KR20190048422A - 인증 시스템 및 방법 - Google Patents

인증 시스템 및 방법 Download PDF

Info

Publication number
KR20190048422A
KR20190048422A KR1020170143365A KR20170143365A KR20190048422A KR 20190048422 A KR20190048422 A KR 20190048422A KR 1020170143365 A KR1020170143365 A KR 1020170143365A KR 20170143365 A KR20170143365 A KR 20170143365A KR 20190048422 A KR20190048422 A KR 20190048422A
Authority
KR
South Korea
Prior art keywords
authentication
registration
key
personal information
master key
Prior art date
Application number
KR1020170143365A
Other languages
English (en)
Inventor
최규영
조지훈
윤효진
문덕재
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170143365A priority Critical patent/KR20190048422A/ko
Priority to US16/171,986 priority patent/US11012424B2/en
Publication of KR20190048422A publication Critical patent/KR20190048422A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Biomedical Technology (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Collating Specific Patterns (AREA)

Abstract

인증 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 인증 시스템은, 등록/인증 요청 장치 및 인증 서버를 포함하고, 상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.

Description

인증 시스템 및 방법{SYSTEM AND METHOD FOR AUTHENTICATION}
본 발명의 실시예들은 개인 인증 기술과 관련된다.
생체 인식 기술의 발전에 따라, 홍채, 지문, DNA, 망막, 정맥, 걸음걸이, 얼굴, 음성 등과 같이 개인이 가지고 있는 고유의 생체 정보를 개인 인증에 이용하기 위한 생체 정보 인증 기술들이 연구되고 있다.
그러나, 이러한 생체 정보는 각 개인이 자의에 변경할 수 없거나 변경이 어려우므로 인증 과정에서 유출되는 경우 프라이버시 침해와 직결된다. 따라서, 생체 정보를 이용한 인증을 위해서는 인증 과정에서 생체 정보 유출을 방지하기 위한 기술이 필수적이다.
최근, 생체 정보 유출을 방지할 수 있는 인증 방식으로 FIDO(Fast Identity Online) 기술이 개발되어 이용되고 있다. 그러나, FIDO 기술은 모바일 단말과 같이 개인이 소지하고 있는 장치에 제한적으로 적용 가능한 기술이므로, 공항 출입국 심사, 사내 출입 시스템, 관공서 등과 같이 불특정 다수에 대한 개인 인증이 필요한 시스템에서는 적용이 어렵다는 문제점이 있다.
따라서, 개인이 소지하고 있는 장치뿐 아니라, 불특정 다수에 대한 개인 인증이 요구되는 시스템에서도 생체 정보의 유출 없이 인증이 가능하도록 하는 범용적인 생체 인증 기술이 요구되고 있다.
한국등록특허 제10-1743927호 (2017.05.31. 공고)
본 발명의 실시예들은 인증 시스템 및 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 인증 시스템은, 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하고, 상기 등록 요청 장치는, 마스터 키를 생성하여 상기 인증 요청 장치로 전달하고, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 인증 요청 장치는, 상기 인증 요청 장치의 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 생성된 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 등록 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘 및 인증키 생성 알고리즘을 이용하여 상기 마스터 키 및 상기 인증키를 생성하고, 상기 인증 요청 장치는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 요청 장치는, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제할 수 있다.
상기 등록 요청 장치는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 방법은, 등록 요청 장치에서, 마스터 키를 생성하는 단계, 상기 등록 요청 장치에서, 상기 마스터 키를 인증 요청 장치로 전달하는 단계, 상기 인증 요청 장치에서, 상기 마스터 키를 수신하여 상기 인증 요청 장치의 보안 영역에 저장하는 단계, 상기 등록 요청 장치에서, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계, 상기 등록 요청 장치에서, 상기 인증키를 인증 서버로 전달하는 단계, 상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계, 상기 인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계, 상기 인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계 및 상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함한다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고, 상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고, 상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 요청 장치에서, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 단계를 더 포함할 수 있다.
상기 마스터 키를 생성하는 단계 및 상기 인증 키를 생성하는 단계는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 시스템은, 등록/인증 요청 장치 및 인증 서버를 포함하고, 상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 등록/인증 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘, 인증키 생성 알고리즘 및 암호화 알고리즘을 이용하여 상기 마스터 키, 상기 인증키 및 상기 암호문를 생성하고, 상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 방법은, 상기 등록/인증 요청 장치에서, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에 상기 마스터 키를 저장하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 인증키를 인증 서버로 전달하는 단계, 상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계 및 상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함한다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고, 상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고, 상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 실시예들에 따르면, 생체 정보와 같이 개인 인증을 위해 이용되는 개인 정보가 인증 과정에서 직접적인 노출되는 것을 방지하면서 인증이 가능하도록 함으로써, 개인 프라이버시를 유지할 수 있는 안전한 인증 서비스를 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템의 구성도
도 2는 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 과정을 나타낸 순서도
도 3은 본 발명의 일 실시예에 따른 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 4는 본 발명의 일 실시예에 따른 인증 과정을 나타낸 순서도
도 5는 본 발명의 다른 실시예에 따른 인증 시스템의 구성도
도 6은 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 및 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 7은 본 발명의 다른 실시예에 따른 인증 과정을 나타낸 순서도
도 8은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 실시예에 따른 인증 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 인증 시스템(100)은 등록 요청 장치(110), 인증 요청 장치(130) 및 인증 서버(150)를 포함한다.
등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력 받아 등록 대상 개인 정보에 대한 인증키(skx)를 인증 서버(150)에 등록하기 위한 장치이다.
이때, 등록 대상 개인 정보(X)는 예를 들어, 홍채, 지문, DNA, 망막, 정맥, 걸음걸이, 얼굴, 음성 등과 같은 생체 정보일 수 있으나, 등록 대상 개인 정보(X)는 생체 정보 외에도, 각 개인의 동일성을 입증하기 위해 이용될 수 있는 다양한 형태의 정보들을 포함할 수 있다. 또한, 등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력 받기 위해 센서, 카메라 등과 같은 다양한 형태의 입력 수단을 구비할 수 있다.
등록 요청 장치(110)는 마스터 키(msk)를 생성하여 인증 요청 장치(130)로 전달하고, 등록 대상 개인 정보가 입력된 경우, 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성할 수 있다. 이후, 등록 요청 장치(110)는 생성된 인증키(skx)를 인증 서버(130)로 전달하여 인증키(skx)를 인증 서버(130)에 등록할 수 있다.
한편, 마스터 키(msk) 및 인증키(skx)는 예를 들어, 보안 요소(Secure Element, SE), 신뢰 실행 환경(Trusted Execution Environment, TEE) 등과 같은 등록 요청 장치(110)의 보안 영역에서 생성될 수 있다.
또한, 등록 요청 장치(130)는 마스터 키(msk)를 생성하고, 인증키(skx)가 생성한 이후, 마스터 키(msk)를 삭제할 수 있다.
인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력 받아 인증 서버(130)로 인증 대상 개인 정보(Y)에 대한 인증을 요청하기 위한 장치이다.
이때, 인증 대상 개인 정보(Y)는 등록 대상 개인 정보(X)와 동일한 형태의 정보일 수 있다. 또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력 받기 위해 센서, 카메라 등과 같은 다양한 형태의 입력 수단을 구비할 수 있다.
인증 요청 장치(130)는 등록 요청 장치(110)로부터 마스터 키(msk)를 수신하여 저장한다. 이때, 마스터 키(msk)는 예를 들어, SE, TEE와 같은 인증 요청 장치(130)의 보안 영역에 저장될 수 있다.
또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)가 입력된 경우, 저장된 마스터 키(msk)와 인증 대상 개인 정보(Y)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성하고, 생성된 암호문(C)을 인증 서버(150)로 전송하여 인증 서버(150)로 인증 대상 개인 정보(Y)에 대한 인증을 요청할 수 있다. 이때, 인증 대상 개인 정보(Y)에 대한 암호문(C)은 인증 요청 장치(130)의 보안 영역에서 생성될 수 있다.
인증 서버(150)는 등록 요청 장치(110)로부터 수신된 인증키(skx)와 인증 요청 장치(130)로부터 수신된 암호문(C)을 이용하여 인증 대상 개인 정보(Y)에 대한 인증을 수행하기 위한 서버이다.
구체적으로, 인증 서버(150)는 등록 요청 장치(110)로부터 수신된 인증키(skx)를 저장할 수 있다. 이후, 인증 서버(150)는 인증 요청 장치(130)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)이 수신된 경우, 저장된 인증키(skx)와 수신된 암호문(C)을 이용하여 인증 대상 데이터(Y)에 대한 인증을 수행하고, 인증 결과를 인증 요청 장치(130)로 전달할 수 있다.
이때, 인증 서버(150)는 저장된 인증키(skx)와 수신된 암호문(C)을 암호화된 상태로 연산하여 인증키(skx) 생성을 위해 이용된 등록 대상 개인 정보(X)와 암호문(C) 생성을 위해 이용된 인증 대상 개인 정보(Y)의 일치 여부를 판단할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 등록 요청 장치(110)에서 수행되는 마스터 키(msk) 생성, 인증키(skx) 생성, 인증 요청 장치(130)에서 수행되는 암호문(C) 생성 및 인증 서버(150)에서 수행되는 인증은 대칭키 기반 함수 암호(functional encryption) 기술을 이용하여 수행될 수 있다.
구체적으로, 대칭키 기반 함수 암호는 아래와 같은 알고리즘을 통해 수행된다.
- Setup(k) -> msk: 보안 파라미터(k)로부터 마스터 키(msk)를 생성하는 초기화 알고리즘
- KeyGen(msk, X) -> skx: 마스터 키(msk)와 데이터 X를 암호화하여 인증키 skx를 생성하는 키 생성 알고리즘
- Enc(msk, Y) -> C: 마스터 키(msk)와 데이터 Y를 암호화하여 암호문(C)을 생성하는 암호화 알고리즘
- Dec(skx, C) -> F(X, Y): 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 F(X, Y)와 동일한 결과 값을 생성하는 복호화 알고리즘
이때, 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산한다는 것은 연산 과정에서 인증키(skx)와 암호문(C)을 각각 데이터 X와 데이터 Y로 복호화하지 않음을 의미한다.
또한, F(X, Y)는 예를 들어, 내적 함수와 같이 데이터 X와 데이터 Y 사이의 유사도를 산출하기 위한 다양한 형태의 함수일 수 있다.
한편, 상술한 대칭키 기반 함수 암호의 각 알고리즘은 이미 공지거나 향후 개발될 대칭키 기반 함수 암호에서 설계된 다양한 방식의 알고리즘을 이용할 수 있다.
한편, 등록 요청 장치(110)는 상술한 대칭키 기반 함수 암호의 초기화 알고리즘 Setup(k)를 이용하여 마스터 키(msk)를 생성하고, 등록 대상 개인 정보(X)가 입력된 경우, 인증키 생성 알고리즘 KeyGen(msk, X)를 이용하여 인증키(skx)를 생성할 수 있다.
또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)가 입력된 경우, 암호화 알고리즘 Enc(msk, Y)를 이용하여 암호문(C)을 생성할 수 있다.
또한, 인증 서버(150)는 등록 요청 장치(110)로부터 마스터 키 msk를 수신하여 저장하고, 인증 요청 장치(130)로부터 암호문(C)이 수신된 경우, 복호화 알고리즘 Dec(skx, C)을 이용하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출할 수 있다. 예를 들어, F(X, Y)가 X와 Y가 일치하는 경우 결과 값이 1이 되는 내적 함수인 것으로 가정하면, 인증 서버(150)는 Dec(skx, C)를 이용하여 산출되는 F(X, Y)의 결과 값이 1이거나 기 설정된 오차 범위 내인 경우, 인증 개인 정보(Y)에 대한 인증이 성공된 것으로 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 과정을 나타낸 순서도이다.
도 2에 도시된 과정은 예를 들어, 도 1에 도시된 등록 요청 장치(110)에 의해 수행될 수 있다.
도 2를 참조하면, 우선, 등록 요청 장치(110)는 마스터 키(msk)를 생성한다(210). 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록 요청 장치(110)는 생성된 마스터 키(msk)를 인증 요청 장치(130)로 전달한다(220).
이후, 등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력받는다(230). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 등록 요청 장치(110)는 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성한다(240). 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))을 이용하여 생성될 수 있다.
이후, 등록 요청 장치(110)는 생성된 인증키(skx)를 인증 서버(150)로 전달하여 인증키(skx)의 등록을 요청한다(250).
이후, 등록 요청 장치(110)는 생성된 마스터 키(msk)를 삭제한다(260).
한편, 도 2에 도시된 절차에서, 210 단계 및 240 단계는 등록 요청 장치(110)의 보안 영역에서 수행될 수 있으며, 210 단계에서 생성된 마스터 키(msk)는 삭제되기 전까지 해당 보안 영역에 저장될 수 있다.
도 3은 본 발명의 일 실시예에 따른 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도이다.
도 3에 도시된 과정은 예를 들어, 도 1에 도시된 인증 요청 장치(130)에 의해 수행될 수 있다.
도 3을 참조하면, 우선, 인증 요청 장치(130)는 등록 요청 장치(110)로부터 마스터 키(msk)를 수신하여 저장한다(310). 이때, 수신된 마스터 키(msk)는 인증 요청 장치(130)의 보안 영역에 저장될 수 있다.
이후, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력받는다(320). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)와 마스터 키(msk)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성한다(330). 이때, 암호문(C)는 대칭키 기반 함수 암호의 암호화 알고리즘 알고리즘(즉, Enc(msk, Y))을 이용하여 생성될 수 있다. 또한, 암호문(C)의 생성은 인증 요청 장치(130)의 보안 영역에서 수행될 수 있다.
이후, 인증 요청 장치(130)는 생성된 암호문(C)을 인증 서버(150)로 전달하여 인증 대상 개인 정보(Y)에 대한 인증을 요청한다(340).
이후, 인증 요청 장치(110)는 인증 서버(150)로부터 인증 결과를 수신한다(350).
도 4는 본 발명의 일 실시예에 따른 인증 과정을 나타낸 순서도이다.
도 4에 도시된 과정은 예를 들어, 도 1에 도시된 인증 서버(150)에 의해 수행될 수 있다.
도 4를 참조하면, 우선, 인증 서버(150)는 등록 요청 장치(110)로부터 등록 대상 개인 정보(X)에 대한 인증키(skx)를 수신하여 저장한다(410).
이후, 인증 서버(150)는 인증 요청 장치(130)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)을 수신한다(420).
이후, 인증 서버(150)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 인증 대상 개인 정보(Y)에 대한 인증을 수행한다(430).
이때, 인증 서버(150)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출하고, 산출된 유사도에 기초하여 인증을 수행할 수 있다. 또한, 유사도는 대칭키 기반 함수 암호의 복호화 알고리즘(즉, Dec(skx, C))을 이용하여 산출될 수 있다.
이후, 인증 서버(150)는 인증 대상 개인 정보(Y)에 대한 인증 결과를 인증 요청 장치(130)로 전달한다(440).
한편, 도 2 내지 도 4에 도시된 순서도에서는 각 절차를 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 5는 본 발명의 다른 실시예에 따른 인증 시스템의 구성도이다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 인증 시스템(500)은 등록/인증 요청 장치(510) 및 인증 서버(530)를 포함한다.
도 5에 도시된 인증 시스템(500)에서는 도 1에 도시된 인증 시스템(100)과 달리, 등록 요청 장치(110)과 인증 요청 장치(130)가 분리되지 않고 하나의 장치, 즉, 등록/인증 요청 장치(510)로 구현된다.
구체적으로, 등록/인증 요청 장치(510)는 마스터 키(msk)를 생성할 수 있다. 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)가 입력된 경우, 마스터 키(msk)와 등록 대상 개인 정보(X)를 이용하여 등록 대상 개인 정보(X)에 대한 인증키(skx)를 생성하고, 생성된 인증키(skx)를 인증 서버(530)로 전송하여 인증키(skx)의 등록을 요청할 수 있다. 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))를 이용하여 생성될 수 있다.
한편, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)가 입력된 경우, 마스터 키(msk)와 인증 대상 개인 정보(Y)를 이용하여 개인 정보(Y)에 대한 암호문(C)를 생성할 수 있다. 이때, 암호문(C)은 대칭키 기반 함수 암호의 암호화 알고리즘(즉, Enc(msk, Y))를 이용하여 생성될 수 있다.
한편, 암호문(C)이 생성된 경우, 등록/인증 요청 장치(510)는 생성된 암호문(C)를 인증 서버(530)로 전달하여 인증을 요청할 수 있다.
한편, 마스터 키(msk), 인증키(skx) 및 암호문(C) 생성은 등록/인증 요청 장치(510)의 보안 영역에서 수행될 수 있으며, 생성된 마스터 키(msk)는 해당 보안 영역에 저장 및 관리 될 수 있다.
한편, 인증 서버(530)는 인증키(skx)와 암호문(C)을 동일한 장치(즉, 등록/인증 요청 장치(510))로부터 수신한다는 점을 제외하면, 도 1에 도시된 인증 서버(170)와 동일한 구성이므로, 인증 서버(530)에 대한 중복적인 설명은 생략한다.
도 6은 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 및 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도이다.
도 6에 도시된 과정은 예를 들어, 도 5에 도시된 등록/인증 요청 장치(510)에 의해 수행될 수 있다.
도 6을 참조하면, 우선, 등록/인증 요청 장치(510)는 마스터 키(msk)를 생성한다(610). 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)를 입력받는다(620). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성한다(630). 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 생성된 인증키(skx)를 인증 서버(530)로 전달하여 인증키(skx)의 등록을 요청한다(640).
이후, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)를 입력받는다(650). 이때, 인증 대상 개인 정보(Y)는 생체 정보일 수 있다.
이후, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)와 마스터 키(msk)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성한다(660). 이때, 암호문(C)는 대칭키 기반 함수 암호의 암호화 알고리즘 알고리즘(즉, Enc(msk, Y))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 생성된 암호문(C)을 인증 서버(530)로 전달하여 인증을 요청한다(670).
이후, 등록/인증 요청 장치(510)는 인증 서버(530)로부터 인증 결과를 수신한다(680).
한편, 도 6에 도시된 절차에서, 610 단계, 630 단계 및 660 단계는 등록/인증 요청 장치(510)의 보안 영역에서 수행될 수 있으며, 마스터 키(msk)는 해당 보안 영역에 저장될 수 있다.
도 7은 본 발명의 다른 실시예에 따른 인증 과정을 나타낸 순서도이다.
도 7에 도시된 과정은 예를 들어, 도 5에 도시된 인증 서버(530)에 의해 수행될 수 있다.
도 7을 참조하면, 우선, 인증 서버(530)는 등록/인증 요청 장치(510)로부터 등록 대상 개인 정보(X)에 대한 인증키(skx)를 수신하여 저장한다(710).
이후, 인증 서버(530)는 등록/인증 요청 장치(510)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)을 수신한다(720).
이후, 인증 서버(530)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 인증 대상 개인 정보(Y)에 대한 인증을 수행한다(730).
이때, 인증 서버(530)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출하고, 산출된 유사도에 기초하여 인증을 수행할 수 있다. 또한, 유사도는 대칭키 기반 함수 암호의 복호화 알고리즘(즉, Dec(skx, C))을 이용하여 산출될 수 있다.
이후, 인증 서버(530)는 인증 대상 개인 정보(Y)에 대한 인증 결과를 인증 요청 장치(510)로 전달한다(740).
한편, 도 6 및 도 7에 도시된 순서도에서는 각 절차를 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 8은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 등록 요청 장치(110), 인증 요청 장치(130), 인증 서버(150, 530), 등록/인증 요청 장치(510) 각각에 포함되는 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100, 500: 인증 시스템
110: 등록 요청 장치
130: 인증 요청 장치
150, 530: 인증 서버
510: 등록/인증 요청 장치

Claims (24)

  1. 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에 있어서,
    상기 등록 요청 장치는, 마스터 키를 생성하여 상기 인증 요청 장치로 전달하고, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며,
    상기 인증 요청 장치는, 상기 인증 요청 장치의 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 생성된 암호문을 상기 인증 서버로 전달하며,
    상기 인증 서버는, 상기 등록 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 인증 시스템.
  2. 청구항 1에 있어서,
    상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 시스템.
  3. 청구항 2에 있어서,
    상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 시스템.
  4. 청구항 3에 있어서,
    상기 등록 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘 및 인증키 생성 알고리즘을 이용하여 상기 마스터 키 및 상기 인증키를 생성하고,
    상기 인증 요청 장치는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
    상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 시스템.
  5. 청구항 1에 있어서,
    상기 등록 요청 장치는, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 인증 시스템.
  6. 청구항 1에 있어서,
    상기 등록 요청 장치는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성하는 인증 시스템.
  7. 청구항 1에 있어서,
    상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 시스템.
  8. 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에서 수행되는 인증 방법에 있어서,
    상기 등록 요청 장치에서, 마스터 키를 생성하는 단계;
    상기 등록 요청 장치에서, 상기 마스터 키를 상기 인증 요청 장치로 전달하는 단계;
    상기 인증 요청 장치에서, 상기 마스터 키를 수신하여 상기 인증 요청 장치의 보안 영역에 저장하는 단계;
    상기 등록 요청 장치에서, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계;
    상기 등록 요청 장치에서, 상기 인증키를 상기 인증 서버로 전달하는 단계;
    상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계;
    상기 인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계;
    상기 인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계; 및
    상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함하는 인증 방법.
  9. 청구항 8에 있어서,
    상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 방법.
  10. 청구항 9에 있어서,
    상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 방법.
  11. 청구항 10에 있어서,
    상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고,
    상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고,
    상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
    상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 방법.
  12. 청구항 8에 있어서,
    상기 등록 요청 장치에서, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 단계를 더 포함하는 인증 방법.
  13. 청구항 8에 있어서,
    상기 마스터 키를 생성하는 단계 및 상기 인증 키를 생성하는 단계는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성하는 인증 방법.
  14. 청구항 8에 있어서,
    상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 방법.
  15. 등록/인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에 있어서,
    상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며,
    상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 인증 시스템.
  16. 청구항 15에 있어서,
    상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 시스템.
  17. 청구항 16에 있어서,
    상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 시스템.
  18. 청구항 17에 있어서,
    상기 등록/인증 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘, 인증키 생성 알고리즘 및 암호화 알고리즘을 이용하여 상기 마스터 키, 상기 인증키 및 상기 암호문를 생성하고,
    상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 시스템.
  19. 청구항 15에 있어서,
    상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 시스템.
  20. 등록/인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에서 수행되는 인증 방법에 있어서,
    상기 등록/인증 요청 장치에서, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하는 단계;
    상기 등록/인증 요청 장치에서, 상기 보안 영역에 상기 마스터 키를 저장하는 단계;
    상기 등록/인증 요청 장치에서, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계;
    상기 등록/인증 요청 장치에서, 상기 인증키를 상기 인증 서버로 전달하는 단계;
    상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계;
    상기 등록/인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계;
    상기 등록/인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계; 및
    상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함하는 인증 방법.
  21. 청구항 20에 있어서,
    상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 방법.
  22. 청구항 21에 있어서,
    상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 방법.
  23. 청구항 22에 있어서,
    상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고,
    상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고,
    상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
    상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 방법.
  24. 청구항 20에 있어서,
    상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 방법.
KR1020170143365A 2017-10-31 2017-10-31 인증 시스템 및 방법 KR20190048422A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170143365A KR20190048422A (ko) 2017-10-31 2017-10-31 인증 시스템 및 방법
US16/171,986 US11012424B2 (en) 2017-10-31 2018-10-26 System and method for authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170143365A KR20190048422A (ko) 2017-10-31 2017-10-31 인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20190048422A true KR20190048422A (ko) 2019-05-09

Family

ID=66546333

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170143365A KR20190048422A (ko) 2017-10-31 2017-10-31 인증 시스템 및 방법

Country Status (2)

Country Link
US (1) US11012424B2 (ko)
KR (1) KR20190048422A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102161281B1 (ko) * 2019-09-18 2020-09-29 박준희 의사난수생성을 이용한 사용자 단말 접근 통제 서비스 제공 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102357694B1 (ko) * 2021-06-29 2022-02-08 주식회사 아이리시스 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101743927B1 (ko) 2010-09-09 2017-06-20 삼성전자주식회사 확장된 곡선형 가버 필터를 이용한 객체 기술자 생성 방법 및 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4511684B2 (ja) 2000-05-16 2010-07-28 日本電気株式会社 バイオメトリクス本人確認サービス提供システム
JP5309088B2 (ja) * 2010-06-21 2013-10-09 株式会社日立製作所 生体認証システムにおける、生体情報の登録方法、テンプレートの利用申請の方法、および、認証方法
WO2012042775A1 (ja) * 2010-09-30 2012-04-05 パナソニック株式会社 生体認証システム、通信端末装置、生体認証装置、および生体認証方法
JP6167667B2 (ja) * 2013-05-23 2017-07-26 富士通株式会社 認証システム、認証方法、認証プログラムおよび認証装置
KR101622253B1 (ko) 2014-07-09 2016-05-19 전남대학교 산학협력단 생체정보 또는 생체정보로부터 파생된 정보 또는 사용자 특징 정보를 이용한 안전한 인증 시스템, 그 시스템에서의 인증 제어를 위한 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101743927B1 (ko) 2010-09-09 2017-06-20 삼성전자주식회사 확장된 곡선형 가버 필터를 이용한 객체 기술자 생성 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102161281B1 (ko) * 2019-09-18 2020-09-29 박준희 의사난수생성을 이용한 사용자 단말 접근 통제 서비스 제공 방법

Also Published As

Publication number Publication date
US11012424B2 (en) 2021-05-18
US20190182221A1 (en) 2019-06-13

Similar Documents

Publication Publication Date Title
US10574460B2 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
US10797879B2 (en) Methods and systems to facilitate authentication of a user
US11741461B2 (en) Method for performing non-repudiation, and payment managing server and user device therefor
US8509449B2 (en) Key protector for a storage volume using multiple keys
KR101982237B1 (ko) 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템
US20170171183A1 (en) Authentication of access request of a device and protecting confidential information
KR102050887B1 (ko) 사물인터넷 관리를 위한 클라우드 컴퓨팅 환경에서의 데이터 공유 방법 및 시스템
KR20180129475A (ko) 인증을 수행하기 위한 방법, 사용자 단말 및 인증 서비스 서버
KR101714742B1 (ko) 원격제어를 위한 인증 방법 및 서버
KR20120072032A (ko) 모바일 단말의 상호인증 시스템 및 상호인증 방법
JP2022093492A (ja) データ抽出システム、データ抽出方法、登録装置及びプログラム
KR20190048422A (ko) 인증 시스템 및 방법
KR102625879B1 (ko) 생체 정보를 이용한 키를 발생하는 암호 시스템의 방법
KR20200067987A (ko) 로그인 제어 방법
JP6501701B2 (ja) システム、端末装置、制御方法、およびプログラム
WO2018100740A1 (ja) 暗号文照合システム及び暗号文照合方法
US9386017B2 (en) Authentication device, system and method
CN113282945B (zh) 智能锁权限管理方法、装置、电子设备及存储介质
JP6701011B2 (ja) 端末登録方法、及び端末登録システム
CN111953480B (zh) 密钥生成装置以及方法、运算密钥生成装置以及方法
KR20150096979A (ko) 홈 네트워크 접근 제어 장치 및 방법
JP2008048166A (ja) 認証システム
KR102561689B1 (ko) 생체 정보 등록 장치 및 방법, 생체 인증 장치 및 방법
KR101701226B1 (ko) 향상된 퍼지 속성기반 인증 기술
US10491385B2 (en) Information processing system, information processing method, and recording medium for improving security of encrypted communications

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right