KR20180069669A - System for non-password secure biometric digital signagure - Google Patents
System for non-password secure biometric digital signagure Download PDFInfo
- Publication number
- KR20180069669A KR20180069669A KR1020170107781A KR20170107781A KR20180069669A KR 20180069669 A KR20180069669 A KR 20180069669A KR 1020170107781 A KR1020170107781 A KR 1020170107781A KR 20170107781 A KR20170107781 A KR 20170107781A KR 20180069669 A KR20180069669 A KR 20180069669A
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- information
- password
- digital signature
- client
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Abstract
Description
본 발명은 공인인증서 유출과 개인키에 대한 비밀번호 검출공격으로부터 안전한 전자서명 시스템에 관한 것이다. The present invention relates to an electronic signature system secure from a public key certificate disclosure and a password detection attack on a private key.
신원 확인 및 메시지 내용에 대한 보호를 위해 공인인증제도가 도입된 이래, 공인인증서는 2016년 12월 기준 그 발급건수가 3,544만 건을 넘어섰으며, 공인인증서 발급 건수는 지속적으로 증가하고 있는 추세이다. Since the certification system was introduced to protect identity verification and message contents, the number of certificates issued exceeds 35.44 million as of December 2016, and the number of certificates issued is steadily increasing.
공개키 기반구조의 공인인증서는 공개키 암/복호화 알고리즘과 해시 알고리즘 등 신뢰성 있고 안전한 거래를 위해 전 세계적으로 사용되고 있는 국제 표준 암호 알고리즘에 의해 발급 및 사용이 보호된다. Authorized certificates of public key infrastructure are protected for issuance and use by international standard cryptographic algorithms used worldwide for reliable and secure transactions such as public key encryption / decryption algorithm and hash algorithm.
공인인증서에는 공개키가 포함되고 공개키와 쌍을 이루는 개인키는 유출 시 본인외 사용 등 보안상 위험에 따라, 비밀번호로 암호화되어 보관된다. The public key is included in the public certificate, and the private key, which is paired with the public key, is encrypted and stored according to the security risk, such as the use of the private key at the time of leakage.
하지만, 인증서와 개인키는 파일 형태로 존재하기 때문에, 하드디스크에 저장되어 있는 위치(NPKI)에 접근이 쉽고, 복사/사용이 쉬워 보안이 취약한 문제점이 있다. However, since the certificate and the private key exist in the form of a file, there is a problem that the location (NPKI) stored in the hard disk is easy to access, and the copy / use is easy because of the security.
최근, 사용자 PC에 설치된 악성코드로 인해 사용자의 인증서와 개인키 파일 및 관련 전자금융정보가 유출되는 사고가 빈번하게 발생하고 있다. In recent years, a malicious code installed in a user PC has frequently caused a leakage of a user's certificate, a private key file, and related electronic financial information.
2015년 8월 기준으로 약 7만810건의 공인인증서가 해킹된 것으로 집계되고 있으며, 사용자들이 기억하기 쉽고 입력이 편리한 비밀번호를 사용함에 따라 유출된 개인키는 비밀번호 검출공격에 의해 복호화되어 불법적으로 사용되는 문제점이 있다.As of August 2015, approximately 7810 authorized certificates have been hacked. As users use easy-to-remember and easy-to-input passwords, the leaked private keys are decrypted by a password detection attack and used illegally There is a problem.
본 발명은 전술한 문제점을 해결하기 위하여 제안된 것으로, 공인인증서 유출문제를 방지하고, 암호화된 개인키를 비밀번호 검출공격으로부터 보호하는 안전한 전자서명 시스템을 제공하는데 목적이 있다. SUMMARY OF THE INVENTION The present invention has been proposed in order to solve the above problems, and it is an object of the present invention to provide a secure digital signature system that prevents a problem of leakage of an authorized certificate and protects an encrypted private key from a password detection attack.
본 발명에 따른 바이오정보를 이용한 패스워드 없는 안전한 전자서명 시스템은 바이오정보로 암호화된 공인인증서 개인키를 안전한 저장소에 저장하고, 인증 및 전자서명은 보안실행환경에서 안전하게 수행되도록 하고, 지문의 특징 정보를 바이오템플릿으로 변환하여 개인키를 암호화하는데 사용하며, 글로벌 인증기술 표준인 FIDO와 국내 공인인증 체계를 화학적으로 융합함에 따라 FIDO 지원 단말에서 제공하는 다양한 인증기법들을 공인인증서와 연동할 수 있도록 확장성있는 프레임 워크를 제공하는 것을 특징으로 한다. The secure digital signature system using biometric information according to the present invention stores a public key of a public key certificate encrypted with bio information in a secure repository so that authentication and digital signature can be safely performed in a security execution environment, It is used to encrypt the private key by converting it into a biotemplate. By chemically integrating FIDO, a global authentication technology standard, with the national authentication system, various authentication methods provided by FIDO supporting terminals can be extended Thereby providing a framework.
본 발명에 따른 바이오정보를 이용한 패스워드 없는 안전한 전자서명 시스템은 종래 기술에 따른 사용자 입력 패스워드를 통해 개인키를 암호화하는 방식과 비교하여 볼 때, 패스워드 방식에 비해 엔트로피가 약 22.7배 높게 획득되어, 암호화된 개인키를 복호화하는 것이 불가능한 효과가 있다.Compared with a method of encrypting a private key using a user input password according to the related art, the secure digital signature system using the biometric information according to the present invention has a entropy of about 22.7 times higher than that of the password method, It is impossible to decrypt the private key.
또한, 본 발명에 따르면, 사용자는 공인인증서를 이용할 경우 패스워드 입력 없이 간단하고 편리하게 바이오정보를 인식시킴으로써 전자서명을 생성할 수 있어, 사용자가 복잡한 패스워드를 기억하지 않아도 공인인증서를 쉽고 편리하게 이용할 수 있고, 공인인증서 유출, 무작위 공격 등 해킹 공격으로부터 안전한 보안강도를 제공하는 것이 가능한 효과가 있다.In addition, according to the present invention, a user can easily and conveniently utilize a public certificate without having to store a complex password by allowing the user to generate an electronic signature by simply and conveniently recognizing the bio information without inputting a password when using the public certificate There is an effect that it is possible to provide secure security strength from a hacking attack such as leakage of a public certificate and a random attack.
본 발명의 효과는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to those mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the following description.
도 1은 본 발명의 실시예에 따른 패스워드 없는 안전한 전자서명을 위한 시스템 구성도이다.
도 2는 본 발명의 실시예에 따른 모바일 단말 환경 구성을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 바이오템플릿의 구성을 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 바이오정보를 이용한 개인키 암호화 방법을 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 바이오정보를 이용한 개인키 암호화 및 복호화 과정을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 인증서 신규발급 절차를 나타내는 도면이다.
도 7은 본 발명의 실시예에 따른 인증서 갱신발급 절차를 나타내는 도면이다.
도 8은 본 발명의 실시예에 따른 인증서 폐지 절차를 나타내는 도면이다.
도 9는 본 발명의 실시예에 따른 인증서 등록 절차를 나타내는 도면이다.
도 10은 본 발명의 실시예에 따른 인증 및 전자서명 절차를 나타내는 도면이다.
도 11은 본 발명의 실시예에 따른 서비스 구성요소를 나타내는 블록도이다.
도 12는 본 발명의 실시예에 따른 FIDO 등록 및 공인인증서 발급 절차를 나타내는 도면이다.
도 13은 도 12에 도시한 본 발명의 실시예에 따른 FIDO 등록 및 공인인증서 발급의 상세 절차를 나타내는 도면이다.
도 14는 본 발명의 실시예에 따른 FIDO 인증 및 공인전자서명 절차를 나타태는 도면이다.
도 15는 도 14에 도시한 본 발명의 실시예에 따른 FIDO 인증 및 공인전자서명의 상세 절차를 나타내는 도면이다.
도 16은 본 발명의 실시예에 따른 지문 이미지의 특징점 각도에 따른 분할을 나타내는 도면이다.1 is a system configuration diagram for a secure digital signature without a password according to an embodiment of the present invention.
2 is a diagram illustrating a configuration of a mobile terminal environment according to an embodiment of the present invention.
3 is a view showing a configuration of a biotemplate according to an embodiment of the present invention.
4 is a diagram illustrating a private key encryption method using biometric information according to an embodiment of the present invention.
5 is a diagram illustrating a process of encrypting and decrypting a private key using biometric information according to an embodiment of the present invention.
6 is a diagram illustrating a certificate issuance procedure according to an embodiment of the present invention.
7 is a flowchart illustrating a certificate renewal process according to an embodiment of the present invention.
8 is a diagram illustrating a certificate revocation procedure according to an embodiment of the present invention.
9 is a diagram illustrating a certificate registration procedure according to an embodiment of the present invention.
10 is a diagram showing an authentication and digital signature procedure according to an embodiment of the present invention.
11 is a block diagram illustrating a service component according to an embodiment of the present invention.
FIG. 12 is a diagram illustrating a FIDO registration and authorization certificate issuing procedure according to an embodiment of the present invention.
FIG. 13 is a view showing a detailed procedure of FIDO registration and issuance of an authorized certificate according to the embodiment of the present invention shown in FIG.
FIG. 14 is a diagram illustrating FIDO authentication and authorized digital signature procedures according to an embodiment of the present invention.
FIG. 15 is a view showing a detailed procedure of the FIDO authentication and the authorized digital signature according to the embodiment of the present invention shown in FIG.
FIG. 16 is a diagram illustrating division of fingerprint images according to minutiae angles according to an embodiment of the present invention.
본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, advantages and features of the present invention and methods of achieving them will be apparent from the following detailed description of embodiments thereof taken in conjunction with the accompanying drawings.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 이하의 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 목적, 구성 및 효과를 용이하게 알려주기 위해 제공되는 것일 뿐으로서, 본 발명의 권리범위는 청구항의 기재에 의해 정의된다. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the exemplary embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, And advantages of the present invention are defined by the description of the claims.
한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성소자, 단계, 동작 및/또는 소자가 하나 이상의 다른 구성소자, 단계, 동작 및/또는 소자의 존재 또는 추가됨을 배제하지 않는다.It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. &Quot; comprises "and / or" comprising ", as used herein, unless the recited component, step, operation, and / Or added.
이하에서는, 도면을 참조하여 본 발명의 실시예에 대하여 상술하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
1. 패스워드 없는 안전한 전자서명 기법1. Secure Digital Signature without Password
1. 1. 패스워드 없는 안전한 전자서명 시스템의 구성1. 1. Configuration of Secure Digital Signature System without Password
도 1은 본 발명의 실시예에 따른 패스워드 없는 안전한 전자서명 시스템을 나타내는 구성도이다. 1 is a block diagram illustrating a secure digital signature system without a password according to an embodiment of the present invention.
본 발명의 실시예에 따르면, 단말(클라이언트, 100, PC 또는 모바일) 내 사전에 등록된 바이오정보(지문)을 이용해 공인인증서의 개인키를 암호화하고, 암호화된 개인키를 안전한 저장 공간(Secure Element)에 저장한다. According to the embodiment of the present invention, the private key of the public key is encrypted using the bio information (fingerprint) registered in advance in the terminal (client, 100, PC or mobile), and the encrypted private key is stored in a secure storage space ).
사용자는 공인인증서를 이용할 경우 패스워드 입력 없이 간단하고 편리하게 바이오정보를 인식시킴으로써 전자서명을 생성한다.The user generates the digital signature by simply recognizing the bio information without inputting the password when using the authorized certificate.
도 1을 참조하면, 패스워드 없는 안전한 전자서명 기법에서 사용되는 바이오정보(지문) 인식 및 이용 기술은 FIDO UAF 프로토콜에서 제공하는 통신규약과 상호 연동되도록 설계한다.Referring to FIG. 1, biometric information (fingerprint) recognition and usage techniques used in a secure digital signature scheme without a password are designed to interoperate with a communication protocol provided by the FIDO UAF protocol.
이는 추후 지문 외 홍채, 정맥, 음성, 얼굴 등 다양한 바이오정보로 발전할 수 있도록 확장성 있는 프레임워크를 제공하기 위한 것으로, 본 실시예에 따른 모바일 내 시스템 구성은 안드로이드 운영체제 영역인 일반실행환경(REE, Rich Execution Environment)과 보안실행환경(TEE, Trustred Execution Environment)으로 구성되며, 바이오정보와 개인키를 안전하게 저장하고 전자서명에 이용하기 위해 보안 실행환경이 설계된다. This is to provide an extensible framework for developing various bio information such as iris, vein, voice, face and the like in the future. The system configuration in the mobile according to the present embodiment includes a general execution environment (REE , Rich Execution Environment (TEE), and Trusted Execution Environment (TEE). The security execution environment is designed to securely store bio information and private key and use it for digital signature.
보안실행환경에서는 지문인식장치 어플리케이션과 FIDO 클라이언트 어플리케이션, 인증서 관리 모듈 및 안전한 저장 공간으로 구성된다. In a secure execution environment, it consists of a fingerprint reader application, a FIDO client application, a certificate management module, and a secure storage area.
단말 내 안전한 저장 공간(Secure Element)은 키 쌍을 생성 및 저장하며, 인증서 신규발급, 갱신발급, 폐지 등을 위해 인증서 관리 모듈(Certificate Management)이 신뢰할 수 있는 보안실행환경에서 동작된다.A secure storage space in a terminal generates and stores a key pair, and a certificate management module (Certificate Management) operates in a trusted security execution environment for issuing new certificates, issuing renewals, revoking certificates, and the like.
서비스 제공자(200, Service Provider, Relying Party)는 웹 서비스를 제공하기 위해 서비스 제공 서버(Service Server), FIDO 서버(FIDO Server), 인증서 유효성 및 전자서명 검증을 위한 인증서 검증 모듈(Certificate and Signature Verification)을 포함한다. The service provider (200, Service Provider, Relying Party) includes a service server (FIDO server), a certificate validation module (Certificate and Signature Verification) .
FIDO 서버는 사용자의 인증서를 등록하고, 전자서명을 검증하는 기능을 수행한다. The FIDO server registers the user's certificate and verifies the digital signature.
공인인증기관(300, CA, Certification Authority)은 인증서 발급을 위한 CA 서버(CA Server)를 운영하고, 인증서에 대한 유효성 검증을 제공하기 위해 인증서 디렉토리(LDAP Directory)와 OCSP서버(OCSP Server)를 운영한다. The Certification Authority (300, CA) operates the CA Server for certificate issuance and operates the Certificate Directory (LDAP Directory) and OCSP Server (OCSP Server) to provide validation of the certificate. do.
1.2 클라이언트 내 환경 구성1.2 Configuring the Client Environment
도 2를 참조하면, 클라이언트(user device) 내 환경 구성은 글로벌 플랫폼에서 표준화하고 있는 보안 실행 환경을 패스워드 없는 안전한 전자서명 기법에 적합하게 동작하도록 설계한 것이다.Referring to FIG. 2, an environment configuration in a client device is designed to operate a security execution environment standardized on a global platform to operate in accordance with a secure digital signature technique without a password.
도 2를 참조하면, 일반실행환경(REE)의 서비스 어플리케이션은 보안실행환경(TEE)의 서비스 어플리케이션과 하나의 쌍으로 설치가 되며, 지문인식 어플리케이션(Authenticator Application), FIDO 클라이언트 어플리케이션(FIDO Client Application)은 신뢰할 수 있는 환경에서만 동작하도록 보안실행환경(TEE)에 설치될 수도 있고, 일반실행환경(REE)에 설치될 수도 있다. 2, a service application in a general execution environment (REE) is installed in a pair with a service application in a security execution environment (TEE), and a fingerprint authentication application (Authenticator Application), an FIDO client application (FIDO Client Application) May be installed in a security execution environment (TEE) to operate only in a trusted environment, or may be installed in a general execution environment (REE).
공인인증서 및 개인키는 보안실행환경(TEE) 내 신뢰할 수 있는 어플리케이션에서만 접근이 가능하도록, 안전한 저장 공간 및 지문인식장치에 저장된다.Authorized certificates and private keys are stored in secure storage and fingerprinting devices so that they can only be accessed by trusted applications in the Secure Execution Environment (TEE).
또한, 바이오정보를 인식하고, 개인키를 이용한 전자서명은 보안실행환경 에서 신뢰할 수 있는 어플리케이션을 통해서만 수행되며, 이는 별도의 메모리를 할당받아 독립적으로 수행된다.Also, the biometric information is recognized, and the digital signature using the private key is performed only through a trusted application in the security execution environment, which is performed independently by allocating a separate memory.
2. 바이오정보를 이용한 개인키 암호화 기법2. Private key cryptography using bio information
2. 1. 바이오템플릿 추출방법2. 1. Bio-template extraction method
본 발명의 실시예에 따르면, 모바일에 기본적으로 탑재된 지문 인식장치를 이용해 지문의 특징점 정보를 추출하고 바이오템플릿은 바이오 인식장치 내 별도의 안전한 저장 역역에 저장한다.According to the embodiment of the present invention, the feature point information of the fingerprint is extracted using the fingerprint recognition device fundamentally mounted on the mobile and the biotemplate is stored in a separate secure storage area in the biometric device.
본 발명의 실시예에 따른 바이오템플릿의 구성은 도 3에 도시한 바와 같다.The structure of the bio-template according to the embodiment of the present invention is as shown in FIG.
바이오템플릿은 개인키를 암호화 및 복호화하기 위한 용도로 활용되는데, 바이오정보는 지문의 특징정보인 융선, 분기점, 끝점을 구분하여 추출하고, 본 발명의 실시예에 따르면 56개의 특징 정보를 5바이트 단위로 저장하며, 5바이트로 저장되는 정보는 아래 [표 1]과 같다.The bio-template is used for encrypting and decrypting the private key. The bio-information is obtained by dividing the ridge, the branch point, and the end point, which are characteristic information of the fingerprint, The information stored in 5 bytes is shown in [Table 1] below.
2.2. 바이오정보를 이용한 개인키 암호화 기법2.2. Private key cryptography using biometric information
개인키는 바이오정보를 바이오 템플릿으로 변환한 값을 이용해 암호화되어 저장된다. The private key is encrypted and stored using the biometric information converted into the biotemplate.
바이오정보를 이용한 개인키 암호화 기법은 도 4에 도시한 바와 같다. The private key encryption method using bio information is as shown in FIG.
(1) PKCS#5에서 정의한 PBES2 암호화 기법을 이용한다. 이 때, PBKDF2 키 생성 함수와 블록 암호화 알고리즘을 사용한다.(1) Use the PBES2 encryption scheme defined in
(2) PBKDF2 키 생성 함수를 사용할 때의 파라미터는 아래 [표 2]와 같이 정의한다. (2) PBKDF2 The parameters when using the key generation function are defined as [Table 2] below.
- 바이오정보(ex. 지문의 특징정보)- Password entered by the user
- Bio information (ex. Fingerprint feature information)
(3) PBKDF2 키 생성 함수를 이용하여 20바이트의 추출키를 유도하고, 처음 16바이트를 암호화 키로 정의하며, 나머지 4바이트를 SHA-1으로 해쉬하여 생성된 20바이트 중 처음 16바이트를 초기 벡터로 정의한다(3) A 20-byte extraction key is derived using the PBKDF2 key generation function, the first 16 bytes are defined as an encryption key, and the remaining 16 bytes are generated by hashing the remaining 4 bytes with SHA-1 as the initial vector define
전술한 과정을 요약한 바이오 정보를 이용한 개인키 암호화 및 복호화 과정은 도 5와 도시된 바와 같다. The private key encryption and decryption process using bio information that summarizes the above-described process is as shown in FIG.
본 발명의 실시예에 따르면, 기존의 PKCS#5 표준에서 정의한 패스워드를 지문의 특징 정보로도 이용할 수 있도록 알고리즘을 정의하여, PBKDF2 키 생성 함수를 통해 암/복호화 키를 유도하고, PBES2 암호화 알고리즘을 통해 개인키를 암호화 및 복호화 한다.According to the embodiment of the present invention, an algorithm is defined so that the password defined in the existing
3. 모바일 환경에서 인증서 관리3. Certificate management in the mobile environment
3. 1. 인증서 신규발급 절차3. 1. Certificate issuance procedure
인증서 신규 발급 절차는 도 6에 도시한 바와 같으며, 본 발명의 실시예에 따르면, 모바일 내 안전한 저장 공간에서 인증서 공개키와 개인키 쌍을 생성하여 RFC 4210 CMP 프로토콜을 이용해 인증서를 직접 발급받고 안전한 저장 공간에 저장한다.6, in accordance with an embodiment of the present invention, a certificate public key and a private key pair are generated in a safe storage space in a mobile, a certificate is directly issued using RFC 4210 CMP protocol, Store in storage space.
사용자는 일회성 정보, 가입자의 공개키를 포함하는 공인인증서 요청형식을 생성하여 재생 공격, 메시지 위/변조를 방지할 수 있는 형식을 구성하여 공인인증기관 또는 등록대행 업무기관에 공인인증서 요청 형식을 전달한다.The user generates a public certificate request format including one-time information and the public key of the subscriber to form a format capable of preventing replay attack and message tampering, and transmits a certificate request format to the authorized certificate authority or the registration agency do.
(1) 사용자(100)는 인증서를 발급받기 위해 인증기관(CA, 300) 또는 등록업무대행기관을 직접 방문하여 인증서 발급 신청서를 작성하고 본인임을 확인한다.(1) The
(2) 인증기관(300) 또는 등록업무대행기관은 사용자를 직접 대면하여 주민 등록증, 운전면허증 등 신원확인증표를 통해 실지명의를 확인하고 참조번호(ID)/인가코드(PW)를 발행한다.(2) The certification authority (300) or the registration agency will face the user and issue a reference number (ID) / authorization code (PW) by confirming the real name through proof of identity such as resident registration card and driver's license.
(3) 사용자(100)는 모바일의 서비스 어플리케이션을 구동시키고, 인증서를 발급받기 위해 참조번호/인가코드, 사용자명(DN), 주민등록번호(IDN)를 입력한다.(3) The
(4) 인증서 관리 모듈(130, Certificate Management)은 일반요청 메시지(genm, general message)를 생성한다.(4) The
(5) 인증서 관리 모듈(130)은 일반요청메시지를 인증기관(CA)에 전달한다.(5) The
(6) 인증기관(300)은 수신한 초기화 요청 메시지를 이용하여, 일반응답메시지(genp, general response)를 생성 한다.(6) The
(7) 인증기관(300)은 인증서 관리 모듈에 일반응답메시지를 전달한다.(7) The
(8) 인증서 관리 모듈(130)은 사용자의 인증서 생성을 위해 안전한 저장소(110, Secure Element)에 필요정보를 전달한다.(8) The
(9) 안전한 저장소(110)는 지문 요청 메시지(br, bio information request)를 지문인식장치(120)에 전달한다.(9) The
(10) 지문인식장치(120)는 안전한 저장소(110)로부터 수신한 지문 요청 메시지로 지문인식장치를 구동하고, 서비스 어플리케이션(150)에 지문 요청 메시지를 전달한다.(10) The
(11) 서비스 어플리케이션(150)은 사용자의 지문을 입력 받아 지문 응답 메시지(bp, bio information response)를 통해 지문인식장치(120)로 바이오정보를 전달한다.(11) The service application 150 receives the fingerprint of the user and transmits bio information to the
(12) 지문인식장치(120)는 사용자의 바이오정보를 기 등록된 바이오정보들과 비교하여 정당한 사용자임을 확인하고, 기 등록된 바이오정보를 해시하여 바이오 키(Biokey)를 생성한다.(12) The
(13) 바이오인식장치(120)는 생성된 바이오키를 안전한 저장소(110)에 전달한다.(13) The
(14) 안전한 저장소(110)는 기 수집된 정보를 이용해 초기화요청메시지(ir, initialization request)를 생성한다.(14) The
(15) 안전한 저장소(110)는 생성한 초기화요청메시지를 인증서 관리 모듈(130)에 전달한다. (15) The
(16) 인증서 관리 모듈(130)은 안전한 저장소(110)로부터 수신한 초기화요청메시지를 인증기관(300)에 전송한다. (16) The
(17)
인증기관(300)은 인증서 관리 모듈(130)로부터 수신한 초기화요청메시지를 확인하고, 초기화응답메시지(ip, initialization response)를 생성한다.(17)
The
(18) 인증기관(300)은 생성한 초기화응답메시지(ip)를 사용자의 인증서 관리 모듈(130)로 전송한다.(18) The
(19) 인증서 관리 모듈(130)은 인증기관(300)으로부터 수신한 초기화응답메시지를 안전한 저장소(110)에 전달한다.(19) The
(20) 안전한 저장소(110)는 초기화응답메시지를 사용자의 개인키로 복호화한다.(20) The
(21) 안전한 저장소(110)는 인증기관(300)에서 발급한 인증서를 인증서 관리 모듈(130)에 전달한다.(21) The secure repository (110) delivers the certificate issued by the certification authority (300) to the certificate management module (130).
(22) 인증서 관리 모듈(130)은 안전한 저장소(110)로부터 수신한 인증서를 관리 하기 위해 인덱스 번호를 부여한 후 지문인식장치로 전달한다.(22) The
(23) 지문인식장치는 인증서의 인덱스 번호와 함께 기 등록된 바이오 정보를 저장한다.(23) The fingerprint recognition device stores pre-registered biometric information together with the index number of the certificate.
(24) 인증서 관리 모듈(130)은 동일 정보를 안전한 저장소(110)로 전달한다(24) The
(25) 안전한 저장소(110)는 인증서의 인덱스 번호와 함께 암호화된 개인키를 저장하고, 결과값(Result)을 생성한다.(25) The
(26) 안전한 저장소(110)는 생성한 결과값을 인증서 관리 모듈(130)에 전달한다.(26) The
(27) 인증서 관리 모듈(130)은 결과값을 인증기관(300)의 공개키로 암호화해 확인 메시지(conf)를 생성한다.(27) The
(28) 인증서 관리 모듈(130)은 생성한 확인메시지를 인증기관(300)에 전송한다.(28) The
(29) 인증기관(300)은 수신한 확인메시지를 인증기관(300)의 개인키로 복호화해 이전 사용자에게 보낸 임의 난수인지 확인하고, 정상적으로 인증서가 발급될 경우 디렉토리에 사용자의 인증서를 공고한다.(29) The
(30)
인증기관(300)은 정상적으로 사용자의 인증서가 발급되었음을 인증서 발급 확인 메시지를 인증서 관리 모듈(120)에 전송한다.(30)
The
(31) 인증서 관리 모듈(130)은 서비스 어플리케이션(150)에 사용자의 인증서가 정상적으로 발급되었음을 확인하도록 메시지를 전달한다(31) The
3.2 인증서 갱신발급 절차3.2 Certificate renewal process
본 발명의 실시예에 따르면, 사용자의 인증서 만료 1개월 전부터 만료일까지 인증서 갱신발급 요청 형식을 구성 및 작성하여 공인인증기관 또는 등록대행업무기관에 전달한다. According to the embodiment of the present invention, a certificate renewal issuance request format is constructed and created from one month before expiration of the user's certificate to the expiration date, and the certificate renewal issuance request form is transmitted to an accredited certification authority or a registration agency.
이러한 갱신발급은 키 교체가 발생하지 않을 경우, 키 교체가 일어날 경우 두 가지 경우가 발생할 수 있으며, 본 명세서에서는 키 교체가 일어날 경우의 갱신발급 절차를 정의한다.Such an update issuance may occur when a key exchange does not occur, when a key exchange occurs, and in this specification, an update issuance procedure when a key exchange occurs.
본 발명의 실시예에 따른 인증서 갱신발급 절차는 도 7에 도시한 바와 같으며, 모바일 내 안전한 저장 공간에 저장되어 있는 공개키와 개인키 쌍을 재사용해 RFC 4210 인증서 관리 프로토콜을 이용해 인증서를 갱신발급 받고 안전한 저장 공간에 저장한다.The certificate update issuing procedure according to the embodiment of the present invention is as shown in FIG. 7, and the public key and the private key pair stored in the secure storage space in the mobile are reused to renew the certificate using the RFC 4210 certificate management protocol And stores it in a safe storage space.
(1) 사용자(100)는 서비스 어플리케이션(150)에서 인증서 갱신발급을 선택한다.(1) The
(2) 서비스 어플리케이션(150)은 인증서 관리 모듈(130, Certificate Management)에 인증서 목록을 요청한다.(2) The service application 150 requests a certificate list from the certificate management module 130 (Certificate Management).
(3) 사용자(100)는 모바일 내 저장된 인증서 리스트에서 갱신하고자 하는 인증서를 선택한다.(3) The
(4) 인증서 관리 모듈(130)은 일반요청메시지(genm, general message)를 생성한다.(4) The
(5) 인증서 관리 모듈(130)은 일반요청메시지를 인증기관(300, CA)에 전달한다.(5) The
(6) 인증기관(300)은 수신한 일반요청메시지를 이용하여, 일반응답메시지(genp, general response)를 생성한다.(6) The
(7) 인증기관(300)은 인증서 관리 모듈(130)에 일반응답메시지를 전달한다.(7) The
(8) 인증서 관리 모듈(130)은 인증서 갱신발급을 위한 필요 정보를 지문인식 장치에 전달한다.(8) The
(9) 지문인식장치(120)는 서비스 어플리케이션(150)에 지문 요청 메시지(br, bio information request)를 요청 한다.(9) The
(10) 서비스 어플리케이션(150)은 사용자로부터 입력받은 바이오정보를 지문 응답 메시지(bp, bio information response)로 변환하여 지문인식 장치로 전달한다.(10) The service application 150 converts the bio information received from the user into a bio information response (bp) and transmits the bio information response to the fingerprint recognition device.
(11) 지문인식장치(120)는 인증서에 부여된 인덱스 번호를 이용해 사용자의 바이오정보를 기 등록된 바이오정보들과 비교하여 정당한 사용자 임을 확인하고, 기 등록된 바이오정보를 해시하여 바이오키(Biokey)를 생성한다.(11) The
(12) 지문인식장치(120)는 인증서 갱신 발급을 위해 안전한 저장소(110)에 필요 정보를 전달한다.(12) The
(13) 안전한 저장소(110)는 지문인식장치(120)로부터 수신한 정보로 키 갱신 요청 메시지(kur, key update request)를 생성한다.(13) The
(14) 안전한 저장소(110)는 키 갱신 요청 메시지를 인증서 관리 모듈(130)에 전달한다.(14) The secure repository (110) passes the key update request message to the certificate management module (130).
(15) 인증서 관리 모듈(130)은 키 갱신 요청 메시지를 인증기관(300)에 전달한다.(15) The
(16) 인증기관(300)은 사용자의 인증서 관리 모듈(130)로부터 수신한 키 갱신 요청 메시지를 확인하고, 키 갱신 응답 메시지(kup, key update response)를 생성한다.(16) The
(17) 인증기관(300)은 생성한 키 갱신 응답 메시지를 사용자의 인증서 관리 모듈(130)에 전송한다.(17) The
(18) 인증서 관리 모듈(130)은 인증기관(300)으로부터 수신한 키 갱신 응답 메시지를 안전한 저장소(110)에 전달한다.(18) The
(19) 안전한 저장소(110)는 키 갱신 응답 메시지를 자신의 개인키로 확인한다.(19) The
(20) 안전한 저장소(110)는 갱신 발급된 인증서를 인증서 관리 모듈(130)에 전달한다.(20) The secure repository (110) passes the renewed certificate to the certificate management module (130).
(21) 인증서 관리 모듈(130)은 갱신 발급된 인증서에 식별번호를 부여하고, 지문인식장치(120)에 전달한다.(21) The
(22) 지문인식장치(120)는 인증서 관리 모듈(130)로부터 수신한 갱신된 인증서의 식별번호에 부합하는 바이오템플릿을 같이 저장한다.(22) The
(23) 인증서 관리 모듈은 식별번호가 부여된 갱신된 인증서를 안전한 저장소에 전달한다.(23) The certificate management module delivers the updated certificate with the identification number to the secure repository.
(24) 안전한 저장소는 식별번호가 부여된 갱신된 인증서를 암호화된 개인키와 같이 저장하고, 확인메시지(conf, confirmation)를 생성한다.(24) The secure repository stores the updated certificate with the identification number as an encrypted private key and generates a confirmation message (conf, confirmation).
(25) 안전한 저장소(110)는 생성된 확인메시지를 인증서 관리 모듈(130)로 전달한다.(25) The
(26) 인증서 관리 모듈(130)은 안전한 저장소(110)로부터 수신한 확인메시지를 인증기관(300)으로 전송한다.(26) The
(27) 인증기관(300)은 확인메시지를 복호화하고, 사용자의 참조번호와 임의의 난수를 확인한다.(27) The
(28) 인증기관(300)은 인증서 관리 모듈(130)에 인증서 갱신 발급 확인 메시지를 전송한다.(28) The
(29) 인증서 관리 모듈(130)은 서비스 어플리케이션(150)에 인증기관(300)으로부터 수신한 인증서 갱신 발급 확인 메시지를 전달한다.(29) The
3.3 인증서 폐지 절차3.3 Certificate revocation procedure
본 발명의 실시예에 따른 도 8은 인증서 폐지 절차를 나타내는 도면으로, 사용자가 서비스 어플리케이션을 통해 개인정보 도용 및 유출 등으로 인증서를 폐지할 경우 도 8에 도시한 절차를 따른다.8 according to an embodiment of the present invention. FIG. 8 illustrates a certificate revocation procedure. When a user revokes a certificate by stealing or leaking personal information through a service application, the procedure shown in FIG. 8 is followed.
사용자가 인증서를 폐지 신청 한 경우와 가입 자의 생성키에 대한 분실, 훼손 또는 도난/유출이 의심되는 경우에 사용자는 폐지발급요청형식을 작성하여 인증기관 또는 등록대행업무기관에 전달한다.If the user requests the revocation of the certificate and if the subscriber's creation key is lost, damaged or stolen / leaked, the user shall prepare a revocation request form and forward it to the certification body or the registration agency.
(1) 사용자(100)는 서비스 어플리케이션(150) 메뉴에서 인증서 폐지를 선택하고, 사용자에게 폐지할 인증서 목록을 보여주기 위하여 지문인식장치(120)로부터 인증서 목록을 요청한다.(1) The
(2) 지문인식장치(120)는 사용자의 정보에 부합하는 인증서 목록을 서비스 어플리케이션(150)에 전달한다.(2) The
(3) 사용자(100)는 서비스 어플리케이션(150)에서 폐지할 인증서를 선택하고, 선택결과를 인증서 관리 모듈(130)에 전달한다.(3) The
(4) 인증서 관리 모듈(130)은 폐지할 인증서의 식별번호를 지문인식장치로 전달한다.(4) The
(5) 지문인식장치(120)는 서비스 어플리케이션에 지문 요청 메시지(br, bio information request)를 전달한다.(5) The
(6) 사용자(100)는 자신의 지문을 인식하고, 지문 응답 메시지(bp, bio information response)를 지문인식장치(120)로 전달한다.(6) The
(7) 지문인식장치(120)는 사용자가 인식한 지문정보와 폐지할 인증서의 바이오템플릿을 비교하여 개인키 복호화에 이용할 바이오키를 생성한다.(7) The
(8) 지문인식장치(120)는 폐지할 인증서의 식별번호와 바이오키를 안전한 저장소(110)로 전달한다.(8) The
(9) 안전한 저장소(110)는 사용자가 폐지할 인증서에 대해 폐지 요청 메시지 (rr, revocation request)를 생성한다.(9) The
(10) 안전한 저장소(110)는 폐지 요청 메시지를 인증서 관리 모듈(130)에 전달한다.(10) The secure repository (110) passes the revocation request message to the certificate management module (130).
(11) 인증서 관리 모듈(130)은 사용자가 폐지할 인증서와 폐지 요청 메시지를 인증기관에 전송한다.(11) The
(12) 인증기관(300)은 폐지 요청 메시지를 확인하고,사용자의 인증서와 폐기 사유를 폐지목록에 삽입하고, 인증서 폐지 응답 메시지(rp,revocation response)를 생성한다.(12) The
(13) 인증기관(300)은 생성된 인증서 폐지 응답 메시지를 사용자의 인증서 관리 모듈에 전송한다.(13) The
(14) 인증서 관리 모듈(130)은 인증기관으로부터 수신한 인증서 폐지 응답 메시지를 안전한 저장소로 전달한다.(14) The
(15) 안전한 저장소(110)는 인증서 폐지 응답 메시지를 확인하고, 인증서 폐지 확인을 위한 결과를 생성 후 확인메시지 (conf, confirmation)를 생성한다.(15) The
(16) 안전한 저장소(110)는 인증서 폐지를 위한 확인메시지를 인증서 관리 모듈(130)로 전달한다.(16) The
(17) 인증서 관리 모듈(130)은 인증서 폐지를 위한 확인메시지를 인증기관(300)으로 전송한다.(17) The
(18) 인증기관(300)은 인증서 관리 모듈로부터 수신한 확인메시지를 복호화하여 송신자와 임의의 난수를 확인한다.(18) The
(14) 인증기관(300)은 인증서 폐지 확인 결과를 사용자의 인증서 관리 모듈(130)로 전송한다.(14) The
(15) 인증서 관리 모듈(130)은 서비스 어플리케이션(150)에 인증서 폐지 확인 결과를 전달한다.(15) The
4. 모바일 환경에서 인증서 이용 방법4. How to use certificates in mobile environment
4. 1. 인증서 등록 절차4. 1. Certificate Registration Procedure
본 발명의 실시예에 따르면, 웹 서비스 이용 시, 사용자의 공개키 정보를 최초 한번 등록함으로써 이후 별도의 정보 제출 없이도 사용자에 대한 식별 및 인증이 가능하며, 인증서 등록 절차는 도 9에 도시한 바와 같다.According to the embodiment of the present invention, when the web service is used, the public key information of the user is registered for the first time so that the user can be identified and authenticated without further information submission. The certificate registration procedure is as shown in FIG. 9 .
(1) 서비스 어플리케이션(150)은 서비스 제공 서버와 안전한 통신을 위해 URL을 전달한다.(1) The service application 150 delivers the URL for secure communication with the service providing server.
(2) 서비스 제공 서버(210)는 사용자가 웹 서비스의 회원임을 확인하기 위해 로그인 양식을 전송한다.(2) The
(3) 사용자(100)는 아이디와 패스워드를 입력하고, 서비스 제공 서버에 입력값을 전송한다.(3) The
(4) 서비스 제공 서버(210)는 사용자로부터 수신한 입력값을 확인한다.(4) The
(5) 서비스 제공 서버(210)는 FIDO 서버(220)에 UAF 등록 메시지를 요청한다.(5) The
(6) FIDO 서버(220)는 UAF 등록 요청 메시지를 전달한다.(6) The
(7) 서비스 제공 서버(210)는 FIDO 서버(220)로부터 수신한 UAF 등록 요청 메시지를 사용자의 서비스 어플리케이션(150)에 전송한다.(7) The
(8) 서비스 어플리케이션(150)은 서비스 제공 서버로부터 수신한 UAF 등록 요청메시지와 함께 사용자의 아이디와 어플리케이션의 아이디를 FIDO 클라이언트(140)로 전달한다.(8) The service application 150 transmits the UAF registration request message received from the service providing server together with the ID of the user and the ID of the application to the
(9) FIDO 클라이언트(140)는 서비스 제공 서버(210)에 어플리케이션 아이디에 해당하는 바이오인식장치 목록을 요청한다.(9) The
(10) 서비스 제공 서버(210)는 수신한 어플리케이션 아이디를 통해 사용자가 이용 가능한 바이오인식장치 목록을 임의의 난수와 함께 FIDO 클라이언트(140)로 전송한다.(10) The
(11) FIDO 클라이언트(140)는 서비스 제공 서버(210)로부터 전달받은 바이오인식 장치 목록 중 지문인식장치를 선택하고, 인증서 등록을 위한 값을 전달한다.(11) The
(12) 지문인식장치(120)는 서비스 어플리케이션에 인증서 목록과 바이오정보 요청 메시지(br, bio information request를 전달한다.(12) The
(13) 사용자(100)는 등록할 인증서를 선택하고 지문을 인식하여 지문인식장치(120)에 바이오정보 응답 메시지(bp, bio information response)를 전달한다.(13) The
(14) 지문인식장치(120)는 서비스 어플리케이션(150)으로부터 수신한 인증서와 바이오템플릿으로 바이오키를 생성한다.(14) The
(15) 지문인식장치(120)는 인증서 등록을 위해 필요한 값을 안전한 저장소에 전달한다.(15) The
(16) 안전한 저장소(110)는 인증서 등록을 위해 KRD 객체를 생성한다.(16) The
(17) 안전한 저장소(110)는 KRD 객체를 지문인식장치(120)에 전달한다.(17) The
(18) 지문인식장치(120)는 FIDO 클라이언트(140)에 KRD와 등록할 인증서를 전달 한다.(18) The
(19) FIDO 클라이언트(140)는 UAF 등록 응답메시지를 서비스 어플리케이션(150)에 전달한다.(19) The
(20) 서비스 어플리케이션(150)은 UAF 등록 응답 메시지를 서비스 제공 서버에 전송한다.(20) The service application 150 transmits a UAF registration response message to the service providing server.
(21) 서비스 제공 서버(210)는 UAF 등록 응답 메시지를 FIDO 서버(220)에 전달한다.(21) The
(22) FIDO 서버(220)는 인증기관(300)에 사용자의 인증서에 대한 유효성 검증을 요청한다.(22) The
(23) 인증기관(300)은 사용자 인증서의 유효성을 검증하고 결과를 FIDO 서버(220)로 전송한다.(23) The
(24) FIDO 서버(220)는 KRD를 확인하고 사용자의 공개키를 등록한다.(24) The
(25) FIDO 서버(220)는 사용자 공개키 등록 결과를 서비스 제공 서버(210)에 전달한다.(25) The
(26) 서비스 제공 서버(210)는 서비스 어플리케이션(150)에 사용자 등록 결과를 전달한다.(26) The
도 11은 본 발명의 실시예에 따른 서비스 구성요소를 나타내는 블록도로서, 전술한 모바일의 예 뿐 아니라 OS에서 FIDO를 이용하여 공인인증서를 안전하게 이용할 수 있도록 하는 연계 방안에 따라 구축된 시스템이다. FIG. 11 is a block diagram illustrating a service component according to an embodiment of the present invention, and is a system constructed in accordance with a linkage scheme that enables secure use of a public certificate using an FIDO in an OS as well as an example of the mobile.
도 11에 도시된 바와 같이, 클라이언트(유저 디바이스)의 normal world, 즉 일반 실행환경(REE)에서는 PC 브라우저 또는 모바일의 앱이 구동되고, secure world, 즉 보안실행환경(TEE)에는 FIDO 클라이언트, ASM, FIDO Authenticator, PKI Library, PKI 안전 저장소가 포함된다. FIDO 클라이언트는 보안실행환경뿐 아니라 일반실행환경에서도 실행 가능하다. 11, a PC browser or a mobile application is activated in a normal world of a client (user device), that is, a general execution environment (REE), and a secure world, that is, a secure execution environment (TEE) , FIDO Authenticator, PKI Library, and PKI secure repository. The FIDO client can run in a normal execution environment as well as a security execution environment.
또한, 서버(서비스 제공 서버, Relying Party)는 PKI 서버와 FIDO 서버를 포함하고, 인증기관(CA)는 external PKI service 서버 및 FIDO metadata service 서버를 포함한다. The server (service providing server, relying party) includes a PKI server and an FIDO server, and the certification authority (CA) includes an external PKI service server and a FIDO metadata service server.
도 12는 본 발명의 실시예에 따른 FIDO 등록 및 공인인증서 발급 절차를 나타내는 도면이다. FIG. 12 is a diagram illustrating a FIDO registration and authorization certificate issuing procedure according to an embodiment of the present invention.
클라이언트는 이름, 주민등록번호, 계좌번호, 계좌비밀번호 등을 포함하여 가입자 인증 요청을 전송한다. The client transmits a subscriber authentication request including a name, a social security number, an account number, and an account password.
서비스 제공 서버는 가입자를 확인하고, 클라이언트로 FIDO 등록 요청을 전송한다. The service providing server confirms the subscriber and sends a FIDO registration request to the client.
클라이언트에서는 생체 정보(예: 홍채, 지문 등)이 등록되고, FIDO 클라이언트에서 FIDO 키 쌍이 생성되며, 전자서명값(Attestation)이 생성되어, FIDO 등록 응답(공개키, 전자서명값)을 전송한다. In the client, biometric information (e.g., iris, fingerprint) is registered, an FIDO key pair is generated in the FIDO client, an electronic signature value (Attestation) is generated, and the FIDO registration response (public key, digital signature value) is transmitted.
서비스 제공 서버는 FIDO 등록 응답을 수신하여 전자서명값을 검증하고, FIDO 공개키를 등록하며, 공인인증서 발급정보를 요청한다(CA 인증서).The service providing server receives the FIDO registration response, verifies the digital signature value, registers the FIDO public key, and requests the public certificate issuance information (CA certificate).
클라이언트에서는 생체 인증을 수행하고, PKI 라이브러리에서 공인인증서 키쌍을 생성하고, R, EVID(주민번호를 암호화한 값)을 생성하고, POP 전자서명 후 공인인증서 발급 요청을 전송한다. The client performs biometric authentication, generates an authorized certificate key pair from the PKI library, generates R, EVID (value encrypted with the resident number), and sends a certificate issuance request after POP digital signature.
이 때, 공인인증서 발급 요청에는 참조번호, POP 전자서명값, EVID가 포함된다. At this time, the request for issuing the authorized certificate includes the reference number, the POP digital signature value, and the EVID.
서비스 제공 서버는 POP 전자서명을 검증하여, 공인인증서를 발급하여 발급응답하고, 클라이언트는 공인인증서를 저장하고 그에 대한 발급 확인을 요청한다. The service providing server verifies the POP digital signature, issues a public key certificate, issues an issuance response, and the client stores the public key certificate and requests the issuance confirmation of the public key certificate.
서비스 제공 서버는 공인인증서 발급 확인 요청을 수신하여, FIDO 등록 완료에 대한 알림을 클라이언트로 전송한다. The service providing server receives the authorization certificate issuance confirmation request and transmits a notification about the completion of the FIDO registration to the client.
도 13을 참조하면, 사용자는 URL을 클릭 또는 입력하면, 사용자 에이전트는 RP 서버(서비스 제공 서버)로부터 로그인 양식을 수신하고, 이를 사용자에게 전송한다. Referring to FIG. 13, when a user clicks or inputs a URL, the user agent receives the login form from the RP server (service providing server) and transmits the login form to the user.
사용자로부터 이름, 패스워드 등에 대한 제출요청이 있으면, 사용자 에이전트는 이를 RP 서버로 전달하고, RP 서버는 사용자 이름과 패스워드에 대한 검증을 수행하고, UAF 등록 절차 개시 요청을 FIDO 서버로 전송한다. If there is a request to submit a name, password, etc. from the user, the user agent delivers it to the RP server, the RP server performs verification of the user name and password, and sends a UAF registration procedure start request to the FIDO server.
FIDO 서버는 UAF 등록 요청 메시지를 전달하고, RP서버는 이를 사용자 에이전트로 전달하며, FIDO 클라이언트는 수신한 사용자의 아이디 및 애플리케이션의 아이디를 수신하여, 바이오인식장치 목록을 요청한다. The FIDO server delivers the UAF registration request message, and the RP server transmits it to the user agent. The FIDO client receives the ID of the user and the ID of the application, and requests the list of the biometric device.
RP서버로부터 바이오인식장치 목록이 회신되면, FIDO 클리아언트는 예컨대 지문인식 장치로 인증서 등록을 위한 값을 전달하고, 지문인식 장치는 KH access token을 생성한다. When the biometric device list is returned from the RP server, the FIDO client transmits a value for certificate registration to the fingerprint recognition device, for example, and the fingerprint recognition device generates a KH access token.
사용자는 생체 정보 인식(예컨대 음성 인식, 홍채 인식, 본 설명에 따른 지문 인식 등)을 수행하고, 지문인식장치는 인식된 생체 정보를 FIDO 클라이언트로 전달한다. The user performs biometric information recognition (e.g., voice recognition, iris recognition, fingerprint recognition according to the present description, and the like), and the fingerprint recognition device transmits the recognized biometric information to the FIDO client.
FIDO 클라이언트는 사용자 에이전트로 UAF 등록요청에 대한 응답을 전송하고, 이는 RP 서버로 전달된다. The FIDO client sends a response to the UAF registration request to the user agent, which is forwarded to the RP server.
RP 서버로부터 UAF 등록에 대한 응답을 전달 받은 FIDO 서버는 유효성 검증 결과를 RP 서버로 전달하고, 사용자 에이전트는 PKI 라이브러리로 인증서 발급 요청을 전송한다. The FIDO server that receives the response to the UAF registration from the RP server transmits the validation result to the RP server, and the user agent sends the certificate issuance request to the PKI library.
PKI 라이브러리로부터 사용자 인증 요청을 수신한 authenticator는 사용자에게 사용자 인증을 요청하고, 그 인증 결과를 PKI 라이브러리로 전송한다. Upon receiving the user authentication request from the PKI library, the authenticator requests the user to authenticate the user and sends the authentication result to the PKI library.
PKI 라이브러리는 초기화 요청 메시지를 PKI 서버로 전송하고, PKI 서버로부터 초기화 응답 메시지를 수신하여 키쌍을 생성한다. The PKI library sends an initialization request message to the PKI server and receives an initialization response message from the PKI server to generate the key pair.
PKI 라이브러리는 IR 메시지(초기화요청메시지)를PKI 서버로 전송하여, POP 검증 및 인증서 생성이 수행되고, IP(초기화응답메시지)메시지를 수신한다. The PKI library transmits an IR message (initialization request message) to the PKI server, POP verification and certificate generation are performed, and an initialization response message (IP) message is received.
PKI 라이브러리는 PKI 스토리지로 인증서와 개인키에 대한 저장을 요청하고, PKI 스토리지는 인증서와 개인키를 저장하고, 그 저장 결과를 PKI 라이브러리로 전송한다. The PKI library requests storage of the certificate and the private key in the PKI storage, and the PKI storage stores the certificate and the private key, and transmits the result of the storage to the PKI library.
PKI 라이브러리는 결과값을 공개키로 암호화해 확인 메시지를 생성하여 전송하고, PKI 서버는 인증서 게시 후 공인인증서 발급 완료를 PKI 라이브러리로 통지하며, 발급 완료 통지는 사용자 에이전트로 전달된다. The PKI library encrypts the result value with the public key to generate and send a confirmation message. The PKI server notifies the PKI library of the completion of the issuance of the authorized certificate after the certificate is published, and the issuance completion notification is transmitted to the user agent.
4.2. 인증 및 전자서명 절차4.2. Authentication and Digital Signature Procedures
본 발명의 실시예에 따른 인증 및 전자서명 절차는 도 10에 도시한 바와 같으며, 자금이체, 카드결제, 약관동의 등 웹 서비스 이용 시 사용자의 전자서명이 필요한 경우, 사용자가 등록한 인증서와 일치하는 개인키로 메시지에 대한 전자서명을 수행한다. The authentication and digital signature procedure according to the embodiment of the present invention is as shown in FIG. 10, and when a digital signature of a user is required when using a Web service such as money transfer, card settlement, agreement of agreement, Performs a digital signature on the message with the private key.
전자서명을 위한 사용자의 개인키는 모바일 내 안전한 저장소에 보관되며, 메시지에 대한 위변조 방지를 위해 보안실행환경에서 접근 가능한 신뢰할 수 있는 어플리케이션에 의해 전자서명이 수행된다. The user's private key for the digital signature is stored in a secure repository in the mobile and the digital signature is performed by a trusted application accessible in the secure execution environment to prevent forgery and falsification of the message.
(1) 서비스 어플리케이션(150)은 안전한 통신을 위해 서비스 제공 서버에 URL 을 전달한다.(1) The service application 150 delivers the URL to the service providing server for secure communication.
(2) 서비스 제공 서버(210)는 FIDO 서버(220)에 UAF 인증 요청 메시지를 요청한다.(2) The
(3) FIDO 서버(220)는 UAF 인증 요청 메시지를 생성하여 서비스 제공 서버(210)에 전달한다.(3) The
(4) 서비스 제공 서버(210)는 서비스 어플리케이션(150)에 UAF 인증 요청 메시지를 전송한다.(4) The
(5) 서비스 어플리케이션(150)은 UAF 인증 요청 메시지에 대한 응답을 FIDO 클라이언트(140)에 요청한다.(5) The service application 150 requests the
(6) FIDO 클라이언트(140)는 서비스 제공 서버(210)에 사용가능한 인증장치 목록을 요청한다.(6) The
(7)
FIDO 클라이언트(140)는 서비스 제공서버(210)에 사용가능한 인증장치 목록과 임의의 난수를 전송한다.(7)
The
(8) FIDO 클라이언트(140)는 지문인식장치에 전달받은 전자서명 원문을 보내 전자서명을 요청한다. (8) The
(9) 지문인식장치(120)는 사용자에게 지문 입력(br, bio information request)을 요청한다.(9) The
(10) 사용자는 사전에 등록한 지문을 인식시키고 지문인식장치(120)에 지문 응답 메 지 (bp, bio inforamtion response)를 전달한다.(10) The user recognizes a fingerprint registered in advance and transmits a fingerprint response message (bp, bio inforamtion response) to the
(11) 지문인식장치(120)는 안전한 저장소(110)에 서명을 요청하기 위해 바이오키를 생성한다.(11) The
(12) 지문인식장치(120)는 안전한 저장소(110)에 전자서명 원문과 기타 정보를 전달하고 서명을 요청한다.(12) The
(13) 안전한 저장소(110)는 수신한 정보를 통해 전자서명문을 생성한다.(13) The
(14)
안전한 저장소(110)는 생성한 SD 객체를 지문인식장치(120)에 전달한다.(14)
The
(15)
지문인식장치(120)는 전자서명 원문과 사용자의 인증서 그리고 SD 객체를 FIDO 클라이언트(140)에 전달한다.(15)
The
(16)
FIDO 클라이언트(140)는 UAF 인증 응답 메시지를 생성하여 서비스 어플리케이션(150)에 전달한다.(16)
The
(17)
서비스 어플리케이션(150)은 UAF 인증 응답 메시지를 서비스 제공 서버(210)에 전달한다.(17)
The service application 150 delivers a UAF authentication response message to the
(18) 서비스 제공 서버(210)는 FIDO 서버(220)에 UAF 인증 응답 메시지를 전달한다.(18) The
(19) FIDO 서버(220)는 인증기관(300)에 사용자의 인증서에 대한 유효성 검증을 요청한다.(19) The
(20) 인증기관(300)은 인증서 유효성 검증 결과를 FIDO 서버(220)로 전송한다.(20) The
(21) FIDO 서버(220)는 전자서명문을 등록된 사용자의 공개키로 검증한다.(21) The
(22) FIDO 서버(220)는 전자서명 검증 결과를 서비스 제공 서버(210)에 전달한다.(22) The
(23) 서비스 제공 서버(210)는 전자서명 검증 결과를 서비스 어플리케이션(150)에 전달한다.(23) The
도 14는 본 발명의 실시예에 따른 FIDO 인증 및 공인전자서명 절차를 나타태는 도면이다. FIG. 14 is a diagram illustrating FIDO authentication and authorized digital signature procedures according to an embodiment of the present invention.
클라이언트가 서비스 제공 서버로 가입자 인증을 요청하는 경우(예: 앱실 행 후 계좌 조회 또는 이체 실행 요청), 서비스 제공 서버는 FIDO 인증 요청을 클라이언트로 전송한다. When the client requests the subscriber authentication to the service providing server (for example, after requesting the account inquiry or transfer execution request), the service providing server transmits the FIDO authentication request to the client.
클라이언트는 생체정보 인증 후 FIDO 인증 응답을 서비스 제공 서버로 전송하고, 서비스 제공 서버는 FIDO에 대한 인증을 검증하여 전자서명 원문을 전달한다. The client transmits the FIDO authentication response to the service providing server after authenticating the biometric information, and the service providing server verifies the authentication to the FIDO and delivers the original digital signature.
사용자의 생체 정보는 생체정보 인증에서 입력되었으므로, 2차적으로 공인전자서명 생성 전 생체정보 인증을 이루어지나, 사용자의 능동적인 생체정보 인식이 재수행되지는 아니한다. Since the biometric information of the user is inputted in the biometric information authentication, the biometric information authentication is performed before the generation of the authorized digital signature, but the active biometric information recognition of the user is not performed again.
클라이언트로부터 공인전자서명을 전달받은 서비스 제공 서버는 공인인증서에 대한 유효성과 공인전자서명을 검증하여, 그 서명 확인 결과를 클라이언트로 전송한다. The service providing server which has received the official digital signature from the client verifies the validity of the authorized certificate and the authorized digital signature, and transmits the result of the signature verification to the client.
도 15를 참조하면, 사용자는 웹 브라우저 또는 애플리케이션을 통해 실행 요청을 전송하고, 사용자 에이전트는 PKI 스토리지로 인증서 리스트를 요청하여 수신한다. Referring to FIG. 15, a user transmits an execution request through a web browser or an application, and the user agent requests and receives a certificate list from the PKI storage.
사용자 에이전트에서는 인증서 리스트를 디스플레이하여 인증서 선택 요청을 사용자에게 전송한다. The user agent displays the certificate list and transmits a certificate selection request to the user.
사용자로부터 선택된 인증서는 사용자 에이전트에 임시저장되고, 사용자 에이전트는 RP 서버를 통해 FIDO 서버로 UAF 인증을 요청한다. The certificate selected by the user is temporarily stored in the user agent, and the user agent requests UAF authentication to the FIDO server through the RP server.
FIDO 서버는 UAF 인증 요청 메시지를 수신하고, FIDO 클라이언트는 사용 가능한 인증 장치 목록을 RP 서버에 요청하고, FIDO 클라이언트는 ASM/Authenticator로 전자서명을 요청한다. The FIDO server receives the UAF authentication request message, the FIDO client requests the RP server for the available authentication device list, and the FIDO client requests the digital signature with the ASM / Authenticator.
지문 인식 장치는 사용자에게 지문 입력을 요청하고, 지문 인식 후 지문 응답 메시지를 전송한다. The fingerprint recognition device requests the user to input a fingerprint, and transmits a fingerprint response message after recognizing the fingerprint.
FIDO 클라이언트는 sign data를 포함하는 UAF 인증 응답 메시지를 생성하여 사용자 에이전트에 전달하고, 이는 RP 서버로 전달된다. The FIDO client generates a UAF authentication response message containing sign data and sends it to the user agent, which is forwarded to the RP server.
RP 서버는 FIDO 서버에 UAF 인증 응답 메시지를 전달하여 유효성 검증을 요청하고, FIDO 서버는 검증 결과를 RP 서버로 전송한다. The RP server transmits the UAF authentication response message to the FIDO server to request validation, and the FIDO server transmits the verification result to the RP server.
RP 서버는 전자서명 검증 결과를 사용자 에이전트에 전송하고, 사용자 에이전트는 PKI 라이브러리로 전자서명을 요청한다. The RP server transmits the digital signature verification result to the user agent, and the user agent requests the digital signature as the PKI library.
PKI 라이브러리는 PKI 스토리지에 인증서/개인키를 요청하여 수신하고, 전자서명문을 생성하여 사용자 에이전트로 전송한다. The PKI library requests and receives a certificate / private key from the PKI storage, generates a digital signature statement and sends it to the user agent.
사용자 에이전트는 전자서명에 대한 검증 요청을 전송하고, 전자서명 검증 결과를 수신한다. The user agent sends a verification request for the digital signature and receives the digital signature verification result.
이하에서는 종래 기술에 따른 패스워드 방식과 본 발명의 실시예에 따른 안전한 전자서명 방식에 대한 보안성 및 성능을 비교 분석한 결과를 상세히 설명하기로 한다.Hereinafter, the results of comparative analysis of the security method and the performance of the password method according to the prior art and the secure digital signature method according to the embodiment of the present invention will be described in detail.
5. 보안성 및 성능 비교 대상5. Comparison of Security and Performance
5. 1. 비교 대상 정의5. 1. Define the comparison object
보안성 분석은 공개키 암호 표준 PKCS#5, PKCS#8에 따라 개인키를 암호화하는데 있어 가장 중요한 입력 정보의 경우의 수, 엔트로피를 분석하고, 암호화된 개인키의 암호화 연산량 분석을 통해 슈퍼컴퓨터의 성능으로 복호화하는데 걸리는 소요시간을 측정한다. Security analysis analyzes the number and entropy of the most important input information in encrypting the private key according to the public key cryptography
아래 [표 3]은 보안성 분석을 위한 비교 분석 대상을 나타낸다.Table 3 below shows the comparative analysis for security analysis.
영문 소문자(a~z)
숫자(0~9)
특수문자Capital letters (A to Z)
Lowercase letters (a to z)
Numbers (0 to 9)
Special Characters
지문이미지의 좌표
특징점의 각도
특징점의 신뢰도Characteristics of feature points
Coordinates of the fingerprint image
Angle of feature point
Reliability of feature points
USB 저장소
보안토큰
웹브라우저 저장소 등NPKI folder
USB storage
Security Token
Web browser storage
5. 2. 보안성 및 성능 비교 분석5. 2. Comparison of security and performance
5. 2. 1. 보안성 비교 분석5. 2. 1. Security comparison analysis
사용자가 입력한 패스워드로 개인키를 암호화하는 방식과 사용자 지문의 특징 정보를 통해 개인키를 암호화하는 방식의 엔트로피를 분석한다. The entropy of the method of encrypting the private key with the password inputted by the user and the method of encrypting the private key through the feature information of the user fingerprint are analyzed.
엔트로피란 정보에 대한 무질서, 난수성 또는 가변성의 척도로서, 정보의 불확실성 혹은 정보량을 의미한다.Entropy is a measure of randomness, randomness, or variability of information, which means information uncertainty or amount of information.
엔트로피 분석은 암호화된 개인키를 무작위공격, 사전공격 등의 공격기법으로 전자서명을 하기 위해 시도되는 정보량을 의미하므로 중요한 지표이다. Entropy analysis is an important indicator because it means the amount of information that is attempted to digitally sign an encrypted private key using an attack technique such as random attack or dictionary attack.
아래 [표 4]는 엔트로피를 통한 보안성 분석 결과를 나타낸다.Table 4 below shows the security analysis results through entropy.
영문 소문자(a~z)
숫자(0~9)
특수문자Capital letters (A to Z)
Lowercase letters (a to z)
Numbers (0 to 9)
Special Characters
지문이미지의 좌표
특징점의 각도
특징점의 신뢰도Characteristics of feature points
Coordinates of the fingerprint image
Angle of feature point
Reliability of feature points
1) 기존 패스워드 방식의 엔트로피 분석1) Entropy analysis of existing password method
패스워드로 사용 가능한 문자는 숫자(0~9), 영문 대문자(A~Z), 영문 소문자(a~z), 특수문자로서 총 92가지이다. There are 92 characters that can be used as passwords: numbers (0 ~ 9), upper case letters (A ~ Z), lower case letters (a ~ z)
만약 네 가지 종류의 문자 구성으로 10자리 길이로 구성된 문자열을 패스워드로 사용한다면, 패스워드에 대해 가능한 경우의 수는 9210 = 43,438,845,422,363,213,824가지이다. If you use a character string consisting of four digits and a length of 10 digits as the password, the number of possible passwords is 92 10 = 43,438,845,422,363,213,824.
즉, 네 가지 종류의 문자 구성으로 10자리 길이로 구성된 문자열을 패스워드로 사용하면, 패스워드에 대한 엔트로피는 약 65.2356 비트임을 확인할 수 있다.That is, if a character string composed of four types of characters and composed of 10 digits is used as a password, the entropy for the password is about 65.2356 bits.
PKCS#5의 PBKDF2 에서 PRF(Pseudorandom function) 로 SHA-256을 사용한다고 가정하고, 네 가지 종류의 문자 구성으로 10자리 길이로 구성된 문자열을 패스워드로 하여 PBKDF2에 입력한다고 가정하면 패스워드의 엔트로피가 약 65.2356 비트이기 때문에, SHA-256의 출력에 대한 최대 엔트로피는 약 65.2356 비트이다. Assuming that SHA-256 is used as a PRF (Pseudorandom function) in PBKDF2 of
따라서 PBKDF2 에서 SHA-256을 이용하여 개인키 암호화에 사용될 키를 생성하였어도, 키에 대한 최대 엔트로피는 256 비트가 아니라 약 65.2356 비트이다. 따라서 암호화된 개인키에 대한 최대 엔트로피도 약 65.2356 비트이다.Therefore, even though the key to be used for private key encryption is generated by using SHA-256 in PBKDF2, the maximum entropy for the key is not about 256 bits but about 65.2356 bits. Thus, the maximum entropy for the encrypted private key is also about 65.2356 bits.
2) 안전한 전자서명 방식의 엔트로피 분석2) Entropy Analysis of Secure Digital Signature Method
지문 정보를 저장할 때, 지문의 특징점에 대한 정보뿐 아니라 지문인식 시스템과 관련된 여러 정보들도 같이 저장한다. 저장정보 중 지문에 따라 값이 바뀌는 정보들은 특징 점의 유형, 특징 점의 각도, 특징점 의 x, y 좌표 이다. 이러한 정보들 이외의 정보들은 지문인식 시스템에 따라 값이 고정된다.When storing the fingerprint information, various pieces of information related to the fingerprint recognition system are stored as well as information about the fingerprint minutiae. Among the stored information, the information whose value changes according to the fingerprint is the type of the feature point, the angle of the feature point, and the x and y coordinates of the feature point. Information other than this information is fixed according to the fingerprint recognition system.
가) 특징점의 유형에 따른 엔트로피 분석A) Entropy analysis according to type of minutiae
특징점 유형은 3가지 값(0x0, 1, 2)으로 결정된다. 그리고 특징점을 분류할 때, 특징점이 '기타'인 경우에 대한 발생 확률이 매우 낮기 때문에 특징점을 크게 '융선의 끝점'과 '융선의 분기점'으로만 분류한다. The feature point type is determined by three values (0x0, 1, 2). When classifying feature points, the probability of occurrence of feature points is very low. Therefore, feature points are largely divided into 'ridge end points' and 'ridge bifurcations'.
이를 고려하여 특징점 유형에 대한 엔트로피 값을 계산하기 위해, 특징점이 '기타'일 확률은 1/100, 특징점이 '융선의 끝점'일 확률은49/100, 특징점 이 '융선의 분기점'일 확률은 50/100으로 가정한다.In order to calculate the entropy value for the feature point type, the probability that the feature point is' other 'is 1/100, the probability that the feature point is' end point of ridge' is 49/100, and the probability that the feature point is' 50/100.
이로부터 특징점 유형에 대한 엔트로피는 다음 [수학식 1]과 같이 계산되며, 특징점의 유형에 대한 엔트로피는 약 1.0707 비트임을 확인할 수 있다.From this, the entropy for the minutiae type is calculated as shown in Equation (1), and the entropy for the minutiae type is about 1.0707 bits.
나) 특징점의 각도에 따른 엔트로피 분석B) Analysis of entropy according to angle of feature points
지문 이 미지 의 각 픽 셀 좌표에서 전체 각도 2ㅠ에 대해 특징점의 각도가 될 수 있는 부분의 각도 Θ를 구하여 특징점의 각도에 대 한 엔트로피 8Θ/2ㅠ 비트를 계산하였다. For each angle of the fingerprint image, we calculate the entropy of the angle of the feature point at 8 θ / 2 for the total angle of 2 °.
그리고 특징점 이 존재 가능한 좌표들에 대해 엔트로피를 모두 더하고, 엔트로피의 총합을 특징점이 존재 가능한 좌표들의 수로 나누어, 특징점의 각도에 대한 평균 엔트로피 값을 계산하였다. Then, the entropy is added to the coordinates where the minutia can exist, and the total entropy is divided by the number of coordinates where the minutia can exist, and the average entropy value of the minutia is calculated.
계산의 편의를 위하여 지문 이미지를 도 16과 같이 분할하였다.For convenience of calculation, the fingerprint image is divided as shown in FIG.
도 16은 지문 이미지의 왼쪽 윗부분에 해당하며, 전체 지문 이미지의 1/4부분이다. 16 corresponds to the upper left portion of the fingerprint image and is a quarter of the entire fingerprint image.
특징점의 각도에 따른 엔트로피 를 계산하기 쉽도록 지문 이미지를 A, B, ..., F로 분할하였다. Fingerprint images were divided into A, B, ..., F to make it easy to calculate the entropy according to the angle of the feature points.
분할 영역은 측정 가능한 특징점 각도에 대한 범위와 측정 가능한 특징점의 각도 외에 특징점의 각도가 될 수 있는 범위, 그리고 특징점의 각도가 될 수 있는 부분 간에 서로 간섭을 일으키는지에 대한 여부에 따라 나누었다.Partition regions are divided according to the range of the measurable feature point angles, the range of the feature point angles in addition to the angles of the measurable feature points, and whether or not the portions that can be the angles of the feature points cause interference with each other.
각 영역별 엔트로피 값을 이용하여 특징점의 각도가 갖는 엔트로피 을 계산할 수 있다. The entropy value of each region is used to calculate the entropy Can be calculated.
따라서 특징점의 각도를 저장하기 위한 8비트 정보에 대한 엔트로피는 7.400487 비트가 된다.Therefore, the entropy for 8-bit information for storing the angle of the feature point is 7.400487 bits.
다) 특징점의 x, y 좌표에 따른 엔트로피 분석C) Entropy analysis according to x, y coordinates of feature points
특징점의 각도에 따른 엔트로피를 적분하기 쉽도록 지문 이미지를 A, B, B', C, D로 분할하였고, 분할 영역은 측정 가능한 특징점의 각의 크기에 따라 나누었다.The fingerprint image was divided into A, B, B ', C, and D to easily integrate the entropy according to the angle of the feature point. The divided region was divided according to the size of the angles of the measurable feature points.
A: 특징점 의 모든 각도를 측정 가능한 영역A: an area where all angles of the minutiae point can be measured
B: 지문 이미지의 x 축에 의해 잘린 특징점이 중심인 원의 호에 대해서 특징점의 각도가 측정이 불가능한 영역B: An area in which the angle of the feature point can not be measured with respect to a circle arc centered on the feature point cut by the x-axis of the fingerprint image
B': 지문 이미지의 y 축에 의해 잘린 특징점이 중심인 원의 호에 대해서 특징점 의 각도가 측정이 불가능한 영역B 'is an area where the angle of the feature point can not be measured with respect to a circle arc centered at the feature point cut by the y-axis of the fingerprint image
C: 지문 이미지의 x, y 축에 의해 잘린 특징점이 중심인 원의 호에 대해서 특징점의 각도가 측정이 불가능한 영역C: An area where the angle of the feature point can not be measured with respect to the circle arc centered on the feature point cut by the x, y axis of the fingerprint image
D: 지문 이미지의 x와 y 축에 의해 잘린 특징점이 중심인 원의 두 개의 호에 대해서 특징점의 각도가 측정이 불가능한 영역D: An area where the angle of the feature point can not be measured for the two arcs of circles centered on the feature points cut by the x and y axes of the fingerprint image
이러한 방법으로 계산한 값들은 다음과 같다.The values calculated by this method are as follows.
A의 각 좌표에서 가능한 각도의 합Sum of possible angles at each coordinate of A
B의 각 좌표에서 가능한 각도의 합Sum of possible angles at each coordinate of B
B'의 각 좌표에서 가능한 각도의 합The sum of the angles possible at each coordinate of B '
C의 각 좌표에서 가능한 각도의 합Sum of possible angles at each coordinate in C
D의 각 좌표에서 가능한 각도의 합Sum of possible angles at each coordinate of D
따라서 T=A+B+B'+C+D=377946.685가 되고, T를 이용해 A, B, B', C, D에서의 좌표 엔트로피를 계산하면 다음과 같다.Therefore, T = A + B + B '+ C + D = 377946.685, and the coordinate entropy at A, B, B', C,
A에서 좌표 엔트로피의 합Sum of coordinate entropy in A
B에서 좌표 엔트로피의 합Sum of coordinate entropy in B
B'에서 좌표 엔트로피의 합Sum of coordinate entropy in B '
C에서 좌표 엔트로피의 합Sum of coordinate entropy in C
D에서 좌표 엔트로피의 합Sum of coordinate entropy in D
따라서 지문 이미지에서 좌표를 표현하는데 필요한 엔트로피는 4 (3.72788 + 0.36488 x 2 + 0.02393 + 0.01014) = 17.96688 이 된다.Therefore, the entropy required to represent the coordinates in the fingerprint image is 4 (3.72788 + 0.36488 x 2 + 0.02393 + 0.01014) = 17.96688.
위의 모든 과정을 고려하여, 하나의 특징점이 갖는 엔트로피는 약 26.438067 비트가 되고, 본 발명의 실시예에 따르면 56개의 특징점을 추출하고 있으므로 약 1,480.531752 비트의 엔트로피를 갖는다.Considering all the above processes, the entropy of one feature point is about 26.438067 bits, and according to the embodiment of the present invention, since 56 feature points are extracted, it has about 1,480.531752 bits of entropy.
5. 2. 2. 성능 비교 분석Performance comparison analysis
이하에서는 PKCS#5의 PBKDF2에서 PRF로 SHA-256을 이용하고, 기존 패스워드 방식과 안전한 전자서명 방식을 이용하여 생성된 값을 PBKDF2 에 입력하여 유도된 키에 대해 무작위공격을 적용하여, PBKDF2로 유도된 키를 생성하는데 사용된 패스워드 흑인 지문의 특징 정보를 복구하는데 필요한 시간을 분석한 결과를 설명한다.Hereinafter, SHA-256 is used as a PRF in PBKDF2 of
무작위 공격에 대한 성능 비교 분석 결과는 아래 [표 5]와 같다.Table 5 shows the performance comparison results for random attacks.
무작위공격은 현재까지 알려진 가장 성능이 좋은 슈퍼컴퓨터 (Tianhe-2)를 사용하였다. 슈퍼컴퓨터의 성능은 [표 6]과 같다.The random attack used the most powerful supercomputer (Tianhe-2) known to date. The performance of the supercomputer is shown in [Table 6].
1) 기존 패스워드 방식에 대한 무작위공격 성능 분석1) Analysis of random attack performance against existing password method
패스워드로 사용 가능한 문자는 숫자(0~9), 영문 대문자(A~Z), 영문 소문자 (a~z), 특수문자(', ",\, I 제외)로서 총 92가지이다. A total of 92 characters can be used as passwords, including numbers (0 to 9), uppercase letters (A to Z), lowercase letters (a to z), and special characters (excluding ',', \, and I).
이러한 네 가지 종류의 문자 구성으로 10자리 길이로 구성된 문자열을 PKCS#5의 PBKDF2에 입력할 패스워드로 사용한다.These four kinds of character configuration are used as a password to input into PBKDF2 of
슈퍼컴퓨터의 속도는 33,862,700,000,000,000 Flops/s이고, SHA-256의 속도는 64바이트 메시지에 대하여 26.44 cycles/byte이다. 패스워드로 사용되는 문자들은 아스키코드로서 각 8비트길이이다. The speed of the supercomputer is 33,862,700,000,000,000 Flops / s, and the speed of SHA-256 is 26.44 cycles / byte for 64 byte messages. The characters used as passwords are each 8 bits in length as ASCII codes.
10자리 길이로 구성된 문자열을 패스워드로 사용하므로, SHA-256에는 8 바이트 Salt와 4바이트 정수 1을 포함하여 총 22바이트가 입력된다.Since a string consisting of 10 digits is used as a password, a total of 22 bytes are input to SHA-256 including 8-byte Salt and 4-
따라서 이러한 패스워드를 SHA-256이 처리하는데 64 바이트 메시지에 대한 SHA-256의 속도 26.44 cycles/byte를 적용하면, (26.44 cycles/byte) x(22 bytes) = 581.68 cycles이 필요하다. Therefore, applying 26.44 cycles / byte of SHA-256 to a 64-byte message for SHA-256 to process these passwords requires (26.44 cycles / byte) x (22 bytes) = 581.68 cycles.
1 clock cycle당 4 Flops를 수행할 수 있으므로, 22 바이트가 입력된 SHA-256의 1회 수행 시간을 Flop단위로 표현하면 2,326.72 Flops이다.Since it is possible to perform 4 Flops per 1 clock cycle, when the execution time of SHA-256 in which 22 bytes are input is expressed by Flop unit, it is 2,326.72 Flops.
PKCS#5의 PBKDF2에서는 SHA-256을 1,000회 수행해야 하는데, 패스워드와 SHA-256의 출력을 연접하여 다시 SHA-256에 입력하는 것을 반복 수행한다. In PBKDF2 of
따라서 SHA-256이 반복 수행되는 경우에는 SHA-256에 42 바이트가 입력된다. Therefore, when SHA-256 is repeatedly performed, 42 bytes are input to SHA-256.
이러한 입력을 SHA-256이 처리하는데 64 바이트 메시지에 대한 SHA-256의 속도 26.44 cycles/byte를 적용하면, (26.44 cycles/byte)x(42 bytes) = 1,110.48 cycles이 필요하다. Applying a rate of 26.44 cycles / byte for SHA-256 to a 64-byte message in order for SHA-256 to handle this input requires (26.44 cycles / byte) x (42 bytes) = 1,110.48 cycles.
1 clock cycle 당 4 Flops를 수행할 수 있으므로, SHA-256의 1회 수행 시간을 Flop 단위로 표현하면 4,441.92 Flops이다.Since it is possible to perform 4 Flops per 1 clock cycle, when the execution time of SHA-256 is expressed in Flop unit, it is 4,441.92 Flops.
이로부터 PKCS#5의 PBKDF2에서 SHA-256을 1,000회 수행하는데 필요한 시간은 (2,326.72+4,441.92x999) = 4,439,804.8 Flops 이다. From this, the time required to perform SHA-256 1,000 times in PBKDF2 of
이로부터 슈퍼컴퓨터 (Tianhe-2)로 PKCS#5의 PBKDF2를 1초당 약 7,627,069,550(= 33,862,700,000,000,000 / 4,439,804.8) 회 수행 할 수 있다는 것을 계산할 수 있다. From this, it can be calculated that the super computer (Tianhe-2) can perform PBKDF2 of
패스워드에 대한 엔트로피는 약 65.2356 비트이므로, 무작위 공격을 위해 265,2356회의 암호화가 필요하다. Since the entropy for the password is about 65.2356 bits, 2 65,2356 enciphers are required for a random attack.
이를 슈퍼컴퓨터로 수행하면, 약5,695,274,729 초의 시간이 필요하다는 것을 계산할 수 있고, 이는 약 180.60 년의 시간이다.If you run this on a supercomputer, you can calculate that about 5,695,274,729 seconds is needed, which is about 180.60 years.
2) 안전한 전자서명 방식에 대한 무작위공격 성능 분석2) Analysis of random attack performance against secure digital signature method
본 발명의 실시예에 따르면 바이오정보를 이용한 개인키 암호화 방식에서는 바이오정보헤더(16바이트), 바이오정보(280바이트), 서명정보(24바이트)로 구성된다.According to the embodiment of the present invention, the private key encryption method using the biometric information includes a biometric information header (16 bytes), biometric information (280 bytes), and signature information (24 bytes).
이렇게 구성된 320 바이트의 정보에 대한 SHA-256의 해시값을 PKCS#5의 PBKDF2에 입력할 패스워드로 사용한다.The hash value of SHA-256 for the 320 bytes of information thus constructed is used as a password to be input into PBKDF2 of
슈퍼컴퓨터의 속도는 33,862,700,000,000,000 Flops/s이고, SHA-256의 속도는 64 바이트 메시지에 대하여 26.44 cycles/byte, 576바이트 메시지에 대하여 13.16 cycles/byte 이다. The speed of the supercomputer is 33,862,700,000,000,000 Flops / s, and the speed of SHA-256 is 26.44 cycles / byte for a 64 byte message and 13.16 cycles / byte for a 576 byte message.
패스워드로 사용될 값은, 320 바이트의 바이오 정보에 대한 SHA-256의 해시 값이므로 32 바이트이다. The value to be used as a password is 32 bytes since it is a hash value of SHA-256 for 320 bytes of bio information.
우선 이러한 패스워드를 계산하기 위해, 576 바이트 메시지에 대한 SHA-256의 속도인 13.16 cycles/byte를 적용하면, (13.16 cycles/byte)x(319 bytes) = 4,198.04 cycles이 필요하고, 이는 16,792.16 Flops이다. First, to calculate this password, applying 13.16 cycles / byte, which is the speed of SHA-256 for the 576 byte message, requires (13.16 cycles / byte) x (319 bytes) = 4,198.04 cycles, which is 16,792.16 Flops.
PKCS#5의 PBKDF2 에서는 SHA-256을 1,000회 수행해야 하는데, 패스워드와 SHA-256의 출력을 연접하여 다시 SHA-256에 입력하는 것을 반복 수행한다.In PBKDF2 of
PBKDF2에서 제일 처음에는 SHA-256 패스워드 32 바이트와 8 바이트 Salt, 4 바이트 정수 1이 입력된다. At first in PBKDF2, 32 bytes of SHA-256 password, 8 bytes of salt, and 4
이러한 44 바이트 입력을 SHA-256이 처리하는데, 64 바이트 메시지에 대한 SHA-256의 속도 26.44 cycles/byte를 적용하면 (26.44 cycles/byte)x(44 bytes) = 1,163.36 cycles이 필요하고, 이는 4,6533.44 Flops이다.This 44-byte input is handled by SHA-256. Applying a rate of 26.44 cycles / byte for SHA-256 for a 64-byte message requires (16.44 cycles / byte) x (44 bytes) = 1,163.36 cycles, 6533.44 Flops.
PBKDF2에서 나머지 999회의 SHA-256을 반복 수행하는 동안에 입력되는 메시지의 길이는 패스워드 32 바이트와 이전의 출력 32 바이트이므로 64바이트가 된다. In PBKDF2, while the remaining 999 SHA-256s are repeated, the length of the message input is 64 bytes since the password is 32 bytes and the previous output is 32 bytes.
64바이트 메시지에 대한 SHA-256의 속도 26.44 cycles/byte를 적용하면,(26.44 cycles/byte) x(64 bytes) = 1,692.16 cycles 이필요하고,이는 6,768.64 Flops이다. Applying a speed of SHA-256 of 26.44 cycles / byte for a 64 byte message requires (26.44 cycles / byte) x (64 bytes) = 1,692.16 cycles, which is 6,768.64 Flops.
따라서 키가 유도되는데 필요한 시간은6,783,316.96 Flops이다. Therefore, the time required to induce the key is 6,783,316.96 Flops.
이로부터 슈퍼컴퓨터로 PKCS#5의 PBKDF2를 1초당 약 4,992,056,276회 수행할 수 있다는 것을 계산할 수 있다.From this, it can be calculated that the supercomputer can execute PBKDF2 of
지문의 특징점 1개에 대한 엔트로피는 약 26.438067 비트이며, 320 바이트의 바이오정보에 56개의 특징점에 대한 정보가 포함되어 있다면, 바이오정보에 대한 엔트로피는 약 1,480.531752이다. The entropy of one feature point of the fingerprint is about 26.438067 bits, and if the information of 56 feature points is included in 320 bytes of bio information, the entropy for bio information is about 1,480.531752.
이것은 키의 길이 256 비트보다 길기 때문에 키가 256 비트의 엔트로피를 갖는다고 기대할 수 있다. It can be expected that the key has an entropy of 256 bits because the length of the key is longer than 256 bits.
따라서 이 바이오 정보를 이용하여 만든 패스워드에 대해서 무작위 공격을 위해 2256회의 암호화가 필요하다. Therefore, for the password created using this biometric information, it is necessary to encrypt 2 256 times for random attack.
이를 슈퍼컴퓨터(Tianhe-2)로 수행하면, 약 2223.78 초(2256 + 4,992,056,276)의 시간이 필요하다는 것을 계산할 수 있고, 이는 약 2198.87 년의 시간이 소모됨을 알 수 있다.It can be calculated that a time of about 2 223.78 seconds (2 256 + 4,992,056,276) is required by the super computer (Tianhe-2), which means that about 2 198.87 years of time is consumed.
5.3 보안성 및 성능 비교 분석 결과5.3 Comparison of security and performance
본 발명의 실시예에 따르면 기존 패스워드 방식의 개인키 암호화 기법의 문제점을 개선 하기 위해 지문의 특징점 정보를 이용한 개인키 암호화 기법을 제안하였다. According to the embodiment of the present invention, a private key cryptosystem using feature point information of a fingerprint is proposed to solve the problem of a conventional password-based private key cryptosystem.
그리고 패스워드 방식과 제안 방식의 입력값에 대한 경우의 수, 엔트로피를 분석하고, 암호화된 개인키의 암호화 연산량 분석을 통해 슈퍼컴퓨터의 성능으로 복호화하는데 걸리는 소요 시간을 측정하였다. Then, the number of cases and entropy for the input values of the password method and the proposed method are analyzed and the time taken to decode the performance of the supercomputer through the analysis of the encryption computation amount of the encrypted private key is measured.
성능 분석 결과, 본 발명의 실시예에 따르면 패스워드 방식에 비해 엔트로피가 약 22.7배 높게 나왔으며, 슈퍼컴퓨터로 암호화된 개인키를 복호화하는데 패스워드 방식은 약 180년이 소요되고, 제안 방식은 암호화된 개인키를 복호화하는 것이 거의 불가능한 것(약 2198년)으로 분석되었다.As a result of the performance analysis, according to the embodiment of the present invention, the entropy is about 22.7 times higher than the password method, and the password method takes about 180 years to decrypt the private key encrypted with the super computer. It was analyzed that it was almost impossible to decrypt the key (about 2 198 years).
(영문대문자, 영문소문자, 숫자, 특수문자)10-digit string
(Uppercase letters, lowercase letters, numbers, special characters)
(특수문자 4개 제외)92 10
(Excluding 4 special characters)
(특징점 유형 2비트, 특징점 각도 8비트, 지문이미지 좌표 28비트)38 56
(Feature point type 2 bits,
※56개의 특징점 * 1개의 특징점 엔트로피(26.438067)1,480.531752 bits
* 56 feature points * 1 feature points entropy (26.438067)
이제까지 본 발명의 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다. The embodiments of the present invention have been described above. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.
Claims (16)
상기 가입자 인증 요청을 수신하고 가입자를 확인하여 상기 FIDO 등록 요청을 전송하고, 상기 공인인증서 발급 요청에 따라 공인인증서 발급 응답을 전송하는 서비스 제공 서버
를 포함하는 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
A client for performing subscriber authentication by transmitting subscriber information, generating a FIDO key pair by registering biometric information in response to a FIDO registration request, and generating an authorized certificate key pair through biometrics authentication in response to a request for issuing an authorized certificate; And
A service providing server for receiving the subscriber authentication request, confirming the subscriber and transmitting the FIDO registration request, and transmitting a public certificate issuance response in response to the authorization certificate issuing request
A password-free electronic signature system using biometric information.
상기 클라이언트에는 일반실행환경의 서비스 어플리케이션과 보안실행환경의 서비스 어플리케이션이 하나의 쌍으로 설치되는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
In the client, a service application in a general execution environment and a service application in a security execution environment are installed in a pair
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 저장부 및 생체정보 인식부에 공인인증서 및 개인키를 저장하여, 보안실행환경의 서비스 어플리케이션에 대한 접근 제어를 수행하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client stores the public key and the private key in the storage unit and the biometric information recognizing unit and performs access control on the service application in the secure execution environment
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 생체 정보로 입력되는 지문의 특징점 정보를 추출하고, 바이오템플릿을 저장부에 저장시키는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client extracts minutia information of a fingerprint inputted as biometric information, and stores the biotemplate in a storage unit
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 사용자의 생체 정보와 기등록된 생체 정보를 비교하여 정당한 사용자인 것으로 확인된 경우, 기등록된 생체 정보를 해시하여 바이오키를 생성하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client compares the biometric information of the user with pre-registered biometric information, and when it is confirmed that the user is a legitimate user, the client generates the biometric key by hashing the pre-registered biometric information
Password - Free Digital Signature System Using In - Bio Information.
생체 정보 인증에 따른 로컬 인증 후, 전자서명생성정보 암호화/복호화용 키를 생성하거나, 암호화/복호화/서명을 수행하는 객체를 이용하는 것
을 특징으로 하는 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
After local authentication based on biometric information authentication, an object for generating an encryption / decryption key for digital signature generation information or performing encryption / decryption / signature is used
Password-free electronic signature system using biometric information.
상기 사용자의 생체 정보를 통해 생성한 바이오키를 전자서명생성정보 암호로 사용하며, 그 암호화 방법은 PKCS #5 또는 PKCS #8에서 정의되는 암호화 기법에 따르는 것
을 특징으로 하는 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The biometric key generated through the biometric information of the user is used as the digital signature generation information cipher. The encryption method is based on a cryptographic technique defined in PKCS # 5 or PKCS # 8
Password-free electronic signature system using biometric information.
복수의 인증수단을 통해 생성된 복수의 생체 정보 기반 비밀번호를 통해, 전자서명생성정보 암호화를 확장하는 것
을 특징으로 하는 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The encryption of digital signature generation information is extended through a plurality of biometric information based passwords generated through a plurality of authentication means
Password-free electronic signature system using biometric information.
공인인증서 비밀번호, 금융거래 카드, 생체정보 인식을 조합하여 전자서명생성정보를 암호화하는 것
을 특징으로 하는 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
Encrypting digital signature generation information by combining authorized certificate password, financial transaction card, and biometric information recognition
Password-free electronic signature system using biometric information.
상기 클라이언트는 인증기관으로부터 수신한 인증서 응답 메시지를 사용자의 개인키로 복호화하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client decrypts the certificate response message received from the certificate authority with the user's private key
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 인증서의 인덱스 번호를 부여하고, 이와 함께 기등록된 생체정보를 저장하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client assigns an index number of the certificate and stores previously registered biometric information together with the index number
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 인증서 갱신 발급이 선택되는 경우, 인증서 목록을 조회하여 갱신 대상 인증서를 선택하고, 사용자로부터 입력된 생체정보와 기등록된 생체정보를 비교하여 정당한 사용자로 확인한 경우 갱신 요청 메시지를 생성하여 인증 기관에 전송하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
When the certificate renewal issuance is selected, the client selects the renewal certificate by inquiring the certificate list, compares the biometric information inputted from the user with the previously registered biometric information, and generates a renewal request message To the agency
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 상기 서비스 제공 서버로부터 수신한 UAF 등록 요청 메시지와, 사용자 및 어플리케이션의 아이디를 수신하여 생체정보 인식 장치의 목록을 요청하고, 생체정보인식 장치를 선택하여 인증서 등록을 위한 값을 전달하는 FIDO 클라이언트를 포함하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client receives a UAF registration request message, an ID of a user and an application received from the service providing server, requests a list of the biometric information recognizing device, selects a biometric information recognizing device, and transmits a value for certificate registration to the FIDO Including clients
Password - Free Digital Signature System Using In - Bio Information.
상기 클라이언트는 저장부 및 생체정보 인식부에 공인인증서 및 개인키를 저장하여, 보안실행환경의 서비스 어플리케이션에 대한 접근 제어를 수행하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The client stores the public key and the private key in the storage unit and the biometric information recognizing unit and performs access control on the service application in the secure execution environment
Password - Free Digital Signature System Using In - Bio Information.
상기 서비스 제공 서버는 UAF 등록 요청 메시지를 생성하여 상기 클라이언트의 서비스 어플리케이션으로 전송하고, 상기 클라이언트의 FIDO 클라이언트로부터 수신한 어플리케이션 아이디를 이용하여 사용자가 이용 가능한 생체정보 인식 장치의 목록을 임의의 난수와 함께 상기 FIDO 클라이언트로 전송하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.
The method according to claim 1,
The service providing server generates a UAF registration request message and transmits the UAF registration request message to the service application of the client. The service providing server transmits a list of biometric information recognizing devices available to the user using an application ID received from the client's FIDO client, To the FIDO client
Password - Free Digital Signature System Using In - Bio Information.
상기 서비스 제공 서버는 UAF 인증 요청 메시지를 생성하여, 그에 대한 응답을 상기 클라이언트에 포함되는 FIDO 클라이언트에 요청하고, 상기 FIDO 클라이언트의 요청에 따라 사용 가능한 인증장치 목록을 제공하며, UAF 인증 응답 메시지를 수신하면 인증기관으로 사용자의 인증서에 대한 유효성 검증을 요청하는 것
인 바이오정보를 이용한 패스워드 없는 전자서명 시스템.The method according to claim 1,
The service providing server generates a UAF authentication request message, requests a response to the FIDO client included in the client, provides a list of available authentication devices according to the request of the FIDO client, receives a UAF authentication response message To request validation of the user's certificate as a certificate authority
Password - Free Digital Signature System Using In - Bio Information.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160171473 | 2016-12-15 | ||
KR20160171473 | 2016-12-15 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180069669A true KR20180069669A (en) | 2018-06-25 |
KR101897715B1 KR101897715B1 (en) | 2018-10-29 |
Family
ID=62806412
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170107781A KR101897715B1 (en) | 2016-12-15 | 2017-08-25 | System for non-password secure biometric digital signagure |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101897715B1 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110032853A (en) * | 2019-04-15 | 2019-07-19 | 北京中电普华信息技术有限公司 | A kind of method of adjustment of double authentication, system, storage medium and electronic equipment |
KR20200008186A (en) * | 2018-07-16 | 2020-01-28 | (주)이더블유비엠 | Method, system and program of silent authentication based on fido |
KR20200054571A (en) * | 2018-11-12 | 2020-05-20 | 한국전자통신연구원 | Apparatus and method for performing non-face-to-face identification using a bio-certificate |
WO2020235733A1 (en) * | 2019-05-23 | 2020-11-26 | 주식회사 네오패드 | Device and method for authenticating user and obtaining user signature using user's biometrics |
CN112035806A (en) * | 2020-07-21 | 2020-12-04 | 杜晓楠 | Method and computer readable medium for generating distributed identities based on fingerprinting in blockchains |
WO2021100907A1 (en) * | 2019-11-20 | 2021-05-27 | (주)이더블유비엠 | Fido-based silent authentication method, system, and program |
WO2022055301A1 (en) * | 2020-09-11 | 2022-03-17 | 상근 오스티븐 | On-boarding method, apparatus, and program for group authenticator |
US11706032B2 (en) | 2019-10-02 | 2023-07-18 | Samsung Sds Co., Ltd. | Method and apparatus for user authentication |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100929488B1 (en) | 2009-02-20 | 2009-12-03 | 주식회사 한국무역정보통신 | System and method for authorizing of electronic signature based on server |
KR101690989B1 (en) | 2016-07-29 | 2017-01-02 | 한국스마트아이디 주식회사 | Method of electric signature using fido authentication module |
-
2017
- 2017-08-25 KR KR1020170107781A patent/KR101897715B1/en active IP Right Grant
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200008186A (en) * | 2018-07-16 | 2020-01-28 | (주)이더블유비엠 | Method, system and program of silent authentication based on fido |
KR20200054571A (en) * | 2018-11-12 | 2020-05-20 | 한국전자통신연구원 | Apparatus and method for performing non-face-to-face identification using a bio-certificate |
CN110032853A (en) * | 2019-04-15 | 2019-07-19 | 北京中电普华信息技术有限公司 | A kind of method of adjustment of double authentication, system, storage medium and electronic equipment |
WO2020235733A1 (en) * | 2019-05-23 | 2020-11-26 | 주식회사 네오패드 | Device and method for authenticating user and obtaining user signature using user's biometrics |
US11868457B2 (en) | 2019-05-23 | 2024-01-09 | Neopad Inc. | Device and method for authenticating user and obtaining user signature using user's biometrics |
US11706032B2 (en) | 2019-10-02 | 2023-07-18 | Samsung Sds Co., Ltd. | Method and apparatus for user authentication |
WO2021100907A1 (en) * | 2019-11-20 | 2021-05-27 | (주)이더블유비엠 | Fido-based silent authentication method, system, and program |
CN112035806A (en) * | 2020-07-21 | 2020-12-04 | 杜晓楠 | Method and computer readable medium for generating distributed identities based on fingerprinting in blockchains |
CN112035806B (en) * | 2020-07-21 | 2023-12-08 | 杜晓楠 | Method and computer readable medium for generating distributed identities based on fingerprint recognition in blockchain |
WO2022055301A1 (en) * | 2020-09-11 | 2022-03-17 | 상근 오스티븐 | On-boarding method, apparatus, and program for group authenticator |
Also Published As
Publication number | Publication date |
---|---|
KR101897715B1 (en) | 2018-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101897715B1 (en) | System for non-password secure biometric digital signagure | |
US11824991B2 (en) | Securing transactions with a blockchain network | |
KR101198120B1 (en) | Iris information based 3-factor user authentication method for otp generation and secure two way authentication system of wireless communication device authentication using otp | |
JP4460763B2 (en) | Encryption key generation method using biometric data | |
KR100876003B1 (en) | User Authentication Method Using Biological Information | |
JP4885853B2 (en) | Renewable and private biometrics | |
US10848304B2 (en) | Public-private key pair protected password manager | |
JP5710439B2 (en) | Template delivery type cancelable biometric authentication system and method | |
KR102514429B1 (en) | Update of biometric data template | |
JP2008538146A (en) | Architecture for privacy protection of biometric templates | |
JPWO2007094165A1 (en) | Identification system and program, and identification method | |
JP7259868B2 (en) | system and client | |
KR102578428B1 (en) | Update biometric template protection key | |
JP7231023B2 (en) | Verification system, client and server | |
JP2019506789A (en) | A method, system, and apparatus using forward secure encryption technology for passcode verification. | |
WO2021111824A1 (en) | Electronic signature system and tamper-proof device | |
CN111739200B (en) | Fingerprint electronic lock and encryption and decryption authentication method thereof | |
JP7302606B2 (en) | system and server | |
KR101868564B1 (en) | Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same | |
JP6701011B2 (en) | Terminal registration method and terminal registration system | |
Sudha et al. | A survey on different authentication schemes in cloud computing environment | |
JP2006293473A (en) | Authentication system and authentication method, terminal device, and authentication device | |
WO2022130528A1 (en) | Recovery verification system, collation system, recovery verification method, and non-temporary computer readable medium | |
US20230155825A1 (en) | Cryptographic device, system and method therof | |
KR20180069425A (en) | method of biometrics using session key and user terminal and the verification server performing the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |