한국통신학회논문지 (The Journal of Korean Institute of Communications and Information Sciences)

  • 제39B권4호
  • /
  • Pages.207-215
  • /
  • 2014
  • /
  • 1226-4717(pISSN)
  • /
  • 2287-3880(eISSN)
한국통신학회 (The Korean Institute of Commucations and Information Sciences)
권호 표지
DOI QR코드

DOI QR Code

웹 서비스를 위한 QR 코드 기반 상호 인증 시스템

QR-Code Based Mutual Authentication System for Web Service

  • 투고 : 2013.11.23
  • 심사 : 2014.04.11
  • 발행 : 2014.04.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

많은 웹 서비스에서 편리성을 이유로 패스워드 기반 인증 시스템을 주로 사용한다. 패스워드 기반 인증 시스템은 패스워드 추측공격, 사전식 대입공격, 키 로깅 공격 등 다양한 공격에 취약한 것으로 알려져 왔다. 뿐만 아니라 대부분 웹 기반 인증 시스템은 서버가 사용자를 인증하는 단방향 인증만을 제공하므로 사용자는 현재 접속하여 비밀 정보를 남기고자하는 서버가 적합한지 검증 할 수 없다. 따라서 DNS 스푸핑 공격이나 피싱, 파밍과 같은 공격에 대응하기가 어렵다. 이러한 웹 서비스의 보안 취약점을 개선하기 위해 OTP를 사용하거나 패스워드 길이를 증가시키고, 특수기호를 포함하는 패스워드를 생성하게 하는 방안들이 적용되고 있다. 그러나 OTP 장치의 구입비용 발생, 복잡한 패스워드로 인한 사용자의 편리성 저하 등 실용성의 문제가 있다. 무엇보다 단방향 인증 기반에서는 여전히 취약점이 존재한다. 이를 해결하기 위해 본 논문에서는 QR-Code를 활용한 다중채널, 다중요소 인증시스템을 제안한다. 제안하는 시스템은 상호 인증을 제공하여 피싱이나 파밍과 같은 공격에 대응할 수 있다. 또한 휴대용 스마트 기기를 OTP 생성기로 활용하여 사용자의 편리성을 보장하면서 기존 패스워드 공격들에 대응할 수 있다.

Password based authentication systems are most widely used for user convenience in web services. However such authentication systems are known to be vulnerable to various attacks such as password guessing attack, dictionary attack and key logging attack. Besides, many of the web systems just provide user authentication in a one-way fashion such that web clients cannot verify the authenticity of the web server to which they set access and give passwords. Therefore, it is too difficult to protect against DNS spoofing, phishing and pharming attacks. To cope with the security threats, web system adopts several enhanced schemes utilizing one time password (OTP) or long and strong passwords including special characters. However there are still practical issues. Users are required to buy OTP devices and strong passwords are less convenient to use. Above all, one-way authentication schemes generate several vulnerabilities. To solve the problems, we propose a multi-channel, multi-factor authentication scheme by utilizing QR-Code. The proposed scheme supports both user and server authentications mutually, thereby protecting against attacks such as phishing and pharming attacks. Also, the proposed scheme makes use of a portable smart device as a OTP generator so that the system is convenient and secure against traditional password attacks.

키워드

참고문헌

  1. J. Park and N. Kang, "Entity authentication scheme for secure WEB of things applications," J. KICS, vol. 38B, no. 05, pp. 394-400, May 2013. https://doi.org/10.7840/kics.2013.38B.5.394
  2. T.I.A.D.C. (ADC), Consumer password worst practices, Inquiry 1-5, 2009, from http://www.imperva.com
  3. A. O. Freier, P. Karlton, and P. C. Kocher, "The SSL protocol: Version 3.0," Netscape Draft302, Nov. 1996.
  4. T. Dierks and E. Rescorla, The transport layer security (TLS) protocol version 1.2, IETF Standard RFC 5246, Aug. 2008.
  5. S. E. Shechter, R. Dhamija, A. Ozment, and I. Fischer, "The emperor's new security indicators," in Proc. IEEE Security and Privacy, pp. 51-65, Berkeley, California, May 2007.
  6. S. Michael, "Replacing username/password with software-only two-factor authentication," Cryptology ePrint Archive, Report 2012/148, 2012.
  7. K. Liao, W. Lee, M. Sung, and T. Lin, "A one-time password scheme with QR-Code based on mobile phone," INC, IMS and IDC, pp. 2069-2071, Seoul, Korea, Aug. 2009.
  8. L., Men and U. Blumenthal, "Manageable one-time password for consumer applications," in Conf. Consumer Electronics (ICCE), pp. 1-2, Las Vegas, NV, Jan. 2007.
  9. J. Youll, "Fraud vulnerabilities in SiteKey security at bank of america," Review draft to Bank of America/RSA, Jul. 2006.
  10. B. Dodson, D. Sengupta, D. Boneh, and M. Lam, "Secure, consumer-friendly web authentication and payments with a phone," MobiCASE, pp. 17-38, Santa Clara, CA, USA, Oct. 2010.
  11. J. Lee, H. You, C. Cho, and M. Jun, "A design secure QR-Login user authentication protocol and assurance methods for the safety of critical data using smart device," J. KICS, vol. 37C, no. 10, pp. 949-964, Oct. 2012. https://doi.org/10.7840/kics.2012.37C.10.949
  12. S. Seo, C. Choi, G. Lee, and H. Choi, "QR code based mobile dual transmission OTP system," J. KICS, vol. 38B, no. 5, pp. 377-384, May 2013. https://doi.org/10.7840/kics.2013.38B.5.377