DOI QR코드

DOI QR Code

3-Factor Authentication Using HMAC-based One-Time Password

HMAC 기반의 일회용 패스워드를 이용한 3-Factor 인증

  • 김지홍 (동의대학교 영상정보공학과) ;
  • 오세웅 (동의대학교 게임공학과)
  • Published : 2009.06.30

Abstract

Recently, most of information services are provided by the computer network, since the technology of computer communication is developing rapidly, and the worth of information over the network is also increasing with expensive cost. But various attacks to quietly intercept the informations is invoked with the technology of communication developed, and then most of the financial agency currently have used OTP, which is generated by a token at a number whenever a user authenticates to a server, rather than general static password for some services. A 2-Factor OTP generating method using the OTP token is mostly used by the financial agency. However, the method is vulnerable to real attacks and therefore the OTP token could be robbed and disappeared. In this paper, we propose a 3-Factor OTP way using HMAC to conquer the problems and analyze the security of the proposed scheme.

최근 컴퓨터 통신 기술이 발달함에 따라 대부분의 정보 서비스가 온라인으로 이루어지고 있으며, 온라인 정보들의 가치 또한 높아지고 있다. 그러나 정보 기술의 발달과 더불어 이를 공격하기 위한 다양한 공격 기법들도 생기고 있으며, 이러한 공격으로부터 안정한 온라인 서비스를 제공하기 위해서 일반적인 ID/Password 방식의 정적인 Password를 이용하는 것이 아니라 매번 새로운 Password를 생성하는 OTP를 이용하게 되었다. 현재는 OTP 토큰을 이용한 2-Factor OTP 생성 방식이 주로 이용되고 있다. 그러나 2-Factor 인증 방식은 OTP 토큰의 분실 또는 도난과 같은 물리적 공격에 대한 방어책을 제시하지 못한다. 본 논문에서는 이와 같은 문제를 해결하기 위해 HMAC을 이용한 3-Factor 인증 방식을 제안하며, 이와 함께 제안한 인증 방식에 대한 안전성을 평가한다.

Keywords

References

  1. 금융감독원, "전자상거래 안전성 강화 종합대책," 2005년.
  2. 백미연, "전자상거래의 보안 강화 방법 및 OTP 이용 현황," 지급결제와 정보기술, 71-100쪽, 2006년.
  3. 박중길, 장태주, 박봉주, 류재철, "시간을 이용한 효율적인 일회용 패스워드 알고리즘," 한국정보처리학회논문지 Part C, 제 8(C)권, 제 4호, 373-378쪽, 2001년 8월.
  4. N. Haller, "A One Time Password Standard," IETF RFC 1938, 1996.
  5. 금융보안연구원, "금융보안 주간 정보," 2006년.
  6. 서승현, 강우진, "OTP 기술현황 및 국내 금융권 OTP 도입사례," 한국정보보호학회, 제 17권 제3호, 18-25쪽, 2007년 6월.
  7. 류연호, "OTP 개념을 이용한 사용자-인증 서버의 상호 인증 모델," NuriMedia, 2005년.
  8. X. Wang, Y. L Yin, and H. Yu, "Finding Collisions in the Full SHA-1," Advances in Cryptology Crypto'05," Lecture Notes in Computer Science 3621, Springer-Verlag, pp.17-36, 2005.