Ⅰ.서론
이동 통신 기술의 발달로 이동 통신 서비스뿐만 아니라 이동 컴퓨팅, 이동 멀티미디어 서비스 등 이동 통신 시스템을 이용한 응용 서비스 개발과 서비스 제공이 급증하면서 이용자 신분 및 위치 정보의 노출, 송수신 데이터의 도청 및 변조, 불법적인 서비스 이용 등 이동 통신 환경에서의 보안 문제 해결이 급선무로 떠올랐다. 이동 통신 환경에서의 인증 및 키 합의 프로토콜 설계 시에 이동 통신 환경이 갖는 제약점, 즉 제한된 메모리. 자원, 계산력, 대역폭을 고려해야 한다. 따라서 빠른 키 생성, 빠른 계산 속도, 적은 양의 메모리를 사용하면서도 보안성이 보장되어야 한다.
지금까지 암호 기술을 이용한 인증 및 키 설정 프로토콜이 많이 제안되었다. 이들은 적용된 암호 알고리 즘에 따라 대칭 키 암호 알고리즘 방식 "25) 과공개키 암호 알고리즘 방식, SS91 그리고 대칭키 암호 알고리즘 방식과 공개키 암호 알고리즘을 결합한 혼합형 방식⑹등으로 분류된다. 대칭키 암호 알고리즘은 계산 속도가 빨라 이동 통신의 제약점을 잘 극복할 수 있지만. 보안성과 키 관리에 큰 어려움이 있다. 그래서 최근에는 강한 보안성을 제공하는 공개키 암호 알고리즘을 이용한 인증 및 키 합의 프로토콜이 제안한다. 공개키 기반의 인증 및 키 합의 프로토콜은 대칭키 암호 알고리즘에 비해 키계산량이 많고 키 길이가 길어 효율성이 떨어지지만, 강한 보안성과 키 관리가 용이하다. 따라서 연구가 계속 진행 중인 부분은 이동 통신 제약을 극복하고 강한 보안성을 갖는 공개키 기반의 인증 프로토콜이다.
기존의 공개키 기반의 인증 및 키 설정 프로토콜은 대부분 Rabin, Diffie-Hellman, ElGamal 등을 이용한다.'危5'9: 이들은 대수학을 기초를 한 것으로 유한 군(finite group). 유한체를(finite field) 바탕으로 한 어려운 수학 문제기반의 알고리즘이다. 예로 큰 두 소수의 곱으로 이뤄진 큰 수의 인수분해문 저 L 이산 대수 문제 등이다. 이들은 큰 소수를 찾아야 하는 어려움으로 키 생성이 어렵고 오랜 시간이 걸린다. 그리고 생성자에 임의의 큰 수 승을 해야 하므로 계산이 복잡하고 암. 복호 시간이 길다. 이를 해결하기 위해 연구된 분야가 타원곡선 암호 시스템(ECC)을 이용한 인증 프로토콜이다. 이로써 짧은 키를 사용하여 기존의 계산량 문제를 조금이나마 해결하였다.338:
본 논문에서는 이보다도 더 빠른 공개키 암호 시스템을 적용하여 이동 통신 환경에서 문제시되는 제약점들을 해결하고자 한다. NTRU 암호 시스템은 CRYPTO'96년에 처음 소개된 것으로 기존에 대수학에서의 이산 대수 문제에 반해 NTRU는 다항식 환(polynomial ring)에 기반을 둔 것으로 큰 크기의 래티스(lattice)에서 작은 벡터를 찾는 수학 문 제이다.⑼ #는 0과 1, -1을 계수로 갖는 %—1차의 다항식이다. 암호화 과정에서 모듈라 力와 모듈라 q로 독립적으로 연산되어져, 무엇보다 강한 보안성을 갖는 암호 시스템으로 기존의 암호 시스템과 비교해 빠르며 특히 최근에 연구된 ECC 와 비교해 볼 때, 최저 20배에서 최고 100배까지 빠르다.⑴局)그리고 무엇보다 주목할 만한 것은 키 생성과정이 간단하며 쉽다. 따라서 언제든지 비밀키와 공개키를 재생성 할 수 있는 특징을 갖고 있다. 그리고 저장 공간을 많이 차지하지 않아서 8비트 프로세서에도 적합하다. 한편, 다항식 환을 바탕으로 하는 큰 래티스에서 작은 벡터를 찾는 수학 문제를 기반으로 한 PASS, PASS(II)와 같은 인증 프로토콜이 연구되고 있다.”摂2:
본 논문에서는 NTRU와 NTRU 서명을 이용한 인증 및 키 합의 프로토콜을 제안한다. 제안한 프로토콜은 NTRU의 특징인 다항식 환에서 다항식들의 빠른 곱과 합으로 인해 전체 프로토콜의 수행 속도가 빠르다. 또한 키 생성이 쉽고 간단하여 언제든지 키 갱신이 가능하므로 불안정한 시스템과 공격으로부터 프로토콜의 수행을 더 안전하게 할 수 있다.
먼저, 2장에서는 이동 통신이 갖는 제약점과 보안 특성을 소개하고, 3장에서는 NTRU와 NTRU 서명인 NtruSign에 대해 살펴본다. 그리고 4장에서 NTRU와 NTRU 서명을 이용하여 안전하고 효율적인 인증 및 키 합의 프로토콜을 제안하며 5장에서는 제안한 프로토콜이 만족하는 보안 요구 조건을 분석하고 성능을 평가한다.
Ⅱ.이동 통신 환경에서의 제약점과 보안 특성
이동 통신 사용자는 언제 어디서나 보다 편리하고 안전하게 서비스 제공자가 제공하는 서비스와 자원을 이용하고자 한다.
이를 위해 이동 통신 환경에서 요구되는 보안 특성은 아래와 같다「3.813.19:
1) 함축적 키 인증성
프로토콜에 참여하는 개체 A와 개체 B가 있을 때, A와 B는 공유키를 생성하는데, A는 B 이외에 다른 어느 누구도 공유키를 생성할 수 없음을 확신할 수 있다. 이 경우를 A는 B에 대한 함축적 키 인증성 (implicit key authentication)을 갖는다고 한다. 그리고 반대로, B는 A 이외에 다른 어느 누구도 공유키를 생성할 수 없음을 확신할 수 있다. 이 경우를 B는 A에 대한 함축적 키 인증성을 갖는다고 한다. 이 두 조건을 만족하는 경우에 인증된 키 합의 프로토콜(authenticated key agreement) 이라 한다.
2) 명시적 키 인증성
프로토콜에 참여하는 개체 A와 개체 B가 있다. 이들 A와 B는 공유키를 생성한다. 이때, A는 B가 실제로 공유키를 계산해 가지고 있음을 확인할 때수 있을 때, B에 대한 명시적 키 인증성(explicit key authentication)을 갖는다. 그리고 반대로 日는 A 가 실제로 공유키를 계산해 가지고 있음을 확인할 수 있을 경우에 A에 대한 명시적 키 인증성을 갖는다. 명시적 키 인증 성은 함축적 키 인증 성에 실제로 상대방이 공유키를 계산할 수 있음을 추가하는 것이다.
3) 알려진 키에 대한 안전성
개체 A와 개체 B가 인증 및 키 합의 프로토콜에 참여할 때, 세션마다 유일한 개인 키를 생성하게 되는데, 이를 세션키(session key)라 한다. 만일 이전에 다른 세션에서 공격자로부터 세션키를 공격당해 세션키가 노출되더라도 현 프로토콜이 안전함이 보장되는 것을 알려진 키에 대한 안전성 (known-key security)이라 한다.
4) 상호 개체 인증
프로토콜에 참여하는 개체 A와 개체 B가 있다. 상호 개체 인증(mutual entity authentication) 은 A는 B의 신분을, B는 A의 신분을 확인하는 과정이다. 이는 서로 다른 개체에 대한 가장을 방지하기 위해 필요한 것이다.
5) 갱신키 확인
이전에 사용한 메시지를 재사용할 때, 이전의 키를 재 설정하는 것을 재실행 공격 (replay attack)이라고 한다. 이 공격을 방지하기 위해 키를 새롭게 설정해야 한다. 이를 갱신키 확인 (confirmation freshness of key)이라 한다.
여기에 이동 통신 사용자의 익명성과 전송된 정보의 부인 봉쇄가 보안 요구 조건에 추가된다.
- 이동 통신 사용자의 익명성
사용자의 위치가 고정된 유선 환경에서는 위치 정보가 그다지 중요하지 않지만, 휴대성과 편리함을 특징으로 갖는 이동 통신 환경에서는 사용자의 위치정보 및 사용자의 활동에 대한 보안이 중요하다. 만일 정보가 노출되게 되면, 사용자의 프라이버시를 침해받게 된다. 그러므로 이동 통신 환경에서 사용자의 익명성(anonymity of mobile user)이 제공되어야 한다. 이는 통신에 참여한 개체 중에서 정보를 전송하는 상대의 공개키 또는 세션키를 이용하여 사용자 인증 정보를 암호화함으로써 이동 통신사용자의 익명성을 제공할 수 있다.
- 전송된 정보의 부인 봉쇄
ASPeCT프로토콜과 같이 전자상거래에 적합한 프로토콜이 설계되었다. 그래서 사용자는 서비스 제공자로부터 서비스를 제공받기 위해 확인 가능한 위탁정보를 제공할 수 있다. 그리고 사용자에게 청구된 금액이 부정확할 경우를 방지하기 위해 부인할 수 없는 정보를 제공할 필요가 있다. 이것은 디지털 서명을 사용해 만족시킬 수 있다.
이동 통신에서는 위와 같은 여러 가지 보안 특성을 만족해야 한다. 그러면서 이동 통신이 갖는 제약점인 저용량의 메모리와 같은 제한된 자원, 제한된 계산력, 제한된 대역폭에 적합한 프로토콜이 설계되어야 한다. 다음은 이동 통신 환경에 적합한 프로토콜을 설계 시에 만족시켜야 하는 요구사항이다.
1) 이동 통신 측의 최소한의 연산량
이동 통신 장치는 보다 휴대하기 쉽게 더 작고 더 가벼워지고 있다. 그래서 비교적 제한된 자원, 제한된 계산 전력을 갖게 된다. 따라서 이동 통신 환경에서 통신을 위한 프로토콜을 설계할 때 이동 통신 측의 계산량을 최소화시켜야 한다.
2) 최소한의 정보 전송
이동 통신 네트워크의 제한된 대역폭과 높은 에러율을 감안하여 메시지 전송량과 프로토콜의 패스 수를 최소화해야 한다.
Ⅲ.NTRU와 NtruSign
NTRU기반의 암호 알고리즘으로 NtruEncypt가있으며, 서명 알고리즘으로 NtruSign, 그리고 인증에는 PASS가 있다. 이 장에서는 NTRU에 관한 전반적인 내용과 NtruSign에 관해 기술한다."卜比
3.1 NTRU 암호 시스템
이동 통신 사용자의 수가 점점 증가하면서 이동통신 장치를 통해 음성통화 이상의 멀티미디어 통신이 이루어지게 되었다. 그리고 전자 거래와 주식투자와 같은 높은 보안성을 요구하는 서비스가 제공되면서 보다 안전하고도 빠른 인증 및 키 합의 프로토콜이 필요하게 되었다. 이에 맞는 암호 시스템이 NTRU 이다. 이것은 큰 크기의 래티스(lattice)에서 매우 짧은 벡터를 찾는 수학 문제 (shortest or closest vector problem(SVP/CVP))< 기반으로 이루어진다. 이 시스템은 잘려진 다항식 환(truncated polynomial ring)을 기반으로 하는 수학 문제로서 작은 정수의 덧셈과 곱셈, 그리고 쉬프트(shift) 연산이 이뤄지기 때문에 수행 속도가 빠르다.Q16.W) 그리고 키 생성이 쉽고 빨라 스마트카드와 같은 작은 디바이스에서도 키를 쉽게 갱신할 수 있으므로보안성이 강하다. 따라서 이것은 빠른 연산 속도와 간단하고 빠른 키 생성으로 인하여 비교적 저렴한 프로세서에서도 안전한 프로토콜을 설계할 수 있다. 여기에서는 제안한 프로토콜에 적용한 NtruEncrypt 중에서 키 생성에 관한 알고리즘을 살펴본다.邮" 이는 NTRU 래티스 상에서 짧은 벡터를 찾는 어려움 기반으로 이뤄졌으며 모든 연산은 #인 다 항식 환에서 이루어진다. "
1) 매개 변수
① F/ : R의 부분집합으로써, 계수가 0, 1, T로 이루어지는 다항식의 집합이다. 이 집합은 LT의갯수가 小로 사전에 정의되어 있으며, 나머지의 계수는 0이다.
② Fg : R의 부분집합으로써, 계수가 0, LT로 이루어지는 다항식의 집합이다. 이 집합은 LT의갯수가 处로 사전에 정의되어 있으며. 나머지의 계수는 0이다.
③ />, g:소수일 필요는 없으며, gcd(0, a) = l를 만족하는 값이다. 그리고 a는 보다 크다.
④ ® : 순환 컴볼루션 곱(cyclic convolution pro- duct) 이다.
2) 키 생성
① 두 다항식 f wF; 와 g mF;를 선택한다. ② /의 역함수 烏'와 를 계산한다.
즉, [拿(町三 1»와 [/丁(勿三兀인 后와尸 를 계산한다.
③ "L舟®虱를 계산한다.
공개키는 다항식 가 되고, 비밀키는 다항식 /가된다.
〔표 1〕은 NtruCrypt에서 사용되는 매개변수 (.N, p, q) 의 보안성에 따른 크기를 나타낸다.
표 1. NtruCrypt의 매개 변수(N, p, q)
3.2 NTRU 서명
NTRU 서명은 NTRU 암호 시스템과 같이 NTRU 래티스에서 작은 벡터를 찾는 문제인 SVP(shortest vector problem), 또는 NTRU 래티스에서 가장 근접한 벡터를 찾는 문제인 CVP(closet vector problem)를 기반으로 이루어진다. 2000년도에 NSS 라 불리는 NTRU 서명 알고리즘이 Crypto'2000의럼프(rump) 세션에서 소개되었으며, 이를 개선한 NSS가 Eurocrypt' 2001에서 발표되었다.'队⑸ 이것은 서명자의 비밀키를 모르더라도 서명 값을 수위조할 수 있음을 Asiacrypt' 2001에서 밝혔다.(河 이는 NSS 알고리즘과 기반 문제인 CVP사이의 완전한 연결이 이뤄지지 않아 발생된 결점이다. 이런 결점을 해결한 NtruSign은 CVP기반의 NTRU 서명 알고리즘으로 NtruSign과 CVF 사이에 직접적이고 완전한 연결이 이뤄진다.⑵) 다음은 NtruSign 알고리즘의 키 생성. 서명 과정, 확인 과정을 기술한다.'沮
1) 매개 변수
① N '■ R= Zf} 의 치수를 정하는 차원 (dimen- X —1
sion) 매개변수이다
② q : 모듈라 값으로써 g=O(N)이다. 그리고 寻N의 값을 택한다.
③ %, dg : 키 크기를 정하는 변수이다.
④ NormBound : 서명 확인 바운드(bound) 변수이다.
⑤ ® : 순환 컨볼루션 곱(cyclic convolution pro- duct) 이다.
⑥ II . II : centered norm이다.
2) 키 생성
① 각각 df, 々개의 계수 1을 갖는 y, g를 선택한다. 그리고 y, g는 7? 의 부분 집합이다.
② 모듈라 g에 대해서 /의역 함수를 구한다. 즉, [方电件1]。인 //을 구한다.
② / = 를 계산한다.
③ f®G- g®F = g를 만족하는 작은 다항식 (F, G) 를 계산한다.
임의의 상수 c에 대해 11/11 g屈와 UU 由而 를 만족하는 /, g를 선택하면 (F, G)는 II FII 이I 이I 片嗚-가 된다.
즉, 비밀키는 /가 되고, 공개키는 h7\ 된다.
3) 서명 과정
디지털 문서 〃를 서명하는 과정이다.
① 모듈라《의 임의 벡터 m = Si, %)를 생성하기 위해 디지털 문서 D를 해 쉬한다.
② 다음과 같이 다항식 a, b, A, B V - , 彳XI、를 계산한다. & F
G® — F® m2 = A +(7® B
一 g® 秫1 +/® m2 =役 + q®b 의계수 M 号의 계수
一号■
③ D의 서명 값은 SM 。이다.
4) 확인 과정
서명 값 s의 유효성을 확인한다.
① 디지털 문서。를 해 쉬해 m = (输, %)를 재생성한다.
② 공개키 /와 서명 값 s를 이용하여 /= [»洌]。를계산한다.
③II(S- 所1), (t—所2川 M 他, 7祐0"宓를 확인한다. 이것은(S3)와 (, 旳”他) 사이의 거리를 측정한 것으로 NormBound는 다음과 같다.
#
예를 들어서 RSA 1024비트와 NtruSign 251 비트는 동일한 보안 강도를 갖는다. 이때, (7\「两() = (251, 128, 0, 45)는 NtruSign의 매개변수이고, NormBound-^: 250이다.
Ⅳ.제안한 프로토콜
이동 통신 환경에서의 인증 및 키 합의 프로토콜은 무엇보다 높은 효율성과 보안성이 중요하다. 이는 단말기와 이동 통신 환경이 갖는 제 약점을 극복해야 하기 때문이다. 이 장에서는 이런 제약적인 환경에 적합한 프로토콜을 제안하며 무엇보다 NTRU와 NtruSign의 수학 문제 기반인 CVP 어려움을 이용한 세션 키를 생성한다. 이는 잘려진환에서 다항식들의 컨볼루션 곱으로 이루어져 보다 빠르고 안전한 인증 및 키 합의 프로토콜을 제안한다.
4.1 제안한 프로토콜 스킴
제안한 NTRU 기반의 인증 및 키 합의 프로토콜은잘려진 다항식 환.#에서 이루어지는데, 7?은 〃一1차의 모든 다항식 집합이다.
다음은 프로토콜에 사용된 기호들을 기술한다.
● P.Q '■ 소수일 필요는 없으며, gcd(/>) = l 를 만족시키는 값이다. 그리고 g는 力보다 크다.
● 尸, : 7? 의 부분집합으로써. 계수가 0, 1, -1 로 이루어지는 다항식의 집합이다. 이 집합은 1, -1의 로개수가 로 사전에 정의되어 있으며, 나머지의 계수는 0이다.
● CertM, CertV : 이동 통신 사용자와 서비스 제공자가 인증 기관으로부터 받은 인증서이다.
● IDU, IDV : 이동 통신 사용자와 서비스 제공자의 신원 확인을 위해 사용되는 아이디(ID)이다.
● COUNT : 메시지 재사용을 방지하기 위해 사용하는 값이다.
4.1.1 초기화 단계
이동 통신 단말기가 제조되면서 단말기에서 사용될 서비스에 필요한 기능이 탑재된다. 또한, 공개키와 비밀키가 생성되어 탑재된다. 물론 키 생성이 쉽고 빠르기 때문에, 키 생성 알고리즘이나 칩을 사용해 서비스를 이용할 때마다 공개키와 비밀키를 생성하여 보다 안전한 프로토콜을 수행할 수 있다. 초기화 단계에서는 이동 통신 사용자가 단말기를 사용하지 않는 시간에 공개키와 비밀키를 생성한다. 마찬가지로 서비스 제공자도 프로토콜 수행 전이나 다른 이동 통신 사용자와 프로토콜을 수행하는 동안에 공개키와 비밀키를 생성한다.
1) 이동 통신 사용자
. fu V Ff, gu e Fg를 임의로 선택한다. . fM은 모듈라 4에 대해 역함수를 계산한다. [.况 ®fM= 1]«
. 如三 L琨®丄를 계산한다.
. g齒F= q를 만족하는 작은 다항식 (F, G) 를 계산한다.
이동 통신 人 용자의 공개키는 泌忸 비밀키는 fM, g”이다.
2) 서비스 제공자
, fM e Ff, gu s 기를 임의로 선택한다.
. 而는 모듈라 力 와 모듈라 Q에 대해서 역함수를 계산한다. 즉, [fvp ®fv = 1侦 L宏 ®fv = 1]«
, "= [.斤/®幻, "를 계산한다.
서비스 제공자(VASP)의 공개키는 姊이고, 비밀키는 fv, gu이다.
(그림 1) NTRU를 이용한 인증 및 키 합의 프로토콜
4.1.2 실행 단계
초기화가 된 상태에서 이동 통신 사용자는 서비스제공자로부터 이동 통신을 통한 서비스를 제공받고자 할 때, 먼저 이동 통신 사용자는 서비스 제공자에게 서비스 요구(service request)를 한다. 그러면 서비스 제공자는 이동 사용자의 인증을 요구한다. 다음은 이동 통신 사용자와 서비스 제 공자 간의 인증과 키 합의가 이뤄지는 단계이며 〔그림 1〕 에서수행되는 프로토콜을 나타내고 있다.
(1단계〕
첫 번째 단계에서 이동 통신 사용자는 다음과 같이 생성된 。。如了를 서비스 제공자에게 전송한다.
.vF, 을 임의로 선택한다.
. 이동 통신 사용자의 비밀키 J成와 세션 비밀키 rM 을 이용하여 을 계산한다.
. Km区hM, COU琅T을 연결하여 서비스 제공자에게 전송한다.
[2단계〕
서비스 제공자는 이동 통신 사용자로부터 받은 값을 통해 다음을 수행한다.
. W F, 을 임의로 선택한다.
. 서비스 제공자의 비밀키 gu와 세션 비밀키 八, 를이용하여 세션키를 계산한다.
Kmv~ 奴静 a瘩
=/z( 财"®[力形成财]痞幻赠®*] 。) =奴[幻痞成)幻物"]°)
. 서비스 제공자의 비밀키 而와 세션 비밀키 七를이용하여 를 계산한다.
. 硏, 를 연결하여 해 쉬한다.
. Ct* Ve, K * COUNT, hQDv, Kmv)을 연결하여 이동 통신 사용자에게 전송한다.
(3단계〕
이동 통신 사용자는 서비스 제공자에게 받은 메시지에 다음과 같은 과정으로 서명하고, 이를 세션 키를 이용하여 암호화한 후에 서비스 제공자에게 다시 보낸다.
. 사용자는 받은 Ky와 비밀키 gM. 세션 비밀키 rM 을 사용해 세션 키를 계산한다.
#
. M、COUNT, Kv, IDm, Kmv) 를 계산한다.
. CMM 와 M.COUNT, Kv, IDm, Kmv)를 연결하면 다음과 같다..
D= (CertM, 初 COUNT, Kv, IDM, KMV)} . 비밀키 ht을 사용해 서명한다.
즉, 모듈라 g의 임의의 벡터 仇=(»如»?2)를 생성하여 力를 해 쉬한다.
— F0m2 = A +
一 g(X®2i +力宓秫2 = " +小X访 — 의 계수 M 号
&執{ CertM, h( COUNT, Kv, IDU, K”)}
. £>, &gw{剧를 세션 키를 이용하여 암호화한다.
. 암호화한 珈次“", S知{£>}}를 서비스 제공자에게 전송한다.
4.1.3 확인 단계
서비스 제공자는 이동 통신 사용자로부터 받은 메시지 命々“, {ns知x〃}})를 전 단계에서 계산한 세션 키 .&戒를 이용해 복호한다. 이로 인해 얻게되는 如{아를 사용하여 이동 통신 사용자의 신원을 확인한다. 또한 d을 이용하여 &&“{〃} 의 유효성을 확인한다.
● 문서 D를 해 쉬해서 »?= (»2] , »包)를 재성생한다.
● 서비스 제공자는 이동 통신 사용자의 공개키 h„ 와 서명값 &:§&(〃}를 사용하여 7를 계산한다. t=[如<8), 如{£凯
● SigM{U\. t, mi, %2를 사용하여 다음을 확인한다. ||(&轴—, 勺), (Z— m^W^NormBound
위 조건이 만족되면, 서비스 제공자는 이동 통신사용자가 서명한 서명 값이 유효한 것으로 인정하고 이동 통신 사용자는 서비스 제공자에게 서비스를 제공한다.
V.제안한 프로토콜의 보안 특성 및 성능 평가
4.1 보안 특성
● 함축적 키 인증성
서비스 제공자는 사용자로부터 받은 K”와 사용자의 공개키 /⑶을 이용하여 세션 키를 생성하는데, 이때, 서비스 제공자의 비밀키와 세션 비밀키도 이용하여 세션키를 생성한다. 다시 말해, 서비스 제공자의 비밀키를 알고 있는 사람만이 세션키를 생성할 수 있으므로 사용자는 서비스 제공자에 대한 함축적 키 인증성을 갖는다. 반대로 서비스 제공자도 마찬가지로 이동 통신 사용자에 대한 함축적 키 인증 성을 갖는다.
● 명시적 키 인증성
계산된 공유키 痞를 이용해 메시지 Z)와 &§诚剧를 암호화해서 서비스 제공자에게 전송한다. 이때 서비스 제공자는 전 단계에서 계산한 K”를 이용해 복호화함으로써 이동 통신사용자가 생성한 공유키를 확인할 수 있다. 즉, 서비스 제공자는 이동 통신 사용자에 대한 명시적 키인증성을 갖게 되는 반면 이동 통신 사용자는 서비스 제공자에 대한 명시적 키 인증 성을 갖지 않는다.
● 알려진 키에 대한 안전성
생성된 키는 Kw= 奴[幻疤心弱态), 0)이다. 사*자로부터 서비스 제공자에게로 Km을 전송할 때, 이 값이 노출되더라도 서비스 제공자의 세션 비밀키를 모르면 세션 키를 생성할 수 없다. 또한 사용자 측에서도 서비스 제공자로부터 전송된 Kr가 노출되어도 사용자의 세션 비밀키를 모르는 한 세션 키를 생성할 수 없다. 즉, 제안한 프로토콜의 세션 키는 전송되는 kv, km<>} 노출되어도 세션 비밀키를 각자만 알고 있기에 어느 누구도 생성할 수 없다. 그리고 이전 세션에서 세션 키가 노출되어도 ru, rv7\ 세션마다 임의로 생성되며, CVP문제로 그 값을 알 수 없다. 즉, 이것은 알려진 키에 대한 안정성을 보장한다.
● 상호 개체 인증
두 번째 메시지에서 서비스 제공자는 이동 와통신사용자에게 와 해 쉬한 丑凡를 전송한다. 이것을 받은 이동 통신 사용자는 C* er에서 를 추출해해 쉬한 다. 그■리고 받은 해쉬값과 비교해봄으로써 서비스 제공자의 신원을 확인할 수 있다. 그리고 세 번째 메시지에서 이동 통신 사용자는 서비스 제공자에게 C* e과 해 쉬한 IDm을 전송한다. 전송된 정보를 받은 서비스 제공자는 Ce也으로부터 IDm을 추출해 해쉬한다. 그리고 받은 해쉬값과 비교해봄으로써 이동 통신 사용자의 신원을 확인할 수 있다. 이로 이동 통신 사용자와 서비스 제공 자간에 신원 확인이 가능함으로 이 프로토콜은 상호 개체 인증 성을 갖는다.
● 갱신키 확인
프로토콜에 참여하는 이동 통신 사용자와 서비스제공자는 공유키 를 갖는다. 이 값은 이동 통신 사용자가 임의로 선택한 과 서비스 제공자가 임의로 선택한 八, 를 이용하여 얻어지는 값이다. 세션마다, "과 勺, 가 임의로 선택되기 때문에 공유키가 다름을 알 수 있다.
● 이동 통신 사자의 익명성
프로토콜에서는 CefW와 丑) 의의 정보를 서비스 제공자에게 세션 키로 암호화해서 보냄으로써 이동 통신 사용자의 익명성이 보장된다.
● 전송된 정보의 부인 봉쇄
제안된 프로토콜에서는 이동 통신 사용자의 비밀키인 fM을 이용하여 메시지에 서명함으로써 부인 봉쇄가 이루어진다.
4.2 성능 평가 및 비교 분석
4.2.1 기존 프로토콜과의 보안 특성 비교
지금까지 이동 통신 환경에서의 인증 및 키 합의 프로토콜이 많이 제안되었다. DLP기반의 ASPeCT⑶와 개선된 BCY, ⑺ ECC-DLP 기반의 AYK, (22) NTRU 의 SVP/CVP기반의 제안한 프로토콜 간의 보안 특성을 비교하면〔표 2〕와 같다.
(표 2] 기존 프로토콜과의 보안 특성 비교
4.2.2 성능 평가
성능 평가는 DLP, EC-DLP, SVP/CVP기반의세션키 생성을 통해 이뤄지는 프로토콜들의 연산량을 비교한다.(如.22) 다음은 이동 통신 사용자와 서비스 제공자에서의 연산량를 계산한다. 단, ASPeCT와개선된 BCY 프로토콜은 DLP기반으로 1024bit, AYK는 ECDLP기반으로 160bit, 그리고 제안한 프로토콜은 SVP/CVP기반으로 512bit 보안 강도를 갖는다. H0.18.22)
아래 의 약어를 사용하여 비교하면, ASPeCT와 개선된 BCY는 PKE계산■으로■ exponentiation을 행호卜 며, AYK는 eP와 ECD계산으로 점의 곱셈을 행한다. 반면에 제안한 프로토콜은 NSIGN과 NOPER 계산으로 쉬프트-덧셈을 행한다. exponentiation 은 multiplication보다 더 많은 연산량를 갖고 있으며, multiplication은 쉬프트-덧셈만 행하는 것보다 더 많은 연산량를 갖는다「22.23;
1) 이동통신 사용자 측에서의 연산량
.개선된 BCY : 1 PKE(1024bit)+2 SKE(2048bit) + 사전 계산
. AYK : leP(160bit) + lECD(160bit) +2SKE (672bit) + l SHA(288bit)
.제안한 프로토콜 : 1 NSIGN(251bit) + l SKE (502 bit) + 2 NOPER(251bit)+사전 계산
2) 서비스 제공자 측에서의 연산량
.개선된 BCY : 1 PKE(1024bit)+lSKE(1024bit) 十 사전 계산
. AYK : leP(160bit) + lECD(160bit) +2SKE (672bit) + l SHA(288bit)
.제안한 프로토콜 : 1 NSIGNV(251bit) + lSKE (502bit) + l NOPER(251bit) +사전 계산
약어는 다음을 뜻한다.
. PKE - Public Key Encryption
. SKE : Secret Key Encryption or Decryption . eP : Point Multiplication
. ECD : Elliptic Curve DSA Verification . NSIGN .- NtruSign Algorithm
. NOPER : NTRU Operation (shift-add) . NSIGNV : NtruSign Verification
Ⅵ.결론
본 논문에서는 NTRU 기반의 이동 통신에서의 인증 및 키 합의 프로토콜을 제안했다. 기존의 프로토콜은 랜던 값의 해쉬값, DLP기반의 exponenti- ation값, 또는 이exponentiation^] 해쉬값 등을 세션키로 갖는다. 이에 반해 제안한 프로토콜은 NTRU 래티스의 SVP/CVP기반의 둘 이상 다항식의 컨볼루션 곱을 세션키로 갖는다. 제안한 프로토콜은 두 다 항식의 덧셈과 shift-addition 연산으로 인해 DLP기반의 exponentiation값, 또는 이 exponentiation의 해쉬값을 세션키로 갖는 것에 비해 생성 속도가 빠르다. 또한, 이동통신 환경에 적합한 대표적인 프로토콜인 DLP기반의 ASPeCT와개선된 BCY, ECDLP기반의 AYK와 제안한 프로토콜 간의 보안 특성 및 통신 오버헤드를 비교 분석하였다. 제안한 프로토콜은 ASPeCT와 같은 수준의 보안 특성을 만족하고, exponentiation과 multipli cation0] shift-addition보다 많은 연산량을 요구하기 때문에 ASPeCT와 AYK에 비해 연산량이 적다. 따라서 제안한 프로토콜은 DLP기반, ECDLP 기반의 기존 프로토콜에 비해 성능이 우수하며 SVP/ CVP기반으로 인해 안전하다.
본 논문은 향후 전송 시간과 전송 데이터 량을비교 분석하여 보다 정확한 성능 평가가 이루어져야 하며 제안한 프로토콜에 대한 공격들을 분석해야 한다.
사사
•본 연구는 정보통신부의 대학 IT연구센터(ITRC) 지원을 받아 수행되었습니다.
References
- A. Mehrotra and L. S. Golding, 'Mobility and Security Management in the GSM System and some Proposed Future Im-provements,' Proceedings of the IEEE, Votume 86. Issue 7. pp. 1480-1497. July 1998 https://doi.org/10.1109/5.681375
- C. H. Lee, M. S. Hwang, W. P. Yang, 'Enhanced Privacy and Authentication for the Global System for Mobile Communi-cations.' Wireless Networks 5, pp. 231-243. 1999 https://doi.org/10.1023/A:1019103228471
- G. Horn and B. Preneel. 'Authentication and Payment in Future Mobile Systems,' Computer Security - ES0RICS'98. Lecture Notes in Computer Science, 1485, pp. 277-293, 1998 https://doi.org/10.1007/BFb0055870
- D. G. Park, C. Boyd and S. J. Moon 'Forward Secrecy and Its Application to Future Mobile Communications Security,' PKC 2000, Springer'Verlag, pp. 433-445 2000
- K. H. Lee and S. J. Moon, 'AKA Protocols for Mobile Communications,' ACISP' 2000. LNCS 1841, pp. 400-41, 2000
- H. Y. Lin and L. Harn, 'Authentication Protocols for Personal Communication Systems,' Proceedings of ACM SIGCOMM'95. pp. 256-261, August 1995
- V. Varadharajan, Y. Mu, 'On the Design of Secuhty Protocols for Mobile Communications,' Australasian Conference, ACISP '96, pp. 134-145, Springer-Verlag, 1996
- L. Law, A. Menezes, M. Qu, J. Solinas and S. Vanstone, 'An Efficient Protocol for Authenticated Key Agreement Protocol,' Technical report CORR 98-05, University of Waterloo, Canada, March. 1998
- J. H. stein, J. Pipher, J. H. Silverman, 'NTRU: A new high speed public key cryptosystem,' preprint; presented at the rump session of Crypto'96. 1996
- P. Karu, J. Loikkanen. 'Practical com-parison of Fast Public-key Crypto-systems,' Telecommunications Software and Multimedia Lab. at Helsinki Univ. of Technology, http: //www.tml.hut.fi/Opinnot/Tik-110.501/2000/papers.html. 2001
- J. Hoffstein, D. Lieman, J. H. Silverman, 'Polynomial Rings and Efflcient Public Key Authentication,' in Proceeding of the International Workshop on Cryptograpbic Techniques and E-Commerce(CrypTEC '99). 1999
- J. Hoffstein, J. H, Silverman, 'Polynomial Rings and Efficient Public Key Au-thentication II,' ProceedIngs da Conference on Cryptography and Number Theory(CCNT '99). 1999
- C. J. Mitchell, 'Security in Future Mobile Networks,' in Proceedings of the Second International Workshop on Mobite Mutti-Media Comnwtications(MoMuC-2), Bristol, April 1995
- J. Hoffstein, J. Pipher. J. H. Silverman, 'The NTRU Signature Scheme: Theory and Practice,' Preprint, 2001
- J. Hoffstein, J. Pipher. J. H. Silverman, 'NSS : An NTRU Lattice-Based Signature Scheme,' Eurocrypt'Ol. pp. 211-228. 2001
- J. Hoffstein, J. Pipher, J. H. Silverman, 'NTRU : A Ring Based Public Key Cryptosystem,' in Atgorithmic Number Theory(ANTS III), Portland, J.P, Buhler (ed.), Lecture Notes in Computer Science 1423, Springer-Verktg. Berlin, pp. 267-288. 1998
- J. Hoffstein, D. Lieman. J, Pipher, J. H. Silverman, 'NTRU : A Public Key Cryptosystem,' IEEE P1363 : Protocols from other famities of public-key algorithms, Technical Report, October 1999
- M. J. Wiener. 'Performance Comparison of Public-Key Cryptosystems,' RSA CryptoBytes. pp. 1-5, 4(1): 1-5. 1998
- 최영근, 김순자. '이동시스템에서의 효율적인인증 및 키교환 프로토콜,' 한국정보보호학회논문지. Vol. 11, No. 2, pp. 73-82, Apr 2001
- C. Gentry, J. Jonsson, J. Stern, M. Szydlo, 'Cryptoanalysis of the NTRU Signature Scheme(NSS) from Eurocrypt 2001,' Advances in Cryptology-Asiacrypt '01, Lecture Notes m Computer Science, Sphnger-Verlag, 2001
- J. Hoffstein, N. Howgrave-Graham, J. Pipher, J. H. Silverman, W. Whyte, 'NtruSign : Digital Signatures using the Ntru Lattice,' Preliminary version distributed at AsiaCrypt 2001, 2001
- M. Aydos, T. Yamk, and C. K. Koc, 'High-Speed Implementation of an ECC-based Wireless Authentication Protocol on an ARM Microprocessor,' IEE Pro-ceedings : Communications, 148(5) : 273-279. October 2001 https://doi.org/10.1049/ip-com:20010511
- A. J. Menezes, P. C. van Oorschot, S. A. Vanstone, 'Handbook of Applied Cryptography,' CRC Press
- C. Boyd. D. G. Park, 'Public key pro-tocols for wireless communications,' ICISC 1998. 47-57, 1998