KR20030005468A - Apparatus and Method for Encryption Key Set Verification in Network System - Google Patents

Apparatus and Method for Encryption Key Set Verification in Network System Download PDF

Info

Publication number
KR20030005468A
KR20030005468A KR1020010040773A KR20010040773A KR20030005468A KR 20030005468 A KR20030005468 A KR 20030005468A KR 1020010040773 A KR1020010040773 A KR 1020010040773A KR 20010040773 A KR20010040773 A KR 20010040773A KR 20030005468 A KR20030005468 A KR 20030005468A
Authority
KR
South Korea
Prior art keywords
key set
key
hash value
security device
encryption
Prior art date
Application number
KR1020010040773A
Other languages
Korean (ko)
Other versions
KR100416713B1 (en
Inventor
박도현
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR10-2001-0040773A priority Critical patent/KR100416713B1/en
Publication of KR20030005468A publication Critical patent/KR20030005468A/en
Application granted granted Critical
Publication of KR100416713B1 publication Critical patent/KR100416713B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]

Abstract

PURPOSE: A decoding key group testing apparatus and a method thereof are provided to prevent an invalid key group from being loaded in a security device by loading only valid key group in a memory area. CONSTITUTION: A host(10) transmits various data through a network connected by an ethernet. A key control center(30) generates a key group to be loaded on each security device(20). The key control center(30) acquires a primary Hash value for the generated key group using a MD5 algorithm and decodes a key group generated using a division key. A smart card(40) loads and distributes the key group decoded in the key control center(30) to each security device(20). A security device(20) decodes and transmits the data from the host(10) to an outside. A decoding card section(25) is mounted to the security device(20) and includes a hardware chip for executing a decoding function.

Description

네트워크 시스템의 암호화 키 집합 검증 장치 및 방법{Apparatus and Method for Encryption Key Set Verification in Network System}Apparatus and Method for Encryption Key Set Verification in Network System}

본 발명은 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법에 관한 것으로서, 특히 공인된 MD(Message Digest)5 알고리즘을 이용하여 데이터를 암호화하는 데 사용되는 키 집합에 대한 해쉬(Hash) 값을 생성하고, 해당 해쉬 값을 이용하여 키 집합에 대한 검증을 수행할 수 있도록 하는 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for verifying an encryption key set in a network system, and in particular, generates a hash value for a key set used for encrypting data using an authorized Message Digest (MD) algorithm. The present invention relates to an encryption key set verification apparatus and method of a network system that enables verification of a key set using a corresponding hash value.

일반적으로 네트워크 시스템에서는 검증되지 않은 사용자가 데이터의 내용을 알 수 없도록 하기 위해 데이터를 암호화하여 송수신하는 데, 데이터를 암호화하기 위해서는 여러 가지 암호화 알고리즘이 사용되며, 사용 목적에 따라 암호화 알고리즘의 형태가 결정된다.In general, in a network system, data is encrypted and transmitted to prevent unauthorized users from knowing the contents of the data. Various encryption algorithms are used to encrypt data, and the type of encryption algorithm is determined according to the purpose of use. do.

전술한 바와 같이, 데이터를 암호화하여 송수신하기 위해서는 암호화하는 단계에서 암호화에 사용되는 키 값이 요구되는 데, 이 키 값에 의해 암호화된 데이터를 수신한 시스템에서는 데이터를 암호화할 때 사용된 키 값에 의해 원래의 데이터로 복호화할 수 있다. 즉, 암호화 키 값이 동일한 장비간에는 데이터를 암호화하고 복호화하는 데 동일성이 유지되어 각 장비간에 데이터를 공유할 수 있다.As described above, in order to encrypt and transmit data, a key value used for encryption is required in the encrypting step. In a system receiving data encrypted by the key value, the system receives a key value used when encrypting data. By this, the original data can be decoded. That is, the same encryption key can be used to encrypt and decrypt data between devices having the same encryption key value, so that data can be shared between the devices.

도 1은 종래 네트워크 시스템의 구성을 보인 도로, 이더넷으로 연결된 망을 통하여 데이터를 전송하는 호스트(1)와, 호스트(1)로부터 전달받은 데이터를 암호화하여 외부로 전송하는 보안 장치(3)와, 각 보안 장치(3)에 적재될 키 집합을 생성하고, 분배키를 이용하여 생성된 키 집합을 암호화하는 키 관리 센터(KeyManagement Center이하, KMC라 한다)(5)를 구비하여 이루어진다.1 is a road showing a configuration of a conventional network system, a host 1 for transmitting data through a network connected via Ethernet, a security device 3 for encrypting data transmitted from the host 1 and transmitting it to the outside; A key management center (hereinafter referred to as KMC) 5 which generates a key set to be loaded in each security device 3 and encrypts the key set generated using the distribution key, is provided.

도 2는 종래 네트워크 시스템의 암호화 키 집합 배포 방법을 설명하기 위한 플로우챠트이다.2 is a flowchart for explaining a method for distributing an encryption key set in a conventional network system.

우선, 키 관리 센터(5)에서는 난수 발생기를 이용하여 암호화에 사용되는 키 집합을 생성하고, 생성한 키 집합을 분배키로 암호화한다(S10, S12).First, the key management center 5 generates a key set used for encryption by using a random number generator, and encrypts the generated key set with a distribution key (S10 and S12).

이후에는, 상기한 과정 S12에서 암호화된 키 집합을 보안 장치(3)에 적재하고, 키 집합을 암호화하는 데 사용된 분배키를 전달한다(S14).Thereafter, the encrypted key set is loaded into the security device 3 in the above-described process S12, and the distribution key used to encrypt the key set is transferred (S14).

전술한 바와 같이, 키 관리 센터(5)에서 암호화된 키 집합 및 키 집합을 암호화하는 데 사용된 분배키를 전달받은 보안 장치(3)에서는 분배키를 이용하여 보안 장치(3)에 적재된 암호화된 키 집합을 복호화하고, 복호화된 키 집합에서 암호화에 사용할 키 코드를 하나 선택하여 각 보안 장치(3)에 동일하게 설정한다(S16, S18).As described above, in the security device 3 that has received the encrypted key set and the distribution key used to encrypt the key set in the key management center 5, the encryption device loaded in the security device 3 using the distribution key. The decrypted key set is decrypted, and one key code to be used for encryption is selected from the decrypted key set and set equally to each security device 3 (S16 and S18).

이상에서 살펴본 바와 같이, 종래에는 각 보안 장치(3)로 키 집합을 배포할 때, 키 집합이 유출될 경우를 대비하여 분배키로 키 집합을 암호화하여 각 보안 장치(3)에 적재시키고, 각 보안 장치(3)에서 이를 복호화하는 데, 각 보안 장치(3)에 암호화된 키 집합을 적재시키거나 복호화하는 과정에서 오류가 발생하는 경우에는 유효한 키 집합을 검출할 수가 없게 되어 보안 장치(3) 간의 암호화 키 값을 동일하게 적용하지 못하게 되는 경우가 발생하게 된다.As described above, in the related art, when distributing a set of keys to each security device 3, the key set is encrypted with a distribution key and loaded into each security device 3 in case the key set is leaked. When the device 3 decrypts it, and an error occurs in loading or decrypting the encrypted key set to each security device 3, the valid key set cannot be detected and thus the security device 3 can not be detected. There is a case that the same encryption key value cannot be applied.

전술한 바와 같이, 보안 장치(3) 간에 암호화하는 키가 틀린 경우에는 암호화 데이터도 틀려지기 때문에 암호화를 이용한 네트워크 구성이 불가능하게 되는문제점이 있다.As described above, when the key to encrypt between the security devices 3 is wrong, the encrypted data is also wrong, so that a network configuration using encryption is impossible.

본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 공인된 MD5 알고리즘으로 키 관리 센터에서 키 집합 및 암호화된 키 집합에 대한 해쉬 값을 생성하고, 암호화된 키 집합과 해쉬 값을 각 보안 장치에 배포하여, 각 보안 장치에서 MD5 알고리즘으로 배포받은 암호화된 키 집합에 대한 검증을 수행하여 유효한 키 집합인 경우에만 메모리 영역에 적재시킴으로써, 각 보안 장치로의 키 집합 적재시나 복호화시에 발생하는 오류로 인해 유효하지 못한 키 집합이 보안 장치에 적재되는 것을 방지할 수 있도록 하는 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법을 제공함에 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problem, and generates a hash value for a key set and an encrypted key set in a key management center with an authorized MD5 algorithm, and distributes the encrypted key set and the hash value to each security device. By verifying the encrypted key set distributed by the MD5 algorithm in each security device, and loading it into the memory area only if the key is valid, the error occurs when loading or decrypting the key set to each security device. An object of the present invention is to provide an apparatus and method for verifying an encryption key set of a network system that can prevent an invalid key set from being loaded into a security device.

도 1은 종래 네트워크 시스템의 구성을 보인 도.1 is a diagram showing the configuration of a conventional network system.

도 2는 종래 네트워크 시스템의 암호화 키 집합 배포 방법을 설명하기 위한 플로우챠트.2 is a flowchart for explaining an encryption key set distribution method of a conventional network system.

