KR20050083594A - 바이오메트릭 개인키 인프라스트럭처 - Google Patents

바이오메트릭 개인키 인프라스트럭처 Download PDF

Info

Publication number
KR20050083594A
KR20050083594A KR1020057000086A KR20057000086A KR20050083594A KR 20050083594 A KR20050083594 A KR 20050083594A KR 1020057000086 A KR1020057000086 A KR 1020057000086A KR 20057000086 A KR20057000086 A KR 20057000086A KR 20050083594 A KR20050083594 A KR 20050083594A
Authority
KR
South Korea
Prior art keywords
key
user
biometric
private key
biometric sample
Prior art date
Application number
KR1020057000086A
Other languages
English (en)
Inventor
소토루즈마리아
핸킨슨마이클엘.
퍼키로저
Original Assignee
오로라 와이어리스 테크놀로지즈 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오로라 와이어리스 테크놀로지즈 리미티드 filed Critical 오로라 와이어리스 테크놀로지즈 리미티드
Publication of KR20050083594A publication Critical patent/KR20050083594A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 일 형태에 따르면, 네트워크 통신 및 거래를 위한 신용 및 승인을 제공한다. 바이오메트릭 개인키(BioPKI)를 채택하는 네트워크 인프라스트럭처가 제공된다. 일반적으로, BioPKI는 전자 사용자 승인을 유효화하는 두 가지 소프트웨어 솔루션의 특이한 조합이다: 최신 바이오메트릭 서명 시스템 및 데이터 무결성을 위한 디지털 서명. 상기 조합된 솔루션은 금융기관과 같은 네트워킹된 비즈니스 및 상인으로 하여금 사용자 승인이 표준 네트워크 환경에서 신뢰할 만한 보안 형태로 행해짐을 확신하게 한다. 한 가지 예시적인 구현예에서, 바이오메트릭 서명은, 자동화된, 비표준 사용자 승인 능력을 현존하는 디지털 서명 프로세스에 부가함으로써 표준 디지털 서명을 향상시킨다. 순수한 바이오메트릭-기반 시스템 또는 디지털 서명/인증서 환경에서의 간단한 검증과는 대조적으로, BioPKI는 바이오메트릭 승인 및 산업-표준 PKI 기술들을 기초로 한 디지털 서명들을 생성하기 위하여 개인키들을 액세스하기 위한 바이오메트릭 기술의 조합을 이용한다. 일 예시에서, BioPKI는 BioPKI 서버로의 전송을 위하여 바이오메트릭 서명 정보를 암호화하기 위한 공개키 암호문 기술을 활용한다. 암호화 패킷은 바이오메트릭 서명이 개인의 개인키를 액세스하기 전에 보안되고 유효화되는 것을 보장하도록 몇 가지 계층의 내부 정보를 포함한다.

Description

바이오메트릭 개인키 인프라스트럭처{BIOMETRIC PRIVATE KEY INFRASTRUCTURE}
본 출원은 본 명세서에서 참고문헌으로 채택하고 있는, 2002년 7월 3일에 출원된 미합중국 가출원 일련번호 제 60/393,606호를 우선권 주장한다.
본 발명은 일반적으로 네트워크 통신 및 거래(network communications and transactions)에 관한 것으로, 특히 바이오메트릭 승인(biometric authentication)을 채용하는 개인키 인프라스트럭처(private key infrastructure)를 이용하여 네트워크 통신 및 거래의 신용(trust) 및 검증(verification)에 관한 것이다.
현재 인터넷은 글로벌 커머스(global commerce) 및 통신을 위한 주된 플랫폼(primary platform)이 되어가고 있다. 이것은 이제 규모가 아무런 의미를 갖지 못하는 컴퓨터 및 전자 네트워크로 구성되는 네트워킹된 세계를 말한다. 비즈니스 세계에게, 본사(head offices), 금융기관 등은 기밀 정보를 통신 및 공유하는데, 이들 모두는 인터넷 사용을 급속도로 증가시키는데 기여한다. 기업, 정부 및 개인들은 급변하는 기업 활동을 운영하기 위하여 새로운 기술들에 많이 의존한다. 성인, 청소년 등은 친구, 동료 및 애인과 인터넷을 통해 집에서 편안히 이메일로 통신한다.
시간이 갈수록 인터넷과 여타의 네트워크들의 무한한 잠재성이 실현되어 가고 있으며, 이제 종이-기반 거래(paper-based transaction) 및 현장성이라는 점과 연관된 신용의 정도로 금융 거래가 이루어지고 있다. 전통적인 통신에 있어서는 봉인된 서류, 공식 서류, 기록된 서명, ID 검증 및 신뢰할 만한 배달 서비스들이 신뢰성을 제공한다. 네트워크에서는, 전자 거래들이 "가상 세계(virtual world)"에서 행해진다.
하지만, 인터넷의 폭발적인 성장에 의해 촉발된 개방성은 또한 인터넷 거래가 확실하게 보장되고, 형식 및 사용자 동일성을 보장하는 것을 어렵게 만들었다. 정부, 기업 및 개인들은 인터넷을 통해 전송하는 정보의 무결성(integrity)을 보장할 뿐만 아니라, 보호된 정보가 식별되는 사람에 의해 진정으로 전송되었다는 확신을 제공함으로써 종이-기반 거래 및 식별성 검증과 동일한 수준의 신용 레벨을 제공할 수 있는 메커니즘을 요구한다.
따라서, 그들의 기밀 통신을 인터넷에 위탁하기 전에, 사용자들은 특별한 보증성을 요구한다. 그들은 그들의 전자 거래가 신뢰성이 있고 부정 조작(tampering)으로부터 보호되기를 원한다. 그들은 거래하는 당사자가 신뢰성이 있고 거래 후에도 거래의 관여를 부인하지 못하도록 할 수 있는 것을 원한다.
공개키 암호문(public key cryptography) 및 공개키 인프라스트럭처(PKI)는 네트워크 환경에서 보안된 온-라인 거래를 제공하기 위한 공지된 방법이다. 공지된 바와 같이, 공개키 암호문은 비대칭 공개키 및 개인키(즉, 키 쌍)의 사용을 포함한다. 공개키 암호문의 구현예에 있어서의 예시적인 프레임워크(framework)는, www.rsasecurity.com/rsalabs/pkcs/pkcs-1/index.html에서 입수가능한 표준의, RSA 시큐리티사에 의해 제공된 공개-키 암호문 표준(PKCS)의 버전 2.1(2002년 6월)로 공개 도메인에 설명되어 있으며, 그 내용이 본 명세서에 참고문헌으로 포함된다.
PKI는 디지털 인증서(digital certificates) 및 인증서 승인부(certification authorities)의 사용을 더 포함할 수 있다. 종래의 PKI(100)의 예시가 도 1에 도시되어 있다. 도 1에 도시된 바와 같이, 발신자(102)가 (예컨대, 보안 거래를 위하여) 수신자(104)에게 신뢰할 만한 메시지를 전송하기 원하는 경우, 발신자(102)는 인증서 승인부(106)로부터의 키 쌍을 제공한다. 인증서 승인부(CA)(106)는 발신자(102)용 개인키(108) 및 공개키(110)를 포함하는 키 쌍을 생성한다. 상기 CA는 또한 발신자의 공개키 및 기타 여러 식별 정보를 포함하는 암호화된 디지털 인증서(114)를 발행한다. 상기 CA는 예컨대 인쇄 홍보물 또는 인터넷을 통해 이용가능하도록 그 자신의 공개키(112)를 만든다. 의도된 수신자(104)는 그 후에 디지털 인증서를 디코딩하기 위하여 CA의 공개키(112)를 사용하여, 그것이 상기 CA(106)에 의해 발행되었다는 것을 증명할 수 있다. 이러한 정보와 함께, 상기 수신자는 그 후에 발신자의 공개키(110)를 획득하고 그것을 사용하여 암호화된 응답을 다시 발신자(102)에게 전송할 수 있다. (암호화되거나 암호화되지 않은) 발신자(102)로부터 수신자(104)로의 메시지는 또한 추가 검증을 위한 디지털 서명을 포함할 수도 있다. 공지된 바와 같이, 디지털 서명은 발신자의 개인키(108)를 이용하여 메시지 자체로부터 생성되고, 상기 서명이 상기 특정 메시지에 속하는 지를 검증하고, 이에 따라 상기 메시지의 내용이 부정 조작되지 않았음을 보장하게 된다. 발신자의 공개키(110)를 이용하면, 상기 수신자(108)는 디지털 서명을 디코딩하고 이러한 추가 검증을 수행할 수 있게 된다. 본 명세서에서 사용되는 "발신자(sender)" 및 "수신자(recipient)"라는 용어는 설명을 손쉽게 하기 위한 것임을 유의해야 한다. 당업계의 당업자는, 일 거래에서의 특정 "발신자"도 (암호화되거나 암호화되지 않은) 메시지들을 수신할 수도 있는 한편, 특정 "수신자"도 또한 동일하거나 상이한 거래에 대한 메시지들을 보낼 수 있다는 것을 이해할 것이다.
이에 따라 종래의 PKI(100)는 기밀 전자 통신이 비공개적이고 부정 조작으로부터 보호되는 것을 보장하기 위하여 노력한다. 이는 오리지널 메시지의 내용이 부정 조작되지 않고 수신하는 엔티티에 의해 검증될 수 있는 몇 가지 보증성을 제공한다.
디지털 혁명에 참여하기를 갈망하는 정부, 기업 및 개인들은 모두 디지털 인증서의 모든 기대되는 사용자들이다. 이것이 수반될 잠재적인 개수의 인증서들이 주어진다면, 그 사용을 관리하고 매니징하는 방법이 필요하다. 인증서 관리는 PKI의 인증서 승인부의 능력의 척도이다. 전세계적으로 크고 작은 기업들이, 인증서들의 집중화된 생성, 분배, 관리, 갱신 및 폐지를 가능하게 하기 위한 바람직한 솔루션으로서 공개키 인프라스트럭처를 채택하고 있다.
하지만, 문제점들이 여전히 존재한다. 현재 인터넷 상의 거래 보안 시스템들에 있어서의 전제 사항은, 적법한 사용자가 공지된 어떤 것(개인키)를 소유하거나 또는 사용자의 개인키를 복호화하는 패스워드 혹은 토큰(token)에 위임되었거나, 혹은 종래의 암호화 기술들의 사용을 통해 그것에 액세스를 부여한다는 점이다. 이러한 개인키는 (웹 브라우저의 경우에) 디지털 인증서의 내용에 내장될 수 있거나, 스마트 카드 또는 여타의 전자 디바이스들과 같은 핸드-헬드(hand-held) 혹은 컴퓨터 디바이스들에 암호화될 수 있다. 이러한 모든 시나리오에 있어서는, 사용자가 이들 디바이스들을 보호하고 개인 소유 및 보호 수단을 통해 절도를 막는다는 것을 가정한다. 하지만, 오늘날의 네트워크 환경에서는, 이러한 토큰들이 사용자에 의한 부주의한 제어에 의해 또는 직접적인 절도나 패스워드 조작에 의하여 손쉽게 피해를 받을 수 있다.
본 명세서에서 그 내용이 참고문헌으로 채택되고 있는, 보통 본 발명의 양수인이 소유하는 계류중인 미합중국 출원 제 09/801,468(AWT-003)호는, 바이오메트릭을 이용하여 온-라인 거래와 연계되는 사기 행위를 줄일 수 있는 최신 기술을 극적으로 개선시켰다. 하지만, 상술된 더욱 많은 문제점들을 해결하기 위해서는, 표준 네트워크 환경 하에서의 온-라인 통신 및 커머스 거래에 대한 상기 발명의 바이오메트릭 사용자 승인 형태들이 보다 완전하게 발전되어야 할 필요성은 여전하다.
도 1은 종래의 공개키 인프라스트럭처를 도시한 블록도;
도 2는 본 발명에 따른 바이오메트릭 승인(Bio PKI)을 채택하는 네트워크 인프라스트럭처를 도시한 블록도;
도 3은 본 발명에 따른 인프라스트럭처에 사용될 수 있는 PKdI 서버의 예시적인 구현예를 도시한 블록도;
도 4는 본 발명에 따른 인프라스트럭처에 사용될 수 있는 PKdI 서버의 대안적인 예시적인 구현예를 도시한 블록도;
도 5는 본 발명의 일 형태에 따른 가입 프로세스로 구현된 예시적인 방법을 도시한 플로우차트;
도 6은 본 발명의 일 형태에 따른 등록 프로세스로 구현된 예시적인 방법을 도시한 플로우차트;
도 7은 본 발명의 일 형태에 따른 로그인 프로세스로 구현된 예시적인 방법을 도시한 플로우차트; 및
도 8은 본 발명의 일 형태에 따른 확인 프로세스로 구현된 예시적인 방법을 도시한 플로우차트이다.
본 발명은 일반적으로 네트워크 통신 및 거래를 위한 신용 및 승인에 관한 것이다. 본 발명의 일 형태에 따르면, 바이오메트릭 개인키(BioPKI)를 채택하는 네트워크 인프라스트럭처가 제공된다. 일반적으로 BioPKI는 전자 사용자 승인을 유효화하는 두 가지 소프트웨어 솔루션의 특이한 조합이다: 최신 바이오메트릭 서명 시스템 및 데이터 무결성을 위한 디지털 서명. 상기 조합된 솔루션은 금융기관과 같은 네트워킹된 비즈니스 및 상인들로 하여금 사용자 승인이 표준 네트워크 환경 하에서 신뢰할 만한 보안 형태로 행해짐을 확신하도록 한다. 이러한 새로운 기술은 전자 통신 세계에서 사용자 승인 및 데이터 무결성 양자 모두를 제공한다.
한 가지 예시적인 구현예에서, 바이오메트릭 서명은, 자동화된, 비표준(non-reputable) 사용자 승인 능력을 현존하는 디지털 서명 프로세스에 부가함으로써 표준 디지털 서명을 향상시킨다. 순수한 바이오메트릭-기반 시스템 또는 디지털 서명/인증서 환경에서의 간단한 검증과는 대조적으로, BioPKI는 바이오메트릭 승인 및 산업-표준 PKI 기술들을 기초로 한 디지털 서명들을 생성하기 위하여 개인키들을 액세스하기 위한 바이오메트릭 기술의 조합을 이용한다. 일 예시에서, BioPKI는 BioPKI 서버로의 전송을 위하여 바이오메트릭 서명 정보를 암호화하기 위한 공개키 암호문 기술을 활용한다. 암호화 패킷은 바이오메트릭 서명이 개인의 개인키를 액세스하기 전에 보안되고 유효화되는 것을 보장하도록 몇 가지 계층의 내부 정보를 포함한다.
본 발명의 또 다른 형태에 따르면, 상기 시스템은 BioPKI가 네트워크 환경에서 매끄럽게(seamlessly) 작업할 수 있는 클라이언트/서버 디자인을 포함한다. 가능성 있는 한 가지 예시에 있어서, 상기 시스템은 (스마트 카드와 같은) 개인의 개인키를 보안하는 간단한 4 디지트 PIN/Token 기술들을 이용하여 정상적으로 승인되는 개인을 신속하게 승인하기 위한 디스트리뷰티드 아키텍처(distributed architecture)를 특징으로 한다. 상기 BioPKI 승인 서버는, 사용자의 자체 개인키를 액세스하기 전에 개인을 승인할 필요가 있는 바이오메트릭 템플릿에 대한 액세스 및 거래 처리를 위하여 적절한 다운스트림 엔티티(downstream entities)에 대해 디지털 서명을 라우팅하는 처리 능력을 가진다. 이는 지불 게이트웨이, 금융기관 또는 여타의 승인 브로커들과 같은 엔티티를 포함한다. BioPKI는 바이오메트릭 사용자 승인 뿐만 아니라 개인키 인프라스트럭처 기술들을 배치한다. 이러한 두 가지 기술들을 함께 결합시킴으로써, 보다 강력한 "무선 PKI" 보안 시스템이 생성되는데, 이는 개인들이 다수의 토큰을 유지할 필요가 없게 하고; 오히려 이러한 접근법은 바이오메트릭 서명(예컨대, 지문)이 유효화된 후에만 액세스되는 보안 서버 상에 상기 개인키(들)이 저장되도록 한다. BioPKI는 또한 사용자 승인을 위한 추가 패스워드 요소를 이용하여 구현될 수도 있는데, 이는 바이오메트릭 서명의 추가 보안성을 요구하거나 요구하지 않을 수도 있다. 후자 기술은 시스템의 사용자들에게 그들이 목표 거래 처리에 있어서 원하는 보안성 레벨을 결정할 수 있는 능력을 허용한다.
상기 BioPKI 서버 및 호스트들은 클라이언트/서버 아키텍처를 형성하기 위한 보안된 여러 네트워크 방법들에 의해 접속된다. 상기 서버 및 클라이언트들은 각각 이산 서브시스템(discrete subsystem)들을 포함하는데, 이는 네트워크의 사용자들에게 다양한 레벨의 승인 서비스들을 제공한다. 본 발명의 일 예시에 있어서, 상기 시스템은 사용자 클라이언트(들), 네트워크-기반 서버 및 사용자 데이터의 신뢰할 만한 전송을 보장하는 산업 표준 암호화 구성요소들로 이루어진다. 본 구현예는 SSL을 통한 강력한 암호화를 포함한다.
본 발명의 상기 형태와 기타 형태 및 특징들은 첨부 도면들과 연계하여 본 발명의 특정 실시예들의 상세한 설명을 통하여 당업계의 당업자에게 명백해질 것이다.
이하, 본 발명은 당업계의 당업자가 본 발명을 실시할 수 있도록 하기 위하여, 본 발명의 예시적인 예로서 제공되는 도면들을 참조하여 상세히 기술된다. 특히, 아래의 도면들과 예시들은 본 발명의 범위를 제한하려는 것은 아니다. 더욱이, 본 발명의 소정 요소들이 공지된 구성요소들을 이용하여 부분적으로 또는 전체적으로 구현될 수 있는 경우에는, 본 발명의 이해를 돕기 위하여 공지된 구성요소들의 단지 일부분들만이 기술될 것이며, 이러한 공지된 구성요소들의 여타의 부분들의 상세한 설명은 본 발명의 명료성을 위하여 생략될 것이다. 또한, 하드웨어를 이용하는 소정 구성요소들 및 소프트웨어를 이용하는 여타의 소정 구성요소들의 구현예는 당업계의 당업자의 디자인 선택에 따르며, 본 명세서에 기술된 조합예는 제한적이라기 보다는 예시적인 것을 나타낸다. 또한, 본 발명은 예시를 통해 본 명세서에 언급된 공지된 구성요소에 대한 현재 및 미래의 공지된 등가물을 포괄하며, 이러한 등가물을 포함하는 구현예들은 본 발명의 대안적인 실시예들로 간주된다.
도 2는 본 발명의 일 형태에 따른 바이오메트릭 개인키 인프라스트럭처(Bio PKI)(200)의 예시적인 구현예를 도시한 블록도이다.
일반적으로, 공개키 암호문, 디지털 서명 및 바이오메트릭 특성화(characterization)의 사용을 기초로 하여, BioPKI는 사용자들이 인터넷 및 여타의 네트워크를 통해 기밀 정보를 신뢰성 있게 전달하는데 필요한 확실성을 제공한다. 본 발명의 일 형태에 따르면, 승인은, 계속되는 거래 처리 전에 보안 서버 상에 저장된 개인키에 액세스하기 위하여 바이오메트릭 서명(들)이 공지된 템플릿들에 대해 일치되어야 할 것을 요구하는 것을 기초로 한다.
BioPKI는 개인의 바이오메트릭 특성화를 보호하여, 그것이 훼손되거나 악용될 수 없도록 한다. 이러한 보안된 정보는 그 후에 거래 메시지 내용을 서명(sign)하기 위하여 바이오메트릭 서명을 통해서만 액세스될 수 있는 유일하게 할당된 개인키를 검색하는데 사용된다. 그 결과, 이러한 디지털 서명을 채택하는 새로운 기술, 암호화 및 복호화(데이터 스크램블링 및 언스크램블링) 기술들 및 방침들과 절차들의 포괄적인 프레임워크(comprehensive framework)는 중요한 신규 장점들을 제공한다. 이들은 다음 사항을 포함한다: 전자 통신이 승인되지 않은 사람들에 의해 인터셉트되거나 판독되지 않는 것을 보장함으로써 프라이버시를 보호하고; 전송 시에 변경되지 않는 것과 사용된 개인키가 메시지를 서명하기 전에 바이오메트릭 서명에 의해 검증되는 것을 보장함으로써 전자 통신의 무결성(integrity)을 보증하며; 전자 거래에 포함된 당사자가 상기 거래에의 관련을 부인할 수 없도록 전자 거래에 포함된 당사자들의 동일성을 검증하는 것. 더욱이, BioPKI는 이러한 보증 사항들을 사용자가 알기 쉬운 간단한 프로세스를 통해 전달한다.
종래의 PKI에 의하면, 상기 예시적인 구현예에서의 Bio PKI(200)는, 데이터를 스크램블(암호화)하기 위한 수학적 알고리즘 또는 키 및 그것을 언스크램블(복호화)하기 위한 관련된 수학적 키를 이용하여 기밀 정보 또는 메시지들의 신뢰성을 보장하도록 PKCS에 기초한 것과 같은 공개키 암호문을 사용한다. 이에 따라, 승인된 사용자들은 예컨대 하드웨어 및 소프트웨어를 캡처링하는 바이오메트릭 서명 및 특별한 암호화를 포함하는 PKdI 클라이언트(220)를 검색한다. Bio PKI(200)에서의 사용을 위하여 승인된 사용자들에 대해 한 쌍의 키가 생성되기도 하는데, 하나는 액세스가능한 공개키(204)이고 다른 하나는 개인키(206)이다. 하지만, 종래의 PKI와는 달리, 사용자의 개인키(204)는 상기 사용자로부터 비밀 유지되어 보안 서버 상에 저장되고 유효 바이오메트릭 서명(208)이 승인된 후에만 액세스된다. 키 쌍에서의 키는 수학적으로 관련되어, 발신자의 개인키(206)로 암호화된 메시지가 대응하는 공개키(204)를 사용해서만 유효화될 수 있다. 이에 따라 발신자(예컨대, 은행 고객 또는 직원)가 되는 승인된 사용자는 그/그녀의 개인키(206)를 이용하여 암호화된 메시지(예컨대, 자금 이체 요청)를 가지며, 의도된 수신자(예컨대, 은행)는 공개키(204)를 이용하여 상기 메시지를 유효화한다. 공개키는 예컨대 전자 정부기관(directory)에서 발급됨으로써 자유롭게 이용할 수 있다.
종래의 PKI에 의하면, 인증서 승인부(202)가 Bio PKI(200)의 주된 구성요소이다. 그것은 승인된 사용자들에 대응하는 디지털 인증서(210)들을 발행하여 그 유효기간 동안 그것을 관리할 책임을 지는 신뢰할 만한 제3자이다. 하지만, 종래의 인증서 승인부와는 달리, 본 발명에 따른 인증서 승인부(202)는 아래에 보다 상세하게 기술되는 바와 같이 승인된 사용자들과 관련된 개인키 및 바이오메트릭 템플릿들에 대한 저장소(repository)를 생성 및 관리하는 PKdI 서버(212)를 더 포함한다.
PKdI 서버(212)는, 예컨대 Unix 또는 유사한 운영체제 및 공개 도메인 Apache 서버와 같은 네트워크 서버 기능성을 가지도록 구성된 Sun, Hewlett Packard 등에 의해 제공되는 것과 같은 서버 컴퓨터로 구현된다. 바람직하게는, PKdI 서버(212)는 또한 클라이언트(220)들과의 모든 통신들의 암호화/복호화를 위한 보안 소프트웨어 레이어 프로토콜 기능성(Secure Software Layer protocol functionality)도 포함한다. 본 발명의 일 형태에 따르면, PKdI 서버(212)는 그 거래가 보호되어야 하는 서비스로부터 별도로 신뢰할 만한 제3자에 의해 유지 및 운영된다. PKdI 서버(212)는 본 명세서에 기술된 것 이외의 하드웨어 및 소프트웨어를 포함할 수 있다는 점에 유의해야 한다. 하지만, 이러한 종래의 구성(componentry)과 기능성은 본 발명의 명료성을 위하여 보다 상세히 기술되지는 않을 것이다. 본 명세서에 기술된 서버 기능성 및 구현예들에 대해서는 계류중인 출원 번호 제 09/801,468 (AWT-003)호를 참조할 수도 있다.
설명을 쉽게 하기 위하여 본 명세서에 별도로 기술되었지만, PKdI 서버(212)의 소정의 구성요소들과 기능성들은 금융기관과 같은 거래 제공자(transaction provider)의 웹 서버 또는 네트워크 내에 통합될 수도 있다. 당업계의 당업자라면 본 예시를 습득한 후에 다양한 대안예들을 이해할 수 있으며, 이러한 대안예들은 본 발명의 추가 실시예들로 간주되어야 한다.
바이오메트릭 서명(208)은 개인의 운전면허, 여권 등에 대한 전통적인 동일성 점검에 필적할 만하다. 하나의 예시적인 구현예에서, 계류중인 출원(AWT-003)에 기술된 것과 같은 지문 특성화 기술은 바이오메트릭 서명 템플릿을 생성하기 위하여 바이오메트릭 샘플로부터의 뚜렷한 특성화들을 로케이팅(locate)하고 인코딩(encode)하는데 사용된다. 그런 다음, 거래를 위한 개인용 개인키(206)에 대해 액세스를 인가하기 위하여 등록된 개인용 템플릿에 대하여 바이오메트릭 비교가 행해진다.
디지털 인증서(210)들은, 예컨대 발신자의 공개키(204) 및 상기 발신자에 대한 특별한 식별 정보를 포함하는 전자 파일들이다. 상기 디지털 인증서들은 인증서의 내용의 검증을 위하여 CA(202)에 의해 암호화되고 CA의 공개키(222)를 이용하여 수신자에 의해 복호화될 수 있다. 예를 들어, 표준 디지털 인증서 생성을 이용하면, 부정 조작을 할 수 없게 되고(tamper-proof), 위조도 할 수 없으며, 기밀 정보의 데이터 암호화/복호화에 대해 인터넷 커뮤니티에 의해 더욱 믿을 수 있다. 여권 사무소와 같이 여권을 발급하는데 많이 사용되며, 이에 따라 인증서 승인부(202)는 디지털 인증서가 인가된 개인이 누구임을 주장하는 지를 증명한다.
디지털 서명(214)은 전통적인 종이-기반 서명(paper-based signature)에 필적할 만한 전자 식별자이다 - 이는 특이하고, 검증가능하며, 단지 서명자만이 그것을 할 수 있다. 암호화된 또는 암호화되지 않은 메시지 중 어느 것을 사용하든지, 디지털 서명은 디지털로 서명된 메시지 또는 문서에 포함된 정보가 전송 시에 변경되지 않았다는 것을 보장하기도 한다.
PKdI 클라이언트(220)는 바이오메트릭 수집 디바이스 및 연관된 소프트웨어(예컨대, 지문 스캐닝 및 특성화, 망막 스캐닝 및 특성화 등)를 포함할 뿐만 아니라, PKdI 서버(212)와 통신하기 위한 암호화/복호화 소프트웨어도 포함한다. 계류중인 출원 번호 제 09/801,468 (AWT-003)호와 암호화/복호화, 네트워크 통신 기술 및 당업계에 공지된 프로토콜(예컨대, HTTPS, TCP/IP 및 SSL)에 기술된 정도는 아니지만, PKdI 클라이언트(220)의 기능성 및 구현예 상세는 아래 PKdI 서버(212)의 상세한 설명으로부터 명백해질 것이다. PKdI 클라이언트(220)와 연관된 특정 컴퓨터 디바이스는 본 발명에 대한 예시에 불과하고, PC, 랩탑, 노트북, PDA 및 여타의 핸드헬드 디바이스, 스마트 폰 등과 같은 디바이스들을 포함할 수 있다.
일반적으로, 본 발명의 바이오메트릭 특성화 특징들은, 개인이 예컨대 지문, 망막 스캔 등과 같은 부인할 수 없는 특성들에 의하여 승인된다는 것을 보증한다. 본 발명의 일 형태에 따르면, 개인들은 액세스를 요구하는 모든 서비스에 대한 개인 정보를 포함하는 "토큰(tokens)"을 더 이상 유지할 필요가 없다. 오히려, 이러한 정보는 승인된 사용자용 PKdI 서버(212) 상에 생성 및 저장될 수 있다. 그 후, 메시지에 디지털 서명이 첨부되어야 하는 요청들은 상기 요청을 개별적으로 제출하기 위한 바이오메트릭 서명을 이용하여 승인된다. 만일 디지털 서명에 대한 요청과 연계하여 개인에 의해 제출된 바이오메트릭 서명이 개인의 저장된 템플릿과 일치하지 않는다면, 개인의 개인키(206)는 상기 요청에 대해 액세스 및/또는 사용되지 않는다. 이 기술은 사용자 자신의 개인키가 절도에 의해 피해를 입지 않고, 사용자가 보안 거래를 하기 위하여 수단(instruments) 또는 패스워드(passwords)를 소유할 부담을 가지지 않는다는 것을 보장한다. 이렇게 사용자에 의해 제공되거나 유지되어야 하는 "토큰"은 단지 상기 계류중인 출원에 언급된 바와 같이 그 자신의 변하지 않는 특성, 예컨대 지문, 망막 스캔 또는 여타의 바이오메트릭 서명이다.
본 발명의 소정 형태들에 따른 PKdI 서버(212)의 예시적인 구현예를 도시한 블록도가 도 3에 제공된다.
도 3에 도시된 바와 같이, 상기 예시에서의 서버(212)는 가입 프로세스(enrollment process; 302)를 포함하는데, 이는 그 시스템과의 가입을 구하는 각각의 개인을 위한 최종 가입키의 생성을 위해 상이한 엔티티에 제공되는 2개의 구별되는 예비-가입키를 생성한다. 한가지 예시적인 구현예에서, 상기 가입키는 특이하고 적어도 19자리 문자들로 이루어진 랜덤하게 생성되는 문자숫자식 기호열(alphanumeric strings)이다. 일 예시에 따르면, 가입 프로세스(302)는 다른 두 명의 개인에 의해 생성된 예비-가입키를 이용하여 한 명의 신뢰되는 개인에 의해 생성될 최종 가입키를 요구하며, 이에 따라 또 다른 계층의 보안성을 제공하면서 새로운 사용자들의 가입이 단 한 명의 개인에 의해 제어되지 않는 것을 보장하게 된다. 상기 가입은 계좌 정보 및 기대되는(prospective) 사용자와 연관된 기타 식별 정보의 엔트리/생성과 같은 여타의 액션들을 포함할 수 있다는 점에 유의한다.
도 3에 더욱 도시된 바와 같이, PKdI 서버(212)는 또한 등록 프로세스(304)를 포함한다. 일반적으로, 등록 프로세스(304)는 개인들로 하여금 BioPKI 서버(212)로 등록하도록 한다. 상기 등록 프로세스 시, 제3자와 연관된 신뢰된 개인은 PKdI 클라이언트(220)를 갖는 기대되는 사용자를 구성하고, 계좌 ID, 패스워드 및 클라이언트를 통한 가입키의 사용자 엔트리를 감독한다. 신뢰된 개인은 또한 ID, 패스워드, 가입키 및 바이오메트릭 샘플을 실제로 기입하는 사람이 "명명된(Named)" 가입자라는 것을 보장하는 것도 바람직하다.
PKdI 서버(212)가 계좌 ID, 패스워드 및 가입자에 의해 기입된 BioPKI 가입키를 유효화한 다음, 상기 가입자는 바이오메트릭 템플릿의 생성을 위하여 바이오메트릭 서명(208)을 제출할 것을 요청받는다. "검증된" 바이오메트릭 템플릿의 수신 후, PKdI 서버(212)는 가입자용 개인키 및 공개키(204, 206)(즉, 키 쌍)을 생성한다.
가입자가 PKdI 서버(212)에 의해 성공적으로 등록된 후, 그/그녀는 정상적인 거래 처리를 위하여 로그인 페이지 또는 특정화된 로케이션(specified location)으로 리다이렉트(redirect)될 것이다. 로그인 프로세스(306)는 로그인 페이지를 보유한다. 일반적으로, 로그인 프로세스는 디지털 서명을 요구하는 거래에 있어서 디지털 서명(214)을 생성하기 위한 발신자의 개인키(206)에 액세스를 허용하기 전에 발신자의 바이오메트릭 서명(208)을 승인한다.
상술된 바와 같이, 여러 장점들 가운데, 이것은 특정 적용예에 있어서 개인이 몇 가지 "토큰"을 지녀야할 필요가 없게 한다. 그 대신, 이들은 도메인을 함께 갖는 서버(212) 상에 저장될 수 있으며, 모든 검증 및 바이오메트릭 서명 절차들이 일어나는 경우에만 사용될 수 있다.
그 후, 로그인 프로세스(306)는 BioPKI 서버에 저장된 패스워드 및 기입된 사용자 ID에 대응하는 바이오메트릭 템플릿을 이용하여 개인용 바이오메트릭 승인을 수행한다. 예를 들어, 로그인 프로세스(306)는 PKdI 클라이언트(220)가 개인으로부터 바이오메트릭 서명을 수집하도록 한다. 수집된 바이오메트릭 서명(208)은 그 후에 저장된 바이오메트릭 템플릿과 비교된다. 수집된 바이오메트릭 서명(208)의 유효 시, 적절한 어플리케이션 또는 페이지에 대한 리다이렉트가 수행될 수 있다. 예를 들어, BioPKI는 개인과 연관된 허가 정보의 검색 및 검증을 위한 요청된 서비스와 연관된 계좌 및 패스워드 시스템에 대한 승인된 요청들을 포워드(forward)시키는 능력을 가질 수 있다. 만일 바이오메트릭 서명(208)이 저장된 템플릿과 일치하지 않는다면, 개인은 바이오메트릭 실패로 인하여 지시된 페이지로 리다이렉트될 수 있다. "일치"가 판정될 수 있는 방법의 일 예가 계류중인 출원(AWT-003)에 제공되어 있다.
한 가지 예시적인 구현예에서, BioPKI는 PKdI 서버(212)로의 전송을 위한 바이오메트릭 서명(208) 정보를 암호화하는 PKCS 기술을 이용한다. 암호화 패킷은 몇 가지 계층의 내부 정보를 더 포함할 수 있어, 패킷이 전송 시에 또는 발생 시점(origination point)에서 피해를 입지 않도록 보장하게 된다. 예를 들어, PKdI 서버(212)가 바이오메트릭 승인을 위한 요청을 수신하는 경우, 상기 서버는 암호화/복호화 프로세스의 일부분이 되는 요청에 대해 특이한 거래 ID를 할당한다. 그 결과, 두 가지 동일한 거래가 생성될 수 없으며, 또한 BioPKI 시스템에 의해 허용되지도 않을 것이다.
PKdI 서버(212)가 바이오메트릭 패킷을 수신하는 경우, 상기 패킷의 각각의 성분의 무결성을 점검한다. 바이오메트릭 서명은 모든 거래 요청들에 대하여 특이하게 생성된, 원 타임(one time) 개인키-공개키 쌍을 이용함으로써 자기방위적(self-protecting)이다. 이러한 키 쌍들의 생성은 표준 PKCS 기술들을 이용하여 배치되고, 각각의 거래 요청이 특이한 것을 보장하게 된다. 이러한 구현예는 사용자에 대한 각각의 세션(session) 요청이 PKdI 서버에 의해 랜덤하게 생성되기 때문에 바이오메트릭 데이터의 "컷팅 앤드 페이스팅(cutting and pasting)"이 가능하지 않은 것을 보장하며, 거래의 각각의 시점에서의 특이한 암호화를 보장한다. 전체 세션 요청은 그 후에 표준 SSL 프로토콜들을 통해 이중으로 암호화된다. 세션의 개인-공개 쌍 이외에 무결성 점검이 이루어질 수 있어, 바이오메트릭 서명이 컷팅/페이스팅 핵크(cutting/pasting hacks)를 포함하여 변조되지 않도록 보장하게 된다. 이러한 추가 점검은 (두 방향으로 타겟 클라이언트의 인터넷 어드레스를 유효화하는) IP 어드레스 스탬프(address stamp) 뿐만 아니라 타임 스탬프 및/또는 특이한 거래 ID를 포함할 수 있다. 만일 무결성 점검 중 어느 것이 실패하면, 바이오메트릭 요청은 무효인 것으로 간주되어 상기 요청이 중단된다. 거래 흐름의 속성에 따라, 개인은 에러 또는 오리지널 로그인 페이지와 같은 또 다른 네트워크 로케이션으로 리다이렉트될 수 있다.
도 4는 본 발명에 따른 PKdI 서버의 대안적인 구현예를 예시한다. 도 4에 도시된 바와 같이, 상기 예시의 서버는 확인 프로세스(402)를 더 포함한다.
기관(예컨대, 금융기관)의 웹사이트의 거래 확인 페이지들은 수정될 수 있어, 예컨대 전자 거래용 "제출(submit)" 버튼 클릭 시, 바이오메트릭 확인을 위한 공지된 리다이렉션(re-direction) 기술들을 이용하여 PKdI 서버로 요청이 진행되게 된다. 그런 다음, PKdI 서버(212)는 발신자와의 링크(link)를 형성하고 PKdI 클라이언트(220)를 불러낸다(invoke).
발신자의 사용자 Id는 바이오메트릭 템플릿 및 연관된 개인키(206)를 로케이션하는데 사용된다. 그 후, PKdI 클라이언트(220)는 개인의 바이오메트릭 서명(208)을 수집한다. 만일 바이오메트릭 승인이 성공적이라면, 상기 바이오메트릭 서명(208)과 연관된 개인키(206)가 검색되고 메시지 내용을 서명하는데 사용된다. 그 후, 거래 요청과 연관되고 개인키(206)로 암호화된 디지털 서명은 수신자에 의한 처리를 위하여 다운스트림으로 진행된다. 만일 바이오메트릭 서명이 요청자의 저장된 바이오메트릭 템플릿에 일치하는 것에 실패하면, 개인키가 액세스되지 않고 메시지가 서명되지 않는다. 메시지는 개인키가 개인의 바이오메트릭 서명을 이용하여 유효화될 때까지 "서명되지 않은(unsigned)" 것으로 간주된다.
디지털 서명을 강화하기 위한 또 다른 검증이 수신자 및/또는 발신자에 의해 요청될 수 있는데, 이 검증은 또한 확인 프로세스(402)의 또 다른 예시적인 구현예에서 수행될 수 있다. 예를 들어, 수신자 또는 발신자는 개인의 템플릿에 대한 추가 바이오메트릭 서명 비교를 요청할 수 있다. 바이오메트릭 서명들은 특정 기간동안 개인키로 서명되는 각각의 거래에 대하여 데이터베이스에 캡처 및 유지된다. 개인키에 액세스를 제공하는데 사용된 캡처된 바이오메트릭 서명(208)은, 수신자가 상기 승인 프로세스를 수신하는 메시지의 일부분으로 더욱 통합될 수 있다. 이는 이중 검증을 제공한다: 개인키(206)를 액세스하기 위한 개인의 바이오메트릭 서명(208)을 이용하는 것 뿐만 아니라, 상기 메시지 자체 내의 메시지를 서명하는데 사용된 실제 바이오메트릭 서명을 포함하고, 수신된 바이오메트릭 서명을 저장된 템플릿과 비교하는 것.
상기 확인 프로세스(402)는 상기 바이오메트릭 검증 기능성들 중 어느 하나 또는 양자 모두를 포함할 수 있음을 유의한다.
도 5는 본 발명에 따른 PKdI 서버의 가입 프로세스에 의해 구현될 수 있는 예시적인 방법을 도시한 플로우차트이다.
본 발명의 일 형태에 따르면, 상기 프로세스는 둘 이상의 개인의 참여를 요구함으로써 가입키 생성 프로세스를 보호한다. 다음 단계들은 BioPKI 가입키의 생성이 보안되고 인증가능하도록 보장될 수 있다. 상기 가입 프로세스는 일단 사용자의 어플리케이션이 완전히 증명되고, 사용자(예컨대, 은행 고객/직원)가 액세스를 얻게 될 서비스를 호스팅하는 엔티티(예컨대, 금융기관)에 의해 입증되는 경우에만 개시될 수 있다는 것을 이해하여야만 한다.
단계 S502-1 및 S502-2에 도시된 바와 같이, 상기 서비스로부터 승인된 2명의 직원(키-생성자-1 및 키-생성자-2)/(KG-1 및 KG-2)은 상기 가입 프로세스에 액세스하여 상기 가입 프로세스에 사용자의 식별 정보를 제공할 것이다. 그 후, 상기 가입 프로세스는 각각의 예비-가입키를 생성하고, 그들을 직원과 통신한다. 일 예시에서, 상기 예비-가입키는 특이하고 랜덤하게 생성된 문자숫자식 기호열이다. 바람직하게는, KG-1 및 KG-2는 모든 입증된 사용자/클라이언트에 대해 예비-가입키를 별도로 생성하기 위하여 가입 프로세스에 액세스할 것이다.
KG-1 및 KG-2는 그 후에 최종 가입키의 생성 및 입증을 위하여, 상기 예비-가입키를 키 생성자 관리자 및 인증서(KGAC)로 진행시킬 것이다. 기관으로부터 승인된 직원이 KGAC가 될 것이다. 상기 KGAC가 기대되는 사용자의 식별 정보를 기입한 후, 가입 프로세스는 사용자를 위해 이미 생성된 2개의 예비-가입키에 대하여 KGAC를 프롬프트(prompt)할 것이다. 만일 상기 정보가 맞다면, 가입 프로세스는 최종 가입키를 생성할 것이고, 필요하다면, KGAC에 의해 공급될 바이오메트릭 서명을 더 요구할 수도 있다(S504). 일 예시에서는, 최종 가입키를 생성하기 위하여 독점 프로그램(proprietary program)이 사용된다.
단계 S506에서, 상기 KGAC는 그 후에 명령어를 BioPKI 관리자로 진행시켜, 사용자를 정의하고(예컨대, 사용자 ID 생성), 일치하는 최종 가입키와 연관되도록 하는 디폴트/임시 패스워드를 발행하게 된다. 일 예시에서, 이것은 BioPKI 관리자로 진행된 인증된 문서(certified document)에 의해 행해진다. 이러한 인증된 문서는 여타의 가능성 있는 식별 정보 가운데 사용자 ID, 디폴트/임시 패스워드 및 최종 가입키를 포함할 것이다. 그 후, 상기 BioPKI 관리자는, 아래에 보다 상세히 설명하는 바와 같이, 바이오메트릭 데이터의 수집 및 공인된 클라이언트/사용자의 가입을 위한 준비 시에, 상기 정보를 BioPKI 시스템 내에 입력할 것이다.
도 6은 본 발명에 따른 PKdI 서버의 등록 프로세스에 의해 구현될 수 있는 예시적인 방법을 도시한 플로우차트이다.
일 예시에서는, BioPKI 관리자가 상기 시스템 내에 사용자의 정보를 입력한 후, 애프터-세일(after-sales) 지원 그룹에 인증된 최종 가입키가 제공될 것이다. 애프터-세일 지원 그룹에서의 신뢰된 개인은 그 후에 PDkI 서버와 액세스 및 통신하기 위한 클라이언트로 기대되는 사용자를 구성할 것이다. 예를 들어, 상기 지원 그룹은 클라이언트의 워크스테이션 상에 BioPKI 클라이언트 소프트웨어 및 바이오메트릭 스캐너를 인스톨할 것이다(단계 S602).
인스톨 후, 사용자는 애프터-세일 지원 그룹에 의해 제공되는 사용자 ID, 패스워드 및 최종-가입-키를 이용하여 BioPKI 시스템에 로그인하기 위하여 클라이언트 소프트웨어를 사용할 것이다(단계 S604). 만일 상기 입력된 정보가 저장된 정보와 일치하지 않는다면, 등록 프로세스는 사용자를 등록시키지 않고, 처리가 종결될 것이다(단계 S608). 그렇지 않으면, 사용자는 그 후에 수집을 위한 바이오메트릭을 입력하기 위하여 프롬프트될 것이다. 바람직하게는, 명명된 사용자가 바이오메트릭 샘플(예컨대, 지문 스캔)을 공급하는 실제 사람인 것을 보장하도록 지원 그룹 개인에 의해 상기 바이오메트릭의 수집이 개인적으로 감독될 것이다(단계 S610).
만일 바이오메트릭 샘플의 수집이 (단계 S612에서 결정된) 바이오메트릭 템플릿의 성공적인 생성을 발생시킨다면, 사용자는 상기 시스템에 의해 등록될 것이다. 이 때 사용자는 그/그녀의 디폴트/임시 시스템 패스워드를 변경할 수 있다. 한가지 예시적인 구현예에서, 등록은 사용자용 공개/개인키 쌍을 생성하고, 사용자의 식별 정보 및 사용자의 공개키를 포함하는 디지털 인증서를 생성하는 것을 포함한다. 이러한 디지털 인증서는 그 후에 상기 사용자가 등록되도록 하여 서비스가 후속 통신을 위하여 사용자의 공개키를 얻을 수 있도록 하는 상기 서비스(예컨대, 금융기관)에 제공된다.
도 7은 본 발명에 따른 PKdI 서버의 로그인 프로세스에 의해 구현될 수 있는 예시적인 방법을 도시한 플로우차트이다.
일 예시에서, 본 발명의 BioPKI 시스템(즉, 인증서 승인부(202), 바람직하게는 신뢰할 만한 제3자)과의 계약을 가지는 서비스는, 서비스로의 액세스가 요청 사용자에 허가되기 전에 로그인 스크린(login screen)을 가질 것이다. PKdI 서버의 로그인 프로세스를 런칭(launch)하기 위한 스크립트(script)는 로그인 스크린과 연관될 것이다. 일단 요청 사용자가 사용자 ID 및 패스워드를 입력하면, 정보는 BioPKI 서버의 로그인 프로세스(306)로 진행될 것이다(단계 S702). 만일 사용자 ID 및 패스워드가 일치한다면(단계 S704에서 결정된), 사용자의 바이오메트릭 템플릿이 검색되고, 사용자는 바이오메트릭 서명을 공급하기 위하여 더욱 요청될 것이다(단계 S708). 만일 바이오메트릭 서명이 상기 사용자용 저장된 템플릿에 필적된다면, 적절한 어플리케이션 또는 페이지에 대한 리다이렉트가 행해진다. 예를 들어, BioPKI는 사용자에 부여되는 검증 및 허가를 위한 요청된 서비스에서 계정 및 패스워드 시스템에 대한 승인된 요청들을 진행시킬 수 있다. 만일 로그인 또는 바이오메트릭 서명이 일치하지 않는다면, 개인은 바이오메트릭 실패로 인하여 지시된 페이지로 리다이렉트되고, 요청된 서비스로의 액세스가 거부될 것이다(S706).
위에서 보다 완전하게 설명된 바와 같이, BioPKI는 PKdI 서버로의 전송을 위하여 바이오메트릭 서명 정보를 암호화하기 위한 PKCS 기술을 활용할 수 있다. 암호화 패킷은, 패킷이 전송 시에 또는 발생 시점에서 피해를 입지 않는 것을 보장하도록 사용되는 내부 정보의 몇 가지 계층들을 더 포함할 수 있다. 상기 PKdI 서버가 바이오메트릭 승인을 위한 요청을 수신하는 경우, 상기 서버는 암호화/복호화 프로세스의 일부분이 되는 요청에 대해 특이한 거래 ID를 할당한다. 그 결과, 두 가지 동일한 거래가 생성될 수 없으며, BioPKI 시스템에 의해 허용되지도 못할 것이다. 여타의 내부 검증들은 IP 스탬프 및 타임 스탬프를 포함할 수 있다.
도 8은 본 발명에 따른 PKdI 서버의 확인 프로세스에 의해 구현될 수 있는 예시적인 방법을 도시한 플로우차트이다.
만일 사용자 거래의 확인이 요청된다면, 상기 요청은 예컨대 바이오메트릭 확인을 위하여 공지된 리-다이렉션 기술들을 이용하여 PKdI 서버로 진행된다(단계 S802). 상기 PKdI 서버(212)는 그 후에 발신자와의 링크를 수립하고, 사용자의 바이오메트릭 서명의 수집 및 전송을 위하여 PKdI 클라이언트 소프트웨어를 불러낸다(S804).
발신자의 사용자 ID는 비교를 위하여 바이오메트릭 템플릿을 로케이션하는데 사용된다(단계 S806). 만일 바이오메트릭 승인이 성공적이라면, 사용자와 연관된 개인키(206)가 검색되고 메시지 내용을 서명하는데 사용된다. 그 후, 디지털 서명이 서비스/수신자로의 메시지에 첨부된다. 만일 바이오메트릭 서명 비교가 실패한다면, 개인키는 액세스되지 않고, 메시지는 서명되지 않는다(단계 S808). 이 때, 수신자는 디지털 서명을 복호화함으로써 사용자의 액세스를 간단히 확인할 수 있다.
하지만, 개인의 템플릿에 대한 바이오메트릭 서명 비교를 요청함으로써, 디지털 서명을 강화하기 위한 추가 검증이 이루어질 수 있다. 이것을 원하는 지의 여부(수신자나 발신자 중 어느 누구에 의해 요청됨)는 단계 S812에서 판정된다. 단계 S804에서 캡처된 바이오메트릭 서명들은 특별한 기간동안 바이오 개인키로 서명되는 각각의 거래를 위한 데이터베이스에 유지될 수 있다. 추가 확인이 필요하다면, 바이오메트릭 서명 자체는 수신자가 상기 승인 프로세스에 대해 수신하는 메시지의 일부분으로 통합될 수 있다(단계 S814). 이는 상기 메시지를 서명하는데 사용된 실제 서명 뿐만 아니라 개인의 개인키를 이용하여 이중 검증 프로세스를 제공한다. 이에 따라, 수신자의 요청 시, 확인 프로세스는 진행된 바이오메트릭 서명이 발신자의 저장된 템플릿에 대해 성공적으로 비교되는 검증을 제공할 수 있다.
지금까지 본 발명은 그 바람직한 실시예들을 참조하여 특별하게 기술되었지만, 당업계의 당업자에게는 본 발명의 기술적 사상 및 범위를 벗어나지 않는 형태 및 상세로 변경 및 수정될 수 있다는 사실이 자명하다. 첨부된 청구범위는 이러한 변경예 및 수정예들을 포함하도록 되어 있다.

Claims (28)

  1. 서비스에 대한 액세스의 요청을 수신하는 단계;
    상기 요청과 연관된 사용자로부터 바이오메트릭 샘플을 수집하는 단계;
    상기 바이오메트릭 샘플을 상기 사용자와 연관된 바이오메트릭 템플릿에 비교하는 단계; 및
    상기 비교하는 단계의 결과에 따라 개인키에 대한 액세스를 제공하는 단계를 포함하여 이루어지는 것을 특징으로 하는 방법.
  2. 제 1항에 있어서,
    만일 상기 결과가 일치하는 것으로 나타난다면, 상기 사용자에 대하여 상기 개인키를 이용하여 디지털 서명을 생성하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  3. 제 2항에 있어서,
    상기 요청과 연관된 상기 서비스에 상기 디지털 서명을 제공하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  4. 제 1항에 있어서,
    상기 요청과 연관된 상기 서비스에 상기 수집된 바이오메트릭 샘플에 대응하는 바이오메트릭 서명을 제공하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  5. 제 4항에 있어서,
    상기 서비스가 상기 비교하는 단계의 결과에 따라 상기 요청에 대응하는 거래를 수행할 것인 지의 여부를 결정하도록 하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  6. 제 1항에 있어서,
    상기 사용자용 예비-가입키를 생성하는 단계;
    상기 예비-가입키를 각각의 키 생성자에 공급하는 단계; 및
    만일 키 관리자에 의해 제공된 키가 상기 키 생성자에 공급된 상기 예비-가입키와 일치하는 경우에만 상기 사용자에 대한 최종 가입키를 생성하는 단계를 더 포함하고, 상기 키 관리자는 상기 키 생성자와 상이한 사람인 것을 특징으로 하는 방법.
  7. 제 6항에 있어서,
    상기 최종 가입키의 비교에 따라 상기 사용자의 등록을 검증하는 단계;
    등록이 검증된 경우에만 상기 사용자용 바이오메트릭 템플릿을 생성하는 단계; 및
    상기 바이오메트릭 템플릿이 성공적으로 생성된 경우에만 상기 개인키를 생성하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  8. 제 6항에 있어서,
    사용자 식별 정보를 상기 최종 가입키와 연관시키는 단계를 더 포함하는 것을 특징으로 하는 방법.
  9. 제 1항에 있어서,
    승인 서버로의 전송을 위하여 상기 수집된 바이오메트릭 샘플을 암호화하는 단계; 및
    상기 암호화된 바이오메트릭 샘플에 무결성(integrity) 정보를 포함시키는 단계를 더 포함하는 것을 특징으로 하는 방법.
  10. 제 9항에 있어서,
    상기 승인 서버에서 상기 암호화된 바이오메트릭 샘플을 복호화하는 단계; 및
    상기 바이오메트릭 샘플에 의해 포함된 상기 무결성 정보를 점검하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  11. 제 9항에 있어서,
    상기 무결성 정보는 특이한 거래 식별자를 포함하는 것을 특징으로 하는 방법.
  12. 제 1항에 있어서,
    사용자 식별 정보를 상기 개인키와 연관시키는 단계; 및
    상기 개인키에 대응하는 공개키 및 상기 사용자 식별 정보를 포함하는 디지털 인증서를 유지시키는 단계를 더 포함하는 것을 특징으로 하는 방법.
  13. 제 1항에 있어서,
    상기 바이오메트릭 샘플은 지문 스캔을 포함하는 것을 특징으로 하는 방법.
  14. 서비스에 대한 액세스의 요청을 수신하는 수단;
    상기 요청과 연관된 사용자로부터 바이오메트릭 샘플을 수집하는 수단;
    상기 바이오메트릭 샘플을 상기 사용자와 연관된 바이오메트릭 템플릿에 비교하는 수단; 및
    비교하는 단계의 결과에 따라 개인키에 대한 액세스를 제공하는 수단을 포함하여 이루어지는 것을 특징으로 하는 장치.
  15. 제 14항에 있어서,
    만일 상기 결과가 일치하는 것으로 나타난다면, 상기 사용자에 대하여 상기 개인키를 이용하여 디지털 서명을 생성하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  16. 제 15항에 있어서,
    상기 요청과 연관된 상기 서비스에 상기 디지털 서명을 제공하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  17. 제 14항에 있어서,
    상기 요청과 연관된 상기 서비스에 상기 수집된 바이오메트릭 샘플에 대응하는 바이오메트릭 서명을 제공하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  18. 제 17항에 있어서,
    상기 서비스가 상기 비교하는 수단의 결과에 따라 상기 요청에 대응하는 거래를 수행할 것인 지의 여부를 결정하도록 하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  19. 제 14항에 있어서,
    상기 사용자용 예비-가입키를 생성하는 수단;
    상기 예비-가입키를 각각의 키 생성자에 공급하는 수단; 및
    만일 키 관리자에 의해 제공된 키가 상기 키 생성자에 공급된 상기 예비-가입키와 일치하는 경우에만 상기 사용자에 대한 최종 가입키를 생성하는 수단을 더 포함하고, 상기 키 관리자는 상기 키 생성자와 상이한 사람인 것을 특징으로 하는 장치.
  20. 제 19항에 있어서,
    상기 최종 가입키의 비교에 따라 상기 사용자의 등록을 검증하는 수단;
    등록이 검증된 경우에만 상기 사용자용 바이오메트릭 템플릿을 생성하는 수단; 및
    상기 바이오메트릭 템플릿이 성공적으로 생성된 경우에만 상기 개인키를 생성하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  21. 제 19항에 있어서,
    사용자 식별 정보를 상기 최종 가입키와 연관시키는 수단을 더 포함하는 것을 특징으로 하는 장치.
  22. 제 14항에 있어서,
    승인 서버로의 전송을 위하여 상기 수집된 바이오메트릭 샘플을 암호화하는 수단; 및
    상기 암호화된 바이오메트릭 샘플에 무결성 정보를 포함시키는 수단을 더 포함하는 것을 특징으로 하는 장치.
  23. 제 22항에 있어서,
    상기 승인 서버에서 상기 암호화된 바이오메트릭 샘플을 복호화하는 수단; 및
    상기 바이오메트릭 샘플에 의해 포함된 상기 무결성 정보를 점검하는 수단을 더 포함하는 것을 특징으로 하는 장치.
  24. 제 22항에 있어서,
    상기 무결성 정보는 특이한 거래 식별자를 포함하는 것을 특징으로 하는 장치.
  25. 제 14항에 있어서,
    사용자 식별 정보를 상기 개인키와 연관시키는 수단; 및
    상기 개인키에 대응하는 공개키 및 상기 사용자 식별 정보를 포함하는 디지털 인증서를 유지시키는 수단을 더 포함하는 것을 특징으로 하는 장치.
  26. 제 14항에 있어서,
    상기 바이오메트릭 샘플은 지문 스캔을 포함하는 것을 특징으로 하는 장치.
  27. 승인 인프라스트럭처에 있어서,
    서비스에 대한 액세스의 요청들을 인터셉트하는 서버; 및
    상기 요청과 연관된 사용자로부터 바이오메트릭 샘플을 수집하는 클라이언트를 포함하여 이루어지고,
    상기 서버는 상기 수집된 바이오메트릭 샘플을 승인하기 위하여 상기 사용자와 연관된 바이오메트릭 템플릿을 유지시키고,
    상기 서버는 상기 승인의 결과에 따라 개인키에 대한 액세스를 제공하여, 상기 사용자가 상기 서비스를 액세스하기 위하여 토큰을 유지할 필요가 없도록 하는 것을 특징으로 하는 승인 인프라스트럭처.
  28. 제 27항에 있어서,
    상기 개인키는 상기 사용자가 상기 서비스에 의해 거래를 수행하도록 하는 메시지를 서명하는데 사용되고, 상기 서비스는 대응하는 공개키를 상기 서버로부터 획득하는 것을 특징으로 하는 승인 인프라스트럭처.
KR1020057000086A 2002-07-03 2003-07-01 바이오메트릭 개인키 인프라스트럭처 KR20050083594A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US39360602P 2002-07-03 2002-07-03
US60/393,606 2002-07-03

Publications (1)

Publication Number Publication Date
KR20050083594A true KR20050083594A (ko) 2005-08-26

Family

ID=30115609

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057000086A KR20050083594A (ko) 2002-07-03 2003-07-01 바이오메트릭 개인키 인프라스트럭처

Country Status (8)

Country Link
US (1) US20040059924A1 (ko)
EP (1) EP1535127A2 (ko)
JP (1) JP2005532736A (ko)
KR (1) KR20050083594A (ko)
CN (1) CN100342294C (ko)
CA (1) CA2491628A1 (ko)
TW (1) TWI237978B (ko)
WO (1) WO2004006076A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8811610B2 (en) 2007-12-24 2014-08-19 Samsung Electronics Co., Ltd. Method, medium, and system for encrypting and/or decrypting information of microarray
KR20150090574A (ko) * 2014-01-29 2015-08-06 사단법인 금융결제원 바이오 정보 상호 처리 방법 및 시스템
US11405386B2 (en) 2018-05-31 2022-08-02 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof

Families Citing this family (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MY134895A (en) * 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
GB0113255D0 (en) 2001-05-31 2001-07-25 Scient Generics Ltd Number generator
NO316489B1 (no) 2001-10-01 2004-01-26 Genkey As System, b¶rbar anordning og fremgangsmåte for digital autentisering, kryptering og signering ved generering av flyktige, men konsistente ogrepeterbare kryptonökler
AU2003244758A1 (en) 2002-05-31 2003-12-19 Scientific Generics Limited Biometric authentication system
DE10353853A1 (de) * 2003-11-18 2005-06-30 Giesecke & Devrient Gmbh Autorisierung einer Transaktion
US20050246763A1 (en) * 2004-03-25 2005-11-03 National University Of Ireland Secure digital content reproduction using biometrically derived hybrid encryption techniques
US8296573B2 (en) * 2004-04-06 2012-10-23 International Business Machines Corporation System and method for remote self-enrollment in biometric databases
GB0413034D0 (en) 2004-06-10 2004-07-14 Scient Generics Ltd Secure workflow engine
US8230485B2 (en) * 2004-09-15 2012-07-24 Microsoft Corporation Method and system for controlling access privileges for trusted network nodes
TWI249314B (en) * 2004-10-15 2006-02-11 Ind Tech Res Inst Biometrics-based cryptographic key generation system and method
WO2006072047A2 (en) * 2004-12-30 2006-07-06 Topaz Systems, Inc. Electronic signature security system
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US8015118B1 (en) 2005-05-06 2011-09-06 Open Invention Network, Llc System and method for biometric signature authorization
US20070050303A1 (en) * 2005-08-24 2007-03-01 Schroeder Dale W Biometric identification device
WO2007094165A1 (ja) 2006-02-15 2007-08-23 Nec Corporation 本人確認システムおよびプログラム、並びに、本人確認方法
US8452961B2 (en) * 2006-03-07 2013-05-28 Samsung Electronics Co., Ltd. Method and system for authentication between electronic devices with minimal user intervention
JP4299316B2 (ja) * 2006-05-12 2009-07-22 株式会社日立製作所 情報処理システム
US8151322B2 (en) 2006-05-16 2012-04-03 A10 Networks, Inc. Systems and methods for user access authentication based on network access point
US7827275B2 (en) 2006-06-08 2010-11-02 Samsung Electronics Co., Ltd. Method and system for remotely accessing devices in a network
US20070288487A1 (en) * 2006-06-08 2007-12-13 Samsung Electronics Co., Ltd. Method and system for access control to consumer electronics devices in a network
US7946837B2 (en) 2006-10-06 2011-05-24 Asml Netherlands B.V. Imprint lithography
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US7716378B2 (en) 2006-10-17 2010-05-11 A10 Networks, Inc. System and method to associate a private user identity with a public user identity
US20080104410A1 (en) * 2006-10-25 2008-05-01 Brown Daniel R Electronic clinical system having two-factor user authentication prior to controlled action and method of use
EP2087641B1 (en) * 2006-11-21 2019-06-19 Koninklijke Philips N.V. Fuzzy biometrics based signatures
ES2344232T3 (es) * 2007-01-15 2010-08-20 Stepover Gmbh Procedimiento y dispositivo para proteger un documento con una imagen de firma añadida y datos biometricos en un sistema de ordenador.
US20120239458A9 (en) * 2007-05-18 2012-09-20 Global Rainmakers, Inc. Measuring Effectiveness of Advertisements and Linking Certain Consumer Activities Including Purchases to Other Activities of the Consumer
WO2009009788A1 (en) 2007-07-12 2009-01-15 Jobmann Brian C Identity authentication and secured access systems, components, and methods
US8438385B2 (en) * 2008-03-13 2013-05-07 Fujitsu Limited Method and apparatus for identity verification
US20100146608A1 (en) * 2008-12-06 2010-06-10 Raytheon Company Multi-Level Secure Collaborative Computing Environment
US8406428B2 (en) * 2008-12-11 2013-03-26 International Business Machines Corporation Secure method and apparatus to verify personal identity over a network
US9081888B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating log data with fault tolerance
US8874526B2 (en) 2010-03-31 2014-10-28 Cloudera, Inc. Dynamically processing an event using an extensible data model
US9082127B2 (en) 2010-03-31 2015-07-14 Cloudera, Inc. Collecting and aggregating datasets for analysis
TWI428002B (zh) * 2010-06-29 2014-02-21 Univ Vanung Key exchange systems and methods for remote mutual identification
US8453212B2 (en) 2010-07-27 2013-05-28 Raytheon Company Accessing resources of a secure computing network
US20120198234A1 (en) * 2011-01-31 2012-08-02 Intuit Inc. Method and apparatus for ensuring the integrity of a downloaded data set
TWI465094B (zh) * 2011-04-26 2014-12-11 Telepaq Technology Inc User identification methods and systems for Internet transactions
US9323912B2 (en) 2012-02-28 2016-04-26 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication
US9100825B2 (en) * 2012-02-28 2015-08-04 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication based on different device capture modalities
AU2013232744B2 (en) * 2012-03-15 2017-05-18 Mikoh Corporation A biometric authentication system
US9338008B1 (en) * 2012-04-02 2016-05-10 Cloudera, Inc. System and method for secure release of secret information over a network
FR2996942B1 (fr) * 2012-10-11 2016-01-08 Morpho Procede de generation de cle de signature ameliore
WO2014105994A2 (en) * 2012-12-28 2014-07-03 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9172687B2 (en) 2012-12-28 2015-10-27 Nok Nok Labs, Inc. Query system and method to determine authentication capabilities
US9342557B2 (en) 2013-03-13 2016-05-17 Cloudera, Inc. Low latency query engine for Apache Hadoop
US8924259B2 (en) 2013-03-14 2014-12-30 Square, Inc. Mobile device payments
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9294475B2 (en) * 2013-05-13 2016-03-22 Hoyos Labs Ip, Ltd. System and method for generating a biometric identifier
US11210380B2 (en) 2013-05-13 2021-12-28 Veridium Ip Limited System and method for authorizing access to access-controlled environments
JP6096893B2 (ja) * 2013-05-28 2017-03-15 株式会社日立製作所 生体署名システム、登録端末および署名生成端末
TWI500311B (zh) * 2013-05-30 2015-09-11 Compal Broadband Networks Inc 電子裝置及其數位憑證產生方法
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
FR3007171B1 (fr) * 2013-06-14 2019-08-23 Idemia Identity And Security Procede de controle de personnes et application a l'inspection des personnes
US9122853B2 (en) 2013-06-24 2015-09-01 A10 Networks, Inc. Location determination for user authentication
US9741024B2 (en) 2013-07-31 2017-08-22 Xero Limited Systems and methods of bank transfer
US10657523B2 (en) * 2013-08-16 2020-05-19 Arm Ip Limited Reconciling electronic transactions
US9934382B2 (en) 2013-10-28 2018-04-03 Cloudera, Inc. Virtual machine image encryption
US11165770B1 (en) 2013-12-06 2021-11-02 A10 Networks, Inc. Biometric verification of a human internet user
ES2881877T3 (es) 2013-12-31 2021-11-30 Veridium Ip Ltd Sistema y método para estándares de protocolos biométricos
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9741026B1 (en) 2014-09-30 2017-08-22 Square, Inc. Payment by use of identifier
FR3027753B1 (fr) * 2014-10-28 2021-07-09 Morpho Procede d'authentification d'un utilisateur detenant un certificat biometrique
US9374370B1 (en) * 2015-01-23 2016-06-21 Island Intellectual Property, Llc Invariant biohash security system and method
US9577992B2 (en) * 2015-02-04 2017-02-21 Aerendir Mobile Inc. Data encryption/decryption using neuro and neuro-mechanical fingerprints
US9836896B2 (en) 2015-02-04 2017-12-05 Proprius Technologies S.A.R.L Keyless access control with neuro and neuro-mechanical fingerprints
US9590986B2 (en) 2015-02-04 2017-03-07 Aerendir Mobile Inc. Local user authentication with neuro and neuro-mechanical fingerprints
CN111711520B (zh) * 2015-04-23 2023-12-15 崔云虎 泛在环境中的认证
RU2610696C2 (ru) * 2015-06-05 2017-02-14 Закрытое акционерное общество "Лаборатория Касперского" Система и способ аутентификации пользователя при помощи электронной цифровой подписи пользователя
CN106487511B (zh) * 2015-08-27 2020-02-04 阿里巴巴集团控股有限公司 身份认证方法及装置
US10382417B2 (en) * 2015-08-31 2019-08-13 Mentor Graphics Corporation Secure protocol for chip authentication
US9519901B1 (en) * 2015-09-16 2016-12-13 Square, Inc. Biometric payment technology
EP3234878A1 (en) 2015-10-14 2017-10-25 Cambridge Blockchain, LLC Systems and methods for managing digital identities
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
CN107231234B (zh) * 2016-03-25 2020-06-09 创新先进技术有限公司 一种身份注册方法及装置
CN110166246B (zh) 2016-03-30 2022-07-08 创新先进技术有限公司 基于生物特征的身份注册、认证的方法和装置
CH712399A2 (fr) * 2016-04-27 2017-10-31 Bron Christophe Système d'identification biométrique basé sur les réseaux veineux et des codages uniques et non falsifiables de structures arborescentes et procédé associé.
CN107438000B (zh) * 2016-05-26 2020-08-07 青岛博文广成信息安全技术有限公司 Cfl虎符认证方法
WO2017221368A1 (ja) * 2016-06-23 2017-12-28 株式会社日立製作所 生体署名システム及び生体証明書登録方法
US10461942B1 (en) 2016-07-20 2019-10-29 United Services Automobile Association Multi-factor authentication with code rotation
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10277400B1 (en) 2016-10-20 2019-04-30 Wells Fargo Bank, N.A. Biometric electronic signature tokens
US10516538B2 (en) 2016-11-01 2019-12-24 Netcomm Inc. System and method for digitally signing documents using biometric data in a blockchain or PKI
US10062074B1 (en) 2016-11-30 2018-08-28 Square, Inc. System for improving card on file transactions
EP3556069B1 (en) * 2016-12-16 2021-10-20 Visa International Service Association System and method for securely processing an electronic identity
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
JP6712247B2 (ja) * 2017-06-09 2020-06-17 株式会社日立製作所 生体署名システム及び生体署名方法
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US10997583B1 (en) 2018-08-31 2021-05-04 Square, Inc. Temporarily provisioning card on file payment functionality to proximate merchants
US10878402B1 (en) 2018-08-31 2020-12-29 Square, Inc. Temporarily provisioning payment functionality to alternate payment instrument
US10970372B2 (en) * 2018-11-01 2021-04-06 Microsoft Technology Licensing, Llc Revocable biometric print based identification
JP6499367B1 (ja) * 2018-12-14 2019-04-10 日本通信株式会社 オンラインサービス提供システム
JP6499368B1 (ja) * 2018-12-14 2019-04-10 日本通信株式会社 オンラインサービス提供システム
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN112165385B (zh) * 2020-08-20 2022-09-09 中船重工(武汉)凌久高科有限公司 一种用于Web应用系统的通用数字签名方法
CN112968864A (zh) * 2021-01-26 2021-06-15 太原理工大学 一种可信的IPv6网络服务过程机制

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4652698A (en) * 1984-08-13 1987-03-24 Ncr Corporation Method and system for providing system security in a remote terminal environment
US6076167A (en) * 1996-12-04 2000-06-13 Dew Engineering And Development Limited Method and system for improving security in network applications
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
CN1139894C (zh) * 1997-05-09 2004-02-25 Gte服务公司 认证电子交易的生物特征认证系统和方法
US6925182B1 (en) * 1997-12-19 2005-08-02 Koninklijke Philips Electronics N.V. Administration and utilization of private keys in a networked environment
US6167517A (en) * 1998-04-09 2000-12-26 Oracle Corporation Trusted biometric client authentication
US6928546B1 (en) * 1998-05-14 2005-08-09 Fusion Arc, Inc. Identity verification method using a central biometric authority
US6332193B1 (en) * 1999-01-18 2001-12-18 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
US6507912B1 (en) * 1999-01-27 2003-01-14 International Business Machines Corporation Protection of biometric data via key-dependent sampling
US6957344B1 (en) * 1999-07-09 2005-10-18 Digital Video Express, L.P. Manufacturing trusted devices
WO2001027716A2 (en) * 1999-10-08 2001-04-19 Beecham James E Data management systems, apparatus and methods
US6678821B1 (en) * 2000-03-23 2004-01-13 E-Witness Inc. Method and system for restricting access to the private key of a user in a public key infrastructure
US6920561B1 (en) * 2000-03-31 2005-07-19 International Business Machines Corporation Method and system for enabling free seating using biometrics through a centralized authentication
US20020031230A1 (en) * 2000-08-15 2002-03-14 Sweet William B. Method and apparatus for a web-based application service model for security management
WO2002032308A1 (en) * 2000-10-17 2002-04-25 Kent Ridge Digital Labs Biometrics authentication system and method
AU2002248604A1 (en) * 2001-03-09 2002-09-24 Pascal Brandys System and method of user and data verification
US6973575B2 (en) * 2001-04-05 2005-12-06 International Business Machines Corporation System and method for voice recognition password reset
EP1417555A2 (en) * 2001-06-18 2004-05-12 Daon Holdings Limited An electronic data vault providing biometrically protected electronic signatures

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8811610B2 (en) 2007-12-24 2014-08-19 Samsung Electronics Co., Ltd. Method, medium, and system for encrypting and/or decrypting information of microarray
KR20150090574A (ko) * 2014-01-29 2015-08-06 사단법인 금융결제원 바이오 정보 상호 처리 방법 및 시스템
US11405386B2 (en) 2018-05-31 2022-08-02 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof

Also Published As

Publication number Publication date
WO2004006076A2 (en) 2004-01-15
CA2491628A1 (en) 2004-01-15
AU2003253777A1 (en) 2004-01-23
TW200402224A (en) 2004-02-01
WO2004006076A3 (en) 2004-04-22
EP1535127A2 (en) 2005-06-01
US20040059924A1 (en) 2004-03-25
CN100342294C (zh) 2007-10-10
CN1705925A (zh) 2005-12-07
JP2005532736A (ja) 2005-10-27
TWI237978B (en) 2005-08-11

Similar Documents

Publication Publication Date Title
KR20050083594A (ko) 바이오메트릭 개인키 인프라스트럭처
US7689832B2 (en) Biometric-based system and method for enabling authentication of electronic messages sent over a network
RU2448365C2 (ru) Устройство и способ защищенной передачи данных
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
US9300649B2 (en) Context sensitive dynamic authentication in a cryptographic system
US8984280B2 (en) Systems and methods for automating certification authority practices
US6745327B1 (en) Electronic certificate signature program
US6138239A (en) Method and system for authenticating and utilizing secure resources in a computer system
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US8359465B2 (en) Enterprise security system
US20090293111A1 (en) Third party system for biometric authentication
US20030120610A1 (en) Secure domain network
US20140215213A1 (en) Facilitating secure online transactions
US20030101348A1 (en) Method and system for determining confidence in a digital transaction
US20050154889A1 (en) Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
US20030163687A1 (en) Method and system for key certification
US20050021954A1 (en) Personal authentication device and system and method thereof
US20080250245A1 (en) Biometric-based document security
JPH10336172A (ja) 電子認証用公開鍵の管理方法
CN117396866A (zh) 授权交易托管服务
EP1959607B1 (en) A method and system for authenticating the identity
AU2003253777B2 (en) Biometric private key infrastructure
Vural et al. Information Security for Sustainable Development
Komninos PKI systems
Ezugwu Authenticating E-Banking Services in Nigeria through Digital Signatures

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application