The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

OTP-Based Transaction Verification Protocol Using PUFs

PUF를 이용한 OTP 기반 거래 검증 프로토콜

  • 이종훈 (숭실대학교 전자공학과 통신망보안 연구실) ;
  • 박민호 (숭실대학교 정보통신전자공학부) ;
  • 정수환 (숭실대학교 정보통신전자공학부 통신망보안 연구실)
  • Received : 2013.04.25
  • Accepted : 2013.05.27
  • Published : 2013.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

The One-Time Password(OTP) Generator is used as a multi-factor authentication method to ensure secure transaction during e-Financial transaction in the bank and securities company. The OTP based e-Financial Transaction Verification Protocol ensures secure e-financial transaction through confirming the user's identity using OTP authentication information and counters not only Man-in-the-Browser(MITB) attacks but also memory hacking attacks. However, it is possible to generate correct OTPs due to potential of stealing sensitive information of the OTP generator through intelligent phishing, pharming, social engineering attacks. Therefore, it needs another scheme to prevent from above threats, and this paper proposes advanced scheme using Physical Unclonable Functions(PUFs) to solve these problems. First, it is impossible to generate the same OTP values because of the hysically unclonable features of PUFs. In addition, it is impossible to clone OTP generator with hardware techniques. Consequently, the proposed protocol provides stronger and more robust authentication protocol than existing one by adding PUFs in the OTP generator.

One-Time Password(OTP) 발생기는 현재 은행이나 증권 회사에서 전자금융 거래 시에 안전한 거래를 보장하기 위해 multi-factor 인증으로 사용되고 있다. 국내 OTP 기반 전자금융 거래 검증 프로토콜은 OTP 인증 정보를 통해 사용자에 대한 신원을 확인함으로써 안전한 거래를 보장하며, 또한 Man-in-the-Browser(MITB) 공격, 메모리 해킹 공격 등에 대처하기 위해 사용된다. 하지만 지능적인 피싱, 파밍, 사회공학 공격들을 통해 OTP 생성 단말에 대한 정보를 수집하여 활용한다면 동일한 OTP 값을 생성할 수 있는 가능성이 있다. 그러므로 이와 같은 위협에 대응할 수 있는 대책이 필요하며 본고에서는 앞에서 언급한 문제점을 해결하기 위해 Physical Unclonable Functions(PUFs)을 이용한 새로운 기법을 제안한다. 먼저, 물리적으로 PUFs를 복제할 수 없는 특성은 동일한 OTP 값을 생성하는 것을 불가능하게 만든다. 또한 하드웨어적으로 OTP 발생기를 복제하는 것이 불가능하다. 결론적으로 제안된 프로토콜은 PUFs를 추가함으로써 이전 프로토콜보다 강력하고 안전한 인증 프로토콜을 제공한다.

Keywords

References

  1. S. Cho, H.-J. Lee, H.-T. Lim, and S.-G. Lee, "OTP authentication protocol for stream cipher using clock-counter," in Proc. KICS Int. Conf. Commun. 2008 (KICS ICC 2012), pp. 245-248, Jeju Island, Korea, July 2008.
  2. S. Kim, J. Seo, H. Song, S. Lee, S. Kim, and D. Won, "A secure OTP system using key input devices for financial service," in Proc. KICS Int. Conf. Commun. 2008 (KICS ICC 2012), pp. 353-357, Seoul, Korea, Nov. 2008.
  3. N. Haller, C. Metz, P. Nesser, and M. Straw, "A one-time password system," IETF RFC 2289, Feb. 1998.
  4. D. M'Raihi, M. Bellare, F. Hoornaert, D. Naccache, and O. Ranen, "HOTP: An HMAC-based one-time password algorithm," IETF RFC 4226, Dec. 2005.
  5. H. W. Sim, W. J. Kang, and H. Y. Park, "An one time password based e-financial transaction verification protocol," TTAK.KO-12.0167, Dec. 2011.
  6. G. Edward Suh and Srinivas Devadas, "Physical unclonable functions for device authentication and secret key generation," in Proc. 44th ACM Annu. Design Automation Conf. 2007, pp. 9-14, San Diego, U.S.A., June 2007.
  7. J. Lee, P. Choi, and D. Kim, "The password-based authentication paradigm on M2M(번역)," Review of KIISC, vol. 22, no. 1, pp. 39-46, Feb. 2012.
  8. L. Kulseng, Z. Yu, Y. Wei, and Y. Guan, "Lightweight mutual authentication and ownership transfer for RFID systems," in Proc. IEEE INFOCOM 2010, pp. 1-5, San Diego, U.S.A., Mar. 2010.
  9. M. Akgün, M. S. Kiraz, and H. Demirci, "Cryptanalysis of lightweight mutual authentication and ownership Transfer for RFID System," in Proc. IEEE Lightweight Security & Privacy: Devices, Protocols and Applicat. (LightSec), pp. 20-25, Istanbul, Turkey, Mar. 2011.
  10. S. W. Jung and S. Jung, "HRP: a HMAC-based RFID mutual authentication protocol using PUF," in Proc. IEEE Int. Conf. Inform Networking 2013, Bangkok, Thailand, Jan. 2013.
  11. J. Shin, J. Lee, C. Jeong, and K. Ahn, "Symmetric key-based RFID mutual authentication protocol utilizing PUF," in Proc. KICS Int. Conf. Commun. 2012 (KICS ICC 2012), pp. 790-791, Jeju Island, Korea, June 2012.