• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.237-241
• /
• 2002

Seo와 Sweeney가 패스워드 기반의 키 교환 프로토콜인 SAKA (Simple Authenticated Key Agreement)를 제안한 이래로 몇몇 변형 프로토콜들이 제안되었다. 그러나 그 프로토콜들은 중간 침입자 공격 또는 패스워드 추측 공격에 취약하거나 완전한 전방향 보안성을 제공하지 못한다. 본 논문에서는 중간 침입자 공격과 패스워드 추측공격에 대하여 안전하며 완전한 전방향 보안성을 제공할 수 있는 새로운 키 교환 프로토콜을 제안한다. 여러 가지 알려진 공격에 강한 프로토콜을 제안하기 위해서 먼저 SAKA 변형 프로토콜들에 대한 기존에 분석되지 못한 추가적인 취약점들을 분석한다. 그리고 기존에 알려진 취약점 및 본 논문에서 분석한 추가적인 취약점에 강한 새로운 패스워드 기반 키 교환 프로토콜을 제안한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.2 no.11
• /
• pp.503-510
• /
• 2013

Recently, the rapid development of network technology has enabled people to use various services on the internet. However, the existing password-based user authentication system used in the internet environment requires a password table, which is a potential security threat as it could be leaked by an insider. To solve this issue, remote user authentication methods that do not require a user password table have been proposed. Regarding remote user authentication using a smart card in particular, various methods have been suggested to reduce expenses and to improve stability and efficiency, but the possibility of impersonation attacks and password-guessing attacks using information saved in a user's smart card still exist. Therefore, this study proposes a remote user authentication method that can safeguard against impersonation attacks and password guessing attacks, by analyzing weak points of conventional methods and creating a smart card's ID and password that are based on the user's ID and password.

• Proceedings of the Korea Multimedia Society Conference
• /
• 2002.11b
• /
• pp.279-282
• /
• 2002

고전적인 암호 프로토콜은 사용자-선택 키를 기반으로 하였다. 하지만 이러한 방법은 공격자에게 패스워드-예측 공격을 허용하는 문제점을 가지고 있다. 기존에 제안된 방식들은 패스워드에 대한 보호를 강화함으로써 패스워드를 보호하여 하였다. 이러한 문제점으로부터 안전하지 못한 네트워크 상에서 사용자를 인증하고 서로간의 세션키를 공유하는 새로운 방법을 제안한다. 제안된 프로토콜은 능동적인 공격자에 의한 사전공격(Dictionary attack), 패스워트 추측 공격, forward secrecy, server compromise, client compromise와 세션키 분실에 안전하게 설계되었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2003.05c
• /
• pp.2105-2108
• /
• 2003

고전적인 암호 프로토콜은 사용자-선택키를 기반으로 하였다. 하지만 이러한 방법은 공격자에게 패스워드-예측 공격을 허용하는 문제점을 가지고 있다. 기존에 제안된 방식들은 패스워드에 대한 보호를 강화함으로써 패스워드를 보호하여 하였다. 이리한 문제점으로부터 안전하지 못한 네트워크 상에서 사용자를 인증하고 서로간의 세션키를 공유하는 새로운 방법을 제안한다. 제안된 프로토콜은 능동적인 공격자에 의한 사전공격(Dictionary attack), 패스워드 추측 공격, forward secrecy. server compromise, client compromise와 세션키 분실에 안전하게 설계되었다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.418-420
• /
• 2004

패스워드 기반의 키 교환 프로토콜들은 참여자들이 쉽게 기억할 수 있는 자신의 패스워드를 사용하므로 단순성, 편리성, 이동성의 장점 때문에 광범위하게 사용되지만 완전한 전 방향 보안성(perfect forward secrecy), 패스워드 추측공격과 Denning-Saccon 공격에 취약하다. 본 논문에서 제안한 검증자(verifier)를 사용한 패스워드 기반의 인증 및 키 교환 프로토콜은 키 교환 프로토콜 요구 사항을 만족하고, 알려진 공격으로부터 안전하며 DH(Diffie-Hellman) 키 교환 방법과 해쉬 함수만을 사용하기 때문에 기존의 프로토콜보다 구조가 간단하며 높은 효율성을 가진다.

• Journal of Korea Multimedia Society
• /
• v.11 no.10
• /
• pp.1403-1408
• /
• 2008

A number of three party key exchange protocols using smart card in effort to reduce server side workload and two party password based key exchange authentication protocols has been proposed. In this paper, we introduce the survey and analysis on security vulnerability of smart card based three party authenticated key exchange protocols. Furthermore, we analyze Kwak et al's password based key exchange and authentication protocols which have shown security weakness such as Shim et al's off-line password guessing attack and propose the countermeasure to deter such attack.

• Proceedings of the Korean Society of Broadcast Engineers Conference
• /
• 2007.02a
• /
• pp.105-107
• /
• 2007

최근에 제안되고 있는 원격 서버에 로그인하기 위한 방법은E와 패스워드뿐만 아니라 스마트카드를 함께 사용한다. 기존의 ID 와 패스워드를 사용한 인증은 공격자에 의해 추측이 가능하므로 사용자 가장 공격이 가능하다는 약점을 가지고 있다. 하지만 스마트카드와 ID, 패스워드를 사용하면 ID와 패스워드가 추측가능할지라도 스마트카드를 소지하고 있지 않다면 사용자 가장 공격 (impersonate attack)을 할 수 없다. 이 논문에서는 스마트카드와 ID, 패스워드를 함께 사용하여 원격 서버에 인증과 더불어 안전한 키 교환을 하며, 기존에 다른 논문들에서 언급한 조건들을 모두 만족하면서 안전한 키 교환까지 제안하였다. 기존의 스킴은 해쉬 기반으로 제안 되었으나 이 논문에서 제안한 스킴은 페어링 (pairing) 연산을 기반으로 제안 되었다. 또한, Computational Diffie-Hellman문제를 기반으로 스킴을 제안하여 안전성에 대한 증명이 가능하다 최근에 스마트카드를 사용한 인증에서 요구 되는 성질의 모든 조건을 만족한다는 장점을 가지고 있다.

• The KIPS Transactions:PartC
• /
• v.11C no.3
• /
• pp.277-286
• /
• 2004

Password-based mechanism is widely used methods for user authentication. Password-based mechanisms are using memorable passwords(weak ferrets), therefore Password-based mechanism are vulnerable to the password guessing attack. To overcome this problem, man password-based authenticated key exchange protocols have been proposed to resist password guessing attacks. Recently, Seo-Sweeny proposed password-based Simple Authenticated Key Agreement(SAKA) protocol. In this paper, first, we will examine the SAKA and authenticated key agreement protocols, and then we will show that the proposed simple authenticated key agreement protocols are still insecure against Advanced Modification Attack. And we propose a password-based Simple Authenticated Key Agreement Protocol secure against Advanced Modification Attack.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.488-490
• /
• 2003

Diffie-Hellman 키 교환 프로토콜에 패스워드를 기반으로 하는 인증수단을 추가하여 Seo와 Sweeney는 SAKA를 제안하였다. 하지만 SAKA와 SAKA 변형 프로토콜들은 중간자 공격, 오프라인 패스워드 추측공격, 데닝-사코 공격, 완전한 전방향 보안의 측면에서 송.수신자 상호간의 인증 수단을 유효하게 제공하지 못하였다. 본 논문에서는 패스워드 기반의 키 교환 프로토콜에서 이루어지는 인증과정에서의 취약점을 해결하기 위해 키를 이용한 일방향 해쉬 함수를 이용하여 강화된 키 교환 프로토콜을 제안한다. 본 논문에서 제안한 프로토콜은 이전의 SAKA 변형 프로토콜들에 비해 적은 수의 메시지 교환이 필요한 장점이 있다.

• Journal of the Korea Society of Computer and Information
• /
• v.16 no.2
• /
• pp.183-191
• /
• 2011

Recently Wang-Li proposed the remote user authentication scheme using smart cards. But the proposed scheme has not been satisfied security requirements considering in the user authentication scheme using the password based smart card. In this paper, we described the Wang-Li and Yoon et al.'s authentication scheme simply, and we prove that the Wang-Li's scheme is vulnerable to a password guessing attack and impersonation attack in case that the attacker steals the user's smart card and extracts the information in the smart card. Accordingly, we propose the improved user authentication scheme based on the hash function and generalized ElGamal signature scheme that can withstand many possible attacks including a password guessing attack, impersonation attack and replay attack, and that can offer the function of forward secrecy. The result of comparative analysis, the our proposed scheme is much more secure and efficient than the Wang-Li and Yoon et al.'s scheme.