KR20000047650A - Method and apparatus for enhancing remote user access security for computer networks - Google Patents

Method and apparatus for enhancing remote user access security for computer networks Download PDF

Info

Publication number
KR20000047650A
KR20000047650A KR1019990050667A KR19990050667A KR20000047650A KR 20000047650 A KR20000047650 A KR 20000047650A KR 1019990050667 A KR1019990050667 A KR 1019990050667A KR 19990050667 A KR19990050667 A KR 19990050667A KR 20000047650 A KR20000047650 A KR 20000047650A
Authority
KR
South Korea
Prior art keywords
biometric data
user request
user
program code
storing
Prior art date
Application number
KR1019990050667A
Other languages
Korean (ko)
Inventor
디에츠티모시알랜
Original Assignee
포만 제프리 엘
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 포만 제프리 엘, 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 포만 제프리 엘
Publication of KR20000047650A publication Critical patent/KR20000047650A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Landscapes

  • Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A method for authenticating a user request and an apparatus for doing the same and a program product code for doing the same are provided to make money interaction safer. CONSTITUTION: A method for authenticating a user request includes following steps. At the first step, a dedication key and common key pair are generated(128). At the second step(130), biological data corresponding to a specific user is generated. At the third step(132), the biological data corresponding to a specific user as well as the pair of dedication key and common key are stored in a remote position. At the forth step(134), a user request including the coded biological data is generated as a dedication key in a rear location. At the fifth step(146), the user request is transmitted to the remote location. At the sixth step(154), the user request is decoded with the dedication key. At the seventh step(162), the stored biological data is searched. At the eighth step(170), the biological data is validated so as to authenticate the user request.

Description

사용자 요청을 인증하는 방법 및 장치와 프로그램 제품 코드{METHOD AND APPARATUS FOR ENHANCING REMOTE USER ACCESS SECURITY FOR COMPUTER NETWORKS}METHOD AND APPARATUS FOR ENHANCING REMOTE USER ACCESS SECURITY FOR COMPUTER NETWORKS}

본 발명은 컴퓨터 시스템의 보안 기술에 관한 것으로, 특히 원격 위치로부터의 요청 및 메시지를 인증하기 위한 인증 메카니즘(authentication mechanisms)에 관한 것이다.TECHNICAL FIELD The present invention relates to security techniques in computer systems, and in particular, to authentication mechanisms for authenticating requests and messages from remote locations.

공용키/전용키 쌍 및 사용자 ID/패스워드는 컴퓨터 시스템 인증 방안에서 현재 사용되는 현대적인 인증 메카니즘의 주요 측면이다. 이들 키는 친숙한 Lotus Notes(IBM사의 상표임) 애플리케이션이나 혹은 보안 웹 브라우저와 같은 특정 소트웨어에 의해 사용되며 머신상에 상주한 디지탈 증명서를 통해 특정 장치에 주로 결합된다. 사용자 ID 및 패스워드는 종종 머신 보안 문제가 제기될 때 부가적인 보안층을 제공하기 위해 사용된다. 과거에는 특정한 장치와 사용자 ID 및 패스워드 지식의 물리적인 사용의 결합이 사용자 인증을 보장하기에 충분하다고 여겨왔다.Public / private key pairs and user IDs / passwords are key aspects of modern authentication mechanisms currently used in computer system authentication schemes. These keys are used by specific software, such as a familiar Lotus Notes (trademark of IBM) application or by a secure web browser, and are often tied to a specific device through a digital certificate that resides on the machine. User IDs and passwords are often used to provide an additional layer of security when machine security issues are raised. In the past, the combination of physical use of specific device and user ID and password knowledge was considered sufficient to ensure user authentication.

그러나, 현대 보안 시스템에 대해 공격이 계속되어 이러한 보안 시스템에 침투하기 위한 점점 더 정교한 기술 및 정보를 갖추게 됨에 따라, 이제 불행히도 이러한 시스템만으로는 충분치 못하다는 것이 명백해졌다. 예를 들면, 랩탑 컴퓨터 또는 개인용 정보 단말기(PDA)의 경우와 같이, 사용자 ID 및 패스워드 데이터가 누설되고 장치가 공개적으로 액세스가능하거나 혹은 쉽게 분실되거나 혹은 도둑맞게 되는 경우에, 사용자의 특권을 불법적으로 사용함에 따른 치명적인 결과를 가져올 수 있다.However, as attacks continue on modern security systems, with increasingly sophisticated technology and information to penetrate them, it is now unfortunately not enough. For example, in the case of laptop computers or personal digital assistants (PDAs), if the user ID and password data is leaked and the device is publicly accessible or easily lost or stolen, the user's privileges are illegally illegal. It can have fatal consequences.

따라서, 공용 설비에서, 특히 전술한 PDA, 자동 은행거래 단말기(ATM),키오스크(kiosks)등과 같은 보급장치를 통해, 또한, 회사 및 다른 사업체 또는 인터넷 그자체간에 폭발적인 인기를 누리는 다양한 인트라넷과 같은 전용 또는 공용 네트워크상으로, 안전한 트랜잭션이 행해질 수 있도록 전술한 위협을 방지할 수 있는 기술의 적용이 조속히 필요해지고 있다.Therefore, in common facilities, especially through distribution devices such as PDAs, ATMs, kiosks, etc., as well as dedicated intranets such as a variety of intranets that are exploding in popularity among companies and other businesses or the Internet itself. Or on a public network, there is an urgent need for the application of techniques that can prevent the aforementioned threats so that secure transactions can be made.

공용키/전용키 쌍이 배정되고 제작시에 지문 스캐닝 패드와 같은 생물측정학적 데이터 입력 장치를 갖춘 적절한 장치가 제공된다. 생물측정학적 데이터는 네트워크 컴퓨터, 키오스크, 개인용 정보 단말기(PDA) 및 자동 은행거래 단말기(ATM)를 포함한 일반 장치상의 사용자의 신원을 확인(validate)하기 위한 사용자 ID 및 패스워드를 대신해 사용된다. 생물측정학적 정보 및, 현금 인출 또는 신용카드 구입과 같은 서비스 요청은 네트워크 카드에 배정된 범용 관리 어드레스(universally administered addresses: UAA)와 유사한 고유 장치 ID 와 함께 제작시에 장치에 배정된 전용키로써 암호화되고, 장치 ID 및 메시지 헤더와 함께 상류의 신용있는 서버에게로 전송된다. 서버에서, 생물측정학적 데이터 및 서비스 요청은 메시지로부터의 장치 ID를 사용하여 얻은 그 장치의 공용키로써 해독되고, 전송된 망막 스캔, 지문등과 같은 유형의 미리 저장된 생물측정학적 데이터의 데이터베이스에 대비하여 확인이 이루어진다. 일단 사용자가 인증되고 사용자의 특권에 대비해 고려해 서비스 요청이 확인되면, 서버는 제출된 요청을 안전하게 처리한다.Appropriate devices are provided with a public / private key pair assigned and equipped with a biometric data input device such as a fingerprint scanning pad at the time of manufacture. Biometric data is used in place of user IDs and passwords to validate the user's identity on common devices, including network computers, kiosks, personal digital assistants (PDAs), and automated banking terminals (ATMs). Service requests, such as biometric information and cash withdrawals or credit card purchases, are encrypted with a private key assigned to the device at the time of manufacture along with a unique device ID similar to universally administered addresses (UAA) assigned to a network card. And sent to the upstream trusted server along with the device ID and message header. At the server, biometric data and service requests are decrypted with the device's public key obtained using the device ID from the message, and prepared against a database of prestored biometric data of the type, such as sent retinal scans, fingerprints, etc. Confirmation is made. Once the user is authenticated and the service request is confirmed in consideration of the user's privileges, the server securely processes the submitted request.

도 1은 PDA와 같은 원격 일반 장치에 의해 상호작용하는 본 발명의 부분을 구현하는 원격 컴퓨터 시스템을 도시한 고레벨 기능 블럭도.1 is a high level functional block diagram illustrating a remote computer system implementing a portion of the present invention that interacts with a remote generic device such as a PDA.

도 2는 본 발명에 따라서 원격 사용자 장치를 구성하는 방식을 도시한 기능 블럭도.2 is a functional block diagram illustrating a manner of configuring a remote user device in accordance with the present invention.

도 3은 본 발명에 따라서 도 2에 도시된 장치에 의해 상호작용하는 원격 시스템의 구성요소를 도시한 기능 블록도.3 is a functional block diagram illustrating the components of a remote system interacting by the apparatus shown in FIG. 2 in accordance with the present invention.

도 4는 도 2의 원격 사용자 장치가 생성될 수 있고 도 3의 시스템이 보안 정보를 가지는 단계를 도시한 흐름도.4 is a flow diagram illustrating the steps in which the remote user device of FIG. 2 may be created and the system of FIG. 3 having security information;

도 5는 바람직하게 안전한 트랜잭션 승인을 얻기 위해 도 2의 장치가 도 3의 시스템과 상호작용시에 일련의 사건을 도시한 흐름도.5 is a flow chart illustrating a series of events when the apparatus of FIG. 2 interacts with the system of FIG. 3 to obtain secure transaction approval.

도면의 주요 부분에 대한 부호의 설명Explanation of symbols for the main parts of the drawings

58: 암호처리 어셈블리 60: ROM58: cryptographic assembly 60: ROM

62: 생물측정학적 입력센서장치 66: 네트워크62: biometric input sensor device 66: network

72,74: 데이터베이스72,74: database

도 1은 본 발명의 향상된 보안 시스템을 구현하기 위해 원격 위치 및 근거리 위치의 모두에 사용할 수 있는 컴퓨터 시스템의 실시예를 도시한다. 이 시스템은 공통 어드레스/데이터 및 제어 경로 또는 버스(16)를 통해 모두 상호연결된, CPU(10), 판독전용 메모리(ROM)(11), 랜덤 액세스 메모리(RAM)(12), I/O 어댑터(13), 사용자 인터페이스 어댑터(18), 통신 어댑터(14) 및 디스플레이 어댑터(19)를 구비한다. 전술한 구성요소의 각각은 본 기술분야의 당업자에게 잘 알려진 종래의 기법을 사용하여 공통 버스를 액세스하며, CPU(10)를 버스 마스터로하여 시스템에서의 각 구성요소에게 특정한 어드레스 범위를 제공하는 방법을 포함한다. 도 1에 도시된 바와 같이, DASD(15)와 같은 이들 외부 장치는 I/O 어뎁터(13)와 같은 각 어댑터를 통하여 공통 버스(16)로 인터페이스한다. 디스플레이(21)와 같은 다른 외부 장치는 유사하게, 버스(16)와 디스플레이(21) 또는 다른 장치 사이에 데이터 흐름을 제공하는 디스플레이 어댑터(19)와 같은 그들 제각기의 어댑터를 사용한다. 상호연결을 위해 다양한 사용자 인터페이스 수단이 제공되는데, 도면에서 조이스틱(23), 마우스(25), 키보드(17), 스피커 및/또는 마이크로폰(27)과 같은 대표적인 사용자 입력 장치가 부착된 사용자 인터페이스 어댑터(18)가 사용된다. 이 시스템에 하나 이상의 애플리케이션(31)을 실행하기에 적합한 종래의 운영체제(29)가 제공된다. 이들 각 장치는 본 기술분야에 잘 알려져 있으므로 본 명세서에서 기술하지 않을 것이다.1 illustrates an embodiment of a computer system that can be used in both remote and near locations to implement the improved security system of the present invention. The system includes a CPU 10, read-only memory (ROM) 11, random access memory (RAM) 12, I / O adapters, all interconnected via a common address / data and control path or bus 16 13, a user interface adapter 18, a communication adapter 14, and a display adapter 19. Each of the aforementioned components accesses the common bus using conventional techniques well known to those skilled in the art, and uses the CPU 10 as a bus master to provide a specific address range to each component in the system. It includes. As shown in FIG. 1, these external devices, such as DASD 15, interface to common bus 16 through each adapter, such as I / O adapter 13. Other external devices, such as display 21, similarly use their respective adapters, such as display adapter 19, which provides data flow between bus 16 and display 21 or other device. Various user interface means are provided for interconnection, in which the user interface adapter with a representative user input device such as joystick 23, mouse 25, keyboard 17, speaker and / or microphone 27 ( 18) is used. The system is provided with a conventional operating system 29 suitable for running one or more applications 31. Each of these devices is well known in the art and will not be described herein.

본 발명은 본래, AIX(TM) 및 OS/2(TM) 운영체제를 실행하는 IBM사의 RS/6000(TM), RISC 기반 워크스테이션 및 퍼스널 컴퓨터와 같은 임의의 컴퓨터 시스템 및 대응하는 마이크로프로세서상에서, 혹은 예를 들어, RS/6000 워크스테이션인 경우에 604 PowerPC(TM) RISC 칩 등의 다른 회사의 유사한 머신상에서 구현된다. (RS/6000, IBM, AIX, OS/2 및 PowerPC는 IBCM사 상표이다.)The invention is inherently intended on any computer system and corresponding microprocessor, such as RS / 6000 (TM), RISC-based workstations and personal computers from IBM running AIX (TM) and OS / 2 (TM) operating systems, or For example, in the case of an RS / 6000 workstation, it is implemented on a similar machine from another company, such as a 604 PowerPC (TM) RISC chip. (RS / 6000, IBM, AIX, OS / 2, and PowerPC are trademarks of IBCM Corporation.)

도 1은 CPU(10)와 함께, 전형적으로 도 1의 시스템의 올바른 동작에 필요한 시스템 어드레스, 데이터 및 제어 처리 기능을 수행하는 하나 이상의 마이크로프로세서를 포함한다. 비록 본 발명은 다양한 마이크로프로세서 설계에 적용가능하지만, 본 명세서에 개시된 실시예에서 마이크로프로세서는 IBM사 제조인, 감축된 인스트럭션 집합 컴퓨터(RISC) 마이크로프로세서로 알려진 종류의 마이크로프로세서인 PowerPC 604 마이크로프로세서의 형태를 가진다. 이러한 마이크로프로세서의 구조 및 동작에 관한 보다 상세한 사항은 참조로서 본 명세서에 병합된 IBM사 저작권, 1994년 11월, 문서 #MPC604UM/AD, PowerPC 604 RISC 마이크로프로세서 사용자 매뉴얼로부터 알 수 있다.1 includes, in conjunction with the CPU 10, one or more microprocessors that perform the system address, data, and control processing functions typically required for the correct operation of the system of FIG. Although the present invention is applicable to a variety of microprocessor designs, in the embodiments disclosed herein, the microprocessor is a microprocessor of the PowerPC 604 microprocessor, which is a microprocessor of the kind known as a reduced instruction assembly computer (RISC) microprocessor manufactured by IBM Corporation. Has a form. Further details regarding the structure and operation of such microprocessors can be found in the IBM Copyright, November 1994, document # MPC604UM / AD, PowerPC 604 RISC Microprocessor User Manual, incorporated herein by reference.

본 발명의 내용과 관련하여, 사용자는 마우스(25) 및 음성 구동 네비게이션과 같은 다양한 지정 도구(pointing devices)를 사용하여 조작가능한, 디스플레이(21)상의 커서 및 팝업 또는 팝다운 메뉴와 같은 각종 객체를 볼 수 있을 것이다. RAM(12) 및/또는 DASD(15)에 상주하는 운영체제 및 애플리케이션 코드와 함께, 지정 도구(25) 및 마이크로폰(27)을 위한 장치 구동기를 통해 사용자 인터페이스 어댑터(18)와 관련된 프로그램 코드는 마이크로폰(27)으로 입력되는 상관적인 음성 명령에 관련 및 응답하여 디스플레이 스크린(21)상에서 커서를 움직일 수 있고 이 움직임을 용이하게 할 것이다.In connection with the teachings of the present invention, a user may manipulate various objects such as a cursor and a pop-up or pop-down menu on the display 21, which are operable using various pointing devices such as a mouse 25 and voice driven navigation. You will see. In addition to operating system and application code residing in RAM 12 and / or DASD 15, the program code associated with user interface adapter 18 via device driver for designation tool 25 and microphone 27 may be used as a microphone ( 27 may move the cursor on the display screen 21 in response to and in response to correlated voice commands input to and facilitate this movement.

도 1의 컴퓨터 시스템에 도시된 기능 요소는 보다 상세히 후술될 근거리 장치 및 원격 컴퓨터 시스템의 요구와 애플리케이션에 맞도록 바람직하게 변경될 수 있다는 것을 명백히 알 수 있을 것이다. 예를 들면, 근거리 장치가 전술한 PDA의 형태를 가질 때, PDA 자체내에 조이스틱 또는 자립형 마우스 또는 다른 지정 도구를 내장시키거나 혹은 이들이 필요없을 수도 있다. 이런식으로, PDA의 필수 부분으로 독립형 디스플레이가 부적절할 수 있으며 LCD 또는 보다 작은 다른 디스플레이가 오히려 적절할 수 있다. 반대로, 예를 들면, 키오스크 또는 ATM 애플리케이션에서는 이러한 독립형 디스플레이 스크린이 보다 적절할 수 있다. 그러나, 기본적인 개념은 본 발명이 도 1의 기능 요소를 상이한 형태로 또는 필요한 만큼 다수로 요구할 수 있는 근거리 및 원격 위치의 모두에서 상당히 다양한 컴퓨팅 장치에 적용될 수 있으며, 따라서, 본 발명은 특정한 컴퓨터 시스템으로 제한되지 않는다는 것이다.It will be apparent that the functional elements shown in the computer system of FIG. 1 may be desirably modified to suit the needs and applications of the near field device and the remote computer system, which will be described in more detail below. For example, when the near field device has the form of a PDA described above, it may or may not require a joystick or standalone mouse or other pointing device within the PDA itself. In this way, a standalone display may be inappropriate as an integral part of a PDA and an LCD or other smaller display may be rather suitable. Conversely, such a standalone display screen may be more appropriate, for example, in kiosk or ATM applications. However, the basic concepts may be applied to a wide variety of computing devices in both near and remote locations where the present invention may require the functional elements of FIG. 1 in different forms or as many as necessary, and thus the present invention is directed to specific computer systems. It is not limited.

이제 도 2를 참조하면, 도 3의 시스템과 함께 단말 사용자에 의해 사용되어 안전한 트랜잭션을 할 수 있도록 제조자가 원격 장치를 준비하는 방식을 제공하는 데, 도면은 보안성을 보장하기 위해 도 3의 시스템에서 사용되는 ID 및 키의 발생을 보다 상세히 도시한다.Referring now to FIG. 2, in conjunction with the system of FIG. 3, there is provided a way for a manufacturer to prepare a remote device to be used by a terminal user to make a secure transaction. The generation of IDs and keys used in FIG.

먼저, 본 기술분야에 잘 알려진 방식으로 다수의 공용키/전용 키 쌍(40)를 발생하기 위한 처리(40)를 사용한다. 유사하게, 처리(46)는 도 3의 시스템과 상호작용하는 원격 사용자가 사용하는 상이한 고유 물리적 장치와 각각 관련된 다수의 장치 ID를 발생한다. 이들 고유 장치 ID는 네트워크 서버 및 클라이언트에 전형적으로 사용되는 네트워크 정보 카드(network information cards: NIC)와 연관된 범용 관리 어드레스(UAA)로 알려진 ID와 유사하며, 이로써 (NIC, PDA, ATM 또는 키오스크등과 같은) 각 개별 물리적 장치는 관련된 장치 ID를 가질 것이다. 공용키/전용키 쌍 발생 처리에 후속하여 흐름은 화살표(42)로 도시된 공용키 및 화살표(50)로 도시된 전용키로 진행된다. 유사하게, 장치 ID 발생 처리(46)에 후속하여 흐름은 화살표(48, 56)로 도시된 장치 ID로 진행된다. 이들 처리(40, 46)로 부터의 ID/공용키로 참조번호(44)에 도시된 공용키-장치 ID 쌍은 화살표(45)로 개략적으로 도시된 바와 같이 암호화 키 데이터베이스(72)(도 3)로 전달되는데, 이는 이후로부터 설명될 것이다. 데이터베이스(72)에는 다수의 ID/공용키 쌍(44)이 있으며, 이들 각각은 다수의 개별 장치들중의 상이한 하나에 대해 고유하게 존재함을 알 수 있을 것이다.First, a process 40 is used to generate multiple public / private key pairs 40 in a manner well known in the art. Similarly, process 46 generates a number of device IDs, each associated with a different unique physical device used by a remote user who interacts with the system of FIG. These unique device IDs are similar to IDs known as Universal Management Addresses (UAAs) associated with network information cards (NICs) typically used for network servers and clients, thereby (such as NICs, PDAs, ATMs, or kiosks). Each individual physical device will have an associated device ID. Following the public key / private key pair generation process, the flow proceeds to the public key shown by arrow 42 and the private key shown by arrow 50. Similarly, the flow proceeds to the device ID shown by arrows 48 and 56 following the device ID generation process 46. The public key-device ID pair shown at 44 as the ID / public key from these processes 40, 46 is encrypted key database 72 (FIG. 3) as schematically shown by arrow 45. Which will be explained later. It will be appreciated that there are a number of ID / public key pairs 44 in the database 72, each of which is unique for a different one of the plurality of individual devices.

유사하게, 처리(40, 46)는 고유한 장치 ID 화살표(52)로 도시된 장치 ID 및 전용키 화살표(50)로 도시된 다수의 전용키를 발생하고, 각각의 이러한 고유 전용키/장치 ID 쌍은 전용키/ID 쌍(54)에 도시되어 있다. 이러한 전용키/ID 쌍(54)의 각각은 화살표(56)으로 도시된 바와 같이 전달되며, 특히 보다 바람직하게는 암호 처리 어셈블리(encryption processor assembly: EPA)(58)의 일부분을 구성하는 판독전용 메모리(ROM)(60)상에 구워진다(burned onto). 따라서, 이러한 암호 처리 어셈블리(EPA)(58)의 각각은 특정 EPA(58)에만 연관된 상이한 고유 전용키/ID 쌍(54)을 비휘발성으로 지닌다는 것을 쉽게 알 수 있다. 또한, 각 EPA(58)는 이와 관련된 적절한 생물측정학적 입력 센서장치(62)를 가진다. 이 센서장치는 지문 스캐닝 패드, 망막 또는 얼굴 스캐닝 카메라 등의 형태를 가질 수 있으며, 예를 들면, 본 발명에서 인증시에 사용할, EPA(58)의 특정 사용자와 고유하게 연관된 생물측정학적 데이터를 생성할 수 있는 임의의 장치일 수 있다. 따라서, 본 발명은 특정한 형태의 생물측정학적 입력 센서장치로 제한되지 않으며, 오히려, 특정 사용자와 고유하게 연관된 생물측정학적 데이터를 발생할 수 있는 장치에도 적용된다. ATM, 키오스크, PDA등과 같은 단말 사용자 장치를 제조할 시에 제조자는 EPA(58) 및 생물측정학적 입력 센서장치(62)를 함께 결합시키거나 혹은 필요에 따라 함께 링크시킬 수 있다는 것을 알 수 있을 것이다. 전술한 내용에서, "공용" 및 "전용"키라는 용어는 단지 키의 고유 부분을 차별화하기 위해 사용했음을 주목한다. EPA(58) 장치 오퍼레이터는 "공용"키만을 액세스할 것이라는 것을 알 수 있을 것이다.Similarly, processes 40 and 46 generate a device ID shown by a unique device ID arrow 52 and a plurality of private keys shown by a dedicated key arrow 50, each of these unique dedicated key / device IDs. The pair is shown in a dedicated key / ID pair 54. Each of these dedicated key / ID pairs 54 is conveyed as shown by arrow 56, and more preferably, read-only memory constituting a portion of encryption processor assembly (EPA) 58. Burned onto (ROM) 60. Thus, it can be readily appreciated that each of these cryptographic processing assemblies (EPAs) 58 nonvolatile, having a different unique private key / ID pair 54 associated only with a particular EPA 58. Each EPA 58 also has an appropriate biometric input sensor device 62 associated with it. The sensor device may take the form of a fingerprint scanning pad, a retina or face scanning camera, or the like, for example, generating biometric data uniquely associated with a particular user of the EPA 58 for use in authentication in the present invention. It may be any device capable of doing so. Thus, the present invention is not limited to a particular type of biometric input sensor device, but rather applies to devices capable of generating biometric data uniquely associated with a particular user. In manufacturing terminal user devices such as ATMs, kiosks, PDAs, etc., the manufacturer will appreciate that the EPA 58 and biometric input sensor device 62 can be combined together or linked together as needed. . In the foregoing, it is noted that the terms "public" and "private" keys have been used only to differentiate the unique parts of the keys. It will be appreciated that the EPA 58 device operator will only access the "public" key.

이제까지 공용/전용키 및 ID의 발생을 설명하면, 전용 키 및 ID를 사용하는 장치가 원격 사용자에 의해 사용되는 것으로 기술되었으며, 이제 도 3의 시스템을 EPA 및 생물측정학적 입력 센서장치 및 이들 ID/공용키 쌍(44)으로부터의 입력을 사용하여 보다 상세히 기술할 것이다.Having described the generation of public / private keys and IDs so far, it has been described that devices using dedicated keys and IDs are used by remote users, and the system of FIG. 3 is now described as EPA and biometric input sensor devices and these ID / The input from public key pair 44 will be described in more detail.

먼저 도 3의 상부에서 보면, 전술한 암호화 키 데이터베이스(72)는 도 2에서 생성된 다수의 ID/공용키 쌍(44)에 대한 저장소로서 도시된다. 또한, 도 3의 하부에는 ROM(60)을 포함한 이미 친숙한 PDA(58)가 도시되어 있는데, 여기서, 도 2의 처리에 따라 발생되고 특정 EPA(58)와 고유하게 연관된 전용키/ID 쌍들중의 하나가 저장된다.First seen from the top of FIG. 3, the above-described encryption key database 72 is shown as a repository for a number of ID / public key pairs 44 generated in FIG. 2. Also shown in the lower part of FIG. 3 is a familiar PDA 58, including a ROM 60, wherein one of the private key / ID pairs generated in accordance with the process of FIG. 2 and uniquely associated with a particular EPA 58 is shown. One is saved.

도 3에는 또한 생물측정학적 키 데이터베이스(74)가 도시되어 있다. 이 데이터베이스는 다수의 생물측정학적 데이터-사용자 데이터 필드 쌍으로 구성된다. 각 쌍에 대하여, 특정한 단말 사용자와 고유하게 연관된 생물측정학적 데이터와, 특정한 단말 사용자 및 그의 생물측정학적 데이터와 고유하게 관련된 면허, 계좌번호등과 같은 다수의 데이터 필드의 모두가 데이터베이스(74)에 저장된다.Also shown in FIG. 3 is a biometric key database 74. This database consists of a number of biometric data-user data field pairs. For each pair, all of the biometric data uniquely associated with a particular terminal user and a number of data fields, such as licenses, account numbers, etc., uniquely associated with a particular terminal user and its biometric data, are stored in the database 74. Stored.

도 3에는 부분적으로, 사용자의 EPA(58)와의 사용자 상호작용에 의해 전달되는 단말 사용자 요청을 서비스하는 기능을 부분적으로 행하는 신뢰성있는 서버(70)가 또한 포함된다. EPA(58) 및 신용있는 서버(70)는 이 서버(70)와 EPA(58) 사이에 배치된 적절한 네트워크(66)를 통해 상호통신한다. 이 네트워크는 인트라넷, 인터넷, 다이얼업 네트워크, 또는 원격 EPA와 서버(70)를 상호연결시키기에 적합한 다른 적절한 네트워크의 형태를 가질 수 있다.3 also includes a reliable server 70 that partially performs the function of servicing terminal user requests that are delivered in part by user interaction with the user's EPA 58. EPA 58 and trusted server 70 communicate with each other via a suitable network 66 disposed between this server 70 and EPA 58. This network may take the form of an intranet, the Internet, a dial-up network, or other suitable network suitable for interconnecting the remote EPA and the server 70.

신용있는 서버(70)가 수행하는 본 발명에서 특히 중요한 기능은 데이터베이스(72)에 저장된 암호화 키를 사용하므로써 EPA(58)가 발생하는 요청(64)을 해독하고, 데이터베이스(74)에 저장된 생물측정학적 데이터를 통해 사용자 승인 및 다른 데이터를 인증하는 기능을 제공하는 것이다. 보다 상세히 후술되는 바와 같이, 이 요청(64)은 센서장치(62)를 통한 사용자 입력의 생물측정학적 데이터 뿐만 아니라, ROM(60)에 저장된 장치 ID 데이터(54) 및 다른 트랜잭션 데이터를 포함한다. 생물측정학적 정보 및 트랜잭션 정보의 결합(10)은 네트워크(66) 및, 링크(68)를 통해 서버(70)로 전달된다. 양방향 화살표(76, 78)로 각각 도시된 서버와 데이터베이스(74, 72) 간의 상호작용은 이하 상세히 기술하는 바와 같은 방식으로 라인(68)상으로 입력되는 암호화된 사용자 요청을 해독시킨다.A particularly important function of the present invention performed by the trusted server 70 is to use the encryption key stored in the database 72 to decrypt the request 64 that the EPA 58 makes, and to measure the biometric stored in the database 74. It provides the ability to authenticate user approvals and other data through historical data. As will be described in more detail below, this request 64 includes the device ID data 54 and other transaction data stored in the ROM 60 as well as biometric data of user input through the sensor device 62. The combination 10 of biometric information and transaction information is communicated to the server 70 via the network 66 and the link 68. The interaction between the server 74 and 72, respectively, shown by double arrows 76 and 78, decrypts the encrypted user request entered on line 68 in the manner described in detail below.

따라서, 요약하면, 도 3에서 EPA(58)와 상호작용하는 사용자는 필시, 특정한 ATM, 키오스크 또는 PDA 등에 제공되는, EPA(58)에 있는 생물측정학적 입력 센서장치(62)를 사용하여 그 또는 그녀의 생물측정학적 입력 데이터를 제공한다. 사용자는 이렇게 제공된 생물측정학적 데이터를 근거로 계속 사용하기 위해 확인을 요청하기 위해 이를 행한다. 주목해야 할 것은 종래기술에서 이러한 생물측정학적 데이터는 (예를 들면, 범인이 합법적인 사용자의 지문을 표절하므로써) 누설될 수 있다는 것이며, 본 발명의 중요한 특징은 이 데이터를 ROM(60)에 저장된 전용키(54)로써 더 암호화하여 특정 사용자와 고유하게 연관시킴으로써 특정한 EPA(58)에서 생물측정학적 데이터를 사용할 능력이 없는 범인이 이 생물측정학적 데이터를 오용하는 것이 소용없게 되거나 혹은 거의 소용없게 된다는 것이다.Thus, in summary, the user interacting with the EPA 58 in FIG. 3 may or may not use the biometric input sensor device 62 in the EPA 58, which is provided to a particular ATM, kiosk or PDA, or the like. Provide her biometric input data. The user does this to request confirmation for continued use based on the biometric data so provided. It should be noted that in the prior art such biometric data can be leaked (e.g., by the offender plagiarizing the fingerprint of a legitimate user), an important feature of the present invention is that this data is stored in ROM 60. By further encrypting with the private key 54 and uniquely associating it with a particular user, the misuse of this biometric data by a criminal who does not have the ability to use the biometric data in a particular EPA 58 becomes useless or almost useless. will be.

일단 서버(70)가 데이터베이스(72, 74)에 저장된 정보를 사용하여 해독하는 경우, 확인된 단말 사용자에 대한 통고가 서버(70)로부터 라인(69)을 통해 네트워크(66)상으로 전달되고, 결국, 네트워크(66)로부터 라인(71)으로 도시된 바와 같이 그 또는 그녀의 EPA(58)를 통해 단말 사용자에게로 전달될 수 있다. 그후에, 보안 링크가 설정될 수 있어서, 이에 의해 단말 사용자는 데이터베이스(74)의 사용자 데이터 필드에 대한 부가적인 데이터를 제공하거나 혹은 필요시 특정 사용자와 연관된 이러한 데이터의 검색을 허가하는 등의 서버(70)와 상호작용하기 위해 상세한 사항을 부가적으로 제공할 수 있다.Once the server 70 decrypts using the information stored in the databases 72, 74, a notice for the confirmed terminal user is sent from the server 70 over the line 66 via the line 69, Eventually, it may be passed from the network 66 to the terminal user via his or her EPA 58 as shown by line 71. Thereafter, a secure link may be established, whereby the terminal user may provide additional data for the user data fields of the database 74 or, if necessary, permit retrieval of such data associated with a particular user. ) To provide additional details.

도 3의 확인 기능 판정 블록(80)은 타당한 요청이 제공되었는 지의 여부를 판정하기 위하여, 라인(64)상으로 들어오는 전용키/ID 정보와, 데이터베이스(72)에서의 대응하는 ID/ 공용키 정보 및, 데이터베이스(74)에서의 생물측정학적 데이터를 상호관련시키는 데 사용할 수 있는 일련의 논리적 처리를 기능상 나타낸 것이다. 따라서, 본 발명은 특정한 형태의 확인 기능 판정 알고리즘(80)으로 제한되지 않으며, 이들 입력을 적절히 사용하는 판정에도 필시 적용될 수 있다. 입력은 라인(82)을 통해 판정 블록(80)으로 전달되며, 최종 판정 결과는 확인 기능 판정 블록(80)로부터 라인(86)을 통해 서버(70)로 되반환된다.The confirmation function determination block 80 of FIG. 3 determines the private key / ID information coming on the line 64 and the corresponding ID / public key information in the database 72 to determine whether a valid request has been provided. And a set of logical processes that can be used to correlate biometric data in the database 74 functionally. Therefore, the present invention is not limited to the specific form of the confirmation function determination algorithm 80, and may be applied to the determination of appropriately using these inputs. The input is passed to decision block 80 via line 82, and the final decision result is returned from verification function decision block 80 to server 70 via line 86.

이제 도 4를 참조하면, EPA(58)를 생성시에 사용하는 일련의 사건들을 도시하고, 도 2를 참조하여 전술한 방식으로 발생된 다양한 키 및 ID를 배치하는 흐름도가 도시된다. 먼저, 블록(88)에서 도 2의 키 발생 처리(40)에 대응하여 각 잠재 사용자를 위해 키 쌍 K1, K2을 발생한다. 유사하게, 블록(90)에서 상이한 물리적 EPA(58)에 각각 대응하는 다수의 고유 장치 ID를 발생하는 데, 이는 도 2의 블록(46)에 대응한다. 화살표(92, 94)에 도시된 바와 같이 발생된 이들 키 쌍 및 고유 장치 ID를 결합하여, 블록(96)에서 다수의 ID, Kl쌍 및 다수의 ID, K2쌍을 발생한다. ID, K2쌍을 라인(114)으로 도시한 바와 같이 전달하여, 블록(116)에서 후속하여 EPA(58)의 구매자에게로 전송하기 위해 암호화 키 데이터베이스(72)에 저장한다. 장치 오퍼레이터가 EPA(58)를 획득하거나 혹은 구매시에, 고유 ID, K2쌍을, 라인(118)에서 도시된 바와 같이, 블록(120)에서 최종 연결된 장치 오퍼레이터에게로 전송하고, 이어서 라인(122)으로 도시한 바와 같이 블록(124)에서 다양한 ID에 의해 키-온(key on)되는 데이터베이스(72)에 ID, K2쌍을 배치한다. 이러한 방식으로, 단말 사용자가 이 EPA에 대응하는 특정한 EPA(58)을 사용할 시에, 데이터베이스(72)에 상주하는 고유 ID 및 공용키가 있을 것이다.Referring now to FIG. 4, there is shown a flow diagram illustrating a series of events used in generating EPA 58 and placing various keys and IDs generated in the manner described above with reference to FIG. 2. First, in block 88, key pairs K 1 and K 2 are generated for each potential user in response to the key generation process 40 of FIG. Similarly, block 90 generates a number of unique device IDs, each corresponding to a different physical EPA 58, which corresponds to block 46 of FIG. 2. These key pairs and unique device IDs generated as shown by arrows 92 and 94 are combined to generate multiple ID, K l pairs and multiple ID, K 2 pairs at block 96. The ID, K 2 pair is passed as shown by line 114 and stored in encryption key database 72 for subsequent transmission to the buyer of EPA 58 at block 116. When the device operator obtains or purchases an EPA 58, it sends a unique ID, K 2 pair, to the last connected device operator at block 120, as shown in line 118, and then to line 122. In block 124, ID, K 2 pairs are placed in a database 72 that is keyed on by various IDs at block 124. In this way, when a terminal user uses a particular EPA 58 corresponding to this EPA, there will be a unique ID and public key residing in the database 72.

도 4를 계속 참조하면, ID, K2쌍에 대한 방식과 유사하게 ID, K1쌍은 화살표(98)로 개략적으로 도시된 바와 같이 그들과 고유하게 관련된 EPA(58)로 전달되고, 여기서, ID, K1쌍은 특정한 EPA(58)상의 ROM(60)으로 구워진다. 이것은 도 4의 블록(100)으로 도시된다. 이 ID, K1쌍이 ROM(60)으로 "구워지는" 것으로 기술하였지만, 여기에서 중요한 점은 특정 EPA(58)와 고유하게 관련된 ID, K1데이터는 EPA(58)상에 비휘발성으로 저장된다는 것이다. 따라서, 본 발명은 이 목적을 달성하기 위하여 다수의 다양한 기법을 사용하는 데, 이중 하나가 소켓형 ROM 등을 물리적으로 대체하여 플래시 바이오스, EEPROM에 의해 ROM(60)을 사실상 "굽는" 것이다.With continued reference to FIG. 4, similar to the scheme for ID, K 2 pairs, ID, K 1 pairs are passed to EPA 58 that are uniquely associated with them, as schematically illustrated by arrow 98, where: ID, K 1 pairs are baked into ROM 60 on a particular EPA 58. This is shown by block 100 in FIG. Although this ID, K 1 pair has been described as "baked" to ROM 60, an important point here is that ID, K 1 data uniquely associated with a particular EPA 58 is stored non-volatile on EPA 58. will be. Thus, the present invention employs a number of different techniques to accomplish this goal, one of which is to physically "burn" the ROM 60 by flash BIOS, EEPROM, by physically replacing the socket-type ROM or the like.

도 4를 계속 참조하면, 일단 이 ID, K1 데이터를 특정 EPA(58)와 관련하여 비휘발성으로 저장하면, 처리는 흐름(102)으로 계속되고, 블록(104)에서 이 특정한 EPA(58)를 선택한 생물측정학적 입력 장치(62)와 결합한다. 이 결합은 전기적이며 소프트웨어방식임을 의미하고, ROM(60) 및 생물측정학적 입력 센서 장치(62)는 ROM으로부터 데이터(예를 들면, 전용키/ID 쌍(54)) 및, 생물측정학적 입력 장치(62)와 상호작용하는 특정한 사용자에 대한 생물측정학적 입력 데이터를 포함하는 전기적으로 발생된 요청을 제공할 수 있도록 하는 방식으로 통합된다.With continued reference to FIG. 4, once this ID, K1 data has been stored non-volatile in association with a particular EPA 58, processing continues to flow 102 and at block 104 the particular EPA 58 is stored. In combination with the selected biometric input device 62. This combination means electrical and software, and the ROM 60 and biometric input sensor device 62 are configured to provide data from the ROM (eg, a dedicated key / ID pair 54) and biometric input device. And integrated in such a way as to provide an electrically generated request that includes biometric input data for a particular user interacting with 62.

일단 이 EPA 및 생물측정학적 입력장치가 전자적으로 "결합되면(coupled)", 블록(108)에서, 전술한 ATM, 키오스크 또는 PDA등과 같은 적절한 단말 장치에 위치되어 이와 조립될 수 있다.Once this EPA and biometric input device are electronically " coupled ", at block 108, it can be located and assembled with a suitable terminal device, such as an ATM, kiosk, or PDA, as described above.

마지막으로, 흐름(110)에 도시된 바와 같이, 블록(112)에서, 쇼핑몰에 키오스크, 드라이브스루 은행(drive-thru bank)에 ATM 머신을 설치하거나 혹은 PDA를 단말 사용자에게 판매하는 등에 의해 원하는 장치에 위치된 이 결합 어셈블리가 배치된다.Finally, as shown in flow 110, at block 112, a desired device, such as by installing an ATM machine in a kiosk in a shopping mall, a drive-thru bank, or selling a PDA to a terminal user, etc. This coupling assembly located at is placed.

이제 도 5를 참조하면, 도 3에 도시된 시스템을 위한 트랜잭션 승인 흐름을 도시하며, 전술한 다양한 키, ID, 데이터베이스 및 EPA를 사용하여, 단말 사용자는 네트워크(66)를 통해 서버(70)로 트랜잭션을 발생시키고 보안 승인을 수신할 수 있다. 먼저, 사용시에, 사용자는 유사한 생물측정학적 입력 센서장치를 통해 생물측정학적 데이터를 등록하기 위하여 EPA의 오퍼레이터와 상호작용한다. 일단 등록되면, 사용시에 사용자는 EPA를 수반한 특정한 변환기(망막 스캐너, 지문 스캐너등)에 의해 좌우되는 적절한 생물측정학적 데이터를 입력하고(126), 흐름은 계속된다. 흐름은 화살표(128)를 따라 블록(130)으로 계속된다. 블록(130)에서, 오퍼레이터는 원하는 대로 적절히 연관된 데이터(예를 들면, 계좌번호, 승인등과 같은 전술한 데이터 필드)와 함께, 블록(126)에서 제공된 생물측정학적 데이터를 제 2 또는 생물측정학적 데이터베이스에서 키로 사용한다. 흐름은 화살표(132)를 따라 블록(134)에서, 사용자는 트랜잭션 승인을 요청하기 위해 생물측정학적 데이터 입력장치와 결합된 EPA를 사용한다. 흐름은 화살표(136)를 따라 블록(138)으로 진행되고, 제 1 키 K1를 사용하여 암호화된 메시지로 입력된 생물측정학적 데이터 및 트랜잭션 데이터의 결합을 기능적으로 나타낸 것이다.Referring now to FIG. 5, illustrating the transaction approval flow for the system shown in FIG. 3, using the various keys, IDs, databases, and EPAs described above, the terminal user is directed to the server 70 via the network 66. A transaction can be issued and a security acknowledgment can be received. First, in use, the user interacts with an operator of the EPA to register biometric data through a similar biometric input sensor device. Once registered, in use the user enters 126 appropriate biometric data that is dependent on the particular transducer (Retina Scanner, Fingerprint Scanner, etc.) with EPA, and flow continues. Flow continues to block 130 along arrow 128. In block 130, the operator may modify the second or biometric data provided at block 126, as appropriate, with appropriately associated data (e.g., the aforementioned data fields such as account number, authorization, etc.). Used as a key in the database. Flow follows arrow 132 at block 134 where the user uses EPA coupled with a biometric data input device to request transaction approval. The flow proceeds to block 138 along arrow 136 and is functionally representative of the combination of biometric and transactional data entered into an encrypted message using the first key K 1 .

도 5를 계속 참조하면, 흐름은 화살표(140)를 따라 블록(142)으로 계속되고, 여기서, EPA(58)의 시스템은 ROM(60)에 저장된 ID를 요청 메시지에 분명한 텍스트로 추가시킨다. 다시, 화살표(144)를 따라 블록(146)에서, 컴파일된 메시지를 요청(64)으로서 네트워크(66)를 통해 전송하고, 후속된 해독을 위해 연결부(68)를 통해 신용있는 서버(70)로 전달된다.With continued reference to FIG. 5, the flow continues to block 142 along arrow 140, where the system of EPA 58 adds the ID stored in ROM 60 as clear text to the request message. Again, at block 146 along arrow 144, the compiled message is sent over network 66 as request 64 and through trusted connection 70 to connection server 68 for subsequent decryption. Delivered.

흐름은 화살표(148)를 따라 블록(150)에서, 믿을만한 서버(70)가 EPA ID를 추출하고, 이를 사용하여 데이터베이스(72)와 관련된 사용자의 키 K2를 조사한다. 일단 이것이 완료되면, 흐름은 화살표(152)를 따라 블록(154)에서, 전술한 블록(138)에 따라 K1메시지로써 미리 암호화된 메시지를 해독하는 데 이 키 K2를 사용한다. 흐름은 화살표(156)를 따라 블록(158)에서, 확인 기능부(80)에 메시지 요청을 전송한다. 흐름은 화살표(160)를 따라 블록(162)에서, 확인 기능부는 메시지의 생물측정학적 부분을 생물측정학적 데이터베이스(74)로부터 사용자 데이터를 검색하기 위한 키로서 사용한다. 흐름은 화살표(164)를 따라 블록(166)에서, 확인 기능부(80)는 화살표(82)를 따라 전달되는 것으로 도시된 서버(70)로부터 수신한 이 데이터를 근거로 허가 판정을 내린다. 확인 기능부는 K2키와 응답을 선택사양적으로 암호화할 수 있고, 화살표(86)으로 도시된 바와 같이 이를 원래 장치로 반환시킬 수 있다는 점에 주목한다. 그후, 흐름은 화살표(168)를 따라 블록(170)으로 계속된다. 이 블록(170)에서 서버(70)는 사용자 요청의 결과로서 확인 응답을 네트워크(66)를 통해 EPA(58)를 사용하는 단말 사용자에게 전송하는데, 여기서, (단계(166)에서 암호화된 경우) 이 응답을 기지의 K1키로써 선택사양적으로 해독할 수 있고, 장치(58)는 이 허가 판정 데이터를 근거로 동작할 수 있다.The flow follows arrow 148 at block 150 where trusted server 70 extracts the EPA ID and uses it to look up the user's key K 2 associated with database 72. Once this is done, the flow uses this key K 2 in block 154 along arrow 152 to decrypt the pre-encrypted message with the K 1 message in accordance with block 138 described above. The flow sends a message request to the confirmation function 80 at block 158 along arrow 156. The flow is at block 162 along arrow 160, where the verification function uses the biometric part of the message as a key to retrieve user data from biometric database 74. Flow follows arrow 164 at block 166, where confirmation function 80 makes an authorization decision based on this data received from server 70 shown as being passed along arrow 82. Note that the verification function can optionally encrypt the K 2 key and response and return it to the original device, as shown by arrow 86. The flow then continues to block 170 along arrow 168. In this block 170 the server 70 sends an acknowledgment as a result of the user request over the network 66 to the terminal user using the EPA 58, where it is encrypted (step 166). This response can optionally be decrypted with a known K 1 key, and the device 58 can operate based on this authorization decision data.

본 발명의 바람직한 실시예는 본 발명의 사상 및 범주를 벗어나지 않으면서 다양한 변형 및 변경을 행할 수 있음은 알 수 있을 것이다. 본 명세서는 예시를 위한 것일 뿐 제한하려는 것은 아니다. 본 발명의 범주는 후속되는 특허청구의 범위에 의해서만 제한된다.It will be appreciated that the preferred embodiments of the present invention may be variously modified and changed without departing from the spirit and scope of the present invention. This specification is for illustration only and is not intended to be limiting. It is intended that the scope of the invention only be limited by the following claims.

본 발명에 따르면, 일단의 사용자가 인증되고 사용자의 특권에 대비해 서비스 요청이 확인되면, 서버는 제출된 요청을 안전하게 처리함으로써, 안전한 트랜잭션이 행해질 수 있게 된다.According to the present invention, once a set of users are authenticated and a service request is confirmed against the user's privileges, the server can securely process the submitted request, allowing secure transactions to be made.

Claims (30)

컴퓨터 시스템 네트워크에서 사용자 요청을 인증하기 위한 방법에 있어서,A method for authenticating user requests in a computer system network, the method comprising: 전용키 및 공용키 쌍을 발생하는 단계와,Generating a private key and a public key pair, 상기 사용자에 대응하는 생물측정학적 데이터를 발생하는 단계와,Generating biometric data corresponding to the user; 원격 위치에 상기 생물측정학적 데이터 및 상기 공용키를 저장하는 단계와,Storing the biometric data and the public key at a remote location; 근거리 위치에서, 상기 전용키로써 암호화된 상기 생물측정학적 데이터를 포함한 사용자 요청을 발생하는 단계와,Generating, at a local location, a user request including the biometric data encrypted with the private key; 상기 사용자 요청을 상기 원격 위치로 전송하는 단계와,Sending the user request to the remote location; 상기 원격 위치에서, 상기 공용키로써 상기 사용자 요청을 상기 생물측정학적 데이터로 해독하는 단계와,Decrypting, at the remote location, the user request with the public key into the biometric data; 상기 저장된 생물측정학적 데이터를 검색하는 단계와,Retrieving the stored biometric data; 상기 사용자 요청을 인증하기 위해 상기 생물측정학적 데이터를 확인(validate)하는 단계Validating the biometric data to authenticate the user request 를 포함하는 사용자 요청을 인증하기 위한 방법.Method for authenticating a user request comprising a. 제 1 항에 있어서,The method of claim 1, 상기 확인 단계는,The checking step, 상기 해독된 사용자 요청에서 전송된 상기 생물측정학적 데이터와, 상기 저장된 생물측정학적 데이터를 비교하는 단계Comparing the biometric data sent in the decrypted user request with the stored biometric data 를 포함하는 사용자 요청을 인증하기 위한 방법.Method for authenticating a user request comprising a. 제 2 항에 있어서,The method of claim 2, 상기 사용자 요청을 전송하는 단계는, 상기 근거리 위치와 상기 원격 위치를 상호연결시키는 네트워크를 통해 이루어지는 사용자 요청을 인증하기 위한 방법.And sending the user request over a network interconnecting the near location with the remote location. 제 3 항에 있어서,The method of claim 3, wherein 상기 근거리 위치에서 연관된 ID 번호를 가진 상기 전용키를 저장하는 단계를 더 포함하는 사용자 요청을 인증하기 위한 방법.Storing the private key with an associated ID number at the local location. 제 4 항에 있어서,The method of claim 4, wherein 상기 ID 번호는 상기 공용키와 고유하게 연관되며,The ID number is uniquely associated with the public key, 상기 방법은,The method, 상기 원격 위치에서 상기 ID 번호 및 상기 공용키를 제 1 데이터베이스에 투플(tuple)로서 저장하는 단계Storing the ID number and the public key as a tuple in a first database at the remote location 를 더 포함하는 사용자 요청을 인증하기 위한 방법.The method for authenticating a user request further comprising. 제 5 항에 있어서,The method of claim 5, 상기 생물측정학적 데이터는 제 2 데이터베이스에 저장되는 사용자 요청을 인증하기 위한 방법.And wherein the biometric data is stored in a second database. 제 6 항에 있어서,The method of claim 6, 상기 사용자 및 상기 생물측정학적 데이터와 연관된 데이터 필드를 발생하는 단계와,Generating a data field associated with the user and the biometric data; 상기 생물측정학적 데이터 및 상기 데이터 필드를 상기 제 2 데이터베이스에 투플로서 저장하는 단계Storing the biometric data and the data field as a tuple in the second database 를 더 포함하는 사용자 요청을 인증하기 위한 방법.The method for authenticating a user request further comprising. 제 7 항에 있어서,The method of claim 7, wherein 상기 전용키의 저장은 상기 근거리 위치에서 행해지는 사용자 요청을 인증하기 위한 방법.And storing the private key is made at the local location. 제 8 항에 있어서,The method of claim 8, 상기 생물측정학적 데이터의 발생은 상기 근거리 위치에서 행해지는 사용자 요청을 인증하기 위한 방법.Wherein the generation of the biometric data is made at the close location. 제 9 항에 있어서,The method of claim 9, 상기 확인에 응답하여 상기 요청을 처리하는 단계를 더 포함하는 사용자 요청을 인증하기 위한 방법.Processing the request in response to the confirmation. 컴퓨터 시스템 네트워크에서 사용자 요청을 인증하기 위한 장치에 있어서,An apparatus for authenticating user requests in a computer system network, the apparatus comprising: 전용키 및 공용키 쌍을 발생하기 위한 수단과,Means for generating a private and public key pair, 상기 사용자에 대응하는 생물측정학적 데이터를 발생하기 위한 수단과,Means for generating biometric data corresponding to the user, 원격 위치에서, 상기 생물측정학적 데이터 및 상기 공용키를 저장하기 위한 수단과,Means for storing the biometric data and the public key at a remote location; 근거리 위치에서, 상기 전용키로써 암호화된 상기 생물측정학적 데이터를 포함한 사용자 요청을 발생하기 위한 수단과,Means for generating, at a local location, a user request including the biometric data encrypted with the private key; 상기 사용자 요청을 상기 원격 위치로 전송하기 위한 수단과,Means for sending the user request to the remote location; 상기 원격 위치에서, 상기 공용키로써 상기 사용자 요청을 상기 생물측정학적 데이터로 해독하기 위한 수단과,Means for decrypting, at the remote location, the user request with the public key into the biometric data; 상기 저장된 생물측정학적 데이터를 검색하기 위한 수단과,Means for retrieving the stored biometric data; 상기 사용자 요청을 인증하기 위해 상기 생물측정학적 데이터를 확인하는 수단Means for verifying the biometric data to authenticate the user request 을 구비한 사용자 요청을 인증하기 위한 장치.Apparatus for authenticating a user request having a. 제 11 항에 있어서,The method of claim 11, 상기 확인을 위한 수단은,Means for the confirmation, 상기 해독된 사용자 요청에서 전송된 상기 생물측정학적 데이터와, 상기 저장된 생물측정학적 데이터를 비교하는 수단Means for comparing the biometric data sent in the decrypted user request with the stored biometric data 을 구비한 사용자 요청을 인증하기 위한 장치.Apparatus for authenticating a user request having a. 제 12 항에 있어서,The method of claim 12, 상기 사용자 요청을 전송하기 위한 수단은, 상기 근거리 위치와 상기 원격 위치를 상호연결시키는 네트워크를 통해 이루어지는 사용자 요청을 인증하기 위한 장치.And means for sending the user request is for authenticating a user request over a network interconnecting the short distance location with the remote location. 제 13 항에 있어서,The method of claim 13, 상기 근거리 위치에서 연관된 ID 번호를 가진 상기 전용키를 저장하기 위한 수단을 더 구비한 사용자 요청을 인증하기 위한 장치.And means for storing the private key having an associated ID number at the near location. 제 14 항에 있어서,The method of claim 14, 상기 ID 번호는 상기 공용키와 고유하게 연관되며,The ID number is uniquely associated with the public key, 상기 장치는,The device, 상기 원격 위치에서 상기 ID 번호 및 상기 공용키를 제 1 데이터베이스에 투플로서 저장하기 위한 수단Means for storing the ID number and the public key as a tuple in a first database at the remote location 을 더 구비한 사용자 요청을 인증하기 위한 장치.Apparatus for authenticating a user request further comprising. 제 15 항에 있어서,The method of claim 15, 상기 원격 위치에서 상기 생물측정학적 데이터를 제 2 데이터베이스에 저장하기 위한 수단을 더 구비한 사용자 요청을 인증하기 위한 장치.And means for storing the biometric data in a second database at the remote location. 제 16 항에 있어서,The method of claim 16, 상기 사용자 및 상기 생물측정학적 데이터와 연관된 데이터 필드를 발생하기 위한 수단과,Means for generating a data field associated with the user and the biometric data; 상기 생물측정학적 데이터 및 상기 데이터 필드를 상기 제 2 데이터베이스에 투플로서 저장하기 위한 수단Means for storing the biometric data and the data field as a tuple in the second database 을 더 구비한 사용자 요청을 인증하기 위한 장치.Apparatus for authenticating a user request further comprising. 제 17 항에 있어서,The method of claim 17, 상기 전용키의 저장은 상기 근거리 위치에서 행해지는 사용자 요청을 인증하기 위한 장치.And storing the private key is made at the local location. 제 18 항에 있어서,The method of claim 18, 상기 생물측정학적 데이터의 발생은 상기 근거리 위치에서 행해지는 사용자 요청을 인증하기 위한 장치,The generation of the biometric data may comprise an apparatus for authenticating a user request made at the near location; 제 19 항에 있어서,The method of claim 19, 상기 확인에 응답하여 상기 요청을 처리하기 위한 수단을 더 구비한 사용자 요청을 인증하기 위한 장치.And a means for processing the request in response to the confirmation. 컴퓨터 시스템 네트워크에 의해 사용가능한 프로그램 코드 수단(program code means)을 포함한 컴퓨터 프로그램 제품에 있어서, 상기 프로그램 코드 수단은,In a computer program product comprising program code means usable by a computer system network, the program code means comprises: 전용키 및 공용키 쌍을 발생하기 위한 프로그램 코드 수단과,Program code means for generating a private key and a public key pair, 상기 사용자에 대응하는 생물측정학적 데이터를 발생하기 위한 프로그램 코드 수단과,Program code means for generating biometric data corresponding to the user; 원격 위치에서, 상기 생물측정학적 데이터 및 상기 공용키를 저장하기 위한 프로그램 코드 수단과,Program code means for storing the biometric data and the public key at a remote location; 근거리 위치에서, 상기 전용키로써 암호화된 상기 생물측정학적 데이터를 포함한 사용자 요청을 발생하기 위한 프로그램 코드 수단과,Program code means for issuing a user request including the biometric data encrypted with the private key at a local location; 상기 사용자 요청을 상기 원격 위치로 전송하기 위한 프로그램 코드 수단과,Program code means for sending the user request to the remote location; 상기 원격 위치에서, 상기 공용키로써 상기 사용자 요청을 상기 생물측정학적 데이터로 해독하기 위한 프로그램 코드 수단과,Program code means for decrypting the user request into the biometric data with the public key at the remote location; 상기 저장된 생물측정학적 데이터를 검색하기 위한 프로그램 코드 수단과,Program code means for retrieving the stored biometric data; 상기 사용자 요청을 인증하기 위해 상기 생물측정학적 데이터를 확인하는 프로그램 코드 수단Program code means for verifying the biometric data to authenticate the user request 을 구비한 프로그램 제품 코드.Program product code with. 제 21 항에 있어서,The method of claim 21, 상기 확인을 위한 프로그램 코드 수단은,Program code means for the confirmation, 상기 해독된 사용자 요청에서 전송된 상기 생물측정학적 데이터와, 상기 저장된 생물측정학적 데이터를 비교하는 프로그램 코드 수단Program code means for comparing the biometric data sent in the decrypted user request with the stored biometric data 을 구비한 프로그램 제품 코드.Program product code with. 제 22 항에 있어서,The method of claim 22, 상기 사용자 요청을 전송하기 위한 프로그램 코드 수단은, 상기 근거리 위치와 상기 원격 위치를 상호연결시키는 네트워크를 통해 이루어지는 프로그램 제품 코드.Program code means for sending the user request is made over a network interconnecting the near location and the remote location. 제 23 항에 있어서,The method of claim 23, 상기 근거리 위치에서 연관된 ID 번호를 가진 상기 전용키를 저장하기 위한 프로그램 코드 수단을 더 구비한 프로그램 제품 코드.Program code means for storing said private key having an associated ID number at said close location. 제 24 항에 있어서,The method of claim 24, 상기 ID 번호는 상기 공용키와 고유하게 연관되며,The ID number is uniquely associated with the public key, 상기 저장하기 위한 프로그램 코드 수단은,The program code means for storing, 상기 원격 위치에서 상기 ID 번호 및 상기 공용키를 제 1 데이터베이스에 투플로서 저장하기 위한 프로그램 코드 수단Program code means for storing the ID number and the public key as a tuple in a first database at the remote location 을 더 구비한 프로그램 제품 코드.Program product code with more. 제 25 항에 있어서,The method of claim 25, 상기 원격 위치에서 상기 생물측정학적 데이터를 제 2 데이터베이스에 저장하기 위한 프로그램 코드 수단을 더 구비한 프로그램 제품 코드.Program code means for storing the biometric data in a second database at the remote location. 제 26 항에 있어서,The method of claim 26, 상기 사용자 및 상기 생물측정학적 데이터와 연관된 데이터 필드를 발생하기 위한 프로그램 코드 수단과,Program code means for generating a data field associated with the user and the biometric data; 상기 생물측정학적 데이터 및 상기 데이터 필드를 상기 제 2 데이터베이스에 투플로서 저장하기 위한 프로그램 코드 수단Program code means for storing the biometric data and the data field as a tuple in the second database 을 더 구비한 프로그램 제품 코드.Program product code with more. 제 27 항에 있어서,The method of claim 27, 상기 전용키의 저장은 상기 근거리 위치에서 행해지는 프로그램 제품 코드.And storing said private key is done at said near location. 제 28 항에 있어서,The method of claim 28, 상기 생물측정학적 데이터의 발생은 상기 근거리 위치에서 행해지는 프로그램 제품 코드.The generation of said biometric data is performed at said close location. 제 29 항에 있어서,The method of claim 29, 상기 확인에 응답하여 상기 요청을 처리하기 위한 프로그램 코드 수단을 더 구비한 프로그램 제품 코드.Program code means for processing said request in response to said confirmation.
KR1019990050667A 1998-12-16 1999-11-15 Method and apparatus for enhancing remote user access security for computer networks KR20000047650A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US21332498A 1998-12-16 1998-12-16
US09/213,324 1998-12-16

Publications (1)

Publication Number Publication Date
KR20000047650A true KR20000047650A (en) 2000-07-25

Family

ID=22794656

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990050667A KR20000047650A (en) 1998-12-16 1999-11-15 Method and apparatus for enhancing remote user access security for computer networks

Country Status (3)

Country Link
JP (1) JP2000181871A (en)
KR (1) KR20000047650A (en)
TW (1) TW451153B (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000058548A (en) * 2000-06-13 2000-10-05 이은석 Proof System and Method Conecting Server of Specific Data Using Exclusive Means
WO2003090138A1 (en) * 2002-04-20 2003-10-30 Digent Co., Ltd. A system for generating/retrieving secure documents using on-line fingerprint authentication and a method therefor
KR20030084470A (en) * 2002-04-27 2003-11-01 모빌토크(주) Method of proving identity of subscriber in real time by using telecommunication network and system thereof
KR100414606B1 (en) * 2001-02-13 2004-01-07 박현종 System for network-based identification of the dog using a nose pattern
KR100449483B1 (en) * 2001-10-18 2004-09-21 한국전자통신연구원 Method for requesting and approving user registration using information of a biometrics in a pki infrastructure
KR100485922B1 (en) * 2002-07-15 2005-04-29 김윤옥 Potable information terminal for controlling cattle individual
KR101235608B1 (en) * 2011-03-23 2013-03-11 주식회사 에어큐브 Method and System on Multi Factor Certification Using Device Identification Information and Multimedia Identification Information
WO2023064086A1 (en) * 2021-10-13 2023-04-20 Visa International Service Association Efficient and protected data transfer system and method

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8049597B1 (en) 2000-01-10 2011-11-01 Ensign Holdings, Llc Systems and methods for securely monitoring an individual
AU2781401A (en) 2000-01-10 2001-07-24 Tarian, Llc Device using histological and physiological biometric marker for authentication and activation
US7536557B2 (en) 2001-03-22 2009-05-19 Ensign Holdings Method for biometric authentication through layering biometric traits
US7133792B2 (en) 2000-06-08 2006-11-07 Ensign Holdings, Llc Method and apparatus for calibration over time of histological and physiological biometric markers for authentication
US7441123B2 (en) 2001-03-23 2008-10-21 Ensign Holdings Method and apparatus for characterizing and estimating the parameters of histological and physiological biometric markers for authentication
US6483929B1 (en) 2000-06-08 2002-11-19 Tarian Llc Method and apparatus for histological and physiological biometric operation and authentication
KR20010107545A (en) * 2001-04-03 2001-12-07 경두수 A terminal for fingerprint recognition and a finger print reconition system using thereof
KR20030006464A (en) * 2001-07-13 2003-01-23 한국정보통신주식회사 A settlement system and method using terminal having fingerprint recognizing function
KR20030061491A (en) * 2002-01-14 2003-07-22 소병혁 Fingerprint Authentication Method on Computer Network
US8150108B2 (en) 2008-03-17 2012-04-03 Ensign Holdings, Llc Systems and methods of identification based on biometric parameters

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000058548A (en) * 2000-06-13 2000-10-05 이은석 Proof System and Method Conecting Server of Specific Data Using Exclusive Means
KR100414606B1 (en) * 2001-02-13 2004-01-07 박현종 System for network-based identification of the dog using a nose pattern
KR100449483B1 (en) * 2001-10-18 2004-09-21 한국전자통신연구원 Method for requesting and approving user registration using information of a biometrics in a pki infrastructure
WO2003090138A1 (en) * 2002-04-20 2003-10-30 Digent Co., Ltd. A system for generating/retrieving secure documents using on-line fingerprint authentication and a method therefor
KR20030084470A (en) * 2002-04-27 2003-11-01 모빌토크(주) Method of proving identity of subscriber in real time by using telecommunication network and system thereof
KR100485922B1 (en) * 2002-07-15 2005-04-29 김윤옥 Potable information terminal for controlling cattle individual
KR101235608B1 (en) * 2011-03-23 2013-03-11 주식회사 에어큐브 Method and System on Multi Factor Certification Using Device Identification Information and Multimedia Identification Information
WO2023064086A1 (en) * 2021-10-13 2023-04-20 Visa International Service Association Efficient and protected data transfer system and method

Also Published As

Publication number Publication date
TW451153B (en) 2001-08-21
JP2000181871A (en) 2000-06-30

Similar Documents

Publication Publication Date Title
US8151364B2 (en) Authentication device and/or method
US8661520B2 (en) Systems and methods for identification and authentication of a user
CA2591968C (en) Authentication device and/or method
US7548890B2 (en) Systems and methods for identification and authentication of a user
US8640203B2 (en) Methods and systems for the authentication of a user
US7676430B2 (en) System and method for installing a remote credit card authorization on a system with a TCPA complaint chipset
US20090293111A1 (en) Third party system for biometric authentication
US8079082B2 (en) Verification of software application authenticity
US20060123465A1 (en) Method and system of authentication on an open network
US20040199469A1 (en) Biometric transaction system and method
US20030014631A1 (en) Method and system for user and group authentication with pseudo-anonymity over a public network
KR20000047650A (en) Method and apparatus for enhancing remote user access security for computer networks
US20040254890A1 (en) System method and apparatus for preventing fraudulent transactions
WO2008127431A2 (en) Systems and methods for identification and authentication of a user
CA3045817A1 (en) Anytime validation for verification tokens
AU2001283128A1 (en) Trusted authentication digital signature (TADS) system
US20120221862A1 (en) Multifactor Authentication System and Methodology
CN1333610A (en) Method for identifying user
WO2001092982A2 (en) System and method for secure transactions via a communications network
TWI296769B (en)
WO2007080588A2 (en) Method for authenticating a website
AU2015200701A1 (en) Anytime validation for verification tokens
WO2001046917A2 (en) Identity authentication using transaction history
KR20000033930A (en) Integrated electronic wallet system and electronic commercial service method
JP2003256379A (en) Networked purchasing system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application