Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

One-Time Virtual Card Number Generation & Transaction Protocol using Integrated Authentication Center

통합인증센터를 활용한 일회용 가상카드번호 생성 및 결제서비스 프로토콜

  • Received : 2009.08.20
  • Accepted : 2010.02.23
  • Published : 2010.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, famous online shopping websites were hit by hacking attack, and many users' personal information such as ID, password, account number, personal number, credit card number etc. were compromised. Hackers are continuing to attack online shopping websites, and the number of victims of these hacking is increasing. Especially, the exposure of credit card numbers is dangerous, because hackers maliciously use disclosed card numbers to gain money. In 2007 Financial Cryptography Conference, Ian Molly et al. firstly proposed dynamic card number generator, but it doesn't meet reuse resistant. In this paper, we analyzed security weaknesses of Ian Molly's scheme, and we proposed a new one-time virtual card number generator using a mobile device which meets security requirements of one-time virtual card numbers. Then, we propose one-time credit card number generation and transaction protocol using Integrated Authentication Center for user convenience and security enhancement.

최근 유명 온라인 쇼핑몰 사이트가 해킹을 당해 많은 사용자들의 ID, 패스워드, 계좌번호, 주민등록번호, 신용카드번호와 같은 개인 정보들이 누출되었다. 해커들은 계속해서 온라인 쇼핑몰 사이트에 대한 공격을 하고 있으며 해킹피해자들의 수도 증가하고 있다. 신용카드 번호가 누출되면, 해커들이 금전적인 이득을 취하기 위해 누출된 카드번호를 악용할 수 있어 특히 위험하다. 2007년 Financial Cryptography 학회에서 Ian Molly 등이 최초로 일회용 가상카드번호 생성 스킴을 제안한 바 있으나, 재사용불가의 특성을 제공하지 못한다. 본 논문에서는 Ian Molly 스킴의 취약성을 분석하고, 휴대단말기를 활용하여 일회용 가상카드번호의 보안요구사항을 만족하는 새로운 일회용 가상카드번호 생성 스킴을 제안하였다. 또한, 이를 기반으로 사용자 편의성과 보안성강화를 위해 통합인증센터를 활용한 일회용 가상카드 결제 프로토콜을 설계한다.

Keywords

References

  1. 서승현, 강우진, "OTP 기술현황 및 국내 금융권 OTP 도입사례," 정보보호학회지, 17(3), pp. 18-25, 2007년 6월.
  2. 세계일보, "신용카드 일련번호 규칙성 뚫렸다," 2007년 4월.
  3. 아시아경제, "옥션 해킹 피해자, 1081만명에 달해," 2008년 4월.
  4. 연합뉴스, "1천만명 정보유출," 2008년 9월.
  5. 위키백과, "신용카드," http://ko.wikipedia.org/wiki/%EC%8B%A0%EC%9A%A9%EC%B9%B4%EB%93%9C
  6. 한국경제신문, "씨티銀 인터넷 뱅킹 해킹 사고..카드 결제대행 보안 시스템 뚫어 '충격'," 2007년 2월.
  7. M. Bellare, R. Canetti, and H. Krawczyk, "Keying hash functions for message authentication," CRYPTO'96, LNCS 1109, pp.1-15, 1996.
  8. I. Molly, Jiangtao, and N. Li, "Dynamic Virtual Credit Card Numbers," Financial Cryptography and Data Security, 11th International Conference, FC 2007, LNCS 4886, pp. 208-223, 2007.
  9. Citigroup, Citi identity theft solutions: Virtual account numbers, http://www.citibank.com/us/cards/cardserv/advice/van.htm
  10. Discover Bank, Discover card: Secure online account numbers, http://www.discovercard.com
  11. ShopSafe, ShopSafe Service: Safe Online Shopping from Bank of America, http://www.bankofamerica.com/privacy/index.cfm?template=learn_about_shopsafe
  12. PayPal, PayPal Virtual Debit Card, http://www.paypal.com/cgi-bin/webscr?cmd=xpt/cps/account/VDCFrequentlyAsked, Questions-outsid