$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

TOTP와 패스워드를 이용한 Two-Factor 사용자 인증 방식 및 구현
A Two-Factor User Authorization Method and Its Implementation using TOTP and Password 원문보기

情報保護學會誌 = KIISC review, v.20 no.6, 2010년, pp.7 - 16  

제주환 (강남대학교 컴퓨터미디어정보공학부) ,  유승록 (강남대학교 컴퓨터미디어정보공학부) ,  임학창 (강남대학교 컴퓨터미디어정보공학부) ,  배동환 (강남대학교 컴퓨터미디어정보공학부) ,  이윤호 (강남대학교 컴퓨터미디어정보공학부) ,  양형규 (강남대학교 컴퓨터미디어정보공학부)

초록
AI-Helper 아이콘AI-Helper

인터넷 및 통신 기술의 발전은 사용자로 하여금 금융, 방송, 게임 등의 온라인 서비스 제공에 대한 시간 및 공간적 제한을 없애 주였지만, 다른 한편으로는 해커 등의 악의적 사용자로 인한 피해 가능성도 높이고 있다. 이를 해결하기 위한 다양한 보안 기법 가운데 하나가 OTP를 이용한 사용자 인증 방법이다. OTP는 재사용하지 않는 패스워드로서 기존 패스워드 인증 방식이 갖는 취약점을 해결할 수 있는 방식이다. 하지만 OTP 생성 단말의 도난이나 서버 해킹으로 인한 패스워드 추측공격 또는 Stolen verifier 공격 등에 취약할 수 있다. 본 논문에서는 위와 같은 문제점을 해결하기 위해서 두 가지 인증 정보 즉, 시간 기반 OTP 생성방식인 TOTP 및 패스워드를 이용하는 새로운 Two-Factor 인증 프로토콜인 POTP(Password embedded OTP)를 제안한다. 제안한 방식은 재전송 공격에 안전하며, 공격자가 OTP 생성용 디바이스를 획득하더라도 패스워드를 유추할 수 없고 서버의 인증 정보 데이터베이스를 획득하더라도 정상적인 사용자로 위장할 수 함께, 서버에서 인증 정보 보관시 연산 속도가 빠른 해쉬 함수를 이용할 수 있어 보다 효율적이다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • OTP를 위한 전용 H/W 토큰을 이용할 경우 다수의 토큰을 소지해야 하는 불편함으로 인해 최근에는 모바일 단말에 OTP 생성 S/W를 이용하는 경우가 많다 본 절에서는 국내 모바일 기반 OTP 가운데 에이티솔루션의 U-OTP와 이니텍의 MOTP를 설명하고, 취약점을 살펴보도록 한다.
  • [2]. 논문에서는 TOTP와 패스워드를 이용한 새로운 Two-Factor 인증 방식인 POTPf- 제안하고자 한다. 제안한 방식은 재전송 공격에 안전하며, 공격자가 OTP 생성용 디바이스를 획득하더라도 패스워드를 유추할 수 없으며, 서버의 인증 정보 데이터베이스를 획득하더라도 정상적인 사용자로 위장할 수 없다.

가설 설정

  • (가정 1) 서버의 키 «般과 代 &는 안전하게 보관되고 있으며 공격자에게 노출되지 않는다.
본문요약 정보가 도움이 되었나요?

참고문헌 (11)

  1. CryptoCard,"CRYPTO," http://www.cryptocard.comlindex.php?option com_content&viewarticle&id253&Itemid31/ 

  2. C.M.ChenandW.C.Ku, "Stolen-Verifier Attack on Two New Strong-Password Authentication Protocols," IEICE Trans. on Communications, Vol. E85-B, No. 11, pp. 2519-2521, 2002. 

  3. IETF, "HOTP: An HMAC-Based One-Time Password Algorithm," RFC 4226, 2005. 

  4. IETF, "TOTP: Time-based One-time Password Algorithm," http://tools.ietf.orglhtml/draft-mraihitotp-timebased-05, 2010. 

  5. OATH, http://www.openauthentication.org/ 

  6. RSA Security, "SecureID," http://www.rsa.com/ 

  7. Vasco, "Digpass," http://www.vasco.com/products/digipass/ digipass_index.aspx 

  8. Wei Dai, "Crypto++ 5.6.0 Benchmarks," http://www.cryptopp.com/benchmarks.html, 2009. 03. 

  9. 에이티솔루션, "U-OTP의 원리 및 서비스 방식(1)," http://www.u-otp.co.kr/blog/42/ 

  10. 에이티솔루션, "일회용 비밀번호 생성방법과 키 발급 시스템 및 일회용 비밀번호 인증 시스템," 국내 특허 제1020070001141호(출원), 2007. 01. 

  11. 이니텍, "동기식 일회용 비밀번호 생성 및 인증방법 및 그러한 일회용 비밀 번호를 생성하는 프로그램이 기록된 컴퓨터 판독 가능 기록 매체," 국내 특허 제100412986호(등록), 2003. 12. 

저자의 다른 논문 :

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로