• Journal of information and communication convergence engineering
• /
• 제5권4호
• /
• pp.346-350
• /
• 2007

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. It is the stability that is based on Square Root Problem, and we would like to suggest PBSI(Password Based Secure Identification), enhancing the stability, for all of the well-known attacks by now including Off-line dictionary attack, password file compromise, Server and so on. The PBSI is also excellent in the aspect of the performance.

• Journal of information and communication convergence engineering
• /
• 제3권4호
• /
• pp.213-216
• /
• 2005

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. It is the stability that is based on Square Root Problem, and we would like to suggest PBI(password Based Identification), enhancing the stability, for all of the well-known attacks by now including Off-line dictionary attack, password file compromise, Server and so on. The PBI is also excellent in the aspect of the performance.

• Journal of information and communication convergence engineering
• /
• 제4권4호
• /
• pp.166-169
• /
• 2006

Almost all network systems provide an authentication mechanism based on user ID and password. In such system, it is easy to obtain the user password using a sniffer program with illegal eavesdropping. The one-time password and challenge-response method are useful authentication schemes that protect the user passwords against eavesdropping. In client/server environments, the one-time password scheme using time is especially useful because it solves the synchronization problem. In this paper, we present a new identification scheme: OPI(One Pass Identification). The security of OPI is based on the square root problem, and OPI is secure: against the well known attacks including pre-play attack, off-line dictionary attack and server comprise. A number of pass of OPI is one, and OPI processes the password and does not need the key. We think that OPI is excellent for the consuming time to verify the prover.

• 한국정보통신학회논문지
• /
• 제13권1호
• /
• pp.81-86
• /
• 2009

사용자 고유번호와 패스워드 기반의 사용자 인증 매커니즘을 수행하는 네트워크 시스템 환경에서는 스니퍼 프로그램 등을 이용하여 불법 도청함으로써 쉽게 사용자의 패스워드를 알아낼 수 있다. 이러한 불법적인 도청에 의한 패스워드 노출 문제를 해결하는 방법으로 일회용 패스워드, Challenge-Response 인증 방식이 유용하게 사용되며, 클라이언트/서버 환경에서는 별도 동기가 필요 없는 시간을 이용한 일회용 패스워드 방식이 특히 유용하게 사용될 수 있다. 본 논문에서는 안전성은 Square root problem에 기초를 두고 있고, 프리플레이 공격, 오프라인 사전적 공격 그리고 서버 등을 포함하여 지금까지 잘 알려진 공격(해킹)들에 대해서 안전성을 높이기 위한 암호기반 시스템을 제안한다. 암호기반 시스템 확인은 패스워드를 생성하는데 특별한 키를 생성할 필요가 없다는 것이다. 암호기반 시스템은 검증자를 확인하는데 걸리는 시간이 적게 소요되면서 특출하다.

• Journal of information and communication convergence engineering
• /
• 제15권2호
• /
• pp.91-96
• /
• 2017

PIN-entry interfaces have high risks to leak secret values if the malicious attackers perform shoulder-surfing attacks with advanced monitoring and observation devices. To make the PIN-entry secure, many studies have considered invisible radio channels as a secure medium to deliver private information. However, the methods are also vulnerable if the malicious adversaries find a hint of secret values from user's $na{\ddot{i}}ve$ gestures. In this paper, we revisit the state-of-art radio channel based bimodal PIN-entry method and analyze the information leakage from the previous method by exploiting the sight tracking attacks. The proposed sight tracking attack technique significantly reduces the original password complexities by 93.8% after post-processing. To keep the security level strong, we introduce the advanced bimodal PIN-entry technique. The new technique delivers the secret indicator information through a secure radio channel and the smartphone screen only displays the multiple indicator options without corresponding numbers. Afterwards, the users select the target value by following the circular layout. The method completely hides the password and is secure against the advanced shoulder-surfing attacks.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2000년도 추계종합학술대회
• /
• pp.433-438
• /
• 2000

현재 널리 사용되고 있는 웹 환경에서 사용자 식별 및 인중관련 보안서비스가 취약할 뿐만 아니라 이의 활용에 문제를 안고 있다. 즉, HTTP 1.0에서는 BAA(Basic Access Authentication)을 채택하여 사용자 ID와 패스워드를 평문 상태로 전달한다[1]. HTTP1.1에서는 이를 개선하여 DAA(Digest Access Authentication) 방법을 권고하고 있지만, 웹 브라우저에서 이를 채택하지 않아 범용적으로 사용되지 못하고 있는 실정이다. 본 논문에서는 이러한 문제해결을 위해 자바기반 사용자 식별 및 인증 보안 서비스(JAA : Java-based Access Authentication)를 제안하고 이를 설계하였다. 제안시스템은 기존의 웹 환경과 독립성을 유지하기 때문에 모든 웹 환경에서 자연스러운 채택이 가능하다.

• 디지털산업정보학회논문지
• /
• 제7권3호
• /
• pp.63-74
• /
• 2011

Credit cards are more convenient than cash of heavy. Therefore, credit cards are used widely in on_line (internet) and off_line in nowadays. To use credit cards on internet is commonly secure because client identification based security card and authentication certificate. However, to use in off_line as like shop, store, department, restaurant is unsecure because of irregular accident. As client identification is not used in off_line use of credit cards, the irregular use of counterfeit, stolen and lost card have been increasing in number recently. Therefore, client identification is urgently necessary for secure card using in off_line. And the method of client identification must be simple, don't take long time, convenient for client, card affiliate and card company. In this paper, we study a reform measure of the structure and transaction process for the safety improvement of a credit cards. And we propose several authentication method of short-and long-term for client identification. In the proposal, the client authentication method by OTP application of smart-phone is efficient nowadays.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (하)
• /
• pp.2009-2012
• /
• 2003

본 논문은 이른바 패스워드 기반 인증(PBI)이라고 부르는 사람이 기억하기 쉬운 패스워드 처리 과정의 인중 프로토콜을 제안한다. PBI는 온라인 사전 방식의 공격과 패스워드 파일의 중간 결과물의 공격들에 대응하여 안전하다. PBI는 실행 결과에서도 역시 뛰어나다.

• 정보보호학회논문지
• /
• 제12권1호
• /
• pp.33-42
• /
• 2002

본 논문에서는 약한 키를 가지는 대화식 영지식 증명을 이용한 인증 프로토콜의 안전성을 강화하는 방법을 제시한다. 일반적으로 대화식 영지식 증명을 이용한 인증 프로토콜은 충분히 길고 랜덤한 비밀키를 가정하고 그 비밀키에 대한 영지식 증명을 수행하게 된다. 하지만 때에 따라서 충분히 길지 않거나 랜덤하지 않은 비밀키가 선택될 수 있다. 즉, 좋지 않은 난수 발생기를 써야 하는 경우, 또는 패스워드처럼 의도적으로 약한 키를 사용하는 경우가 생기며, 대화식 영지식 증명은 이에 적합하지 않다고 알려져 있다. 본 논문에서는 비밀 동전 던지기(Secret Coin Tossing)라는 개념을 제시해서, 일반적인 영지식 증명을 이용한 인증 프로토콜을 약한 키를 가지는 영지식 증명 기반 인증 프로토콜로 쉽게 변환할 수 있는 프레임웍을 제안한다. 또한, 이 프레임웍을 이용해서 설계된 인증 프로토롤이 ideal cipher mode에서 안전함을 보인다.

• 정보보호학회논문지
• /
• 제18권2호
• /
• pp.21-31
• /
• 2008

IT기술의 발전으로 유비쿼터스 환경이 구축되고 있으며, 많은 서비스의 제공 환경이 모바일 환경으로 전환되고 있다. 또한 기존에 집이나 회사 등 고정된 위치에서 제공받았던 서비스들이 모바일 단말기의 발전에 따라 이동성이 부여되어 사용자가 이동하면서도 서비스를 제공받도록 요구되고 있다. 휴대 인터넷은 모바일 단말기를 이용하여 이동하면서도 서비스를 제공받을 수 있으며, 모든 네트워크에서 인증이라는 요구 사항이 반드시 제공되어야 하듯이 휴대 인터넷에서도 UICC와 AAA 인증 서버간에 인증이 제공될 경우에만 서비스가 제공된다. 하지만 UICC에서 AAA 인증 서버에게 초기 인증 요청을 할 때 UICC의 식별 정보가 평문으로 노출되어 모바일 단말기의 프라이버시 노출의 문제점이 제기되고 있다. 이를 보완하기 위하여 모바일 단말기에서 발생한 OTP(One-Time Password)를 이용하여 단말기의 식별 정보를 가변하게 생성하고 프라이버시를 보호할 수 있는 방안에 대하여 제안한다. 또한 OTP 프레임워크로부터의 인증을 제공함으로서 사용자에게 안전한 서비스를 제공하고 OTP 통합 인증을 구체화할 수 있는 메커니즘에 관하여 제안한다.