KR20030032422A - 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 - Google Patents

공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 Download PDF

Info

Publication number
KR20030032422A
KR20030032422A KR1020010064186A KR20010064186A KR20030032422A KR 20030032422 A KR20030032422 A KR 20030032422A KR 1020010064186 A KR1020010064186 A KR 1020010064186A KR 20010064186 A KR20010064186 A KR 20010064186A KR 20030032422 A KR20030032422 A KR 20030032422A
Authority
KR
South Korea
Prior art keywords
user
certificate
biometric information
certificate authority
authentication system
Prior art date
Application number
KR1020010064186A
Other languages
English (en)
Other versions
KR100529550B1 (ko
Inventor
노종혁
김태성
김희선
최대선
조영섭
조상래
진승헌
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0064186A priority Critical patent/KR100529550B1/ko
Priority to US10/082,334 priority patent/US7366904B2/en
Publication of KR20030032422A publication Critical patent/KR20030032422A/ko
Application granted granted Critical
Publication of KR100529550B1 publication Critical patent/KR100529550B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서의 권한 변경 방법에 관한 것이다. 즉, 본 발명은 공개키 기반 구조 인증시스템에서 인증서의 폐지, 중지, 회복 등과 같은 인증서의 권한 변경을 위한 사용자 인증 필요시 생체정보를 이용하여 신뢰성이 보장된 사용자 인증을 수행할 수 있게 됨으로써, 종래와 같이 인증서 권한 변경을 위해 사용자가 등록기관이나 인증기관을 직접 찾아가지 않아도 되며, 인증기관과 온라인 연결된 각자의 사용자 시스템을 이용하여 쉽게 인증서 권한 변경 작업을 수행할 수 있게 되는 이점이 있다.

Description

공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법{METHOD FOR MODIFYING AUTHORITY OF A CERTIFICATE OF AUTHENTICATION USING INFORMATION OF A BIOMETRICS IN A PKI INFRASTRUCTURE}
본 발명은 공개키 기반 구조(PKI: Public Key Infrastructure)에 관한 것으로, 특히 공개키 기반 구조 인증시스템에서 개인키의 손상에 따른 인증서의 정지, 회복, 폐기를 생체정보를 이용한 사용자의 인증을 통해 사용자 시스템과 인증기관간 온라인으로 수행할 수 있도록 하는 인증서 권한 변경 방법에 관한 것이다.
통상적으로, 공개키 기반 구조는, 인터넷상 보안이 요구되는 전자문서의 송/수신시 상기 인증시스템에 의해 인증된 회원 사용자간에 공개키와 개인키를 이용한 암호화 전송이 가능하도록 하는 시스템을 말하는 것으로, 즉, 상기 인증시스템에 회원 등록된 사용자들은 해당 인증기관으로부터 정당한 사용자임을 인증하는 디지털 인증서를 발급받고 상대방 공개키로 보안이 요구되는 전자문서를 암호화한 후, 자신의 개인키로 전자서명하여 전송함으로써 상기 인증시스템에 회원 등록된 사용자간에는 전자문서를 안전하게 송/수신할 수 있도록 하는 시스템을 말한다.
현재 공개키 기반 구조에서는 인증서와 관련된 작업/관리에 관련된 표준화된 프로토콜로 인증서 등록, 발급, 키소유증명, 갱신, 회복, 폐지 등을 위해 IETF에서 제안하고 있는 RFC 2510 Internet X.509 Public Key Infrastructure Certificate Management Protocols(CMP)를 사용하고 있는데, 상기 CMP에서 사용되는 메시지 포맷은 RFC 2511 CRMF(Certificate Request Message Format)을 사용하고 있으며, 인증서의 정지 또는 폐기 요청시 위조된 메시지인지를 확인하기 위하여 사용자로부터의 인증서 권한 변경 요청 메시지에 사용자의 개인키를 이용한 전자서명이 반드시 필요하도록 규정하고 있다.
그러나 종래 공개키 기반 구조 인증시스템에서는 사용자가 개인키를 소유한 경우에도 인증서의 회복을 위해서는 반드시 해당 등록기관이나 인증기관을 직접 방문하여야만 처리가 가능하며, 또한 사용자의 개인키가 손상되어 전자서명이 불가능하게 되는 경우 종래 공개키 기반 구조 인증시스템에서는 상기 인증서의 정지 및 폐지에 대해서도 온라인으로 처리가 불가능함에 따라 사용자의 신원을 증명하기 위해 사용자가 직접 해당 등록기관 또는 인증기관을 찾아가서 신원 인증을 통해 인증서 권한의 변경을 직접 요청하여야 하는 등 불편한 문제점이 있었다.
한편, 상기와 같은 공개키 기반 구조 인증시스템에서의 인증서 권한 변경 방법으로는 출원번호 1999-0051586호에 개시된 "인증기관 시스템의 사용자용 공개키 인증서 생성방법"과 2000년 10월에 출판된 "Telecommunications Review"지 제10권 5호 915∼938페이지에 개시된 "공개키 기반구조의 연구개발 동향과 국내표준규격" 등과 같은 공개키 기반 구조에 대한 기술이 개시되어 있으나, 상기 "인증기관 시스템의 사용자용 공개키 인증서 생성방법"에는 단지 인증기관에서 사용자에게 신속하게 공개키 인증서를 생성하는 방법이 개시되어 있으며, "공개키 기반구조의 연구개발 동향과 국내표준규격"에는 단지 공개키 구현에 필요한 표준 및 동향 파악과 국내 공개키 기반 구조를 위한 표준안이 개시되고 있을 뿐, 상기한 공개키 기반 구조 인증시스템에서 개인키 손상시 인증서의 권한 변경을 위해서는 사용자가 직접 해당 등록기관이나 인증기관을 방문하여서 신원인증을 통해 변경 요청을 해야하는 불편함이 여전히 문제점으로 남아 있었다.
따라서, 본 발명의 목적은, 공개키 기반 구조 인증시스템에서 개인키의 손상에 따른 인증서의 권한 정지, 권한 회복, 폐기를 생체정보를 이용한 사용자의 인증을 통해 사용자 시스템과 인증기관간 온라인으로 수행할 수 있도록 하는 인증서 권한 변경 방법을 제공함에 있다.
상술한 목적을 달성하기 위한 본 발명은 사용자의 신원을 대행 확인하는 등록기관, 상기 등록기관에 의해 신원 확인된 사용자에 대한 인증서를 발행하는 인증기관 및 사용자 시스템을 포함하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법에 있어서, (a)상기 인증시스템에 회원 등록된 사용자로부터 인증서 권한 변경 요청이 있는 경우 상기 인증기관 서버에 로그인하여 접속하는 단계; (b)상기 사용자 시스템에 구비된 생체정보 입력장치를 통해 사용자 인증을 위한 생체정보를 입력받는 단계; (c)상기 사용자의 요청에 따른 인증서 권한 변경 요청 메시지를 생성하는 단계; 및 (d)상기 생체정보와 인증서 권한 변경 요청 메시지를 상기 인증기관으로 전송하여 온라인으로 인증서 권한 변경을 요청하는 단계;를 포함하여 진행하는 인증서 권한 변경 요청 방법을 구현하며, (a')인터넷을 통해 상기 인증시스템에 접속한 사용자 시스템으로부터의 인증서 권한 변경 요청 메시지를 수신하는 단계; (b')상기 인증서 권한 변경을 요청한 사용자로부터 시스템 회원 인증을 위한 로그인 정보 및 생체정보를 입력받는 단계; (c')상기 개인키를 통해 인증된 사용자의 데이터 베이스 저장부내 등록 생체정보와 상기 입력된 생체정보가 일치하는지 여부를 검사하는 단계; (d')상기 생체정보가 일치하는 경우 해당 사용자에게 발급된 인증서의 권한을 상기 인증서 권한 변경 요청에 맞게 변경시키는 단계; 및 (e')상기 인증서 권한 변경이 정상적으로 처리되었음을 알리는 응답메시지를 상기 사용자 시스템으로 전송하여 사용자에게 알리는 단계;를 포함하여 진행하는 인증서 권한 변경 방법을 구현하는 것을 특징으로 한다.
도 1은 본 발명의 실시 예에 따른 공개키 기반 구조 인증시스템의 네트웍 구성을 도시한 것이다.
도 2는 본 발명의 실시 예에 따른 사용자 시스템의 개략적인 블록 구성을 도시한 것이다.
도 3은 본 발명의 실시 예에 따른 인증기관 서버의 개략적인 블록 구성을 도시한 것이다.
도 4는 본 발명의 실시 예에 따른 사용자 시스템에서 인증서 권한 변경 요청시 동작 제어 흐름을 도시한 것이다.
도 5는 본 발명의 실시 예에 따른 인증기관 서버에서 인증서 권한을 변경시키는 동작 제어 흐름을 도시한 것이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예의 동작을 상세하게 설명한다.
도 1은 본 발명의 실시 예에 따른 공개키 기반 구조 인증시스템의 네트웍 구성을 도시한 것이다. 이하 상기 도 1을 참조하면, 공개키 기반 구조 인증시스템은, 상기 인증시스템에 등록된 사용자에 대한 인증서를 발행하는 인증기관(108)과 사용자 시스템(104)으로 구성된다.
먼저 상기 사용자 시스템(104)은 PC(Personal Computer)등과 같이 인터넷(106)에 접속할 수 있는 단말장치를 말하는 것으로, 사용자는 상기 인증기관(108)에 회원 사용자로 등록하고, 상기 인증기관(108)으로부터 인증서를 발급 받은 후, 상기 사용자 시스템(104)을 이용하여 인터넷 뱅킹 또는 보안 웹메일 등 개인정보의 보안이 요구되는 인터넷 활동을 수행하며, 또한 부득이한 사정으로 인해 인증서의 권한을 변경하고자 하는 경우 상기 사용자 시스템(104)을 이용하여 인증기관(108)에 접속한 후, 생체정보를 이용한 사용자 인증을 통해 온라인으로 인증서 권한 변경을 수행할 수 있게 된다.
특히, 본 발명의 실시 예에서는 종래 인증기관으로부터 발급받은 인증서의 권한을 변경하고자 하는 경우 해당 등록기관이나 인증기관으로 사용자가 직접 찾아가야 했던 문제점을 해결하고자, 인증기관(108)에 회원 등록시 지문정보 등과 같은 사용자(100)의 고유 생체정보를 사용자 정보와 함께 등록하고 상기 생체정보를 이용하여 보다 신뢰성 높은 사용자 인증 수행이 가능하도록 함으로써, 상기 인증시스템의 회원 사용자(100)가 상기 인증기관(108)과 온라인으로 연결된 각자의 사용자 시스템(104)을 이용하여 인증서의 권한 변경을 수행할 수 있도록 한다.
도 2는 상기 도 1에 도시된 사용자 시스템의 개략적인 블록 구성을 도시한 것이다. 상기 도 2를 참조하면, 제어부(204)는 상기 사용자 시스템의 전반적인 동작을 제어하며, 본 발명의 실시 예에 따라 상기 인증시스템 접속시 인증기관(108)으로부터 제공되는 인증시스템 회원 사용자를 위한 웹페이지 화면을 다운로드받아 모니터부(200)에 디스플레이시키며, 상기 인증기관(108)으로부터 인증서를 발급받은 회원 사용자로부터 인증서 폐지, 중지, 회복 등과 같은 인증서 권한 변경 요구가 있는 경우 사용자의 생체정보를 입력받아 상기 요청 메시지와 함께 인증기관(108)으로 전송시킨다.
메모리부(206)는 제어부(204)의 동작에 필요한 각종 운영 프로그램을 내장하며, 상기 운영 프로그램의 구동시 필요한 각종 기본 데이터를 저장하고 있는 롬(ROM:Read Only Memory)과 제어부(204)의 제어에 의해 동작되는 프로그램을 임시 저장하거나 상기 동작 프로그램 수행시 발생되는 데이터를 일시 저장하기 위한 램(RAM:Random Access Memory)으로 구성된다. 통신부(208)는 상기 제어부(204)의 제어에 따라 상기 인증서 권한 변경 요청 메시지를 해당 인증기관(108)으로 전송시키며, 상기 인증기관(108)과 사용자 시스템(104)간 인터넷(106)을 통해 송/수신되는 데이터를 인터페이스한다. 키입력부(202)는 사용자 인터페이스부로 다양한 숫자키 및 기능키를 구비하며 사용자로부터의 키입력 발생시 해당 키이벤트 데이터를발생시켜 제어부(204)로 인가시킨다. 모니터부(200)는 제어부(204)의 제어에 따른 사용자 시스템의 각종 동작 상태를 디스플레이시킨다.
또한 본 발명의 실시 예에 따른 사용자 시스템(104)에는 사용자(100)의 생체정보를 입력할 수 있는 생체정보 입력장치로 지문정보 입력장치(102)가 구비되는데, 상기 지문정보 입력장치(102)는, 지문센서를 통해 사용자의 지문을 스캔 입력하는 지문인식부(214)와 상기 지문인식부(214)로부터 스캔 입력된 사용자 고유의 지문데이터를 분석하여 사용자 고유의 지문특징값을 추출하여 사용자 시스템(104)의 제어부(204)로 인가시키는 지문처리부(212)로 구성된다. 한편, 본 발명의 실시 예에서는 상기 생체정보 입력장치로 사용자의 지문을 인식하는 지문정보 입력장치를 예시하였으나, 이는 설명의 편의상 일 예를 들어 설명한 것 일뿐 상기 생체정보는 사용자의 홍체 정보나 얼굴특징 벡터값 등 다양한 사용자 고유의 생체정보가 될 수 있다.
인증기관(108)은 상기 공개키 기반 인증시스템의 핵심 객체로서 인증서 등록 발급 조회시 인증서의 정당성에 대한 관리를 총괄하는 시스템으로, 인터넷 뱅킹 등과 같이 보안이 요구되는 인터넷을 통한 전자문서의 송/수신시 상기 인증시스템에 회원 등록된 사용자를 인증하는 디지털 인증서를 발행하여 공신력 있는 제3자의 인증서를 통한 보다 안정성 있는 전자문서 전송 서비스를 제공하며, 본 발명의 실시 예에 따라 사용자 시스템으로부터의 인증서 권한 변경 요청이 있는 경우 생체정보를 이용한 사용자 인증을 통해 해당 변경 요청에 따른 인증서 권한 변경을 수행한다.
도 3은 상기 도 1의 인증기관 서버(108)의 개략적인 블록 구성을 도시한 것이다. 이하 상기 도 3을 참조하여 인증기관 서버(108)의 동작을 보다 상세히 설명하기로 한다. 먼저 분석 모듈부(300)는 서버 제어부(302)의 제어에 따라 상기 사용자 시스템(104)으로부터 암호화되어 전송된 인증서 권한 변경 요청 메시지를 복호화시키고 상기 메시지의 무결성을 검사한다.
메시지 생성 모듈부(304)는 서버 제어부(302)의 제어에 따라 상기 인증서 권한 변경 요청 메시지에 대하여 해당 인증서 권한 변경이 정상적으로 수행되었음을 알리는 응답메시지 또는 생체정보의 불일치로 인한 인증서 권한 변경 수행에 에러가 발생했음을 알리는 오류메시지를 생성한다. 암호 모듈부(306)는 상기 메시지 생성모듈부(304)로부터 생성된 응답메시지 또는 오류메시지를 해당 사용자 시스템(104)의 공개키로 암호화시킨다. 서명 모듈부(308)는 상기 사용자 시스템(104)의 공유된 비밀키로 보호처리된 상기 응답메시지 또는 오류메시지를 인증기관(108)의 개인키로 전자서명을 수행한다.
서버 제어부(302)는 상기 인증기관 서버(108)의 전반적인 동작을 제어하며, 특히 본 발명의 실시 예에 따라 상기 인증시스템의 회원 사용자의 인증서 권한 변경 요청 수신시 해당 사용자 시스템(104)으로부터 전송된 회원 사용자의 생체정보를 검사하여 회원 사용자에 대해 생체정보를 이용한 사용자 인증을 수행하며, 상기 인증서 권한 변경을 요청한 회원 사용자가 정당한 사용자로 판단되는 경우 상기 메시지 생성 모듈부(304)를 제어하여 인증서 권한 변경 요청이 정상적으로 처리되었음을 알리는 응답메시지를 생성시키고, 암호모듈부(306)와 서명모듈부(308)를 제어하여 상기 응답메시지를 공유된 비밀키로 보호처리하고, 인증기관 개인키로 전자서명을 수행하여 해당 사용자 시스템(104)으로 온라인 전송시킨다.
데이터 베이스 저장부(110)는 상기 인증기관 서버(108)에 의해 참조되며, 상기 인증시스템에 회원 가입된 사용자 정보를 구비한 사용자 정보 DB(310)와 상기 해당 사용자에 대한 생체정보를 상기 사용자 정보와 연계되도록 저장하고 있는 생체정보 DB(312) 등 상기 인증기관 서버(108) 운영에 따른 각종 DB를 구비한다. 메모리(314)는 서버 제어부(302)의 동작에 필요한 각종 운영 프로그램을 내장하며, 상기 운영 프로그램의 구동시 필요한 각종 기본 데이터를 저장하고 있는 롬(ROM:Read Only Memory)과 서버 제어부(302)의 제어에 의해 동작되는 프로그램을 임시 저장하거나 상기 동작 프로그램 수행시 발생되는 데이터를 일시 저장하기 위한 램(RAM:Random Access Memory)로 구성된다. 통신부(316)는 상기 서버 제어부(302)의 제어에 따라 상기 사용자 시스템(104)으로부터의 인증서 권한 변경 요청에 따른 응답메시지를 해당 사용자 시스템(104)으로 전송시키며, 상기 사용자 시스템(104)과 인증기관 서버(108)간 인터넷(106)을 통해 송/수신되는 데이터를 인터페이스한다.
도 4는 본 발명의 실시 예에 따라 상기 인증기관으로부터 인증서를 발급 받은 회원 사용자가 사용자 시스템(104)을 이용하여 상기 인증기관(108)으로 인증서 권한 변경 요청을 수행하기 위한 동작 제어 흐름을 도시한 것이다. 이하 상기 도 1, 도 2 및 도 4를 참조하여 상세히 설명한다.
먼저 지정된 등록기관을 통해 상기 인증기관(108)에 회원으로 등록한 사용자는 이후 자신의 사용자 시스템(104)을 이용하여 상기 인증기관(108)에 접속한 후, 상기 회원 등록에 따라 인증기관으로부터 부여된 참조번호와 생체정보를 이용한 사용자 인증을 통해 자신의 공개키에 대한 인증서를 발급 받게 된다. 상기 인증서는 공신력있는 제3자인 인증기관이 상기 회원 가입한 사용자에 대한 신원을 보증하여 주는 문서로 해당 사용자의 공개키 정보를 인증기관 개인키로 전자서명하여 발급하여 주게 되는데, 회원 사용자들은 상기 인증서를 이용하여 상대방의 공개키를 확인할 수 있는 등 보안 서비스를 수행하는 동안 중요한 요소로써 사용되게 된다.
이러한 인증서는 전술한 바와 같이 사용자의 요청에 따라 정지, 폐지 또는 회복 등으로 처리 가능하게 되는데, 사용자는 발급 받은 인증서에 대해 인증서의 정지, 폐지, 회복을 수행하고자 하는 경우 상기 인증시스템에 접속하여 상기 인증기관(108)으로 이와 같은 요청메시지를 전송하여 원하는 작업을 수행하게 된다.
즉, 사용자 시스템(104)은 사용자로부터 상기 인증시스템의 접속 요구가 있는 경우 (S400)단계에서 인터넷(106)으로 연결된 상기 인증시스템에 사용자의 로그인 정보를 이용하여 온라인 접속한 후, 인증기관(108)에서 회원 인증된 사용자들에게 제공하는 보안 서비스를 위한 웹페이지 화면을 모니터부(200)를 통해 디스플레이시킨다. 이때 상기 웹페이지 화면은 회원 인증된 사용자들이 각종 보안서비스 관련 메뉴와 인증서 관련 정보 변경 메뉴 등 다양한 기능 수행을 위한 메뉴로 구성될 수 있다.
따라서 사용자는 상기 웹페이지 화면에서 인증서 권한 변경을 위한 메뉴 중 원하는 메뉴를 선택하여 인증서 권한 변경을 요청하게 되는데, 즉 사용자가 더 이상 인증서를 필요로 하지 않게 되어 인증서를 폐지하고자 하는 경우에는 인증서 폐지 메뉴를 선택하게 되며, 인증서를 잠시 정지시키고자 하는 경우에는 인증서 정지 메뉴를 선택하게 되며, 상기 정지시킨 인증서를 다시 회복시키고자 하는 경우에는 인증서 회복 메뉴를 선택하게 되는 것이다.
그러면 사용자 시스템(104)은 (S402)단계에서 생체정보의 입력을 요구하여 사용자 시스템(104)에 연결된 생체정보 입력장치 중 하나인 지문정보 입력장치(102)를 통해 입력되는 사용자 고유의 지문정보를 입력받는다. 이어 사용자 시스템(104)은 (S404)단계로 진행해서 상기 사용자 생체정보가 포함된 인증서 변경 요청 메시지를 생성하여 상기 인증기관(108)의 공개키로 암호화하고, (S506)단계로 진행해서 인터넷(106)을 통해 상기 인증서 변경 요청 메시지를 상기 인증기관(108)으로 전송시키게 된다.
도 5는 본 발명의 실시 예에 따른 공개키 기반 구조 인증시스템의 인증기관에서 생체정보를 이용하여 회원 사용자에 대한 인증서 권한 변경을 수행하는 동작 제어 흐름을 도시한 것이다. 이하 상기 도 1, 도 3 및 도 5를 참조하여 본 발명의 실시 예를 상세히 설명한다.
먼저 인터넷(106)을 통해 연결된 상기 사용자 시스템(104)으로부터 인증서 권한 변경 요청 메시지를 수신하는 경우 인증기관(108)의 서버 제어부(302)는 (S500)단계에서 이에 응답하여 (S502)단계로 진행해서 상기 분석 모듈부(300)를 제어하여 상기 사용자 시스템(104)으로부터 암호화되어 전송된 인증서 권한 변경 요청 메시지를 복호화시키고 상기 회원 사용자의 전자서명을 분석하여 인증서 권한변경 요청 정보의 무결성을 검사하며, 이어 (S504)단계로 진행해서 상기 인증서 권한 변경 요청 메시지 포함된 사용자의 생체정보가 데이터 베이스 저장부(110)내 생체정보 DB(312)에 저장된 해당 사용자의 생체정보와 일치하는지 여부를 검사한다.
이때 만일 상기 인증서 권한 변경 요청 메시지의 무결성에 문제가 발생하거나 상기 수신된 사용자의 지문정보가 생체정보 DB(312)내 저장된 해당 사용자의 미리 등록된 지문정보와 일치하지 않는 경우 인증기관 서버 제어부(302)는 상기 (S506)단계에서 이에 응답하여 (S507)단계로 진행해서 상기 메시지 생성모듈부(304)를 제어하여 상기 인증서 권한 변경 요청을 정상적으로 수행할 수 없음을 알리는 인증서 권한 변경 오류 메시지를 생성하여 사용자 시스템(104)으로 전송시킨다.
그러나 이와 달리 상기 인증서 권한 변경 요청 메시지의 무결성에 문제가 없고, 상기 입력된 사용자의 지문정보가 생체정보 DB(312)내 저장된 해당 사용자의 미리 등록된 지문정보와 일치하는지 경우 인증기관 서버 제어부(302)는 상기 (S506)단계에서 이에 응답하여 (S508)단계로 진행해서 상기 인증서 권한 변경 요청 메시지가 인증서의 폐지를 요구하는 것인지, 인증서의 정지를 요구하는 것인지, 인증서의 회복을 요구하는 것인지 여부를 검사한다.
즉, 이때 만일 상기 인증서 변경 요청 메시지가 인증서의 폐지를 요구하는 메시지인 경우 인증기관 서버 제어부(302)는 (S510)단계에서 이에 응답하여 (S512)단계로 진행해서 상기 회원 사용자의 인증서를 정상적으로 폐지 처리하고, (S514)단계에서 메시지 생성모듈부(304)를 제어하여 인증서 폐지 요청이 정상 처리되었음을 알리는 응답메시지를 생성시킨다. 이와 달리 상기 인증서 변경 요청 메시지가 인증서의 중지를 요구하는 메시지인 경우 인증기관 서버 제어부(302)는 (S516)단계에서 이에 응답하여 (S518)단계로 진행해서 상기 회원 사용자의 인증서를 정상적으로 정지 처리하고, 상기 (S514)단계에서 메시지 생성모듈부(304)를 제어하여 인증서 중지 요청이 정상 처리되었음을 알리는 응답메시지를 생성시킨다. 그리고 이와 달리 상기 인증서 변경 요청 메시지가 중지되었던 인증서의 회복을 요구하는 메시지인 경우 인증기관 서버 제어부(302)는 (S520)단계에서 이에 응답하여 (S522)단계로 진행해서 상기 회원 사용자의 인증서 권한이 정상적으로 회복되도록 처리하고, 상기 (S514)단계에서 메시지 생성모듈부(304)를 제어하여 인증서 회복 요청이 정상 처리되었음을 알리는 응답메시지를 생성시킨다.
이어 인증기관 서버 제어부(302)는 (S524)단계로 진행해서 상기 인증서 권한 변경 요청 메시지의 처리에 따라 생성된 해당 응답메시지를 상기 사용자 시스템(104)의 공개키로 암호화하고 인증기관(108)의 개인키로 전자서명하여 해당 사용자 시스템(104)으로 전송시키게 된다.
따라서 상기한 바와 같이 공개키 기반 구조 인증시스템에서 생체정보를 이용한 보다 신뢰성 높은 사용자 인증을 통해 사용자 시스템과 인증기관간 온라인으로 인증서 권한 변경이 수행될 수 있게 된다.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
이상에서 설명한 바와 같이, 본 발명은 공개키 기반 구조 인증시스템에서 인증서의 폐지, 중지, 회복 등과 같은 인증서의 권한 변경을 위한 사용자 인증 필요시 생체정보를 이용하여 신뢰성이 보장된 사용자 인증을 수행할 수 있게 됨으로써, 종래와 같이 인증서 권한 변경을 위해 사용자가 등록기관이나 인증기관을 직접 찾아가지 않아도 되며, 인증기관과 온라인 연결된 각자의 사용자 시스템을 이용하여 쉽게 인증서 권한 변경 작업을 수행할 수 있게 되는 이점이 있다.

Claims (11)

  1. 사용자의 신원을 대행 확인하는 등록기관, 상기 등록기관에 의해 신원 확인된 사용자에 대한 인증서를 발행하는 인증기관 및 사용자 시스템을 포함하는 공개키 기반 구조 인증시스템에서 생체정보를 이용하여 발급된 인증서 권한 변경을 요청하는 방법에 있어서,
    (a)상기 인증시스템에 회원 등록된 사용자로부터 인증서 권한 변경 요청이 있는 경우 사용자의 로그인 정보를 이용하여 상기 인증기관 서버에 접속하는 단계;
    (b)상기 사용자 시스템에 구비된 생체정보 입력장치를 통해 사용자 인증을 위한 생체정보를 입력받는 단계;
    (c)상기 사용자의 요청에 따른 인증서 권한 변경 요청 메시지를 생성하는 단계; 및
    (d)상기 생체정보와 인증서 권한 변경 요청 메시지를 상기 인증기관으로 전송하여 온라인으로 인증서 권한 변경을 요청하는 단계;를 포함하여 진행하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  2. 제1항에 있어서,
    상기 생체정보와 인증서 권한 변경 요청 메시지는, 상기 인증기관의 공개키로 암호화되어 전송되는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  3. 사용자의 신원을 대행 확인하는 등록기관, 상기 등록기관에 의해 신원 확인된 사용자에 대한 인증서를 발행하는 인증기관 및 사용자 시스템을 포함하는 공개키 기반 구조 인증시스템에서 생체정보를 이용하여 발급된 인증서의 권한을 변경 방법에 있어서,
    (a')인터넷을 통해 상기 인증시스템에 접속한 사용자 시스템으로부터의 인증서 권한 변경 요청 메시지를 수신하는 단계;
    (b')상기 인증서 권한 변경을 요청한 사용자로부터 시스템 회원 인증을 위한 로그인 정보 및 생체정보 입력받는 단계;
    (c')상기 개인키를 통해 인증된 사용자의 데이터 베이스 저장부내 등록 생체정보와 상기 입력된 생체정보가 일치하는지 여부를 검사하는 단계;
    (d')상기 생체정보가 일치하는 경우 해당 사용자에게 발급된 인증서의 권한을 상기 인증서 권한 변경 요청에 맞게 변경 처리하는 단계; 및
    (e')상기 인증서 권한 변경이 정상적으로 처리되었음을 알리는 응답메시지를 상기 사용자 시스템으로 전송하는 단계;를 포함하여 진행하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  4. 제3항에 있어서,
    상기 (a)단계 이후, (a1)상기 인증서 권한 변경 요청 메시지의 무결성을 검사하여 상기 요청 메시지의 무결성에 에러가 발생한 경우에는 인증서 권한 변경 요청을 수행할 수 없음을 알리는 오류발생 메시지를 상기 사용자 시스템으로 전송하는 단계;를 더 포함하여 진행하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  5. 제3항에 있어서,
    상기 (c)단계에서, (c1)상기 데이터 베이스 저장부내 등록 저장된 사용자의 생체정보와 상기 입력된 생체정보가 일치하지 않는 경우에는 회원 사용자 인증 실패를 알리는 오류발생 메시지를 상기 시스템으로 전송하는 단계;를 더 포함하여 진행하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  6. 제3항에 있어서,
    상기 (d)단계에서, (d1)상기 인증서 폐지가 요청된 경우에는 상기 사용자에게 발급된 인증서를 폐지시키는 단계;
    (d2)상기 인증서 중지가 요청된 경우에는 상기 사용자에게 발급된 인증서를 중지시키는 단계;
    (d3)상기 인증서 회복이 요청된 경우에는 중지 처리된 상기 사용자의 인증서 권한을 회복시키는 단계;를 포함하여 진행하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  7. 제3항에 있어서,
    상기 데이터 베이스 저장부는, 상기 인증시스템에 회원 등록된 사용자 정보를 구비한 사용자 정보 DB와 상기 사용자에 대한 생체정보를 저장하고 있는 생체정보 DB를 포함하며, 상기 인증시스템에 등록된 사용자 정보와 해당 사용자의 생체정보를 연계하여 등록 저장하고 있는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  8. 제1항 또는 제3항에 있어서,
    상기 사용자 시스템은, 사용자의 생체정보 입력을 위한 생체정보 입력장치를 구비하는 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  9. 제1항 또는 제3항에 있어서,
    상기 생체정보는, 상기 사용자 고유의 지문 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  10. 제1항 또는 제3항에 있어서,
    상기 생체정보는, 상기 사용자 고유의 홍체 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
  11. 제1항 또는 제3에 있어서,
    상기 생체정보는, 상기 사용자 고유의 얼굴 특징 벡터 정보인 것을 특징으로 하는 공개키 기반 구조 인증시스템에서 생체정보를 이용한 인증서 권한 변경 방법.
KR10-2001-0064186A 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 KR100529550B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2001-0064186A KR100529550B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
US10/082,334 US7366904B2 (en) 2001-10-18 2002-02-26 Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0064186A KR100529550B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법

Publications (2)

Publication Number Publication Date
KR20030032422A true KR20030032422A (ko) 2003-04-26
KR100529550B1 KR100529550B1 (ko) 2005-11-22

Family

ID=19715215

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0064186A KR100529550B1 (ko) 2001-10-18 2001-10-18 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법

Country Status (2)

Country Link
US (1) US7366904B2 (ko)
KR (1) KR100529550B1 (ko)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO319858B1 (no) * 2003-09-26 2005-09-26 Tandberg Telecom As Fremgangsmate for identifisering
JP4671783B2 (ja) * 2004-07-20 2011-04-20 株式会社リコー 通信システム
US8291224B2 (en) * 2005-03-30 2012-10-16 Wells Fargo Bank, N.A. Distributed cryptographic management for computer systems
JPWO2007094165A1 (ja) * 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
WO2008147577A2 (en) * 2007-01-22 2008-12-04 Spyrus, Inc. Portable data encryption device with configurable security functionality and method for file encryption
US20090307140A1 (en) 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
KR101190060B1 (ko) * 2008-12-12 2012-10-11 한국전자통신연구원 아이덴티티 데이터 관리 장치 및 방법
US9246908B2 (en) * 2009-01-08 2016-01-26 Red Hat, Inc. Adding biometric identification to the client security infrastructure for an enterprise service bus system
US9378348B2 (en) * 2009-01-08 2016-06-28 Red Hat, Inc. Adding biometric identification to the server security infrastructure for an enterprise service bus system
US8249218B2 (en) 2009-01-29 2012-08-21 The Invention Science Fund I, Llc Diagnostic delivery service
US8130904B2 (en) 2009-01-29 2012-03-06 The Invention Science Fund I, Llc Diagnostic delivery service
CN103210627A (zh) * 2010-11-15 2013-07-17 交互数字专利控股公司 证书认证和信道绑定
EP2512061A1 (en) 2011-04-15 2012-10-17 Hanscan IP B.V. System for conducting remote biometric operations
US8862767B2 (en) 2011-09-02 2014-10-14 Ebay Inc. Secure elements broker (SEB) for application communication channel selector optimization
US8744078B2 (en) 2012-06-05 2014-06-03 Secure Channels Sa System and method for securing multiple data segments having different lengths using pattern keys having multiple different strengths
US9094388B2 (en) 2013-05-01 2015-07-28 Dmitri Tkachev Methods and systems for identifying, verifying, and authenticating an identity
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
CN111711520B (zh) * 2015-04-23 2023-12-15 崔云虎 泛在环境中的认证
US9882726B2 (en) 2015-05-22 2018-01-30 Motorola Solutions, Inc. Method and apparatus for initial certificate enrollment in a wireless communication system
US10484172B2 (en) 2015-06-05 2019-11-19 Apple Inc. Secure circuit for encryption key generation
CN105721159A (zh) * 2016-01-20 2016-06-29 浪潮(北京)电子信息产业有限公司 一种操作系统身份认证方法及系统
US10667134B2 (en) * 2016-11-21 2020-05-26 International Business Machines Corporation Touch-share credential management on multiple devices
US10454690B1 (en) * 2017-08-04 2019-10-22 Amazon Technologies, Inc. Digital certificates with distributed usage information
WO2019061520A1 (zh) * 2017-09-30 2019-04-04 华为技术有限公司 切换路径的方法及装置
US11165575B2 (en) * 2019-01-02 2021-11-02 Citrix Systems, Inc. Tracking tainted connection agents
CN111523147B (zh) * 2020-07-03 2020-11-24 支付宝(杭州)信息技术有限公司 一种基于区块链的核身方法及相关硬件
US20240039728A1 (en) * 2022-07-27 2024-02-01 Mastercard International Incorporated Efficient user control of their data stored in a centralised biometric database

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR0147385B1 (ko) 1991-01-15 1998-08-01 문정환 셀프-어라인 바이폴라 접합 트랜지스터 공정방법
US6105010A (en) * 1997-05-09 2000-08-15 Gte Service Corporation Biometric certifying authorities
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
US6928546B1 (en) * 1998-05-14 2005-08-09 Fusion Arc, Inc. Identity verification method using a central biometric authority
US6167518A (en) * 1998-07-28 2000-12-26 Commercial Electronics, Llc Digital signature providing non-repudiation based on biological indicia
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6256737B1 (en) * 1999-03-09 2001-07-03 Bionetrix Systems Corporation System, method and computer program product for allowing access to enterprise resources using biometric devices
EP1132797A3 (en) * 2000-03-08 2005-11-23 Aurora Wireless Technologies, Ltd. Method for securing user identification in on-line transaction systems
KR20000049977A (ko) * 2000-05-09 2000-08-05 이헌 생물학적 특성을 이용한 인증방법을 통한 전자화폐의 인증적립 결제 시스템과 전자상거래 클리어 시스템
US7254711B2 (en) * 2001-04-05 2007-08-07 Nippon Telegraph And Telephone Corporation Network authentication system, method, and program, service providing apparatus, certificate authority, and user terminal
US20020176583A1 (en) * 2001-05-23 2002-11-28 Daniel Buttiker Method and token for registering users of a public-key infrastructure and registration system
US20030018890A1 (en) * 2001-07-23 2003-01-23 Hale Douglas Lavell Method of local due diligence for accepting certificates

Also Published As

Publication number Publication date
KR100529550B1 (ko) 2005-11-22
US7366904B2 (en) 2008-04-29
US20030076962A1 (en) 2003-04-24

Similar Documents

Publication Publication Date Title
KR100529550B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
US10829088B2 (en) Identity management for implementing vehicle access and operation management
KR100449484B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 발급 방법
EP2224368B1 (en) An electronic data vault providing biometrically protected electronic signatures
US7457950B1 (en) Managed authentication service
KR102202547B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US20100042848A1 (en) Personalized I/O Device as Trusted Data Source
JP2005532736A (ja) 生物測定学的私設キーインフラストラクチャ
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
CN1529856A (zh) 使用电子许可证的国际互联网络第三方认证
JP2004348308A (ja) 本人認証システム
WO2009101549A2 (en) Method and mobile device for registering and authenticating a user at a service provider
EP3683703A1 (en) System for authentification
WO2013101164A1 (en) Apparatus and method for performing over-the-air identity provisioning
JP2015194879A (ja) 認証システム、方法、及び提供装置
JP2007058455A (ja) アクセス管理システム、および、アクセス管理方法
US20030131244A1 (en) Method and system for identifying users and authenticating digital documents on data communications networks
US20090319778A1 (en) User authentication system and method without password
KR100648986B1 (ko) 전자명함 서비스 시스템 및 방법과 전자명함 인증 장치 및방법과 이를 위한 컴퓨터로 읽을 수 있는 기록 매체
KR20180039037A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
US20210319116A1 (en) Systems and methods of access validation using distributed ledger identity management
EP1959607B1 (en) A method and system for authenticating the identity
JP2005157845A (ja) サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法
KR20020041857A (ko) 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20040227

Effective date: 20050930

S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20101101

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee