CN111711520A - 泛在环境中的认证 - Google Patents
泛在环境中的认证 Download PDFInfo
- Publication number
- CN111711520A CN111711520A CN202010332623.4A CN202010332623A CN111711520A CN 111711520 A CN111711520 A CN 111711520A CN 202010332623 A CN202010332623 A CN 202010332623A CN 111711520 A CN111711520 A CN 111711520A
- Authority
- CN
- China
- Prior art keywords
- authentication
- code
- biometric
- portable device
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 153
- 238000012795 verification Methods 0.000 claims description 28
- 230000006399 behavior Effects 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 3
- 238000010295 mobile communication Methods 0.000 claims 2
- 238000000034 method Methods 0.000 description 74
- 238000007726 management method Methods 0.000 description 42
- 230000006870 function Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 22
- 238000012545 processing Methods 0.000 description 15
- 238000012546 transfer Methods 0.000 description 11
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 239000000470 constituent Substances 0.000 description 4
- 230000001815 facial effect Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 210000004204 blood vessel Anatomy 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 210000003811 finger Anatomy 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 206010039203 Road traffic accident Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Abstract
本发明的各实施例通过将基于公钥认证书加密的生物信息预先保存在用户所有或者持有的设备(例如,智能卡、通信终端等)中,并在设备内部通过生物匹配执行用户认证(第一次用户认证)。此外,使用与加密的生物信息匹配的公钥认证书进行在应用服务器上执行的、用于承认交易等的用户认证(第二次用户认证)。此外,本发明实施例为了强化第一次/第二次用户认证的安全采用了附加的认证要素,如一次性密码(One Time Password)、键击(Keystroke)、动态签名(Dynamic Signature)、位置信息等。进一步地,本发明的另一实施例在控制物联网设备的接入方面,采用由第一次认证认证和第二次用户认证构成的认证算法。
Description
本申请是申请号为201580016070.9、申请日为2015年4月23日、 发明名称为“泛在环境中的认证”的申请的分案申请。
技术领域
本发明涉及一种包括在线/离线认证的泛在环境中的用户认证和 物联网设备认证。
背景技术
该部分记载的内容仅用于提供本发明实施例的背景信息,而不是 用于限制本发明。
伴随着产业的发展,物联网(IoT)的应用被得到关注。例如, 作为个人使用的装备的智能电视、吸尘器机器人、汽车导航、及各种 提供云服务的远端服务,而且如水库、核电站等人类很难直接进入的 设施的远端管理和管控及交通管控系统中也在尝试使用物联网。但 是,对于载有通信功能和自身采集并处理数据功能的物联网设备和物 联网系统,由于使用主体和所有者之间的关系不够明确,因此可能成 为网络空间的攻击对象。
尤其,构成目前物联网的物联网设备大体上计算功能简单、安全 性薄弱,处于容易受到攻击的状态。基于物联网网络的特点,特定 领域的安全性薄弱及基于该薄弱环节的网络攻击,会导致对其它产业 领域产生恶劣影响的副作用。
只具有简单的通信功能的物联网设备,不能仅仅依靠安装网络安 全软件保障网络安全,因此物联网设备需要额外内设安全硬件模块或 者整个系统中采用安全方案。物联网安全问题的例子包括在物联网设 备或者网络上植入恶意代码,导致重要信息泄露或者触发伪造或变形 的系统障碍,使攻击者能够从远端自由地操纵等。尤其,作为典型的 示例,感染有恶意代码的终端接入网络时会造成十分严重的损害。作 为典型示例,通过远端控制无人汽车/电动车/智能汽车能够制造交通 事故,能够引起医院的医疗设备的误操作并危及患者生命等。
物联网网络中必须保障物联网设备的完整性,必须能够透明地了 解接入网络的物联网设备的可靠性,必须能够确认终端或者网络的使 用者的合法性。
现有的信息保护有关的系统中,非法用户通过获取合法用户的个人信 息、密码、生物信息等进行黑客行为。作为另一反面示例,认证机构 (Certificate Authority)发行的公钥认证书由于没有个人认证信息, 因此如果能够盗取公钥认证书和认证书密码,则存在他人可以非法使 用的缺点。此外,如果盗取了用户的账号、密码或者详细信息等并且 知道用户的认证信息时,利用正常的终端在远端登录企业或者政府机 关的业务系统,则存在可正常且自由地使用业务系统的问题。凭借路 边捡到的企业员工的集成芯片制作的电子身份证卡,通过盗用相片等 信息,能够如同合法的用户正常出入企业的出入关门,该问题是硬件 安全的典型示例。此外,媒体经常报道由于没有利用账号、密码、生 物信息、令牌、OTP及PKI认证进行多元(Multi-Factor)认证而是分 别单独使用,导致黑客在中间通过变形或者伪造等方法进行黑客的示 例。
发明内容
本发明的目的在于,提供一种包括在线/离线认证的泛在环境中 用户认证和物联网设备(物联网设备)认证的方法,及使用该方法的 设备和认证系统。
本发明的各实施例通过将基于公钥认证书加密的生物信息预先 保存在用户所有或者持有的设备(例如,智能卡、通信终端等)中, 并在设备内部通过生物匹配执行用户认证(第一次用户认证)。此外, 使用与加密的生物信息匹配的公钥认证书进行在应用服务器上执行 的、用于承认交易等的用户认证(第二次用户认证)。此外,本发明 实施例为了强化第一次/第二次用户认证的安全采用了附加的认证要 素,如一次性密码(One TimePassword)、键击(Keystroke)、动态签 名(Dynamic Signature)、位置信息等。进一步地,本发明的另一实 施例在控制物联网设备的接入方面,采用由第一次认证认证和第二次 用户认证构成的认证算法。
根据本发明的一侧面,本发明提供一种基于公钥认证书的认证管 理系统中基于用户持有的便携式装置进行用户注册的方法,所述方法 包括:利用规定的加密运算法在所述公钥认证书上加密用户生物信息 或者生物信息的组合,并将加密的生物信息保存在所述便携式装置内 的步骤所述方法还包括记号所述加密的生物信息或者生物信息的组 合并生成生物编码的步骤及所述公钥认证书的扩展字段中嵌入至少 包括所述生物编码的验证码并生成一对钥匙(包括密钥和公钥)步骤。 此外所述方法还包括向远端对象传送所述公钥并请求注册所述用户 的步骤。
公钥认证书的区域中,处生物编码之外,还还包括基于所述便携 式装置赋予的固有识别信息导出的附加代码,基于显示请求所述用户 认证的位置的位置信息导出的附加代码,基于所述用户赋予的固有识 别信息导出的附加代码和基于显示所述用户的行为特征的特征信息 到吃的附加代码,基于赋予物联网设备的设备识别信息到吃的附加代 码中至少任意一个。
根据本发明的另一侧面,一种用户认证方法,在基于公钥认证书 的认证管理系统中,作为基于用户持有的便携式装置而进行的用户认 证方法,所述便携式装置保存有嵌入包括所述生物编码的验证码的密 钥和用于导出所述生物编码的经过加密的生物信息或者生物信息的 组合,所述方法包括:获得用户生物信息或者生物信息的组合的步骤 和将所述用户生物信息或者生物信息的组合与保存在所述便携式装 置的加密的生物信息和所述生物编码中至少一个比较的步骤。此外, 当所述方法所述用户生物信息或者生物信息的组合与所述加密的生 物信息和所述生物编码中至少一个匹配时,将所述密钥中嵌有验证 码的认证信息向远端对象传送,并请求认证所述用户的步骤。
提供一种认证管理方法,其包括在基于公钥认证书的认证管理系 统中,作为基于用户所持有的便携式装置和通过网络链接的远端对象 而进行的认证管理方法,所述方法包括:从所述便携式装置接收,包 括生物编码的验证码被嵌入的密钥所对应的公钥,基于接收的公钥执 行用户注册的步骤。在此,所述生物编码由用户生物信息或者生物信 息的组合导出。此外,所述认证管理方法还包括从所述便携式装置接 收,包括被嵌入在所述密钥的验证码的认证信息,利用所述公钥验证 接收的认证信息,并基于验证结果执行所述用户的认证的步骤。
根据本发明的又一侧面,提供一种认证管理方法,在基于公钥认 证书的认证管理系统中,作为基于提供服务的公用终端和管理所述公 用终端的应用服务器而执行的认证管理方法,所述方法包括所述应用 服务器,从所述便携式装置接收被嵌入包括生物编码的验证码的密钥 所对应的公钥,基于接收的公钥执行用户注册的步骤。在此,所述生 物编码基于用户生物信息或者生物信息的组合导出。此外,还包括所 述公用终端,从所述便携式装置接收包括被嵌入在所述密钥的验证码 的认证信息,基于利用接收的认证信息的所述公钥向所述应用服务器 请求验证,基于所述验证结果执行所述用户认证的步骤及所述用户认 证成功时,所述公用终端提供服务的步骤。
根据本发明的实施例,提供一种更加强化的服务认证功能。通过 使用将编码或者记号的生物信息嵌入公钥认证书的扩张区域的公钥 认证书(即,生物认证书),能够防止保存在智能卡(或者通信终端) 的加密的生物信息或者电子签名的伪造。
本发明的各种实施例可应用于会计系统、电子结算系统、政府/ 公共机构/金融机构发行的电子居民证、签证、年金、保险、交通卡、 电子选举、电子钱包、折价卷等。该情况下,他人即使知道特定用户 的简单的个人信息、卡信息,生物信息或者公认证书信息等,也能防 止他人的非法使用。
进而,本发明的各种实施例,能够强化远端接入业务系统的信息 保护。
附图说明
图1a是本发明一实施例涉及的泛在环境中的用于用户认证管理 的系统的示意图。
图1b是本发明另一实施例涉及的泛在环境中用于用户认证管理 的系统的示意图。
图2a至图2c是图示本发明一实施例涉及的通信终端和智能卡之 间的通信方式的示意图。
图3a是图示本发明一实施例涉及的智能卡的阶层结构的示意 图。
图3b是图示本发明一实施例涉及的智能卡的物理结构的示例 图。
图3c是图示本发明一实施例涉及的智能卡的功能结构的概略 图。
图4a是说明本发明一实施例涉及的用户注册程序的流程图。
图4b是说明本发明另一实施例涉及的用户注册程序的流程图。
图5(a)和图5(b)是图示应用于本发明一实施例涉及的用户 认证管理系统的公钥认证书的格式。
图6是图示图5(b)图示的公钥/密钥的EV领域中保存的代码 的格式和从智能卡传送的认证信息的格式的示例图。
图7a是图示本发明一实施例涉及的用户认证程序的流程简图。
图7b是图示本发明一实施例涉及的用户认证程序的流程简图。
图8a和图8b是本发明一实施例涉及的泛在环境中用于物联网设 备的用户管理的系统结构的示意图。
图9a是说明本发明一实施例涉及的设备用户注册程序的流程 图。
图9b是说明本发明另一实施例涉及的设备用户注册程序的流程 图。
图10a是说明本发明一实施例涉及的设备用户认证程序的流程 图。
图10b是说明本发明另一实施例涉及的设备用户认证程序的流 程图。
图11是基于在线/离线环境的泛在认证系统的示意图。
图12是说明本发明一实施例涉及的离线环境中用户认证程序的 流程图。
图13是可采用本发明实施例的应用领域的列表。
图14是说明各种生物信息及其组合的不同用途的示意图。
具体实施方式
以下参照附图对本发明的实施例进行详细说明如下。标注附图标 记时,即使相同技术特征在不同的附图中出现,也尽可能使用了相同 的附图标记。同时还要注意,在通篇说明书中,如果认为对相关已知 的技术特征和功能的具体说明可能会导致本发明主题不清楚,则省略 其详细说明。
此外,在说明本发明的组成要素的过程中,可以使用第一、第二、 A、B、(a)、(b)等用语。这些用语仅仅是为了区分相应技术特征与 其他技术特征,并非限定其本质、次序或顺序等。以上记载的“包括” 或者“具有”等表述,如果没有特别相反的记载,则是指该组成要素存 在于内部,应该理解为非排除其他组成要素,而是还包括其他组成要 素。而且,以上记载的“…部”,“模块”等用语是指至少能够处理一 个功能的或者动作的单位,可由硬件或者软件或者硬件和软件的结合 实现。进而,本发明的说明过程中使用的“物联网(Internet-of-Things: IoT)”可理解为包括各标准化机构各自使用的M2M (Machine-to-Machine:机对机)、MTC(Machine Type Communications:机械型交流)、SDC(SmartCommunication:智能 交流)、MOC(Machine Oriented Communications:明显机器的交流)等。
图1a是本发明一实施例涉及的泛在环境中的用于用户认证管理 的系统的示意图。
参照图1a,用户认证管理系统包括认证机构110(Certificate Authority:CA)、智能卡120、应用服务器130、认证服务器140、通 信终端150及日志保存服务器160。
认证机构110发行记录有认证机构的信息(认证书版本、有效期 限、运算法、发行机构等)的公钥认证书(Public key certificate)。用 户注册步骤中,公钥认证书转换为与用户生物信息匹配的公钥认证 书。即,公钥认证书用于生成嵌有与用户生物信息匹配的代码的公钥 /密钥。公钥认证书可以是基于公钥基础设施(PKI)的公认认证书或 者私有认证书(Private certificate)。一般情况下,公钥认证书由认证 机构110的服务器发行给用户,但是也可在产品设计或者生产时预先 设置在通信终端或智能卡的安全区域(例如,集成芯片、安全元件 (SE)、TEE(Trusted Execution Environment:可信执行环境)、操作 系统、中央处理单元、内存、云安全元件等)。
智能卡120内置的生物感应器、集成芯片或者内存等上保存有用 于与密钥和感应的生物信息比较的加密的生物信息(Encrypted Biometric data)及其它各种信息。此外,密钥中嵌有生物编码,该生 物编码通过编码(或者记号)加密的生物信息而生成。
智能卡120通过加密基于公钥认证书的用户生物信息,并编码 (或者记号)加密的生物信息并生成生物编码。智能卡120将生成的 生物编码嵌入公钥认证书中,并生成一对钥匙(即,公钥和密钥)。 生物编码(Biometric code)或者密钥用于验证加密的生物信息的完整 性(Integrity)、不可否认性(Non-repudiation)等,可用于生物签名 (BioSignature)。如上所述生成的生物编码如同令牌(token)一样 使用,也可与OTP(One TimePassword:一次性密码,亦称为Dynamic code:动态代码)等结合使用。在此,公钥认证书中编码并嵌入的 生物信息可以是注册用户的指纹信息、血管信息、声音信息、虹膜信 息,尺度信息,面部信息、心脏脉搏等。智能卡120将公钥向应用服 务器130或者认证服务器140传送,应用服务器或者认证服务器在以 后的认证程序中使用接收的公钥。
部分实施例中,智能卡120通过分别编码用户的互不相同的多个 生物信息并将生成的生物编码合并嵌入一个认证书中。例如,指纹+ 虹膜、面部轮廓+声音、心跳+虹膜等互不相同的生物信息的组合,可 以使用如指纹1(拇指)+指纹2(食指),虹膜1(右边)+虹膜2(左 边)相同类的生物信息的组合。使用多个生物信息的组合时,各生物 信息的嵌入顺序(例如,指纹1→指纹2→指纹3或者指纹→虹膜) 也可以作为认证要素。另一实施例中,智能卡可将用户的互不相同的 生物信息或者生物信息的组合嵌入不同的公钥认证书中。又一实施例 中,基于用户的物理签名(手写签名或者动态签名)或者键击的生物 信息输入方式导出的代码作为附加的认证要素,可嵌入认证书中。在 此,用户输入物理签名或者键击具有一定意义的单词或者数字的行为 特征(或者行为模式要素),即,时间、速度、方向、压力、位置信 息等可作为附加的认证要素考虑。
此外,部分实施例中,出于附加的目的或者作为认证要素,智能 卡120在生物编码上连接一个以上的各种附加代码而生成一对钥匙。 例如,基于智能卡120上赋予的固有识别信息导出的附加代码,基于 显示所述用户认证(或者注册)的请求位置的位置信息导出的附加代 码,基于赋予所述用户的固有识别信息导出的附加代码及基于显示所 述用户的行为特征的特征信息导出的附加代码,基于赋予物联网设备 的设备识别信息导出的附加代码中至少一个附加代码可连接在所述 生物编码上。
进而,智能卡120在公钥认证书中嵌入生物编码并生成一对钥匙 (公钥/密钥)的过程中,基于互不相同的生物信息或者生物信息的 组合生成多个生物编码,并可将多个生物编码以相互区分的状态嵌入 所述公钥认证书的扩展字段中。各生物编码中可连接前述的一个以上 的附加代码。其结果,密钥和公钥包括连接多个生物编码或者附加代 码的多个生物编码。该情况下,多个生物编码可用于互不相同的目的。 例如,多个生物编码中一个被指定用于所述密钥的正常的用户认证。 其余的一个以上的生物编码被指定用于显示出于他人的胁迫而使用 所述密钥、用于请求解除基于传送的公钥注册的用户、用于请求初始化基于远端对象(例如,应用服务器、认证服务器、中央控制器等) 管理的认证管理系统等。
通信终端150通过有线或者无线方式与智能卡120连接,通过响 应从智能卡120收到的校准开始信号,在智能卡120和应用服务器 130之间开设虚拟专用网(VirtualPrivate Network:VPN),从智能卡 120接收基于注册认证书的认证信息,并向应用服务器130传递。此 外,,通信终端150可作为在用户注册程序或者用户认证程序中生成 智能卡120的密钥/公钥所需的信息的获取手段而使用。在此,所需 的信息包括用户生物信息、动态签名、物联网设备的识别信息等。通 信终端150可具有一个以上生物感应器、触屏、照相机、麦克风等, 或者与一个以上生物感应器、触屏、照相机、麦克风等连接。通信终 端150不仅是指个人所拥有的通信终端(例如,移动手机,平板电脑, 台式电脑,机顶盒等),而且包括公用的服务终端(自动出纳器,自 助服务机,销售终端等),进而应该理解为是指包括与通信网络上的 远端对象进行通信的所有装置。
认证服务器利用用户注册程序中获得的公钥验证从智能卡(或者 通信终端)传送来的认证信息。例如,认证服务器接收用户注册程序 中智能卡(或者通信终端)利用公钥认证书(Public key certificate) 生成的公钥,之后的用户认证步骤中,基于应用服务器的请求,并基 于从智能卡(或者通信终端)接收的认证信息对公钥进行验证。
应用服务器130是指向认证用户提供银行/信用卡(Bank/Credit Card)服务、支付服务、电子政务服务、云服务、物联网设备互动服 务、紧急服务等各种服务的服务供应商的服务器。应用服务器130通 过智能卡(或者通信终端),基于智能卡收到的认证信息进行用户认 证。例如,应用服务器向认证服务器请求验证认证信息,基于所述验 证结果,可对用户进行认证。依据部分实施例,应用服务器和认证服 务器可在单一服务器内以功能性组成要素的形式实现。
日志保存服务器160记录智能卡120接入应用服务器的历史的日 志数据和认证结果,该记录能够在通信终端150上显示。此外,应用 服务器130接入认证机构服务器、信用卡公司的服务器等并重新确认 用户信息时,日志保存服务器160可记录并保存对所述服务器的接入 及结果。此外,日志保存服务器160还监视智能卡120和应用服务器 130之间开设的VPN170,并可兼VPN防火墙的作用以阻断非法用户 的接入。进而,日志保存服务器可确认电子钱包的合法用户,并发行 或者打印具有生物编码的电子发票。
日志保存服务器160记录的数据可用于数字取证(Digital Forensic)。例如,日志数据可用于以后确认或者证明用户行为。例如, 由智能卡向应用服务器130传送的认证信息中包括用户的物理签名 信息,通过将所述物理签名信息与日志数据一同保存,可在以后的电 子发票或者请款单等中以印刷品或者电子形式标识。
图1b是本发明另一实施例涉及的泛在环境中用于用户认证管理 (IdentityManagement)的系统的示意图。
图1a图示了智能卡120独立于通信终端150形成的结构,而如 图1b所示,根据本发明另一实施例,智能卡120的功能可独立于通 信终端150。即,与用户生物信息匹配的认证书可在通信终端150内 的安全元件(SE:安全内存和执行环境)、中央处理单元、操作系统等保存/管理。通信终端150内的安全元件可在如用户身份识别卡,通 用用户身份识别卡,手机内存卡,近场通讯卡等的集成芯片内形成。
通信终端150无需与智能卡互动,可利用与用户生物信息匹配的 认证书进行用户认证程序。此外,通信终端可具备用于感应生物信息 的各种类型的生物感应器,具备用于从物联网设备获取设备信息的合 适的输入/感应手段,或者可与具有所述手段的外部装置互动。即使 没有特殊的说明,通信终端150也具有本发明通篇说明的智能卡的功 能或者操作上需要的各种特征所对应的特性。
图1b的通信终端包括个人所拥有的通信终端(例如,移动电话, 如表、眼镜、戒指等的可穿戴设备,平板电脑,台式电脑,机顶盒等), 进而,可理解为包括能够与通信网络的远端对象进行通信的所有装 置。
图2a至图2c是图示本发明一实施例涉及的通信终端和智能卡之 间的通信方式的示意图。图2a至图2c假设图1的通信终端由如同智 能电话的移动终端构成的情况。
根据部分实施例,如图2a所示,智能卡通过软件狗(Pocket-sized dongle)与通信终端通信。软件狗可通过接触式或者非接触式与智能 卡发送接收信息。软件狗可插入如智能电话的音频接口(Audio Jack) 或者Micro USB接口等上。基于上述结构,用户在智能手机中插入软 件狗,在软件狗上标注(Tagging)智能卡或者刷智能卡,从而能够 将智能卡与通信终端进行连接以进行通信。软件狗为了安全优选提供 基于硬件的加密。
根据另一实施例,如图2b所示,智能卡可通过无线通信方式(例 如,NFC,RFID等)与通信终端直接地通信方式连接。
根据又一实施例,如图2c所示,智能卡可以直接插入通信终端 的、USB软件狗的形式形成。
图3a是图示本发明一实施例涉及的智能卡的阶层结构的示意 图。
智能卡的物理阶层包括中央处理单元,内存及输入/输出端口。 内存可由只读内存(ROM),可读写内存(RAM),电可擦编程只读 存储器(EEPROM),可擦编程只读存储器(EPROM),闪速可编 程可擦除只读存储器,铁电随机存取内存(Fe RAM)等各种元件中 任意一个或者其组合构成。选择性地,智能卡还可包括显示器和/或 一个以上生物感应器。选择性地,智能卡还可包括物理不可克隆函数 (PUF)回路。
智能卡的应用层涉及智能卡的操作系统或者应用程序的功能性 组成要素,例如,可分为生物信息获取模块(Biometric data acquisition module),生物信息管理模块(Biometric data management module), 生物认证模块(Biometric authenticationmodule),设备信息获取模块 (设备data acquisition module),VPN管理模块(VPNmanagement module),OTP生成模块(OTP generation module),钥匙管理模块(Keymanagement module)及认证处理模块(Authentication execution module)。以下参照图3c对各功能性组成要素进行说明。
图3b是图示本发明一实施例涉及的智能卡的物理结构的示例 图。
如图3b所示,本发明实施例中,智能卡300包括内置中央处理 单元/内存/操作系统/PUF回路等的集成芯片301、一个以上的生物感 应器303及显示器304。
图3b的智能卡300利用内置的生物感应器303可感应用户注册 程序和用户认证程序中所需的一个以上的用户生物信息中的至少一 部分。生物感应器303可由指纹识别感应器、虹膜识别感应器、声音 识别感应器、血管识别感应器、尺度识别感应器、面部(facial)感 应器、心跳(heartbeat)感应器、动态签名(dynamic Signature)感 应器等构成。尤其是,动态签名感应器可与触屏式显示器304结合。
智能卡300可将集成芯片301的操作系统/中央处理单元/内存等 上内置的OTP生成模块生成的一次性密码(OTP)显示在显示器304 上。此外,智能卡300还可以将下列信息显示在显示器304上。
-生物匹配结果的显示
-输入的生物信息或者生物信息的组合所对应的密钥存在与 否的显示
-输入的生物信息或者生物信息的组合所对应的多个密钥的 目录
-注册的动态签名
图3c是图示本发明一实施例涉及的智能卡的功能结构的概略 图。
图3c图示的智能卡的各组成要素还可以是逻辑上可区分的功能 性组成要素,或者是与物理的组成要素结合的功能性组成要素。即, 各组成要素是为了实现本发明的技术思想的功能性组成要素,因此即 使整合或者分离地执行各组成要素,只要能够执行本发明的功能性组 成要素的功能,就可以解释为属于本发明的范围,只要能够执行相同 或者类似功能,其名称一致与否无关,皆可认为属于本发明的范围。
如图3c所示,智能卡的功能性要素可分为生物信息获取模块 311、生物信息管理模块312、钥匙管理模块313、生物认证模块314、 VPN管理模块315、认证处理模块316、设备信息获取模块318及OTP生成模块317。
生物信息获取模块311在用户注册程序和用户认证程序中获取 用户生物信息。部分实施例中,生物信息获取模块311可从智能卡 310内置的生物感应器获取用户生物信息。另外的实施例中,生物信 息获取模块311可从具备生物感应器的通信终端或者其它外部设备 (例如,自动出纳器,自助服务机,销售终端,读卡机等)获取生成 的生物信息。
生物信息管理模块312基于公钥认证书加密生物信息获取模块 311在用户注册程序中获取的生物信息,并将加密的生物信息保存在 智能卡(例如,智能卡的集成芯片内置内存,智能卡内置的生物感应 器等)并管理。部分实施例中,生物信息管理模块312加密并保存用 户的多个生物信息。例如,可将用户的各手指的指纹信息保存在智能 卡上,可将用户两只眼睛的虹膜信息保存。此外,还可保存用户的指 纹+虹膜,虹膜+面部等各种组合的生物信息。
钥匙管理模块313基于公钥认证书编码(或者记号)加密的生 物信息并生成生物编码,将生成的生物编码嵌入公钥认证书110中, 并生成嵌有生物编码的一对钥匙(密钥和公钥)。钥匙管理模块313 将生成的密钥安装或者保存在智能卡的集成芯片内置的内存、中央处 理单元、操作系统、应用程序等上,将生成的公钥向认证服务器(或 者应用服务器)传送。根据部分实施例,出于附加的目的或者作为认 证要素,钥匙管理模块313在生物编码上连接一个以上的各种附加代 码并生成一对钥匙。以下为了防止发生混淆,生成一对钥中使用的公 钥认证书即,没有嵌入生物编码的公钥认证书将被称为“空白认证书 (blankcertificate)”。
一实施例中,空白认证书(blank certificate)可预先安装或者保 存在智能卡中。即,在智能卡的生成/发行的步骤中,政府/生产商/ 金融提供者/服务供应商等可预先将一个以上的空白认证书安装或保 存在智能卡的集成芯片,操作系统,中央处理单元,内存等上。该 情况下,优选地,应限制只有智能卡120的发行机构才能将认证书保 存在智能卡上。另一实施例中,智能卡可通过通信终端从认证机构 (CA)的服务器获取发行的空白认证书。又一实施例中,认证书管 理模块313可复制保存在电脑或者通信终端中的空白认证书。空白认 证书基于例如服务的类型或目的,服务提供期限,用户的信用度等, 可限制有效期限或者使用目的。空白认证书的有效期限可与智能卡的 有效期限相同。此外,多个空白认证书的有效期限互不相同,其使用 目的也不相同。
生物认证模块314比较生物信息获取模块311获取的生物信息和 智能卡内保存的加密的生物信息。而且,生物认证模块314比较生物 信息获取模块311获取的生物信息和智能卡内保存的公钥认证书内 嵌入的生物编码。即,生物认证模块314判断生物信息是否与预先保 存的加密的生物信息及生物编码匹配。部分实施例中,生物认证模块 314也可设计为只将预先保存的加密的生物信息或者生物编码中任意 一个与获取的生物信息进行比较。
VPN管理模块315负责开设和管理与应用服务器等远端对象 (Remote Entity)间的VPN,并提供点对点的加密且安全的传送区间。 例如,当生物认证模块122判断获取的生物信息与预先保存的加密的 生物信息及生物编码相匹配时,VPN管理模块315向通信终端传送 校准开始信号以开设与应用服务器间的VPN。校准开始信号可包括 开设VPN的目的地URL。在此,通信终端150不仅是指个人所拥有 的通信终端(例如,移动手机,平板电脑,台式电脑,机顶盒等), 而且包括公用的服务终端(自动出纳器,自助服务机,销售终端等), 进而应该理解为是指包括与通信网络上的远端对象进行通信的所有 装置。
此外,生物信息管理模块312管理多个生物信息时,VPN管理 模块315基于通过生物信息输入模块311实时输入的生物信息与多个 预先保存的生物信息中任意一个的匹配,指定不同的VPN开设目的 地URL并传送校准开始信号。目的地URL是指向认证用户提供银行/信用卡(Bank/CreditCard)服务,支付服务,电子政务服务,云服务, 物联网设备互动服务,紧急服务等各种服务的服务供应商的服务器。 所述URL可在智能卡的制作步骤或者认证书的发行步骤,或者密钥/ 公钥生成步骤中被保存。例如,URL可嵌在智能卡中预先保存的公 钥认证书(Public key certificate)中,可与公钥认证书保存在相同的 区域。优选地,保存区域应该为集成芯片内只读区域。另一实施例中, 智能卡接收额外新发行的公钥认证书时,可同时接收发行的公钥认证 书及相关的URL,或者可接收发行的嵌有相关URL的公钥认证书。 这种公钥认证书优选保存在集成芯片内可读写的区域。进而,URL 优选地以与生物编码合并的形式嵌入密钥/公钥。
进一步,多个生物信息中特定的生物信息或者多个生物信息的组 合(可赋予顺序)中特定的组合可用于指定用户的危险紧急状态。例 如,特定生物信息对应的校准开始信号为了告知用户的危险紧急状态 可向预定的URL(例如,警察厅服务器,安全管理服务器)开设VPN。 根据该设定,当用户迫于他人的威胁被迫利用智能卡120进行用户认 证程序时,通过使用多个注册的生物信息中预先预定的特定的生物信 息,可不被施加威胁的人发现且能够向警察厅的服务器传送用户的危 险紧急状态信号。该危险紧急状态信号也可作为以后对应被迫使用的 保险处理或者诉讼的证据。
当通往应用服务器的通信通道开通时,认证处理模块316将以钥 匙管理模块313管理的密钥为基础的认证信息向对应的应用服务器 传送并认证处理智能卡120的用户的合法性。以后将参照图6对认证 信息进行说明。
智能卡还可包括OTP生成模块317。OTP生成模块317以智能 卡120的发行机构预定的方式生成一次性密码(one time password; OTP)。部分实施例中,基于OTP生成模块317生成的OTP以智能卡 120的用户可识别的的方式显示在智能卡自带的显示器上,OTP生成模块317可将用户输入的OTP向认证处理模块316传递。另一实施 例中,OTP生成模块317生成的一次性密码不显示在显示器上而直接 向认证处理模块316传递。向认证处理模块316传递的OTP与基于 认证书的认证信息一同组合并向目标对象的终端传送。由此能够验证(认证)该智能卡120是基于合法的发行机构的发行。需要说明的是, 该技术领域的背景技术中,使用了智能卡以外的OTP设备。
进而,智能卡120还可包括设备信息获取模块318。设备信息获 取模块318获取物联网设备的识别信息。物联网设备的识别信息是指 在生产、流通或者购买之初,赋予各物联网设备的固有的识别信息, 具体说明参照图6在以后进行说明。设备信息获取模块318可从具备 内置于智能卡120的感应器或者具备一个以上的感应器的通信终端 150或者其它外部设备(例如,自动出纳器,自助服务机,销售终端, 读卡机等)接收物联网设备的识别信息。
图4a是说明本发明一实施例涉及的用户注册程序的流程图。图 4a图示的用户注册程序适合于具有图1a所示结构的用户认证系统。 图4a假设智能卡中预先(例如,智能卡制作或者发行时)保存有公 钥认证书,但是也可以从认证机构(CA)的服务器获得新发行的公 钥认证书。
首先,通信终端获取用户生物信息,并将获取的用户生物信息向 智能卡传递S401~S402。在此,生物信息的获取可利用内置于通信终 端的生物感应器,也可以利用与通信终端连接的外部生物感应器。不 同于图4a图示,另一实施例中,智能卡可利用内置的生物感应器直 接获取用户生物信息。
获取用户生物信息的智能卡基于预先保存(pre-stored)或者预先 存在的(pre-existing)公钥认证书加密用户生物信息S403。即,智能 卡基于公钥认证书规定的加密运算法,加密生物信息。
此外,智能卡编码或者记号加密的生物信息并生成代码S404。 编码或者记号运算法保存在智能卡的应用程序中,或者在公钥认证书 中规定。例如,部分实施例中,编码或者记号过程中,可利用公钥认 证书规定的信息摘要运算法(Message-Digest algorithm)。代码是基于 公钥认证书编码用户生物信息的信息,可称之为“生物编码(biometric code)”或者“生物电子签名(biometric digital signature)”。
然后,智能卡将生物编码嵌入公钥认证书的EV区域(Extended Validationdomain)生成一对钥匙(公钥和密钥)。即,生成的密钥和 公钥中嵌有生物编码。密钥和加密的生物信息一同保存在智能卡内以 在之后的用户认证程序中使用S405。图4a中虽未图示,所述生物编 码可连接作为附加的认证要素的、以与生物编码相同或者相似的方式 生成的各种附加代码。例如,公钥认证书的区域中,除了生物编码还 可以嵌入至少一个以下信息,即,基于赋予所述便携式装置的固有识 别信息导出附加代码,基于所述用户认证的请求位置的位置信息导出 的附加代码,基于赋予所述用户的固有识别信息导出的附加代码及基于显示所述用户的行为特征的特征信息导出的附加代码,基于赋予物 联网设备的设备识别信息导出的附加代码。以后将参照图6对附加代 码进行说明。
此外,智能卡将公钥经通信终端向认证服务器(或者应用服务器) 传送并请求用户注册S406。公钥的传送可利用虚拟专用网(Virtual Private Network:VPN)。认证服务器注册用户并在另外安全的数据库 中管理公钥S407~S408。
图4b是说明本发明另一实施例涉及的用户注册程序的流程图。 图4b图示的用户注册程序适合于具有图1b所示结构的用户认证系 统。因此,图4b的通信终端包括个人所拥有的通信终端(例如,移 动手机,平板电脑,台式电脑,机顶盒等),进而应该理解为是指包括与通信网络上的远端对象进行通信的所有装置。
首先,为了用户注册,通信终端向认证机构(CA)的服务器请 求发行公钥认证书S451。认证机构的服务器向通信终端发行公钥认 证书S452。不同于图4a图示,另一实施例中,通信终端中可预先保 存(例如,通信终端生产或者销售时)公钥认证书。
然后,通信终端获取用户生物信息S453。在此,生物信息的获 取可利用内置于通信终端的生物感应器,也可以利用与通信终端连接 的外部生物感应器。
然后,通信终端基于发行的公钥认证书加密用户生物信息S454。 即,通信终端基于公钥认证书规定的加密运算法加密生物信息。加密 的生物信息保存在通信终端中以在之后的用户认证程序中使用。
通信终端编码或者记号加密的生物信息并生成代码(即,生物编 码)S455。编码或者记号运算法保存在智能卡的应用程序中,或者在 公钥认证书中规定。部分实施例中,编码或者记号可使用公钥认证书 规定的信息摘要运算法(Message-Digest algorithm)等。
然后,智能卡将生物编码嵌入公钥认证书的EV区域并生成一对 钥匙(公钥和密钥)S456。即,生成的密钥和公钥中嵌有生物编码。 密钥保存在智能内以在之后的用户认证程序中使用。图4a中虽未图 示,其它附加代码能够以与生物编码相同或者相似的方式生成,并作 为附加认证要素嵌入公钥认证书。
此外,通信终端将公钥经通信终端向认证服务器(或者应用服务 器)传送并请求用户注册S457。公钥的传送可利用虚拟专用网(Virtual Private Network:VPN)。认证服务器注册用户并利用另外安全的数据 库管理公钥S458至S459。
图5(a)和图5(b)是图示应用于本发明一实施例涉及的用户 认证(identity)管理系统的公钥认证书的格式。
公钥认证书(例如,基于公钥(PKI)的ITU-T标准X.509认证 书)是指互联网商务或者交易时交易双方可信赖性的一种电子保证 书。公钥认证书可由特定的政府或者金融机构等指定的认证机构、私 设认证机构、产品制造商或者装置服务提供机构发行。
图5(a)图示了不经过用户注册程序的公钥认证书的格式的示例。 公钥认证书收录有版本、序列号、签名运算法、发行者、有效期限、 公钥、发行者的电子签名等。需要注意的是,不经过用户注册程序的 公钥认证书的EV区域为空白。
图5(b)图示了通过用户注册程序,由公钥认证书生成的公钥认 证书的格式的示例。不同于图5(a),经过用户注册程序的公钥认证 书以及由此生成的公钥/密钥,其EV区域中嵌有编码用户生物信息而 生成的生物编码(biometric code)。EV区域中保存的生物编码可连接 (concatenated)作为附加认证要素的、各种附加代码。关于附加代 码的具体说明以后将参照图6进行说明。
本发明可使用各发行主体和各种格式的公钥认证书。因此,嵌有 生物编码的公钥认证书的格式不局限于图5(a)和图5(b),嵌有生 物编码的公钥认证书的扩张区域也不只局限于EV区域。
图6是图示图5(b)图示的公钥认证书的EV领域以及由此生成 的公钥/密钥的EV领域中保存的代码的格式和从智能卡传送的认证 信息的格式的示例图。
