• Review of KIISC
• /
• v.17 no.3
• /
• pp.26-31
• /
• 2007

공개된 네트워크 시스템 상에서의 개인 정보를 보호하기 위해 사용자 인증은 시스템 보안에 있어서 중요한 요소이다. 패스워드 기반의 인증 메커니즘은 비용과 효율성의 측면에서 널리 사용되고 있으며 최근 이중요소인증(Two-Factor Authentication)의 한 수단으로 일회용 패스워드(One-Time Password, OTP)를 도입하고 있다. 본고에서는 일회용 패스워드에 대한 인증 기술과 OTP 통합 인증 센터로 구성되는 OTP 통합 인증 시스템에 대해 검토하며 취약성에 대해 살펴보고 이에 대한 대응 방안으로 서비스 제공자의 식별자를 포함한 일회용 패스워드 생성 매체를 이용하는 사용자 인증 시스템을 구성한다. 또한 USB 토큰 형태의 일회용 패스워드 매체를 이용하여 다수의 서비스 제공자의 일회용 패스워드를 지원하는 인증 시스템을 제안한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.763-765
• /
• 2003

본 논문에서는 RFC 1760 표준 S/KEY 일회용 패스워드 인증 스킴이 서버 스푸핑 공격 재시도 공격 오프라인 패스워드 공격, 능동적 공격 등 여러 가지 공격에 취약함에 대해서 설명하고 이들 공격에 안전한 스마트 카드를 이용한 새로운 스킴을 제안한다. 본 논문에서 제안한 스킴은 스마트 카드를 이용한 안전한 S/KEY 일회용 패스워드 인증 스킴으로 기존의 S/KEY 일회용 패스워드 인증 스킴의 보안 문제점을 개선하였으며 상호 인증을 가능하게 하는 새로운 스킴으로 여러 가지 안전성 향상을 보인다.

• The KIPS Transactions:PartC
• /
• v.8C no.4
• /
• pp.373-378
• /
• 2001

사용자 고유번호와 패스워드 기반의 사용자 인증 메커니즘을 수행하는 네트워크 시스템 환경에서는 스니퍼 프로그램 등을 이용하여 불법 도청함으로써 쉽게 사용자 패스워드를 알아낼 수 있다. 이러한 불법적인 도청에 의한 패스워드 노출 문제를 해결하는 방법으로 일회용 패스워드, challenge-response 인증 방식이 유용하게 사용되며, 클라이언트/서버 환경에서는 별도 동기가 필요 없는 시간을 이용한 일회용 패스워드 방식이 특히 유용하게 사용될 수 있다. 그러나 시간을 이용한 일회용 패스워드 방식에서는 시간편차에 의한 인증 실패가 발생할 수 있다. 이 논문에서는 시간편차에 의한 인증이 실패할 가능이 있는 기간을 표시하는 1-비트 정보를 이용하여, 시간편차에 의한 실패가 발생하지 않는 효율적인 일회용 패스워드 알고리즘을 제안한다. 제안된 알고리즘은 기존의 시간을 이용한 일회용 패스워드 시스템에 프로토콜의 변경 없이 쉽게 구현이 가능하다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.377-380
• /
• 2002

본 논문에서는 스트림 데이터를 인증하는데 적합한 일회용 서명 기법을 제시한다. 스트림 인증에 일회용 서명 기법을 사용할 경우, 가장 큰 문제점은 큰 서명 크기로 인해 네트워크 오버헤드가 많다는 점이다. 제시한 기법은 기존 일회용 서명 기법 중 서명 크기와 검증 연산량이 가장 낮다. 스트림 인증에 적합한 기존 기법과 서명 연산량을 비교하면, HORS보다는 다소 높지만, BiBa나 Powerball보다 매우 낮다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.238-241
• /
• 2003

본 논문에서는 스트림 데이터를 인증하는데 적합한 일회용 서명 기법을 제시한다. 스트림 인증에 일회용 서명 기법을 사용할 경우, 가장 큰 문제점은 큰 서명 크기로 인해 네트워크 오버헤드가 많다는 점이다. 제시한 기법은 기존 일회용 서명 기법 중 서명 크가 가장 작다. 또한, 제시된 기법의 검증 연산량은 매우 작다. 스트림 인증에 적합한 기존 기법과 온라인 서명 연산량을 비교하면, HORS보다는 다소 많지만, BiBa나 Powerball보다 적다.

• Journal of Digital Convergence
• /
• v.11 no.12
• /
• pp.423-430
• /
• 2013

With the active Internet e-commerce and the financial sector, mutual authentication between users and service providers has become very important. Because ID- and password-based authentication is of low security, one-time password authentication methods are widely used. The existing one-time password authentication scheme of S/Key authentication method is fraught with a number of issues in addition to plain text transmission, and the method of Kim Gong-ki et al. does not offer suggestions for session key generation and distribution method. Proposed in this paper is a protocol that solves these problems.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 1998.12a
• /
• pp.277-287
• /
• 1998

본 논문에서는 먼저 인증에 대한 개념, 인증 서비스를 하기 위한 사용원칙, 그리고 인증 메커니즘의 분류를 살펴보고 특히, 일회용 패스워드를 이용한 인증 시스템의 현황과 기 제안 방식들의 특장점 등을 논의한다. 그리고, 이러한 논의를 바탕으로 국내 실정에 적합한 일회용 패스워드시스템의 표준화를 위한 표준화 방향을 검토하여 표준 시스템을 제안하고 이의 실용성과 안전성을 평가해 보기로 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.211-213
• /
• 2004

무선 인터넷의 활성화와 더불어, 사용자 인증을 위해 801.1x EAP, CHAP 및 PAP를 이용한 다양한 인증 방식이 사용되고 있다. 그 중에서도 RADIUS 및 CiscoSecure ACS와 같은 인증 서버에서는 RSA의 SecureID 및 S/Key와 같은 일회용 패스워드 방식을 지원하고 있다. 본 논문에서는 Casper 도구를 사용하여 CiscoSecure ACS 환경에서 동작하는 일회용 패스워드 방식을 명세하고, 모델체킹 도구인 FDR을 이용하여 안전성을 분석하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.739-742
• /
• 2011

스마트폰의 보급과 함께 등장한 스마트지갑은 스마트폰을 이용한 지불 시스템이다. 스마트지갑을 이용하여 결제를 수행하기 위해서는 결제단말과 스마트폰의 페어링 과정이 필요하다. 페어링을 통해 결제가 이루어지는 만큼 페어링 과정의 보안이 중요하다. 하지만 현재의 페어링과정에 적용되는 보안절차는 이미지 비교, 바코드, 사운드 등의 원시적인 차원의 보안절차만이 적용되어 있는 수준으로 보안강도가 낮다. 본 논문에서는 일회용 패스워드를 이용하여 기존의 페어링의 취약점을 보완하려고 한다. 일회용 패스워드를 이용하기 위해서는 사용자의 모바일ID를 검증하는 인증서버가 필요하다. 인증서버와 사용자 인증을 수행하는 단말사이의 통신은 해시 값을 이용하여 통신함으로 보안성을 높일 수 있다. 또한, 일회용 패스워드 기반의 스마트 지갑은 지불 서비스 이외에도 출입인증수단으로 이용될 수 있다.

• Journal of Korea Multimedia Society
• /
• v.14 no.6
• /
• pp.785-793
• /
• 2011

Since then, with the advance of computing environment, various Internet services are emerging and the importance of user authentication technology is increasing for verifying users authorized to use such services. Along with the advance of authentication technology, research is being made actively on one time password, which is used once in a session and then discarded. In existing one time passwords, however, the values of one time passwords in a created table are stored in serial order, and therefore, if the seed value and the number of one time passwords used are disclosed, one may infer the value of the one time password to be used next. What is more, one time passwords of the S/Key type have the problem that the number of uses is fixed. In this paper, We analysis the existing one time password. Also, We propose one time password methods using elliptic curve cryptography scheme and using enhanced randomness with time value.