KR102563183B1 - 자기 주권 신원 정보 분할 관리 장치 및 방법 - Google Patents
자기 주권 신원 정보 분할 관리 장치 및 방법 Download PDFInfo
- Publication number
- KR102563183B1 KR102563183B1 KR1020210113357A KR20210113357A KR102563183B1 KR 102563183 B1 KR102563183 B1 KR 102563183B1 KR 1020210113357 A KR1020210113357 A KR 1020210113357A KR 20210113357 A KR20210113357 A KR 20210113357A KR 102563183 B1 KR102563183 B1 KR 102563183B1
- Authority
- KR
- South Korea
- Prior art keywords
- identity information
- self
- sovereign identity
- sovereign
- division
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title abstract description 16
- 238000007726 management method Methods 0.000 claims description 110
- 238000005192 partition Methods 0.000 claims description 21
- 238000000638 solvent extraction Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 7
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 발명은 블록체인 기반 자기 주권 신원 정보 관리 기술에 관한 것으로, 더욱 상세하게는 자기 주권 신원 정보를 암호학적으로 분할 저장하여 안전하게 보관하고 관리하는 자기 주권 신원 정보 분할 관리 장치 및 방법에 관한 것이다. 본 발명의 일 실시 에에 따르면, 개인키의 안전한 분할, 복원 및 백업 관리를 통해 휴먼 에러와 같은 사회 공학적 공격에도 방어가 손쉽고, 개인키가 저장된 사용자 플랫폼의 손망실에도 복원이 가능하다.
Description
본 발명은 블록체인 기반 자기주권 신원 정보 관리 기술에 관한 것으로, 더욱 상세하게는 자기 주권 신원 정보를 암호학적으로 분할 저장하여 안전하게 보관하고 관리하는 자기 주권 신원 정보 분할 관리 장치 및 방법에 관한 것이다.
일반적으로 블록체인 환경에서는 개인키를 활용하여 블록체인 거래 주소(전자 지갑)를 생성한다. 통상적으로 개인키는 사용자가 관리하는 것으로 사용자 플랫폼에 파일 형태로 보관한다. 예를 들면 사용자 플랫폼은 모바일 단말 또는PC 단말 장치 등이다. 블록체인 거래 주소(전자 지갑)에 대한 개인키의 저장 또는 관리는 전적으로 사용자에게 일임되어 있으므로 개인키의 손망실로 인해 블록체인 거래 주소(전자 지갑)에 존재하는 거래 잔금을 사용할 수 없는 일이 발생하였고, 이러한 기술적 한계점을 하드웨어 월렛, 종이 월렛 등의 매개체로 해결해 왔다.
한편 블록체인 기반 자기 주권형 신원ID를 활용한 신원인증 기술이 새롭게 나타나고 있으며 '2018년 GDPR(유럽연합의 개인정보보호 법령)'에 따라 자신의 신원을 인증하는 정보는 '자기 주권 하에 신원 정보' 를 기반으로 한다고 하는 새로운 신원 인증 패러다임에 기초하고 있다.
블록체인에서의 중앙 기관에 의존하지 않고 분산되는 것으로, 블록체인에서의 자기 주권 신원 인증은 실생활에서의 신원과 동일한 방식으로 작동한다. 신원 증명 발행, 제출, 삭제 복구 등 모든 권한을 사용자가 가지며, 블록체인은 신원 증명이 사용자의 소유임을 증명하고, 신원 증명의 발행, 제출, 갱신 등의 기록 관리에 활용한다. 즉 자신의 신원을 증명할 수 있는 자신 만의 정보를 기반으로 신원 정보를 생성하고, 생성된 신원 정보를 블록체인에 등록하며, 등록된 신원 정보를 조회할 수 있는 신원 ID를 생성하여 신원 확인에 사용하는 것이 자기 주권형 신원 인증 매카니즘이다.
하지만 신원 ID에 따른 신원 정보를 블록체인에 등록하게 됨에 따라 블록체인의 기술적 특성에 따라 등록된 신원 정보의 변경이 불가능하다는 한계가 존재한다. 이러한 기술적 한계를 극복하기 위해 소브린(sovrin) 재단, 비트코인(bitcoin), 이더리움(etherium) 등은 블록체인에 신원 정보를 저장하지 않고 블록체인에는 신원 정보 등록과 관련된 시스템 로그 등의 절차 정보를 저장하고, 실 데이터는 가변이 가능한 DB에 저장하는 방식을 채택하고 있다.
본 발명은 비밀분할 알고리즘을 활용하여 여러 개의 개인분할키 데이터를 생성하여 저장된 개인키의 일부가 손망실되더라도 분할 조건이 충족되면 복원할 수 있다.
본 발명은 블록체인의 무결성을 이용한 자기 주권 신원 인증을 하는 자기 주권 신원 정보 분할 관리 장치 및 방법을 제공한다.
본 발명은 블록체인에서 신원 인증 정보 등록과 폐기 정보를 관리하여 신원 인증 정보의 변경 및 갱신이 가능한 자기 주권 신원 정보 분할 관리 장치 및 방법을 제공한다.
본 발명의 일 측면에 따르면, 자기 주권 신원 정보 분할 관리 장치를 제공한다.
본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치는 분산형 식별자와 연관된 개인키를 관리하는 키 관리부, 분산형 식별자를 생성하고 블록체인에 등록하는 신원정보부; 및 상기 분산형 식별자가 유효한지 검증하는 인증부를 포함할 수 있다.
본 발명의 다른 일 측면에 따르면, 자기 주권 신원 정보 분할 관리 방법 및 이를 실행하는 컴퓨터 프로그램을 제공한다.
본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 방법 및 이를 실행하는 컴퓨터 프로그램은 비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 단계, 설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 단계 및 백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 단계를 포함할 수 있다.
본 발명의 일 실시 에에 따르면, 개인키의 안전한 분할, 복원 및 백업 관리를 통해 휴먼 에러와 같은 사회 공학적 공격에도 방어가 손쉽고, 개인키가 저장된 사용자 플랫폼의 손망실에도 복원이 가능하다.
본 발명의 일 실시 예에 따르면, 개인키의 안전한 복원을 위해 비밀분할 알고리즘을 통해 복원조건/분할조건을 설정하여 개인키의 소유자가 아닌 시스템 관리자/ 서비스 담당자 등 기타 타인의 접근을 통한 해킹 등의 위협에 원천적으로 대응할 수 있다.
본 발명의 일 실시 예에 따르면, 신원 인증시에 블록체인의 기술적 특성을 그대로 유지할 수 있어 정보의 위변조가 불가능하다.
본 발명의 일 실시 예에 따르면 자기 주권 신원 인증 정보의 등록과 폐기 절차를 분리하여 블록체인에 등록한 자기 주권 신원 인증 정보를 갱신할 수 있다.
도 1 은 종래의 블록체인 상의 분산형 식별자를 이용한 자기 주권 신원 인증에 관한 도면.
도 2 내지 도 5은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 개인키를 관리하는 방법을 간단히 설명하기 위한 도면들.
도 6내지 도7은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치를 간단하게 설명하기 위한 도면들.
도 9 내지 도 12는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 분산형 식별자를 관리하는 예시 화면들.
도 2 내지 도 5은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 개인키를 관리하는 방법을 간단히 설명하기 위한 도면들.
도 6내지 도7은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치를 간단하게 설명하기 위한 도면들.
도 9 내지 도 12는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 분산형 식별자를 관리하는 예시 화면들.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서 및 청구항에서 사용되는 단수 표현은, 달리 언급하지 않는 한 일반적으로 "하나 이상"을 의미하는 것으로 해석되어야 한다.
이하, 본 발명의 바람직한 실시 예를 첨부도면을 참조하여 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어, 동일하거나 대응하는 구성 요소는 동일한 도면번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1 은 종래의 블록체인 상의 분산형 식별자를 이용한 자기 주권 신원 인증에 관한 도면이다.
도 1을 참고하면, 자기 주권 신원증명(SSI) 환경에서 사용자는 분산형 식별자(DID) 및 분산형 식별자 문서(DID Document)를 생성하고 등록한다.
자세히 설명하면 사용자는 분산형 식별자의 소유권 증명을 위한 개인키와 공개키를 이용하는 비대칭 키를 생성한다.
사용자는 비대칭 키의 개인키는 안전하게 보관하고 공개키를 이용해 분산형 식별자와 분산형 식별자 문서를 생성하고 블록체인에 저장한다.
사용자가 기관에 분산형 식별자를 전달하고, 기관은 수신한 분산형 식별자의 소유자가 맞는지 본인여부를 검증한 후 등록 또는 요청한 증명서를 발급할 수 있다.
따라서 자기 주권 신원증명(SSI) 환경에서는 비대칭 키 쌍의 관리가 중요하다. 특히, 블록체인 특성 상 개인키와 분산형 식별자의 관계를 유추할 수 있는 방법이 없기 때문에 개인키가 분실되었거나 변경된 경우 신원증명 뿐만 아니라 공개키를 활용한 기 서명된 증명들이 모두 무효화될 수도 있어 매우 중요하다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키를 관리하여 개인키가 저장되어 있는 사용자 플랫폼의 손망실 또는 저장된 개인키의 손망실 또는 휴먼 오류로 인한 손망실에 대비하여 안전하게 보관할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 비밀분할 알고리즘을 통해 소유자가 아닌 타인의 접근을 통한 해킹 등의 위협에 효과적으로 대응할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키의 재발급 처리 또는 폐기 처리 등에 대해 유효한 요청인지 아니면 불법적인 해킹 공격에 의한 공격인지를 판단할 수 있다.
도 2 내지 도 5은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 개인키를 관리하는 방법을 간단히 설명하기 위한 도면들이다.
도 2를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 키관리부(100), 신원정보부(200) 및 인증부(300)를 포함한다.
키 관리부(100)는 분산형 식별자(DID)를 생성 시 사용되는 개인키를 생성하고 관리한다.
키 관리부(100)는 개인키의 재발급 처리 또는 폐기 처리 등에 대해 유효한 요청 여부 또는 정당한 요청이 아닌 불법적인 해킹 공격에 의한 공격 여부를 구분할 수 있다.
도 3을 참조하여 자세히 설명하면, 키 관리부(100)는 개인키 암호화하여 관리하는 단계와 백업하는 단계로 나누어 이중 관리할 수 있다.
키 관리부(100)는 개인키를 암호화하여 보관할 수 있다. 자세히 설명하면 키 관리부(100)는 개인키를 비밀분할 알고리즘을 통해 분할하여 사용자 플랫폼에 저장한다.
키 관리부(100)는 암호화된 개인키 데이터를 백앤드 서버 플랫폼에 백업할 수 있다. 예를 들면 백앤드 서버 플랫폼은 하드웨어 암호 모듈(HSM) 저장소일 수 있다.
도 4를 참조하면, 키 관리부(100)는 분할부(110), 복원부(120) 및 백업부(130)를 포함한다.
분할부(110)는 비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하고, 이를 모바일 장치에 저장할 수 있다. 분할부(110)는 분할 조건 또는 복원조건 등을 설정할 수 있고, 분할 암호(크리덴셜)을 설정할 수 있다. 예를 들면 분할부(110)는 개인키를 몇 개로 분할할지 등의 분할 조건을 설정할 수 있고, 복원 시에 필요한 개수 등의 복원 조건을 설정할 수 있다. 분할부(110)는 비밀분할 알고리즘을 활용하므로 분할 조건 또는 복원 조건을 사용자가 아니면 알 수 없고 저장된 사용자 플랫폼 위치 또는 백업 서버의 위치 등을 알 수 없으므로 사용자가 아닌 시스템 관리자/서비스 담당자 등 타인의 접근 통한 해킹 등의 위협에 대응이 가능하다.
복원부(120)는 분할부(110)가 설정한 분할 조건 또는 복원 조건에 따라 개인분할키 데이터를 이용하여 개인키를 복원할 수 있다.
복원부(120)는 분할부(110)가 설정한 분할 조건 또는 복원 조건에 따라 개인분할키 데이터의 일부가 손망실되더라도 복원 조건에 충족되면 복원이 가능하다.
백업부(130)는 백앤드 서버 플랫폼에 개인분할키 데이터를 백업하여 데이터 손망실에 대한 대비를 추가적으로 할 수 있다. 예를 들면 백앤드 서버 플랫폼은 하드웨어 보안 모듈(HSM, Hardware Security Module) 저장소 등 이다.
본 발명의 일 실시 예에서 따르면, 백업부(330)는 사용자 플랫폼에 개인분할키 데이터를 저장한 후 선별적으로 또는 미리 정해진 개수만큼 랜덤하게 서버로 전송하여 저장하여 데이터 손망실에 대한 백업/복원 단계를 수행할 수 있다.
본 발명의 다른 실시 예에 따르면, 백업부(330)는 분할되어 생성된 개인분할키 데이터를 모두 백앤드 서버 플랫폼에 백업할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 비대칭 키를 관리하는 방법에 대해 간단히 설명한 도면이다. 이하 설명하는 각 과정은 단계에서 자기 주권 신원 정보 분할 관리 장치를 구성하는 각 기능부가 수행하는 과정이나, 본 발명의 간결하고 명확한 설명을 위해 각 단계의 주체를 자기 주권 신원 정보 분할 관리 장치로 통칭하도록 한다.
도 5를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 개인키와 공개키를 이용하는 비대칭키 알고리즘을 이용한다.
자기 주권 신원 정보 분할 관리 장치(10)는 개인키를 분할 저장하는 단계와 백앤드 서버 플랫폼에 백업하는 것으로 2단계로 나누어 관리할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 단계 S510에서 비대칭 키를 생성한다.
단계 S520에서 자기 주권 신원 정보 분할 관리 장치(10)는 생성한 개인키를 비밀분할 알고리즘을 이용해 분할한다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키의 개수 등 분할 조건을 설정할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 복원 시에 최소 개인분할키 개수 등 복원 조건을 설정할 수 있다.
단계 S530에서 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키 데이터를 사용자 플랫폼에 저장한 후 선별적으로 또는 미리 정해진 개수만큼 랜덤하게 서버로 전송하여 저장할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인분할키를 모두 저장할 수도 있고, 복원 조건에 따른 일부만을 저장할 수도 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 개인키의 데이터 손망실 뿐만 아니라 사용자 플랫폼의 손망실에도 백앤드 서버 플랫품에 저장된 분할키 데이터를 이용해 개인키를 복원할 수 있다.
단계 S540에서 자기 주권 신원 정보 분할 관리 장치(10)는 공개키를 이용해 분산형 식별자(DID)를 생성한다.
단계 S550에서 자기 주권 신원 정보 분할 관리 장치(10)는 공개키를 포함한 분산형 식별자 문서(DID Document)를 생성한다.
단계 S560에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자(DID)와 분산형 식별자 문서(DID Document)를 블록체인에 저장한다. 자세히 설명하면 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자(DID) 정보는 등록용 블록체인에 등록할 수 있다.
도 6내지 도7은 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치를 간단하 설명하기 위한 도면들이다.
도 6을 참고하면, 자기 주권 신원 정보 분할 관리 장치(10)는 블록체인 기반 등록용 블록체인과 폐기용 블록체인을 동시에 유지할 수 있다.
도 6의 ⓛ이슈어(Issuer)는 증명서 발급 기관일 수 있다.
도 6의 ②홀더(Holder)는 분산형 식별자를 생성하고 소유하고 자기 주권 신원 인증을 할 수 있는 사용자일 수 있다.
도 6의 ③검증자(Verifier)는 분산형 식별자를 검증하여 신원 인증 서비스를 제공할 수 있는 기관 또는 시스템일 수 있다.
도6의 ④ 유니버셜 리졸버(Universal Resolver)는 API를 이용해 전체 시스템의 기능을 연동할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버가 제공하는 API룰 통해 블록체인에 분산형 식별자는 저장하고 조회하기 위한 DIF 표준을 제공할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버를 통해 다양한 블록체인에 저장된 분산형 식별자를 검증할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 사용자의 요청에 따라서 사용자가 공개키를 이용해 생성한 분산형 식별자 정보를 기관에게 전달하고 등록 요청을 한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 소유한 사용자가 맞는지 검증한 후 유니버셜 리졸버(Universal Resolver)를 통해 블록체인에 분산형 식별자를 등록한다.
이 때 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자가 폐기용 블록체인에 등록되어 있는지 먼저 확인 하고, 폐기용 블록체인에 없다면 등록용 블록체인에서 검색하고 저장한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 블록체인에 저장하여 블록체인의 기술적 특성을 그대로 유지하고 이용할 수 있다. 자기 주권 신원 정보 분할 관리 장치(10)는 신원 정보 폐기에 따른 폐기정보는 전용 폐기용 블록체인에 저장하는 '이중 블록체인 구조'를 가진다.
자기 주권 신원 정보 분할 관리 장치(10)는 등록용 블록체인과 폐기용 블록체인을 분리하여 유지하므로, 응답 시간을 줄일 수 있고, 한번 등록된 정보는 번복되거나 변경이 불가능한 블록체인의 특성을 이용해 위변조 공격을 방어하면서, 등록된 정보는 변경이나 삭제가 불가능한 블록체인의 특성을 극복하고 정보를 갱신할 수 있다. 또한 자기 주권 신원 정보 분할 관리 장치(10)는 등록과 폐기의 절차가 분리되어 있어 휴먼 에러와 같은 사회공학적 공격에 대한 방어가 용이하다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 폐기의 요건에 따라 폐기용 블록체인에 분산형 식별자가 폐기되었음을 기록하여 관리할 수 있다. 분산형 식별자 폐기의 요건은 등록된 분산형 식별자의 변경 사항 발생, 잘못된 분산형 식별자, 분산형 식별자의 유효 기간 만료, 분산형 식별자 생성 시에 사용되는 개인키의 유효기간 만료, 키 노출, 키 위변조 공격 등으로 변경되는 경우일 수 있다.
기존 DB를 이용해 신원 정보를 관리하는 방법은 신원 정보 폐기 상황에 DB의 해당 필드값을 변경하면 되므로 손쉽게 기술적 대응이 가능하지만, 관리자 등의 제3자에 의해 변경이 가능하다는 관점에서 정상을 가장한 공격에 취약할 수 있다. 하지만 자기 주권 신원 정보 분할 관리 장치(10)는 폐기 정보도 별도의 블록체인에서 관리하므로 위변조는 불가능하고 신원 정보를 갱신할 수 있다.
다시 도 2를 참조하면, 신원정보부(200)는 사용자의 요청에 따라 사용자의 신원을 증명할 수 있는 사용자만의 개인 정보를 기반으로 분산형 식별자(DID, Decentralized Identifier)를 생성할 수 있다.
신원정보부(200)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자(DID)를 폐기 정보를 관리한다. 자세히 설명하면 신원정보부(200)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자(DID)를 삭제하거나 변경할 수 없기 때문에 폐기용 분산형 식별자 DID 를 블록체인에 등록할 수 있다. 블록체인은 기술적 특성 상 한번 등록된 정보는 변경이 불가능하기 때문에 무결성을 가진다. 하지만 분산형 식별자 DID의 개인키가 변경되는 경우 기존의 분산형 식별자 DID를 삭제하고 새로운 분산형 식별자 DID를 생성해야 하므로 분사형 식별자 DID 정보는 변경이 되어야 한다. 따라서 신원정보부(200)는 갱신되거나 변경되거나 분실되어 사용이 불가능한 분산형 식별자(DID)를 폐기용 블록체인에 등록하여 폐기된 분산형 식별자로 관리할 수 있다.
도 7을 참조하면, 신원정보부(200)는 등록관리부(210) 및 폐기관리부(220)를 포함한다.
등록관리부(210)는 분산형 식별자(DID)의 등록 정보를 관리한다. 자세히 설명하면 등록관리부(210)는 분산형 식별자 DID를 등록용 블록체인에 등록한다.
폐기관리부(220)는 변경되거나 더 이상 유효하지 않은 분산형 식별자(DID)의 폐기 정보를 관리한다. 자세히 설명하면 폐기관리부(220)는 변경되거나 더 이상 유효하지 않은 분산형 식별자 DID 를 폐기용 블록체인에 등록한다. 자세히 설명하면 폐기관리부(220)는 더 이상 신원을 증명할 수 없게 된 해당 분산형 식별자 DID를 폐기 정보가 포함된 폐기용 블록체인에 등록한다. 폐기관리부(220)는 더 이상 사용할 수 없는 분산형 식별자 DID를 이용한 인증 요청이 있는 경우 폐기된 정보임을 확인하고 전달할 수 있다.
인증부(300)는 분산형 식별자(DID) 정보가 유효한 정보인지 검증할 수 있다.
도 8을 참조하면 자기 주권 신원 정보 분할 관리 장치(10)는 생성된 분산형 식별자가 다양한 원인으로 정보가 갱신되는 경우 해당 분산형 식별자를 폐기용 블록체인에 등록하여 더 이상 정보가 유효하지 않음은 확인할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 신원 정보가 갱신되어 더 이상 신원 증명으로 사용할 수 없는 분산형 식별자를 삭제하거나 변경할 수 없으므로 단계 S810에서 폐기 분산형 식별자 폐기 요청을 수신할 수 있다.
단계 S820에서 자기 주권 신원 정보 분할 관리 장치(10)는 폐기 요청된 분산형 식별자 정보를 폐기용 블록체인에 등록한다.
단계 S830에서 자기 주권 신원 정보 분할 관리 장치(10)는 요청에 따라 생성된 분산형 식별자를 생성한다.
단계 S840에서 자기 주권 신원 정보 분할 관리 장치(10)는 생성된 분산형 식별자를 등록용 블록체인에 등록할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 인증 요청이 발생하면 폐기용 블록체인 및 등록용 블록체인을 검색하여 유효한 분산형 식별자인지 검증할 수 있다.
도 9 내지 도 12는 본 발명의 일 실시 예에 따른 자기 주권 신원 정보 분할 관리 장치가 분산형 식별자를 관리하는 예시 화면들이다.
도 9는 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 등록 요청을 수행하는 예시 순서도이다.
도 9를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S910에서 사용자 또는 기관으로부터 분산형 식별자 등록을 요청을 받는다.
단계 S920에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버(Universal Resolver)를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다. 유니버셜 리졸버는, DID 변환기, B/C 관리, 블록체인APIs 등으로 구성할 수 있다.
단계 S930에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버셜 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 분산형 식별자를 등록 가능하다는 조회결과를 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 이미 등록된 유효한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다. 폐기된 분산형 식별자는 더 이상 사용할 수 없다.
조회 결과 등록 가능한 경우 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S940에서 등록용 블록체인에 분산형 식별자를 등록할 수 있다.
단계 S950에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 등록용 블록체인에 등록 후 결과를 전송한다.
도 10은 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 폐기 요청을 수행하는 예시 순서도이다.
도 10을 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1010에서 사용자 또는 기관으로부터 분산형 식별자 폐기 요청을 수신한다.
단계 S1020에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1030에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 폐기 가능한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 등록된 분산형 식별자가 아님을 조회결과로 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다.
조회 결과 폐기 가능한 경우 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1040에서 폐기용 블록체인에 분산형 식별자를 등록할 수 있다
단계 S1050에서 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자를 폐기용 블록체인에 등록 후 결과를 전송한다.
도 11은 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 조회 요청을 수행하는 예시 순서도이다.
도 11을 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1110에서 사용자 또는 기관으로부터 분산형 식별자 조회 요청을 수신한다.
단계 S1120에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1130에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보를 조회한다.
자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1140에서 분산형 식별자의 조회 결과를 전송한다.
자세히 설명하면, 자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에 등록되어 있으면 유효한 분산형 식별자로 조회결과를 전송할 수 있다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인에 없고, 등록용 블록체인에도 없다면 등록이 가능한 분산형 식별자로 조회결과로 전송한다.
자기 주권 신원 정보 분할 관리 장치(10)는 분산형 식별자 정보가 폐기용 블록체인과 등록용 블록체인에 모두 등록되어 있으면 이미 폐기된 분산형 식별자로 조회결과를 전송할 수 있다.
도 12는 자기 주권 신원 정보 분할 관리 장치(10)가 분산형 식별자 검증 요청을 수행하는 예시 순서도이다.
도 12를 참조하면, 자기 주권 신원 정보 분할 관리 장치(10)는 단계S1210에서 사용자 또는 기관으로부터 분산형 식별자 또는 분산형 식별자 문서의 검증 요청을 수신한다.
단계 S1220에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 폐기용 블록체인의 분산형 식별자 정보를 조회한다.
단계 S1230에서 자기 주권 신원 정보 분할 관리 장치(10)는 유니버설 리졸버를 통해 등록용 블록체인의 분산형 식별자 정보 또는 분산형 식별자 문서를 조회한다.
유효한 분산형 식별자가 있다면 자기 주권 신원 정보 분할 관리 장치(10)는 단계 S1240에서 분산형 식별자 또는 분산형 식별자 문서 정보를 전송한다.
상술한 자기 주권 신원 정보 분할 관리 방법은 컴퓨터가 읽을 수 있는 매체 상에 컴퓨터가 읽을 수 있는 코드로 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체는, 예를 들어 전이형 기록 매체(CD, DVD, 블루레이 디스크, USB 저장 장치, 전이식 하드 디스크)이거나, 고정식 기록 매체(ROM, RAM, 컴퓨터 구비형 하드 디스크)일 수 있다. 상기 컴퓨터로 읽을 수 있는 기록 매체에 기록된 상기 컴퓨터 프로그램은 인터넷 등의 네트워크를 통하여 다른 컴퓨팅 장치에 전송되어 상기 다른 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 다른 컴퓨팅 장치에서 사용될 수 있다.
이상에서, 본 발명의 실시 예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다.
도면에서 동작들이 특정한 순서로 도시되어 있지만, 반드시 동작들이 도시된 특정한 순서로 또는 순차적 순서로 실행되어야만 하거나 또는 모든 도시 된 동작들이 실행되어야만 원하는 결과를 얻을 수 있는 것으로 이해되어서는 안 된다. 특정 상황에서는, 멀티태스킹 및 병렬 처리가 유리할 수도 있다. 더욱이, 위에 설명한 실시 예 들에서 다양한 구성들의 분리는 그러한 분리가 반드시 필요한 것으로 이해되어서는 안 되고, 설명된 프로그램 컴포넌트들 및 시스템들은 일반적으로 단일 소프트웨어 제품으로 함께 통합되거나 다수의 소프트웨어 제품으로 패키지 될 수 있음을 이해하여야 한다.
이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
10: 자기 주권 신원 정보 분할 관리 장치
100: 키 관리부
110: 분할부
120: 복원부
130: 백업부
200: 신원정보부
210: 등록관리부
220: 폐기관리부
300: 인증부
100: 키 관리부
110: 분할부
120: 복원부
130: 백업부
200: 신원정보부
210: 등록관리부
220: 폐기관리부
300: 인증부
Claims (6)
- 분산형 식별자와 연관된 개인키를 관리하는 키 관리부;
상기 분산형 식별자를 생성하고 블록체인에 등록하는 신원정보부; 및
상기 분산형 식별자가 유효한지 검증하는 인증부를 포함하는
자기 주권 신원 정보 분할 관리 장치.
- 제1항에 있어서,
상기 키 관리부는
비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 분할부;
설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 복원부; 및
백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 백업부를 포함하는
자기 주권 신원 정보 분할 관리 장치.
- 제2항에 있어서
상기 백앤드 서버 플랫폼은 하드웨어 암호 모듈 저장소인 자기 주권 신원 정보 분할 관리 장치.
- 자기 주권 신원 정보 분할 관리 장치가 수행하는 자기 주권 신원 정보 분할 관리 방법에 있어서,
비밀분할 알고리즘을 활용하여 개인키를 암호학적으로 안전한 복수 개의 개인분할키 데이터를 생성하는 단계;
설정된 분할 조건 또는 복원 조건에 따라 상기 개인키를 복원하는 단계 및
백앤드 서버 플랫폼에 상기 개인분할키 데이터를 백업하는 단계를 포함하는 자기 주권 신원 정보 분할 관리 방법.
- 제4항에 있어서,
상기 백앤드 서버 플랫폼은 하드웨어 암호 모듈 저장소인 자기 주권 신원 정보 분할 관리 방법.
- 제4항 및 제5항의 자기 주권 신원 정보 분할 관리 방법 중 어느 하나를 실행하고 컴퓨터가 판독 가능한 기록매체에 기록된 컴퓨터 프로그램.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20210094450 | 2021-07-19 | ||
| KR1020210094450 | 2021-07-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230013591A KR20230013591A (ko) | 2023-01-26 |
| KR102563183B1 true KR102563183B1 (ko) | 2023-08-04 |
Family
ID=85110954
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210113357A Active KR102563183B1 (ko) | 2021-07-19 | 2021-08-26 | 자기 주권 신원 정보 분할 관리 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102563183B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118555069B (zh) * | 2024-07-29 | 2024-10-01 | 合肥工业大学 | 一种安全控车方法及安全控车系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102139645B1 (ko) | 2020-04-13 | 2020-07-30 | 주식회사 한국정보보호경영연구소 | 블록체인 기반의 신원증명 시스템 및 그 구동방법 |
| KR102179498B1 (ko) | 2020-04-13 | 2020-11-17 | 주식회사 한국정보보호경영연구소 | Did 기반의 스마트 모임 통장 서비스 제공 방법 및 그 시스템 |
| KR102197218B1 (ko) | 2019-07-31 | 2021-01-04 | 주식회사 티이이웨어 | 분산 id와 fido 기반의 블록체인 신분증을 제공하는 시스템 및 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112018016234A2 (pt) * | 2016-02-23 | 2019-01-02 | Nchain Holdings Ltd | método implementado por computador para controlar o acesso a um recurso, sistemas baseados em computador e método para controle de acesso a uma carteira digital |
-
2021
- 2021-08-26 KR KR1020210113357A patent/KR102563183B1/ko active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102197218B1 (ko) | 2019-07-31 | 2021-01-04 | 주식회사 티이이웨어 | 분산 id와 fido 기반의 블록체인 신분증을 제공하는 시스템 및 방법 |
| KR102139645B1 (ko) | 2020-04-13 | 2020-07-30 | 주식회사 한국정보보호경영연구소 | 블록체인 기반의 신원증명 시스템 및 그 구동방법 |
| KR102179498B1 (ko) | 2020-04-13 | 2020-11-17 | 주식회사 한국정보보호경영연구소 | Did 기반의 스마트 모임 통장 서비스 제공 방법 및 그 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230013591A (ko) | 2023-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12170723B2 (en) | Methods for splitting and recovering key, program product, storage medium, and system | |
| US11698958B2 (en) | Systems and methods for device and user authorization | |
| CN100454274C (zh) | 利用验证过的打印机密钥的安全打印 | |
| WO2020062668A1 (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| US11838405B1 (en) | Blockchain delegation | |
| JP2019506103A (ja) | 信頼できるアイデンティティを管理する方法 | |
| EP1914951A1 (en) | Methods and system for storing and retrieving identity mapping information | |
| WO2019199552A1 (en) | Distributed access control | |
| JP2006333520A (ja) | マルチステップディジタル署名方法およびそのシステム | |
| KR102739660B1 (ko) | 금융회사 분산 id 서비스 운용 및 공유체계 표준을 따르는 did 서비스 구현 방법 및 did 서비스 구현 장치 | |
| US11405198B2 (en) | System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment | |
| KR102354758B1 (ko) | 영지식 증명 기술 기반 분산 디지털 인증 시스템 및 방법 | |
| KR101817152B1 (ko) | 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법 | |
| CN109981255A (zh) | 密钥池的更新方法和系统 | |
| Shen et al. | SecDM: Securing data migration between cloud storage systems | |
| KR102563183B1 (ko) | 자기 주권 신원 정보 분할 관리 장치 및 방법 | |
| KR102480400B1 (ko) | 자기 주권 신원 인증 장치 및 방법 | |
| EP4409827A1 (en) | A security system | |
| US20250053672A1 (en) | System for decentralized identification of file access permission | |
| KR20030097550A (ko) | 인가된 키 복구 서비스 시스템 및 그 방법 | |
| KR102289478B1 (ko) | 보안키 관리 방법 및 보안키 관리 서버 | |
| Abo-Akleek et al. | Leveraging blockchain for robust and transparent E-voting systems | |
| CN108985079B (zh) | 数据验证方法和验证系统 | |
| KR20210129981A (ko) | 가로채기 해킹 공격 방지를 위한 블록체인 기반 인증 시스템 및 방법 | |
| EP4468650A1 (en) | Computer system and key exchange method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20210826 |
|
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20230131 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20230730 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20230731 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20230801 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration |