• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.405-415
• /
• 2012

여러 응용 분야에서 서버의 도움 없이 리더는 태그들의 그룹에 특정 태그가 존재하는지를 알 필요가 있다. 이것을 서버 없는 RFID 태그 검색(serverless RFID tag searching)이라 한다. 이를 위해 몇 개의 프로토콜이 제시되었다. 하지만 이들 프로토콜들은 한 번에 하나의 태그를 검색하는 단일 태그 검색 프로토콜이다. 본 논문에서는 해시함수와 난수 발생기에 기반하여 한 번에 여러 개의 태그를 검색할 수 있는 다중 태그 검색 프로토콜을 제안한다. 이를 위해, S3PR 프로토콜[1]의 문제점으로 지적된 통신 오류에 의한 시드의 동기화 문제를 해결하는 프로토콜을 제안하고, 이를 기반으로 통신량을 줄일 수 있는 다중 태그 검색 프로토콜을 제안한다. 제안된 프로토콜은 추적공격, 위장공격, 재생공격 및 서비스 거부 공격에 안전하다. 이 연구는 다중 태그 검색 프로토콜 개발의 기초가 될 것이다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제7권1호
• /
• pp.119-131
• /
• 2013

With the explosive growth of computer networks, many remote service providing servers and multi-server network architecture are provided and it is extremely inconvenient for users to remember numerous different identities and passwords. Therefore, it is important to provide a mechanism for a remote user to use single identity and password to access multi-server network architecture without repetitive registration and various multi-server authentication schemes have been proposed in recent years. Recently, Tsaur et al. proposed an efficient and secure smart card based user authentication and key agreement scheme for multi-server environments. They claimed that their scheme satisfies all of the requirements needed for achieving secure password authentication in multi-server environments and gives the formal proof on the execution of the proposed authenticated key agreement scheme. However, we find that Tsaur et al.'s scheme is still vulnerable to impersonation attack and many logged-in users' attack. We propose an extended scheme that not only removes the aforementioned weaknesses on their scheme but also achieves user anonymity for hiding login user's real identity. Compared with other previous related schemes, our proposed scheme keeps the efficiency and security and is more suitable for the practical applications.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권9호
• /
• pp.4508-4528
• /
• 2016

Widespread use of wireless networks has drawn attention to ascertain confidential communication and proper authentication of an entity before granting access to services over insecure channels. Recently, Truong et al. proposed a modified dynamic ID-based authentication scheme which they claimed to resist smart-card-theft attack. Nevertheless, we find that their scheme is prone to smart-card-theft attack contrary to the author's claim. Besides, anyone can impersonate the user as well as service provider server and can breach the confidentiality of communication by merely eavesdropping the login request and server's reply message from the network. We also notice that the scheme does not impart user anonymity and forward secrecy. Therefore, we present another authentication scheme keeping apart the threats encountered in the design of Truong et al.'s scheme. We also prove the security of the proposed scheme with the help of widespread BAN (Burrows, Abadi and Needham) Logic.

• 한국컴퓨터정보학회논문지
• /
• 제8권4호
• /
• pp.104-110
• /
• 2003

본 논문에서는 타원 곡선 상에서의 Diffie-Hellman 기반의 하이브리드 암호 시스템을 제안하고, 구체적인 프로토콜을 설계하였다. 본 논문에서 제안하는 하이브리드 암호 시스템은 기존 하이브리드 시스템과 달리, 송신자와 수신자에 대한 함축적 키 인증성을 제공하는 효율적인 하이브리드 암호 시스템이다. 이 시스템은 암호학적으로 안전한 의사 난수 생성기를 사용하여 세션키를 생성함으로써 안전성을 높였으며, 하이브리드 시스템이기때문에 공개키 시스템과 비밀키 시스템의 장단점을 보완하여 계산량 면에서 더 효율적이다. 또한 위장 공격이 불가능하며, 송신자의 비밀키가 노출되더라도 지정된 수신자 이외에는 정당한 평문을 얻을 수 없다. 그리고 세션키가 노출되더라도 다른 세션의 암호문의 안전성에는 영향을 주지 않는, 알려진 키에 대한 안전성 뿐만 아니라 상호 개체 인증과 재실행 공격에 대한 안전성도 제공한다.

• 전기학회논문지
• /
• 제65권12호
• /
• pp.2167-2176
• /
• 2016

In the multi-server environment, remote user authentication has a very critical issue because it provides the authorization that enables users to access their resource or services. For this reason, numerous remote user authentication schemes have been proposed over recent years. Recently, Lin et al. have shown that the weaknesses of Baruah et al.'s three factors user authentication scheme for multi-server environment, and proposed an enhanced biometric-based remote user authentication scheme. They claimed that their scheme has many security features and can resist various well-known attacks; however, we found that Lin et al.'s scheme is still insecure. In this paper, we demonstrate that Lin et al.'s scheme is vulnerable against the outsider attack and user impersonation attack, and propose a new biometric-based scheme for authentication and key agreement that can be used in the multi-server environment. Lastly, we show that the proposed scheme is more secure and can support the security properties.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권2호
• /
• pp.978-1002
• /
• 2019

With the rapid development of the Internet of Things, the problem of privacy protection has been paid great attention. Recently, Nikooghadam et al. pointed out that Kumari et al.'s protocol can neither resist off-line guessing attack nor preserve user anonymity. Moreover, the authors also proposed an authentication supportive session initial protocol, claiming to resist various vulnerability attacks. Unfortunately, this paper proves that the authentication protocols of Kumari et al. and Nikooghadam et al. have neither the ability to preserve perfect forward secrecy nor the ability to resist key-compromise impersonation attack. In order to remedy such flaws in their protocols, we design a lightweight authentication protocol using elliptic curve cryptography. By way of informal security analysis, it is shown that the proposed protocol can both resist a variety of attacks and provide more security. Afterward, it is also proved that the protocol is resistant against active and passive attacks under Dolev-Yao model by means of Burrows-Abadi-Needham logic (BAN-Logic), and fulfills mutual authentication using Automated Validation of Internet Security Protocols and Applications (AVISPA) software. Subsequently, we compare the protocol with the related scheme in terms of computational complexity and security. The comparative analytics witness that the proposed protocol is more suitable for practical application scenarios.

• 한국멀티미디어학회논문지
• /
• 제19권3호
• /
• pp.585-594
• /
• 2016

Recently because of development of remote network technology, users are able to access the network freely without constraints of time and space. As users are getting more frequent to access the remote server in a computing environment, they are increasingly being exposed to various risk factors such as forward secrecy and server impersonation attack. Therefore, researches for remote user authentication scheme have been studying actively. This paper overcomes the weaknesses of many authentication schemes proposed recently. This paper suggests an improved authentication scheme that protects user's anonymity with preserving variable more safe and also provides forward secrecy.

• 전기학회논문지
• /
• 제60권2호
• /
• pp.416-422
• /
• 2011

Smart grid is the next generation intelligent power grid that combines the existing electric power infrastructure and information infrastructure. It can optimize the energy efficiency in both directions, suppliers and power consumers to exchange information in real time. In smart grid environments, with existing network security threats due to the smart grid characteristics, there are additional security threats. In this paper, we propose a security mechanism that provides mutual authentication and key agreement between a remote user and the device. The proposed mechanism has some advantages that provides secure mutual authentication and key agreement and secure against a replay attack and impersonation attacks.

• 한국컴퓨터정보학회논문지
• /
• 제26권10호
• /
• pp.101-108
• /
• 2021

본 논문에서는 Shin이 제안한 TMIS를 위한 동적 ID 기반의 강력한 사용자 인증기법을 분석하고, Shin의 인증 기법이 스마트카드 분실 공격에 취약하여, 공격자가 사용자의 ID를 획득할 수 있고, 이로 인하여 사용자 가장 공격 등이 가능함을 보인다. 2019년에 Shin이 제안한 인증 기법은 ECC를 사용하여 강력한 난수 생성을 시도함으로써, 난수 ri를 모르면 ECC 알고리즘의 난이도에 의하여 난수 r'i를 계산해낼 수 없어서, 스마트카드를 분실하여도 안전하다고 주장하였다. 그러나 본 논문에서 Shin의 인증 기법을 분석한 결과, 전송 메시지와 스마트카드를 사용하면 난수 r'i를 쉽게 계산할 수 있고, 이로 인하여 공격자는 세션키 생성도 가능하였다. 또한 Shin의 인증 기법은 안전성 분석에 대한 취약점뿐만 아니라, 서버의 ID인 SID를 사용자들에게 전달하는 방식의 부재, 사용 시마다 약간씩 다른 템플릿을 가지는 생체정보의 특성을 고려하지 않은 점 등 다수의 설계상의 오류들이 존재하였고, 서버에서 사용자의 ID를 계산해내는 시간 복잡도가 다른 인증 기법들에 비하여 상당히 큰 오버헤드를 가진 것으로 분석되었다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1131-1141
• /
• 2013

클라우드 컴퓨팅 모델은 대부분이 단일 서버 모델로 가용성, 내부자 공격, vendor lock-in 등의 해결하기 어려운 문제점을 가지고 있다. 이를 해결하기 위해 최근 멀티클라우드 모델에 관한 연구가 진행되고 있다. 멀티클라우드 모델은 기존 클라우드 모델의 단점을 보완하고, 새로운 서비스를 제공할 수 있는 장점이 있다. 본 논문에서는 멀티클라우드 모델에서 발생하는 사용자 인증 문제에 초점을 맞추고 이를 해결하기 위한 기법을 제안한다. 클라우드 브로커 기반의 멀티클라우드 모델을 정의하고, 여기에 적용할 수 있는 인증 프로토콜을 제안하였다. 제안한 프로토콜은 사용자에게 서비스의 투명성을 제공하고, 서비스 제공자의 위장 공격을 방지할 수 있다.