도 3은 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 장치의 구성을 보인 도.3 is a diagram showing the configuration of an encryption key set verification apparatus of a network system according to the present invention;

도 4는 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 방법을 설명하기 위한 플로우챠트.4 is a flowchart for explaining a method for verifying an encryption key set in a network system according to the present invention;

*** 도면의 주요 부분에 대한 부호의 설명 ****** Explanation of symbols for the main parts of the drawing ***

10. 호스트,20. 보안 장치,10.Host, 20. Security Device,

25. 암호화 카드부,30. 키 관리 센터,25. Encryption card section, 30. Key management center,

40. 스마트 카드40. Smart card

전술한 목적을 달성하기 위한 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 장치는, 이더넷으로 연결된 망을 통하여 데이터를 전송하는 호스트와; 상기 데이터의 암호화 수행에 필요한 키 집합을 생성하고, MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차 해쉬 값을 획득하며, 분배키를 이용하여 상기 키 집합을 암호화하고, 상기 MD5 알고리즘을 이용하여 상기 암호화된 키 집합에 대한 2차 해쉬 값을 획득하는 키 관리 센터와; 상기 키 관리 센터로부터 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 적재받는 스마트 카드와; 상기 스마트 카드로부터 읽어들인 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값에 의거하여 암호화 수행에 필요한 키 집합을 검증하고, 검증이 완료된 키 집합에 의거하여 상기 호스트로부터 전달받은 데이터를 암호화하여 외부로 전송하는 보안 장치와; 상기 보안 장치에 장착되어 상기 검증이 완료된 키 집합이 기억되는 암호화 카드부를 구비하여 이루어진다.An encryption key set verification apparatus of a network system according to the present invention for achieving the above object includes a host for transmitting data through a network connected by Ethernet; Generate a key set necessary to perform encryption of the data, obtain a first hash value for the key set using an MD5 algorithm, encrypt the key set using a distribution key, and use the MD5 algorithm to generate the key set. A key management center for obtaining a secondary hash value for the encrypted key set; A smart card receiving the first hash value, an encrypted key set, and a second hash value from the key management center; Verify the key set necessary for performing encryption based on the primary hash value, the encrypted key set, and the secondary hash value read from the smart card, and encrypt the data received from the host based on the verified key set. A security device for transmitting to the outside; And an encryption card unit mounted in the security device to store the key set for which verification is completed.

여기서, 상기 암호화 카드부는, 보안성을 위해 상기 보안 장치 본체에서 이탈되거나 분해되는 경우 자동적으로 기억된 키 집합이 지워지도록 구성되는 것을 특징으로 한다.Here, the encryption card unit, characterized in that configured to be erased automatically stored in the key set when separated or disassembled from the security device main body for security.

한편, 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 방법은, 암호화에 사용되는 키 집합을 생성하고, MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차 해쉬 값을 획득하는 과정과; 분배키를 이용하여 상기 키 집합을 암호화하고, 상기 MD5 알고리즘을 이용하여 상기 암호화된 키 집합에 대한 2차 해쉬 값을 획득하는 과정과; 스마트 카드에 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 적재하여 각 보안 장치에 배포하는 과정과; 상기 보안 장치에서 상기 스마트 카드에 적재되어 있는 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 읽어들이는 과정과; MD5 알고리즘을 이용하여 상기 스마트 카드로부터 읽어들인 암호화된 키 집합에 대한 2차 해쉬 값을 획득하고, 상기 스마트 카드로부터 읽어들인 2차 해쉬 값과 일치하는 지를 판단하는 과정과; 상기 판단결과 두 값이 일치하는 경우에는 분배키를 이용하여 상기 스마트 카드로부터 읽어들인 암호화된 키 집합을 복호화하여 키 집합을 획득하는 과정과; 상기 MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차해쉬 값을 획득하고, 상기 스마트 카드로부터 읽어들인 1차 해쉬 값과 일치하는 지를 판단하는 과정과; 상기 판단결과 두 값이 일치하는 경우에는 상기 키 집합을 소정 메모리 영역에 적재시키고, 소정 시간 간격으로 상기 키 집합 중에서 암호화에 사용될 키 코드를 선택하여 대치 설정하는 과정을 포함하여 이루어진다.On the other hand, the encryption key set verification method of the network system according to the present invention comprises the steps of generating a key set used for encryption, and using the MD5 algorithm to obtain a first hash value for the key set; Encrypting the key set using a distribution key and obtaining a secondary hash value for the encrypted key set using the MD5 algorithm; Loading the primary hash value, the encrypted key set, and the secondary hash value into a smart card and distributing the same to each security device; Reading, by the security device, a first hash value, an encrypted key set, and a second hash value loaded on the smart card; Obtaining a secondary hash value for the encrypted key set read from the smart card using an MD5 algorithm, and determining whether it matches the secondary hash value read from the smart card; If the two values match, determining a key set by decrypting an encrypted key set read from the smart card using a distribution key; Obtaining a first hash value for the key set by using the MD5 algorithm and determining whether it matches the first hash value read from the smart card; If the two values match, the key set is loaded into a predetermined memory area, and a key code to be used for encryption is selected from the key set at predetermined time intervals to replace the key set.

여기서, 상기 판단결과 두 값이 일치하지 않는 경우에는, 키 관리 센터로부터 키 집합을 다시 배포받는 과정을 더 구비하여 이루어지는 것을 특징으로 한다.Here, if the two values do not match, as a result of the determination, further comprising the step of receiving the key set from the key management center again.

이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예에 따른 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법에 대해서 상세하게 설명한다.Hereinafter, an encryption key set verification apparatus and method of a network system according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 3은 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 장치의 구성을 보인 도로, 호스트(10)와, 보안 장치(20)와, 암호화 카드부(25)와, 키 관리 센터(30)와, 스마트 카드(40)를 구비하여 이루어진다.3 is a road, a host 10, a security device 20, an encryption card unit 25, a key management center 30, showing the configuration of an encryption key set verification device of a network system according to the present invention; The smart card 40 is provided.

이와 같은 구성에 있어서, 호스트(10)는 사용자들이 사용하는 맨 끝단에 위치한 컴퓨터로서 이더넷으로 연결된 망을 통하여 여러 가지 데이터를 전송한다.In such a configuration, the host 10 is a computer located at the far end used by users and transmits various data through a network connected via Ethernet.

키 관리 센터(30)는 각 보안 장치(20)에 적재될 키 집합을 생성하고, MD5 알고리즘을 이용하여 생성된 키 집합에 대한 1차 해쉬 값을 획득하고, 분배키를 이용하여 생성된 키 집합을 암호화한다. 그리고, MD5 알고리즘을 이용하여 암호화된 키 집합에 대한 2차 해쉬 값을 획득한다.The key management center 30 generates a key set to be loaded in each security device 20, obtains a primary hash value for the key set generated by using the MD5 algorithm, and generates a key set generated by using a distribution key. Encrypt Then, the second hash value for the encrypted key set is obtained using the MD5 algorithm.

스마트 카드(40)는 키 관리 센터(30)에서 암호화된 키 집합을 적재하여 각 보안 장치(20)에 배포하기 위한 수단으로 사용되는 저장 장치로, 암호화된 키 집합, 1차 해쉬 값, 2차 해쉬 값이 저장된다.The smart card 40 is a storage device used as a means for loading and distributing an encrypted key set in the key management center 30 to each security device 20. The smart card 40 includes an encrypted key set, a first hash value, and a secondary key. The hash value is stored.

보안 장치(20)는 여러 개의 호스트(10)가 연결되어 있으며, 호스트(10)로부터 전달받은 데이터를 암호화하여 외부로 전송하는 데, 스마트 카드(40)를 통해 키 관리 선테(30)로부터 배포받은 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값에 의거하여 암호화 수행에 필요한 키 집합을 검증하고, 검증된 키 집합을 이용하여 데이터를 암호화한다. 또한, 보안 장치(20)는 보안을 위한 다른 방화벽 기능을 수행하며, 네트워크를 안전하게 구성하는 기본 요소이다.The security device 20 is connected to a plurality of hosts 10, and encrypts the data received from the host 10 and transmits it to the outside, which is distributed from the key management line 30 through the smart card 40 Based on the primary hash value, the encrypted key set, and the secondary hash value, the key set necessary for performing the encryption is verified, and the data is encrypted using the verified key set. In addition, the security device 20 performs other firewall functions for security and is a basic element for safely configuring a network.

암호화 카드부(25)는 보안 장치(20)에 장착되어 암호화 기능을 수행하는 하드웨어 칩으로 구성되어 있다. 이러한, 암호화 카드부(25)에는 보안 장치(20)에서 검증이 완료된 키 집합이 기억되는 데, 보안성을 위해 카드가 본체에서 이탈되거나 분해되는 경우에는 자동적으로 기억된 키 코드 값이 지워지도록 구성되어 있다.The encryption card unit 25 is composed of a hardware chip mounted on the security device 20 to perform an encryption function. The encryption card unit 25 stores the key set that has been verified in the security device 20, and is configured to automatically delete the stored key code value when the card is detached or disassembled from the main body for security. It is.

도 4는 본 발명에 따른 네트워크 시스템의 암호화 키 집합 검증 방법을 설명하기 위한 플로우챠트이다.4 is a flowchart illustrating a method for verifying an encryption key set in a network system according to the present invention.

우선, 키 관리 센터(30)에서는 난수 발생기를 이용하여 암호화에 사용되는 키 집합을 생성한다(S20).First, the key management center 30 generates a set of keys used for encryption by using a random number generator (S20).

상기한 과정 S20에서, 키 관리 센터(30)는 암호화에 사용되는 키 코드를 예를 들어, 100개 생성할 수 있는 데, 그 이유는, 보안 장치(20)에서 하나의 키 값을 암호화 코드로 계속 사용하는 경우에는 암호화 코드가 노출되었을 경우 데이터의 안전을 확보할 수 없기 때문이다. 따라서, 보안 장치(20)에서는 일정한 시간 간격으로 100개의 키 코드 값 중에서 하나를 선택하여 암호화 코드로 적용하게 함으로써, 안보 효율을 높이고 외부에서 네트워크에 침입하더라도 어떤 키를 보안 장치(20)에서 사용하고 있는 지를 알 수 없도록 한다.In the above-described process S20, the key management center 30 may generate 100 key codes used for encryption, for example, because the security device 20 converts one key value into an encryption code. If you keep using it, you can't secure the data if the encryption code is exposed. Therefore, the security device 20 selects one of the 100 key code values at regular time intervals and applies it as an encryption code, thereby increasing security efficiency and using any key even if the security device 20 enters the network from the outside. Do not know if you are.

이후에는 MD5 알고리즘을 이용하여 상기한 과정 S20에서 생성한 키 집합에 대한 16 바이트의 1차 해쉬 값을 획득하고(S22), 분배키를 이용하여 상기한 과정 S20에서 생성한 키 집합을 암호화한다(S24).Subsequently, a primary hash value of 16 bytes for the key set generated in step S20 is obtained using the MD5 algorithm (S22), and the key set generated in the step S20 is encrypted using a distribution key ( S24).

그리고, MD5 알고리즘을 이용하여 상기한 과정 S24에서 암호화된 키 집합에 대한 2차 해쉬 값을 획득한다(S26).In operation S26, a second hash value for the key set encrypted in the process S24 is obtained using the MD5 algorithm.

전술한 바와 같이, 상기한 과정 S22 내지 과정 S26를 통해 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 획득한 키 관리 센터(30)는 스마트 카드(40)에 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 적재하여 각 보안 장치(20)에 배포시킨다(S28).As described above, the key management center 30 having obtained the primary hash value, the encrypted key set, and the secondary hash value through the processes S22 to S26 described above, encrypts the primary hash value and encrypts the smart card 40. The key set and the secondary hash value are loaded and distributed to each security device 20 (S28).

전술한 바와 같이, 키 관리 센터(30)로부터 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값이 적재된 스마트 카드(40)를 배포받은 각 보안 장치(20)는 스마트 카드 소켓부(미도시)를 통해 스마트 카드(40)에 적재되어 있는 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 읽어들인다(S30).As described above, each security device 20 that has received the smart card 40 loaded with the primary hash value, the encrypted key set, and the secondary hash value from the key management center 30 has a smart card socket (not shown). The primary hash value, the encrypted key set, and the secondary hash value loaded in the smart card 40 are read through S).

전술한, 스마트 카드 소켓부(미도시)는 스마트 카드(40)에 적재되어 있는 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 읽어들이기 위해 각 보안 장치(20)에 구비되어 있는 것으로, 스마트 카드(40)에 장착된 칩상의 접점을 보안 장치(20)와 연결하며 스마트 카드(40)의 삽입을 위한 삽입구를 구비한다.As described above, the smart card socket unit (not shown) is provided in each security device 20 to read the primary hash value, the encrypted key set, and the secondary hash value loaded on the smart card 40. In addition, the contact on the chip mounted on the smart card 40 is connected to the security device 20 and has an insertion hole for inserting the smart card 40.

상기한 과정 S30에서 스마트 카드(40)로부터 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 읽어들인 각 보안 장치(20)는 MD5 알고리즘을 이용하여 스마트 카드(40)로부터 읽어들인 암호화된 키 집합에 대한 2차 해쉬 값을 획득하고(S32), 스마트 카드(40)로부터 읽어들인 2차 해쉬 값과 일치하는 지를 판단한다(S34).In step S30, each security device 20 that reads the first hash value, the encrypted key set, and the second hash value from the smart card 40 is encrypted from the smart card 40 by using the MD5 algorithm. The secondary hash value for the key set is obtained (S32), and it is determined whether the secondary hash value read from the smart card 40 matches (S34).

상기한 과정 S34의 판단결과 상기한 과정 S32에서 획득한 2차 해쉬 값과 스마트 카드(40)로부터 읽어들인 2차 해쉬 값이 동일하지 않은 경우에는 스마트 카드(40)로부터 읽어들인 암호화된 키 집합을 유효하지 못한 키 집합으로 판단하여 키 관리 센터(30)로부터 암호화에 사용되는 키 집합을 다시 배포받는다(S36).As a result of the determination of step S34, if the secondary hash value obtained in step S32 and the secondary hash value read from the smart card 40 are not the same, the encrypted key set read from the smart card 40 is determined. The key set used for encryption is distributed again from the key management center 30 by determining that the key set is invalid (S36).

한편, 상기한 과정 S34의 판단결과 상기한 과정 S32에서 획득한 2차 해쉬 값과 스마트 카드(40)로부터 읽어들인 2차 해쉬 값이 동일한 경우에는, 상기한 과정 S30에서 스마트 카드(40)로부터 읽어들인 암호화된 키 집합을 유효한 키 집합으로 판단하여, 키 관리 센터(30)로부터 전달받은 분배키를 이용하여 스마트 카드(40)로부터 읽어들인 암호화된 키 집합을 복호화하여 원래의 키 집합을 획득한다(S38).On the other hand, when the determination result of the process S34 is the same as the secondary hash value obtained in the process S32 and the secondary hash value read from the smart card 40, it is read from the smart card 40 in the process S30 described above. The encrypted key set is determined as a valid key set, and the original key set is obtained by decrypting the encrypted key set read from the smart card 40 using the distribution key received from the key management center 30 ( S38).

이후에는, MD5 알고리즘을 이용하여 상기한 과정 S38에서 획득한 키 집합에 대한 1차 해쉬 값을 획득하고(S40), 스마트 카드(40)로부터 읽어들인 1차 해쉬 값과 일치하는 지를 판단한다(S42).Thereafter, the primary hash value for the key set obtained in the above-described process S38 is obtained using the MD5 algorithm (S40), and it is determined whether it matches the primary hash value read from the smart card 40 (S42). ).

상기한 과정 S42의 판단결과 상기한 과정 S40에서 획득한 1차 해쉬 값과 스마트 카드(40)로부터 읽어들인 1차 해쉬 값이 일치하지 않는 경우에는 상기한 과정 S38에서 복호화된 키 집합을 유효하지 못한 키 집합으로 판단하여, 상기한 과정 S36으로 진행하여 키 관리 센터(30)로부터 암호화에 사용되는 키 집합을 다시 배포받는다.As a result of the determination of step S42, when the first hash value acquired in step S40 and the first hash value read from the smart card 40 do not match, the key set decrypted in step S38 is invalid. If it is determined that the key set, the process proceeds to step S36 and receives the key set used for encryption from the key management center 30 again.

한편, 상기한 과정 S42의 판단결과 상기한 과정 S40에서 획득한 1차 해쉬 값과 스마트 카드(40)로부터 읽어들인 1차 해쉬 값이 일치하는 경우에는 상기한 과정 S38에서 복호화된 키 집합을 유효한 키 집합으로 판단하여, 상기한 과정 S38에서 복호화된 키 집합을 암호화 카드부(25)의 메모리 영역에 적재하고, 메모리 영역에 적재된 키 집합 중에서 하나의 키 코드를 선택하여 암호화에 사용될 키 코드로 설정한다(S44).On the other hand, if the first hash value acquired in step S40 and the first hash value read from the smart card 40 coincide with the determination result of step S42, the key set decrypted in step S38 is valid. Judging by the set, the key set decrypted in step S38 is loaded into the memory area of the encryption card unit 25, and one key code is selected from the set of keys loaded in the memory area and set as a key code to be used for encryption. (S44).

상기한 과정 S44에서 암호화에 사용될 키 코드는 시간과 데이터의 IP(Internet Protocol) 헤더를 참조하여 선택할 수 있다.The key code to be used for encryption in step S44 may be selected by referring to an IP (Internet Protocol) header of time and data.

상기한 과정 S44에서 암호화에 사용될 키 코드를 설정한 보안 장치(20)에서는 일정 시간 간격으로 키 집합 중에서 하나를 선택하여 암호화에 사용될 키 코드로 대치 설정함으로써, 암호화 키 코드가 노출되었을 경우 데이터의 안전을 확보할 수 있도록 한다.The security device 20 that sets the key code to be used for encryption in step S44 described above selects one of a set of keys at predetermined time intervals and replaces it with a key code to be used for encryption, thereby protecting the data when the encryption key code is exposed. To ensure that

본 발명의 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법은 전술한 실시예에 국한되지 않고 본 발명의 기술 사상이 허용하는 범위 내에서 다양하게 변형하여 실시할 수 있다.The apparatus and method for verifying an encryption key set of a network system of the present invention can be implemented without various modifications within the scope of the technical idea of the present invention without being limited to the above-described embodiments.

이상에서 설명한 바와 같은 본 발명의 네트워크 시스템의 암호화 키 집합 검증 장치 및 방법에 따르면, 공인된 MD5 알고리즘으로 키 관리 센터에서 키 집합 및 암호화된 키 집합에 대한 해쉬 값을 생성하여 암호화된 키 집합과 함께 각 보안 장치에 배포하고, 각 보안 장치에서 MD5 알고리즘으로 배포받은 암호화된 키 집합에 대한 검증을 수행하여 유효한 키 집합인 경우에만 메모리 영역에 적재시킴으로써, 각 보안 장치로의 키 집합 적재시나 복호화시에 발생하는 오류로 인해 유효하지 못한 키 집합이 보안 장치에 적재되는 것을 방지할 수 있게 된다.According to the encryption key set verification apparatus and method of the network system of the present invention as described above, the key management center generates a hash value for the key set and the encrypted key set by the authorized MD5 algorithm, It occurs at the time of loading or decrypting the key set to each security device by distributing it to the security device, verifying the encrypted key set distributed by the MD5 algorithm in each security device, and loading it into the memory area only if it is a valid key set. This error prevents an invalid key set from being loaded into the security device.

Claims (4)

이더넷으로 연결된 망을 통하여 데이터를 전송하는 호스트와;A host for transmitting data through a network connected to the Ethernet; 상기 데이터의 암호화 수행에 필요한 키 집합을 생성하고, MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차 해쉬 값을 획득하며, 분배키를 이용하여 상기 키 집합을 암호화하고, 상기 MD5 알고리즘을 이용하여 상기 암호화된 키 집합에 대한 2차 해쉬 값을 획득하는 키 관리 센터와;Generate a key set necessary to perform encryption of the data, obtain a first hash value for the key set using an MD5 algorithm, encrypt the key set using a distribution key, and use the MD5 algorithm to generate the key set. A key management center for obtaining a secondary hash value for the encrypted key set; 상기 키 관리 센터로부터 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 적재받는 스마트 카드와;A smart card receiving the first hash value, an encrypted key set, and a second hash value from the key management center; 상기 스마트 카드로부터 읽어들인 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값에 의거하여 암호화 수행에 필요한 키 집합을 검증하고, 검증이 완료된 키 집합에 의거하여 상기 호스트로부터 전달받은 데이터를 암호화하여 외부로 전송하는 보안 장치와;Verify the key set necessary for performing encryption based on the primary hash value, the encrypted key set, and the secondary hash value read from the smart card, and encrypt the data received from the host based on the verified key set. A security device for transmitting to the outside; 상기 보안 장치에 장착되어 상기 검증이 완료된 키 집합이 기억되는 암호화 카드부를 구비하여 이루어지는 네트워크 시스템의 암호화 키 집합 검증 장치.And an encryption card unit mounted on the security device to store the key set for which verification is completed. 제 1항에 있어서, 상기 암호화 카드부는,The method of claim 1, wherein the encryption card unit, 보안성을 위해 상기 보안 장치 본체에서 이탈되거나 분해되는 경우 자동적으로 기억된 키 집합이 지워지도록 구성되는 것을 특징으로 하는 네트워크 시스템의 암호화 검증 장치.And a set of keys stored automatically when the security device is separated or disassembled from the security device body for security. 암호화에 사용되는 키 집합을 생성하고, MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차 해쉬 값을 획득하는 과정과;Generating a key set used for encryption and obtaining a first hash value for the key set by using an MD5 algorithm; 분배키를 이용하여 상기 키 집합을 암호화하고, 상기 MD5 알고리즘을 이용하여 상기 암호화된 키 집합에 대한 2차 해쉬 값을 획득하는 과정과;Encrypting the key set using a distribution key and obtaining a secondary hash value for the encrypted key set using the MD5 algorithm; 스마트 카드에 상기 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 적재하여 각 보안 장치에 배포하는 과정과;Loading the primary hash value, the encrypted key set, and the secondary hash value into a smart card and distributing the same to each security device; 상기 보안 장치에서 상기 스마트 카드에 적재되어 있는 1차 해쉬 값, 암호화된 키 집합, 2차 해쉬 값을 읽어들이는 과정과;Reading, by the security device, a first hash value, an encrypted key set, and a second hash value loaded on the smart card; MD5 알고리즘을 이용하여 상기 스마트 카드로부터 읽어들인 암호화된 키 집합에 대한 2차 해쉬 값을 획득하고, 상기 스마트 카드로부터 읽어들인 2차 해쉬 값과 일치하는 지를 판단하는 과정과;Obtaining a secondary hash value for the encrypted key set read from the smart card using an MD5 algorithm, and determining whether it matches the secondary hash value read from the smart card; 상기 판단결과 두 값이 일치하는 경우에는 분배키를 이용하여 상기 스마트 카드로부터 읽어들인 암호화된 키 집합을 복호화하여 키 집합을 획득하는 과정과;If the two values match, determining a key set by decrypting an encrypted key set read from the smart card using a distribution key; 상기 MD5 알고리즘을 이용하여 상기 키 집합에 대한 1차 해쉬 값을 획득하고, 상기 스마트 카드로부터 읽어들인 1차 해쉬 값과 일치하는 지를 판단하는 과정과;Obtaining a first hash value for the key set using the MD5 algorithm, and determining whether it matches the first hash value read from the smart card; 상기 판단결과 두 값이 일치하는 경우에는 상기 키 집합을 소정 메모리 영역에 적재시키고, 소정 시간 간격으로 상기 키 집합 중에서 암호화에 사용될 키 코드를 선택하여 대치 설정하는 과정을 포함하여 이루어지는 네트워크 시스템의 암호화키 집합 검증 방법.If the two values coincide, the key set is loaded into a predetermined memory area, and a key code to be used for encryption is selected from the key set at predetermined time intervals to replace the encryption key. Set Validation Method. 제 3항에 있어서, 상기 판단결과 두 값이 일치하지 않는 경우에는,The method of claim 3, wherein when the determination results do not match, 키 관리 센터로부터 키 집합을 다시 배포받는 과정을 더 구비하여 이루어지는 것을 특징으로 하는 네트워크 시스템의 암호화 키 집합 검증 방법.And a step of redistributing the key set from the key management center.
KR10-2001-0040773A 2001-07-09 2001-07-09 Apparatus and Method for Encryption Key Set Verification in Network System KR100416713B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0040773A KR100416713B1 (en) 2001-07-09 2001-07-09 Apparatus and Method for Encryption Key Set Verification in Network System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0040773A KR100416713B1 (en) 2001-07-09 2001-07-09 Apparatus and Method for Encryption Key Set Verification in Network System

Publications (2)

Publication Number Publication Date
KR20030005468A true KR20030005468A (en) 2003-01-23
KR100416713B1 KR100416713B1 (en) 2004-01-31

Family

ID=27713949

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0040773A KR100416713B1 (en) 2001-07-09 2001-07-09 Apparatus and Method for Encryption Key Set Verification in Network System

Country Status (1)

Country Link
KR (1) KR100416713B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449489B1 (en) * 2002-10-23 2004-09-22 한국전자통신연구원 Aaa key refresh mechanism method between mobile ip mobile node and home diameter server
KR20110108539A (en) * 2010-03-29 2011-10-06 삼성전자주식회사 Apparatus and method for building secure channel between terminal and receiver
KR101229128B1 (en) * 2009-12-18 2013-02-01 주식회사 케이티 Management method of several kinds of hash passwords with verification keys
KR101336278B1 (en) * 2012-09-19 2013-12-03 충북대학교 산학협력단 Light-weight hash algorithm for data security in wireless sensor networks

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101045804B1 (en) 2010-07-05 2011-07-04 한국기초과학지원연구원 Fast verification method for identity-based aggregate signatures and system thereof

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2149067A1 (en) * 1994-06-22 1995-12-23 Joseph Anton Bednar Jr. User-identification and verification of data integrity in a wireless communication system
JPH09326789A (en) * 1996-06-07 1997-12-16 Sharp Corp Opposite party verification method and system in communication between portable radio terminal equipments
KR19980050938A (en) * 1996-12-21 1998-09-15 양승택 How to Send Encrypted Documents on the Internet
KR100315387B1 (en) * 1999-08-02 2001-11-26 윤금 Private Key, Certificate Administration System and Method Thereof

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449489B1 (en) * 2002-10-23 2004-09-22 한국전자통신연구원 Aaa key refresh mechanism method between mobile ip mobile node and home diameter server
KR101229128B1 (en) * 2009-12-18 2013-02-01 주식회사 케이티 Management method of several kinds of hash passwords with verification keys
KR20110108539A (en) * 2010-03-29 2011-10-06 삼성전자주식회사 Apparatus and method for building secure channel between terminal and receiver
KR101336278B1 (en) * 2012-09-19 2013-12-03 충북대학교 산학협력단 Light-weight hash algorithm for data security in wireless sensor networks

Also Published As

Publication number Publication date
KR100416713B1 (en) 2004-01-31

Similar Documents

Publication Publication Date Title
US6148400A (en) Apparatus and method for establishing a crytographic link between elements of a system
KR101009523B1 (en) Method for secure data exchange between two devices
US8396218B2 (en) Cryptographic module distribution system, apparatus, and program
US20060005046A1 (en) Secure firmware update procedure for programmable security devices
EP1636664B1 (en) Proof of execution using random function
CN100512201C (en) Method for dealing inserted-requested message of business in groups
US20040268339A1 (en) Firmware validation
US9165148B2 (en) Generating secure device secret key
JP2004538584A (en) Information processing method and system in electronic device, electronic device, and processing block
CN104868998A (en) System, Device, And Method Of Provisioning Cryptographic Data To Electronic Devices
US9003197B2 (en) Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor
US11128455B2 (en) Data encryption method and system using device authentication key
WO2019142307A1 (en) Semiconductor device, update data-providing method, update data-receiving method, and program
KR100416713B1 (en) Apparatus and Method for Encryption Key Set Verification in Network System
JP2004013560A (en) Authentication system, communication terminal, and server
US11743055B2 (en) Storing data on target data processing devices
JP2016152438A (en) Software updating device, portable terminal and software updating system
KR20020040378A (en) Method for Authentication without Password Transmission on the basis of Public Key
CN107682147B (en) Security management method and system for smart card chip operating system file
KR100382880B1 (en) Authentication system and method using one-time password mechanism
WO1987005175A1 (en) Method and apparatus for distributing and protecting encryption key codes
KR102259674B1 (en) Authentication method for operating program using block chain
KR101006803B1 (en) RFID Authentication Apparatus for comprising Authentication Function and Method thereof
KR100749868B1 (en) Device Keys
JP2005071029A (en) Rewritable ic card

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121217

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140110

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee