한국컴퓨터정보학회논문지 (Journal of the Korea Society of Computer and Information)

  • 제14권3호
  • /
  • Pages.133-138
  • /
  • 2009
  • /
  • 1598-849X(pISSN)
  • /
  • 2383-9945(eISSN)
한국컴퓨터정보학회 (Korean Society of Computer Information)
권호 표지
DOI QR코드

DOI QR Code

스마트 카드를 이용한 사용자 인증 스킴의 안전성 분석

Analysis to a Remote User Authentication Scheme Using Smart Cards

  • 안영화 (강남대학교 컴퓨터미디어정보공학부) ;
  • 이강호 (국립한국재활복지대학 정보보안과)
  • 발행 : 2009.03.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 Lin[7] 등은 자신이 선택한 패스워드와 스마트카드를 이용하여 원격지에 있는 사용자를 인증할 수 있는 스킴을 제안하였다. 그러나 제안된 스킴은 패스워드를 기반으로 하는 스마트카드를 이용한 사용자 인증 스킴에서 고려하는 보안 요구사항을 만족하지 못한다. 본 논문에서는, Lin 등이 제안한 스킴에서 공격자가사용자의 스마트카드를 훔치거나 일시적으로 접근하여 그 안에 저장된 점보를 추출하여 사용자의 패스워드를 알아낼 수 있음을 off-line패스워드 추측 공격 방식을 이용하여 증명하였다. 또한 스마트 카드를 이용한 인증 스킴을 분석하기 위해 보안 요구사항을 제안하였고, 분석 결과 Lin 등에 의해 제안된 인증 스킴은 다수의 보안 요구사항들을 만족하지 못함을 알 수 있었다. 이를 개선한 방식으로서 사용자의 패스워드 검증자를 서버에 저장하지 않고 사용자와 서버가 동시에 상대방을 인증할 수 있는 상호 인증방식을 제시하였다.

Recently Lin et al. proposed the remote user authentication scheme using smart cards. But the proposed scheme has not been satisfied security requirements considering in the user authentication scheme using the password based smart card. In this paper, we showed that he can get the user's password using the off-line password guessing attack on the scheme when the adversary steals the user's smart card and extracts the information in the smart card. Also, we proposed the seven security requirements for evaluating remote user authentication schemes using smart card. As a result of analysis, in Lin et al's scheme we have found the deficiencies of security requirements. So we suggest the improved scheme, the mutual authentication scheme that does not store the user's password verifier in server and can authenticate each other at the same time between the user and server.

키워드

참고문헌

  1. 정경숙, 정태충, "효율적 사용자 인증을 위한 SRP 기반의 독립적 인증 프로토콜 설계." 한국컴퓨터정보학회논문지, 제8권 제3호, 130-137쪽, 2003년 9월
  2. 신광철, "서비스거부공격에 안전한 OTP 스마트카드 인증 프로토콜," 한국컴퓨터정보학회논문지, 제12권, 제6호, 201-206쪽, 2007년 12월.
  3. C.-C. Chang and T.-C. Wu, "Remote Password Authentication with Smart Cards," IEEE Proceedings E-Computers and Digital Techniques, Vol. 138, No. 3, pp. 165-168, 1991. https://doi.org/10.1049/ip-e.1991.0022
  4. M.-S. Hwang and L.-H. Li, "A New Remote User Authentication Scheme Using Smart Cards," IEEE Trans, on Consumer Electronics, Vol. 46, No. 1, pp. 28-30, 2000. https://doi.org/10.1109/30.826377
  5. P.Kocher.J.Jaffe, and B.Jun, "Differential Power Analysis," Proceedings of Advances in Cryptology (CRYPTO 1999),pp.388-397, 1999.
  6. C. L. Lin, H. M. Sun, and T. Hwang, "Attacks and Solutions on Strong-Password Authentication," IEICE Trans. Communications, Vol. E84-B, No. (9), pp. 2622-2627, 2001.
  7. C. -W. Lin, C. -S. Tsai, and M. S. Hwang, "A New Strong-Password Authentication Scheme Using One-Way Hash Functions," Journal of Computer and Systems Sciences International, vol. 45, no. 4, pp. 623-626, 2006. https://doi.org/10.1134/S1064230706040137
  8. T.-S. Messerges, E.-A. Dabbish, and R.-H. Sloan, "Examining Smart Card Security Under The Threat of Power Analysis Attacks," IEEE Trans, on Computers, Vol. 51, No. 5, pp. 541-552, 2002. https://doi.org/10.1109/TC.2002.1004593
  9. M.Sandirigama, A. Shimizu, and M. T. Noda, "Simple and Secure Password Authentication Protocol (Sas)," IEICE Transactions on Communications, Vol. E83-B, pp. 1363-1365, 2000.
  10. H.-M. Sun, "An efficient remote user authen-tication scheme using smart cards," IEEE Transactions on Consumer Electronics, Vol. 46, No. 4, pp. 958. 961, 2000. https://doi.org/10.1109/30.920446
  11. X. Tian, R. W. Zhu, and D. S. Wong, "Improved Efficient Remote User Authentication Schemes," International Journal of Network Security, Vol. 4, No. 2, pp. 149-154, June 2007.
  12. W.-H Yang and S.-P. Shieh, "Password authentication schemes with smart card", Computers & Security, Vol. 18, No. 8, pp. 727-733, 1999. https://doi.org/10.1016/S0167-4048(99)80136-9
  13. H.-Y. Chien, J.-K. Jan, and Y.-M. Tseng, "An Efficient and Practical Solution to Remote Authentication: Smart Card", Computer & Security, Vol. 21, No. 4, pp. 372-375, 2002. https://doi.org/10.1016/S0167-4048(02)00415-7
  14. M.-L. Das, A. Saxena, and V. P. Gulati, "A dynamic ID-based remote user authentication scheme," IEEE Transaction on Computer Electronics, Vol. 50, No. 2, pp. 629-631, 2004. https://doi.org/10.1109/TCE.2004.1309441
  15. I.-E. Liao, C.-C. Lee, and M.-S. Hwang, "Security Enhancement for A Dynamic ID-Based Remote User Authentication Scheme," IEEE Proceeding of The International Conference on Next Generation Web Services Practices (NWeSp'05), pp. 437-440, 2005.