KR20170107409A - Method and apparatus for authenticating using biometric information - Google Patents
Method and apparatus for authenticating using biometric information Download PDFInfo
- Publication number
- KR20170107409A KR20170107409A KR1020170099135A KR20170099135A KR20170107409A KR 20170107409 A KR20170107409 A KR 20170107409A KR 1020170099135 A KR1020170099135 A KR 1020170099135A KR 20170099135 A KR20170099135 A KR 20170099135A KR 20170107409 A KR20170107409 A KR 20170107409A
- Authority
- KR
- South Korea
- Prior art keywords
- biometric information
- registration
- authentication
- decryption key
- storage server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G06K9/00496—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2218/00—Aspects of pattern recognition specially adapted for signal processing
Abstract
Description
아래의 실시예들은 생체정보를 이용한 인증 방법 및 장치에 관한 것이다.The following embodiments relate to an authentication method and apparatus using biometric information.
생체로부터 추출할 수 있는 다양한 신호나 데이터를 활용하여 이를 각종 시스템에서 이용하는 기술이 발전하고 있다. 특히, 생채정보를 이용하여 보안 시스템을 구축하는 생체 인증 기술이 각광을 받고 있다. 예를 들어, 생체 인증 기술에서는 사용자로부터 생체와 연관된 신호나 정보를 추출하여 이를 기존에 저장된 정보와 비교하고 본인임을 확인하여 사용자로 인증한다.Techniques using various signals and data that can be extracted from a living body and using them in various systems are being developed. In particular, a biometric authentication technique for constructing a security system using biometric information is attracting attention. For example, in the biometric authentication technique, a signal or information associated with a living body is extracted from a user, and the extracted signal or information is compared with previously stored information to confirm that the user is a person and authenticated as a user.
또한, 이와 같은 생체 인증 기술에는 네트워크 상에서 구현될 수 있다. 예를 들어, 생체정보를 인식하는 생체정보 인식기는 서버와의 통신을 통하여 사용자를 인증할 수 있다. 보다 자세하게, 생체정보 인식기는 사용자로부터 획득한 생체정보를 암호화한 후 미리 등록된 생체정보를 저장하는 서버에 전송하고, 서버는 생체정보 인식기로부터 획득한 암호화된 생체정보를 복호화한 후, 복호화된 생체정보와 미리 등록된 생체정보를 비교하여 사용자를 인증한다. 이 때, 종래기술에 의하면, 서버에는 생체정보를 복호화하기 위한 복호키와 미리 등록된 생체정보가 함께 저장되어 있으므로, 악의적인 외부 해킹 시도가 하나의 서버에 집중될 수 있고, 서버가 해킹될 경우, 사용자의 생체정보가 유출될 수 있다.Such a biometric authentication technique can also be implemented on a network. For example, a biometric information recognizer that recognizes biometric information can authenticate a user through communication with a server. More specifically, the biometric information recognizer encrypts the biometric information acquired from the user, and transmits the biometric information to a server that stores biometric information registered in advance. The server decrypts the encrypted biometric information acquired from the biometric information recognizer, And verifies the user by comparing the information with biometrics information registered in advance. At this time, according to the related art, since a decryption key for decrypting biometric information and biometric information registered in advance are stored in the server, a malicious external hacking attempt can be concentrated on one server, and when the server is hacked , The biometric information of the user can be leaked.
이에 따라, 최근에는, 보다 안전하게 생체 인증 기술을 네트워크 상에서 구현하기 위한 노력이 계속되고 있다.Accordingly, in recent years, efforts to implement biometric authentication technology more securely on a network have continued.
본 발명이 해결하고자 하는 과제는, 보다 안전하게 사용자의 생체정보를 보관하고, 생체정보에 대한 복호화를 수행하여 사용자를 인증하는 방법 및 장치를 제공하는 것에 있다.A problem to be solved by the present invention is to provide a method and an apparatus for authenticating a user by safely storing biometric information of a user and decrypting biometric information.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및 적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하고, 복호키 저장 서버의 제어 방법은 상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계; 매칭을 위하여 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 적어도 하나의 복호키 중 상기 식별자와 대응되는 복호키를 추출하는 단계; 상기 식별자와 대응되는 복호키를 이용하여 상기 암호화된 인증용 생체정보 및 상기 식별자와 대응되는 등록용 생체정보를 복호화하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및 상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계를 포함하되, 상기 적어도 하나의 복호키는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 등록용 생체정보가 저장된 상기 생체정보 저장 서버와 분리된 상기 복호키 저장 서버에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server for storing biometric information for registration acquired from each of at least one client; A target client included in the at least one client, for acquiring biometric information for authentication of a user and encrypting the biometric information for authentication using a unique cryptographic key; And a decryption key storage server for storing at least one decryption key, wherein the control method of the decryption key storage server comprises: acquiring the identifier of the target client and the encrypted biometric information for authentication; Acquiring the biometric information for registration, the biometric information for registration is encrypted by a client that has transmitted the biometric information for registration, and acquiring registration biometric information corresponding to the identifier of the biometric information for registration, ; Extracting a decryption key corresponding to the identifier among the at least one decryption key; Decrypting the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier using the decryption key corresponding to the identifier; Determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are matched with each other; And providing the matching result to the biometric information storage server or the target client, wherein the at least one decryption key is used for storing the biometric information stored in the registration biometric information storage And the decryption key is stored in the decryption key storage server separated from the server.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및 적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하고, 생체정보 저장 서버의 제어 방법은 상기 타겟 클라이언트의 사용자 인증 요청에 따라 상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계; 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 중 상기 타겟 클라이언트의 식별자와 대응하는 등록용 생체정보를 추출하는 단계; 상기 식별자에 대응되는 등록용 생체정보와 상기 적어도 하나의 복호키 중 적어도 일부를 기초로 복호화된 인증용 생체정보의 매칭 결과를 획득하는 단계; 및 상기 매칭 결과 또는 상기 매칭 결과에 따른 정보를 상기 타겟 클라이언트에게 제공하는 단계를 포함하되, 상기 등록용 생체정보는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 적어도 하나의 복호키가 저장된 상기 복호키 저장 서버와 분리된 상기 생체정보 저장 서버에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server for storing biometric information for registration acquired from each of at least one client; A target client included in the at least one client, for acquiring biometric information for authentication of a user and encrypting the biometric information for authentication using a unique cryptographic key; And a decryption key storage server for storing at least one decryption key, wherein the control method of the biometric information storage server acquires the identifier of the target client and the encrypted biometric information for authentication according to the user authentication request of the target client step; Extracting registration biometric information corresponding to the identifier of the target client among the biometric information for registration - the biometric information for registration is encrypted by a client that has transmitted the registration biometric information; Acquiring a matching result of authentication biometric information decrypted based on at least a part of the biometric information for registration corresponding to the identifier and the at least one decryption key; And providing information on the matching result or the matching result to the target client, wherein the registration biometric information includes at least one of the decryption key And is stored in the biometric information storage server separated from the storage server.
본 발명의 일 실시예에 따른 인증 시스템은 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하는 생체정보 저장 서버; 상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 복호키를 이용하여 상기 인증용 생체정보를 복호화하는 적어도 하나의 서브 매칭 서버; 및 상기 등록용 생체정보 중 일부와 상기 인증용 생체정보를 매칭하는 매칭 서버를 포함하고, 매칭 서버의 제어 방법은 상기 암호화된 인증용 생체정보를 획득하는 단계; 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 타겟 클라이언트의 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 암호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보의 복호화를 위해서, 상기 적어도 하나의 서브 매칭 서버에 상기 암호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보를 제공하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계; 상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및 상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계를 포함하되, 상기 복호키는 상기 인증 시스템의 보안성을 향상시키기 위하여 상기 등록용 생체정보가 상기 생체정보 저장 서버와 분리된 상기 매칭 서버 또는 상기 서브 매칭 서버 중 적어도 하나에 저장되는 것을 특징으로 할 수 있다.An authentication system according to an embodiment of the present invention includes a biometric information storage server for storing biometric information for registration acquired from each of at least one client; A target client included in the at least one client, for acquiring biometric information for authentication of a user and encrypting the biometric information for authentication using a unique cryptographic key; At least one sub-matching server for decrypting the authentication biometric information using a decryption key; And a matching server for matching a part of the biometric information for registration with the authentication biometric information, wherein the control method of the matching server comprises: obtaining the encrypted biometric information for authentication; Acquiring registration biometric information, wherein the registration biometric information is encrypted by a client that has transmitted the registration biometric information, and acquiring registration biometric information corresponding to the identifier of the target client among the registration biometric information ; In order to decrypt the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier, the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are provided to the at least one sub matching server step; Acquiring the decrypted biometric information for authentication and biometric information for registration corresponding to the identifier; Determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are matched with each other; And providing the matching result to the biometric information storage server or the target client, wherein the decryption key is a key for decrypting the registration biometric information from the biometric information storage server And is stored in at least one of the matching server and the sub matching server.
본 발명의 과제의 해결 수단이 상술한 해결 수단들로 제한되는 것은 아니며, 언급되지 아니한 해결 수단들은 본 명세서 및 첨부된 도면으로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that the solution of the problem of the present invention is not limited to the above-mentioned solutions, and the solutions which are not mentioned can be clearly understood by those skilled in the art to which the present invention belongs It will be possible.
본 발명에 의하면, 사용자가 네트워크 상에 안전하게 생체정보를 보관할 수 있다는 효과가 발생한다.According to the present invention, there is an effect that a user can safely store biometric information on a network.
본 발명에 의하면, 사용자의 생체정보가 네트워크 상에서 암호화 및 복호화되어 생체정보가 유출되지 않는다는 효과가 발생한다.According to the present invention, there is an effect that the biometric information of the user is encrypted and decrypted on the network and the biometric information is not leaked.
본 발명에 의하면, 보다 안전하고 편리하게 생체정보를 이용하여 사용자가 인증된다는 효과가 발생한다.According to the present invention, there is an effect that the user is authenticated using the biometric information more safely and conveniently.
도 1은 일 실시예에 따른 인증 시스템을 나타낸 도면이다.
도 2는 일 실시예에 따른 인증 시스템을 보다 상세하게 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 등록용 생체정보 또는 인증용 생체정보의 구성을 설명하기 위한 도면이다.
도 4는 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 인증 시스템을 설명하기 위한 도면이다.
도 5는 일 실시예에 따른 허브 서버를 설명하기 위한 도면이다.
도 6은 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 복호화 방법에 대해 설명하기 위한 도면이다.
도 7은 일 실시예에 따른 복호키 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.
도 8은 일 실시예에 따른 생체정보 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.
도 9는 일 실시예에 따른 매칭 서버의 제어 방법을 나타낸 동작 흐름도이다.1 is a diagram of an authentication system in accordance with one embodiment.
2 is a diagram for explaining an authentication system according to an embodiment in more detail.
3 is a diagram for explaining the configuration of registration biometric information or authentication biometric information according to an embodiment.
4 is a diagram for explaining an authentication system when a sub-matching server according to an embodiment exists.
5 is a diagram for explaining a hub server according to an embodiment.
FIG. 6 is a diagram for explaining a decoding method when there is a sub-matching server according to an embodiment.
7 is a flowchart illustrating a method of controlling a decryption key storage server according to an embodiment of the present invention.
8 is a flowchart illustrating a method of controlling a biometric information storage server according to an exemplary embodiment of the present invention.
9 is a flowchart illustrating a method of controlling a matching server according to an exemplary embodiment of the present invention.
이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 일 실시예들에 의해 제한되거나 한정되는 것은 아니다. 또한, 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the present invention is not limited to or limited by the embodiments. In addition, the same reference numerals shown in the drawings denote the same members.
도면들에 있어서, 층 및 영역들의 두께는 명확성을 기하기 위하여 과장되어진 것이며, 또한, 구성요소(element) 또는 층이 다른 구성요소 또는 층의 "위(on)" 또는 "상(on)"으로 지칭되는 것은 다른 구성요소 또는 층의 바로 위 뿐만 아니라 중간에 다른 층 또는 다른 구성요소를 개재한 경우를 모두 포함한다. 명세서 전체에 걸쳐서 동일한 참조번호들은 원칙적으로 동일한 구성요소들을 나타낸다.In the drawings, the thicknesses of the layers and regions are exaggerated for clarity and the element or layer is referred to as being "on" or "on" Included in the scope of the present invention is not only directly above another element or layer but also includes intervening layers or other elements in between. Like reference numerals designate like elements throughout the specification.
또한, 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. In addition, numerals (e.g., first, second, etc.) used in the description of the present invention are merely an identifier for distinguishing one component from another.
이하, 본 발명과 관련된 전자기기에 대하여 도면을 참조하여 보다 상세하게 설명한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다.Hereinafter, an electronic apparatus related to the present invention will be described in more detail with reference to the drawings. The suffix "module" and " part "for the components used in the following description are given or mixed in consideration of ease of specification, and do not have their own meaning or role.
이하, 출입 관리 시스템에 대해 설명한다. 출입 관리 시스템은 도어가 설치된 환경에서, 출입 권한이 있는 사람만이 도어를 통과할 수 있도록 관리하는 시스템을 의미할 수 있다. 출입 관리 시스템은 사무실, 연구소와 같은 실내 환경에서 이용될 수도 있고, 군부대 등 건물 외부에 출입 제한 구역을 갖는 외부 환경에서 이용될 수도 있다.Hereinafter, the access management system will be described. The access management system may refer to a system that manages access to the door only by the authorized person in the door installed environment. The access control system may be used in an indoor environment such as an office or a research center, or may be used in an external environment having an access restricted area outside a building such as a military unit.
<단일 스테이지 복호화(single stage decryption)를 이용한 인증 시스템><Authentication system using single stage decryption>
도 1은 일 실시예에 따른 인증 시스템을 나타낸 도면이다.1 is a diagram of an authentication system in accordance with one embodiment.
도 1을 참조하면, 인증 시스템은 타겟 클라이언트(110), 생체정보 저장 서버(120) 및 복호키 저장 서버(130)를 포함할 수 있다.Referring to FIG. 1, the authentication system may include a
타겟 클라이언트(110)는 전체 클라이언트 중 하나의 클라이언트로, 클라이언트는 생체정보를 획득하고, 생체정보를 기초로 외부 장치에 사용자 인증을 요청하며, 사용자 인증 요청에 따라 인증 결과 또는 인증 결과에 따른 정보를 획득하는 장치로 인증 시스템에서 적어도 하나 이상 존재할 수 있다. 본 발명의 몇몇 실시예에서, 클라이언트는 사용자로부터 직접 생체정보를 획득하는 생체정보 인식기일 수도 있고, 생체정보 인식기로부터 생체정보를 획득하는 단말일 수도 있다.The
일 실시예에서, 생체정보 인식기는 생체정보를 센싱하는 센서를 포함한 장치로 정의될 수 있다. 예를 들어, 생체정보는 사용자의 지문 정보, 심전도(Electrocardiogram: ECG) 정보, 근전도(ElectroMyoGraphy: EMG) 정보, 홍채 정보, 혈관 정보, 정맥 정보, 음성 정보, 얼굴 정보, 손금 정보 등을 포함할 수 있고, 상기 센서는 상기 생체정보들 중 적어도 하나의 생체정보를 센싱하는 장치를 나타낸다.In one embodiment, the biometric information recognizer may be defined as an apparatus including a sensor for sensing biometric information. For example, the biometric information may include fingerprint information of a user, electrocardiogram (ECG) information, electromyography (EMG) information, iris information, blood vessel information, vein information, voice information, face information, And the sensor indicates a device for sensing at least one of the biometric information.
또한, 일 실시예에서, 생체정보 인식기로부터 생체정보를 획득하는 단말은 생체정보 인식기와 통신을 수행하여 생체정보를 획득하는 장치를 나타낸 것으로, 데스크탑 컴퓨터와 같은 고정식 단말을 포함할 뿐만 아니라, 휴대폰, 스마트 폰(smart phone), 태블릿(tablet), 노트북 컴퓨터(laptop computer), PDA(Personal Digital Assistants), 웨어러블 기기(예를 들어, 웨어러블 시계, 웨어러블 밴드)와 같은 이동식 단말을 포함할 수 있다.In addition, in one embodiment, a terminal for acquiring biometric information from a biometric information recognizer is a device for acquiring biometric information by communicating with a biometric information recognizer, including a fixed terminal such as a desktop computer, A portable terminal such as a smart phone, a tablet, a laptop computer, a personal digital assistant (PDA), or a wearable device (e.g., wearable watch, wearable band).
또한, 타겟 클라이언트(110)는 인증 시스템에 포함된 적어도 하나의 클라이언트 중 생체정보 저장 서버(120) 또는 복호키 저장 서버(130)에 사용자 인증 요청을 요청하는 클라이언트로 정의될 수 있다.The
또한, 생체정보 저장 서버(120)는 적어도 하나의 클라이언트로부터의 생체정보를 미리 저장하는 서버로 정의될 수 있다. 여기서, 미리 저장된 생체정보는 등록용 생체정보라고 표현될 수 있으며, 사용자를 인증하기 위한 기준 정보의 역할을 할 수 있다.In addition, the biometric
또한, 복호키 저장 서버(130)는 적어도 하나의 복호키를 저장할 수 있다. 여기서, 복호키는 클라이언트에서 암호화되는 생체정보를 복호화하기 위한 정보를 나타낼 수 있다.Also, the decryption key storage server 130 may store at least one decryption key. Here, the decryption key may represent information for decrypting the biometric information encrypted by the client.
또한, 도 1 및 도 2의 인증 시스템에서, 암호화된 생체정보의 복호화는 하나의 서버(예를 들어, 복호키 저장 서버(130))에 의해 수행될 수 있다. 이하에서, 하나의 서버에 의해 복호화가 수행되는 것은 싱글 스테이지 복호화로 표현될 수 있다.Further, in the authentication system of Figs. 1 and 2, the decryption of encrypted biometric information can be performed by one server (e.g., decryption key storage server 130). Hereinafter, the decoding performed by one server can be expressed as a single stage decoding.
상기 암호화 및 상기 복호화는 대칭형 암복호방식 또는 비대칭형 암복호방식에 의해 수행될 수 있다. 여기서, 대칭형 암복호방식은 암호화할 때 쓰는 암호키와 암호를 해석할 때, 즉 복호화할 때 쓰는 복호키가 동일한 알고리즘 또는 방식을 일컫는다. 반면, 비대칭형 암복호방식은 암호키와 복호키가 서로 다른 알고리즘을 말한다.The encryption and the decryption may be performed by a symmetric type encryption decryption method or an asymmetric type encryption decryption method. Here, the symmetric-type encryption / decryption scheme refers to an algorithm or a method in which the encryption key used for encryption and the decryption key used for decryption are the same. On the other hand, the asymmetric encryption / decryption scheme refers to a different encryption key and decryption key.
상기 대칭키의 예로는, 3DES(Triple Data Encryption Standard), AES(Advanced Encryption Standard), SEED, ARIA(Academy, Research Institute, Agency) DES(Data Encryption Standards), CRYPTON, RIJNDAEL, CAST256, RC6, RC5, RC4, RC2, TWOFISH, MARS, SERPENT, SKIPJACK, IDEA(International Data Encryption Algorithm), SEAL, DESX, RC5, BLOWFISH, CAST128, SAFER 등이 있으며, 상기 비대칭키의 예로는, RSA(Rivest Shamir Adleman), EIGamal, ECC(Elliptic Curve Crypto system), DSS(Digital Signature Standard), PKP(Public Key Partners) 등이 있다. 물론, 상기 대칭키 또는 상기 비대칭키는 위의 예에 한정되지 않고, 위에서 언급되지 않은 대칭형 암복호방식 또는 비대칭형 암복호방식에 이용되는 정보 역시 상기 대칭키 또는 상기 비대칭키에 포함될 수 있다.Examples of the symmetric key include 3DES (Triple Data Encryption Standard), AES (Advanced Encryption Standard), SEED, ARIA (Academy, Research Institute, Agency) DES (Data Encryption Standards), CRYPTON, RIJNDAEL, CAST256, RC6, RC5, SEA, DESX, RC5, BLOWFISH, CAST128, SAFER, and the like. Examples of the asymmetric key include RSA (Rivest Shamir Adleman), EIGamal (RSA), RC2, RC2, TWOFISH, MARS, SERPENT, SKIPJACK, IDEA (International Data Encryption Algorithm) , An ECC (Elliptic Curve Crypto system), a DSS (Digital Signature Standard), and PKP (Public Key Partners). Of course, the symmetric key or the asymmetric key is not limited to the above example, and the information used in the symmetric type encryption decoding method or the asymmetric type encryption decoding method not mentioned above may also be included in the symmetric key or the asymmetric key.
또한, 복호키 저장 서버(130)는 생체정보 저장 서버(120)에 미리 저장된 생체정보와 타겟 클라이언트(110)로부터 획득하는 생체정보를 매칭할 수 있고, 이에 따라, 복호키 저장 서버는 매칭 서버로 표현될 수 있다.The decryption key storage server 130 may match the biometric information stored in the biometric
또한, 클라이언트, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)는 서로간의 역할에 따라 구분되는 것으로, 클라이언트, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)의 하드웨어 구성은 동일/유사할 수 있다. 예를 들어, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)는 서버 장치로 구현될 수도 있지만 전술한 고정식 단말 또는 이동식 단말로 구현될 수도 있다.The hardware configuration of the client, the biometric
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다. 여기서, 인증 동작은 타겟 클라이언트(110)에서 획득된 생체정보의 사용자가 생체정보 저장 서버(120)에 미리 저장된 생체정보의 사용자인지 여부를 확인하는 동작을 의미하고, 등록 동작은 인증 동작을 수행하기 위한 사전 동작을 의미한다.In some embodiments of the invention, a registration operation and an authentication operation may be performed in an authentication system. Here, the authentication operation refers to an operation of confirming whether the user of the biometric information obtained by the
등록 동작에서, 타겟 클라이언트(110)는 등록용 생체정보를 저장할 서버로 생체정보 저장 서버(120)를 지정하고, 복호키를 저장할 서버로 복호키 저장 서버(130)를 지정할 수 있다. 또한, 생체정보 저장 서버(120) 및 복호키 저장 서버(130)에서는 사용자 인증을 요청하는 장치로, 타겟 클라이언트(110)를 포함하는 적어도 하나의 클라이언트가 지정될 수 있다. 이에 따라, 타겟 클라이언트(110)가 미리 지정된 서버들과의 통신을 통하여 사용자 인증을 받음으로써, 사용자 인증에 대한 보안성이 향상될 수 있다.In the registration operation, the
또한, 등록 동작에서, 타겟 클라이언트(110)는 생체정보 저장 서버(120)에 등록용 생체정보를 제공할 수 있다. 이를 위해, 사용자로부터 등록용 생체정보를 획득하고, 획득한 등록용 생체정보를 고유의 암호키를 이용하여 암호화한 후, 암호화된 등록용 생체정보를 생체정보 저장 서버(120)에 전송할 수 있다. 즉, 타겟 클라이언트(110)는 암호화된 상태로 등록용 생체정보를 생체정보 저장 서버(120)에 제공하지만, 생체정보 저장 서버(120)에 암호화된 등록용 생체정보를 복호화할 수 있는 복호키는 제공하지 않는다. 이에 따라, 생체정보 저장 서버(120)에서는 암호화된 등록용 생체정보를 획득하여도 이를 복호화할 수는 없다. 따라서, 만약, 생체정보 저장 서버(120)가 해킹을 당하여 암호화된 등록용 생체정보가 유출되어도, 복호키의 미획득으로 인하여 암호화된 등록용 생체정보가 복호화되지 않는다. 따라서, 생체정보 저장 서버(120)의 해킹에 따른 생체정보 유출 가능성이 낮아진다.In addition, in the registration operation, the
또한, 등록 동작에서, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 함께 타겟 클라이언트(110)의 식별자를 생체정보 저장 서버(120)에 제공할 수 있다. 여기서, 타겟 클라이언트(110)의 식별자는 복수의 클라이언트들 중 타겟 클라이언트(110)를 구별할 수 있는 정보를 나타내는 것으로, 예를 들어, 타겟 클라이언트(110)의 일련번호, 인증 시스템에 포함된 클라이언트들 중 타겟 클라이언트(110)의 순번 등 타겟 클라이언트(110)를 식별할 수 있는 정보라면 어떠한 형식이라고 무방하다.In addition, in the registration operation, the
구체적으로, 생체정보 저장 서버(120)는 타겟 클라이언트(110)뿐만 아니라 다른 클라이언트로부터 암호화된 등록용 생체정보를 획득할 수 있고, 인증 동작에서 복호키 저장 서버(130)에 암호화된 등록용 생체정보를 제공할 수 있다. 그러나, 타겟 클라이언트(110)로부터의 사용자 인증 요청에 불구하고, 복호키 저장 서버(130)에 타겟 클라이언트(110)외의 다른 클라이언트로부터의 암호화된 등록용 생체정보를 제공할 경우, 복호키 저장 서버(130)가 타겟 클라이언트(110)외의 다른 클라이언트로부터의 암호화된 등록용 생체정보를 복호화하는 비효율이 발생할 수 있다. 이러한 비효율을 방지하기 위해, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 함께 타겟 클라이언트(110)의 식별자를 생체정보 저장 서버(120)에 제공하고, 타겟 클라이언트(110)로부터 사용자 인증 요청을 받을 경우, 생체정보 저장 서버(120)는 저장된 암호화된 등록용 생체정보 중 타겟 클라이언트(110)의 식별자에 대응하는 암호화된 등록용 생체정보만을 복호키 저장 서버(130)에 제공할 수 있다.Specifically, the biometric
또한, 등록 동작에서, 타겟 클라이언트(110)는 복호키 저장 서버(130)에 복호키를 제공할 수 있다. 여기서, 복호키는 타겟 클라이언트(110)의 고유의 암호키에 대응되는 것으로, 타겟 클라이언트(110)에 의해 암호화된 생체정보를 복호화할 수 있는 정보를 의미한다.In addition, in the registration operation, the
보다 구체적으로, 복호키 저장 서버(130)는 타겟 클라이언트(110)뿐만 아니라 다른 클라이언트로부터 복호키를 획득할 수 있고, 인증 동작에서, 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다. 그러나, 복호키 저장 서버(130)가 복호키 저장 서버(130)에 저장된 복호키 전체를 이용하여 상기 복호화를 수행할 경우, 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보와 대응되지 않는 복호키를 이용하여 복호화를 수행함으로써 복호화 효율이 감소되게 된다. 이러한 문제점을 방지하기 위하여, 복호키 저장 서버(130)는 복호키 저장 서버(130)에 저장된 전체 복호키 중 타겟 클라이언트(110)의 식별자와 대응되는 복호키를 추출하고, 추출된 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.More specifically, the decryption key storage server 130 can acquire the decryption key from not only the
일 실시예에서, 타겟 클라이언트(110)는 등록용 생체정보와 인증 동작에서 획득하는 인증용 생체정보를 동일한 암호키로 암호화할 수 있다. 이 경우, 타겟 클라이언트(110)는 암호화된 등록용 생체정보와 암호화된 인증용 생체정보를 모두 복호화할 수 있는 복호키를 복호키 저장 서버(130)에 제공할 수 있다.In one embodiment, the
다른 일 실시예에서, 타겟 클라이언트(110)는 등록용 생체정보와 인증 동작에서 획득하는 인증용 생체정보를 서로 다른 암호키로 암호화할 수 있다. 이 경우, 타겟 클라이언트(110)는 암호화된 등록용 생체정보를 복호화할 수 있는 복호키와 암호화된 인증용 생체정보를 복호화할 수 있는 복호키를 구별하여 제공할 수 있다.In another embodiment, the
또한, 본 발명의 일 실시예에서, 타겟 클라이언트(110)는 복호키와 함께 타겟 클라이언트(110)의 식별자를 복호키 저장 서버(130)에 제공할 수 있다. 이에 따라, 생체정보 저장 서버(120)로부터 타겟 클라이언트(110)의 식별자와 대응되는 암호화된 생체정보를 획득한 경우, 복호키 저장 서버(130)는 타겟 클라이언트(110)의 식별자와 대응되는 복호키를 이용하여 암호화된 생체정보를 복호화할 수 있다.Further, in one embodiment of the present invention, the
인증 동작에서, 타겟 클라이언트(110)는 인증용 생체정보를 획득하여 암호화하고, 암호화된 인증용 생체정보를 생체정보 저장 서버(120)에 제공한다. 또한, 생체정보 저장 서버(120)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호키 저장 서버(130)에 제공한다. 또한, 복호키 저장 서버(130)는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화한 후, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보를 매칭하고, 매칭 결과를 생체정보 저장 서버(120) 또는 타겟 클라이언트(110)에 제공한다. 이후, 매칭 결과, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는 경우, 생체정보 저장 서버(120)는 사용자가 인증된다는 정보를 타겟 클라이언트(110)에 제공하고, 매칭되지 않는 경우, 사용자가 인증되지 않는다는 정보를 타겟 클라이언트(110)에 제공한다.In the authentication operation, the
인증 시스템에서의 인증 동작에 대해서는 도 2에서 보다 자세하게 설명한다.The authentication operation in the authentication system will be described in more detail in Fig.
도 2는 일 실시예에 따른 인증 시스템을 보다 상세하게 설명하기 위한 도면이다.2 is a diagram for explaining an authentication system according to an embodiment in more detail.
도 2를 참조하면, 인증 시스템은 타겟 클라이언트(210), 생체정보 저장 서버(220) 및 복호키 저장 서버(230)를 포함할 수 있다. 여기서, 타겟 클라이언트(210)에는 도 1의 타켓 클라이언트(110)에 대하여 설명된 사항이 그대로 적용되고, 생체정보 저장 서버(220)에는 도 1의 생체정보 저장 서버(120)에 대하여 설명된 사항이 그대로 적용되고, 복호키 저장 서버(230)에는 도 1의 복호키 저장 서버(130)에 대하여 설명된 사항이 그대로 적용된다.Referring to FIG. 2, the authentication system may include a
먼저, 타겟 클라이언트(210)는 통신 인터페이스(211), 생체정보 획득부(212) 및 제어부(213)를 포함할 수 있다.First, the
통신 인터페이스(211)는 타겟 클라이언트(210)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 예를 들어, 통신 인터페이스(211)는 무선랜(WLAN), 와이파이(Wifi) 등의 무선 인터넷 인터페이스와, 블루투쓰(Bluetooth), 직비(ZigBee) 등의 근거리 통신 인터페이스와 같은 무선 통신 모듈을 포함하고, 무선 통신 모듈을 통해 외부와 데이터를 통신할 수 있다. 물론, 통신 인터페이스(211)는, 무선 통신 모듈만이 아니라 유선 통신 모듈을 구비할 수도 있다. 이와 같이, 통신 인터페이스(211)에 대해 설명된 사항은 생체정보 저장 서버(220)의 통신 인터페이스(221) 및 복호키 저장 서버(230)의 통신 인터페이스(231)에 적용될 수 있다.The
또한, 생체정보 획득부(212)는 사용자의 생체정보를 획득할 수 있다. 예를 들어, 생체정보 획득부(212)는 인터페이스(211)로부터 사용자의 생체정보를 획득할 수도 있고, 생체정보 획득부(212)가 센서의 형태일 경우, 사용자로부터 직접 생체정보를 획득할 수도 있다. 다른 예로서, 생체정보가 지문정보일 경우, 생체정보 획득부(212)는 지문 이미지를 생체정보로 획득할 수도 있고, 지문 이미지로부터 추출된 특징점에 대한 정보를 생체정보로 획득할 수도 있다.Further, the biometric
제어부(213)는 타겟 클라이언트(210)의 전반적인 동작을 총괄한다. 특히, 제어부(213)는 사용자 또는 외부 장치로부터 등록 요청 또는 인증 요청을 수신하고, 생체정보를 암호화하고, 사용자 인증을 요청한다.The
본 발명의 몇몇 실시예에서, 등록 요청을 수신할 경우, 제어부(213)는 전술한 등록 동작을 수행한다. 전술한 바와 같이, 등록 동작에서, 제어부(213)는 사용자로부터 등록용 생체정보를 획득하고, 고유의 암호키를 이용하여 등록용 생체정보를 암호화하여 암호화된 등록용 생체정보를 생체정보 저장 서버(220)에 제공한다. 또한, 제어부(213)는 암호화된 등록용 생체정보를 복호화하기 위한 복호키를 복호키 저장 서버(230)에 제공한다.In some embodiments of the present invention, upon receiving a registration request, the
또한, 본 발명의 몇몇 실시예에서, 제어부(213)는 인증 요청을 수신할 경우, 인증 동작을 수행한다. 먼저, 인증 동작에서, 제어부(213)는 생체정보 획득부(212)로부터 인증용 생체정보를 획득한다. 여기서, 인증용 생체정보는 등록용 생체정보와는 구별되는 것으로, 사용자를 인증하기 위해, 등록용 생체정보와 비교하기 위한 생체정보로 정의될 수 있다.Further, in some embodiments of the present invention, the
또한, 제어부(213)는 고유의 암호키를 이용하여 인증용 생체정보를 암호화한다. 여기서, 고유의 암호키에는 전술한 대칭키 또는 비대칭키가 모두 적용될 수 있다. 다만, 고유의 암호키는 등록 동작에서 복호키 저장 서버(230)에 제공한 복호키와 대응되어야 한다. 즉, 제어부(213)는 복호키 저장 서버(230)에서 복호화될 수 있도록 복호키 저장 서버(230)에 복호키를 제공하여야 한다.Further, the
일 실시예에서, 제어부(213)는 새로운 암호키로 고유의 암호키를 갱신할 수 있다. 이 경우, 제어부(213)는 새로운 암호키로 암호화를 수행하기 이전에, 더 나아가서는 복호키 저장 서버(230)가 새로운 암호키로 암호화된 생체정보를 복호화하기 이전에, 복호키 저장 서버(230)가 새로운 암호키로 암호화된 생체정보를 복호화할 수 있도록, 복호키 저장 서버(230)에 새로운 암호키와 대응되는 복호키를 제공하여야 한다.In one embodiment, the
또한, 본 발명의 몇몇 실시예에서, 제어부(213)는 등록용 생체정보와 인증용 생체정보를 구별할 수 있는 속성을 인증용 생체정보 및 등록용 생체정보에 부여할 수 있다.Furthermore, in some embodiments of the present invention, the
일 실시예에서, 상기 속성은 생체정보의 용도를 나타내는 용도 식별자를 포함할 수 있다. 이 경우, 제어부(213)는 용도 식별자를 생성하고, 생체정보의 용도에 따라 생체정보에 용도 식별자를 부여할 수 있다. In one embodiment, the attribute may include a use identifier indicating the use of the biometric information. In this case, the
다른 일 실시예에서, 상기 속성은 생체정보가 이용될 수 있는 유효기간을 포함할 수 있다. 이 경우, 제어부(213)는 등록용 생체정보의 유효기간을 나타내는 등록 유효기간 또는 인증용 생체정보의 유효기간을 나타내는 인증 유효기간을 생성하고, 생체정보에 등록 유효기간 또는 인증 유효기간을 부여할 수 있다. 이 때, 등록 유효기간은 인증 유효기간보다 기간이 길 수 있다.In another embodiment, the attribute may include a validity period for which biometric information can be used. In this case, the
예를 들어, 제어부(213)가 등록 동작에서 생체정보 획득부(212)로부터 생체정보를 획득한 경우, 제어부(213)는 획득한 생체정보를 등록용 생체정보로 인식하고, 획득한 생체정보에 등록용 생체정보임을 나타낼 수 있는 제1 용도 식별자 및/또는 등록 유효기간을 부여할 수 있다. 다른 예로서, 제어부(213)가 인증 동작에서 생체정보 획득부(212)로부터 생체정보를 획득한 경우, 제어부(213)는 획득한 생체정보를 인증용 생체정보로 인식하고, 획득한 생체정보에 인증용 생체정보임을 나타낼 수 있는 제2 용도 식별자 및/또는 인증 유효기간을 부여할 수 있다.For example, when the
또한, 본 발명의 몇몇 실시예에서, 인증 동작에서, 제어부(213)는 생체정보 저장 서버(220)에 사용자 인증 요청을 할 수 있다. 다만, 이에 한정되지 않고, 제어부(213)는 생체정보 저장 서버(220) 또는 복호키 저장 서버(230)외의 별도의 서버에 사용자 인증 요청을 할 수 있고, 사용자 인증 요청을 수신한 상기 별도의 서버는 생체정보 저장 서버(220)에 사용자 인증 요청을 전달할 수 있다.Further, in some embodiments of the present invention, in the authentication operation, the
또한, 제어부(213)는 암호화된 인증용 생체정보를 생체정보 저장 서버(220)에 제공할 수 있다. 만약, 제어부(213)가 상기 별도의 서버에 암호화된 인증용 생체정보를 제공한 경우, 상기 별도의 서버는 상기 암호화된 인증용 생체정보를 생체정보 저장 서버(220)에 제공할 수 있다.In addition, the
또한, 제어부(213)는 암호화된 인증용 생체정보와 함께 타겟 클라이언트(210)의 식별자를 생체정보 저장 서버(220)에 제공할 수 있다. 타겟 클라이언트(210)의 식별자를 이용하여, 생체정보 저장 서버(220) 또는 복호키 저장 서버(230)는 암호화된 인증용 생체정보가 타겟 클라이언트(210)로부터 제공되었다는 것을 확인할 수 있다.In addition, the
또한, 이에 한정되지 않고, 제어부(213)는 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공할 수 있다. 이 경우, 복호키 저장 서버(230)는 암호화된 등록용 생체정보는 생체정보 저장 서버(220)로부터 획득하고, 암호화된 인증용 생체정보는 타켓 클라이언트(210)로부터 획득하며, 타겟 클라이언트(210)의 식별자와 대응하는 복호키를 이용하여 암호화된 등록용 생체정보와 암호화된 인증용 생체정보를 복호화할 수 있다.The
또한, 본 발명의 몇몇 실시예에서, 생체정보 저장 서버(220)는 통신 인터페이스(221), 생체정보 저장부(222) 및 제어부(223)를 포함할 수 있다.Also, in some embodiments of the present invention, the biometric
통신 인터페이스(221)는 생체정보 저장 서버(220)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함하는 것으로, 통신 인터페이스(221)에는 타겟 클라이언트(210)의 통신 인터페이스(211)에서 설명된 내용이 그대로 적용될 수 있다.The
또한, 생체정보 저장부(222)는 등록 동작에서 클라이언트들 각각으로부터 획득한 등록용 생체정보를 저장할 수 있다. 이 때, 생체정보 저장부(222)에 저장된 등록용 생체정보는 등록용 생체정보를 제공한 클라이언트들 각각에 의하여 암호화될 수 있다. 이에 따라, 생체정보 저장 서버(220)는 암호화된 등록용 생체정보를 저장할 수 있을 뿐, 복호키를 획득하지 않는 한 암호화된 등록용 생체정보를 복호화할 수는 없다.In addition, the biometric
또한, 제어부(223)는 생체정보 저장 서버(220)의 전반적인 동작을 총괄한다.In addition, the
일 실시예에 따르면, 인증 동작에서, 제어부(223)는 사용자 인증 요청에 따라 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득할 수 있다. 이후, 제어부(223)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 위하여, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타켓 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공할 수 있다. 그러나, 제어부(223)가 생체정보 등록부(222)에 저장된 암호화된 등록용 생체정보 전체를 복호키 저장 서버(230)에 제공하게 되면, 생체정보 저장 서버(220)에서 복호키 저장 서버(230)의 전송량이 증가될 뿐만 아니라, 복호키 저장 서버(230)에서 암호화된 등록용 생체정보 전체를 획득해야 하는 비효율이 발생한다. 이에 따라, 제어부(223)는 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출하고, 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보만을 복호키 저장 서버(230)에 제공할 수 있다.According to one embodiment, in the authentication operation, the
또한, 일 실시예에서, 제어부(223)는 암호화된 등록용 생체정보의 등록 유효기간을 확인하고, 등록 유효기간이 만료된 경우, 암호화된 등록용 생체정보를 제거할 수 있다.In addition, in one embodiment, the
또한, 본 발명의 몇몇 실시예에서, 복호키 저장 서버(230)는 통신 인터페이스(231), 복호키 저장 유닛(232) 및 제어부(233)를 포함할 수 있다.Also, in some embodiments of the present invention, the decryption
통신 인터페이스(221)는 복호키 저장 서버(230)와 외부 장치 사이의 네트워크 통신을 가능하게 하는 하나 이상의 모듈을 포함하는 것으로, 통신 인터페이스(231)에는 타겟 클라이언트(210)의 통신 인터페이스(211)에서 설명된 내용이 그대로 적용될 수 있다.The
또한, 복호키 저장부(232)는 등록 동작에서 클라이언트들 각각으로부터 획득한 복호키를 저장할 수 있다.Also, the decryption
또한, 제어부(233)는 복호키 저장 서버(230)의 전반적인 동작을 총괄한다.In addition, the
인증 동작에서, 제어부(233)는 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득할 수 있다. 이 때, 제어부(233)가 획득하는 암호화된 등록용 생체정보는 타겟 클라이언트(210)의 식별자와 대응될 수 있다.In the authentication operation, the
일 실시예에서, 복호키 저장 서버(230)는 생체정보 저장 서버(220)로부터 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 수신할 수 있다. 이 경우, 복호키 저장 서버(230)는 타켓 클라이언트(210)와 통신할 필요 없이 생체정보 저장 서버(220)와 통신을 수행하는 경우에도 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 할 수 있다. In one embodiment, the decryption
다른 일 실시예에서, 복호키 저장 서버(230)는 타겟 클라이언트(210)의 사용자 인증 요청에 따라, 타켓 클라이언트(210)로부터 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 획득하고, 생체정보 저장 서버(220)로부터 암호화된 등록용 생체정보를 획득할 수 있다.In another embodiment, the decryption
또한, 제어부(233)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화하기 위하여, 복호키 저장부(232)에 저장된 복호키들 중 타겟 클라이언트(210)의 식별자와 대응되는 복호키를 추출할 수 있다. 제어부(233)는 타겟 클라이언트(210)의 식별자와 대응되는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.In order to decrypt the encrypted registration biometric information and the encrypted biometric information for authentication, the
또한, 제어부(233)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단할 수 있다. 여기서, 등록용 생체정보와 인증용 생체정보가 매칭된다는 것은 등록용 생체정보와 인증용 생체정보가 동일한 사용자의 생체정보라는 것을 나타낼 정도로 유사하다는 것을 의미할 수 있다.Further, the
매칭 여부를 판단하기 위해, 제어부(233)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보의 유사도를 추출하고, 추출된 유사도가 미리 정해진 기준값 이상인 경우, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는 것으로 결정할 수 있다.The
예를 들어, 생체정보가 지문 정보인 경우, 제어부(233)는 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점을 추출할 수 있다. 또한, 제어부(233)는 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점간의 유사도를 비교하여, 유사도가 미리 정해진 기준값 이상인 경우, 복호화된 등록용 생체정보의 특징점 및 복호화된 인증용 생체정보의 특징점이 매칭되는 것으로 결정할 수 있다.For example, when the biometric information is fingerprint information, the
또한, 제어부(233)는 매칭 결과를 생체정보 저장 서버(220)에 제공할 수 있다. 이 경우, 등록용 생체정보 및 인증용 생체정보가 매칭되는 것으로 결정된 경우, 생체정보 저장 서버(220)의 제어부(223)는 사용자가 인증된다는 결과를 타겟 클라이언트(210)에 제공하거나, 사용자가 인증된다는 결과에 수반되는 정보(예를 들어, 사용자가 인증될 경우에 생체정보 저장 서버(220)가 타겟 클라이언트(210)에 제공하는 서비스 정보)를 클라이언트(210)에 제공할 수 있다. 또한, 등록용 생체정보 및 인증용 생체정보가 매칭되지 않는 것으로 결정된 경우, 생체정보 저장 서버(220)의 제어부(223)는 사용자가 인증된다는 결과를 타겟 클라이언트(210)에 제공할 수 있다.In addition, the
다만, 일 실시예에서, 제어부(233)는 매칭 결과를 타겟 클라이언트(210)에 직접 제공할 수도 있다.However, in one embodiment, the
또한, 일 실시예에서, 제어부(233)는 암호화된 인증용 생체정보의 등록 유효기간을 확인하고, 인증 유효기간이 만료된 경우, 암호화된 인증용 생체정보를 제거할 수 있다.Further, in one embodiment, the
또한, 본 발명의 몇몇 실시예에서, 복호화된 등록용 생체정보와 복호화된 인증용 생체정보의 매칭은 생체정보 저장 유닛(220)에서 수행될 수도 있다.Further, in some embodiments of the present invention, the matching of the decrypted biometric information for registration and the decrypted biometric information for authentication may be performed in the biometric
예를 들어, 제어부(223)는 타겟 클라이언트(210)의 사용자 인증 요청에 따라 타겟 클라이언트(210)로부터 타겟 클라이언트(210)의 식별자 및 암호화된 인증용 생체정보를 획득하고, 생체정보 저장부(222)에 저장된 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(210)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출할 수 있다. 또한, 제어부(223)는 전술한 실시예와는 달리, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(210)의 식별자를 복호키 저장 서버(230)에 제공하지 않고, 복호키 저장 서버(230)로부터 타겟 클라이언트(210)의 식별자에 대응하는 복호키를 획득하고, 타겟 클라이언트(210)의 식별자에 대응하는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다. 이후, 제어부(223)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단하고, 매칭 결과에 따른 사용자 인증 결과를 타겟 클라이언트(210)에 제공할 수 있다.For example, the
하나의 서버에 암호화된 등록용 생체정보 및 복호키가 저장된 경우, 상기 서버가 해킹될 경우, 암호화된 등록용 생체정보 및 복호키가 함께 유출되게 되어 사용자의 생체정보가 범죄에 악용될 수 있다.When biometrics information and a decryption key encrypted for registration are stored in one server, when the server is hacked, encrypted biometrics information for registration and a decryption key are leaked together, so that the biometrics information of the user can be used for crimes.
반면, 전술한 실시예들과 같이, 암호화된 등록용 생체정보는 생체정보 저장 서버(220)에 저장되고, 복호키는 생체정보 저장 서버(220)와 분리된 복호키 저장 서버(230)에 저장된다. 만약, 생체정보 저장 서버(20)가 해킹을 당하여 암호화된 등록용 생체정보가 유출되어도, 복호키의 부재로 인하여 암호화된 등록용 생체정보가 복호화되지 않는다. 또한, 복호키 저장 서버(230)가 해킹을 당하여 복호키가 유출되어도, 암호화된 등록용 생체정보의 부재로 인하여 어떠한 생체도 노출되지 않는다. 따라서, 본 발명의 실시예들과 같이, 암호화된 등록용 생체정보와 복호키가 서로 다른 서버에 저장됨에 따라 인증 시스템의 보안성이 향상될 수 있다.In the meantime, the encrypted biometric information is stored in the biometric
도 3은 일 실시예에 따른 등록용 생체정보 또는 인증용 생체정보의 구성을 설명하기 위한 도면이다.3 is a diagram for explaining the configuration of registration biometric information or authentication biometric information according to an embodiment.
도 3을 참조하면, 등록용 생체정보 및 인증용 생체정보는 생체정보 메시지(310) 형태로 타겟 클라이언트, 생체정보 저장 서버 및 복호키 저장 서버 사이에서 송수신될 수 있다. 이러한 생체정보 메시지(310)는 타겟 클라이언트에서 생성될 수 있다.3, the biometric information for registration and the biometric information for authentication may be transmitted and received between the target client, the biometric information storage server, and the decryption key storage server in the form of a
구체적으로, 생체정보 메시지(310)은 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312), 유효기간 필드(313) 및 용도 식별자(314)를 포함할 수 있다.Specifically, the
타겟 클라이언트 식별자 필드(311)에는 타겟 클라이언트의 식별자가 포함될 수 있으며, 암호화된 생체정보 필드(312)에는 암호화된 등록용 생체정보 또는 암호화된 인증용 생체정보가 포함될 수 있다.The target
또한, 유효기간 필드(313)에는 등록 유효기간 또는 인증 유효기간이 포함될 수 있으며, 용도 식별자 필드(314)에는 등록용 생체정보임을 나타낼 수 있는 제1 용도 식별자 또는 인증용 생체정보임을 나타낼 수 있는 제2 용도 식별자가 포함될 수 있다.The
도 3의 예에는 생체정보 메시지(310)이 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312), 유효기간 필드(313) 및 용도 식별자 필드(314)를 모두 포함하는 것으로 도시되었지만, 이에 한정되지 않고, 생체정보 메시지(310)는 타겟 클라이언트 식별자 필드(311), 암호화된 생체정보 필드(312)를 포함하되, 유효기간 필드(313) 또는 용도 식별자 필드(314) 중 어느 하나의 필드만을 포함할 수도 있으며, 유효기간 필드(313) 및 용도 식별자 필드(314)를 모두 포함하지 않을 수 있다.3, the
<멀티 스테이지 복호화(multi stage decryption)를 이용한 인증 시스템><Authentication system using multi-stage decryption>
도 4는 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 인증 시스템을 설명하기 위한 도면이다.4 is a diagram for explaining an authentication system when a sub-matching server according to an embodiment exists.
도 4를 참조하면, 인증 시스템은 타겟 클라이언트(410), 생체정보 저장 서버(420), 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)를 포함할 수 있다. 도 4의 예에서, 서브 매칭 서버(441, 442, 443)는 복수개로 표현되었지만 이에 한정되지 않고, 인증 시스템에서 서브 매칭 서버는 하나일 수도 있다.Referring to FIG. 4, the authentication system may include a
도 1 및 도 2의 실시예와 비교할 때, 타겟 클라이언트(410)에는 도 1의 타겟 클라이언트(110) 및 도 2의 타겟 클라이언트(210)에 대해 설명한 구성이 그대로 적용될 수 있고, 생체정보 저장 서버(420)에는 도 1의 생체정보 저장 서버(220) 및 도 2의 생체정보 저장 서버(230)에 대해 설명한 구성이 그대로 적용될 수 있다.1 and 2, the configuration described for the
다만, 도 1 및 도 2의 인증 시스템과 달리, 도 4의 인증 시스템에서는 암호화된 생체정보의 복호화가 하나의 서버가 아닌 복수의 서버에 의해 수행될 수 있다. 이하에서, 복수의 서버에 의해 복호화가 수행되는 것은 멀티 스테이지 복호화로 표현될 수 있다. 구체적으로, 도 4의 인증 시스템에서, 암호화된 생체정보의 복호화는 복수의 서브 매칭 서버(441, 442, 443) 및 매칭 서버(430)에서 수행될 수 있다. 즉, 도 1 및 도 2에서의 복호키 저장 서버의 동작을 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)가 분할하여 수행할 수 있다.However, unlike the authentication system of FIG. 1 and FIG. 2, in the authentication system of FIG. 4, the decryption of encrypted biometric information can be performed by a plurality of servers instead of a single server. Hereinafter, the decoding performed by a plurality of servers can be expressed by multi-stage decoding. 4, the decryption of encrypted biometric information may be performed in a plurality of
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다.In some embodiments of the invention, a registration operation and an authentication operation may be performed in an authentication system.
등록 동작에서, 타겟 클라이언트(410)는 등록용 생체정보를 저장할 서버로 생체정보 저장 서버(420)를 지정할 수 있다. 또한, 타겟 클라이언트(410)는 복호키를 저장할 서버를 지정할 수 있다. 예를 들어, 타겟 클라이언트(410)는 복호키를 저장할 서버로 복수의 서브 매칭 서버(441, 442, 443)를 지정하거나, 매칭 서버(430)와 복수의 서브 매칭 서버(441, 442, 443)를 함께 지정할 수 있다. 복호키를 저장하는 서버에서 복호화를 수행하므로, 타겟 클라이언트(410)에 의해 복호키를 저장할 서버로 지정되는 서버의 개수에 따라 복호화의 단계수가 결정될 수 있다.In the registration operation, the
또한, 생체정보 저장 서버(420), 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)에서는 사용자 인증을 요청하는 장치로, 타겟 클라이언트(410)를 포함하는 적어도 하나의 클라이언트가 지정될 수 있다.The biometric
또한, 등록 동작에서, 타겟 클라이언트(410)는 생체정보 저장 서버(420)에 등록용 생체정보를 제공할 수 있다. 이를 위해, 사용자로부터 등록용 생체정보를 획득하고, 획득한 등록용 생체정보를 고유의 암호키를 이용하여 암호화한 후, 암호화된 등록용 생체정보를 생체정보 저장 서버(420)에 전송할 수 있다. 또한, 타겟 클라이언트(410)는 복호키 저장 서버(130)에 고유의 암호키와 대응되는 복호키를 제공할 수 있다.In addition, in the registration operation, the
일 실시예에서, 암호화를 수행할 때, 타겟 클라이언트(410)는 등록용 생체정보를 연쇄적으로 암호화할 수 있다. 예를 들어, n개의 암호키를 사용할 경우, 타겟 클라이언트(410)는 등록용 생체정보에 제1 암호키부터 제n 암호키를 연쇄적으로 적용하여 암호화할 수 있다. 또한, 타겟 클라이언트(410)는 n개의 암호키와 대응되는 n개의 복호키를 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 하나씩 제공할 수 있다. 일 예로, 복호화가 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443)에서 수행될 경우, 타겟 클라이언트(410)는 제1 복호키를 매칭 서버(430)에 제공하고, 나머지 복호키를 복수의 서브 매칭 서버(441, 442, 443)에 각각 하나씩 제공할 수 있다. 다른 일예로, 복호화가 복수의 서브 매칭 서버(441, 442, 443)에서 수행될 경우, 타겟 클라이언트(410)는 제1 복호키를 제1 서브 매칭 서버(441)에 제공하고, 나머지 복호키를 복수의 서브 매칭 서버(442, 443)에 각각 하나씩 제공할 수 있다.In one embodiment, when performing encryption, the
다른 일 실시예에서, 암호화를 수행할 때, 타겟 클라이언트(410)는 등록용 생체정보를 분산하여 암호화할 수 있다. 예를 들어, n개의 암호키를 사용할 경우, 타겟 클라이언트(410)는 등록용 생체정보를 n개로 분할한 후, n개의 분할된 등록용 생체정보 각각에 하나씩 n개의 암호키 각각을 적용하여 암호화할 수 있다. 일 예로, 3개의 암호키를 사용할 경우, 타겟 클라이언트는 분할된 첫번째 등록용 생체정보에 제1 암호키를 적용하고, 분할된 두번째 등록용 생체정보에 제2 암호키를 적용하며, 분할된 세번째 등록용 생체정보에 제3 암호키를 적용하여 3개의 분할된 등록용 생체정보 각각을 암호화할 수 있다. 또한, 타겟 클라이언트(410)는 n개의 암호키와 대응되는 n개의 복호키를 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 하나씩 제공할 수 있다.In another embodiment, when performing encryption, the
또한, 등록 동작에서, 타겟 클라이언트(410)는 타겟 클라이언트(410)의 식별자를 생체정보 저장 서버(420)에 제공할 수 있다. 타겟 클라이언트(410)의 식별자를 이용하여, 생체정보 저장 서버(420)는 복수의 클라이언트로부터 획득한 암호화된 생체정보 중에서 타켓 클라이언트(410)로부터 획득한 암호화된 생체정보를 식별할 수 있으며, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 복수의 클라이언트로부터 획득한 복호키 중 타켓 클라이언트(410)로부터 획득한 복호키를 식별할 수 있다.In addition, in the registration operation, the
또한, 본 발명의 몇몇 실시예에서, 타겟 클라이언트(410)는 복수의 클라이언트 각각으로부터 암호화된 등록용 생체정보 및 복수의 클라이언트 각각의 식별자를 미리 저장한다. 또한, 타겟 클라이언트(410)로부터 인증 요청을 수신할 경우, 생체정보 저장 서버(420)는 인증 동작을 수행한다. 먼저, 인증 동작에서, 타겟 클라이언트(410)는 사용자 또는 외부장치(예를 들어, 홍체 인식기)로부터 인증용 생체정보를 획득한다.Further, in some embodiments of the present invention, the
또한, 타겟 클라이언트(410)는 고유의 암호키를 이용하여 인증용 생체정보를 암호화한다. 여기서, 고유의 암호키는 등록 동작에서 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 제공한 복호키와 대응되어야 한다. 즉, 타겟 클라이언트(410)는 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화될 수 있도록 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)에 복호키를 제공하여야 한다.In addition, the
또한, 본 발명의 몇몇 실시예에서, 타겟 클라이언트(410)는 등록용 생체정보와 인증용 생체정보를 구별할 수 있는 속성(예를 들어, 전술한 용도 식별자, 유효기간)을 등록용 생체정보와 인증용 생체정보에 부여할 수 있다.In addition, in some embodiments of the present invention, the
또한, 본 발명의 몇몇 실시예에서, 인증 동작에서, 타겟 클라이언트(410)는 생체정보 저장 서버(420)에 사용자 인증 요청을 할 수 있다. 다만, 이에 한정되지 않고, 타겟 클라이언트(410)는 생체정보 저장 서버(420) 또는 매칭 서버(430)외의 별도의 서버에 사용자 인증 요청을 할 수 있고, 사용자 인증 요청을 수신한 상기 별도의 서버는 생체정보 저장 서버(420)에 사용자 인증 요청을 전달할 수 있다.Further, in some embodiments of the present invention, in the authentication operation, the
또한, 타겟 클라이언트(410)는 암호화된 인증용 생체정보를 생체정보 저장 서버(420)에 제공할 수 있다. 만약, 타겟 클라이언트(410)가 상기 별도의 서버에 암호화된 인증용 생체정보를 제공한 경우, 상기 별도의 서버는 상기 암호화된 인증용 생체정보를 생체정보 저장 서버(420)에 제공할 수 있다.In addition, the
또한, 타겟 클라이언트(410)는 암호화된 인증용 생체정보와 함께 타겟 클라이언트(410)의 식별자를 생체정보 저장 서버(420)에 제공할 수 있다. 다만, 이에 한정되지 않고, 타겟 클라이언트(410)는 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 매칭 서버(430)에 제공할 수 있다.In addition, the
또한, 본 발명의 몇몇 실시예에서, 생체정보 저장 서버(420)는 사용자 인증 요청에 따라 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 획득할 수 있다. 이후, 생체정보 저장 서버(420)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보의 복호화를 위하여, 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타켓 클라이언트(410)의 식별자를 매칭 서버(430)에 제공할 수 있다. 생체정보 저장 서버(420)는 암호화된 등록용 생체정보 전체에서 타겟 클라이언트(410)의 식별자와 대응하는 암호화된 등록용 생체정보를 추출하고, 타겟 클라이언트(410)의 식별자와 대응하는 암호화된 등록용 생체정보만을 매칭 서버(430)에 제공할 수 있다.Also, in some embodiments of the present invention, the biometric
또한, 생체정보 저장 서버(420)는 암호화된 등록용 생체정보의 등록 유효기간을 확인하고, 등록 유효기간이 만료된 경우, 암호화된 등록용 생체정보를 제거할 수 있다.In addition, the biometric
또한, 본 발명의 몇몇 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 복수의 클라이언트 각각으로부터 획득한 복호키 및 복수의 클라이언트 각각의 식별자를 미리 저장한다. 인증 동작에서, 매칭 서버(430)는 암호화된 등록용 생체정보, 암호화된 인증용 생체정보 및 타겟 클라이언트(410)의 식별자를 획득할 수 있다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에 암호화된 등록용 생체정보의 적어도 일부, 암호화된 인증용 생체정보의 적어도 일부 및 타겟 클라이언트(410)의 식별자를 제공할 수 있다.Further, in some embodiments of the present invention, the matching
또한, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화하기 위하여, 미리 저장된 복호키들 중 타겟 클라이언트(410)의 식별자와 대응되는 복호키를 추출할 수 있다. 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 타겟 클라이언트(410)의 식별자와 대응되는 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화할 수 있다.The matching
일 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 "연쇄적으로" 복호화할 수 있다.In one embodiment, the matching
예를 들어, 타겟 클라이언트(410)가 n개의 복호키 중 매칭 서버(430)에 제1 복호키를 제공하고, 복수의 서브 매칭 서버(441, 442, 443)에 나머지 복호키를 각각 하나씩 제공한 경우, 매칭 서버(430)는 제1 복호키를 이용하여 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 복호화한다. 또한, 제1 서브 매칭 서버(441)는 매칭 서버(430)에 의해 복호화된 등록용 생체정보 및 인증용 생체정보를 제2 복호키를 이용하여 복호화한다. 또한, 제2 서브 매칭 서버(442) 및 제N 서브 매칭 서버(443)도 미리 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 등록용 생체정보 및 인증용 생체정보를 연쇄적으로 복호화한다. 이 경우, 제N 서브 매칭 서버(443)에 의해 최종적으로 복호화가 완료될 수 있으며, 제N 서브 매칭 서버(443)는 매칭 서버(430)에서 매칭이 수행되도록, 매칭 서버(430)에 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 전송할 수 있다. 다만, 이에 한정되지 않으며, 제N 서브 매칭 서버(443)가 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 매칭할 수도 있다. 다른 예로서, 타겟 클라이언트(410)가 n개의 복호키 중 매칭 서버(430)에는 복호키를 제공하지 않고, 복수의 서브 매칭 서버(441, 442, 443) 각각에 n개의 복호키를 각각 하나씩 제공한 경우, 매칭 서버(430)는 제1 서브 매칭 서버(441)에 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 제공한다. 또한, 제1 서브 매칭 서버(441)는 매칭 서버(430)로부터 획득한 등록용 생체정보 및 인증용 생체정보를 제1 복호키를 이용하여 복호화한다. 또한, 제2 서브 매칭 서버(442) 및 제N 서브 매칭 서버(443)도 미리 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 등록용 생체정보 및 인증용 생체정보를 연쇄적으로 복호화한다. 이 경우 역시, 제N 서브 매칭 서버(443)에 의해 최종적으로 복호화가 완료될 수 있으며, 제N 서브 매칭 서버(443)는 매칭 서버(430)에서 매칭이 수행되도록, 매칭 서버(430)에 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 전송할 수도 있고, 제N 서브 매칭 서버(443)가 복호화된 등록용 생체정보 및 복호화된 인증용 생체정보를 매칭할 수도 있다.For example, if the
다른 일 실시예에서, 매칭 서버(430) 및/또는 복수의 서브 매칭 서버(441, 442, 443)는 암호화된 등록용 생체정보 및 암호화된 인증용 생체정보를 "분할하여" 복호화할 수 있다.In another embodiment, the matching
예를 들어, 매칭 서버(430)가 n개의 복호키 중 제1 복호키, n개로 분할된 암호화된 등록용 생체정보 중 제1 암호화된 등록용 생체정보 및 n개로 분할된 암호화된 인증용 생체정보 중 제1 암호화된 인증용 생체정보를 획득하고, 복수의 서브 매칭 서버(441, 442, 443)가 나머지 복호키 중 하나, 분할 및 암호화된 등록용 생체정보의 나머지 중 하나와 분할 및 암호화된 인증용 생체정보의 나머지 중 하나를 획득하는 경우, 매칭 서버(430)는 제1 복호키를 이용하여 제1 암호화된 등록용 생체정보 및 제1 암호화된 인증용 생체정보를 복호화한다. 또한, 복수의 서브 매칭 서버(441, 442, 443)는, 복수의 서브 매칭 서버(441, 442, 443) 각각이 저장하는 분할 및 암호화된 등록용 생체정보와 분할 및 암호화된 인증용 생체정보를, 복수의 서브 매칭 서버(441, 442, 443) 각각에 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 복호화한다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화된 분할된 등록용 생체정보 및 분할된 인증용 생체정보를 획득하고, 획득된 등록용 생체정보를 통합하여 복호화된 등록용 생체정보를 획득하고, 획득된 인증용 생체정보를 통합하여 복호화된 인증용 생체정보를 획득할 수 있다. For example, when the matching
다른 예로서, 복수의 서브 매칭 서버(441, 442, 443)가 n개의 복호키 중 하나, n개로 분할된 암호화된 등록용 생체정보의 중 하나 및 n개로 분할된 암호화된 인증용 생체정보의 중 하나를 획득하는 경우, 복수의 서브 매칭 서버(441, 442, 443)는, 복수의 서브 매칭 서버(441, 442, 443) 각각이 저장하는 분할 및 암호화된 등록용 생체정보와 분할 및 암호화된 인증용 생체정보를, 복수의 서브 매칭 서버(441, 442, 443) 각각에 저장된 타겟 클라이언트(410)의 식별자와 대응하는 복호키를 이용하여 복호화한다. 또한, 매칭 서버(430)는 복수의 서브 매칭 서버(441, 442, 443)에서 복호화된 분할된 등록용 생체정보 및 분할된 인증용 생체정보를 획득하고, 획득된 등록용 생체정보를 통합하여 복호화된 등록용 생체정보를 획득하고, 획득된 인증용 생체정보를 통합하여 복호화된 인증용 생체정보를 획득할 수 있다.As another example, a plurality of
또한, 매칭 서버(430)는 복호화된 등록용 생체정보와 복호화된 인증용 생체정보가 매칭되는지 여부를 판단할 수 있다. 매칭 여부의 판단에 대해서는 도 1 및 도 2에서 설명한 내용이 그대로 적용될 수 있으므로, 자세한 설명은 생략한다.Also, the matching
또한, 매칭 서버(430)는 매칭 결과를 생체정보 저장 서버(420)에 제공할 수 있다. 다만, 매칭 서버(430)는 매칭 결과를 타겟 클라이언트(410)에 직접 제공할 수도 있다.In addition, the matching
또한, 일 실시예에서, 매칭 서버(430)는 암호화된 인증용 생체정보의 등록 유효기간을 확인하고, 인증 유효기간이 만료된 경우, 암호화된 인증용 생체정보를 제거할 수 있다.In addition, in one embodiment, the matching
전술한 바와 같이, 암호화된 등록용 생체정보와 복호키가 서로 다른 서버에 저장됨에 따라 인증 시스템의 보안성이 향상될 수 있다. 뿐만 아니라, 도 4의 실시예들에서는 복호키가 복수개이고, 복수개의 복호키가 하나의 서버가 아니라 복수개의 서버에 분산되어 저장되며, 복수개의 복호키 전부가 있어야 암호화된 생체정보가 복호화될 수 있다. 즉, 매칭 서버(430) 및 복수의 서브 매칭 서버(441, 442, 443) 각각에 복호키가 저장된 경우, 어느 하나의 서버가 해킹을 당하여 복호키가 유출되었더라도, 나머지 복호키가 없으면 암호화된 생체정보가 복호화될 수 없다. 따라서, 도 4의 실시예에 의할 경우, 인증 시스템의 보안성이 더욱 향상될 수 있다.As described above, the security of the authentication system can be improved by storing the encrypted registration biometrics information and the decryption key in different servers. In addition, in the embodiments of FIG. 4, a plurality of decryption keys are provided, a plurality of decryption keys are not distributed in one server but are distributed and stored in a plurality of servers, and encrypted biometric information can be decrypted have. That is, when a decryption key is stored in each of the matching
도 5는 일 실시예에 따른 허브 서버를 설명하기 위한 도면이다.5 is a diagram for explaining a hub server according to an embodiment.
도 5를 참조하면, 인증 시스템은 타겟 클라이언트(510), 생체정보 저장 서버(520), 허브 서버(530) 및 복수의 매칭 서버(541, 542, 543)를 포함할 수 있다. 도 5에 표현되지는 않았지만, 도 4와 같이, 도 5의 매칭 서버들(541, 542, 543) 각각은 적어도 하나의 서브 매칭 서버(예를 들어, 도 4의 복수의 서브 매칭 서버(441, 442, 443))와 통신을 수행할 수 있다. 즉, 도 4의 실시예와 비교할 때, 도 5의 실시예에서는 매칭 서버가 복수개로 구성되고, 허브 서버(530)가 추가된 것으로, 타겟 클라이언트(510), 생체정보 저장 서버(520) 및 매칭 서버들(541, 542, 543)에는 타겟 클라이언트(410), 생체정보 저장 서버(420) 및 매칭 서버(430)에 대해 설명한 구성이 그대로 적용될 수 있다.5, the authentication system may include a
본 발명의 몇몇 실시예에서, 인증 시스템에서는 등록 동작 및 인증 동작이 수행될 수 있다.In some embodiments of the invention, a registration operation and an authentication operation may be performed in an authentication system.
등록 동작에서, 타겟 클라이언트(510)는 복호키를 저장할 서버를 지정할 수 있고, 상기 지정에 대한 정보를 허브 서버(530)에 제공할 수 있다. 예를 들어, 타겟 클라이언트(510)는 복호키를 저장할 서버로 복수의 매칭 서버(541, 542, 543) 중 제1 매칭 서버(541)를 지정할 수 있고, 허브 서버(530)는 타겟 클라이언트(510)가 복호화를 저장할 서버로 제1 매칭 서버(541)를 지정하였다는 정보를 획득할 수 있다. In the registration operation, the
또한, 등록 동작에서, 허브 서버(530)는 타겟 클라이언트(510)로부터 복호키를 획득할 수 있고, 타겟 클라이언트(510)에서 복호키를 저장할 서버로 지정된 매칭 서버(상기 예에서는, 제1 매칭 서버(541))에 획득한 복호키를 제공할 수 있다. 물론, 매칭 서버가 허브 서버(530)로부터 복수의 복호키를 획득한 경우, 매칭 서버는 미리 지정된 서브 매칭 서버 각각에 복호키를 하나씩 제공할 수 있다.In addition, in the registration operation, the
또한, 인증 동작에서, 허브 서버(530)는 생체정보 저장 서버(520) 또는 타겟 클라이언트(510)로부터 타겟 클라이언트(510)의 식별자를 획득하고, 타겟 클라이언트(510)의 식별자를 이용하여 복수의 매칭 서버(541, 542, 543) 중 복호화를 수행할 매칭 서버를 지정할 수 있다. 이에 따라, 허브 서버(530)는 상기 지정된 매칭 서버에 생체정보 저장 서버(520)로부터 암호화된 등록용 생체정보, 암호화된 인증용 생체정보, 타겟 클라이언트(510)의 식별자를 전달할 수 있다.In the authentication operation, the
또한, 허브 서버(530)는 상기 지정된 매칭 서버에 등록용 생체정보와 인증용 생체정보의 매칭을 요청할 수 있고, 상기 지정된 매칭 서버로부터 매칭 결과를 획득하고, 매칭 결과를 생체정보 저장 서버(520) 또는 타겟 클라이언트(510)에 전달할 수 있다.The
도 6은 일 실시예에 따른 서브 매칭 서버가 존재할 경우의 복호화 방법에 대해 설명하기 위한 도면이다.FIG. 6 is a diagram for explaining a decoding method when there is a sub-matching server according to an embodiment.
도 6을 참조하면, 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)는 매칭 서버(610)에 종속되어, 매칭 서버의 제어에 따라 암호화된 생체정보의 복호화를 수행한다.Referring to FIG. 6, the first
일 실시예에서, 매칭 서버(610)는 제1, 2, 3 클라이언트 각각에서 암호화된 생체정보를 복호화하기 위한 복호키 1, 2, 3(611,612, 613)을 포함한다. 또한, 제1 서브 매칭 서버(620)는 복호키 1(611)과 대응되는, 즉, 제1 클라이언트에서 생성된 암호화된 생체정보를 복호화하기 위한 것이지만 복호키 1(611)과는 별개인, 복호키 1-1(621)을 포함하고, 복호키 3(613)과 대응되는 복호키 3-1(622)을 포함한다. 또한, 제2 서브 매칭 서버(630)는 복호키 1(611)과 대응되는 복호키 1-2(631)을 포함하고, 복호키 2(612)와 대응되는 복호키 2-1(632)을 포함한다.In one embodiment, the matching
구체적인 예로서, 매칭 서버(610)는 생체정보 저장 서버로부터 제1 클라이언트의 식별자를 획득할 수 있다. 이 경우, 매칭 서버(610)는 제1 클라이언트의 식별자를 이용하여 복호키들(611, 612, 613) 중 복호키 1(611)를 복호화를 수행할 복호키로 추출할 수 있다. 또한, 매칭 서버(610)는 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에 제1 클라이언트의 식별자를 전송할 수 있다. 이 경우, 제1 서브 매칭 서버(620)는 제1 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 1-1(621)를 선택하고, 제2 서브 매칭 서버(630)는 제1 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 1-2(631)를 선택할 수 있다. 이에 따라, 제2 클라이언트에서 암호화된 생체정보는 매칭 서버(610), 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에서 복호화가 수행된다.As a specific example, the matching
다른 예로서, 매칭 서버(610)는 생체정보 저장 서버로부터 제2 클라이언트의 식별자를 획득할 수 있다. 이 경우, 매칭 서버(610)는 제2 클라이언트의 식별자를 이용하여 복호키들(611, 612, 613) 중 복호키 2(612)를 복호화를 수행할 복호키로 추출할 수 있다. 또한, 매칭 서버(610)는 제1 서브 매칭 서버(620) 및 제2 서브 매칭 서버(630)에 제2 클라이언트의 식별자를 전송할 수 있다. 이 경우, 제1 서브 매칭 서버(620)는 제2 클라이언트의 식별자와 대응하는 복호키를 포함하지 않으므로, 복호키를 추출하지 않고, 제2 서브 매칭 서버(630)는 제2 클라이언트의 식별자를 이용하여 복호화를 수행할 복호키로 복호키 2-1(632)를 선택할 수 있다. 이에 따라, 제2 클라이언트에서 암호화된 생체정보는 매칭 서버(610) 및 제2 서브 매칭 서버(630)에서 복호화가 수행되고, 제1 서브 매칭 서버(620)에서는 복호화가 수행되지 않는다.As another example, the matching
도 7은 일 실시예에 따른 복호키 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.7 is a flowchart illustrating a method of controlling a decryption key storage server according to an embodiment of the present invention.
도 7을 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트 및 복호키 저장 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하며, 복호키 저장 서버는 적어도 하나의 복호키를 저장할 수 있다. 즉, 적어도 하나의 복호키는 인증 시스템의 보안성을 향상시키기 위하여 등록용 생체정보가 저장된 생체정보 저장 서버와 분리된 복호키 저장 서버에 저장된다.Referring to FIG. 7, the authentication system includes a biometric information storage server, a target client, and a decryption key storage server. Specifically, the biometric information storage server stores the biometric information for registration acquired from each of the at least one client, the target client is included in at least one client, acquires the biometric information for authentication of the user, And encrypts biometric information for authentication, and the decryption key storage server can store at least one decryption key. That is, at least one decryption key is stored in a decryption key storage server separate from the biometric information storage server storing the biometric information for registration in order to improve the security of the authentication system.
복호키 저장 서버의 제어 방법에서, 복호키 저장 서버는 타겟 클라이언트의 식별자 및 암호화된 인증용 생체정보를 획득할 수 있다(710).In the control method of the decryption key storage server, the decryption key storage server may acquire the identifier of the target client and the encrypted biometric information for authentication (710).
또한, 복호키 저장 서버는 매칭을 위하여 등록용 생체정보를 획득하되. 등록용 생체정보 중 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(720). 여기서, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.Also, the decryption key storage server obtains biometrics information for registration for matching. Registration biometric information corresponding to the identifier in the registration biometric information can be obtained (720). Here, the biometric information for registration can be encrypted by the client that has transmitted the biometric information for registration.
또한, 복호키 저장 서버는 적어도 하나의 복호키 중 식별자와 대응되는 복호키를 추출할 수 있다(730).Also, the decryption key storage server may extract a decryption key corresponding to the identifier among at least one decryption key (730).
또한, 복호키 저장 서버는 식별자와 대응되는 복호키를 이용하여 암호화된 인증용 생체정보 및 식별자와 대응되는 등록용 생체정보를 복호화할 수 있다(740).The decryption key storage server may decrypt the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier using the decryption key corresponding to the identifier (740).
또한, 복호키 저장 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단할 수 있다(750).Also, the decryption key storage server can determine whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are matched (750).
또한, 복호키 저장 서버는 매칭 결과를 생체정보 저장 서버 또는 타겟 클라이언트에 제공할 수 있다(760).Also, the decryption key storage server may provide the matching result to the biometric information storage server or the target client (760).
도 7에 도시된 복호키 저장 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.The control method of the decryption key storage server shown in FIG. 7 may be applied to the control method of FIG. 1 through FIG. 6 as it is, so that detailed description will be omitted.
도 8은 일 실시예에 따른 생체정보 저장 서버의 제어 방법을 나타낸 동작 흐름도이다.8 is a flowchart illustrating a method of controlling a biometric information storage server according to an exemplary embodiment of the present invention.
도 8을 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트 및 복호키 저장 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하며, 복호키 저장 서버는 적어도 하나의 복호키를 저장한다. 즉, 등록용 생체정보는 인증 시스템의 보안성을 향상시키기 위하여 적어도 하나의 복호키가 저장된 상기 복호키 저장 서버와 분리된 생체정보 저장 서버에 저장된다.Referring to FIG. 8, the authentication system includes a biometric information storage server, a target client, and a decryption key storage server. Specifically, the biometric information storage server stores the biometric information for registration obtained from each of the at least one client, the target client is included in at least one client, acquires biometric information for authentication of the user, And the decryption key storage server stores at least one decryption key. That is, the biometric information for registration is stored in the biometric information storage server separate from the decryption key storage server in which at least one decryption key is stored in order to improve the security of the authentication system.
생체정보 저장 서버의 제어방법에서의 생체정보 저장 서버는 타겟 클라이언트의 사용자 인증 요청에 따라 타겟 클라이언트의 식별자 및 암호화된 인증용 생체정보를 획득할 수 있다(810).The biometric information storage server in the control method of the biometric information storage server can acquire the identifier of the target client and the biometric information for the authentication according to the user authentication request of the target client (810).
또한, 생체정보 저장 서버는 등록용 생체정보 중 타겟 클라이언트의 식별자와 대응하는 등록용 생체정보를 추출할 수 있다(820). 이 경우, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.Further, the biometric information storage server may extract registration biometric information corresponding to the identifier of the target client among the biometric information for registration (820). In this case, the biometric information for registration can be encrypted by the client that has transmitted the biometric information for registration.
또한, 생체정보 저장 서버는 식별자에 대응되는 등록용 생체정보와 복호화된 인증용 생체정보의 매칭 결과를 획득할 수 있다(830).Further, the biometric information storage server may obtain the matching result of the biometric information for registration corresponding to the identifier and the decrypted biometric information for authentication (830).
또한, 생체정보 저장 서버는 매칭 결과 또는 매칭 결과에 따른 정보를 타겟 클라이언트에게 제공할 수 있다(840).In addition, the biometric information storage server may provide information on the matching result or the matching result to the target client (840).
도 8에 도시된 생체정보 저장 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.The control method of the biometric information storage server shown in FIG. 8 can be applied to the control method of FIG. 1 through FIG. 6 as it is, so that a detailed description will be omitted.
도 9는 일 실시예에 따른 매칭 서버의 제어 방법을 나타낸 동작 흐름도이다.9 is a flowchart illustrating a method of controlling a matching server according to an exemplary embodiment of the present invention.
도 9를 참조하면, 인증 시스템은 생체정보 저장 서버, 타겟 클라이언트, 적어도 하나의 서브 매칭 서버 및 매칭 서버를 포함한다. 구체적으로, 생체정보 저장 서버는 적어도 하나의 클라이언트 각각으로부터 획득한 등록용 생체정보를 저장하고, 타겟 클라이언트는 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 인증용 생체정보를 암호화하고, 적어도 하나의 서브 매칭 서버는 복호키를 이용하여 인증용 생체정보를 복호화하며, 매칭 서버는 등록용 생체정보 중 일부와 인증용 생체정보를 매칭할 수 있다. 즉, 복호키는 인증 시스템의 보안성을 향상시키기 위하여 등록용 생체정보가 생체정보 저장 서버와 분리된 매칭 서버 또는 서브 매칭 서버 중 적어도 하나에 저장된다.Referring to FIG. 9, the authentication system includes a biometric information storage server, a target client, at least one sub matching server, and a matching server. Specifically, the biometric information storage server stores the biometric information for registration acquired from each of the at least one client, the target client is included in at least one client, acquires the biometric information for authentication of the user, And the at least one sub matching server decrypts the biometric information for authentication using the decryption key, and the matching server can match some of the biometric information for registration with the biometric information for authentication. That is, the decryption key is stored in at least one of a matching server or a sub-matching server in which registration biometric information is separated from the biometric information storage server in order to improve the security of the authentication system.
매칭 서버의 제어 방법에서, 매칭 서버는 암호화된 인증용 생체정보를 획득할 수 있다(910).In the control method of the matching server, the matching server can acquire encrypted biometric information for authentication (910).
또한, 매칭 서버는 등록용 생체정보를 획득하되, 등록용 생체정보 중 타겟 클라이언트의 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(920). 이 경우, 등록용 생체정보는 등록용 생체정보를 전송한 클라이언트에 의해 암호화될 수 있다.In addition, the matching server may acquire registration biometric information, and may acquire registration biometric information corresponding to the identifier of the target client among the registration biometric information (920). In this case, the biometric information for registration can be encrypted by the client that has transmitted the biometric information for registration.
또한, 매칭 서버는 암호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보의 복호화를 위해서, 적어도 하나의 서브 매칭 서버에 암호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보를 제공할 수 있다(930).The matching server also provides biometric information for authentication and biometric information for registration corresponding to the identifier to the at least one sub matching server for decoding the encrypted biometric information for authentication and the biometric information for registration corresponding to the identifier (930).
또한, 매칭 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보를 획득할 수 있다(940).Further, the matching server can acquire biometric information for authentication and biometric information for registration corresponding to the identifier (940).
또한, 매칭 서버는 복호화된 인증용 생체정보와 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단할 수 있다(950).Further, the matching server can determine whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are matched (950).
또한, 매칭 서버는 매칭 결과를 생체정보 저장 서버 또는 타겟 클라이언트에 제공할 수 있다(960).In addition, the matching server may provide the matching result to the biometric information storage server or the target client (960).
도 9에 도시된 매칭 서버의 제어 방법에는 도 1 내지 도 6을 통해 설명된 내용이 그대로 적용될 수 있으므로, 보다 상세한 내용은 생략한다.The contents of the control method of the matching server shown in FIG. 9 through the FIG. 1 through FIG. 6 can be applied as they are, so that detailed description will be omitted.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (1)
상기 적어도 하나의 클라이언트에 포함되고, 사용자의 인증용 생체정보를 획득하고, 고유의 암호키를 이용하여 상기 인증용 생체정보를 암호화하는 타겟 클라이언트; 및
적어도 하나의 복호키를 저장하는 복호키 저장 서버를 포함하는 인증 시스템에서의 상기 복호키 저장 서버의 제어 방법에 있어서,
상기 타겟 클라이언트의 식별자 및 상기 암호화된 인증용 생체정보를 획득하는 단계;
매칭을 위하여 상기 등록용 생체정보 - 상기 등록용 생체정보는 상기 등록용 생체정보를 전송한 클라이언트에 의해 암호화됨 - 를 획득하되, 상기 등록용 생체정보 중 상기 식별자와 대응되는 등록용 생체정보를 획득하는 단계;
상기 적어도 하나의 복호키 중 상기 식별자와 대응되는 복호키를 추출하는 단계;
상기 식별자와 대응되는 복호키를 이용하여 상기 암호화된 인증용 생체정보 및 상기 식별자와 대응되는 등록용 생체정보를 복호화하는 단계;
상기 복호화된 인증용 생체정보와 상기 식별자와 대응되는 등록용 생체정보가 매칭되는지 여부를 판단하는 단계; 및
상기 매칭 결과를 상기 생체정보 저장 서버 또는 상기 타겟 클라이언트에 제공하는 단계
를 포함하는 복호키 저장 서버의 제어 방법.A biometric information storage server for storing biometric information for registration acquired from each of at least one client;
A target client included in the at least one client, for acquiring biometric information for authentication of a user and encrypting the biometric information for authentication using a unique cryptographic key; And
A decryption key storage server control method in an authentication system including a decryption key storage server storing at least one decryption key,
Obtaining an identifier of the target client and the encrypted biometric information for authentication;
Acquiring the biometric information for registration, the biometric information for registration is encrypted by a client that transmitted the biometric information for registration, and acquiring biometric information for registration corresponding to the identifier in the biometric information for registration, ;
Extracting a decryption key corresponding to the identifier among the at least one decryption key;
Decrypting the encrypted biometric information for authentication and biometric information for registration corresponding to the identifier using the decryption key corresponding to the identifier;
Determining whether the decrypted biometric information for authentication and the biometric information for registration corresponding to the identifier are matched with each other; And
Providing the matching result to the biometric information storage server or the target client
And decrypting the decrypted key.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160030403A KR101768213B1 (en) | 2016-03-14 | 2016-03-14 | Method and apparatus for authenticating using biometric information |
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160030403A Division KR101768213B1 (en) | 2016-03-14 | 2016-03-14 | Method and apparatus for authenticating using biometric information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20170107409A true KR20170107409A (en) | 2017-09-25 |
| KR102332662B1 KR102332662B1 (en) | 2021-12-01 |
Family
ID=78933899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170099135A KR102332662B1 (en) | 2016-03-14 | 2017-08-04 | Method and apparatus for authenticating using biometric information |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102332662B1 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108959911A (en) * | 2018-06-14 | 2018-12-07 | 联动优势科技有限公司 | A kind of key chain generates, verification method and its device |
| WO2019164139A1 (en) * | 2018-02-22 | 2019-08-29 | 스티븐상근 오 | Electronic payment system and method and program using biometric authentication |
| CN110784441A (en) * | 2018-07-30 | 2020-02-11 | 闪亮有限责任公司 | Authentication method for client through network |
| WO2020123192A1 (en) * | 2018-12-14 | 2020-06-18 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| CN116110159A (en) * | 2023-04-13 | 2023-05-12 | 新兴际华集团财务有限公司 | User authentication method, device and medium based on CFCA authentication standard |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102648908B1 (en) * | 2023-06-27 | 2024-03-19 | 농협은행(주) | User authentication system and method |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293469A (en) * | 2006-04-24 | 2007-11-08 | Hitachi Ltd | User authentication proxy system using biometrics |
| KR20150107669A (en) * | 2014-03-14 | 2015-09-23 | 주식회사 로웸 | Method and apparatus for managing secret data and security authentication method and the system |
-
2017
- 2017-08-04 KR KR1020170099135A patent/KR102332662B1/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293469A (en) * | 2006-04-24 | 2007-11-08 | Hitachi Ltd | User authentication proxy system using biometrics |
| KR20150107669A (en) * | 2014-03-14 | 2015-09-23 | 주식회사 로웸 | Method and apparatus for managing secret data and security authentication method and the system |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019164139A1 (en) * | 2018-02-22 | 2019-08-29 | 스티븐상근 오 | Electronic payment system and method and program using biometric authentication |
| CN108959911A (en) * | 2018-06-14 | 2018-12-07 | 联动优势科技有限公司 | A kind of key chain generates, verification method and its device |
| CN110784441A (en) * | 2018-07-30 | 2020-02-11 | 闪亮有限责任公司 | Authentication method for client through network |
| US11245532B2 (en) | 2018-07-30 | 2022-02-08 | Blink.ing doo | Authentication method for a client over a network |
| WO2020123192A1 (en) * | 2018-12-14 | 2020-06-18 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| US11250161B2 (en) | 2018-12-14 | 2022-02-15 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| US20220129585A1 (en) | 2018-12-14 | 2022-04-28 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| US11803662B2 (en) | 2018-12-14 | 2023-10-31 | Mastercard International Incorprated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| US11907404B2 (en) | 2018-12-14 | 2024-02-20 | Mastercard International Incorporated | Systems, methods, and non-transitory computer-readable media for secure individual identification |
| CN116110159A (en) * | 2023-04-13 | 2023-05-12 | 新兴际华集团财务有限公司 | User authentication method, device and medium based on CFCA authentication standard |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102332662B1 (en) | 2021-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101768213B1 (en) | Method and apparatus for authenticating using biometric information | |
| KR102332662B1 (en) | Method and apparatus for authenticating using biometric information | |
| US10681025B2 (en) | Systems and methods for securely managing biometric data | |
| EP3435591B1 (en) | 1:n biometric authentication, encryption, signature system | |
| JP2019508763A (en) | Local device authentication | |
| KR20170043520A (en) | System and method for implementing a one-time-password using asymmetric cryptography | |
| KR101520722B1 (en) | Method, server and user device for verifying user | |
| WO2017063163A1 (en) | Apparatus, method and computer program product for authentication | |
| US9294474B1 (en) | Verification based on input comprising captured images, captured audio and tracked eye movement | |
| US8918844B1 (en) | Device presence validation | |
| US20230328059A1 (en) | Authentication system for providing biometrics-based login service | |
| US20220400015A1 (en) | Method and device for performing access control by using authentication certificate based on authority information | |
| EP3198752B1 (en) | Data sharing using body coupled communication | |
| US11582607B2 (en) | Wireless security protocol | |
| US11606196B1 (en) | Authentication system for a multiuser device | |
| US9386017B2 (en) | Authentication device, system and method | |
| US20230006829A1 (en) | Information matching system and information matching method | |
| KR20150115593A (en) | Method, server and user device for verifying user | |
| KR20200137126A (en) | Apparatus and method for registering biometric information, apparatus and method for biometric authentication | |
| US11949772B2 (en) | Optimized authentication system for a multiuser device | |
| US11621848B1 (en) | Stateless system to protect data | |
| US20220345302A1 (en) | Information matching system and information matching method | |
| JP2022547829A (en) | Computer-implemented method and system for securely authenticating unconnected objects and their locations | |
| US20150163064A1 (en) | Cryptographically authenticated communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |