한국컴퓨터정보학회논문지 (Journal of the Korea Society of Computer and Information)

  • 제17권7호
  • /
  • Pages.107-115
  • /
  • 2012
  • /
  • 1598-849X(pISSN)
  • /
  • 2383-9945(eISSN)
한국컴퓨터정보학회 (Korean Society of Computer Information)
권호 표지
DOI QR코드

DOI QR Code

Li & Hwang's 생체기반 인증스킴에 대한 취약성 분석 및 개선

Structural vulnerability analysis and improvement of a biometrics-based remote user authentication scheme of Li and Hwang's

  • 신광철 (성결대학교 산업경영공학부)
  • Shin, Kwang-Cheul (Dept. of Industrial Management Engineering, Sungkyul University)
  • 투고 : 2012.03.16
  • 심사 : 2012.05.14
  • 발행 : 2012.07.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 Li & Hwang의 스마트카드를 이용한 생체기반의 원격 사용자 인증 스킴은 난수를 사용하여 스마트카드, 일방향 함수, 생체정보에 기반을 둔 연산비용 효율이 매우 뛰어난 장점이 있다고 주장한다. 하지만 이 스킴은 적절한 인증을 제공하지 못하고 특히 도청, 위장공격에 의한 서비스거부(DoS)공격에 취약한 보안스킴으로 분석되고 있다. 공격자는 비보호 채널에서 사용자와 서버 간에 주고받는 메시지를 쉽게 위조할 수 있으며 악의적인 공격자는 서버를 속이고 사용자를 속이기 위해 비밀정보 없이도서버나 사용자로 위장할 수있다. 본 논문에서는 사용자의 패스워드정보를 노출하지 않고 가변인증자와 OSPA를 적용하여 서버에서 무결성 검사를 할 수 있는 기능을 추가하였다. Li & Hwang의 취약점인 가장공격과 상호인증을 보완함으로써 여러 공격에 대응할 수 있는 강력한 개선된 스킴을 제안한다.

Recently, Li and Hwang scheme proposed a biometrics-based remote user authentication scheme using smart card. It is asserted that this scheme has very excellent benefits by the operation cost efficiency based on the smart card, one-way function and biometrics using random numbers. But this scheme cannot provide the properly authentication, especially, it is analyzed as the vulnerable security scheme for Denial-of-Service(DoS) attacks by impersonate attacks. The attacker controls the insecure channel, they can easily fabricate messages to pass the user's or server's authentication, and the malicious attacker can impersonate the user to cheat the server and can impersonate the server to cheat the user without knowing any secret information. This paper proposes the strong improved scheme which can respond to multiple attacks by supplementing the function of integrity check from the server which applied variable authenticator and OSPA without exposing the user's password information. It is supplemented pregnable of disguise attack and mutual authentication of Li and Hwang scheme.

키워드

참고문헌

  1. Lamport L. password authentication with insecure communication. communications of the ACM 1981. 24(11). p. 770-772 https://doi.org/10.1145/358790.358797
  2. Min-Shiang Hwang and L. H. Li, "A New Remote User Authentication Scheme Using Smarts Cards". IEEE Transactions on Consumer Electronics, Vol. 46, No. 1, pp.28-30, 2000. https://doi.org/10.1109/30.826377
  3. N. Y. Lee and Y. C. Chiu, " improved remote authentication scheme with smart card," Computer standards & Interface, Vol. 27, No. 2, pp. 177-180, 2005 https://doi.org/10.1016/j.csi.2004.06.001
  4. S. K. Kim and M. G. Chung, "More secure remote user authentication scheme." Computer Communications, Vol. 32, No. 6, pp.1018-1021. 2009. https://doi.org/10.1016/j.comcom.2008.11.026
  5. J. Xu, W. T. Zhu, and D. G. Feng, "An improved smart card based password authentication scheme with provable security," Computer standards & Interface, Vol. 31, No. 4, pp. 723-728, 2009. https://doi.org/10.1016/j.csi.2008.09.006
  6. R. Song, "Advanced smart card based password authentication protocol." Computer standards & Interface, Vol. 32, pp. 321-325, 2010 https://doi.org/10.1016/j.csi.2010.03.008
  7. C. T. Li and M. S. Hwang, "An efficient biometrics-based remote user authentication scheme using smart card." Journal of Network and Computer Applications, Vol. 33, No. 1, pp. 1-5, 2010. https://doi.org/10.1016/j.jnca.2009.08.001
  8. X. Li, J. W. Niu, J. Ma, W. D. Wang, "Cryptanalysis and improvement of a biometrics-based remote user authentication scheme using smart card." Journal of Network and Computer Applications, 2011.