• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1027-1036
• /
• 2014

2012년 Sonwanshi 등은 스마트카드 기반의 해쉬함수를 이용한 효율적인 원격 사용자 인증 스킴을 제안하였다. 본 논문에서는 Sonwanshi 등이 주장한 바와 달리 제안된 스킴이 offline password guessing attack, server impersonation attack, insider attack, replay attack에 취약하며 세션키 및 프라이버시 문제가 존재함을 보이고, 이를 개선한 스킴을 제안한다. 또한, 제안하는 스킴에 대한 분석과 비교를 통해 제안하는 인증 스킴이 다른 인증 스킴보다 상대적으로 안전하고 효율적인 스킴임을 보인다.

• 한국산학기술학회논문지
• /
• 제12권3호
• /
• pp.1356-1366
• /
• 2011

TPM(Trusted Platform Module)은 신뢰된 컴퓨팅 환경을 구성하기 위해 플랫폼 내부에 부착된 하드웨어 칩이다. TPM의 핵심 명령어들 중에서 정당한 사용자만이 TPM을 사용할 수 있도록 명령어에 대한 인가(authorization)가 선행되어야 한다. 즉, 사용자는 TPM 칩에게 명령어 인가를 받기 위해 OIAP(Object-Independent Authorization Protocol)이나 OSAP(Object-Specific Authorization Protocol) 프로토콜을 사용한다. 그러나 최근 Chen과 Ryan은 단일 플랫폼 내의 멀티유저 환경에서 내부 공격자가 TPM으로 위장하는 공격에 취약함을 밝히고 그 대응책으로 SKAP(Session Key Authorization Protocol) 프로토콜을 이론적으로 제안하였다. 본 논문에서는 실제 PC에 TPM 칩을 장착한 상태에서 OSAP에 대한 내부자 공격이 실제로 가능함을 인가 프로토콜 실험을 통해 확인하였다. 또한 이전의 대응 방법인 SKAP에서 명령어 구조 변경 및 대칭 키 암호 연산이 필요했던 점을 개선하여 보다 효과적인 내부자 공격 대응책을 제안하였다. 제안 프로토콜에서는 OSAP 명령어 체계만 간단히 수정하고 사용자 및 TPM 칩에서 각각 RSA 암 복호 연산 한번만 추가하면 내부자 공격을 막을 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제28권5호
• /
• pp.67-74
• /
• 2023

본 논문에서는 2022년에 Hussain et al.이 제안한 DRM을 위한 인증 프로토콜에 대해 분석하고, 개선된 해결방법을 제시한다. Hussain et al.은 자신들의 인증 프로토콜이 중간자 공격과 재생 공격, 그리고 상호 인증을 보장한다고 주장하였다. 그러나 본 논문에서 Hussain et al.의 인증 프로토콜을 분석한 결과, Hussain et al.의 인증 프로토콜은 그들이 지적하였던 Yu et al.의 인증 프로토콜의 문제점인 내부자 공격 문제가 여전히 존재한다. 이로 인하여 내부 공격자가 모바일 기기의 정보를 획득할 경우 사용자 가장 공격 등도 가능하였다. 또한 사용자의 ID 형식 확인 부재의 문제와 서버와 사용자간의 디지털 컨텐츠의 비밀키 불일치의 문제점이 존재하였다. 그러므로 본 논문에서는 이러한 문제를 해결하기 위하여 개선된 해결방법을 제안한다. 개선된 해결방법을 본 논문에서 분석한 결과, 스마트카드 공격, 내부자 공격, 패스워드 추측 공격 등 여러 공격에 안전하여 DRM의 사용자를 안전하게 인증할 수 있다.

• 한국멀티미디어학회논문지
• /
• 제20권4호
• /
• pp.614-628
• /
• 2017

Recently, Due to the rapid development of the internet and IT technology, users can conveniently use various services provided by the server anytime and anywhere. However, these technologies are exposed to various security threat such as tampering, eavesdropping, and exposing of user's identity and location information. In 2016, Nikooghadam et al. proposed a lightweight authentication and key agreement protocol preserving user anonymity. This paper overcomes the vulnerability of Nikooghadam's authentication protocol proposed recently. This paper suggests an enhanced remote user authentication protocol that protects user's password and provides perfect forward secrecy.

• 융합보안논문지
• /
• 제22권4호
• /
• pp.179-188
• /
• 2022

패스워드 인증 체계 (PAS)는 개방형 네트워크에서 안전한 통신을 보장하는데 사용되는 가장 일반적인 메커니즘이다. 인수분해와 이산 로그 등의 수학적 기반의 암호 인증 체계가 제안되고 강력한 보안 기능을 제공하였으나, 암호를 구성하는데 필요한 계산 및 메시지 전송 비용이 높다는 단점을 가지고 있었다. Fairuz et al.은 스마트 카드 체계를 이용한 세션 키 동의와 관련하여 인수분해 및 이산 로그 문제를 기반으로 한 개선된 암호 인증 프로토콜을 제안했다. 하지만 본 논문에서는 취약성 분석을 통하여, Fairuz et al.의 프로토콜이 Privileged Insider Attack, Lack of Perfect Forward Secrecy, Lack of User Anonymity, DoS Attack, Off-line Password Guessing Attack에 관한 보안 취약점을 가지고 있다는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제13권4호
• /
• pp.161-168
• /
• 2003

We discuss the security of two famous password authenticated key exchange protocols, EKE2 and PAK. We introduce ′insider assisted attack′ Based on this assumption we point out weakness of the security of EKE2 and PAK protocols. More precisely, when the legitimate user wants to find other user′s password, called "insider-assisted attacker", the attacker can find out many ephemeral secrets of the server and then after monitoring on line other legitimate user and snatching some messages, he can guess a valid password of the user using the previous information. Of course for this kind of attack there are some constraints. Here we present a full description of the attack and point out that on the formal model, one should be very careful in describing the adversary′s behavior.

• 한국컴퓨터정보학회논문지
• /
• 제18권2호
• /
• pp.87-94
• /
• 2013

본 논문에서는 2011년 Khan[7] 등에 의해 제안된 사용자 익명성 제공 인증기법에 대한 취약점을 분석하고, 이러한 취약점을 개선한 새로운 사용자 익명성 제공 인증기법을 제안한다. Khan의 인증기법은 내부자 공격에 취약하고 서버에 대한 사용자 익명성을 제공하지 못한다. 또한, 패스워드 변경 단계를 제안하고 있음에도 불구하고, 여전히 패스워드 오입력시의 취약점이 존재한다. 본 논문에서는 Khan 기법이 스마트카드를 분실할 경우의 취약점과 강력한 서버/사용자 가장 공격에도 취약함을 보인다. 제안 인증기법은 이러한 취약점들을 개선하여 사용자에게 보다 안전한 프라이버시를 제공할 수 있는 향상된 사용자 익명성을 제안한다.

• 한국통신학회논문지
• /
• 제39B권1호
• /
• pp.29-37
• /
• 2014

최근, Tsai 등의 연구자는 동적 ID 기반 스마트카드 인증 기법을 제안하였다. 본 논문에서 그들이 제안한 기법은 잘못된 패스워드의 검증을 조기에 탐지하지 못하기 때문에 발생하는 서비스거부 공격과 내부자 공격에 취약하고 패스워드 변경시 안전성이 보장되지 않는 문제가 있음을 제시하고, 이러한 문제를 해결하는 기법을 제시하려고 한다. 본 논문에서 제안하는 기법의 안전성은 일방향 해시 함수의 안전성과 이산대수 문제의 어려움에 기반을 둔다. 특히 기존 기법과 거의 대등한 수준의 연산량을 요구하면서 안전성 문제를 해결한다. 추가로 제안하는 기법의 안전성과 연산량에 대한 좀 더 자세한 분석을 제시한다.

• 한국산학기술학회논문지
• /
• 제10권3호
• /
• pp.572-578
• /
• 2009

2008년도에 Bindu et al.는 Chein et. al. 프로토콜이 내부자 공격과 중간자 공격에 취약하다고 지적하였다. 그리고 개선된 프로토콜을 제안하였다. 본 논문에서는 Bindu et al.이 제안한 프로토콜 역시 강한 서버/사용자 가장 공격과 제한된 재전송공격에 대해 취약하다는 것을 발견하고, 새로운 프로토콜을 제안하였다. 제안한 프로토콜에 대해서 강한 서버/사용자 가장 공격, 내부자 공격, 제한된 재전송 공격, 은밀한 검증자 공격, 전방향 안전성에 대해 분석하였다 본 논문에서 제안된 프로토콜은 Bindu et al. 프로토콜보다 한 번의 연산이 추가되지만, 현대 컴퓨팅 기술로 인해 연산속도의 영향을 미치지 않으며, Bindu et al. 프로토콜에서 제기된 문제점을 해결하였다.

• Journal of information and communication convergence engineering
• /
• 제9권4호
• /
• pp.431-434
• /
• 2011

Password-based user-authentication schemes have been widely used when users access a server to avail internet services. Multiserver password-authentication schemes enable remote users to obtain service from multiple servers without separately registering with each server. In 2008, Jia-Lun Tsai proposed an improved and efficient password-authenticated key agreement scheme for a multiserver architecture based on Chang-Lee's scheme proposed in 2004. However, we found that Tsai's scheme does not provide forward secrecy and is weak to insider impersonation and denial of service attacks. In this article, we describe the drawbacks of Tsai's scheme and provide a countermeasure to satisfy the forward secrecy property.