한국통신학회논문지 (The Journal of Korean Institute of Communications and Information Sciences)

  • 제34권4B호
  • /
  • Pages.435-441
  • /
  • 2009
  • /
  • 1226-4717(pISSN)
  • /
  • 2287-3880(eISSN)
한국통신학회 (The Korean Institute of Commucations and Information Sciences)
권호 표지

인증서를 이용한 보안성이 강화된 일회용 패스워드 검증 시스템의 설계

A Design of One-time Password Verification System with Enhanced Security Using Certificate

  • 발행 : 2009.04.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

일회용 패스워드 메커니즘은 동일한 비밀번호를 반복적으로 사용함으로써 발생할 수 있는 패스워드 재사용 문제를 해결한다. 그러나 패스워드 생성 시점에 주기적 대표성으로 인해 여전히 패스워드 재사용 문제가 존재하며, 시간 편차 및 인증 횟수 비동기화 등으로 인한 인증 실패가 발생할 수 있다. 본 논문에서는 비등기적으로 패스워드를 생성하여 사용자와 교환하고 교환한 패스워드에 대해 사용자의 개인키로 전자서명한 후 인증서와 함께 유효성 검증을 요청함으로써 부인방지를 보장한다. 위와 더불어 유효성 검증을 인증서 검증과 패스워드 검증으로 세분화하여 수행함으로써 보안성을 한층 더 강화할 수 있는 일회용 패스워드 검증 시스템을 제안하고 설계한다. 또한, 기존 메커니즘과의 비교 분석을 통해 제안하는 메커니즘이 재생공격, 부인방지, 동기화로 인한 실패 확률 등에서 우수함을 확인 할 수 있었다.

The one-time password system solves the problem concerning password reuse caused by the repeated utilization of an identical password. The password reuse problem occurs due to the cyclic repetition at the time of password creation, and authentication failure can occur due to time deviation or non-synchronization of the number of authentication. In this study, the password is created asynchronously and exchanged with the user, who then signs using a digital signature in exchange for the password and a valid verification is requested along with the certificate to ensure non-repudiation. Besides this, a verification system for one-time password is proposed and designed to improve security by utilizing the validity verification that is divided into certificate verification and password verification. Comparative analysis shows that the mechanism proposed in this study is better than the existing methods in terms of replay attack, non-repudiation and synchronization failure.

키워드

참고문헌

  1. 이성운, 김현성, 유기영, '패스워드 기반의 효율적인 키 교환 프로토콜', 한국정보과학회논문지, 정보통신 제31권 제4호, pp.347-352, 2004
  2. 최은정, 김찬오, 송주석, '공개키 암호 기법을 이용한 패스워드 기반의 원거지 사용자 인증 프로토콜', 한국정보과학회논문지, 정보통신 제30권 제1호, pp.75-80, 2003
  3. Cheng Xiao-rong, Feng Qi-yuan, Dong Chao, Zhang Ming-quan, 'Research and Realization of Authentication Technique Based on OTP and Kerberos', HPCASIA'05, pp.412-416, 2005
  4. 박중길, 장태주, 박봉주, 류재철, '시간을 이용한 효율적인 일회용 패스워드 알고리즘', 한국정보처리학회논문지, 제8-C권 제4호, pp.373-378, 2001
  5. SHIMIZU Akihiro, HORIOKA Tsutomu, INAGAKI Hirohito, 'A password authentication method for contents communication on the internet', IEICE transactions on communications, Vol.E81-B, No.8, pp.1666-1673, 1999
  6. Chris J. Mitchell, Liqun Chen, 'Comments on the S/KEY user authentication scheme', ACM Operating Systems Review, Vol.30, No.4, pp.12-16, 1996 https://doi.org/10.1145/240799.240801
  7. 유일선, 조경산, '공개키를 적용한 S/KEY 기반의 안전한 사용자 인증 프로토콜', 한국정보처리학회논문지, 제10-C권 제6호, pp.763-768, 2003
  8. Chun-Li Lin, Ching-Po Hung, 'Masquerade on One-Time Password Authentication Scheme', FGCN2007, pp.279-283, 2007
  9. 김영국, 'One Time Password', GIS, 2006. URL source: http://www.gsion.com
  10. 김기영, '일회용 패스워드를 기반으로 한 인증 시스템에 대한 고찰', 한국정보보호학회지, 제17권 제3호, pp.26-31, 2007
  11. 최동현, 김승주, 원동호, '일회용 패스워드(OTP : One-Time Password) 기술 분석 및 표준화 동향', 한국정보보호학회지, 제17권 제3호, pp.12-17, 2007
  12. Nail M. Haller, 'The S/KEY ONE-TIME PASSWORD SYSTEM', Internet Society Symposium on Network and Distributed System Security, pp.151-158, 1994
  13. Nail M. Haller, C. Metz, P. Nesser and M. Straw, 'A one-time password system', RFC2289, 1998
  14. 박왕석, 정종필, 박창섭, 이동훈, '패스워드를 이용한 인증 프로토콜들에 대한 고찰', 한국정보보호학회학술지, 제9권 제4호, pp.51-63, 1999
  15. Men Long, Uri Blumenthal, 'Manageable One-Time Password for Consumer Applications', ICCE 2007, pp.10-14, 2007
  16. 박중길, 김영진, 백규태, 백기영, 류재철, 'S/KEY를 개선한 일회용 패스워드 메커니즘 개발', 한국정보보호학회논문지, 제9권 제2호, pp.25-35, 1999
  17. J. Archer Harris, 'OPA : A One-Time Password System', ICPPW02, 2002
  18. PWDUMP6 Version1.7.2, 2008. URL source: http://www.foofus.net/fizzgig/pwdump/downloads.htm
  19. Solar Designer. John the ripper, 2003. URL source: http://www.openwall.com/john/
  20. Lim, R. 'Parallelization of John the Ripper using MPI'. Nebraska: University of Nebraska. January 22, 2004
  21. Alec D.E. Muffett, 'Crack v4.1 - A Sensible Password Checker for Unix'. Unix Software Engineer Aberystwyth, Wales, UK
  22. Bugtraq: ANNOUNCE : NTCrack v2.0. URL source: http://seclists.org/bugtraq/1997/Mar/0103.html