KR102077204B1 - 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템 - Google Patents

복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템 Download PDF

Info

Publication number
KR102077204B1
KR102077204B1 KR1020190100275A KR20190100275A KR102077204B1 KR 102077204 B1 KR102077204 B1 KR 102077204B1 KR 1020190100275 A KR1020190100275 A KR 1020190100275A KR 20190100275 A KR20190100275 A KR 20190100275A KR 102077204 B1 KR102077204 B1 KR 102077204B1
Authority
KR
South Korea
Prior art keywords
user
authentication
biometric
computing device
side computing
Prior art date
Application number
KR1020190100275A
Other languages
English (en)
Inventor
김훈
Original Assignee
주식회사 자이온아이티에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 자이온아이티에스 filed Critical 주식회사 자이온아이티에스
Priority to KR1020190100275A priority Critical patent/KR102077204B1/ko
Application granted granted Critical
Publication of KR102077204B1 publication Critical patent/KR102077204B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)

Abstract

본 발명은 공개키 기반의 보안 기술과 FIDO2을 지원할 수 있는 생체 인식 기반의 장치로서, 이를 위하여 사용자의 생체 정보를 인식하기 위한 생체 인식부; FIDO 클라이언트가 설치된 운영체제 또는 웹 플랫폼을 구비한 사용자측 컴퓨팅 디바이스와의 HID 기반의 통신을 수행하기 위한 연결 인터페이스; 상기 사용자에 의해 등록된 생체 정보 및 개인키가 저장되고, 상기 HID 기반으로 정의된 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스와 상기 연결 인터페이스를 통해 정보를 송수신하기 위한 복합 애플릿이 실행 가능한 형태로 저장된 기록매체; 및 상기 사용자측 컴퓨팅 디바이스 상에서 공개키 기반의 보안 서비스 프로그램이 실행되거나 상기 FIDO 클라이언트가 실행됨에 따라 상기 인식한 생체 정보와 상기 메모리에 저장된 생체 정보간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 상기 복합 애플릿을 실행시켜 상기 보안 서비스 프로그램의 보안 토큰으로 동작하거나 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 정보를 전송하는 제어부를 포함하는 복합 인증용 생체 보안 장치를 제공할 수 있다.

Description

복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템{BIOMETRIC SECURITY APPARATUS FOR COMPLEX CERTIFICATION AND SYSTEM FOR AUTHENTICATION USING THE SAME}
본 발명은 공개키 기반의 보안 기술과 FIDO(Fast Identity Online) 2.0을 지원할 수 있는 생체 인식 기반의 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템에 관한 것이다.
일반적으로, 은행 등의 이용기관은 사용자에게 서비스를 제공하기 위해 사용자의 신원확인 및 사용자의 부인방지를 위해 사용자의 공인인증서를 등록하여 사용하고 있다. 공인인증서를 전자서명 수단으로 사용하면, 사용자가 해당 공인인증서에 대해 미리 설정한 비밀번호를 입력함에 따라 전자서명이 완료된다.
그러나, 이러한 공인인증서에 기 설정된 비밀번호를 입력하는 방법은 비밀번호를 단순한 형태로 설정함에 따라 타인에게 노출될 위험 또는 비밀번호를 서버로 전송하는 동안에 발생할 수 있는 해킹 위험이 있어 여러 문제점이 발생한다.
이를 해결하기 위해 생체인증 등의 다양한 인증 방법이 도입되었고, 그 중에서도 FIDO(Fast Identity Online) 기술은 사용자의 고유 바이오 정보를 사용자가 소지한 기기에서만 확인하여 프라이버시 위험 없이 안전하게 인증할 수 있는 표준화된 플랫폼을 제공한다. FIDO 인증 시스템에서는 공개키 및 개인키의 생성에 사용자가 관여하지 않음으로써, 서비스 제공자는 차후 사용자 장치가 등록하는 공개키만으로 사용자를 특정할 수 없기 때문에, 개인정보보호에 유리하다.
최근 들어, FIDO 인증 시스템이 진화되어 모바일을 포함한 PC, IoT 기기 등의 다양한 환경에서 사용될 수 있는 FIDO2이 개발되어 표준화되고 있다.
FIDO2는 FIDO 모듈을 플랫폼화하고 플랫폼에 포함되어 있는 내부 인증자 또는 외부 인증 장치의 외부 인증자를 이용하여 인증 가능하고, FIDO2의 클라이언트와 외부 서버간의 통신을 자체 프로토콜에 의해 수행되는 것을 특징으로 한다.
이러한 FIDO2의 표준화에 따라 해당 업계에서는 FIDO2와 생체 인식 기술을 접목한 기술들이 개발되고 있다.
대한민국 등록특허 제10-1442820호(2014.09.15. 등록)
본 발명은 생체 인식 기반으로 로컬 인증을 수행함과 더불어 사용자측 컴퓨팅 디바이스 상에서 공개키 기반의 보안 서비스 프로그램 및 FIDO 클라이언트와 HID 기반의 인터페이스를 통해 연결되어 정보를 송수신할 수 있는 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템을 제공한다.
본 발명이 해결하고자 하는 과제는 상기에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재들로부터 본 발명이 속하는 통상의 지식을 가진 자에 의해 명확하게 이해될 수 있을 것이다.
상술한 해결하고자 하는 과제를 해결하기 위해서 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치는 사용자의 생체 정보를 인식하기 위한 생체 인식부; FIDO 클라이언트가 설치된 운영체제 또는 웹 플랫폼을 구비한 사용자측 컴퓨팅 디바이스와의 HID 기반의 통신을 수행하기 위한 연결 인터페이스; 상기 사용자에 의해 등록된 생체 정보 및 개인키가 저장되고, 상기 연결 인터페이스를 통해 연결된 사용자측 컴퓨팅 디바이스에 상기 HID 기반으로 정의된 CTAP에 따라 정보를 송신하기 위한 복합 애플릿이 실행 가능한 형태로 저장된 기록매체; 및 사용자측 컴퓨팅 디바이스 상에서 공개키 기반의 보안 서비스 프로그램이 실행되거나 상기 FIDO 클라이언트가 실행됨에 따라 상기 기록매체에 저장된 복합 애플릿을 실행시켜 상기 인식한 생체 정보와 상기 메모리에 저장된 생체 정보간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 상기 보안 서비스 프로그램의 보안 토큰으로 동작시키거나 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 인증 정보를 전송하는 제어부를 포함할 수 있다.
본 발명의 실시예에 따르면, 상기 복합 애플릿은 상기 FIDO 클라이언트가 실행됨에 따라 상기 개인키를 기반으로 공개키를 생성한 후 이를 RP 어플리케이션을 통해 인증 서버에 등록할 수 있다.
본 발명의 실시예에 따르면, 상기 복합 애플릿은 상기 FIDO 클라이언트가 실행됨에 따라 상기 개인키를 이용하여 인증 정보를 생성한 후 이를 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 전송하며, 상기 사용자측 컴퓨팅 디바이스의 FIDO2 클라이언트는 상기 전송받은 인증 정보를 상기 RP 어플리케이션을 통해 인증 서버에 전송한 후 상기 공개키로 인증 정보를 검증하여 개인키와 맞는지를 확인한 응답을 상기 인증 서버로부터 수신할 수 있다.
본 발명의 실시예에 따르면, 상기 복합 인증용 생체 보안 장치는 상기 사용자측 컴퓨팅 디바이스 내 보안 토큰 구동 모듈 및 생체 보안 장치 구동 모듈로 구성된 구동 프로그램부를 통해 실행될 수 있다.
상술한 해결하고자 하는 과제를 해결하기 위해서 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치를 이용한 인증 시스템은 사용자의 생체 정보를 인식하기 위한 생체 인식부, HID 기반의 통신을 수행하기 위한 연결 인터페이스, 상기 사용자에 의해 등록된 생체 정보 및 개인키가 저장되고, 상기 HID 기반으로 정의된 CTAP에 따라 상기 연결 인터페이스를 통해 외부로 정보를 송수신하기 위한 복합 애플릿이 실행 가능한 형태로 저장된 기록매체 및 상기 인식한 생체 정보와 상기 메모리에 저장된 생체 정보간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 상기 복합 애플릿을 실행시켜 보안 토큰으로 동작하거나 상기 CTAP를 통해 정보를 송출하는 제어부를 포함하는 복합 인증용 생체 보안 장치; 및 상기 연결 인터페이스와 연결되기 위한 사용자측 연결 인터페이스와, 운영체제 또는 웹 플랫폼에 설치되고 인증 서버 및 상기 복합 인증용 생체 보안 장치와 연동하여 사용자 인증을 수행하는 인증 장치 및 공개키 기반의 보안 서비스 프로그램이 실행 가능한 형태로 저장되어 있는 사용자측 컴퓨팅 디바이스를 포함하며, 상기 복합 애플릿은 상기 사용자측 컴퓨팅 디바이스 상에서 인증 장치가 실행되는 경우 상기 CTAP를 통해 정보를 상기 사용자측 컴퓨팅 디바이스에 전송하고, 상기 사용자측 컴퓨팅 디바이스 상에서 보안 서비스 프로그램이 실행되는 경우 상기 복합 인증용 생체 보안 장치를 보안 토큰으로 동작시킬 수 있다.
본 발명의 실시예에 따르면, 상기 생체 인식부는 지문 정보를 생체 정보로 인식할 수 있다.
본 발명의 실시예에 따르면, 상기 연결 인터페이스는 BLE, USB 또는 NFC일 수 있다.
본 발명의 실시예에 따르면, 상기 보안 토큰 구동 모듈은 HID 기반으로 상기 복합 인증용 생체 보안 장치로부터 수신되는 명령어를 상기 사용자측 컴퓨팅 디바이스 상에 설치된 운영체제에 맞게 변환 및 처리할 수 있는 PKCS#11 API일 수 있다.
본 발명의 실시예에 따르면, 상기 공개키 기반의 보안 서비스 프로그램은 PKI 보안 솔루션 또는 공인 인증서 기반의 사용자 인증 프로그램일 수 있다.
본 발명의 실시예에 따르면, 상기 개인키 및 생체 정보는 암호화 프로세서를 구비한 HSM(Hardware Security Module)을 기반으로 하는 기록매체에 저장될 수 있다.
전술한 본 발명의 과제 해결 수단에 따르면, 생체 인식 기반으로 로컬 인증을 수행함과 더불어 사용자측 컴퓨팅 디바이스 상에서 공개키 기반의 보안 서비스 프로그램 및 FIDO 클라이언트와 HID 기반의 인터페이스를 통해 연결되어 정보를 송수신할 수 있는 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템을 제공함으로써, 단일 장치를 이용하여 복합적인 인증 서비스를 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치)의 내부 구성을 도시한 블록도이다.
도 2는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치와 연결된 사용자측 컴퓨팅 디바이스의 세부 구성을 도시한 블록도이다.
도 3은 본 발명의 실시예에 따른 사용자측 컴퓨팅 디바이스와 복합 인증용 생체 보안 장치간의 인터페이스 모델의 예시도이다.
도 4는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치가 보안 토큰으로 이용되는 과정을 도시한 흐름도이다.
도 5는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치가 FIDO2의 인증 장치로 동작하여 공개키를 등록하는 과정을 도시한 흐름도이다.
도 6은 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치와 FIDO2 인증 장치간의 연동을 통해 사용자를 인증하는 과정을 도시한 흐름도이다.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
이하, 첨부된 도면을 참조하여 복합 인증용 생체 보안 장치(100)와 이를 이용한 복합 인증 시스템 및 방법에 대해 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)의 내부 구성을 도시한 블록도이다.
본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)는 사용자의 생체 정보로 로컬 인증을 수행한 후 공개키를 사용자측 컴퓨팅 디바이스(도 2의 200)를 통해 외부의 인증 서버(도 2의 250)에 등록함과 더불어 인증 서버(250)와의 연동을 통해 인증을 수행할 수 있다. 여기에서, 사용자의 생체 정보는 지문, 홍채, 지정맥 등을 들 수 있으나, 이에 한정하지는 않는다.
또한, 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)는 HID(Human Interface Device, 이하, 'HID'라 함) 기반의 연결 인터페이스를 통해 사용자측 컴퓨팅 디바이스(200)와 통신을 수행할 수 있다. 구체적으로, 복합 인증용 생체 보안 장치(100)는 외부 인증 장치로 동작하여 사용자측 컴퓨팅 디바이스(200)와 HID 기반의 연결 인터페이스를 통해 연결되어 CTAP(Client Authenticator Protocol)에 따라 통신을 수행할 수 있다.
외부 인증 장치로 동작하는 복합 인증용 생체 보안 장치(100)와 사용자측 컴퓨팅 디바이스(200)는 USB(Universal Serial Bus), NFC(Near Field Communication), BLE(Bluetooth Low Energy) 등으로 연결될 수 있으나, 이에 한정하지는 않는다.
본 발명의 실시예에서 CTAP는 HID 기반으로 정의된 복합 인증용 생체 보안 장치(100)와 사용자측 컴퓨팅 디바이스(200)간의 통신 규약을 의미할 수 있다.
또한, 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)는 사용자측 컴퓨팅 디바이스(200) 내 공개키 기반의 인증 관련 프로그램과 연동되어 보안 토큰으로 이용될 수 있다. 구체적으로, 복합 인증용 생체 보안 장치(100)는 인증 관련 프로그램의 실행에 따라 사용자가 보안 토큰을 선택할 경우 구동되어 사용자 생체 정보를 기반으로 한 로컬 인증을 수행한 후 사용자측 컴퓨팅 디바이스(200) 내 공개키 기반의 인증 관련 프로그램과 연동되어 보안 토큰으로 동작할 수 있다.
이러한 복합 인증용 생체 보안 장치(100)는, 도 1에 도시된 바와 같이, 생체 인식부(110), HID 기반의 연결 인터페이스(120), 기록매체(130) 및 제어부(140) 등을 포함할 수 있다.
먼저, 생체 인식부(110)는 생체 정보, 예컨대 지문 정보를 센싱하기 위한 생체 인식 센서(112) 및 센싱된 지문 정보를 인식한 후 이를 제어부(140)에 제공하기 위한 생체 인식 모듈(114)을 포함할 수 있다.
연결 인터페이스(120)는 HID 기반으로 사용자측 컴퓨팅 디바이스(200)와의 통신을 수행하기 위한 것으로서, 그 예로서 USB(Universal Serial BUS), BLE(Bluetooth Low Energy), NFC(Near Field Communication) 등을 통해 사용자측 컴퓨팅 디바이스(200)와 연결되어 HID 기반의 CTAP를 통해 정보를 사용자측 컴퓨팅 디바이스(200)에 전송할 수 있다.
본 발명의 실시예에서 HID 인터페이스를 통해 사용자측 컴퓨팅 디바이스(200)에 전송되는 정보는 개인키를 기반으로 생성된 공개키, 개인키로 생성된 인증 정보 등을 들 수 있다.
이를 위하여, 기록매체(130)에는 제어부(140)에 의해 실행 가능한 형태로 저장된 생체 정보(132), 개인키(134) 및 복합 애플릿(136)이 저장되어 있다.
본 발명의 실시예에서, 기록매체(130)는 암호화 프로세서를 구비한 HSM(Hardware Security Module)일 수 있다. 이에 따라, 생체 정보(132) 및 개인키(134)는 암호화 프로세서에 의해 암호 처리되어 기록매체(130)인 HSM에 저장될 수 있다.
본 발명의 실시예에서, 복합 애플릿(136)은 FIDO2 및 보안 토큰을 동시에 지원할 수 있는 프로그램으로서, 복수의 명령어 형태로 구현되어 제어부(140)의 제어에 따라 실행되어 HID 기반의 연결 인터페이스(120)를 통해 연결된 사용자측 컴퓨팅 디바이스(200)에 개인키(134)로 생성된 공개키, 개인키(134)로 생성된 인증 정보 등의 정보를 전송할 수 있다.
또한, 복합 애플릿(136)은 사용자측 컴퓨팅 디바이스(200) 내 FIDO 클라이언트(도 2의 224)를 호출할 수 있을 뿐만 아니라 구동 프로그램부(도 3의 310)의 호출에 따라 실행된 후 HID 기반으로 정의된 CTAP를 통해 정보를 FIDO 클라이언트(224)에 제공하거나 사용자측 컴퓨팅 디바이스(200) 내에서 실행된 공개키 기반으로 사용자 인증을 수행하는 프로그램과 연동하여 복합 인증용 생체 보안 장치(100)를 보안 토큰으로 동작시킬 수 있다.
제어부(140)는 생체 인식부(110)를 통해 인식된 생체 정보와 기록매체(130)에 저장된 생체 정보(132)간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 기록매체(130)에 저장된 복합 애플릿(136)을 실행시켜 사용자측 컴퓨팅 디바이스(200)에 공개키, 개인키(134)로 생성된 인증 정보 등을 전송하거나 복합 인증용 생체 보안 장치(100)를 보안 토큰으로 동작시킬 수 있다.
상술한 바와 같은 복합 인증용 생체 보안 장치(100)가 사용자측 컴퓨팅 디바이스(200)와 연동하여 보안 토큰 또는 FIDO 인증 장치로 동작하기 위해 사용자측 컴퓨팅 디바이스(200) 내 세부 구성에 대해 도 2 내지 도 3을 참조하여 설명한다.
도 2는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)와 연결된 사용자측 컴퓨팅 디바이스(200)의 세부 구성을 도시한 블록도이며, 도 3은 본 발명의 실시예에 따른 사용자측 컴퓨팅 디바이스(200)와 복합 인증용 생체 보안 장치(100)간의 인터페이스 모델의 예시도이다.
도 2에 도시된 바와 같이, 사용자측 컴퓨팅 디바이스(200)는 연결 인터페이스(120)를 통해 복합 인증용 생체 보안 장치(100)와의 통신을 위한 사용자측 연결 인터페이스(210)와, FIDO 클라이언트(222), 외부의 인증 서버(250)와의 통신을 위한 RP(Relay Party) 어플리케이션(224) 등을 포함하는 FIDO2 인증 장치(220)를 포함할 수 있다.
또한, 본 발명의 실시예에 따른 사용자측 컴퓨팅 디바이스(200)는 외부의 인증 서버(250)와 연결될 수 있다.
본 발명의 실시예에서 인증 서버(250)는 외부 인증 장치인 복합 인증용 생체 보안 장치(100)에 대한 정책을 설정하고, 사용자의 공개키를 등록 및 관리할 뿐만 아니라 RP 어플리케이션(224)과의 통신을 통해 사용자의 공개키를 등록 및 관리할 뿐만 아니라 인증 정보의 검증을 통해 사용자에 대한 인증을 수행한 후 이에 대응되는 결과 값(응답)을 사용자측 컴퓨팅 디바이스(200)에 전송할 수 있다.
이러한 인증 서버(250)는 사용자측 컴퓨팅 디바이스(200)가 모바일 단말일 경우 무선으로 사용자측 컴퓨팅 디바이스(200)가 개인용 컴퓨터와 같은 유선 단말일 경우 유선으로 사용자측 컴퓨팅 디바이스(200)와 연결될 수 있다.
FIDO 클라이언트(222)는 사용자측 컴퓨팅 디바이스(200)의 운영체제 또는 웹 플랫폼에 설치되어 인증 서버(250)의 정책에 따라 인증자를 필터링하고, RP 어플리케이션(224)과 외부 인증 장치인 복합 인증용 생체 보안 장치(100)간의 중계 역할을 수행할 수 있다.
특히, 본 발명의 실시예에 따른 FIDO 클라이언트(222)는 사용자측 연결 인터페이스(210)를 통해 HID 기반의 CTAP에 따라 복합 인증용 생체 보안 장치(100)와 연결되어 복합 인증용 생체 보안 장치(100)로부터 공개키를 수신한 후 이를 RP 어플리케이션(224)을 통해 인증 서버(250)에 전송하여 등록할 수 있다.
또한, FIDO 클라이언트(222)는 사용자측 연결 인터페이스(210)를 통해 HID 기반으로 정의된 CTAP에 따라 복합 인증용 생체 보안 장치(100)와 연결되어 개인키로 기반으로 생성된 인증 정보(전자 서명)를 수신한 후 이를 RP 어플리케이션(224)을 통해 인증 서버(250)에 전송하여 인증을 요청할 수 있다. 이에 따라, 인증 서버(250)는 기 등록된 공개키로 인증 정보를 검증하여 개인키와 맞는지를 확인한 후 RP 어플리케이션(224)과의 연동을 통해 확인 결과 값(응답)을 사용자측 컴퓨팅 디바이스(200)에 전송할 수 있다.
이를 위하여, 도 3에 도시된 바와 같이, 사용자측 컴퓨팅 디바이스(200)에는 생체 보안 장치 구동 모듈(312)을 포함한 구동 프로그램부(310)가 저장매체(미도시됨)에 실행 가능한 형태로 저장될 수 있다.
본 발명의 실시예에서, 구동 프로그램부(310)는 생체 보안 장치 구동 모듈(314)을 이용하여 복합 인증용 생체 보안 장치(100)를 구동시킬 수 있다. 이에 따라, 복합 인증용 생체 보안 장치(100)는 생체 인식부(110)를 통해 생체 정보를 인식하고, 인식한 생체 정보와 기록매체(130)에 저장된 생체 정보(132)간의 비교를 통해 로컬 인증을 수행한 후 개인키 기반으로 생성된 공개키 또는 개인키로 생성된 인증 정보를 연결 인터페이스(110)를 통해 사용자측 컴퓨팅 디바이스(200)에 전송할 수 있다. 이때, 전송은 HID 기반의 CTAP를 통해 이루어질 수 있다.
또한, 본 발명의 실시예에 따른 사용자측 컴퓨팅 디바이스(200)는 공인 인증서를 기반으로 사용자 인증을 수행할 수 있는 공인 인증서 관리 프로그램(232) 및 사용자측 연결 인터페이스(232)를 통해 연결된 복합 인증용 생체 보안 장치(100)와의 연동을 위한 보안 토큰 구동 모듈(234)을 포함하는 공인 인증 장치(230)를 더 포함할 수 있다.
먼저, 보안 토큰 구동 모듈(234)은 공인 인증서 관리 프로그램(232)의 실행에 따라 사용자측 연결 인터페이스(210)를 통해 연결된 복합 인증용 생체 보안 장치(100)를 구동(호출)시키고, 구동된 복합 인증용 생체 보안 장치(100)로부터 수신되는 명령어를 변환 및 처리함과 더불어 공개키를 수신하여 공인 인증서 기반의 사용자 인증을 수행할 수 있는 인증 정보를 생성할 수 있다.
이를 위하여, 본 발명의 실시예에 따른 보안 토큰 구동 모듈(234)은 복합 인증용 생체 보안 장치(100)에 접근하기 위한 API(Application Programming Interface), 예컨대 PKCS#11 API일 수 있다.
또한, 도 3에 도시된 바와 같이, 보안 토큰 구동 모듈(234)인 PKCS#11 API는 사용자측 컴퓨팅 디바이스(200)에 설치된 PKI 보안 솔루션(302)의 요청에 따라 복합 인증용 생체 보안 장치(100)에 접근하여 개인키를 기반으로 생성된 공개키를 수신할 수도 있다.
상술한 바와 같이, 사용자측 컴퓨팅 디바이스(200)에서 공개키 기반으로 사용자 인증을 수행하기 위한 프로그램의 실행을 통해 보안 토큰이 선택됨에 따라 본 발명의 실시예에 따른 보안 토큰 구동 모듈(234)은 복합 인증용 생체 보안 장치(100)를 실행시키기 위해 생체 보안 장치 구동 모듈(312)과 연동하여 동작할 수 있다.
한편, 복합 인증용 생체 보안 장치(100)와 사용자측 컴퓨팅 디바이스(200)가 HID 기반의 인터페이스를 통해 정보를 송수신하기 위해서 본 발명의 실시예에 따른 보안 토큰 구동 모듈(234)은 복합 인증용 생체 보안 장치(100)로부터 수신되는 명령어를 포함하는 정보를 변환하고 처리할 수 있다.
상술한 바와 같이, 복합 인증용 생체 보안 장치(100)가 공개키 기반의 서비스에서 보안 토큰으로 동작하기 위해서 사용자측 컴퓨팅 디바이스(200)는, 도 3에 도시된 바와 같이, 저장매체에 실행 가능한 형태로 저장된 PKI 보안 솔루션(302), 공인 인증서 관리 프로그램(232) 및 생체 보안 장치 관리 프로그램(304)으로 구성된 사용자 프로그램부(300), PKI 보안 솔루션(302) 또는 공인 인증서 관리 프로그램(232)의 실행에 따라 복합 인증용 생체 보안 장치(100)를 호출(구동)시킴과 더불어 복합 인증용 생체 보안 장치(100)의 구동에 따라 개인키를 전송받아 PKI 보안 솔루션(302) 또는 공인 인증서 관리 프로그램(232)에 제공하는 보안 토큰 구동 모듈(234)인 PKCS#11 API 및 생체 보안 장치 구동 모듈(312)을 포함하는 구동 프로그램부(310) 및 장치 드라이버(322)의 설치를 통해 복합 인증용 생체 보안 장치(100)와 사용자측 컴퓨팅 디바이스(200)를 연결시키는 드라이버(320)를 포함할 수 있다.
상술한 바와 같은 구성을 갖는 복합 인증용 생체 보안 장치(100)가 사용자 인증을 수행하는 과정에 대해 도 4 내지 도 6을 참조하여 설명한다.
도 4는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)가 보안 토큰으로 이용되는 과정을 도시한 흐름도이다.
도 4에 도시된 바와 같이, 사용자측 컴퓨팅 디바이스(200) 상에서 공개키 기반의 보안 서비스 프로그램, 예컨대 공인 인증서 관리 프로그램(232), PKI 보안 솔루션(302)이 실행(S400)된 후 사용자가 보안 토큰을 선택하면(S402), 구동 프로그램부(310)의 보안 토큰 구동 모듈(234)은 생체 보안 장치 구동 모듈(312)의 실행을 통해 복합 인증용 생체 보안 장치(100)의 호출하여 구동시킨다(S404).
이에 따라, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 생체 인식부(110)에 의해 인식된 사용자의 생체 정보와 기록매체(130)에 저장된 생체 정보(132)간의 비교를 통해 로컬 인증을 수행한다(S406).
로컬 인증에 성공함에 따라, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 기록매체(130)에 저장된 개인키(134)를 기반으로 생성한 공개키를 연결 인터페이스(120)를 통해 사용자측 컴퓨팅 디바이스(200)에 제공한다(S408).
이에 따라, 보안 토큰 구동 모듈(234)은 수신한 공개키를 보안 서비스 프로그램에 반영하여 사용자에 대한 인증을 수행할 수 있다.
도 5는 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)가 FIDO2의 인증 장치로 동작하여 공개키를 등록하는 과정을 도시한 흐름도이다.
도 5에 도시된 바와 같이, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 생체 인식부(110)에 의해 인식된 사용자의 생체 정보와 기록매체(130)에 저장된 생체 정보(132)간의 비교를 통해 로컬 인증을 수행한다(S500).
로컬 인증에 성공함에 따라, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 개인키(134)를 이용하여 공개키를 생성(S502)한 후 HID 기반으로 정의된 CTAP에 따라 공개키를 연결 인터페이스(120)를 통해 연결된 사용자측 컴퓨팅 디바이스(200)에 제공한다(S504).
이에 따라, 사용자측 컴퓨팅 디바이스(200)의 FIDO2 인증 장치(220)는 RP 어플리케이션(224)을 이용하여 외부의 인증 서버(250)에 접속한 후 제공받은 공개키를 인증 서버(250)에 등록한다(S506).
한편, 상술한 바와 같은 본 발명의 실시예에 따르면, 공개키를 복합 인증용 생체 보안 장치(100)에서 생성하는 것으로 예를 들어 설명하였지만, 공개키를 FIDO2 인증 장치(220)에서 생성할 수도 있다. 이 경우, 복합 인증용 생체 보안 장치(100)는 로컬 인증이 완료됨에 따라 기록매체(130)에 저장된 개인키(134)를 이용하여 공개키를 생성한 후 이를 FIDO2 인증 장치(220)에 제공하고, FIDO2 인증 장치(220)의 FIDO 클라이언트(222)는 공개키를 RP 어플리케이션(224)을 이용하여 인증 서버(250)에 전송할 수 있다.
도 6은 본 발명의 실시예에 따른 복합 인증용 생체 보안 장치(100)와 FIDO2 인증 장치(220)간의 연동을 통해 사용자를 인증하는 과정을 도시한 흐름도이다.
도 6에 도시된 바와 같이, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 생체 인식부(110)에 의해 인식된 사용자의 생체 정보와 기록매체(130)에 저장된 생체 정보(132)간의 비교를 통해 로컬 인증을 수행한다(S600).
로컬 인증에 성공함에 따라, 복합 인증용 생체 보안 장치(100)의 제어부(140)는 개인키(134)를 이용하여 인증 정보를 생성(S602)한 후 이를 HID 기반으로 정의된 CTAP에 따라 인증 정보를 연결 인터페이스(120)를 통해 연결된 사용자측 컴퓨팅 디바이스(200)에 제공한다(S604).
이에 따라, 사용자측 컴퓨팅 디바이스(200)의 FIDO2 인증 장치(220)는 RP 어플리케이션(224)을 이용하여 외부의 인증 서버(250)에 접속한 후 제공받은 인증 정보를 인증 서버(250)에 전송하여 인증을 요청한다(S606).
인증 요청에 응답한 인증 서버(250)는 기 등록된 공개키로 인증 정보를 검증하여 개인키와 맞는지를 확인한 후 RP 어플리케이션(224)과의 연동을 통해 확인 결과 값(응답)을 사용자측 컴퓨팅 디바이스(200)에 전송한다(S608).
한편, 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체(또는 메모리) 등에 저장되는 것도 가능하므로, 그 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 기록매체(또는 메모리)에 저장된 인스트럭션들은 블록도의 각 블록에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 적어도 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
100 : 복합 인증용 생체 보안 장치 110 : 생체 인식부
120 : 연결 인터페이스 130 : 기록매체
140 : 제어부 200 : 사용자측 컴퓨팅 디바이스
210 : 사용자측 연결 인터페이스 220 : FIDO2 인증 장치
230 : 공인 인증 장치 300 : 사용자 프로그램부
310 : 구동 프로그램부 320 : 드라이버

Claims (6)

  1. 사용자의 생체 정보를 인식하기 위한 생체 인식부;
    FIDO 클라이언트가 설치된 운영체제 또는 웹 플랫폼을 구비한 사용자측 컴퓨팅 디바이스와의 HID 기반의 통신을 수행하기 위한 연결 인터페이스;
    상기 사용자에 의해 등록된 생체 정보 및 개인키가 저장되고, 상기 연결 인터페이스를 통해 연결된 사용자측 컴퓨팅 디바이스에 상기 HID 기반으로 정의된 CTAP에 따라 정보를 송신하기 위한 복합 애플릿이 실행 가능한 형태로 저장된 기록매체; 및
    상기 사용자측 컴퓨팅 디바이스 상에서 공개키 기반의 보안 서비스 프로그램이 실행되거나 상기 FIDO 클라이언트가 실행됨에 따라 상기 기록매체에 저장된 복합 애플릿을 실행시켜 상기 인식한 생체 정보와 메모리에 저장된 생체 정보간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 상기 보안 서비스 프로그램의 보안 토큰으로 동작시키거나 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 인증 정보를 전송하는 제어부를 포함하되,
    상기 복합 애플릿은, 상기 FIDO 클라이언트가 실행됨에 따라 상기 개인키를 이용하여 공개키를 생성한 후 이를 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 전송하며,
    상기 사용자측 컴퓨팅 디바이스의 FIDO 클라이언트는, 상기 전송받은 공개키를 RP 어플리케이션을 통해 인증 서버에 등록하는 복합 인증용 생체 보안 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 복합 애플릿은,
    상기 FIDO 클라이언트가 실행됨에 따라 상기 개인키를 이용하여 인증 정보를 생성한 후 이를 상기 CTAP를 통해 상기 사용자측 컴퓨팅 디바이스에 전송하며,
    상기 사용자측 컴퓨팅 디바이스의 FIDO 클라이언트는,
    상기 전송받은 인증 정보를 상기 RP 어플리케이션을 통해 인증 서버에 전송한 후 상기 공개키로 인증 정보를 검증하여 개인키와 맞는지를 확인한 응답을 상기 인증 서버로부터 수신하는
    복합 인증용 생체 보안 장치.
  4. 제1항에 있어서,
    상기 사용자측 컴퓨팅 디바이스 내 보안 토큰 구동 모듈 및 생체 보안 장치 구동 모듈로 구성된 구동 프로그램부를 통해 실행되는
    복합 인증용 생체 보안 장치.
  5. 사용자의 생체 정보를 인식하기 위한 생체 인식부, HID 기반의 통신을 수행하기 위한 연결 인터페이스, 상기 사용자에 의해 등록된 생체 정보 및 개인키가 저장되고, 상기 HID 기반으로 정의된 CTAP에 따라 상기 연결 인터페이스를 통해 외부로 정보를 송수신하기 위한 복합 애플릿이 실행 가능한 형태로 저장된 기록매체 및 상기 복합 애플릿을 실행시켜 인식한 생체 정보와 메모리에 저장된 생체 정보간의 비교를 통해 사용자에 대한 로컬 인증을 수행한 후 보안 토큰으로 동작시키거나 상기 CTAP를 통해 정보를 송출하는 제어부를 포함하는 복합 인증용 생체 보안 장치; 및
    상기 연결 인터페이스와 연결되기 위한 사용자측 연결 인터페이스와, 운영체제 또는 웹 플랫폼에 설치되고 인증 서버 및 상기 복합 인증용 생체 보안 장치와 연동하여 사용자 인증을 수행하는 인증 장치 및 공개키 기반의 보안 서비스 프로그램이 실행 가능한 형태로 저장되어 있는 사용자측 컴퓨팅 디바이스를 포함하며,
    상기 복합 애플릿은,
    상기 사용자측 컴퓨팅 디바이스 상에서 인증 장치가 실행되는 경우 상기 CTAP를 통해 정보를 상기 사용자측 컴퓨팅 디바이스에 전송하고, 상기 사용자측 컴퓨팅 디바이스 상에서 보안 서비스 프로그램이 실행되는 경우 상기 복합 인증용 생체 보안 장치를 보안 토큰으로 동작시키며,
    상기 개인키 및 생체 정보는 암호화 프로세서를 구비한 HSM(Hardware Security Module)을 기반으로 하는 기록매체에 저장되는
    복합 인증용 생체 보안 장치를 이용한 인증 시스템.
  6. 삭제
KR1020190100275A 2019-08-16 2019-08-16 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템 KR102077204B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190100275A KR102077204B1 (ko) 2019-08-16 2019-08-16 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190100275A KR102077204B1 (ko) 2019-08-16 2019-08-16 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템

Publications (1)

Publication Number Publication Date
KR102077204B1 true KR102077204B1 (ko) 2020-04-07

Family

ID=70290698

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190100275A KR102077204B1 (ko) 2019-08-16 2019-08-16 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템

Country Status (1)

Country Link
KR (1) KR102077204B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101442820B1 (ko) 2013-02-25 2014-09-23 동신대학교산학협력단 바이오 정보 인식장치를 이용한 인증 시스템 및 그 인증 방법
KR20180111395A (ko) * 2017-04-02 2018-10-11 주식회사 키페어 생체 인증을 위한 로컬 웹 서버 기능을 구비하는 단말기 및 이를 이용한 사용자 인증 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101442820B1 (ko) 2013-02-25 2014-09-23 동신대학교산학협력단 바이오 정보 인식장치를 이용한 인증 시스템 및 그 인증 방법
KR20180111395A (ko) * 2017-04-02 2018-10-11 주식회사 키페어 생체 인증을 위한 로컬 웹 서버 기능을 구비하는 단말기 및 이를 이용한 사용자 인증 시스템 및 방법

Similar Documents

Publication Publication Date Title
EP3536002B1 (en) Decentralized biometric identity authentication
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
CN107113315B (zh) 一种身份认证方法、终端及服务器
CN112214745B (zh) 经认证的外部生物特征读取器和验证设备
JP6865158B2 (ja) セキュア送信プロトコルを使用して信頼を確立するためのシステム及び方法
JP6648110B2 (ja) クライアントをデバイスに対して認証するシステム及び方法
KR102144528B1 (ko) 블루투스 인터페이스를 갖는 인증 장치
US10205711B2 (en) Multi-user strong authentication token
KR101666374B1 (ko) 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램
US8739266B2 (en) Universal authentication token
US8990572B2 (en) Methods and systems for conducting smart card transactions
US20150082390A1 (en) Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
US20070223685A1 (en) Secure system and method of providing same
CN113302894A (zh) 安全账户访问
CN115527292A (zh) 安全芯片的手机终端远程车辆解锁方法及安全芯片装置
US20180351946A1 (en) Privacy-enhanced biometric authenticated access request
CN115935318B (zh) 一种信息处理方法、装置、服务器、客户端及存储介质
KR102077204B1 (ko) 복합 인증용 생체 보안 장치 및 이를 이용한 인증 시스템
CN109961544A (zh) 一种开门控制方法及***
US20240211929A1 (en) Method for controlling a smart card
WO2024097761A1 (en) A method, an apparatus and a system for securing interactions between users and computer-based applications
CN116233845A (zh) 基于令牌分层转化的移动端免密认证方法、设备及存储介质
KR20200017748A (ko) 생체인증표준 기반 비플러그인 전자서명 방법 및 장치
WO2007092429A2 (en) Secure system and method for providing same
WO2014064197A1 (en) Security-device and secure data transmission method

Legal Events

Date Code Title Description
GRNT Written decision to grant