KR100470732B1 - An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network - Google Patents

An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network Download PDF

Info

Publication number
KR100470732B1
KR100470732B1 KR10-2002-0005544A KR20020005544A KR100470732B1 KR 100470732 B1 KR100470732 B1 KR 100470732B1 KR 20020005544 A KR20020005544 A KR 20020005544A KR 100470732 B1 KR100470732 B1 KR 100470732B1
Authority
KR
South Korea
Prior art keywords
biometric
information
time
server
network
Prior art date
Application number
KR10-2002-0005544A
Other languages
Korean (ko)
Other versions
KR20030065774A (en
Inventor
성종모
곽병옥
장동만
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0005544A priority Critical patent/KR100470732B1/en
Publication of KR20030065774A publication Critical patent/KR20030065774A/en
Application granted granted Critical
Publication of KR100470732B1 publication Critical patent/KR100470732B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

본 발명은 생체정보를 이용한 사용자의 인증방법이 네트워크를 통해 이루어질 때 네트워크를 통해 전달되는 생체정보에 공증된 타임스탬프(time-stamp) 정보를 이용함으로써 방해자(man-in-the-middle)에 의한 생체정보의 재시도 공격(Replay Attack)을 방지하는 네트워크에서의 생체정보 재시도 공격 방지장치 및 방법에 관한 것이다. 본 발명은, 사용자 인증시 클라이언트/서버 구조로 된 네트워크에서의 생체정보 재시도 공격 방지장치에 있어서, 사용자로부터 생체정보를 수집하여 특징패턴을 생성하고 상기 특징패턴으로부터 해쉬값을 계산하여 전달하며, 반환되는 타임스탬프에 포함된 전자서명의 유효성을 판단하는 생체인증 클라이언트; 상기 생체인증 클라이언트로부터 상기 해쉬값을 수신하여 현재의 공증된 시간정보를 추출하여 추가하고 상기 해쉬값 및 상기 시간정보에 전자서명하여 구성한 타임스탬프를 상기 생체인증 클라이언트로 반환하는 타임스탬프 서버; 및 상기 생체인증 클라이언트로부터 상기 특징패턴 및 상기 타임스탬프를 수신하여 상기 타임스탬프에 포함된 전자서명 및 시간정보의 유효성을 검사하고 기저장된 인증대상의 기준패턴과 상기 특징패턴을 비교하여 인증결과를 출력하는 생체인증 서버를 포함하며, 상기 생체인증 클라이언트, 생체인증 서버 및 타임스탬프 서버는 네트워크를 통해 각각 연결되며 서로 독립적으로 동작하는 것을 특징한다.According to the present invention, when a user's authentication method using biometric information is performed through a network, a man-in-the-middle may be used by using time-stamp information notarized in biometric information transmitted through the network. An apparatus and method for preventing biometric information retry attack in a network for preventing a replay attack of biometric information. The present invention, in the bio-information retry attack prevention device in a network having a client / server structure at the time of user authentication, collects the biometric information from the user to generate a feature pattern, calculates and transmits a hash value from the feature pattern, A biometric client for determining the validity of the electronic signature included in the returned time stamp; A timestamp server that receives the hash value from the biometric client, extracts and adds current notarized time information, and returns a timestamp configured by digitally signing the hash value and the time information to the biometric client; And receiving the feature pattern and the timestamp from the biometric client, checking the validity of the electronic signature and time information included in the timestamp, and comparing the previously stored reference pattern with the feature pattern to output the authentication result. And a biometric server, wherein the biometric client, the biometric server, and the timestamp server are each connected through a network and operate independently of each other.

Description

네트워크에서의 생체정보 재시도 공격 (replay attack)방지장치 및 방법{An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network}An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network}

본 발명은 생체정보를 이용한 사용자 인증장치 및 방법에 관한 것으로서 보다 상세하게는, 생체정보를 이용한 사용자의 인증방법이 네트워크를 통해 이루어질 때 네트워크를 통해 전달되는 생체정보에 공인된 기관에서 발행한 공증된 타임스탬프(time-stamp) 정보를 추가하여 이용함으로써 방해자(man-in-the-middle)에 의한 생체정보의 재시도 공격(Replay Attack)을 방지하는 네트워크에서의 생체정보 재시도 공격 방지장치 및 방법에 관한 것이다. The present invention relates to an apparatus and method for authenticating a user using biometric information, and more particularly, to a user authentication method using a biometric information, which is issued by an institution that is authorized by an authorized organization for biometric information transmitted through a network. Apparatus and method for preventing biometric retry attacks in a network to prevent replay attack of biometric information by man-in-the-middle by adding and using time-stamp information It is about.

최근 네트워크 컴퓨터 시스템에 생체측정학(Biometrics)을 접목하는 시도가 증가하는 추세이다. 이러한 생체측정학에서 가장 큰 특성은 어떠한 경우에도 외부요인에 의한 분실, 도난, 망각, 복제의 염려가 없다는 것이며 이를 가장 특징적인 장점으로 보고 있습니다. 또한 이러한 기법을 사용할 경우 보안 침해를 누가 하였는지 추적이 가능해지는 등 감사(audit) 기능이 완벽하게 구축될 수 있다는 장점이 있다. In recent years, attempts to integrate biometrics in networked computer systems have been increasing. The biggest characteristic of this biometrics is that there is no fear of loss, theft, oblivion, or duplication caused by external factors in any case. In addition, this technique has the advantage that the audit function can be completely built up, such as being able to track who has breached the security.

열쇠나 패스워드는 분실될 수 있지만 자신의 몸은 잃어버릴 수 없다는 사실과 태어나서 죽을 때까지 변하지 않는다는 사실, 그리고 신체적 특징이 일치하는 사람은 없다는 사실 등이 이러한 생체인식 시스템의 주요 전제가 되고 있다. 따라서, 생체인식 시스템은 적절히만 사용하면 보안을 강화할 수 있다. The key premise of these biometric systems is that keys and passwords can be lost, but that one's body can't be lost, that it doesn't change from birth to death, and that no one's physical characteristics match. Thus, biometric systems can enhance security if used properly.

생체계측은 궁극적인 사용자 인증을 위해 각 개인이 가지는 독특한 생리학적, 행동학적, 행태학적인 특성을 사용한다. 최근 가장 활발히 상용화가 이뤄지는 지문을 비롯해 손모양, 얼굴, 눈의 홍채와 망막, 손등의 정맥, 심지어 DNA에 이르기까지 다양하며 음성이나 서명 같은 생체적 특성도 생체인식 시스템의 활용대상에 포함되며 생체인식기술개발은 나날이 활기를 더해가고 있다. 더구나, 정보의 중요성이 날로 더해가면서 생체인식 시스템은 그 적용범위와 시장가능성이 확대될 것으로 예상된다. Biometrics uses the unique physiological, behavioral and behavioral characteristics of each individual for ultimate user authentication. From the most recently commercialized fingerprints to the shape of the hand, face, eye iris and retina, back of the hand, and even DNA, biometrics such as voice and signature are included in the biometric system. Technology development is growing every day. Moreover, as the importance of information increases, biometric systems are expected to expand their coverage and marketability.

상기한 바와 같이 종래의 생체인식을 이용한 사용자 인증은 지문, 음성, 망막과 같은 사람이 가지는 고유한 특징을 이용하여 사람을 인증함으로써 접근 및 휴대가 용이하다는 장점을 가지고 있으며, 이에 따라 실제 다양한 연구가 진행되고 있고 또한 많은 발전을 거듭하고 있다.As described above, the conventional user authentication using biometrics has the advantage of easy access and portability by authenticating a person by using unique features such as fingerprint, voice, and retina. It is progressing and there is a lot of development.

그러나, 이러한 종래의 생체정보를 이용한 사용자 인증방법이 네트워크를 통해서 이루어질 때, 네트워크상의 방해자(man-in-the-middle)를 통해 전송중인 인증정보를 저장해 두고 다음에 재사용하는 재시도 공격(Replay Attack)에 취약하다는 문제가 있었다.However, when the user authentication method using the conventional biometric information is performed through the network, a replay attack that stores authentication information being transmitted through a man-in-the-middle and reuses it later ) Was vulnerable.

종래에는 이러한 생체인식 시스템 및 방법이 여러가지가 개시되어 있다. 특히, 가장 상용화된 것은 지문을 이용하는 것인데 그 일예로서, 대한민국 특허출원 제1998-035287호에 지문을 조회하여 이용자의 신원을 확인함으로써 타인에 의한 데이터 검색 및 유출 등을 방지하는 지문조회에 의한 네트워크 컴퓨터시스템이 개시되어 있다. 상기 시스템은 스캐닝된 지문데이터를 호스트컴퓨터로 입력하면 상기 지문데이터가 대조되어 사용자의 신원이 확인되고 확인된 이용자의 액세스 권한에 따라 액세스가 허용되어 타인에 의한 정보유출을 방지하는 것이다. 그러나, 상기 시스템은 단지 단말기와 호스트 컴퓨터를 이용하여 지문인식을 통한 이용자의 신원확인 및 권한부여를 수행하는 것이며, 상술한 문제점과 같은 네트워크상에서 방해자(man-in-the-middle)에 의한 생체정보의 재시도 공격을 방지하지는 못했다.Conventionally, various such biometric systems and methods have been disclosed. In particular, the most commonly used is the use of fingerprints, for example, a network computer by fingerprint lookup that prevents data retrieval and leakage by others by checking fingerprints in Korean Patent Application No. 1998-035287. System is disclosed. When the scanned fingerprint data is input to the host computer, the system checks the fingerprint data to confirm the user's identity and allow access according to the confirmed user's access authority, thereby preventing information leakage by others. However, the system only performs identification and authorization of a user through fingerprint recognition using a terminal and a host computer, and biometric information by a man-in-the-middle in a network as described above. Retries did not prevent the attack.

다른 예로서, 대한민국 특허출원 제2001-0018127호는 단말에서 무선을 통해 지문을 암호화하여 전송하고 메인시스템에서 지문을 인식하는 무선 지문인식 시스템이 개시되어 있고 또한, 대한민국 특허출원 제2000-7005234호는 지문을 기초로 한 사용자 ID를 인증하여 네트워크를 통해 원격 시스템에 설정된 전용공간에 접근제어하는 지문을 이용하여 원격 액세스 가능한 전용공간이 개시되어 있다. 그러나, 이들은 지문인식을 통해 사용자를 인증 및 전용공간에 액세스하는 것을 기재하고 있으며, 상술한 문제점과 같은 네트워크 상에서 방해자에 의한 생체정보의 재시도 공격을 방지하지는 못했다.As another example, Korean Patent Application No. 2001-0018127 discloses a wireless fingerprint recognition system for encrypting and transmitting a fingerprint through a wireless device in a terminal and recognizing a fingerprint in a main system. Also, Korean Patent Application No. 2000-7005234 A dedicated space accessible remotely using a fingerprint for authenticating a user ID based on a fingerprint and controlling access to a dedicated space set in a remote system through a network is disclosed. However, they describe accessing a user to a dedicated space through fingerprint recognition, and have not prevented a retry attack of biometric information by an interferer on the network as described above.

따라서, 본 발명은 생체인증 시스템에서 클라이언트와 서버간에 생체특징패턴이 전송될 경우에 발생할 수 있는 방해자(man-in-the-middle)를 통해서 생체특징패턴에 공인된 기관에서 제공하는 시간 정보인 타임스탬프를 추가함으로써 생체정보 재시도 공격(replay attack)을 방지하는 장치 및 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention provides a time that is time information provided by an institution authorized to a biofeature pattern through a man-in-the-middle that may occur when a biofeature pattern is transmitted between a client and a server in a biometric authentication system. It is an object of the present invention to provide an apparatus and method for preventing a biometric information replay attack by adding a stamp.

상기 목적을 달성하기 위한 구성수단으로서의 본 발명은, 사용자 인증시 클라이언트/서버 구조로 된 네트워크에서의 생체정보 재시도 공격 방지장치에 있어서,The present invention as a constituent means for achieving the above object, in the apparatus for preventing biometric information retry attack in a network having a client / server structure at the time of user authentication,

사용자로부터 생체정보를 수집하여 특징패턴을 생성하고 상기 특징패턴으로부터 해쉬값을 계산하여 전달하며, 반환되는 타임스탬프에 포함된 전자서명의 유효성을 판단하는 생체인증 클라이언트;A biometric client that collects biometric information from a user, generates a feature pattern, calculates and transmits a hash value from the feature pattern, and determines validity of an electronic signature included in a returned time stamp;

상기 생체인증 클라이언트로부터 상기 계산된 해쉬값을 수신하여 상기 해쉬값에 현재의 공증된 시간정보를 추출하여 추가하고 상기 해쉬값 및 상기 시간정보에 전자서명하여 구성한 타임스탬프를 상기 생체인증 클라이언트로 반환하는 타임스탬프 서버; 및Receiving the calculated hash value from the biometric client, extracting and adding current notarized time information to the hash value, and returning a timestamp configured by digitally signing the hash value and the time information to the biometric client Timestamp server; And

상기 생체인증 클라이언트로부터 상기 특징패턴 및 상기 타임스탬프를 수신하여 상기 타임스탬프에 포함된 전자서명 및 시간정보의 유효성을 검사하고 기저장된 인증대상의 기준패턴과 상기 특징패턴을 비교하여 인증결과를 출력하는 생체인증 서버; 를 포함하며, 상기 생체인증 클라이언트, 생체인증 서버 및 타임스탬프 서버는 네트워크를 통해 각각 연결되며 서로 독립적으로 동작하는 것을 특징으로 한다. Receiving the feature pattern and the time stamp from the biometric client to check the validity of the digital signature and time information included in the time stamp, and compares the reference pattern of the pre-stored authentication target and the feature pattern to output the authentication result Biometric server; Includes, the biometric client, the biometric server and the timestamp server are each connected via a network, characterized in that to operate independently of each other.

또한, 상기 목적을 달성하기 위한 본 발명은, 생체인증 클라이언트, 생체인증 서버 및 타임스탬프 서버가 네트워크를 통해 각각 연결되어 서로 독립적으로 동작하며 사용자 인증시 클라이언트/서버 구조로 된 네트워크에서의 생체정보 재시도 공격 방지방법에 있어서,In addition, the present invention for achieving the above object, the biometric authentication client, the biometric authentication server and the timestamp server is connected to each other through a network and operate independently of each other, and the user biometric information in the network of the client / server structure upon authentication In the road attack prevention method,

상기 생체인증 클라이언트에서 사용자로부터 생체정보를 수신하고 상기 수신된 생체정보로부터 특징패턴을 추출하는 제1 단계;A first step of receiving biometric information from a user in the biometric client and extracting a feature pattern from the received biometric information;

상기 추출된 특징패턴으로부터 계산된 고정길이의 비트들로 이루어진 해쉬값을 상기 타임스탬프 서버로 전송하는 제2 단계;Transmitting a hash value of fixed length bits calculated from the extracted feature pattern to the timestamp server;

상기 타임스탬프 서버에서 현재의 공증된 시간정보를 추출하고 상기 전송된 해쉬값 및 추출된 시간정보에 전자서명한 타임스탬프를 상기 생체인증 클라이언트로 전송하는 제3 단계;Extracting current notarized time information from the timestamp server and transmitting the transmitted hash value and a timestamp electronically signed to the extracted time information to the biometric client;

상기 생체인증 클라이언트에서 상기 전송된 타임스탬프의 전자서명을 이용하여 상기 타임스탬프의 위조 및 변조를 확인하는 제4 단계;A fourth step of confirming, by the biometric client, forgery and modulation of the time stamp using the electronic signature of the transmitted time stamp;

상기 확인된 타임스탬프 및 상기 특징패턴을 생체인증 서버로 전송하는 제5 단계;A fifth step of transmitting the checked time stamp and the feature pattern to a biometric server;

상기 생체인증 서버에서 상기 타임스탬프의 전자서명을 이용하여 상기 타임스탬프의 위조 및 변조를 확인하는 제6 단계;A sixth step of confirming, in the biometric server, forgery and modulation of the time stamp using the electronic signature of the time stamp;

상기 확인된 타임스탬프에 포함된 시간정보의 유효성을 검사하는 제7 단계; 및A seventh step of checking validity of time information included in the checked time stamp; And

상기 특징패턴과 기설정된 기준패턴을 비교하여 인증여부를 판정하는 제8 단계를 포함한다.And an eighth step of comparing the feature pattern with a predetermined reference pattern to determine whether to authenticate.

이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in detail the present invention.

도 1은 본 발명의 장치에 따른 생체정보를 이용한 사용자 인증 네트워크 구성도의 일실시예이다. 도 1에 도시된 바와 같이, 생체정보를 이용한 사용자 인증 네트워크의 구성은 네트워크(104)를 통해 생체인증 클라이언트(101), 생체인증 서버(102) 및 타임스탬프(time-stamp) 서버(103;STA)가 연결된다. 상기 생체인증 클라이언트(101), 상기 생체인증 서버(102) 및 상기 타임스탬프 서버(103)은 각각 상호 독립적으로 운용 및 동작한다.1 is a diagram illustrating a configuration of a user authentication network using biometric information according to an apparatus of the present invention. As shown in FIG. 1, the configuration of a user authentication network using biometric information includes a biometric client 101, a biometric server 102, and a time-stamp server 103 via a network 104. ) Is connected. The biometric client 101, the biometric server 102 and the time stamp server 103 operate and operate independently of each other.

상기 생체인증 클라이언트(101)는 사용자로부터 생체정보를 수집하여 지정된 특징패턴을 생성하고 해쉬값을 계산 및 전자서명 검사 등의 기능을 수행하고 상기 생체인증서버(102)는 상기 생체인증 클라이언트(101)로부터 전송된 메시지에서 전자서명 및 타임스탬프에 포함된 시간정보를 검사하는 기능과 기준패턴과의 비교를 통해 인증결과를 출력하는 기능을 수행한다. 또한, 상기 타임스탬프서버(103)는 상기 생체인증 클라이언트(101)로부터 전송된 해쉬값에 시간정보를 더한 것에 전자서명을 한 후 그 결과를 되돌려주는 기능을 수행한다. 여기서, 상기 시간정보는 타임스탬프를 찍을 당시의 시간으로서 인증 서버의 시간정보와 어느 정도의 동기화가 필요할 것이다. The biometric client 101 collects biometric information from a user to generate a specified feature pattern, calculate a hash value, and perform an electronic signature check, and the biometric server 102 performs the biometric client 101. This function performs the function of checking the time information included in the digital signature and time stamp in the message transmitted from the certificate and outputting the authentication result through comparison with the reference pattern. In addition, the time stamp server 103 performs a function of returning the result after the digital signature is added to the hash value transmitted from the biometric client 101 plus the time information. Here, the time information is a time at which the time stamp is taken and needs some synchronization with time information of the authentication server.

도 2는 본 발명의 장치에 따른 생체인증을 위한 클라이언트의 구성블록도의 일실시예로서, 도 1에 도시된 생체인증 클라이언트(101)의 세부 구성블럭도이다. 도 2에 도시된 바와 같이, 생체정보수집부(201)는 지문, 음성, 망막, 홍체, 얼굴과 같은 사람의 고유한 생체정보(211)를 수집하는 장치로서 스캐너, 마이크, 카메라 등이 사용될 수 있다. 특징추출부(202)는 상기 생체정보수집부(201)에서 수집된 상기 생체정보(211)로부터 고유한 특징패턴을 추출한다.FIG. 2 is a block diagram illustrating the configuration of a client for biometric authentication according to an embodiment of the present invention. As shown in FIG. 2, the bioinformation collecting unit 201 is a device for collecting unique biometric information 211 of a person such as a fingerprint, a voice, a retina, an iris, a face, and a scanner, a microphone, a camera, or the like. have. The feature extractor 202 extracts a unique feature pattern from the biometric information 211 collected by the biometric information collector 201.

또한, 해쉬(hash)부(203)는 상기 특징추출부(202)를 통해서 나온 특징패턴으로부터 계산된 고정된 길이의 비트들로 이루어진 스트링인 해쉬값을 생성한다. 전자서명 검사부(204)는 전송된 메시지에 포함된 타임스탬프 서버의 전자서명이 유효한지 검사하는 기능을 수행한다. 네트워크 인터페이스부(205)는 생체인증서버(102) 및 타임스탬프 서버(103)와 통신을 하기 위의 네트워크(212)와의 연결을 수행한다.The hash unit 203 also generates a hash value, which is a string of bits of fixed length calculated from the feature pattern derived through the feature extractor 202. The digital signature checker 204 checks whether the electronic signature of the timestamp server included in the transmitted message is valid. The network interface unit 205 performs a connection with the network 212 to communicate with the biometric server 102 and the time stamp server 103.

도 3은 본 발명의 장치에 따른 생체인증을 위한 서버의 구성블록도의 일실시예로서, 도 1에 도시된 생체인증서버(102)의 세부 구성블록도이다. 도 3에 도시된 바와 같이, 네트워크 인터페이스부(301)는 상기 생체인증 클라이언트(101)와 통신을 위한 네트워크(311)와 연결을 수행한다. 전자서명 검사부(302)는 상기 생체인증 클라이언트(101)에서 수신된 인증요청 메시지에 포함된 타임스탬프 서버(103)의 전자서명을 검사하여 공증된 시간 정보의 위조 혹은 변조 여부를 확인한다.3 is a detailed block diagram of the biometric authentication server 102 shown in FIG. 1 as an embodiment of a block diagram of a server for biometric authentication according to an embodiment of the present invention. As shown in FIG. 3, the network interface unit 301 connects to the network 311 for communication with the biometric client 101. The digital signature checker 302 checks the digital signature of the timestamp server 103 included in the authentication request message received from the biometric client 101 to determine whether the notified time information is forged or tampered with.

패턴비교부(303)는 생체정보 데이터베이스(306)에 저장된 인증대상에 대한 기준패턴(312)과 인증요청 메시지에 포함된 생체특징패턴을 비교한다. 판단부(304)는 상기 패턴비교부(303)의 출력을 지정된 임계값과 비교하여 승인 및 거절 등의 인증결과(313)를 출력한다. 해쉬부(305)는 상기 특징패턴으로부터 계산된 고정된 길이의 비트들로 이루어진 스트링인 해쉬값의 생성 기능을 수행하며 전자서명 검사를 위해 사용된다. The pattern comparing unit 303 compares the reference pattern 312 for the authentication target stored in the biometric information database 306 with the biometric pattern included in the authentication request message. The determination unit 304 compares the output of the pattern comparison unit 303 with a specified threshold value and outputs an authentication result 313 such as approval or rejection. The hash unit 305 performs a function of generating a hash value, which is a string of bits of fixed length calculated from the feature pattern, and is used for digital signature checking.

상기 생체정보 DB(306)는 사용자 인증을 위해 사용되는 상기 기준패턴(312)을 저장하는 곳으로 등록과정에서 추출된 생체특징들의 저장소이다. 타임스탬프 검사부(307)는 전자서명을 통해 추출된 타임스탬프, 즉 시간정보를 이용해서 입력된 생체인증 요청 메시지가 유효한 것인지 확인한다. 이때, 상기 타임스탬프에 표시된 시간을 현재 생체인증서버(102)의 시간과 비교하여 일정범위의 유효시간 내에 포함되는지를 확인하여 유효여부를 판단한다. 상기 유효시간은 정책적으로도 설정이 가능하다.The biological information DB 306 stores the reference pattern 312 used for user authentication, and is a repository of biological features extracted during registration. The time stamp checker 307 checks whether the input biometric request message is valid using the time stamp extracted through the digital signature, that is, time information. At this time, by comparing the time displayed in the time stamp with the time of the current biometric authentication server 102 to determine whether it is included in the valid time of a certain range to determine whether it is valid. The valid time can also be set by policy.

도 4는 본 발명의 장치에 따른 시간정보 공증을 위한 타임스탬프 서버의 구성블록도의 일실시예로서, 도 1에 도시된 타임스탬프 서버의 세부 구성블럭도이다. 도 4에 도시된 바와 같이, 네트워크 인터페이스부(401)는 상기 생체인증 클라이언트(101)와 통신을 하기 위한 네트워크(411)와의 연결을 수행한다. 전자서명 생성부(402)는 상기 생체인증 클라이언트(101)로부터 수신된 해쉬값과 시간정보 추출부(404)에서 구해진 시간정보에 대한 타임스탬프 서버(103)의 전자서명을 생성한다.4 is a block diagram illustrating a configuration of a time stamp server for notifying time information according to an embodiment of the present invention. As shown in FIG. 4, the network interface unit 401 performs a connection with the network 411 for communicating with the biometric client 101. The digital signature generator 402 generates an electronic signature of the time stamp server 103 with respect to the hash value received from the biometric client 101 and the time information obtained by the time information extractor 404.

해쉬부(403)는 전자서명을 하기 위해 수신된 해쉬값과 추출된 시간정보에 대한 해쉬값을 다시 구하는 기능을 수행한다. 시간정보 추출부(404)는 현재 공증 타임스탬프 서버에서 현재 시간을 알아낸다.The hash unit 403 calculates a hash value for the received hash value and the extracted time information for the digital signature. The time information extracting unit 404 finds the current time in the current notary timestamp server.

도 5는 본 발명의 방법에 따른 생체정보를 이용한 사용자 인증 과정을 보이는 흐름도이다. 도 5를 참조하여 이를 상세히 설명하면, 생체인증 클라이언트(101)는 인증을 원하는 사용자로부터 생체정보를 수신한다(S501). 상기 수신된 생체정보로부터 특징패턴을 추출한다(S502). 상기 추출된 특징패턴에 대한 해쉬값을 계산한다(S503). 상기 계산된 해쉬값에 대한 공증 타임스탬프를 받기 위해 타임스탬프 서버(103)로 해쉬값을 전송한다(S504). 이 때, 미리 공유하고 있는 비밀키나 혹은 인증서를 통한 얻어지는 공개키를 이용해서 얻어지는 암호화된 채널을 통해서 전송할 수도 있다. 상기 타임스탬프 서버(103)에서는 상기 해쉬값에 대해서 공증 타임스탬프를 찍어주기 위해 공증된 시간정보를 추출하고 상기 추출된 시간정보를 상기 해쉬값에 덧붙인다(S505). 이때, 상기 시간정보는 타임스탬프를 찍는 순간의 시간이 된다. 상기와 같이 만들어진 [해쉬값 + 시간정보]를 타임스탬프 서버(103)의 비밀키로 전자서명을 한다(S506). 상기 단계(S506)의 결과로 만들어지는 [해쉬값 + 시간정보 + 전자서명]으로 이루어진 타임스탬프를 요청한 생체인증 클라이언트(101)로 전송한다(S507). 상기 타임스탬프를 수신한 상기 생체인증 클라이언트(101)는 상기 타임스탬프에 포함된 전자서명을 검사하여 통신 중에 위조 및 변조 여부를 검사한다(S508). 이 때, 상기 검사방법은 원 생체정보의 해쉬값과 시간정보로 이루어진 스트링을 다시 해쉬한 값과 수신된 전자서명을 타임스탬프의 공개키로 복호화한 값을 비교함으로써 이루어진다. 상기 단계(S508)에서의 검사결과, 성공적으로 진행되었는지를 판단하여(S509), 성공이면 [특징패턴 + 타임스탬프]를 인증서버(102)로 전송하고(S510), 실패이면 상기 특징패턴에 대한 해쉬값을 타임스탬프 서버로 재전송한다(S504). 5 is a flowchart illustrating a user authentication process using biometric information according to the method of the present invention. Referring to FIG. 5 in detail, the biometric client 101 receives biometric information from a user who wants to authenticate (S501). A feature pattern is extracted from the received biometric information (S502). A hash value for the extracted feature pattern is calculated (S503). The hash value is transmitted to the time stamp server 103 in order to receive the notarized time stamp for the calculated hash value (S504). At this time, it may be transmitted through an encrypted channel obtained by using a public key shared in advance or a public key obtained through a certificate. The time stamp server 103 extracts notarized time information to give a notarized time stamp for the hash value, and adds the extracted time information to the hash value (S505). In this case, the time information is a time at the time of taking a time stamp. [Hash value + time information] made as described above is digitally signed with the secret key of the time stamp server 103 (S506). The time stamp made up of the hash value + time information + electronic signature generated as a result of the step S506 is transmitted to the requesting biometric client 101 (S507). Upon receiving the timestamp, the biometric client 101 checks the digital signature included in the timestamp to check forgery and tampering during communication (S508). At this time, the inspection method is performed by comparing a hash value of the hash value of the original biometric information and the time information again with a value obtained by decoding the received digital signature with the public key of the time stamp. As a result of the check in step S508, it is determined whether the process is successful (S509), and if successful, [Feature Pattern + Time Stamp] is transmitted to the authentication server 102 (S510). The hash value is retransmitted to the time stamp server (S504).

상기 인증서버(102)에서는 상기 수신된 [특징패턴 + 타임스탬프]에서 타임스탬프의 위조 혹은 변조 여부를 확인하기 위해 상기 단계(S508)와 같이 동일한 방법으로 전자서명을 검사한다(S511). 이어, 상기 단계(S511)의 검사 결과, 성공적으로 진행되었는지를 판단하여(S512), 실패이면 인증실패 메시지를 상기 생체인증 클라이언트(101)로 전송하고(S519), 성공이면 상기 전송된 특징패턴이 네트워크상에서 방해자(man-in-the-middle)를 통해 재사용된 것인지 여부를 판단하기 위해 타임스탬프에 포함된 시간정보를 상기 인증서버의 현재 시간과 비교하여 정해진 유효시간 범위 내에 드는지 여부를 확인한다(S513). 상기 단계(S513)에서 시간정보를 확인할 때 현재 시간은 상기 생체인증 서버(102)에서 추출된 시스템 시간을 이용하거나 혹은 NTP(Network Time Protocol)을 이용하여 네트워크에서 얻어진 시간을 이용할 수 있다. 상기 타임스탬프에서 얻어지는 시간정보는 생체정보의 특징패턴이 타임스탬프 서버(103)가 공증한 시간을 의미한다. 현재의 시간과 상기 타임스탬프에 포함된 시간의 차이를 구한 다음, 이 시간 차이를 미리 정해진 유효시간 범위와 비교한다. 이 때, 상기 유효시간 범위는 네트워크에서 발생하는 패킷의 전송 지연의 통계적인 특징과 상기 생체인증 서버(102)에서 이루어지는 처리 시간을 고려하여 정해진다. 만약 상기 단계(S513)에서의 확인 결과 상기 계산된 시간 차이가 상기 설정된 유효기간 범위를 벗어난다면(시간차이 > 유효시간 범위), 방해자를 통해 재시도된 특징패턴으로 판단하여 인증실패 메시지를 상기 생체인증 클라이언트(101)로 전송하고(S519), 반대로 상기 단계(S513)에서의 확인 결과 상기 계산된 시간 차이가 상기 설정된 유효시간 범위 내에 든다면(시간차이 < 유효시간 범위), 정당한 특징패턴으로 판단하여 메시지에 포함된 특징패턴과 생체정보 데이터베이스에 있는 기준패턴을 비교하고(S515), 그 결과를 지정된 임계값과 비교하여 성공여부를 판단한다(S516). 성공인 것으로 판단되면 인증성공 메시지를 상기 생체인증 클라이언트(101)로 전송하고(S18), 실패인 것으로 판단되면 실패 메시지를 전송한다(S519).The authentication server 102 checks the digital signature in the same manner as in step S508 to confirm whether the time stamp is forged or modulated from the received [feature pattern + time stamp] (S511). Subsequently, as a result of the check in step S511, it is determined whether the process has been successfully performed (S512). If it is unsuccessful, the authentication failure message is transmitted to the biometric client 101 (S519). The time information included in the timestamp is compared with the current time of the authentication server to determine whether it has been reused through a man-in-the-middle on the network, and then it is checked whether it is within a predetermined valid time range ( S513). When checking the time information in step S513, the current time may use a system time extracted from the biometric server 102 or a time obtained from a network using a network time protocol (NTP). The time information obtained from the time stamp means a time when the feature stamp of the biometric information is notarized by the time stamp server 103. The difference between the current time and the time included in the timestamp is obtained and then the time difference is compared with a predetermined valid time range. At this time, the valid time range is determined in consideration of the statistical characteristics of the transmission delay of the packet generated in the network and the processing time made by the biometric authentication server (102). If the calculated time difference is out of the set validity period range (time difference> validity time range) as a result of the checking in step S513, the authentication failure message is determined by determining as a feature pattern retried by an interrupter. If the calculated time difference falls within the set valid time range (time difference < valid time range), then it is determined to be a legitimate feature pattern. The feature pattern included in the message is compared with the reference pattern in the biometric information database (S515), and the result is compared with a specified threshold value to determine success or failure (S516). If it is determined to be successful, the authentication success message is transmitted to the biometric client 101 (S18). If it is determined to be failed, a failure message is transmitted (S519).

이상에서 설명한 본 발명의 상세한 설명 및 도면에 개시된 내용은 본 발명을 설명하기 위한 바람직한 일실시예로서 네트워크에서 생체정보 재시도 공격 방지방법에 대한 바람직한 일실시예를 예시하였다. 그러나 본 발명의 범위를 여기에 표시된 도면이나 예시에 한정하는 것은 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.The detailed description of the present invention described above and the contents disclosed in the drawings illustrate a preferred embodiment of the method for preventing biometric information retry attack in a network as a preferred embodiment for describing the present invention. However, the scope of the present invention is not limited to the drawings and examples shown herein, it is common knowledge in the art that various substitutions, modifications and changes can be made within the scope without departing from the technical spirit of the present invention. It will be apparent to those who have

따라서, 본 발명의 권리의 범위는 상기한 상세한 설명에 의해 결정되는 것이 아니라 첨부한 청구범위에 의해 결정되어야만 할 것이다.Accordingly, the scope of the present invention should be determined by the appended claims rather than by the foregoing description.

본 발명에 의하면, 기존 네트워크를 통한 생체인증 시스템에서 클라이언트와 서버간에 생체특징패턴이 전송될 경우에 발생할 수 있는 방해자(man-in-the-middle)를 통한 생체정보 재시도 공격(replay attack)을 효과적으로 방지하여 생체인증이 더욱 안전하고 신뢰도가 높은 사용자 인증 방법으로 사용될 수 있다.According to the present invention, a bio-information replay attack through a man-in-the-middle may occur when a bio-feature pattern is transmitted between a client and a server in a biometric authentication system through an existing network. By effectively preventing the biometric authentication can be used as a more secure and reliable user authentication method.

또한, 음성, 지문, 홍체, 얼굴 등 다양한 형태의 생체인식정보에 적용될 수 있으며, 타임 스탬프를 이용해서 해당 생체정보가 추출된 시간을 확인함으로써 재시도 공격을 효과적으로 방지할 수 있다.In addition, it can be applied to various forms of biometric information, such as voice, fingerprint, iris, face, etc., it is possible to effectively prevent the retry attack by checking the time when the biometric information is extracted using a time stamp.

도 1은 본 발명의 장치에 따른 생체정보를 이용한 사용자 인증 네트워크 구성도의 일실시예이다.1 is a diagram illustrating a configuration of a user authentication network using biometric information according to an apparatus of the present invention.

도 2는 본 발명의 장치에 따른 생체인증을 위한 클라이언트의 구성블록도의 일실시예이다.2 is an embodiment of a block diagram of a client for biometric authentication according to the device of the present invention.

도 3은 본 발명의 장치에 따른 생체인증을 위한 서버의 구성블록도의 일실시예이다.3 is an embodiment of a block diagram of a server for biometric authentication according to an apparatus of the present invention.

도 4는 본 발명의 장치에 따른 시간정보 공증을 위한 타임스탬프 서버의 구성블록도의 일실시예이다.4 is an embodiment of a block diagram of a time stamp server for time information notarization according to an apparatus of the present invention.

도 5는 본 발명의 방법에 따른 생체정보를 이용한 사용자 인증 과정을 보이는 흐름도이다.5 is a flowchart illustrating a user authentication process using biometric information according to the method of the present invention.

* 도면의 주요 부분에 대한 부호의 설명 * Explanation of symbols on the main parts of the drawings

101 : 생체인증 클라이언트 102 : 생체인증 서버101: biometric authentication client 102: biometric authentication server

103 : 타임스탬프(time-stamp) 서버 104 : 네트워크103: time-stamp server 104: network

201 : 생체정보 수집부 202 : 특징추출부201: biological information collection unit 202: feature extraction unit

203,305 : 해쉬(Hash)부 204,302 : 전자서명검사부203,305 Hash part 204,302 Digital signature inspection part

205,301,401 : 네트워크 인터페이스부 211 : 생체정보205,301,401: network interface unit 211: biometric information

303 : 패턴비교부 304 : 인증판단부303: pattern comparison unit 304: certification judgment unit

306 : 생체정보 데이터베이스부 307 : 시간정보검사부306: biological information database unit 307: time information inspection unit

Claims (11)

사용자 인증시 클라이언트/서버 구조로 된 네트워크에서의 생체정보 재시도 공격 방지장치에 있어서,In the apparatus for preventing biometric information retry attack in a network having a client / server structure when authenticating a user, 사용자로부터 생체정보를 수집하여 특징패턴을 생성하고 상기 특징패턴으로부터 해쉬값을 계산하여 전달하며, 반환되는 타임스탬프에 포함된 전자서명의 유효성을 판단하는 생체인증 클라이언트;A biometric client that collects biometric information from a user, generates a feature pattern, calculates and transmits a hash value from the feature pattern, and determines validity of an electronic signature included in a returned time stamp; 상기 생체인증 클라이언트로부터 상기 계산된 해쉬값을 수신하여 상기 해쉬값에 현재의 공증된 시간정보를 추출하여 추가하고 상기 해쉬값 및 상기 시간정보에 전자서명하여 구성한 타임스탬프(time-stamp)를 상기 생체인증 클라이언트로 반환하는 타임스탬프 서버; 및Receiving the calculated hash value from the biometric client, extracting and adding current notarized time information to the hash value, and generating a time-stamp configured by digitally signing the hash value and the time information. A timestamp server that returns to the authentication client; And 상기 생체인증 클라이언트로부터 상기 특징패턴 및 상기 타임스탬프를 수신하여 상기 타임스탬프에 포함된 전자서명 및 시간정보의 유효성을 검사하고 기저장된 인증대상의 기준패턴과 상기 특징패턴을 비교하여 인증결과를 출력하는 생체인증 서버; 를 포함하며,Receiving the feature pattern and the time stamp from the biometric client to check the validity of the digital signature and time information included in the time stamp, and compares the reference pattern of the pre-stored authentication target and the feature pattern to output the authentication result Biometric server; Including; 상기 생체인증 클라이언트, 생체인증 서버 및 타임스탬프 서버는 네트워크를 통해 각각 연결되며 서로 독립적으로 동작하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치.The biometric client, the biometric server and the timestamp server are each connected via a network and operate independently of each other biometric information retry attack in the network, characterized in that the device. 제 1항에 있어서, 상기 생체인증 클라이언트는,The method of claim 1, wherein the biometric client, 사용자의 고유 생체정보를 수집하는 생체정보수집부;A biometric information collection unit for collecting unique biometric information of a user; 상기 수집된 생체정보로부터 고유한 특징패턴을 추출하는 특징추출부;Feature extraction unit for extracting a unique feature pattern from the collected biometric information; 상기 추출된 특징패턴으로부터 계산된 고정된 길이의 비트들로 이루어진 스티링인 해쉬(hash)값을 계산하는 해쉬부; A hash unit for calculating a hash value, which is a stitching composed of bits of fixed length calculated from the extracted feature pattern; 상기 타임스탬프 서버로부터 전송된 결과 메시지에 포함된 전자서명을 검사하는 전자서명검사부; 및An electronic signature checker for checking an electronic signature included in the result message transmitted from the timestamp server; And 네트워크와 연결되어 상기 생체인증 서버 및 상기 타임스탬프 서버와의 통신을 제어하는 네트워크 인터페이스부를 포함하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치.And a network interface unit connected to a network to control communication with the biometric server and the timestamp server. 10. An apparatus for preventing a biometric information retry attack in a network, comprising: a network interface; 제 1항에 있어서, 상기 타임스탬프 서버는,The method of claim 1, wherein the timestamp server, 현재 공증 시간정보를 추출하는 시간정보추출부;A time information extracting unit extracting current notary time information; 상기 생체인증 클라이언트로부터 전송된 해쉬값과 상기 추출된 시간정보에 대한 해쉬값을 계산하는 해쉬부;A hash unit configured to calculate a hash value of the hash value transmitted from the biometric client and the extracted time information; 상기 생체인증 클라이언트로부터 전송된 해쉬값과 상기 추출된 시간정보에 대한 전자서명을 생성하는 전자서명 생성부; 및 An electronic signature generator for generating an electronic signature for the hash value transmitted from the biometric client and the extracted time information; And 네트워크와 연결되어 상기 생체인증 클라이언트와의 통신을 제어하는 네트워크인터페이스부를 포함하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치.And a network interface unit connected to a network to control communication with the biometric authentication client. 10. An apparatus for preventing a biometric information retry attack on a network, comprising: a network interface; 제 1항에 있어서, 상기 생체인증서버는,The method of claim 1, wherein the biometric server, 사용자 인증을 위해 사용되는 기준패턴을 저장하는 생체정보데이터베이스부;A biometric information database unit storing a reference pattern used for user authentication; 상기 저장된 인증대상의 기준패턴과 인증요청된 메시지에 포함된 생체특징패턴을 비교하는 패턴비교부;A pattern comparison unit for comparing the stored reference pattern with the biometric pattern included in the authentication request message; 상기 생체인증클라이언트로부터 전송된 인증요청 메시지에 포함된 전자서명을 검사하여 시간정보의 유효성을 확인하는 전자서명검사부;An electronic signature checker that checks the validity of time information by checking the electronic signature included in the authentication request message transmitted from the biometric client; 상기 전자서명을 통해 추출된 시간정보를 이용하여 상기 인증요청 메시지의 유효성을 판단하는 타임스탬프검사부;A time stamp checker for determining validity of the authentication request message using time information extracted through the electronic signature; 상기 특징패턴으로부터 계산된 고정된 길이의 비트들로 이루어진 스트링인 해쉬값을 계산하는 해쉬부;A hash unit for calculating a hash value that is a string of bits of fixed length calculated from the feature pattern; 상기 패턴비교부로부터 출력된 비교결과값을 설정된 임계값과 비교하여 인증 승인여부를 판단하는 판단부; 및A determination unit which determines whether the authentication is approved by comparing the comparison result value output from the pattern comparison unit with a set threshold value; And 네트워크와 연결되어 상기 생체인증 클라이언트와의 통신을 제어하는 네트워크인터페이스부를 포함하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치. And a network interface unit connected to a network to control communication with the biometric authentication client. 10. An apparatus for preventing a biometric information retry attack on a network, comprising: a network interface; 제 1항 또는 제 3항에 있어서,The method according to claim 1 or 3, 상기 시간정보는 타임스탬프를 찍은 시간인 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치.And the time information is a time stamped time. A device for preventing a biometric information retry attack in a network. 제 1항 또는 제 4항에 있어서, 상기 생체인증 서버는,The method of claim 1 or 4, wherein the biometric server, 상기 타임스탬프에 포함된 시간정보를 상기 인증서버의 현재시간과 비교하여 설정된 유효시간 범위 내에 포함되는지를 검사하여 유효성을 확인하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지장치.A device for preventing bio-information retry attacks in a network, wherein the time information included in the time stamp is compared with a current time of the authentication server to check whether the time information is included in the valid time range. . 생체인증 클라이언트, 생체인증 서버 및 타임스탬프 서버가 네트워크를 통해 각각 연결되어 서로 독립적으로 동작하며 사용자 인증시 클라이언트/서버 구조로 된 네트워크에서의 생체정보 재시도 공격 방지방법에 있어서,In the biometric client, the biometric server and the timestamp server are connected to each other through a network and operate independently of each other. 상기 생체인증 클라이언트에서 사용자로부터 생체정보를 수신하고 상기 수신된 생체정보로부터 특징패턴을 추출하는 제1 단계;A first step of receiving biometric information from a user in the biometric client and extracting a feature pattern from the received biometric information; 상기 추출된 특징패턴으로부터 계산된 고정길이의 비트들로 이루어진 해쉬값을 계산하고 상기 계산된 해쉬값을 상기 타임스탬프 서버로 전송하는 제2 단계;A second step of calculating a hash value of fixed length bits calculated from the extracted feature pattern and transmitting the calculated hash value to the timestamp server; 상기 타임스탬프 서버에서 현재의 공증된 시간정보를 추출하고 상기 전송된 해쉬값 및 추출된 시간정보에 전자서명한 타임스탬프를 상기 생체인증 클라이언트로 전송하는 제3 단계;Extracting current notarized time information from the timestamp server and transmitting the transmitted hash value and a timestamp electronically signed to the extracted time information to the biometric client; 상기 생체인증 클라이언트에서 상기 전송된 타임스탬프의 전자서명을 이용하여 상기 타임스탬프의 위조 및 변조를 확인하는 제4 단계;A fourth step of confirming, by the biometric client, forgery and modulation of the time stamp using the electronic signature of the transmitted time stamp; 상기 확인된 타임스탬프 및 상기 특징패턴을 생체인증 서버로 전송하는 제5 단계;A fifth step of transmitting the checked time stamp and the feature pattern to a biometric server; 상기 생체인증 서버에서 상기 타임스탬프의 전자서명을 이용하여 상기 타임스탬프의 위조 및 변조를 확인하는 제6 단계;A sixth step of confirming, in the biometric server, forgery and modulation of the time stamp using the electronic signature of the time stamp; 상기 확인된 타임스탬프에 포함된 시간정보의 유효성을 검사하는 제7 단계; 및A seventh step of checking validity of time information included in the checked time stamp; And 상기 특징패턴과 기설정된 기준패턴을 비교하여 인증여부를 판정하는 제8 단계; 를 포함하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지방법.An eighth step of comparing the feature pattern with a predetermined reference pattern to determine whether to authenticate; A method of preventing a biometric information retry attack in a network, comprising: a. 제 7항에 있어서, The method of claim 7, wherein 상기 생체인증 클라이언트는 암호화된 채널을 통하여 상기 타임스탬프 서버 및 상기 생체인증 서버와 메시지를 전송하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지방법.And the biometric authentication client transmits a message to the time stamp server and the biometric server through an encrypted channel. 제 7항에 있어서,The method of claim 7, wherein 상기 타임스탬프는 상기 해쉬값에 시간정보를 더해서 전자서명한 것으로 이루어진 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지방법.And the timestamp is electronically signed by adding time information to the hash value. 제 7항 또는 제 9항에 있어서,The method according to claim 7 or 9, 상기 시간정보는 타임스탬프를 찍은 공증된 시간인 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지방법.And the time information is a notarized time when a time stamp is taken. The method of claim 2, wherein the biometric information retry attack is prevented in the network. 제 6항에 있어서, 제7 단계는,The method of claim 6, wherein the seventh step is 상기 타임스탬프에 포함된 시간정보를 상기 생체인증 서버의 현재시간과 비교하여 설정된 유효시간 범위 내에 포함되는지를 검사하여 상기 특징패턴이 방해자를 통해 재사용된 것인지를 판단하는 것을 특징으로 하는 네트워크에서의 생체정보 재시도 공격(replay attack) 방지방법.It is determined whether the feature pattern is reused through the interferer by checking whether the time information included in the time stamp is included in the set valid time range by comparing with the current time of the biometric authentication server. How to prevent information retry attacks.
KR10-2002-0005544A 2002-01-31 2002-01-31 An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network KR100470732B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0005544A KR100470732B1 (en) 2002-01-31 2002-01-31 An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0005544A KR100470732B1 (en) 2002-01-31 2002-01-31 An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network

Publications (2)

Publication Number Publication Date
KR20030065774A KR20030065774A (en) 2003-08-09
KR100470732B1 true KR100470732B1 (en) 2005-03-08

Family

ID=32220008

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0005544A KR100470732B1 (en) 2002-01-31 2002-01-31 An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network

Country Status (1)

Country Link
KR (1) KR100470732B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100759813B1 (en) * 2005-12-12 2007-09-20 한국전자통신연구원 Method for authenticating user using biometrics information
KR101714742B1 (en) * 2015-10-22 2017-03-10 고려대학교 산학협력단 Authentication method and server for remote control
CN113806810A (en) * 2021-07-12 2021-12-17 统信软件技术有限公司 Authentication method, authentication system, computing device, and storage medium

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09313464A (en) * 1996-05-28 1997-12-09 Nec Shizuoka Ltd Fingerprint authentication system
WO1998050875A2 (en) * 1997-05-09 1998-11-12 Gte Government Systems Corporation Biometric certificates
US6175923B1 (en) * 1998-12-08 2001-01-16 Senetas Corporation Limited Secure system using images of only part of a body as the key where the part has continuously-changing features
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6332193B1 (en) * 1999-01-18 2001-12-18 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
KR20030045419A (en) * 2001-12-04 2003-06-11 김영제 Public Key Infrastructure using biometrics and digital watermark

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09313464A (en) * 1996-05-28 1997-12-09 Nec Shizuoka Ltd Fingerprint authentication system
WO1998050875A2 (en) * 1997-05-09 1998-11-12 Gte Government Systems Corporation Biometric certificates
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6175923B1 (en) * 1998-12-08 2001-01-16 Senetas Corporation Limited Secure system using images of only part of a body as the key where the part has continuously-changing features
US6332193B1 (en) * 1999-01-18 2001-12-18 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
KR20030045419A (en) * 2001-12-04 2003-06-11 김영제 Public Key Infrastructure using biometrics and digital watermark

Also Published As

Publication number Publication date
KR20030065774A (en) 2003-08-09

Similar Documents

Publication Publication Date Title
US8443201B2 (en) Biometric authentication system, enrollment terminal, authentication terminal and authentication server
US7805614B2 (en) Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
EP1815637B1 (en) Securely computing a similarity measure
EP1394657B1 (en) System and method for sequentially processing a biometric sample
US8670562B2 (en) Generation and use of a biometric key
US7080256B1 (en) Method for authenticating a chip card in a message transmission network
US20080098469A1 (en) Authentication entity device, verification device and authentication request device
CN107925581A (en) 1:N organism authentications, encryption, signature system
WO2003053123A2 (en) Method and apparatus for securely transmitting and authenticating biometric data over a network
WO2012095026A1 (en) Proximity based biometric identification systems and methods
JP2005516268A (en) Method for operating a computer system
KR20070024569A (en) Architectures for privacy protection of biometric templates
KR20190031986A (en) Apparatus for executing telebiometric authentication and apparatus for requesting the same
JP4426030B2 (en) Authentication apparatus and method using biometric information
KR100470732B1 (en) An Apparatus and Method of the Biometric Information Protection from Replay Attack in the Network
US20220078020A1 (en) Biometric acquisition system and method
JP4575731B2 (en) Biometric authentication device, biometric authentication system and method
KR101750292B1 (en) Portable finger vein reader and biometric authentication method thereof
JP2006268228A (en) Authentication system using biological information
WO2011006295A1 (en) Authentication method for user identification equipment
WO2013114649A1 (en) Biological authentication system, biological authentication device, and biological authentication method
CN113421085B (en) Smart card dynamic password authentication method and system
RU2274899C2 (en) Portable device and method for accessing device activated by key data
CN108243156B (en) Method and system for network authentication based on fingerprint key
Yu et al. Authentication Methods Based on Digital Fingerprint Random Encryption IBC.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090102

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee