Journal of Korea Society of Industrial Information Systems (한국산업정보학회논문지)

Korea Society of Industrial Information Systems (한국산업정보학회)
권호 표지
DOI QR코드

DOI QR Code

An Improved User Authentication Scheme Based on Random Nonce

랜덤 Nonce 기반 사용자 인증 스킴의 안전성 개선에 관한 연구

  • 주영도 (강남대학교 컴퓨터미디어공학부) ;
  • 안영화 (강남대학교 컴퓨터미디어공학부)
  • Received : 2010.07.29
  • Accepted : 2010.08.26
  • Published : 2010.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

Recently Yoon et al. proposed the remote user authentication scheme using smart cards. But their scheme has not satisfied security requirements which should be considered in the user authentication scheme using the password based smart card. In this paper, we prove that Yoon et al.'s scheme is vulnerable to a password guessing attack in case that the attacker steals the user's smart card and extracts the information from the smart card. Accordingly, we propose the improved user authentication scheme based on the hash function and random nonce that can withstand various possible attacks including a password guessing attack. The result of comparative analysis demonstrates that the our proposed scheme is much more secure and efficient than the Yoon et al.'s scheme, with a trivial trade-off to require just a few more exclusive-OR operations.

최근 Yoon 등[7]은 자신이 선택한 패스워드와 스마트카드를 이용하여 원격지에 있는 사용자를 인증할 수 있는 스킴을 제안하였다. 그러나 Yoon 등에 의해 제안된 스킴은 패스워드 기반 스마트카드를 이용한 사용자 인증 스킴에서 고려하는 보안 요구사항을 만족하지 못하고 있다. 본 논문은, 공격자가 사용자의 스마트카드를 훔치거나 일시적으로 접근할 수 있는 경우에 Yoon 등의 스킴은 off-line 패스워드 추측 공격에 취약하다는 것을 증명한다. 그리고 이와 같은 보안 취약점을 해결할 수 있는 hash 함수와 랜덤 nonce 기반의 보다 개선된 인증 스킴을 제안한다. 제안하는 사용자 인증 스킴은 패스워드 추측 공격을 포함한 다양한 공격에 견딜 수 있는 스킴임을 보여주기 위해 보안성 분석을 병행한다. 비교분석 결과에 의하면 제안한 인증 스킴은 무시할 정도의 exclusive-OR 연산의 수행이 조금 더 요구되지만 Yoon 등의 인증 스킴보다 보다 안전하고 효율적인 스킴임을 알 수 있다.

Keywords

References

  1. L. Lamport, "Password Authentication with Insecure Connmunication," Communications of the ACM, 24(11), pp. 770-772, 1981. https://doi.org/10.1145/358790.358797
  2. R. E. Lennon, S. M. Matyas and C. H Mayer, "Cryptographic Authentication of Time-invariant Quantities," IEEE Trans. Commun, COM-29, Vol. 6, pp. 773-777, 1981. https://doi.org/10.1109/TCOM.1981.1095067
  3. S. M. Yen and K. H. Liao, "Shared Authentication Token Secure against Replay and Weak Key Attack," Information Proceeding Letters, pp 78-80, 1997.
  4. M. S. Hwang and L. H. Li, "A New Remote User Authentication Scheme Using Smart Cards," IEEE Trans. Consum Electron, 46(1), 2000.
  5. H. M. Sun, "An Efficient Remote User Authentication Scheme Using Smart Cards," IEEE Trans. Consum Electron, 46(4), 2000.
  6. M. S. Hwang, C. C. Lee and Y. L. Tang, "A Simple Remote User Authentication," Math Comput. Model, 36, pp. 103-107, 2002. https://doi.org/10.1016/S0895-7177(02)00106-1
  7. E. J. Yoon, E. K. Ryu and K. Y. Yoo, "An Improvement of Hwang-Lee-Tang's Simple Remote User Authentication," Computer & Security, 24, pp. 50-56, 2005. https://doi.org/10.1016/j.cose.2004.06.004
  8. J. Xu, W. T. Zhu and D. G. Feng, "An Improved Smart Card Based Password Authentication Scheme with Provable Security," Computers Standards & Interfaces, 31, pp. 723-728, 2009. https://doi.org/10.1016/j.csi.2008.09.006
  9. P. Kocher, J. Jaffe and B. Jun, "Differential Power Analysis," Proceedings of Advances in Cryptology (CRYPTO 99), pp. 388 - 397, 1999.
  10. T. S. Messerges, E. A. Dabbish and R. H. Sloan, "Examining Smart-Card Security under the Threat of Power Analysis Attacks," IEEE Transactions on Computers, 51 (5), pp. 541- 552, 2002. https://doi.org/10.1109/TC.2002.1004593
  11. C. W. Lin, C. S. Tsai and M. S. Hwang, "A New Strong-Password Authentication Scheme Using One-Way Hash Functions," Journal of Computer and Systems Sciences International, Vol. 45, No.4, pp. 623-626, 2006. https://doi.org/10.1134/S1064230706040137
  12. X. Duan, J,W. Liu and Q. Zhang, "Security Improvements on Chien et al.' s Remote User Authentication Scheme Using Smart Cards," IEEE International Conference on Computational Intelligence and Security (CIS 2006), 2, pp. 1133-1135, 2006.
  13. 이영숙, 원동호, "스마트카드를 이용한 사용자 인증 스킴의 안전성 분석 및 개선", 한국컴퓨터정보학회 논문지, 제15권, 제1호, pp. 139-147, 2010년 1월.
  14. 안영화, 서정만, "스마트카드를 사용한 원격 사용 자 인증 스킴의 시큐리티 개선에 관한 연구", 한 국컴퓨터정보학회논문지, 제15권, 제3호, pp. 91-97, 2010년 3월.