenden Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsformen, unter Bezugnahme auf die Zeichnung.

  • Figur 1 eine Anordnung zur Ausführung eines erfindungsgemäßen Verfahrens zur Multi-Faktor-Authentifizierung einer Identität eines Anwenders.
  • Figur 2 zeigt eine Anordnung zur Ausführung eines alternativen Verfahrensschritts des Verfahrens.
  • Figur 3 zeigt eine tabellarische Aufstellung einer Anzahl möglicher Faktoren für die erfindungsgemäße Auswahl.
Further advantages and details of the present invention will become apparent from the following description of preferred embodiments, with reference to the drawings.
  • FIG. 1 an arrangement for carrying out a method according to the invention for multi-factor authentication of a user identity.
  • FIG. 2 shows an arrangement for carrying out an alternative method step of the method.
  • FIG. 3 shows a tabulation of a number of possible factors for the selection according to the invention.

Figur 1 zeigt eine stark vereinfachte Darstellung einer Anordnung zur Ausführung eines Verfahrensschritts eines erfindungsgemäßen Verfahrens zur Multi-Faktor- Authentifizierung einer Identität eines Anwenders (in Figur 2 gezeigt), welches mit einer erfindungsgemäßen Vorrichtung ausgeführt wird. Die Vorrichtung ist hierbei ein mobiles Endgerät, insbesondere ein Smartphone 01 des Anwenders. Das Smartphone 01 umfasst eine Kamera (nicht gezeigt) und eine der Kamera zugeordnete Beleuchtungseinheit (nicht gezeigt). Mittels der Kamera des Smartphones 01 kann eine Aufnahme eines Bildes, einer Bildserie oder eines Videos von einem Personalausweis 02 erfolgen. Der Personalausweis 02 ist ein Sicherheitsdokument, welches einem Anwender 07 zugeordnet ist. Der Personalausweis 02 umfasst neben einem Foto 03 bzw. Lichtbild des Anwenders 07 auch dessen persönliche Daten 04. Weiterhin umfasst der Personalausweis 02 mindestens ein Sicherheitsmerkmal 06. Das Sicherheitsmerkmal 06 kann ein auf dem Personalausweis 02 aufgebrachtes Lumineszenzmaterial sein, welches durch elektromagnetische Strahlung zur Photolumineszenz anregbar ist. Die elektromagnetische Strahlung ist durch die Beleuchtungseinheit, beispielsweise ein LED-Licht, des Smartphones 01 erzeugbar. Um ein Verfälschen des Personalausweises 02 zu verhindern, ist das Sicherheitsmerkmal 06 zumindest teilweise in das auf dem Personalausweis 02 befindliche Foto 03 integriert, beispielsweise durch Verwendung von Leuchtpigmenten in einer das Foto überdeckenden transparenten Schutzschicht. Dadurch wird die Vertrauenswürdigkeit, die Integrität, des Personalausweises 02 gewährleistet. Die Überprüfung der Echtheit, also der Authentizität, erfolgt durch Prüfung des Sicherheitsmerkmals 06 auf dem Personalausweis 02, wobei das Sicherheitsmerkmal 06 beispielsweise ausgemessen wird. FIG. 1 shows a greatly simplified representation of an arrangement for carrying out a method step of a method according to the invention for multi-factor authentication of a user identity (in FIG. 2 shown), which is carried out with a device according to the invention. In this case, the device is a mobile terminal, in particular a smartphone 01 of the user. The smartphone 01 includes a camera (not shown) and a lighting unit (not shown) associated with the camera. The camera of the smartphone 01 can be used to take a picture, a series of pictures or a video from an identity card 02. The identity card 02 is a security document which is assigned to a user 07. The identity card 02 includes not only a photo 03 or photo of the user 07 but also his personal data 04. Furthermore, the identity card 02 comprises at least one security feature 06. The security feature 06 may be a luminescent material applied to the identity card 02, which can be excited by electromagnetic radiation for photoluminescence. The electromagnetic radiation can be generated by the illumination unit, for example an LED light, of the smartphone 01. To prevent falsification of the identity card 02, the security feature 06 is at least partially integrated into the photo 03 located on the identity card 02, for example by using luminescent pigments in a transparent protective layer covering the photo. This ensures the trustworthiness, integrity, identity card 02. The verification of the authenticity, ie the authenticity, is carried out by checking the security feature 06 on the identity card 02, wherein the security feature 06 is measured, for example.

Die Prüfung und Einzel-Faktor-Authentifizierung des Sicherheitsmerkmals 06 als einem ersten Faktor, spiegelt einen Verfahrensschritt der Multi-Faktor-Authentifizierung des erfindungsgemäßen Verfahrens wieder. Als weiterer Einzel-Faktor, welcher der Multi-Faktor-Authentifizierung dient und einer Einzel-Faktor-Authentifizierung unterzogen wird, können die persönlichen Daten 04 des Anwenders überprüft werden. Die persönlichen Daten 04 bzw. biografischen Daten des Anwenders 07 können mit, auf einem Rechner gespeicherten, Referenzdaten verglichen werden. Der Personalausweis 02 befindet sich im Besitz des Anwenders und ist ein Besitz-Faktor, welcher für die Multi-Faktor-Authentifizierung genutzt werden kann.The verification and single-factor authentication of the security feature 06 as a first factor reflects a method step of the multi-factor authentication of the method according to the invention. As a further single factor, which serves the multi-factor authentication and is subjected to a single factor authentication, the personal data 04 of the user can be checked. The personal data 04 or biographical data of the user 07 can be compared with reference data stored on a computer. The identity card 02 is in the possession of the user and is a possession factor which can be used for the multi-factor authentication.

Ein weiterer Besitz-Faktor ist das Smartphone 01 des Anwenders, welches in einem weiteren Verfahrensschritt ebenfalls zur Multi-Faktor-Authentifizierung genutzt werden kann. Die Einzel-Authentifizierung des Smartphones 01 kann mittels Überprüfung der Gerätenummer mit einer hinterlegten Referenznummer erfolgen.Another possession factor is the smartphone 01 of the user, which can also be used in a further process step for multi-factor authentication. The single authentication of the smartphone 01 can by means of verification the device number with a stored reference number.

Die zuvor beschriebene Multi-Faktor-Authentifizierung erfolgt mittels zweier Besitz-Faktoren. Sind beide Faktoren authentifiziert, gilt die Identität des Anwenders als bestätigt.The multi-factor authentication described above is done by means of two ownership factors. If both factors are authenticated, the identity of the user is considered confirmed.

Fig. 2 zeigt einen alternativen Verfahrensschritt des Verfahrens zur Multi-Faktor-Authentifizierung, wobei der Anwender 07 mit einem, in seinem Besitz befindlichen, Smartphone 01 sowie mit seinem Personalausweis 02 eine Multi- Faktor-Authentifizierung durchführt. Die Überprüfung der Authentizität und Integrität des Personalausweises 02 und des Smartphones 01 erfolgen, wie zu Fig. 1 beschrieben, anhand eines Sicherheitsmerkmals 06 des Personalausweises 02 und der Gerätenummer des Smartphones 01. Weiterhin erfolgt eine Einzel-Authentifizierung des Anwenders 07 mit dem Personalausweis 02, wobei der Anwender 07 mit der Kamera des Smartphones 01 ein Live-Video erzeugt. Anschließend oder in Echtzeit wird das Gesicht des Anwenders 07 anhand des Livebildes mit dem Foto 03, welches auf dem Personalausweis 02 befindlich ist, verglichen. Fig. 2 shows an alternative method step of the method for multi-factor authentication, wherein the user 07 with a, in his possession, smartphone 01 and his ID card 02 performs a multi-factor authentication. The verification of the authenticity and integrity of the identity card 02 and the smartphone 01 done, as to Fig. 1 Further, a single authentication of the user 07 with the ID card 02, wherein the user 07 with the camera of the smartphone 01 generates a live video is carried out on the basis of a security feature 06 of the ID card 02 and the device number of the smartphone. Subsequently or in real time, the face of the user 07 is compared to the live image with the photo 03, which is located on the identity card 02.

In dem in Fig. 2 gezeigten Verfahren werden drei Faktoren zur Multi-Faktor-Authentifizierung verwendet. Sind alle drei Faktoren authentifiziert, gilt die Identität des Anwenders als bestätigt.In the in Fig. 2 The methods shown use three factors for multi-factor authentication. Once all three factors have been authenticated, the identity of the user is confirmed.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

0101
Vorrichtung / mobiles EndgerätDevice / mobile terminal
0202
SicherheitsdokumentThe security document
0303
Fotophoto
0404
persönliche Datenpersonal data
0505
--
0606
Sicherheitsmerkmalsafety feature
0707
Anwenderuser

Claims (10)

Verfahren zur Multi-Faktor-Authentifizierung der Identität eines Anwenders (07), folgende Schritte umfassend: - Auswahl eines ersten und mindestens eines zweiten zur Authentifizierung geeigneten Faktors (01; 02), die von einer Datenverarbeitungseinheit prüfbar sind, als Bestandteil der Multi-Faktor-Authentifizierung; - Ausführen einer ersten Einzel-Faktor-Authentifizierung auf der Datenverarbeitungseinheit, bei welcher der erste Faktor (01; 02) auf Authentizität und/oder Integrität geprüft wird und von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der ersten Einzel-Faktor- Authentifizierung erfolgt; - Ausführen einer zweiten Einzel-Faktor-Authentifizierung auf der Datenverarbeitungseinheit, bei welcher der zweite Faktor (01; 02)auf Authentizität und/oder Integrität geprüft wird und von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der zweiten Einzel-Faktor-Authentifizierung erfolgt; und - Bestätigung der Identität des Anwenders (07) durch die Datenverarbeitungseinheit, sofern die Ergebnisse sowohl der ersten als auch der zweiten Einzel-Faktor- Authentifizierung die Authentizität des Anwenders bestätigt haben. Method for multi-factor authentication of a user's identity (07), comprising the following steps: - selecting a first and at least one second factor (01, 02) suitable for authentication, which can be tested by a data processing unit, as part of the multi-factor authentication; Performing a first single-factor authentication on the data processing unit, wherein the first factor (01; 02) is checked for authenticity and / or integrity and the data processing unit outputs an output of the first single-factor authentication; Performing a second single-factor authentication on the data processing unit, wherein the second factor (01; 02) is checked for authenticity and / or integrity and the data processing unit issues an output of a result of the second single-factor authentication; and - Confirmation of the identity of the user (07) by the data processing unit, if the results of both the first and the second single-factor authentication have confirmed the authenticity of the user. Verfahren nach Anspruch 1, weiterhin folgende Schritte umfassend: - Übertragung des Ergebnisses der Multi-Faktor- Authentifizierung als digitale ID (Identifikator) durch die Datenverarbeitungseinheit in einem gesicherten Speicherbereich, wenn die Identität des Anwenders (07) bestätigt wurde; - Erzeugen einer Teilidentität aus der gespeicherten digitalen ID durch die Datenverarbeitungseinheit zu einem späteren Zeitpunkt; - Ausführen einer dritten Einzel-Faktor-Authentifizierung auf der Datenverarbeitungseinheit, bei welcher ein dritter Faktor (01; 02) auf Authentizität und/oder Integrität geprüft wird und von der Datenverarbeitungseinheit eine Ausgabe eines Ergebnisses der dritten Einzel-Faktor-Authentifizierung erfolgt; - Kombinieren des Ergebnisses der dritten Einzel-Faktor- Authentifizierungen und der erzeugten Teilidentität durch die Datenverarbeitungseinheit zu einer kombinierten digitalen ID; - Bestätigung der Identität des Anwenders (07) durch die Datenverarbeitungseinheit mit Hilfe der kombinierten digitalen ID. The method of claim 1, further comprising the steps of: Transmitting the result of the multi-factor authentication as a digital ID (identifier) by the data processing unit in a secure memory area if the identity of the user (07) has been confirmed; - generating a partial identity from the stored digital ID by the data processing unit at a later time; Performing a third single-factor authentication on the data processing unit, in which a third factor (01; 02) is checked for authenticity and / or integrity and the data processing unit issues an output of a result of the third single-factor authentication; Combining the result of the third single-factor authentication and the generated partial identity by the data processing unit into a combined digital ID; - Confirmation of the identity of the user (07) by the data processing unit using the combined digital ID. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass der Verfahrensschritt mehrfach mit weiteren Faktoren (01; 02) durchgeführt wird.Method according to one of claims 1 or 2, characterized in that the method step is carried out several times with further factors (01; 02). Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Datenverarbeitungseinheit Vorgabewerte zur Art, Anzahl und/oder Kombination der Faktoren (01; 02), welche durch die Datenverarbeitungseinheit einer Einzel-Faktor-Authentifizierung unterzogen werden, eingespeist werden.Method according to one of claims 1 to 3, characterized in that the data processing unit default values for the type, number and / or combination of factors (01, 02), which are subjected by the data processing unit of a single-factor authentication, are fed. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Faktoren, welche durch die Datenverarbeitungseinheit einer Einzel-Faktor- Authentifizierung unterzogen werden, ausgewählt sind aus - der folgenden Liste: - Sicherheitsdokument (02), - mobile Kommunikationseinheit (01) mit gespeicherten Identifikationsdaten, - auf einem entfernten Server gespeicherte, - benutzerbezogene Dateien; - Historie von Anwendungsdaten; - Beziehung zu einer bereits authentifizierten Identität. Method according to one of claims 1 to 4, characterized in that the factors which are subjected by the data processing unit of a single-factor authentication are selected from - the following list: - security document (02), mobile communication unit (01) with stored identification data, - stored on a remote server, - user-related files; - history of application data; - Relationship to an already authenticated identity. Verfahren nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass die digitale ID über eine sichere Kommunikationsverbindung auf einen gesicherten externen Speicherbereich außerhalb der Datenverarbeitungseinheit übertragen wird.Method according to one of claims 2 to 5, characterized in that the digital ID is transmitted via a secure communication connection to a secure external memory area outside the data processing unit. Vorrichtung zum Ausführen des Verfahrens gemäß einem der Ansprüche 1 bis 6 zur Multi-Faktor-Authentifizierung der Identität eines Anwenders anhand zweier Faktoren (01; 02) mit Sicherheitsmerkmalen (06), umfassend mindestens einen Sensor zum Erfassen der Sicherheitsmerkmale der Faktoren, wobei der Sensor aus folgender Liste wählbar ist: - Bildsensor, - Biometrischer Sensor, - Bewegungssensor oder Beschleunigungssensor, - Positionserfassungssensor, und wobei der Sensor der Erfassung eines Signals des Sicherheitsmerkmals (06) dient;
weiterhin umfassend eine Datenverarbeitungseinheit, welche das von dem Sensor erfasste Signal empfängt und dieses jeweils einer Einzel-Faktor-Authentifizierung unterzieht, um die Identität des Anwenders zu bestätigen, sofern die Ergebnisse sowohl der ersten als auch der zweiten Einzel-Faktor-Authentifizierung die Authentizität des Anwenders bestätigen.Apparatus for carrying out the method according to one of claims 1 to 6 for the multi-factor authentication of a user's identity on the basis of two factors (01, 02) with security features (06), comprising at least one sensor for detecting the security features of the factors, wherein the sensor can be selected from the following list: - image sensor, - Biometric sensor, Motion sensor or acceleration sensor, Position detection sensor, and wherein the sensor is for detecting a signal of the security feature (06);
further comprising a data processing unit, which the receives signal detected by the sensor and subject each to a single-factor authentication to confirm the identity of the user, if the results of both the first and the second single-factor authentication confirm the authenticity of the user. Vorrichtung zum Ausführen des Verfahrens gemäß einem der Ansprüche 1 bis 6 zur Multi-Faktor-Authentifizierung der Identität eines Anwenders anhand eines Sicherheitsdokumentes mit Anwenderdaten und/oder einem auf elektromagnetische Strahlung reagierendem Sicherheitsmerkmal, umfassend: - eine Bildaufnahmeeinheit zur Aufnahme eines Bildes, einer Bildserie oder eines Videos des Sicherheitsmerkmals des Sicherheitsdokumentes, wobei das Bild, die Bildserie oder das Video zur Authentifizierung ein erster Faktors dienen; - eine Beleuchtungseinheit, die ausgebildet ist, um eine elektromagnetische Strahlung zu erzeugen, welche durch das Sicherheitsmerkmal des Sicherheitsdokumentes empfangen und zu einer Reaktion angeregt werden kann; und - eine Datenverarbeitungseinheit zum Ausführen einer ersten Einzel-Faktor-Authentifizierungen des ersten Faktors anhand des Bildes, der Bilderserie oder des Videos der Anwenderdaten mit hinterlegten Referenzdaten, und zum Ausführen einer zweiten Einzel-Faktor- Authentifizierung eines zweiten Faktors anhand des zur Lumineszenz angeregten Sicherheitsmerkmals, zur Bestätigung der Identität des Anwenders, sofern die Ergebnisse der Einzel-Faktor-Authentifizierungen die Authentizität des Anwenders bestätigen. Apparatus for carrying out the method according to one of claims 1 to 6 for the multi-factor authentication of a user's identity on the basis of a security document with user data and / or a security feature that reacts to electromagnetic radiation, comprising: an image-capturing unit for capturing an image, an image series or a video of the security feature of the security document, wherein the image, the image series or the video serve for authentication of a first factor; a lighting unit configured to generate electromagnetic radiation which can be received by the security feature of the security document and excited to respond; and a data processing unit for carrying out a first single-factor authentication of the first factor based on the image, the image series or the video of the user data with stored reference data, and for carrying out a second single-factor authentication of a second factor on the basis of the luminescence-stimulated security feature, to confirm the identity of the user, provided the results of the single-factor authentication confirm the authenticity of the user. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Vorrichtung ein mobiles Endgerät, insbesondere ein Smartphone ist.Apparatus according to claim 8, characterized in that the device is a mobile terminal, in particular a smartphone. Computerprogramm mit Programmcodemitteln, um alle Schritte eines Verfahrens nach einem der Ansprüche 1 bis 6 durchzuführen, wenn das Computerprogramm auf einer Datenverarbeitungseinheit ausgeführt wird.Computer program comprising program code means for carrying out all the steps of a method according to one of claims 1 to 6, when the computer program is executed on a data processing unit.
EP19154384.2A 2018-01-30 2019-01-30 Method and device for multi-factor authentication Pending EP3518190A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018102013 2018-01-30

Publications (1)

Publication Number Publication Date
EP3518190A1 true EP3518190A1 (en) 2019-07-31

Family

ID=65243480

Family Applications (1)

Application Number Title Priority Date Filing Date
EP19154384.2A Pending EP3518190A1 (en) 2018-01-30 2019-01-30 Method and device for multi-factor authentication

Country Status (1)

Country Link
EP (1) EP3518190A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3859692A1 (en) * 2020-01-30 2021-08-04 Bundesdruckerei GmbH Terminal and method for determining personal data using an identity document
WO2023089406A1 (en) * 2021-11-16 2023-05-25 International Business Machines Corporation Auditing of multi-factor authentication

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
WO2013034603A1 (en) 2011-09-06 2013-03-14 Bundesdruckerei Gmbh Method and arrangement for verifying a security document having a security feature in the form of a fluorescent printing element and use of such an arrangement
DE102014100463A1 (en) 2014-01-16 2015-07-16 Bundesdruckerei Gmbh A method of identifying a user using a communication device
US20160217356A1 (en) * 2010-09-18 2016-07-28 Philip Wesby System and Method for Encoding and Controlled Authentication
DE102016107250A1 (en) 2015-04-22 2016-10-27 Deutsches Zentrum für Luft- und Raumfahrt e.V. Method, device and computer program for multi-factor authentication and / or identification of users
DE102015219393A1 (en) 2015-10-07 2017-04-13 Koenig & Bauer Ag Method for identifying an object
WO2017168194A1 (en) * 2016-04-01 2017-10-05 Intel Corporation Technologies for multifactor threshold authentification
DE102016113499A1 (en) * 2016-07-21 2018-01-25 Huf Hülsbeck & Fürst Gmbh & Co. Kg Authentication method for authenticating a user of a terminal

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115142A1 (en) * 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US20160217356A1 (en) * 2010-09-18 2016-07-28 Philip Wesby System and Method for Encoding and Controlled Authentication
WO2013034603A1 (en) 2011-09-06 2013-03-14 Bundesdruckerei Gmbh Method and arrangement for verifying a security document having a security feature in the form of a fluorescent printing element and use of such an arrangement
DE102014100463A1 (en) 2014-01-16 2015-07-16 Bundesdruckerei Gmbh A method of identifying a user using a communication device
DE102016107250A1 (en) 2015-04-22 2016-10-27 Deutsches Zentrum für Luft- und Raumfahrt e.V. Method, device and computer program for multi-factor authentication and / or identification of users
DE102015219393A1 (en) 2015-10-07 2017-04-13 Koenig & Bauer Ag Method for identifying an object
WO2017168194A1 (en) * 2016-04-01 2017-10-05 Intel Corporation Technologies for multifactor threshold authentification
DE102016113499A1 (en) * 2016-07-21 2018-01-25 Huf Hülsbeck & Fürst Gmbh & Co. Kg Authentication method for authenticating a user of a terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3859692A1 (en) * 2020-01-30 2021-08-04 Bundesdruckerei GmbH Terminal and method for determining personal data using an identity document
WO2023089406A1 (en) * 2021-11-16 2023-05-25 International Business Machines Corporation Auditing of multi-factor authentication
US11762973B2 (en) 2021-11-16 2023-09-19 International Business Machines Corporation Auditing of multi-factor authentication

Similar Documents

Publication Publication Date Title
DE60309176T2 (en) BIOMETRIC AUTHENTICATION SYSTEM
DE102015208088A1 (en) Method for generating an electronic signature
EP3189465B1 (en) Method and authentication system for registration of a random security feature
EP3182317A1 (en) Apparatus and method for personalised provision of a key
EP3518190A1 (en) Method and device for multi-factor authentication
EP3362999B1 (en) Method for checking a document, document and computer system
EP3889807B1 (en) Authentication system based on a telecommunication device with a brain activity sensor
EP3314585B1 (en) Method and system for the authentication of a document and method for production and/or personalisation of a document
EP2131316A1 (en) Authentication method and system for products
EP3657750B1 (en) Method for the authentication of a pair of data glasses in a data network
EP3510515B1 (en) Data glasses for cryptographically signing image data
EP3304846B1 (en) Identification of a person on the basis of a transformed biometric reference feature
DE102019202083A1 (en) Safe sensor arrangement
DE102020123755B4 (en) Method for authentication with an optoelectronically readable code as well as function enabling device and computer program therefor
EP3338254B1 (en) Authenticating device for a document
EP2866486B1 (en) A method of generating an electronic signature
DE102009008184B4 (en) Checking an authentication of a portable volume owner
DE102016110274B4 (en) Method for a biometric-based triggering of a user action by means of an ID token assigned to a user
EP3304807B1 (en) Identifying a person on the basis of a transformed biometric reference feature
EP3289507B1 (en) Id token, system, and method for generating an electronic signature
EP3859692A1 (en) Terminal and method for determining personal data using an identity document
DE102012200299B4 (en) Method and device for increasing the security of signing a document
EP1479049A2 (en) Method for determination of the authorisation of a person to use a portable data support
DE102019214227A1 (en) Method and device for checking the authenticity of a product
EP3276909A1 (en) Authentication system

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN PUBLISHED

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20200120

RBV Designated contracting states (corrected)

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20221019

P01 Opt-out of the competence of the unified patent court (upc) registered

Effective date: 20230526