Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

A Two-Factor User Authorization Method and Its Implementation using TOTP and Password

TOTP와 패스워드를 이용한 Two-Factor 사용자 인증 방식 및 구현

  • 제주환 (강남대학교 컴퓨터미디어정보공학부) ;
  • 유승록 (강남대학교 컴퓨터미디어정보공학부) ;
  • 임학창 (강남대학교 컴퓨터미디어정보공학부) ;
  • 배동환 (강남대학교 컴퓨터미디어정보공학부) ;
  • 이윤호 (강남대학교 컴퓨터미디어정보공학부) ;
  • 양형규 (강남대학교 컴퓨터미디어정보공학부)
  • Published : 2010.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

인터넷 및 통신 기술의 발전은 사용자로 하여금 금융, 방송, 게임 등의 온라인 서비스 제공에 대한 시간 및 공간적 제한을 없애 주였지만, 다른 한편으로는 해커 등의 악의적 사용자로 인한 피해 가능성도 높이고 있다. 이를 해결하기 위한 다양한 보안 기법 가운데 하나가 OTP를 이용한 사용자 인증 방법이다. OTP는 재사용하지 않는 패스워드로서 기존 패스워드 인증 방식이 갖는 취약점을 해결할 수 있는 방식이다. 하지만 OTP 생성 단말의 도난이나 서버 해킹으로 인한 패스워드 추측공격 또는 Stolen verifier 공격 등에 취약할 수 있다. 본 논문에서는 위와 같은 문제점을 해결하기 위해서 두 가지 인증 정보 즉, 시간 기반 OTP 생성방식인 TOTP 및 패스워드를 이용하는 새로운 Two-Factor 인증 프로토콜인 POTP(Password embedded OTP)를 제안한다. 제안한 방식은 재전송 공격에 안전하며, 공격자가 OTP 생성용 디바이스를 획득하더라도 패스워드를 유추할 수 없고 서버의 인증 정보 데이터베이스를 획득하더라도 정상적인 사용자로 위장할 수 함께, 서버에서 인증 정보 보관시 연산 속도가 빠른 해쉬 함수를 이용할 수 있어 보다 효율적이다.

Keywords

References

  1. CryptoCard,"CRYPTO," http://www.cryptocard.comlindex.php?option= com_content&view=article&id=253&Itemid=31/
  2. C.M.ChenandW.C.Ku, "Stolen-Verifier Attack on Two New Strong-Password Authentication Protocols," IEICE Trans. on Communications, Vol. E85-B, No. 11, pp. 2519-2521, 2002.
  3. IETF, "HOTP: An HMAC-Based One-Time Password Algorithm," RFC 4226, 2005.
  4. IETF, "TOTP: Time-based One-time Password Algorithm," http://tools.ietf.orglhtml/draft-mraihitotp-timebased-05, 2010.
  5. OATH, http://www.openauthentication.org/
  6. RSA Security, "SecureID," http://www.rsa.com/
  7. Vasco, "Digpass," http://www.vasco.com/products/digipass/ digipass_index.aspx
  8. Wei Dai, "Crypto++ 5.6.0 Benchmarks," http://www.cryptopp.com/benchmarks.html, 2009. 03.
  9. 에이티솔루션, "U-OTP의 원리 및 서비스 방식(1)," http://www.u-otp.co.kr/blog/42/
  10. 에이티솔루션, "일회용 비밀번호 생성방법과 키 발급 시스템 및 일회용 비밀번호 인증 시스템," 국내 특허 제1020070001141호(출원), 2007. 01.
  11. 이니텍, "동기식 일회용 비밀번호 생성 및 인증방법 및 그러한 일회용 비밀 번호를 생성하는 프로그램이 기록된 컴퓨터 판독 가능 기록 매체," 국내 특허 제100412986호(등록), 2003. 12.