Journal of the Korea Institute of Information and Communication Engineering (한국정보통신학회논문지)

The Korea Institute of Information and Commucation Engineering (한국정보통신학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis of the Lee-Chen's One-Time Password Authentication Scheme

Lee와 Chen의 일회용 비밀번호 인증기법 분석

  • 유일선 (한국성서대학교 정보과학부) ;
  • 김보남 (충북대학교 전기전자컴퓨터공학부) ;
  • 김흥준 (진주산업대학교 컴퓨터공학부)
  • Published : 2009.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

In 2005, Lee and Chen suggested an enhanced one-time password authentication scheme which can prevent the stolen verifier attack that the Yeh-Shen-Whang's scheme has. The Lee-Chen's scheme addresses the stolen verifier attack by deriving each user's pre-shared secret SEED from the server secret. However, we investigated the weakness of the Lee-Chen's scheme and found out that it was suffering from the off-line dictionary attack on the server secret. We demonstrated that the off-line dictionary attack on the server secret can be easily tackled with only the help of the Hardware Security Modules (HSM). Moreover, we improved the scheme not to be weak to the denial of service attack and allow compromise of the past session keys even though the current password is stolen. Through the comparison between the Lee-Chen's scheme and the proposed one, we showed that the proposed one is stronger than other.

Lee와 Chen은 2005년에 Yeh-Shen-Whang 인증기법을 stolen verifier 공격에 대응할 수 있도록 개선하였다. 이 기법은 서버와 각 사용자의 공유 비밀키를 서버의 비밀키로부터 파생하여 stolen verifier 공격을 무력화 하였다. 그러나 우리는 Lee와 Chen의 개선안이 서버의 비밀키에 대한 오프라인 사전공격에 취약하다는 것을 발견하였다. 본 논문에서는 이러한 취약점을 분석하고 가능한 공격을 보인 후, 하드웨어 보안 모듈을 사용하여 이 문제에 대한 해결방안을 제시하였다. 또한, Lee와 Chen의 문제점으로 알려진 서비스 거부 공격과 과거 세션키 유출 공격에 대한 취약점을 개선하였다. 결론적으로 제안 인증기 법과 Lee와 Chen의 기법을 비교분석 하여 제안 인증기법의 보안강도가 개선되었음을 보였다.

Keywords

References

  1. N. Haller, 'The S/KEY One-time Password,' IETF RFC 1760 (1995)
  2. N. Haller, C. Metz, P. Nesser and M. Straw, 'A One-time Password System,' IETF RFC 2289 (1998)
  3. C. J. Mitchell and L. Chen, 'Comments on the S/KEY User Authentication Scheme,' ACM Operating Systems Review, Vol. 30, No. 4 (1996) 12-16 https://doi.org/10.1145/240799.240801
  4. T. C. Yeh, H. Y. Shen and J. J. Hwang, 'A Secure One-Time Password Authentication Scheme Using Smart Cards,' IEICE Transaction on Communication, Vol. E85-B, No. 11 (2002) 2515-2518
  5. I. You and K. Cho, 'Comments on YEH-SHEN- HWANG's One-Time Password Authentication Scheme,' IEICE Transaction on Communication, vol. E88-B, no. 2 pp.751-753, Feb. 2005 https://doi.org/10.1093/ietcom/E88-B.2.751
  6. W.C. Ku, C.M. Chen and H.L. Lee, 'Cryptoanalysis of a Variant of Peyravian-Zunic's Password Authentication Scheme,' IEICE Trans. Commun., vol.E86-B, no.5, pp.1682-1684, May. 2003
  7. N. Y. Lee and J. C. Chen,'Improvement of One-Time Password Authentication Scheme Using Smart Cards,' IEICE Transaction on Communication, Vol. E88-B, No. 9 (2005) 3765-3767 https://doi.org/10.1093/ietcom/e88-b.9.3765
  8. I. You and E. Jung,'A Light Weight Authentication Protocol for Digital Home Networks,'ICCSA 2006, Springer-Verlag LNCS 3938 (2006) 416-423
  9. nCipher corporation Ltd., 'Hardware Key Protection,' http://www.ncipher.com