• 디지털융복합연구
• /
• 제13권8호
• /
• pp.315-320
• /
• 2015

온라인 서비스에서 사용자 인증은 정확하고 안전한 서비스를 위해 꼭 필요하다. 이러한 사용자 인증을 위해 OTP(One Time Password)가 많이 활용된다. OTP는 일회성이라는 특성을 만족시키기 위해 분실 및 망실의 위험이 있는 OTP 발생기나 보안카드 등을 사용하여 OTP 생성을 위한 연계 정보를 발생시키거나 최종 OTP 값을 생성한다. 본 논문에서는 u-Health care 시스템에서 수집되는 건강정보를 이용하여 OTP 발생기와 보안카드를 사용하지 않는 OTP 생성방식을 제안한다. 제안하는 방식은 웨어러블 기기를 통해 수집한 건강강보를 OTP 생성에서 사용하는 연계정보로 활용하는 방식이다. 제안하는 방식으로 생성한 OTP는 같은 인증번호가 얼마나 자주 생성되는지를 확인하는 충돌내성 실험에서 기존의 OTP 생성방식과 비슷한 결과를 나타내어 다양한 온라인 서비스에서 사용될 수 있을 것으로 판단된다.

• 정보보호학회논문지
• /
• 제25권5호
• /
• pp.993-999
• /
• 2015

OTP(One time password)는 금융거래 등 보안이 중요한 작업에 인증 수단의 하나로 널리 사용된다. 일반 비밀번호(password) 기반의 인증과 달리 비밀번호를 한번만 사용한다는 점에서 강력한 보안을 제공하지만, OTP 카드 혹은 생성기를 가지고 있어야한다는 점에서 사용성에 제약이 있다. 이를 극복하기 위하여 스마트폰이 OTP 카드를 대체하여 코드 값을 생성하는 스마트 OTP(smart OTP)가 사용되기 시작하였다. 스마트폰에 NFC 통신 기능을 더하여 근거리통신을 통해 코드 값을 전달할 수도 있다. 이러한 스마트 OTP는 기존 OTP의 단점을 극복하여 OTP의 사용성을 향상시킨다. 하지만, 스마트폰이 지니는 보안 취약점으로 인해 OTP 코드 값 유출 등의 보안 문제가 발생할 수 있다. 따라서, 본 논문에서는 초경량 인증 프로토콜인 HB+ 프로토콜을 이용하여 OTP 코드를 인증하는 방안을 제안한다. 이를 통해 유출 등으로 남용되는 코드를 구별하도록 한다. 본 논문에서는 제안하는 방안의 효율성과 안전성에 대해서 논의하고 스마트 OTP의 안전한 사용에 기여하고자 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2001년도 추계종합학술대회
• /
• pp.510-513
• /
• 2001

OTP(One-time Password)는 지금까지 사용자 인증을 하기 위한 방법으로 많이 이용되어져 왔다. OTP를 이용한 사용자 인증은 상당히 효율적이고 경제적인 측면이 많아서 쉽게 이용할 수 있는 방법중 하나이다. 본 논문에서는 OTP를 메시지 인증에까지 적용하여 보고 OTP를 이용한 상호인증이 가능함을 제시하고자 한다. 먼저 서론에서는 OTP의 특징 및 개요에 대하여 살펴보고, 본론에서 OTP를 이용한 사용자 인증방법 및 메시지 인증의 방법에 대하여 설명한다. 그리고 마지막으로 OTP가 어떻게 상호인증 기능을 제공하는지 살펴보고자 한다.

• 한국통신학회논문지
• /
• 제37권6C호
• /
• pp.497-501
• /
• 2012

E-비즈니스의 발전으로 온라인 서비스가 증가하면서, 금융이나 게임업체 등에서 정적 패스워드에 대한 취약성을 보완하기 위해서 OTP(One-Time Password)를 사용하고 있다. 기존의 OTP는 전용토큰을 이용하는데, 토큰을 이용한 OTP 기술은 항상 전용토큰을 소지하여야 한다. 이러한 단점을 보완하기위해 스마트폰과 같은 모바일 기기를 이용한 모바일 OTP를 제안한다. 본 논문에서 제안하는 모바일 OTP 기법은 범용적으로 사용되고 있는 해쉬함수를 이용한 S/KEY OTP 기법의 해쉬 충돌성에 대한 문제를 해결하기 위해 Pairing 기법을 이용한 비선형적 함수를 이용하여 OTP를 생성한다. 제안한 Pairing 기반의 비선형 함수를 이용한 모바일 OTP 기법은 기존의 해쉬충돌성을 보완할 수 있으며, 금융업체 및 다양한 서비스에서 보안안전성을 강화하기 위해 폭넓게 응용될 수 있을 것이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.87-90
• /
• 2015

기존의 OTP(One-Time Password) 인증 시스템은 OTP 단말을 휴대해야하는 불편함이 있으며 생성한 OTP 값을 그대로 OTP 단말에 출력하기 때문에 주변에 쉽게 노출될 수 있다. 또한, 기존의 9자리 패턴 인식 방법은 같은 패턴 지점을 연속으로 인식시킬 수 없고 패턴을 그리는 경로에 다른 패턴 지점이 포함될 수 있다는 한계가 있어 제한적인 패턴 결과를 가진다. 따라서, 본 논문은 원형 배치된 패턴 지점 기반의 OTP 대칭 값 패턴 인증 시스템을 통해 OTP 단말을 휴대할 필요가 없게 하고, OTP의 각 자리 값을 대칭 값으로 표현함으로써 OTP 값의 노출을 막는다. 또한 모든 OTP 값으로 패턴 인식이 가능하도록 하기 위해 패턴 지점을 원형 배치하는 방법을 제안한다. 이는 직접적으로 OTP 값이 노출될 가능성을 감소시키고, OTP 인증을 위한 패턴 인식에서 패턴 지점을 원형 배치함으로써 모든 OTP 값이 패턴으로 변환될 수 있도록 한다. 본 논문은 패턴 지점의 원형 배치와 대칭 값을 이용한 OTP 인증 시스템을 제안하여 새로운 OTP 인증 방법으로 패턴 인식을 적용할 수 있도록 한다.

• 디지털융복합연구
• /
• 제10권2호
• /
• pp.183-191
• /
• 2012

본 논문에서는 사용자를 인증하는 방식 중 자신이 알고 있는 것과 소유하고 있는 것, 두 가지를 이용한 인증 모델을 모바일 OTP 구현검토 사항에 만족하는 모바일 OTP 생성 알고리즘과 안전한 OTP 추출 알고리즘으로 구성된 모바일 OTP 생성 모델을 제안한다. 기존 OTP 기반 시스템의 보안성을 높이기 위해서 모바일 OTP 생성단계에서 수행되는 사용자의 개인정보인 회원번호, 랜덤번호를 사용하여 보안의 안전성을 향상시켰다.

• 정보처리학회논문지C
• /
• 제17C권4호
• /
• pp.361-370
• /
• 2010

OTP(One Time Password)란 사용자가 인증시 안전한 메커니즘을 이용하여 매번 다른 패스워드를 생성하여 인증하는 방식을 말한다. OTP 인증 방식을 이용할 경우 공격자는 패스워드를 가로채어 정당한 사용자로 위장할 수 없게 된다. 이러한 OTP는 H/W 기반 또는 S/W 기반 형태로 구현될 수 있다. H/W를 기반으로 하는 단말기형과 카드형의 경우 배포 및 사용의 편의성 문제로 인해 대중화에 어려움이 존재하였다. 이를 대체하기 위한 방법으로 모바일이나 PC에 S/W 형태로 구현하는 OTP가 도입되고 있다. 하지만 S/W 제품은 구현상에 취약점이 존재할 경우 악의적인 공격의 대상이 될 수 있다는 문제점이 있다. 실제로 금융보안연구원의 보고서에서는 모바일 상에 탑재된 OTP의 경우 구현상에 취약점이 존재한다고 밝혔다. 하지만 PC상에 탑재된 OTP에 대해서는 현재까지 취약점 분석 사례가 존재하지 않는다. 이에 본 논문에서는 PC에 탑재된 OTP의 보안 검토사항을 도출하고, 실제 역공학을 통해 OTP 생성 메커니즘을 파악하여 취약점 분석을 수행하였다.

• 대한전자공학회논문지SD
• /
• 제46권5호
• /
• pp.9-14
• /
• 2009

표준 CMOS 공정을 이용한 CMOS 게이트 산화막 안티퓨즈의 새로운 OTP 단위 비트 구조를 제안하였다. 제안된 OTP 단위 비트는 NMOS 게이트 산화막 안티퓨즈를 포함한 3개의 트랜지스터와 인버터 타입 자체 센스 엠프를 포함하고 있다. 그럼에도 불구하고, 레이아웃 면적은 기존 구조와 비슷한 $22{\mu}m^2$이다. 또한, 제안된 OTT 단위 비트는 구조적 특징상 고전압 차단스위치 트랜지스터와 저항과 같은 고전압 차단 요소를 사용하지 않기 때문에, 프로그램 시간은 기존 구조보다 개선된 3.6msec이다. 그리고 제안된 OTP 단위 비트를 포함하는 OTP array는 센스 엠프가 단위 비트마다 집적되어 있기 때문에 기존 OTP array에서 사용된 센스 엠프와 바이어스 생성 회로가 필요 없다.

• 한국통신학회논문지
• /
• 제38B권5호
• /
• pp.377-384
• /
• 2013

비밀번호 기반의 사용자 인증은 동일한 비밀번호를 반복 사용하므로 보안이 취약하여 OTP(One-Time Password)가 도입되었다. 하지만 보안이 강화된 OTP를 서버와 동기된 모바일 기기에서 생성하여 PC에 입력하는 경우 PC가 악성코드에 감염되어 있으면 해커가 사용자 계정과 비밀번호 그리고 OTP값을 해킹할 수 있다. 본 논문에서는 OTP값 유출에 따른 보안 취약성을 해소하기 위해 사용자는 계정과 비밀번호를 PC에 입력하여 서버인증을 수행하고, PC 화면에 출력된 QR코드를 모바일 기기에서 스캔하여 OTP값을 직접 서버로 전송함으로써 정보 유출에 따른 해킹을 방지하고 PC에 OTP값을 입력하는 불편함을 줄이는 새로운 이중 인증 방식인 DTOTP를 제안한다. 시스템은 이중 전송을 통해 PC인증 방식의 OTP 보다 향상된 보안성을 제공하면서 기존 OTP 알고리즘을 그대로 사용할 수 있어 구현이 용이하며 은행, 포털 및 게임 서비스 등에 안전하게 활용할 수 있다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2009년도 춘계학술발표논문집
• /
• pp.154-157
• /
• 2009

정보통신기술의 발달로 온라인으로 많은 서비스가 이루어지면서 온라인을 통해서 송 수신 되는 정보들의 가치도 높아지고 있다. 현재 전자금융거래의 보안을 향상시키기 위해서 금융기관은 OTP 인증을 사용한다. OTP 인증은 패스워드 기반의 인증기술이며, OTP 토큰을 이용하여 OTP를 생성한다. 이러한 인증은 일방향 해시함수의 충돌성, OTP 토큰에 대한 물리적 공격, OTP 토큰의 전력소모에 따른 동기화 문제를 가지고 있다. 따라서 본 논문에서는 모바일 기기를 이용한 워터마킹 기반 3-Factor OTP 인증을 제안한다. 제안한 인증에서는 OTP를 생성하기 위해 사용자의 생체정보를 사용하며, 서비스 제공자는 사용자의 생체정보에 서버의 비밀정보를 워터마킹 기법을 이용하여 숨긴다. 워터마킹된 생체정보를 사용자의 모바일 기기의 저장하고, 이 정보를 통해 사용자는 생체정보를 인증하고, OTP를 생성한다. 제안한 인증기술은 OTP토큰을 휴대해야 하는 불편 대신에 대부분 성인이 휴대한 휴대폰과 같은 모바일 기기를 통해 OTP를 생성하고 인증을 할 수 있으며, 생체정보를 이용함으로써 다른 사용자가 OTP를 생성할 수 없도록 한다. 이러한 기법은 안전한 인증을 요구하는 모든 온라인 서비스에서 사용될 수 있다.