익명성을 제공하는 스마트카드 사용자 인증 프로토콜

Anonymous Remote User Authentication Scheme with Smart Card

Abstract

인터넷의 급성장과 정보화 시대가 도래함에 따라 개인정보보호에 대한 중요성이 증대되고 있다. 이러한 개인정보보호와 프라이버시의 요구에 발맞춰서 개인정보보호를 위한 여러 기술들이 제안되어 지고 있다. 스마트카드를 이용한 인증 시스템에 대한 연구에서도 개인정보보호를 위한 일환으로 사용자 익명성 제공에 관심이 높아지고 있다. 2004년 Das et al.는 동적 아이디를 사용함으로서 처음으로 사용자의 익명성을 제공한 인증 프로토콜을 제안하였다. 그러나 로그인 단계에서 서버에게 보내는 데이터를 통해 사용자를 구분할 수 있게 됨으로써 사용자 익명성을 제공하지 못했다. 2005년 Chien et al.은 사용자 익명성을 제공하는 인증 프로토콜을 제안하였지만 제3자에게만 안전한 사용자 익명성을 제공하였다. 본 논문은 스마트카드를 이용하여 사용자와 서버간의 상호 인증을 만족하며 사용자 프라이버시를 위해 제3자뿐만 아니라 원격서버에게도 안전한 익명성을 제공하는 효율적인 사용자 인증 시스템을 제안한다.

Due to the increasing use of Internet and spread of ubiquitous environment the security of private information became an important issue. For this reason, many suggestions have been made in order to protect the privacy of users. In the study of authentication system using a smart card which is one of the methods for protecting private information, the main idea is to offer user anonymity. In 2004, Das et al. suggested an authentication system that guarantees anonymity by using a dynamic ID for the first time. However, this scheme couldn't guarantee complete anonymity as the identity of the user became revealed at log-in phase. In 2005, Chien at al. suggested a authentication system that guarantees anonymity, but this was only safe to the outsider(attacker). In this paper, we propose a scheme that enables the mutual authentication between the user and the sewer by using a smart card. For the protection of the user privacy, we suggest an efficient user authentication system that guarantees perfect anonymity to both the outsider and remote server.

Ⅰ. 서론

최근, 컴퓨터 네트워크 사용의 증가로 인해 많은 사람들이 분산된 컴퓨터 환경에서 원격 서버에 접속호} 는일이 빈번해 지고 있다. 그러나 믿을 만한 보호 시스템 없이 안전하지 않은 채널을 통하는 데이터는 도청이나 불법적인 수정, 의도된 변경 등과 같은 문제점에 노출되어 있다. 이러한 악의적인 공격들을 막기 위해 다양한 암호화 기술들이 제안되고 있다. 이러한 스마트카드를이 용한 인증프로토콜들은 스마트카드가 temper-re- sistant한 성질을 갖는다는 가정 하에 활발히 연구되어지고 있다1貝叫 초기 스마트카드를 이용한 원격 사용자인증 프로토콜을 살펴보면, 서버는 사용자 인증 요청에 대한 검증을 위해 검증 테이블(verification table)을 저장하고 있어야 했다'山. 하지만 서버에 대한 높은 안전성이 요구되고 저장 공간과 사용자에 대한 패스워드 정보의 관리를 요구하는 측면에서 기존의 패스워드 기반연구들과 상이하지 않은 특성을 갖고 있었다. 하지만 이후, 스마트카드를 이용한 논문들은 계속적으로 많은 연구가 진행되어지면서 서버 측면에서 사용자에게 패스워드 정보를 제공하지 않고 사용자가 직접 패스워드를 선택하여 서버에 등록하는 형태로 진행되어져 왔으며 [1-7, 9, 10, 12-14] 또 사용자가 직접 스마트카드만을 이용하여 패스워드를 변경할 수 있는 형태로까지 발전되어져 왔다 8〕. 2000년에는 Hwang et al. ㈣은 ElGamal's Cryptosystem을 기반으로 한 새로운 개념의 원격 사용자 인증 프로토콜을 제안하였다. 그러나 이 프로토콜은 악의적인 공격자에 의해 정당한 丑, 와 패스워드 쌍을 쉽게 만듦으로서 가장공격이 가능하다기. 2002년 Chien et alHe Sun et alJ顷의 인증 프로토콜을 효율적인 상호 인증 프로토콜로 발전 시켰다. 그러나 Chien et al. 의프로토콜은 악의적 인 공격자가 도청을 통해서 사용자의 패스워드 없이 정당한 사용자인척 가장하는 것이 가능하다는 사실을 Hsu®가 지적하였다. 또한 Liu et al."기는 사용자 가장 공격 에 안전한 상호인증 프로토콜을 제안하였다. 그러나 Liu et al.의 프로토콜은 상호인증 성질을 만족하지 못한다.

최근 유비쿼터스 환경에서는 개인 정보보호와 프라이버시에 많은 관심을 갖고 있다. 이로 인해 스마트카드를 이용한 원격 인증 시스템에서도 개인정보보호를 위한 일환으로 사용자 익명성을 제공하는 인증 시스템에 대한 연구가 시작되었다하지만 기존의 익명성을 제공하는 스마트카드를 이용한 인증에 대한 연구들은 다음과 같은 문제점을 갖는다. (1) 2004년 Das et 疽μ는동적 아이디를 사용함으로써 처음으로 사용자의 익명성을 제공한 인증 프로토콜을 제안하였다. 그러나 로그인 단계에서 서버에게 보내는 데이터를 통해 사용자를 구분할 수 있고 그로인해 사용자 익명성을 제공하지 못한다. (2) 2005년 Chien et al」”은 사용자 익명성을 제공하는 인증 프로토콜을 제안하였지만 사실 제3자에게만 안전한 사용자 익명성을 제공하였다.

우선 제3자와 서버에 대하여 사용자 익명성을 제공하는 Das et al」”프로토콜에 대한 문제점을 살펴 볼 것이다. 이런 분석을 통해서 본 논문에서는 tamper-resistant 한 성질을 갖는 스마트카드를 이용하여 등록 단계에서 고정된 사용자의 아이디를 사용하는 대신에 동적으로 아이디를 생성하여 사용한다. 이 동적 아이디는 사용자의 로그인 요청 때마다 아이디를 변화시킴으로서 제 3 자와 서버에 대한 사용자 익명성을 제공한다. 또한 사용자와 서버간의 안전한 상호 인증프로토콜을 제안한다. 본 논문의 구성은 다음과 같다. 3장에서 Das et al.의 프로토콜을 분석한다. 4장에서는 새로운 프로토콜을 제안한다. 다음으로 5장에서 제안된 프로토콜의 안전성과 효율성을 분석한다. 마지막으로 6장에서 결론을 맺는다.

Ⅱ. Notation

이번 장에서는 앞으로 프로토콜에서 사용될 용어에 대한 정의이다.

. CID : 사용자의 동적 ID

. r, e : 스마트카드가 생성한 랜덤 값

.xs, y : 서버의 비밀 키

. hQ : Full domain Hash Function

. 7 : 타임 스탬프(Time stamp)

Ⅲ. Das et al. 프로토콜

이번 장에서는 Das et 诳即의 프로토콜에 대한 특성과 구성을 알아본다.

3.1 Das et al.의 프로토콜

Das et al.의 프로토콜에서 사용자의 익명성이 만족되지 않는 것을 중점으로 살펴볼 것이다. 이 프로토콜은 등록 단계, 로그인 단계, 검증 단계로 구성되어 있다.

<등록 단계>

1. 등록단계에서 새로운 사용자 q는 자신의 户胃를안전한 채널을 통해 서버 s에게 제출한다.

2. S는 双를 계산 하고 耳의 스마트카드에 hE), I、, y 를 저장한다.

#

<로그인 단계>

로그인 단계에서 q가 원격 서버에 로그인을 원할 때, 자신의 스마트카드를 리더기에 삽입한다. 스마트카드는 다음 과정을 수행한다.

1. CrD=hePWi)®h(Ni®y®T)

2. 耳=h(C”舟h(PWj)

3. q=h(N門B&g令 T)

4. 스마트카드는 {C如, 强, q, T}를 S에게 보낸다.

<검증 단계>

s는 데이터 {%, 川, q, t}를 尸시간에 받고 다음과 같은 수행을 한다.

1. T 와 :사이의 시간 간격(time interval)을 확인한다.

2. h(PWi)= %跡(A海姪7)를 계산한다.

3. 耳 =九(%尹九(/기%))를 계산한다.

4. 다음 식이 성립하는지 확인한다. 만약 식이 일치하면 요청을 받아들인다.

C;=力(鸟由与由

3.2 Das et ai.의 프로토콜 분석

Das 와 Saxena, GulatW는 동적 아이디를 사용함으로써 처음으로 사용자의 익명성을 제공한 인증 프로토콜을 제안하였다. 그러나 Chien 과 CheiWe 사용자 伤 가 더】이터{%酒, q, T}를 서버에게 보낼 때, 叫 = "曰%)©/1(%)는 고정된 값으로 등록단계에서의 정보를 이용하여 사용자를 추적하는 것이 가능하다는 것을 지적하였다. 즉, 로그인 단계에서 서버에게 보내는 데이터를 통해 사용자를 구분할 수 있게 됨으로써 사용자 익명성을 제공하지 못한다. 또한 이 프로토콜은 사용자 인증만을 제공한다.

Ⅳ. 제안된 프로토콜

본 논문에서는 사용자와 서버간의 상호 인증 프로토콜을 제안한다. 이때, 사용자 프라이버시를 위해 제3자뿐만 아니라 원격 서버에대해서도 안전한 익명성을 제공하는 효율적인 다음의 인증 시스템을 제안한다.

4.1 제안된 프로토콜

본 프로토콜은 다음의 등록 단계, 로그인 단계, 인증단계인 3단계로 구성되어 있다.

<등록 단계>

1. 등록단계에서는 새로운 사용자 0가 안전한 채널을 통해 서버 S에게 자신의 鶴와 PJ%를 제출한다.

2. S는 다음과 같은 계산을 수행한다.

(1) =h(IDi®xs')®h(xa')

(2) I=h(.IDi®xe®PWi

(3) Ic =h{lDt®xs)

3. S는 0의 스마트카드에 /, q, H), 4 그리고 !/를 저장하여 발급한다.

<로그인 단계>

1. U는 자신의 스마트카드를 리더기에 삽입하고 자신의 尸緇를 입력한다.

2. 다음은 스마트카드가 다음과 같은 수행을 한다.

(1) /編戶庇 = 4를 체크하고 일치하는 경우 다음 단계로 넘어간다.

(2) q=effi7©PM;ffi/l(73H<®r) =h(xs) (Bh(PWe®r)

(3) CfD = h(q(Sh(y®T))

(4) M=h(e®T)

(5) V=h{M®y}®h{PWi®r'}

3. 인증을 위해 5■에게 메시지 {£%, 以 吁을 보낸다.

<검증 단계>

1. S는 메시지 {£6伝以吟를 尸시간에 받는다.

2. S는 다음과 같은 수행을 한다.

(1)T 와 7" 사이의 시간 간격 (time interval) 을 확인한다.

[표 1] 기능 분석

· 패스워드 : 사용자가 자유롭게 선택가능 여부

익명성^※ : 제3자와 서버에게 익명성 제공 여부

[표 2] 효율성 분석

· H : 해쉬 함수 · S : 암호화 · E : 지수 계산

(2) s는 다음 계산을 통해 q 값을 얻어 낸다.

i ) V®h{M®y)-= hePWer}

ii) Q=/i(PW<®r)®/i(xs)

(3) 다음 식이 성립하는지 확인 한다.

CID = h{Ci®h{y®T)}

(4) 만약 CID 와 식이 일치 하면 S는 메시지 物를 계산하여 耳에게 보낸다.

Ms = h(h{PWi ®r)®A/) ffij/

(5) U느 메시지 从를 받고 다음 식을 확인해서 일치 하는지 확인한다.

Ma ®y = h{h{PWi®r)®M)

Ⅴ. 분석

이 장에서는 제안된 프로토콜의 안전성과 효율성을 분석한다.

. Stolen-verifier attack : 제안된 프로토콜은 검증 테이블을 필요로 하지 않기 때문에 서버로부터 검증 할 수 있는 정보를 어느 누구도 얻어 낼 수 없다. 그러므로 제안된 프로토콜은 Stolen-verifier attack에 대해서 안전 할 수 있다.

. Replay attack(재사용공격) : 제안된 프로토콜에서는 인증단계에서 타임스탬프(time stamp) 7를 사용하여 시간 간격을 확인한다. 또한 归과 I값을 생성할 때 스마트카드에 의해 생성된 랜덤 값이 사용된다. 이값은 매번 사용할 때 마다 바뀐다. 따라서 제안된 프로토콜에서는 재사용 공격에 안전하다.

. Offline Guessing attack(오프라인 추측 공격) : 사용자와 서버와의 통신에서 패스워드 값이 직접 보내지지 않는다. 따라서 공격자는 통신채널을 통해서 패스워드를 얻을 수 없다. 또한 CID, V 값에 스마트카드가 생성한 랜덤 값이 포함되기 때문에 공격자는 사용자의 패스워드를 접근 할 수 없다.

. hnpeisonation attack(가장 공격) : 공격자가 정당한 로그인 정보를 위조하기 위해서는 P값 안에 포함된 HP贸申r)와 서버의 비밀 값 y를 알아야만 한다. 또한 공격자는 {7;%, 必 吁을 저장해 두고 재사용하여 사용자인 척 하려고 해도 g값을 모르기 때문에 服乡⑨?)를 생성할 수 없다. 따라서 제안된 프로토콜에서는 가장 공격에 안전하다.

Ⅵ. 결론

본 논문에서 Das와 Saxena, Gulati'”가 제안한 프로토콜이 제3자와 서버에 대하여 사용자 익명성이 제공되지 않는 것을 살펴보았다. 제안한 프로토콜은 tam- per-resistant한 성질을 갖는 스마트카드를 이용하여 등록 단계에서 고정된 사용자의 아이디를 사용하는 대신에 동적으로 아이디를 생성하여 사용한다. 이 동적 아이디는 사용자의 로그인 요청 때마다 아이디를 변화시킴으로서 제 3자와 서버에 대한 사용자 익명성을 제공하며 다음과 같은 장점을 갖는다. 1. 정당한 사용자는 아이디를 매번 동적으로 생성함으로서 서버와 제3자에게로부터 안전한 사용자 익명성을 제공한다. 2. 사용 자와 서버 간의 상호인증을 제공한다. 3. 일반적인 패스워드를 이용한 프로토콜과 다르게 서버는 검증 테이블 또는 패스워드 테이블을 저장할 필요가 없기 때문에 사용자의 프라이버시가 향상된다. 4. 해시 함수와 X-OR 연산만을 사용함으로써 연산량 측면에서 효율적이다. 5. 등록 단계에서 사용자는 자신의 패스워드를 자유롭게 선택함으로서 사용자의 편리성을 증대 시켰다. 6. 재사용 공격과 가장 공격, 오프라인 추측 공격에 안전하다. 향후에는 인증을 통과한 사용자가 누구인지를 알고 싶을 때 서버가 사용자를 추적 가능한 인증프로토콜에 대한 연구가 요구되어진다.

* 본 연구는 정보통신부 및 정보통신연구진홍원의 대학 IT연구센터 지원사업의 연구결과로 수행되었음(IITA-2006-(C₁₀90-0603-0025))