KR20190048422A - 인증 시스템 및 방법 - Google Patents
인증 시스템 및 방법 Download PDFInfo
- Publication number
- KR20190048422A KR20190048422A KR1020170143365A KR20170143365A KR20190048422A KR 20190048422 A KR20190048422 A KR 20190048422A KR 1020170143365 A KR1020170143365 A KR 1020170143365A KR 20170143365 A KR20170143365 A KR 20170143365A KR 20190048422 A KR20190048422 A KR 20190048422A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- registration
- key
- personal information
- master key
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Biomedical Technology (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biodiversity & Conservation Biology (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Collating Specific Patterns (AREA)
Abstract
인증 시스템 및 방법이 개시된다. 본 발명의 일 실시예에 따른 인증 시스템은, 등록/인증 요청 장치 및 인증 서버를 포함하고, 상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.
Description
본 발명의 실시예들은 개인 인증 기술과 관련된다.
생체 인식 기술의 발전에 따라, 홍채, 지문, DNA, 망막, 정맥, 걸음걸이, 얼굴, 음성 등과 같이 개인이 가지고 있는 고유의 생체 정보를 개인 인증에 이용하기 위한 생체 정보 인증 기술들이 연구되고 있다.
그러나, 이러한 생체 정보는 각 개인이 자의에 변경할 수 없거나 변경이 어려우므로 인증 과정에서 유출되는 경우 프라이버시 침해와 직결된다. 따라서, 생체 정보를 이용한 인증을 위해서는 인증 과정에서 생체 정보 유출을 방지하기 위한 기술이 필수적이다.
최근, 생체 정보 유출을 방지할 수 있는 인증 방식으로 FIDO(Fast Identity Online) 기술이 개발되어 이용되고 있다. 그러나, FIDO 기술은 모바일 단말과 같이 개인이 소지하고 있는 장치에 제한적으로 적용 가능한 기술이므로, 공항 출입국 심사, 사내 출입 시스템, 관공서 등과 같이 불특정 다수에 대한 개인 인증이 필요한 시스템에서는 적용이 어렵다는 문제점이 있다.
따라서, 개인이 소지하고 있는 장치뿐 아니라, 불특정 다수에 대한 개인 인증이 요구되는 시스템에서도 생체 정보의 유출 없이 인증이 가능하도록 하는 범용적인 생체 인증 기술이 요구되고 있다.
본 발명의 실시예들은 인증 시스템 및 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 인증 시스템은, 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하고, 상기 등록 요청 장치는, 마스터 키를 생성하여 상기 인증 요청 장치로 전달하고, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 인증 요청 장치는, 상기 인증 요청 장치의 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 생성된 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 등록 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘 및 인증키 생성 알고리즘을 이용하여 상기 마스터 키 및 상기 인증키를 생성하고, 상기 인증 요청 장치는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 요청 장치는, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제할 수 있다.
상기 등록 요청 장치는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 방법은, 등록 요청 장치에서, 마스터 키를 생성하는 단계, 상기 등록 요청 장치에서, 상기 마스터 키를 인증 요청 장치로 전달하는 단계, 상기 인증 요청 장치에서, 상기 마스터 키를 수신하여 상기 인증 요청 장치의 보안 영역에 저장하는 단계, 상기 등록 요청 장치에서, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계, 상기 등록 요청 장치에서, 상기 인증키를 인증 서버로 전달하는 단계, 상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계, 상기 인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계, 상기 인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계 및 상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함한다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고, 상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고, 상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 요청 장치에서, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 단계를 더 포함할 수 있다.
상기 마스터 키를 생성하는 단계 및 상기 인증 키를 생성하는 단계는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 시스템은, 등록/인증 요청 장치 및 인증 서버를 포함하고, 상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며, 상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행한다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 등록/인증 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘, 인증키 생성 알고리즘 및 암호화 알고리즘을 이용하여 상기 마스터 키, 상기 인증키 및 상기 암호문를 생성하고, 상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 일 실시예에 따른 인증 방법은, 상기 등록/인증 요청 장치에서, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에 상기 마스터 키를 저장하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 인증키를 인증 서버로 전달하는 단계, 상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계, 상기 등록/인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계, 상기 등록/인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계 및 상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함한다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행할 수 있다.
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행할 수 있다.
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고, 상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고, 상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며, 상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출할 수 있다.
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보일 수 있다.
본 발명의 실시예들에 따르면, 생체 정보와 같이 개인 인증을 위해 이용되는 개인 정보가 인증 과정에서 직접적인 노출되는 것을 방지하면서 인증이 가능하도록 함으로써, 개인 프라이버시를 유지할 수 있는 안전한 인증 서비스를 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 인증 시스템의 구성도
도 2는 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 과정을 나타낸 순서도
도 3은 본 발명의 일 실시예에 따른 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 4는 본 발명의 일 실시예에 따른 인증 과정을 나타낸 순서도
도 5는 본 발명의 다른 실시예에 따른 인증 시스템의 구성도
도 6은 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 및 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 7은 본 발명의 다른 실시예에 따른 인증 과정을 나타낸 순서도
도 8은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 과정을 나타낸 순서도
도 3은 본 발명의 일 실시예에 따른 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 4는 본 발명의 일 실시예에 따른 인증 과정을 나타낸 순서도
도 5는 본 발명의 다른 실시예에 따른 인증 시스템의 구성도
도 6은 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 및 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도
도 7은 본 발명의 다른 실시예에 따른 인증 과정을 나타낸 순서도
도 8은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 실시예에 따른 인증 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 인증 시스템(100)은 등록 요청 장치(110), 인증 요청 장치(130) 및 인증 서버(150)를 포함한다.
등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력 받아 등록 대상 개인 정보에 대한 인증키(skx)를 인증 서버(150)에 등록하기 위한 장치이다.
이때, 등록 대상 개인 정보(X)는 예를 들어, 홍채, 지문, DNA, 망막, 정맥, 걸음걸이, 얼굴, 음성 등과 같은 생체 정보일 수 있으나, 등록 대상 개인 정보(X)는 생체 정보 외에도, 각 개인의 동일성을 입증하기 위해 이용될 수 있는 다양한 형태의 정보들을 포함할 수 있다. 또한, 등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력 받기 위해 센서, 카메라 등과 같은 다양한 형태의 입력 수단을 구비할 수 있다.
등록 요청 장치(110)는 마스터 키(msk)를 생성하여 인증 요청 장치(130)로 전달하고, 등록 대상 개인 정보가 입력된 경우, 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성할 수 있다. 이후, 등록 요청 장치(110)는 생성된 인증키(skx)를 인증 서버(130)로 전달하여 인증키(skx)를 인증 서버(130)에 등록할 수 있다.
한편, 마스터 키(msk) 및 인증키(skx)는 예를 들어, 보안 요소(Secure Element, SE), 신뢰 실행 환경(Trusted Execution Environment, TEE) 등과 같은 등록 요청 장치(110)의 보안 영역에서 생성될 수 있다.
또한, 등록 요청 장치(130)는 마스터 키(msk)를 생성하고, 인증키(skx)가 생성한 이후, 마스터 키(msk)를 삭제할 수 있다.
인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력 받아 인증 서버(130)로 인증 대상 개인 정보(Y)에 대한 인증을 요청하기 위한 장치이다.
이때, 인증 대상 개인 정보(Y)는 등록 대상 개인 정보(X)와 동일한 형태의 정보일 수 있다. 또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력 받기 위해 센서, 카메라 등과 같은 다양한 형태의 입력 수단을 구비할 수 있다.
인증 요청 장치(130)는 등록 요청 장치(110)로부터 마스터 키(msk)를 수신하여 저장한다. 이때, 마스터 키(msk)는 예를 들어, SE, TEE와 같은 인증 요청 장치(130)의 보안 영역에 저장될 수 있다.
또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)가 입력된 경우, 저장된 마스터 키(msk)와 인증 대상 개인 정보(Y)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성하고, 생성된 암호문(C)을 인증 서버(150)로 전송하여 인증 서버(150)로 인증 대상 개인 정보(Y)에 대한 인증을 요청할 수 있다. 이때, 인증 대상 개인 정보(Y)에 대한 암호문(C)은 인증 요청 장치(130)의 보안 영역에서 생성될 수 있다.
인증 서버(150)는 등록 요청 장치(110)로부터 수신된 인증키(skx)와 인증 요청 장치(130)로부터 수신된 암호문(C)을 이용하여 인증 대상 개인 정보(Y)에 대한 인증을 수행하기 위한 서버이다.
구체적으로, 인증 서버(150)는 등록 요청 장치(110)로부터 수신된 인증키(skx)를 저장할 수 있다. 이후, 인증 서버(150)는 인증 요청 장치(130)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)이 수신된 경우, 저장된 인증키(skx)와 수신된 암호문(C)을 이용하여 인증 대상 데이터(Y)에 대한 인증을 수행하고, 인증 결과를 인증 요청 장치(130)로 전달할 수 있다.
이때, 인증 서버(150)는 저장된 인증키(skx)와 수신된 암호문(C)을 암호화된 상태로 연산하여 인증키(skx) 생성을 위해 이용된 등록 대상 개인 정보(X)와 암호문(C) 생성을 위해 이용된 인증 대상 개인 정보(Y)의 일치 여부를 판단할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 등록 요청 장치(110)에서 수행되는 마스터 키(msk) 생성, 인증키(skx) 생성, 인증 요청 장치(130)에서 수행되는 암호문(C) 생성 및 인증 서버(150)에서 수행되는 인증은 대칭키 기반 함수 암호(functional encryption) 기술을 이용하여 수행될 수 있다.
구체적으로, 대칭키 기반 함수 암호는 아래와 같은 알고리즘을 통해 수행된다.
- Setup(k) -> msk: 보안 파라미터(k)로부터 마스터 키(msk)를 생성하는 초기화 알고리즘
- KeyGen(msk, X) -> skx: 마스터 키(msk)와 데이터 X를 암호화하여 인증키 skx를 생성하는 키 생성 알고리즘
- Enc(msk, Y) -> C: 마스터 키(msk)와 데이터 Y를 암호화하여 암호문(C)을 생성하는 암호화 알고리즘
- Dec(skx, C) -> F(X, Y): 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 F(X, Y)와 동일한 결과 값을 생성하는 복호화 알고리즘
이때, 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산한다는 것은 연산 과정에서 인증키(skx)와 암호문(C)을 각각 데이터 X와 데이터 Y로 복호화하지 않음을 의미한다.
또한, F(X, Y)는 예를 들어, 내적 함수와 같이 데이터 X와 데이터 Y 사이의 유사도를 산출하기 위한 다양한 형태의 함수일 수 있다.
한편, 상술한 대칭키 기반 함수 암호의 각 알고리즘은 이미 공지거나 향후 개발될 대칭키 기반 함수 암호에서 설계된 다양한 방식의 알고리즘을 이용할 수 있다.
한편, 등록 요청 장치(110)는 상술한 대칭키 기반 함수 암호의 초기화 알고리즘 Setup(k)를 이용하여 마스터 키(msk)를 생성하고, 등록 대상 개인 정보(X)가 입력된 경우, 인증키 생성 알고리즘 KeyGen(msk, X)를 이용하여 인증키(skx)를 생성할 수 있다.
또한, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)가 입력된 경우, 암호화 알고리즘 Enc(msk, Y)를 이용하여 암호문(C)을 생성할 수 있다.
또한, 인증 서버(150)는 등록 요청 장치(110)로부터 마스터 키 msk를 수신하여 저장하고, 인증 요청 장치(130)로부터 암호문(C)이 수신된 경우, 복호화 알고리즘 Dec(skx, C)을 이용하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출할 수 있다. 예를 들어, F(X, Y)가 X와 Y가 일치하는 경우 결과 값이 1이 되는 내적 함수인 것으로 가정하면, 인증 서버(150)는 Dec(skx, C)를 이용하여 산출되는 F(X, Y)의 결과 값이 1이거나 기 설정된 오차 범위 내인 경우, 인증 개인 정보(Y)에 대한 인증이 성공된 것으로 판단할 수 있다.
도 2는 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 과정을 나타낸 순서도이다.
도 2에 도시된 과정은 예를 들어, 도 1에 도시된 등록 요청 장치(110)에 의해 수행될 수 있다.
도 2를 참조하면, 우선, 등록 요청 장치(110)는 마스터 키(msk)를 생성한다(210). 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록 요청 장치(110)는 생성된 마스터 키(msk)를 인증 요청 장치(130)로 전달한다(220).
이후, 등록 요청 장치(110)는 등록 대상 개인 정보(X)를 입력받는다(230). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 등록 요청 장치(110)는 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성한다(240). 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))을 이용하여 생성될 수 있다.
이후, 등록 요청 장치(110)는 생성된 인증키(skx)를 인증 서버(150)로 전달하여 인증키(skx)의 등록을 요청한다(250).
이후, 등록 요청 장치(110)는 생성된 마스터 키(msk)를 삭제한다(260).
한편, 도 2에 도시된 절차에서, 210 단계 및 240 단계는 등록 요청 장치(110)의 보안 영역에서 수행될 수 있으며, 210 단계에서 생성된 마스터 키(msk)는 삭제되기 전까지 해당 보안 영역에 저장될 수 있다.
도 3은 본 발명의 일 실시예에 따른 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도이다.
도 3에 도시된 과정은 예를 들어, 도 1에 도시된 인증 요청 장치(130)에 의해 수행될 수 있다.
도 3을 참조하면, 우선, 인증 요청 장치(130)는 등록 요청 장치(110)로부터 마스터 키(msk)를 수신하여 저장한다(310). 이때, 수신된 마스터 키(msk)는 인증 요청 장치(130)의 보안 영역에 저장될 수 있다.
이후, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)를 입력받는다(320). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 인증 요청 장치(130)는 인증 대상 개인 정보(Y)와 마스터 키(msk)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성한다(330). 이때, 암호문(C)는 대칭키 기반 함수 암호의 암호화 알고리즘 알고리즘(즉, Enc(msk, Y))을 이용하여 생성될 수 있다. 또한, 암호문(C)의 생성은 인증 요청 장치(130)의 보안 영역에서 수행될 수 있다.
이후, 인증 요청 장치(130)는 생성된 암호문(C)을 인증 서버(150)로 전달하여 인증 대상 개인 정보(Y)에 대한 인증을 요청한다(340).
이후, 인증 요청 장치(110)는 인증 서버(150)로부터 인증 결과를 수신한다(350).
도 4는 본 발명의 일 실시예에 따른 인증 과정을 나타낸 순서도이다.
도 4에 도시된 과정은 예를 들어, 도 1에 도시된 인증 서버(150)에 의해 수행될 수 있다.
도 4를 참조하면, 우선, 인증 서버(150)는 등록 요청 장치(110)로부터 등록 대상 개인 정보(X)에 대한 인증키(skx)를 수신하여 저장한다(410).
이후, 인증 서버(150)는 인증 요청 장치(130)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)을 수신한다(420).
이후, 인증 서버(150)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 인증 대상 개인 정보(Y)에 대한 인증을 수행한다(430).
이때, 인증 서버(150)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출하고, 산출된 유사도에 기초하여 인증을 수행할 수 있다. 또한, 유사도는 대칭키 기반 함수 암호의 복호화 알고리즘(즉, Dec(skx, C))을 이용하여 산출될 수 있다.
이후, 인증 서버(150)는 인증 대상 개인 정보(Y)에 대한 인증 결과를 인증 요청 장치(130)로 전달한다(440).
한편, 도 2 내지 도 4에 도시된 순서도에서는 각 절차를 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 5는 본 발명의 다른 실시예에 따른 인증 시스템의 구성도이다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 인증 시스템(500)은 등록/인증 요청 장치(510) 및 인증 서버(530)를 포함한다.
도 5에 도시된 인증 시스템(500)에서는 도 1에 도시된 인증 시스템(100)과 달리, 등록 요청 장치(110)과 인증 요청 장치(130)가 분리되지 않고 하나의 장치, 즉, 등록/인증 요청 장치(510)로 구현된다.
구체적으로, 등록/인증 요청 장치(510)는 마스터 키(msk)를 생성할 수 있다. 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)가 입력된 경우, 마스터 키(msk)와 등록 대상 개인 정보(X)를 이용하여 등록 대상 개인 정보(X)에 대한 인증키(skx)를 생성하고, 생성된 인증키(skx)를 인증 서버(530)로 전송하여 인증키(skx)의 등록을 요청할 수 있다. 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))를 이용하여 생성될 수 있다.
한편, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)가 입력된 경우, 마스터 키(msk)와 인증 대상 개인 정보(Y)를 이용하여 개인 정보(Y)에 대한 암호문(C)를 생성할 수 있다. 이때, 암호문(C)은 대칭키 기반 함수 암호의 암호화 알고리즘(즉, Enc(msk, Y))를 이용하여 생성될 수 있다.
한편, 암호문(C)이 생성된 경우, 등록/인증 요청 장치(510)는 생성된 암호문(C)를 인증 서버(530)로 전달하여 인증을 요청할 수 있다.
한편, 마스터 키(msk), 인증키(skx) 및 암호문(C) 생성은 등록/인증 요청 장치(510)의 보안 영역에서 수행될 수 있으며, 생성된 마스터 키(msk)는 해당 보안 영역에 저장 및 관리 될 수 있다.
한편, 인증 서버(530)는 인증키(skx)와 암호문(C)을 동일한 장치(즉, 등록/인증 요청 장치(510))로부터 수신한다는 점을 제외하면, 도 1에 도시된 인증 서버(170)와 동일한 구성이므로, 인증 서버(530)에 대한 중복적인 설명은 생략한다.
도 6은 본 발명의 일 실시예에 따른 등록 대상 개인 정보에 대한 인증키 등록 및 인증 대상 개인 정보에 대한 인증 요청 과정을 나타낸 순서도이다.
도 6에 도시된 과정은 예를 들어, 도 5에 도시된 등록/인증 요청 장치(510)에 의해 수행될 수 있다.
도 6을 참조하면, 우선, 등록/인증 요청 장치(510)는 마스터 키(msk)를 생성한다(610). 이때, 마스터 키(msk)는 대칭키 기반 함수 암호의 초기화 알고리즘(즉, Setup(k))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)를 입력받는다(620). 이때, 등록 대상 개인 정보는 생체 정보일 수 있다.
이후, 등록/인증 요청 장치(510)는 등록 대상 개인 정보(X)와 마스터 키(msk)를 이용하여 인증키(skx)를 생성한다(630). 이때, 인증키(skx)는 대칭키 기반 함수 암호의 인증키 생성 알고리즘(즉, KeyGen(msk, X))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 생성된 인증키(skx)를 인증 서버(530)로 전달하여 인증키(skx)의 등록을 요청한다(640).
이후, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)를 입력받는다(650). 이때, 인증 대상 개인 정보(Y)는 생체 정보일 수 있다.
이후, 등록/인증 요청 장치(510)는 인증 대상 개인 정보(Y)와 마스터 키(msk)를 이용하여 인증 대상 개인 정보(Y)에 대한 암호문(C)을 생성한다(660). 이때, 암호문(C)는 대칭키 기반 함수 암호의 암호화 알고리즘 알고리즘(즉, Enc(msk, Y))을 이용하여 생성될 수 있다.
이후, 등록/인증 요청 장치(510)는 생성된 암호문(C)을 인증 서버(530)로 전달하여 인증을 요청한다(670).
이후, 등록/인증 요청 장치(510)는 인증 서버(530)로부터 인증 결과를 수신한다(680).
한편, 도 6에 도시된 절차에서, 610 단계, 630 단계 및 660 단계는 등록/인증 요청 장치(510)의 보안 영역에서 수행될 수 있으며, 마스터 키(msk)는 해당 보안 영역에 저장될 수 있다.
도 7은 본 발명의 다른 실시예에 따른 인증 과정을 나타낸 순서도이다.
도 7에 도시된 과정은 예를 들어, 도 5에 도시된 인증 서버(530)에 의해 수행될 수 있다.
도 7을 참조하면, 우선, 인증 서버(530)는 등록/인증 요청 장치(510)로부터 등록 대상 개인 정보(X)에 대한 인증키(skx)를 수신하여 저장한다(710).
이후, 인증 서버(530)는 등록/인증 요청 장치(510)로부터 인증 대상 개인 정보(Y)에 대한 암호문(C)을 수신한다(720).
이후, 인증 서버(530)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 인증 대상 개인 정보(Y)에 대한 인증을 수행한다(730).
이때, 인증 서버(530)는 인증키(skx)와 암호문(C)을 암호화된 상태에서 연산하여 등록 대상 개인 정보(X)와 인증 대상 개인 정보(Y) 사이의 유사도를 산출하고, 산출된 유사도에 기초하여 인증을 수행할 수 있다. 또한, 유사도는 대칭키 기반 함수 암호의 복호화 알고리즘(즉, Dec(skx, C))을 이용하여 산출될 수 있다.
이후, 인증 서버(530)는 인증 대상 개인 정보(Y)에 대한 인증 결과를 인증 요청 장치(510)로 전달한다(740).
한편, 도 6 및 도 7에 도시된 순서도에서는 각 절차를 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 8은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 등록 요청 장치(110), 인증 요청 장치(130), 인증 서버(150, 530), 등록/인증 요청 장치(510) 각각에 포함되는 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100, 500: 인증 시스템
110: 등록 요청 장치
130: 인증 요청 장치
150, 530: 인증 서버
510: 등록/인증 요청 장치
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100, 500: 인증 시스템
110: 등록 요청 장치
130: 인증 요청 장치
150, 530: 인증 서버
510: 등록/인증 요청 장치
Claims (24)
- 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에 있어서,
상기 등록 요청 장치는, 마스터 키를 생성하여 상기 인증 요청 장치로 전달하고, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며,
상기 인증 요청 장치는, 상기 인증 요청 장치의 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 생성된 암호문을 상기 인증 서버로 전달하며,
상기 인증 서버는, 상기 등록 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 인증 시스템.
- 청구항 1에 있어서,
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 시스템.
- 청구항 2에 있어서,
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 시스템.
- 청구항 3에 있어서,
상기 등록 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘 및 인증키 생성 알고리즘을 이용하여 상기 마스터 키 및 상기 인증키를 생성하고,
상기 인증 요청 장치는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 시스템.
- 청구항 1에 있어서,
상기 등록 요청 장치는, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 인증 시스템.
- 청구항 1에 있어서,
상기 등록 요청 장치는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성하는 인증 시스템.
- 청구항 1에 있어서,
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 시스템.
- 등록 요청 장치, 인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에서 수행되는 인증 방법에 있어서,
상기 등록 요청 장치에서, 마스터 키를 생성하는 단계;
상기 등록 요청 장치에서, 상기 마스터 키를 상기 인증 요청 장치로 전달하는 단계;
상기 인증 요청 장치에서, 상기 마스터 키를 수신하여 상기 인증 요청 장치의 보안 영역에 저장하는 단계;
상기 등록 요청 장치에서, 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계;
상기 등록 요청 장치에서, 상기 인증키를 상기 인증 서버로 전달하는 단계;
상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계;
상기 인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계;
상기 인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계; 및
상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함하는 인증 방법.
- 청구항 8에 있어서,
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 방법.
- 청구항 9에 있어서,
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 방법.
- 청구항 10에 있어서,
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고,
상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고,
상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 방법.
- 청구항 8에 있어서,
상기 등록 요청 장치에서, 상기 인증키를 생성한 이후, 상기 마스터 키를 삭제하는 단계를 더 포함하는 인증 방법.
- 청구항 8에 있어서,
상기 마스터 키를 생성하는 단계 및 상기 인증 키를 생성하는 단계는, 상기 등록 요청 장치의 보안 영역에서 상기 마스터 키 및 상기 인증키를 생성하는 인증 방법.
- 청구항 8에 있어서,
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 방법.
- 등록/인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에 있어서,
상기 등록/인증 요청 장치는, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하여 상기 보안 영역에 상기 마스터 키를 저장하고, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하고, 상기 인증키를 상기 인증 서버로 전달하며, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하고, 상기 암호문을 상기 인증 서버로 전달하며,
상기 인증 서버는, 상기 등록/인증 요청 장치로부터 상기 인증키를 수신하여 저장하고, 상기 등록/인증 요청 장치로부터 상기 암호문이 수신된 경우, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 인증 시스템.
- 청구항 15에 있어서,
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 시스템.
- 청구항 16에 있어서,
상기 인증 서버는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 시스템.
- 청구항 17에 있어서,
상기 등록/인증 요청 장치는, 함수 암호(functional encryption)의 초기화 알고리즘, 인증키 생성 알고리즘 및 암호화 알고리즘을 이용하여 상기 마스터 키, 상기 인증키 및 상기 암호문를 생성하고,
상기 인증 서버는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 시스템.
- 청구항 15에 있어서,
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 시스템.
- 등록/인증 요청 장치 및 인증 서버를 포함하는 인증 시스템에서 수행되는 인증 방법에 있어서,
상기 등록/인증 요청 장치에서, 상기 등록/인증 요청 장치의 보안 영역에서 마스터 키를 생성하는 단계;
상기 등록/인증 요청 장치에서, 상기 보안 영역에 상기 마스터 키를 저장하는 단계;
상기 등록/인증 요청 장치에서, 상기 보안 영역에서 등록 대상 개인 정보와 상기 마스터 키를 이용하여 상기 등록 대상 개인 정보에 대한 인증키를 생성하는 단계;
상기 등록/인증 요청 장치에서, 상기 인증키를 상기 인증 서버로 전달하는 단계;
상기 인증 서버에서, 상기 인증키를 수신하여 저장하는 단계;
상기 등록/인증 요청 장치에서, 상기 보안 영역에서 인증 대상 개인 정보와 상기 마스터 키를 이용하여 상기 인증 대상 개인 정보에 대한 암호문을 생성하는 단계;
상기 등록/인증 요청 장치에서, 상기 암호문을 상기 인증 서버로 전달하는 단계; 및
상기 인증 서버에서, 상기 인증키 및 상기 암호문을 이용하여 상기 인증 대상 개인 정보에 대한 인증을 수행하는 단계를 포함하는 인증 방법.
- 청구항 20에 있어서,
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 인증을 수행하는 인증 방법.
- 청구항 21에 있어서,
상기 인증을 수행하는 단계는, 상기 인증키 및 상기 암호문을 암호화된 상태에서 연산하여 상기 등록 대상 개인 정보와 상기 인증 대상 개인 정보 사이의 유사도를 산출하고, 상기 유사도에 기초하여 상기 인증을 수행하는 인증 방법.
- 청구항 22에 있어서,
상기 마스터 키를 생성하는 단계는, 함수 암호(functional encryption)의 초기화 알고리즘을 이용하여 상기 마스터 키를 생성하고,
상기 인증키를 생성하는 단계는, 상기 함수 암호의 인증키 생성 알고리즘을 이용하여 상기 인증키를 생성하고,
상기 암호문을 생성하는 단계는, 상기 함수 암호의 암호화 알고리즘을 이용하여 상기 암호문을 생성하며,
상기 인증을 수행하는 단계는, 상기 함수 암호의 복호화 알고리즘을 이용하여 상기 유사도를 산출하는 인증 방법.
- 청구항 20에 있어서,
상기 등록 대상 개인 정보 및 상기 인증 대상 개인 정보는, 생체 정보인 인증 방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170143365A KR20190048422A (ko) | 2017-10-31 | 2017-10-31 | 인증 시스템 및 방법 |
US16/171,986 US11012424B2 (en) | 2017-10-31 | 2018-10-26 | System and method for authentication |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170143365A KR20190048422A (ko) | 2017-10-31 | 2017-10-31 | 인증 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20190048422A true KR20190048422A (ko) | 2019-05-09 |
Family
ID=66546333
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170143365A KR20190048422A (ko) | 2017-10-31 | 2017-10-31 | 인증 시스템 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11012424B2 (ko) |
KR (1) | KR20190048422A (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102161281B1 (ko) * | 2019-09-18 | 2020-09-29 | 박준희 | 의사난수생성을 이용한 사용자 단말 접근 통제 서비스 제공 방법 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102357694B1 (ko) * | 2021-06-29 | 2022-02-08 | 주식회사 아이리시스 | 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101743927B1 (ko) | 2010-09-09 | 2017-06-20 | 삼성전자주식회사 | 확장된 곡선형 가버 필터를 이용한 객체 기술자 생성 방법 및 장치 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4511684B2 (ja) | 2000-05-16 | 2010-07-28 | 日本電気株式会社 | バイオメトリクス本人確認サービス提供システム |
JP5309088B2 (ja) * | 2010-06-21 | 2013-10-09 | 株式会社日立製作所 | 生体認証システムにおける、生体情報の登録方法、テンプレートの利用申請の方法、および、認証方法 |
WO2012042775A1 (ja) * | 2010-09-30 | 2012-04-05 | パナソニック株式会社 | 生体認証システム、通信端末装置、生体認証装置、および生体認証方法 |
JP6167667B2 (ja) * | 2013-05-23 | 2017-07-26 | 富士通株式会社 | 認証システム、認証方法、認証プログラムおよび認証装置 |
KR101622253B1 (ko) | 2014-07-09 | 2016-05-19 | 전남대학교 산학협력단 | 생체정보 또는 생체정보로부터 파생된 정보 또는 사용자 특징 정보를 이용한 안전한 인증 시스템, 그 시스템에서의 인증 제어를 위한 장치 및 방법 |
-
2017
- 2017-10-31 KR KR1020170143365A patent/KR20190048422A/ko active IP Right Grant
-
2018
- 2018-10-26 US US16/171,986 patent/US11012424B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101743927B1 (ko) | 2010-09-09 | 2017-06-20 | 삼성전자주식회사 | 확장된 곡선형 가버 필터를 이용한 객체 기술자 생성 방법 및 장치 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102161281B1 (ko) * | 2019-09-18 | 2020-09-29 | 박준희 | 의사난수생성을 이용한 사용자 단말 접근 통제 서비스 제공 방법 |
Also Published As
Publication number | Publication date |
---|---|
US11012424B2 (en) | 2021-05-18 |
US20190182221A1 (en) | 2019-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10574460B2 (en) | Mechanism for achieving mutual identity verification via one-way application-device channels | |
US10797879B2 (en) | Methods and systems to facilitate authentication of a user | |
US11741461B2 (en) | Method for performing non-repudiation, and payment managing server and user device therefor | |
US8509449B2 (en) | Key protector for a storage volume using multiple keys | |
KR101982237B1 (ko) | 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템 | |
US20170171183A1 (en) | Authentication of access request of a device and protecting confidential information | |
KR102050887B1 (ko) | 사물인터넷 관리를 위한 클라우드 컴퓨팅 환경에서의 데이터 공유 방법 및 시스템 | |
KR20180129475A (ko) | 인증을 수행하기 위한 방법, 사용자 단말 및 인증 서비스 서버 | |
KR101714742B1 (ko) | 원격제어를 위한 인증 방법 및 서버 | |
KR20120072032A (ko) | 모바일 단말의 상호인증 시스템 및 상호인증 방법 | |
JP2022093492A (ja) | データ抽出システム、データ抽出方法、登録装置及びプログラム | |
KR20190048422A (ko) | 인증 시스템 및 방법 | |
KR102625879B1 (ko) | 생체 정보를 이용한 키를 발생하는 암호 시스템의 방법 | |
KR20200067987A (ko) | 로그인 제어 방법 | |
JP6501701B2 (ja) | システム、端末装置、制御方法、およびプログラム | |
WO2018100740A1 (ja) | 暗号文照合システム及び暗号文照合方法 | |
US9386017B2 (en) | Authentication device, system and method | |
CN113282945B (zh) | 智能锁权限管理方法、装置、电子设备及存储介质 | |
JP6701011B2 (ja) | 端末登録方法、及び端末登録システム | |
CN111953480B (zh) | 密钥生成装置以及方法、运算密钥生成装置以及方法 | |
KR20150096979A (ko) | 홈 네트워크 접근 제어 장치 및 방법 | |
JP2008048166A (ja) | 認証システム | |
KR102561689B1 (ko) | 생체 정보 등록 장치 및 방법, 생체 인증 장치 및 방법 | |
KR101701226B1 (ko) | 향상된 퍼지 속성기반 인증 기술 | |
US10491385B2 (en) | Information processing system, information processing method, and recording medium for improving security of encrypted communications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |