TWI816017B - 驗證資訊處理方法和裝置 - Google Patents
驗證資訊處理方法和裝置 Download PDFInfo
- Publication number
- TWI816017B TWI816017B TW109103264A TW109103264A TWI816017B TW I816017 B TWI816017 B TW I816017B TW 109103264 A TW109103264 A TW 109103264A TW 109103264 A TW109103264 A TW 109103264A TW I816017 B TWI816017 B TW I816017B
- Authority
- TW
- Taiwan
- Prior art keywords
- verification
- key
- biological information
- user
- information processing
- Prior art date
Links
- 238000000034 method Methods 0.000 title abstract description 67
- 238000012545 processing Methods 0.000 title abstract description 22
- 238000012795 verification Methods 0.000 claims abstract description 277
- 230000010365 information processing Effects 0.000 claims abstract description 87
- 238000003672 processing method Methods 0.000 claims description 22
- 238000005516 engineering process Methods 0.000 claims description 17
- 238000009826 distribution Methods 0.000 claims description 3
- 210000001525 retina Anatomy 0.000 claims description 3
- 210000003462 vein Anatomy 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 16
- 238000003860 storage Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 4
- 239000000470 constituent Substances 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000005286 illumination Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 208000008454 Hyperhidrosis Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- VJBCNMFKFZIXHC-UHFFFAOYSA-N azanium;2-(4-methyl-5-oxo-4-propan-2-yl-1h-imidazol-2-yl)quinoline-3-carboxylate Chemical compound N.N1C(=O)C(C(C)C)(C)N=C1C1=NC2=CC=CC=C2C=C1C(O)=O VJBCNMFKFZIXHC-UHFFFAOYSA-N 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000037315 hyperhidrosis Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 235000013550 pizza Nutrition 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Mathematical Physics (AREA)
- Collating Specific Patterns (AREA)
- Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
- Credit Cards Or The Like (AREA)
Abstract
本發明為一種驗證資訊處理方法和裝置。在本申請所公開的由驗證資訊處理裝置執行的驗證資訊處理方法包括以下步驟:獲取使用者的生物資訊;獲取對應於所述驗證資訊處理裝置的唯一金鑰;以及使用所述生物資訊的至少一部分和所述唯一金鑰的至少一部分來生成驗證金鑰。
Description
本發明為一種驗證資訊處理方法和裝置,更具體地說,為一種使用使用者的生物資訊的至少一部分和對應於裝置的唯一金鑰的至少一部分來生成驗證金鑰的方法及裝置。
隨著資訊社會的不斷進步,保護個人隱私的必要性也越來越大,驗證手段的安全性成為一個重要的技術問題。尤其在電子金融、設備或系統的訪問領域,要求對用戶驗證、物聯網(Internet of Things,IoT)或機器對機器(Machine to machine,M2M)的驗證等驗證手段具有較高的可靠性。驗證(Authentication)包括基於知識(Knowledge-based)的驗證、基於擁有(Possession-based)的驗證及使用使用者的生物資訊其本身的驗證等。根據僅使用一種方式來驗證,還是使用多種方式來一起驗證,可以將其分為單因素(One-factor)驗證、雙因素(2-Factor)驗證及多因素(multi-factor)驗證。
基於知識的身份驗證可以描述為:通過用於驗證的資訊,例如,
個人識別號(Personal Identification Number,PIN)、身份證件(Identification)和密碼(Password或Passcode)等,確定是否已知作為驗證手段的信息來進行驗證。基於擁有的驗證可以描述為:確定是否擁有用於驗證的有形/無形的物品,例如,一次性密碼(One Time Password,OTP)權杖、安全卡(Security Card)、公認電子證書等。前者,當他人獲取驗證資訊時其安全性會降低;後者,當他人擁有用於驗證的物品時其安全性會降低。因此,在金融交易中,驗證並不普遍依賴于任一種,而是通過兩者都使用的方式來提高其安全性。例如,當使用網銀服務進行匯款時,即使使用者輸入ID和密碼進行登錄,也必須顯示從OTP權杖讀取的值;或即使使用公認電子證書,也需要輸入公認電子證書的密碼(雙因素或多因素驗證)。
近年來,通過識別指紋、虹膜、語音、面部等使用者的生物資訊來進行驗證已成為驗證的主要方法。雖然使用此生物資訊的生物特徵驗證(Biometric Authentication)可以視為基於擁有的驗證的另一個示例,但這不是與需要驗證的使用者分開來進行發送/接收,而是通過使用使用者的身體或身體特徵來識別使用者,因此可以理解為不同于傳統的基於擁有的驗證的概念。當然,這些生物資訊無法被遺忘或與任何人共用,因此生物驗證又區別於基於知識的驗證。在下文中,將使用生物資訊的驗證區別于傳統的基於擁有的驗證或基於知識的驗證為前提來進行描述。在整個說明書中,使用該生物資訊的驗證將稱為「生物驗證」、「生物特徵驗證」等。
隨著使用用戶驗證以及基於擁有的驗證的驗證方式從單因素(One-factor)驗證改變為雙因素(2-Factor)驗證或多因素(multi-factor)驗證,安全驗證步驟也隨之增加,這不僅給用戶帶來了不便,還導致了資料處理時間及
成本的增加。
根據一實施例的由驗證資訊處理裝置執行的驗證資訊處理方法包括以下步驟:獲取使用者的生物資訊;獲取對應於所述驗證資訊處理裝置的唯一金鑰;以及使用所述生物資訊的至少一部分和所述唯一金鑰的至少一部分來生成驗證金鑰。
在根據一實施例的驗證資訊處理方法中,所述生物資訊的至少一部分可以是從所述使用者的生物資訊中提取的保證基於預定標準的非時變性的至少一部分。
在根據一實施例的驗證資訊處理方法中,所述生物資訊中保證所述非時變性的程度可以基於所述生物資訊的類型、所述使用者的特徵、感測所述生物資訊的環境及感測所述生物資訊的感測器的特性中的至少一種來確定。
在根據一實施例的驗證資訊處理方法中,所述唯一金鑰的至少一部分可以是按照從所述生物資訊中提取的至少一部分位數與待生成的所述驗證金鑰的位數來確定的位數,從所述唯一金鑰提取的至少一部分。
在根據一實施例的驗證資訊處理方法中,所述唯一金鑰的至少一部分可以是按照待生成為所述驗證金鑰的位數不足於從所述生物資訊中提取的至少一部分位數的位數,從所述唯一金鑰中進行提取。
在根據一實施例的驗證資訊處理方法的生成所述驗證金鑰的步驟中,可以生成包括所述生物資訊的至少一部分和所述唯一金鑰的至少一部分
的驗證金鑰,或可以通過對所述生物資訊的至少一部分和所述唯一金鑰的至少一部分適用加密演算法來生成所述驗證金鑰。
在根據一實施例的驗證資訊處理方法中,還可以包括以下步驟:基於所述驗證金鑰是否對應於已註冊在所述驗證資訊處理裝置的驗證金鑰來執行驗證操作。
在根據一實施例的驗證資訊處理方法中,還可以包括以下步驟:根據所述使用者的生物資訊來確定所述使用者是否為合法用戶,並且,在獲取所述唯一金鑰的步驟中,當所述用戶是合法用戶時,可以獲取對應於所述驗證資訊處理裝置的唯一金鑰。
在根據一實施例的驗證資訊處理方法的生成所述驗證金鑰的步驟中,可以進一步使用從所述使用者輸入的資訊的至少一部分和/或從所述驗證資訊處理裝置的對應終端接收的驗證資訊的至少一部分來生成所述驗證金鑰。
在根據一實施例的驗證資訊處理方法的所述生物資訊可以包括所述使用者的指紋、虹膜、語音、面部、靜脈分佈及視網膜中的至少一種資訊。
在根據一實施例的驗證資訊處理方法中,所述唯一金鑰可以基於連接到所述驗證資訊處理裝置的至少一部分的物理反複製技術(Physically Unclonable Function,PUF)來確定。
根據一實施例的驗證資訊處理裝置包括:處理器;以及包括可由所述處理器來執行的至少一條指令的記憶體,當所述處理器中執行至少一條所述指令時,所述處理器獲取使用者的生物資訊,獲得對應於所述驗證資訊處理裝置的唯一金鑰,並使用所述生物資訊的至少一部分和所述唯一金鑰的至少一部分來生成驗證金鑰。
在根據一實施例的驗證資訊處理裝置中,所述生物資訊的至少一部分可以是從所述使用者的生物資訊中提取的保證基於預定標準的非時變性的至少一部分。
在根據一實施例的驗證資訊處理裝置中,所述唯一金鑰的至少一部分可以是按照從所述生物資訊中提取的至少一部分位數與待生成的所述驗證金鑰的位數來確定的位數,從所述唯一金鑰提取的至少一部分。
在根據一實施例的驗證資訊處理裝置中,從所述生物資訊中提取的至少一部分位數可以基於所述生物資訊的類型、所述使用者的特徵、感測所述生物資訊的環境及感測所述生物資訊的感測器的特性中的至少一種來確定。
根據一實施例的使用者終端包括:生物感測器,感測使用所述使用者終端的使用者的生物資訊;通用處理器,處理在所述使用者終端中執行的一個以上的操作;以及驗證資訊處理裝置,使用所述生物資訊的至少一部分和對應於所述使用者終端的唯一金鑰的至少一部分來生成驗證金鑰。
根據一實施例的所述使用者終端可以包括由所述用戶控制的智慧手機、資料存儲裝置、身份證及***。
根據一實施例,通過基於使用者的生物資訊和對應於裝置的唯一金鑰而生成的驗證金鑰來執行驗證過程,不僅可以通過使用者驗證和設備驗證(即,基於擁有的驗證)的單一處理來提高便利性、安全性,生物資訊本身的非時變性的問題也可以得到緩解。
根據一實施例,即使生物感測器110感測到使用者的生物資訊,使用者也可以繞過通用處理器120並將其傳遞到驗證資訊處理裝置130,從而生
成對通用處理器120的駭客攻擊風險具有穩健性的驗證金鑰。
因此,根據一實施例,即使執行使用生物資訊的使用者驗證和使用設備資訊的設備驗證的雙因素(2-Factor)驗證,也可以實現方便的應用服務。如下文所述,通過車輛中的語音辨識進行支付、通過物聯網(IoT)設備進行電子支付以及使用智慧手機進行金融交易等在需要驗證的各個領域中,可以實現保證非時變性的既安全又方便的驗證。
100:使用者終端
110:生物感測器
120:通用處理器
130:驗證資訊處理裝置
310:生物資訊
320:唯一金鑰
330:子金鑰
340:加密演算法
350:驗證金鑰
400:驗證資訊處理裝置
410:處理器
420:物理反複製技術
430:記憶體
510:第一設備
520:伺服器
530:第二設備
800:智慧***
810:指紋感測器
900:智慧存放裝置
910:指紋感測器
圖1為描述根據一實施例的使用者終端的附圖。
圖2為顯示根據一實施例的驗證資訊處理方法的附圖。
圖3為描述根據一實施例的生成驗證金鑰的過程的附圖。
圖4為顯示根據一實施例的驗證資訊處理裝置的附圖。
圖5為顯示根據一實施例的驗證場景的示例的附圖。
圖6為描述根據一實施例的註冊驗證金鑰的過程的附圖。
圖7為描述根據一實施例的根據生成的驗證金鑰是否對應於已註冊的驗證金鑰來執行驗證的過程的附圖。
圖8及圖9為顯示根據一實施例的使用者終端的示例的附圖。
對於實施例的特定結構或者功能的說明僅為示例而進行公開,並且實施例能夠變形並實施為多種形態。由此,實施例並非限定於特定公開形態,
還包括本發明的思想及技術範圍內的變更、均等物,或替代物。
第一或第二等術語可用於描述各種元件,但所述術語僅用於區分一個元件與另一個元件的目的。例如,第一元件可以被稱為第二元件,類似地,第二元件也可以被稱為第一元件。
當言及一個元件“連接”到另一個元件時,它可以直接連接或接入到另一個元件,但也可以理解為在它們兩者之間存在另一個元件。
除非上下文清楚地以其它方式表明,單數表達包括複數含義。術語“包括”或“具有”在本文中使用時指明存在所陳述的特徵、數位、步驟、操作、構成要素、部件或其組合,但並不排除存在或添加有一個或多個其他特徵、數位、步驟、操作、構成要素、部件或其組合。
除非另有定義,包括技術術語或科學術語在內的本文所用的所有術語應具有與本發明所屬領域的普通技術人員通常理解的含義。術語,例如在常用字典中定義的術語應解讀為具有與本說明書和相關領域的上下文中的含義相一致的含義,除非本文明確地如此界定,不應被解讀為理想化或過於形式上的含義。
以下將參照附圖詳細描述本發明的實施例。以下特定結構至功能的描述僅用於說明實施例,不應被解讀為限定實施例的範圍。本領域技術人員可以從上述描述進行各種修改和變化。此外,在附圖中,相同的附圖標記表示相同的部件,並將省略對公知功能和結構的描述。
圖1為描述根據一實施例的使用者終端的附圖。
參照圖1,根據一實施例的使用者終端100可以包括生物感測器110、通用處理器(general processor)120以及驗證資訊處理裝置130。使用者終
端100作為需要驗證過程以執行使用者要求的操作的裝置,例如,可以包括智慧手機、平板電腦、筆記型電腦、個人電腦等各種電腦設備;智慧手錶、智慧眼鏡等各種可穿戴式設備;智慧揚聲器、智慧電視、智慧冰箱等各種家電;智慧身份證、智慧***、資料存放裝置、智慧車輛、物聯網(IoT)設備等。
生物感測器110作為感測使用者的生物資訊的裝置,可以在使用者終端100設置一個以上的生物感測器110,以在使用者終端100使用生物資訊作為驗證手段。例如,生物資訊可以在使用者的指紋、虹膜、語音、面部、靜脈分佈及視網膜中包括至少一種資訊。
通用處理器120作為用於處理在使用者終端100執行的普通操作的運算器,例如,可以包括中央處理器(Central Processing Unit,CPU)、微控制器(Micro Controller Unit,MCU)等。從生物感測器110輸出的生物資訊可以通過通用處理器120傳遞到驗證資訊處理裝置130。
驗證資訊處理裝置130作為用於處理驗證資訊以執行驗證的裝置,可以使用生物資訊的至少一部分(為更清楚理解本發明內容,所述生物資訊中的「至少一部分」可定義為「第一部分」)和對應於驗證資訊處理裝置130的唯一金鑰的至少一部分(為更清楚理解本發明內容,所述唯一金鑰中的「至少一部分」可定義為「第二部分」)來生成驗證金鑰。在此,唯一金鑰可以基於連接到驗證資訊處理裝置130的至少一部分的物理反複製技術(PUF)來確定。物理反複製技術(PUF)可以提供基於製造過程中的制程變異(process variation)來確定的不可預測的數位值。關於物理反複製技術(PUF)的詳細內容將參考圖4再進行描述。
並且,驗證資訊處理裝置130可以基於生成的驗證金鑰來執行驗
證過程。舉例來說,但不限於,生成的驗證金鑰作為根據加密方式(對稱秘鑰、非對稱金鑰等)的金鑰(例如,私密金鑰(private key)等),可以基於是否對應於(或者,一致于)現有的已註冊的驗證金鑰來進行驗證過程。
總之,通過基於使用者的生物資訊和驗證資訊處理裝置130的唯一秘鑰而生成的驗證秘鑰,在驗證資訊處理裝置130執行驗證過程,從而不僅可以一次就進行用戶驗證,還可以有效地執行設備驗證(即,基於擁有的驗證)。換言之,可以防止臨時佔用使用者終端100或非法獲取使用者的生物資訊的人執行未經授權的驗證過程的行為。
並且,即使使用者的生物資訊從生物感測器110輸出,也可以繞過通用處理器120並將其傳遞到驗證資訊處理裝置130,從而生成對通用處理器120的駭客攻擊風險具有穩健性的驗證金鑰。
根據一實施例,驗證資訊處理裝置130可以將基於唯一金鑰的生物資訊進行加密並存儲在內部記憶體,從而對生物資訊保持高安全性。另外,在基於驗證金鑰的驗證過程中,當生物感測器110在沒有單獨的啟動命令的情況下感測到使用者的生物資訊時,可以根據預定過程生成驗證金鑰,並執行驗證過程。
為了便於描述,驗證金鑰(Authentication key)也可以被稱為識別金鑰(Identification key)或簡單地稱為金鑰(Key)。
圖2為顯示根據一實施例的驗證資訊處理方法的附圖。
參照圖2,顯示了根據一實施例的由設置在驗證資訊處理裝置的處理器執行的驗證資訊處理方法。
在步驟210中,驗證資訊處理裝置獲取使用者的生物資訊。例如,
驗證資訊處理裝置可以接收從生物感測器感測到的使用者的生物資訊。
在步驟220中,驗證資訊處理裝置獲取對應於驗證資訊處理裝置的唯一金鑰。例如,唯一金鑰可以包括根據電特性(例如,電阻值、電容值、短路等)來確定的物理反複製技術(PUF)值,其中,該電特性基於製造過程中的制程變異而隨機確定。
在步驟230中,驗證資訊處理裝置使用生物資訊的至少一部分(第一部分)和唯一金鑰的至少一部分(第二部分)來生成驗證金鑰。此時,生物資訊的至少一部分(第一部分)可以是從使用者的生物資訊中提取的根據預定標準保證非時變性的至少一部分。此外,唯一金鑰的至少一部分(第二部分)可以按照從生物資訊中提取的至少一部分位數與待生成的驗證金鑰的位數來確定的位數,從唯一金鑰中進行提取。
在一實施例中,可以進一步使用從使用者輸入的信息的至少一部分和/或從驗證資訊處理裝置的對應終端接收的識別資訊的至少一部分來生成驗證金鑰。此時,從使用者輸入的資訊可以是帳號、密碼等各種輸入資訊。此外,對應終端作為包括驗證資訊處理裝置的使用者終端,可以提供特定服務,或可以包括一起使用的服務提供者、服務提供者、另一使用者等的設備(例如,伺服器、個人設備等)。
圖3為描述根據一實施例的生成驗證金鑰的過程的附圖。
參照圖3,根據一實施例,顯示了從子金鑰(seed key)330生成驗證金鑰350的過程,其中,該子金鑰330包括生物資訊310的至少一部分(第一部分)和唯一金鑰320的至少一部分(第二部分)。
根據一實施例的子金鑰330作為生成用於執行驗證的驗證金鑰
350的金鑰,可以具有預定的位數,為了便於描述,在本說明書中設定為具有A個位數;為助於更清楚理解,所述「A個位數」亦可稱為「特定總位數」。此類子金鑰330可以生成為包括生物資訊310的至少一部分和唯一金鑰320的至少一部分;特別是,由圖3可見,所述子金鑰330可以生成為包括生物資訊310的該第一部分(具有B個位數)和唯一金鑰320的該第二部分(具有A減去B(A-B)個位數)。
由於生物資訊310從一開始就不是數位值,而是從在類比域感測使用者的生物特徵(biological characteristics)的生物感測器輸出為數位值,因此在非時變性(time-invariance)方面存在弱點。例如,在基於語音的生物驗證的情況下,儘管每次進行識別時生物資訊310中的一部分是相同的,但由於使用者的喉嚨狀態、環境雜訊等各種因素,還是有可能每次的確定結果並非一致。此外,以指紋為例,由於手指與感測器接觸的位置/方向、接觸程度、感測器表面狀態、手指的濕度、溫度、濕度等各種因素,可以每次不同地確定生物資訊310的一部分;以虹膜為例,由於照度或其他失真因素,有可能每次輸出不同的生物資訊310的一部分。由此,生物資訊310可能被誤認。在本申請的實施例中,提出了能夠克服此類問題的方法。
在一實施例中,可以篩選並使用在生物資訊310中保證一定水準以上的非時變性的至少一部分。篩選操作可以理解為在感測器中抽樣使用者的生物特徵時其水準的差異,也可以理解為感測使用者的生物資訊310之後的後處理。
在生物資訊310中保證非時變性的程度、在生物資訊310中保證非時變性的至少一部分可以基於生物資訊310的類型、使用者的特徵及感測生
物資訊310的環境、以及感測生物資訊310的感測器的特性中的至少一個來確定。
使用者的特徵包括使用者的種族、年齡、身體特徵等,例如,患有多汗症的用戶的指紋的保證非時變性的程度可能低於手乾燥的用戶的指紋。此外,感測生物資訊310的環境可以包括但不限於各種環境參數,例如照度、溫度、濕度、環境雜訊等。此外,用於感測生物資訊310的感測器的特徵可以包括傳感解析度、傳感靈敏度、傳感方法等。例如,光學指紋感測器和超聲波指紋感測器的保證非時變性的程度有可能彼此不同。
在圖3的示例中,保證非時變性的生物資訊310的至少一部分(第一部分)設定為具有B個位數。在此,B可以是小於A的自然數。換言之,難以使用保證非時變性的生物資訊310的至少一部分(第一部分)來生成A個位數的子金鑰330,不足的位數A-B個可以從唯一金鑰320中提取(唯一金鑰320的第二部分)。為助於理解與定義本案內容,所述「B個位數」亦可稱為「第一位數」;所述「不足的位數A-B個可以從唯一金鑰320中提取」係表示從唯一金鑰320提取的位數是A個位數(該特定總位數)減去B個位數(該第一位數),並可定義為所述唯一金鑰320具有「第二位數」,且該第二位數係由該特定總位數減去該第一位數所獲得。對於唯一金鑰320,將會參照圖4進行詳細描述,但唯一金鑰320作為根據基於製造過程中的制程變異而隨機確定的電特性來確定的物理反複製技術(PUF)值,具有非時變的特性。
換言之,子金鑰330首先可以由保證非時變性的生物資訊310的至少一部分(第一部分)組成,其餘的可以由唯一金鑰320的至少一部分(第二部分)組成。可見,子金鑰330不僅基於生物資訊310,還基於唯一金鑰320來
生成,因此不僅可以通過對基於生物資訊310的使用者驗證和基於唯一金鑰320的設備驗證的單一處理來提高安全性和方便性,還可以解決有關生物資訊310本身的非時變性的問題。優選地,子金鑰330的一半由生物資訊310的至少一部分組成,另一半由唯一金鑰320的至少一部分組成,由此,可以同等地執行驗證,在使用者驗證和設備驗證中任一個的驗證都不忽略。
驗證金鑰350基於子金鑰330來確定,根據實施例,可以將子金鑰330原樣地使用為驗證金鑰350,或者可以通過加密演算法340從子金鑰330生成驗證金鑰350。
根據一實施例,在生物資訊310中保證非時變性的程度並不是根據生物資訊類型等統一標準來一概性地確定,可以在生成子金鑰330的過程中對生物資訊310進行檢測,適應性地(adaptively)確定保證非時變性的程度。因此,當生成子金鑰330時,生物感測器可以在註冊過程中識別生物資訊310(如有必要,根據時間或方法進行重複識別),判斷在該使用者的生物資訊310中確定具有多少長度(換句話之,位數)的非時變性的生物測定資訊310,並按確定的長度將生物資訊310包括在子金鑰330中,其餘的配置為唯一金鑰320。
因此,只要可靠地進行註冊處理,當使用使用者U1的指紋資訊和其設備M1的唯一金鑰來生成子金鑰S1時,可以使用生物資訊為N1位元(N1是自然數),剩餘的從設備M1的唯一金鑰中進行提取;相反地,當使用另一使用者U2的指紋資訊和其設備M2的唯一金鑰來生成子金鑰S2時,可以使用生物資訊為N2位元(N2也是自然數),剩餘的從設備M2的唯一金鑰中進行提取。即,即使生成的子金鑰S1和S2的總長度相同,每個金鑰中的生物資訊和唯一金鑰的比率可以各不相同,對於安全攻擊者來說,這會使情況更加不可預測,
有助於提高安全性。
圖4為顯示根據一實施例的驗證資訊處理裝置的附圖。
參照圖4,根據一實施例的驗證資訊處理裝置400可以包括處理器410、物理反複製技術(PUF)420以及記憶體430。
處理器410作為控制由驗證資訊處理裝置400執行的操作的裝置,例如,可以包括中央處理器(CPU)、微控制器(MCU)等。處理器410可以從生物資訊中提取保證非時變性的至少一部分,並按照子金鑰的不足位數,從唯一金鑰的至少一部分進行提取,從而生成驗證金鑰。此外,處理器410可以處理上述操作。
物理反複製技術(PUF)420可以提供不可預測(Unpredictable)的數位值。儘管各個物理反複製技術(PUF)在精確的相同製造工藝中製造,但由於工藝上的偏差,各個物理反複製技術(PUF)所提供的數位值各不相同。因此,物理反複製技術(PUF)420也可以被稱為不可複製的POWF(Physical One-Way Function practically impossible to be duplicated)。這樣的物理反複製技術(PUF)420可以生成用於安全和/或設備驗證的驗證金鑰。例如,物理反複製技術(PUF)420可以用於提供唯一金鑰以區分設備(Unique key to distinguish devices from one another)。物理反複製技術(PUF)420及其實現方法已記載在韓國授權專利10-1139630中,其全文包括在本文作為參考(通過引用結合到本文中)。
記憶體430可以存儲驗證操作時所需的資料。例如,記憶體430可以存儲根據上述描述而生成的驗證金鑰,還可以存儲由生物感測器感測到的生物資訊。
圖5為顯示根據一實施例的驗證場景的示例的附圖。
儘管上述實施例描述了使用者的生物資訊和特定設備的唯一值應用于方便又安全的驗證的過程,但可以進一步擴大實施例。
根據另一實施例,可以適用雙因素驗證,即設備對交易對方,如服務提供者(例如,銀行、電子商務公司、公共機構、支付服務商、內容提供者等)進行驗證。此時,可以理解為,將從可信賴的服務提供者發出的提供者驗證資訊與上述的驗證金鑰第一次生成/註冊時一起使用。
很多時候電話詐騙、短信詐騙等非法主體成為包括支付和金融交易的相互驗證的一方。從設備的角度來看,需要進行相互驗證,以驗證當前連接到交易的對方是否為真正的銀行還是冒充的主體。在使用者設備-伺服器(或者,在點對點(peer-to-peer)服務中的另一使用者設備)之間有很多讓人擔憂的問題,例如,假冒銀行網站成為相互驗證的對象來引發金融事故;或在更新智慧手機韌體的過程中,駭客冒充合法的韌體提供商,將含有惡意程式碼的韌體下載到智能手機;或分發包含惡意程式碼的應用程式以安裝到設備上;或非法主體冒充電信運營商或內容提供者,與設備進行相互驗證等。並且,汽車對汽車(Vehicle-to-Vehicle,V2V)、汽車對基礎設施(Vehicle to Infrastructure,V2I)等車輛與其他實體的連接以及軍事設備或設施裡的此類情況可能會帶來經濟上的損失,甚至造成生命危險。
此時,根據本實施例,由於真正的(genuine)實體向設備提供自己的驗證資訊(例如,識別金鑰),並且,其被用於識別使用者設備的對方,因此在設備與服務提供者之間執行相互驗證過程中,可以雙向進行基於生物資訊的使用者驗證、基於唯一金鑰的設備驗證以及基於驗證資訊的對方驗證。由此,可以在不犧牲使用者便利性的情況下實現安全的驗證過程。
參照圖5,顯示了根據一實施例的第一設備510和伺服器520之間的相互驗證以及設備510、530之間的相互驗證的示例。圖5所示的設備510、530可以對應於在圖1所描述的使用者終端,伺服器520可以對應於由服務提供者操作的設備。
第一設備510可以通過使用生物資訊的至少一部分和唯一金鑰的至少一部分來生成的驗證金鑰與伺服器520執行相互驗證。此外,第一設備510還可以通過驗證金鑰與由另一使用者控制的第二設備530執行相互驗證。
圖6為描述根據一實施例的註冊驗證金鑰的過程的附圖。
在步驟610中,想要第一次註冊驗證金鑰的用戶可以通過生物感測器識別其生物資訊,使得驗證資訊處理裝置能夠獲取使用者的生物資訊。在此,生物資訊可以由通過驗證資訊處理裝置和有線/無線網路連接的生物感測器來感測。
在步驟620中,驗證資訊處理裝置可以在生物資訊中確定保證非時變性的至少一部分。例如,驗證資訊處理裝置可以對生物資訊執行測試,從而在生物資訊中提取滿足非時變性的至少一部分。為了在生物資訊中確定保證非時變性的至少一部分,可能需要多次感測生物資訊。例如,可以通過使用戶的手指與指紋感測器接觸的角度多元化來確定共同包括在感測到的生物資訊的資訊,即保證非時變性的資訊。為此,可以重複執行步驟610,直到確定保證非時變性的至少一部分為止。
在步驟630中,驗證資訊處理裝置可以按照待生成為驗證金鑰的不足位數來確定唯一金鑰的至少一部分。換言之,可以按照待生成為驗證金鑰的位元數不足於在步驟620中確定的保證非時變性的生物資訊的至少一部分的位
元數,來確定唯一金鑰的至少一部分。
在步驟640中,驗證資訊處理裝置可以使用生物資訊的至少一部分和唯一金鑰的至少一部分來生成驗證金鑰。例如,驗證資訊處理裝置可以生成包括生物資訊的至少一部分和唯一金鑰的至少一部分的驗證金鑰,或可以通過對生物資訊的至少一部分和唯一金鑰的至少一部分適用加密演算法來生成驗證金鑰。
在步驟650中,驗證資訊處理裝置可以註冊生成的驗證金鑰。例如,驗證資訊處理裝置可以在對應於內部記憶體或服務提供者的伺服器註冊驗證金鑰。
圖7為描述根據一實施例的根據生成的驗證金鑰是否對應於已註冊的驗證金鑰來執行驗證的過程的附圖。
在步驟710中,想要使用特定服務的使用者可以通過生物感測器識別其生物資訊,使得驗證資訊處理裝置能夠獲取使用者的生物資訊。
在步驟720中,驗證資訊處理裝置可以確定感測到的生物資訊是否對應於已註冊的生物資訊。例如,可以確定在已註冊的生物資訊中保證非時變性的至少一部分是否相一致地包括在感測到的生物資訊。為此,在驗證金鑰註冊過程中,保證非時變性的生物資訊的至少一部分可以存儲在驗證資訊處理裝置的內部記憶體,此時,存儲的生物資訊可以基於唯一金鑰進行加密。
如果感測到的生物資訊與已註冊的生物信息不對應,可以重新識別生物資訊。相反地,如果感測到的生物資訊對應於已註冊的生物資訊,可以接著執行步驟730。換句話之,感測到的生物資訊與已註冊的生物資訊的一致作為基於使用生物資訊和唯一金鑰生成的驗證金鑰的驗證過程的開始命令,使使用
者不需要做任何單獨的操作或處理,由此不會影響到便利性。
由此,基於生物資訊的使用者驗證是預先執行,因此即使未經授權的人未經許可佔用了設備,也無法通過該設備執行驗證過程,對於因設備丟失導致的安全威脅,可以確保其穩定性。
在步驟730中,驗證資訊處理裝置可以使用生物資訊的至少一部分和唯一金鑰的至少一部分來生成驗證金鑰。
在步驟740中,驗證資訊處理裝置可以確定生成的驗證金鑰是否對應於已註冊的驗證金鑰。可以確定生成的驗證金鑰與已註冊的驗證金鑰是否彼此一致,例如,當生物資訊的至少一部分、唯一金鑰的至少一部分、用於生成驗證金鑰的生物資訊和唯一金鑰的比率等各不相同時,生成的驗證金鑰不對應與已註冊的驗證金鑰。當生成的驗證金鑰不對應與已註冊的驗證金鑰時,可以重新識別生物資訊。相反地,當生成的驗證金鑰對應於已註冊的驗證金鑰時,可以接著執行步驟750。
在步驟750中,驗證資訊處理裝置可以執行驗證成功後的後續操作。例如,驗證資訊處理裝置可以將驗證成功通知到使用者終端,並且,使用者終端可以處理使用者想要執行的後續操作(支付、金融交易、登錄等)。
以下對根據一實施例的一些應用示例進行說明。顯然,以下描述的示例僅被理解為示例性,並不受到限制。
可以將通過設備的金融支付(payment)或網上銀行流程作為一例。通過基於物理反複製技術(PUF)的設備驗證來執行支付或銀行交易有許多優點,物理反複製技術(PUF)本身對特定設備(更具體地,該設備中的特定晶片)是唯一的,不會相同地存在於其他設備上。因此,基於物理反複製技術(PUF)
執行驗證至少可以確保通過其設備嘗試支付。在此,可能需要基於知識的驗證(例如,基於支付密碼等)或生物驗證(例如,基於指紋或虹膜識別等),以便基於物理反複製技術(PUF)的設備驗證不會由未經授權的人來執行。然而,根據一實施例,當不是單獨執行使用者驗證並執行設備驗證,而是僅識別生物資訊時,這會使設備將其視為通過物理反複製技術(PUF)進行設備驗證的命令,使得用戶可以一次執行生物驗證和設備驗證,而不是需要兩個步驟。
想到當前常見的基於移動應用程式的智慧銀行交易,就可以容易地理解本實施例的有用性。運行智慧銀行應用程式時,使用者就會通過一次用戶驗證。帳號/密碼登錄、公認電子證書登錄或在某些情況下生物驗證可以用於此第一次驗證。但是,當將錢轉到另一個人的帳戶時,通常會在輸入匯款資訊後要進行第二次驗證。此時,第二次驗證基於通過OTP輸入一次性密碼、輸入安全卡號、ARS驗證、通過短信的身份驗證、通過公認電子證書等方式進行,需要單獨的操作或控制,導致用戶會感到麻煩。
然而,根據本發明的一實施例,當一起識別生物資訊和用於金融交易或支付的基本資訊時,可以馬上完成該交易,僅靠一次的驗證就可以一起進行生物驗證和設備(基於PUF)驗證,從用戶的角度來看,可以緩解多次執行驗證帶來的不便。
以快速匯款服務為例,但說明並不限於此。根據實施例的銀行應用程式可以通過普通方式的登錄來使用現有技術中的常規服務,但也可以從應用程式啟動初始畫面直接輸入交易資訊(如,收款人、銀行和帳戶資訊、交易金額等)並進行生物識別(如,指紋、語音、虹膜、面部等),使得生物驗證和設備驗證自動執行,從而完成交易。為了避免錯誤的交易而在交易處理後允許短時
間內可以取消,則可以保證交易的安全性。例如,完成匯款/付款流程後,通知其結果的同時,允許發現問題時可以在10秒內取消其結果並進行返回,如果沒有取消,則繼續執行。
更有用的是通過語音辨識進行的交易。如今,各種服務提供者的語音辨識服務越來越普遍,語音其本身不僅是一種可以輸入資訊的手段,還屬於使用者的生物資訊。眾所周知,可以通過從語音辨識生物特徵來執行生物驗證。當基於設備的驗證可以通過PUF等安全手段提供,並已註冊通過使用者語音進行的生物驗證時,通過語音命令(如“給老婆發送10萬韓元”、“給老公發送10萬韓元”)進行生物驗證和設備驗證後,可以執行轉帳到對方帳戶的交易。
根據另一實施例,本文中提出的驗證方法可以適用於基於物體的驗證,例如車輛。當用戶接近車輛並說出預先輸入的短語時,不僅可以控制車輛(如車門打開或啟動汽車),還可以在加油(電動汽車充電也一樣)時支付加油費。
在物與物交易中,不可否認性(non-repudiation)是一個重要問題。如果在沒有使用者驗證過程的情況下發生物體(如,車輛)與物體(如,加油器)之間的交易,使用者很可能否認未經本人確定的該交易。例如,別人車的油費報價到我的車並已支付完畢,或者否認我並沒有做這樣的交易等。這種情況都是省略使用者驗證時會發生的場景,而當使用語音命令“請支付油費5萬韓元”時,則可以基於生物驗證對用戶進行驗證,並通過Genesis車輛的設備驗證方法(如,基於PUF的驗證方法)進行設備驗證,從而執行支付,由此可以提供不可否認的可能性(阻止否認)。在此過程中,生物驗證本身不僅起到驗證的作用,它還可以作為啟動設備驗證的命令,從而提高用戶的便利性。
可擴張領域更為多樣化。目前,當向智慧揚聲器說出“幫我訂披薩”時,即使訂購的主體是孩子,訂單還是照樣完成的情況屢屢發生。此時,當家長進行語言識別及生物驗證時,至少讓其再經過設備驗證步驟才可以完成訂購及支付的話,可以同時滿足便利性和安全性。在視頻點播(VOD)內容訂購服務中,當前的服務是使用者必須進行「幫我顯示哈利波特」等語音命令後使用遙控器輸入密碼來執行支付。但如果設定為只有通過有授權訂購的人(例如,媽媽)的聲音的語音命令才可以進行語音辨識、生物驗證及設備驗證並完成訂購,即可以滿足雙因素(2-Factor)驗證和便利性。就如雙因素(2-Factor)以及多因素(multi-Factor)驗證,驗證步驟越多,其安全性也越提高,但由於使用者必須經過幾個步驟,因此會感到不便,但通過將生物驗證處理為設備驗證的命令,或生成同時考慮生物驗證和設備驗證的驗證金鑰,可以不必放棄便利性。
根據另一實施例,以歐洲為中心的一些國家嘗試通過簽發電子標識(electronic identification,eID)來替代用於驗證用戶(例如駕駛執照)的身份證。其中,有一種稱為電子身份證(electronic identification card,eIC)的金融卡形式的電子護照。例如,在瑞典,名為BankID的電子標識(eID)嵌入到智慧手機等電子設備,以便在銀行交易時可以進行安全web登錄和支付等金融活動,其普及率也很高。這種電子身份證可以基於使用者的生物資訊和設備本身的唯一金鑰來生成。由於使用者的生物資訊和設備本身的唯一金鑰(例如,使用PUF創建的數位值)包括在該電子身份證中,因此通過電子身份證的驗證包括使用者驗證和設備驗證。因此,只要一次進行電子身份證的驗證,就可以實現雙因素(2-Factor)驗證。
根據本申請的實施例,可以存在各種形式的服務,其中,新購買
智慧手機(或新購買SIM卡)的用戶通過智慧手機的感測器輸入自己的生物特徵資訊(例如,指紋、面部、虹膜、語音等),以生成電子身份證。之後,可以將從通過安全過程其輸入的生物資訊中提取的數位代碼和設備(例如,智慧手機中的晶片、SIM卡或SD卡中的晶片等)本身提供的唯一金鑰進行混合並生成新的電子身份證,作為單一的身份驗證手段。當然,這些電子身份證將通過加密來使用而不是其原始值來使用。通過此電子身份證進行的驗證雖然是一種單一的、集成的身份驗證手段,但除了本人之外,其他人無法通過該設備製作出相同的電子身份證,因此可以說在執行用戶驗證;並且,就算是本人,如果沒有持有該設備,也無法製作出相同的電子身份證,因此可以說也在執行設備驗證。
圖8及圖9為顯示根據一實施例的使用者終端的示例的附圖。
根據一實施例的使用者終端是一種包括生物感測器和驗證資訊處理裝置的設備,可以執行上述操作。例如,可以通過圖8的智慧***800和圖9的智慧存放裝置900來實現使用者終端。智慧***800和智慧存放裝置900分別具有指紋感測器810、910,從而可以基於使用者的生物資訊來判斷想要使用該設備的使用者是否為合法用戶、已註冊的用戶,並可以感測根據上述描述的生成驗證金鑰時所需的使用者的生物資訊。
此外,智慧存放裝置900將要存儲的資料加密為根據上述描述的驗證金鑰並存儲在內部記憶體,隨後,只有當基於合法使用者的生物資訊和與智慧存放裝置900相關的唯一金鑰來生成驗證金鑰時才可以讀取資料,由此,可以實現更安全的安全記憶體(secure memory)。
此外,由於可以對智慧***800和智慧存放裝置900分別執行上述操作,因此將省略對其的詳細描述。
以上說明的實施例能夠通過硬體構成要素、軟體構成要素,和/或硬體構成要素以及軟體構成要素的組合實現。例如,實施例中說明的裝置、方法,以及構成要素,能夠利用例如處理器、控制器、算數邏輯單位(arithmetic logic unit,ALU)、數位訊號處理器(digital signal processor)、微型電腦、場域可程式設計陣列(field programmable gate array,FPGA)、可程式設計邏輯單元(programmable logic unit,PLU)、微處理器、或能夠執行與應答指令(instruction)的任何其他裝置,能夠利用一個以上的通用電腦或特殊目的電腦進行體現。處理裝置能夠執行作業系統(OS)及在所述作業系統中執行的一個以上的軟體應用。並且,處理裝置應答軟體的執行,從而訪問、保存、操作、處理及生成資料。為方便理解,說明為僅具有一個處理裝置的方式,但本領域普通技術人員應理解處理裝置能夠包括多個處理元件(processing element)和/或多個類型的處理要素。例如,處理裝置能夠包括多個處理器或一個處理器及一個控制器。並且,也能夠包括類似於並行處理器(parallel processor)的其他處理配置(processing configuration)。
軟體能夠包括電腦程式(computer program)、代碼(code)、指令(instruction),或其中的一個以上的組合,能夠將處理裝置構成為實現以所期待的方式操作,或者,單獨或共同(collectively)命令處理裝置的方式。軟體和/或資料為通過處理裝置進行解釋或者向處理裝置提供命令或資料,能夠具體體現於(embody)任何類型的設備、構成要素(component)、物理裝置、虛擬裝置(virtual equipment)、電腦存儲媒介或裝置,或者永久體現於所傳送的信號波(signal wave)。軟體分散於通過網路連接的電腦系統上,能夠以分散的方式存儲或執行。軟體及資料能夠存儲於一個以上的電腦讀寫記錄媒介。
根據實施例的方法以能夠通過多種電腦手段執行的程式命令的
形態體現,並記錄在電腦讀寫媒介。所述電腦讀寫媒介能夠以單獨或者組合的形式包括程式命令、資料檔案、資料結構等。記錄在所述媒介的程式命令能夠是為實現實施例特別設計與構成的,或者是電腦軟體負責人公知而能夠使用的。電腦讀寫記錄媒介能夠包括硬碟、軟碟以及磁帶等磁性媒介(magnetic media);與CD-ROM、DVD等類似的光學媒介(optical media);與光磁軟碟(floptical disk)類似的磁光媒介(magneto-optical media),以及與唯讀記憶體(ROM)、隨機存取記憶體(RAM)、快閃記憶體等類似的為存儲並執行程式命令而特別構成的硬體裝置。程式命令的例子不僅包括通過編譯器生成的機器語言代碼,還包括使用解譯器等的能夠由電腦執行的高階語言代碼。為執行實施例的操作,所述硬體裝置能夠構成為以一個以上的軟體模組實現操作的方式。
實施例中描述的構成要素可以由硬體元件(hardware components)來實現,該硬體元件在諸如數位訊號處理器(Digital Signal Processor,DSP)、處理器(Processor)、控制器(Controller)、專用積體電路(Application Specific Integrated Circuit,ASIC)、場域可程式設計閘陣列(Field Programmable Gate Array,FPGA)之類的可程式設計邏輯元件(Programmable Logic Element)、其他電子設備及其組合中包括一個以上。實施例中描述的功能(functions)或過程(processes)中的至少一部分可以由軟體(software)來實現,該軟體可以被記錄在記錄介質(recording medium)上。實施例中描述的元件、功能及過程可以通過硬體和軟體的組合來實現。
綜上,通過有限的附圖對實施例進行了說明,本領域普通技術人員能夠基於所述記載進行多種更改與變形。例如,所說明的技術按照與說明的方法不同的循序執行,和/或所說明的系統、結構、裝置、電路等構成要素按照與
說明的方法不同的形態進行結合或組合,或者由其他構成要素或者等同物置換或代替,也能得到適當的結果。由此,其他體現,其他實施例以及權利要求範圍的等同物,均屬於本發明的權利要求範圍。
310:生物資訊
320:唯一金鑰
330:子金鑰
340:加密演算法
350:驗證金鑰
Claims (9)
- 一種由驗證資訊處理裝置執行的驗證資訊處理方法,所述驗證資訊處理裝置由具有一特定總位數的一子金鑰生成一驗證金鑰,包括以下步驟:獲取使用者的生物資訊;自該生物資訊決定一第一部分,該生物資訊的該第一部分在一預定標準下保證具有非時變性且具有一第一位數;獲取對應於所述驗證資訊處理裝置的一唯一金鑰;自該唯一金鑰決定一第二部分,該唯一金鑰的該第二部分具有一第二位數,該第二位數係由該特定總位數減去該第一位數所獲得;以及使用所述生物資訊的該第一部分和所述唯一金鑰的該第二部分來生成該驗證金鑰。
- 如請求項1所述之驗證資訊處理方法,所述生物資訊中保證所述非時變性的程度基於所述生物資訊的類型、所述使用者的特徵、感測所述生物資訊的環境及感測所述生物資訊的感測器的特性中的至少一種來確定。
- 如請求項1所述之驗證資訊處理方法,在生成所述驗證金鑰的步驟中,生成包括所述生物資訊的該第一部分和所述唯一金鑰的該第二部分的驗證金鑰,或通過對所述生物資訊的該第一和所述唯一金鑰的該第二部分適用加密演算法來生成所述驗證金鑰。
- 如請求項1之驗證資訊處理方法,還包括以下步驟:基於所述驗證金鑰是否對應於已註冊在所述驗證資訊處理裝置的驗證金鑰來執行驗證操作。
- 如請求項1之驗證資訊處理方法,還包括以下步驟:根據所述使用者的生物資訊來確定所述使用者是否為合法用戶,在獲取所述唯一金鑰的步驟中,當所述用戶是合法用戶時,獲取對應於所述驗證資訊處理裝置的唯一金鑰。
- 如請求項之驗證資訊處理方法,所述生物資訊包括所述使用者的指紋、虹膜、聲音、面部、靜脈分佈及視網膜中的至少一種資訊。
- 如請求項1之驗證資訊處理方法,所述唯一金鑰基於連接到所述驗證資訊處理裝置的物理反複製技術來確定。
- 一種驗證資訊處理裝置,包括:一處理器;以及包括可由所述處理器來執行的至少一條指令的一記憶體,當所述處理器中執行至少一條所述指令時,所述處理器由具有一特定總位數的一子金鑰生成一驗證金鑰,包含以下步驟:獲取使用者的生物資訊;自該生物資訊決定一第一部分,該生物資訊的該第一部分在一預定標準下保證具有非時變性且具有一第一位數;獲得對應於所述驗證資訊處理裝置的唯一金鑰;自該唯一金鑰決定一第二部分,該唯一金鑰的該第二部分具有一第二位數,該第二位數係由該特定總位數減去該第一位數所獲得;以及使用所述生物資訊的該第一部分和所述唯一金鑰的該第二部分來生成驗證金鑰。
- 如請求項8之驗證資訊處理裝置,從所述生物資訊中提取的該第一部分的該第一位數基於所述生物資訊的類型、所述使用者的特徵、感測所述生物資訊的環境及感測所述生物資訊的感測器的特性中的至少一種來確定。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2019-0013990 | 2019-02-01 | ||
| KR20190013990 | 2019-02-01 | ||
| KR10-2020-0012389 | 2020-02-03 | ||
| KR1020200012389A KR102339949B1 (ko) | 2019-02-01 | 2020-02-03 | 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202036340A TW202036340A (zh) | 2020-10-01 |
| TWI816017B true TWI816017B (zh) | 2023-09-21 |
Family
ID=72048087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109103264A TWI816017B (zh) | 2019-02-01 | 2020-02-03 | 驗證資訊處理方法和裝置 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3876120A4 (zh) |
| KR (2) | KR102339949B1 (zh) |
| TW (1) | TWI816017B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102357694B1 (ko) * | 2021-06-29 | 2022-02-08 | 주식회사 아이리시스 | 생체 정보를 이용한 퍼지 커밋먼트 기반 퍼지 축출 시스템 및 폐기 가능 생체 정보 보안 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104620534A (zh) * | 2012-08-21 | 2015-05-13 | Ictk有限公司 | 处理认证信息的装置及方法 |
| US20170279606A1 (en) * | 2016-03-24 | 2017-09-28 | Samsung Electronics Co., Ltd. | Device bound encrypted data |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101882289B1 (ko) * | 2013-10-28 | 2018-07-30 | 주식회사 아이씨티케이 홀딩스 | 인증 정보 처리 장치 및 방법 |
| KR101622253B1 (ko) * | 2014-07-09 | 2016-05-19 | 전남대학교 산학협력단 | 생체정보 또는 생체정보로부터 파생된 정보 또는 사용자 특징 정보를 이용한 안전한 인증 시스템, 그 시스템에서의 인증 제어를 위한 장치 및 방법 |
-
2020
- 2020-02-03 KR KR1020200012389A patent/KR102339949B1/ko active IP Right Grant
- 2020-02-03 TW TW109103264A patent/TWI816017B/zh active
- 2020-02-03 EP EP20749323.0A patent/EP3876120A4/en active Pending
-
2021
- 2021-10-22 KR KR1020210141765A patent/KR102633314B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104620534A (zh) * | 2012-08-21 | 2015-05-13 | Ictk有限公司 | 处理认证信息的装置及方法 |
| US20170279606A1 (en) * | 2016-03-24 | 2017-09-28 | Samsung Electronics Co., Ltd. | Device bound encrypted data |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102339949B1 (ko) | 2021-12-17 |
| TW202036340A (zh) | 2020-10-01 |
| EP3876120A1 (en) | 2021-09-08 |
| KR20210133178A (ko) | 2021-11-05 |
| KR102633314B1 (ko) | 2024-02-06 |
| KR20200096164A (ko) | 2020-08-11 |
| EP3876120A4 (en) | 2022-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11172361B2 (en) | System and method of notifying mobile devices to complete transactions | |
| AU2018333068B2 (en) | Systems and methods for managing digital identities associated with mobile devices | |
| EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
| KR102358546B1 (ko) | 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법 | |
| US8132722B2 (en) | System and method for binding a smartcard and a smartcard reader | |
| US20130219481A1 (en) | Cyberspace Trusted Identity (CTI) Module | |
| US20070223685A1 (en) | Secure system and method of providing same | |
| KR20160097323A (ko) | Nfc 인증 메커니즘 | |
| US20170206525A1 (en) | Online transaction authorization via a mobile device application | |
| US20220052997A1 (en) | Authentication information processing method and apparatus and user terminal including authentication information processing method and apparatus | |
| KR102633314B1 (ko) | 인증 정보 처리 방법 및 장치와 인증 정보 처리 방법 장치를 포함한 사용자 단말 | |
| Zwane et al. | An intelligent security model for online banking authentication | |
| KR20160037520A (ko) | 생체 인식 기반의 통합 인증 시스템 및 방법 | |
| Singh | Multi-factor authentication and their approaches | |
| Abiodun et al. | Securing Digital Transaction Using a Three-Level Authentication System | |
| Salminen | Strong authentication based on mobile application | |
| Msgna et al. | WYK: Mobile Device Authentication Using the User’s Address Book | |
| WO2007092429A2 (en) | Secure system and method for providing same |