KR102255286B1 - 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법 - Google Patents

분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법 Download PDF

Info

Publication number
KR102255286B1
KR102255286B1 KR1020180064747A KR20180064747A KR102255286B1 KR 102255286 B1 KR102255286 B1 KR 102255286B1 KR 1020180064747 A KR1020180064747 A KR 1020180064747A KR 20180064747 A KR20180064747 A KR 20180064747A KR 102255286 B1 KR102255286 B1 KR 102255286B1
Authority
KR
South Korea
Prior art keywords
biometric data
identity
private key
collection device
key
Prior art date
Application number
KR1020180064747A
Other languages
English (en)
Other versions
KR20190138384A (ko
Inventor
김대훈
백승민
트란 호 트룩 판
티 뒤엔 두엔 응위엔
Original Assignee
아이리텍 잉크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아이리텍 잉크 filed Critical 아이리텍 잉크
Priority to KR1020180064747A priority Critical patent/KR102255286B1/ko
Publication of KR20190138384A publication Critical patent/KR20190138384A/ko
Application granted granted Critical
Publication of KR102255286B1 publication Critical patent/KR102255286B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3221Access to banking information through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3827Use of message hashing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • H04L2209/38

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 개인 키(private key)를 생성하기 위하여 하기 두 가지 구성요소의 조합으로부터 해쉬 함수를 이용하여 해쉬 값(hash value)을 구하는 단계와, 상기 두 가지 구성요소는, 생체자료 수집 장치로부터 수집된 등록 생체자료(enrollment biometric data) 및 생체자료 수집 장치에 할당된 장치의 고유 키(unique device key)이며, 알고리즘을 사용하여 개인 키로부터 이와 연계된 공용 키(public key)를 생성하는 단계 및 공용 키는 블록체인 상에 둘 이상의 노드에 공유하며, 보안성을 강화하기 위하여 개인키는 공용 키를 생성한 이후에 완전히 제거하는 단계를 포함하는 분산화된 방법(decentralized way)에 의해 생체 자료(biometric data)를 사용하는 방법을 제공하는 것이다.

Description

분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법{Method for physical identity management in blockchain using a decentralized biometrics system}
본 발명은 분산화된 방법(decentralized way)에 의해 생체 자료(biometric data)를 사용하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법에 관한 것이다.
본 발명의 관련된 기술로는 본 발명의 출원인이 특허 출원하여 등록된 등록특허공보 제10-1284481("생체 이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증 방법 및 장치")에 구체적으로 개시되어 있는 내용이 있으며, 이 내용을 생체자료를 분산화시키는 방법과 블록체인(blockchain) 기술을 적용하여 보다 안전하게 보안을 유지할 수 있는 방안을 제시한다.
현존하는 대부분의 블록체인 어플리케이션은 암호화(cryptography)에 기반한 디지털 신원정보(digital identity)를 사용하여 사용자의 신원을 확인하고 있다. 디지털 신원정보에 있어, 블록체인 상에서 사용자 계정(user account)에는 개인 키(private key)와 공용 키(public key)의 쌍이 사용된다. 공용키는 일종의 계정의 "주소(address)"로서 블록체인 상에서 공유될 수 있다. 반면, 개인키는 계정에 접근하기 위한 "암호(password)"로서 간주된다. 따라서 개인키는 최상급으로(utmost) 보호(protection)되어야 한다.
개인 키와 같은 암호를 보호하는 방법에는 여러 가지가 있다. 몇 가지 예를 들면, 암호를 머릿속에 암기하는 방법, 종이에 기록하여 안전한 장소에 보관하는 방법, 암호를 전자파일 형태로 안전한 하드웨어 장비에 보관하는 방법 등등이다. 이 중에서 머릿속에 암기하는 방법 이외에는 대부분의 사람들에게는 완벽한 보호방법이 아닐 수 있다. 왜냐하면, 사람들은 이미 기억해야 할 여러 종류의 암호들을 너무 많이 사용하고 있으며, 이러한 암호들이 어딘가에 물리적으로 보관되어 있다면 해킹의 위험성이 상존하게 되는 문제점이 있다.
대한민국 등록특허공보 제10-1284481호
본 발명이 해결하고자 하는 과제는 사용자의 생체 자료(biometric data)를 사용하여 블록체인(blockchain) 상에서 생체 자료를 이용해 만든 개인 키와 같은 디지털 신원정보(digital identity)를 실제의 신원정보(physical identity)로 연계시킬 수 있는 방법을 제공하므로 보다 안전한 신원 인증 방법을 제공하는데 있다.
본 발명에 따른 신원인증방법은 다음과 같은 여러 가지 장점들을 가진다.
첫째, 사용자의 개인키는 이와 연계된 공용 키를 생성한 이후에 완전히 제거되고, 이후 필요한 시점에서 생체인증(biometric verification) 과정을 거쳐 다시 생성할 수 있다. 따라서 개인 키를 어딘가에 보관함으로써 발생하는 해킹의 위험을 근본적으로 방지할 수 있다. 보안을 크게 강화할 수 있다.
둘째, 사용자는 블록체인 상에서 모종의 거래를 하기에 앞서 반드시 생체인증을 수행해야 한다. 인증 결과에 따라 해당 거래는 승인되거나 거절될 수 있다. 따라서 확실한 거래(undeniable transaction)를 보장할 수 있다.
셋째, 디지털 신원정보는 실제의 신원정보와 연계가 되므로 서비스 제공자(service provider)에게 사용자의 신원 인증 기능을 제공할 수 있다. 즉, KYC(know-your-customer) 및 AML(anti-money-laundering) 응용분야에 활용할 수 있다.
넷째, 현실 세계에서는 국가 별로 다양한 신원정보 관리 시스템(ID management system)들이 존재하므로 어떤 사용자의 신원은 다른 국가에서는 인증 받을 수 없다. 하지만 이 방법에서는 전세계 어디에서나 신원 확인이 가능해진다. 따라서 범세계적인 신원 인증(enabling universal identity) 방법으로서 사용될 수 있다.
본 발명 과제의 해결 수단은 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법에 있어서, 개인 키(private key)를 생성하기 위하여 하기 두 가지 구성요소의 조합으로부터 해쉬 함수를 이용하여 해쉬 값(hash value)을 구하는 단계를 포함하며, 상기 두 가지 구성요소는, 생체자료 수집 장치로부터 수집된 등록 생체자료(enrollment biometric data); 및 생체자료 수집 장치에 할당된 장치의 고유 키(unique device key)이며, 알고리즘을 사용하여 개인 키로부터 이와 연계된 공용 키(public key)를 생성하는 단계 및 공용키는 블록체인 상에 둘 이상의 노드에 공유하며, 보안성을 강화하기 위하여 개인키는 공용 키를 생성한 이후에 완전히 제거하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로 개인키를 생성하기 위한 생체자료 수집 장치는 스마트 폰, 태블릿 및 PC 를 포함하는 호스트 장치(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성되거나, 또는 스마트 폰 및 태블릿 중 하나의 내부에 내장된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성된 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로 사용자 생체자료를 분산화시키는 방법(decentralized way)으로 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계와, 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인(blockchain)을 구성하는 블록체인 상에서 둘 이상의 노드에서 공유하는 단계 및 보안 강화를 위하여 이후 온전한 등록 생체자료는 제거하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 온전한 등록 생체자료를 구하기 위하여, 둘 이상 분산 저장된 생체자료들을 모두 회수(retrieve)하는 단계와, 암호화된 부분들을 복호화(decrypt)하는 단계와, 분산된 생체자료들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 개인키를 다시 생성(regenerate)하기 전에, 등록 생체자료의 복원 및 등록 생체자료를 수집하는데 사용한 것과 동일한 생체자료 수집 장치를 사용해 사용자의 인증용 생체자료를 수집하는 단계와, 동일성 여부를 판단하기 위하여 두 개의 생체자료 간의 매칭(matching)을 수행하는 단계와, 및 매칭 결과가 동일인(genuine)으로 판정된 경우에 개인 키를 다시 생성하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로 분산화된 방법(decentralized way)으로 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계와, 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 생체자료 수집 장치의 내부에 저장하는 단계와, 보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 제거하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로 분산화된 방법(decentralized way)으로 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계와, 암호화 없이, 또는 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 컴퓨터상에 전자파일 형태로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계 및 보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 제거하는 단계를 포함하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법을 제공하는데 있다.
본 발명에 따른 신원인증방법은 다음과 같은 상승된 효과들을 가진다.
첫째, 사용자의 개인키는 이와 연계된 공용 키를 생성한 이후에 완전히 제거되고, 이후 필요한 시점에서 생체인증(biometric verification) 과정을 거쳐 다시 생성할 수 있다. 따라서 개인 키를 어딘가에 보관함으로써 발생하는 해킹의 위험을 근본적으로 방지할 수 있으므로 강화된 보안(enhanced security)을 유지할 수 있는 상승된 효과가 있다.
둘째, 사용자는 블록체인 상에서 모종의 거래를 하기에 앞서 반드시 생체인증을 수행해야 한다. 인증 결과에 따라 해당 거래가 승인되거나 거절될 수 있도록 하여 확실한 거래(undeniable transaction)를 보장할 수 있는 상승된 효과가 있다.
셋째, 디지털 신원정보는 실제의 신원정보와 연계가 되므로 서비스 제공자(service provider)에게 사용자의 신원 인증 기능을 제공할 수 있으므로 KYC(know-your-customer) 및 AML(anti-money-laundering) 응용분야에 활용할 수 있는 유리한 효과가 있다.
넷째, 현실 세계에서는 국가 별로 다양한 신원정보 관리 시스템(ID management system)들이 존재하므로 어떤 사용자의 신원은 다른 국가에서는 인증 받을 수 없다. 하지만 이 방법에서는 전세계 어디에서나 신원 확인이 가능해지므로 범세계적인 신원 인증 방법으로서 사용할 수 있는 상승된 효과가 있다.
도 1은 생체 자료로부터 개인 키와 공용 키가 생성되는 과정을 도시한 것이다.
도 2는 개인 키를 다시 생성하는 과정을 도시한 것이다.
본 발명을 실시하기 위한 구체적인 내용을 살펴본다.
본 발명은 분산화된 방법(decentralized way)에 의해 생체 자료(biometric data)를 사용하는 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리에 대한 방법에 관한 것이다.
사용자의 계정을 신규 개설(open)하는 경우를 살펴본다. 이때 사용자의 생체자료를 수집하기 위한 장치(biometric device)가 필요하다. 이러한 장치에는, 홍채 카메라, 지문 센서, 얼굴 카메라, DNA 리더 등이 있다. 또한, 이러한 장치는 장치의 고유 키(unique device key)를 장치 내부의 안전한 장소에 보관하고 있다. 차후 이 장치를 이용하여 본인의 생체 자료(biometric data)를 수집하며, 이때 수집한 생체 자료를 이후부터 '등록 생체자료(enrollment biometric data)'라고 한다.
등록 생체자료와 장치의 고유 키의 조합에 대해 해쉬 함수를 적용하여 해쉬 값(hash value)을 구할 수 있으며, 이러한 해쉬 값은 해당 계정의 개인 키(private key)로서 사용할 수 있다. 또한 공개된 표준 알고리즘 또는 기타 관련 알고리즘을 적용해 개인 키로부터 그것과 연계되는 공용 키(public key)를 생성할 수 있으며, 공용키는 블록체인 상에서 공유된다.
도 1은 생체 자료로부터 개인 키와 공용 키가 생성되는 과정을 도시한다.
보다 구체적으로 홍채 인식할 수 있는 카메라 등의 생체자료 수집 장치로부터 수집한 등록 생체자료(홍채 템플릿 생성)와 해당 장치의 고유 키의 조합에 대해 해쉬 함수를 이용하여 해쉬 값을 구하여, 이를 사용자의 개인 키로 사용한다. 또한 개인 키로부터 이와 연계되는 공유 키를 생성할 수 있다.
즉, 생체자료인 홍채 템플릿(도1의 13)과 해당 장치의 고유 키의 조합에 대해 해쉬 함수를 이용하여 해쉬 값을 구한다. 홍채 템플릿(도1의 13)은 생체자료 수집장치(도1의 11)를 이용하여 획득한 홍채이미지(도1의 12)로부터 얻는다.
도 2는 개인 키를 다시 생성하는 과정을 도시한다.
보다 구체적으로, 분산 저장된 등록 생체자료를 복원하고, 사용자의 인증용 생체자료를 새롭게 수집하여, 두 개를 매칭하고, 그 매칭 결과에 따라 개인 키를 다시 생성하는 것의 여부를 결정할 수 있다.
본 발명 출원인이 출원하여 등록된 선행 특허인 등록특허공보 제10-1284481호에서는, 알고리즘을 이용하여 사용자의 등록 생체자료(enrollment biometric data)와 생체자료 수집장치(11, biometric device)의 고유키(unique device key)의 조합으로부터 해쉬함수를 적용하여 해쉬 값(hash value)을 구하는 방법을 개시한다.
해쉬 함수를 이용하여 구한 해쉬 값을 다시 동일한 해쉬 함수에 적용하여 새로운 해쉬 값을 구하는 방법에 대해 설명하고 있다. 이 과정을 반복 적용하면 최초의 해쉬 값으로부터 파생된 여러 개의 해쉬 값들을 구할 수 있다.
즉, 첫 번째 생성한 해쉬 값을 해쉬 함수 hash(x)에 적용할 때 "H1 = hash(등록 생체자료 + 장치의 고유키)" 이라 하면, H1으로부터 파생된 새로운 해쉬 값들을 "Hk = hash(Hk -1), k=2 부터 n"와 같이 구할 수 있다.
해쉬 값들을 구하는 횟수 n은 미리 지정할 수 있으며, 최종 구한 해쉬 값 Hn 은 서버에 저장하여 외부에 공개할 수 있으며, 나머지 해쉬 값들인 Hn -1, Hn -2, …H2, H1 은 생체자료 수집 장치의 내부에 안전하게 저장한다.
장치의 내부에 보관된 이러한 해쉬 값 H는 만들어진 역순으로 일회용 비밀번호(OTP)로 사용된다. 즉, 첫 번째 일회용 비밀번호(OTP)로서 Hn-1가 사용되며, 이후 Hn-2, Hn-3과 같은 순서로 차례로 사용된다.
서버가 장치로부터 Hn -c를 받은 경우에, 그것은 c번째 사용된 OTP라는 것을 의미하며, 이것이 유효한가를 확인하기 위해서는 Hn -c에 동일한 해쉬 함수를 c번 적용하여 해쉬 값 "H~ = hash(hash(…hash(Hn -c)))"를 구할 수 있으며, 만약 H~가 서버에 저장된 Hn과 동일하다면 유효한 일회용 비밀번호(OTP)로 판정할 수 있다.
본 발명에서는, 선행 특허에서 생체자료 수집 장치의 내부에 보관했던 해쉬 값들인 Hn -1, Hn -2, …H2, H1을 일단 Hn이 생성된 이후에는 완전히 제거함으로써 보안성을 극대화하는 방법을 제시한다. 한편 Hn은 서버 또는 블록체인 상의 노드로 전달하여 보관한다.
본 발명은 기존 선행특허의 방법과 달리, Hn -1, Hn -2, …H2, H1을 어딘가에 보관하는 대신, 등록 생체자료를 두 개 이상의 복수의 생체자료들로 분할하여 서버 및 블록체인 상의 복수의 노드에 저장하고, 차후 필요한 시점에서는 분할된 부분들을 모두 회수(retrieve)한 후 원래의 등록 생체자료로 복원(reconstruct)하고, 이것을 이용하여 Hn -c을 생성하는 방법을 사용한다.
이때 Hn -c을 생성하기에 앞서, 복원된 등록 생체자료 및 그것을 수집했던 것과 동일한 생체자료 수집 장치를 사용하여 현장에서 새로 수집한 사용자의 인증용 생체정보 간에 매칭(matching)을 실시하여, 만약 매칭 결과가 동일인(genuine)으로 판정된 경우에 한해 Hn-c을 생성하도록 결정할 수 있다.
본 발명에 따른 블록체인 상의 개인 키는 공용 키가 생성된 이후 바로 제거함으로써 보안성을 최대한 강화할 수 있다. 본 발명은 블록체인 상에서 보안이 강화된 신원 관리가 가능한 상승된 효과가 있다.
등록 생체자료는 다음과 같은 분산화시켜(decentralized) 서버 또는 블록체인 상의 복수의 노드에 저장된다.
사용자 계정을 신규 개설하는 과정에서 수집된 등록 생체자료를 두 개 이상의 부분들로 분할하여 저장하는 그 방법들은 다음과 같다.
첫째, 둘 이상의 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 블록체인(blockchain)을 구성하는 노드(블록)에 저장하거나,
둘째, 둘 이상의 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 생체자료 수집 장치의 내부에 안전하게 저장하거나,
셋째, 암호화 없이, 또는 둘 이상의 부분들을 생체자료 수집 장치의 고유 키로 암호화한 후 컴퓨터상에 전자파일 형태로 저장하거나 종이 상에 바코드 형태로 인쇄하여 보관한다.
이와 같이 어떠한 분산화된 방법을 적용하였는지에 따라 차후 분할된 등록 생체자료를 복원하는 방법을 결정할 수 있다.
개인 키는 블록체인 상의 어디에도 저장되어 있지 않기 때문에 사용자가 모종의 거래(transaction)를 진행하기에 앞서 반드시 다시 생성해야 한다. 이 과정은 다음과 같다.
첫째, 등록 생체자료의 분할된 모든 부분들을 회수(retrieve)하고, 암호화된 부분들은 모두 복호화(decrypt)하며, 모든 부분들을 합하여 온전한 등록 생체자료가 되도록 복원(reconstruct)한다.
둘째, 사용자는 등록 생체자료를 수집했던 것과 동일한 생체자료 수집 장치를 사용하여 현장에서 새로운 인증용 생체자료를 수집한다. 이것과 복원된 등록 생체자료를 매칭(matching)하고, 그 결과가 동일인(genuine)으로 판명되면 등록 생체자료와 생체자료 수집 장치의 고유 키의 조합으로부터 개인 키를 다시 생성할 수 있으며, 거래(transaction)를 계속 진행할 수 있다. 반면에, 매칭 결과가 타인(imposter)으로 판명된 경우에는 거래가 더 이상 진행되지 않는다.
본 발명은 사용자의 생체 자료(biometric data)를 사용하여 블록체인(blockchain) 상에서 신원 인증을 하는 방법에 관한 것이다. 특히, 생체 자료를 이용해 만든 개인 키와 같은 디지털 신원정보(digital identity)를 블록체인 상에서 실제의 신원정보(physical identity)로 연계시킬 수 있는 방법을 제공한다.
본 발명은 다음과 같은 여러 가지 장점들을 가진다.
첫째, 강화된 보안(enhanced security). 사용자의 개인 키는 이와 대응되는 공용 키를 생성한 이후에 완전히 제거되고, 이후 필요한 시점에서 생체인증(biometric verification) 과정을 거쳐 다시 생성할 수 있다. 따라서 개인 키를 어딘가에 보관함으로써 발생하는 해킹의 위험을 근본적으로 없앨 수 있는 상승된 효과가 있다.
둘째, 확실한 거래(undeniable transaction)의 보장. 사용자는 블록체인 상에서 모종의 거래를 하기에 앞서 반드시 생체인증을 수행해야 한다. 인증 결과에 따라 해당 거래는 승인되거나 거절될 수 있다.
셋째, KYC(know-your-customer) 및 AML(anti-money-laundering) 응용분야의 지원. 디지털 신원정보는 실제의 신원정보와 연계가 되므로 서비스 제공자(service provider)에게 사용자의 신원 인증 기능을 제공할 수 있는 유리한 효과가 있다.
넷째, 범세계적인 신원 인증(universal identity)에 사용할 수 있다. 현실 세계에서는 국가별로 다양한 신원정보 관리 시스템(ID management system)들이 존재하므로 어떤 사용자의 신원을 다른 국가에서 인증받을 수 없다.
하지만 본 발명에 따른 신원 관리 방법에서는 전세계 어디에서나 신원 확인이 가능해지는 상승된 효과가 있다.
본 발명에 따른 생체 자료(biometric data)를 사용한 신원 관리 방법의 다양한 실시 예를 살펴본다.
분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법에 있어서,
개인 키(private key)를 생성하기 위하여 두 가지 구성요소의 조합으로부터 해쉬 함수를 이용하여 해쉬 값(hash value)을 구하는 단계를 포함하며,
상기 두 가지 구성요소는,
생체자료 수집 장치로부터 수집된 등록 생체자료(enrollment biometric data) 및;
생체자료 수집 장치에 할당된 장치의 고유 키(unique device key)이며,
알고리즘을 사용하여 개인 키로부터 이와 연계된 공용 키(public key)를 생성하는 단계를 포함하고,
공용 키는 블록체인 상에 둘 이상의 노드에 공유하며, 개인 키는 공용 키를 생성한 이후에 완전히 제거하는 단계를 포함한다.
개인키를 생성하기 위한 생체자료 수집 장치는 스마트 폰, 태블릿 및 PC 를 포함하는 호스트 장치(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성되거나, 또는 스마트 폰 및 태블릿 중 하나의 내부에 내장된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성될 수 있다.
분산화된 방법(decentralized way)으로 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계를 포함하며, 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인(blockchain)을 구성하는 블록체인 상의 노드에 저장하는 단계; 및 온전한 등록 생체자료는 블록체인 상에서 완전히 제거하는 단계를 포함한다.
온전한 등록 생체자료를 구하기 위하여, 둘 이상 분산 저장된 부분들을 모두 회수(retrieve)하고, 암호화된 부분들을 복호화(decrypt)하며, 분산된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함한다.
개인 키를 다시 생성(regenerate)하기 전에, 등록 생체자료의 복원 및 등록 생체자료를 수집하는데 사용한 것과 동일한 생체자료 수집 장치를 사용해 사용자의 인증용 생체자료를 수집하는 단계를 포함하고, 동일성 여부를 판단하기 위하여 두 개의 생체자료 간의 매칭(matching)을 수행하는 단계를 포함하며, 매칭 결과가 동일인(genuine)으로 판정된 경우에 개인 키를 다시 생성하는 단계를 포함한다.
분산화된 방법(decentralized way)으로 등록생체자료를 저장하는 방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계를 포함하며, 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 생체자료 수집 장치의 내부에 저장하는 단계를 포함하고, 보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 완전히 제거하는 단계를 포함한다.
또 다른 실시 예로 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법은, 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계를 포함하며, 암호화 없이, 또는 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 컴퓨터상에 전자파일 형태로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계를 포함하고; 및 보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 완전히 제거하는 단계를 포함할 수 있다.
본 발명은 개인 키(private key)를 생성하기 위하여 두 가지 구성요소의 조합으로부터 해쉬 함수를 이용하여 해쉬 값(hash value)을 구하는 단계와, 상기 두 가지 구성요소는 생체자료 수집 장치로부터 수집된 등록 생체자료(enrollment biometric data) 및 생체자료 수집 장치에 할당된 장치의 고유 키(unique device key)이며, 알고리즘을 사용하여 개인 키로부터 이와 연계된 공용 키(public key)를 생성하는 단계와, 공용 키는 블록체인 상에 둘 이상의 노드에 공유하며, 보안성을 강화하기 위하여 개인키는 공용 키를 생성한 이후에 완전히 제거하는 단계를 포함하는 분산화된 방법(decentralized way)에 의해 생체 자료(biometric data)를 사용하는 일회용 비밀번호(OTP; One-time-password)를 생성하거나 일회용 비밀번호의 유효성 확인(validation)을 하는 방법을 제공하므로 보안성이 크게 강화된 블록체인 상에서 신원 관리에 대한 방법으로 산업상 이용 가능성이 매우 높다.
11; 생체자료 수집 장치
12; 생체자료 수집 장치를 이용하여 획득한 홍채이미지
13; 홍채 템플릿
14; 생체자료 수집 장치에 할당된 장치의 고유 키
15; 해쉬 함수 적용
16; 개인 키 17; 공용 키
18; 사용자 지갑

Claims (7)

  1. 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리방법에 있어서,
    인증에 사용되는 개인 키(private key)를 생성하는 단계로, 상기 개인 키는 하기 두 가지 구성요소의 조합으로부터 해쉬 함수를 이용하여 생성된 해쉬 값(hash value)을 포함하며, 상기 두 가지 구성요소는, 생체자료 수집 장치로부터 수집된 등록 생체자료(enrollment biometric data) 및 생체자료 수집 장치에 할당된 장치의 고유 키(unique device key)를 포함하는 단계;
    상기 생성된 개인 키에 대응되는 공용 키(public key)를 상기 개인 키에 기초하여 생성하는 단계; 및
    상기 공용 키는 블록체인 상에 둘 이상의 노드에 공유되며, 상기 개인 키를 상기 공용 키를 생성한 이후에 완전히 제거하는 단계를 포함하는
    신원 관리방법.
  2. 청구항 1에 있어서,
    개인키를 생성하기 위한 생체자료 수집 장치는 스마트 폰, 태블릿 및 PC 를 포함하는 호스트 장치(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성되거나,
    또는 스마트 폰 및 태블릿 중 하나의 내부에 내장된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성되는
    신원 관리방법.
  3. 청구항 1에 있어서,
    신원 관리방법은,
    등록생체자료를 두 개 이상의 부분들로 분할하는 단계;
    둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인(blockchain)을 구성하는 블록체인 상의 노드에 저장하는 단계; 및
    보안 강화를 위하여 온전한 등록 생체자료는 제거하는 단계를 포함하는
    신원 관리방법.
  4. 청구항 1에 있어서,
    신원 관리방법은,
    등록생체자료를 두 개 이상의 부분들로 분할하는 단계;
    둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 생체자료 수집 장치의 내부에 저장하는 단계; 및
    보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 제거하는 단계를 포함하는
    신원 관리방법.
  5. 청구항 1에 있어서,
    신원 관리방법은,
    등록 생체자료를 두 개 이상의 부분들로 분할하는 단계,
    암호화 없이, 또는 둘 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 컴퓨터상에 전자파일 형태로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계; 및
    보안 강화를 위하여 온전한 등록 생체자료는 블록체인 상에서 제거하는 단계를 포함하는
    신원 관리방법.
  6. 청구항 3 내지 청구항 5 중 어느 한 항에 있어서,
    상기 개인 키를 다시 생성(regenerate)하는 단계를 더 포함하되,
    상기 개인 키를 다시 생성하는 단계는
    생체자료 수집장치를 사용해 사용자의 인증용 생체자료를 수집하는 단계;
    분할된 상기 등록생체자료를 온전한 등록생체자료로 복원(reconstructive)하는 단계로, 상기 분할되어 분산 저장된 부분들을 모두 회수(retrieve)하는 단계와, 암호화된 부분들을 복호화(decrypt)하는 단계와, 분할된 부분들을 모두 합하여 온전한 등록생체자료로 복원(reconstruct)하는 단계를 포함하며,
    상기 복원된 온전한 등록생체자료와 상기 생체자료 수집장치를 사용해 수집된 인증용 생체자료를 비교하는 단계;
    상기 비교 결과에 기초해 상기 복원된 온전한 등록생체자료와 상기 수집된 인증용 생체자료의 동일성이 판정됨(genuine)에 대응하여, 상기 삭제된 개인 키와 동일한 개인 키를 다시 생성하는 단계를 포함하는
    신원 관리방법.
  7. 삭제
KR1020180064747A 2018-06-05 2018-06-05 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법 KR102255286B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180064747A KR102255286B1 (ko) 2018-06-05 2018-06-05 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180064747A KR102255286B1 (ko) 2018-06-05 2018-06-05 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법

Publications (2)

Publication Number Publication Date
KR20190138384A KR20190138384A (ko) 2019-12-13
KR102255286B1 true KR102255286B1 (ko) 2021-05-26

Family

ID=68847288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180064747A KR102255286B1 (ko) 2018-06-05 2018-06-05 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법

Country Status (1)

Country Link
KR (1) KR102255286B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11991282B2 (en) * 2021-07-30 2024-05-21 Visa International Service Association Distributed private key recovery
CN115099814A (zh) * 2022-06-13 2022-09-23 马上消费金融股份有限公司 信息处理方法、装置、设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101284481B1 (ko) * 2011-07-15 2013-07-16 아이리텍 잉크 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050023050A (ko) * 2003-08-29 2005-03-09 김재형 분할 생체정보를 이용한 암호키 생성 방법 및 이를 이용한사용자 인증 방법
KR101739203B1 (ko) * 2015-11-05 2017-05-23 인하대학교 산학협력단 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101284481B1 (ko) * 2011-07-15 2013-07-16 아이리텍 잉크 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치

Also Published As

Publication number Publication date
KR20190138384A (ko) 2019-12-13

Similar Documents

Publication Publication Date Title
US11108546B2 (en) Biometric verification of a blockchain database transaction contributor
US6845453B2 (en) Multiple factor-based user identification and authentication
Yang et al. Securing mobile healthcare data: a smart card based cancelable finger-vein bio-cryptosystem
Lee et al. Biometric key binding: Fuzzy vault based on iris images
KR101226651B1 (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
US20040117636A1 (en) System, method and apparatus for secure two-tier backup and retrieval of authentication information
KR20140054118A (ko) 신원 인증 장치 및 신원 인증 방법
Cavoukian et al. Advances in biometric encryption: Taking privacy by design from academic research to deployment
Chafia et al. A biometric crypto-system for authentication
WO2010080020A1 (en) Method and system for verifying the identity of an individual by employing biometric data features associated with the individual
US20070106903A1 (en) Multiple Factor-Based User Identification and Authentication
JP2006262333A (ja) 生体認証システム
KR102255286B1 (ko) 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법
CN114065169A (zh) 一种隐私保护生物认证方法和装置、电子设备
Velciu et al. Bio-cryptographic authentication in cloud storage sharing
Aanjanadevi et al. Face Attribute Convolutional Neural Network System for Data Security with Improved Crypto Biometrics.
Cavoukian et al. Keynote paper: Biometric encryption: Technology for strong authentication, security and privacy
WO2017091133A1 (en) Method and system for secure storage of information
Patil et al. Design and implementation of secure biometric based authentication system using rfid and secret sharing
Butt et al. Privacy protection of biometric templates
KR102289379B1 (ko) 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법
CN112187477A (zh) 一种虹膜保密认证方法
Cimato et al. Biometrics and privacy
Rudrakshi et al. A model for secure information storage and retrieval on cloud using multimodal biometric cryptosystem
ES2913004T3 (es) Sistema de identificación de un individuo

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant