KR20200054571A - Apparatus and method for performing non-face-to-face identification using a bio-certificate - Google Patents
Apparatus and method for performing non-face-to-face identification using a bio-certificate Download PDFInfo
- Publication number
- KR20200054571A KR20200054571A KR1020180138006A KR20180138006A KR20200054571A KR 20200054571 A KR20200054571 A KR 20200054571A KR 1020180138006 A KR1020180138006 A KR 1020180138006A KR 20180138006 A KR20180138006 A KR 20180138006A KR 20200054571 A KR20200054571 A KR 20200054571A
- Authority
- KR
- South Korea
- Prior art keywords
- bio
- user
- key
- fido
- certificate
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Collating Specific Patterns (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 사용자의 고정된 바이오 키 정보를 이용하여 바이오 인증서를 발급하고 바이오 인증서 기반의 사용자 인증 방법에 관한 것이다.The present invention relates to a method for issuing a bio certificate using a user's fixed bio key information and a user authentication method based on the bio certificate.
바이오 인증 기술은 기존 인증방식 보다 우수한 편의성과 보안성을 기반으로 다양한 분야에 활용되고 있다. 특히 2015년 FIDO(Fast IDentity Online) 인증 기술이 도입되면서 온라인을 통한 바이오 인증 기술 도입이 증가하고 있다. 그리고 사용자 인증 기술이 발전하면서 온라인과 오프라인 서비스의 경계가 점차 없어지고 있으며 최근 인터넷전문은행이 출범하면서 온라인 상에서 비대면 본인 확인 기술에 대한 연구 및 필요성이 강조되고 있다. Bio authentication technology is being used in various fields based on convenience and security superior to existing authentication methods. In particular, as FIDO (Fast IDentity Online) authentication technology was introduced in 2015, the introduction of online bio-authentication technology is increasing. In addition, as user authentication technology develops, the boundary between online and offline services is gradually disappearing, and recently, with the launch of an Internet specialized bank, research and necessity for non-face-to-face identity verification technologies have been emphasized.
현재 비대면 본인 확인 기술은 영상 통화와 신분증 전송, 휴대폰 본인확인 방식 등 다양한 방식을 조합해서 인증을 처리하는 복잡한 구조이다. Current non-face-to-face identity verification technology is a complex structure that handles authentication by combining various methods such as video calling, identification card transmission, and cell phone identity verification.
따라서 간편한 절차를 통해 수행될 수 있는 바이오 인증 기술이 적용된 비대면 본인 확인 방법이 필요한 실정이다. Therefore, there is a need for a non-face-to-face identity verification method that can be performed through a simple procedure.
본 발명의 목적은 사용자의 바이오 정보와 연관된 바이오 인증서를 발급하고, 바이오 인증서를 활용하여 온라인에서 사용자를 인증하는 방법을 제시하기 위함이다. An object of the present invention is to issue a bio certificate associated with a user's bio information, and to present a method for authenticating a user online using the bio certificate.
본 발명의 목적은 공개키 인증을 위한 비밀키 값을 저장하지 않고 매회 재 생성할 수 있는바, 비밀키 유출 방지 및 관리에 유용한 비대면 본인 확인 방법 및 장치를 제공하기 위함이다.An object of the present invention is to provide a non-face-to-face identity verification method and apparatus useful for preventing and managing leakage of a secret key, as it can be regenerated each time without storing the secret key value for public key authentication.
본 발명의 목적은 오프라인에서의 사용자의 얼굴 및 신분증의 사진을 대조하는 행위와 유사한 보안상의 효과를 온라인 상에서도 제공하기 위함이다.An object of the present invention is to provide a security effect similar to the act of contrasting a picture of a user's face and identification card offline even online.
본 발명의 목적은 기존의 비대면 본인 확인 인증 방식과 절차를 간소화한 본인 확인 인증 방식을 제공하기 위함이다.An object of the present invention is to provide an existing non-face-to-face identity verification authentication method and a simplified identity verification authentication method.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems that are not mentioned will be clearly understood by those skilled in the art from the following description. Will be able to.
본 발명의 일 실시예에 따라, 사용자의 바이오 인증서를 이용하여 비대면 본인 확인을 수행하는 방법 및 장치를 제공할 수 있다. According to an embodiment of the present invention, it is possible to provide a method and apparatus for performing face-to-face identity verification using a user's bio-certificate.
이 때 사용자의 바이오 인증서를 이용하여 비대면 본인 확인을 수행하는 방법 및 장치는 사용자의 바이오 키에 기초하여 공개키 쌍을 생성하고, 상기 공개키 쌍에 기초하여 바이오 인증서를 생성하고, 상기 생성된 바이오 인증서를 FIDO(Fast IDentity Online) 서버에 등록하고, 상기 FIDO 서버의 인증 요청에 따라 전자 서명된 FIDO 인증 응답 메시지를 송신하며, 상기 등록된 바이오 인증서에 기초하여 상기 전자서명된 FIDO 인증 응답 메시지를 검증하고 상기 검증 결과를 수신한다.At this time, the method and apparatus for performing non-personal identification using the user's bio-certificate generate a public key pair based on the user's bio-key, generate a bio-certificate based on the public key pair, and generate the Register a bio-certificate to a Fast IDentity Online (FIDO) server, send an electronically signed FIDO authentication response message according to the authentication request of the FIDO server, and send the electronically signed FIDO authentication response message based on the registered bio-certificate. Verify and receive the verification result.
또한 FIDO 서버의 인증 요청이 있는 경우, 사용자의 상기 바이오 키를 확인한 후 상기 바이오 키에 기초하여 상기 공개키 쌍을 재 생성하고, 상기 FIDO 인증 응답 메시지는 상기 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명될 수 있다.In addition, when there is an authentication request from the FIDO server, after confirming the user's bio-key, the public key pair is regenerated based on the bio-key, and the FIDO authentication response message is a secret key generated from the re-generated public key. Can be digitally signed.
본 발명은 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 이용해서 공개키 쌍을 생성하므로 대리서명을 방지하는 효과를 가질 수 있다.Since the present invention generates a public key pair using fixed bio key information extracted from the user's bio information, it can have an effect of preventing proxy signatures.
본 발명은 온라인 상에서 비대면 본일 확인 기술로 활용될 수 있는 효과가 있다.The present invention has an effect that can be utilized as an online face-to-face identification technology.
또한 현재 온라인에서 사용자 인증 기술로 많이 활용되고 있는 FIDO 인증 시스템을 기반으로 바이오 인증서를 등록하고 바이오 인증서를 기반으로 사용자를 인증하는 구조이기 때문에 기술 적용 및 운용 측면에서 효율성이 높고, 사용자 측면에서도 바이오 인식 기술을 이용하기 때문에 지금의 비대면 본인 확인 인증 방식과 절차를 간소화 할 수 있다.In addition, since it is a structure that registers a bio certificate and authenticates a user based on the bio certificate based on the FIDO authentication system, which is currently used as a user authentication technology that is widely used online, it is highly efficient in terms of technology application and operation, and also recognizes the user in the bio Using technology, it is possible to simplify the current non-face-to-face authentication method and procedure.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned may be clearly understood by those skilled in the art from the following description. will be.
도 1은 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 FIDO 인증장치를 구성하는 모듈을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 바이오 키 관리 장치를 구성하는 모듈을 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법에 대한 흐름도이다.
도 5 는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치가 비대면 본인을 확인하는 방법에 대한 흐름도이다.
도 6는 본 발명의 일 실시예에 따라 사용자의 바이오 키 추출을 위한 바이오 키 학습 모델을 생성하고 설치하는 흐름을 나타내는 도면이다.
도 7는 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 발급하는 흐름을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 FIDO 서버에 등록하는 흐름을 나타내는 도면이다.
도 9은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 이용해서 FIDO 서버를 통한 인증을 처리하는 흐름을 나타내는 도면이다.1 is a view showing a non-face-to-face identity verification system using a bio certificate according to an embodiment of the present invention.
2 is a view showing a module constituting a FIDO authentication apparatus according to an embodiment of the present invention.
3 is a view showing a module constituting a bio-key management apparatus according to an embodiment of the present invention.
4 is a flowchart of a method for generating and registering a bio-certificate of a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention.
5 is a flowchart of a method for a non-face-to-face identity verification apparatus using a bio-certificate according to an embodiment of the present invention to identify a face-to-face identity.
6 is a diagram illustrating a flow of generating and installing a bio-key learning model for extracting a user's bio-key according to an embodiment of the present invention.
7 is a view showing a flow for issuing a user's bio certificate according to an embodiment of the present invention.
8 is a view showing a flow of registering a user's bio-certificate to a FIDO server according to an embodiment of the present invention.
9 is a view showing a flow of processing authentication through a FIDO server using a user's bio certificate according to an embodiment of the present invention.
이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art to which the present invention pertains may easily practice. However, the present invention can be implemented in many different forms and is not limited to the embodiments described herein.
본 발명의 실시 예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 발명에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.In describing the embodiments of the present invention, when it is determined that a detailed description of known configurations or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted. In the drawings, parts irrelevant to the description of the present invention are omitted, and similar reference numerals are used for similar parts.
본 발명에 있어서, 어떤 구성요소가 다른 구성요소와 "연결", "결합" 또는 "접속"되어 있다고 할 때, 이는 직접적인 연결관계뿐만 아니라, 그 중간에 또 다른 구성요소가 존재하는 간접적인 연결관계도 포함할 수 있다. 또한 어떤 구성요소가 다른 구성요소를 "포함한다" 또는 "가진다"고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 배제하는 것이 아니라 또 다른 구성요소를 더 포함할 수 있는 것을 의미한다.In the present invention, when a component is said to be "connected", "coupled" or "connected" with another component, this is not only a direct connection relationship, but also an indirect connection relationship in which another component exists in the middle. It may also include. Also, when a component is said to "include" or "have" another component, this means that other components may be further included, not specifically excluded, unless otherwise stated. .
본 발명에 있어서, 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용되며, 특별히 언급되지 않는 한 구성요소들간의 순서 또는 중요도 등을 한정하지 않는다. 따라서, 본 발명의 범위 내에서 일 실시 예에서의 제1 구성요소는 다른 실시 예에서 제2 구성요소라고 칭할 수도 있고, 마찬가지로 일 실시 예에서의 제2 구성요소를 다른 실시 예에서 제1 구성요소라고 칭할 수도 있다.In the present invention, terms such as first and second are used only for the purpose of distinguishing one component from other components, and do not limit the order or importance between components unless otherwise specified. Accordingly, within the scope of the present invention, the first component in one embodiment may be referred to as a second component in another embodiment, and likewise the second component in one embodiment may be the first component in another embodiment It can also be called.
본 발명에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위함이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시 예도 본 발명의 범위에 포함된다.In the present invention, the components that are distinguished from each other are for clarifying each feature, and the components are not necessarily separated. That is, a plurality of components may be integrated to be composed of one hardware or software unit, or one component may be distributed to be composed of multiple hardware or software units. Accordingly, such integrated or distributed embodiments are included in the scope of the present invention, unless otherwise stated.
본 발명에 있어서, 다양한 실시 예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들은 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시예도 본 발명의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 발명의 범위에 포함된다.In the present invention, components described in various embodiments do not necessarily mean components, and some may be optional components. Therefore, an embodiment composed of a subset of components described in one embodiment is also included in the scope of the present invention. In addition, embodiments including other components in addition to the components described in various embodiments are also included in the scope of the present invention.
본 발명은 사용자의 바이오 정보에서 매번 일정하게 추출되는 바이오 키 정보를 이용해서 바이오 인증서를 발급하고, 온라인에서 바이오 인증서를 활용한 사용자 인증 시스템이다. 이 인증 시스템은 사용자의 바이오 정보와 연결된 바이오 인증서를 이용한 시스템이므로 대리 서명이 불가능하여 비대면 본인 확인 기술로 활용될 수 있다.The present invention is a user authentication system that uses a bio-certificate online to issue a bio-certificate using bio-key information that is constantly extracted from the user's bio-information each time. Since this authentication system is a system using a bio-certificate that is linked to the user's bio-information, proxy signing is not possible and can be used as a non-face-to-face identity verification technology.
이 때 본 발명을 실시하기 위해, 사용자의 바이오 정보를 이용해서 고정된 바이오 키 정보를 추출하는 방법에 대한 공지된 다양한 방법이 응용될 수 있다. 또한 본 발명의 일 실시예로 사용자의 바이오 정보를 이용해서 고정된 바이오 키 정보를 추출할 수 있는 방법은 선행 문헌 1(KR 2017-0155930, '바이오 정보를 이용한 공개키 기반구조에서의 개인키 관리 방법 및 장치')을 참조할 수 있다.At this time, in order to implement the present invention, various known methods for extracting fixed bio-key information using the user's bio-information may be applied. Also, as an embodiment of the present invention, a method of extracting fixed bio-key information using the user's bio-information is described in the prior document 1 (KR 2017-0155930, 'Personal key management in public key infrastructure using bio-information') Method and Apparatus').
이하에서는, 본 발명의 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치 및 방법을 첨부한 도면들을 참조하여 설명한다. 본 발명에 따른 동작 및 작용을 이해하는데 필요한 부분을 중심으로 상세히 설명한다.Hereinafter, a non-face-to-face identification device and method using a bio certificate according to an embodiment of the present invention will be described with reference to the accompanying drawings. It will be described in detail focusing on the parts necessary to understand the operation and operation according to the present invention.
도 1은 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 시스템을 나타내는 도면이다.1 is a view showing a non-face-to-face identity verification system using a bio certificate according to an embodiment of the present invention.
도 1에 도시한 바와 같이, 본 발명의 바이오 인증서를 이용한 비대면 본인 확인 시스템은 사용자 장치(User Device)와 Relying party(RP)로 구성될 수 있다. As shown in Figure 1, the non-face-to-face identity verification system using the bio-certificate of the present invention may be composed of a user device (User Device) and a relying party (RP).
사용자 장치(User Device)는 바이오 인증 서비스 및 바이오 정보 관리가 수행될 수 있는 장치에 해당 될 수 있고, 본 발명의 일 실시예로 스마트 폰 등이 해당될 수 있다. 다만 본 발명에 따른 동작이 수행될 수 있는 장치는 사용자 장치에 해당될 수 있는바, 일 실시예에 한정되지 않는다.The user device may be a device capable of performing bio-authentication service and bio-information management, and may be a smart phone or the like as an embodiment of the present invention. However, the device on which the operation according to the present invention can be performed may correspond to a user device, and is not limited to one embodiment.
사용자 장치(User Device)는 응용 클라이언트, FIDO(Fast IDentity Online) 클라이언트(100), FIDO(Fast IDentity Online) 인증장치(200), 바이오 키 관리 장치(300)로 구성될 수 있다. The user device may include an application client, a Fast IDentity Online (FIDO)
이때 FIDO 클라이언트(100)는 응용 어플리케이션으로 구성될 수 있고, OS 자체에서 제공하는 FIDO Client나 웹 브라우저에서 제공하는 FIDO Client 기능을 활용할 수 있다.At this time, the FIDO
이때 응용 클라이언트는 서비스를 제공할 수 있는 어플리케이션에 해당될 수 있다. 이 때 응용 클라이언트는 비대면 인증 서비스를 제공하는 서비스 어플리케이션이 해당 될 수 있으며, 본 발명의 일 실시예로 비대면 뱅킹 어플리케이션이 해당 될 수 있다. 또한 응용 클라이언트는 바이오 인증서를 관리할 수 있는 서비스 어플리케이션에 해당될 수 있으며, 바이오 인증서 및 바이오 정보를 발급, 갱신, 폐기하는 동작이 수행될 수 있는 어플리케이션에 해당될 수 있다.At this time, the application client may correspond to an application capable of providing a service. At this time, the application client may be a service application that provides a non-face-to-face authentication service, and may be a non-face-to-face banking application as an embodiment of the present invention. Also, the application client may correspond to a service application capable of managing the bio-certificate, and may correspond to an application capable of performing an operation for issuing, updating, and revoking the bio-certificate and bio-information.
Relying party(RP)는 응용서버, FIDO 서버(400), CA 서버(500), 바이오 키 모델 학습 서버(600)으로 구성될 수 있다. The relying party (RP) may be composed of an application server, a FIDO
사용자 장치는 Relying party(RP)와 네트워크를 통해 정보를 송수신할 수 있으며, 본 발명의 일 실시예로 사용자 장치는 바이오 특징점을 전송하고, Relying party 로부터 생성된 바이오 키 생성 모델을 수신할 수 있다. 또한 사용자 장치는 바이오 인증서 발급 요청을 Relying party 에 송신할 수 있으며, 발급된 바이오 인증서를 FIDO 서버에 등록할 수 있다. 바이오 인증서가 등록된 후에는 FIDO 서버와 통신하여 사용자 인증 절차를 수행할 수 있다. The user device may transmit and receive information through a relying party (RP) and a network, and according to an embodiment of the present invention, the user device may transmit a bio feature point and receive a bio key generation model generated from the relying party. In addition, the user device may transmit a request for issuing a bio certificate to the relying party, and may register the issued bio certificate to the FIDO server. After the bio certificate is registered, a user authentication procedure can be performed by communicating with the FIDO server.
FIDO 클라이언트(100)는 FIDO 서버와 연동하여 FIDO 인증장치를 호출한다. 보다 상세하게는 FIDO 클라이언트(100)는 FIDO 서버(400)가 보내는 요청 메시지를 해석하고 FIDO 인증장치(200)에 FIDO 기능을 요청할 수 있다.
FIDO 인증장치(200)는 FIDO 클라이언트(100)로부터 요청된 FIDO 기능을 수신하고, 사용자를 확인한다. 사용자가 확인된 경우 사용자의 바이오 인증서를 기반으로 전자서명이 실행된다. 보다 상세하게는 FIDO 인증장치(200)는 사용자를 확인하고, 사용자의 고정된 바이오 키 정보를 이용하여 공개키 쌍을 생성하고, 생성된 공개키 정보를 기반으로 생성된 바이오 인증서 관리 및 FIDO 등록/인증을 위한 전자서명을 수행할 수 있다. The
즉, FIDO 인증장치(200)는 바이오 키 관리 장치(300)로부터 생성된 사용자의 고정된 바이오 키로부터 공개키 쌍을 생성하고 사용자의 바이오 인증서를 관리한다. 이 때 비밀키를 저장관리 하지 않고, 필요 시 사용자의 바이오 정보로부터 고정된 바이오 키를 추출하고, 바이오 키로부터 비밀키를 생성한다.That is, the
또한 FIDO 인증장치(200)는 사용자의 바이오 인증서를 포함하고 있는 FIDO 등록 메시지(Attestation)를 생성한다. In addition, the
FIDO 인증장치(200)는 사용자 인증을 위해서 사용자의 고정된 바이오 키로부터 생성한 비밀키를 이용하여 FIDO 인증에 필요한 전자서명을 수행한다.The
바이오 키 관리 장치(300)는 사용자의 바이오 정보로부터 사용자의 고정된 바이오 키 정보를 추출한다. The bio
FIDO 서버 장치(400)는 사용자의 바이오 인증서를 등록하고 인증 및 해지 기능을 처리한다. 즉, FIDO 서버 장치(400)는 FIDO 클라이언트(100)와 연동하여 사용자의 바이오 인증서를 등록하고 사용자를 인증할 수 있다. 보다 상세하게는 FIDO 서버(400)는 바이오 인증서를 등록하고, 등록된 바이오 인증서를 통해서 사용자를 인증하고, 등록된 바이오 인증서를 삭제할 수 있는 기능을 제공한다. 이 때, FIDO 서버 장치(400)의 기능과 비교할 때, 바이오 인증서 갱신은 CA 서버(500)만 할 수 있다.The
CA(Certification Authority) 서버(500)는 바이오 인증서에 대한 전반적인 관리를 수행할 수 있다. 보다 상세하게는 CA(Certification Authority) 서버(500)는 사용자의 바이오 키 정보로부터 생성된 공개키에 대한 바이오 인증서를 발급할 수 있고, 바이오 인증서를 갱신 및 폐기할 수 있다. The certification authority (CA)
바이오 키 모델 학습 서버(600)는 사용자의 바이오 정보를 학습하여 사용자의 고정된 바이오 키를 추출할 수 있는 모델을 생성할 수 있다.The bio key
도 2는 본 발명의 일 실시예에 따른 FIDO 인증장치(200)를 구성하는 모듈을 나타내는 도면이다.2 is a view showing a module constituting the
FIDO 인증장치(200)는 사용자 인증 모듈(210), 디스플레인 모듈(220), 통신 인터페이스(230), 등록 키 관리 모듈(240), 인증 키 관리 모듈(250) 및 바이오 인증서 관리 모듈(260)로 구성될 수 있다. The
FIDO 인증장치(200)는 기본적으로 기기(User Device)의 사용자, 즉 소유자를 확인하는 절차를 먼저 수행하고 소유자로 판단된 경우에만 다른 기능들이 동작되도록 구성된다. The
따라서 먼저 사용자 인증 모듈(210)는 기기(User Device)의 사용자가 본인에 해당하는지에 대한 확인을 수행한다. 이 경우 사용자의 단말에서 수행될 수 있는 사용자를 확인할 수 있는 다양한 방법을 이용할 수 있다. 본 발명의 일 실시예로 사용자 인증 모듈(210)는 소유자 식별 방식이 얼굴 인식인 경우 사용자의 얼굴을 미리 등록하고 실제 본인을 확인하기 위해서 얼굴을 인식하는 절차를 수행한다.Therefore, the
디스플레인 모듈(220)은 사용자 인증 시에 해당 인증의 목적을 사용자에게 확인 받기 위해서 거래 확인 메시지를 출력할 수 있다. When the user is authenticated, the
통신 인터페이스(230)는 FIDO 클라이언트(100)와 바이오 키 관리 장치(300) 간에 통신 기능을 수행할 수 있다. The
표준 FIDO 인증장치에는 인증장치를 등록할 때 사용하는 등록 키, 인증할 때 사용하는 인증 키, 이렇게 두 종류의 공개키 쌍을 사용하고 있다. 하지만 본 발명에서는 등록 키만 관리하고 인증 키는 저장하거나 관리하지 않는다. 인증 키는 필요할 때 마다 사용자의 고정된 바이오 키 정보를 이용하여 매번 동일한 비밀키를 생성하여 전자서명 한다.The standard FIDO authentication device uses two types of public key pairs: a registration key used to register the authentication device and an authentication key used to authenticate. However, in the present invention, only the registration key is managed, and the authentication key is not stored or managed. The authentication key is digitally signed by generating the same secret key each time using the user's fixed bio key information whenever necessary.
등록 키 관리 모듈(240)은 FIDO등록을 위한 등록 비밀키와 등록 인증서를 관리한다. 이때 본 발명에서 등록 비밀키(또는 등록키)는 등록 키 관리 모듈(240)에서 저장되고 관리되며, FIDO 서버에 등록을 하기 위한 전자서명을 수행할 경우 이용될 수 있다. The registration
인증 키 관리 모듈(250)은 사용자의 고정된 바이오 키 정보를 이용하여 바이오 인증서 발급할 때 생성한 공개키 쌍과 동일한 공개키 쌍을 생성한다. The authentication
이 때 인증 키 관리 모듈(250)은 사용자의 바이오 키 정보를 저장 및 관리하지 않는다. 다만, 사용자가 서비스를 이용할 경우, 사용자의 바이오 정보를 통해서 서비스를 이용할 때마다 바이오 키를 추출할 수 있으며, 공개키 쌍은 사용자의 바이오 키 정보에 기초하여 생성될 수 있다.At this time, the authentication
이 때 생성된 공개키 쌍 중에서 비밀키를 인증 키라고 하고, 본 발명에서는 인증 비밀키 또는 공개키 인증을 위한 비밀키 등으로 호칭된다. 본 발명의 인증키는 사용자의 바이오 키 정보에 기초하여 생성된 비밀키에 해당되며, 인증키를 이용해서 FIDO 인증을 위한 전자서명이 처리될 수 있다. At this time, among the generated public key pairs, the secret key is called an authentication key, and in the present invention, it is called an authentication secret key or a secret key for public key authentication. The authentication key of the present invention corresponds to a secret key generated based on the user's bio-key information, and an electronic signature for FIDO authentication can be processed using the authentication key.
또한 본 발명에서 인증키는 등록키와 달리, 저장 및 관리되는 값이 아니며, 사용자가 서비스를 이용하여 FIDO 서버의 인증 요청이 있는 경우, 사용자의 바이오 키를 확인한 후 인증 키 관리 모듈(250)에 의해 바이오 키에 기초하여 공개키 쌍이 재 생성되고, 재 생성된 공개키로부터 생성된 비밀키에 해당된다. 또한 본 발명에서FIDO 인증 응답 메시지는 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명될 수 있다. Also, in the present invention, the authentication key is not a stored and managed value, unlike a registration key. When a user requests an authentication of the FIDO server using a service, the authentication
즉, FIDO 인증을 위한 절차와 구별하여, FIDO 등록 과정에서는 상기와 같이 바이오 키를 통해서 생성된 비밀키로 전자서명이 수행되지 않는다. FIDO 등록과정에서는 등록 키 관리 모듈(240)에서 관리되는 등록 비밀키가 이용되며, 이와 대조하여, FIDO 인증과정에서는 인증 키 관리 모듈(250)에서 사용자가 서비스 이용할 경우마다 요청에 따라 바이오 키 정보를 통해서 매번 재 생산되는 인증 비밀키를 이용하여 인증을 위한 전자서명을 생성할 수 있으며, 해당 구성으로 인해 본 발명은 보안이 강화된 사용자 확인 방법 및 장치를 제공할 수 있다.That is, unlike the procedure for FIDO authentication, in the FIDO registration process, the digital signature is not performed with the secret key generated through the bio key as described above. In the FIDO registration process, the registered secret key managed by the registration
마지막으로 바이오 인증서 관리 모듈(260)은 사용자의 고정된 바이오 키와 연관된 바이오 인증서를 관리한다. 이 바이오 인증서는 FIDO 등록 단계에서 FIDO 서버(400)에 등록된다. Finally, the bio
도 3은 본 발명의 일 실시예에 따른 바이오 키 관리 장치(300)를 구성하는 모듈을 나타내는 도면이다.3 is a view showing a module constituting the
바이오 키 관리 장치(300)는 사용자의 바이오 정보를 인식하고 특징 값을 추출하고, 추출된 특징 값을 바이오 키 모델 학습 서버(600)를 통해서 사용자의 고정된 바이오 키 값을 추출할 수 있는 바이오 키 생성 모델을 제공 받고, 제공 받은 바이오 키 생성 모델을 통해서 사용자를 확인할 수 있고, 해당 사용자에 대한 고정된 바이오 키를 추출할 수 있는 장치이다.The
바이오 정보 처리 모듈(310)은 사용자의 바이오 정보를 인식하고 바이오 정보에 대한 특징 점을 추출한다. 예를 들어서 얼굴 정보를 인식하는 장치라면 사용자의 얼굴 사진을 통해서 얼굴에 대한 특징 점을 추출한다.The
바이오 인증 모듈(320)은 사용자의 바이오 정보를 통해서 등록된 사용자를 확인하는 기능을 처리한다. FIDO 인증장치(200)의 사용자 인증 모듈(210)이 바이오 키 관리 장치(300)의 바이오 인증 모듈(320)을 통해서 사용자를 확인한다.The
통신 인터페이스(330)는 FIDO 인증장치(200)와 통신하여 사용자의 바이오 인증과 사용자의 바이오 키를 제공하는 기능을 수행하고, 사용자의 바이오 특징 점을 바이오 키 모델 학습 서버(600)에 제공하고 바이오 키 생성 모델을 제공 받기 위한 통신 기능을 수행한다.The
바이오 키 모델 관리 모듈(340)은 바이오 키 생성 모델에 사용자의 바이오 특징 점을 주입하고, 그 결과로 사용자의 고정된 바이오 키 정보를 확인할 수 있다. 사용자의 고정된 바이오 키 정보는 사용자의 바이오 인증이 성공한 후에 확인이 가능하다. 바이오 키 모델 관리 모델은 보안을 위해서 물리적인 장치로 구성되어야 한다. 예를 들어 TPM(Trusted Platform Module)과 같은 방식의 안전한 장치로 구성할 수 있다.The bio key model management module 340 may inject the user's bio feature points into the bio key generation model, and as a result, check the user's fixed bio key information. The user's fixed bio-key information can be confirmed after the user's bio-authentication is successful. The bio-key model management model should consist of physical devices for security. For example, it can be configured as a secure device such as a Trusted Platform Module (TPM).
도 4는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법에 대한 흐름도이다.4 is a flowchart of a method for generating and registering a bio-certificate of a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention.
본 발명은 안전한 본인 확인 방법을 제공하기 위하여, 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 이용해서 공개키 쌍을 생성하는데, 이때 바이오 키 정보는 공개키 쌍을 생성하기 위한 Seed 값으로 사용한다. Seed 값으로 사용하는 바이오 키 정보가 다를 경우에는 매번 다른 공개키 쌍이 생성되므로 바이오 인증서를 기반으로 한 대리 서명은 원천적으로 불가능 하기 때문에 본 발명은 온라인 상에서 비대면 본인 기술로 활용 될 수 있다. The present invention generates a public key pair using fixed bio key information extracted from a user's bio information in order to provide a secure identity verification method, wherein the bio key information is used as a Seed value for generating a public key pair do. If the bio key information used as the Seed value is different, a different public key pair is generated each time, so the proxy signature based on the bio certificate is not possible at the source, so the present invention can be utilized as an online non-face-to-face technology.
이를 위해 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법을 수행하기 위하여 먼저, 사용자의 단말에서 인식된 사용자의 바이오 정보를 기초로 Relying party에서 바이오 키 학습 모델이 생성된 후, 사용자 단말에 바이오 키 생성 모델이 저장된다.(S410)To this end, in order to perform a method of generating and registering a bio-certificate of the non-face-to-face identity verification device, first, a bio key learning model is generated at a relying party based on the user's bio information recognized by the user's terminal, and then, The bio key generation model is stored. (S410)
바이오 인증 생성을 위한 공개키 요청에 따라 장치의 소유자를 확인한 후, 바이오 생성 모델에 사용자의 바이오 정보로부터 추출된 특징점을 부가하여, 사용자의 고정된 바이오 키 정보를 확인한다.(S420)After confirming the owner of the device according to the request for the public key for generating the bio-authentication, the feature point extracted from the user's bio-information is added to the bio-generation model to check the user's fixed bio-key information (S420).
그 후 사용자의 바이오 키 정보로부터 공개키 쌍을 생성하고, (S430) 공개키에 대한 비밀키를 이용하여 바이오 인증서를 발급받는다.(S440)Thereafter, a public key pair is generated from the user's bio key information, and (S430) a bio certificate is issued using the secret key for the public key. (S440)
사용자 단말은 FIDO 서버에 사용자의 바이오 인증서 등록 요청을 한 후, 사용자 확인 후 FIDO 등록 응답 메시지를 생성하고, 등록 비밀키로 전자서명을 생성한다. 그 후 전자서명과 등록 인증서가 FIDO 서버에 전송된다.(S450) The user terminal makes a request to register the user's bio certificate with the FIDO server, generates a FIDO registration response message after confirming the user, and generates an electronic signature with the registration secret key. Thereafter, the digital signature and the registration certificate are transmitted to the FIDO server. (S450)
FIDO 서버는 등록 인증서에 대한 인증서 경로 검증을 수행하고, 인증서 경로 검증이 올바르면 등록 인증서에 포함되어 있는 공개키를 이용해서 전자서명을 검증한다. 전자서명 검증을 성공하면, FIDO 등록 응답 메시지에 포함되어 있는 바이오 인증서 정보가 FIDO서버에 등록된다.(S460)The FIDO server performs the certification path verification for the registration certificate, and if the certification path verification is correct, the digital signature is verified using the public key included in the registration certificate. If the digital signature verification is successful, the bio certificate information included in the FIDO registration response message is registered in the FIDO server (S460).
본 도 4의 절차는 도 6 내지 8에 의해 상세히 설명된다.The procedure of this FIG. 4 is described in detail by FIGS. 6 to 8.
도 5 는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치가 비대면 본인을 확인하는 방법에 대한 흐름도이다.5 is a flowchart of a method for a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention to identify a face-to-face identity.
비대면 인증 요청이 있는 경우(S510), 사용자 확인(S520) 절차가 수행되며, 사용자의 고정된 바이오 키 정보가 확인된다.(S530) 그리고 공개키 쌍을 생성하는데,(S540) 이 때 생성되는 공개키 쌍은 바이오 인증서를 발급할 때와 동일한 공개키 쌍에 해당된다. 그 후 FIDO 인증 응답 메시지를 생성하고, 바이오 키 정보를 통해서 생성된 공개키 쌍 중에서 비밀키로 FIDO 인증 응답 메시지를 전자 서명한다.(S550) 그리고 전자 서명된 FIDO 인증 응답 메시지를 사용자의 바이오 인증서를 이용하여 검증하여 비대면 본인 확인을 진행한다.(S560)When there is a non-face-to-face authentication request (S510), a user verification (S520) procedure is performed, and the user's fixed bio-key information is confirmed (S530) and a public key pair is generated (S540). The public key pair corresponds to the same public key pair as when the bio certificate is issued. Then, a FIDO authentication response message is generated, and the FIDO authentication response message is electronically signed with the secret key among the public key pairs generated through the bio-key information (S550), and the electronically signed FIDO authentication response message is used by the user's bio certificate. To verify the non-face-to-face identity verification (S560).
본 도 5의 절차는 도 9에 상세히 설명된다.The procedure of FIG. 5 is described in detail in FIG. 9.
도 6는 본 발명의 일 실시예에 따라 사용자의 바이오 키 추출을 위한 바이오 키 학습 모델을 생성하고 설치하는 흐름을 나타내는 도면이다.6 is a diagram illustrating a flow of generating and installing a bio-key learning model for extracting a user's bio-key according to an embodiment of the present invention.
응용 클라이언트인 바이오 관리 앱은 바이오 키 생성 모델의 생성을 요청하고, 바이오 키와 연관된 공개키 정보를 사용하여 바이오 인증서 발급을 요청하고 관리하는 기능을 수행한다.The application client, the bio management app, requests to generate a bio key generation model, and requests and manages a bio certificate issuance using public key information associated with the bio key.
바이오 관리 앱은 바이오 키 관리 장치(300)에 바이오 키 생성 모델을 생성할 것을 요청한다. 바이오 키 관리 장치(300)는 바이오 정보 처리 모듈(310)을 통해서 사용자의 바이오 정보를 인식하고 특징 점을 추출한다.The bio management app requests the bio
추출된 사용자의 바이오 특징 점은 바이오 키 모델 학습 서버(600)에 전달되고, 바이오 키 모델 학습 서버(600)는 사용자의 바이오 특징 점을 통해서 고정된 사용자의 바이오 키가 추출될 수 있는 모델을 생성한다. 바이오 키 관리 장치(300)는 바이오 키 생성 모델을 바이오 키 모델 관리 모듈(340)에 저장하고 관리한다.The extracted bio-feature points of the user are transmitted to the bio-key
도 7는 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 발급하는 흐름을 나타내는 도면이다.7 is a view showing a flow for issuing a user's bio certificate according to an embodiment of the present invention.
사용자의 바이오 인증서를 발급하기 위해서는 먼저 바이오 키 관리 장치(300)에 바이오 키 생성 모델이 설치되어 있어야 한다. In order to issue a user's bio certificate, a bio key generation model must first be installed in the bio
바이오 관리 앱은 CA 서버(500)에 사용자의 바이오 인증서 발급을 요청한다. CA(Certification Authority) 서버(500)는 바이오 인증서 발급을 위한 참조번호/인가코드를 바이오 관리 앱에게 전달한다.The bio management app requests the
다음 단계로 바이오 관리 앱은 FIDO 인증장치(200)에 바이오 인증서 생성을 위한 공개키를 요청하고, FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 FIDO 인증장치의 소유자를 확인하는 동시에 사용자의 바이오 키 정보를 요청한다.As a next step, the bio management app requests the public key for generating the bio certificate to the
다음 단계로 바이오 키 관리 장치(300)는 바이오 정보 처리 모듈(310)를 통해서 사용자의 바이오 정보를 인식하고 특징 점을 추출한다. 그리고 바이오 인증 모듈(320)을 통해서 사용자를 확인하고, 바이오 키 모듈 관리 모듈(340)에서 관리되고 있는 사용자의 바이오 키 생성 모델에 특징 점을 주입해서 사용자의 고정된 바이오 키 정보를 확인하고 리턴 한다.Next, the
다음 단계로 FIDO 인증장치(200)는 인증 키 관리 모듈(250)을 통해서 사용자의 바이오 키와 연관된 공개키 쌍을 생성한다. 공개키 쌍을 생성할 때 사용자의 바이오 키 정보는 seed 값으로 이용된다. seed 값이 다르면 매번 다른 공개키 쌍이 생성된다. 그리고 인증 키 관리 모듈(250)에는 사용자의 바이오 키 정보가 저장되어 관리되지 않고, 매번 사용자의 바이오 정보를 통해서 고정된 바이오 키를 추출한다. 항상 동일한 바이오 키가 추출되기 때문에 바이오 인증서를 발급하는 단계에서 생성한 공개키 쌍과 동일한 키 쌍을 재현할 수 있다. 그러므로 공개키와 연결된 개인키 또한 FIDO 인증장치(200)에서 저장 관리할 필요가 없어 바이오 인증서에 대한 개인키 유출 문제를 원천적으로 방지할 수 있다.As a next step, the
다음 단계로 바이오 관리 앱은 사용자의 바이오 키와 연관된 공개키와 참조번호/인가코드 정보를 사용해서 바이오 인증서 발급 신청서를 작성하고 CA 서버(500)에 전달한다. CA 서버(500)는 발급을 요청하는 공개키에 대한 비밀키를 이용할 수 있는 FIDO 인증장치(200)와 인증서 발급을 위한 전자서명 및 통상적인 절차를 수행해서 바이오 인증서를 발급한다. 발급된 바이오 인증서는 FIDO 인증장치(200)의 바이오 인증서 관리 모듈(260)에 저장 관리된다.As a next step, the bio management app creates a bio certificate issuance application using the public key and reference number / authorization code information associated with the user's bio key and transmits it to the
도 8은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 FIDO 서버(400)에 등록하는 흐름을 나타내는 도면이다.8 is a diagram illustrating a flow of registering a user's bio-certificate to the
응용 클라이언트인 비대면 은행 앱은 사용자의 바이오 인증서를 FIDO 서버(400)에 등록하고, 등록된 바이오 인증서를 이용해서 사용자 인증을 처리할 수 있는 기능을 제공한다. 사용자의 바이오 인증서를 FIDO 서버에 등록하기 위해서는 FIDO 인증장치(200)에 사용자의 바이오 인증서가 저장 관리되고 있어야 한다.The non-face-to-face banking application, which is an application client, registers the user's bio certificate to the
비대면 은행 앱은 FIDO 서버(400)에 사용자의 바이오 인증서 등록을 요청한다. FIDO 서버(400)는 FIDO 등록을 위한 요청 메시지를 생성하고 FIDO 인증장치(200)에게 전달한다.The non-face-to-face bank app requests the user to register the user's bio certificate to the
FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 사용자를 확인하고, 바이오 인증서 관리 모듈(260)에서 관리하고 있는 사용자의 바이오 인증서를 포함한 FIDO 등록 응답 메시지(Attestation)를 생성한다. 그리고 등록키 관리 모듈(240)에서 관리되고 있는 비밀키(등록키)로 FIDO 등록 응답 메시지를 전자서명하고, 등록키 관리 모듈(240)에서 관리되고 있는 등록 인증서와 전자서명문을 FIDO 서버(400)에게 전송한다.다음 단계로 FIDO 서버(400)는 FIDO 표준 방식으로 등록 인증서에 대한 인증서 경로 검증을 수행한다. 인증서 경로 검증이 성공이면, 등록 인증서에 포함되어 있는 공개키 정보를 이용해서 전자서명된 FIDO 등록 응답 메시지를 검증하고, FIDO 등록 응답 메시지가 포함하고 있는 사용자의 바이오 인증서를 저장한다. FIDO 서버(400)에 저장된 사용자의 바이오 인증서는 FIDO 인증 단계에서 FIDO 인증 응답 메시지에 대한 전자서명을 검증하는데 사용된다. 전자서명의 검증이 성공되면, FIDO 등록 응답 메시지에 포함되어 있는 바이오 인증서 정보가 서버에 등록된다.The
도 9은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 이용해서 FIDO 서버(400)를 통한 인증을 처리하는 흐름을 나타내는 도면이다.9 is a view showing a flow of processing authentication through the
비대면 은행 앱은 FIDO 서버(400)에 비대면 인증을 요청하고, FIDO 서버(400)는 FIDO 인증 요청 메시지를 FIDO 인증장치(200)에게 전달한다.The non-face-to-face bank app requests non-face-to-face authentication to the
FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 사용자를 확인하고 사용자의 바이오 키 정보를 제공 받기 위해서 바이오 키 관리 장치(300)를 호출한다.. 그리고 인증 키 관리 모듈(250)은 사용자의 고정된 바이오 키 정보 이용해서 바이오 인증서를 발급할 때 사용한 공개키 쌍과 동일한 키 쌍을 생성한다. The
다음 단계로 FIDO 인증장치(200)는 FIDO 인증 응답 메시지를 생성하고, 인증 키 관리 모듈(250)에서 생성한 공개키 쌍 중에서 비밀키로 FIDO 인증 응답 메시지를 전자서명한다. 전자서명된 FIDO 인증 응답 메시지를 포함한 Assertion 메시지를 FIDO 서버(400)에 전송한다.As a next step, the
다음 단계로 FIDO 서버(400)는 전자서명된 FIDO 인증 응답 메시지를 사용자의 바이오 인증서를 이용해서 검증하고 그 결과를 서버 응답으로 전달한다.As a next step, the
본 발명은 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 공개키 쌍을 생성하기 위한 Seed 값으로 사용하고, 생성된 공개키를 기반으로 발급한 바이오 인증서를 활용하여 온라인에서 사용자를 비대면으로 인증하는 기술이다. The present invention uses fixed bio-key information extracted from the user's bio-information as a seed value to generate a public key pair, and utilizes a bio-certificate issued based on the generated public key to face the user online. It is an authentication technology.
Seed 값이 고정이면 매번 동일한 공개키 쌍을 생성할 수 있기 때문에 공개키 인증을 위한 비밀키 값을 저장하지 않고 필요시 마다 사용자의 바이오 정보를 이용해서 등록 단계에서 생성한 비밀키를 다시 생성할 수 있다. 그래서 본 발명은 비밀키를 저장하지 않으며, 또한 비밀키 갱신이 가능하여 비밀키 유출 및 관리 측면에서 매우 큰 장점이 있는 비대면 본인 확인 시스템이다. If the Seed value is fixed, the same public key pair can be generated each time, so the secret key generated in the registration step can be regenerated using the user's bio information whenever necessary without saving the secret key value for public key authentication. have. Therefore, the present invention is a non-face-to-face identity verification system that does not store a secret key and can also renew a secret key, which has a very great advantage in terms of leakage and management of the secret key.
비밀키 갱신 방법은 사용자의 바이오 키 생성 모델을 다시 생성하는 것이다. 바이오 키 생 모델을 생성 할 때, 사용자의 바이오 특징점이 동일하더라도 학습을 위한 파라미터 값을 랜덤하게 변경하여 다른 바이오 키 정보가 추출될 수 있도록 할 수 있다.The secret key update method is to regenerate the user's bio key generation model. When generating a bio-key bio-model, even if the user's bio-feature points are the same, it is possible to randomly change the parameter value for learning so that other bio-key information can be extracted.
따라서 바이오 인증서를 활용한 사용자 인증은 사용자의 바이오 인식을 통한 고정된 바이오 키 정보 없이는 인증이 불가능하기 때문에 오프라인에서 사용자의 얼굴과 신분증의 사진을 대조하여 행위와 유사한 효과를 가질 수 있다. Therefore, the user authentication using the bio certificate cannot be authenticated without the fixed bio key information through the user's biometric recognition, so it can have an effect similar to the behavior by comparing the user's face and the photo of the ID card offline.
그래서 본 발명은 지금의 비대면 본인 확인 인증 방식과 절차를 간소화 할 수 있을 것으로 기대한다.Therefore, the present invention is expected to be able to simplify the current non-face-to-face identity verification method and procedure.
본 발명의 이점 및 특징, 그것들을 달성하는 방법은 첨부되어 있는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 제시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. Advantages and features of the present invention, and methods for achieving them will be clarified with reference to embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments set forth below, but may be implemented in various different forms, and only the present embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention pertains It is provided to completely inform the person having the scope of the invention, and the present invention is only defined by the scope of the claims.
100: FIDO 클라이언트
200: FIDO 인증장치
300: 바이오 키 관리 장치
400: FIDO 서버
500: CA 서버
600: 바이오 키 모델 학습 서버
210: 사용자 인증 모듈
220: 디스플레이 모듈
230: 통신 인터페이스
240: 등록 키 관리 모듈
250: 인증 키 관리 모듈
260: 바이오 인증서 관리 모듈
310: 바이오 정보 처리 모듈
320: 바이오 인증 모듈
330: 통신 인터페이스
340: 바이오 키 모델 관리 모듈100: FIDO client
200: FIDO authentication device
300: bio key management device
400: FIDO server
500: CA server
600: bio key model learning server
210: user authentication module
220: display module
230: communication interface
240: registration key management module
250: authentication key management module
260: bio certificate management module
310: bio information processing module
320: bio certification module
330: communication interface
340: bio key model management module
Claims (1)
사용자의 바이오 키에 기초하여 공개키 쌍을 생성하고, 상기 공개키 쌍에 기초하여 바이오 인증서를 생성하는 단계;
상기 생성된 바이오 인증서를 FIDO(Fast IDentity Online) 서버에 등록하는 단계;
상기 FIDO 서버의 인증 요청에 따라 전자 서명된 FIDO 인증 응답 메시지를 송신하는 단계; 및
상기 등록된 바이오 인증서에 기초하여 상기 전자서명된 FIDO 인증 응답 메시지를 검증하고 상기 검증 결과를 수신하는 단계;
를 포함하되,
상기 FIDO 서버의 인증 요청이 있는 경우,
사용자의 상기 바이오 키를 확인한 후 상기 바이오 키에 기초하여 상기 공개키 쌍을 재 생성하고,
상기 FIDO 인증 응답 메시지는 상기 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명되는 것을
특징으로 하는 비대면 본인 확인 수행 방법.In the method of performing non-face-to-face identification using the user's bio certificate
Generating a public key pair based on the user's bio key, and generating a bio certificate based on the public key pair;
Registering the generated bio-certificate to a Fast IDentity Online (FIDO) server;
Transmitting an electronically signed FIDO authentication response message according to the authentication request of the FIDO server; And
Verifying the electronically signed FIDO authentication response message based on the registered bio-certificate and receiving the verification result;
Including,
When there is a request for authentication from the FIDO server,
After confirming the user's bio key, the public key pair is regenerated based on the bio key,
The FIDO authentication response message is digitally signed using the secret key generated from the regenerated public key.
A method of performing non-personal identification with the feature.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180138006A KR102547590B1 (en) | 2018-11-12 | 2018-11-12 | Apparatus and method for performing non-face-to-face identification using a bio-certificate |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180138006A KR102547590B1 (en) | 2018-11-12 | 2018-11-12 | Apparatus and method for performing non-face-to-face identification using a bio-certificate |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200054571A true KR20200054571A (en) | 2020-05-20 |
KR102547590B1 KR102547590B1 (en) | 2023-06-27 |
Family
ID=70919690
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180138006A KR102547590B1 (en) | 2018-11-12 | 2018-11-12 | Apparatus and method for performing non-face-to-face identification using a bio-certificate |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102547590B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022097982A1 (en) * | 2020-11-06 | 2022-05-12 | 주식회사 아이온커뮤니케이션즈 | Method and server for providing face recognition-based digital signature service |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180069669A (en) * | 2016-12-15 | 2018-06-25 | 한국인터넷진흥원 | System for non-password secure biometric digital signagure |
KR20180087543A (en) * | 2017-01-24 | 2018-08-02 | 한국전자통신연구원 | Key management method and fido authenticator software authenticator |
-
2018
- 2018-11-12 KR KR1020180138006A patent/KR102547590B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180069669A (en) * | 2016-12-15 | 2018-06-25 | 한국인터넷진흥원 | System for non-password secure biometric digital signagure |
KR20180087543A (en) * | 2017-01-24 | 2018-08-02 | 한국전자통신연구원 | Key management method and fido authenticator software authenticator |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022097982A1 (en) * | 2020-11-06 | 2022-05-12 | 주식회사 아이온커뮤니케이션즈 | Method and server for providing face recognition-based digital signature service |
Also Published As
Publication number | Publication date |
---|---|
KR102547590B1 (en) | 2023-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107070667B (en) | Identity authentication method | |
CN105427099B (en) | The method for network authorization of secure electronic transaction | |
CN106330850B (en) | Security verification method based on biological characteristics, client and server | |
US8438385B2 (en) | Method and apparatus for identity verification | |
WO2017177435A1 (en) | Identity authentication method, terminal and server | |
US11394712B2 (en) | Secure account access | |
CN106850201B (en) | Intelligent terminal multiple-factor authentication method, intelligent terminal, certificate server and system | |
US10771451B2 (en) | Mobile authentication and registration for digital certificates | |
US20200196143A1 (en) | Public key-based service authentication method and system | |
EP3665856A1 (en) | Mobile authentication interoperability for digital certificates | |
CN104660412A (en) | Password-less security authentication method and system for mobile equipment | |
CN113591057B (en) | Biological characteristic off-line identity recognition method and system | |
CN107634834A (en) | A kind of trusted identity authentication method based on the more scenes in multiple terminals | |
CN108400989B (en) | Security authentication equipment, method and system for shared resource identity authentication | |
CN115150072A (en) | Cloud network issuing authentication method, equipment, device and storage medium | |
CN111010279A (en) | Remote multi-factor authentication protocol based on zero-knowledge proof | |
CN112383401B (en) | User name generation method and system for providing identity authentication service | |
KR102547590B1 (en) | Apparatus and method for performing non-face-to-face identification using a bio-certificate | |
CN111767531A (en) | Authentication system and method based on biological characteristics | |
CN115865360A (en) | Continuous electronic signature method and system of credible identity token based on security component | |
CN108512832A (en) | A kind of safe Enhancement Method for OpenStack authentications | |
CN115967581A (en) | Login verification method and device, electronic equipment and storage medium | |
CN116112242A (en) | Unified safety authentication method and system for power regulation and control system | |
JP2019161405A (en) | Authentication server device, and system and method for authentication | |
US9281947B2 (en) | Security mechanism within a local area network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |