KR20150098002A - 전자장치에서 생체 정보를 이용한 인증 방법 및 장치 - Google Patents
전자장치에서 생체 정보를 이용한 인증 방법 및 장치 Download PDFInfo
- Publication number
- KR20150098002A KR20150098002A KR1020140018998A KR20140018998A KR20150098002A KR 20150098002 A KR20150098002 A KR 20150098002A KR 1020140018998 A KR1020140018998 A KR 1020140018998A KR 20140018998 A KR20140018998 A KR 20140018998A KR 20150098002 A KR20150098002 A KR 20150098002A
- Authority
- KR
- South Korea
- Prior art keywords
- biometric information
- information
- biometric
- electronic device
- authentication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Abstract
본 개시의 다양한 실시 예는 전자장치에서 인증 방법 및 장치에 관한 것으로, 특히 전자장치에서 생체 정보를 이용한 인증 방법 및 장치에 관한 것이다.
본 발명의 일 실시예에 따른 방법은, 서버와 통신이 가능한 전자장치에서 생체 정보를 이용한 인증 방법으로, 상기 서버로부터 보안 인증 요청이 존재할 시 기 상기 전자장치의 보안 영역에서 암호화되어 저장된 생체 정보를 읽어와 복호하는 단계; 상기 보안 영역에서 사용자의 생체 정보를 입력받아 복호된 생체 정보와 매칭 여부를 판별하는 단계; 및 상기 판별된 결과 정보를 포함하는 메시지로 구성하여 상기 서버로 보고하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에 따른 방법은, 서버와 통신이 가능한 전자장치에서 생체 정보를 이용한 인증 방법으로, 상기 서버로부터 보안 인증 요청이 존재할 시 기 상기 전자장치의 보안 영역에서 암호화되어 저장된 생체 정보를 읽어와 복호하는 단계; 상기 보안 영역에서 사용자의 생체 정보를 입력받아 복호된 생체 정보와 매칭 여부를 판별하는 단계; 및 상기 판별된 결과 정보를 포함하는 메시지로 구성하여 상기 서버로 보고하는 단계;를 포함할 수 있다.
Description
본 개시의 다양한 실시 예는 전자장치에서 인증 방법 및 장치에 관한 것으로, 특히 전자장치에서 생체 정보를 이용한 인증 방법 및 장치에 관한 것이다.
문명이 발달하면서 중요한 문서 또는 데이터를 관리하기 위해 다양한 보안 방법들이 제시되어 사용되어 왔다. 특히 전자기술이 발전하면서 많은 양의 데이터를 작은 크기의 장치에 저장할 수 있게 되면서 보안 기술이 더욱 요구되고 있다. 이처럼 보안 기술에 대한 중요도가 높아지면서 다양한 방법의 보안 처리 방법들이 등장하고 있다. 예컨대, 사용자의 식별과 인증을 위해 보안 카드를 이용하는 방식, 사용자가 주기적으로 변경하는 비밀번호를 사용하는 방식, 개인별로 서로 다른 정보를 가지고 있는 생체 정보를 이용하는 방식 등 다양한 형태로 발전하고 있다.
보안을 요구하는 곳마다 서로 다른 형태의 보안 기술이 적용되고 있으며, 최근 개인별로 서로 다른 정보를 가진 생체 정보를 이용하여 사용자의 식별 및 인증을 요구하는 곳이 증가하고 있다. 가령, 각 회사별로 보안 등급을 결정하고, 특정한 장소에 출입하려고 하는 자에게는 보다 강화된 형태의 보안을 요구한다. 예컨대, 지문, 얼굴, 홍채, 음성, 손금, 정맥 등의 사람별로 서로 다른 특징을 생채 정보로 사용하고 있다.
한편, 최근 전자기술의 발전하면서 개인용으로 사용하는 전자장치에서도 정보의 유출 등을 방지하기 위해 강화된 보안 형식을 갖추고 있다. 예컨대, 스마트 폰이나 노트북 컴퓨터 등의 다양한 전자장치에서도 개인의 중요 정보를 관리하기 위한 방법으로 생체 정보를 이용하는 경향이 증가하고 있다.
이처럼 생체 정보를 이용하는 경우 보안을 강화할 수는 있지만, 만일 생체 정보가 유출되거나 하는 경우 그 피해는 매우 막대하다고 할 수 있다. 왜냐하면, 생체 정보의 경우 한번 유출되면, 이후 개인별 생체 정보의 변경 등이 불가능하기 때문이다. 가령, 지문이 유출된 경우 유출된 개인의 지문을 변경한다는 것은 불가능하기 때문이다. 특히 무선 통신이 가능한 전자장치에서 외부의 다른 장치 예컨대, 다른 단말 또는 서버와 생체 정보를 이용하여 보안 절차를 해결하는 경우 자칫 생체 정보의 유출이 발생할 수 있다. 이러한 경우 사용자들에게 되돌릴 수 없는 피해를 끼칠 수 있는 우려가 있다.
본 개시의 다양한 실시 예들은 전자장치에서 생체 정보를 이용한 인증 절차를 갖는 경우 보다 안전하게 인증을 수행할 수 있는 방법 및 장치를 제공한다.
또한 본 개시의 다양한 실시 예들은 전자장치에서 생체 정보를 이용한 인증 절차를 갖는 경우 생체 정보의 유출을 방지할 수 있는 방법 및 장치를 제공한다.
본 개시의 다양한 실시 예들에 따른 방법은, 서버와 통신이 가능한 전자장치에서 생체 정보를 이용한 인증 방법으로, 상기 서버로부터 보안 인증 요청이 존재할 시 상기 보안 영역에서 사용자의 생체 정보를 입력받아 기 저장된 생체 정보와 매칭 여부를 판별하는 단계; 및 상기 판별된 결과 정보를 포함하는 메시지로 구성하여 상기 서버로 보고하는 단계;를 포함할 수 있다.
본 개시의 다양한 실시 예들에 따른 전자 장치는, 서버와 통신이 가능한 전자장치에서 생체 정보를 이용하여 인증을 수행하기 위한 장치로, 생체 정보를 수신하기 위한 생체 센서; 암호화된 생체 정보를 저장하기 위한 메모리; 보안 영역에 존재하며, 소정의 서버와 통신 시 보안 채널을 통해 인증 정보를 포함하는 메시지를 상기 서버로 제공할 수 있는 생체 정보 통신 모듈; 및 상기 보안 인증 요청될 시 상기 전자장치에 저장된 생체 정보를 읽어와 사용자의 생체 정보를 입력받은 생체 정보와 매칭 여부를 판별하여 결과 정보를 생성하여 상기 생체 정보 통신 모듈로 제공하며, 보안 영역에 존재하는 생체 정보 처리 모듈;을 포함할 수 있다.
본 개시의 다양한 실시 예들에 따른 생체 정보를 이용한 인증 방법 및 전자 장치는 외부의 다른 전자장치 예컨대, 서버와 통신 시에 보다 강화된 영역에서 생성한 채널을 통해 데이터의 송/수신을 수행할 수 있으므로, 향상된 안정성을 확보할 수 있다.
도 1은 다양한 실시예에 따른, 전자 장치를 포함하는 네트워크 환경을 도시한다.
도 2는 본 개시의 다양한 실시 예들에 따른 전자장치의 블록도를 도시한다.
도 3은 다양한 실시 예에 따른, 전자 장치의 프로세서를 도시한다.
도 4는 본 발명의 일 실시예에 따른 전자장치를 일반 영역 및 보안 영역으로 구분하여 도시한 블록 구성 및 서버와의 연결 구성도이다.
도 5는 다양한 실시 예에 따른, 생체 정보 처리 모듈의 블록도를 도시한다.
도 6은 본 발명의 일 실시예에 따라 전자장치의 보안 영역에서 외부 장치와 통신 시의 동작을 설명하기 위한 블록 구성도이다.
도 7은 다양한 실시 예에 따른, 전자 장치의 생체 정보 인증 방법을 도시한다.
도 8은 본 발명의 일 실시예에 따라 전자장치가 서버 간 생체 정보를 이용한 인증이 필요할 시 신호 흐름도이다.
도 2는 본 개시의 다양한 실시 예들에 따른 전자장치의 블록도를 도시한다.
도 3은 다양한 실시 예에 따른, 전자 장치의 프로세서를 도시한다.
도 4는 본 발명의 일 실시예에 따른 전자장치를 일반 영역 및 보안 영역으로 구분하여 도시한 블록 구성 및 서버와의 연결 구성도이다.
도 5는 다양한 실시 예에 따른, 생체 정보 처리 모듈의 블록도를 도시한다.
도 6은 본 발명의 일 실시예에 따라 전자장치의 보안 영역에서 외부 장치와 통신 시의 동작을 설명하기 위한 블록 구성도이다.
도 7은 다양한 실시 예에 따른, 전자 장치의 생체 정보 인증 방법을 도시한다.
도 8은 본 발명의 일 실시예에 따라 전자장치가 서버 간 생체 정보를 이용한 인증이 필요할 시 신호 흐름도이다.
이하, 첨부된 도면을 참조하여 본 개시(present disclosure)를 설명한다. 본 개시는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있다. 그러나, 이는 본 개시를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 개시의 사상 및 기술 범위에 포함되는 모든 변경 및/또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용되었다.
본 개시 가운데 사용될 수 있는 "포함한다" 또는 "포함할 수 있다" 등의 표현은 개시된 해당 기능, 동작 또는 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작 또는 구성요소 등을 제한하지 않는다. 또한, 본 개시에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 개시에서 "또는" 등의 표현은 함께 나열된 단어들의 어떠한, 그리고 모든 조합을 포함한다. 예를 들어, "A 또는 B"는, A를 포함할 수도, B를 포함할 수도, 또는 A 와 B 모두를 포함할 수도 있다.
본 개시 가운데 "제 1," "제2," "첫째," 또는 "둘째," 등의 표현들이 본 개시의 다양한 구성요소들을 수식할 수 있지만, 해당 구성요소들을 한정하지 않는다. 예를 들어, 상기 표현들은 해당 구성요소들의 순서 및/또는 중요도 등을 한정하지 않는다. 상기 표현들은 한 구성요소를 다른 구성요소와 구분 짓기 위해 사용될 수 있다. 예를 들어, 제1 사용자 기기와 제 2 사용자 기기는 모두 사용자 기기이며, 서로 다른 사용자 기기를 나타낸다. 예를 들어, 본 개시의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해될 수 있어야 할 것이다.
본 개시에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 개시를 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 개시에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 개시에 따른 전자 장치는, 통신 기능이 포함된 장치일 수 있다. 예를 들면, 전자 장치는 스마트 폰(smartphone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 화상전화기, 전자북 리더기(e-book reader), 데스크탑 PC(desktop personal computer), 랩탑 PC(laptop personal computer), 넷북 컴퓨터(netbook computer), PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라(camera), 또는 웨어러블 장치(wearable device)(예: 전자 안경과 같은 head-mounted-device(HMD), 전자 의복, 전자 팔찌, 전자 목걸이, 전자 앱세서리(appcessory), 전자 문신, 또는 스마트 와치(smartwatch))중 적어도 하나를 포함할 수 있다.
어떤 실시예들에 따르면, 전자 장치는 통신 기능 을 갖춘 스마트 가전 제품(smart home appliance)일 수 있다. 스마트 가전 제품은, 예를 들자면, 전자 장치는 텔레비전, DVD(digital video disk) 플레이어, 오디오, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스(set-top box), TV 박스(예를 들면, 삼성 HomeSyncTM, 애플TVTM, 또는 구글 TVTM), 게임 콘솔(game consoles), 전자 사전, 전자 키, 캠코더(camcorder), 또는 전자 액자 중 적어도 하나를 포함할 수 있다.
어떤 실시예들에 따르면, 전자 장치는 각종 의료기기(예: MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 초음파기 등), 네비게이션(navigation) 장치, GPS 수신기(global positioning system receiver), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트(infotainment) 장치, 선박용 전자 장비(예: 선박용 항법 장치 및 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛, 산업용 또는 가정용 로봇, 금융 기관의 ATM(automatic teller's machine) 또는 상점의 POS(point of sales) 중 적어도 하나를 포함할 수 있다.
어떤 실시예들에 따르면, 전자 장치는 통신 기능 을 포함한 가구(furniture) 또는 건물/구조물의 일부, 전자 보드(electronic board), 전자 사인 입력장치(electronic signature receiving device), 프로젝터(projector), 또는 각종 계측기기(예: 수도, 전기, 가스, 또는 전파 계측 기기 등) 중 적어도 하나를 포함할 수 있다. 본 개시에 따른 전자 장치는 전술한 다양한 장치들 중 하나 또는 그 이상의 조합일 수 있다. 또한, 본 개시에 따른 전자 장치는 플렉서블 장치일 수 있다. 또한, 본 개시에 따른 전자 장치는 전술한 기기들에 한정되지 않음은 당업자에게 자명하다.
이하, 첨부된 도면을 참조하여 다양한 실시예에 따른 전자 장치에 대해서 살펴본다. 다양한 실시예에서 이용되는 사용자라는 용어는 전자 장치를 사용하는 사람 또는 전자 장치를 사용하는 장치(예: 인공지능 전자 장치)를 지칭할 수 있다.
도 1은 다양한 실시예에 따른, 전자 장치 101을 포함하는 네트워크 환경 100를 도시한다. 도 1을 참조하면, 전자 장치 101은 버스 110, 프로세서 120, 메모리 130, 입출력 인터페이스 140, 디스플레이 150, 통신 인터페이스 160 및 어플리케이션 제어 모듈 170을 포함할 수 있다.
버스 110은 전술한 구성요소들을 서로 연결하고, 전술한 구성요소들 간의 통신(예: 제어 메시지)을 전달하는 회로일 수 있다.
프로세서 120은 예를 들면, 버스 110을 통해 전술한 다른 구성요소들(예: 메모리 130, 입출력 인터페이스 140, 디스플레이 150, 통신 인터페이스 160, 또는 어플리케이션 제어 모듈 170 등)로부터 명령을 수신하여, 수신된 명령을 해독하고, 해독된 명령에 따른 연산이나 데이터 처리를 실행할 수 있다. 또한 어떤 실시예에 따르면, 프로세서 120은 일반 영역에서의 동작과 보안 영역에서의 동작을 구분하여 수행할 수 있다. 일반 영역에서의 동작이라 함은, 사용자가 아무런 제약없이 데이터의 송/수신 및 처리가 가능한 영역을 의미할 수 있다. 또한 보한 영역에서의 동작이라 함은, 특정한 암호화가 이루어져 데이터의 송/수신 및 처리를 수행하는 영역을 의미할 수 있다. 예컨대, 생체 정보를 취급하는 영역 또는 기업에서 보안이 필요한 데이터를 처리하는 영역 또는 사용자가 보안을 요구하는 데이터를 처리하는 영역이 될 수 있다.
메모리 130은 프로세서 120 또는 다른 구성요소들(예: 입출력 인터페이스 140, 디스플레이 150, 통신 인터페이스 160, 또는 어플리케이션 제어 모듈 170 등)로부터 수신되거나 프로세서 120 또는 다른 구성요소들에 의해 생성된 명령 또는 데이터를 저장할 수 있다. 메모리 130은 예를 들면, 커널 131, 미들웨어 132, 어플리케이션 프로그래밍 인터페이스(API: application programming interface) 133 또는 어플리케이션 134 등의 프로그래밍 모듈들을 포함할 수 있다. 전술한 각각의 프로그래밍 모듈들은 소프트웨어, 펌웨어, 하드웨어 또는 이들 중 적어도 둘 이상의 조합으로 구성될 수 있다. 어떤 실시예에 따르면, 메모리 130은 일반 영역의 데이터를 저장하기 위한 메모리와 보안 영역의 데이터를 저장하기 위한 메모리로 구분될 수 있다. 보안 영역의 데이터를 처리하기 위한 영역의 데이터인 경우 일반 영역에서 동작하는 경우 접근이 제한 또는 차단될 수 있다. 또한 메모리 130은 일반 영역에서의 동작을 위한 제어 데이터 혹은 프로그램을 저장할 수 있으며, 보안 영역에서의 동작을 위한 제어 데이터 혹은 프로그램을 저장할 수 있다.
커널 131은 나머지 다른 프로그래밍 모듈들, 예를 들면, 미들웨어 132, API 133 또는 어플리케이션 134에 구현된 동작 또는 기능을 실행하는 데 사용되는 시스템 리소스들(예: 버스 110, 프로세서 120 또는 메모리 130 등)을 제어 또는 관리할 수 있다. 또한, 커널 131은 미들웨어 132, API 133 또는 어플리케이션 134에서 전자 장치 101의 개별 구성요소에 접근하여 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.
미들웨어 132는 API 133 또는 어플리케이션 134가 커널 131과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다. 또한, 미들웨어 132는 어플리케이션 134로부터 수신된 작업 요청들과 관련하여, 예를 들면, 어플리케이션 134 중 적어도 하나의 어플리케이션에 전자 장치 101의 시스템 리소스(예: 버스 110, 프로세서 120 또는 메모리 130 등)를 사용할 수 있는 우선 순위를 배정하는 등의 방법을 이용하여 작업 요청에 대한 제어(예: 스케줄링 또는 로드 밸런싱)을 수행할 수 있다.
API 133은 어플리케이션 134가 커널 131 또는 미들웨어 132에서 제공되는 기능을 제어하기 위한 인터페이스로, 예를 들면, 파일 제어, 창 제어, 화상 처리 또는 문자 제어 등을 위한 적어도 하나의 인터페이스 또는 함수(예: 명령어)를 포함할 수 있다.
다양한 실시예에 따르면, 어플리케이션 134는 SMS/MMS 어플리케이션, 이메일 어플리케이션, 달력 어플리케이션, 알람 어플리케이션, 건강 관리(health care) 어플리케이션(예: 운동량 또는 혈당 등을 측정하는 어플리케이션) 또는 환경 정보 어플리케이션(예: 기압, 습도 또는 온도 정보 등을 제공하는 어플리케이션) 등을 포함할 수 있다. 추가적으로 또는 대체적으로, 어플리케이션 134는 전자 장치 101과 외부 전자 장치(예: 전자 장치 104) 사이의 정보 교환과 관련된 어플리케이션일 수 있다. 정보 교환과 관련된 어플리케이션은, 예를 들어, 외부 전자 장치에 특정 정보를 전달하기 위한 알림 전달(notification relay) 어플리케이션, 또는 외부 전자 장치를 관리하기 위한 장치 관리(device management) 어플리케이션을 포함할 수 있다.
예를 들면, 알림 전달 어플리케이션은 전자 장치 101의 다른 어플리케이션(예: SMS/MMS 어플리케이션, 이메일 어플리케이션, 건강 관리 어플리케이션 또는 환경 정보 어플리케이션 등)에서 발생한 알림 정보를 외부 전자 장치(예: 전자 장치 104)로 전달하는 기능을 포함할 수 있다. 추가적으로 또는 대체적으로, 알림 전달 어플리케이션은, 예를 들면, 외부 전자 장치(예: 전자 장치 104)로부터 알림 정보를 수신하여 사용자에게 제공할 수 있다. 장치 관리 어플리케이션은, 예를 들면, 전자 장치 101과 통신하는 외부 전자 장치(예: 전자 장치 104)의 적어도 일부에 대한 기능(예: 외부 전자 장치 자체(또는, 일부 구성 부품)의 턴온/턴오프(turn on/turn off) 또는 디스플레이의 밝기(또는, 해상도) 조절), 외부 전자 장치에서 동작하는 어플리케이션 또는 외부 전자 장치에서 제공되는 서비스(예: 통화 서비스 또는 메시지 서비스)를 관리(예: 설치, 삭제 또는 업데이트)할 수 있다.
다양한 실시예에 따르면, 어플리케이션 134는 외부 전자 장치(예: 전자 장치 104)의 속성(예: 전자 장치의 종류)에 따라 지정된 어플리케이션을 포함할 수 있다. 예를 들어, 외부 전자 장치가 MP3 플레이어인 경우, 어플리케이션 134는 음악 재생과 관련된 어플리케이션을 포함할 수 있다. 유사하게, 외부 전자 장치가 모바일 의료기기인 경우, 어플리케이션 134는 건강 관리와 관련된 어플리케이션을 포함할 수 있다. 한 실시예에 따르면, 어플리케이션 134는 전자 장치 101에 지정된 어플리케이션 또는 외부 전자 장치(예: 서버 106 또는 전자 장치 104)로부터 수신된 어플리케이션 중 적어도 하나를 포함할 수 있다.
입출력 인터페이스 140은 입출력 장치(예: 센서, 키보드 또는 터치 스크린)를 통하여 사용자로부터 입력된 명령 또는 데이터를, 예를 들면, 버스 110를 통해 프로세서 120, 메모리 130, 통신 인터페이스 160, 또는 어플리케이션 제어 모듈 170에 전달할 수 있다. 예를 들면, 입출력 인터페이스 140은 터치 스크린을 통하여 입력된 사용자의 터치에 대한 데이터를 프로세서 120로 제공할 수 있다. 또한, 입출력 인터페이스 140은 예를 들면, 버스 110을 통해 프로세서 120, 메모리 130, 통신 인터페이스 160, 또는 어플리케이션 제어 모듈 170로부터 수신된 명령 또는 데이터를 입출력 장치(예: 스피커 또는 디스플레이)를 통하여 출력할 수 있다. 예를 들면, 입출력 인터페이스 140은 프로세서 120을 통하여 처리된 음성 데이터를 스피커를 통하여 사용자에게 출력할 수 있다.
디스플레이 150은 사용자에게 각종 정보(예: 멀티미디어 데이터 또는 텍스트 데이터 등)를 표시할 수 있다. 이러한 디스플레이 150은 본 발명의 다양한 실시예에 따라 플랙서블(flexible) 디스플레이로 구현할 수 있다.
통신 인터페이스 160은 전자 장치 101과 외부 장치(예: 전자 장치 104 또는 서버 106) 간의 통신을 연결할 수 있다. 예를 들면, 통신 인터페이스 160은 무선 통신 또는 유선 통신을 통해서 네트워크 162에 연결되어 외부 장치와 통신할 수 있다. 무선 통신은, 예를 들어, Wifi(wireless fidelity), BT(Bluetooth), NFC(near field communication), GPS(global positioning system) 또는 cellular 통신(예: LTE, LTE-A, CDMA, WCDMA, UMTS, WiBro 또는 GSM 등) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard 232) 또는 POTS(plain old telephone service) 중 적어도 하나를 포함할 수 있다.
한 실시예에 따르면, 네트워크 162는 통신 네트워크(telecommunications network)일 수 있다. 통신 네트워크 는 컴퓨터 네트워크(computer network), 인터넷(internet), 사물 인터넷(internet of things) 또는 전화망(telephone network) 중 적어도 하나를 포함할 수 있다. 한 실시예에 따르면, 전자 장치 101과 외부 장치 간의 통신을 위한 프로토콜(예: transport layer protocol, data link layer protocol 또는 physical layer protocol))은 어플리케이션 134, 어플리케이션 프로그래밍 인터페이스 133, 미들웨어 132, 커널 131 또는 통신 인터페이스 160 중 적어도 하나에서 지원될 수 있다.
어플리케이션 제어 모듈 170은 다른 구성요소들(예: 프로세서 120, 메모리 130, 입출력 인터페이스 140, 또는 통신 인터페이스 160 등)로부터 획득된 정보 중 적어도 일부를 처리하고, 이를 다양한 방법으로 사용자에게 제공할 수 있다. 예를 들면, 어플리케이션 제어 모듈 170은 전자 장치 101에 구비된 접속 부품의 정보를 인식하고, 접속 부품의 정보를 메모리 130에 저장하고, 접속 부품의 정보에 기반하여, 어플리케이션 134를 실행시킬 수 있다. 어떤 실시예에 따르면, 어플레이케이션 제어 모듈 170은 프로세서 120 내에서 구동될 수도 있다.
도 2는 다양한 실시예들에 따른 전자 장치 201의 블록도를 도시한다. 전자 장치 201은 예를 들면, 도 1에 도시된 전자 장치 101의 전체 또는 일부를 구성할 수 있다. 도 2를 참조하면, 전자 장치 201은 하나 이상의 어플리케이션 프로세서(AP: application processor) 210, 통신 모듈 220, SIM(subscriber identification module) 카드 224, 메모리 230, 센서 모듈 240, 입력 장치 250, 디스플레이 260, 인터페이스 270, 오디오 모듈 280, 카메라 모듈 291, 전력관리 모듈 295, 배터리 296, 인디케이터 297 및 모터 298을 포함할 수 있다.
어플리케이션 프로세서 210은 운영체제 또는 응용 프로그램을 구동하여 어플리케이션 프로세서 210에 연결된 다수의 하드웨어 또는 소프트웨어 구성요소들을 제어할 수 있고, 멀티미디어 데이터를 포함한 각종 데이터 처리 및 연산을 수행할 수 있다. 어플리케이션 프로세서 210은 예를 들면, SoC(system on chip)로 구현될 수 있다. 한 실시예에 따르면, 어플리케이션 프로세서 210은 GPU(graphic processing unit, 미도시)를 더 포함할 수 있다.
통신 모듈 220(예: 통신 인터페이스 160)은 전자 장치 201(예: 전자 장치 101)과 네트워크를 통해 연결된 다른 전자 장치들(예: 전자 장치 104 또는 서버 106) 간의 통신에서 데이터 송수신을 수행할 수 있다. 한 실시예에 따르면, 통신 모듈 220은 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227, NFC 모듈 228 및 RF(radio frequency) 모듈 229를 포함할 수 있다.
셀룰러 모듈 221은 통신망(예: LTE, LTE-A, CDMA, WCDMA, UMTS, WiBro 또는 GSM 등)을 통해서 음성 통화, 영상 통화, 문자 서비스 또는 인터넷 서비스 등을 제공할 수 있다. 또한, 셀룰러 모듈 221은, 예를 들면, 가입자 식별 모듈(예: SIM 카드 224)을 이용하여 통신 네트워크 내에서 전자 장치의 구별 및 인증을 수행할 수 있다. 한 실시예에 따르면, 셀룰러 모듈 221은 어플리케이션 프로세서 210이 제공할 수 있는 기능 중 적어도 일부 기능을 수행할 수 있다. 예를 들면, 셀룰러 모듈 221은 멀티미디어 제어 기능의 적어도 일부를 수행할 수 있다.
한 실시예에 따르면, 셀룰러 모듈 221은 커뮤니케이션 프로세서(CP: communication processor)를 포함할 수 있다. 또한, 셀룰러 모듈 221은 예를 들면, SoC로 구현될 수 있다. 도 2에서는 셀룰러 모듈 221(예: 커뮤니케이션 프로세서), 메모리 230 또는 전력관리 모듈 295 등의 구성요소들이 어플리케이션 프로세서 210과 별개의 구성요소로 도시되어 있으나, 한 실시예에 따르면, 어플리케이션 프로세서 210이 전술한 구성요소들의 적어도 일부(예: 셀룰러 모듈 221)를 포함하도록 구현될 수 있다.
한 실시예에 따르면, 어플리케이션 프로세서 210 또는 셀룰러 모듈 221(예: 커뮤니케이션 프로세서)은 각각에 연결된 비휘발성 메모리 또는 다른 구성요소 중 적어도 하나로부터 수신한 명령 또는 데이터를 휘발성 메모리에 로드(load)하여 처리할 수 있다. 또한, 어플리케이션 프로세서 210 또는 셀룰러 모듈 221은 다른 구성요소 중 적어도 하나로부터 수신하거나 다른 구성요소 중 적어도 하나에 의해 생성된 데이터를 비휘발성 메모리에 저장(store)할 수 있다.
한 실시예에 따르면, 어플리케이션 프로세서 210은 일반 영역에서의 동작과 보안 영역에서의 동작을 구분하여 수행할 수 있다. 일반 영역에서의 동작 및 보안 영역에서의 동작은 도 1에서 설명한 바와 동일하므로 여기서는 더 설명하지 않기로 한다.
Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 또는 NFC 모듈 228 각각은, 예를 들면, 해당하는 모듈을 통해서 송수신되는 데이터를 처리하기 위한 프로세서를 포함할 수 있다. 도 2에서는 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 또는 NFC 모듈 228이 각각 별개의 블록으로 도시되었으나, 한 실시예에 따르면, 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 또는 NFC 모듈 228 중 적어도 일부(예: 두 개 이상)는 하나의 integrated chip(IC) 또는 IC 패키지 내에 포함될 수 있다. 예를 들면, 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 또는 NFC 모듈 228 각각에 대응하는 프로세서들 중 적어도 일부(예: 셀룰러 모듈 221에 대응하는 커뮤니케이션 프로세서 및 Wifi 모듈 223에 대응하는 Wifi 프로세서)는 하나의 SoC로 구현될 수 있다.
RF 모듈 229는 데이터의 송수신, 예를 들면, RF 신호의 송수신을 할 수 있다. RF 모듈 229는, 도시되지는 않았으나, 예를 들면, 트랜시버(transceiver), PAM(power amp module), 주파수 필터(frequency filter) 또는 LNA(low noise amplifier) 등을 포함할 수 있다. 또한, RF 모듈 229는 무선 통신에서 자유 공간상의 전자파를 송수신하기 위한 부품, 예를 들면, 도체 또는 도선 등을 더 포함할 수 있다. 도 2에서는 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 및 NFC 모듈 228이 하나의 RF 모듈 229을 서로 공유하는 것으로 도시되어 있으나, 한 실시예에 따르면, 셀룰러 모듈 221, Wifi 모듈 223, BT 모듈 225, GPS 모듈 227 또는 NFC 모듈 228 중 적어도 하나는 별개의 RF 모듈을 통하여 RF 신호의 송수신을 수행할 수 있다.
SIM 카드 224_1~N는 가입자 식별 모듈을 포함하는 카드일 수 있으며, 전자 장치의 특정 위치에 형성된 슬롯 225_1~N에 삽입될 수 있다. SIM 카드 224_1~N는 고유한 식별 정보(예: ICCID(integrated circuit card identifier)) 또는 가입자 정보(예: IMSI(international mobile subscriber identity))를 포함할 수 있다.
메모리 230(예: 메모리 130)은 내장 메모리 232 또는 외장 메모리 234를 포함할 수 있다. 내장 메모리 232는, 예를 들면, 휘발성 메모리(예를 들면, DRAM(dynamic RAM), SRAM(static RAM), SDRAM(synchronous dynamic RAM) 등) 또는 비휘발성 메모리(non-volatile Memory, 예를 들면, OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), mask ROM, flash ROM, NAND flash memory, NOR flash memory 등) 중 적어도 하나를 포함할 수 있다.
한 실시예에 따르면, 내장 메모리 232는 Solid State Drive (SSD)일 수 있다. 외장 메모리 234는 flash drive, 예를 들면, CF(compact flash), SD(secure digital), Micro-SD(micro secure digital), Mini-SD(mini secure digital), xD(extreme digital) 또는 Memory Stick 등을 더 포함할 수 있다. 외장 메모리 234는 다양한 인터페이스를 통하여 전자 장치 201과 기능적으로 연결될 수 있다. 한 실시예에 따르면, 전자 장치 201은 하드 드라이브와 같은 저장 장치(또는 저장 매체)를 더 포함할 수 있다.
어떤 실시예에 따르면, 메모리 230은 일반 영역의 데이터를 저장하기 위한 메모리와 보안 영역의 데이터를 저장하기 위한 메모리로 구분될 수 있다. 보안 영역의 데이터를 처리하기 위한 영역의 데이터인 경우 일반 영역에서 동작하는 경우 접근이 제한 또는 차단될 수 있다. 또한 메모리 130은 일반 영역에서의 동작을 위한 제어 데이터 혹은 프로그램을 저장할 수 있으며, 보안 영역에서의 동작을 위한 제어 데이터 혹은 프로그램을 저장할 수 있다.
센서 모듈 240은 물리량을 계측하거나 전자 장치 201의 작동 상태를 감지하여, 계측 또는 감지된 정보를 전기 신호로 변환할 수 있다. 센서 모듈 240은 예를 들면, 제스처 센서 240A, 자이로 센서 240B, 기압 센서 240C, 마그네틱 센서 240D, 가속도 센서 240E, 그립 센서 240F, 근접 센서 240G, color 센서 240H(예: RGB(red, green, blue) 센서), 생체 센서 240I, 온/습도 센서 240J, 조도 센서 240K 또는 UV(ultra violet) 센서 240M 중의 적어도 하나를 포함할 수 있다. 추가적으로 또는 대체적으로, 센서 모듈 240은, 예를 들면, 후각 센서(E-nose sensor, 미도시), EMG 센서(electromyography sensor, 미도시), EEG 센서(electroencephalogram sensor, 미도시), ECG 센서(electrocardiogram sensor, 미도시), IR(infra red) 센서(미도시), 홍채 센서(미도시) 또는 지문 센서(미도시) 등을 포함할 수 있다. 센서 모듈 240은 그 안에 속한 적어도 하나 이상의 센서들을 제어하기 위한 제어 회로를 더 포함할 수 있다. 이하의 설명에서 홍채 센서 또는 지문 센서 등 사용자의 생체에 관련된 정보를 수집하는 모든 종류의 센서를 "생체 센서"라 칭하기로 한다. 이러한 생체 센서는 후술할 입력 장치 250의 일부로 구성할 수도 있다.
입력 장치 250은 터치 패널(touch panel) 252, (디지털) 펜 센서(pen sensor) 254, 키(key) 256 또는 초음파(ultrasonic) 입력 장치 258를 포함할 수 있다. 터치 패널 252는 예를 들면, 정전식, 감압식, 적외선 방식 또는 초음파 방식 중 적어도 하나의 방식으로 터치 입력을 인식할 수 있다. 또한, 터치 패널 252는 제어 회로를 더 포함할 수도 있다. 정전식의 경우, 물리적 접촉 또는 근접 인식이 가능하다. 터치 패널 252는 택타일 레이어(tactile layer)를 더 포함할 수도 있다. 이 경우, 터치 패널 252는 사용자에게 촉각 반응을 제공할 수 있다.
(디지털) 펜 센서 254는 예를 들면, 사용자의 터치 입력을 받는 것과 동일 또는 유사한 방법 또는 별도의 인식용 쉬트(sheet)를 이용하여 구현될 수 있다. 키 256은 예를 들면, 물리적인 버튼, 광학식 키 또는 키패드를 포함할 수 있다. 초음파(ultrasonic) 입력 장치 258은 초음파 신호를 발생하는 입력 도구를 통해, 전자 장치 201에서 마이크(예: 마이크 288)로 음파를 감지하여 데이터를 확인할 수 있는 장치로서, 무선 인식이 가능하다. 한 실시예에 따르면, 전자 장치 201은 통신 모듈 220을 이용하여 이와 연결된 외부 장치(예: 컴퓨터 또는 서버)로부터 사용자 입력을 수신할 수도 있다.
디스플레이 260(예: 디스플레이 150)은 패널 262, 홀로그램 장치 264 또는 프로젝터 266을 포함할 수 있다. 패널 262는 예를 들면, LCD(liquid-crystal display) 또는 AM-OLED(active-matrix organic light-emitting diode) 등일 수 있다. 패널 262는 예를 들면, 유연하게(flexible), 투명하게(transparent) 또는 착용할 수 있게(wearable) 구현될 수 있다. 패널 262는 터치 패널 252와 하나의 모듈로 구성될 수도 있다. 홀로그램 장치 264는 빛의 간섭을 이용하여 입체 영상을 허공에 보여줄 수 있다. 프로젝터 266은 스크린에 빛을 투사하여 영상을 표시할 수 있다. 스크린은, 예를 들면, 전자 장치 201의 내부 또는 외부에 위치할 수 있다. 한 실시예에 따르면, 디스플레이 260은 패널 262, 홀로그램 장치 264, 또는 프로젝터 266를 제어하기 위한 제어 회로를 더 포함할 수 있다.
인터페이스 270은 예를 들면, HDMI(high-definition multimedia interface) 272, USB(universal serial bus) 274, 광 인터페이스(optical interface) 276 또는 D-sub(D-subminiature) 278을 포함할 수 있다. 인터페이스 270은 예를 들면, 도 1에 도시된 통신 인터페이스 160에 포함될 수 있다. 추가적으로 또는 대체적으로, 인터페이스 270은 예를 들면, MHL(mobile high-definition link) 인터페이스, SD(secure Digital) 카드/MMC(multi-media card) 인터페이스 또는 IrDA(infrared data association) 규격 인터페이스를 포함할 수 있다.
오디오 모듈 280은 소리(sound)와 전기신호를 쌍방향으로 변환시킬 수 있다. 오디오 모듈 280의 적어도 일부 구성요소는, 예를 들면, 도 1에 도시된 입출력 인터페이스 140에 포함될 수 있다. 오디오 모듈 280은, 예를 들면, 스피커 282, 리시버 284, 이어폰 286 또는 마이크 288 등을 통해 입력 또는 출력되는 소리 정보를 처리할 수 있다.
카메라 모듈 291은 정지 영상 및 동영상을 촬영할 수 있는 장치로서, 한 실시예에 따르면, 하나 이상의 이미지 센서(예: 전면 센서 또는 후면 센서), 렌즈(미도시), ISP(image signal processor, 미도시) 또는 플래쉬 (flash, 미도시)(예: LED 또는 xenon lamp)를 포함할 수 있다.
전력 관리 모듈 295는 전자 장치 201의 전력을 관리할 수 있다. 도시하지는 않았으나, 전력 관리 모듈 295는 예를 들면, PMIC(power management integrated circuit), 충전 IC(charger integrated circuit) 또는 배터리 또는 연료 게이지(battery or fuel gauge)를 포함할 수 있다.
PMIC는 예를 들면, 집적회로 또는 SoC 반도체 내에 탑재될 수 있다. 충전 방식은 유선과 무선으로 구분될 수 있다. 충전 IC는 배터리를 충전시킬 수 있으며, 충전기로부터의 과전압 또는 과전류 유입을 방지할 수 있다. 한 실시예에 따르면, 충전 IC는 유선 충전 방식 또는 무선 충전 방식 중 적어도 하나를 위한 충전 IC를 포함할 수 있다. 무선 충전 방식으로는, 예를 들면, 자기공명 방식, 자기유도 방식 또는 전자기파 방식 등이 있으며, 무선 충전을 위한 부가적인 회로, 예를 들면, 코일 루프, 공진 회로 또는 정류기 등의 회로가 추가될 수 있다.
배터리 게이지는, 예를 들면, 배터리 296의 잔량, 충전 중 전압, 전류 또는 온도를 측정할 수 있다. 배터리 296은 전기를 저장 또는 생성할 수 있고, 그 저장 또는 생성된 전기를 이용하여 전자 장치 201에 전원을 공급할 수 있다. 배터리 296은 예를 들면, 충전식 전지(rechargeable battery) 또는 태양 전지(solar battery)를 포함할 수 있다.
인디케이터 297은 전자 장치 201 혹은 그 일부(예: 어플리케이션 프로세서 210)의 특정 상태, 예를 들면, 부팅 상태, 메시지 상태 또는 충전 상태 등을 표시할 수 있다. 모터 298은 전기적 신호를 기계적 진동으로 변환할 수 있다. 도시되지는 않았으나, 전자 장치 201은 모바일 TV 지원을 위한 처리 장치(예: GPU)를 포함할 수 있다. 모바일 TV지원을 위한 처리 장치는, 예를 들면, DMB(digital multimedia broadcasting), DVB(digital video broadcasting) 또는 미디어 플로우(media flow) 등의 규격에 따른 미디어 데이터를 처리할 수 있다.
본 개시에 따른 전자 장치의 전술한 구성요소들 각각은 하나 또는 그 이상의 부품(component)으로 구성될 수 있으며, 해당 구성 요소의 명칭은 전자 장치의 종류에 따라서 달라질 수 있다. 본 개시에 따른 전자 장치는 전술한 구성요소 중 적어도 하나를 포함하여 구성될 수 있으며, 일부 구성요소가 생략되거나 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 또한, 본 개시에 따른 전자 장치의 구성 요소들 중 일부가 결합되어 하나의 개체(entity)로 구성됨으로써, 결합되기 이전의 해당 구성 요소들의 기능을 동일하게 수행할 수 있다.
본 개시에 사용된 용어 모듈은, 예를 들어, 하드웨어, 소프트웨어 또는 펌웨어(firmware) 중 하나 또는 둘 이상의 조합을 포함하는 단위(unit)를 의미할 수 있다. 모듈은 예를 들어, 유닛(unit), 로직(logic), 논리 블록(logical block), 부품(component) 또는 회로(circuit) 등의 용어와 바꾸어 사용(interchangeably use)될 수 있다. 모듈은, 일체로 구성된 부품의 최소 단위 또는 그 일부가 될 수 있다. 모듈은 하나 또는 그 이상의 기능을 수행하는 최소 단위 또는 그 일부가 될 수도 있다. 모듈은 기계적으로 또는 전자적으로 구현될 수 있다. 예를 들면, 본 개시에 따른 모듈은, 알려졌거나 앞으로 개발될, 어떤 동작들을 수행하는 ASIC(application-specific integrated circuit) 칩, FPGAs(field-programmable gate arrays) 또는 프로그램 가능 논리 장치(programmable-logic device) 중 적어도 하나를 포함할 수 있다.
도 3은 다양한 실시 예에 따른, 전자 장치의 프로세서를 도시한다.
도 3을 참조하면, 다양한 실시 예에 따른 전자 장치 101은 하나의 코어를 두 개의 가상 코어로 분할하는 프로세서 320을 포함할 수 있다. 예를 들면, 프로세서 320은 일반 모드(예; Rich Execution Environment)에서 작업을 수행하는 가상 일반 코어 311과, 보안 모드(예; Trusted Execution Environment)에서 작업을 수행하는 가상 보안 코어 312로 구분될 수 있다
상기 프로세서 320은 커널 드라이버(미도시)를 통해 가상 일반 코어 311 시스템을 호출하거나, 가상 보안 코어 312 시스템을 호출할 수 있다. 상기 프로세서 320은 호출된 시스템을 기반으로 일반 모드 또는 보안 모드로 전환될 수 있다.
일반 영역 331은 가상 일반 코어 311을 통한 작업 명령 또는 데이터를 저장할 수 있고, 가상 일반 코어 311 시스템 동작 시 운용되는 프로그램 모듈들(예; 생체 정보 인식 어플리케이션, 생체 정보 인식 서비스 모듈 등)을 포함할 수 있다. 예를 들면, 일반 영역 331에 포함된 프로그램 모듈들은 접근 제한이 없는 프로그램 모듈들일 수 있다.
보안 영역 332는 가상 보안 코어 312를 통한 작업 명령 또는 데이터를 저장할 수 있고, 가상 보안 코어 312 시스템 동작 시 운용되는 프로그램 모듈들(예; 생체 정보 처리 모듈, 생체 정보 통신 모듈 등)을 포함할 수 있다. 예를 들면, 보안 영역에 포함된 프로그램 모듈들은 접근 제한이 있는 프로그램 모듈들일 수 있다. 보안 영역 332는 보안 접근 또는 신뢰할 수 있거나 권한이 있는 신호에 의해 접근할 수 있다.
일반 영역 331 및 보안 영역 332는 메모리 330의 일부 영역일 수 있다. 또한, 메모리 330은 가상 일반 코어 311 시스템 동작 시 또는 가상 보안코어 312 시스템 동작 시 상호 접근이 가능한 명령 또는 데이터를 저장할 수 있는 공유 영역 333을 포함할 수 있다. 공유 영역 333은 메모리 330에 저장된 운영 체제의 주소 공간을 관리하고, 자원 할당을 수행하는 메모리 관리 정보를 포함할 수 있다. 공유 영역 333은 일반 코어 시스템 또는 가상 보안 코어 시스템을 호출하기 위한 정보를 저장할 수 있다.
상기 생체 센서 모듈 340은 생체 인식을 위한 인식 객체를 센싱할 수 있다. 인식 객체는 사용자의 신체 또는 신체의 적어도 일부일 수 있다. 예를 들면, 인식 객체는 사용자의 지문, 홍채, 망막 패턴, 귀 모양, 얼굴 모양, 사용자의 음성, 손 모양, 사용자의 필체 등 개인 고유의 신체적, 생리학적으로 분류 가능한 대상일 수 있다.
상기 생체 센서 모듈 340은 다양한 생체 인식 방식의 센서를 포함할 수 있다. 예를 들면, 지문 인식 센서, 망막 인식 센서, 홍채 인식 센서 등을 포함할 수 있다. 또한, 상기 생체 센서 모듈 340은, 얼굴 인식 또는 홍채 인식 등을 위한 카메라, 적외선 센서 등의 광 센서, 필체를 검출하기 위한 감압 센서 또는 터치 패널 등을 포함할 수 있다. 다양한 실시 예에서, 상기 생체 센서 모듈 340은 전자 장치의 외부 또는 별도의 전자 장치로부터 센싱 데이터를 수신할 수도 있다.
도 4는 본 발명의 일 실시예에 따른 전자장치를 일반 영역 및 보안 영역으로 구분하여 도시한 블록 구성 및 서버와의 연결 구성도이다.
도 4에서는 본 발명의 실시예에 따라 생체 정보를 인식하기 위한 형태로 블록 구성도를 도시하였음에 유의해야 한다. 도 4을 참조하면, 전자장치 400은 앞서 도 1, 도 2 및 도 3에서 설명한 전자장치(예: 101 또는 200)의 구성을 가질 수 있으며, 이를 일반 영역 410(예: 331)과 보안 영역 420(예: 332)으로 구분하여 도시한 구성도이다. 또한 전자장치 400(예: 101 또는 200)은 서버 106과 보안 채널을 통해 통신을 수행할 수도 있으며, 일반 영역에서 일반 채널을 통해 통신을 수행할 수도 있다.
도 4의 전자장치 400의 블록 구성 중 메모리 402(예: 330)와 생체 센서 401(예: 340)은 하드웨어적인 구성이며, 그 외의 구성은 소프트웨어적인 구성일 수 있다. 생체 센서 401은 지문, 얼굴, 홍채, 음성, 손금, 정맥 등 생체에 관련된 정보를 획득하기 위한 센서로, 사용자의 요구에 의해 생체에 대한 정보를 획득하는 하드웨어 장치이다.
메모리 402는 기본적으로 전자장치에서 수행할 수 있는 모든 형태의 제어 데이터를 저장할 수 있으며, 일반 영역 410과 보안 영역 420에서 수행할 수 있는 제어 데이터를 구분하여 저장할 수 있다. 가령, 생체 인식 데이터의 경우 보안 영역 420에서 처리되는 데이터이므로 메모리 402의 보안 영역의 데이터를 저장하기 위한 소정 영역에 저장될 수 있다. 또한 그 밖의 보안이 필요한 각종 데이터들도 메모리 402의 보안 영역의 데이터를 저장하기 위한 소정 영역에 저장할 수 있다.
일반 영역 410은 일반 영역 입출력 인터페이스 411, 생체 정보 인식 서비스 모듈 412 및 생체 정보 인식 어플리케이션 413을 포함한다.
일반 영역 입출력 인터페이스는 내부에 생체 센서 401의 구동을 위한 드라이버(미도시), 보안 영역 420과 인터페이스를 수행하기 위한 보안 영역 인터페이스 드라이버(미도시) 및 메모리에 접근을 위한 인터페이스(미도시)를 포함할 수 있다. 따라서 일반 영역 입출력 인터페이스 411은 생체 센서 401로부터 데이터를 수신할 수 있으며, 메모리 402에 데이터를 저장하거나 읽어올 수 있다. 또한 일반 영역 입출력 인터페이스 411은 보안 영역 420으로 데이터를 제공할 수 있으며, 보안 영역 420으로부터 수신된 데이터를 해당하는 경로로 제공할 수 있다. 뿐만 아니라 일반 영역 입출력 인터페이스 411은 생체 정보 인식 서비스 모듈 412로 데이터를 제공하거나 데이터를 수신하여 처리할 수 있다.
생체 정보 인식 서비스 모듈 412는 메모리 402에 포함된 정보를 읽어오거나 또는 저장하기 위한 데이터베이스 엔진(미도시), 생체 정보 데몬(Daemon)(미도시) 및 보안 영역 인터페이스(미도시)를 포함할 수 있다. 생체 정보 인식 서비스 모듈 412는 일반 영역 입출력 인터페이스 411로부터 수신된 데이터를 가공할 수 있으며, 이를 다시 일반 영역 입출력 인터페이스 411로 제공할 수 있다. 또한 생체 정보 인식 서비스 모듈 412는 일반 영역 입출력 인터페이스 411로부터 수신된 생체 정보의 처리 결과 정보를 수신할 수 있다.
생체 정보 인식 어플리케이션 413은 내부에서 생체 정보를 이용하여 처리된 결과를 생체 정보 인식 서비스 모듈 412로부터 수신하여 사용자에게 제공하기 위한 그래픽 유저 인터페이스를 통해 사용자에게 결과를 제공할 수 있다. 생체 정보 인식 어플리케이션 413은 생체 정보를 이용하여 처리된 결과 예컨대, 인식 완료, 인식 실패, 저장 완료, 승인 또는 승인 실패 등의 결과를 디스플레이(예: 150 또는 260)를 통해 사용자에게 결과가 제공될 수 있다.
보안 영역 420은 보안 영역 입출력 인터페이스 421, 생체 정보 처리 모듈 422 및 생체 정보 통신 모듈 423을 포함할 수 있다.
보안 영역 입출력 인터페이스 421은 내부에 일반 영역 410의 일반 영역 입출력 인터페이스 411로부터 신호 또는 데이터를 수신할 수 있는 인터페이스(미도시)와 생체 센서 401로부터 인터럽트 신호를 수신할 수 있는 드라이버(미도시)를 포함할 수 있다. 보안 영역 입출력 인터페이스 421은 일반 영역 410으로부터 데이터 또는 신호를 수신할 시 이를 생체 정보 처리 모듈 422로 제공할 수 있다. 또한 보안 영역 입출력 인터페이스 421은 생체 센서 401로부터 인터럽트를 수신할 시 인터럽트 및 생체 센서 401로부터 수신된 데이터를 생체 정보 처리 모듈 422로 제공할 수 있다.
생체 정보 처리 모듈 422는 내부에 보안 영역 입출력 인터페이스 421과 데이터 송수신을 위한 플랫폼 앱스트랙션 레이어(Platform Abstraction Layer, 미도시), 생체 정보의 유효성을 검사 및 생체 정보의 비교 및 비교 결과를 제공하기 위한 유효성 서비스 처리부(미도시), 생체 정보를 암호화 및 복호화할 수 있고 암호화 또는 복호화된 생체 정보를 이를 임시 저장할 수 있는 보안 저장 모듈(미도시)을 포함할 수 있다. 보안 저장 모듈은 버퍼나 메모리 형식의 보안 저장 장치(Secure storage, 미도시) 형태로 구현할 수도 있고, 임베디드 보안 요소(embedded Secure Element, eSE : 미도시) 형태로 구현할 수도 있으며, 둘 다를 포함할 수도 있다.
또한 생체 정보 처리 모듈 422는 보안 영역 입출력 인터페이스 421로부터 수신된 데이터 중 생체 데이터가 수신될 시 특징을 추출하고, 추출된 특징 데이터에 암호화를 수행하여 임시 저장하거나 또는 메모리 402의 보안 데이터를 저장하기 위한 소정 영역에 저장할 수 있다. 또한 생체 정보 처리 모듈 422는 기 저장된 생체 데이터와 비교를 위한 데이터가 입력될 시 저장된 데이터를 읽어와 복호하여 입력된 데이터와 비교하거나 또는 입력된 데이터를 암호화하여 읽어온 데이터와 직접 비교할 수 있다. 이처럼 비교된 결과 정보는 생체 정보 통신 모듈 423 또는/및 보안 영역 입출력 인터페이스 421로 제공될 수 있다.
생체 정보 통신 모듈 423은 미리 설정된 소정의 암호화 방법에 따라 데이터를 암호화하여 서버 106과 보안 채널을 형성해 통신을 수행할 수 있다. 생체 정보 통신 모듈은 필요에 따라 보안 영역 420에 위치할 수도 있고, 일반 영역 410에 위치할 수도 있다. 만일 생체 정보 처리 모듈 422가 일반 영역 410에 위치하는 경우 보안 채널 형성을 위한 암호화 및 복호화 기능까지 일반 영역에서 수행할 수도 있고, 보안 채널 형성을 위한 암호화 및 복호화 기능만을 보안 영역 420에 두도록 구성할 수도 있다.
그러면 이상에서 설명한 구성을 이용하여 생체 정보가 등록되는 동작에 대하여 살펴보기로 하자. 이하의 설명에서는 설명의 편의를 위해 생체 정보 중 지문 데이터가 획득되어 사용되는 경우를 가정하여 설명하기로 한다. 하지만, 앞서 설명한 바와 같이 지문, 얼굴, 홍채, 음성, 손금, 정맥 정보 등 사용자를 식별할 수 있는 어떠한 생체 정보라도 이하에서 설명되는 방법을 통해 동일하게 적용할 수 있음은 이 분야의 통상의 지식을 가진 자에게 자명할 것이다.
생체 센서 401이 구동되는 경우 예컨대, 지문 입력이 요청되어 지문의 입력 동작을 인지하는 시점에서 생체 센서 401은 인터럽트 신호를 생성하여 일반 영역 입출력 인터페이스 411로 제공할 수 있다. 이에 따라 일반 영역 입출력 인터페이스 411은 생체 센서 401이 구동되었음을 알리는 신호를 생성하여 보안 영역 입출력 인터페이스 421로 제공할 수 있다.
보안 영역 입출력 인터페이스 421은 일반 영역 입출력 인터페이스 411로부터 인터럽트 신호를 수신할 시 생체 센서 401로부터 제공되는 지문 데이터를 수신할 수 있다. 이때 제공되는 지문 데이터는 생체 센서 401에서 획득된 그대로의 데이터(raw data)이다. 보안 영역 입출력 인터페이스 421은 생체 센서 401에서 획득된 그대로의 데이터를 생체 정보 처리 모듈 422로 제공한다.
생체 정보 처리 모듈 422는 획득된 생체 정보를 이용하여 특징 정보(Template Information)를 추출하고, 추출된 특징 정보를 소정의 키로 암호화할 수 있다. 예컨대, 생체 정보 처리 모듈 422는 전자장치에 포함된 특정한 부품 예컨대, 생체 센서 또는 프로세서 등의 칩셋(Chipset)의 고유한 식별자(ID)를 이용하여 고유한(Unique) 키(Key)를 생성하고, 생성된 키를 이용하여 생체 정보의 특징 정보(Template Information)를 암호화할 수 있다. 이처럼 특정한 전자장치에 포함된 부품의 고유 식별자를 이용함으로써 다른 전자장치에서는 암호화된 생체 정보를 획득하더라도 복호가 불가능하다.
생체 정보 처리 모듈 422는 암호화된 생체 정보를 보안 영역 입출력 인터페이스 421을 통해 일반 영역 입출력 인터페이스 411로 제공할 수 있다. 그러면 일반 영역 입출력 인터페이스 411은 암호화된 생체 정보를 생체 정보 인식 서비스 모듈 412로 제공한다. 생체 정보 인식 서비스 모듈 412는 보안 영역 420으로부터 제공된 생체 정보 획득 완료 및 암호화된 생체 정보를 수신하게 된다.
생체 정보 인식 서비스 모듈 412는 보안 영역 420으로부터 제공된 암호화된 생체 정보를 내부의 데이터베이스 엔진을 이용하여 메모리 402의 보안 정보 저장을 위한 소정 영역에 저장할 수 있다. 암호화된 생체 정보의 저장이 완료될 시 생체 정보 인식 서비스 모듈 412는 생체 정보 획득 완료 및 저장 완료에 대한 정보를 생체 정보 인식 어플리케이션 413으로 제공할 수 있다.
이에 따라 생체 정보 인식 어플리케이션 413은 생체 정보 획득 완료 및 저장 완료를 디스플레이(예: 150, 260)에 표시함으로써 사용자에게 알릴 수 있다. 또한 이상에서는 하나의 지문 정보를 저장하는 예를 설명하였다. 하지만, 둘 이상의 지문 정보를 저장하는 경우에도 동일한 동작을 통해 저장할 수 있다. 만일 둘 이상의 지문 정보를 저장하는 경우 미리 오른손 또는 왼손에 대한 정보와 몇 번째 손가락인지에 대한 정보 등을 추가로 설정할 수도 있다.
그러면 다음으로 이상에서 설명한 바와 같이 저장된 생체 정보를 이용하여 사용자를 검증하기 위한 동작을 살펴보기로 하자.
생체 정보를 이용하여 사용자를 검증하기 위한 동작에서도 기본적으로 생체 센서 401이 구동되는 시점에 이루어질 수 있다. 하지만, 생체 정보를 이용한 검증이 필요한 경우 기 저장된 데이터를 미리 읽어오도록 구성할 수도 있다. 이하에서는 설명의 편의를 위해 생체 센서 401이 먼저 구동되고, 생체 센서 401로부터 데이터를 수신한 후 기 저장된 데이터를 읽어오는 동작으로 가정하여 설명하기로 한다.
생체 센서 401이 구동되는 경우 예컨대, 지문 입력이 요청되어 지문의 입력 동작을 인지하는 시점에서 생체 센서 401은 인터럽트 신호를 생성하여 일반 영역 입출력 인터페이스 411로 제공할 수 있다. 이에 따라 일반 영역 입출력 인터페이스 411은 생체 센서 401이 구동되었음을 알리는 신호를 생성하여 보안 영역 입출력 인터페이스 421로 제공할 수 있다.
보안 영역 입출력 인터페이스 421은 일반 영역 입출력 인터페이스 411로부터 인터럽트 신호를 수신할 시 생체 센서 401로부터 제공되는 지문 데이터를 수신할 수 있다. 이때 제공되는 지문 데이터는 생체 센서 401에서 획득된 그대로의 데이터(raw data)이다. 보안 영역 입출력 인터페이스 421은 생체 센서 401에서 획득된 그대로의 데이터를 생체 정보 처리 모듈 422로 제공한다.
생체 센서 401로부터 생체 데이터를 읽어올 시 생체 정보 처리 모듈 422는 현재 사용자 검증을 위한 동작인지 또는 생체 데이터를 저장하기 위한 동작인지를 미리 인지하고 있는 상태일 수 있다. 이에 따라 생체 정보 처리 모듈 422는 보안 영역 입출력 인터페이스 421을 통해 기 저장된 데이터를 읽어올 것을 요청할 수 있다.
그러면 기 저장된 데이터의 읽기 요청 신호는 일반 영역 입출력 인터페이스 411을 통해 생체 정보 인식 서비스 모듈 412로 제공된다. 이에 따라 생체 정보 인식 서비스 모듈 412는 내부에 포함된 데이터베이스 엔진을 이용하여 일반 영역 입출력 인터페이스 411을 통해 메모리 402에 암호화되어 저장된 생체 정보를 읽어올 수 있다. 이후 생체 정보 인식 서비스 모듈 412는 일반 영역 입출력 인터페이스 411을 통해 보안 영역 입출력 인터페이스 421로 제공할 수 있다. 따라서 보안 영역 입출력 인터페이스 421은 메모리 402에 암호화되어 저장된 생체 정보를 생체 정보 처리 모듈 422로 제공할 수 있다. 이처럼 메모리 402에 암호화되어 저장된 생체 정보는 생체 정보 처리 모듈 422의 플랫폼 앱스트랙션 레이어로 제공될 수 있다.
이후 생체 정보 처리 모듈 422는 암호화된 생체 정보를 앞서 설명한 바와 같이 전자장치에 포함된 특정한 부품의 식별자를 이용하여 암호화된 생체 정보를 복호할 수 있다. 이후 생체 정보 처리 모듈 422는 생체 센서 401로부터 수신된 데이터에서 추출된 특징 정보와 복호화된 정보를 비교함으로써 기 등록된 정보와 일치 여부를 판별할 수 있다.
생체 정보 처리 모듈 422는 두 정보를 비교한 결과에 근거하여 일치 여부에 대한 정보를 생성하고, 이를 보안 영역 입출력 인터페이스 421을 통해 일반 영역 입출력 인터페이스 411로 제공할 수 있다. 일반 영역 입출력 인터페이스 411은 일치 여부에 대한 정보를 보안 영역 420으로부터 수신할 시 생체 정보 인식 서비스 모듈 412로 제공할 수 있다. 따라서 생체 정보 인식 서비스 모듈 412는 결과 정보를 생체 정보 인식 어플리케이션 413으로 제공한다. 그러면 생체 정보 인식 어플리케이션 413은 사용자에게 그래픽 또는 문자 등의 정보를 디스플레이(예: 150, 260)로 표시함으로써 알릴 수 있다.
도 5는 다양한 실시 예에 따른, 생체 정보 처리 모듈의 블록도를 도시한다.
도 5는 다양한 실시 예에 따른, 보안 영역의 생체 정보 처리 모듈 422는 생체 데이터 생성부 510, 데이터 매칭부 520 및 보안 처리부 530로 이루어질 수 있다.
생체 데이터 생성부 510은 생체 센싱 모듈(예: 도 3의 340 및 도 4의 생체 센서 401)로부터 획득된 센싱 데이터를 기초로 인식 객체의 고유 특징 정보를 산출할 수 있다. 생체 데이터 생성부 510은 산출된 고유 특징 정보를 템플릿(template)으로 변환하여 생체 데이터를 생성할 수 있다.
한 실시 예에 따르면, 생체 데이터 생성부 510은 센싱 데이터로부터 생체 이미지(예: 지문 이미지, 홍채 이미지, 얼굴 이미지 등)를 획득할 수 있다. 예를 들면, 생체 이미지는 빛의 반사를 이용하는 광학식 또는 압력, 열, 초음파 등을 이용하는 비광학식으로 획득할 수 있다. 생체 데이터 생성부 510은 생체 이미지를 기반으로 개인 고유의 특징 정보를 추출할 수 있다. 예를 들면, 지문 인식을 위한 특징 정보는 지문 인식일 경우, 선의 끝점(ridge end)이나 분기점(bifurcation point), 중심점(core point), 삼각주(delta point) 등의 미뉴셔(minutiae)일 수 있다. 생체 데이터 생성부 510은 특징 정보는 저장된 생체 등록 데이터와 매칭되는 정도를 확인하기 위해 기 설정된 포맷(또는 프레임) 형식으로 산출될 수 있다. 예를 들면, 기 설정된 포맷의 정보 형식은 템플릿 형태일 수 있다.
생체 데이터 생성부 510은 생체 정보 등록 요청이 검출되면, 생성된 생체 데이터를 등록 정보로서 메모리(예: 도 3의 330, 도 4의 402)에 저장할 수 있다. 여기서, 생체 정보 등록 요청은 일반 영역(예: 도 3의 331, 도 4의 410)으로부터 전달된 보안 신호를 통해 요청될 수 있다.
상기 데이터 매칭부 520은 생체 인식 요청이 검출되면, 생체 인식을 위해 입력된 생체 인증 데이터가 저장된 생체 등록 데이터와 매칭되는지 판단할 수 있다. 여기서, 생체 인식 요청은 일반 영역(예: 도 3의 331, 도 4의 410)으로부터 전달된 보안 신호를 통해 요청될 수 있다.
다양한 실시 예에서, 상기 데이터 매칭부 520은 생체 인식을 위해 입력된 생체 인증 데이터로부터 산출된 특정 정보를 등록된 적어도 하나의 등록 데이터와 비교하고, 매칭값을 산출할 수 있다. 매칭값은 생체 인증 데이터가 생체 등록 데이터와 매칭되는 정보를 나타낸 값일 수 있다.
예를 들면, 매칭값은 데이터 매칭 시 각각의 생체 데이터에 포함된 특징점들 중에서 서로 대응되는(또는 서로 일치하는) 것으로 판단되는 특징점들의 개수를 나타낸 값으로 산출될 수 있다. 또는, 매칭값은 각각의 생체 데이터에 포함된 특징점들간의 거리, 방향 또는 특징점들의 배치 형태의 유사성 등을 고려하여 통계적 데이터 또는 확률적 함수에 따라 산출될 수 있다.
상기 데이터 매칭부 520은 특정 정보의 매칭값을 기준으로 생체 인증 성공 여부를 판단할 수 있다. 예를 들면, 데이터 매칭부 520은 매칭값이 설정된 임계값을 초과하는 경우 생체 인증이 성공된 것으로 판단하고, 매칭값이 설정된 임계값 이하인 경우 생체 인증이 실패한 것으로 판단할 수 있다.
상기 데이터 매칭부 520은 인증 성공 여부에 대한 결과 정보(예; 진위형 타입의 신호)를 일반 영역 내의 생체 인식 기능 제어 모듈로 전달하도록 제어할 수 있다.
보안 처리부 530은 생체 데이터를 암호화 및 복호화하도록 제어할 수 있다. 보안 처리부 530은 장치의 고유 식별 정보를 기반으로 유니크 키를 생성할 수 있다 예를 들면, 유니크 키는 보안 모드 시 접근 가능한 값일 수 있다.
한 실시 예에서, 보안 처리부 530은 생체 정보 등록 시, 유니크 키를 이용하여 생체 데이터를 암호화하고, 암호화된 생체 데이터를 메모리의 보안 영역에 저장하도록 제어할 수 있다. 보안 처리부 530은 생체 인식 인증 시, 암호화된 생채 데이터를 메모리의 보안 영역으로부터 획득하고, 유니크 키를 이용하여 복호화할 수 있다. 보안 처리부 530은 복호화된 생체 데이터를 상기 데이터 매칭부로 전달할 수 있다. 이 경우 유니크 키를 생성하기 위한 함수는 가상 보안 코어 시스템으로 동작 시 생성될 수 있는 값이며, 일반 보상 코어 시스템으로 동작 시 접근이 제한될 수 있다.
한 실시 예에서, 보안 처리부 530은 유니크 키를 이용해 생체 데이터를 암호화하고, 암호화된 생체 데이터를 일반 영역(예: 도 3의 331, 도 4의 410)의 생체 정보 인식 서비스 모듈(예: 도 4의 412)로 전달하도록 제어할 수 있다. 보안 처리부 530은 생체 인식 시, 일반 영역의 생체 인식 기능 제어 모듈로부터 암호화된 생체 데이터를 전달받고, 암호화된 생체 데이터를 보안 모드에서 생성된 유니크 키를 이용하여 복호화할 수 있다. 보안 처리부 530은 복호화된 생체 데이터를 데이터 매칭부 520으로 전달할 수 있다.
한 실시 예에서, 보안 처리부 530은 변형 함수를 통해 생체 데이터를 변형하여 모조 데이터(pseudo data)를 생성할 수 있다. 변형 함수는 일방 함수(one way), 데이터 배열 함수 등을 포함할 수 있으며, 보안 모드 시 또는 별도의 보안 하드웨어에서 획득 가능한 값을 이용한 함수를 이용할 수 있다. 변형 함수는 생체 데이터의 메타데이터로 저장될 수 있다.
보안 처리부 530은 생성된 모조 데이터를 데이터 매칭부 520 및 데이터 생성부 510으로 전달할 수 있다. 예를 들면, 데이터 생성부 510은 모조 데이터를 등록 정보로서 저장할 수 있다. 데이터 매칭부 510은 등록된 모조 데이터와 새로 생성된 모조 데이터를 비교함으로써, 생체 인증 성공 여부를 판단할 수 있다.
보안 처리부 530은 모조 데이터를 생성하기 위한 변형 함수를 가변적으로 운용할 수 있다. 예를 들면, 생체 인식 정보가 의도하지 않게 외부로 노출될 경우, 보안 처리부 530은 변형 함수를 변경하고, 변경된 변형 함수를 통해 모조 데이터를 새롭게 생성할 수 있다. 외부 노출 시 생체 데이터의 메타 데이터 역시 갱신되므로, 보안 처리부 530은 기존의 생체 데이터를 새로 갱신하거나 폐기하도록 처리할 수 있다.
다양한 실시 예에 따르면, 하나의 프로세서를 통해 일반 영역(예: 도 3의 331, 도 4의 410) 및 보안 영역(예: 도 3의 332, 도 4의 420)으로 동작되는 전자 장치에 있어서, 생체 인식을 위한 생체 센서 모듈; 및 일반 영역에서 생체 센서 모듈로부터 생체 정보 입력 이벤트를 검출하고, 상기 일반 영역에서 생체 정보 입력 이벤트를 보안 영역으로 전달하고, 상기 보안 영역에서 생체 정보 입력 이벤트에 응답하여 생체 센서 모듈로부터 센싱 데이터를 획득하고, 상기 보안 영역에서 획득된 센싱 데이터를 처리하여 생체 정보 등록 결과 정보 및 생체 인식 결과 정보를 일반 영역으로 전달하도록 제어하는 프로세서를 포함할 수 있다.
상기 프로세서는, 보안 영역에서, 센싱 데이터로부터 특징 정보를 산출하고, 특징 정보를 기반으로 생체 데이터를 생성하고, 상기 생체 데이터를 고유의 식별 정보를 기반으로 생성된 유니크 키를 이용하여 암호화하고, 암호화된 생체 데이터를 생체 정보로 등록하도록 제어할 수 있다.
상기 프로세서는, 상기 암호화된 생체 데이터를 일반 영역으로 전달하고, 일반 영역에서 암호화된 생체 데이터를 저장할 수 있다.
상기 프로세서는, 보안 영역 또는 일반 영역으로 할당된 메모리로부터 암호화된 등록 데이터를 획득하고, 암호화된 등록 데이터를 고유의 식별 정보를 기반으로 생성된 유니크 키를 이용하여 복호화하고, 복호화된 등록 데이터와 생성된 생체 데이터를 비교하여 생체 인증을 수행하고, 상기 비교 결과, 데이터의 매칭값이 설정된 임계값을 초과하는 경우, 생체 인식 성공한 것으로 판단하고, 매칭 값이 설정된 임계값 이하인 경우, 생체 인식 실패한 것으로 판단할 수 있다.
상기 프로세서는, 등록 또는 인식 결과에 대응하는 진위형 타입의 신호로 전달할 수 있다.
상기 프로세서는, 상기 생체 데이터를 변형 함수를 이용하여 모조 데이터를 생성하고, 모조 데이터를 암호화하고, 암호화된 모조 데이터를 생체 등록 정보로 저장할 수 있다.
상기 프로세서는, 셍체 인식 인증 시 모조 데이터 기반으로 생체 인식 인증을 수행할 수 있다.
상기 프로세서는, 생체 정보에 대한 외부 노출 시 변형 함수를 변경하도록 제어할 수 있다.
상기 변형 함수는, 보안 모드 또는 별도의 보안 하드웨어를 통해 제공되는 값을 이용할 수 있다.
도 6은 본 발명의 일 실시예에 따라 전자장치의 보안 영역에서 외부 장치와 통신 시의 동작을 설명하기 위한 블록 구성도이다.
도 6에 예시한 전자장치 400은 도 4에서 설명한 보안 영역 420에 포함된 생체 정보 통신 모듈 423과 생체 정보 처리 모듈 422의 관계와 서버 106 및 무선 통신 네트워크 162만을 도시하였다.
생체 정보 통신 모듈 423은 서버 106으로부터 생체 정보에 대한 결과가 요청될 시 서버 106과 암호화/복호화 또는 암호화 방식을 협의하고, 협의된 방식에 따라 설정된 채널 상에서 암호화하여 보안 채널(secure channel)을 형성할 수 있다. 또한 서버 106에서 요구하는 암호화/복호화 또는 암호화 방식을 수행하기 위한 제어 데이터가 또는 프로그램이 전자장치 400 내에 탑재되어 있지 않은 경우 서버 106으로부터 해당 데이터 또는 프로그램을 수신하여 저장할 수 있다. 이처럼 저장된 암호화/복호화 또는 암호화 방식의 데이터를 이용하여 생체 데이터를 암호화하고, 보안 채널을 통해 전송할 수 있다.
생체 정보 통신 모듈 423은 보안 채널을 통해 생체 데이터를 암호화하여 전송하는 경우 생체 정보 처리 모듈 422로부터 제공된 소정의 메시지를 암호화할 수 있다. 암호화가 필요한 메시지는 인증 결과 정보를 포함할 수 있으며, 그 밖의 다른 정보들을 함께 포함할 수 있다. 또한 생체 정보 통신 모듈 423은 무선 통신 네트워크 162와 연결될 시 연결되는 네트워크의 종류 또는 식별자 정보와 위치 정보 등을 함께 메시지 내에 포함할 수 있다. 또 다른 소정의 메시지에 포함되는 정보의 실시예로는 서버 106에서 인증 결과를 확인할 수 있는 미리 약속된 메시지, 공통된 함수로 생성된 임시 비밀번호 또는 그 조합으로 만들어진 정보가 포함될 수 있다.
생체 정보 처리 모듈 422는 내부에 생체 인증 모듈 610과 임베디드 보안 요소(embedded Secure Element, eSE) 602 및 보안 저장 매체 601을 포함할 수 있다. 또한 임베디드 보안 요소 602 또는 보안 저장 매체 601은 실제로 메모리 402 상에 구현될 수도 있다. 임베디드 보안 요소 602는 생체 인증 모듈 610에서 생성된 인증 메시지(Info. message)를 암호화하거나 비암호화 된 상태로 저장할 수 있다. 보안 저장 매체 601 또한 생체 인증 모듈 610에서 생성된 인증 메시지(Info. message)를 암호화하거나 비암호화 된 상태로 저장할 수 있다.
생체 인증 모듈 610은 내부에 매칭 모듈 611(예: 도 5의 데이터 매칭부 520)과 생체 데이터 처리 모듈 612를 포함할 수 있다. 그 밖에 다른 모듈들을 더 포함할 수 있으나, 도 6의 실시예에서는 매칭 모듈 611 및 생체 데이터 처리 모듈 612만을 포함한 형태로 설명하기로 한다.
매칭 모듈 611은 기 등록된 생체 정보와 생체 센서 401로부터 신규 입력된 생체 정보를 비교하여 매칭 여부 또는 매칭률 등에 대한 정보를 생성할 수 있다. 또한 매칭 모듈 611은 매칭이 요구될 시의 부가 정보를 생성할 수도 있다. 가령, 생체 매칭 적합도 점수, 계정과 연동되는 경우 계정, 시도 횟수, 생체 정보가 지문인 경우 어떤 손의 몇 번째 손가락인지에 대한 정보 등을 함께 생성할 수도 있다. 여기서 어떤 손의 몇 번째 손가락인지 정보인지에 대한 정보는 사용자가 생체 정보를 등록할 시 미리 설정한 정보일 수 있다.
생체 데이터 처리 모듈 612는 생체 센서 401로부터 입력된 로우 데이터를 캡쳐하여 특징을 추출하여 특징 정보(Template Information)를 생성할 수도 있고, 특징 정보를 미리 설정된 방식으로 암호화할 수 있다. 또한 생체 데이터 처리 모듈 612는 기 등록된 정보를 수신하여 복호화를 수행할 수도 있다. 경우에 따라서는 생체 데이터 처리 모듈 612에서 수행하는 것으로 설명한 특징 정보의 암호화 및 복호화는 도 6에 도시하지 않은 다른 모듈 예컨대, 별도의 암호화/복호화 모듈에서 수행될 수도 있다.
도 6의 무선 통신 네트워크 162는 다양한 형태가 될 수 있다. 예컨대, 3G 네트워크, LTE 네트워크, LTE-A 네트워크, WiFi 네트워크 등 양방향 무선 통신을 통해 소정의 서버와 접속할 수 있는 가능한 어떠한 네트워크라도 무방하다. 또한 무선 통신 네트워크 162는 하나의 단일 네트워크일 수도 있고, 다른 여러 형태의 유무선 네트워크가 혼용된 형태일 수도 있다.
서버 106은 네트워크 상에 존재하는 소정의 서버로, 전자장치로 데이터 또는 서비스를 제공할 수 있는 형태이다. 또한 서버 106은 과금이 필요한 서비스 또는 성인 인증 또는 본인 인증 등이 필요한 서비스에 대하여 인증을 요구할 수 있고, 인증 요청 방식으로 생체 인증 방식을 요청할 수 있다.
본 개시에 따른 장치는, 서버와 통신이 가능한 전자장치에서 생체 정보를 이용하여 인증을 수행하기 위한 장치로, 생체 정보를 수신하기 위한 생체 센서; 암호화된 생체 정보를 저장하기 위한 메모리; 보안 영역에 존재하며, 소정의 서버와 통신 시 보안 채널을 통해 인증 정보를 포함하는 메시지를 상기 서버로 제공할 수 있는 생체 정보 통신 모듈; 및 상기 보안 인증 요청될 시 기 상기 전자장치의 암호화되어 저장된 생체 정보를 읽어와 복호하고, 사용자의 생체 정보를 입력받아 복호된 생체 정보와 매칭 여부를 판별하여 결과 정보를 생성하여 상기 생체 정보 통신 모듈로 제공하며, 보안 영역에 존재하는 생체 정보 처리 모듈;을 포함할 수 있다.
도 7은 다양한 실시 예에 따른, 전자 장치의 생체 정보 인증 방법을 도시한다.
도 7을 참조하면, 생체 인식 인증(예; 인증 모드)을 위해 동작 710에서 프로세서는 일반 영역(예: 도 3의 331, 도 4의 410)에서 생체 센서 모듈 340 또는 생체 센서 410으로부터 전달되는 인터럽트 신호를 기반으로 생체 정보 입력 이벤트를 검출할 수 있다. 일반 영역에서 프로세서는 생체 인식 인증을 위한 기능 요청이 발생되면 생체 센서 모듈을 활성화시키고, 생체 센싱 모듈을 통해 센싱 객체를 센싱할 수 있다.
동작 720에서 일반 영역의 프로세서는 생체 정보 입력 이벤트가 검출되면, 이벤트 검출 신호를 보안 영역(예: 도 3의 332, 도 4의 420)으로 전달할 수 있다. 이때, 이벤트 검출 신호는 보안 인터럽트 신호일 수 있다.
동작 730에서, 보안 영역의 프로세서는 생체 센싱 모듈 340 또는 생체 센서 410으로부터 센싱 데이터를 획득할 수 있다. 동작 740에서, 보안 영역의 프로세서는 센싱 데이터를 기반으로 인식 객체의 고유 특징 정보를 산출하고, 생체 인증을 위한 생체 인증 데이터를 생성할 수 있다. 여기서, 생체 인증 데이터는 기 설정된 포맷 예를 들면, 템플릿 형태일 수 있다.
동작 750에서 보안 영역의 프로세서는 일반 영역으로부터 암호화된 생체 등록 데이터를 전달받거나, 보안 영역으로 할당된 메모리로부터 암호화된 생체 등록 데이터를 획득할 수 있다.
동작 760에서 보안 영역의 프로세서는, 저장된 생체 등록 데이터(예; 암호화된 생체 데이터)를 복호화할 수 있다. 예를 들면, 보안 영역의 프로세서는, 암호화된 생체 데이터가 획득되면, 암호화된 생체 데이터를 유니크 키를 이용하여 복호화할 수 있다. 프로세서는, 유니크 키 생성을 위한 함수 정보를 접근이 제한된 보안 영역으로 할당된 메모리로부터 획득하고, 획득된 함수 정보를 통해 유니크 키를 생성할 수 있다.
동작 770에서 보안 영역의 프로세서는 생체 인증 데이터 및 생체 등록 데이터로부터 산출된 특징 정보를 비교하여 매칭값을 산출할 수 있다.
동작 780에서 보안 영역의 프로세서는 특징 정보의 매칭값을 기준으로 생체 인증 성공 여부를 판단할 수 있다. 예를 들면, 프로세서는 매칭값이 설정된 임계값을 초과하는 경우, 생체 인증이 성공된 것으로 판단하고, 매칭값이 설정된 임계값 이하인 경우, 생체 인증이 실패한 것으로 판단할 수 있다.
동작 785에서 보안 영역의 프로세서는 생체 인식 인증 결과를 일반 영역으로 전달할 수 있다. 동작 790에서 일반 영역의 프로세서는 생체 인식 인증 결과를 사용자 인터페이스 또는 전자 장치의 구성요소를 통해 사용자에게 제공할 수 있다.
한편, 프로세서는 로우 데이터(raw data)의 품질 저하 등의 원인으로 생체 정보 인식이 실패할 경우, 재인식 절차를 수행하도록 처리할 수 있다. 이를 위해, 일반 영역에서 프로세서는 인식 실패에 대한 피드백(예; 시각적, 청각적 효과 등) 및 새로운 센싱 데이터의 획득 중 적어도 하나를 사용자 인터페이스를 통해 제공되도록 제어할 수 있다.
도 8은 본 발명의 일 실시예에 따라 전자장치가 서버 간 생체 정보를 이용한 인증이 필요할 시 신호 흐름도이다. 이하 도 8를 설명함에 있어, 전자장치는 도 4에 예시한 구성을 이용하여 설명하기로 한다.
전자장치 400은 800단계에서 소정의 무선 통신 네트워크 162를 통해 서버 106으로 접속을 요청할 수 있다. 이러한 서버 접속 요청은 일반적인 접속 요청일 수도 있으며, 전자장치 400의 식별자 또는/및 사용자의 식별자 및 비밀번호 등을 포함하여 접속을 요청할 수도 있다. 이처럼 접속이 요청되면, 서버 106은 802단계에서 인증 처리를 위한 동작을 수행한 후 804단계에서 인증 결과를 제공한다. 인증 결과는 식별자와 비밀번호 등을 입력한 경우 접속 성공에 따른 데이터 또는 식별자나 비밀번호 오류를 알리는 정보가 될 수 있다. 여기서는 인증에 성공한 경우를 가정하여 설명하기로 한다.
804단계에서 인증 성공에 따른 인증 결과를 제공받으면, 전자장치 400은 806단계에서 인증에 따른 표시를 수행할 수 있다. 예컨대, 서버 106에서 제공하는 서비스를 제공받을 수 있는 상태의 정보를 수신하여 디스플레이(예: 150 또는 260)에 표시할 수 있다. 이후 사용자는 서버 106으로부터 여러 가지 서비스를 제공받을 수 있다. 이러한 서비스 제공에 대하여는 여기서는 더 살피지 않기로 한다.
이후 사용자가 보안 인증이 필요한 특정한 서비스를 요청하면, 전자장치 400은 808단계에서 보안 인증이 필요한 서비스를 요청할 수 있다. 그러면 서버 106은 810단계에서 보안 채널 설정을 요구하며, 보안 인증을 요청할 수 있다. 이때 보안 채널 설정 요구는 전자장치 400에서 수행할 수 있는 암호화/복호화 방법을 이용하거나 또는 서버 106에서 제공할 수 있는 암호화/복호화 방법을 이용하여 데이터의 송수신이 이루어지도록 요구하는 동작일 수 있다. 예컨대, 전자장치 400에서 수행할 수 있는 암호화/복호화 방법을 이용하는 경우 전자장치 400으로 수행할 수 있는 암호화/복호화 방법의 정보를 요구하고, 서버 106에서 수행할 수 있는 암호화/복호화 방법과 매칭되는 방법을 선택할 수 있다. 반대로, 서버 106에서 수행할 수 있는 암호화/복호화 방법을 전자장치 400으로 제공하고, 전자장치 400에서 제공된 암호화/복호화 방법들 중 어느 하나를 선택하도록 할 수도 있다.
또 다른 방법으로 서버 106에서 제공하는 특정한 암호화/복호화 방법으로 데이터의 송/수신을 요청할 수도 있다. 이때 만일 전자장치 400에서 서버 106에서 요구하는 암호화/복호화 방법을 수행하기 위한 프로그램 또는 제어 데이터가 존재하지 않는 경우 서버 106으로부터 해당 데이터를 다운로드 받아 수행하도록 할 수도 있다. 이러한 경우 전자장치 400은 서버 106으로부터 소정의 무선 네트워크 162를 통해 해당하는 암호화 프로그램을 다운로드 받아 전자장치 400에 설치할 수 있다.
이처럼 보안 인증이 요청될 시 전자장치 400은 812단계에서 해당하는 프로그램의 유무 검사 및 다운로드 등을 수행하여 보안 인증을 위한 동작을 수행한다. 또한 본 발명에 따른 전자장치 400은 814단계에서 생체 정보를 입력받을 수 있다. 이때, 생체 정보를 입력받는 경우는 사용자가 미리 전자장치 400에 생체 정보를 등록한 경우이며, 서버 106로부터 보안 인증에 생체 정보를 요구한 경우가 될 수 있다.
또한 서버 106은 사용자가 보안 인증의 방법으로 생체 정보 인증을 선택한 경우에 생체 정보 인증을 요구할 수 있다. 따라서 814단계의 생체 정보 입력 동작은 앞서 설명한 바와 같이 기 등록된 생체 정보를 이용하여 사용자를 인증하기 위한 동작이 될 수 있다. 생체 정보를 이용하여 사용자를 인증하는 동작은 앞서 설명하였으므로 여기서는 더 설명하지 않기로 한다.
전자장치 400의 생체 정보 통신 모듈 423은 816단계에서 생체 정보 처리 모듈 422에서 생성된 결과 즉, 기 등록된 데이터와 일치 여부 정보를 메시지로 구성하고, 818단계에서 생성된 메시지를 서버 106으로 전송할 수 있다. 이때 생성되는 메시지는 매치 여부 또는 매칭 정도(match score), 시도 횟수(trial times), 계정과 연동되는 경우 계정, 지문인 경우 어떠한 손의 몇 번째 손가락인지 여부, 인증 시각 정보, 전자장치의 인증 값, 전자장치의 위치 정보, 네트워크의 정보(예를 들어, 3G 네트워크 또는 Wifi에 대한 정보), 공통된 함수로 생성된 임시 비밀번호, 인증 결과를 확인할 수 있는 임의의 값 중 어느 하나 이상을 포함할 수 있다.
또한 전자장치 400은 818단계에서 보안 인증 결과 보고를 수행할 시 앞서 설명한 바와 같이 미리 설정된 암호화 방법을 통해 메시지를 암호화한 상태 즉, 보안 채널(Secure channel)을 통해 전송할 수 있다.
서버 106은 818단계에서 보안 채널을 통해 결과 메시지를 수신하고, 820단계에서 수신된 메시지를 복호하여 인증 성공을 지시하는 경우 요구된 서비스를 처리한다. 가령, 요구된 서비스는 물품의 구매 또는 유료 서비스 또는 성인인증 서비스 또는 본인 인증 서비스 등이 될 수 있다.
서버 106은 이러한 처리를 수행한 후 822단계에서 서비스가 요청된 경우 서비스 자체를 제공하거나 또는 결재가 요구된 경우 결재된 결과를 보안 채널을 통해 전자장치 400으로 제공할 수 있다.
서버와 통신이 가능한 전자장치에서 생체 정보를 이용한 인증 방법으로, 상기 서버로부터 보안 인증 요청이 존재할 시 기 상기 전자장치의 보안 영역에서 암호화되어 저장된 생체 정보를 읽어와 복호하는 단계; 상기 보안 영역에서 사용자의 생체 정보를 입력받아 복호된 생체 정보와 매칭 여부를 판별하는 단계; 및 상기 판별된 결과 정보를 포함하는 메시지로 구성하여 상기 서버로 보고하는 단계;를 포함할 수 있다.
다양한 실시예들에 따르면, 본 개시에 따른 장치(예: 모듈들 또는 그 기능들) 또는 방법(예: 동작들)의 적어도 일부는, 예컨대, 프로그래밍 모듈의 형태로 컴퓨터로 읽을 수 있는 저장매체(computer-readable storage media)에 저장된 명령어로 구현될 수 있다. 명령어는, 하나 이상의 프로세서 (예: 프로세서 210)에 의해 실행될 경우, 하나 이상의 프로세서가 명령어에 해당하는 기능을 수행할 수 있다. 컴퓨터로 읽을 수 있는 저장매체는, 예를 들면, 메모리 220이 될 수 있다. 프로그래밍 모듈의 적어도 일부는, 예를 들면, 프로세서 210에 의해 구현(implement)(예: 실행)될 수 있다. 프로그래밍 모듈의 적어도 일부는 하나 이상의 기능을 수행하기 위한, 예를 들면, 모듈, 프로그램, 루틴, 명령어 세트 (sets of instructions) 또는 프로세스 등을 포함할 수 있다.
컴퓨터로 판독 가능한 기록 매체에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 마그네틱 매체(Magnetic Media)와, CD-ROM(Compact Disc Read Only Memory), DVD(Digital Versatile Disc)와 같은 광기록 매체(Optical Media)와, 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media)와, 그리고 ROM(Read Only Memory), RAM(Random Access Memory), 플래시 메모리 등과 같은 프로그램 명령(예: 프로그래밍 모듈)을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 또한, 프로그램 명령에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 본 개시의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지다.
본 개시에 따른 모듈 또는 프로그래밍 모듈은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 본 개시에 따른 모듈, 프로그래밍 모듈 또는 다른 구성요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱(heuristic)한 방법으로 실행될 수 있다. 또한, 일부 동작은 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
그리고 본 명세서와 도면에 개시된 실시 예들은 본 개시의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 따라서 본 개시의 범위는 여기에 개시된 실시 예들 이외에도 본 개시의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 개시의 범위에 포함되는 것으로 해석되어야 한다.
다양한 실시예들에 따르면, 본 개시에 따른 장치(예: 모듈들 또는 그 기능들) 또는 방법(예: 동작들)의 적어도 일부는, 예컨대, 프로그래밍 모듈의 형태로 컴퓨터로 읽을 수 있는 저장매체(computer-readable storage media)에 저장된 명령어로 구현될 수 있다. 명령어는, 하나 이상의 프로세서 (예: 프로세서 210)에 의해 실행될 경우, 하나 이상의 프로세서가 명령어에 해당하는 기능을 수행할 수 있다. 컴퓨터로 읽을 수 있는 저장매체는, 예를 들면, 메모리 220이 될 수 있다. 프로그래밍 모듈의 적어도 일부는, 예를 들면, 프로세서 210에 의해 구현(implement)(예: 실행)될 수 있다. 프로그래밍 모듈의 적어도 일부는 하나 이상의 기능을 수행하기 위한, 예를 들면, 모듈, 프로그램, 루틴, 명령어 세트 (sets of instructions) 또는 프로세스 등을 포함할 수 있다.
컴퓨터로 판독 가능한 기록 매체에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 마그네틱 매체(Magnetic Media)와, CD-ROM(Compact Disc Read Only Memory), DVD(Digital Versatile Disc)와 같은 광기록 매체(Optical Media)와, 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media)와, 그리고 ROM(Read Only Memory), RAM(Random Access Memory), 플래시 메모리 등과 같은 프로그램 명령(예: 프로그래밍 모듈)을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함될 수 있다. 또한, 프로그램 명령에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 본 개시의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지다.
본 개시에 따른 모듈 또는 프로그래밍 모듈은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 본 개시에 따른 모듈, 프로그래밍 모듈 또는 다른 구성요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱(heuristic)한 방법으로 실행될 수 있다. 또한, 일부 동작은 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
그리고 본 명세서와 도면에 개시된 실시 예들은 본 개시의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 따라서 본 개시의 범위는 여기에 개시된 실시 예들 이외에도 본 개시의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 개시의 범위에 포함되는 것으로 해석되어야 한다.
100, 102, 104 : 전자 장치
110 : 버스
120 : 프로세서 130 : 메모리
131 : 커널 132 : 미들웨어
133 : 어플리케이션 프로그래밍 인터페이스(API)
134 : 어플리케이션 140 : 입출력 인터페이스
150 : 디스플레이 160 : 통신 인터페이스
162 : 네트워크 164 : 서버
170 : 어플리케이션 제어 모듈
200 : 하드웨어 210 : 어플리케이션 프로세서(AP)
224_1~N : 슬롯 225_1~N : SIM 카드
230 : 메모리 266 : 프로젝터
232 : 내장메모리 234 : 외장메모리
220 : 통신 모듈 221 : 셀룰러 모듈
223 : Wi-Fi 모듈 229 : RF 모듈
225 : BT 모듈 227 : GPS 모듈
228 : NFC 모듈 240 : 센서 모듈
240A :제스쳐 센서 240B : 자이로 센서
240C : 기압 센서 240D : 마그네틱 센서
240E : 가속도 센서 240F : 그립 센서
240G : 근접 센서 240H : RGB 센서
240I : 생체 센서 240J : 온/습도 센서
240K : 조도 센서 240M : UV 센서
250 : 입력 장치 252 : 터치 패널
254 : 펜 센서 256 : 키
258 : 초음파 입력장치 260 : 디스플레이 모듈
262 : 패널 264 : 홀로그램 장치
270 : 인터페이스 272 : HDMI
274 : USB 276 : 광 인터페이스
278 : D-SUB 280 : 오디오 모듈
282 : 스피커 284 : 리시버
286 : 이어폰 288 : 마이크
291 : 카메라 모듈 295 : 전력 관리 모듈
296 : 배터리 297 : 인디케이터
298 : 모터 311 : 가상 일반 코어
312 : 가상 보안 코어 320 : 프로세서
330 : 메모리 331 : 일반 영역
332 : 보안 영역 333 : 공유 영역
340 : 생체 센서 모듈 400 : 전자장치
401 : 생체 센서 402 : 메모리
410 : 일반 영역 411 : 일반 영역 입출력 인터페이스
412 : 생체 정보 인식 서비스 모듈
413 : 생체 정보 인식 어플리케이션
420 : 보안 영역
421 : 보안 영역 입출력 인터페이스
422 : 생체 정보 처리 모듈 423 : 생체 정보 통신 모듈
510 : 생체 데이터 생성부 520 : 데이터 매칭부
530 : 보안 처리부 601 : 보안 저장 매체
602 : 임베디드 보안 요소 610 : 생체 인증 모듈
611 : 매칭 모듈 612 : 생체 데이터 처리 모듈
120 : 프로세서 130 : 메모리
131 : 커널 132 : 미들웨어
133 : 어플리케이션 프로그래밍 인터페이스(API)
134 : 어플리케이션 140 : 입출력 인터페이스
150 : 디스플레이 160 : 통신 인터페이스
162 : 네트워크 164 : 서버
170 : 어플리케이션 제어 모듈
200 : 하드웨어 210 : 어플리케이션 프로세서(AP)
224_1~N : 슬롯 225_1~N : SIM 카드
230 : 메모리 266 : 프로젝터
232 : 내장메모리 234 : 외장메모리
220 : 통신 모듈 221 : 셀룰러 모듈
223 : Wi-Fi 모듈 229 : RF 모듈
225 : BT 모듈 227 : GPS 모듈
228 : NFC 모듈 240 : 센서 모듈
240A :제스쳐 센서 240B : 자이로 센서
240C : 기압 센서 240D : 마그네틱 센서
240E : 가속도 센서 240F : 그립 센서
240G : 근접 센서 240H : RGB 센서
240I : 생체 센서 240J : 온/습도 센서
240K : 조도 센서 240M : UV 센서
250 : 입력 장치 252 : 터치 패널
254 : 펜 센서 256 : 키
258 : 초음파 입력장치 260 : 디스플레이 모듈
262 : 패널 264 : 홀로그램 장치
270 : 인터페이스 272 : HDMI
274 : USB 276 : 광 인터페이스
278 : D-SUB 280 : 오디오 모듈
282 : 스피커 284 : 리시버
286 : 이어폰 288 : 마이크
291 : 카메라 모듈 295 : 전력 관리 모듈
296 : 배터리 297 : 인디케이터
298 : 모터 311 : 가상 일반 코어
312 : 가상 보안 코어 320 : 프로세서
330 : 메모리 331 : 일반 영역
332 : 보안 영역 333 : 공유 영역
340 : 생체 센서 모듈 400 : 전자장치
401 : 생체 센서 402 : 메모리
410 : 일반 영역 411 : 일반 영역 입출력 인터페이스
412 : 생체 정보 인식 서비스 모듈
413 : 생체 정보 인식 어플리케이션
420 : 보안 영역
421 : 보안 영역 입출력 인터페이스
422 : 생체 정보 처리 모듈 423 : 생체 정보 통신 모듈
510 : 생체 데이터 생성부 520 : 데이터 매칭부
530 : 보안 처리부 601 : 보안 저장 매체
602 : 임베디드 보안 요소 610 : 생체 인증 모듈
611 : 매칭 모듈 612 : 생체 데이터 처리 모듈
Claims (11)
- 서버와 통신이 가능한 전자장치에서 생체 정보를 이용한 인증 방법에 있어서,
상기 서버로부터 보안 인증 요청이 존재할 시 기 상기 전자장치의 보안 영역에서 저장된 생체 정보를 읽어오는 단계;
상기 보안 영역에서 사용자의 생체 정보를 입력받아 생체 정보와 매칭 여부를 판별하는 단계; 및
상기 판별된 결과 정보를 포함하는 메시지로 구성하여 상기 서버로 보고하는 단계;를 포함하는, 전자장치에서 생체 정보를 이용한 인증 방법. - 제1항에 있어서,
상기 메시지는 미리 설정된 방식으로 암호화하여 보안 채널 상으로 전송하는, 전자장치에서 생체 정보를 이용한 인증 방법. - 제1항에 있어서,
상기 사용자의 생체 정보를 입력 받을 시 상기 생체 정보의 특징 정보를 추출하는 단계; 및
상기 추출된 특징 정보와 상기 복호된 생체 정보를 비교하여 매칭 여부를 판별하는 단계로 이루어지는, 전자장치에서 생체 정보를 이용한 인증 방법. - 제1항에 있어서,
상기 서버로부터 보안 인증 요청 시 상기 서버와 매칭된 암호화 방법이 존재하지 않는 경우 상기 서버로부터 암호화 프로그램을 수신하는 단계;를 더 포함하는, 전자장치에서 생체 정보를 이용한 인증 방법. - 제4항에 있어서,
상기 메시지는 상기 서버로부터 수신된 암호화 프로그램을 이용하여 암호화한 후 보안 채널 상으로 전송하는, 전자장치에서 생체 정보를 이용한 인증 방법. - 제1항에 있어서, 상기 결과 정보를 포함하는 메시지는,
매칭 정도(match score), 시도 횟수(trial times), 계정과 연동되는 경우 계정, 상기 생체 정보가 지문인 경우 어떠한 손의 몇 번째 손가락인지의 정보, 인증 시각 정보, 전자장치의 인증 값, 전자장치의 위치 정보, 네트워크의 정보, 상기 서버와 공통된 함수로 생성된 임시 비밀번호, 인증 결과를 확인할 수 있는 임의의 값 중 어느 하나 이상을 포함하는, 전자장치에서 생체 정보를 이용한 인증 방법. - 서버와 통신이 가능한 전자장치에서 생체 정보를 이용하여 인증을 수행하기 위한 장치에 있어서,
생체 정보를 수신하기 위한 생체 센서;
암호화된 생체 정보를 저장하기 위한 메모리;
보안 영역에 존재하며, 소정의 서버와 통신 시 보안 채널을 통해 인증 정보를 포함하는 메시지를 상기 서버로 제공할 수 있는 생체 정보 통신 모듈; 및
상기 보안 인증 요청될 시 기 상기 전자장치의 암호화되어 저장된 생체 정보를 읽어와 복호하고, 사용자의 생체 정보를 입력받아 복호된 생체 정보와 매칭 여부를 판별하여 결과 정보를 생성하여 상기 생체 정보 통신 모듈로 제공하며, 보안 영역에 존재하는 생체 정보 처리 모듈;을 포함하는, 전자장치에서 생체 정보를 이용한 인증 장치. - 제7항에 있어서, 상기 생체 정보 처리 모듈은,
상기 사용자의 생체 정보를 입력 받을 시 상기 생체 정보의 특징 정보를 추출하고, 상기 추출된 특징 정보와 상기 복호된 생체 정보를 비교하여 매칭 여부를 판별하는, 전자장치에서 생체 정보를 이용한 인증 장치. - 제7항에 있어서, 상기 생체 정보 통신 모듈은,
상기 서버로부터 보안 인증 요청 시 상기 서버와 매칭된 암호화 방법이 존재하지 않는 경우 상기 서버로부터 암호화 프로그램을 수신하여 설치하는, 전자장치에서 생체 정보를 이용한 인증 장치. - 제9항에 있어서, 상기 메시지는,
상기 서버로부터 수신된 암호화 프로그램을 이용하여 암호화된 메시지인, 전자장치에서 생체 정보를 이용한 인증 장치. - 제7항에 있어서, 상기 결과 정보를 포함하는 메시지는,
매칭 정도(match score), 시도 횟수(trial times), 계정과 연동되는 경우 계정, 상기 생체 정보가 지문인 경우 어떠한 손의 몇 번째 손가락인지의 정보, 인증 시각 정보, 전자장치의 인증 값, 전자장치의 위치 정보, 네트워크의 정보, 상기 서버와 공통된 함수로 생성된 임시 비밀번호, 인증 결과를 확인할 수 있는 임의의 값 중 어느 하나 이상을 포함하는, 전자장치에서 생체 정보를 이용한 인증 장치.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140018998A KR102216877B1 (ko) | 2014-02-19 | 2014-02-19 | 전자장치에서 생체 정보를 이용한 인증 방법 및 장치 |
| US14/623,845 US9712524B2 (en) | 2014-02-19 | 2015-02-17 | Method and apparatus for user authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140018998A KR102216877B1 (ko) | 2014-02-19 | 2014-02-19 | 전자장치에서 생체 정보를 이용한 인증 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150098002A true KR20150098002A (ko) | 2015-08-27 |
| KR102216877B1 KR102216877B1 (ko) | 2021-02-18 |
Family
ID=53799166
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140018998A KR102216877B1 (ko) | 2014-02-19 | 2014-02-19 | 전자장치에서 생체 정보를 이용한 인증 방법 및 장치 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9712524B2 (ko) |
| KR (1) | KR102216877B1 (ko) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018128328A3 (ko) * | 2017-01-05 | 2018-08-30 | 주식회사 아이리시스 | 생체 정보를 처리하는 회로 모듈 및 이를 포함하는 생체 정보 처리 장치 |
| KR102078501B1 (ko) * | 2019-03-13 | 2020-04-07 | 김용구 | 무인점포 성인 인증 시스템 및 방법 |
| WO2021085799A1 (ko) * | 2019-11-01 | 2021-05-06 | 이선관 | 사용자 생체 정보를 이용하여 본인 인증을 수행하는 전자 장치 및 그 동작 방법 |
| US11238454B2 (en) | 2016-11-14 | 2022-02-01 | Seon Gwan Lee | Biometric data verification method and system using mobile devices |
| KR20220057075A (ko) * | 2020-10-29 | 2022-05-09 | 주식회사 웨이브쓰리디 | 드론의 사용자 인증 시스템 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102208631B1 (ko) * | 2014-02-19 | 2021-01-28 | 삼성전자 주식회사 | 전자 장치의 보안 정보 입출력 방법 및 이를 사용하는 전자 장치 |
| EP2911076A1 (en) * | 2014-02-24 | 2015-08-26 | Mastercard International Incorporated | Biometric authentication |
| CN106155504B (zh) * | 2015-03-26 | 2019-09-10 | 小米科技有限责任公司 | 模组唤醒方法及装置 |
| US10061910B2 (en) * | 2015-06-09 | 2018-08-28 | Intel Corporation | Secure biometric data capture, processing and management for selectively prohibiting access to a data storage component from an application execution environment |
| CN105631286A (zh) * | 2015-09-29 | 2016-06-01 | 宇龙计算机通信科技(深圳)有限公司 | 存储指纹模板信息、采用指纹信息进行认证的方法及装置 |
| US11405387B1 (en) * | 2016-05-31 | 2022-08-02 | Wells Fargo Bank, N.A. | Biometric electronic signature authenticated key exchange token |
| US10469487B1 (en) * | 2016-05-31 | 2019-11-05 | Wells Fargo Bank, N.A. | Biometric electronic signature authenticated key exchange token |
| US10154029B1 (en) | 2016-05-31 | 2018-12-11 | Wells Fargo Bank, N.A. | Biometric knowledge extraction for mutual and multi-factor authentication and key exchange |
| US11036870B2 (en) | 2016-08-22 | 2021-06-15 | Mastercard International Incorporated | Method and system for secure device based biometric authentication scheme |
| US10404464B2 (en) * | 2016-08-22 | 2019-09-03 | Mastercard International Incorporated | Method and system for secure FIDO development kit with embedded hardware |
| DE102017203235A1 (de) | 2017-02-28 | 2018-08-30 | Siemens Aktiengesellschaft | Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server |
| KR102316278B1 (ko) * | 2017-04-07 | 2021-10-22 | 삼성전자 주식회사 | 지문 정보를 저장하기 위한 전자 장치 및 방법 |
| CN107038571B (zh) * | 2017-04-14 | 2018-07-03 | 桂林微网互联信息技术有限公司 | 用于插入移动终端中的加密卡 |
| CN111742314B (zh) * | 2017-11-06 | 2023-09-29 | 维萨国际服务协会 | 便携式装置上的生物计量传感器 |
| US10855473B1 (en) | 2017-12-15 | 2020-12-01 | Wells Fargo Bank, N.A. | Systems and methods for biometric electronic signature agreement and intention |
| KR102488706B1 (ko) * | 2018-02-14 | 2023-01-17 | 현대자동차주식회사 | 차량 및 그 제어방법 |
| US11212277B1 (en) * | 2018-07-02 | 2021-12-28 | Knwn Technologies, Inc. | System and method for securing, perfecting and accelerating biometric identification via holographic environmental data |
| KR20200100481A (ko) * | 2019-02-18 | 2020-08-26 | 삼성전자주식회사 | 생체 정보를 인증하기 위한 전자 장치 및 그의 동작 방법 |
| CN113327374B (zh) * | 2019-07-01 | 2022-10-04 | 创新先进技术有限公司 | 共享充电设备归还方法以及装置 |
| CN113918906A (zh) * | 2020-07-07 | 2022-01-11 | 瑞昱半导体股份有限公司 | 认证数据传输方法与系统 |
| KR102263768B1 (ko) * | 2020-11-09 | 2021-06-11 | 주식회사 고스트패스 | 사용자 생체 정보를 이용하는 본인 인증 시스템 |
| CN114826648A (zh) * | 2022-03-09 | 2022-07-29 | 北京快乐茄信息技术有限公司 | 一种认证组件、认证方法、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106895A1 (en) * | 2005-11-04 | 2007-05-10 | Kung-Shiuh Huang | Biometric non-repudiation network security systems and methods |
| US20080031448A1 (en) * | 2006-06-20 | 2008-02-07 | International Business Machines Corporation | Content distributing method, apparatus and system |
| US20090282466A1 (en) * | 2005-08-18 | 2009-11-12 | Kaoru Uchida | User Authentication System, Terminal Used in the Same, Authentication Verification Device, and Program |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7114080B2 (en) * | 2000-12-14 | 2006-09-26 | Matsushita Electric Industrial Co., Ltd. | Architecture for secure remote access and transmission using a generalized password scheme with biometric features |
| KR100800371B1 (ko) | 2002-12-31 | 2008-02-04 | 인터내셔널 비지네스 머신즈 코포레이션 | 데이터 처리 방법 및 컴퓨터 판독 가능 매체 |
| US7401230B2 (en) * | 2004-03-31 | 2008-07-15 | Intel Corporation | Secure virtual machine monitor to tear down a secure execution environment |
| US8700909B2 (en) | 2010-02-26 | 2014-04-15 | International Business Machines Corporation | Revocation of a biometric reference template |
| US8887232B2 (en) * | 2012-02-27 | 2014-11-11 | Cellco Partnership | Central biometric verification service |
-
2014
- 2014-02-19 KR KR1020140018998A patent/KR102216877B1/ko active IP Right Grant
-
2015
- 2015-02-17 US US14/623,845 patent/US9712524B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090282466A1 (en) * | 2005-08-18 | 2009-11-12 | Kaoru Uchida | User Authentication System, Terminal Used in the Same, Authentication Verification Device, and Program |
| US20070106895A1 (en) * | 2005-11-04 | 2007-05-10 | Kung-Shiuh Huang | Biometric non-repudiation network security systems and methods |
| US20080031448A1 (en) * | 2006-06-20 | 2008-02-07 | International Business Machines Corporation | Content distributing method, apparatus and system |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11238454B2 (en) | 2016-11-14 | 2022-02-01 | Seon Gwan Lee | Biometric data verification method and system using mobile devices |
| US11810114B2 (en) | 2016-11-14 | 2023-11-07 | Ghost Pass Inc. | Financial payment method and payment system using mobile device |
| WO2018128328A3 (ko) * | 2017-01-05 | 2018-08-30 | 주식회사 아이리시스 | 생체 정보를 처리하는 회로 모듈 및 이를 포함하는 생체 정보 처리 장치 |
| KR102078501B1 (ko) * | 2019-03-13 | 2020-04-07 | 김용구 | 무인점포 성인 인증 시스템 및 방법 |
| WO2021085799A1 (ko) * | 2019-11-01 | 2021-05-06 | 이선관 | 사용자 생체 정보를 이용하여 본인 인증을 수행하는 전자 장치 및 그 동작 방법 |
| KR20220057075A (ko) * | 2020-10-29 | 2022-05-09 | 주식회사 웨이브쓰리디 | 드론의 사용자 인증 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150237046A1 (en) | 2015-08-20 |
| KR102216877B1 (ko) | 2021-02-18 |
| US9712524B2 (en) | 2017-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102216877B1 (ko) | 전자장치에서 생체 정보를 이용한 인증 방법 및 장치 | |
| US20230325538A1 (en) | Method and apparatus for processing biometric information in electronic device | |
| US10237269B2 (en) | Method of providing information security and electronic device thereof | |
| KR102213448B1 (ko) | 전자 장치의 인증 상태를 제어하는 방법 및 이를 이용한 전자 장치 | |
| KR102216653B1 (ko) | 지문 인증을 통하여 통신을 수행하는 전자 장치 및 방법 | |
| KR102226411B1 (ko) | 재등록을 관리하는 전자 장치 및 방법 | |
| US20150074418A1 (en) | Method and apparatus for outputting recognized error of sensor in electronic device | |
| KR102351042B1 (ko) | 전자 장치의 인증 방법 및 장치 | |
| KR20150128202A (ko) | 전자 기기간 콘텐트 공유 방법 및 장치 | |
| US10664578B2 (en) | Security information inputting/outputting method and electronic device adapted to the method | |
| KR20160035427A (ko) | 전자 장치 및 액세서리 장치와 액세서리 장치 인증 방법 | |
| KR20150117543A (ko) | 인증 관리 방법 및 장치 | |
| KR102180529B1 (ko) | 어플리케이션 접근 제어 방법 및 이를 구현하는 전자 장치 | |
| KR102349714B1 (ko) | 전자 기기의 프로그램 관리 방법 및 장치 | |
| KR102319708B1 (ko) | 전자 장치의 생체 정보 처리 방법 및 장치 | |
| KR102243231B1 (ko) | 어플리케이션 설치를 관리하는 방법, 전자 장치 및 인증 시스템 | |
| KR20140112392A (ko) | 어플리케이션 접근 제어 방법 및 이를 구현하는 전자장치 | |
| KR20200028370A (ko) | 전자 기기간 연동 방법 및 장치 | |
| KR20140112393A (ko) | 무결성 검사를 이용한 어플리케이션의 접근 제어 방법 및 이를 구현하는 전자 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |