OTP Challenge-Response 방식

I. 신원 확인 및 검증, Challenge-Response 방식의 개념

  • 신원 확인을 위해 검증자가 먼저 Challenge, 사용자 Response를 통해 사용자 식별 방식
  • ID/PW 방식의 취약점 개선 위해 OTP기반 신원확인에 활용

 

II. Challenge-Response 메커니즘 및 OTP 생성 방식 유형

가. Challenge-Response 메커니즘

항목상세 내용
동작
개념도
인증 요청인증 위해 User ID 서버 전송
Challenge 생성User ID 검증 및 난수 생성
Challenge 전송서버 → 사용자, 난수 전송
④, ⑤Response 생성양측 난수 대칭키 암호화, 생성
Response 전송사용자 → 서버, 암호화 난수
인증 여부 결정수신난수와 생성난수 비교 검증

나. OTP 생성 방식 유형

방식개념절차
시간
동기화
난수 대신 시간을
입력값으로 사용
① 자체 시간 기반 OTP입력
② 서버 시간 기준 검증
이벤트
동기화
동일 카운트 값
기준 비밀번호
① 토큰 내부 이벤트 정보
② 서버 자체 이벤트 검증
시간-이벤트 조합OTP 입력값 시간
카운터 모두 사용
① 토큰 내부 시간-이벤트
② 서버 시간-이벤트 검증

 

III. Challenge-Response 방식의 보안성 제고 방안

구분구성요소설명
추가
인증
2-Factor 인증– 지식, 소유, 생체, 특성 중 2가지
2-Channel 인증– 서비스 채널과 인증 채널 분리
OTP 개선스마트 OTP– IC 칩 탑재 스마트카드 NFC 탑재 스마트폰에 태깅
  • 미국 RSA사 OTP 해킹 및 디아블로3 유저계정 해킹이 발생하여 안정성 논란 발생

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^