Journal of the Korea Society of Computer and Information (한국컴퓨터정보학회논문지)

Korean Society of Computer Information (한국컴퓨터정보학회)
권호 표지
DOI QR코드

DOI QR Code

Contents Error and Security Analysis of 'Security Analysis and Improvements of a Biometrics-based User Authentication Scheme Using Smart Cards'

'스마트카드를 이용한 생체인식기반 사용자 인증스킴의 분석 및 개선'의 내용 오류와 안전성 분석

  • Park, Mi-Og (Division of Computer Science Engineering, Sungkyul University) ;
  • Oh, Gi-Oug (College of Global General Education, Gachon University)
  • 박미옥 (성결대학교 컴퓨터공학부) ;
  • 오기욱 (가천대학교 글로벌 교양대학)
  • Received : 2014.05.31
  • Accepted : 2014.09.27
  • Published : 2014.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

In this paper, we analyze weaknesses of the biometrics-based user authentication scheme proposed by An. The result of analysis An's authentication scheme by the login success scenario proposed in this paper, if the attacker successes to get user's random number, he/she can pass user authentication phase of the legal server. Also the biometrics guessing scenario proposed in this paper shows the legal user's the biometric information is revealed in lost smart card. Since An's authentication scheme submit user ID and biometrics in plain text to the server, it is very vulnerable to inner attack and it is not provide the user anonymity to the server as well as the one to the third by user ID in plain text. Besides An's authentication scheme is contextual error too, due to this, it has weakness and so on that it did not check the validity of the smart card holder.

본 논문에서는 An이 제안한 생체인식기반 사용자 인증스킴의 취약점을 분석한다. 본 논문에서 제안한 로그인 성공 시나리오에 의해 An의 인증스킴을 분석한 결과, 공격자는 전송 메시지만을 이용하여 사용자의 난수 획득에 성공할 경우, 정당한 서버에서의 사용자 인증단계를 통과할 수 있다. 또한 본 논문에서 제안한 생체정보 추측 시나리오에 의해 스마트카드 분실시 정당한 사용자의 생체정보가 노출되는 것을 보인다. An의 인증스킴은 평문형태의 사용자 ID와 생체정보를 서버에 제출하기 때문에 내부자 공격에 매우 취약하고, 평문 형태의 사용자 ID로 인하여 제3자에 대한 사용자 익명성뿐만 아니라 서버에 대한 사용자 익명성도 보장하지 못한다. 게다가 An의 인증스킴은 내용 문맥상의 오류도 존재하며, 이로 인해 스마트카드 소유자의 정당성을 체크하지 못하는 취약점 등이 있다.

Keywords

References

  1. http://news.inews24.com/php/news_view.php?g_serial=795478&g_menu=020800
  2. Y.H.An, "Security Analysis and Improvements of a Biometrics-based User Authentication Scheme Using Smart Cards," Journal of Korea Society of Computer and Information, Vol.17, No.2, pp. 159-166, Feburary 2012. https://doi.org/10.9708/jksci.2012.17.2.159
  3. C.C. Chang, S.C. Chang, and Y.W. Lai, "An Improved Biometrics-based User Authentication Scheme without Concurrency System," International Journal of Intelligent Information Processing, Vol.1, No.1, pp.41-49, September 2010. https://doi.org/10.4156/ijiip.vol1.issue1.5
  4. C.T. Li, M.S. Hwang, "An Efficient Biometrics-based Remote User Authentication Scheme Using Smart Cards," Journal of Network and Computer Applications, Vol.33, Issue 1, pp.1-5, January 2010. https://doi.org/10.1016/j.jnca.2009.08.001
  5. E. Brier, C. Clavier, and F. Olivier, "Correlation Power Analysis with a Leakage Model," Lecture Notes in Computer Science, Vol.3156, pp.135-152, August 2004.
  6. T. Eisenbarth, T. Kasper, A. Moradi, C. Paar, M. Salmasizadeh, and M.T.M. Shalmani, "On the Power of Power Analysis in the Real World: A Complete Break of the KeeLoq Code Hopping Scheme," CRYPTO 2008, pp.203-220, August 2008.
  7. H. J. Mahanta and A.K. Khan, "Side Channel Attacks and its Impact on Symmetric Algorithms through Power Analysis," Vol.3. No.1 pp.14-18, March 2014.