如前所述,公钥认证书的EV领域以及公钥/密钥的EV区域中可 只保存编码用户生物信息而生成的生物编码(参照图6(a)),也可 保存生物编码与各种附加代码中一个以上的附加代码连接而形成的 代码。例如,实施例中,基于用户所拥有的物联网设备的识别信息编 码(或者记号)形成的附加代码(即,设备代码)可与生物编码连接 (参照图6(b)和6(c))。在此,物联网设备的识别信息是指生产、 流通或者购买时赋予各物联网设备的固有识别信息。物联网设备的识 别信息包括设备号码,出库信息,序列号,电子产品代码(EPC),通用产品代码(UPC),物理不可克隆函数(PUF),全球发货标识号 (GSIN),物理地址等。物联网设备的识别信息可从以印刷物形式粘 贴在物联网设备上的Bar Code,QR code或者物联网设备内置的电子 元件上收集。设备代码的使用用途将在以后的部分参照图8进行说 明。
另一实施例中,基于保存有公钥认证书的智能卡或者通信终端的 识别信息编码(或者记号)生成的附加代码可连接在生物编码上(参 照图6(d))。在此,保存有公钥认证书的智能卡或者通信终端的识 别信息包括例如,密码杂凑函数值、物理不可克隆函数(PUF)、支 付卡号码等。
又一实施例中,编码(或者记号)政府或者银行等出于公共的目 的赋予用户的固有识别信息(例如,社会安全号码,唯一识别信息, 个人接入号码)或者与用户的行为特征相关的信息(例如,键击,动 态签名)而生成的附加代码可与生物编码连接(参照图6(e)和图6 (f))。与用户的行为特征相关的信息可通过智能卡或者通信终端自 带的触屏获取。
又一实施例中,基于通信终端(或者智能卡)的位置信息(例如, 全球定位系统(GPS),地球观测组织(GEO)位置)编码(或者记 号)所得的附加代码可与生物编码连接。附加代码作为附加认证要素, 可用于判断是否为超出正常交易位置距离的位置上进行的交易行为 (例如,金融交易,信赖性服务行为,金融结账,支付服务,缴费), 从而能够感知和防止由于失窃、丢失等引起的非法交易或者应用于证 明所述非法交易。
进而,生物编码可连接多个附加代码(参照图6(g)至图6(i))。 图6(j)是生物编码连接多个附加代码而形成的代码的示例。连接的 代码中生物编码和附加代码的长度可相同也可不同。
生成所述附加代码的运算法的应用方式与生成生物编码的运算 法实质上是相同。此外,附加代码的生成步骤中加密的数据(例如, 加密的动态签名)可与密钥一同保存在智能卡或者通信终端内。保存 的加密的数据可作为智能卡或者通信终端内执行的第一次用户认证 (基于生物匹配)的附加认证手段而使用。
图6(j)是用户认证程序中向应用服务器传送的认证信息中包括 的代码的示例。即,认证信息包括嵌在密钥的代码或者与密钥连接的 代码。相关的内容将在以后参照图7a进行说明。
尤其,嵌在密钥/公钥的代码和从智能卡传送的认证信息基于应 用例和/或安全强度,可具有不同的格式,不只局限于图6示例的几 种顺序或者组合。进而,图6图示的认证要素之外还可以附加使用其 他要素。
图7a是图示本发明一实施例涉及的用户认证程序的流程简图。 图7a图示的用户注册程序适用于具有图1a图示结构的用户认证系 统。
首先,通信终端获取用户生物信息,并将获取的用户生物信息向 智能卡传递S701至S702。在此,生物信息的获取可利用内置于通信 终端的生物感应器,也可以利用与通信终端连接的外部生物感应器。 不同于图7a图示,另一实施例中,智能卡可利用内置的生物感应器 直接获取用户生物信息。
然后,智能卡比较获取的生物信息与保存在智能卡的、加密的生 物信息和/或保存在智能卡的密钥内嵌入的生物编码S703。即,智能 卡判断获取的生物信息是否与预先保存的加密的生物信息和/或生物 编码匹配。
然后,当获取的生物信息与预先保存的加密的生物信息和生物编 码匹配时,智能卡将基于密钥的认证信息经通信终端向应用服务器传 送S704。认证信息的传送可利用虚拟专用网(VPN)。例如,智能卡 为了与应用服务器开设VPN,向通信终端传送校准开始信号,通信 终端对应校准开始信号在应用服务器和智能卡之间开设VPN。智能 卡通过开设的VPN向应用服务器传送认证信息。所述校准开始信号 可包括VPN的目的地URL信息。
应用服务器向认证服务器请求验证接收的认证信息S705。认证 服务器利用已注册的公钥,验证认证信息。应用服务器基于认证服务 器的验证结果,结束用户认证S706至S708。
另外,向应用服务器传送的认证信息基于嵌在保存在智能卡的密 钥的代码(参照图6(a)至图6(i))而生成。例如,认证信息可包 括嵌在公钥认证书的EV区域的生物编码或者生物编码连接的代码。 部分实施例中,认证信息不仅包括嵌在认证书的EV区域的代码,还 包括通过基于内置于智能卡的软件的OTP生成器生成的OTP(参照 图6(j))。各认证要素(生物代码,OTP,PUF等)以独立地形式传 送,各认证要素也能够以连接为一个认证数据的形式传送。
部分实施例中,向应用服务器传递的认证信息还可包括用于证明 用户的认证行为的固有信息。优选地,固有信息可由可认证用户的条 形码(bar code)、用户电子签名(e-signing)等的形式构成。此外, 所述条形码、用户电子签名等能够以印刷物的形式打印。利用智能卡 的认证行为可在发票或者存根等上打印条形码或者签字,可提高合同 的信赖度。另一实施例中,向应用服务器传递的认证信息还可包括传 送认证信息的开始的时间点有关的起点信息。又一实施例中,向应用 服务器传递的认证信息还可包括开始用户注册的起始时间(例如,密 钥/公钥生成起始时间,或者认证服务器的用户注册结束时间)有关 的信息(即,时间标识)。
所述的用户认证程序相比于背景技术,可提供如下的用户体验 (UserExperience)。例如,假设利用智能卡进行网上银行。为了登录, 现有技术的输入网上银行服务的应用服务器所需的用户账号(ID:Identifier)的步骤,可由基于用户生物信息开设通信通道的骤取代。 此外,现有技术的输入用户密码的步骤可由通过开设的通信通道传送包括嵌在密钥中的代码的认证信息的步骤取代。此外,现有技术的输 入公钥认证书的密码的步骤可由比较用户生物信息与嵌在公钥认证 书的匹配信息的步骤取代。即,根据本发明的实施例,可省略现有技 术的应用服务器中所需的输入认证书和密码的步骤。如上所述,通过 利用智能卡进行校准和认证处理,可实现利用生物信息的单点登录。
进而,根据背景技术的多因素认证,账号/密码/认证书密码/OTP 等所有认证要素作为独立的认证要素分别进行管理。与此形成对比的 是,根据本发明的实施例,加密的用户生物信息、生物编码、附加代 码以连接的形式可作为认证信息而使用。因此,一站式且点击支付的 泛在认证能够实现更加安全的多因素认证。
图7b是图示本发明一实施例涉及的用户认证程序的流程简图。 图7b图示的用户注册程序适用于具有图1b图示的结构的用户认证系 统。
首先,通信终端获取用户生物信息S751。在此,生物信息的获 取可利用内置于通信终端的生物感应器,也可以利用与通信终端连接 的外部生物感应器。
然后,通信终端比较获取的生物信息与保存在通信终端的、加密 的生物信息和/或通信终端内保存的密钥内嵌入的生物编码S752。即, 通信终端判断获取的生物信息是否与预先保存的加密的生物信息和/ 或生物编码匹配。
然后,当获取的生物信息与预先保存的加密的生物信息和生物编 码匹配时,通信终端将基于密钥的认证信息向应用服务器传送S753。 认证信息的传送可利用虚拟专用网(VPN)。例如,通信终端在智能 卡与应用服务器之间开设VPN,智能卡通过开设的VPN向应用服务 器传送认证信息。
应用服务器向认证服务器请求验证接收的认证信息S754。认证 服务器利用已注册的公钥,验证认证信息。应用服务器基于认证服务 器的验证结果,结束用户认证S755至S757。
上述说明是对利用嵌有生物编码的密钥/公钥的用户认证方法的 说明。以下将要说明的本发明部分实施例是将用户的生物编码和物联 网设备的识别信息结合,并用于管理/管制物联网设备。以下参照图8、 图9、图10a及图10b对物联网设备相关的本发明实施例进行说明。
图8a和图8b是本发明一实施例涉及的泛在环境中用于物联网设 备的用户管理系统结构的示意图。
如图8a所示,具有有线和无线通信功能的多个物联网设备850 形成物联网网络800。如前所述,智能卡810在基于公钥认证书生成 密钥/公钥的过程中,除了生物编码还可以嵌入基于用户所拥有的物 联网设备的识别信息编码生成的附加代码(即,设备代码)。由此, 使用户的生物编码和物联网设备的识别信息相互关联,从而可证明用 户和物联网设备的所有关系。
根据本发明的实施例,智能卡810生成嵌入生物编码和设备代码 的密钥和公钥,密钥保存在智能卡810内部,而公钥向相关的物联网 设备850传递。智能卡810将基于密钥的认证信息向物联网设备850 传送,物联网设备850利用公钥,验证认证信息,从而可进行用户(所 有者)认证。
另外,覆盖企业/建筑物/营业地点/家/车等一定区域的网络中,可 以有用于管理(注册,监视,控制等)连接网络上各种物联网设备的 物联网设备(例如,家庭网络中的机顶盒,接入点等),即中央管制 设备830。中央管制设备830还可以起到用户界面的作用,而且还可 具有通过组合各物联网设备850的功能,提供各种整合服务的功能。 该情况下,智能卡810将每个物联网设备850相应的公钥向中央管制 设备830传递,从而可用于物联网设备850的网络注册和用于远端控 制物联网设备850的用户(所用者)认证等。
此外,智能卡810向提供物联网服务的物联网服务提供商的服务 器840传送公钥,从而可用于网络的物联网设备的注册和用于远端控 制物联网设备的用户(所有者)认证等。
此外,智能卡810向物联网设备850的生产商/销售商的服务器 传送公钥,从而可用于物联网设备的所有者注册/变更/转让等必要的 用户(所有者)认证。
进而,智能卡向通信终端820(例如,移动手机)传送与各物联 网设备相关的公钥,通信终端820通过利用物联网设备的公钥,从而 可作为遥控器控制各物联网设备S850。例如,用户通过使用保存在 智能卡上的密钥,在通信终端820上进行用户认证程序(第一次认证),如果第一次认证成功,无需与智能卡进行互动,通过利用保存 在通信终端820的公钥,可执行对个别物联网设备或者中央管控设备 830的控制。
另外,根据本发明另一实施例,特定的生物信息的组合可作为用 于物联网设备的重新设置功能或者用于控制物联网设备的必要功能 而使用。例如,当物联网设备处于故障或者管制失控等状态时,嵌入 基于特定定生物信息的组合生成的代码信息的密钥/公钥,用于物联 网设备的重设功能或者用于控制物联网设备的必要功能而使用。
另外,图8a的智能卡810的功能可整合在通信终端820上。即, 根据本发明的另一实施例,如图8b所示,通信终端860生成嵌入生 物编码和设备代码的密钥和公钥。通信终端860将密钥保存在其内 部,并将公钥向相关物联网设备850,物联网服务提供商的服务器840,物联网设备的生产商/销售上的服务器,中央管制设备830传递。
以下参照图9a至图10b,以中央管制设备为对象,对物联网设 备的用户(所有者)注册和认证程序进行说明。相同/相似的程序显 而易见能够以物联网设备、物联网服务提供商的服务器和物联网设备 的生产商/销售商的服务器为对象执行。
图9a是说明本发明一实施例涉及的设备用户注册程序的流程 图。图9a图示的用户注册程序适用于具有图8a图示的结构的设备用 户认证系统。
作为选择性的预先程序,智能卡810通过利用预先保存的嵌有加 密的生物信息和/或生物编码的密钥,对进行设备用户注册程序的用 户可进行生物认证。即,智能卡810可设置为只允许对已注册用户进 行设备用户注册程序。
首先,通信终端820获取用户生物信息,将获取的用户生物信息 向智能卡810传递S901至S902。在此,生物信息的获取可利用内置 于通信终端的生物感应器,也可以利用与通信终端连接的外部生物感 应器。不同于图4a图示,另一实施例中,智能卡可利用内置的生物 感应器直接获取用户生物信息。
智能卡810基于已保存的加密的公钥认证书加密用户生物信息, 并编码(或者记号)加密的生物信息并生成生物编码S903。所述加 密和编码(或者记号)运算法内置在智能卡810的应用程序中,或者 在公钥认证书中规定。
然后,智能卡810通过通信终端获取赋予物联网设备的设备识别 信息S904至S905。在此,设备识别信息可利用内置于通信终端820 的感应器,或者可利用与通信终端820连接的外部设备所具备的感应 器。不同于图9a所示,智能卡使用内置的感应器可直接获取设备识 别信息。
然后,智能卡810通过与所述生物编码相同或者相似的方式,基 于设备识别信息生成设备代码S906。即,智能卡810加密设备识别 信息,并编码或者记号加密的设备识别信息并生成设备代码。
然后,智能卡810将生物编码和设备代码嵌入公钥认证书的EV 区域生成一对钥匙(公钥和密钥)。即,生成的密钥和公钥中嵌有生 物编码和设备代码。嵌入密钥和公钥的生物编码和设备代码可以是相 互连接的形态。密钥和所述加密的生物信息一同保存在智能卡810内 S907。图9a中虽未图示,以与生物编码相同或者相似的方式生成的 其它附加代码,可用于公钥认证书的生成。作为附加的认证要素可嵌 入所述公钥认证书的EV区域。
然后,智能卡810通过通信终端向中央管制设备提供公钥,并请 求设备用户注册S908。公钥的传送可利用虚拟专用网。中央管制设 备830注册设备用户,利用另外安全的数据库中管理公钥S909至 S910。
图9b是说明本发明另一实施例涉及的设备用户注册程序的流程 图。图9b图示的用户注册程序适用于具有图8b所示的结构的设备用 户认证系统。
作为选择性的预先程序,通信终端860通过利用预先保存的嵌有 加密的生物信息和/或生物编码的密钥,对进行设备用户注册程序的 用户可进行生物认证。即,通信终端860可设置为只允许对已注册的 用户进行设备用户注册程序。
首先,通信终端860获取用户生物信息S951至S952。在此,生 物信息的获取可利用内置于通信终端860的生物感应器,也可以利用 与通信终端860连接的外部生物感应器。
通信终端860基于已保存的公钥认证书加密用户生物信息,并 编码(或者记号)加密的生物信息并生成生物编码S953。所述加密 和编码(或者记号)运算法内置在智能卡的应用程序中,或者在公钥 认证书中规定。
然后,通信终端860获取赋予物联网设备的设备识别信息S954 至S955。在此,设备识别信息可利用内置于通信终端的感应器,或 者可利用与通信终端连接的外部设备所具备的感应器。
然后,通信终端860通过与所述生物编码相同或者相似的方式, 基于设备识别信息生成设备代码S956。即,通信终端860加密设备 识别信息,并编码或者记号加密的设备识别信息并生成设备代码。
然后,通信终端860将生物编码和设备代码嵌入公钥认证书的 EV区域并生成一对钥匙(公钥和密钥)。即,生成的密钥和公钥中嵌 有生物编码和设备代码。嵌入密钥和公钥的生物编码和设备代码可以 是相互连接的形态。密钥和所述加密的生物信息一同保存在通信终端 860内S957。图9a中虽未图示,以与生物编码相同或者相似的方式 生成的其它附加代码,可用于公钥密钥和证书的生成。作为附加的认 证要素可嵌入所述公钥认证书的EV区域。
然后,通信终端860向中央管制设备提供公钥,并请求设备用户 注册S958。公钥的传送可利用虚拟专用网。中央管制设备830注册 设备用户,利用另外安全的数据库管理公钥S959至S960。
图9a和9b示例的设备用户注册程序,与已经生成并保存在智能 卡810或者通信终端860的密钥无关,生成新的一对钥匙(密钥和公 钥)。但是另一实施例中,可在已保存的密钥中嵌入设备代码的方式 生成新的一对钥匙(密钥和公钥)。
图10a是说明本发明一实施例涉及的设备用户认证程序的流程 图。图10a图示的用户注册程序适用于具有图8a图示的结构的设备 用户认证系统。
首先,通信终端820获取用户生物信息,并将获取的用户生物信 息向智能卡810传递S1001至S1002。在此,生物信息的获取可利用 内置于通信终端820的生物感应器,也可以利用与通信终端820连接 的外部生物感应器。不同于图10a图示,另一实施例中,智能卡810可利用内置的生物感应器直接获取用户生物信息。
然后,智能卡810比较获取的生物信息与保存在智能卡上的、加 密的生物信息和/或保存在智能卡810的密钥内嵌入的生物编码 S1003。即,智能卡810判断获取的生物信息是否与预先保存的加密 的生物信息和/或生物编码匹配。
然后,当获取的生物信息与预先保存的加密的生物信息和生物编 码匹配时,智能卡810将基于密钥的认证信息向中央管制设备830传 送S1004。认证信息的传送可利用虚拟专用网。例如,智能卡810为 了与中央管制设备830开设VPN向通信终端820传送校准开始信号, 通信终端820对应于校准开始信号,在中央管制设备830和智能卡 810之间开设VPN,智能卡810通过开设的VPN向中央管制设备830 传送认证信息。
中央管制设备830利用已注册的公钥,验证接收的认证信息,基 于验证结果,结束设备用户的认证S1005至1007。根据部分实施例, 中央管制设备830向物联网应用服务器840或者认证服务器(未图示) 请求验证从智能卡810接收的认证信息,基于所述验证结果也可结束 设备用户的认证。
图10b是说明本发明另一实施例涉及的设备用户认证认证程序 的流程图。图10b图示的用户注册程序适用于具有图8b图示的结构 的设备用户认证系统。
首先,通信终端860获取用户生物信息S1051至S1052。在此, 生物信息的获取可利用内置于通信终端860的生物感应器,也可以利 用与通信终端860连接的外部生物感应器。
然后,通信终端860比较获取的生物信息与已保存的加密的生物 信息和/或已保存的密钥内嵌入的生物编码S1053。即,通信终端860 判断获取的生物信息是否与预先保存的加密的生物信息和/或生物编 码匹配。
然后,当获取的生物信息与已保存的加密的生物信息和生物编码 匹配,通信终端860将基于密钥的认证信息向中央管制设备830传送 S1054。认证信息的传送可利用虚拟专用网。例如,通信终端860开 设与中央管制设备830的VPN,通过开设的VPN向中央管制设备830 传送认证信息。
中央管制设备830利用已经注册的公钥,验证接收的认证信息, 并基于验证结果,结束设备用户的认证S1055至S1057。根据部分实 施例,中央管制设备830向物联网应用服务器840或者认证服务器(未 图示)请求验证接收的认证信息,根据所述验证结果,也可以结束设 备用户的认证。
图11是基于在线/离线环境的泛在认证系统的示意图。
所有的泛在认证涉及在线状态的认证,但是发在展中国家,不是 所有的地区都能提供互联网或者最低限度的通信手段。而且,地震/ 台风/洪水/停电/暴雪等灾害会导致暂时的在线中断状态。为了克服所 述的暂时/非暂时的限制,需要对基于在线环境的认证系统进行必要 合适的完善。例如,类似于自动出纳器,销售终端,自助服务机服务 终端(或者公用终端)有必要在离线环境下允许最低限度的取款或者 结算。另一示例,智能家庭网络暂时处于离线环境时,有必要授予受 限制地接入统一管理家庭网络内的物联网设备的中央管制设备的权 限。又一示例,智能车为了在线状态下的无人驾驶、自动驾驶、位置 信息、导航等功能,智能车内的多个感应器或者物联网设备可组成网 络。所述智能车即使处于离线环境下,也有必要被赋予相对于在线环 境较小的权限(Authorization)。
本发明利用在线状态的生物信息(生物编码),PKI,OTP等各 种认证手段中的部分,在离线环境下,利用最低的电力,提供部分受 限制的服务(例如,现金领取,食品预付款,接入控制等)的用户认 证方法。根据本发明的一实施例,应用服务器向结束用户注册的用户 提供离线环境下进行用户认证所需的信任状(credentials)或者令牌 (token)。例如,所述信任状可以是用户注册程序中从用户拥有或者 持有的智能卡或者通信终端接收的公钥派生且变形的公钥。
图12是说明本发明一实施例涉及的离线环境中用户认证注册程 序的流程图。图11假设使用智能卡,但取代智能卡而使用通信终端 (例如,智能手机)时,实质上可应用相同的方式。
首先,离线环境下公用终端(例如,自动出纳器,销售终端,中 央管控设备等)获取用户生物信息,并将获取的用户生物信息向智能 卡传递S1201至S1202。在此,生物信息的获取可利用内置于公用终 端的生物感应器,也可以利用与公用终端连接的外部生物感应器。不 同于图12图示,另一实施例中,智能卡可利用内置的生物感应器直 接获取用户生物信息。
然后,智能卡比较获取的生物信息与保存在智能卡的、加密的生 物信息和/或保存在智能卡的密钥内嵌入的生物编码S1203。即,智能 卡判断获取的生物信息是否与预先保存的加密的生物信息和/或生物 编码匹配。
然后,当获取的生物信息与已保存的加密的生物信息和/或生物 编码匹配时,智能卡将基于密钥的认证信息和基于预先由应用服务器 提供的变形的公钥的认证信息向公用终端传送S1204。
处于离线环境的公用终端无需向应用服务器请求验证接收的认 证信息,可授予相对于在线环境受到限制的权限。即,允许赋予限定 在一定范围的服务/交易/接入权限。部分实施例中,公用终端也可验 证接收的嵌在认证信息的验证码是否基于相同的公钥认证书生成。
为了在以后的在线状态下结算交易内容,相关的交易信息(即, 交易内容或者服务提供内容及相关的认证信息)保存在智能卡和/或 公用终端的安全元件等安全区域S1205。此外,交易信息可利用密钥 /公钥并以加密的状态保存。
重新恢复在线环境时,公用终端将保存的交易信息向应用服务器 传送S1206。应用服务器通过认证服务器验证交易信息中包括的认证 信息,并根据验证结果,结算交易信息中包括的交易内容S1207至 1209。
图13是可采用本发明实施例的应用领域的列表。
用户认证可使用复合式认证,渐渐地智能卡中可整合信用卡+电 子居民证+电子签证+驾驶执照等的各种用途的信息并使用。
如图13的表中的示例,本发明的实施例可应用的应用领域可大 致分为4个领域。
金融和身份证明领域(Financial and Identification Section)是指在 线/离线上的金融交易和伴随各种身份证明的用户认证。为了在所述 领域应用,智能卡(或者通信终端)还可保存电子居民证,退休金, 医疗保险,电子钱包,电子货币,医疗记录,驾驶执照,电子选举, 折价卷(即,根据不同的国家可以是信用卡/借记卡/网币/电子钱包/ 网上红包/金融数据/身份证/驾驶执照/医保信息/电子选举/退休金)等 各种信息。所述信息中的部分信息可以嵌在用于相关服务的公钥认证 书的EV区域。例如,作为电子居民证使用而发行的公钥认证书的 EV区域中可嵌入可显示赋予个人的固有识别信息(例如,居民登记号码,社会保障号码等)的代码。此外,部分信息可与用于相关服务 的公钥认证书预先保存在相同的区域。
物理性接入领域(Physical Access Section)作为用于管制出入的 应用区域,智能卡(或者通信终端)可起到工作证或者出入卡的作 用。用于所述应用区域的密钥/公钥中可附加智能卡(或者通信终端) 的使用位置信息(例如,GEO,GIS,GPS信息等)或者编码该信息 所生成的代码。附加的位置信息或者代码是用于揭发伪装出入的附加 的认证要素。
单点登录(SSO Section;整合认证)领域是通过一次的用户认证, 能够使用多个独立软件系统的资源的认证功能。根据本发明部分实施 例,执行基于嵌入生物匹配和生物编码的密钥/公钥的认证程序,从 而可省略应用服务器130中输入的认证书和密码的步骤,实现生物单 点登录的功能。根据本发明另一实施例,进而将在用户拥有或者持有 的任意一个通信终端(例如,智能手机)生成的密钥保存在自己的云, 并在用户拥有或者持有的另一通信终端(例如,平板电脑,智能位置 等)上下载所述密钥并使用。由此,没有必要就相同目的的密钥在不 同的通信终端分别生成,而是将一个通信终端上生成的密钥与用户拥 有或者持有的多个通信终端共享。
设备用户认证领域(Device User Authentication Section)是用于 支持物联网设备的注册或者物联网设备的接入控制的用户认证中的 应用区域。所述应用区域使用的公钥/密钥中除了生物编码,还嵌有 编码物联网设备的识别信息而生成的设备代码。进而,将公钥向各物 联网设备,中央管制设备,物联网服务服务器,物联网提供商服务器 等传递,并用于设备用户认证,远端控制等。
图14是说明各种生物信息及其组合可用于不同的用途的示意 图。
如前所述,本发明的实施例中,可使用用户互不相同的多个生物 信息和/或其组合。例如,图14作为相同类型的互不相同生物信息的 示例,举出了10个指纹信息分别用于不同用途的示例。即,本发明 的实施例中,相同类型的生物信息分别被编码,并嵌入一个密钥/公 钥中,各生物信息也可以分别生成独立的密钥/公钥。
此外,图14图示生物信息的各种组合可用于不同用途。即,本 发明的实施例中多个生物信息的组合分别被编码并嵌入一个密钥/公 钥中,各组合也可分别生成一对钥匙(密钥/公钥)。进而,相同的生 物信息的组合中可赋予各生物信息以不同的输入顺序。
另外,在本发明各种实施例的说明过程中,说明书通篇,以用于 生物匹配的加密的生物信息预先保存在智能卡或者通信终端为前提 进行说明。但是该特征被认为是本发明的所有实施例的必要组成要素 是不合理的。例如,实施例中,加密的生物信息没有保存在智能卡或 者通信终端时,生物匹配中可只使用嵌在密钥的生物编码。此外,另 一实施例中,可使用政府机构(例如,行政部,调查机构,出入境管 理部等)管理的个人的生物信息的散列值(Hash value)。散列值可预 先保存在智能卡的部分区域,也可以嵌在相关机构发行的公钥认证书 的EV区域。此外,用于生物匹配的加密的生物信息可以是基于公钥 认证书规定的加密运算法加密的生物信息,也可以是利用嵌入生物编 码的密钥加密的生物信息。进而利用公钥认证书加密的生物信息,以 基于密钥再加密的状态可与密钥一同保存。
另外,上述的方法可以通过在电脑可读取的记录媒体上以电脑可 读取的代码的形式实现。电脑可读取的记录媒体包括保存有电脑系统 可读数据的所有类型的记录装置。即,电脑可读的记录媒体可包括磁 性储存媒体(例如,只读媒体,软盘,硬盘等),光读写媒体(例如, CDROM,DVD等)和载波(例如,通过互联网的传送)等储存媒体。 此外,电脑可读的记录媒体可记录分散在网络连接的电脑系统中,且 电脑以分散的方式读取的代码并且能够执行。
以上说明仅仅是为了举例说明本实施例的技术思想,只要是本实 施例所属的技术领域的技术人员,在不超过本实施例的本质特征的范 围内,可进行各种修改和变形。因此,本实施例不是为了限定本实施 例的技术思想,而是为了对其进行说明,本实施例的技术思想的范围 不限于上述实施例。本实施例的保护范围解释要依据权利要求书,与 其等同范围内的所有技术思想均被认为属于本实施例的权利范围。
Claims (22)
1.一种将人员注册为物联网IoT装置的认证用户的便携式装置,所述便携式装置包括:
存储器;以及
至少一个处理器,联接到所述存储器,所述至少一个处理器被配置为:
获取人员的生物数据或多条生物数据的组合;
从人员的生物数据信息或多条生物数据的组合生成生物编码;
获取物联网IoT装置的固有识别数据;
从IoT装置的固有识别数据生成IoT装置编码;
在便携式装置中存储的公钥认证书的扩展字段中嵌入包含生物编码和IoT装置编码的验证编码;
生成密钥和公钥对,其中所述密钥包含所述验证编码;以及
向与所述IoT装置通信的远端对象传送所述公钥,从而使得所述远端对象将人员注册为所述IoT装置的认证用户。
2.如权利要求1所述的便携式装置,其中所述验证编码还包括:从赋予所述便携式装置的固有识别数据生成的代码;从表现人员的行为特征的特征信息生成的代码;从表现请求认证的用户的位置的位置信息生成的代码;从表现请求用户的认证的位置的位置信息生成的代码;从赋予人员的固有识别数据生成的代码,或其组合。
3.如权利要求1所述的便携式装置,其中所述至少一个处理器进一步被配置为:在所述便携式装置中存储人员的所述生物数据或多条生物数据的组合。
4.如权利要求3所述的便携式装置,进一步包括:在存储之前加密所述生物数据或多条生物数据的组合。
5.如权利要求1所述的便携式装置,进一步包括在所述便携式装置中存储所述密钥。
6.如权利要求1所述的便携式装置,其中所述至少一个处理器进一步被配置为:
获取与权利要求1中的人员的生物数据或多条生物数据的组合不同的人员的附加的生物数据或附加的多条生物数据的组合;
从人员的所述附加的生物数据或所述附加的多条生物数据的组合生成附加的生物编码;以及
在所述公钥认证书的扩展字段中嵌入包含所述附加的生物编码的附加的验证编码,
其中,所述密钥进一步包含所述附加的验证编码。
7.如权利要求6所述的便携式装置,其中,所述附加的验证编码与权利要求1中的所述验证编码具有不同的用途。
8.如权利要求7所述的便携式装置,其中:所述附加的验证编码被限定为(a)显示所述密钥出于第三方的胁迫而使用的情况;(b)请求远端对象取消注册;或(c)请求远端对象初始化能够由远端对象管理的认证管理系统。
9.如权利要求1所述的便携式装置,其中,所述公钥认证书的扩展字段还包括关于人员的电子居民身份证、人员的驾驶执照、人员的电子货币、或人员的医疗卡、或远端对象的独立资源定位器即URL的信息。
10.如权利要求1所述的便携式装置,其中,所述公钥通过虚拟专用网传送到所述远端对象。
11.如权利要求1所述的便携式装置,其中,所述便携式装置被实施为智能卡、或移动通信终端。
12.一种便携式装置,所述便携式装置有利于远端对象确定请求所述便携式装置访问IoT装置的人员是否与已经注册为所述IoT装置的认证用户的人员相同,所述便携式装置包括:
存储器,存储已经注册为所述IoT装置的认证用户的人员的生物数据或多条生物数据的组合,所述存储器进一步存储包括验证编码的密钥,所述验证编码包含(1)从已经注册为所述IoT装置的认证用户的人员的生物数据或多条生物数据的组合生成的生物编码;以及(2)从所述IoT装置的固有识别数据生成的IoT装置编码:
至少一个存储器,联接到所述存储器,所述至少一个处理器被配置为:
获取请求所述便携式装置访问所述IoT装置的人员的生物数据或多条生物数据的组合;
确定请求所述便携式装置访问所述IoT装置的人员的所获取的生物数据或所获取的多条生物数据的组合是否匹配已经注册为所述IoT装置的认证用户的人员的所存储的生物数据或所存储的多条生物数据的组合;
当确定匹配时,生成包含验证编码的认证信息;以及
将所述认证信息向远端对象传送,从而使所述远端对象能够确定请求所述便携式装置访问所述IoT装置的人员是否与已经注册为所述IoT装置的认证用户的人员相同。
13.如权利要求12所述的便携式装置,其中所述至少一个处理器进一步被配置为:
确定请求所述便携式装置访问所述IoT装置的人员的所获取的生物数据或所获取的多条生物数据的组合是否匹配在所述密钥中包含的生物编码;以及
当确定请求所述便携式装置访问所述IoT装置的人员的所获取的生物数据或所获取的多条生物数据的组合匹配(a)已经注册为所述IoT装置的认证用户的人员的所存储的生物数据或所存储的多条生物数据的组合以及(b)在所述密钥中存储的所述生物编码时,生成所述认证信息。
14.如权利要求12所述的便携式装置,其中,所述验证编码还包括:从赋予所述便携式装置的固有识别数据生成的代码;从表现请求用户的认证的位置的位置信息生成的代码;从赋予已经注册为所述IoT装置的认证用户的人员的固有识别数据生成的代码;从表现已经注册为所述IoT装置的认证用户的人员的行为特征的特征信息生成的代码,或其组合。
15.如权利要求12所述的便携式装置,其中,所述认证信息还包括:(a)对应于OTP、一次性密码的信息,(b)关于传送认证信息的起始时间的时间信息,(c)关于密钥生成的起始时间的时间信息,或(d)关于发送认证信息的的位置的位置信息。
16.如权利要求12所述的便携式装置,其中,
所述认证信息通过虚拟专用网传送到所述远端对象。
17.如权利要求16所述的便携式装置,其中,所述密钥中包括所述虚拟专用网的目的地、独立资源定位器URL。
18.如权利要求12所述的便携式装置,其中,所述便携式装置被实施为智能卡或移动通信终端。
19.如权利要求12所述的便携式装置,其中,所述远端对象是服务器、所述IoT装置、或与所述IoT装置通信的另一IoT装置。
20.一种确认请求便携式装置访问IoT装置的人员与已经被注册为所述IoT装置的认证用户的人员是否相同的设备,其中所述便携式装置包括公钥和密钥对,并且其中所述密钥包含验证编码,所述验证编码包含(1)从所述IoT装置的认证用户的生物数据或多条生物数据的组合生成的生物编码,以及(2)从所述IoT装置的固有识别数据生成的IoT装置编码,所述设备包括:
存储器;以及
至少一个处理器,联接到所述存储器,所述至少一个处理器被配置为:
从所述便携式装置接收公钥,从而注册期望注册为所述IoT装置的认证用户的人员;
从所述便携式装置接收包含验证编码的认证信息,其中当在所述便携式装置处确定请求所述便携式装置访问所述IoT装置的人员的生物数据或多条生物数据的组合匹配所述IoT装置的认证用户的生物数据或多条生物数据的组合时,在所述便携式装置处生成所述认证信息;
通过使用所述公钥验证所述认证信息;以及
基于所述验证的结果,确认请求所述便携式装置访问所述IoT装置的人员是否与所述IoT装置的认证用户相同。
21.如权利要求20所述的设备,其中,当进一步确定请求所述便携式装置访问所述IoT装置的人员的生物数据或多条生物数据的组合匹配在所述密钥中包含的生物编码时,生成所述认证信息。
22.如权利要求20所述的设备,其中,所述设备是服务器、所述IoT装置、或与所述IoT装置通信的另一IoT装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010332623.4A CN111711520B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010332623.4A CN111711520B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
| PCT/KR2015/004048 WO2016171295A1 (ko) | 2015-04-23 | 2015-04-23 | 유비쿼터스 환경에서 인증 |
| CN201580016070.9A CN106576044B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580016070.9A Division CN106576044B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111711520A true CN111711520A (zh) | 2020-09-25 |
| CN111711520B CN111711520B (zh) | 2023-12-15 |
Family
ID=57143214
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580016070.9A Active CN106576044B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
| CN202010332623.4A Active CN111711520B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580016070.9A Active CN106576044B (zh) | 2015-04-23 | 2015-04-23 | 泛在环境中的认证 |
Country Status (8)
| Country | Link |
|---|---|
| EP (2) | EP3288214B1 (zh) |
| JP (1) | JP6381833B2 (zh) |
| KR (3) | KR102004829B1 (zh) |
| CN (2) | CN106576044B (zh) |
| CA (3) | CA3027918C (zh) |
| IL (2) | IL254820B (zh) |
| RU (1) | RU2702076C2 (zh) |
| WO (1) | WO2016171295A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220385481A1 (en) * | 2021-06-01 | 2022-12-01 | International Business Machines Corporation | Certificate-based multi-factor authentication |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10084782B2 (en) * | 2015-09-21 | 2018-09-25 | Early Warning Services, Llc | Authenticator centralization and protection |
| JP7064093B2 (ja) * | 2017-02-21 | 2022-05-10 | フィンガープリント カーズ アナカタム アイピー アクティエボラーグ | 高信頼性鍵サーバ |
| KR20180119515A (ko) * | 2017-04-25 | 2018-11-02 | 김현민 | 스마트 휴대 기기를 이용한 스마트 기기와 로봇의 개인 맞춤형 서비스 운용 시스템 및 방법 |
| CN107370597A (zh) * | 2017-07-11 | 2017-11-21 | 深圳市雪球科技有限公司 | 基于物联网的安全认证方法以及安全认证系统 |
| US11450314B2 (en) * | 2017-10-03 | 2022-09-20 | Google Llc | Voice user interface shortcuts for an assistant application |
| US11582233B2 (en) | 2017-11-22 | 2023-02-14 | Aeris Communications, Inc. | Secure authentication of devices for Internet of Things |
| US10943005B2 (en) | 2017-11-22 | 2021-03-09 | Aeris Communications, Inc. | Secure authentication of devices for internet of things |
| CN108038694B (zh) * | 2017-12-11 | 2019-03-29 | 飞天诚信科技股份有限公司 | 一种具有指纹验证功能的金融卡及其工作方法 |
| CN108449359A (zh) * | 2018-04-16 | 2018-08-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于区块链的电子病历共享方法和系统 |
| KR102596874B1 (ko) | 2018-05-31 | 2023-11-02 | 삼성전자주식회사 | 생체 정보를 이용한 서비스 수행을 위한 시스템 및 그의 제어 방법 |
| JP6624251B1 (ja) * | 2018-07-31 | 2019-12-25 | 横河電機株式会社 | インターフェイスモジュール、ネットワークデバイス、およびネットワークシステム |
| CN108880824B (zh) * | 2018-09-06 | 2024-01-26 | 山西特信环宇信息技术有限公司 | 电子身份证的手机双向应用终端系统及其使用方法 |
| CN109347875A (zh) * | 2018-11-29 | 2019-02-15 | 深圳力维智联技术有限公司 | 物联网设备、物联网平台及接入物联网平台的方法和系统 |
| CN110011985A (zh) * | 2019-03-19 | 2019-07-12 | 阿里巴巴集团控股有限公司 | 用于操作物联网设备的方法和系统 |
| US20220337401A1 (en) * | 2019-09-10 | 2022-10-20 | Lg Electronics Inc. | Electronic device for performing authentication on basis of cloud server and control method therefor |
| CN112636914B (zh) * | 2019-10-08 | 2023-07-14 | 深圳市文鼎创数据科技有限公司 | 一种身份验证方法、身份验证装置及智能卡 |
| US11113685B2 (en) * | 2019-12-23 | 2021-09-07 | Capital One Services, Llc | Card issuing with restricted virtual numbers |
| KR20210125655A (ko) * | 2020-04-08 | 2021-10-19 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| CN111245870B (zh) * | 2020-04-26 | 2020-08-14 | 国网电子商务有限公司 | 基于移动终端的身份认证方法及相关装置 |
| TWI774011B (zh) * | 2020-06-23 | 2022-08-11 | 國泰世華商業銀行股份有限公司 | 藉由自動櫃員機獲得認證以進行數帳申請之系統及方法 |
| CN111726369B (zh) * | 2020-07-02 | 2022-07-19 | 中国银行股份有限公司 | 一种身份认证方法、系统及服务器 |
| KR102208763B1 (ko) * | 2020-07-07 | 2021-01-28 | (주)한국전자투표 | 선거 명칭을 이용한 전자 투표 시스템 |
| KR102179421B1 (ko) * | 2020-07-07 | 2020-11-16 | (주)한국전자투표 | 선거 명칭을 이용한 전자 투표 방법 |
| KR102465173B1 (ko) * | 2020-10-26 | 2022-11-11 | 아이리텍 잉크 | 홍채 인증 카드 및 홍채 인증 카드를 이용한 신원 인증 방법 |
| KR20220082258A (ko) | 2020-12-10 | 2022-06-17 | 삼성전자주식회사 | 전자 장치 및 전자 장치에서 기억 서비스를 제공하는 방법 |
| EP4024243A1 (en) * | 2021-01-05 | 2022-07-06 | Thales DIS France SA | Method for managing a one-time-password |
| KR102547682B1 (ko) * | 2021-06-25 | 2023-06-27 | 주식회사 엘지유플러스 | Puf기반 otp를 이용하여 사용자 인증을 지원하는 서버 및 그 동작 방법 |
| RU2766323C1 (ru) * | 2021-07-05 | 2022-03-15 | АО "Актив-софт" | СИСТЕМА И СПОСОБ ВЗАИМОДЕЙСТВИЯ СМАРТ-КАРТ С iPadOS-УСТРОЙСТВАМИ |
| US11663567B2 (en) * | 2021-08-19 | 2023-05-30 | Bank Of America Corporation | Automated teller machine (ATM) pre-stage robotic technology |
| CN114205091B (zh) * | 2021-11-30 | 2023-11-03 | 安徽大学 | 一种基于混沌映射的自动驾驶车辆网络认证和密钥协商方法 |
| FR3133463A1 (fr) * | 2022-03-08 | 2023-09-15 | Eric Fouchard | Dispositif portable et autonome de sécurisation de transfert de données et procédé correspondant. |
| EP4254859A1 (en) * | 2022-03-28 | 2023-10-04 | Thales Dis France SAS | Method for enrolling a public key on a server |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010008063A (ko) * | 2000-11-06 | 2001-02-05 | 황보열 | 컴팩트 디스크를 이용한 공개키 기반구조의 인증서, 인증서의 발급과 이용 방법 및 시스템 |
| US20030076962A1 (en) * | 2001-10-18 | 2003-04-24 | Jong-Hyuk Roh | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system |
| CA2491628A1 (en) * | 2002-07-03 | 2004-01-15 | Aurora Wireless Technologies, Ltd. | Biometric private key infrastructure |
| CN1741042A (zh) * | 2005-09-20 | 2006-03-01 | 杨振宁 | 基于数字签名的物品防伪保真信息及签名验证装置 |
| CN1855811A (zh) * | 2005-04-29 | 2006-11-01 | 乐金电子(昆山)电脑有限公司 | 利用便携式终端机的公认认证系统及其方法 |
| KR20070038308A (ko) * | 2005-10-05 | 2007-04-10 | 박현주 | 다중생체인증 정보를 내장한 유무선 단말기를 이용한 생체인증 시스템 및 그 생체인증 방법 |
| CN101828358A (zh) * | 2007-06-27 | 2010-09-08 | 环球标志株式会社 | 服务器认证书发行系统 |
| RU2408896C1 (ru) * | 2009-07-28 | 2011-01-10 | Сергей Викторович Ларцов | Способ и устройство маркировки объектов при помощи электронного номера-пломбы, осуществляющей информационный обмен со считывающим устройством с использованием секретного кодирования на основе асимметричных ключей |
| CN102017509A (zh) * | 2008-05-15 | 2011-04-13 | 高通股份有限公司 | 使用安全生物测定模型的基于身份的对称密码系统 |
| WO2011043557A2 (ko) * | 2009-10-08 | 2011-04-14 | Choi Unho | 본인인증 장치 및 유비쿼터스 인증 관리 시스템 |
| CN102436685A (zh) * | 2010-09-28 | 2012-05-02 | 慕华投资有限公司 | 生物特征钥匙 |
| US20120278614A1 (en) * | 2009-11-17 | 2012-11-01 | Unho Choi | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
| KR20140023052A (ko) * | 2012-08-16 | 2014-02-26 | 이왕주 | 결제 중개 시스템 및 방법 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020038420A1 (en) * | 2000-04-13 | 2002-03-28 | Collins Timothy S. | Method for efficient public key based certification for mobile and desktop environments |
| AU2001293248A1 (en) * | 2000-10-03 | 2002-04-15 | Abraham R. Zingher | Biometric system and method for detecting duress transactions |
| EP1573426A4 (en) * | 2001-07-12 | 2009-11-25 | Atrua Technologies Inc | METHOD AND SYSTEM FOR A BIOMETRIC IMAGE ASSEMBLY OF MULTIPLE PARTIAL BIOMETRIC FRAME SCANS |
| KR100546775B1 (ko) * | 2003-11-27 | 2006-01-25 | 한국전자통신연구원 | 생체정보를 이용한 인증서 발급 및 인증 방법 |
| JP2005260614A (ja) * | 2004-03-12 | 2005-09-22 | Dainippon Printing Co Ltd | 暗号装置 |
| JP4792771B2 (ja) * | 2005-03-07 | 2011-10-12 | ソニー株式会社 | データ処理方法およびデータ処理システム |
| EP1908215A1 (fr) * | 2005-07-26 | 2008-04-09 | France Télécom | Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants |
| CN101127592A (zh) * | 2006-08-15 | 2008-02-20 | 华为技术有限公司 | 一种生物模版注册方法及系统 |
| JP2008109422A (ja) * | 2006-10-26 | 2008-05-08 | Mitsubishi Electric Corp | データ処理システムおよびデータ処理方法 |
| US8468355B2 (en) * | 2008-12-19 | 2013-06-18 | University Of South Carolina | Multi-dimensional credentialing using veiled certificates |
| BRPI1006764A8 (pt) * | 2009-04-10 | 2017-07-11 | Koninklijke Philips Electronics Nv | Método em um sistema que compreende um dispositivo e um serviço remoto, e, sistema para autenticar um dispositivo e um usuário |
| KR101147683B1 (ko) * | 2009-10-08 | 2012-05-22 | 최운호 | 생체인식 카드와 csd를 활용한 컨테이너 및 물류추적시스템 |
| RU2452013C2 (ru) * | 2010-01-26 | 2012-05-27 | Российская Федерация, от имени которой выступает Федеральная служба по техническому и экспортному контролю (ФСТЭК России) | Способ формирования сертификата открытого ключа |
| KR101178855B1 (ko) * | 2010-05-03 | 2012-09-03 | 남궁종 | 홍채 인식 시스템, 그 방법 및 이를 이용한 무선 통신 장치 보안 시스템 |
| US8959357B2 (en) * | 2010-07-15 | 2015-02-17 | International Business Machines Corporation | Biometric encryption and key generation |
| GB201105774D0 (en) * | 2011-04-05 | 2011-05-18 | Visa Europe Ltd | Payment system |
| US9210161B2 (en) * | 2011-12-13 | 2015-12-08 | Business Objects Software Limited | Authentication certificates as source of contextual information in business intelligence processes |
| US9286455B2 (en) * | 2012-10-04 | 2016-03-15 | Msi Security, Ltd. | Real identity authentication |
| CN103607282B (zh) * | 2013-11-22 | 2017-03-15 | 成都卫士通信息产业股份有限公司 | 一种基于生物特征的身份融合认证方法 |
-
2015
- 2015-04-23 WO PCT/KR2015/004048 patent/WO2016171295A1/ko active Application Filing
- 2015-04-23 KR KR1020187003705A patent/KR102004829B1/ko active IP Right Grant
- 2015-04-23 CA CA3027918A patent/CA3027918C/en active Active
- 2015-04-23 EP EP15889961.7A patent/EP3288214B1/en active Active
- 2015-04-23 CN CN201580016070.9A patent/CN106576044B/zh active Active
- 2015-04-23 CN CN202010332623.4A patent/CN111711520B/zh active Active
- 2015-04-23 KR KR1020187003707A patent/KR102004840B1/ko active IP Right Grant
- 2015-04-23 KR KR1020167016873A patent/KR101829266B1/ko active IP Right Grant
- 2015-04-23 CA CA2980114A patent/CA2980114C/en active Active
- 2015-04-23 JP JP2017555598A patent/JP6381833B2/ja active Active
- 2015-04-23 EP EP18167938.2A patent/EP3373554B1/en active Active
- 2015-04-23 RU RU2017140260A patent/RU2702076C2/ru active
- 2015-04-23 CA CA3027909A patent/CA3027909C/en active Active
-
2017
- 2017-10-01 IL IL254820A patent/IL254820B/en active IP Right Grant
-
2020
- 2020-09-09 IL IL277246A patent/IL277246B/en unknown
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010008063A (ko) * | 2000-11-06 | 2001-02-05 | 황보열 | 컴팩트 디스크를 이용한 공개키 기반구조의 인증서, 인증서의 발급과 이용 방법 및 시스템 |
| US20030076962A1 (en) * | 2001-10-18 | 2003-04-24 | Jong-Hyuk Roh | Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system |
| CA2491628A1 (en) * | 2002-07-03 | 2004-01-15 | Aurora Wireless Technologies, Ltd. | Biometric private key infrastructure |
| EP1535127A2 (en) * | 2002-07-03 | 2005-06-01 | Aurora Wireless Technologies, Inc. | Biometric private key infrastructure |
| CN1855811A (zh) * | 2005-04-29 | 2006-11-01 | 乐金电子(昆山)电脑有限公司 | 利用便携式终端机的公认认证系统及其方法 |
| CN1741042A (zh) * | 2005-09-20 | 2006-03-01 | 杨振宁 | 基于数字签名的物品防伪保真信息及签名验证装置 |
| KR20070038308A (ko) * | 2005-10-05 | 2007-04-10 | 박현주 | 다중생체인증 정보를 내장한 유무선 단말기를 이용한 생체인증 시스템 및 그 생체인증 방법 |
| CN101828358A (zh) * | 2007-06-27 | 2010-09-08 | 环球标志株式会社 | 服务器认证书发行系统 |
| CN102017509A (zh) * | 2008-05-15 | 2011-04-13 | 高通股份有限公司 | 使用安全生物测定模型的基于身份的对称密码系统 |
| RU2408896C1 (ru) * | 2009-07-28 | 2011-01-10 | Сергей Викторович Ларцов | Способ и устройство маркировки объектов при помощи электронного номера-пломбы, осуществляющей информационный обмен со считывающим устройством с использованием секретного кодирования на основе асимметричных ключей |
| WO2011043557A2 (ko) * | 2009-10-08 | 2011-04-14 | Choi Unho | 본인인증 장치 및 유비쿼터스 인증 관리 시스템 |
| US20120278614A1 (en) * | 2009-11-17 | 2012-11-01 | Unho Choi | User authentication system, user authentication apparatus, smart card, and user authentication method for ubiquitous authentication management |
| CN102436685A (zh) * | 2010-09-28 | 2012-05-02 | 慕华投资有限公司 | 生物特征钥匙 |
| KR20140023052A (ko) * | 2012-08-16 | 2014-02-26 | 이왕주 | 결제 중개 시스템 및 방법 |
Non-Patent Citations (2)
| Title |
|---|
| 李超;辛阳;钮心忻;杨义先;: "一种基于生物证书的身份认证方案", 计算机工程, no. 20 * |
| 金点九;: "利用Rijindael算法设计并实现电子商务证书管理系统", 湖南科技学院学报, no. 02 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220385481A1 (en) * | 2021-06-01 | 2022-12-01 | International Business Machines Corporation | Certificate-based multi-factor authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3373554A1 (en) | 2018-09-12 |
| RU2017140260A (ru) | 2019-05-23 |
| CA3027909C (en) | 2021-08-31 |
| RU2017140260A3 (zh) | 2019-05-23 |
| CN106576044B (zh) | 2020-05-15 |
| CN106576044A (zh) | 2017-04-19 |
| WO2016171295A1 (ko) | 2016-10-27 |
| IL254820B (en) | 2020-11-30 |
| CN111711520B (zh) | 2023-12-15 |
| JP6381833B2 (ja) | 2018-08-29 |
| CA3027909A1 (en) | 2016-10-27 |
| EP3373554B1 (en) | 2022-11-02 |
| IL254820A0 (en) | 2017-12-31 |
| KR101829266B1 (ko) | 2018-03-29 |
| IL277246B (en) | 2021-09-30 |
| JP2018516505A (ja) | 2018-06-21 |
| CA3027918A1 (en) | 2016-10-27 |
| EP3288214A1 (en) | 2018-02-28 |
| CA2980114A1 (en) | 2016-10-27 |
| CA3027918C (en) | 2021-11-09 |
| IL277246A (en) | 2020-10-29 |
| KR102004829B1 (ko) | 2019-07-29 |
| RU2702076C2 (ru) | 2019-10-03 |
| KR20180016641A (ko) | 2018-02-14 |
| EP3288214A4 (en) | 2018-12-05 |
| KR20180016640A (ko) | 2018-02-14 |
| KR20160137948A (ko) | 2016-12-02 |
| EP3288214B1 (en) | 2021-03-03 |
| KR102004840B1 (ko) | 2019-07-29 |
| CA2980114C (en) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11664997B2 (en) | Authentication in ubiquitous environment | |
| CN106576044B (zh) | 泛在环境中的认证 | |
| KR101111381B1 (ko) | 유비쿼터스 인증 관리를 위한 사용자 인증 시스템, 사용자 인증장치, 스마트 카드 및 사용자 인증방법 | |
| ES2599985T3 (es) | Validación en cualquier momento para los tokens de verificación | |
| US20210272098A1 (en) | Method and system to create a trusted record or message and usage for a secure activation or strong customer authentication | |
| JP6691582B2 (ja) | ユーザー認証方法及び認証管理方法 | |
| KR20110002968A (ko) | 생체 인증을 이용한 금융 거래 서비스 제공 방법 및 시스템과 그를 위한 휴대용 저장 장치 | |
| US10503936B2 (en) | Systems and methods for utilizing magnetic fingerprints obtained using magnetic stripe card readers to derive transaction tokens | |
| TWI596547B (zh) | Card application service anti-counterfeiting writing system and method based on multi-card combination | |
| KR20200022194A (ko) | 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법 | |
| JP2020115386A (ja) | ユビキタス環境での認証 | |
| WO2014146684A1 (en) | An authentication system and method | |
| KR101682678B1 (ko) | 카드 트랜잭션 시스템 및 그를 위한 암복호화 서버 | |
| KR20200103615A (ko) | 사용자가 소지한 금융 카드 기반 본인 인증 시스템 및 방법 | |
| KR20200031026A (ko) | 신호 처리 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |