비밀키를 이용한 토큰 업데이트 보안 인증 기법

A secure token-updated authentication scheme using security key

최근 들어 OTP를 고려한 스마트카드 환경에서의 많은 인증 기법이 제안되고 있다. 그러나 이러한 인증 기법들이 개인 컴퓨터 환경에서 구현될 경우 개인 컴퓨터상에서는 데이터를 쉽게 읽어 내고, 유출시킬 수 있기에 위장공격이나 Stolen-Verifier 공격 등에 대하여 취약점이 노출된다. 본 논문에서는 이러한 취약점을 개선한 인증 기법을 제시함으로 스마트카드 상에서 사용되는 인증 기법이 컴퓨터 환경에서도 효율적으로 사용될 수 있도록 하였다. 본 논문이 제안하는 기법은 Stolen-Verifier 공격과 위장 공격에 안전하며, 상호 인증 기능을 부여하고 비밀 키의 생성에 있어 쉽다는 장점을 지니고 있다.

Recently, a large number of authentication schemes based on smart cards have been proposed, using the thinking of OTP (one-time password) to withstand replay attack. Unfortunately, if these schemes implement on PCs instead of smart cards, most of themcannot withstand impersonation attack and Stolen-Verifier attack since the data on PCs is easy to read and steal. In this paper, a secure authentication scheme based on a security key and a renewable token is proposed to implement on PCs. A comparison with other schemes demonstrates the proposed scheme has following merits: (1) Withstanding Stolen-Verifier attack (2) Withstanding Impersonation attack (3) Providing mutual authentication; (4) Easy to construct secure session keys.