이동 시스템에서의 효율적인 인증 및 키 교환 프로토콜

An efficient Authentication and Key Agreement Protocol in Mobile Systems

Abstract

본 논문은 휴대폰, 개인 휴대단말기 등과 같은 낮은 연산 처리 능력을 가지는 시스템에서 사용하기 위해 설계된 인증과 키 교환 프로토콜을 제안한다. Rabin 암호시스템에 기반한 프로토콜의 구현은 무선통신에 있어서 통신 패스수와 연산 부하의 최소화라는 측면에서 효율성을 제공한다. 또한 기존의 인증 및 키 교환 프로토콜을 소개하고 제안한 프로토콜을 다양한 측면에서 분석하고 비교할 것이다.

In this paper we propose an efficient authentication and key agreement protocol which has been designed specifically for use with low powered computationally weak equipment such as Cellular phone and PDA(Personal Digital Assistant). Imple-menting the protocol based on the Rabin cryptosystem provides the efficiency requirements for mobile communications including minimum number of passes and low computational lead. The paper outlines the new protocol, examines it s various aspects, and compares them to those representative authentication and key agreement protocols.

Ⅰ. 서론

최근 이동통신의 가입자의 확대와 더불어 전자우편. 게임. 채팅 등의 서비스를 제공하는 무선 인터넷 서비스가 매우 각광받고 있다. 이동통신의 휴대성. 개인성과 인터넷 서비스의 폭발적 요구로 인해 언제, 어디서나 인터넷 접속의 실현이 가능하도록 여러 단체나 기업에서 무선 인터넷 표준안들을 제시하고 있다. 에릭슨. 노키아 등이 주도하는 WAP (Wireless Application Protocol), 마이크로소프트사의 ME (Mobile Explorer), SUN의 J2ME (Java2 Micro Edition) 등이 바로 그것이다. 이러한 무선 인터넷을 위한 표준들은 기존의 음성 서비스에 국한되지 않고 좀 더 고급서비스들을 제공하여 사용자들의 욕구를 충족시키고 있다.

현재 무선 인터넷은 게임. 전자우편. 채팅 등의 서비스가 주를 이루고 있지만. 점차 뱅킹. 증권거래. 쇼핑과 같은 비즈니스 응용 분야까지 영역을 확장하고 있는 추세이다.

특히 음성 위주의 무선 통신에서는 도청 및 복제 단말기를 사용한 통화도용 등이 문제가 되지만. 증권, 쇼핑. 뱅킹 등과 같은 단순한 정보 서비스를 뛰어넘는 상거래 활동이 진행되는 비즈니스 응용 서비스에서는 사용자 인증. 데이터 기밀성 보장 등의 정보보호 서비스가 필요하다.

또한 무선 인터넷에서의 보안은 무선 네트워크 환경을 중분히 고려해 이뤄져야 하며, 단순히 무선 네 트워크에만 그치는 것이 아니라 유선 네트워크와의 연동을 반드시 고려해야 한다.

일반적인 사용자 인증기술은 사용자 ID 와 패스워드에 의해 이뤄지며 이것은 도청. 재전송 공격 등에 매우 취약하여 그대로 사용하기에는 문제점이 많다’ 무선 인터넷에 사용되는 사용자(또는 가입자) 인증 프로토콜의 목적은 통신에 참여하는 개체들을 인증하고 그들 사이에서 주고받을 데이터를 암/복호화할 세션 키(session key)를 설정하는데 있다.

2세대 시스템의 인증 프로토콜들은 비밀키 방식의 인증 프로토콜로 사용자와 홈 네트워크 간의 미리 설정된 마스터키를 통하여 세션 키의 분배와 인증을 수행한다. 이는 초기 설정 시 홈 네트워크가 온라인으로 관여해야 하고 사용자와의 마스터키를 관리하기 위한 secure database를 유지해야 한다. 이러한 많은 수의 secret-key를 유지하는 database는 시스템 자원에 많은 부하를 가져다준다.

이러한 문제점을 해결하기 위한 공개키 방식의 인증 프로토콜은 크고 복잡한 통신 네트워크에서 확장 성과 키 관리가 용이하면서 온라인 인증서버가 필요하지 않는 장점을 가진다. 그러나 비밀키 방식의 인증 프로토콜과 비교해서 공개키 방식 인증 프로토콜은 더 복잡한 연산량을 가진다’

본 논문에서 제안하는 인증 및 키 교환 프로토콜은 Rabin 암호 시스템에 기반한 공개키 방식의 프로토콜이다. 제안하는 프로토콜은 유럽의 차세대 이동 통신 표준인 UMTS(Universal Mobile Telecommunications Systems)의 보안 서비스 제공을 위해 ASPeCT(Advanced Security for Personal Communications Technologies) 프로젝트에서 제시한 인증 및 키 교환 프로토콜을 위한 보안 요구 조건(1)을 대부분 만족시키고 공개키 암호 시스템으로 Rabin 암호 시스템을 사용하여 멱승으로 인한 과도한 연산량을 줄임으로서 휴대폰, 개인 휴대 단말기 (Personal Digital Assistant) 등과 같은 낮은 연산 처리 능력을 가지는 시스템에 적합하도록 설계되었다.

본 논문을 개략적으로 살펴보면 다음과 같다. 2절에서 인증 및 키 교환 프로토콜에서 고려해야 할 보 안 특성과 요구 조건들을 살펴볼 것이匸k 3절에서 기존의 인증 프로토콜들을 비교하고 4절에서 효율적인 인증 프로토콜을 제안할 것이다. 또한 제안한 프로토콜에 대한 보안 특성들에 대해 살펴볼 것이다.

5절에서 기존 프로토콜들과 보안 특성과 요구 조건을 비교하고 6절에서 결론을 내릴 것이다.

Ⅱ. 고려해야 할 보안 특성

2.1 인증 및 키 교환 프로토콜에 관한 보안 요구 조건

유럽의 차세대 이동통신 표준인 UMTS의 보안 서비스 제공을 위해 ASPeCT 프로젝트에서 연구된 인증 및 키 교환 프로토콜에서 고려해야 할 보안 특성과 요구 조건은 아래와 같다. 본 논문에서 제안하는 프로토콜 또한 이러한 요구 조건들을 대부분 만족 시키도록 설계되었다.(1)

(1) 상호 개체 인증(mutual entity authentication)

실시간으로 통신에 참여하고 있는 두 개체가 서로 상대방의 신분을 확인하는 과정으로 서로 다른 개체에 대한 가장(masquerade)을 방지하기 위하여 필요하다.

(2) 공개키 인증서의 상호 교환(exchange of certified

public keys)

공개키 기반 인증 및 키 설정 프로토콜을 지원하기 위해서는 사용된 공개키의 정당성에 대한 확인 과정이 반드시 필요하다. 이를 해결하기 위한 방법으로 공개키 인증서를 상호 교환한다.

(3) 세션 키에 대한 상호 동의(mutual agreement of a secret key)

이동국과 기지국 사이에 교환되는 데이터를 보호하기 위해서 세션 키는 이동국과 기지국이 상대방과 자신의 정보 모두를 사용하여 각각 생성하여야 한다.

(4) 세션 키의 상호 저) 어(joint control of the secret key)

다른 한 개체가 우연히 또는 고의적으로 약한 (weakened) 키를 선택하는 것을 방지하기 위해 이동국과 기지국이 세션 키에 영향을 미치는 정도가 동일하여야 한다. 즉, 세션 키 생성에 사용되는 이동국과 기지국의 정보가 세션 키에 미치는 영향이 동일하여야 한다.

(5) 키 인증(key authentication)

키 인증은 함축적 키 인증(implicit key authentication)1 2 3)- 명확한 키 인증(explicit key authen- tication)의 두 가지 형태로 구분될 수 있다.

- 함축적 키 인증 : 통신에 참여하지 않는 다른 개체가 설정된 세션 키를 얻을 수 없도록 하기 위해 대응되는 키를 가능한 한 참여하는 개체 만이 계산할 수 있어야 한다.

- 명확한 키 인증 : 대응되는 키를 가능한 한 참여하는 개체만이 계산할 수 있어야 하고 실 제로도 계산되어야 한다.

(6) 키 신규성에 대한 상호 확신(mutual assurance of key freshness)

이전 메시지의 재사용으로 이전의 키를 재설정 하는 공격(replay attack)을 방지하기 위해 필요한 요구 조건이다.

