KR100449484B1 - 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 - Google Patents

공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 Download PDF

Info

Publication number
KR100449484B1
KR100449484B1 KR10-2001-0064187A KR20010064187A KR100449484B1 KR 100449484 B1 KR100449484 B1 KR 100449484B1 KR 20010064187 A KR20010064187 A KR 20010064187A KR 100449484 B1 KR100449484 B1 KR 100449484B1
Authority
KR
South Korea
Prior art keywords
user
certificate
biometric information
public key
issuing
Prior art date
Application number
KR10-2001-0064187A
Other languages
English (en)
Other versions
KR20030032423A (ko
Inventor
김희선
김태성
노종혁
최대선
조영섭
조상래
진승헌
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0064187A priority Critical patent/KR100449484B1/ko
Priority to US10/082,110 priority patent/US20030076961A1/en
Publication of KR20030032423A publication Critical patent/KR20030032423A/ko
Application granted granted Critical
Publication of KR100449484B1 publication Critical patent/KR100449484B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

본 발명은 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법에 관한 것이다. 즉, 본 발명은 공개키 기반 인증시스템에서 인증서 발급에 있어서, 인증서 발급 요청시에 요청 메시지의 보호를 위해 발급시 요구되는 인가코드를 등록단계가 아닌 인증서 발급 요청 단계에서 사용자의 생체정보를 통한 사용자 인증시 인증기관으로부터 부여되도록 함으로써 사용자 입장에서 인증서 발급시 복잡한 인가코드를 기억하고 입력하지 않아도 되도록 함으로써 인증서 발급 절차를 간소화할 수 있으며, 또한 인증서 발급단계에서 생체정보를 이용하여 인가코드를 부여함에 따라 제3자에 의해 인증서 발급단계 이전에 참조번호가 노출되었다 하더라도 인가코드를 받기 위해서는 생체정보에 의한 실시간 신원확인 절차가 필요하게 되어 제3자에 의한 인증서 발급시도가 방지됨으로써 인증서 발급시 더 높은 보안성을 유지할 수 있게 되는 이점이 있다.

Description

공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법{METHOD FOR ISSUING A CERTIFICATE OF AUTHENTICATION USING INFORMATION OF A BIO METRICS IN A PKI INFRASTRUCTURE}
본 발명은 공개키 기반 구조(PKI: Public Key Infrastructure) 인증시스템에 관한 것으로, 특히 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법에 관한 것이다.
통상적으로, 공개키 기반 구조는, 인터넷상 보안이 요구되는 전자문서의 송/수신시 상기 인증시스템에 의해 인증된 회원 사용자간에 공개키와 개인키를 이용한 암호화 전송이 가능하도록 하는 시스템을 말하는 것으로, 즉, 상기 인증시스템에 회원 등록된 사용자들은 해당 인증기관으로부터 정당한 사용자임을 인증하는 디지털 인증서를 발급받고 상대방 공개키로 보안이 요구되는 전자문서를 암호화한 후, 자신의 개인키로 전자서명하여 전송함으로써 상기 인증시스템에 회원 등록된 사용자간에는 전자문서를 안전하게 송/수신할 수 있도록 하는 시스템을 말한다.
이때 종래 인증시스템에서 인증서 발급 단계에서는 인증서를 발급 받기 위해서는 먼저 사용자의 신원 및 인증서 발급 권한을 판단하여야 하며, 또한 사용자가 자신의 개인키와 공개키에 대한 공개키쌍을 생성하여 생성한 공개키의 인증서를 발급 받기 위해서는 해당 공개키에 대응되는 개인키를 소유하고 있음을 증명하는 키소유증명(POP:Proof Of Possession of private key)을 수행하여야 하는데, 이를 위해서는 사용자가 상기 인증시스템에 사용자 등록 단계에서 상기 인증기관과 연결되는 등록기관에 가서 사용자 등록을 요청한 후, 인증시스템에 연결할 수 있는 참조번호와 인가 코드를 수신하고 자신의 사용자 시스템을 통해 상기 참조번호와 인가코드를 입력하여야만 인증서 발급이 가능하였다.
그러나 상기 인증서 발급을 위해 필요되는 인가 코드는 타인에 의해 추측이 불가능하도록 큰 비트수의 복잡한 값으로 결정되기 때문에 사용자가 이를 등록기관으로부터 통보 받아 완전히 숙지해서 사용하기에는 큰 어려움이 있었으며, 이를 위해 종래 등록기관이 상기 인가코드를 사용자 이메일로 전송하여 준다거나 또는 용지에 인쇄하여 주는 방법이 관행적으로 수행되어 왔으나, 이는 참조번호와 인가코드가 중간에 노출될 위험이 크며, 악의를 가진 타인에 의해 노출되는 경우 제3자에 의한 악의적인 도용의 위험성이 있었다. 또한 인증서 발급 요청시 인가코드 입력에 따른 인증서 발급 절차가 복잡하였던 문제점이 있었다.
한편, 상기와 같은 공개키 기반 구조 인증시스템에서의 인증서 발급방법으로는 출원번호 1999-0051586호에 개시된 "인증기관 시스템의 사용자용 공개키 인증서 생성방법"과 2000년 10월에 출판된 "한국통신학회지" 제17권 10호 105∼117페이지에 개시된 "전자서명 인증기술동향" 등과 같은 공개키 기반 구조에서의 인증 기술이 개시되어 있으나, 상기 "인증기관 시스템의 사용자용 공개키 인증서 생성방법"에는 단지 인증기관에서 사용자에게 신속하게 공개키 인증서를 생성하는 방법이 개시되어 있으며, "전자서명 인증 기술동향"에는 단지 공개키 기반 구조 구현에 필요한 표준 및 CMP를 이용한 종래 통상적인 인증서 발급 방법이 개시되고 있을 뿐 상기한 종래 공개키 기반 구조 인증시스템에서와 마찬가지로 인증서 발급 요청시 복잡한 인가코드의 사용으로 인한 인증서 발급 절차의 불편함과 인증서 발급 단계에서 인가코드의 노출 위험은 여전히 문제점으로 남아 있었다.
따라서, 본 발명의 목적은 공개키 기반 구조 인증시스템에서 생체정보를 이용한 사용자 인증을 통해 인증서 발급이 가능하도록 함으로써, 사용자가 복잡한 인가코드를 직접 입력하지 않고도 쉽게 인증서 발급을 요청할 수 있도록 하며, 또한 생체정보를 이용한 사용자 인증을 통해 인증서 발급 절차의 보안성도 높일 수 있도록 하는 인증서 발급 방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명은 등록기관, 인증기관, 사용자 시스템을 포함하는 공개키 기반 구조 인증시스템에서 사용자 시스템과 인증기관간 생체정보를 이용하여 인증서를 발급하는 방법에 있어서, (a)인터넷을 통해 상기 인증시스템에 접속한 상기 사용자 시스템으로부터 인증서 발급 요청 메시지를 수신하는 단계; (b)상기 인증서 발급 요청을 위한 사용자 인증을 위해 상기 사용자 시스템으로부터 전송되는 해당 사용자의 참조번호와 생체정보를 추출하는 단계; (c)상기 전송된 사용자의 생체정보와 데이터 베이스 저장부내 등록 저장된 상기 참조번호에 해당하는 회원 등록 사용자의 생체정보가 일치하는지 여부를 검사하는 단계; (d)상기 생체정보가 일치하는 경우 회원 등록시 상기 참조번호와 함께 생성된 상기 인증서 요청 사용자의 인가코드를 독출하여 사용자 시스템으로 제공하는 단계; 및 (e)사용자 시스템으로부터 생성된 공개키를 수신하여 인증서를 발급하는 단계;를 포함하여 진행하는 것을 특징으로 한다.
도 1은 본 발명의 실시 예에 따른 공개키 기반 구조 인증시스템의 네트웍 구성을 도시한 것이다.
도 2는 본 발명의 실시 예에 따른 사용자 시스템의 개략적인 블록 구성을 도시한 것이다.
도 3은 본 발명의 실시 예에 따른 인증기관 서버의 개략적인 블록 구성을 도시한 것이다.
도 4는 본 발명의 실시 예에 따른 사용자 시스템과 인증기관 서버간 인증서 발급을 위한 동작 제어 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예의 동작을 상세하게 설명한다.
도 1은 본 발명의 실시 예에 따른 공개키 기반 구조 인증시스템의 네트웍 구성을 도시한 것이다. 이하 상기 도 1을 참조하면, 공개키 기반 구조 인증시스템은, 사용자의 신원을 대행 확인하는 등록기관, 상기 등록기관에 의해 등록 요청된 사용자에 대한 참조번호와 인가코드를 생성하고, 인증서를 발급하는 인증기관 및 인터넷을 통해 상기 인증기관과 접속되어 온라인으로 사용자 공개키에 대한 인증서 발급을 요청하는 사용자 시스템으로 구성된다.
먼저 등록기관(100)은 인증기관(102)과 물리적으로 멀리 떨어져 있는 사용자들을 위해 인증기관(102)과 인증서 요청 객체 사이에 존재하여 사용자들의 인증서 요청시 인증기관(102) 대신 그들의 신분과 소속을 확인하는 기능을 수행하는 시스템으로, 인터넷(106)을 통해 인증기관(102)과 연결되어 사용자의 상기 인증시스템 회원 등록 요청을 인증기관(102)으로 요청하고 등록 승인 여부를 수신하여 해당 사용자에게 인증서 발급 요청시 사용자 인증을 위한 참조번호를 통보하여 준다.
사용자 시스템(104)은 PC(Personal Computer) 등과 같이 인터넷(106)에 접속할 수 있는 단말장치를 말하는 것으로, 사용자(110)는 상기 등록기관(100)을 통한 상기 인증시스템의 인증서 발급 요청시 해당 등록기관(100)으로부터 통보된 참조번호와 자신의 생체정보를 이용하여 인증기관(102)에 접속한 후, 사용자 시스템(104)에서 생성되는 사용자의 공개키에 대한 인증서 발급을 요청하게 된다.
특히 본 발명의 실시 예에서는 사용자 시스템을 이용한 인증서 발급 요청시 상기 참조번호와 생체정보만을 이용하여 회원 인증이 수행이 가능하도록 함으로써 인증서 발급을 위해 인증기관 접속시 필요하게되는 복잡한 인가코드를 사용자가 일일이 숙지하지 않아도 됨으로써 사용자 입장에서는 인증서 발급 요청을 위한 회원 인증 과정이 간소화되며, 인증기관 입장에서는 생체정보를 이용한 회원 인증을 통해 보다 신뢰성 높은 보안서비스를 유지하게 되는 것이다.
도 2는 상기 도 1에 도시된 사용자 시스템(104)의 개략적인 블록 구성을 도시한 것이다. 상기 도 2를 참조하면, 제어부(204)는 상기 사용자 시스템(104)의 전반적인 동작을 제어하며, 본 발명의 실시 예에 따라 상기 인증기관 접속시 인증기관(102)으로부터 제공되는 인증시스템 회원 사용자를 위한 웹페이지 화면을 다운로드받아 모니터부(200)에 디스플레이시키며, 사용자로부터의 인증서 발급 요청이 있는 경우 사용자의 생체정보를 입력받아 인증기관(102)으로 상기 인증서 발급 요청 메시지와 생체정보 입력장치로 구비되는 지문입력장치(108)를 통해 입력되는 사용자 고유의 지문정보를 전송시켜서 인증서 발급을 요청한다.
메모리부(206)는 제어부(204)의 동작에 필요한 각종 운영 프로그램을 내장하며, 상기 운영 프로그램의 구동시 필요한 각종 기본 데이터를 저장하고 있는 롬(ROM:Read Only Memory)과 제어부(204)의 제어에 의해 동작되는 프로그램을 임시 저장하거나 상기 동작 프로그램 수행시 발생되는 데이터를 일시 저장하기 위한 램(RAM:Random Access Memory)으로 구성된다. 통신부(208)는 상기 제어부(204)의 제어에 따라 상기 인증서 발급 요청 메시지를 해당 인증기관(102)으로 전송시키며, 상기 인증기관(102)과 사용자 시스템(104)간 인터넷(106)을 통해 송/수신되는 데이터를 인터페이스한다. 키입력부(202)는 사용자 인터페이스부로 다양한 숫자키 및 기능키를 구비하며 사용자로부터의 키입력 발생시 해당 키이벤트 데이터를 발생시켜 제어부(204)로 인가시킨다. 모니터부(200)는 제어부(204)의 제어에 따른 사용자 시스템(104)의 각종 동작 상태를 디스플레이시킨다. 지문정보 입력장치(108)는, 지문센서를 통해 사용자의 지문을 스캔 입력하는 지문인식부(212)와 상기 지문인식부(212)로부터 스캔 입력된 사용자 고유의 지문데이터를 분석하여 사용자고유의 지문특징값을 추출하여 제어부(204)로 인가시키는 지문처리부(210)로 구성된다. 한편, 본 발명의 실시 예에서는 상기 생체정보 입력장치로 사용자의 지문을 인식하는 지문정보 입력장치를 예시하였으나, 이는 설명의 편의상 일 예를 들어 설명한 것 일뿐 상기 생체정보는 사용자의 홍체 정보나 얼굴특징 벡터값 등 다양한 사용자 고유의 생체정보가 될 수 있다.
인증기관(102)은 상기 공개키 기반 인증시스템의 핵심 객체로서 인증서 등록 발급 조회시 인증서의 정당성에 대한 관리를 총괄하는 시스템으로, 인터넷 뱅킹 등과 같이 보안이 요구되는 인터넷을 통한 전자문서의 송/수신시 상기 인증시스템에 회원 등록된 사용자를 인증하는 디지털 인증서를 발행하여 공신력 있는 제3자의 인증서를 통한 보다 안정성 있는 전자문서 전송 서비스를 제공하며, 특히 본 발명의 실시 예에서는 상기 인증서 발급에 있어서 사용자 시스템으로부터의 인증서 발급 요청이 있는 경우 생체정보를 이용하여 회원 사용자를 인증하고 상기 사용자에 대한 인가코드를 생성하여 사용자 시스템으로 제공함으로서 사용자가 인증서 발급 요청시 인가코드를 입력하지 않아도 되도록 하여 인증서 발급 절차를 간소화시킨다.
도 3은 상기 도 1의 인증기관 서버(102)의 개략적인 블록 구성을 도시한 것이다. 이하 상기 도 3을 참조하여 인증기관 서버(102)의 동작을 보다 상세히 설명하기로 한다. 먼저 분석 모듈부(300)는 서버 제어부(302)의 제어에 따라 상기 사용자 시스템(104)으로부터 암호화되어 전송된 인가코드 요청 메시지 또는 인증서 발급 요청 메시지를 복호화시키고 사용자의 생체정보에 대한 기밀성을 검사한다. 메시지 생성 모듈부(304)는 서버 제어부(302)의 제어에 따라 상기 인증서 발급 요청메시지에 대한 인증서 발급이 정상적으로 수행되었음을 알리는 응답메시지 또는 생체정보의 불일치로 인한 인증서 발급에 에러가 발생했음을 알리는 오류메시지를 생성한다. 서명모듈부(308)는 상기 발급된 인증서를 인증기관(102)의 개인키로 전자서명을 수행한다. 암호모듈부(306)는 상기 인증기관으로부터 등록기관 또는 회원 사용자 시스템으로 전송되는 메시지에 대해 해당 등록기관 또는 사용자 시스템의 공개키로 암호화를 수행한다.
서버 제어부(302)는 상기 인증기관 서버(102)의 전반적인 동작을 제어하며, 특히 본 발명의 실시 예에 따라 상기 인증시스템의 회원 사용자로부터 인증서 발급 요청 수신시 해당 사용자 시스템(104)으로부터 전송된 회원 사용자의 생체정보를 검사하여 회원 사용자에 대한 인증을 수행하며, 상기 생체정보를 통해 상기 인증서 발급을 요청한 회원 사용자가 정당한 사용자로 판정되는 경우 상기 사용자에 대한 인가코드를 이용하여 인증서를 발급하고 상기 메시지 생성 모듈부(304)를 제어하여 인증서 발급 요청이 정상적으로 처리되었음을 알리는 응답메시지를 생성시키며, 암호모듈부(306)와 서명모듈부(308)를 제어하여 상기 인증서 내용이 전송 중 외부로 노출되지 않도록 보호하고 인증기관(102)의 개인키로 전자서명을 수행하여 해당 사용자 시스템(104)으로 온라인 전송시킨다.
데이터 베이스 저장부(114)는 상기 인증기관 서버(102)에 의해 참조되며, 상기 인증시스템에 회원 가입된 사용자 정보와 인증서 발급을 위한 참조번호를 구비한 사용자 정보 DB(310)와, 상기 해당 사용자에 대한 생체정보를 상기 사용자 정보와 연계되도록 저장하고 있는 생체정보 DB(312)와, 상기 회원 사용자들에게 발급된인증서 정보를 구비한 인증서 DB(314) 등 상기 인증기관 서버(102) 운영에 따른 각종 DB를 구비한다. 메모리(314)는 서버 제어부(302)의 동작에 필요한 각종 운영 프로그램을 내장하며, 상기 운영 프로그램의 구동시 필요한 각종 기본 데이터를 저장하고 있는 롬(ROM:Read Only Memory)과 서버 제어부(302)의 제어에 의해 동작되는 프로그램을 임시 저장하거나 상기 동작 프로그램 수행시 발생되는 데이터를 일시 저장하기 위한 램(RAM:Random Access Memory)으로 구성된다. 통신부(316)는 상기 서버 제어부(302)의 제어에 따라 상기 사용자 시스템(104)으로부터의 인증서 발급 요청에 따른 응답메시지와 해당 인증서를 해당 사용자 시스템(104)으로 전송시키며, 상기 사용자 시스템(104)과 인증기관 서버(102)간 인터넷(106)을 통해 송/수신되는 데이터를 인터페이스한다.
도 4는 본 발명의 실시 예에 따라 참조번호와 생체정보를 이용하여 인증서를 발급 받기 위한 사용자 시스템과 인증기관에서의 동작 제어 흐름을 도시한 것이다. 이하 상기 도 1, 도 2, 도 3 및 도 4를 참조하여 상세히 설명한다.
먼저 사용자는 상기 인증시스템에 회원으로 등록하고자 하는 경우 등록기관(100)으로 가서 회원 등록을 요청하고 회원 등록을 위한 사용자 신원 확인시 필요한 각종 사용자 신상정보 및 본 발명의 실시 예에 따른 생체정보를 이용한 인증서 발급을 위해 생체정보를 입력하여 회원 등록을 요청하게 된다. 이에 따라 상기 등록기관(100)은 상기 회원 등록 요청한 사용자의 신원을 인증기관(102)을 대신하여 신원확인 대행하며, 신원 확인된 사용자에 대해 상기 사용자 정보와 생체정보를 전송하여 회원 등록을 요청하게 되고, 상기 사용자의 회원 등록 승인에 따라생성되는 참조번호를 인증기관(102)으로부터 수신하여 사용자에게 제공한다. 상기 참조번호라 함은 인증기관(102) 회원 등록 승인에 따라 회원 등록 요청한 사용자에게 부여하는 번호로서 사용자가 인증기관(102)으로부터 인증서 발급을 요청하기 위해 자신의 사용자 시스템(104)을 이용하여 인증기관(102)에 접속할 시 회원 인증을 받기 위해 필요한 참조정보가 된다. 여기서 종래에는 상기 참조번호와 함께 인가코드도 사용자에게 발급하여 사용자가 인가코드를 직접 입력하도록 하여 회원 인증을 수행하도록 하였으나, 상기 인가코드는 보안을 위해 상당히 복잡한 코드로 구성되어 사용자가 이를 숙지하거나 인증기관 접속시 입력하는데 번거로우며, 또한 인가코드 도용의 위험성이 있었음을 전술한 바와 같다. 따라서 본 발명의 실시 예에서는 등록기관(100)에서는 사용자에게 참조번호만을 발급하도록 하며, 사용자가 인증시스템 접속시 생체정보를 이용한 사용자 인증시 인증기관(102)이 인가코드를 생성하여 제공하도록 한다.
상기와 같이 인증시스템에 회원 등록을 요청한 사용자는 이제 사용자 시스템(104)을 이용하여 인증시스템에 접속한 후, 인터넷 뱅킹, 웹보안메일 등과 같은 보안서비스 이용을 위한 개인키/공개키의 생성을 위해 인증기관(102)으로부터 인증서를 발급 받는 과정을 먼저 수행하여야 한다.
이제 사용자가 사용자 시스템을 이용해 온라인으로 인증서를 발급 받는 구체적인 동작을 살펴보기로 한다. 즉, 사용자는 사용자 시스템(104)을 이용하여 인터넷(106)을 통해 인증기관(102)에 접속하고 상기 등록기관(102)으로부터 발급받은 참조번호와 자신의 생체정보 입력을 통해 회원 인증을 수행시키게 된다. 이에 따라사용자 시스템(104)은 (S400)단계에서 상기 인증기관 접속 요구에 따라 인터넷(106)을 통해 해당 인증기관 서버(102)로 접속하여 인증시스템의 웹페이지화면을 모니터부(200)를 통해 디스플레이시키게 된다.
이에 따라 상기 웹페이지화면에서 사용자는 상기한 바와 같이 회원 인증을 위해 상기 등록기관으로부터 발급받은 참조번호 및 생체정보를 입력하게 되는데, 그러면 사용자 시스템(104)은 (S402)단계에서 상기 키입력부(202)를 통해 입력되는 사용자의 참조번호를 입력받고, (S404)단계에서 지문입력장치(108)로부터 입력되는 사용자의 고유의 생체정보 중 하나인 지문정보를 입력받는다. 이어 사용자 시스템(104)은 (S406)단계로 진행해서 인가코드 요청 메시지를 생성하여 (S408)단계에서 상기 인증기관(102)의 공개키로 이를 암호화한 후, (S410)단계로 진행해서 상기 참조번호와 생체정보를 포함한 인가코드 요청 메시지를 인증기관 서버(104)로 전송하고, (S412)단계에서 인증서 발급 요청을 위한 인가코드 수신을 대기한다.
그러면 인증기관 서버(102)는 (S500)단계에서 상기 사용자 시스템(104)으로부터 전송된 인가코드 요청 메시지를 수신하고 (S502)단계에서 상기 분석 모듈부(300)를 제어하여 상기 사용자 시스템(104)으로부터 암호화되어 전송된 인가코드 요청 메시지를 복호화하여 인가코드 요청 정보의 기밀성을 검사하며, 이어 (S504)단계로 진행해서 상기 인가코드 요청 메시지에 포함된 참조번호 및 생체정보를 분석하여 데이터 베이스 저장부(114)내 생체정보 DB(312)에 저장된 상기 전송된 참조번호에 해당하는 사용자의 생체정보가 상기 전송된 생체정보와 동일한지 여부를 검사하여 상기 접속한 사용자가 정당한 사용자인지 여부를 검사한다.
이때 만일 상기 접속한 사용자의 생체정보가 회원 등록된 상기 참조번호의 사용자 생체정보와 일치하지 않는 경우 인증기관 서버(102)는 (S506)단계에서 이에 응답하여 (S508)단계로 진행해서 상기 메시지 생성모듈부(304)를 제어하여 상기 인가코드 요청을 정상적으로 수행할 수 없음을 알리는 인가코드 요청 오류 메시지를 생성하여 사용자 시스템(104)으로 전송시킨다. 이와 달리 상기 접속한 사용자의 생체정보가 회원 등록된 상기 참조번호의 사용자 생체정보와 일치하는 경우 인증기관 서버(104)는 (S510)단계로 진행해서 회원 등록 승인시 상기 참조번호와 함께 생성되어 저장된 인가코드를 독출하여, (S512)단계에서 상기 인가코드를 사용자 시스템(104)으로 송신시키고, (S514)단계에서 인증서 발급을 위한 사용자로부터의 공개키 수신을 대기한다.
그러면 사용자 시스템(104)은 (S414)단계에서 상기 인가코드를 수신하고 (S416)단계에서 인증시스템을 통한 보안서비스에 사용할 사용자의 개인키와 공개키를 생성시킨다. 이어 사용자 시스템(104)은 (S418)단계에서 인증서 발급을 요청하는 메시지를 생성하고, 상기 인가코드로 상기 인증서 발급 요청 메시지를 보호하여 상기 공개키 정보와 함께 상기 인증기관 서버(102)로 전송하게 된다.
이에 따라 인증기관 서버(102)는 (S516)단계에서 상기 사용자 시스템(104)으로부터의 인증서 발급 요청을 수신하고, (S518)단계에서 상기 분석 모듈부(300)를 제어하여 상기 인증서 발급 요청 메시지를 복호화한 후, 인증서 발급 요청 정보의 기밀성을 검사하며, (S520)단계에서 상기 사용자 시스템(104)으로부터 수신된 공개키에 대해 키소유증명 과정을 수행하여 사용자가 상기 공개키에 대응되는 개인키를소유하고 있는지 여부를 검사한다. 이어 인증기관 서버(102)는 (S522)단계에서 인증서를 생성하여 인증서 DB(314)에 저장시키고, (S524)단계에서 암호모듈부(306)와 서명모듈부(308)를 제어하여 상기 사용자에게 발급된 인증서와 상기 인증서 발급이 정상적으로 처리되었음을 알리는 응답메시지를 상기 인가코드로 보호하고, 인증기관(102)의 개인키로 전자서명하여 사용자 시스템(104)으로 전송시킨다. 이에 따라 사용자 시스템(104)은 (S420)단계에서 상기 인증서를 수신하여 사용자에게 디스플레이 시켜 인증서 발급이 정상적으로 수행되었음을 사용자에게 알리게 된다. 따라서 사용자는 인증서의 발급 사실을 인지하게 되어 상기 인증시스템 구비되는 다양한 보안서비스를 상기 인증서를 통해 이용할 수 있게 되는 것이다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
이상에서 설명한 바와 같이, 본 발명은 공개키 기반 인증시스템에서 인증서 발급에 있어서, 인증서 발급 요청시에 요청 메시지의 보호를 위해 발급시 요구되는 인가코드를 등록단계가 아닌 인증서 발급 요청 단계에서 사용자의 생체정보를 통한 사용자 인증시 인증기관으로부터 부여되도록 함으로써 사용자 입장에서 인증서 발급시 복잡한 인가코드를 기억하고 입력하지 않아도 되도록 함으로써 인증서 발급 절차를 간소화할 수 있는 이점이 있으며,
또한 인증서 발급단계에서 생체정보를 이용하여 인가코드를 부여함에 따라 제3자에 의해 인증서 발급단계 이전에 참조번호가 노출되었다 하더라도 인가코드를 받기 위해서는 생체정보에 의한 실시간 신원확인 절차가 필요하게 되어 제3자에 의한 인증서 발급시도가 방지되어 인증서 발급시 더 높은 보안성을 유지할 수 있게 되는 이점이 있다.

Claims (8)

  1. 등록기관, 인증기관, 사용자 시스템을 포함하는 공개키 기반 구조 인증시스템에서 사용자 시스템과 인증기관간 생체정보를 이용하여 인증서를 발급하는 방법으로서,
    (a)인터넷을 통해 상기 인증시스템에 접속한 상기 사용자 시스템으로부터 인증서 발급 요청 메시지를 수신하는 단계;
    (b)상기 인증서 발급 요청을 위한 사용자 인증을 위해 상기 사용자 시스템으로부터 전송되는 해당 사용자의 참조번호와 생체정보를 추출하는 단계;
    (c)상기 전송된 사용자의 생체정보와 데이터 베이스 저장부내 등록 저장된 상기 참조번호에 해당하는 회원 등록 사용자의 생체정보가 일치하는지 여부를 검사하는 단계;
    (d)상기 생체정보가 일치하는 경우 상기 인증서 요청 사용자의 인가코드를 생성하여 사용자 시스템으로 제공하는 단계;
    (e)사용자 시스템으로부터 생성된 공개키를 수신하여 인증서를 발급하는단계;를 포함하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급방법.
  2. 제1항에 있어서,
    상기 (d)단계에서, (d1)상기 인가코드를 수신한 사용자 시스템에서 상기 인증시스템에서의 사용을 위한 개인키와 공개키를 생성하는 단계;
    (d2)상기 공개키를 인증서 발급을 위해 상기 인증기관 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급방법.
  3. 제1항에 있어서,
    상기 (e)단계에서 상기 공개키를 수신하는 경우, (e1)상기 공개키를 이용하여 상기 공개키와 키쌍으로 생성되는 사용자의 개인키가 정상적으로 생성되었는지를 검사하는 단계;
    (e2)상기 개인키가 정상적으로 생성된 것으로 판단되는 경우 상기 인증서를 발급하는 단계;를 포함하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법.
  4. 제1항에 있어서,
    상기 데이터 베이스 저장부는, 상기 인증시스템에 회원 등록된 사용자 정보 및 인증서 발급을 위한 참조번호를 구비한 사용자 정보 DB와 상기 사용자에 대한 생체정보를 저장하고 있는 생체정보 DB를 포함하며, 상기 인증시스템에 등록된 사용자 정보와 해당 사용자의 생체정보를 연계하여 등록 저장하고 있는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 인증서 발급 방법.
  5. 제1항에 있어서,
    상기 사용자 시스템은, 사용자의 생체정보 입력을 위한 생체정보 입력장치를 구비하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법.
  6. 제1항에 있어서,
    상기 생체정보는, 상기 사용자 고유의 지문 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법.
  7. 제1항에 있어서,
    상기 생체정보는, 상기 사용자 고유의 홍체 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법.
  8. 제1항에 있어서,
    상기 생체정보는, 상기 사용자 고유의 얼굴 특징 벡터 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 발급 방법.
KR10-2001-0064187A 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법 KR100449484B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2001-0064187A KR100449484B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법
US10/082,110 US20030076961A1 (en) 2001-10-18 2002-02-26 Method for issuing a certificate using biometric information in public key infrastructure-based authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0064187A KR100449484B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법

Publications (2)

Publication Number Publication Date
KR20030032423A KR20030032423A (ko) 2003-04-26
KR100449484B1 true KR100449484B1 (ko) 2004-09-21

Family

ID=19715216

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0064187A KR100449484B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법

Country Status (2)

Country Link
US (1) US20030076961A1 (ko)
KR (1) KR100449484B1 (ko)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444507B2 (en) * 2002-06-30 2008-10-28 Intel Corporation Method and apparatus for distribution of digital certificates
FR2864289B1 (fr) * 2003-12-17 2007-02-02 Bouygues Telecom Sa Controle d'acces biometrique utilisant un terminal de telephonie mobile
US20070283426A1 (en) * 2004-08-19 2007-12-06 France Telecom Method for Assigning an Authentication Certificate and Infrastructure for Assigning Said Certificate
KR100744560B1 (ko) * 2005-12-07 2007-08-01 한국전자통신연구원 다중 생체인식 시스템을 위한 효율적인 데이터베이스를기록한 컴퓨터가 읽을 수 있는 기록매체와 이를 이용한등록 및 인증 방법
KR100880105B1 (ko) * 2007-02-05 2009-01-21 삼성에스디에스 주식회사 온라인 전자문서 생성 시스템 및 방법
US8374354B2 (en) * 2007-09-27 2013-02-12 Verizon Data Services Llc System and method to pass a private encryption key
ES2372128T3 (es) 2007-10-15 2012-01-16 Penango, Inc. Método y sistema para fomentar las comunicaciones seguras.
US8661260B2 (en) * 2007-10-20 2014-02-25 Sean Joseph Leonard Methods and systems for indicating trustworthiness of secure communications
US20090113328A1 (en) * 2007-10-30 2009-04-30 Penango, Inc. Multidimensional Multistate User Interface Element
US20100121928A1 (en) 2008-11-07 2010-05-13 Penango, Inc. Methods and systems for allocating and indicating trustworthiness of secure communications
CN103942685A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互系统
CN103942684A (zh) * 2014-04-25 2014-07-23 天地融科技股份有限公司 数据安全交互系统
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
US9992171B2 (en) 2014-11-03 2018-06-05 Sony Corporation Method and system for digital rights management of encrypted digital content
CN106161359B (zh) * 2015-04-02 2019-09-17 阿里巴巴集团控股有限公司 认证用户的方法及装置、注册可穿戴设备的方法及装置
US10484172B2 (en) 2015-06-05 2019-11-19 Apple Inc. Secure circuit for encryption key generation
KR20180002370A (ko) * 2016-06-29 2018-01-08 이니텍(주) 키 저장 및 인증 모듈을 포함하는 사용자 단말기에서 온라인 서비스를 이용할 때에 본인 확인 및 부인 방지 기능을 수행하는 방법
US10951421B2 (en) 2016-11-28 2021-03-16 Ssh Communications Security Oyj Accessing hosts in a computer network
US10764263B2 (en) 2016-11-28 2020-09-01 Ssh Communications Security Oyj Authentication of users in a computer network
US11095638B2 (en) * 2017-12-11 2021-08-17 Ssh Communications Security Oyj Access security in computer networks
CN112035813B (zh) * 2020-07-21 2023-12-08 杜晓楠 区块链中基于指纹识别分层生成分布式身份的方法和计算机可读介质
US11792009B2 (en) * 2021-06-14 2023-10-17 Bank Of America Corporation Electronic system for generation of authentication tokens using biometric data

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000037267A (ko) * 2000-04-15 2000-07-05 박규식 지문을 이용한 인터넷 인증 시스템 및 그 방법
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
KR20020083814A (ko) * 2001-04-30 2002-11-04 주식회사 디젠트 인터넷을 이용한 지문인증 방법
KR20020086030A (ko) * 2001-05-10 2002-11-18 (주) 비씨큐어 개인식별정보를 포함하는 공개키 인증서를 이용한 사용자인증 방법 및 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6310966B1 (en) * 1997-05-09 2001-10-30 Gte Service Corporation Biometric certificates
US7519558B2 (en) * 1997-08-27 2009-04-14 Ballard Claudio R Biometrically enabled private secure information repository
US7269277B2 (en) * 1999-12-14 2007-09-11 Davida George I Perfectly secure authorization and passive identification with an error tolerant biometric system
WO2002023796A1 (en) * 2000-09-11 2002-03-21 Sentrycom Ltd. A biometric-based system and method for enabling authentication of electronic messages sent over a network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000037267A (ko) * 2000-04-15 2000-07-05 박규식 지문을 이용한 인터넷 인증 시스템 및 그 방법
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
KR20020083814A (ko) * 2001-04-30 2002-11-04 주식회사 디젠트 인터넷을 이용한 지문인증 방법
KR20020086030A (ko) * 2001-05-10 2002-11-18 (주) 비씨큐어 개인식별정보를 포함하는 공개키 인증서를 이용한 사용자인증 방법 및 시스템

Also Published As

Publication number Publication date
US20030076961A1 (en) 2003-04-24
KR20030032423A (ko) 2003-04-26

Similar Documents

Publication Publication Date Title
KR100449484B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법
KR100529550B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
US10142114B2 (en) ID system and program, and ID method
EP1791073B1 (en) Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
US7409543B1 (en) Method and apparatus for using a third party authentication server
US9654468B2 (en) System and method for secure remote biometric authentication
US7886155B2 (en) System for generating requests to a passcode protected entity
US7669236B2 (en) Determining whether to grant access to a passcode protected system
US6480958B1 (en) Single-use passwords for smart paper interfaces
US20090293111A1 (en) Third party system for biometric authentication
KR101043306B1 (ko) 정보 처리 장치, 정보 관리 방법, 및 정보 관리 프로그램을 기억한 컴퓨터 판독 가능한 기억 매체
US20030101348A1 (en) Method and system for determining confidence in a digital transaction
US20060107312A1 (en) System for handing requests for access to a passcode protected entity
US20070180263A1 (en) Identification and remote network access using biometric recognition
EP1844567B1 (en) Passcodes
US20060107063A1 (en) Generating requests for access to a passcode protected entity
JP2005532736A (ja) 生物測定学的私設キーインフラストラクチャ
JP2006209697A (ja) 個人認証システム、この個人認証システムに使用される認証装置、および個人認証方法
KR20010052105A (ko) 생체 측정 데이터를 이용한 암호키 발생
KR20070024569A (ko) 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처
JP2008526078A (ja) 鍵生成、及び認証の承認に関する方法及び装置
US11139964B1 (en) Biometric authenticated biometric enrollment
JP4749017B2 (ja) 擬似生体認証システム、及び擬似生体認証方法
WO2007108397A1 (ja) 通信システム、サーバ、クライアント端末及び通信方法
JP2007258789A (ja) エージェント認証システム、エージェント認証方法、及びエージェント認証プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090901

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee