KR102644124B1 - User terminal performing non-real name two-factor authentication, authentication performing apparatus, and operating method thereof - Google Patents

User terminal performing non-real name two-factor authentication, authentication performing apparatus, and operating method thereof Download PDF

Info

Publication number
KR102644124B1
KR102644124B1 KR1020210114965A KR20210114965A KR102644124B1 KR 102644124 B1 KR102644124 B1 KR 102644124B1 KR 1020210114965 A KR1020210114965 A KR 1020210114965A KR 20210114965 A KR20210114965 A KR 20210114965A KR 102644124 B1 KR102644124 B1 KR 102644124B1
Authority
KR
South Korea
Prior art keywords
authentication
user terminal
human
key
user
Prior art date
Application number
KR1020210114965A
Other languages
Korean (ko)
Other versions
KR20220030184A (en
Inventor
김동현
신광조
이재성
Original Assignee
주식회사 아이씨티케이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이씨티케이 filed Critical 주식회사 아이씨티케이
Priority to PCT/KR2021/011684 priority Critical patent/WO2022050658A1/en
Priority to US18/024,289 priority patent/US20230318853A1/en
Priority to EP21864618.0A priority patent/EP4210273A1/en
Publication of KR20220030184A publication Critical patent/KR20220030184A/en
Application granted granted Critical
Publication of KR102644124B1 publication Critical patent/KR102644124B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

비실명 2-팩터 인증을 수행하는 사용자 단말 및 인증 수행 장치 및 그 동작 방법이 개시된다. 개시된 인증 수행 장치의 동작 방법은 사용자 단말로부터 제1 인본(inborn) ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하는 단계, 인증 시스템의 공개 키를 이용하여 인증서를 복호화함으로써, 인증서에 포함된 사용자 단말의 제2 인본 ID 및 공개 키를 획득하는 단계, 제1 인본 ID 및 제2 인본 ID가 서로 일치하는지 여부에 기초하여 사용자 단말의 사용자에 대한 1차 인증을 수행하는 단계 및 1차 인증이 완료되면, 공개 키로 개인 키 서명 정보를 검증함으로써, 사용자에 대한 2차 인증을 수행하는 단계를 포함한다.A user terminal and authentication performing device that perform non-real-name two-factor authentication, and a method of operating the same are disclosed. The operating method of the disclosed authentication device includes receiving a first inborn ID, private key signature information, and a certificate issued by an authentication system from a user terminal, decrypting the certificate using the public key of the authentication system, and Obtaining the included second human ID and public key of the user terminal, performing primary authentication for the user of the user terminal based on whether the first human ID and the second human ID match each other, and first When authentication is completed, performing secondary authentication for the user by verifying the private key signature information with the public key.

Figure R1020210114965
Figure R1020210114965

Description

비실명 2-팩터 인증을 수행하는 사용자 단말 및 인증 수행 장치 및 그 동작 방법{USER TERMINAL PERFORMING NON-REAL NAME TWO-FACTOR AUTHENTICATION, AUTHENTICATION PERFORMING APPARATUS, AND OPERATING METHOD THEREOF}User terminal and authentication device that perform non-real name 2-factor authentication and their operating method {USER TERMINAL PERFORMING NON-REAL NAME TWO-FACTOR AUTHENTICATION, AUTHENTICATION PERFORMING APPARATUS, AND OPERATING METHOD THEREOF}

아래의 설명은 비실명 2-팩터 인증을 수행하는 사용자 단말 및 인증 수행 장치 및 그 동작 방법에 관한 것으로, 보다 구체적으로는 사용자의 바이오 정보와 기기의 유니크 키(예: PUF(physically unclonable function))를 결합한 인본(inborn) ID 기반 비실명 이중 인증 기법에 관한 것이다.The explanation below relates to the user terminal and authentication device that performs non-realistic 2-factor authentication and its operation method. More specifically, the user's bio information and the device's unique key (e.g. PUF (physically unclonable function)) are used. This is about a combined inborn ID-based non-real name two-factor authentication technique.

정보화 사회가 고도화됨에 따라 개인 프라이버시 보호의 필요성도 높아지고 있고, 인증 수단의 안전성이 중요한 기술적 이슈로 제기되고 있다. 특히, 전자금융, 기기 또는 시스템으로의 접근에 있어서 사용자 인증, IoT(internet of things)나 M2M(machine to machine)에서의 인증 등에는 인증 수단의 신뢰성이 높은 수준으로 요구된다. 인증(authentication)에는 지식 기반(knowledge-based) 인증, 소유 기반(possession-based) 인증, 그리고 사용자의 생체 정보 그 자체를 이용한 인증 등이 있다. 한 가지 수단만으로 인증하느냐 복수의 수단들로 함께 인증하느냐에 따라 1-팩터 인증, 2-팩터 인증 및 멀티-팩터 인증으로 구분되기도 한다.As the information society becomes more sophisticated, the need to protect personal privacy is increasing, and the safety of authentication methods is being raised as an important technical issue. In particular, user authentication in electronic finance, access to devices or systems, and authentication in IoT (internet of things) or M2M (machine to machine) require a high level of reliability of authentication methods. Authentication includes knowledge-based authentication, possession-based authentication, and authentication using the user's biometric information itself. Depending on whether authentication is performed using only one method or multiple methods, it can be divided into 1-factor authentication, 2-factor authentication, and multi-factor authentication.

다중 인증(Multi-Factor Authentication)Multi-Factor Authentication

IT 인프라가 유선망으로 연결된 서버-클라이언트의 형태에서 모바일, RFID(radio frequency identification), NFC(near field communication) 등 다양한 형태의 무선망으로 연결된 웨어러블 장치에서 차량까지 다양한 형태의 디바이스들로 다양화되고 있다. 또한, 결제에서 M2M까지 활용 분야가 고도화되면서 기존의 패스워드 기반의 인증은 안전성이 떨어지거나 적용이 어렵게 되었다. 이에 따라, 더 안전하고 다양한 형태로 적용 가능한 인증 방법의 필요성이 부각되고 있다.IT infrastructure is diversifying from server-client devices connected through wired networks to various types of devices, from wearable devices to vehicles connected through various types of wireless networks such as mobile, RFID (radio frequency identification), and NFC (near field communication). . In addition, as application areas from payments to M2M have become more sophisticated, existing password-based authentication has become less secure or difficult to apply. Accordingly, the need for an authentication method that is safer and can be applied in various forms is emerging.

다중 인증은 크게 지식 기반, 소유 기반, 바이오 기반의의 인증 방법을 두 개 이상 결합하여 사용하는 인증 방법이다. 지식 기반 인증은 미리 공유된 기억 또는 약속된 비밀 정보를 확인하는 패스워드와 같이 전통적인 인증 방식이다. 소유 기반 인증은 보안 카드, OTP, 인증서 등 유무형의 인증 수단을 가지고 있는지 확인하는 인증 방식이다. 바이오 기반 인증은 사용자가 가지고 있는 고유의 신체 구조의 특징을 판별하여 인증하는 방식이다. 각각의 인증 방식은 안전성 및 활용성에서 고유의 장단점을 가지고 있는데, 이를 2종류 이상의 인증 방식을 동시에 사용하여 안전성을 높이는 방식일 수 있다. 패스워드와 OTP, 스마트키와 지문 등을 결합하여 사용하는 다중 인증 중의 여러 예 중 하나일 수 있다.Multi-factor authentication is an authentication method that uses a combination of two or more knowledge-based, ownership-based, and biometric authentication methods. Knowledge-based authentication is a traditional authentication method, such as a password that verifies pre-shared memories or promised secret information. Possession-based authentication is an authentication method that checks whether you have a tangible or intangible authentication method such as a security card, OTP, or certificate. Bio-based authentication is a method of authentication that determines the characteristics of the user's unique body structure. Each authentication method has its own strengths and weaknesses in terms of safety and usability, and this can be achieved by using two or more types of authentication methods simultaneously to increase safety. It may be one of several examples of multi-factor authentication that uses a combination of password, OTP, smart key, and fingerprint.

그러나, 인증 방식이 단일 인증에서 이중 인증 또는 다중 인증으로 변화하면서 보안을 위한 인증 절차가 증가하여 사용자의 불편이 야기되고 있다. 단계별 인증을 위한 처리 시간이 늘어나고, 인증 데이터 증가로 인한 저장 공간 확보로 추가 비용이 발생하고 있다.However, as authentication methods change from single authentication to dual authentication or multi-authentication, authentication procedures for security are increasing, causing user inconvenience. The processing time for step-by-step authentication is increasing, and additional costs are incurred to secure storage space due to the increase in authentication data.

익명 인증anonymous authentication

IT 인프라가 생활 전반으로 확대되면서 개인정보의 과다 수집 및 노출이 큰 이슈가 되고 있다. 과도한 개인 정보를 요구하여 개인의 프라이버시를 침해하고 있으며, 정보 관리의 부주의로 인해 개인 정보 유출사고가 빈번하게 발생하고 있다. 중요한 개인 정보를 제 3의 기관에 안전하게 보관한다 하더라도 실명을 사용하는 현 인터넷 체계에서는 한계가 있다. 개인 정보를 보호할 수 있는 방안으로 익명 인증 기술이 있다. As IT infrastructure expands into all aspects of life, excessive collection and exposure of personal information is becoming a major issue. Individual privacy is being violated by requesting excessive personal information, and personal information leakage accidents frequently occur due to carelessness in information management. Even if important personal information is safely stored in a third party, there are limitations in the current Internet system that uses real names. One way to protect personal information is anonymous authentication technology.

익명성을 보장하는 인증서에 기반을 두고 있다. 익명 지불 또는 추적 불가능성의 개념과 연관되어 있다. 대표적인 기법으로 은닉 서명(blind signature)와 집단 서명(group signature) 등이 있다. It is based on a certificate that guarantees anonymity. It is associated with the concept of anonymous payments or untraceability. Representative techniques include blind signature and group signature.

은닉 서명 프로토콜에서는 서명자(signer)는 자신이 서명하는 메시지에 대해서 모르고, 또한 그 서명을 받는 수령자가 그 메시지를 획득했는지도 모른다. 일반적으로 랜덤 블라인드 팩터(blinding factor)와 메시지를 다양한 방법으로 결합하여 블라인드 된 메시지를 얻는다. 블라인드 된 메시지는 서명자에게 전달 되고, 서명자는 일반적인 서명 알고리즘을 사용하여 서명하면 된다. 블라인드 팩터에 영향을 받게 되는 결과 메시지는 서명자의 공개키를 이용하여 차후에 확인될 수 있다. 메시지의 내용을 알 수 없기 때문에 온라인 투표 등에서 활용되고 있다.In a hidden signature protocol, the signer does not know about the message he or she is signing, nor does he know whether the recipient of the signature obtained the message. In general, blinded messages are obtained by combining random blinding factors and messages in various ways. The blinded message is delivered to the signer, and the signer can sign using a general signature algorithm. The resulting message affected by the blind factor can be later verified using the signer's public key. Because the content of the message is unknown, it is used in online voting, etc.

집단 서명은 그룹 멤버 중 한 사람이 익명으로 어떤 메시지에 서명하는 것을 허용하는 서명 방법이다. 예를 들어, 큰 회사의 직원이 집단 서명구조를 이용 하여 문서에 서명을 하였을 때, 그 서명의 유효성을 검증하는 검증자(verifier)는 해당 회사 직원 중 한 명이 서명했다는 사실만을 알 수 있고, 직원 중 누가 서명을 했는지는 정확히 알 수 없다. 또 다른 응용 예로, 제한된 지역에 접근할 수 있는 키 카드를 이용하는 응용의 경우, 이 지역에서 직원 개개인의 움직임을 추적할 수는 없지만, 그 그룹에 속한 직원들만이 그 지역에 접근할 수 있도록 할 수 있다. 집단 서명 구조에서 가장 중요한 요소는 그룹 매니저일 수 있다. 그룹 매니저는 그 그룹에 새로운 멤버를 추가할 수 있고, 논쟁이 발생한 경우 서명한 사람을 공개할 수 있는 권한을 갖는다.Group signing is a signing method that allows one member of a group to anonymously sign a message. For example, when an employee of a large company signs a document using a group signature structure, the verifier that verifies the validity of the signature can only know that it was signed by one of the company's employees, and that the employee It is unclear exactly who signed it. Another application example is an application that uses key cards to access a restricted area. You cannot track the movements of individual employees in that area, but you can ensure that only employees belonging to that group have access to that area. there is. The most important element in a group signature structure may be the group manager. Group managers can add new members to the group and have the power to reveal signatories in case of disputes.

서명의 내용을 알 수 없거나, 누가 서명했는지 알 수 없으므로 누구를 위한 인증서인지 알 수 없으므로 익명성이 보장될 수 있다. 다만, 일반적인 서명에 비해 제3자가 필요하거나 서명의 길이가 매우 길어, 실제 사용하는데 번거롭고 처리 시간과 저장 데이터 공간이 추가로 필요로 하는 등의 비용 증가로 인해 실용성이 떨어질 수 있다.Since the contents of the signature cannot be known or who signed it, it is impossible to know for whom the certificate is intended, so anonymity can be guaranteed. However, compared to a typical signature, a third party is required or the length of the signature is very long, making it cumbersome to actually use and increasing costs such as additional processing time and storage data space, which may reduce its practicality.

일 실시예에 따른 인증 수행 장치의 동작 방법은 사용자 단말로부터 제1 인본(inborn) ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하는 단계, 상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써, 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID 및 공개 키를 획득하는 단계, 상기 제1 인본 ID 및 상기 제2 인본 ID가 서로 일치하는지 여부에 기초하여 상기 사용자 단말의 사용자에 대한 1차 인증을 수행하는 단계 및 상기 1차 인증이 완료되면, 상기 공개 키로 상기 개인 키 서명 정보를 검증함으로써, 상기 사용자에 대한 2차 인증을 수행하는 단계를 포함한다.A method of operating an authentication device according to an embodiment includes receiving a first inborn ID, private key signature information, and a certificate issued by an authentication system from a user terminal, and using the public key of the authentication system to obtain the certificate. Obtaining a second human ID and a public key of the user terminal included in the certificate by decrypting the certificate, and providing the user of the user terminal based on whether the first human ID and the second human ID match each other It includes performing primary authentication for the user and, when the primary authentication is completed, performing secondary authentication for the user by verifying the private key signature information with the public key.

상기 제1 인본 ID는 상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부, 상기 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 상기 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성될 수 있다.The first human ID is generated using at least one of at least a portion of the user's bio information obtained from the user terminal, at least a portion of a unique key corresponding to the user terminal, and at least a portion of random number information stored in the user terminal. It may be generated based on the first part of the authentication key.

상기 인증 키는 상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는 경우에 응답하여, 상기 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 상기 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성될 수 있다.The authentication key is provided in response to a case where the user's bio information obtained from the user terminal matches pre-stored bio information, at least a part of a unique key corresponding to the user terminal and at least a part of random number information stored in the user terminal. It can be created using at least one of:

상기 사용자 단말의 개인 키 및 공개 키는 상기 인증 키의 제2 부분에 기초하여 생성될 수 있다.The private key and public key of the user terminal may be generated based on the second part of the authentication key.

상기 인증 키의 상기 제1 부분과 상기 제2 부분은 상호 독립적으로 결정될 수 있다.The first part and the second part of the authentication key may be determined independently of each other.

상기 인증서는 셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키를 상기 인증 시스템의 개인 키로 서명함으로써 생성될 수 있다.The certificate may be generated by signing the second human ID and the public key transmitted from the user terminal to the authentication system during the setup process with the private key of the authentication system.

셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키는 상기 사용자의 개인 정보와 함께 상기 인증 시스템에 등록될 수 있다.The second personal ID and the public key transmitted from the user terminal to the authentication system during the setup process may be registered in the authentication system along with the user's personal information.

일 실시예에 따른 인증 수행 장치의 동작 방법은 상기 2차 인증이 완료되면, 상기 사용자 단말로부터 수신된 요청에 따른 동작을 수행하는 단계를 더 포함할 수 있다.A method of operating an authentication device according to an embodiment may further include performing an operation according to a request received from the user terminal when the secondary authentication is completed.

일실시예에 따른 사용자 단말의 동작 방법은 인증 수행 장치에 대한 사용자의 요청에 응답하여 제1 인본 ID를 생성하는 단계, 상기 제1 인본 ID, 상기 사용자 단말의 개인 키 서명 정보 및 인증 시스템에서 발급된 인증서를 상기 인증 수행 장치로 전송하는 단계 및 상기 인증 수행 장치에서 수행된 상기 제1 인본 ID, 상기 개인 키 서명 정보 및 인증서 중 적어도 하나에 기반한 1차 인증 및 2차 인증의 결과를 수신하는 단계를 포함하고, 상기 제1 인본 ID는 상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부, 상기 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 상기 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성된다.A method of operating a user terminal according to an embodiment includes generating a first human ID in response to a user's request for an authentication device, the first human ID, private key signature information of the user terminal, and issued by an authentication system. transmitting a certificate to the authentication device and receiving results of primary authentication and secondary authentication based on at least one of the first human ID, the private key signature information, and the certificate performed by the authentication device. Includes, wherein the first human ID is at least one of at least a portion of the user's bio information acquired from the user terminal, at least a portion of a unique key corresponding to the user terminal, and at least a portion of random number information stored in the user terminal. It is generated based on the first part of the authentication key generated using.

상기 인증 키는 상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는 경우에 응답하여, 상기 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 상기 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성될 수 있다.The authentication key is provided in response to a case where the user's bio information obtained from the user terminal matches pre-stored bio information, at least a part of a unique key corresponding to the user terminal and at least a part of random number information stored in the user terminal. It can be created using at least one of:

상기 사용자 단말의 개인 키 및 공개 키는 상기 인증 키의 제2 부분에 기초하여 생성될 수 있다.The private key and public key of the user terminal may be generated based on the second part of the authentication key.

상기 인증 키의 상기 제1 부분과 상기 제2 부분은 상호 독립적으로 결정될 수 있다.The first part and the second part of the authentication key may be determined independently of each other.

상기 인증서는 셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키를 상기 인증 시스템의 개인 키로 서명함으로써 생성될 수 있다.The certificate may be generated by signing the second human ID and the public key transmitted from the user terminal to the authentication system during the setup process with the private key of the authentication system.

셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키는 상기 사용자의 개인 정보와 함께 상기 인증 시스템에 등록될 수 있다.The second personal ID and the public key transmitted from the user terminal to the authentication system during the setup process may be registered in the authentication system along with the user's personal information.

상기 1차 인증 및 상기 2차 인증의 결과를 수신하는 단계는 상기 1차 인증 및 상기 2차 인증이 완료되는 것에 응답하여 상기 요청에 따라 수행된 동작의 결과를 수신할 수 있다.The step of receiving a result of the primary authentication and the secondary authentication may include receiving a result of an operation performed according to the request in response to completion of the primary authentication and the secondary authentication.

일실시예에 따른 인증 수행 장치는 프로세서 및 상기 프로세서에 의해 실행 가능한 적어도 하나의 명령어를 포함하는 메모리를 포함하고, 상기 적어도 하나의 명령어가 상기 프로세서에서 실행되면, 상기 프로세서는 사용자 단말로부터 제1 인본(inborn) ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하고, 상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써, 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID 및 공개 키를 획득하고, 상기 제1 인본 ID 및 상기 제2 인본 ID가 서로 일치하는지 여부에 기초하여 상기 사용자 단말의 사용자에 대한 1차 인증을 수행하며, 상기 1차 인증이 완료되면, 상기 공개 키로 상기 개인 키 서명 정보를 검증함으로써, 상기 사용자에 대한 2차 인증을 수행한다.The authentication performing device according to one embodiment includes a processor and a memory including at least one instruction executable by the processor, and when the at least one instruction is executed by the processor, the processor receives a first authentication certificate from the user terminal. By receiving an (inborn) ID, private key signature information, and a certificate issued by an authentication system, and decrypting the certificate using the public key of the authentication system, the second human ID and disclosure of the user terminal included in the certificate are disclosed. Obtain a key, perform primary authentication on the user of the user terminal based on whether the first human ID and the second human ID match each other, and when the primary authentication is completed, the public key is used to authenticate the user of the user terminal. By verifying the private key signature information, secondary authentication is performed for the user.

일실시예에 따른 사용자 단말은 프로세서 및 상기 프로세서에 의해 실행 가능한 적어도 하나의 명령어를 포함하는 메모리를 포함하고, 상기 적어도 하나의 명령어가 상기 프로세서에서 실행되면, 상기 프로세서는 인증 수행 장치에 대한 사용자의 요청에 응답하여 제1 인본 ID를 생성하고, 상기 제1 인본 ID, 상기 사용자 단말의 개인 키 서명 정보 및 인증 시스템에서 발급된 인증서를 상기 인증 수행 장치로 전송하며, 상기 인증 수행 장치에서 수행된 상기 제1 인본 ID, 상기 개인 키 서명 정보 및 인증서 중 적어도 하나에 기반한 1차 인증 및 2차 인증의 결과를 수신하고, 상기 제1 인본 ID는 상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부, 상기 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 상기 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성된다.The user terminal according to one embodiment includes a processor and a memory including at least one instruction executable by the processor, and when the at least one instruction is executed by the processor, the processor In response to the request, a first human ID is generated, and the first human ID, the private key signature information of the user terminal, and a certificate issued by the authentication system are transmitted to the authentication device, and the authentication performed by the authentication device is performed. Receive results of primary authentication and secondary authentication based on at least one of a first human ID, the private key signature information, and a certificate, and the first human ID is at least part of the user's bio information obtained from the user terminal. , It is generated based on a first part of an authentication key generated using at least one of at least a part of a unique key corresponding to the user terminal and at least a part of random number information stored in the user terminal.

본 발명의 일실시예에 따르면, 장치 고유의 PUF와 바이오 정보를 결합한 inborn ID를 활용하여 다중 인증의 절차를 간소화하고, 익명성을 보장할 수 있다.According to an embodiment of the present invention, the multi-authentication process can be simplified and anonymity can be guaranteed by using an inborn ID that combines the device's unique PUF and bio information.

본 발명의 일실시예에 따르면, 바이오 정보(바이오 정보 기반 인증)와 PUF(소유 정보 기반 인증)가 결합한 고유 정보를 인증키로 사용하여 인증을 진행함으로써, 다중 인증 절차를 간소화할 수 있다.According to one embodiment of the present invention, the multiple authentication process can be simplified by performing authentication using unique information combining bio information (bio information-based authentication) and PUF (proprietary information-based authentication) as an authentication key.

본 발명의 일실시예에 따르면, 셋업 단계에서 바이오 정보와 PUF가 결합한 고유 정보를 인본 ID로 활용하고, 별도의 인증 시스템이 아이디에 대응하는 개인 정보를 매칭하고, 인본 ID를 보증하는 인증서를 발행하며, 인증 단계에서는 인증 대상을 인본 ID로 함으로써, 개인 프라이버시 침해가 없는 익명성 보장이 달성될 수 있다.According to one embodiment of the present invention, in the setup stage, unique information combined with bio information and PUF is used as a human ID, a separate authentication system matches personal information corresponding to the ID, and a certificate guaranteeing the human ID is issued. In the authentication stage, by using the authentication target as a human ID, anonymity can be guaranteed without infringing on personal privacy.

본 발명의 일실시예에 따르면, 바이오 인증이 기존 시스템으로 있는 경우, 디바이스에서 인본 ID를 매칭으로 생성하여 양방향 인증과 개인 정보 보호를 위해 활용할 수 있다.According to one embodiment of the present invention, when biometric authentication is an existing system, a human ID can be generated by matching on the device and used for two-way authentication and personal information protection.

도 1 및 도 2는 일 실시예에 따른 사용자 단말에서 인본 ID 및 키를 생성하는 동작을 설명하기 위한 도면이다.
도 3 및 도 4는 일 실시예에 따른 인증 시스템에서 등록 동작과 인증서 발급 동작을 설명하기 위한 도면이다.
도 5는 일 실시예에 따른 인증 동작을 설명하기 위한 도면이다.
도 6은 일 실시예에 따른 셋업 과정을 설명하기 위한 흐름도이다.
도 7은 일 실시예에 따른 인증 과정을 설명하기 위한 흐름도이다.
도 8은 일 실시예에 따른 전자 장치를 설명하기 위한 블록도이다.1 and 2 are diagrams for explaining an operation of generating a personal ID and key in a user terminal according to an embodiment.
3 and 4 are diagrams for explaining a registration operation and a certificate issuance operation in an authentication system according to an embodiment.
Figure 5 is a diagram for explaining an authentication operation according to an embodiment.
Figure 6 is a flowchart for explaining the setup process according to one embodiment.
Figure 7 is a flowchart explaining the authentication process according to one embodiment.
Figure 8 is a block diagram for explaining an electronic device according to an embodiment.

이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.Hereinafter, embodiments will be described in detail with reference to the attached drawings. However, various changes may be made to the embodiments, so the scope of the patent application is not limited or limited by these embodiments. It should be understood that all changes, equivalents, or substitutes for the embodiments are included in the scope of rights.

실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the examples are for descriptive purposes only and should not be construed as limiting. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, terms such as “comprise” or “have” are intended to designate the presence of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification, but are not intended to indicate the presence of one or more other features. It should be understood that this does not exclude in advance the possibility of the existence or addition of elements, numbers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as generally understood by a person of ordinary skill in the technical field to which the embodiments belong. Terms defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and unless explicitly defined in the present application, should not be interpreted in an ideal or excessively formal sense. No.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, when describing with reference to the accompanying drawings, identical components will be assigned the same reference numerals regardless of the reference numerals, and overlapping descriptions thereof will be omitted. In describing the embodiments, if it is determined that detailed descriptions of related known technologies may unnecessarily obscure the gist of the embodiments, the detailed descriptions are omitted.

또한, 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다. Additionally, in describing the components of the embodiment, terms such as first, second, A, B, (a), and (b) may be used. These terms are only used to distinguish the component from other components, and the nature, sequence, or order of the component is not limited by the term. When a component is described as being "connected," "coupled," or "connected" to another component, that component may be directly connected or connected to that other component, but there is no need for another component between each component. It should be understood that may be “connected,” “combined,” or “connected.”

어느 하나의 실시 예에 포함된 구성요소와, 공통적인 기능을 포함하는 구성요소는, 다른 실시 예에서 동일한 명칭을 사용하여 설명하기로 한다. 반대되는 기재가 없는 이상, 어느 하나의 실시 예에 기재한 설명은 다른 실시 예에도 적용될 수 있으며, 중복되는 범위에서 구체적인 설명은 생략하기로 한다.Components included in one embodiment and components including common functions will be described using the same names in other embodiments. Unless stated to the contrary, the description given in one embodiment may be applied to other embodiments, and detailed description will be omitted to the extent of overlap.

도 1 및 도 2는 일 실시예에 따른 사용자 단말에서 인본 ID 및 키를 생성하는 동작을 설명하기 위한 도면이다.1 and 2 are diagrams for explaining an operation of generating a personal ID and key in a user terminal according to an embodiment.

도 1을 참조하면, 사용자 단말(100)은 사용자의 바이오 정보와 사용자 단말(100) 내 유니크 키에 기초하여, 인본 ID와 키를 생성할 수 있다. 바이오 정보는 사용자로부터 입력될 수 있으며, 유니크 키는 사용자 단말(100)에 내재된 값일 수 있다.Referring to FIG. 1, the user terminal 100 may generate a personal ID and key based on the user's bio information and a unique key within the user terminal 100. Bio information may be input by the user, and the unique key may be a value inherent in the user terminal 100.

사용자 단말(100)은 사용자에 의해 제어되는 장치로서, 예를 들어, 휴대폰, 스마트 폰, 태블릿, 랩탑, 퍼스널 컴퓨터, 또는 전자북 장치와 같은 다양한 컴퓨팅 장치, 스마트 시계, 스마트 안경, HMD(Head-Mounted Display), 또는 스마트 의류와 같은 다양한 웨어러블 기기, 스마트 스피커, 스마트 TV, 또는 스마트 냉장고와 같은 다양한 가전장치, 스마트 자동차, 스마트 키오스크, IoT(Internet of Things) 기기, WAD(Walking Assist Device), 드론, 또는 로봇을 포함할 수 있다. 사용자 단말(100)은 아래에서 설명할 인증 수행 장치에 의해 인증 대상이 되는 장치일 수 있다.The user terminal 100 is a device controlled by a user, for example, various computing devices such as a mobile phone, smart phone, tablet, laptop, personal computer, or e-book device, a smart watch, smart glasses, or a head-mounted display (HMD). Mounted Display), or various wearable devices such as smart clothing, various home appliances such as smart speakers, smart TVs, or smart refrigerators, smart cars, smart kiosks, IoT (Internet of Things) devices, WAD (Walking Assist Device), and drones. , or may include robots. The user terminal 100 may be a device subject to authentication by an authentication performing device, which will be described below.

바이오 정보는 사용자의 생체 데이터로서, 예를 들어, 사용자의 지문, 홍채, 음성, 얼굴, 정맥분포, 망막 중 적어도 하나에 대한 정보를 포함할 수 있다. 다만, 바이오 정보가 전술한 예들로 한정되지 않으며, 이외에도 다양한 사용자의 생체 데이터를 포함할 수 있다.Bio information is the user's biometric data and may include, for example, information about at least one of the user's fingerprint, iris, voice, face, vein distribution, and retina. However, bio-information is not limited to the above-described examples and may also include biometric data of various users.

유니크 키는 동일한 제조공정에서 발생하는 반도체의 미세구조 차이를 이용해 무작위적으로 결정되는 전기적 특성에 기반한 물리적으로 복제가 불가능한 PUF(physically unclonable function) 값으로서, 일종의 지문과 같은 해당 디바이스의 고유 정보를 담고 있으며, 시불변한 성질을 가질 수 있다. PUF는 예측 불가능한(unpredictable) 디지털 값을 제공할 수 있다. 개개의 PUF들이 정확하고 동일한 제조 공정에서 제조되더라도, 공정 편차에 의해 개개의 PUF들이 제공하는 디지털 값들은 서로 다르다. 따라서, PUF는 POWF(Physical One-Way Function practically impossible to be duplicated)로도 지칭될 수도 있다. 이러한 PUF는 보안 및/또는 기기 인증을 위한 인증키 생성에 이용될 수 있다. 이를테면, 디바이스를 다른 디바이스와 구별하기 위한 유니크 키(unique key to distinguish devices from one another)를 제공하기 위해 PUF가 이용될 수 있다. PUF 및 이를 구현하는 방법에 대해서는 한국 등록특허 10-1139630호가 기재하고 있으며, 그 전문이 본원에 참조로 포함된다(incorporated by reference).A unique key is a physically unclonable function (PUF) value based on electrical characteristics that are randomly determined using differences in the microstructure of semiconductors that occur in the same manufacturing process. It contains unique information about the device, like a fingerprint. and may have time-invariant properties. PUF can provide unpredictable digital values. Even if individual PUFs are manufactured in the exact same manufacturing process, the digital values provided by the individual PUFs are different due to process variations. Therefore, PUF may also be referred to as POWF (Physical One-Way Function practically impossible to be duplicated). These PUFs can be used to generate authentication keys for security and/or device authentication. For example, a PUF can be used to provide a unique key to distinguish devices from one another. PUF and a method of implementing it are described in Korean Patent No. 10-1139630, the entire content of which is incorporated herein by reference.

도 2를 참조하여 인본 ID 및 키 생성에 대해 설명하면, 바이오 정보(210)의 적어도 일부와 유니크 키(220)의 적어도 일부를 포함한 시드 키(seed key)(230)가 결정될 수 있다. 시드 키(230)는 인증 수행을 위한 인증 키(240)를 생성하는 데 기반이 되는 키로서, 미리 정해진 비트 수를 가질 수 있으며, 설명의 편의를 위해 본 명세서에서는 A개의 비트 수를 가지는 것으로 한다. 이러한 시드 키(230)는 바이오 정보(210)의 적어도 일부와 유니크 키(220)의 적어도 일부를 포함하도록 생성될 수 있다.When describing human ID and key generation with reference to FIG. 2, a seed key 230 including at least part of the bio information 210 and at least part of the unique key 220 may be determined. The seed key 230 is a key that is the basis for generating the authentication key 240 for authentication, and may have a predetermined number of bits. For convenience of explanation, in this specification, it is assumed to have A number of bits. . This seed key 230 may be generated to include at least part of the bio information 210 and at least part of the unique key 220.

바이오 정보(210)는 처음부터 디지털 값이 아니고, 아날로그 도메인에서 사용자의 생체 특성(biological characteristics)을 감지한 바이오 센서에서 디지털 값으로 출력되는 것이기에 항시성(time-invariance) 측면에서 약점이 있다는 것이 잘 알려져 있다. 이를테면, 음성 기반의 바이오 인증의 경우는 사용자의 목 상태, 주변 노이즈 등 여러 요인에 의해 인식할 때마다 바이오 정보(210) 중 일부가 동일하더라도, 매번 다르게 결정되는 부분이 존재할 수 있다. 또한, 지문의 경우도 손가락을 센서에 접촉시키는 위치/방향, 접촉 정도, 센서 표면 상태, 손가락의 젖은 정도, 온도, 습도 등 다양한 요인으로 바이오 정보(210)의 일부분은 매번 다르게 결정될 수 있고, 얼굴이나 홍채 등의 경우에서도 조도나 기타 왜곡 요인에 의해 매번 다르게 출력되는 바이오 정보(210)의 일부가 존재할 수 있다. 이로 인해 바이오 정보(210)가 오인식되는 경우가 발생할 수 있다. 따라서, 바이오 정보(210) 중에서 항시성이 일정 수준 이상 보장되는 적어도 일부분이 선별되어 활용될 수 있다. 선별 동작은 센서에서 사용자의 생체 특성을 샘플링하는 레벨의 차이로 이해될 수도 있고, 사용자의 바이오 정보(210)를 감지한 후의 후처리로 이해될 수도 있다. The bio information 210 is not a digital value from the beginning, but is output as a digital value from a bio sensor that detects the user's biological characteristics in the analog domain, so it is well known that it has a weakness in terms of time-invariance. It is known. For example, in the case of voice-based biometric authentication, even if some of the bio information 210 is the same each time it is recognized due to various factors such as the user's neck condition and surrounding noise, there may be parts that are determined differently each time. In addition, in the case of a fingerprint, part of the bio information 210 may be determined differently each time due to various factors such as the position/direction of touching the finger to the sensor, degree of contact, sensor surface condition, degree of wetness of the finger, temperature, and humidity. In the case of or iris, there may be a portion of the bio information 210 that is output differently each time due to illumination or other distortion factors. As a result, the bio information 210 may be misrecognized. Accordingly, at least a portion of the bio information 210 whose constancy is guaranteed to a certain level can be selected and utilized. The selection operation may be understood as a difference in the level at which the sensor samples the user's biometric characteristics, or as post-processing after detecting the user's biometric information 210.

바이오 정보(210)에서 항시성이 보장되는 정도, 바이오 정보(210)에서 항시성이 보장되는 적어도 일부는 바이오 정보(210)의 유형, 사용자의 특성 및 바이오 정보(210)가 감지되는 환경, 바이오 정보(210)를 감지하는 센서의 특성 중 적어도 하나에 기초하여 결정될 수 있다. 바이오 정보(210)의 유형은 지문, 홍채, 음성, 얼굴, 정맥분포, 망막 등을 포함하며, 해당 유형의 특성에 따라 항시성이 보장되는 정도(예컨대, 비트 수, 비트 길이 등)가 상이할 수 있다. 사용자의 특성은 사용자의 인종, 나이, 신체 특성 등을 포함하는 것으로, 예를 들어, 다한증을 가진 사용자의 지문은 건조한 손을 가진 사용자의 지문보다 항시성이 보장되는 정도가 작을 수 있다. 또한, 바이오 정보(210)가 감지되는 환경은, 예를 들어 조도, 온도, 습도, 주변 노이즈 등의 다양한 환경 파라미터들을 제한없이 포함할 수 있다. 또한, 바이오 정보(210)를 감지하는 센서의 특성은 센싱 해상도, 센싱 감도, 센싱 방식 등을 포함할 수 있다. 예를 들어, 광학식 지문센서와 초음파식 지문센서의 경우에 항시성이 보장되는 정도가 서로 상이할 수 있다.The extent to which constancy is guaranteed in the bio information 210, at least part of which is guaranteed in the bio information 210 is the type of bio information 210, the user's characteristics, the environment in which the bio information 210 is detected, the bio It may be determined based on at least one of the characteristics of the sensor that detects the information 210. Types of bio information 210 include fingerprint, iris, voice, face, vein distribution, retina, etc., and the degree to which constancy is guaranteed (e.g., number of bits, bit length, etc.) may vary depending on the characteristics of the type. You can. The user's characteristics include the user's race, age, physical characteristics, etc. For example, the fingerprints of a user with hyperhidrosis may have less constancy than the fingerprints of a user with dry hands. Additionally, the environment in which the bio information 210 is sensed may include various environmental parameters, such as illumination, temperature, humidity, and ambient noise, without limitation. Additionally, the characteristics of the sensor that detects bio information 210 may include sensing resolution, sensing sensitivity, sensing method, etc. For example, the degree to which constancy is guaranteed may be different for optical fingerprint sensors and ultrasonic fingerprint sensors.

도 2의 예시에서는, 항시성이 보장되는 바이오 정보(210)의 적어도 일부가 B개 비트수를 가지는 것으로 한다. 여기서, B는 A보다 작은 자연수일 수 있다. 달리 표현하면, A개 비트수의 시드 키(230)를 항시성이 보장되는 바이오 정보(210)의 적어도 일부만으로 생성하기 어려우며, 부족한 비트수 A-B개는 유니크 키(220)로부터 추출될 수 있다. 유니크 키(220)는 제조공정 상의 공정 편차에 기반하여 무작위적으로 결정되는 전기적 특성에 기반한 PUF 값으로서, 시불변한 성질을 가진다. In the example of FIG. 2, at least part of the bio information 210 for which constancy is guaranteed has B number of bits. Here, B may be a natural number smaller than A. In other words, it is difficult to generate a seed key 230 with A number of bits using at least part of the bio information 210 whose constancy is guaranteed, and the insufficient number of bits A-B can be extracted from the unique key 220. The unique key 220 is a PUF value based on electrical characteristics that are randomly determined based on process deviations in the manufacturing process and has time-invariant properties.

시드 키(230)는 먼저 항시성이 보장되는 바이오 정보(210)의 적어도 일부로 구성되고, 나머지는 유니크 키(220)의 적어도 하나로 구성될 수 있다. 이처럼 시드 키(230)가 바이오 정보(210)뿐만 아니라 유니크 키(220)를 모두 기반하여 생성됨으로써, 바이오 정보(210)에 기반한 사용자 인증 및 유니크 키(220)에 기반한 기기 인증의 단일 처리로 인한 보안성, 편의성 향상은 물론이고, 바이오 정보(210) 자체가 갖는 항시성에 대한 이슈도 보완 가능하다. 바람직하게는, 시드 키(230)의 절반은 바이오 정보(210)의 적어도 일부로 구성되고, 나머지 절반은 유니크 키(220)의 적어도 일부로 구성됨으로써, 사용자 인증 및 기기 인증 중 어느 하나의 인증을 소홀히 처리함 없이 동등하게 수행되게 할 수 있으나, 시드 키(230)를 구성하는 바이오 정보(210)의 적어도 일부와 유니크 키(220)의 적어도 일부가 전술한 예에 한정되지 않는다.The seed key 230 may be composed of at least part of the bio information 210 whose constancy is guaranteed, and the remainder may be composed of at least one of the unique keys 220. In this way, the seed key 230 is generated based on both the bio information 210 and the unique key 220, resulting in a single process of user authentication based on the bio information 210 and device authentication based on the unique key 220. In addition to improving security and convenience, it is also possible to supplement issues regarding the constancy of the bio information 210 itself. Preferably, half of the seed key 230 consists of at least part of the bio information 210, and the other half consists of at least part of the unique key 220, so that either user authentication or device authentication is neglected. However, at least part of the bio information 210 constituting the seed key 230 and at least part of the unique key 220 are not limited to the above-described examples.

일 실시예에서, 시드 키(230)는 사용자 단말에 저장된 난수 정보의 적어도 일부를 더 이용하여 결정될 수도 있다. 난수 정보는 RNG(random number generator)에 의해 생성되어 NVM(non-volatile memory) 등 메모리에 저장된 값일 수 있다. 정리하면, 시드 키(230)는 사용자 단말에서 획득한 사용자의 바이오 정보(210) 중 적어도 일부, 사용자 단말에 대응하는 유니크 키(220)의 적어도 일부 및 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성될 수 있다.In one embodiment, the seed key 230 may be determined further using at least a portion of random number information stored in the user terminal. Random number information may be a value generated by a random number generator (RNG) and stored in a memory such as a non-volatile memory (NVM). In summary, the seed key 230 includes at least a portion of the user's bio information 210 obtained from the user terminal, at least a portion of the unique key 220 corresponding to the user terminal, and at least a portion of random number information stored in the user terminal. It can be created using one.

인증 키(240)는 시드 키(230)에 기반하여 결정되는데, 실시예에 따라서는 시드 키(230)를 그대로 인증 키(240)로 활용하거나, 또는 암호화 알고리즘을 통해 시드 키(230)로부터 인증 키(240)가 생성될 수 있다.The authentication key 240 is determined based on the seed key 230. Depending on the embodiment, the seed key 230 is used as the authentication key 240, or authentication is performed from the seed key 230 through an encryption algorithm. Key 240 may be generated.

다른 일 실시예에 따르면, 사용자 단말에서 획득된 바이오 정보(210)가 시드 키(230) 결정에 이용되지 않을 수 있다. 사용자 단말은 획득한 바이오 정보(210)가 미리 저장된 바이오 정보에 매칭되는지 여부를 판단하고, 만약 매칭된다면 유니크 키(220)의 적어도 일부 및 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 시드 키(230)를 생성하고, 시드 키(230)에 기반하여 인증 키(240)를 생성할 수 있다.According to another embodiment, the bio information 210 obtained from the user terminal may not be used to determine the seed key 230. The user terminal determines whether the acquired bio information 210 matches the pre-stored bio information, and if matched, uses at least one of at least part of the unique key 220 and at least part of the random number information to obtain the seed key 230. ), and the authentication key 240 can be generated based on the seed key 230.

사용자 단말은 인증 키(240)의 제1 부분(250)에 기초하여 인본 ID(270)를 생성할 수 있다. 예를 들어, 사용자 단말은 인증 키(240)의 제1 부분(250)을 그대로 인본 ID(270)로 활용할 수 있다. 사용자 단말은 인증 키(240)의 제2 부분(260)에 공개 키 알고리즘을 적용하여 개인 키(280)와 공개 키(290)를 생성할 수 있다. The user terminal may generate the personal ID 270 based on the first part 250 of the authentication key 240. For example, the user terminal may use the first part 250 of the authentication key 240 as the personal ID 270. The user terminal may generate a private key 280 and a public key 290 by applying a public key algorithm to the second part 260 of the authentication key 240.

인본 ID(270)로 요구되는 길이만큼이 인증 키(240)에서 제1 부분(250)으로 추출될 수 있다. 개인 키(280) 및 공개 키(290)를 생성하기 위해 필요한 길이만큼이 인증 키(240)에서 제2 부분(260)으로 추출될 수 있다. 제1 부분(250)과 제2 부분(260)은 서로 겹치지 않는 부분일 수 있으며, 실시예에 따라서는 인증 키(240)에서 제1, 2 부분들(250, 260) 어디에도 속하지 않는 부분이 존재할 수도 있다. 또한, 다른 실시예에 따라서는 제1 부분(250)과 제2 부분(260)이 적어도 일부 겹칠 수도 있다.The length required for the personal ID 270 can be extracted from the authentication key 240 as the first part 250. The length required to generate the private key 280 and the public key 290 may be extracted from the authentication key 240 as the second portion 260. The first part 250 and the second part 260 may be parts that do not overlap each other, and depending on the embodiment, there may be a part of the authentication key 240 that does not belong to any of the first and second parts 250 and 260. It may be possible. Additionally, according to another embodiment, the first part 250 and the second part 260 may overlap at least partially.

도 3 및 도 4는 일 실시예에 따른 인증 시스템에서 등록 동작과 인증서 발급 동작을 설명하기 위한 도면이다.3 and 4 are diagrams for explaining a registration operation and a certificate issuance operation in an authentication system according to an embodiment.

도 3을 참조하면, 인증 시스템(300)의 등록 동작을 설명하기 위한 예시가 도시된다. 셋업 절차에서 사용자 단말에서 전송된 인본 ID와 사용자 단말의 공개 키가 인증 시스템(300)에 등록될 수 있다. 인증 시스템(300)은 수신된 인본 ID와 사용자 단말의 공개 키를 사용자의 개인 정보에 매칭시켜 등록할 수 있다. 사용자의 개인 정보는 이름, 나이, 주소, 인증 시스템(300)에 가입된 아이디 정보 등 해당 사용자에 대한 다양한 퍼스널 정보를 하나 이상 포함할 수 있다.Referring to FIG. 3, an example is shown to explain the registration operation of the authentication system 300. In the setup procedure, the personal ID transmitted from the user terminal and the public key of the user terminal may be registered in the authentication system 300. The authentication system 300 can register the received human ID and the public key of the user terminal by matching the user's personal information. The user's personal information may include one or more various personal information about the user, such as name, age, address, and ID information registered in the authentication system 300.

도 4를 참조하면, 인증 시스템(400)의 인증서 발급 동작을 설명하기 위한 예시가 도시된다. 인증 시스템(400)의 인증서 발급 동작을 설명하기 위한 예시가 도시된다. 셋업 절차에서 인증 시스템(400)은 사용자의 서명 검증용 인증서(410)를 발급할 수 있다. 인증서(410)는 인증 시스템(400)의 개인 키로 사용자의 인본 ID와 공개 키를 암호화함으로써 생성될 수 있다. 발급된 인증서(410)는 해당 사용자의 사용자 단말로 전달될 수 있다.Referring to FIG. 4, an example is shown to explain the certificate issuance operation of the authentication system 400. An example is shown to explain the certificate issuance operation of the authentication system 400. In the setup procedure, the authentication system 400 may issue a certificate 410 for verifying the user's signature. The certificate 410 may be generated by encrypting the user's personal ID and public key with the private key of the authentication system 400. The issued certificate 410 may be delivered to the user terminal of the corresponding user.

도 5는 일 실시예에 따른 인증 동작을 설명하기 위한 도면이다.Figure 5 is a diagram for explaining an authentication operation according to an embodiment.

도 5를 참조하면, 셋업 절차 이후 실제 사용자 인증을 수행하는 과정이 도시된다.Referring to Figure 5, the process of performing actual user authentication after the setup procedure is shown.

사용자 단말(510)은 사용자로부터 획득한 바이오 정보의 적어도 일부와 유니크 키의 적어도 일부를 이용하여 시드 키를 결정하고, 시드 키에 기반하여 인증 키를 생성할 수 있다. 사용자 단말(510)은 인증 키의 제1 부분에 기초하여 인본 ID를 생성하고, 인증 키의 제2 부분에 기초하여 공개 키 및 개인 키를 생성할 수 있다. 다른 실시예에서, 사용자 단말(510)은 바이오 정보의 적어도 일부, 유니크 키의 적어도 일부 및 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 시드 키를 결정하고, 시드 키에 기반하여 인증 키를 생성할 수도 있다.The user terminal 510 may determine a seed key using at least part of the bio information obtained from the user and at least part of the unique key, and generate an authentication key based on the seed key. The user terminal 510 may generate a personal ID based on the first part of the authentication key and generate a public key and a private key based on the second part of the authentication key. In another embodiment, the user terminal 510 determines a seed key using at least one of at least a portion of bio information, at least a portion of a unique key, and at least a portion of stored random number information, and generates an authentication key based on the seed key. You may.

사용자 단말(510)은 개인 키를 이용하여 개인 키 서명 정보를 생성할 수 있다. 예를 들어, 개인 키 서명 정보는 개인 키로 서명한 문서일 수 있다.The user terminal 510 may generate private key signature information using the private key. For example, private key signature information may be a document signed with the private key.

사용자 단말(510)은 인본 ID, 개인 키 서명 정보 및 인증 시스템(530)으로부터 발급된 인증서를 인증 수행 장치(520)로 전송할 수 있다.The user terminal 510 may transmit the personal ID, private key signature information, and certificate issued by the authentication system 530 to the authentication device 520.

인증 수행 장치(520)는 인증 시스템(530)으로부터 수신한 인증 시스템(530)의 공개 키를 이용하여, 사용자 단말(510)로부터 수신한 인증서를 복호화함으로써, 인증 시스템(530)에 등록되어 인증서에 포함된 사용자 단말(510)의 인본 ID와 공개 키를 획득할 수 있다. 본 명세서에서는 설명의 편의를 위해 인증 동작 시 사용자 단말(510)에서 생성된 인본 ID를 제1 인본 ID로 지칭하고, 인증 시스템(530)에 등록되어 인증서에 포함된 인본 ID를 제2 인본 ID로 지칭한다.The authentication device 520 decrypts the certificate received from the user terminal 510 using the public key of the authentication system 530 received from the authentication system 530, so that it is registered in the authentication system 530 and attached to the certificate. The personal ID and public key of the included user terminal 510 can be obtained. In this specification, for convenience of explanation, the human ID generated in the user terminal 510 during the authentication operation is referred to as the first human ID, and the human ID registered in the authentication system 530 and included in the certificate is referred to as the second human ID. refers to

인증 수행 장치(520)는 사용자 단말(510)로부터 수신한 제1 인본 ID와 인증서로부터 획득한 제2 인본 ID가 서로 일치하는지 여부에 기초하여 사용자에 대한 1차 인증을 수행할 수 있다. 제1 인본 ID와 제2 인본 ID가 서로 일치하지 않는다면, 인증 수행 장치(520)는 1차 인증 실패 메시지를 사용자 단말(510)로 전달할 수 있다. 반대로 제1 인본 ID와 제2 인본 ID가 서로 일치한다면, 인증 수행 장치(520)는 이어서 2차 인증을 수행할 수 있다.The authentication device 520 may perform primary authentication for the user based on whether the first ID received from the user terminal 510 and the second ID obtained from the certificate match each other. If the first authentication ID and the second authentication ID do not match each other, the authentication device 520 may transmit a primary authentication failure message to the user terminal 510. Conversely, if the first ID and the second ID match each other, the authentication device 520 can subsequently perform secondary authentication.

인증 수행 장치(520)는 인증서 복호화를 통해 획득한 공개 키로 사용자 단말(510)로부터 수신한 개인 키 서명 정보를 검증함으로써 사용자에 대한 2차 인증을 수행할 수 있다. 해당 공개 키로 개인 키 서명 정보가 정상적으로 복호화되지 않는다면, 인증 수행 장치(520)는 2차 인증 실패 메시지를 사용자 단말(510)로 전달할 수 있다. 반대로 해당 공개 키로 개인 키 서명 정보가 정상적으로 복호화된다면, 인증 수행 장치(520)는 2차 인증을 정상적으로 완료할 수 있다.The authentication device 520 can perform secondary authentication for the user by verifying the private key signature information received from the user terminal 510 with the public key obtained through certificate decryption. If the private key signature information is not properly decrypted with the corresponding public key, the authentication device 520 may transmit a secondary authentication failure message to the user terminal 510. Conversely, if the private key signature information is normally decrypted with the corresponding public key, the authentication device 520 can successfully complete the secondary authentication.

이러한 2단계 인증 절차가 통과되면, 비실명 인본 ID를 이용해 바이오 및 소유(예: PUF) 기반 2-팩터(factor) 인증이 완료될 수 있다. 다시 말해, 바이오 기반 인증 정보와 소유 기반 인증 정보가 결합된 고유 정보를 이용하여 인증 절차가 완료되었으므로, 2 팩터 인증이 동시에 수행된 것이며, 이때 매칭되는 개인 정보는 비실명 인본 ID이므로 비실명 인증을 만족할 수 있다.Once this two-step authentication process is passed, two-factor authentication based on bio and ownership (e.g. PUF) can be completed using a non-real-name human ID. In other words, since the authentication process was completed using unique information that combines bio-based authentication information and ownership-based authentication information, two-factor authentication was performed simultaneously. At this time, the matching personal information is a non-real-name human ID, so non-real-name authentication can be satisfied. there is.

일 실시예에서 바이오 정보를 이용한 사용자 인증, 기기 정보를 이용한 기기 인증의 2-팩터 인증을 수행하더라도 편의성 높은 응용서비스가 가능하다. 예를 들어, 차량에서의 음성 인식을 통한 결제, IoT 기기를 통한 전자 결제, 스마트폰을 이용한 금융거래 등 인증이 필요한 다양한 분야에서 항시성이 보장되는 안전하고 편리한 인증이 가능하다.In one embodiment, a highly convenient application service is possible even when two-factor authentication of user authentication using bio information and device authentication using device information is performed. For example, safe and convenient authentication with guaranteed constancy is possible in various fields that require authentication, such as payments through voice recognition in vehicles, electronic payments through IoT devices, and financial transactions using smartphones.

이를 테면, 도 3에서 인증 수행 장치(520)는 차량으로 구현되어, 정당한 사용자가 소지한 사용자 단말(510)(예: 스마트 폰)과의 통신을 통해 앞서 설명한 인증 절차가 완료되면, 차량의 문을 열어주는 동작이 수행될 수 있다. 또는, 인증 수행 장치(520)가 결제 서버로 구현되어, 정당한 사용자가 소지한 사용자 단말(510)(예: 스마트 폰)과의 통신을 통해 앞서 설명한 인증 절차가 완료되면, 해당 사용자 단말(510)에서 요청한 결제가 결제 서버에서 승인될 수 있다. 이때, 인증 시스템(530)은 CA(certification authority)에 해당하고, 예를 들어, 공인인증기관 서버 등을 포함할 수 있다. 이외에도 다양한 어플리케이션에 앞서 설명한 인증 절차가 제한 없이 적용되어 비실명 2-팩터 인증이 안전하고 편리하게 수행될 수 있다.For example, in FIG. 3, the authentication device 520 is implemented as a vehicle, and when the authentication procedure described above is completed through communication with a user terminal 510 (e.g., a smart phone) possessed by a legitimate user, the door of the vehicle is opened. The operation of opening can be performed. Alternatively, when the authentication performance device 520 is implemented as a payment server and the authentication process described above is completed through communication with a user terminal 510 (e.g., a smart phone) owned by a legitimate user, the corresponding user terminal 510 The payment requested may be approved by the payment server. At this time, the authentication system 530 corresponds to a CA (certification authority) and may include, for example, a public certification authority server. In addition, the previously described authentication process can be applied without limitation to various applications, so non-real-name two-factor authentication can be performed safely and conveniently.

도 6은 일 실시예에 따른 셋업 과정을 설명하기 위한 흐름도이다.Figure 6 is a flowchart for explaining the setup process according to one embodiment.

단계(610)에서, 사용자 단말은 사용자의 바이오 정보를 입력 받을 수 있다. 바이오 정보는 예를 들어, 사용자의 지문, 홍채, 음성, 얼굴, 정맥분포, 망막 중 적어도 하나에 대한 정보를 포함할 수 있다. 다만, 바이오 정보가 전술한 예들로 한정되지 않으며, 이외에도 다양한 사용자의 생체 데이터를 포함할 수 있다.In step 610, the user terminal may receive input of the user's bio information. Bio information may include, for example, information about at least one of the user's fingerprint, iris, voice, face, vein distribution, and retina. However, bio-information is not limited to the above-described examples and may also include biometric data of various users.

단계(620)에서, 사용자 단말은 바이오 정보의 적어도 일부, 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성된 인증 키를 이용하여 인본 ID, 개인 키 및 공개 키를 생성할 수 있다. 예를 들어, 사용자 단말은 인증 키의 제1 부분을 이용하여 인본 ID를 생성하고, 인증 키의 제2 부분을 이용하여 개인 키 및 공개 키를 생성할 수 있다. 다른 예시에서, 사용자 단말은 획득한 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는지 여부를 판단하고, 매칭하는 경우에 응답하여 유니크 키의 적어도 일부와 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 인증 키를 생성할 수도 있다.In step 620, the user terminal uses an authentication key generated using at least one of at least a portion of bio information, at least a portion of a unique key corresponding to the user terminal, and at least a portion of random number information stored in the user terminal to provide a human ID. , you can generate private keys and public keys. For example, the user terminal may generate a personal ID using the first part of the authentication key, and generate a private key and a public key using the second part of the authentication key. In another example, the user terminal determines whether the acquired user's bio information matches pre-stored bio information, and in response to matching, authenticates using at least one of at least part of the unique key and at least part of random number information. You can also generate a key.

단계(630)에서, 사용자 단말은 인본 ID와 공개 키를 인증 시스템으로 전송할 수 있다.In step 630, the user terminal may transmit the personal ID and public key to the authentication system.

단계(640)에서, 인증 시스템은 사용자 단말로부터 수신된 인본 ID와 공개 키를 사용자의 개인 정보에 매칭시켜 등록할 수 있다. 또한, 인증 시스템은 인본 ID와 공개 키를 인증 시스템의 개인 키로 서명함으로써 인증서를 발급할 수 있다.In step 640, the authentication system can register the personal ID and public key received from the user terminal by matching them with the user's personal information. Additionally, the authentication system can issue a certificate by signing the human ID and public key with the authentication system's private key.

단계(650)에서, 인증 시스템은 발급된 인증서를 사용자 단말로 전송할 수 있다.In step 650, the authentication system may transmit the issued certificate to the user terminal.

도 6에 도시된 각 단계들에는 도 1 내지 도 5를 통하여 전술한 사항들이 그대로 적용되므로, 보다 상세한 설명은 생략한다.Since the details described above with reference to FIGS. 1 to 5 are applied to each step shown in FIG. 6, a more detailed description will be omitted.

도 7은 일 실시예에 따른 인증 과정을 설명하기 위한 흐름도이다.Figure 7 is a flowchart explaining the authentication process according to one embodiment.

단계(701)에서, 사용자 단말은 인증 수행 장치에 대한 사용자의 요청을 수신할 수 있다. 예를 들어, 요청은 결제 수행, 문 개폐, 전자 장치의 잠금 해제, 보안 접속 등을 포함할 수 있다. 사용자 단말은 사용자의 요청과 함께 사용자의 바이오 정보를 입력 받을 수 있다.In step 701, the user terminal may receive a user's request for an authentication performing device. For example, requests may include performing a payment, opening or closing a door, unlocking an electronic device, securing a secure connection, etc. The user terminal can receive the user's bio information along with the user's request.

단계(702)에서, 사용자 단말은 바이오 정보의 적어도 일부, 사용자 단말에 대응하는 유니크 키의 적어도 일부 및 사용자 단말에 저장된 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 생성된 인증 키를 이용하여 제1 인본 ID, 개인 키 및 공개 키를 생성할 수 있다. 다른 예시에서, 사용자 단말은 획득한 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는지 여부를 판단하고, 매칭하는 경우에 응답하여 유니크 키의 적어도 일부와 난수 정보의 적어도 일부 중 적어도 하나를 이용하여 인증 키를 생성할 수도 있다.In step 702, the user terminal uses an authentication key generated using at least one of at least a portion of bio information, at least a portion of a unique key corresponding to the user terminal, and at least a portion of random number information stored in the user terminal to create a first authentication key. You can generate a human ID, private key, and public key. In another example, the user terminal determines whether the acquired user's bio information matches pre-stored bio information, and when matching, authenticates using at least one of at least part of the unique key and at least part of random number information. You can also generate a key.

단계(703)에서, 사용자 단말은 제1 인본 ID, 개인 키 서명 정보 및 인증서를 인증 수행 장치로 전송할 수 있다. 예를 들어, 개인 키 서명 정보는 개인 키로 서명한 문서를 포함할 수 있다. 인증서는 셋업 과정에서 인증 시스템에서 발급된 것일 수 있다.In step 703, the user terminal may transmit the first human ID, private key signature information, and certificate to the authentication performing device. For example, private key signature information may include documents signed with the private key. The certificate may have been issued by an authentication system during the setup process.

단계(704)에서, 인증 수행 장치는 사용자 단말로부터 수신된 인증서를 인증 시스템의 공개 키로 복호화함으로써, 인증서에 포함된 사용자 단말의 제2 인본 ID와 공개 키를 획득할 수 있다. 인증 수행 장치는 인증 시스템의 공개 키를 인증 시스템으로부터 수신할 수 있다.In step 704, the authentication device may obtain the second personal ID and public key of the user terminal included in the certificate by decrypting the certificate received from the user terminal with the public key of the authentication system. The authentication performing device may receive the public key of the authentication system from the authentication system.

단계(705)에서, 인증 수행 장치는 사용자 단말로부터 수신된 제1 인본 ID와 인증서에 포함된 제2 인본 ID가 서로 일치하는 여부에 기초하여 사용자에 대한 1차 인증을 수행할 수 있다. In step 705, the authentication device may perform primary authentication for the user based on whether the first ID received from the user terminal and the second ID included in the certificate match each other.

제1 인본 ID와 제2 인본 ID가 서로 일치하지 않아 1차 인증이 실패하면, 단계(706)에서 인증 수행 장치는 1차 인증이 실패되었다는 메시지를 사용자 단말로 전달할 수 있다.If the first authentication fails because the first authentication ID and the second authentication ID do not match each other, the authentication performing device may transmit a message that primary authentication has failed to the user terminal in step 706.

제1 인본 ID와 제2 인본 ID가 서로 일치하여 1차 인증이 완료되면, 단계(707)에서 인증 수행 장치는 인증서에 포함된 공개 키로 사용자 단말로부터 수신한 개인 키 서명 정보를 검증함으로써 사용자에 대한 2차 인증을 수행할 수 있다. 공개 키로 개인 키 서명 정보가 정상적으로 복호화되는지 여부로 개인 키 서명 정보가 검증될 수 있다.When the first human ID and the second human ID match each other and the primary authentication is completed, in step 707, the authentication performing device verifies the private key signature information received from the user terminal with the public key included in the certificate to verify the user's identity. Secondary authentication can be performed. Private key signature information can be verified by determining whether the private key signature information is normally decrypted with the public key.

공개 키로 개인 키 서명 정보가 검증되지 않아 2차 인증이 실패하면, 단계(708)에서 인증 수행 장치는 2차 인증이 실패되었다는 메시지를 사용자 단말로 전달할 수 있다.If secondary authentication fails because the private key signature information is not verified with the public key, in step 708, the authentication device may transmit a message that secondary authentication has failed to the user terminal.

공개 키로 개인 키 서명 정보가 검증되어 2차 인증이 완료되면, 단계(709)에서 인증 수행 장치는 사용자의 요청에 따른 동작을 수행할 수 있다. 예를 들어, 인증 수행 장치는 요청된 결제를 승인하거나, 문을 열거나, 보안 영역에 대한 액세스를 승인할 수 있다. 다만, 사용자의 요청에 따른 동작이 전술한 예들로 한정되는 것은 아니다.When the private key signature information is verified with the public key and secondary authentication is completed, in step 709, the authentication device can perform an operation according to the user's request. For example, an authentication performing device may authorize a requested payment, open a door, or authorize access to a secure area. However, operations according to user requests are not limited to the examples described above.

단계(710)에서, 인증 수행 장치는 사용자의 요청에 따른 동작을 수행한 결과를 사용자 단말로 전달할 수 있다.In step 710, the authentication device may transmit the result of performing the operation requested by the user to the user terminal.

도 7에 도시된 각 단계들에는 도 1 내지 도 6을 통하여 전술한 사항들이 그대로 적용되므로, 보다 상세한 설명은 생략한다.Since the details described above with reference to FIGS. 1 to 6 are applied to each step shown in FIG. 7, a more detailed description will be omitted.

도 8은 일 실시예에 따른 전자 장치를 설명하기 위한 블록도이다.Figure 8 is a block diagram for explaining an electronic device according to an embodiment.

도 8을 참조하면, 전자 장치(800)는 메모리(810) 및 프로세서(820)를 포함한다. 메모리(810) 및 프로세서(820)는 버스(bus), PCIe(peripheral component interconnect express), NoC(network on a chip) 등을 통하여 서로 통신할 수 있다. 전자 장치(800)는 앞서 설명한 사용자 단말, 인증 수행 장치 또는 인증 시스템으로 구현될 수 있다.Referring to FIG. 8 , the electronic device 800 includes a memory 810 and a processor 820. The memory 810 and the processor 820 may communicate with each other through a bus, peripheral component interconnect express (PCIe), network on a chip (NoC), etc. The electronic device 800 may be implemented as the user terminal, authentication device, or authentication system described above.

메모리(810)는 컴퓨터에서 읽을 수 있는 명령어를 포함할 수 있다. 프로세서(820)는 메모리(810)에 저장된 명령어가 프로세서(820)에서 실행됨에 따라 앞서 언급된 동작들을 수행할 수 있다. 메모리(810)는 휘발성 메모리 또는 비휘발성 메모리일 수 있다.Memory 810 may include instructions that can be read by a computer. The processor 820 may perform the above-mentioned operations as instructions stored in the memory 810 are executed in the processor 820. Memory 810 may be volatile memory or non-volatile memory.

프로세서(820)는 명령어들, 혹은 프로그램들을 실행하거나, 영상 복원 장치(800)를 제어하는 장치로서, 예를 들어, CPU(Central Processing Unit) 및/또는 GPU(Graphic Processing Unit)을 포함할 수 있다. 일 실시예에서, 프로세서(820)는 사용자 단말로부터 제1 인본 ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하고, 인증 시스템의 공개 키를 이용하여 인증서를 복호화함으로써, 인증서에 포함된 사용자 단말의 제2 인본 ID 및 공개 키를 획득하고, 제1 인본 ID 및 제2 인본 ID가 서로 일치하는지 여부에 기초하여 사용자 단말의 사용자에 대한 1차 인증을 수행하며, 1차 인증이 완료되면, 공개 키로 개인 키 서명 정보를 검증함으로써, 사용자에 대한 2차 인증을 수행한다. 다른 일 실시예에서, 프로세서(820)는 인증 수행 장치에 대한 사용자의 요청에 응답하여 제1 인본 ID를 생성하고, 제1 인본 ID, 사용자 단말의 개인 키 서명 정보 및 인증 시스템에서 발급된 인증서를 인증 수행 장치로 전송하며, 인증 수행 장치에서 수행된 제1 인본 ID, 개인 키 서명 정보 및 인증서 중 적어도 하나에 기반한 1차 인증 및 2차 인증의 결과를 수신한다.The processor 820 is a device that executes instructions or programs or controls the image restoration device 800 and may include, for example, a Central Processing Unit (CPU) and/or a Graphic Processing Unit (GPU). . In one embodiment, the processor 820 receives the first human ID, private key signature information, and a certificate issued by the authentication system from the user terminal, and decrypts the certificate using the public key of the authentication system, thereby decrypting the certificate included in the certificate. Obtain the second human ID and public key of the user terminal, perform primary authentication for the user of the user terminal based on whether the first human ID and the second human ID match each other, and when primary authentication is completed , performs secondary authentication for the user by verifying the private key signature information with the public key. In another embodiment, the processor 820 generates a first human ID in response to a user's request for an authentication performing device, and uses the first human ID, private key signature information of the user terminal, and a certificate issued by the authentication system. Transmits to the authentication device, and receives the results of primary authentication and secondary authentication based on at least one of the first human ID, private key signature information, and certificate performed by the authentication device.

그 밖에, 전자 장치(800)에 관해서는 상술된 동작을 처리할 수 있다.In addition, the electronic device 800 can process the operations described above.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and configured for the embodiment or may be known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may include a computer program, code, instructions, or a combination of one or more of these, which may configure a processing unit to operate as desired, or may be processed independently or collectively. You can command the device. Software and/or data may be used on any type of machine, component, physical device, virtual equipment, computer storage medium or device to be interpreted by or to provide instructions or data to a processing device. , or may be permanently or temporarily embodied in a transmitted signal wave. Software may be distributed over networked computer systems and thus stored or executed in a distributed manner. Software and data may be stored on one or more computer-readable recording media.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with limited drawings as described above, those skilled in the art can apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or components of the described system, structure, device, circuit, etc. are combined or combined in a different form than the described method, or other components are used. Alternatively, appropriate results may be achieved even if substituted or substituted by an equivalent.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents of the claims also fall within the scope of the following claims.

Claims (17)

인증 수행 장치의 동작 방법에 있어서,
사용자 단말로부터 제1 인본(inborn) ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하는 단계;
상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써, 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID 및 공개 키를 획득하는 단계;
상기 제1 인본 ID 및 상기 제2 인본 ID가 서로 일치하는지 여부에 기초하여 상기 사용자 단말의 사용자에 대한 1차 인증을 수행하는 단계; 및
상기 1차 인증이 완료되면, 상기 사용자 단말의 공개 키로 상기 개인 키 서명 정보를 검증함으로써, 상기 사용자에 대한 2차 인증을 수행하는 단계
를 포함하는
인증 수행 장치의 동작 방법.
In the method of operating the authentication device,
Receiving a first inborn ID, private key signature information, and a certificate issued by an authentication system from the user terminal;
Obtaining a second personal ID and public key of the user terminal included in the certificate by decrypting the certificate using the public key of the authentication system;
performing primary authentication for a user of the user terminal based on whether the first human ID and the second human ID match each other; and
When the primary authentication is completed, performing secondary authentication for the user by verifying the private key signature information with the public key of the user terminal.
containing
How the authentication performing device operates.
 제1항에 있어서,
상기 제1 인본 ID는
상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부;
상기 사용자 단말에 대응하는 유니크 키의 적어도 일부; 및
상기 사용자 단말에 저장된 난수 정보의 적어도 일부
중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성되는,
인증 수행 장치의 동작 방법.
According to paragraph 1,
The first human ID is
At least part of the user's bio information obtained from the user terminal;
At least part of a unique key corresponding to the user terminal; and
At least part of the random number information stored in the user terminal
generated based on a first portion of an authentication key generated using at least one of
How the authentication performing device operates.
 제2항에 있어서,
상기 인증 키는
상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는 경우에 응답하여,
상기 사용자 단말에 대응하는 유니크 키의 적어도 일부; 및
상기 사용자 단말에 저장된 난수 정보의 적어도 일부
중 적어도 하나를 이용하여 생성되는,
인증 수행 장치의 동작 방법.
According to paragraph 2,
The authentication key is
In response to a case where the user's bio information obtained from the user terminal matches pre-stored bio information,
At least part of a unique key corresponding to the user terminal; and
At least part of the random number information stored in the user terminal
Generated using at least one of the
How the authentication performing device operates.
 제2항에 있어서,
상기 사용자 단말의 개인 키 및 공개 키는
상기 인증 키의 제2 부분에 기초하여 생성되는,
인증 수행 장치의 동작 방법.
According to paragraph 2,
The private key and public key of the user terminal are
generated based on the second part of the authentication key,
How the authentication performing device operates.
 제4항에 있어서,
상기 인증 키의 상기 제1 부분과 상기 제2 부분은 상호 독립적으로 결정되는,
인증 수행 장치의 동작 방법.
According to paragraph 4,
The first part and the second part of the authentication key are determined independently of each other,
How the authentication performing device operates.
 제1항에 있어서,
상기 인증서는
셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키를 상기 인증 시스템의 개인 키로 서명함으로써 생성되는,
인증 수행 장치의 동작 방법.
According to paragraph 1,
The above certificate is
Generated by signing the second human ID and the public key transmitted from the user terminal to the authentication system during the setup process with the private key of the authentication system,
How the authentication performing device operates.
 제1항에 있어서,
셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키는 상기 사용자의 개인 정보와 함께 상기 인증 시스템에 등록되는,
인증 수행 장치의 동작 방법.
According to paragraph 1,
The second human ID and the public key transmitted from the user terminal to the authentication system during the setup process are registered in the authentication system along with the user's personal information,
How the authentication performing device operates.
 제1항에 있어서,
상기 2차 인증이 완료되면, 상기 사용자 단말로부터 수신된 요청에 따른 동작을 수행하는 단계
를 더 포함하는
인증 수행 장치의 동작 방법.
According to paragraph 1,
When the secondary authentication is completed, performing an operation according to a request received from the user terminal.
containing more
How the authentication performing device operates.
 사용자 단말의 동작 방법에 있어서,
인증 수행 장치에 대한 사용자의 요청에 응답하여 제1 인본 ID를 생성하는 단계;
상기 제1 인본 ID, 상기 사용자 단말의 개인 키 서명 정보 및 인증 시스템에서 발급된 인증서를 상기 인증 수행 장치로 전송하는 단계; 및
상기 인증 수행 장치에서 수행된 상기 제1 인본 ID, 상기 개인 키 서명 정보 및 인증서 중 적어도 하나에 기반한 1차 인증 및 2차 인증의 결과를 수신하는 단계;를 포함하고,
상기 1차 인증은 상기 제1 인본 ID 및 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID가 서로 일치하는지 여부에 기초하여 수행되고,
상기 2차 인증은 상기 1차 인증이 완료되면, 공개 키로 상기 개인 키 서명 정보를 검증함으로써 수행되고,
상기 제1 인본 ID는
상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부;
상기 사용자 단말에 대응하는 유니크 키의 적어도 일부; 및
상기 사용자 단말에 저장된 난수 정보의 적어도 일부
중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성되는,
사용자 단말의 동작 방법.
In the method of operating a user terminal,
generating a first human ID in response to a user's request for an authentication performing device;
transmitting the first human ID, private key signature information of the user terminal, and a certificate issued by the authentication system to the authentication device; and
Receiving the results of primary authentication and secondary authentication based on at least one of the first human ID, the private key signature information, and the certificate performed by the authentication performance device,
The primary authentication is performed based on whether the first human ID and the second human ID of the user terminal included in the certificate match each other,
The secondary authentication is performed by verifying the private key signature information with a public key when the primary authentication is completed,
The first human ID is
At least part of the user's bio information obtained from the user terminal;
At least part of a unique key corresponding to the user terminal; and
At least part of the random number information stored in the user terminal
generated based on a first portion of an authentication key generated using at least one of
How the user terminal operates.
 제9항에 있어서,
상기 인증 키는
상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보가 미리 저장된 바이오 정보에 매칭하는 경우에 응답하여,
상기 사용자 단말에 대응하는 유니크 키의 적어도 일부; 및
상기 사용자 단말에 저장된 난수 정보의 적어도 일부
중 적어도 하나를 이용하여 생성되는,
사용자 단말의 동작 방법.
According to clause 9,
The authentication key is
In response to a case where the user's bio information obtained from the user terminal matches pre-stored bio information,
At least part of a unique key corresponding to the user terminal; and
At least part of the random number information stored in the user terminal
Generated using at least one of the
How the user terminal operates.
 제9항에 있어서,
상기 사용자 단말의 개인 키 및 공개 키는
상기 인증 키의 제2 부분에 기초하여 생성되는,
사용자 단말의 동작 방법.
According to clause 9,
The private key and public key of the user terminal are
generated based on the second part of the authentication key,
How the user terminal operates.
 제11항에 있어서,
상기 인증 키의 상기 제1 부분과 상기 제2 부분은 상호 독립적으로 결정되는,
사용자 단말의 동작 방법.
According to clause 11,
The first part and the second part of the authentication key are determined independently of each other,
How the user terminal operates.
 제9항에 있어서,
상기 인증서는
셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키를 상기 인증 시스템의 개인 키로 서명함으로써 생성되고,
상기 제2 인본 ID 및 상기 공개키가 상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써 획득된,
사용자 단말의 동작 방법.
According to clause 9,
The above certificate is
Generated by signing the second human ID and the public key transmitted from the user terminal to the authentication system during the setup process with the private key of the authentication system,
The second human ID and the public key are obtained by decrypting the certificate using the public key of the authentication system,
How the user terminal operates.
 제9항에 있어서,
셋업 과정에서 상기 사용자 단말에서 상기 인증 시스템으로 전달된 상기 제2 인본 ID 및 상기 공개 키는 상기 사용자의 개인 정보와 함께 상기 인증 시스템에 등록되고,
상기 제2 인본 ID 및 상기 공개 키가 상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써 획득된,
사용자 단말의 동작 방법.
According to clause 9,
The second human ID and the public key transmitted from the user terminal to the authentication system during the setup process are registered in the authentication system along with the user's personal information,
The second human ID and the public key are obtained by decrypting the certificate using the public key of the authentication system,
How the user terminal operates.
 제9항에 있어서,
상기 1차 인증 및 상기 2차 인증의 결과를 수신하는 단계는
상기 1차 인증 및 상기 2차 인증이 완료되는 것에 응답하여 상기 요청에 따라 수행된 동작의 결과를 수신하는,
사용자 단말의 동작 방법.
According to clause 9,
The step of receiving the results of the first authentication and the second authentication is
Receiving a result of an operation performed according to the request in response to the primary authentication and the secondary authentication being completed,
How the user terminal operates.
 인증 수행 장치에 있어서,
프로세서; 및
상기 프로세서에 의해 실행 가능한 적어도 하나의 명령어를 포함하는 메모리
를 포함하고,
상기 적어도 하나의 명령어가 상기 프로세서에서 실행되면, 상기 프로세서는
사용자 단말로부터 제1 인본(inborn) ID, 개인 키 서명 정보, 인증 시스템에서 발급된 인증서를 수신하고,
상기 인증 시스템의 공개 키를 이용하여 상기 인증서를 복호화함으로써, 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID 및 공개 키를 획득하고,
상기 제1 인본 ID 및 상기 제2 인본 ID가 서로 일치하는지 여부에 기초하여 상기 사용자 단말의 사용자에 대한 1차 인증을 수행하며,
상기 1차 인증이 완료되면, 상기 사용자 단말의 공개 키로 상기 개인 키 서명 정보를 검증함으로써, 상기 사용자에 대한 2차 인증을 수행하는
인증 수행 장치.
In the authentication device,
processor; and
Memory containing at least one instruction executable by the processor
Including,
When the at least one instruction is executed on the processor, the processor
Receive the first inborn ID, private key signature information, and certificate issued by the authentication system from the user terminal,
Obtaining a second personal ID and public key of the user terminal included in the certificate by decrypting the certificate using the public key of the authentication system,
Perform primary authentication for the user of the user terminal based on whether the first human ID and the second human ID match each other,
When the primary authentication is completed, performing secondary authentication for the user by verifying the private key signature information with the public key of the user terminal.
Authentication performing device.
 사용자 단말에 있어서,
프로세서; 및
상기 프로세서에 의해 실행 가능한 적어도 하나의 명령어를 포함하는 메모리
를 포함하고,
상기 적어도 하나의 명령어가 상기 프로세서에서 실행되면, 상기 프로세서는
인증 수행 장치에 대한 사용자의 요청에 응답하여 제1 인본 ID를 생성하고,
상기 제1 인본 ID, 상기 사용자 단말의 개인 키 서명 정보 및 인증 시스템에서 발급된 인증서를 상기 인증 수행 장치로 전송하며,
상기 인증 수행 장치에서 수행된 상기 제1 인본 ID, 상기 개인 키 서명 정보 및 인증서 중 적어도 하나에 기반한 1차 인증 및 2차 인증의 결과를 수신하고,
상기 1차 인증은 상기 제1 인본 ID 및 상기 인증서에 포함된 상기 사용자 단말의 제2 인본 ID가 서로 일치하는지 여부에 기초하여 수행되고,
상기 2차 인증은 상기 1차 인증이 완료되면, 공개 키로 상기 개인 키 서명 정보를 검증함으로써 수행되고,
상기 제1 인본 ID는
상기 사용자 단말에서 획득한 상기 사용자의 바이오 정보 중 적어도 일부;
상기 사용자 단말에 대응하는 유니크 키의 적어도 일부; 및
상기 사용자 단말에 저장된 난수 정보의 적어도 일부
중 적어도 하나를 이용하여 생성된 인증 키의 제1 부분에 기초하여 생성되는,
사용자 단말.In the user terminal,
processor; and
Memory containing at least one instruction executable by the processor
Including,
When the at least one instruction is executed on the processor, the processor
generate a first human ID in response to the user's request to the authentication performing device;
Transmitting the first human ID, private key signature information of the user terminal, and a certificate issued by the authentication system to the authentication device,
Receiving the results of primary authentication and secondary authentication based on at least one of the first human ID, the private key signature information, and the certificate performed by the authentication performance device,
The primary authentication is performed based on whether the first human ID and the second human ID of the user terminal included in the certificate match each other,
The secondary authentication is performed by verifying the private key signature information with a public key when the primary authentication is completed,
The first human ID is
At least part of the user's bio information obtained from the user terminal;
At least part of a unique key corresponding to the user terminal; and
At least part of the random number information stored in the user terminal
generated based on a first portion of an authentication key generated using at least one of
User terminal.
KR1020210114965A 2020-09-02 2021-08-30 User terminal performing non-real name two-factor authentication, authentication performing apparatus, and operating method thereof KR102644124B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
PCT/KR2021/011684 WO2022050658A1 (en) 2020-09-02 2021-08-31 User terminal and authentication execution device for performing pseudonym 2-factor authentication, and operating method therefor
US18/024,289 US20230318853A1 (en) 2020-09-02 2021-08-31 User terminal and authentication execution device for performing pseudonym 2-factor authentication, and operating method therefor
EP21864618.0A EP4210273A1 (en) 2020-09-02 2021-08-31 User terminal and authentication execution device for performing pseudonym 2-factor authentication, and operating method therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200111902 2020-09-02
KR1020200111902 2020-09-02

Publications (2)

Publication Number Publication Date
KR20220030184A KR20220030184A (en) 2022-03-10
KR102644124B1 true KR102644124B1 (en) 2024-03-07

Family

ID=80816443

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210114965A KR102644124B1 (en) 2020-09-02 2021-08-30 User terminal performing non-real name two-factor authentication, authentication performing apparatus, and operating method thereof

Country Status (1)

Country Link
KR (1) KR102644124B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014523192A (en) 2011-07-07 2014-09-08 ベラヨ インク Security by encryption using fuzzy authentication information in device and server communication
KR101947408B1 (en) 2014-11-24 2019-02-13 주식회사 아이씨티케이 홀딩스 Puf-based hardware device for providing one time password, and method for 2-factor authenticating using thereof
US20190108328A1 (en) 2016-04-08 2019-04-11 Authentico Technologies Ab Method and system for secure password storage
US20200076604A1 (en) 2016-10-31 2020-03-05 Katholieke Universiteit Leuven Authentication method and system
US20200092116A1 (en) 2016-12-21 2020-03-19 Secure-Ic Sas Synthetic physically unclonable function

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014523192A (en) 2011-07-07 2014-09-08 ベラヨ インク Security by encryption using fuzzy authentication information in device and server communication
KR101947408B1 (en) 2014-11-24 2019-02-13 주식회사 아이씨티케이 홀딩스 Puf-based hardware device for providing one time password, and method for 2-factor authenticating using thereof
US20190108328A1 (en) 2016-04-08 2019-04-11 Authentico Technologies Ab Method and system for secure password storage
US20200076604A1 (en) 2016-10-31 2020-03-05 Katholieke Universiteit Leuven Authentication method and system
US20200092116A1 (en) 2016-12-21 2020-03-19 Secure-Ic Sas Synthetic physically unclonable function

Also Published As

Publication number Publication date
KR20220030184A (en) 2022-03-10

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
Gunasinghe et al. PrivBioMTAuth: Privacy preserving biometrics-based and user centric protocol for user authentication from mobile phones
US9384338B2 (en) Architectures for privacy protection of biometric templates
Kim et al. A method of risk assessment for multi-factor authentication
RU2621625C2 (en) Method of public identifier generating for authentication of individual, identification object holder
KR102514429B1 (en) Update of biometric data template
US10715327B1 (en) Software credential token issuance based on hardware credential token
JP2008526078A (en) Method and apparatus for key generation and authentication approval
US20200235932A1 (en) Trusted key server
EP3485600B1 (en) Method for providing secure digital signatures
US10574452B2 (en) Two-step central matching
JP6841781B2 (en) Authentication server device, authentication system and authentication method
KR102644124B1 (en) User terminal performing non-real name two-factor authentication, authentication performing apparatus, and operating method thereof
US20230318853A1 (en) User terminal and authentication execution device for performing pseudonym 2-factor authentication, and operating method therefor
US11108769B2 (en) Cryptobionic system and associated devices and methods
KR101636068B1 (en) Method for Operating OTP using Biometric

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right