KR20050099106A - 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법 - Google Patents

휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법 Download PDF

Info

Publication number
KR20050099106A
KR20050099106A KR1020040024196A KR20040024196A KR20050099106A KR 20050099106 A KR20050099106 A KR 20050099106A KR 1020040024196 A KR1020040024196 A KR 1020040024196A KR 20040024196 A KR20040024196 A KR 20040024196A KR 20050099106 A KR20050099106 A KR 20050099106A
Authority
KR
South Korea
Prior art keywords
user
smart card
card chip
fingerprint
authentication
Prior art date
Application number
KR1020040024196A
Other languages
English (en)
Inventor
오상호
Original Assignee
주식회사 엘립시스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘립시스 filed Critical 주식회사 엘립시스
Priority to KR1020040024196A priority Critical patent/KR20050099106A/ko
Publication of KR20050099106A publication Critical patent/KR20050099106A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Image Input (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 안전한 패스워드입력과 지문인식에 의해 사용자 인증이 가능한 휴대용 HSM장치에 관한 것으로서, 더 상세하게는 키입력부, 지문인식센서, 스마트카드 칩(또는 물리적 보안이 인증된 IC)이 장착된 보안토큰에 안전한 패스워드 입력 및 지문인식에 의한 사용자 인증기능 그리고 암호학적 키관리시스템이 탑재된 휴대용 보안장치에 관한 것이다.
본 발명은 사용자의 지문 이미지를 스캔하여 지문정보를 얻고 이를 스마트카드 칩에 전송하는 지문인식센서와, 키입력장치에 구비된 버튼을 눌러 사용자 패스워드를 입력하고 이를 스마트카드 칩에 전송하는 키입력부와, 개인용 인증서나 관련 비밀키를 안전하게 관리하는 암호학적 키관리시스템이 탑재되고, 상기 지문인식센서와 키입력부에 의해 전송된 지문정보 및 사용자 패스워드를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 출력하도록 제어하는 스마트카드 칩과, 상기 스마트카드 칩의 제어에 의해 사용자 등록결과와 인증결과를 화면에 출력하는 LCD와, 상기 스마트카드 칩을 인터페이스를 통해 외부의 호스트 컴퓨터에 연결하는 인터페이스 컨트롤러로 구성된다.

Description

휴대용 HSM장치와 그 장치의 사용자 등록 및 인증방법 {Portable HSM, user registration and authentication method thereof}
본 발명은 안전한 패스워드입력과 지문인식에 의해 사용자 인증이 가능한 휴대용 HSM장치에 관한 것으로서, 더 상세하게는 키입력부, 지문인식센서, 스마트카드 칩(또는 물리적 보안이 인증된 IC)이 장착된 보안토큰에 안전한 패스워드 입력 및 지문인식에 의한 사용자 인증기능 그리고 암호학적 키관리시스템이 탑재된 휴대용 보안장치에 관한 것이다.
정보보호 및 인증기술에 있어서, 개인의 인증정보를 하드웨어적으로 또한 암호학적으로 안전하게 관리하는 장치 및 시스템의 개발기술 필요성은 인터넷의 보급과 함께 제기되어 왔다.
특히, 인증서 기반의 온라인서비스(예를 들어, 인터넷 뱅킹, 인터넷 쇼핑, 인터넷 관공서 업무)가 일반 개인에게 폭 넓게 제공되어 일반화되면서 인증서 및 관련 보안정보를 안전하게 관리하고자 하는 요구가 커져가고 있다.
현재 인증서 및 관련정보의 보관은 개인의 PC, 플로피 디스켓, USB 타입의 플래시메모리 토큰, 스마트카드 등에서 이루어지고 있다.
상기 PC의 경우 타인에 의해서 쉽게 접근이 가능할 뿐만 아니라, 휴대성이 없어서 매우 불편하다.
상기 플로피 디스크와 메모리 토큰의 경우, 분실시 타인에게 저장된 내용이 쉽게 노출될 우려가 있다.
또한 스마트카드의 경우, 분실시 패스워드를 추측하는 것만으로 도용이 가능해진다.
실제 인간이 기억하기 좋은 패스워드를 추측하는 것은 펜티엄 Ⅱ정도의 시스템으로도 몇 분이면 가능하다.
즉, 기존의 개인용 인증정보 보호장치는 추측이 용이한 패스워드만으로 사용자의 인증이 이루어짐으로써 근본적인 취약점을 안고 있다.
최근에 생체인식기술을 이용한 지문인식장치를 장착한 USB타입의 사용자 인증 토큰이 소개되고 있다.
예를 들어 국내등록번호 20-0311558호에는 지문을 이용한 생체인증 USB토큰 시스템에 대해 개시되어 있다.
상기 고안은 토큰과 일체화된 지문인식센서부에서 지문을 인식하면 토큰 내부에 있는 플래시 메모리와 생체인증 비교를 수행하는 정보처리장치가 이를 비교판단하여 인증하는 시스템에 관한 것이다.
상기 고안은 특정 사용자의 지문 이미지를 저장하는 메모리와, 사용자의 지문을 인식하여 그 지문 이미지를 캡쳐하는 지문인식센서와, 상기 지문인식센서로부터 캡쳐된 지문이미지를 상기 메모리에 저장된 지문과 비교하여 진정 사용자이면 인증확인신호를 송출하는 정보처리장치와, 상기 정보처리장치로부터 송출되는 인증확인신호를 컴퓨터의 USB 포트로 전송하는 USB칩으로 구성되어, 개인생체 정보저장과 모든 인증과정을 토큰시스템 내부에서 해결함으로써 해킹 및 개인정보 유출을 막을 수 있는 효과가 있다.
그러나 이런 제품들은 단지 지문인식에 의한 사용자 인증이 가능하다는 것 외에, 하드웨어적, 암호학적으로 안전한 인증서 관리와 같은 개인 정보의 관리기능은 제공하지 않고 있는 문제점이 있다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 주 목적은, 물리적 보안이 입증된 스마트카드 칩에 사용자의 비밀키 및 인증서를 관리하는 시스템을 탑재하여, 하드웨어적으로 동시에 암호학적으로 안전하게 개인의 보안정보를 관리할 수 있도록 하는 휴대용 HSM장치와 그 장치의 사용자 등록 및 인증방법을 제공하는데 있다.
본 발명의 다른 목적은 스마트카드 칩에 연결된 지문인식센서 및 키입력부를 통해서 사용자 인증정보를 입력받도록 해서 사용자 인증과정을 강화하고, 상기 키입력부와 지문인식센서에서 전송된 인증정보를 상기 스마트카드 칩 내에 물리적으로 보안이 인증된 곳에 저장 관리함으로써 전송된 인증정보에 대한 외부로부터의 인가되지 않은 접근을 원천적으로 방지하여 보안성을 강화할 수 있는 휴대용 HSM장치와 그 장치의 사용자 등록 및 인증방법을 제공하는데 있다.
상술한 목적을 달성하기 위하여, 본 발명은 사용자의 지문 이미지를 스캔하여 지문정보를 얻고 이를 스마트카드 칩에 전송하는 지문인식센서와, 키입력장치에 구비된 버튼을 눌러 사용자 패스워드를 입력하고 이를 스마트카드 칩에 전송하는 키입력부와, 개인용 인증서나 관련 비밀키를 안전하게 관리하는 암호학적 키관리시스템이 탑재되고, 상기 지문인식센서와 키입력부에 의해 전송된 지문정보 및 사용자 패스워드를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 출력하도록 제어하는 스마트카드 칩과, 상기 스마트카드 칩의 제어에 의해 사용자 등록결과와 인증결과를 화면에 출력하는 LCD와, 각종 데이터가 저장되고 입출력되는 메모리와, 상기 스마트카드 칩이나 메모리를 인터페이스를 통해 외부의 호스트 컴퓨터에 연결하는 인터페이스 컨트롤러를 포함하는 휴대용 HSM장치를 제공하는데 있다.
상술한 목적을 달성하기 위하여, 본 발명은 스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 사용자가 키입력부로 자신이 원하는 패스워드를 입력하고 스마트카드 칩에서 사용자 패스워드를 키입력부로부터 입력받는 단계와, 스마트카드 칩에서 입력된 지문정보와 사용자 패스워드를 인증정보로 해서 스마트카드 칩 내에 저장하고 사용자 등록을 수행하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 등록결과를 출력하는 단계로 이루어진 사용자 등록과정과,
스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 사용자가 키입력부를 이용해 자신이 원하는 패스워드를 입력하고 스마트카드 칩에서 사용자 패스워드를 키입력부로부터 입력받는 단계와, 스마트카드 칩에서 입력된 지문정보와 사용자 패스워드를 상기 등록과정에서 저장된 인증정보와 비교해서 인증여부를 판단하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 인증결과를 출력하는 단계로 이루어진 사용자 인증과정을 포함하는 휴대용 HSM장치의 사용자 등록 및 인증방법을 제공하고자 한다.
이하 본 발명의 실시예에 대하여 첨부된 도면을 참고로 그 구성 및 작용을 설명하기로 한다.
먼저, 먼저 HSM과 키관리시스템에 대해 설명하고자 한다.
한편, 보안장치에 대한 관심이 커지면서 하드웨어적으로 동시에 암호학적으로 안전한 키관리시스템을 탑재한 하드웨어보안모듈(HSM; Hardware Security Module)이라는 개념이 소개되고 있다.
상기 HSM은 휴대용인 경우 스마트카드 칩, 그중에서도 물리적 안전성이 인증된 칩(내부에 저장된 정보에 대한 허가되지 않은 물리적인 접근을 하드웨어 및 소프트웨어적으로 방지하는 칩)을 사용한다.
즉, 휴대용 HSM(또는 보안토큰)은 물리적인 안전성이 보장되는 스마트카드 칩에 FIPS 140-2 인증을 받은 키관리시스템을 개발하였고, 상기 키관리시스템은 칩 내부에 저장된 정보에 대한 허가되지 않은 접근을 하드웨어 및 소프트웨어적으로 방지한다.
여기서 상기 FIPS 140-2는 보안장치의 하드웨어적인 보안성을 인증해주고 키관리시스템의 보안성도 인증해주는 제도로, 미국 NIST에서 관리한다.
도 1은 본 발명의 실시예에 따른 HSM장치의 구성도이다.
도시된 바와 같이, 지문인식부(10), 입출력부(20), 처리부(30), 저장부(40), 인터페이스(50)로 구성된다.
지문인식부(10)는 사용자의 지문을 인식하여 그 지문 이미지를 캡쳐하는 지문인식센서(12)와, 지문인식센서(12)의 동작 등을 제어하고 처리부(30)에서 지문인식센서(12)를 사용할 수 있도록 제어하는 컨트롤러의 기능을 갖으며 칩형태로 이루어진 센서 제어부(14)로 이루어진다.
입출력부(20)는 키입력장치로 구성되어 사용자 패스워드 등과 같은 문자를 입력하는 키입력부(22)와, 사용자 등록과정 결과나 인증과정 결과가 화면에 출력되는 LCD(24)로 이루어진다.
도 5에 나타낸 바와 같이, 키입력부(22)에 구비된 키입력장치의 이동버튼(22a)을 눌러 LCD(24)에 표시된 숫자를 조정하고, 자신의 번호가 LCD에 출력되면 이동버튼 상부에 구비된 확인버튼(22b)을 눌러, 다음 번호입력 상태로 이동하는 방식으로 사용자 패스워드를 입력한다.
처리부(30)는 개인용 인증서나 관련 비밀키를 안전하게 관리하는 암호학적 키관리시스템이 탑재되고 패스워드 입력 및 지문인식에 의해 사용자 등록과 인증과정을 수행하는 스마트카드 칩(32)과, 상기 스마트카드 칩(32)을 제어하는 장치로서 인터페이스(50)를 통해 호스트 컴퓨터(60)에 연결하는 인터페이스 컨트롤러(34)로 구성된다.
즉, 스마트카드 칩(32)은 지문인식센서(12)로부터 지문정보를 입력받고 키입력부(22)로부터 사용자 패스워드를 입력받아, 스마트카드 칩 내의 안전한 장소에 지문정보와 함께 사용자 패스워드를 저장하여 사용자 등록과정을 수행하고 그 등록결과를 LCD(24)에 출력한다.
또한, 스마트카드 칩(32)은 지문인식센서(12)로부터 지문을 입력받고 스마트카드 칩에 탑재된 암호학적 키관리시스템을 사용해서 사용자 패스워드를 생성하여, 스마트카드 칩 내의 안전한 장소에 지문정보와 함께 사용자 패스워드를 저장하여 사용자 등록과정을 수행하고 그 등록결과를 LCD(24)에 출력한다.
이때 사용자는 LCD(24)에 출력되는 스마트카드 칩(32)에서 생성된 사용자 패스워드를 보고 기억하게 된다.
사용자 등록이 완료된 후에, 스마트카드 칩(32)은 지문인식센서(12)로부터 지문정보를 입력받고 키입력부(22)로부터 사용자 패스워드를 입력받아, 스마트카드 칩 내의 안전한 장소에 저장된 인증정보(지문정보, 사용자 패스워드)와 비교하여 그 결과를 LCD(24)에 출력해서 사용자에게 알린다.
상기 키관리시스템에서 키란 암호학적 알고리즘에서 수행되는 암호화, 복호화, 서명, 검증 등에 사용되는 특별한 형태의 난수를 의미한다.
따라서 키관리시스템은 이런 암호학적 키를 생성, 저장하고, 이 키를 사용하여 암호화, 복호화, 서명, 검증 등을 수행하는 전체과정을 수행한다.
상기 인터페이스 컨트롤러(34)를 본 발명의 실시예에서는 USB 컨트롤러가 사용된다.
USB는 직렬포트의 일종으로서, 오디오플레이어, 조이스틱, 키보드, 전화, 스캐너 및 프린터 등과 같은 주변장치와 컴퓨터간의 플러그 앤 플레이 인터페이스이다.
USB의 원리는 직렬포트와 동일하지만 직렬포트보다 더 빠르고, 연결하기 편리하다.
또한 USB는 12 Mbps의 데이터 전송속도를 지원하므로 웬만한 주변기기를 연결해도 속도가 충분하고, 최대 127개까지 장치들을 사슬처럼 연결할 수 있다.
또한 PC를 사용하는 도중에 연결해도 인식이 되며, 별도의 주변장치용 전원이 필요 없는 장점이 있다.
저장부(40)는 동영상이나 음악파일 등과 같은 각종 데이터가 저장되는 메모리(42)와 상기 메모리의 각종 데이터의 입출력을 제어하는 인터페이스 컨트롤러(44)로 구성된다.
상기 메모리(42)는 읽고 쓰기가 가능한 플래시 메모리(flash memory)인 것이 바람직하다.
상기 플래시 메모리는 지속적으로 전원이 공급되는 비휘발성 메모리로서 블록단위로 내용을 지울 수도 있고, 다시 프로그램 할 수도 있어 속도가 빠르다.
상기 인터페이스 컨트롤러(44)는 인터페이스(50)를 통해 연결된 호스트 컴퓨터(60)에서 메모리(42)의 데이터를 사용할 수 있도록 제어하며 본 발명에서는 USB 컨트롤러를 사용한다.
인터페이스(50)는 저장부(40)와 처리부(30)를 외부의 호스트 컴퓨터(60)에 연결하여 사용할 수 있도록 해주며, 본 실시예에서는 다수의 호스트 컴퓨터(60)나 외부의 주변기기에 연결할 수 있도록 USB 허브를 사용한다.
상기한 구성에서, 지문인식센서(12)와 키입력부(22)를 별도로 각각 구성하여 휴대용 HSM장치를 구성할 수도 있다.
예를 들어, 지문인식센서(12)만 별도로 구성하는 경우, 지문인식센서(12)에서 사용자의 지문 이미지를 스캔하여 지문정보를 얻고 이를 스마트카드 칩에 전송하면, 스마트카드 칩(32)에서는 상기 지문인식센서에 의해 전송된 지문정보를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 LCD(24)에 출력한다.
또한, 키입력부(22)만 별도로 구성하는 경우, 키입력부(22)에서 키입력장치에 구비된 버튼을 눌러 사용자 패스워드를 입력하고 이를 스마트카드 칩에 전송하면, 스마트카드 칩(32)에서는 상기 키입력부에 의해 전송된 사용자 패스워드를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 LCD에 출력한다.
도 2는 본 발명의 일실시예에 따른 사용자 등록과정의 순서도로서, 사용자 패스워드를 입력하여 지문정보와 함께 등록하는 과정의 순서도이다.
지문인식센서(12)를 통해서 만들어진 사용자의 지문인식자료와 키입력부(22)를 통해서 입력된 사용자의 패스워드를 인증정보로 해서 스마트카드 칩(32)은 사용자의 등록절차를 수행한다.
입력된 정보는 스마트카드 칩 내의 물리적으로 안정한 장소에 저장되며 등록결과는 LCD(24)를 통해서 사용자에게 전달된다.
이를 좀더 상세히 설명하면, 사용자가 지문인식센서(12)에 지문을 입력하면 지문인식센서는 지문이미지를 스캔하여 스캔한 지문정보를 얻고, 스마트카드 칩(32)에서는 이 지문정보를 지문인식센서(12)로부터 입력받는다(S210).
사용자가 키입력부(22)를 이용해 자신이 원하는 패스워드를 입력하면 스마트카드 칩(32)에서는 이 사용자 패스워드를 키입력부로부터 입력받는다(S220).
스마트카드 칩(32)은 지문정보와 사용자 패스워드를 인증정보로 해서 스마트카드 칩 내의 물리적으로 안전한 장소에 저장하고 사용자를 등록한다(S230).
이후 스마트카드 칩(32)은 LCD(24)에 사용자 패스워드를 포함한 인증결과를 출력하여 사용자에게 알려준다(S240).
도 3은 본 발명의 다른 실시예에 따른 사용자 등록과정의 순서도로서, 스마트카드 칩(32)에서 사용자 패스워드를 생성하여 지문정보와 함께 등록하는 과정의 순서도이다.
지문인식센서(12)를 통해서 만들어진 사용자의 지문인식자료와 스마트카드 칩(32) 내의 키관리시스템을 통해서 생성된 사용자의 패스워드를 인증정보로 해서 스마트카드 칩은 사용자의 등록절차를 수행한다.
입력된 정보는 스마트카드 칩(32) 내의 물리적으로 안정한 장소에 저장되며 등록결과는 LCD(24)를 통해서 사용자에게 전달된다.
이를 좀 더 상세히 설명하면, 사용자가 지문인식센서(12)에 지문을 입력하면 지문인식센서는 지문이미지를 스캔하여 스캔한 지문정보를 얻고, 스마트카드 칩에서는 이 지문정보를 지문인식센서로부터 입력받는다(S310).
스마트카드 칩(32)은 스마트카드 칩에 탑재된 키관리시스템을 사용하여 사용자 패스워드를 생성한다(S320).
이는 도 2에서와 같이 사용자가 직업 패스워드를 입력할 때 생길 수 있는 사용자 패스워드의 추측 가능성을 줄이기 위해서이다.
스마트카드 칩(32)은 입력된 지문정보와 생성된 사용자 패스워드를 인증정보로 해서 스마트카드 칩 내의 물리적으로 안전한 장소에 저장하고 사용자를 등록한다(S330).
이후 스마트카드 칩(32)은 LCD(24)에 패스워드를 포함한 사용자 인증결과를 출력하여 사용자에게 알려준다(S340).
이때 사용자는 LCD(24) 화면에 출력되는 패스워드를 확인하여 기억하고 추후 사용자 인증과정시에 입력한다.
상기한 과정을 거쳐 사용자 등록과정을 거친 후, 사용자 인증을 하기 위해서는 도 4와 같은 사용자 인증과정을 거친다.
도 4는 본 발명의 실시예에 따른 사용자 인증과정의 순서도이다.
사용자가 지문인식센서(12)에 지문을 입력하면 지문인식센서는 지문이미지를 스캔하여 스캔한 지문정보를 얻고, 스마트카드 칩(32)에서는 이 지문정보를 지문인식센서로부터 입력받는다(S410).
사용자가 키입력부(22)를 이용해 자신이 원하는 사용자 패스워드를 입력하면 스마트카드 칩(32)에서는 이 사용자 패스워드를 키입력부로부터 입력받는다(S420).
스마트카드 칩(32)은 입력된 지문정보 및 사용자 패스워드를 스마트카드 칩 내에 기 등록된 사용자의 인증정보와 함께 비교하여(S430) 두개 모두 같은 경우에만 사용자 인증을 하고 그 인증결과를 LCD(24) 화면에 출력함으로써 사용자에게 알린다(S440).
사용자 인증이 완료된 후에, 스마트카드 칩(32)은 인증용 키를 생성하고, 이 인증용 키를 이용해 암호화, 복호화, 서명, 검증 등의 서비스를 제공한다.
상기 S430단계에서 지문정보와 사용자 패스워드중 하나라도 기 등록된 사용자의 인증정보와 다르면 사용자 인증을 하지 않고 사용자 인증실패결과를 LCD(24) 화면에 출력함으로서 사용자에게 알린다(S450).
이와 같이 지문인식센서(12)와 키입력부(22)의 추가로 보안성을 강화할 수 있다.
즉, 지문인식정보를 통해서 사용자를 인증함으로써 패스워드만으로 인증할 경우에 발생하는 도용의 문제를 간단히 방지할 수 있다.
종래 휴대용 보안토큰들이 자체 키입력장치를 갖고 있지 않기 때문에 패스워드를 입력할 때 다른 시스템(PC)에 연결된 키입력장치를 통해서 입력하게 되나, 이러한 인증방법은 보안성 면에 매우 떨어지는 것으로 취급되고 있는 반면에 본 발명은 자체에 키입력부를 갖고 있어 보안 수준을 높일 수 있다.
이상에서 살펴본 바와 같이 본 발명에 의하면, 물리적 보안이 입증된 스마트카드 칩에 사용자의 비밀키 및 인증서를 관리하는 시스템을 탑재하여, 휴대용 HSM으로 하드웨어적으로 동시에 암호학적으로 안전하게 개인의 보안정보를 관리할 수 있다.
또한, 본 발명에 의하면, 스마트카드 칩에 연결된 지문인식센서 및 키입력부를 통해서 사용자 인증정보를 입력받도록 해서 사용자 인증과정을 강화하고, 상기 키입력부와 지문인식센서에서 전송된 인증정보를 상기 스마트카드 칩 내에 물리적으로 보안이 인증된 곳에 저장 관리함으로써 전송된 인증정보에 대한 외부로부터의 인가되지 않은 접근을 원천적으로 방지하여 보안성을 강화할 수 있다.
도 1은 본 발명의 실시예에 따른 HSM장치의 구성도이다.
도 2는 본 발명의 일실시예에 따른 사용자 등록과정의 순서도이다.
도 3은 본 발명의 다른 실시예에 따른 사용자 등록과정의 순서도이다.
도 4는 본 발명의 실시예에 따른 사용자 인증과정의 순서도이다.
도 5는 도 1에 나타낸 키입력부에 구비된 키입력장치의 예시도이다.
<도면의 주요부분에 대한 부호의 설명>
10 : 지문인식부, 12 : 지문인식센서
14 : 센서 제어부 20 : 입출력부
22 : 키입력부 24 : LCD
30 : 처리부 32 : 스마트카드 칩
34 : 인터페이스 컨트롤러 40 : 저장부
42 : 메모리 44 : 인터페이스 컨트롤러
50 : 인터페이스 60 : 호스트 컴퓨터

Claims (11)

  1. 사용자의 지문 이미지를 스캔하여 지문정보를 얻고 이를 스마트카드 칩에 전송하는 지문인식센서와,
    개인용 인증서나 관련 비밀키를 안전하게 관리하는 암호학적 키관리시스템이 탑재되고, 상기 지문인식센서에 의해 전송된 지문정보를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 출력하도록 제어하는 스마트카드 칩과,
    상기 스마트카드 칩의 제어에 의해 사용자 등록결과와 인증결과를 화면에 출력하는 LCD와,
    각종 데이터가 저장되고 입출력되는 메모리와,
    상기 스마트카드 칩이나 메모리를 인터페이스를 통해 외부의 호스트 컴퓨터에 연결하는 인터페이스 컨트롤러를 포함하는 휴대용 HSM장치.
  2. 청구항 1에 있어서, 상기한 구성에 키입력장치에 구비된 버튼을 눌러 사용자 패스워드를 입력하고 이를 스마트카드 칩에 전송하는 키입력부가 더 구비되고,
    상기 스마트카트 칩에서 지문인식센서와 키입력부에 의해 전송된 지문정보 및 사용자 패스워드를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행함을 특징으로 하는 휴대용 HSM장치.
  3. 키입력장치에 구비된 버튼을 눌러 사용자 패스워드를 입력하고 이를 스마트카드 칩에 전송하는 키입력부와,
    개인용 인증서나 관련 비밀키를 안전하게 관리하는 암호학적 키관리시스템이 탑재되고, 상기 키입력부에 의해 전송된 사용자 패스워드를 인증정보로 해서 사용자 등록과정 및 사용자 인증과정을 수행하며 그 결과를 출력하도록 제어하는 스마트카드 칩과,
    상기 스마트카드 칩의 제어에 의해 사용자 등록결과와 인증결과를 화면에 출력하는 LCD와,
    각종 데이터가 저장되고 입출력되는 메모리와,
    상기 스마트카드 칩이나 메모리를 인터페이스를 통해 외부의 호스트 컴퓨터에 연결하는 인터페이스 컨트롤러를 포함하는 휴대용 HSM장치.
  4. 청구항 2 또는 청구항 3에 있어서, 상기 키입력장치는 이동버튼과 확인버튼으로 구성되어,
    이동버튼을 눌러 LCD에 표시된 숫자를 조정하고, 자신의 번호가 LCD에 출력되면 확인버튼을 눌러, 다음 번호입력 상태로 이동하는 방식으로 사용자 패스워드를 입력함을 특징으로 하는 휴대용 HSM장치.
  5. 청구항 2 또는 청구항 3에 있어서, 상기 스마트카드 칩은,
    사용자 등록과정 중에 키입력부로부터 사용자 패스워드를 입력받지 않고 스마트카드 칩내의 암호학적 키관리시스템을 이용하여 사용자 패스워드를 생성함을 특징으로 하는 휴대용 HSM장치.
  6. 청구항 1 또는 청구항 3에 있어서, 상기 인터페이스 컨트롤러는 USB 컨트롤러이고, 인터페이스는 USB 허브인 것을 특징으로 하는 휴대용 HSM장치.
  7. 청구항 1 또는 청구항 3에 있어서, 상기 메모리는 읽고 쓰기가 가능한 플래시 메모리인 것을 특징으로 하는 휴대용 HSM장치.
  8. 지문인식부, 키입력부와 LCD의 입출력부, 스마트카드 칩이 구비된 처리부로 이루어진 휴대용 HSM장치의 사용자 등록 및 인증방법에 있어서;
    스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 사용자가 키입력부로 자신이 원하는 패스워드를 입력하고 스마트카드 칩에서 사용자 패스워드를 키입력부로부터 입력받는 단계와, 스마트카드 칩에서 입력된 지문정보와 사용자 패스워드를 인증정보로 해서 스마트카드 칩 내에 저장하고 사용자 등록을 수행하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 등록결과를 출력하는 단계로 이루어진 사용자 등록과정과,
    스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 사용자가 키입력부를 이용해 자신이 원하는 패스워드를 입력하고 스마트카드 칩에서 사용자 패스워드를 키입력부로부터 입력받는 단계와, 스마트카드 칩에서 입력된 지문정보와 사용자 패스워드를 상기 등록과정에서 저장된 인증정보와 비교해서 인증여부를 판단하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 인증결과를 출력하는 단계로 이루어진 사용자 인증과정을 포함하는 휴대용 HSM장치의 사용자 등록 및 인증방법.
  9. 지문인식부, 키입력부와 LCD의 입출력부, 스마트카드 칩이 구비된 처리부로 이루어진 휴대용 HSM장치의 사용자 등록 및 인증방법에 있어서;
    스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 스마트카드 칩에서 스마트카드 칩에 탑재된 키관리시스템을 사용해 사용자 패스워드를 생성하는 단계와, 스마트카드 칩에서 입력된 지문정보와 생성된 사용자 패스워드를 인증정보로 해서 스마트카드 칩 내에 저장하고 사용자 등록을 수행하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 등록결과를 출력하는 단계로 이루어진 사용자 등록과정과,
    스마트카드 칩에서 지문인식센서로부터 사용자의 지문 이미지를 스캔해서 얻은 지문정보를 입력받는 단계와, 사용자가 키입력부를 이용해 자신이 원하는 패스워드를 입력하고 스마트카드 칩에서 사용자 패스워드를 키입력부로부터 입력받는 단계와, 스마트카드 칩에서 입력된 지문정보와 사용자 패스워드를 상기 등록과정에서 저장된 인증정보와 비교해서 인증여부를 판단하는 단계와, 상기 스마트카드 칩에서 LCD를 통해 사용자 인증결과를 출력하는 단계로 이루어진 사용자 인증과정을 포함하는 휴대용 HSM장치의 사용자 등록 및 인증방법.
  10. 청구항 9에 있어서, 상기 사용자 등록결과 출력단계에서,
    스마트카드 칩에 의해 생성된 사용자 패스워드가 LCD에 출력됨을 특징으로 하는 휴대용 HSM장치의 사용자 등록 및 인증방법.
  11. 청구항 8 또는 청구항 9에 있어서, 상기 인증 판단단계에서,
    지문정보와 사용자 패스워드가 기 저장된 인증정보와 모두 같은 경우에만 인증을 수행하고, 하나라도 다른 경우에는 인증실패로 처리함을 특징으로 하는 휴대용 HSM장치의 사용자 등록 및 인증방법.
KR1020040024196A 2004-04-08 2004-04-08 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법 KR20050099106A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040024196A KR20050099106A (ko) 2004-04-08 2004-04-08 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040024196A KR20050099106A (ko) 2004-04-08 2004-04-08 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법

Publications (1)

Publication Number Publication Date
KR20050099106A true KR20050099106A (ko) 2005-10-13

Family

ID=37278308

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040024196A KR20050099106A (ko) 2004-04-08 2004-04-08 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법

Country Status (1)

Country Link
KR (1) KR20050099106A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100722238B1 (ko) * 2005-12-29 2007-05-29 케이비 테크놀러지 (주) Ic 카드 기반형 하드웨어 보안 모듈
KR100876003B1 (ko) * 2007-02-14 2008-12-26 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
KR101394147B1 (ko) * 2011-11-30 2014-05-27 김승훈 모바일에서 안전하게 인증서를 사용하는 방법
WO2016076487A1 (ko) * 2014-11-10 2016-05-19 김승훈 지문센서와 장착식 스마트 카드와 메모리 카드를 구비한 유에스비 보안장치 및 그 보안 방법
US9942226B2 (en) 2014-12-03 2018-04-10 Samsung Electronics Co., Ltd. NFC package for storing biometric information and electronic device
CN110390746A (zh) * 2019-06-16 2019-10-29 广州智慧城市发展研究院 一种指纹防盗门禁的实现方法
US11303439B2 (en) 2018-12-26 2022-04-12 Penta Security Systems Inc. Method of and device for performing authentication using hardware security module in oneM2M environment

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100722238B1 (ko) * 2005-12-29 2007-05-29 케이비 테크놀러지 (주) Ic 카드 기반형 하드웨어 보안 모듈
KR100876003B1 (ko) * 2007-02-14 2008-12-26 에스케이씨앤씨 주식회사 생체정보를 이용하는 사용자 인증방법
KR101394147B1 (ko) * 2011-11-30 2014-05-27 김승훈 모바일에서 안전하게 인증서를 사용하는 방법
WO2016076487A1 (ko) * 2014-11-10 2016-05-19 김승훈 지문센서와 장착식 스마트 카드와 메모리 카드를 구비한 유에스비 보안장치 및 그 보안 방법
US9942226B2 (en) 2014-12-03 2018-04-10 Samsung Electronics Co., Ltd. NFC package for storing biometric information and electronic device
US11303439B2 (en) 2018-12-26 2022-04-12 Penta Security Systems Inc. Method of and device for performing authentication using hardware security module in oneM2M environment
CN110390746A (zh) * 2019-06-16 2019-10-29 广州智慧城市发展研究院 一种指纹防盗门禁的实现方法

Similar Documents

Publication Publication Date Title
US8707049B2 (en) Authentication method and key device
US10205711B2 (en) Multi-user strong authentication token
US8572392B2 (en) Access authentication method, information processing unit, and computer product
US9557824B2 (en) Computer keyboard with ultrasonic user proximity sensor
US20110185181A1 (en) Network authentication method and device for implementing the same
US10148648B1 (en) Virtual smart card to perform security-critical operations
US9667626B2 (en) Network authentication method and device for implementing the same
US20070223685A1 (en) Secure system and method of providing same
US11392678B2 (en) Remote fingerprinting sensor
US20050228993A1 (en) Method and apparatus for authenticating a user of an electronic system
US20070288689A1 (en) USB apparatus and control method therein
US20110314288A1 (en) Circuit, system, device and method of authenticating a communication session and encrypting data thereof
JP2002539514A (ja) コンピュータ装置およびその動作方法
KR20080075956A (ko) 생체정보를 이용하는 사용자 인증방법
EP1749261A2 (en) Multi-factor security system with portable devices and security kernels
WO2009095263A1 (en) Method of secure pin entry and operation mode setting in a personal portable device
JP2007011993A (ja) 情報処理システム、情報処理装置および方法、並びにプログラム
JP2011165102A (ja) 生体認証システムおよび携帯端末
KR100807185B1 (ko) Usb 토큰을 이용한 otp(일회용 암호)발생 방법 및인증방법,시스템,usb 토큰
KR20050099106A (ko) 휴대용 hsm장치와 그 장치의 사용자 등록 및 인증방법
WO2009038446A1 (en) A portable secure identity and mass storage unit
KR100752393B1 (ko) 개인용 인증토큰 및 인증방법
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法
KR20110005612A (ko) 생체 인식을 이용한 오티피 운영 방법 및 시스템과 이를 위한 오티피 장치 및 기록매체
NO319572B1 (no) Apparat og fremgangsmate ved biometri og sikker kommunikasjon

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application