WO2017043717A1

WO2017043717A1 - 생체인식 본인인증 방법

Info

Publication number: WO2017043717A1
Application number: PCT/KR2016/002380
Authority: WO
Inventors: 권봉균; 오민정
Original assignee: 권봉균
Priority date: 2015-09-07
Filing date: 2016-03-10
Publication date: 2017-03-16
Also published as: KR101575687B1

Abstract

생체인식 본인인증 방법이 제공된다. 상기 방법은, 온라인 서비스 서버로부터 생체인식 본인인증 요청을 수신하는 단계, 상기 생체인식 본인인증 요청에 응답하여, 일회용 패스워드를 생성하고 상기 온라인 서비스 서버에 전송하는 단계, 사용자 단말기로부터 상기 일회용 패스워드를 수신하는 단계, 상기 일회용 패스워드의 수신에 응답하여, 상기 사용자 단말기에 인증용 메시지를 전송하는 단계, 상기 사용자 단말기로부터 상기 사용자 단말기 내에 저장된 개인키를 이용하여 서명된 상기 인증용 메시지를 수신하는 단계, 상기 개인키로 서명된 상기 인증용 메시지를 저장된 공개키를 이용하여 검증하는 단계, 및 상기 검증 결과에 따라 온라인 서비스 서버에 생체인식 본인인증 결과를 전송하는 단계를 포함하고, 상기 개인키와 상기 공개키는 한 쌍을 이루고, 상기 사용자 단말기 내에 저장된 상기 개인키에 대한 접근을 위하여 상기 사용자의 생체정보의 인증이 요구된다.

Description

생체인식 본인인증 방법

본 발명은 본인인증에 관한 것으로, 보다 상세하게는 공개키 기반구조(Public Key Infrastructure; PKI)를 이용하는 생체인식 본인인증 방법에 관한 것이다.

본인인증이란 회원 가입, 회원정보 변경, 전자 결제, 인터넷 뱅킹 등의 특정한 온라인 서비스를 이용하고자 할 때 사용자가 실제 본인인지 여부를 휴대폰 정보, 아이핀(I-PIN), 공인인증서 등의 본인확인 수단을 통해서 확인해주는 것을 나타낸다.

현재 제공되고 있는 휴대폰, 아이핀, 공인인증서 등을 이용하는 본인인증 서비스는 보안이 취약하거나, 플러그인 등의 추가적인 프로그램의 설치, 많은 입력 값들로 인해서 사용자의 피로도가 증가하거나, 사용자와 사업자 모두 서비스 이용을 위하여 비용을 지불해야 하는 문제점이 있다.

본 발명이 해결하고자 하는 과제는 보안성, 사용자 편의성, 경제성이 높은 생체인식 본인인증 방법을 제공하는 것이다.

본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

상기 과제를 해결하기 위한 본 발명의 일 면(aspect)에 따른 생체인식 본인인증 방법은, 온라인 서비스 서버로부터 생체인식 본인인증 요청을 수신하는 단계, 상기 생체인식 본인인증 요청에 응답하여, 일회용 패스워드를 생성하고 상기 온라인 서비스 서버에 전송하는 단계, 사용자 단말기로부터 상기 일회용 패스워드를 수신하는 단계, 상기 일회용 패스워드의 수신에 응답하여, 상기 사용자 단말기에 인증용 메시지를 전송하는 단계, 상기 사용자 단말기로부터 상기 사용자 단말기 내에 저장된 개인키를 이용하여 서명된 상기 인증용 메시지를 수신하는 단계, 상기 개인키로 서명된 상기 인증용 메시지를 저장된 공개키를 이용하여 검증하는 단계, 및 상기 검증 결과에 따라 온라인 서비스 서버에 생체인식 본인인증 결과를 전송하는 단계를 포함하고, 상기 개인키와 상기 공개키는 한 쌍을 이루고, 상기 사용자 단말기 내에 저장된 상기 개인키에 대한 접근을 위하여 상기 사용자의 생체정보의 인증이 요구된다.

본 발명의 일부 실시예에서, 상기 방법은, 상기 사용자 단말기로부터 등록 요청을 수신하는 단계, 상기 등록 요청의 수신에 응답하여, 상기 사용자 단말기에 사용자 식별정보 입력 요청을 전송하는 단계, 상기 사용자 단말기로부터 상기 사용자의 식별정보를 수신하는 단계, 제3의 본인인증 서버에 상기 사용자의 식별정보를 포함하는 사용자 본인인증 요청을 전송하는 단계, 및 상기 제3의 본인인증 서버로부터 사용자 본인인증 결과를 수신하는 단계를 더 포함할 수 있다.

또한, 상기 방법은, 상기 사용자 본인인증 결과를 이용하여 상기 사용자의 고유번호를 추출하는 단계, 상기 사용자 단말기에 사용자 생체정보 입력 요청을 전송하는 단계, 상기 사용자 단말기로부터 상기 공개키를 수신하는 단계, 및 상기 사용자의 고유번호와 상기 공개키를 매핑하여 저장하는 단계를 더 포함할 수 있다.

상기 사용자의 식별정보는 상기 사용자의 생년월일, 성별, 고유번호의 일부 자릿수 중 적어도 하나를 포함하고, 상기 사용자 본인인증 결과는 DI(Duplication Information) 값, CI(Connecting Information) 값 중 적어도 하나를 포함하고, 상기 방법의 상기 사용자의 고유번호를 추출하는 단계는, 상기 사용자의 식별정보를 이용하여 적어도 하나의 후보 고유번호를 추출하고, 상기 적어도 하나의 후보 고유번호에 상응하는 DI 값, CI 값 중 적어도 하나를 각각 생성하고, 상기 생성된 DI 값, CI 값과 상기 수신한 DI 값, CI 값을 비교하여 상기 적어도 하나의 후보 고유번호 중 상기 사용자의 고유번호를 추출할 수 있다.

또한, 상기 사용자의 식별정보는 상기 사용자의 휴대폰 정보, 아이핀(I-PIN) 정보, 공인인증서 정보 중 적어도 하나를 포함할 수 있다.

본 발명의 일부 실시예에서, 상기 인증용 메시지는 난수로 생성된 챌린지(Challenge) 값을 포함할 수 있다.

본 발명의 일부 실시예에서, 상기 생체인식 본인인증 결과는 사용자의 성명, 생년월일, 성별, DI(Duplication Information) 값, CI(Connecting Information) 값 중 적어도 하나를 포함할 수 있다.

상기 과제를 해결하기 위한 본 발명의 다른 면에 따른 생체인식 본인인증 방법은, 온라인 서비스 서버에 생체인식 본인인증 요청을 전송하는 단계, 사용자로부터 일회용 패스워드를 입력받는 단계, 생체인식 본인인증 서버에 상기 일회용 패스워드를 전송하는 단계, 상기 생체인식 본인인증 서버로부터 인증용 메시지를 수신하는 단계, 상기 인증용 메시지의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 생체정보를 입력받는 단계, 상기 사용자의 생체정보가 미리 저장된 생체정보와 동일한지 비교하고, 비교 결과에 따라 상기 인증용 메시지를 저장된 개인키를 이용하여 서명하는 단계, 및 상기 생체인식 본인인증 서버에 상기 개인키로 서명된 상기 인증용 메시지를 전송하는 단계를 포함하고, 상기 개인키와 한 쌍을 이루는 공개키가 상기 생체인식 본인인증 서버 내에 저장되고, 상기 공개키를 이용한 검증 결과에 따라 생체인식 본인인증이 수행된다.

본 발명의 일부 실시예에서, 상기 방법은, 상기 생체인식 본인인증 서버에 등록 요청을 전송하는 단계, 상기 생체인식 본인인증 서버로부터 사용자 식별정보 입력 요청을 수신하는 단계, 상기 사용자 식별정보 입력 요청의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 식별정보를 입력받는 단계, 및 상기 생체인식 본인인증 서버에 상기 사용자의 식별정보를 전송하는 단계를 더 포함할 수 있다.

본 발명의 일부 실시예에서, 상기 방법은, 상기 생체인식 본인인증 서버로부터 사용자 생체정보 입력 요청을 수신하는 단계, 상기 사용자 생체정보 입력 요청의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 생체정보를 입력받는 단계, 상기 사용자의 생체정보가 상기 미리 저장된 생체정보와 동일한지 비교하고, 비교 결과에 따라 한 쌍의 상기 개인키와 상기 공개키를 생성하는 단계, 및 상기 생체인식 본인인증 서버에 상기 공개키를 전송하는 단계를 더 포함할 수 있다.

상기 본 발명의 생체인식 본인인증 방법은, 사용자의 신체의 고유의 생체정보를 이용함으로써 보안성이 높으며, 타인 정보의 오용과 남용의 위험을 감소시킬 수 있으며, 도난이나 분실의 가능성이 매우 적다.

또한, 상기 본 발명의 생체인식 본인인증 방법에 의하면, 본인인증을 위하여 사용자가 입력하여야 하는 값들이 최소화되고, 패스워드를 주기적으로 변경해야 하거나 기억해야 하는 불편함이 해소될 수 있다.

또한, 상기 본 발명의 생체인식 본인인증 방법에 의하면, 본인인증 서비스 이용을 위해 필요한 비용, 사용자의 개인정보 보안유지를 위해 필요한 비용이 감소되고, 스마트폰 이외의 별도의 토큰이 불필요하게 되어 경제성을 확보할 수 있다.

본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

도 1은 본 발명의 실시예에 따른 생체인식 본인인증 방법이 적용 가능한 시스템을 개략적으로 도시하는 블록도이다.

도 2는 도 1의 생체인식 본인인증 서버의 내부 구성을 개략적으로 도시하는 블록도이다.

도 3은 도 2의 회원 정보 DB에 저장된 데이터를 개략적으로 도시하는 도면이다.

도 4는 도 1의 사용자 단말기의 내부 구성을 개략적으로 도시하는 블록도이다.

도 5는 본 발명의 실시예에 따른 생체인식 본인인증 방법의 등록 과정을 개략적으로 도시하는 흐름도이다.

도 6은 본 발명의 실시예에 따른 생체인식 본인인증 방법의 제1 인증 과정을 개략적으로 도시하는 흐름도이다.

도 7은 본 발명의 실시예에 따른 생체인식 본인인증 방법의 제2 인증 과정을 개략적으로 도시하는 흐름도이다.

도 8은 본 발명의 실시예에 따른 생체인식 본인인증 방법이 적용 가능한 다른 시스템을 개략적으로 도시하는 블록도이다.

도 9는 본 발명의 실시예에 따른 생체인식 본인인증 방법이 적용 가능한 또 다른 시스템을 개략적으로 도시하는 블록도이다.

이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세하게 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.

도 1을 참조하면, 시스템(1)은 생체인식 본인인증 서버(100), 웹/모바일 서비스 서버(200), 사용자 단말기(300)를 포함한다.

생체인식 본인인증 서버(100), 웹/모바일 서비스 서버(200), 사용자 단말기(300)는 네트워크를 통해서 서로 데이터 및/또는 정보를 송수신할 수 있다. 네트워크는 유선 또는 무선일 수 있다. 실시예에 따라, 네트워크는 각종 규모, 토폴로지 및 통신 방식의 서브 네트워크를 포함할 수 있다.

생체인식 본인인증 서버(100)는 공개키 기반구조(Public Key Infrastructure; PKI)의 생체인식 본인인증 서비스를 제공한다. 생체인식 본인인증 서버(100)는 종래의 휴대폰 정보, 아이핀(I-PIN), 공인인증서 등과 같은 지식기반 본인확인 수단이 아닌 사용자의 신체의 고유의 생체정보를 본인확인 수단으로 이용한다. 본 발명의 실시예들에서, 본인인증을 위하여 이용되는 사용자의 생체정보는 사용자의 지문일 수 있으나, 본 발명이 이에 제한되는 것은 아니고, 사용자의 홍채, 음성 등과 그 밖의 각종 생체정보가 본인인증을 위하여 이용될 수 있다.

웹/모바일 서비스 서버(200)는 웹 기반의 또는 모바일 기반의 온라인 서비스를 제공한다. 웹/모바일 서비스 서버(200)가 회원 가입, 회원정보 변경, 전자 결제, 인터넷 뱅킹 등의 특정한 온라인 서비스를 제공할 때 사용자의 본인인증이 요구될 수 있으며, 이 경우 웹/모바일 서비스 서버(200)는 생체인식 본인인증 서버(100)가 제공하는 공개키 기반구조의 생체인식 본인인증 서비스를 이용하여 사용자의 본인인증 요청을 처리하거나, 그 결과를 수신할 수 있다. 예를 들어, 웹/모바일 서비스 서버(200)는 각종 검색/포털 서비스 서버, 커뮤니티 서비스 서버, 비즈니스 웹사이트 서버, 오픈마켓 서버, 게임 서버, 금융기관 서버 등일 수 있으나, 본 발명이 이에 제한되는 것은 아니다.

사용자 단말기(300)는 사용자에 의해 사용되는 컴퓨터 시스템을 나타낸다. 예를 들어, 사용자 단말기(300)는 스마트폰, 태블릿(tablet), PDA(Personal Digital Assistant), 랩톱(laptop), 데스크톱(desktop) 등과 같은 컴퓨터 시스템일 수 있으나, 본 발명이 이에 제한되는 것은 아니다. 사용자 단말기(300)는 온라인 서비스의 이용이 가능한 예시되지 않은 다른 컴퓨터 시스템일 수도 있다. 사용자 단말기(300)는 앱 마켓 또는 다운로드 사이트 등으로부터 본 발명의 실시예에 따른 생체인식 본인인증 방법을 수행하기 위한 소프트웨어 모듈(애플리케이션 등)을 다운로드하고, 이를 설치하여 실행할 수 있다.

도 2는 도 1의 생체인식 본인인증 서버(100)의 내부 구성을 개략적으로 도시하는 블록도이다.

도 2를 참조하면, 생체인식 본인인증 서버(100)는 통신부(110), 입력부(120), 출력부(130), 저장부(140), 제어부(150), 전원 공급부(160)를 포함한다.

통신부(210)는 외부 디바이스(다른 서버 또는 사용자 단말기 등)와 통신할 수 있다. 통신부(210)는 외부 디바이스로부터 수신한 데이터 및/또는 정보를 제어부(150)에 전달하고, 제어부(150)로부터 전달된 데이터 및/또는 정보를 외부 디바이스에 전송할 수 있다. 이를 위하여, 통신부(210)는 네트워크 인터페이스 카드 등의 통신용 모듈을 포함할 수 있다.

입력부(120)는 서버 운영자로부터 각종 정보를 입력받는다. 입력부(120)는 키 패드, 버튼, 스위치, 터치 패드, 조그 휠, 키보드, 마우스 등의 각종 입력 수단을 포함할 수 있다.

출력부(130)는 서버 운영자에게 각종 정보를 통보한다. 출력부(130)는 텍스트, 영상 또는 음성의 형태로 정보를 출력할 수 있다. 이를 위하여, 출력부(130)는 디스플레이 모듈(131) 및 스피커 모듈(132)을 포함할 수 있다. 디스플레이 모듈(131)은 PDP(Plasma Display Panel), LCD(Liquid Crystal Display), TFT(Thin Film Transistor) LCD, OLED(Organic Light Emitting Diode), 플렉시블 디스플레이, 3차원 디스플레이, 전자잉크 디스플레이, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태로 제공될 수 있다. 출력부(130)는 본 발명이 속하는 기술분야에서 잘 알려진 임의의 형태의 출력 수단을 더 포함하여 구성될 수 있다.

저장부(140)는 각종 데이터 및 명령을 저장한다. 저장부(140)는 생체인식 본인인증 서버(100)의 동작을 위한 시스템 소프트웨어와 본 발명의 실시예에 따른 생체인식 본인인증 방법을 수행하기 위한 애플리케이션을 포함한 각종 소프트웨어 모듈을 저장할 수도 있다. 저장부(140)는 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable-Programmable ROM), EEPROM(Electrically EPROM), 플래시 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함할 수 있다.

저장부(140)는 회원 정보 DB(141)와 업체 정보 DB(142)를 포함한다. 도 3은 회원 정보 DB(141)에 저장된 데이터를 개략적으로 도시하는 도면이다. Auth(Authenticator)는 사용자의 생체정보 연결을 위한 키 값을 나타낸다. 회원 정보 DB(141)는 도 3에 도시된 데이터들 중 일부 데이터를 저장하지 않거나, 도시되지 않은 다른 데이터를 더 저장할 수도 있다. 회원 정보 DB(141)는 후술하는 제3의 본인인증을 위하여 이용되는 사용자의 식별정보의 종류(휴대폰 정보, 아이핀(I-PIN) 정보, 공인인증서 정보 등)에 따라 서로 다른 데이터를 저장할 수 있다. 명확하게 도시되지 않았으나, 업체 정보 DB(142)는 업체의 아이디, 업체명, 고유번호(사업자 등록번호 등), 주소, 담당자 성명, 담당자 연락처 등과 같은 데이터를 저장할 수 있다.

제어부(150)는 다른 구성요소들을 제어하여 생체인식 본인인증 서버(100)의 전반적인 동작을 제어한다. 제어부(150)는 저장부(140)에 저장된 생체인식 본인인증 서버(100)의 동작을 위한 시스템 소프트웨어와 본 발명의 실시예에 따른 생체인식 본인인증 방법을 수행하기 위한 애플리케이션을 포함한 각종 소프트웨어 모듈을 수행할 수 있다.

제어부(150)는 회원 정보 관리 모듈(151), 업체 정보 관리 모듈(152), 타 본인인증 처리 모듈(153), 생체인식 본인인증 처리 모듈(154)을 포함한다. 회원 정보 관리 모듈(151)은 회원 가입, 회원 정보의 등록/수정/삭제 등의 회원 정보 관리 기능을 수행한다. 업체 정보 관리 모듈(152)은 업체 가입, 업체 정보의 등록/수정/삭제 등의 업체 정보 관리 기능을 수행한다. 타 본인인증 처리 모듈(153)은 제3의 본인인증을 위한 사용자 식별정보 입력 요청, 사용자 본인인증 요청, 사용자 고유번호 추출 등의 기능을 수행한다. 생체인식 본인인증 처리 모듈(154)은 생체인식 본인인증을 위한 사용자 생체정보 입력 요청, 사용자 고유번호와 공개키의 매핑, 공개키의 저장, 공개키를 이용한 검증 등의 기능을 수행한다.

전원 공급부(160)는 통신부(110), 입력부(120), 출력부(130), 저장부(140), 제어부(150)의 동작에 필요한 전원을 공급한다. 전원 공급부(160)는 외부로부터 공급되는 전원을 상기 구성요소들에 적합한 전원으로 변환할 수 있다.

한편, 도 2에 도시된 구성요소들이 필수적인 것은 아니어서, 생체인식 본인인증 서버(100)는 그보다 많은 구성요소들을 포함하거나 그보다 적은 구성요소들을 포함할 수 있다.

도 4는 도 1의 사용자 단말기(300)의 내부 구성을 개략적으로 도시하는 블록도이다.

도 4를 참조하면, 사용자 단말기(300)는 무선 통신부(310), 사용자 입력부(320), 센싱부(330), 출력부(340), 저장부(350), 제어부(360), 전원 공급부(370)를 포함한다.

무선 통신부(310)는 외부 디바이스(각종 서버 등)와 무선 통신할 수 있다. 무선 통신부(310)는 이동 통신, 와이브로, 블루투스(Bluetooth), 와이파이(WiFi), 지그비(Zigbee), 초음파, 적외선, RF(Radio Frequency) 등과 같은 무선 통신 방식을 이용하여 외부 디바이스와 무선 통신할 수 있다. 그러나, 무선 통신 방식이 특정한 실시예에 제한되는 것은 아니다. 무선 통신부(310)는 외부 디바이스로부터 수신한 데이터 및/또는 정보를 제어부(360)에 전달하고, 제어부(360)로부터 전달된 데이터 및/또는 정보를 외부 디바이스에 전송할 수 있다. 이를 위하여, 무선 통신부(310)는 이동 통신 모듈(311) 및 근거리 통신 모듈(312)을 포함할 수 있다.

사용자 입력부(320)는 사용자로부터 각종 정보를 입력받는다. 사용자 입력부(320)는 키 패드, 버튼, 스위치, 터치 패드, 조그 휠 등의 입력 수단을 포함할 수 있다. 터치 패드가 후술하는 디스플레이 모듈(341)과 상호 레이어 구조를 이루는 경우, 터치스크린을 구성할 수 있다.

센싱부(330)는 사용자 단말기(300)의 상태 또는 사용자의 상태를 감지한다. 센싱부(240)는 터치 센서, 근접 센서, 압력 센서, 진동 센서, 지자기 센서, 자이로 센서, 가속 센서, 생체 인식 센서 등의 감지 수단을 포함할 수 있다. 생체 인식 센서는 사용자의 지문, 홍채, 음성 등과 그 밖의 각종 생체정보를 감지할 수 있다. 센싱부(330)는 사용자 입력을 위하여 이용될 수도 있다.

출력부(340)는 사용자에게 각종 정보를 통보한다. 출력부(340)는 텍스트, 영상 또는 음성의 형태로 정보를 출력할 수 있다. 이를 위하여, 출력부(340)는 디스플레이 모듈(341) 및 스피커 모듈(342)을 포함할 수 있다. 디스플레이 모듈(341)은 PDP, LCD, TFT LCD, OLED, 플렉시블 디스플레이, 3차원 디스플레이, 전자잉크 디스플레이, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태로 제공될 수 있다. 출력부(340)는 본 발명이 속하는 기술분야에서 잘 알려진 임의의 형태의 출력 수단을 더 포함하여 구성될 수 있다.

저장부(350)는 각종 데이터 및 명령을 저장한다. 저장부(350)는 사용자 단말기(300)의 동작을 위한 시스템 소프트웨어와 본 발명의 실시예에 따른 생체인식 본인인증 방법을 수행하기 위한 애플리케이션을 포함한 각종 소프트웨어 모듈을 저장할 수도 있다. 저장부(350)는 RAM, ROM, EPROM, EEPROM, 플래시 메모리, 하드 디스크, 착탈형 디스크, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체를 포함할 수 있다.

또한, 저장부(350)는 보안 요소(Secure Element, 351)를 포함한다. 보안 요소는 보안 영역(Secure Storage)으로 불리어질 수도 있다. 보안 요소(351)는 본인인증을 위한 개인키를 저장한다. 개인키에 대한 접근을 위하여 사용자의 생체정보의 인증이 요구된다. 미리 등록된 사용자의 지문, 홍채, 음성 등의 생체정보도 보안 요소(351) 내에 저장될 수 있다. 개인키, 사용자의 생체정보는 암호화되어 저장될 수 있다. 보안 요소(351)는 이동식 메모리 카드, IC 카드, 임베디드 하드웨어, 또는 통신용 프로세서 등의 유형으로 제공될 수 있으나, 본 발명이 이에 제한되는 것은 아니다.

제어부(360)는 다른 구성요소들을 제어하여 사용자 단말기(300)의 전반적인 동작을 제어한다. 제어부(360)는 저장부(350)에 저장된 사용자 단말기(300)의 동작을 위한 시스템 소프트웨어와 본 발명의 실시예에 따른 생체인식 본인인증 방법을 수행하기 위한 애플리케이션을 포함한 각종 소프트웨어 모듈을 수행할 수 있다.

전원 공급부(370)는 무선 통신부(310), 사용자 입력부(320), 센싱부(330), 출력부(340), 저장부(350), 제어부(360)의 동작에 필요한 전원을 공급한다. 전원 공급부(370)는 내장 배터리를 포함하거나, 외부로부터 공급되는 전원을 상기 구성요소들에 적합한 전원으로 변환할 수 있다.

한편, 도 4에 도시된 구성요소들이 필수적인 것은 아니어서, 사용자 단말기(300)는 그보다 많은 구성요소들을 포함하거나 그보다 적은 구성요소들을 포함할 수 있다.

도 5를 참조하면, 단계 S401에서, 사용자 단말기(300)가 생체인식 본인인증 서버(100)에 등록 요청을 전송한다. 등록 요청은 회원 가입 등의 프로세스를 포함할 수 있다.

이어서, 단계 S402에서, 등록 요청에 응답하여, 생체인식 본인인증 서버(100)가 사용자 단말기(300)에 사용자 식별정보 입력 요청을 전송한다.

이어서, 단계 S403에서, 사용자 식별정보 입력 요청에 응답하여, 사용자 단말기(300)가 사용자로부터 사용자의 식별정보를 입력받는다. 사용자의 식별정보는 사용자의 휴대폰 정보, 아이핀(I-PIN) 정보, 공인인증서 정보 등을 포함할 수 있다. 또한, 사용자의 식별정보는 사용자의 생년월일, 성별, 고유번호(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 등)의 일부 자릿수(예를 들어, 임의의 2자리 또는 3자리) 등을 더 포함할 수 있다. 사용자의 식별정보의 입력은 동시에 또는 단계별로 수행될 수 있다.

이어서, 단계 S404에서, 사용자 단말기(300)가 생체인식 본인인증 서버(100)에 사용자의 식별정보를 전송하고, 단계 S405에서, 생체인식 본인인증 서버(100)가 타 본인인증 서버에 사용자의 식별정보를 포함하는 사용자 본인인증 요청을 전송한다. 타 본인인증 서버는 본 발명의 실시예에 따른 생체인식 본인인증이 아닌 제3의 본인인증 서비스를 제공할 수 있다. 타 본인인증 서버는 이동통신사, 공공인증기관, 신용정보기관, 또는 본인인증 대행기관 등에서 운영하는 임의의 서버를 나타낸다.

이어서, 단계 S406에서, 생체인식 본인인증 서버(100)가 타 본인인증 서버로부터 사용자 본인인증 결과를 수신한다. 사용자 본인인증 결과는 사용자의 DI(Duplication Information) 값, CI(Connecting Information) 값 등을 포함할 수 있다.

이어서, 단계 S407에서, 생체인식 본인인증 서버(100)가 사용자 본인인증 결과를 이용하여 사용자의 고유번호를 추출한다. 구체적으로, 생체인식 본인인증 서버(100)는 단계 S403에서 입력받은 사용자의 식별정보(사용자의 생년월일 등)를 이용하여 전체 고유번호 목록 내에서 적어도 하나의 후보 고유번호를 추출하고, 적어도 하나의 후보 고유번호에 상응하는 DI 값, CI 값 등을 각각 생성하고, 상기 생성된 DI 값, CI 값과 타 본인인증 서버로부터 수신한 DI 값, CI 값을 비교하여 적어도 하나의 후보 고유번호 중 사용자의 고유번호를 추출할 수 있다.

이어서, 단계 S408에서, 생체인식 본인인증 서버(100)가 사용자 단말기(300)에 사용자 생체정보 입력 요청을 전송한다.

이어서, 단계 S409에서, 사용자 생체정보 입력 요청에 응답하여, 사용자 단말기(300)가 사용자의 생체정보를 입력받는다. 이어서, 단계 S410에서, 사용자 단말기(300)가 사용자의 생체정보가 미리 저장된 생체 정보와 동일한지 비교하고, 비교 결과에 따라 공개키 기반구조(Public Key Infrastructure; PKI)의 한 쌍의 개인키와 공개키를 생성한다. 사용자 단말기(300)는 사용자 단말기, 서비스 및 사용자 아이디에 대하여 유일한 한 쌍의 개인키와 공개키를 생성할 수 있다. 이어서, 단계 S411에서, 사용자 단말기(300)가 생체인식 본인인증 서버(100)에 공개키를 전송한다.

이어서, 단계 S412에서, 생체인식 본인인증 서버(100)가 사용자의 아이디, 사용자의 고유번호, 공개키를 매핑하여 저장하여, 등록 과정을 완료한다.

도 6을 참조하면, 단계 S501에서, 사용자 단말기(300)가 웹/모바일 서비스 서버(200)에 생체인식 본인인증 요청을 전송하고, 단계 S502에서, 웹/모바일 서비스 서버(200)가 생체인식 본인인증 서버(100)에 생체인식 본인인증 요청을 전송한다. 웹/모바일 서비스 서버(200)는 생체인식 본인인증 요청에 서비스 관리 및 과금 정산을 위한 업체 아이디, 업체의 고유번호, 본인인증 결과를 전달받기 위한 주소 정보 등을 포함시켜 전송할 수 있다.

이어서, 단계 S503에서, 생체인식 본인인증 요청에 응답하여, 생체인식 본인인증 서버(100)가 일회용 패스워드(One Time Password; OTP)를 생성한다. 이어서, 단계 S504에서, 생체인식 본인인증 서버(100)가 웹/모바일 서비스 서버(200)에 일회용 패스워드를 전송하고, 단계 S505에서, 웹/모바일 서비스 서버(200)가 사용자 단말기(300)에 일회용 패스워드를 전송한다. 웹/모바일 서비스 서버(200)에 의한 일회용 패스워드의 전송은 다른 채널(SMS 등의 문자 메시지)을 통해서 수행될 수 있다.

이어서, 단계 S506에서, 사용자 단말기(300)가 사용자로부터 일회용 패스워드를 입력받고, 단계 S507에서, 사용자 단말기(300)가 생체인식 본인인증 서버(100)에 사용자로부터 입력받은 일회용 패스워드를 전송한다.

이어서, 단계 S508에서, 생체인식 본인인증 서버(100)가 일회용 패스워드를 비교하여 사용자/사용자 단말기(300)를 인증하고, 단계 S509에서, 생체인식 본인인증 서버(100)가 사용자 단말기(300)에 인증용 메시지를 전송한다. 여기서, 인증용 메시지는 난수로 생성된 챌린지(Challenge) 값을 포함할 수 있다.

이어서, 단계 S510에서, 인증용 메시지의 수신에 응답하여, 사용자 단말기(300)가 사용자로부터 사용자의 생체정보를 입력받는다. 이어서, 단계 S511에서, 사용자 단말기(300)가 사용자의 생체정보가 미리 저장된 생체정보와 동일한지 비교하고, 비교 결과에 따라 인증용 메시지를 저장된 개인키를 이용하여 서명한다. 이어서, 단계 S512에서, 사용자 단말기(300)가 생체인식 본인인증 서버(100)에 개인키로 서명된 인증용 메시지를 전송한다.

이어서, 단계 S513에서, 생체인식 본인인증 서버(100)가 개인키로 서명된 인증용 메시지를 저장된 공개키를 이용하여 검증한다.

이어서, 단계 S514에서, 검증 결과에 따라, 생체인식 본인인증 서버(100)가 웹/모바일 서비스 서버(200)에 생체인식 본인인증 결과를 전송한다. 생체인식 본인인증 결과는 사용자의 성명, 생년월일, 성별, DI(Duplication Information) 값, CI(Connecting Information) 값 등을 포함할 수 있다. 실시예에 따라, 생체인식 본인인증 결과는 사용자의 휴대폰 정보를 더 포함할 수도 있다.

도 7을 참조하면, 복수의 사용자 단말기(300, 350)를 이용한 인증 과정이 도시된다. 생체인식 본인인증은 사용자 단말기(300)에 의해 수행되고, 생체인식 본인인증 결과에 따른 특정한 온라인 서비스는 다른 사용자 단말기(350)가 제공받는 것이다. 이 경우, 도 6을 참조하여 설명한 생체인식 본인인증 방법의 제1 인증 과정과 달리, 웹/모바일 서비스 서버(200)에의 생체인식 본인인증 요청의 전송과 웹/모바일 서비스 서버(200)로부터의 일회용 패스워드의 수신은 생체인식 본인인증을 등록하지 않은 사용자 단말기 (350)에 의해 수행된다. 이 경우, 웹/모바일 서비스 서버(200)에 의한 일회용 패스워드의 전송은 동일한 채널(웹/모바일 서비스 서버(200)와 사용자 단말기(350) 간의 서비스 채널)을 통해서 수행될 수 있다. 그리고, 일회용 패스워드의 전송, 인증용 메시지의 수신, 개인키를 이용한 서명, 서명된 인증용 메시지의 전송은 생체인식 본인인증을 등록한 사용자 단말기(300)에 의해 수행된다. 실시예에 따라, 일회용 패스워드는 QR(Quick Response) 코드와 같이 패턴화된 코드의 형태로 제공될 수도 있다.

도 8을 참조하면, 시스템(2)은 생체인식 본인인증 서버(100), 웹/모바일 서비스 서버, 사용자 단말기(300)를 포함한다.

도 1을 참조하여 설명한 시스템(1)과 다르게, 시스템(2) 내에서 생체인식 본인인증 서버(100)는 본인인증 서버(110)와 생체인식 솔루션 서버(120)를 포함하여 구성된다. 본인인증 서버(110)와 생체인식 솔루션 서버(120)는 기능적으로만 서로 분리되거나, 또는 물리적/공간적으로 서로 분리될 수 있다. 본인인증 서버(110)와 생체인식 솔루션 서버(120)는 각각 도 2를 참조하여 설명한 생체인식 본인인증 서버(100)의 구성요소들 중 적어도 일부의 구성요소를 포함할 수 있다. 그리고, 본인인증 서버(110)와 생체인식 솔루션 서버(120)는 각각 도 5 내지 도 7을 참조하여 설명한 생체인식 본인인증 방법의 단계들 중 적어도 일부의 단계를 수행할 수 있다. 예를 들어, 본인인증 서버(110)가 기본적인 서비스 로직, 외부 디바이스와 생체인식 솔루션 서버(120)간의 각종 데이터, 정보 및/또는 메시지 등의 중계를 수행하고, 생체인식 솔루션 서버(120)가 실체적인 공개키 기반구조의 생체인식 본인인증 서비스를 수행할 수 있으나, 본 발명이 이에 제한되는 것은 아니다.

도 9를 참조하면, 시스템(3)은 웹 서버(1000), 사용자 단말기(300)를 포함한다.

도 1을 참조하여 설명한 시스템(1)과 다르게, 시스템(3) 내에서 생체인식 본인인증 서버(100)와 웹/모바일 서비스 서버(200)가 하나의 웹 서버(1000)를 구성한다. 웹 서버(1000) 내에서 생체인식 본인인증 서버(100)와 웹/모바일 서비스 서버(200)는 기능적으로만 서로 분리되거나, 또는 물리적/공간적으로 서로 분리될 수 있다. 웹 서버(1000)는 웹/모바일 서비스 서버(200) 및/또는 생체인식 본인인증 서버(100)를 이용하여 도 5 내지 도 7을 참조하여 설명한 생체인식 본인인증 방법의 단계들 중 적어도 일부의 단계를 수행할 수 있다.

명확하게 도시하지 않았으나, 도 9의 생체인식 본인인증 서버(100)도 도 8을 참조하여 설명한 바와 같이 본인인증 서버(110)와 생체인식 솔루션 서버(120)를 포함하여 구성되도록 변형될 수 있다.

본 발명의 실시예와 관련하여 설명된 방법은 프로세서에 의해 수행되는 소프트웨어 모듈로 구현될 수 있다. 소프트웨어 모듈은 RAM, ROM, EPROM, EEPROM, 플래시 메모리, 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터로 읽을 수 있는 기록 매체에 상주할 수도 있다.

이상, 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

Claims

컴퓨터 시스템에 의해 수행되는 방법으로서,

온라인 서비스 서버로부터 생체인식 본인인증 요청을 수신하는 단계;

상기 생체인식 본인인증 요청에 응답하여, 일회용 패스워드를 생성하고 상기 온라인 서비스 서버에 전송하는 단계;

사용자 단말기로부터 상기 일회용 패스워드를 수신하는 단계;

상기 일회용 패스워드의 수신에 응답하여, 상기 사용자 단말기에 인증용 메시지를 전송하는 단계;

상기 사용자 단말기로부터 상기 사용자 단말기 내에 저장된 개인키를 이용하여 서명된 상기 인증용 메시지를 수신하는 단계;

상기 개인키로 서명된 상기 인증용 메시지를 저장된 공개키를 이용하여 검증하는 단계; 및

상기 검증 결과에 따라 온라인 서비스 서버에 생체인식 본인인증 결과를 전송하는 단계를 포함하고,

상기 개인키와 상기 공개키는 한 쌍을 이루고, 상기 사용자 단말기 내에 저장된 상기 개인키에 대한 접근을 위하여 상기 사용자의 생체정보의 인증이 요구되는, 생체인식 본인인증 방법.
제1항에 있어서,

상기 사용자 단말기로부터 등록 요청을 수신하는 단계;

상기 등록 요청의 수신에 응답하여, 상기 사용자 단말기에 사용자 식별정보 입력 요청을 전송하는 단계;

상기 사용자 단말기로부터 상기 사용자의 식별정보를 수신하는 단계;

제3의 본인인증 서버에 상기 사용자의 식별정보를 포함하는 사용자 본인인증 요청을 전송하는 단계; 및

상기 제3의 본인인증 서버로부터 사용자 본인인증 결과를 수신하는 단계를 더 포함하는, 생체인식 본인인증 방법.
제2항에 있어서,

상기 사용자 본인인증 결과를 이용하여 상기 사용자의 고유번호를 추출하는 단계;

상기 사용자 단말기에 사용자 생체정보 입력 요청을 전송하는 단계;

상기 사용자 단말기로부터 상기 공개키를 수신하는 단계; 및

상기 사용자의 고유번호와 상기 공개키를 매핑하여 저장하는 단계를 더 포함하는, 생체인식 본인인증 방법.
제3항에 있어서,

상기 사용자의 식별정보는 상기 사용자의 생년월일, 성별, 고유번호의 일부 자릿수 중 적어도 하나를 포함하고,

상기 사용자 본인인증 결과는 DI(Duplication Information) 값, CI(Connecting Information) 값 중 적어도 하나를 포함하고,

상기 사용자의 고유번호를 추출하는 단계는,

상기 사용자의 식별정보를 이용하여 적어도 하나의 후보 고유번호를 추출하고,

상기 적어도 하나의 후보 고유번호에 상응하는 DI 값, CI 값 중 적어도 하나를 각각 생성하고,

상기 생성된 DI 값, CI 값과 상기 수신한 DI 값, CI 값을 비교하여 상기 적어도 하나의 후보 고유번호 중 상기 사용자의 고유번호를 추출하는, 생체인식 본인인증 방법.
제2항에 있어서,

상기 사용자의 식별정보는 상기 사용자의 휴대폰 정보, 아이핀(I-PIN) 정보, 공인인증서 정보 중 적어도 하나를 포함하는, 생체인식 본인인증 방법.
제1항에 있어서,

상기 인증용 메시지는 난수로 생성된 챌린지(Challenge) 값을 포함하는, 생체인식 본인인증 방법.
제1항에 있어서,

상기 생체인식 본인인증 결과는 사용자의 성명, 생년월일, 성별, DI(Duplication Information) 값, CI(Connecting Information) 값 중 적어도 하나를 포함하는, 생체인식 본인인증 방법.
컴퓨터 시스템에 의해 수행되는 방법으로서,

온라인 서비스 서버에 생체인식 본인인증 요청을 전송하는 단계;

사용자로부터 일회용 패스워드를 입력받는 단계;

생체인식 본인인증 서버에 상기 일회용 패스워드를 전송하는 단계;

상기 생체인식 본인인증 서버로부터 인증용 메시지를 수신하는 단계;

상기 인증용 메시지의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 생체정보를 입력받는 단계;

상기 사용자의 생체정보가 미리 저장된 생체정보와 동일한지 비교하고, 비교 결과에 따라 상기 인증용 메시지를 저장된 개인키를 이용하여 서명하는 단계; 및

상기 생체인식 본인인증 서버에 상기 개인키로 서명된 상기 인증용 메시지를 전송하는 단계를 포함하고,

상기 개인키와 한 쌍을 이루는 공개키가 상기 생체인식 본인인증 서버 내에 저장되고, 상기 공개키를 이용한 검증 결과에 따라 생체인식 본인인증이 수행되는, 생체인식 본인인증 방법.
제8항에 있어서,

상기 생체인식 본인인증 서버에 등록 요청을 전송하는 단계;

상기 생체인식 본인인증 서버로부터 사용자 식별정보 입력 요청을 수신하는 단계;

상기 사용자 식별정보 입력 요청의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 식별정보를 입력받는 단계; 및

상기 생체인식 본인인증 서버에 상기 사용자의 식별정보를 전송하는 단계를 더 포함하는, 생체인식 본인인증 방법.
제8항에 있어서,

상기 생체인식 본인인증 서버로부터 사용자 생체정보 입력 요청을 수신하는 단계;

상기 사용자 생체정보 입력 요청의 수신에 응답하여, 상기 사용자로부터 상기 사용자의 생체정보를 입력받는 단계;

상기 사용자의 생체정보가 상기 미리 저장된 생체정보와 동일한지 비교하고, 비교 결과에 따라 한 쌍의 상기 개인키와 상기 공개키를 생성하는 단계; 및

상기 생체인식 본인인증 서버에 상기 공개키를 전송하는 단계를 더 포함하는, 생체인식 본인인증 방법.