The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

App-based 2-channel User Authentication Scheme for Multiple Application Systems

다중 응용시스템용 앱기반 2-채널 사용자 인증방안

  • 송태기 (배재대학교 사이버보안학과) ;
  • 조인준 (배재대학교 사이버보안학과)
  • Received : 2018.07.11
  • Accepted : 2018.08.20
  • Published : 2018.09.28
Download PDF
⟨ Previous Next ⟩

Abstract

Currently, the user authentication technology used by users to access multiple applications within an organization is being applied with ID/PW-based SSO technology. These user authentication methods have the fundamental disadvantages of ID/PW and SSO. This means that security vulnerabilities in ID/PW can lead to periodic changes in PWs and limits on the number of incorrect PW inputs, and SSO adds high cost of the SSO server, which centrally stores the authentication information, etc. There is also a fundamental vulnerability that allows others to freely use other people's applications when they leave the portal application screen with SSO. In this paper, we proposed an app-based 2-channel authentication scheme to fundamentally eliminate problems with existing ID/PW-based SSO user authentication technologies. To this end, it distributed centralized user authentication information that is stored on SSO server to each individual's smartphone. In addition, when users access a particular application, they are required to be authenticated through their own smartphone apps.

현재 사용자가 조직 내 다중의 응용시스템들에 접근하기 위해서 사용되는 사용자인증기술은 ID/PW 기반의 SSO기술이 적용되고 있다. 이러한 사용자 인증방안은 ID/PW와 SSO의 근본적인 단점을 그대로 지니고 있다. 즉, ID/PW의 보안 취약점 때문에 PW의 주기적 변경 및 잘못된 PW입력 횟수 제한 등을 들 수 있고, SSO는 중앙 집중적으로 인증정보를 저장하는 SSO서버가 추가되기 때문에 고비용, 가용성 확보, 해킹 타겟 명확화 등의 문제를 지닌다. 또한 SSO로 포탈 응용화면에 접근 후 자리를 비웠을 때, 다른 사람이 자유롭게 타인의 응용시스템을 사용할 수 있는 근본적인 취약성이 있다. 본 논문에서는 기존에 사용되고 있는 ID/PW기반의 SSO 사용자 인증기술이 지닌 문제점들을 근본적으로 제거하기 위해 앱 기반 2-채널 인증방안을 제안하였다. 이를 위해 SSO서버에 저장되는 중앙 집중적인 사용자 인증정보를 각 개인의 스마트폰으로 분산시켰다. 그리고 사용자가 특정 응용시스템을 접근할 경우 항상 자신의 스마트폰 앱을 경유하여 인증되도록 하였다.

Keywords

References

  1. N. Haller, C. Metz, P. Nesser, and M. Staraw, "A One-Time Password System" RFC 2289, IETF, 1998.
  2. 사희석, 최중섭, 주필환, "윈도우 악성코드 분류방법론 설계," 정보보호학회논문지, 제19권, 제2호, 2009(4).
  3. S. Gastellier-Prevost and M. Laurent, "Defeating pharming attacks at the client-side," 2011 5th International Conference on Network and System security, IEEE. pp.33-40, Sept. 2011.
  4. 김영수, 나중찬, 손승원, "패스워드 인증 프로토콜 동향," 전자통신동향분석, 제16권, 제6호, 2001(12).
  5. 이상민, "최근 인증기술 관련 현황," 한국IT서비스산업협회, 2012.
  6. ISO/IEC 7816-1 (1998): "Identification cards - Integrated circuit(s) cards with contacts, part1 : Physical characteristics."
  7. ISO/IEC 7816-3 (2006): "Identification cards - Integrated circuit(s) cards with contacts, part3 : Cards with contacts - Electrical interface and transmission protocols."
  8. ISO/IEC 7816-12 (2005): "Identification cards - Integrated circuit(s) cards with contacts, part12 : Cards with contacts - USB electrical interface and operating procedures."
  9. google android, (http://www.android.com).
  10. java cipher(http://docs.oracle.com/javase/8/docs/api/crypto/chiper.html)
  11. FIPS Pub. 197: Specification for the AES, Nov. 2001, availableat:http ://csrc.nist.gov/publications/fips/fips197/fips-197.pdf