KR102563183B1 - 자기 주권 신원 정보 분할 관리 장치 및 방법 - Google Patents

자기 주권 신원 정보 분할 관리 장치 및 방법 Download PDF

Info

Publication number
KR102563183B1
KR102563183B1 KR1020210113357A KR20210113357A KR102563183B1 KR 102563183 B1 KR102563183 B1 KR 102563183B1 KR 1020210113357 A KR1020210113357 A KR 1020210113357A KR 20210113357 A KR20210113357 A KR 20210113357A KR 102563183 B1 KR102563183 B1 KR 102563183B1
Authority
KR
South Korea
Prior art keywords
identity information
self
sovereign identity
sovereign
division
Prior art date
Application number
KR1020210113357A
Other languages
English (en)
Other versions
KR20230013591A (ko
Inventor
박경철
Original Assignee
케이포시큐리티(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 케이포시큐리티(주) filed Critical 케이포시큐리티(주)
Publication of KR20230013591A publication Critical patent/KR20230013591A/ko
Application granted granted Critical
Publication of KR102563183B1 publication Critical patent/KR102563183B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 블록체인 기반 자기 주권 신원 정보 관리 기술에 관한 것으로, 더욱 상세하게는 자기 주권 신원 정보를 암호학적으로 분할 저장하여 안전하게 보관하고 관리하는 자기 주권 신원 정보 분할 관리 장치 및 방법에 관한 것이다. 본 발명의 일 실시 에에 따르면, 개인키의 안전한 분할, 복원 및 백업 관리를 통해 휴먼 에러와 같은 사회 공학적 공격에도 방어가 손쉽고, 개인키가 저장된 사용자 플랫폼의 손망실에도 복원이 가능하다.

Description

자기 주권 신원 정보 분할 관리 장치 및 방법{ APPARATUS AND METHOD FOR SEGMENTING AND MANAGING SELF-SOVEREIGN IDENTITY INFORMATION }
본 발명은 블록체인 기반 자기주권 신원 정보 관리 기술에 관한 것으로, 더욱 상세하게는 자기 주권 신원 정보를 암호학적으로 분할 저장하여 안전하게 보관하고 관리하는 자기 주권 신원 정보 분할 관리 장치 및 방법에 관한 것이다.
일반적으로 블록체인 환경에서는 개인키를 활용하여 블록체인 거래 주소(전자 지갑)를 생성한다. 통상적으로 개인키는 사용자가 관리하는 것으로 사용자 플랫폼에 파일 형태로 보관한다. 예를 들면 사용자 플랫폼은 모바일 단말 또는PC 단말 장치 등이다. 블록체인 거래 주소(전자 지갑)에 대한 개인키의 저장 또는 관리는 전적으로 사용자에게 일임되어 있으므로 개인키의 손망실로 인해 블록체인 거래 주소(전자 지갑)에 존재하는 거래 잔금을 사용할 수 없는 일이 발생하였고, 이러한 기술적 한계점을 하드웨어 월렛, 종이 월렛 등의 매개체로 해결해 왔다.
한편 블록체인 기반 자기 주권형 신원ID를 활용한 신원인증 기술이 새롭게 나타나고 있으며 '2018년 GDPR(유럽연합의 개인정보보호 법령)'에 따라 자신의 신원을 인증하는 정보는 '자기 주권 하에 신원 정보' 를 기반으로 한다고 하는 새로운 신원 인증 패러다임에 기초하고 있다.
블록체인에서의 중앙 기관에 의존하지 않고 분산되는 것으로, 블록체인에서의 자기 주권 신원 인증은 실생활에서의 신원과 동일한 방식으로 작동한다. 신원 증명 발행, 제출, 삭제 복구 등 모든 권한을 사용자가 가지며, 블록체인은 신원 증명이 사용자의 소유임을 증명하고, 신원 증명의 발행, 제출, 갱신 등의 기록 관리에 활용한다. 즉 자신의 신원을 증명할 수 있는 자신 만의 정보를 기반으로 신원 정보를 생성하고, 생성된 신원 정보를 블록체인에 등록하며, 등록된 신원 정보를 조회할 수 있는 신원 ID를 생성하여 신원 확인에 사용하는 것이 자기 주권형 신원 인증 매카니즘이다.
하지만 신원 ID에 따른 신원 정보를 블록체인에 등록하게 됨에 따라 블록체인의 기술적 특성에 따라 등록된 신원 정보의 변경이 불가능하다는 한계가 존재한다. 이러한 기술적 한계를 극복하기 위해 소브린(sovrin) 재단, 비트코인(bitcoin), 이더리움(etherium) 등은 블록체인에 신원 정보를 저장하지 않고 블록체인에는 신원 정보 등록과 관련된 시스템 로그 등의 절차 정보를 저장하고, 실 데이터는 가변이 가능한 DB에 저장하는 방식을 채택하고 있다.
1. 한국 공개특허공보 제10-2019-0114435호 “블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버”(공개일자: 2019년 10월 10일)
본 발명은 비밀분할 알고리즘을 활용하여 여러 개의 개인분할키 데이터를 생성하여 저장된 개인키의 일부가 손망실되더라도 분할 조건이 충족되면 복원할 수 있다.
본 발명은 블록체인의 무결성을 이용한 자기 주권 신원 인증을 하는 자기 주권 신원 정보 분할 관리 장치 및 방법을 제공한다.
본 발명은 블록체인에서 신원 인증 정보 등록과 폐기 정보를 관리하여 신원 인증 정보의 변경 및 갱신이 가능한 자기 주권 신원 정보 분할 관리 장치 및 방법을 제공한다.
본 발명의 일 측면에 따르면, 자기 주권 신원 정보 분할 관리 장치를 제공한다.
본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치는 분산형 식별자와 연관된 개인키를 관리하는 키 관리부, 분산형 식별자를 생성하고 블록체인에 등록하는 신원정보부; 및 상기 분산형 식별자가 유효한지 검증하는 인증부를 포함할 수 있다.
본 발명의 다른 일 측면에 따르면, 자기 주권 신원 정보 분할 관리 방법 및 이를 실행하는 컴퓨터 프로그램을 제공한다.
본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 방법 및 이를 실행하는 컴퓨터 프로그램은 비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 단계, 설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 단계 및 백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 단계를 포함할 수 있다.
본 발명의 일 실시 에에 따르면, 개인키의 안전한 분할, 복원 및 백업 관리를 통해 휴먼 에러와 같은 사회 공학적 공격에도 방어가 손쉽고, 개인키가 저장된 사용자 플랫폼의 손망실에도 복원이 가능하다.
본 발명의 일 실시 예에 따르면, 개인키의 안전한 복원을 위해 비밀분할 알고리즘을 통해 복원조건/분할조건을 설정하여 개인키의 소유자가 아닌 시스템 관리자/ 서비스 담당자 등 기타 타인의 접근을 통한 해킹 등의 위협에 원천적으로 대응할 수 있다.
본 발명의 일 실시 예에 따르면, 신원 인증시에 블록체인의 기술적 특성을 그대로 유지할 수 있어 정보의 위변조가 불가능하다.
본 발명의 일 실시 예에 따르면 자기 주권 신원 인증 정보의 등록과 폐기 절차를 분리하여 블록체인에 등록한 자기 주권 신원 인증 정보를 갱신할 수 있다.
도 1 은 종래의 블록체인 상의 분산형 식별자를 이용한 자기 주권 신원 인증에 관한 도면.
도 2 내지 도 5은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 개인키를 관리하는 방법을 간단히 설명하기 위한 도면들.
도 6내지 도7은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치를 간단하게 설명하기 위한 도면들.
도 9 내지 도 12는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 분산형 식별자를 관리하는 예시 화면들.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서 및 청구항에서 사용되는 단수 표현은, 달리 언급하지 않는 한 일반적으로 "하나 이상"을 의미하는 것으로 해석되어야 한다.
이하, 본 발명의 바람직한 실시 예를 첨부도면을 참조하여 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어, 동일하거나 대응하는 구성 요소는 동일한 도면번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1 은 종래의 블록체인 상의 분산형 식별자를 이용한 자기 주권 신원 인증에 관한 도면이다.
도 1을 참고하면, 자기 주권 신원증명(SSI) 환경에서 사용자는 분산형 식별자(DID) 및 분산형 식별자 문서(DID Document)를 생성하고 등록한다.
자세히 설명하면 사용자는 분산형 식별자의 소유권 증명을 위한 개인키와 공개키를 이용하는 비대칭 키를 생성한다.
사용자는 비대칭 키의 개인키는 안전하게 보관하고 공개키를 이용해 분산형 식별자와 분산형 식별자 문서를 생성하고 블록체인에 저장한다.
사용자가 기관에 분산형 식별자를 전달하고, 기관은 수신한 분산형 식별자의 소유자가 맞는지 본인여부를 검증한 후 등록 또는 요청한 증명서를 발급할 수 있다.
따라서 자기 주권 신원증명(SSI) 환경에서는 비대칭 키 쌍의 관리가 중요하다. 특히, 블록체인 특성 상 개인키와 분산형 식별자의 관계를 유추할 수 있는 방법이 없기 때문에 개인키가 분실되었거나 변경된 경우 신원증명 뿐만 아니라 공개키를 활용한 기 서명된 증명들이 모두 무효화될 수도 있어 매우 중요하다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키를 관리하여 개인키가 저장되어 있는 사용자 플랫폼의 손망실 또는 저장된 개인키의 손망실 또는 휴먼 오류로 인한 손망실에 대비하여 안전하게 보관할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 비밀분할 알고리즘을 통해 소유자가 아닌 타인의 접근을 통한 해킹 등의 위협에 효과적으로 대응할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키의 재발급 처리 또는 폐기 처리 등에 대해 유효한 요청인지 아니면 불법적인 해킹 공격에 의한 공격인지를 판단할 수 있다.
도 2 내지 도 5은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 개인키를 관리하는 방법을 간단히 설명하기 위한 도면들이다.
도 2를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 키관리부(100), 신원정보부(200) 및 인증부(300)를 포함한다.
키 관리부(100)는 분산형 식별자(DID)를 생성 시 사용되는 개인키를 생성하고 관리한다.
키 관리부(100)는 개인키의 재발급 처리 또는 폐기 처리 등에 대해 유효한 요청 여부 또는 정당한 요청이 아닌 불법적인 해킹 공격에 의한 공격 여부를 구분할 수 있다.
도 3을 참조하여 자세히 설명하면, 키 관리부(100)는 개인키 암호화하여 관리하는 단계와 백업하는 단계로 나누어 이중 관리할 수 있다.
키 관리부(100)는 개인키를 암호화하여 보관할 수 있다. 자세히 설명하면 키 관리부(100)는 개인키를 비밀분할 알고리즘을 통해 분할하여 사용자 플랫폼에 저장한다.
키 관리부(100)는 암호화된 개인키 데이터를 백앤드 서버 플랫폼에 백업할 수 있다. 예를 들면 백앤드 서버 플랫폼은 하드웨어 암호 모듈(HSM) 저장소일 수 있다.
도 4를 참조하면, 키 관리부(100)는 분할부(110), 복원부(120) 및 백업부(130)를 포함한다.
분할부(110)는 비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하고, 이를 모바일 장치에 저장할 수 있다. 분할부(110)는 분할 조건 또는 복원조건 등을 설정할 수 있고, 분할 암호(크리덴셜)을 설정할 수 있다. 예를 들면 분할부(110)는 개인키를 몇 개로 분할할지 등의 분할 조건을 설정할 수 있고, 복원 시에 필요한 개수 등의 복원 조건을 설정할 수 있다. 분할부(110)는 비밀분할 알고리즘을 활용하므로 분할 조건 또는 복원 조건을 사용자가 아니면 알 수 없고 저장된 사용자 플랫폼 위치 또는 백업 서버의 위치 등을 알 수 없으므로 사용자가 아닌 시스템 관리자/서비스 담당자 등 타인의 접근 통한 해킹 등의 위협에 대응이 가능하다.
복원부(120)는 분할부(110)가 설정한 분할 조건 또는 복원 조건에 따라 개인분할키 데이터를 이용하여 개인키를 복원할 수 있다.
복원부(120)는 분할부(110)가 설정한 분할 조건 또는 복원 조건에 따라 개인분할키 데이터의 일부가 손망실되더라도 복원 조건에 충족되면 복원이 가능하다.
백업부(130)는 백앤드 서버 플랫폼에 개인분할키 데이터를 백업하여 데이터 손망실에 대한 대비를 추가적으로 할 수 있다. 예를 들면 백앤드 서버 플랫폼은 하드웨어 보안 모듈(HSM, Hardware Security Module) 저장소 등 이다.
본 발명의 일 실시 예에서 따르면, 백업부(330)는 사용자 플랫폼에 개인분할키 데이터를 저장한 후 선별적으로 또는 미리 정해진 개수만큼 랜덤하게 서버로 전송하여 저장하여 데이터 손망실에 대한 백업/복원 단계를 수행할 수 있다.
본 발명의 다른 실시 예에 따르면, 백업부(330)는 분할되어 생성된 개인분할키 데이터를 모두 백앤드 서버 플랫폼에 백업할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 비대칭 키를 관리하는 방법에 대해 간단히 설명한 도면이다. 이하 설명하는 각 과정은 단계에서 자기 주권 신원 정보 분할 관리 장치를 구성하는 각 기능부가 수행하는 과정이나, 본 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 자기 주권 신원 정보 분할 관리 장치로 통칭하도록 한다.
도 5를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 개인키와 공개키를 이용하는 비대칭키 알고리즘을 이용한다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키를 분할 저장하는 단계와 백앤드 서버 플랫폼에 백업하는 것으로 2단계로 나누어 관리할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 단계 S510에서 비대칭 키를 생성한다.
단계 S520에서 자기 주권 신원 정보 분할 관리 장치(10)는 생성한 개인키를 비밀분할 알고리즘을 이용해 분할한다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키의 개수 등 분할 조건을 설정할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 복원 시에 최소 개인분할키 개수 등 복원 조건을 설정할 수 있다.
단계 S530에서 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키 데이터를 사용자 플랫폼에 저장한 후 선별적으로 또는 미리 정해진 개수만큼 랜덤하게 서버로 전송하여 저장할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키를 모두 저장할 수도 있고, 복원 조건에 따른 일부만을 저장할 수도 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인키의 데이터 손망실 뿐만 아니라 사용자 플랫폼의 손망실에도 백앤드 서버 플랫품에 저장된 분할키 데이터를 이용해 개인키를 복원할 수 있다.
단계 S540에서 자기 주권 신원 정보 분할 관리 장치(10)는 공개키를 이용해 분산형 식별자(DID)를 생성한다.
단계 S550에서 자기 주권 신원 정보 분할 관리 장치(10)는 공개키를 포함한 분산형 식별자 문서(DID Document)를 생성한다.
단계 S560에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자(DID)와 분산형 식별자 문서(DID Document)를 블록체인에 저장한다. 자세히 설명하면 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자(DID) 정보는 등록용 블록체인에 등록할 수 있다.
도 6내지 도7은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치를 간단하 설명하기 위한 도면들이다.
도 6을 참고하면, 자기 주권 신원 정보 분할 관리 장치(10)는 블록체인 기반 등록용 블록체인과 폐기용 블록체인을 동시에 유지할 수 있다.
도 6의 ⓛ이슈어(Issuer)는 증명서 발급 기관일 수 있다.
도 6의 ②홀더(Holder)는 분산형 식별자를 생성하고 소유하고 자기 주권 신원 인증을 할 수 있는 사용자일 수 있다.
도 6의 ③검증자(Verifier)는 분산형 식별자를 검증하여 신원 인증 서비스를 제공할 수 있는 기관 또는 시스템일 수 있다.
도6의 ④ 유니버셜 리졸버(Universal Resolver)는 API를 이용해 전체 시스템의 기능을 연동할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버가 제공하는 API룰 통해 블록체인에 분산형 식별자는 저장하고 조회하기 위한 DIF 표준을 제공할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버를 통해 다양한 블록체인에 저장된 분산형 식별자를 검증할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 사용자의 요청에 따라서 사용자가 공개키를 이용해 생성한 분산형 식별자 정보를 기관에게 전달하고 등록 요청을 한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 소유한 사용자가 맞는지 검증한 후 유니버셜 리졸버(Universal Resolver)를 통해 블록체인에 분산형 식별자를 등록한다.
이 때 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자가 폐기용 블록체인에 등록되어 있는지 먼저 확인 하고, 폐기용 블록체인에 없다면 등록용 블록체인에서 검색하고 저장한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 블록체인에 저장하여 블록체인의 기술적 특성을 그대로 유지하고 이용할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 신원 정보 폐기에 따른 폐기정보는 전용 폐기용 블록체인에 저장하는 '이중 블록체인 구조'를 가진다.
자기 주권 신원 정보 분할 관리 장치(10)는 등록용 블록체인과 폐기용 블록체인을 분리하여 유지하므로, 응답 시간을 줄일 수 있고, 한번 등록된 정보는 번복되거나 변경이 불가능한 블록체인의 특성을 이용해 위변조 공격을 방어하면서, 등록된 정보는 변경이나 삭제가 불가능한 블록체인의 특성을 극복하고 정보를 갱신할 수 있다. 또한 자기 주권 신원 정보 분할 관리 장치(10)는 등록과 폐기의 절차가 분리되어 있어 휴먼 에러와 같은 사회공학적 공격에 대한 방어가 용이하다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 폐기의 요건에 따라 폐기용 블록체인에 분산형 식별자가 폐기되었음을 기록하여 관리할 수 있다. 분산형 식별자 폐기의 요건은 등록된 분산형 식별자의 변경 사항 발생, 잘못된 분산형 식별자, 분산형 식별자의 유효 기간 만료, 분산형 식별자 생성 시에 사용되는 개인키의 유효기간 만료, 키 노출, 키 위변조 공격 등으로 변경되는 경우일 수 있다.
기존 DB를 이용해 신원 정보를 관리하는 방법은 신원 정보 폐기 상황에 DB의 해당 필드값을 변경하면 되므로 손쉽게 기술적 대응이 가능하지만, 관리자 등의 제3자에 의해 변경이 가능하다는 관점에서 정상을 가장한 공격에 취약할 수 있다. 하지만 자기 주권 신원 정보 분할 관리 장치(10)는 폐기 정보도 별도의 블록체인에서 관리하므로 위변조는 불가능하고 신원 정보를 갱신할 수 있다.
다시 도 2를 참조하면, 신원정보부(200)는 사용자의 요청에 따라 사용자의 신원을 증명할 수 있는 사용자만의 개인 정보를 기반으로 분산형 식별자(DID, Decentralized Identifier)를 생성할 수 있다.
신원정보부(200)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자(DID)를 폐기 정보를 관리한다. 자세히 설명하면 신원정보부(200)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자(DID)를 삭제하거나 변경할 수 없기 때문에 폐기용 분산형 식별자 DID 를 블록체인에 등록할 수 있다. 블록체인은 기술적 특성 상 한번 등록된 정보는 변경이 불가능하기 때문에 무결성을 가진다. 하지만 분산형 식별자 DID의 개인키가 변경되는 경우 기존의 분산형 식별자 DID를 삭제하고 새로운 분산형 식별자 DID를 생성해야 하므로 분사형 식별자 DID 정보는 변경이 되어야 한다. 따라서 신원정보부(200)는 갱신되거나 변경되거나 분실되어 사용이 불가능한 분산형 식별자(DID)를 폐기용 블록체인에 등록하여 폐기된 분산형 식별자로 관리할 수 있다.
도 7을 참조하면, 신원정보부(200)는 등록관리부(210) 및 폐기관리부(220)를 포함한다.
등록관리부(210)는 분산형 식별자(DID)의 등록 정보를 관리한다. 자세히 설명하면 등록관리부(210)는 분산형 식별자 DID를 등록용 블록체인에 등록한다.
폐기관리부(220)는 변경되거나 더 이상 유효하지 않은 분산형 식별자(DID)의 폐기 정보를 관리한다. 자세히 설명하면 폐기관리부(220)는 변경되거나 더 이상 유효하지 않은 분산형 식별자 DID 를 폐기용 블록체인에 등록한다. 자세히 설명하면 폐기관리부(220)는 더 이상 신원을 증명할 수 없게 된 해당 분산형 식별자 DID를 폐기 정보가 포함된 폐기용 블록체인에 등록한다. 폐기관리부(220)는 더 이상 사용할 수 없는 분산형 식별자 DID를 이용한 인증 요청이 있는 경우 폐기된 정보임을 확인하고 전달할 수 있다.
인증부(300)는 분산형 식별자(DID) 정보가 유효한 정보인지 검증할 수 있다.
도 8을 참조하면 자기 주권 신원 정보 분할 관리 장치(10)는 생성된 분산형 식별자가 다양한 원인으로 정보가 갱신되는 경우 해당 분산형 식별자를 폐기용 블록체인에 등록하여 더 이상 정보가 유효하지 않음은 확인할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자를 삭제하거나 변경할 수 없으므로 단계 S810에서 폐기 분산형 식별자 폐기 요청을 수신할 수 있다.
단계 S820에서 자기 주권 신원 정보 분할 관리 장치(10)는 폐기 요청된 분산형 식별자 정보를 폐기용 블록체인에 등록한다.
단계 S830에서 자기 주권 신원 정보 분할 관리 장치(10)는 요청에 따라 생성된 분산형 식별자를 생성한다.
단계 S840에서 자기 주권 신원 정보 분할 관리 장치(10)는 생성된 분산형 식별자를 등록용 블록체인에 등록할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 인증 요청이 발생하면 폐기용 블록체인 및 등록용 블록체인을 검색하여 유효한 분산형 식별자인지 검증할 수 있다.
도 9 내지 도 12는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 분산형 식별자를 관리하는 예시 화면들이다.
도 9는 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 등록 요청을 수행하는 예시 순서도이다.
도 9를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S910에서 사용자 또는 기관으로부터 분산형 식별자 등록을 요청을 받는다.
단계 S920에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버(Universal Resolver)를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다. 유니버셜 리졸버는, DID 변환기, B/C 관리, 블록체인APIs 등으로 구성할 수 있다.
단계 S930에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 분산형 식별자를 등록 가능하다는 조회결과를 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 이미 등록된 유효한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다. 폐기된 분산형 식별자는 더 이상 사용할 수 없다.
조회 결과 등록 가능한 경우 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S940에서 등록용 블록체인에 분산형 식별자를 등록할 수 있다.
단계 S950에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 등록용 블록체인에 등록 후 결과를 전송한다.
도 10은 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 폐기 요청을 수행하는 예시 순서도이다.
도 10을 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1010에서 사용자 또는 기관으로부터 분산형 식별자 폐기 요청을 수신한다.
단계 S1020에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1030에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 폐기 가능한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 등록된 분산형 식별자가 아님을 조회결과로 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다.
조회 결과 폐기 가능한 경우 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1040에서 폐기용 블록체인에 분산형 식별자를 등록할 수 있다
단계 S1050에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 폐기용 블록체인에 등록 후 결과를 전송한다.
도 11은 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 조회 요청을 수행하는 예시 순서도이다.
도 11을 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1110에서 사용자 또는 기관으로부터 분산형 식별자 조회 요청을 수신한다.
단계 S1120에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1130에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1140에서 분산형 식별자의 조회 결과를 전송한다.
자세히 설명하면, 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 유효한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 등록이 가능한 분산형 식별자로 조회결과로 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다.
도 12는 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 검증 요청을 수행하는 예시 순서도이다.
도 12를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1210에서 사용자 또는 기관으로부터 분산형 식별자 또는 분산형 식별자 문서의 검증 요청을 수신한다.
단계 S1220에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1230에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보 또는 분산형 식별자 문서를 조회한다.
유효한 분산형 식별자가 있다면 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1240에서 분산형 식별자 또는 분산형 식별자 문서 정보를 전송한다.
상술한 자기 주권 신원 정보 분할 관리 방법은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 전이형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 전이식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시 예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시 예 들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
10: 자기 주권 신원 정보 분할 관리 장치
100: 키 관리부
110: 분할부
120: 복원부
130: 백업부
200: 신원정보부
210: 등록관리부
220: 폐기관리부
300: 인증부

Claims (6)

  1. 분산형 식별자와 연관된 개인키를 관리하는 키 관리부;
    상기 분산형 식별자를 생성하고 블록체인에 등록하는 신원정보부; 및
    상기 분산형 식별자가 유효한지 검증하는 인증부를 포함하는
    자기 주권 신원 정보 분할 관리 장치.
  2. 제1항에 있어서,
    상기 키 관리부는
    비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 분할부;
    설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 복원부; 및
    백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 백업부를 포함하는
    자기 주권 신원 정보 분할 관리 장치.
  3. 제2항에 있어서
    상기 백앤드 서버 플랫폼은 하드웨어 암호 모듈 저장소인 자기 주권 신원 정보 분할 관리 장치.
  4. 자기 주권 신원 정보 분할 관리 장치가 수행하는 자기 주권 신원 정보 분할 관리 방법에 있어서,
    비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 단계;
    설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 단계 및
    백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 단계를 포함하는 자기 주권 신원 정보 분할 관리 방법.
  5. 제4항에 있어서,
    상기 백앤드 서버 플랫폼은 하드웨어 암호 모듈 저장소인 자기 주권 신원 정보 분할 관리 방법.
  6. 제4항 및 제5항의 자기 주권 신원 정보 분할 관리 방법 중 어느 하나를 실행하고 컴퓨터가 판독 가능한 기록매체에 기록된 컴퓨터 프로그램.
KR1020210113357A 2021-07-19 2021-08-26 자기 주권 신원 정보 분할 관리 장치 및 방법 KR102563183B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210094450 2021-07-19
KR20210094450 2021-07-19

Publications (2)

Publication Number Publication Date
KR20230013591A KR20230013591A (ko) 2023-01-26
KR102563183B1 true KR102563183B1 (ko) 2023-08-04

Family

ID=85110954

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210113357A KR102563183B1 (ko) 2021-07-19 2021-08-26 자기 주권 신원 정보 분할 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102563183B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139645B1 (ko) 2020-04-13 2020-07-30 주식회사 한국정보보호경영연구소 블록체인 기반의 신원증명 시스템 및 그 구동방법
KR102179498B1 (ko) 2020-04-13 2020-11-17 주식회사 한국정보보호경영연구소 Did 기반의 스마트 모임 통장 서비스 제공 방법 및 그 시스템
KR102197218B1 (ko) 2019-07-31 2021-01-04 주식회사 티이이웨어 분산 id와 fido 기반의 블록체인 신분증을 제공하는 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3862956B1 (en) * 2016-02-23 2024-01-03 nChain Licensing AG Secure multiparty loss resistant storage and transfer of cryptographic keys for blockchain based systems in conjunction with a wallet management system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102197218B1 (ko) 2019-07-31 2021-01-04 주식회사 티이이웨어 분산 id와 fido 기반의 블록체인 신분증을 제공하는 시스템 및 방법
KR102139645B1 (ko) 2020-04-13 2020-07-30 주식회사 한국정보보호경영연구소 블록체인 기반의 신원증명 시스템 및 그 구동방법
KR102179498B1 (ko) 2020-04-13 2020-11-17 주식회사 한국정보보호경영연구소 Did 기반의 스마트 모임 통장 서비스 제공 방법 및 그 시스템

Also Published As

Publication number Publication date
KR20230013591A (ko) 2023-01-26

Similar Documents

Publication Publication Date Title
EP3920119A1 (en) Methods for splitting and recovering key, program product, storage medium, and system
US11698958B2 (en) Systems and methods for device and user authorization
WO2020062668A1 (zh) 一种身份认证方法、身份认证装置及计算机可读介质
CN100454274C (zh) 利用验证过的打印机密钥的安全打印
JP2019506103A (ja) 信頼できるアイデンティティを管理する方法
EP1914951A1 (en) Methods and system for storing and retrieving identity mapping information
JP2006333520A (ja) マルチステップディジタル署名方法およびそのシステム
US11405198B2 (en) System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment
US11121876B2 (en) Distributed access control
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
US11838405B1 (en) Blockchain delegation
KR102354758B1 (ko) 영지식 증명 기술 기반 분산 디지털 인증 시스템 및 방법
Shen et al. SecDM: Securing data migration between cloud storage systems
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
CN113271207A (zh) 基于移动电子签名的托管密钥使用方法、系统、计算机设备及存储介质
KR102563183B1 (ko) 자기 주권 신원 정보 분할 관리 장치 및 방법
KR102480400B1 (ko) 자기 주권 신원 인증 장치 및 방법
US11729159B2 (en) System security infrastructure facilitating protecting against fraudulent use of individual identity credentials
Ramprasath et al. Protected Data Sharing using Attribute Based Encryption for Remote Data Checking in Cloud Environment
KR20030097550A (ko) 인가된 키 복구 서비스 시스템 및 그 방법
CN114996694A (zh) 一种数据融合方法、设备、系统及存储介质
KR102289478B1 (ko) 보안키 관리 방법 및 보안키 관리 서버
KR20210129981A (ko) 가로채기 해킹 공격 방지를 위한 블록체인 기반 인증 시스템 및 방법
WO2023135879A1 (ja) 計算機システム及び鍵交換方法
WO2024014017A1 (ja) メッセージ提示システム、提示用装置、及びメッセージ提示方法

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant