KR20180003113A - 서버, 디바이스 및 이에 의한 사용자 인증 방법 - Google Patents

서버, 디바이스 및 이에 의한 사용자 인증 방법 Download PDF

Info

Publication number
KR20180003113A
KR20180003113A KR1020160082529A KR20160082529A KR20180003113A KR 20180003113 A KR20180003113 A KR 20180003113A KR 1020160082529 A KR1020160082529 A KR 1020160082529A KR 20160082529 A KR20160082529 A KR 20160082529A KR 20180003113 A KR20180003113 A KR 20180003113A
Authority
KR
South Korea
Prior art keywords
biometric information
information
complex
user
complex biometric
Prior art date
Application number
KR1020160082529A
Other languages
English (en)
Inventor
유정석
전유인
김종철
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020160082529A priority Critical patent/KR20180003113A/ko
Publication of KR20180003113A publication Critical patent/KR20180003113A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

디바이스에 의한 사용자 인증 방법에 있어서, 입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 디바이스의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 단계; 공개키와 함께 제 1 복합 생체 정보를 저장 서버로 전송하는 단계; 입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 디바이스의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성하는 단계; 및 비밀키로 제 2 복합 생체 정보를 암호화하여 관리 서버로 전송하는 단계를 포함하되, 저장 서버로부터 공개키와 제 1 복합 생체 정보를 수신한 관리 서버에 의해, 비밀키로 암호화된 제 2 복합 생체 정보는 공개키로 복호화되고, 복호화된 제 2 복합 생체 정보와 제 1 복합 생체 정보와의 비교 결과에 기초하여 제 2 사용자가 인증될 수 있는 것을 특징으로 하는 본 발명의 일 실시예에 따른 사용자 인증 방법이 개시된다.

Description

서버, 디바이스 및 이에 의한 사용자 인증 방법{SERVER, DEVICE AND METHOD FOR AUTHENTICATING USER}
본 발명은 사용자 인증 분야에 관한 것이다. 보다 구체적으로, 본 발명은 사용자의 생체 정보를 이용하여 사용자를 인증하는 방법 및 장치에 관한 것이다.
스마트폰 등의 모바일 기기의 보급과 사용률이 높아지면서, 모바일 기기를 이용한 물품의 구매와 결제가 활발히 이루어지고 있다. 이러한 흐름에 맞추어 금융을 뜻하는 Finance와 스마트폰 기술을 뜻하는 Technology를 결합한 FinTech(핀테크)라는 신조어까지 탄생하였으며, 각 스마트폰의 제조사 및 통신사뿐만 아니라 포털 서비스 업체들 및 온라인 유통 서비스 업체까지 모바일 간편 결제 시장에 진출을 하면서 국내/외 핀테크 시장은 더욱 활성화되고 그 규모가 커지고 있다.
또한 국내/외 핀테크 시장의 규모가 확대됨에 따라, 기존 은행과 증권사 등의 금융권에서도 핀테크를 적용한 서비스들을 활발히 출시하고 있다. 특히, 금융 거래 시 공인인증서의 의무 사용 조항이 폐지되어 신규 계좌 개설 및 금융 거래 시 비대면 본인인증 및 대체 인증 수단을 마련하기 위해 금융권에서 핀테크를 접목한 신규 서비스들을 출시하거나 고려하고 있다.
이러한 핀테크 서비스에서 사용자를 확인하고 결제를 진행하는데 활용되는 인증 방식은 패스워드 또는 핀(PIN)코드 등을 활용한 지식 기반 인증 방식에서 NFC 카드 또는 OTP 카드 매체 등을 활용한 소지 기반 인증으로 변화되었다. 기존의 지식 기반 인증 방식의 약점인 비밀번호 탈취 및 해킹이 가능한 약한 보안성 때문에 소지 기반 인증 방식에 대한 활발한 기술 개발을 통해 핀테크 서비스에 새로이 적용되었다. 하지만 강한 보안성을 제공하는 소지 기반 인증 방식은 실제 사용상의 불편함과 함께 인증 카드 매체의 분실에 대한 우려로 인하여 사용자들로부터 큰 호응을 받지는 못하였다.
이에 따라, 기존 인증 방식의 단점인 사용상 불편함과 약한 보안성을 해결하여 매우 간편하게 사용할 수 있으면서도 강력한 사용자 인증 방법을 제공할 수 있는 생체 기반 인증 방식이 새롭게 대두되면서, 국내 금융권 및 핀테크 제공 사업자뿐만 아니라 해외 금융 사업자들도 생체 기반 인증 방식을 매우 활발하게 도입하는 중이다.
생체 기반 인증 방식에 이용되는 사용자의 생체 정보는 지문, 얼굴, 음성, 정맥, 홍채 및 심장박동과 행위(Gesture) 인식 등 하나 이상의 고유한 신체적, 행동적 특징을 포함한다. 하지만 현재 이용되고 있는 생체 기반 인증 방식에는 다음의 두 가지의 단점이 존재한다.
첫 째, 생체 인증 시스템을 중앙 집중형 구조로 구축하여 생체 정보가 중앙 서버에 보관된다. 사용자의 고유한 신체적, 행동적 특징 정보를 나타내는 생체 정보는 수정 및 갱신이 불가능한 특징을 지니고 있으므로, 타인이 생체 정보를 유출하거나 사용자의 생체 정보가 복제되었을 경우 돌이킬 수 없는 대형 보안 사고가 발생할 수 있다는 단점이 있다.
또한, 이러한 중앙 집중형 생체 인증 서버를 해킹 및 보안 위협으로부터 방어하기 위하여 고가의 보안 솔루션을 도입하여 운영해야 하므로 높은 시스템 유지비 및 운영비가 필요할 수 있으며, 중앙 생체 인증 시스템의 오류 또는 장애 발생 시 생체 인증 시스템 전체에 큰 영향을 끼칠 수 있다는 단점도 존재한다.
둘째, 생체 정보의 위조를 통한 부정 사용 시도가 가능하다. 개인의 고유한 생체 정보를 탈취하거나 복제하여 생체 정보를 위조하고자 하는 시도가 꾸준히 증가하고 있으며, 실리콘으로 지문을 위조하여 인식까지 가능하도록 실험한 결과가 뉴스를 통해서도 방영된 바도 있다. 이러한 위조 생체 정보가 해킹 또는 부정한 방법으로 이용된다면, 그에 따른 사회적인 손해와 영향이 매우 클 수 있다.
본 발명의 일 실시예에 따른 서버, 디바이스 및 이에 의한 사용자 인증 방법 은 보안성이 향상된 사용자 인증 방법을 제공하는 것을 목적으로 한다.
또한, 본 발명의 일 실시예에 따른 서버, 디바이스 및 이에 의한 사용자 인증 방법은 서버에 저장된 데이터 또는 네트워크를 통해 송수신되는 데이터가 외부로 유출되더라도 사용자의 생체 정보는 노출되지 않게 하는 것을 목적으로 한다.
또한, 본 발명의 일 실시예에 따른 서버, 디바이스 및 이에 의한 사용자 인증 방법은 사용자 인증의 정확도를 향상시키는 것을 목적으로 한다.
본 발명의 일 실시예에 따른 사용자 인증 방법은,
디바이스에 의한 사용자 인증 방법에 있어서, 입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 단계; 공개키와 함께 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계; 입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성하는 단계; 및 비밀키로 상기 제 2 복합 생체 정보를 암호화하여 관리 서버로 전송하는 단계를 포함하되, 상기 저장 서버로부터 공개키와 제 1 복합 생체 정보를 수신한 관리 서버에 의해, 상기 비밀키로 암호화된 제 2 복합 생체 정보는 상기 공개키로 복호화되고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여 상기 제 2 사용자가 인증될 수 있다.
상기 제 1 복합 생체 정보를 생성하는 단계는, 상기 제 1 특징 정보에 대응하는 제 1 해시 값을 생성하는 단계; 및 상기 제 1 해시 값과 상기 디바이스의 식별 정보를 해싱(hashing)하여 상기 제 1 복합 생체 정보를 생성하는 단계를 포함할 수 있다.
상기 제 1 해시 값은, 상기 제 1 특징 정보를 해싱하여 생성되거나, 상기 제 1 특징 정보에 매핑된 식별값을 해싱하여 생성될 수 있다.
상기 제 1 복합 생체 정보를 생성하는 단계는, 상기 제 1 특징 정보를 복수 개로 분할하고, 복수의 제 1 분할 특징 정보 각각과 상기 디바이스의 식별 정보에 기초하여 복수의 제 1 복합 생체 정보를 생성하는 단계를 포함하고, 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계는, 상기 복수의 제 1 복합 생체 정보를 상기 저장 서버로 전송하는 단계를 포함하고, 상기 제 2 복합 생체 정보를 생성하는 단계는, 상기 제 2 특징 정보를 복수 개로 분할하고, 복수의 제 2 분할 특징 정보 중 적어도 하나의 제 2 분할 특징 정보 각각과 상기 디바이스의 식별 정보에 기초하여 상기 제 2 복합 생체 정보를 생성하는 단계를 포함하되, 상기 사용자 인증 방법은, 상기 제 2 복합 생체 정보와 비교할 제 1 복합 생체 정보를 나타내는 식별 값을 상기 저장 서버로 전송하여, 상기 복수의 제 1 복합 생체 정보 중 상기 식별 값에 대응하는 제 1 복합 생체 정보가 상기 저장 서버로부터 상기 관리 서버로 전송되도록 하는 단계를 더 포함할 수 있다.
상기 사용자 인증 방법은, 상기 디바이스에 저장된 복수의 제 1 분할 특징 정보 각각과 상기 복수의 제 2 분할 특징 정보 각각 사이의 유사도에 기초하여 상기 적어도 하나의 제 2 분할 특징 정보를 선택하는 단계를 더 포함할 수 있다.
상기 저장 서버는, 블록 체인(block chain) 서버를 포함하되, 상기 공개키 및 상기 제 1 복합 생체 정보는 상기 블록 체인을 구성하는 서버 각각에 저장될 수 있다.
상기 공개키와 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계는, 상기 공개키에 기초하여 상기 블록 체인 상의 저장 주소를 생성하는 단계; 및 상기 저장 주소 정보를 상기 저장 서버로 전송하고, 상기 디바이스에 저장하는 단계를 포함하되, 상기 사용자 인증 방법은, 상기 제 2 사용자의 생체 정보가 입력된 후, 상기 저장된 저장 주소 정보를 상기 저장 서버로 전송하여, 상기 공개키 및 상기 제 1 복합 생체 정보가 상기 저장 서버로부터 상기 관리 서버로 전송되도록 하는 단계를 더 포함할 수 있다.
상기 사용자 인증 방법은, 상기 제 1 특징 정보 및 상기 비밀키를 상기 디바이스의 보안 영역에 저장하는 단계를 더 포함할 수 있다.
상기 생체 정보는, 음성 데이터, 지문 데이터, 안면 이미지 데이터 및 홍채 이미지 데이터 중 적어도 하나를 포함할 수 있다.
본 발명의 다른 실시예에 따른 사용자 인증 방법은,
관리 서버에 의한 사용자 인증 방법에 있어서, 저장 서버로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 상기 제 1 디바이스로부터 전송되어 상기 저장 서버에 저장된 공개키를 수신하는 단계; 제 2 디바이스로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스의 식별 정보에 기초하여 생성된 후, 상기 제 2 디바이스의 비밀키로 암호화된 제 2 복합 생체 정보를 수신하는 단계; 상기 비밀키로 암호화된 제 2 복합 생체 정보를 상기 공개키로 복호화하여 상기 제 2 디바이스를 인증하는 단계; 및 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여, 상기 제 2 사용자를 인증하는 단계를 포함할 수 있다.
상기 제 1 복합 생체 정보는, 상기 제 1 특징 정보로부터 분할된 복수의 제 1 분할 특징 정보 각각과 상기 제 1 디바이스의 식별 정보에 기초하여 생성된 복수의 제 1 복합 생체 정보 중 적어도 하나를 포함하며, 상기 제 2 복합 생체 정보는, 상기 제 2 특징 정보로부터 분할된 복수의 제 2 분할 특징 정보 중 적어도 하나의 제 2 분할 특징 정보 각각과 상기 제 2 디바이스의 식별 정보에 기초하여 생성된 적어도 하나의 제 2 복합 생체 정보를 포함할 수 있다.
본 발명의 일 실시예에 따른 디바이스 장치는,
사용자 인증을 위한 디바이스 장치에 있어서, 입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보를 획득하는 생체 정보 처리부; 상기 제 1 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 복합 생체 정보 생성부; 및 공개키와 함께 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 통신부를 포함하고, 상기 생체 정보 처리부는, 입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보를 획득하고, 상기 복합 생체 정보 생성부는, 상기 제 2 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성하고, 상기 통신부는, 비밀키로 암호화된 상기 제 2 복합 생체 정보를 관리 서버로 전송하되, 상기 저장 서버로부터 공개키와 제 1 복합 생체 정보를 수신한 관리 서버에 의해, 상기 비밀키로 암호화된 제 2 복합 생체 정보는 상기 공개키로 복호화되고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여 상기 제 2 사용자가 인증될 수 있다.
본 발명의 일 실시예에 따른 관리 서버는,
저장 서버로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 상기 제 1 디바이스로부터 전송되어 상기 저장 서버에 저장된 공개키를 수신하고, 제 2 디바이스로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스의 식별 정보에 기초하여 생성된 후, 상기 제 2 디바이스의 비밀키로 암호화된 제 2 복합 생체 정보를 수신하는 통신부; 및 상기 비밀키로 암호화된 제 2 복합 생체 정보를 상기 공개키로 복호화하여 상기 제 2 디바이스를 인증하고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여, 상기 제 2 사용자를 인증하는 인증부를 포함할 수 있다.
본 발명의 일 실시예에 따른 서버, 디바이스 및 이에 의한 사용자 인증 방법이 달성할 수 있는 일부의 효과는 다음과 같다.
i) 보안성이 향상된 인증 방법을 제공할 수 있다.
ii) 서버에 저장된 데이터 또는 네트워크를 통해 송수신되는 데이터가 외부로 유출되더라도 사용자의 생체 정보는 노출되지 않게 할 수 있다.
iii) 사용자 인증의 정확도를 향상시킬 수 있다.
다만, 본 발명의 일 실시예에 따른 서버, 디바이스 및 이에 의한 사용자 인증 방법이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 디바이스, 관리 서버 및 저장 서버를 도시하는 개략적인 도면이다.
도 2는 본 발명의 일 실시예에 따른 디바이스에 의한 사용자 인증 방법을 나타내는 순서도이다.
도 3(a) 내지 도 3(c)는 본 발명의 일 실시예에 따라 생체 정보로부터 특징 정보를 추출하는 방법을 설명하기 위한 도면이다.
도 4는 특징 정보로부터 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 다른 실시예에 따른 복수의 제 1 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다.
도 6은 본 발명의 다른 실시예에 따른 적어도 하나의 제 2 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시예에 따른 관리 서버에 의한 사용자 인증 방법을 나타내는 순서도이다.
도 8은 본 발명의 일 실시예에 따른 디바이스의 구성을 나타내는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명은 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 '~부(유닛)', '모듈' 등으로 표현되는 구성요소는 2개 이상의 구성요소가 하나의 구성요소로 합쳐지거나 또는 하나의 구성요소가 보다 세분화된 기능별로 2개 이상으로 분화될 수도 있다. 또한, 이하에서 설명할 구성요소 각각은 자신이 담당하는 주기능 이외에도 다른 구성요소가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성요소 각각이 담당하는 주기능 중 일부 기능이 다른 구성요소에 의해 전담되어 수행될 수도 있음은 물론이다.
한편, 본 명세서에서 '제 1 사용자'는 저장 서버에 자신의 생체 정보를 등록하는 사용자를 의미하며, '제 1 디바이스'는 제 1 사용자가 이용하는 디바이스를 의미한다. 또한, '제 2 사용자'는 관리 서버로부터 인증을 받고자 하는 사용자를 의미하며, '제 2 디바이스'는 제 2 사용자가 이용하는 디바이스를 의미한다. 제 1 사용자와 제 2 사용자, 및 제 1 디바이스와 제 2 디바이스는 각각 서로 간에 동일할 수 있고, 서로 간에 상이할 수도 있다.
이하에서는, 도면을 참조하여 본 발명의 기술적 사상에 따른 예시적인 실시예들에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 디바이스(100), 관리 서버(200) 및 저장 서버(300)를 도시하는 개략적인 도면이다.
도 1을 참조하면, 디바이스(100)는 생체 정보를 저장 서버(300)에 등록하고자 하는 사용자 또는 관리 서버(200)로부터 인증을 받고자 하는 사용자가 사용하는 기기로서, 예를 들어, 스마트폰, 테블릿 PC, 노트북, 데스크탑 컴퓨터, 스마트워치 등의 네트워크 통신 기능을 갖는 다양한 종류의 기기를 포함할 수 있다.
저장 서버(300)는 사용자가 등록한 생체 정보를 저장한다. 본 발명의 일 실시예에서 저장 서버(300)는 블록 체인 서버로 구현될 수 있다. 본 발명에 따른 블록 체인 서버는 일종의 프라이빗 블록 체인(Private Blockchain) 서버로서, 기본적인 프로토콜과 기능 및 운영 방식 등은 기존의 비트코인 블록 체인(Bitcoin Blockchain)과 동일할 수 있다.
관리 서버(200)는 디바이스(100)로부터 전송되는 생체 정보와, 저장 서버(300)에 저장된 생체 정보를 비교하여 사용자를 인증한다.
도 1은 관리 서버(200)와 저장 서버(300)가 물리적으로 분리되어 있는 것으로 도시하고 있지만, 관리 서버(200)와 저장 서버(300)는 하나의 서버로 구현될 수도 있다.
디바이스(100), 관리 서버(200) 및 저장 서버(300)는 서로 간에 네트워크로 연결되어 통신을 할 수 있다. 여기서, 네트워크는 유선 네트워크와 무선 네트워크를 포함할 수 있으며, 구체적으로, 근거리 네트워크(LAN: Local Area Network), 도시권 네트워크(MAN: Metropolitan Area Network), 광역 네트워크(WAN: Wide Area Network) 등의 다양한 네트워크를 포함할 수 있다. 또한, 네트워크는 공지의 월드 와이드 웹(WWW: World Wide Web)을 포함할 수도 있다. 그러나, 본 발명에 따른 네트워크는 상기 열거된 네트워크에 국한되지 않고, 공지의 무선 데이터 네트워크나 공지의 전화 네트워크, 공지의 유무선 텔레비전 네트워크를 적어도 일부로 포함할 수도 있다.
본 발명의 일 실시예에서 디바이스(100), 관리 서버(200) 및 저장 서버(300)는 서로 간에 통신을 할 때, 데이터의 안전한 송수신을 위해 SSL(Secure Socket Layer) 등의 전송 보안 방식을 적용할 수 있다.
이하에서는, 도 2 내지 도 4를 참조하여, 본 발명의 일 실시예에 따른 디바이스(100)의 사용자 인증 방법을 설명한다.
도 2는 본 발명의 일 실시예에 따른 디바이스(100)에 의한 사용자 인증 방법을 나타내는 순서도이고, 도 3(a) 내지 도 3(c)는 본 발명의 일 실시예에 따라 생체 정보로부터 특징 정보를 추출하는 방법을 설명하기 위한 도면이다. 또한, 도 4는 특징 정보로부터 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다.
도 2에서 S210 단계 및 S220 단계는, 제 1 사용자가 자신의 생체 정보를 저장 서버(300)에 등록하는 과정을 나타내며, S230 내지 S250 단계는, 제 2 사용자의 인증이 이루어지는 과정을 나타낸다.
S210 단계에서, 디바이스(100)는 입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 디바이스(100)의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성한다.
상기 생체 정보는 제 1 사용자로부터 디바이스(100)로 직접 입력될 수 있고, 또는 디바이스(100)에 연결된 다른 기기로 입력된 생체 정보가 디바이스(100)로 전송될 수도 있다. 상기 생체 정보는 지문, 음성, 안면 이미지 및 홍채 이미지 중 적어도 하나를 포함할 수 있으며, 디바이스(100)가 생체 정보로부터 특징 정보를 추출하는 방법은 도 3(a) 내지 도 3(c)에 도시되어 있다.
도 3(a)에 도시된 바와 같이, 디바이스(100)로 제 1 사용자의 지문이 입력되면, 디바이스(100)는 지문을 전처리한 후, 전처리된 지문으로부터 획득되는 여러 특징점을 제 1 특징 정보(310)로 추출할 수 있다.
또한, 도 3(b)에 도시된 바와 같이, 디바이스(100)로 제 1 사용자의 음성이 입력되면, 디바이스(100)는 음성 데이터를 전처리한 후, 전처리된 음성 데이터로부터 음성 특징을 나타내는 제 1 특징 정보(320)를 추출할 수 있다.
또한, 도 3(c)에 도시된 바와 같이, 디바이스(100)로 제 1 사용자의 안면 이미지가 입력되면, 디바이스(100)는 안면 이미지를 전처리한 후 전처리된 안면 이미지로부터 획득되는 여러 특징점을 제 1 특징 정보(330)로 추출할 수 있다.
지문, 음성, 안면 이미지 및 홍채 이미지 등으로부터 특징점 또는 특징 벡터를 추출하는 방안은 음성 처리 분야 및 이미지 처리 분야 등에서 다양하게 이용되고 있는바, 상세한 설명은 생략한다.
또한, 디바이스(100)가 제 1 특징 정보와 디바이스(100)의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 방안은 도 4에 도시되어 있다.
도 4를 참조하면, 디바이스(100)는 제 1 특징 정보 및 제 1 특징 정보에 할당되는 식별 값 중 적어도 하나에 SHA256 등의 해시(hash) 알고리즘을 적용하여 제 1 특징 정보에 대응하는 제 1 해시 값을 생성한다.
그리고, 디바이스(100)는 제 1 해시 값과 디바이스(100)의 식별 정보를 결합시킨 후, 결합된 결과를 다시 해싱(hashing)하여 제 1 복합 생체 정보를 획득한다. 여기서, 디바이스(100)의 식별 정보는 디바이스(100)를 특정할 수 있는 다양한 정보로서, 예를 들어, 디바이스(100)의 일련번호인 IMEI(international mobile equipment identity), UDID(unique device identifier), 유심 칩의 일련번호, 네트워크 인터페이스 유닛의 MAC 주소 등을 포함할 수 있으나, 이에 한정되는 것은 아니다.
또한, 디바이스(100)는 제 1 해시 값과 디바이스(100)의 식별 정보를 결합시킬 때, 다양한 방식을 이용할 수 있다. 예를 들어, 디바이스(100)는 제 1 해시 값과 디바이스(100)의 식별 정보의 논리합(XOR)의 결과 값, 제 1 해시 값과 디바이스(100)의 식별 정보를 단순히 연결한 결과 값 등에 해시 알고리즘을 적용할 수 있다.
해시 알고리즘은 비가역적인 특성을 가지므로, 제 1 복합 생체 정보에 기초하여 제 1 특징 정보나 디바이스(100)의 식별 정보를 추출하는 것은 불가능하다.
다시 도 2를 보면, S220 단계에서, 디바이스(100)는 제 1 복합 생체 정보와 공개키를 저장 서버(300)로 전송한다. 디바이스(100)는 공개키와 비밀키를 생성할 수 있다. 예를 들어, 비밀키는 1 내지 n-1 (n은 타원곡선 암호법(Elliptic curve cryptography)의 위수(order)로 정의된 상수이며, 2256보다 약간 작은 1.158*1077의 값을 가짐) 사이의 숫자 중 무작위로 추출한 256비트의 숫자를 선택하고, 이 숫자가 n-1보다 작은지 체크하여 생성된다. 이렇게 생성된 비밀키를 타원곡선 암호법(Elliptic curve cryptography)에 적용하여 단방향으로 풀어낸 값이 공개키가 된다. 따라서, 비밀키를 이용하여 공개키를 얼마든지 재생성할 수 있지만, 공개키로부터 비밀키를 유추하거나 재생성할 수는 없다는 특징을 갖는다.
여기서 상기 비밀키는 데이터 암호화와 인증을 진행하는 단계에서 핵심적인 역할을 담당하므로, 디비이스(100)의 보안 영역에 저장될 수 있다. 디바이스(100)의 보안 영역은 안정성 보장을 위하여 크게 다음의 세 가지 방법으로 제공되어 지는데, 첫째로 TrustZone 기반의 보안 서비스를 제공하는 TEE(Trusted Execution Environment)의 방식으로 Hardware 기반의 독립된 보안 실행 환경을 제공해주는 방법이 있고, 둘째로 Hardware 기반에 자체 개발한 보안 Software를 결합하여 단말 제조사가 자체적으로 개발 및 제공하는 보안 솔루션이 있으며, 셋째로 단말에 장착되는 별도 메모리 칩인 USIM 혹은 Mobile TPM (Trusted Platform Module)을 기반으로 보안 기능을 제공해 주는 방식이 있다. 본 발명의 실시예에서는 위 방법들에 의해 구현되는 보안 영역뿐만 아니라, 다양한 방식으로 구현되는 보안 영역에 비밀키를 저장할 수 있다.
한편, 전술한 바와 같이, 본 발명의 일 실시예에 따른 저장 서버(300)는 블록 체인 서버로 구현될 수 있는데, 이 경우, 디바이스(100)는 공개키와 제 1 복합 생체 정보를 블록 체인 서버에 저장하기 위해 저장 주소를 생성할 수 있다.
블록 체인 서버 상의 주소를 생성하기 위하여, 디바이스(100)는 공개키에 해시 알고리즘 및 RIPEMD(RACE Integrity Primitives Evaluation Message Digest)을 적용시킨다. 이는 아래의 수학식으로 표현될 수 있다.
[수학식]
A = RIPEMD160(SHA256(K))
(K는 공개키이며, A는 계산의 결과값으로 나온 블록 체인 주소)
산출된 A 값을 Base58Check 인코딩 알고리즘에 적용하여 58개의 문자와 검사합(Checksum)을 이용해서 사람이 읽을 수 있는 문자로 바꾸어 주고, 비슷한 모양의 문자를 쓰지 않음으로써 혼란을 방지하며, 주소의 표기나 항목에 대한 에러가 발생하지 않도록 처리한다.
디바이스(100)가 공개키와 제 1 복합 생체 정보를 저장 서버(300)로 전송할 때, 위의 방법으로 생성된 저장 주소 정보를 블록 체인 서버로 함께 전송하고, 디바이스(100)는 상기 저장 주소 정보를 보안 영역에 저장할 수 있다.
공개키, 제 1 복합 생체 정보 및 저장 주소 정보는 블록 체인을 구성하는 복수의 서버 각각에 저장될 수 있다. 공개키, 제 1 복합 생체 정보 및 저장 주소 정보는 중앙 집중형 서버가 아닌 블록 체인을 구성하는 복수의 서버 각각에 저장됨으로써, 그 무결성이 보증될 수 있으며, 어느 하나의 서버의 동작에 이상이 발생하였더라도 다른 서버가 대신 기능을 할 수 있으므로, 인증 프로세스의 신뢰성을 향상시킬 수 있다.
S230 단계에서, 디바이스(100)는 입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 디바이스(100)의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성한다. 생체 정보로부터 특징 정보를 추출하는 방법 및 복합 생체 정보를 생성하는 방법에 대해서는 전술한 바와 동일하므로, 구체적인 설명은 생략한다.
S240 단계에서, 디바이스(100)는 비밀키로 제 2 복합 생체 정보를 암호화하여 관리 서버(200)로 전송한다. 비밀키로 암호화된 제 2 복합 생체 정보는 전자 서명의 역할을 한다. 저장 서버(300)가 블록 체인 서버로 구현된 경우에는 전술한 저장 주소 정보를 저장 서버(300)로 전송하여, 제 1 사용자의 제 1 복합 생체 정보와 공개키가 관리 서버(200)로 전달되도록 한다.
S250 단계에서, 관리 서버(200)는 저장 서버(300)로부터 전송된 제 1 사용자의 제 1 복합 생체 정보와 공개키, 및 디바이스(100)로부터 수신된 암호화된 제 2 복합 생체 정보를 이용하여 제 2 사용자를 인증하고, 디바이스(100)는 관리 서버(200)로부터 인증 결과를 수신한다.
구체적으로, 관리 서버(200)는 비밀키로 암호화된 제 2 복합 생체 정보를 공개키로 복호화하여 1차적으로 디바이스(100)의 정당성을 인증한다. 공개키와 비밀키는 하나의 디바이스(100)에서 생성된 것이므로, 비밀키로 암호화된 제 2 복합 생체 정보가 미리 등록되어 있는 공개키로 복호화가 가능한지에 따라 정당한 디바이스(100)인지를 인증하는 것이다. 또한, 관리 서버(200)는 복호화된 제 2 복합 생체 정보와 저장 서버(300)로부터 수신된 제 1 복합 생체 정보를 비교하여, 제 2 사용자가 제 1 사용자와 동일한 사용자인지를 인증한다.
본 발명의 일 실시예에 따르면, 사용자에게 민감한 생체 정보, 특징 정보, 디바이스(100) 식별 정보 자체가 저장 서버(300)에 저장되거나, 네트워크를 통해 송수신되는 것이 아니라, 이들의 해시 값, 즉 복합 생체 정보로서 전송 및 송수신되므로, 생체 인증 방법의 보안성이 향상될 수 있다.
한편, 도 2 내지 도 4에서는 제 1 사용자의 제 1 복합 생체 정보와 제 2 사용자의 제 2 복합 생체 정보가 하나씩 생성되고, 이들의 비교를 통해 제 2 사용자의 인증이 이루어지는 것으로 설명하였는데, 구현예에 따라서는 제 1 복합 생체 정보는 복수 개로 생성되고, 이들 중 적어도 일부가 적어도 하나의 제 2 복합 생체 정보에 대비될 수도 있다.
도 5는 본 발명의 다른 실시예에 따른 복수의 제 1 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다. 도 6은 본 발명의 다른 실시예에 따른 적어도 하나의 제 2 복합 생체 정보를 생성하는 방법을 설명하기 위한 도면이다.
도 5(a)를 참조하면, 디바이스(100)는 제 1 사용자의 생체 정보(510)가 입력되면, 생체 정보로부터 제 1 특징 정보를 추출하고, 추출된 제 1 특징 정보를 복수 개로 구분하여 복수의 제 1 분할 특징 정보(520)를 생성할 수 있다. 제 1 특징 정보를 복수 개로 구분하는 방법은 다양할 수 있다. 예를 들어, 지문 및 안면 이미지의 경우, 특징 정보가 추출된 이미지 크기를 균등하게 분할하거나, 또는 특징점의 특성 및 개수 중 적어도 하나를 기반으로 분할할 수 있다. 음성의 경우에는, 특징 정보가 추출된 음성 데이터를 주파수 영역 또는 시간 영역으로 분할할 수도 있다.
상기 복수의 제 1 분할 특징 정보(520)는 디바이스(100)의 보안 영역에 저장될 수 있으며, 저장된 제 1 분할 특징 정보(520)는 제 2 사용자의 제 2 분할 특징 정보와의 1차적인 비교를 위해 이용될 수 있다. 디바이스(100)는 복수의 제 1 분할 특징 정보(520) 각각을 해싱하거나, 복수의 제 1 분할 특징 정보(520) 각각에 매핑된 식별 값을 해싱하여, 복수의 제 1 해시 값(530)을 생성한다. 구현예에 따라서, 복수의 제 1 해시 값(530)을 생성하는 과정은 생략될 수도 있다. 디바이스는 복수의 제 1 분할 특징 정보(520) 또는 복수의 제 1 해시 값(530)과, 디바이스(100)의 식별 정보(540)를 결합한 후, 해싱하여 복수의 제 1 복합 생체 정보(550)를 생성한다. 디바이스(100)는 복수의 제 1 분할 특징 정보(520) 및 복수의 복합 생체 정보(550) 각각에 서로 대응하는 식별 값을 매핑시킬 수 있다. 동일한 식별 값을 갖는 제 1 분할 특징 정보와 복합 생체 정보는 서로 간에 대응한다는 것을 알 수 있다.
앞서 설명한 바와 같이, 디바이스(100)는 제 1 분할 특징 정보(520)와 공개키 및 저장 주소 정보(저장 서버(300)가 블록 체인 서버인 경우)를 저장 서버(300)로 전송하는데, 도 5(b)는 저장 서버(300)로 전송되어 저장된 정보들을 도시하고 있다.
도 6을 참조하면, 디바이스(100)는 제 2 사용자의 생체 정보(610)로부터 제 2 특징 정보를 추출하고, 도 5(a)와 마찬가지로 제 2 특징 정보를 분할하여 복수의 제 2 분할 특징 정보(620)를 생성할 수 있다. 복수의 제 2 분할 특징 정보(620) 각각에는 식별 값이 매핑될 수 있는데, 이들 식별 값은 복수의 제 1 분할 특징 정보(520) 각각에 매핑된 식별 값에 대응될 수 있다. 예를 들어, P-1의 식별 값을 갖는 제 1 분할 특징 정보와 P-1의 식별 값을 갖는 제 2 분할 특징 정보는 생체 정보 중 서로 대응하는 영역 또는 구간에서의 특징 정보를 나타낼 수 있다.
디바이스(100)는 복수의 제 2 분할 특징 정보(620) 각각과 디바이스(100)에 저장된 제 1 분할 특징 정보(610) 각각 사이의 유사도에 기초하여 복수의 제 2 분할 특징 정보(620) 중 적어도 하나의 제 2 분할 특징 정보를 선택한다. 예를 들어, 디바이스(100)는 유사도가 가장 큰 제 2 분할 특징 정보, 소정 값 이상의 유사도를 갖는 제 2 분할 특징 정보 또는 유사도가 큰 순서대로 소정 개수의 제 2 분할 특징 정보를 선택할 수 있는 것이다.
디바이스(100)가 복수의 제 2 분할 특징 정보 중 복수의 제 1 분할 특징 정보와의 유사도에 기초하여 적어도 하나의 제 2 분할 특징 정보를 선택하는 이유는, 제 2 사용자가 제 1 사용자와 동일인이라 하더라도, 디바이스(100)에 입력되는 생체 정보가 항상 동일할 것이라고 보장할 수는 없기 때문이다. 다시 말하면, 제 2 사용자가 제 1 사용자와 동일인이지만, 제 2 사용자가 디바이스(100)로 입력한 생체 정보가 제 1 사용자의 생체 정보와 상이하면, 인증에 실패할 수 있다. 이를 방지하기 위해, 생체 정보의 제 2 분할 특징 정보 중 제 1 분할 특징 정보에 가장 유사한 적어도 하나의 제 2 분할 특징 정보만을 선택하는 것이다.
디바이스(100)는 적어도 하나의 제 2 분할 특징 정보를 해싱하여 적어도 하나의 제 2 해시 값(630)을 생성하고, 제 2 해시 값(630)과 디바이스(100)의 식별 정보(540)를 결합시킨 후, 해싱 처리하여 제 2 복합 생체 정보(650)를 생성한다. 구현예에 따라서, 복수의 제 2 해시 값(630)을 생성하는 과정은 생략될 수도 있으며, 이 경우, 디바이스(100)는 적어도 하나의 제 2 분할 특징 정보와 디바이스(100)의 식별 정보(540)를 결합시킨 후, 해싱 처리하여 제 2 복합 생체 정보(650)를 생성할 수도 있다.
앞서 설명한 바와 같이, 적어도 하나의 제 2 복합 생체 정보(650)는 비밀키로 암호화되어 관리 서버(200)로 전송된다. 디바이스(100)는 관리 서버(200)로 전송된 적어도 하나의 제 2 복합 생체 정보(650)와의 비교 대상이 되는 적어도 하나의 제 1 복합 생체 정보의 식별 값과 저장 주소 정보를 저장 서버(300)로 전송하여 저장 서버(300)에 저장된 복수의 제 1 복합 생체 정보(550) 중 식별 값에 대응하는 적어도 하나의 제 1 복합 생체 정보와 공개키가 관리 서버(200)로 전송되게 한다.
관리 서버(200)는 비밀키로 암호화된 적어도 하나의 제 2 복합 생체 정보를 공개키로 복호화한 후에, 복호화된 적어도 하나의 제 2 복합 생체 정보(650)와 저장 서버(300)로부터 수신된 적어도 하나의 제 1 복합 생체 정보를 비교하여 제 2 사용자를 인증할 수 있다.
도 7은 본 발명의 일 실시예에 따른 관리 서버(200)에 의한 사용자 인증 방법을 나타내는 순서도이다.
S710 단계에서, 관리 서버(200)는 저장 서버(300)로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스(100)의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 제 1 디바이스(100)로부터 전송되어 저장 서버(300)에 저장된 공개키를 수신한다.
상기 제 1 복합 생체 정보는, 제 1 특징 정보로부터 분할된 복수의 제 1 분할 특징 정보 각각과 제 1 디바이스(100)의 식별 정보에 기초하여 생성된 복수의 제 1 복합 생체 정보 중 적어도 하나를 포함할 수 있다.
S720 단계에서, 관리 서버(200)는 제 2 디바이스(100)로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스(100)의 식별 정보에 기초하여 생성된 후, 제 2 디바이스(100)의 비밀키로 암호화된 제 2 복합 생체 정보를 수신한다.
상기 제 2 복합 생체 정보는, 제 2 특징 정보로부터 분할된 복수의 제 2 분할 특징 정보 중 적어도 하나의 제 2 분할 특징 정보 각각과 제 2 디바이스(100)의 식별 정보에 기초하여 생성된 적어도 하나의 제 2 복합 생체 정보를 포함할 수 있다.
S730 단계에서, 관리 서버(200)는 비밀키로 암호화된 제 2 복합 생체 정보를 공개키로 복호화하여 제 2 디바이스(100)를 인증한다. 관리 서버(200)는 복호화가 이루어지지 않으면, 제 2 디바이스(100)가 정당한 디바이스(100)가 아닌 것으로 판단하여 인증 불가 메시지를 제 2 디바이스(100)로 전송할 수 있다.
S740 단계에서, 관리 서버(200)는 복호화된 제 2 복합 생체 정보와 제 1 복합 생체 정보와의 비교 결과에 기초하여, 제 2 사용자를 인증하고, S750 단계에서, 인증 결과를 제 2 디바이스(100)로 전송한다. 관리 서버(200)는 복호화된 제 2 복합 생체 정보와 제 1 복합 생체 정보가 완전히 동일한 경우, 또는 완전히 동일하지는 않으나 소정 기준에 따른 동일성이 인정되는 경우, 제 2 사용자를 정당한 사용자로 인증할 수 있다.
도 8은 본 발명의 일 실시예에 따른 디바이스(800)의 구성을 나타내는 블록도이다.
도 8을 참조하면, 본 발명의 일 실시예에 따른 디바이스(800)는 생체 정보 입력부(810), 생체 정보 처리부(830), 복합 생체 정보 생성부(850), 통신부(870) 및 메모리(890)를 포함할 수 있다. 생체 정보 입력부(810), 생체 정보 처리부(830), 복합 생체 정보 생성부(850), 통신부(870) 및 메모리(890)는 프로세서로 구현될 수 있다.
생체 정보 입력부(810)는 제 1 사용자 및 제 2 사용자의 생체 정보, 예를 들어, 지문, 음성, 안면 이미지 및 홍채 이미지 중 적어도 하나를 입력받는다.
생체 정보 처리부(830)는 제 1 사용자 및 제 2 사용자의 생체 정보 각각에 대응하는 제 1 특징 정보와 제 2 특징 정보를 획득한다. 구현예에 따라서, 생체 정보 처리부(830)는 제 1 특징 정보와 제 2 특징 정보 각각을 분할하여 복수의 제 1 분할 특징 정보와 복수의 제 2 분할 특징 정보를 생성할 수도 있다.
복합 생체 정보 생성부(850)는 제 1 특징 정보와 디바이스(800)의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하고, 제 2 특징 정보와 디바이스(800)의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성한다.
통신부(870)는 공개키와 함께 제 1 복합 생체 정보를 저장 서버(300)로 전송하고, 이후, 비밀키로 암호화된 제 2 복합 생체 정보를 관리 서버(200)로 전송하여, 관리 서버(200)에 의해 제 2 사용자의 인증이 이루어지게 할 수 있다.
메모리(890)는 보안 영역에 위치하며, 제 1 특징 정보, 비밀키 및 저장 주소 정보 등을 저장한다.
한편, 도면으로 도시되어 있지는 않지만, 관리 서버(200)는 프로세서로 구현된 통신부와 인증부를 포함할 수 있다.
통신부는 저장 서버(300)로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스(100)의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 제 1 디바이스(100)로부터 전송되어 저장 서버(300)에 저장된 공개키를 수신한다. 또한, 통신부는 제 2 디바이스(100)로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스(100)의 식별 정보에 기초하여 생성된 후, 제 2 디바이스(100)의 비밀키로 암호화된 제 2 복합 생체 정보를 수신한다.
인증부는 비밀키로 암호화된 제 2 복합 생체 정보를 상기 공개키로 복호화하여 상기 제 2 디바이스(100)를 인증하고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여, 제 2 사용자를 인증한다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 작성된 프로그램은 매체에 저장될 수 있다.
상기 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함할 수 있으나, 이에 한정되는 것은 아니다.
첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100, 800: 디바이스
200: 관리 서버
300: 저장 서버
810: 생체 정보 입력부
830: 생체 정보 처리부
850: 복합 생체 정보 생성부
870: 통신부
890: 메모리

Claims (14)

  1. 디바이스에 의한 사용자 인증 방법에 있어서,
    입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 단계;
    공개키와 함께 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계;
    입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성하는 단계; 및
    비밀키로 상기 제 2 복합 생체 정보를 암호화하여 관리 서버로 전송하는 단계를 포함하되,
    상기 저장 서버로부터 공개키와 제 1 복합 생체 정보를 수신한 관리 서버에 의해, 상기 비밀키로 암호화된 제 2 복합 생체 정보는 상기 공개키로 복호화되고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여 상기 제 2 사용자가 인증되는 것을 특징으로 하는 사용자 인증 방법.
  2. 제1항에 있어서,
    상기 제 1 복합 생체 정보를 생성하는 단계는,
    상기 제 1 특징 정보에 대응하는 제 1 해시 값을 생성하는 단계; 및
    상기 제 1 해시 값과 상기 디바이스의 식별 정보를 해싱(hashing)하여 상기 제 1 복합 생체 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.
  3. 제2항에 있어서,
    상기 제 1 해시 값은,
    상기 제 1 특징 정보를 해싱하여 생성되거나, 상기 제 1 특징 정보에 매핑된 식별값을 해싱하여 생성되는 것을 특징으로 하는 사용자 인증 방법.
  4. 제1항에 있어서,
    상기 제 1 복합 생체 정보를 생성하는 단계는,
    상기 제 1 특징 정보를 복수 개로 분할하고, 복수의 제 1 분할 특징 정보 각각과 상기 디바이스의 식별 정보에 기초하여 복수의 제 1 복합 생체 정보를 생성하는 단계를 포함하고,
    상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계는,
    상기 복수의 제 1 복합 생체 정보를 상기 저장 서버로 전송하는 단계를 포함하고,
    상기 제 2 복합 생체 정보를 생성하는 단계는,
    상기 제 2 특징 정보를 복수 개로 분할하고, 복수의 제 2 분할 특징 정보 중 적어도 하나의 제 2 분할 특징 정보 각각과 상기 디바이스의 식별 정보에 기초하여 상기 제 2 복합 생체 정보를 생성하는 단계를 포함하되,
    상기 사용자 인증 방법은,
    상기 제 2 복합 생체 정보와 비교할 제 1 복합 생체 정보를 나타내는 식별 값을 상기 저장 서버로 전송하여, 상기 복수의 제 1 복합 생체 정보 중 상기 식별 값에 대응하는 제 1 복합 생체 정보가 상기 저장 서버로부터 상기 관리 서버로 전송되도록 하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
  5. 제4항에 있어서,
    상기 사용자 인증 방법은,
    상기 디바이스에 저장된 복수의 제 1 분할 특징 정보 각각과 상기 복수의 제 2 분할 특징 정보 각각 사이의 유사도에 기초하여 상기 적어도 하나의 제 2 분할 특징 정보를 선택하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
  6. 제1항에 있어서,
    상기 저장 서버는,
    블록 체인(block chain) 서버를 포함하되,
    상기 공개키 및 상기 제 1 복합 생체 정보는 상기 블록 체인을 구성하는 서버 각각에 저장되는 것을 특징으로 하는 사용자 인증 방법.
  7. 제6항에 있어서,
    상기 공개키와 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 단계는,
    상기 공개키에 기초하여 상기 블록 체인 상의 저장 주소를 생성하는 단계; 및
    상기 저장 주소 정보를 상기 저장 서버로 전송하고, 상기 디바이스에 저장하는 단계를 포함하되,
    상기 사용자 인증 방법은,
    상기 제 2 사용자의 생체 정보가 입력된 후, 상기 저장된 저장 주소 정보를 상기 저장 서버로 전송하여, 상기 공개키 및 상기 제 1 복합 생체 정보가 상기 저장 서버로부터 상기 관리 서버로 전송되도록 하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
  8. 제1항에 있어서,
    상기 사용자 인증 방법은,
    상기 제 1 특징 정보 및 상기 비밀키를 상기 디바이스의 보안 영역에 저장하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
  9. 제1항에 있어서,
    상기 생체 정보는,
    음성 데이터, 지문 데이터, 안면 이미지 데이터 및 홍채 이미지 데이터 중 적어도 하나를 포함하는 것을 특징으로 하는 사용자 인증 방법.
  10. 관리 서버에 의한 사용자 인증 방법에 있어서,
    저장 서버로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 상기 제 1 디바이스로부터 전송되어 상기 저장 서버에 저장된 공개키를 수신하는 단계;
    제 2 디바이스로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스의 식별 정보에 기초하여 생성된 후, 상기 제 2 디바이스의 비밀키로 암호화된 제 2 복합 생체 정보를 수신하는 단계;
    상기 비밀키로 암호화된 제 2 복합 생체 정보를 상기 공개키로 복호화하여 상기 제 2 디바이스를 인증하는 단계; 및
    상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여, 상기 제 2 사용자를 인증하는 단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.
  11. 제10항에 있어서,
    상기 제 1 복합 생체 정보는,
    상기 제 1 특징 정보로부터 분할된 복수의 제 1 분할 특징 정보 각각과 상기 제 1 디바이스의 식별 정보에 기초하여 생성된 복수의 제 1 복합 생체 정보 중 적어도 하나를 포함하며,
    상기 제 2 복합 생체 정보는,
    상기 제 2 특징 정보로부터 분할된 복수의 제 2 분할 특징 정보 중 적어도 하나의 제 2 분할 특징 정보 각각과 상기 제 2 디바이스의 식별 정보에 기초하여 생성된 적어도 하나의 제 2 복합 생체 정보를 포함하는 것을 특징으로 하는 사용자 인증 방법.
  12. 하드웨어와 결합하여 제1항 내지 제11항 중 어느 하나의 항의 사용자 인증 방법을 실행시키기 위하여 매체에 저장된 프로그램.
  13. 사용자 인증을 위한 디바이스 장치에 있어서,
    입력된 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보를 획득하는 생체 정보 처리부;
    상기 제 1 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 1 복합 생체 정보를 생성하는 복합 생체 정보 생성부; 및
    공개키와 함께 상기 제 1 복합 생체 정보를 저장 서버로 전송하는 통신부를 포함하고,
    상기 생체 정보 처리부는, 입력된 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보를 획득하고,
    상기 복합 생체 정보 생성부는, 상기 제 2 특징 정보와 상기 디바이스의 식별 정보에 기초하여 제 2 복합 생체 정보를 생성하고,
    상기 통신부는, 비밀키로 암호화된 상기 제 2 복합 생체 정보를 관리 서버로 전송하되,
    상기 저장 서버로부터 공개키와 제 1 복합 생체 정보를 수신한 관리 서버에 의해, 상기 비밀키로 암호화된 제 2 복합 생체 정보는 상기 공개키로 복호화되고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여 상기 제 2 사용자가 인증되는 것을 특징으로 하는 디바이스 장치.
  14. 저장 서버로부터, 제 1 사용자의 생체 정보에 대응하는 제 1 특징 정보와 제 1 디바이스의 식별 정보에 기초하여 생성된 제 1 복합 생체 정보, 및 상기 제 1 디바이스로부터 전송되어 상기 저장 서버에 저장된 공개키를 수신하고, 제 2 디바이스로부터, 제 2 사용자의 생체 정보에 대응하는 제 2 특징 정보와 제 2 디바이스의 식별 정보에 기초하여 생성된 후, 상기 제 2 디바이스의 비밀키로 암호화된 제 2 복합 생체 정보를 수신하는 통신부; 및
    상기 비밀키로 암호화된 제 2 복합 생체 정보를 상기 공개키로 복호화하여 상기 제 2 디바이스를 인증하고, 상기 복호화된 제 2 복합 생체 정보와 상기 제 1 복합 생체 정보와의 비교 결과에 기초하여, 상기 제 2 사용자를 인증하는 인증부를 포함하는 것을 특징으로 하는 관리 서버.

KR1020160082529A 2016-06-30 2016-06-30 서버, 디바이스 및 이에 의한 사용자 인증 방법 KR20180003113A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160082529A KR20180003113A (ko) 2016-06-30 2016-06-30 서버, 디바이스 및 이에 의한 사용자 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160082529A KR20180003113A (ko) 2016-06-30 2016-06-30 서버, 디바이스 및 이에 의한 사용자 인증 방법

Publications (1)

Publication Number Publication Date
KR20180003113A true KR20180003113A (ko) 2018-01-09

Family

ID=61000335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160082529A KR20180003113A (ko) 2016-06-30 2016-06-30 서버, 디바이스 및 이에 의한 사용자 인증 방법

Country Status (1)

Country Link
KR (1) KR20180003113A (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101942684B1 (ko) * 2018-05-08 2019-01-25 김민수 다중 인증을 통한 가상화폐 보관 서비스 제공 시스템
US10417219B1 (en) 2018-03-28 2019-09-17 Macrogen, Inc. Data sharing method based on plurality of blockchains
KR20190138389A (ko) * 2018-06-05 2019-12-13 아이리텍 잉크 일회용 비밀번호를 적용한 신원관리가 포함된 블록체인
KR20190138396A (ko) * 2018-06-05 2019-12-13 아이리텍 잉크 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법
KR102100073B1 (ko) * 2019-04-17 2020-04-10 손창배 결제 서비스 제공 방법, 장치 및 시스템
KR20200115724A (ko) * 2019-03-15 2020-10-08 홍상선 신뢰성 및 보안성이 강화된 사용자 인증 방법
KR102183064B1 (ko) * 2019-08-01 2020-11-25 엘지전자 주식회사 자율 주행 시스템에서 차량을 제어하기 위한 방법 및 장치
KR20210111587A (ko) * 2020-03-03 2021-09-13 이데아텍㈜ 블록체인 및 생체정보를 이용한 보안 서비스 제공 시스템 및 방법
US11405386B2 (en) 2018-05-31 2022-08-02 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10417219B1 (en) 2018-03-28 2019-09-17 Macrogen, Inc. Data sharing method based on plurality of blockchains
KR101942684B1 (ko) * 2018-05-08 2019-01-25 김민수 다중 인증을 통한 가상화폐 보관 서비스 제공 시스템
US11405386B2 (en) 2018-05-31 2022-08-02 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof
KR20190138389A (ko) * 2018-06-05 2019-12-13 아이리텍 잉크 일회용 비밀번호를 적용한 신원관리가 포함된 블록체인
KR20190138396A (ko) * 2018-06-05 2019-12-13 아이리텍 잉크 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법
KR20200115724A (ko) * 2019-03-15 2020-10-08 홍상선 신뢰성 및 보안성이 강화된 사용자 인증 방법
KR102100073B1 (ko) * 2019-04-17 2020-04-10 손창배 결제 서비스 제공 방법, 장치 및 시스템
WO2020213778A1 (ko) * 2019-04-17 2020-10-22 손창배 결제 서비스 제공 방법, 장치 및 시스템
KR102183064B1 (ko) * 2019-08-01 2020-11-25 엘지전자 주식회사 자율 주행 시스템에서 차량을 제어하기 위한 방법 및 장치
KR20210111587A (ko) * 2020-03-03 2021-09-13 이데아텍㈜ 블록체인 및 생체정보를 이용한 보안 서비스 제공 시스템 및 방법

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
US10824714B2 (en) Method and system for securing user access, data at rest, and sensitive transactions using biometrics for mobile devices with protected local templates
JP6882254B2 (ja) 生体特徴に基づく安全性検証方法、クライアント端末、及びサーバ
US10680808B2 (en) 1:N biometric authentication, encryption, signature system
US20220191012A1 (en) Methods For Splitting and Recovering Key, Program Product, Storage Medium, and System
KR20180003113A (ko) 서버, 디바이스 및 이에 의한 사용자 인증 방법
KR101226651B1 (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
US9384338B2 (en) Architectures for privacy protection of biometric templates
US20020016913A1 (en) Modifying message data and generating random number digital signature within computer chip
US20130290724A1 (en) Integrity protected smart card transaction
JP2017507552A (ja) クライアント側のスコアベース認証を与える方法及び装置
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
CN104820814A (zh) 第二代身份证防伪验证系统
Plateaux et al. One-time biometrics for online banking and electronic payment authentication
WO2022042745A1 (zh) 一种密钥管理方法及装置
CN111698253A (zh) 一种计算机网络安全系统
JPWO2020121458A1 (ja) 照合システム、クライアントおよびサーバ
WO2022130528A1 (ja) 回復用検証システム、照合システム、回復用検証方法および非一時的なコンピュータ可読媒体
CN110689351A (zh) 金融服务验证系统及金融服务验证方法
CN114091088B (zh) 用于提高通信安全的方法和装置
CN117675182A (zh) 身份认证方法、系统、设备及介质
Huang et al. NFC-Enabled Systems Integrated OTP Security Authentication Design