KR20070024569A - 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 - Google Patents

생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 Download PDF

Info

Publication number
KR20070024569A
KR20070024569A KR1020067025805A KR20067025805A KR20070024569A KR 20070024569 A KR20070024569 A KR 20070024569A KR 1020067025805 A KR1020067025805 A KR 1020067025805A KR 20067025805 A KR20067025805 A KR 20067025805A KR 20070024569 A KR20070024569 A KR 20070024569A
Authority
KR
South Korea
Prior art keywords
data
individual
biometric
registration
helper
Prior art date
Application number
KR1020067025805A
Other languages
English (en)
Inventor
토마스 에이. 엠. 케베나르
안토니우스 에이치. 엠. 아케르만스
핌 티. 투일스
Original Assignee
코닌클리케 필립스 일렉트로닉스 엔.브이.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코닌클리케 필립스 일렉트로닉스 엔.브이. filed Critical 코닌클리케 필립스 일렉트로닉스 엔.브이.
Publication of KR20070024569A publication Critical patent/KR20070024569A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • G07C9/257Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition electronically
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Abstract

본 발명은 개인(603)과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 시스템 및 방법에 관한 것이며, 상기 생체 측정 데이터(X,Y)의 프라이버시가 제공된다. 헬퍼 데이터 구조(HDS)는 생체 측정 데이터의 프라이버시를 제공하기 위해 채용된다. 본 발명은 많은 이유로 인해 유리하다. 우선, 보안에 민감한 정보의 처리는 개인이 신뢰하는 보안적, 탬퍼링-방지 환경(601,604,606)에서 수행된다. 헬퍼 데이터 구조의 이용과 결합된, 이러한 처리는 생체 측정 템플릿이 오직 보안적 환경에서 전자 형태로 이용가능한 생체 측정 시스템의 셋업(set-up)을 가능케 한다. 게다가, 생체 측정 템플릿의 전자 사본은 보안적 환경에서 영구적으로 이용가능하지 않지만, 오직 개인이 템플릿을 센서에 제공했을 때만 이용가능하다.

Description

생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처{ARCHITECTURES FOR PRIVACY PROTECTION OF BIOMETRIC TEMPLATES}
본 발명은, 생체 측정 데이터의 프라이버시가 제공된, 개인과 연관된 생체 측정 데이터를 채용함으로서 개인의 신원을 확인하는 시스템 및 방법에 관한 것이다.
물리적 객체의 인증은 건물 보안을 위한 조건부 액세스 또는 디지털 데이터에 조건부 액세스(예, 컴퓨터 또는 삭제 가능한 저장 매체에 저장됨)와 같은, 많은 애플리케이션에 또는 식별 목적으로(예, 특정 활동을 위해 식별된 개인에게 요금 부과) 사용될 수 있다.
식별 및/또는 인증을 위한 생체 측정의 사용은 지속적인 증가 추세로 암호와 핀-코드(pin-codes)와 같은 전통적 식별 수단에 대한 더 나은 대안으로 고려된다. 암호/핀-코드의 형태로 신원확인을 필요로 하는 시스템의 수는 꾸준히 증가하고 있으며, 따라서, 시스템의 사용자가 외어야 하는, 암호/핀-코드의 수도 증가하고 있다. 이에 따라, 암호/핀-코드의 암기의 어려움으로 인해, 사용자는 이를 기록하며, 이로써 도난의 우려가 발생하게 된다. 종래 기술에서, 이러한 문제에 대한 해결책이 제안되어 왔으며, 이 해결책은 토큰(token)의 사용을 수반한다. 그러나, 토큰은 또한 손실되고/되거나 도난될 수 있다. 이 문제에 대한 보다 바람직한 해결책은 생체 측정 식별을 사용하는 것이며, 지문, 홍채, 귀, 얼굴 등과 같이 사용자의 고유한 특성은 사용자의 식별을 제공하는데 사용된다. 명백히, 사용자는 그의 생체 측정 특성이 손실하거나 잊지 않으며, 이들을 기록하거나 암기할 필요성이 없다.
생체 측정 특성은 기준 데이터와 비교된다. 매칭이 발생하는 경우, 사용자는 식별되고 액세스가 허가될 수 있다. 사용자에 대한 기준 데이터는 그 이전에 획득되었으며, 예컨대, 보안 데이터베이스 또는 스마트 카드에서와 같이 보안적으로 저장된다. 인증에서, 사용자는 특정 신원을 갖기 위한 청구를 하고, 제공된 생체 측정 템플릿은 제공되고 저장된 템플릿 사이의 대응성을 확인하기 위해, 청구된 신원과 링크된 저장된 생체 측정 데이터와 비교된다. 식별에서, 제공된 생체 측정 템플릿은, 제공되고 저장된 템플릿 사이의 대응성을 확인하기 위해, 모든 저장된 이용가능한 템플릿과 비교된다. 임의의 경우, 제공된 템플릿은 하나 이상의 저장된 템플릿과 비교된다.
시스템 내에서 기밀 엄수가 위반될 때마다, 예컨대 해커가 보안 시스템 내의 비밀의 지식을 획득할 때, (비의도적으로) 누설된 기밀을 교체할 필요성이 존재한다. 일반적으로, 종래의 암호화 시스템에서, 이것은 누설된 비빌 암호화 키를 철회함으로써 그리고 새로운 키를 관련 사용자에게 배포함으로써 행해진다. 암호 또는 핀-코드가 누설된 경우, 이것은 새 것으로 교체된다. 생체 측정 시스템에서, 이 상황은 더욱 복잡한데, 그 이유는 대응 생체 부분이 명백하게 교체될 수 없기 때문이다. 이러한 점에서, 대부분의 생체 측정은 정적(static)이다. 따라서, 필요한 경 우, 유도된 비밀을 갱신하는 가능성과 함께, (일반적으로 잡음이 있는) 생체 측정치로부터 비밀을 유도하기 위한 방법을 개발하는 것은 중요하다. 생체 측정 데이터는 개인의 신원의 양호한 표현이며, 개인과 연관된 생체 측정 데이터의 비인증된 획득은 개인의 신원의 도난에 대한 전자적 등가물로 간주될 수 있다는 점이 주목되어야 한다. 개인을 식별하는 적절한 생체 측정 데이터를 획득한 후, 해커가 획득한 신원을 가진 개인처럼 가장할 수 있다. 게다가, 생체 측정 데이터는 건강 상태에 관한 민감하고 사적인 정보를 포함할 수 있다. 따라서, 생체 측정 인증/식별 시스템을 채용하는 개인의 무결성(integrity)은 보호되어야 한다.
생체 측정이 개인에 관한 민감한 정보를 제공하므로, 생체 측정 데이터의 관리 및 사용에 관한 프라이버시 문제가 존재한다. 예컨대, 종래 기술의 생체 측정 시스템에서, 사용자는 생체 측정 템플릿의 무결성에 관한 생체 측정 시스템을 완전히 불가피하게 신뢰해야 한다. 등록동안(즉, 등록 인증이 사용자의 생체 측정 템플릿을 획득하는 초기 프로세스) 사용자는 템플릿을 시스템에, 가능하면 암호화하여, 저장하는 등록 당국의 등록 디바이스에 그녀의 템플릿을 제공한다. 확인동안, 사용자는 다시 템플릿을 시스템에 제공하며, 저장된 템플릿은 검색되고(필요한 경우 암호 해독되며) 저장되고 제공된 템플릿의 매칭이 수행된다. 사용자는 그녀의 템플릿에 무슨 일이 발생하는지 제어할 수 없으며 그녀의 템플릿이 주의를 기울여 처리되며 시스템에서 누출되지 않았는지를 확인할 방법이 없다는 점이 명백하다. 따라서, 그녀는 그녀의 템플릿의 프라이버시를 가진 모든 등록 인증과 모든 검증기를 신뢰해야 한다. 이들 유형의 시스템이 예컨대, 일부 공항에서, 이미 사용 중에 있다고 해도, 사용자에 의한 시스템 내의 요구되는 신뢰 레벨은 이러한 시스템의 광범위한 사용의 가능성을 희박하게 한다.
실제 템플릿이 노력이 없이는 결코 이용가능하지 않도록 하기 위해 생체 측정 템플릿을 암호화하거나 해싱(hash)하며 상기 암호화된 데이터에 관한 확인(또는 매칭)을 수행하기 위한 암호화 기술이 생각될 수 있다. 그러나 암호화 기능은 입력에서의 작은 변화가 출력에서의 큰 변화를 초래하도록 의도적으로 설계된다. 잡음-오염으로 인해 저장된 템플릿뿐만 아니라 제공된 템플릿을 획득하는데 수반되는 측정 오류와 생체 측정 속성으로 인해, 제공된 템플릿은 저장된 템플릿과 정확히 같지 않을 것이며, 그러므로 매칭 알고리즘은 두 개의 템플릿 사이의 작은 차이를 허용해야 한다. 이것은 암호화된 템플릿 문제에 기초한 확인이 문제가 되게 한다.
예컨대, 2001년 8월 22일자 화이트 페이퍼(White paper)에 게재된, Magnus Pettersson의 "매치 온 카드 기술"에 기술된 것과 같은 매치 온 카드(MoC; Match On Card) 시스템에서, 생체 측정 템플릿은 지문 센서도 갖춘 스마트 카드에 저장된다. 확인동안, 사용자는 생체 측정 템플릿(예, 지문)을 센서에 제공하며 카드는 저장된 템플릿과 제공된 템플릿 간의 매칭의 여부를 결정한다. 비교 결과는 검증기로 전송된다. 이러한 접근 방식의 한 가지 장점은 어떠한 템플릿도 중앙에 저장되지 않는다는 것이다. 그러나, 생체 측정 템플릿은 여전히 시스템에 영구적으로 저장되며 스마트 카드가 분실된 경우, 공격자(attacker)는 스마트 카드를 조작함으로써 템플릿을 획득할 수 있다. 템플릿이 암호화된 형태로 저장되고 카드 내에서 템플릿 매칭을 수행하기 전에 암호 해독한다고 해도, 암호 해독 키의 적절한 관리는 새로 운 프라이버시 문제를 제시한다. 더욱이, 검증기는 템플릿 매칭이 카드에서 완전히 수행된다는 면에서 카드를 완전히 신뢰해야 하며 검증기에는 매칭 확인이 제공된다. 이는 검증기가 시스템을 수락할 가능성을 상당히 감소시킬 수 있다.
본 발명의 목적은 사용자가 시스템이 사용자의 생체 측정 템플릿을 저장하지 않는다는 것을 신뢰할 수 있는 인증 및/또는 식별을 위한 생체 측정 시스템을 제공하는 것이다. 따라서, 생체 측정 템플릿의 프라이버시는 제공된다.
이것은 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템으로서, 청구항 제 1항에 따른 상기 생체 측정 데이터의 프라이버시를 제공하는 시스템 및 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법으로서, 청구항 제 13항에 따른 상기 생체 측정 데이터의 프라이버시를 제공하는 방법에 의해 달성된다.
본 발명의 제 1 양상에 따라, 검증기를 포함하는 시스템, 개인이 신뢰하는 보안적, 탬퍼링-방지 사용자 디바이스, 등록 당국 및 중앙 저장부가 제공되며, 상기 등록 당국은 상기 중앙 저장부에서 등록 데이터를 저장하기 위해 배열되며, 상기 등록 데이터는 기밀이며 개인의 생체 측정 데이터의 제 1 집합에 기초한다. 사용자 디바이스는 개인의 생체 측정 데이터의 제 2 집합을 수신하고, 생체 측정 데이터 및 헬퍼 데이터의 상기 제 2 집합에 기초하여 기밀 확인을 생성하기 위해 배열되며, 상기 헬퍼 데이터는 생체 측정 데이터의 제 1 집합에 기초하며 등록 데이터와 관련되며, 상기 검증기는 중앙 저장부로부터 등록 데이터를 획득하고, 사용자 디바이스로부터 확인 데이터를 획득하며 대응성을 점검하기 위해 등록 데이터와 확인 데이터를 비교하기 위해 배열되며, 개인의 신원은 대응성이 존재하는 경우 확인된다.
본 발명의 제 2 양상에 따라서, 기밀이며, 개인의 생체 측정 데이터의 제 1 집합에 기초한 등록 데이터를 획득하는 단계, 기밀이며 개인 및 헬퍼 데이터의 생체 측정 데이터의 제 2 집합에 기초한 확인 데이터를 획득하는 단계로서, 상기 헬퍼 데이터는 개인의 생체 측정 데이터의 제 1 집합에 기초하며 등록 데이터와 관련된, 확인 데이터 획득 단계 및 대응성을 점검하기 위해 확인 데이터와 등록 데이터를 비교하는 단계를 포함하는 방법이 제공되며, 상기 개인의 신원은 대응성이 존재하는 경우 확인된다. 더욱이, 개인의 생체 측정 데이터, 등록 데이터 및 확인 데이터의 처리는 개인이 신뢰하는 보안적, 탬퍼링-방지 환경에서 수행된다.
본 발명의 기본 생각은 개인의 생체 측정 데이터가, 프라이버시를 제공하기 위해 그리고 생체 측정 시스템 상의 신원-누설 공격을 방지하기 위해, 생체 측정 시스템에 저장되어야 하지 않다는 것이다. 생체 측정과 관련된 보안-관련 문제를 해결함으로써 생체 측정 신원에 대한 수용 레벨은 증가할 것이다. 생체 측정 시스템에서, 개인의 신원은 특정 생체 측정 시스템의 실제 목적에 따라서 확인되어야 한다. 다른 생체 측정 시스템은 일반적으로 개인의 신원의 확인을 위한 다른 목적을 가진다. 예컨대, 한 시스템은 건물 보안을 위한 조건부 액세스 또는 디지털 데이터로의 조건부 액세스(예, 컴퓨터 또는 삭제 가능한 저장 매체에 저장됨)를 제공할 수 있는 반면, 다른 시스템은 식별 목적으로 채용된다(예, 특정 활동을 위해 식별된 개인에게 요금 부과를 위해 사용됨). 개인의 신원의 확인이 본 발명에서 수행될 때, 이러한 확인은 개인의 인증이 수행되었거나 개인의 식별이 수행되었음을 의미할 수 있다. 인증에서, 개인은 특정 신원을 가질 것을 주장하며 생체 측정 템플릿을 기초하여 제공된 데이터는, 제공된 데이터와 저장된 데이터 간의 대응성을 확인하기 위해, 생체 측정 템플릿에 기초하여 저장된 데이터(주장된 신원에 링크됨)와 비교된다. 식별에서, 제공된 데이터는, 제공된 데이터와 저장된 데이터 간의 대응성을 확인하기 위해, 복수의 저장된 이용가능한 데이터 집합과 비교된다. 임의의 경우, 제공된 데이터는 하나 이상의 저장된 데이터 집합과 비교된다. "확인"이라는 용어는 용어가 사용된 문맥에 따라서, 출원서 전체에서 "인증" 또는 "식별"을 나타낼 수 있음이 분명하다.
확인이 수행되어야 할 때, 검증기는 일부 방법으로 검증기가 개인을 식별하거나 인증하도록 하는 데이터를 획득해야 한다. 예를 들어, 검증기는 중앙 저장부로부터 확인 데이터를 능동적으로 가져올 수 있거나, 저장부로부터 확인 데이터를 수동적으로 수신할 수 있다. 어느 경우라도, 검증기는 중앙 저장부로부터 등록 데이터를 획득한다. 등록 데이터는 (위장 공격(impersonation attacks)을 방해하기 위해) 기밀이며 개인의 생체 측정 데이터의 제 1 집합에 기초한다. 이 등록 데이터는 개인이 신뢰하는 보안적, 탬퍼링-방지 환경에서 수행되어야 하는 등록 단계동안 생체 측정 데이터의 제 1 집합으로부터 추출되어서, 개인의 등록 데이터 또는 생체 측정 데이터는 누설되지 않는다. 보안적 환경에서, 등록 데이터의 다른 집합이 생체 측정 데이터 중 한 집합에서 추출되는 것이 가능하다.
더욱이, 검증기는 확인 데이터를 획득하며, 이 확인 데이터도 역시 기밀이며 개인의 생체 측정 데이터 및 헬퍼 데이터의 제 2 집합에 기초한다. 생체 측정 데이터의 이러한 제 2 집합은 확인 단계에서 개인에 의해 제공되며, 예를 들어 개인의 홍채와 같은 동일한 물리적 속성이 채용되었다고 해도, 일반적으로 등록 단계동안 개인으로부터 획득된 생체 측정 데이터의 제 1 집합과 동일하지 않을 것이다. 이것은 예컨대, 물리적 속성이 측정되었을 때 측정에 존재하는 무작위의 잡음이 항상 존재한다는 사실로 인해, 아날로그 속성을 디지털 데이터로 변환하기 위한 양자화 프로세스의 결과는 동일한 물리적 속성의 다른 측정에 대해 다를 것이다. 이는 또한 측정된 물리적 속성의 정렬 오류 또는 탄성 왜곡으로 인한 것일 수 있다. 잡음에 대한 강력성을 제공하기 위해, 보안적 환경은 잡음 강력성을 달성하기 위해 확인동안 사용될 헬퍼 데이터를 유도한다. 헬퍼 데이터가 중앙 저장되므로, 공적 데이터로 생각된다. 위장을 방지하기 위해, 생체 측정 데이터로부터 유도된 등록 데이터는 헬퍼 데이터와 통계적으로 무관하다. 헬퍼 데이터는 고유한 데이터가 등록동안 뿐만 아니라 확인동안 개인의 생체 측정 데이터로부터 유도될 수 있도록 배열된다.
헬퍼 데이터(W)와 등록 데이터(S)는 일부 적절한 함수 또는 알고리즘(FG)을 통해 개인의 생체 측정 데이터(X)의 제 1 집합에 기초하며 따라서 (W,S)=FG(X)를 가진다. 함수(FG)는 단일 생체 측정 템플릿(X)에 대한 많은 쌍(W,S)의 헬퍼 데이터(W)와 등록 데이터(S)의 생성을 가능케 하는 무작위화된 함수일 수 있다. 이는 등록 데이터(S)(따라서 또한 헬퍼 데이터(W))가 다른 등록 당국에 대해 달라지는 것을 허용한다.
헬퍼 데이터는 등록 데이터에 기초하며 이 헬퍼 데이터 내의 개인 생체 측정 데이터의 제 1 집합은, 델타-수축 함수가 생체 측정 데이터와 헬퍼 데이터의 제 1 집합에 적용될 때, 결과가 등록 데이터와 같도록 선택된다. 델타-수축 함수는 생체 측정 데이터의 제 1 집합과 충분히 유사한 생체 측정 데이터의 임의의 값이 동일한 출력 값, 즉, 등록 데이터와 동일한 데이터를 초래하도록 헬퍼 데이터의 적절한 값의 선택을 허용하는 특성을 지닌다. 따라서, Y가 충분한 정도로 X와 유사한 경우, G(X,W)=G(Y,W)=S이다. 따라서, 생체 측정 데이터의 제 2 집합은, 헬퍼 데이터와 함께, 등록 데이터와 동일한 출력을 초래할 것이다. 역으로, 델타-수축 함수에 대한 실질적으로 다른 생체 측정 데이터의 입력은 다른 출력을 초래할 것이다. 따라서, 헬퍼 데이터는, 델타-수축 함수를 헬퍼 데이터에 적용함으로써, 확인 데이터가 매우 높은 확률로 등록 데이터와 같도록, 배열된다. 게다가, 헬퍼 데이터는 등록 데이터에 대한 어떠한 정보도 헬퍼 데이터를 알게 되어 누설되지 않도록 배열된다. 확인동안 확인 데이터의 생성이 개인이 신뢰하는 보안적, 탬퍼링-방지 환경에서 수행되어야 하며, 따라서 개인의 확인 데이터 또는 생체 측정 데이터(즉 생체 측정 데이트의 제 2 집합)가 누설되지 않음에 주목한다.
마지막으로, 등록 데이터는 대응성을 점검하기 위해 검증기에서 확인 데이터와 비교된다. 등록 데이터가 확인 데이터와 동일한 경우, 개인의 신원의 확인은 성공적이며 생체 측정 시스템은, 이에 따라서, 예컨대 보안 건물에 대한 개인 액세스를 제공함으로써 작동할 수 있다.
본 발명은 많은 이유로 인해 유리하다. 우선, 보안에 민감한 정보의 처리는 개인이 신뢰하는 보안적, 탬퍼링-방지 환경에서 수행된다. 헬퍼 데이터 구조의 이용과 결합된, 이러한 처리는 생체 측정 시스템의 셋업을 가능케 하며, 이 시스템에서 생체 측정 템플릿은 오직 보안적 환경에서 전자적 형태로 이용가능하며, 전자적 형태는 일반적으로 예컨대, 센서-장착 스마트 카드와 같은, 생체 측정 센서를 채용한 탬퍼링-방지 사용자 디바이스의 형태로 나타난다. 게다가, 생체 측정 템플릿의 전자 사본은 보안적 환경에서 영구히 이용가능하지 않고, 오직 개인이 템플릿을 센서에 제공할 때만 이용가능하다. 등록 데이터와 헬퍼 데이터를 유도한 후, 생체 측정 데이터는 폐기된다. 이것은 또한 확인 단계에서 획득된 생체 측정 데이터에 대해서도 그러하며; 생체 측정 데이터의 제 2 집합을 채용함으로써 확인 데이터를 유도한 후, 제 2 집합은 폐기된다. 이렇게 하여 전통적인 MoC 시스템과 대조적으로, 생체 측정 템플릿의 프라이버시는 보안적 환경이 타협된다고 해도 유지된다.
본 발명의 일 실시예에 따라 중앙 저장부는 헬퍼 데이터를 저장하기 위해 배열되며 검증기는 중앙 저장부로부터 헬퍼 데이터를 획득하기 위해 배열되며 이를 사용자 디바이스로 전송한다. 헬퍼 데이터가 중앙에 저장된 경우, 데이터는 사용자 디바이스에서 또는 등록 당국에서 생성될 수 있다. 중앙 저장된 헬퍼 데이터를 구비하는 다른 이점은 모든 검증기가 단일한 저장부에서 확인 데이터로의 액세스가 주어질 수 있다는 것이다. 헬퍼 데이터가 사용자 디바이스에서 생성되는 경우, 헬퍼 데이터는 바람직하게 등록 당국을 통과하는 중앙 저장부에서 저장되어야 한다.
본 발명의 다른 실시예에 따라, 사용자 디바이스는, 개인의 생체 측정 데이터의 제 1 집합을 유도하기 위해, 등록 데이터를 생성하기 위해 등록 데이터를 등록 당국에 전송하기 위해 배열된다. 따라서, 개인은 템플릿을 등록 당국에 제공할 필요는 없다. 이것은, 등록 당국이 반드시 신뢰가능한 것은 아니므로 유리하다. 개인은 은행이 등록 이후에 템플릿의 전자 사본을 파괴할 것을 신뢰할 수 있다고 해도, 나이트 클럽이나 인터넷 도박 사이트에게 이를 맡기지는 않을 것이다. 반면, 본 발명의 다른 실시예에 따라, 등록 당국은 개인의 생체 측정 데이터의 제 1 집합을 유도하기 위해 그리고 등록 데이터를 생성하기 위해 배열된다. 이것은, 개인 등록의 인증이 사용자 디바이스 사이에 배포되지 않지만, 시스템의 관리를 단순화할 수 있는, 등록 당국에서 유지되므로, 유리하다.
본 발명의 추가적 특성과 이점은 첨부된 청구항과 다음 설명을 보면 명백해 질 것이다. 당업자는 본 발명의 다른 특성들은 다음에서 기술된 것 이외의 실시예들을 생성하기 위해 결합될 수 있음을 알게 된다. 더욱이, 당업자는 전술한 구조 이외의 헬퍼 데이터 구조가 채용될 수 있음을 알게될 것이다.
본 발명의 바람직한 실시예의 자세한 설명은 첨부 도면을 참조로 하여 다음에서 주어질 것이다.
도 1은 주요한 종래 기술의 생체 측정 시스템의 등록 경로를 도시한 도면.
도 2는 주요한 종래 기술의 생체 측정 시스템의 확인 경로를 도시한 도면.
도 3은 본 발명의 실시예에 따른 개인과 연관된 생체 측정 데이터를 사용한 개인의 신원의 확인을 위한 시스템을 도시한 도면.
도 4는 본 발명의 일 실시예에 따른 개인과 연관된 생체 측정 데이터를 사용한 개인의 신원의 확인을 위한 시스템의 확인 경로를 도시한 도면.
도 5는 본 발명의 다른 실시예에 따른 개인과 연관된 생체 측정 데이터를 사용한 개인의 신원의 확인을 위한 시스템의 확인 경로를 도시한 도면;
도 6은 본 발명의 또 다른 실시예에 따른 개인과 연관된 생체 측정 데이터를 사용한 개인의 신원의 확인을 위한 시스템을 도시한 도면.
도 1은 이하 설명될 주요한 종래의 생체 측정 시스템의 등록 경로를 도시한다. 이 예에서, 개인이 액세스 제어를 위해 생체 측정 식별(예컨대 개인의 홍채(101)를 사용)을 사용하는 카지노 체인점의 회원으로 등록하고자 한다고 가정한다. 채용된 생체 측정 시스템은 이전에 설명된 것과 같은 헬퍼 데이터 구조(HDS)에 기초한다. 회원이 되기 위해, 개인은 카지노가 소유한 등록 디바이스(104)에 배열된 센서(102)에 홍채를 제시함으로서 등록 절차를 행해야 한다. 시스템이 등록 처리 유닛(103)에서 등록 데이터(S)와 헬퍼 데이터(W)를 유도하고 데이터를 중앙 저장 유닛(105)에 저장함으로써 HDS를 사용하며 상기 시스템은 개인의 생체 측정 템플릿을 더 저장하지 않는다고 해도, 등록 디바이스는 생체 측정 템플릿(X)이 도청될 수 있도록 탬퍼링되었을 수 있다. 개인은 디바이스(104)가 탬퍼링되었는지 여부를 확인할 방법이 없으며 HDS가 사용되었다고 해도, 조작으로 인해 생체 측정 템플릿이 시스템에서 누설되었을 수 있다.
등록 절차가, 많은 실제 애플리케이션에서, 개인이 신뢰하는 제어된 환경에서 수행된다고 해도, 이것은 확인 절차에 대해서 반드시 그런 것은 아니다. 도 2로 가서, 등록이 완료된 후 카지노 체인점에 포함된 카지노로의 액세스를 얻기 위해, 개인은 확인 디바이스(204)에 배열된 센서(202)를 통해 홍채(201)로부터 유도된 생체 측정 템플릿(Y)을 제시해야 한다. 확인 처리 유닛(203)은 중앙 저장부(205)에 저장된 헬퍼 데이터(W)를 가져오며 델타-수축 함수를 채용함으로써 확인 데이터(S')를 계산한다. 매칭 유닛(206)은 S와 S'를 비교하며, 매칭이 있는 경우, 개인의 신원은 확인되었으며, 개인은 카지노에 대한 액세스를 제공받는다. 매칭이 있는 경우, 개인은 카지노에 대한 액세스를 제공받지 않는다. 도 1에서와 같이, 시스템은 조작되었을 수 있다. 확인 디바이스(204)는 생체 측정 템플릿(Y)이 도청되도록 탬퍼링되었을 수도 있으며, 다시 사용자는 확인 절차를 제어할 방법이 없다.
도 3은 본 발명의 일 실시예에 따른, 개인과 연관된 생체 측정 데이터를 사용한 개인의 신원의 확인을 위한 시스템을 도시한다. 시스템은 개인의 특정 물리적 특성(303)의 구성으로부터(예, 지문, 홍채, 귀, 얼굴 등), 또는 심지어 물리적 특성의 조합으로부터 제 1 생체 특성 템플릿(X)을 유도하기 위한 센서(302)로 배열된 사용자 디바이스(301)를 포함한다. 사용자 디바이스는, 보안적으로 탬퍼링이 방지되며 따라서 개인이 이를 신뢰해야 한다. 등록 당국(304)은 초기에 중앙 저장 유닛(305)에서 등록 데이터(S)를 저장함으로써 시스템 내에 개인을 등록하며, 상기 등록 데이터는 이후 검증기(306)에 의해 사용된다. 등록 데이터(S)는 기밀이며(S의 분석에 의한 신원-누설 공격을 방지하기 위해), 도 3의 실시예에서, 제 1 생체 측 정 템플릿(X)으로부터 사용자 디바이스(301)에서 유도된다. 확인시, 일반적으로 제 1 생체 측정 템플릿(X)의 잡음-오염된 사본인, 제 2 생체 측정 템플릿(Y)은 센서(402)를 통해 사용자 디바이스(401)로 개인(403)에 의해 제공되며, 이는 도 4를 참조한다. 사용자 디바이스(401)는 생체 측정 데이터의 제 2 집합(Y)에 기초한 기밀 확인 데이터(S') 및 헬퍼 데이터(W)를 생성한다. 헬퍼 데이터(W)는 생체 측정 데이터의 제 1 집합(X)에 기초하며 등록 데이터(S)에 관한 것이다. 헬퍼 데이터(W)는 일반적으로 S=G(X,W)가 되도록 계산되며, G는 델타-수축 함수이다. 따라서, W와 S가 함수 또는 알고리즘(FG)을 사용하여 템플릿(X)으로부터 계산되므로 (W,S)=FG(X)이다.
검증기(406)는 사용자 디바이스(401)로부터 수신된 등록 데이터(S)와 확인 데이터(S')에 의해 개인을 인증하거나 식별한다. 잡음-강도는 사용자 디바이스(401)에서 S'=G(Y,W)로서 확인 데이터(S')를 계산함으로써 제공된다. 델타-수축 함수는, 생체 측정 데이터의 제 2 집합(Y)이 생체 측정 데이터의 제 1 집합(X)과 충분히 유사한 경우 S'=S가 되도록 헬퍼 데이터(W)의 적절한 값의 선택을 허용하는 특성을 지닌다. 따라서, S'=S인 경우, 확인은 성공적이다.
실제 상황에서, 등록 당국은 검증기와 일치할 수 있지만, 이들은 또한 분산될 수 있다. 일례로서, 생체 측정 시스템이 은행 애플리케이션에 사용된 경우, 은행의 모든 더 큰 사무소들은 새로운 개인들을 시스템에 등록하도록 허용될 것이며, 따라서 배포된 등록 당국이 생성된다. 등록 이후, 개인이 생체 측정 데이터를 인증 으로서 사용하는 동안, 이러한 사무소로부터 돈을 인출하고자 하는 경우, 이 사무소는 검증기의 역할을 가정할 것이다. 반면, 사용자가 인증으로서 생체 측정 데이터를 사용하여 편의점에서 지급하는 경우, 편의점은 검증기의 역할을 가정하지만, 편의점이 등록 당국의 역할을 할 가능성은 매우 낮다. 이러한 면에서, 등록 당국과 검증기를 비-제한적 추상적 역할로서 이용할 것이다.
전술한 내용에서 알 수 있는 것처럼, 개인은 생체 측정 센서를 포함하고 S'=G(Y,W)를 계산할 수 있는 디바이스에 대한 액세스를 가진다. 실제로, 디바이스는 스마트 카드에 집적된 지문 센서 또는 휴대폰 또는 PDA에서 홍채 또는 얼굴 인식을 위한 카메라를 포함할 수 있다. 개인이 사용자 디바이스를 소유할 수 있다는 사실은 디바이스가 탬퍼링되어야 하고 개인이 신뢰하기 더 용이하다는 사실의 가능성을 더 낮게 한다. 개인이 신뢰된 당국(예, 은행, 국가 당국, 정부)으로부터 디바이스를 획득하였고 그러므로 이 디바이스를 신뢰한다고 가정된다.
도 5에 도시된, 본 발명의 일 실시예에서, 헬퍼 데이터(W)는 등록 당국(미도시)에 의해 중앙 저장부(505)에 저장되며, 검증기(506)에 의해 가져와 지며, 확인이 수행되어야 할 때 사용자 디바이스(501)로 전송된다. 사용자 디바이스(501)는 이후 검증기(506)로부터 수신된 헬퍼 데이터(W)와 확인 데이터(S')를 계산하기 위해 제 2 템플릿(Y)(센서(502)를 통해 개인(503)으로부터 수신됨)을 사용한다. 이후, S'는 매칭을 점검하기 위해 검증기(506)에서 S와 비교된다. 대안적인 실시예에서, 헬퍼 데이터는 중앙 저장부에 저장되지 않고, 사용자 디바이스에 저장된다. 이러한 경우, 검증기가 헬퍼 데이터를 가져오고 이를 사용자 디바이스로 전송하는 것 이 불필요한데, 이는 사용자 디바이스는 이미 이를 소유하기 때문이다.
도 6은 등록 당국(604)이 개인의 특정 물리적 특성(603)의 구성으로부터 제 1 생체 측정 템플릿(X)을 유도하기 위해 센서(602)를 가지고 배열된, 본 발명의 다른 실시예를 도시한다. 등록 당국(604)은 중앙 저장 유닛(605)에 등록 데이터(S)를 저장하며, 상기 등록 데이터는 이후 검증기에 의해 사용된다. 헬퍼 데이터(W)는, 중앙 저장부(605) 또는 대안적으로, 도 6에 도시된 것처럼, 사용자 디바이스(601)에 저장될 수 있다. 확인은 전술한 방법으로 수행되며; 검증기(606)는 중앙 저장부(605)에 저장된 등록 데이터(S); 및 사용자 디바이스(601)로부터 수신된 확인 데이터(S')에 의해 개인을 인증하거나 식별한다. S'=S인 경우, 확인은 성공적이다. 기밀 등록 데이터(S)와 헬퍼 데이터(W)가 등록이 수행된 디바이스에서 유도됨이 주목되어야 한다. 등록이 도 3에 도시된 것처럼 사용된 디바이스에서 수행되는 경우, 기밀 등록 데이터(S)와 헬퍼 데이터(W)는 사용자 디바이스에서 생성된다. 반면에, 등록이 도 6에 도시된 것처럼 등록 당국에서 수행된 경우, 기밀 등록 데이터(S)와 헬퍼 데이터(W)는 등록 당국에서 생성된다. 등록 당국이 S와 W를 생성하는 경우, 개인은 템플릿을 등록 당국에 제시해야 할 것이며, 이는 반드시 신뢰할만한 것은 아니다. 개인이 등록 이후에 템플릿의 전자 사본을 은행이 파괴하도록 맡길 수 있다고 해도, 나이트 클럽이나 인터넷 도박 사이트에 이를 맡기지 않을 것이다.
디바이스 간의 통신은 예컨대, RF 또는 IR 전송을 채용하는 무선 채널과 같은 임의의 알려진 적절한 통신 채널 또는, 예컨대 공공 스위칭된 전화 네트워크(PSTN; Public Switched Telephone Network)를 채용하는 케이블을 사용하여 수립 될 수 있다.
헬퍼 데이터(W)와 등록 데이터(S)가 사용자 디바이스 또는 등록 당국에서 생성되고, 사용자 디바이스 또는 전술한 시스템 내의 검증기에 저장된다고 해도, 이것은 반드시 그런 것은 아니다. 당업자가 본 발명에 따른 시스템을 변경하는 것은 간단하고 명백하며, 따라서 헬퍼 데이터(W)와 등록 데이터(S)는 부분적으로는 사용자 디바이스에서 부분적으로는 등록 당국에서 생성되며 또한 부분적으로는 사용자 디바이스에 그리고 부분적으로는 검증기에 저장될 수 있다. 이러한 변형에 도달하기 위해 본 발명의 전술한 실시예의 일부 또는 전부를 결합하는 것은 평범한 일이다. 게다가, 전술한 아키텍처 내의 데이터 및 통신은 SHA-1, MD5, AES, DES 또는 RSA와 같은 표준 암호 기술을 사용하여 더 보호될 수 있음이 당업자에게는 명백하다. 임의의 데이터가 시스템에 포함된 디바이스 간에(확인동안 뿐만 아니라 등록동안) 교환되기 전에, 디바이스는 통신이 확립된 다른 디바이스의 진정성에 대한 일부 증명을 원할 수 있다. 도 3과 연관하여 설명된 실시예 동안에, 등록 당국이 신뢰된 디바이스가 수신된 등록 데이터를 생성했다는 것을 보장받아야 하는 것이 가능할 수 있다. 이는, 공중 키 확인서를 사용함으로써 또는 실제 설정, 대칭 키 기술에 따라서 달성될 수 있다. 게다가, 도 3의 실시예에서, 사용자 디바이스가 신뢰될 수 있고 이것이 탬퍼링되지 않았다는 것을 보장받아야 하는 것이 가능하다. 그러므로, 많은 경우에, 사용자 디바이스는 등록 당국이 탬퍼링을 검출할 것을 허용하는 메커니즘을 포함할 것이다. 예컨대, 물리적으로 복제불가능한 기능(PUF)이 시스템에 구현될 수 있다. PUF는 물리적 시스템에 의해 실현된 기능이며, 따라서, 이 기능은 평가는 용이하지만 물리적 시스템이 특성화(characterize)하기는 어렵다. 실제 설정에 따라서, 디바이스 간의 통신은 기밀이어야 하며 진정(authentic)해야 할 수 있다. 사용될 수 있는 표준 암호화 기술은 공중 키 기술 또는 유사한 대칭 기술에 기초한 보안 인증 채널(SAC; Secure Authenticated Channels)이다.
등록 데이터와 확인 데이터는 일방 해시 함수, 또는 등록/확인 데이터의 암호화되어 숨겨진 사본으로부터 등록/확인 데이터의 평문 사본을 생성하는 것이 계산적으로 불가능한 방법으로 등록 데이터 및 확인을 숨기는 임의의 다른 적절한 암호화 함수를 채용함으로써 암호화되어 숨겨질 수 있음을 또한 주목한다. 예를 들어, 키 입력된(keyed) 일방 해시 함수, 트랩도어(trapdoor) 해시 함수, 비대칭 암호화 함수 또는 심지어 대칭 암호화 함수를 사용할 수 있다.
본 발명의 시스템 내에 포함된 디바이스, 즉, 사용자 디바이스, 등록 당국, 검증기 및 가능하게는 또한 중앙 저장부는, ASICs, FPGAs, CPLDs 등과 같은 프로그래밍가능한 로직 디바이스와 같은 계산 기능을 지닌 마이크로프로세서 또는 기타 유사한 전자 장치가 배열됨이 명백하다. 게다가, 마이크로프로세서들은 메모리, 디스크 또는 본 발명의 작업을 수행하기 위한 다른 적절한 매체 상에 저장된 적절한 소프트웨어를 실행한다.
본 발명이 특정 예시적인 실시예를 참조로 설명되었다고 해도, 많은 다른 변형예, 변경예 등은 당업자에게 명백할 것이다. 그러므로, 전술한 실시예들은, 첨부된 청구항에 의해 한정된 것처럼, 본 발명의 범위를 제한하는 것으로 의도되지 않는다.
본 발명은, 생체 측정 데이터의 프라이버시가 제공된, 개인과 연관된 생체 측정 데이터를 채용함으로서 개인의 신원을 확인하는 시스템 및 방법에 관한 것으로서, 구성 요소가 계산 기능을 가진 상기 디바이스에서 실행될 때 계산 기능을 가진 디바이스가 신원 확인에 필요한 단계를 수행하도록 하는 실행가능한 구성 요소를 포함하는 컴퓨터 프로그램 제품 등에 이용가능하다.

Claims (20)

  1. 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템으로서, 상기 시스템은 상기 생체 측정 데이터의 프라이버시를 제공하며, 상기 시스템은:
    - 검증기(306);
    - 상기 개인이 신뢰하는, 보안적인 탬퍼링-방지(tamper-proof) 사용자 디바이스(301);
    - 등록 당국(304); 및
    - 중앙 저장부(305)를 포함하며,
    상기 등록 당국은 상기 중앙 저장부에 등록 데이터(S)를 저장하기 위해 배열되며, 상기 등록 데이터(S)는 기밀이며, 개인(303)의 생체 측정 데이터의 제 1 집합(X)에 기초하며; 상기 사용자 디바이스는 생체 측정 데이터 및 헬퍼 데이터(W)의 상기 제 2 집합(Y)에 기초하여 기밀 확인 데이터(S')를 생성하기 위해, 개인의 생체 측정 데이터의 제 2 집합(Y)을 수신하기 위해 배열되며, 상기 헬퍼 데이터(W)는 생체 측정 데이터의 제 1 집합(X)에 기초하고, 상기 등록 데이터(S)와 관련되며; 상기 검증기는 상기 중앙 저장부로부터 상기 등록 데이터(S)를 획득하고, 상기 사용자 디바이스로부터 확인 데이터(S')를 획득하며, 대응성을 점검하기 위해 상기 등록 데이터(S)를 상기 확인 데이터(S')와 비교하기 위해 배열되며, 상기 개인의 신원은 대응성이 존재하는 경우 확인되는, 개인과 연관된 생체 측정 데이터를 채용 함으로써 개인의 신원을 확인하기 위한 시스템.
  2. 제 1항에 있어서, 상기 중앙 저장부(505)는 상기 헬퍼 데이터(W)를 저장하기 위해 배열되며; 상기 검증기(506)는 상기 중앙 저장부로부터 상기 헬퍼 데이터(W)를 획득하기 위해 배열되며 상기 헬퍼 데이터(W)를 사용자 디바이스(501)로 전송하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  3. 제 2항에 있어서, 상기 사용자 디바이스(301)는 헬퍼 데이터(W)를 생성하고 헬퍼 데이터(W)를 등록 당국(304)에 전송하기 위해 배열되며, 상기 등록 당국은 중앙 저장부(305)에 헬퍼 데이터(W)를 저장하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  4. 제 2항에 있어서, 상기 등록 당국(304)은 헬퍼 데이터(W)를 생성하고 이를 중앙 저장부(305)에 저장하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  5. 제 1항에 있어서, 상기 사용자 디바이스(401)는 헬퍼 데이터(W)를 생성하고 이를 사용자 디바이스에 저장하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  6. 제 1항에 있어서, 상기 등록 당국(604)은 헬퍼 데이터(W)를 생성하고 이를 사용자 디바이스(601)에 저장하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  7. 제 1항에 있어서, 상기 헬퍼 데이터(W)는 생성되고, 이후 델타-축소 함수에서 사용되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  8. 제 3항 또는 제 5항에 있어서, 상기 사용자 디바이스(301)는 등록 데이터(S)를 생성하고 등록 데이터(S)를 등록 당국(304)에 전송하기 위해, 개인(303)의 생체 측정 데이터의 제 1 집합(X)을 유도하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  9. 제 8항에 있어서, 상기 사용자 디바이스(301)는 개인(303,304)의 적어도 하나의 물리적 특성으로부터 생체 측정 템플릿(X,Y)을 유도하기 위해 센서(302)로 더 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  10. 제 4항 또는 제 6항에 있어서, 상기 등록 당국(604)은 개인(603)의 생체 측 정 데이터의 제 1 집합(X)을 유도하고 등록 데이터(S)를 생성하기 위해 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  11. 제 10항에 있어서, 상기 등록 당국(604)은 개인(603)의 적어도 하나의 물리적 특성으로부터 생체 측정 템플릿(X)을 유도하기 위한 센서(602)로 더 배열되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  12. 제 1항에 있어서, 사용자 디바이스(301)는 스마트 카드를 포함하는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하기 위한 시스템.
  13. 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법으로서, 상기 방법은 상기 생체 측정 데이터의 프라이버시를 제공하며, 상기 방법은:
    - 기밀이며 개인(303)의 생체 측정 데이터의 제 1 집합(X)에 기초한 등록 데이터(S)를 획득하는 단계;
    - 확인 데이터(S')를 획득하는 단계로서, 상기 확인 데이터(S')는 기밀이며 개인 및 헬퍼 데이터(W)의 생체 측정 데이터의 제 2 집합(Y)에 기초하며, 상기 헬퍼 데이터(W)는 개인의 생체 측정 데이터의 제 1 집합(X)에 기초하며 상기 등록 데 이터(S)와 연관된, 확인 데이터(S')를 획득하는 단계; 및
    - 대응성을 점검하기 위해 확인 데이터(S')와 등록 데이터(S)를 비교하는 단계로서, 개인의 신원은 대응성이 존재하는 경우 확인되는, 확인 데이터(S')와 등록 데이터(S)를 비교하는 단계를 포함하며,
    개인의 생체 측정 데이터(X,Y), 등록 데이터(S) 및 확인 데이터(S')는 개인이 신뢰하는 보안적이며, 탬퍼링-방지(tamper-proof) 환경(301)에서 수행되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  14. 제 13항에 있어서,
    - 상기 헬퍼 데이터(W)를 획득하는 단계; 및
    - 상기 헬퍼 데이터(W)를 개인이 신뢰하는 보안적인, 탬퍼링-방지 환경(301)으로 전송하는 단계를 더 포함하는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  15. 제 13항에 있어서,
    - 개인이 신뢰하는 보안적인, 탬퍼링-방지 환경(301)에서 헬퍼 데이터(W)를 생성하는 단계; 및
    - 헬퍼 데이터(W)를 등록 당국(304)에 전송하는 단계
    를 더 포함하는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  16. 제 14항에 있어서,
    - 상기 등록 당국(304)에서 헬퍼 데이터(W)를 생성하는 단계
    를 더 포함하는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  17. 제 13항에 있어서,
    상기 헬퍼 데이터(W)가 생성되며, 이후 델타-수축 함수에서 사용되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  18. 제 15항에 있어서, 개인(303)의 생체 측정 데이터의 제 1 집합(X)을 유도하는 단계, 등록 데이터(S)를 생성하는 단계 및 등록 데이터(S)를 등록 당국에 전송하는 단계는 개인이 신뢰하는 보안적, 탬퍼링-방지 환경(301)에서 수행되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  19. 제 16항에 있어서, 개인(603)의 생체 측정 데이터의 제 1 집합(X)을 유도하는 단계와 등록 데이터(S)를 생성하는 단계는 상기 등록 당국(604)에서 수행되는, 개인과 연관된 생체 측정 데이터를 채용함으로써 개인의 신원을 확인하는 방법.
  20. 구성 요소가 계산 기능을 가진 상기 디바이스에서 실행될 때 계산 기능을 가 진 디바이스가 제 13항에 언급된 단계를 수행하도록 하는 실행가능한 구성 요소를 포함하는 컴퓨터 프로그램 제품.
KR1020067025805A 2004-06-09 2005-06-01 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처 KR20070024569A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
EP04102609 2004-06-09
EP04102609.7 2004-06-09
EP04104380 2004-09-10
EP04104380.3 2004-09-10

Publications (1)

Publication Number Publication Date
KR20070024569A true KR20070024569A (ko) 2007-03-02

Family

ID=34979021

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067025805A KR20070024569A (ko) 2004-06-09 2005-06-01 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처

Country Status (5)

Country Link
US (1) US9384338B2 (ko)
EP (1) EP1759259A2 (ko)
JP (1) JP2008538146A (ko)
KR (1) KR20070024569A (ko)
WO (1) WO2005121924A2 (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070024569A (ko) * 2004-06-09 2007-03-02 코닌클리케 필립스 일렉트로닉스 엔.브이. 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처
ATE433596T1 (de) * 2005-08-23 2009-06-15 Koninkl Philips Electronics Nv Authentifizierung von informationsträgern über eine physische einwegfunktion
JP4961214B2 (ja) * 2006-03-29 2012-06-27 株式会社日立情報制御ソリューションズ 生体認証方法およびシステム
JP2008097438A (ja) * 2006-10-13 2008-04-24 Hitachi Ltd ユーザ認証システム、認証サーバ、端末、及び耐タンパデバイス
FR2930830A1 (fr) * 2008-04-30 2009-11-06 Thales Sa Ressource de confiance integree a un dispositif de controle de donnees biometriques assurant la securite du controle et celle des donnees
US9633261B2 (en) * 2008-08-22 2017-04-25 International Business Machines Corporation Salting system and method for cancelable iris biometric
US20100161488A1 (en) 2008-12-22 2010-06-24 Paul Michael Evans Methods and systems for biometric verification
US8289135B2 (en) 2009-02-12 2012-10-16 International Business Machines Corporation System, method and program product for associating a biometric reference template with a radio frequency identification tag
US8242892B2 (en) * 2009-02-12 2012-08-14 International Business Machines Corporation System, method and program product for communicating a privacy policy associated with a radio frequency identification tag and associated object
US8327134B2 (en) 2009-02-12 2012-12-04 International Business Machines Corporation System, method and program product for checking revocation status of a biometric reference template
US8359475B2 (en) * 2009-02-12 2013-01-22 International Business Machines Corporation System, method and program product for generating a cancelable biometric reference template on demand
US8301902B2 (en) * 2009-02-12 2012-10-30 International Business Machines Corporation System, method and program product for communicating a privacy policy associated with a biometric reference template
US9298902B2 (en) * 2009-02-12 2016-03-29 International Business Machines Corporation System, method and program product for recording creation of a cancelable biometric reference template in a biometric event journal record
FR2953615B1 (fr) * 2009-12-04 2014-11-21 Thales Sa Systemes de stockage distribue securise de donnees personnelles, notamment d'empreintes biometriques, et systeme, dispositif et procede de controle d'identite
US8745405B2 (en) * 2010-02-17 2014-06-03 Ceelox Patents, LLC Dynamic seed and key generation from biometric indicia
FR2962569B1 (fr) * 2010-07-12 2012-08-17 Morpho Procedes, systemes et dispositifs de verification biometrique
US9600443B2 (en) 2012-01-30 2017-03-21 International Business Machines Corporation Tracking entities by means of hash values
US9165130B2 (en) 2012-11-21 2015-10-20 Ca, Inc. Mapping biometrics to a unique key
CN106201352B (zh) * 2016-07-07 2019-11-29 广东高云半导体科技股份有限公司 非易失性fpga片上数据流文件的保密系统及解密方法
FR3073644B1 (fr) * 2017-11-14 2021-01-01 Idemia Identity & Security France Procede de traitement d'image mis en oeuvre par un terminal formant un environnement " boite blanche "
WO2019231252A1 (en) 2018-05-31 2019-12-05 Samsung Electronics Co., Ltd. Electronic device for authenticating user and operating method thereof
US11244316B2 (en) 2018-06-07 2022-02-08 International Business Machines Corporation Biometric token for blockchain
US11368308B2 (en) * 2019-01-11 2022-06-21 Visa International Service Association Privacy preserving biometric authentication

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6111977A (en) 1997-04-17 2000-08-29 Cross Match Technologies, Inc. Hand-held fingerprint recognition and transmission device
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
US6925182B1 (en) 1997-12-19 2005-08-02 Koninklijke Philips Electronics N.V. Administration and utilization of private keys in a networked environment
WO1999065175A1 (en) 1998-06-10 1999-12-16 Sandia Corporation Method for generating, storing, and verifying a binding between an authorized user and a token
US6363485B1 (en) 1998-09-09 2002-03-26 Entrust Technologies Limited Multi-factor biometric authenticating device and method
WO2000055800A1 (en) 1999-03-18 2000-09-21 Unnikrishnan, K. P. Point of sale (pos) terminals with biometric verification
EP1175749B1 (en) 1999-04-22 2005-07-06 Veridicom, Inc. High security biometric authentication using a public key/private key encryption pairs
GB9923802D0 (en) 1999-10-08 1999-12-08 Hewlett Packard Co User authentication
US7188362B2 (en) 2001-03-09 2007-03-06 Pascal Brandys System and method of user and data verification
WO2003003169A2 (en) * 2001-06-28 2003-01-09 Cloakware Corporation Secure method and system for biometric verification
US7079007B2 (en) * 2002-04-19 2006-07-18 Cross Match Technologies, Inc. Systems and methods utilizing biometric data
EP1385118B1 (en) * 2002-05-30 2009-10-07 Activcard Ireland Limited Method and apparatus for supporting a biometric registration performed on a card
EP1520369B1 (en) * 2002-05-31 2006-10-18 Scientific Generics Limited Biometric authentication system
US20070220272A1 (en) * 2002-06-25 2007-09-20 Campisi Steven E Transaction authentication card
US7543156B2 (en) * 2002-06-25 2009-06-02 Resilent, Llc Transaction authentication card
SE522615C2 (sv) 2002-07-09 2004-02-24 Martin Tiberg Med Tiberg Techn En metod och ett system för biometrisk identifiering eller verifiering.
US6820059B2 (en) * 2003-04-08 2004-11-16 Richard Glee Wood Method for reducing fraud in government benefit programs using a smart card
JP2004178141A (ja) * 2002-11-26 2004-06-24 Hitachi Ltd 不正使用防止機能付きicカード
AU2003288683A1 (en) * 2003-01-24 2004-08-13 Koninklijke Philips Electronics N.V. Reliable storage medium access control method and device
US8185747B2 (en) * 2003-05-22 2012-05-22 Access Security Protection, Llc Methods of registration for programs using verification processes with biometrics for fraud management and enhanced security protection
US7472275B2 (en) * 2003-06-13 2008-12-30 Michael Arnouse System and method of electronic signature verification
CA2529049A1 (en) * 2003-06-17 2005-04-14 United Security Applications Id, Inc. Electronic security system for monitoring and recording activity and data relating to persons
KR20070024569A (ko) * 2004-06-09 2007-03-02 코닌클리케 필립스 일렉트로닉스 엔.브이. 생체 측정 템플릿의 프라이버시 보호를 위한 아키텍처
WO2005122467A1 (en) * 2004-06-09 2005-12-22 Koninklijke Philips Electronics N.V. Biometric template protection and feature handling
US20060123239A1 (en) * 2004-12-07 2006-06-08 Emin Martinian Biometric based user authentication with syndrome codes
US7620818B2 (en) * 2004-12-07 2009-11-17 Mitsubishi Electric Research Laboratories, Inc. Biometric based user authentication and data encryption
CN101091348B (zh) * 2004-12-28 2011-09-07 皇家飞利浦电子股份有限公司 使用生物测定数据和密值提取码的密钥生成
WO2006129242A2 (en) * 2005-06-01 2006-12-07 Koninklijke Philips Electronics N.V. Template renewal in helper data systems
WO2007116368A1 (en) * 2006-04-11 2007-10-18 Koninklijke Philips Electronics N.V. Noisy low-power puf authentication without database
US8312291B2 (en) * 2006-12-28 2012-11-13 Telecom Italia S.P.A. Method and system for biometric authentication and encryption
EP2149124B1 (en) * 2007-05-14 2012-11-28 Priv Id B.V. Apparatuses, system and method for authentication

Also Published As

Publication number Publication date
JP2008538146A (ja) 2008-10-09
WO2005121924A2 (en) 2005-12-22
WO2005121924A3 (en) 2006-05-18
EP1759259A2 (en) 2007-03-07
US20070226512A1 (en) 2007-09-27
US9384338B2 (en) 2016-07-05

Similar Documents

Publication Publication Date Title
US9384338B2 (en) Architectures for privacy protection of biometric templates
US9940453B2 (en) Method and system for securing user access, data at rest and sensitive transactions using biometrics for mobile devices with protected, local templates
US10728027B2 (en) One-time passcodes with asymmetric keys
US9716698B2 (en) Methods for secure enrollment and backup of personal identity credentials into electronic devices
US11824991B2 (en) Securing transactions with a blockchain network
KR101226651B1 (ko) 생체 인식 기술의 사용에 기초한 사용자 인증 방법 및 관련구조
US8842887B2 (en) Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device
EP1815637B1 (en) Securely computing a similarity measure
US6185316B1 (en) Self-authentication apparatus and method
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
US20140115324A1 (en) System and Method for Secure Remote Biometric Authentication
US20030101348A1 (en) Method and system for determining confidence in a digital transaction
JPWO2007094165A1 (ja) 本人確認システムおよびプログラム、並びに、本人確認方法
CN107925581A (zh) 1:n生物体认证、加密、署名系统
JP2008526078A (ja) 鍵生成、及び認証の承認に関する方法及び装置
JP2009533742A (ja) データベースなしのノイジーな低電力puf認証
JP2008097438A (ja) ユーザ認証システム、認証サーバ、端末、及び耐タンパデバイス
EP2579221A1 (en) Template delivery type cancelable biometric authentication system and method therefor
TWM623435U (zh) 使用多安全層級驗證客戶身分與交易服務之系統
JP2010510744A (ja) バイオメトリックに基づくファジー署名
US11444784B2 (en) System and method for generation and verification of a subject's identity based on the subject's association with an organization
JP7391843B2 (ja) 指紋の2段階の集中的な照合
Deswarte et al. A Proposal for a Privacy-preserving National Identity Card.
WO2023022584A1 (en) System and method for decentralising digital identification
CN113904850A (zh) 基于区块链私钥keystore安全登录方法、生成方法、系统及电子设备

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid