안전한 로그인을 위한 소프트 보안카드 기반 다중 인증 시스템

Multi-Factor Authentication System based on Software Secure Card-on-Matching For Secure Login

  • 발행 : 2009.03.28


로그인 과정에서는 사용자의 ID와 Password를 기반으로 시스템에 대한 사용권한을 확인하고 접근 권한을 부여한다. 하지만 로그인 과정에서 입력된 ID와 Password 정보는 패킷 스니핑 또는 키 로그(Key log) 프로그램 등을 이용하여 악의적인 공격자에 의해 노출될 수 있다는 취약점이 있다. 웹서버 또는 웹메일 시스템 등에 등록된 ID와 Password가 노출된다면 이는 개인 프라이버시 문제와도 연결되어 매우 심각한 문제를 야기한다. 본 연구에서는 기존의 ID/Password 기반 로그인 기법과 더불어 소프트웨어 형태의 보안카드를 핸드폰에 설치하여 유무선망을 통한 다중 인증(Multi-factor authentication) 기법을 제시한다. 제안한 소프트웨어 형태의 보안카드 기반 로그인 기법은 ID/Password와 함께 부가적으로 바이오 정보를 이용할 수 있으며 사용자의 핸드폰에 소프트 형태의 보안카드를 생성/전송/저장하게 된다. 따라서 제안한 시스템을 사용할 경우 기존의 ID 및 Password 정보에 대해 각 개인별 바이오 정보 기반 일회용 패스워드(Biometric One-Time Password) 방식으로 소프트 보안카드를 생성할 수 있으며 이를 이용하여 웹 및 인터넷 로그인 과정을 수행하기 때문에 보다 안전한 다중 인증 시스템을 구축할 수 있다.

Login process uses both ID and password information to authenticate someone and to permit its access privilege on system. However, an attacker can get those ID and password information by using existing packet sniffing or key logger programs. It cause privacy problem as those information can be used as a hacking and network attack on web server and web e-mail system. Therefore, a more secure and advanced authentication mechanism should be required to enhance the authentication process on existing system. In this paper, we propose a multi-factor authentication process by using software form of secure card system combined with existing ID/Password based login system. Proposed mechanism uses a random number generated from the his/her own handset with biometric information. Therefore, we can provide a one-time password function on web login system to authenticate the user using multi-factor form. Proposed scheme provide enhanced authentication function and security because it is a 'multi-factor authentication mechanism' combined with handset and biometric information on web login system.



  1. 장혜진, '클라이언트 다운로드 방식의 안전한 로 그인 프로세스의 설계 및 구현', 상명대학교 산업 과학연구소 논문집, Vol.11 No.1, pp.345-348, 2001.
  2. 서종원, 조제경, 이형우, 'Spam mail 방지를 위한 SMS(Short Message Service) 송신자 인증 방법 에 관한 연구', 2006년도 한국정보보호학회 동계 학술대회, Vol.16, No.2, pp.234-238, 2006.
  3. M. Stuart, S. Samuil, and S. Shreeraj, '웹해킹 (공격과방어)', 피어슨에듀케이션코리아, 2006.
  4. 추성호, 제갈명, 박홍성, "일회용 암호를 이용한 국산 암호 인증 시스템", 멀티미디어학술회의 논문집, Vol.5, No.1, pp.127-131, 2002.
  5. A. K. Jain, A. Ross, and S. Prabhakar, 'ingerprint matching using minutiae and texture features," to appear in the International Conference on Image Processing(ICIP), Greece, 2001(10)
  6. O. Peter, "Biometric generation of digital keys," Mini Symposium, DMIS-BUTE, 2001
  7. P. Janbandhu and M. Siyal, "Novel biometric digital signatures for Internet-based applications," Information Management & Computer Security, Vol.9, No.5, pp.205-212, 2001.
  8. R. Rivest, A. Shamir, and L. Adleman, "A method for obtaining digital signatures and public-key cryptosystems," Communications of the ACM, Vol.21, pp.120-126, 1978.
  9. T. ElGamal, "A Public Key Cryptosystem and a Signature Scheme based on Discrete Logarithms," IEEE Transactions on Information Theory, Vol.IT-30, No.4, pp.469-472, 1985.
  10. P. Tuyls and J. Goseling, "Capacity and examples of template-protecting biometric authentication systems," Proceedings of BioAW 2004, Lecture Notes in Computer Science 3087, Springer-Verlag, pp.158-170, 2004.
  11. X. Boyen, Y. Dodis, J. Katz, R. Ostrovsky, and A. Smith, "Secure remote authentication using biometrics," Advances in Cryptology - EUROCRYPT 2005, Lecture Notes in Computer Science 3494, Springer-Verlag, pp.147-163, 2005.