KR102332662B1 - Method and apparatus for authenticating using biometric information - Google Patents
Method and apparatus for authenticating using biometric information Download PDFInfo
- Publication number
- KR102332662B1 KR102332662B1 KR1020170099135A KR20170099135A KR102332662B1 KR 102332662 B1 KR102332662 B1 KR 102332662B1 KR 1020170099135 A KR1020170099135 A KR 1020170099135A KR 20170099135 A KR20170099135 A KR 20170099135A KR 102332662 B1 KR102332662 B1 KR 102332662B1
- Authority
- KR
- South Korea
- Prior art keywords
- biometric information
- authentication
- registration
- server
- decryption key
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G06K9/00496—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
생체정보를 이용한 인증 방법 및 장치가 개시된다. 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및 적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하고, 복호키 저장 서버의 제어 방법은, 상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계; 매칭을 위하여 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 적어도 하나의 복호키 중 상기 식별자와 대응되는 복호키를 추출하는 단계; 상기 식별자와 대응되는 복호키를 이용하여 상기 암호화된 인증용 생체정보 및 상기 식별자와 대응되는 등록용 생체정보를 복호화하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및 상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계를 포함하되, 상기 적어도 하나의 복호키는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 등록용 생체정보가 저장된 상기 생체정보 저장 서버와 분리된 상기 복호키 저장 서버에 저장되는 것을 특징으로 할 수 있다.An authentication method and apparatus using biometric information are disclosed. An authentication system according to an embodiment includes a biometric information storage server that stores biometric information for registration obtained from each of at least one client; a target client included in the at least one client, obtaining biometric information for authentication of a user, and encrypting the biometric information for authentication using a unique encryption key; and a decryption key storage server storing at least one decryption key, wherein the control method of the decryption key storage server includes: obtaining an identifier of the target client and the encrypted biometric information for authentication; For matching, the biometric information for registration - the biometric information for registration is encrypted by the client that transmitted the biometric information for registration - is acquired, and biometric information for registration corresponding to the identifier among the biometric information for registration is obtained to do; extracting a decryption key corresponding to the identifier from among the at least one decryption key; decrypting the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier by using a decryption key corresponding to the identifier; determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier match; and providing the matching result to the biometric information storage server or the target client, wherein the at least one decryption key stores the biometric information for registration in order to improve security of the authentication system. It may be characterized in that it is stored in the decryption key storage server separated from the server.
Description
아래의 실시예들은 생체정보를 이용한 인증 방법 및 장치에 관한 것이다.The following embodiments relate to an authentication method and apparatus using biometric information.
생체로부터 추출할 수 있는 다양한 신호나 데이터를 활용하여 이를 각종 시스템에서 이용하는 기술이 발전하고 있다. 특히, 생채정보를 이용하여 보안 시스템을 구축하는 생체 인증 기술이 각광을 받고 있다. 예를 들어, 생체 인증 기술에서는 사용자로부터 생체와 연관된 신호나 정보를 추출하여 이를 기존에 저장된 정보와 비교하고 본인임을 확인하여 사용자로 인증한다.Techniques for utilizing various signals or data that can be extracted from a living body and using them in various systems are developing. In particular, biometric authentication technology that builds a security system using biometric information is in the spotlight. For example, in biometric authentication technology, a biometric signal or information associated with a user is extracted, compared with previously stored information, and the user is authenticated by confirming the identity of the user.
또한, 이와 같은 생체 인증 기술에는 네트워크 상에서 구현될 수 있다. 예를 들어, 생체정보를 인식하는 생체정보 인식기는 서버와의 통신을 통하여 사용자를 인증할 수 있다. 보다 자세하게, 생체정보 인식기는 사용자로부터 획득한 생체정보를 암호화한 후 미리 등록된 생체정보를 저장하는 서버에 전송하고, 서버는 생체정보 인식기로부터 획득한 암호화된 생체정보를 복호화한 후, 복호화된 생체정보와 미리 등록된 생체정보를 비교하여 사용자를 인증한다. 이 때, 종래기술에 의하면, 서버에는 생체정보를 복호화하기 위한 복호키와 미리 등록된 생체정보가 함께 저장되어 있으므로, 악의적인 외부 해킹 시도가 하나의 서버에 집중될 수 있고, 서버가 해킹될 경우, 사용자의 생체정보가 유출될 수 있다.In addition, such biometric authentication technology may be implemented on a network. For example, a biometric information recognizer for recognizing biometric information may authenticate a user through communication with a server. In more detail, the biometric information recognizer encrypts the biometric information obtained from the user and transmits it to a server that stores the biometric information registered in advance, and the server decrypts the encrypted biometric information obtained from the biometric information recognizer, and then the decrypted biometric information The user is authenticated by comparing the information with the pre-registered biometric information. At this time, according to the prior art, since a decryption key for decrypting biometric information and pre-registered biometric information are stored in the server together, malicious external hacking attempts may be concentrated on one server, and if the server is hacked , the user's biometric information may be leaked.
이에 따라, 최근에는, 보다 안전하게 생체 인증 기술을 네트워크 상에서 구현하기 위한 노력이 계속되고 있다.Accordingly, in recent years, efforts have been made to more securely implement biometric authentication technology on a network.
본 발명이 해결하고자 하는 과제는, 보다 안전하게 사용자의 생체정보를 보관하고, 생체정보에 대한 복호화를 수행하여 사용자를 인증하는 방법 및 장치를 제공하는 것에 있다.SUMMARY OF THE INVENTION An object of the present invention is to provide a method and apparatus for more safely storing a user's biometric information and authenticating the user by decrypting the biometric information.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및 적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하고, 복호키 저장 서버의 제어 방법은 상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계; 매칭을 위하여 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 적어도 하나의 복호키 중 상기 식별자와 대응되는 복호키를 추출하는 단계; 상기 식별자와 대응되는 복호키를 이용하여 상기 암호화된 인증용 생체정보 및 상기 식별자와 대응되는 등록용 생체정보를 복호화하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및 상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계를 포함하되, 상기 적어도 하나의 복호키는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 등록용 생체정보가 저장된 상기 생체정보 저장 서버와 분리된 상기 복호키 저장 서버에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server that stores biometric information for registration obtained from each of at least one client; a target client included in the at least one client, obtaining biometric information for authentication of a user, and encrypting the biometric information for authentication using a unique encryption key; and a decryption key storage server storing at least one decryption key, wherein the control method of the decryption key storage server includes: obtaining an identifier of the target client and the encrypted biometric information for authentication; For matching, the biometric information for registration - the biometric information for registration is encrypted by the client that transmitted the biometric information for registration - is acquired, and biometric information for registration corresponding to the identifier among the biometric information for registration is obtained to do; extracting a decryption key corresponding to the identifier from among the at least one decryption key; decrypting the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier by using a decryption key corresponding to the identifier; determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier match; and providing the matching result to the biometric information storage server or the target client, wherein the at least one decryption key stores the biometric information for registration in order to improve security of the authentication system. It may be characterized in that it is stored in the decryption key storage server separated from the server.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및 적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하고, 생체정보 저장 서버의 제어 방법은 상기 타겟 클라이언트의 사용자 인증 요청에 따라 상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계; 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 중 상기 타겟 클라이언트의 식별자와 대응하는 등록용 생체정보를 추출하는 단계; 상기 식별자에 대응되는 등록용 생체정보와 상기 적어도 하나의 복호키 중 적어도 일부를 기초로 복호화된 인증용 생체정보의 매칭 결과를 획득하는 단계; 및 상기 매칭 결과 또는 상기 매칭 결과에 따른 정보를 상기 타겟 클라이언트에게 제공하는 단계를 포함하되, 상기 등록용 생체정보는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 적어도 하나의 복호키가 저장된 상기 복호키 저장 서버와 분리된 상기 생체정보 저장 서버에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server that stores biometric information for registration obtained from each of at least one client; a target client included in the at least one client, obtaining biometric information for authentication of a user, and encrypting the biometric information for authentication using a unique encryption key; and a decryption key storage server for storing at least one decryption key, wherein the control method of the biometric information storage server includes obtaining the identifier of the target client and the encrypted biometric information for authentication according to the user authentication request of the target client step; extracting biometric information for registration corresponding to an identifier of the target client from among the biometric information for registration, wherein the biometric information for registration is encrypted by a client that has transmitted the biometric information for registration; obtaining a matching result between the biometric information for registration corresponding to the identifier and the biometric information for authentication decrypted based on at least a part of the at least one decryption key; and providing the matching result or information according to the matching result to the target client, wherein the registration biometric information is the decryption key in which the at least one decryption key is stored in order to improve security of the authentication system. It may be characterized in that it is stored in the biometric information storage server separated from the storage server.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 복호키를 이용하여 상기 인증용 생체정보를 복호화하는 적어도 하나의 서브 매칭 서버; 및 상기 등록용 생체정보 중 일부와 상기 인증용 생체정보를 매칭하는 매칭 서버를 포함하고, 매칭 서버의 제어 방법은 상기 암호화된 인증용 생체정보를 획득하는 단계; 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 타겟 클라이언트의 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 암호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보의 복호화를 위해서, 상기 적어도 하나의 서브 매칭 서버에 상기 암호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보를 제공하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및 상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계를 포함하되, 상기 복호키는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 등록용 생체정보가 상기 생체정보 저장 서버와 분리된 상기 매칭 서버 또는 상기 서브 매칭 서버 중 적어도 하나에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server that stores biometric information for registration obtained from each of at least one client; a target client included in the at least one client, obtaining biometric information for authentication of a user, and encrypting the biometric information for authentication using a unique encryption key; at least one sub-matching server that decrypts the biometric information for authentication using a decryption key; and a matching server that matches a part of the biometric information for registration with the biometric information for authentication, wherein the controlling method of the matching server includes: obtaining the encrypted biometric information for authentication; Obtaining the biometric information for registration, wherein the biometric information for registration is encrypted by the client that transmitted the biometric information for registration, and obtaining biometric information for registration corresponding to the identifier of the target client among the biometric information for registration to do; In order to decrypt the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier, providing the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier to the at least one sub matching server step; obtaining the decrypted biometric information for authentication and biometric information for registration corresponding to the identifier; determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier match; and providing the matching result to the biometric information storage server or the target client, wherein the decryption key is a method in which the registration biometric information is separated from the biometric information storage server in order to improve the security of the authentication system. It may be stored in at least one of the matching server and the sub matching server.
본 발명의 과제의 해결 수단이 상술한 해결 수단들로 제한되는 것은 아니며, 언급되지 아니한 해결 수단들은 본 명세서 및 첨부된 도면으로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.Solutions of the present invention are not limited to the above-described solutions, and solutions not mentioned will be clearly understood by those of ordinary skill in the art to which the present invention belongs from the present specification and the accompanying drawings. will be able
본 발명에 의하면, 사용자가 네트워크 상에 안전하게 생체정보를 보관할 수 있다는 효과가 발생한다.According to the present invention, there is an effect that a user can safely store biometric information on a network.
본 발명에 의하면, 사용자의 생체정보가 네트워크 상에서 암호화 및 복호화되어 생체정보가 유출되지 않는다는 효과가 발생한다.According to the present invention, the user's biometric information is encrypted and decrypted on the network, so that the biometric information is not leaked.
본 발명에 의하면, 보다 안전하고 편리하게 생체정보를 이용하여 사용자가 인증된다는 효과가 발생한다.According to the present invention, there is an effect that the user is authenticated using biometric information more safely and conveniently.
도 1은 일 실시예에 따른 인증 시스템을 나타낸 도면이다.
도 2는 일 실시예에 따른 인증 시스템을 보다 상세하게 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 등록용 생체정보 또는 인증용 생체정보의 구성을 설명하기 위한 도면이다.
도 4는 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 인증 시스템을 설명하기 위한 도면이다.
도 5는 일 실시예에 따른 허브 서버를 설명하기 위한 도면이다.
도 6은 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 복호화 방법에 대해 설명하기 위한 도면이다.
도 7은 일 실시예에 따른 복호키 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.
도 8은 일 실시예에 따른 생체정보 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.
도 9는 일 실시예에 따른 매칭 서버의 제어 방법을 나타낸 동작 흐름도이다.1 is a diagram illustrating an authentication system according to an embodiment.
2 is a diagram for describing an authentication system according to an embodiment in more detail.
3 is a view for explaining the configuration of biometric information for registration or biometric information for authentication according to an embodiment.
4 is a diagram for describing an authentication system when a sub matching server exists according to an embodiment.
5 is a diagram for explaining a hub server according to an embodiment.
6 is a diagram for describing a decoding method when a sub matching server exists according to an embodiment.
7 is an operation flowchart illustrating a control method of a decryption key storage server according to an embodiment.
8 is an operation flowchart illustrating a method of controlling a biometric information storage server according to an exemplary embodiment.
9 is an operation flowchart illustrating a method of controlling a matching server according to an exemplary embodiment.
이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 일 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the present invention is not limited or limited by the embodiments. In addition, like reference numerals in each figure denote like members.
도면들에 있어서, 층 및 영역들의 두께는 명확성을 기하기 위하여 과장되어진 것이며, 또한, 구성요소(element) 또는 층이 다른 구성요소 또는 층의 "위(on)" 또는 "상(on)"으로 지칭되는 것은 다른 구성요소 또는 층의 바로 위 뿐만 아니라 중간에 다른 층 또는 다른 구성요소를 개재한 경우를 모두 포함한다. 명세서 전체에 걸쳐서 동일한 참조번호들은 원칙적으로 동일한 구성요소들을 나타낸다.In the drawings, the thicknesses of layers and regions are exaggerated for clarity, and also, an element or layer may be referred to as “on” or “on” another component or layer. What is referred to includes all cases in which other layers or other components are interposed in the middle as well as directly on top of other components or layers. Throughout the specification, like reference numerals refer to like elements in principle.
또한, 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In addition, if it is determined that a detailed description of a known function or configuration related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description process of the present specification are only identification symbols for distinguishing one component from other components.
이하, 본 발명과 관련된 전자기기에 대하여 도면을 참조하여 보다 상세하게 설명한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다.Hereinafter, an electronic device related to the present invention will be described in more detail with reference to the drawings. The suffixes "module" and "part" for the components used in the following description are given or mixed in consideration of only the ease of writing the specification, and do not have a meaning or role distinct from each other by themselves.
이하, 출입 관리 시스템에 대해 설명한다. 출입 관리 시스템은 도어가 설치된 환경에서, 출입 권한이 있는 사람만이 도어를 통과할 수 있도록 관리하는 시스템을 의미할 수 있다. 출입 관리 시스템은 사무실, 연구소와 같은 실내 환경에서 이용될 수도 있고, 군부대 등 건물 외부에 출입 제한 구역을 갖는 외부 환경에서 이용될 수도 있다.Hereinafter, an access management system will be described. The access management system may refer to a system that manages so that only a person with an access authority can pass through the door in an environment in which the door is installed. The access management system may be used in an indoor environment such as an office or a research institute, or may be used in an external environment having an access restricted area outside a building, such as a military base.
<단일 스테이지 복호화(single stage decryption)를 이용한 인증 시스템><Authentication system using single stage decryption>
도 1은 일 실시예에 따른 인증 시스템을 나타낸 도면이다.1 is a diagram illustrating an authentication system according to an embodiment.
도 1을 참조하면, 인증 시스템은 타겟 클라이언트(110), 생체정보 저장 서버(120) 및 복호키 저장 서버(130)를 포함할 수 있다.Referring to FIG. 1 , the authentication system may include a
타겟 클라이언트(110)는 전체 클라이언트 중 하나의 클라이언트로, 클라이언트는 생체정보를 획득하고, 생체정보를 기초로 외부 장치에 사용자 인증을 요청하며, 사용자 인증 요청에 따라 인증 결과 또는 인증 결과에 따른 정보를 획득하는 장치로 인증 시스템에서 적어도 하나 이상 존재할 수 있다. 본 발명의 몇몇 실시예에서, 클라이언트는 사용자로부터 직접 생체정보를 획득하는 생체정보 인식기일 수도 있고, 생체정보 인식기로부터 생체정보를 획득하는 단말일 수도 있다.The
일 실시예에서, 생체정보 인식기는 생체정보를 센싱하는 센서를 포함한 장치로 정의될 수 있다. 예를 들어, 생체정보는 사용자의 지문 정보, 심전도(Electrocardiogram: ECG) 정보, 근전도(ElectroMyoGraphy: EMG) 정보, 홍채 정보, 혈관 정보, 정맥 정보, 음성 정보, 얼굴 정보, 손금 정보 등을 포함할 수 있고, 상기 센서는 상기 생체정보들 중 적어도 하나의 생체정보를 센싱하는 장치를 나타낸다.In an embodiment, the biometric information recognizer may be defined as a device including a sensor for sensing biometric information. For example, biometric information may include user's fingerprint information, electrocardiogram (ECG) information, electroMyoGraphy (EMG) information, iris information, blood vessel information, vein information, voice information, face information, palmistry information, etc. and the sensor represents a device for sensing at least one of the biometric information.
또한, 일 실시예에서, 생체정보 인식기로부터 생체정보를 획득하는 단말은 생체정보 인식기와 통신을 수행하여 생체정보를 획득하는 장치를 나타낸 것으로, 데스크탑 컴퓨터와 같은 고정식 단말을 포함할 뿐만 아니라, 휴대폰, 스마트 폰(smart phone), 태블릿(tablet), 노트북 컴퓨터(laptop computer), PDA(Personal Digital Assistants), 웨어러블 기기(예를 들어, 웨어러블 시계, 웨어러블 밴드)와 같은 이동식 단말을 포함할 수 있다.In addition, in one embodiment, the terminal for obtaining biometric information from the biometric information recognizer represents a device for acquiring biometric information by communicating with the biometric information recognizer, and includes a stationary terminal such as a desktop computer, as well as a mobile phone; It may include a mobile terminal such as a smart phone, a tablet, a laptop computer, a personal digital assistant (PDA), a wearable device (eg, a wearable watch, a wearable band).
또한, 타겟 클라이언트(110)는 인증 시스템에 포함된 적어도 하나의 클라이언트 중 생체정보 저장 서버(120) 또는 복호키 저장 서버(130)에 사용자 인증 요청을 요청하는 클라이언트로 정의될 수 있다.Also, the
또한, 생체정보 저장 서버(120)는 적어도 하나의 클라이언트로부터의 생체정보를 미리 저장하는 서버로 정의될 수 있다. 여기서, 미리 저장된 생체정보는 등록용 생체정보라고 표현될 수 있으며, 사용자를 인증하기 위한 기준 정보의 역할을 할 수 있다.Also, the biometric
또한, 복호키 저장 서버(130)는 적어도 하나의 복호키를 저장할 수 있다. 여기서, 복호키는 클라이언트에서 암호화되는 생체정보를 복호화하기 위한 정보를 나타낼 수 있다.Also, the decryption key storage server 130 may store at least one decryption key. Here, the decryption key may represent information for decrypting biometric information encrypted by the client.
또한, 도 1 및 도 2의 인증 시스템에서, 암호화된 생체정보의 복호화는 하나의 서버(예를 들어, 복호키 저장 서버(130))에 의해 수행될 수 있다. 이하에서, 하나의 서버에 의해 복호화가 수행되는 것은 싱글 스테이지 복호화로 표현될 수 있다.Also, in the authentication system of FIGS. 1 and 2 , decryption of the encrypted biometric information may be performed by one server (eg, the decryption key storage server 130 ). Hereinafter, decoding performed by one server may be expressed as single-stage decoding.
상기 암호화 및 상기 복호화는 대칭형 암복호방식 또는 비대칭형 암복호방식에 의해 수행될 수 있다. 여기서, 대칭형 암복호방식은 암호화할 때 쓰는 암호키와 암호를 해석할 때, 즉 복호화할 때 쓰는 복호키가 동일한 알고리즘 또는 방식을 일컫는다. 반면, 비대칭형 암복호방식은 암호키와 복호키가 서로 다른 알고리즘을 말한다.The encryption and the decryption may be performed by a symmetric encryption/decryption method or an asymmetric encryption/decryption method. Here, the symmetric encryption/decryption method refers to an algorithm or method in which the encryption key used for encryption and the decryption key used for interpreting the encryption, ie, for decryption, are the same. On the other hand, the asymmetric encryption/decryption method refers to an algorithm in which the encryption key and the decryption key are different.
상기 대칭키의 예로는, 3DES(Triple Data Encryption Standard), AES(Advanced Encryption Standard), SEED, ARIA(Academy, Research Institute, Agency) DES(Data Encryption Standards), CRYPTON, RIJNDAEL, CAST256, RC6, RC5, RC4, RC2, TWOFISH, MARS, SERPENT, SKIPJACK, IDEA(International Data Encryption Algorithm), SEAL, DESX, RC5, BLOWFISH, CAST128, SAFER 등이 있으며, 상기 비대칭키의 예로는, RSA(Rivest Shamir Adleman), EIGamal, ECC(Elliptic Curve Crypto system), DSS(Digital Signature Standard), PKP(Public Key Partners) 등이 있다. 물론, 상기 대칭키 또는 상기 비대칭키는 위의 예에 한정되지 않고, 위에서 언급되지 않은 대칭형 암복호방식 또는 비대칭형 암복호방식에 이용되는 정보 역시 상기 대칭키 또는 상기 비대칭키에 포함될 수 있다.Examples of the symmetric key include 3DES (Triple Data Encryption Standard), AES (Advanced Encryption Standard), SEED, ARIA (Academy, Research Institute, Agency) DES (Data Encryption Standards), CRYPTON, RIJNDAEL, CAST256, RC6, RC5, RC4, RC2, TWOFISH, MARS, SERPENT, SKIPJACK, IDEA (International Data Encryption Algorithm), SEAL, DESX, RC5, BLOWFISH, CAST128, SAFER, and the like. Examples of the asymmetric key include Rivest Shamir Adleman (RSA), EIGamal , ECC (Elliptic Curve Crypto System), DSS (Digital Signature Standard), PKP (Public Key Partners), and the like. Of course, the symmetric key or the asymmetric key is not limited to the above example, and information used for a symmetric encryption/decryption method or asymmetric encryption/decryption method not mentioned above may also be included in the symmetric key or the asymmetric key.
또한, 복호키 저장 서버(130)는 생체정보 저장 서버(120)에 미리 저장된 생체정보와 타겟 클라이언트(110)로부터 획득하는 생체정보를 매칭할 수 있고, 이에 따라, 복호키 저장 서버는 매칭 서버로 표현될 수 있다.In addition, the decryption key storage server 130 may match the biometric information previously stored in the biometric
또한, 클라이언트, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)는 서로간의 역할에 따라 구분되는 것으로, 클라이언트, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)의 하드웨어 구성은 동일/유사할 수 있다. 예를 들어, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)는 서버 장치로 구현될 수도 있지만 전술한 고정식 단말 또는 이동식 단말로 구현될 수도 있다.In addition, the client, the biometric
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다. 여기서, 인증 동작은 타겟 클라이언트(110)에서 획득된 생체정보의 사용자가 생체정보 저장 서버(120)에 미리 저장된 생체정보의 사용자인지 여부를 확인하는 동작을 의미하고, 등록 동작은 인증 동작을 수행하기 위한 사전 동작을 의미한다.In some embodiments of the present invention, a registration operation and an authentication operation may be performed in the authentication system. Here, the authentication operation means an operation of confirming whether the user of the biometric information obtained from the
등록 동작에서, 타겟 클라이언트(110)는 등록용 생체정보를 저장할 서버로 생체정보 저장 서버(120)를 지정하고, 복호키를 저장할 서버로 복호키 저장 서버(130)를 지정할 수 있다. 또한, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)에서는 사용자 인증을 요청하는 장치로, 타겟 클라이언트(110)를 포함하는 적어도 하나의 클라이언트가 지정될 수 있다. 이에 따라, 타겟 클라이언트(110)가 미리 지정된 서버들과의 통신을 통하여 사용자 인증을 받음으로써, 사용자 인증에 대한 보안성이 향상될 수 있다.In the registration operation, the
또한, 등록 동작에서, 타겟 클라이언트(110)는 생체정보 저장 서버(120)에 등록용 생체정보를 제공할 수 있다. 이를 위해, 사용자로부터 등록용 생체정보를 획득하고, 획득한 등록용 생체정보를 고유의 암호키를 이용하여 암호화한 후, 암호화된 등록용 생체정보를 생체정보 저장 서버(120)에 전송할 수 있다. 즉, 타겟 클라이언트(110)는 암호화된 상태로 등록용 생체정보를 생체정보 저장 서버(120)에 제공하지만, 생체정보 저장 서버(120)에 암호화된 등록용 생체정보를 복호화할 수 있는 복호키는 제공하지 않는다. 이에 따라, 생체정보 저장 서버(120)에서는 암호화된 등록용 생체정보를 획득하여도 이를 복호화할 수는 없다. 따라서, 만약, 생체정보 저장 서버(120)가 해킹을 당하여 암호화된 등록용 생체정보가 유출되어도, 복호키의 미획득으로 인하여 암호화된 등록용 생체정보가 복호화되지 않는다. 따라서, 생체정보 저장 서버(120)의 해킹에 따른 생체정보 유출 가능성이 낮아진다.Also, in the registration operation, the
또한, 등록 동작에서, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 함께 타겟 클라이언트(110)의 식별자를 생체정보 저장 서버(120)에 제공할 수 있다. 여기서, 타겟 클라이언트(110)의 식별자는 복수의 클라이언트들 중 타겟 클라이언트(110)를 구별할 수 있는 정보를 나타내는 것으로, 예를 들어, 타겟 클라이언트(110)의 일련번호, 인증 시스템에 포함된 클라이언트들 중 타겟 클라이언트(110)의 순번 등 타겟 클라이언트(110)를 식별할 수 있는 정보라면 어떠한 형식이라고 무방하다.Also, in the registration operation, the
구체적으로, 생체정보 저장 서버(120)는 타겟 클라이언트(110)뿐만 아니라 다른 클라이언트로부터 암호화된 등록용 생체정보를 획득할 수 있고, 인증 동작에서 복호키 저장 서버(130)에 암호화된 등록용 생체정보를 제공할 수 있다. 그러나, 타겟 클라이언트(110)로부터의 사용자 인증 요청에 불구하고, 복호키 저장 서버(130)에 타겟 클라이언트(110)외의 다른 클라이언트로부터의 암호화된 등록용 생체정보를 제공할 경우, 복호키 저장 서버(130)가 타겟 클라이언트(110)외의 다른 클라이언트로부터의 암호화된 등록용 생체정보를 복호화하는 비효율이 발생할 수 있다. 이러한 비효율을 방지하기 위해, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 함께 타겟 클라이언트(110)의 식별자를 생체정보 저장 서버(120)에 제공하고, 타겟 클라이언트(110)로부터 사용자 인증 요청을 받을 경우, 생체정보 저장 서버(120)는 저장된 암호화된 등록용 생체정보 중 타겟 클라이언트(110)의 식별자에 대응하는 암호화된 등록용 생체정보만을 복호키 저장 서버(130)에 제공할 수 있다.Specifically, the biometric
또한, 등록 동작에서, 타겟 클라이언트(110)는 복호키 저장 서버(130)에 복호키를 제공할 수 있다. 여기서, 복호키는 타겟 클라이언트(110)의 고유의 암호키에 대응되는 것으로, 타겟 클라이언트(110)에 의해 암호화된 생체정보를 복호화할 수 있는 정보를 의미한다.Also, in the registration operation, the
보다 구체적으로, 복호키 저장 서버(130)는 타겟 클라이언트(110)뿐만 아니라 다른 클라이언트로부터 복호키를 획득할 수 있고, 인증 동작에서, 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다. 그러나, 복호키 저장 서버(130)가 복호키 저장 서버(130)에 저장된 복호키 전체를 이용하여 상기 복호화를 수행할 경우, 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보와 대응되지 않는 복호키를 이용하여 복호화를 수행함으로써 복호화 효율이 감소되게 된다. 이러한 문제점을 방지하기 위하여, 복호키 저장 서버(130)는 복호키 저장 서버(130)에 저장된 전체 복호키 중 타겟 클라이언트(110)의 식별자와 대응되는 복호키를 추출하고, 추출된 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.More specifically, the decryption key storage server 130 may obtain a decryption key from not only the
일 실시예에서, 타겟 클라이언트(110)는 등록용 생체정보와 인증 동작에서 획득하는 인증용 생체정보를 동일한 암호키로 암호화할 수 있다. 이 경우, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 암호화된 인증용 생체정보를 모두 복호화할 수 있는 복호키를 복호키 저장 서버(130)에 제공할 수 있다.In one embodiment, the
다른 일 실시예에서, 타겟 클라이언트(110)는 등록용 생체정보와 인증 동작에서 획득하는 인증용 생체정보를 서로 다른 암호키로 암호화할 수 있다. 이 경우, 타겟 클라이언트(110)는 암호화된 등록용 생체정보를 복호화할 수 있는 복호키와 암호화된 인증용 생체정보를 복호화할 수 있는 복호키를 구별하여 제공할 수 있다.In another embodiment, the
또한, 본 발명의 일 실시예에서, 타겟 클라이언트(110)는 복호키와 함께 타겟 클라이언트(110)의 식별자를 복호키 저장 서버(130)에 제공할 수 있다. 이에 따라, 생체정보 저장 서버(120)로부터 타겟 클라이언트(110)의 식별자와 대응되는 암호화된 생체정보를 획득한 경우, 복호키 저장 서버(130)는 타겟 클라이언트(110)의 식별자와 대응되는 복호키를 이용하여 암호화된 생체정보를 복호화할 수 있다.In addition, in an embodiment of the present invention, the
인증 동작에서, 타겟 클라이언트(110)는 인증용 생체정보를 획득하여 암호화하고, 암호화된 인증용 생체정보를 생체정보 저장 서버(120)에 제공한다. 또한, 생체정보 저장 서버(120)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호키 저장 서버(130)에 제공한다. 또한, 복호키 저장 서버(130)는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화한 후, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보를 매칭하고, 매칭 결과를 생체정보 저장 서버(120) 또는 타겟 클라이언트(110)에 제공한다. 이후, 매칭 결과, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는 경우, 생체정보 저장 서버(120)는 사용자가 인증된다는 정보를 타겟 클라이언트(110)에 제공하고, 매칭되지 않는 경우, 사용자가 인증되지 않는다는 정보를 타겟 클라이언트(110)에 제공한다.In the authentication operation, the
인증 시스템에서의 인증 동작에 대해서는 도 2에서 보다 자세하게 설명한다.An authentication operation in the authentication system will be described in more detail with reference to FIG. 2 .
도 2는 일 실시예에 따른 인증 시스템을 보다 상세하게 설명하기 위한 도면이다.2 is a diagram for describing an authentication system according to an embodiment in more detail.
도 2를 참조하면, 인증 시스템은 타겟 클라이언트(210), 생체정보 저장 서버(220) 및 복호키 저장 서버(230)를 포함할 수 있다. 여기서, 타겟 클라이언트(210)에는 도 1의 타켓 클라이언트(110)에 대하여 설명된 사항이 그대로 적용되고, 생체정보 저장 서버(220)에는 도 1의 생체정보 저장 서버(120)에 대하여 설명된 사항이 그대로 적용되고, 복호키 저장 서버(230)에는 도 1의 복호키 저장 서버(130)에 대하여 설명된 사항이 그대로 적용된다.Referring to FIG. 2 , the authentication system may include a
먼저, 타겟 클라이언트(210)는 통신 인터페이스(211), 생체정보 획득부(212) 및 제어부(213)를 포함할 수 있다.First, the
통신 인터페이스(211)는 타겟 클라이언트(210)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 예를 들어, 통신 인터페이스(211)는 무선랜(WLAN), 와이파이(Wifi) 등의 무선 인터넷 인터페이스와, 블루투쓰(Bluetooth), 직비(ZigBee) 등의 근거리 통신 인터페이스와 같은 무선 통신 모듈을 포함하고, 무선 통신 모듈을 통해 외부와 데이터를 통신할 수 있다. 물론, 통신 인터페이스(211)는, 무선 통신 모듈만이 아니라 유선 통신 모듈을 구비할 수도 있다. 이와 같이, 통신 인터페이스(211)에 대해 설명된 사항은 생체정보 저장 서버(220)의 통신 인터페이스(221) 및 복호키 저장 서버(230)의 통신 인터페이스(231)에 적용될 수 있다.The
또한, 생체정보 획득부(212)는 사용자의 생체정보를 획득할 수 있다. 예를 들어, 생체정보 획득부(212)는 인터페이스(211)로부터 사용자의 생체정보를 획득할 수도 있고, 생체정보 획득부(212)가 센서의 형태일 경우, 사용자로부터 직접 생체정보를 획득할 수도 있다. 다른 예로서, 생체정보가 지문정보일 경우, 생체정보 획득부(212)는 지문 이미지를 생체정보로 획득할 수도 있고, 지문 이미지로부터 추출된 특징점에 대한 정보를 생체정보로 획득할 수도 있다.Also, the biometric
제어부(213)는 타겟 클라이언트(210)의 전반적인 동작을 총괄한다. 특히, 제어부(213)는 사용자 또는 외부 장치로부터 등록 요청 또는 인증 요청을 수신하고, 생체정보를 암호화하고, 사용자 인증을 요청한다.The
본 발명의 몇몇 실시예에서, 등록 요청을 수신할 경우, 제어부(213)는 전술한 등록 동작을 수행한다. 전술한 바와 같이, 등록 동작에서, 제어부(213)는 사용자로부터 등록용 생체정보를 획득하고, 고유의 암호키를 이용하여 등록용 생체정보를 암호화하여 암호화된 등록용 생체정보를 생체정보 저장 서버(220)에 제공한다. 또한, 제어부(213)는 암호화된 등록용 생체정보를 복호화하기 위한 복호키를 복호키 저장 서버(230)에 제공한다.In some embodiments of the present invention, upon receiving the registration request, the
또한, 본 발명의 몇몇 실시예에서, 제어부(213)는 인증 요청을 수신할 경우, 인증 동작을 수행한다. 먼저, 인증 동작에서, 제어부(213)는 생체정보 획득부(212)로부터 인증용 생체정보를 획득한다. 여기서, 인증용 생체정보는 등록용 생체정보와는 구별되는 것으로, 사용자를 인증하기 위해, 등록용 생체정보와 비교하기 위한 생체정보로 정의될 수 있다.Also, in some embodiments of the present invention, when receiving an authentication request, the
또한, 제어부(213)는 고유의 암호키를 이용하여 인증용 생체정보를 암호화한다. 여기서, 고유의 암호키에는 전술한 대칭키 또는 비대칭키가 모두 적용될 수 있다. 다만, 고유의 암호키는 등록 동작에서 복호키 저장 서버(230)에 제공한 복호키와 대응되어야 한다. 즉, 제어부(213)는 복호키 저장 서버(230)에서 복호화될 수 있도록 복호키 저장 서버(230)에 복호키를 제공하여야 한다.In addition, the
일 실시예에서, 제어부(213)는 새로운 암호키로 고유의 암호키를 갱신할 수 있다. 이 경우, 제어부(213)는 새로운 암호키로 암호화를 수행하기 이전에, 더 나아가서는 복호키 저장 서버(230)가 새로운 암호키로 암호화된 생체정보를 복호화하기 이전에, 복호키 저장 서버(230)가 새로운 암호키로 암호화된 생체정보를 복호화할 수 있도록, 복호키 저장 서버(230)에 새로운 암호키와 대응되는 복호키를 제공하여야 한다.In one embodiment, the
또한, 본 발명의 몇몇 실시예에서, 제어부(213)는 등록용 생체정보와 인증용 생체정보를 구별할 수 있는 속성을 인증용 생체정보 및 등록용 생체정보에 부여할 수 있다.In addition, in some embodiments of the present invention, the
일 실시예에서, 상기 속성은 생체정보의 용도를 나타내는 용도 식별자를 포함할 수 있다. 이 경우, 제어부(213)는 용도 식별자를 생성하고, 생체정보의 용도에 따라 생체정보에 용도 식별자를 부여할 수 있다. In an embodiment, the attribute may include a use identifier indicating the use of the biometric information. In this case, the
다른 일 실시예에서, 상기 속성은 생체정보가 이용될 수 있는 유효기간을 포함할 수 있다. 이 경우, 제어부(213)는 등록용 생체정보의 유효기간을 나타내는 등록 유효기간 또는 인증용 생체정보의 유효기간을 나타내는 인증 유효기간을 생성하고, 생체정보에 등록 유효기간 또는 인증 유효기간을 부여할 수 있다. 이 때, 등록 유효기간은 인증 유효기간보다 기간이 길 수 있다.In another embodiment, the attribute may include an expiration period during which biometric information can be used. In this case, the
예를 들어, 제어부(213)가 등록 동작에서 생체정보 획득부(212)로부터 생체정보를 획득한 경우, 제어부(213)는 획득한 생체정보를 등록용 생체정보로 인식하고, 획득한 생체정보에 등록용 생체정보임을 나타낼 수 있는 제1 용도 식별자 및/또는 등록 유효기간을 부여할 수 있다. 다른 예로서, 제어부(213)가 인증 동작에서 생체정보 획득부(212)로부터 생체정보를 획득한 경우, 제어부(213)는 획득한 생체정보를 인증용 생체정보로 인식하고, 획득한 생체정보에 인증용 생체정보임을 나타낼 수 있는 제2 용도 식별자 및/또는 인증 유효기간을 부여할 수 있다.For example, when the
또한, 본 발명의 몇몇 실시예에서, 인증 동작에서, 제어부(213)는 생체정보 저장 서버(220)에 사용자 인증 요청을 할 수 있다. 다만, 이에 한정되지 않고, 제어부(213)는 생체정보 저장 서버(220) 또는 복호키 저장 서버(230)외의 별도의 서버에 사용자 인증 요청을 할 수 있고, 사용자 인증 요청을 수신한 상기 별도의 서버는 생체정보 저장 서버(220)에 사용자 인증 요청을 전달할 수 있다.Also, in some embodiments of the present invention, in the authentication operation, the
또한, 제어부(213)는 암호화된 인증용 생체정보를 생체정보 저장 서버(220)에 제공할 수 있다. 만약, 제어부(213)가 상기 별도의 서버에 암호화된 인증용 생체정보를 제공한 경우, 상기 별도의 서버는 상기 암호화된 인증용 생체정보를 생체정보 저장 서버(220)에 제공할 수 있다.Also, the
또한, 제어부(213)는 암호화된 인증용 생체정보와 함께 타겟 클라이언트(210)의 식별자를 생체정보 저장 서버(220)에 제공할 수 있다. 타겟 클라이언트(210)의 식별자를 이용하여, 생체정보 저장 서버(220) 또는 복호키 저장 서버(230)는 암호화된 인증용 생체정보가 타겟 클라이언트(210)로부터 제공되었다는 것을 확인할 수 있다.Also, the
또한, 이에 한정되지 않고, 제어부(213)는 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공할 수 있다. 이 경우, 복호키 저장 서버(230)는 암호화된 등록용 생체정보는 생체정보 저장 서버(220)로부터 획득하고, 암호화된 인증용 생체정보는 타켓 클라이언트(210)로부터 획득하며, 타겟 클라이언트(210)의 식별자와 대응하는 복호키를 이용하여 암호화된 등록용 생체정보와 암호화된 인증용 생체정보를 복호화할 수 있다.Also, without being limited thereto, the
또한, 본 발명의 몇몇 실시예에서, 생체정보 저장 서버(220)는 통신 인터페이스(221), 생체정보 저장부(222) 및 제어부(223)를 포함할 수 있다.In addition, in some embodiments of the present invention, the biometric
통신 인터페이스(221)는 생체정보 저장 서버(220)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함하는 것으로, 통신 인터페이스(221)에는 타겟 클라이언트(210)의 통신 인터페이스(211)에서 설명된 내용이 그대로 적용될 수 있다.The
또한, 생체정보 저장부(222)는 등록 동작에서 클라이언트들 각각으로부터 획득한 등록용 생체정보를 저장할 수 있다. 이 때, 생체정보 저장부(222)에 저장된 등록용 생체정보는 등록용 생체정보를 제공한 클라이언트들 각각에 의하여 암호화될 수 있다. 이에 따라, 생체정보 저장 서버(220)는 암호화된 등록용 생체정보를 저장할 수 있을 뿐, 복호키를 획득하지 않는 한 암호화된 등록용 생체정보를 복호화할 수는 없다.Also, the biometric
또한, 제어부(223)는 생체정보 저장 서버(220)의 전반적인 동작을 총괄한다.In addition, the
일 실시예에 따르면, 인증 동작에서, 제어부(223)는 사용자 인증 요청에 따라 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득할 수 있다. 이후, 제어부(223)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 위하여, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타켓 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공할 수 있다. 그러나, 제어부(223)가 생체정보 등록부(222)에 저장된 암호화된 등록용 생체정보 전체를 복호키 저장 서버(230)에 제공하게 되면, 생체정보 저장 서버(220)에서 복호키 저장 서버(230)의 전송량이 증가될 뿐만 아니라, 복호키 저장 서버(230)에서 암호화된 등록용 생체정보 전체를 획득해야 하는 비효율이 발생한다. 이에 따라, 제어부(223)는 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출하고, 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보만을 복호키 저장 서버(230)에 제공할 수 있다.According to an embodiment, in the authentication operation, the
또한, 일 실시예에서, 제어부(223)는 암호화된 등록용 생체정보의 등록 유효기간을 확인하고, 등록 유효기간이 만료된 경우, 암호화된 등록용 생체정보를 제거할 수 있다.Also, in one embodiment, the
또한, 본 발명의 몇몇 실시예에서, 복호키 저장 서버(230)는 통신 인터페이스(231), 복호키 저장 유닛(232) 및 제어부(233)를 포함할 수 있다.In addition, in some embodiments of the present invention, the decryption
통신 인터페이스(221)는 복호키 저장 서버(230)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함하는 것으로, 통신 인터페이스(231)에는 타겟 클라이언트(210)의 통신 인터페이스(211)에서 설명된 내용이 그대로 적용될 수 있다.The
또한, 복호키 저장부(232)는 등록 동작에서 클라이언트들 각각으로부터 획득한 복호키를 저장할 수 있다.In addition, the decryption
또한, 제어부(233)는 복호키 저장 서버(230)의 전반적인 동작을 총괄한다.In addition, the
인증 동작에서, 제어부(233)는 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득할 수 있다. 이 때, 제어부(233)가 획득하는 암호화된 등록용 생체정보는 타겟 클라이언트(210)의 식별자와 대응될 수 있다.In the authentication operation, the
일 실시예에서, 복호키 저장 서버(230)는 생체정보 저장 서버(220)로부터 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 수신할 수 있다. 이 경우, 복호키 저장 서버(230)는 타켓 클라이언트(210)와 통신할 필요 없이 생체정보 저장 서버(220)와 통신을 수행하는 경우에도 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 할 수 있다. In one embodiment, the decryption
다른 일 실시예에서, 복호키 저장 서버(230)는 타겟 클라이언트(210)의 사용자 인증 요청에 따라, 타켓 클라이언트(210)로부터 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득하고, 생체정보 저장 서버(220)로부터 암호화된 등록용 생체정보를 획득할 수 있다.In another embodiment, the decryption
또한, 제어부(233)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화하기 위하여, 복호키 저장부(232)에 저장된 복호키들 중 타겟 클라이언트(210)의 식별자와 대응되는 복호키를 추출할 수 있다. 제어부(233)는 타겟 클라이언트(210)의 식별자와 대응되는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.In addition, the
또한, 제어부(233)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단할 수 있다. 여기서, 등록용 생체정보와 인증용 생체정보가 매칭된다는 것은 등록용 생체정보와 인증용 생체정보가 동일한 사용자의 생체정보라는 것을 나타낼 정도로 유사하다는 것을 의미할 수 있다.Also, the
매칭 여부를 판단하기 위해, 제어부(233)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보의 유사도를 추출하고, 추출된 유사도가 미리 정해진 기준값 이상인 경우, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는 것으로 결정할 수 있다.In order to determine whether or not there is a match, the
예를 들어, 생체정보가 지문 정보인 경우, 제어부(233)는 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점을 추출할 수 있다. 또한, 제어부(233)는 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점간의 유사도를 비교하여, 유사도가 미리 정해진 기준값 이상인 경우, 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점이 매칭되는 것으로 결정할 수 있다.For example, when the biometric information is fingerprint information, the
또한, 제어부(233)는 매칭 결과를 생체정보 저장 서버(220)에 제공할 수 있다. 이 경우, 등록용 생체정보 및 인증용 생체정보가 매칭되는 것으로 결정된 경우, 생체정보 저장 서버(220)의 제어부(223)는 사용자가 인증된다는 결과를 타겟 클라이언트(210)에 제공하거나, 사용자가 인증된다는 결과에 수반되는 정보(예를 들어, 사용자가 인증될 경우에 생체정보 저장 서버(220)가 타겟 클라이언트(210)에 제공하는 서비스 정보)를 클라이언트(210)에 제공할 수 있다. 또한, 등록용 생체정보 및 인증용 생체정보가 매칭되지 않는 것으로 결정된 경우, 생체정보 저장 서버(220)의 제어부(223)는 사용자가 인증된다는 결과를 타겟 클라이언트(210)에 제공할 수 있다.Also, the
다만, 일 실시예에서, 제어부(233)는 매칭 결과를 타겟 클라이언트(210)에 직접 제공할 수도 있다.However, in an embodiment, the
또한, 일 실시예에서, 제어부(233)는 암호화된 인증용 생체정보의 등록 유효기간을 확인하고, 인증 유효기간이 만료된 경우, 암호화된 인증용 생체정보를 제거할 수 있다.Also, in an embodiment, the
또한, 본 발명의 몇몇 실시예에서, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보의 매칭은 생체정보 저장 유닛(220)에서 수행될 수도 있다.In addition, in some embodiments of the present invention, matching of the decrypted biometric information for registration and the decrypted biometric information for authentication may be performed in the biometric
예를 들어, 제어부(223)는 타겟 클라이언트(210)의 사용자 인증 요청에 따라 타겟 클라이언트(210)로부터 타겟 클라이언트(210)의 식별자 및 암호화된 인증용 생체정보를 획득하고, 생체정보 저장부(222)에 저장된 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출할 수 있다. 또한, 제어부(223)는 전술한 실시예와는 달리, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공하지 않고, 복호키 저장 서버(230)로부터 타겟 클라이언트(210)의 식별자에 대응하는 복호키를 획득하고, 타겟 클라이언트(210)의 식별자에 대응하는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다. 이후, 제어부(223)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단하고, 매칭 결과에 따른 사용자 인증 결과를 타겟 클라이언트(210)에 제공할 수 있다.For example, the
하나의 서버에 암호화된 등록용 생체정보 및 복호키가 저장된 경우, 상기 서버가 해킹될 경우, 암호화된 등록용 생체정보 및 복호키가 함께 유출되게 되어 사용자의 생체정보가 범죄에 악용될 수 있다.When the encrypted biometric information for registration and the decryption key are stored in one server, if the server is hacked, the encrypted biometric information for registration and the decryption key are leaked together, so that the user's biometric information may be misused for crime.
반면, 전술한 실시예들과 같이, 암호화된 등록용 생체정보는 생체정보 저장 서버(220)에 저장되고, 복호키는 생체정보 저장 서버(220)와 분리된 복호키 저장 서버(230)에 저장된다. 만약, 생체정보 저장 서버(20)가 해킹을 당하여 암호화된 등록용 생체정보가 유출되어도, 복호키의 부재로 인하여 암호화된 등록용 생체정보가 복호화되지 않는다. 또한, 복호키 저장 서버(230)가 해킹을 당하여 복호키가 유출되어도, 암호화된 등록용 생체정보의 부재로 인하여 어떠한 생체도 노출되지 않는다. 따라서, 본 발명의 실시예들과 같이, 암호화된 등록용 생체정보와 복호키가 서로 다른 서버에 저장됨에 따라 인증 시스템의 보안성이 향상될 수 있다.On the other hand, as in the above-described embodiments, the encrypted biometric information for registration is stored in the biometric
도 3은 일 실시예에 따른 등록용 생체정보 또는 인증용 생체정보의 구성을 설명하기 위한 도면이다.3 is a view for explaining the configuration of biometric information for registration or biometric information for authentication according to an embodiment.
도 3을 참조하면, 등록용 생체정보 및 인증용 생체정보는 생체정보 메시지(310) 형태로 타겟 클라이언트, 생체정보 저장 서버 및 복호키 저장 서버 사이에서 송수신될 수 있다. 이러한 생체정보 메시지(310)는 타겟 클라이언트에서 생성될 수 있다.Referring to FIG. 3 , biometric information for registration and biometric information for authentication may be transmitted and received between a target client, a biometric information storage server, and a decryption key storage server in the form of a
구체적으로, 생체정보 메시지(310)은 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312), 유효기간 필드(313) 및 용도 식별자(314)를 포함할 수 있다.Specifically, the
타겟 클라이언트 식별자 필드(311)에는 타겟 클라이언트의 식별자가 포함될 수 있으며, 암호화된 생체정보 필드(312)에는 암호화된 등록용 생체정보 또는 암호화된 인증용 생체정보가 포함될 수 있다.The target
또한, 유효기간 필드(313)에는 등록 유효기간 또는 인증 유효기간이 포함될 수 있으며, 용도 식별자 필드(314)에는 등록용 생체정보임을 나타낼 수 있는 제1 용도 식별자 또는 인증용 생체정보임을 나타낼 수 있는 제2 용도 식별자가 포함될 수 있다.In addition, the
도 3의 예에는 생체정보 메시지(310)이 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312), 유효기간 필드(313) 및 용도 식별자 필드(314)를 모두 포함하는 것으로 도시되었지만, 이에 한정되지 않고, 생체정보 메시지(310)는 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312)를 포함하되, 유효기간 필드(313) 또는 용도 식별자 필드(314) 중 어느 하나의 필드만을 포함할 수도 있으며, 유효기간 필드(313) 및 용도 식별자 필드(314)를 모두 포함하지 않을 수 있다.In the example of FIG. 3 , the
<멀티 스테이지 복호화(multi stage decryption)를 이용한 인증 시스템><Authentication system using multi-stage decryption>
도 4는 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 인증 시스템을 설명하기 위한 도면이다.4 is a diagram for describing an authentication system when a sub matching server exists according to an embodiment.
도 4를 참조하면, 인증 시스템은 타겟 클라이언트(410), 생체정보 저장 서버(420), 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)를 포함할 수 있다. 도 4의 예에서, 서브 매칭 서버(441, 442, 443)는 복수개로 표현되었지만 이에 한정되지 않고, 인증 시스템에서 서브 매칭 서버는 하나일 수도 있다.Referring to FIG. 4 , the authentication system may include a
도 1 및 도 2의 실시예와 비교할 때, 타겟 클라이언트(410)에는 도 1의 타겟 클라이언트(110) 및 도 2의 타겟 클라이언트(210)에 대해 설명한 구성이 그대로 적용될 수 있고, 생체정보 저장 서버(420)에는 도 1의 생체정보 저장 서버(220) 및 도 2의 생체정보 저장 서버(230)에 대해 설명한 구성이 그대로 적용될 수 있다.1 and 2, the configuration described for the
다만, 도 1 및 도 2의 인증 시스템과 달리, 도 4의 인증 시스템에서는 암호화된 생체정보의 복호화가 하나의 서버가 아닌 복수의 서버에 의해 수행될 수 있다. 이하에서, 복수의 서버에 의해 복호화가 수행되는 것은 멀티 스테이지 복호화로 표현될 수 있다. 구체적으로, 도 4의 인증 시스템에서, 암호화된 생체정보의 복호화는 복수의 서브 매칭 서버(441, 442, 443) 및 매칭 서버(430)에서 수행될 수 있다. 즉, 도 1 및 도 2에서의 복호키 저장 서버의 동작을 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)가 분할하여 수행할 수 있다.However, unlike the authentication system of FIGS. 1 and 2 , in the authentication system of FIG. 4 , decryption of encrypted biometric information may be performed by a plurality of servers instead of one server. Hereinafter, decoding performed by a plurality of servers may be expressed as multi-stage decoding. Specifically, in the authentication system of FIG. 4 , decryption of encrypted biometric information may be performed by a plurality of
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다.In some embodiments of the present invention, a registration operation and an authentication operation may be performed in the authentication system.
등록 동작에서, 타겟 클라이언트(410)는 등록용 생체정보를 저장할 서버로 생체정보 저장 서버(420)를 지정할 수 있다. 또한, 타겟 클라이언트(410)는 복호키를 저장할 서버를 지정할 수 있다. 예를 들어, 타겟 클라이언트(410)는 복호키를 저장할 서버로 복수의 서브 매칭 서버(441, 442, 443)를 지정하거나, 매칭 서버(430)와 복수의 서브 매칭 서버(441, 442, 443)를 함께 지정할 수 있다. 복호키를 저장하는 서버에서 복호화를 수행하므로, 타겟 클라이언트(410)에 의해 복호키를 저장할 서버로 지정되는 서버의 개수에 따라 복호화의 단계수가 결정될 수 있다.In the registration operation, the
또한, 생체정보 저장 서버(420), 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)에서는 사용자 인증을 요청하는 장치로, 타겟 클라이언트(410)를 포함하는 적어도 하나의 클라이언트가 지정될 수 있다.In addition, the biometric
또한, 등록 동작에서, 타겟 클라이언트(410)는 생체정보 저장 서버(420)에 등록용 생체정보를 제공할 수 있다. 이를 위해, 사용자로부터 등록용 생체정보를 획득하고, 획득한 등록용 생체정보를 고유의 암호키를 이용하여 암호화한 후, 암호화된 등록용 생체정보를 생체정보 저장 서버(420)에 전송할 수 있다. 또한, 타겟 클라이언트(410)는 복호키 저장 서버(130)에 고유의 암호키와 대응되는 복호키를 제공할 수 있다.Also, in the registration operation, the
일 실시예에서, 암호화를 수행할 때, 타겟 클라이언트(410)는 등록용 생체정보를 연쇄적으로 암호화할 수 있다. 예를 들어, n개의 암호키를 사용할 경우, 타겟 클라이언트(410)는 등록용 생체정보에 제1 암호키부터 제n 암호키를 연쇄적으로 적용하여 암호화할 수 있다. 또한, 타겟 클라이언트(410)는 n개의 암호키와 대응되는 n개의 복호키를 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 하나씩 제공할 수 있다. 일 예로, 복호화가 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)에서 수행될 경우, 타겟 클라이언트(410)는 제1 복호키를 매칭 서버(430)에 제공하고, 나머지 복호키를 복수의 서브 매칭 서버(441, 442, 443)에 각각 하나씩 제공할 수 있다. 다른 일예로, 복호화가 복수의 서브 매칭 서버(441, 442, 443)에서 수행될 경우, 타겟 클라이언트(410)는 제1 복호키를 제1 서브 매칭 서버(441)에 제공하고, 나머지 복호키를 복수의 서브 매칭 서버(442, 443)에 각각 하나씩 제공할 수 있다.In an embodiment, when performing encryption, the
다른 일 실시예에서, 암호화를 수행할 때, 타겟 클라이언트(410)는 등록용 생체정보를 분산하여 암호화할 수 있다. 예를 들어, n개의 암호키를 사용할 경우, 타겟 클라이언트(410)는 등록용 생체정보를 n개로 분할한 후, n개의 분할된 등록용 생체정보 각각에 하나씩 n개의 암호키 각각을 적용하여 암호화할 수 있다. 일 예로, 3개의 암호키를 사용할 경우, 타겟 클라이언트는 분할된 첫번째 등록용 생체정보에 제1 암호키를 적용하고, 분할된 두번째 등록용 생체정보에 제2 암호키를 적용하며, 분할된 세번째 등록용 생체정보에 제3 암호키를 적용하여 3개의 분할된 등록용 생체정보 각각을 암호화할 수 있다. 또한, 타겟 클라이언트(410)는 n개의 암호키와 대응되는 n개의 복호키를 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 하나씩 제공할 수 있다.In another embodiment, when performing encryption, the
또한, 등록 동작에서, 타겟 클라이언트(410)는 타겟 클라이언트(410)의 식별자를 생체정보 저장 서버(420)에 제공할 수 있다. 타겟 클라이언트(410)의 식별자를 이용하여, 생체정보 저장 서버(420)는 복수의 클라이언트로부터 획득한 암호화된 생체정보 중에서 타켓 클라이언트(410)로부터 획득한 암호화된 생체정보를 식별할 수 있으며, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 복수의 클라이언트로부터 획득한 복호키 중 타켓 클라이언트(410)로부터 획득한 복호키를 식별할 수 있다.Also, in the registration operation, the
또한, 본 발명의 몇몇 실시예에서, 타겟 클라이언트(410)는 복수의 클라이언트 각각으로부터 암호화된 등록용 생체정보 및 복수의 클라이언트 각각의 식별자를 미리 저장한다. 또한, 타겟 클라이언트(410)로부터 인증 요청을 수신할 경우, 생체정보 저장 서버(420)는 인증 동작을 수행한다. 먼저, 인증 동작에서, 타겟 클라이언트(410)는 사용자 또는 외부장치(예를 들어, 홍체 인식기)로부터 인증용 생체정보를 획득한다.In addition, in some embodiments of the present invention, the
또한, 타겟 클라이언트(410)는 고유의 암호키를 이용하여 인증용 생체정보를 암호화한다. 여기서, 고유의 암호키는 등록 동작에서 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 제공한 복호키와 대응되어야 한다. 즉, 타겟 클라이언트(410)는 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화될 수 있도록 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 복호키를 제공하여야 한다.In addition, the
또한, 본 발명의 몇몇 실시예에서, 타겟 클라이언트(410)는 등록용 생체정보와 인증용 생체정보를 구별할 수 있는 속성(예를 들어, 전술한 용도 식별자, 유효기간)을 등록용 생체정보와 인증용 생체정보에 부여할 수 있다.In addition, in some embodiments of the present invention, the
또한, 본 발명의 몇몇 실시예에서, 인증 동작에서, 타겟 클라이언트(410)는 생체정보 저장 서버(420)에 사용자 인증 요청을 할 수 있다. 다만, 이에 한정되지 않고, 타겟 클라이언트(410)는 생체정보 저장 서버(420) 또는 매칭 서버(430)외의 별도의 서버에 사용자 인증 요청을 할 수 있고, 사용자 인증 요청을 수신한 상기 별도의 서버는 생체정보 저장 서버(420)에 사용자 인증 요청을 전달할 수 있다.Also, in some embodiments of the present invention, in the authentication operation, the
또한, 타겟 클라이언트(410)는 암호화된 인증용 생체정보를 생체정보 저장 서버(420)에 제공할 수 있다. 만약, 타겟 클라이언트(410)가 상기 별도의 서버에 암호화된 인증용 생체정보를 제공한 경우, 상기 별도의 서버는 상기 암호화된 인증용 생체정보를 생체정보 저장 서버(420)에 제공할 수 있다.Also, the
또한, 타겟 클라이언트(410)는 암호화된 인증용 생체정보와 함께 타겟 클라이언트(410)의 식별자를 생체정보 저장 서버(420)에 제공할 수 있다. 다만, 이에 한정되지 않고, 타겟 클라이언트(410)는 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 매칭 서버(430)에 제공할 수 있다.Also, the
또한, 본 발명의 몇몇 실시예에서, 생체정보 저장 서버(420)는 사용자 인증 요청에 따라 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 획득할 수 있다. 이후, 생체정보 저장 서버(420)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 위하여, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타켓 클라이언트(410)의 식별자를 매칭 서버(430)에 제공할 수 있다. 생체정보 저장 서버(420)는 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(410)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출하고, 타겟 클라이언트(410)의 식별자와 대응하는 암호화된 등록용 생체정보만을 매칭 서버(430)에 제공할 수 있다.In addition, in some embodiments of the present invention, the biometric
또한, 생체정보 저장 서버(420)는 암호화된 등록용 생체정보의 등록 유효기간을 확인하고, 등록 유효기간이 만료된 경우, 암호화된 등록용 생체정보를 제거할 수 있다.In addition, the biometric
또한, 본 발명의 몇몇 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 복수의 클라이언트 각각으로부터 획득한 복호키 및 복수의 클라이언트 각각의 식별자를 미리 저장한다. 인증 동작에서, 매칭 서버(430)는 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 획득할 수 있다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에 암호화된 등록용 생체정보의 적어도 일부, 암호화된 인증용 생체정보의 적어도 일부 및 타겟 클라이언트(410)의 식별자를 제공할 수 있다.In addition, in some embodiments of the present invention, the matching
또한, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화하기 위하여, 미리 저장된 복호키들 중 타겟 클라이언트(410)의 식별자와 대응되는 복호키를 추출할 수 있다. 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 타겟 클라이언트(410)의 식별자와 대응되는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.In addition, the matching
일 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 "연쇄적으로" 복호화할 수 있다.In an embodiment, the matching
예를 들어, 타겟 클라이언트(410)가 n개의 복호키 중 매칭 서버(430)에 제1 복호키를 제공하고, 복수의 서브 매칭 서버(441, 442, 443)에 나머지 복호키를 각각 하나씩 제공한 경우, 매칭 서버(430)는 제1 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화한다. 또한, 제1 서브 매칭 서버(441)는 매칭 서버(430)에 의해 복호화된 등록용 생체정보 및 인증용 생체정보를 제2 복호키를 이용하여 복호화한다. 또한, 제2 서브 매칭 서버(442) 및 제N 서브 매칭 서버(443)도 미리 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 등록용 생체정보 및 인증용 생체정보를 연쇄적으로 복호화한다. 이 경우, 제N 서브 매칭 서버(443)에 의해 최종적으로 복호화가 완료될 수 있으며, 제N 서브 매칭 서버(443)는 매칭 서버(430)에서 매칭이 수행되도록, 매칭 서버(430)에 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 전송할 수 있다. 다만, 이에 한정되지 않으며, 제N 서브 매칭 서버(443)가 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 매칭할 수도 있다. 다른 예로서, 타겟 클라이언트(410)가 n개의 복호키 중 매칭 서버(430)에는 복호키를 제공하지 않고, 복수의 서브 매칭 서버(441, 442, 443) 각각에 n개의 복호키를 각각 하나씩 제공한 경우, 매칭 서버(430)는 제1 서브 매칭 서버(441)에 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 제공한다. 또한, 제1 서브 매칭 서버(441)는 매칭 서버(430)로부터 획득한 등록용 생체정보 및 인증용 생체정보를 제1 복호키를 이용하여 복호화한다. 또한, 제2 서브 매칭 서버(442) 및 제N 서브 매칭 서버(443)도 미리 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 등록용 생체정보 및 인증용 생체정보를 연쇄적으로 복호화한다. 이 경우 역시, 제N 서브 매칭 서버(443)에 의해 최종적으로 복호화가 완료될 수 있으며, 제N 서브 매칭 서버(443)는 매칭 서버(430)에서 매칭이 수행되도록, 매칭 서버(430)에 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 전송할 수도 있고, 제N 서브 매칭 서버(443)가 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 매칭할 수도 있다.For example, the
다른 일 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 "분할하여" 복호화할 수 있다.In another embodiment, the matching
예를 들어, 매칭 서버(430)가 n개의 복호키 중 제1 복호키, n개로 분할된 암호화된 등록용 생체정보 중 제1 암호화된 등록용 생체정보 및 n개로 분할된 암호화된 인증용 생체정보 중 제1 암호화된 인증용 생체정보를 획득하고, 복수의 서브 매칭 서버(441, 442, 443)가 나머지 복호키 중 하나, 분할 및 암호화된 등록용 생체정보의 나머지 중 하나와 분할 및 암호화된 인증용 생체정보의 나머지 중 하나를 획득하는 경우, 매칭 서버(430)는 제1 복호키를 이용하여 제1 암호화된 등록용 생체정보 및 제1 암호화된 인증용 생체정보를 복호화한다. 또한, 복수의 서브 매칭 서버(441, 442, 443)는, 복수의 서브 매칭 서버(441, 442, 443) 각각이 저장하는 분할 및 암호화된 등록용 생체정보와 분할 및 암호화된 인증용 생체정보를, 복수의 서브 매칭 서버(441, 442, 443) 각각에 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 복호화한다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화된 분할된 등록용 생체정보 및 분할된 인증용 생체정보를 획득하고, 획득된 등록용 생체정보를 통합하여 복호화된 등록용 생체정보를 획득하고, 획득된 인증용 생체정보를 통합하여 복호화된 인증용 생체정보를 획득할 수 있다. For example, the matching
다른 예로서, 복수의 서브 매칭 서버(441, 442, 443)가 n개의 복호키 중 하나, n개로 분할된 암호화된 등록용 생체정보의 중 하나 및 n개로 분할된 암호화된 인증용 생체정보의 중 하나를 획득하는 경우, 복수의 서브 매칭 서버(441, 442, 443)는, 복수의 서브 매칭 서버(441, 442, 443) 각각이 저장하는 분할 및 암호화된 등록용 생체정보와 분할 및 암호화된 인증용 생체정보를, 복수의 서브 매칭 서버(441, 442, 443) 각각에 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 복호화한다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화된 분할된 등록용 생체정보 및 분할된 인증용 생체정보를 획득하고, 획득된 등록용 생체정보를 통합하여 복호화된 등록용 생체정보를 획득하고, 획득된 인증용 생체정보를 통합하여 복호화된 인증용 생체정보를 획득할 수 있다.As another example, the plurality of
또한, 매칭 서버(430)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단할 수 있다. 매칭 여부의 판단에 대해서는 도 1 및 도 2에서 설명한 내용이 그대로 적용될 수 있으므로, 자세한 설명은 생략한다.Also, the matching
또한, 매칭 서버(430)는 매칭 결과를 생체정보 저장 서버(420)에 제공할 수 있다. 다만, 매칭 서버(430)는 매칭 결과를 타겟 클라이언트(410)에 직접 제공할 수도 있다.Also, the matching
또한, 일 실시예에서, 매칭 서버(430)는 암호화된 인증용 생체정보의 등록 유효기간을 확인하고, 인증 유효기간이 만료된 경우, 암호화된 인증용 생체정보를 제거할 수 있다.Also, in one embodiment, the matching
전술한 바와 같이, 암호화된 등록용 생체정보와 복호키가 서로 다른 서버에 저장됨에 따라 인증 시스템의 보안성이 향상될 수 있다. 뿐만 아니라, 도 4의 실시예들에서는 복호키가 복수개이고, 복수개의 복호키가 하나의 서버가 아니라 복수개의 서버에 분산되어 저장되며, 복수개의 복호키 전부가 있어야 암호화된 생체정보가 복호화될 수 있다. 즉, 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443) 각각에 복호키가 저장된 경우, 어느 하나의 서버가 해킹을 당하여 복호키가 유출되었더라도, 나머지 복호키가 없으면 암호화된 생체정보가 복호화될 수 없다. 따라서, 도 4의 실시예에 의할 경우, 인증 시스템의 보안성이 더욱 향상될 수 있다.As described above, as the encrypted biometric information for registration and the decryption key are stored in different servers, the security of the authentication system can be improved. In addition, in the embodiments of FIG. 4 , there are a plurality of decryption keys, and the plurality of decryption keys are distributed and stored in a plurality of servers instead of one server, and the encrypted biometric information can be decrypted only when all of the plurality of decryption keys are present. have. That is, when a decryption key is stored in each of the matching
도 5는 일 실시예에 따른 허브 서버를 설명하기 위한 도면이다.5 is a diagram for explaining a hub server according to an embodiment.
도 5를 참조하면, 인증 시스템은 타겟 클라이언트(510), 생체정보 저장 서버(520), 허브 서버(530) 및 복수의 매칭 서버(541, 542, 543)를 포함할 수 있다. 도 5에 표현되지는 않았지만, 도 4와 같이, 도 5의 매칭 서버들(541, 542, 543) 각각은 적어도 하나의 서브 매칭 서버(예를 들어, 도 4의 복수의 서브 매칭 서버(441, 442, 443))와 통신을 수행할 수 있다. 즉, 도 4의 실시예와 비교할 때, 도 5의 실시예에서는 매칭 서버가 복수개로 구성되고, 허브 서버(530)가 추가된 것으로, 타겟 클라이언트(510), 생체정보 저장 서버(520) 및 매칭 서버들(541, 542, 543)에는 타겟 클라이언트(410), 생체정보 저장 서버(420) 및 매칭 서버(430)에 대해 설명한 구성이 그대로 적용될 수 있다.Referring to FIG. 5 , the authentication system may include a
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다.In some embodiments of the present invention, a registration operation and an authentication operation may be performed in the authentication system.
등록 동작에서, 타겟 클라이언트(510)는 복호키를 저장할 서버를 지정할 수 있고, 상기 지정에 대한 정보를 허브 서버(530)에 제공할 수 있다. 예를 들어, 타겟 클라이언트(510)는 복호키를 저장할 서버로 복수의 매칭 서버(541, 542, 543) 중 제1 매칭 서버(541)를 지정할 수 있고, 허브 서버(530)는 타겟 클라이언트(510)가 복호화를 저장할 서버로 제1 매칭 서버(541)를 지정하였다는 정보를 획득할 수 있다. In the registration operation, the
또한, 등록 동작에서, 허브 서버(530)는 타겟 클라이언트(510)로부터 복호키를 획득할 수 있고, 타겟 클라이언트(510)에서 복호키를 저장할 서버로 지정된 매칭 서버(상기 예에서는, 제1 매칭 서버(541))에 획득한 복호키를 제공할 수 있다. 물론, 매칭 서버가 허브 서버(530)로부터 복수의 복호키를 획득한 경우, 매칭 서버는 미리 지정된 서브 매칭 서버 각각에 복호키를 하나씩 제공할 수 있다.Also, in the registration operation, the
또한, 인증 동작에서, 허브 서버(530)는 생체정보 저장 서버(520) 또는 타겟 클라이언트(510)로부터 타겟 클라이언트(510)의 식별자를 획득하고, 타겟 클라이언트(510)의 식별자를 이용하여 복수의 매칭 서버(541, 542, 543) 중 복호화를 수행할 매칭 서버를 지정할 수 있다. 이에 따라, 허브 서버(530)는 상기 지정된 매칭 서버에 생체정보 저장 서버(520)로부터 암호화된 등록용 생체정보, 암호화된 인증용 생체정보, 타겟 클라이언트(510)의 식별자를 전달할 수 있다.Also, in the authentication operation, the
또한, 허브 서버(530)는 상기 지정된 매칭 서버에 등록용 생체정보와 인증용 생체정보의 매칭을 요청할 수 있고, 상기 지정된 매칭 서버로부터 매칭 결과를 획득하고, 매칭 결과를 생체정보 저장 서버(520) 또는 타겟 클라이언트(510)에 전달할 수 있다.In addition, the
도 6은 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 복호화 방법에 대해 설명하기 위한 도면이다.6 is a diagram for describing a decoding method when a sub matching server exists according to an embodiment.
도 6을 참조하면, 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)는 매칭 서버(610)에 종속되어, 매칭 서버의 제어에 따라 암호화된 생체정보의 복호화를 수행한다.Referring to FIG. 6 , the first
일 실시예에서, 매칭 서버(610)는 제1, 2, 3 클라이언트 각각에서 암호화된 생체정보를 복호화하기 위한 복호키 1, 2, 3(611,612, 613)을 포함한다. 또한, 제1 서브 매칭 서버(620)는 복호키 1(611)과 대응되는, 즉, 제1 클라이언트에서 생성된 암호화된 생체정보를 복호화하기 위한 것이지만 복호키 1(611)과는 별개인, 복호키 1-1(621)을 포함하고, 복호키 3(613)과 대응되는 복호키 3-1(622)을 포함한다. 또한, 제2 서브 매칭 서버(630)는 복호키 1(611)과 대응되는 복호키 1-2(631)을 포함하고, 복호키 2(612)와 대응되는 복호키 2-1(632)을 포함한다.In one embodiment, the matching
구체적인 예로서, 매칭 서버(610)는 생체정보 저장 서버로부터 제1 클라이언트의 식별자를 획득할 수 있다. 이 경우, 매칭 서버(610)는 제1 클라이언트의 식별자를 이용하여 복호키들(611, 612, 613) 중 복호키 1(611)를 복호화를 수행할 복호키로 추출할 수 있다. 또한, 매칭 서버(610)는 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에 제1 클라이언트의 식별자를 전송할 수 있다. 이 경우, 제1 서브 매칭 서버(620)는 제1 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 1-1(621)를 선택하고, 제2 서브 매칭 서버(630)는 제1 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 1-2(631)를 선택할 수 있다. 이에 따라, 제2 클라이언트에서 암호화된 생체정보는 매칭 서버(610), 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에서 복호화가 수행된다.As a specific example, the matching
다른 예로서, 매칭 서버(610)는 생체정보 저장 서버로부터 제2 클라이언트의 식별자를 획득할 수 있다. 이 경우, 매칭 서버(610)는 제2 클라이언트의 식별자를 이용하여 복호키들(611, 612, 613) 중 복호키 2(612)를 복호화를 수행할 복호키로 추출할 수 있다. 또한, 매칭 서버(610)는 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에 제2 클라이언트의 식별자를 전송할 수 있다. 이 경우, 제1 서브 매칭 서버(620)는 제2 클라이언트의 식별자와 대응하는 복호키를 포함하지 않으므로, 복호키를 추출하지 않고, 제2 서브 매칭 서버(630)는 제2 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 2-1(632)를 선택할 수 있다. 이에 따라, 제2 클라이언트에서 암호화된 생체정보는 매칭 서버(610) 및 제2 서브 매칭 서버(630)에서 복호화가 수행되고, 제1 서브 매칭 서버(620)에서는 복호화가 수행되지 않는다.As another example, the matching
도 7은 일 실시예에 따른 복호키 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.7 is an operation flowchart illustrating a control method of a decryption key storage server according to an embodiment.
도 7을 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트 및 복호키 저장 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하며, 복호키 저장 서버는 적어도 하나의 복호키를 저장할 수 있다. 즉, 적어도 하나의 복호키는 인증 시스템의 보안성을 향상시키기 위하여 등록용 생체정보가 저장된 생체정보 저장 서버와 분리된 복호키 저장 서버에 저장된다.Referring to FIG. 7 , the authentication system includes a biometric information storage server, a target client, and a decryption key storage server. Specifically, the biometric information storage server stores the biometric information for registration obtained from each of the at least one client, the target client is included in the at least one client, obtains the biometric information for authentication of the user, and generates a unique encryption key The biometric information for authentication is encrypted using the encryption key, and the decryption key storage server may store at least one decryption key. That is, the at least one decryption key is stored in a decryption key storage server separated from the biometric information storage server in which the registration biometric information is stored in order to improve the security of the authentication system.
복호키 저장 서버의 제어 방법에서, 복호키 저장 서버는 타겟 클라이언트의 식별자 및 암호화된 인증용 생체정보를 획득할 수 있다(710).In the method of controlling the decryption key storage server, the decryption key storage server may obtain an identifier of the target client and encrypted biometric information for authentication ( 710 ).
또한, 복호키 저장 서버는 매칭을 위하여 등록용 생체정보를 획득하되. 등록용 생체정보 중 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(720). 여기서, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.In addition, the decryption key storage server acquires biometric information for registration for matching. Among the biometric information for registration, biometric information for registration corresponding to the identifier may be obtained ( 720 ). Here, the biometric information for registration may be encrypted by the client that has transmitted the biometric information for registration.
또한, 복호키 저장 서버는 적어도 하나의 복호키 중 식별자와 대응되는 복호키를 추출할 수 있다(730).Also, the decryption key storage server may extract a decryption key corresponding to the identifier from among the at least one decryption key ( 730 ).
또한, 복호키 저장 서버는 식별자와 대응되는 복호키를 이용하여 암호화된 인증용 생체정보 및 식별자와 대응되는 등록용 생체정보를 복호화할 수 있다(740).Also, the decryption key storage server may decrypt the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier by using the decryption key corresponding to the identifier ( 740 ).
또한, 복호키 저장 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단할 수 있다(750).Also, the decryption key storage server may determine whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier match ( S750 ).
또한, 복호키 저장 서버는 매칭 결과를 생체정보 저장 서버 또는 타겟 클라이언트에 제공할 수 있다(760).In addition, the decryption key storage server may provide the matching result to the biometric information storage server or the target client ( 760 ).
도 7에 도시된 복호키 저장 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.As the method of controlling the decryption key storage server shown in FIG. 7 may be applied as it is with reference to FIGS. 1 to 6 , more detailed details will be omitted.
도 8은 일 실시예에 따른 생체정보 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.8 is an operation flowchart illustrating a method of controlling a biometric information storage server according to an exemplary embodiment.
도 8을 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트 및 복호키 저장 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하며, 복호키 저장 서버는 적어도 하나의 복호키를 저장한다. 즉, 등록용 생체정보는 인증 시스템의 보안성을 향상시키기 위하여 적어도 하나의 복호키가 저장된 상기 복호키 저장 서버와 분리된 생체정보 저장 서버에 저장된다.Referring to FIG. 8 , the authentication system includes a biometric information storage server, a target client, and a decryption key storage server. Specifically, the biometric information storage server stores the biometric information for registration obtained from each of the at least one client, the target client is included in the at least one client, obtains the biometric information for authentication of the user, and generates a unique encryption key The biometric information for authentication is encrypted using the encryption key, and the decryption key storage server stores at least one decryption key. That is, the biometric information for registration is stored in a biometric information storage server separated from the decryption key storage server in which at least one decryption key is stored in order to improve the security of the authentication system.
생체정보 저장 서버의 제어방법에서의 생체정보 저장 서버는 타겟 클라이언트의 사용자 인증 요청에 따라 타겟 클라이언트의 식별자 및 암호화된 인증용 생체정보를 획득할 수 있다(810).In the control method of the biometric information storage server, the biometric information storage server may acquire the target client identifier and encrypted biometric information for authentication according to the user authentication request of the target client ( 810 ).
또한, 생체정보 저장 서버는 등록용 생체정보 중 타겟 클라이언트의 식별자와 대응하는 등록용 생체정보를 추출할 수 있다(820). 이 경우, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.Also, the biometric information storage server may extract biometric information for registration corresponding to the identifier of the target client from among biometric information for registration ( 820 ). In this case, the biometric information for registration may be encrypted by the client that has transmitted the biometric information for registration.
또한, 생체정보 저장 서버는 식별자에 대응되는 등록용 생체정보와 복호화된 인증용 생체정보의 매칭 결과를 획득할 수 있다(830).Also, the biometric information storage server may obtain a matching result of the biometric information for registration and the decrypted biometric information for authentication corresponding to the identifier ( 830 ).
또한, 생체정보 저장 서버는 매칭 결과 또는 매칭 결과에 따른 정보를 타겟 클라이언트에게 제공할 수 있다(840).In addition, the biometric information storage server may provide a matching result or information according to the matching result to the target client ( 840 ).
도 8에 도시된 생체정보 저장 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.Since the contents described with reference to FIGS. 1 to 6 can be applied to the method of controlling the biometric information storage server shown in FIG. 8 as it is, more detailed information will be omitted.
도 9는 일 실시예에 따른 매칭 서버의 제어 방법을 나타낸 동작 흐름도이다.9 is an operation flowchart illustrating a method of controlling a matching server according to an exemplary embodiment.
도 9를 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트, 적어도 하나의 서브 매칭 서버 및 매칭 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하고, 적어도 하나의 서브 매칭 서버는 복호키를 이용하여 인증용 생체정보를 복호화하며, 매칭 서버는 등록용 생체정보 중 일부와 인증용 생체정보를 매칭할 수 있다. 즉, 복호키는 인증 시스템의 보안성을 향상시키기 위하여 등록용 생체정보가 생체정보 저장 서버와 분리된 매칭 서버 또는 서브 매칭 서버 중 적어도 하나에 저장된다.Referring to FIG. 9 , the authentication system includes a biometric information storage server, a target client, at least one sub matching server, and a matching server. Specifically, the biometric information storage server stores the biometric information for registration obtained from each of the at least one client, the target client is included in the at least one client, obtains the biometric information for authentication of the user, and generates a unique encryption key is used to encrypt biometric information for authentication, at least one sub matching server decrypts biometric information for authentication using a decryption key, and the matching server may match some of biometric information for registration with biometric information for authentication. That is, the decryption key is stored in at least one of a matching server or a sub matching server in which biometric information for registration is separated from the biometric information storage server in order to improve the security of the authentication system.
매칭 서버의 제어 방법에서, 매칭 서버는 암호화된 인증용 생체정보를 획득할 수 있다(910).In the method of controlling the matching server, the matching server may obtain encrypted biometric information for authentication ( 910 ).
또한, 매칭 서버는 등록용 생체정보를 획득하되, 등록용 생체정보 중 타겟 클라이언트의 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(920). 이 경우, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.Also, the matching server may acquire biometric information for registration, but may acquire biometric information for registration corresponding to the identifier of the target client among the biometric information for registration ( 920 ). In this case, the biometric information for registration may be encrypted by the client that has transmitted the biometric information for registration.
또한, 매칭 서버는 암호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보의 복호화를 위해서, 적어도 하나의 서브 매칭 서버에 암호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보를 제공할 수 있다(930).In addition, the matching server provides the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier to at least one sub matching server in order to decrypt the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier. can (930).
또한, 매칭 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(940).Also, the matching server may obtain the decrypted biometric information for authentication and biometric information for registration corresponding to the identifier ( 940 ).
또한, 매칭 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단할 수 있다(950).Also, the matching server may determine whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier match ( S950 ).
또한, 매칭 서버는 매칭 결과를 생체정보 저장 서버 또는 타겟 클라이언트에 제공할 수 있다(960).Also, the matching server may provide the matching result to the biometric information storage server or the target client ( 960 ).
도 9에 도시된 매칭 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.As the method of controlling the matching server shown in FIG. 9 can be directly applied to the contents described with reference to FIGS. 1 to 6 , a more detailed description thereof will be omitted.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible from the above description by those skilled in the art. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (6)
복수의 클라이언트들의 식별정보들 및 복수의 복호키들을 저장하는 제1 서버 - 이때, 상기 복수의 클라이언트들의 식별정보들 각각은 상기 복수의 복호키들 각각에 대응됨 - ; 및
상기 복수의 클라이언트들의 식별정보들 및 복수의 등록된 생체정보들(registered biometric information)을 저장하는 제2 서버 - 이때, 상기 복수의 클라이언트들의 식별정보들 각각은 상기 복수의 등록된 생체정보들 각각에 대응되며, 상기 복수의 등록된 생체정보들은 암호화되어 있음 - ;
를 포함하며,
상기 제2 서버는,
상기 복수의 클라이언트들 중 제1 클라이언트로부터 제1 인증용 생체정보(first biometric information for authentication)에 대한 인증 요청을 수신하고,
상기 인증 요청의 수신에 응답하여, 상기 제1 클라이언트의 식별정보를 확인하고,
상기 확인된 상기 제1 클라이언트의 식별정보를 상기 제1 서버로 전송하고,
상기 제1 클라이언트의 식별정보에 대응되는 제1 복호화키를 상기 제1 서버를 통해 획득하고,
상기 획득된 제1 복호화키를 이용하여 상기 제1 클라이언트의 식별정보에 대응되는 제1 등록된 생체정보를 복호화하고,
상기 획득된 제1 복호화키를 이용하여 상기 제1 클라이언트로부터 수신된 상기 제1 인증용 생체정보를 복호화하고,
상기 복호화된 제1 인증용 생체정보와 상기 복호화된 제1 등록된 생체정보를 비교하고,
상기 비교 결과에 따라, 상기 제1 인증용 생체정보를 인증하거나 인증하지 않는 인증 결과를 생성하고,
상기 생성된 인증 결과를 상기 제1 클라이언트로 전송하는
생체정보를 이용한 사용자 인증 시스템.As a user authentication system using biometric information,
a first server that stores identification information of a plurality of clients and a plurality of decryption keys, wherein each of the identification information of the plurality of clients corresponds to each of the plurality of decryption keys; and
A second server for storing identification information of the plurality of clients and a plurality of registered biometric information - In this case, each of the identification information of the plurality of clients is applied to each of the plurality of registered biometric information Correspondingly, the plurality of registered biometric information is encrypted;
includes,
The second server,
Receiving an authentication request for first biometric information for authentication from a first client among the plurality of clients,
In response to receiving the authentication request, check the identification information of the first client,
Transmitting the identified identification information of the first client to the first server,
Obtaining a first decryption key corresponding to the identification information of the first client through the first server,
Decrypting the first registered biometric information corresponding to the identification information of the first client using the obtained first decryption key,
Decrypting the first authentication biometric information received from the first client using the obtained first decryption key,
Comparing the decrypted first authentication biometric information and the decrypted first registered biometric information,
generating an authentication result that authenticates or does not authenticate the biometric information for the first authentication according to the comparison result;
transmitting the generated authentication result to the first client
User authentication system using biometric information.
상기 복수의 등록된 생체정보들 각각은 지문에 관한 정보를 포함하는
생체정보를 이용한 사용자 인증 시스템.According to claim 1,
Each of the plurality of registered biometric information includes information about a fingerprint
User authentication system using biometric information.
상기 제2 서버는,
상기 복호화된 제1 인증용 생체정보와 상기 복호화된 제1 등록된 생체정보를 비교하기 위하여,
상기 복호화된 제1 인증용 생체정보의 특징값과 상기 복호화된 제1 등록된 생체 정보의 특징값 사이의 관계값을 산출하고,
상기 산출된 관계값을 미리 정해진 기준범위와 비교하는
생체정보를 이용한 사용자 인증 시스템.3. The method of claim 2,
The second server,
To compare the decrypted first biometric information for authentication with the decrypted first registered biometric information,
calculating a relation value between the decrypted feature value of the first authentication biometric information and the decrypted first registered biometric information feature value;
comparing the calculated relationship value with a predetermined reference range
User authentication system using biometric information.
복수의 클라이언트들의 식별정보들 및 복수의 복호키들을 저장하는 제1 서버 - 이때, 상기 복수의 클라이언트들의 식별정보들 각각은 상기 복수의 복호키들 각각에 대응됨 - ; 및
상기 복수의 클라이언트들의 식별정보들 및 복수의 등록된 생체정보들(registered biometric information)을 저장하는 제2 서버 - 이때, 상기 복수의 클라이언트들의 식별정보들 각각은 상기 복수의 등록된 생체정보들 각각에 대응되며, 상기 복수의 등록된 생체정보들은 암호화되어 있음 - ;
를 포함하며,
상기 제1 서버는,
상기 복수의 클라이언트들 중 제1 클라이언트로부터 제1 인증용 생체정보(first biometric information for authentication)에 대한 인증 요청을 수신하고,
상기 인증 요청의 수신에 응답하여, 상기 제1 클라이언트의 식별정보를 확인하고,
상기 확인된 상기 제1 클라이언트의 식별정보를 상기 제2 서버로 전송하고,
상기 제1 클라이언트의 식별정보에 대응되는 제1 등록된 생체정보를 상기 제2 서버를 통해 획득하고,
상기 획득된 제1 등록된 생체정보들을 상기 제1 클라이언트의 식별정보에 대응되는 제1 복호화키로 복호화하고,
상기 제1 클라이언트로부터 수신된 상기 제1 인증용 생체정보를 상기 제1 복호화키로 복호화하고,
상기 복호화된 제1 인증용 생체정보와 상기 복호화된 제1 등록된 생체정보를 비교하고,
상기 비교 결과에 따라, 상기 제1 인증용 생체정보를 인증하거나 인증하지 않는 인증 결과를 생성하고,
상기 생성된 인증 결과를 상기 제1 클라이언트로 전송하는
생체정보를 이용한 사용자 인증 시스템.As a user authentication system using biometric information,
a first server that stores identification information of a plurality of clients and a plurality of decryption keys, wherein each of the identification information of the plurality of clients corresponds to each of the plurality of decryption keys; and
A second server for storing identification information of the plurality of clients and a plurality of registered biometric information - In this case, each of the identification information of the plurality of clients is applied to each of the plurality of registered biometric information Correspondingly, the plurality of registered biometric information is encrypted;
includes,
The first server,
Receiving an authentication request for first biometric information for authentication from a first client among the plurality of clients,
In response to receiving the authentication request, check the identification information of the first client,
Transmitting the identified identification information of the first client to the second server,
Obtaining first registered biometric information corresponding to the identification information of the first client through the second server,
Decrypting the obtained first registered biometric information with a first decryption key corresponding to the identification information of the first client,
Decrypting the first authentication biometric information received from the first client with the first decryption key,
Comparing the decrypted first authentication biometric information and the decrypted first registered biometric information,
generating an authentication result that authenticates or does not authenticate the biometric information for the first authentication according to the comparison result;
transmitting the generated authentication result to the first client
User authentication system using biometric information.
상기 복수의 등록된 생체정보들 각각은 지문에 관한 정보를 포함하는
생체정보를 이용한 사용자 인증 시스템.5. The method of claim 4,
Each of the plurality of registered biometric information includes information about a fingerprint
User authentication system using biometric information.
상기 제1 서버는,
상기 복호화된 제1 인증용 생체정보와 상기 복호화된 제1 등록된 생체정보를 비교하기 위하여,
상기 복호화된 제1 인증용 생체정보의 특징값과 상기 복호화된 제1 등록된 생체 정보의 특징값 사이의 관계값을 산출하고,
상기 산출된 관계값을 미리 정해진 기준범위와 비교하는
생체정보를 이용한 사용자 인증 시스템.6. The method of claim 5,
The first server,
To compare the decrypted first biometric information for authentication with the decrypted first registered biometric information,
calculating a relation value between the decrypted feature value of the first authentication biometric information and the decrypted first registered biometric information feature value;
comparing the calculated relationship value with a predetermined reference range
User authentication system using biometric information.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160030403A KR101768213B1 (en) | 2016-03-14 | 2016-03-14 | Method and apparatus for authenticating using biometric information |
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160030403A Division KR101768213B1 (en) | 2016-03-14 | 2016-03-14 | Method and apparatus for authenticating using biometric information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170107409A KR20170107409A (en) | 2017-09-25 |
| KR102332662B1 true KR102332662B1 (en) | 2021-12-01 |
Family
ID=78933899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102332662B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102648908B1 (en) * | 2023-06-27 | 2024-03-19 | 농협은행(주) | User authentication system and method |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101936941B1 (en) * | 2018-02-22 | 2019-01-11 | 스티븐 상근 오 | Electronic approval system, method, and program using biometric authentication |
| CN108959911A (en) * | 2018-06-14 | 2018-12-07 | 联动优势科技有限公司 | A kind of key chain generates, verification method and its device |
| EP3605373B1 (en) | 2018-07-30 | 2023-06-07 | Blink.ing doo | Authentication method for a client over a network |
| WO2020123192A1 (en) * | 2018-12-14 | 2020-06-18 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| CN116110159B (en) * | 2023-04-13 | 2023-06-23 | 新兴际华集团财务有限公司 | User authentication method, device and medium based on CFCA authentication standard |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293469A (en) * | 2006-04-24 | 2007-11-08 | Hitachi Ltd | User authentication proxy system using biometrics |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2895110T3 (en) * | 2014-03-14 | 2022-02-17 | Rowem Inc | Confidential data management procedure and device, and security authentication procedure and system |
-
2017
- 2017-08-04 KR KR1020170099135A patent/KR102332662B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293469A (en) * | 2006-04-24 | 2007-11-08 | Hitachi Ltd | User authentication proxy system using biometrics |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102648908B1 (en) * | 2023-06-27 | 2024-03-19 | 농협은행(주) | User authentication system and method |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20170107409A (en) | 2017-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102332662B1 (en) | Method and apparatus for authenticating using biometric information | |
| KR101768213B1 (en) | Method and apparatus for authenticating using biometric information | |
| US10681025B2 (en) | Systems and methods for securely managing biometric data | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| US11126670B2 (en) | Token and device location-based automatic client device authentication | |
| US9992676B2 (en) | Method for unlocking administration authority and device for authentication | |
| US10574460B2 (en) | Mechanism for achieving mutual identity verification via one-way application-device channels | |
| EP3037998B1 (en) | Method and system for providing secure and standalone-operable biometric authentication | |
| KR101520722B1 (en) | Method, server and user device for verifying user | |
| US9294474B1 (en) | Verification based on input comprising captured images, captured audio and tracked eye movement | |
| FI3859689T3 (en) | Providing access to a lock for a service provider | |
| US20180294965A1 (en) | Apparatus, method and computer program product for authentication | |
| US8918844B1 (en) | Device presence validation | |
| US11455621B2 (en) | Device-associated token identity | |
| US20230328059A1 (en) | Authentication system for providing biometrics-based login service | |
| WO2017028595A1 (en) | Payment verification method, terminal, and server | |
| US20220400015A1 (en) | Method and device for performing access control by using authentication certificate based on authority information | |
| US10541994B2 (en) | Time based local authentication in an information handling system utilizing asymmetric cryptography | |
| US9386017B2 (en) | Authentication device, system and method | |
| KR101900060B1 (en) | Security element operating with wireless router, the wireless router, and method of forming internet network using the security element | |
| KR102561689B1 (en) | Apparatus and method for registering biometric information, apparatus and method for biometric authentication | |
| US20230006829A1 (en) | Information matching system and information matching method | |
| KR20150115593A (en) | Method, server and user device for verifying user | |
| US11949772B2 (en) | Optimized authentication system for a multiuser device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |