KR102289379B1 - 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법 - Google Patents

분산화된 생체자료를 이용한 일회용 비밀번호 생성방법 Download PDF

Info

Publication number
KR102289379B1
KR102289379B1 KR1020180064773A KR20180064773A KR102289379B1 KR 102289379 B1 KR102289379 B1 KR 102289379B1 KR 1020180064773 A KR1020180064773 A KR 1020180064773A KR 20180064773 A KR20180064773 A KR 20180064773A KR 102289379 B1 KR102289379 B1 KR 102289379B1
Authority
KR
South Korea
Prior art keywords
biometric data
time password
hash value
hash
user
Prior art date
Application number
KR1020180064773A
Other languages
English (en)
Other versions
KR20190138396A (ko
Inventor
김대훈
백승민
트란 호 트룩 판
티 뒤엔 두엔 응위엔
Original Assignee
아이리텍 잉크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아이리텍 잉크 filed Critical 아이리텍 잉크
Priority to KR1020180064773A priority Critical patent/KR102289379B1/ko
Publication of KR20190138396A publication Critical patent/KR20190138396A/ko
Application granted granted Critical
Publication of KR102289379B1 publication Critical patent/KR102289379B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • H04L2209/38

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 분산화(decentralized way)시켜 보관하고 있는 생체 자료(biometric data)를 사용하는 일회용 비밀번호(OTP; One-time-password)를 생성하거나 유효성 확인(validation)할 수 있는 강화된 보안을 제공할 수 있는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법에 관한 것이다.

Description

분산화된 생체자료를 이용한 일회용 비밀번호 생성방법{Creating method for decentralized biometric One-time-password}
본 발명은 분산화(decentralized way)시켜 보관하고 있는 생체 자료(biometric data)를 사용하여 일회용 비밀번호(OTP; One-time-password)를 생성하거나 유효성 확인(validation)할 수 있는 강화된 보안을 제공할 수 있는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법에 관한 것이다.
본 발명의 관련된 기술로는 본 발명의 출원인이 특허 출원하여 등록된 등록특허공보 제10-1284481("생체 이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증 방법 및 장치")에 구체적으로 개시되어 있는 내용이 있으며, 이 내용을 분산화된 방법과 블록체인(blockchain) 기술을 적용하여 불록체인 상에서 보다 안전하게 보안을 유지할 수 있는 방안을 제시한다.
대한민국 등록특허공보 제10-1284481호
본 발명이 해결하고자 하는 과제는 사용자의 생체 자료(biometric data)를 사용하여 블록체인(blockchain) 상에서 사용자의 생체 자료를 이용해 만든 개인 키와 같은 디지털 신원정보(digital identity)를 실제의 신원정보(physical identity)로 연계시킬 수 있는 방법을 제공하므로 보다 안전한 신원 인증 방법을 제공하는데 있다.
본 발명에 따른 신원인증방법은 다음과 같은 여러 가지 장점들을 가진다.
첫째, 강화된 보안(enhanced security). 사용자의 개인키는 이와 연계된 공용 키를 생성한 이후에 완전히 제거되고, 이후 필요한 시점에서 생체인증(biometric verification) 과정을 거쳐 다시 생성할 수 있다.
따라서 개인 키를 어딘가에 보관함으로써 발생하는 해킹의 위험을 근본적으로 방지할 수 있다.
둘째, 확실한 거래(undeniable transaction)의 보장. 사용자는 블록체인 상에서 모종의 거래를 하기에 앞서 반드시 생체인증을 수행해야 한다. 인증 결과에 따라 해당 거래는 승인되거나 거절될 수 있다.
셋째, KYC(know-your-customer) 및 AML(anti-money-laundering) 응용분야의 지원. 디지털 신원정보는 실제의 신원정보와 연계가 되므로 서비스 제공자(service provider)에게 사용자의 신원 인증 기능을 제공할 수 있다.
넷째, 범세계적인 신원 인증의 가능성(enabling universal identity). 현실 세계에서는 국가 별로 다양한 신원정보 관리 시스템(ID management system)들이 존재하므로 어떤 사용자의 신원을 다른 국가에서 인증 받을 수 없다. 하지만 본 발명에 따른 방법에서는 전세계 어디에서나 신원 확인이 가능해지는 유리한 효과가 있다.
본 발명 과제의 해결 수단은 분산화된 생체자료를 이용한 일회용 비밀번호 생성 방법에 있어서, 일회용 비밀번호를 생성하기 위하여 두 가지 구성요소의 조합으로 해쉬 함수를 적용하여 해쉬 값(H)을 구하는 단계와, 상기 해쉬 함수를 적용하여 해쉬 값(H)을 일회용 비밀번호로 적용하는 단계를 포함하며, 상기 두 가지 구성요소는, 생체자료 수집 장치로부터 수집된 등록 생체자료 및 생체자료 수집 장치에 할당된 장치의 고유키로 구성된 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 일회용 비밀번호를 생성하기 위한 생체자료 수집 장치는 스마트폰, 태블릿 및 PC 를 포함하는 호스트 장비(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나가 되고, 또는 스마트폰 및 태블릿의 내부에 통합된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성된 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 해쉬 함수 hash(x)를 적용하여 구하는 해쉬 값은, 최초로 구한 해쉬 값인 H1 이, hash(등록 생체자료 + 장치의 고유키) 이고, H1 으로부터 파생된 임의의 새로운 해쉬 값인 Hk 는, Hk = hash(Hk -1), k=2 부터 n 까지 이며, 구하려는 해쉬 값들의 개수 n을 사전에 미리 지정하며, 최종으로 구한 해쉬 값 Hn 을 서버 또는 블록체인 상의 복수의 노드 중 적어도 하나의 노드에 저장하며, Hn 이 생성된 이후, 나머지 해쉬 값들인 Hn -1, Hn -2, …H2, H1들을 제거하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로, 첫 번째 생성한 해쉬 값 H1을 만드는데 사용된 등록 생체자료는, 온전한 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계; 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인(blockchain)을 구성하는 블록체인 상의 둘 이상의 복수의 노드에 저장하는 단계; 및 보안 강화를 위하여 온전한 등록 생체자료는 제거하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 온전한 등록 생체자료를 구하기 위하여, 둘 이상 분산 저장된 생체자료들을 생체자료 수집장치를 이용하여 모두 회수(retrieve)하는 단계와, 암호화된 부분들을 복호화(decrypt)하는 단계와, 분산된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 사용자가 일회용 비밀번호를 요청하는 순서에 따라 최초의 해쉬 값 H1으로부터 파생된 해쉬 값 Hn -c 가 유효한 일회용 비밀번호로 사용되며, 상기 c 값은 일회용 비밀번호를 제공하는 거래(transaction)의 순서가 c번째임을 의미하며, 상기 분산된 부분들을 합하여 온전한 등록 생체자료로 복원하는 단계를 포함하고, 등록 생체자료를 수집하는데 사용한 것과 동일한 장치를 사용하여 사용자의 인증용 생체자료를 수집하는 단계를 포함하며, 온전한 등록 생체자료와 인증용 생체자료를 비교하기 위하여 매칭(matching)시키는 단계를 포함하며, 매칭 결과 동일인(genuine)으로 판명되면, 복원된 등록 생체자료와 장치의 고유 키로부터 첫 번째 해쉬 값 H1을 다시 생성하는 단계를 거쳐서, 해쉬 값 H1으로부터 해쉬 값 Hn -c을 다시 생성하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 해쉬 값 Hn -c을 검증하기 위하여, 서버 또는 블록체인 상의 복수의 노드 중 적어도 하나 이상에 저장된 해쉬 값 Hn 및, H1 으로부터 파생된 Hn 이 구해지기까지 생성된 해쉬 값의 총 개수 n 값과, 사용자의 요청에 의해 일회용 비밀번호가 제공된 횟수인 c 값을 서버 또는 블록체인 상의 노드에 저장 관리하며, Hn -c 에 대해 해쉬 함수를 C번 적용하여 만들어진 해쉬 값이 Hn 과 동일하다면 해당 해쉬 값은 유효한 것으로 판단하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단으로, 사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계; 및 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 블록체인(blockchain) 상의 노드에 저장하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계 및 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 생체자료 수집 장치의 내부에 저장하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명의 또 다른 과제의 해결 수단은 사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계; 및 암호화 없이, 또는 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 컴퓨터상에 파일로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계를 포함하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하는데 있다.
본 발명이 해결하고자 하는 과제는 사용자의 생체 자료(biometric data)를 사용하여 블록체인(blockchain) 상에서 사용자의 생체 자료를 이용해 만든 개인 키(또는 일회용 비밀번호)와 같은 디지털 신원정보(digital identity)를 실제의 신원정보(physical identity)로 연계시킬 수 있는 방법을 제공하므로 보다 안전한 신원 인증 방법을 제공할 수 있는 상승된 효과가 있다.
본 발명에 따른 신원인증방법은 다음과 같은 여러 가지 장점들을 가진다.
첫째, 사용자의 개인 키(또는 일회용 비밀번호)는 이와 연계된 공용 키를 생성한 이후에 완전히 제거되고, 이후 필요한 시점에서 생체인증(biometric verification) 과정을 거쳐 다시 생성할 수 있으므로 강화된 보안(enhanced security)을 제공할 수 있다.
따라서 개인 키(또는 일회용 비밀번호)를 어딘가에 보관함으로써 발생하는 해킹의 위험을 근본적으로 방지할 수 있다.
둘째, 확실한 거래(undeniable transaction)의 보장. 사용자는 블록체인 상에서 모종의 거래를 하기에 앞서 반드시 생체인증을 수행해야 한다. 인증 결과에 따라 해당 거래는 승인되거나 거절될 수 있다.
셋째, 디지털 신원정보는 실제의 신원정보와 연계가 되므로 서비스 제공자(service provider)에게 사용자의 신원 인증 기능을 제공할 수 있으므로 KYC(know-your-customer) 및 AML(anti-money-laundering) 응용분야를 지원할 수 있는 상승된 효과가 있다.
넷째, 범세계적인 신원 인증의 가능성(enabling universal identity). 현실 세계에서는 국가 별로 다양한 신원정보 관리 시스템(ID management system)들이 존재하므로 어떤 사용자의 신원을 다른 국가에서 인증받을 수 없다. 하지만 본 발명에 따른 방법에서는 전세계 어디에서나 신원 확인이 가능해지는 유리한 효과가 있다.
도 1은 등록생체 자료와 장치 고유 키로부터 일회용 비밀번호(OTP)가 생성되는 과정을 도시한 것이다.
도 2는 첫 번째 OTP를 다시 생성하는 과정을 도시한 것이다.
도 3은 첫 번째로 구한 OTP를 해쉬 함수에 적용하여 두 번째 OTP를 구할 수 있고, 동일한 방법으로, 구해진 OTP를 해쉬 함수에 다시 적용하여 다음 번의 OTP를 구하는 과정을 도시한 것이다.
도 4는 첫 번째 OTP로부터 총 N개의 OTP들을 생성을 하고, 마지막 N번째 OTP는 서버 혹은 블록체인 상에 저장하며, 나머지 OTP들은 모두 제거하는 과정을 도시한 것이다.
도 5는 OTP가 생성된 총 횟수 N 값과 현재 OTP가 제공될 순서인 C 값으로부터 "N-C"번째 OTP를 생성하는 과정을 도시한 것이다.
본 발명을 실시하기 위한 구체적인 내용을 살펴본다.
본 발명 출원인이 출원하여 등록된 선행 특허인 등록특허공보 제10-1284481호에서는, 해쉬 함수(알고리즘)을 이용하여 사용자의 등록 생체자료(enrollment biometric data)와 생체자료 수집장치(biometric device)의 고유키(unique device key)의 조합으로부터 해쉬 값(hash value)을 구한다.
도 1은 생체 자료로부터 일회용 비밀번호(OTP, 도1의 16)가 생성되는 과정을 도시한 것이다.
상세하게는, 생체자료 수집 장치(도1의 11)로부터 수집한 등록 생체자료와 해당 장치의 고유 키의 조합에 해쉬 함수를 적용하여 해쉬 값을 구하며, 구한 해쉬 값이 첫 번째 일회용 비밀번호(도1의 16)가 된다. 생체자료 수집 장치(도1의 11)를 이용하여 홍채이미지(도1의 12)를 획득하고, 획득한 홍채이미지를 바탕으로 홍채 템플릿(도1의 13)을 얻는다.
상기 홍채 템플릿과 생체자료 수집 장치(도1의 11)의 고유키(도1의 15)의 조합에 해쉬 함수를 적용하여 일회용 비밀번호(도1의 16)를 획득한다.
도 2는 첫 번째 일회용 비밀번호를 다시 생성하는 과정을 도시한 것이다.
상세하게는, 분산 저장된 등록 생체자료를 복원하고, 등록 생체자료를 수집할 때 사용한 동일한 생체자료 수집장치(도1의 11)의 고유 키의 조합에 해쉬 함수를 적용하여 첫 번째 일회용 비밀번호(도1의 16)를 다시 생성할 수 있다.
도 3은 첫 번째로 구한 일회용 비밀번호로 해쉬 함수에 적용하여 두 번째 일회용 비밀번호를 구할 수 있고, 동일한 방법으로, 구해진 일회용 비밀번호를 해쉬 함수에 다시 적용하여 다음 번의 일회용 비밀번호를 구하는 과정을 도시한 것이다.
일회용 비밀번호를 생성하는 총 횟수 N을 미리 지정할 수 있으며, 이와 같은 방법으로 총 N개의 일회용 비밀번호를 생성할 수 있다.
도 4는 첫 번째 일회용 비밀번호로부터 총 N개의 일회용 비밀번호들을 생성을 하고, 마지막 N번째 일회용 비밀번호는 서버 혹은 블록체인 상에 저장하며, 나머지 일회용 비밀번호들은 모두 제거하는 과정을 도시한 것이다.
도 5는 일회용 비밀번호가 생성된 총 횟수 N 값과 현재 일회용 비밀번호가 제공될 순서인 C 값으로부터 "N-C"번째 일회용 비밀번호를 생성하는 과정을 도시한 것이다.
상세하게는, 등록 생체자료(enrollment biometric data)를 복원하고, 생체자료 수집장치의 고유 키(unique device key)를 구한 후, 복원된 등록 생체자료와 생체자료 수집장치의 고유 키의 조합으로부터 첫 번째 일회용 비밀번호를 생성하고, 생성된 일회용 비밀번호로부터 "N-C"번째 일회용 비밀번호를 생성할 수 있다.
다음은 해쉬 함수를 이용하여 해쉬 값을 구하는 과정을 보다 구체적으로 살펴본다.
해쉬 함수(알고리즘)을 이용하여 사용자의 등록 생체자료(enrollment biometric data)와 생체자료 수집장치(biometric device)의 고유키(unique device key)의 조합으로부터 해쉬 값(hash value)을 구한다.
구한 해쉬 값을 다시 동일한 해쉬 함수에 적용하여 새로운 해쉬 값을 구하는 방법에 대해 출원인의 대한민국 등록특허공보 제10-1284481호에서 설명하고 있다. 이 과정을 반복 적용하면 최초의 해쉬 값으로부터 파생된 여러 개의 해쉬 값들을 구할 수 있다.
즉, 첫 번째 생성한 해쉬 값을 해쉬 함수 hash(x)에 적용할 때 "H1 = hash(등록 생체자료 + 장치의 고유키)" 이라 하면, H1 으로부터 파생된 새로운 해쉬 값들을 "Hk = hash(Hk -1), k=2 부터 n"와 같이 구할 수 있다.
해쉬 값들을 구하는 횟수 n은 미리 지정할 수 있으며, 최종 구한 해쉬 값 Hn 은 서버에 저장하며, 나머지 해쉬 값들인 Hn-1, Hn-2, …H2, H1 은 생체자료 수집 장치의 내부에 안전하게 저장한다.
장치의 내부에 보관된 이러한 해쉬 값 H는 만들어진 역순으로 일회용 비밀번호(OTP)로서 사용된다.
즉, 첫 번째 일회용 비밀번호(OTP)로서 Hn -1 이 사용되며, 이후 Hn -2, Hn -3과 같은 순서로 차례로 사용된다.
서버가 장치로부터 Hn -c를 받은 경우에, 그것은 c번째 사용된 OTP 라는 것을 의미하며, 이것이 유효한가를 확인하기 위해서는 Hn -c에 동일한 해쉬 함수를 c번 적용하여 해쉬 값 "H~ = hash(hash(…hash(Hn -c)))"를 구할 수 있으며, 만약 H~ 가 서버에 저장된 Hn과 동일하다면 유효한 일회용 비밀번호(OTP)로 판정할 수 있다.
본 발명에서는, 선행 특허에서 생체자료 수집 장치의 내부에 보관했던 해쉬 값들인 Hn -1, Hn -2, …H2, H1을 일단 Hn이 생성된 이후에는 완전히 제거함으로써 보안성을 극대화하는 방법을 제시한다. 한편 Hn은 서버 또는 블록체인 상의 노드로 전달하여 보관한다. 블록체인 상에는 복수의 노드가 존재한다.
본 발명은 기존 선행특허의 방법과 달리, Hn -1, Hn -2, …H2, H1을 어딘가에 보관하는 대신, 등록 생체자료를 두 개 이상의 여러 부분들로 분할하여 서버 또는 블록체인 상의 노드에 저장하고, 차후 필요한 시점에서는 분할된 부분들을 모두 회수(retrieve)한 후, 원래의 등록 생체자료로 복원(reconstruct)하고, 이것을 이용하여 Hn-c을 생성하는 방법을 사용한다.
이때 Hn -c을 생성하기에 앞서, 복원된 등록 생체자료 및 그것을 수집했던 것과 동일한 생체자료 수집 장치를 사용하여 현장에서 새로 수집한 사용자의 인증용 생체자료 간에 매칭(matching)을 실시하여, 만약 매칭 결과가 동일인(genuine)으로 판정된 경우에 한해 Hn-c을 생성하는 과정이 계속 진행되도록 한다.
사용자의 등록 생체자료를 분산화된 방법(decentralized way)에 의해 저장하는 방법은 다음과 같다.
사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되며, 그 방법들은 다음과 같다.
첫째, 둘 이상의 부분들을 생체자료 수집 장치의 고유 키로 암호화한 후 블록체인(blockchain) 상의 노드에 저장하거나,
둘째, 둘 이상의 부분들을 생체자료 수집 장치의 고유 키로 암호화한 후 생체자료 수집 장치의 내부에 안전하게 저장하거나,
셋째, 암호화 없이, 또는 둘 이상의 부분들을 생체자료 수집 장치의 고유 키로 암호화한 후 컴퓨터상에 파일로 저장하거나 종이 상에 바코드 형태로 인쇄한다.
본 발명에서 일회용 비밀번호를 생성하는 과정은 다음과 같다.
첫째, 분할되어 있는 등록 생체자료의 모든 부분들은 회수하고, 암호화된 부분들은 복호화를 실시하고, 분할된 부분들을 모두 합하여 온전한 등록생체 자료로 복원한다.
둘째, 사용자는 등록 생체자료를 수집했던 것과 동일한 생체자료 수집 장치를 사용하여 현장에서 인증용 생체자료를 새롭게 수집한다. 이후 두 개의 생체자료를 매칭하고, 그 결과가 동일인(genuine)으로 판정되면, 등록 생체자료와 장치의 고유 키를 이용하여 최초의 해쉬 값인 H1을 생성하고, 이 값을 동일한 해쉬 함수에 필요한 횟수만큼 적용하여 최종적으로 구하고자 하는 해쉬 값인 Hn -c을 구하여 이것을 해당 거래의 유효한 일회용 비밀번호(OTP)로 사용하게 된다. 상기 c 값은 일회용 비밀번호를 제공하는 거래의 순서가 c 번째 임을 의미한다.
셋째, 구해진 일회용 비밀번호(OTP)인 Hn -c 은 Hn 이 위치한 곳으로 전송되며, 선행특허인 등록특허공보 제10-1284481호에서 명시한 방법에 의해 유효성 확인(validation) 절차를 진행한다.
본 발명의 또 다른 다양한 실시 예를 살펴본다.
분산화된 생체자료를 이용한 일회용 비밀번호 생성방법에 있어서, 일회용 비밀번호를 생성하기 위하여 하기 두 가지 구성요소의 조합으로 해쉬 함수를 적용하여 해쉬 값(H)을 구하는 단계; 및 상기 해쉬 함수를 적용하여 해쉬 값(H)을 일회용 비밀번호로 적용하는 단계를 포함한다.
상기 두 가지 구성요소는 생체자료 수집 장치로부터 수집된 등록 생체자료 및 생체자료 수집 장치에 할당된 장치의 고유키로 구성되어 있다.
일회용 비밀번호를 생성하기 위한 생체자료 수집 장치는 스마트폰, 태블릿 및 PC 를 포함하는 호스트 장비(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나가 될 수 있으며, 또는 스마트폰 및 태블릿의 내부에 통합된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성될 수 있다.
해쉬 함수 hash(x)를 적용하여 구하는 해쉬 값은, 최초로 구한 해쉬 값인 H1 은, hash(등록 생체자료 + 장치의 고유키) 이고, H1 으로부터 파생된 임의의 새로운 해쉬 값인 Hk 는 Hk = hash(Hk -1), k=2 부터 n 까지 이며, 구하려는 해쉬 값들의 개수 n을 사전에 미리 설정하여 지정하며, 최종으로 구한 해쉬 값 Hn 을 서버 또는 블록체인 상의 노드에 저장하며, Hn 이 생성된 이후, 나머지 해쉬 값들인 Hn -1, Hn -2, …H2, H1들을 제거하는 단계를 포함한다.
첫 번째 생성한 해쉬 값 H1을 만드는데 사용된 등록 생체자료는 온전한 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계와, 둘 이상의 분할된 생체자료들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인(blockchain)을 구성하는 블록체인 상의 노드에 저장하는 단계 및 보안 강화를 위하여 온전한 등록 생체자료는 제거하는 단계를 포함한다.
온전한 등록 생체자료를 구하기 위하여, 둘 이상 분산 저장된 부분들을 모두 회수(retrieve)하는 단계와, 암호화된 부분들을 복호화(decrypt)하는 단계와, 분산된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함한다.
사용자가 일회용 비밀번호를 요청하는 순서에 따라 최초의 해쉬 값 H1으로부터 파생된 해쉬 값 Hn -c 가 유효한 일회용 비밀번호로 사용되며, 상기 c 값은 일회용 비밀번호를 제공하는 거래(transaction)의 순서가 c번째임을 의미한다.
상기 분산된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함하고, 등록 생체자료를 수집하는데 사용한 것과 동일한 장치를 사용하여 사용자의 인증용 생체자료를 수집하는 단계를 포함하며, 온전한 등록 생체자료와 인증용 생체자료를 비교하기 위하여 매칭(matching)시키는 단계를 포함한다.
매칭 결과 동일인(genuine)으로 판명되면, 복원된 등록 생체자료와 장치의 고유 키로부터 첫 번째 해쉬 값 H1을 다시 생성하는 단계를 거쳐서, 해쉬 값 H1으로부터 해쉬 값 Hn -c을 다시 생성하는 단계를 포함한다.
해쉬 값 Hn -c을 검증하기 위하여 서버 또는 블록체인 상의 노드에 저장된 해쉬 값 Hn 및, H1 으로부터 파생된 Hn 이 구해지기까지 생성된 해쉬 값의 총 개수 n 값과, 사용자의 요청에 의해 일회용 비밀번호가 제공된 횟수인 c 값을 서버 또는 블록체인 상의 노드에 저장 관리하며,
Hn -c 에 대해 해쉬 함수를 C번 적용하여 만들어진 해쉬 값이 Hn 과 동일하다면 해당 해쉬 값은 유효한 것을 인정하는 단계를 포함한다.
사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계 및 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 블록체인(blockchain) 상의 노드에 저장하는 단계를 포함한다.
사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계 및 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 생체자료 수집 장치의 내부에 저장하는 단계를 포함한다.
사용자의 계정이 새로 열리는 단계에서 새로 수집된 등록 생체자료는 두 개 이상의 부분들로 분할되는 단계 및 암호화 없이, 또는 둘 이상으로 분할된 생체자료들을 생체자료 수집 장치의 고유 키로 암호화한 후 컴퓨터상에 파일로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계를 포함한다.
해쉬 함수를 이용한 일회용 비밀번호를 생성하여 적용하는 것에 관한 통상의 기술자가 알고 있는 일반적인 기술은 본 발명 출원인이 출원하여 등록된 특허등록번호 제10-1284481호에 상세하게 기재되어 있으므로 본 출원 명세서에서는 본 발명의 기술적 과제와 관련된 기술적 구성을 중점적으로 기술하였다.
본 발명은 분산화(decentralized way)시켜 보관하고 있는 생체 자료(biometric data)를 사용하여 일회용 비밀번호(OTP; One-time-password)를 생성하거나 유효성 확인(validation)할 수 있는 강화된 보안을 제공할 수 있는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법을 제공하므로 보안성을 훨씬 높일 수 있기 때문에 산업상 이용 가능성이 매우 높다.
11; 생체자료 수집장치
12; 생체자료 수집장치로 획득한 홍채이미지
13; 홍채 이미지로부터 얻은 홍채 템플릿
14; 생체자료 수집장치에 할당된 장치의 고유 키
15; 해쉬 함수
16; 일회용 비밀번호(OTP)

Claims (10)

  1. 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법에 있어서,
    일회용 비밀번호를 생성하기 위하여 하기 두 가지 구성요소의 조합으로 해쉬 함수(hash(x))를 적용하여 해쉬 값(Hn)을 구하는 단계;
    상기 해쉬 값(Hn)을 일회용 비밀번호로 적용하는 단계로, 상기 두 가지 구성요소는, 생체자료 수집 장치로부터 수집된 등록 생체자료 및; 상기 생체자료 수집 장치에 할당된 장치의 고유키를 포함하고, 상기 해쉬 함수(hash(x))가 적용된 상기 해쉬 값(Hn)은 hash(Hn)으로 표현되어 최초로 구한 해쉬 값인 H1 은 hash(등록 생체자료 + 생체자료 수집장치의 고유키)이고, H1 으로부터 파생된 임의의 새로운 해쉬 값인 Hk 는, Hk = hash(Hk-1), k=2 부터 n 까지 인 단계;
    구하려는 해쉬 값들의 개수 n을 사전에 미리 지정하며, 최종으로 구한 해쉬 값 Hn 을 서버 또는 블록체인 상의 노드에 저장하며, Hn 이 생성된 이후, 나머지 해쉬 값들인 Hn-1, Hn-2, …H2, H1들을 완전히 제거하는 단계; 및
    사용자가 일회용 비밀번호를 요청하는 순서에 따라 최초의 해쉬 값 H1으로부터 파생된 해쉬 값 Hn-c 를 유효한 일회용 비밀번호로 사용하는 단계로, 상기 c 값은 일회용 비밀번호를 제공하는 거래(transaction)의 순서가 c번째인 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  2. 청구항 1에 있어서,
    일회용 비밀번호를 생성하기 위한 생체자료 수집 장치는 스마트폰, 태블릿 및 PC 를 포함하는 호스트 장비(host device)에 연결된 생체인증 전용 센서, 카메라 및 스캐너 중 하나가 되고,
    또는 스마트폰 및 태블릿의 내부에 통합된 생체인증 전용 센서, 카메라 및 스캐너 중 하나 이상으로 구성됨을 특징으로 하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  3. 삭제
  4. 청구항 1에 있어서,
    상기 해쉬 값(Hn)을 일회용 비밀번호로 적용하는 단계는 상기 해쉬 값 H1 을 구하는 단계를 더 포함하고, 상기 해쉬 값 H1 을 구하는 단계는,
    상기 수집된 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계;
    상기 분할된 두 개 이상의 부분들을 생체자료 수집 장치의 고유키로 암호화한 후 블록체인을 구성하는 블록체인 상의 노드에 분할 저장하는 단계; 및
    보안 강화를 위하여 상기 수집된 등록 생체자료는 제거하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  5. 청구항 4에 있어서,
    상기 사용자가 일회용 비밀번호를 요청하는 순서에 따라 최초의 해쉬 값 H1으로부터 파생된 해쉬 값 Hn-c 를 유효한 일회용 비밀번호로 사용하는 단계는,
    상기 두 개 이상 분할 저장된 부분들을 모두 회수(retrieve)하는 단계;
    상기 암호화된 부분들을 복호화(decrypt)하는 단계; 및
    상기 두 개 이상 분할 저장된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  6. 청구항 4에 있어서,
    상기 사용자가 일회용 비밀번호를 요청하는 순서에 따라 최초의 해쉬 값 H1으로부터 파생된 해쉬 값 Hn-c 를 유효한 일회용 비밀번호로 사용하는 단계는,
    상기 두 개 이상 분할 저장된 부분들을 합하여 온전한 등록 생체자료로 복원(reconstruct)하는 단계;
    등록 생체자료를 수집하는데 사용한 것과 동일한 장치를 사용하여 사용자의 인증용 생체자료를 수집하는 단계;
    온전한 등록 생체자료와 인증용 생체자료를 비교하기 위하여 매칭(matching)시키는 단계;
    매칭 결과 동일인(genuine)으로 판명되면, 복원된 등록 생체자료와 장치의 고유 키로부터 첫 번째 해쉬 값 H1을 다시 생성하는 단계; 및
    해쉬 값 H1으로부터 해쉬 값 Hn-c을 다시 생성하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  7. 청구항 6에 있어서,
    해쉬 값 Hn -c을 검증하기 위하여 서버 또는 블록체인 상의 노드에 저장된 해쉬 값 Hn 및 H1 으로부터 파생된 Hn 이 구해지기까지 생성된 해쉬 값의 총 개수 n 값과 사용자의 요청에 의해 일회용 비밀번호가 제공된 횟수인 c 값을 서버 또는 블록체인 상의 적어도 하나의 노드에 저장 관리하며,
    Hn -c 에 대해 해쉬 함수를 c 번 적용하여 만들어진 해쉬 값이 Hn 과 동일하다면 해당 해쉬 값은 유효한 것으로 인정됨을 특징으로 하는 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  8. 청구항 1에 있어서,
    상기 해쉬 함수(hash(x))를 적용하여 상기 해쉬 값(Hn)을 구하는 단계 이전에, 상기 사용자의 계정을 신규 개설하는 단계를 더 포함하되,
    상기 사용자의 계정을 신규 개설하는 단계는,
    신규 등록 생체자료를 수집하는 단계, 상기 신규 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계; 및
    상기 두 개 이상의 부분들로 분할된 생체자료를 상기 생체자료 수집 장치의 고유 키로 암호화한 후 상기 블록체인 상의 노드에 저장하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  9. 청구항 1에 있어서,
    상기 해쉬 함수(hash(x))를 적용하여 상기 해쉬 값(Hn)을 구하는 단계 이전에, 상기 사용자의 계정을 신규 개설하는 단계를 더 포함하되,
    상기 사용자의 계정을 신규 개설하는 단계는,
    신규 등록 생체자료를 수집하는 단계, 상기 신규 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계; 및
    상기 두 개 이상의 부분들로 분할된 생체자료를 상기 생체자료 수집 장치의 고유 키로 암호화한 후 상기 생체자료 수집 장치의 내부에 저장하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
  10. 청구항 1에 있어서,
    상기 해쉬 함수(hash(x))를 적용하여 상기 해쉬 값(Hn)을 구하는 단계 이전에, 상기 사용자의 계정을 신규 개설하는 단계를 더 포함하되,
    상기 사용자의 계정을 신규 개설하는 단계는,
    신규 등록 생체자료를 수집하는 단계, 상기 신규 등록 생체자료를 두 개 이상의 부분들로 분할하는 단계; 및
    상기 두 개 이상의 부분들로 분할된 생체자료를 상기 생체자료 수집 장치의 고유 키로 암호화한 후 컴퓨터상에 파일로 저장하거나 종이 상에 바코드 형태로 인쇄하여 저장하는 단계를 포함하는, 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법.
KR1020180064773A 2018-06-05 2018-06-05 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법 KR102289379B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180064773A KR102289379B1 (ko) 2018-06-05 2018-06-05 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180064773A KR102289379B1 (ko) 2018-06-05 2018-06-05 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법

Publications (2)

Publication Number Publication Date
KR20190138396A KR20190138396A (ko) 2019-12-13
KR102289379B1 true KR102289379B1 (ko) 2021-08-18

Family

ID=68847421

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180064773A KR102289379B1 (ko) 2018-06-05 2018-06-05 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법

Country Status (1)

Country Link
KR (1) KR102289379B1 (ko)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101284481B1 (ko) * 2011-07-15 2013-07-16 아이리텍 잉크 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치
KR20180003113A (ko) * 2016-06-30 2018-01-09 주식회사 케이티 서버, 디바이스 및 이에 의한 사용자 인증 방법
KR20180009275A (ko) * 2016-07-18 2018-01-26 삼성전자주식회사 사용자 인증 방법 및 이를 지원하는 전자 장치

Also Published As

Publication number Publication date
KR20190138396A (ko) 2019-12-13

Similar Documents

Publication Publication Date Title
US11108546B2 (en) Biometric verification of a blockchain database transaction contributor
US11468151B2 (en) System and method for memetic authentication and identification
JP3230238U (ja) 電子データを安全に格納するシステム
TWI530150B (zh) Identity authentication device and method thereof
CN104270338B (zh) 一种电子身份注册及认证登录的方法及其系统
TWI578749B (zh) 用於遷移金鑰之方法及設備
US9935947B1 (en) Secure and reliable protection and matching of biometric templates across multiple devices using secret sharing
Cavoukian et al. Advances in biometric encryption: Taking privacy by design from academic research to deployment
US8619978B2 (en) Multiple account authentication
CN111242611A (zh) 一种用于恢复数字钱包密钥的方法及系统
Yang et al. Cloud password manager using privacy-preserved biometrics
CN113507380B (zh) 一种隐私保护远程统一生物认证方法及装置、电子设备
Suresh et al. Two-factor-based RSA key generation from fingerprint biometrics and password for secure communication
Goel et al. LEOBAT: Lightweight encryption and OTP based authentication technique for securing IoT networks
Velciu et al. Bio-cryptographic authentication in cloud storage sharing
CN110909336B (zh) 一种基于指纹u盘的密码管理方法及装置
WO2017091133A1 (en) Method and system for secure storage of information
JP6502083B2 (ja) 認証装置、情報端末装置、プログラム、並びに認証方法
JP2018137587A (ja) 認証鍵共有システムおよび認証鍵共有方法
KR102289379B1 (ko) 분산화된 생체자료를 이용한 일회용 비밀번호 생성방법
CN113468596B (zh) 一种用于电网数据外包计算的多元身份认证方法及系统
KR102255286B1 (ko) 분산 생체인증 시스템을 사용한 블록체인 상에서 신원 관리 방법
Nguyen et al. Combining fuzzy extractor in biometric-kerberos based authentication protocol
Nguyen et al. Protecting biometrics using fuzzy extractor and non-invertible transformation methods in kerberos authentication protocol
Maji et al. A novel biometric template encryption scheme using sudoku puzzle

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right