• 한국정보통신학회논문지
• /
• 제26권5호
• /
• pp.656-661
• /
• 2022

네자리 디지털 숫자를 입력하는 패스워드 방식이 신용카드 승인용 비밀번호, 디지털 도어락 개폐 비밀번호 등으로 널리 활용되고 있다. 하지만 이 패스워드 방식에서는 네자리의 숫자가 손가락 지문이나 버튼의 마모 등으로 쉽게 추측될 수 있어서 보안 상 안전하지 않다. 또한 장기화되는 코로나19 팬데믹으로 인해 인증에서 접촉 방식보다는 비접촉 방식이 점점 더 선호되고 있다. 본 논문에서는 카메라로 촬영된 얼굴의 눈깜빡임 패턴 분석에 기반한 패스워드 생성 방법을 제안한다. 제안 방법은 0부터 9까지(또는 9부터 0까지) 카운팅 되는 신호에 맞춰 행해진 일련의 눈깜빡임 동작을 분석하고 코드화하여 십진수 네자리를 생성한다. 제안 방법은 패스워드 노출 위험이 유발되는 키패드 입력이나 과장된 행동을 필요로 하지 않는다는 장점이 있다.

• 정보보호학회논문지
• /
• 제20권3호
• /
• pp.9-21
• /
• 2010

최근 유명 온라인 쇼핑몰 사이트가 해킹을 당해 많은 사용자들의 ID, 패스워드, 계좌번호, 주민등록번호, 신용카드번호와 같은 개인 정보들이 누출되었다. 해커들은 계속해서 온라인 쇼핑몰 사이트에 대한 공격을 하고 있으며 해킹피해자들의 수도 증가하고 있다. 신용카드 번호가 누출되면, 해커들이 금전적인 이득을 취하기 위해 누출된 카드번호를 악용할 수 있어 특히 위험하다. 2007년 Financial Cryptography 학회에서 Ian Molly 등이 최초로 일회용 가상카드번호 생성 스킴을 제안한 바 있으나, 재사용불가의 특성을 제공하지 못한다. 본 논문에서는 Ian Molly 스킴의 취약성을 분석하고, 휴대단말기를 활용하여 일회용 가상카드번호의 보안요구사항을 만족하는 새로운 일회용 가상카드번호 생성 스킴을 제안하였다. 또한, 이를 기반으로 사용자 편의성과 보안성강화를 위해 통합인증센터를 활용한 일회용 가상카드 결제 프로토콜을 설계한다.

• 한국전자통신학회논문지
• /
• 제9권10호
• /
• pp.1145-1152
• /
• 2014

RFID(Radio-Frequency IDentification)시스템은 무선으로 사물을 식별하는 기술로 물류, 운송, 유통, 재고관리 등과 같은 물품관리를 획기적으로 개선할 수 있는 새로운 방법이다. 그러나 무선을 사용하고 있는 RFID는 통신구간에 대한 보안의 취약성 때문에 정보 누출 및 변조 같은 위험성을 가지고 있다. 우리는 이런 RFID 통신 시스템에 복잡계의 대표적인 계인 Tent-Map을 적용하여 새로운 인증 프로토콜을 설계하였다. 복잡계의 대표적인 특징인 초기치 민감성과 불규칙성을 RFID의 Reader 와 Tag에 적용하여 보다 견고하고 간략한 인증시스템을 설계하였다. 본 논문에서 보인 복잡계를 이용한 RFID 인증 프로토콜 설계는 기존의 Hash 함수나 난수에 의존되었던 인증 시스템에 차별화된 새로운 방법으로 그 활용성을 검증하는데 그 목적이 있다.

• Journal of information and communication convergence engineering
• /
• 제8권4호
• /
• pp.437-442
• /
• 2010

Ubiquitous mobile computing is becoming easier and more attractive in this ambient technological Internet world. However, some portable devices such as Personal Digital Assistant (PDAs) and smart phones are still encountering inherent constraints of limited storages and computing resources. To alleviate this problem, we develop a cost-effective protocol, iATA to transfer ATA commands and data over TCP/IP network between mobile appliances and stationary servers. It provides mobile users a virtual storage platform which is physically resided at remote home or office. As communications are made through insecure Internet connections, security risks of adopting this service become a concern. There are many reported cases in the history where attackers masquerade as legitimate users, illegally access to network-based applications or systems by breaking through the poor authentication gates. In this paper, we propose a mutual authentication and secure session termination scheme as the first and last defense steps to combat identity thief and fraud threat in particular for iATA services. Random validation factors, large prime numbers, current timestamps, one-way hash functions and one-time session key are deployed accordingly in the scheme. Moreover, we employ the concept of hard factorization problem (HFP) in the termination phase to against fraud termination requests. Theoretical security analysis discussed in later section indicates the scheme supports mutual authentication and is robust against several attacks such as verifiers' impersonation, replay attack, denial-of-services (DoS) attack and so on.

• 정보보호학회논문지
• /
• 제21권1호
• /
• pp.77-84
• /
• 2011

문자와 숫자의 조합으로 이루어진 패스워드는 외우기 쉽고 사용하기 쉽지만 낮은 복잡도를 가지고 있다. 그렇기 때문에 안전하지 않은 환경에서 키보드와 같은 입력 장치를 통하여 패스워드를 그대로 입력하는 행위는 훔쳐보기와 같은 공격으로 쉽게 노출될 수 있다. 이러한 문제를 극복하고자 사용자 비밀의 형태를 다른 것으로 바꾸거나 복잡한 입력과정을 통하여 인증을 수행하는 방법들이 제안되고 있으나, 보안성과 사용자 편의성에 있어서 적합한 타협점을 찾지 못하고 있다. S3PAS는 사용자의 편의성을 만족시키면서 훔쳐보기로부터 사용자의 패스워드를 보호할 수 있는 보안성도 갖추었다고 알려진 인증기법이다. 그러나 공격자가 인증 세션을 여러 번 바라본 이후에 얻어낸 정보를 이용하여 인증을 시도하는 교차 공격에 대해서는 고려하지 않았다. 이 논문에서는 S3PAS에 대하여, 인증세션이 여러 번 공격자에게 노출되었을 때 발생할 수 있는 보안문제에 대해서 살펴보고, 사용자 실험과 모의실험을 통하여 이를 확인한다. 또한, 이러한 문제를 극복하기 위한 대안에 대하여 고찰한다.

• International journal of advanced smart convergence
• /
• 제10권2호
• /
• pp.10-14
• /
• 2021

Today people adopt various contents from their mobile devices which lead to numerous platforms. As technology of 5G, IOT, and smart phone develops, the number of people who create, edit, collect, and share their own videos, photos, and articles continues to increase. As more contents are shared online, the numbers of data being stolen continue to increase too. To prevent these cases, an authentication method is needed to encrypt the content and prove it as its own content. In the report, we propose a few methods to secure various misused content with secondary security. A unique private key is designed when people create new contents through sending photos or videos to platforms. The primary security is to encrypt the "Private Key" with a public key algorithm, making its data-specific "Timeset" that doesn't allow third-party users to enter. For the secondary security, we propose to use Message Authentication Codes(MACs) to certify that we have produced the content.

• 정보보호학회논문지
• /
• 제21권1호
• /
• pp.135-141
• /
• 2011

최근 다양한 기능을 탑재한 모바일 장치가 보급되고 개인정보를 다루는 각종 응용들이 등장하면서 사용자에 대한 인증이 중요한 이슈가 되고 있다. 본 논문에서는 기존의 PIN 방식과 더불어 터치스크린 상에서 입력을 하였을 때 얻을 수 있는 터치 위치데이터를 인증에 이용하는 터치 위치기반 인증방법을 제안한다. 본 연구에서 제안하는 방식은 키 패드를 이용하는 기존의 PIN 입력 방식과 동일한 인터페이스를 이용하므로 호환성을 제공하며, 기존 PIN 입력 방식의 안전성을 높이는 방법 중 하나인 행위 분석 방식에 비해 사용자 등록 단계가 간소화되어 편의성을 제공한다. 사용자 인증 실험 결과에 의하면 서로 다른 사용자가 같은 PIN 및 전화번호를 입력한다고 가정할 때 4자리, 6자리 PIN 및 11자리 전화번호에 대해 각각 8.1%, 6.2%, 8.1%의 EER을 나타내었으며, 이를 사용자마다 다른 PIN 및 전화번호를 사용하는 상황에 적용하면 매우 높은 사용자 인식 성능을 보장할 수 있다. 또한 기존 PIN 입력 방식과 동일한 크기의 패스워드(PIN) 탐색 공간을 갖도록 파라미터를 설정한 후 수행한 공격 실험에 의하면 같은 안전성을 가지는 기존의 PIN 입력 방식에 비해 제안한 방식이 매우 높은 안전성을 가짐을 확인할 수 있었다.

• Journal of Computing Science and Engineering
• /
• 제5권1호
• /
• pp.51-70
• /
• 2011

This paper introduces a new credit card payment scheme called No Number Credit Card that can significantly reduce the possibility of credit card fraud. The proposed payment system is loosely based on Kerberos, a cryptographic framework that has stood the test of time. In No Number Credit Card, instead of card numbers, only payment tokens are exchanged between the customers and merchants. The tokens are generated based on the payment amount, payment type, client information, and merchant information. However, it does not contain the credit card number, so the merchant or a database hacker cannot acquire and illegally use any credit card numbers. The No Number Credit Card system is ideal for online e-commerce transactions and can be used with any credit card that users possess. It can be used with minor modifications to the current card payment system. We provide the principles of its operation through scenario analysis, a sample implementation, and a security analysis

• 디지털융복합연구
• /
• 제13권8호
• /
• pp.315-320
• /
• 2015

온라인 서비스에서 사용자 인증은 정확하고 안전한 서비스를 위해 꼭 필요하다. 이러한 사용자 인증을 위해 OTP(One Time Password)가 많이 활용된다. OTP는 일회성이라는 특성을 만족시키기 위해 분실 및 망실의 위험이 있는 OTP 발생기나 보안카드 등을 사용하여 OTP 생성을 위한 연계 정보를 발생시키거나 최종 OTP 값을 생성한다. 본 논문에서는 u-Health care 시스템에서 수집되는 건강정보를 이용하여 OTP 발생기와 보안카드를 사용하지 않는 OTP 생성방식을 제안한다. 제안하는 방식은 웨어러블 기기를 통해 수집한 건강강보를 OTP 생성에서 사용하는 연계정보로 활용하는 방식이다. 제안하는 방식으로 생성한 OTP는 같은 인증번호가 얼마나 자주 생성되는지를 확인하는 충돌내성 실험에서 기존의 OTP 생성방식과 비슷한 결과를 나타내어 다양한 온라인 서비스에서 사용될 수 있을 것으로 판단된다.

• 한국산학기술학회논문지
• /
• 제7권4호
• /
• pp.635-641
• /
• 2006

RFID 시스템의 전자 태그, 리더 간의 무선 통신에서, 기존의 해쉬-락 관련 알고리즘은 스푸핑, 재전송, 트래픽 분석 및 위치 추적 등 보안상의 취약점이 존재한다. 본 논문에서는 개인정보 보호를 위한 기존의 해쉬-락 관련 알고리즘을 비교, 분석하였으며 이를 보완하기 위하여 실시간과 매 세션마다 리더로부터 수신한 난수를 이용하여 해쉬 함수를 생성하고 인증 프로토콜을 가지는 새로운 해쉬기반 보안 인증 알고리즘을 제안하였다. 제안한 알고리즘은 RFID 무선 인증 시스템에서 다양한 유용성을 제공할 수 있으며, 기존의 알고리즘에 비해 계산량을 절감할 수 있는 장점이 있다. 또한 추후 예상되는 주변의 수많은 태그중 필요한 태그만 선별하여 사용하며, 시간 기반으로 불필요 태그의 동작을 종료시켜 서버부담을 줄이는 방법이 될 것으로 기대된다.