• 한국통신학회논문지
• /
• 제38B권5호
• /
• pp.377-384
• /
• 2013

비밀번호 기반의 사용자 인증은 동일한 비밀번호를 반복 사용하므로 보안이 취약하여 OTP(One-Time Password)가 도입되었다. 하지만 보안이 강화된 OTP를 서버와 동기된 모바일 기기에서 생성하여 PC에 입력하는 경우 PC가 악성코드에 감염되어 있으면 해커가 사용자 계정과 비밀번호 그리고 OTP값을 해킹할 수 있다. 본 논문에서는 OTP값 유출에 따른 보안 취약성을 해소하기 위해 사용자는 계정과 비밀번호를 PC에 입력하여 서버인증을 수행하고, PC 화면에 출력된 QR코드를 모바일 기기에서 스캔하여 OTP값을 직접 서버로 전송함으로써 정보 유출에 따른 해킹을 방지하고 PC에 OTP값을 입력하는 불편함을 줄이는 새로운 이중 인증 방식인 DTOTP를 제안한다. 시스템은 이중 전송을 통해 PC인증 방식의 OTP 보다 향상된 보안성을 제공하면서 기존 OTP 알고리즘을 그대로 사용할 수 있어 구현이 용이하며 은행, 포털 및 게임 서비스 등에 안전하게 활용할 수 있다.

• ETRI Journal
• /
• 제33권4호
• /
• pp.611-620
• /
• 2011

Since card-type one-time password (OTP) generators became available, power and area consumption has been one of the main issues of hardware OTPs. Because relatively smaller batteries and smaller chip areas are available for this type of OTP compared to existing token-type OTPs, it is necessary to implement power-efficient and compact dedicated OTP hardware modules. In this paper, we design and implement a low-power small-area hardware OTP generator based on the Advanced Encryption Standard (AES). First, we implement a prototype AES hardware module using a 350 nm process to verify the effectiveness of our optimization techniques for the SubBytes transform and data storage. Next, we apply the optimized AES to a real-world OTP hardware module which is implemented using a 180 nm process. Our experimental results show the power consumption of our OTP module using the new AES implementation is only 49.4% and 15.0% of those of an HOTP and software-based OTP, respectively.

• 한국정보과학회논문지:시스템및이론
• /
• 제29권5호
• /
• pp.291-298
• /
• 2002

키 교환 프로토콜에서 상호 인증은 필수 요소이며, 사용자에게 편리하고 비용이 적게 드는 패스워드 기반의 인증 방식이 널리 사용되고 있다. 패스워드 기반의 프로토콜은 패스워드가 가지는 제약으로 인한 공격에 대해서 안전해야 할 뿐 아니라, 사용자의 작업량을 줄이기 위한 효율성도 매우 중요한 요건 이다. 본 논문에서는 서버와 사용자간의 인증을 제공하고 세션키를 공유하기 위한 키 교환 프로토콜 OTP-EKE(One Time Password based Encrypted Key Exchange)를 제안하였다. 키 교환을 위한 사용자 인증방식으로 패스워드 방식을 채택하였다. 특히 서버 디렉토리에 대한 공격 등에 대해서 안전도를 높이기 위하여 원-타임-패스워드 확인자와 서버의 공개 패스워드를 이용하였다. 제안한 프로토콜은 모듈라지수승 계산 횟수와 메시지 전송 횟수를 줄임으로써 효율성 향상을 보인다.

• 융합보안논문지
• /
• 제18권2호
• /
• pp.11-17
• /
• 2018

Lamport 일회용 패스워드(OTP)는 고정된 패스워드 그리고 패스워드의 사전공유라는 단순 패스워드가 지니는 문제점을 해결하기 위해 해시체인에 기반을 두고 있다. 하지만 Lamport 방식은 길이가 유한한 해시체인의 해시값을 OTP로 사용하기 때문에 해시체인을 구성하는 해시값들을 모두 소진한 이후에는 새로운 해시체인의 루트 해시값을 재 등록해야 한다는 단점을 가지고 있다. 이 같은 단점을 해결하기 위해 여러 연구가 진행되었으나 증명자와 검증자에 대한 계산 부담이 증가하는 등 새로운 단점이 노출되었다. 따라서 본 논문에서는 Lamport 방식의 장점을 유지하면서 동시에 단점을 해결하기 위해 기존 Lamport 방식 OTP의 핵심인 하나의 긴 해시체인 대신에 여러 개의 짧은 해시체인을 중첩 구성하는 새로운 방식의 OTP를 제안하고 비교 분석한다.

• Journal of the Optical Society of Korea
• /
• 제20권6호
• /
• pp.722-732
• /
• 2016

A new optical one-time password (OTP) authentication method using digital holography is proposed, which enhances security strength in the authentication system. A challenge-response optical OTP algorithm based on two-factor authentication is presented using two-step phase-shifting digital holography, and two-way authentication is also performed using challenge-response handshake in both directions. Identification (ID), password (PW), and OTP are encrypted with a shared key by applying phase-shifting digital holography, and these encrypted pieces of information are verified by each party by means of the shared key. The encrypted digital holograms are obtained by Fourier-transform holography and are recorded on a CCD with 256 quantized gray-level intensities. Because the intensity pattern of such an encrypted digital hologram is distributed randomly, it guards against a replay attack and results in higher security level. The proposed method has advantages, in that it does not require a time-synchronized OTP, and can be applied to various authentication applications. Computer experiments show that the proposed method is feasible for high-security OTP authentication.

• 정보처리학회논문지C
• /
• 제17C권4호
• /
• pp.361-370
• /
• 2010

OTP(One Time Password)란 사용자가 인증시 안전한 메커니즘을 이용하여 매번 다른 패스워드를 생성하여 인증하는 방식을 말한다. OTP 인증 방식을 이용할 경우 공격자는 패스워드를 가로채어 정당한 사용자로 위장할 수 없게 된다. 이러한 OTP는 H/W 기반 또는 S/W 기반 형태로 구현될 수 있다. H/W를 기반으로 하는 단말기형과 카드형의 경우 배포 및 사용의 편의성 문제로 인해 대중화에 어려움이 존재하였다. 이를 대체하기 위한 방법으로 모바일이나 PC에 S/W 형태로 구현하는 OTP가 도입되고 있다. 하지만 S/W 제품은 구현상에 취약점이 존재할 경우 악의적인 공격의 대상이 될 수 있다는 문제점이 있다. 실제로 금융보안연구원의 보고서에서는 모바일 상에 탑재된 OTP의 경우 구현상에 취약점이 존재한다고 밝혔다. 하지만 PC상에 탑재된 OTP에 대해서는 현재까지 취약점 분석 사례가 존재하지 않는다. 이에 본 논문에서는 PC에 탑재된 OTP의 보안 검토사항을 도출하고, 실제 역공학을 통해 OTP 생성 메커니즘을 파악하여 취약점 분석을 수행하였다.

• 디지털융복합연구
• /
• 제13권1호
• /
• pp.283-288
• /
• 2015

일회용 패스워드는 정적인 패스워드 사용에 따른 위험을 해결하고 사용자 인증을 강화하기 위해 필요하다. 개인정보 유출에 따른 사용자를 인증을 강화하기 위해 OTP 생성 알고리즘이 중요시 되고 있다. 본 논문에서 제안하는 OTP 생성 알고리즘은 Seed값과 Time값을 이용하여 256비트 크기의 OTP Data를 생성하게 된다. 생성한 OTP Data를 행렬로 나열하고 불규칙적으로 32비트의 값을 추출하게 되는 이 값이 최종적인 OTP값이 된다. OTP 생성 횟수가 많을수록 제안하는 알고리즘이 기존 알고리즘에 비해 충돌내성의 확률이 낮음을 알 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제14권6호
• /
• pp.27-32
• /
• 2009

최근 컴퓨터 통신 기술이 발달함에 따라 대부분의 정보 서비스가 온라인으로 이루어지고 있으며, 온라인 정보들의 가치 또한 높아지고 있다. 그러나 정보 기술의 발달과 더불어 이를 공격하기 위한 다양한 공격 기법들도 생기고 있으며, 이러한 공격으로부터 안정한 온라인 서비스를 제공하기 위해서 일반적인 ID/Password 방식의 정적인 Password를 이용하는 것이 아니라 매번 새로운 Password를 생성하는 OTP를 이용하게 되었다. 현재는 OTP 토큰을 이용한 2-Factor OTP 생성 방식이 주로 이용되고 있다. 그러나 2-Factor 인증 방식은 OTP 토큰의 분실 또는 도난과 같은 물리적 공격에 대한 방어책을 제시하지 못한다. 본 논문에서는 이와 같은 문제를 해결하기 위해 HMAC을 이용한 3-Factor 인증 방식을 제안하며, 이와 함께 제안한 인증 방식에 대한 안전성을 평가한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2014년도 제49차 동계학술대회논문집 22권1호
• /
• pp.263-265
• /
• 2014

본 논문에서는 OTP를 이용한 사용자 계정 로그인 정보 관리 시스템 구현을 제안한다. 웹에서 패스워드(PW)를 통해 인증을 하는 대부분의 사용자는 편리를 위해 단순한 패스워드를 설정한다. 하지만 단순한 패스워드는 추측 공격 등 해킹 당할 위험이 높다. 그러므로 제시하고자 하는 시스템은 로그인 정보 중 ID와 PW를 복잡하게 설정하고 체계적으로 관리하여 보안성과 편리성을 동시에 높이고자 한다. 또한 PW를 통한 인증 방법의 단점인 추측 공격과 스나이퍼 공격의 취약점을 보완하기 위해 OTP(One-time Password) 기술을 이용하여 보안을 강화하고자 한다.

• 융합보안논문지
• /
• 제7권3호
• /
• pp.101-107
• /
• 2007

최근 개인용 컴퓨터 및 네트워크의 발전과 보급 확대 등으로 인하여 인터넷뱅킹과 같은 전자 금융의 사용이 급속도로 증가하고 있다. 전자금융의 활성화가 금융권의 업무 효율성과 고객의 금융거래의 편의성 측면에서 상당히 큰 기여를 하고 있지만, 전자금융거래가 갖는 비대면성의 특성으로 인하여 이에 대한 보안 문제가 점차 증대되고 있다. 따라서 최근 금융권에서는 전자금융 거래시 본인확인 강화를 위하여 OTP(One Time Password)를 도입하고, 고객이 하나의 OTP 기기를 이용하여 금융권에서 공동으로 사용하기 위한 OTP 통합인증센터를 구축하였다. 본 논문에서는 전자금융의 보안강화를 위하여 금융권에서 추진 중인 OTP 통합인증센터의 주요 업무를 살펴보고 OTP 통합인증센터의 핵심 기능인 OTP 통합인증 서비스에 대한 안전성 분석을 제시한다.