(7) 사용자 신분의 기밀성(confidentiality of the user identity)

사용자의 신분이나 특정 사용자의 위치를 추적하기 위해 주고받는 데이터를 가로채는 것을 방지하기 위해서 주고받는 데이터를 암호화해서 보내야 한다.

(8) 부인 봉쇄(non-repudiation)

중요한 데이터나 사용자의 요금에 관련된 부인할 수 없는 증거가 보장되어야 한다.

2.2 프로토콜 설계에 있어서의 제한점

유선 네트워크와 비교해서 이동국은 제한된 계산 능력. 전력 소모량, 메모리 크기, 전송속도. 안정성.

제한된 대역폭 등 무선환경에 따르는 여러 가지 고려해야 할 것이 많다. 따라서 다음과 같은 효율성에 관한 성질을 고려해야 한다.

(1) 통신 패스의 최소화 : 교환되는 트랜잭션 수를 가능한 줄여야 한다.

(2) 대역폭 사용의 효율화 : 프로토콜 메시지를 가능한 짧게 유지해야 한다.

(3) 연산 부하의 최소화 : 사전계산 단계를 두어 온라인 계산을 오프라인 계산으로 하여 실시간 실 행시의 연산량을 줄일 수 있다.

Ⅲ. 기존의 인증 및 키 교환 프로토콜

이 절에서는 기존에 발표된 인증 및 키 교환 프로토콜을 비교하고자 한다. 이후 논문에서 사용될 기 호와 그■ 의미들은〔표 1]과 같다.

(표 1) 사용된 기호의 정의

3.1 개선된 BCY(Beller-Chang-Yacobi) 프로토콜

BCY프로토콜(2)은 비밀키 방식과 공개키 방식의 조합을 도입한 최초의 방법들 중 하나로 처음 발표된 이후 많은 개선이 있었다.'皿51 Carlsene BCY 프로토콜과 Diffie-Hellman의 키 교환 프로토콜을 결합해서 개선된 MSR + DH 프로토콜을 제안하였고⑹ Varadharajan고]" Mu는 Carlsen의 MSR+ DH 프로토콜을 개선하여 현재의 표준 프로토콜과 비슷한 구조를 가지는 프로토콜을 제안했다.⑺ 개선된 BCY프로토콜에서 MSR 시스템은 인증서를 생성하는데 사용되고 Diffie-Hellman 기법은 공통된 세션 키를 설정하는데 사용된다.

개선된 BCY 프로토콜을 살펴보면 아래와 같다.

#

여기서 %= reCmod Nb). KKfgV、 /, =£敬(, 0) 이고 B는 기지국(Base Station), Me 이동국(Mobile Station)이다. 앞으로 논문에서는 B와 M으로 표시할 것이다.

이 프로토콜은 2절에서 살펴본 여러 보안 요구 조 건들을 많이 만족시키지 못한다(〔표 3〕참조). 보안 요구 조건 중 단지 공개키 인증서의 상호교환. 세션 키에 대한 상호 동의. 사용자 신분의 기밀성만 만족시키고 있으므로 다소 비현실적인 프로토콜이라 할 수 있다.

누구나 다른 개체에게 사용자나 기지국의 역할을 대신할 수 있기 때문에 어느 방향으로나 개체 인증이 없다. 또한 기지국이 단지 사용자만이 m을 알고 있다는 확신을 가질 수 없기 때문에 상호 함축적인 키 인증뿐만 아니라 키 확신을 할 수 없다.

3.2 PACSCPersonal Access Communications System) 프로토콜

PACS 프로토콜은 선택적으로 공개키 기반 인증 프로토콜을 지원한다.⑻ 프로토콜의 흐름은 아래와 같다.

#

기지국이 인증서와 실시간 RT를 broadcast channel을 이용해 전송하면 이동국은 기지국이 보내온 정보를 이용하여 세션 키 X를 다음과 같이 계산한다.

#

그런 다음 ESN. TIDm 그리고 RT와 같은 파라미터들을 기지국의 공개키로 암호화하고 이동국의 인증서는 세션 키 K로 암호화해서 기지국으로 보낸다. 기지국은 복호화 과정을 통해 세션 키 K를 얻고 이동 국의 인증서와 서명을 검증하게 돈1다’

PACS 프로토콜은 키 교환 프로토콜이 아니라 키 분배 프로토콜이며 세션 키는 두 개체 사이에서 서명의 역할을 담당하며 일반적인 서명으로는 사용되지 않는다.

3.3 Zheng의 1.5-move 프로토콜

Zhenge 일명 1.5-move 프로토콜을 제안했다.⑼ Zheng의 1.5-move 프로토콜을 요약하면 아래와 같다.

#

Zheng의 1.5-move 프로토콜은 기지국의 비밀키 立, 를 아는 내부 공격자가 이동국의 비밀키 旳①를 알지 않고도 이동국을 가장할 수 있는 심각한 문제점을 가지고 있다. 내부 공격자에 의한 공격은 Xu와 Wang에 의해 제안되었다.割'

기지국의 비밀키와 이동국에 의해 계산된 유효한 (cj, Q)을 알고 있는 내부자가 있다고 가정하고 (勺 , 今)를 다음과 같이 정의한다.

#

공격자는 다음과 같은 방법으로 이동국의 비밀키 羽思이 다른 유효한 (勺‘, @')를 만들 수 있다.

#

또한 1.5-move 프로토콜은 부인봉쇄(non repudia- tion)를 제공하지 않고 PACS 프로토콜과 마찬가지로 키 교환 프로토콜이 아니라 키 분배 프로토콜이다.

3.4 Signcryption을 이용한 LM 프로토콜

LM 프로토콜들은 Zheng이 제안한 signcryp- tion"”을 사용하여 연산량을 줄인 효율적인 AKA (authentication and key agreement) 프로토콜 로 2절에서 설명한 보안 요구 조건들을 대부분 만족 시킨다. 이동통신에서 서명자의 익명성을 제공하기 위해 signcryption을 수정하였다. 주요 아이디어는 두 통신 개체가 초기에 전송 측의 정보 데이타를 보호하는 암호화 키를 설정하고 복호화된 데이타와 수신 측의 비밀키를 사용하여 복호화 키를 생성하는 것이다. 수정된 signcryption 기법은 Zheng이 제안한 최초의 singcryption 기법보다는 다소 연산량이 증가하지만 서명자의 익명성을 제공하고 기존의 암호 시스템과 서명 기법을 따로 사용하는 것보다는 연산량이 작다’

프로토콜의 흐름을 개략적으로 요약하면 아래와 같다.

#

여기 서 T= gr, ' mod p, v=KHt〈 m), s= rw/(r+xM) mod q, c= EKwi{m\\ r\\ s}이다.

Ⅳ. 제안한 인증 및 키교환 프로토콜

4.1 Rabin 기반 암호 기법

공개키 암호 기법은 일방향(one-way) 함수나 트 랩도어 (trapdoor) 함수에 기반하고 있다. 그러한 구조를 가진 효율적인 것들 중 하나가 Rabin 함수 이다」(3) 휴대 장비를 위한 Rabin 기반의 암호 시스템은 에서 처음 제안되었다.(2) BCY 프로토콜은 내 부적으로 Rabin 함수가 그 자체로서 안전한 암호 기법이라는 것을 가정했다. 그러나 Rabin 함수가 암호 시스템을 위해 사용되기 위해서는 더 많은 보안 요건을 갖춰야 한다. 5

암호 기법에서 보안은 단순한 트랩도어 함수 이상의 것을 필요로 흐! 다. 특히, 주어진 암호문으로부터 평문을 얻기가 어려워야 할 뿐 아니라 공격자가 어떠한 메시지에 관한 정보를 일부 알고 있다. 할지라도 암호화된 메시지의 정보를 얻을 수 없다는 것이 보장되어야 한다. 이러한 보안 개념을 semantic security 라 한다.m (3) 키 교환에 있어서 이것은 (1) 세션키에 관한 어떠한 정보도 주어진 암호문으로부터 얻을 수 없고 (2) 공격자가 세션 키를 추측할 수 있다. 할 지라 도 그것을 증명할 수 없다는 것을 의미한다.

또한 암호문을 생성하는 개체가 암호문이 포함하고 있는 내용을 알고 있어야 한다는 것을 보장해야 한다. 즉. 공격자가 어떤 임의의 암호문을 생성하여 복 호를 요구하는 것을 방지해야 한다. 이것은 Rabin 기반의 암호 기법이 선택적 암호문 공격에 깨어지기 쉽기 때문에 필요한 요건이다. 선택적 암호문 공격은 Davida에 의해 처음 소개되었고.Naoi와 Yung 에 의해서 증명되었다.‘村 여기서는 Bellare와 Roga- way에 의해 제안되었고."" Carrol 등에 의해 도 입된 plaintext aiuareness의 개념을 사용하였다."" 이것은 공격자가 임의의 메시지를 선택하는 것을 제 공하지 않을 뿐 아니라 전체 메시지를 알아야 한다는 것을 필요로 한다.

Rabin 함수 7?에 기반한 random oracles와 같이 동작하고. semantic security 개념에서 안 전하고 plaintex-taware한 암호를 다음과 같이 가정한다.

#

여기서 t는 임의의 값이다.

Setup : k, ku, 么는 security 파라미터이다. H는 모듈라의 크기. 셔, 는 메시지에 덧붙여지는 인증서의 크기이고 如은 해쉬함수의 출력 크기이다.

Nm는 k - bit의 큰 blum integer이다. 즉, Nm = 如이다.

여기서 Pm, 4w=3mod4이고 "시 =S시=初2 이다’

F : (0, 1}* - (0, 1)\ G : {0, 1}*' - (0. 1} *七

H : {0, 1}k 如 ~ {0, 1}* 은 "random oracles"처럼 해쉬함수이다.

4.2 Rabin 기반 서명 기법

사용된 서명 기법 또한 Rabin 함수에 기반한 것이다. 서명 기법은 공격자가 임의의 메시지의 서명을 요청하는 것이 허용된다. 할지라도 어떤 메시지의 서명을 생성하는 것이 실행 불가능하다는 것이 보장되어야 한다. 이 논문에서는""加에서 사용한 프로토콜을 적용한다. 이것은 "random oracle model”아래 서 선택적 메시지 공격에 안전하다는 것이 증명되어 있다.(2)

Setup : k, 을 security 파라미터이다. k는 모듈 라의 크기이고 血은 해쉬함수의 출력 크기이다.

H: {0, 1}'-(0, 1}\

Gi : {0, 1}字0, 1}气

G;> : {0, 1}" —{0, I}*'’""는 ''random oracles"

처럼 행동하는 해쉬함수이다.

4.3 제안하는 프로토콜

제안한 프로토콜을 살펴보면 3단계로 나뉘어진다.

(1) 초기화 단계(initialization stage)

(2) 사전계산 단계(precomputation stage)

(3) 실 시행 단계 (real-execution stage)

휴대폰 또는 휴대용 단말기 구입시 이루어지는 초기화 단계에서 이동국은 비밀키 qi*를 생성하고 공개키 를卜匾 를 계산한다. 계산된 Nm를 AC (Authentication Center)로 전송을 하면. AC는 이동국에 대한 인증서 CeK."를 생성하여 이동국에게 전송한다.

이동국은 전송된 인증서를 저장하게 된다. 이때 저장하는 매체는 휴대폰 단말기나 스마트카드와 같은 장치를 사용한다.

다음으로 사전계산 단계이다. 오프라인상에서 이 루어지는 단계로 온라인으로 접속 시에 연산 부하량과 시간을 단축시킬 수 있다.

이동국은 휴대용 단말기를 사용하지 않을 때 즉, 무선 네트워크를 사용하지 않거나 음성 통화를 하지 않는 빈 시간(idle time)에 임의의 수 t를 선택하고 X를 계산한다.

■ 암호문 생성 :

#

계산된 3, t, x를 이동국의 메모리에 저장한다.

마지막 단계인 실 시행 단계는 실제로 온라인으로 접속하여 세션 키를 설정하는 단계이다.

(표 2〕제안한 프로토콜

이동 네트워크는 동기화 매개변수. 가능한 서비스. 시간. 기지국 ID 등 다양한 형태의 제어 정보를 기 지국으로부터 이동국에게 연속적으로 전파하기 위해 broadcast channel을 사'*한다. 이러한 broadcast channel 의한 부분을 사용하여 기지국이 임의의 수 5와 인증서 C아加를 이동국에게 전파한다.

동기화 데이터, 서비스 형태. 시간. 기지국의 공개키, 인증서 등과 같은 다양한 제어정보를 계속 유지하기 위해 이동국은 broadcast channel을 계속 모니터 링 해야 한다.

이동국이 네트워크에 서비스 요청을 하게 될 때 사전계산 단계에서 저장한 %, ;顷을 이용하여 y, K를 계산하고 RT. 인증서와 서명 값을 K로 암호화해서 y와 함께 기지국으로 전송한다.

#

■ 서명 생성 :

. 임의의 수 fe 牝 (0, 1}如을 선택하고 s, 〃를 계산한다.

#

〃가 quadratic residue modulo Nm가 될 때까지 반복한다.

의 4개의 square root 값(/三〃 -

(mod Nm)、) 중 하나를 임의로 선택한다.

物(硏心이0WI 脂의 서명 값이 富이다.

기지국은 y와 암호문을 받은 시간( 广 )을 기록하고, 丿를 다음과 같은 방법으로 복호화한다.

(표 3) 프로토콜의 비교

■ Notation :

[a] [, ”, ., , 辺는 a의 m\ 物에서 w2 bit까지 라는 표시이다.

■ 암호문 복호 :

. y의 4개의 square root 값을 계산한다.

3, x2, x3, x4}=y'n (modM)

. T의 square root 중 적어도 하나가 올바르게 복 호화되었는지 검증한다.

즉. 각 X, 에 대해서

#

- 만약 r* = (r„ F(Q) 이라면 암호문 y는 유효한 것이 된다. 이때 암호화된 값은 八이다. 만약 어떠한 X, 도 정확히 복호화되지 않는다면 그때 y는 무효가 되어 프로토콜을 중단하게 된다.

복호화된 匕와 자신이 보낸 6를 사용하여 세션 키 K를 계산한다. 계산된 X를 이용하여 암호문을 복호 화해서 timestamp( RT)를 다음과 같이 검증한다.

검증이 만족되지 않으면 접근 요청을 거절한다.

#

여기서 는 채널의 최대 지연시간이다.

복호화된 것으로부터 인증서를 구한다. 인증서에서 이동국의 공개키를 구하여 서명을 검증하게 된다.

이때 서명의 검증이 만족되지 않는다면 접근 요청을 거절하고 검증이 만족된다면 접근요청을 받아들이게 된다.

■ 서명 검 중 :

- v= u1 (mod N。)를 계산한다.

S=[祈[1.*, ], j= [ V\ [*, + 1.2-*, ], m=lv] [2.如+ i用

즉, s는 〃의 첫 為]비트, j는 다음 如비트, me 나머지 비트이다.

. i=j® Gi(s), M= [h{K II IDm\\ IDb\\ 福】n.妇 —m ® G2(s)

. H(A») = s이라면 서명을 받아들이게 된다.

실 시행 단계를 요약하면〔표 2〕와 같다.

4.4 제안한 프로토콜의 security 튝성

4.4.1 Semantic Security

앞에서 설명한 암호瓦心) = 殂〃£成〃3£// {M$G(f)}]를 살펴보자. 위의 것에서 (m, F3)) 은 〃으로 대체되었다. M에 관한 정보가 G(t)와 XOR 되어 있기 때문에 공격자가 M에 관한 어떤 부분 정보를 얻기 위해서는 G(t)에 관한 것을 얻어야 한다.

G가 random oracle이기 때문에 G(t)를 얻기 위해서는 입력 t 전체를 알아야 한다. 그러나 t를 얻기 위해서는 t가 H(M① G0))와 XOR되어 있으므로 전체 메시지를 알아야 한다. 이것에 대한 증명은'⑼를 참고하기 바란다.

4.4.2 Plaintext Awareness

공격자가 메시지의 암호문을 구성하는 것을 가정 하면 Me 3, F(所))의 형태로 되어야 한다. 그러나 이것을 임의로 구성하는 것은 어렵다. 그러므로 공격자가 (所, F(m)) 을 모르고서 합법적인 암호문을 구성하는 것은 어렵다.

Ⅴ. Security 톡성과 연산량 분석

5.1 security 특성 분석

기존의 인증 프로토콜과 제안한 인증 프로토콜의 security 특성을 2절에서 살펴본 보안 요구 조건에 맞추어 분석한다(〔표 3] 참조).

(1) 개체 인증(entity authentication) : 기지국 이 보낸 임의의 수에 이동국이 서명을 하게 되므로 검증자인 기지국은 이동국을 인증할 수 있다. 반면에 이동국은 기지국을 인증할 수 없다.

(2) 키 인증(key authentication) : 기지국 측으로는 명확한(explicit) 키 인증이 되고 이동국 측으로는 함축적(implicit) 키 인증이 된다. pM, 奴을 아는 사람만이 K를 서명할 수 있으므로 검증자인 기지국은 세션 키 人가 서명자인 이동 국으로부터 실제로 계산된 것임을 확신할 수 있다.

또한 기지국의 비밀키 pn, 如를 아는 사람만이 이동국이 보낸 r”을 복호하여 세션 키 K를 계산할 수 있으므로 이동국은 함축적 키 인증을 가 질 수 있다.

(3) 키 교환(key agreement)과 키 신규성 (key freshness): 키는 기지국과 이동국에 의해 선택된 "와 如에 의해서 겨산되어진다

(4) 익명성(anonymity of mobile user) : 이동 국에서 기지국으로 가는 모든 정보가 암호화되 어서 전송되므로 익명성이 보장된다.

(5) 부인 봉쇄(non-repudiation) : 이동국에서 기 지국으로 가는 정보에 서명을 하므로 이동국은 기지국에 보낸 정보를 부인할 수 없게 독]다.

(표 4) 각 프로토콜의 연산량 비교

5.2 연산량 분석

앞에서 소개한 기존의 인증 및 키 설정 프로토콜들은 대부분 D-H (Diffie-Hellman) 프로토콜에 기반하여 세션 키를 설정하므로 연산량이 많게 된다. 해 수】. 비밀키 암호화, 인증서 검증에 관련된 시간은 무시할 만큼 작기 때문에 연산에 필요한 시간의 대부분 은 서명 생성/검증. 공개키 암호/복호와 키 생성을 위한 모듈라 멱승에서 주로 소요된다. 3세대 이동통신 시스템에서는 성능이 좋은 CPU와 메모리를 사용하므로 연산에 소요되는 시간이 줄어들겠지난 휴대용 단말기에서의 연산량이 많으므로 실시간 인증을 필요로 하는 이동 통신 시스템에서는 실현이 어렵게 된다.

본 논문에서 제안한 프로토콜은 모듈라 곱셈이 1번뿐이므로 이 동국에서의 연산량^ 대폭 감소하게 된다.

Rabin 암호 시스템과 Rabin 서명 기법에 기반한 이 프로토콜은 낮은 연산 처리 능력을 가진 휴대용 단말기 등의 사용에 적합하다.

〔표 4〕는 이 동국에서의 각 프로토콜의 연산량을 비교 분석한 것이다.

Ⅵ. 결론

무선 통신 시스템은 고정 망에 비교했을 때 다른 특성이 많다. 이동국은 cell로부터 cell로 이동을 하 게 되므로 인증 속도가 실시간 통신의 요건을 만족해야 하며 기존 유선 네트워크와는 달리 계산자원이 비대칭적이다. 이동국 측은 낮은 연산 처리 능력을 가지는데 비해 네트워크 측은 큰 규모의 컴퓨터를 사용함 으로서 연산 처리 능력이 뛰어나다.

또한 3세대 이동통신 시스템에서는 여러 부가 서비스 사업자들이 많이 생겨 네트워크의 비합법적인 접근이 큰 관심사가 될 것이다.

이 논문에서 제안하는 프로토콜은 Rabin 암호 시스템에 기반한 효율적으로 실현 가능한 프로토콜이匸" 기존의 MSR + DH 프로토콜이 가지는 보안 특성들을 보완하였으며 복잡한 모듈라 멱승 연산을 Rabin 암호 시스템과 오프라인에서의 사전계산 (precomputation) 을 통하여 감소시킴으로써 휴대폰, 개인 휴 대 단말기 등과 같은 낮은 연산 처리 능력을 가지는 시스템에 적합하도록 설계되었匸]■. 또한 무선 통신에 있어서 통신 패스 수와 연산 부하의 최소화라는 측면에서 효율성을 제공한다.

그러나, 제안한 프로토콜은 대역폭 사용의 효율화라는 측면에서 키 사이즈가 크다는 문제점을 내포하고 있기 때문에 이를 해결하기 위해 향후 발전과제 로 타원곡선(elliptic curve)상으로의 변환에 대한 추가 연구가 필요하다.