|
(11) | EP 1 669 945 A2 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||||||
| (54) | Verfahren zur Echtheitsüberprüfung und Sortierung von Wertdokumenten und Hochsicherheitssensor zur Durchführung des Verfahrens |
| (57) Die Erfindung betrifft ein Verfahren zur Echtheitsüberprüfung und Sortierung von
Wertdokumenten mittels eines Hochsicherheitssensors, wobei ein Messsignal durch Abgabe
eines Testsignals erzeugt und die resultierende Systemreaktion durch den Sensor ausgelesen
sowie ein Messsignal erzeugt wird. Das Messsignal wird nach einem vorgegebenen Algorithmus
mit Mitteln initiiert und ausgewertet, die in getrennten Sicherheitsbereichen geführt
werden. Hierbei wird dem Sensor zumindest ein erstes externes Führungssignal zugeführt,
welches einen vorbestimmten, ordnungsgemäßen Betrieb des Sensors sicherstellt und
den Sensor zur Abgabe des vorbestimmten Testsignals veranlasst. Ein zweites Führungssignal
wird der Signalverarbeitungseinrichtung des Sensors zugeführt und zusammen mit dem
Messsignal verarbeitet. Das Verfahren sieht danach das Ausgeben eines Steuerbefehls
zur Steuerung einer Sortiereinheit vor. Die Erfindung betrifft des weiteren einen
Hochsicherheitssensor zur Durchführung des Verfahrens.
|
[0001] Die Erfindung betrifft ein Verfahren zur Echtheitsüberprüfung und Sortierung von Wertdokumenten mittels eines Hochsicherheitssensors, der ein sensoreigenes Testsignal abgibt, die Systemreaktion ausliest und ein dementsprechendes Messsignal abgibt, sowie einen Hochsicherheitssensor zur Durchführung des Verfahrens.
[0002] Wertdokumente wie Banknoten sind mit diversen Sicherheitsmerkmalen ausgestattet, die eine missbräuchliche Nachahmung erschweren oder unmöglich machen sollen. Moderne Hochsicherheitsmerkmale sind dabei nicht nur per se schwer nachzuahmen, vielmehr ist auch nicht ohne weiteres feststellbar, was bei einer Überprüfung genau analysiert und in welcher Weise es ausgewertet wird. Zum Gebiet der Hochsicherheitsmerkmale gehören beispielsweise elektrolumineszierende Substanzen, die in einem geeigneten elektromagnetischen Wechselfeld zum Leuchten in einem charakteristischen Spektrum angeregt werden (DE 197 58 587 C2; DE 197 35 293 C2, DE 199 53 924 A1).
[0003] Zur Echtheitsüberprüfung werden spezielle Sensoren eingesetzt, die herkömmlich eine Einrichtung zur Abgabe des Anregungssignals sowie eine Empfangseinrichtung aufweisen, mit der die Systemreaktion ausgelesen wird. Das hiervon abgegebene Messsignal wird anschließend in einer Signalverarbeitungseinrichtung ausgewertet, die letztlich einen Steuerbefehl an die Sortiereinrichtung abgibt, wonach die als nicht echt erkannten Dokumente ausgeworfen werden.
[0004] Derartige Sensoren unterliegen besonderen Sicherheitsmaßnahmen und werden nur von wenigen autorisierten Institutionen in streng abgesicherten Bereichen eingesetzt, um so mit hoher Wahrscheinlichkeit auszuschließen, dass Unbefugte in den Besitz des Sensors gelangen, seine Funktionsweise analysieren und sich so das nötige Wissen für Fälschungen aneignen können. Es muss also verhindert werden, dass Unbefugte Hochsicherheitssensoren testen, um Hinweise zur Optimierung ihrer illegalen Tätigkeit zu gewinnen. Dies bedingt einen hohen Aufwand an Sicherheitsmaßnahmen und schließt eine breitere kommerzielle Anwendung der Hochsicherheitssensoren aus.
[0005] Der Erfindung liegt deshalb die Aufgabe zugrunde, eine verbesserte Absicherung von Hochsicherheitssensoren anzugeben, um diese ohne erhöhtes Risiko flächendeckend einsetzen zu können. Dies wird erfindungsgemäß mit einem Verfahren zur Echtheitsüberprüfung und Sortierung von Wertdokumenten mittels eines Hochsicherheitssensors, erreicht, das die Schritte aufweist:
Erzeugen eines Messsignals durch Abgabe eines Testsignals und Lesen der resultierenden Systemreaktion durch den Sensor; Auswerten des Messsignals nach einem vorgegebenen Algorithmus in einer Signalverarbeitungseinrichtung mit Mitteln, die in einem getrennten Sicherheitsbereich geführt werden und Ausgeben eines Steuerbefehls zur Steuerung einer Sortiereinheit. Hierbei wird dem Sensor zumindest ein erstes externes Führungssignal zugeführt, welches einen vorbestimmten, ordnungsgemäßen Betrieb des Sensors sicherstellt und den Sensor zur Abgabe des vorbestimmten Testsignals veranlasst. Ferner ist ein zweites Führungssignal vorgesehen, das der Signalverarbeitungseinrichtung zugeführt und zusammen mit dem Messsignal verarbeitet wird.
[0006] Erfindungsgemäß werden also Signalerzeugung und Signalverarbeitung zumindest in wesentlichen Teilen getrennt und in getrennten Sicherheitsbereichen, beispielsweise in einem Trustcenter geführt, so dass sich ein potenzieller Angreifer alle Systemteile beschaffen muss, weil ein Teil alleine keine auswertbaren Daten liefert und der Sensor nicht autark sondern nur im Zusammenwirken mit den Führungssignalen arbeitet.
[0007] Die externen Führungssignale stellen erst die ordnungsgemäße Funktion des Sensors sicher. Dies geschieht insbesondere durch Erzeugung eines verschlüsselten ersten Führungssignals in einem räumlich vom eigentlichen Hochsicherheitssensor getrennten Bereich. Erst die nachfolgende verschlüsselte Interaktion zwischen dem Führungssignal und dem Hochsicherheitssensor versetzt diesen in die Lage, das vorbestimmte Testsignals auszusenden. Das Führungssignal kann dem Sensor bspw. in der Weise zugeführt werden, dass es die Sensoreinstellungen selbst steuert. So lassen sich zum angegebenen Zweck bei einem Elektrolumineszenz-Sensor Frequenz, Spannung und/oder spektrale Auswertung des Lumineszenzsignals steuern. Zusätzlich wird ein zweites Führungssignal der Signalverarbeitung im Sensor zugeführt, das zusammen mit dem Messsignal verarbeitet wird, so dass auch aus dem Messsignal selbst keine Rückschlüsse auf die Arbeitsweise des Sensors möglich sind. Die ersten und zweiten Führungssignale gewährleisten zusammen so eine besonders hohe Absicherung gegen missbräuchliche Verwendung einschlägiger Hochsicherheitssensoren.
[0008] Das erste und/oder zweite Führungssignal umfasst bevorzugt einen on-line übermittelten Rechenalgorithmus, mit dem Test- und/oder Messsignal verarbeitet werden, wobei zur weiteren Absicherung das Ergebnis der Messsignalverarbeitung an den getrennten Sicherheitsbereich zurückgemeldet werden kann. Dort wird es dann wieder zurückgewandelt, worauf das Messsignal ausgewertet und ein Steuerbefehl ermittelt werden, der wiederum an den Sensor zurückgeleitet wird.
[0009] In vorteilhaften Ausführungen wird das Führungssignal dem Sensor über eine Datenleitung, insbesondere über eine Standleitung oder per Funk, zugeführt. Ebenso kann das Messsignal über eine solche Verbindung an den getrennten Sicherheitsbereich übertragen werden. Für Test- und Messsignale können insbesondere unterschiedliche Führungssignale und unterschiedliche Verschlüsselungen verwendet werden.
[0010] In einer anderen vorteilhaften Variante wird das Führungssignal dem Sensor off-line zugeführt. Dies kann mittels eines Datenträgers, insbesondere mittels einer Chip-Karte, erfolgen. Dieser Datenträger kann nach der Arbeitszeit durch einen Verantwortlichen entfernt werden. Nach dem Vier-Augen-Prinzip oder Sechs-Augen-Prinzip ist auch der Einsatz mehrerer Chip-Karten möglich.
[0011] Das Führungssignal wird vorzugsweise in vorbestimmten Intervallen verändert. Dies erschwert zusätzlich ein Ausspionieren der Sensorfunktionen und kann weiter dadurch ergänzt werden, dass dem Sensor ein weiteres, drittes Führungssignal in vorbestimmten - idealerweise kürzeren - Intervallen zugeführt wird, das einen im Sensor vorgesehenen Selbstzerstörungsmechanismus blockiert. Fällt diese Signal über einen festgelegten Zeitraum hinweg aus, z.B. weil der Originalsensor entwendet wurde, tritt die Selbstzerstörung ein, und der Sensor wird unbrauchbar. Ein solches zweites Führungssignal wird sinnvollerweise lokal, aber in einem räumlich getrennten Sicherheitsbereich erzeugt. Der Sensor kann dabei alleine schon durch dieses dritte, die Selbstzerstörung verhindernde Führungssignal gesichert werden. Selbstzerstörung bedeutet dabei, dass der Sensor unbrauchbar gemacht wird, was bspw. auch durch Entfernen bzw. Löschen der in einem Speicher abgelegten Daten erreicht werden kann.
[0012] Die Auswertung wird mittels einer Zeitschaltung außerhalb der überwachten Zeiten, insbesondere außerhalb der Dienstzeit der Sortiereinrichtung mit Vorteil ausgeschaltet, um unbefugte Versuche der Signalanalyse vor Ort, z.B. während der Nachtstunden, zu unterbinden.
[0013] Erfindungsgemäß wird die Aufgabe ferner gelöst durch einen Hochsicherheitssensor zur Durchführung des vorgenannten Verfahrens, wobei dieser Sensor eine Einrichtung zur Abgabe eines Testsignals, eine Leseeinrichtung zum Lesen der resultierenden Systemreaktion und zur Erzeugung eines Messsignals aufweist. Des weiteren besitzt er eine Empfangseinrichtung zum Empfang eines ersten externen Führungssignals, das den Sensor zur Abgabe des Testsignals veranlasst, und zum Empfang eines zweiten Führungssignals. Eine Signalverarbeitungseinrichtung verarbeitet das Messsignal zusammen mit dem zweiten Führungssignal nach einem vorgegebenen Algorithmus. Außerdem ist eine Einrichtung zum Ausgeben eines Steuerbefehls, mit dem eine Sortiereinheit steuerbar ist, vorgesehen.
[0014] In einer besonders vorteilhaften Ausführung umfasst die Empfangseinrichtung zum Empfang des externen Führungssignals eine Lesestation für einen Datenträger, insbesondere für eine Chip-Karte, die fallweise entfernt und in vorbestimmten Intervallen mit geändertem Führungssignal erneuert werden kann.
[0015] Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung des Ausführungsbeispiels.
[0016] Figur 1 zeigt das Prinzip der Trennung von Signalerzeugung und Signalverarbeitung unter Einbeziehung externer Führungssignale. Im Hochsicherheitssensor befindet sich eine Anregungseinrichtung, beispielsweise eine Elektrodenanordnung, mit der ein elektromagnetisches Wechselfeld an das zu prüfende Wertdokument angelegt wird. Im Dokument befindliche elektrolumineszierende Pigmente werden damit zum Leuchten mit einem charakteristischen Spektrum angeregt, das von einem Empfänger ausgelesen wird. Das resultierende Messsignal wird einer Signalverarbeitungseinrichtung zugeführt, die das Lumineszenzspektrum nach vorgegebenen Kriterien auswertet. Der Sensor gibt zuletzt einen Steuerbefehl an die Steuereinheit eines Sortiergeräts, mit dessen Hilfe die als falsch erkannten Dokumente ausgesondert werden.
[0017] Um aktiv werden zu können benötigt der Sensor ein externes erstes Führungssignal, das im gezeigten Beispiel von einem Trustcenter geliefert wird, aber auch von einem anderen Sicherheitsbereich kommen kann.
[0018] Der Sensor arbeitet auch bezüglich der Signalverarbeitung nicht autonom, sondern bedarf zusätzlicher Information. Im gezeigten Beispiel erhält der Sensor, beispielsweise über eine Standleitung, ein zweites Führungssignal, das ebenfalls aus einem räumlich getrennten Sicherheitsbereich wie dem gezeigten Trustcenter geliefert wird. Die im Sensor befindliche Signalverarbeitungseinrichtung verarbeitet das Messsignal zusammen mit dem Führungssignal und ist erst damit in der Lage, ersteres ordnungsgemäß nach einem vorgegebenen Algorithmus auszuwerten und einen zutreffenden Steuerbefehl abzugeben. Der Sensor alleine liefert damit potentiellen Fälschern keine relevanten Informationen, die sie missbräuchlich verwerten könnten, weil der Sensor für sich alleine nichts Verwertbares offenbart.
[0019] Das Führungssignal kann auch auf andere Sensorkomponenten, steuernd einwirken, was jeweils zu internen Situationen führt, die nur dem Absender der Signale selbst verständlich sind. Die Systemdaten können dabei variabel gestaltet werden. Außerdem kann das System auf mehr als zwei getrennte Bereiche verteilt werden. Die Anzahl der Systembausteine kann durch das Hinzufügen zusätzlicher Ver- und Entschlüsselungsschritte in jeweils getrennten Bereichen, beispielsweise verschiedene Hierarchieebenen, beliebig erhöht werden. Die Funktionsfähigkeit des Gesamtsystems setzt die konzertierte Aktion aller Ebenen voraus; der Verlust einzelner Komponenten führt nicht zum Verlust der Systemsicherheit insgesamt. Mit diesen Maßnahmen läßt sich vermeiden, dass aktuelle Sensoreinstellungen oder der Algorithmus der Signalverarbeitung analysiert werden. Ebensowenig können aus dem Sortierergebnis Rückschlüsse gezogen werden, wie sich bestimmte Sicherheitselemente und zugehörige Prüfmethoden umgehbar sein könnten.
1. Verfahren zur Echtheitsüberprüfung und Sortierung von Wertdokumenten mittels eines
Hochsicherheitssensors, mit den Schritten:
- Erzeugen eines Messsignals durch Abgabe eines Testsignals und Lesen der resultierenden Systemreaktion durch den Sensor,
- Auswerten des Messsignals nach einem vorgegebenen Algorithmus in einer Signalverarbeitungseinrichtung mit Mitteln, die in getrennten Sicherheitsbereichen geführt werden, und
- Ausgeben eines Steuerbefehls zur Steuerung einer Sortiereinheit, wobei
- dem Sensor zumindest ein erstes externes Führungssignal zugeführt wird, welches einen vorbestimmten, ordnungsgemäßen Betrieb des Sensors sicherstellt und den Sensor zur Abgabe des vorbestimmten Testsignals veranlasst.
- und wobei ein zweites Führungssignal vorgesehen ist, das der Signalverarbeitungseinrichtung zugeführt und zusammen mit dem Messsignal verarbeitet wird.
2. Verfahren nach Anspruch 1, wobei das erste und/oder das zweite Führungssignal einen
on-line übermittelten Rechenalgorithmus umfasst, mit dem das Messsignal verarbeitet
wird.
3. Verfahren nach Anspruch 2, wobei das Ergebnis der Messsignalverarbeitung an den getrennten
Sicherheitsbereich zurückgemeldet und dort wieder zurückgewandelt wird, worauf das
Messsignal ausgewertet und ein Steuerbefehl ermittelt wird, der dem Sensor zugeführt
wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Führungssignal dem Sensor über
eine Datenleitung, insbesondere Standleitung zugeführt wird.
5. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Führungssignal per Funk übertragen
wird.
6. Verfahren nach einem der Ansprüche 1 bis 5, wobei die getrennten Sicherheitsbereiche
ein Trustcenter umfassen.
7. Verfahren nach Anspruch 1 oder 2, wobei das Führungssignal dem Sensor off-line zugeführt
wird.
8. Verfahren nach Anspruch 7 wobei das Führungssignal mittels eines Datenträgers, insbesondere
mittels einer Chip-Karte, zugeführt wird.
9. Verfahren nach einem der Ansprüche 1 bis 8, wobei das Führungssignal in vorbestimmten
Intervallen verändert wird.
10. Verfahren nach einem der Ansprüche 1 bis 9, wobei dem Sensor ein drittes Führungssignal
in vorbestimmten Intervallen zugeführt wird, das einen im Sensor vorgesehenen Selbstzerstörungsmechanismus
blockiert.
11. Verfahren nach einem der Ansprüche 1 bis 10, wobei die Auswertung mittels einer Zeitschaltung
außerhalb überwachter Zeiten, insbesondere außerhalb der Dienstzeit der Sortiereinrichtung,
ausgeschaltet wird.
12. Hochsicherheitssensor zur Durchführung des Verfahrens nach einem der Ansprüche 1 bis
11 mit einer Einrichtung zur Abgabe eines Testsignals, einer Leseeinrichtung zum Lesen
der resultierenden Systemreaktion und zur Erzeugung eines Messsignals sowie mit einer
Empfangseinrichtung zum Empfang eines ersten externen Führungssignals, das den Sensor
zur Abgabe des Testsignals veranlasst, und zum Empfang eines zweiten Führungssignals
und mit einer Signalverarbeitungseinrichtung zum Verarbeiten des Messsignals zusammen
mit dem zweiten Führungssignal nach einem vorgegebenen Algorithmus sowie mit einer
Einrichtung zum Ausgeben eines Steuerbefehls zur Steuerung einer Sortiereinheit.
13. Hochsicherheitssensor nach Anspruch 12, wobei die Empfangseinrichtung zum Empfang
des externen Führungssignals eine Lesestation für einen Datenträger, insbesondere
für eine Chip-Karte, aufweist.