KR100876003B1 - 생체정보를 이용하는 사용자 인증방법 - Google Patents

생체정보를 이용하는 사용자 인증방법 Download PDF

Info

Publication number
KR100876003B1
KR100876003B1 KR1020070015189A KR20070015189A KR100876003B1 KR 100876003 B1 KR100876003 B1 KR 100876003B1 KR 1020070015189 A KR1020070015189 A KR 1020070015189A KR 20070015189 A KR20070015189 A KR 20070015189A KR 100876003 B1 KR100876003 B1 KR 100876003B1
Authority
KR
South Korea
Prior art keywords
user
value
authentication
otp
biometric information
Prior art date
Application number
KR1020070015189A
Other languages
English (en)
Other versions
KR20080075956A (ko
Inventor
이창희
Original Assignee
에스케이씨앤씨 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이씨앤씨 주식회사 filed Critical 에스케이씨앤씨 주식회사
Priority to KR1020070015189A priority Critical patent/KR100876003B1/ko
Publication of KR20080075956A publication Critical patent/KR20080075956A/ko
Application granted granted Critical
Publication of KR100876003B1 publication Critical patent/KR100876003B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V40/00Recognition of biometric, human-related or animal-related patterns in image or video data
    • G06V40/10Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
    • G06V40/12Fingerprints or palmprints
    • G06V40/1347Preprocessing; Feature extraction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance

Abstract

본 발명은 생체정보를 이용하는 사용자 인증방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래 행위, 결제 행위에 대한 전자적 인증과 전자결제 서명 등의 안전성을 확보하기 위해 생체센서를 포함하는 인증장치를 이용하여, 매 로그인 할 때 마다 사용자의 생체정보를 이용하여 실시간으로 사용자를 인증하고, 비밀키 값을 획득하여 다른 주요 키값들은 안전하게 암호화하여 저장 및 운영되도록 하는 방법을 제공함으로써, 사용자 인증장치의 변조방지 기능 및 보안 수준을 한층 더 강화시킬 수 있도록 해주는 사용자 인증방법에 관한 것이다.
본 발명에 있어서 생체정보를 이용하는 사용자 인증방법은, 사용자의 생체정보를 실시간 입력받아 디지털값으로 부호화 하고 이를 이용하여 중요 보호대상 비밀키 값을 암호화 저장하여, OTP 인증장치의 초기화 및 사용자를 등록하는 인증장치 셋업단계와; 온라인을 통해 상기 셋업된 OTP 인증장치를 금융기관의 서비스 서버에 원격으로 등록하는 인증장치 등록단계와; 상기 등록단계를 통해 서비스 서버에 등록된 OTP 인증장치가 서비스 서버에 원격으로 접속되어 전자 금융거래에 사용되는 인증장치 사용단계;를 포함하는 점을 특징으로 한다.
생체정보, 암호화, OTP(One Time Password), HSM(Hardware Security Module), PKI(Public Key Infrastructure, 공개키 기반구조),

Description

생체정보를 이용하는 사용자 인증방법{A user authentication method using biometrics information}
도 1은 본 발명에 따른 휴대 가능한 생체정보를 이용하는 사용자 인증장치의 구성을 보여주는 블록도.
도 2는 도 1의 휴대가 가능한 사용자 인증장치의 최초 초기화 및 사용자 등록 절차를 보이는 순서도.
도 3은 본 발명에 따른 OTP 인증장치를 사용자가 최초 관련 서비스 서버에 등록하는 절차를 도시한 순서도.
도 4는 본 발명에 따라 사전에 서비스 서버에 등록한 OTP 인증장치를 사용하는 경우에 각 장치들간에 수행되는 절차를 도시하는 순서도.
도 5에는 본 발명의 또 다른 실시예인 HSM이 내장된 사용자 인증장치의 구성을 보이는 블록도.
도 6은 본 발명의 또 다른 실시예에 따른 공개키 또는 비밀키 기반의 인증장치의 최초 키값 설정의 흐름을 나타내는 순서도.
도 7은 HSM 기반의 사용자 인증장치가 실제 사용시에 사용자 인증 및 전자서명을 수행하는 과정을 도시한 순서도.
본 발명은 생체정보를 이용하는 사용자 인증방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래 행위, 결제 행위에 대한 전자적 인증과 전자결제 서명 등의 안전성을 확보하기 위해 생체센서를 포함하는 인증장치를 이용하여, 매 로그인 할 때 마다 사용자의 생체정보를 이용하여 실시간으로 사용자를 인증하고, 비밀키 값을 획득하여 다른 주요 키값들은 안전하게 암호화하여 저장 및 운영되도록 하는 방법을 제공함으로써, 사용자 인증장치의 변조방지 기능 및 보안 수준을 한층 더 강화시킬 수 있도록 해주는 사용자 인증방법에 관한 것이다.
인터넷은 전 세계 컴퓨터 네트워크들이 연결된 네트워크 집합체로 비대면, 개방성, 방송형, 글로벌성, 접근용이성의 특징으로 인하여 급속한 확산을 가져오기도 하였으나, 그 특징상 도청 또는 감청, 변조, 권한 위조, 악성코드, 패스워드 해독 등의 보안취약성을 가지고 있다. 이러한 취약성으로 인하여 신용카드 번호 도용에 의한 피해, 개인정보유출 피해, 사이버 증권계좌 해킹 등의 피해사례들이 나타나고 있는 실정이다. 따라서 인터넷을 통한 전자거래의 경우 거래당사자가 서로 신뢰할 수 있는 안전한 전자상거래를 위해서, 데이터의 암호화 전송 및 이의 복호화를 통한 기밀성(Confidentiality) 보장, 사용자 신원확인(Authentication) 및 전자거래의 시점확인 등이 요구되고 있다.
이와 같이 안전하고 편리한 인터넷 거래를 위한 요구를 충족시키는 방법으로 PKI(Public Key Infrastructure)에 기반한 전자서명이 본격적으로 도입되기 시작하였다. PKI는 공개키(Public Key)와 개인키(Private Key)를 이용한 데이터의 암호화 및 복호화를 구현하는 정보보호 표준방식으로, 데이터 작성자의 개인키(Private Key)로 암호화(Encryption)한 전자서명을 거래상대방에게 주면 거래상대방은 데이터 작성자(전송자)의 공개키(Public Key)를 이용하여 수신한 전자서명을 검증하는 방식을 통하여 데이터를 작성한 사람의 신원과 전자 문서의 변경여부를 확인할 수 있다. 이를 위하여 국가가 자격을 부여한 신뢰할 수 있는 제3자인 공인인증기관(Certificate Authority)은 사이버 거래용 인감증명서인 공인인증서를 통해 서명자의 전자서명값을 검증할 수 있는 공개키와 그 소유자 정보를 등록하여 검증을 필요로 하는 사용자에게 제공한다.
따라서 안전한 전자상거래를 위해서 개인키(비밀키)는 모든 해킹 수단으로부터 안전하게 유지관리 되어야 하므로, 이러한 개인키의 안전함을 최대한 보장할 수 있는 방법이 요구되는 실정이다.
또한 PKI는 사이버상의 전자적 거래에서 일반적으로 사용되는 비밀번호(password)보다 더욱 안전한 보안기술을 제공해 주는데, PKI는 해쉬함수에 기초한 복잡한 수학적 알고리즘으로 전자서명을 생성하고 이를 검증하기 위한 비대칭키인 공개키를 사용함으로써 비밀번호의 대칭키 방식보다 훨씬 안전한 보안기능을 제공한다. 따라서 PKI는 인터넷 뱅킹, 사이버 증권거래와 같이 인터넷이라는 가상 공간을 통해 개인 정보와 금융 거래 정보를 비대면으로 전달하는 거래 형태에서는 상대방의 신원 확인과 송수신되는 금융거래 내용의 무결성을 전자적으로 보장해 주 는 방법으로 널리 사용되고 있는 실정이다.
한편 PKI 기반의 대표적인 온라인 전자거래 중 하나인 금융권의 인터넷 기반 계좌이체의 전자금융 서비스에서 그 안전성을 확실히 보장하기 위한 인증수단으로 종이카드가 사용되고 있다. 즉, 사용자 인증 수단의 하나로 사용되고 있는 종이카드에는 약 30개 내외로 사용자마다 다른 4자리 난수를 난수표 형태로 제공하고 있지만, 이 방법은 그 난수의 제한적 개수로 인하여 안전성을 확보하기 힘들기 때문에 이 방법보다 한 단계 고도화된 방법으로 1회용 패스워드 생성기, 즉 OTP(One Time Password) 장치가 사용되거나, HSM(Hardware Security Module) 모듈이 장착된 PKI 방식의 금융 IC칩이 내장된 금융 인증 IC 장치가 사용되고 있다. 오늘날에는 일정 규모 이상의 전자금융거래를 이용 시에는 반드시 OTP 장치 또는 HSM이 내장된 금융 인증 IC 장치와 같은 별도의 H/W 인증 디바이스를 사용하도록 국내 전자거래법에서 제한하고 있다.
그러나 이들 2종의 사용자 인증 장치의 경우를 살펴보면, 금융IC 장치의 경우는 PKI 기반의 사용자 전자서명을 위한 사용자 비밀 전자서명키가 금융IC 장치 내에서 안전하게 관리되도록 하는 방법을 제공해야 하며, OTP 장치의 경우도 금융거래 서버와 사용자 OTP 장치 간에 공유하는 비밀 마스터 공유키를 역시 안전하게 관리해야 한다. 그런데 현재까지 전자거래를 위해 금융권에서 제공되고 있는 사용자 인증을 위한 별도의 인증 디바이스인 OTP 장치 또는 금융 IC 장치 등은 상기에서 지적한 보안 기능을 제공하기에는 불충분하다.
따라서 전자금융거래 등에서 사용자 인증을 위한 사용자 인증 장치 내에 안 전하고 편리한 비밀키 관리 방법이 요구되며, 특히 OTP 장치의 경우, 서버-클라이언트 간 비밀 공유키의 안전한 키관리 및 사용자 편의성 제공 방안이 요구된다.
본 발명의 목적은 앞서 설명한 종래의 사용자 인증방법의 단점을 극복하는데 있다.
본 발명은 사용자 인증 장치 내에서 사용자만의 고유 비밀키 값을 실시간에 사용자의 생체정보로부터 획득되는 고유값을 근거로 안전하게 암호화 관리할 수 있는 휴대하기 편리한 생체정보를 이용하는 사용자 인증방법을 제공하려는 목적을 가지고 있다.
또한 사용자 생체 정보값으로부터 사용자 고유의 기본키 값의 발생, 저장, 관리, 등록을 별도의 수동 키 입력 기능 없이 인증장치로부터 서비스 서버로 원격으로 안전하게 자동입력할 수 있는 수단을 제공하여 사용자의 사용 편의성을 지원할 수 있는 생체정보를 이용하는 사용자 인증방법을 제공하려는 또 다른 목적을 가지고 있다.
상기 목적을 달성하기 위하여, 생체정보를 이용하는 사용자 인증방법은, 사용자의 생체정보를 실시간 입력받아 디지털값으로 부호화 하고 이를 이용하여 중요 보호대상 비밀키 값을 암호화 저장하여, OTP 인증장치의 초기화 및 사용자를 등록하는 인증장치 셋업단계와; 온라인을 통해 상기 셋업된 OTP 인증장치를 금융기관의 서비스 서버에 원격으로 등록하는 인증장치 등록단계와; 상기 등록단계를 통해 서비스 서버에 등록된 OTP 인증장치가 서비스 서버에 원격으로 접속되어 전자 금융거래에 사용되는 인증장치 사용단계;를 포함하는 점을 특징으로 한다.
삭제
이하, 본 발명의 바람직한 실시예를 첨부 도면에 의거하여 상세하게 설명하면 다음과 같다.
도 1은 본 발명에 따른 휴대 가능한 생체정보를 이용하는 사용자 인증장치의 구성을 보여주는 블록도이다.
도시된 바와 같이 생체정보를 이용하는 사용자 인증장치(100)는 사용자의 생체정보(101)를 수집하는 생체센서(102)와, 인증장치 전체를 제어하며 생체정보의 특징을 추출하고 디지털화를 수행하는 중앙처리부(104), 생체정보의 특징점을 이용하여 사용자를 인증하며 OTP를 생성하고 암호화를 수행하는 보안 모듈부(103), 호스트 디바이스와 데이터를 송수신하기 위한 통신 모듈부(105), 암호화 알고리즘 및 운영 프로그램이 저장된 프로그램 메모리(106) 및 암호화된 키 값들을 저장하는 저 장부(107)로 구성된다.
본 발명에서는 지문인식 센서를 생체센서(102)로 채용한 예를 보이고 있으나, 이외에도 홍채, 음성 등의 다양한 생체정보를 측정하는 센서가 이용될 수 있다. 또한, 데이터를 송수신하기 위한 통신모듈부(105)는 유선 또는 무선USB 모듈, Zigbee 모듈, Bluetooth 모듈, CDMA 모듈, WiBro 모듈 등이 선택적으로 사용될 수 있다.
본 발명의 바람직한 실시예로서, USB 모듈을 통신모듈부(105)로 채용한 사용자 인증장치(100)가 모든 초기의 등록과정을 완료한 후에 전자상거래에 사용되는 경우에 각 구성요소의 동작을 살펴보면 다음과 같다.
우선 인터넷에 연결된 PC를 비롯한 호스트 디바이스의 USB 슬롯에 사용자 인증장치(100)의 USB 인터페이스를 삽입하면, 호스트 디바이스로부터 전원이 공급되어 사용자 인증장치(100)가 구동된다. 이때 사용자의 생체정보(101)중 하나인 지문 정보를 생체센서(102)에 입력하면, 중앙처리부(104)에 의해 생체정보의 특징점이 추출되어 디지털화가 수행된 후에 보안 모듈부(103)에 공급된다. 보안 모듈부(103)는 디지털화된 생체정보를 바탕으로 진정한 사용자 여부를 인증하고 OTP 값을 생성하게 되며, 이렇게 생성된 OTP 값은 통신모듈부(USB 인터페이스)(105)를 통해 호스트 디바이스로 전달되며, 연속해서 호스트 디바이스에 연결된 네트워크를 통해 서비스 서버로 전송되어 PKI 기반의 전자상거래를 수행하게 된다.
여기서 본 발명에 따른 사용자 인증장치(100)는 생성된 OTP 값은 사용자가 수동으로 입력하지 않고 자동으로 호스트 디바이스에 전달되고 외부의 서버로 전송 되는 점을 특징으로 하고 있다는 점을 알 수 있다.
일반적으로 관점에서 볼 때, OTP 인증장치(동글, 휴대형 디바이스)의 사용자 측면의 주요 안전도 수준은 매 사용 시 마다 랜덤하게 생성하는 사용자만의 고유 OTP 값을 만들기 위한 사용자 고유의 비밀키/코드값을 어떻게 관리하느냐에 달려 있으며, 종래의 OTP 인증장치는 모두 제조 시점에 OTP 인증장치 내에 각기 다른 고유값을 주입하게 된다. 그러나 이는 각종 해킹/크래킹 공격에 취약할 뿐만 아니라, 제조사 입장에서는 제조사 직원이 직접 해킹에 가담할 수 있는 경우도 배제할 수 없는 일이다. 또한 기존의 OTP 인증장치의 경우는 크게 고유 비밀키 및 시간 정보를 이용하여 서비스 기관과와 동기를 맞춘 OTP 생성값을 사용자가 직접 호스트 디바이스(PC 등)의 서비스 페이지에 입력하게 하는 방법과, 서비스 서버로부터의 시도(Challenge) 값을 OTP 인증장치에 입력하면 OTP 인증장치가 응답(Response)값으로 출력한 OTP 값을 다시 호스트 디바이스에 수동 입력하는 방식을 취해야 했다. 이러한 경우는 모두 사용자로 하여금 OTP 인증장치의 6자리(또는 그 이상의) 숫자를 번번히 입력해야 하는 번거로운 불편성을 제공할 수 밖에 없었다. 그러나 본 발명의 실시예에 따른 USB 기반의 생체정보를 이용하는 OTP 인증장치는 최초 셋업 단계와 최초 사용자 OTP 인증장치 원격 등록단계를 거친 후에는 편리하게 자동으로 OTP 값을 입력하여 금융거래를 수행하는 인증장치 사용단계를 가진다.
도 2는 도 1의 휴대가 가능한 사용자 인증장치의 최초 초기화 및 사용자 등록 절차를 보이는 순서도이다.
도시된 바와 같이 상기 사용자 인증장치는(100)는 사용자의 생체정보로부터 특징점을 추출하는 단계, 보호마스터키 생성단계, 사용자용 마스터키 생성단계, OTP 생성용 비밀키 생성단계, 그리고 원격등록용 마스터키 생성단계로 구분할 수 있다.
먼저 OTP 인증장치의 생체정보 특징점 추출단계를 살펴본다. 우선 생체정보 센서로 사용자의 신체부위를 측정하고(S201), 센서의 출력으로부터 생체정보를 인식하며(S202), 인식된 사용자 생체정보로부터 해당 생체정보의 특징점을 추출(S203)한 후에 디지털 값으로 변환하여 주요 특징점을 테이블에 기록하고(S204), 또 다시 S201에서 S204 까지의 과정을 일정 횟수(일반적으로 2~4회) 반복하여 S204의 특징점 리스트로부터 주요 공통된 디지털 특징 값을 획득한다(S205).
다음으로 보호마스터키 값을 생성하는 절차를 다음과 같이 수행한다.
일반적인 인증 디바이스에서도 그 사용자 비밀키 및 비밀 서명키 값을 안전하게 관리하기 위해서 사용자로부터 직접 패스워드를 입력 받거나, 혹은 디바이스 자체 내에 별도의 제조사 마스터키/코드를 주입시킨 것을 활용하여 상기의 보호 대상 킷값들을 암호화 관리(저장)한다. 그러나 이는 외부의 적극적 공격에 의해 손쉽게 누출될 수 있다는 것이 현재까지 많은 실험과 암호학자들에 의해 제기된 문제점들이다. 이른바 DPA(Differential Power Analysis) 공격이나 사전식 대입공격(Dictionary Attack) 등이 그러한 것이다.
본 발명은 이러한 보호대상 킷값들을 공격받기 쉬운 사용자 입력 패스워드 방식이나 디바이스 내장 마스터키를 사용하는 것이 아니라 실시간에 사용자의 생체정보를 추출하여 그 디지털화된 값으로 각종 비밀 보호 킷값들을 암호화 관리하는 것이 특징하는 바, 상기와 같은 보호대상 킷값들을 암호화하기 위해 사용되는 키/코드를 별도로 BK(Blinding Key)라고 정의하고, 본원발명의 사용자용 마스터키 및 OTP용 비밀키의 생성은 보호마스터키인 BK를 이용하여 수행한다.
우선, 일반적으로 OTP 인증장치가 제조되는 시점에서 주입되는 고유 시리얼 값과 S205에서 생성된 디지털 값을 인자로 하는 해쉬(Hash)값을 취함으로써 이후 생성될 OTP 생성용 비밀키를 보호하고자 암호화를 위한 BK 값으로 활용하게 된다(S207). 여기서, S207의 BK 생성에 사용하는 해쉬함수는 사용 예시일 뿐이며, 이미 앞서서 설명한 예와 같이 다양한 방법으로 생성 절차를 구현할 수 있다.
상술한 절차와 같이 S207에서 BK값이 산출되면, 이값에 대한 해쉬값을 계산하여 사용자용 마스터키를 생성하고(S208), 이를 사용자 로그인 시점마다 사용자 인증을 위한 참조값으로 사용하기 위해 안전하게 BK값을 이용하여 암호화하고(S209), 저장부(107)에 상기 암호화된 값을 기록한다(S210).
또한 S208의 값을 참조하여 2차 해쉬값을 계산하여 OTP 생성용 비밀키를 생성하고(211) 실질적으로 이값을 OTP 생성시 필요한 비밀키로 사용할 것이고, 또한 안전하게 관리하기 위하여 S207의 BK값으로 암호화하여(S212) 안전하게 OTP 생성용 비밀키를 저장부에 기록하게 된다(S213).
그리고 향후 설명되는 원격 OTP 인증장치의 등록시 안전을 위해 OTP 인증장치의 채널 암호 마스터키가 필요할 수 있으며, 이를 위해 최초 제조 시점에 내장된 OTP 인증장치의 고유 시리얼 값으로부터 유도된 해쉬값을 OTP 인증장치의 원격등록용 마스터키 값으로 저장(S220)하여 관리할 수도 있다.
상기와 같이 사용자 OTP 인증장치가 그 발급 시점에서 최초(초기화) 키셋업이 완료되면, 사용자는 동시에 그 장소에서 자신의 OTP 인증장치의 사용등록을 할 수 있을 뿐만 아니라 이를 인터넷 등을 통한 온라인 원격 등록이 가능하다.
도 3은 본 발명에 따른 OTP 인증장치를 사용자가 최초 관련 서비스 서버에 등록하는 절차를 도시한 순서도이다.
우선, OTP 인증장치의 사용자 등록 절차는 최초 OTP 인증장치의 키셋업 당시에 안전하게 기록/보관된 사용자 인증을 위한 생체정보 특징값을 토대로 사용자 인증을 수행한다(S350). 즉, 사용자 인증장치를 구동하면 사용자 생체정보 입력이 요구되고, 이에 따라 사용자 생체정보를 입력하면 사용자 생체정보의 특징점을 실시간으로 추출하고, 상기 추출된 값과 OTP 인증장치의 최초 키 셋업 시에 미리 연산되어 저장된 사용자 생체정보 특징값과 비교하여 진정한 사용자 여부를 인증하는 단계를 수행한다. 한편 이 단계에서 사용자 OTP 인증장치로부터 사용자 ID가 서비스 서버로 전달된다.
다음 단계는 응답값 요청단계이다. 사용자 등록을 위해서는 일반적으로 사용자 측의 호스트 디바이스와 금융기관의 서비스 서버 간에 SSL 및 PKI 기반의 안전한 암호화 채널을 구성하고, 이를 통해 안전한 채널이 형성되면 서비스 서버는 사용자 인증을 위해 랜덤한 난수 시도(Challenge) 값 'N'을 생성하여 자신의 서버 ID와 함께 사용자 호스트 디바이스에 안전하게 전송하게 되고, 다시 사용자 호스트 디바이스는 OTP 인증장치에 서비스 서버의 ID 전송 및 난수 시도값 'N'에 대한 응답(Response) 값의 생성을 요청하게 된다(S351).
다음은 비밀키 및 마스터키 산출단계로서, OTP 인증장치는 상술한 S250의 사용자 생체정보 기반 인증을 수행한 후에, 그 생체정보 값으로부터 미리 자신의 OTP 생성을 위한 비밀키 값 "TK" 및 암호전송을 위한 마스터키 값 "MK"를 산출한다(S352).
실질적으로 사용자의 OTP를 등록한다는 것은 상기의 "TK"값을 등록하는 것으로, OTP 인증장치와 호스트 디바이스 및 서비스 서버 사이의 채널에 대한 안전한 전송과 진정한 OTP 인증장치의 적합성을 검증하기 위하여 "MK"값으로 암호화하여 전달하는 것이다. 즉, "MK"값을 키로 하여 "TK"값을 암호화하는 것은 1차적으로 넘겨주는 채널의 안전성을 위함이고 2차적으로 넘겨받는 쪽에서 사용자 정보를 통한 복호화가 정확히 이루어져야 실질적 사용자 OTP 인증장치로부터 전송된 것을 인증하게 되는 것이다.
여기서 S351과 S352는 그 순서가 서로 바뀌어서 수행될 수도 있다.
이후는, 기본 응답값 계산단계로서, OTP 인증장치는 호스트 디바이스로부터 받은 서비스 서버의 ID(IDs)와 랜덤 시도 값 'N'에 대하여 해쉬값 H:=Hash(IDs, TK, N)을 계산하고, 이를 안전하게 전달하기 위하여 S252에서 추출한 마스터키 "MK"로 암호화한 값 T:=Enc(TK;MK)를 계산한다(S353).
다음은 OTP 인증장치의 등록인증 단계인데, 산출된 "H"와 "T" 및 서비스 서버 ID(IDs), 사용자 ID(IDu)를 묶은 응답값 "RS"를 호스트 디바이스에 전달하면, 호스트 디바이스는 자신이 이미 서버와 열어놓은 PKI 암호채널을 통해 서비스 서버에 전송하며, 서비스 서버는 미리 고객 ID 정보로부터 고객의 OTP 마스터키를 획득하여 똑같이 "MK"값을 산출하고 이를 킷값으로 전달받은 "T"로부터 복호화 과정을 통해 얻게 되는 결과값 "TK*"를 계산한다. 다시 "TK*" 및 자신의 ID값을 활용하여 인증 체크를 위한 해쉬값 "H*:=Hash(IDs, TK*, N)"을 계산하고 이것과 전송받은 "H" 값을 비교하여 H=H* 이면 TK를 등록하고, 그러하지 않으면 등록을 거부하여 OTP 인증장치를 인증하게 된다.
인증이 성공되면 최종적으로 서비스서버가 사용자 호스트 디바이스를 거쳐 OTP 인증장치에 완료 응답 메시지를 전송하고, 이를 수신한 OTP 인증장치는 최종적으로 자신을 등록한 서비스 서버 ID를 내부에 안전하게 기록/저장하는 단계를 수행(S354)함으로써, OTP 인증장치의 서비스 서버 등록을 완료한다.
다음으로, 상술한 바와 같이 사용자의 OTP 인증장치가 최초 키셋업 단계와 서비스 서버에 대한 등록 단계를 모두 마친 후에, 본 발명의 휴대할 수 있는 생체정보를 이용하는 OTP 인증장치를 간편하게 사용할 수 있다.
도 4는 본 발명에 따라 사전에 서비스 서버에 등록한 OTP 인증장치를 사용하는 경우에 각 장치들간에 수행되는 절차를 도시하는 순서도이다.
도시된 바와 같이 본원발명에 따른 OTP 인증장치는 사용 시점에서 시도 및 응답(Challenge & Response) 방식의 인증 절차를 수행할 수 있는데, 시도 및 응답 방식의 인증 절차는 다음과 같다.
먼저 생체정보를 이용하는 사용자 인증단계를 수행하는데, 사용자가 자신의 전자금융거래 서비스를 받기 위하여 서비스 서버 접속 후 로그인 완료 또는 로그인 시점에 OTP 인증을 받기 위하여는 사용자 OTP 인증장치에 자신의 생체정보를 센서를 통해 직접 제공하게 되고(S471), OTP 인증장치는 도 2의 최초 셋업 단계에서 이미 연산, 저장되어 있는 도 2의 S208의 값을 이용해 사용자에 대한 생체정보를 인증을 하게 된다(S472).
상기의 생체정보 인증 절차가 성공적으로 통과되면 비밀키 복구단계를 수행하는데, 최초 셋업 단계에서 암호화 저장된 코드값(도 2의 S213)을 복호화하여 비밀키를 복구한다. 즉, 입력받은 생체정보값의 해쉬값을 계산하여 보호마스터 킷값 BK (도 2의 S207)를 생성하고(S473), 최초 셋업 단계에서 암호화 저장된 코드값(도 2의 S213값, 암호화된 OTP생성용 키)을 BK로 복호화하여, 결과적으로 OTP 생성을 위한 비밀키 "TK"를 추출한다(S474).
한편 서비스 서버는 서버의 ID 및 랜덤 시도(Challenge)값 “N"을 사용자 호스트 디바이스로 통해 송신하는데(S475), 사용자 호스트 디바이스는 서비스 서버로부터 받은 서버 ID 및 랜덤 시도값 “N"을 OTP 인증장치에 전송하면서 그에 대한 Response 값을 요청하는 인증용 응답요청 단계를 수행한다(S476).
최종적으로 OTP 인증장치는 앞서 산출한 OTP 생성 비밀키 "TK"와 전송받은 서버 ID 및 랜덤 시도값 "N"을 이용하여 응답값(Response) "R"을 실시예와 같이 "R:=Hash(IDs, N, TK)"와 같이 계산하여 자신의 ID값과 함께 사용자 호스트 디바이스로 출력, 전송하는 응답값 전달 단계를 수행한다(S477).
이후의 최종 인증 단계에서는, 이미 등록된 사용자 OTP 인증장치의 OTP 생성 비밀키 "TK*"를 로드하고(S478), "R" 값과 "IDu" 값을 호스트 디바이스를 통해 전송받은 서비스 서버는 OTP 인증장치와 동일한 절차로 해쉬값 "R*:=Hash(IDs, N, TK*)"을 계산하여(S480) 나온 값 "R*"과, 사용자로부터 전송받은 응답값 "R"을 비교하여 최종적으로 인증장치의 진정성을 인증하게 된다(S481).
도 5에는 본 발명의 또 다른 실시예인 HSM(Hardware Security Module)이 내장된 사용자 인증장치의 구성을 보이고 있다.
도시된 바와 같이 생체정보를 이용하는 HSM 기반의 사용자 인증장치(500)는 OTP 인증장치(100)와 유사한 구성을 가지고 있다. 즉, 사용자의 생체정보(501)를 수집하는 생체센서(502)와, 인증장치 전체를 제어하며 생체정보의 특징을 추출하고 디지털화를 수행하는 중앙처리부(504), HSM을 포함하고 있으며 생체센서(502)로부터 전달받은 생체정보를 이용하여 암호화 및 인증을 수행하는 인증 및 서명처리부(503), 호스트 디바이스와 데이터 송수신을 위한 통신모듈부(505), 암호화 알고리즘 및 운영 프로그램이 저장된 프로그램 메모리(106), 암호화된 키 값들을 저장하는 저장부(507) 및 외부의 장치와 데이터를 교환하는 입출력 I/O부(508)로 구성된다.
또한 본 발명에서는 지문인식 센서를 생체센서(502)로 사용하는 예를 보이고 있으나, 홍채, 음성 등의 다양한 생체정보가 이용될 수 있다. 또한, 호스트 디바이스와 통신을 위한 통신모듈부(505)는 USB 모듈, Zigbee 모듈, Bluetooth 모듈, CDMA 모듈, WiBro 모듈 등이 선택적으로 사용될 수 있다.
USB 모듈을 인터페이스 모듈(505)로 채용한 HSM 기반의 사용자 인증장치(500)가 모든 초기의 등록과정을 완료한 후에 전자상거래에 실제로 사용되는 경우에 각 구성요소의 동작을 살펴보면 다음과 같다.
우선 인터넷에 연결된 PC를 비롯한 호스트 디바이스의 USB 슬롯에 사용자 인증장치(500)의 USB 인터페이스를 삽입하면, 호스트 디바이스로부터 전원이 공급되어 사용자 인증장치(500)가 구동된다. 이때 사용자의 생체정보(501)중 하나인 지문 정보를 생체센서(502)에 입력하면, 중앙처리부(504)에 의해 생체정보의 특징점이 추출되어 디지털화가 수행된 후에 인증 및 서명처리부(503)에 공급된다. 인증 및 서명처리부(503)는 디지털화된 생체정보를 바탕으로 진정한 사용자 여부를 인증하고, 보호 마스터기를 생성하여 개인키 값을 복호화하게 되며, 이렇게 생성된 개인키를 전자서명 키값으로 사용하여 입출력 I/O부(508)를 통해 외부로부터 입력된 서명 대상 데이터에 전자서명을 실시한다.
본 발명의 또 다른 실시예인 HSM에 기반한 사용자 인증장치에 관해서, 인증장치의 최초 키 셋업 시에 요구되는 BK 생성 및 PKI 서명키 생성, 저장 절차에 대하여 설명한다. 또한, 그 후에 실제 HSM에 기반한 사용자 인증장치의 사용 시점에 사용자 인증 및 서명키 추출, 서명값 생성을 하는 절차를 설명한다.
도 6은 본 발명의 또 다른 실시예에 따른 공개키 또는 비밀키 기반의 인증장치의 최초 키값 설정의 흐름을 나타내는 순서도이다.
도시된 바와 같이, HSM에 기반한 사용자 인증장치(500)의 최초 키 셋업 단계 를 위해서는 S601과 S602에 도시된 바와 같이 사용자 생체정보를 입력받아 인식하며, 생체정보로부터 사용자의 특징점을 추출하고 디지털 값으로 변환하여(S603), 특징점 리스트 테이블에 값을 기록하는데(S604), S601에서 S604 까지의 과정을 일정 횟수(일반적으로 2~4회) 반복하여 S604의 특징점 리스트로부터 주요 공통된 디지털 특징값을 생성한다(S605).
본 HSM에 기반한 사용자 인증장치는 일반적으로 제조 시점에 그 디바이스의 고유 시리얼 값 등을 설정하는데(S620), 이 고유의 시리얼 값과 S605의 값을 인자로 하는 해쉬값을 취함으로써 이후 보호하고자 하는 비밀키나 서명키의 암호화를 위한 보호 마스터키(BK)를 산출하는 단계를 가진다. 여기서 BK 생성에 사용하는 해쉬(Hash) 함수는 사용예시 일뿐이며, 다양한 방법으로 생성 절차를 구현할 수 있다. 이를테면, S605에서 생성된 B 값을 S620에서 준비된 고유의 시리얼 값을 킷값으로 암호화한 값(즉, Enc(B;S))을 사용할 수도 있다(S607).
일단 전술한 S607을 통해 BK가 생성되면, 사용자 인증장치(500)는 내부에서 사용자의 전자서명용 키(개인 비밀 서명키:=K_prv)) 및 이에 대응되는 공개키를 생성하고(S630)하며, 필요 시 입출력 I/O부를 통해 개인 비밀 전자서명키에 대한 공개키(K_pub)를 공인인증 기관(서버)에 등록한 후 전자인증서를 발부받으며(S631), S607에서 생성한 BK와 S630에서 생성된 K_prv를 킷값으로 암호화를 실시하고(S608), 최종적으로 신체정보로 암호화된 개인키 및 공인인증서를 내부 저장부(507)에 안전하게 기록 저장하는 단계가 수행된다(S640).
한편, 향후 본 사용자 인증장치를 사용자가 자신의 인증용 키로 사용하는 시 점에서 인증장치의 진정한 소유자 여부를 판단할 때 빠르고 안전하게 인증하기 위한 기초 데이터로서 사용하기 위해서, S605의 주요 생체정보 특징점 데이터는 또 다시 해쉬함수나 암호함수 등을 이용하여 연산처리된 결과값으로 내부 저장부(507)에 안전하게 기록되는 신체정보 인증용 데이터 저장단계를 수행한다.
이제 상기 도 6과 같은 절차를 통해 최초 키셋업이 완료된 인증장치를 사용자가 실제로 사용할 때 사용자의 인증 처리 절차와 전자서명키를 추출하여 입출력 I/O부를 통해 의뢰된 데이터에 대한 전자서명을 행하는 과정을 설명하고자 한다.
도 7은 HSM 기반의 사용자 인증장치가 실제 사용시에 사용자 인증 및 전자서명을 수행하는 과정을 도시한 순서도이다.
도시된 바와 같이, 일단 사용자가 본 인증장치를 호스트 디바이스(예: PC, 노트북 등)에 연결(USB 또는 Zigbee 등)하여 사용자 인증장치가 구동되면 사용자 생체정보 입력이 요구되고, 도 7의 S701 ~ S705의 절차를 거쳐 사용자 생체 정보의 주요 특징점(B)이 실시간으로 추출된다(S705).
이후에 도 6의 S609와 같은 처리함수를 통해 비교값(여기서는 해쉬값)을 산출하고(S764), 최초의 인증장치 키 셋업 시에 미리 계산되어 안전하게 저장된 값(도 6의 S650의 값)과 비교하게 된다. 이와 같은 생체정보 데이터를 비교하여, 등록된 값과 실시간으로 측정되는 값이 일치하면 진정한 사용자로 인증되고 다음 과정으로 넘어가며, 그렇지 않으면 인증 실패 안내 값을 출력하고 S201의 과정으로 되돌리는 사용자 인증단계가 수행된다(S771).
만약 상기의 절차에 의하여 사용자 인증이 성공적으로 수행되고 입출력 I/O 부를 통해 전자서명할 대상 데이터(:=D)가 입력되면, 사용자 인증장치는 S705의 값과 S780에서 준비된 고유의 시리얼 값을 이용하여 보호 마스터키 BK값(예시로서 BK:=Hash(S,B))을 생성한다(S707).
이후, 최초에 셋업시 S608을 통해 안전하게 암호화 저장된 값(EK)을 복호화하여 전자서명 개인 비밀 서명키 값 K_prv를 추출해 낸다(S766). 이 전자서명 킷값을 이용하여 인증 및 서명처리부에 의해 먼저 수신된 전자서명 대상 데이터 D에 대한 전자서명값을 산출하며, 역시 입출력 I/O부를 통해 그 전자서명값(Signature:= Sign(D;K_prv), Cert_K)을 출력해준다(S767).
이상과 같은 방법에 의하여 사용자의 절대적 비밀키값은 인증장치의 내부에 단순 저장되는 비밀코드나 사용자로부터 단순하게 패스워드를 입력받는 방식이 아니라 실시간에 사용자로부터 입력받아 사용자를 인증하는 동시에 이로부터 BK를 생성하여 관리하게 되므로 종전의 키관리 방식에 비하여 월등하게 안전하다고 할 수 있다.
결론적으로 본 발명의 특징을 정리하면 다음과 같다.
1) 사용자의 생체정보를 실시간 입력받아 디지털값으로 부호화하여 이를 중요 사용자 비밀 킷값들을 암호화 저장, 관리하는 코드값으로 활용하고 또한 이값을 OTP 인증장치에서 사용자 고유의 OTP값을 생성하는 비밀키로 활용함.
2) 인증장치의 초기 셋업 과정에서 사용자 생체정보를 수 회의 반복입력을 통해 주요 공통 데이터를 디지털 형태의 코드값으로 변환하고 이를 사용자로부터 패스워드를 입력받는 대신에 인증장치 내 다른 주요 비밀 데이터를 암호화 및 복호 화하는 킷값으로 활용함.
3) 인증장치에서 사용자 인증 수단의 하나로 OTP 값을 발생 시 사용자로부터 센싱되는 생체정보를 바탕으로 실시간에 입출력 I/O를 통한 난수 시도값에 대응하는 응답값을 해쉬함수 또는 암호함수를 이용하여 생성함.
4) PKI 방식의 HSM 등이 내장된 인증장치에서 그 사용자만의 고유 비밀 전자서명 킷값(Private Key)이나 다른 고정된 비밀 암호/복호 킷값을 사용자 생체정보를 실시간에 받아들여 만들어지는 고유 코드값으로 암호화하여 안전하게 관리함.
5) 사용자 인증을 위한 수단으로서 OTP 인증장치를 구성할 때 상기 OTP 인증장치와 그 호스트 디바이스 간에 USB 및 다른 근거리 무선통신 인터페이스를 통해 Challenge & Response 방식으로 OTP 인증장치에서 만들어지는 OTP값(Response값)을 사용자가 직접 호스트 디바이스에 입력하는 과정 없이 OTP 인증장치에 탑재된 모듈에서 직접 시스템적으로 안전하게 전송함.
6) 사용자 인증을 위한 OTP 인증장치를 구성할 때 인증장치의 내부에서 사용자만의 OTP값을 생성하기 위하여 별도의 제조 시점에 주입되거나 그로부터 유도된 고정 마스터키를 사용하지 않고 직접 사용자의 생체정보를 센싱하여 그 디지털화된 코드값에 기반한 OTP값을 생성함.
이와 같이, 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위 뿐만 아니라 이 청구범위와 균등한 것들에 의해 정해져 야 한다.
이상에서 상술한 바와 같이 본 발명에 따른 생체정보를 이용하는 사용자 인증장치는, PKI 기반의 HSM 모듈이 포함된 사용자 인증장치 또는 OTP 인증장치로서, 사용자의 생체정보를 인식하고 이를 실시간 주요 비밀 킷값들을 복원하는 보호 마스터 키로 활용함으로써 패스워드 내장이 필요 없으며 휴대가 간편하며 안전한 인증방법을 구현하는 효과를 가진다.
또한 사용자 생체정보를 통해 OTP 마스터키의 안전한 관리 및 OTP 값 생성 절차, 그리고 비밀키 기반의 HSM에 있어서 반드시 안전하게 관리되어야하는, 즉 외부의 소프트웨어 및 물리적 침해를 보안할 수 있는 변조방지(Tamper-proof) 기능을 갖도록 그 비밀키 및 서명키를 사용자 생체정보를 이용해 관리할 수 있는 효과를 가지며, OTP 인증장치의 경우 사용자가 생성한 랜덤 OTP 값을 일일이 호스트 디바이스에 직접 입력하는 번거로움 없이 손쉽고 안전하게 OTP 생성값을 호스트 디바이스의 서비스 페이지에 자동 입력해주어, 사용자의 편의성을 극대화하는 효과도 얻을 수 있다.

Claims (11)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 온라인 전자금융거래에서 사용자에 대한 전자적 인증을 위해 인증장치를 이용하여 사용자를 인증하는 방법에 있어서,
    사용자의 생체정보를 실시간 입력받아 디지털값으로 부호화 하고 이를 이용하여 중요 보호대상 비밀키 값을 암호화 저장하여, OTP 인증장치의 초기화 및 사용자를 등록하는 인증장치 셋업단계와;
    온라인을 통해 상기 셋업된 OTP 인증장치를 금융기관의 서비스 서버에 원격으로 등록하는 인증장치 등록단계와;
    상기 등록단계를 통해 서비스 서버에 등록된 OTP 인증장치가 서비스 서버에 원격으로 접속되어 전자 금융거래에 사용되는 인증장치 사용단계;
    를 포함하여 이루어지는 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  6. 제 5항에 있어서, 상기 인증장치 셋업단계는,
    생체정보 센서의 출력으로부터 생체정보를 인식하며, 인식된 사용자 생체정보로부터 해당 생체정보의 특징점을 일정 횟수 반복하여 공통된 디지털 특징값을 획득하는 생체정보 특징점 추출단계와;
    OTP 인증장치의 고유 시리얼 값과 상기 디지털 특징값을 인자로 하는 해쉬함수를 적용하여 보호대상 비밀키의 암호화를 위한 보호마스터키를 생성하는 단계와;
    상기 보호마스터키에 대해 해쉬함수를 적용하여 1차 해쉬값을 계산하여 사용자용 마스터키를 생성한 후, 상기 사용자용 마스터키를 상기 보호마스터키로 암호화하여 저장하는 사용자용 마스터키 생성단계와;
    상기 1차 해쉬값에 대해 해쉬함수를 적용하여 2차 해쉬값을 계산하여 OTP생성용 비밀키를 생성한 후, 상기 OTP생성용 비밀키를 상기 보호 마스터키로 암호화하여 저장하는 OTP생성용 비밀키 생성단계; 및
    OTP 인증장치의 고유 시리얼 값으로부터 유도된 해쉬값을 계산하여 원격등록용 마스터키를 생성한 후, 상기 원격등록용 마스터키를 상기 보호마스터키로 암호화하여 저장하는 원격등록용 마스터키 생성단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  7. 제 5항에 있어서, 상기 인증장치 등록단계는,
    호스트 디바이스에 연결된 OTP 인증장치에서, 사용자 생체정보를 입력받아 생체정보의 특징점을 실시간으로 추출한 값과 OTP 인증장치의 최초 키 셋업 시에 연산되어 저장된 사용자 생체정보 특징값을 비교하여 사용자를 인증하는 단계와;
    사용자 측의 호스트 디바이스와 금융기관의 서비스 서버 간에 암호화 채널을 형성하고, 서비스 서버가 상기 채널을 통해 서비스 서버의 ID 및 랜덤한 난수 시도값을 전송하여 OTP 인증장치에게 후기의 응답값 생성을 요청하는 단계와;
    OTP 인증장치가 생체정보 값에 기반한 사용자 인증을 수행한 후, 상기 생체정보 값을 이용하여 OTP 생성용 비밀키 및 원격등록용 마스터키를 산출하는 비밀키 및 마스터키 산출단계와;
    OTP 인증장치가 서비스 서버의 ID와 OTP 생성용 비밀키 값 및 랜덤한 난수 시도값에 대하여 해쉬값을 생성하고, OTP 생성용 비밀키 값을 상기 원격등록용 마스터키로 암호화하는 기본 응답값 계산단계와;
    OTP 인증장치가 상기 기본 응답값과 서비스 서버 ID 및 사용자 ID를 묶어 상기의 응답값 생성 요청단계에서 요청한 응답값을 호스트 디바이스와 서비스서버 사이에 개통된 암호채널을 통해 서비스 서버에 전송하며, 서비스 서버가 고객 ID 정보와 상기 응답값로부터 인증 체크용 해쉬값을 계산하고, 상기 전송받은 기본 응답값 계산단계의 해쉬값과 상기 인증 체크용 해쉬값을 비교하여 사용자 인증여부를 결정하는 OTP 인증장치의 등록인증단계; 및
    상기 OTP 인증장치의 인증단계에서의 인증이 성공되면 서비스서버가 완료 응답 메시지를 OTP 인증장치로 전송하고, 등록한 서비스 서버 ID를 OTP 인증장치 내부에 저장하는 단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  8. 제 5항에 있어서, 상기 인증장치 사용단계는,
    서비스 서버에 접속 후 사용자 OTP 인증장치에 사용자 생체정보를 제공하여 생체정보의 특징점을 실시간으로 추출하여 사용자를 인증하는 단계와;
    OTP 인증장치가 최초 셋업 단계에서 암호화 저장한 OTP 생성용 비밀키를 상기 인증단계에서 입력받은 생체정보의 해쉬값으로부터 얻은 보호 마스터키로 복호화하여 OTP생성용 비밀키를 추출하는 비밀키 복구단계;
    서비스 서버가 서비스 서버 ID 및 랜덤한 난수 시도값을 호스트 디바이스를 경유하여 OTP 인증장치에 전송하면서 응답값을 요구하는 인증용 응답요청 단계와;
    OTP 인증장치가 상기 OTP 생성용 비밀키와 전송받은 서비스 서버 ID 및 랜덤한 난수 시도값을 이용하여 상기 응답값을 계산하여 호스트 디바이스로 출력 전송하는 응답값 전달 단계; 및
    서비스 서버가 사용자 OTP 인증장치의 OTP생성용 비밀키를 로드하고 상기 응답값과 사용자 ID를 호스트 디바이스를 통해 전송받아 인증용 해쉬값을 계산하고, 상기 인증용 해쉬값과 전송받은 상기 응답값과 비교하여 OTP 인증장치를 인증하는 최종 인증 단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  9. 온라인 전자금융거래에서 사용자에 대한 전자적 인증 또는 전자 결제 서명을 위한 인증장치를 이용하여 사용자를 인증하는 방법에 있어서,
    사용자의 생체정보를 실시간 입력받아 디지털값으로 부호화하고 이를 이용하여 중요 보호대상 비밀키 값을 암호화 저장하여 인증장치의 초기화 및 사용자를 등록하는 인증장치 셋업단계와;
    상기 인증장치 셋업단계를 통해 인증용 키가 내장된 HSM 기반의 인증장치가 서비스 서버에 원격으로 접속되어 인증장치가 사용되는 단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  10. 제9항에 있어서, 상기 인증장치 셋업단계는,
    생체정보 센서의 출력으로부터 생체정보를 인식하며, 인식된 사용자 생체정보로부터 해당 생체정보의 특징점을 일정 횟수 반복하여 공통된 디지털 특징값을 획득하는 생체정보 특징점 추출단계와;
    사용자 인증장치의 고유 시리얼 값과 상기 디지털 특징값을 인자로 하는 해쉬값을 취하여 비밀키의 암호화를 위한 보호마스터키를 생성하는 단계와;
    사용자의 전자서명용 개인키 및 이에 대응되는 공개키를 생성하고, 개인키에 대한 공개키를 공인인증 기관에 등록한 후 전자인증서를 발부받으며, 상기 보호마스터키로 상기 전자서명용 개인키를 암호화하고, 최종적으로 신체정보로 암호화된 개인키 및 공인인증서를 사용자 인증장치 내에 저장하는 단계; 및
    상기 생체정보 특징점을 해쉬함수 또는 암호함수로 연산하여 사용자 인증장치 내에 저장하는 신체정보 인증용 데이터 저장단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
  11. 제9항에 있어서, 상기 인증장치 사용단계는,
    사용자 인증장치를 원격으로 서비스 서버 접속 후 사용자 인증장치에 생체정보를 제공하여 생체정보의 특징점을 실시간으로 추출하는 단계와;
    상기 생체정보 특징점을 해쉬함수 또는 암호함수로 연산한 후, 상기 연산 값을 최초의 인증장치 셋업 시 저장한 신체정보 인증용 데이터와 비교하여, 진정한 사용자 여부를 판단하는 사용자 인증단계와;
    전자서명할 대상 데이터가 입력되면, 상기 생체정보 특징점과 고유의 시리얼 값을 이용하여 보호 마스터키를 생성하는 단계; 및
    최초 셋업 시 암호화 저장된 개인키를 복호화하여 전자서명키 값을 추출하고, 상기 전자서명키 값을 이용하여 전자서명 대상 데이터에 대한 전자서명값을 산출하여 입출력 I/O부로 출력하는 전자서명단계;
    를 포함하여 이루어진 점을 특징으로 하는 생체정보를 이용하는 사용자 인증방법.
KR1020070015189A 2007-02-14 2007-02-14 생체정보를 이용하는 사용자 인증방법 KR100876003B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070015189A KR100876003B1 (ko) 2007-02-14 2007-02-14 생체정보를 이용하는 사용자 인증방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070015189A KR100876003B1 (ko) 2007-02-14 2007-02-14 생체정보를 이용하는 사용자 인증방법

Publications (2)

Publication Number Publication Date
KR20080075956A KR20080075956A (ko) 2008-08-20
KR100876003B1 true KR100876003B1 (ko) 2008-12-26

Family

ID=39879297

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070015189A KR100876003B1 (ko) 2007-02-14 2007-02-14 생체정보를 이용하는 사용자 인증방법

Country Status (1)

Country Link
KR (1) KR100876003B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101309835B1 (ko) * 2012-04-02 2013-09-23 주식회사 시큐에프엔 토탈 금융거래 시스템
WO2017209364A1 (ko) 2016-05-31 2017-12-07 주식회사지니 생체 정보를 이용한 카드 결제 처리 시스템 및 그의 처리 방법
KR20190113417A (ko) * 2018-03-28 2019-10-08 삼성에스디에스 주식회사 인증 시스템 및 방법
WO2020116916A1 (ko) * 2018-12-05 2020-06-11 엘지전자 주식회사 무선 통신 시스템에서 생체정보를 이용하여 인증을 하기 위한 방법 및 장치
WO2023153637A1 (ko) * 2022-02-14 2023-08-17 삼성전자 주식회사 생체 정보를 이용하여 컨텐트를 보호하는 디바이스 및 그 동작 방법

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100980580B1 (ko) * 2008-05-28 2010-09-06 성균관대학교산학협력단 센서를 이용한 일회용 비밀번호 생성 장치 및 그 방법
KR20110038545A (ko) * 2009-10-08 2011-04-14 최운호 본인인증 장치 및 유비쿼터스 인증 관리 시스템
US8401875B2 (en) * 2010-03-12 2013-03-19 Os - New Horizons Personal Computing Solutions Ltd. Secured personal data handling and management system
KR101198120B1 (ko) * 2010-05-28 2012-11-12 남궁종 홍채정보를 이용한 양방향 상호 인증 전자금융거래시스템과 이에 따른 운영방법
KR101243101B1 (ko) * 2011-04-28 2013-03-13 이형우 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
KR101238687B1 (ko) * 2011-04-28 2013-03-04 이형우 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 시스템
KR101303915B1 (ko) * 2011-06-22 2013-09-27 주식회사 시큐에프엔 금융 거래 시스템
KR101297118B1 (ko) * 2012-12-17 2013-08-21 이형우 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
KR101310043B1 (ko) * 2013-01-04 2013-09-17 이형우 스마트폰에서 음성정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9577999B1 (en) * 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
KR101537564B1 (ko) * 2014-05-20 2015-07-20 (주)지플러스 생체인식 중계 인증 시스템 및 그 방법
WO2015186965A2 (ko) * 2014-06-03 2015-12-10 이도훈 복수의 순차 지문 셋 입력을 이용하는 pos 시스템 및 그 구동 방법
KR101675728B1 (ko) * 2015-01-05 2016-11-14 주식회사 슈프리마 정보처리기기를 이용한 사용자 인증 처리 방법 및 장치
KR102441758B1 (ko) 2015-07-14 2022-09-13 삼성전자주식회사 전자 장치, 인증 대행 서버 및 결제 시스템
KR101663699B1 (ko) * 2015-07-20 2016-10-17 주식회사 비즈모델라인 생체 인식을 이용한 네트워크 형 오티피 제공 방법
KR101636068B1 (ko) * 2015-09-25 2016-07-06 주식회사 비즈모델라인 생체 인식을 이용한 오티피 운영 방법
KR102447501B1 (ko) 2015-12-24 2022-09-27 삼성전자주식회사 생체 정보를 처리하는 전자 장치 및 그 제어 방법
CN107370601B (zh) * 2017-09-18 2023-09-05 确信信息股份有限公司 一种集成多种安全认证的智能终端、系统及方法
KR102434720B1 (ko) * 2017-11-16 2022-08-23 주식회사 에이텍에이피 생체 인증을 이용한 금융 기기 및 거래 방법
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
KR102411883B1 (ko) * 2018-01-11 2022-06-22 삼성전자주식회사 전자 장치, 서버 및 그 제어 방법
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
KR101997511B1 (ko) * 2018-03-27 2019-07-08 한국카카오은행 주식회사 매체에 저장된 은행 업무 처리 에이전트 프로그램, 은행 업무 처리 시스템, 및 이의 동작 방법
WO2019190132A1 (ko) * 2018-03-26 2019-10-03 한국카카오은행 주식회사 은행 업무 처리 방법 및 은행 업무 처리용 어플리케이션이 저장된 컴퓨터 판독 가능한 저장 매체
SE543586C2 (en) * 2018-09-07 2021-04-06 Indivd Ab System and method for handling anonymous biometric and/or behavioural data
KR102157344B1 (ko) * 2018-12-18 2020-09-18 주식회사 에어큐브 지문정보를 이용한 일회성 키 기반의 인증 시스템
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
KR102266065B1 (ko) * 2019-08-27 2021-06-17 주식회사 한글과컴퓨터 얼굴 이미지 매칭률 기반의 사용자 인증을 통해 보안 문서에 대한 권한을 제공하는 전자 단말 장치 및 그 동작 방법
KR102266068B1 (ko) * 2019-10-02 2021-06-17 주식회사 한글과컴퓨터 얼굴인식을 기반으로 한 사용자 인증을 통해 보안 문서에 대한 권한을 부여하는 문서 관리 서버 및 그 동작 방법
KR102215600B1 (ko) * 2019-11-13 2021-02-15 주식회사 한글과컴퓨터 보안 등급에 기초한 차등 인증 처리를 통해 문서에 삽입되는 주석으로 활용 가능한 공공 데이터를 제공하는 공공 데이터 제공 장치 및 그 동작 방법
KR102327668B1 (ko) * 2019-12-10 2021-11-17 손종희 블록체인 조회코드를 이용한 전자영수증 제공 장치 및 방법
CN116933232A (zh) * 2023-08-23 2023-10-24 上海合芯数字科技有限公司 基于bmc的服务器密码安全管理方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020033996A (ko) * 2000-11-01 2002-05-08 안준영 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
KR20050099106A (ko) * 2004-04-08 2005-10-13 주식회사 엘립시스 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법
KR20060119796A (ko) * 2005-05-17 2006-11-24 이바도 출력제어기능을 갖는 무선통신단말기
KR20070016534A (ko) * 2005-08-04 2007-02-08 (주)링스텔레콤 디티엠에프 톤 형태의 일회용 패스워드 발생장치, 상기일회용 패스워드 발생장치를 이용한 전화 거래 인증방법 및시스템
KR20070038308A (ko) * 2005-10-05 2007-04-10 박현주 다중생체인증 정보를 내장한 유무선 단말기를 이용한 생체인증 시스템 및 그 생체인증 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020033996A (ko) * 2000-11-01 2002-05-08 안준영 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
KR20050099106A (ko) * 2004-04-08 2005-10-13 주식회사 엘립시스 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법
KR20060119796A (ko) * 2005-05-17 2006-11-24 이바도 출력제어기능을 갖는 무선통신단말기
KR20070016534A (ko) * 2005-08-04 2007-02-08 (주)링스텔레콤 디티엠에프 톤 형태의 일회용 패스워드 발생장치, 상기일회용 패스워드 발생장치를 이용한 전화 거래 인증방법 및시스템
KR20070038308A (ko) * 2005-10-05 2007-04-10 박현주 다중생체인증 정보를 내장한 유무선 단말기를 이용한 생체인증 시스템 및 그 생체인증 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101309835B1 (ko) * 2012-04-02 2013-09-23 주식회사 시큐에프엔 토탈 금융거래 시스템
WO2017209364A1 (ko) 2016-05-31 2017-12-07 주식회사지니 생체 정보를 이용한 카드 결제 처리 시스템 및 그의 처리 방법
KR20190113417A (ko) * 2018-03-28 2019-10-08 삼성에스디에스 주식회사 인증 시스템 및 방법
KR102459974B1 (ko) * 2018-03-28 2022-10-28 삼성에스디에스 주식회사 인증 시스템 및 방법
WO2020116916A1 (ko) * 2018-12-05 2020-06-11 엘지전자 주식회사 무선 통신 시스템에서 생체정보를 이용하여 인증을 하기 위한 방법 및 장치
WO2023153637A1 (ko) * 2022-02-14 2023-08-17 삼성전자 주식회사 생체 정보를 이용하여 컨텐트를 보호하는 디바이스 및 그 동작 방법

Also Published As

Publication number Publication date
KR20080075956A (ko) 2008-08-20

Similar Documents

Publication Publication Date Title
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
JP5470344B2 (ja) バイオメトリック識別技術の利用に基づいたユーザー認証方法及び関連のアーキテクチャー
JP4736744B2 (ja) 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
US8842887B2 (en) Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device
US9384338B2 (en) Architectures for privacy protection of biometric templates
JP4680505B2 (ja) 簡易音声認証方法および装置
EP3547599A1 (en) Methods for secure enrollment and backup of personal identity credentials into electronic devices
US20090293111A1 (en) Third party system for biometric authentication
US20130219481A1 (en) Cyberspace Trusted Identity (CTI) Module
US20110314288A1 (en) Circuit, system, device and method of authenticating a communication session and encrypting data thereof
KR101897715B1 (ko) 바이오정보를 이용한 패스워드 없는 전자서명 시스템
WO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
US20120191977A1 (en) Secure transaction facilitator
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
Hosseini et al. Enhancement of security with the help of real time authentication and one time password in e-commerce transactions
WO2021111824A1 (ja) 電子署名システム及び耐タンパ装置
WO2022042745A1 (zh) 一种密钥管理方法及装置
KR20220086135A (ko) 블록체인 기반의 전력 거래 운영 시스템
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
KR101743951B1 (ko) 전자서명장치 및 이를 이용한 전자서명방법
WO2023022584A1 (en) System and method for decentralising digital identification
KR100862960B1 (ko) Otp 인증장치의 다중등록 방법
KR100649858B1 (ko) 공중전화 스마트 카드 발급/인증 시스템 및 그 방법
Albahdal et al. Trusted BWI: Privacy and trust enhanced biometric web identities
Mohammadi et al. Enhancement of security via real time authentication with biometric methods in e-commerce transactions

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20111121

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141114

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171106

Year of fee payment: 12