Skip to main content
QUICK REVIEW

[論文レビュー] A Multi-Factor Security Protocol for Wireless Payment - Secure Web Authentication using Mobile Devices

Ayu Tiwari, Sudip Sanyal|arXiv (Cornell University)|Nov 13, 2011
IPv6, Mobility, Handover, Networks, Security参考文献 15被引用数 54
ひとこと要約

本論文は、SMS経由で送信される取引識別コード(TIC)を組み合わせることで、従来のログイン/パスワードと組み合わせて、セキュリティと使いやすさを向上させる無線決済のための多要素認証プロトコルを提案する。このプロトコルは、既存の無線ネットワークインfra構造を変更せずに双方向認証を可能にし、モバイルデバイスを用いた安全なWebアクセスのための軽量で実装可能なソリューションを提供する。

ABSTRACT

Previous Web access authentication systems often use either the Web or the Mobile channel individually to confirm the claimed identity of the remote user. This paper proposes a new protocol using multifactor authentication system that is both secure and highly usable. It uses a novel approach based on Transaction Identification Code and SMS to enforce extra security level with the traditional Login/password system. The system provides a highly secure environment that is simple to use and deploy, that does not require any change in infrastructure or protocol of wireless networks. This Protocol for Wireless Payment is extended to provide two way authentications.

研究の動機と目的

  • 無線決済システムにおける単一要因認証のセキュリティ的限界を是正すること。
  • 実世界のモバイル環境における使いやすさと導入可能性を向上させること。
  • 既存のネットワークプロトコルを変更せずに、ユーザーとWebサービス間の強力な相互認証を提供すること。
  • SMSベースの取引コードを第二要因として統合し、なりすまし攻撃およびリプレイ攻撃を防止すること。
  • エンドツーエンドのセキュリティを実現するため、プロトコルを双方向認証に対応させる。

提案手法

  • プロトコルは、サーバーサイドで生成され、ユーザーのモバイルデバイスにSMS経由で送信される取引識別コード(TIC)を導入する。
  • ユーザーはTICをログインIDおよびパスワードと共に入力して認証を完了する。
  • システムは相互認証を実行する:サーバーはTICを検証し、クライアントはチャレンジ・レスポンスメカニズムを用いてサーバーの身元を検証する。
  • プロトコルは標準的なWebプロトコル上で動作し、無線ネットワークインfra構造やクライアント側ソフトウェアの変更を必要としない。
  • TICは時刻および取引に特化しており、リプレイ攻撃を防止する。
  • 設計は、既存のWeb認証システムとの後方互換性をサポートする。

実験結果

リサーチクエスチョン

  • RQ1無線決済システムに適した、軽量で安全かつ使いやすい多要素認証プロトコルをどのように設計できるか?
  • RQ2インfra構造の変更なしに、SMSベースのTICが従来のログイン/パスワードシステムのセキュリティを効果的に強化できるか?
  • RQ3最小限のユーザーの負担で、モバイルWeb環境における双方向認証をどのように実現できるか?
  • RQ4TICの使用が、なりすまし攻撃やセッション乗っ取り攻撃などの一般的なWebベースの攻撃に対する耐性に与える影響は何か?
  • RQ5既存のモバイルおよびWeb技術と統合可能な環境で、このプロトコルを実世界に展開できるか?

主な発見

  • サーバー側で生成され、SMS経由で送信される時刻に依存したワンタイムTICを第二要因として追加することで、セキュリティが著しく向上した。
  • ユーザーとサービスの両方がなりすまし攻撃から保護される双方向認証が実現された。
  • 既存の無線ネットワークインfra構造やWebプロトコルの変更が不要であり、容易な展開が可能である。
  • 広く利用可能なSMSと標準的なWebインターフェースに依存することで、使いやすさが維持された。
  • パスワードのみのシステムと比較して、TICの使用によりなりすまし攻撃およびリプレイ攻撃のリスクが顕著に低減された。
  • 現在のモバイルおよびWeb技術と互換性があるため、実世界の無線決済アプリケーションに実用的である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。