Improved Dynamic ID-based Remote User Authentication Scheme Using Smartcards

스마트카드를 이용한 향상된 동적 ID기반 원격 사용자 인증 기술

  • 심희원 (전남대학교 일반대학원 정보보호협동) ;
  • 박준형 (전남대학교 시스템보안연구센터 디지털포렌식팀) ;
  • 노봉남 (전남대학교 전자컴퓨터정보통신공학부)
  • Published : 2009.08.30

Abstract

Among the remote user authentication schemes, password-based authentication methods are the most widely used. In 2004, Das et al. proposed a "Dynamic ID Based Remote User Authentication Scheme" that is the password based scheme with smart-cards, and is the light-weight technique using only one-way hash algorithm and XOR calculation. This scheme adopts a dynamic ID that protects against ID-theft attack, and can resist replay attack with timestamp features. Later, many flaws of this scheme were founded that it allows any passwords to be authenticated, and can be vulnerable to impersonation attack, and guessing attack. By this reason many modifications were announced. These scheme including all modifications are similarly maintained security against replay the authentication message attack by the timestamp. But, if advisory can replay the login immediately, this attempt can be succeeded. In this paper, we analyze the security vulnerabilities of Das scheme, and propose improved scheme which can resist on real-time replay attack using the counter of authentication. Besides our scheme still secure against impersonation attack, guessing attack, and also provides mutual authentication feature.

원격 사용자 인증기술 중 패스워드에 기반을 둔 기술은 아직도 가장 보편적으로 사용되고 있는 인증 기술이다. 2004년 Das 등이 제안한 "동적 ID 기반의 원격 사용자 인증기술"은 스마트카드의 연산 기능을 이용하여 패스워드를 생성하고, 원격 시스템에서는 연산량이 적은 해쉬와 XOR만으로 인증을 수행할 수 있는 안전한 인증기법이다. 이 기법은 동적 ID 채용으로 ID도난을 방지하며, 인증시각을 이용하여 재사용 공격을 방지하는 특징이 있다. 그 밖에도 많은 공격에 대응할 수 있도록 고안되었다. 하지만, 이 기법은 후에 패스워드와 관계없이 원격 시스템에 인증이 가능한 치명적인 오류 뿐 아니라, 위장공격, 추측공격에 취약함이 밝혀졌다. 더욱이 인증 시각 정보를 이용하여 재사용 공격을 막은 기능도 최근의 실시간으로 이루어지는 재사용 공격에는 취약함을 보이고 있다. 본 논문에서는 Das 기법이 실시간 재사용공격에 취약한 점을 증명하고, 매번 변경되는 인증횟수를 이용하여 이를 개선하는 향상된 인증기법을 제안하였다. 향상된 인증기법은 기존 Das 기법이 가지는 장점을 그대로 계승하며, 추측공격, 위장공격, 실시간 재사용 공격에 대응하고, 상호인증 기능을 제공한다.

Keywords

References

  1. L. Lamport, "Password authentication with insecure communication", Communications of the ACM, vol.24, no.11, pp.770-772, 1981. https://doi.org/10.1145/358790.358797
  2. T. ElGamal, "A public key cryptosystem and signature scheme based on the discrete logarithms", IEEE Trans. on Info. Theory, vol. 31, no.469-472, 1985. https://doi.org/10.1109/TIT.1985.1057074
  3. W. H. Yang and S. P. Shieh, "Password authentication schemes with smart cards", Computers & Security, vol. 18, no.8, pp. 727-733, 1999. https://doi.org/10.1016/S0167-4048(99)80136-9
  4. C. C. Yang, R. C. Wang, and T. Y. Chang, "An improvement of the Yang-Shieh password authentication schemes", Applied Mathematics and Computation, vol. 162, pp. 1391-1396, 2005. https://doi.org/10.1016/j.amc.2004.03.017
  5. Chwei-Shyong Tsai, Cheng-Chi Lee, and Min-Shiang Hwang. "Password Authentication Schemes: Current Status and Key Issues", International Journal of Network Security, Vol.3, No.2, pp.101-115, Sept. 2006.
  6. H. M. Sun, "An Efficient remote user authentication scheme using smartcards", IEEE Trans. on Consumer Electron., vol. 46, no. 4, pp.958-961, Nov. 2000. https://doi.org/10.1109/30.920446
  7. C. C. Lee, M. S. Hwang, and W. P. Yang, "A flexible remote user authentication scheme using smart cards", ACM Operating Systems Review, vol.36, no.3, pp.46-52, July 2002. https://doi.org/10.1145/567331.567335
  8. J. J. Shen, C. W. Lin, and M. S. Hwang, "A modified remote user authentication scheme using smart cards", IEEE Trans. on Consumer Electron., vol.49, no.2, pp.414-416, May 2003. https://doi.org/10.1109/TCE.2003.1209534
  9. M. L. Das, A. Saxena and V. P. Gulati, "A dynamic ID-based remote user authentication scheme", IEEE Trans. Consumer Electron., vol. 50, No. 2, pp. 629-631, May 2004. https://doi.org/10.1109/TCE.2004.1309441
  10. W. C. KU and S. T. C, "Impersonation attack on a dynamic ID based remote user authentication using smartcards", IEICE Transaction on Communication, vol.e88-b, no.5, May 2005.
  11. I-EN Liao,C.C.Lee,and M.S.Hwang, "Security enhancement for a dynamic ID-based remote user authentication scheme", in IEEE CS Press, International Conference on Next Generation WebServicesPractices(NWeSP'05),pp.437-440,S eoul,Korea,August 2005.
  12. Md. Misbahuddin, Md. Aijaz Ahmed, A. Ananda Rao, C. Shoba Bindu, and M.A. Muqsit Khan. "A Novel Dynamic ID-Based Remote User Authentication Scheme". Annual India Conference, pp:1-5,Sept. 2006.
  13. Zhengxian Gao and Yaquing Tu, "An Improvement of Dynamic ID-Based Remote User Authentication Ssheme with Smart Cards", World Congress on Intelligent Control and Automation Proc. 7th, pp25-27,Jun. 2008.
  14. Joel Dubin, "One-time password tokens: Best practices for two-factor authentication", http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1216485,00.html, Sep. 2006.
  15. IETF RFC4226, "HOTP: An HMAC-Based One-Time Password Algorithm", Dec. 2005.