기존 휴대폰에 비해 강력한 연산능력을 가진 스마트폰의 출시 이후 개인 컴퓨터에서 제공되던 온라인 서비스의 영역이 점차 스마트폰으로 확산되고 있는 추세이다. 이러한 기술의 발전은 사용자에게 서비스제공의 시간 및 공간적 제한을 없애 주었지만, 악의적 공격에 쉽게 노출되는 보안상의 취약점을 가진다. 특히 금융권 서비스 이용 시 사용자의 비밀 정보가 교환되므로 더욱 주의를 기울여야 한다. 이러한 보안 문제를 해결하기 위해서는 하나의 세션에 하나의 비밀 키만을 사용하는 OTP(One Time Pad)가 권장되고 있다. 지금까지 스마트 폰에서의 OTP기법들은 기존 환경에 초점을 맞추어 제안 및 구현되어 왔다. 하지만 모바일 환경에서의 보안은 기존 시스템에 비해 공격에 취약할 뿐 아니라 자원적인 한계점을 가진다. 따라서 스마트폰에 적합한 새로운 개념의 OTP의 도입이 요구되어 진다. 본 논문에서는 시간동기화를 통한 T-OTP(Time One Time Pad) 기법과 위치기반 정보를 접목한 L-OTP(Location-OTP) 프로토콜을 제시한다. 제안된 방식은 스마트폰에서 사용자가 가지는 유일한 위치정보를 통해 OTP를 생성한다.
기존 휴대폰에 비해 강력한 연산능력을 가진 스마트폰의 출시 이후 개인 컴퓨터에서 제공되던 온라인 서비스의 영역이 점차 스마트폰으로 확산되고 있는 추세이다. 이러한 기술의 발전은 사용자에게 서비스제공의 시간 및 공간적 제한을 없애 주었지만, 악의적 공격에 쉽게 노출되는 보안상의 취약점을 가진다. 특히 금융권 서비스 이용 시 사용자의 비밀 정보가 교환되므로 더욱 주의를 기울여야 한다. 이러한 보안 문제를 해결하기 위해서는 하나의 세션에 하나의 비밀 키만을 사용하는 OTP(One Time Pad)가 권장되고 있다. 지금까지 스마트 폰에서의 OTP기법들은 기존 환경에 초점을 맞추어 제안 및 구현되어 왔다. 하지만 모바일 환경에서의 보안은 기존 시스템에 비해 공격에 취약할 뿐 아니라 자원적인 한계점을 가진다. 따라서 스마트폰에 적합한 새로운 개념의 OTP의 도입이 요구되어 진다. 본 논문에서는 시간동기화를 통한 T-OTP(Time One Time Pad) 기법과 위치기반 정보를 접목한 L-OTP(Location-OTP) 프로토콜을 제시한다. 제안된 방식은 스마트폰에서 사용자가 가지는 유일한 위치정보를 통해 OTP를 생성한다.
After releasing the smart phone equipping the strong computational capability compared to traditional mobil phone, a field of services, which is available on the personal computers, is expanded to smart phone. The development of technology reduces the limited service utilization on time and space bu...
After releasing the smart phone equipping the strong computational capability compared to traditional mobil phone, a field of services, which is available on the personal computers, is expanded to smart phone. The development of technology reduces the limited service utilization on time and space but it has a venerability exposing an information to malicious user. Especially we need to more attention when using the financial services which communicate the user's private information. To solve the security problem, OTP(One Time Pad), which uses a private key for a session, is recommended. OTP techniques in smart phone having focused on traditional environments have been proposed and implemented. However, security over mobile environments is more vulnerable to attack and has restriction on resources than traditional system. For this reason, definition of proper conceptual OTP on smart phone is required. In the paper, we present the L-OTP(Location-OTP) protocol, using T-OTP(Time One Time Pad) technique with location information. Proposal generates the OTP using unique location information which is obtained in smart phone.
After releasing the smart phone equipping the strong computational capability compared to traditional mobil phone, a field of services, which is available on the personal computers, is expanded to smart phone. The development of technology reduces the limited service utilization on time and space but it has a venerability exposing an information to malicious user. Especially we need to more attention when using the financial services which communicate the user's private information. To solve the security problem, OTP(One Time Pad), which uses a private key for a session, is recommended. OTP techniques in smart phone having focused on traditional environments have been proposed and implemented. However, security over mobile environments is more vulnerable to attack and has restriction on resources than traditional system. For this reason, definition of proper conceptual OTP on smart phone is required. In the paper, we present the L-OTP(Location-OTP) protocol, using T-OTP(Time One Time Pad) technique with location information. Proposal generates the OTP using unique location information which is obtained in smart phone.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 GPS를 통한 위치정보를 이용하여 OTP생성에 필요한 인증요소를 제공하는 위치기반 OTP인 L-OTP(Location-OTP)를 제안한다. 논문의 구성은 다음과 같다.
보안 검토사항으로는 환경적 보안 요소와 기능적 보안 요소가 있다. 본 논문에서는 OTP의 기능적 요소에서 소프트웨어 구현시 안전성에 대해 검토해 보도록 하겠다. 즉 하드웨어적 그리고 제도적 관점에서의 보안은 안전하다고 가정한다.
본장에서는 금융보안연구원에 의해 발행된 모바일 OTP 보안성 분석서의 요구조건에 따라 안전도를 확인해보도록 한다[6]. 보안 검토사항으로는 환경적 보안 요소와 기능적 보안 요소가 있다.
안전성을 분석하기 위하여 기존에 나와 있는 공격에 취약성을 가지는 지 확인해 보도록 한다.
가설 설정
본 논문에서는 OTP의 기능적 요소에서 소프트웨어 구현시 안전성에 대해 검토해 보도록 하겠다. 즉 하드웨어적 그리고 제도적 관점에서의 보안은 안전하다고 가정한다.
제안 방법
CDMA, GSM/GPRS, WCDMA등과 같은 이동 통신망 기반으로 신호의 세기, 도달시간, 도달시간차, 입사각 등을 통해 사용자의 위치를 추적한다. 하지만 정확한 위치 인식을 위해 동기화 타이밍 유닛이 필요하다.
인증서버에서는 시간정보를 통해 해당 정보의 신선도를 확인한다. LOTP를 확인하기 위해 단말기와 동기화된 시간을 통해 TOTP를 생성하며 해당 값을 LOTP와 exclusive-or연산을 하여 해시된 위치정보를 만들어내게 된다. 이때 ID가 가지는 모든 위치정보에 대한 해시된 위치정보를 비교하여 동일한 값이 나온다면 위치정보 서버로부터 서명된 메시지를 인증한다.
본 논문에서 제시하는 OTP 동기화 기법은 위치정보서버로부터 서명받은 사용자의 위치정보를 인증서버와 동기화된 시간 정보와 함께 조합하여 위치기반 OTP를 생성하게 된다. 제시된 방안은 위치기반 서비스의 발전과 맞물려 그 중요도가 높아지고 있는 위치정보를 이용한 새로운 개념의 OTP 동기화 기법이다.
본 논문에서 제시하는 프로토콜은 안드로이드 OS 2.2상에서 구현해보았다. 프로토콜에 위치정보로 사용된 GPS정보는 위도와 경도에서 측정의 최소단위를 0.
세션키 생성시 난수 생성 알고리즘을 이용하여 키를 생성하므로 생성키의 유일성을 보장해 주며 인증서버에서 일괄적으로 키를 생성하며 안전한 채널을 통해서 배포를 함으로 키에 대한 무결성 그리고 기밀성을 보장해 준다.
제안된 프로토콜은 기존의 TOTP개념에 위치정보를 시간과 공간상으로 보다 안전하다. 유통되는 위치정보의 신뢰도를 높이기 위해 XPS의 위치정보서버에서 위치정보에 대한 서명을 수행하도록 제안하였다. 기존의 TOTP에 비해 메시지에 대한 서명과 검증 그리고 위치정보에 대한 암복호화 과정이 각각 한번씩 추가되었다.
본 논문에서 제시하는 OTP 동기화 기법은 위치정보서버로부터 서명받은 사용자의 위치정보를 인증서버와 동기화된 시간 정보와 함께 조합하여 위치기반 OTP를 생성하게 된다. 제시된 방안은 위치기반 서비스의 발전과 맞물려 그 중요도가 높아지고 있는 위치정보를 이용한 새로운 개념의 OTP 동기화 기법이다. 이는 사용자가 지정된 위치에서만 서비스에 접근을 할 수 있도록 제한함으로써 보안관점에서 안전한 OTP관리 및 생성이 가능하다.
대상 데이터
001을 수행한 결과값을 사용하여 위치정보로 활용하였다. 본 알고리즘의 구현 실험은 한국 영토를 기준으로 수행해 보았다.
성능/효과
제안된 프로토콜은 기존의 TOTP개념에 위치정보를 시간과 공간상으로 보다 안전하다. 유통되는 위치정보의 신뢰도를 높이기 위해 XPS의 위치정보서버에서 위치정보에 대한 서명을 수행하도록 제안하였다.
질의응답
핵심어
질문
논문에서 추출한 답변
OTP 동기화 기술은 어떤 방식으로 구분할 수 있나?
따라서 동기를 맞추기 위해 다양한 방안이 사용되고 있다. OTP 동기화 기술은 시도 응답(Challenge response)방식, 시간 동기화(TimeSynchronous)방식 그리고 이벤트 동기화(Event-Synchronous)방식으로 크게 나누어 볼 수 있다. 현재 금융거래에서 사용되는 OTP 동기화 방식은 시간 동기화 방식을 사용하고 있으며 이에 대한 표준화작업이 진행 중에 있다[3].
시도 응답 방식은 무엇인가?
인터넷 뱅킹 이용 시 사용하게 되는 보안 카드와 같이 사용자가 서버로부터 제시되는 시도값을 얻은 후 그 값을 특정한 알고리즘에 넣어 수행한 뒤 나오게 되는 값을 응답으로 서버에 입력하여 정당한 사용자인지 아닌지를 확인하는 기법이다.
현재 금융거래에서 사용하고 있는 OTP 동기화 방식은?
OTP 동기화 기술은 시도 응답(Challenge response)방식, 시간 동기화(TimeSynchronous)방식 그리고 이벤트 동기화(Event-Synchronous)방식으로 크게 나누어 볼 수 있다. 현재 금융거래에서 사용되는 OTP 동기화 방식은 시간 동기화 방식을 사용하고 있으며 이에 대한 표준화작업이 진행 중에 있다[3].
※ AI-Helper는 부적절한 답변을 할 수 있습니다.