KR20070121634A - 정보 보안에 관한 인증을 구현하는 방법 및 시스템 - Google Patents

정보 보안에 관한 인증을 구현하는 방법 및 시스템 Download PDF

Info

Publication number
KR20070121634A
KR20070121634A KR1020077014433A KR20077014433A KR20070121634A KR 20070121634 A KR20070121634 A KR 20070121634A KR 1020077014433 A KR1020077014433 A KR 1020077014433A KR 20077014433 A KR20077014433 A KR 20077014433A KR 20070121634 A KR20070121634 A KR 20070121634A
Authority
KR
South Korea
Prior art keywords
biometric
certificate
authentication
attribute
identity
Prior art date
Application number
KR1020077014433A
Other languages
English (en)
Other versions
KR100911983B1 (ko
Inventor
슈링 리우
지웨이 웨이
차오 리
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from CN2006100742825A external-priority patent/CN101051895B/zh
Priority claimed from CN200610074283XA external-priority patent/CN101051896B/zh
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20070121634A publication Critical patent/KR20070121634A/ko
Application granted granted Critical
Publication of KR100911983B1 publication Critical patent/KR100911983B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

정보 보안에 관한 인증을 구현하는 방법 및 시스템이 개시된다. 본 발명의 프로세스는, 속성 인증서와 연관된 바이오메트릭 인증서를 지시하는 확장 식별자를 포함하는 속성 인증서를 전달하는 접근 요구를 사용자로부터 수신하는 단계; 바이오메트릭 인증서를 획득하는 단계; 확장 식별자에 따라, 상기 획득된 바이오메트릭 인증서가 접근 요구 내에 운반되는 속성 식별자와 연관되었는지 여부를 판단하는 단계; 만약 상기 바이오메트릭 인증서가 상기 속성 인증서와 연관되었으면, 사용자의 바이오메트릭 특성 데이터를 획득하는 단계; 바이오메트릭 특성 데이터 및 바이오메트릭 인증서에 기초하여 아이덴터티 인증을 수행하는 단계; 속성 인증서에 기초하여 권한 인증을 수행하는 단계; 및 아이덴터티 인증 및 권한 인증의 결과에 기초하여 접근을 제어하는 단계를 포함한다. 권한 인증 및 아이덴터티 인증 간의 대응 관계가 설정되고, 권한 관리가 정확하고 신뢰성 있게 수행될 수 있다.
아이덴터티 인증, 권한 인증, 바이오메트릭 인증

Description

정보 보안에 관한 인증을 구현하는 방법 및 시스템{Method and System for Implementing Authentication on Information Security}
본 발명은 정보 보안 기술에 관한 것으로, 특히 정보 보안(information security)에 관한 인증(authenticaiton)을 구현하는 방법 및 시스템에 관한 것이다.
ITU(International Telecommunications Union) 및 IETF(Internet Engineering Task Force)는 PMI(Privilege Management Infrastructure)의 개념을 제시하였다. PMI는 권한 관리를 시스템적으로 수행하고 사용자에 대한 인가(authorization) 서비스를 제공하기 위하여 PKI(Public Key Infrastructure)와 통합될 수 있다. 이런 식으로, PMI는 PKI와 함께 정보 보안을 확실히 한다.
PMI는 속성 인증서(AC: attribute certificate), 속성 인가권(AA: attribute authority), 속성 인증서 레포지토리(attribute certificate repository) 등과 같은 구성요소를 포함하고, 권한 및 인증서를 생성, 관리, 저장, 발급, 철회하는데 사용된다. AC는 객체(entity)와 권한을 함께 바인딩하는 디지털 서명을 가진 데이터 구조이다. 즉, AC는 객체에 부여된 권한을 정의한다. 도 1은 버전(version), 시리얼 번호(serial number), 유효 기간(period of validity), 발급자(issuer), 서 명 알고리즘(signature algorithm), 및 아이덴터티(identity), 보유자(holder), 발급자의 고유 아이덴터티(unique identity), 속성 정보(attribute information), 확장 정보(extension information), 및 발급자의 서명(signature of the issuer)을 포함하는 AC의 포맷을 도시한다. 상기 객체에 부여된 권한의 정의는 상기 속성 정보에 포함된다.
상기 사용자에 대한 정보 보안에 관한 인증은 권한 인증(privilege authentication) 및 아이덴터티 인증(identity authentication)을 포함한다. 실제 응용에서, 시스템은 권한 인증(예를 들어, PMI 인증) 또는 아이덴터티 인증(예를 들어, PKI 인증) 중의 하나 또는 PMI 인증 및 PKI 인증의 양자를 모두 수행할 수 있다. 정보 보안에 관한 인증의 서로 다른 패턴은 서로 다른 정확도 및 신뢰도를 제공한다. 일반적으로, 자원의 보안을 확실히 하기 위하여 정보 보안에 관한 인증을 위하여 높은 정확도 및 신뢰도가 요구된다.
정보 보안에 관한 인증을 구현하기 위한 방법 및 시스템이 본 발명의 실시예들로 설명된다.
정보 보안에 관한 인증 방법은 사용자로부터 속성 인증서(attribute certificate)를 전달하는 접근 요구을 수신하는 단계 - 상기 속성 인증서는 상기 속성 인증서와 연관된 바이오메트릭 인증서(biometric certificate)를 지시하는 확장 식별자(extension identifier)를 포함함 -; 상기 바이오메트릭 인증서를 획득하고, 상기 확장 식별자에 따라, 상기 획득된 바이오메트릭 인증서가 상기 접근 요구 내에 전달된 상기 속성 인증서와 연관되었는지 여부를 판단하는 단계; 상기 바이오메트릭 인증서가 상기 속성 인증서와 연관된 경우, 상기 사용자의 바이오메트릭 특성 데이터(biometric feature data)를 획득하고, 상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증(identity authentication)을 수행하는 단계; 상기 속성 인증서에 기초하여 권한 인증(privilege authentication)을 수행하는 단계; 및 상기 아이덴터티 인증 및 상기 권한 인증의 결과에 기초하여 사용자 접근을 제어하는 단계를 포함한다.
정보 보안에 관한 인증을 구현하는 시스템은, 확장 식별자를 가진 속성 인증서를 서비스 제공 장치에 전달하는 접근 요구을 시작하고 상기 서비스 제공 장치로부터 인증 결과를 수신하는 클라이언트 터미널; 바이오메트릭 인증서를 획득하고, 상기 획득된 바이오메트릭 인증서가 상기 접근 요구 내에 전달되는 상기 속성 인증서와 연관되었는지 여부를 결정하고, 아이덴터티 인증 장치(identity authentication unit)에게 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증을 수행하도록 요구하거나 권한 인증 장치(privilege authentication unit)에게 상기 속성 인증서에 기초하여 권한 인증을 수행하도록 요구하는 상기 서비스 제공 장치; 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증을 수행하는 상기 아이덴터티 인증 장치; 및 상기 속성 인증서에 기초하여 권한 인증을 수행하는 상기 권한 인증 장치를 포함한다.
정보 보안에 관한 인증을 구현하는 시스템은, 서비스 제공 장치에게 접근 요구을 송신하고, 상기 서비스 제공 장치로부터 인증 결과를 수신하는 클라이언트 터미널 - 상기 접근 요구은 서로 다른 권한으로 속성에 대한 서로 다른 보안 레벨을 설정하는 속성 인증서를 전달함 -; 보안 레벨 및 하나 이상의 바이오메트릭 식별 파라미터 간의 대응 관계를 기록하는 바이오메트릭 알고리즘 인증서 및 상기 클라이언트에 의하여 입력된 바이오메트릭 특성 데이터를 획득하고, 아이덴터티 인증 장치에게 상기 바이오메트릭 인증서에 기초한 아이덴터티 인증을 수행하도록 요구하고, 권한 인증 장치에게 상기 속성 인증서에 기초한 권한 인증을 수행하도록 요구하고, 상기 속성 인증서 내의 속성의 상기 권한에 기초하여 상기 속성의 상기 보안 레벨을 결정하고, 상기 보안 레벨에 대응하는 하나 이상의 바이오메트릭 식별 파라미터를 획득하는 상기 서비스 제공 장치; 및 상기 바이오메트릭 특성 데이터를 입력하는 상기 클라이언트 터미널에 대한 상기 바이오메트릭 인증서에 따라 아이덴터티 인증을 수행하고, 상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서 간의 매치도가 상기 하나 이상의 바이오메트릭 식별 파라미터에 의한 요구를 만족하는지 여부를 결정하는 상기 아이덴터티 인증 장치를 포함한다.
전술한 기술적 구성으로부터, 정보 보안에 관한 인증을 구현하는 방법 및 시스템은, 속성 인증서(attribute certificate)가 권한 인증(privilege authentication)에 사용되기 전에, 상기 속성 인증서와 바이오메트릭 인증서(biometric certificate)가 함께 먼저 결정되고 아이덴터티 인증을 위해 사용된다. 사용자가 상기 아이덴터티 인증을 통과한 후, 속성 인증서는 권한 인증에 사용될 수 있고, 따라서 바이오메트릭 인증서에 기초하여 수행되는 권한 인증 및 아이덴터티 인증은 심리스하게(seamlessly) 결합된다. 다시 말하면, 권한 인증 및 아이덴터티 인증 간의 대응 관계가 설정되고, 따라서 권한 인증이 정확하고 신뢰성 있게 수행될 수 있다. 더욱이, 본 발명은 종래기술과 잘 호환되고, 본 발명에서 제공되는 정보 보안에 관한 인증은 간단하고 쉽게 수행할 수 있다.
도 1은 종래기술에 따른 속성 인증서의 포맷을 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 바이오메트릭 인증서(biometric certificate)의 포맷을 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 확장 식별자(extension identifier)의 포맷을 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 정보 보안에 관한 인증을 구현하는 과정의 흐름도이다.
도 5는 본 발명의 일실시예에 따른 바이오메트릭 알고리즘 인증서의 포맷을 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 정보 보안에 관한 인증을 구현하는 과정의 흐름도이다.
도 7은 본 발명의 일실시예에 따른 정보 보안에 관한 인증을 구현하는 시스템의 구조도이다.
도 8은 본 발명의 일실시예에 따른 정보 보안에 관한 인증을 구현하는 시스템의 구조도이다.
본 발명의 실시예들을 도면을 참조하여 이하에서 상세히 설명한다.
본 발명의 실시예들에서, 바이오메트릭 특성 식별 기술(biometric feature identification technology)은 정보 보안 인증에 적용되고, 따라서 유일성(uniqueness) 및 신뢰성(reliability)을 가지는 바이오메트릭 인증서의 속성들이 정보 보안에 관한 정확하고 신뢰성 있는 인증에 채택될 수 있다. 상기 인증은, 속성 인증서에 기초하여 사용자에 대한 권한 인증을 수행하기 전에 속성 인증서와 연관된 바이오메트릭 인증서에 기초하여 상기 사용자에 대한 아이덴터티 인증을 수행하는 단계, 상기 사용자가 상기 아이덴터티 인증을 통과한 후에 상기 속성 인증서에 기초하여 상기 권한 인증을 수행하는 단계를 포함하며, 이는 권한 인증 및 아이덴터티 인증 간의 대응 관계를 보장하고, 권한 관리의 정확도 및 신뢰도를 향상시킨다.
바이오메트릭 특성 식별 기술(예를 들어, 지문 식별(fingerprint identification), 홍채 식별 기술)은 인간의 심리적 또는 행동적 특성에 기초한 아이덴터티 인증의 수행을 말한다.
본 발명에서, 상기 바이오메트릭 인증서(biometric certificate)는 바이오메트릭 특성 템플릿(biometric feature templates)을 포함하는 모든 종류의 인증서를 말한다. 바이오메트릭 특성 템플릿은, 바이오메트릭 인증만을 위하여 사용되는 단독 인증서 및 단독 인증서를 제외한 다른 인증서들(예를 들어, RFC 3739에 정의된 공용키 인증서)을 포함한다. 바이오메트릭 특성 템플릿은 서브젝트의 바이오메트릭 특성 데이터를 기록한다. 바이오메트릭 인증서의 두 카테고리를 명확히 구분하 기 위하여, 바이오메트릭 인증만을 위하여 사용되는 단독 인증서(standalone certificate)는 클라스 1 바이오메트릭 인증서(Class 1 biometric certificate)로 말하고, 클라스 1 바이오메트릭 인증서를 제외한 다른 인증서(예를 들어, RFC 3739에 정의된 공용키 인증서)는 클라스 2 바이오메트릭 인증서(Class 2 biometric certificate)로 말한다. 클라스 1 및 클라스 2의 바이오메트릭 인증서는 바이오메트릭 특성 템플릿을 포함한다.
도 2는 본 발명의 실시예에 따른 바이오메트릭 인증서의 포맷을 도시한다. 바이오메트릭 인증서는 버전(version), 시리얼 번호(serial number), 유효 기간(period of validity), 서브젝트(subject), 서브젝트의 고유 식별자(unique identifier of the subject), 발급자(issuer), 및 발급자의 고유 식별자(unique identifier of the issuer), 바이오메트릭 특성 템플릿(biometric feature template), 템플릿 포맷 아이덴터티(template format identity), 확장 정보(extension information) 및 발급자의 서명(signature of the issuer)의 필드를 포함한다.
버전 필드는 BCA(Biometric Certification Authority)에 의하여 발급되는 바이오메트릭 인증서의 버전이다. 시리얼 번호는 바이오메트릭 인증서에 대하여 BCA에 의하여 발급된 고유 식별자이다. 유효 기간은 상기 바이오메트릭 인증서가 유효한 기간을 나타내며, 상기 기간의 시작 날짜 및 종료 날짜를 포함한다. 서브젝트 필드는 상기 바이오메트릭 인증서에 의하여 식별되는 서브젝트를 표시하고, 상기 서브젝트는 서브젝트의 고유 식별자에 따라 인식될 수 있다. 발급자는 상기 바 이오메트릭 인증서를 생성하고 바이오메트릭 인증서를 서명하는 BCA이고, 발급자는 상기 발급자의 고유 식별자에 따라 인식될 수 있다. 바이오메트릭 특성 템플릿은 서브젝트의 바이오메트릭 특성 데이터를 기록한다. 템플릿 포맷 아이덴터티는 바이오메트릭 특성 템플릿의 포맷 아이덴터티를 포함한다. 확장 정보 필드는 인증서 포맷을 변경하지 않고 바이오메트릭 인증서에 부가되도록 허용되는 부가 정보(예를 들어, 바이오메트릭 인증서를 사용하는 방법에 관한 명령)를 포함한다. 발급자의 서명은, BCA의 개인키 쌍(private key pair)의 시리얼 번호, 유효 기간, 서브젝트, 서브젝트의 고유 식별자, 발급자, 발급자의 고유 식별자, 바이오메트릭 특성 템플릿, 템플릿 포맷 아이덴터티, 및 확장 정보 중 적어도 하나에 기초하여 생성되는 디지털 서명을 포함한다.
부가 항목이, 속성 인증서와 연관된 바이오메트릭 인증서의 아이덴터티를 기록하기 위하여, 속성 인증서의 확장 정보에 부가될 수 있다. 이렇게 하여, 종래기술의 시스템에 최소한의 영향을 주면서, 속성 인증서 및 바이오메트릭 인증서 간의 연관이 설정될 수 있다.
속성 인증서의 확장 정보는 주로 속성 인증서의 응용에 관련된 정책을 고지하는 데 사용된다. 확장 정보는 기본 확장 정보(basic extension information), 권한 철회 확장 정보, 루트 속성 기관 확장 정보(root attribute authority extension information), 역할 확장 정보(role extension information), 및 인정 확장 정보(grant extension information) 등을 포함한다. 일반적으로, 본 발명의 실시예에서 확장 정보에 부가되는 부가 항목은 기본 확장 정보에 위치하고, 확장 식별자로 참조된다.
도 3은 본 발명의 실시예에 따른 확장 식별자의 구조를 도시한다. 도 3에서, 클라스 1 바이오메트릭 인증서가 속성 인증서에 연관된다. 실시예에서, 확장 식별자는 바이오메트릭 인증서 발급자 및 바이오메트릭 인증서 시리얼 번호, 객체명 리스트(entity name list), 및 객체의 애브스트랙트(abstract of object)를 포함한다.
발급자 및 바이오메트릭 인증서 시리얼 번호는 속성 인증서의 보유자에 의하여 보유된 바이오메트릭 인증서를 식별하는데 사용된다. 바이오메트릭 인증서는 속성 인증서의 발급자에 대한 아이덴터티 인증을 수행하는데 사용된다. 객체명 리스트는 하나 이상의 속성 인증서 보유자의 이름을 식별하는데 사용된다. 객체의 애브스트랙트는, 시리얼 번호, 유효 기간, 서브젝트 및 서브젝트의 고유 식별자, 발급자 및 발급자의 고유 식별자, 바이오메트릭 템플릿, 템플릿 포맷 아이덴터티 및 확장 정보 등의 파라미터들에 기초한 계산을 통하여 얻어진 애브스트랙트 정보이다.
도 3에 도시된 확장 정보는 발급자, 바이오메트릭 인증서 시리얼 번호, 객체명 리스트, 및 객체의 애브스트랙트를 포함한다. 실제 응용에 있어서, 확장 식별자는 상기 3 파라미터들 중의 어떤 하나 또는 어떤 조합을 포함할 수 있다.
확장 식별자가 단지 객체명 리스트를 포함하는 경우, 객체명 리스트에 기록된 바이오메트릭 인증서의 어떤 하나도 속성 인증서 보유자의 아이덴터티를 인증하는데 사용될 수 있다. 즉, 객체명 리스트에 기록된 모든 바이오메트릭 인증서는 속성 인증서와 연관된다.
확장 식별자가 바이오메트릭 인증서 발급자, 바이오메트릭 인증서 시리얼 번호, 및 객체명 리스트를 포함하는 경우, 바이오메트릭 인증서 발급자 및 바이오메트릭 인증서 시리얼 번호는 상기 속성 인증서 및 상기 바이오메트릭 인증서가 연관되었는지 여부를 결정하는데 사용된다.
확장 식별자가 객체명 리스트 및 객체의 애브스트랙트를 포함하는 경우, 객체의 애브스트랙트는 속성 인증서 및 바이오메트릭 인증서가 연관되었는지 여부를 결정하는데 사용된다.
클라스 2 바이오메트릭 인증서의 확장 식별자는 요구 또는 도 3의 참조에 따라 설정될 수 있다. 예를 들어, 확장 식별자는 바이오메트릭 인증서 시리얼 번호를 포함할 수 있다. 클라스 2 바이오메트릭 인증서의 확장 식별자의 포맷은 여기서 상세히 설명하지 않는다.
도 4는 본 발명의 실시예에 따른 정보 보안에 관한 인증을 구현하는 과정의 흐름도이다.
단계(401)에서 클라이언트 터미널(client terminal)은, 확장 식별자를 가진 속성 인증서 및 바이오메트릭 인증서를 전달하는 접근 요구(access request)을 서비스 제공 장치(service providing unit)에 송신한다.
일반적으로, 클라이언트 터미널은 자원 데이터베이스로부터 정보를 얻기 위한 접근 요구을 시작(initiate)한다.
바이오메트릭 인증서는 클라스 1 바이오메트릭 인증서 또는 클라스 2 바이오 메트릭 인증서를 포함할 수 있고, 확장 식별자는 아이덴터티 인증에 사용될 수 있는 바이오메트릭 인증서를 지시한다.
단계(402)에서, 수신된 접근 요구에 기초하여, 서비스 제공 장치는 바이오메트릭 인증서가 속성 인증서에 있는 확장 식별자와 일치하는지 여부를 확인한다. 만약 바이오메트릭 인증서가 확장 식별자와 일치하지 않으면, 서비스 제공 장치는 클라이언트 터미널에게 거부 답신을 리턴하고, 처리를 종료한다. 만약 바이오메트릭 인증서가 확장 식별자와 일치하면, 서비스 제공 장치는 단계(403)을 수행한다.
실제 응용에 있어서, 바이오메트릭 인증서는 상기 접근 요구과 다른 접근(예를 들어, 전용 데이터베이스)으로부터 얻어질 수 있다.
단계(403)에서 서비스 제공 장치는 클라이언트 터미널에게 성공 답신을 리턴한다.
단계(404)에서, 성공 답신을 수신하면, 클라이언트 터미널은 서비스 제공 장치에게 사용자의 의하여 입력된 바이오메트릭 특성 데이터를 송신한다.
단계(405)에서, 서비스 제공 장치는, 바이오메트릭 특성 데이터 및 바이오메트릭 인증서를 전달하는 아이덴터티 인증 요구를 아이덴터티 인증 장치에게 송신한다.
단계(406)에서, 아이덴터티 인증 장치는 바이오메트릭 인증서로부터 바이오메트릭 특성 템플릿을 추출하고, 상기 바이오메트릭 특성 템플릿을 사용자에 의하여 입력된 바이오메트릭 특성 데이터와 비교함으로써, 클라이언트 터미널 상에서 아이덴터티 인증을 수행한다.
더욱이, 하나 이상의 바이오메트릭 식별 파라미터에 의한 요구에 따라 속성 인증서 내의 서로 다른 권한으로 서로 다른 엄격성 정도(strictness degree)를 가지는 바이오메트릭 인증이 수행될 수 있다.
바이오메트릭 식별 파라미터는 바이오메트릭 유형(biometric type), 인식 알고리즘(recognition algorithm), 오류 매치율(FMR: false match rate), 재시도 회수(retrial number) 또는 바이오메트릭 데이터 콸러티(biometric data quality) 등을 포함할 수 있다. 바이오메트릭 인증 파라미터는 아이덴터티 인증 장치 또는 서비스 제공 장치에 의하여 설정될 수 있고, 또는 바이오메트릭 인증서에 포함되어 전달될 수 있다. 하나 이상의 바이오메트릭 식별 파라미터가 단지 FMR만 포함하고 FMR이 80%라고 제공하는 경우, 아이덴터티 인증 장치는 사용자에 의하여 입력된 바이오메트릭 특성 데이터와 바이오메트릭 특성 템플릿을 비교하고, 비교의 결과가 FMR에 의하여 허용된 범위 내인지 여부를 판단한다. 예를 들어, 바이오메트릭 특성 템플릿과 사용자에 의하여 입력된 바이오메트릭 특성 데이터 간의 유사도가 90%에 달하고, 상기 FMR보다 크면, 아이덴터티 식별 장치는 사용자가 합법적(legal)이라고 결정한다.
단계(407)에서 아이덴터티 식별 장치는 아이덴터티 식별의 결과를 서비스 제공 장치에게 송신한다. 만약 사용자가 아이덴터티 식별을 통과하지 못하면, 서비스 제공 장치는 사용자의 클라이언트 터미널에게 아이덴터티 식별이 실패하였고 처리를 종료한다고 알린다. 만약 사용자가 아이덴터티 식별을 통과하면, 단계(408)가 수행된다.
단계(408)에서 서비스 제공 장치는 속성 인증서를 전달하는 권한 인증 요구를 권한 인증 장치에게 송신한다.
단계(409)에서 권한 인증 장치는 속성 인증서에 정의된 권한에 따라 클라이언트 터미널의 권한을 인증한다. 즉, 권한 인증 장치는, 클라이언트 터미널이 요구된 정보를 얻을 권리를 가지고 있는지 여부를 판단한다.
본 과정은 종래기술의 권한 인증과 동일하므로, 여기서는 설명하지 않는다.
단계(410-411)에서, 권한 인증 장치는 권한 인증의 결과를 서비스 제공 장치에게 송신하고, 서비스 제공 장치는 클라이언트 터미널에게 상기 접근 요구에 대한 인증이 통과되었는지 여부를 알려 준다.
단계(402)에서, 바이오메트릭 인증서가 속성 인증서에 포함된 확장 식별자가 일치하는지 여부를 결정하는 과정 중에, 서로 다른 유형의 바이오메트릭 인증서(예를 들어, 클라스 1 바이오메트릭 인증서 및 클라스 2 바이오메트릭 인증서)를 처리하기 위하여 서로 다른 방법이 채택될 수 있다.
바이오메트릭 인증서가 클라스 1 바이오메트릭 인증서인 경우, 검증 과정(verification process)은 확장 식별자의 서로 다른 조합에 따라 서로 다른 경우로 나누어질 수 있다.
확장 식별자가 바이오메트릭 인증서 발급자 및 바이오메트릭 인증서 시리얼 번호를 포함하는 경우, 상기 검증은, 서비스 제공 장치에 의하여, 바이오메트릭 인증서에 기록된 시리얼 번호 및 발급자가 확장 식별자 내의 바이오메트릭 인증서의 시리얼 번호 및 발급자와 일치하는지 여부를 결정하는 단계; 만약 바이오메트릭 인 증서에 기록된 시리얼 번호 및 발급자가 확장 식별자 내의 바이오메트릭 인증서의 시리얼 번호 및 발급자와 일치하는 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치한다고 결정하는 단계; 그렇지 않은 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하지 않는다고 결정하는 단계를 포함한다.
만약 상기 확장 식별자가 적어도 하나의 서브젝트 및 상기 서브젝트의 고유 식별자를 포함하는 객체명 리스트를 포함하는 경우, 상기 검증은, 상기 바이오메트릭 인증서 내의 상기 서브젝트 및 상기 서브젝트의 고유 식별자가 상기 객체명 리스트에 포함되는지 여부를 결정하는 단계; 만약 상기 바이오메트릭 인증서 내의 상기 서브젝트 및 상기 서브젝트의 고유 식별자가 상기 객체명 리스트에 포함된 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치한다고 결정하는 단계; 및 그렇지 않은 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하지 않는다고 결정하는 단계를 포함한다.
상기 확장 식별자가 객체의 애브스트랙트를 포함하는 경우, 상기 검증은, 상기 바이오메트릭 인증서의 시리얼 번호에 기초하여 바이오메트릭 인증서에 기록된 유효 기간, 서브젝트 및 서브젝트의 고유 식별자를 계산하여 애브스트랙트를 얻는 단계; 계산을 통하여 얻어진 상기 애브스트랙트가 상기 확장 식별자 내의 객체의 애브스트랙트와 일치하는지 판단하는 단계; 만약 계산을 통하여 얻어진 상기 애브스트랙트가 상기 확장 식별자 내의 객체의 애브스트랙트와 일치하는 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치한다고 결정하는 단계; 및 그렇지 않은 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하지 않는다고 결정 하는 단계를 포함한다.
상기 확장 식별자가 바이오메트릭 인증서의 발급자, 시리얼 번호 및 객체명 리스트를 포함하는 경우, 상기 바이오메트릭 인증서의 발급자 및 시리얼 번호가, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하는지 여부를 결정하는데 사용된다.
상기 확장 식별자가 객체명 리스트 및 객체의 애브스트랙트를 포함하는 경우, 상기 객체의 애브스트랙트가, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하는지 여부를 결정하는데 사용된다.
바이오메트릭 인증서가 클라스 2 바이오메트릭 인증서이고 상기 확장 식별자가 상기 바이오메트릭 인증서의 시리얼 번호를 포함하는 경우, 상기 검증은, 서비스 제공 장치에 의하여, 상기 접근 요구 내의 상기 바이오메트릭 인증서가 상기 확장 식별자 내의 상기 바이오메트릭 인증서의 시리얼 번호에 의하여 식별되는 클라스 2 바이오메트릭 인증서인지 여부를 결정하는 단계; 및 만약 상기 바이오메트릭 인증서가 확장 식별자 내의 시리얼 번호에 의하여 식별되는 클라스 2 바이오메트릭 인증서인 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치한다고 결정하는 단계를 포함한다.
본 검증의 또 다른 실시예는, 서비스 제공장치에 의하여, 확장 식별자 내의 바이오메트릭 인증서의 시리얼 번호에 의하여 식별되는 클라스 2 바이오메트릭 인증서를 얻는 단계; 얻어진 클라스 2 바이오메트릭 인증서가 접근 요구 내의 바이오메트릭 인증서와 일치하는지 여부를 검증하는 단계; 얻어진 클라스 2 바이오메트릭 인증서가 접근 요구 내의 바이오메트릭 인증서와 일치하는 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치한다고 결정하는 단계; 및 그렇지 않은 경우, 상기 바이오메트릭 인증서가 상기 확장 식별자와 일치하지 않는다고 결정하는 단계를 포함한다.
이상에서 설명한 과정들을 통하여, 바이오메트릭 인증 및 권한 인증은 심리스하게 결합되고, 정확하고 신뢰성 있는 권한 관리가 성취된다.
도 4를 통해 본 발명의 실시예들에서 속성 인증서의 사용이 더 확장될 수 있고, 하나 이상의 바이오메트릭 식별 파라미터를 유연하게 제공하기 위해 바이오메트릭 알고리즘 인증서가 채택될 수 있다는 것이 설명되었다. 이는 속성 인증서 내의 서로 다른 권한을 가진 속성들이 서로 다른 엄격성 정도를 가지고 바이오메트릭 인증을 통과할 수 있도록 한다. 바이오메트릭 식별 파라미터는 바이오메트릭 유형, 유형 알고리즘(type algorithm), FMR, 재시도 회수, 바이오메트릭 데이터 콸러티 등을 포함한다. 실제 응용에 있어서, 서로 다른 바이오메트릭 식별 파라미터의 그룹이 서로 다른 보안 레벨에 대해 설정될 수 있고, 바이오메트릭 인증의 엄격성 정도는 보안 레벨에 의하여 제어된다.
BAC(biometric algorithm certificate)은 바이오메트릭 인증 기관에 의하여 발급된 모든 유형의 바이오메트릭 식별 파라미터를 기록하는 인증서를 지칭한다. 도 5는 본 발명의 실시예에 따른 BAC의 포맷을 도시한다. BAC는 버전, 시리얼 번호, 유효 기간, 발급자, 보안 레벨 리스트, 확장 정보, 및 발급자의 서명의 필드를 포함한다. 버전, 시리얼 번호, 유효 기간 및 발급자의 정의는 바이오메트릭 인증 서 내의 대응 파라미터의 정의와 유사하므로, 설명하지 않는다.
발급자의 서명은, TBA(Ticket Based Authentication), 유효 기간, 발급자, 발급자의 고유 식별자, 바이오메트릭 유형, 및 바이오메트릭 유형의 고유 식별자, 인식 알고리즘 및 인식 알고리즘의 고유 식별자, 보안 레벨 리스트(security level list), 및 확장 정보 등의 파라미터들 중 적어도 하나에 기반하여 생성된 디지털 서명을 포함한다.
보안 레벨 리스트는 서로 다른 보안 레벨에 대응한 하나 이상의 바이오 메트릭 식별 파라미터를 포함하고, 상기 리스트의 구조를 아래에서 설명한다.
BioSecLevelList ATTRIBUTE :: = {
WITH SYNTAX SecurityLevelBioRefLIST
ID id - at - bioSecLevelList }
SecurityLevelBioRefLIST :: = SEQUENCE {
securityLevelNum INTEGER ,
securityLevelBioRef SecurityLevelBioRef }
SecurityLevelBioRef :: = SEQUENCE {
biometricSecurityLevel BiometricSecurityLevel ,
policy Policy ,
biometricPara BiometricPara }
BiometricSecurityLevel :: = SEQUENCE {
uniqueIdentifierOfBioParaInfo CSTRING ,
securityDegree INTEGER }
BiometricPara :: = SEQUENCE {
biometricNUM INTEGER OPTION ,
biometricType BiometricType -- CBEFF defined type --,
biometricAlgorithm AlgorithmIdentifier ,
requestFMR BioAPIFMR ,
trialNumber INTEGER OPTIONAL ,
requestQuality INTEGER OPTIONAL
...}
biometricType 은 바이오메트릭 유형, 즉 어떤 유형의 바이오메트릭 특성 데이터( 예를 들어, 지문, 홍채, 음성 등)가 바이오메트릭 인증에 사용되는지를 지시한다. biometricAlgorithm 은 바이오메트릭 특성 데이터의 유형을 계산하기 위해 사용되는 인식 알고리즘을 지시한다. requestFMR FMR , 즉 바이오메트릭 인증에 허용되는 오류율( false rate )을 지시한다. trialNumber 는 바이오메트릭 인증이 실패한 후 사용자가 재시도할 수 있는 회수를 지시한다. requestQuality 는 사용자에 의하여 입력된 바이오메트릭 특성 데이터의 콸러티( quality )를 지시한다.
동일한 보안 레벨에서도, 서로 다른 바이오메트릭 유형 및 인식 알고리즘에 의하여 요구되는 파라미터들은 서로 다를 수 있다.
더욱이, 속성 인증서 내에 하나 또는 복수 개의 권한이 할당된 모든 속성에 대해 바이오메트릭 인증의 대응 보안 레벨이 주어진다. 정상적인 경우, 더 좋은 자원 보호를 성취하기 위하여, 높은 권한의 속성은 높은 보안 레벨, 즉 더 엄격한 바이오메트릭 인증에 대응된다.
속성에 할당된 권한 및 보안 레벨 간의 대응 관계는 속성 정의의 직접 수정을 통하여 설정될 수 있다. 예를 들어, X.501| ISO / IEC9594 -2에 정의된 속성은 다음과 같다.
Attribute::= SEQUENCE {
Type ATTRIBUTE.&id({SupportedAttributes}),
Values SET SIZE(0..MAX) OF ATTRIBUTE.&TYPE({SupportedAttributes}{@type}),
ValuesWithContext SET SIZE(1..MAX) OF SEQUENCE {
value ATTRIBUTE.&Type({SupportedAttributes}{@type}),
contextList SET SIZE(1..MAX) OF Context} OPTIONAL}
Type은 속성의 유형 정보를 나타내고, Value는 Type의 대응 값을 나타내고, Context는 다른 응용 능력 관련 정보를 나타낸다. X.501|ISO/IEC9594-2에서 Context는 다음 포맷을 택한다.
Context::= SEQUENCE {
contextType CONTEXT.&id({SupportedContexts}),
contextValues SET SIZE(1..MAX) OF CONTEXT.&Type({Supported Contexts} {@contextType}),
fallback BOOLEAN DEFAULT FALSE}
contextType은 객체 식별자(object identifier)이고, contextValues는 contextType의 대응 값을 나타낸다. fallback은 속성 및 contextType 간의 관계를 나타낸다. 예를 들어, Context는 속성에 대응한 바이오메트릭 인증의 보안 레벨을 지시하는데 사용될 수 있고, Context의 contextType은 바이오메트릭 인증의 보안 레벨을 가리키고, contextValue는 보안 레벨의 값을 나타낸다.
본 발명의 다른 실시예에서, 사용자는 요구된 정보를 얻기 위하여, 권한 관리 하에 있는 자원 데이터베이스에 접근할 수 있다. 이 경우, 바이오메트릭 특성 텝플릿은, 자원 데이터베이스에 대한 접근이 허용된 모든 사용자의 바이오메트릭 특성 데이터에 기초하여 구성되고, 상기 템플릿은 바이오메트릭 인증서에 포함된다. 속성 인증서에서, 권한과 함께 속성의 각각은 대응하는 보안 레벨이 주어진다. 도 6은 본 실시예에서 정보 보안에 대한 인증을 구현하는 과정을 도시한다.
단계(601)에서 클라이언트 터미널은 서비스 제공 장치에게 자원 데이터베이스의 접근을 요구하는 접근 요구을 송신한다. 상기 접근 요구은 확장 식별자를 가진 속성 인증서 및 바이오메트릭 인증서를 운반(carry)한다.
단계(602)에서 서비스 제공 장치는 상기 속성 인증서 및 바이오메트릭 인증서가 연관되었는지 여부를 검증한다. 즉, 바이오메트릭 인증서가 속성 인증서의 확장 식별자와 일치하는지 검증한다. 만약 바이오메트릭 인증서가 속성 인증서의 확장 식별자와 일치하지 않으면, 서비스 제공 장치는 클라이언트 터미널에게 거부(refusal)를 리턴한다. 그렇지 않으면, 서비스 제공 장치는 단계(603)를 수행한다.
단계(603)에서 서비스 제공 장치는 클라이언트 터미널에게 성공 답신(response of success)을 리턴한다.
단계(604)에서 수집 장치(collection unit)는 사용자의 바이오메트릭 특성 데이터를 수집하고, 서비스 제공 장치에게 데이터를 송신한다.
단계(605)에서 서비스 제공 장치는 아이덴터티 인증 장치에게 아이덴터티 인증 요구을 송신한다. 아이덴터티 인증 요구은 보안 정보 리스트(security information list)를 가진 바이오메트릭 알고리즘 인증서 및 바이오메트릭 특성 데이터를 운반한다.
단계(606)에서 아이덴터티 인증 장치는 속성 인증서 내의 속성에 대응하는 보안 레벨에 기초하여 바이오메트릭 알고리즘 인증서 내의 보안 정보 리스트를 검색하고, 바이오메트릭 인증 내에 요구된 바이오메트릭 식별 파라미터를 얻고, 바이오메트릭 식별 파라미터에 기초한 사용자의 아이덴터티를 인증한다. 즉, 아이덴터티 인증 장치는, 바이오메트릭 식별 파라미터의 요구에 따라, 수집된 바이오메트릭 특성 데이터가 바이오메트릭 인증서 내의 바이오메트릭 특성 템플릿과 일치하는지 여부를 판단한다.
단계(607)에서, 아이덴터티 인증 장치는 아이덴터티 인증의 결과를 서비스 제공 장치에게 송신한다. 만약 상기 결과가 아이덴터티 인증이 실패한 것을 나타내면, 서비스 제공 장치는 사용자에게 알리고, 프로세스를 종료한다. 만약 아이덴터티 인증이 성공하였으면, 단계(608)를 수행한다.
단계(608)에서 서비스 제공 장치는, 속성 인증서를 운반하는 권한 인증 요구를 권한 인증 장치에게 송신한다.
단계(609-610)에서, 권한 인증 장치는 속성 인증서에 기초하여 클라이언트 터미널의 권한을 인증하고, 상기 권한 인증의 결과를 서비스 제공 장치에게 송신한다.
단계(611)에서, 서비스 제공 장치는 사용자에게 접근 요구에 대한 인증 결과를 알린다. 만약 사용자가 인증을 통과하였으면, 상기 사용자는 자원 데이터베이스에 대한 접근이 허용되고, 요구한 정보를 얻는다.
도 4 또는 도 6에 도시된 흐름도 내의 하나 이상의 단계는 구체적인 응용들에서 본 발명의 다른 실시예에도 적용될 수 있다. 즉, 프로세스 중의 모든 단계들이 필요한 것은 아니며, 단계들은 요구에 따라 선택될 수 있다.
예를 들어, 한 프로세스는, 보안 레벨 및 바이오메트릭 식별 파라미터 간의 대응 관계를 기록하는 바이오메트릭 알고리즘 인증서(biometric algorithm certificate)를 설정하는 단계; 및 사용자에 의하여, 서로 다른 권한을 가진 속성에 대하여 서로 다른 보안 레벨을 설정하는 속성 인증서를 운반하는 접근 요구을 송신하는 단계, 예를 들어, 속성 인증서를 바이오메트릭 알고리즘 인증서와 연관시키는 단계를 포함한다.
상기 단계는, 추가로, 바이오메트릭 인증서 및 바이오메트릭 특성 데이터에 기초하여 사용자의 아이덴터티를 인증할 때, 속성 인증서 내의 속성의 권한에 따라, 대응 바이오메트릭 식별 파라미터를 얻기 위하여 속성의 보안 레벨을 결정하는 단계; 및 상기 바이오메트릭 식별 파라미터에 의하여 주어진 요구에 따라 상기 바이오메트릭 특성 데이터가 상기 바이오메트릭 인증서와 일치하는지 검증하는 단계를 더 포함할 수 있다.
도 7은 본 발명의 일실시예에 따른 정보 보안에 관한 인증을 구현하는 시스템의 개념도이다. 본 시스템은 클라이언트 터미널, 서비스 제공 장치(service providing unit), 아이덴터티 인증 장치(identity authentication unit), 및 권한 인증 장치(privilege authentication unit)을 포함한다. 도 7은 단순히 예로서 설명되는 것이며, 상기 시스템 내의 터미널 및 장치들의 수는 제한되지 않는다.
클라이언트 터미널은 서비스 제공 장치에게 접근 요구을 시작하고/하거나 서비스 제공 장치로부터 아이덴터티/권한 인증의 결과를 수신하는데 사용된다. 접근 요구은 확장 식별자를 가진 속성 인증서 및 바이오메트릭 인증서를 포함한다. 상기 확장 식별자는 상기 속성 인증서의 기본 확장 정보 내에 설정된다. 바이오메트릭 인증서는 클라스 1 바이오메트릭 인증서 또는 클라스 2 바이오메트릭 인증서를 포함할 수 있고, 본 발명의 실시예들은 바이오메트릭 인증서의 유형에는 아무런 제한을 두지 않는다.
서비스 제공 장치는 상기 접근 요구을 수신, 상기 접근 요구 내의 속성 인증서가 상기 바이오메트릭 인증서와 연관되었는지 여부를 검증, 클라이언트 터미널의 아이덴터티를 인증하는 아이덴터티 인증 장치를 요구, 아이덴터티 인증 장치로부터 아이덴터티 인증의 결과를 수신, 클라이언트 터미널에게 아이덴터티 인증의 결과를 리턴, 및/또는 권한 인증 장치에게 클라이언트 터미널의 권한을 인증하도록 요구, 권한 인증 장치로부터 권한 인증의 결과를 수신, 및 권한 인증의 결과를 클라이언트 터미널에게 리턴한다.
아이덴터티 인증 장치는 바이오메트릭 인증서에 기초한 아이덴터티 인증을 수행하기 위해 사용된다. 권한 인증 장치는 속성 인증서에 기초하여 권한 인증을 수행하는데 사용된다.
서비스 제공 장치, 아이덴터티 인증 장치, 및 권한 인증 장치는, 하나의 물리 객체 또는 서로 다른 물리 객체 상에 설치될 수 있는 로직 객체이다.
도 8은 본 발명의 일실시예에 따라 정보 보안에 관한 인증을 구현하는 시스템의 개념도이다. 상기 시스템은 바이오메트릭 데이터 수집 장치(biometric data collecting unit), 아이덴터티 인증 장치, 권한 인증 장치, 및 서비스 제공 장치를 포함한다.
바이오메트릭 데이터 수집 장치는 사용자의 바이오메트릭 특성 데이터를 수집하는데 사용된다.
아이덴터티 인증 장치는 수집된 바이오메트릭 특성 데이터, 바이오메트릭 인증서, 및 바이오메트릭 식별 파라미터에 기초하여 사용자의 아이덴터티를 인증하 고, 상기 수집된 바이오메트릭 특성 데이터가 바이오메트릭 인증서 내의 바이오메트릭 특성 템플릿과 일치하는지 여부를 검증하는데 사용된다.
권한 인증 장치(privilege authentication unit)는 속성 인증서에 기초하여 사용자의 권한을 인증하고, 사용자가 어떤 서비스에 접근할 권한이 있는지 여부를 검증하는데 사용된다.
서비스 제공 장치는 인증을 통과한 사용자에 대하여 서비스를 제공하는데 사용된다. 예를 들어, 서비스 제공 장치는 권한 관리 하에서 사용자에게 자원 데이터베이스를 접근할 수 있도록 한다.
본 발명의 또 다른 실시예에서, 클라이언트 터미널은 속성 인증서를 운반하는 접근 요구을 송신한다. 여기서, 속성 인증서 내의 서로 다른 권한을 가진 속성들에 대하여 서로 다른 보안 레벨이 설정된다.
서비스 제공 장치는 바이오메트릭 알고리즘 인증서를 획득하는데 사용된다. 여기서, 바이오메트릭 알고리즘 인증서는 클라이언트 터미널에 의하여 입력된 바이오메트릭 특성 데이터, 바이오메트릭 식별 파라미터, 및 보안 레벨 간의 대응 관계를 기록한다. 더욱이, 서비스 제공 장치는, 대응하는 바이오메트릭 식별 파라미터를 얻기 위하여, 속성의 권한에 기초하여 속성 인증서에 기록된 속성의 보안 레벨을 결정하고, 아이덴터티 인증 장치에게 바이오메트릭 인증서에 기초하여 아이덴터티 인증의 수행을 요구하고, 속성 인증서에 기초하여 권한 인증 장치에게 권한 인증을 수행하도록 요구하는데 사용된다.
아이덴터티 인증 장치는, 바이오메트릭 인증서에 기초하여, 바이오메트릭 특 성 데이터 및 바이오메트릭 인증서 간의 매치도가 바이오메트릭 식별 파라미터에 의한 요구를 만족하는지 여부를 판단함으로써, 바이오메트릭 특성 데이터를 입력한 클라이언트 터미널에 대한 아이덴터티 인증을 수행하는데 사용된다.
이상의 설명은 본 발명의 실시예이며, 본 발명의 보호 범위를 제한하는데 사용되어서는 안 된다.
전술한 기술적 구성으로부터, 정보 보안에 관한 인증을 구현하는 방법 및 시스템은, 속성 인증서(attribute certificate)가 권한 인증(privilege authentication)에 사용되기 전에, 상기 속성 인증서와 바이오메트릭 인증서(biometric certificate)가 함께 먼저 결정되고 아이덴터티 인증을 위해 사용된다. 사용자가 상기 아이덴터티 인증을 통과한 후, 속성 인증서는 권한 인증에 사용될 수 있고, 따라서 바이오메트릭 인증서에 기초하여 수행되는 권한 인증 및 아이덴터티 인증은 심리스하게(seamlessly) 결합된다. 다시 말하면, 권한 인증 및 아이덴터티 인증 간의 대응 관계가 설정되고, 따라서 권한 인증이 정확하고 신뢰성 있게 수행될 수 있다. 더욱이, 본 발명은 종래기술과 잘 호환되고, 본 발명에서 제공되는 정보 보안에 관한 인증은 간단하고 쉽게 수행할 수 있다.

Claims (14)

  1. 정보 보안에 관한 인증 방법에 있어서,
    사용자로부터 속성 인증서(attribute certificate)를 전달하는 접근 요구을 수신하는 단계 - 상기 속성 인증서는 상기 속성 인증서와 연관된 바이오메트릭 인증서(biometric certificate)를 지시하는 확장 식별자(extension identifier)를 포함함 -;
    상기 바이오메트릭 인증서를 획득하고, 상기 확장 식별자에 따라, 상기 획득된 바이오메트릭 인증서가 상기 접근 요구 내에 전달된 상기 속성 인증서와 연관되었는지 여부를 판단하는 단계;
    상기 바이오메트릭 인증서가 상기 속성 인증서와 연관된 경우, 상기 사용자의 바이오메트릭 특성 데이터(biometric feature data)를 획득하고, 상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증(identity authentication)을 수행하는 단계;
    상기 속성 인증서에 기초하여 권한 인증(privilege authentication)을 수행하는 단계; 및
    상기 아이덴터티 인증 및 상기 권한 인증의 결과에 기초하여 사용자 접근을 제어하는 단계
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  2. 제1항에 있어서,
    상기 확장 식별자는 바이오메트릭 인증서 발급자(biometric certificate issuer) 및 바이오메트릭 인증서 시리얼 번호(biometric certificate serial number)를 포함하고,
    상기 획득된 바이오메트릭 인증서가 상기 속성 인증서와 연관되었는지 여부를 판단하는 상기 단계는,
    상기 바이오메트릭 인증서에 기록된 바이오메트릭 인증서 시리얼 번호 및 바이오메트릭 인증서 발급자가 상기 확장 식별자에 기록된 상기 바이오메트릭 인증서 시리얼 번호 및 상기 바이오메트릭 인증서 발급자와 일치하는지 여부를 판단하는 단계; 및
    만약 일치하는 경우, 상기 바이오메트릭 인증서 및 상기 속성 인증서가 연관된 것으로 판단하는 단계
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  3. 제1항에 있어서,
    상기 확장 식별자는 적어도 하나의 서브젝트(subject) 및 상기 서브젝트의 고유 식별자를 포함하는 객체명 리스트(entity name list)를 포함하고,
    상기 획득된 바이오메트릭 인증서가 상기 속성 인증서와 연관되었는지 여부를 판단하는 상기 단계는,
    상기 바이오메트릭 인증서에 기록된 서브젝트의 고유 식별자 및 상기 서브젝 트가 상기 확장 식별자의 상기 객체명 리스트에 포함되었는지 여부를 판단하는 단계; 및
    만약 상기 서브젝트의 상기 고유 식별자 및 상기 서브젝트가 상기 객체명 리스트에 포함되어 있는 경우, 상기 바이오메트릭 인증서 및 상기 속성 인증서가 연관된 것으로 판단하는 단계
    을 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  4. 제1항에 있어서,
    상기 확장 식별자는 객체 애브스트랙트(abstract of object)를 포함하고,
    상기 획득된 바이오메트릭 인증서가 상기 속성 인증서와 연관되었는지 여부를 판단하는 상기 단계는,
    바이오메트릭 인증서 시리얼 번호에 기초하여, 상기 바이오메트릭 인증서에 기록된 확장 정보(extension information), 유효 기간(period of validity), 서브젝트, 및 상기 서브젝트의 고유 식별자, 발급자, 상기 발급자의 고유 식별자, 바이오메트릭 특성 템플릿(biometric feature template), 및 템플릿 포맷 아이덴터티(template format identity)를 계산하여 애브스트랙트(abstract)를 얻는 단계;
    계산을 통하여 얻어진 상기 애브스트랙트가 상기 확장 식별자에 포함된 상기 객체 애브스트랙트와 일치하는지 여부를 판단하는 단계; 및
    만약 계산을 통하여 얻어진 상기 애브스트랙트가 상기 확장 식별자에 포함된 상기 객체 애브스트랙트와 일치하는 경우, 상기 바이오메트릭 인증서 및 상기 속성 인증서가 연관된 것으로 판단하는 단계
    을 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  5. 제1항에 있어서, 상기 확장 식별자는,
    바이오메트릭 인증서 발급자 및 바이오메트릭 인증서 시리얼 번호 중 적어도 하나, 객체명 리스트, 및 객체 애브스트랙트
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  6. 제5항에 있어서, 상기 객체 애브스트랙트는,
    시리얼 번호, 유효 기간(period of validity), 서브젝트, 및 상기 서브젝트의 고유 식별자, 발급자, 상기 발급자의 고유 식별자, 템플릿 포맷 아이덴터티(template format identity), 바이오메트릭 특성 템플릿(biometric feature template), 및 상기 바이오메트릭 인증서의 확장 정보(extension information) 중 적어도 하나에 기초한 계산을 통하여 얻어지는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  7. 제1항 내지 제6항에 있어서, 상기 확장 식별자는 상기 속성 인증서의 기본 확장 정보(basic extension information)에 포함되는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  8. 제1항에 있어서,
    속성에 대한 보안 레벨(security levels)을 상기 속성 인증서 내에 서로 다른 권한(privileges)으로 설정하는 단계; 및
    보안 레벨 및 하나 이상의 바이오메트릭 식별 파라미터(biometric identification parameter) 사이의 관계를 기록하는 바이오메트릭 알고리즘 인증서를 획득하는 단계
    를 포함하고,
    상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증(identity authentication)을 수행하는 상기 단계는,
    상기 속성 인증서 내의 속성의 상기 권한에 기초하여, 상기 속성의 상기 보안 레벨을 결정하는 단계;
    상기 보안 레벨에 대응하는 하나 이상의 바이오메트릭 식별 파라미터를 획득하는 단계;
    상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서 간의 매치도(match degree)가 상기 하나 이상의 바이오메트릭 식별 파라미터에 의한 요구를 만족하는지 여부를 판단하는 단계;
    만약 상기 매치도가 상기 요구를 만족하는 경우, 상기 사용자가 상기 아이덴터티 인증을 통과했다고 결정하는 단계; 및
    만약 상기 매치도가 상기 요구를 만족하지 못한 경우, 상기 사용자가 상기 아이덴터티 인증을 실패했다고 결정하는 단계
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  9. 제8항에 있어서, 상기 하나 이상의 바이오메트릭 식별 파라미터는, 바이오메트릭 유형(biometric type), 인식 알고리즘(recognition algorithm), 오류 매치율(false match rate), 재시도 회수(retrial number) 또는 바이오메트릭 데이터 콸러티(biometric data quality)를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증 방법.
  10. 정보 보안에 관한 인증을 구현하는 방법에 있어서,
    사용자로부터 속성 인증서(attribute certificate)를 전달하는 접근 요구을 수신하는 단계 - 상기 속성 인증서에는 서로 다른 권한으로 속성에 대해 서로 다른 보안 레벨이 설정되어 있음 -;
    보안 레벨 및 하나 이상의 바이오메트릭 식별 파라미터 간의 대응 관계를 기록하는 바이오메트릭 알고리즘 인증서(biometric algorithm certificate)를 획득하는 단계;
    상기 속성 인증서 내의 속성의 상기 권한에 기초하여, 상기 속성의 상기 보안 레벨을 결정하고, 상기 보안 레벨에 대응한 상기 하나 이상의 바이오메트릭 식별 파라미터를 획득하는 단계;
    아이덴터티 인증을 수행하기 위하여 상기 사용자의 바이오메트릭 특성 데이터 및 바이오메트릭 인증서를 획득하고, 상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서 간의 매치도가 상기 하나 이상의 바이오메트릭 식별 파라미터에 의한 요구를 만족하는지 여부를 결정하는 단계;
    상기 속성 인증서에 기초하여 권한 인증(privilege authentication)을 수행하는 단계; 및
    상기 권한 인증 및 상기 아이덴터티 인증의 결과에 기초하여 사용자 접근을 제어하는 단계
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증을 구현하는 방법
  11. 제10항에 있어서, 상기 하나 이상의 바이오메트릭 식별 파라미터는, 바이오메트릭 유형(biometric type), 인식 알고리즘(recognition algorithm), 오류 매치율(false match rate), 재시도 회수(retrial number) 또는 바이오메트릭 데이터 콸러티(biometric data quality)를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증을 구현하는 방법.
  12. 정보 보안에 관한 인증을 구현하는 시스템에 있어서,
    확장 식별자를 가진 속성 인증서를 서비스 제공 장치에 전달하는 접근 요구을 시작하고 상기 서비스 제공 장치로부터 인증 결과를 수신하는 클라이언트 터미널;
    바이오메트릭 인증서를 획득하고, 상기 획득된 바이오메트릭 인증서가 상기 접근 요구 내에 전달되는 상기 속성 인증서와 연관되었는지 여부를 결정하고, 아이 덴터티 인증 장치(identity authentication unit)에게 상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증을 수행하도록 요구하거나 권한 인증 장치(privilege authentication unit)에게 상기 속성 인증서에 기초하여 권한 인증을 수행하도록 요구하는 상기 서비스 제공 장치;
    상기 바이오메트릭 인증서에 기초하여 아이덴터티 인증을 수행하는 상기 아이덴터티 인증 장치; 및
    상기 속성 인증서에 기초하여 권한 인증을 수행하는 상기 권한 인증 장치
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증을 구현하는 시스템.
  13. 제12항에 있어서,
    상기 사용자의 바이오메트릭 특성 데이터를 수집하고, 상기 바이오메트릭 특성 데이터를 상기 서비스 제공 장치에게 송신하는 바이오메트릭 수집 장치
    를 더 포함하는 것을 특징으로 하는 정보 보안에 관한 인증을 구현하는 시스템.
  14. 정보 보안에 관한 인증을 구현하는 시스템에 있어서,
    서비스 제공 장치에게 접근 요구을 송신하고, 상기 서비스 제공 장치로부터 인증 결과를 수신하는 클라이언트 터미널 - 상기 접근 요구은 서로 다른 권한으로 속성에 대한 서로 다른 보안 레벨을 설정하는 속성 인증서를 전달함 -;
    보안 레벨 및 하나 이상의 바이오메트릭 식별 파라미터 간의 대응 관계를 기 록하는 바이오메트릭 알고리즘 인증서 및 상기 클라이언트에 의하여 입력된 바이오메트릭 특성 데이터를 획득하고, 아이덴터티 인증 장치에게 상기 바이오메트릭 인증서에 기초한 아이덴터티 인증을 수행하도록 요구하고, 권한 인증 장치에게 상기 속성 인증서에 기초한 권한 인증을 수행하도록 요구하고, 상기 속성 인증서 내의 속성의 상기 권한에 기초하여 상기 속성의 상기 보안 레벨을 결정하고, 상기 보안 레벨에 대응하는 하나 이상의 바이오메트릭 식별 파라미터를 획득하는 상기 서비스 제공 장치; 및
    상기 바이오메트릭 특성 데이터를 입력하는 상기 클라이언트 터미널에 대한 상기 바이오메트릭 인증서에 따라 아이덴터티 인증을 수행하고, 상기 바이오메트릭 특성 데이터 및 상기 바이오메트릭 인증서 간의 매치도가 상기 하나 이상의 바이오메트릭 식별 파라미터에 의한 요구를 만족하는지 여부를 결정하는 상기 아이덴터티 인증 장치
    를 포함하는 것을 특징으로 하는 정보 보안에 관한 인증을 구현하는 시스템.
KR1020077014433A 2006-04-07 2007-03-06 정보 보안에 관한 인증을 구현하는 방법 및 시스템 KR100911983B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
CN200610074283.X 2006-04-07
CN2006100742825A CN101051895B (zh) 2006-04-07 2006-04-07 一种集成生物认证和属性证书的认证方法及系统
CN200610074282.5 2006-04-07
CN200610074283XA CN101051896B (zh) 2006-04-07 2006-04-07 一种认证方法和系统

Publications (2)

Publication Number Publication Date
KR20070121634A true KR20070121634A (ko) 2007-12-27
KR100911983B1 KR100911983B1 (ko) 2009-08-13

Family

ID=38580694

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020077014433A KR100911983B1 (ko) 2006-04-07 2007-03-06 정보 보안에 관한 인증을 구현하는 방법 및 시스템

Country Status (5)

Country Link
US (1) US20080065895A1 (ko)
EP (2) EP2214342B1 (ko)
JP (1) JP2008526173A (ko)
KR (1) KR100911983B1 (ko)
WO (1) WO2007115468A1 (ko)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8869252B2 (en) * 2008-05-19 2014-10-21 Nokia Corporation Methods, apparatuses, and computer program products for bootstrapping device and user authentication
US9298902B2 (en) * 2009-02-12 2016-03-29 International Business Machines Corporation System, method and program product for recording creation of a cancelable biometric reference template in a biometric event journal record
US8359475B2 (en) * 2009-02-12 2013-01-22 International Business Machines Corporation System, method and program product for generating a cancelable biometric reference template on demand
US8289135B2 (en) * 2009-02-12 2012-10-16 International Business Machines Corporation System, method and program product for associating a biometric reference template with a radio frequency identification tag
US8301902B2 (en) * 2009-02-12 2012-10-30 International Business Machines Corporation System, method and program product for communicating a privacy policy associated with a biometric reference template
US8327134B2 (en) * 2009-02-12 2012-12-04 International Business Machines Corporation System, method and program product for checking revocation status of a biometric reference template
US8844024B1 (en) * 2009-03-23 2014-09-23 Symantec Corporation Systems and methods for using tiered signing certificates to manage the behavior of executables
JP5429282B2 (ja) * 2009-03-24 2014-02-26 日本電気株式会社 情報共有装置、情報共有方法、プログラム及び情報共有システム
US8707031B2 (en) * 2009-04-07 2014-04-22 Secureauth Corporation Identity-based certificate management
US9832019B2 (en) * 2009-11-17 2017-11-28 Unho Choi Authentication in ubiquitous environment
US9159187B2 (en) * 2010-11-23 2015-10-13 Concierge Holdings, Inc. System and method for verifying user identity in a virtual environment
CN102571340A (zh) * 2010-12-23 2012-07-11 普天信息技术研究院有限公司 证书认证装置及该装置的访问和证书更新方法
WO2014049749A1 (ja) * 2012-09-26 2014-04-03 株式会社 東芝 生体参照情報登録システム、装置及びプログラム
US10282802B2 (en) * 2013-08-27 2019-05-07 Morphotrust Usa, Llc Digital identification document
KR101523703B1 (ko) * 2013-09-02 2015-05-28 서울신용평가정보 주식회사 본인 확인 등급에 따른 사용자 인증 처리 방법
CN104184724B (zh) * 2014-07-29 2018-01-05 江苏大学 车联网中基于位置隐私的环签名方法
US10114939B1 (en) * 2014-09-22 2018-10-30 Symantec Corporation Systems and methods for secure communications between devices
US9882914B1 (en) * 2015-02-25 2018-01-30 Workday, Inc. Security group authentication
CN106161350B (zh) * 2015-03-31 2020-03-10 华为技术有限公司 一种管理应用标识的方法及装置
EP3316512B1 (en) 2015-09-28 2020-12-02 Guangdong Oppo Mobile Telecommunications Corp., Ltd. User identity authentication method and device
US10484373B2 (en) 2017-04-11 2019-11-19 Mastercard International Incorporated Systems and methods for biometric authentication of certificate signing request processing
US11354660B1 (en) * 2017-04-27 2022-06-07 Wells Fargo Bank, N.A. Encapsulation of payment information
EP3979182A4 (en) * 2019-05-30 2022-06-22 NEC Corporation INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND RECORDING MEDIUM
CN111523147B (zh) * 2020-07-03 2020-11-24 支付宝(杭州)信息技术有限公司 一种基于区块链的核身方法及相关硬件
WO2022074450A1 (en) * 2020-10-09 2022-04-14 Unho Choi Chain of authentication using public key infrastructure

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1139894C (zh) * 1997-05-09 2004-02-25 Gte服务公司 认证电子交易的生物特征认证系统和方法
US6202151B1 (en) * 1997-05-09 2001-03-13 Gte Service Corporation System and method for authenticating electronic transactions using biometric certificates
WO2003007538A1 (en) * 2001-07-12 2003-01-23 Icontrol Transactions, Inc. Operating model for mobile wireless network based transaction authentication and non-repudiation
WO2003007125A2 (en) * 2001-07-12 2003-01-23 Icontrol Transactions, Inc. Secure network and networked devices using biometrics
US20030140233A1 (en) * 2002-01-22 2003-07-24 Vipin Samar Method and apparatus for facilitating low-cost and scalable digital identification authentication
US8086867B2 (en) 2002-03-26 2011-12-27 Northrop Grumman Systems Corporation Secure identity and privilege system
JP4131180B2 (ja) * 2003-03-12 2008-08-13 オムロン株式会社 顔認証装置
US7805614B2 (en) 2004-04-26 2010-09-28 Northrop Grumman Corporation Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
CN1655505A (zh) * 2005-04-01 2005-08-17 中国工商银行 一种银行柜员安全系统及方法

Also Published As

Publication number Publication date
JP2008526173A (ja) 2008-07-17
KR100911983B1 (ko) 2009-08-13
EP2009839A1 (en) 2008-12-31
EP2214342A2 (en) 2010-08-04
US20080065895A1 (en) 2008-03-13
EP2214342A3 (en) 2011-03-09
EP2214342B1 (en) 2014-06-18
EP2009839A4 (en) 2010-03-10
WO2007115468A1 (fr) 2007-10-18

Similar Documents

Publication Publication Date Title
KR100911983B1 (ko) 정보 보안에 관한 인증을 구현하는 방법 및 시스템
CN108777684B (zh) 身份认证方法、系统及计算机可读存储介质
US11669605B1 (en) Dynamic enrollment using biometric tokenization
CN112507391B (zh) 基于区块链的电子签章方法、系统、装置及可读存储介质
EP2053777B1 (en) A certification method, system, and device
CN111414599A (zh) 身份验证方法、装置、终端、服务端以及可读存储介质
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US8539249B2 (en) System and method for security authentication using biometric authentication technique
US20040010697A1 (en) Biometric authentication system and method
US20090235086A1 (en) Server-side biometric authentication
US8631486B1 (en) Adaptive identity classification
CN101317362B (zh) 一种信息安全认证方法和系统
EP2262165B1 (en) User generated content registering method, apparatus and system
KR20190031986A (ko) 모바일 생체인식 인증 수행 장치 및 인증 요청 장치
JP2001216270A (ja) 認証局、認証システム及び認証方法
US10541813B2 (en) Incorporating multiple authentication systems and protocols in conjunction
US20210136064A1 (en) Secure use of authoritative data within biometry based digital identity authentication and verification
CN114036482A (zh) 基于区块链的数据管理方法、电子设备、存储介质
KR101640440B1 (ko) 전자 서명자 본인 확인을 이용한 전자 서명 문서 관리 방법
US20180332028A1 (en) Method For Detecting Unauthorized Copies Of Digital Security Tokens
KR102199985B1 (ko) Fido 기반 사용자 인증 시스템 및 방법
JP2005354490A (ja) 携帯情報端末利用者本人の存在証明方法及びシステム並びにそれに用いる装置
Hermans et al. epassport Protocols And Certificate Architecture J
JP2024105142A (ja) 情報処理プログラム、情報処理装置及び証明書発行システム
WO2023027756A1 (en) Secure ledger registration

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
J501 Disposition of invalidation of trial
E902 Notification of reason for refusal
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120724

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130722

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140722

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150716

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160720

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170720

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180719

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190718

Year of fee payment: 11