KR101732016B1 - Security communication method - Google Patents

Security communication method Download PDF

Info

Publication number
KR101732016B1
KR101732016B1 KR1020170007154A KR20170007154A KR101732016B1 KR 101732016 B1 KR101732016 B1 KR 101732016B1 KR 1020170007154 A KR1020170007154 A KR 1020170007154A KR 20170007154 A KR20170007154 A KR 20170007154A KR 101732016 B1 KR101732016 B1 KR 101732016B1
Authority
KR
South Korea
Prior art keywords
key
terminal
server
authentication
communication
Prior art date
Application number
KR1020170007154A
Other languages
Korean (ko)
Inventor
고필주
Original Assignee
(주)지란지교시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교시큐리티 filed Critical (주)지란지교시큐리티
Priority to KR1020170007154A priority Critical patent/KR101732016B1/en
Application granted granted Critical
Publication of KR101732016B1 publication Critical patent/KR101732016B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L67/26
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

An encryption communication method is disclosed. The encryption communication method performed in a server device according to an aspect of the present invention includes the steps of: performing user authentication with regard to a connection terminal; transmitting a generated server key to a preset authentication terminal to correspond to an authenticated user if the user authentication is successful; receiving a local key from the authentication terminal; and generating an encryption key to be used later in data communication with the connection terminal by combining the server key with the local key. Accordingly, the present invention can enhance security by preventing the encryption key from being exposed in a communication process.

Description

암호화 통신 방법{Security communication method}Security communication method [0001]

본 발명은 통신 과정에서 키에 대한 노출이 없도록 하는 암호화 통신 방법에 관한 것이다.The present invention relates to a cryptographic communication method for preventing a key from being exposed in a communication process.

인터넷을 비롯한 유무선 통신의 사용이 급속히 확대됨에 따라 통신네트워크의 보안문제는 국가, 기업, 금융상의 중요기밀 보호 및 개인의 사생활 보호 측면에서 그 중요성이 점점 더 증대되고 있다. As the use of wired and wireless communication including the Internet is rapidly expanding, the security problems of the communication network are becoming more and more important in terms of protection of important confidentiality in the state, enterprise, and finance and personal privacy protection.

일반적으로 사용되는 통신 보안 방식으로는 네트워크를 이용한 통신 시 전송하는 데이터를 암호화하는 방식이 주로 이용되고 있다. 이를 위해 송신측과 수신측간에는 어떠한 방식으로 데이터를 암호화하고 복고화할 것인지에 대해 미리 약속된다.A commonly used communication security method is a method of encrypting data to be transmitted in a communication using a network. For this purpose, a promise is made between the transmitting side and the receiving side about how to encrypt and retrofit the data.

종래의 서버와 클라이언트간의 암호화 방식은 주로 서버측에서 접속된 클라이언트에 대한 인증을 수행하고, 인증된 클라이언트에게 암호키를 제공하는 방식이 이용되고 있다. 이에 따르면 통신 구간에서 암,복호화에 사용되는 키(key) 값이 그대로 노출됨으로 인해, 보안 사고가 발생될 소지가 있다.Conventionally, an encryption method between a server and a client is mainly performed by performing authentication for a client connected at a server side and providing an encryption key to an authenticated client. According to this, since the key value used for encryption and decryption is directly exposed in the communication section, a security accident may occur.

대한민국 공개특허 제10-2012-0087550 (공개일자 2012년08월07일) 암호 통신 방법 및 이를 이용한 암호 통신 시스템Korean Patent Laid-Open No. 10-2012-0087550 (public date August 07, 2012), a cryptographic communication method and a cryptographic communication system using the same

따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 통신 과정에서 암호화키에 대한 노출이 없도록 하여 보안을 강화하는 암호 통신 방법을 제공하기 위한 것이다. SUMMARY OF THE INVENTION Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and an object of the present invention is to provide a cryptographic communication method for enhancing security by preventing exposure of an encryption key during a communication process.

본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.Other objects of the present invention will become more apparent through the following preferred embodiments.

본 발명의 일 측면에 따르면, 서버 장치에서 수행되는 암호화 통신 방법에 있어서, 접속단말에 대한 사용자 인증을 수행하는 단계; 상기 사용자 인증이 성공되면, 인증된 사용자에 대응되도록 미리 설정된 인증단말로 생성된 서버키를 전송하는 단계; 상기 인증단말로부터 로컬키를 수신하는 단계; 및 차후 상기 접속단말과 데이터 통신시에 사용하기 위한 암호화키를 상기 서버키 및 상기 로컬키를 조합하여 생성하는 단계를 포함하는 암호화 통신 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.According to an aspect of the present invention, there is provided an encrypted communication method performed in a server device, the method comprising: performing user authentication on an access terminal; If the user authentication is successful, transmitting a server key generated in a preset authentication terminal to correspond to an authenticated user; Receiving a local key from the authentication terminal; And a step of generating an encryption key for use in data communication with the access terminal at a later time in combination with the server key and the local key, and a recording medium on which a program for executing the method is provided .

여기서, 상기 접속단말로부터의 사용자 인증 요청은 웹을 이용한 통신으로 수신하고, 상기 서버키는 푸시(Push) 방식으로 상기 인증단말로 전송할 수 있다.Here, the user authentication request from the access terminal may be received by communication using the web, and the server key may be transmitted to the authentication terminal in a push manner.

또한, 상기 로컬키는 상기 서버키로 암호화된 상태로 수신될 수 있다.Also, the local key may be received encrypted with the server key.

또한, 상기 사용자 인증이 성공되면, 페이크키를 생성하여 상기 접속단말로 제공하는 단계를 포함하되, 상기 접속단말로부터 상기 페이크키를 이용한 암호화데이터가 수신되는 경우, 상기 접속단말을 비정상 단말로 인식 처리할 수 있다.And generating a fake key and providing the fake key to the access terminal when the user authentication is successful, wherein when the encrypted data using the fake key is received from the access terminal, the access terminal is recognized as an abnormal terminal can do.

또한, 상기 사용자 인증이 성공되면, 페이크키를 생성하여 상기 접속단말로 제공하는 단계를 포함하되, 차후 상기 접속단말로부터 상기 페이크키를 이용한 데이터통신이 시도되면, 상기 암호화키를 갱신하는 과정을 수행하는, 암호화 통신 방법.Generating a fake key and providing the fake key to the access terminal when the user authentication is successful; and when the data communication using the fake key is attempted from the access terminal in the future, updating the encryption key is performed The encrypted communication method.

또한, 상기 암호화키에는 상기 인증단말의 맥주소(MAC address)가 포함될 수 있다.In addition, the encryption key may include a MAC address of the authentication terminal.

또한, 상기 인증단말과 미리 약속된 규칙에 따라 통신 순번, 통신 일시 중 적어도 어느 하나를 이용하여 상기 서버키 및 로컬키의 조합 방식 또는 추가키를 결정하여 상기 암호화키를 생성할 수 있다.Also, the encryption key may be generated by determining a combination scheme of the server key and the local key or an additional key by using at least one of a communication order number and a communication date and time in accordance with a predetermined rule with the authentication terminal.

또한, 상기 인증단말로부터 주기적으로 새로운 로컬키를 수신하며, 상기 암호화키를 이용한 상기 접속단말과의 통신량이 미리 설정된 임계값 이상이 되는 경우 새로운 서버키를 생성하여 상기 인증 단말로 제공할 수 있다.In addition, a new local key is periodically received from the authentication terminal, and a new server key can be generated and provided to the authentication terminal when the amount of communication with the access terminal using the encryption key becomes a preset threshold value or more.

본 발명에 따르면, 서버와 단말간의 인증결과로서 제공되는 암호화키가 통신 과정에서 노출되지 않으므로 보안을 유지할 수 있게 된다.According to the present invention, since the encryption key provided as the authentication result between the server and the terminal is not exposed in the communication process, security can be maintained.

도 1은 본 발명의 일 실시예에 따른 암호화 통신 과정을 도시한 흐름도.
도 2는 본 발명의 일 실시예에 따른 인증단말과 다른 접속단말을 이용한 사용자 인증 절차를 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 서버 장치에서 수행되는 페이크키를 이용한 접속단말 인증 과정을 도시한 흐름도.
도 4는 본 발명의 일 실시예에 따른 서버키 및 로컬키를 이용한 암호화키 생성 규칙에 대한 정보를 도시한 테이블.
도 5는 본 발명의 일 실시예에 따른 서버 장치에서 수행되는 암호화키 갱신 과정을 도시한 흐름도.1 is a flowchart illustrating an encryption communication process according to an embodiment of the present invention;
2 is a flowchart illustrating a user authentication procedure using an authentication terminal and another access terminal according to an embodiment of the present invention;
3 is a flowchart illustrating an access terminal authentication process using a fake key performed in a server apparatus according to an exemplary embodiment of the present invention.
4 is a table showing information on an encryption key generation rule using a server key and a local key according to an embodiment of the present invention;
5 is a flowchart illustrating an encryption key update process performed in a server apparatus according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 후술될 제1 임계값, 제2 임계값 등의 용어는 실질적으로는 각각 상이하거나 일부는 동일한 값인 임계값들로 미리 지정될 수 있으나, 임계값이라는 동일한 단어로 표현될 때 혼동의 여지가 있으므로 구분의 편의상 제1, 제2 등의 용어를 병기하기로 한다. The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, terms such as a first threshold value, a second threshold value, and the like which will be described later may be previously designated with threshold values that are substantially different from each other or some of which are the same value, Because there is room, the terms such as the first and the second are to be mentioned for convenience of division.

본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms "comprises" or "having" and the like refer to the presence of stated features, integers, steps, operations, elements, components, or combinations thereof, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

또한, 각 도면을 참조하여 설명하는 실시예의 구성 요소가 해당 실시예에만 제한적으로 적용되는 것은 아니며, 본 발명의 기술적 사상이 유지되는 범위 내에서 다른 실시예에 포함되도록 구현될 수 있으며, 또한 별도의 설명이 생략될지라도 복수의 실시예가 통합된 하나의 실시예로 다시 구현될 수도 있음은 당연하다.It is to be understood that the components of the embodiments described with reference to the drawings are not limited to the embodiments and may be embodied in other embodiments without departing from the spirit of the invention. It is to be understood that although the description is omitted, multiple embodiments may be implemented again in one integrated embodiment.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일하거나 관련된 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

도 1은 본 발명의 일 실시예에 따른 암호화 통신 과정을 도시한 흐름도이다.1 is a flowchart illustrating an encryption communication process according to an embodiment of the present invention.

도 1을 참조하면, 서버 장치(30)는 사용자 인증이 성공되면, 서버키를 생성한다(S10). 서버와 클라이언트간 암호화 통신에 관한 것으로, 클라이언트측 즉 사용자의 단말장치(이하에서는 인증단말(10)이라 칭함)로부터의 접속에 따라, 서버 장치(30)는 사용자 인증(예를 들어, 아이디/패스워드를 이용한 로그인 등)을 처리하고, 인증이 성공되면 유일한 키값인 서버키를 생성하는 것이다. Referring to FIG. 1, when the user authentication is successful, the server device 30 generates a server key (S10). (Hereinafter, referred to as an authentication terminal 10), the server device 30 performs a user authentication (for example, an ID / password And the like), and when the authentication is successful, a server key, which is a unique key value, is generated.

그리고, 서버 장치(30)는 서버키를 인증단말(10)로 제공한다(S20). 여기서 일례에 따르면, 인증단말(10)이 인터넷을 통한 웹(web) 접속(예를 들어, http 프로토콜을 이용)하더라도, 서버 장치(30)는 서버키를 푸시(push) 방식으로 인증단말(10)에게 제공할 수 있다. 서버 장치(30)는 사용자 회원 가입시 인증단말(10)에 대한 식별정보(예를 들어, 전화번호 또는 맥주소(MAC address) 또는 미리 설치된 애플리케이션프로그램에 대한 식별정보 등)를 등록받고, 해당 정보를 이용하여 서버키를 푸시 방식으로 제공하는 것이다. 푸시(push)란 인터넷에서 클라이언트 측 사용자의 검색 조작에 의하지 않고 서버의 작용에 의해서 서버상에 있는 정보를 클라이언트로 자동 배포(전송)하는 것을 말하는 것으로, 이는 당업자에게는 자명할 것이므로 더욱 상세한 설명은 생략한다. 다시 말하자면, 서버 장치(30)는 인증단말(10)로부터의 사용자 인증 요청은 웹을 이용한 통신으로 수신하고, 서버키는 푸시 방식으로 인증단말(10)로 전송하는 것이다. 이에 따르면 서버 장치(30)와 인증단말(10)간의 웹을 통한 통신과정에서는 서버키가 노출되지 않게 되어 보안을 유지할 수 있게 된다. Then, the server device 30 provides the server key to the authentication terminal 10 (S20). According to an example here, even if the authentication terminal 10 has a web connection (for example, using the http protocol) via the Internet, the server device 30 can transmit the server key in a push manner to the authentication terminal 10 ). The server device 30 registers identification information (e.g., a telephone number or a MAC address or identification information on an application program that is installed in advance) with respect to the authentication terminal 10 at the time of user registration, To provide the server key in a push manner. Push refers to the automatic distribution (transmission) of information on the server to the client by the action of the server, regardless of the retrieval operation of the client side user on the Internet, which will be obvious to those skilled in the art, do. In other words, the server device 30 receives the user authentication request from the authentication terminal 10 via communication using the Web, and transmits the server key to the authentication terminal 10 in a push manner. According to this, in the communication process between the server device 30 and the authentication terminal 10 through the web, the server key is not exposed and the security can be maintained.

인증단말(10)은 로컬키를 생성하고(S30), 이를 서버 장치(30)로 제공하는데(S50), 일례에 따르면 통신과정에서 로컬키가 노출되는 것을 방지하기 위해, 인증단말(10)은 수신된 서버키를 암호키로 이용하여 생성된 로컬키를 암호화하고(S40), 이를 서버 장치(30)로 제공할 수 있다.The authentication terminal 10 generates a local key (S30) and provides it to the server device 30 (S50). According to one example, in order to prevent the local key from being exposed in the communication process, the authentication terminal 10 The local key generated by using the received server key as an encryption key is encrypted (S40), and the encrypted local key is provided to the server device 30. [

이후, 서버 장치(30)와 인증단말(10)은 서버키와 로컬키를 조합하여 암호화키를 생성하고, 이를 서로간의 데이터 통신시에 데이터 암호화/복호화에 이용한다. Thereafter, the server device 30 and the authentication terminal 10 generate an encryption key by combining the server key and the local key, and use it for data encryption / decryption at the time of data communication with each other.

본 실시예에 따르면, 서버 장치(30)와 인증단말(10)간의 웹 방식의 통신 과정에서는 서버키가 노출되지 않으며(푸시 방식을 이용하는 경우), 또한 로컬키도 노출되지 않은 서버키로 암호화되기 때문에, 두 장치간의 암호화 정보가 노출되지 않아 보안을 유지할 수 있게 된다.According to the present embodiment, since the server key is not exposed in the web-based communication process between the server device 30 and the authentication terminal 10 (when the push method is used) and the local key is also encrypted with the unexposed server key , The encryption information between the two devices is not exposed and the security can be maintained.

그리고, 상술한 바와 같이 서버 장치(30)는 서버키를 항상 미리 설정된 단말장치(즉 인증단말(10))로만 푸시로 제공하게 되는 경우, 정상적인 사용자 또는 사용자 인증 정보(예를 들어 로그인 정보)를 취득한 해커가 인증단말(10)이 아닌 다른 단말장치를 이용하여 서버 장치(30)로 사용자 인증을 정상적으로 수행하더라도, 서버키를 취득할 수 없게 된다. 이를 도면을 참조하여 설명하고자 한다.As described above, when the server device 30 always pushes the server key to the predetermined terminal device (that is, the authentication terminal 10) only, the server device 30 transmits normal user or user authentication information (for example, login information) Even if the acquired hacker normally performs the user authentication with the server device 30 using the terminal device other than the authentication terminal 10, the server key can not be acquired. This will be described with reference to the drawings.

도 2는 본 발명의 일 실시예에 따른 인증단말(10)과 다른 접속단말을 이용한 사용자 인증 절차를 도시한 흐름도이다.2 is a flowchart illustrating a user authentication procedure using an authentication terminal 10 and another access terminal according to an embodiment of the present invention.

도 2를 참조하면, 사용자 인증 정보를 보유한 사용자(정상 사용자 또는 로그인정보를 취득한 해커 등)가 단말장치(접속단말(20)이라 칭함)를 이용하여 서버 장치(30)로 사용자 인증 및 서버키를 요청하면(S210), 서버 장치(30)는 사용자 인증을 수행한다.2, a user who has user authentication information (a normal user or a hacker who has acquired login information) uses the terminal device (referred to as access terminal 20) to transmit user authentication and a server key to the server device 30 Upon request (S210), the server device 30 performs user authentication.

상술한 바와 같이 접속단말(20)의 사용자는 사용자 인증 정보를 보유하고 있으므로, 사용자 인증을 정상적으로 처리할 것이다. 따라서, 서버 장치(30)는 사용자 인증이 성공되면, 서버키를 생성한다(S220). As described above, since the user of the access terminal 20 holds the user authentication information, the user authentication will be processed normally. Accordingly, when the user authentication is successful, the server device 30 generates a server key (S220).

다만, 서버 장치(30)는 생성된 서버키를 접속단말(20)이 아닌 해당 사용자에 대응되도록 미리 설정된 인증단말(10)에게 푸시로 제공한다(S320).However, the server device 30 pushes the generated server key to the authentication terminal 10 set in advance so as to correspond to the user other than the access terminal 20 (S320).

따라서, 접속단말(20)은 사용자 인증은 성공하였으나, 서버키를 취득할 수 없어, 서버 장치(30)와의 암호화 통신을 수행할 수 없게 되는 것이다. Thus, the access terminal 20 succeeds in user authentication, but can not acquire the server key, and can not perform encrypted communication with the server device 30. [

본 실시예에 따르면, 사용자 인증 정보가 존재하더라도 인증단말(10)을 보유하고 있지 않으면 암호화키를 생성하지 못하여 서버 장치(30)와 데이터 통신을 수행할 수 없게 되므로, 사용자 인증 정보가 노출되더라도 보안을 유지할 수 있다.According to the present embodiment, even if user authentication information exists, if the authentication terminal 10 is not held, the encryption key can not be generated and data communication with the server 30 can not be performed. Therefore, even if the user authentication information is exposed, Lt; / RTI >

도 3은 본 발명의 일 실시예에 따른 서버 장치에서 수행되는 페이크키를 이용한 접속단말 인증 과정을 도시한 흐름도이다.3 is a flowchart illustrating an access terminal authentication process using a fake key performed in a server apparatus according to an exemplary embodiment of the present invention.

도 3을 참조하면, 사용자 인증이 성공된 경우, 서버 장치(30)는 접속단말에게는 페이크키를 생성하여 제공한다(S310). 페이크키(face key)는 말그대로 속이기 위한 키값으로, 실제 암호화키에 이용되는 서버키는 인증단말(10)에게 제공하고, 현재 사용자 인증을 요청한 접속단말에게는 페이크키를 제공하는 것이다.Referring to FIG. 3, when the user authentication is successful, the server device 30 generates and provides a fake key to the access terminal (S310). The face key is a key value for deceiving the user. The server key used for the actual encryption key is provided to the authentication terminal 10, and the access terminal requesting the user authentication is provided with a fake key.

접속단말로부터 데이터가 수신되면(S320), 서버 장치(30)는 수신된 데이터가 페이크키를 이용하여 암호화되었는지 여부를 확인한다(S330). When data is received from the access terminal (S320), the server device 30 confirms whether the received data is encrypted using the fake key (S330).

확인 결과, 페이크키를 이용한 암호화가 수행된 경우, 접속단말을 비정상 단말로 인식 처리한다(S340). 예를 들어, 사용자 인증은 성공하였으나, 서버키가 아닌 페이크키를 이용하였으므로, 접속단말은 인증단말(10)이 아닌 다른 단말장치라 판단될 수 있으므로, 접속단말을 비정상 단말로 인식하고, 미리 설정된 규정에 따라 처리한다. 예를 들어, 이후의 단말과의 통신은 차단될 수 있으며, 또한 해당 사용자의 사용자 인증 정보가 도용되었을 가능성도 존재한다 판단하여 신고처리(예를 들어, 해당 사용자의 인증단말(10)로 안내)할 수도 있다.If it is determined that encryption using the fake key has been performed, the access terminal is recognized as an abnormal terminal (S340). For example, although the user authentication is successful, since the fake key is used instead of the server key, the access terminal can be determined to be a terminal device other than the authentication terminal 10, so that the access terminal can be recognized as an abnormal terminal, Handle in accordance with regulations. For example, the communication with the terminal may be blocked, and it may be determined that there is a possibility that the user authentication information of the user is also stolen, and the notification processing (for example, guidance to the authentication terminal 10 of the user) You may.

이와 달리 페이크기 아닌 경우, 서버키 및 로컬키를 이용한 암호화키로 수신된 데이터를 복화화 시도한다(S350). 즉 페이크를 사용한 것이 아니라면 접속단말이 정상단말(즉 인증단말(10))일 수 있으므로, 정상적인 암호화키로 복호를 시도하는 것이다.Otherwise, if the data is not a page size, it is attempted to decode the received data with the encryption key using the server key and the local key (S350). In other words, if the fake is not used, the access terminal may be a normal terminal (i.e., the authentication terminal 10), and therefore decryption is attempted using a normal encryption key.

본 실시예에 따르면, 접속단말로 페이크키를 제공함으로 인해, 해당 접속단말에 대한 인증을 수행할 수 있으며, 더욱이 사용자 인증 정보의 도용 여부 등을 판단해볼 수 있게 되어, 더욱 보안을 강화할 수 있게 된다.According to the present embodiment, by providing the fake key to the access terminal, the access terminal can be authenticated, moreover, it can be determined whether or not the user authentication information is stolen, thereby further enhancing security .

이하에서는 서버키 및 로컬키를 이용하여 암호화키를 생성하는 방식에 대해 설명하고자 한다.Hereinafter, a method of generating an encryption key using a server key and a local key will be described.

도 4는 본 발명의 일 실시예에 따른 서버키 및 로컬키를 이용한 암호화키 생성 규칙에 대한 정보를 도시한 테이블이다.4 is a table showing encryption key generation rules using a server key and a local key according to an embodiment of the present invention.

서버 장치(30) 및 인증단말(10) 간에 약속된 서버키 및 로컬키를 이용한 암호화키의 생성은 통신 순번, 통신 일시 등의 미리 약속된 규칙에 의해 그 방식이 달라질 수 있다.The generation of the encryption key using the server key and the local key promised between the server device 30 and the authentication terminal 10 can be changed according to predetermined rules such as a communication order number, a communication date and the like.

도 4에는 통신 순번을 이용한 암호화키 생성 방식이 도시되어 있다. 예를 들어, 서버 장치(30)와 인증단말(10)간의 홀수번째 통신 순번에서는 순서대로 서버키+로컬키가 암호화키로 이용되는 것이며, 짝수번째 통신에서는 로컬키+서버키의 암호화키가 이용될 수 있다. 그리고, 5의 배수 순번에서는 서버키+로컬키+추가키(@)의 암호화키가 생성될 수 있는데, 예를 들어 추가키로는 현재 시간정보(예를 들어, 01시 또는 17시 등과 같은 시단위에 대한 정보), 인증단말(10)의 맥주소(MAC address) 등일 수 있다. FIG. 4 shows an encryption key generation method using communication order numbers. For example, in the odd-numbered communication order between the server device 30 and the authentication terminal 10, the server key + local key is used as an encryption key in order and the encryption key of the local key + server key is used in the even- . In addition, the encryption key of the server key + the local key + the additional key (@) can be generated in the multiple order of 5, for example, the additional key includes the current time information (for example, , A MAC address of the authentication terminal 10, and the like.

본 실시예에 따르면, 서버키와 로컬키의 단순 조합에 비해 상황(순번, 일시 등)에 따라 조합 방식을 가변함으로써, 보다 높은 보안을 유지할 수 있게 된다.According to the present embodiment, compared with the simple combination of the server key and the local key, the combination method can be changed according to the situation (order number, date and time, etc.), so that higher security can be maintained.

그리고, 로컬키 및/또는 서버키는 주기적으로 또는 특정 조건에 따라 갱신될 수 있다. 기본적인 예를 들자면, 한달 또는 반년 등 일정 기간마다 갱신될 수 있으며(갱신시에는 도 1과 같은 절차를 따를 수 있음), 또는 도 3을 참조하여 설명한 바와 같은 사용자 인증 정보의 도용이 인식되는 시점과 같은 특정 조건에 따라 서버키 또는 로컬키는 갱신될 수 있다. 이에 대한 일례를 도면을 참조하여 설명하기로 한다.And, the local key and / or server key may be updated periodically or according to certain conditions. For example, it can be updated at regular intervals such as a month or a half year (at the time of updating, the procedure as shown in Fig. 1 can be followed), or at the time when the fraud of user authentication information as described with reference to Fig. 3 is recognized The server key or the local key may be updated according to the same specific conditions. An example of this will be described with reference to the drawings.

도 5는 본 발명의 일 실시예에 따른 서버 장치에서 수행되는 암호화키 갱신 과정을 도시한 흐름도이다.5 is a flowchart illustrating an encryption key update process performed in the server apparatus according to an embodiment of the present invention.

인증장치는 주기적으로(예를 들어, 한달 등) 또는 필요하다 판단되는 경우(예를 들어, 바이러스 감염 이력이 존재하는 경우 등) 시 로컬키를 새로이 생성하여 서버 장치(30)로 전송하는 것을 가정한다. It is assumed that the authentication device newly generates a local key at the time of periodic (for example, one month) or when it is determined to be necessary (for example, when a virus infection history exists) do.

도 5를 참조하면, 서버 장치(30)는 인증장치로부터 새로운 로컬키를 수신하면(S510, 이 때에도 서버키 또는 암호화키로 암호화된 상태일 수 있음), 암호화키를 이용한 통신량을 산출한다(S520). 다시 말해 기존 설정된 암호화키를 이용한 인증장치와의 데이터 통신량(통신 패킷량, 통신 횟수, 통신 기간 등을 이용하여 산출될 수 있음)을 산출한다. 5, when the server device 30 receives a new local key from the authentication device (S510, which may also be encrypted with the server key or the encryption key at this time), the server device 30 calculates the amount of communication using the encryption key (S520) . In other words, the amount of data communication (which can be calculated using the amount of communication packets, the number of times of communication, the communication period, etc.) with the authentication device using the existing encryption key is calculated.

산출된 통신량이 미리 설정된 임계값 이상인지 여부를 판단하고(S530), 그 이상인 경우에는 새로운 서버키를 생성함으로써(S540), 암호화키를 갱신한다. 물론 서버 장치(30)는 새로이 생성된 서버키에 대한 정보를 인증단말(10)로 제공한다.It is determined whether the calculated communication amount is equal to or greater than a preset threshold value (S530). If the calculated communication amount is greater than the predetermined threshold value, a new server key is generated (S540), and the encryption key is renewed. Of course, the server device 30 provides information on the newly generated server key to the authentication terminal 10.

정리하자면, 인증단말(10)측에서는 주기적 또는 특정 상황을 인식하여 로컬키를 갱신하고, 서버 장치(30)측에서는 일정한 통신량의 통신이 수행되면 서버키를 갱신하는 것이다. 이에 따라 특정한 상황이나 데이터통신량에 따라 암호화키를 자동 갱신함으로 인해, 암호화키가 노출되더라도 피해를 줄일 수 있어 보안을 강화할 수 있다. To summarize, the authentication terminal 10 periodically or updates the local key by recognizing a specific situation, and the server device 30 updates the server key when communication with a certain amount of communication is performed. Accordingly, since the encryption key is automatically updated according to a specific situation or a data communication amount, even if the encryption key is exposed, damage can be reduced and security can be enhanced.

상술한 본 발명에 따른 암호화 통신 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The encryption communication method according to the present invention can be implemented as a computer-readable code on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording media storing data that can be decoded by a computer system. For example, it may be a ROM (Read Only Memory), a RAM (Random Access Memory), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, or the like. In addition, the computer-readable recording medium may be distributed and executed in a computer system connected to a computer network, and may be stored and executed as a code readable in a distributed manner.

또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that various modifications and changes may be made.

10 : 인증단말
20 : 접속단말
30 : 서버 장치10: Authentication terminal
20:
30: Server device

Claims (9)

서버 장치에서 수행되는 암호화 통신 방법에 있어서,
웹을 통해 접속한 접속단말에 대한 사용자 인증을 수행하는 단계;
상기 사용자 인증이 성공되면, 인증된 사용자에 대응되도록 미리 설정된 인증단말의 식별정보를 이용하여 생성된 서버키를 푸시(push) 방식으로 전송하고, 상기 접속단말에게는 페이크키를 제공하는 단계; 및
상기 인증단말로부터 로컬키를 수신하면, 차후 상기 접속단말과 데이터 통신시에 사용하기 위한 암호화키를 상기 서버키 및 상기 로컬키를 조합하여 생성하는 단계를 포함하되,
상기 접속단말로부터 상기 페이크키를 이용하여 암호화한 데이터가 수신되는 경우, 상기 접속단말과 상기 인증단말이 동일한 장치가 아닌 것으로 인식하여 상기 접속단말과의 통신을 차단하고, 상기 인증단말로 안내메시지를 제공하는, 암호화 통신 방법.
An encryption communication method performed by a server device,
Performing user authentication on an access terminal accessed through the web;
When the user authentication is successful, transmitting a server key generated using identification information of a predetermined authentication terminal so as to correspond to an authenticated user in a push manner, and providing a fake key to the access terminal; And
And generating an encryption key for use in data communication with the access terminal at a later time by combining the server key and the local key upon receiving the local key from the authentication terminal,
When the data encrypted using the fake key is received from the access terminal, the access terminal recognizes that the access terminal and the authentication terminal are not the same device and blocks communication with the access terminal, and transmits the information message to the authentication terminal To provide an encrypted communication method.
삭제delete 청구항 1에 있어서,
상기 로컬키는 상기 서버키로 암호화된 상태로 수신되는, 암호화 통신 방법.
The method according to claim 1,
Wherein the local key is received encrypted with the server key.
삭제delete 삭제delete 청구항 1에 있어서,
상기 암호화키에는 상기 인증단말의 맥주소(MAC address)가 포함되는, 암호화 통신 방법.
The method according to claim 1,
Wherein the encryption key includes a MAC address of the authentication terminal.
청구항 1에 있어서,
상기 인증단말과 미리 약속된 규칙에 따라 통신 순번, 통신 일시 중 적어도 어느 하나를 이용하여 상기 서버키 및 로컬키의 조합 방식 또는 추가키를 결정하여 상기 암호화키를 생성하는, 암호화 통신 방법.
The method according to claim 1,
And the encryption key is generated by determining a combination scheme of the server key and a local key or an additional key using at least one of a communication order number and a communication date and time in accordance with a rule previously agreed with the authentication terminal.
청구항 1에 있어서,
상기 인증단말로부터 주기적으로 새로운 로컬키를 수신하며, 상기 암호화키를 이용한 상기 접속단말과의 통신량이 미리 설정된 임계값 이상이 되는 경우 새로운 서버키를 생성하여 상기 인증 단말로 제공하는, 암호화 통신 방법.
The method according to claim 1,
Periodically receiving a new local key from the authentication terminal and generating a new server key and providing the new server key to the authentication terminal when the amount of communication with the access terminal using the encryption key becomes a preset threshold value or more.
제 1항, 제 3항, 제 6항 내지 제 8항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
9. A recording medium in which a program for performing the method of any one of claims 1, 3, and 8 is recorded so as to be read by a computer.
KR1020170007154A 2017-01-16 2017-01-16 Security communication method KR101732016B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170007154A KR101732016B1 (en) 2017-01-16 2017-01-16 Security communication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170007154A KR101732016B1 (en) 2017-01-16 2017-01-16 Security communication method

Publications (1)

Publication Number Publication Date
KR101732016B1 true KR101732016B1 (en) 2017-05-08

Family

ID=60164165

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170007154A KR101732016B1 (en) 2017-01-16 2017-01-16 Security communication method

Country Status (1)

Country Link
KR (1) KR101732016B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388935B1 (en) * 2012-10-22 2014-04-24 소프트포럼 주식회사 Two channel based user authentication apparatus and method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388935B1 (en) * 2012-10-22 2014-04-24 소프트포럼 주식회사 Two channel based user authentication apparatus and method

Similar Documents

Publication Publication Date Title
US9867051B2 (en) System and method of verifying integrity of software
US20180234426A1 (en) Authorization server, authorization method and non-transitory computer readable medium thereof
CN107483419B (en) Method, device and system for authenticating access terminal by server, server and computer readable storage medium
US8234694B2 (en) Method and apparatus for re-establishing communication between a client and a server
TWI288552B (en) Method for implementing new password and computer readable medium for performing the method
EP3879747A1 (en) Key security management system and method, medium, and computer program
US9769654B2 (en) Method of implementing a right over a content
US10812483B2 (en) Account login method and apparatus
CN112953707A (en) Key encryption method, decryption method, data encryption method and decryption method
JP6740545B2 (en) Information processing device, verification device, information processing system, information processing method, and program
US20170041150A1 (en) Device certificate providing apparatus, device certificate providing system, and non-transitory computer readable recording medium which stores device certificate providing program
US20180053018A1 (en) Methods and systems for facilitating secured access to storage devices
KR20150135032A (en) System and method for updating secret key using physical unclonable function
JP2020507865A (en) Authentication management method and system
KR101407373B1 (en) Method of implementing a state tracking mechanism in a communications session between a server and a client system
JP2005167412A (en) Communication system, communication terminal and server apparatus used in communication system, and connection authentication method used for communication system
KR101379711B1 (en) Method for file encryption and decryption using telephone number
US20130305328A1 (en) Systems and methods for passing password information between users
KR20180113688A (en) Encryption method and system using authorization key of device
KR101001197B1 (en) System and method for log-in control
CN112968910A (en) Replay attack prevention method and device
KR101732016B1 (en) Security communication method
CN109302442B (en) Data storage proving method and related equipment
JP2006277379A (en) Personal information management method
CN105100030B (en) Access control method, system and device

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant