KR20200145334A - 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법 - Google Patents

물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법 Download PDF

Info

Publication number
KR20200145334A
KR20200145334A KR1020190074200A KR20190074200A KR20200145334A KR 20200145334 A KR20200145334 A KR 20200145334A KR 1020190074200 A KR1020190074200 A KR 1020190074200A KR 20190074200 A KR20190074200 A KR 20190074200A KR 20200145334 A KR20200145334 A KR 20200145334A
Authority
KR
South Korea
Prior art keywords
authentication
user
information
server
identification
Prior art date
Application number
KR1020190074200A
Other languages
English (en)
Other versions
KR102257293B1 (ko
Inventor
김유진
Original Assignee
주식회사 에어큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에어큐브 filed Critical 주식회사 에어큐브
Priority to KR1020190074200A priority Critical patent/KR102257293B1/ko
Publication of KR20200145334A publication Critical patent/KR20200145334A/ko
Application granted granted Critical
Publication of KR102257293B1 publication Critical patent/KR102257293B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/25Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder using biometric data, e.g. fingerprints, iris scans or voice recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 생체정보를 이용하여 사용자 인증을 수행하는 통합 보안 제어방법 및 시스템에 관한 것이다. 본 발명의 생체정보 기반 사용자 인증을 수행하는 신분 증명 시스템은, 출입 제어장치로부터 사용자 인증 요청 신호를 수신하면 사용자의 생체정보를 획득하고, 획득한 생체정보를 기초로 인증데이터를 생성하여 상기 인증데이터를 상기 출입 제어장치로 전송하는 신분 증명장치, 신분 증명장치로 사용자 인증 요청 신호를 전송하고, 신분 증명장치로부터 상기 인증 데이터를 수신하면 상기 인증데이터를 인증서버로 전송하고, 인증서버로부터 수신하는 인증 결과 정보에 따라 출입문을 제어하는 출입 제어장치, 생체정보를 기초로 사용자 인증을 수행하고, 인증 결과 정보를 출입 제어장치 및 서비스 서버로 전송하는 인증 서버 및 인증 서버로부터 수신한 인증 결과 정보에 응답하여 사용자에 대한 서비스 제공 여부를 결정하는 서비스 서버를 포함한다.

Description

물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법{Biometric information based security system using physical security and logical security and the operation method thereof}
본 발명은 생체정보를 이용하여 사용자 인증을 수행하는 통합 보안 제어방법 및 시스템에 관한 것이다.
사용자의 접근을 통제하여 출입이 허가된 물리적 공간 및 논리적 영역에서 작업 권한에 따라 사용자의 행위를 통제하는 것은 보안의 핵심적인 영역이다. 특히, ICT환경에 있어서 주요 정보자산에 대한 보호 및 안전한 관리라는 관점에서, 물리적인 영역의 통제 및 이와 연계된 IT 영역의 통제 체계의 중요성이 커지고 있다.
물리적 접근 통제영역은 가정, 건물, 연구소, 공장, 사무실, 및 보안구역 등 접근자의 통제가 요구되는 특정 장소에 인명, 재산, 정보 등을 안전하게 보호하는 출입통제 시스템이다. 일반적으로, 출입통제 시스템은 건물이나 건물 내 사무실 등의 접근자의 통제가 요구되는 곳에 설치된다. 종래의 출입통제 시스템에서 도어 개폐를 제어하는 출입 통제는 출입 관리인, 출입 카드 판독, 지문이나 홍채 등의 생체 인식을 통해 이루어지고 있다.
논리적 접근 통제영역은 서비스를 제공함에 있어서, ID, 패스워드 등의 지식기반 인증, 사용자만이 소지하고 있는 OTP 번호 발생기 등의 소지기반 인증 및 지문, 홍채, 음성, 안면인식 등 사용자의 생물학적 정보를 통한 생체기반 인증 방식이 있다.
지금까지의 접근 권한 보안 영역은 출입통제 시스템으로 관리되는 물리적 접근 통제영역과 접근 인증 시스템을 통해 관리되는 논리적 접근 통제영역으로 나누어져 별도의 보안영역으로 분리 운영되어 있었다.
그러나, IoT, O2O등 새로운 ICT환경의 도래는 물리적인 접근 통제라는 영역과 논리적 접근통제라는 보안 영역의 융합을 통해 주요 정보 자산의 보호 및 안전한 관리라는 보안의 필요성이 새롭게 대두되고 있다.
본 발명은 상술한 필요성에 따른 것으로, 종래의 논리적 보안 영역에서 사용하는 사용자 신분증명 수단인 생체인증 기반의 OTP 발생장치를 사용하여 물리적 보안 영역에도 적용할 수 있는 통합 보안 제어방법 및 시스템을 제공하는 것을 목적으로 한다.
그러나 이러한 과제는 예시적인 것으로, 이에 의해 본 발명의 범위가 한정되는 것은 아니다.
본 발명의 일 실시 예에 따른 생체정보 기반 사용자 인증을 수행하는 통합 보안 시스템에 있어서, 출입 제어장치로부터 사용자 인증 요청 신호를 수신하면 사용자의 생체정보를 획득하고, 상기 획득한 생체정보를 기초로 인증데이터를 생성하여 상기 인증데이터를 상기 출입 제어장치로 전송하는 신분 증명장치; 상기 신분 증명장치로 상기 사용자 인증 요청 신호를 전송하고, 상기 신분 증명장치로부터 상기 인증 데이터를 수신하면 상기 인증 데이터를 인증서버로 전송하고, 상기 인증서버로부터 수신하는 인증 결과 정보에 따라 출입문을 제어하는 출입 제어장치; 상기인증 데이터를 기초로 상기 사용자 인증을 수행하고, 상기 인증 결과 정보를 상기 출입 제어장치 및 서비스 서버로 전송하는 인증 서버; 및 상기 인증 서버로부터 수신한 상기 인증 결과 정보에 응답하여 상기 사용자에 대한 서비스 제공 여부를 결정하는 서비스 서버; 를 포함할 수 있다.
또한, 상기 신분증명장치는 상기 획득한 생체정보가 기등록된 사용자 생체정보와 일치하는지 여부를 판단하고, 상기 판단 결과 일치하는 것으로 판단하면, 상기 획득한 생체정보를 상기 출입 제어장치로 전송할 수 있다.
또한, 상기 인증서버는 상기 인증 결과 정보를 상기 신분 증명장치로 전송하고, 상기 신분 증명장치는, 상기 출입 제어장치로 상기 신분 증명장치의 식별 정보를 전송하기 위한 근거리 통신부;를 더 포함하고, 상기 근거리 통신부는 상기 인증 결과 정보를 기초로 상기 사용자의 신분이 인증된 것으로 확인되면, 상기 근거리 통신부가 온(on) 될 수 있다.
또한, 상기 출입 제어장치는 상기 신분 증명장치로부터 상기 식별 정보를 수신하고, 상기 인증 결과 정보 및 상기 식별 정보를 기초로 상기 출입문을 제어할 수 있다.
또한, 상기 신분 증명장치는 상기 서비스 서버로부터 사용자 인증 요청 신호를 수신하면 상기 사용자의 생체정보를 획득하고, 상기 서비스 서버는 상기 출입문의 내부에서 이용하는 서비스를 제공할 수 있다.
또한, 상기 출입문 제어장치는 상기 사용자의 상기 출입문을 통한 출입 여부에 대한 출입 정보를 획득하고, 상기 출입 정보를 상기 서비스 서버로 전송하고, 상기 서비스 서버는 상기 출입 정보 및 상기 인증 결과 정보를 기초로 서비스 제공 여부를 결정할 수 있다.
또한, 상기 서비스 서버는 상기 인증 결과 정보를 통해 상기 사용자가 인증되고, 상기 출입 정보를 수신하면 자동으로 상기 서비스의 로그인을 수행할 수 있다.
또한, 상기 출입 제어장치는 상기 사용자가 기설정된 거리 내에 접근하면 상기 사용자 인증 요청 신호를 상기 신분 증명장치로 전송할 수 있다.
전술한 것 외의 다른 측면, 특징, 이점은 이하의 발명을 실시하기 위한 구체적인 내용, 청구범위 및 도면으로부터 명확해질 것이다.
상기한 바와 같이 이루어진 본 발명의 일 실시예에 따르면, 사용자의 생체정보를 기반으로 동작하는 신분 증명장치를 사용함으로써 분실에 따른 보안위협 제거 및 인증 보안 강화가 가능할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 하나의 신분 증명장치를 사용하여 물리적 접근 통제와 논리적 접근 통제에 신분증명을 제시하기 때문에 관리 및 사용의 편리성 강화가 가능할 수 있다.
또한. 기존의 물리 보안 및 논리 보안의 접근 통제 환경이 연동되어 처리되므로 사용자 개입 최소화 및 사용환경 변화에 따른 저항을 최소화할 수 있다.
물론 이러한 효과에 의해 본 발명의 범위가 한정되는 것은 아니다.
도 1a 및 도 1b는 본 발명의 일 실시예에 따른 통합 보안 시스템을 설명하기 위한 블록도이다.
도 1a는 본 발명의 일 실시예에 따른 신분 증명장치를 통해 사용자 생체정보를 등록하는 방법 및 논리적 접근 통제 영역에서 사용자를 인증하는 방법을 설명하기 위한 블록도이다.
도 1b는 본 발명의 일 실시예에 따른 신분 증명장치를 통한 통합 보안 시스템을 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 신분 증명장치의 구성요소를 설명하기 위한 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 등록데이터 및 인증데이터를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 논리적 보안 영역에서 신분 증명장치를 증명장치 등록서버에 등록하는 과정을 설명하기 위한 시퀀스도이다.
도 5는 본 발명의 일 실시 예에 따른 생체기반 일회성 키를 이용하여 사용자의 신분을 인증하기 위한 논리적 보안 영역 시스템을 설명하기 위한 시퀀스도이다.
도 6은 본 발명의 일 실시예에 따른 생체기반 일회성 키를 이용하여 사용자의 신분을 인증하기 위한 논리적 보안 영역 및 물리적 보안 영역을 통합한 보안 방법을 설명하기 위한 시퀀스도이다.
도 7a 내지 도 7e는 본 발명의 일 실시 예에 따른 OTP 생성장치 또는 신분 증명장치를 유저 포탈(user portal) 또는 증명장치 등록서버에 등록하는 유저 인터페이스를 도시한 도면이다.
도 8a 내지 8d는 본 발명의 일 실시 예에 따른 OTP 생성장치 또는 신분 증명장치를 통해 사용자 신분을 인증하는 유저 인터페이스를 도시한 도면이다.
이하, 본 개시의 다양한 실시예가 첨부된 도면과 연관되어 기재된다. 본 개시의 다양한 실시예는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들이 도면에 예시되고 관련된 상세한 설명이 기재되어 있다. 그러나 이는 본 개시의 다양한 실시예를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 개시의 다양한 실시예의 사상 및 기술 범위에 포함되는 모든 변경 및/또는 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용되었다.
본 개시의 다양한 실시예에서 사용될 수 있는 "포함한다." 또는 "포함할 수 있다." 등의 표현은 개시(disclosure)된 해당 기능, 동작 또는 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작 또는 구성요소 등을 제한하지 않는다. 또한, 본 개시의 다양한 실시예에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 개시의 다양한 실시예에서 "또는" 등의 표현은 함께 나열된 단어들의 어떠한, 그리고 모든 조합을 포함한다. 예를 들어, "A 또는 B"는, A를 포함할 수도, B를 포함할 수도, 또는 A 와 B 모두를 포함할 수도 있다.
본 개시의 다양한 실시예에서 사용된 "제1", "제2", "첫째", 또는 "둘째" 등의 표현들은 다양한 실시예들의 다양한 구성요소들을 수식할 수 있지만, 해당 구성요소들을 한정하지 않는다. 예를 들어, 상기 표현들은 해당 구성요소들의 순서 및/또는 중요도 등을 한정하지 않는다. 상기 표현들은 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 수 있다. 예를 들어, 제1 사용자 기기와 제2 사용자 기기는 모두 사용자 기기이며, 서로 다른 사용자 기기를 나타낸다. 예를 들어, 본 개시의 다양한 실시예의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 새로운 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 새로운 다른 구성요소가 존재하지 않는 것으로 이해될 수 있어야 할 것이다.
본 개시의 실시 예에서 "모듈", "유닛", "부(part)" 등과 같은 용어는 적어도 하나의 기능이나 동작을 수행하는 구성요소를 지칭하기 위한 용어이며, 이러한 구성요소는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, 복수의 "모듈", "유닛", "부(part)" 등은 각각이 개별적인 특정한 하드웨어로 구현될 필요가 있는 경우를 제외하고는, 적어도 하나의 모듈이나 칩으로 일체화되어 적어도 하나의 프로세서로 구현될 수 있다.
본 개시의 다양한 실시예에서 사용한 용어는 단지 특정일 실시예를 설명하기 위해 사용된 것으로, 본 개시의 다양한 실시예를 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 개시의 다양한 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 개시의 다양한 실시예에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서, 첨부된 도면을 이용하여 본 발명의 다양한 실시 예들에 대하여 구체적으로 설명한다.
도 1a 및 도 1b는 본 발명의 일 실시예에 따른 통합 보안 시스템을 설명하기 위한 블록도이다.
특히 도 1a는 본 발명의 일 실시예에 따른 신분 증명장치를 통해 사용자 생체정보를 등록하는 방법 및 논리적 접근 통제 영역에서 사용자를 인증하는 방법을 설명하기 위한 블록도이다.
도 1a를 참조하면, 본 발명의 인증 시스템은 신분 증명장치(100), 사용자 단말기(200), 증명장치 등록서버(300) 또는 사용자 포탈(User portal), 서비스 서버(400) 및 인증서버(500)를 포함할 수 있다.
신분 증명장치(100) 또는 OTP 생성장치(이하, 설명의 편의상 신분 증명장치)는 사용자의 신분을 증명하기 위해 일회성 키(key)를 생성하고, 인증데이터를 전송하기 위한 전자장치이다. 이때, 신분 증명장치(100)는 사용자가 소지하고 다닐 수 있는 장치로 보안카드와 같이 휴대성이 높은 장치일 수 있다. 본 발명의 일 실시예에 따른 신분 증명장치(100)는 휴대성을 높이기 위하여 사용자의 지문정보를 인식하는 지문인식부(미도시), 지문정보를 외부로 송신하는 통신부(미도시)만을 포함할 수 있다.
본 발명의 일 실시예에 따르면, 신분 증명장치(100)는 사용자 개인이 지문과 같은 생체정보를 통한 인증을 위한 사용자 단말(200)과 연결되는 물리적 인터페이스를 포함할 수 있다. 신분 증명장치(100)는 사용자의 지문정보를 인식하는 기능, 인식된 지문정보를 등록하는 기능, 등록된 지문정보와 새롭게 감지된 지문정보의 일치성을 검증하는 기능, 및 지문이 확인된 사용자의 신분 인증을 위한 일회성 키(Key)를 발급하는 기능을 수행할 수 있다. 신분 증명장치(100)는 상술한 기능을 수행하기 위한 각각의 모듈을 포함하고 있을 수 있고, 상기 모듈들은 전기적으로 연결되어 있을 수 있다.
사용자 단말기(200)는 사용자가 서비스 서버(400)로부터 서비스를 제공 받기 위한 전자장치이다. 사용자 단말기(200)는 스마트폰으로 구현될 수 있으나, 이에 한정하지 않으며, 웹사이트(400)로부터 서비스를 제공 받기 위한 통신 수단을 포함하는 TV, 컴퓨터 등을 포함하는 다양한 사용자 인터페이스일 수 있다.
사용자 단말기(200)는 신분 증명장치(100)와 물리적으로 연결될 수 있으며, 증명장치 등록서버(300), 서비스 서버(400) 및 인증서버(500)와 신분 증명장치(100) 사이의 데이터 송수신 역할을 수행할 수 있다.
한편, 도 1a에서는 신분 증명장치(100)와 사용자 단말기(200)가 별도의 구성으로 구현된 것을 도시하였으나, 이에 한정하지 않고 하나의 장치로 구현될 수 있다. 사용자 단말기(200)는 신분 증명장치(100)의 휴대성을 높이기 위해 기능을 대신 수행하기 위한 장치이며, 본 발명의 일 실시예에 따르면 신분 증명장치(100)는 사용자 단말기(200)가 수행하는 모든 프로세스를 하나의 구성에서 수행할 수 있다.
즉, 신분 증명장치(100)는 사용자 단말기(200) 없이도 증명 장치 등록 서버(300), 서비스 서버(400) 및 인증서버(500)와 통신을 수행할 수 있다. 이하에서는 신분 증명장치(100)와 사용자 단말기(200)가 수행하는 프로세스를 혼용하여 설명하기로 한다.
사용자 포탈(User portal) 또는 증명장치 등록서버(300)(이하 설명의 편의를 위해 증명장치 등록서버)는 신뢰할 수 있는 등록 절차를 통해 사용자를 확인하고, 해당 사용자가 소지한 개인 신분 증명장치(100)를 등록 및 관리하는 환경을 제공할 수 있다.
증명장치 등록서버(300)는 신분 증명장치(100) 또는 사용자 단말기(200)로부터 사용자의 로그인 요청을 수신하면, 신분 증명장치(100) 또는 사용자 단말기(200)로 등록을 위한 등록데이터를 요청할 수 있다. 사용자 단말기(200)로부터 신분 증명장치(100)에서 생성된 등록데이터를 수신하면, 증명장치 등록서버(300)는 해당 등록데이터를 신분 증명장치(100)와 대응시켜 결합하여 등록할 수 있다. 본 발명의 일 실시 예에 따르면, 증명장치 등록서버(300)는 등록데이터를 인증서버(500)로 전송함으로써 신분 증명장치(100)의 등록을 완료할 수 있다.
서비스 서버(400)는 사용자에게 특정한 서비스를 제공할 수 있다. 서비스 서버(400)는 서비스 요청을 수신하면, 개인의 권한 정책에 따른 인증을 신분 증명장치(100) 또는 사용자 단말기(200)로 요청할 수 있다.
서비스 서버(400)는 사용자 신분 인증을 통한 로그인을 요구하는 다양한 유형의 웹사이트 등을 포함하는 서버일 수 있다. 본 발명의 일 실시예에 따르면 서비스 서버(400)는 사용자의 사무실과 같이 출입문 내부에서 사용되는 시스템에 관련된 서비스를 제공할 수 있다.
인증서버(500)는 사용자가 서비스 서버(400)를 통한 로그인 서비스 환경에 접속하여 제시하는 개인 신분증명 장치(100)에서 생성된 일회용 키(key)를 포함하는 인증데이터를 검증하여 사용자 인증을 수행할 수 있다. 인증서버(500)는 사용자가 인증을 위해 실질적으로 접속하는 인증 포털을 포함한 구성일 수 있다.
인증서버(500)는 신분 증명장치(100) 또는 사용자 단말기(200)로부터 수신한 일회용 키를 포함하는 인증데이터와 증명장치 등록서버(300)를 통해 등록된 등록 정보와의 일치 여부를 판단할 수 있다. 구체적으로, 인증서버(500)는 인증데이터에 포함된 일회용 키 값이 신분 증명장치에서 생성되어 등록데이터에 포함된 일회용 키 값과 일치하는지 판단할 수 있다. 판단 결과 일치하는 경우, 인증서버(500)는 서비스 권한 토큰(Token)을 생성하여 사용자 단말기(200)로 전송할 수 있고, 전송한 토큰과 서비스 서버(400)로부터 수신한 토큰의 유효성을 확인함으로써, 사용자 인증을 수행할 수 있다. 서비스 서버(400)는 사용자의 신분 인증이 시도되면, 사용자 단말기(200)로 인증 결과(가/부)를 전송할 수 있다.
한편, 도 1a에서는 증명장치 등록서버(300)와 인증서버(500)가 별도의 서버로 구현된 것을 도시하였으나, 이에 한정하지 않고 하나의 인증서버로 구현될 수 있다.
도 1b는 본 발명의 일 실시예에 따른 신분 증명장치를 통한 통합 보안 시스템을 설명하기 위한 블록도이다.
도 1b를 참조하면, 본 발명의 인증 시스템은 신분 증명장치(100), 출입 제어장치(250), 서비스 서버(400) 및 인증서버(500)를 포함할 수 있다.
신분 증명장치(100), 서비스 서버(400) 및 인증서버(500)와 관련하여 중복되는 설명은 생략하기로 한다.
출입 제어장치(250)는 물리적 보안 영역에 해당하는 보안 수단으로, 디지털 도어락 등을 제어하기 위한 장치이다. 이는 일 실시예에 불과하고, 출입 제어장치(250)는 모든 유형의 출입문 개폐를 제어하기 위한 장치일 수 있다.
본 발명의 일 실시예에 따르면, 신분 증명장치(100), 출입 제어장치(250), 서비스 서버(400) 및 인증 서버(500) 중 적어도 하나는 네트워크를 통해 연결될 수 있다. 예를 들어, 신분 증명장치(100)는 네트워크를 통하여 서비스 서버(400) 및 인증 서버(500)와 연결될 수 있다. 본 발명의 또 다른 실시예에 따르면, 신분 증명 장치(100)는 네트워크를 통하여 서비스 서버(400) 및 인증 서버(500)와 직접 연결될 수 있다. 이때, 네트워크는 다양한 장치 및 서버와 같은 각각의 노드 상호 간에 정보 교환이 가능한 무선 통신 또는 유선 통신을 의미하는 것으로, 예를 들면, 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), 3G, 4G, 또는 LTE 등을 포함할 수 있다.
신분 증명장치(100)는 네트워크를 경유하지 않고, 근거리 통신부(미도시)를 통해 출입 제어장치(250)와 연결될 수 있다. 신분 증명장치(100)는 신분 증명장치(100) 자체에 포함된 장치 식별 값을 출입 제어장치(250)로 전송할 수 있다.
한편, 근거리 통신부는 예를 들면, WiFi(wireless fidelity), LiFi(light fidelity), 블루투스, 블루투스 저전력(BLE), 지그비(Zigbee), NFC(near field communication), 자력 시큐어 트랜스미션(Magnetic Secure Transmission), 라디오 프리퀀시(RF), 또는 보디 에어리어 네트워크(BAN) 등을 수행하기 위한 칩일 수 있다.
본 발명의 일 실시예에 따르면, 신분 증명장치(100) 및 출입 제어장치(250)에 포함된 근거리 통신부는 사용자의 신분이 인증되는 경우 비로소 온(on) 되어 연결될 수 있다.
본 발명의 또 다른 실시예에 따르면, 출입 제어장치(250)는 사용자가 기설정된 거리 내에 접근하면 사용자 인증 요청 신호를 신분 증명장치(100)로 전송할 수 있다. 출입 제어장치(250)는 출입 제어장치(250) 내에 포함된 근접센서(미도시)를 통해 사용자가 기설정된 거리 내에 접근했는지 감지할 수 있다.
이때 근접센서는 출입 제어장치(250)로부터 기설정된 거리, 예를 들면 30cm ~ 40cm 내외의 근접한 거리 내에 사용자가 존재하는 것을 감지할 수 있다. 구체적으로, 근접센서는 사용자와 출입 제어장치(250)의 물리적인 접촉이 없어도 전자계의 힘을 이용하여 사용자의 존재를 감지할 수 있다. 근접센서는 검출 원리에 따라 고주파 발진형, 정전 용량형, 자기형, 광전형, 초음파형 등의 다양한 형태로 구현될 수 있다.
한편, 도 1b의 블록도를 기초로 본 발명의 사용자 인증 절차를 설명하면 다음과 같다. 사용자는 소지기반의 신분 증명장치(100)에 자신의 지문정보를 등록할 수 있다. 이를 위해 지문인식 모듈(110)에 자신의 지문을 접촉시킬 수 있다. 상술한 바와 같이, 사용자 지문 정보의 인식과정이 시작되면 정상적인 동작상태를 확인할 수 있도록 인터페이스 모듈(미도시)을 통해 상태정보를 표시(예, 붉은색: 미등록/에러, 초록색점멸: 등록중, 초록색점등: 등록완료)할 수 있다. 본 발명의 일 실시 예에 따르면, 신분 증명장치(100)와 연동된 사용자 단말기(200)를 통해 지문정보 등록 상태가 표시될 수 있다.
본 발명의 일 실시예에 따르면, 출입 제어장치(250)는 지문인식 모듈(미도시)을 포함할 수 있고, 사용자는 자신의 지문정보를 등록할 수 있다. 이를 위해 사용자는 지문인식 모듈(미도시)에 자신의 지문을 접촉시킬 수 있다
이하에서는 신분 증명장치(100) 및 출입 제어장치(250)에 사용자의 지문정보가 등록된 것을 가정하여 설명하도록 한다. 사용자가 인증 서버(500)의 인증 정책에 따라 강화된 인증수단의 등록이 완료되지 않은 사용자인 경우, 사용자 단말기(200)를 통해 신분 증명장치(100) 및 출입 제어장치(250)로 등록 작업을 요청할 수 있다. 이를 위해 사용자는 자신의 지문 등과 같은 생체정보를 신분 증명장치(100) 및 출입 제어장치(250)에 제공할 수 있다. 등록된 지문과 일치할 경우, 신분 증명장치(100) 및 출입 제어장치(250)는 일회성 키(key)를 생성할 수 있고, 일회성 키 값을 이용해 획득한 인증데이터를 인증서버(500)로 전달할 수 있다. 이때, 일 실시예에 따르면 신분 증명장치(100)는 사용자 단말기(200)를 통해 최종 생성된 인증데이터를 인증서버(500)에 전송할 수 있다. 인증서버(500)에 포함된 인증서버는 해당 데이터를 검증하여 일치하면 사용자 정보에 해당 지문정보와 신분 증명장치(100)를 등록할 수 있다.
이하에서는 인증 서버(500)에 신분 증명장치(100) 및 출입 제어장치(250)가 등록된 것을 가정하여 설명하도록 한다. 사용자가 출입 제어장치(250)로 출입하고자 할 때, 출입 제어장치(250)는 인증 정책에 따라 강화된 인증수단(예를 들면, 지문과 같은 생체정보 기반 OTP)을 통한 인증 수행을 요청할 수 있다.
인증요청을 받은 신분 증명장치(100)는 사용자로부터 획득한 지문을 지문정보가 등록된 지문과 일치하는지 검증할 수 있다. 본 발명의 일 실시 예에 따르면, 인터페이스 모듈 또는 LED의 점멸 및 점등을 통해 지문 일치 여부를 표시할 수 있다.
신분 증명장치(100)는 인식된 지문정보가 기저장된 지문정보와 일치할 경우 일회성 키를 생성할 수 있고, 일회성 키 값을 이용하여 인증데이터를 생성하여, 인증 서버(500)로 전달할 수 있다. 이때 일 실시예에 따르면 신분 증명장치(100)는 사용자 단말기(200)를 통해 최종 생성된 인증데이터를 인증서버(500)에 전송할 수 있다.
인증 서버(500)는 수신한 인증데이터를 검증하여 일치할 경우, 인증 결과 정보를 출입 제어장치(250)로 전송할 수 있다. 출입 제어장치(250)는 인증 결과 정보를 통해 사용자의 인증이 완료되었음을 확인하면, 출입문의 차단을 해제할 수 있다.
본 발명의 또 다른 실시예에 따르면, 신분 증명장치(100)는 획득 또는 인식된 지문정보가 기저장된 지문정보와 일치할 경우, 상기 획득된 지문정보를 포함하는 신호를 출입 제어장치(250)로 전송할 수 있다.
이때, 상기 지문 정보를 포함하는 신호를 수신한 출입 제어장치(250)는 수신한 지문 정보를 기초로 일회성 키를 생성할 수 있고, 일회성 키 값을 이용하여 인증데이터를 생성하여, 인증 서버(500)로 전달할 수 있다.
이 경우에도 인증 서버(500)는 수신한 인증데이터를 검증하여 일치할 경우, 인증 결과 정보를 출입 제어장치(250)로 전송할 수 있다. 출입 제어장치(250)는 인증 결과 정보를 통해 사용자의 인증이 완료되었음을 확인하면, 출입문의 차단을 해제할 수 있다.
본 발명의 일 실시예에 따르면 출입 제어장치(250)는 상기 획득한 생체정보가 기등록된 사용자 생체정보와 일치하는지 여부를 판단하고, 상기 판단 결과, 일치하는 것으로 판단한 경우 상기 획득한 생체정보 및/또는 인증데이터를 인증 서버(500)로 전송할 수 있다.
본 발명의 또 다른 실시예에 따르면, 신분 증명장치(100)는 인식된 지문정보가 기저장된 지문정보와 일치할 경우 일회성 키를 생성할 수 있고, 일회성 키 값을 이용하여 인증데이터를 출입 제어장치(250)로 전송할 수 있다.
출입 제어장치(250)는 출입 제어 장치는 인증데이터를 인증 서버(500)로 전달할 수 있고, 인증 서버(500)로부터 인증 결과 정보를 통해 사용자의 인증이 완료되었음을 확인하면, 출입문의 차단을 해제할 수 있다.
본 발명의 일 실시예에 따르면, 인증 서버(500)는 상기 인증 결과 정보를 출입 제어장치(250) 외에도 서비스 서버(400)로 전송할 수 있다. 서비스 서버(400)는 인증 결과 정보에 응답하여 사용자에 대한 서비스 제공 여부를 결정할 수 있다. 즉, 인증 결과 정보를 통해 사용자의 인증이 완료되었음을 확인하면, 서비스를 제공하도록 판단할 수 있다.
본 발명의 일 실시예에 따른 출입 제어장치(250)는 사용자의 출입 여부에 대한 출입 정보를 서비스 서버(400)로 전송할 수 있다. 이때, 서비스 서버(400)는 인증 요청한 사용자의 출입 정보를 기초로 사용자에 대한 서비스 제공 여부를 결정할 수 있다. 즉, 출입 정보를 통해 사용자가 내부로 입장한 것으로 확인하면, 서비스 서버(400)는 서비스를 제공할 수 있다. 이때 서비스는 출입문의 내부, 예를 들면 사무실에서 이용하는 사무와 관련된 서비스일 수 있다. 이때 출입 정보는 센서(미도시)를 통해 감지된 것일 수 있다. 이때 센서는 열 센서, 적외선 센서, 카메라 등 사용자의 움직을 감지하기 위한 다양한 장치일 수 있다.
구체적으로, 서비스 서버(400)는 사용자가 사무실 내에 입장한 경우에만 서비스를 제공할 수 있다. 서비스 서버(400)는 인증 결과 정보를 통해 사용자가 인증되고, 출입 정보를 통해 사용자가 내부로 출입한 것을 확인하면, 자동으로 서비스의 로그인을 수행할 수 있다.
본 발명의 일 실시예에 따르면, 서비스 서버(400)는 인증서버(500)로부터 사용자의 신분이 인증이 된 경우에도, 사용자가 사무실에 입장한 것이 확인되지 않는 경우 서비스를 제공하지 않을 수 있다.
도 2는 본 발명의 일 실시예에 따른 신분 증명장치의 구성요소를 설명하기 위한 블록도이다.
도 2를 참조하면, 신분 증명장치(100)는 지문인식 모듈(110), 지문검증 모듈(120), OTP(One-Time Password) 생성 모듈(130) 및 인증 모듈(140)을 포함할 수 있다.
지문인식 모듈(110)은 사용자의 지문을 인식하기 위한 모듈이다. 지문인식 모듈(110)은 사용자의 지문을 스캔하기 위한 지문 스캐너(fingerprint scanner)를 포함할 수 있다.
지문검증 모듈(120)은 신분 증명장치(100)에 기저장된 지문 정보 중 지문인식 모듈(110)을 통해 인식된 지문 정보와 일치하는 지문 정보가 있는지 여부를 검증할 수 있다. 한편, 지문인식 모듈(110)에 스캔된 지문이 기저장된 지문 정보가 아닌 경우, 새롭게 스캔된 지문정보는 메모리(미도시)에 저장될 수 있다.
OTP(One-Time Password) 생성 모듈(130)은 지문검증 모듈(120)에서 검증 결과, 인식된 지문정보와 기저장된 지문정보가 일치하는 것으로 검증되는 경우, 일회성 키를 생성할 수 있다. 이때, 일회성 키는 신분 증명장치(100)에 포함된 마스터 키를 이용하여 생성된 것일 수 있다.
인증 모듈(140)은 OTP 생성 모듈(130)에서 생성된 일회성 키를 바탕으로 인증데이터를 생성할 수 있다.
또한, 도 2에서는 도시하지 않았으나, 신분 증명장치(100)는 복수의 사용자에 대한 지문 정보를 저장하기 위한 메모리(미도시) 및 프로세서(미도시)를 포함할 수 있다. 메모리는 프로세서의 처리 또는 제어를 위한 프로그램 등 신분 증명장치(100) 전반의 동작을 위한 다양한 데이터를 저장할 수 있다. 메모리는 신분 증명장치 (100)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 신분 증명장치(100)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다. 또한, 이러한 응용 프로그램 중 적어도 일부는, 신분 증명장치(100)의 기본적인 기능을 위하여 출고 당시부터 신분 증명장치(100) 상에 존재할 수 있다.
메모리는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD) 등으로 구현될 수 있다. 메모리는 프로세서(미도시)에 의해 액세스 되며, 프로세서에 의한 데이터의 독취/기록/수정/삭제/갱신 등이 수행될 수 있다. 본 개시에서 메모리라는 용어는 메모리, 프로세서 내 ROM, RAM 또는 신분 증명장치(100)에 장착되는 메모리 카드(미도시)(예를 들어, micro SD 카드, 메모리 스틱)를 포함할 수 있다.
도 2에서는 지문 인식 모듈(110), 지문 검증 모듈(120), OTP 생성 모듈(130) 및 인증 모듈(140)이 각각 별도의 구성으로 구현된 것을 도시하였으나, 지문 검증 모듈(120), OTP 생성 모듈(130) 및 인증 모듈(140)은 하나의 구성으로 구현된 것일 수 있다. 예를 들면, 지문 검증 모듈(120), OTP 생성 모듈(130) 및 인증 모듈(140)은 신분 증명장치(100) 내의 프로세서에 구현된 것일 수 있다.
이때, 프로세서는 신분 증명장치(100)를 전반적으로 제어하기 위한 구성이다. 구체적으로, 프로세서는 신분 증명장치(100)의 메모리에 저장된 각종 프로그램을 이용하여 신분 증명장치(100)의 전반적인 동작을 제어한다. 예를 들어, 프로세서는 CPU, 램(RAM), 롬(ROM), 시스템 버스를 포함할 수 있다. 여기서, 롬은 시스템 부팅을 위한 명령어 세트가 저장되는 구성이고, CPU는 롬에 저장된 명령어에 따라 신분 증명장치(100)의 메모리에 저장된 운영체제를 램에 복사하고, O/S를 실행시켜 시스템을 부팅시킨다. 부팅이 완료되면, CPU는 메모리에 저장된 각종 애플리케이션을 램에 복사하고, 실행시켜 각종 동작을 수행할 수 있다. 이상에서는 프로세서가 하나의 CPU만을 포함하는 것으로 설명하였지만, 구현 시에는 복수의 CPU(또는 DSP, SoC 등)으로 구현될 수 있다.
본 발명의 일 실시 예에 따라, 프로세서는 디지털 신호를 처리하는 디지털 시그널 프로세서(digital signal processor(DSP), 마이크로 프로세서(microprocessor), TCON(Time controller)으로 구현될 수 있다. 다만, 이에 한정되는 것은 아니며, 중앙처리장치(central processing unit(CPU)), MCU(Micro Controller Unit), MPU(micro processing unit), 컨트롤러(controller), 어플리케이션 프로세서(application processor(AP)), 또는 커뮤니케이션 프로세서(communication processor(CP)), ARM 프로세서 중 하나 또는 그 이상을 포함하거나, 해당 용어로 정의될 수 있다. 또한, 프로세서는 프로세싱 알고리즘이 내장된 SoC(System on Chip), LSI(large scale integration)로 구현될 수도 있고, FPGA(Field Programmable gate array) 형태로 구현될 수도 있다.
지문 검증 모듈(120), OTP 생성 모듈(130) 및 인증 모듈(140)은 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, 본 발명의 일 실시예에 따르면, 지문 검증 모듈(120), OTP 생성 모듈(130) 및 인증 모듈(140) 중 일부 또는 전부는 적어도 하나의 프로세서에 포함되어 소프트웨어로 구현될 수 있다.
한편, 본 발명의 일 실시예에 따르면, 지문검증 모듈(120), OTP 생성모듈(130) 및 인증 모듈(140)은 사용자 단말(200) 또는 증명장치 등록 서버(300)에 포함될 수 있다. 상술한 예시에 따르면, 신분 증명장치(100)는 지문 인식 모듈(110)을 통해 감지된 지문 정보를 통신부(미도시)를 통해 외부로 전송할 수 있다.
본 발명의 일 실시예에 따르면, 신분 증명장치는 사용자 경험을 증진시키기 위해 사용자에게 프로세스 진행을 알리기 위한 LED, 스피커, 바이브레이터 등 다양한 인터페이스 모듈(미도시)을 포함할 수 있다.
사용자의 지문 인식이 시작되면 지문 인식이 정상적으로 동작하는지 여부를 확인할 수 있도록 인터페이스 모듈(미도시)을 통해 상태정보를 표시할 수 있다. 예를 들어, 인터페이스 모듈(미도시)이 LED로 구현된 경우, 지문인식 모듈(110)을 통해 인식된 지문이 미등록 지문인 경우 LED는 붉은색으로 점멸할 수 있고, 새롭게 지문 정보를 등록 중인 경우 LED는 초록색으로 점멸할 수 있고, 새로운 지문 정보가 등록된 경우 LED는 초록색으로 점등할 수 있다. 즉, 지문정보의 등록이 완료되면, 인터페이스 모듈(미도시) 또는 LED는 상태를 변경하여 등록완료를 표시하는 색으로 점등할 수 있다. 본 발명의 또 다른 실시 예에 의하면, 신분 증명장치(100)가 에러(error)가 발생한 경우에 LED는 붉은 색으로 점등할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 등록데이터 및 인증데이터를 설명하기 위한 도면이다.
본 발명의 일 실시예에 따르면 인증데이터 및 등록데이터(설명의 편의를 위해, 이하 인증요청값)는 신분 증명장치(100)에서 생성되어 사용자 단말(200) 또는 근거리 통신부(미도시)를 통해 출입 제어장치(250), 증명장치 등록서버(300) 또는 인증서버(500)로 전송되는 데이터일 수 있다.
인증요청값은 로그인 서비스 환경(210, Authentication Service Portal) 에 지문기반 OTP를 이용해 인증과정을 수행할 때, 인증 정보를 전달하기 위한 데이터일 수 있다. 이러한 인증요청값은 장치 식별값(Device ID), 지문 식별값(Finger ID), 일회성 키 (OTP) 및 카운트값을 포함할 수 있다.
이때, 장치 식별값(Device ID) 또는 장치 식별 정보는 신분 증명장치(100)를 유일하게 구분하기 위한 식별 정보일 수 있다. 장치 식별값은 근거리 통신부(예를 들면, NFC 칩)를 통해 출입 제어장치(250)로 전송될 수 있다. 장치 식별값은 물리적 보안 영역을 해제하기 위한 KEY 값일 수 있다.
지문 식별값(Finger ID)은 신분 증명장치(100)에 저장된 각 지문정보를 유일하게 구분하기 위한 식별 정보일 수 있다. 하나의 신분 증명장치(100)에는 복수의 사용자의 지문정보가 저장될 수 있기 때문이다.
또한, 일회성 키(OTP)는 식별된 신분 증명장치(100)에 포함된 고유의 마스터 키(Master Key)값을 기반하여 생성된 것일 수 있다. 카운트 값은 해당 인증요청값의 재사용을 방지하기 위한 것이며, OTP의 검증을 위한 값일 수 있다.
암호화된 인증요청값은 도 3과 같은 형식일 수 있으나, 이는 일 실시 예에 불과할 뿐, 다양한 형식으로 암호화될 수 있다.
도 4는 본 발명의 일 실시 예에 따른 논리적 보안 영역에서 신분 증명장치를 증명장치 등록서버에 등록하는 과정을 설명하기 위한 시퀀스도이다.
도 4를 참조하면, 사용자는 신분 증명장치(100) 또는 사용자 단말기(200)를 통해 증명장치 등록서버(300)에 로그인을 시도할 수 있다(S410). 증명장치 등록서버(300)는 신분 증명장치(100)가 미등록 상태인 것으로 판단하면, 사용자 단말기(200)로 신분 증명장치(100)의 등록 요청을 위한 신호를 전송할 수 있다(S420).
사용자 단말기로부터 등록 요청을 위한 신호와 관련하여 지문인식 요청을 수신하면(S430), 신분 증명장치(100)는 감지된 현재 사용자의 지문이 신분 증명장치(100)에 기저장된 지문 정보와 일치하는지 검증할 수 있다(S440). 검증 결과 현재 사용자의 지문 정보와 신분 증명장치(100)에 기저장된 지문 정보가 일치하는 경우, 신분 증명장치(100)는 마스터 키를 기반으로 하여 일회성 키를 생성할 수 있다(S450). 신분 증명장치(100)는 생성된 일회성 키를 포함하는 등록데이터를 생성할 수 있고, 사용자 단말기(200)를 통해 증명장치 등록서버(300)로 등록데이터를 전송할 수 있다(S460, S470).
등록데이터를 수신한 증명장치 등록서버(300)는 수신한 등록데이터에 포함된 일회성 키를 신분 증명장치(100)와 결합하여 등록할 수 있다(S480).
도 5는 본 발명의 일 실시 예에 따른 생체기반 일회성 키를 이용하여 사용자의 신분을 인증하기 위한 논리적 보안 영역 시스템을 설명하기 위한 시퀀스도이다.
도 5를 참조하면, 사용자는 신분 증명장치(100) 또는 사용자 단말기(200)를 통해 서비스 서버(400)에 서비스를 요청할 수 있다(S510). 서비스 서버(400)는 사용자 단말기(200)로 개인의 권한 정책에 따른 신분 인증 요청을 위한 신호를 전송할 수 있다(S520).
사용자 단말기(200)로부터 인증 요청과 관련된 지문인식 요청 신호를 수신하면(S530), 신분 증명장치(100)는 감지된 현재 사용자의 지문이 신분 증명장치(100)에 기저장된 지문 정보와 일치하는지 검증할 수 있다(S540). 검증 결과 현재 사용자의 지문 정보와 신분 증명장치(100)에 기저장된 지문 정보가 일치하는 경우, 신분 증명장치(100)는 마스터 키를 기반으로 하여 일회성 키를 생성할 수 있다(S550). 신분 증명장치(100)는 생성된 일회성 키를 포함하는 인증데이터를 생성할 수 있고, 사용자 단말기(200)를 통해 인증서버(500)로 인증데이터를 전송할 수 있다(S560, S570).
인증서버(500)는 수신한 인증데이터를 등록데이터와 비교할 수 있다(S580). 이때 인증서버(500)는 증명장치 등록서버를 포함하여 구현된 것일 수도 있으나, 별도의 서버로 구현된 경우에는 증명장치 등록서버(300)를 통해 등록된 등록데이터를 인증데이터와 비교할 수 있다. 구체적으로, 인증서버(500)는 인증데이터에 포함된 일회용 키 값이 신분 증명장치(100)에서 생성된 일회용 키 값인지 확인할 수 있다.
인증데이터에 포함된 일회용 키가 신분 증명장치(100)에서 발급된 일회용 키 라고 판단하는 경우, 인증서버(500)는 해당 사용자가 서비스 접근권한이 있다는 것을 증명하기 위한 서비스 권한 토큰(token)을 생성할 수 있다(S590). 이후 인증서버(500)는 생성한 토큰을 사용자 단말기(200)로 전송할 수 있다(S591).
사용자 단말기(200)는 인증서버(500)로부터 수신한 토큰을 서비스 서버(400)로 제시할 수 있다(S592). 서비스 서버(400)는 사용자 단말기(200)로부터 수신한 토큰이 인증서버(500)가 발급한 토큰인지 여부를 확인하기 위해 인증서버(500)로 토큰 확인 요청을 할 수 있다(S593). 인증서버(500)는 서비스 서버(400)가 확인을 요청한 토큰이 인증서버(500)가 발급한 토큰인지 확인하기 위한 토큰 유효성 확인을 수행할 수 있다(S594).
서비스 서버(400)가 사용자 단말기(200)로부터 수신한 토큰이 인증서버(500)가 발급한 토큰이라는 것이 확인되면, 인증서버(500)는 토큰이 유효하다는 결과를 서비스 서버(400)로 전송할 수 있다.
이후, 서비스 서버(400)는 신분 증명장치(100)를 사용하는 사용자의 신분이 증명된 것으로 간주하고 서비스를 사용자 단말기(100)로 제공할 수 있다(S596). 본 발명의 일 실시 예에 따르면, 서비스 서버(400)는 인증서버(500)에서의 확인 결과에 따라 사용자 단말기(200)로 접근 허가 또는 접근 거절로 응답할 수 있다.
상술한 바와 같은 본 발명에 의하면, 사용자의 생체정보를 기반으로 생성된 일회성 키(key)를 사용함으로 패스워드(Password) 유출에 따른 보안위협이 제거되고, 인증 보안이 강화될 수 있다는 효과가 있다.
또한, 본 발명에 의하면, 사용자의 신분 증명장치(100)에 대한 한 번의 지문 터치만으로 신분 인증을 수행함으로써, 별도의 정보 입력 절차를 최소화할 수 있다는 효과가 있다.
도 6은 본 발명의 일 실시예에 따른 생체기반 일회성 키를 이용하여 사용자의 신분을 인증하기 위한 논리적 보안 영역 및 물리적 보안 영역을 통합한 보안 방법을 설명하기 위한 시퀀스도이다.
도 6을 참조하면, 신분 증명장치(100)는 출입 제어장치(250)로부터 신분 증명정보 요청을 수신할 수 있다(S610). 본 발명의 일 실시예에 따르면, 출입 제어장치(250)는 사용자가 기설정된 거리 내에 접근하면 사용자 인증 요청 신호를 신분 증명장치(100)로 전송할 수 있다. 이때, 기설정된 거리는 사용자가 설정할 수 있고, 출고 시에 설정된 것일 수 있다.
신분 증명장치(100)는 사용자 인증 요청 이후, 사용자로부터 지문 등과 같은 생체정보를 인식하고, 생체정보에 대응하는 일회성 키를 생성할 수 있다(S620). 신분 증명장치(100)는 일회성 키를 포함하는 인증데이터를 생성할 수 있고, 사용자 단말기(200)를 통해 인증서버(500)로 인증데이터를 전송할 수 있다(S630).
출입 제어장치(250)는 수신한 인증데이터를 인증서버(500)로 전송할 수 있고(S640), 인증서버(500)는 사용자의 생체정보인지 여부에 대하여 인증을 수행할 수 있다(S650). 본 발명의 일 실시예에 따르면, 인증서버(500)는 인증을 수행하기 위해서 증명 장치 등록 서버(400)의 등록 데이터와 비교하여 인증을 수행할 수 있다.
인증 서버(500)는 인증 결과 정보를 출입 제어장치(250)로 전송할 수 있다(S660). 이때, 인증 결과 정보는 해당 생체정보가 사용자의 것인지 여부에 대한 정보일 수 있다. 인증 결과 생체정보가 사용자의 생체정보인 것으로 인증되면, 출입 제어장치(250)는 출입문의 차단을 해제할 수 있다(S670).
한편, 본 발명의 일 실시예에 따르면, 인증 서버(500)는 인증 결과 정보를 서비스 서버(400)로 전송할 수 있다(S661). 또한, 출입 제어장치(250)는 출입문의 차단 해제 이후 사용자가 출입문을 통한 출입 여부에 대한 출입 정보를 획득할 수 있고, 해당 출입 정보를 서비스 서버(400)로 전송할 수 있다(S680).
한편, 서비스 서버(400)는 인증 결과 정보 및 출입 정보를 기초로 서비스 제공 여부를 결정할 수 있다(S690). 본 발명의 일 실시예에 따른 서비스 서버(400)는 인증 결과 정보를 통해 사용자가 인증되더라도, 출입 정보가 수신되지 않는 경우 서비스를 제공하지 않을 수 있다. 즉, 서비스 서버(400)는 사용자가 인증되고, 사용자가 출입한 경우에만 서비스를 제공할 수 있다.
도 7a 내지 도 7e는 본 발명의 일 실시 예에 따른 OTP 생성장치 또는 신분 증명장치를 유저 포탈(user portal) 또는 증명장치 등록서버에 등록하는 유저 인터페이스를 도시한 도면이다.
도 7a를 참조하면, 사용자는 OTP 생성장치 또는 신분 증명장치(100)를 등록하기 위해서 사용자 셀프서비스(유저 포털) 또는 증명장치 등록서버(200)에 접속할 수 있다. 이러한 접속과정은 OTP 생성장치 또는 신분 증명장치(100)와 물리적으로 연결된 사용자 단말기(200)를 통해 수행될 수 있다. 이때, 등록 OTP 생성장치 또는 신분 증명장치(100)는 사용자 단말기(200)에 USB로 연결되어 있을 수 있으나 이에 한정하지 않는다.
도 7b를 참조하면, 사용자는 지문 OTP(FingerOTP) 아이콘(710)을 클릭할 수 있고, 도 7c와 같이 지문 OTP(FingerOTP) 드라이버를 설치할 수 있다. 이때, OTP 생성장치 또는 신분 증명장치(100)에는 사용자의 지문정보가 등록된 상태일 수 있으나, 미등록 상태인 경우 사용자는 OTP 생성장치 또는 신분 증명장치(100)에 자신의 지문을 등록할 수 있다.
도 7d를 참조하면, 사용자는 OTP 생성장치 또는 신분 증명장치(100)에 등록 한 손가락 지문을 센서에 터치하여 OTP를 발생시킬 수 있다. 이때, 생성된 OTP는 사용자 셀프서비스(유저 포털) 또는 증명장치 등록서버(200)의 제1 사용자 인터페이스(720)에 자동 입력될 수 있다.
도 7e를 참조하면, 사용자는 등록된 지문에 자신의 이름을 제2 사용자 인터페이스(730)에 입력한 후 제출(submit) 버튼을 클릭하여 OTP 생성장치 또는 신분 증명장치(100)의 등록을 완료할 수 있다.
도 8a 내지 8d는 본 발명의 일 실시 예에 따른 OTP 생성장치 또는 신분 증명장치를 통해 사용자 신분을 인증하는 유저 인터페이스를 도시한 도면이다.
도 8a 내지 8d에서는 가상사설망(VPN, Virtual Private Network)에 사용자 신분을 인증하는 것을 예시로 도시하였으나, 이에 한정하지 않고 다양한 웹사이트에 적용될 수 있다.
도 8a를 참조하면, 사용자는 OTP 생성장치 또는 신분 증명장치(100)와 연결된 사용자 단말기(200)를 통해 VPN에 접속한 후 로그인 페이지에서 아이디 및 비밀번호를 입력할 수 있다.
도 8b를 참조하면, 로그인 페이지에서 아이디 및 비밀번호를 입력한 후 OTP 입력 화면으로 페이지가 이동하면, 사용자는 OTP 생성장치 또는 신분 증명장치(100)에 등록한 손가락 지문을 터치할 수 있다. 이때, 사용자가 지문을 터치하면 자동으로 OTP를 발생시켜 제3 사용자 인터페이스(810)에 표시할 수 있고, 사용자 신분 인증을 수행할 수 있다.
도 8c는 VPN에 사용자의 신분 인증이 완료된 것을 도시한다.
도 8d를 참조하면, 사용자는 제4 사용자 인터페이스(820)에 자신의 지문 OTP를 통한 인증의 로그 내역을 확인할 수 있다.
상술한 실시 예에 의하면, 본 발명의 인증 시스템은 기존 로그인 환경의 패스워드(Password)입력 위치에 지문 OTP 값이 자동으로 입력되는 방식을 사용하기 때문에, 로그인 환경의 변경 없이 설정만으로 적용되어 시스템 호환성이 높으며 편리한 사용자 경험을 제공한다는 효과가 있다.
이와 같이 본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
100: 신분 증명장치
110: 지문인식 모듈
120: 지문검증 모듈
130: OTP 생성 모듈
140: 인증모듈
200: 사용자 단말기
250: 출입 제어장치
300: 증명장치 등록서버
400: 서비스 서버
500: 인증서버

Claims (8)

  1. 생체정보 기반 사용자 인증을 수행하는 통합 보안 시스템에 있어서,
    출입 제어장치로부터 사용자 인증 요청 신호를 수신하면 사용자의 생체정보를 획득하고, 상기 획득한 생체정보를 기초로 인증데이터를 생성하여 상기 인증데이터를 상기 출입 제어장치로 전송하는 신분 증명장치;
    상기 신분 증명장치로 상기 사용자 인증 요청 신호를 전송하고, 상기 신분 증명장치로부터 상기 인증 데이터를 수신하면 상기 인증 데이터를 인증서버로 전송하고, 상기 인증서버로부터 수신하는 인증 결과 정보에 따라 출입문을 제어하는 출입 제어장치;
    상기 인증 데이터를 기초로 상기 사용자 인증을 수행하고, 상기 인증 결과 정보를 상기 출입 제어장치 및 서비스 서버로 전송하는 인증 서버; 및
    상기 인증 서버로부터 수신한 상기 인증 결과 정보에 응답하여 상기 사용자에 대한 서비스 제공 여부를 결정하는 서비스 서버;
    를 포함하는 통합 보안 시스템.
  2. 제1항에 있어서,
    상기 신분증명장치는 상기 획득한 생체정보가 기등록된 사용자 생체정보와 일치하는지 여부를 판단하고, 상기 판단 결과 일치하는 것으로 판단하면, 상기 획득한 생체정보를 기초로 인증데이터를 생성하여 상기 출입 제어장치로 전송하는 통합 보안 시스템.
  3. 제1항에 있어서,
    상기 인증서버는 상기 인증 결과 정보를 상기 신분 증명장치로 전송하고,
    상기 신분 증명장치는,
    상기 출입 제어장치로 상기 신분 증명장치의 식별 정보를 전송하기 위한 근거리 통신부;를 더 포함하고,
    상기 근거리 통신부는 상기 인증 결과 정보를 기초로 상기 사용자의 신분이 인증된 것으로 확인되면, 상기 근거리 통신부가 온(on) 되는 통합 보안 시스템.
  4. 제3항에 있어서,
    상기 출입 제어장치는 상기 신분 증명장치로부터 상기 식별 정보를 수신하고, 상기 인증 결과 정보 및 상기 식별 정보를 기초로 상기 출입문을 제어하는 통합 보안 시스템.
  5. 제1항에 있어서,
    상기 서비스 서버는 상기 출입문의 내부에서 이용하는 서비스를 제공하는 것을 특징으로 하고,
    상기 신분 증명장치는 상기 서비스 서버로부터 사용자 인증 요청 신호를 수신하면 상기 사용자의 생체정보를 획득하는 통합 보안 시스템.
  6. 제1항에 있어서,
    상기 출입문 제어장치는 상기 사용자의 상기 출입문을 통한 출입 여부에 대한 출입 정보를 획득하고, 상기 출입 정보를 상기 서비스 서버로 전송하고,
    상기 서비스 서버는 상기 출입 정보 및 상기 인증 결과 정보를 기초로 서비스 제공 여부를 결정하는 통합 보안 시스템.
  7. 제6항에 있어서,
    상기 서비스 서버는 상기 인증 결과 정보를 통해 상기 사용자가 인증되고, 상기 출입 정보를 수신하면 자동으로 상기 서비스의 로그인을 수행하는 신분 증명 시스템.
  8. 제1항에 있어서,
    상기 출입 제어장치는 상기 사용자가 기설정된 거리 내에 접근하면 상기 사용자 인증 요청 신호를 상기 신분 증명장치로 전송하는 통합 보안 시스템.
KR1020190074200A 2019-06-21 2019-06-21 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법 KR102257293B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190074200A KR102257293B1 (ko) 2019-06-21 2019-06-21 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190074200A KR102257293B1 (ko) 2019-06-21 2019-06-21 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법

Publications (2)

Publication Number Publication Date
KR20200145334A true KR20200145334A (ko) 2020-12-30
KR102257293B1 KR102257293B1 (ko) 2021-05-28

Family

ID=74088789

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190074200A KR102257293B1 (ko) 2019-06-21 2019-06-21 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법

Country Status (1)

Country Link
KR (1) KR102257293B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411335A (zh) * 2021-06-18 2021-09-17 滁州学院 一种基于大数据的网络安全监测系统
KR20230068226A (ko) * 2021-11-10 2023-05-17 주식회사 로드시스템 안면인식을 이용한 신분인증시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100020249A (ko) * 2008-08-12 2010-02-22 (주)퓨쳐인포넷 유비쿼터스를 위한 통합 인증 시스템 및 방법
KR101722031B1 (ko) * 2016-08-04 2017-03-31 주식회사 에어큐브 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체
KR20180114775A (ko) * 2017-04-11 2018-10-19 에이피에스 에스.에이. 일회성 비밀번호 기반 개인 식별 카드
KR20190026357A (ko) * 2017-09-05 2019-03-13 임태향 얼굴인식 및 음성인식으로 작동되는 인공지능 디지털 도어락 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100020249A (ko) * 2008-08-12 2010-02-22 (주)퓨쳐인포넷 유비쿼터스를 위한 통합 인증 시스템 및 방법
KR101722031B1 (ko) * 2016-08-04 2017-03-31 주식회사 에어큐브 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체
KR20180114775A (ko) * 2017-04-11 2018-10-19 에이피에스 에스.에이. 일회성 비밀번호 기반 개인 식별 카드
KR20190026357A (ko) * 2017-09-05 2019-03-13 임태향 얼굴인식 및 음성인식으로 작동되는 인공지능 디지털 도어락 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113411335A (zh) * 2021-06-18 2021-09-17 滁州学院 一种基于大数据的网络安全监测系统
KR20230068226A (ko) * 2021-11-10 2023-05-17 주식회사 로드시스템 안면인식을 이용한 신분인증시스템 및 방법

Also Published As

Publication number Publication date
KR102257293B1 (ko) 2021-05-28

Similar Documents

Publication Publication Date Title
US9438635B2 (en) Controlling physical access to secure areas via client devices in a network environment
US11736475B2 (en) Method and system for performing user authentication
KR101907958B1 (ko) 출입 통제 방법 및 장치, 사용자 단말, 서버
JP4822738B2 (ja) サービス認証システムおよびサービス認証方法
KR102132507B1 (ko) 생체 인식 데이터에 기초한 리소스 관리 기법
US10686793B2 (en) Integrated biometrics for application security
US20140101453A1 (en) Real identity authentication
KR20130113486A (ko) 모바일 상거래에서의 사용자 아이덴티티 증명
US11528265B2 (en) Multi-factor authentication methods and related systems
KR102257293B1 (ko) 물리보안 및 논리보안을 이용한 생체정보 기반 보안 시스템 및 이의 운용 방법
WO2020219771A1 (en) Method and system for performing user authentication
KR102108347B1 (ko) 일회용 비밀번호를 이용한 도어락 잠금해제 방법 및 장치와 그 시스템
KR102157344B1 (ko) 지문정보를 이용한 일회성 키 기반의 인증 시스템
CN109791583B (zh) 允许基于生物识别数据在安全通信信道上进行客户端设备的用户的认证的方法和设备
US20220261570A1 (en) Authentication of user information handling system through stylus
KR102346761B1 (ko) 클라우드 환경에서 사용자 인증 방법, 장치 및 시스템
KR101223649B1 (ko) Uip를 이용한 사용자 인증 방법 및 인증 시스템
WO2020101658A1 (en) Firmware access based on temporary passwords
JP6273240B2 (ja) 継承システム、サーバ装置、端末装置、継承方法及び継承プログラム
KR101719687B1 (ko) 스마트 기기와 그를 활용한 본인인증 시스템 및 방법
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
US10805302B2 (en) Systems and methods to secure platform application services between platform client applications and platform services
US11893849B2 (en) Providing physical access to a secured space based on high-frequency electromagnetic signaling
US20240154956A1 (en) Authentication System and Method for Windows Systems
US9846769B1 (en) Identifying a remote identity request via a biometric device

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right