KR101689848B1 - 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 - Google Patents

패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 Download PDF

Info

Publication number
KR101689848B1
KR101689848B1 KR1020160101001A KR20160101001A KR101689848B1 KR 101689848 B1 KR101689848 B1 KR 101689848B1 KR 1020160101001 A KR1020160101001 A KR 1020160101001A KR 20160101001 A KR20160101001 A KR 20160101001A KR 101689848 B1 KR101689848 B1 KR 101689848B1
Authority
KR
South Korea
Prior art keywords
password
privileged account
connection
account user
management system
Prior art date
Application number
KR1020160101001A
Other languages
English (en)
Inventor
조은희
한현철
Original Assignee
(주)유니스소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유니스소프트 filed Critical (주)유니스소프트
Priority to KR1020160101001A priority Critical patent/KR101689848B1/ko
Application granted granted Critical
Publication of KR101689848B1 publication Critical patent/KR101689848B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Abstract

본 발명은 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법에 관한 것으로서, 더욱 상세하게는, 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전 통제하고, 생성된 패스워드를 자동 저장하여 관리하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법에 관한 것이다.

Description

패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 {Password management system and method for changing password using password management system}
본 발명은 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법에 관한 것으로, 더욱 상세하게는 다양한 IT 인프라 시스템(서버)에 접속하고자 하는 특권 계정(Privileged Identity) 사용자의 접속 권한정보를 요청시마다 강력한 사전 인증을 거쳐 새롭게 발급(생성)하며, 변경된 접속 권한정보를 자동 저장하여 관리할 수 있는 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법에 관한 것이다.
일반적으로 웹 기반의 솔루션이나 서비스(IT 인프라 서비스)를 이용하기 위한 아이디 및 패스워드는 사용자가 직접 입력하여야 로그인이 가능하고, 패스워드 변경을 위해서는 로그인 완료 후 사용자가 직접 새로운 패스워드를 입력해야 한다.
하지만, 관리가 필요한 아이다 및 패스워드가 다수개인 경우, 모든 아이디의 패스워드를 사용자가 기억하기가 어렵고, 모든 아이디와 패스워드를 기억하고 있더라도, 웹 사이드 별로 아이디들에 대응되는 패스워드를 일일이 로그인하여 변경하는 일은 매우 번거로운 일이다.
이를 보완하기 위하여, 각 웹 사이트라 웹 기반 솔루션에서는 별도의 에이전트 프로그램 또는 별도의 API를 제공하여, 패스워드를 자동으로 변경할 수 있도록 서비스를 제공하는 경우도 있다. 그렇지만, 웹 사이드 별로 또는 웹 기반 솔루션 별로 각각 에이전트 프로그램이나 API를 설치하여, 패스워드 변경을 실행시켜주는 일도 번거로울 뿐 아니라, 각각의 에이전트 프로그램이나 API가 서로 호환되지 않는 경우가 많아 문제점이 많다.
더불어, 각각의 에이전트 프로그램이나 API에 의해서 패스워드 변경이 실행될 경우, 변경된 패스워드를 데이터베이스 또는 Config 파일 등의 물리적인 파일에 저장하여 사용하고 있어, 보안상 취약성이 존재한다.
특히, 최근 발생한 보안사고는 특권 계정(Privileged Identity) 권한 획득에 의해 발생하는 경우가 많아, 일반적인 보안 솔루션이나 접근통제, 접근 모니터링 시스템으로도 해결할 수 없는 경우가 많다.
특권 계정 권한은 운영체제 뿐 아니라, OS 레벨에서 운영되는 모든 어플리케이션의 설정을 변경하거나, 동작 상태를 제어할 수 있는 막강한 권한이기 때문에, 이러한 특권 계정 권한을 효과적으로 관리하지 못할 경우, 보안사고를 막을 수 있는 방법이 없는 실정이며, 단순히 패스워드 제어만으로 특권 계정에 대한 접근(액세스, access)을 제어하는 방법은, 악의적인 사용자가 이미 특권 계정을 장악하여 사용할 경우, 이를 제재할 수 있는 방법이 없다.
이와 관련하여, 국내 등록 특허 제10-0807831호("패스워드 일괄 변경 방법", 이하 선행문헌 1)에서는 패스워드 변경시 다수의 서버의 IP 주소를 소정 단위별로 분할하여, 그 분할된 소정 단위별로 해당 서버의 패스워드를 동시에 일괄적으로 변경함으로써, 패스워드 변경의 작업 시간을 단축하고, 변경하는 과정에서 발생할 수 있는 실수를 방지하기 위한 패스워드 일괄 변경 방법을 개시하고 있다.
그렇지만, 선행문헌 1은 소정 단위 별로 분할된 서버의 패스워드가 동일하게 변경되기 때문에, 상술한 바와 같이 악의적인 사용자가 특권 계정 권한을 이용할 경우, 보안사고를 크게 키울 수 있을 뿐 이를 제재하는 구성에 대해서 전혀 언급하지 않고 있다.
국내등록특허 제10-0807831호 (등록일자 2008.02.20.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 더욱 상세하게는 다양한 IT 인프라 시스템(서버)에 접속하고자 하는 특권 계정(Privileged Identity) 사용자의 접속 권한정보를 요청시마다 강력한 사전 인증을 거쳐 새롭게 발급(생성)하며, 변경된 접속 권한정보를 자동 저장하여 관리할 수 있는 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법은, 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전 통제하고, 생성된 패스워드를 자동 저장하여 관리하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법에 있어서, 특권 계정 사용자가 패스워드 관리 시스템에 접속하기 위해, 아이디(ID)와 패스워드(Password)를 입력하는 1차 접속 인증 단계(S100), 상기 1차 접속 인증 단계(S100)에서 입력된 아이디와 패스워드를 통해, 상기 패스워드 관리 시스템에 접속이 가능할 경우, OTP(One Time Password) 코드를 생성받아 입력하는 2차 접속 인증 단계(S200), 상기 2차 접속 인증 단계(S200)에서 입력된 OTP 코드가 상기 패스워드 관리 시스템에서 생성한 OTP 코드와 일치되는지 판단하는 OTP 코드 판단 단계(S300), 상기 OTP 코드 판단 단계(S300)에 의해 상기 특권 계정 사용자의 접속이 허용되는 경우, 상기 특권 계정 사용자가 접속하고자 하는 서버에 대한 접속 패스워드를 요청하는 패스워드 요청 단계(S400), 상기 패스워드 관리 시스템의 승인 관리자가 상기 패스워드 요청 단계(S400)에 의한 접속 패스워드 요청 정보에 따라, 상기 특권 계정 사용자의 승인 여부를 판단하는 승인 여부 판단 단계(S500), 상기 승인 여부 판단 단계(S500)에 의해 상기 특권 계정 사용자의 서버로의 접속이 허용될 경우, 접속 패스워드가 생성되어 상기 특권 계정 사용자에게 전달되는 패스워드 발급 단계(S600) 및 상기 특권 계정 사용자가 전달받은 접속 패스워드를 이용하여 서버에 접속하는 접속 단계(S700)로 이루어지는 것을 특징으로 한다.
더 나아가, 상기 패스워드 관리 시스템을 이용한 패스워드 변경 방법은 상기 1차 접속 인증 단계(S100)를 수행하고 난 후, 상기 1차 접속 인증 단계(S100)에 의해 입력받은 아이디에 대한 패스워드의 일치 여부를 판단하여, 상기 패스워드 관리 시스템으로의 로그인 허용 가능 여부를 판단하는 로그인 가능 판단 단계(S110)를 더 수행하는 것을 특징으로 한다.
더 나아가, 상기 2차 접속 인증 단계(S200)는 특권 계정 사용자가 소지하고 있는 단말기와 NFC(Near Field Communication) 카드를 이용하여, 상기 NFC 카드를 상기 단말기에 인식(tagging)시켜 상기 단말기에서 OTP 코드가 생성되는 것을 특징으로 한다.
더 나아가, 상기 패스워드 발급 단계(S600)는 기설정된 패스워드 생성 규칙에 의해 상기 접속 패스워드를 생성하는 것을 특징으로 한다.
더 나아가, 패스워드 관리 시스템을 이용한 패스워드 변경 방법은 상기 패스워드 발급 단계(S600)를 수행하고 난 후, 상기 특권 계정 사용자의 승인 이력 정보 및 접속 패스워드 발급 이력을 암호화하고 데이터베이스화하여, 저장 및 관리하는 것을 특징으로 한다.
더 나아가, 상기 패스워드 발급 단계(S600)는 생성된 상기 접속 패스워드를 상기 특권 계정 사용자가 접속하고자 하는 서버로 전송하는 것을 특징으로 한다.
더 나아가, 패스워드 관리 시스템을 이용한 패스워드 변경 방법은 상기 패스워드 발급 단계(S600)를 수행하고 난 후, 상기 서버에서 전송받은 상기 접속 패스워드로 접속 가능한 패스워드를 변경하는 서버 접속 패스워드 변경 단계(610)를 더 수행하는 것을 특징으로 한다.
더 나아가, 상기 서버는 전송받은 상기 접속 패스워드와, 상기 특권 계정 사용자가 상기 접속 단계(S700)에 의해 입력한 접속 패스워드와의 일치 여부를 판단하여, 일치하는 경우에만 상기 특권 계정 사용자의 서버 접속을 허용하는 것을 특징으로 한다.
더 나아가, 상기 패스워드 관리 시스템을 이용한 패스워드 변경 방법은 상기 접속 단계(S700)를 수행하고 난 후, 상기 특권 계정 사용자가 상기 서버에 접속하고 난 후 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 저장하는 로그 저장 단계(S800) 및 상기 로그 저장 단계(S800에 의해 저장되는 상기 특권 계정 사용자의 행위 로그를 이용하여, 기저장된 통제명령에 따라 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행하는 통제 단계(S900)를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명의 또다른 일 실시예에 따른 패스워드 관리 시스템은, 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전 통제하고, 생성된 패스워드를 자동 저장하여 관리하는 패스워드 관리 시스템에 있어서, 특권 계정 사용자별로 아이디와 패스워드를 저장 및 관리하며, 상기 특권 계정 사용자가 아이디와 패스워드를 입력할 경우, 상기 아이디에 대한 패스워드의 매칭 여부를 판단하여, 로그인 허용 가능 여부를 판단하는 1차 접속 인증부(100), 상기 특권 계정 사용자가 소지하고 있는 NFC(Near Field Communication) 카드를 단말기에 인식시켜 OTP(One Time Password) 코드를 생성할 경우, 동일한 정보를 이용하여 확인용 OTP 코드를 생성하며, 상기 특권 계정 사용자가 OTP 코드를 입력할 경우, 확인용 OTP 코드와 일치 여부를 판단하는 2차 접속 인증부(200), 상기 1차 접속 인증부(100)와 2차 접속 인증부(200)를 통해서 상기 특권 계정 사용자의 접속이 허용되고, 상기 특권 계정 사용자가 접속하고자 하는 서버에 대한 접속 패스워드를 요청할 경우, 상기 특권 계정 사용자의 승인 여부를 판단하는 패스워드 요청 승인 판단부(300) 및 상기 패스워드 요청 승인 판단부(300)에 의해 상기 특권 계정 사용자의 서버로의 접속이 승인될 경우, 접속 패스워드를 생성하며, 상기 특권 계정 사용자에게 전송하는 패스워드 발급부(400)를 포함하여 구성되는 것을 특징으로 한다.
더 나아가, 상기 패스워드 발급부(400)는 기설정된 패스워드 생성 규칙에 의해 상기 접속 패스워드를 생성하는 것을 특징으로 한다.
더 나아가, 상기 패스워드 관리 시스템은 상기 특권 계정 사용자의 승인 이력 정보 및 접속 패스워드 발급 이력을 상기 특권 계정 사용자별로 암호화하고 데이터베이스화하여 저장 및 관리하는 데이터베이스부(500)를 더 포함하여 구성되는 것을 특징으로 한다.
더 나아가, 상기 패스워드 발급부(400)는 생성한 상기 접속 패스워드를 상기 특권 계정 사용자가 접속하고자 하는 서버로 전송하는 것을 특징으로 한다.
더 나아가, 상기 서버는 상기 패스워드 발급부(400)로부터 상기 접속 패스워드가 전송될 때마다, 접속 가능한 패스워드를 업데이트하여 저장 및 관리하고, 상기 특권 계정 사용자가 접속을 위해 상기 접속 패스워드를 입력할 경우, 일치 여부를 판단하여 일치하는 경우에만 상기 특권 계정 사용자의 서버 접속을 허용하는 것을 특징으로 한다.
더 나아가, 상기 패스워드 관리 시스템은 상기 특권 계정 사용자가 상기 서버에 접속하고 난 후, 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 수집하여 저장 및 관리하는 정보 수집부(600)를 더 포함하여 구성되는 것을 특징으로 한다.
더 나아가, 상기 패스워드 관리 시스템은 상기 정보 수집부(600)로 수집되는 상기 특권 계정 사용자별 행위 로그 정보를 이용하여, 기저장된 통제명령에 따라 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행하는 통제부(700)를 더 포함하여 구성되는 것을 특징으로 한다.
상기와 같은 구성에 의한 본 발명의 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법은 다양한 IT 인프라 시스템(서버)에 접속하고자 하는 특권 계정(Privileged Identity) 사용자가 접속 권한정보를 요청시마다 강력한 사전 인증을 거쳐 접속 가능한 패스워드를 새롭게 발급(생성)할 수 있는 자동화된 특권 계정 패스워드 관리 시스템에 관한 것이다.
또한, 각 IT 인프라 시스템(서버)에 접속 중인 특권 계정의 행위 로그를 수집 저장하여, 보안 위험 행위를 사전 통제하고, 변경된 접속 권한정보를 자동 저장하여 관리할 수 있어, 서버로의 접근 보안을 강화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법을 나타낸 순서도이다.
도 2 내지 도 6은 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 나타낸 도면이다.
이하 첨부한 도면들을 참조하여 본 발명의 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이 때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
최근 발생한 농협 보안사고의 경우, 특권 계정(Privileged Identity) 권한 획득에 의해 발생하는 보안사고로서, 보안 솔루션이나 접근 통제, 모니터링 시스템을 통해서는 해결하기가 어렵다.
모든 전산 시스템의 특권 계정 권한은 운영체제 뿐 아니라, OS 레벨에서 운영되는 모든 어플리케이션의 설정을 변경하거나, 동작 상태를 제어(On/Off)할 수 있는 막강한 권한으로서, 농협 보안사고의 경우, 당시 270여대의 서버에서 삭제된 파일들은 대부분 특정 계정인 root 권한이나 DB 관리자, 응용 프로그램 관리자 계정의 권한이 있어야만 삭제가 가능한 파일들이였다.
즉, 농협 보안사고는 특권 계정의 관리 부재로 인해, 초유의 금융 전산망 마비 사태가 발생한 것이다.
종래의 암호 제어만으로는, 악의적인 사용자가 특권 계정 권한을 사용하는 경우에는 이들의 작업을 제한할 수 있는 방법이 없다.
이를 해결하기 위하여, 본 발명의 일 실시예에 따른 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법은, 다양한 서버(IT 인프라 시스템)에 접속하고자 하는 특권 계정 사용자의 접속 권한 정보를 서버에 접속 요청이 발생할 때마다, 자동으로 패스워드를 생성하고 생성한 패스워드를 자동으로 서버에 전달하여 저장 및 관리할 수 있는 자동화된 특권계정 패스워드 관리 시스템이다.
이를 통해서, 패스워드 관리 시스템을 이용하는 특권 계정 사용자(접속자)가 기억하는 접속 권한 정보(일 예를 들자면, 아이디와 패스워드)가 아닌 새롭게 생성된 접속 권한 정보를 강력한 사전 인증 절차를 거쳐 새롭게 생성하여 서버에 접속이 이루어지도록 하고,
특권 계정 사용자의 서버 접속 후 발생하는 행위 로그를 수집하여 보안 위험 행위를 사전 통제하여 특권 계정에 대한 패스워드 관리 시스템을 제공할 수 있다.
상세하게는, 본 발명의 일 실시예에 따른 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법은, 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속 시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전에 통제하고, 생성된 패스워드를 자동 저장하여 관리함으로써, 접근 보안을 강화할 수 있어 보안 사고 발생을 미연에 방지할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법을 나타낸 순서도이다. 도 1을 참조로 하여 본 발명의 패스워드 관리 시스템을 이용한 패스워드 변경 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법은 도 1에 도시된 바와 같이, 1차 접속 인증 단계(S100), 2차 접속 인증 단계(S200), OTP 코드 판단 단계(S300), 패스워드 요청 단계(S400), 승인 여부 판단 단계(S500), 패스워드 발급 단계(S600) 및 접속 단계(S700)로 이루어지는 것이 바람직하다. 상술한 단계들(S100 내지 S700)은 패스워드 관리 시스템에서 이루어지는 것이 바람직하다.
각 단계에 대해서 자세히 알아보자면,
상기 1차 접속 인증 단계(S100)는 특권 계정(Privileged Identity) 사용자가 상기 패스워드 관리 시스템에 접속하기 위하여, 다시 말하자면, 상기 특권 계정 사용자가 상기 패스워드 관리 시스템을 이용하기 위하여 아이디(ID)와 패스워드(Password)를 입력할 수 있다.
이 때, 상기 특권 계정 사용자별 아이디와 패스워드는 최초 패스워드 관리 시스템을 접속 당시, 상기 특권 계정의 사용자가 사용자 등록을 통해서 입력한 아이디와 패스워드를 의미한다.
상기 패스워드 관리 시스템은 상기 1차 접속 인증 단계(S100)를 통해서 입력한 상기 특권 계정 사용자의 ID와 패스워드가 사용자 등록 당시 입력한 아이디와 패스워드에 매칭될 경우, 상기 특권 계정 사용자에게 OTP(One Time Password) 코드 입력을 요청할 수 있다.
상세하게는, 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법은, 도 1에 도시된 바와 같이, 로그인 가능 판단 단계(S110)를 더 포함하여 이루어질 수 있다.
상기 로그인 가능 판단 단계(S110)는 상기 1차 접속 인증 단계(S100)에 의해 상기 특권 계정 사용자로부터 입력받은 상기 아이디와 패스워드가 사용자 등록 당시 입력받은 아이디와 패스워드와 일치하는지 판단하여, 일치 여부에 따라 상기 패스워드 관리 시스템으로의 로그인 가능 여부를 판단하게 된다.
즉, 일치하는 경우에만, 상기 패스워드 관리 시스템으로 로그인이 가능하여, 상기 패스워드 관리 시스템을 통한 서버 접속이 가능하게 된다.
이와 반대로, 일치하지 않을 경우, 만약의 보안 사고를 방지하기 위하여 더 이상의 진행 없이 종료되는 것이 바람직하다.
상기 2차 접속 인증 단계(S200)는 상기 특권 계정 사용자가 상기 OTP 코드를 입력할 수 있다.
이 때, 상기 OTP 코드는 상기 특권 계정 사용자가 소지하고 있는 NFC 카드와 단말기(일 예를 들자면, 스마트폰 등)를 통해서 생성되게 된다. 즉, 상기 특권 계정 사용자가 소지하고 있는 NFC 카드를 상기 단말기에 인식(tagging)시켜 상기 단말기에 OTP 코드가 생성되게 된다. 여기서, 상기 특권 계정 사용자가 소지하고 있는 상기 단말기는 NFC 리더 기능이 포함되어 있는 것이 바람직하다.
상기 특권 계정 사용자는 단말기에 생성된 상기 OTP 코드를 입력할 수 있다.
이 때, 상기 OTP 코드는 NFC 카드에 미리 설정되어 있는 NFC 카드 ID와 특권 계정 사용자의 단말기 고유 번호 및 OTP 코드 생성 요청 시간의 조합을 통해서 생성될 수 있으며, 상기 패스워드 관리 시스템에서도 동일한 정보를 이용하여 확인용 OTP 코드를 생성하여 저장하게 된다.
상기 OTP 코드 판단 단계(S300)은 상기 2차 접속 인증 단계(S200)에 의해 상기 특권 계정 사용자로부터 입력받은 상기 OTP 코드와, 상기 패스워드 관리 시스템에서 생성한 상기 확인용 OTP 코드가 일치되는지 판단할 수 있다.
이를 통해서, 서버 정보, 패스워드 정보 등의 중요정보가 저장되어 있는 상기 패스워드 관리 시스템에 대한 사용자의 접근 보안을 강화할 수 있다.
상기 OTP 코드 판단 단계(S300)은 상기 로그인 가능 판단 단계(S110)와 마찬가지로, 상기 OTP 코드와 확인용 OTP 코드가 일치하지 않을 경우, 만약의 보안 사고를 방지하기 위하여 더 이상의 진행 없이 종료되는 것이 바람직하다.
상기 패스워드 요청 단계(S400)는 상기 OTP 코드 판단 단계(S300)에 의해 상기 특권 계정 사용자의 접속이 허용된 경우, 상기 특권 계정 사용자가 상기 패스워드 관리 시스템을 통해서 접속하고자 하는 서버에 대한 접속 패스워드를 요청할 수 있다.
즉, 상기 특권 계정 사용자가 접속하고자 하는 서버에 접속하기 위한 접속 패스워드를 요청할 수 있으며, 상기 특권 계정 사용자는 사용 기간 및 목적을 입력하여 상기 접속 패스워드를 요청할 수 있다.
이 때, 상기 접속 패스워드의 요청 정보는, 상기 패스워드 관리 시스템의 승인 관리자의 e-mail을 통해서 요청되는 것이 바람직하다.
상기 승인 여부 판단 단계(S500)는 상기 패스워드 관리 시스템의 승인 관리자가 상기 패스워드 요청 단계(S400)에 의한 접속 패스워드 요청 정보에 따라, 해당하는 상기 특권 계정 사용자의 서버 접속 승인 여부를 판단할 수 있다.
상기 패스워드 관리 시스템의 승인 관리자는 그동안 수집해 온 상기 특권 계정 사용자의 행위 로그를 이용하여, 서버 접근이 이루어져도 안전하다고 판단되는 상기 특권 계정 사용자에 대해서는 서버 접속 승인을 하는 것이 바람직하며, 경우에 따라 서버 접속 승인을 거부할 수도 있다.
이러한 상기 특권 계정 사용자의 접속 승인 이력 정보는 암호화하고 데이터베이스화하여 저장 및 관리할 수 있다.
상기 승인 여부 판단 단계(S500)는 상기 로그인 가능 판단 단계(S110), OTP 코드 판단 단계(S300)과 마찬가지로, 상기 패스워드 관리 시스템의 승인 관리자가 상기 특권 계정 사용자의 서버 접속 승인을 거부할 경우, 만약의 보안 사고를 방지하기 위하여 더 이상의 진행 없이 종료되는 것이 바람직하다.
상기 패스워드 발급 단계(S600)는 상기 패스워드 관리 시스템의 승인 관리자로부터 상기 승인 여부 판단 단계(S500)에 의해 상기 특권 계정 사용자의 서버로의 접속이 승인(허용)될 경우, 미리 설정된 패스워드 생성 규칙에 따라, 상기 접속 패스워드를 생성하여 상기 특권 계정 사용자에게 전달할 수 있다.
이 때, 상기 접속 패스워드는 상기 접속 패스워드 요청 정보와 마찬가지로, 상기 특권 계정 사용자의 e-mail을 통해서 전달되는 것이 바람직하다.
상기 패스워드 관리 시스템은 상기 접속 패스워드를 생성함에 있어서,
각 서버별 미리 설정된 패스워드 생성 규칙(규약)에 의해서 접속 패스워드를 자동 생성하여 전달하고, 해당 서버의 기존 접속 패스워드를 새롭게 생성된 접속 패스워드로 자동 변경할 수 있다.
미리 설정된 패스워드 생성 규칙의 일 예를 들자면, 패스워드 생성시 대문자/소문자/숫자/부호 등을 무작위로 포함 규칙으로, 미리 설정된 패스워드 생성 규칙에 따라 접속 패스워드를 자동으로 생성할 수 있다.
또한, 생성된 접속 패스워드는 MD5 방식, Salting, Key Stretching에 의해서 암호화하여 데이터베이스화하여 저장 및 관리할 수 있으며, 상기 특권 계정 사용자가 접속하고자 하는 서버로 전송할 수 있다.
대상 서버의 시스템으로는 유닉스, Linux(Cent OS, Ubuntu 등), Windows Server, 데이터베이스 서버(Oracle, MS-SQL, MySQL 등), 웹 어플리케이션 서버(ASP, JSP, PHP 등)를 대상으로 하는 것이 바람직하다.
상기 접속 패스워드는 상술한 바와 같이, 상기 특권 계정 사용자의 요청 및 승인에 의한 자동 변경이 이루어지는 것이 가장 바람직하며, 상기 패스워드 관리 시스템의 승인 관리자가 임의로 자동 변경할 수도 있다.
또한, 사용기한의 만료된 서버에 대한 자동 변경이 이루어질 수 있으며, 서버의 접속 패스워드 관리 정책에 의해 주기적인 자동 변경이 이루어질 수도 있다.
새롭게 생성한 상기 접속 패스워드를 전달받은 상기 서버에서는, 도 1에 도시된 바와 같이, 서버 접속 패스워드 변경 단계(S610)를 수행하는 것이 바람직하다.
상기 서버 접속 패스워드 변경 단계(S610)는 상기 서버에서, 새롭게 생성하여 전달받은 상기 접속 패스워드로 접속 가능한 패스워드를 업데이트하여 저장하게 된다. 이를 통해서, 오류 없이 상기 특권 계정 사용자의 서버 접속이 이루어지게 된다.
상기 접속 단계(S700)는 상기 특권 계정 사용자가 전달받은 접속 패스워드를 이용하여, 서버에 접속할 수 있다.
이 때, 서버는 상기 패스워드 관리 시스템으로부터 전송받은 접속 패스워드와 상기 특권 계정 사용자가 입력한 접속 패스워드와의 일치 여부를 판단할 수 있다.
상기 특권 계정 사용자가 입력한 접속 패스워드가 상기 접속 패스워드와 일치하는 경우에만, 상기 특권 계정 사용자의 서버 접속을 허용할 수 있다.
만약, 상기 특권 계정 사용자가 상기 접속 패스워드를 분실하거나, 일치하지 않을 경우, 만약의 보안 사고를 방지하기 위하여 더 이상의 진행 없이 종료되는 것이 바람직하며, 재접속을 원하는 상기 특권 계정 사용자의 경우, 상술한 과정을 반복 수행하여, 서버 접속을 재요청할 수 있다.
더불어, 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법은, 상기 접속 단계(S700)를 수행하고 난 후, 로그 저장 단계(S800) 및 통제 단계(S900)를 더 수행하는 것이 바람직하다.
상기 로그 저장 단계(S800) 및 통제 단계(S900)는 상기 특권 계정 사용자의 행위 감시 및 통제를 위한 과정으로서,
상세하게는, 상기 로그 저장 단계(S800)는 상기 특권 계정 사용자가 상기 서버에 접속하고 난 후, 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 저장할 수 있다.
상기 통제 단계(S900)는 상기 로그 저장 단계(S800)에 의해 저장되는 상기 특권 계정 사용자별 행위 로그를 이용하여, 미리 저장된 통제명령에 따라, 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행할 수 있다.
즉, 사전에 상기 패스워드 관리 시스템의 승인 관리자 또는 서버의 관리자에 의해서 특권 계정 사용자 및 서버 별로 통제명령이 지정될 수 있다. 지정된 통제명령에 의거하여, 특권 계정 사용자가 행하는 명령에 대한 통제를 수행할 수 있다.
또한, 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 이용한 패스워드 변경 방법은, 패스워드 관리 시스템 또는 데이터베이스의 장애 시 새롭게 발급된 접속 패스워드 정보가 유실될 우려가 있고, 이로 인해 상기 패스워드 관리 시스템을 통해서 관리되는 서버의 접속에 문제가 발생하는 것이 방지하기 위하여,
상술한 바와 같이, 접속 패스워드의 생성 및 발급 시 암호화 및 데이터베이스화하여 저장 및 관리할 수 있으며, 데이터베이스를 인증 수단(일 예를 들자면, 인증서 등)에 의해서 암호화 백업하는 것이 바람직하다.
이를 통해서, 패스워드 관리 시스템 또는 데이터베이스의 장애가 발생할 경우, 최종 백업된 데이터베이스를 인증 수단을 통해 복구하여 지속적인 관리가 이루어질 수 있다.
도 2 내지 도 6은 본 발명의 일 실시예에 따른 패스워드 관리 시스템을 나타낸 구성도이다. 도 2 내지 도 6을 참조로 하여 본 발명의 패스워드 관리 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 패스워드 관리 시스템은 도 2에 도시된 바와 같이, 1차 접속 인증부(100), 2차 접속 인증부(200), 패스워드 요청 승인 판단부(300) 및 패스워드 발급부(400)를 포함하여 구성될 수 있다.
각 구성에 대해서 자세히 알아보자면,
상기 1차 접속 인증부(100)는 상기 특권 계정 사용자별로 아이디와 패스워드를 저장 및 관리하며, 상기 특권 계정 사용자가 아이디와 패스워드를 입력할 경우, 저장 및 관리하고 있던 아이디, 패스워드와 비교하여 매칭 여부를 판단하여 로그인 허용 가능 여부를 판단할 수 있다.
상기 1차 접속 인증부(100)는 도 3에 도시된 바와 같이, 상기 특권 계정 사용자별로 상기 패스워드 관리 시스템의 최초 접속 당시, 사용자 등록(신규 사용자)을 통해서 아이디와 패스워드를 입력받을 수 있다.
이 후, 상기 특권 계정 사용자가 입력하는 아이디와 패스워드가 저장되어 있는 아이디, 패스워드와 매칭되는지 판단하여, 상기 특권 계정 사용자의 로그인 허용 가능 여부를 판단하여 1차 접속 인증을 수행할 수 있다.
상기 패스워드 관리 시스템은 상기 1차 접속 인증부(100)를 통해서, 상기 특권 계정 사용자의 1차 접속 인증이 이루어질 경우, 상기 특권 계정 사용자에게 2차 접속 인증을 위한 OTP 코드 입력을 요청하는 것이 바람직하다.
상기 2차 접속 인증부(200)는 상기 특권 계정 사용자가 입력한 상기 OTP 코드가 상기 패스워드 관리 시스템에서 생성한 상기 확인용 OTP 코드와 일치되는지 판단하여 상기 특권 계정 사용자의 2차 접속 인증을 수행할 수 있다.
상세하게는, 도 3에 도시된 바와 같이, 상기 특권 계정 사용자가 소지하고 있는 NFC 카드와 단말기(일 예를 들자면, 스마트폰 등)를 통해서 상기 OTP 코드가 생성되게 된다. 즉, 상기 특권 계정 사용자가 소지하고 있는 NFC 카드를 상기 단말기에 인식(tagging)시켜 상기 단말기에 OTP 코드가 생성되게 된다. 이를 위해, 상기 특권 계정 사용자가 소지하고 있는 상기 단말기는 NFC 리더 기능이 포함되어 있는 것이 바람직하다.
상기 특권 계정 사용자는 단말기에 생성된 상기 OTP 코드를 입력할 수 있다.
이 때, 상기 OTP 코드는 NFC 카드에 미리 설정되어 있는 NFC 카드 ID와 특권 계정 사용자의 단말기 고유 번호 및 OTP 코드 생성 요청 시간의 조합을 통해서 생성될 수 있으며, 상기 패스워드 관리 시스템에서도 동일한 정보를 이용하여 상기 확인용 OTP 코드를 생성하여 저장하게 된다.
상기 2차 접속 인증부(200)는 상기 특권 계정 사용자로부터 입력받은 상기 OTP 코드와, 상기 패스워드 관리 시스템에서 생성한 상기 확인용 OTP 코드가 일치되는지 판단할 수 있다.
이를 통해서, 서버 정보, 패스워드 정보 등의 중요정보가 저장되어 있는 상기 패스워드 관리 시스템에 대한 사용자의 접근 보안을 강화할 수 있다.
상기 패스워드 요청 승인 판단부(300)는 상기 1차 접속 인증부(100)와 2차 접속 인증부(200)를 통해서 접속이 허용된 상기 특권 계정 사용자에 대해서, 상기 특권 계정 사용자가 접속하고자 하는 서버에 접속하기 위한 접속 패스워드를 요청받아, 상기 특권 계정 사용자의 승인 여부를 판단할 수 있다.
즉, 도 4와 같이, 상기 특권 계정 사용자로부터 접속하고자 하는 서버에 대한 접속 패스워드 요청을 전달받아, 상기 특권 계정 사용자의 서버 접속 승인 여부를 판단할 수 있다.
상기 패스워드 요청 승인 판단부(300)는 상기 1차 접속 인증부(100)와 2차 접속 인증부(200)를 통해서 상기 특권 계정 사용자의 접속이 허용된 경우, 상기 특권 계정 사용자가 상기 패스워드 관리 시스템을 통해서 접속하고자 하는 서버에 대한 접속 패스워드를 요청할 수 있다.
즉, 상기 특권 계정 사용자가 접속하고자 하는 서버에 접속하기 위한 접속 패스워드를 요청할 수 있으며, 상기 특권 계정 사용자는 사용 기간 및 목적을 입력하여 상기 접속 패스워드를 요청할 수 있다.
이 때, 상기 접속 패스워드의 요청 정보는, 도 4와 같이, 상기 패스워드 관리 시스템의 승인 관리자의 e-mail을 통해서 요청되는 것이 바람직하다.
상기 패스워드 요청 승인 판단부(300)는 상기 패스워드 관리 시스템의 승인 관리자가 상기 특권 계정 사용자로부터 입력받은 접속 패스워드 요청 정보에 따라, 해당하는 상기 특권 계정 사용자의 서버 접속 승인 여부를 판단할 수 있다.
상기 패스워드 관리 시스템의 승인 관리자는 그동안 수집해 온 상기 특권 계정 사용자의 행위 로그를 이용하여, 접근이 이루어져도 안전하다고 판단되는 특권 계정 사용자에 대해서는 서버 접속 승인을 하는 것이 바람직하며, 경우에 따라 서버 접속 승인을 거부할 수도 있다.
이 때, 본 발명의 일 실시예에 따른 패스워드 관리 시스템은 도 1에 도시된 바와 같이, 데이터베이스부(500)를 더 포함하여 구성될 수 있으며,
상기 패스워드 요청 승인 판단부(300)에서 생성된 상기 특권 계정 사용자의 접속 승인 이력 정보를 암호화 및 데이터베이스화하여 상기 데이터베이스부(500)에 저장 및 관리할 수 있다.
상기 패스워드 발급부(400)는 상기 패스워드 요청 승인 판단부(300)에 의해 상기 특권 계정 사용자의 서버로의 접속이 승인될 경우, 미리 설정된 패스워드 생성 규칙에 따라, 접속을 위한 접속 패스워드를 생성하여 상기 특권 계정 사용자에게 전송할 수 있다.
다시 말하자면, 상기 패스워드 발급부(400)는 상기 패스워드 관리 시스템의 승인 관리자로부터 상기 패스워드 요청 승인 판단부(300)에 의해 상기 특권 계정 사용자의 서버로의 접속이 승인(허용)될 경우, 미리 설정된 패스워드 생성 규칙에 따라, 상기 접속 패스워드를 생성하여 상기 특권 계정 사용자에게 전달할 수 있다.
이 때, 상기 접속 패스워드는 상기 접속 패스워드 요청 정보와 마찬가지로, 상기 특권 계정 사용자의 e-mail을 통해서 전달되는 것이 바람직하다.
상기 패스워드 관리 시스템은 상기 접속 패스워드를 생성함에 있어서,
각 서버별 미리 설정된 패스워드 생성 규칙(규약)에 의해서 접속 패스워드를 자동 생성하여 전달하고, 해당 서버의 기존 접속 패스워드를 새롭게 생성된 접속 패스워드로 자동 변경할 수 있다.
미리 설정된 패스워드 생성 규칙의 일 예를 들자면, 패스워드 생성시 대문자/소문자/숫자/부호 등을 무작위로 포함 규칙으로, 미리 설정된 패스워드 생성 규칙에 따라 접속 패스워드를 자동으로 생성할 수 있다.
또한, 생성된 접속 패스워드는 도 5에 도시된 바와 같이, MD5 방식, Salting, Key Stretching에 의해서 암호화하여 상기 데이터베이스부(500)에 데이터베이스화하여 저장 및 관리할 수 있으며, 상기 특권 계정 사용자가 접속하고자 하는 서버로 전송할 수 있다.
대상 서버의 시스템으로는 유닉스, Linux(Cent OS, Ubuntu 등), Windows Server, 데이터베이스 서버(Oracle, MS-SQL, MySQL 등), 웹 어플리케이션 서버(ASP, JSP, PHP 등)를 대상으로 하는 것이 바람직하다.
상기 접속 패스워드는 상술한 바와 같이, 상기 특권 계정 사용자의 요청 및 승인에 의한 자동 변경이 이루어지는 것이 가장 바람직하며, 상기 패스워드 관리 시스템의 승인 관리자가 임의로 자동 변경할 수도 있다.
또한, 사용기한의 만료된 서버에 대한 자동 변경이 이루어질 수 있으며, 서버의 접속 패스워드 관리 정책에 의해 주기적인 자동 변경이 이루어질 수도 있다.
새롭게 생성한 상기 접속 패스워드를 전달받은 상기 서버에서는, 새롭게 생성하여 전달받은 상기 접속 패스워드로 접속 가능한 패스워드를 업데이트하여 저장하게 된다. 이를 통해서, 오류 없이 상기 특권 계정 사용자의 서버 접속이 이루어지게 된다.
상기 특권 계정 사용자는 도 6에 도시된 바와 같이, 상기 패스워드 발급부(400)로부터 전달받은 접속 패스워드를 이용하여, 서버에 접속할 수 있다.
이 때, 서버는 상기 패스워드 관리 시스템으로부터 전송받은 접속 패스워드와 상기 특권 계정 사용자가 입력한 접속 패스워드와의 일치 여부를 판단할 수 있다.
상기 특권 계정 사용자가 입력한 접속 패스워드가 상기 접속 패스워드와 일치하는 경우에만, 상기 특권 계정 사용자의 서버 접속을 허용할 수 있다.
만약, 상기 특권 계정 사용자가 상기 접속 패스워드를 일치하지 않을 경우, 서버 접속이 거부되며, 상기 특권 계정 사용자는 상기 서버로의 접속을 원할 경우, 상술한 과정을 반복 수행하여, 서버 접속을 재요청할 수 있다.
더불어, 본 발명의 일 실시예에 따른 패스워드 관리 시스템은, 도 1에 도시된 바와 같이, 정보 수집부(600) 및 통제부(700)를 더 포함하여 구성될 수 있다.
상기 정보 수집부(600)와 통제부(700)는 상기 특권 계정 사용자의 행위 감시 및 통제를 위한 구성이다.
상기 정보 수집부(600)는 상기 특권 계정 사용자가 상기 서버에 접속하고 난 후, 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 저장할 수 있으며,
상기 통제부(700)는 상기 정보 수집부(600)로 수집되는 상기 특권 계정 사용자별 행위 로그 정보를 이용하여, 미리 저장된 통제명령에 따라 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행할 수 있다.
즉, 사전에 상기 패스워드 관리 시스템의 승인 관리자 또는 서버의 관리자에 의해서 특권 계정 사용자 및 서버 별로 통제명령이 지정될 수 있다. 지정된 통제명령에 의거하여, 특권 계정 사용자가 행하는 명령에 대한 통제를 수행할 수 있다.
또한, 본 발명의 일 실시예에 따른 패스워드 관리 시스템은 패스워드 관리 시스템 또는 데이터베이스의 장애 시 새롭게 발급된 접속 패스워드 정보가 유실될 우려가 있고, 이로 인해 상기 패스워드 관리 시스템을 통해서 관리되는 서버의 접속에 문제가 발생하는 것이 방지하기 위하여,
상술한 바와 같이, 접속 패스워드의 생성 및 발급 시 접속 패스워드를 암호화하여 데이터베이스화하여 저장 및 관리할 수 있으며, 데이터베이스를 인증 수단(일 예를 들자면, 인증서 등)에 의해서 암호화 백업하는 것이 바람직하다.
이를 통해서, 패스워드 관리 시스템 또는 데이터베이스의 장애가 발생할 경우, 최종 백업된 데이터베이스를 인증 수단을 통해 복구하여 지속적인 관리가 이루어질 수 있다.
즉, 다시 말하자면, 본 발명의 일 실시예에 따른 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법은, 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속 시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전에 통제하고, 생성된 패스워드를 자동 저장하여 관리함으로써, 접근 보안을 강화할 수 있어 보안 사고 발생을 미연에 방지할 수 있는 효과가 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 1차 접속 인증부
200 : 2차 접속 인증부
300 : 패스워드 요청 승인 판단부
400 : 패스워드 발급부
500 : 데이터베이스부
600 : 정보 수집부
700 : 통제부

Claims (14)

  1. 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전 통제하고, 생성된 패스워드를 자동 저장하여 관리하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법에 있어서,
    특권 계정 사용자가 패스워드 관리 시스템에 접속하기 위해, 아이디(ID)와 패스워드(Password)를 입력하는 1차 접속 인증 단계(S100);
    상기 1차 접속 인증 단계(S100)에서 입력된 아이디와 패스워드를 통해, 상기 패스워드 관리 시스템에 접속이 가능할 경우, OTP(One Time Password) 코드를 생성받아 입력하는 2차 접속 인증 단계(S200);
    상기 2차 접속 인증 단계(S200)에서 입력된 OTP 코드가 상기 패스워드 관리 시스템에서 생성한 OTP 코드와 일치되는지 판단하는 OTP 코드 판단 단계(S300);
    상기 OTP 코드 판단 단계(S300)에 의해 상기 특권 계정 사용자의 접속이 허용되는 경우, 상기 특권 계정 사용자가 접속하고자 하는 서버에 대한 접속 패스워드를 요청하는 패스워드 요청 단계(S400);
    패스워드 요청 승인 판단부가 상기 패스워드 요청 단계(S400)에 의한 접속 패스워드 요청 정보에 따라, 기수집된 상기 특권 계정 사용자의 행위 로그(log)를 기반으로 상기 특권 계정 사용자의 서버로의 접근 승인 여부를 판단하는 승인 여부 판단 단계(S500);
    상기 승인 여부 판단 단계(S500)에 의해 상기 특권 계정 사용자의 서버로의 접속이 허용될 경우, 접속 패스워드가 생성되어 상기 특권 계정 사용자에게 전달되는 패스워드 발급 단계(S600); 및
    상기 특권 계정 사용자가 전달받은 접속 패스워드를 이용하여 서버에 접속하는 접속 단계(S700);
    를 포함하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  2. 제 1항에 있어서,
    상기 패스워드 관리 시스템을 이용한 패스워드 변경 방법은
    상기 1차 접속 인증 단계(S100)를 수행하고 난 후,
    상기 1차 접속 인증 단계(S100)에 의해 입력받은 아이디에 대한 패스워드의 일치 여부를 판단하여, 상기 패스워드 관리 시스템으로의 로그인 허용 가능 여부를 판단하는 로그인 가능 판단 단계(S110);
    를 더 수행하는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  3. 제 1항에 있어서,
    상기 2차 접속 인증 단계(S200)는
    특권 계정 사용자가 소지하고 있는 단말기와 NFC(Near Field Communication) 카드를 이용하여, 상기 NFC 카드를 상기 단말기에 인식(tagging)시켜 상기 단말기에서 OTP 코드가 생성되는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  4. 제 1항에 있어서,
    상기 패스워드 발급 단계(S600)는
    기설정된 패스워드 생성 규칙에 의해 상기 접속 패스워드를 생성하는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  5. 제 1항에 있어서,
    패스워드 관리 시스템을 이용한 패스워드 변경 방법은
    상기 패스워드 발급 단계(S600)를 수행하고 난 후,
    상기 특권 계정 사용자의 승인 이력 정보 및 접속 패스워드 발급 이력을 암호화하고 데이터베이스화하여, 저장 및 관리하는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  6. 제 1항에 있어서,
    상기 서버는
    전송받은 상기 접속 패스워드와, 상기 특권 계정 사용자가 상기 접속 단계(S700)에 의해 입력한 접속 패스워드와의 일치 여부를 판단하여, 일치하는 경우에만 상기 특권 계정 사용자의 서버 접속을 허용하는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  7. 제 1항에 있어서,
    상기 패스워드 관리 시스템을 이용한 패스워드 변경 방법은
    상기 접속 단계(S700)를 수행하고 난 후,
    상기 특권 계정 사용자가 상기 서버에 접속하고 난 후 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 저장하는 로그 저장 단계(S800); 및
    상기 로그 저장 단계(S800에 의해 저장되는 상기 특권 계정 사용자의 행위 로그를 이용하여, 기저장된 통제명령에 따라 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행하는 통제 단계(S900);
    를 더 포함하여 이루어지는 것을 특징으로 하는 패스워드 관리 시스템을 이용한 패스워드 변경 방법.
  8. 특권 계정(Privileged Identity) 사용자가 다양한 서버에 접속시마다 접근 가능한 패스워드를 자동 생성하여, 특권 계정 사용자의 접근을 사전 통제하고, 생성된 패스워드를 자동 저장하여 관리하는 패스워드 관리 시스템에 있어서,
    특권 계정 사용자별로 아이디와 패스워드를 저장 및 관리하며, 상기 특권 계정 사용자가 아이디와 패스워드를 입력할 경우, 상기 아이디에 대한 패스워드의 매칭 여부를 판단하여, 로그인 허용 가능 여부를 판단하는 1차 접속 인증부(100);
    상기 특권 계정 사용자가 소지하고 있는 NFC(Near Field Communication) 카드를 단말기에 인식시켜 OTP(One Time Password) 코드를 생성할 경우, 동일한 정보를 이용하여 확인용 OTP 코드를 생성하며, 상기 특권 계정 사용자가 OTP 코드를 입력할 경우, 확인용 OTP 코드와 일치 여부를 판단하는 2차 접속 인증부(200);
    상기 1차 접속 인증부(100)와 2차 접속 인증부(200)를 통해서 상기 특권 계정 사용자의 접속이 허용되고, 상기 특권 계정 사용자가 접속하고자 하는 서버에 대한 접속 패스워드를 요청할 경우, 상기 특권 계정 사용자의 승인 여부를 판단하는 패스워드 요청 승인 판단부(300); 및
    상기 패스워드 요청 승인 판단부(300)에 의해 상기 특권 계정 사용자의 서버로의 접속이 승인될 경우, 접속 패스워드를 생성하며, 상기 특권 계정 사용자에게 전송하는 패스워드 발급부(400);
    를 포함하며,
    상기 서버는
    상기 패스워드 발급부(400)로부터 상기 접속 패스워드가 전송될 때마다, 접속 가능한 패스워드를 업데이트하여 저장 및 관리하고,
    상기 특권 계정 사용자가 접속을 위해 상기 접속 패스워드를 입력할 경우, 일치 여부를 판단하여 일치하는 경우에만 상기 특권 계정 사용자의 서버 접속을 허용하되,
    상기 패스워드 요청 승인 판단부(300)는
    기수집된 상기 특권 계정 사용자의 행위 로그(log)를 기반으로 상기 특권 계정 사용자의 서버로의 접근 승인 여부를 판단하는 것을 특징으로 하는 패스워드 관리 시스템.
  9. 제 8항에 있어서,
    상기 패스워드 발급부(400)는
    기설정된 패스워드 생성 규칙에 의해 상기 접속 패스워드를 생성하는 것을 특징으로 하는 패스워드 관리 시스템.
  10. 제 8항에 있어서,
    상기 패스워드 관리 시스템은
    상기 특권 계정 사용자의 승인 이력 정보 및 접속 패스워드 발급 이력을 상기 특권 계정 사용자별로 암호화하고 데이터베이스화하여 저장 및 관리하는 데이터베이스부(500);
    를 더 포함하여 구성되는 것을 특징으로 하는 패스워드 관리 시스템.
  11. 제 8항에 있어서,
    상기 패스워드 발급부(400)는
    생성한 상기 접속 패스워드를 상기 특권 계정 사용자가 접속하고자 하는 서버로 전송하는 것을 특징으로 하는 패스워드 관리 시스템.
  12. 삭제
  13. 제 11항에 있어서,
    상기 패스워드 관리 시스템은
    상기 특권 계정 사용자가 상기 서버에 접속하고 난 후, 입력하는 명령 행위에 따라 발생하는 행위 로그(log)를 수집하여 저장 및 관리하는 정보 수집부(600);
    를 더 포함하여 구성되는 것을 특징으로 하는 패스워드 관리 시스템.
  14. 제 13항에 있어서,
    상기 패스워드 관리 시스템은
    상기 정보 수집부(600)로 수집되는 상기 특권 계정 사용자별 행위 로그 정보를 이용하여, 기저장된 통제명령에 따라 상기 특권 계정 사용자로부터 입력되는 명령 행위에 대한 통제를 수행하는 통제부(700);
    를 더 포함하여 구성되는 것을 특징으로 하는 패스워드 관리 시스템.
KR1020160101001A 2016-08-09 2016-08-09 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법 KR101689848B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160101001A KR101689848B1 (ko) 2016-08-09 2016-08-09 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160101001A KR101689848B1 (ko) 2016-08-09 2016-08-09 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법

Publications (1)

Publication Number Publication Date
KR101689848B1 true KR101689848B1 (ko) 2016-12-27

Family

ID=57736820

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160101001A KR101689848B1 (ko) 2016-08-09 2016-08-09 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법

Country Status (1)

Country Link
KR (1) KR101689848B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645249A (zh) * 2021-08-17 2021-11-12 杭州时趣信息技术有限公司 一种服务器密码管控方法、系统及存储介质
CN114629716A (zh) * 2022-03-31 2022-06-14 广东电网有限责任公司 一种用户密码重置方法及装置
CN115001800A (zh) * 2022-05-30 2022-09-02 上海格尔安全科技有限公司 密码动态更换方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807831B1 (ko) 2001-12-29 2008-02-27 엘지엔시스(주) 패스워드 일괄 변경 방법
KR20130123339A (ko) * 2012-05-02 2013-11-12 주식회사 시큐브 이중 인증 로그인 시스템
KR101627078B1 (ko) * 2016-01-05 2016-06-03 에스지앤 주식회사 패스워드 관리 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100807831B1 (ko) 2001-12-29 2008-02-27 엘지엔시스(주) 패스워드 일괄 변경 방법
KR20130123339A (ko) * 2012-05-02 2013-11-12 주식회사 시큐브 이중 인증 로그인 시스템
KR101627078B1 (ko) * 2016-01-05 2016-06-03 에스지앤 주식회사 패스워드 관리 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645249A (zh) * 2021-08-17 2021-11-12 杭州时趣信息技术有限公司 一种服务器密码管控方法、系统及存储介质
CN114629716A (zh) * 2022-03-31 2022-06-14 广东电网有限责任公司 一种用户密码重置方法及装置
CN115001800A (zh) * 2022-05-30 2022-09-02 上海格尔安全科技有限公司 密码动态更换方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
US20230245019A1 (en) Use of identity and access management for service provisioning
US11831642B2 (en) Systems and methods for endpoint management
EP1764978B1 (en) Attested identities
CN108351771B (zh) 维持对于在部署到云计算环境期间的受限数据的控制
US10154036B2 (en) Authorization delegation system, control method, authorization server, and storage medium
CN111064718B (zh) 一种基于用户上下文及策略的动态授权方法和系统
US11245704B2 (en) Automatically executing responsive actions based on a verification of an account lineage chain
US10958670B2 (en) Processing system for providing console access to a cyber range virtual environment
KR101689848B1 (ko) 패스워드 관리 시스템 및 이를 이용한 패스워드 변경 방법
EP3704622B1 (en) Remote locking a multi-user device to a set of users
US20230362263A1 (en) Automatically Executing Responsive Actions Upon Detecting an Incomplete Account Lineage Chain
KR20180096457A (ko) 인증 관리 방법 및 시스템
CN102571874A (zh) 一种分布式系统中的在线审计方法及装置
US10924481B2 (en) Processing system for providing console access to a cyber range virtual environment
CN114157438A (zh) 网络设备管理方法、装置及计算机可读存储介质
KR101651563B1 (ko) 사용 이력 기반의 인증코드 관리 시스템 및 그 방법
JP2010122776A (ja) 特権id管理システム
KR20190067138A (ko) 인증 관리 방법 및 시스템
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
KR102110815B1 (ko) 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
CA3201945A1 (en) User management system for computing support
US20200244646A1 (en) Remote access computer security
KR20190138953A (ko) 인증변수를 이용한 사용자 인증 시스템 및 그 방법
CN105827564A (zh) 一种信息管理方法及系统
TWI773025B (zh) 設備帳號使用安全、監控與管理終端化之流程及方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 4