• 정보처리학회논문지C
• /
• 제12C권7호
• /
• pp.959-964
• /
• 2005

최근에 KIM03[9]은 지문과 스마트카드를 이용한 ID기반의 인증 기법을 제안하였다. 하지만 Scott[10]은 KIM03의 인증 기법이 소극적 공격(Passive attack)에 취약함을 보였다. 본 논문에서는 KIM03의 인증 기법에 존재하는 문제점을 해결할 수 있는 강화된 ID기반의 인증 기법을 제안한다. 특히, 본 논문에서 제안한 기법은 기존의 ID 기반의 암호화 시스템이 공유하는 문제점인 ID 복구문제(Repairability)를 해결한다. 본 논문에서 제안한 ID 기반의 인증 프로토콜은 ID기반의 암호화 시스템의 장점을 유지하면서 이 방식의 문제점들을 효율적으로 해결한다.

• 한국콘텐츠학회논문지
• /
• 제19권7호
• /
• pp.421-426
• /
• 2019

현재 사용자 인증에는 지식기반(ID/PW 등)인증과 생체기반(홍채/지문/정맥 인식 등)인증, 소유기반(OTP, 보안카드 등)인증 등 다양한 종류의 기술을 사용하고 있다. 지식기반 인증인 ID/PW인증 기술은 구현 및 유지 보수 비용이 적게 들며, 사용자에게 익숙한 방식이라는 장점에도 불구하고 해킹 공격에 취약하다는 단점을 가지고 있다. 다른 인증 방식들은 ID/PW인증기술에서의 취약점을 해결하였지만, 초기 구축비용과 유지보수시 비용이 많이 발생한다는 점과 재발급 시 번거로운 문제점을 가지고 있다. 본 논문에서는 기존의 ID/PW기반 인증 기술보다 보안성과 편리성을 증진시키고, 인증에 사용되는 기기에 제약이 없는 사용자 인증을 안전하게 할 수 있는 방안을 제안한다.

• 한국콘텐츠학회논문지
• /
• 제15권11호
• /
• pp.501-508
• /
• 2015

대부분의 웹사이트나 정보시스템은 사용자를 식별하고 인증하기 위하여 ID/PW(Identification/Password) 기술을 사용하고 있다. 그러나 ID/PW 기술은 보안에 취약하다. 또한 사용자는 ID와 PW를 기억해야하고, 패스워드는 쉽게 예측하지 못하도록 영문자, 숫자, 특수문자 등을 조합하여 복잡한 패스워드를 사용해야 하고, 주기적으로 패스워드를 변경해야 한다. 이에 본 논문에서는 외장 스토리지에 사용자 인증정보를 저장하여 사용자를 인증하는 방법을 제안하였다. 이를 통해 다른 사람이 ID와 PW가 알게 되더라도 인증정보가 저장된 외장 스토리지가 없이는 사용자 인증이 되지 않는다. 사용자 인증정보는 사용자가 로그인에 성공할 때마다 새로운 인증정보가 생성되어 외장 스토리지에 저장된다. 따라서 제안한 사용자 인증 방법은 기존의 ID/PW 기술을 활용하는 웹사이트나 다양한 정보시스템 등에서 활용된다면 보안성을 크게 향상시키고, 사용자의 ID만을 사용하기 때문에 사용자의 편의성도 크게 향상될 것으로 기대한다.

• 인터넷정보학회논문지
• /
• 제10권4호
• /
• pp.223-230
• /
• 2009

원격 사용자 인증기술 중 패스워드에 기반을 둔 기술은 아직도 가장 보편적으로 사용되고 있는 인증 기술이다. 2004년 Das 등이 제안한 "동적 ID 기반의 원격 사용자 인증기술"은 스마트카드의 연산 기능을 이용하여 패스워드를 생성하고, 원격 시스템에서는 연산량이 적은 해쉬와 XOR만으로 인증을 수행할 수 있는 안전한 인증기법이다. 이 기법은 동적 ID 채용으로 ID도난을 방지하며, 인증시각을 이용하여 재사용 공격을 방지하는 특징이 있다. 그 밖에도 많은 공격에 대응할 수 있도록 고안되었다. 하지만, 이 기법은 후에 패스워드와 관계없이 원격 시스템에 인증이 가능한 치명적인 오류 뿐 아니라, 위장공격, 추측공격에 취약함이 밝혀졌다. 더욱이 인증 시각 정보를 이용하여 재사용 공격을 막은 기능도 최근의 실시간으로 이루어지는 재사용 공격에는 취약함을 보이고 있다. 본 논문에서는 Das 기법이 실시간 재사용공격에 취약한 점을 증명하고, 매번 변경되는 인증횟수를 이용하여 이를 개선하는 향상된 인증기법을 제안하였다. 향상된 인증기법은 기존 Das 기법이 가지는 장점을 그대로 계승하며, 추측공격, 위장공격, 실시간 재사용 공격에 대응하고, 상호인증 기능을 제공한다.

• 한국산학기술학회논문지
• /
• 제17권7호
• /
• pp.319-325
• /
• 2016

핀테크의 활성화로 모바일 결제를 위한 다양한 기반 서비스들이 개발되고 있다. 각종 결제 방식이 개발되고, 결제의 신뢰성을 향상시키기 위한 인증 방식이 개발되고 있다. 그러나, 모바일 간편 결제 서비스 시, 전화번호에 의해 인증이 이루어지므로 누출 가능성이 있어 보안이 취약하다. 따라서, 본 논문에서는 전화번호 기반의 인증과정을 개선하기 위해 모바일 디바이스의 고유한 식별자인 디바이스 ID를 활용하여 인증 과정의 신뢰성을 높이기 위한 방안을 제안한다. 핵심 연구 내용은 모바일 디바이스 ID를 기반으로 모바일 결제 인증을 위한 아키텍쳐와 인증 프로세스이다. 모바일 결제 아키텍쳐는 모바일 디바이스, 인증 서비스, 그리고 모바일 결제 어플리케이션으로 구성된다. 모바일 디바이스는 모바일 디바이스 ID와 전화번호로 구성하며, 인증 서버는 인증 모듈과 암호화 모듈로 구성된다. 모바일 결제 서비스는 사전 인증 모듈과 복호화 모듈로 구성된다. 모바일 결제 서비스의 프로세스는 모바일 디바이스, 인증 서버, 그리고 모바일 결제 어플리케이션 간에 암호화된 인증 정보(디바이스 ID, 전화번호, 인증 번호)에 의해 처리된다. 모바일 디바이스는 전화번호와 디바이스 ID를 인증 서버로 전달하며, 인증 서버는 인증 과정과 암호화 과정을 통해 사용자를 인증한다. 모바일 결제 어플리케이션은 전달받은 인증 번호에 대해 복호화를 통해 사전 인증 과정을 수행한다. 본 논문의 인증 서버의 인증 과정과 모바일 결제 서비스의 사전 인증 과정을 통해 기존 결제 서비스의 인증 번호 누출에 의한 위험을 예방할 수 있는 차별성을 제공할 것이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.1381-1384
• /
• 2009

인터넷 인구가 크게 증가함에 따라 인터넷 상의 ID와 개인정보 관리 문제가 크게 대두되고 있다. 이에 대한 해결책으로 통합 ID 관리 시스템이 고안되었으며 이 방법들 중 하나로 사용자 중심의 분산형 인증을 제공하는 OpenID가 있다. 현재 OpenID는 보안적인 기능을 담당하는 신뢰모델에 대한 표준화가 되어있지 않기 때문에 ID와 Password 이외에 사용자를 인증하는 다른 방법이 없는 문제점이 있다. 본 논문에서는 OpenID의 인증 및 신뢰성을 강화하기 위해 OTP 생성 매체인 Mobile One Time Password를 적용한 OpenID기반의 MOTP를 이용한 사용자 인증 시스템을 제안하고 설계한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 한국컴퓨터종합학술대회논문집 Vol.34 No.1 (D)
• /
• pp.35-39
• /
• 2007

OpenID는 웹 서비스를 위한 사용자 중심의 분산형 인증 메커니즘을 제공한다. OpenID를 이용하면 기존의 아이디와 패스워드를 이용한 인증방법보다 더 편리한 회원등록과 로그인 기능을 제공 할 수 있다. 본 논문에서는 OpenID를 이용하여 모바일 웹 환경에서의 사용자 인증 메커니즘을 설계한다. 먼저, 이동통신 망과 무선인터넷에서의 사용자 인증기술에 대해서 분석하고, OpenID를 이용한 개선된 모바일 웹 사용자 인증 메커니즘을 제안한다. 제안하는 메커니즘의 목표는 모바일 웹 사용자에게는 보다 효율적인 회원등록과 로그인 기능을 제공하고, 모바일 웹 서비스 제공자에게는 좀 더 신뢰성 있는 사용자 인증 수단을 제공하는 데 있다.

• 디지털융복합연구
• /
• 제13권7호
• /
• pp.197-205
• /
• 2015

기존의 웹 인증방식은 주민등록번호를 이용하여 신용평가회사의 실명확인 데이터베이스를 통해서 인증 방식과 주민등록번호를 이용한 인증 방식을 개선한 대체인증 수단인 아이핀 인증방식 등이 있다. 기존 인증 방식을 개선하여 모든 웹에서 이용할 수 있는 통합 ID 인증 프로토콜을 제안한다. 제안한 인증 방식은 안전성을 높이기 위해서 사용자 검증값을 암호화하여 인증기관의 데이터베이스에 고유 식별번호로 저장한다. 그리고 해당 웹에 로그인하기 위해 필요한 패스워드는 일회용 난수를 인증기관으로부터 수신하기 때문에 사용자가 패스워드를 따로 기억할 필요가 없고 스마트폰을 사용하여 난수를 수신한다. 웹은 데이터베이스에 사용자의 개인정보를 저장하지 않기 때문에 개인정보 관리가 용이하며 사용자에게는 통합 ID 하나만 기억하고 매번 일회성 난수를 패스워드로 발급받아 여러 ID와 패스워드를 기억하고 관리하지 않아도 되는 편리성을 제공해 준다.

• 한국콘텐츠학회논문지
• /
• 제17권7호
• /
• pp.571-578
• /
• 2017

사용자가 스마트 기기 및 개인 PC를 통해 정보 시스템에 접근하기 위해서는 사용자 인증을 통한 정당한 사용자임을 증명해야한다. 이때 사용되는 사용자 인증 기술에는 ID/PW 기반 인증기술, OTP(One-Time-Password), 인증서, 보안카드, 지문인식 등 다양하다. 그 중에서 ID/PW 기반 인증기술은 사용자에게 익숙하지만 무작위 대입공격, 키로깅, 사전공격 등의 패스워드 공격에 취약하며 이러한 공격에 대응하기 위해 사용자는 복잡한 패스워드 조합 규정에 따라 주기적으로 패스워드를 변경해야한다. 본 논문에서는 기존 ID/PW 기반 인증 기술보다 보안성을 높이면서 패스워드를 사용하지 않고 스마트폰의 USIM 정보를 이용한 사용자 인증 시스템을 설계 및 구현하였다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2009년도 추계학술발표논문집
• /
• pp.949-952
• /
• 2009

인터넷 서비스를 사용하기 위해서 사용자들은 이름과 주민등록번호로 실명 인증을 받은 후에 ID를 부여 받았으나, 최근 보안상 문제로 주민등록번호 대체 수단인 I-PIN 서비스를 사용하고 있다. 그리고 하나의 ID로 통합하여 인터넷 서비스를 받을 수 있는 OpenID 서비스가 국내에서도 시행중이지만 사용자 인증이 없어 악성 댓글과 스팸 등으로 악용될 수 있으며 피싱에 대한 문제점을 지적하고 있다. 본 논문에서는 OpenID에서 회원가입을 할 때 I-PIN을 사용하여 사용자 인증을 하는 기법을 제안하고 악의적인 IDP와 RP의 피싱 문제점을 보안하였다. 기존의 OpenID와 I-PIN을 적용한 OpenID를 비교분석을 통하여 보안적인 측면이 강화된 것을 확인할 수 있으며 피싱에 안전하도록 설계하였다.