WO2023277212A1

WO2023277212A1 - 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템

Info

Publication number: WO2023277212A1
Application number: PCT/KR2021/008211
Authority: WO
Inventors: 한승은
Original assignee: 주식회사 아이리시스
Priority date: 2021-06-29
Filing date: 2021-06-29
Publication date: 2023-01-05
Also published as: KR102357694B1

Abstract

본 발명의 목적은 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능한 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템을 제공하는 것이다. 상기 목적을 달성하기 위해, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템는, 사용자의 생체 정보가 입력되는 입력부; 및 입력된 입력된 상기 생체 정보를 비트 단위 암호화를 이용하여 등록 및 인증하는 인증부;를 포함하며, 상기 인증부는 퍼지 축출기에 의해 인증하는 것을 특징으로 한다.

Description

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템

본 발명은 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템에 관한 것으로, 더욱 상세하게는 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템에 관한 것이다.

기존의 생체 정보 저장, 인증 및 식별 방식들은 주로 서버 관리자만 알고 있는 비밀 키를 사용하여 AES와 같은 블록 암호를 사용해서 개인 생체 정보를 암호화하고, 필요시 비밀 키를 가지고 복호화하여 등록된 개인 생체 정보를 가지고 인증 또는 개인 식별을 수행한다.

하지만, 기존의 생체 정보 저장, 인증 및 식별 방식들은 서버 해킹으로 관리자 만이 알고 있어야 할 비밀 키가 유출되거나, 인증을 수행하는 동안 개인 생체 정보가 그대로 노출되는 것과 같이 해킹에 취약한 문제점이 있었다.

무엇보다 개인 생체 정보 원본이 노출될 경우, 패스워드처럼 변경할 수가 없는 문제점이 있었다.

이를 해결하기 위한 기존의 방식으로는 블룸 필터를 통해 생성한 폐기 가능 템플릿을 이용하여 인증하는 방식이 있다.

하지만 이와 같은 방식은 블룸 필터가 갖고 있는 근본적인 취약점으로 인해 오류율이 높아져서 인식률에 문제가 있을 뿐만 아니라, 등록되지 않은 사용자를 인증하는 에러 역시 증가하게 되어 보안에 민감한 분야에서 사용되기에는 한계가 있는 문제점이 있었다.

또한, 최근 동형 암호가 각광을 받고 있고, 동형 암호를 활용하여 암호화된 생체 정보를 가지고 복호화 없이 식별을 수행하는 방식도 제안이 되고 있으나, 검증을 수행하는 데에 엄청난 수학적인 연산이 요구되어 아직까지 실제 사용되기에는 어려움이 있는 문제점이 있었다.

상기한 바와 같은 종래의 문제점을 해결하기 위한 본 발명의 목적은 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능한 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템을 제공하는 것이다.

상기 목적을 달성하기 위해, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템는, 사용자의 생체 정보가 입력되는 입력부; 및 입력된 입력된 상기 생체 정보를 비트 단위 암호화를 이용하여 등록 및 인증하는 인증부;를 포함하며, 상기 인증부는 퍼지 축출기에 의해 인증하는 것을 특징으로 한다.

또한, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에서, 상기 퍼지 축출기는, 상기 생체 정보를 저장하지 않고, 상기 생체 정보를 기반으로 하는 퍼지 해쉬 기반의 별도의 더미 데이터를 생성 및 저장하여, 생체 기반 등록, 인증 및 바이오 키를 생성하여 사용하는 것을 특징으로 한다.

또한, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에서, 상기 퍼지 축출기의 퍼지 커밋먼트는, 의사 난수 생성기((Pseudo-Random Number Generator)를 통해 2개의 랜덤 값인 제 1 랜덤 값 r₁ 및 제 2 랜덤 값 r₂를 생성하고, 에러 정정 인코딩 방법을 통해 제 1 랜덤 값 r₁을 입력하고, 입력된 상기 제 1 랜덤 값 r₁으로부터 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들에 대한 에러 정정 코드를 각각 복수개 생성한 후, 생성된 복수개의 에러 정정 코드를 연접하여 n비트 C를 생성하며, 입력 값으로 주어진 상기 사용자의 n비트 생체 데이터 B와 상기 에러 정정 코드인 C 사이에 비트간 배타적 논리합(XOR, bitwise exclusive or)을 적용하여 획득한 S 값을 계산하고, 암호학적 해쉬 함수인 HASH에 상기 에러 정정 코드인 C를 적용하여 출력 해쉬 값 H를 생성하는 것을 특징으로 한다.

또한, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에서, 상기 퍼지 커밋먼트에 의해 생성된 출력 해쉬 값 H를 통해 Helper Data인 HD=(r₂,S,H)를 데이터 저장부에 저장하며, 상기 사용자가 인증에 성공할 경우, 사용자의 n비트 생체 데이터 B와 제 2 랜덤 값 r₂를 접합하여 상기 암호학적 해쉬 함수 HASH에 입력하여 비밀 키 K를 생성함으로써, 상기 사용자의 생체 정보를 등록하는 것을 특징으로 한다.

또한, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에서, 상기 퍼지 축출기의 퍼지 디커밋먼트는, 인증 받기를 원하는 상기 사용자로부터 입력된 n비트 생체 데이터인 B'와 데이터 저장부에 저장된 상기 사용자에 대응되는 Helper Data인 HD=(r₂,S,H)를 상기 데이터 저장부로부터 획득한 후, n비트 생체 데이터인 B'와 상기 S 값 사이에 비트간 배타적 논리합을 적용하여 C' 값을 계산하고, 상기 C' 값을 에러 정정 디코딩 알고리즘에 적용하여 C'' 값을 획득하며, 상기 C'' 값과 상기 S 값 사이에 비트간 배타적 논리합을 적용하여 B'' 값을 계산하고, 최초 등록시 생성한 C 값과 인증 단계에서 생성된 C'' 값이 일치하는지의 여부를 확인하며, 상기 C 값과 상기 C'' 값이 일치할 경우, 상기 B'' 값과 상기 B 값이 일치하게 되어, 상기 데이터 저장부에 저장된 제 2 랜덤 값 r₂와 상기 B 값을 이용하여 비밀 키 K를 생성하는 것을 특징으로 한다.

상기 목적을 달성하기 위해, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템은, 사용자의 생체 정보로부터 특징점을 뽑아 생체 코드인 제 1 생체 코드 B₁과 제 2 생체 코드 B₂를 생성하는 특징 추출부; 상기 제 1 생체 코드 B₁을 입력받아 Helper Data인 HD와 비밀 키 K를 생성하는 퍼지 축출기; 및 상기 제 2 생체 코드 B₂와 비밀 키 K를 이용하여 비트 단위 암호화 처리를 수행하여 폐기 가능 템플릿인 C를 생성하는 비트 단위 암호화 처리부;를 갖는 클라이언트를 포함하는 것을 특징으로 한다.

또한, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템은, 생성된 상기 폐기 가능 템플릿인 C를 상기 클라이언트로부터 제공받아 저장하여 상기 사용자의 생체 정보를 등록하는 제 2 데이터 저장부; 및 상기 제 2 데이터 저장부에 저장된 상기 폐기 가능 템플릿인 C와 상기 사용자에 의해 인증시 생성된 폐기 가능 템플릿인 C'를 비교하는 생체 정보 템플릿 비교 처리부;를 갖는 서버를 포함하는 것을 특징으로 한다.

또한, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템에서, 상기 클라이언트는 생성된 상기 Helper Data인 HD를 저장하는 제 1 데이터 저장부;를 갖는 것을 특징으로 한다.

또한, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템에서, 상기 제 2 데이터 저장부는 상기 클라이언트에서 생성된 상기 Helper Data인 HD를 저장하여 폐기 가능 생체 정보를 등록하는 것을 특징으로 한다.

또한, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템에서, 상기 퍼지 축출기는, 상기 사용자의 인증을 위해 제 1 생체 코드 B₁을 입력받아 상기 제 2 데이터 저장부로부터 상기 Helper Data인 HD를 불러들여 비밀 키 K를 생성하는 것을 특징으로 한다.

기타 실시 예의 구체적인 사항은 "발명을 실시하기 위한 구체적인 내용" 및 첨부 "도면"에 포함되어 있다.

본 발명의 이점 및/또는 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 각종 실시 예를 참조하면 명확해질 것이다.

그러나 본 발명은 이하에서 개시되는 각 실시 예의 구성만으로 한정되는 것이 아니라 서로 다른 다양한 형태로도 구현될 수도 있으며, 단지 본 명세서에서 개시한 각각의 실시 예는 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구범위의 각 청구항의 범주에 의해 정의될 뿐임을 알아야 한다.

본 발명에 의하면, 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능한 효과가 있다.

도 1은 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템를 이용한 인증 시스템을 나타내는 블록도.

도 2는 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에 사용되는 기호를 나타내는 표.

도 3은 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템의 등록 단계를 나타내는 블록도.

도 4는 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템의 인증 단계를 나타내는 블록도.

도 5는 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도.

도 6은 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도.

도 7은 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도.

본 발명은 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능한 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템을 제공한다.

본 발명을 상세하게 설명하기 전에, 본 명세서에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 무조건 한정하여 해석되어서는 아니 되며, 본 발명의 발명자가 자신의 발명을 가장 최선의 방법으로 설명하기 위해서 각종 용어의 개념을 적절하게 정의하여 사용할 수 있고, 더 나아가 이들 용어나 단어는 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 함을 알아야 한다.

즉, 본 명세서에서 사용된 용어는 본 발명의 바람직한 실시 예를 설명하기 위해서 사용되는 것일 뿐이고, 본 발명의 내용을 구체적으로 한정하려는 의도로 사용된 것이 아니며, 이들 용어는 본 발명의 여러 가지 가능성을 고려하여 정의된 용어임을 알아야 한다.

또한, 본 명세서에서, 단수의 표현은 문맥상 명확하게 다른 의미로 지시하지 않는 이상, 복수의 표현을 포함할 수 있으며, 유사하게 복수로 표현되어 있다고 하더라도 단수의 의미를 포함할 수 있음을 알아야 한다.

본 명세서의 전체에 걸쳐서 어떤 구성 요소가 다른 구성 요소를 "포함"한다고 기재하는 경우에는, 특별히 반대되는 의미의 기재가 없는 한 임의의 다른 구성 요소를 제외하는 것이 아니라 임의의 다른 구성 요소를 더 포함할 수도 있다는 것을 의미할 수 있다.

더 나아가서, 어떤 구성 요소가 다른 구성 요소의 "내부에 존재하거나, 연결되어 설치된다"라고 기재한 경우에는, 이 구성 요소가 다른 구성 요소와 직접적으로 연결되어 있거나 접촉하여 설치되어 있을 수 있고, 일정한 거리를 두고 이격되어 설치되어 있을 수도 있으며, 일정한 거리를 두고 이격되어 설치되어 있는 경우에 대해서는 해당 구성 요소를 다른 구성 요소에 고정 내지 연결하기 위한 제 3의 구성 요소 또는 수단이 존재할 수 있으며, 이 제 3의 구성 요소 또는 수단에 대한 설명은 생략될 수도 있음을 알아야 한다.

반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결"되어 있다거나, 또는 "직접 접속"되어 있다고 기재되는 경우에는, 제 3의 구성 요소 또는 수단이 존재하지 않는 것으로 이해하여야 한다.

마찬가지로, 각 구성 요소 간의 관계를 설명하는 다른 표현들, 즉 " ~ 사이에"와 "바로 ~ 사이에", 또는 " ~ 에 이웃하는"과 " ~ 에 직접 이웃하는" 등도 마찬가지의 취지를 가지고 있는 것으로 해석되어야 한다.

또한, 본 명세서에서 "일면", "타면", "일측", "타측", "제 1", "제 2" 등의 용어는, 사용된다면, 하나의 구성 요소에 대해서 이 하나의 구성 요소가 다른 구성 요소로부터 명확하게 구별될 수 있도록 하기 위해서 사용되며, 이와 같은 용어에 의해서 해당 구성 요소의 의미가 제한적으로 사용되는 것은 아님을 알아야 한다.

또한, 본 명세서에서 "상", "하", "좌", "우" 등의 위치와 관련된 용어는, 사용된다면, 해당 구성 요소에 대해서 해당 도면에서의 상대적인 위치를 나타내고 있는 것으로 이해하여야 하며, 이들의 위치에 대해서 절대적인 위치를 특정하지 않는 이상은, 이들 위치 관련 용어가 절대적인 위치를 언급하고 있는 것으로 이해하여서는 아니된다.

또한, 본 명세서에서는 각 도면의 각 구성 요소에 대해서 그 도면 부호를 명기함에 있어서, 동일한 구성 요소에 대해서는 이 구성 요소가 비록 다른 도면에 표시되더라도 동일한 도면 부호를 가지고 있도록, 즉 명세서 전체에 걸쳐 동일한 참조 부호는 동일한 구성 요소를 지시하고 있다.

본 명세서에 첨부된 도면에서 본 발명을 구성하는 각 구성 요소의 크기, 위치, 결합 관계 등은 본 발명의 사상을 충분히 명확하게 전달할 수 있도록 하기 위해서 또는 설명의 편의를 위해서 일부 과장 또는 축소되거나 생략되어 기술되어 있을 수 있고, 따라서 그 비례나 축척은 엄밀하지 않을 수 있다.

또한, 이하에서, 본 발명을 설명함에 있어서, 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 구성, 예를 들어, 종래 기술을 포함하는 공지 기술에 대해 상세한 설명은 생략될 수도 있다.

이하, 본 발명의 실시 예에 대해 관련 도면들을 참조하여 상세히 설명하기로 한다.

도 1은 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템를 이용한 인증 시스템을 나타내는 블록도이다.

도 1을 참조하면, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템(100)은 입력부(110)와, 인증부(120)를 포함한다.

입력부(110)에는 사용자의 생체 정보가 입력될 수 있다.

본 실시예에서는 설명의 용이함을 위해 예를 들어, 사용자의 홍채 정보가 입력되는 것을 예로 설명하지만 이에 한정되는 것은 아니며, 사용자의 생체를 인식할 수 있는 모든 수단을 포함할 수 있다.

인증부(120)는 입력된 생체 정보, 예를 들면 홍채 정보를 비트 단위 암호화를 이용하여 등록 및 인증한다.

즉, 인증부(120)는 입력부(110)를 통해 입력된 사용자의 생체 정보를 비트 단위 암호화를 이용하여 등록 및 인증하는 역할을 수행한다.

이러한 인증부(120)는 후술하는 퍼지 축출기에 의해 인증한다.

이와 같은 퍼지 축출기는 사용자의 생체 정보를 데이터베이스에 직접 저장하지 않고, 생체 정보를 기반으로 하는 퍼지 해쉬 기반의 별도의 더미 데이터를 생성하고 이를 데이터베이스에 저장하여, 생체 기반 등록, 인증 및 바이오 키를 생성하여 사용한다.

도 2는 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템에 사용되는 기호를 나타내는 표이다.

도 2를 참조하면, 인증을 위해 퍼지 커밋먼트기반 퍼지 축출기에서 사용되는 기호를 표를 통해 확인할 수 있다.

즉, Bsms 비트 열로 표현된 생체 데이터(예를 들면, 홍채 코드)이다.

B'는 비트 열로 표현된 또 다른 생체 데이터이다.

d(B,B')는 생체 데이터 B와, B' 사이의 해밍 거리이다.

여기서, 해밍 거리는 같은 비트 수를 갖는 2진 부호 사이에 대응되는 비트값이 일치하지 않는 것의 개수이다.

일반적으로 해밍 거리 d가 d≥2a＋1이면 a개의 오류를 정정할 수 있다.

예컨대, A:101011이고, B:110010이면, A와 B의 해밍 거리는 3이다.

∥는 접합 연산자이다.

는 비트간 배타적 논리합(XOR, bitwise exclusive or)이다.

즉, 이진법으로 표현한 수의 각 비트에 대한 2진 집합체(

)에 가감산(0은 거짓, 1은 참으로 생각하고 배타적 논리합을 함)의 결과를 비트간 배타적 논리합이라 한다.

K는 생체 데이터로부터 생성된 비밀 키이다.

PRNG는 의사 난수 생성기(Pseudo-Random Number Generator)이다.

r₁, r₂는 난수 생성기로부터 생성된 두 개의 랜덤 값이다.

n은 생체 데이터 비트 길이이다.

HASH는 암호학적 해쉬 함수(예를 들면, SHA-2)이다.

H는 HASH의 출력 해쉬 값이다.

이와 같은 표를 이용하여 도 3의 등록 단계와, 도 4의 인증 단계를 설명하도록 한다.

도 3은 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템의 등록 단계를 나타내는 블록도이다.

도 3을 참조하면, 본 발명에 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템(100)에서, 퍼지 축출기의 퍼지 커밋먼트는 의사 난수 생성기((Pseudo-Random Number Generator)를 통해 2개의 랜덤 값인 제 1 랜덤 값 r₁ 및 제 2 랜덤 값 r₂를 생성하고, 입력된 상기 제 1 랜덤 값 r₁으로부터 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들에 대한 에러 정정 코드를 각각 복수개 생성한 후, 생성된 복수개의 에러 정정 코드를 연접하여 n비트 C를 생성하며, 입력 값으로 주어진 사용자의 n비트 생체 데이터 B와 에러 정정 코드인 C 사이에 비트간 배타적 논리합(XOR, bitwise exclusive or)을 적용하여 획득한 S 값을 계산하고, 암호학적 해쉬 함수인 HASH에 에러 정정 코드인 C를 적용하여 출력 해쉬 값 H를 생성한다.

또한, 퍼지 커밋먼트에 의해 생성된 출력 해쉬 값 H를 통해 Helper Data인 HD=(r₂,S,H)를 데이터베이스(도시 생략)에 저장하며, 사용자가 인증에 성공할 경우, 사용자의 n비트 생체 데이터 B와 제 2 랜덤 값 r₂를 접합하여 암호학적 해쉬 함수 HASH에 입력하여 비밀 키 K를 생성함으로써, 사용자의 생체 정보를 등록한다.

본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템(100)에서, 데이터베이스는 인증부(120)와 독립적으로 구성되거나 또는 인증부(120)에 포함되어 구성될 수 있다.

좀 더 자세히 설명하면, 우선 의사 난수 생성기를 이용하여 두 개의 랜덤 값인 제 1 랜덤 값 r₁ 및 제 2 랜덤 값 r₂를 생성한다.

에러 정정 인코딩 방법을 통해 제 1 랜덤 값 r₁을 입력하여 에러 정정 코드인 n비트 C를 생성한다.

하지만, 본 실시예에서는 에러 정정 인코딩 방법을 통해 입력된 상기 제 1 랜덤 값 r₁으로부터 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들에 대한 에러 정정 코드를 각각 복수개 생성한 후, 생성된 복수개의 에러 정정 코드를 연접하여 n비트 C를 생성할 수도 있다.

예컨대, 복수개 이상으로 나뉘어진 일부를 r₁이라 하고, 복수개 이상으로 나뉘어진 다른 일부를 r₂라 하면, r₁으로부터 에러 정정 인코딩 방법을 통해 C₁을 생성하고, r₂로부터 에러 정정 인코딩 방법을 통해 C₂를 생성하게 된다.

이와 같이 생성된 C₁ 및 C₂를 연접하여 n비트 C를 생성하게 된다.

즉, 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들을 각각 에러 정정 인코딩 방법을 통해 각각의 에러 정정 코드를 복수개 생성하고, 생성된 복수개의 각각의 에러 정정 코드들을 연접하여 n비트 C를 생성하게 된다.

이와 같은 방식에 의해, 하나의 r1에 대해 하나의 에러 정정 코드를 생성할 때보다 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들을 각각 에러 정정 인코딩 방법을 통해 각각의 에러 정정 코드를 복수개 생성하고, 생성된 복수개의 각각의 에러 정정 코드들을 연접하여 n비트 C를 생성할 때의 연산 속도가 대폭 감소하는 효과가 있다.

이와 같이 연산 속도가 대폭 감소할 경우, 후술하는 입력된 사용자의 n비트 생체 데이터 B와 BCH 코드인 C 사이에 비트간 배타적 논리합을 적용하여 얻은 S 값에 대해 다양한 제 3의 연산을 사용할 수 있는 효과가 있다.

즉, 본 발명에서는 설명의 용이함을 위해, S값을 획득하는 연산으로 사용자의 n비트 생체 데이터 B와 BCH 코드인 C 사이에 비트간 배타적 논리합을 적용하였지만, 상술한 바와 같이 비트 C를 생성할 때의 연산 속도가 대폭 감소할 경우, S값을 획득하는 연산으로 비트간 배타적 논리합 이외의 제 3의 연산을 사용하여 S값을 획득할 수도 있다.

한편, 본 발명에서, 에러 정정 인코딩 방법으로는 BCH 에러 정정 코드를 사용한다.

BCH 코드의 경우 최대 25%까지 에러 정정이 가능하나, 25%까지 에러 정정하기를 원하는 경우, 사용 가능한 코드 개수의 수가 급격히 줄어들어 오히려 전수 조사 공격을 통해 사용자 생체 코드가 유출될 확률이 높아지게 되어, 본 발명에서는 20% 정도까지의 에러를 정정하는 정도까지만 BCH 코드를 사용한다.

그 다음, 입력된 사용자의 n비트 생체 데이터 B와 BCH 코드인 C 사이에 비트간 배타적 논리합을 적용하여 얻은 S 값을 계산하고, 암호학적 해쉬 함수인 HASH에 C를 적용하여 출력 해쉬 값 H를 생성한다.

여기까지가 퍼지 커밋먼트(Fuzzy Commitment) 부분이다.

최종적으로 Helper Data인 HD=(r₂,S,H)를 데이타 저장부(600)에 저장한다.

여기서, 제 2 랜덤 값인 r₂가 추가적으로 데이터베이스에 저장되는 이유는 사용자가 추후 인증에 성공한 경우, 현 등록 단계에 생성된 사용자의 n비트 생체 데이터 B와 제 2 랜덤 값 r₂를 접합하여 암호학적 해쉬 함수인 HASH에 입력하여 비밀 키 K를 계산한다.

이러한 비밀 키 K는 필요시 비밀 키 K를 데이터 암호화 및 암호 통신에 사용할 수 있다.

도 4는 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템의 인증 단계를 나타내는 블록도이다.

도 4를 참조하면, 본 발명에 따른 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템(100)에서, 퍼지 축출기의 퍼지 디커밋먼트는, 인증 받기를 원하는 사용자로부터 입력된 n비트 생체 데이터인 B'와 데이터베이스에 저장된 사용자에 대응되는 Helper Data인 HD=(r₂,S,H)를 데이터 저장부로부터 획득한 후, n비트 생체 데이터인 B'와 S 값 사이에 비트간 배타적 논리합을 적용하여 C' 값을 계산하고, C' 값을 에러 정정 디코딩 알고리즘에 적용하여 C'' 값을 획득하며, C'' 값과 S 값 사이에 비트간 배타적 논리합을 적용하여 B'' 값을 계산하고, 최초 등록시 생성한 C 값과 인증 단계에서 생성된 C'' 값이 일치하는지의 여부를 확인하며, C 값과 C'' 값이 일치할 경우, B'' 값과 B 값이 일치하게 되어, 데이터베이스에 저장된 제 2 랜덤 값 r₂와 B 값을 이용하여 비밀 키 K를 생성한다.

좀 더 상세히 설명하면, 인증 받기를 원하는 사용자로부터 입력으로 주어진 n비트 생체 데이터 B'와 데이터베이스에 저장된 사용자에 대응되는 Helper Data인 HD=(r₂,S,H)를 데이타 저장부(600)로부터 획득한 후, B'와 S 사이에 비트간 배타적 논리합을 적용하여 C' 값을 계산한다.

C'를 BCH 에러 정정 디코딩 알고리즘에 적용하여 C''를 획득한다.

그 다음, C''와 S 사이에 비트간 배타적 논리합을 적용하여 B'' 값을 계산한다.

만약, 등록할 때의 사용자와 인증받고자 하는 사용자가 일치하는 경우, 최초 등록시 생성한 C와 인증 단계에서 생성된 C'' 값이 높은 확률로 일치하게 되어, B''와 B 역시 높은 확률로 일치하게 된다.

C''와 C의 일치 유무는 데이터베이스에 저장된 해쉬 값이 H인 HASH(C'')와 일치하는지를 체크하면 된다.

두 값이 일치하면, B''도 B와 일치하게 되어, 데이터베이스에 저장된 제 2 랜덤 값 r₂와 B를 이용하여 비밀 키 K 또한 계산할 수 있게 된다.

그리고 복구된 비밀 키 K를 이용하여 암복호화 및 암호 통신에 사용할 수 있다.

도 5는 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도이다.

도 5를 참조하면, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템(1000)은 클라이언트(200)와, 서버(300)를 포함한다.

클라이언트(200)는 특징 추출부(210)와, 퍼지 축출기(220)와, 비트 단위 암호화 처리부(230)와, 제 1 데이터 저장부(240)를 포함한다.

특징 추출부(210)는 사용자의 생체 정보로부터 특징점을 뽑아 생체 코드인 제 1 생체 코드 B₁과 제 2 생체 코드 B₂를 생성한다.

퍼지 축출기(220)는 제 1 생체 코드 B₁을 입력받아 Helper Data인 HD와 비밀 키 K를 생성한다.

퍼지 축출기(220)에서 Helper Data인 HD와 비밀 키 K를 생성하는 방법에 대해서는 도 3의 설명 부분을 참조한다.

비트 단위 암호화 처리부(230)는 제 2 생체 코드 B₂와 비밀 키 K를 이용하여 비트 단위 암호화 처리를 수행하여 폐기 가능 템플릿인 C를 생성한다.

또한, 제 1 데이터 저장부(240)는 생성된 Helper Data인 HD를 저장한다.

한편, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템(1000)에서 서버(300)는 제 2 데이터 저장부(310)와, 생체 정보 템플릿 비교 처리부(320)를 포함한다.

제 2 데이터 저장부(310)는 생성된 폐기 가능 템플릿인 C를 클라이언트(200)로부터 제공받아 저장하여 사용자의 생체 정보를 등록한다.

생체 정보 템플릿 비교 처리부(320)는 제 2 데이터 저장부(310)에 저장된 폐기 가능 템플릿인 C와 사용자에 의해 인증시 생성된 폐기 가능 템플릿인 C'를 비교한다.

좀 더 자세히 설명하면, 본 실시예에서는 입력되는 생체 정보를 홍채 정보를 예로 설명하지만 이에 한정되는 것은 아니며 다양한 생체 정보를 이용할 수도 있다.

도 5에 도시된 바와 같이, 특징 추출부(210)는 사용자의 양 눈의 홍채로부터 특징점들을 뽑아 홍채 코드인 제 1 홍채 코드 B₁과 제 2 홍채 코드 B₂를 생성한다.

다음, 퍼지 축출기(220)를 이용하여 Helper Data인 HD와 비밀 키 K를 생성한다.

이때, Helper Data인 HD는 클라이언트(200)의 제 1 데이터 저장부(240)에 안전하게 저장된다.

그리고, 비트 단위 암호화 처리부(230)는 제 2 홍채 코드 B₂와 비밀 키 K를 이용하여 비트 단위 암호화 처리를 수행하여 폐기 가능 템플릿인 C를 생성하여 서버(300)에 전달한다.

서버(300)는 클라이언트(200)로부터 전달받은 C를 서버(300)의 제 2 데이터 저장부(310)에 저장한다.

이와 같이 등록 단계가 끝나게 되면, 인증 시에는, 상술한 퍼지 축출기(220)를 활용하여 인증 받기를 바라는 사용자의 두 눈으로부터 홍채 코드를 얻고, 제 1 데이터 저장부(240)에 저장된 Helper Data인 HD를 활용하여 비밀 키를 획득하게 된다.

이때, 제 1 홍채 코드 B₁이 20% 이하의 에러가 있는 경우에만 제대로된 비밀 키 K를 획득할 수 있다.

우연히 다른 사람인데도 불구하고 20% 이하의 에러가 있을 경우라도, 제 2 홍채 코드 B₂에 대한 암호화를 수행하여 서버(300)에 등록된 C와 유사한 C'를 생성해야 하는 추가 단계가 있기 때문에, 등록된 사용자 외에는 인증 받기가 불가능하다.

도 6은 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도이고, 도 7은 본 발명에 따른 폐기 가능 생체 정보 보안 시스템의 전체 구성을 나타내는 블록도이다.

도 6을 참조하면, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템(1000)에서, 제 2 데이터 저장부(310)는 클라이언트(200)에서 생성된 Helper Data인 HD를 저장하여 폐기 가능 생체 정보를 등록할 수 있다.

도 7을 참조하면, 본 발명에 따른 폐기 가능 생체 정보 보안 시스템(1000)에서, 퍼지 축출기(220)는 사용자의 인증을 위해 제 1 생체 코드 B₁을 입력받아 제 2 데이터 저장부(310)로부터 Helper Data인 HD를 불러들여 비밀 키 K를 생성한다.

본 발명에 따른 폐기 가능 생체 정보 보안 시스템(1000)을 구동시키는 소프트웨어(SW) 제품을 리보크 바이오(RevokeBIO)라 정의한다.

여기서, 리보크 바이오는 공인 인증서도 쓰다가 폐기(revoke)하고 재발급 받을 수 있는 것처럼, 생체 정보로부터 생성한 템플릿을 폐기하고 새로운 템플릿을 생성하여 사용할 수 있다는 점에 착안하여 소프트웨어(SW) 제품을 리보크 바이오라 정의한다.

리보크 바이오는 두 눈의 홍채를 활용한 경우로 개발된 소프트웨어 제품이다.

하지만, 리보크 바이오는 홍채 정보 외에도 다양한 생체 정보를 활용하는 경우로 확장이 가능하다.

리보크 바이오 제품은 세 부분으로 나누어져 구성된다.

첫째는, 클라이언트 디바이스이다.

클라이언트 다비이스는 IR 카메라 모듈이 있고, 홍채 코드 축출 및 에러 정정 코드 이론을 활용하여 비밀 키를 생성하고, 생성된 비밀 키를 활용하여, 제 2 홍채 코드를 이용하여 폐기 가능 템플릿을 최종 생성한다.

클라이언트 다비이스는 가령 스마트폰 또는 출입 통제기 등이 될 수 있다.

일례로, 리보크 바이오의 경우, 안드로이드 스마트폰에 자체 IR 카메라를 연결한 형태의 클라이언트 디바이스를 사용할 수 있다.

두번째는 웹서버이다.

웹서버에서는 등록과 인증 및 식별을 수행하고, 데이터베이스와 통신을 수행하며, 플랫폼에 독립적이다.

세번째는 데이터베이스이며, 폐기 가능 템플릿을 저장 및 관리한다.

리보크 바이오는 클라이언트 디바이스, 웝서버, 데이터베이스를 포함하는 생체 기반 소프트웨어 제품이다.

또한, 홍채 뿐만 아니라 얼굴, 지문 등 다른 생체 정보 사용으로 확대할 수도 있다.

이와 같이 본 발명에 의하면, 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능한 효과가 있다.

이상, 일부 예를 들어서 본 발명의 바람직한 여러 가지 실시 예에 대해서 설명하였지만, 본 "발명을 실시하기 위한 구체적인 내용" 항목에 기재된 여러 가지 다양한 실시 예에 관한 설명은 예시적인 것에 불과한 것이며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 이상의 설명으로부터 본 발명을 다양하게 변형하여 실시하거나 본 발명과 균등한 실시를 행할 수 있다는 점을 잘 이해하고 있을 것이다.

또한, 본 발명은 다른 다양한 형태로 구현될 수 있기 때문에 본 발명은 상술한 설명에 의해서 한정되는 것이 아니며, 이상의 설명은 본 발명의 개시 내용이 완전해지도록 하기 위한 것으로 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이며, 본 발명은 청구범위의 각 청구항에 의해서 정의될 뿐임을 알아야 한다.

본 발명은 데이타베이스에 생체 정보를 저장하지 않는 생체 기반 본인 인증 및 키를 생성하는 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 생체 코드 원본을 데이타베이스에 저장하지 않고 원본 코드로부터 폐기 가능 템플릿을 생성 및 저장하여 인증하는 폐기 가능 생체 정보 보안 시스템을 통해 기존의 방식과 전혀 다른 새로운 방식으로 보안을 유지함과 아울러 인식률 및 오류율의 변화가 전혀 없어 인식률 감소 또는 에러율 증가에 대한 걱정 없이 사용이 가능하다.

Claims

사용자의 생체 정보가 입력되는 입력부; 및

입력된 상기 생체 정보를 비트 단위 암호화를 이용하여 등록 및 인증하는 인증부;를 포함하며,

상기 인증부는 퍼지 축출기에 의해 인증하는 것을 특징으로 하는,

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템.
제 1 항에 있어서,

상기 퍼지 축출기는,

상기 생체 정보를 저장하지 않고, 상기 생체 정보를 기반으로 하는 퍼지 해쉬 기반의 별도의 더미 데이터를 생성 및 저장하여, 생체 기반 등록, 인증 및 바이오 키를 생성하여 사용하는 것을 특징으로 하는,

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템.
제 2 항에 있어서,

상기 퍼지 축출기의 퍼지 커밋먼트는,

의사 난수 생성기((Pseudo-Random Number Generator)를 통해 2개의 랜덤 값인 제 1 랜덤 값 r₁ 및 제 2 랜덤 값 r₂를 생성하고,

에러 정정 인코딩 방법을 통해 제 1 랜덤 값 r₁을 입력하고, 입력된 상기 제 1 랜덤 값 r₁으로부터 복수개 이상으로 나뉘어진 각각의 일부 랜덤값들에 대한 에러 정정 코드를 각각 복수개 생성한 후, 생성된 복수개의 에러 정정 코드를 연접하여 n비트 C를 생성하며,

입력 값으로 주어진 상기 사용자의 n비트 생체 데이터 B와 상기 에러 정정 코드인 C 사이에 비트간 배타적 논리합(XOR, bitwise exclusive or)을 적용하여 획득한 S 값을 계산하고,

암호학적 해쉬 함수인 HASH에 상기 에러 정정 코드인 C를 적용하여 출력 해쉬 값 H를 생성하는 것을 특징으로 하는,

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템.
제 3 항에 있어서,

상기 퍼지 커밋먼트에 의해 생성된 출력 해쉬 값 H를 통해 Helper Data인 HD=(r₂,S,H)를 데이터베이스에 저장하며,

상기 사용자가 인증에 성공할 경우, 사용자의 n비트 생체 데이터 B와 제 2 랜덤 값 r₂를 접합하여 상기 암호학적 해쉬 함수 HASH에 입력하여 비밀 키 K를 생성함으로써, 상기 사용자의 생체 정보를 등록하는 것을 특징으로 하는,

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템.
제 4 항에 있어서,

상기 퍼지 축출기의 퍼지 디커밋먼트는,

인증 받기를 원하는 상기 사용자로부터 입력된 n비트 생체 데이터인 B'와 데이터베이스에 저장된 상기 사용자에 대응되는 Helper Data인 HD=(r₂,S,H)를 상기 데이터베이스로부터 획득한 후, n비트 생체 데이터인 B'와 상기 S 값 사이에 비트간 배타적 논리합을 적용하여 C' 값을 계산하고,

상기 C' 값을 에러 정정 디코딩 알고리즘에 적용하여 C'' 값을 획득하며,

상기 C'' 값과 상기 S 값 사이에 비트간 배타적 논리합을 적용하여 B'' 값을 계산하고,

최초 등록시 생성한 C 값과 인증 단계에서 생성된 C'' 값이 일치하는지의 여부를 확인하며,

상기 C 값과 상기 C'' 값이 일치할 경우, 상기 B'' 값과 상기 B 값이 일치하게 되어, 상기 데이터베이스에 저장된 제 2 랜덤 값 r₂와 상기 B 값을 이용하여 비밀 키 K를 생성하는 것을 특징으로 하는,

생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템.
사용자의 생체 정보로부터 특징점을 뽑아 생체 코드인 제 1 생체 코드 B₁과 제 2 생체 코드 B₂를 생성하는 특징 추출부;

상기 제 1 생체 코드 B₁을 입력받아 Helper Data인 HD와 비밀 키 K를 생성하는 퍼지 축출기; 및

상기 제 2 생체 코드 B₂와 비밀 키 K를 이용하여 비트 단위 암호화 처리를 수행하여 폐기 가능 템플릿인 C를 생성하는 비트 단위 암호화 처리부;를 갖는 클라이언트를 포함하는 것을 특징으로 하는,

폐기 가능 생체 정보 보안 시스템.
제 6 항에 있어서,

생성된 상기 폐기 가능 템플릿인 C를 상기 클라이언트로부터 제공받아 저장하여 상기 사용자의 생체 정보를 등록하는 제 2 데이터 저장부; 및

상기 제 2 데이터 저장부에 저장된 상기 폐기 가능 템플릿인 C와 상기 사용자에 의해 인증시 생성된 폐기 가능 템플릿인 C'를 비교하는 생체 정보 템플릿 비교 처리부;를 갖는 서버를 포함하는 것을 특징으로 하는,

폐기 가능 생체 정보 보안 시스템.
제 7 항에 있어서,

상기 클라이언트는 생성된 상기 Helper Data인 HD를 저장하는 제 1 데이터 저장부;를 갖는 것을 특징으로 하는,

폐기 가능 생체 정보 보안 시스템.
제 7 항에 있어서,

상기 제 2 데이터 저장부는 상기 클라이언트에서 생성된 상기 Helper Data인 HD를 저장하여 폐기 가능 생체 정보를 등록하는 것을 특징으로 하는,

폐기 가능 생체 정보 보안 시스템.
제 9 항에 있어서,

상기 퍼지 축출기는,

상기 사용자의 인증을 위해 제 1 생체 코드 B₁을 입력받아 상기 제 2 데이터 저장부로부터 상기 Helper Data인 HD를 불러들여 비밀 키 K를 생성하는 것을 특징으로 하는,

폐기 가능 생체 정보 보안 시스템.