KR20050108355A - 인증 처리 장치 및 시큐러티 처리 방법 - Google Patents

인증 처리 장치 및 시큐러티 처리 방법 Download PDF

Info

Publication number
KR20050108355A
KR20050108355A KR1020057014883A KR20057014883A KR20050108355A KR 20050108355 A KR20050108355 A KR 20050108355A KR 1020057014883 A KR1020057014883 A KR 1020057014883A KR 20057014883 A KR20057014883 A KR 20057014883A KR 20050108355 A KR20050108355 A KR 20050108355A
Authority
KR
South Korea
Prior art keywords
key
des
pki
secret key
processing
Prior art date
Application number
KR1020057014883A
Other languages
English (en)
Other versions
KR101031164B1 (ko
Inventor
다께시 후나하시
신이찌로 후따미
Original Assignee
소니 가부시끼 가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소니 가부시끼 가이샤 filed Critical 소니 가부시끼 가이샤
Publication of KR20050108355A publication Critical patent/KR20050108355A/ko
Application granted granted Critical
Publication of KR101031164B1 publication Critical patent/KR101031164B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 입력되는 피인증 처리 정보의 인증 처리 결과에 따라, PKI에 기초한 시큐러티 처리를 실행하는 인증 처리 장치로서, 피인증 정보를 입력하는 입력부(12)와, 입력부에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리부(21)와, PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리부(23)와, PKI 처리부(23)에 의해 생성된 비밀 키가 기입되는, 외부로부터의 판독 불가능한 기입 전용 영역을 구비하는 기억부(24)와, 인증 처리부(21)에 의해 피인증 정보가 인증된 것에 따라, 기억부(24)가 구비하는 기입 전용 영역에 직접 액세스하여, 기입된 비밀 키를 PKI 처리부(23)에 전송하는 비밀 키 전송부(25)를 구비한다.

Description

인증 처리 장치 및 시큐러티 처리 방법{AUTHENTICATION PROCESSING DEVICE AND SECURITY PROCESSING METHOD}
본 발명은, PKI(Public Key Infrastructure)에 관한 기술로서, 상세하게는, 입력되는 피인증 처리 정보의 인증 처리 결과에 따라, PKI에 기초한 시큐러티 처리를 실행하는 인증 처리 장치 및 시큐러티 처리 방법에 관한 것이다.
본 출원은, 일본에서 2003년 2월 14일에 출원된 일본 특허 출원 번호 제2003-037373호를 기초로 하여 우선권을 주장하는 것이며, 이 출원은 참조되어, 본 출원에 원용된다.
종래, PKI(Public key Infrastructure)에 기초하여, 유저 자신의 신원을 확인하기 위해 이용되는 IC 카드, USB 토큰 등의 휴대가 용이한 하드웨어 토큰이 제안되어 있다. PKI는, 네트워크 시큐러티 기술에 관한 하부 구조의 총칭이다. 구체적인 PKI 기술로서는, 외부 장치와의 데이터 송수신에서, 공개 키와, 비밀 키를 이용한 비대칭 암호화 방식에 의해 데이터에 은닉성을 부여하여 송수신을 행하는 기술이 있다.
예를 들면, 비대칭 암호화 방식에 의해, 데이터의 송수신을 행하는 경우를 생각하면, 데이터 송신측은, 공개 키에 의해 데이터의 암호화를 행하여, 데이터를 송신한다. 공개 키에 의해 암호화된 암호화 데이터를 수신한 데이터 수신측은, 공개 키에 대응하는 암호 키에 의해 암호화 데이터를 복호하여 데이터를 수취하게 된다.
공개 키는, 문자 그대로 일반에 공개되는 것이며 누구에나 취득 가능한 키이지만, 비밀 키는, 타인에게 도용되지 않도록 안전하게 보관할 필요가 있다.
따라서, 전술한 하드웨어 토큰은, 일반적으로 마스크 ROM으로 구성되어 있으며, 퍼스널 컴퓨터 PC로부터의 액세스에 의해서는, 비밀 키를 판독할 수 없는 구성으로 되어 있다.
전술한 바와 같이, 비밀 키는, 안전하게 보관될 필요가 있기 때문에, PKI 방식을 이용하여 데이터 송수신을 하는 장치에는, 패스워드나, 생체 정보의 입력에 의해 정당한 유저인지의 여부를 인증하는 인증 처리 기구를 구비하는 것이 바람직하다고 되어 있다.
전술한 바와 같은, 마스크 ROM으로 구성된 하드웨어 토큰은, 프로그램의 구성에 많은 제약을 수반하기 때문에, 인증 처리 기구를 부가하는 것은 매우 곤란하다.
〈발명의 개시〉
본 발명의 목적은, 전술한 바와 같은 종래의 기술이 갖는 문제점을 해결할 수 있는 신규의 인증 처리 장치 및 시큐러티 처리 방법을 제공하는 것에 있다.
본 발명의 다른 목적은, PKI 기능을 구비하며, 또한, 비밀 키의 부정 취득을 곤란하게 하는 인증 처리 장치 및 시큐러티 처리 방법을 제공하는 것에 있다.
본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치로서, 피인증 정보를 입력하는 입력 수단과, 입력 수단에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 수단과, PKI(Public key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과, PKI 처리 수단에 의해 생성된 비밀 키가 기입되는, 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단과, 인증 처리 수단에 의해 피인증 정보가 인증된 것에 따라, 기억 수단이 갖는 기입 전용 영역에 직접 액세스하여, 기입되어 있는 비밀 키를 PKI 처리 수단에 전송하는 비밀 키 전송 수단을 구비한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서, 피인증 정보를 입력하는 입력 공정과, 입력 공정에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 공정과, PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단에 의해, 비밀 키 및 공개 키를 생성하는 키 생성 공정과, 외부로부터의 판독 불가능한 기입 전용 영역을 구비하는 기억 수단에 키 생성 공정에 의해 생성된 비밀 키를 기입하는 기입 공정과, 인증 처리 공정에 의해 피인증 정보가 인증된 것에 따라, 기억 수단이 갖는 상기 기입 전용 영역에 직접 액세스하여, 기입되는 비밀 키를 PKI 처리 수단에 전송하는 비밀 키 전송 공정을 포함한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치로서, 피인증 정보를 입력하는 입력 수단과, 입력 수단에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 수단과, PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과, 전용 버스를 통해 상기 PKI 처리 수단과 접속되며, 상기 비밀 키가 기입되는, 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단을 구비하며, PKI 처리 수단은, 인증 처리 수단에 의해 피인증 정보가 인증된 것에 따라, 기억 수단이 갖는 기입 전용 영역에 기입되어 있는 비밀 키를 전용 버스를 통해 판독한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서, 피인증 정보를 입력하는 입력 공정과, 입력 공정에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 공정과, PKI(Public key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단에 의해, 비밀 키 및 공개 키를 생성하는 키 생성 공정과, 전용 버스를 통해 PKI 처리 수단과 접속되며, 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단에, 키 생성 공정에 의해 생성된 비밀 키를 기입하는 기입 공정을 포함하며, PKI 처리 수단은, 인증 처리 공정에 의해, 피인증 정보가 인증된 것에 따라, 기억 수단이 갖는 기입 전용 영역에 기입된 비밀 키를 전용 버스를 통해 판독한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치로서, 피인증 정보를 입력하는 입력 수단과, 입력 수단에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 수단과, PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성 수단과, 전용 버스를 통해 PKI 처리 수단과 접속되며, DES 키 생성 수단에 의해 생성된 제1 DES 키가 기입되는 기억 수단을 구비하며, PKI 처리부는, 상기 비밀 키를 생성한 후, 기억 수단에 기입되어 있는 제1 DES 키를 전용 버스를 통해 판독하고, 판독한 상기 제1 DES 키를 이용하여, 비밀 키를 암호화하여 암호화 비밀 키를 생성하고, 인증 처리 수단에 의해, 인증 정보가 인증된 것에 따라, 기억 수단에 기입되어 있는 제1 DES 키를 전용 버스를 통해 판독하고, 판독한 제1 DES 키를 이용하여 암호화 비밀 키를 비밀 키로 복호한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서, 피인증 정보를 입력하는 입력 공정과, 입력 공정에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 공정과, PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단으로, 비밀 키 및 공개 키를 생성하는 키 생성 공정과, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성 공정과, 전용 버스를 통해 PKI 처리 수단과 접속되며, 기억 수단에 상기 DES 키 생성 공정에 의해 생성된 제1 DES 키를 기입하는 기입하는 공정과, PKI 처리부는, 비밀 키를 생성한 후, 기억 수단에 기입되어 있는 제1 DES 키를 전용 버스를 통해 판독하고, 판독한 제1 DES 키를 이용하여, 비밀 키를 암호화하여 암호화 비밀 키를 생성하고, 인증 처리 공정에 의해, 인증 정보가 인증된 것에 따라, 기억 수단에 기입된 제1 DES 키를 전용 버스를 통해 판독하고, 판독한 제1 DES 키를 이용하여, 암호화 비밀 키를 비밀 키로 복호한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치로서, 피인증 정보를 입력하는 입력 수단과, 입력 수단에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 수단과, PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성 수단과, DES 키 생성 수단에 의해 생성된 제1 DES 키가 기입되는 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단과, 기억 수단이 구비하는 기입 전용 영역에 직접 액세스하여, 기입되어 있는 제1 DES 키를 PKI 처리 수단에 전송하는 DES 키 전송 수단을 구비하며, DES 키 전송 수단은, 비밀 키가 생성되었을 때에, 기억 수단의 기입 전용 영역에 기입되어 있는 제1 DES 키를 판독하여, PKI 처리 수단에 전송하고, PKI 처리 수단은, DES 키 전송 수단에 의해 전송된 제1 DES 키를 이용하여 비밀 키를 암호화하여 암호화 비밀 키를 생성하며, DES 키 전송 수단은, 인증 처리 수단에 의해, 인증 정보가 인증된 것에 따라, 기억 수단에 기입되어 있는 제1 DES 키를 판독하여, PKI 처리 수단에 전송하고, PKI 처리 수단은, DES 키 전송 수단에 의해 전송된 제1 DES 키를 이용하여, 암호화 비밀 키를 비밀 키로 복호한다.
또한, 본 발명은, 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서, 피인증 정보를 입력하는 입력 공정과, 입력 공정에 의해 입력된 피인증 정보의 인증 처리를 하는 인증 처리 공정과, PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단에 의해, 비밀 키 및 공개 키를 생성하는 키 생성 공정과, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성 공정과, 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단에, DES 키 생성 공정에 의해 생성된 제1 DES 키를 기입하는 기입 공정과, 기억 수단이 구비하는 기입 전용 영역에 직접 액세스하여, 기입된 제1 DES 키를 PKI 처리 수단에 전송하는 DES 키 전송 공정을 포함하며, DES 키 전송 공정은, 비밀 키가 생성되었을 때에, 기억 수단의 기입 전용 영역에 기입된 제1 DES 키를 판독하여, PKI 처리 수단에 전송하고, PKI 처리 수단은, DES 키 전송 공정에 의해 전송된 제1 DES 키를 이용하여 비밀 키를 암호화하여 암호화 비밀 키를 생성하며, DES 키 전송 공정은, 인증 처리 공정에 의해, 피인증 정보가 인증된 것에 따라, 기억 수단에 기입된 제1 DES 키를 판독하여, PKI 처리 수단에 전송하고, PKI 처리 수단은, DES 키 전송 공정에 의해 전송된 제1 DES 키를 이용하여, 암호화 비밀 키를 비밀 키로 복호한다.
본 발명의 또 다른 목적과, 본 발명에 의해 얻어지는 구체적인 이점은, 이하에서 도면을 참조하여 설명되는 실시 형태의 설명으로부터 한층 명백해질 것이다.
도 1은, 본 발명에 따른 지문 대조 장치의 개략적 구성을 도시하는 도면.
도 2는, 지문 대조 장치의 구성을 도시하는 블록도.
도 3은, 지문 대조 장치가 구비하는 ASIC의 제1 구성을 도시하는 블록도.
도 4는, ASIC 내의 PKI 엔진의 제1 구성을 도시하는 블록도.
도 5는, ASIC 내의 EEPROM의 기억 영역을 나타내는 도면.
도 6은, 데이터 사이닝 처리의 동작을 나타내는 흐름도.
도 7은, 지문 대조 장치가 구비하는 ASIC의 제2 구성을 도시하는 블록도.
도 8은, 지문 대조 장치가 구비하는 ASIC의 제3 구성을 도시하는 블록도.
도 9는, ASIC, 내의 PKI 엔진의 제2 구성을 도시하는 블록도.
도 10은, 지문 대조 장치가 구비하는 ASIC의 제4 구성을 도시하는 블록도.
〈발명을 실시하기 위한 최량의 형태〉
이하, 본 발명에 따른 인증 처리 장치, 및 시큐러티 처리 방법을 도면을 참조로 하여 상세하게 설명한다.
먼저, 도 1 내지 도 5를 이용하여 본 발명에 따른 인증 처리 장치를 구성하는 지문 대조 장치(10)에 대하여 설명을 한다.
본 발명이 적용된 지문 대조 장치(10)는, 도 1에 도시한 바와 같은 구성을 구비하는 것으로서, 이 지문 대조 장치(10)의 케이스(11)에는, 손가락의 지문 정보를 판독하는 지문 판독 센서(12)가 구비되어 있다. 또한, 지문 대조 장치(10)는, 입출력 인터페이스(13)를 구비하고 있으며, 퍼스널 컴퓨터(Personal Computer)(50) 등의 외부 장치에 케이블(5)을 통해 접속되어, 데이터의 송수신을 행한다. 지문 대조 장치(10)는, 휴대 가능한 리무버블 형태로서 구성되어 있다.
퍼스널 컴퓨터 PC(50)는, 도시하지 않지만, 네트워크 접속 기능을 구비하고 있으며, 네트워크를 통해 접속되는 단말 장치 등과 자유롭게 데이터 송수신이 가능하게 되어 있다.
도 2를 참조하여, 지문 대조 장치(10)의 구성에 대하여 설명을 한다.
지문 대조 장치(10)는, 지문 판독 센서(12)와, 입출력 인터페이스(13)와, 플래시 메모리(14)와, SRAM(Static Random Access Memory)(15)와, ASIC(Application Specific Integrated Circuit)(20)을 구비하고 있다.
지문 판독 센서(12)와, 입출력 인터페이스(13)와, 플래시 메모리(14)와, SRAM(15)와, ASIC(20)은, 버스(16)를 통해 서로 접속되어 있다.
지문 판독 센서(12)는, 해당 지문 판독 센서(12)에 얹어진 손가락의 지문의 높낮이, 즉 지문의 요철을 판독하는 반도체 센서이다.
예를 들면, 지문 판독 센서(12)는, 정전 용량 방식에 의해 지문의 요철을 검출하고, 2차원 화상을 생성한다. 정전 용량 방식의 지문 판독 센서(12)에는, 지문의 요철의 피치보다도 충분히 미세한, 80㎛ 피치로 전극이 배치되어 있으며, 지문의 요철과, 전극 간에 축적되는 전하의 량(정전 용량)을 검출한다. 지문의 오목부에서는 검출되는 정전 용량이 낮고, 지문의 볼록부에서는 정전 용량이 높아지기 때문에, 이 정전 용량 차로부터 지문의 요철을 나타낸 2차원 화상이 생성된다.
입출력 인터페이스(13)는, 예를 들면, USB(Universal Serial Bus)의 규격에 기초한 인터페이스이다. 입출력 인터페이스(13)의 규격은, USB 이외에도 RS232C 등의 적절한 것을 이용할 수 있다.
플래시 메모리(14), SRAM(15)에는, ASIC(20) 내에 있는 후술하는 CPU에 의해 판독되어, 해당 지문 대조 장치(10)를 통괄적으로 제어하는 컨트롤 펌 웨어가 기억되어 있다.
또한, 플래시 메모리(14)는, 지문 대조 처리 시에 이용하는 기준으로 되는 지문 정보인 템플릿 데이터가 기억된다. 해당 지문 대조 장치(10)를 이용한 지문 대조 처리를 실행하는 경우, 유저는, 미리, 이 플래시 메모리(14)에 유저 자신의 지문 정보를 등록해둘 필요가 있다. 플래시 메모리(14)에 기억되는 지문 정보는, 지문 화상의 특징 부분을 추출한 템플릿 데이터이다.
계속해서, 도 3을 이용하여, ASIC(20)의 구성에 대하여 설명을 한다.
ASIC(20)은, 지문 대조 엔진(21)과, 프로그램용 RAM(Random Access Memory)/마스크 ROM(Read Only Memory)(22)과, PKI(Public Key Infrastructure) 엔진(23)과, EEPROM(Electrically Erasable Programmable Read Only Memory)(24)과, DMA(Direct Memory Access) 컨트롤러(25)와, CPU(Central Processing Unit)(26)와, 인터페이스 컨트롤러(27)와, 버스 컨트롤러(28)와, 난수 엔진(30)을 구비하고 있다. 이 ASIC(20)은, 배선 등의 조작에 의해 데이터가 누설되지 않는 내탬퍼성이 높은 IC이다.
지문 대조 엔진(21)과, 프로그램용 RAM/마스크 ROM(22)과, PKI 엔진(23)과, EEPROM(24)과, DMA 컨트롤러(25)와, CPU(26)와, 인터페이스 컨트롤러(27)와, 버스 컨트롤러(28)와, 난수 엔진(30)은, 내부 버스(29)를 통해 서로 접속되어 있다.
지문 대조 엔진(21)은, 지문 대조 처리 시에서, 플래시 메모리(14)에 미리 기억시켜져 있는 지문 화상의 특징 부분만을 추출한 템플릿 데이터를 판독하여, 지문 판독 센서(12)에 의해 검출된 지문 화상과, 판독한 템플릿 데이터를 비교 대조한다. 지문 대조 엔진(21)에 의해 비교 대조된 결과는, CPU(26)에 통지된다.
또한, 전술한 플래시 메모리(14)에, 지문 화상의 특징 정보를 추출한 템플릿 데이터를 기억시킬 때에도, 지문 대조 엔진(21)을 통해 행해진다.
프로그램용 RAM/마스크 ROM(22)는, CPU(26)에서 지문 대조 처리를 할 때에 사용하는 펌 웨어가 저장되어 있는 메모리이다.
PKI 엔진(23)은, PKI에 기초하여 비밀 키를 사용한 시큐러티에 관한 처리, 예를 들면, 데이터 사이닝 처리, 데이터의 암호화, 및 공개 키에 의해 암호화된 암호화 데이터의 복호 처리 등을 실행한다. 또한, 해당 지문 대조 장치(10)로 실행되는 데이터 사이닝 처리, 데이터의 암호화, 및 공개 키에 의해 암호화된 암호화 데이터의 복호 처리에 대해서는, 후에 상세하게 설명하기로 한다.
도 4를 이용하여, PKI 엔진(23)의 구성에 대하여 설명을 한다.
PKI 엔진(23)은, 데이터 레지스터(31)와, 키 레지스터(32)와, 커맨드 스테이터스 레지스터(33)와, PKI 코어(34)를 구비하고 있다.
데이터 레지스터(31)와, 암호·복호화 키 레지스터(32)와, 커맨드 스테이터스 레지스터(33)는, 내부 버스(35)를 통해 서로 접속되어 있다. PKI 코어(34)는, 데이터 레지스터(31)와, 키 레지스터(32)와, 커맨드 스테이터스 레지스터(33)와, 각각 독립적으로 접속되어 있다.
데이터 레지스터(31)는, 데이터 사이닝 처리, 데이터의 암호화, 또는, 암호화 데이터의 복호 처리에서, PKI 코어(34)에 의해 처리하는 데이터를 일시적으로 저장하는 레지스터이다.
키 레지스터(32)는, DMA 컨트롤러(25)에 의해 판독되며, 전송된 키, 예를 들면, 비밀 키 등을 일시적으로 저장하는 레지스터이다.
커맨드 스테이터스 레지스터(33)는, 데이터 사이닝 처리, 데이터의 암호화, 또는, 암호화 데이터의 복호 처리에서, CPU(26)로부터 출력되는 PKI 코어(34)에 대한 소정의 커맨드를 일시적으로 저장하는 레지스터이다.
PKI 코어(34)는, 데이터 사이닝 처리, 데이터의 암호화, 또는 암호화 데이터의 복호 처리 등을 실행한다. 또한, PKI 코어(34)는, 커맨드 스테이터스 레지스터(33)를 통해, CPU(26)로부터 키 발생 커맨드가 송신되면, PKI 방식 중 하나인, 예를 들면, RSA(Rivest Shamir Adleman) 방식에 기초한, 공개 키와, 비밀 키의 키쌍을 생성한다. 생성된 비밀 키는, DMA 컨트롤러(25)의 제어에 의해, EEPROM(24)의 후술하는 소정의 기억 영역에 전송된다. 또한, 공개 키는, PC(50)에 전달된다. 이 비밀 키, 공개 키의 생성은, 해당 지문 대조 장치(10)를 사용할 때에 유저가 실행하는 초기 설정이다.
또한, PKI 코어(34)가 적용하는 PKI 방식으로서는, 전술한 RSA 방식에 한정되는 것은 아니며, 예를 들면, 디피(Diffie)=헬먼(Hellman)(DH) 방식이나, 타원 곡선 암호(ECC) 방식 등, 어떠한 방식도 적용 가능하다.
EEPROM(24)은, 기입한 정보를 전기적으로 소거할 수 있는, 기입 가능한 ROM이다.
도 5에 EEPROM(24)의 데이터 저장 영역의 개념도를 나타낸다. EEPROM(24)은, 외부로부터 리드/라이트(판독/기입) 가능한 영역인 R/W 에리어(41)와, 라이트(기입)만 가능한 영역인 W 에리어(42)와, 리드(판독) 가능한 영역인 리드 에리어를 구비하고 있다.
W 에리어(42)는, 전술한 바와 같이 데이터의 기입만이 가능한 영역이다. 이 W 에리어(42)에는, PKI 엔진(23)에 의해 생성된 비밀 키가 CPU(26)의 제어에 의해 DMA 컨트롤러(25)를 통해 기입된다.
W 에리어(42)는, CPU(26)에는, 기입 전용 영역으로서 기능하기 때문에, CPU(26)에 의해 비밀 키를 판독할 수는 없다. W 에리어(42)에 기입된 비밀 키는, DMA 컨트롤러(25)에 의한 다이렉트 액세스에 의해서만 판독된다.
R 에리어(43)에는, 해당 지문 대조 장치(10)의 출하 시에 시리얼 번호가 기입되거나, 또는, 제조 시에 해당 지문 대조 장치(10)를 특정하는 ID(IDentification)가 기입되고, 보존된다. 이 R 에리어(43)는, ASIC(20)의 특정 핀을 플러스측으로 설정함으로써, 데이터의 기입이 가능하게 된다. R 에리어(43)에 데이터를 기록한 후, ASIC(20)의 상기 특정 핀을 GND 측에 설정함으로써, R 에리어(43)는, 재판독 전용 영역으로 된다.
다시, 도 3으로 되돌아가서, ASIC(20)의 구성에 대하여 설명을 한다.
DMA 컨트롤러(25)는, 내부 버스(29)를 통해 EEPROM(24)의 W 에리어(42)와, PKI 엔진(23) 간에 비밀 키의 전송을 실행한다. DMA 컨트롤러(25)는, CPU(26)의 처리는 독립하여 실행되며, CPU(26)는, DMA 컨트롤러(25)에 의한 비밀 키의 전송에 일체 관여할 수 없다.
CPU(26)는, 프로그램용 RAM/마스크 ROM(22)에 저장되어 있는 펌 웨어를 실행하여 지문 대조 처리의 제어를 하거나, 플래시 메모리(14), SRAM(15)에 저장되어 있는 컨트롤 펌 웨어를 실행하여 해당 지문 대조 장치(10)의 동작을 통괄적으로 제어한다.
인터페이스 컨트롤러(27)는, 입출력 인터페이스(13) 및 케이블(5)을 통해 접속되는 PC(50) 등의 외부 장치와의 데이터 전송을, 인터페이스 프로토콜에 기초하여 제어한다.
버스 컨트롤러(28)는, 해당 ASIC(20)에 입출력하는 데이터의 제어를 한다. 난수 엔진(30)은, DES(Data Encryption Standard) 방식, 즉 대칭 암호 방식에 기초한 공통 키인, DES 키를 생성한다. 난수 엔진(30)은, CPU(26)의 제어에 따라, 56 비트의 난수를 발생하며, 이것을 DES 키로 한다.
대칭 암호 방식은, 데이터의 암호화, 및 암호화된 암호화 데이터의 복호를, 공통의 키인 대칭 키를 이용하여 실행하는 암호화 방식이다.
이와 같이, 지문 대조 장치(10)는, 지문 대조 결과에 따라, DMA 컨트롤러(25)에 의해서만, 비밀 키를 PKI 엔진(23)으로 전송한다. 따라서, 지문 대조 장치(10)는, ASIC(20)의 PKI 엔진(23)에 의해 실행되는 PKI 방식에 기초한 시큐러티 처리를 지문 대조 결과에 따라 실행할 수 있다.
계속해서, 지문 대조 장치(10)에서의, 데이터 사이닝 처리에 대하여 설명을 한다.
데이터 사이닝은, 소위 디지털 서명이며, 예를 들면, PC(50)로부터 네트워크를 통해 외부 장치에 어떠한 데이터를 송신할 때, 송신측의 신원을 특정하기 위해 행해지는 처리이다. 데이터 사이닝 처리된 데이터를 수취하면, 수신측은, 데이터 베러피케이션(데이터 검증)을 실행하여, 송신측의 신원을 확인할 수 있다.
도 6에 도시하는 흐름도를 이용하여, 지문 대조 장치(10)로 데이터 사이닝을 할 때의 동작에 대하여 설명을 한다.
여기서는, 도 1에서 나타낸 PC(50)가 네트워크에 접속되어 있으며, 네트워크를 통해 외부 장치에 소정의 데이터를 송신하는 경우를 상정한다. 또한, 유저의 지문 등록, 및 EEPROM(24)의 W 에리어(42)에의 비밀 키의 기입은 이미 실행되어 있는 것으로 한다.
먼저, 단계 S1에서, 데이터 사이닝하는 오리지널 데이터가 PC(50)로부터 케이블(5), 입출력 인터페이스(13)를 통해 지문 대조 장치(10)에 전송된다. PC(50)로부터 오리지널 데이터가 송신된 것에 따라, PC(50)의 모니터 화면 상에는, 지문 판독 센서(12)에 손가락을 재치하도록 재촉하는 메시지가 출력된다.
단계 S2에서, 지문 판독 센서(12)는, 재치된 손가락의 지문 화상을 검출한다. 또한 지문 대조 엔진(21)에 의해, 검출된 지문 화상과, 플래시 메모리(14)에 기억되어 있는 템플릿 데이터가 비교 대조된다. 지문 판독 센서(12)에 재치된 손가락의 지문 화상이 인증된 경우에는 공정을 단계 S3으로 진행시키고, 인증되지 않은 경우에는 에러로 된다.
단계 S3에서, 오리지널 데이터는, PKI 엔진(23)의 데이터 레지스터(31)에 송출된다. 이 때, PKI 엔진(23)의 PKI 코어(34)에는, CPU(26)으로부터 커맨드 스테이터스 레지스터(33)를 통해 해시화 커맨드가 송출된다.
단계 S4에서, PKI 코어(34)는, 해시화 커맨드에 따라, 데이터 레지스터(31)에 저장되어 있는 오리지널 데이터를 판독하여, 해시 함수에 입력하여, 해시화 데이터를 생성한다. 생성된 해시화 데이터는, 일단, CPU(26)로 복귀된다. 해시 함수는, 예를 들면, MD5(Massage Digest #5)나, SHA(Secure Hash Algorithm) 등의 1 방향 함수인데, 이것에 한정되는 것은 아니며, 어떠한 해시 함수이어도 된다.
단계 S5에서, CPU(26)는, 해시화 데이터를 PKI 엔진(23)의 데이터 레지스터(31)로 송출한다. 이 때, DMA 컨트롤러(25)는, EEPROM(24)의 W 에리어(42)에 저장되어 있는 비밀 키를 판독하여, PKI 엔진(23)의 키 레지스터(32)에 전송한다.
단계 S6에서, CPU(26)로부터, 커맨드 스테이터스 레지스터(33)을 통해, PKI 코어(34)에 사이닝 커맨드가 송출되면, PKI 코어(34)는, 데이터 레지스터(31)에 저장되어 있는 해시화 데이터와, 키 레지스터(32)에 저장되어 있는 비밀 키를 판독하고, 암호화 처리를 실행하여 사이닝 데이터를 생성한다.
단계 S7에서, PKI 코어(34)는, CPU(26)에 대하여 생성한 사이닝 데이터를 송출한다. CPU(26)는, PC(50)에 대하여, 사이닝 데이터를 송출함으로써, PC(50)는, 오리지널 데이터에 첨부하는 사이닝 데이터, 즉 디지털 서명을 취득할 수 있다. PC(50)는, 네트워크를 통해 외부 장치에 디지털 서명된 오리지널 데이터를 송신한다.
그런데, 사이닝 데이터가 첨부된 오리지널 데이터를 수신한 외부 장치는, 데이터 베러피케이션을 실행함으로써, 사이닝한 본인으로부터 송신된 데이터인지를 검증할 수 있다.
여기서, 해당 지문 대조 장치(10)에서, 사이닝 데이터가 첨부된 오리지널 데이터를 수신한 경우의 데이터 베러피케이션에 대하여 설명한다.
먼저, 오리지널 데이터가 PKI 엔진(23)에 송출되어 PKI 코어(34)에 의해 해시화 데이터가 생성된다. 또한, PKI 코어(34)는, 사이닝 데이터를 공개 키에 의해 복호하고, 이 공개 키에 의해 복호한 사이닝 데이터와, 해시화 데이터가 일치하는지의 여부에 의해 데이터 베러피케이션을 할 수 있다.
계속해서, 지문 대조 장치(10)에서, 데이터의 암호화를 할 때의 동작에 대하여 설명을 한다.
데이터를 암호화하는 경우에는, 먼저, 난수 엔진(30)에 의해 DES 키가 생성된다.
계속해서, 생성된 DES 키에 의해 오리지널 데이터를 암호화하고, 암호화 데이터를 생성한다. PKI 엔진(23)은, 암호화 데이터를 생성한 DES 키를, DMA 컨트롤러(25)에 의해 EEPROM(24)으로부터 판독된 비밀 키에 의해 암호화하고, 암호화 키 데이터를 생성한다.
전술한 바와 같이 DMA 컨트롤러(25)에 의해, 비밀 키를 판독하기 위해서는, 반드시, 지문 대조 엔진(21)에 의해 지문 대조가 이루어져 있는 것이 조건으로 된다.
마지막으로, DES 키에 의해 암호화된 암호화 데이터와, DES 키를 비밀 키에 의해 암호화한 암호화 키 데이터를 상대에게 송신한다.
데이터 수신측은, 비밀 키에 대응하는 공개 키에 의해, 암호화 키 데이터를 DES 키로 복호하고, 복호된 DES 키에 의해 암호화 데이터를 복호하여 오리지널 데이터를 취득한다.
다음으로, 지문 대조 장치(10)에서, 공개 키에 의해 암호화되어 송신된 오리지널 데이터를 복호할 때의 동작에 대하여 설명을 한다.
공개 키로 오리지널 데이터가 암호화된 암호화 데이터는, PKI 엔진(23)에 송출된다. PKI 엔진(23)으로 송출된 암호화 데이터는, DMA 컨트롤러(25)에 의해 EEPROM(24)으로부터 판독된 비밀 키에 의해 오리지널 데이터로 복호된다. 마찬가지로 DMA 컨트롤러(25)에 의해 비밀 키를 판독하기 위해서는, 반드시, 지문 대조 엔진(21)에 의해 지문 대조가 이루어져 있는 것이 조건으로 된다.
이와 같이 하여, 본 발명에 따른 지문 대조 장치(10)는, 지문 대조 엔진(21)에 의해 유저의 지문이 인증된 경우에, DMA 컨트롤러(25)에 의해 EEPROM(24)의 W 에리어(42)로부터 비밀 키가 판독됨으로써, PKI 방식에 기초한 각종 시큐러티 처리를 실행할 수 있다.
또한, 지문 대조 장치(10)의 ASIC(20)은, 도 7에 도시하는 ASIC(60)과 같은 구성이어도 된다.
ASIC(60)은, ASIC(20)으로부터 DMA 컨트롤러(25)를 제거하고, EEPROM(24)를 PKI 엔진(23)과 전용 버스(61)를 통해 접속한 구성으로 되어 있다. 전용 버스(61)에 의해 PKI 엔진(23)과, EEPROM(24)이 접속됨으로써, PKI 엔진(23)은, 지문 대조 엔진(21)에 의해 유저의 지문이 인증된 경우에, EEPROM(24)의 W 에리어(42)로부터 비밀 키를 판독하여, PKI 방식에 기초한 시큐러티 처리를 실행할 수 있다.
또한, 지문 대조 장치(10)는, ASIC(20) 대신, 도 8에 도시하는 구성의 ASIC(70)을 사용함으로써, DES 키를 이용하여 비밀 키를 암호화하는 방법을 적용할 수 있다.
ASIC(70)은, 도 7에 도시하는 ASIC(60)의 PKI 엔진(23) 대신에 PKI·DES 엔진(71)이 이용되고 있다. PKI·DES 엔진(71)은, 도 9에 도시한 바와 같이 도 3에 도시한 PKI 엔진(23)의 PKI 코어(34) 대신에 PKI·DES 코어(72)를 이용한 구성으로 되어 있다.
PKI·DES 엔진(71)의 PKI·DES 코어(72)는, PKI 방식에 의한 비밀 키를 이용한 처리 외에, DES 키에 의한 암호화 및 복호 처리를 실행할 수 있다.
이하에, 도 8에 도시한 ASIC(70)의 동작에 대하여 구체적으로 설명을 한다.
먼저, ASIC(70)의 전원이 ON되면, CPU(26)의 제어에 의해 난수 엔진(30)에 의해 DES 키가 생성된다. 이 때 생성되는 DES 키는, DES에 의한 암호화 처리를 3회 연속 실행함으로써 키를 강고하게 하는 트리플 DES 방식에 기초하여, 예를 들면, 8 Byte의 DES 키가 2개 생성된다.
생성된 트리플 DES 키는, PKI·DES 엔진(71), 전용 버스(61)를 통해 EEPROM(24)에 기입된다.
PKI·DES 엔진(71)은, PKI 키, 즉 비밀 키, 공개 키를 생성하면, EEPROM(24)으로부터 전용 버스(61)를 통해 트리플 DES 키를 판독하고, 비밀 키를 암호화하여 암호화 키 데이터를 생성한다. 생성된 암호화 키 데이터와, 공개 키는, PKI·DES 엔진(71)의 외부로 출력되어, 플래시 메모리(14)에 저장된다.
데이터 사이닝 처리, 데이터의 암호화 처리, 및 공개 키에 의해 암호화된 암호화 데이터의 복호 처리 등에서, 비밀 키를 사용하는 경우에는, 먼저, CPU(26)에 의해 플래시 메모리(14)에 저장되어 있는 암호화 키 데이터가 판독되고, PKI·DES 엔진(71)의 키 레지스터(32)에 저장된다.
계속해서, PKI·DES 엔진(71)의 PKI·DES 코어(72)는, EEPROM(24)에 기억되어 있는 트리플 DES 키를 판독하여, 키 레지스터(32)에 저장된 암호화 키 데이터를, 비밀 키로 복호한다.
PKI·DES 엔진(71)에 의해, 트리플 DES 키를 이용하여 암호화 키 데이터로부터, 비밀 키로 복호할 때에는, 지문 대조 엔진(21)에 의해 유저의 지문이 인증된 것이 조건으로 된다.
이와 같이, DES 키를 이용하여 비밀 키를 암호화함으로써, EEPROM(24)의 용량을 작게, 또한, 무제한으로 PKI 키를 작성할 수 있다. 이 경우, EEPROM(24)은, 데이터의 기입, 판독이 자유로운 메모리이면, 어떠한 메모리이어도 된다. 따라서, 메모리도 저가인 메모리가 사용 가능하게 되어서 코스트 삭감으로도 이어진다.
또한, PKI·DES 엔진(71)은, 트리플 DES 방식을 이용하여, 비밀 키를 암호화하고 있는데, 통상의 DES 키 1개만 이용하여 암호화하여도 되는 것은 물론이다.
또한, 도 10에 도시하는 구성의 ASIC(80)를 사용함으로써, DES 키를 이용하여 비밀 키를 암호화하는 별도의 방법을 적용할 수 있다.
ASIC(80)에서는, 도 3에 도시하는 ASIC(20)에서의 PKI 엔진(23) 대신에 도 9에 도시한 PKI·DES 엔진(71)을 이용하고 있다.
이하에, ASIC(80)의 동작에 대하여 구체적으로 설명을 한다.
먼저, ASIC(80)의 전원이 ON되면, CPU(26)의 제어에 의해 난수 엔진(30)에 의해 DES 키가 생성된다.
생성된 DES 키는, CPU(26)에 의해 제어된 DMA 컨트롤러(15)에 의해 PKI·DES 엔진(71)을 통해 EEPROM(24)의 W 에리어(42)에 기입된다.
PKI·DES 엔진(71)이, PKI 키, 즉 비밀 키, 공개 키를 생성하면, DMA 컨트롤러(15)는, EEPROM(24)의 W 에리어(42)에 직접 액세스하여, DES 키를 판독하고, PKI·DES 엔진(71)에 전송한다.
PKI·DES 엔진(71)은, 전송된 DES 키를 이용하여, 비밀 키를 암호화하여 암호화 키 데이터를 생성한다. 생성된 암호화 키 데이터와, 공개 키는, PKI·DES 엔진(71)의 외부로 출력되어, 플래시 메모리(14)에 저장된다.
데이터 사이닝 처리, 데이터의 암호화 처리, 및 공개 키에 의해 암호화된 암호화 데이터의 복호 처리 등에서, 비밀 키를 사용하는 경우에는, 먼저, CPU(26)에 의해 플래시 메모리(14)에 저장되어 있는 암호화 키 데이터가 판독되어, PKI·DES 엔진(71)의 키 레지스터(32)에 저장된다.
계속해서, DMA 컨트롤러(15)는, EEPROM(24)에 기억되어 있는 DES 키를 판독하여 PKI·DES 엔진(71)에 전송한다.
PKI·DES 엔진(71)의 PKI·DES 코어(72)는, 전송된 DES 키를 이용하여, 키 레지스터(32)에 저장된 암호화 키 데이터를, 비밀 키로 복호한다.
PKI·DES 엔진(71)에 의해, DES 키를 이용하여 암호화 키 데이터로부터, 비밀 키로 복호할 때에는, 지문 대조 엔진(21)에 의해 유저의 지문이 인증된 것이 조건으로 된다.
또한, 도 10에 도시하는 ASIC(80)에서도, PKI·DES 엔진(71)은, 트리플 DES 방식을 이용하여 비밀 키를 암호화하여도 되는 것은 물론이다.
또한, 본 발명이 적용된 지문 대조 장치(10)에서는, 유저의 지문이 인증된 것에 따라, PKI 방식에 기초하여 생성된 비밀 키를 사용 가능하게 하고 있는데, 본 발명은, 지문의 인증에 한정되는 것은 아니며, 생체 정보의 인증, 또한 패스워드 등을 입력함에 따른 인증에 따라, 비밀 키를 사용 가능하게 할 수도 있다.
또한, 본 발명은, 전술한 예에 한정되는 것은 아니며, 첨부한 청구의 범위 및 그 주지를 일탈하지 않는 범위 내에서, 여러가지의 변경, 치환 또는 그 동등한 것을 행할 수 있음은 당업자라면 분명히 알 수 있을 것이다.
전술한 바와 같이, 본 발명은, PKI 방식에 기초한 시큐러티 처리에서 사용하는 비밀 키를, 소정의 전송 수단에 의해서만 판독 가능한 기억 수단의 전용 영역에 기입하고, 피인증 정보의 인증 결과에 따라, 비밀 키를 PKI 처리 수단에 전송한다. 이에 따라, 외부로부터의 부정한 액세스에 의한 비밀 키의 판독을 방지할 수 있기 때문에, 중요 데이터의 부정 유출, 데이터 개찬, 네트워크 상에서의 본인인 척하는 행위 등의 배제에 의해 높은 시큐러티 레벨을 유지하는 것이 가능하게 된다.
또한, 본 발명은, 비밀 키를 기입하는 기억 수단을, PKI 처리 수단과, 전용 버스로 접속하는 구성으로 함으로써, 외부로부터의 부정한 액세스에 의한 비밀 키의 판독을 방지하는 기구를 간편한 구성으로 실현하는 것이 가능하게 된다.
또한, 본 발명은, 비밀 키를 DES 키에 의해 암호화하고, 암호화한 DES 키를 전용 버스를 통한 기억 수단, 또는, 소정의 전송 수단에 의해서만 판독 가능한 기억 수단의 전용 영역에 기입하며, 피인증 정보의 인증 결과에 따라, 비밀 키를 PKI 처리 수단에 전송한다. 이에 따라, 외부로부터의 부정한 액세스에 의한 비밀 키의 판독을 방지할 수 있음과 함께, 기억 수단의 용량을 작게 할 수 있으며, 또한 무제한으로 PKI 키를 작성할 수 있기 때문에, 코스트 삭감이 가능하게 된다.

Claims (51)

  1. 외부 장치에 접속되는 리무버블 인증 처리 장치로서,
    피인증 정보를 입력하는 입력 수단과,
    상기 입력 수단에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 수단과,
    1개의 집적 회로 내에 구성되며, 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 CPU(Central Processing Unit)와,
    PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과,
    상기 PKI 처리 수단에 의해 생성된 비밀 키가 기입되는, 외부로부터의 판독이 불가능하고 상기 CPU의 기입 동작에 의해서만 기입이 가능한 기입 전용 영역을 갖는 기억 수단과,
    상기 인증 처리 수단에 의해 상기 피인증 정보가 인증된 것에 따라, 상기 기억 수단이 갖는 상기 기입 전용 영역에 직접 액세스하여, 상기 기입 전용 영역에 기입되어 있는 상기 비밀 키를, 상기 PKI 처리 수단과 상기 기억 수단 간에만 전송을 행하는 비밀 키 전송 수단
    을 구비하는 것을 특징으로 하는 인증 처리 장치.
  2. 제1항에 있어서,
    상기 피인증 정보는, 지문 정보인 것을 특징으로 하는 인증 처리 장치.
  3. 제1항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 수단에 의해 전송된 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 인증 처리 장치.
  4. 제1항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES(Data Encryption Standard) 방식에 기초하여 생성된 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 수단을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 수단에 의해 전송된 상기 비밀 키를 이용하여, 상기 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 인증 처리 장치.
  5. 제1항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 수단에 의해 전송된 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 인증 처리 장치.
  6. 제1항에 있어서,
    상기 입력 수단은, 피인증 정보로서 생체 정보를 입력하며,
    상기 인증 처리 수단은, 상기 입력 수단에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 인증 처리 장치.
  7. 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서,
    피인증 정보를 입력하는 입력 공정과,
    상기 입력 공정에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 공정과,
    PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단에 의해, 비밀 키 및 공개 키를 생성하는 키 생성 공정과,
    외부로부터의 판독 불가능한 기입 전용 영역을 구비하는 기억 수단에, 상기 키 생성 공정에 의해 생성된 비밀 키를 기입하는 기입 공정과,
    상기 인증 처리 공정에 의해 상기 피인증 정보가 인증된 것에 따라, 상기 기억 수단이 갖는 상기 기입 전용 영역에 직접 액세스하여, 기입된 상기 비밀 키를 상기 PKI 처리 수단에 전송하는 비밀 키 전송 공정
    을 포함하는 것을 특징으로 하는 시큐러티 처리 방법.
  8. 제7항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 공정에 의해 전송된 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  9. 제7항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES(Data Encryption Standard) 방식에 기초하여 생성된 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 공정을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 공정에 의해 전송된 상기 비밀 키를 이용하여, 상기 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  10. 제7항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 비밀 키 전송 공정에 의해 전송된 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  11. 제7항에 있어서,
    상기 입력 공정은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 공정은, 상기 입력 공정에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 시큐러티 처리 방법.
  12. 외부 장치에 접속되는 리무버블 인증 처리 장치로서,
    피인증 정보를 입력하는 입력 수단과,
    상기 입력 수단에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 수단과,
    1개의 집적 회로 내에 구성되며, 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 CPU(Central Processing Unit)와,
    PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI 처리 수단과,
    전용 버스를 통해 상기 PKI 처리 수단과 접속되며, 상기 비밀 키가 기입되는, 외부로부터의 판독 불가능한 CPU(Central Processing Unit)의 기입 동작에 의해서만 기입이 가능한 기입 전용 영역을 갖는 기억 수단
    을 구비하며,
    상기 PKI 처리 수단은, 상기 인증 처리 수단에 의해, 상기 피인증 정보가 인증된 것에 따라, 상기 기억 수단이 갖는 상기 기입 전용 영역에 기입되어 있는 상기 비밀 키를, 상기 PKI 처리 수단과 상기 기억 수단 사이만을 연결하는 다른 전용 버스만을 통해 판독하는 것을 특징으로 하는 인증 처리 장치.
  13. 제12항에 있어서,
    상기 피인증 정보는, 지문 정보인 것을 특징으로 하는 인증 처리 장치.
  14. 제12항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 인증 처리 장치.
  15. 제12항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES(Data Encryption Standard) 방식에 기초하여 생성된 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 수단을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 인증 처리 장치.
  16. 제12항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 인증 처리 장치.
  17. 제12항에 있어서,
    상기 입력 수단은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 수단은, 상기 입력 수단에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 인증 처리 장치.
  18. 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서,
    피인증 정보를 입력하는 입력 공정과,
    상기 입력 공정에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 공정과,
    PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리 수단에 의해, 비밀 키 및 공개 키를 생성하는 키 생성 공정과,
    전용 버스를 통해 상기 PKI 처리 수단과 접속되며, 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단에, 상기 키 생성 공정에 의해 생성된 비밀 키를 기입하는 기입 공정
    을 포함하며,
    상기 PKI 처리 수단은, 상기 인증 처리 공정에 의해, 상기 피인증 정보가 인증된 것에 따라, 상기 기억 수단이 갖는 상기 기입 전용 영역에 기입된 상기 비밀 키를, 상기 전용 버스를 통해 판독하는 것을 특징으로 하는 시큐러티 처리 방법.
  19. 제18항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  20. 제18항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES(Data Encryption Standard) 방식에 기초하여 생성된 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 공정을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  21. 제18항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  22. 제18항에 있어서,
    상기 입력 공정은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 공정은, 상기 입력 공정에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 시큐러티 처리 방법.
  23. 외부 장치에 접속되는 리무버블 인증 처리 장치로서,
    피인증 정보를 입력하는 입력 수단과,
    상기 입력 수단에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 수단과,
    1개의 집적 회로 내에 구성되며, 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 CPU(Central Processing Unit)와,
    PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI부와, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성부를 갖는 PKI·DES 처리 수단과,
    전용 버스를 통해 상기 PKI 처리부와 접속되며, 상기 DES 키 생성부에 의해 생성된 제1 DES 키가 기입되는 기억 수단
    을 구비하며,
    상기 PKI 처리부는, 상기 비밀 키를 생성한 후, 상기 기억 수단에 기입되어 있는 상기 제1 DES 키를 상기 전용 버스를 통해 판독하고, 판독한 상기 제1 DES 키를 이용하여, 상기 비밀 키를 암호화하여 암호화 비밀 키를 생성하며,
    상기 인증 처리 수단에 의해, 상기 인증 정보가 인증된 것에 따라, 상기 기억 수단에 기입되어 있는 상기 제1 DES 키는, 상기 PKI·DES 처리 수단과 상기 기억 수단 사이만을 연결하는 다른 전용 버스만을 통해 상기 기억 수단에의 기입과 판독이 행해지는 것을 특징으로 하는 인증 처리 장치.
  24. 제23항에 있어서,
    상기 피인증 정보는, 지문 정보인 것을 특징으로 하는 인증 처리 장치.
  25. 제23항에 있어서,
    상기 생성된 암호화 비밀 키는, 상기 집적 회로 밖의 불휘발성 메모리에 기억하는 것을 특징으로 하는 인증 처리 장치.
  26. 제23항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키를 이용하고, 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 인증 처리 장치.
  27. 제23항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES 방식에 기초하여 생성된 제2 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 수단을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 제2 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 인증 처리 장치.
  28. 제23항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 인증 처리 장치.
  29. 제23항에 있어서,
    상기 입력 수단은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 수단은, 상기 입력 수단에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 인증 처리 장치.
  30. 제23항에 있어서,
    상기 DES 키 생성 수단은, 트리플 DES 방식에 기초하여 상기 제1 DES 키를 생성하며,
    상기 PKI 처리 수단은, 상기 비밀 키를, 상기 트리플 DES 방식에 의해 암호화하여 암호화 비밀 키를 생성하는 것을 특징으로 하는 인증 처리 장치.
  31. 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서,
    피인증 정보를 입력하는 입력 공정과,
    상기 입력 공정에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 공정과,
    1개의 집적 회로 내에 구성된 CPU(Central Processing Unit)에 의해 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 제어 공정과,
    PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI부에서, 비밀 키 및 공개 키를 생성하고, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 키·DES 키 생성 공정과,
    전용 버스를 통해 상기 PKI 처리부와 접속되며, 기억 수단에 상기 키·DES 키 생성 공정에 의해 생성된 제1 DES 키를 기입하는 기입 공정과,
    상기 PKI 처리부는, 상기 비밀 키를 생성한 후, 상기 기억 수단에 기입되어 있는 상기 제1 DES 키를 상기 전용 버스를 통해 판독하고, 판독한 상기 제1 DES 키를 이용하여, 상기 비밀 키를 암호화하여 암호화 비밀 키를 생성하며,
    상기 인증 처리 공정에 의해, 상기 인증 정보가 인증된 것에 따라, 상기 기억 수단에 기입된 상기 제1 DES 키를, PKI·DES 처리 수단과 상기 기억 수단 간만을 연결하는 다른 전용 버스만을 통해 판독하고, 판독한 상기 제1 DES 키를 이용하여, 상기 암호화 비밀 키를 상기 비밀 키로 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  32. 제31항에 있어서,
    상기 피인증 정보는, 지문 정보인 것을 특징으로 하는 시큐러티 처리 방법.
  33. 제31항에 있어서,
    상기 생성된 암호화 비밀 키는, 상기 집적 회로 밖의 불휘발성 메모리에 기억하는 것을 특징으로 하는 시큐러티 처리 방법.
  34. 제31항에 있어서,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키를 이용하고, 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  35. 제31항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES 방식에 기초하여 생성된 제2 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 공정을 포함하며,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 제2 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  36. 제31항에 있어서,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 전용 버스를 통해 판독한 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  37. 제31항에 있어서,
    상기 입력 공정은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 공정은, 상기 입력 공정에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 시큐러티 처리 방법.
  38. 제31항에 있어서,
    상기 DES 키 생성 공정은, 트리플 DES 방식에 기초하여 상기 제1 DES 키를 생성하며,
    상기 PKI·DES 처리 수단은, 상기 비밀 키를, 상기 트리플 DES 방식에 의해 암호화하여 암호화 비밀 키를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  39. 외부 장치에 접속되는 리무버블 인증 처리 장치로서,
    피인증 정보를 입력하는 입력 수단과,
    상기 입력 수단에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 수단과,
    1개의 집적 회로 내에 구성되며, 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 CPU(Central Processing Unit)와,
    PKI(Public Key Infrastructure) 방식에 기초하여, 비밀 키 및 공개 키를 생성하고, 생성한 비밀 키에 의해 소정의 시큐러티 처리를 행하는 PKI부와, DES(Data Encryption Staudard) 방식에 기초하여, 제1 DES 키를 생성하는 DES 키 생성부를 갖는 PKI·DES 처리 수단과,
    상기 DES 키 생성부에 의해 생성된 상기 제1 DES 키가 기입되는 외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단과,
    상기 기억 수단이 구비하는 상기 기입 전용 영역에 직접 액세스하고, 내부 버스를 통해 상기 CPU가 전송에 관여하지 않는 직접 액세스를 행하여, 상기 PKI·DES 처리 수단과 상기 기억 수단 간에만 DES 키의 전송을 행하는 DES 키 전송 수단
    을 구비하며,
    상기 DES 키 전송 수단은, 상기 비밀 키가 생성되었을 때에, 상기 기억 수단의 상기 기입 전용 영역에 기입되어 있는 상기 제1 DES 키를 판독하고, 상기 PKI·DES 처리 수단에 전송하고,
    상기 PKI·DES 처리 수단은, 상기 DES 키 전송 수단에 의해 전송된 상기 제1 DES 키를 이용하여 상기 비밀 키를 암호화하여 암호화 비밀 키를 생성하며,
    상기 DES 키 전송 수단은, 인증 처리 수단에 의해, 상기 인증 정보가 인증된 것에 따라, 상기 기억 수단에 기입되어 있는 상기 제1 DES 키를 판독하여, 상기 PKI·DES 처리 수단에 전송하고,
    상기 PKI·DES 처리 수단은, 상기 DES 키 전송 수단에 의해 전송된 상기 제1 DES 키를 이용하여, 상기 암호화 비밀 키를 상기 비밀 키로 복호하는 것을 특징으로 하는 인증 처리 장치.
  40. 제39항에 있어서,
    상기 피인증 정보는, 지문 정보인 것을 특징으로 하는 인증 처리 장치.
  41. 제39항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 수단에 의해 전송된 상기 제1 DES 키를 이용하고, 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 인증 처리 장치.
  42. 제39항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES 방식에 기초하여 생성된 제2 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 수단을 포함하며,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 수단에 의해 전송된 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 제2 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 인증 처리 장치.
  43. 제39항에 있어서,
    상기 PKI 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 수단에 의해 전송된 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 인증 처리 장치.
  44. 제39항에 있어서,
    상기 입력 수단은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 수단은, 상기 입력 수단에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 인증 처리 장치.
  45. 제39항에 있어서,
    상기 DES 키 생성 수단은, 트리플 DES 방식에 기초하여 제1 DES 키를 생성하며,
    상기 PKI 처리부는, 상기 비밀 키를, 상기 트리플 DES 방식에 의해 암호화하여 암호화 비밀 키를 생성하는 것을 특징으로 하는 인증 처리 장치.
  46. 외부 장치에 접속되는 리무버블 인증 처리 장치의 시큐러티 처리 방법으로서,
    피인증 정보를 입력하는 입력 공정과,
    상기 입력 공정에 의해 입력된 상기 피인증 정보의 인증 처리를 하는 인증 처리 공정과,
    1개의 집적 회로 내에 구성된 CPU(Central Processing Unit)에 의해 내부 버스와 상기 인증 처리 장치를 통괄하여 제어하는 제어 공정과,
    PKI(Public Key Infrastructure) 방식에 기초하여, 소정의 시큐러티 처리를 하는 PKI 처리부에 의해, 비밀 키 및 공개 키를 생성하고, DES(Data Encryption Standard) 방식에 기초하여, 제1 DES 키를 생성하는 PKI·DES 처리 공정과,
    외부로부터의 판독 불가능한 기입 전용 영역을 갖는 기억 수단에, 상기 PKI·DES 처리 공정에 의해 생성된 상기 제1 DES 키를 기입하는 기입 공정과,
    상기 기억 수단이 구비하는 상기 기입 전용 영역에 직접 액세스하고, 내부 버스를 통해 상기 CPU가 전송에 관여하지 않는 직접 액세스를 행하여, 상기 PKI·DES 처리를 행하는 PKI·DES 처리 수단과 상기 기억 수단 간에만 DES 키의 전송을 행하는 DES 키 전송 공정
    을 포함하며,
    상기 DES 키 전송 공정은, 상기 비밀 키가 생성되었을 때에, 상기 기억 수단의 상기 기입 전용 영역에 기입된 상기 제1 DES 키를 판독하여, 상기 PKI·DES 처리 수단에 전송하고,
    상기 PKI·DES 처리 수단은, 상기 DES 키 전송 공정에 의해 전송된 상기 제1 DES 키를 이용하여 상기 비밀 키를 암호화하여 암호화 비밀 키를 생성하며,
    상기 DES 키 전송 공정은, 인증 처리 공정에 의해, 상기 피인증 정보가 인증된 것에 따라, 상기 기억 수단에 기입된 상기 제1 DES 키를 판독하여, 상기 PKI 처리 수단에 전송하고,
    상기 PKI·DES 처리 수단은, 상기 DES 키 전송 공정에 의해 전송된 상기 제1 DES 키를 이용하여, 상기 암호화 비밀 키를 상기 비밀 키로 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  47. 제46항에 있어서,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 공정에서 전송된 상기 제1 DES 키를 이용하고, 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 외부 장치로부터 공급되는 데이터로부터 전자 서명을 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  48. 제46항에 있어서,
    상기 외부 장치로부터 공급되는 데이터를, DES 방식에 기초하여 생성된 제2 DES 키에 의해 암호화하여, 암호화 데이터를 생성하는 암호화 데이터 생성 공정을 포함하며,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 공정에 의해 전송된 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 제2 DES 키를 암호화하여 암호화 키 데이터를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
  49. 제46항에 있어서,
    상기 PKI·DES 처리 수단은, 상기 소정의 시큐러티 처리로서, 상기 DES 키 전송 공정에 의해 전송된 상기 제1 DES 키에 의해 상기 암호화 비밀 키로부터 복호한 상기 비밀 키를 이용하여, 상기 비밀 키에 대한 공개 키에 의해 암호화된 암호화 데이터를 복호하는 것을 특징으로 하는 시큐러티 처리 방법.
  50. 제46항에 있어서,
    상기 입력 공정은, 피인증 정보로서 생체 정보를 입력하며, 상기 인증 처리 공정은, 상기 입력 공정에 의해 입력된 생체 정보의 인증 처리를 하는 것을 특징으로 하는 시큐러티 처리 방법.
  51. 제46항에 있어서,
    상기 DES 키 생성 공정은, 트리플 DES 방식에 기초하여 제1 DES 키를 생성하며,
    상기 PKI·DES 처리 수단은, 상기 비밀 키를, 상기 트리플 DES 방식에 의해 암호화하여 암호화 비밀 키를 생성하는 것을 특징으로 하는 시큐러티 처리 방법.
KR1020057014883A 2003-02-14 2004-01-29 인증 처리 장치 및 시큐러티 처리 방법 KR101031164B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2003037373A JP4470373B2 (ja) 2003-02-14 2003-02-14 認証処理装置及びセキュリティ処理方法
JPJP-P-2003-00037373 2003-02-14

Publications (2)

Publication Number Publication Date
KR20050108355A true KR20050108355A (ko) 2005-11-16
KR101031164B1 KR101031164B1 (ko) 2011-04-27

Family

ID=32866357

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057014883A KR101031164B1 (ko) 2003-02-14 2004-01-29 인증 처리 장치 및 시큐러티 처리 방법

Country Status (6)

Country Link
US (1) US7739506B2 (ko)
EP (1) EP1594249A4 (ko)
JP (1) JP4470373B2 (ko)
KR (1) KR101031164B1 (ko)
CN (1) CN1751471B (ko)
WO (1) WO2004073252A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102427179B1 (ko) * 2022-01-27 2022-07-29 (주)레오컴 생체 데이터를 암호화하고 인증하는 장치 및 방법

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101001144B (zh) * 2006-01-13 2010-05-12 华为技术有限公司 一种实体认证中心实现认证的方法
JP2007288254A (ja) * 2006-04-12 2007-11-01 Sony Corp 通信システム、通信装置および方法、並びにプログラム
CN100409245C (zh) * 2006-04-29 2008-08-06 北京飞天诚信科技有限公司 一种银行卡在计算机上作pki应用的实现方法
JP4994741B2 (ja) * 2006-08-08 2012-08-08 キヤノン株式会社 通信暗号化処理装置
US20080114980A1 (en) * 2006-11-13 2008-05-15 Thangapandi Sridhar System, method and apparatus for using standard and extended storage devices in two-factor authentication
CN101227452B (zh) * 2007-01-17 2010-12-15 华为技术有限公司 一种网络接入认证的方法及系统
US8145916B2 (en) * 2007-09-07 2012-03-27 Authentec, Inc. Finger sensing apparatus using encrypted user template and associated methods
US8489901B2 (en) * 2008-05-05 2013-07-16 Sonavation, Inc. Methods and systems for secure encryption of data
FR2963455B1 (fr) * 2010-07-27 2013-01-18 St Microelectronics Rousset Protection de cles secretes
CN102222389A (zh) * 2011-06-30 2011-10-19 北京天诚盛业科技有限公司 一种金融ic卡内指纹比对的实现方法及装置
CN102685749B (zh) * 2012-05-30 2014-09-03 杭州师范大学 面向移动终端的无线安全身份验证方法
WO2014032842A1 (en) * 2012-08-29 2014-03-06 Alcatel Lucent Pluggable authentication mechanism for mobile device applications
JP2014090372A (ja) * 2012-10-31 2014-05-15 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
JP6199712B2 (ja) * 2013-11-26 2017-09-20 Kddi株式会社 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム
US10089439B2 (en) 2014-10-28 2018-10-02 Stryker Sustainability Solutions, Inc. Medical device with cryptosystem and method of implementing the same
JP2017037178A (ja) * 2015-08-10 2017-02-16 ルネサスエレクトロニクス株式会社 半導体装置およびその製造方法
JP6520746B2 (ja) * 2016-02-08 2019-05-29 コニカミノルタ株式会社 情報処理システム、通信中継装置、ライセンスサーバー、プログラム及びデータ復旧方法
CN105975837B (zh) * 2016-06-12 2019-04-30 北京集创北方科技股份有限公司 计算设备、生物特征识别方法和模板注册方法
CN108063669A (zh) * 2018-01-02 2018-05-22 甘肃万维信息技术有限责任公司 基于电子政务的公钥基础设施互信互认方法
CN108199834B (zh) * 2018-01-16 2021-07-02 飞天诚信科技股份有限公司 一种智能密钥设备工作的方法及装置
JP6961108B2 (ja) * 2018-12-12 2021-11-05 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2862141B2 (ja) 1989-12-29 1999-02-24 富士通株式会社 慣用暗号を用いた識別番号ベース鍵管理装置
JPH03282667A (ja) 1990-03-29 1991-12-12 Nec Corp コンピュータ装置
JPH04338859A (ja) 1991-05-16 1992-11-26 Nec Corp コンピュータ装置
JP3203432B2 (ja) 1992-03-25 2001-08-27 富士通株式会社 プラズマ処理方法
EP0715241B1 (en) * 1994-10-27 2004-01-14 Mitsubishi Corporation Apparatus for data copyright management system
JPH09212565A (ja) * 1996-02-07 1997-08-15 Nec Corp 無線携帯端末システム
JPH10247906A (ja) 1997-03-03 1998-09-14 Toshiba Corp 処理機能付きデバイス装置、情報処理システム、認証方法、認証・暗号化方法及び認証・復号方法
US6925182B1 (en) * 1997-12-19 2005-08-02 Koninklijke Philips Electronics N.V. Administration and utilization of private keys in a networked environment
JP3282667B2 (ja) 1998-02-27 2002-05-20 株式会社ケンウッド 移動体通信端末およびこの自局番号検出方法
JP2000188594A (ja) 1998-12-21 2000-07-04 Sony Corp 認証システム及び指紋照合装置並びに認証方法
JP2000196591A (ja) 1998-12-25 2000-07-14 Canon Inc 端末装置、通信システム、通信方法、及び記憶媒体
WO2001042938A1 (fr) * 1999-12-10 2001-06-14 Fujitsu Limited Systeme d'authentification personnelle et dispositif electronique portatif a fonction d'authentification personnelle utilisant des informations physiques
JP4338859B2 (ja) 2000-01-12 2009-10-07 ヤマハ発動機株式会社 テープフィーダー
JP4433573B2 (ja) * 2000-06-13 2010-03-17 ソニー株式会社 指紋照合機能付きハードウェアトークン
JP4114032B2 (ja) * 2000-09-26 2008-07-09 セイコーエプソン株式会社 個人認証装置
JP2002258745A (ja) 2001-03-06 2002-09-11 Sony Corp 電子署名装置
JP2004126889A (ja) * 2002-10-01 2004-04-22 Sharp Corp 電子印鑑、リムーバブルメモリ媒体、事前認証システム、携帯機器、携帯電話装置および車両始動制御装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102427179B1 (ko) * 2022-01-27 2022-07-29 (주)레오컴 생체 데이터를 암호화하고 인증하는 장치 및 방법

Also Published As

Publication number Publication date
CN1751471B (zh) 2012-02-08
CN1751471A (zh) 2006-03-22
KR101031164B1 (ko) 2011-04-27
JP2004266360A (ja) 2004-09-24
JP4470373B2 (ja) 2010-06-02
EP1594249A1 (en) 2005-11-09
WO2004073252A1 (ja) 2004-08-26
US7739506B2 (en) 2010-06-15
EP1594249A4 (en) 2007-12-26
US20060133605A1 (en) 2006-06-22

Similar Documents

Publication Publication Date Title
KR101031164B1 (ko) 인증 처리 장치 및 시큐러티 처리 방법
US5949881A (en) Apparatus and method for cryptographic companion imprinting
JP4301275B2 (ja) 電子機器、および情報処理方法
JP4638990B2 (ja) 暗号鍵情報の安全な配布と保護
RU2147790C1 (ru) Передача лицензии на программное обеспечение для элемента аппаратного обеспечения
TWI391864B (zh) 臨界保全參數之產生及用於智慧卡記憶體模組的交換系統與方法
EP2297665B1 (en) Method and apparatus for secure hardware analysis
US20060248345A1 (en) Access authentication method, information processing unit, and computer product
MXPA06010776A (es) Autentificacion entre un dispositivo y un almacenamiento portatil.
JP2004040717A (ja) 機器認証システム
CN102208981A (zh) 存储装置、主机装置以及存储系统
JP2009277184A (ja) Icカード、icカードシステムおよびその方法
JP2007172508A (ja) 着脱式記憶装置及び認証方法
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
CN112583787A (zh) 用于加密的设备和方法
JP2008033512A (ja) セキュリティチップ及びプラットフォーム
JP2006024237A (ja) データ更新システム
JP3684179B2 (ja) セキュリティ機能を有するメモリカード
TWM540328U (zh) 內建智慧安全行動裝置
CN110740036A (zh) 基于云计算的防攻击数据保密方法
JP2004282391A (ja) 認証機能を有する情報処理装置及び認証機能付与方法
JP4760124B2 (ja) 認証装置、登録装置、登録方法及び認証方法
KR100952300B1 (ko) 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법
JP2001118038A (ja) 計算装置、計算機システム及び記録媒体
JPH09307544A (ja) 可搬型暗号鍵認証システム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee