KR20200054571A - Apparatus and method for performing non-face-to-face identification using a bio-certificate - Google Patents

Apparatus and method for performing non-face-to-face identification using a bio-certificate Download PDF

Info

Publication number
KR20200054571A
KR20200054571A KR1020180138006A KR20180138006A KR20200054571A KR 20200054571 A KR20200054571 A KR 20200054571A KR 1020180138006 A KR1020180138006 A KR 1020180138006A KR 20180138006 A KR20180138006 A KR 20180138006A KR 20200054571 A KR20200054571 A KR 20200054571A
Authority
KR
South Korea
Prior art keywords
bio
user
key
fido
certificate
Prior art date
Application number
KR1020180138006A
Other languages
Korean (ko)
Other versions
KR102547590B1 (en
Inventor
김석현
조상래
조영섭
김수형
김승현
김영삼
노종혁
조관태
조진만
진승헌
황정연
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180138006A priority Critical patent/KR102547590B1/en
Publication of KR20200054571A publication Critical patent/KR20200054571A/en
Application granted granted Critical
Publication of KR102547590B1 publication Critical patent/KR102547590B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to a method for identifying a user online in a non-face-to-face manner by issuing a bio-certificate related to bio information of a user and utilizing the bio-certificate. The method comprises the steps of: generating a bio-certificate; registering the generated bio-certificate in a fast identity online (FIDO) server; transmitting a FIDO identification response message; and verifying the FIDO identification response message and receiving a verification result.

Description

바이오 인증서를 이용하여 비대면으로 본인 확인을 수행하는 장치 및 방법 {Apparatus and method for performing non-face-to-face identification using a bio-certificate}Apparatus and method for performing non-face-to-face identification using a bio-certificate}

본 발명은 사용자의 고정된 바이오 키 정보를 이용하여 바이오 인증서를 발급하고 바이오 인증서 기반의 사용자 인증 방법에 관한 것이다.The present invention relates to a method for issuing a bio certificate using a user's fixed bio key information and a user authentication method based on the bio certificate.

바이오 인증 기술은 기존 인증방식 보다 우수한 편의성과 보안성을 기반으로 다양한 분야에 활용되고 있다. 특히 2015년 FIDO(Fast IDentity Online) 인증 기술이 도입되면서 온라인을 통한 바이오 인증 기술 도입이 증가하고 있다. 그리고 사용자 인증 기술이 발전하면서 온라인과 오프라인 서비스의 경계가 점차 없어지고 있으며 최근 인터넷전문은행이 출범하면서 온라인 상에서 비대면 본인 확인 기술에 대한 연구 및 필요성이 강조되고 있다. Bio authentication technology is being used in various fields based on convenience and security superior to existing authentication methods. In particular, as FIDO (Fast IDentity Online) authentication technology was introduced in 2015, the introduction of online bio-authentication technology is increasing. In addition, as user authentication technology develops, the boundary between online and offline services is gradually disappearing, and recently, with the launch of an Internet specialized bank, research and necessity for non-face-to-face identity verification technologies have been emphasized.

현재 비대면 본인 확인 기술은 영상 통화와 신분증 전송, 휴대폰 본인확인 방식 등 다양한 방식을 조합해서 인증을 처리하는 복잡한 구조이다. Current non-face-to-face identity verification technology is a complex structure that handles authentication by combining various methods such as video calling, identification card transmission, and cell phone identity verification.

따라서 간편한 절차를 통해 수행될 수 있는 바이오 인증 기술이 적용된 비대면 본인 확인 방법이 필요한 실정이다. Therefore, there is a need for a non-face-to-face identity verification method that can be performed through a simple procedure.

본 발명의 목적은 사용자의 바이오 정보와 연관된 바이오 인증서를 발급하고, 바이오 인증서를 활용하여 온라인에서 사용자를 인증하는 방법을 제시하기 위함이다. An object of the present invention is to issue a bio certificate associated with a user's bio information, and to present a method for authenticating a user online using the bio certificate.

본 발명의 목적은 공개키 인증을 위한 비밀키 값을 저장하지 않고 매회 재 생성할 수 있는바, 비밀키 유출 방지 및 관리에 유용한 비대면 본인 확인 방법 및 장치를 제공하기 위함이다.An object of the present invention is to provide a non-face-to-face identity verification method and apparatus useful for preventing and managing leakage of a secret key, as it can be regenerated each time without storing the secret key value for public key authentication.

본 발명의 목적은 오프라인에서의 사용자의 얼굴 및 신분증의 사진을 대조하는 행위와 유사한 보안상의 효과를 온라인 상에서도 제공하기 위함이다.An object of the present invention is to provide a security effect similar to the act of contrasting a picture of a user's face and identification card offline even online.

본 발명의 목적은 기존의 비대면 본인 확인 인증 방식과 절차를 간소화한 본인 확인 인증 방식을 제공하기 위함이다.An object of the present invention is to provide an existing non-face-to-face identity verification authentication method and a simplified identity verification authentication method.

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems that are not mentioned will be clearly understood by those skilled in the art from the following description. Will be able to.

본 발명의 일 실시예에 따라, 사용자의 바이오 인증서를 이용하여 비대면 본인 확인을 수행하는 방법 및 장치를 제공할 수 있다. According to an embodiment of the present invention, it is possible to provide a method and apparatus for performing face-to-face identity verification using a user's bio-certificate.

이 때 사용자의 바이오 인증서를 이용하여 비대면 본인 확인을 수행하는 방법 및 장치는 사용자의 바이오 키에 기초하여 공개키 쌍을 생성하고, 상기 공개키 쌍에 기초하여 바이오 인증서를 생성하고, 상기 생성된 바이오 인증서를 FIDO(Fast IDentity Online) 서버에 등록하고, 상기 FIDO 서버의 인증 요청에 따라 전자 서명된 FIDO 인증 응답 메시지를 송신하며, 상기 등록된 바이오 인증서에 기초하여 상기 전자서명된 FIDO 인증 응답 메시지를 검증하고 상기 검증 결과를 수신한다.At this time, the method and apparatus for performing non-personal identification using the user's bio-certificate generate a public key pair based on the user's bio-key, generate a bio-certificate based on the public key pair, and generate the Register a bio-certificate to a Fast IDentity Online (FIDO) server, send an electronically signed FIDO authentication response message according to the authentication request of the FIDO server, and send the electronically signed FIDO authentication response message based on the registered bio-certificate. Verify and receive the verification result.

또한 FIDO 서버의 인증 요청이 있는 경우, 사용자의 상기 바이오 키를 확인한 후 상기 바이오 키에 기초하여 상기 공개키 쌍을 재 생성하고, 상기 FIDO 인증 응답 메시지는 상기 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명될 수 있다.In addition, when there is an authentication request from the FIDO server, after confirming the user's bio-key, the public key pair is regenerated based on the bio-key, and the FIDO authentication response message is a secret key generated from the re-generated public key. Can be digitally signed.

본 발명은 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 이용해서 공개키 쌍을 생성하므로 대리서명을 방지하는 효과를 가질 수 있다.Since the present invention generates a public key pair using fixed bio key information extracted from the user's bio information, it can have an effect of preventing proxy signatures.

본 발명은 온라인 상에서 비대면 본일 확인 기술로 활용될 수 있는 효과가 있다.The present invention has an effect that can be utilized as an online face-to-face identification technology.

또한 현재 온라인에서 사용자 인증 기술로 많이 활용되고 있는 FIDO 인증 시스템을 기반으로 바이오 인증서를 등록하고 바이오 인증서를 기반으로 사용자를 인증하는 구조이기 때문에 기술 적용 및 운용 측면에서 효율성이 높고, 사용자 측면에서도 바이오 인식 기술을 이용하기 때문에 지금의 비대면 본인 확인 인증 방식과 절차를 간소화 할 수 있다.In addition, since it is a structure that registers a bio certificate and authenticates a user based on the bio certificate based on the FIDO authentication system, which is currently used as a user authentication technology that is widely used online, it is highly efficient in terms of technology application and operation, and also recognizes the user in the bio Using technology, it is possible to simplify the current non-face-to-face authentication method and procedure.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned may be clearly understood by those skilled in the art from the following description. will be.

도 1은 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 FIDO 인증장치를 구성하는 모듈을 나타내는 도면이다.
도 3은 본 발명의 일 실시예에 따른 바이오 키 관리 장치를 구성하는 모듈을 나타내는 도면이다.
도 4는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법에 대한 흐름도이다.
도 5 는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치가 비대면 본인을 확인하는 방법에 대한 흐름도이다.
도 6는 본 발명의 일 실시예에 따라 사용자의 바이오 키 추출을 위한 바이오 키 학습 모델을 생성하고 설치하는 흐름을 나타내는 도면이다.
도 7는 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 발급하는 흐름을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 FIDO 서버에 등록하는 흐름을 나타내는 도면이다.
도 9은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 이용해서 FIDO 서버를 통한 인증을 처리하는 흐름을 나타내는 도면이다.1 is a view showing a non-face-to-face identity verification system using a bio certificate according to an embodiment of the present invention.
2 is a view showing a module constituting a FIDO authentication apparatus according to an embodiment of the present invention.
3 is a view showing a module constituting a bio-key management apparatus according to an embodiment of the present invention.
4 is a flowchart of a method for generating and registering a bio-certificate of a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention.
5 is a flowchart of a method for a non-face-to-face identity verification apparatus using a bio-certificate according to an embodiment of the present invention to identify a face-to-face identity.
6 is a diagram illustrating a flow of generating and installing a bio-key learning model for extracting a user's bio-key according to an embodiment of the present invention.
7 is a view showing a flow for issuing a user's bio certificate according to an embodiment of the present invention.
8 is a view showing a flow of registering a user's bio-certificate to a FIDO server according to an embodiment of the present invention.
9 is a view showing a flow of processing authentication through a FIDO server using a user's bio certificate according to an embodiment of the present invention.

이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art to which the present invention pertains may easily practice. However, the present invention can be implemented in many different forms and is not limited to the embodiments described herein.

본 발명의 실시 예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 발명에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.In describing the embodiments of the present invention, when it is determined that a detailed description of known configurations or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted. In the drawings, parts irrelevant to the description of the present invention are omitted, and similar reference numerals are used for similar parts.

본 발명에 있어서, 어떤 구성요소가 다른 구성요소와 "연결", "결합" 또는 "접속"되어 있다고 할 때, 이는 직접적인 연결관계뿐만 아니라, 그 중간에 또 다른 구성요소가 존재하는 간접적인 연결관계도 포함할 수 있다. 또한 어떤 구성요소가 다른 구성요소를 "포함한다" 또는 "가진다"고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 배제하는 것이 아니라 또 다른 구성요소를 더 포함할 수 있는 것을 의미한다.In the present invention, when a component is said to be "connected", "coupled" or "connected" with another component, this is not only a direct connection relationship, but also an indirect connection relationship in which another component exists in the middle. It may also include. Also, when a component is said to "include" or "have" another component, this means that other components may be further included, not specifically excluded, unless otherwise stated. .

본 발명에 있어서, 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용되며, 특별히 언급되지 않는 한 구성요소들간의 순서 또는 중요도 등을 한정하지 않는다. 따라서, 본 발명의 범위 내에서 일 실시 예에서의 제1 구성요소는 다른 실시 예에서 제2 구성요소라고 칭할 수도 있고, 마찬가지로 일 실시 예에서의 제2 구성요소를 다른 실시 예에서 제1 구성요소라고 칭할 수도 있다.In the present invention, terms such as first and second are used only for the purpose of distinguishing one component from other components, and do not limit the order or importance between components unless otherwise specified. Accordingly, within the scope of the present invention, the first component in one embodiment may be referred to as a second component in another embodiment, and likewise the second component in one embodiment may be the first component in another embodiment It can also be called.

본 발명에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위함이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시 예도 본 발명의 범위에 포함된다.In the present invention, the components that are distinguished from each other are for clarifying each feature, and the components are not necessarily separated. That is, a plurality of components may be integrated to be composed of one hardware or software unit, or one component may be distributed to be composed of multiple hardware or software units. Accordingly, such integrated or distributed embodiments are included in the scope of the present invention, unless otherwise stated.

본 발명에 있어서, 다양한 실시 예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들은 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시예도 본 발명의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 발명의 범위에 포함된다.In the present invention, components described in various embodiments do not necessarily mean components, and some may be optional components. Therefore, an embodiment composed of a subset of components described in one embodiment is also included in the scope of the present invention. In addition, embodiments including other components in addition to the components described in various embodiments are also included in the scope of the present invention.

본 발명은 사용자의 바이오 정보에서 매번 일정하게 추출되는 바이오 키 정보를 이용해서 바이오 인증서를 발급하고, 온라인에서 바이오 인증서를 활용한 사용자 인증 시스템이다. 이 인증 시스템은 사용자의 바이오 정보와 연결된 바이오 인증서를 이용한 시스템이므로 대리 서명이 불가능하여 비대면 본인 확인 기술로 활용될 수 있다.The present invention is a user authentication system that uses a bio-certificate online to issue a bio-certificate using bio-key information that is constantly extracted from the user's bio-information each time. Since this authentication system is a system using a bio-certificate that is linked to the user's bio-information, proxy signing is not possible and can be used as a non-face-to-face identity verification technology.

이 때 본 발명을 실시하기 위해, 사용자의 바이오 정보를 이용해서 고정된 바이오 키 정보를 추출하는 방법에 대한 공지된 다양한 방법이 응용될 수 있다. 또한 본 발명의 일 실시예로 사용자의 바이오 정보를 이용해서 고정된 바이오 키 정보를 추출할 수 있는 방법은 선행 문헌 1(KR 2017-0155930, '바이오 정보를 이용한 공개키 기반구조에서의 개인키 관리 방법 및 장치')을 참조할 수 있다.At this time, in order to implement the present invention, various known methods for extracting fixed bio-key information using the user's bio-information may be applied. Also, as an embodiment of the present invention, a method of extracting fixed bio-key information using the user's bio-information is described in the prior document 1 (KR 2017-0155930, 'Personal key management in public key infrastructure using bio-information') Method and Apparatus').

이하에서는, 본 발명의 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치 및 방법을 첨부한 도면들을 참조하여 설명한다. 본 발명에 따른 동작 및 작용을 이해하는데 필요한 부분을 중심으로 상세히 설명한다.Hereinafter, a non-face-to-face identification device and method using a bio certificate according to an embodiment of the present invention will be described with reference to the accompanying drawings. It will be described in detail focusing on the parts necessary to understand the operation and operation according to the present invention.

도 1은 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 시스템을 나타내는 도면이다.1 is a view showing a non-face-to-face identity verification system using a bio certificate according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 본 발명의 바이오 인증서를 이용한 비대면 본인 확인 시스템은 사용자 장치(User Device)와 Relying party(RP)로 구성될 수 있다. As shown in Figure 1, the non-face-to-face identity verification system using the bio-certificate of the present invention may be composed of a user device (User Device) and a relying party (RP).

사용자 장치(User Device)는 바이오 인증 서비스 및 바이오 정보 관리가 수행될 수 있는 장치에 해당 될 수 있고, 본 발명의 일 실시예로 스마트 폰 등이 해당될 수 있다. 다만 본 발명에 따른 동작이 수행될 수 있는 장치는 사용자 장치에 해당될 수 있는바, 일 실시예에 한정되지 않는다.The user device may be a device capable of performing bio-authentication service and bio-information management, and may be a smart phone or the like as an embodiment of the present invention. However, the device on which the operation according to the present invention can be performed may correspond to a user device, and is not limited to one embodiment.

사용자 장치(User Device)는 응용 클라이언트, FIDO(Fast IDentity Online) 클라이언트(100), FIDO(Fast IDentity Online) 인증장치(200), 바이오 키 관리 장치(300)로 구성될 수 있다. The user device may include an application client, a Fast IDentity Online (FIDO) client 100, a Fast IDentity Online (FIDO) authentication device 200, and a bio key management device 300.

이때 FIDO 클라이언트(100)는 응용 어플리케이션으로 구성될 수 있고, OS 자체에서 제공하는 FIDO Client나 웹 브라우저에서 제공하는 FIDO Client 기능을 활용할 수 있다.At this time, the FIDO client 100 may be configured as an application application, and may utilize the FIDO Client provided by the OS itself or the FIDO Client provided by a web browser.

이때 응용 클라이언트는 서비스를 제공할 수 있는 어플리케이션에 해당될 수 있다. 이 때 응용 클라이언트는 비대면 인증 서비스를 제공하는 서비스 어플리케이션이 해당 될 수 있으며, 본 발명의 일 실시예로 비대면 뱅킹 어플리케이션이 해당 될 수 있다. 또한 응용 클라이언트는 바이오 인증서를 관리할 수 있는 서비스 어플리케이션에 해당될 수 있으며, 바이오 인증서 및 바이오 정보를 발급, 갱신, 폐기하는 동작이 수행될 수 있는 어플리케이션에 해당될 수 있다.At this time, the application client may correspond to an application capable of providing a service. At this time, the application client may be a service application that provides a non-face-to-face authentication service, and may be a non-face-to-face banking application as an embodiment of the present invention. Also, the application client may correspond to a service application capable of managing the bio-certificate, and may correspond to an application capable of performing an operation for issuing, updating, and revoking the bio-certificate and bio-information.

Relying party(RP)는 응용서버, FIDO 서버(400), CA 서버(500), 바이오 키 모델 학습 서버(600)으로 구성될 수 있다. The relying party (RP) may be composed of an application server, a FIDO server 400, a CA server 500, and a bio key model learning server 600.

사용자 장치는 Relying party(RP)와 네트워크를 통해 정보를 송수신할 수 있으며, 본 발명의 일 실시예로 사용자 장치는 바이오 특징점을 전송하고, Relying party 로부터 생성된 바이오 키 생성 모델을 수신할 수 있다. 또한 사용자 장치는 바이오 인증서 발급 요청을 Relying party 에 송신할 수 있으며, 발급된 바이오 인증서를 FIDO 서버에 등록할 수 있다. 바이오 인증서가 등록된 후에는 FIDO 서버와 통신하여 사용자 인증 절차를 수행할 수 있다. The user device may transmit and receive information through a relying party (RP) and a network, and according to an embodiment of the present invention, the user device may transmit a bio feature point and receive a bio key generation model generated from the relying party. In addition, the user device may transmit a request for issuing a bio certificate to the relying party, and may register the issued bio certificate to the FIDO server. After the bio certificate is registered, a user authentication procedure can be performed by communicating with the FIDO server.

FIDO 클라이언트(100)는 FIDO 서버와 연동하여 FIDO 인증장치를 호출한다. 보다 상세하게는 FIDO 클라이언트(100)는 FIDO 서버(400)가 보내는 요청 메시지를 해석하고 FIDO 인증장치(200)에 FIDO 기능을 요청할 수 있다. FIDO client 100 calls the FIDO authentication device in conjunction with the FIDO server. In more detail, the FIDO client 100 may interpret the request message from the FIDO server 400 and request the FIDO function from the FIDO authentication device 200.

FIDO 인증장치(200)는 FIDO 클라이언트(100)로부터 요청된 FIDO 기능을 수신하고, 사용자를 확인한다. 사용자가 확인된 경우 사용자의 바이오 인증서를 기반으로 전자서명이 실행된다. 보다 상세하게는 FIDO 인증장치(200)는 사용자를 확인하고, 사용자의 고정된 바이오 키 정보를 이용하여 공개키 쌍을 생성하고, 생성된 공개키 정보를 기반으로 생성된 바이오 인증서 관리 및 FIDO 등록/인증을 위한 전자서명을 수행할 수 있다. The FIDO authentication device 200 receives the requested FIDO function from the FIDO client 100 and verifies the user. If the user is verified, the digital signature is executed based on the user's bio certificate. In more detail, the FIDO authentication device 200 identifies the user, generates a public key pair using the user's fixed bio key information, manages the generated bio certificate based on the generated public key information, and registers FIDO / Digital signatures for authentication can be performed.

즉, FIDO 인증장치(200)는 바이오 키 관리 장치(300)로부터 생성된 사용자의 고정된 바이오 키로부터 공개키 쌍을 생성하고 사용자의 바이오 인증서를 관리한다. 이 때 비밀키를 저장관리 하지 않고, 필요 시 사용자의 바이오 정보로부터 고정된 바이오 키를 추출하고, 바이오 키로부터 비밀키를 생성한다.That is, the FIDO authentication device 200 generates a public key pair from the user's fixed bio key generated from the bio key management device 300 and manages the user's bio certificate. At this time, without storing and managing the secret key, if necessary, a fixed bio key is extracted from the user's bio information, and a secret key is generated from the bio key.

또한 FIDO 인증장치(200)는 사용자의 바이오 인증서를 포함하고 있는 FIDO 등록 메시지(Attestation)를 생성한다. In addition, the FIDO authentication device 200 generates a FIDO registration message (Attestation) including the user's bio-certificate.

FIDO 인증장치(200)는 사용자 인증을 위해서 사용자의 고정된 바이오 키로부터 생성한 비밀키를 이용하여 FIDO 인증에 필요한 전자서명을 수행한다.The FIDO authentication device 200 performs electronic signature necessary for FIDO authentication using a secret key generated from the user's fixed bio key for user authentication.

바이오 키 관리 장치(300)는 사용자의 바이오 정보로부터 사용자의 고정된 바이오 키 정보를 추출한다. The bio key management apparatus 300 extracts the user's fixed bio key information from the user's bio information.

FIDO 서버 장치(400)는 사용자의 바이오 인증서를 등록하고 인증 및 해지 기능을 처리한다. 즉, FIDO 서버 장치(400)는 FIDO 클라이언트(100)와 연동하여 사용자의 바이오 인증서를 등록하고 사용자를 인증할 수 있다. 보다 상세하게는 FIDO 서버(400)는 바이오 인증서를 등록하고, 등록된 바이오 인증서를 통해서 사용자를 인증하고, 등록된 바이오 인증서를 삭제할 수 있는 기능을 제공한다. 이 때, FIDO 서버 장치(400)의 기능과 비교할 때, 바이오 인증서 갱신은 CA 서버(500)만 할 수 있다.The FIDO server device 400 registers the user's bio certificate and processes authentication and revocation functions. That is, the FIDO server device 400 may register the user's bio certificate and authenticate the user in conjunction with the FIDO client 100. In more detail, the FIDO server 400 provides a function for registering a bio certificate, authenticating a user through the registered bio certificate, and deleting the registered bio certificate. At this time, when compared with the function of the FIDO server device 400, the bio-certificate can be updated only by the CA server 500.

CA(Certification Authority) 서버(500)는 바이오 인증서에 대한 전반적인 관리를 수행할 수 있다. 보다 상세하게는 CA(Certification Authority) 서버(500)는 사용자의 바이오 키 정보로부터 생성된 공개키에 대한 바이오 인증서를 발급할 수 있고, 바이오 인증서를 갱신 및 폐기할 수 있다. The certification authority (CA) server 500 may perform overall management of the bio-certificate. More specifically, the CA (Certification Authority) server 500 may issue a bio certificate for the public key generated from the user's bio key information, and renew and revoke the bio certificate.

바이오 키 모델 학습 서버(600)는 사용자의 바이오 정보를 학습하여 사용자의 고정된 바이오 키를 추출할 수 있는 모델을 생성할 수 있다.The bio key model learning server 600 may generate a model capable of extracting a user's fixed bio key by learning the user's bio information.

도 2는 본 발명의 일 실시예에 따른 FIDO 인증장치(200)를 구성하는 모듈을 나타내는 도면이다.2 is a view showing a module constituting the FIDO authentication apparatus 200 according to an embodiment of the present invention.

FIDO 인증장치(200)는 사용자 인증 모듈(210), 디스플레인 모듈(220), 통신 인터페이스(230), 등록 키 관리 모듈(240), 인증 키 관리 모듈(250) 및 바이오 인증서 관리 모듈(260)로 구성될 수 있다. The FIDO authentication device 200 includes a user authentication module 210, a display module 220, a communication interface 230, a registration key management module 240, an authentication key management module 250, and a bio certificate management module 260. It can be composed of.

FIDO 인증장치(200)는 기본적으로 기기(User Device)의 사용자, 즉 소유자를 확인하는 절차를 먼저 수행하고 소유자로 판단된 경우에만 다른 기능들이 동작되도록 구성된다. The FIDO authentication device 200 is configured to basically perform a procedure of identifying a user, that is, an owner of a user device, and operate other functions only when it is determined that the owner is the owner.

따라서 먼저 사용자 인증 모듈(210)는 기기(User Device)의 사용자가 본인에 해당하는지에 대한 확인을 수행한다. 이 경우 사용자의 단말에서 수행될 수 있는 사용자를 확인할 수 있는 다양한 방법을 이용할 수 있다. 본 발명의 일 실시예로 사용자 인증 모듈(210)는 소유자 식별 방식이 얼굴 인식인 경우 사용자의 얼굴을 미리 등록하고 실제 본인을 확인하기 위해서 얼굴을 인식하는 절차를 수행한다.Therefore, the user authentication module 210 first checks whether the user of the device corresponds to the user. In this case, various methods of identifying a user that can be performed on the user's terminal can be used. In one embodiment of the present invention, the user authentication module 210 performs a procedure of recognizing a face in order to pre-register the user's face and verify the real person when the owner identification method is face recognition.

디스플레인 모듈(220)은 사용자 인증 시에 해당 인증의 목적을 사용자에게 확인 받기 위해서 거래 확인 메시지를 출력할 수 있다. When the user is authenticated, the display module 220 may output a transaction confirmation message in order to confirm the purpose of the authentication to the user.

통신 인터페이스(230)는 FIDO 클라이언트(100)와 바이오 키 관리 장치(300) 간에 통신 기능을 수행할 수 있다. The communication interface 230 may perform a communication function between the FIDO client 100 and the bio-key management device 300.

표준 FIDO 인증장치에는 인증장치를 등록할 때 사용하는 등록 키, 인증할 때 사용하는 인증 키, 이렇게 두 종류의 공개키 쌍을 사용하고 있다. 하지만 본 발명에서는 등록 키만 관리하고 인증 키는 저장하거나 관리하지 않는다. 인증 키는 필요할 때 마다 사용자의 고정된 바이오 키 정보를 이용하여 매번 동일한 비밀키를 생성하여 전자서명 한다.The standard FIDO authentication device uses two types of public key pairs: a registration key used to register the authentication device and an authentication key used to authenticate. However, in the present invention, only the registration key is managed, and the authentication key is not stored or managed. The authentication key is digitally signed by generating the same secret key each time using the user's fixed bio key information whenever necessary.

등록 키 관리 모듈(240)은 FIDO등록을 위한 등록 비밀키와 등록 인증서를 관리한다. 이때 본 발명에서 등록 비밀키(또는 등록키)는 등록 키 관리 모듈(240)에서 저장되고 관리되며, FIDO 서버에 등록을 하기 위한 전자서명을 수행할 경우 이용될 수 있다. The registration key management module 240 manages the registration secret key and registration certificate for FIDO registration. At this time, in the present invention, the registration secret key (or registration key) is stored and managed by the registration key management module 240, and may be used when performing digital signatures for registering with the FIDO server.

인증 키 관리 모듈(250)은 사용자의 고정된 바이오 키 정보를 이용하여 바이오 인증서 발급할 때 생성한 공개키 쌍과 동일한 공개키 쌍을 생성한다. The authentication key management module 250 generates a public key pair identical to the public key pair generated when issuing the bio certificate using the user's fixed bio key information.

이 때 인증 키 관리 모듈(250)은 사용자의 바이오 키 정보를 저장 및 관리하지 않는다. 다만, 사용자가 서비스를 이용할 경우, 사용자의 바이오 정보를 통해서 서비스를 이용할 때마다 바이오 키를 추출할 수 있으며, 공개키 쌍은 사용자의 바이오 키 정보에 기초하여 생성될 수 있다.At this time, the authentication key management module 250 does not store and manage the user's bio-key information. However, when the user uses the service, the bio key may be extracted each time the service is used through the user's bio information, and a public key pair may be generated based on the user's bio key information.

이 때 생성된 공개키 쌍 중에서 비밀키를 인증 키라고 하고, 본 발명에서는 인증 비밀키 또는 공개키 인증을 위한 비밀키 등으로 호칭된다. 본 발명의 인증키는 사용자의 바이오 키 정보에 기초하여 생성된 비밀키에 해당되며, 인증키를 이용해서 FIDO 인증을 위한 전자서명이 처리될 수 있다. At this time, among the generated public key pairs, the secret key is called an authentication key, and in the present invention, it is called an authentication secret key or a secret key for public key authentication. The authentication key of the present invention corresponds to a secret key generated based on the user's bio-key information, and an electronic signature for FIDO authentication can be processed using the authentication key.

또한 본 발명에서 인증키는 등록키와 달리, 저장 및 관리되는 값이 아니며, 사용자가 서비스를 이용하여 FIDO 서버의 인증 요청이 있는 경우, 사용자의 바이오 키를 확인한 후 인증 키 관리 모듈(250)에 의해 바이오 키에 기초하여 공개키 쌍이 재 생성되고, 재 생성된 공개키로부터 생성된 비밀키에 해당된다. 또한 본 발명에서FIDO 인증 응답 메시지는 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명될 수 있다. Also, in the present invention, the authentication key is not a stored and managed value, unlike a registration key. When a user requests an authentication of the FIDO server using a service, the authentication key management module 250 is checked after confirming the user's bio key. The public key pair is regenerated based on the bio key, and corresponds to the secret key generated from the regenerated public key. In addition, in the present invention, the FIDO authentication response message may be digitally signed using a secret key generated from the regenerated public key.

즉, FIDO 인증을 위한 절차와 구별하여, FIDO 등록 과정에서는 상기와 같이 바이오 키를 통해서 생성된 비밀키로 전자서명이 수행되지 않는다. FIDO 등록과정에서는 등록 키 관리 모듈(240)에서 관리되는 등록 비밀키가 이용되며, 이와 대조하여, FIDO 인증과정에서는 인증 키 관리 모듈(250)에서 사용자가 서비스 이용할 경우마다 요청에 따라 바이오 키 정보를 통해서 매번 재 생산되는 인증 비밀키를 이용하여 인증을 위한 전자서명을 생성할 수 있으며, 해당 구성으로 인해 본 발명은 보안이 강화된 사용자 확인 방법 및 장치를 제공할 수 있다.That is, unlike the procedure for FIDO authentication, in the FIDO registration process, the digital signature is not performed with the secret key generated through the bio key as described above. In the FIDO registration process, the registered secret key managed by the registration key management module 240 is used. In contrast, in the FIDO authentication process, the bio key information is requested according to a request whenever the user uses the service in the authentication key management module 250. Through this, an electronic signature for authentication can be generated using an authentication secret key that is re-produced every time, and the present invention can provide a user verification method and apparatus with enhanced security due to the configuration.

마지막으로 바이오 인증서 관리 모듈(260)은 사용자의 고정된 바이오 키와 연관된 바이오 인증서를 관리한다. 이 바이오 인증서는 FIDO 등록 단계에서 FIDO 서버(400)에 등록된다. Finally, the bio certificate management module 260 manages the bio certificate associated with the user's fixed bio key. The bio certificate is registered in the FIDO server 400 in the FIDO registration step.

도 3은 본 발명의 일 실시예에 따른 바이오 키 관리 장치(300)를 구성하는 모듈을 나타내는 도면이다.3 is a view showing a module constituting the bio-key management apparatus 300 according to an embodiment of the present invention.

바이오 키 관리 장치(300)는 사용자의 바이오 정보를 인식하고 특징 값을 추출하고, 추출된 특징 값을 바이오 키 모델 학습 서버(600)를 통해서 사용자의 고정된 바이오 키 값을 추출할 수 있는 바이오 키 생성 모델을 제공 받고, 제공 받은 바이오 키 생성 모델을 통해서 사용자를 확인할 수 있고, 해당 사용자에 대한 고정된 바이오 키를 추출할 수 있는 장치이다.The bio-key management apparatus 300 recognizes the user's bio-information, extracts feature values, and extracts the extracted feature values through the bio-key model learning server 600 to extract the user's fixed bio-key values. It is a device that can receive a generation model, identify a user through the provided bio key generation model, and extract a fixed bio key for the user.

바이오 정보 처리 모듈(310)은 사용자의 바이오 정보를 인식하고 바이오 정보에 대한 특징 점을 추출한다. 예를 들어서 얼굴 정보를 인식하는 장치라면 사용자의 얼굴 사진을 통해서 얼굴에 대한 특징 점을 추출한다.The bio-information processing module 310 recognizes the user's bio-information and extracts feature points for the bio-information. For example, in the case of a device that recognizes face information, feature points for the face are extracted through a user's face photograph.

바이오 인증 모듈(320)은 사용자의 바이오 정보를 통해서 등록된 사용자를 확인하는 기능을 처리한다. FIDO 인증장치(200)의 사용자 인증 모듈(210)이 바이오 키 관리 장치(300)의 바이오 인증 모듈(320)을 통해서 사용자를 확인한다.The bio authentication module 320 processes a function of identifying a registered user through the user's bio information. The user authentication module 210 of the FIDO authentication device 200 identifies the user through the bio authentication module 320 of the bio key management device 300.

통신 인터페이스(330)는 FIDO 인증장치(200)와 통신하여 사용자의 바이오 인증과 사용자의 바이오 키를 제공하는 기능을 수행하고, 사용자의 바이오 특징 점을 바이오 키 모델 학습 서버(600)에 제공하고 바이오 키 생성 모델을 제공 받기 위한 통신 기능을 수행한다.The communication interface 330 communicates with the FIDO authentication device 200 to perform the function of providing the user's bio-authentication and the user's bio-key, providing the user's bio-feature points to the bio-key model learning server 600, and It performs a communication function to receive a key generation model.

바이오 키 모델 관리 모듈(340)은 바이오 키 생성 모델에 사용자의 바이오 특징 점을 주입하고, 그 결과로 사용자의 고정된 바이오 키 정보를 확인할 수 있다. 사용자의 고정된 바이오 키 정보는 사용자의 바이오 인증이 성공한 후에 확인이 가능하다. 바이오 키 모델 관리 모델은 보안을 위해서 물리적인 장치로 구성되어야 한다. 예를 들어 TPM(Trusted Platform Module)과 같은 방식의 안전한 장치로 구성할 수 있다.The bio key model management module 340 may inject the user's bio feature points into the bio key generation model, and as a result, check the user's fixed bio key information. The user's fixed bio-key information can be confirmed after the user's bio-authentication is successful. The bio-key model management model should consist of physical devices for security. For example, it can be configured as a secure device such as a Trusted Platform Module (TPM).

도 4는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법에 대한 흐름도이다.4 is a flowchart of a method for generating and registering a bio-certificate of a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention.

본 발명은 안전한 본인 확인 방법을 제공하기 위하여, 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 이용해서 공개키 쌍을 생성하는데, 이때 바이오 키 정보는 공개키 쌍을 생성하기 위한 Seed 값으로 사용한다. Seed 값으로 사용하는 바이오 키 정보가 다를 경우에는 매번 다른 공개키 쌍이 생성되므로 바이오 인증서를 기반으로 한 대리 서명은 원천적으로 불가능 하기 때문에 본 발명은 온라인 상에서 비대면 본인 기술로 활용 될 수 있다. The present invention generates a public key pair using fixed bio key information extracted from a user's bio information in order to provide a secure identity verification method, wherein the bio key information is used as a Seed value for generating a public key pair do. If the bio key information used as the Seed value is different, a different public key pair is generated each time, so the proxy signature based on the bio certificate is not possible at the source, so the present invention can be utilized as an online non-face-to-face technology.

이를 위해 비대면 본인 확인 장치의 바이오 인증서를 생성 및 등록하는 방법을 수행하기 위하여 먼저, 사용자의 단말에서 인식된 사용자의 바이오 정보를 기초로 Relying party에서 바이오 키 학습 모델이 생성된 후, 사용자 단말에 바이오 키 생성 모델이 저장된다.(S410)To this end, in order to perform a method of generating and registering a bio-certificate of the non-face-to-face identity verification device, first, a bio key learning model is generated at a relying party based on the user's bio information recognized by the user's terminal, and then, The bio key generation model is stored. (S410)

바이오 인증 생성을 위한 공개키 요청에 따라 장치의 소유자를 확인한 후, 바이오 생성 모델에 사용자의 바이오 정보로부터 추출된 특징점을 부가하여, 사용자의 고정된 바이오 키 정보를 확인한다.(S420)After confirming the owner of the device according to the request for the public key for generating the bio-authentication, the feature point extracted from the user's bio-information is added to the bio-generation model to check the user's fixed bio-key information (S420).

그 후 사용자의 바이오 키 정보로부터 공개키 쌍을 생성하고, (S430) 공개키에 대한 비밀키를 이용하여 바이오 인증서를 발급받는다.(S440)Thereafter, a public key pair is generated from the user's bio key information, and (S430) a bio certificate is issued using the secret key for the public key. (S440)

사용자 단말은 FIDO 서버에 사용자의 바이오 인증서 등록 요청을 한 후, 사용자 확인 후 FIDO 등록 응답 메시지를 생성하고, 등록 비밀키로 전자서명을 생성한다. 그 후 전자서명과 등록 인증서가 FIDO 서버에 전송된다.(S450) The user terminal makes a request to register the user's bio certificate with the FIDO server, generates a FIDO registration response message after confirming the user, and generates an electronic signature with the registration secret key. Thereafter, the digital signature and the registration certificate are transmitted to the FIDO server. (S450)

FIDO 서버는 등록 인증서에 대한 인증서 경로 검증을 수행하고, 인증서 경로 검증이 올바르면 등록 인증서에 포함되어 있는 공개키를 이용해서 전자서명을 검증한다. 전자서명 검증을 성공하면, FIDO 등록 응답 메시지에 포함되어 있는 바이오 인증서 정보가 FIDO서버에 등록된다.(S460)The FIDO server performs the certification path verification for the registration certificate, and if the certification path verification is correct, the digital signature is verified using the public key included in the registration certificate. If the digital signature verification is successful, the bio certificate information included in the FIDO registration response message is registered in the FIDO server (S460).

본 도 4의 절차는 도 6 내지 8에 의해 상세히 설명된다.The procedure of this FIG. 4 is described in detail by FIGS. 6 to 8.

도 5 는 본 발명의 일 실시예에 따른 바이오 인증서를 이용한 비대면 본인 확인 장치가 비대면 본인을 확인하는 방법에 대한 흐름도이다.5 is a flowchart of a method for a non-face-to-face identity verification device using a bio-certificate according to an embodiment of the present invention to identify a face-to-face identity.

비대면 인증 요청이 있는 경우(S510), 사용자 확인(S520) 절차가 수행되며, 사용자의 고정된 바이오 키 정보가 확인된다.(S530) 그리고 공개키 쌍을 생성하는데,(S540) 이 때 생성되는 공개키 쌍은 바이오 인증서를 발급할 때와 동일한 공개키 쌍에 해당된다. 그 후 FIDO 인증 응답 메시지를 생성하고, 바이오 키 정보를 통해서 생성된 공개키 쌍 중에서 비밀키로 FIDO 인증 응답 메시지를 전자 서명한다.(S550) 그리고 전자 서명된 FIDO 인증 응답 메시지를 사용자의 바이오 인증서를 이용하여 검증하여 비대면 본인 확인을 진행한다.(S560)When there is a non-face-to-face authentication request (S510), a user verification (S520) procedure is performed, and the user's fixed bio-key information is confirmed (S530) and a public key pair is generated (S540). The public key pair corresponds to the same public key pair as when the bio certificate is issued. Then, a FIDO authentication response message is generated, and the FIDO authentication response message is electronically signed with the secret key among the public key pairs generated through the bio-key information (S550), and the electronically signed FIDO authentication response message is used by the user's bio certificate. To verify the non-face-to-face identity verification (S560).

본 도 5의 절차는 도 9에 상세히 설명된다.The procedure of FIG. 5 is described in detail in FIG. 9.

도 6는 본 발명의 일 실시예에 따라 사용자의 바이오 키 추출을 위한 바이오 키 학습 모델을 생성하고 설치하는 흐름을 나타내는 도면이다.6 is a diagram illustrating a flow of generating and installing a bio-key learning model for extracting a user's bio-key according to an embodiment of the present invention.

응용 클라이언트인 바이오 관리 앱은 바이오 키 생성 모델의 생성을 요청하고, 바이오 키와 연관된 공개키 정보를 사용하여 바이오 인증서 발급을 요청하고 관리하는 기능을 수행한다.The application client, the bio management app, requests to generate a bio key generation model, and requests and manages a bio certificate issuance using public key information associated with the bio key.

바이오 관리 앱은 바이오 키 관리 장치(300)에 바이오 키 생성 모델을 생성할 것을 요청한다. 바이오 키 관리 장치(300)는 바이오 정보 처리 모듈(310)을 통해서 사용자의 바이오 정보를 인식하고 특징 점을 추출한다.The bio management app requests the bio key management device 300 to generate a bio key generation model. The bio key management apparatus 300 recognizes the user's bio information through the bio information processing module 310 and extracts a feature point.

추출된 사용자의 바이오 특징 점은 바이오 키 모델 학습 서버(600)에 전달되고, 바이오 키 모델 학습 서버(600)는 사용자의 바이오 특징 점을 통해서 고정된 사용자의 바이오 키가 추출될 수 있는 모델을 생성한다. 바이오 키 관리 장치(300)는 바이오 키 생성 모델을 바이오 키 모델 관리 모듈(340)에 저장하고 관리한다.The extracted bio-feature points of the user are transmitted to the bio-key model learning server 600, and the bio-key model learning server 600 generates a model through which the bio-key of the fixed user can be extracted through the bio-feature points of the user. do. The bio key management apparatus 300 stores and manages the bio key generation model in the bio key model management module 340.

도 7는 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 발급하는 흐름을 나타내는 도면이다.7 is a view showing a flow for issuing a user's bio certificate according to an embodiment of the present invention.

사용자의 바이오 인증서를 발급하기 위해서는 먼저 바이오 키 관리 장치(300)에 바이오 키 생성 모델이 설치되어 있어야 한다. In order to issue a user's bio certificate, a bio key generation model must first be installed in the bio key management device 300.

바이오 관리 앱은 CA 서버(500)에 사용자의 바이오 인증서 발급을 요청한다. CA(Certification Authority) 서버(500)는 바이오 인증서 발급을 위한 참조번호/인가코드를 바이오 관리 앱에게 전달한다.The bio management app requests the CA server 500 to issue the user's bio certificate. The certification authority (CA) server 500 transmits a reference number / authorization code for issuing a bio certificate to a bio management app.

다음 단계로 바이오 관리 앱은 FIDO 인증장치(200)에 바이오 인증서 생성을 위한 공개키를 요청하고, FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 FIDO 인증장치의 소유자를 확인하는 동시에 사용자의 바이오 키 정보를 요청한다.As a next step, the bio management app requests the public key for generating the bio certificate to the FIDO authentication device 200, and the FIDO authentication device 200 confirms the owner of the FIDO authentication device through the user authentication module 210 and the user Request bio-key information.

다음 단계로 바이오 키 관리 장치(300)는 바이오 정보 처리 모듈(310)를 통해서 사용자의 바이오 정보를 인식하고 특징 점을 추출한다. 그리고 바이오 인증 모듈(320)을 통해서 사용자를 확인하고, 바이오 키 모듈 관리 모듈(340)에서 관리되고 있는 사용자의 바이오 키 생성 모델에 특징 점을 주입해서 사용자의 고정된 바이오 키 정보를 확인하고 리턴 한다.Next, the bio-key management apparatus 300 recognizes the user's bio-information through the bio-information processing module 310 and extracts a feature point. Then, the user is identified through the bio-authentication module 320, and a feature point is injected into the user's bio-key generation model managed by the bio-key module management module 340 to confirm and return the user's fixed bio-key information. .

다음 단계로 FIDO 인증장치(200)는 인증 키 관리 모듈(250)을 통해서 사용자의 바이오 키와 연관된 공개키 쌍을 생성한다. 공개키 쌍을 생성할 때 사용자의 바이오 키 정보는 seed 값으로 이용된다. seed 값이 다르면 매번 다른 공개키 쌍이 생성된다. 그리고 인증 키 관리 모듈(250)에는 사용자의 바이오 키 정보가 저장되어 관리되지 않고, 매번 사용자의 바이오 정보를 통해서 고정된 바이오 키를 추출한다. 항상 동일한 바이오 키가 추출되기 때문에 바이오 인증서를 발급하는 단계에서 생성한 공개키 쌍과 동일한 키 쌍을 재현할 수 있다. 그러므로 공개키와 연결된 개인키 또한 FIDO 인증장치(200)에서 저장 관리할 필요가 없어 바이오 인증서에 대한 개인키 유출 문제를 원천적으로 방지할 수 있다.As a next step, the FIDO authentication device 200 generates a public key pair associated with the user's bio key through the authentication key management module 250. When generating a public key pair, the user's bio key information is used as a seed value. If the seed value is different, a different public key pair is generated each time. In addition, the authentication key management module 250 does not store and manage the user's bio-key information, and extracts the fixed bio-key through the user's bio-information each time. Since the same bio key is always extracted, the same key pair as the public key pair generated in the step of issuing the bio certificate can be reproduced. Therefore, the private key associated with the public key also does not need to be stored and managed by the FIDO authentication device 200, thereby preventing the leakage of the private key for the bio certificate.

다음 단계로 바이오 관리 앱은 사용자의 바이오 키와 연관된 공개키와 참조번호/인가코드 정보를 사용해서 바이오 인증서 발급 신청서를 작성하고 CA 서버(500)에 전달한다. CA 서버(500)는 발급을 요청하는 공개키에 대한 비밀키를 이용할 수 있는 FIDO 인증장치(200)와 인증서 발급을 위한 전자서명 및 통상적인 절차를 수행해서 바이오 인증서를 발급한다. 발급된 바이오 인증서는 FIDO 인증장치(200)의 바이오 인증서 관리 모듈(260)에 저장 관리된다.As a next step, the bio management app creates a bio certificate issuance application using the public key and reference number / authorization code information associated with the user's bio key and transmits it to the CA server 500. The CA server 500 issues the FIDO authentication device 200 that can use the secret key for the public key requesting the issuance, and the digital signature for issuing the certificate and performs a conventional procedure to issue the bio certificate. The issued bio certificate is stored and managed in the bio certificate management module 260 of the FIDO authentication device 200.

도 8은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 FIDO 서버(400)에 등록하는 흐름을 나타내는 도면이다.8 is a diagram illustrating a flow of registering a user's bio-certificate to the FIDO server 400 according to an embodiment of the present invention.

응용 클라이언트인 비대면 은행 앱은 사용자의 바이오 인증서를 FIDO 서버(400)에 등록하고, 등록된 바이오 인증서를 이용해서 사용자 인증을 처리할 수 있는 기능을 제공한다. 사용자의 바이오 인증서를 FIDO 서버에 등록하기 위해서는 FIDO 인증장치(200)에 사용자의 바이오 인증서가 저장 관리되고 있어야 한다.The non-face-to-face banking application, which is an application client, registers the user's bio certificate to the FIDO server 400 and provides a function to process user authentication using the registered bio certificate. In order to register the user's bio certificate to the FIDO server, the user's bio certificate must be stored and managed in the FIDO authentication device 200.

비대면 은행 앱은 FIDO 서버(400)에 사용자의 바이오 인증서 등록을 요청한다. FIDO 서버(400)는 FIDO 등록을 위한 요청 메시지를 생성하고 FIDO 인증장치(200)에게 전달한다.The non-face-to-face bank app requests the user to register the user's bio certificate to the FIDO server 400. The FIDO server 400 generates a request message for FIDO registration and delivers it to the FIDO authentication device 200.

FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 사용자를 확인하고, 바이오 인증서 관리 모듈(260)에서 관리하고 있는 사용자의 바이오 인증서를 포함한 FIDO 등록 응답 메시지(Attestation)를 생성한다. 그리고 등록키 관리 모듈(240)에서 관리되고 있는 비밀키(등록키)로 FIDO 등록 응답 메시지를 전자서명하고, 등록키 관리 모듈(240)에서 관리되고 있는 등록 인증서와 전자서명문을 FIDO 서버(400)에게 전송한다.다음 단계로 FIDO 서버(400)는 FIDO 표준 방식으로 등록 인증서에 대한 인증서 경로 검증을 수행한다. 인증서 경로 검증이 성공이면, 등록 인증서에 포함되어 있는 공개키 정보를 이용해서 전자서명된 FIDO 등록 응답 메시지를 검증하고, FIDO 등록 응답 메시지가 포함하고 있는 사용자의 바이오 인증서를 저장한다. FIDO 서버(400)에 저장된 사용자의 바이오 인증서는 FIDO 인증 단계에서 FIDO 인증 응답 메시지에 대한 전자서명을 검증하는데 사용된다. 전자서명의 검증이 성공되면, FIDO 등록 응답 메시지에 포함되어 있는 바이오 인증서 정보가 서버에 등록된다.The FIDO authentication device 200 identifies the user through the user authentication module 210 and generates a FIDO registration response message (Attestation) including the user's bio certificate managed by the bio certificate management module 260. Then, the FIDO registration response message is electronically signed with the secret key (registration key) managed by the registration key management module 240, and the registration certificate and electronic signature managed by the registration key management module 240 are registered with the FIDO server 400. ). In the next step, the FIDO server 400 performs certification path verification for the registration certificate in the FIDO standard method. If the certification path verification is successful, the digitally signed FIDO registration response message is verified using the public key information included in the registration certificate, and the bio-certificate of the user included in the FIDO registration response message is stored. The user's bio certificate stored in the FIDO server 400 is used to verify the digital signature of the FIDO authentication response message in the FIDO authentication step. If verification of the digital signature is successful, the bio-certificate information included in the FIDO registration response message is registered on the server.

도 9은 본 발명의 일 실시예에 따른 사용자의 바이오 인증서를 이용해서 FIDO 서버(400)를 통한 인증을 처리하는 흐름을 나타내는 도면이다.9 is a view showing a flow of processing authentication through the FIDO server 400 using a user's bio-certificate according to an embodiment of the present invention.

비대면 은행 앱은 FIDO 서버(400)에 비대면 인증을 요청하고, FIDO 서버(400)는 FIDO 인증 요청 메시지를 FIDO 인증장치(200)에게 전달한다.The non-face-to-face bank app requests non-face-to-face authentication to the FIDO server 400, and the FIDO server 400 delivers the FIDO authentication request message to the FIDO authentication device 200.

FIDO 인증장치(200)는 사용자 인증 모듈(210)을 통해서 사용자를 확인하고 사용자의 바이오 키 정보를 제공 받기 위해서 바이오 키 관리 장치(300)를 호출한다.. 그리고 인증 키 관리 모듈(250)은 사용자의 고정된 바이오 키 정보 이용해서 바이오 인증서를 발급할 때 사용한 공개키 쌍과 동일한 키 쌍을 생성한다. The FIDO authentication device 200 calls the bio key management device 300 to identify the user through the user authentication module 210 and receive the user's bio key information. And the authentication key management module 250 is a user Generates the same key pair as the public key pair used to issue the bio certificate using the fixed bio key information of.

다음 단계로 FIDO 인증장치(200)는 FIDO 인증 응답 메시지를 생성하고, 인증 키 관리 모듈(250)에서 생성한 공개키 쌍 중에서 비밀키로 FIDO 인증 응답 메시지를 전자서명한다. 전자서명된 FIDO 인증 응답 메시지를 포함한 Assertion 메시지를 FIDO 서버(400)에 전송한다.As a next step, the FIDO authentication apparatus 200 generates a FIDO authentication response message and digitally signs the FIDO authentication response message with a secret key among the public key pairs generated by the authentication key management module 250. The Assertion message including the digitally signed FIDO authentication response message is transmitted to the FIDO server 400.

다음 단계로 FIDO 서버(400)는 전자서명된 FIDO 인증 응답 메시지를 사용자의 바이오 인증서를 이용해서 검증하고 그 결과를 서버 응답으로 전달한다.As a next step, the FIDO server 400 verifies the digitally signed FIDO authentication response message using the user's bio-certificate and delivers the result as a server response.

본 발명은 사용자의 바이오 정보에서 추출된 고정된 바이오 키 정보를 공개키 쌍을 생성하기 위한 Seed 값으로 사용하고, 생성된 공개키를 기반으로 발급한 바이오 인증서를 활용하여 온라인에서 사용자를 비대면으로 인증하는 기술이다. The present invention uses fixed bio-key information extracted from the user's bio-information as a seed value to generate a public key pair, and utilizes a bio-certificate issued based on the generated public key to face the user online. It is an authentication technology.

Seed 값이 고정이면 매번 동일한 공개키 쌍을 생성할 수 있기 때문에 공개키 인증을 위한 비밀키 값을 저장하지 않고 필요시 마다 사용자의 바이오 정보를 이용해서 등록 단계에서 생성한 비밀키를 다시 생성할 수 있다. 그래서 본 발명은 비밀키를 저장하지 않으며, 또한 비밀키 갱신이 가능하여 비밀키 유출 및 관리 측면에서 매우 큰 장점이 있는 비대면 본인 확인 시스템이다. If the Seed value is fixed, the same public key pair can be generated each time, so the secret key generated in the registration step can be regenerated using the user's bio information whenever necessary without saving the secret key value for public key authentication. have. Therefore, the present invention is a non-face-to-face identity verification system that does not store a secret key and can also renew a secret key, which has a very great advantage in terms of leakage and management of the secret key.

비밀키 갱신 방법은 사용자의 바이오 키 생성 모델을 다시 생성하는 것이다. 바이오 키 생 모델을 생성 할 때, 사용자의 바이오 특징점이 동일하더라도 학습을 위한 파라미터 값을 랜덤하게 변경하여 다른 바이오 키 정보가 추출될 수 있도록 할 수 있다.The secret key update method is to regenerate the user's bio key generation model. When generating a bio-key bio-model, even if the user's bio-feature points are the same, it is possible to randomly change the parameter value for learning so that other bio-key information can be extracted.

따라서 바이오 인증서를 활용한 사용자 인증은 사용자의 바이오 인식을 통한 고정된 바이오 키 정보 없이는 인증이 불가능하기 때문에 오프라인에서 사용자의 얼굴과 신분증의 사진을 대조하여 행위와 유사한 효과를 가질 수 있다. Therefore, the user authentication using the bio certificate cannot be authenticated without the fixed bio key information through the user's biometric recognition, so it can have an effect similar to the behavior by comparing the user's face and the photo of the ID card offline.

그래서 본 발명은 지금의 비대면 본인 확인 인증 방식과 절차를 간소화 할 수 있을 것으로 기대한다.Therefore, the present invention is expected to be able to simplify the current non-face-to-face identity verification method and procedure.

본 발명의 이점 및 특징, 그것들을 달성하는 방법은 첨부되어 있는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 제시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. Advantages and features of the present invention, and methods for achieving them will be clarified with reference to embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments set forth below, but may be implemented in various different forms, and only the present embodiments make the disclosure of the present invention complete, and common knowledge in the art to which the present invention pertains It is provided to completely inform the person having the scope of the invention, and the present invention is only defined by the scope of the claims.

100: FIDO 클라이언트
200: FIDO 인증장치
300: 바이오 키 관리 장치
400: FIDO 서버
500: CA 서버
600: 바이오 키 모델 학습 서버
210: 사용자 인증 모듈
220: 디스플레이 모듈
230: 통신 인터페이스
240: 등록 키 관리 모듈
250: 인증 키 관리 모듈
260: 바이오 인증서 관리 모듈
310: 바이오 정보 처리 모듈
320: 바이오 인증 모듈
330: 통신 인터페이스
340: 바이오 키 모델 관리 모듈100: FIDO client
200: FIDO authentication device
300: bio key management device
400: FIDO server
500: CA server
600: bio key model learning server
210: user authentication module
220: display module
230: communication interface
240: registration key management module
250: authentication key management module
260: bio certificate management module
310: bio information processing module
320: bio certification module
330: communication interface
340: bio key model management module

Claims (1)

사용자의 바이오 인증서를 이용하여 비대면 본인 확인을 수행하는 방법에 있어서
사용자의 바이오 키에 기초하여 공개키 쌍을 생성하고, 상기 공개키 쌍에 기초하여 바이오 인증서를 생성하는 단계;
상기 생성된 바이오 인증서를 FIDO(Fast IDentity Online) 서버에 등록하는 단계;
상기 FIDO 서버의 인증 요청에 따라 전자 서명된 FIDO 인증 응답 메시지를 송신하는 단계; 및
상기 등록된 바이오 인증서에 기초하여 상기 전자서명된 FIDO 인증 응답 메시지를 검증하고 상기 검증 결과를 수신하는 단계;
를 포함하되,
상기 FIDO 서버의 인증 요청이 있는 경우,
사용자의 상기 바이오 키를 확인한 후 상기 바이오 키에 기초하여 상기 공개키 쌍을 재 생성하고,
상기 FIDO 인증 응답 메시지는 상기 재 생성된 공개키로부터 생성된 비밀키를 사용하여 전자서명되는 것을
특징으로 하는 비대면 본인 확인 수행 방법.In the method of performing non-face-to-face identification using the user's bio certificate
Generating a public key pair based on the user's bio key, and generating a bio certificate based on the public key pair;
Registering the generated bio-certificate to a Fast IDentity Online (FIDO) server;
Transmitting an electronically signed FIDO authentication response message according to the authentication request of the FIDO server; And
Verifying the electronically signed FIDO authentication response message based on the registered bio-certificate and receiving the verification result;
Including,
When there is a request for authentication from the FIDO server,
After confirming the user's bio key, the public key pair is regenerated based on the bio key,
The FIDO authentication response message is digitally signed using the secret key generated from the regenerated public key.
A method of performing non-personal identification with the feature.
KR1020180138006A 2018-11-12 2018-11-12 Apparatus and method for performing non-face-to-face identification using a bio-certificate KR102547590B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180138006A KR102547590B1 (en) 2018-11-12 2018-11-12 Apparatus and method for performing non-face-to-face identification using a bio-certificate

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180138006A KR102547590B1 (en) 2018-11-12 2018-11-12 Apparatus and method for performing non-face-to-face identification using a bio-certificate

Publications (2)

Publication Number Publication Date
KR20200054571A true KR20200054571A (en) 2020-05-20
KR102547590B1 KR102547590B1 (en) 2023-06-27

Family

ID=70919690

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180138006A KR102547590B1 (en) 2018-11-12 2018-11-12 Apparatus and method for performing non-face-to-face identification using a bio-certificate

Country Status (1)

Country Link
KR (1) KR102547590B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022097982A1 (en) * 2020-11-06 2022-05-12 주식회사 아이온커뮤니케이션즈 Method and server for providing face recognition-based digital signature service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180069669A (en) * 2016-12-15 2018-06-25 한국인터넷진흥원 System for non-password secure biometric digital signagure
KR20180087543A (en) * 2017-01-24 2018-08-02 한국전자통신연구원 Key management method and fido authenticator software authenticator

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180069669A (en) * 2016-12-15 2018-06-25 한국인터넷진흥원 System for non-password secure biometric digital signagure
KR20180087543A (en) * 2017-01-24 2018-08-02 한국전자통신연구원 Key management method and fido authenticator software authenticator

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022097982A1 (en) * 2020-11-06 2022-05-12 주식회사 아이온커뮤니케이션즈 Method and server for providing face recognition-based digital signature service

Also Published As

Publication number Publication date
KR102547590B1 (en) 2023-06-27

Similar Documents

Publication Publication Date Title
CN107070667B (en) Identity authentication method
CN105427099B (en) The method for network authorization of secure electronic transaction
CN106330850B (en) Security verification method based on biological characteristics, client and server
US8438385B2 (en) Method and apparatus for identity verification
WO2017177435A1 (en) Identity authentication method, terminal and server
US11394712B2 (en) Secure account access
CN106850201B (en) Intelligent terminal multiple-factor authentication method, intelligent terminal, certificate server and system
US10771451B2 (en) Mobile authentication and registration for digital certificates
US20200196143A1 (en) Public key-based service authentication method and system
EP3665856A1 (en) Mobile authentication interoperability for digital certificates
CN104660412A (en) Password-less security authentication method and system for mobile equipment
CN113591057B (en) Biological characteristic off-line identity recognition method and system
CN107634834A (en) A kind of trusted identity authentication method based on the more scenes in multiple terminals
CN108400989B (en) Security authentication equipment, method and system for shared resource identity authentication
CN115150072A (en) Cloud network issuing authentication method, equipment, device and storage medium
CN111010279A (en) Remote multi-factor authentication protocol based on zero-knowledge proof
CN112383401B (en) User name generation method and system for providing identity authentication service
KR102547590B1 (en) Apparatus and method for performing non-face-to-face identification using a bio-certificate
CN111767531A (en) Authentication system and method based on biological characteristics
CN115865360A (en) Continuous electronic signature method and system of credible identity token based on security component
CN108512832A (en) A kind of safe Enhancement Method for OpenStack authentications
CN115967581A (en) Login verification method and device, electronic equipment and storage medium
CN116112242A (en) Unified safety authentication method and system for power regulation and control system
JP2019161405A (en) Authentication server device, and system and method for authentication
US9281947B2 (en) Security mechanism within a local area network

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right