DOI QR코드

DOI QR Code

HMAC-based 3-factor Authentication using OTP

OTP를 이용한 HMAC 기반의 3-Factor 인증

  • Shin, Seung-Soo (Dept. of Information Security, College of Information & Communication, Tongmyong University) ;
  • Han, Kun-Hee (Division of Information & Communication Engineering, Baekseok University)
  • 신승수 (동명대학교 정보보호학과) ;
  • 한군희 (백석대학교 정보통신학부)
  • Published : 2009.12.31

Abstract

Recently, most of information services are provided by the computer network, since the technology of computer communication is developing rapidly, and the worth of information over the network is also increasing with expensive cost. But various attacks to quietly intercept the informations is invoked with the technology of communication developed, and then most of the financial agency currently have used OTP, which is generated by a token at a number whenever a user authenticates to a server, rather than general static password for some services. A 2-factor OTP generating method using the OTP token is mostly used by the financial agency. However, the method is vulnerable to real attacks and therefore the OTP token could be robbed and disappeared. In this paper, we propose a 3-factor OTP way using HMAC to conquer the problems and analyze the security of the proposed scheme.

최근 컴퓨터 통신 기술이 발달함에 따라서 대부분의 정보 서비스가 온라인으로 이루어지고 있으며, 온라인 정보들의 가치 또한 높아지고 있다. 그러나 정보 기술의 발달에 따라 이를 공격하기 위한 다양한 공격 기법들도 생기고 있으며, 이 공격들로부터 안전한 온라인 서비스를 제공하기 위해서 일반적인 ID/Password 방식의 정적인 Password를 이용하는 것이 아니라 매번 새로운 Password를 생성하는 OTP를 이용하게 되었다. 현재 OTP 토큰을 이용한 2-factor OTP 생성방식이 주로 이용되고 있다. 그러나 이 2-Factor 인증방식은 OTP 토큰의 분실 또는 도난과 같은 물리적 공격에 대한 방어책을 제시하지 못한다. 본 논문에서는 이와 같은 문제를 해결하기 위해 HMAC을 이용한 3-factor 인증방식을 제안하며, 이와 함께 제안한 인증방식에 대한 안전성을 평가한다.

Keywords

References

  1. 금융감독원, "전자상거래 안전성 강화 종합대책," 9월, 2005.
  2. 백미연, "전자상거래의 보안 강화 방법 및 OTP 이용 현황," 지급결제와 정보기술, pp. 71-100, 2006.
  3. 박중길, 장태주, 박봉주, 류재철, "시간을 이용한 효율적인 일회용 패스워드 알고리즘," 한국정보처리학회 논문지 C, 8(4), 2001.
  4. N. Haller, "A One Time Password Standard," IETF RFC 1938, 1996.
  5. 금융보안연구원, "금융보안 주간 정보," 2006.
  6. M. Bellare, D. Jablon, H. Krawczyk, P. Mackenzie, P. Rogaway, R. Swaminathan and T. Wu, "Proposal for P1363 study group on password-based authenticated key exchange methods," 2000.
  7. 박왕석, 정종필, 박창섭, 이동훈, "패스워드를 이용한 인증 프로토콜에 대한 고찰", 통신정보보호학회 학술지 제9권 제4호, 1999.
  8. 서승현, 강우진, "OTP 기술현황 및 국내 금융권 OTP 도입사례," 한국정보보호학회, 6월, 2007.
  9. 류연호, "OTP 개념을 이용한 사용자-인증 서버의 상호 인증 모델," NuriMedia, 2005.
  10. X. Wang, Y. L Yin, and H. Yu, "Finding collisions in the full SHA-1," Advances in Cryptology Crypto'05, Lecture Notes in Computer Science 3621, Springer-Verlag, pp. 17-36, 2005.