KR20220075723A - Did를 이용한 신원 인증 방법 및 시스템 - Google Patents

Did를 이용한 신원 인증 방법 및 시스템 Download PDF

Info

Publication number
KR20220075723A
KR20220075723A KR1020200164116A KR20200164116A KR20220075723A KR 20220075723 A KR20220075723 A KR 20220075723A KR 1020200164116 A KR1020200164116 A KR 1020200164116A KR 20200164116 A KR20200164116 A KR 20200164116A KR 20220075723 A KR20220075723 A KR 20220075723A
Authority
KR
South Korea
Prior art keywords
biometric information
public key
user
server
private
Prior art date
Application number
KR1020200164116A
Other languages
English (en)
Inventor
김안토니오
Original Assignee
다이브 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 다이브 주식회사 filed Critical 다이브 주식회사
Priority to KR1020200164116A priority Critical patent/KR20220075723A/ko
Publication of KR20220075723A publication Critical patent/KR20220075723A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Collating Specific Patterns (AREA)

Abstract

DID 기술을 활용한 사용자의 신원 인증 방법은, 제1서버가 상기 사용자의 제1공개키, 상기 제1공개키와 대응되고 사용자 단말기 상에만 저장되는 개인키, 및 상기 사용자의 제1생체 정보를 획득하고 상기 제1공개키에 기반하여 암호화된 상기 제1생체 정보를 프라이빗 블록체인에 저장하는 단계, 제1서버가 상기 제1공개키, DID, 상기 암호화된 상기 제1생체 정보가 저장된 상기 프라이빗 블록체인 상의 위치 정보를 포함하는 제1DID 문서를 퍼블릭 블록체인에 저장하는 단계, 상기 사용자가 상기 사용자 단말기를 통해 제2공개키를 포함하는 제2DID 문서를 제2서버에 제출하고 상기 제2서버가 상기 퍼블릭 블록체인에 등록된 제1공개키와의 비교를 통해 상기 제2공개키가 유효한지 판단하고, 상기 제2공개키가 유효하면 상기 사용자는 상기 제2서버가 제1공개키로 암호화한 내용을 상기 개인키를 이용해 복호화함으로써 1차 인증을 수행하는 단계, 상기 사용자 단말기가 제2생체 정보를 상기 제2공개키를 이용해 암호화하여 상기 제2서버에 제출하는 단계, 및 상기 제2서버가 상기 위치 정보에 기반하여 상기 프라이빗 블록체인으로부터 획득된 상기 암호화된 제1생체 정보가 상기 암호화된 제2생체 정보와 일치하면 2차 인증을 수행함으로써 상기 사용자의 신원을 최종 인증하는 단계를 포함할 수 있다.

Description

DID를 이용한 신원 인증 방법 및 시스템{PERSONAL AUTHENTICATION METHOD AND SYSTEM USING DECENTRALIZED IDENTIFIERS}
본 발명은 사용자의 신원 인증 서비스에 관한 것으로, 보다 구체적으로는 사용자의 민감한 생체 정보를 프라이빗(Private) 블록 체인에 기반하여 안전하게 저장하고 생체 정보와 DID를 함께 활용하여 사용자의 신원을 인증하기 위한 방법 및 시스템에 관한 것이다.
최근 지문, 홍채, 얼굴, 음성 등과 같은 사용자의 생체 정보를 이용해 사용자를 식별하고 신원을 인증하거나 보안을 유지시키기 위한 생체 인식(Biometrics)이 다양한 분야에서 활발히 사용되고 있다. 그러나 생체 정보의 경우 한 번 노출되면 복구가 불가능하다는 문제가 있다. 또한, 생체 정보는 노출되면 곤란한 민감한 개인 정보이기도 하다.
한편, 분산 식별자(DID : Decentralized Identifiers)를 사용한 분산 신원 관리 시스템은 블록체인과 같은 분산 네트워크 기술을 활용하여 분산된 저장소에 인증 정보를 저장함으로써 사용자 개인이 인증 정보의 소유권과 통제권을 가짐으로써 기존의 중앙 기관에서 인증 정보가 관리됨으로써 발생되는 탈취 쉬도, 피싱(Phishing), 파밍(Pharming) 등의 보안 문제를 해결하기 위한 기술이다.
다만, 기존의 분산 신원 관리 시스템은 공개 노드 플랫폼 또는 비공개 노드 플랫폼 중 하나를 선택하여 운영되고 공개 노드 플랫폼을 활용할 경우 개인키를 탈취당하면 공개 노드에는 누구나 접근할 수 있으므로 공개 노드에 저장된 인증 정보(예를 들어, 생체 정보)가 노출된다는 단점이 있다. 따라서, 분산 신원 관리 시스템의 활용성과 범용성을 위해서는 공개 노드를 활용할 필요가 있으나 생체 정보와 같은 민감한 개인 정보가 노출될 위험이 존재하므로 문제된다.
분산 식별자를 사용하여 사용자의 신원을 인증하되 민감한 생체 정보를 포함하는 인증 정보와 인증 성공 유무를 분리하여 비공개 노드에 저장함으로써 생체 정보와 같은 개인 신상 정보가 노출되지 않는 사용자의 신원 인증 방법 및 시스템이 제공될 수 있다.
본 실시 예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 이하의 실시 예들로부터 또 다른 기술적 과제들이 유추될 수 있다.
DID 기술을 활용한 사용자의 신원 인증 방법은, 제1서버가 상기 사용자의 제1공개키, 상기 제1공개키와 대응되고 사용자 단말기 상에만 저장되는 개인키, 및 상기 사용자의 제1생체 정보를 획득하고 상기 제1공개키에 기반하여 암호화된 상기 제1생체 정보를 프라이빗 블록체인에 저장하는 단계, 제1서버가 상기 제1공개키, DID, 상기 암호화된 상기 제1생체 정보가 저장된 상기 프라이빗 블록체인 상의 위치 정보를 포함하는 제1DID 문서를 퍼블릭 블록체인에 저장하는 단계, 상기 사용자가 상기 사용자 단말기를 통해 제2공개키를 포함하는 제2DID 문서를 제2서버에 제출하고 상기 제2서버가 상기 퍼블릭 블록체인에 등록된 제1공개키와의 비교를 통해 상기 제2공개키가 유효한지 판단하고, 상기 제2공개키가 유효하면 상기 사용자는 상기 제2서버가 제1공개키로 암호화한 내용을 상기 개인키를 이용해 복호화함으로써 1차 인증을 수행하는 단계, 상기 사용자 단말기가 제2생체 정보를 상기 제2공개키를 이용해 암호화하여 상기 제2서버에 제출하는 단계, 및 상기 제2서버가 상기 위치 정보에 기반하여 상기 프라이빗 블록체인으로부터 획득된 상기 암호화된 제1생체 정보가 상기 암호화된 제2생체 정보와 일치하면 2차 인증을 수행함으로써 상기 사용자의 신원을 최종 인증하는 단계를 포함할 수 있다.
분산 식별자를 사용하여 사용자의 신원을 인증하되 민감한 생체 정보를 포함하는 인증 정보와 인증 성공 유무를 분리하여 비공개 노드에 저장함으로써 생체 정보와 같은 개인 신상 정보가 노출되지 않는 사용자의 신원 인증 방법 및 시스템이 제공될 수 있다.
도1은 일 실시 예에 따라, 사용자 신원 인증 시스템을 나타낸다.
도2는 일 실시 예에 따라, 사용자가 자신의 생체 정보를 미리 등록하고, 사용자가 자신이 원하는 온라인 서비스에 접속하기 위해 생체 정보를 제출하고 제출된 생체 정보가 미리 등록된 생체 정보와 일치하면 신원이 인증되는 방법의 흐름도를 나타낸다.
도3은 일 실시 예에 따라, 신원을 인증하기 위한 생체 정보를 프라이빗 블록체인에 등록하기 위한 방법을 나타낸다.
도4는 일 실시 예에 따라, 프라이빗 블록체인에 미리 등록된 사용자의 생체 정보를 이용하여 사용자 신원을 인증하기 위한 방법을 나타낸다.
아래에서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자들(이하, 통상의 기술자들)이 본 발명을 용이하게 실시할 수 있도록, 첨부되는 도면들을 참조하여 몇몇 실시 예가 명확하고 상세하게 설명될 것이다.
도1은 일 실시 예에 따라, 사용자 신원 인증 시스템을 나타낸다.
도 1을 참조하면, 사용자 신원 인증 시스템(1000)은 서버(100), 서버(100)와 통신 가능한 하나 이상의 단말기들(10 및 20), 및 블록 체인(120)을 포함할 수 있다.
서버(100)는 생체 정보들을 저장하는 데이터베이스(DB)를 미리 구축할 수 있다. 데이터베이스(DB)는 서버(1200)의 내부 또는 외부에 위치할 수 있다. 서버(100)와 데이터베이스(DB)는 클라우드일 수 있다.
단말기들(10 및 20)은 사용자의 생체 정보를 획득하기 위한 장치로서 스마트폰, 카메라, 지문인식기, 홍채인식기, 녹음기 등을 포함할 수 있다. 단말기들(10 및 20)은 사용자의 생체 정보를 획득하고 이를 서버(100)로 전송할 수 있다. 생체 정보는 각 개인의 안면 인식 생체 데이터를 포함할 수 있다.
서버(100)는 사용자들의 생체 정보를 저장할 수 있다. 일 실시 예에 따라, 서버(100)는 사용자들의 생체 정보를 암호화하고 이를 블록 체인 기술에 기반하여 저장할 수 있다. 서버(100)는 생체 정보 저장 및 신원 인증 서비스를 제공함에 있어서, 블록 체인에 기반하여 생체 정보 관리의 안전성과 보안성을 향상시킬 수 있다.
블록 체인은 데이터 분산 처리 기술로서, 네트워크에 참여하는 모든 사용자가 모든 거래 내역 등의 데이터를 분산 및 저장하는 기술을 지칭한다. 블록 체인은 무결성을 확보하고 유지하기 위해 순서에 따라 연결된 블록들이 서비스의 이용 내역 정보를 암호화 기법과 보안기술을 이용해 협상하는 알고리즘으로 구성된 소프트웨어 요소를 활용하는 원장(ledger)의 분산 P2P(Peer to Peer) 시스템을 의미할 수 있다. 여기서, 분산 P2P 시스템은 분산 시스템의 특수한 형태일 수 있다. 또한, P2P 시스템은 중앙 노드의 조정 없이 네트워크의 모든 노드들이 서로에게 자원(처리 능력, 저장 공간, 데이터 또는 네트워크 대역폭 등)을 제공할 수 있다. 또한, 블록 체인은 이용 내역 정보를 기록한 원장을 특정 기관의 중앙 서버가 아닌 P2P 네트워크에 분산하여 네트워크 내의 노드들이 공동으로 기록하고 관리하는 분산 원장(distributed ledger) 기술을 의미할 수 있다.
블록 체인(120) 또는 블록 체인 네트워크(120)는 노드들(121, 122, 123, 124, 125)을 포함할 수 있다. 노드는 블록 체인의 네트워크 내에서 구성요소를 의미할 수 있다. 노드들(121, 122, 123, 124, 125) 각각은 시스템(1000, 예를 들어, 생체 정보 기반 신원 인증 플랫폼)에 가입되어 참여하는 개개인들의 서버 장치일 수 있다. 예를 들면, 노드들(121, 122, 123, 124, 125) 각각은 특수 목적 컴퓨터(Special-purpose Computer), 범용 컴퓨터(General-purpose Computer), 슈퍼 컴퓨터(Supercomputer), 대형 컴퓨터(Mainframe Computer), 개인용 컴퓨터(Personal Computer), 스마트폰, 태블릿 PC 등일 수 있으나, 이에 제한되지 않는다.
일 실시 예에 따라, 서버(100)는 생체 정보들을 IPFS(Inter-Planetary File System, 140)를 이용하여 저장할 수 있다. IPFS(140)는 생체 정보를 분산 저장 네트워크에 분할하여 저장하며, 생체 정보를 해시한 값이 블록 체인(120)에 저장될 수 있다. IPFS(140)에 분할하여 저장된 생체 정보는 생체 정보의 해시 값에 기반하여 탐색 및 획득될 수 있다.
일 실시 예에 따라, IPFS(140)는 복수의 노드들로 구성되며, 각각의 노드에 생체 정보들이 작은 청크(Chunk) 또는 조각 단위들로 쪼개진 후 청크들이 노드들에 분산 저장될 수 있다. 청크들이 분산 저장된 위치 정보는 블록 체인(120) 상에 저장될 수 있다. 일 실시 예에 따라, 위치 정보는 저장하고자 하는 인증 정보(예를 들어, 생체 정보)의 해시 값에 기반하여 결정될 수 있으며 해시 값이 블록 체인(120)에 저장될 수 있다. 일 실시 예에 따라, IPFS(140)에 포함된 각각의 노드들은 동일한 생체 정보의 다른 청크을 저장하는 다른 노드에 대한 정보를 저장할 수 있다.
블록 체인(120)은 공개 노드로 구성된 퍼블릭 블록체인일 수 있고, IPFS(140)는 비공개 노드로 구성된 프라이빗 블록체인일 수 있다.
도2는 일 실시 예에 따라, 사용자가 자신의 생체 정보를 미리 등록하고, 사용자가 자신이 원하는 온라인 서비스에 접속하기 위해 생체 정보를 제출하고 제출된 생체 정보가 미리 등록된 생체 정보와 일치하면 신원이 인증되는 방법의 흐름도를 나타낸다.
퍼블릭 블록체인(Public Blockchain, 또는 공개 블록체인)은 별다른 제한 없이 누구나 참여할 수 있고 트랜잭션 기록을 누구나 열람할 수 있는 반면, 프라이빗 블록체인(또는, 비공개 블록체인)은 별도의 인증을 거친 검증된 참여자만 참여할 수 있으며 트랜잭션 기록의 열람이 제한되어 있어 보안, 신뢰도에 있어 강력한 장점을 갖고 있다. 또한, 프라이빗 블록체인은 개인 정보가 기록되고 일정 시간이 지나면 또는 요청 사항 발생 시 개인 정보의 수정 및 폐기가 가능하다. 프라이빗 블록체인은 예로서, IPFS, 하이퍼레저 패브릭(Hyperledger Fabric) 블록체인 등을 포함할 수 있다. 퍼블릭 블록체인은 예로서, 스텔라(Stellar), 이더리움(Ethereum) 등을 포함할 수 있다.
단계 S2100과 단계 S2200은 사용자의 생체 정보를 미리 등록하는 단계이고, 단계 S2300 내지 S2600은 사용자가 자신이 원하는 온라인 서비스에 접속하기 위해 생체 정보를 제출하고 제출된 생체 정보가 미리 등록된 생체 정보와 일치하면 신원이 인증되는 단계들이다. 따라서, 생체 정보 등록 단계(단계 S2100과 단계 S2200)에서의 등록 생체 정보, 등록 공개키, 등록 DID 문서는 신원 인증 단계(단계 S2300 내지 S2600)에서의 제출 생체 정보, 제출 공개키, 제출 DID 문서와 독립적이다. 생체 정보 등록 단계(단계 S2100과 단계 S2200)에서 사용자가 등록하는 생체 정보, 공개키, DID 문서는 제1생체 정보, 제1공개키, 제1DID 문서로 각각 지칭되고, 신원 인증 단계(단계 S2300 내지 S2600)에서 신원 검증자의 요구에 따라 제출되는 생체 정보, 공개키, DID 문서는 제2생체 정보, 제2공개키, 제2DID 문서로 각각 지칭될 수 있다. 제1생체 정보와 제2생체 정보는 동일한 생체 정보 타입이다. 예를 들어, 제1생체 정보가 지문 데이터이면 제2생체 정보도 지문 데이터이다. 제1생체 정보가 홍채 데이터이면 제2생체 정보도 홍채 데이터이다. 제1생체 정보가 목소리 데이터이면 제2생체 정보도 목소리 데이터이다.
또한, 생체 정보 등록 단계(단계 S2100과 단계 S2200)를 수행하는 서버와 신원 인증 단계(단계 S2300 내지 S2600)를 수행하는 서버는 동일할 수도 있고 다를 수도 있다. 생체 정보 등록 단계(단계 S2100과 단계 S2200)를 수행하는 서버와 신원 인증 단계(단계 S2300 내지 S2600)를 수행하는 서버는 제1서버(등록 서버)와 제2서버(인증 서버)로 각각 지칭될 수 있다. 예를 들면, 제1서버는 공인 인증 기관의 서버나 신원 인증 서비스를 제공하는 자에 의해 운영되는 서버일 수 있다. 제2서버는 신원 인증이 필요한 어플리케이션 서버나 신원 인증 서비스를 제공하는 자에 의해 운영되는 서버일 수 있다.
단계 S2100에서, 제1서버는 생체 정보의 등록을 원하는 사용자의 제1공개키, 제1공개키와 대응되고 사용자 단말기 상에만 저장되는 개인키, 및 사용자의 제1생체 정보를 획득하고 제1공개키에 기반하여 암호화된 제1생체 정보를 프라이빗 블록체인에 저장할 수 있다. 일 실시 예에 따라, 제1서버는 사용자를 식별하기 위한 개인 식별 정보를 제1생체 정보와 함께 프라이빗 블록체인에 등록하고 프라이빗 블록체인으로부터 암호화된 제1생체 정보와 개인 식별 정보가 분산 저장된 프라이빗 블록체인 상의 노드들에 대한 식별 정보를 위치 정보로서 획득할 수 있다. 노드들에 대한 식별 정보는 제1생체 정보와 개인 식별 정보의 해쉬 값에 기반하여 결정될 수 있다.
단계 S2200에서, 제1서버가 제1공개키, 제1DID, 암호화된 제1생체 정보가 저장된 프라이빗 블록체인 상의 위치 정보를 포함하는 제1DID 문서를 퍼블릭 블록체인에 저장할 수 있다.
단계 S2100과 단계 S2200의 방법으로 생체 정보를 미리 등록한 사용자는 자신의 생체 정보를 제출함으로써 신원을 인증하고 온라인 서비스에 로그인할 수 있다.
단계 S2300에서, 사용자는 사용자 단말기를 통해 제2공개키를 포함하는 제2DID 문서를 제2서버에 제출하고 제2서버가 퍼블릭 블록체인에 등록된 제1공개키와의 비교를 통해 제2공개키가 유효한지 검증할 수 있다. 제2DID 문서에는 제2DID, 생체 정보가 저장된 프라이빗 블록체인 상의 위치 정보, 사용자의 제2공개키 정보 중 적어도 하나가 포함될 수 있다.
제2공개키가 유효하면 단계 S2400에서, 사용자는 제2서버가 제1공개키로 암호화한 내용을 개인키를 이용해 복호화함으로써 1차 인증을 수행할 수 있다. 즉, 1차 인증은 제1공개키에 대해 사용자의 접근 권한이 존재하는지 판단하는 것이다.
단계 S2500에서, 1차 인증이 되면 사용자 단말기가 제2생체 정보를 제2공개키를 이용해 암호화하여 제2서버에 제출할 수 있다.
단계 S2600에서, 제2서버가 위치 정보에 기반하여 프라이빗 블록체인으로부터 획득된 암호화된 제1생체 정보가 현재 제출된 암호화된 제2생체 정보와 일치하면 2차 인증을 수행함으로써 사용자의 신원을 최종 인증할 수 있다.
이하, 도3을 참조하여 사용자가 자신의 생체 정보를 IPFS 와 같은 프라이빗 블록체인(Private Blockchain)에 등록하는 방법을 설명하고, 도4를 참조하여 프라이빗 블록체인에 미리 등록된 생체 정보를 이용해 신원 인증을 수행하기 위한 방법을 설명한다.
도3은 일 실시 예에 따라, 사용자가 자신의 생체 정보를 프라이빗 블록체인에 등록하는 방법을 나타낸다.
도3은 도2의 생체 정보 등록 단계(단계 S2100과 단계 S2200)의 상세한 실시 예이다.
도3을 참조하면, 사용자는 인증 기관(Certificate Authority, CA)에 직접 방문하거나 인증 기관이 관리하는 서버에 온라인 접속하여 자신의 생체 정보를 등록할 수 있다. 사용자는 자신의 제1생체 정보를 생성하고 어플리케이션 상의 공개키를 통해 제1생체 정보를 암호화할 수 있다. 제1생체 정보는 3D 안면 인식 데이터, 목소리 데이터, 지문 데이터 등을 포함할 수 있다.
인증 기관은 제1공개키에 기반하여 암호화된 제1생체 정보를 제1서버에 제출할 수 있다. 예를 들어, 암호화된 제1생체 정보는 생체 인식 개방 프로토콜 표준인 IEEE 2410-2018 형식일 수 있다. 인증 기관은 암호화된 제1생체 정보와 개인 식별 정보를 제1서버에 제출할 수 있다. 개인 식별 정보는 사용자의 어플리케이션 로그인 ID 나 이름과 같이 사용자를 식별하기 위한 어떠한 정보도 포함할 수 있다.
제1서버는 프라이빗 블록체인에 암호화된 제1생체 정보와 개인 식별 정보를 저장하고 암호화된 생체 정보와 개인 식별 정보가 프라이빗 블록체인 내에 저장된 위치 정보를 포함하는 트랜잭션 정보를 획득할 수 있다. 예를 들어, 도1을 참조하여 상술한 바와 같이 IPFS는 복수의 노드들로 구성되며, 암호화된 제1생체 정보가 작은 청크(Chunk) 또는 조각 단위들로 쪼개진 후 청크들이 노드들에 분산 저장될 수 있다. 트랜잭션 정보는 청크들이 분산 저장된 노드의 식별 정보를 포함할 수 있으며, 분산 저장되는 노드들은 제1생체 정보의 해쉬 값에 기반하여 결정될 수 있다.
제1서버는 트랜잭션 정보를 인증 기관 및/또는 개인에게 전달하고, 인증 기관은 제1DID 문서를 생성할 수 있다. 제1DID 문서에는 제1공개키, 제1DID, 암호화된 제1생체 정보가 저장된 프라이빗 블록체인 상의 위치 정보, 사용자의 제1공개키 정보가 포함될 수 있다.
인증 기관 및/또는 개인은 생성된 DID 문서를 퍼블릭 블록체인에 저장할 수 있다.
도4는 일 실시 예에 따라, 프라이빗 블록체인에 등록한 자신의 생체 정보를 활용하여 사용자의 신원을 인증하는 시스템을 나타낸다.
도4는 도2의 신원 인증 단계(단계 S2300 내지 S2600)의 상세한 실시 예일 수 있다.
도4를 참조하면, 사용자는 어플리케이션을 통해 제2서버에 접속하고 제2DID 문서를 제출할 수 있다. 제2DID 문서에는 제2DID, 사용자의 생체 정보가 저장된 프라이빗 블록체인 상의 위치 정보, 사용자의 제2공개키 정보 중 적어도 하나가 포함될 수 있다.
제2서버는 퍼블릭 블록체인에 기반하여 제출된 제2DID 문서의 제2공개키가 유효한지 검증할 수 있다. 제2서버는 제출된 DID 문서의 제2공개키가 퍼블릭 블록체인 노드에 저장되어 있는지 판단하고 제2공개키가 유효하면 제2공개키에 기반하여 사용자는 1차 인증을 수행할 수 있다.
사용자는 제1공개키로 암호화된 내용을 개인키로 복호화한 결과를 제2서버로 제출함으로써 1차 인증을 수행하여 제1공개키에 대해 사용자의 접근 권한이 존재함을 증명할 수 있다. 사용자는 자신의 제2생체 정보를 제2공개키에 기반하여 암호화하여 제2서버에 제출할 수 있다. 제2서버는 사용자 단말기로부터 수신한 암호화된 제2생체 정보와 프라이빗 블록체인으로부터 획득한 암호화된 제1생체 정보를 비교하여 최종적으로 사용자 인증(2차 인증)을 수행할 수 있다. 제2서버는 제1DID 문서 또는 제2DID 문서의 위치 정보를 이용하여 프라이빗 블록체인으로부터 암호화된 제1생체 정보를 획득할 수 있다.
설명들은 본 발명을 구현하기 위한 예시적인 구성들 및 동작들을 제공하도록 의도된다. 본 발명의 기술 사상은 위에서 설명된 실시 예들뿐만 아니라, 위 실시 예들을 단순하게 변경하거나 수정하여 얻어질 수 있는 구현들도 포함할 것이다. 또한, 본 발명의 기술 사상은 위에서 설명된 실시 예들을 앞으로 용이하게 변경하거나 수정하여 달성될 수 있는 구현들도 포함할 것이다.

Claims (3)

  1. DID 기술을 활용한 사용자의 신원 인증 방법에 있어서,
    제1서버가 상기 사용자의 제1공개키, 상기 제1공개키와 대응되고 사용자 단말기 상에만 저장되는 개인키, 및 상기 사용자의 제1생체 정보를 획득하고 상기 제1공개키에 기반하여 암호화된 상기 제1생체 정보를 프라이빗 블록체인에 저장하는 단계;
    제1서버가 상기 제1공개키, DID, 상기 암호화된 상기 제1생체 정보가 저장된 상기 프라이빗 블록체인 상의 위치 정보를 포함하는 제1DID 문서를 퍼블릭 블록체인에 저장하는 단계;
    상기 사용자가 상기 사용자 단말기를 통해 제2공개키를 포함하는 제2DID 문서를 제2서버에 제출하고 상기 제2서버가 상기 퍼블릭 블록체인에 등록된 제1공개키와의 비교를 통해 상기 제2공개키가 유효한지 판단하는 단계;
    상기 제2공개키가 유효하면, 상기 사용자는 상기 제2서버가 제1공개키로 암호화한 내용을 상기 개인키를 이용해 복호화함으로써 1차 인증을 수행하는 단계;
    상기 사용자 단말기가 제2생체 정보를 상기 제2공개키를 이용해 암호화하여 상기 제2서버에 제출하는 단계; 및
    상기 제2서버가 상기 위치 정보에 기반하여 상기 프라이빗 블록체인으로부터 획득된 상기 암호화된 제1생체 정보가 상기 암호화된 제2생체 정보와 일치하면 2차 인증을 수행함으로써 상기 사용자의 신원을 최종 인증하는 단계를 포함하는 방법.
  2. 제1항에 있어서,
    상기 프라이빗 블록체인은 하이퍼레저 패브릭(Hyperledger Fabric) 블록체인 또는 IPFS 네트워크를 포함하는 방법.
  3. 제1항에 있어서,
    상기 암호화된 상기 제1생체 정보를 프라이빗 블록체인에 저장하는 단계는,
    상기 사용자를 식별하기 위한 개인 식별 정보를 상기 제1생체 정보와 함께 상기 프라이빗 블록체인에 등록하고 상기 프라이빗 블록체인으로부터 상기 암호화된 제1생체 정보와 상기 개인 식별 정보가 분산 저장된 상기 프라이빗 블록체인 상의 노드들에 대한 식별 정보를 상기 위치 정보로서 획득하는 단계를 포함하고,
    상기 노드들에 대한 식별 정보는 상기 제1생체 정보와 상기 개인 식별 정보의 해쉬 값에 기반하여 결정되는 방법.
KR1020200164116A 2020-11-30 2020-11-30 Did를 이용한 신원 인증 방법 및 시스템 KR20220075723A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200164116A KR20220075723A (ko) 2020-11-30 2020-11-30 Did를 이용한 신원 인증 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200164116A KR20220075723A (ko) 2020-11-30 2020-11-30 Did를 이용한 신원 인증 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20220075723A true KR20220075723A (ko) 2022-06-08

Family

ID=81981121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200164116A KR20220075723A (ko) 2020-11-30 2020-11-30 Did를 이용한 신원 인증 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20220075723A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230004312A (ko) 2021-06-30 2023-01-06 주식회사 아티프렌즈 Did를 이용한 개인정보의 인증 및 식별 시스템과 그 방법
WO2024019217A1 (ko) * 2022-07-22 2024-01-25 주식회사 블록체인기술연구소 Did와 생체정보 기반의 개인키 복원 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230004312A (ko) 2021-06-30 2023-01-06 주식회사 아티프렌즈 Did를 이용한 개인정보의 인증 및 식별 시스템과 그 방법
WO2024019217A1 (ko) * 2022-07-22 2024-01-25 주식회사 블록체인기술연구소 Did와 생체정보 기반의 개인키 복원 시스템

Similar Documents

Publication Publication Date Title
US11853457B2 (en) Selectively verifying personal data
US20190311148A1 (en) System and method for secure storage of electronic material
US20180152297A1 (en) System and Method For Digitally Signing Documents Using Biometric Data in a Blockchain or PKI
CN112580102A (zh) 基于区块链的多维度数字身份鉴别系统
CN107231331B (zh) 获取、下发电子证件的实现方法和装置
AU2003212617B2 (en) A biometric authentication system and method
JP4374904B2 (ja) 本人認証システム
TWI578749B (zh) 用於遷移金鑰之方法及設備
JP2019057271A (ja) ブロックチェーン式多要素個人身元認証を実現するシステム及び方法
WO2019199288A1 (en) System and method for secure storage of electronic material
KR20180129028A (ko) 프로그래밍이 가능한 블록체인과 통합 아이디 기반의 사용자정보 관리 방법 및 시스템
US20030208681A1 (en) Enforcing file authorization access
US20200412554A1 (en) Id as service based on blockchain
CN110784441A (zh) 通过网络的针对客户端的认证方法
JP2009510644A (ja) 安全な認証のための方法及び構成
US10949556B2 (en) Method for encrypting data and a method for decrypting data
Al-Assam et al. Automated biometric authentication with cloud computing
US20230208637A1 (en) Key management method and apparatus
KR20220075723A (ko) Did를 이용한 신원 인증 방법 및 시스템
CN112039665A (zh) 一种密钥管理方法及装置
JP2002297551A (ja) 認証システム
AU2018100503A4 (en) Split data/split storage
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
CN116112242B (zh) 面向电力调控系统的统一安全认证方法及系统
JP2004013560A (ja) 認証システム、通信端末及びサーバ

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right