KR101229128B1 - Management method of several kinds of hash passwords with verification keys - Google Patents

Management method of several kinds of hash passwords with verification keys Download PDF

Info

Publication number
KR101229128B1
KR101229128B1 KR1020090127278A KR20090127278A KR101229128B1 KR 101229128 B1 KR101229128 B1 KR 101229128B1 KR 1020090127278 A KR1020090127278 A KR 1020090127278A KR 20090127278 A KR20090127278 A KR 20090127278A KR 101229128 B1 KR101229128 B1 KR 101229128B1
Authority
KR
South Korea
Prior art keywords
hash
verification key
password
passwords
generated
Prior art date
Application number
KR1020090127278A
Other languages
Korean (ko)
Other versions
KR20110070450A (en
Inventor
박도진
이민구
이명원
방정희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020090127278A priority Critical patent/KR101229128B1/en
Publication of KR20110070450A publication Critical patent/KR20110070450A/en
Application granted granted Critical
Publication of KR101229128B1 publication Critical patent/KR101229128B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Abstract

본 발명은 검증키를 이용한 다양한 해쉬 비밀번호 관리 방법에 관한 것으로, 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템에서 검증키를 이용하여 다양한 해쉬 비밀번호를 관리하는 해쉬 비밀번호 관리 방법을 제공하고자 한다.The present invention relates to a variety of hash password management method using a verification key, to provide a hash password management method for managing a variety of hash passwords using a verification key in a system that must manage passwords with different hash methods for each service.

이를 위하여, 본 발명은, 해쉬 비밀번호 관리 방법에 있어서, 복수의 해쉬 비밀번호를 생성하고 상기 생성된 복수의 해쉬 비밀번호를 사용하여 검증키를 생성하는 검증키 생성 단계; 상기 생성된 검증키를 저장하여 관리하는 검증키 관리 단계; 현재의 해쉬 비밀번호로 생성한 검증키와 상기 저장된 검증키를 비교하는 검증키 비교 단계; 및 상기 비교 결과, 검증키가 불일치함에 따라 비밀번호 동기화를 수행하는 비밀번호 동기화 단계를 포함하되, 상기 검증키 생성 단계는, 비밀번호를 최초로 생성 또는 변경 시에 비밀번호를 다양한 일방향 해쉬 처리하여 복수의 해쉬 비밀번호를 생성하고, 상기 생성된 복수의 해쉬 비밀번호를 연산하여 검증키를 생성한다.To this end, the present invention, a hash password management method, comprising: generating a plurality of hash passwords and generating a verification key using the generated plurality of hash passwords; A verification key management step of storing and managing the generated verification key; A verification key comparison step of comparing the verification key generated with the current hash password with the stored verification key; And a password synchronization step of performing password synchronization when the verification key is inconsistent as a result of the comparison, wherein the verification key generation step includes processing a plurality of hash passwords by processing various one-way hashes when the password is first generated or changed. And generate a verification key by calculating the generated hash passwords.

프로비저닝 시스템, 해쉬 비밀번호 관리, 검증키, 비밀번호 동기화, 리셋 Provisioning system, hash password management, verification key, password synchronization, reset

Description

검증키를 이용한 다양한 해쉬 비밀번호 관리 방법{Management method of several kinds of hash passwords with verification keys}Management method of several kinds of hash passwords with verification keys}

본 발명은 청약 처리 시스템 등에서 고객 청약을 기반으로 하는 프로비저닝 기술 분야에 관한 것으로, 더욱 상세하게는 서비스 시스템별로 해쉬 방식이 서로 다른 비밀번호를 다양한 시스템에 프로비저닝하는 프로비저닝 시스템 등에서 해쉬 비밀번호를 암호화하여 관리하는 해쉬 비밀번호 관리 방법에 관한 것이다.The present invention relates to the field of provisioning technology based on customer subscription in a subscription processing system, and more particularly, a hash for encrypting and managing a hash password in a provisioning system for provisioning a password having a different hash method for each service system to various systems. It's about password management.

본 발명의 일실시예에서는 프로비저닝 시스템(System of Provisioning)에 본 발명이 적용되는 경우를 예로 들어 설명하나, 본 발명은 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템에 적용될 수 있으므로, 본 발명이 프로비저닝 시스템에 한정되는 것이 아님을 미리 밝혀둔다.In an embodiment of the present invention, a case in which the present invention is applied to a provisioning system will be described as an example. However, the present invention may be applied to a system in which a hash method for each service needs to manage different passwords. Note that it is not limited to this provisioning system.

'정보통신망 이용촉진 및 정보보호 등에 관한 법률' 및 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'의 비밀번호 암호화 요구에 따라 프로비저닝 시스템에서 비밀번호를 암호화하여 프로비저닝 시, 기존 레거시(legacy) 시스템 과 신규 시스템, 그리고 업무 성격이 다른 시스템 등에 비밀번호를 해쉬하여 연동하는 경우, 암호화 기술 및 서비스 제공 방법 등에 따라 서비스 시스템별로 해쉬 방식을 통일할 수 없을 수도 있다.In accordance with the password encryption requirements of the Act on the Promotion of Information and Communication Network Utilization and Information Protection, and the Enforcement Decree of the Act on the Promotion of Information and Communication Network Utilization and Information Protection, the existing system and the new When a password is linked to a system and a system having a different work type, the hash method may not be uniform for each service system according to encryption technology and a service providing method.

여기서, 프로비저닝은 고객 청약을 기반으로 고객이 청약한 서비스를 사용하는데 필요한 정보를 구성하여 서비스를 제공하는 것을 말하며, 사용자 인증을 수행하는 서비스의 경우에는 아이디와 비밀번호와 같은 인증 정보를 구성하는 것도 프로비저닝의 한 부분이다.Here, provisioning refers to providing a service by configuring information necessary for using a service that a customer uses based on a customer subscription.In the case of a service performing user authentication, provisioning authentication information such as an ID and a password is also provided. Is part of.

개정된 정보통신망법에 따르면, 비밀번호는 반드시 일방향 암호화하여 저장을 하여야 하나, 암호화 방법에 대해서는 규정하지 않고 있으며, 접속 인증 시스템이나 서비스 인증 시스템, 웹 인증 시스템, 및 신규 암호화 방식 적용이 어려운 레거시(legacy) 시스템 등 다양한 시스템에 인증 정보를 프로비저닝 시에는 시스템 상황별로 다양한 암호화 방식을 사용해야 할 필요가 있다.According to the revised Information and Communication Network Act, passwords must be stored in one-way encryption, but the encryption method is not specified, and legacy authentication is difficult to apply to access authentication systems, service authentication systems, web authentication systems, and new encryption methods. When provisioning authentication information to various systems such as systems, it is necessary to use various encryption methods for each system situation.

예를 들면, 특정 시스템은 다양한 레거시(legacy) 시스템에서 이미 암호화를 사용하고 있지만, 레거시(legacy) 시스템에서 암호화 방식의 변경이 어려운 경우에는 해당 레거시(legacy) 시스템의 암호화 방식을 준용해야 한다. 이로 인하여 암호화 방식을 통일한다는 게 사실상 어렵다.For example, a particular system already uses encryption in various legacy systems, but if it is difficult to change the encryption method in a legacy system, the encryption system of the legacy system should be applied. This makes it virtually difficult to unify encryption.

종래에는 상기와 같이 암호화 방식의 통일이 어려운 상황에서 개인정보보호를 위해서 시스템별로 각기 다른 암호화를 수행하는 경우 암호화 데이터 간의 비교가 불가능하므로, 특정 시스템의 암호화 값이 알 수 없는 이유로 변경이 되더라도 변경 여부 자체를 알 수가 없는 문제점이 있었다. 도 1을 참조하여 종래의 비밀번 호 암호화 관리 방식에 대하여 보다 상세히 살펴보면 다음과 같다.Conventionally, in the situation where the unification of the encryption method is difficult, in the case of performing different encryption for each system for the protection of personal information, it is impossible to compare the encrypted data, so even if the encryption value of a specific system is changed for unknown reasons There was a problem that can not know itself. Looking at the conventional password encryption management method in detail with reference to Figure 1 as follows.

도 1은 종래의 검증키를 관리하지 않는 프로비저닝 시스템에서 다양한 방식의 해쉬 비밀번호를 관리하는 중 장애가 발생한 경우의 처리 과정을 나타내는 일실시예 흐름도로서, 사용자 단말(11), 프로비저닝 시스템(12), 접속 인증 시스템(13), 및 서비스 인증 시스템(14, 15)을 통하여 서비스를 제공한다.1 is a flowchart illustrating a process in a case where a failure occurs while managing hash passwords in various manners in a provisioning system that does not manage a conventional verification key. The user terminal 11, the provisioning system 12, and a connection are illustrated in FIG. The service is provided through the authentication system 13 and the service authentication systems 14 and 15.

먼저, 청약 및 서비스 제공 절차를 간략하게 살펴보면, 사용자 단말(11)이 웹 또는 청약 시스템을 통해 서비스 청약을 요청한다. 그러면, 프로비저닝 시스템(12)은 접속 인증 시스템(13) 및 서비스 인증 시스템들(14, 15)에게 사용자 단말(11)이 웹 또는 청약 시스템을 통해 요청한 서비스 정보를 프로비저닝한다. 그러면, 접속 인증 시스템(13) 및 서비스 인증 시스템들(14, 15)은 프로비저닝 시스템(12)으로부터 전달받은 서비스 정보를 기반으로 사용자 단말(11)로 접속 서비스 또는 특정 서비스를 제공한다.First, a brief review of the subscription and service provision procedure, the user terminal 11 requests the service subscription through the web or subscription system. The provisioning system 12 then provisions the service information requested by the user terminal 11 via the web or subscription system to the access authentication system 13 and the service authentication systems 14, 15. Then, the connection authentication system 13 and the service authentication systems 14 and 15 provide a connection service or a specific service to the user terminal 11 based on the service information received from the provisioning system 12.

한편, 도 1을 참조하여 프로비저닝 과정을 살펴보면, 사용자 단말(11)이 비밀번호를 리셋(reset)하여 프로비저닝 시스템(12)에 웹 등을 통해 비밀번호 구성을 요청하면(101), 프로비저닝 시스템(12)은 사용자 단말(11)로부터 전달받은 비밀번호를 시스템별로 다른 해쉬를 사용하여 해쉬값을 생성(비밀번호 해쉬)한 후(102) 각각의 시스템에 해쉬값을 전달한다(103 내지 105). 예를 들어, 도 1에 도시된 바와 같이 접속 인증 시스템(13)으로는 SHA-1 해쉬값을 전달하고(103), 서비스 인증 시스템 A(14)로는 MD5 해쉬값을 전달하고(104), 서비스 인증 시스템 B(15)로는 HAS160 해쉬값을 전달한다(105).Meanwhile, referring to the provisioning process with reference to FIG. 1, when the user terminal 11 resets a password and requests the provisioning system 12 to configure a password through the web (101), the provisioning system 12 may be configured. After generating a hash value (password hash) using a hash that is different from system to system using the password received from the user terminal 11 (102) and transmits the hash value to each system (103 to 105). For example, as shown in FIG. 1, the SHA-1 hash value is transmitted to the connection authentication system 13 (103), and the MD5 hash value is transmitted to the service authentication system A 14 (104). The HAS160 hash value is passed to the authentication system B 15 (105).

상기와 같이 프로비저닝이 완료되면, 사용자 단말(11)은 상기 과정에서 신규 구성된 비밀번호로 접속 서비스, 서비스 A, 및 서비스 B를 사용하게 되는데(106 내지 108), 서비스 인증 시스템 A(14)의 비밀번호에 오류가 발생하게 되었을 때(109) 동일한 비밀번호를 입력하는데 서비스 A만 사용할 수 없다는 민원을 제기하게 된다(110 내지 113).When provisioning is completed as described above, the user terminal 11 uses the access service, service A, and service B as the newly configured password in the process (106 to 108), the password of the service authentication system A (14) When an error occurs (109), a complaint is filed that only Service A cannot be used to enter the same password (110 to 113).

이때, 상기와 같은 서비스 이용 오류 민원이 서비스 A를 제공하는 시스템의 문제인지, 아니면 서비스 A를 제공하는 네트워크의 문제인지, 아니면 고객의 설정 문제인지, 아니면 비밀번호가 틀려서 발생하는 민원인지를 파악하기 어려운 문제점이 있었다.At this time, it is difficult to determine whether the above-mentioned service usage complaint is a problem of the system providing the service A, a problem of the network providing the service A, or a setting problem of the customer, or a complaint caused by a wrong password. There was a problem.

즉, 상기와 같은 종래 기술은 비밀번호 암호화로 인하여 민원에 대한 오류발생원인 파악이 어려운 문제점이 있으며, 이러한 문제점을 해결하고자 하는 것이 본 발명의 과제이다.That is, the prior art as described above has a problem that it is difficult to determine the cause of the error for civil complaints due to password encryption, it is a problem of the present invention to solve this problem.

따라서 본 발명은 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템에서 검증키를 이용하여 다양한 해쉬 비밀번호를 관리하는 해쉬 비밀번호 관리 방법을 제공하는데 그 목적이 있다.Accordingly, an object of the present invention is to provide a hash password management method for managing various hash passwords using a verification key in a system in which passwords having different hash methods are managed for each service.

즉, 본 발명은, 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템에서 서비스 시스템별로 다양한 일방향 해쉬를 허용하는 경우, 해쉬 비밀번호 간의 비밀번호 일치/불일치를 판단할 수 있는 검증키를 추가로 생성하여 관리하도록 함으로써, 시스템의 오작업 등으로 발생할 수 있는 비밀번호 임의 변경에 따른 불일치를 판단하고, 비밀번호 불일치가 발생한 경우 비밀번호 동기화 작업을 수행하는 근거를 제공하고, 고객 민원을 신속하게 처리할 수 있도록 하기 위한, 해쉬 비밀번호 관리 방법을 제공하는데 그 목적이 있다.That is, in the present invention, in a system in which passwords having different hash methods are managed for each service, when various one-way hashes are allowed for each service system, a verification key for determining password matching / mismatch between hash passwords may be additionally generated. Management to determine discrepancies due to random password changes that may occur due to system misoperation, provide a basis for performing password synchronization in the event of password mismatch, and promptly handle customer complaints. Its purpose is to provide a hash password management method.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention which are not mentioned can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. It will also be readily apparent that the objects and advantages of the invention may be realized and attained by means of the instrumentalities and combinations particularly pointed out in the appended claims.

상기 목적을 달성하기 위한 본 발명의 방법은, 해쉬 비밀번호 관리 방법에 있어서, 복수의 해쉬 비밀번호를 생성하고 상기 생성된 복수의 해쉬 비밀번호를 사용하여 검증키를 생성하는 검증키 생성 단계; 상기 생성된 검증키를 저장하여 관리하는 검증키 관리 단계; 현재의 해쉬 비밀번호로 생성한 검증키와 상기 저장된 검증키를 비교하는 검증키 비교 단계; 및 상기 비교 결과, 검증키가 불일치함에 따라 비밀번호 동기화를 수행하는 비밀번호 동기화 단계를 포함하되, 상기 검증키 생성 단계는, 비밀번호를 최초로 생성 또는 변경 시에 비밀번호를 다양한 일방향 해쉬 처리하여 복수의 해쉬 비밀번호를 생성하고, 상기 생성된 복수의 해쉬 비밀번호를 연산하여 검증키를 생성한다.In accordance with another aspect of the present invention, there is provided a hash password management method, comprising: generating a plurality of hash passwords and generating a verification key using the generated plurality of hash passwords; A verification key management step of storing and managing the generated verification key; A verification key comparison step of comparing the verification key generated with the current hash password with the stored verification key; And a password synchronization step of performing password synchronization when the verification key is inconsistent as a result of the comparison, wherein the verification key generation step includes processing a plurality of hash passwords by processing various one-way hashes when the password is first generated or changed. And generate a verification key by calculating the generated hash passwords.

상기와 같은 본 발명은, 인터넷 서비스 등에서 프로비저닝 시스템 등에 이용되어, 다양한 해쉬 비밀번호를 운용 중에 일부 시스템에서 비밀번호 오류가 발생한 경우에도, 검증키를 사용하여 해쉬 방식이 다른 비밀번호의 불일치 여부를 확인할 수 있도록 함으로써, 다양한 해쉬 비밀번호를 관리하고, 관련 고객 민원을 정확히 처리할 수 있도록 하는 효과가 있다.As described above, the present invention is used in a provisioning system or the like in an Internet service, so that even if a password error occurs in some systems while operating various hash passwords, the verification key can be used to check whether the hash method is inconsistent with another password. It also has the effect of managing various hash passwords and accurately handling related customer complaints.

상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되어 있는 상세한 설명을 통하여 보다 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.The above objects, features, and advantages will become more apparent from the detailed description given hereinafter with reference to the accompanying drawings, and accordingly, those skilled in the art to which the present invention pertains may share the technical idea of the present invention. It will be easy to implement. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

그리고 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때 이는 "직접적으로 연결"되어 있는 경우뿐만 아니라 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한, 어떤 부분이 어떤 구성요소를 "포함" 또는 "구비"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함하거나 구비할 수 있는 것을 의미한다.And throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between. Also, when a component is referred to as " comprising "or" comprising ", it does not exclude other components unless specifically stated to the contrary .

먼저, 본 발명의 기술 요지를 정리하여 살펴보면 다음과 같다.First, a summary of the technical gist of the present invention is as follows.

본 발명은, 최초에 텍스트 비밀번호로부터 다양한 해쉬 비밀번호를 생성 시에 일치성 확인을 위한 값(검증키)을 별도로 생성해서 관리하여, 프로비저닝 시스템 등에 텍스트 비밀번호가 없더라도 서로 다르게 해쉬 처리된 비밀번호의 일치성을 확인할 수 있도록 한다.According to the present invention, when generating various hash passwords from text passwords, a value (validation key) for verifying consistency is generated and managed separately, so that even if there is no text password in a provisioning system or the like, the matching of passwords hashed differently is different. Make sure to check.

다시 말하면, 본 발명은, 개인정보보호를 위해서 비밀번호를 일방향 해쉬하여 관리 및 프로비저닝하는 프로비저닝 시스템 등에서, 프로비저닝을 하는 서비스 시스템별로 다양한 일방향 해쉬를 허용하는 경우, 다양한 방식으로 해쉬 비밀번호를 생성하여 프로비저닝 시에 해쉬 비밀번호 간의 비밀번호 일치/불일치를 판단할 수 있는 검증키를 추가로 생성하여 관리하도록 함으로써, 추후 해쉬 비밀번호 불일치 발생으로 고객 민원이 제기되었을 때 검증키를 사용하여 서로 다른 해쉬 방식으로 생성된 비밀번호의 불일치 여부를 판단하여, 비밀번호 불일치가 발생한 경우 비밀번호 리셋을 통해서 서비스 시스템 간의 비밀번호 동기화 작업을 수행하는 근거를 제공하고, 고객 민원을 신속하게 처리할 수 있도록 한다.In other words, in the provisioning system for managing and provisioning a password by one-way hashing for personal information protection, in the case of allowing various one-way hashes for each service system to be provisioned, a hash password is generated in various ways when provisioning. By creating and managing an additional verification key that can determine password matching / mismatch between hash passwords, when a customer complaint is raised due to a hash password mismatch later, a mismatch of passwords generated by different hash methods using the verification key By determining whether or not a password mismatch occurs, a password reset provides a basis for performing password synchronization between service systems and promptly handles customer complaints.

도 2는 본 발명에 따른 검증키를 관리하는 프로비저닝 시스템에서 다양한 방식의 해쉬 비밀번호를 관리하는 중 장애가 발생한 경우의 해쉬 비밀번호 관리 방법에 대한 일실시예 흐름도로서, 프로비저닝 시스템과 데이터베이스(DB)에서 비밀번호 검증키를 관리하는 중 서비스 인증 시스템 A(14)에서 비밀번호 오류가 발생한 경우에 검증키를 사용하여 서로 다른 해쉬 방식으로 생성된 비밀번호의 불일치 여부를 판단하여, 비밀번호 불일치가 발생한 경우 비밀번호 리셋을 통해서 서비스 시스템 간의 비밀번호 동기화 작업을 수행하도록 하는 과정을 나타내고 있다.2 is a flowchart illustrating a method for managing a hash password when a failure occurs while managing hash passwords in various manners in a provisioning system managing a verification key according to the present invention, and verifying a password in a provisioning system and a database (DB). When a password error occurs in the service authentication system A 14 while managing the key, the verification key is used to determine whether there is a mismatch between the passwords generated by different hash methods. This shows the process of performing password synchronization between the servers.

먼저, 도 2를 참조하여 프로비저닝 과정을 살펴보면, 사용자 단말(11)이 비밀번호를 리셋(reset)하여 프로비저닝 시스템(12)에 웹 등을 통해 비밀번호 구성을 요청하면(201), 프로비저닝 시스템(12)은 사용자 단말(11)로부터 전달받은 비밀번호를 시스템별로 다른 해쉬를 사용하여 각각의 해쉬값(비밀번호를 해쉬한 값으로서, 이하 "복수의 해쉬 비빌번호"라고도 함)을 생성하고(202), 또한 상기 생성된 해쉬값들(복수의 해쉬 비밀번호)을 사용(해쉬 연산 또는 OR 연산 등)하여 하나의 검증키(A)를 동시에 생성한 후(203), 각각의 시스템에는 해당하는 해쉬값만을 전달하고(204 내지 206), 프로비저닝 시스템에서 상기 생성된 검증키(A)를 관리한다. 예를 들어, 도 2에 도시된 바와 같이 접속 인증 시스템(13)으로는 SHA-1 해쉬값을 전달하고(204), 서비스 인증 시스템 A(14)로는 MD5 해쉬값을 전달하고(205), 서비스 인증 시스템 B(15)로는 HAS160 해쉬값을 전달한다(206).First, referring to the provisioning process with reference to FIG. 2, when the user terminal 11 resets a password and requests the provisioning system 12 to configure a password through the web (201), the provisioning system 12 may be configured. Generate a hash value (hereinafter, referred to as a "multiple hash password" as a hash value of a password) using a different hash for each system from the password received from the user terminal 11 (202). Using a hash value (multiple hash passwords) (such as a hash operation or an OR operation) to generate a single verification key (A) at the same time (203), each system transmits only the corresponding hash value (204 to 206) In the provisioning system, the generated verification key A is managed. For example, as shown in FIG. 2, the SHA-1 hash value is transmitted to the connection authentication system 13 (204), and the MD5 hash value is transmitted to the service authentication system A 14 (205). The authentication system B 15 passes the HAS160 hash value (206).

상기와 같이 프로비저닝이 완료되면, 사용자 단말(11)은 상기 과정에서 신규 구성된 비밀번호로 접속 서비스, 서비스 A, 및 서비스 B를 사용하게 되는데(207 내지 209), 서비스 인증 시스템 A(14)의 비밀번호에 오류가 발생하게 되었을 때(210) 동일한 비밀번호를 입력하는데 서비스 A만 사용할 수 없다는 민원을 제기하게 된다(211).When the provisioning is completed as described above, the user terminal 11 uses the access service, service A, and service B as the newly configured password in the process (207 to 209), the password of the service authentication system A (14) When an error occurs (210) it is complained that service A cannot be used to enter the same password (211).

이때, 프로비저닝 시스템(12)에서는 검증키(A)를 이용하여 오류발생원인을 분석한다(212). 즉, 프로비저닝 시스템(12)에서는 접속 인증 시스템(13)으로부터 SHA-1 해쉬값(해쉬 비밀번호)을 획득하고 서비스 인증 시스템 A(14)로부터 MD5 해쉬값을 획득하며 서비스 인증 시스템 B(15)로부터 HAS160 해쉬값을 획득하여 검증키(B)를 신규로 생성한 후에, 상기 생성된 검증키(B)와 현재 관리하고 있는 해당 검증키(A)를 비교한다(212). 상기 비교 결과, 사용자 단말(11)이 제기한 서비스 이용 오류 민원이 비밀번호가 틀려서 발생하는 민원인 경우(213)에는 사용자 단말(11)에게 비밀번호를 리셋(reset)하도록 요청하여(214), 비밀번호 리셋(reset)을 통해서(215) 비밀번호를 일치시켜 서비스를 정상 사용하도록 한다.In this case, the provisioning system 12 analyzes the cause of error using the verification key A (212). That is, the provisioning system 12 obtains the SHA-1 hash value (hash password) from the connection authentication system 13, obtains the MD5 hash value from the service authentication system A 14, and HAS160 from the service authentication system B 15. After obtaining a hash value and newly generating a verification key B, the generated verification key B is compared with the corresponding verification key A currently managed (212). As a result of the comparison, when the service usage error complaint raised by the user terminal 11 is a complaint caused by a wrong password (213), the user terminal 11 is requested to reset the password (214), and the password reset ( (215) to match the password to ensure normal use of the service.

즉, 본 발명에서는 프로비저닝 시스템에서 다양한 해쉬 비밀번호 프로비저닝 시에 검증키를 추가로 생성하여 관리하도록 함으로써, 해쉬 비밀번호 간의 불일치 가 발생한 경우에 이를 판단하고 적절한 조치를 취할 수 있도록 한다.That is, the present invention allows the provisioning system to additionally generate and manage a verification key at the time of provisioning various hash passwords, so that in the case of a mismatch between hash passwords, it is possible to determine and take appropriate measures.

도 3은 본 발명에 따른 프로비저닝 데이터베이스(DB)의 구성 요소 및 검증키 성성 과정을 설명하기 위한 도면이다.3 is a view for explaining the components of the provisioning database (DB) and verification key generation process according to the present invention.

도 3에 도시된 바와 같이, 프로비저닝한 모든 해쉬값(복수의 해쉬 비밀번호)을 연산(해쉬 연산 또는 OR 연산 등)하여 하나의 검증키를 생성한다. 이때, 비밀번호를 해쉬하여 해쉬값을 생성하는 과정에서 사용한 해쉬 함수와 유사한 해쉬 함수를 통해서 검증키를 생성한다.As shown in FIG. 3, all of the provisioned hash values (multiple hash passwords) are calculated (hash operation or OR operation) to generate one verification key. At this time, a verification key is generated through a hash function similar to the hash function used in generating a hash value by hashing a password.

도 4는 본 발명에 따른 검증키를 이용한 다양한 해쉬 비밀번호 관리 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating various hash password management methods using a verification key according to the present invention.

먼저, 프로비저닝 시스템에서는 복수의 해쉬 비밀번호(해쉬값들)를 생성할 때 상기 생성된 복수의 해쉬 비밀번호를 사용하여 하나의 검증키를 생성한다(401). 즉, 프로비저닝 시스템에서는 비밀번호를 최초로 생성 또는 변경 시마다 비밀번호를 다양한 일방향 해쉬 처리하여 복수의 해쉬 비밀번호(해쉬값들)를 생성하고, 상기 생성된 복수의 해쉬 비밀번호(해쉬값들)를 연산(해쉬 연산 또는 OR 연산 등)하여 하나의 검증키를 동시에 생성한다.First, when generating a plurality of hash passwords (hash values), the provisioning system generates one verification key using the generated plurality of hash passwords (401). That is, the provisioning system generates a plurality of hash passwords (hash values) by processing the password in various one-way hashes whenever the password is first generated or changed, and calculates the generated hash passwords (hash values) (hash operation or OR operation) to generate one verification key at the same time.

이후, 상기 생성된 검증키를 저장하여 관리한다(402). 즉, 프로비저닝 시스템에서는 상기 생성된 복수의 해쉬 비밀번호(해쉬값들)를 프로비저닝할 때, 상기 생성된 검증키를 저장하여 관리한다.Thereafter, the generated verification key is stored and managed (402). That is, the provisioning system stores and manages the generated verification key when provisioning the generated plurality of hash passwords (hash values).

이후, 다양한 일방향 해쉬 비밀번호의 일치 여부를 검사할 때, 현재의 일방 향 해쉬 비밀번호로 생성한 검증키와 상기 이전에 생성되어 저장된 검증키를 비교한다(403). 즉, 프로비저닝 시스템에서는 고객 민원 등 필요 시에 현재의 접속 인증 시스템 및 서비스 인증 시스템들에 구성된 해쉬 비밀번호를 사용하여 새로 검증키를 생성한 후에, 상기 새로 생성한 검증키와 프로비저닝 시스템에서 기 저장하여 관리하고 있는 검증키를 비교하여 다양한 해쉬 비밀번호의 일치 여부를 검사한다.Thereafter, when checking whether the various one-way hash passwords match, the verification key generated with the current one-way hash password is compared with the previously generated and stored verification key (403). That is, in the provisioning system, a new verification key is generated using the hash password configured in the current access authentication system and service authentication systems when necessary, such as customer complaint, and then stored and managed in the newly created verification key and provisioning system. Compares the verification keys and checks whether various hash passwords match.

이후, 상기 비교 결과에 따라 다양한 해쉬 비밀번호의 일치 여부를 확인하여(404) 검증키가 서로 달라 다양한 해쉬 비밀번호가 일치하지 않는 것으로 확인된 경우 비밀번호 동기화 작업을 수행한다(405). 즉, 검증키 비교 결과, 불일치하면 프로비저닝 시스템에서는 사용자 단말에게 비밀번호를 리셋(reset)하도록 요청하여, 비밀번호 리셋(reset)을 통해서 비밀번호를 일치시켜 서비스를 정상 사용하도록 한다. 이때, 프로비저닝 시스템에서는 사용자 단말에 비밀번호 유효성 검사 오류를 표시하도록 하는 과정을 더 수행할 수도 있다.Thereafter, according to the comparison result, a check is made whether or not the various hash passwords match (404). If the verification keys are different from each other and the various hash passwords are confirmed to be inconsistent, the password synchronization operation is performed (405). That is, as a result of comparing the verification keys, if there is a mismatch, the provisioning system requests the user terminal to reset the password and matches the password through password reset so that the service is normally used. In this case, the provisioning system may further perform a process of displaying a password validation check error on the user terminal.

한편, 상기 확인 결과(404), 검증키가 서로 일치하여 다양한 해쉬 비밀번호가 일치하는 것으로 확인된 경우 타 오류로 판단하여 공지의 해당 오류 처리 과정을 수행한다(406).On the other hand, if it is confirmed that the verification result 404, the verification key is matched with each other and the various hash passwords match, it is determined as another error and performs the corresponding error processing process known in the known (406).

전술한 바와 같이, 본 발명은 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템, 예를 들어 프로비저닝 시스템 등에 이용되어, 다양한 일방향 해쉬 비밀번호를 운용 중에 해쉬 비밀번호 간의 불일치가 발생한 경우 불일치 여부를 판단할 수 있는 근거를 제공하여, 다양한 해쉬 비밀번호 동기화를 관리할 수 있도록 한다.As described above, the present invention is used in systems that need to manage passwords with different hash methods for each service, for example, a provisioning system, to determine whether there is a mismatch between hash passwords while operating various one-way hash passwords. It provides a basis for managing various hash password synchronizations.

예를 들면, 프로비저닝 시스템에서 비밀번호를 접속 인증 시스템으로는 SHA-1 해쉬한 비밀번호를 프로비저닝하고, 서비스 인증 시스템으로는 MD5 해쉬한 비밀번호를 프로비저닝한 후에, 운용 중 알 수 없는 이유로 MD5 해쉬한 비밀번호만 변경되는 경우에, 고객은 동일 아이디/비밀번호(ID/PWD)로 접속 인증은 되는데, 서비스 인증은 되지 않는다는 민원을 요청하게 된다. 이때, 비밀번호가 암호화되어 있으면 암호화된 비밀번호만으로는, 접속 인증 비밀번호와 서비스 인증 비밀번호의 동일성 여부를 알 수 없으며, 이로 인해 정확한 원인을 모른 상태에서 민원 응대를 하게 되고, 적절한 조치도 취하지 못할 수 있다. 하지만, 검증키를 관리하는 경우에는 상기와 같은 민원이 비밀번호 불일치에 의해서 발생하였음을 알 수 있고, 그에 따라 바로 비밀번호를 리셋하도록 할 수 있게 된다.For example, provisioning a password in a provisioning system, provisioning a SHA-1 hashed password with a connection authentication system, provisioning an MD5 hashed password with a service authentication system, and then changing only the MD5 hashed password for unknown reasons during operation. In this case, the customer is requested to complain that the user is authenticated with the same ID / PWD, but the service is not authenticated. In this case, if the password is encrypted, the encrypted password alone does not determine whether the access authentication password and the service authentication password are the same. As a result, the user may not respond to the complaint without knowing the exact cause and may not take appropriate measures. However, in the case of managing the verification key, it can be seen that the above complaint is caused by a password mismatch, so that the password can be immediately reset.

한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.Meanwhile, the method of the present invention as described above can be written in a computer program. And the code and code segments constituting the program can be easily deduced by a computer programmer in the field. In addition, the written program is stored in a computer-readable recording medium (information storage medium), and read and executed by a computer to implement the method of the present invention. The recording medium may include any type of computer readable recording medium.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

본 발명은 서비스별로 해쉬 방식이 서로 다른 비밀번호를 관리해야 하는 시스템(예 : 프로비저닝 시스템) 등에 이용될 수 있다.The present invention can be used for a system (eg, a provisioning system) that has to manage passwords having different hash methods for each service.

도 1은 종래의 검증키를 관리하지 않는 프로비저닝 시스템에서 다양한 방식의 해쉬 비밀번호를 관리하는 중 장애가 발생한 경우의 처리 과정을 나타내는 일실시예 흐름도,1 is a flowchart illustrating a process in a case where a failure occurs while managing hash passwords in various manners in a provisioning system that does not manage a conventional verification key.

도 2는 본 발명에 따른 검증키를 관리하는 프로비저닝 시스템에서 다양한 방식의 해쉬 비밀번호를 관리하는 중 장애가 발생한 경우의 해쉬 비밀번호 관리 방법에 대한 일실시예 흐름도,2 is a flowchart illustrating a hash password management method when a failure occurs while managing hash passwords in various manners in a provisioning system managing a verification key according to the present invention;

도 3은 본 발명에 따른 프로비저닝 데이터베이스(DB)의 구성 요소 및 검증키 성성 과정을 설명하기 위한 도면,3 is a view for explaining the components of the provisioning database (DB) and verification key generation process according to the present invention,

도 4는 본 발명에 따른 검증키를 이용한 다양한 해쉬 비밀번호 관리 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating various hash password management methods using a verification key according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명DESCRIPTION OF THE REFERENCE NUMERALS

11 : 사용자 단말 12 : 프로비저닝 시스템11: user terminal 12: provisioning system

13 : 접속 인증 시스템 14, 15 : 서비스 인증 시스템13: access authentication system 14, 15: service authentication system

Claims (6)

삭제delete 해쉬 비밀번호 관리 방법에 있어서,In the hash password management method, 복수의 해쉬 비밀번호를 생성하고 상기 생성된 복수의 해쉬 비밀번호를 사용하여 검증키를 생성하는 검증키 생성 단계;A verification key generating step of generating a plurality of hash passwords and generating a verification key using the generated plurality of hash passwords; 상기 생성된 검증키를 저장하여 관리하는 검증키 관리 단계;A verification key management step of storing and managing the generated verification key; 현재의 해쉬 비밀번호로 생성한 검증키와 상기 저장된 검증키를 비교하는 검증키 비교 단계; 및A verification key comparison step of comparing the verification key generated with the current hash password with the stored verification key; And 상기 비교 결과, 검증키가 불일치함에 따라 비밀번호 동기화를 수행하는 비밀번호 동기화 단계를 포함하되,As a result of the comparison, a password synchronization step of performing a password synchronization according to the verification key mismatch, 상기 검증키 생성 단계는,The verification key generation step, 비밀번호를 최초로 생성 또는 변경 시에 비밀번호를 다양한 일방향 해쉬 처리하여 복수의 해쉬 비밀번호를 생성하고, 상기 생성된 복수의 해쉬 비밀번호를 연산하여 검증키를 생성하는, 해쉬 비밀번호 관리 방법.A hash password management method for generating a plurality of hash passwords by generating a plurality of hash passwords by processing various one-way hashes when the password is first generated or changed, and generating a verification key by calculating the generated plurality of hash passwords. 제 2 항에 있어서,The method of claim 2, 상기 검증키 비교 단계는,The verification key comparison step, 다양한 일방향 해쉬 비밀번호의 일치 여부를 검사할 때, 현재의 시스템들에 설정된 각 해쉬 비밀번호를 사용하여 새로 검증키를 생성한 후에, 상기 새로 생성한 검증키와 상기 기 저장하여 관리하고 있는 검증키를 비교하는, 해쉬 비밀번호 관리 방법.When checking whether the various one-way hash passwords match, after generating a new verification key using each hash password set in the current systems, the newly generated verification key is compared with the verification key stored and managed. Hash password management method. 제 2 항 또는 제 3 항에 있어서,The method according to claim 2 or 3, 상기 비밀번호 동기화 단계는,The password synchronization step, 상기 비교 결과, 검증키가 불일치함에 따라 사용자 단말로 비밀번호 리셋(reset)을 요청하여, 비밀번호 리셋을 통해 비밀번호를 일치시키는, 해쉬 비밀번호 관리 방법.As a result of the comparison, as the verification key is inconsistent, a password reset is requested to the user terminal, and the password is matched through the password reset. 제 4 항에 있어서,5. The method of claim 4, 상기 비교 결과, 검증키가 불일치함에 따라 상기 사용자 단말에 비밀번호 유효성 검사 오류를 표시하도록 하는 단계Displaying a password validation error on the user terminal as a result of the comparison inconsistent verification key; 를 더 포함하는 해쉬 비밀번호 관리 방법.Hash password management method further comprising. 제 4 항에 있어서,5. The method of claim 4, 상기 검증키 관리 단계는,The verification key management step, 상기 생성된 복수의 해쉬 비밀번호를 프로비저닝할 때 상기 생성된 검증키를 저장하는, 해쉬 비밀번호 관리 방법.And storing the generated verification key when provisioning the generated plurality of hash passwords.
KR1020090127278A 2009-12-18 2009-12-18 Management method of several kinds of hash passwords with verification keys KR101229128B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090127278A KR101229128B1 (en) 2009-12-18 2009-12-18 Management method of several kinds of hash passwords with verification keys

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090127278A KR101229128B1 (en) 2009-12-18 2009-12-18 Management method of several kinds of hash passwords with verification keys

Publications (2)

Publication Number Publication Date
KR20110070450A KR20110070450A (en) 2011-06-24
KR101229128B1 true KR101229128B1 (en) 2013-02-01

Family

ID=44401962

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090127278A KR101229128B1 (en) 2009-12-18 2009-12-18 Management method of several kinds of hash passwords with verification keys

Country Status (1)

Country Link
KR (1) KR101229128B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101714319B1 (en) * 2016-05-24 2017-03-22 제주대학교 산학협력단 Data synchronization system between ship based on geocasting

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0689316A2 (en) * 1994-06-22 1995-12-27 AT&T Corp. Method and apparatus for user identification and verification of data packets in a wireless communications network
KR19980050938A (en) * 1996-12-21 1998-09-15 양승택 How to Send Encrypted Documents on the Internet
KR20030005468A (en) * 2001-07-09 2003-01-23 엘지전자 주식회사 Apparatus and Method for Encryption Key Set Verification in Network System
KR20060038083A (en) * 2004-10-29 2006-05-03 삼성전자주식회사 Apparatus and method of generating and detecting the prevention and control data for verifying the validity of a data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0689316A2 (en) * 1994-06-22 1995-12-27 AT&T Corp. Method and apparatus for user identification and verification of data packets in a wireless communications network
KR19980050938A (en) * 1996-12-21 1998-09-15 양승택 How to Send Encrypted Documents on the Internet
KR20030005468A (en) * 2001-07-09 2003-01-23 엘지전자 주식회사 Apparatus and Method for Encryption Key Set Verification in Network System
KR20060038083A (en) * 2004-10-29 2006-05-03 삼성전자주식회사 Apparatus and method of generating and detecting the prevention and control data for verifying the validity of a data

Also Published As

Publication number Publication date
KR20110070450A (en) 2011-06-24

Similar Documents

Publication Publication Date Title
US11475137B2 (en) Distributed data storage by means of authorisation token
CN108768988B (en) Block chain access control method, block chain access control equipment and computer readable storage medium
US10965449B2 (en) Autonomous secrets management for a key distribution service
US9867051B2 (en) System and method of verifying integrity of software
US9306942B1 (en) Agile OTP generation
US9350536B2 (en) Cloud key management system
US8874922B2 (en) Systems and methods for multi-layered authentication/verification of trusted platform updates
US8448225B2 (en) Login process apparatus, login process method, and program
US10798094B2 (en) Blockchain-based account management
BR112015027175B1 (en) METHOD FOR SYNCHRONIZING A SET OF PASSWORD CREDENTIALS BETWEEN A SOURCE SERVICE AND A TARGET SERVICE, AND COMPUTER READable STORAGE DEVICE
US11469903B2 (en) Autonomous signing management operations for a key distribution service
CN114065176A (en) Secure operation device, secure operation method, verifier, and device verification method
CN104219232B (en) Method for controlling file security of block distributed file system
US9847991B2 (en) Method for managing user accounts in a hosted application
US20130227077A1 (en) Identity data management system for high volume production of product-specific identity data
CN111901304B (en) Registration method and device of mobile security equipment, storage medium and electronic device
WO2023124958A1 (en) Key update method, server, client and storage medium
CN113703911B (en) Virtual machine migration method, device, equipment and storage medium
CN107888615B (en) Safety authentication method for node registration
KR101247564B1 (en) Method of protecting data from malicious modification in data base system
KR101229128B1 (en) Management method of several kinds of hash passwords with verification keys
CN113676446B (en) Communication network safety error-proof control method, system, electronic equipment and medium
CN113282950B (en) Operation and maintenance method, device, equipment and system of encryption machine
Kim et al. A secure channel establishment method on a hardware security module
US11218297B1 (en) Onboarding access to remote security control tools

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170104

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 8